비교하고 잘 사는, 다나와 : 가격비교 사이트

다나와 앱
다나와 앱 서비스 목록
다나와 APP
다나와 가격비교 No.1 가격비교사이트 다나와 앱으로
간편하게 최저가를 확인하세요.
- -
QR코드
빈 이미지
다나와 앱 서비스 목록 닫기

MS 윈도우 압축 헤더(CAB)를 악용한 배치 파일(*.cmd) 악성코드 ModiLoader(DBatLoader) 유포 주의

IP
2025.01.26. 05:58:38
조회 수
83
3
댓글 수
8

공유하기

레이어 닫기

지금 보는 페이지가 마음에 든다면
공유하기를 통해 지인에게 소개해 주세요.

로그인 유저에게는 공유 활동에 따라
다나와 포인트가 지급됩니다.

자세히 >

URL이 복사되었습니다.
원하는 곳에 붙여넣기(Ctrl+V)하세요.

레이어 닫기

* 출처는 안랩입니다.


MS 윈도우 압축 헤더(CAB)를 악용한 배치 파일(*.cmd) 악성코드 ModiLoader(DBatLoader) 유포 주의

MS 윈도우 압축 헤더(CAB)를 악용한 배치 파일(*.cmd) 악성코드 ModiLoader(DBatLoader) 유포 주의

2024년 12월, AhnLab Security intelligence Center(ASEC)은 자사 메일 허니팟을 통해 MS 윈도우 압축 헤더(CAB)를 악용한 배치 파일(*.cmd)형 악성 코드가 유포됨을 확인하였다.

 

해당 악성코드는 ModiLoader(DBatLoader)라 불리며, 발주서(PO)로 유포되고 있었다. 

과거와 다른 점은 *.cmd(배치 파일) 확장자를 사용하지만 실제로는 CAB 압축 헤더 포맷을 악용해 악성코드를 생성 후 실행하는 Loader 형 악성코드라는 것이다.

바이너리 구조 : CAB 헤더(‘MSCF’) + Command lIne + PE(exe)
확장자 : *.cmd

 

해외에서는 ‘Threat Actor Turns a CAB File Into the Loader to Deploy ModiLoader‘라는 제목으로 소개된 바 있다.

[그림 1] ModiLoader(DBatLoader)가 유포된 메일

 

해당 공격자는 메일 보안 제품을 우회하기 위해 첨부 파일의 헤더를 변경하였다. 확인된 압축 파일은 매직 헤더가 ‘MSCF’인 압축 파일(CAB)이지만, 그 앞에 ‘PNG'(이미지 파일 헤더)를 추가하여 파일 필터링을 우회하거나 압축 내 파일을 자동으로 검사하는 기능 등을 우회하기 위한 것으로 추정된다.

[그림 2] 메일에 첨부된 압축 파일의 헤더

 

* 전체내용은 아래에서 확인하세요.

https://asec.ahnlab.com/ko/85732/

공감/비공감

공감/비공감안내도움말 보기
유용하고 재미있는 정보인가요?
공감이 된다면 공감 버튼을, 그렇지 않다면 비공감 버튼을 눌러 주세요!
공감이나 비공감을 선택 하는 경우 다나와 포인트를 적립해 드립니다. ※ 공감 버튼의 총 선택 횟수는 전체 공개입니다. 비공감 버튼의 선택 여부는 선택한 본인만 알 수 있습니다.

plc-wave 님의 다른 글 보기

1/8
자유게시판 최신 글 전체 둘러보기
1/1
모니터는 srgb 높은 제품이나 메이커 제품이 좋은듯해요..
소고기의 기름이 안 좋다는게 사실일까?
제일 쉬운 국수 레시피
일요일부터 시작한 구형 노트북 재정비 오늘은 삼성 노트북9 메탈을 손 봤습니다. (1)
신한 체크카드 새로 하나 발급 해야 겠군요. (5)
2025 ASUS 젠북 A14 UX3407QA-SB284W 사용 후기 (4)
우울증 약이 필요 없씀. (5)
오늘 바람 장난아니네요 ㅎㄷㄷㄷㄷㄷㄷㄷ (8)
2/18(화) 12,248보를 걸었습니다. (7)
바람이 불어서 쌀쌀하지만 아아 한잔으로 보내는 화요일이네요. (13)
모니터암 좋은가요/ (4)
엄마표 갈비의 변신. (7)
바람 엄청 부네요 (14)
오늘 날씨 좋네요 (7)
견적 봐주실 수 있나요 (c4d,옥테인,에펙) (3)
전국 벚꽃 개화 시기 (6)
어제 출석 안했네요 (10)
미세 플라스틱 (11)
컴퓨터 고쳐야 하는.. (4)
비빔 국수 좋아하세요? (9)
이 시간 HOT 댓글!
1/4