앞서 본 툴과 과정을 통해 내부망에 접근한 공격자는 C:\PerfLogs\masscan이라는 경로를 생성하고 Masscan 랜섬웨어를 실행하기 하기 위한 아래의 네개 파일을 생성한다. - app.config - EnCrypt.exe : 랜섬웨어 파일 - EnCrypt.exe.config : 암호화 관련 정보가 담긴 config 파일 - RunExe.exe : 랜섬웨어(EnCrypt.exe) 실행 및 삭제, 시스템 복원 방지 위의 과정을 통해 랜섬웨어의 동작이 이루어진다. 복호화 도구가 있긴 하지만 앞전 게시물에서도 언급했다시피 복호화를 위한 키 정보도 별도의 파일로 두어 관리를 하고 있어, 해당 키 파일이 없으면 복호화가 불가능하다. 지금까지 국내에서 발견된 Massacan 랜섬웨어는 Type-F, Ty..

(5) mimikatz - 시스템 관리자 계정 인증 정보를 획득해 권한 상승을 할 때 사용한 도구 - 윈도우 호스트 캐시에 저장된 NTLM 값을 통해 시스템 인증정보를 획득하거나 권한 상승 등을 할 수 있음 *NTLM (NT LAN MANAGER) : 윈도우에서 제공하고 있는 인증 프로토콜, 사용자 신원을 인증하고 활동의 무결성 및 기밀성을 보호하기 위해 MS에서 제공하는 보안 프로토콜이긴 하지만 사용 안 하는 것을 권장하고 있다. 클라이언트의 신원을 확인하기 위해 사용하는 방법으로, challenge-response 방법을 사용하기 때문에 네트워크를 통해 암호 등의 정보를 전송할 필요가 없다. (6) sqlck - MS-SQL 서버에 brute force attack을 가하여 시스템 DB의 계정 및 암..

1. xp_cmdshell (운영체제 명령어 실행용) 공격자는 외부에서 지속적으로 SQL 서버 관리자 계정에 로그인을 시도했다. SQL 에러 로그를 확인한 결과 xp_cmdshell 실행 이력을 확인할 수 있었다. SQL 원격 명령어 기능을 활성화한 정황이 확인되었다. xp_cmdshell은 운영체제 명령어를 실행할 수 있기 때문에 MS-SQL에서는 기본적으로 비활성화 처리를 하고 있는데, 이를 사용하기 위해서는 높은 수준이 권한이 필요하며, 그 권한을 획득하면 해당 기능 사용이 가능하다. 앞서 살펴본 공격 과정에서 공격자는 admin 계정을 취득했기 때문에 xp_cmdshell 명령어를 통한 서버 관리자 계정 획득이 가능했던 것으로 보인다. 2. AnyDesk (원격 접속용) 사실상 단순 소프트웨어 회..

2022년 하반기 DB 서버 대상 랜섬웨어 사고 중 약 64퍼센트 비중을 차지하는 랜섬웨어 공격이다. 다른 시스템에 비해 보안 관리가 덜한 DB 서버를 대상으로 침투하여 .massacan 확장자로 암호화시킨 공격이다. 기존 랜섬웨어와 다른 점이 있다면 암호화 관련 정보를 별도의 파일에 저장한다는 점이다. 기존의 랜섬웨어는 암호화 관련 정보를 랜섬웨어 파일 내부에 저장하고 있는 반면, massacan 랜섬웨어는 .config 파일 내에 저장하고 있다. 그래서 랜섬웨어 파일만을 분석해서는 복호화가 불가능하며, 확장자 정보, 암호화 관련 키, 랜섬노트 데이터 등을 저장하고 있는 별도의 파일이 있어야만 복호화가 가능하다. 공격자들이 사용하고 있는 복호화 도구가 발견됐지만, 복호화를 키 또한 별도로 보관하고 있어..

PyPI - Python Package Index. Python 패키지 저장소. 수많은 개발자들이 본인이 만든 파이썬 소프트웨어를 손쉽게 설치하고 활용할 수 있도록 패키지화 하여 저장소에 업로드를 함. - 흔히 우리가 사용하는 pip install 명령어가 바로 그것이다. 1. 8월부터 Python repository에 가짜 package를 전파하는 VMConnect라는 캠페인을 진행했음. (북한발) 2. 오픈소스 파이썬 도구를 모방한 악성 패키지를 유포한다. 이 때, 타이포스쿼티 기술을 사용해 신뢰성 있는 것처럼 피해자들을 기만함. * 타이포스쿼팅 : 쉽게 생각하면 올바른 text의 일부를 눈치채기 힘들게 수정하여 신뢰할만한 url인 것처럼 속여 공격자를 유인하는 공격 기법이다. ex) "co.kr"을..

3CX DesktopApp이란 Windows, macOS, Linux, Mobile에서 사용 가능한 VoIP 어플리케이션이다. 3월 말 한 보안업체에 의해 북한 해깅그룹이 3CX DesktopApp을 이용한 공격을 한 것이 밝혀졌다. 피해 대상은 Windows, macOS 사용자로 알려졌으며, 3CX Desktop 설치파일에 악성코드를 삽입하는 형식으로 공격이 시작되었다. Windows를 예시로 들어 공격 과정을 살펴보자. 1. .msi Installer가 설치된다. 이 때 3CXDesktopApp.exe 설치 파일과 동일한 경로에 ffmpeg.dll이라는 악성 파일이 설치된다. 이외에도 d3dcompiler_47.dll이라는 파일도 설치된다. 2. 3CXDesktopApp.exe 파일이 실행된다. 3...