Office Test를 이용하는 새로운 악성코드 발견Office Test Persistence Method Used In Recent Sofacy Attacks 최근 'Office Test'라고 불리는 새로운 악성코드 은닉 매커니즘이 발견되었습니다. 이 방법은 Microsoft Office 프로그램이 실행될 때만 악성코드가 실행되는 방식으로, 샌드박스 탐지를 우회할 수 있어 주의가 필요합니다. 이 방법은 최근 Sofacy 조직이 개발한 악성코드에서 발견되었습니다. 악성코드는 다음과 같은 레지스트리를 생성합니다. (※ Sofacy 조직 : 러시아 해커부대) HKEY_CURRENT_USER\Software\Microsoft\Office test\Special\Perf 분석 결과, 해당 악성 dll파일 경로는..

국내외 보안동향 2016. 7. 28. 09:56

윈도우 10 디스크 청소 유틸리티, UAC(사용자 접근 제어) 우회에 악용돼Windows 10 Disk Cleanup Utility Abused to Bypass UAC 보안연구원 Matt Nelson과 Matt Graeber가 윈도우 10의 UAC 보안 시스템을 우회하여 사용자에게 경고없이 악성 파일을 실행하도록 허용하는 방법을 발견했습니다. 이 방법을 이용하면 공격자는 파일을 복사하거나 코드를 인젝션하지 않아도, 가장 높은 권한으로 실행가능한 윈도우의 ‘작업 스케줄러’를 악용할 수 있습니다. 이 작업 스케줄러는 하드 드라이브를 청소하고 관리할 수 있는 윈도우 앱인 디스크 청소 유틸리티와 관련되어 있습니다. 작업 스케줄러는 '디스크 공간이 얼마 남지 않았을 때, 자동으로 디스크를 정리하기 위해 시스템이..

국내외 보안동향 2016. 7. 26. 16:08

SoakSoak 봇넷, Neutrino 익스플로잇 키트와 CryptXXX 랜섬웨어 배포해SOAKSOAK BOTNET PUSHING NEUTRINO EXPLOIT KIT AND CRYPTXXX RANSOMWARE 해킹된 기업 웹사이트들을 통해 CryptXXX 랜섬웨어가 배포되고 있습니다. 웹사이트들은 Neutrino 익스플로잇 키트로 연결되도록 조작되어 있습니다. Invincea가 발행한 보고서에 따르면, 공격자들은 Revslider 슬라이드쇼 플러그인을 사용하는 워드프레스 웹사이트들을 노리고 있습니다. Invincea의 보안 연구 부문 디렉터인 Pat Belcher는 해당 공격은 2014년부터 시작됐으며, 웹사이트의 취약점을 자동으로 스캔하는 것으로 알려진 SoakSoak 봇넷이 공격의 배후에 있다고 밝..

국내외 보안동향 2016. 7. 25. 14:57

BlackMoon 뱅킹 트로이목마 악성코드, 한국인 16만명이상 감염돼BlackMoon Banking Trojan Infected over 160,000 South Koreans 최근 Fortinet은 16만명 이상의 한국인들이 BlackMoon 뱅킹 트로이목마(W32/Banbra)를 악용한 공격자들로부터 뱅킹 크리덴셜을 도난당했다고 밝혔습니다. 그들은 지난 4월 해당 캠페인을 발견했으며, BlackMoon C&C 서버 중 하나의 개방형 디렉토리를 찾는데 성공했습니다. 또한 디렉토리 내부에서 감염자들의 정보에 대해 알 수 있는 로그와 데이터들을 발견할 수 있었습니다. 당시에는 전세계적으로 110,130명의 피해자들이 발견되었으며, 한국인 피해자만 108,850명인 것으로 밝혀졌습니다. BlackMoon은..

국내외 보안동향 2016. 7. 23. 10:00

USB 안에 있던 파일이 사라졌어요! : 이동식디스크에서 사라진 파일 복구 방법 USB, 외장하드... 편리한 이동식디스크 많이 사용하시죠? 저렴한 가격에 휴대성이 좋고, 중요한 자료를 백업하거나 유출을 방지할 수 있는 등 많은 장점을 가지고 있습니다. 하지만 관리를 소홀히하면 물리적으로 손상을 입거나, 잃어버릴 수 있는 등의 위험이 있지요. 또한 악성코드에 감염된 PC에 이동식디스크를 연결하면, 쉽게 감염될 수 있습니다. 감염된 이동식디스크를 또 다른 PC에 연결하면, 그 PC 또한 감염될 수 있다는 사실! ㅠㅠ 이동식디스크를 대상으로 공격하는 악성코드에 감염되면, 그 안에 있던 파일들이 모두 “바로 가기(*.lnk)”로 변경되어 자료가 증발된 것처럼 보입니다. 그야말로 사용자들을 멘붕에 빠뜨리는데요...

안전한 PC&모바일 세상/PC&모바일 TIP 2016. 7. 20. 11:46

Google Docs를 C&C 서버로 이용하는 cuteRansomwarecuteRansomware Uses Google Docs to Fly Under Radar 최근 새로운 랜섬웨어인 cuteRansomware가 발견되었습니다. 이 랜섬웨어는 Google Docs에 감염자 정보를 저장합니다. 이 랜섬웨어는 또 다른 랜섬웨어 프로젝트로 부터 파생되었으며, 그 랜섬웨어 프로젝트의 소스코드는 몇개월 전 GitHub에 공개되었습니다. 그 프로젝트의 이름은 my-Little-Ransomware으로, 'C#을 기반으로한 쉬운 랜섬웨어 모듈'이라고 묘사했습니다. 작성자는 중국인 개발자 mashenghao로 밝혀졌습니다. 이 소스코드는 곧 악의적인 의도를 가진 누군가에게 이용되었습니다. 이 랜섬웨어는 6월 중순경 A..

국내외 보안동향 2016. 7. 18. 14:52

러시아 해커조직 Lurk와 Angler,Necurs 봇넷의 관계 지난 5월, 러시아에서 해커조직 Lurk가 체포된 후, Angler Exploit Kit의 활동이 중단되었습니다. 러시아 정부는 4,500만 달러를 탈취한 해커조직을 검거하였으며, 그 조직의 인원수는 50명에 달했습니다. 이들의 이름은 Lurk로, 2011년부터 활동했습니다. Lurk는 몇몇 조직과 사용자들을 타겟으로 사이버 공격을 진행하였으며, 약 1년반 전 공격대상을 은행으로 변경했습니다. 이들은 은행, 금융기관 및 기업들로부터 4,500만 달러가가 넘는 금액을 탈취했습니다. 그런데 이 해커조직이 체포된 후, Angler의 업데이트가 갑자기 중단되고 소리소문없이 사라졌습니다. 1주일 후, Necurs 봇넷 역시 활동을 중단했으나, 3주 ..

국내외 보안동향 2016. 7. 15. 13:08

악성코드 배포한 ‘Angler EK’ 활동 정지 – 다른 EK들은 요금인상マルウェアまき散らした「Angler EK」がほぼ停止 - 移行先EKは料金値上げ 웹을 통해 악성코드를 감염시키는 Exploit Kit으로 사이버 범죄자에게 인기를 모았던 ‘Angler EK’가 6월 초순부터 활동이 정지되었습니다. 따라서 공격자들은 다른 Exploit Kit를 악용하고 있다고 합니다. ‘Angler EK’는 업데이트를 활발히 하는 것으로 알려져 있는 Exploit Kit입니다. Angler Exploit Kit은 지금까지 다른 Exploit Kit에 앞서 취약점을 악용하는 악성코드를 발빠르게 심어왔습니다. 이탈리아의 Hacking Team에서 취약성 정보가 유출되었을 때에도 Angler Exploit Kit은 단계적으로 ..

국내외 보안동향 2016. 7. 15. 09:54