Ursnif: Long Live the Steganography and AtomBombing! 이탈리아를 공격하며 AtomBombing이라는 이색적인 프로세스 인젝션 기술을 사용하는 새로운 Ursnif 공격이 발견 되었습니다. Ursnif는 가장 활동적인 뱅킹 트로이목마들 중 하나입니다. 이는 GOZI로도 알려져 있습니다. 지난 2014년, 오리지널 GOZI-ISFB 뱅킹 트로이목마의 소스코드가 유출된 바 있으며 이후 몇 년 동안 GOZI의 기능을 개선시켜 왔습니다. Ursnif는 VBA 매크로를 내장해 무기화 된 오피스 문서를 사용하도록 진화 되었습니다. 이 매크로는 드롭퍼로써 동작하며, 진짜 페이로드를 숨기고 백신 탐지를 피하기 위해 매우 난독화 된 다단계 Powershell 스크립트를 사용합니다. ..

국내외 보안동향 2019. 2. 11. 13:46

안녕하세요. 이스트시큐리티입니다. 소중한 내 컴퓨터 보안을 위해 꼭 필요한 백신 프로그램, 모두 설치해서 사용하고 계실 텐데요! (혹시나 아직 설치 전이라면 지금 바로 알약을 다운로드하세요 =)컴퓨터 사용 중 백신 프로그램에서 '바이러스가 탐지되었습니다' 라는 알림이 뜨면, 악성코드를 잡았다는 안도감보다는 '내 컴퓨터 어디 손상된 거 아닌가?' '제대로 치료된 거 맞나?' 하는 불안함부터 느끼기 마련입니다. 이럴 때 한 번씩 확인해보면 좋은 알약의 '보안통계' 메뉴를 소개해드립니다. 알약을 사용하시며 악성코드 탐지 창에서 실수로 치료 안 함을 눌렀을 때, 내 PC에서 탐지된 악성코드와 감염된 파일, 치료 내역을 확인하고 싶을 때 요긴하게 활용하실 수 있으니 지금부터 함께 알아보시죠! Go Go! [1] ..

안전한 PC&모바일 세상/PC&모바일 TIP 2019. 2. 8. 17:33

안녕하세요. 이스트시큐리티입니다. 2019년 새해를 맞아, 이스트시큐리티 전체 임직원이 한자리에 모여 올해의 사업 계획과 방향성을 공유하는 2019 사업계획 워크샵을 진행했습니다. 회사 인근 컨퍼런스홀에서 진행된 이번 워크샵에서는 작년 한 해를 돌아보고, 올 해 함께 노력할 부분에 대해 점검하며 각자의 의견을 나누는 시간으로 진행되었습니다. 2019 이스트시큐리티 사업계획 워크샵 먼저, 힘차게 달려온 작년 한 해를 다 같이 돌아보는 2018 사업 리뷰로 이스트시큐리티 김준섭 부사장이 워크샵의 문을 열었습니다. 이스트시큐리티는 10년 이상 축적된 엔드포인트 보안 노하우와 앞선 기술력을 바탕으로 차세대 보안 전문 기업으로 거듭나기 위해, 지난 2017년 모기업 이스트소프트로부터 분사했습니다. 2018년은 이..

전문가 기고/알약人 이야기 2019. 1. 29. 11:34

안녕하세요? 이스트시큐리티입니다. 혹시, 이 글을 스마트폰으로 보고 계신가요? 스마트폰은 이제 우리 일상에서 떼려야 뗄 수 없는, 말 그대로 굉장히 똑똑한 기능을 가진 일상필수품이 되었습니다. 기본적으로 전화와 문자로 연락을 취할 수 있는 것은 물론, 무료 메신저를 이용해 수많은 사람과 대화를 나눌 수 있으며 사진과 영상을 찍고 편집도 할 수 있습니다. 음악, 영상 재생, 독서 등 개인이 필요로 하는 다양한 기능에 최근에는 결제수단으로까지 활용되며 지갑보다도 더 중요한 소지품으로 자리 잡았습니다. 이렇게 스마트폰의 사용 범위가 넓어질수록 더 많은 정보가 내 스마트폰 안에 저장됩니다. 그래서 만약 스마트폰을 잃어버린다면? 나도 모르게 누군가가 내 스마트폰을 들여다본다면? 스마트폰 안에 저장된 개인정보들이 ..

안전한 PC&모바일 세상/PC&모바일 TIP 2019. 1. 25. 16:42

A second sample of the Shamoon V3 wiper analyzed by the experts 데이터 파괴형 악성코드인 Shamoon의 두 번째 샘플이 지난 12월 13일 네덜란드에서 바이러스 토털에 업로드 되었습니다. 지난 주, Chronicle의 보안 전문가들은 악명 높은 Shamoon 악성코드의 새로운 변종의 발견을 발표했습니다. 이 샘플은 이탈리아에서 바이러스 토털에 업로드 되었습니다. 이탈리아의 석유 서비스 회사인 사이펨(Saipem)이 사이버 공격을 받고있었던 시점이었습니다. 사이펨의 서버 300대 이상이 Shamoon에 감염 되었습니다. 그리고 보안 연구원들은 이 공격이 처음 생각했던 것 보다 더욱 규모가 큰 것으로 추측할 수 있는 새로운 Shamoon 변종의 샘플을 발견..

국내외 보안동향 2018. 12. 19. 15:24

안녕하세요? 이스트시큐리티입니다. 최근 Facebook 아이콘으로 위장한 랜섬웨어가 등장해 사용자의 각별한 주의가 필요합니다. Facebook 악성코드는 히든티어(Hidden Tear) 오픈소스를 기반으로 제작된 랜섬웨어로, 사용자의 중요 파일을 암호화 한 뒤 ‘.Facebook’ 확장자를 추가합니다. 공격자는 이를 복호화해주는 대가로 0.29 비트코인을 요구하며 금전적인 이득을 목적으로 하고 있습니다. 본 보고서에서는 Facebook으로 위장한 랜섬웨어 행위와 이를 예방하기 위한 방법을 알아보고자 합니다. 악성코드 상세 분석 이번에 발견된 Facebook 랜섬웨어는 다음과 같이 실제 Facebook 아이콘을 사용합니다. 또한 파일 속성에 Facebook Official이라는 설명을 사용하면서 정상 파일..

악성코드 분석 리포트 2018. 12. 13. 21:21

Fractured Block Campaign: CARROTBAT dropper dupports a dozen decoy document formatsSecurity Affairs Palo Alto Networks의 연구원들이 최근 많은 페이로드를 드랍하기 위해 수십여 개의 미끼 파일 포맷을 지원하는 악성코드 드롭퍼인 CARROTBAT을 발견했습니다. CARROTBAT은 2018년 3월 처음 발견 되었지만, 지난 3개월 동안 연구원들은 이 드롭퍼 관련 활동이 급격히 증가한 것을 발견했습니다. CARROTBAT은 대한민국과 북한 지역에 페이로드를 드랍하기 위해 사용 되었습니다. 공격자들은 미끼 문서에 가상화폐, 가상화폐 거래 및 정치 이벤트와 같은 주제를 사용했습니다. 또한 작년 12월, CARROTBAT은..

국내외 보안동향 2018. 12. 6. 15:08

The SLoad Powershell malspam is expanding to Italy 최근 새로운 악성 스팸 캠페인이 이탈리아를 공격하고 있습니다. 공격자들은 sLoad라는 강력한 다운로더의 새로운 변종을 확산 중입니다. sLoad는 정교한 스크립트로 과거 “Ramnit 뱅커”등과 같은 무서운 악성코드 다수를 배포하는데 사용되어 왔습니다. “CERT-Yoroi는 지난 몇 달 동안 선거구를 대상으로 한 새로운 공격 패턴을 발견했습니다. 이 일련의 악성 메일은 이탈리아의 사이버 세계를 노리는 작전을 시작한 한 공격 그룹과 연관 되어있는 것으로 보이는 일반적인 기술들을 공유했습니다.” “이러한 공격 시도가 TTP를 변경한 사이버 범죄 그룹에 의한 것인지, 아니면 완전히 새로운 집단의 짓인지는 아직까지 확..

국내외 보안동향 2018. 11. 30. 09:31