Comodo Free Antivirus 다운로드 설치
페이지 정보
작성자 Adela 댓글 0건 조회 2회 작성일 25-04-05 21:19본문
Comodo Antivirus 다운 최근 광고 페이지를 통해 프록시웨어가 설치되는 것이 확인되었다. 이 프록시웨어는 과거 프록시재킹(Proxyjacking) 공격 캠페인에서 악용된 디지털 펄스(Digitalpulse) 프록시웨어와 동일한 것으로 확인되었다. 이를 통해 ‘토클리커(AutoClicker)’는 위장 프로그램이 설치될 수 있으며, 최종적으로 설치되는 프록시웨어는 사용자의 네트워크 대역폭을 탈취한다. 프록시재킹 공격이란 사용자의 동의 Comodo Antivirus 다운 없이 프록시웨어를 설치해 감염 대상 시스템의 인터넷 대역폭 일부를 외부에 공유하는 방식으로 공격자들이 수익을 얻는 공격 방식이다. 주로 악용되는 프록시웨어로는 IPRoyal, Peer2Profit, Traffmonetizer, Proxyrack 등이 있다. 현재 공격 사례에서 악성코드는 프리웨어인 특정 유튜브 다운로더 프로그램의 홈페이지를 거쳐 설치되었다. 악성코드 유포에 Comodo Antivirus 다운 사용된 프리웨어 웹 페이지 (출처: 안랩)위와 같은 광고 페이지에서 유포된 파일을 사용자가 별도 검증 없이 실행할 경우 최종적으로 사용자의 인지 없이 프록시웨어가 시스템에 설치된다.악성코드 설치 흐름도 (출처: 안랩)최초로 유포된 파일은 A모양의 아이콘으로 위장하며, 설치 시 자동 클릭 기능을 제공하는 GUI Comodo Antivirus 다운 프로그램으로 위장한 오토클리커를 설치한다. 하지만 실제로 이것은 프록시웨어를 다운로드한다. 또한 오토클리커는 분석을 방해하기 위해서 사용하는 문자열들을 암호화해 가지고 있으며, 함수 이름도 정상적인 목적으로 위장한다.분석 방해 기법대상로드된 DLL 검사sbieDll.dll(Sandboxie), cmdvrt32.dll / cmdvrt64.dll (Comodo Antivirus), SxIn.dll (360 Total Security), cuckoomon.dll (Cuckoo Sandbox)Sleep Comodo Antivirus 다운 우회 여부 검사 Wine 검사kernel32.dll의 wine_get_unix_file_name() 함수 지원 여부Firmware 검사“Select * from Win32_ComputerSystem” / Manufacturer &Model / “microsoft corporation” &“VIRTUAL” (Hyper-V)“Select * from Win32_ComputerSystem” / Manufacturer / “vmware” (VMware)File 검사“balloon.sys”, “netkvm.sys”, “vioinput”, “viofs.sys”, “vioser.sys” (KVM)“VBoxMouse.sys”, “VBoxGuest.sys”, “VBoxSF.sys”, “VBoxVideo.sys”, “vmmouse.sys”, “vboxogl.dll” Comodo Antivirus 다운 (VirtualBox)Service 검사“vboxservice”, “VGAuthService”, “vmusrvc”, “qemu-ga”Port 지원 여부 검사“SELECT * FROM Win32_PortConnector”Named Pipe 검사“\\\\.\\pipe\\cuckoo”, “\\\\.\\HGFS”, “\\\\.\\vmci”, “\\\\.\\VBoxMiniRdrDN”, “\\\\.\\VBoxGuest”, “\\\\.\\pipe\\VBoxMiniRdDN”, “\\\\.\\VBoxTrayIPC”, “\\\\.\\pipe\\VBoxTrayIPC”Process 이름 검사“Procmon64”, “procexp64”, “x64dbg”, “x64dbg-unsigned”, “x32dbg”, “x32dbg-unsigned”웹 브라우저 히스토리 파일 검사Chromium 기반(0.5MB 이상), Mozilla Firefox(5.5MB 이상)[표 1] 분석 방해 기법이후에는 Comodo Antivirus 다운 “%TEMP%\t.ps1” 경로에 파워쉘 스크립트를 생성하고 실행하는데, 노드JS를 설치하고 악성 자바스크립트를 다운로드한 후 작업 스케줄러에 등록한다. 노드 JS를 통해 자바스크립트를 실행하여 C&C 서버에 접속해 시스템의 기본적인 정보들을 전송한 후응답에 따라 추가 명령을 실행한다.이러한 공격을 방어하기 위해서 사용자는 공식 홈페이지가 아닌 광고 Comodo Antivirus 다운 및 팝업과 같은 의심스러운 웹 사이트나 자료 공유 사이트에서 실행 파일을 설치하지 않아야 한다. 출처:광고 페이지 악용한 프록시재킹 공격 주의AhnLab의 콘텐츠 센터는 보안 트렌드, 위협 분석 정보, 위협 대응 방안 등 다양한 콘텐츠를 제공합니다.
