안녕하세요. 이스트시큐리티입니다. 작년 7월 4일 사용자의 마스터 부트 레코드(MBR)를 암호화 하여 PC 실행을 막는 Satana 랜섬웨어가 처음 등장하였습니다. 이는 MBR을 망가뜨리는 Petya 랜섬웨어와 클래식 랜섬웨어를 결합한 새로운 형태의 랜섬웨어였습니다. 그러나 모든 파일은 동일 특정 키로 암호화 된다거나, 디버그 스트링을 남기는 등 결점을 포함하고 있어 개발 초기 단계의 버전으로 보였습니다. (참고▶http://blog.alyac.co.kr/691) 그러나 올해 등장한 Satana 랜섬웨어는 Ransomware as a Service(RaaS) 형태로 진화했으며 다양한 안티 디버깅 기법과 프로세스 인젝션 등 클래식 랜섬웨어 기능에 분석을 어렵게 하기 위한 다양한 기법들을 포함하고 있습니다...

악성코드 분석 리포트 2017. 12. 21. 13:00

안녕하세요. 이스트시큐리티입니다. '전국민 보안 업그레이드' 알약 탄생 10주년 기념으로 열 살 알약이 쏘는 열 번의 이벤트! 어느새 중반에 접어들어 다섯번째 이벤트 소식을 전해드리게 되었는데요. 열 살 알약이 열심히 그림을 그리며 준비한 이번 이벤트는 바로 '알약생일축하해' 사다리 타기 이벤트입니다! 안내 드리는 이벤트 내용을 확인하시고, 하단의 이벤트 참여하기 링크를 통해 알약이 준비한 사다기 타기 이벤트에 바로 응모해보세요! 참여 방법아래 링크를 확인하시고, '알약생일축하해' 중 당첨일 것 같은 한 글자를 골라 댓글로 남겨주세요!▶ 확인하기(클릭) * 자세한 응모 방법은 위 링크로 연결되는 포스팅 내용을 참고해 주세요. 응모 기간 및 당첨자 발표일2017년 12월 20일(수) ~ 2017년 12월 ..

이벤트 2017. 12. 20. 15:41

Windows 10주년 업데이트(1607버전)에서, MS는 OS중 Content Delivery Manager 라는 한개의 기능을 추가하였으며, 이 기능은 몰래 "추천 응용프로그램"을 설치할 수 있는데 이때 사용자에게 어떠한 공지도 하지 않습니다. 몇달 전, Reddit 사용자가 Windows10 중 자신도 모르게 설치되어 있는 비밀번호 관리 프로그램을 발견하였습니다. 그 이후 Google Project Zero의 화이트 해커인 Tavis Ormandy 가 확인해본 결과 Windows10 시스템에 설치되어 있는 Keeper Password Manager 프로그램을 발견하였습니다. 이 프로그램은 MS와 서드파티 업체가 협력하여 설치하는 번들 프로그램인 것으로 추측됩니다. 몇번의 테스트 과정에서, Orman..

국내외 보안동향 2017. 12. 19. 15:51

■ 금융 소프트웨어 위장 작전명 코인 매니저 (Coin Manager) 안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난 2009년 7.7 DDoS 공격부터 2013년 3.20 금융사/언론사 전산망 대란, 2017년 한국 특정 가상화폐 거래소 공격까지 한국에서 발생하고 있는 주요 사이버 보안위협에는 다양한 공통점이 존재합니다. 해외의 보안업체들은 이 공격그룹에 대해 이른바 라자루스(Lazarus) 등의 고유 그룹명을 지정해 사용하고 있기도 합니다. 이들은 한국의 주요 정부기관, 언론사, 금융사, 대북단체, 민간기업 등 매우 다양한 분야에 걸쳐 수년 넘게 사이버 침투 활동을 유지하고 있으며, 지금도 현재 진행형이라 해도 절대 과언이 아닙니다. [그림 1] 과거 주요 사이버 위협 사례 201..

악성코드 분석 리포트 2017. 12. 19. 02:08

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지난 주말부터 동영상 파일로 위장한 악성프로그램이 페이스북(Facebook) SNS 메시지를 통해 다수 전파되고 있어 각별한 주의가 필요합니다. ▶ 페이스북 메신저로 받은 악성 단축 URL 클릭 주의 ▶ [주의] 가상화폐 채굴 공격으로 귀환한 비너스락커 랜섬웨어 제작자 이번에 발견된 악성파일은 주로 페이스북 친구들에게 전파되었으며, 'video_(임의의 숫자 조합).zip' 형태가 사용되었습니다. [그림 1] 페이스북 메신저로 유포된 악성파일 주의 내용 만약 페이스북 이용자가 메신저로 해당 파일을 다운로드해 압축을 해제한 후 실행할 경우 감염이 이뤄지게 됩니다. 악성파일은 비디오 동영상 파일처럼 위장하고 있지만, 실제로는 2중 확장자의 Vide..

악성코드 분석 리포트 2017. 12. 18. 11:11

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 여러분들도 잘 아시다시피 한국에서는 다양한 보안위협과 침해사고가 이어지고 있습니다. 이러한 사이버 위협에는 항상 배후가 존재하지만, 사이버 세상의 특성상 공격자와 거점을 특정하고 실체를 규명하는 것은 매우 어려운 일입니다. 하지만 어떠한 현상이나 사건에는 누구도 의식하지 못한 사이 특정 코드가 기록되거나, 평상시 습관에 의해 고유한 흔적을 남겨 결정적 증거나 단서로 사용됩니다. 사이버 공격자가 제작한 코드를 분석하거나 공격에 활용된 시스템, 네트워크, 사용 언어 등 다양한 환경과 프로세스를 분석해 공통점을 찾아가는 과정은 많은 시간과 노력이 필요하지요. ■ 공격자의 관심사와 공격의도를 고민하자! 각 분야별 침해 위협을 분석하고 대응하는 입장에서..

악성코드 분석 리포트 2017. 12. 15. 17:58

[12월 둘째주] 알약 스미싱 알림 본 포스트는 알약 안드로이드 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'와 '다수 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 1. 특이 문자 No.문자 내용 1 [Web발신] 예식일시:2017.12.16 오전10시 장소 2 저 결혼해요.^^ 예약일시:2017.12.23 2. 다수 문자 No.문자 내용 1 확인해주시길바랍니다 2 [Web발신] [CJ대한통운]운송장번호[845*26]주소지 미확인..반송처리 주소확인 출처 : 알약 안드로이드기간 : 2017년 12월 11일 ~ 12월 15일

안전한 PC&모바일 세상/스미싱 알림 2017. 12. 15. 15:28

안녕하세요. 이스트시큐리티입니다. '전국민 보안 업그레이드' 알약 탄생 10주년 기념 이벤트에 참여해주시는 여러분들 덕분에, 알약은 가슴 따뜻한♥ 생일파티를 즐기고 있습니다. 다음 이벤트는 과연 무엇일지 기다려 주시는 분들이 정말 많은데요. 지금 공개합니다! 두구두구두구~ 열 살 알약이 준비한 이벤트 4탄 '나의 특별한 알약 이야기'! 지난 10년간 알약과 함께하면서 있었던 소중하고도 특별한 이야기를 들려주세요~ 자세한 내용은 아래에서 확인하시고, 이스트시큐리티 페이스북을 통해 바로 참여해보세요! 참여 방법아래 링크를 확인하시고 '나의 특별한 알약 이야기'를 포스팅 댓글로 달아주세요!▶ 확인하기(클릭) * 자세한 응모 방법은 위 링크로 연결되는 포스팅 내용을 참고해 주세요. 응모 기간 및 당첨자 발표일2..

이벤트 2017. 12. 14. 11:28