Easy-to-Use Apps Allow Anyone to Create Android Ransomware Within Seconds 최근 해커들이 안드로이드에서 동작할 수 있는 서비스형 랜섬웨어(RaaS: Ransomware-as-a-service)를 판매하기 시작했습니다. 이로써 별다른 기술이 없는 사용자들도 손쉽게 자신들만의 랜섬웨어를 제작하여 유포할 수 있게 되었습니다. 누구나 다운로드가 가능하고 손쉽게 자신의 기기를 이용해 안드로이드 랜섬웨어를 생성할 수 있는 이 새로운 안드로이드 앱 덕분에 최악의 경우 앞으로 몇 달 동안 랜섬웨어 위협이 급격히 증가할 수도 있게 되었습니다. 최근 보안연구원들은 중국에서 인기있는 소셜 네트워킹 메시징 서비스의 광고를 통해 방문한 해킹 포럼에서 누구나 트로이목마 개..

국내외 보안동향 2017. 8. 28. 15:53

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 해외에서 스테가노그래피(Steganography) 기술을 이용한 랜섬웨어 유포 수법이 등장했습니다. 스테가노그래피란 이미지 파일 등에 또 다른 데이터를 은밀히 숨기는 기술을 의미합니다. 이번에 발견된 랜섬웨어는 이메일에 'Windows 스크립트 파일(.wsf)' 형식의 악성 스크립트 파일을 첨부해 전파되었습니다. 해당 스크립트는 내부 명령어에 의해 3개의 URL 주소로 접속해 'arrival.jpg', 'X8IOl.jpg' 등의 이미지 파일을 다운로드합니다. 실제 해당 파일은 다음과 같은 이미지 화면을 보여줍니다. [그림 1] 이미지 파일로 위장한 스테가노그래피 기법의 악성파일 - image.***.co/mxRqXF/arrival.jpg-..

악성코드 분석 리포트 2017. 8. 21. 21:39

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 악명높은 Locky 랜섬웨어 변종이 이메일 첨부파일을 통해 국내외로 다수 전파되고 있습니다. 인터넷 이용자분들은 아래 내용을 숙지하여 유사한 보안위협에 노출되지 않도록 각별히 주의하시기 바랍니다. 이번 공격 수법도 기존 사례와 비슷하게 이메일에 ZIP 파일을 첨부했고, 압축 내부에 악성 비주얼 베이직 스크립트(VBS) 파일을 포함하고 있습니다. 이메일 제목과 첨부파일에는 'E 2017-08-09 (숫자).확장명' 형태를 띄고 있으며, 확장명은 'PDF', 'XLS', 'DOC', 'XLSX', 'DOCX', 'TIFF', 'JPG' 등 다양하게 사용되었습니다. [그림 1] 이메일 유포 화면 사례들 이번 Locky 랜섬웨어 유포에 사용된 대부분의..

악성코드 분석 리포트 2017. 8. 10. 15:42

Cerber Ransomware Evolves Again, Now Steals From Bitcoin Wallets Cerber 랜섬웨어는 가장 빠르게 진화하는 랜섬웨어 패밀리들 중 하나입니다. 최근 Cerber 랜섬웨어는 가상화폐를 훔치는 루틴을 추가한 형태로 진화하였으며, 이로서 공격자들은 일석 이조의 효과를 누리게 되었습니다. 하지만 Cerber의 일부분은 변경되지 않았으며, 여전히 이메일 첨부파일을 통해 유포되고 있습니다. Cerber랜섬웨어는 3개(Bitcoin Core 지갑, Electrum, Multibit)의 가상화폐 지갑 파일을 노립니다. 아래의 파일들을 훔치는 방식으로 작업을 수행합니다. wallet.dat (Bitcoin)*.wallet (Multibit)electrum.dat (El..

국내외 보안동향 2017. 8. 8. 15:55

WannaCry Inspires Banking Trojan to Add Self-Spreading Ability 보안연구원들은 최근 랜섬웨어를 전 세계로 효과적으로 유포하기 위하여, 뱅킹 트로이목마에 웜과 유사한 기능 추가를 시도중인 사이버 범죄자 그룹을 발견하였습니다. “1000029” (v24)로 알려진 크리덴셜을 훔치는 TrickBot 뱅킹 악성코드의 새로운 변종이, WannaCry와 Petya 랜섬웨어가 악용한 Windows Server Message Block(SMB)를 사용하는 것으로 나타났습니다. TrickBot은 작년부터 전 세계의 금융 기관들을 노린 뱅킹 악성코드입니다. (▶자세히 보기) 이 트로이목마는 보통 이름 없는 “국제 금융 기관”의 인보이스로 위장한 이메일 첨부파일을 통해 확산됩..

국내외 보안동향 2017. 8. 3. 15:03

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. GlobeImposter 랜섬웨어 변종 중 유효한 디지털 서명을 탑재한 형태가 해외에서 등장하고 있어 이용자분들의 각별한 주의가 요망됩니다. 잘 아시는 분들도 계시겠지만, 일반적으로 특정 파일에 유효한 디지털 서명이 탑재되어 있다는 것은 무결성이 보장된다는 의미와 함께 정상적인 파일(화이트 리스트)임을 증명하는 용도로 활용되기도 합니다. 그러다보니 일부 악의적인 해커들은 정상적인 디지털 서명 데이터를 무단 탈취하여 악성프로그램 제작에 악용되는 경우가 종종 발생하기도 합니다. 그런 와중에 2017년 7월 29일과 31일에 제작된 GlobeImposter 랜섬웨어 변종 2개에서 각각 다르지만 유효한 디지털 서명이 탑재된 것이 발견되었습니다. [그..

악성코드 분석 리포트 2017. 8. 1. 11:03

You need to pay for us, otherwise we will sell portion of your personal information on black market every 30 minutes. WE GIVE 100% GUARANTEE THAT ALL FILES WILL RESTORE AFTER WE RECEIVE PAYMENT. WE WILL UNLOCK THE MOBILE DEVICE AND DELETE ALL YOUR DATA FROM OUR SERVER! TURNING OFF YOUR PHONE IS MEANINGLESS, ALL YOUR DATA IS ALREADY STORED ON OUR SERVERS! WE STILL CAN SELLING IT FOR SPAM, FAKE, B..

전문가 기고 2017. 7. 31. 14:14

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 해외에서 일명 '이스라바이(israbye)'라는 새로운 유형의 랜섬웨어가 등장했습니다. 현 시점까지 국내 유입 및 피해사례가 공식보고 되진 않았지만, 관련 내용을 숙지하시어 사전에 대비하시길 당부드립니다. 이 랜섬웨어는 2017년 07월 24일 닷넷 기반 프로그래밍으로 제작되었으며, 파일속성에 다음과 같은 정보를 보유하고 있습니다. 제작자가 지정한 원본 파일 이름은 'israbye.exe' 입니다. 이 파일명은 '이스라엘 바이' 라는 의미로 해석되고 있습니다. [그림 1] israbye 랜섬웨어 파일 속성 정보 파일 내부에는 제작자로 추정할 수 있는 아티팩트가 포함되어 있는데, 'Ahmed' 라는 컴퓨터 계정을 사용하고 있음을 알 수 있습니다..

악성코드 분석 리포트 2017. 7. 31. 11:14