Trojan.Android.Downloader.KRBanker 최근 알약 안드로이드와 같은 백신앱들의 치료행위를 무력화시키는 기능을 하는 악성 앱들의 유포가 많아 지고 있습니다. 해당 악성앱들은 스미싱으로 유포되고 있으며, 주로 뱅킹앱 재설치 후 사용자의 금융정보를 탈취하는 기능을 수행합니다. 이런 악성행위는 기존의 Trojan.Android.Downloader.KRBanker 악성앱들이 수행하고 있는 행위들이라 특이할 것은 없지만, 기존의 악성행위와 더불어 백신들의 치료 행위에 대한 방어 기능이 추가로 포함되어 있습니다. 이번에 분석한 악성앱은 기존의 악성행위와 더불어 백신들의 치료 행위에 대한 방어 기능이 추가로 포함되어 있습니다. 이런 방어코드는 악성앱의 생존율을 높이기 위한 수단으로 보입니다. 이..

악성코드 분석 리포트 2015. 8. 13. 14:40

Spyware.Infostealer.AuNet 이번에 분석할 악성코드는 구매 내역 관련 내용이 기재된 메일 혹은 이와 유사한 방식의 금융권에서 발송되는 메일을 가장하고 있으며 주로 이메일을 통해 유포되고 있습니다. 송금정보 등의 단순한 스팸 메일이 아닌, 실제로 자신이 인터넷 상에서 이용한 구매 내역 혹은 결제 관련 내용을 포함하여 사용자들이 해당 메일을 정상 메일로 착각하게 만든 후 악성코드를 실행하도록 유도합니다. 이번 악성코드 분석리포트에서는 이와 같이 구매 내역 관련 메일로 위장하여 배포되는 악성코드에 대해서 살펴보았습니다. 첨부된 PO INQUIRY.PDF.ZIP 파일은 압축실행 형태인 PO INQUIRY.PDF.exe 파일을 포함하고 있습니다. 악성코드 순서도 악성코드 상세 분석 ※ 악성파일 ..

악성코드 분석 리포트 2015. 8. 6. 14:32

악성파일이 숨겨진 VMware크랙 버전, 토렌트를 통해 유포 중 2015년 06월 15일, 회원제로 운영 중인 국내 특정 토렌트 사이트에서 최신버전의 VMware Workstation 파일로 위장한 악성파일이 업로드되어 사용자들의 각별한 주의가 필요합니다. 현재 해당 게시물은 불특정 다수의 이용자에게 계속해서 노출되고 있습니다. 토렌트를 통해 유포 중인 악성 VMware 공격 절차 토렌트 파일에는 설치용 등록번호를 포함해 불법 이용자들을 현혹시키고 있습니다. 일반적으로 토렌트 관련 커뮤니티 간에 토렌트 파일이 공유되는 경우가 많아 다운로드 연결은 지속적으로 증가할 것으로 예상됩니다. 이와 같이 토렌트 등 불법으로 무단 배포되는 상용 프로그램에는 악의적인 의도로 은밀하게 숨겨진 보안위협들이 존재할 가능성이..

악성코드 분석 리포트 2015. 6. 17. 10:35

Spyware.Infostealer.VicePass 최근 사물인터넷(IoT)의 보급이 확대됨에 따라 의료서비스, 스마트그리드, 스마트홈 등을 노리는 많은 해킹 사례들이 보고되고 있습니다. 특히 공유기를 통한 해킹은 한번에 내부 디바이스 및 사용자 개인 정보를 탈취할 수 있어 해커들의 주된 해킹 수단으로 사용되고 있습니다. 그러나 가정용 공유기의 상당수가 해킹에 취약하고, 개인 사용자 또한 보안 의식이 부족하여 보안 위협은 날로 증가하고 있는 상황입니다. 이번 분석대상 악성코드는 공유기 및 내부 접속 장비들의 정보를 탈취하기 때문에 해외에서 이슈가 된 바 있습니다. 아직 국내에서 발견된 것은 아니지만 이로 인한 다양한 공격이 예상되고 있습니다. 그러므로 이번 악성코드 분석리포트에서는 상세 분석을 통해 앞으..

악성코드 분석 리포트 2015. 6. 11. 09:36

직장 내 괴롭힘 보고서 내용 사칭 표적공격 분석 2015년 05월 28일 유사한 종류의 악성파일 3종이 발견되었습니다. 이 악성파일들은 한 TV 프로그램에서 지난 02월 24일 방송됐던 의 방송화면 중 일부를 모두 보여주는 특징을 공통적으로 가지고 있습니다. 방송 프로그램 내용을 사칭한 표적공격 절차 악성파일들은 '가해자.scr', '연령과근로시간.scr', '피해유형.scr' 등의 이름을 가지고 있으며, 마치 이미지 파일처럼 보이도록 아이콘을 위장하고 있습니다. 공격에 사용된 파일을 분석한 결과, 과거 'Sykipot' 시리즈 (이전 포스팅 참고 ▶ )로 분류되었습니다. 직장 내 괴롭힘 보고서 사칭 표적공격 주요내용 1. 유포과정Sykipot 시리즈는 수년 전부터 스피어피싱(Spear Phishing)..

악성코드 분석 리포트 2015. 6. 2. 14:12

Spyware. Android. PowerOffHijack Poweroffhijack은 중국에서 발견된 악성 앱으로 중국 안드로이드폰 사용자를 대상으로 동작하는 악성앱입니다. 이 악성앱의 특징은 사용자가 스마트폰의 전원을 차단해도 악성앱이 동작하여 지속적으로 사용자의 정보를 수집하는 행위를 한다는 것입니다. 최초로 발견된 것은 2014년 11월경으로, 중국에서 발견되었습니다. Power-offhijack 악성앱은 기기의 power 상태 변화를 감시합니다. reboot이나 shutdown등의 요청 시 화면만 검은색으로 바꾸어 기기의 전원이 off 상태인 것처럼 위장하여 사용자를 속이는 행위를 합니다. 이후 사용자의 개인 정보를 지속적으로 탈취합니다. 초기의 Poweroffhijack은 몇 가지 제약이 있어..

악성코드 분석 리포트 2015. 5. 11. 11:17

Trojan. Cutwail. Aj 최근 불특정 다수를 대상으로 한 악성코드 유포가 급증하고 있습니다. 공격자가 악성코드를 유포하는 경로는 다양합니다. 그 중 최근에는 이메일을 통한 악성코드 유포가 많아지고 있는 추세입니다. 해당 방식은 상대방의 이메일 주소를 알고 있어 특정 사람에게 보내거나, 이름 모를 불특정 다수에게 무작위로 보내 악성코드를 유포시키는 것입니다. 또한, 기업이 대상인 경우에는 그 기업의 임직원을 대상으로 악성코드를 대량으로 유포시킬 수 있습니다. 이렇게 유포된 악성코드는 시스템의 정보를 수집하고 원격 조종이 가능하도록 시스템을 장악하는 경우가 많습니다. 또한, 인터넷 뱅킹 정보 수집을 위해 사용자의 개인정보까지 탈취하는 경우도 있습니다. [그림1] SSL을 사용하는 인터넷 뱅킹 로그..

악성코드 분석 리포트 2015. 4. 8. 11:50

페이스북 계정 탈취를 노리는 피싱 공격 주의! 최근 들어 회원 수가 많은 페이스북(Facebook) 비공개 그룹을 중심으로 계정탈취 피싱이 극성을 부리고 있어 각별한 주의가 필요합니다. 비공개로 운영되는 페이스북 그룹의 경우 보안전문 모니터링에 쉽게 노출되지 않아 피싱 우범지역으로 번지고 있는 추세입니다. 더군다나 회원 수가 13,000여 명에 이르고 미성년자가 다수 가입되어 있는 대규모 그룹에 성적 노출수위가 높은 음란 화면까지 등록해 회원들을 현혹하고 있어 청소년들에게도 악영향을 끼치고 있습니다. 공격자는 다음과 같은 절차를 통해 불특정 다수의 페이스북 계정정보를 훔쳐내고 있습니다. 먼저 의도적으로 회원이 많은 페이스북 비공개 그룹에 가입하거나 기존에 미리 탈취한 계정을 활용해 피싱 글을 연쇄적으로 ..

악성코드 분석 리포트 2015. 4. 1. 14:22