잉카인터넷 시큐리티대응센터 블로그

화제의 여객기 사고 관련 정보로 위장한 피싱 메일 주의 1. 개요 얼마 전, 외국 보안 회사 360 Threat Intelligence Center 에서 트위터를 통해 보잉 737 여객기 추락 사고와 관련된 피싱 메일 캠페인이 발견되었다고 발표하였다. 피싱 메일에는 “다크웹에서 보잉 여객기 사고와 관련된 정보가 유출되었다.” 라고 언급하며 정보 탈취 기능을 가진 악성 첨부 파일을 실행하도록 유도하고 있다. 이 중 일부 메일은 국내 회사를 표적으로 발송되어 주의가 필요하다. 이번 보고서에서는 보잉 여객기 피싱 메일의 악성 동작에 대해 알아보고자 한다. 출처 : https://twitter.com/360TIC/status/1106524508612026369 2. 분석 정보 2-1. 파일 정보 구분 내용 파일..

헌법 재판소를 사칭한 메일 주의 1. 개요 최근, 글로벌 기업이나 공공기관을 사칭한 메일이 유포 되어 사용자들의 피해사례가 증가 하고 있는 가운데 이번에는 헌법재판소를 사칭한 메일이 유포되어 실제 헌법재판소 민원실에 많은 문의 전화가 오고 있는 것으로 알려진다. 이번 보고서에는 최근에 발견 된 헌법 재판소를 사칭한 메일에 대해서 간략히 알아보고, 피해를 예방하고자 한다. 2. 분석 정보 2-1. 유포 경로 해당 파일은 헌법 재판소를 사칭해서 첨부파일 형태로 유포 된다. 헌법 재판소에 출두해야 한다는 메일 내용과 함께, 첨부파일을 주의 깊게 읽으라는 내용을 포함하고 있다. 메일 내용이 자연스럽지 못한 것으로 보아 외국어로 제작된 후 한국어로 번역되어 유포 되었을 것으로 추정된다. 2-2. 파일 정보 현재 ..

nProtect KeyCrypt 관련 파일로 위장한 다운로더 주의 1. 개요 얼마 전, 자사에서 개발한 nProtect KeyCrypt 제품과 관련된 파일로 위장한 악성 파일이 발견되었다. 해당 파일은 자사에서 개발한 파일 중 하나인 “npkpdb.dll” 로 위장한 파일 정보를 가지고 있으나, 실제로는 다른 악성 파일을 다운로드하여 실행하는 exe 파일이다. 또한 Adobe, Mozilla 재단과 같이 유명 기업에서 개발한 파일로 위장한 유사 샘플이 존재하기 때문에 주의가 필요하다. 이번 보고서에서는 정상 기업 파일로 위장한 다운로더의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 158,040 bytes 진단명 Trojan/..

애플(Apple) 제품 구매 확인서를 사칭한 피싱 메일 주의 1. 개요 최근 애플(Apple) 제품 구매 확인서를 사칭한 피싱 메일이 유포되고 있다. 2018년 하반기, 애플을 사칭하여 사용자 계정정보를 탈취하는 메일이 유포 된 적이 있으나 최근에 다시 등장하여 사용자의 주의를 요한다. 해당 메일은 애플 제품의 구매 확인서를 사칭해서 pdf 파일을 첨부 하고 있으며 피싱사이트로 유도하여 사용자 정보를 노린다. 이번 보고서에는 최근에 발견 된 애플을 사칭한 피싱 메일에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 Invoice Receipt #4658421.pdf 파일크기 684,668 bytes 진단명 Trojan/W32.Pidief.684668.E 악성동작 사용자 계정..

저장된 로그인 정보를 탈취하는 악성코드 감염 주의 1. 개요 최근 사용자의 웹 브라우저, 이메일 클라이언트 로그인 정보를 탈취하는 악성코드가 지속적으로 유포되고 있다. 사용자 PC에 저장된 로그인 정보를 수집하기 위해 패스워드 뷰어 프로그램을 악용하고 있으며, 백신 프로그램을 우회하고 사용자 모르게 악성파일을 다운받기 위해 hta 파일을 이용한다. 이번 보고서에서는 저장된 로그인 정보를 탈취하는 악성코드의 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 임의의 문자열.exe 파일크기 8,358 bytes 진단명 Trojan-Exploit/RTF.2017-11882 악성동작 악성코드 다운로드 구분 내용 파일명 PES.exe 파일크기 1,362,576 bytes 진단명 T..

광고성 스팸메일을 발송하는 악성코드 주의 1. 개요 광고성 스팸메일을 발송하는 악성코드는 도박, 성인 광고 스팸을 불특정 다수에게 자동으로 대량 발송한다. 광고성 스팸 발송 악성코드를 이용해 스팸 메일을 발송하는 특정 SMTP 서버의 주소를 국내 유명 통신사의 메일 주소로 속여서 국내 통신사가 사용자에게 스팸 메일을 보낸 것처럼 위장한 사례가 있다. 이번 보고서에서는 자동으로 광고성 스팸메일을 발송하는 악성코드의 동작에 대해 알아본다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 임의의 문자열.exe 파일크기 223,744 bytes 진단명 Trojan/W32.Spamer.223744 악성동작 광고성 스팸메일 발송 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 악성코드의 유..

트위터 이미지 이용한 악성 프로그램 감염 주의 1. 개요 얼마 전 트위터에 업로드한 이미지를 활용하여 악성 동작 명령을 받는 악성 프로그램이 발견되었다. 이 프로그램은 특정 트위터 계정의 이미지를 다운로드한 후, 이미지 내부에 저장된 명령을 추출하여 그에 따른 악성 동작을 실행한다. 문제가 되는 계정은 현재 정지된 상태지만 유사한 방식으로 동작하는 프로그램의 존재 가능성이 있기 때문에 주의가 필요하다. 이번 보고서에서는 트위터 이미지를 이용한 악성 프로그램의 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 svghost.exe 파일크기 35,840 bytes 진단명 Trojan-Dropper/W32.DN-InfoStealer.35840 악성동작 파일 드랍 및 프로세스 ..

사용자 로그인 계정 정보를 탈취하는 악성코드 감염 주의 1. 개요 최근 사용자의 PC에서 웹 브라우저에 저장된 로그인 계정 정보를 탈취하는 악성코드가 발견되었다. 그뿐만 아니라 비트코인 지갑 정보와 특정 응용프로그램의 사용자 계정 정보까지 탈취한다. 이번 보고서에서는 사용자의 로그인 계정 정보 및 비트코인 지갑 정보를 탈취하는 악성코드의 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 263,533 bytes 진단명 Trojan-Exploit/RTF.CVE-2017-11882 악성동작 다운로더 구분 내용 파일명 INVOICE.exe 파일크기 115,200 bytes 진단명 Trojan-PSW/W32.DP-infoStealer.11520..

1. 개요 최근 리눅스 커널의 취약점을 이용하여 관리자 권한을 탈취하는 Dirty Cow 취약점(CVE-2016-5195)을 사용한 악성 파일이 유포되고 있다. 해당 샘플에 감염될 시 가상화폐 채굴기로 이용될 뿐만 아니라 감염 PC 의 통신 기록을 참고하여 감염 대상을 늘리는 기능이 있기 때문에 주의가 필요하다. 이번 보고서에서는 Dirty Cow 취약점을 이용하는 백도어 프로그램의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 프로그램은 SSH 통신을 이용한 감염 기능을 포함하고 있으며, 이에 따라 SSH 통신을 통해 유포되고 있을 것으로 추측된다. 2-3. 실행 과정 악성 셸 스크립트를 실행하면 가장 먼저 감염 PC 의 시스템 정보를 읽어 감염 동작에..

한글 문서에 포함된 매크로 악성코드 분석 1. 개요 한글 문서의 스크립트 매크로 기능은 사용자가 정의하는 키보드와 마우스 동작을 특정 단축키에 기록하여 매크로로 이용할 수 있는 기능이다. 악성코드 제작자는 이 기능을 악용하여 조작된 HWP 파일을 피싱 메일을 통해 유포하고, 사용자가 조작된 한글 문서를 열람할 때 악성코드가 실행되도록 만든다. 이번 보고서에서는 한글 문서에 포함된 매크로 악성코드에 대해 알아본다. 2. 한글 문서의 스크립트 매크로 기능 한글 프로그램에서 사용자가 정의한 매크로는 ‘도구 탭 – 매크로 - 스크립트 매크로 정의’에서 코드 편집이 가능하다. Document 내용에 코드를 작성하면 한글 문서를 열람할 때 스크립트가 실행된다. 이렇게 매크로 스크립트가 삽입된 한글 문서를 사용자가 ..