본문 바로가기

악성코드 정보1153

랜섬웨어 다운로드 목적의 플래쉬파일 (SunDown EK) 최근 ‘Locky’, ‘Cerber’ 와 같은 랜섬웨어를 다운로드 받아 실행하는 플래시 파일 (Adobe Flash File)이 유포되고 있어 사용자의 주의를 요하고 있다. 그 중 ‘SunDown’ 익스플로잇 킷트 (Exploit Kit - 웹 서버에서 동작하는 공격용 소프트웨어, 이하 EK) 에 의해 유포되는 플래시 파일에 대한 내용을 소개하면 다음과 같다. 해당 EK 의 주요 공격 대상은 Adobe Flash Player, Internet Explorer, SilverLight 취약점이며, 파라미터를 통해 Base64 인코딩된 쉘코드 및 악성코드 다운로드 URL 을 전달 받아 랜섬웨어를 다운로드 하는 기능을 가지고 있다. 본문의 플래시 파일 또한 동일한 기능을 가지고 있으며, 추가로 플래시 파일 내부.. 2016. 11. 8.
다양한 문서파일 내부의 EPS (Encapsulated PostScript) 취약점 최근 Microsoft Office 문서와 한글 파일 내에 삽입된 EPS (Encapsulated PostScript) 개체의 취약점을 이용한 악성코드가 유포되어 사용자의 주의가 요구된다. EPS (Encapsulated PostScript) 는 화면상에 그래픽 요소를 출력하는 용도로 제작된 Adobe 스크립트 언어로, 캡슐화된 형태를 통해 특정 개체 내에 삽입이 가능하다.지난 2015년 해당 EPS 파일에서 발견된 CVE-2015-2545 취약점은 Microsoft Office 문서파일을 열 경우 악성코드 제작자가 제작한 임의의 코드를 실행 가능하도록 하며, 이후 사용자 시스템의 정보유출, 추가 악성코드 다운로드 등의 악의적인 기능을 수행하는 형태가 발견되고 있다. 해당 취약점은 EPS 파일을 처리하는.. 2016. 11. 7.
CryptXXX 랜섬웨어 3.x 버전 부분 복구대상 추가(오피스 문서파일) CryptXXX 랜섬웨어 3.x 버전의 암호화 방식 및 부분 복구툴을 배포하였다. 부분 복구 대상은 텍스트 형식의 파일들로 아래의 25개의 확장자를 갖는다. JAVA, HTML, CPP, TXT, HTM, PHP, VBS, ASP, PAS, JSP, ASM, XML, DTD, CMD, CSS, SQL, PY, JS, CS, SH, VB, PS, PL, C, H 2차로 MS Office 문서 파일들 중, PPTX, DOCX, XLSX 확장자 파일들에 대한 부분 복구기능을 추가하였다. 이들 3가지 파일들은 Open XML 형식으로 파일 시작부분이 ZIP 압축헤더 형태를 갖는 공통점이 존재한다. 부분 복구툴에서는 3가지 문서 파일들의 데이터 중 일부가 (공개키 암호화로 인해) 손실된 상태에서도 ZIP 압축헤더.. 2016. 6. 8.
CryptXXX 랜섬웨어의 암호화방식 (Update - 2016.06.01) 정상파일을 ".crypt" 확장자를 부여하여 암호화하는 특징을 갖는 CryptXXX 이름의 랜섬웨어는 현재까지 버전 1.x, 2.x, 3.x 세 가지 형태가 알려져 있다. 본 글에서는 이 중, 2.x 버전의 암호화 방식을 소개하고, 이를 바탕으로 일부 파일에 한해 복구가 가능함을 설명한다. 1. 암호화 방식 아래의 [그림-1]은 CryptXXX 에 의해 암호화된 "Photo.jpg.crypt" 파일을 나타낸다. 암호화는 고정크기(0x1FFF)의 블록 단위로 순차적으로 이루어지며, 암호화 최대 크기는 0xD012FE (대략 13M)로 이후의 데이터는 원본파일과 동일하다. (단, 원본파일 끝에 260바이트 크기의 데이터는 삽입) [그림-1] CryptXXX 암호화 방식 암호화된 파일은 공통적으로 원본파일과 .. 2016. 5. 25.
원본 파일 복구가 가능한 CryptXXX 랜섬웨어 최근 ‘크립트엑스엑스엑스 랜섬웨어’가 대량 유포되면서 피해 사례가 늘어나고 있다. 크립토엑스엑스엑스의 특징은 기존 랜섬웨어와는 달리 실행파일(EXE) 형태가 아니라 동적 링크 라이브러리(DLL) 형태로 유포되고 있다는 점이다. DLL 형태로의 유포는 정상적인 프로세스와 함께 동작하는 구조여서 감염 사실을 알아차리기조차 어렵다. 이 글에서는 크립트엑스엑스엑스의 동작 방식과 주요 기능 등 자세한 분석 내용을 소개한다. 또한 안랩은 이러한 분석을 바탕으로 현재 일부 버전(CryptXXX 2.x 버전)에 대한 원본 파일 복구 툴도 제공하고 있다. 크립트엑스엑스엑스 랜섬웨어(진단명: Trojan/Win32.CryptXXX, 이하 크립트엑스엑스엑스)는 컴퓨터에 있는 파일을 암호화한 뒤 “.crypt”확장자로 변경하.. 2016. 5. 25.
Locky 랜섬웨어와 CVE-2015-1701 취약점 4월 11일 발견된 Locky 랜섬웨어를 다운로드하는 악성코드에서 "CVE-2015-1701" 취약점이 사용된 것이 확인되었다. "CVE-2015-1701" 취약점은 2015년 4월, 'Operation RussianDoll' 이름으로 명명된 러시아발 APT(Advanced Persistent Threat) 공격에 사용되어 알려진 취약점이다. 참고로 Locky 랜섬웨어는 발견 당시부터 현재까지 윈도우 설치언어가 러시아어 인 경우, 동작하지 않는 특징을 갖는다. 즉, Locky 랜섬웨어는 러시아에서 제작/배포되는 것으로 추정되며, APT 공격에 사용된 취약점이 랜섬웨어에서도 동일하게 사용된 것이 흥미로운 부분이다. 또한, "CVE-2015-1701" 취약점과 관련하여 기 알려진 함수("ClientCopyI.. 2016. 4. 12.
음성으로 돈을 요구하는 Cerber 랜섬웨어 컴퓨터 파일을 인질로 삼은 후 돈(비트코인)을 요구하는 랜섬웨어(Ransomware)의 기세가 올해에도 식을 줄을 모르고 있다. 2월부터 꾸준히 유포되고 있는 Locky 랜섬웨어에 이어 파일을 암호화한 뒤 스크립트를 이용해 목소리로 사용자에게 친절하게 비트코인을 요구하는 "Cerber 랜섬웨어"(이하 Cerber)의 감염 사례가 최근 꾸준히 접수되었다. Cerber의 유포경로는 주로 광고 서비스의 정상적인 네트워크를 이용하여 악성코드를 유포하는 “멀버타이징(Malvertising)”으로 알려져 있으며, “러시아 지하 시장”에서는 Cerber가 해커들에게 활발하게 판매되고 있는 것으로 파악된다. Malvertising 에 사용된 도메인 일부는 다음 [표-1]과 같다. 2016. 4. 8.
Locky 랜섬웨어의 변화 (3가지) 3월부터 현재까지 Locky 라는 이름의 랜섬웨어의 국내감염 사례가 지속적으로 발생하고 있다. 국내뿐 아니라 해외 여러 보안업체에서도 이러한 Locky 랜섬웨어 대응을 위한 다양한 시도들이 진행되고 있으며, 제작자 또한 이를 우회하기 위해 기존의 동작방식에 변화를 주는 추세이다. 본 글에서는 최근 국내접수 Locky 를 통해 확인한 변화내용 3가지를 소개하고자 한다. 1. DGA (Domain Generation Algorithm) 호출방식 Locky 는 파일 암호화에 사용할 키 정보를 얻기위해 내부에 저장된 IP 로 접속을 시도한다. (접속 실패 시, 파일 암호화 과정 실패) 과거에는 "main.php" 가 최근에는 "submit.php"가 이용되고 있다. 최근에 발견되는 Locky 에는 총 3곳의 I.. 2016. 4. 7.

티스토리툴바