안녕하세요? 이스트시큐리티입니다. 지난해 8월 가짜 성인 앱으로 위장해 사용자 다운로드를 유도했던 안드로이드 스파이웨어 Triout이 이번에는 정상 앱에 숨어들었습니다. 1천만 건 이상 다운로드 된 프라이버시툴 “PsiPhon”에 악성 코드가 추가되었습니다. 서비스와 리시버 형태로 사용자 몰래 기기 정보는 물론 문자 탈취, 녹음 등 사생활을 완전히 감시하고 그 정보를 해커의 서버로 전송합니다. 본 분석 보고서에서는 'Spyware.Android.FakeApp'를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 악성코드 추가 원본 앱의 구조와 비교해 보면 마지막에 “psp” 클래스가 추가되었습니다. 특히, 매니페스트를 보면 리시버와 서비스들이 다수 추가된 것을 알 수 있고, 관련 권한과 인텐트들은 민감한..

악성코드 분석 리포트 2019. 2. 21. 17:49

최근 전 세계 사용자가 사용하는 WinRAR에서 원격코드실행 취약점(CVE-2018-20250)이 발견되었습니다. 이 취약점은 19년동안 존재했던 것으로 확인되었습니다. Check Point 연구원에 따르면, 이번 취약점은 UNACEV2.dll 코드 라이브러리 중 존재한다고 밝혔습니다. 이 코드 라이브러리는 ace형식을 압축 해제할때 사용되는 것으로, 이 압축방식은 20세기 90년대로 거슬러 올라갈 수 있습니다. 공격자는 악성 ace 파일을 제작한다. 만약 사용자가 WinRAR을 통하여 압축을 해제할 경우, UNACEV2.dll중의 경로 트래버셜 취약점 툴을 공격자가 원하는 경로에 압축 해제할 수 있습니다. 연구원은 악성 ACE 파일을 시작폴더중에 압축 해제하여, 시스템이 켜질 때 마다 실행되도록 시도해..

국내외 보안동향 2019. 2. 21. 17:20

Critical Flaw Uncovered In WordPress That Remained Unpatched for 6 Years 워드프레스를 최신 버전인 5.0.3으로 패치 하지 않은 상태라면, 지금 당장 패치하는 것이 좋습니다. RIPS Technologies Gmbh의 사이버 보안 연구원들이 워드프레스의 모든 이전 버전에 영향을 미치는 치명적인 원격 코드 실행 취약점을 발견했다고 밝혔습니다. 이 취약점은 지난 6년 동안 패치 되지 않았습니다. 작년 말 발견 되어 워드프레스의 보안 팀에 제보 된 이 원격 코드 실행 공격은, 최소 “author” 계정을 가진 권한이 낮은 공격자가 워드프레스 코어에 존재하는 취약점 2개 (경로 조작(Path Traversal), 로컬 파일 포함(LFI: Local Fil..

국내외 보안동향 2019. 2. 21. 15:33

부족한 스마트폰 저장공간, 간단하게 늘리는 방법! 스마트폰 사용 시 '저장공간이 부족합니다.'라는 메시지 때문에 고민해보셨던 적, 다들 한 번씩은 있으실 텐데요. 그래서 여러분께 부족한 스마트폰 저장공간을 간단하게 늘릴 수 있는 방법을 알려드리고자 합니다! 스마트폰을 사용하다 보면 캐시(cache) 파일 등 불필요한 찌꺼기 파일들이나 메신저로 주고받은 사진 · 동영상과 같이 저장공간을 많이 차지하는 파일들이 기기 내에 쌓이게 됩니다. 이 파일들만 정리해도 저장 공간 부족의 늪에서 빠져나올 수 있습니다. 쾌적한 모바일 환경을 위해, 저장 공간을 확보할 수 있는 방법을 지금부터 알아보겠습니다! 1. 오래된 설치 파일 삭제하기 첫 번째 방법은 ‘오래된 설치 파일 삭제하기’입니다. 스마트폰에 어플리케이션을 설치..

안전한 PC&모바일 세상/PC&모바일 TIP 2019. 2. 21. 14:51

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 2019년 02월 21일 오전 제작된 새로운 지능형지속위협(APT) 공격이 발견되었습니다. 이 공격은 특정 정부가 지원하는 해킹조직으로 분류되어 있고, 2014년 한국수력원자력(한수원) 공격에 직접적으로 연결되어 있는 조직이며, 지난 2018년 11월 27일 공개했던 '작전명 블랙 리무진(Operation Black Limousine)'의 후속 캠페인으로 확인이 되었습니다. 관련 내용은 추후 '쓰렛인사이드(Threat Inside)' 서비스를 통해 보다 상세한 위협 인텔리전스 보고서와 IoC 등의 자료를 제공할 예정입니다. 위협조직이 사용한 공격벡터는 이메일에 악성 HWP 문서파일을 첨부해 공격..

악성코드 분석 리포트 2019. 2. 21. 13:19

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 지방 경찰서의 출석 통지서 사칭 악성 메일에 이어, 최근에는 경찰청에서 소환장을 발부한 것처럼 위장한 통지서 사칭 악성 메일으로 GandCrab v5.1 랜섬웨어가 유포되는 점이 ESRC 모니터링에 포착되어 이용자들의 주의를 당부드립니다. [그림 1] 경찰청 소환장 통지서 악성 메일 악성 메일 첨부파일 ‘Notices for ID 8174 02 242.zip’에는 GandCrab 랜섬웨어인 ‘Case Notices.pdf.exe’가 포함되어져 있습니다. 이용자가 무심결에 첨부파일을 실행했을 경우 GandCrab 랜섬웨어에 감염됩니다. [그림 2] 악성 메일에 첨부된 ‘Notices for ID 8174 02 242.zip’ GandCrab 5.1..

악성코드 분석 리포트 2019. 2. 20. 16:27

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 갠드크랩(GandCrab) v5.1의 복호화 툴이 공개되었습니다. (▶ 갠드크랩 v5.1 복호화툴 다운로드) 이번 복호화 툴은 백신업체인 비트디펜더, 루마니아경찰, 유로폴 및 다른 전 세계 기관들이 협력하여 개발한 툴입니다. [그림1] 비트디펜더가 공개한 갠드크랩 복호화 툴 이번에 새롭게 공개된 복호화 툴은 더 상위버전인 갠드크랩 v5.1로 암호화 된 파일들도 복호화가 가능합니다. 다만, 이 툴로는 갠드크랩 2.x 버전과 3.x 버전에 감염된 파일들은 복호화가 불가능합니다. 갠드크랩 랜섬웨어의 복호화 툴은 이 전에 이미 공개된 적이 있었습니다. (▶참고 : 갠드크랩(GandCrab) 랜섬웨어의 무료 복호화 툴 공개 돼) 그때 당시 공개되었던 복..

악성코드 분석 리포트 2019. 2. 20. 13:56

GandCrab Decryptor Available for v5.1, New 5.2 Variant Already Out 갠드크랩(GandCrab)의 최신 버전에 감염된 사용자들이 사용할 수 있는 무료 복호화 툴이 공개되었습니다. 이는 갠드크랩 버전 4 ~ 5.1 및 이전 버전 일부를 통해 암호화된 데이터의 잠금을 해제할 수 있습니다. 이 툴은 보안 업체인 비트디펜더(Bitdefender), 루마니아 경찰, 유로폴 및 기타 전 세계법 집행부가 협력하여 얻은 결실입니다. 이 툴은 갠드크랩 2.x, 3.x로 암호화된 데이터에는 사용할 수 없습니다. 비트디펜더 측은 갠드크랩 2.x 및 3.x에 감염된 소수의 사람들도 도움을 받을 수 있도록 복호화 툴을 만들기 위해 노력 중이라고 밝혔습니다. 이 툴은 2.x 및 ..

국내외 보안동향 2019. 2. 20. 10:31