본문 바로가기

악성코드 정보1153

최근 급속히 유포되고 있는 신종 랜섬웨어, Locky 최근 다양한 경로를 통해 유포되고 있는 신종 Locky (록키) 랜섬웨어로 인한 피해가 급증하고 있어 사용자의 각별한 주의가 요구되고 있다. Locky 랜섬웨어는 주로 이메일 첨부파일에 가짜 송장 파일이나 급여 명세서와 같이 사용자의 호기심을 불러 일으키는 파일을 포함하여 사용자로 하여금 의심없이 파일을 실행하도록 하는 사회공학적 기법을 사용하여 유포된다.이메일 첨부파일은 오피스 문서인 Excel(엑셀) 및 Word(워드) 파일 내 악성코드를 다운로드 하는 Macro(매크로) 를 포함하는 형태이며, 최근에는 악성코드를 다운로드 하는 스크립트 파일을 압축하여 ZIP 파일로 직접 첨부하는 형태로 제작되고 있다. 또한, Locky 랜섬웨어 감염 시 사용자의 시스템 뿐만 아니라 연결된 네트워크 드라이브를 스캔하.. 2016. 3. 24.
멀버타이징 애드웨어를 이용한 랜섬웨어 감염사례 1. 개요멀버타이징(Malvertising)은 악성 프로그램을 뜻하는 멀웨어(Malware) 혹은 악성 행위를 의미하는 멀리셔스(Malicious)와 광고 활동을 뜻하는 애드버타이징(Advertising)의 합성어 이다. 멀버타이징(Advertising)은 광고 서비스의 정상적인 네트워크를 이용하여 악성코드를 유포 및 감염 시키는 방법이다. 예를 들면 악성코드 제작자는 그럴 듯한 도메인 이름 - 예를 들어 호텔예약 정보 및 게임정보 - 을 갖는 위장된 광고 웹 사이트를 제작 후 광고 서비스에 이를 광고 한다. 제작된 웹 사이트 내용은 단지 취약점 페이지로 리다이렉트 – 그 이후 알려진 정상 웹사이트로 이동 - 되도록 설정 해둔다. 광고 서비스를 하는 업체는 일반적으로 사용자들에게 광고를 많이 노출 하도록.. 2016. 1. 15.
검은 광산 작전 (Black Mine Operation) 분석 보고서 안랩에서는 2014년 5월부터 2015년 7월까지 1년 넘게 특정 그룹이 동일한 유형의 악성코드를 이용해 국내 여러 기관과 기업을 공격하고 있음을 파악했다. 악성코드 내부에서 공통적으로 볼 수 있는 ‘BM’과 코드를 자세히 살펴봐야 실제 기능을 파악할 수 있다는 의미에서 이 공격을 ‘검은 광산 작전 (Black Mine Operation, 블랙 마인 오퍼레이션)’으로 명명했다. 공격자는 파워포인트 자료를 보여주는 실행 파일로 가장한 악성코드를 이용해 특정 대상을 공격한 것으로 보인다. 현재까지 안랩에서 파악한 공격 대상은 크게 한국의 에너지, 교통, 통신, 방송, IT 기업, 금융, 정치 분야 등으로 다양하다. 이외에도 공격자는 2014년 7월과 2015년 3월에는 국내 웹사이트를 해킹해 일반인을 상대로.. 2015. 11. 3.
한글 제로데이 취약점을 이용한 악성코드 지난 2015년 5월 12일 한글 프로그램 최신 패치버전에서 동작하는 제로데이 취약점 파일이 접수되어 사용자의 각별한 주의가 요구된다. 취약점이 발생하는 프로그램은 한글2007, 2010, 2014 버전이 모두 해당되며 2015년 3월 31일 업데이트 된 최신 패치가 적용된 상태에서도 동작하도록 제작되었다. 취약점 발생 이후에는 다운로더 기능의 악성파일을 생성하며 주기적으로 특정 사이트로 접속을 시도한다. V3 에서는 취약점 한글 파일을 "HWP/Exploit"(V3: 2015.05.12.02) 으로, 취약점 발생 이후 생성하는 악성파일을 "Win-Trojan/Hwdoor.107620"(V3: 2015.05.12.02) 로 진단한다. 취약점 피해를 예방하기 위해 아래의 한글과컴퓨터에서 제공한 2015.0.. 2015. 5. 20.
원본파일 복원이 가능한 TeslaCrypt 랜섬웨어 국내에는 게임관련 파일들을 타겟(Target)으로 제작된 랜섬웨어로 알려진 'TeslaCrypt' 혹은 'Tescrypt' 라는 이름의 악성코드는 2015년 4월 27일, CISCO 블로그("Threat Spotlight: TeslaCrypt – Decrypt It Yourself")를 통해 처음으로 복원방법이 소개되었다. 국내에서는 아직 피해사례가 많지 않지만, 감염기법에 대한 상세정보 및 복원 가능여부 확인을 통해 추후 피해가 발생 시 활용하고자 한다. 'TeslaCrypt' 랜섬웨어는 지난 4월 국내에 이슈가된 랜섬웨어 처럼 정상 프로세스(explorer.exe, svchost.exe)에 코드 인젝션(Injection)을 통한 방식이 아닌, %APPDATA% 경로에 생성한 악성코드 실행을 통해 감염.. 2015. 5. 11.
랜섬웨어와 함께 설치되는 DDoS 악성코드 Nitol 4월 21일 이슈된 CryptoLocker 의 변종파일이 4월 28일 발견되었다. 특이한 점은 기존에 확인된 랜섬웨어 기능외에 DDoS 공격목적의 실행파일이 추가로 확인되어 주의가 필요하다. 1. 랜섬웨어 기능 엑셀 아이콘 모양으로 제작된 악성코드를 실행 시, 아래의 [그림-1]의 (2)번째 단계에서 처럼 "explorer.exe" 프로세스가 실행되며, 해당 프로세스 메모리에 랜섬웨어 기능의 실행파일이 Injection 되어 동작하는 것을 알 수 있다. 해당 랜섬웨어는 국내 커뮤니티 사이트인 C업체 광고배너를 통해 유포된 것과 동일한 형태이며, 접속시도하는 사이트는 다음과 같다. - tidisow.ru [그림-1] 악성 기능별 인젝션 대상 프로세스 해당 랜섬웨어의 상세 기능은 하기의 글을 참고 - htt.. 2015. 4. 29.
한국을 목표로 한 랜섬웨어, CryptoLocker 상세정보 1. 개요 랜섬웨어는 사용자 시스템에 설치된 후 파일들을 암호화해서 정상적으로 사용하지 못하도록 하고 이를 정상적으로 돌려준다는 조건으로 비트코인 또는 추적이 어려운 전자 화폐를 통한 금액 지불을 요구하는 악성코드이다. 주로 국외에서 확산되면서 많은 피해자를 양산했는데 최근 몇 년 사이에 국내에서도 랜섬웨어에 감염된 사용자가 증가하였으며 그 중 국내 유명 인터넷 커뮤니티 사이트를 통해 유포된 CryptoLocker 에 대한 분석 정보를 공유하고자 한다. 최근에 발견된 ‘CryptoLocker’는 [그림-1]에서 볼 수 있듯이 과거 2013년 9월에 처음 발견이 되었으며 ‘CryptoWall’, ‘TorrentLocker’, ‘CryptographicLocker’, ‘TeslaCrypt’ 등의 이름으로 변.. 2015. 4. 29.
한국을 목표로 한 랜섬웨어, CryptoLocker 금일 한국의 인터넷 사용자를 노린 랜섬웨어가 인터넷 커뮤니티 사이트에서 유포되었다. 러시아, 동유럽 국가 등에서 등장한 랜섬웨어는 서유럽, 미국 등으로 확산되어 많은 피해자를 양산하였다. 최근 몇 년 사이 한국에서도 랜섬웨어 악성코드에 감염된 사용자가 증가 하였으며, ASEC블로그에서 랜섬웨어 악성코드, 예방Tip등을 소개한 바 있다. 랜섬웨어(Ransomware)란, Ransom(몸값)과 Software(소프트웨어)란 단어가 합쳐져서 생성된 단어로 악성코드가 PC에 존재하는 중요한 자료들을 암호화하여 사용하지 못 하도록 한 후, 만약 암호화된 파일을 복구하려면 피해자로 하여금 돈을 지불하도록 강요하는 악성코드를 의미한다. 이번 등장한 크립토락커(CryptoLocker) 랜섬웨어는 한글로 되어 있으며, .. 2015. 4. 21.

티스토리툴바