안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 어벤져스 엔드게임 영화 토렌트 파일로 위장한 악성 파일이 발견되었습니다. 파일명은 ‘Avengers Endgame.2019-1080p.FHDRip.H264.AAC-RTM rcs.torrent’(이하 ‘Trojan.MSIL.Bladabindi’)로 토렌트 파일처럼 보이지만 실제로는 악성 행위를 하는 실행 파일입니다. 최초 악성 파일은 패킹 및 난독화되어 있으며, 50여개의 다양한 명령 제어 기능을 가지고 있는 점이 특징입니다. 따라서, 악성코드에 감염될 경우 공격자의 명령에 따라 추가 악성 행위를 시도하거나 2차 피해가 발생할 수 있으므로 사용자의 주의가 필요합니다. 본 보고서에서는 ‘Trojan.MSIL.Bladabindi’ 악성코드..

악성코드 분석 리포트 2019. 7. 26. 14:53

안녕하세요? 이스트시큐리티입니다. 최근에는 사이버 위협이 특정 대상을 타겟으로 더욱 정교하게 공격하는 양상을 띄고 있기 때문에 모든 사용자 여러분들의 각별한 주의가 필요합니다. 이럴 때일수록, 국민백신 알약에서 제공하는 여러 보안 기능을 최대한 활용하여 소중한 PC를 안전하게 지키시길 바랍니다. 그래서! 오늘은 알약의 다양한 기능 중 호스트 파일 보호 기능에 대해 자세히 안내해 드리고자 합니다. 지난 2014년은 파밍 기법의 전자금융사기가 특히 더 기승을 부렸던 해였습니다.파밍이란, 피싱처럼 사용자를 조작된 가짜 사이트로 접속하도록 유도하는 해킹 수법입니다. 피싱은 진짜와 유사한 가짜 도메인을 개설한 뒤 광고 등을 통해 접속을 유도해 사용자로 하여금 원하는 사이트에 접속하였다고 믿도록 속이는 수법이지만,..

안전한 PC&모바일 세상/PC&모바일 TIP 2019. 7. 23. 10:21

최근 4차 산업 혁명부터 5G 네트워크까지 정보화 기술이 빠르게 발전하며, 데이터·네트워크·단말기들은 점점 더 방대하고 복잡해지고 있다. 언제 어디서나 인터넷에 접속하여 연결된 정보를 활용한다는 것은 편리함을 줌과 동시에, 그만큼 보안 위협에 더 노출된다는 것을 의미할 수도 있다. 데이터가 돈이 되는 세상에서 현재의 사이버 공간은 해커들이 신나게 먹잇감을 찾아 활개치는 무대이다. 해커들은 더욱 체계적이고 치밀한 공격을 통해 위협을 만들어내고 있으며, 그 위협은 앞으로도 계속 증가할 것이다. 이에 대응하기 위해 보안업체 또한 새로운 방어체계를 갖춘 EDR, SOAR, MDR 등의 솔루션을 개발하고 있는데, 이러한 솔루션과 함께 시너지를 낼 수 있는 ‘위협 인텔리전스 (Threat Intelligence)’..

전문가 기고 2019. 7. 11. 16:57

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. Android의 공식 마켓인 구글 플레이 스토어를 통한 악성 앱 유포가 빈번하게 일어나고 있습니다. 물론 구글에서도 안전한 앱스토어 환경을 조성하기 위해 노력을 기울이지만 수많은 앱들이 등록되다 보니 제대로 걸러지지 않는 경우가 생깁니다. 더불어 공격을 수행하는 악성 앱 제작자들도 앱스토어에 공격 앱을 등록하기 위해 노력하며 마켓의 앱 등록 절차상 허점 등의 취약점을 적극 활용합니다. 악성 앱 제작자들이 공식 마켓에 악성 앱을 등록하려는 이유는 파급효과가 크기 때문입니다. 일단 마켓에 앱이 등록되면 수많은 잠재 피해자에게 악성 앱이 노출되는 점과 다운로드 수가 많아질수록 확산 속도도 빨라지는 장점이 있기 때문입니다. 이런 이유로 구글 플레..

악성코드 분석 리포트 2019. 6. 21. 08:22

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 '형사 사건번호'라는 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포되고 있습니다. [그림 1] 헌법 재판소로 사칭한 피싱 메일 이 피싱 메일은 사건과 관련된 모든 자료를 함께 동봉했다며 사용자가 첨부된 파일(Documents.zip)을 실행하도록 유도합니다. 첨부 파일에는 난독화된 자바스크립트 파일 ‘Korea Criminal Case #521.js’, ‘Korean Constitutional Court #143.js’(Trojan.JS.Ransom.A)을 포함하고 있으며, 자바스크립트 파일을 실행할 경우 최종적으로 ‘Trojan.Ransom.VegaLocker’(이하 ‘VegaLocker’) 랜섬웨어에 감염됩니다. VegaLock..

악성코드 분석 리포트 2019. 6. 21. 08:15

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 PC 악성코드의 대부분은 랜섬웨어이며 복호화 대가로 암호화폐를 요구하고 있습니다. 이러한 흐름이 안드로이드에서도 빈번하게 나타나기 시작했습니다. 관련 앱은 기기 정보를 탈취하여 감염자를 구별하는 데 사용합니다. 외부 저장소의 폴더와 파일을 가리지 않고 저장된 모든 파일을 암호화합니다. 또한, 연락처도 암호화합니다. 이때 암호화에 사용되는 알고리즘은 AES이며 키값은 해커의 C&C를 통해서 얻어옵니다. 암호화폐를 이용하여 비용을 지불하면 복호화가 진행됩니다. 본 분석 보고서에서는 'Trojan.Android.Locker'를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 게임 앱 위장해당 악성 앱의 아이콘은 전 세계적으로 인기를 끈 ..

악성코드 분석 리포트 2019. 5. 22. 11:17

안녕하세요? 이스트시큐리티입니다. 최근 신종 ‘Sodinokibi’ 랜섬웨어가 발견되었습니다. 이번에 발견된 악성코드는 난독화된 자바스크립트가 Powershell을 실행하고 디코딩을 한 후 최종적으로 정상 프로세스에 랜섬웨어 파일을 주입하여 실행하는 형태입니다. 또한 로컬 시스템만 감염 시키는 것이 아니라 로컬과 연결된 네트워크 드라이브에 대해서도 암호화를 시도하고, C&C 서버에 사용자 정보를 전송합니다. 지속적인 변종이 등장할 가능성이 높은 만큼 사용자의 주의가 필요합니다. 따라서, 본 보고서에서는 Sodinokibi 랜섬웨어를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 랜섬웨어 드로퍼이 악성코드는 여러 중간 과정을 통해 최종 랜섬웨어 PE파일을 드롭합니다. 이 과정은 자바스크립트 실행, 파워..

악성코드 분석 리포트 2019. 5. 21. 10:23

안녕하세요? 이스트시큐리티입니다. 작년에 크롬, 페이스북 등의 인기 앱으로 위장하여 유포되었던 xLoader가 올해 새로운 버전으로 다시 유포되고 있습니다. 이전 버전과의 차이점은 이전 버전은 유포를 위해 DNS Spoofing을 이용하고 크롬 등의 인기 앱으로 위장하였다면 이번 버전에서는 스미싱을 통한 방법으로 유포 방법이 변경되었으며 보안 앱과 성인 앱 등으로 위장했다는 점입니다. 그리고 한국 안드로이드 사용자를 대상으로 하는 버전도 별도로 준비하여 유포하고 있습니다. [그림 1] 유포 개요도 본 분석 보고서에서는 한국 안드로이드 사용자를 대상으로 하는 “Trojan.Android.Agent”를 상세 분석하고자 합니다. 악성코드 상세 분석 Trojan.Android.Agent가 설치되면 피해자의 정보..

악성코드 분석 리포트 2019. 4. 29. 15:50