Unpatched Microsoft Word DDE Exploit Being Used In Widespread Malware Attacks 마이크로소프트의 내장 기능을 악용하는 패치 되지 않은 공격 방식이 현재 광범위한 악성코드 공격 캠페인에 사용 되고 있는 것으로 나타났습니다. DDE 프로토콜은 마이크로소프트가 두 개의 실행 중인 프로그램들이 동일한 데이터를 공유할 수 있도록 하는 여러 방법들 중 하나입니다. 이 프로토콜은 엑셀, 워드, Quattro Pro, Visual Basic을 포함한 수 천개의 프로그램들에서 1회성 데이터 전송 및 지속적인 업데이트 교환 등을 위해 사용하고 있습니다. DDE의 익스플로잇 기술은 피해자에게 해당 응용 프로그램을 실행할지 묻는 것 이외에는 어떠한 “보안”경고도 표시..

국내외 보안동향 2017. 10. 23. 16:19

Cerber 랜섬웨어 Dridex 봇넷으로 급증CERBER RANSOMWARE ON THE RISE, FUELED BY DRIDEX BOTNETS Fireeye는 지난 4월부터 스팸을 통해 유포되는 Cerber 랜섬웨어가 급증한 것을 발견했습니다. 연구진들은 Cerber 랜섬웨어의 급증이 Dridex 금융 악성코드와 동일한 스팸구조를 띄고 있다고 밝혔습니다. Cerber 랜섬웨어는 2월 경 처음 발견되었으며, 랜섬 텍스트 메시지를 읽어주는 랜섬웨어로 잘 알려져 있습니다. 기존에는 Adobe Flash Player내 제로데이 취약점(CVE-2016-1019)을 이용한 Magnitude 및 Nuclear 익스플로잇 킷을 이용하여 유포하였습니다. 하지만 최근에 Cerber가 Dridex 봇넷과 연계된 스팸공격..

국내외 보안동향 2016. 5. 17. 09:00

Trojan.Ransom.LockyCrypt 분석보고서 악성파일 분석(zxcvb.exe) Locky 랜섬웨어는 최근에는 자바스크립트로 유포되고 있지만 이전에는 이메일에 word파일을 첨부하고 word파일을 실행하면 매크로가 포함되어 Locky 랜섬웨어를 다운로드 받게 되어 있었습니다. 문서파일을 실행하면 보안 경고가 뜨면서 매크로를 사용할지 나옵니다. [그림 1] 문서 파일에 포함되어 있는 매크로 매크로는 배열을 복호화 하여 명령어를 생성하며, 해당 명령어를 실행하면 파일을 다운로드 하고 실행하게 됩니다. [그림 2] doc파일에 포함되어 있는 VBA 매크로 문자열을 복호화하면 다음과 같은 명령어가 나오며, 특정 url에서 파일을 다운로드 받는 것을 알 수 있습니다. [그림 3] 복호화된 명령어 현재는 ..

악성코드 분석 리포트 2016. 4. 5. 09:32

Locky 랜섬웨어에 대하여 알아보자! Locky 랜섬웨어란? Locky 랜섬웨어는 파일들을 암호화 한 후 .locky 확장자 명으로 바꿔 Locky 랜섬웨어라 명명되었습니다. Locky 랜섬웨어는 2월 중순에 처음 등장하였으며, 국내에서도 활개를 치고 있습니다. 주로 이메일 첨부파일 형태로 유포되며 초반에는 악성 매크로가 포함된 워드 문서로 유포되었지만, 최근에는 JS파일을 위장하여 유포되고 있는 경우가 훨씬 더 많이 발견되고 있습니다. 해당 JS 파일을 클릭하게 되면, 공격자가 미리 설정해 둔 사이트에 접속하여 Locky 랜섬웨어를 내려받고 실행시킵니다. Locky 랜섬웨어는 로컬 파일뿐만 아니라 네트워크 공유 폴더의 파일들도 RSA-2014, AES-128 알고리즘으로 암호화 하며, 암호화 한 파일..

안전한 PC&모바일 세상/PC&모바일 TIP 2016. 4. 5. 09:32

Dridex 제작자들이 만든 최신 Locky 랜섬웨어, 워드 doc 파일로 위장Locky ransomware, disguised in Word docs, latest from Dridex creators Locky라는 이름을 가진 랜섬웨어가 새로 발견되었습니다. 이 랜섬웨어는 Dridex 개발자들이 만든것으로 추정됩니다. (▶ Dridex 악성코드 분석보고서 보러가기) 이 랜섬웨어는 보통 이메일로 전파되며, 이 랜섬웨어가 포함된 MS워드파일은 대부분의 안티바이러스를 우회할 수 있는것으로 나타났습니다. 현재는 대부분의 안티 바이러스 제품들에서 탐지가 되지만, 최초 유포된 후 24시간 동안은 단 3개의 안티바이러스 제품들만이 탐지한 것으로 확인되었습니다. 이 랜섬웨어는 소셜 엔지니어링 기법을 두번 사용하는데..

국내외 보안동향 2016. 2. 18. 17:24