비교하고 잘 사는, 다나와 : 가격비교 사이트

다나와 앱
다나와 앱 서비스 목록
다나와 APP
다나와 가격비교 No.1 가격비교사이트 다나와 앱으로
간편하게 최저가를 확인하세요.
- -
QR코드
빈 이미지
다나와 앱 서비스 목록 닫기

MS 윈도우 압축 헤더(CAB)를 악용한 배치 파일(*.cmd) 악성코드 ModiLoader(DBatLoader) 유포 주의

IP
2025.01.26. 05:58:38
조회 수
142
3
댓글 수
8

공유하기

레이어 닫기

지금 보는 페이지가 마음에 든다면
공유하기를 통해 지인에게 소개해 주세요.

로그인 유저에게는 공유 활동에 따라
다나와 포인트가 지급됩니다.

자세히 >

URL이 복사되었습니다.
원하는 곳에 붙여넣기(Ctrl+V)하세요.

레이어 닫기

* 출처는 안랩입니다.


MS 윈도우 압축 헤더(CAB)를 악용한 배치 파일(*.cmd) 악성코드 ModiLoader(DBatLoader) 유포 주의

MS 윈도우 압축 헤더(CAB)를 악용한 배치 파일(*.cmd) 악성코드 ModiLoader(DBatLoader) 유포 주의

2024년 12월, AhnLab Security intelligence Center(ASEC)은 자사 메일 허니팟을 통해 MS 윈도우 압축 헤더(CAB)를 악용한 배치 파일(*.cmd)형 악성 코드가 유포됨을 확인하였다.

 

해당 악성코드는 ModiLoader(DBatLoader)라 불리며, 발주서(PO)로 유포되고 있었다. 

과거와 다른 점은 *.cmd(배치 파일) 확장자를 사용하지만 실제로는 CAB 압축 헤더 포맷을 악용해 악성코드를 생성 후 실행하는 Loader 형 악성코드라는 것이다.

바이너리 구조 : CAB 헤더(‘MSCF’) + Command lIne + PE(exe)
확장자 : *.cmd

 

해외에서는 ‘Threat Actor Turns a CAB File Into the Loader to Deploy ModiLoader‘라는 제목으로 소개된 바 있다.

[그림 1] ModiLoader(DBatLoader)가 유포된 메일

 

해당 공격자는 메일 보안 제품을 우회하기 위해 첨부 파일의 헤더를 변경하였다. 확인된 압축 파일은 매직 헤더가 ‘MSCF’인 압축 파일(CAB)이지만, 그 앞에 ‘PNG'(이미지 파일 헤더)를 추가하여 파일 필터링을 우회하거나 압축 내 파일을 자동으로 검사하는 기능 등을 우회하기 위한 것으로 추정된다.

[그림 2] 메일에 첨부된 압축 파일의 헤더

 

* 전체내용은 아래에서 확인하세요.

https://asec.ahnlab.com/ko/85732/

공감/비공감

공감/비공감안내도움말 보기
유용하고 재미있는 정보인가요?
공감이 된다면 공감 버튼을, 그렇지 않다면 비공감 버튼을 눌러 주세요!
공감이나 비공감을 선택 하는 경우 다나와 포인트를 적립해 드립니다. ※ 공감 버튼의 총 선택 횟수는 전체 공개입니다. 비공감 버튼의 선택 여부는 선택한 본인만 알 수 있습니다.

plc-wave 님의 다른 글 보기

1/8
자유게시판 최신 글 전체 둘러보기
1/1
비는 거의 안올것 같네요
원수가!! 나왔습니다! (1)
yes24 해킹 보상 게시글보고 저도..
흐린날씨네요 (1)
일요일 오전이네요 (2)
발레리나의 위엄 (4)
7/13 전국 날씨 (4)
지난 주 순위는!!! (3)
아파트 지하에 길냥이 가족이 사는. (5)
YSE24에서 USB 32기가 주문했네요. (7)
어제는 중국인들이 욕을 먹는 이유를 직접 목격한 하루였네요. (7)
이번주에는 5계단 상승한 18위네요. (15)
이번엔 카스2 영상 올려봅니다. (1)
지난 주 주간 랭킹 3위 했네요. (11)
습도 높고 맑은 날씨에 일요일이네요. (9)
거제 해병대 비비탄 난사 사건 피해자 가족 이사간 이유 (13)
어머니의 은혜 (8)
제철 옥수수 (9)
무덥네요. (9)
선선하네요. 비가 잡혀 있는.... (10)
이 시간 HOT 댓글!
1/4