전체 글보기1301 스팸메일을 통해 유포되는 VenusLocker 랜섬웨어 최근 국내 관공서 등에 사회공학적 기법을 이용한 VenusLocker 랜섬웨어가 유포되고 있다. 해당 랜섬웨어는 주로 스팸메일을 이용하며 첨부된 악성 문서 파일을 통해 드롭 or 다운로드되거나 문서 파일로 가장하여 유포되기도 한다. 따라서 사용자는 메일 내부의 첨부 파일 실행 시 의도된 파일이 맞는지, 신뢰할 수 있는 내용인지에 대한 확인이 필요하다. VenusLocker 는 실행 시 대상 PC 의 모든 드라이브를 탐색하여 조건에 맞는 암호화 대상 파일을 선정, 이후 AES 알고리즘을 사용하여 파일을 암호화 시키는데 전제 동작 방식은 [그림 1] 과 같다.[그림 1] VenusLocker 유포 및 동작 방식 스팸메일 본문에는 의미 있는 내용을 담고 있으며 사용자로 하여 의심 없이 첨부된 파일을 실행시키게.. 2017. 1. 20. 사물인터넷 (IoT) 환경 위협하는 악성코드들 2016년 9월 브라이언 크렙스의 블로그 크렙스온시큐리티(KrebsOnSecurity)와 프랑스 인터넷 호스팅 업체 OVH에 대해 기록적인 DDoS 공격이 발생하고 2016년 10월 21일 금요일 오전 미국 인터넷 호스팅 서비스업체 딘(Dyn)이 DDoS 공격을 당한 사건이 일어났다. 이로 인해 에어비앤비(Airbnb), 페이팔(PayPal), 넷플릭스(Netflix), 사운드 클라우드(SoundCloud), 트위터(Twitter), 뉴욕타임스(The New York Times) 등 여러 사이트에서 접속 장애가 발생했다. 이들 공격에는 사물인터넷(Internet of Things, IoT)을 감염시키는 미라이(Mirai)라는 악성코드가 이용되었음이 밝혀진다. 현재 여러 운영체제가 IoT의 주도권을 놓고 .. 2016. 12. 7. MS 워드 문서에서 폼 개체를 활용한 악성코드 최근 Microsoft Office Word 문서 파일 내부의 사용자 정의 폼을 이용한 악성코드가 스팸 메일과같은 사회적 공학 기법 (Social Engineering) 을 이용하여 유포되고 있으므로 사용자의 각별한 주의가 필요하다. 해당 악성코드는 VBA (Visual Basic for Applications, Microsoft Office 응용프로그램의 확장을 위한 프로그래밍 언어) 매크로를 이용하여 사용자 정의 폼 내부 암호화된 쉘코드(Shellcode)와 내부에 숨겨진 악성 실행 파일을 통해 정상 프로세스에 인젝션(Injection)하여 악성 행위를 수행한다.[그림 1] Flowchart Word 문서 파일을 열면 본문의 이미지를 통해 사용자의 매크로 실행을 유도한다.[그림 2] 본문 이미지 VB.. 2016. 11. 28. SWF 파일 내에 숨겨진 취약점 파일 생성과정 지난 ‘랜섬웨어 다운로드 목적의 플래시파일 (SunDown EK)’ (http://asec.ahnlab.com/1048) 글에서 소개한 것처럼 Exploit Kit (Exploit Kit - 웹 서버에서 동작하는 공격용 소프트웨어, 이하 EK) 을 통해 유포되는 플래시 파일 중 내부에 암호화된 플래시 파일을 가지고 있는 유형에 대해서 소개하고자 한다.해당 플래시 파일 역시 랜섬웨어 다운로드 목적일 것으로 추정된다. 플래시 파일 내부 구조와 ActionScript (AS, 플래시에서 사용되는 스크립트 언어) 는 [그림 1] 과 같다.[그림 1] 플래시 파일 구조와 스크립트 코드 스크립트 코드는 파일 실행 시 내부의 암호화된 데이터를 복호화하며 과정은 [그림 2] 와 같다.[그림 2] 내부 데이터 복호화 과.. 2016. 11. 28. OpenType 폰트 취약점 악용 파일 발견 (CVE-2016-7256) 2016년 11월 8일, Microsoft 에서 OpenType 폰트 취약점 관련하여 보안패치를 배포하였다. (MS16-132, CVE-2016-7256) 해당 취약점은 국내에서 최초 발견 및 보고된 것으로 피해를 예방하기 위해 아래의 보안패치를 적용하는 것이 필요하다.[보안패치] https://technet.microsoft.com/ko-kr/library/security/mt674627.aspx OpenType 폰트는 Microsoft 와 Adobe 가 함께 개발한 폰트 형식으로, .otf 또는 .ttf 확장자를 갖는다. 폰트의 모양새를 결정하는 데이터가 Compact Font Format (CFF) 형식인지 TrueType 형식인지에 따라 파일의 시작부분 첫 4 바이트의 값이 달라지는데, 아래의 [.. 2016. 11. 10. 랜섬웨어 다운로드 목적의 플래쉬파일 (Magnitude EK) 최근 ‘Cerber’ 이름의 랜섬웨어를 다운로드 받는 악성 플래쉬(Flash) 파일이 다량으로 유포되고 있어 사용자의 주의가 요구된다. 본 글에서는 이러한 플래쉬 파일에서 2차 악성 실행파일을 다운로드 하기 위해 쉘코드(Shell Code)를 사용하는 사례를 소개한다.[그림 1]과 같이 irrcrpt 이름의 함수를 사용해 암호화 되어 있는 문자열 데이터(“FC590101”)를 복호화 하면 [그림 2]와 같은 쉘코드를 확인할 수 있다. 쉘코드의 주요 기능은 2차 실행파일 다운로드이며, 다운로드 URL 주소 부분을 제외하고 쉘코드는 모두 동일한 형태를 갖는다. [그림 1] SWF 내부 코드[그림 2] Shell Code 일부 쉘코드는 JMP 코드(0xEB)로 시작하며, 악성 코드를 동작하기 위해 필요한 DL.. 2016. 11. 8. 랜섬웨어 다운로드 목적의 플래쉬파일 (SunDown EK) 최근 ‘Locky’, ‘Cerber’ 와 같은 랜섬웨어를 다운로드 받아 실행하는 플래시 파일 (Adobe Flash File)이 유포되고 있어 사용자의 주의를 요하고 있다. 그 중 ‘SunDown’ 익스플로잇 킷트 (Exploit Kit - 웹 서버에서 동작하는 공격용 소프트웨어, 이하 EK) 에 의해 유포되는 플래시 파일에 대한 내용을 소개하면 다음과 같다. 해당 EK 의 주요 공격 대상은 Adobe Flash Player, Internet Explorer, SilverLight 취약점이며, 파라미터를 통해 Base64 인코딩된 쉘코드 및 악성코드 다운로드 URL 을 전달 받아 랜섬웨어를 다운로드 하는 기능을 가지고 있다. 본문의 플래시 파일 또한 동일한 기능을 가지고 있으며, 추가로 플래시 파일 내부.. 2016. 11. 8. 다양한 문서파일 내부의 EPS (Encapsulated PostScript) 취약점 최근 Microsoft Office 문서와 한글 파일 내에 삽입된 EPS (Encapsulated PostScript) 개체의 취약점을 이용한 악성코드가 유포되어 사용자의 주의가 요구된다. EPS (Encapsulated PostScript) 는 화면상에 그래픽 요소를 출력하는 용도로 제작된 Adobe 스크립트 언어로, 캡슐화된 형태를 통해 특정 개체 내에 삽입이 가능하다.지난 2015년 해당 EPS 파일에서 발견된 CVE-2015-2545 취약점은 Microsoft Office 문서파일을 열 경우 악성코드 제작자가 제작한 임의의 코드를 실행 가능하도록 하며, 이후 사용자 시스템의 정보유출, 추가 악성코드 다운로드 등의 악의적인 기능을 수행하는 형태가 발견되고 있다. 해당 취약점은 EPS 파일을 처리하는.. 2016. 11. 7. 이전 1 ··· 37 38 39 40 41 42 43 ··· 163 다음
