안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 어제(4/29) 알약 행위기반 차단기능으로 수집된 신종 랜섬웨어 'Sodinokibi'가 발견되었습니다. Sodinokibi 랜섬웨어는 국내 URL을 통해 랜섬웨어를 감염시키며, 불특정 다수에게 대량으로 유포 중인 상태로 사용자들의 각별한 주의가 필요합니다. 이번에 발견된 신규 랜섬웨어는 Powershell 이용한 샘플도 발견되었습니다. 해당 악성코드는 사용자 PC의 파일을 .(영문숫자랜덤) 확장자로 파일을 암호화합니다. [그림 1] .(영문숫자랜덤) 확장자로 암호화된 파일 해당 랜섬웨어에 감염되면 아래와 같은 랜섬 노트를 사용자 PC에 생성하며 “Hello, dear friend” 또는 “Welcome. Again”으로 시작하는 문구와 함께 ..

악성코드 분석 리포트 2019. 4. 30. 14:53

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 금일(2019년 4월 19일) ESRC에서는 비너스락커(Venus Locker) 그룹이 또다시 입사지원서를 위장한 갠드크랩 v5.2을 유포한 정황을 포착하였습니다. [그림 1] 입사지원서를 위장한 악성 메일 이미지 금일 발견된 입사지원서 사칭 메일 역시 지난 8일 발견된 입사지원서 사칭 메일과 동일하게 .egg 확장자의 알집 파일이 첨부되어 있었습니다. 또한, 발신자 주소로 한국에서 많이 사용하는 네이버를 사용했다는 점도 주목해 볼 만합니다. 최근 비너스락커(Venus Locker) 그룹은 알집 EGG 압축 포맷을 사용하여 변종들을 다량 유포하고 있는 중입니다. 첨부된 압축 파일을 해제하면 악성 파일을 PDF, JPG 1차 확장자로 위장하고 있..

악성코드 분석 리포트 2019. 4. 19. 13:30

RobbinHood Ransomware Claims It's Protecting Your Privacy 현재 활동 중인 새로운 랜섬웨어 RobbinHood가 발견되었습니다. 이 랜섬웨어는 네트워크 전체를 노리며 접근 가능한 모든 컴퓨터를 암호화시킵니다. 이후 감염된 컴퓨터 한 대 또는 감염된 네트워크 전체의 암호화를 해제하는 조건으로 비트코인을 요구합니다. 현재 이 랜섬웨어에 대해 알려진 사실은 많지 않으며, RobbinHood의 샘플 또한 발견되지 않았습니다. 하지만 피해자들로부터 랜섬노트 및 암호화된 파일을 얻어, 이 랜섬웨어가 어떻게 작동하는지 추측할 수 있었습니다. 특이한 점은, 피해자의 프라이버시를 중요하게 생각하여 돈을 지불한 피해자가 누구인지 공개하지 않을 것이라고 강조한다는 점입니다. Ro..

국내외 보안동향 2019. 4. 15. 10:04

New Iot Botnet Torii Uses Six Methods for Persistence, Has No Clear Purpose 보안 연구원들이 Mirai 변종보다 우월한 수준의 새로운 IoT 봇넷을 발견했습니다. 이 봇넷의 개발자들은 CPU 아키텍쳐 다수용 바이너리를 제작하여 스텔스 및 지속성을 위해 악성코드를 조정했습니다. C&C 서버와의 통신은 암호화 되었으며, 추출 및 명령 실행 등의 기능을 포함하고 있습니다. Avast의 연구원들에 따르면, 이 악성코드는 지난 2017년 12월부터 활동해왔으며 MIPS, ARM, x86, x64, PowerPC, SuperH 등의 CPU 아키텍쳐 기기들을 노립니다. Mirai 기반의 위협들 사이에서 멀티 플랫폼 지원은 흔한 것이지만, 연구원들은 Torii..

국내외 보안동향 2018. 9. 28. 15:49

윈도우 토르 클라이언트에서 (히든 서비스로 알려진) 토르 어니언 서비스 이용하기 1. 토르 전문가 번들(토르 브라우저도 가능)을 다운로드합니다. 2. 아래와 같이 토르 구성 파일 torrc를 생성합니다. HiddenServiceDir C:\demo\Tor\serviceHiddenServicePort 8662 127.0.0.1:12345 3. 토르가 시작되면, 폴더(C:\demo\Tor\Service)가 생성되고 파일 몇 개가 생성됩니다(호스트네임 파일에는 토르 어니언 서비스에서 생성한 .onion 주소가 포함됩니다). - 어니언 서비스는 포트 8662에서 수신대기하고, 트래픽은 127.0.0.1:12345로 포워딩됩니다. - 이 서비스에 대해 클라이언트 인증을 할 수 있습니다(클라이언트 인증을 하지 않으..

국내외 보안동향 2018. 2. 28. 15:00

구글, Tor 연결 다수의 익명성을 제거할 수 있는 것으로 밝혀져If It Wanted, Google Could Deanonymize a Large Number of Tor Connections Tor Relay의 트래픽과 Tor의 exit 노드로부터 발생하는 HTTP, DNS 트래픽을 모니터링해 Tor 트래픽의 익명성을 제거하는데 사용될 수 있는 새로운 공격 메쏘드가 발견되었습니다. DefecTor이라 불리는 이 공격은, 보안 및 프라이버시 전문가들이 “Tor correlation attack(Tor 상관관계 공격)”이라 부르는 공격의 발전된 버전이라고 볼 수 있습니다. Tor correlation 공격은 오래전부터 연구되어 왔습니다. 이러한 유형의 공격은 글로벌한 공격자가 다양한 단서를 이용하여 토르..

국내외 보안동향 2016. 10. 5. 12:51

FBI가 취약점을 이용하여 Tor 사용자들을 공격하는 것에 대하여, Mozilla가 법원에 취약점 공개 요구를 하였다.Mozilla asks Court to disclose Firefox Exploit used by FBI to hack Tor users Mozilla는 현재FBI에게 FireFox 브라우저의 취약점을 공개하라는 고소장을 미국지역법원에 제출하였습니다. 이 취약점은 FBI가 Tor 브라우저 사용자의 신분을 밝혀내는데 이용되고 있습니다. 작년, FBI는 제로데이 취약점을 이용하여 Tor 브라우저를 공격하였고, 이를 통하여 아동포르노 홈페이지에 접속한 사용자들의 IP주소를 확보하였습니다. 현재 Mozilla는 정부가 FBI에게 자신들이 알고있는 취약점 정보 공개 요청을 해달라고 신청하였으며, ..

국내외 보안동향 2016. 5. 18. 16:46

Tor 브라우저의 Fingerprinting 많은 사용자들이 자신의 신분을 숨기려는 목적을 Tor 브라우저를 사용합니다. 사용자들이 웹 서핑을 할 때 생성되는 쿠키, 홈페이지 방문기록 및 사용하고 있는 브라우저에 존재하는 취약점, 브라우저 플러그인 등 다양한 원인들로 사용자의 신분이 노출될 수 있습니다. Tor 브라우저는 파이어폭스를 기반으로 만들어진 브라우저로, 사용자가 웹 서핑과정에서 사용자의 프라이버시를 숨길 수 있도록 개발된 브라우저 입니다. 예를 들어, 플러그인 사용 금지, 브라우저 종료 후에 저장되어 있던 캐쉬와 방문기록 자동 삭제 등을 다양한 방법을 통하여 사용자들의 프라이버시를 보호합니다. 사용자의 fingerprinting 문제 사용자의 ip를 숨기는 것은 사용자의 신분을 숨기는데 가장 ..

국내외 보안동향 2016. 4. 12. 10:14