본문 바로가기

악성코드 정보1153

Magniber 랜섬웨어 유포 스크립트의 변화 최근 Magniber 랜섬웨어는 멀버타이징을 통해 활발히 유포되고 있다. 멀버타이징(Malvertising)은 광고 서비스의 정상적인 네트워크를 이용하여 악성코드를 유포 및 감염시키는 방법이다. 유포 건수가 증가하는 만큼, 랜섬웨어 유포 방식 또한 활발하게 변화되고 있다. 사용자 시스템에 랜섬웨어 파일을 숨기는 ADS Data Hiding 기법이 사용된 지 일주일이 채 지나지 않아, Windows 정상 프로그램인 "forfiles.exe"를 이용하는 실행방식으로 변하였다. 그리고 최근에 들어 파일 은폐 방식이 사라지고 "rundll32.exe"를 이용한 실행 방식으로 변하였다.Magniber 랜섬웨어를 사용자 시스템에 유포하는 자바 스크립트의 기간별 변화는 다음과 같다. (샘플 MD5 : 6f4753b9.. 2018. 3. 5.
Magniber 랜섬웨어 구동 방식의 변화 (forfiles.exe 사용) 멀버타이징을 통해 유포되는 Magniber 랜섬웨어는 최근 파일 은폐 기법(ADS Data Hiding)을 이용해 파일을 생성한 후 WMI 쿼리를 통해 사용자 시스템에서 실행된다는 사실이 하기 URL의 게시글을 통해 공유되었다. Magniber 랜섬웨어 파일 생성 방식의 변화(파일은폐) (URL : http://asec.ahnlab.com/1090)이어서 금일 수집된 Magniber 랜섬웨어를 유포하는 자바 스크립트에서 ADS 스트림에 생성한 파일을 forfiles.exe를 통해 실행하는 기법이 새롭게 추가되었다. [그림 1] 난독화된 Magniber 랜섬웨어 유포 스크립트(샘플 MD5 : b82a0a91130751fdb0e6b535c7e186d3) [그림 2] 복호화된 Magniber 랜섬웨어 유포 스.. 2018. 2. 20.
불특정 다수를 대상으로 한 한글 취약점 파일 한글 파일 취약점은 주로 APT 공격에 사용 되었으며 파일명과 본문 내용은 정치,외교 관련 내용을 포함한 경우가 많았다.그러나, 최근 특수한 내용이 아닌 일반적인 내용을 담은 한글 EPS 취약점이 발견되었다. [그림 1] 한글문서 취약점 (1)[그림 2] 한글 문서 취약점 (2)[그림 3] 한글 문서 취약점 (3) CVE-2017-8291 취약점이 발생하는 Encapsulated PostScript 파일이 포함 된 한글 문서가 [그림 1~3]과 같이 다양한 내용을 포함하여 악의적으로 제작되고 있다.따라서, 한글 문서를 사용하는 시스템에서는 프로그램을 최신 버전으로 업데이트하여 취약점이 발생되지 않게 해야하며, 또한 발신자가 불분명한 의심스러운 이메일에 첨부된 문서는 열어보지 않도록 각별한 주의가 요구된다.. 2018. 2. 13.
국내에도 유포되는 GandCrab 랜섬웨어 최근 알려진 신종 랜섬웨어인 GandCrab이 국내에서 유포되고 있다. 해당 랜섬웨어는 Exploit Kit에 의해 취약한 웹사이트에 방문 시 감염된다. 최초 발견된 이후 부터 현재까지 지속적으로 유포가 되고 있다. 을 안랩의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD(AhnLab Smart Defense)에서 확인되었다. 출처: http://asec.ahnlab.com/1066?category=342979 [ASEC Threat Research & Response blog] 이 랜섬웨어에 감염될 경우 파일의 확장자가 .GDCB 로 변경되고 GDCB-DECRYPT.txt 파일이 생성된다. [그림 1. 랜섬웨어 감염 시 확장자 변경]GandCrab 랜섬웨어가 실행 될 시 자기 자신을 %appda.. 2018. 2. 8.
Magniber 랜섬웨어 파일 생성방식의 변화 (파일은폐) 멀버타이징(Malvertising)을 통해 유포되는 Magniber 랜섬웨어의 최근 유포방식에서 사용자 시스템에 랜섬웨어 파일을 생성할때 Alternate Data Stream(ADS)를 활용한 파일 은폐 기법이 사용되었다. 멀버타이징(Malvertising)은 광고 서비스의 정상적인 네트워크를 이용하여 악성코드를 유포 및 감염 시키는 방법이다.[그림 1], [그림 2]는 각각 암/복호화된 유포 스크립트를 나타낸다. [그림 2]의 복호화된 Magniber 유포 스크립트를 보면, %temp% 경로에 생성하는 파일명이 “wa0flL0Y: wa0flL0Y” 임을 확인할 수 있다.[그림 1] 난독화된 Magniber 랜섬웨어 유포 스크립트(샘플 MD5 : 6f4753b9629eecebbf15d1afe9ea4bb.. 2018. 2. 7.
포털사이트 자동 글 업로드/블로그 조회수 조작 유해 프로그램 지난 1월 17일 국내 대형 포털사이트를 대상으로 검색어 조회 수와 블로그 방문자 수를 늘려 순위를 조작한 조직이 적발되었다는 뉴스가 보도되었다. 해당 조직은 특정 프로그램을 제작하여 고가의 유료 프로그램으로 판매하였다.안랩은 이와 같은 유형의 프로그램, 일명 ‘조작기’나 ‘매크로 프로그램’을 악성 파일로 분류하고 진단하고 있다. 하지만 정보 유출 목적의 파일이나 랜섬웨어처럼 불특정 다수를 대상으로 악의적으로 공격하는 것이 아닌 상업적인 이득을 목적으로 거래되는 파일이라는 점을 고려하여, 그 유형을 달리 분류한다. 이러한 악성 파일은 수년 전부터 확인되었으며, 유포 경로를 확인해본 결과 회원제 전용 유료 자료실 또는 개인 간의 1:1 거래로 주로 거래된다.아래는 국내 대형 포털사이트의 카페에 자동으로 글.. 2018. 2. 1.
AhnLab 폴더를 암호화하지 않는 Hermes 랜섬웨어 최근 소개 된 것과 같이 변형 된 Hermes 랜섬웨어가 국내에 유포 중이다. 특이한 점은 이 Hermes가 자사 AhnLab을 타겟으로 한 정황이 포착되었다. Hermes는 시스템의 특정 폴더와 파일을 암호화에서 제외하는데 이 제외 폴더 목록에 'AhnLab'을 포함하고 있다. 이는 V3 기능 중 자사 제품 설치 폴더의 파일이 암호화 될 경우 자체 보호 기능에 의해 사용자가 인지할 수 있도록 하는 부분을 우회하기 위한 것으로 추정된다. 자사의 제품을 설치 할 시 Program Files 경로에 AhnLab이라는 폴더가 생성되는데, Hermes는 폴더명에 AhnLab이 포함 될 경우 암호화 대상에서 제외한다. 이는 과거 2017년 초의 Hermes에서는 없었던 것으로 최근의 변형에 반영되었다. 2017년.. 2018. 1. 31.
Hermes 랜섬웨어의 재등장 2017년에 확장자 명을 변경하지 않는 랜섬웨어로 알려졌던 ‘Hermes(헤르메스)’가 국내에 다시 등장했다. 기존과 마찬가지로 여전히 감염된 파일의 확장자를 변경하지 않으며, 아래와 같이 Time Date Stamp 정보로 보아 최근 제작되어 유포 중임을 알 수 있다.[그림 1] – 최근 유포 된 파일의 Time Date Stamp 정보 최근 유포 중인 Hermes는 악성 행위를 수행하기 전에, 아래 레지스트리를 확인하여 해당 시스템의 언어 국가를 참조하여 특정 국가의 경우 감염에서 제외한다. 확인 레지스트리 확인 값 해당 국가 HKLM\SYSTEM\ControlSet001\Control\Nls\Language\InstallLanguage 0419 러시아 0422 우크라이나 0423 벨라루스 [표 1].. 2018. 1. 29.