안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 텔레그램은 보안이 강력한 것으로 알려진 메신저 서비스로 알려져 있습니다. 문자나 사진, 문서 등을 암호화해서 전송할 수 있고 대화 내용의 흔적이 남지 않는다는 컨셉으로 사생활을 중시하는 사람들 사이에서 인기를 끌고 있습니다. 그러나 Instalador 랜섬웨어, BlackRouter 랜섬웨어, GlobeImposter 랜섬웨어, CryptOn 랜섬웨어 등 암호화 완료 후 고객과의 서비스 채널(?)로 텔레그램를 이용하고 있고, 앞으로도 좋은 보안성으로 인해 랜섬웨어 제작자들이 사용할 것으로 보입니다. 랜섬웨어는 파일 암호화 완료 후 복호화를 위해 다양한 채널로 고객과 소통을 합니다. 하지만 주로 네트워크 우회와 익명성를 위해 사용되는 Tor 브라..

악성코드 분석 리포트 2018. 5. 23. 15:32

안녕하세요? 이스트시큐리티입니다. 올해 초 외국에서 스팸 메일과 익스플로잇 킷을 통해 ‘Trojan.Ransom.GandCrab’(이하 GandCrab 랜섬웨어)이 처음 등장하였으며, 최근 국내에서도 GandCrab 변종들이 다수 발견되고 있습니다. GandCrab 랜섬웨어는 파일 암호화 기능을 수행하며, 암호화된 파일 뒤에 ‘.CRAB’ 확장자를 추가하는 점이 특징입니다. 따라서 본 보고서에서는 GandCrab 랜섬웨어를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 중복 실행 방지중복 실행 방지를 위해 뮤텍스 값을 ‘Global\pc_group=(소속 그룹)&ransom_id=(사용자 ID)’으로 생성합니다. 만일 동일한 프로세스가 실행 중인 경우 종료합니다. pc_group과 ransom_id ..

악성코드 분석 리포트 2018. 5. 23. 09:55

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 HTML 피싱 파일이 첨부된 악성 메일이 유포되고 있어 주의를 당부드립니다. 이번에 발견된 악성 메일은 포장 명세서 확인 내용으로 위장하였으며, 실제 국내에서 운영 중인 중소기업 이름이 사용되었습니다. [그림 1] 포장 명세서 위장 악성 메일 또한 이메일 헤더 중 bcc(숨김 참조)에 다수의 수신 참조자가 있고, 모두 동일한 메일 서비스를 사용하고 있습니다. [그림 2] 포장 명세서 위장 악성 메일 첨부된 파일 'PACKING LIST.html'은 포장 속 내용 정보 목록이 아닌 국내 포털 사이트의 아이디 및 비밀번호를 입력하도록 유도하는 HTML 파일입니다. 만일 이용자가 열람을 위해 첨부 파일을 실행할 경우 '세션하시기 바랍니다 다시 ..

악성코드 분석 리포트 2018. 5. 16. 16:28

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 과거에 보고된 바 있었던 CryptON(크립트온) 랜섬웨어 변종이 최근 다시 발견되고 있어 사용자들의 주의를 당부드립니다. 해당 랜섬웨어에 구글 지메일 계정(account-gmail.net)으로 위장한 도메일을 통해 유포되고 있으며, 감염되면 %appdata% 폴더 아래에 “사용자 계정” 이름으로 폴더를 생성하고, “사용자계정_body.exe” 이름의 악성코드를 드롭하는 특징이 있습니다. [그림 1] 사용자계정_body.exe 파일 생성 암호화 대상을 확인하기 전 러시아어를 사용하는 환경인지 확인을 합니다. 러시아어 환경의 기기에서는 암호화를 진행하지 않고, 프로세스를 종료합니다. (RU - 러시아, KZ - 카자흐스탄, BY - 벨라루스, ..

악성코드 분석 리포트 2018. 5. 15. 18:37

안녕하세요? 이스트시큐리티 위협인텔리전스 전문조직인 시큐리티대응센터(이하 ESRC)입니다. 2018년 05월 14일 한국의 유명 택배회사의 배송팀으로 위장된 이메일로 '갠드크랩(GandCrab) 랜섬웨어 변종'이 유포되고 있어 이용자분들의 각별한 주의가 요망됩니다. 동일한 공격자는 2016년 말부터 2017년까지 비너스락커(VenusLocker) 랜섬웨어를 유포했고, 초기에 매크로 기능을 이용한 방식을 사용한 바 있습니다. 그 이후에 바로가기(.LNK) 파일과 랜섬웨어 메인 실행파일(.EXE)을 연결하는 수법을 주로 많이 사용했고, 일부 악성문서에서는 중국식 폰트(DengXian)가 사용된 바 있습니다. 아래는 실제 유포에 사용된 이메일의 화면으로 유창한 한국어로 작성되어 있으며, 마치 실제 택배 배송관..

악성코드 분석 리포트 2018. 5. 15. 08:47

안녕하세요? 이스트시큐리티 위협인텔리전스 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 마치 한국의 유명 취업전문 웹 사이트의 채용 공고와 지원문의로 교묘하게 위장된 갠드크랩 (GandCrab) 랜섬웨어(Ransomware) 이메일이 국내에 급속도로 전파되고 있으며, 실제 감염 피해 보고까지 속출하고 있어 기업의 채용 및 인사담당자들의 각별한 주의가 요망됩니다. 이 공격자(해커)는 2016년 말부터 한국의 특정기관 및 기업, 고유 커뮤니티에 속한 개인들을 상대로 약 1년 넘게 랜섬웨어 유포를 수행하고 있습니다. 그런 가운데 며칠 전부터 국내 취업전문 웹 사이트의 채용정보에 기재된 기업 내 인사담당자의 이메일로 집중 공격을 수행하고 있어 피해가 연이어 보고되고 있는 실정입니다. 이전에는 주로 이메일에..

악성코드 분석 리포트 2018. 5. 11. 10:05

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 국내에 불특정 다수를 대상으로 한 계정 탈취 목적의 피싱 메일이 유포되고 있어 주의를 당부드립니다. 이번에 발견된 피싱 메일은 제품 주문서 관련 건으로 위장하였고, 첨부 파일의 실행을 유도합니다. [그림 1] '제품 주문서'로 위장한 악성 메일 첨부 파일 'PRODUCT ORDER 20180320.pdf'은 드롭박스에 문서가 업로드되었다는 내용을 담고 있으며, 이를 통해 드롭박스로 연결을 유도합니다. [그림 2] 피싱 사이트 접속을 유도하는 PDF 파일 이용자가 드롭박스에 문서가 업로드된 것으로 생각하고 'VIEW ON DROPBOX' 버튼을 클릭할 경우, 드롭박스가 아닌 이메일 주소 및 비밀번호 입력을 유도하는 피싱 사이트로 접속됩니다...

악성코드 분석 리포트 2018. 5. 10. 13:49

안녕하세요. 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 지금은 널리 쓰이지 않는 압축 파일 포맷 중 하나인 'ACE' 파일을 첨부하고, 나름 자연스러운 한국어로 작성된 해킹 이메일이 국내에 지속적으로 유포되고 있습니다. 2018년 5월 8일 오후 10시 10분경 유포되기 시작한 이 악성 이메일은 다수의 한국 무료 이메일 계정을 활용하고 있습니다. 특히, 공격자는 한국의 특정 기업을 사칭해 수신자로 하여금 보다 신뢰할 수 있도록 가장하고 있습니다. 더불어 한국인 명의를 사용함과 동시에 기업의 공식 이메일 계정이 아닌 무료 웹 메일 서비스를 공격 대상으로 삼고 있어 기업 내부 보안에 각별한 주의와 보안 강화가 요구되고 있습니다. ESRC에서는 해당 위협이 한국내 다수의 이용자에게 전파되고 있는 사..

악성코드 분석 리포트 2018. 5. 9. 17:49