안녕하세요? 이스트시큐리티입니다. 몸캠 피싱을 이용한 안드로이드 악성 앱이 다시 기승을 부리고 있습니다. 몸캠 피싱은 음란한 화상 채팅을 빌미로 악성 앱 설치를 유도합니다. 해당 악성 앱은 몸캠을 진행하는데 필요한 필수 앱으로 사용자를 속이고 사용자의 기기에 저장된 전화번호부를 탈취, 이를 통하여 ‘사용자의 몸캠 이용 사실’을 지인들에게 알리겠다고 협박하여 금전을 갈취합니다.본 분석 보고서에서는 ‘Trojan.Android.InfoStealer’를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 유명 앱 사칭사용자를 속이기 위해서 ‘카카오스토리’ 아이콘을 사용하고, 앱 명으로 ‘Support’를 사용합니다. [그림 1] 유명 앱 사칭 2. 권한 요구사용자 기기의 SDK 버전을 확인하고, 그 버전이 23..

악성코드 분석 리포트 2018. 6. 21. 11:41

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 특정인 지칭과 상품 주문 제안 내용으로 위장한 악성 메일을 통해 GandCrab 랜섬웨어가 유포되고 있어 주의를 당부 드립니다. ※ 관련글 보기 ▶ 피고 소환장 통지서로 사칭한 GandCrab 랜섬웨어 유포 주의 ▶ 국내 대학 대상으로 갠드크랩 랜섬웨어 유포 중 ▶ 입사지원서로 위장하여 유포되는 GandCrab 랜섬웨어 주의 ▶ 악성 메일로 유포되는 GandCrab 2.1 랜섬웨어 주의 ▶ 실존 디자이너 명의를 사칭한 악성 메일로 GandCrab 랜섬웨어 국내 유포 주의 ▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의 ▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가 ▶ 국가 기관 및 기업 대..

악성코드 분석 리포트 2018. 6. 20. 09:46

안녕하세요? 이스트시큐리티입니다. 과거부터 공격자들은 백신 탐지를 우회하고 감염 사실을 은폐하기 위해 다양한 방법을 시도해왔습니다. 그중 프로세스 인젝션 기법을 통한 백신 탐지 우회는 Process Hollowing, SetWindowsHookEx등 방법을 전형적인 방법을 통해 이루어져왔습니다. 하지만 이러한 기법들은 오랜 기간 사용되었기 때문에 백신 회사들로부터 인젝션 탐지 연구가 진행되어 악성코드 탐지율이 높아졌습니다. 이에 따라 최근 기존에 사용되어 왔던 프로세스 인젝션 기법이 아닌 Atombombing , Process Doppelganging, early bird등 새로운 기법들이 등장하였으며 이러한 기법들은 정보 탈취 악성코드, 랜섬웨어 등 다양한 유형의 악성코드에서 발견되고 있습니다. 따라서..

악성코드 분석 리포트 2018. 6. 19. 18:19

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 국내에 지속적으로 상품 관련 내용으로 악성 메일이 유포되고 있어 주의를 당부드립니다. 이번에 발견된 악성 메일은 상품 출고 지연 내용과 함께 선적 서류로 위장한 첨부 파일 실행을 유도하는 내용을 담고 있습니다. [그림 1] 상품 출고 지연 내용의 악성 메일 첨부파일에는 악성 실행 파일 'Shipping Documents.exe'가 있습니다. [그림 2] 첨부파일 'Shipping Documents.rar' 이용자가 파일 이름만 보고 선적 관련 서류라고 생각해서, 파일을 실행할 경우 악성코드가 실행됩니다. 'Shipping Documents.exe'는 .NET로 제작되어 있으며, 자기 자신을 자식 프로세스로 실행한 뒤, 정보 탈취 기능을 수..

악성코드 분석 리포트 2018. 6. 18. 16:36

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근, 국내 시중 은행의 이름을 도용한 PDF 첨부파일 이미지가 포함된 계정 탈취 목적의 악성 메일이 특정 기업에서 발송한 것처럼 사칭해 국내에 유포되고 있어 주의를 당부드립니다. 이번 메일은 '송장 지급 유월 2018 KRW12,450,804' 제목으로 상품 운송장인 것처럼 위장하였습니다. 이번 이메일에서는 제목에 '6월' 대신 한글 '유월'로 적어 한국인이 보낸 것처럼 보이려고 한 점이 특징입니다. [그림 1] 상품 운송장으로 위장한 악성 메일 메일에 첨부 파일은 존재하지 않지만, '첨부 파일 다운로드'로 위장한 이미지로 피싱 사이트 접속을 유도합니다. 다음은 피싱 사이트 접속을 유도하는 이미지 화면입니다. [그림 2] '첨부 파일 다운로드..

악성코드 분석 리포트 2018. 6. 15. 09:31

안녕하세요? 이스트시큐리티입니다. Threat Inside의 딥러닝 엔진을 비롯, 이스트시큐리티 제품들의 기반 인공지능 기술들을 연구하는 이스트소프트의 A.I. PLUS Lab에서 출원한 '신경망 학습 기반의 변종 악성코드 탐지 기술 관련 특허'가 올해 드디어 등록이 완료 되었습니다! (등록번호 10-1863615 (2018.05.28)) ※ 발명의 명칭:신경망 학습 기반의 변종 악성 코드를 탐지하기 위한 장치, 이를 위한 방법 및 이 방법을 수행하기 위한 프로그램이기록된 컴퓨터 판독 가능한 기록매체 기쁜 소식을 발명 담당자분들과 진행한 인터뷰를 통해 좀 더 자세하게 들을 수 있었습니다. '신경망 학습 기반의 변종 악성코드 탐지 기술' 특허 발명자 3인방 1. 먼저 특허 획득을 축하 드립니다. 소감이 어..

이스트시큐리티 소식/알약人 이야기 2018. 6. 1. 11:18

■ 대북 분야 표적의 APT 공격 '물탱크 작전(Operation Water Tank)' 배경 안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 2018년 04월부터 05월까지 한국의 외교·안보·통일 분야의 연구를 수행하는 싱크탱크(Think Tank) 기관 및 대북단체, 군 관련 웹 사이트를 상대로 한 은밀한 워터링 홀(Watering Hole) 공격이 수행되었습니다. ※ 싱크탱크(Think Tank) 고유 전문 분야의 조사·분석·연구를 조직적으로 결집해 수행하고, 그로 인한 개발성과를 제공하는 것에 목적을 가진 연구집단을 의미하며, 주로 국가의 정책이나 기업의 경영전략을 연구한다. ※ 워터링 홀(Watering Hole) 공격 육식동물인 사..

악성코드 분석 리포트 2018. 5. 31. 11:16

안녕하세요? 이스트시큐리티입니다. 통합 백신 '알약'이 올해 4월 실시한 VB100 테스트에서 또 다시 인증을 획득하여 제품의 우수한 성능과 안정성을 인정받았습니다! 이번 테스트는 알약 3.0 버전으로 Windows7과 Windows10 환경에서 진행되었습니다. 알약은 지난 2011년부터 VB100 인증을 꾸준히 획득해 왔는데요, VB100은 영국 국제공인 보안평가기관 '바이러스 블러틴'(Virus Bulletin)에서 수여하는 대표적인 보안 인증으로, ICSA 인증, 체크마크와 함께 세계 3대 보안 인증으로 손꼽힙니다. 악성코드 샘플 집합인 와일드리스트(Wild List)를 단 한번의 오진 없이 100% 진단하고 탐지해야만 테스트 통과가 가능합니다. 2018년 4월, 이스트시큐리티 '알약'의 VB100..

이스트시큐리티 소식 2018. 5. 31. 09:45