다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 DeepLoad Malware

DeepLoad Malware

멀웨어, 지능형 지속 위협(APT)년에 Mezo 년까지
번역 :

최근 발견된 공격 캠페인은 ClickFix 소셜 엔지니어링 기법을 이용하여 감염을 시작합니다. 피해자는 조작된 시스템 문제를 해결한다는 명목으로 Windows 실행 대화 상자에 악성 PowerShell 명령어를 붙여넣도록 유도됩니다. 이 초기 단계에서는 정상적인 Windows 유틸리티인 mshta.exe를 악용하여 난독화된 PowerShell 기반 로더를 검색하고 실행합니다.

회피를 위해 고안된 난독화

PowerShell 로더는 과도하고 무의미한 변수 할당을 통해 본래의 목적을 숨겨 정적 분석을 매우 어렵게 만듭니다. 인공지능 도구가 이러한 난독화 계층을 구축하는 데 사용되었을 가능성이 높으며, 이를 통해 악성코드의 정교함이 더욱 강화되었습니다. 이러한 접근 방식을 통해 악성코드는 기존의 탐지 메커니즘을 우회하면서도 작동상의 무결성을 유지할 수 있습니다.

시스템 위장을 통한 은밀한 침투

DeepLoad는 표준 Windows 운영 체제에 완벽하게 통합되도록 특별히 설계되었습니다. 악성코드는 Windows 잠금 화면을 관리하는 정상적인 프로세스인 LockAppHost.exe라는 실행 파일 내에 숨겨져 있습니다. 더욱 은밀하게 작동하도록 하기 위해, 이 악성코드는 PowerShell 명령 기록을 비활성화하고 표준 PowerShell 명령 대신 Windows 핵심 기능을 직접 호출합니다. 이러한 기법을 통해 PowerShell 활동을 추적하는 모니터링 시스템을 회피할 수 있습니다.

파일리스 기술 및 동적 페이로드 생성

탐지 가능성을 최소화하기 위해 DeepLoad는 디스크에 일관된 흔적을 남기지 않습니다. PowerShell의 Add-Type 기능을 사용하여 보조 구성 요소를 동적으로 생성하고, C# 코드를 컴파일하여 사용자의 임시 디렉터리에 저장되는 임시 DLL 파일로 만듭니다. 실행할 때마다 고유한 이름의 파일이 생성되므로 알려진 시그니처에 의존하는 파일 기반 탐지 방법을 효과적으로 우회할 수 있습니다.

은밀한 처형을 위한 고급 주사

핵심적인 회피 전략 중 하나는 비동기 프로시저 호출(APC) 주입을 이용하는 것입니다. 악성코드는 정상적인 Windows 프로세스를 일시 중단된 상태로 실행하고, 셸코드를 해당 프로세스의 메모리에 직접 주입한 후 실행을 재개합니다. 이 방법을 통해 악성 페이로드는 신뢰할 수 있는 프로세스 내에서 실행되면서도 디코딩된 버전이 디스크에 기록되지 않으므로, 포렌식 분석 시 흔적을 크게 줄일 수 있습니다.

지속적인 자격 증명 탈취 메커니즘

DeepLoad는 실행 즉시 민감한 사용자 데이터를 추출하도록 설계되었습니다. 주요 기능은 다음과 같습니다.

  • 감염된 시스템에서 저장된 브라우저 비밀번호를 직접 수집합니다.
  • 로그인 시도 중에 실시간으로 자격 증명을 캡처하고 수동으로 제거하지 않는 한 세션 간에 유지되는 악성 브라우저 확장 프로그램을 배포합니다.

탈착식 매체를 통한 측방 확산

이 악성 프로그램은 이동식 저장 장치를 악용하도록 설계된 전파 기법을 사용합니다. USB 드라이브 또는 유사한 저장 장치를 감지하면, 정상적인 설치 프로그램으로 위장한 악성 바로가기 파일을 복사합니다. 이러한 파일은 신뢰할 수 있는 것처럼 보이도록 이름이 지정되어 있어 사용자의 상호 작용 및 추가 감염 가능성을 높입니다.

WMI 남용으로 인한 무증상 재감염

DeepLoad는 Windows Management Instrumentation(WMI)을 사용하여 지속성을 확보합니다. 이 프로그램은 이벤트 구독을 생성하여 3일의 지연 후 재감염을 유발하며, 사용자 상호 작용이나 공격자의 개입이 필요하지 않습니다. 또한 이 기법은 예상되는 부모-자식 프로세스 관계를 파괴하여 기존의 탐지 모델을 무력화합니다.

전략적 목표: 킬 체인 전체 범위 확보

DeepLoad의 전체적인 설계는 사이버 킬 체인 전반에 걸쳐 작업을 수행할 수 있는 다기능 악성코드 프레임워크임을 보여줍니다. 운영 전략은 다음과 같은 사항에 중점을 둡니다.

  • 디스크 기반 아티팩트를 방지하여 탐지 가능성을 줄입니다.
  • 정상적인 Windows 프로세스 내에 악성 활동을 혼합
  • 시스템 전반에 걸쳐 빠르게 확산되어 영향력을 확대하고 있습니다.

확장 가능한 위협 프레임워크의 지표

DeepLoad의 인프라 및 모듈식 설계는 공유 또는 서비스 기반 배포 모델의 가능성을 시사합니다. 이러한 특징은 서비스형 악성코드(MaaS) 제공 방식과 일치하지만, 현재로서는 이를 확정적으로 분류할 만한 충분한 증거가 없습니다.

트렌드

HTTP 오류 401 잘못된 보안 토큰 이메일 사기

피싱, 스팸
갑작스럽게 즉각적인 조치를 요구하는 이메일은 사이버 범죄자들이 의심하지 않는 수신자를 속이기 위해 흔히 사용하는 수법입니다. 긴급한 기술적 문제나 계정 문제를 주장하는 메시지는 종종 사용자가 정보를 확인하지 않고 반응하도록 유도하여 공황 상태를 조성합니다. 따라서 낯설거나 불안감을 조성하는 이메일을 접할 때는 항상 경계해야 합니다. 'HTTP 오류 401 잘못된 보안 토큰' 이메일 사기도 이러한 위협 중 하나입니다. 이러한 메시지는 피싱 캠페인의 일부이며 어떠한 합법적인 회사, 조직 또는 단체와도 관련이 없습니다. 긴급성을 조성하기 위해 만들어진 가짜 기술 경고 'HTTP 오류 401 잘못된 보안 토큰' 이메일은 이메일 서비스 제공업체에서 보낸 정식 알림처럼 보이도록...

자이언트 쿠폰 공식 연장

잠재적으로 원하지 않는 프로그램, 애드웨어
언뜻 보면 Giant Coupons Official Extension은 사용자가 온라인 쇼핑을 하면서 쿠폰과 프로모션 정보를 쉽게 찾을 수 있도록 도와주는 편리한 브라우저 확장 프로그램처럼 보입니다. 특히 온라인 쇼핑을 자주 하는 사람들에게는 자동 할인 기능을 제공하는 도구가 매력적으로 느껴질 수 있습니다. 하지만 사이버 보안 분석 결과, 이 확장...

Chainbridgeworks.co.in

불량 웹사이트, 애드웨어, 브라우저 하이재커
개인 정보, 금융 정보 및 기기 보안을 보호하려면 인터넷을 이용할 때 항상 주의를 기울이는 것이 중요합니다. 악성 웹사이트는 방문자를 속여 권한을 획득하게 만든 후 악용하는 수법을 자주 사용합니다. 대표적인 수법으로 가짜 CAPTCHA 인증 화면을 보여주어 사용자가 브라우저에서 '허용' 버튼을 클릭하도록 유도하는 것입니다. 이렇게 하면 방문자는 자신도...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
35,769
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
29,771
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

에포르너닷컴

문제
24,159
인터넷은 유용한 콘텐츠, 엔터테인먼트, 정보로 가득한 광활한 공간이지만, 어두운 구석도 있습니다. TV 프로그램을 스트리밍하든, 앱을 다운로드하든, 성인 콘텐츠 플랫폼을 방문하든 항상 경계해야 합니다. 많은 사이트, 특히 공격적인 광고로 성행하는 사이트는 심각한 보안 위험을 초래할 수 있습니다. 이러한 우려를 불러일으킨 사이트 중 하나가 바로...
로드 중...