'분석 정보'에 해당되는 글 682건
도쿄 올림픽 이슈를 악용한 와이퍼 악성코드
FBI가 2021년 도쿄 올림픽을 위장한 사이버 공격을 경고한 다음 날, 도쿄 올림픽 이슈와 관련한 파일 명을 지닌 악성코드가 발견됐다. (사진 출처 : https://www.ic3.gov/Media/News/2021/210719.pdf) 이번에 발견된 악성코드는 사용자 PC에서 파일을 삭제하는 악성코드이며 “도쿄 올림픽 개최에 따른 사이버 공격 등에 대한 피해 신고”라는 주제를 파일 명으로 사용했다. 파일 명 : [至急】東京オリンピック開催に伴うサイバー攻撃等発生に関する被害報告について.exe 해당 악성코드를 실행하면 [그림 3]과 같이 커맨드 창을 띄워 파일 삭제 등의 로그를 출력한다. 사용자 PC에서 이뤄지는 삭제 명령은 ‘사용자 폴더’ 하위의 모든 파일 및 폴더 중 [표 1]의 확장자를 지닌 파일을 대..
분석 정보/악성코드 분석 정보 | 2021. 7. 28. 15:40
[주간 랜섬웨어 동향] – 7월 3주차
잉카인터넷 대응팀은 2021년 7월 16일부터 2021년 7월 23일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 "MiniWorld" 외 4건, 변종 랜섬웨어는 "Dharma" 외 3건이 발견됐다. 또한, VMware의 ESXi 플랫폼을 대상으로 공격하는 "HelloKitty" 랜섬웨어의 변종이 등장했다. 2021년 7월 16일 Dharma 랜섬웨어 파일명에 ".id[사용자 ID].[공격자 메일].DLL" 확장자를 추가하고 "info.txt"라는 랜섬노트를 생성하는 "Dharma" 랜섬웨어의 변종이 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화하고 방화벽 사용을 해제한다. Stop 랜섬웨어 파일명에 ".zzla" 확장자를 추가하고 "_readme.txt"라는 랜섬노트..
분석 정보/랜섬웨어 분석 정보 | 2021. 7. 23. 16:22
안전 모드에서 실행되는 Crackonosh 코인 마이너
2018년에 처음 발견된 "Crackonosh" 악성코드가 최근 불법 게임 크랙판과 함께 유포되고 있다. "Crackonosh" 랜섬웨어는 PC의 안전 모드에서 실행되는 특징이 있으며 최종 페이로드인 "XMRig" 코인마이너를 이용해 사용자의 PC에서 불법적으로 모네로 암호화폐를 채굴한다. 또한, 드랍된 파일들을 이용하여 백신 프로그램을 삭제를 시도하거나 공격자의 C&C 서버에 연결을 시도한다. 1. 파일 드랍 게임 크랙 버전 설치 파일 "Crackonosh” 악성코드는 게임의 크랙 설치 파일로 유포되며 실행하면 서로 다른 동작을 수행하는 파일을 드랍한다. 2. 암호화폐 채굴 및 백신 프로그램 삭제 시도 Maintenance.vbs "Maintenance.vbs"는 커맨드를 통해 안전 모드에서 "serv..
분석 정보/악성코드 분석 정보 | 2021. 7. 21. 15:10
Facebook 계정 정보를 노리는 안드로이드 악성 앱
최근 Facebook 사용자의 계정 정보에 접근하는 안드로이드 악성 앱이 대량 등장하였다. 지금까지 밝혀진 바로 총 10개의 악성 앱이 발견되었고, 그 중 9개는 Google Play에서 구매 가능하여 수백 만 건 다운로드 되었다고 알려졌다. 해당 악성 앱은 정상 앱을 가장하며, 안드로이드용 Facebook SDK를 악용해 사용자의 로그인 정보를 획득한다. 하단의 이미지와 같이, 해당 앱은 동작하기 위해 사용자에게 Facebook 로그인을 요구한다. 위의 그림과 같이, 해당 악성 앱은 안드로이드용 Facebook SDK를 통해 AccessToken을 획득하고, 정상적으로 Redirection 받아와 사용자 단말기에 Facebook 로그인 화면을 띄운다. Access Token을 통해 권한을 획득하였기에 ..
분석 정보/모바일 분석 정보 | 2021. 7. 20. 11:26
PJobRAT 악성 앱 주의
최근, “WhatsApp” 아이콘을 사칭하는 악성 앱이 발견 되었다. 해당 악성 앱은 설치 시, “WhatsApp” 아이콘으로 보이지만 설치 된 앱 정보에서는 아래와 같이 “TrendbanterNew” 라고 다르게 되어 있다. “TrendbanterNew”는 “Trendbanter” 라는 앱을 위장한것으로 추정되며, “Trendbanter” 앱은 국내 사용자에게는 잘 알려지지 않았지만 인도를 대상으로 하는 소개팅, 결혼 매칭과 관련 된 앱이다. 해당 앱이 실행 되면 먼저, 사용자에게 여러가지 과도한 권한을 요구하며, 사용자가 이를 수락하면 단말기의 주요 데이터들을 탈취하여 원격지로 전송하기 때문에 주의가 요구 된다. Analysis PJobRAT은 사용자 환경의 정보들을 탈취하기 위해 Firebase 원..
분석 정보/모바일 분석 정보 | 2021. 7. 20. 11:12
[주간 랜섬웨어 동향] – 7월 2주차
잉카인터넷 대응팀은 2021년 7월 9일부터 2021년 7월 15일까지 랜섬웨어 신•변종 및 이슈와 관련하여 대응을 진행하였으며, 신종 랜섬웨어는 “Artis” 외 5건, 변종 랜섬웨어는 “Phobos” 외 4건이 발견됐다. 2021년 7월 9일 Artis 랜섬웨어 파일명에 “.artis” 확장자를 추가하고 “How to decrypt files.txt”라는 랜섬노트를 생성하는 “Artis” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. CovidLocker 랜섬웨어 파일명에 “.covid” 확장자를 추가하고 “How_To_Recover.mht”라는 랜섬노트를 생성하는 “CovidLocker” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 시스템 복원을 무력화한다. 2021년 7월 10일 InH..
분석 정보/랜섬웨어 분석 정보 | 2021. 7. 16. 17:52
Dropbox를 악용하는 악성코드
웹 기반의 파일 공유 서비스인 "Dropbox"의 기능을 악용한 악성코드 공격 사례가 발견되고 있다. "Dropbox"는 편리한 파일 공유를 지원하기 위해 "Dropbox API" 라는 기능을 제공한다. "Dropbox API"는 엑세스 토큰을 통해 인증을 거쳐 사용자의 계정과 연결할 수 있으며 텍스트 검색, 파일 업로드 및 다운로드 등의 작업을 지원한다. 그러나 최근 유포된 악성코드에서 해당 기능을 악용한 것이 발견되었으며, 실행된 악성코드는 공격자가 미리 설정한 “Dropbox” 계정과 통신하여 파일 다운로드, 정보 탈취 등의 악성행위를 수행하였다. BoxCaon 악성코드 유포 사례 4월 경, "IndigoZebra" 라고 알려진 해커 그룹이 아프가니스탄 정부 직원으로 가장하여 국가 안보 위원회 (N..
분석 정보/악성코드 분석 정보 | 2021. 7. 15. 14:26
시스템 복원
컴퓨터를 사용하던 중 악성코드에 감염되거나 실수로 시스템 파일을 삭제하는 경우, 예상하지 못한 오류나 문제로 인해 정상적으로 컴퓨터 사용이 어려울 수 있다. 이때 Microsoft Windows 에서 제공하는 "시스템 복원" 기능을 사용하여 시스템 설정을 복구 할 수 있다. 시스템 복원이란? "시스템 복원"은 소프트웨어 및 복구를 위해 Microsoft Windows에서 제공하는 도구로, 사용자는 "시스템 복원" 을 통해 시스템 파일, 레지스트리 등 시스템 설정을 이전 상태로 되돌릴 수 있다. 시스템 보호 설정 방법 "시스템 복원"을 사용하기 위해서는 “시스템 보호”와 “복원 지점”을 설정해야 한다. "시스템 보호"를 설정하기 위해서는 "시작 → 제어판 → 시스템 및 보안 → 시스템 → 시스템 보호" 순..
분석 정보/랜섬웨어 분석 정보 | 2021. 7. 15. 09:18