안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 PC 악성코드의 대부분은 랜섬웨어이며 복호화 대가로 암호화폐를 요구하고 있습니다. 이러한 흐름이 안드로이드에서도 빈번하게 나타나기 시작했습니다. 관련 앱은 기기 정보를 탈취하여 감염자를 구별하는 데 사용합니다. 외부 저장소의 폴더와 파일을 가리지 않고 저장된 모든 파일을 암호화합니다. 또한, 연락처도 암호화합니다. 이때 암호화에 사용되는 알고리즘은 AES이며 키값은 해커의 C&C를 통해서 얻어옵니다. 암호화폐를 이용하여 비용을 지불하면 복호화가 진행됩니다. 본 분석 보고서에서는 'Trojan.Android.Locker'를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 게임 앱 위장해당 악성 앱의 아이콘은 전 세계적으로 인기를 끈 ..

악성코드 분석 리포트 2019. 5. 22. 11:17

안녕하세요? 이스트시큐리티입니다. 최근 신종 ‘Sodinokibi’ 랜섬웨어가 발견되었습니다. 이번에 발견된 악성코드는 난독화된 자바스크립트가 Powershell을 실행하고 디코딩을 한 후 최종적으로 정상 프로세스에 랜섬웨어 파일을 주입하여 실행하는 형태입니다. 또한 로컬 시스템만 감염 시키는 것이 아니라 로컬과 연결된 네트워크 드라이브에 대해서도 암호화를 시도하고, C&C 서버에 사용자 정보를 전송합니다. 지속적인 변종이 등장할 가능성이 높은 만큼 사용자의 주의가 필요합니다. 따라서, 본 보고서에서는 Sodinokibi 랜섬웨어를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 랜섬웨어 드로퍼이 악성코드는 여러 중간 과정을 통해 최종 랜섬웨어 PE파일을 드롭합니다. 이 과정은 자바스크립트 실행, 파워..

악성코드 분석 리포트 2019. 5. 21. 10:23

안녕하세요? 이스트시큐리티입니다. 작년에 크롬, 페이스북 등의 인기 앱으로 위장하여 유포되었던 xLoader가 올해 새로운 버전으로 다시 유포되고 있습니다. 이전 버전과의 차이점은 이전 버전은 유포를 위해 DNS Spoofing을 이용하고 크롬 등의 인기 앱으로 위장하였다면 이번 버전에서는 스미싱을 통한 방법으로 유포 방법이 변경되었으며 보안 앱과 성인 앱 등으로 위장했다는 점입니다. 그리고 한국 안드로이드 사용자를 대상으로 하는 버전도 별도로 준비하여 유포하고 있습니다. [그림 1] 유포 개요도 본 분석 보고서에서는 한국 안드로이드 사용자를 대상으로 하는 “Trojan.Android.Agent”를 상세 분석하고자 합니다. 악성코드 상세 분석 Trojan.Android.Agent가 설치되면 피해자의 정보..

악성코드 분석 리포트 2019. 4. 29. 15:50

안녕하세요? 이스트시큐리티입니다. 과거부터 현재까지 기업을 대상으로 한 악성코드들이 꾸준히 발견되고 있습니다. 이번에 발견된 악성코드는 감염 PC를 통해 네트워크 전파, 추가 파일 다운로더, 가상화폐 채굴 기능을 수행합니다. 이 악성코드는 SMB 취약점인 ‘MS17-010’을 통해 내외부 네트워크로 전파되는 것이 특징입니다. 특히 이 취약점은 과거 WannaCryptor 랜섬웨어에 사용되어 큰 피해를 입혔으며 지금까지도 취약점 패치되지 않은 PC를 대상으로 악성코드 전파 목적으로 사용이 되고 있습니다. 본 보고서에서는 앞서 언급한 기능을 수행하는 ii.dat, mn.dat 악성코드에 대해 각각 상세 분석하고자 합니다. 악성코드 상세 분석 이 파일은 감염 PC 정보 전송 및 다운로더 기능과 SMB 취약점을..

악성코드 분석 리포트 2019. 4. 26. 17:19

안녕하세요? 이스트시큐리티입니다. 구글 플레이스토어의 취약한 보안으로 인하여 플레이스토어를 통한 악성앱 유포가 빈번하게 발생하고 있습니다. 안드로이드를 사용하는 유저수가 많다는 것을 고려하면 매우 위험한 상황입니다. 이렇게 유포되는 악성앱의 목적은 정보 탈취, 스파이 행위, 금전 갈취 등으로 다양합니다. Trojan.Android.InfoStealer는 피해자의 스마트폰을 통한 암호화폐 탈취가 목적이며 탈취한 암호화폐를 금전으로 환전합니다. 2017년부터 세계적으로 암호화폐 열풍이 불어 많은 사람들이 암호화폐 거래를 시작하는 계기가 되었습니다. 이와 함께 해커들은 암호화폐를 노리는 공격을 시도하거나 랜섬웨어를 유포 후 피해자의 파일을 암호화하고 암호 해제 대가로 암호화폐를 요구하고 있습니다. 해커들이 암..

악성코드 분석 리포트 2019. 3. 25. 08:30

안녕하세요? 이스트시큐리티입니다. 2019년 2월, 기업에서 사용하는 중앙관리 서버(AD서버)를 주요 타깃으로 공격을 하는 랜섬웨어가 발견되었습니다. 개인이 아닌 기업들을 주요 공격 대상으로 하기 때문에 이미 한국 인터넷진흥원에서도 2월 22일 주의 공지를 게재한 적이 있습니다. 해당 악성코드에 감염되면 관리 서버에 연결된 모든 드라이브가 전부 암호화되고 유효한 인증서를 사용하기 때문에 사용자들의 각별한 주의가 필요합니다. [그림 1] 인증서 화면 따라서 본 보고서에서는 Clop 랜섬웨어의 악성 행위와 이를 예방하기 위한 방법을 알아보고자 합니다. 악성코드 상세 분석 1. 중복 실행 방지 중복 실행을 방지하기 위해 ‘Mutex’를 사용합니다. 뮤텍스의 이름은 ‘HappyLife^_.’이며, 만약 뮤텍스가..

악성코드 분석 리포트 2019. 3. 22. 11:31

Malware Spreads As a Worm, Uses Cryptojacking Module to Mine for Monero 웜의 기능을 갖춘 모듈형 악성코드가 한 서버에서 다른 서버로 확산되고 모네로 가상화폐를 채굴하기 위해 ElasticSearch, Hadoop, Redis, Spring, Weblogic, ThinkPHP, SqlServer를 실행하는 서버의 알려진 취약점을 악용하는 것으로 나타났습니다. PsMiner라는 이름의 이 악성 코드의 웜 모듈인 systemctl.exe는 Go 언어로 작성된 윈도우 바이너리로 인터넷에서 찾을 수 있는 취약한 서버를 해킹하여 침투하는데 사용될 수 있는 익스플로잇 모듈을 포함하고 있습니다. 이 외에도 PsMiner 웜 모듈은 타깃이 취약하거나 디폴트 인증 ..

국내외 보안동향 2019. 3. 13. 14:02

Ransomware Pretends to Be Proton Security Team Securing Data From Hackers ProtonMail과 ProtonVPN을 운영하는 Proton Technologies의 보안 팀으로 위장한 GarrantyDecrypt 랜섬웨어의 최신 변종이 발견되었습니다. 이 랜섬웨어 패밀리는 지난 2018년 10월 랜섬웨어 연구원인 Michael Gillespie가 발견했으며, 다른 랜섬웨어와 같이 대규모 배포 공격을 한 적은 없지만 공개된 직후 꾸준히 피해자들이 늘고 있습니다. 사용자들은 ID-Ransomware에 이 랜섬웨어의 랜섬노트나 암호화된 파일을 꾸준히 등록하고 있습니다. [그림] GarrantyDecrypt의 등록 현황 지난 2월 또 다시 발견된 Garra..

국내외 보안동향 2019. 3. 5. 14:33