MS 워드 매크로 사용 문서(.docm) 이용한 Locky 랜섬웨어 주의! Microsoft Word 매크로 사용 문서(.docm)를 이용한 Locky 랜섬웨어가 국내에 유포되고 있습니다. 공격자는 이메일 차단 솔루션의 차단로직을 우회하기 위해 DOC 파일이 아닌 DOCM 파일을 이용하고 있습니다. DOCM파일(Word Open XML Macro-Enabled Document file)은 오피스 2007부터 도입된 파일 확장자로, 해당 문서에 매크로가 포함되어 있다는 것을 의미합니다. Locky 랜섬웨어의 경우 미국, 일본, 중국 등 해외에서 온 송장(Invoice)나 결제 등을 사칭한 doc, xls 문서에 악의적 코드로 작성된 매크로를 포함시켜 사용자로 하여금 랜섬웨어 다운로드 및 실행을 유도하고 있..

악성코드 분석 리포트 2016. 7. 7. 16:12

말하는 랜섬웨어(Cerber) 변종 이메일로 국내 유입 확인 안녕하세요. 알약입니다. 국내 불특정 다수의 기업 이용자를 대상으로 JS 스크립트 파일을 첨부해 유포했던 Locky(락키) 랜섬웨어 유포 방식과 유사하게 JSE 스크립트 파일을 이용한 Cerber(케르베르) 랜섬웨어 변종이 국내에 새롭게 전파되고 있습니다. 이에 각별한 주의와 보안 강화를 당부 드립니다. 물론 JS파일을 통한 유포도 계속 이어지고 있는 상태입니다. ▲ 이메일 첨부파일로 유입된 랜섬웨어 화면 국내에 새로 유입된 ‘Cerber’ 랜섬웨어 변종은 이메일에 압축파일을 첨부하며, 압축내부에는 JSE 스크립트가 포함되어 있습니다. 이용자가 압축을 해제하고 무심코 JSE 파일을 클릭하면 악의적인 스크립트 명령을 통해 해외 서버에서 Cerbe..

악성코드 분석 리포트 2016. 7. 5. 14:55

또 다시 유포되는 Locky 랜섬웨어 주의! 안녕하세요 알약입니다. 올해 2월에 최초 등장한 후 3월부터 4월까지 유행하였던 Locky 랜섬웨어가 또 다시 대량유포되고 있습니다. Locky 랜섬웨어는 이메일 첨부파일 형태로 유입되고 있으며, js파일 형태를 띄고 있습니다. 사용자 여러분들께서는 모르는 발신인에게서 온 이메일에 포함된 첨부파일 실행을 지양해 주시기 바랍니다. 이번에 유포되고 있는 Locky 랜섬웨어 역시, 알약 랜섬웨어 차단기능으로 정상적으로 차단이 가능합니다. 다만, 알약에서 랜섬웨어가 파일을 암호화 시키는 것은 성공적으로 차단하지만, 랜섬웨어에 의하여 사용자 바탕화면 배경이 변경되어 당황하시는 분들도 있을 것으로 예상되는데요. 이런 상황이 만약 발생하신다면 사용자분들께서 다시 바탕화면 ..

악성코드 분석 리포트 2016. 6. 24. 11:04

Trojan.Ransom.LockyCrypt 분석보고서 악성파일 분석(zxcvb.exe) Locky 랜섬웨어는 최근에는 자바스크립트로 유포되고 있지만 이전에는 이메일에 word파일을 첨부하고 word파일을 실행하면 매크로가 포함되어 Locky 랜섬웨어를 다운로드 받게 되어 있었습니다. 문서파일을 실행하면 보안 경고가 뜨면서 매크로를 사용할지 나옵니다. [그림 1] 문서 파일에 포함되어 있는 매크로 매크로는 배열을 복호화 하여 명령어를 생성하며, 해당 명령어를 실행하면 파일을 다운로드 하고 실행하게 됩니다. [그림 2] doc파일에 포함되어 있는 VBA 매크로 문자열을 복호화하면 다음과 같은 명령어가 나오며, 특정 url에서 파일을 다운로드 받는 것을 알 수 있습니다. [그림 3] 복호화된 명령어 현재는 ..

악성코드 분석 리포트 2016. 4. 5. 09:32

MBR영역을 변조하는 'PETYA' 랜섬웨어 등장 지난 금요일(3/25)부터 MBR(Master Boot Record)영역을 변조하여 아스키코드로 제작한 해골화면을 띄우고, 랜섬웨어에 감염되었다는 랜섬메시지를 띄우는 'PETYA' 랜섬웨어가 발견되어 주의가 필요합니다. 주로 이메일 첨부파일을 통해 드롭박스를 경유하여 랜섬웨어가 유입되는 형태를 띄고 있으며, 일단 감염되면 MBR영역이 변조되기 때문에 재부팅 이후에도 정상적으로 윈도우OS 부팅이 불가능합니다. (감염되면 몇분 이내로 시스템이 강제 재부팅됩니다.) 해골 이미지가 뜬 이후, 감염된 PC의 사용자가 아무키나 입력하면 아래의 랜섬 메시지가 뜨게 됩니다. 랜섬메시지에서는 토르브라우저를 이용한 특정URL접속을 유도하는 데, 해당 주소로 실제 접근하게 ..

악성코드 분석 리포트 2016. 3. 28. 11:18

Backdoor.BlackEnergy 해커들이 강력한 파괴력을 가진 멀웨어를 이용하여 우크라이나의 최소 3군대의 지역 전력기관을 감염시켜 지난 12월 23일 우크라이나의 이바노프란키우시크 지역에 정전을 일으킨 것으로 밝혀졌습니다. 우크라이나 자원부는 조사를 통하여 이번 정전사태는 지역 에너지 공급처인 Prykarpattyaoblenergo가 사이버 공격을 당했기 때문이라고 발표하였으며, 실제로 우크라이나의 다수 전력기관들이 "BlackEnergy" 멀웨어에 감염되어 있었던 것으로 밝혀졌습니다. BlackEnergy 멀웨어는 2007년 처음 발견되었으며, 발견 당시 DDoS 공격을 실행하기 위한 단순한 툴이였지만, 2년전부터 감염된 컴퓨터들을 부팅할 수 없도록 만드는 등의 새로운 기능들이 추가되었습니다. ..

악성코드 분석 리포트 2016. 2. 24. 10:00

12월 중순 경부터, 한국영화 '열정같은 소리하고 있네'의 불법공유파일이 악성CHM파일과 함께 토렌트 커뮤니티를 중심으로 유포되고 있습니다. 해당 악성코드의 경우, 실제로 재생이 가능한 영화파일과 함께 다운로드되는 악성CHM파일이며 꼭 필독하라는 내용의 파일명을 통해 사용자들의 클릭을 유도하고 있습니다. 토렌트 커뮤니티의 특성상 기존에 한번 공유된 파일들이 다른 커뮤니티에서도 동시에 공유되는 경우가 많기 때문에 많은 사용자들이 악성코드 감염 위협에 노출되고 있는 상황입니다. 공유되는 불법토렌트 파일을 통해 영화 다운로드를 진행하면, 아래와 같이 영화파일과 함께 같은 폴더내에 악성CHM파일이 함께 다운로드 됩니다. 해당 파일은 '꼭 필독...♥'이라는 파일명을 통해 사용자의 클릭을 유도하고 있습니다. 악성..

악성코드 분석 리포트 2015. 12. 24. 18:45

안녕하세요 알약입니다. 최근 대한통운 택배를 사칭한 지능 타깃형 스미싱 공격이 지속적으로 등장하고 있어 사용자들의 주의가 필요합니다. 이 스미싱은 기존 스미싱과는 다르게 스미싱 문자를 받은 사람의 전화번호를 입력해야 본격적으로 악성 행위가 동작하기 때문에, 악성코드 분석가가 단순히 스미싱 사이트에 접속한다고 해서 해당 악성앱을 확인할 수는 없습니다. 공격 과정 공격자는 먼저 사전에 확보한 전화번호로 택배 관련 스미싱 문자를 공격대상에게 발송합니다. 이때 스미싱 문자를 발송하는 전화번호 리스트는 공격자의 서버에 저장되어 있습니다. 그 후 스미싱 문자를 수신한 이용자가 스미싱 URL을 클릭하면 스미싱 사이트로 연결이 되며, 해당 사이트에서 자신의 전화번호를 입력합니다. 이용자가 입력한 전화번호와 서버 DB에..

악성코드 분석 리포트 2015. 11. 18. 12:51