안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 해외에서 일명 '이스라바이(israbye)'라는 새로운 유형의 랜섬웨어가 등장했습니다. 현 시점까지 국내 유입 및 피해사례가 공식보고 되진 않았지만, 관련 내용을 숙지하시어 사전에 대비하시길 당부드립니다. 이 랜섬웨어는 2017년 07월 24일 닷넷 기반 프로그래밍으로 제작되었으며, 파일속성에 다음과 같은 정보를 보유하고 있습니다. 제작자가 지정한 원본 파일 이름은 'israbye.exe' 입니다. 이 파일명은 '이스라엘 바이' 라는 의미로 해석되고 있습니다. [그림 1] israbye 랜섬웨어 파일 속성 정보 파일 내부에는 제작자로 추정할 수 있는 아티팩트가 포함되어 있는데, 'Ahmed' 라는 컴퓨터 계정을 사용하고 있음을 알 수 있습니다..

악성코드 분석 리포트 2017. 7. 31. 11:14

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 2017년 07월 25일부터 일본에서 다량 전파된 악성 해킹 메일이 국내에도 유입된 정황이 일부 포착되어 각별한 주의가 필요한 상황입니다. 해당 해킹 메일은 일본어(한자)로 '청구서(請求書)'라는 제목을 달고 있으며, 발신자 이메일은 일본에서 주로 사용하는 'so-net.ne.jp' 도메인이지만 아이디는 다양하게 설정되어 전파되고 있습니다. 일본의 인터넷 사업자, 보안기업, 금융기관, 수사기관 등과 협력하는 '일본 사이버범죄 컨트롤 센터(JC3/Japan Cybercrime Control Center)'에서도 지난 25일 주의보를 내린 상태이기도 합니다. [그림 1] 일본 사이버범죄 컨트롤 센터에 등록된 주의 안내문 한국과 일본에서 이미 발견..

악성코드 분석 리포트 2017. 7. 27. 13:57

안녕하세요. 이스트시큐리티입니다. 최근 워너크라이(WannaCry)를 비롯한 다양한 랜섬웨어들이 출현하고 있는 가운데 기존 sage2.0 랜섬웨어의 변종인 sage2.2 랜섬웨어가 지속적으로 발견되고 있습니다. sage 2.2 랜섬웨어는 sage 2.0 랜섬웨어와는 다르게 한글 안내페이지를 지원하는 특징을 가지고 있습니다. 또한 spora 랜섬웨어와 같이 오프라인 암호화를 진행하며 Cerber 랜섬웨어와 같이 감염 시 음성을 지원합니다. sage2.2 랜섬웨어는 스팸 메일을 통한 유입이나 웹 사이트 방문 시 노출되는 취약점을 통해 감염이 이루어졌을 것으로 추정됩니다. 이번 보고서에서는 sage2.2 랜섬웨어를 상세 분석해보고자 합니다. 악성코드 분석 ※ Rj3fNWF3.exe 상세 분석 1) 자가 복제 ..

악성코드 분석 리포트 2017. 7. 24. 13:27

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다.최근 비트코인 등과 관련된 내용으로 악성파일이 여럿 유포된 정황이 포착되어 이용자 분들의 주의를 당부드립니다. 악성파일은 이메일에 첨부되어 특정인을 대상으로 한 이른바 스피어피싱(Spear Phishing) 공격 기법이 사용되었습니다. 공격에는 DOCX 문서와 HWP 문서 등에 삽입된 EPS(Encapsulated PostScript) 개체의 보안취약점을 이용하고 있습니다. 첫번째로 DOCX 악성문서를 악용한 사례입니다. [그림 1] 악성 DOCX 문서가 실행된 후 보여지는 화면 DOCX 악성 문서의 word/media 하위 경로에 'image1.eps' 파일이 포함되어 있습니다. EPS(Encapsulated PostScript)는 Adobe..

악성코드 분석 리포트 2017. 7. 3. 22:18

안녕하세요. 이스트시큐리티입니다. 최근 ‘최신영화 TV 다시보기’로 위장한 악성앱이 국내 포털 사이트의 블로그 서비스를 통해 유포되는 정황이 포착되어 이용자들의 주의를 당부 드립니다. [그림 1] 블로그 서비스를 통해 유포되는 악성앱 ‘무료TV.apk’는 ‘무료TV’라는 이름으로 설치가 이루어지며, ‘문자 메시지 수정 및 읽기, SMS 메시지 보내기’ 등의 TV 시청과 무관한 설치권한(Permission)을 요구하고 있습니다. [그림 2] 무료TV 설치 화면 이용자가 ‘무료TV’에 현혹되어 설치 및 실행을 하면 ‘TV다시 보기 사이트’를 웹뷰(Web-View)로 보여줍니다. 하지만 이는 이용자들을 안심시키기 위한 속임수이며, 실제로는 공격자 서버(C&C)로 감염 기기 내 저장된 수신된 메시지 정보 등을 ..

악성코드 분석 리포트 2017. 6. 15. 15:32

최근 ‘이력서 검색기’ 이름으로 위장된 악성코드가 토렌트 사이트를 통해 유포되고 있어, 이용자들의 주의를 당부 드립니다. [그림 1] 토렌트 사이트에서 유포되는 이력서 검색기 ※ 관련 글가짜 보안 프로그램의 역습, 불법 소프트웨어 주의보 ▶ 자세히 보기 다운로드된 ‘이력서 검색기 v2017.exe’는 인터넷에 공개된 이력서 샘플을 아이콘으로 하고 있어, 마치 실제 이력서 관련 프로그램인 것처럼 보여주고 있습니다. 취업 등에 관심 많은 이용자가 현혹되어 파일을 실행할 경우 로컬 PC에 아무것도 실행이 되지 않은 것처럼 보이지만, 실제로는 이용자 PC의 정보를 탈취하는 악성코드가 실행됩니다. [그림 2] 이력서 검색기로 위장한 악성코드 실행되는 악성코드는 한국 소재의 C&C인 ‘59.10.197.88’으로 ..

악성코드 분석 리포트 2017. 6. 13. 15:38

안녕하세요. 이스트시큐리티입니다.지난 주말(6/10) 특정 웹호스팅 업체에서 운영중인 리눅스 서버가 랜섬웨어에 감염되었습니다. 이에 해당 웹호스팅 서비스를 사용하는 많은 사이트들이 랜섬노트를 띄우거나 정상적으로 사이트를 이용할 수 없는 사태가 발생했습니다. ※ 관련 글 - 국내 특정 웹호스팅 서비스를 사용하는 사이트를 공격한 Erebus 랜섬웨어 (▶바로가기) 공격을 받은 웹호스팅 업체에서 언급한 바에 따르면 서버에 저장된 원본파일과 백업파일이 모두 암호화된 상황으로 보이며, 이는 몇 년전에 최초 발견된 랜섬웹 케이스와 가장 유사해보입니다. 랜섬웹은 랜섬웨어와 비교했을 때, 암호화하는 데이터의 규모가 크고 가치가 높으며, 준비기간이 길다는 특징이 있습니다. ※ 관련 글 - 랜섬웹이란? (▶바로가기) [그..

악성코드 분석 리포트 2017. 6. 13. 15:21

지난 주말(6/10) 특정 웹호스팅을 받는 일부 서버들이 Erebus 랜섬웨어의 공격을 받았습니다. 웹호스팅 업체는 고객사의 홈페이지와 홈페이지를 운영하기 위한 각종 정보들을 서버에 저장하여 서비스합니다. 해당 서버는 랜섬웨어의 공격을 받아 153대가 감염되었으며, 공격받은 서버 내 주요 Data가 암호화되어 현재 해당 웹호스팅 업체를 통해 운영되는 홈페이지 일부가 정상적으로 서비스되지 않고 있는 상황입니다. 이번 공격은 Erebus 랜섬웨어를 통해 이뤄졌으며, 특히 Erebus 리눅스용 랜섬웨어를 통해 웹호스팅 업체의 리눅스 서버가 감염된 것으로 확인되고 있습니다. Erebus 랜섬웨어에 의해 공격을 받은 페이지에 접속하면 다음과 같은 랜섬메시지가 보여지고, 복호화 비용으로 5.4 비트코인(6/11 기..

악성코드 분석 리포트 2017. 6. 12. 11:20