비교하고 잘 사는, 다나와 : 가격비교 사이트

다나와 앱
다나와 앱 서비스 목록
다나와 APP
다나와 가격비교 No.1 가격비교사이트 다나와 앱으로
간편하게 최저가를 확인하세요.
- -
QR코드
빈 이미지
다나와 앱 서비스 목록 닫기

서명 툴로 실행되는 X로더 악성코드 주의

IP
2024.11.21. 08:25:50
조회 수
190
7
댓글 수
10

공유하기

레이어 닫기

지금 보는 페이지가 마음에 든다면
공유하기를 통해 지인에게 소개해 주세요.

로그인 유저에게는 공유 활동에 따라
다나와 포인트가 지급됩니다.

자세히 >

URL이 복사되었습니다.
원하는 곳에 붙여넣기(Ctrl+V)하세요.

레이어 닫기

* 출처는 안랩입니다.


안랩이 DLL 사이드 로딩(Side-Loading) 기법을 이용하는 X로더(XLoader) 악성코드유포 정황을 확인했다. DLL 사이드 로딩 공격 기법정상적인 응용 프로그램과 악성 DLL을 같은 폴더 경로에 저장하여 응용 프로그램이 실행될 때 악성 DLL이 함께 동작하도록 하는 기법이다


이번 사례에서는 X로더 실행 시 정상 응용 프로그램 jarsigner가 사용됐다. Jarsigner는 이클립스(Eclipse) 재단에서 배포하는 IDE 패키지를 설치할 때 생성되는 파일, JAR(Java Archive) 파일에 서명하는 도구이다이번 글에서는 Jarsigner를 통해 X로더가 실행되는 과정을 살펴본다.



안랩에 따르면, 유포된 파일은 압축 파일 형태로 유포되며, 내부에는 정상 EXE 파일과 악성 DLL 파일이 포함돼 있다. 이 중 악성 파일은 ‘jli.dl’과 ‘concrt140e.dll’ 두 개뿐이다.


[그림 1] 압축 파일에 포함된 파일


[그림 1]의 정상 파일은 대부분 이클립스 재단의 유효한 인증서를 포함하고 있으나, 두 악성 파일은 서명되어 있지 않다.


 

– jli.dll: 공격자에 의해 변조된 DLL 파일로, concrt140e.dll 복호화 및 인젝션 수행

– concrt140e.dll: 암호화된 페이로드 (X로더 악성코드)

– Documents2012.exe: 정상 파일(jarsigner.exe)의 파일명 변경


* 전체내용은 아래에서 확인하세요.

https://www.ahnlab.com/ko/contents/content-center/35726


공감/비공감

공감/비공감안내도움말 보기
유용하고 재미있는 정보인가요?
공감이 된다면 공감 버튼을, 그렇지 않다면 비공감 버튼을 눌러 주세요!
공감이나 비공감을 선택 하는 경우 다나와 포인트를 적립해 드립니다. ※ 공감 버튼의 총 선택 횟수는 전체 공개입니다. 비공감 버튼의 선택 여부는 선택한 본인만 알 수 있습니다.

plc-wave 님의 다른 글 보기

1/8
자유게시판 최신 글 전체 둘러보기
1/1
곧 연휴입니다.
청설모도 바쁜 날 (1)
이제 좀 여유롭습니다. (4)
오늘은 쌀쌀하게 바람이 있었네요. (3)
하드디스크 C5 보유섹터 수 리셋 방법 (3)
sk 하이닉스.. 보너스가 정말 하이~ (6)
1/22(수) 12,804보를 걸었습니다. (3)
스즈키 이치로,아시아 최초 MLB 명에의 전당 입성 (6)
명절만 기다려 지네요 ㅎㅎ (5)
갤럭시 언팩 내일 시작이네요 !! 혜택 주는 곳들 정리 (6)
설 맞아 동생들 한테 선물을 보냈습니다 (7)
역시 경찰... 전화 했더니 하는 말이. (5)
철길이나 도로에서는 항상 조심 (4)
자석이 약해서 스마트폰 케이스를 예전 것으로 질렀네요 (11)
영국에서 이사짐 박스를 주문하면 (8)
점심 막간을 이용해서.. (7)
미세먼지 어제보다는 나아졌네요 (8)
100% 당첨되는 공유 이벤트 당첨자를 발표 났네요 (15)
설날이 이제 일주일 앞으로 다가왔네요 (10)
딸기 가이드 (14)
이 시간 HOT 댓글!
1/4