악성코드 정보1153 이미지 형태의 인코딩 데이터를 포함하는 악성파일 (1) IT 기술이 발전하는 만큼, 그리고 다양한 보안 제품과 장비에서의 기술이 발전하는 만큼 악성코드에서 사용하는 기술 또한 정교해지고 복잡하게 발전하고 있다는 점은 이미 널리 알려진 사실이다. 특히 악성코드 제작자의 입장에서는 1차적으로 보안 장비/제품에서 탐지되지 않는 것이 매우 중요하므로 다양한 탐지 회피 기법을 적극적으로 도입하고 있다. 탐지 회피 기법의 대표적인 예로는 악성코드의 외형을 가급적 정상 파일과 비슷하게 유지하면서 악의적인 데이터를 파일 외부에서 바로 확인할 수 없도록 인코딩 등의 과정을 거쳐 은닉하는 방법이 있으며, 악성코드의 종류에 따라 매우 다양한 데이터 은닉 기법이 발견되고 있다. 이러한 은닉 기법 중에서 인코딩 된 데이터가 비트맵 이미지 (BMP) 형태로 위장된 형태의 악성코드에 .. 2017. 9. 29. MalSPAM로 유포되는 Globeimposter 랜섬웨어 Globeimposter 랜섬웨어는 안랩의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD(AhnLab Smart Defense)에서 확인되고 있다. 해당 랜섬웨어는 다운로드 기능이 있는 워드(매크로)나 자바 스크립트가 메일에 첨부된 MalSPAM 형태로 많이 유포되고 있다. Globeimposter 랜섬웨어는 실행 시 C:\Documents and Settings\All Users\ 경로에 자가 복제하며 복제된 파일은 HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce 경로에 등록한다. %temp%경로에 bat파일을 생성 및 실행 한다. bat파일은 vssadmin.exe 를 이용하여 볼륨 쉐도우를 삭제하여 윈도우 운영체제에서 제공하는 파일 백업 및 .. 2017. 9. 20. Trickbot 금융정보 탈취 악성 코드 지난 6월 14일 Trickbot 악성코드가 악성 스팸메일 형태로 국내로 유포되고 있음을 안랩의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD(AhnLab Smart Defense)에서 확인되었다. Trickbot 은 2016년 10월 국외에서 처음 발견, 보고되었다. 주로 호주, 독일, 영국, 북미지역 내 은행 및 결제 시스템 금융정보를 탈취하는 악성코드로 감염된 상태로 온라인 뱅킹 이용 시 입력한 정보가 은행이 아닌 다른 곳으로 유출 될 수 있다. [그림 1] Trickbot 동작 과정 Trickbot 악성코드는 DOC 내의 다운로드 기능을 가지고 있는 매크로를 통해 감염된다. [그림 2] 악성 매크로 일부 (암호화된 PE 다운로드 URL) 문서 파일을 실행 시 매크로 실행을 통해 특정 URL.. 2017. 7. 31. Poisonivy를 이용한 지속적인 공격 우리말로 덩굴옻나무로 해석되는 Poisonivy는 정상 원격제어 프로그램으로 2005년부터 제작되었으며 서버 생성과 원격제어 기능을 가지고 있는 클라이언트를 생성한다. 2008년 11월까지 업데이트가 되었으며 현재는 개발이 중단된 상태이다. 하지만 Poisonivy 제작자의 의도와는 다르게 뛰어난 기능 및 편리한 플러그인 설치 기능으로 인해 악의적인 목적으로 많이 사용되고 있다.[그림-1] Poison Ivy 제작자 홈페이지 (현재는 폐쇄)Poisonivy를 이용한 주요 공격 사례는 다음과 같다. 일시 내용 2008년 해외 금융 서비스 업계 2009년 미국 및 해외의 방위산업 계약자 2011년 3월 EMC RSA 해킹 2011년 The Nitro Attacks 2012년 Molerats (aka Gaza.. 2017. 7. 18. 국내 방위산업체 공격 동향 보고서 지난 2010 년부터 본격화된 국내외 방위산업체에 대한 공격은 현재까지 꾸준히 지속되고 있다. 방위산업체는 방위산업물자를 생산하는 업체로, 단순 산업 분야가 아니라 국가 안보와 밀접히 연관되어 있으며, 경쟁국 혹은 적대국가에서 이들 업체의 정보를 노릴 가능성도 배제할 수 없다. 최근 국내 방위산업체에 대한 공격도 지속적으로 확인되고 있으며, 일부 공격 그룹은 방위산업체뿐 아니라 국내 정치, 외교 분야에 대해서도 공격을 가하고 있다. 한편, 공격자들이 특정 국가의 지원을 받고 있는지는 확인되지 않았다. 방위산업체 공격 사례를 분석한 결과, 공격자는 주로 스피어피싱(Spear Phishing) 이메일과 워터링 홀(Watering-hole) 방식을 통해 악성코드를 유포하였다. 특히 국내 업체 공격의 경우 중앙.. 2017. 7. 3. [주의] WannaCryptor와 동일한 취약점 이용한 Petya 랜섬웨어 유포 2017년 6월 27일, 우크라이나에서 Petya 이름의 랜섬웨어 감염 피해가 보고되었다. 사실 Petya 랜섬웨어는 파일을 암호화하는 다른 랜섬웨어와 달리 부팅을 불가능하게 하는 유형(MBR, MFT 암호화)으로 이미 알려진 형태이다. 하지만, 이번에 이슈 된 Petya는 지난 5월 WannaCryptor 랜섬웨어에서 사용한 SMB 취약점(CVE-2017-0144)을 사용하여 네트워크 전파기능이 추가되면서 피해가 큰 것이 특징이다. 또한, 기존 형태와 달리 일부 확장자 파일들에 대한 암호화도 진행하는 등 다양한 기능이 추가된 것을 확인할 수 있다. SMB 취약점(CVE-2017-0144)은 MS 보안패치 MS17-010에 포함되었으므로 감염 확산을 막기 위해서는 보안패치 적용이 필요하다. 1. 동작과정.. 2017. 6. 28. 국내 웹호스팅 업체 리눅스 서버 감염시킨 에레버스(Erebus) 랜섬웨어 2017년 6월 10일 국내 모 유명 웹 호스팅 업체의 리눅스 웹 서버 및 백업 서버 153대가 랜섬웨어 에레버스(Erebus)에 감염되어 서버 내 주요 파일이 암호화되었다고 알려졌다. 이로 인해 현재까지 해당 업체에서 호스팅하는 일부 사이트의 정상적인 접속이 불가능하다. 이번 공격에 현재까지 총 2개의 에레버스(Erebus) 랜섬웨어 파일이 확인되었으며, 각각 32비트 그리고 64비트 환경에서 동작하는 리눅스용 ELF 파일이다. 악성 파일 내부에 EREBUS 문자열과 암호화 관련 문자열을 다수 포함하고 있다. 악성코드 감염 직후에는 다음과 같은 증상이 확인된다. - 암호화 대상 파일명 변경: "[영문과숫자조합].ecrypt" - 랜섬노트 파일 생성: "_DECRYPT_FILE.txt" "_DECRYPT.. 2017. 6. 12. SMB 취약점으로 전파되는 워너크립터 (WannaCryptor) 랜섬웨어 워너크립터(WannaCryptor)는 워너크라이(Wanna Cry), W크립트(Wcrypt) 등으로도 불리는 랜섬웨어(Ransomware)로 2017년 5월 12일(현지 시간 기준) 스페인, 영국, 러시아 등을 시작으로 전 세계에서 감염 보고되고 있다. * 현황 WannaCryptor는 2017년 2월 최초 발견 되었다. 악성코드 제작자는 ShadowBrokers가 NSA로부터 해킹 해 2017년 4월 공개한 SMB(Server Message Block) 취약점(MS17-010) EternalBlue를 이용한 변형을 2017년 5월 제작했다. 관련 SMB 취약점은 마이크로소프트사가 2017년 3월 보안 업데이트를 공개했지만 보안 업데이트가 적용되지 않은 시스템은 위험에 노출되며 패치 되지 않은 시스템이 .. 2017. 5. 14. 이전 1 ··· 32 33 34 35 36 37 38 ··· 145 다음
