xenen 님의 블로그

개요 최근 안랩에서 악성 *MSC 파일과 관련된 분석 보고서를 공개하였습니다. 안랩은 악성 MSC 파일이 두 가지 유형으로 나뉜다고 분석하였습니다.더보기MSC(Microsoft Management Console Snap-in Control File)- MSC는 Windows의 기본 프로그램인 MMC(Microsoft Management Console)를 통해 실행되며, 주로 시스템 관리 작업에 사용됩니다. 해당 파일은 XML 형식으로 구성되어 있습니다. 1. apds.dll 취약점(CVE-2024-43572) 악용이 유형은 apds.dll 내 특정 리소스(redirect.html)를 이용하여 악성 행위를 수행하는 방식입니다.MSC에서 이 취약점을 트리거하려면 반드시 다음과 같은 구문이 포함되어야 합니다...

삼성SDS는 지난해 국내외에서 발생한 사이버 보안 이슈를 분석해 2025년 주의해야 할 5대 사이버 보안 위협을 발표했다.5대 위협은 아래와 같고 결론은 "제로트러스트와 AI 기반 보안 솔루션을 도입하여 보안 위협에 대응해야 한다"라고 보여진다. 1. AI 보안 위협 (AI 악용 피싱)2. 클라우드 보안 위협 (장기 방치 자격 증명)3. 랜섬웨어 (이중갈취전략으로 진화)4. 공급망 보안 위협 (오픈소스 악성코드 유입)5. OT/IoT 보안 위협 (초연결사회의 독)  ■ AI 악용 피싱에 대비해야… ‘AI 보안 위협’2025년에는 생성형 AI를 본격적으로 활용하는 기업이 늘고 있어 기업 내 보안 위협도 증가하고 있다. 특히, AI를 악용한 피싱 공격이나 악성코드 피해에 보다 정확하고 신속하게 대응하기 위해..

1. 개요게임 핵이 실행되면 %temp% 디렉터리에 dll 파일이 생성되고 rundll32에 의해 실행됩니다. 생성된 파일의 분석 의뢰를 받았습니다. 1.1. 분석 환경운영 체제Windows 10 64bit분석 도구x64dbg,IDA Pro,Process Explorer 1.2. 파일 정보구분내용파일 명Top_dump_2.dll파일 크기148,480 바이트해쉬(MD5)EBDE50177EED2CE16ABCA1C861AF9951진단명Remote Access Trojans, RAT악성 동작l  C2 서버 연결l  드라이브 정보 수집l  화면 정보 수집l  캠 정보 수집l  오디오 정보 수집l  프로세스 정보 수집l  명령어 수행 및 결과 값 정보 수집l  시스템 종료 권한 설정l  파일 드랍l  이벤트 로그 ..

최근, 북한의 해킹 그룹인 김수키(Kimsuky)가 새로운 공격 방법을 사용한 사실이 알려졌습니다. Microsoft Threat Intelligence에 따르면, 김수키(Kimsuky)가 사용자로부터, Powershell 악성 스크립트를 직접 복사/붙여넣기하여 실행하도록 유도한다고 밝혔습니다. 이같은 공격 방법을 수행하기 위해 공격자는 한국의 정부기관 공무원으로 위장했으며, 공격 대상과 신뢰를 쌓은 후, 아래 그림처럼 악성 Powershell 스크립트 복사 및 실행을 유도하는 PDF 파일을 전송했다고 언급했습니다. 공격 대상이 악성 Powershell 스크립트를 실행하면, 공격자의 서버 PIN이 하드코딩된 인증서와 웹 브라우저 기반의 원격 데스크톱 도구가 다운로드 및 설치됩니다. 이 과정을 통해 공격자..

1. 개요Cython으로 작성된 악성코드를 운 좋게 수집했습니다. 분석해보겠습니다~! 1.1. Cython이란?CPython 확장 모듈을 손쉽게 생성하도록 고안된 컴파일 언어입니다. 파이썬 문법을 기반으로 C/C++ 루틴 호출을 위한 외부 함수 인터페이스와 실행 속도 향상을 위한 정적형 지정 등이 추가된 형태를 하고 있습니다.출처 : 위키백과 - Cython 2. 악성코드 정보MD52672083D2050BD3AF383DECC32A7666BFileName3444.exeC2154.38.109.230 (Hong Kong) 3. 악성코드 흐름도먼저 악성코드의 흐름은 아래 그림과 같습니다.먼저, Cython을 로드해 정보 수집 등의 악성행위를 수행하고, 수집한 데이터를 암호화해 공격자의 C2서버로 전송합니다.  ..

최근, macOS에서 DeepSeek 설치 파일로 위장한 악성코드가 발견됐다. 파일 정보는 아래와 같으며, 다수의 보안 업체들이 AmosRAT으로 진단하고 있다. 파일명DeepSeek.dmgMD5e63f8b44bc2e8cc8d7a711798aaacf90C265.20.101[.]215/p2p진단명AmosRATVirus Total27 / 60 Link 해당 악성코드는 DMG 파일로 유포되고 있으며, 실행 시 아래 그림과 같이 사용자로부터 설치를 유도한다.  설치된 AmosRAT은 사용자 정보를 수집해 out.zip 파일로 압축 후, curl을 통해 공격자의 C2 서버로 전송한다. DeepSeek가 세계적으로 이슈가 되며, 이를 악용한 악성코드가 점차 발견되고 있다. 보안 담당자들은 해당 악성코드의 IoC를 ..

최근, 미국의 보안 업체 NowSecure 가 DeepSeek iOS 앱에서 여러 보안 및 개인정보 보호 문제가 발견됐다고 밝혔다.  DeepSeek iOS 앱은 2025년 1월 25일 이후 가장 인기 있는 iOS 앱 으로, 개인과 공무원 및 여러 기업의 직원을 가리지 않고 수백만의 사람들이 이 앱을 설치했다.  하지만 보안 문제가 대두되며, 미국을 시작으로 많은 나라에서 DeepSeek를 차단하고 있다.우리나라에서는 행정안전부와 국가정보원이 지난 3일 모든 중앙부처와 광역 지방자치단체에 딥시크, 오픈AI 등 생성형 인공지능(AI)을 사용할 때 민감한 정보는 입력하지 말라는 내용을 담은 보안 가이드라인을 발송했다. 이에 기업들도 DeepSeek 차단에  동참하고 있으며, 현대로템과 STX엔진 등 내부 정..

Test