EDR을 활용한 프로세스 할로잉(Hollowing) 악성코드 추적 - ASEC BLOG
AhnLab Security Emergency response Center(ASEC)이 최신 닷넷 패커의 종류 및 국내 유포 동향 보고서를 공개하였으며, 닷넷 패커는 Remcos, FormBook, ScrubCypt, AsyncRAT 등 여러 악성코드를 유포하는데 사용되고 있습니다. 닷넷 패커가 사용된 악성코드는 프로세스 할로잉을 수행하는 행위 기록이 남아있어, 안랩 EDR 제품에서는 이로 침해를 인지하고, 추적하여 C2를 확보하는 등 추가적인 피해를 발생하지 않도록 하는 데 도움이 됩니다.
AhnLab Security Emergency response Center(ASEC)가 닷넷 패커의 종류 및 국내 유포 동향 보고서를 공개하였습니다. 닷넷 패커는 Remcos, FormBook, ScrubCypt, AsyncRAT 등 여러 악성코드를 유포하는데 사용되고 있으며, 안랩 EDR 제품에서는 프로세스 할로잉을 수행하는 행위 기록을 통해 침해를 인지하고, 추적하여 C2를 확보하는 등 추가적인 피해를 방지하는 데 도움이 됩니다.
Hollowing Malware Tracking using EDR -ASEC Blog
Ahnlab Security Emergency Response Center (ASEC) has released the type of latest .Net packer and domestic distribution trend reports, and .NET packers are used to disseminate various malware such as REMCOS, Formbook, Scrubcypt, and Asyncrat.The malicious code used by the .NET packer remains a record of carrying out the process halo, which helps prevent further damage, such as recognizing this infringement and tracking the C2 in the AhnLab EDR product.
Ahnlab Security Emergency Response Center (ASEC) has released a type of .NET packer and domestic distribution trend report.The.NET packer is used to disseminate various malicious code such as REMCOS, Formbook, Scrubcypt, and Asyncrat.In the AhnLab EDR product, the infringement of the process halo is recognized and tracked to prevent additional damage, such as tracking and securing C2.It helps to do it.