악성코드 정보1153 취약점을 통해 유포되는 CryptoMix 랜섬웨어 HydraCrypt 변형으로 알려진 CryptoMix 랜섬웨어가 국내 발견 되었다. 해외에서는 작년 말 관공서 및 학교에 사회공학적 기법을 이용해 유포되어 유명해 졌으며 2017년 초 국내에 상륙한 것을 확인하였다. 한편 CryptoMix 와 유사한 CryptoShield 랜섬웨어도 국내 발견 되었다. 해당 랜섬웨어 대한 정보는 조만간 본 블로그를 통하여 게시할 예정이다.CryptoMix는 2016년 말 미국 내에서 스팸 메일을 이용해 유포가 활발하였고 타겟은 관공서 직원 및 학교 선생님 대상으로 발송된 것으로 보도되었다.(*출처: https://www.proofpoint.com/us/threat-insight/post/cryptfile2-ransomware-returns-in-high-volume-ur.. 2017. 2. 15. 랜섬웨어에 이용되는 바로가기(.lnk) 악성코드 (2016년~현재) 2016년부터 2017년 2월 현재까지 랜섬웨어 관련 바로가기(*.lnk) 악성코드가 꾸준히 발견되고 있다. 이메일 등에 첨부 된 형태로 유포되고, 워드 매크로 파일 내부에 존재해 매크로가 실행되면서 실행되기도 한다. 바로가기(*.lnk)는 Shell Link Binary File Format으로 다른 데이터를 접근하는데 필요한 정보를 포함하는 데이터이다. [그림 1] LNK 구조 바로가기 파일(*.lnk)을 이용한 랜섬웨어는 주로 String Data를 이용하고, 최근 Extra data를 이용한 랜섬웨어도 발견되었다. Spora 랜섬웨어와 VenusLocker가 대표적으로 LNK를 이용한 랜섬웨어다. 랜섬웨어 관련 LNK 악성코드를 크게 세가지로 분류 할 수 있다.1. 스크립트(*.js, *.vbs,.. 2017. 2. 14. 스팸메일을 통해 유포되는 VenusLocker 랜섬웨어 최근 국내 관공서 등에 사회공학적 기법을 이용한 VenusLocker 랜섬웨어가 유포되고 있다. 해당 랜섬웨어는 주로 스팸메일을 이용하며 첨부된 악성 문서 파일을 통해 드롭 or 다운로드되거나 문서 파일로 가장하여 유포되기도 한다. 따라서 사용자는 메일 내부의 첨부 파일 실행 시 의도된 파일이 맞는지, 신뢰할 수 있는 내용인지에 대한 확인이 필요하다. VenusLocker 는 실행 시 대상 PC 의 모든 드라이브를 탐색하여 조건에 맞는 암호화 대상 파일을 선정, 이후 AES 알고리즘을 사용하여 파일을 암호화 시키는데 전제 동작 방식은 [그림 1] 과 같다.[그림 1] VenusLocker 유포 및 동작 방식 스팸메일 본문에는 의미 있는 내용을 담고 있으며 사용자로 하여 의심 없이 첨부된 파일을 실행시키게.. 2017. 1. 20. 사물인터넷 (IoT) 환경 위협하는 악성코드들 2016년 9월 브라이언 크렙스의 블로그 크렙스온시큐리티(KrebsOnSecurity)와 프랑스 인터넷 호스팅 업체 OVH에 대해 기록적인 DDoS 공격이 발생하고 2016년 10월 21일 금요일 오전 미국 인터넷 호스팅 서비스업체 딘(Dyn)이 DDoS 공격을 당한 사건이 일어났다. 이로 인해 에어비앤비(Airbnb), 페이팔(PayPal), 넷플릭스(Netflix), 사운드 클라우드(SoundCloud), 트위터(Twitter), 뉴욕타임스(The New York Times) 등 여러 사이트에서 접속 장애가 발생했다. 이들 공격에는 사물인터넷(Internet of Things, IoT)을 감염시키는 미라이(Mirai)라는 악성코드가 이용되었음이 밝혀진다. 현재 여러 운영체제가 IoT의 주도권을 놓고 .. 2016. 12. 7. MS 워드 문서에서 폼 개체를 활용한 악성코드 최근 Microsoft Office Word 문서 파일 내부의 사용자 정의 폼을 이용한 악성코드가 스팸 메일과같은 사회적 공학 기법 (Social Engineering) 을 이용하여 유포되고 있으므로 사용자의 각별한 주의가 필요하다. 해당 악성코드는 VBA (Visual Basic for Applications, Microsoft Office 응용프로그램의 확장을 위한 프로그래밍 언어) 매크로를 이용하여 사용자 정의 폼 내부 암호화된 쉘코드(Shellcode)와 내부에 숨겨진 악성 실행 파일을 통해 정상 프로세스에 인젝션(Injection)하여 악성 행위를 수행한다.[그림 1] Flowchart Word 문서 파일을 열면 본문의 이미지를 통해 사용자의 매크로 실행을 유도한다.[그림 2] 본문 이미지 VB.. 2016. 11. 28. SWF 파일 내에 숨겨진 취약점 파일 생성과정 지난 ‘랜섬웨어 다운로드 목적의 플래시파일 (SunDown EK)’ (http://asec.ahnlab.com/1048) 글에서 소개한 것처럼 Exploit Kit (Exploit Kit - 웹 서버에서 동작하는 공격용 소프트웨어, 이하 EK) 을 통해 유포되는 플래시 파일 중 내부에 암호화된 플래시 파일을 가지고 있는 유형에 대해서 소개하고자 한다.해당 플래시 파일 역시 랜섬웨어 다운로드 목적일 것으로 추정된다. 플래시 파일 내부 구조와 ActionScript (AS, 플래시에서 사용되는 스크립트 언어) 는 [그림 1] 과 같다.[그림 1] 플래시 파일 구조와 스크립트 코드 스크립트 코드는 파일 실행 시 내부의 암호화된 데이터를 복호화하며 과정은 [그림 2] 와 같다.[그림 2] 내부 데이터 복호화 과.. 2016. 11. 28. OpenType 폰트 취약점 악용 파일 발견 (CVE-2016-7256) 2016년 11월 8일, Microsoft 에서 OpenType 폰트 취약점 관련하여 보안패치를 배포하였다. (MS16-132, CVE-2016-7256) 해당 취약점은 국내에서 최초 발견 및 보고된 것으로 피해를 예방하기 위해 아래의 보안패치를 적용하는 것이 필요하다.[보안패치] https://technet.microsoft.com/ko-kr/library/security/mt674627.aspx OpenType 폰트는 Microsoft 와 Adobe 가 함께 개발한 폰트 형식으로, .otf 또는 .ttf 확장자를 갖는다. 폰트의 모양새를 결정하는 데이터가 Compact Font Format (CFF) 형식인지 TrueType 형식인지에 따라 파일의 시작부분 첫 4 바이트의 값이 달라지는데, 아래의 [.. 2016. 11. 10. 랜섬웨어 다운로드 목적의 플래쉬파일 (Magnitude EK) 최근 ‘Cerber’ 이름의 랜섬웨어를 다운로드 받는 악성 플래쉬(Flash) 파일이 다량으로 유포되고 있어 사용자의 주의가 요구된다. 본 글에서는 이러한 플래쉬 파일에서 2차 악성 실행파일을 다운로드 하기 위해 쉘코드(Shell Code)를 사용하는 사례를 소개한다.[그림 1]과 같이 irrcrpt 이름의 함수를 사용해 암호화 되어 있는 문자열 데이터(“FC590101”)를 복호화 하면 [그림 2]와 같은 쉘코드를 확인할 수 있다. 쉘코드의 주요 기능은 2차 실행파일 다운로드이며, 다운로드 URL 주소 부분을 제외하고 쉘코드는 모두 동일한 형태를 갖는다. [그림 1] SWF 내부 코드[그림 2] Shell Code 일부 쉘코드는 JMP 코드(0xEB)로 시작하며, 악성 코드를 동작하기 위해 필요한 DL.. 2016. 11. 8. 이전 1 ··· 34 35 36 37 38 39 40 ··· 145 다음
