안녕하세요? 이스트시큐리티입니다. 최근까지 사용자의 중요 파일을 암호화한 뒤 복호화를 대가로 비트코인을 요구하는 랜섬웨어가 꾸준하게 발견되고 있는 가운데 Saturn으로 불리는 새로운 랜섬웨어가 발견되었습니다. 이번에 발견된 Saturn 랜섬웨어는 파일을 암호화한 뒤 .saturn 확장자를 추가하고, Cerber 랜섬웨어와 마찬가지로 스크립트를 이용해 음성으로 감염 사실을 알리는 것이 특징입니다. 또한, 한글이 포함된 경로에 대해서는 암호화를 진행하지 않습니다. 암호화 대상 확장자는 총 162개로 이 중에는 비트코인 지갑 .wallet를 포함한 금융정보와 관련된 확장자가 포함되어 있습니다. 본 보고서에서는 Saturn 랜섬웨어를 상세 분석 하고자 합니다. 악성코드 상세 분석 1) 프로세스 실행 유무를 위..

악성코드 분석 리포트 2018. 3. 22. 16:30

안녕하세요? 이스트시큐리티입니다. 이스트시큐리티는 지난 3월 14일부터 16일까지 일산 킨텍스에서 개최된 '전자정부 정보보호 솔루션 페어(이하 eGISEC) 2018'에 참가했습니다. eGISEC은 올해 총 12개국, 433개 기업, 4,500여명의 참관객을 동원할 정도로 규모가 큰 국내 최대 보안 컨퍼런스 중 하나인데요. 그만큼 수많은 보안 기업 부스에서 각 사의 솔루션들을 많은 기관 및 기업 관계자에게 선보이는 중요한 정보 교류의 장입니다. 이번 전시회에서 이스트시큐리티는 자사의 엔드포인트 보안 노하우와 높은 수준의 기술력을 바탕으로 개발된 신규 보안 솔루션 'Threat Inside', 'Flash-V' 2종을 최초 공개하여 많은 주목을 받았습니다. 관련 기사 ▶ [보안뉴스]이스트시큐리티, eGIS..

이스트시큐리티 소식 2018. 3. 22. 16:17

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. "견적서.exe" 이메일로 유포되는 계정정보 전송 악성코드가 발견되어 사용자들의 주의를 당부 드립니다. 이번에 발견된 악성 메일은 ‘견적서 보내드립니다. 확인 부탁드립니다’는 내용으로 첨부된 파일의 실행을 유도합니다. [그림 1] 악성 메일 본문 악성 메일에 첨부된 파일 ‘견적서.rar’에는 ‘견적서.exe’ 실행 파일이 있습니다. [그림 2] 악성 메일에 첨부된 ‘견적서.rar’ 파일 ‘견적서.exe’ 파일은 유저 이름, 컴퓨터 이름, 운영체제 정보 등의 시스템 정보, 그리고 다양한 FTP 프로그램, 웹 브라우저에 저장된 계정 정보를 전송하는 기능을 수행합니다. [그림 3] 브라우저 정보 수집 코드 [그림 4] 시스템 정보 수집 코드 앞서 수..

악성코드 분석 리포트 2018. 3. 22. 14:44

AMD downplays CPU flaw discovery, says hackers would need admin rights anyway 얼마 전, 인텔의 '스펙터'와 유사한 보안취약점이 AMD에서도 발견되었으며, 최근, AMD측은 해당 취약점을 인정하였습니다. 하지만 이번에 발견된 취약점들을 악용하려면 관리자 접근권한이 필요하기 때문에 취약점들이 쉽게 악용되지 않을 것이라고 밝혔습니다. AMD는 “이 연구에서 제기 된 모든 이슈는 시스템 관리자 접근 권한이 필요합니다. 권한을 얻으면 사용자가 아무런 제한 없이 시스템에 접근할 수 있기 때문에 모든 폴더나 파일을 삭제, 생성, 수정하거나 세팅을 변경할 수 있게 됩니다. 승인 되지 않은 관리자 권한을 가진 공격자는 이 연구에서 다룬 익스플로잇보다 훨씬 광..

국내외 보안동향 2018. 3. 22. 13:27

Windows Remote Assistance Tool Can Be Used for Targeted Attacks 모든 윈도우 배포판에 포함 된 윈도우 원격 지원 툴이 타겟 공격에 악용될 수 있는 것으로 나타났습니다. 한 보안연구원이 2월 이 툴에서 취약점(CVE-2018-0878)을 발견해 마이크로소프트에 지난 10월 제보했습니다. 이 문제를 수정한 패치는 지난 주 공개 된 2018년 3월 ‘패치 화요일’에 포함 되었습니다. 데이터 추출에 이상적인 취약점 이 취약점은 공격자가 어떠한 파일이라도 피해자가 알지 못하는 상태에서 그의 컴퓨터에서 추출해낼 수 있도록 허용합니다. 때문에 이 취약점은 데이터를 추출하기에 완벽하며, 피해자의 컴퓨터에서 몰래 파일을 훔치는데 사용될 수 있습니다. 다행인 것은, 이 취..

국내외 보안동향 2018. 3. 21. 13:44

금융기관 앱을 사칭하여 기기정보 및 뱅킹 관련 정보들을 탈취하는 악성앱 변종이 지속적으로 확인되고 있습니다. 2013년 이후 그 수량이 감소하였지만 여전히 꾸준히 발견되고 있으며, 그 수법 또한 점점 정교해 지고 있습니다. 일단 이러한 악성앱에 감염되면 중요 금융정보들을 탈취당하여 큰 피해를 입을 수 있는 만큼 사용자들의 각별한 주의가 필요합니다. 기존 악성 뱅킹앱들은 은행들을 사칭하여 기기정보 및 뱅킹 관련 정보들을 사용자가 직접 기입하도록 유도하여 탈취 했습니다. 하지만 최근의 악성 뱅킹앱들은 사용자의 직접적인 행동 없이도 주소록, 문자 메세지를 몰래 탈취하고, 특정 대부업체로 전화를 걸면 이를 자동으로 가로채게 하여 공격자가 원하는 번호로 변경하는 행위를 하기 때문에 사용자가 알아차리기 어려워졌습니..

악성코드 분석 리포트 2018. 3. 21. 11:43

안녕하세요. 이스트시큐리티입니다. 최근 안드로이드 모바일 기기를 대상으로하는 스피어 피싱 공격이 나타났습니다. 포털 사이트 네이버의 개인정보 유출 방지와 관련된 메일을 전송하여 악성 앱을 설치하도록 유도합니다. 이 악성앱은 네이버 로고와 “Naver Defender”라는 앱명으로 네이버 백신을 사칭하며 주소록, 통화기록, 문자메시지 등의 민감한 정보들을 탈취합니다. 악성앱 분석 [그림 1] 서명 시간 및 파일 생성시간 2018년 03월 06일 최초 앱의 인증서 서명을 하였고, 이후 16일 최종 APK 파일을 수정하였습니다. [그림 2] 오픈소스 활용 안드로이드 수신, 발신 전화를 녹음할 수 있는 “github.com/aykuttasil” 오픈소스를 활용하여 악성행위를 목적으로 제작하였습니다. [그림 3]..

악성코드 분석 리포트 2018. 3. 20. 15:14

Facebook caught up in political data scandal; denies data breach 2016년 대통령 선거가 한창 진행 될 때 페이스북이 미국의 대통령인 도널드 트럼프와 관련 된 정치적 분석 기관인 Cambridge Analytica에 사용자 데이터를 공유했다는 진술에 따라, 미국과 유럽의 의원들이 페이스북에 설명을 요구했습니다. 이 데이터를 이용해 사용자들을 프로파일링해 트럼프가 대통령 선거에서 이길 수 있도록 도왔다는 것입니다. 사용자 데이터는 University of Cambridge 심리학 강사인 Dr.Aleksandr Kogan이 제작한 “thisisyourdailylife”라는 어플리케이션을 통해 수집 되었습니다. Kogan은 Global Science Rese..

국내외 보안동향 2018. 3. 20. 11:17