본문 바로가기

악성코드 정보1153

파일의 엑세스 권한을 변경하는 Matrixran 랜섬웨어 지난 4월 7일 Matrixran 랜섬웨어가 국내로 유포되고 있음을 안랩의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD(AhnLab Smart Defense)에서 확인되었다. 해당 랜섬웨어는 RIG-Exploit Kit에 의해 유포되었으며 유포에 사용된 취약점은 CVE-2016-0189 / IE_VB, CVE-2015-2419 / IE _JSON이다. 위 취약점에 노출된 사이트에 접속하는 사용자는 RIG-Exploit Kit에 의해 사용자 모르게 시스템에 랜섬웨어가 감염될 가능성이 있다. 해당 랜섬웨어가 Matrixran 랜섬웨어라고 불리는 이유는 랜섬웨어의 첫 번째 버전에 감염되었을 경우 암호화 파일 확장자를 .matrix로 변경시켰기 때문이다. 하지만 현재 유포되고 있는 버전은 세 번째 버전.. 2017. 4. 19.
유포 경로가 다양한 디도스 공격 목적의 악성코드 디도스(DDoS) 공격을 목적으로 하는 악성코드가 주로 중국산 디도스 공격 툴과 빌더 프로그램으로 국내에서 제작되어 다양한 경로로 유포되는 정황이 지속해서 확인되고 있다. 악성코드는 감염된 사용자 즉, 봇 PC 내에 상주하여 공격자가 내리는 원격 명령에 따라 작동하고 공격 대상 시스템을 대상으로 디도스 공격을 수행할 수 있다. 안랩에서는 해당 파일을 원격 제어(Remote Access)가 가능한 악성코드란 뜻으로 코렛(Korat) 으로 진단한다. 코렛 악성코드는 디도스 공격을 하기 위한 최대한 많은 수의 봇을 확보할 목적으로 사회공학기법을 이용하여 사용자가 많이 다운받거나 사용하는 파일을 위장하여 각종 국내 웹 하드 자료실이나 개인 블로그 등을 통해 유포된다. 대표적으로 주요 소프트웨어 프로그램, 불법 .. 2017. 4. 6.
일부 파일에 대해 복구가 가능한 VenusLocker 랜섬웨어 지난 '스팸메일을 통해 유포되는 VenusLocker 랜섬웨어' 글에서는 VenusLocker 랜섬웨어에 대해 소개한 바 있다.이번 글에서는 해당 랜섬웨어로 감염된 파일 중 일부 복구가 가능한 파일을 대상으로 제작한 복구툴을 다루고자 한다.복구툴은 VenusLocker 랜섬웨어 공격자의 '명령 제어 (C&C, Command & Control) 서버에 접속이 불가능한' 상황에서 감염된 파일들을 대상으로 한다. (이외에는 복구 불가) VenusLocker 랜섬웨어는 기타 다른 랜섬웨어와 마찬가지로 특정 파일들을 대상으로 암호화를 수행하는데 특징은 다음과 같다.1. AES 대칭키 방식으로 암호화1) 감염 대상 PC 에서 명령 제어 서버에 접속이 불가능한 경우 : 내부에 정의된 키 값 사용2) 감염 대상 PC .. 2017. 3. 17.
맥 PUP 설치로 금전적 이득 노리는 Installmiez * InstallmiezInstallmiez는 ExtInstall, InstallCore 등으로도 불리는 맥 PUP (Potential Unwanted Program)으로 2015년 초 처음 발견되었다. 2015년 최소 4,084개, 2016년 최소 59,125개, 2017년 2월까지 최소 17,473 개가 발견되어 2017년 2월 현재 8 만개 이상의 변형이 확인되었다. 초기에는 가짜 플래시 플레이어 설치 파일 등으로 가장했지만 최근에는 실제 플래시 플레이어, 동영상 플레이어, 자바 등을 다운로드 해 설치하는 DMG 파일로 배포된다. 그리고 추가로 사용자에게 겁을 줘 과금을 유도하는 스케어웨어(Scareware)를 추가 설치하도록 유도한다. 제작자는 이런 프로그램 설치를 통해 돈을 벌고 있는 것으로 보.. 2017. 3. 1.
CryLocker 변형인 Sage 랜섬웨어 CryLocker 변형으로 알려진 Sage 2.0 랜섬웨어가 악성 스팸 메일 또는 Adobe Flash (SWF) 와 같은 웹 어플리케이션 취약점으로 국내에 유포되고 있음이 안랩의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD (AhnLab Smart Defense)로 확인되었다. Sage 랜섬웨어는 말하는 랜섬웨어로 알려진 Cerber 와 유사한 증상을 갖는 것으로도 알려져 있다. Sage2.0 랜섬웨어는 CryLocker 와 동일하게 바로가기 파일(*.lnk) 생성, 암호화 제외 경로 문자열, 암호대상 등 유사한 점이 많으나 기능이 좀 더 추가되고, 암호화 방식이 달라졌다. 그리고, 2월 19일 Sage 2.2 랜섬웨어가 ASD 시스템을 통해서 국내 발견 되었는데, 코드 변화는 있으나 내부 기.. 2017. 2. 24.
CryptoMix 의 변형 CryptoShield 랜섬웨어 CrpytoMix의 변종으로 알려진 CryptoShield 2.0 (1.0 -> 1.1 -> 1.2 -> 2.0, 버전별 간략한 특징은 글 하위에 정리함) 국내에서 유포되고 있는 것을 안랩의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD (AhnLab Smart Defense) 에서 확인 되었다. CryptoShield는 CryptoMix와 유사한 점도 많지만 버전이 올라갈수록 대상 확장자의 증가, 윈도우 기본 유틸리티를 이용한 윈도우 복구 기능의 무력화 기능이 추가됨에 따라 더 악의적으로 진화하는 랜섬웨어의 면모를 갖추고 있다. 사용자가 체감할 수 있는 CryptoMix 와의 가장 큰 변화는 다음과 같다. [그림-1] CryptoMix에서 변화한 CryptoShiled 2.0 HTML 랜섬노트 .. 2017. 2. 24.
취약점을 통해 유포되는 CryLocker 랜섬웨어 작년 9월 Rig Exploit kit, Sundown Exploit kit 의 SWF 취약점 통해 유포되는 CryLocker 랜섬웨어가 최초 발견되었다.국내에 많이 알려진 다른 랜섬웨어 (Cerber, Locky 등)와의 차이점은 사용자 정보를 이미지 호스팅 웹사이트(Imgur), 익명 텍스트 파일 공유사이트(pastebin)에 업로드 하는 것이다.CryLocker 랜섬웨어는 실행 시 내부에 존재하는 PE 이미지를 메모리 상에서 자기자신에 삽입하여 동작하며 파일 암호화 후 아래와 같은 화면을 띄워 사용자에게 금전적 요구를 한다. [그림 1] 복호화 방법과 금전을 요구하는 랜섬노트 파일이실행 되면 복호화 관련 안내파일과 자신과 동일한 파일을 %temp% 폴더에 생성한다.- C:\DOCUME~1\[사용자 .. 2017. 2. 24.
스팸메일 및 취약점을 통해 유포되는 Spora 랜섬웨어 바로가기(.lnk) 파일을 생성하여 지속적인 감염을 유도하는 Spora 랜섬웨어가 해외에서 발견되었다. 최초 발견 당시 러시아를 타겟으로 ‘청구 PDF’문서로 가장한 악성 HTA파일(MD5 : 37477dec05d8ae50aa5204559c81bde3, V3 진단 : VBS/Saclesto(2017.02.20.00))을 메일에 첨부하여 스팸 형태로 유포되었다. HTA파일은 HTML 어플리케이션으로서 내부의 스크립트를 브라우저 없이 실행 가능한 형태로 만들어진 파일이다. 첨부 된 HTA파일을 실행할 경우 Spora 랜섬웨어가 생성 및 실행되어 감염을 일으킨다. 최근에는 스팸 메일 뿐 아니라 Rig-V Exploit kit을 통하여 SWF Flash 취약점을 이용하거나 Chrome사용자를 타겟으로 허위 Po.. 2017. 2. 15.

티스토리툴바