안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 사용자 계정정보를 탈취하는 네이버 피싱 사이트가 지속적으로 발견되고 있어 사용자들의 주의가 필요합니다. 해당 피싱 사이트는 유명 커뮤니티 게시판에 자극적인 문구로 유포되며 사용자들의 클릭을 유도합니다. [그림1] 자극적인 문구의 피싱 사이트 유포 게시글 사용자가 자극적인 문구와 같이 적혀있는 링크를 클릭 시 음란 동영상 재생 화면으로 위장한 피싱 사이트로 연결됩니다. [그림2] 동영상 재생 화면으로 위장한 피싱 사이트 사용자가 동영상을 재생하기 위하여 재생버튼을 클릭하면, 연령확인이 필요한 서비스라는 문구와 함께 네이버 계정 정보를 요구합니다. [그림 3] 네이버 피싱 사이트 만약 누군가 음란 동영상을 보기 위해 해당 페이지에 계정정보를 입력한..

악성코드 분석 리포트 2018. 11. 1. 11:08

사이버 위협, 그리고 보안 패러다임의 변화 사이버 위협은 점차 다양한 방식으로 그리고 고도화된 방법으로 계속되고 있습니다. 무엇보다 공격자들은 단순 공격을 위한 공격이 아닌, 일종의 목표와 방향을 가진 끈질긴 공격을 수행하고 있습니다. 공격의 배후에는 분명 인간이 존재하긴 하나, 과거와 달리 공격자들은 더이상 한 개인이 아닌 단일 목표로 움직이는 전문적인 집단입니다. 때문에 복잡한 대규모 사이버 위협의 대응이 쉽지 않아진 것이 사실이지만, 그 시발점은 분명 악성코드라는 점은 간과할 수 없는 부분입니다. 현재 주목해야 할 부분은 '알려지지 않은 위협'이며, 기존의 수동적인 탐지와 대응만으론 알려지지 않은 위협의 존재 여부조차 알아내기 어렵다는 것은 누구나 동의하는 사실이 되었습니다. 이에따라 전세계적으로 ..

전문가 기고 2018. 10. 29. 21:30

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 백신업체인 비트디펜더가 갠드크랩 복호화툴을 공개한 가운데, 최근 갠드크랩의 최신 변종인 갠드크랩 5.0.5가 발견되어 사용자들의 주의가 필요합니다. ※ 관련글 보기 ▶ 갠드크랩(GandCrab) 랜섬웨어의 무료 복호화 툴 공개 돼▶ 이미지를 드롭하는 갠드크랩(GandCrab) 5.0.4 발견!▶ 멀버타이징 기법으로 유포 중인 갠드크랩(GandCrab) v5.0.3 주의!!▶ 비너스락커 조직이 유포중인 갠드크랩(GandCrab) v5.0.3 주의!▶ 갠드크랩(GandCrab) 랜섬웨어 5.0.1, 5.0.2 변종 지속적으로 유포 중! 이번에 발견된 갠드크랩 5.0.5버전은 이전에 발견되었던 갠드크랩들과 동일한 특징을 갖고 있습니다. 파일들을 암호화..

악성코드 분석 리포트 2018. 10. 29. 19:00

안녕하세요? 이스트시큐리티입니다. MS사의 Xamarin을 활용하는 또 다른 악성 앱이 등장하였습니다. 해당 앱은 구글 플레이스토어와 비슷한 이름과 아이콘을 사용하여 사용자를 속입니다. 지속적인 악성 행위를 위해서 앱의 아이콘을 숨기고 관리자 권한을 요구합니다. 또한, 원격 명령을 통해서 기기정보 탈취뿐만 아니라 문자기록, 주소록 등의 개인정보까지 탈취합니다. 무엇보다 가짜 사이트를 띄워 카드 관련 정보를 탈취합니다. 본 분석 보고서에서는 “Trojan.Android.Banker”를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 악성 행위 준비처음 악성 앱을 실행하면 사용자를 속이기 위해서 해당 앱의 아이콘을 숨기고 관리자 권한을 요구합니다. 관리자 권한을 허용하도록 유도하는 문구를 띄우고 관리자 권..

악성코드 분석 리포트 2018. 10. 25. 13:00

안녕하세요? 이스트시큐리티입니다. 최근 노스캐롤라이 주 잭슨빌에 위치한 수도사업소에 랜섬웨어 공격이 발생하여 시스템 운영이 마비되었습니다. 이 공격에 사용된 악성코드는 Ryuk 랜섬웨어로 밝혀졌습니다. 해당 랜섬웨어는 올해 초 유포되었던 Hermes 랜섬웨어의 변종으로 많은 유사성을 가집니다. 따라서, 본 보고서에서는 Ryuk 랜섬웨어의 악성 행위와 이를 예방하기 위한 방법에 대해 적고자 합니다. 악성코드 상세 분석 1. 프로세스 인젝션 사용자로부터 감염 사실을 은폐하기 위해 실행 중인 프로세스 중 임의로 선택하여 파일 암호화를 수행하는 코드를 인젝션합니다. 이 과정에서 ‘csrss.exe’, ‘explorer.exe’, ‘lsaas.exe’는 제외됩니다. 이는 시스템 안정성과 인젝션을 통한 탐지를 우회..

악성코드 분석 리포트 2018. 10. 23. 17:57

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 견적서 요청 내용의 악성 메일이 지속적으로 발견되어 사용자들의 주의가 필요합니다. 유사한 내용의 악성메일은 올해 3월부터 꾸준히 발견되고 있습니다. ※ 관련글 보기 ▶ 악성코드가 첨부된 무역 관련 악성 메일 주의 ▶ 상품 구매를 희망하는 내용의 악성 메일 주의 ▶ 상품 관련 내용으로 유포되는 악성 메일 주의 ▶ ‘견적 의뢰’ 제목의 악성 메일 주의 ▶ 제품 견적서 확인 내용으로 위장한 악성 메일 주의 ▶ ACE 압축 파일이 첨부된 악성 메일 주의 ▶ ‘견적 의뢰’ 제목의 악성 메일 주의 이번에 발견된 악성메일은 견적서 관련 내용으로 유포중에 있으며, 특이한 점은, 이전의 악성메일들과 다르게 수신회사의 도메인 주소를 메일 본문에 첨부해 놓았습니다..

악성코드 분석 리포트 2018. 10. 18. 09:41

안녕하세요? 이스트시큐리티입니다. 가을비가 내리던 지난주 어느 날, 알약크루 1기가 다시 한자리에 모였습니다. 발대식이 끝난 이후, 알약크루에게는 첫 번째(!) 팀 미션과 개인 미션이 주어졌는데요. 모든 알약크루가 개인 미션을 수행하는 동시에, 20명의 크루가 4개 팀으로 나뉘어 팀 미션을 진행했습니다. 9월 중순부터 10월 초까지 약 3주에 걸쳐 알약크루들이 열심히 진행한 미션 과정과 결과물을 함께 살펴보고, 피드백을 나누며, 실무자의 직무 강연까지 진행되었던 '알약크루 1차 정기모임' 현장으로 함께 가볼까요? Go Go! 다시 모인 알약크루 1기, 반가워요! 이스트시큐리티 서초 본사에서 진행된 알약크루 1차 정기모임은 때마침 새롭게 단장한 세미나실에서 진행되었습니다. 행사가 시작되기 전, 설레는 마음..

이스트시큐리티 소식/알약人 이야기 2018. 10. 11. 11:37

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 국내 실제 기업명을 사칭한 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다. ※ 관련글 보기▶ 암호화된 doc 파일이 포함된 악성 메일 유포 주의▶ 퍼블리셔(PUB) 파일이 첨부된 악성메일 주의▶ 사용자 정보 탈취 목적의 악성 파일이 첨부된 메일 주의▶ 계정 탈취 목적의 계약 체결 위장 악성 메일 주의 이번에 발견된 악성 메일은 ‘두산의 새로운 가격 문의’ 라는 제목으로 메일 본문에는 ‘상기 공사 관련 귀사 견적 의뢰 드립니다.’는 내용으로 첨부된 파일의 실행을 유도합니다. [그림 1] 수신된 메일 악성 메일에 첨부된 파일 ‘Technip FMC Project - EBSM PJT.rar’ 에는 실행 파일 있습니다. [그림 2] 첨부파일 ..

악성코드 분석 리포트 2018. 10. 5. 16:35