안녕하세요? 이스트시큐리티입니다. 과거부터 현재까지 기업을 대상으로 한 악성코드들이 꾸준히 발견되고 있습니다. 이번에 발견된 악성코드는 감염 PC를 통해 네트워크 전파, 추가 파일 다운로더, 가상화폐 채굴 기능을 수행합니다. 이 악성코드는 SMB 취약점인 ‘MS17-010’을 통해 내외부 네트워크로 전파되는 것이 특징입니다. 특히 이 취약점은 과거 WannaCryptor 랜섬웨어에 사용되어 큰 피해를 입혔으며 지금까지도 취약점 패치되지 않은 PC를 대상으로 악성코드 전파 목적으로 사용이 되고 있습니다. 본 보고서에서는 앞서 언급한 기능을 수행하는 ii.dat, mn.dat 악성코드에 대해 각각 상세 분석하고자 합니다. 악성코드 상세 분석 이 파일은 감염 PC 정보 전송 및 다운로더 기능과 SMB 취약점을..

악성코드 분석 리포트 2019. 4. 26. 17:19

안녕하세요? 이스트시큐리티입니다. 구글 플레이스토어의 취약한 보안으로 인하여 플레이스토어를 통한 악성앱 유포가 빈번하게 발생하고 있습니다. 안드로이드를 사용하는 유저수가 많다는 것을 고려하면 매우 위험한 상황입니다. 이렇게 유포되는 악성앱의 목적은 정보 탈취, 스파이 행위, 금전 갈취 등으로 다양합니다. Trojan.Android.InfoStealer는 피해자의 스마트폰을 통한 암호화폐 탈취가 목적이며 탈취한 암호화폐를 금전으로 환전합니다. 2017년부터 세계적으로 암호화폐 열풍이 불어 많은 사람들이 암호화폐 거래를 시작하는 계기가 되었습니다. 이와 함께 해커들은 암호화폐를 노리는 공격을 시도하거나 랜섬웨어를 유포 후 피해자의 파일을 암호화하고 암호 해제 대가로 암호화폐를 요구하고 있습니다. 해커들이 암..

악성코드 분석 리포트 2019. 3. 25. 08:30

안녕하세요? 이스트시큐리티입니다. 2019년 2월, 기업에서 사용하는 중앙관리 서버(AD서버)를 주요 타깃으로 공격을 하는 랜섬웨어가 발견되었습니다. 개인이 아닌 기업들을 주요 공격 대상으로 하기 때문에 이미 한국 인터넷진흥원에서도 2월 22일 주의 공지를 게재한 적이 있습니다. 해당 악성코드에 감염되면 관리 서버에 연결된 모든 드라이브가 전부 암호화되고 유효한 인증서를 사용하기 때문에 사용자들의 각별한 주의가 필요합니다. [그림 1] 인증서 화면 따라서 본 보고서에서는 Clop 랜섬웨어의 악성 행위와 이를 예방하기 위한 방법을 알아보고자 합니다. 악성코드 상세 분석 1. 중복 실행 방지 중복 실행을 방지하기 위해 ‘Mutex’를 사용합니다. 뮤텍스의 이름은 ‘HappyLife^_.’이며, 만약 뮤텍스가..

악성코드 분석 리포트 2019. 3. 22. 11:31

안녕하세요? 이스트시큐리티입니다. 최근 사용자 PC를 감염시켜 사용자 정보를 탈취하는 Infostealer유형의 악성코드가 꾸준히 발견되고 있습니다. 이번에 발견된 악성코드는 분석 시스템 또는 분석가를 통한 분석을 회피하기 위한 기술들이 다수 적용되어 있습니다. 감염 PC의 분석 환경 구성 여부를 확인하여 악성 행위를 수행할 것인지 결정하는 것이 특징입니다. 이번 보고서에서는 해당 악성코드에 적용된 기술들과 악성 행위에 대해서 상세하게 알아보고자 합니다. 악성코드 상세 분석 1. 가상 환경 탐지 및 분석 회피 공격자는 악성코드 분석 시스템 또는 분석가를 통한 분석을 방해하기 위하여 가상 환경 탐지, 안티디버깅 등을 사용합니다. 이를 통해 분석 환경이 탐지되면 악성 행위를 수행하지 않고 종료합니다. 1) ..

악성코드 분석 리포트 2018. 11. 21. 13:00