스마트한 쇼핑검색, 다나와! : 가격비교 사이트

다나와 앱
다나와 앱 서비스 목록
다나와 APP
다나와 가격비교 No.1 가격비교사이트 다나와 앱으로
간편하게 최저가를 확인하세요.
- -
QR코드
빈 이미지
다나와 앱 서비스 목록 닫기

오피스 문서 사칭한 악성코드 경로 추적 방법은?

IP
2023.06.01. 09:22:33
조회 수
208
8
댓글 수
16

공유하기

레이어 닫기

지금 보는 페이지가 마음에 든다면
공유하기를 통해 지인에게 소개해 주세요.

로그인 유저에게는 공유 활동에 따라
다나와 포인트가 지급됩니다.

자세히 >

URL이 복사되었습니다.
원하는 곳에 붙여넣기(Ctrl+V)하세요.

레이어 닫기

* 출처는 안랩입니다.


안랩 ASEC 분석팀이 한컴 오피스 문서 파일로 위장한 악성코드가 유포 중인 정황을 포착했다


이번에 확인된 악성코드는 36,466,238바이트(Byte)의 대용량 파일이 압축된 형태이며레드아이즈(RedEyes) 공격 그룹에 의해 누가무엇이 세계를 위협하는가(칼럼).exe’라는 파일명으로 유포됐다


파일 아이콘한컴 오피스 문서 파일과 유사하게 제작됐다.

 

안랩은 자사 AhnLab EDR(Endpoint Detection and Response)의 증적 자료를 통해 해당 악성코드의 공격 기법을 탐지하고 침해 사고를 조사하는 데 필요한 데이터를 확인할 수 있다그 과정을 간단히 살펴보자. 

 

[그림 1] 은 악성코드 파일 아이콘과 전반적인 실행 흐름을 보여주는 그림이다악성코드가 어떤 프로세스로 실행되는지 한눈에 확인할 수 있다.


[그림 1] 악성코드 실행 흐름 다이어그램


[그림 2]에서 악성코드는 정상 파일처럼 보이기 위해 AppData 경로에 'onedrivenew' 폴더를 생성하고, 'onedrivenew.exe'라는 파일명으로 자가 복제한다. 


[그림 3]은 한글 파일 생성 및 자가 삭제 등 악성코드의 전체 흐름 중 주요 행위에 대한 증적 데이터를 표시한 화면으로, 악성코드가 실행된 경로와 동일한 곳에 똑같은 파일명의 정상적인 한컴 오피스 파일을 생성하고 실행하는 증적을 보여준다. 악성코드는 윈도우의 정상 프로세스인 mstsc.exe에 인젝션되어 실행되며, 원본 파일은 cmd 명령어를 이용해 삭제한다.

 


[그림 2] 악성코드 생성 파일 증적 데이터

 


[그림 3] 악성코드 주요 증적 데이터


* 전체내용은 아래에서 확인하세요.

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=33577&utm_source=CM&utm_medium=eDM&utm_campaign=SL%5FtypeC&utm_content=971

공감/비공감

공감/비공감안내도움말 보기
유용하고 재미있는 정보인가요?
공감이 된다면 공감 버튼을, 그렇지 않다면 비공감 버튼을 눌러 주세요!
공감이나 비공감을 선택 하는 경우 다나와 포인트를 적립해 드립니다. ※ 공감 버튼의 총 선택 횟수는 전체 공개입니다. 비공감 버튼의 선택 여부는 선택한 본인만 알 수 있습니다.

plc-wave 님의 다른 글 보기

1/8
자유게시판 최신 글 전체 둘러보기
1/1
DPG 특가몰에서 81% 할인으로 120mm 팬 2개를 구매 했네요 (1)
도로 주행 시험날이네요 (1)
목요일 오전이네요 (2)
한국라면 괴식의 역사 (4)
양궁에서 조준 시, 2mm 차이 결과 (2)
10/5 ~ 내일 오전까지 날씨
넷플릭스, 할리우드 파업 종료 후 스트리밍 구독료 인상 구상 중
농심 라면 신제품 출시.jpg (6)
탕후루 당류비교 (5)
국민학교를 아시나요? (7)
찬 바람이 불면서 다소 추운 아침 이네요. (5)
오랜만에 카누 패들앱 굿즈 돌아왔네요 (6)
늦은 시작을 (9)
댕댕이 주인이 스타워즈 매니아 (6)
1년동안 85kg을 감량한 뉴질랜드 여성 (8)
목요일 아침이네요 (4)
영화 '크리에이터', 10/4 기준 10만 돌파! (3)
영화 '30일', 10/4 기준 박스오피스 1위이어가며 20만 돌파! (1)
새벽에 춥더니 출근길도 쌀쌀하네요. (11)
오늘 날씨가 좋다 (6)
이 시간 HOT 댓글!
1/4