분석 정보/악성코드 분석 정보 370

[악성코드 분석] 한국 사용자의 호기심을 자극하는 KONNI Malware 분석

KONNI Malware 분석 1. 개요 최근 시스코 인텔리전스 그룹 탈로스에 의하여 KONNI 라고 명명된 악성코드가 발견되었다. 해당 악성코드는 사회적으로 관심을 가질만한 내용의 이메일을 보내 사용자들이 문서 파일인지 알고 내용을 열람 할 경우, 악성코드가 실행되도록 되어 있어 주의가 필요하다. 이번 보고서에서는 ‘KONNI’ 악성코드는 어떠한 동작을 수행하는지 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 How can North Korean hydrogen bomb wipe out Manhattan.scr 파일크기 266,752 byte 진단명 Trojan/W32.Konni.266752 악성동작 드롭퍼 구분 내용 파일명 winnit.exe 파일크기 104,960 byte ..

[악성코드 분석] 회사 메일을 이용한 피싱 메일 C&C 감염 주의

회사 메일을 이용한 피싱 메일 C&C 감염 주의 1. 개요 이메일 피싱 공격은 요즘 선행하는 악성코드의 공격 기법 중 하나이다. 대게 공격자는 악성코드를 성공적으로 실행시키기 위해, 업무와 관련되거나 사회적으로 이슈화되는 내용의 이메일을 보내어 공격 성공률을 높인다. 이러한 이메일 첨부파일에 한글 문서(.HWP) 로 위장한 C&C 악성코드가 있다면 감염된 PC는 원격지로부터 공격자의 명령을 받아 시스템을 자유자제로 조작하고 감시 당할 우려가 있다. 이번 보고서에서는 파일명 ‘美 사이버 보안시장의 현재와 미래.hwp’란 한글 문서에서 추가적으로 드롭되어 실행되는 C&C악성코드에 대하여 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 美 사이버 보안시장의 현재와 미래.hwp 파일크기 ..

[악성코드 분석] ‘게임 핵’ 으로 위장한 악성코드 감염 주의

‘게임 핵’ 으로 위장한 악성코드 감염 주의 1. 개요 ‘오토에임(AutoAim)’ 이란 오토와 조준 겨냥을 뜻하는 에임의 합성어로 FPS와 같은 게임에서 자동 조준을 해주는 게임 핵으로 알려져 있다. 이러한 오토에임 프로그램은 불법임에도 불구하고 몇몇 게임 유저의 호기심 등 때문에 사용되거나 만들어지고 있다.지난 달, 한 온라인 카페에서 오토에임으로 위장한 악성코드가 발견되어 문제가 되고 있다. 이번 보고서에서는 ‘오토에임’ 으로 위장 한 악성코드에 대하여 어떠한 동작을 하는지 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명Whindow.exe파일크기24,064 byte악성동작게임 계정 정보 탈취 2-2. 유포 경로최초 유포 경로는 밝혀지지 않았지만, 국내 한 온라인 커뮤니티 카페에서..

[악성코드 분석] 뱅킹 악성코드 Dyreza의 후속작, TrickBot 분석

TrickBot 분석 1. 개요 2014년도에 활발히 활동했던 뱅킹 악성코드 Dyreza의 후속작으로 보이는 악성코드 Trickbot이 발견되었다. 해당 악성코드는 아래 그림과 같이 'TrickBot'으로 뮤텍스를 생성하여 이러한 이름이 붙여졌으며, 본 보고서는 이 Trickbot을 분석하여 Dyreza의 후속작으로 판단하는 이유와 해당 악성코드의 목적을 알아본다. 2. 분석 정보 2-1. 파일 정보구분내용파일명TrickBot.exe파일크기412,160 byte진단명Trojan/W32.TrickBot.412160악성동작정보수집, 다운로드해쉬(MD5)F26649FC31EDE7594B18F8CD7CDBBC15 2-2. 유포 경로해당 악성코드는 Rig 익스플로잇 킷(Exploit-kit) 또는 악성 워드(Wo..

[악성코드 분석] Neutrino bot 분석

Neutrino bot 분석 1. 개요 봇넷(Botnet)은 네트워크에 연결되어 있으면서 제 3자에게 제어 권한을 빼앗긴 컴퓨터들의 집합을 말한다. 이러한 봇넷을 구성하는 봇(Bot)들은 공격자의 목적을 달성하기 위해 다양한 기능을 가지고 있으며, 주로 확장을 위한 추가 악성코드 다운로드와 DDoS(Distributed Denial of Service) 공격을 이루기 위한 flooding 공격 등 다양한 기능을 갖춘다. 해당 악성코드에서 다루게 될 Neutrino bot은 앞서 설명한 봇의 일종이며, 같은 이름을 가진 익스플로잇 킷(Exploit-kit) Neutrino EK를 활용하여 유포된다. 2. 분석 정보 2-1. 파일 정보구분내용파일명neutrino.exe파일크기274,432 byte진단명Tro..

[악성코드 분석] 금융정보 탈취 악성코드 분석

금융정보 탈취 악성코드 분석 1. 개요 분석한 악성코드는 추가로 드롭한 악성 DLL을 로드하도록 윈도우 시스템 DLL 을 변조하여, 금융 정보 탈취와 변조를 시도 한다. 또한, 온라인 금융거래 시에 MITB(Man-In-The-Browser) 공격을 수행하여 목적을 달성한다. MITB 공격이란, 금융거래 시 사용자와 제공자 사이에서 거래 문서의 무결성(특히, JavaScript 코드의 무결성 검사)을 확인하지 않아 문서가 변조 됐어도 거래가 가능한 취약점을 노려 거래 과정에서 암호화되지 않은 구간의 민감한 정보를 탈취, 변조하는 공격이다. 이번 보고서에서는 MITB 공격을 수행하는 금융 정보 탈취 악성코드를 상세 분석하였다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 PrimePC.exe 파일..

[악성코드 분석] 바이러스와 웜 형태의 악성코드 'Mamianune' 상세 분석

바이러스와 웜 형태의 악성코드 'Mamianune' 상세 분석 1. 개요 생물학에서 다루는 바이러스처럼 자기 자신을 다른 컴퓨터에 전염 시키는 특성을 갖고있는 바이러스(Virus) 악성코드는 다른 실행 파일에 코드나 파일 형태로 기생한다. 그렇기에 감염된 파일을 치료하기 위해선 감염 형태를 분석해야 한다. 본 보고서에선 바이러스와 웜 형태로 전파되는 악성코드 ‘Mamianune’의 감염 동작을 분석하고 바이러스들이 전파 되는 방식을 담았다. 2. 분석 정보 2-1. 파일 정보구분내용파일명Mamianune.exe파일크기20,027 Bytes진단명Virus/W32.Mamianune악성동작파일 바이러스다운로더 2-2. 유포 경로E-mail 웜 기능과 파일 바이러스 기능을 모두 가지고 있는 해당 악성코드의 특성..

[악성코드 분석] 목적이 불분명한 파일 바이러스 Sivis

목적이 불분명한 파일 바이러스 Sivis 분석 1. 개요 악성코드 개발 및 유포에는 대부분 직·간접적으로 이득을 취하기 위해서나 실력 과시와 보복을 하기 위해서 등 다양한 의도가 내포 돼있다. 그런데 이와 반대로 악성행위를 수행하지만 그 의도를 알 수 없는 악성코드가 종종 등장한다. 본 보고서에서 다루는 악성코드 sivis 또한 파일 바이러스 동작을 수행하지만 감염 동작 이외에는 어떤 악성 행위도 수행하지않아 개발 및 유포 목적을 파악하기 어렵다. 이 같은 악성코드를 분석하여 목적이 불분명한 다양한 악성코드의 존재를 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명sivis.exe파일크기13,312 bytes진단명Trojan/W32.Sivis.Gen악성동작파일 감염 2-2. 유포 경로해당..

[악성코드 분석] 최신 영화 파일로 위장한 악성코드 분석

최신 영화 파일로 위장한 악성코드 분석 1. 개요 토렌트는 P2P 프로토콜로 데이터를 주고 받게 해주는 프로그램으로, 사용자들이 인터넷상에서 파일을 직접 공유할 수 있어 콘텐츠, 소프트웨어 등의 불법 유포 경로로 사용되고 있다. 최근 들어 이러한 토렌트를 악용하는 사례가 꾸준히 나타나고 있어 사용자들의 주의를 요하고 있다. 이번 보고서에서는 토렌트 사이트에서 국내 영화 ‘마스터’로 위장해 유포된 악성코드에 대해 분석하였다. 2. 분석 정보 2-1. 파일 정보구분내용파일명마스터.2016.720p.BRRip.AVC.AAC IHSexE.mp4파일크기955,519,487 byte악성동작백도어네트워크59.***.***.46 2-2. 유포 경로해당 악성코드는 유명 토렌트 사이트에서 국내 영화 ‘마스터’로 위장 유포..

[악성코드 분석] 다운로더 악성동작 Tufik 바이러스 분석

다운로더 악성동작 Tufik 바이러스 분석 1. 개요 바이러스(Virus) 형태의 악성코드는 실행 파일에 코드나 파일 형태로 기생하므로 감염된 파일을 치료하기 위해선 감염 형태 분석이 필요하다. 본 보고서에서는 바이러스 형태 다운로더 악성코드인 ‘Tufik’을 분석하여, 바이러스들의 다양한 감염 형태 중 하나를 파악하고 파일 감염 진행 방식에 대해 다루었다. 2. 분석 정보 2-1. 파일 정보구분내용파일명tufik.exe파일크기41,472 Bytes진단명Virus/W32.Tufik악성동작파일 바이러스다운로더 2-2. 유포 경로해당 악성코드는 네트워크 활동을 통한 감염 시도가 발견되지 않았으므로, 감염된 컴퓨터에서 옮겨간 파일의 실행을 통하여 유포되었을 확률이 크다. 2-3. 실행 과정실행된 악성코드는 자..