일일 보안이슈
안녕~ Cerber, 안녕! Magniber
Magniber (Magnitude + Cerber)는 Cerber 를 계승해(?) Magnitude EK 를 통해 유포되는 시로운 랜섬웨어다. 여러 부분에서 Magniber 는 Cerber 와 다른 양상을 보이지만, 지불방식과 암호화 방식에 있어서만큼은 매우 비슷하다. Michael Gillespi 에 의해 첫 발견. 남한을 주로 공격대상으로 하고 있다. 복호화의 가능성이 있다. CVE-2016-0189 를 주로 이용 기사원문
중국 사이버공격 활동에서 과거 사용된 RAT 악성코드 다시 포착
지난 2004~2005 년 활동한 후 자취를 감췄던 Hacker’s Door 백도어가 활동을 재게한 것으로 Cylance 는 밝혔다. 과거 Winnti 공격그룹 이 사용했던 탈취한 인증서로 서명되있다. 게다가 2004년도 사용된 구버전도 아님. 64x OS 및 Win7, 8.1 에서도 동작토록 업데이트 됐다. 초창기 무료배포되던 것과 달리 현재는 판매중인것도 다른점. Hacker’s Door 는 아래와 같은 기능이 가능하다. 기사원문, 업데이트 된 기술문서
* Communicate with a remote C&C server
* Collect system information
* Take screenshots
* Find and steal files
* Download additional malware
* Run processes and commands
* List and kill processes
* Open Telnet and RDP connections
* Extract Windows credentials from the current session
* A rootkit component for persistence
URSNIF 스팸 메일에서 활용한 악성매크로의 샌드박스 우회기법
TrendMicro 는 매크로를 활용한 악성 워드문서가 사용하는 샌드박스 우회기법에 대한 기술문서를 발표. 아래는 그 간략한 내용.
- AutoClose
AutoClose 이벤트는 문서가 닫힐 때 발생. 이 이벤트가 발생해야만 동작하는 Powershell 스크립트를 삽입해 악성동작을 시작하는 기법. 일반적으로 자동분석 시스템은 문서를 열기만 하지 닫지는 않는다는 점을 이용 - Enumeration variables
각 오피스 프로그램은 자체제공하는 특수한 변수(?, 상수?)목록이 있다. 예를들면xlAutomaticAllocation는 오피스2010 부터 지원. 보통 오피스 2007만 가상환경에 설치해둔다는 점에 착안해 구버전에선 동작하지 않는 매크로를 작성한다. - Filename length
실행된 문서 파일명의 길이를 확인. 많은 자동분석 시스템이 해쉬+날짜 로 파일명을 바꿔서 분석, 이로인해 일반적인 파일명의 길이보다 훨씬 긴 파일명이 생긴다. 악성매크로는 문서 파일명을 확인해 비정상적으로 긴 파일명일경우 동작하지 않게 설계
