안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. "견적서.exe" 이메일로 유포되는 계정정보 전송 악성코드가 발견되어 사용자들의 주의를 당부 드립니다. 이번에 발견된 악성 메일은 ‘견적서 보내드립니다. 확인 부탁드립니다’는 내용으로 첨부된 파일의 실행을 유도합니다. [그림 1] 악성 메일 본문 악성 메일에 첨부된 파일 ‘견적서.rar’에는 ‘견적서.exe’ 실행 파일이 있습니다. [그림 2] 악성 메일에 첨부된 ‘견적서.rar’ 파일 ‘견적서.exe’ 파일은 유저 이름, 컴퓨터 이름, 운영체제 정보 등의 시스템 정보, 그리고 다양한 FTP 프로그램, 웹 브라우저에 저장된 계정 정보를 전송하는 기능을 수행합니다. [그림 3] 브라우저 정보 수집 코드 [그림 4] 시스템 정보 수집 코드 앞서 수..

악성코드 분석 리포트 2018. 3. 22. 14:44

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 ‘XX이 협박용’이라는 파일명을 가진 악성코드가 발견되어 이용자들의 주의를 당부 드립니다. 이번에 발견된 'XX이 협박용.scr' 악성코드를 실행하면 'C:\Users\(사용자 계정)\APPDATA\' 경로에 'LocalDQhZjmCUTx.exe' PE 파일과 'LocalZaMiXJBzqg.mp4' 동영상 파일을 드롭 및 실행합니다. 공격자는 다음의 동영상 화면을 통해 PE 파일 실행을 숨기려한 것으로 보여집니다. [그림 1] LocalZaMiXJBzqg.mp4' 동영상 파일 재생 화면 파일 실행 및 드롭 코드는 아래와 같습니다. [그림 2] 파일 드롭 및 실행 코드 드롭되어 실행되는 'LocalDQhZjmCUTx.exe' PE 파일은 닷..

악성코드 분석 리포트 2018. 3. 8. 13:19

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 최근 한국어로 번역된 것으로 보이는 전신 송금 확인 메일이 국내에 유입된 정황이 확인되어 주의를 당부드립니다. 이번에 발견된 악성 메일은 전신 송금을 확인하라는 내용으로 첨부된 파일의 실행을 유도합니다. [그림 1] 악성 메일 본문 악성 메일에 첨부된 파일 '주문.rar'에는 'purchase order.exe' 실행 파일이 있습니다. [그림 2] 악성 메일에 첨부된 '주문.rar 파일 'purchase order.exe' 파일은 %APPDATA% 경로에 'tmp.exe' 파일을 드롭 및 실행합니다. [그림 3] tmp.exe 파일 드롭 및 실행 코드 드롭되어 실행되는 'tmp.exe' 파일은 프로세스 인젝션 이후, 정보 탈취 기능을 수행합니..

악성코드 분석 리포트 2018. 3. 6. 18:07

안녕하세요? 이스트시큐리티입니다. 가상화폐 시세의 급등과 함께 채굴 기능이 있는 앱들이 등장하고 있습니다. 이러한 채굴 기능은 안드로이드 공식 마켓인 구글 플레이스토어의 정상 앱에서 발견되고 있으며, 해당 개발자가 정상 앱의 새로운 버전을 배포할 때 마이너를 추가하여 배포한다. 문제는 이를 사용자들에게 고지하지 않는 것입니다. 기기의 웹 브라우저를 활용한 마이너와 so 파일을 활용한 마이너가 주를 이루고 있습니다. 특히, so 파일을 활용하는 마이너는 "피닉스 코인"을 채굴하며 기기의 화면이 꺼져 있고 충전 중일 때만 채굴을 하여 사용자가 쉽게 알아차리기 어렵습니다. 본 분석 보고서에서는 so 파일을 활용한 마이너를 상세 분석 하고자 합니다. 악성코드 상세 분석 [그림 1] 정상앱 속의 채굴 해당 악성코..

악성코드 분석 리포트 2018. 2. 23. 09:00

안녕하세요? 이스트시큐리티입니다. 이번에 등장한 랜섬웨어는 ‘Hermes’ 2.0 버전으로 기존 ‘Hermes’ 랜섬웨어의 변종입니다. 랜섬웨어 특성에 따라 악성코드 제작자는 사용자의 중요 파일을 암호화한 뒤 복호화 대가로 비트코인 결제를 유도하여 금전적인 이득을 취합니다. 기존 버전에서 파일 암호화가 진행된 이후‘.hermes’확장자를 추가하던 것과 달리 별도의 확장자를 추가하지 않는 것이 특징입니다. 또한 암호화 대상 확장자에는 ‘.hwp’가 포함되어 있어 국내 사용자들의 피해가 우려됩니다. 본 분석 보고서에서는 ‘Heremes’ 2.0 랜섬웨어를 상세 분석 하고자 합니다. 악성코드 상세 분석 1) 안티 디버깅 Hermes 랜섬웨어는 정상적인 디버깅을 방해하기 위하여 프로세스 실행 시간을 이용한 안티..

악성코드 분석 리포트 2018. 2. 21. 15:28

안녕하세요? 이스트시큐리티입니다. 전세계적으로 가상 화폐가 열풍인 가운데, 가상 화폐를 채굴하는 악성코드가 지속적으로 확인되고 있습니다. 특히 이번에 발견된 악성코드는 ‘모네로(XMR)’ 가상 화폐를 채굴하는 악성코드로, 자신의 활동을 숨기기 위해 프레임워크를 가지고 있는 점이 특징입니다. 따라서 본 보고서에서는 ‘Misc.Riskware.BitCoinMiner’ 악성코드의 상세 분석 내용을 다루고자 합니다. 이번 악성코드는 국내에서 불특정 다수를 대상으로 한 악성 메일에서 유포된 것으로 확인되었습니다. 악성 메일에 첨부된 바로가기 파일(.lnk)의 대상 값을 통하여 모네로 채굴기인 dog.exe 악성코드가 실행되도록 유도합니다. 다음은 바로가기 파일의 속성 정보입니다. [그림 1] 모네로 채굴 악성코드..

악성코드 분석 리포트 2018. 1. 29. 10:17

안녕하세요? 이스트시큐리티입니다. 스마트폰으로 주로 어떤 것을 하시나요? 메신저로 이런저런 이야기를 나누고 SNS에서 지인들의 소식을 접하기도 하며, 재밌는 게임도 즐기실 수 있을 것 같은데요. 이렇게 여러모로 스마트폰을 사용하는 사이 우리도 모르게 일어나는 일이 있습니다. 그것은 바로 차곡차곡 쌓이는 '캐시 파일'입니다! 캐시 파일, 네 정체가 뭐야? 캐시의 사전적인 정의는 '데이터 접근을 빠르게 할 수 있도록 미래의 요청에 대비해 데이터를 저장해 두는 임시 장소'입니다. 예를 들어, 스마트폰으로 인터넷을 하는 동안 브라우저 앱에서는 방문한 페이지의 이미지 등 관련 정보를 임시파일로 저장하여 이후 방문했을 때 더 빠르게 해당 페이지를 띄울 수 있게 합니다. 하지만 사용하는 앱이 많고, 스마트폰을 오래 ..

안전한 PC&모바일 세상/PC&모바일 TIP 2018. 1. 22. 16:07

[1월 셋째주] 알약 스미싱 알림 본 포스트는 알약 안드로이드 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다. 특이 문자 No.문자 내용 1 [Web발신] 민원조회 2 [Web발신] 예식일시:2018.1.20오전11시30분 장소

안전한 PC&모바일 세상/스미싱 알림 2018. 1. 19. 09:50