메모장에 인젝션 수행...추가 악성코드 다운로드 및 파워쉘 이용해 악성 행위 수행
[보안뉴스 김영명 기자] 얼마 전 국내 개발 업체의 설치 파일에서 생성되는 슬리버 C2(Silver C2) 악성코드가 발견돼 사용자들의 주의가 요구된다.
▲설치프로그램 하위 악성 행위 다이어그램[자료=안랩 ASEC 분석팀]
슬리버(Sliver)는 BishopFox 사에서 제작 및 관리하고 있는 고랭(golang) 기반의 오픈소스 C2 프레임워크다. 이번에 발견된 악성코드는 설치 파일과 함께 유포되고 있어 사용자는 악성코드가 같이 실행된 것을 인지하기 어렵다. 특히 이 악성코드는 정상 프로그램에 인젝션돼 파일리스(Fileless)로 동작하는 특성이 있어, 시그니처 기반의 AV(Anti-Virus) 제품은 이러한 악성코드를 탐지하기 쉽지 않다.
▲인스톨러의 Sliver C2 연결 탐지[자료=안랩 ASEC 분석팀]
이번에 발견된 슬리버 C2 악성코드를 분석해보면, 공격자는 정상 프로그램인 메모장 프로그램에 인젝션을 수행해, 추가 악성코드 다운로드 및 정상 프로세스인 파워쉘 실행파일을 이용해 악성 행위를 한다.
ASEC 관계자는 “이러한 악성코드 제작자는 사용자가 인지하기 어렵게 정상 설치를 진행하면서 시그니처 탐지를 우회하기 위해 변종을 제작하거나, 정상 프로세스를 이용한 파일리스로 감염을 진행한다”며, “EDR을 활용하면 의심스러운 행위 자체를 탐지해 위협에 대한 흐름을 사용자에게 가시성 있게 제공해 악성코드로부터 안전하게 관리할 수 있다”고 말했다.
[김영명 기자(boan@boannews.com)]
[보안뉴스 김영명 기자] 얼마 전 국내 개발 업체의 설치 파일에서 생성되는 슬리버 C2(Silver C2) 악성코드가 발견돼 사용자들의 주의가 요구된다.
▲설치프로그램 하위 악성 행위 다이어그램[자료=안랩 ASEC 분석팀]
슬리버(Sliver)는 BishopFox 사에서 제작 및 관리하고 있는 고랭(golang) 기반의 오픈소스 C2 프레임워크다. 이번에 발견된 악성코드는 설치 파일과 함께 유포되고 있어 사용자는 악성코드가 같이 실행된 것을 인지하기 어렵다. 특히 이 악성코드는 정상 프로그램에 인젝션돼 파일리스(Fileless)로 동작하는 특성이 있어, 시그니처 기반의 AV(Anti-Virus) 제품은 이러한 악성코드를 탐지하기 쉽지 않다.
▲인스톨러의 Sliver C2 연결 탐지[자료=안랩 ASEC 분석팀]
이번에 발견된 슬리버 C2 악성코드를 분석해보면, 공격자는 정상 프로그램인 메모장 프로그램에 인젝션을 수행해, 추가 악성코드 다운로드 및 정상 프로세스인 파워쉘 실행파일을 이용해 악성 행위를 한다.
ASEC 관계자는 “이러한 악성코드 제작자는 사용자가 인지하기 어렵게 정상 설치를 진행하면서 시그니처 탐지를 우회하기 위해 변종을 제작하거나, 정상 프로세스를 이용한 파일리스로 감염을 진행한다”며, “EDR을 활용하면 의심스러운 행위 자체를 탐지해 위협에 대한 흐름을 사용자에게 가시성 있게 제공해 악성코드로부터 안전하게 관리할 수 있다”고 말했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
 TH.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
