침해당한 시스템의 코인마이너 유포 과정(EDR 탐지) - ASEC BLOG 관련 IOC 8개 발견
인젝션된 msbuild.exe 메모리는 그림 5과 같다. 이는 악성코드가 인젝션된 것을 나타낸다.
[End of text]
AhnLab Security Emergency Response Center(ASEC)는 침해된 시스템에서 공격자가 시스템 리소스를 이용해 가상화폐를 채굴하기 위해 코인마이너를 설치하는 과정을 탐지하였다. 이를 위해 안랩의 EDR 제품을 사용하여 명령어를 실행하고, 파워쉘 스크립트를 받아 실행하고, 복호화된 데이터를 이용해 정상 프로세스에 인젝션하는 악성코드를 탐지하였다.
Ahnlab
Coin minor dissemination process of infringed system (EDR detection) -Asec blog
The injured msbuild.exe memory is shown in Figure 5.This indicates that the malware is injured.
[End of text]
Ahnlab Security Emergency Response Center (ASEC) detected the process of installing coin minors to minen the cryptocurrency using system resources in the infringed system.To this end, the command was executed using AhnLab’s EDR product, the power shell script was executed and executed, and the malicious code was detected to the normal process using the decrypted data.
https://asec.ahnlab.com/ko/57145/