서명 툴로 실행되는 X로더 악성코드 주의

2024.11.21. 08:25:50

조회 수: 254

공감 수: 7

댓글 수: 10

* 출처는 안랩입니다.

안랩이 DLL 사이드 로딩(Side-Loading) 기법을 이용하는 X로더(XLoader) 악성코드의 유포 정황을 확인했다. DLL 사이드 로딩 공격 기법은 정상적인 응용 프로그램과 악성 DLL을 같은 폴더 경로에 저장하여 응용 프로그램이 실행될 때 악성 DLL이 함께 동작하도록 하는 기법이다.

이번 사례에서는 X로더 실행 시 정상 응용 프로그램 jarsigner가 사용됐다. Jarsigner는 이클립스(Eclipse) 재단에서 배포하는 IDE 패키지를 설치할 때 생성되는 파일로, JAR(Java Archive) 파일에 서명하는 도구이다. 이번 글에서는 Jarsigner를 통해 X로더가 실행되는 과정을 살펴본다.

안랩에 따르면, 유포된 파일은 압축 파일 형태로 유포되며, 내부에는 정상 EXE 파일과 악성 DLL 파일이 포함돼 있다. 이 중 악성 파일은 ‘jli.dl’과 ‘concrt140e.dll’ 두 개뿐이다.

[그림 1] 압축 파일에 포함된 파일

[그림 1]의 정상 파일은 대부분 이클립스 재단의 유효한 인증서를 포함하고 있으나, 두 악성 파일은 서명되어 있지 않다.

– jli.dll: 공격자에 의해 변조된 DLL 파일로, concrt140e.dll 복호화 및 인젝션 수행

– concrt140e.dll: 암호화된 페이로드 (X로더 악성코드)

– Documents2012.exe: 정상 파일(jarsigner.exe)의 파일명 변경

* 전체내용은 아래에서 확인하세요.

https://www.ahnlab.com/ko/contents/content-center/35726

태그: 등록된 태그가 없습니다.

저도 다나와 아카데미 갔다왔내용ㅎㅎ	L11 트루레인
날씨가 좀 풀린느낌드네요.	M2 Undisclosed
9월 18일 박스오피스	M3 하늘을담은와인
위메프에 물린 27만원...결국 BC카드도 나몰라 통지 왔네요. OTL ㅠㅠ;;; (2)	L12 METALLICA815
가을이 성큼 온 느낌 (1)	M1 아피홀릭
kt 공유기 쓰는대.. 크롬에서 위치가.. 수상해요. (1)	L7 동우don
세월은 그렇게 흘러 여기까지 왔는데 (2)	L1 유노이아스토어
노르웨이 K-9 24문 추가 구매 (3)	L5 보라매2015
여름 제철 회인데 호불호 갈린다는 회 (2)	L20 야거커티스
4일차 완료입니다 (2)	L12 웅끼끼
RC카로 뒷마당 꾸며서 남자의 로망을 직접 실현하는 남자 (4)	L20 야거커티스
래플에게.... 오늘은 흐린 하늘에 바람이 너무 차갑네요. (3)	L20 까망여우
땀이 주춤하는군요 (3)	L20 skybulam
상품권 사러 대구 신세계 백화점 간만에 다녀왔네요 (7)	M1 오르테가%스칼렛
목요일 저녁이네요 (5)	L20 아모스1
올해도 1년이 그렇게 지나가는가 보다 싶네요. (5)	M8 검은바다
오늘 날씨는 드라이브라도 가야 될 분위기인거 같네요. (7)	M8 검은바다
중동 수박 크기 (12)	L20 야거커티스
돼지고기 김치찌개 (8)	L20 야거커티스
맛점하세요 (8)	L14 otosan
22일 후 2차 지원금 . 이번에도. (6)	L5 vmoxmv
손흥민 선수, MLS에서 해트트릭 (14)	L12 까부수자
다나와 9월 래플 이벤트 2주차 RTX 5050 그래픽 카드 4일차 응모완료!!! (21)	L18 느낌하나
9/17(수) 10,519보, 9/18(목) 9,901보를 걸었습니다. (11)	L18 느낌하나
오늘 미세먼지 좋네요 (9)	L16 HomeRun
난기류 만났을 때 비행기 날개 상태 (8)	L20 야거커티스
9/18 전국 날씨 (7)	L20 야거커티스
좋은 하루 시작! (10)	L5 ddnddn
앞자리 관객의 등을 자기 발판으로 쓴 여자의 최후 (11)	M5 plc-wave
소액결제 피해 의심? 꼭 확인하세요 (23)	M5 plc-wave
그때는 왜 몰랐었는지.. (19)	M1 파노백작
추석표는 다들 성공하셨나요? (16)	L10 미지근한우롱차
비가 그치고 많이 쌀쌀해진 오전이네요. (25)	M8 검은바다
(응모완료) 9월 다나와 래플 RTX 5050 그래픽카드 넷째날 응모했습니다. (17)	M3 관성
습도 높고 흐린 날씨에 목요일이네요. (13)	M3 관성
잠시 비가 내리더니 그쳤네요. (15)	L20 까망여우
비가 내리는 곳이 있습니다. (14)	L20 벗꽃엔딩
남부 중심으로 비…전국 흐린 날씨 계속 (10)	M9 천사다나와
2025 숭실대 다나와 아카데미페스티벌 참관기 (29)	L10 프로키열쇠
9월 17일 박스오피스 (11)	M3 하늘을담은와인
추억의맛 ? (17)	M8 무한제리사랑
오늘은 GPT 교육 다녀왔네요. (11)	M4 히이로진
피곤했던 하루 마무리~^^ (7)	M1 아피홀릭
경찰서가서 사건접수하고 왔습니다. (15)	L14 냥냥마루
3회차 완료입니다 (10)	L12 웅끼끼
비가 아주잠시내리고 (3)	L12 웅끼끼
래플에게... 오후 늦은 시간에 비 피하기... (10)	L20 까망여우
국밥집 8대 죄악 (10)	L20 야거커티스
남자들의 가슴을 뛰게 하는 발파 작업 영상 (10)	L20 야거커티스
제대로 된통 걸렸군요 (14)	L20 skybulam
간만에 다나와 들어왔네요 (9)	M1 오르테가%스칼렛
오늘은 아버지 입원 수속 밟아서 입원시켜 드리고 오니 이시간이네요. (14)	M8 검은바다
롯데카드 해킹 피해 규모 예상보다 훨씬 심각한 수준 곧 대국민 사과 (12)	L12 나그네우주
수요일 오후네요 (11)	L20 아모스1
맛점하세요 (21)	L14 otosan
연일 새벽에 나왔더니 몽롱하네요. 문경 오미자 꿀배차도 당 충전하면서 버텨 봅니다. (20)	L18 느낌하나
미세먼지 좋네요 (23)	L16 HomeRun
급발진 주장하는 택시기사 (35)	M5 plc-wave
꿈을 향한 이들을 위한 인생 영화 (23)	M1 파노백작
요즘 복합형 렌즈는 별걸 다 하네요 ㅎㅎ (20)	L5 vmoxmv
오늘은 아버지 모시고 입원 수속을 밟는 날이네요. (25)	M8 검은바다
좀 아프네요. (19)	L20 까망여우
9/17 전국 날씨 (9)	L20 야거커티스
국지성 호우 장면 (31)	L20 야거커티스
(응모완료) 9월 다나와 래플 RTX 5050 그래픽카드 셋째날 응모했습니다. (22)	M3 관성
비 소식이 있습니다. (15)	L20 벗꽃엔딩
습도 높고 안개 낀 날씨에 수요일이네요. (11)	M3 관성
다나와 9월 래플 이벤트 2주차 RTX 5050 그래픽 카드 3일차 응모완료!!! (32)	L18 느낌하나
흐림과 비 소식, 우산 챙기세요! (15)	M9 천사다나와
영국 스마트폰 시장 점유율 (13)	L20 야거커티스
갈수록 미스터리해진다는 1300년 전 신라시대 사람들 (16)	L20 야거커티스
9월 16일 박스오피스 / 극장판 귀멸의 칼날: 무한성편 450만 돌파 (12)	M3 하늘을담은와인
월요일 국민체력100 다녀왔었네요. (6)	M4 히이로진
오늘은 운동 짧게 다녀왔네요. (6)	M4 히이로진
로버트 레드포드 89세로 별세,할리우드 전설이 지다 (12)	L20 커팅크루
명배우 로버트 레드포드 별세 (9)	M3 하늘을담은와인
만보 걸으러 이제 공원에~^^ (9)	M1 아피홀릭
위기라고 했더니 감기로 화답 (20)	L20 skybulam
래플에게 소나기처럼..... (12)	L20 까망여우
벌초하고 오니, 집 초인종 전선이 뜯겨져있네요. (31)	L14 냥냥마루
극장판 귀멸의 칼날: 무한성편 450만 돌파 (공식) (7)	M3 하늘을담은와인
9/16(화) 6,947보를 걸었습니다. (16)	L18 느낌하나
저녁 맛있게 드네요 (16)	L14 otosan
순간적으로 비바람 엄청나네요 (19)	L16 HomeRun
출퇴근때만 비가 안 오니. (8)	L12 까부수자
2일차완료 (12)	L12 웅끼끼
션이 자녀들 돌잔치를 병원에서 한 이유 (13)	L20 야거커티스
그저께 베이징을 덮친 우박 폭풍 (13)	L20 야거커티스
화요일 오후네요 (8)	L20 아모스1
갑작스러운 폭우네요 (14)	L5 머시갱이
분당 비 쏟아 지네요. (8)	L13 이 방 인
다나와 경매장 글카 치열하네요 (16)	M2 Undisclosed
에어컨 재가동~ (14)	M1 아피홀릭
8테라 날라갔네요 (21)	L12 까부수자
5일 중 한 번만 해도 되는 래플이지만. (16)	L12 까부수자
독도의날 기념 맥세이프 보조배터리 출시 (17)	L9 신상매냐
사람이 찐으로 무너졌을 때 나타나는 신호 4가지. (19)	L20 야거커티스
9/16 전국 날씨 (7)	L20 야거커티스
KERAM 승부 예측 이벤트에서 3번째 포인트가 당첨 되었네요 (33)	M20 야간순찰™
2024년 진료분 본인부담상환액 초과금 해당되시는분 잊지 마시고 신청하시길 바랍니다. (38)	M8 검은바다

비교하고 잘 사는, 다나와 : 가격비교 사이트

RanKING 100 도움말 보기

GNB 메뉴

GNB 메뉴

서명 툴로 실행되는 X로더 악성코드 주의

plc-wave 님의 다른 글 보기

비교하고 잘 사는, 다나와 : 가격비교 사이트

RanKING 100 도움말 보기

GNB 메뉴

GNB 메뉴

서명 툴로 실행되는 X로더 악성코드 주의

공유하기

공감/비공감

plc-wave 님의 다른 글 보기