안녕하세요? 이스트시큐리티 위협인텔리전스 전문조직인 시큐리티대응센터 (이하 ESRC)입니다. 마치 한국의 유명 취업전문 웹 사이트의 채용 공고와 지원문의로 교묘하게 위장된 갠드크랩 (GandCrab) 랜섬웨어(Ransomware) 이메일이 국내에 급속도로 전파되고 있으며, 실제 감염 피해 보고까지 속출하고 있어 기업의 채용 및 인사담당자들의 각별한 주의가 요망됩니다. 이 공격자(해커)는 2016년 말부터 한국의 특정기관 및 기업, 고유 커뮤니티에 속한 개인들을 상대로 약 1년 넘게 랜섬웨어 유포를 수행하고 있습니다. 그런 가운데 며칠 전부터 국내 취업전문 웹 사이트의 채용정보에 기재된 기업 내 인사담당자의 이메일로 집중 공격을 수행하고 있어 피해가 연이어 보고되고 있는 실정입니다. 이전에는 주로 이메일에..

악성코드 분석 리포트 2018. 5. 11. 10:05

안녕하세요? 이스트시큐리티 위협인텔리전스 조직인 시큐리티대응센터(이하 ESRC)입니다. 지난 2016년 12월부터 유창한 한글 이메일로 한국에 집중적으로 유포했던 비너스락커(VenusLocker) 랜섬웨어 유포 조직이 2018년 현재까지도 지속적인 공격을 수행하고 있습니다. 최근에는 갠드크랩(GandCrab) 랜섬웨어 시리즈가 유포에 주로 활용되고 있습니다. 그동안 공격자는 웹 디자인 분야에 종사하는 실존 디자이너나 작가를 교묘히 사칭해 이미지 파일에 대한 저작권법 위반 및 무단 도용에 대한 항의로 가장하거나, 특정 실명을 거론하며 마치 입사지원서로 사칭한 공격도 유행하고 있는 실정입니다. ※ 입사지원서로 위장하여 유포되는 GandCrab 랜섬웨어 주의http://blog.alyac.co.kr/1660 ..

악성코드 분석 리포트 2018. 5. 4. 11:12

안녕하세요? 이스트시큐리티입니다. 최근까지 사용자의 중요 파일을 암호화한 뒤 복호화를 대가로 비트코인을 요구하는 랜섬웨어가 꾸준하게 발견되고 있는 가운데 Saturn으로 불리는 새로운 랜섬웨어가 발견되었습니다. 이번에 발견된 Saturn 랜섬웨어는 파일을 암호화한 뒤 .saturn 확장자를 추가하고, Cerber 랜섬웨어와 마찬가지로 스크립트를 이용해 음성으로 감염 사실을 알리는 것이 특징입니다. 또한, 한글이 포함된 경로에 대해서는 암호화를 진행하지 않습니다. 암호화 대상 확장자는 총 162개로 이 중에는 비트코인 지갑 .wallet를 포함한 금융정보와 관련된 확장자가 포함되어 있습니다. 본 보고서에서는 Saturn 랜섬웨어를 상세 분석 하고자 합니다. 악성코드 상세 분석 1) 프로세스 실행 유무를 위..

악성코드 분석 리포트 2018. 3. 22. 16:30

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 세계적으로 Locky 랜섬웨어 유포 방식에 새로운 변화가 생기고 있습니다. 기존에는 주로 MS Word 'DOC' 파일의 매크로(Macro) 기능이나 'JS', 'JSE', 'Java', 'VBS' 등의 스크립트를 이메일에 첨부해 감염을 유도하는 기법을 사용했습니다. 그런데 최근 한달 사이에 MS Word의 매크로 기능이 아닌 DDE(Dynamic Data Exchange) 프로토콜을 활용해 대대적인 공격을 시작했습니다. DDE 프로토콜은 윈도우 운영체제에서 응용프로그램 간 데이터 전송을 위해 사용하는 프로토콜 입니다. [참고자료] https://msdn.microsoft.com/en-us/library/windows/desktop/ms6..

악성코드 분석 리포트 2017. 10. 31. 15:05

안녕하세요. 이스트시큐리티입니다. 최근 GlobeImposter 랜섬웨어의 유포가 빈번하게 발생하고 있습니다. 주로 스팸 메일을 통해 유입되는 것으로 보이며, 다양한 변종들이 지속적으로 등장하고 있습니다. 그 중에서도 암호화된 파일의 확장자를 .707으로 변경시키는 악성코드에 대해 상세 분석을 진행하고자 합니다. 악성코드 상세 분석 프로세스 전체 흐름도 다음은 GlobeImposter 랜섬웨어가 동작하는 방식에 대한 전체적인 흐름도입니다. 생성된 뮤텍스의 존재 여부에 따라 동작이 구분됩니다. [그림 1] GlobeImposter 랜섬웨어 프로세스 전체 흐름도 Image Hijacking 본 악성코드의 악성행위는 child process를 생성하여 Image Hijacking 후에 진행됩니다. Image ..

악성코드 분석 리포트 2017. 10. 27. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. Adobe Flash Player파일로 위장한 'Bad Rabbit'이라 불리는 랜섬웨어가 유포되었습니다. 최근 러시아, 우크라이나와 같은 동유럽의 일부 국가에서 감염이 확인된 상태이며 추가적으로 국내로 유입될 가능성도 있으므로 이용자들의 각별한 주의를 당부드립니다. hxxp://1dnscontrol.com/index.phphxxp://1dnscontrol.com/flash_install.php[표 1] 유포지로 알려진 사이트 'Bad Rabbit’ 랜섬웨어는 파일과 디스크를 암호화하여 감염된 사용자에게 비트코인 결제를 요구합니다. 다음은 Bad Rabbit의 전체 흐름도입니다. [그림 1] Bad Rabbit의 전체 흐름도 Dropper - ..

악성코드 분석 리포트 2017. 10. 25. 11:03

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 'asasin'으로 확장자를 변경하는 Locky 랜섬웨어 변종이 악성 메일 등을 통하여 국내외로 다수 유포되고 있는 정황이 포착되어 이용자들의 주의를 당부드립니다. ※ 관련 글 - 이메일 VBS 첨부파일을 통해 Locky 랜섬웨어 귀환 ▶ 자세히 보기 이번에 Locky 랜섬웨어 유포에 활용된 이메일은 'Invoice INV0000809' 제목과 함께 'Send from my iPhone' 내용을 포함하고 있습니다. 이는 iPhone에서 보낸 송장(Invoice)으로 위장하기 위함으로 보여집니다. [그림 1] Locky 랜섬웨어 유포에 사용된 악성 메일 이용자가 이메일에 첨부된 압축 파일 'Invoice INV0000809.7z'에는 'In..

악성코드 분석 리포트 2017. 10. 11. 14:41

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 2017년 09월 26일부터 올크라이(AllCry)라는 이름의 랜섬웨어가 국내에 다수 전파되고 있어 각별한 주의가 필요합니다. 한국의 특정 ① 웹하드 설치 프로그램, ② 잠재적으로 불필요한 프로그램 (PUP:Potentially Unwanted Program) 등을 변조해 사용자 몰래 유포된 상태입니다. 따라서 해당 웹하드 프로그램의 서비스를 이용하고 있거나 불필요한 제휴/스폰서 프로그램이 설치된 경우 올크라이 랜섬웨어에 노출될 위험이 있습니다. 올크라이 랜섬웨어는 닷넷(.NET) 프로그래밍 기반으로 제작되어 있으며, 분석 및 탐지 회피 등을 위해 ".NET Reactor" 코드 프로텍터로 Packing 된 상태입니다. [그림 1] 올크라이 랜..

악성코드 분석 리포트 2017. 9. 30. 16:39