malware8 주의! 실시간 코로나19 현황 프로그램을 위장한 악성코드 유포 ASEC 분석팀은 국내와 일본 사용자를 대상으로 코로나 바이러스와 관련된 악성코드가 유포되고 있는 것을 확인하였다. 해당 악성코드는 코로나19 현황을 나타내는 팝업창을 생성하고 Temp 경로에 악성 파일을 드롭 후 실행한다. 이때 사용자 몰래 악성 파일이 생성되기 때문에 팝업창만 확인시 마치 정상 코로나 현황 프로그램으로 착각할 수 있어 사용자의 주의가 필요하다. 유포중인 파일은 아래와 같은 데이터를 디코딩 후, 특정 프로세스에 디코딩된 데이터를 인젝션(injection) 한다. 인젝션(injection) 된 데이터는 Temp 경로에 “국내 코로나 실시간 현황.exe”(정상) 와 “jjutest1.exe”(악성) 명으로 파일을 드롭 후 실행한다. “국내 코로나 실시간 현황.exe” 파일은 아래와 같이 코.. 2020. 2. 26. 이제는 말할 수 있다! 안랩 vs 갠드크랩(GandCrab) 갠드크랩(GandCrab)은 지난 2018년 초부터 2019년 2분기까지 1년이 넘는 긴 시간 동안 활발하게 유포된 랜섬웨어로 다양한 변종을 통해 전 세계적으로 막대한 피해를 끼쳤다. 국내 사용자를 노린 이력서나 한글 파일 형식 등으로 위장하기도 하였으나 2019년을 지나 2020년 현재는 사실상 자취를 감춘 상태이고, 블루크랩(BlueCrab) 이라는 새로운 랜섬웨어가 기존 갠드크랩과 유사한 방식으로 활발히 유포되고 있는 상황이다. 대다수의 일반적인 악성코드는 감염 시스템에 백신 제품이 설치되었거나 동작 중인 것이 확인되면 악성코드의 기능을 중단하거나 동작 프로세스를 변경한다. 이에 반해 갠드크랩 랜섬웨어는 랜섬웨어의 본래의 목적인 파일 암호화 외에도 코드 상에 ‘안랩’과 ‘V3 Lite’ 제품을 직접.. 2020. 1. 2. 토르(Tor) 취약점을 악용한 Sefnit 한국 시각으로 금일인 2014년 1월 10일 미국 마이크로소프트(Microsoft)의 Malware Protection Center에서 "Tackling the Sefnit botnet Tor hazard" 라는 블로그를 공개하였다. 해당 블로그의 내용은 자체적인 전파 기능이 존재하지 않는 Sefnit 트로이목마가 익명 네트워크를 제공하는 토르(Tor) 프로그램에 존재하는 취약점을 악용하여 유포 중에 있으며, 이로 인해 2013년 8월 경부터 토르 네트워크 트래픽이 급격하게 증가하기 시작하였다고 한다. 그리고, Sefnit 트로이목마가 악용하는 취약점이 존재하는 토르(Tor) 프로그램은 0.2.2.35 버전을 포함한 하위 버전들이며, 다음의 취약점들이 악용 대상이 되고 있다. CVE-2011-2778Mu.. 2014. 1. 10. ASEC 보안 위협 동향 리포트 2012 Vol.33 발간 안랩 ASEC에서 2012년 9월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.33을 발간하였다. 이 번에 발간된 ASEC 리포트는 2012년 9월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈인터넷 익스플로러 버전 7과 8의 제로데이 취약점을 악용하는 악성코드자바 취약점을 악용하는 악성코드트래픽을 유발하는 악성코드P2P 사이트를 통해 유포되는 무협지 위장 악성코드다양한 전자 문서들의 취약점을 악용한 악성코드취약점을 이용하지 않는 한글 파일 악성코드윈도우 8로 위장한 허위 백신 발견당첨! 자동차를 받아가세요도움말 파일로 위장한 악성코드가 첨부된 메일UPS, Amazon 메일로 위장한 악성코드악성코드 치료 후 인터넷 연결이 되지 않.. 2012. 11. 7. 이스라엘 정부 기관 대상의 타겟 공격 발생 이스라엘 언론인 The Times of Israle의 "How Israel Police computers were hacked: The inside story"을 통해 이스라엘 정부 기관을 대상으로 한 타겟 공격(Targeted Attack)이 발생하였음이 공개되었다. 이러한 정부 기관을 대상으로 한 타겟 공격은 최근에는 10월 18일 대만 기상청을 대상으로한 타겟 공격이 발견된 사례가 있다. 특히 이 번에 발견된 이스라엘 정부 기관을 대상으로 한 타겟 공격은 대만 기상청을 대상으로 한 타겟 공격과 유사한 형태로 이메일을 통해 시작되었다. 이스라엘 정부 기관을 대상으로한 타겟 공격에 사용된 이메일은 다음과 같은 메일 형식을 가지고 있는 것으로 트렌드 마이크로(Trend Micro)에서 블로그 "Xtrem.. 2012. 11. 1. 한글 소프트웨어의 취약점을 악용하는 악성코드 ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 취약점을 악용하는 악성코드 사례들을 다수 공개한 적이 있다. 2011년 10월 - 취약한 한글 파일을 악용한 악성코드 유포 2012년 6월 - 한글 제로데이 취약점을 악용한 악성코드 유포 2012년 6월 - 알려진 한글 취약점을 악용한 악성코드 유포 2012년 7월 - 지속적으로 발견되는 취약한 한글 파일 유포 2012년 7월 - 한글 취약점을 악용한 취약한 한글 파일 추가 발견 2012년 8월 - 다시 발견된 한글 취약점을 악용한 취약한 한글 파일 2012년 9월 3일 다시 한글 소프트웨어에 존재하는 취약점을 악용하는 취약한 한글 파일과 악성코드가 다시 발견되었다. 이 번에 발견된 취약한 한글 파일을 열게 되면 아래 이미지와 .. 2012. 9. 4. MS12-004 윈도우 미디어 취약점을 악용한 악성코드 유포 2012년 1월 27일 금일 트렌드 마이크로(Trend Micro) 블로그 "Malware Leveraging MIDI Remote Code Execution Vulnerability Found"를 통해 마이크로소프트(Microsoft)에서 1월 11일 배포하였던 보안 패치인 "MS12-004 Windows Media의 취약점으로 인한 원격 코드 실행 문제점 (2636391)"와 관련된 취약점(CVE-2012-0003)을 악용하여 유포된 악성코드가 발견되었다. 해당 MS12-004 취약점을 악용하여 유포된 악성코드와 관련된 사항들을 ASEC에서 추가적인 조사를 진행하는 과정에서 해당 악성코드는 아래와 같은 전체적이 구조를 가지고 있는 것으로 파악하였다. 악성코드 감염의 근본적인 시작이 되는 mp.html.. 2012. 1. 27. [악성스팸메일 주의] "report", "Delivery Status Notification (Failure)" "report", "Delivery Status Notification (Failure)" 제목의 악성 html 파일을 첨부한 스팸메일이 유포중 입니다. 스팸메일 내 본문 내용은 아래와 같습니다. 1. 메일제목 ▶ report Sending my report. Have a great weekend. Cheers 2. 메일제목 ▶ Delivery Status Notification (Failure) Delivery to the following recipient failed permanently: ampoulesvb8@resp-usc.com Technical details of permanent failure: DNS Error: Domain name not found 해당 html들은 악성코드 제작자가 .. 2010. 9. 21. 이전 1 다음
