새로운 Cerber 랜섬웨어 4.0 버전, 온라인에서 판매되고 멀버타이징 방식으로 배포돼New Cerber Ransomware v4.0 Sold Online and Deployed via Malvertising Campaigns 최근 버전 4.0으로 업데이트된 Cerber 랜섬웨어가 사이버 범죄 언더그라운드 포럼에서 판매되고 있는 것으로 나타났습니다. Locky와 CryptXXX와 같이, Cerber는 현재 가장 활동적인 랜섬웨어 위협 중 하나입니다. 이는 랜섬웨어의 서명을 변경하고, 보안 소프트웨어의 탐지를 우회하기 위한 운영 모드 변경을 위해 지속적으로 업데이트되고 있습니다. Cerber, 지난 3개월 동안 주요 업데이트 내려받는 것으로 나타나 2016년 초 공개된 Cerber는 버전 1.0을 유지하..

국내외 보안동향 2016. 10. 14. 16:43

Trojan.Ransom.Hitler 최근 히틀러의 사진을 이용하여 캐시 코드를 요구하는 랜섬웨어가 발견되었습니다. 히틀러라는 악명 높은 인물을 이용하여 감염된 사용자의 심리를 자극하기 위한 것으로 보이지만, 실제 분석결과 엉성한 구성으로 아직 초기 개발단계의 악성코드임을 확인 할 수 있었습니다. [그림 1] 히틀러 랜섬웨어 설치 시 화면 아직까지 국내에는 확산이 이루어지지 않았고 캐시 코드를 지불할 수 있는 방법도 쉽지 않아 큰 이슈가 되고 있지 않지만, 다른 랜섬웨어와 같이 고도화 및 감염 루트의 다양화를 통해 파급력을 키울 가능성도 분명 존재합니다.이번 분석보고서에서는 스스로를 히틀러 랜섬웨어라고 명명한 악성코드의 특징과 예방 방법에 대해 알아보도록 하겠습니다. 악성파일 분석 흐름도 히틀러 랜섬웨어..

악성코드 분석 리포트 2016. 10. 7. 15:35

세계에서 가장 큰 규모의 DDoS 공격에 사용된 IoT 봇넷 소스코드, 온라인에 공개돼Source Code for IoT botnet responsible for World's largest DDoS Attack released Online 최근 프랑스의 호스팅 제공자인 OVH가 1Tbps 이상 규모의 DDoS 공격을 받았습니다. (▶관련 포스팅 보기) 이 공격은 감염된 IoT 기기로 이루어진 봇넷을 통해 실행되었습니다. 이러한 공격들은 더욱 빠르게 증가할 것으로 보입니다. 누군가가 이 세계에서 가장 큰 규모의 DDoS 공격을 실행하는데 사용된 것으로 ‘보이는’ IoT 봇넷의 소스코드를 공개했기 때문입니다. Mirai(미라이)라 명명된 이 악성코드는 라우터와 같은 내장형 기기들을 위해 특별히 설계된 Un..

국내외 보안동향 2016. 10. 5. 10:14

사진, 크롬 DB를 훔치고 기기를 루팅시키는 안드로이드 악성코드 발견Android Trojan Roots Devices, Steals Photos and Chrome's Database 최근 카스퍼스키는 Tordow라고 명명된 악성코드를 유포하는 앱들을 발견하였습니다. 이 앱들은 VKontakte, DrugVokrug, Pokemon Go, Telegram, Odnoklassniki, Subway Surf등과 같이 유명한 안드로이드 앱의 복사본으로, 써드파티 앱스토어에서 유포중인 것으로 확인되었습니다. Tordow 악성코드에 감염되면, 해당 악성코드가 사용자 스마트폰을 루팅시킨 후 민감 정보를 훔쳐 악성코드 제작자 서버에 업로드합니다. 범죄자들은 이 앱의 소스코드를 언팩한 후, 그들의 악성코드를 심어 리..

국내외 보안동향 2016. 9. 21. 18:56

Periscope Skimming, ATM의 새로운 위협 포인트로 부상Periscope Skimming, a new ATM threat spotted in the US 최근 United States Secret Service와 ATM 공급업체들은 "Periscope Skimming"라고 불리는 새로운 ATM Skimmer 기술에 주의를 당부했습니다. 이 skimmer는 공격자가 ATM 기기 내부에 직접 연결하여 은행카드 정보를 탈취할 수 있는 것으로, 기존과는 다르게 ATM 외부에서 육안으로 확인이 불가능합니다. Periscope Skimming 동작 매커니즘 Kerbs 블로그는 새로운 ATM skimmer인 Periscope Skimmer가 미국에서 처음 발견되었다고 밝혔습니다. 해당 Skimmer를 ..

국내외 보안동향 2016. 9. 21. 16:38

MS 스토어에서 보낸 메일로 위장한 DOC 매크로 공격 발견, 사용자 주의! 안녕하세요. 알약입니다. 추석 연휴 기간이었던 지난 14일, 러시아 언어로 작성된 악성 DOC 파일이 국내 특정 기업에 전송되는 사례가 발견되었습니다. 연휴를 마치고 복귀한 국내 기업, 기관에 근무하는 임직원 사용자의 각별한 주의가 필요합니다. 해당 공격 메일은 MS 스토어에서 발송한 것으로 위장되어 있어, 사용자가 별다른 의심 없이 첨부 파일을 실행하도록 유도하고 있습니다. 위 메일 화면과 같이, 공격자는 사용자를 속이기 위해 악성 메일을 MS의 공식 메일인 것처럼 교묘하게 제작했습니다. 사용자가 메일에 첨부된 DOC 파일을 실행하면, '읽기모드'로 실행되어 메뉴가 최소화되도록 합니다. 이후 WORD 파일이 보호되어 있는 것처..

악성코드 분석 리포트 2016. 9. 20. 10:50

하드 드라이브 부트 레코드를 잠그는 HDDCryptor 랜섬웨어HDDCryptor Ransomware Locks Hard-Drive Boot Records 하드 드라이브의 MBR(마스터 부트 레코드)를 공격해 파일을 암호화 한 후, PC를 부팅할 수 없도록 하는 새로운 랜섬웨어가 발견되었습니다. 이는 HDDCryptor (또는 Mamba)로 명명되었으며, 2016년 1월부터 활동을 시작한 것으로 알려졌습니다. 관련하여 공개된 보고서에 따르면, 최근 HDDCryptor의 새로운 버전이 전 세계 사용자들에게 배포되고 있는 것으로 나타났습니다. 최근 새롭게 배포되고 있는 HDDCryptor를 처음 발견한 Morphus Labs의 보안 연구원인 Renato Marinho는 미국, 브라질, 인도 본부가 감염된 다..

국내외 보안동향 2016. 9. 20. 10:14

영화 ‘부산행’ 위장한 악성 토렌트 파일 유포… 추석 연휴 불법 자료 다운로드 주의 영화 파일로 위장해 악성 파일이 유포 중인 토렌트 화면 최근 1,100만 관객 몰이를 하며 흥행에 성공한 국내 영화 ‘부산행’의 불법 영화 파일로 위장한 악성 프로그램이 토렌트 사이트를 통해 은밀히 유포되고 있습니다. 이에 사용자분들의 각별한 주의를 당부 드립니다. 토렌트(Torrent)는 인터넷상에 존재하는 파일을 여러 조각으로 나누어 개인들 간 파일을 공유하는 프로그램으로, 사용이 쉽고 별도의 인증 절차가 없어 영화, SW, 음악 등 불법 자료 공유 수단으로 흔히 사용되고 있습니다. 토렌트 프로그램을 이용한 악성파일 유포는 다가오는 추석 명절 기간 각종 영화 파일을 불법으로 다운로드하는 이용자가 증가할 것을 노린 것으..

악성코드 분석 리포트 2016. 9. 12. 12:37