안녕하세요? 이스트시큐리티입니다. 최근 신종 ‘Sodinokibi’ 랜섬웨어가 발견되었습니다. 이번에 발견된 악성코드는 난독화된 자바스크립트가 Powershell을 실행하고 디코딩을 한 후 최종적으로 정상 프로세스에 랜섬웨어 파일을 주입하여 실행하는 형태입니다. 또한 로컬 시스템만 감염 시키는 것이 아니라 로컬과 연결된 네트워크 드라이브에 대해서도 암호화를 시도하고, C&C 서버에 사용자 정보를 전송합니다. 지속적인 변종이 등장할 가능성이 높은 만큼 사용자의 주의가 필요합니다. 따라서, 본 보고서에서는 Sodinokibi 랜섬웨어를 상세 분석하고자 합니다. 악성코드 상세 분석 1. 랜섬웨어 드로퍼이 악성코드는 여러 중간 과정을 통해 최종 랜섬웨어 PE파일을 드롭합니다. 이 과정은 자바스크립트 실행, 파워..

악성코드 분석 리포트 2019. 5. 21. 10:23

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 15일) 오전 '입사지원 합니다'라는 입사 지원서를 사칭한 피싱 메일이 유포되고 있어 채용 담당자분들의 주의가 필요합니다. 이번에 포착된 피싱 메일은 어제 발견된 견적 요청 메일에서 제목과 내용만 약간 수정되었을 뿐, 전반적으로 비슷한 형태를 띠고 있습니다. [그림 1] 입사지원서를 사칭한 피싱 메일 화면 해당 메일에는 '(OOO)이력서.alz'라는 '(지원자명)이력서' 형태의 제목을 가진 압축 파일(alz)이 첨부되어 있습니다.(지원자명의 경우 피싱메일에 따라 상이할 수 있습니다.) 채용 담당자가 해당 메일을 입사 지원서 관련 파일로 착각하여 압축 해제하면, 다음과 같이 PDF 문서(.pdf)를 위장한 악성 실행 파일이..

악성코드 분석 리포트 2019. 5. 15. 14:36

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 05월 14일) 오전 '견적 요청 드려요'라는 피싱 메일이 급격하게 다량으로 유포되고 있어 사용자들의 주의가 필요합니다. [그림 1] 견적 요청을 위장한 피싱 메일 화면 해당 메일에는 '견적요청.alz'라는 알집 파일(alz)이 첨부되어 있습니다. 해당 악성 파일을 견적요청 파일로 착각하여 압축 해제하면, 다음과 같이 MS Word 문서(.doc)를 위장한 악성 실행 파일이 들어 있습니다. [그림 2] MS Word 문서 파일을 위장한 악성 파일1 악성 실행 파일은 '견적요청.doc(빈공백).exe'이라는 이중 확장자 형태이며, 자세히 확인하지 않으면 해당 파일을 Word 문서 파일로 착각할 가능성이 높습니다. 또한, 큰 아이콘..

악성코드 분석 리포트 2019. 5. 14. 10:32

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 어제(4/29) 알약 행위기반 차단기능으로 수집된 신종 랜섬웨어 'Sodinokibi'가 발견되었습니다. Sodinokibi 랜섬웨어는 국내 URL을 통해 랜섬웨어를 감염시키며, 불특정 다수에게 대량으로 유포 중인 상태로 사용자들의 각별한 주의가 필요합니다. 이번에 발견된 신규 랜섬웨어는 Powershell 이용한 샘플도 발견되었습니다. 해당 악성코드는 사용자 PC의 파일을 .(영문숫자랜덤) 확장자로 파일을 암호화합니다. [그림 1] .(영문숫자랜덤) 확장자로 암호화된 파일 해당 랜섬웨어에 감염되면 아래와 같은 랜섬 노트를 사용자 PC에 생성하며 “Hello, dear friend” 또는 “Welcome. Again”으로 시작하는 문구와 함께 ..

악성코드 분석 리포트 2019. 4. 30. 14:53