2016 상반기 랜섬웨어 동향 안녕하세요 알약입니다. 올해 1월부터 현재까지 알약 PC버전의 행위기반 탐지기능을 통해 차단된 랜섬웨어 공격은 총 2,470,094건으로, 일 평균 약 13,723건, 매달 약 411,682건 이상의 랜섬웨어 공격을 차단한 수치입니다. 알약을 사용하지 않은 PC에 대한 공격시도까지 감안할 경우 올해 상반기 랜섬웨어의 공격확산이 매우 심각한 수준임을 알 수 있습니다. 2016년 상반기에는 Lechiffre, Locky, PETYA, CryptXXX 등 매월 새로운 형태의 신,변종 랜섬웨어가 꾸준히 출현하였으며, 이메일 첨부파일, 웹사이트 베너, 불법 TV다시보기 무료사이트 등이 주요 유포경로로 활용되었습니다. 특히 ‘Locky’ 및 ‘Cerber’ 랜섬웨어의 경우는 2016년..

이스트시큐리티 소식 2016. 6. 30. 10:16

자동 루팅 멀웨어에 감염 된 ‘LevelDropper’ 안드로이드 앱LevelDropper Android App Infected with Autorooting Malware 보안전문가들이 구글 플레이 스토어에서 사용자 기기를 루팅시키는 기능이 포함된 앱을 발견하였습니다. 이 앱의 이름은 LevelDropper이며, 이는 공사장이나 잡부들의 공구함에서 찾아볼 수 있는 일반적인 도구의 디지털 버전입니다. 사용자가 이 앱을 설치하면 LocationService를 위한 빈 팝업창을 보게될 것입니다. 이는 안드로이드 OS 서비스가 충돌했다는 표시이며, 이러한 타입의 충돌은 익스플로잇들이 자신들의 존재를 나타내는 방법입니다. 또한 LevelDropper의 코드에 숨겨진 멀웨어가 은밀히 악성코드를 실행하기 시작하며,..

국내외 보안동향 2016. 6. 29. 17:17

새로운 'Bart'랜섬웨어 등장!Doh! New "Bart" Ransomware from Threat Actors Spreading Dridex and Locky 최근 새로운 랜섬웨어인 'Bart'랜섬웨어가 발견되었습니다. 이 랜섬웨어는 Locky와 Dridex의 제작자가 개발한 것으로 보이며, 랜섬머니로 $2000을 요구합니다. Bart랜섬웨어는 C&C서버에 연결 하기도 전에 사용자들의 파일을 암호화 시킵니다. 이 랜섬웨어는 지난주에 발견되었으며, 역시 자바스크립트 코드가 포함된 zip파일이 첨부된 스팸메일 형식으로 유포됩니다. Bart랜섬웨어는 영어, 이태리어, 프랑스어, 독일어를 지원하며, 러시아, 우크라이아, 벨라루스 사용자들을 피해를 입지 않도록 설계되었습니다. 현재까지는 대부분 미국 사용자들을..

국내외 보안동향 2016. 6. 28. 17:34

2016 정보보호의 달 보안인식 설문조사 알약이 2016년 '정보보호의 날'을 맞아 보안 인식 설문 조사를 진행합니다. 정부에서는 정보보호의 중요성을 일깨우고 사이버 공격을 예방하고자 매년 7월 둘째주 수요일을 '정보보호의 날'로 지정하였습니다. 전국민 보안 업그레이드를 위해 알약은 이번 설문조사를 통해 사용자 여러분들의 보안 인식 현황을 파악하고 현황을 공유하고자 합니다. 보안인식 설문 조사에 많은 관심과 참여 부탁 드립니다. - 참여하기 : http://goo.gl/forms/djnU4ssoGoCinRc02 - 설문 기간 : 2016년 6월 27일 ~ 7월 8일 (24시 마감) - 설문 응답자 경품 : 베스킨라빈스 '솜사탕 블라스트' 기프티콘 (총 100명 무작위 추첨 발송) - 경품 당첨자 발표 :..

이스트시큐리티 소식 2016. 6. 28. 10:25

Swagger 원격코드실행 취약점(CVE_2016-5641) 발견! 새로운 인기 오픈소스 API 프레임워크 Swagger에서 취약점이 발견되었습니다. 이 취약점(CVE-2016-5641)은 클라이언트 및 서버에 존재하며, 공격에 악용될 경우 JASN 공개표준 포맷 또는 YAML 데이터 직렬화 언어를 사용하는 Swagger 파일 내 파라미터 인젝션을 통해 원격코드실행이 가능합니다. Java, PHP,NodeJS 및 Rube 등 언어들이 영향을 받습니다. Expoit Javascript(node)“paths”: { ”/a’);};};return exports;}));console.log(‘RCE’);(function(){}(this,function(){a=function(){b=function(){new A..

국내외 보안동향 2016. 6. 28. 10:06

안녕하세요 알약입니다. 알약에서 CryptXXX 2.x 버전 복호화 툴을 개발하였습니다. CryptXXX 2.x버전은 dll형태로 유포되고 있으며, DLLMain이 구동되면서 추가적인 Export 함수가 실행되는 구조를 취하고 있습니다. 사용자 PC를 감염시킨 후 시스템에 존제하는 드라이브 문자열을 얻어와 DriveType을 얻어오며, 이동식 드라이브, HDD, SSD, 네트워크 드라이브라면 암호화의 대상이 됩니다. 랜섬웨어 제작자는 암호화 하고자 하는 파일의 크기가 13,631,488(0xD00000) 바이트를 넘을 경우 최대 13,631,488 바이트만 암호화 하고 나머지 부분은 암호화가 되지 않도록 해 두었습니다. 부분 암호화가 되더라도 파일의 구조가 손상되기 때문에 암호화가 된 것과 마찬가지이기 ..

이스트시큐리티 소식 2016. 6. 27. 14:53

여러 루팅 익스플로잇 사용하는 안드로이드 악성코드 Godless 발견!Godless, the Android Malware that employs multiple rooting exploits 최근 Godless라는 안드로이드 악성코드가 발견되었습니다. 이 악성코드는 여러 루팅 익스플로잇을 사용하여 안드로이드 모바일 기기를 공격합니다. android-rooting-tools이라고 불리는 오픈소스 루팅 프레임워크를 포함하고 있는 해킹 플랫폼 중 하나입니다. Godless에 의해 공격받은 알려진 취약점 가운데에는 CVE-2015-3636과 CVE-2014-3153이 있습니다. 이 악성코드는 안드로이드 5.1(롤리팝) 또는 이전 버전이 동작하는 기기를 공격할 수 있습니다. Godless는 이미 전 세게 85만개..

국내외 보안동향 2016. 6. 27. 09:24

또 다시 유포되는 Locky 랜섬웨어 주의! 안녕하세요 알약입니다. 올해 2월에 최초 등장한 후 3월부터 4월까지 유행하였던 Locky 랜섬웨어가 또 다시 대량유포되고 있습니다. Locky 랜섬웨어는 이메일 첨부파일 형태로 유입되고 있으며, js파일 형태를 띄고 있습니다. 사용자 여러분들께서는 모르는 발신인에게서 온 이메일에 포함된 첨부파일 실행을 지양해 주시기 바랍니다. 이번에 유포되고 있는 Locky 랜섬웨어 역시, 알약 랜섬웨어 차단기능으로 정상적으로 차단이 가능합니다. 다만, 알약에서 랜섬웨어가 파일을 암호화 시키는 것은 성공적으로 차단하지만, 랜섬웨어에 의하여 사용자 바탕화면 배경이 변경되어 당황하시는 분들도 있을 것으로 예상되는데요. 이런 상황이 만약 발생하신다면 사용자분들께서 다시 바탕화면 ..

악성코드 분석 리포트 2016. 6. 24. 11:04