안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 .KRAB 확장자로 파일을 암호화하는 GandCrab 4.0 버전의 랜섬웨어가 등장하여 이용자들의 주의를 당부드립니다. 이번에 발견된 GandCrab 4.0이 실행될 경우 먼저 다음의 프로세스를 종료합니다. 종료되는 프로세스에는 SQL 관련 프로그램 및 오피스, 스팀과 같은 프로그램이 있습니다. 이는 암호화 대상 파일의 쓰기 권한을 확보하기 위함으로 보여집니다. msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, sqlser..

악성코드 분석 리포트 2018. 7. 6. 14:35

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 문자가 깨진 악성 메일을 통해 GandCrab 랜섬웨어가 유포되고 있어 주의를 당부드립니다. ※ 관련글 보기 ▶ 이미지 저작권 침해 내용 메일로 GandCrab 랜섬웨어 유포 주의 ▶ 피고 소환장 통지서로 사칭한 GandCrab 랜섬웨어 유포 주의 ▶ 국내 대학 대상으로 갠드크랩 랜섬웨어 유포 중 ▶ 입사지원서로 위장하여 유포되는 GandCrab 랜섬웨어 주의 ▶ 악성 메일로 유포되는 GandCrab 2.1 랜섬웨어 주의 ▶ 실존 디자이너 명의를 사칭한 악성 메일로 GandCrab 랜섬웨어 국내 유포 주의 ▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의 ▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적..

악성코드 분석 리포트 2018. 6. 29. 13:54

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 '이미지 저작권 침해 확인 내용'의 내용이 담긴 악성 메일로 GandCrab 랜섬웨어가 유포되고 있어 이용자들의 주의를 당부드립니다. ※ 관련글 보기 ▶ 피고 소환장 통지서로 사칭한 GandCrab 랜섬웨어 유포 주의 ▶ 국내 대학 대상으로 갠드크랩 랜섬웨어 유포 중 ▶ 입사지원서로 위장하여 유포되는 GandCrab 랜섬웨어 주의 ▶ 악성 메일로 유포되는 GandCrab 2.1 랜섬웨어 주의 ▶ 실존 디자이너 명의를 사칭한 악성 메일로 GandCrab 랜섬웨어 국내 유포 주의 ▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의 ▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가 ▶ 국가 기관 및 기..

악성코드 분석 리포트 2018. 6. 25. 10:23

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 특정인 지칭과 상품 주문 제안 내용으로 위장한 악성 메일을 통해 GandCrab 랜섬웨어가 유포되고 있어 주의를 당부 드립니다. ※ 관련글 보기 ▶ 피고 소환장 통지서로 사칭한 GandCrab 랜섬웨어 유포 주의 ▶ 국내 대학 대상으로 갠드크랩 랜섬웨어 유포 중 ▶ 입사지원서로 위장하여 유포되는 GandCrab 랜섬웨어 주의 ▶ 악성 메일로 유포되는 GandCrab 2.1 랜섬웨어 주의 ▶ 실존 디자이너 명의를 사칭한 악성 메일로 GandCrab 랜섬웨어 국내 유포 주의 ▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의 ▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가 ▶ 국가 기관 및 기업 대..

악성코드 분석 리포트 2018. 6. 20. 09:46

안녕하세요? 이스트시큐리티입니다. 과거부터 공격자들은 백신 탐지를 우회하고 감염 사실을 은폐하기 위해 다양한 방법을 시도해왔습니다. 그중 프로세스 인젝션 기법을 통한 백신 탐지 우회는 Process Hollowing, SetWindowsHookEx등 방법을 전형적인 방법을 통해 이루어져왔습니다. 하지만 이러한 기법들은 오랜 기간 사용되었기 때문에 백신 회사들로부터 인젝션 탐지 연구가 진행되어 악성코드 탐지율이 높아졌습니다. 이에 따라 최근 기존에 사용되어 왔던 프로세스 인젝션 기법이 아닌 Atombombing , Process Doppelganging, early bird등 새로운 기법들이 등장하였으며 이러한 기법들은 정보 탈취 악성코드, 랜섬웨어 등 다양한 유형의 악성코드에서 발견되고 있습니다. 따라서..

악성코드 분석 리포트 2018. 6. 19. 18:19

New MysteryBot Android Malware Packs a Banking Trojan, Keylogger, and Ransomware 사이버 범죄자들이 현재 안드로이드 기기를 노리는 새로운 악성코드 변종을 개발 중인 것으로 나타났습니다. 이 악성코드는 뱅킹 트로이목마, 키로거, 모바일 랜섬웨어를 포함합니다. MysteryBot이라 명명 된 이 악성코드는 아직 개발 중인 것으로 보입니다. MysteryBot, LokiBot과 관련 있어 연구원들은 MysteryBot이 잘 알려진 LokiBot 안드로이드 뱅킹 트로이목마와 관련 있는 것으로 보인다고 밝혔습니다. 연구원들은 “트로이목마 코드 두 개를 분석한 결과, 우리는 LokiBot과 MysteryBot의 제작자들이 관련이 있을 것으로 추측했습니다..

국내외 보안동향 2018. 6. 18. 10:09

Sigrun Ransomware Author Decrypting Russian Victims for Free Sigrun 랜섬웨어는 일반적으로 피해자들에게 랜섬머니로 약 $2,500 상당의 비트코인이나 Dash를 요구하지만 러시아 피해자들에게는 무료로 복호화를 지원해 주는 것으로 확인되었습니다. 러시아의 랜섬웨어 개발자들이 러시아 시민들을 공격 대상에서 제외하는 것은 꽤 흔히 일어나는 일입니다. 한 연구원은 미국의 피해자 및 러시아의 피해자가 악성코드 제작자에게 이메일을 보내 받은 답장을 공개했습니다. Sigrun은 랜섬웨어가 실행될 때 키보드 레이아웃을 탐지해 러시아 피해자들을 감염시키는 것을 피하려 시도합니다. 러시아어 레이아웃을 발견할 경우, 컴퓨터를 더 이상 암호화 하지 않고 자기 자신을 삭제합니..

국내외 보안동향 2018. 6. 5. 11:28

최근 Bondat 웜 변종이 발견되었습니다. Bondat 웜은 이동식 디스크를 통해 유포되며, 감염 PC를 좀비 PC로 만들 뿐만 아니라 브라우저 시작 페이지 변경, 모네로 채굴 하는 등 악성행위를 합니다. 또한 최근에는 GandCarb3 유포기능이 추가되었습니다. Bondat 웜은 2013년에 처음 발견되었습니다. Bondat 웜은 이동식 디스크를 이용하여 전파되며, 정보수집, 자가복제, 명령 실행, 좀비 PC 등의 다양한 기능을 포함하고 있습니다. 가장 최초의 Bondat 웜은 주로 사용자 브라우저의 시작 페이지를 변경하여 불법적인 이득을 취했습니다. 그리고 가상화폐가 이슈화 됨에 따라, 감염 PC의 자원을 이용하여 모네로를 채굴하기 시작하였습니다. 하지만 최근에 발견된 Bondat 웜에는 기존의 악..

국내외 보안동향 2018. 5. 29. 17:32