2019.03.07

윈도우 서버에서 새로운 악성코드 발견 <체크포인트>

Mark Johnston | ARN
체크포인트 소프트웨어 기술 연구원들이 마이크로소프트 윈도우 서버를 겨냥한 새로운 악성코드를 발견했다고 블로그 게시글에서 밝혔다.



이 악성코드는 윈도우 서버만을 대상으로 하며 윈도우 PC나 노트북 컴퓨터는 대상으로 하지 않다. 이 악성코드는 해당 서버에 있는 데이터를 훔쳐 원격 FTP 서버에 데이터를 업로드하는 것을 목표로 한다.

새로운 악성코드를 발견한 기술 연구원은 아를 올슈테인, 모셰 헤이운, 아놀드 오시포브이다. 

"우리 연구에서 APAC의 윈도우 서버를 대상으로 한 공격을 발견했다. 그리고 매초 3~10개의 서로 다른 희생자의 윈도우 로그인 자격 증명, OS 버전, IP 주소(내부 및 외부) 같은 중요한 데이터를 업로드하는 데서 찾아낸 공격자 인프라를 공개했다"고 해당 블로그는 전했다. 

이 새로 발견된 악성코드는 체크포인트 연구원이 최근 발견한 WinRAR 취약점과 유사한 .RAR 압축 파일로 판명되었다.

이 압축 파일은 악성코드를 효과적으로 트리거하는 여러 배치 파일을 숨기고 서버에서 상용 또는 기관의 중요한 데이터를 호스팅할 것이라는 가정하에 컴퓨터의 ID가 마이크로소프트 윈도우 서버를 실행하는 서버인지 확인한다.

블로그 게시물은 “스퀴블리두(Squiblydoo), 다운로드 크래들(Download Cradle), WMI 이벤트 섭스크립션(WMI Event Subscription) 지속성 악용 같은 흥미로운 기술을 사용하여 악성 콘텐츠를 감염된 컴퓨터에서 실행하는 배치 파일을 관찰했다“고 밝혔다. 

"악성코드는 악의적인 행동을 AV 탐지를 피하기 위한 합법적인 윈도우 프로세스로 숨기고 있다. 현재, 바이러스토털(VirusTotal)은 많은 유명 제품 중 양성률이 매우 낮다"고 덧붙였다.

연구원은 악의적인 캠페인이 주로 아시아 국가를 대상으로 하며 윈도우 로컬 보안 기관 하위 시스템 서비스(Isass)에서 sekurlsa 모듈을 통해 자격 증명 정보를 보는 것을 용이하게 하는 오픈소스 유틸리티인 미미캐츠(Mimikatz)를 사용함을 발견했다.

미미캐츠 유틸리티는 공격자가 윈도우 서버에서 중요한 정보를 훔치고 이 데이터를 FTP 서버에 업로드하는 데 쓰인다. 

연구원들도 언급했듯이, 블로그를 작성하는 시점에서 FTP 서버는 여전히 열려 있고 데이터는 매초 지속해서 업로드되고 있다. ciokr@idg.co.kr



2019.03.07

윈도우 서버에서 새로운 악성코드 발견 <체크포인트>

Mark Johnston | ARN
체크포인트 소프트웨어 기술 연구원들이 마이크로소프트 윈도우 서버를 겨냥한 새로운 악성코드를 발견했다고 블로그 게시글에서 밝혔다.



이 악성코드는 윈도우 서버만을 대상으로 하며 윈도우 PC나 노트북 컴퓨터는 대상으로 하지 않다. 이 악성코드는 해당 서버에 있는 데이터를 훔쳐 원격 FTP 서버에 데이터를 업로드하는 것을 목표로 한다.

새로운 악성코드를 발견한 기술 연구원은 아를 올슈테인, 모셰 헤이운, 아놀드 오시포브이다. 

"우리 연구에서 APAC의 윈도우 서버를 대상으로 한 공격을 발견했다. 그리고 매초 3~10개의 서로 다른 희생자의 윈도우 로그인 자격 증명, OS 버전, IP 주소(내부 및 외부) 같은 중요한 데이터를 업로드하는 데서 찾아낸 공격자 인프라를 공개했다"고 해당 블로그는 전했다. 

이 새로 발견된 악성코드는 체크포인트 연구원이 최근 발견한 WinRAR 취약점과 유사한 .RAR 압축 파일로 판명되었다.

이 압축 파일은 악성코드를 효과적으로 트리거하는 여러 배치 파일을 숨기고 서버에서 상용 또는 기관의 중요한 데이터를 호스팅할 것이라는 가정하에 컴퓨터의 ID가 마이크로소프트 윈도우 서버를 실행하는 서버인지 확인한다.

블로그 게시물은 “스퀴블리두(Squiblydoo), 다운로드 크래들(Download Cradle), WMI 이벤트 섭스크립션(WMI Event Subscription) 지속성 악용 같은 흥미로운 기술을 사용하여 악성 콘텐츠를 감염된 컴퓨터에서 실행하는 배치 파일을 관찰했다“고 밝혔다. 

"악성코드는 악의적인 행동을 AV 탐지를 피하기 위한 합법적인 윈도우 프로세스로 숨기고 있다. 현재, 바이러스토털(VirusTotal)은 많은 유명 제품 중 양성률이 매우 낮다"고 덧붙였다.

연구원은 악의적인 캠페인이 주로 아시아 국가를 대상으로 하며 윈도우 로컬 보안 기관 하위 시스템 서비스(Isass)에서 sekurlsa 모듈을 통해 자격 증명 정보를 보는 것을 용이하게 하는 오픈소스 유틸리티인 미미캐츠(Mimikatz)를 사용함을 발견했다.

미미캐츠 유틸리티는 공격자가 윈도우 서버에서 중요한 정보를 훔치고 이 데이터를 FTP 서버에 업로드하는 데 쓰인다. 

연구원들도 언급했듯이, 블로그를 작성하는 시점에서 FTP 서버는 여전히 열려 있고 데이터는 매초 지속해서 업로드되고 있다. ciokr@idg.co.kr

X