안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 이스트시큐리티는 2018년도 한 해 동안의 랜섬웨어 동향을 정리해 보았습니다. 2018년에는 어떠한 랜섬웨어들이 등장했으며, 랜섬웨어들의 특징은 무엇이 있는지 알아보겠습니다. GandCrab 랜섬웨어의 등장 GandCrab랜섬웨어는 감히 2018년을 대표하는 랜섬웨어라고도 부를 수 있겠습니다. GandCrab 랜섬웨어는 2018년 2월, 러시아의 해킹 커뮤니티에서 RaaS 형태로 처음 발견된 이후 꾸준히 변종이 등장했으며, 1.0 버전부터 현재까지 5번의 메이저 업데이트와 여러 번의 마이너 업데이트를 진행하였으며, 2018년 12월 말까지 5.1.9 버전까지 공개됐습니다. GandCrab 랜섬웨어는 해외 뿐만 아니라 국내에서도 다양한 수법으로 ..

악성코드 분석 리포트 2019. 2. 1. 10:13

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다 피싱메일이 유포되어 사용자들의 주의가 필요합니다. 이 메일은 파일을 찾으라는 내용과 함께 html 파일이 첨부되어 있습니다. [그림1 악성메일] 사용자가 만약 html 파일을 실행하면 다음과 같이 DAUM 페이지를 위장한 피싱 페이지가 뜨게 됩니다. [그림 2 daum 페이지를 위장한 피싱 페이지] 해당 페이지는 어떠한 악성행위도 하지 않으며, 다만 사용자가 해커가 만들어 놓은 입력란에 계정정보를 입력하면 입력한 정보가 해커에게 전송되게 됩니다. 현재 알약에서는 해당 html파일에 대해 Trojan.HTML.Phish로 탐지중에 있습니다.

악성코드 분석 리포트 2019. 1. 31. 10:43

라자루스(Lazarus)그룹 '익스트림 잡(Operation Extreme Job)' APT 공격 안녕하세요? 이스트시큐리티 CTI 조직인 시큐리티대응센터(이하 ESRC)는 정부후원을 받는 공격자(State-sponsored Actor)가 수행한 최신 지능형지속위협(APT) 캠페인을 확인했습니다. 이 그룹은 이른바 라자루스(Lazarus) 이름으로 널리 알려져 있고, 2018년 09월 06일 미 법무부에서 미국 소니픽쳐스 영화사 해킹, 방글라데시 은행 해킹, 워너크라이 랜섬웨어 유포 등의 혐의로 LA 연방법원에 기소고발을 하였고, 미연방수사국(FBI)에서는 지명수배를 내린 상태입니다. https://www.fbi.gov/wanted/cyber/park-jin-hyok/@@download.pdf https..

악성코드 분석 리포트 2019. 1. 31. 08:15

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. PDF 파일을 기반으로 하는 애플 피싱메일이 유포되고 있어 주의가 필요합니다. 이번에 발견된 피싱 메일은 사용자의 애플 계정이 잠겼다는 내용과 함께 PDF 파일이 첨부되어 있습니다. [그림1] 애플 서비스로 위장한 피싱메일 사용자가 첨부되어 있는 PDF 를 클릭하면, 비합법적인 로그인으로 인하여 계정 사용이 중지되었다는 내용과 함께 계정확인 링크가 포함되어 있어 사용자들의 클릭을 유도합니다. [그림2] 계정 사용 중지 안내와 계정확인 링크 해당 PDF 파일 자체는 어떠한 악성기능도 포함하고 있지 않으며, 악성 페이지로 사용자를 이동시키는 매개체 역할을 합니다. 사용자가 계정확인 버튼을 클릭하면, 공격자가 제작해놓은 그럴듯한 애플 페이지가 뜨며, ..

악성코드 분석 리포트 2019. 1. 30. 16:00

안녕하세요? 이스트시큐리티입니다. 구글 플레이스토어에서 정상 앱을 가장한 악성 앱이 지속적으로 발견되고 있습니다. 관련 앱들은 게임, 티비, 리모컨 등의 앱으로 위장하여 사용자를 속입니다. 해당 앱 중에는 다운로드 건수가 500만 건이 넘는 앱도 있었습니다. 특히, 다양한 가상환경 탐지 기법을 적용하여 앱 분석을 방해하며 광고 팝업뿐만 아니라 기기 및 개인 정보를 탈취합니다. 본 분석 보고서에서는 'Trojan.Android.FakeApp'를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 광고를 위한 앱 설정광고를 하기 위해서 자체 설정을 하는데, 해당 설정과 관련된 정보는 인터넷을 통해서 읽어오고, shared_prefs에 값을 저장합니다. 또한, 인터넷이 안될 경우를 대비하여 앱 자체에도 하드 코..

악성코드 분석 리포트 2019. 1. 28. 15:19

안녕하세요. 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 2018년 한해 동안 스미싱을 통한 악성앱들이 꾸준이 유포되었습니다. 이에 이스트시큐리티에서는 한 해 동안 수집한 스미싱들의 수집 통계를 내보았습니다. 다음 차트는 2018년 한해 동안 ESRC에서 수집한 스미싱 통계로, 차트를 보시면 월별로 증감이 있지만 꾸준하게 증가 추세를 그리며 유포되고 있다는 것을 알 수 있습니다. 그림 1. 2018년 스미싱 월별 통계 특이한 부분은 여름휴가가 집중되는 달에 최고조를 이루고 있다는 점입니다. 즉, 공격자들이 피해자들의 생활패턴이나 이벤트에 맞추어 공격을 진행하고 있다는 것을 유추 할 수 있습니다. 그리고 다음 차트는 수집된 스미싱 악성앱들을 탐지명 별로..

악성코드 분석 리포트 2019. 1. 28. 13:42

안녕하세요? 이스트시큐리티입니다. 최근 Outsider로 명명된 랜섬웨어가 새롭게 등장해 사용자의 각별한 주의가 필요합니다. Outsider 랜섬웨어는 확장자에 관계없이 모든 파일을 암호화하고 특정 확장자에 따라 암호화 방식을 달리합니다. 또한, 사용자 시스템뿐만 아니라 사용자시스템과 연결된 네트워크 드라이브까지 검사해 감염시키는 것이 특징입니다. 공격자는 파일 복호화 대가로 $900의 비트코인을 요구하며 금전적인 이득을 노립니다. 따라서, 본 보고서에서는 Outsider 랜섬웨어의 행위와 특징에 대해서 알아보고자 합니다. 악성코드 상세 분석 Outsider랜섬웨어는 사용자의 시스템 언어를 확인하여 암호화 여부를 결정합니다. 다음과 같은 언어를 사용 중일 경우에는 암호화를 진행하지 않으며, 이 외의 언어..

악성코드 분석 리포트 2019. 1. 24. 15:44

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 유명 소셜커머스의 입사지원을 위장하여 악성코드가 유포되어 사용자들의 주의가 필요합니다. [그림 1] 입사지원서를 위장한 악성메일 공격자는 해당 소셜커머스 회사 특정 직군에 지원하는 것처럼 이력서를 위장하여 악성코드를 전달하였습니다. 확인 결과, 해당 기업은 실제로 현재 해당 직군의 인재를 채용 중인 것으로 확인되었습니다. [그림 2] 실제로 진행중인 채용공고 공격자가 보낸 이메일의 첨부 파일에는 악성 매크로가 포함된 doc 파일이 첨부되어 있습니다. [그림 3] 악성메일에 첨부되어 있는 압축파일 사용자가 압축 해제 후 악성매크로가 포함된 doc 파일을 실행하면, 보안 경고창이 뜹니다. [그림 4] 악성 매크로가 포함된 파일 실행 시 뜨는 보..

악성코드 분석 리포트 2019. 1. 24. 14:31