안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 텔레그램은 보안이 강력한 것으로 알려진 메신저 서비스로 알려져 있습니다. 문자나 사진, 문서 등을 암호화해서 전송할 수 있고 대화 내용의 흔적이 남지 않는다는 컨셉으로 사생활을 중시하는 사람들 사이에서 인기를 끌고 있습니다. 그러나 Instalador 랜섬웨어, BlackRouter 랜섬웨어, GlobeImposter 랜섬웨어, CryptOn 랜섬웨어 등 암호화 완료 후 고객과의 서비스 채널(?)로 텔레그램를 이용하고 있고, 앞으로도 좋은 보안성으로 인해 랜섬웨어 제작자들이 사용할 것으로 보입니다. 랜섬웨어는 파일 암호화 완료 후 복호화를 위해 다양한 채널로 고객과 소통을 합니다. 하지만 주로 네트워크 우회와 익명성를 위해 사용되는 Tor 브라..

악성코드 분석 리포트 2018. 5. 23. 15:32

안녕하세요? 이스트시큐리티입니다. 올해 초 외국에서 스팸 메일과 익스플로잇 킷을 통해 ‘Trojan.Ransom.GandCrab’(이하 GandCrab 랜섬웨어)이 처음 등장하였으며, 최근 국내에서도 GandCrab 변종들이 다수 발견되고 있습니다. GandCrab 랜섬웨어는 파일 암호화 기능을 수행하며, 암호화된 파일 뒤에 ‘.CRAB’ 확장자를 추가하는 점이 특징입니다. 따라서 본 보고서에서는 GandCrab 랜섬웨어를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 중복 실행 방지중복 실행 방지를 위해 뮤텍스 값을 ‘Global\pc_group=(소속 그룹)&ransom_id=(사용자 ID)’으로 생성합니다. 만일 동일한 프로세스가 실행 중인 경우 종료합니다. pc_group과 ransom_id ..

악성코드 분석 리포트 2018. 5. 23. 09:55

TELEGRAB MALWARE STEALS TELEGRAM DESKTOP MESSAGING SESSIONS, STEAM CREDENTIALS 최근 발견 된 악성코드가 암호화 메시징 서비스인 텔레그램의 데스크탑 버전에서 캐시 데이터와 안전한 메시지 세션을 훔치는 것으로 나타났습니다. 연구원들은 TeleGrab이라 명명 된 이 악성코드가 텔레그램 데스크탑 버전 설계의 취약한 기본 세팅 및 데스크탑의 Secret Chat에 대한 지원 부족을 이용한다고 밝혔습니다. 텔레그램의 모바일버전과는 다르게, 데스크탑 기본 버전은 종단간 암호화 메시징 기능인 Secret Chat을 지원하지 않습니다. 이 기능이 존재하지 않기 때문에, 타겟의 컴퓨터에 접근할 수 있는 해커들이 프로그램의 캐시를 통해 텔레그램의 세션을 ‘가로..

국내외 보안동향 2018. 5. 22. 09:00

안녕하세요? 이스트시큐리티입니다. 모바일 그린 라이프, 알약M은 토종 보안앱으로서 기술력과 브랜드 신뢰도를 통해 지난 1년동안 '국내 모바일 보안 앱 1위' 자리를 지키며 경쟁력을 입증해 왔습니다. 오늘은 알약M의 월간 사용자수(MAU)가 450만 명을 넘어서며 확고한 1위 모바일 보안앱으로 자리매김했다는 소식 전해드립니다! 알약M, 월간 사용자 수(MAU) 450만 명 돌파! 독보적인 성장세 유지중 지난해 3월부터 올해 2월까지의 국내 모바일 보안앱 분야 통계에 따르면, 알약M은 지난해 3월 대비 MAU가 약 37% 이상 증가한 451만 명을 넘어섰습니다. 또한 알약M의 같은 기간 순설치수는 약 45%늘어난 980만건으로 집계되었고, 앱의 실제 사용률(활동성)을 가늠할 수 있는 순설치수 대비 MAU 비..

이스트시큐리티 소식 2018. 5. 21. 16:05

日本人の2億件以上の個人情報、中国の闇サイトで販売を確認 파이어아이는 최근 중국의 블랙마켓에서 2억건 이상의 일본인 개인정보가 판매되고 있다고 밝혔습니다. 2017년 12월, 중국의 블랙마켓에서 일본인의 개인정보가 포함된 파일이 판매되고 있으며, 이 DB에는 이름, 계정정보, 메일주소, 생년월일, 전화번호 및 주소가 포함되어 있었으며 그 수는 2억건이 넘었다고 밝혔습니다. 이 DB는 1000RMB(17만원)에 판매되고 있었습니다. 이 데이터들은 약 11~50개의 일본 웹 사이트에서 유출된 DB들인 것으로 추정됩니다. 보안연구원은 “이렇게 많은 수의 개인정보 유출이 발견된 것은 드물다. 다만 판매가격은 100만 건 단위로 75센터와 1달러를 밑돌고 있으며 정보량에 비해서 가격이 낮은 것은 신경 쓰이는 부분이다’..

국내외 보안동향 2018. 5. 21. 15:25

More than 800,000 DrayTek routers at risks due to a mysterious zero-day exploit 공격자들이 악용할 경우 일부 모델에서 DNS 세팅을 변경할 수 있는 제로데이 취약점이 DrayTek 라우터들에서 발견 되었습니다. DrayTek은 해커들이 이미 이 취약점을 악용해 라우터를 해킹하려는 시도를 하고 있음을 인지하고 있다고 밝혔습니다. 많은 사용자들이 트위터에 이 라우터에 가해지는 사이버공격에 대해 제보했습니다. 해커들은 China Telecom의 네트워크상의 IP 주소인 38.134.121.95를 가진 서버를 가리키도록 라우터의 DNS 설정을 변경했습니다. 이는 공격자가 중간자 공격을 실행해 사용자들을 정식 사이트를 복제한 악성 사이트로 이동시켜, ..

국내외 보안동향 2018. 5. 21. 13:24

Nethammer—Exploiting DRAM Rowhammer Bug Through Network Requests 지난 주, Throwhammer라 명명 된 첫 번째 네트워크 기반의 원격 Rowhammer 공격인 Throwhammer에 대해 설명한 바 있습니다. 이는 원격 직접 메모리 접근 (RDMA) 채널을 이용해 네트워크 카드를 통해 DRAM에 존재하는 알려진 취약점을 악용합니다. 그리고 지금, 또 다른 연구팀이 네트워크 요청을 처리하는 도중에 캐싱 되지 않은 메모리나 flush instruction을 이용해 시스템을 공격하는데 사용될 수 있는 두 번째 네트워크 기반의 원격 Rowhammer 기술을 발견했습니다. Rowhammer는 최신 세대의 DRAM 칩에 존재하는 심각한 문제로, 반복적으로 메모..

국내외 보안동향 2018. 5. 18. 16:34

[5월 셋째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신] [CJ대한통운]고수영4월18일 택배 안됨배송 주소오류 변경요망2 [Web발신] 예식시간:2018.5.26 오전 11시10분 예식장 오시는길 출처 : 알약M기간 : 2018년 5월 12일 ~ 5월 18일

안전한 PC&모바일 세상/스미싱 알림 2018. 5. 18. 15:49