안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 갠드크랩 랜섬웨어가 또 다시 유포되고 있어 사용자들의 각별한 주의가 필요합니다. ※ 관련글보기 ▶ 2018 연말정산 시즌 비너스락커 유포 조직 활동중!▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥!▶ 비너스락커 조직 ‘바로가기’ 파일(LNK) 변경하여 유포 중인 갠드크랩 랜섬웨어 주의▶ 이미지를 드롭하는 갠드크랩(GandCrab) 5.0.4 발견! 이번 악성메일은 명함제작 이메일을 위장하고 있습니다. [그림 1] 수신된 메일 첨부 파일 ‘문의사항.alz’ 에는 아래와 같이 3개의 파일이 있습니다. [그림 2] 첨부파일 '문의사항.alz' 압축파일에 첨부되어 있는 doc 파일은 정상 파일이며, jpg 파일은 이미지 파일을 ..

악성코드 분석 리포트 2019. 1. 17. 08:32

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. GandCrab 5.0.9 버전이 등장하여 사용자들의 주의가 필요합니다. ※ 관련 글 보기▶ 복호화 툴로 복구 불가능한 갠드크랩(GandCrab) 5.0.5 변종 발견!▶ 멀버타이징 기법으로 유포 중인 갠드크랩(GandCrab) v5.0.3 주의!!▶ 비너스락커 조직이 유포중인 갠드크랩(GandCrab) v5.0.3 주의!▶ 갠드크랩(GandCrab) 랜섬웨어 5.0.1, 5.0.2 변종 지속적으로 유포 중! GandCrab 5.0.9 버전은 기존의 GandCrab 랜섬웨어와 다르게 "We will become back very soon! ;)" 이라는 팝업창을 띄웁니다. 사용자가 확인 버튼을 클릭한다면 기존의 갠드크랩들과 동일하게 파일들을 ..

악성코드 분석 리포트 2018. 12. 5. 11:40

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 갠드크랩 랜섬웨어가 또 다시 이력서로 위장하여 유포되고 있어 사용자들의 각별한 주의가 필요합니다. ※ 관련 글 보기 ▶ 임금체불 관련 출석요구서로 사칭한 갠드크랩 랜섬웨어 감염 주의 ▶ 비너스락커 랜섬웨어 조직, 베리즈 웹쉐어를 통해 갠드크랩 국내 다량 유포 ▶ 비너스락커 위협조직, 입사지원서로 위장해 갠드크랩 랜섬웨어 한국에 급속 유포 중 갠드크랩 랜섬웨어는 이력서 이메일로 위장하고 있으며, 악성 워드파일이 첨부되어 있습니다. [그림 1] 수신된 메일 만약 이용자가 첨부 파일 ‘양희종 지원서.doc’를 클릭할 경우 아래와 같이 매크로 실행을 유도 합니다. [그림 2] 매크로 실행을 유도하는 DOC 파일 이용자가 자세한 정보를 열람하기 위해 매..

악성코드 분석 리포트 2018. 11. 27. 15:42

Experts released a free Decryption Tool for GandCrab ransomware 악명높은 갠드크랩(GandCrab) 랜섬웨어의 피해자들에게 좋은 소식이 있습니다. 보안 전문가들이 랜섬머니를 지불하지 않고도 무료로 파일을 복호화 할 수 있는 툴을 제작했습니다. 보안 회사인 Bitdefender는 유로폴, FBI, 루마니아 경찰 및 기타 법 집행 기관들과 함께 무료 랜섬웨어 복호화 툴을 만들었습니다. 연구원들은 “이 툴은 갠드크랩(GandCrab) 랜섬웨어 버전 1, 4, 5로 암호화 된 파일을 복구할 수 있습니다.”라고 밝혔습니다. 피해자들은 암호화 된 파일의 끝에 붙은 확장자나 랜섬노트를 확인해 랜섬웨어의 버전을 구별하면 됩니다. 아래 표에서 갠드크랩(GandCrab) ..

국내외 보안동향 2018. 10. 26. 14:13

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 갠드크랩(GandCrab)의 변종이 몇 일 동안 꾸준히 발견되고 있는 가운데 갠드크랩(GandCrab) v5.0.4가 또 한번 발견되었습니다. ▶ GandCrab v5 랜섬웨어, 랜덤 확장자와 HTML 랜섬노트를 사용하고 ALPC 작업 스케쥴러 익스플로잇 악용해▶ GandCrab 랜섬웨어 5.0.1, 5.0.2 변종 지속적으로 유포 중! 이번에 발견된 GandCrab v5.0.4은 실행된 후 자신이 위치한 파일 경로에 동일한 사람 얼굴 이미지 파일 두 개를 드롭합니다. 드롭된 이미지 파일은 실제로 하는 역할은 없으며, 이번 갠드크랩 랜섬웨어 변종이 공격 타겟으로 삼고 있는 인물로 추정됩니다. [그림 1] 드롭되는 이미지 드롭되는 이미지는 실제로..

악성코드 분석 리포트 2018. 10. 4. 17:41

갠드크랩(GandCrab) v5.0이 발견된지 몇 일 되지 않아 또 다시 갠드크랩(GandCrab) v5.0.1 및 v5.0.2가 발견되었습니다. GandCrab v5.0.1은 다른 정상 프로세스에 인젝션 되어 실행되는데, 특정 조건에 따라 인젝션 대상이 달라집니다. 예를 들어 Flag값이 1일 경우 ‘%System32%svchost.exe’, 2일 경우는 ‘%System32%wermgr.exe’를 대상으로 합니다. [그림 1] 조건에 따른 인젝션 대상 프로세스 다음은 CreatePorcessInternalW 함수로 ‘wermgr.exe’ 프로세스에 인젝션 하는 코드의 일부입니다. [그림 2] ‘wermgr.exe’ 인젝션 코드 일부 인젝션 완료 후에는 NtResumeThread 함수를 이용하여 인젝션한..

악성코드 분석 리포트 2018. 10. 1. 18:58

추석 연휴동안 갠드크랩(GandCrab) v5가 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 갠드크랩(GandCrab) v5가 기존의 갠드크랩(GandCrab) v4.x와 비교하였을 때 달라진 점은 .KRAB이 아닌 5자리의 랜덤한 확장명을 사용한다는 점과, HTML 형식의 한국어 랜섬노트를 생성한다는 점입니다. 그 외의 대부분 행위는 기존의 버전과 유사합니다. 이번 갠드크랩 v5는 보안연구원 nao_sec에 의해 Fallout 익스플로잇 키트를 호스팅하는 사이트로 이동시키는 멀버타이징을 통해 배포 되는 것이 발견되었습니다. 이 익스플로잇은 방문자 SW에 존재하는 취약점을 활용하기 때문에 피해자들은 암호화된 파일과 랜섬노트를 발견하기 전 까지는 감염 사실을 눈치채기가 어렵습니다. 또한 GandC..

악성코드 분석 리포트 2018. 9. 27. 18:22

최근 중국의 보안업체인 Tencent는 전문적으로 기업의 내부망을 타겟으로 하는 갠드크랩(GandCrab) 랜섬웨어를 발견했다고 밝혔습니다. 이번에 발견된 갠드크랩의 버전은 4.3인것으로 확인되었습니다. 이번에 발견된 버전이 이전 버전들과 다른 점은, 공격자가 내부망에 침입하여 채굴 악성코드와 랜섬웨어를 동시에 드랍하여, 공격 가치가 높은 시스템일 경우에는 GandCrab 랜섬웨어를, 공격가치가 상대적으로 낮은 시스템일 경우 채굴 악성코드를 사용하여 공격의 효율성을 높이려고 하였다는 점입니다. 이번 GandCrab 4.3은 Tomcat 서버의 취약한 비밀번호를 이용하여 침투를 하였습니다. 침투에 성공한 후, C2서버에서 랜섬웨어와 채굴 악성코드를 내려받습니다. 암호화된 파일을, 복호화 하려면 499달러의..

국내외 보안동향 2018. 9. 19. 17:49