악성코드 정보1153 스팸메일로 유포되는 다운로더 악성코드 Upatre Upatre 악성코드는 2013년부터 발견되고 있는 악성코드로 최근들어 그 변형이 지속적으로 발견되고 있다. 스팸 메일을 통해 퍼지며 사용자가 메일에 첨부된 실행 파일을 실행하면 특정 주소에 접속해 다른 악성코드를 다운로드 한다. 일반적으로 금융정보 탈취 악성코드이다.‘Your Document’ 등의 다양한 제목으로 악성코드를 포함한 ZIP 파일이 첨부되어 있다. 변형에 따라 메일 제목, 본문, 첨부 파일은 조금씩 달라진다. [그림 1] Upatre 메일 예 [그림 2] Upatre 메일 예2 1. 동작과정보통 20 – 30 킬로바이트 길이에 PDF 등의 문서 파일로 가장한 아이콘으로 되어 있으며 실행할 경우 특정 주소에서 인코딩된 데이터를 받아온다. 이후, 실제 악성행위가 이루어지는 실행 파일을 생성하.. 2015. 4. 13. 사회공학 기법 사용하는 매크로 악성코드 주의 매크로 악성코드 증가 매크로 바이러스는 1994년 처음 개념 증명(Proof of concept) 되었고 1995년 컨셉(WM/Concept) 바이러스를 시작으로 2000년 초까지 극성을 부렸다. 매크로 악성코드의 피해가 커지면서 마이크로소프트사는 오피스 2000부터 매크로 기능을 기본적으로 사용하지 못하게 하면서 거의 사라졌다. 하지만, 2014년 하반기 사회공학 기법을 추가한 매크로 악성코드가 다시 증가하고 있다. 2012년부터 2015년 2월 현재까지 안랩에서 고객으로부터 접수된 매크로 악성코드 수는 다음과 같다. 2015년 3월까지 240개로 2014년 2월에 이미 2014년 한해 동안 발견된 매크로 악성코드보다 많다. 년도 접수 수 2012년 22개 2013년 50 개 2014년 108 개 20.. 2015. 4. 6. 문서파일로 위장한 Bisonal 악성코드 2013년 처음 소개된 Bisonal 이라는 이름의 악성코드는 일본 기관을 공격대상으로 제작되었다. 악성코드 감염 방식은 이메일의 첨부파일 형태로 이루어지며, 첨부파일의 확장자는 실행파일(*.exe)형태이나 사용자에게 보여지는 아이콘 모양이 문서파일(doc, xls, pdf, ppt, hwp) 형태로 제작되어 클릭을 유도하는 특징을 갖는다. 2014년에도 국내에 감염사례가 확인되었으나 2015년부터 변종형태의 국내접수가 증가하고 있어 사용자 주의가 요구된다. 해당 악성코드는 내부에 암호화되어 저장된 C&C 주소를 통해 공격자와 통신하며, 명령에 따라 다양한 백도어 기능을 수행한다. 1. 접수현황 아래의 [그림-1]은 2015년 1월부터 현재까지 확인된 Bisonal 악성코드 리스트를 나타낸다. 실행파일 .. 2015. 3. 24. 원본파일 복원이 가능한 ‘NSB(National Security Bureau) 사칭’ 랜섬웨어 2014년 12월 발견된 랜섬웨어 악성코드 중, National Security Bureau(국가안보국: NSB)를 가장하여 사용자에게 돈을 요구하는 형태가 올해 1월 ASEC 블로그(http://asec.ahnlab.com/1020)에 소개되었다. 해당 랜섬웨어에 의해 감염된 파일들은 고유한 알고리즘에 의해 백업된 형태로 존재하며, 백신프로그램으로 치료가 가능한 형태라는 점이 특이한 부분이라 할 수 있다. 일부 백신업체에서는 이러한 특징을 바탕으로 해당 악성코드에 대한 진단명을 (VIRus + RansomLOCK = VIRLOCK)으로 명명한 것으로 추정된다. 악성코드 감염이 완료된 후, 사용자에게는 아래의 [그림-1]과 같은 "불법 소프트웨어가 탐지되어, 시스템 사용을 차단하였습니다."라는 메시지를 .. 2015. 2. 11. 문서에 포함된 매크로 악성코드 순간의 호기심이 매크로를 On! 인간의 호기심은 끝이 없고 같은 실수를 반복하게 된다. 불분명한 발신으로부터, 혹은 익숙하지만 살짝 의심스러운 발신자에게서 온 메일의 열람은 금기시 되어야 한다는 것은 공공연한 사실이다. 더불어 의심스러운 메일에 첨부된 파일의 다운 및 실행은 절대 해선 안 되는, 21세기를 살아가는 자들의 필수적인 IT 보안 상식이다. 하지만 첨부된 파일이 호기심을 자극하는, 매우 매력적인 제목의 문서파일이라면 어떨까? 수 없이 전해 듣고 교육받고 심지어 일전에 악성코드에 큰 피해를 본 사람이라도, 매뉴얼처럼 숙지한 철옹성과 같던 보안 상식은 모래성 마냥 한순간에 무너져 내릴 것이며, 인간의 무한한 호기심과 궁금증을 풀고자 하는 끝없는 욕망에 이끌려 자의적으로 마우스 포인터는 첨부 파일을.. 2015. 1. 26. CTB Locker 랜섬웨어 랜섬웨어 악성코드는 주로 문서나 컴퓨터 시스템의 정상적인 사용을 방해하고, 대가로 금전을 요구하는 방식으로 이루어져 있다. 최근 스팸메일의 첨부파일을 통해 랜섬웨어가 유포되고 있어 사용자의 각별한 주의가 필요하다. 악성코드를 유포하는 스팸메일 중 하나를 확인해보겠다. [그림 1] 메일 원본 첨부파일은 압축되어 있으며, 압축을 풀면 아래 파일을 확인할 수 있다. 파일의 확장자는 일반적인 실행파일의 확장자인 'EXE'가 아니다. 화면보호기 파일의 확장자인 'SCR'이다. 하지만 대부분 사용자는 윈도우 탐색기 옵션 중 '[폴더 옵션] - [알려진 파일 형식의 파일 확장명 숨기기]'를 사용하기 때문에, 파일명인 'hunkered'만 표기된다. 이 때문에 사용자는 별다른 의심 없이 파일을 실행하게 된다. [그림 .. 2015. 1. 23. 2014년 MAC 악성코드의 특징 1. Mac OS X얼마 전 Mac 의 운영체제인 OS X 요세미티(Yosemite)가 업데이트 되었고 아이폰 6는 여전히 큰 인기를 끌며 판매되고 있다. 이전에 음악, 디자인 등 예술계 종사자들 혹은 소수의 매니아들만 사용하던 애플사의 Mac 컴퓨터는, 아이팟과 아이폰의 성공에 힘입어 사용자 계층이 크게 확대되고 대중화되었으며, 이에 따라 OS X 악성코드 또한 증가하고 있는 추세이다. 다만, 다음 통계에서 확인할 수 있듯이, 국내의 OS X 점유율은 아직 10%가 채 안 되어, 국내에서는 비교적 파급력이 크지 않다. [그림 1] 국내 OS 점유율 (출처: StatCounter) 그러나 과거 수년간 대형 보안사고 발생에 따른 피해가 점점 커지고, 보안의 중요성에 대한 인식이 확대되면서, 종전의 사용하던.. 2015. 1. 23. NATIONAL SECURITY BUREAU Your computer was automatically blocked 작년부터 악명을 떨친 랜섬웨어는 크립토락커(CryptoLocker)와 크립토월(CryptoWall)이 있다. 이러한 랜섬웨어는 시스템 내부의 특정 파일을 암호화한 후 암호화 해제를 빌미로 돈을 요구한다. 하지만 최근 사용자에게 몸값을 요구하는 새로운 악성코드가 발견되었다. 이 악성코드는 국가안보국(National security bureau, NSB)으로 가장하여 사용자에게 경고 메시지 표기 및 시스템 사용을 방해한다. 이를 해결하기 위해서 미화 250달러를 입금하도록 유도하고 있다. 해당 악성코드에 감염되면, 아래 [그림 1]와 같은 화면이 나타나면서 "불법 소프트웨어가 탐지되어, 시스템을 사용을 차단하였습니다."는 메시지를 화면에.. 2015. 1. 23. 이전 1 ··· 37 38 39 40 41 42 43 ··· 145 다음
