위협 헌팅 콘텐츠: 가짜 Windows 오류 로그의 악성 페이로드

Posted on by Eugene Tkachenko

지난주 보안 연구원들이 발견한 호기심을 끄는 방법으로, 악성 페이로드를 평문으로 숨기는 초목과 같은 방법이 사용되고 있습니다. 공격자들은 ASCII 문자를 16진수 값으로 가장해 저장하고, 이것을 스크립트 기반 공격을 위한 준비로 설계된 악성 페이로드로 디코딩하여 모의 로그를 사용합니다. 발견된 시나리오에서, 사이버 범죄자들은 시스템을 손상시키고 지속성을 확보한 후 새로운 방법을 적용했습니다. 그런 다음 그들은 .chk 확장자의 파일을 사용하여 […]

탐지 콘텐츠: MS 오피스를 통해 로드된 DLL 발견

Posted on by Eugene Tkachenko

피싱 공격이 악성 소프트웨어로 대상을 감염시키는 가장 효과적인 방법 중 하나라는 것은 비밀이 아닙니다. 일반적으로, 적들은 사용자가 악성 문서를 열고 매크로를 활성화하거나 MS 오피스의 취약점을 활용하여 악성 소프트웨어를 배포하도록 설득하려고 합니다. 우리는 정기적으로 피싱 캠페인이나 그들이 배포하는 악성 소프트웨어를 탐지하기 위한 규칙을 게시합니다 (1, 2, 3) 오늘은 속은 사용자가 ‘편집 활성화’ 버튼을 클릭하는 순간 공격을 […]

규칙 요약: RATs, 인포스틸러, 및 Emotet 멀웨어

Posted on by Eugene Tkachenko

오늘은 토요일로, 다음 규칙 요약 시간이 다가왔다는 의미입니다. 이번 주에 발표된 악성코드 탐지를 위한 흥미로운 콘텐츠에 대해 알려 드리겠습니다. 그리고 참가자들이 위협 기여 프로그램 에 게재한 규칙에도 특별히 주목합니다. 첫 번째로, 아리엘 밀라웰이 발표한 규칙부터 시작합니다. 이 규칙은 보안 솔루션이 STRRAT 트로이목마를 감지하도록 돕습니다: https://tdm.socprime.com/tdm/info/TO2qaXt0OvI5/m3zowXIBPeJ4_8xcBtsy/?p=1 STRRAT는 Java 기반 원격 관리 트로이목마로, 브라우저와 이메일 클라이언트에 저장된 […]

이번 주의 규칙: Qbot 트로이 목마 탐지

Posted on by Eugene Tkachenko

다시 말하지만, 주간 규칙 섹션에서 QBot 멀웨어를 탐지하기 위한 콘텐츠를 강조하고자 합니다. 약 한 달 전, 간단하지만 효과적인 규칙이 Emir Erdogan 에 의해 이미 이 섹션에 게시되었습니다. 그러나 12년 된 트로이 목마는 계속해서 진화하고 있으며, 며칠 전 이에 기반하여 Emir가 QBot 행동 변화를 추적하는 새로운 위협 헌팅 규칙을 생성했습니다: https://tdm.socprime.com/tdm/info/8DYw876BPWAL/NFgIx3IBQAH5UgbBHY87/?p=1   멀웨어의 진화가 그 기본 […]

위협 사냥 콘텐츠: Avaddon 랜섬웨어 탐지

Posted on by Alla Yurchenko

랜섬웨어 신진 세력인 Avaddon 랜섬웨어는 이달 초부터 스팸 캠페인으로 활발히 확산되고 있으며, 이 뒤에 있는 공격자들은 지하 포럼에서 제휴사를 계속 모집하고 있습니다. 탐지된 캠페인 중 하나에서 사이버 범죄자들은, Phorphiex/Trik Botnet을 사용하여 30만 건이 넘는 악성 이메일을 발송했습니다. 현재 Avaddon은 조직보다는 개별 사용자를 더 겨냥하고 있으며, 이 악성 코드의 발전이 어떻게 될지는 시간이 지나봐야 알 수 […]

탐지 콘텐츠: Grandoreiro 뱅킹 트로이 목마

Posted on by Eugene Tkachenko

라틴 아메리카 은행 트로이 목마는 악성코드 작성에서 별도의 경향을 만들려고 하고 있습니다. 공격자들은 정기적으로 새로운 트로이 목마 or 익스플로잇 키트 를 브라질, 멕시코, 페루의 은행 사용자들을 공격하기 위해 만들어, 각 새로운 악성 캠페인으로 타겟 리스트를 이웃 국가로 확장한 뒤, 전 세계 캠페인으로 확장하고 있습니다. 최근에 발표된 규칙 요약에서 우리는 규칙 을 이러한 이름 없는 트로이 […]

위협 사냥 콘텐츠: Zoom 초대를 이용한 피싱 캠페인

Posted on by Eugene Tkachenko

Zoom 관련 유인은 여전히 사이버 범죄자들에 의해 활발히 사용되고 있으며, 피싱 캠페인에서 가장 많이 사용된 주제 상위 10위 안에 자리를 잡고 있습니다. 락다운 초기부터 Zoom의 인기가 높아짐에 따라 공격의 수가 증가했으며, 연구자들이 서비스의 심각한 보안 문제를 발견한 후에도 많은 조직들이 사용을 거부하지 않았습니다.  이 문제에 대해 우리는 이전에 Zoom 서비스 강화에 대한 실용 가이드를 출판하였으며, […]

탐지 콘텐츠: 로키봇 트로이 목마 찾기

Posted on by Eugene Tkachenko

Lokibot은 광범위한 민감한 데이터를 수집하기 위해 설계된 트로이 멀웨어입니다. 2015년에 처음 발견되었으며, 사이버 범죄자들 사이에서 매우 인기가 있습니다. 이는 누구라도 지하 포럼에서 구매할 수 있습니다. 몇 년 전 ‘기술자’들은 자발적으로 트로이 목마에 C&C 인프라 주소를 추가하는 방법을 배우고 ‘크랙된’ 버전을 판매하기 시작하였고, 이는 이 정보 탈취기를 사용한 공격의 급증을 초래했습니다. 한편, 불법 복제 버전은 지속성을 […]

규칙 요약: APT 그룹, 악성코드 캠페인 및 윈도우 텔레메트리

Posted on by Eugene Tkachenko

이번 주 우리 규칙 요약 은 보통보다 더 많은 내용을 다룹니다. 이는 국가 지원 행위자의 최근 공격, 사이버 범죄자들의 악성코드 캠페인, 그리고 Windows 원격 분석을 악용한 사례를 탐지하기 위한 규칙을 컴파일합니다.   Mustang Panda는 중국 기반의 위협 그룹으로, 새로운 도구와 전술을 신속하게 자신들의 작전에 통합할 수 있는 능력을 입증했습니다. 이 APT 그룹은 일반적으로 비정부 기구를 […]

이번 주의 규칙: 부니투 트로이 목마

Posted on by Eugene Tkachenko

오늘의 Rule of the Week 섹션에서는 Bunitu Proxy Trojan 샘플을 감지하는 데 도움을 주는 Ariel Millahuel의 새로운 위협 사냥 규칙을 강조하고자 합니다: https://tdm.socprime.com/tdm/info/3evdCZVz3mCX/_WrlonIBPeJ4_8xctGPi/?p=1 Bunitu Trojan은 감염된 시스템을 원격 클라이언트의 프록시로 변환하는 데 사용됩니다. 이 악성 행동은 네트워크 트래픽을 느리게 할 수 있으며, 공격자는 종종 이를 도구로 사용하여 감염된 기계의 IP 주소를 우회시키고 악의적인 목적으로 오용합니다. […]