안녕하세요? 이스트시큐리티입니다. 최근 신종 ‘Sodinokibi’ 랜섬웨어가 발견되었습니다. 이번에 발견된 악성코드는 난독화된 자바스크립트가 Powershell을 실행하고 디코딩을 한 후 최종적으로 정상 프로세스에 랜섬웨어 파일을 주입하여 실행하는 형태입니다. 또한 로컬 시스템만 감염 시키는 것이 아니라 로컬과 연결된 네트워크 드라이브에 대해서도 암호화를 시도하고, C&C 서버에 사용자 정보를 전송합니다. 지속적인 변종이 등장할 가능성이 높은 만큼 사용자의 주의가 필요합니다. 따라서, 본 보고서에서는 Sodinokibi 랜섬웨어를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 랜섬웨어 드로퍼이 악성코드는 여러 중간 과정을 통해 최종 랜섬웨어 PE파일을 드롭합니다. 이 과정은 자바스크립트 실행, 파워..

악성코드 분석 리포트 2019. 5. 21. 10:23

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC) 입니다. 최근 사이버 보안 위협 수위가 점점 상승하고 있는 가운데, ▲외교 ▲안보 ▲국방 ▲통일 ▲대북분야 등에 속한 주요 인물을 상대로 사이버 첩보 수집 활동이 빈번히 목격되고 있습니다. ESRC는 한국을 대상으로 한 몇몇 지능형지속위협(APT) 배후에 특정 정부가 조직적으로 가담하고 있으며, 수년간 사이버 작전을 진두지휘하고 있는 것으로 확신합니다. 이들은 한반도 정치 상황이나 혼란스런 사회 분위기를 틈타 심리기반 공격에 총력을 기울이는 특징이 있으며, 마치 신뢰할 수 있는 한국의 정부기관이 보낸 내용처럼 사칭해 이용자들을 현혹시킵니다. 또한, 사이버 전략전술 체계에서 교란 및 기만전술을 절묘하게 활용해 위협이 시작된 원점파악이나 조직속성 분..

악성코드 분석 리포트 2019. 5. 20. 14:20

Cisco addressed a critical flaw in networks management tool Prime Infrastructure 시스코(Cisco)가 네트워크 관리 툴인 PI(Prime Infrastructure)에 존재하는 결점 3개를 포함한 보안 취약점 57개를 수정하는 보안 업데이트를 발행했습니다. 수정된 취약점들 중 하나는 악용될 경우 인증되지 않은 공격자가 PI 기기에서 루트 권한으로 임의 코드를 실행할 수 있습니다. 시스코는 권고문을 통해 아래와 같이 상세 내용을 밝혔습니다. 시스코의 PI(Prime Infrastructure)와 EPN(Evolved Programmable Network) 매니저의 웹 기반 관리 인터페이스 내 중요 취약점이 발견되었습니다. 공격자는 해당 취약점..

국내외 보안동향 2019. 5. 20. 09:15

안녕하세요? 이스트시큐리티입니다. 이스트시큐리티는 지난 5월 14일(화) 여의도 전경련회관 오팔룸에서 '제1회 이스트시큐리티 엔드포인트 보안 컨퍼런스'를 개최하였습니다. 이스트시큐리티 엔드포인트 보안 컨퍼런스는 최신 보안 동향과 함께, 주요 위협 유형과 공격을 분석하고 전망 예측을 통해 엔드포인트 보안을 강화하고 보안 전략을 점검하는 자리였습니다. 컨퍼런스 장에는 다양한 분야의 보안 담당자분들께서 관심을 갖고 자리해 주셨습니다. 엔드포인트 보안에 대한 여러 질문이 쏟아지며 그 관심을 실감케 했습니다. 이번 컨퍼런스는 '2019 최신 보안 동향: 주요 사이버 위협 분석', 'EDR, 위협 대응의 새로운 대안'이라는 두 개의 세션과 '실제 구축 사례를 통해 살펴보는 엔드포인트 보안 강화 전략'을 주제로 한 ..

이스트시큐리티 소식 2019. 5. 17. 15:51

안녕하세요? 이스트시큐리티입니다. 지난달 23일 정식 출시한 알약EDR 관련 소식 전해 드립니다. 차세대 엔드포인트 위협 대응 솔루션 '알약 EDR(Endpoint Detection Response)’ 이 실제 고객 사이트에 도입, 구축되는 첫 계약이 체결되었습니다. 이번 계약은 외산 EDR 솔루션인 사이버리즌의 제품을 사용하고 있던 국내 기업이, 새롭게 출시된 차세대 국산 EDR 솔루션으로 전환(윈백, Win-Back)한 첫 사례여서 저희에게는 더욱 뜻깊은 프로젝트입니다. 알약 EDR을 도입하기로 결정한 신세계조선호텔의 보안담당자는 알약 EDR 도입을 결정할 수 있었던 주요 요인으로 "알약EDR은 신종 악성코드를 찾아 숙주를 제거하고 위협을 완전히 제거할 수 있었고, 관리자의 리소스를 최소화 해주는 자..

이스트시큐리티 소식 2019. 5. 17. 15:29

[5월 셋째주] 알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 070-XXXX-XXXX KB전산인증서비스2 [Web발신][CJ대한통운]주소지미확인.반송처리확인 3 SBI저축은행바빌론 OOO팀장4 [Web발신] 고객님!새로텍 회원가입 인증번호 출처 : 알약M기간 : 2019년 5월 13일 ~ 2019년 5월 17일

안전한 PC&모바일 세상/스미싱 알림 2019. 5. 17. 14:00

Uniqlo Parent Company Says Hack Compromised 461,091 유니클로의 모회사이자 아시아의 최대 규모 소매 업체인 "Fast Retailing Co."가 유니클로 및 GU 쇼핑 웹사이트에서 발생한 사이버 공격으로 인해 사용자 461,091명의 데이터가 유출되었다고 밝혔습니다. Fast Retailing 측은 유출 사고가 2019년 4월 23일부터 사고를 확인한 5월 10일까지의 기간 동안 발생했다고 전했습니다. 이 해킹 사고에 대한 조사는 등록된 정보가 변경되었다는 알림 등 이상한 계정 활동에 대한 고객들의 제보를 받으면서 시작되었습니다. 지금까지 확인한 바로는 이 공격이 회사의 일본 웹사이트에 실행된 “list-type 공격”인 것으로 보인다고 밝혔습니다. 이 공격은 사..

국내외 보안동향 2019. 5. 17. 10:16

German Cybersecurity Agency Warns of Security Flaw in Kaspersky Antivirus 독일의 사이버보안 기관인 BSI가 카스퍼스키 안티바이러스 프로그램에 대해 경고하며, 최신 패치를 가능한 한 빨리 설치할 것을 권고했습니다. 해당 기관이 발행한 권고문은 발견된 결함을 악용하여 실행 가능한 사이버 공격에 대한 정보를 포함하고 있지는 않습니다. 하지만 해커가 악성 파일을 첨부한 이메일을 공격 대상에게 보내는 것만으로도 공격이 가능하다고 밝혔습니다. 몇몇 경우에는 이 파일을 사용자가 열어보지 않아도 공격이 가능한 것으로 나타났습니다. BSI가 경고한 이 보안 결함은 CVE-2019-8285 취약점이며, 카스퍼스키는 지난달 해당 취약점을 수정했습니다. ※ Kaspe..

국내외 보안동향 2019. 5. 16. 15:12