안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2017년 11월 06일 한국에서 제작된 것으로 추정되는 새로운 랜섬웨어가 등장했습니다. 제작자는 해외에서 공개된 오픈소스 기반의 '히든 티어(Hidden Tear)' 랜섬웨어 소스를 활용했습니다. 랜섬웨어는 PDF 문서파일 아이콘으로 위장하고 있으며, 제작자는 'BlackListCP' 라는 이름으로 명명하였습니다. [그림 1] 랜섬웨어 속성 화면 랜섬웨어가 작동하면 하기의 약 158종의 확장자를 대상으로 암호화 작업을 진행합니다. ".3dm", ".3g2", ".3gp", ".aaf", ".accdb", ".aep", ".aepx", ".aet", ".ai", ".aif", ".arw", ".as", ".as3", ".asf", ".asp",..

악성코드 분석 리포트 2017. 11. 13. 10:58

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 세계적으로 Locky 랜섬웨어 유포 방식에 새로운 변화가 생기고 있습니다. 기존에는 주로 MS Word 'DOC' 파일의 매크로(Macro) 기능이나 'JS', 'JSE', 'Java', 'VBS' 등의 스크립트를 이메일에 첨부해 감염을 유도하는 기법을 사용했습니다. 그런데 최근 한달 사이에 MS Word의 매크로 기능이 아닌 DDE(Dynamic Data Exchange) 프로토콜을 활용해 대대적인 공격을 시작했습니다. DDE 프로토콜은 윈도우 운영체제에서 응용프로그램 간 데이터 전송을 위해 사용하는 프로토콜 입니다. [참고자료] https://msdn.microsoft.com/en-us/library/windows/desktop/ms6..

악성코드 분석 리포트 2017. 10. 31. 15:05

안녕하세요. 이스트시큐리티입니다. 최근 GlobeImposter 랜섬웨어의 유포가 빈번하게 발생하고 있습니다. 주로 스팸 메일을 통해 유입되는 것으로 보이며, 다양한 변종들이 지속적으로 등장하고 있습니다. 그 중에서도 암호화된 파일의 확장자를 .707으로 변경시키는 악성코드에 대해 상세 분석을 진행하고자 합니다. 악성코드 상세 분석 프로세스 전체 흐름도 다음은 GlobeImposter 랜섬웨어가 동작하는 방식에 대한 전체적인 흐름도입니다. 생성된 뮤텍스의 존재 여부에 따라 동작이 구분됩니다. [그림 1] GlobeImposter 랜섬웨어 프로세스 전체 흐름도 Image Hijacking 본 악성코드의 악성행위는 child process를 생성하여 Image Hijacking 후에 진행됩니다. Image ..

악성코드 분석 리포트 2017. 10. 27. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. Adobe Flash Player파일로 위장한 'Bad Rabbit'이라 불리는 랜섬웨어가 유포되었습니다. 최근 러시아, 우크라이나와 같은 동유럽의 일부 국가에서 감염이 확인된 상태이며 추가적으로 국내로 유입될 가능성도 있으므로 이용자들의 각별한 주의를 당부드립니다. hxxp://1dnscontrol.com/index.phphxxp://1dnscontrol.com/flash_install.php[표 1] 유포지로 알려진 사이트 'Bad Rabbit’ 랜섬웨어는 파일과 디스크를 암호화하여 감염된 사용자에게 비트코인 결제를 요구합니다. 다음은 Bad Rabbit의 전체 흐름도입니다. [그림 1] Bad Rabbit의 전체 흐름도 Dropper - ..

악성코드 분석 리포트 2017. 10. 25. 11:03

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 익스플로잇 킷(Exploit Kit)을 통해 MyRansom 랜섬웨어가 대량 유포되고 있는 중입니다. 특히, 한국 환경만을 대상으로 한 MyRansom(Magniber) 랜섬웨어가 발견되어 이용자들의 각별한 주의를 당부드립니다. 해당 랜섬웨어는 암호화 진행 전, 한국 언어 환경(0x412)인지 확인합니다. 다음은 언어 환경을 확인하는 코드입니다. [그림 1] 한국 언어 환경을 확인하는 코드 MyRansom 랜섬웨어 암호화 대상 확장자 문자열은 'hwp' 문서 확장자를 포함한 859개입니다. "doc", "docx", "xls", "xlsx", "ppt", "pptx", "pst", "ost", "msg", "em", "vsd", "vsdx..

악성코드 분석 리포트 2017. 10. 19. 15:29

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 'asasin'으로 확장자를 변경하는 Locky 랜섬웨어 변종이 악성 메일 등을 통하여 국내외로 다수 유포되고 있는 정황이 포착되어 이용자들의 주의를 당부드립니다. ※ 관련 글 - 이메일 VBS 첨부파일을 통해 Locky 랜섬웨어 귀환 ▶ 자세히 보기 이번에 Locky 랜섬웨어 유포에 활용된 이메일은 'Invoice INV0000809' 제목과 함께 'Send from my iPhone' 내용을 포함하고 있습니다. 이는 iPhone에서 보낸 송장(Invoice)으로 위장하기 위함으로 보여집니다. [그림 1] Locky 랜섬웨어 유포에 사용된 악성 메일 이용자가 이메일에 첨부된 압축 파일 'Invoice INV0000809.7z'에는 'In..

악성코드 분석 리포트 2017. 10. 11. 14:41

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2017년 09월 26일부터 올크라이(AllCry)라는 이름의 랜섬웨어가 국내에 다수 전파되고 있어 각별한 주의가 필요합니다. 한국의 특정 ① 웹하드 설치 프로그램, ② 잠재적으로 불필요한 프로그램 (PUP:Potentially Unwanted Program) 등을 변조해 사용자 몰래 유포된 상태입니다. 따라서 해당 웹하드 프로그램의 서비스를 이용하고 있거나 불필요한 제휴/스폰서 프로그램이 설치된 경우 올크라이 랜섬웨어에 노출될 위험이 있습니다. 올크라이 랜섬웨어는 닷넷(.NET) 프로그래밍 기반으로 제작되어 있으며, 분석 및 탐지 회피 등을 위해 ".NET Reactor" 코드 프로텍터로 Packing 된 상태입니다. [그림 1] 올크라이 랜..

악성코드 분석 리포트 2017. 9. 30. 16:39

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난 달 국내 이용자들을 대상으로 ‘클래시 오브 클랜' 게임 앱 청구서로 위장한 애플 피싱 메일이 유포되어 주의를 당부 드립니다. 발견된 피싱 메일은 Apple Store에서 ‘Clans of Clans’라는 게임을 구입하였으니 첨부파일에서 청구서를 확인하라는 내용과 함께 PDF 파일이 첨부되어 있습니다. [그림 1] 앱 결제 내역서로 위장한 애플 피싱 메일 메일에 첨부된 PDF 파일은 마치 스토어에서 Clash Of Clans 게임을 구매한 청구서로 보여줍니다. 하지만 실제로는 링크 클릭을 통해 이용자가 피싱 사이트에 접속하도록 유도합니다. 한편, 공격자는 ‘앱 구매를 승인하지 않았을 경우, 링크를 통해 애플 사이트에 방문하여 구매 취소할 수..

악성코드 분석 리포트 2017. 9. 28. 18:16