안녕하세요. 이스트시큐리티입니다. 한국을 집중 공격하는 신종 랜섬웨어 ‘Trojan.Ransom.MyRansom’(이하 마이랜섬 랜섬웨어)가 등장하였습니다. 케르베르(Cerber) 랜섬웨어의 변형으로 매그니튜드 익스플로잇 킷을 통해 광고 사이트에 악성코드를 심어 유포하는 멀버타이징 방식을 사용합니다. 두 단어를 합쳐 매그니베르(Magniber) 라고도 불립니다. 한국어 윈도우 운영체제 환경에서만 파일 암호화를 진행하는 특징이 있으며 암호화되는 파일의 확장자는 ‘hwp’ 문서를 비롯해 800개 이상입니다. 본 분석 보고서에서는 MyRansom 랜섬웨어를 상세 분석 하고자 합니다. 악성코드 상세 분석 40a5312f203f48759cbc1c08f91c499a 분석 1) 시스템 언어 확인시스템 언어 환경이 한..

악성코드 분석 리포트 2017. 11. 24. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2017년 11월 13일 부터 일부 파일 공유 사이트(토렌트)를 통해 '[한글]2017 HWP2017', HWP2017 한글 2017' 등의 제목으로 마치 한글과컴퓨터(이하 한컴)사의 최신 문서 작성 소프트웨어처럼 위장한 악성프로그램이 불특정 다수에게 전파 되어 각별한 주의가 필요합니다. 실제 해당 소프트웨어를 개발해 판매하고 있는 한컴을 통해 확인한 결과, '한글 2017'은 존재하지 않는 제품이며, NEO 또는 2018이 정식 제품군입니다. 토렌트를 통해 배포될 경우 감염 대상자들은 주로 상용 소프트웨어를 검색 후 불법 다운로드 받아 사용하는 계층이 포함되며, 기존에 널리 알려지지 않았던 새로운 버전으로 착각해 쉽게 현혹될 수 있습니다. 우..

악성코드 분석 리포트 2017. 11. 16. 21:08

中国电信客户端中毒被用来挖矿 官方：已紧急修复 최근, China Telecom jiangsu지사 홈페이지 pre.f-young.cn에서 제공되는 "tianyixiaoyuan(天翼校园) client"가 악성코드에 감염된 것이 확인되었습니다. 해당 악성코드에 감염되면, 원격에서 해커의 지령을 받아 PC를 끊임없이 새로고침하여 광고 트래픽을 대량으로 발생시키며, 가상화폐 모네로를 채굴합니다. 관련 이슈가 커지자, 11월 3일, China Telecom은 공식 블로그를 통해 입장을 밝혔습니다. 11월 2일, China Telecom은 일부 tianyixiaoyuan(天翼校园) 클라이언트가 악성코드에 감염된 것을 발견하였습니다. 악성코드는 감염된 클라이언트에서 트래픽 탈취, 사용자 PC자원을 이용한 가상화폐 채굴 등..

국내외 보안동향 2017. 11. 8. 15:42

Experts spotted a new strain of the Sage Ransomware that implements Anti-Analysis capabilities 보안 전문가들이 Sage 랜섬웨어의 새로운 변종을 발견했습니다. 이는 안티 분석 기능을 포함한 새로운 기능들을 포함하고 있었습니다. Sage 2.0은 지난 12월 처음으로 발견 된 새로운 랜섬웨어이며, 악성 스팸메일을 통해 배포 되었습니다. Sage는 CryLocker 랜섬웨어의 변종으로 간주 되며, 지금은 Sundown과 RIG 익스플로잇 키트를 통해 배포 되고 있습니다. 이후 이 악성코드는 몇 달 동안 활동을 중단 했었으며, 악성 JavaScript파일을 첨부한 스팸 메일을 통해 배포 되었었습니다. 연구원들은 “새로운 Sage의 샘플..

국내외 보안동향 2017. 11. 2. 15:45

안녕하세요. 이스트시큐리티입니다. 최근 GlobeImposter 랜섬웨어의 유포가 빈번하게 발생하고 있습니다. 주로 스팸 메일을 통해 유입되는 것으로 보이며, 다양한 변종들이 지속적으로 등장하고 있습니다. 그 중에서도 암호화된 파일의 확장자를 .707으로 변경시키는 악성코드에 대해 상세 분석을 진행하고자 합니다. 악성코드 상세 분석 프로세스 전체 흐름도 다음은 GlobeImposter 랜섬웨어가 동작하는 방식에 대한 전체적인 흐름도입니다. 생성된 뮤텍스의 존재 여부에 따라 동작이 구분됩니다. [그림 1] GlobeImposter 랜섬웨어 프로세스 전체 흐름도 Image Hijacking 본 악성코드의 악성행위는 child process를 생성하여 Image Hijacking 후에 진행됩니다. Image ..

악성코드 분석 리포트 2017. 10. 27. 09:00

APT 공격형 랜섬웨어의 위협 APT(Advanced Persistent Threat)는, 개인 및 정부기관 또는 기업을 상대로 지속적인 해킹 시도를 통해 개인정보나 중요 데이터를 유출하는 형태의 공격을 의미합니다. 좀 더 쉽게 이야기해보면, 해커가 특정 타깃을 정해두고 계획적 접근 후 일정시간 지켜보다가 보안이 취약한 타이밍에 모든 데이터를 유출 해가는 것입니다. 국책사업 포상을 사칭한 APT 공격 방식의 예제 대부분의 개인 및 기업에서 APT 공격을 받았을 경우, 언제 어떤 경로로 악성코드가 침입하고 활동했는지 파악하는 것은 매우 어렵습니다. 초기부터 치밀하게 계획 후 접근하여 취약한 곳을 관찰하다가 공격하기 때문입니다. 내부 직원의 개입까지 있다면 피해를 방지하는 것이 더더욱 어려워집니다. 국내에서..

전문가 기고 2017. 10. 25. 15:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 'asasin'으로 확장자를 변경하는 Locky 랜섬웨어 변종이 악성 메일 등을 통하여 국내외로 다수 유포되고 있는 정황이 포착되어 이용자들의 주의를 당부드립니다. ※ 관련 글 - 이메일 VBS 첨부파일을 통해 Locky 랜섬웨어 귀환 ▶ 자세히 보기 이번에 Locky 랜섬웨어 유포에 활용된 이메일은 'Invoice INV0000809' 제목과 함께 'Send from my iPhone' 내용을 포함하고 있습니다. 이는 iPhone에서 보낸 송장(Invoice)으로 위장하기 위함으로 보여집니다. [그림 1] Locky 랜섬웨어 유포에 사용된 악성 메일 이용자가 이메일에 첨부된 압축 파일 'Invoice INV0000809.7z'에는 'In..

악성코드 분석 리포트 2017. 10. 11. 14:41

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2017년 09월 26일부터 올크라이(AllCry)라는 이름의 랜섬웨어가 국내에 다수 전파되고 있어 각별한 주의가 필요합니다. 한국의 특정 ① 웹하드 설치 프로그램, ② 잠재적으로 불필요한 프로그램 (PUP:Potentially Unwanted Program) 등을 변조해 사용자 몰래 유포된 상태입니다. 따라서 해당 웹하드 프로그램의 서비스를 이용하고 있거나 불필요한 제휴/스폰서 프로그램이 설치된 경우 올크라이 랜섬웨어에 노출될 위험이 있습니다. 올크라이 랜섬웨어는 닷넷(.NET) 프로그래밍 기반으로 제작되어 있으며, 분석 및 탐지 회피 등을 위해 ".NET Reactor" 코드 프로텍터로 Packing 된 상태입니다. [그림 1] 올크라이 랜..

악성코드 분석 리포트 2017. 9. 30. 16:39