안녕하세요. 이스트시큐리티입니다. 작년 7월 4일 사용자의 마스터 부트 레코드(MBR)를 암호화 하여 PC 실행을 막는 Satana 랜섬웨어가 처음 등장하였습니다. 이는 MBR을 망가뜨리는 Petya 랜섬웨어와 클래식 랜섬웨어를 결합한 새로운 형태의 랜섬웨어였습니다. 그러나 모든 파일은 동일 특정 키로 암호화 된다거나, 디버그 스트링을 남기는 등 결점을 포함하고 있어 개발 초기 단계의 버전으로 보였습니다. (참고▶http://blog.alyac.co.kr/691) 그러나 올해 등장한 Satana 랜섬웨어는 Ransomware as a Service(RaaS) 형태로 진화했으며 다양한 안티 디버깅 기법과 프로세스 인젝션 등 클래식 랜섬웨어 기능에 분석을 어렵게 하기 위한 다양한 기법들을 포함하고 있습니다...

악성코드 분석 리포트 2017. 12. 21. 13:00

2017년은 각종 사이버 보안 위협과 신,변종 랜섬웨어, 악성코드의 공격이 증가(Risen)한 해였습니다. 이스트시큐리티 시큐리티대응센터(ESRC)는 올해 되돌아 봐야 할 보안이슈 Top 5로 RISEN을 선정하였습니다. 1) 끊임없이 진화하는 랜섬웨어 : Ransomwares prevailing 랜섬웨어가 해커들에게 많은 돈을 벌어다 주는 주요 수익원으로 자리잡은 지 벌써 몇 년이 흘렀지만, 2017년에도 랜섬웨어의 위협은 여전히 사이버 범죄에서 큰 비중을 차지했습니다. 특히 그동안 랜섬웨어의 공격대상이 불특정 다수였다면, 그 대상이 점차 특정 기업/기관으로 변해가고 있는 추세입니다. 그 이유는 개인에 비해 기업/기관이 랜섬웨어에 감염되어 중요 파일이 암호화 되면 그 피해가 막대하기 때문에, 랜섬 비용..

전문가 기고 2017. 11. 24. 10:15

안녕하세요. 이스트시큐리티입니다. 한국을 집중 공격하는 신종 랜섬웨어 ‘Trojan.Ransom.MyRansom’(이하 마이랜섬 랜섬웨어)가 등장하였습니다. 케르베르(Cerber) 랜섬웨어의 변형으로 매그니튜드 익스플로잇 킷을 통해 광고 사이트에 악성코드를 심어 유포하는 멀버타이징 방식을 사용합니다. 두 단어를 합쳐 매그니베르(Magniber) 라고도 불립니다. 한국어 윈도우 운영체제 환경에서만 파일 암호화를 진행하는 특징이 있으며 암호화되는 파일의 확장자는 ‘hwp’ 문서를 비롯해 800개 이상입니다. 본 분석 보고서에서는 MyRansom 랜섬웨어를 상세 분석 하고자 합니다. 악성코드 상세 분석 40a5312f203f48759cbc1c08f91c499a 분석 1) 시스템 언어 확인시스템 언어 환경이 한..

악성코드 분석 리포트 2017. 11. 24. 09:00

LockCrypt Ransomware Crew Started via Satan RaaS, Now Deploying Their Own Strain 올 6월부터, 한 사이버 범죄 그룹이 RDP 브루트포싱 공격을 통해 보호되지 않은 기업 서버들에 침투해 수동으로 LockCrypt 랜섬웨어를 설치하고 있는 것으로 나타났습니다. 보안 연구원들에 따르면, 이 공격자들은 미국, 영국, 남아프리카, 인도, 필리핀 등에 위치한 기업들을 공격했습니다. LockCrypt 갱, RDP 브루트 포싱 공격 이용해 LockCrypt 갱은 보통 하나의 서버로 침투해 가능한 많은 장비로 퍼지며, 각각의 시스템에서 수동으로 LockCrypt 랜섬웨어를 실행합니다. LockCrypt에 감염 되면 아래와 같은 이미지 및 랜섬 노트가 표시 ..

국내외 보안동향 2017. 11. 14. 13:41

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2017년 11월 06일 한국에서 제작된 것으로 추정되는 새로운 랜섬웨어가 등장했습니다. 제작자는 해외에서 공개된 오픈소스 기반의 '히든 티어(Hidden Tear)' 랜섬웨어 소스를 활용했습니다. 랜섬웨어는 PDF 문서파일 아이콘으로 위장하고 있으며, 제작자는 'BlackListCP' 라는 이름으로 명명하였습니다. [그림 1] 랜섬웨어 속성 화면 랜섬웨어가 작동하면 하기의 약 158종의 확장자를 대상으로 암호화 작업을 진행합니다. ".3dm", ".3g2", ".3gp", ".aaf", ".accdb", ".aep", ".aepx", ".aet", ".ai", ".aif", ".arw", ".as", ".as3", ".asf", ".asp",..

악성코드 분석 리포트 2017. 11. 13. 10:58

Experts spotted a new strain of the Sage Ransomware that implements Anti-Analysis capabilities 보안 전문가들이 Sage 랜섬웨어의 새로운 변종을 발견했습니다. 이는 안티 분석 기능을 포함한 새로운 기능들을 포함하고 있었습니다. Sage 2.0은 지난 12월 처음으로 발견 된 새로운 랜섬웨어이며, 악성 스팸메일을 통해 배포 되었습니다. Sage는 CryLocker 랜섬웨어의 변종으로 간주 되며, 지금은 Sundown과 RIG 익스플로잇 키트를 통해 배포 되고 있습니다. 이후 이 악성코드는 몇 달 동안 활동을 중단 했었으며, 악성 JavaScript파일을 첨부한 스팸 메일을 통해 배포 되었었습니다. 연구원들은 “새로운 Sage의 샘플..

국내외 보안동향 2017. 11. 2. 15:45

Shadow Volume Copies는 윈도우 시스템이 사용하는 과정 중 자동으로 파일 복사본을 생성해 놓은 일종의 서비스입니다. 랜섬웨어의 공격원리는 다음과 같습니다. 우선, 파일 복사본을 생성한 후, 해당 복사본을 암호화 한 후 원본 파일을 삭제합니다. 그 후 새로 생성된 파일 복사본들은 Windows에 의해 "in use"로 판단되어 자동으로 메모리에 백업됩니다. 이러한 문서 자신들은 보이지 않으며, 시스템 메모리에 자동으로 할당된 메모리 공간에 일정시간 저장됩니다. 대부분의 랜섬웨어들은 모두 shadow volume copies를 삭제하여 하드웨어 복구 프로그램이 암호화 된 파일들의 원본 복사본 및 암호화 되지 않은 문서를 찾는 것을 방지합니다. 하지만, 카스퍼스키는 최근 Bad Rabbit 랜섬..

국내외 보안동향 2017. 10. 31. 16:51

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 세계적으로 Locky 랜섬웨어 유포 방식에 새로운 변화가 생기고 있습니다. 기존에는 주로 MS Word 'DOC' 파일의 매크로(Macro) 기능이나 'JS', 'JSE', 'Java', 'VBS' 등의 스크립트를 이메일에 첨부해 감염을 유도하는 기법을 사용했습니다. 그런데 최근 한달 사이에 MS Word의 매크로 기능이 아닌 DDE(Dynamic Data Exchange) 프로토콜을 활용해 대대적인 공격을 시작했습니다. DDE 프로토콜은 윈도우 운영체제에서 응용프로그램 간 데이터 전송을 위해 사용하는 프로토콜 입니다. [참고자료] https://msdn.microsoft.com/en-us/library/windows/desktop/ms6..

악성코드 분석 리포트 2017. 10. 31. 15:05