안녕하세요? 이스트시큐리티입니다. 과거부터 공격자들은 백신 탐지를 우회하고 감염 사실을 은폐하기 위해 다양한 방법을 시도해왔습니다. 그중 프로세스 인젝션 기법을 통한 백신 탐지 우회는 Process Hollowing, SetWindowsHookEx등 방법을 전형적인 방법을 통해 이루어져왔습니다. 하지만 이러한 기법들은 오랜 기간 사용되었기 때문에 백신 회사들로부터 인젝션 탐지 연구가 진행되어 악성코드 탐지율이 높아졌습니다. 이에 따라 최근 기존에 사용되어 왔던 프로세스 인젝션 기법이 아닌 Atombombing , Process Doppelganging, early bird등 새로운 기법들이 등장하였으며 이러한 기법들은 정보 탈취 악성코드, 랜섬웨어 등 다양한 유형의 악성코드에서 발견되고 있습니다. 따라서..

악성코드 분석 리포트 2018. 6. 19. 18:19

PyRoMineIoT spreads via EternalRomance exploit and targets targets IoT devices in Iran and Saudi Arabia 연구원들이 확산을 위해 NSA와 관련 된 EternalRomance 익스플로잇을 악용하는 새로운 가상화폐 채굴 변종인 PyRoMineIoT를 발견했습니다. PyRoMineIoT는 몇 주 전 발견 된 PyRoMine이라는 가상화폐 채굴기와 꽤 유사합니다. 이는 4월달에 감염이 급증 하였고, 대부분이 가포르, 인도, 대만, 코트 디부 아르, 호주에서 발견 되었습니다. 연구원들에 따르면, 구 버전의 채굴기는 난독화 기능을 추가해 더욱 개선되었습니다. 최신 PyRoMine은 동일한 IP주소인 212[.]83.190[.]122에서..

국내외 보안동향 2018. 6. 14. 14:18

Prowli Malware Targeting Servers, Routers, and IoT Devices 대규모 VPNFilter 악성코드 봇넷이 발견 된 후, 연구원들은 전 세계 4만대 이상의 서버, 모뎀, IoT 기기들을 이미 손상시킨 또 다른 대규모 봇넷을 발견했습니다. Operation Prowli라 명명 된 이 캠페인은 익스플로잇 악용, 패스워드 브루트포싱, 취약한 구성 악용 등 다양한 기술을 사용해 전 세계 서버 및 웹사이트의 제어권을 탈취하기 위해 악성코드를 배포하고 주입합니다. Operation Prowli는 이미 금융, 교육, 정부 기관 등을 포함한 기업 9,000개 이상의 기기 4만 여대를 공격했습니다. Prowli 악성코드에 감염 된 기기 및 서비스 목록은 아래와 같습니다: 인기 있는..

국내외 보안동향 2018. 6. 11. 09:27

안녕하세요? 이스트시큐리티입니다. Threat Inside의 딥러닝 엔진을 비롯, 이스트시큐리티 제품들의 기반 인공지능 기술들을 연구하는 이스트소프트의 A.I. PLUS Lab에서 출원한 '신경망 학습 기반의 변종 악성코드 탐지 기술 관련 특허'가 올해 드디어 등록이 완료 되었습니다! (등록번호 10-1863615 (2018.05.28)) ※ 발명의 명칭:신경망 학습 기반의 변종 악성 코드를 탐지하기 위한 장치, 이를 위한 방법 및 이 방법을 수행하기 위한 프로그램이기록된 컴퓨터 판독 가능한 기록매체 기쁜 소식을 발명 담당자분들과 진행한 인터뷰를 통해 좀 더 자세하게 들을 수 있었습니다. '신경망 학습 기반의 변종 악성코드 탐지 기술' 특허 발명자 3인방 1. 먼저 특허 획득을 축하 드립니다. 소감이 어..

전문가 기고/알약人 이야기 2018. 6. 1. 11:18

FBI seizes control of a massive botnet that infected over 500,000 routers Cisco가 전 세계 50만대 이상의 라우터 및 네트워크 스토리지 장치들을 감염 시킨 대규모 해킹 캠페인에 대한 보고서를 공개한 후 얼마 지나지 않아, 미 정부가 공격에 사용 된 주요 인터넷 도메인을 중지 시켰다고 발표했습니다. Cisco Talos의 연구원들이 VPNFilter라 명명한 이 악성코드는 가정이나 소규모 사무실(SOHO)의 Linksys, MikroTik, NETGEAR, TP-Link 라우터, 스토리지 기기들, 그리고 NAS 기기들을 노리는 다단계 모듈 형태의 플랫폼 입니다. 피츠버그에서 공개 된 법원 문서에는 FBI가 감염 된 수십만대의 SOHO 라우터 및..

국내외 보안동향 2018. 5. 25. 15:16

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 ‘견적 의뢰’ 제목으로 위장한 악성 메일이 국내에 유포되는 정황이 포착되어 주의를 당부드립니다. ※ 관련글 보기 ▶ 국내에 유입된 전신 송금 확인 악성 메일 주의 ▶ 제품 견적서 확인 내용으로 위장한 악성 메일 주의 이번에 발견된 악성 메일은 “Quote Request” (견적 의뢰) 제목으로 이 제품에 공유할 사진이 있는지 문의하는 내용으로 대용량의 첨부 파일 실행을 유도합니다. [그림 1] 문의 내용을 담고 있는 악성 메일 메일에 첨부된 파일 image-scan0687.zip에는 ‘image-scan068739624829.exe’ PE 파일이 있습니다. [그림 2] 악성 메일에 첨부된 파일 만일 이용자가 이미지 확인을 위해 무심결에 파..

악성코드 분석 리포트 2018. 5. 8. 16:42

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 입사지원서 메일로 위장하여 GandCrab 랜섬웨어를 유포하는 정황이 발견되어 주의를 당부드립니다. ※ 관련글 보기 ▶ 악성 메일로 유포되는 GandCrab 2.1 랜섬웨어 주의 ▶ 실존 디자이너 명의를 사칭한 악성 메일로 GandCrab 랜섬웨어 국내 유포 주의 ▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의 ▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가 ▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 ▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의 ▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 ..

악성코드 분석 리포트 2018. 5. 4. 10:04

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 제품 견적서 확인 내용으로 위장한 악성 메일이 국내에 유포되는 정황이 포착되어 주의를 당부드립니다. ※ 관련글 보기 ▶ 국내에 유입된 전신 송금 확인 악성 메일 주의 이번에 발견된 악성 메일은 모델과 시리얼 넘버(S/N) 내용의 제품 견적을 참고하라는 내용을 담고 있으며, 첨부 파일 실행을 유도합니다. [그림 1] 제품 견적 내용을 담고 있는 악성 메일 메일에 첨부된 파일 '(기업명) (PJT) 20120152RMH063.HRQ3_455 28E WITH 400 SETS.zip', '(기업명) CATALOGUE.ace'에는 모두 동일하게 '_outputD876E0.exe' PE 파일이 있습니다. [그림 2] 악성 메일에 첨부된 파일 만일 이..

악성코드 분석 리포트 2018. 4. 25. 11:36