안녕하세요? 이스트시큐리티입니다. 가상화폐 시세의 급등과 함께 채굴 기능이 있는 앱들이 등장하고 있습니다. 이러한 채굴 기능은 안드로이드 공식 마켓인 구글 플레이스토어의 정상 앱에서 발견되고 있으며, 해당 개발자가 정상 앱의 새로운 버전을 배포할 때 마이너를 추가하여 배포한다. 문제는 이를 사용자들에게 고지하지 않는 것입니다. 기기의 웹 브라우저를 활용한 마이너와 so 파일을 활용한 마이너가 주를 이루고 있습니다. 특히, so 파일을 활용하는 마이너는 "피닉스 코인"을 채굴하며 기기의 화면이 꺼져 있고 충전 중일 때만 채굴을 하여 사용자가 쉽게 알아차리기 어렵습니다. 본 분석 보고서에서는 so 파일을 활용한 마이너를 상세 분석 하고자 합니다. 악성코드 상세 분석 [그림 1] 정상앱 속의 채굴 해당 악성코..

악성코드 분석 리포트 2018. 2. 23. 09:00

Sophos는 최근 마이닝 스크립트가 포함된 19개의 앱들을 구글플레이에서 발견하였습니다. 이 앱들은 사용자 모르게 Coinhive 스크립트를 로드합니다. 해당 앱들 분석한 결과, App제작자들은(동일인물 혹은 동일 조직) Coinhive JavaScript 마이닝 스크립트를 app의 /assets 폴더 내 HTML 안에 숨겨놓았습니다. 사용자들이 해당 app을 실행한 후 WebView브라우저를 열면 해당 악성스크립트가 함께 실행됩니다. 만약 브라우저의 실행여부가 app에서 인증되지 않은 경우, WebView모듈은 숨겨져 보여지지 않으며, 이때 악성스크립트는 백그라운드에서 실행되게 됩니다. 만약 app이 신문리더기 혹은 교육일정 확인 기능을 한다면, Coinhive 브라우저 JavaScript 마이닝 코..

국내외 보안동향 2018. 2. 19. 13:28

안녕하세요? 이스트시큐리티입니다. 전세계적으로 가상 화폐가 열풍인 가운데, 가상 화폐를 채굴하는 악성코드가 지속적으로 확인되고 있습니다. 특히 이번에 발견된 악성코드는 ‘모네로(XMR)’ 가상 화폐를 채굴하는 악성코드로, 자신의 활동을 숨기기 위해 프레임워크를 가지고 있는 점이 특징입니다. 따라서 본 보고서에서는 ‘Misc.Riskware.BitCoinMiner’ 악성코드의 상세 분석 내용을 다루고자 합니다. 이번 악성코드는 국내에서 불특정 다수를 대상으로 한 악성 메일에서 유포된 것으로 확인되었습니다. 악성 메일에 첨부된 바로가기 파일(.lnk)의 대상 값을 통하여 모네로 채굴기인 dog.exe 악성코드가 실행되도록 유도합니다. 다음은 바로가기 파일의 속성 정보입니다. [그림 1] 모네로 채굴 악성코드..

악성코드 분석 리포트 2018. 1. 29. 10:17

최근 중국의 보안기업은 윈도우 정품 인증 툴로 유명한 KMSpico의 홈페이지에서 내려받는 툴에 가상화폐 채굴 악성코드가 포함되어 있다고 밝혔습니다. 일반적으로 가상화폐 채굴 악성코드에 감염되면 컴퓨터를 사용하지 않는 상황 하에서도 CPU, GPU의 사용률이 100%에 달하며, 팬이 돌아가는 속도가 빨라지면 열이 발생하는 등의 현상이 나타납니다. KMSpico는 윈도우 정품 인증 툴로, 크랙버전을 사용하는 많은 사용자들이 해당 툴을 이용하여 정품인증을 받습니다. 해당 파일을 분석해본 결과, 사용자가 KMSpico를 실행하면 컴퓨터 사용환경에 따라 32비트에서는 wuapp.exe / svchost.exe에, 64비트에서는 explorer.exe / notepad.exe에 모네로 채굴 악성코드 인젝션을 시도..

국내외 보안동향 2017. 12. 22. 14:52

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 특정 기업의 채용 구인 공고를 보고 연락한 내용처럼 위장한 해킹(스피어 피싱) 이메일이 국내에서 여럿 발견되고 있어 채용 및 구직관련 담당자 분들의 각별한 보안 주의가 필요합니다. ESRC에서는 이 공격자들이 기존 비너스락커 조직과는 다른 그룹으로 분류하고 있습니다. 보통 비너스락커 공격 그룹은 'EGG' 압축포맷을 주로 사용하는 반면, 이 공격자들은 'ALZ' 압축포맷을 활용하는 점이 다르며, 한국내 조직으로 분류되어 추적을 이어가고 있습니다. 한편, 공격자 추적을 위해 수사당국과도 긴밀하게 협력하고 있습니다. 공격자는 한글로 작성한 이메일에 마치 구직자 이름의 채용서류 파일처럼 만든 악성파일을 압축해 첨부하고 있습니다. [그림 1] 채..

악성코드 분석 리포트 2017. 12. 11. 14:04

해커들이 최근 ethOS를 사용하는 이더리움 채굴 서버를 스캔하여, 디폴트 ssh 비밀번호를 사용하는 호스트 해킹하여 채굴기의 권한을 획득, 이더리움 지갑의 주소를 해커 자신의 주소로 바꾸는 등의 수단을 이용하여 불법적인 이득을 취하고 있습니다. 이번 공격은 비트디펜더가 설치해 놓은 허니팟에 공격징후가 포착되면서 발견되었습니다. 허니팟 로그를 통해, 공격자는 각각 ethos:live와 root:live 두개의 기본 ssh 사용자비밀번호로 로그인을 시도하는 것을 확인하였습니다. 이 두개의 비밀번호 조합을 조사해본 결과, 이는 64bit의 Linux 배포버전인 ethOS는 에서 사용되는 조합으로, 이 OS는 주로 전문적으로 GPU 자원을 이용하여 가상화폐를 캐는데 사용됩니다. 비록 3800대의 디바이스에서 ..

국내외 보안동향 2017. 11. 9. 11:48