CN Cert는 최근 급속도로 유포되고 있는 异鬼II Bootkit 악성코드에 대해 경고를 하였습니다. 异鬼II Bootkit 라고 명명된 이 악성코드는, 중국 내 다운로드 프로그램들을 통하여 유포되고 있으며, XP, Win7, Win10 등 주요 OS에서 모두 동작이 가능합니다. 异鬼II Bootkit 악성코드는 정상적인 디지털 인증서를 갖고 있습니다. 해당 악성코드는 VBR을 수정하여 탐지를 어렵게 할 뿐만 아니라, 클라우드에서 기능 모듈을 내려받아 감염 PC에서 악성행위를 합니다. 감염 확인 방법 1) 내컴퓨터 하위에 .wav 파일이 존재하는지 확인합니다.C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\MediaC:\Users\사용..

국내외 보안동향 2017. 8. 2. 11:19

Apple removes VPN Apps from the China App Store 애플은 최근 중국의 검열법을 준수하기 위하여, 중국 앱스토어에서 VPN 앱들을 제거하기 시작했습니다. 이로써 중국 사용자들은 Great Firewall을 우회하기 더욱 힘들게 됬습니다. 중국에 VPN 서비스를 제공하는 업체들은 중국의 엄격한 사이버 검열법을 준수한다며 애플에 비난을 가했습니다. ExpressVPN은 블로그를 통해 애플이 자신들의 VPN 앱을 중국 앱스토어에서 제거했으며, 다른 VPN 업체들도 애플로부터 동일한 공지를 받았다고 밝혔습니다. 중국은 인터넷을 검열하고 국가에서 주요 외국 웹사이트에 접근할 수 없도록 차단하기 위해 많은 트릭을 사용하는 Golden Shield 프로젝트인 Great Firewal..

국내외 보안동향 2017. 8. 1. 16:28

올해 3 월, 구글과 파이어 폭스의 합동조사 과정에서 시만텍이 승인받지 않은 SSL 인증서를 대량으로 발급한 사실을 발견하였습니다. (▶ 자세히 보기) 그리고 7월 28일, 구글은 정식으로 GeoTrust,Thawte 및 Rapid SSL 등 시만텍 계열사의 모든 SSL 인증서를 신뢰하지 않겠다고 밝혔습니다. 시만텍은 이에 동의하였으며, CA사업의 매각을 고려하고 있다고 밝혔습니다. 사건개요 2017년 3월, 구글과 파이어폭스 조사단은, 시만텍이 업계의 규칙을 어기고 127개의 SSL인증서를 부당하게 발급한 사실을 확인하였습니다. 이에 더 심도깊은 조사를 진행한 결과, 약 3만개가 넘는 인증서가 부적절하게 발급된 것이 추가로 확인되었습니다. 시만텍은 세계 최대의 CA발급업체중 하나로,이번 사건은 사람들에..

국내외 보안동향 2017. 8. 1. 15:20

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. GlobeImposter 랜섬웨어 변종 중 유효한 디지털 서명을 탑재한 형태가 해외에서 등장하고 있어 이용자분들의 각별한 주의가 요망됩니다. 잘 아시는 분들도 계시겠지만, 일반적으로 특정 파일에 유효한 디지털 서명이 탑재되어 있다는 것은 무결성이 보장된다는 의미와 함께 정상적인 파일(화이트 리스트)임을 증명하는 용도로 활용되기도 합니다. 그러다보니 일부 악의적인 해커들은 정상적인 디지털 서명 데이터를 무단 탈취하여 악성프로그램 제작에 악용되는 경우가 종종 발생하기도 합니다. 그런 와중에 2017년 7월 29일과 31일에 제작된 GlobeImposter 랜섬웨어 변종 2개에서 각각 다르지만 유효한 디지털 서명이 탑재된 것이 발견되었습니다. [그..

악성코드 분석 리포트 2017. 8. 1. 11:03

Google experts blocked a new targeted malware family, the Lipizzan spyware 구글이 새로운 안드로이드 악성코드인 Lipizzan 스파이웨어를 발견했습니다. 이 악성코드는 강력한 모니터링 툴로 사용될 수 있는 것으로 확인되었습니다. Lipizzan 스파이웨어는 이스라엘의 스타트업인 Equus Technologies가 개발한 프로젝트로, 자신들을 다음과 같이 소개하고 있습니다. “Equus Technologies는 법 집행부, 정보 기관 및 국가 보안 기관을 위한 맞춤형 혁신 솔루션을 개발하는 기업입니다.” 전문가들은 Google Play Protect 기술을 이용해 다른 위협들을 조사하던 중 Lipizzan 스파이웨어 샘플을 발견하였습니다. 구글은 ..

국내외 보안동향 2017. 7. 31. 17:04

You need to pay for us, otherwise we will sell portion of your personal information on black market every 30 minutes. WE GIVE 100% GUARANTEE THAT ALL FILES WILL RESTORE AFTER WE RECEIVE PAYMENT. WE WILL UNLOCK THE MOBILE DEVICE AND DELETE ALL YOUR DATA FROM OUR SERVER! TURNING OFF YOUR PHONE IS MEANINGLESS, ALL YOUR DATA IS ALREADY STORED ON OUR SERVERS! WE STILL CAN SELLING IT FOR SPAM, FAKE, B..

전문가 기고 2017. 7. 31. 14:14

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 해외에서 일명 '이스라바이(israbye)'라는 새로운 유형의 랜섬웨어가 등장했습니다. 현 시점까지 국내 유입 및 피해사례가 공식보고 되진 않았지만, 관련 내용을 숙지하시어 사전에 대비하시길 당부드립니다. 이 랜섬웨어는 2017년 07월 24일 닷넷 기반 프로그래밍으로 제작되었으며, 파일속성에 다음과 같은 정보를 보유하고 있습니다. 제작자가 지정한 원본 파일 이름은 'israbye.exe' 입니다. 이 파일명은 '이스라엘 바이' 라는 의미로 해석되고 있습니다. [그림 1] israbye 랜섬웨어 파일 속성 정보 파일 내부에는 제작자로 추정할 수 있는 아티팩트가 포함되어 있는데, 'Ahmed' 라는 컴퓨터 계정을 사용하고 있음을 알 수 있습니다..

악성코드 분석 리포트 2017. 7. 31. 11:14

3 New CIA-developed Hacking Tools For MacOS & Linux Exposed 위키리크스가 또 다른 CIA 프로젝트인 ‘Imperial’과 관련 된 새로운 기밀 문서들을 공개했습니다. 이번에 공개된 문서는 애플 Mac OS X와 Linux OS를 노리도록 설계 된 CIA가 개발한 해킹 툴 및 임플란트 최소 3개에 관한 자세한 내용이 포함 되어 있습니다. Achilles – Mac OS X 디스크 이미지 백도어 툴 Achilles라 명명 된 이 해킹 툴은 CIA 운영자들이 악성 트로이목마 프로그램들을 정식 Mac OS 앱과 결합해 디스크 이미지 인스톨러(.DMG) 파일로 만들 수 있도록 합니다. 이 바인딩 툴의 shell script는 Bash로 작성 되었으며, CIA 운영자들..

국내외 보안동향 2017. 7. 28. 17:47