m.boannews.com/html/detail.html?tab_type=1&idx=94673
[2.3 보안 이슈투데이] 에이전트 테슬라, 에어텔 인디아, 수도 맥OS
에이전트 테슬라(Agent Tesla)가 새로운 탐지 우회 기법과 통신 기술을 갖춰서 다시 나타났다. 업그레이드가 된 것으로, 보다 뛰어난 상품성을 갖추게 되었다. 인도의 거대 통신사에서 정보 유출 사
m.boannews.com
줄거리
원격 접근 트로이목마 중 하나인 에이전트 테슬라(Agent Tesla)가 새로운 탐지 우회 기법과 통신 기술을 갖춰서 다시 나타났다.
추가된 것
- 새로운 통신 기법이 탑재
- 엔드포인트 탐지 솔루션을 우회하는 기술 강화
에이전트 테슬라는 다크웹에서 '서비스형 멀웨어' 형태로 판매되고 있다.
알게 된 지식
에이전트 테슬라(Agent Tesla): 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드, 대부분 송장, 구매 주문서(P.O.–Purchase Order) 등으로 위장한 스팸 메일을 통해 유포되기 때문에 파일 이름도 동일하게 사용된다.
공격 방법
- 첫번째 단계 다운로드에서 가져오는 악성 페이로드 스캔을 건너뛰기 위해 AMSI의 코드 수정을 시도한다.
- 에이전트 테슬라의 로더 역할을 하는 Pastebin에서 난독화된 Base64 인코딩 코드를 얻는다.
- 지속성을 얻기 위해 자신을 폴더에 복사하고 해당 폴더의 속성을 숨김과 시스템으로 설정하여 Windows 탐색기에서 볼 수 없도록 하였다.
- 새로운 버전 중 하나는 HTTP 통신에 Tor 프락시를 활용하고, Telegram API를 활용하여 개인 채팅방을 통해 정보를 전달하는 것이다.
참고
www.wins21.co.kr/blog/blog-sub-02.html?t=31&d=50&num=2175
윈스
www.wins21.co.kr
'Security > 보안뉴스요약' 카테고리의 다른 글
| [210215] CVE-2021-2109 (289) | 2021.02.15 |
|---|---|
| [210210] 사용자의 눈을 피해 침투한다, 파일리스 공격 (279) | 2021.02.10 |
| [210201] 코로나와 함께 디도스 공격도 새로운 전성기 (298) | 2021.02.01 |
| [210131] 동적으로 피싱 사이트를 생성하는 툴 발견, LogoKit (297) | 2021.02.01 |
| [210128] OT 네트워크의 핵심 요소인 OPC 프로토콜에서 취약점 다수 나와 (283) | 2021.01.28 |