악성코드 정보1153 동일 URL에서 유포되는 Hermes v2.1과 GandCrab v4 랜섬웨어 자사에서는 금주 동안 악성 문서가 첨부된 메일을 통해 Hermes v2.1과 GandCrab v4 랜섬웨어를 유포 중임을 확인하였다. 문서는 비밀번호를 필요로 하며, 해당 비밀번호는 아래와 같이 메일에 명시 되어있다. [그림1] – 악성 문서가 첨부 된 메일 비밀번호 입력 후 문서가 열리면 매크로를 활성화 하라는 내용을 확인 할 수 있다. [그림2] – 암호 입력을 필요로 하는 악성 문서 [그림3] – 매크로 활성화 유도하는 문서 내용 매크로가 활성화되면 특정 네트워크에 접속하여 랜섬웨어를 다운로드 후 실행한다. 다운로드 URL http://2*5.**5.*1*.*2/default.exe 파일 저장 경로 및 이름 %temp%\qwerty2.exe [표 1] – 랜섬웨어 유포 주소 및 저장 경로명 흥미로운.. 2018. 7. 5. 음란물과 함께 유포되는 GoBot2 악성코드 주의 2018년 6월 초부터 음란물과 함께 악성코드가 활발히 유포되고 있는 것을 확인했다.해당 악성코드는 음란 게시글을 이용해 사용자들에게 *.zip 파일을 다운받게 유도했고, 다운받은 zip을 풀어 실행할 경우 실제 음란 사진 또는 음란 동영상이 실행되어 사용자가 악성코드에 감염된 사실을 인지하지 못하게 한다. [그림-1] 6월 20일 자 업로드 된 음란 게시글 [그림-1]과 같은 게시글에서 파일을 다운로드 후 압축을 풀면 [그림-2] 처럼 *.mp4를 실행하는 바로가기 파일(*.LNK) 하나만 보이지만 폴더 옵션에서 “숨김파일 표시”를 체크하면 [그림-3] 처럼 mp4, lnk, txt 세 가지 확장자를 가진 파일이 존재함을 알 수 있다. [그림-2] 6월20일 이전 유포된 악성코드 zip - 숨김파일 표.. 2018. 6. 21. GrandSoft 익스플로잇 킷을 통한 갠드크랩 랜섬웨어 유포 최근 웹 익스플로잇 킷을 통해 국내에 유포되는 대표적인 랜섬웨어는 매그니베르 랜섬웨어이다. 하지만 최근 그랜드소프트(GrandSoft) 익스플로잇 킷을 통해 갠드크랩 랜섬웨어도 유포되기 시작했다. 그랜드소프트 익스플로잇 킷은 랜섬웨어를 유포하는데 웹사이트 취약점(CVE-2018-8174) 을 사용한다. 따라서 Internet Explorer 버전이 취약한 경우, 웹 사이트 접속하는 것 만으로 랜섬웨어에 감염될 수 있다. [그림 1] 그랜드소프트(GrandSoft) 익스플로잇 킷 취약점 스크립트 [그림 1]은 그랜드소프트(GrandSoft) 익스플로잇 킷의 취약점 스크립트이다. CVE-2018-8174 취약점을 사용하여 스크립트 내 포함된 쉘코드를 실행시킨다. [그림 2] 쉘코드 기능 (PE 다운로드) [.. 2018. 6. 20. Fileless 형태 매그니베르 랜섬웨어 인젝션 대상(불특정 프로세스) 변경 지난 주말(6월 9일) ASEC은 랜섬웨어 유포지 모니터링 작업 중 파일리스 형태의 매그니베르 랜섬웨어의 인젝션 대상이 변경된 것을 확인하였다. 매그니베르 랜섬웨어는 이전에 확인된 것 처럼 매그니튜드 익스플로잇 킷을 사용하고 있으며, CVE-2018-8174 취약점을 사용하여 쉘코드를 실행한다.실행된 쉘 코드에 의해 매그니베르 랜섬웨어가 동작하면, [그림 1]처럼 실행중인 프로세스 목록 중 [표 1]의 권한이 있는 대상에 인젝션을 수행 한다. 이와 같은 방식으로 시스템의 실행중인 프로세스에 따라 다른 프로세스에 인젝션이 되어 암호화 행위를 수행 한다. (기존에는 IE 프로세스 하위에 새로운 프로세스를 실행하여 인젝션하는 구조 임) [그림 1] 인젝션 대상 검색 값 의미 PROCESS_CREATE_THRE.. 2018. 6. 11. Fileless 형태 매그니베르 랜섬웨어 재등장 지난 주말 ASEC은 랜섬웨어 유포지 모니터링 작업 중 파일리스 형태의 랜섬웨어가 갠드크랩에서 매그니베르로 바뀐 것을 확인하였다. 4월 11일 이후 매그니베르 랜섬웨어가 재등장한 것은 53일 만이다. 매그니베르 랜섬웨어는 매그니튜드 익스플로잇 킷을 사용하는 것을 확인하였으며, 동작 방식은 [그림 1]과 같다. [그림 1] 파일리스 형태의 매그니베르 랜섬웨어 유포 및 동작 방식 현재까지 확인된 인젝션되는 정상 프로세스는 “notepad.exe, hh.exe, help.exe, ctfmon.exe” 이나 계속해서 인젝션 대상은 변화할 것으로 추정된다. [그림 2] 인코딩된 랜딩 페이지 [그림 3] 디코딩된 랜딩 페이지의 메인 함수 [그림 2]는 매그니튜드 익스플로잇 킷의 랜딩 페이지로써 인코딩된 형태이며, .. 2018. 6. 5. 이력서를 가장해 유포되는 GandCrab 랜섬웨어 주의 1. 요약 2018.05.09 오후부터 채용 정보사이트에 기재된 인사담당자를 대상으로 한 이력서 형태의 랜섬웨어가 집중 유포되고 있다. 입사지원자를 사칭한 메일로 인사담당자가 메일 본문에 포함된 링크를 클릭하면 랜섬웨어 다운로드 페이지로 연결된다. 해당 페이지에서 이력서로 위장한 압축 파일을 다운로드 받아 실행 시 GandCrab 랜섬웨어에 감염된다. [그림1 유포_경로] 2. 유포 및 감염 방법 사회공학 기법을 이용한 스팸메일로 채용 정보사이트에 기재된 채용담당자를 공격대상으로 삼았다. 아래와 같이 이력서엔 소개 글과 함께 ‘이력서를 첨부하였습니다’라는 링크 클릭을 유도하는데 이 서버(www.d****aw/doc.php)를 접속할 시 지원자 명의 압축파일을 다운로드 한다.[그림2 지원_메일] 이 압축 .. 2018. 5. 11. Fileless 형태로 유포되는 GandCrab v3.0 GandCrab 랜섬웨어는 최근 Magnitude 익스플로잇 킷을 통해 Fileless 형태로 유포 중임이 발견되었다. 이전 블로그에도 게시했던 것처럼 Magniber 유포지 확인 중 새로운 버전의 GandCrab v2.1이 유포 됨을 확인한바 있다. 이와 관련하여 자사에서는 금주부터 GandCrab v3.0이 Magnitude 익스플로잇 킷을 통해 Fileless 형태로 유포 중임을 추가 확인하였다. [그림 1] 4월 30일 유포과정 구조도 [그림 2] 5월 2일 유포과정 구조도 [그림 1]과 [그림2]는 각각 4월 30일, 5월 2일 Magnitude 익스플로잇 킷을 통해 유포되는 GandCrab v3.0의 구조도이다. 유포 스크립트로부터 GandCrab v3.0 랜섬웨어가 실행되기까지의 상세한 과정.. 2018. 5. 2. GandCrab V2.1 랜섬웨어 (내부 버전 "version=3.0.0") 현재까지 GandCrab 랜섬웨어의 유포는 익스플로잇 킷(Exploit Kit)을 통한 유포와 'OO지원서' 'OO내용증명' 등의 이메일 첨부 파일을 이용한 유포 방식이 주로 확인되었다. 이러한 유포 방식과 더불어 GandCrab 랜섬웨어 파일을 구동하는 방식 또한 다양하게 확인되고 있다. 금주 자사에서는 실질적인 랜섬웨어 기능을 하는 GandCrab DLL이 svchost.exe에 인젝션되어 동작하는 변형을 발견하였다. explorer.exe에 인젝션하여 동작하였던 기존의 방법과는 차이를 보인다. 유포된 파일은 인코딩된 바이너리를 포함하고 있으며, 이를 언패킹 하여 최종 EXE 실행 파일을 메모리상에 생성한다. 이 실행 파일은 실질적인 랜섬웨어 기능을 하는 악성 DLL 파일을 메모리상에 만들고 이를 정.. 2018. 4. 25. 이전 1 ··· 27 28 29 30 31 32 33 ··· 145 다음
