Trojan.Ransom.CTBLocker 주의! 안녕하세요. 알약입니다.최근, 랜섬웨어 악성코드가 유포되고 있어 사용자들의 주의가 요구됩니다. 랜섬웨어란? (▶참고)랜섬웨어란 납치된 사람에 대한 몸값을 뜻하는 영어 'Ransom'과 'Software'의 합성어로, 사용자 PC 혹은 PC에 저장되어 있는 문서파일을 모두 암호화시켜 놓고 돈을 요구하는 악성코드입니다. 현재 유포되고 있는 랜섬웨어 악성코드는 이메일의 첨부파일로 위장하여 유포되고 있으며, 사용자들의 클릭을 유도합니다. ▲ 랜섬웨어에 감염된 PC의 바탕화면 사용자가 이메일에 첨부된 악성파일을 클릭하면 컴퓨터 화면이 위와 같이 바뀌고 카운트 다운이 시작됩니다. ▲ 악성코드에 의해 암호화된 파일 리스트 악성코드 제작자는 사용자에게 문서, 이미지 파..

악성코드 분석 리포트 2015. 1. 20. 17:56

Trojan.Java.RAT.A 해당 악성코드는 스팸 메일로 사용자에게 전파되어 첨부파일 실행 시 사용자의 정보를 외부 서버로 전송하고, 사용자의 타이핑을 가로채는 키로깅 기능, 감염된 PC를 조종할 수 있는 봇의 기능을 가진 악성코드입니다. 기능상으로는 기존 악성코드와 별차이가 없지만, 이번 악성코드는 JAR(Java Archiver)파일이 포함된 스팸 메일로 유포되었고, 자바가 설치된 사용자 타겟으로 제작되었다는 특징이 있습니다. 악성코드 순서도 악성코드 상세 분석 ※ 악성파일 분석(Docs.jar) Docs.jar 파일은 사용자 정보 확인, JNativeHook을 이용한 키로깅, 파일복사, 레지스트리 추가, 플로그인 로드, 네트워크 접속, 봇 행위들을 수행합니다. 상세분석에서는 해당 기능들에 대한 ..

악성코드 분석 리포트 2015. 1. 7. 13:22

Trojan.Android.KRBanker (APKPROTECT) - ALYac Division Malware Research 초기 스미싱 악성앱들은 번뜩이는(?) 아이디어에 단순한 코드 작업을 통하여 배포되었습니다. 초기에는 스미싱 악성앱을 발견한 뒤, 백신에 반영되기까지 꽤 오랜 시간이 걸렸는데요. 보안 업체들이 모바일 악성앱에 대해 다소 부족하게 대비했기 때문입니다. (스미싱 관련 포스팅 ▶참고) 이 후, 보안 업체들은 스미싱에 대한 대비를 철저히 하여, 스미싱 악성앱들을 빠르게 수집하여 처리할 수 있는 대응체계를 갖추었습니다. 그러자 스미싱 악성앱들도 진화하기 시작했습니다. 초기 스미싱 악성앱에 비해 기능이 확장되었고, 은닉 및 생존율을 높이기 위한 작업이 추가되었습니다. 그리고 분석 시스템들을 ..

악성코드 분석 리포트 2014. 12. 17. 10:51

사용자 OS 시스템파일을 악성파일로 변조 및 감염시키는 악성코드 유행 최근 사용자의 OS 시스템파일을 악성파일로 변조하여 감염시키는 악성코드가 새로이 유행하고 있는 것으로 확인됩니다. 이러한 수법은 예전부터 사용되어 왔으나 최근에는 교체시키는 대상파일 및 감염경로, 감염증상이 다양해지고 있습니다. 그 중 최근 가장 많이 보고되는 악성코드 형태는 윈도우 시스템파일 중 “wshtcpip.dll” 파일을 변조시켜 백신프로그램을 무력화 시키고 감염PC의 금융정보를 탈취하는 형태입니다. 악성코드 감염증상 금융정보 탈취, 감염PC내 공인인증서 정보 탈취, 백신 무력화 먼저 시스템에 존재하는 정상적인 wshtcpip.dll 파일을 악성으로 바꿔 치기 하고, 정상파일은 ws2tcpip.dll 이름으로 변경해서 로딩하는..

악성코드 분석 리포트 2014. 12. 9. 11:25

더블 다이렉트(Double Direct) MITM 공격 원리 및 조치 방법 최근 안드로이드와 iOS 기반의 스마트기기를 공격 대상으로 하는 새로운 MITM 공격 기술이 발견되었습니다. 이 공격은 더블 다이렉트(Double Direct) 공격 원리를 이용한 것으로, 웹으로 발생하는 다량의 트래픽들을 공격자가 만들어놓은 피싱사이트로 리다이렉트시켜 정보를 탈취하는 MITM 공격의 한 종류입니다. 일단 리다이렉트가 성공하면 공격자는 희생자들의 개인정보, 금융정보 등을 탈취할 수 있으며, 해당 기기에 악성코드를 심을 수도 있습니다. 공격자는 리다이렉트를 성공한 스마트 기기에서 사용자가 Google, Facebook, Twitter, Hotmail과 같은 대형 사이트들을 방문할 때 이러한 공격이 발생하도록 유도합니..

악성코드 분석 리포트 2014. 12. 1. 12:51

애드웨어를 통한 금융정보 탈취위협 주의 ■ 애드웨어, 메모리 해킹 보안위협 통로로 악용 중 2014년 10월 26일부터 국내 애드웨어(Adware) 모듈이 변조되어, 인터넷 뱅킹 이용자를 겨냥한 악의적 공격이 계속 포착되고 있습니다. 현재 애드웨어와 함께 은밀히 배포 중인 악성파일들은 ▶호스트 파일(hosts/hosts.ics)을 변조하는 파밍 방식과 ▶메모리 해킹기법의 악성파일 변종이 다수 유포되고 있어 인터넷 뱅킹 이용자들의 각별한 주의가 필요한 상황입니다. [참고자료][악성코드 분석 리포트] Spyware.PWS.KRBanker.Mhttp://blog.alyac.co.kr/172 ※ 설치 사례 ① 아래 웹 사이트는 겉으로 보기에 마치 일반적인 프로그램 자료실로 보여집니다. 그러나 이 사이트를 통해 ..

악성코드 분석 리포트 2014. 10. 29. 14:07

Spyware.PWS.KRBanker.M 최근 사이버 공격 동향을 살펴보면 다양한 종류의 공격이 행해지고 있습니다. 국가간의 사이버 전쟁, 산업시설 공격, 온라인게임 계정 탈취, 금융 정보 탈취, 랜섬웨어 등이 그것인데요. 그 중에서도 금전적인 목적을 위하여 사이버 공격을 시도하는 것은 이미 수년 전부터 행해져 왔었으며, 현재도 매우 활발히 진행 중에 있습니다. 대표적으로 운영체제의 호스트 파일을 변조하여, 공격자가 미리 제작해 둔 가짜 사이트로 유도 후 개인정보를 탈취하는 방식, 파밍(Pharming)이라는 수법을 들 수 있겠습니다. 최근에는 이러한 파밍 기법도 진화하고 있습니다. 기본적인 방법은 운영체제의 DNS캐쉬를 초기화 시키고 호스트 파일을 변조하여 공격자가 미리 제작해 둔 사이트로 사용자를 유..

악성코드 분석 리포트 2014. 10. 27. 13:34

포토메일로 유혹하는 악성 첨부파일 주의보 my new photo ;) 제목의 악성메일 확산주의 마치 포토메일처럼 위장한 악성 이메일이 국내기업 및 대학 등 다양한 분야로 확산 중에 있어 각별한 주의가 필요합니다. 영문으로 작성된 이메일은 공통적으로 “my new photo ;)” 제목을 가지고 있으며, “photo.zip” 이름의 압축파일이 첨부되어 있습니다. 본문 내용은 조금씩 다르지만, 전반적으로 나의 새로운 사진(my new photo)이라는 표현이 함께 포함되어 있고, 변종에 따라 문구가 조금씩 다른 경우가 존재합니다. ▲ 포토메일로 위장한 악성파일 전파 사례들 이메일 발신자의 도메인은 다양하게 사용되었는데, 동일한 도메인을 이용한 경우도 발신지 IP 주소 소재지가 서로 달라 임의로 조작된 형태로..

악성코드 분석 리포트 2014. 10. 7. 13:17