2019/12 10

[악성코드 분석] 공정거래위원회 사칭 메일 악성코드 분석 보고서

1. 개요 최근 “전자상거래 위반행위 조사통지서(19.12.30)”라는 제목으로 공정거래위원회를 사칭한 이메일이 발견되었다. 해당 메일은 공정거래위원회 로고, 도장 등 실제 공문과 유사하며, 첨부된 압축 파일은 정상 문서파일처럼 위장하여 사용자의 실행을 유도하고 있다. 첨부파일은 두 개의 파일로 이루어져 있으며 각각 랜섬웨어, 정보탈취의 악성 행위를 수행하고 있어 사용자의 주의가 필요하다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 전산 및 비전산자료 보존 요청서(20191230))요청자료 꼭 준비부탁드립니다.exe 파일크기 583,680 bytes 진단명 Trojan/W32.InfoStealer.583680.C 악성 동작 정보 탈취 구분 내용 파일명 전산 및 비전산자료 보존 요청서(20191..

[랜섬웨어 분석] Mermaid 랜섬웨어

Mermaid 랜섬웨어 새롭게 등장한 Mermaid 랜섬웨어 감염 주의 1. 개요 최근 발견된 “Mermaid (Deniz Kızı)” 랜섬웨어는 KesLan 계열의 악성코드로 알려져 있으며, 다운로더 및 드롭퍼를 통해 “svchost.exe” 파일명으로 유포되고 있다. 해당 랜섬웨어는 터키어로 인어라는 뜻의 Deniz_Kızı라는 확장자 명을 암호화 한 파일에 덧붙이며, 복구 무력화와 작업관리자 비활성화 등 사용자의 정상적인 PC 사용을 방해하고 있어 주의가 필요하다. 이번 보고서에서는 “Mermaid” 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 svchost.exe 파일크기 2,499,072 bytes 진단명 Ransom/W32.DP-Mermaid.2499..

[악성코드 분석] Formbook 악성코드 분석 보고서

Formbook 악성코드 유포 주의 1. 개요 지난 2017년 10월경 미국과 국내에 항공, 국방, 제조 분야를 목표로 피싱 메일의 첨부파일을 통해 대량 유포되었던 ‘Formbook’ 악성코드가 최근까지도 활발하게 유포되고 있다. 해당 악성코드는 다크 웹에서 서비스 형 악성코드(MaaS)로 배포되고 있으며 현재 3.9 버전이 발견되어 지속적으로 버전 업그레이드가 되고 있는 정보 탈취형 악성코드 중 하나이다. 주로 피싱 메일의 첨부 파일을 통해 유포되며 정상프로세스에 인젝션되어 사용자의 계정 정보를 탈취하는 특징을 갖고있다. 이번 보고서에서는 ‘Formbook’ 악성코드의 주요 악성 동작에 대해 알아본다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 악성코드는 견적 요청서와 관련된 피싱 메..

[랜섬웨어 분석] TurkStatik 랜섬웨어

TurkStatik Ransomware감염 주의 1. 개요 “TurkStatik”로 불리는 랜섬웨어는 모든 드라이브를 대상으로 암호화한다. 이 중 디렉터리가 재배치 지점(ReparsePoint), 시스템(System) 및 숨김(Hidden) 속성을 지니면 암호화를 하지 않는다. 추가로 암호화의 주요 대상은 윈도우 실행 파일이 아닌 문서, 사진, 영상 및 코드 등이다. 암호화가 완료된 디렉터리에는 터키어로 작성된 랜섬노트가 생성되며 48시간 이내에 금액에 대한 협상을 요구한다. 따라서, 감염된 경우 상당한 주의가 필요하며, 상세한 금액은 알려지지 않은 상태이다. 이번 보고서에서는 “TurkStatik” 랜섬웨어의 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 “Tur..

[랜섬웨어 분석] Maoloa 랜섬웨어 분석

꾸준히 발견되고 있는 Maoloa 랜섬웨어 감염 주의 1. 개요 올해 초, 처음으로 등장한 Maoloa 랜섬웨어는 다양한 변종이 출현하며 현재까지도 꾸준히 발견되고 있다. 최근 발견된 Maoloa 랜섬웨어는 이전에 비해 특정 서비스를 비활성화 시키며, 일부 폴더 및 파일을 제외하고 모든 확장자를 암호화 대상하기 때문에, 감염 되었을 경우 사용자의 피해가 클 것으로 예상된다. 이번 보고서에는 최근에 유포 되고 있는 Maoloa 랜섬웨어 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다. 2-3. 실행 과정 Maoloa 랜섬웨어 실행 시, 시스템 재부팅 후에도 자동으로 실행 될 수 있도록 레지스트리에..

[랜섬웨어 분석] bigbosshorse 랜섬웨어 분석

bigbosshorse Ransomware감염 주의 1. 개요 최근 사용자 PC의 파일을 암호화한 후, “.bigbosshorse”라는 확장자를 추가하는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 볼륨 섀도우 복사본을 삭제하여 복구를 무력화한 후, .testxx 확장자와 Windows 폴더를 제외한 모든 파일의 암호화를 진행한다. 또한, 국내에서 해당 랜섬웨어가 발견된 만큼 주의를 기울일 필요가 있다. 이번 보고서에서는 “bigbosshorse” 랜섬웨어의 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 “BigBossHorse” 랜섬웨어가 실행되면 가장 먼저 사용 언어를 확인한 후, 아르메니아 등 6개국에 해당하는 언어를 사용 중인 경우 프로그램을 종료한다. 이후 복구..

[월간동향]2019년 11월 악성코드 통계

2019년 11월 악성코드 통계 악성코드 통계 악성코드 Top20 2019년11월(11월 1일 ~ 11월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 676,542 건이 탐지되었다. 악성코드 유형 비율 11월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Trojan(트로잔)이 67%로 가장 높은 비중을 차지하였고, Exploit(익스플로잇)과 Virus(바이러스)가 각각 25%와 4%, Worm(웜)과 Backdoor(백도어)이 각각 2%, 1%씩으로 그 뒤를 따랐다. 악성코드 진단 수 전월..

11월 랜섬웨어 동향 및 MainBat 랜섬웨어 분석보고서

1. 11월 랜섬웨어 동향 2019년 11월(11월 01일 ~ 11월 30일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 Nemty 랜섬웨어가 스팸메일을 통해 다수 유포 되었다. 해외에서는 스페인 컨설팅 회사인 Everis가 랜섬웨어 공격을 받았으며, 미국의 웹 호스팅 회사 SmarterASP.NET가 랜섬웨어 공격으로 웹사이트 기능이 마비된 사건이 있었다. 이번 보고서에서는 11월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 11월 등장한 MainBat 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 소식 Nemty 랜섬웨어 유포 사례 11월 한달 동안 Nemty 랜섬웨어가 ‘공정거래위원회’나 ‘입사지원서’로 위장하여 첨부파일을 포함한 스팸메일 형태로 유포 되었다...

[랜섬웨어 분석] DEATH 랜섬웨어 분석

확장자를 변경하지 않는 DEATH Ransomware 감염 주의 1. 개요 최근 ‘DEATH Ransom’이라고 불리는 새로운 랜섬웨어가 발견되었다. 초기에 발견된 ‘DEATH’ 랜섬웨어는 파일 암호화를 진행하지 않았지만 이번에 발견된 ‘DEATH’ 랜섬웨어는 파일 암호화를 진행하며 일반적인 랜섬웨어와 다르게 암호화된 파일의 확장자를 변경하지 않는 특징을 갖고 있다. 이번 보고서에서는 ‘DEATH Ransomware’에 대하여 알아본다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 현재 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 피싱메일, P2P 사이트를 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 해당 랜섬웨어가 실행되면 사용자 PC에서 특정 폴더와 파일을 제외..

[악성코드 분석] Sorano Stealer 악성코드 분석 보고서

사용자 정보를 탈취하는 Sorano Stealer 1. 개요 최근, 사용자 정보를 탈취하는 악성 코드가 등장하였다. 기존의 Stealer 와 유사하지만, 안티바이러스 정보를 포함하여 소프트웨어 DB 정보와 스크린 사이즈 등 광범위한 데이터를 탈취한다. 이러한 악성 공격은 이차적인 피해를 유발할 수 있기 때문에 큰 주의가 필요하다. 이번 보고서에는 최근 등장한 Sorano Stealer 에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 악성코드와 같이 이메일을 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 Sorano Stealer 이 수행한 악성 동작에 대해 저장되어있는 ‘C:\ProgramData\debug.txt..