전체 글보기1301 국내 사용자를 대상으로 유포 중인 악성 Excel 문서 파일 최근 국내 사용자를 대상으로 하는 악성 문서 파일이 유포 중이다. 이 문서 파일은 최종적으로 "Flawed Ammyy" 라고 불리는 RAT(Remote Access Tool) 원격제어 기능의 백도어 악성코드를 사용자의 PC에 설치하는데, 해당 악성코드는 작년에도 스팸 메일의 첨부 파일 형태로 유포된 이력이 있다. 작년의 사례를 보면 스팸 메일 자체는 영어로 작성되어 있었지만, 악성코드가 검사하는 백신 프로그램 이름 중에 안랩의 V3가 포함되어 있어서 국내 사용자도 대상에 포함될 수 있다는 사실을 추정할 수 있었다. 하지만 최근 접수된 샘플의 경우 직접적으로 국내 사용자를 대상으로 엑셀 문서 파일을 한글로 작성하여 유포되었다는 점이 차이점이라고 할 수 있다. 또한 악성 exe 파일을 직접적으로 다운로드 받.. 2019. 2. 14. ‘EternalBlue’ SMB 취약점(MS17-010)을 통한 악성코드 감염 확산 (2) 안랩 ASEC은 지난 2월 11일 EternalBlue SMB 취약점으로 국내 POS 장비에 코인 마이너를 전파하는 공격을 확인하였다. 작년 6월에도 같은 이터널 블루 취약점으로 POS 장비의 인터넷이 마비되는 사건(https://asec.ahnlab.com/1143)이 있었으며 재작년 ‘WannaCrypt’ 이슈부터 현재까지도 공격자들은 SMB 취약점 공격을 악성코드를 전파하는 데 사용하고 있다. 추가로 이번 공격에 사용된 악성코드는 1월 28일 중국 Tencent 업체에서 언급된 것과 동일한 기능을 갖는 것으로 확인되었다. (https://guanjia.qq.com/news/n3/2475.html) 해당 취약점 공격은 윈도우 보안 패치로 방어할 수 있으므로 POS 장비뿐만 아니라 아직 MS 패치를 적.. 2019. 2. 13. Microsoft Office Excel - DDE 이용 악성 기능 실행 (2) 지난 12월 안랩 ASEC은 DDE (Dynamic Data Exchange)를 이용하여 페이로드를 전달하는 악성 엑셀 문서 파일에 대해 정보를 공개하였다. 당시 접수된 유형은 CSV 형식 엑셀 파일에 cmd 커맨드를 포함한 수식 표현을 통해 악성 기능을 실행하였다. 또한 백신 제품의 진단을 우회하기 위해 반복된 개행이나 무의미한 랜덤 문자 등을 다수 삽입하였다. (관련 글: 'Microsoft Office Excel - DDE 이용 악성 기능 실행') 최근에 접수된 악성 엑셀 파일 변종은 기존과 같이 DDE를 이용하였지만 cmd 응용 프로그램을 직접 호출하는 것이 아닌 MSEXCEL 엑셀 인스턴스를 통해 cmd 커맨드를 호출하도록 하였다. 그리고 CSV 형식인 파일 앞부분과 MSEXCEL 앞부분에 무의.. 2019. 2. 11. PDF 형태로 유포되는 Phishing 악성코드 (URL 탐지 우회) 안랩 ASEC은 최근 피싱 공격에 사용되는 PDF 악성코드가 URL 탐지를 우회하는 방식으로 제작되어 유포 중인 것을 확인하였다. 피싱(Phishing)이란, ‘private data’와 ‘fishing’의 합성어로서 사용자 스스로 개인 정보를 입력하도록 유도하여 갈취하는 공격이다. 이러한 피싱 공격에 사용되는 PDF 악성코드는 주로 자극적인 내용을 통해 사용자의 호기심을 유발하여 피싱 사이트로의 링크 클릭을 유도한다. 일반적인 PDF 뷰어 프로그램은 사용자가 링크를 클릭할 때, 아래의 사진과 같이 URL을 보여주고 해당 사이트에 대한 연결 여부를 묻는 메시지 박스를 팝업시킨다. 이러한 방식이 사용되기 때문에 PDF 파일 내부에는 피싱 사이트의 URL 문자열이 존재하게 된다. 최근 발견된 PDF 악성코드.. 2019. 1. 30. 암호화폐 가치에 따른 마이너 악성코드 동향 (2018) 2018년 마이너(Miner) 악성코드 샘플과 감염 리포트 수량이 크게 증가했다. 해당 악성코드의 샘플 수량은 2017년의 12만7천건에서 2018년도는 299만건으로 무려 2,254% 증가율을 보였다. [그림 1] Miner 악성코드 샘플 수량 및 감염 리포트 수량 vs 비트코인 가격 (※ 비트코인 시세: 코인마켓캡(https://coinmarketcap.com) 자료 기준) 마이너 악성코드의 폭발적인 증가는 암호화폐(Cryptocurrency, 일명 가상화폐)의 급격한 가치 상승에 기인한 것으로 분석된다. 실제로 [그림 1]과 [그림 2]의 비트코인(Bitcoin, BTC)과 모네로(Menero, XMR) 가격 추세 그래프에서 알 수 있듯이 2018년 1분기 암호화폐의 가격 상승과 함께 샘플 및 감염.. 2019. 1. 29. 시스템 오류로 위장한 기술 지원 사기 주의 최근 온라인 광고 사이트를 통해서 시스템 오류로 위장한 기술 지원 사기가 유행하고 있습니다. [기술 지원 사기(Tech Support Scams)]시스템 또는 소프트웨어의 문제가 발생한 것처럼 위장한 뒤, 사용자에게 이를 수리하기 위한 기술 지원 비용을 요구하는 기법 최근 인터넷 뉴스 사이트에 포함된 광고 네트워크에서 기술 지원 사기 웹 사이트가 발견되었습니다. 이러한 웹 사이트는 시스템 오류가 발생한 것처럼 위장하여 팝업창을 출력합니다. [그림] 기술 지원 사기 웹 사이트 발견된 기술 지원 사기 웹 사이트는 다음과 같이 두가지 종류의 팝업창을 사용합니다. 이미지와 HTML을 이용하여 Windows에서 발생하는 오류로 위장 [그림 1-1] Windows에서 발생하는 오류 위장[그림 1-1]은 'Windo.. 2019. 1. 24. 보안취약점을 이용한 악성코드 감염 예방 방법 최근 운영체제와 응용프로그램의 취약점을 이용한 악성코드가 유행하고 있습니다. 악성코드에 감염되면 파일 암호화, 개정보 유출 등의 피해를 입을 수 있습니다. 악성코드로부터의 피해를 예방하기 위해서는 운영체제 및 응용프로그램의 보안 업데이트를 최신 상태로 유지해야 하고 V3 제품의 실시간 감시, 행위 기반 진단, Active Defense 기능을 설정하여 사용하시기를 권장합니다. [주요 OS 및 애플리케이션 보안 패치 업데이트 안내] * Adobe Flash Player : http://get.adobe.com/kr/flashplayer/* Microsoft : http://update.microsoft.com/ (Windows 정품인증 필요)* Adobe Acrobat Reader : http://get... 2019. 1. 24. 국내 유포 중인 Gandcrab v5.1 안랩 ASEC은 2019년 1월 17일 국내 사용자를 대상으로 한 이력서로 가장하여 유포중인 Gandcrab v5.1을 발견하였다.1월 16일까지는 이력서로 가장한 Gandcrab과 JS 스크립트를 통해 유포되는 Gandcrab은 모두 v5.0.4로 같았다. 그러나 1월 17일부터 이력서를 통해 유포되는 Gandcrab 버전이 5.1로 변경되었다. (JS 스크립트를 통해 유포되는 GandCrab은 v5.0.4) 2018년 11월 15일 발견 된 이력서를 가장하여 유포중인 Gandcrab(http://asec.ahnlab.com/1178)과 달리, 첨부파일을 통해 랜섬웨어를 실행한다. 첨부파일에는 정상 이력서 문서 파일(*.doc)과 이미지 파일로 위장한 실행파일, 랜섬웨어를 실행하는 바로가기 파일(*.l.. 2019. 1. 18. 이전 1 ··· 22 23 24 25 26 27 28 ··· 163 다음
