안녕하세요? 이스트시큐리티입니다. 최근 사용자 PC를 감염시켜 사용자 정보를 탈취하는 Infostealer유형의 악성코드가 꾸준히 발견되고 있습니다. 이번에 발견된 악성코드는 분석 시스템 또는 분석가를 통한 분석을 회피하기 위한 기술들이 다수 적용되어 있습니다. 감염 PC의 분석 환경 구성 여부를 확인하여 악성 행위를 수행할 것인지 결정하는 것이 특징입니다. 이번 보고서에서는 해당 악성코드에 적용된 기술들과 악성 행위에 대해서 상세하게 알아보고자 합니다. 악성코드 상세 분석 1. 가상 환경 탐지 및 분석 회피 공격자는 악성코드 분석 시스템 또는 분석가를 통한 분석을 방해하기 위하여 가상 환경 탐지, 안티디버깅 등을 사용합니다. 이를 통해 분석 환경이 탐지되면 악성 행위를 수행하지 않고 종료합니다. 1) ..

악성코드 분석 리포트 2018. 11. 21. 13:00

New Strain of Olympic Destroyer Droppers 지난 몇 주 동안, 우리는 악명 높은 올림픽 디스트로이어(Olympic Destroyer) 공격의 배후에 있는 APT 그룹인 Hades의 새로운 활동을 발견했습니다. 게다가 새로운 공격은 이전 공격들과 많은 부분을 공유하지만, 해당 그룹이 진화했다는 것을 알 수 있는 중요한 변화를 목격할 수 있었습니다. 우리는 발견한 샘플을 통해 이 그룹이 다양한 분야를 연구했으며 연구원들이 공격을 탐지하기 어렵도록 만들기 위해 노력하고 있다는 것을 알 수 있었습니다. 시작 2018년 한국에서 개최된 동계 올림픽을 노린 사이버 공격은 짧은 시간 동안 이 행사의 IT 인프라를 방해했습니다. 하지만 이는 많은 언론의 헤드라인을 장식했으며, 보안 커뮤니..

국내외 보안동향 2018. 11. 16. 18:32

안녕하세요? 이스트시큐리티입니다. 딥러닝 기반 악성코드 위협 대응 솔루션 'Threat Inside(쓰렛인사이드)' 출시를 기념하여, 최신 보안 동향과 전문가 해석 정보를 담은 데일리 리포트 서비스인 '시큐리티 브리핑'을 3개월 간 무료로 제공하는 이벤트를 진행합니다. '시큐리티 브리핑’이란?Threat Inside의 유료 고객에게만 제공되는 국내 최초 데일리 리포트 서비스로, 이스트시큐리티 시큐리티대응센터(ESRC)가 매일 발생하는 중요한 보안 이슈와 동향을 선별해 브리핑한 정보를 뉴스레터 방식으로 발송하는 서비스입니다. Threat Inside의 인텔리전스 리포트 서비스 중 하나인 ‘시큐리티 브리핑’은 기업과 기관의 보안 담당자가 매일 숙지해야 할 국내외 주요 보안 이슈와 동향을 쉽고 편리하게 제공받..

이벤트 2018. 11. 13. 10:03

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. ESRC에서는 최근 발견된 KRBanker 악성앱이 기존의 KRBanker보다 한층 더 정교하고 교묘하게 공격하도록 제작되어 유포되고 있는 것을 확인했습니다. 특히, 이 악성앱은 마치 스미싱과 보이스피싱 등이 결합된 형태로 진화된 형태로 볼 수 있습니다. 이 악성앱은 248개의 금융기관 전화번호로 발신을 감시하며 피해자가 특정 금융기관에 통화를 시도할 경우 보유하고 있는 음성 녹음 파일을 재생하고, 공격자에게 전화통화를 포워딩 하는 기능을 가지고 있습니다. 이때부터는 일종의 보이스피싱으로 사이버범죄가 진행될 수 있습니다. 해당 악성앱은 최근 이슈가 되고 있는 샘플로서 인증서 생성 시간은 2018년 11월 06일로 최근에 제작된 샘플이라는 ..

악성코드 분석 리포트 2018. 11. 7. 15:55

Emotet Trojan Begins Stealing Victim's Email Using New Module Emotet 악성코드는 뱅킹 트로이목마나 다른 악성코드를 배포하는데 사용 되어왔지만, 6개월 전부터 사용자의 이메일을 훔치는 모듈을 추가해 더욱 기능이 다양해졌습니다. 예전에는 Emotet은 피해자의 이메일 주소만을 훔쳤지만, 이 새로운 버전은 데이터 탈취 및 기업 스파잉행위를 더욱 쉽도록 하는 기능을 추가했습니다. 또한 이 기능은 이미 악성코드에 감염 된 모든 시스템에 배포될 수 있습니다. Kryptos Logic의 보안 연구원들은 Emotet의 이메일 수집 모듈을 분석한 결과, 이 모듈이 이메일의 제목과 내용까지 추출해낼 수 있는 기능으로 더욱 강화된 것을 발견했습니다. 연구원들은 금일 발행..

국내외 보안동향 2018. 11. 1. 16:36

사이버 위협, 그리고 보안 패러다임의 변화 사이버 위협은 점차 다양한 방식으로 그리고 고도화된 방법으로 계속되고 있습니다. 무엇보다 공격자들은 단순 공격을 위한 공격이 아닌, 일종의 목표와 방향을 가진 끈질긴 공격을 수행하고 있습니다. 공격의 배후에는 분명 인간이 존재하긴 하나, 과거와 달리 공격자들은 더이상 한 개인이 아닌 단일 목표로 움직이는 전문적인 집단입니다. 때문에 복잡한 대규모 사이버 위협의 대응이 쉽지 않아진 것이 사실이지만, 그 시발점은 분명 악성코드라는 점은 간과할 수 없는 부분입니다. 현재 주목해야 할 부분은 '알려지지 않은 위협'이며, 기존의 수동적인 탐지와 대응만으론 알려지지 않은 위협의 존재 여부조차 알아내기 어렵다는 것은 누구나 동의하는 사실이 되었습니다. 이에따라 전세계적으로 ..

전문가 기고 2018. 10. 29. 21:30

안녕하세요? 이스트시큐리티입니다. MS사의 Xamarin을 활용하는 또 다른 악성 앱이 등장하였습니다. 해당 앱은 구글 플레이스토어와 비슷한 이름과 아이콘을 사용하여 사용자를 속입니다. 지속적인 악성 행위를 위해서 앱의 아이콘을 숨기고 관리자 권한을 요구합니다. 또한, 원격 명령을 통해서 기기정보 탈취뿐만 아니라 문자기록, 주소록 등의 개인정보까지 탈취합니다. 무엇보다 가짜 사이트를 띄워 카드 관련 정보를 탈취합니다. 본 분석 보고서에서는 “Trojan.Android.Banker”를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 악성 행위 준비처음 악성 앱을 실행하면 사용자를 속이기 위해서 해당 앱의 아이콘을 숨기고 관리자 권한을 요구합니다. 관리자 권한을 허용하도록 유도하는 문구를 띄우고 관리자 권..

악성코드 분석 리포트 2018. 10. 25. 13:00

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 국내 실제 기업명을 사칭한 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글 보기▶ 암호화된 doc 파일이 포함된 악성 메일 유포 주의▶ 퍼블리셔(PUB) 파일이 첨부된 악성메일 주의▶ 사용자 정보 탈취 목적의 악성 파일이 첨부된 메일 주의▶ 계정 탈취 목적의 계약 체결 위장 악성 메일 주의 이번에 발견된 악성 메일은 ‘두산의 새로운 가격 문의’ 라는 제목으로 메일 본문에는 ‘상기 공사 관련 귀사 견적 의뢰 드립니다.’는 내용으로 첨부된 파일의 실행을 유도합니다. [그림 1] 수신된 메일 악성 메일에 첨부된 파일 ‘Technip FMC Project - EBSM PJT.rar’ 에는 실행 파일 있습니다. [그림 2] 첨부파일 ..

악성코드 분석 리포트 2018. 10. 5. 16:35