또 다시 유포되는 Locky 랜섬웨어 주의! 안녕하세요 알약입니다. 올해 2월에 최초 등장한 후 3월부터 4월까지 유행하였던 Locky 랜섬웨어가 또 다시 대량유포되고 있습니다. Locky 랜섬웨어는 이메일 첨부파일 형태로 유입되고 있으며, js파일 형태를 띄고 있습니다. 사용자 여러분들께서는 모르는 발신인에게서 온 이메일에 포함된 첨부파일 실행을 지양해 주시기 바랍니다. 이번에 유포되고 있는 Locky 랜섬웨어 역시, 알약 랜섬웨어 차단기능으로 정상적으로 차단이 가능합니다. 다만, 알약에서 랜섬웨어가 파일을 암호화 시키는 것은 성공적으로 차단하지만, 랜섬웨어에 의하여 사용자 바탕화면 배경이 변경되어 당황하시는 분들도 있을 것으로 예상되는데요. 이런 상황이 만약 발생하신다면 사용자분들께서 다시 바탕화면 ..

악성코드 분석 리포트 2016. 6. 24. 11:04

Trojan.Ransom.LockyCrypt 분석보고서 악성파일 분석(zxcvb.exe) Locky 랜섬웨어는 최근에는 자바스크립트로 유포되고 있지만 이전에는 이메일에 word파일을 첨부하고 word파일을 실행하면 매크로가 포함되어 Locky 랜섬웨어를 다운로드 받게 되어 있었습니다. 문서파일을 실행하면 보안 경고가 뜨면서 매크로를 사용할지 나옵니다. [그림 1] 문서 파일에 포함되어 있는 매크로 매크로는 배열을 복호화 하여 명령어를 생성하며, 해당 명령어를 실행하면 파일을 다운로드 하고 실행하게 됩니다. [그림 2] doc파일에 포함되어 있는 VBA 매크로 문자열을 복호화하면 다음과 같은 명령어가 나오며, 특정 url에서 파일을 다운로드 받는 것을 알 수 있습니다. [그림 3] 복호화된 명령어 현재는 ..

악성코드 분석 리포트 2016. 4. 5. 09:32

MBR영역을 변조하는 'PETYA' 랜섬웨어 등장 지난 금요일(3/25)부터 MBR(Master Boot Record)영역을 변조하여 아스키코드로 제작한 해골화면을 띄우고, 랜섬웨어에 감염되었다는 랜섬메시지를 띄우는 'PETYA' 랜섬웨어가 발견되어 주의가 필요합니다. 주로 이메일 첨부파일을 통해 드롭박스를 경유하여 랜섬웨어가 유입되는 형태를 띄고 있으며, 일단 감염되면 MBR영역이 변조되기 때문에 재부팅 이후에도 정상적으로 윈도우OS 부팅이 불가능합니다. (감염되면 몇분 이내로 시스템이 강제 재부팅됩니다.) 해골 이미지가 뜬 이후, 감염된 PC의 사용자가 아무키나 입력하면 아래의 랜섬 메시지가 뜨게 됩니다. 랜섬메시지에서는 토르브라우저를 이용한 특정URL접속을 유도하는 데, 해당 주소로 실제 접근하게 ..

악성코드 분석 리포트 2016. 3. 28. 11:18

Backdoor.BlackEnergy 해커들이 강력한 파괴력을 가진 멀웨어를 이용하여 우크라이나의 최소 3군대의 지역 전력기관을 감염시켜 지난 12월 23일 우크라이나의 이바노프란키우시크 지역에 정전을 일으킨 것으로 밝혀졌습니다. 우크라이나 자원부는 조사를 통하여 이번 정전사태는 지역 에너지 공급처인 Prykarpattyaoblenergo가 사이버 공격을 당했기 때문이라고 발표하였으며, 실제로 우크라이나의 다수 전력기관들이 "BlackEnergy" 멀웨어에 감염되어 있었던 것으로 밝혀졌습니다. BlackEnergy 멀웨어는 2007년 처음 발견되었으며, 발견 당시 DDoS 공격을 실행하기 위한 단순한 툴이였지만, 2년전부터 감염된 컴퓨터들을 부팅할 수 없도록 만드는 등의 새로운 기능들이 추가되었습니다. ..

악성코드 분석 리포트 2016. 2. 24. 10:00

12월 중순 경부터, 한국영화 '열정같은 소리하고 있네'의 불법공유파일이 악성CHM파일과 함께 토렌트 커뮤니티를 중심으로 유포되고 있습니다. 해당 악성코드의 경우, 실제로 재생이 가능한 영화파일과 함께 다운로드되는 악성CHM파일이며 꼭 필독하라는 내용의 파일명을 통해 사용자들의 클릭을 유도하고 있습니다. 토렌트 커뮤니티의 특성상 기존에 한번 공유된 파일들이 다른 커뮤니티에서도 동시에 공유되는 경우가 많기 때문에 많은 사용자들이 악성코드 감염 위협에 노출되고 있는 상황입니다. 공유되는 불법토렌트 파일을 통해 영화 다운로드를 진행하면, 아래와 같이 영화파일과 함께 같은 폴더내에 악성CHM파일이 함께 다운로드 됩니다. 해당 파일은 '꼭 필독...♥'이라는 파일명을 통해 사용자의 클릭을 유도하고 있습니다. 악성..

악성코드 분석 리포트 2015. 12. 24. 18:45

안녕하세요 알약입니다. 최근 대한통운 택배를 사칭한 지능 타깃형 스미싱 공격이 지속적으로 등장하고 있어 사용자들의 주의가 필요합니다. 이 스미싱은 기존 스미싱과는 다르게 스미싱 문자를 받은 사람의 전화번호를 입력해야 본격적으로 악성 행위가 동작하기 때문에, 악성코드 분석가가 단순히 스미싱 사이트에 접속한다고 해서 해당 악성앱을 확인할 수는 없습니다. 공격 과정 공격자는 먼저 사전에 확보한 전화번호로 택배 관련 스미싱 문자를 공격대상에게 발송합니다. 이때 스미싱 문자를 발송하는 전화번호 리스트는 공격자의 서버에 저장되어 있습니다. 그 후 스미싱 문자를 수신한 이용자가 스미싱 URL을 클릭하면 스미싱 사이트로 연결이 되며, 해당 사이트에서 자신의 전화번호를 입력합니다. 이용자가 입력한 전화번호와 서버 DB에..

악성코드 분석 리포트 2015. 11. 18. 12:51

애드웨어 업데이트로 퍼지는 파밍 주의! 개요 인터넷 이용자들이 특정 유틸리티 프로그램을 검색할 때 키워드 광고 목적을 가진 파일이 노출되도록 만든 변칙적 광고프로그램 웹 사이트가 아직도 기승을 부리고 있습니다. 이러한 프로그램은 마치 공식적인 프로그램인양 당당히 위장을 하고 있으나, 대체로 끼워팔기 식으로 또 다른 광고모듈을 동시다발적으로 설치합니다. 이 때문에 많은 인터넷 이용자가 이와 유사한 프로그램들에 각종 불만과 피해를 호소한지 한참 오래된 상황입니다. 이런 유형의 프로그램들은 이용자들이 명확하게 유입과정을 인지하지 못한 사이에 몰래 설치되고, 지속적으로 업데이트서버와 통신해 이용자가 원치 않는 광고행위를 은밀히 수행하게 됩니다. 지금까지 애드웨어는 그 자체로도 큰 불편함과 부작용을 유발했는데, ..

악성코드 분석 리포트 2015. 11. 12. 14:17

MS Office 매크로를 이용하여 키로깅 프로그램을 다운받는 공격활동 분석 MWI-5: Operation HawkEye 개요 MS Office 악성코드는 90년대처럼 유행하지는 않지만, 여전히 주의해야 할 악성코드입니다. 최근 강력한 Office 악성코드 개발툴인 Microsoft Word Intruder(MWI)가 러시아에서 개발되었습니다. WMI는 2015년 파이어아이에 의해 처음으로 공개되었지만, 이 악성코드의 파급력을 인지하지 못한 사용자들의 주목을 끌지 못했습니다. 하지만 파이어아이는 끊임없이 WMI에 관한 연구 보고서를 공개하였습니다. MWI을 이용한 공격 규모는 의도적으로 작은 규모를 유지하였습니다. 공격조직들은 수많은 컴퓨터들을 감염시키기 보다 몇 천대 혹은 몇 십대의 컴퓨터를 감염시켜,..

악성코드 분석 리포트 2015. 10. 22. 17:28