리눅스 랜섬웨어의 데뷔가 추측 가능한 암호화 키 때문에 실패로 끝나다Linux Ransomware Debut Fails on Predictable Encryption Key 리눅스 랜섬웨어(Linux Ransomware)의 AES키는 희생양의 로컬 컴퓨터에서 생성됩니다. 비트디펜더 연구원들은 키와 초기화 벡터(IV)가 어떻게 생성되는지 Linux.Encoder.1의 샘플을 리버스엔지니어링하여 확인해 보았습니다. 그리고 이들은 시큐어 랜덤 키 및 초기화 벡터를 생성하는 것 보다, 암호화 당시 libc rand() 함수의 시드인 현 시스템의 타임 스탬프를 이용해 이 두 가지 정보 (랜덤키, IV)를 추측해 내는 편이 낫다는 사실을 깨닫게 되었습니다. 이 정보는 파일의 타임스탬프를 통해 쉽게 얻어낼 수 있습니..

국내외 보안동향 2015. 11. 11. 18:04

최근 CryptoWall, Crypt0L0cker 등 다양한 랜섬웨어가 등장하고 있습니다. 랜섬웨어란?지난 포스팅 참고 ▶ http://blog.alyac.co.kr/217 Crypt0L0cker란?지난 포스팅 참고 ▶ http://blog.alyac.co.kr/305 CryptoWall이란?지난 포스팅 참고 ▶ http://blog.alyac.co.kr/455 그중 얼마전 새롭게 등장한 Chimera(이하 키메라)라고 하는 랜섬웨어에 대해 간단하게 살펴보겠습니다. 키메라 랜섬웨어는 지금까지 확인된 것으로는 2015년 9월말경부터 발견되기 시작했으며, 랜섬메시지에서 피해자의 PC에 저장된 사진과 비디오파일을 가져간다는 추가협박을 하는 랜섬웨어입니다. (수집된 샘플로 분석한 결과, 실제로 랜섬웨어에 감염된..

국내외 보안동향 2015. 11. 10. 08:30

안전한 인터넷환경을 위한 프로젝트(?)라는 내용과 함께 크립토월 4.0 재등장CryptoWall 4.0 returns to the wild, posing as good guy 악명 높은 CryptoWall 랜섬웨어 패밀리가 돌아왔습니다. 이들은 데이터를 보호하기 위한 안티 바이러스 솔루션이 “적절한지” 테스트해보겠다는 이유를 들어 파일을 암호화 시킵니다. CryptoWall은 다음과 같이 말합니다."CryptoWall 프로젝트는 악의적이지 않으며, 사람들이나 그들의 데이터에게 해를 입히기 위해 만들어진 것이 아니다. 이 프로젝트는 정보 보안 분야에 교훈을 주고, 안티바이러스 제품들이 적절히 데이터를 보호하는지 증명해내기 위해 실시되었다. 모두 함께 더욱 좋은, 안전한 인터넷 환경을 만들기 위함이다." 악..

국내외 보안동향 2015. 11. 6. 17:12

CoinVault와 Bitcryptor 랜섬웨어에 감염되었을 경우 복구방법 일부 랜섬웨어에 감염되었을 경우 복구가 가능한 방법이 공개되어 소개드립니다. 카스퍼스키랩과 네덜란드 검찰이 CoinVault와 Bitcryptor 랜섬웨어가 사용한 C&C 서버에서 암호화 키의 마지막 세트를 습득하여 공개했습니다. CoinVault는 2014년 11월 처음 탐지 되었고, 이는 108개국에 1,500명 이상의 희생양을 만든 랜섬웨어입니다. 2015년 4월, 네덜란드 경찰은 복호화 키 데이터베이스를 압수한 CoinVault의 C&C 서버에서 얻어내는데 성공했으며, 이 때 발견한 복호화 키를 이용하여 랜섬웨어 복호화 서비스를 만들었습니다. 이 랜섬웨어 복호화 서비스는 네덜란드에 위치한 CoinVault 서버에서 복구한 ..

국내외 보안동향 2015. 11. 2. 15:04

한글로 감염메시지를 보여주는 Crypt0L0cker 랜섬웨어 또다시 유포중! 감염되면 한글로 감염되었다는 내용과 함께 비트코인을 요구하는 Crypt0L0cker 랜섬웨어가 또다시 등장했습니다. 랜섬웨어란?지난 포스팅 참고 ▶ http://blog.alyac.co.kr/217 Cyrpt0L0cker란?지난 포스팅 참고 ▶ http://blog.alyac.co.kr/305 지난 주말부터 피해가 보고되고 있는 해당 랜섬웨어의 경우, 일단 감염되었을 경우 아래와 같은 한글로 제작된 화면을 띄우게 됩니다. 이전에 발견되었던 Crypt0L0cker와 거의 동일한 형태입니다. 암호화된 파일을 원래대로 되돌리기 위해서 해독프로그램을 구입하라는 메시지를 띄웁니다. 랜섬웨어 제작자는 시한을 정해두고, 이 시한까지 금액을 ..

국내외 보안동향 2015. 10. 29. 10:30

메일에 포함된 URL로 퍼지고 있는 러시아 랜섬웨어 주의 지난 주말부터 메일에 포함된 URL을 통해 러시아 랜섬웨어가 유포되고 있어 사용자들의 주의가 필요합니다. 해당 랜섬웨어는 보통 RAR로 압축되어 있고 스크린세이버로 위장하고 있는 경우가 많으며 일단 사용자가 압축을 풀어 파일을 실행하게 되면 화면에 moshiax@aol.com라는 이메일주소를 포함한 러시아어를 띄우고 감염된 시스템에 있는 폴더나 파일을 암호화합니다. 이 러시아산 랜섬웨어의 경우 해외에서는 2015년 초부터 발견되기 시작했으나 국내에서 해당 랜섬웨어가 포함된 URL이 확인된 것은 얼마전부터입니다.해당 랜섬웨어의 경우 Drive by Download형태의 공격은 아닙니다. 사용자가 URL을 클릭한 후 RAR 압축파일을 다운로드받아 압축..

국내외 보안동향 2015. 10. 19. 18:34

XMPP프로토콜로 통신하는 새로운 안드로이드 랜섬웨어 발견!Global XMPP Android Ransomware Campaign Hits Tens of Thousands of Devices 최근 XMPP 프로토콜로 통신하는 새로운 안드로이드 랜섬웨어가 발견되었습니다. 사용자가 Flash 플레이어로 위장한 앱을 다운로드 받으면서 감염은 시작됩니다. 사용자가 해당 APP을 설치하는 과정 중에 APP이 요구하는 권한들에 동의하며, 그렇기 때문에 악성앱들은 감염 디바이스 상의 모든 데이터들을 암호화 할 수 있는 것입니다. 감염에 성공한 후 악성앱은 사용자에게 NSA를 사칭하여 ‘저작권을 침해했다’라는 경고와 함께 48시간 내에 벌금을 지불하지 않으면 3배가 될 것이라는 경고창을 띄웁니다. 이 랜섬웨어의 특이한..

국내외 보안동향 2015. 9. 8. 13:53

랜섬웨어로 암호화 된 파일을 어떻게 복구하는가?How We Foiled Ransomware and Got the Files Back RSA 컨퍼런스 블로그에 랜섬웨어 파일 복구 방법이 소개되어 내용을 간략히 정리하여 공유합니다. 2013년 초, 한 조직이 그들의 서버가 ACCDFISA 랜섬웨어에 감염되어 서버에 있는 모든 파일들이 암호화 되었다며 복구팀에게 복구를 요청해 왔습니다. 이 랜섬웨어는 각 파일들을 WinRAR self-extractor를 이용하여 암호화된 자동실행압축 파일로 변경하였고 파일명은 암호를 풀 수 있는 단서(예를 들어 압축을 풀기 위해서는 ~@~로 이메일을 보내시오)로 변경하였습니다. 해당 랜섬웨어는 256bit의 랜덤키를 사용하는 AES-256암호화 기법을 사용하였고, 암호화 되지..

전문가 기고 2015. 8. 7. 17:14