안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 백신업체인 비트디펜더가 갠드크랩 복호화툴을 공개한 가운데, 최근 갠드크랩의 최신 변종인 갠드크랩 5.0.5가 발견되어 사용자들의 주의가 필요합니다. ※ 관련글 보기 ▶ 갠드크랩(GandCrab) 랜섬웨어의 무료 복호화 툴 공개 돼▶ 이미지를 드롭하는 갠드크랩(GandCrab) 5.0.4 발견!▶ 멀버타이징 기법으로 유포 중인 갠드크랩(GandCrab) v5.0.3 주의!!▶ 비너스락커 조직이 유포중인 갠드크랩(GandCrab) v5.0.3 주의!▶ 갠드크랩(GandCrab) 랜섬웨어 5.0.1, 5.0.2 변종 지속적으로 유포 중! 이번에 발견된 갠드크랩 5.0.5버전은 이전에 발견되었던 갠드크랩들과 동일한 특징을 갖고 있습니다. 파일들을 암호화..

악성코드 분석 리포트 2018. 10. 29. 19:00

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 해외 성인광고 서버를 통해 Fallout Exploit Kit이 유포 되어 최신 보안업데이트가 제대로 이루어지지 않은 PC에서 해당 웹사이트를 방문 할 시 “갠드크랩(GandCrab) v5.0.3 랜섬웨어 악성코드”에 감염 될 수 있는 내용이 쓰렛인사이드(Threat Inside)를 통해 확인 되어 주의를 당부 드립니다. [그림 1] 성인광고 페이지 이미지 이번에 발견 된 멀버타이징에 사용 된 Fallout Exploit Kit은 사용자의 브라우저 프로필을 검사하여 조건에 부합 할 경우 악성 콘텐츠로 연결하게 됩니다. 조건에 맞는 사용자에게는 302 리다이렉션을 통해 광고 페이지가 아닌 Fallout Exploit Kit 랜딩 페이지로 접..

악성코드 분석 리포트 2018. 10. 25. 15:37

안녕하세요? 이스트시큐리티입니다. 최근 노스캐롤라이 주 잭슨빌에 위치한 수도사업소에 랜섬웨어 공격이 발생하여 시스템 운영이 마비되었습니다. 이 공격에 사용된 악성코드는 Ryuk 랜섬웨어로 밝혀졌습니다. 해당 랜섬웨어는 올해 초 유포되었던 Hermes 랜섬웨어의 변종으로 많은 유사성을 가집니다. 따라서, 본 보고서에서는 Ryuk 랜섬웨어의 악성 행위와 이를 예방하기 위한 방법에 대해 적고자 합니다. 악성코드 상세 분석 1. 프로세스 인젝션 사용자로부터 감염 사실을 은폐하기 위해 실행 중인 프로세스 중 임의로 선택하여 파일 암호화를 수행하는 코드를 인젝션합니다. 이 과정에서 ‘csrss.exe’, ‘explorer.exe’, ‘lsaas.exe’는 제외됩니다. 이는 시스템 안정성과 인젝션을 통한 탐지를 우회..

악성코드 분석 리포트 2018. 10. 23. 17:57

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 특정 기업의 프로젝트 파일처럼 위장한 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글 보기▶ Trojan.Agent.FormBook 악성코드 분석 보고서▶ 퍼블리셔(PUB) 파일이 첨부된 악성메일 주의▶ 사용자 정보 탈취 목적의 악성 파일이 첨부된 메일 주의▶ 계정 탈취 목적의 계약 체결 위장 악성 메일 주의 이번에 발견된 악성 메일은 ‘(기계설비, 금속구조물)PROJECT.20181012’ 라는 제목으로 메일 본문에는 ‘첨부된 파일 참조하여 주시기 바랍니다.’ 라는 내용으로 첨부된 파일의 실행을 유도합니다. [그림 1] 수신된 메일 메일에 첨부된 파일 ‘(기계설비,금속구조물)PROJECT.20181012.ace’ 에는 악성..

악성코드 분석 리포트 2018. 10. 15. 15:50

안녕하세요? 이스트시큐리티입니다. 가을비가 내리던 지난주 어느 날, 알약크루 1기가 다시 한자리에 모였습니다. 발대식이 끝난 이후, 알약크루에게는 첫 번째(!) 팀 미션과 개인 미션이 주어졌는데요. 모든 알약크루가 개인 미션을 수행하는 동시에, 20명의 크루가 4개 팀으로 나뉘어 팀 미션을 진행했습니다. 9월 중순부터 10월 초까지 약 3주에 걸쳐 알약크루들이 열심히 진행한 미션 과정과 결과물을 함께 살펴보고, 피드백을 나누며, 실무자의 직무 강연까지 진행되었던 '알약크루 1차 정기모임' 현장으로 함께 가볼까요? Go Go! 다시 모인 알약크루 1기, 반가워요! 이스트시큐리티 서초 본사에서 진행된 알약크루 1차 정기모임은 때마침 새롭게 단장한 세미나실에서 진행되었습니다. 행사가 시작되기 전, 설레는 마음..

알약人 이야기 2018. 10. 11. 11:37

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 국내 실제 기업명을 사칭한 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글 보기▶ 암호화된 doc 파일이 포함된 악성 메일 유포 주의▶ 퍼블리셔(PUB) 파일이 첨부된 악성메일 주의▶ 사용자 정보 탈취 목적의 악성 파일이 첨부된 메일 주의▶ 계정 탈취 목적의 계약 체결 위장 악성 메일 주의 이번에 발견된 악성 메일은 ‘두산의 새로운 가격 문의’ 라는 제목으로 메일 본문에는 ‘상기 공사 관련 귀사 견적 의뢰 드립니다.’는 내용으로 첨부된 파일의 실행을 유도합니다. [그림 1] 수신된 메일 악성 메일에 첨부된 파일 ‘Technip FMC Project - EBSM PJT.rar’ 에는 실행 파일 있습니다. [그림 2] 첨부파일 ..

악성코드 분석 리포트 2018. 10. 5. 16:35

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 암호화된 doc 파일이 포함된 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글 보기 ▶ 퍼블리셔(PUB) 파일이 첨부된 악성메일 주의▶ 사용자 정보 탈취 목적의 악성 파일이 첨부된 메일 주의▶ 계정 탈취 목적의 계약 체결 위장 악성 메일 주의 이번에 발견된 악성 메일은 ‘Application’ 이라는 제목으로 메일 본문에는 Vicky Resume.doc파일을 열기 위한 패스워드가 있습니다. [그림 1] 수신된 메일 첨부된 doc 파일을 클릭하면 아래와 같이 패스워드 입력을 요구하는 창이 뜹니다. [그림 2] 패스워드 입력을 요구하는 창 패스워드를 입력한 후 본문 내용을 확인하면 아래와 같이 매크로 활성화를 유도합니다. ..

악성코드 분석 리포트 2018. 10. 1. 19:53

안녕하세요? 이스트시큐리티입니다. 여러분은 '알약' 하면 무엇이 떠오르시나요? 아마도 많은 분들이 알약을 '무료 백신'으로 먼저 떠올리실 것 같은데요, 그 외에 '윈도우 필수 프로그램', '랜섬웨어 차단 백신', '바이러스 백신'과 같은 키워드가 생각나셨다면 알약이 자기의 역할을 잘 해왔다고 볼 수 있을 것 같습니다. 그렇다면 혹시, 이런 생각을 한 번쯤 해보신 적은 있으신가요?'내가 알아서 조심하면 되지, 백신을 왜 깔아야 해?' '다른 백신도 많은데 알약을 써야 하는 이유가 뭐야?' 오늘은 '알약'과 '백신 프로그램'에 자주 뒤따르는 위 질문들을 주제로 이야기해보도록 하겠습니다. 1. 백신 프로그램, 내 컴퓨터에 꼭 설치해야 하는 이유 백신 프로그램의 정의는 '컴퓨터 바이러스를 찾아내고 손상된 파일을..

안전한 PC&모바일 세상/PC&모바일 TIP 2018. 10. 1. 16:03