안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 작년 하반기부터 활동중인 Mallox 랜섬웨어는 2022년 3월 랜섬웨어 패밀리들을 대상으로 진행된 통계에서 기업 타겟 랜섬웨어로 1위를 차지했습니다. 현재까지 국내에 감염된 사례는 보고된 적 없지만 봇넷, 네트워크 유포, 취약한 암호 등 다양한 방식을 통해 유포 중인 것으로 알려진 Mallox 랜섬웨어를 분석하고자 합니다. Mallox 랜섬웨어는 사용자 PC의 데이터를 암호화하여 금전을 요구하는 악성코드입니다. 시스템 언어가 러시아어, 카자흐어, 벨라루스어, 우크라이나어, 타타르어일 경우 암호화 작업 없이 프로세스를 종료하는 것과 사용자의 APR table에서 IP 주소와 관리 목적의 공유 폴더를 사용하여 랜섬웨어를 전파한다는 특징이 있..

악성코드 분석 리포트 2022. 5. 18. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 '형사 사건번호'라는 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포되고 있습니다. [그림 1] 헌법 재판소로 사칭한 피싱 메일 이 피싱 메일은 사건과 관련된 모든 자료를 함께 동봉했다며 사용자가 첨부된 파일(Documents.zip)을 실행하도록 유도합니다. 첨부 파일에는 난독화된 자바스크립트 파일 ‘Korea Criminal Case #521.js’, ‘Korean Constitutional Court #143.js’(Trojan.JS.Ransom.A)을 포함하고 있으며, 자바스크립트 파일을 실행할 경우 최종적으로 ‘Trojan.Ransom.VegaLocker’(이하 ‘VegaLocker’) 랜섬웨어에 감염됩니다. VegaLock..

악성코드 분석 리포트 2019. 6. 21. 08:15

Heart attack: Ransomware encrypts Australian cardiac clinic’s patient files 호주 멜버른의 심장 병원 카브리니(Cabrini)가 1월 랜섬웨어 공격을 받은 이후 약 1만 5000명의 환자 의료 기록에 접근하지 못하고 있습니다. The Age 뉴스에 따르면 암호화된 자료 복구를 위해 암호 화폐를 지불했지만, 일부 파일은 복구되지 않았으며, 이 중에는 환자의 신상 정보 및 신분 도용에 사용될 수 있는 민감한 의료 기록이 포함돼 있다고 밝혔습니다. 일부 환자들은 자신의 의료 기록이 분실되었지만 어떤 설명도 받지 못했다고 말했으며, 몇몇 사람들은 의료 기록 없이 진료를 위해 병원을 방문했습니다. 멜버른 심장 병원의 대변인은 이 문제를 해결하기 위해 호주..

국내외 보안동향 2019. 2. 22. 17:09

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 한국식 표현이 포함된 ‘카카오톡 위장 랜섬웨어 변종’이 발견되어 주의가 필요합니다. [그림 1] 2018년 변종 KOREAN 랜섬웨어 새롭게 발견된 카카오톡 위장 랜섬웨어는 지난 2016년 8월 20일경 발견된 KOREAN 랜섬웨어와 비교했을 때 폰트, 이미지 등을 제외한 대부분의 특성이 흡사한 것으로 나타났습니다. [그림 2] 2016년 발견된 KOREAN 랜섬웨어] Hidden-Tear 오픈 소스 기반으로 제작된 이 랜섬웨어는 바탕 화면 경로에 있는 파일들 중 아래에 해당하는 확장자만 AES 알고리즘을 이용하여 “[기존파일명][기존확장자명].암호화됨” 으로 암호화를 진행한 뒤 1 비트코인을 요구 합니다. (한화 13,500,000 원) ”..

악성코드 분석 리포트 2018. 1. 23. 11:01

안녕하세요. 이스트시큐리티입니다. 최근 GlobeImposter 랜섬웨어의 유포가 빈번하게 발생하고 있습니다. 주로 스팸 메일을 통해 유입되는 것으로 보이며, 다양한 변종들이 지속적으로 등장하고 있습니다. 그 중에서도 암호화된 파일의 확장자를 .707으로 변경시키는 악성코드에 대해 상세 분석을 진행하고자 합니다. 악성코드 상세 분석 프로세스 전체 흐름도 다음은 GlobeImposter 랜섬웨어가 동작하는 방식에 대한 전체적인 흐름도입니다. 생성된 뮤텍스의 존재 여부에 따라 동작이 구분됩니다. [그림 1] GlobeImposter 랜섬웨어 프로세스 전체 흐름도 Image Hijacking 본 악성코드의 악성행위는 child process를 생성하여 Image Hijacking 후에 진행됩니다. Image ..

악성코드 분석 리포트 2017. 10. 27. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 익스플로잇 킷(Exploit Kit)을 통해 MyRansom 랜섬웨어가 대량 유포되고 있는 중입니다. 특히, 한국 환경만을 대상으로 한 MyRansom(Magniber) 랜섬웨어가 발견되어 이용자들의 각별한 주의를 당부드립니다. 해당 랜섬웨어는 암호화 진행 전, 한국 언어 환경(0x412)인지 확인합니다. 다음은 언어 환경을 확인하는 코드입니다. [그림 1] 한국 언어 환경을 확인하는 코드 MyRansom 랜섬웨어 암호화 대상 확장자 문자열은 'hwp' 문서 확장자를 포함한 859개입니다. "doc", "docx", "xls", "xlsx", "ppt", "pptx", "pst", "ost", "msg", "em", "vsd", "vsdx..

악성코드 분석 리포트 2017. 10. 19. 15:29

Trojan.Ransom.WannaCryptor 악성코드 분석 보고서 지난 주말부터 미국, 중국 등의 전세계 많은 국가로 WannaCry 랜섬웨어(Trojan.Ransom.WannaCryptor)가 전파되고 있습니다. 워너크라이(WannaCry)/워너크립터(WannaCryptor) 랜섬웨어는 기존 랜섬웨어와 달리 ‘쉐도우 브로커스’ 그룹에서 공개한 SMB 취약점(MS17-010)을 이용하여 네트워크 상으로 전파되었습니다. 이스트시큐리티는 본 보고서에서 워너크라이(WannaCry) 랜섬웨어를 살펴보고자 합니다. 악성코드 분석 ※ D5DCD28612F4D6FFCA0CFEAEFD606BCF.exe 상세분석 본 파일의 경우, 악성행위를 하는 파일을 드롭 및 설치를 하는 기능을 수행합니다. 특히 최근 NSA 해킹..

악성코드 분석 리포트 2017. 5. 17. 18:51

애플이 iOS 10 백업 암호화 약화시켜, 이전보다 2,500배 빠르게 복호화 가능Apple Weakens iOS 10 Backup Encryption; Now Can Be Cracked 2,500 Times Faster 애플이 최근 아이폰 OS 업그레이드에서 사용자 보안 및 프라이버시에 직접적으로 영향을 미치는 실수를 저지른 것으로 보입니다. 애플은 iOS 10의 해싱 알고리즘을 "PBKDF2 SHA-1 10,000회 반복"에서 "플레인 SHA256 1회 반복"으로 변경시켰습니다. 이는 공격자들이 표준 데스크탑 컴퓨터 프로세서를 이용해 패스워드를 브루트포싱할 수 있도록 잠재적으로 허용하는 꼴입니다. PBKDF2란 Password-Based Key Derivation Function이며, SHA-1 해시..

국내외 보안동향 2016. 9. 28. 13:40