Trojan.Ransom.Hitler 최근 히틀러의 사진을 이용하여 캐시 코드를 요구하는 랜섬웨어가 발견되었습니다. 히틀러라는 악명 높은 인물을 이용하여 감염된 사용자의 심리를 자극하기 위한 것으로 보이지만, 실제 분석결과 엉성한 구성으로 아직 초기 개발단계의 악성코드임을 확인 할 수 있었습니다. [그림 1] 히틀러 랜섬웨어 설치 시 화면 아직까지 국내에는 확산이 이루어지지 않았고 캐시 코드를 지불할 수 있는 방법도 쉽지 않아 큰 이슈가 되고 있지 않지만, 다른 랜섬웨어와 같이 고도화 및 감염 루트의 다양화를 통해 파급력을 키울 가능성도 분명 존재합니다.이번 분석보고서에서는 스스로를 히틀러 랜섬웨어라고 명명한 악성코드의 특징과 예방 방법에 대해 알아보도록 하겠습니다. 악성파일 분석 흐름도 히틀러 랜섬웨어..

악성코드 분석 리포트 2016. 10. 7. 15:35

MS 스토어에서 보낸 메일로 위장한 DOC 매크로 공격 발견, 사용자 주의! 안녕하세요. 알약입니다. 추석 연휴 기간이었던 지난 14일, 러시아 언어로 작성된 악성 DOC 파일이 국내 특정 기업에 전송되는 사례가 발견되었습니다. 연휴를 마치고 복귀한 국내 기업, 기관에 근무하는 임직원 사용자의 각별한 주의가 필요합니다. 해당 공격 메일은 MS 스토어에서 발송한 것으로 위장되어 있어, 사용자가 별다른 의심 없이 첨부 파일을 실행하도록 유도하고 있습니다. 위 메일 화면과 같이, 공격자는 사용자를 속이기 위해 악성 메일을 MS의 공식 메일인 것처럼 교묘하게 제작했습니다. 사용자가 메일에 첨부된 DOC 파일을 실행하면, '읽기모드'로 실행되어 메뉴가 최소화되도록 합니다. 이후 WORD 파일이 보호되어 있는 것처..

악성코드 분석 리포트 2016. 9. 20. 10:50

영화 ‘부산행’ 위장한 악성 토렌트 파일 유포… 추석 연휴 불법 자료 다운로드 주의 영화 파일로 위장해 악성 파일이 유포 중인 토렌트 화면 최근 1,100만 관객 몰이를 하며 흥행에 성공한 국내 영화 ‘부산행’의 불법 영화 파일로 위장한 악성 프로그램이 토렌트 사이트를 통해 은밀히 유포되고 있습니다. 이에 사용자분들의 각별한 주의를 당부 드립니다. 토렌트(Torrent)는 인터넷상에 존재하는 파일을 여러 조각으로 나누어 개인들 간 파일을 공유하는 프로그램으로, 사용이 쉽고 별도의 인증 절차가 없어 영화, SW, 음악 등 불법 자료 공유 수단으로 흔히 사용되고 있습니다. 토렌트 프로그램을 이용한 악성파일 유포는 다가오는 추석 명절 기간 각종 영화 파일을 불법으로 다운로드하는 이용자가 증가할 것을 노린 것으..

악성코드 분석 리포트 2016. 9. 12. 12:37

탈북 및 대북 관련 내용으로 스피어피싱 공격 다수 등장… 기업 및 기관 주의 필요! 국내 특정 기관이나 기업에 소속된 개인의 이메일을 대상으로 한 ‘스피어피싱(Spear Phishing)’ 공격 징후가 연이어 포착되고 있어, 기관 및 기업의 보안 강화를 당부 드립니다. 이번 공격 징후는 지난 8월부터 현재까지 지속적으로 이어져오고 있으며, 주로 국내 연구기관이나 대북 통일 관련 분야 종사자를 공격 표적으로 삼고 있습니다. ▲ 스피어피싱 공격 및 정보 탈취 흐름도 또한 해당 공격은 표적 인물이 사용 중인 이메일 계정으로 취약점이 존재하는 한글문서(HWP) 파일이 첨부된 가짜 업무 메일을 발송해, 첨부 문서를 열람하도록 유도하는 방식을 취하고 있습니다. ▲ 실제 공격에 이용된 한글문서(HWP) 파일의 화면 ..

악성코드 분석 리포트 2016. 9. 9. 14:54

Trojan.Android.AndroRat.pokemongo, Trojan.Android.SmsReg [그림 1] 포켓몬 Go 어플리케이션 화면 최근 증강 현실 모바일 게임인 "포켓몬 Go"가 세계적으로 선풍적인 인기를 얻고 있습니다. 포켓몬 Go는 구글에서 제공하는 지도를 이용하여 플레이가 가능한 가운데, 국내에서는 구글 지도의 사용이 불가능 하기 때문에 플레이를 할 수 없습니다.하지만 국내 일부 지역에서 포켓몬 Go를 플레이를 할 수 있다는 사실이 알려지자 사용자들은 비공식 사이트들을 통해 APK를 다운로드 받아 설치하게 되었고, 이를 악용한 APK 악성 파일들이 유포되고 있습니다. 이번 분석보고서에서는 포켓몬 Go를 사칭한 악성 어플리케이션들의 종류와 예방 방법에 대해 알아보도록 하겠습니다. 악성파..

악성코드 분석 리포트 2016. 9. 1. 10:52

Trojan.Android.SmsSpy 악성코드에 대한 난독화 기술이 날로 진화하고 있습니다. 기존 난독화 기술 중 하나인 APKProtect의 경우, Dex 파일 내부의 바이너리 변조를 통해 코드의 일부를 난독화시켜 디컴파일이 불가능하도록 만드는 수준이었습니다. 그러나 현재는 Dex 파일 자체를 암호화하고 이를 래핑(Wrapping)한 후, 다시 리패키징하여 디컴파일 자체를 무력화시키는 양상까지 보이고 있습니다. ‘Bangcle 앱 실딩 솔루션’은 APK 내부 Dex 파일을 암호화하고 이를 리패키징한 형태의 솔루션입니다. Bangcle은 모바일 앱 보호를 위한 안티 리버스 엔지니어링 및 데이터 도용 방지 목적으로 서비스되는 보안 솔루션이지만, 이 악성 앱은 Bangcle 앱 실딩 기술을 이용하여 Dex..

악성코드 분석 리포트 2016. 8. 9. 13:30

암호화된 PDF 문서 파일로 둔갑한 '이메일 피싱' 주의보 국내 의료공학분야 연구원을 상대로 한 피싱(Phishing) 공격이 발견되어, 유사 보안 위협 피해 예방을 위해 사용자 여러분의 주의와 보안 강화를 당부 드립니다. ▲ PDF 문서가 첨부된 이메일 피싱 공격 과정 국내에서 발견된 이번 사례는 PDF 형식의 문서가 첨부된 이메일을 특정인을 대상으로 발송하고, 공격자가 제작한 피싱 사이트에 접속해 각종 정보를 입력하도록 유도하는 형태를 띄고 있습니다. ▲ PDF 문서 파일이 첨부된 피싱 이메일 ▲ 피싱 사이트로 접속을 유인하는 PDF 문서의 본문내용 실제로 이번 공격은 악성 PDF 파일이 첨부된 이메일을 수신한 사용자가 해당 파일을 실행하였을 때, 마치 문서 내용 보호를 위해 파일이 암호화된 것처럼 ..

악성코드 분석 리포트 2016. 8. 4. 09:34

Trojan.Ransom.CryptXXX 현충일 연휴를 포함해 지난 6월 3일 금요일부터 6월 7일 화요일까지, 국내에서는 대형 휴대폰 커뮤니티 사이트를통하여 랜섬웨어가 유포되어 많은 이용자들이 피해를 호소했습니다. 이번에 유포된 랜섬웨어는 올해 4월 발견된 CryptXXX의 변종으로, 사용자 파일들을 “.cryp1” 확장자로 암호화 시키며, “Angler Exploit Kit”을 통하여 유포되기 때문에 이런 이름이 붙었습니다. CryptXXX 악성코드는 꾸준하게 다양한 변종이 제작되고 있고, 한국어를 포함해 25개국 언어 서비스를 제공할 정도로국제적인 특성을 갖고 있습니다. 또 유포지를 쉽게 파악하지 못하도록 하면서, 동시에 보안이 취약한 광고 플랫폼을경유하여 불특정 다수 이용자를 대상으로 공격하는 “..

악성코드 분석 리포트 2016. 7. 25. 16:12