악성코드 정보1153 코드 상의 특징을 통해 살펴본 2가지 공격그룹 (한글문서 취약점) 안랩 ASEC 분석팀은 한글 EPS 취약점(CVE-2017-8291)을 이용하는 악성코드에서 쉘코드(ShellCode)를 실행하기 위한 전 단계에서 제작자 실수로 추정되는 코드상의 오류가 확인되었다. 전체 악성코드 동작에는 영향이 없지만, 이러한 코드상의 실수가 2018년부터 최근 한글 문서 악성코드에서도 지속적으로 발견되고 있다. 또한, 이러한 코드상의 실수가 없는 형태도 함께 발견되고 있는 점을 볼 때, 코드상의 특징을 바탕으로 제작자를 2개의 그룹으로 분류할 수 있다. 한글 EPS 취약점 파일들은 악의적인 쉘코드를 실행하기 전 공통적으로 해당 메모리 영역의 속성을 변경하기 위해 VirutalProtect 라는 API를 사용한다. 코드상의 오류라고 판단하는 부분은 VirutalProtect API 호.. 2019. 11. 18. 입사지원서로 위장해 유포중인 NEMTY 2.0 랜섬웨어 (지원서.hwp.exe) 2019년 11월 12일 안랩 ASEC분석팀은 NEMTY REVENGE 2.0 랜섬웨어가 이력서로 위장하여 국내 기업을 대상으로 유포된 것을 확인하였다. 해당 랜섬웨어의 1.x 버전의 경우 Tesorion 라는 업체에서 복호화 툴을 제작하여 공개한 이력이 있다. (https://www.tesorion.nl/nemty-update-decryptors-for-nemty-1-5-and-1-6/) 하지만, 현재 사회공학 기법을 통해 국내에 활발하게 유포중인 버전은 2.0으로 이 버전은 아직까지 복구툴이 제공되지 않고있어 사용자 주의가 요구된다. 해당 랜섬웨어 유포자는 아래의 그림과 같이 이력서를 가장해 이메일의 첨부파일 형태로 감염을 시도한다. 첨부된 압축파일("최혜은.7z") 내부에는 한글문서파일(.hwp)로.. 2019. 11. 12. .bigbosshorse 랜섬웨어 국내발견 (2019.11.10) 안랩 ASEC 분석팀은 랜섬웨어 행위에 대한 모니터링 중 확장자를 .bigbosshorse로 변경하는 랜섬웨어의 국내 감염을 확인하였다. 이 악성코드는 10월 29일에 제작되었으며, 국내에는 11월 10일 첫 피해가 확인되었다. 현재까지 확인된 형태는 두 가지이며, 파일의 등록정보를 보면 아래와 같이 정상 파일로 위장하였다. avgdiagex.exe (특정 백신 파일로 위장, Language: 1029 (체코어), 해외수집 (좌) dllhost.exe (윈도우 시스템 파일로 위장, Language: 1033 (영어), 국내 발견 (우) 두 파일의 제작 시간은 국내 발견 파일이 10월 29일이며, 해외 수집 파일의 경우 11월 2일로 모두 최근에 제작/유포되는 것으로 추정된다. 해당 랜섬웨어는 감염 전에 .. 2019. 11. 12. 문서 암호가 있는 HWP 한글 파일을 이용한 타겟 공격 증가 문서 암호가 있는 HWP 한글 파일을 이용한 공격이 증가하고 있다. 한글 파일을 이용한 공격은 대부분 특정 인물이나 기관을 대상으로 하는 타겟형 공격이다. 파일을 수신한 대상만 정상적으로 문서를 열 수 있게 메일로 암호를 전달하여, 암호 입력 시 악성 기능이 실행되도록 한다. 문서 암호가 있는 HWP 한글 파일은 이전부터 이미 확인되었지만, 2019년에 들어서는 그 빈도가 늘었다. 2019년 11월 - 정○○ 이력서 2019년 11월 - [WhitePaper+소개]신규코인 상장 신청서 2019년 8월 - 19-08-22_평화경제_설명자료_및_주요_쟁점(통일부) 2019년 6월 - 자문용 질문 2019년 5월 - 이벤트 당첨자 개인정보 수집 및 이용 동의 안내서 2019년 4월 - 3.17 미국의 편타곤 .. 2019. 11. 11. 개인정보까지 유출하는 STOP 랜섬웨어 변종확인 (.mosk 확장자) 안랩 ASEC 분석팀은 11월 7일에 BlueCrab 랜섬웨어와 동일 외형으로 ANTEFRIGUS 이름의 랜섬웨어를 공개하였다. 이후 하루 만에 외형정보는 동일하나 랜섬노트와 감염방식이 STOP 랜섬웨어와 유사한 형태가 국내에 발견되었다. 감염 시, 확장자가 .mosk 로 변경되는 특징이 있으며 랜섬노트는 아래와 같다. 다양한 형태의 랜섬웨어가 BlueCrab과 동일한 외형으로 유포되는 것을 볼 때, 동일한 유포자에 의해 다양한 랜섬웨어가 선택되어 유포에 활용되는 것으로 추정된다. STOP 랜섬웨어는 제일 먼저 자기 자신을 복제한 뒤 시작 시 자동 실행을 위한 레지스트리 등록을 수행한다. * 자가복제 경로 : %AppData%Local\랜덤명\실행파일명.exe * 레지스트리 경로 : HKCU\Softwa.. 2019. 11. 8. 국내 신종 랜섬웨어 발견 (ANTEFRIGUS) - 2019.11.06 안랩 ASEC 분석팀은 2019년 11월 6일 BlueCrab(=Sodinokibi) 과 동일한 외형정보로 국내 유포되는 신규 랜섬웨어를 발견하였다. 해당 랜섬웨어는 아래의 그림에서 처럼 wscript.exe 프로세스에 의해 생성된 것으로 확인되어 Exploit kit을 통해 유포되는 것으로 추정된다. 해당 랜섬웨어의 특징으로는 C:\드라이브는 암호화 하지않으며, D:\, E:\, F:\, I:\, U:\, G:\ 드라이브를 대상으로 암호화를 진행한다. 랜섬노트 (qrja-readme.txt) 를 띄워 사용자에게 감염 사실을 알리는 것 뿐만 아니라, 해당 랜섬 노트를 종료 시 메시지 박스(Attention!!!!!!! - Your computer is encrypted !!! For decryption .. 2019. 11. 7. 빠르게 변화하는 BlueCrab 랜섬웨어 감염방식 (notepad.exe) 안랩 ASEC 분석팀은 피싱 다운로드 페이지로 유포되는 자바스크립트 형태의 BlueCrab(=Sodinokibi) 랜섬웨어를 지속해서 관찰하고 있다. 해당 피싱 다운로드 페이지는 유틸리티 다운로드 페이지로 위장하고 있으며, [그림 1]과 같이 구글 검색 상단에 노출되는 경우도 발견된다. 이러한 감염방식은 과거 갠드크랩(GandCrab) 랜섬웨어부터 사용되는 방식으로 이미 많이 알려진 내용이다. 하지만, 이러한 유포방식(자바스크립트 형태: *.js)에서의 변화는 없지만 자바스크립트 코드 상에서는 새로운 변화가 확인되었으며 변화하는 속도가 빠르게 진행되고 있어 사용자의 주의가 요구된다. *.js 파일 실행 시, 아래와 같은 프로세스 실행흐름을 보여주고 있으며 랜섬웨어 행위는 정상 윈도우 시스템 프로세스를 이.. 2019. 11. 5. 'CES 참관단 참가신청서' 내용의 악성 HWP 유포 오늘 안랩 ASEC 분석팀에 '『 미국 라스베가스 CES 2020 참관단』 참가신청서' 내용의 새로운 악성 HWP 한글 문서가 접수되었다. 이번 악성 파일은 한국정보산업연합회에서 최근 온라인에 공지한 CES 참가신청서 문서를 악용하였다. 정상적인 한글 문서에 취약점이 있는 악성 포스트스크립트 이미지를 삽입하여, 악성코드가 실행되도록 하였다. 파일 정보 파일 타입: 한글 워드프로세서 문서 파일명: CES2020 참관단.hwp (추정) MD5: f865ea5f29bac6fe7f1d976a36c79713 SHA256: d4f055d170fd783ae4f010df64cfd18d8fa9a971378298eb6e863c60f57b93e3 주요 행위 프로세스에 악성코드 인젝션 악성 포스트스크립트 파일은 CVE-201.. 2019. 10. 24. 이전 1 ··· 14 15 16 17 18 19 20 ··· 145 다음
