안녕하세요. 이스트시큐리티입니다. 멈추지 않는 랜섬웨어 비상 사태! 지난 3년간, 랜섬웨어 피해 신고가 무려 7배나 증가했다고 하는데요.혹시 사내에서 랜섬웨어로 피해를 입은 경험이 있으시다면 그 경험을 이스트시큐리티에 제보해 주세요. 랜섬웨어 피해 사례를 보내주신 모든 기업/기관에 해당 피해사례에 대한 이스트시큐리티의 대응 가이드를 리포트 형식으로 제공해 드리며, 추가로 이스트시큐리티의 도움이 가장 필요한 기업/기관 세 곳을 선정하여 곧 정식 출시 예정인 최신 랜섬웨어 방어 솔루션을 무료로 구축해 드립니다! 공모명★최신 랜섬웨어 방어 솔루션 무료 구축 이벤트★ 주제우리 회사(기관)의 랜섬웨어 피해 경험을 제보해 주세요. 응모 자격랜섬웨어 공격으로 인해 피해를 입은 모든 기업 및 기관 응모기간 및 발표20..

이벤트 2017. 10. 30. 18:03

Bad Rabbit Ransomware Outbreak Also Used NSA Exploit 러시아와 우크라이나를 큰 혼란에 빠지게 한 Bad Rabbit 랜섬웨어 사건이 발생한지 이틀 후, 보안 연구원들은 계속해서 해당 멀웨어에 대해 연구를 진행하고 있습니다. 초기에는 SMB 프로토콜을 사용하는 커스텀 스캐닝 매커니즘을 사용해 초기 피해자로부터 근처 컴퓨터로 배포되는 것으로 추측 되었으나, 금일 새로이 발표 된 보고서에 의하면 Bad Rabbit은 배포 프로세스를 강화하기 위해 수정 된 버전의 NSA 익스플로잇을 이용한 것으로 나타났습니다. NSA가 개발하고 온라인에 유출 된 사이버 무기를 글로벌 랜섬웨어가 악용한 것은 올해만 세 번째입니다. WannaCry가 NSA 사이버 무기를 사용한 첫 번째 랜..

국내외 보안동향 2017. 10. 27. 16:06

안녕하세요. 이스트시큐리티입니다. 최근 GlobeImposter 랜섬웨어의 유포가 빈번하게 발생하고 있습니다. 주로 스팸 메일을 통해 유입되는 것으로 보이며, 다양한 변종들이 지속적으로 등장하고 있습니다. 그 중에서도 암호화된 파일의 확장자를 .707으로 변경시키는 악성코드에 대해 상세 분석을 진행하고자 합니다. 악성코드 상세 분석 프로세스 전체 흐름도 다음은 GlobeImposter 랜섬웨어가 동작하는 방식에 대한 전체적인 흐름도입니다. 생성된 뮤텍스의 존재 여부에 따라 동작이 구분됩니다. [그림 1] GlobeImposter 랜섬웨어 프로세스 전체 흐름도 Image Hijacking 본 악성코드의 악성행위는 child process를 생성하여 Image Hijacking 후에 진행됩니다. Image ..

악성코드 분석 리포트 2017. 10. 27. 09:00

APT 공격형 랜섬웨어의 위협 APT(Advanced Persistent Threat)는, 개인 및 정부기관 또는 기업을 상대로 지속적인 해킹 시도를 통해 개인정보나 중요 데이터를 유출하는 형태의 공격을 의미합니다. 좀 더 쉽게 이야기해보면, 해커가 특정 타깃을 정해두고 계획적 접근 후 일정시간 지켜보다가 보안이 취약한 타이밍에 모든 데이터를 유출 해가는 것입니다. 국책사업 포상을 사칭한 APT 공격 방식의 예제 대부분의 개인 및 기업에서 APT 공격을 받았을 경우, 언제 어떤 경로로 악성코드가 침입하고 활동했는지 파악하는 것은 매우 어렵습니다. 초기부터 치밀하게 계획 후 접근하여 취약한 곳을 관찰하다가 공격하기 때문입니다. 내부 직원의 개입까지 있다면 피해를 방지하는 것이 더더욱 어려워집니다. 국내에서..

전문가 기고 2017. 10. 25. 15:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. Adobe Flash Player파일로 위장한 'Bad Rabbit'이라 불리는 랜섬웨어가 유포되었습니다. 최근 러시아, 우크라이나와 같은 동유럽의 일부 국가에서 감염이 확인된 상태이며 추가적으로 국내로 유입될 가능성도 있으므로 이용자들의 각별한 주의를 당부드립니다. hxxp://1dnscontrol.com/index.phphxxp://1dnscontrol.com/flash_install.php[표 1] 유포지로 알려진 사이트 'Bad Rabbit’ 랜섬웨어는 파일과 디스크를 암호화하여 감염된 사용자에게 비트코인 결제를 요구합니다. 다음은 Bad Rabbit의 전체 흐름도입니다. [그림 1] Bad Rabbit의 전체 흐름도 Dropper - ..

악성코드 분석 리포트 2017. 10. 25. 11:03

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 익스플로잇 킷(Exploit Kit)을 통해 MyRansom 랜섬웨어가 대량 유포되고 있는 중입니다. 특히, 한국 환경만을 대상으로 한 MyRansom(Magniber) 랜섬웨어가 발견되어 이용자들의 각별한 주의를 당부드립니다. 해당 랜섬웨어는 암호화 진행 전, 한국 언어 환경(0x412)인지 확인합니다. 다음은 언어 환경을 확인하는 코드입니다. [그림 1] 한국 언어 환경을 확인하는 코드 MyRansom 랜섬웨어 암호화 대상 확장자 문자열은 'hwp' 문서 확장자를 포함한 859개입니다. "doc", "docx", "xls", "xlsx", "ppt", "pptx", "pst", "ost", "msg", "em", "vsd", "vsdx..

악성코드 분석 리포트 2017. 10. 19. 15:29

New Ransomware Not Just Encrypts Your Android But Also Changes PIN Lock 보안 연구원들은 사용자들의 데이터를 암호화 시킬 뿐만 아니라, 비밀 번호를 변경해 그들의 기기를 잠그는 새로운 안드로이드 랜섬웨어를 발견했습니다. DoubleLocker는 사용자가 그들의 스마트폰 기기와 상호작용 할 수 있는 대체 방법을 제공하는 안드로이드의 ‘Accessibility’ 기능을 악용한 첫 번째 랜섬웨어입니다. 연구원들은 “DoubleLocker의 뿌리는 뱅킹 멀웨어라는 점을 감안할 때, 이는 랜섬-뱅커로 둔갑할 가능성이 있습니다. 첫 단계에서 은행이나 PayPal 계정을 훔치려고 시도하고, 랜섬머니를 요구하기 위해 기기와 데이터를 잠그는 2단계 멀웨어일 수 있습..

국내외 보안동향 2017. 10. 16. 15:12

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 'asasin'으로 확장자를 변경하는 Locky 랜섬웨어 변종이 악성 메일 등을 통하여 국내외로 다수 유포되고 있는 정황이 포착되어 이용자들의 주의를 당부드립니다. ※ 관련 글 - 이메일 VBS 첨부파일을 통해 Locky 랜섬웨어 귀환 ▶ 자세히 보기 이번에 Locky 랜섬웨어 유포에 활용된 이메일은 'Invoice INV0000809' 제목과 함께 'Send from my iPhone' 내용을 포함하고 있습니다. 이는 iPhone에서 보낸 송장(Invoice)으로 위장하기 위함으로 보여집니다. [그림 1] Locky 랜섬웨어 유포에 사용된 악성 메일 이용자가 이메일에 첨부된 압축 파일 'Invoice INV0000809.7z'에는 'In..

악성코드 분석 리포트 2017. 10. 11. 14:41