악성 헬프파일(CHM)과 함께 돌아온 CryptowallCryptowall Makes a Comeback Via Malicious Help Files (CHM) 악명높은 Cryptowall 랜섬웨어를 퍼뜨리기 위한 악성 .chm 파일을 첨부한 새로운 스팸 메일이 급증하고 있습니다. Chm 파일은 Compiled HTML 파일 포맷의 확장자이며, 소프트웨어 프로그램과 함께 사용자에게 매뉴얼을 전달해주기 위해 사용되는 파일 타입입니다. HTML 파일은 압축되어 바이너리 파일 형태로 .chm 확장자로 전달됩니다. 이 포맷은 HTML 문서, 이미지, 자바스크립트 파일, 하이퍼링크를 포함한 목차, 텍스트 등을 압축하여 만들어졌습니다. 헬프 파일에 어떠한 점이 그렇게 위험한 것일까요? CHM 파일은 매우 상호적이며..

국내외 보안동향 2015. 3. 10. 13:51

랜섬웨어의 뒤를 잇는 랜섬웹(RansomWeb) 최근 파일을 인질로 삼고 돈을 요구하는 랜섬웨어가 성행하는 가운데, 새로운 개념의 랜섬웹(RansomWeb)이 등장했습니다. 사용자 로컬 PC 파일들을 인질로 삼고 돈을 요구하는 랜섬웨어와는 다르게 랜섬웹은 웹 서버에 저장된 DB를 암호화하고, 백업 데이터 역시 암호화된 DB들로 가득 채운 후 해당 정보를 인질로 삼아 돈을 요구하는 공격기법 입니다. 랜섬웹의 원리는 이러합니다. 먼저 공격하고자 하는 웹 서버에 침투한 공격자는 관리자 몰래 서버 스크립트를 조작하여 암호화 할 때 사용하는 암호화 키(비밀키)를 공격자의 암호화 키로 변경합니다. 그 후 공격자의 암호화 키를 공격자 서버에 저장하고, 원격으로 통신할 수 있도록 합니다. 정상 데이터 흐름도 변조 후 ..

전문가 기고 2015. 2. 16. 12:42

Trojan.Ransom.CTBLocker 주의! 안녕하세요. 알약입니다.최근, 랜섬웨어 악성코드가 유포되고 있어 사용자들의 주의가 요구됩니다. 랜섬웨어란? (▶참고)랜섬웨어란 납치된 사람에 대한 몸값을 뜻하는 영어 'Ransom'과 'Software'의 합성어로, 사용자 PC 혹은 PC에 저장되어 있는 문서파일을 모두 암호화시켜 놓고 돈을 요구하는 악성코드입니다. 현재 유포되고 있는 랜섬웨어 악성코드는 이메일의 첨부파일로 위장하여 유포되고 있으며, 사용자들의 클릭을 유도합니다. ▲ 랜섬웨어에 감염된 PC의 바탕화면 사용자가 이메일에 첨부된 악성파일을 클릭하면 컴퓨터 화면이 위와 같이 바뀌고 카운트 다운이 시작됩니다. ▲ 악성코드에 의해 암호화된 파일 리스트 악성코드 제작자는 사용자에게 문서, 이미지 파..

악성코드 분석 리포트 2015. 1. 20. 17:56

랜섬웨어(Ransomware), 돈을 가져오면 인질을 풀어주마! 랜섬웨어란 납치된 사람에 대한 몸값을 뜻하는 영어 'Ransom'과 'Software'의 합성어로, 사용자 PC 혹은 PC에 저장되어 있는 문서파일을 모두 암호화시켜 놓고 돈을 요구하는 악성코드입니다. 랜섬웨어의 역사는 10여년이 넘었습니다. 지금까지의 랜섬웨어는 쉽게 제거할 수 있었으며, 공격자가 인질로 삼은 파일을 암호화했지만 그 수준이 너무 낮아 복호화 방법을 금방 찾을 수 있었습니다. 그러나 2013년 하반기, 강력한 암호화 알고리즘으로 파일들을 암호화하고 돈을 요구하는 랜섬웨어 '크립토락커'가 등장했습니다. 크립토락커는 사용자 PC에 저장되어 있는 문서 및 사진파일에 대하여 RSA-2048 방식으로 암호화시킨 후, 피해자에게 암호 ..

전문가 기고 2014. 12. 10. 10:24

RIG Exploit Kit 공격도구를 통한 악성코드 유포 주의 안녕하세요. 알약입니다.일명 리그 익스플로잇 킷(RIG Exploit Kit)이라고 불리는 '보안취약점을 악용한 악성코드 유포도구'가 2014년 08월 26일부터 국내 웹 사이트를 통해서도 공격에 활용된 정황이 다수 목격되고 있습니다. 리그 익스플로잇 킷은 2014년 중순 경 주로 해외에서 공격사례가 보고된 바 있었지만 국내에서 널리 알려진 종류는 아닙니다. 그런 가운데 기존 한국 맞춤형 인터넷 뱅킹 악성코드 유포조직이 리그 익스플로잇 킷 도구를 도입해 국내에 랜섬웨어, 파밍, RAT 악성코드 유포에 본격적으로 활용하기 시작했습니다. 그 동안 국내에서 사용된 보안취약점 공격방식은 공격 스크립트 형태가 상대적으로 단순하고 추적이 용이한 상태입..

이스트시큐리티 소식 2014. 8. 27. 18:27

Has CryptoLocker been cracked? Is Gameover over?'크립토락커'와 악명 높은 봇넷 '게임 오버'...드디어 끝나는가? 가장 악명 높은 봇넷 중 하나로 알려진 ‘게임 오버’, 또는 ‘게임 오버 제우스’는 아무 죄 없는 사용자 컴퓨터의 모든 권한을 은밀히 제어하여 이를 거대한 사이버 범죄를 수행하는데 이용해왔습니다. ‘게임 오버’의 가장 잘 알려진 범죄 수법은 사용자가 컴퓨터를 이용하여 금융 거래를 할 때 이로부터 정보를 갈취하는 트릭일 것입니다. 또한 멀웨어가 활성화 되면 사용자가 입력하는 계정 명, 비밀번호 등의 개인정보를 갈취하며, 심지어 은행 측에서 전송하는 OTP를 중간에서 갈취하는 것도 가능할 수 있습니다. 일단 정보를 가로채게 되면 해커들은 이를 사기 거래에 ..

국내외 보안동향 2014. 6. 9. 13:53

Aussie Apple Users Hit by Ransomware호주 애플 사용자들, 랜섬웨어(Ransomware) 공격에 노출 호주에서 몇몇 애플 소비자들의 계정을 막고, 개인데이터에 접근하려면 $100를 내도록 요구한 랜섬웨어 공격이 발생했다고 itnews.com.au가 보도했습니다. 사용자들의 iCloud 계정 Find My Phone 내에 ‘Oleg Pliss가 장치를 해킹했습니다’라는 메시지가 뜨자, 아이폰(iPhone), 태블릿, 랩탑이나 데스크탑을 포함한 애플 제품 사용자들은 고객지원커뮤니티에 이에 대한 항의글을 올리기 시작했습니다. Find My Phone 앱은 장치의 분실 또는 도난 시 장치의 위치를 추적하고 원격으로 잠글 수 있게 합니다. 앱 내부에는 사용자들이 분실모드를 활성화시켜 장..

국내외 보안동향 2014. 5. 30. 11:20