본문 바로가기

mbr6

‘3.20 APT공격’ 관련 고객정보보호 후속조치 - 1차 : 25일 APT 트레이스 스캔- 2차 : 주중 MBR 프로텍터 제공- 3.20 APT 공격 노출 여부 및 잔여 흔적 추적하는 ‘APT 트레이스 스캔’ 고객사 제공- 비상대응체제 유지 및 고객 피해 최소화 노력 지속 글로벌 보안 기업 안랩(대표 김홍선, www.ahnlab.com)은 오늘, 지난 3월 20일 14시경 발생한 특정 방송사/금융사 대상 APT 공격에 대한 ‘고객정보보호 후속조치’를 발표했다. 이는 안랩이 공격발생 당일인 3월 20일 17시 49분에 긴급 V3 엔진 업데이트 및 18시 40분에 전용백신을 배포한 데 이은 후속조치이다. 안랩이 발표한 고객정보보호 후속조치는 △3.20 APT 공격 노출 여부 및 잔여 흔적을 추적하는 ‘APT 트레이스 스캔(APT Trace Scan)’ 제.. 2013.03.26
주요 방송사 및 은행 전산망 장애 유발 악성코드 분석 3월 20일 14시경 주요 방송사 및 은행 전산망 장애가 발생하는 사고가 한국에서 발생하였으며, ASEC에서는 악성코드 감염 후 디스크 손상으로 부팅 불가로 인해 장애가 발생한 것으로 확인하였다. 현재 해당 악성코드는 운영체제에 따라 디스크를 손상시키는 기능이 포함되어 있으며, 상세한 디스크 손상 내용은 아래 분석 정보에 기술하였다. 해당 악성코드는 V3 엔진(엔진버전: 2013.03.20.06 이상)으로 업데이트 할 경우 검사 및 치료가 가능하며, 3월 20일 오후 6시경부터 제공 중인 전용백신으로도 검사 및 치료 할 수 있다. [UPDATE - 2013/03/25] 현재까지 ASEC에서 분석한 이번 주요 방송사 및 은행 전산망 장애를 유발한 악성코드는 다음 이미지와 같이 A 케이스와 B 케이스로 나누.. 2013.03.21
국내 PC 사용자를 대상으로 유포된 아두스카 부트킷 현재까지 PC의 MBR(Master Boot Record)를 변조하여 악의적인 기능을 수행하는 부트킷(Bootkit)은 러시아와 루마니아를 포함한 동유럽 지역에서 제작되어 유포 되는 사례가 다수를 차지하고 있다. 이러한 부트킷에 대해 ASEC에서는 관련 분석 정보들을 블로그들을 통해 공유한 바가 있다. 2011년 10월 - MBR을 변조하는 Halcbot 부트킷 상세 분석 10월 12일 국내 PC 사용자를 대상으로 유포된 부트킷 기능이 포함된 온라인 게임 관련 개인 정보를 탈취하는 악성코드가 발견되었다. 이 번에 발견된 부트킷 기능의 악성코드는 "해피투게더.exe (230,349,368 바이트)"라는 파일명을 가지고 있으며 200 MB가 넘는 큰 크기를 가지고 있다. 해당 악성코드가 동작하는 전체적인 구.. 2012.10.22
사우디아라비아 정유 업체를 공격한 Disttrack 악성코드 8월 17일 ASEC에서는 8월 15일 공개된 외국 언론 "Saudi Aramco says virus shuts down its computer network"을 통해 사우디 아라비아의 정유 업체인 Saudi Aramco에 특정 악성코드에 의한 피해가 발생하였다는 것을 확인 하였다. 추가적으로 ASEC에서 관련 보안 위협에 대한 정보들을 확인하는 과정에서 시만텍(Symantec)에서 "The Shamoon Attacks"로 명명한 보안 위협과 관련되었음을 파악하였다. Shamoon 보안 위협과 관련된 악성코드는 Disttrack로 명명되었으며, 크게 3가지 기능을 가진 악성코드들이 모듈 형태로 동작하도록 설계되어 있다. 드로퍼(Dropper) - 다른 기능들을 수행하는 악성코드들을 생성하는 메인 악성코드.. 2012.08.20
MBR (Master Boot Record) 을 감염시키는 온라인 게임핵 악성코드 발견 1. 서론 최근 국내에 MBR (Master Boot Record) 을 감염시키는 악성코드가 발견되어 해당 글을 작성합니다. 2. 악성코드 분석 해당 악성코드에 감염되게 되면 아래와 같이 MBR (Master Boot Record) 이 변조되게 됩니다. 이로 인해 변조된 MBR 복구해주지 않으면 시스템이 재부팅 될때마다 악성코드가 계속해서 재감염 됩니다. [그림 1] 변경되기 전 MBR (Master Boot Record) [그림 2] 변경 된 후 MBR (Master Boot Record) 추가로 악성코드가 MBR을 변조할 때 원본을 다른 섹터 영역에 암호화 하여 백업을 해둡니다. 따라서 수동으로 복원할 경우 암호화 된 백업본을 복호화 하여 복원을 하면 되나 이는 일반 사용자가 하기에는 무리가 있습니다.. 2011.09.16
[긴급] MBR 및 파일 손상 !! 시스템 복구 불가능 !! 부팅전에 전용백신으로 조치하세요 !! ◆ 서론 2011년 3월 3일부터 국내 웹사이트를 겨냥한 DDoS 공격 및 감염PC의 시스템 손상을 일으키는 악성코드가 발견 되었습니다. 시스템 손상은 하드디스크 내부에 존재하는 모든 문서파일 등 주요파일을 손상시킨 후 부팅에 관여하는 MBR 정보를 파괴하여 PC를 부팅불가 및 데이터복구 불가 상태로 만들게 됩니다. 이에 아래 조치 가이드를 활용하여 즉시 예방조치 하실 것을 권해 드립니다. (본 문서는 윈도2000 이상의 모든 OS군에 유효 합니다.) 1. 현재 사용 중인(전원이 켜있는) 컴퓨터의 예방조치 방법 A. 안철수연구소 홈페이지에 접속하여 [전용백신 다운로드] 후 검사 2. 현재 사용 중이지 않은(전원이 꺼진) 컴퓨터의 예방조치 방법 A. 안전모드(네트워크사용)로 부팅 B. 안철수연구소 홈페이지.. 2011.03.06