안녕하세요? 이스트시큐리티입니다. 오늘은 이스트시큐리티가 한국데이터진흥원에서 제공하는 '2020년 하반기 A.I. 데이터 가공 바우처 사업'에 공급기업으로 참여하였다는 소식 전해드립니다. 이스트시큐리티는 지난 9월, 수요기업 엘에스웨어(주)와 컨소시엄을 구성하여, 랜섬웨어 관련 A.I. 가공 정보를 수요기업에게 제공하는 'A.I. 데이터 가공 사업'을 수주하였는데요. 엘에스웨어(주)는 이스트시큐리티로부터 제공받은 랜섬웨어 A.I. 가공 데이터를 활용하여 A.I. 모델을 개발하고, 이를 통합모듈식 서버보안 솔루션인 뉴 옴니가드에 탑재하여 출시를 앞두고 있습니다. 엘에스웨어(주)는 제품 출시에 앞서, 랜섬웨어를 탐지하는 A.I. 모델 개발에 난항을 겪고 있었고, 때마침 한국데이터진흥원에서 진행하는 A.I. ..

이스트시큐리티 소식 2020. 12. 18. 09:07

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 다크 웹 유출 정보 공개 사이트에 국내 기업 정보가 기재되었고 유출한 자료가 다크 웹에 공개될 수 있다고 협박을 받고 있는 것으로 알려졌습니다. 작년 처음 등장한 신종 랜섬웨어로 사용자의 파일을 암호화하여 금전을 요구하는 악성코드입니다. [그림] ‘LockBit-note.hta’ 실행 화면 ‘Trojan.Ransom.LockBit’ 랜섬웨어는 파라미터에 따라 특정 파일/경로와 로컬 PC와 연결된 네트워크 리소스 전체를 암호화한다는 점이 특징입니다. 추가로 로컬 드라이브와 네트워크 드라이브로 연결된 모든 파일이 암호화 대상에 포함되기 때문에 폐쇄망을 사용하는 기업 또한 랜섬웨어 공격에 주의가 필요합니다. 따라서 랜섬웨어를 예방하기 위해..

악성코드 분석 리포트 2020. 12. 16. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 개요 코로나19가 3차 팬데믹 국면을 맞이하고 있습니다. 국민들은 지속되는 전염병 위험에 지쳐가고 있지만 스미싱 공격자들은 지속적으로 공격을 진행하고 있습니다. 바뀐 생활 패턴에 택배 주문이 급증했으며 스미싱 공격자들도 이런 특징들을 공격에 활용하고 있습니다. 11월 스미싱 트렌드 ESRC에서 수집 한 11월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다. 11월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다. 키워드 SMS 내용 택배 택배 도착 등의 문구로 구성 건강검진 건강 검진 결과 등의 문구로 구성 금융 대출과 연관된 문구로 구성 수사기관 수사 기관을 사칭 [표 1] 수집 스미싱 문자들의 키워드 기반 분..

악성코드 분석 리포트 2020. 12. 4. 15:59

안녕하세요. 이스트 시큐리티 시큐리티 대응센터(이하 ESRC)입니다. 최근 중요 파일로 위장한 악성코드가 다량으로 발견되고 있는 정황이 포착되어 기업 담당자와 개인 사용자의 주의가 필요합니다. 아래는 ESRC에서 발견한 악성 파일 이름 목록입니다. 관리정산 및 모든자료_xls(3).scr전체정산표_및_관리자정보.zip전체정산표 및 관리자정보.xlsx .exe팬더티비 유출검색.zip1번 중요![검색서치]필수먼저키세요.exe2번 검색용(누르셔서bj명입력).exe기업은행 2020-11-13 입출금 거래내역.xlsx .exe전체회원정보 및 비밀번호포함_xls(4).scr거래안내_및_가격표_신청안내_xls3.exe[표 1] 악성 파일 이름 목록 전체회원정보 및 비밀번호포함_xls(4..

악성코드 분석 리포트 2020. 11. 30. 14:59

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 해당 악성 앱은 xloader 유형으로 최근 스미싱을 통해서 유포되고 있습니다. 다운로드 단계부터 앱 설치까지 탐지 회피를 위해서 다양한 방법을 사용합니다. 다운로드 단계에서는 url 리디렉션을 통해서 난독화 된 자바스크립트나 클라우드 서비스를 이용합니다. 앱 설치 이후 단계에서는 숨겨진 악성코드가 들어 있는 파일을 복호화 후 동적 로딩을 이용합니다. [그림] 클라우드를 활용한 악성 앱 배포 해당 악성 앱은 유포 단계에서부터 탐지 회피를 위하여 다양한 방법을 활용하면서 스미싱으로 유포됐습니다. 자바스크립트 난독화와 파일 암호화를 통해서 탐지를 회피하며 기기를 완전히 장악하고 개인 정보와 기기 정보를 탈취합니다. 따라서, 악성 앱으로부터 피..

악성코드 분석 리포트 2020. 11. 18. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 국내 기업에 [사람인] 입사지원서를 위장한 메일이 유포되었습니다. 공격자는 아래의 메일을 통해 이용자에게 'Permission_301859804_09172020.zip' 첨부파일 실행을 유도합니다. 'Permission_301859804_09172020.zip' 에는 'Permission_301859804_09172020.xls' 엑셀파일이 있고, 이를 실행하게 되면 Trojan.Agent.QakBot(이하 Qbot) 뱅킹 트로이목마 악성코드에 감염됩니다. [그림] 수신된 이메일 화면 본 악성코드는 C&C에서 브라우저, 뱅킹 정보 탈취 관련 추가 모듈 등을 다운받는 것으로 알려져 있어, 특히 기업체에서 감염이 되는 경우 큰 피해가 발..

악성코드 분석 리포트 2020. 11. 17. 13:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 개요 코로나19가 여전히 맹위를 떨치고 있습니다. 국민들의 바뀐 생활 환경에 발맞추어 스미싱 공격자들도 적응을 하고 있는 것으로 보입니다. 이전과는 다른 생활 환경에 대다수 국민들의 생활 패턴도 바뀌어 생필품과 외식은 온라인을 통하는 것이 일상이 되었습니다. 이런 바뀐 생활 패턴에 택배는 코로나19 이전 상황과 비교할 수 없을 정도로 급증했으며 스미싱 공격자들도 이런 특징들을 공격에 활용하고 있습니다. 10월 스미싱 트렌드 ESRC에서 수집 한 10월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다. 10월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다. [표 1] 수집 스미싱 문자들의 키워드 기반 분류 위 표를..

악성코드 분석 리포트 2020. 11. 9. 18:01

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 마치 북한의 최근 내부 소식인 듯 현혹하는 악성 HWP 문서 파일 공격이 발견돼 각별한 주의가 필요합니다. 문서를 실행하면 깨진 글자 들이 보여지며 "호환 문서" 메세지 박스를 출력 합니다. [그림 1] HWP 실행 화면 만약 사용자가 문서를 확인하기 위해 프로그램을 선택하면 [그림 2]와 같은 보안 경고 화면을 출력해 한번 더 사용자의 클릭을 유도합니다. [그림 2] 보안 경고 화면 만약 사용자가 “열기”를 클릭하면 %temp%아래 "호환 문서 프로그램 실행.lnk", "qwer1234.txt" “qwer1234.tmp”파일들이 드롭되고 명령어가 실행됩니다. %comspec% /c cd "%userprofile%\AppData\Local\Te..

악성코드 분석 리포트 2020. 10. 30. 16:25