비교하고 잘 사는, 다나와 : 가격비교 사이트

다나와 앱
다나와 앱 서비스 목록
다나와 APP
다나와 가격비교 No.1 가격비교사이트 다나와 앱으로
간편하게 최저가를 확인하세요.
- -
QR코드
빈 이미지
다나와 앱 서비스 목록 닫기

MS 윈도우 압축 헤더(CAB)를 악용한 배치 파일(*.cmd) 악성코드 ModiLoader(DBatLoader) 유포 주의

IP
2025.01.26. 05:58:38
조회 수
246
3
댓글 수
8

공유하기

레이어 닫기

지금 보는 페이지가 마음에 든다면
공유하기를 통해 지인에게 소개해 주세요.

로그인 유저에게는 공유 활동에 따라
다나와 포인트가 지급됩니다.

자세히 >

URL이 복사되었습니다.
원하는 곳에 붙여넣기(Ctrl+V)하세요.

레이어 닫기

* 출처는 안랩입니다.


MS 윈도우 압축 헤더(CAB)를 악용한 배치 파일(*.cmd) 악성코드 ModiLoader(DBatLoader) 유포 주의

MS 윈도우 압축 헤더(CAB)를 악용한 배치 파일(*.cmd) 악성코드 ModiLoader(DBatLoader) 유포 주의

2024년 12월, AhnLab Security intelligence Center(ASEC)은 자사 메일 허니팟을 통해 MS 윈도우 압축 헤더(CAB)를 악용한 배치 파일(*.cmd)형 악성 코드가 유포됨을 확인하였다.

 

해당 악성코드는 ModiLoader(DBatLoader)라 불리며, 발주서(PO)로 유포되고 있었다. 

과거와 다른 점은 *.cmd(배치 파일) 확장자를 사용하지만 실제로는 CAB 압축 헤더 포맷을 악용해 악성코드를 생성 후 실행하는 Loader 형 악성코드라는 것이다.

바이너리 구조 : CAB 헤더(‘MSCF’) + Command lIne + PE(exe)
확장자 : *.cmd

 

해외에서는 ‘Threat Actor Turns a CAB File Into the Loader to Deploy ModiLoader‘라는 제목으로 소개된 바 있다.

[그림 1] ModiLoader(DBatLoader)가 유포된 메일

 

해당 공격자는 메일 보안 제품을 우회하기 위해 첨부 파일의 헤더를 변경하였다. 확인된 압축 파일은 매직 헤더가 ‘MSCF’인 압축 파일(CAB)이지만, 그 앞에 ‘PNG'(이미지 파일 헤더)를 추가하여 파일 필터링을 우회하거나 압축 내 파일을 자동으로 검사하는 기능 등을 우회하기 위한 것으로 추정된다.

[그림 2] 메일에 첨부된 압축 파일의 헤더

 

* 전체내용은 아래에서 확인하세요.

https://asec.ahnlab.com/ko/85732/

공감/비공감

공감/비공감안내도움말 보기
유용하고 재미있는 정보인가요?
공감이 된다면 공감 버튼을, 그렇지 않다면 비공감 버튼을 눌러 주세요!
공감이나 비공감을 선택 하는 경우 다나와 포인트를 적립해 드립니다. ※ 공감 버튼의 총 선택 횟수는 전체 공개입니다. 비공감 버튼의 선택 여부는 선택한 본인만 알 수 있습니다.

plc-wave 님의 다른 글 보기

1/8
자유게시판 최신 글 전체 둘러보기
1/1
스템프 이벤트 완성했네요. (1)
금요일 밤이 지나가네요
쉐이크쉑, 한국 고유의 미식 경험 담았다 (4)
홍어삼합 (6)
로또열렸네요 (4)
금요일 오후네요 (6)
산책로 주변 안전휀스에 이런게 붙어 있어요! (8)
아니 올해 말 정점을 찍을듯한 램 가격... (7)
로또이벤트 오픈 909회차 다나와 로또 이벤트는 MSI (8)
이런 딸과 함께 사시는 아빠는 ...참 부럽.... (14)
졸업 과제로 청각장애인용 자막 안경을 만든 스탠퍼드 학생들 (13)
12만명이 투표한 비 오는날 땡기는 음식 (19)
현재 인도 상황 (14)
항상 책임지겠다던 홍명보 근황 (17)
조금 늦게 ~ (7)
국민청원에 이런 글이 올라왔습니다. 여러분들 생각은? (7)
스템프 이벤트 완성했네요 (15)
황새의 위대한 '가족 사랑' 3가지 (10)
머피의 법칙 적용당한 오전이네요. (9)
초코바게뜨, 새로운 맛 경험! (10)
이 시간 HOT 댓글!
1/4