전체 글보기1301 인터넷 바로가기(*.URL) 파일을 첨부하여 발송되는 스팸메일 주의 금일 안랩 시큐리티 대응 센터(ASEC)는 불특정 다수의 사용자에게 스팸메일을 통해 인터넷 바로가기 파일(확장자: URL)이 다수 유포된 것을 확인하였다. [그림-1] 스팸 메일 내용해당 메일은 상기 [그림-1]과 같이 ZIP으로 압축된 파일을 첨부하여 유포되었으며, 압축을 해제할 경우 아래의 [그림-2]와 같이 인터넷 바로가기파일이 존재함을 확인 할 수 있다 [그림-2] 첨부 파일 압축 해제 시 [그림-3] 정상적인 인터넷 바로가기 아이콘 및 구조정상적으로 생성된 인터넷 바로가기의 아이콘은 상기 [그림-3]과 같이 사용자의 기본 사용 브라우저 아이콘을 갖고 있으나, 악의적으로 제작된 인터넷 바로가기는 [그림-4]와 같이 shell32.dll 아이콘을 사용하여 폴더 형태 아이콘으로 사용자로 하여금 클릭을.. 2018. 3. 6. 이력서를 가장한 모네로 코인 마이너 유포 주의 이력서를 가장한 모네로 코인 채굴 악성코드(이하 마이너)가 지난 11월부터 이메일을 통해 불특정 다수에게 꾸준히 유포되고 있다. 이에 따라 아래 본문에서 언급할 내용의 메일을 수신한 사용자는 코인 마이너가 담긴 첨부파일을 실행하지 않도록 각별한 주의가 필요하다. 모네로 코인 마이너는 [그림 1]과 같은 메일 내용에 첨부 파일 형태로 유포된 것으로 추정된다. [그림 1] 메일 본문 중 일부 마이너 악성코드가 첨부된 압축 파일은 .egg 확장자를 사용하며, 압축된 파일 목록은 [그림 2]와 같다. [그림 2] 압축 파일 목록 압축된 파일의 종류에는 바로 가기(*.lnk) 파일과 마이너(facebook.exe) 파일 두 종류가 있는데, 이 중 바로 가기 파일의 경우 이전 ASEC 블로그(http://asec... 2018. 3. 6. 2016년 9월 - 2017년 12월 악성 한컴 한글 파일 동향 한글과컴퓨터(이하 한컴)의 아래아 한글(이하 한글)은 1989년 출시 이후 한국에서 가장 널리 사용되고 있는 워드프로세서로 특히 공공 기관에서 널리 이용되고 있다. 한국 내 사용자, 기업, 기관을 노린 공격자는 한글을 악성코드 감염 방법으로 이용하고 있다. 안랩에서 2016년 9월부터 2017년 12월까지 16개월 동안 발견된 악성 한글 파일을 분석한 결과 주 공격 대상은 북한 관련 업무 종사자와 가상화폐 관련 업무 종사자인 것으로 추측된다. 악성 HWP 종류는 취약점, 자바 스크립트, EPS(Encapsulated PostScript), 개체 삽입된 형태가 존재하며 현재 공격자는 EPS를 이용한 방법을 가장 널리 이용되고 있다. 공격 그룹은 공격 대상, 공격 기법, 악성코드를 통해 분류 했을 때 최소 .. 2018. 3. 5. Magniber 랜섬웨어 유포 스크립트의 변화 최근 Magniber 랜섬웨어는 멀버타이징을 통해 활발히 유포되고 있다. 멀버타이징(Malvertising)은 광고 서비스의 정상적인 네트워크를 이용하여 악성코드를 유포 및 감염시키는 방법이다. 유포 건수가 증가하는 만큼, 랜섬웨어 유포 방식 또한 활발하게 변화되고 있다. 사용자 시스템에 랜섬웨어 파일을 숨기는 ADS Data Hiding 기법이 사용된 지 일주일이 채 지나지 않아, Windows 정상 프로그램인 "forfiles.exe"를 이용하는 실행방식으로 변하였다. 그리고 최근에 들어 파일 은폐 방식이 사라지고 "rundll32.exe"를 이용한 실행 방식으로 변하였다.Magniber 랜섬웨어를 사용자 시스템에 유포하는 자바 스크립트의 기간별 변화는 다음과 같다. (샘플 MD5 : 6f4753b9.. 2018. 3. 5. Magniber 랜섬웨어 구동 방식의 변화 (forfiles.exe 사용) 멀버타이징을 통해 유포되는 Magniber 랜섬웨어는 최근 파일 은폐 기법(ADS Data Hiding)을 이용해 파일을 생성한 후 WMI 쿼리를 통해 사용자 시스템에서 실행된다는 사실이 하기 URL의 게시글을 통해 공유되었다. Magniber 랜섬웨어 파일 생성 방식의 변화(파일은폐) (URL : http://asec.ahnlab.com/1090)이어서 금일 수집된 Magniber 랜섬웨어를 유포하는 자바 스크립트에서 ADS 스트림에 생성한 파일을 forfiles.exe를 통해 실행하는 기법이 새롭게 추가되었다. [그림 1] 난독화된 Magniber 랜섬웨어 유포 스크립트(샘플 MD5 : b82a0a91130751fdb0e6b535c7e186d3) [그림 2] 복호화된 Magniber 랜섬웨어 유포 스.. 2018. 2. 20. 불특정 다수를 대상으로 한 한글 취약점 파일 한글 파일 취약점은 주로 APT 공격에 사용 되었으며 파일명과 본문 내용은 정치,외교 관련 내용을 포함한 경우가 많았다.그러나, 최근 특수한 내용이 아닌 일반적인 내용을 담은 한글 EPS 취약점이 발견되었다. [그림 1] 한글문서 취약점 (1)[그림 2] 한글 문서 취약점 (2)[그림 3] 한글 문서 취약점 (3) CVE-2017-8291 취약점이 발생하는 Encapsulated PostScript 파일이 포함 된 한글 문서가 [그림 1~3]과 같이 다양한 내용을 포함하여 악의적으로 제작되고 있다.따라서, 한글 문서를 사용하는 시스템에서는 프로그램을 최신 버전으로 업데이트하여 취약점이 발생되지 않게 해야하며, 또한 발신자가 불분명한 의심스러운 이메일에 첨부된 문서는 열어보지 않도록 각별한 주의가 요구된다.. 2018. 2. 13. 국내에도 유포되는 GandCrab 랜섬웨어 최근 알려진 신종 랜섬웨어인 GandCrab이 국내에서 유포되고 있다. 해당 랜섬웨어는 Exploit Kit에 의해 취약한 웹사이트에 방문 시 감염된다. 최초 발견된 이후 부터 현재까지 지속적으로 유포가 되고 있다. 을 안랩의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD(AhnLab Smart Defense)에서 확인되었다. 출처: http://asec.ahnlab.com/1066?category=342979 [ASEC Threat Research & Response blog] 이 랜섬웨어에 감염될 경우 파일의 확장자가 .GDCB 로 변경되고 GDCB-DECRYPT.txt 파일이 생성된다. [그림 1. 랜섬웨어 감염 시 확장자 변경]GandCrab 랜섬웨어가 실행 될 시 자기 자신을 %appda.. 2018. 2. 8. Magniber 랜섬웨어 파일 생성방식의 변화 (파일은폐) 멀버타이징(Malvertising)을 통해 유포되는 Magniber 랜섬웨어의 최근 유포방식에서 사용자 시스템에 랜섬웨어 파일을 생성할때 Alternate Data Stream(ADS)를 활용한 파일 은폐 기법이 사용되었다. 멀버타이징(Malvertising)은 광고 서비스의 정상적인 네트워크를 이용하여 악성코드를 유포 및 감염 시키는 방법이다.[그림 1], [그림 2]는 각각 암/복호화된 유포 스크립트를 나타낸다. [그림 2]의 복호화된 Magniber 유포 스크립트를 보면, %temp% 경로에 생성하는 파일명이 “wa0flL0Y: wa0flL0Y” 임을 확인할 수 있다.[그림 1] 난독화된 Magniber 랜섬웨어 유포 스크립트(샘플 MD5 : 6f4753b9629eecebbf15d1afe9ea4bb.. 2018. 2. 7. 이전 1 ··· 32 33 34 35 36 37 38 ··· 163 다음
