안녕하세요. 이스트시큐리티입니다. 최근 GlobeImposter 랜섬웨어의 유포가 빈번하게 발생하고 있습니다. 주로 스팸 메일을 통해 유입되는 것으로 보이며, 다양한 변종들이 지속적으로 등장하고 있습니다. 그 중에서도 암호화된 파일의 확장자를 .707으로 변경시키는 악성코드에 대해 상세 분석을 진행하고자 합니다. 악성코드 상세 분석 프로세스 전체 흐름도 다음은 GlobeImposter 랜섬웨어가 동작하는 방식에 대한 전체적인 흐름도입니다. 생성된 뮤텍스의 존재 여부에 따라 동작이 구분됩니다. [그림 1] GlobeImposter 랜섬웨어 프로세스 전체 흐름도 Image Hijacking 본 악성코드의 악성행위는 child process를 생성하여 Image Hijacking 후에 진행됩니다. Image ..

악성코드 분석 리포트 2017. 10. 27. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. Adobe Flash Player파일로 위장한 'Bad Rabbit'이라 불리는 랜섬웨어가 유포되었습니다. 최근 러시아, 우크라이나와 같은 동유럽의 일부 국가에서 감염이 확인된 상태이며 추가적으로 국내로 유입될 가능성도 있으므로 이용자들의 각별한 주의를 당부드립니다. hxxp://1dnscontrol.com/index.phphxxp://1dnscontrol.com/flash_install.php[표 1] 유포지로 알려진 사이트 'Bad Rabbit’ 랜섬웨어는 파일과 디스크를 암호화하여 감염된 사용자에게 비트코인 결제를 요구합니다. 다음은 Bad Rabbit의 전체 흐름도입니다. [그림 1] Bad Rabbit의 전체 흐름도 Dropper - ..

악성코드 분석 리포트 2017. 10. 25. 11:03

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 익스플로잇 킷(Exploit Kit)을 통해 MyRansom 랜섬웨어가 대량 유포되고 있는 중입니다. 특히, 한국 환경만을 대상으로 한 MyRansom(Magniber) 랜섬웨어가 발견되어 이용자들의 각별한 주의를 당부드립니다. 해당 랜섬웨어는 암호화 진행 전, 한국 언어 환경(0x412)인지 확인합니다. 다음은 언어 환경을 확인하는 코드입니다. [그림 1] 한국 언어 환경을 확인하는 코드 MyRansom 랜섬웨어 암호화 대상 확장자 문자열은 'hwp' 문서 확장자를 포함한 859개입니다. "doc", "docx", "xls", "xlsx", "ppt", "pptx", "pst", "ost", "msg", "em", "vsd", "vsdx..

악성코드 분석 리포트 2017. 10. 19. 15:29

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 'asasin'으로 확장자를 변경하는 Locky 랜섬웨어 변종이 악성 메일 등을 통하여 국내외로 다수 유포되고 있는 정황이 포착되어 이용자들의 주의를 당부드립니다. ※ 관련 글 - 이메일 VBS 첨부파일을 통해 Locky 랜섬웨어 귀환 ▶ 자세히 보기 이번에 Locky 랜섬웨어 유포에 활용된 이메일은 'Invoice INV0000809' 제목과 함께 'Send from my iPhone' 내용을 포함하고 있습니다. 이는 iPhone에서 보낸 송장(Invoice)으로 위장하기 위함으로 보여집니다. [그림 1] Locky 랜섬웨어 유포에 사용된 악성 메일 이용자가 이메일에 첨부된 압축 파일 'Invoice INV0000809.7z'에는 'In..

악성코드 분석 리포트 2017. 10. 11. 14:41

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2017년 09월 26일부터 올크라이(AllCry)라는 이름의 랜섬웨어가 국내에 다수 전파되고 있어 각별한 주의가 필요합니다. 한국의 특정 ① 웹하드 설치 프로그램, ② 잠재적으로 불필요한 프로그램 (PUP:Potentially Unwanted Program) 등을 변조해 사용자 몰래 유포된 상태입니다. 따라서 해당 웹하드 프로그램의 서비스를 이용하고 있거나 불필요한 제휴/스폰서 프로그램이 설치된 경우 올크라이 랜섬웨어에 노출될 위험이 있습니다. 올크라이 랜섬웨어는 닷넷(.NET) 프로그래밍 기반으로 제작되어 있으며, 분석 및 탐지 회피 등을 위해 ".NET Reactor" 코드 프로텍터로 Packing 된 상태입니다. [그림 1] 올크라이 랜..

악성코드 분석 리포트 2017. 9. 30. 16:39

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난 달 국내 이용자들을 대상으로 ‘클래시 오브 클랜' 게임 앱 청구서로 위장한 애플 피싱 메일이 유포되어 주의를 당부 드립니다. 발견된 피싱 메일은 Apple Store에서 ‘Clans of Clans’라는 게임을 구입하였으니 첨부파일에서 청구서를 확인하라는 내용과 함께 PDF 파일이 첨부되어 있습니다. [그림 1] 앱 결제 내역서로 위장한 애플 피싱 메일 메일에 첨부된 PDF 파일은 마치 스토어에서 Clash Of Clans 게임을 구매한 청구서로 보여줍니다. 하지만 실제로는 링크 클릭을 통해 이용자가 피싱 사이트에 접속하도록 유도합니다. 한편, 공격자는 ‘앱 구매를 승인하지 않았을 경우, 링크를 통해 애플 사이트에 방문하여 구매 취소할 수..

악성코드 분석 리포트 2017. 9. 28. 18:16

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 페이스북 이용자 사이에서 퍼지고 있는 '문화상품권(문상) 룰렛 이벤트 사이트' 등에서 페이스북 토큰 정보를 수집하는 사이트가 확인되어 주의를 당부드립니다. [그림 1] SNS 이용자들 사이에 퍼지고 있는 문상 룰렛 이벤트 게시글 사이트에 접속하면 최초 룰렛 1회를 돌릴 기회를 제공하고, 이용자가 룰렛을 1회 돌릴 경우 '페이스북으로 로그인하여 5회 무료기회 받으세요'라는 메세지가 나타납니다. [그림2] 문상 룰렛 이벤트 사이트 화면 [그림 3] 페이스북 로그인 유도 화면 이용자가 'Log in with Facebook' 버튼을 누를 경우, 다음과 같이 UOAUOA 앱에서 수신하는 정보가 나오고, 계속 진행할 경우 아이디 및 비밀번호를 입력..

악성코드 분석 리포트 2017. 9. 28. 13:37

안녕하세요. 이스트시큐리티입니다. 과거 다양한 변종으로 전세계에 악명을 떨친 ‘Trojan.Ransom.LockyCrypt(이하 Locky 랜섬웨어)’가 다시 등장하였습니다. 이 Locky 랜섬웨어는 파일 암호화 간 ‘diablo6’ 확장자로 변경하는 점이 특징입니다. 본 분석 보고서에서는 Locky 랜섬웨어를 상세 분석 하고자 합니다. 이번 Locky 랜섬웨어는 불특정 다수를 대상으로 한 스팸 메일에서 유포되었습니다. 메일은 ‘Files attached. Thanks’, 즉 ‘파일을 첨부하였다. 고맙다’의 내용을 담고 있습니다. 이는 메일을 받은 이들의 호기심을 자극하여 첨부된 파일을 실행하도록 하는 의도로 보여집니다. 첨부된 압축 파일 안에 있는 ‘E 2017-08-09 (672).vbs‘는 Lock..

악성코드 분석 리포트 2017. 9. 22. 13:14