안녕하세요? 이스트시큐리티입니다. 최근 다양한 랜섬웨어가 지속적으로 유포되고 있는 가운데 2017년 9월에 활동했던 Paradise 랜섬웨어 변종이 새롭게 발견되었습니다. 이번에 발견된 Paradise 랜섬웨어는 기존과 마찬가지로 사용자의 중요 파일을 암호화하고 파일 확장자를 .paradise로 변경합니다. 시스템 운영에 필요한 일부 파일을 제외하고 확장자 상관없이 모든 파일을 암호화하기 때문에 감염되면 큰 피해를 입을 수 있으므로 사용자의 주의가 필요합니다. 따라서 본 보고서에서는 새롭게 발견된 Paradise 랜섬웨어를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 시스템 언어 및 국가 코드 확인 Paradise 랜섬웨어는 감염될 사용자 PC의 시스템 언어와 IP주소 대역의 국가 코드를 확인하여 ..

악성코드 분석 리포트 2018. 7. 19. 08:00

안녕하세요? 이스트시큐리티입니다. Threat Inside의 딥러닝 엔진을 비롯, 이스트시큐리티 제품들의 기반 인공지능 기술들을 연구하는 이스트소프트의 A.I. PLUS Lab에서 출원한 '신경망 학습 기반의 변종 악성코드 탐지 기술 관련 특허'가 올해 드디어 등록이 완료 되었습니다! (등록번호 10-1863615 (2018.05.28)) ※ 발명의 명칭:신경망 학습 기반의 변종 악성 코드를 탐지하기 위한 장치, 이를 위한 방법 및 이 방법을 수행하기 위한 프로그램이기록된 컴퓨터 판독 가능한 기록매체 기쁜 소식을 발명 담당자분들과 진행한 인터뷰를 통해 좀 더 자세하게 들을 수 있었습니다. '신경망 학습 기반의 변종 악성코드 탐지 기술' 특허 발명자 3인방 1. 먼저 특허 획득을 축하 드립니다. 소감이 어..

이스트시큐리티 소식/알약人 이야기 2018. 6. 1. 11:18

안녕하세요? 이스트시큐리티입니다. 올해 초 외국에서 스팸 메일과 익스플로잇 킷을 통해 ‘Trojan.Ransom.GandCrab’(이하 GandCrab 랜섬웨어)이 처음 등장하였으며, 최근 국내에서도 GandCrab 변종들이 다수 발견되고 있습니다. GandCrab 랜섬웨어는 파일 암호화 기능을 수행하며, 암호화된 파일 뒤에 ‘.CRAB’ 확장자를 추가하는 점이 특징입니다. 따라서 본 보고서에서는 GandCrab 랜섬웨어를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 중복 실행 방지중복 실행 방지를 위해 뮤텍스 값을 ‘Global\pc_group=(소속 그룹)&ransom_id=(사용자 ID)’으로 생성합니다. 만일 동일한 프로세스가 실행 중인 경우 종료합니다. pc_group과 ransom_id ..

악성코드 분석 리포트 2018. 5. 23. 09:55

WannaCry Inspires Banking Trojan to Add Self-Spreading Ability 보안연구원들은 최근 랜섬웨어를 전 세계로 효과적으로 유포하기 위하여, 뱅킹 트로이목마에 웜과 유사한 기능 추가를 시도중인 사이버 범죄자 그룹을 발견하였습니다. “1000029” (v24)로 알려진 크리덴셜을 훔치는 TrickBot 뱅킹 악성코드의 새로운 변종이, WannaCry와 Petya 랜섬웨어가 악용한 Windows Server Message Block(SMB)를 사용하는 것으로 나타났습니다. TrickBot은 작년부터 전 세계의 금융 기관들을 노린 뱅킹 악성코드입니다. (▶자세히 보기) 이 트로이목마는 보통 이름 없는 “국제 금융 기관”의 인보이스로 위장한 이메일 첨부파일을 통해 확산됩..

국내외 보안동향 2017. 8. 3. 15:03

CVE-2014-4114 취약점 공격의 진화CVE-2014-4114 변종 악성코드의 지속적인 발견과 공격방법의 진화 지난 15일, 알약 블로그에 CVE-2014-4114 제로데이 취약점을 이용하는 러시아발로 추정되는 악성코드에 대해 공지한 바 있습니다. (▶참고: http://blog.alyac.co.kr/180) 위 취약점과 관련하여 MS에서는 이미 패치를 발표했으나, CVE-2014-4114 취약점을 이용한 공격은 점점 늘어나고 있습니다. 더불어 최근 새로운 형태의 변종이 지속적으로 발견되고 있습니다. 해당 취약점은 특수하게 조작된 OLE 개체를 포함하는 MS Office파일을 열 경우 원격코드가 실행될 수 있는 취약점입니다. 초기에는 사용자로 하여금 CVE-2014-4114 취약점을 포함한 악성파일..

국내외 보안동향 2014. 10. 24. 10:10

안녕하세요. 알약입니다. 2013년에 발생했던 3.20 사이버테러와 유사한 악성코드가 지난 2014년 7월 7일 전후로 다수 발견되어 이슈가 되었습니다. 이에 알약에서도 해당 이슈에 신속하게 대응했습니다. (관련내용 링크 : http://blog.alyac.co.kr/131) 그런데 이와 유사한 변종 악성코드의 최신버전들이 8월 12일에 또다시 추가로 발견되어 사용자 여러분의 각별한 주의가 필요합니다. 해당 악성파일은 국내 특정 천체망원경 쇼핑몰 관련 사이트에 이미지 파일처럼 확장자(JPG)를 교묘하게 위장하여 숨겨져 있었습니다. 이는 7월에 발견된 3.20 사이버테러 변종 악성코드와 마찬가지로, 자신의 코드분석을 방해하기 위해 다양한 방어기법을 활용하고 있어, 의도적으로 탐지회피를 위해 많은 노력을 하..

이스트시큐리티 소식 2014. 8. 12. 22:50