잉카인터넷 시큐리티대응센터 블로그

skype_utility.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 skype_utility.exe 파일크기 45,056 byte 진단명 Trojan/W32.Agent.45056.BXY 악성동작 스카이프 프로필 변경 / 등록 연락처 대상 스팸 메시지 발송 1.2. 분석환경 운영체제 Windows XP SP3 32bit (한글) 분석도구 PEview, OllyDbg , VB Decompiler ​ ​2. 분석정보​2.1. 수집 경로​본 악성파일은 메일로 수집되었다. 악성파일을 분석한 결과 스카이프(인터넷 음성통화, 메시지 전송 프로그램) 사용자를 대상으로 제작된 것으로 보이지만 복제 및 전파, 은닉 루틴이 발견되지 않아 그 피해 및 파급력은 크지 않을 것으로 보인다. 2.2. 파일 분..

ebay_4181254791235_091015.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 kaulj.exe 진단명 Trojan/W32.Yakes.41984.I 악성동작 termservice 시작, MpsSvc와 WinDefend 서비스 중지 특징 Ebay 를 사칭한 메일에 첨부되어 배포되는 악성파일 ​ 2. 분석정보 ​ 2.1. 파일 유포 경로 ​ 본 악성파일은 ebay를 사칭한 메일을 업체 그룹메일(외부 공개용)에 전송한다. 해당 메일은 “모니터링하거나 응답하는 주소가 아니니 답장하지 말아주십시오. 청구서를 보려면 첨부파일을 확인하십시오. 첨부파일은 PDF 형식으로 되어있어 열람을 위해서는 Adobe Acrobat Reader 가 필요합니다.” 는 내용과 첨부파일로 구성되있다. [..

kaulj.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 kaulj.exe 파일크기 96,710 byte 진단명 Trojan/W32.KRBanker.96710 악성동작 인터넷 뱅킹 파밍, 인증서 탈취 특징 hosts 및 hosts.ics파일 변조를 통한 위조 사이트 유도 및 인증서 탈취 자동실행으로 지속적인 악성동작 유지 파일 드랍 1.2. 분석환경 운영체제 Windows XP SP3 32bit (한글) 분석도구 IDA, PEview, OllyDbg, ProcExp 등 ​ ​ 2. 분석정보 ​ 2.1. 파일 유포 경로 ​ 이번 샘플은 10월 첫째 주 주말 동안 *******wire.com외 의류쇼핑몰, 건강식품쇼핑몰, 어린이집 등 40여개에 이르는 사이트를 통해 유포되었다. ******..

BERPOY.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 BERPOY.exe 파일크기 79,368 byte 진단명 Trojan/W32.KRBanker.79368 악성동작 인터넷 뱅킹 파밍, 인증서 탈취 연결대상 **7.**3.**9.**8 특징 DNS 및 host 파일 변조, 인증서를 네트워크로 전송 1.2. 분석환경 운영체제 Windows XP SP3 분석도구 Process Monitor, Process Explorer, Autorun, Regshot, Wireshark ​ 1.3. 전체흐름도 ​ ​ 2. 분석정보 ​ 2.1. 파일 유포 방식 특정 학회 웹 서버에 업로드된 악성파일 (http://ch*********.net/ba********/*/ BERPOY.exe) 이 다운로드 ..

system1.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 system1.exe 파일크기 145,408 byte 진단명 Trojan/W32.KRBanker.145408.B 악성동작 인터넷 뱅킹 파밍, 인증서 탈취 특징 hosts 및 hosts.ics 파일 변조를 통해 가짜 사이트로 유도 인증서를 드라이브, 폴더 별로 압축하여 보관 자동실행으로 지속적 인증서 탈취 1.2. 분석환경 운영체제 Windows XP SP3 32bit (한글) 분석도구 Process Explorer, Wireshark, NetMon, OllyDbg 등 ​ 1.3. 전체흐름도 ​ ​ 2. 분석정보 ​ 2.1. 파일 유포 방식 ​ 온라인 쇼핑몰 www.we******ak**.com 로 접속 시 98.***.***...

nv.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 nv.exe 파일크기 129,024 byte 진단명 Trojan/W32.KRBanker.129024.F 악성동작 인터넷 뱅킹 파밍, 인증서 탈취 특징 hosts 및 hosts.ics 파일 변조를 통해 가짜 사이트로 유도 인증서를 드라이브, 폴더 별로 압축하여 보관 1.2. 분석환경 운영체제 Windows 7 Ultimate K SP1 (한글) 분석도구 Process Explorer, Wireshark, NetMon, Hxd 등 ​ 1.3. 전체흐름도 ​ ​ 2. 분석정보 ​ 2.1. 파일 유포 방식 ​ 특정 종교용품 판매 쇼핑몰에 접속 시 해당 사이트에 삽입된 악성 스크립트 (http://so*******y.kr/u***ad/b**/i..

1. 서막에 불과! 언제 어디서나(?) 대남 사이버공작 과거와 달리 현대에서는 정보통신기술 발달과 고속 네트워크 인프라의 확충으로 주요 정부기반 시설 및 국가방위 지휘통제 체계 등이 자동화 기반의 컴퓨터 시스템으로 운용되고 있다. 이렇듯 국가 주요 시스템이 다양한 전산망으로 연결되어 있기 때문에 그에 대한 보안은 매우 중요하다. 지난 2009년 7월 7일 발생한 DDoS 공격, 2013년 3월 20일 발생한 언론사·금융사 등을 상대로 한 사이버테러, 2013년 6월 25일 어나니머스 국제 해킹그룹을 사칭한 사이버전(戰) 등 북한의 사이버테러는 갈수록 과감하고 노골적으로 발전되고 있다. 북한의 국지적 도발 전략은 물론이고, 사이버 상으로도 대한민국의 안보를 크게 위협하고 있는 실정이다. 이를테면 김일성 군..

1. 포털사 이메일 계정중지로 개인정보 수집형 공격 2014년 02월 17일 마치 국내 유명 포털사이트의 이메일 공지내용처럼 사칭한 스피어피싱 표적공격이 발견되었다. 기존의 스피어시핑 수법과는 다르게 악성파일을 첨부하는 형태가 아니라 이메일 본문에 가짜 피싱사이트 주소를 연결하여 수신자로 하여금 비밀번호를 입력하도록 유도한 방법이다. 특히, 수신자가 대한민국 정부기관에 소속되어 있는 인물로 공격자는 정부기관에 근무하는 중요정보를 탈취하기 위한 목적으로 이번 공격을 감행한 것으로 추정된다. [주의]HWP 취약점을 이용한 북한의 사이버 침투활동 증가 ☞ http://erteam.nprotect.com/463 [주의]우주항공기술과 세계평화공원 학술회의 내용의 HWP 표적공격 ☞ http://erteam.npr..

1. 대북관련 단체 및 기관의 주요인사 표적공격 잉카인터넷 대응팀은 한컴오피스의 HWP 문서취약점을 이용한 표적공격이 꾸준히 유지되고 있다는 것을 사례별로 여러차례 공개한 바 있다. 이러한 방식은 각종 문서취약점과 스피어 피싱이 결합한 국지적 표적공격으로 매우 고전적인 수법이다. 그러나 수신자가 의심하지 않도록 사람의 심리를 교묘하게 이용하기 때문에 효과적인 측면에서 성공 가능성이 높아 지속적인 침투기법으로 활용되고 있다. 이를테면 특정 기업과 기관의 주요인사를 겨냥해 마치 업무관계자 및 지인을 사칭한 후 각종 행사 및 업무 관심사를 반영한 이메일로 조작한 후 첨부된 HWP 악성파일을 열도록 유도하게 되는데, 최근 이러한 유사 공격징후가 지속적으로 발견되고 있는 실정이다. 특히, HWP 문서취약점을 이용..

1. 전자금융 메모리 해킹 조직, 탐지회피 목적의 변칙공격 잉카인터넷 대응팀은 2013년 7월 23일과 12월 23일에 메모리 해킹 기능의 인터넷 뱅킹 악성파일(KRBanker)이 국내 애드웨어 서버를 통해서 전파되고 있다는 것을 최초로 공개한 바 있다. 물론 해당 조직들은 2013년 전후로 온라인 게임 계정 탈취 기능의 악성파일을 유사한 기법으로 계속 유포하고 있었지만, 2013년 중순 경부터 메모리 해킹 기능의 악성파일 전파를 본격적으로 시작하였다. 해당 악성파일 유포 조직들은 현재 이 시간도 다수의 애드웨어 서버를 통해서 꾸준히 최신 변종 악성파일을 유포하고 있는 상태이다. [긴급]애드웨어 끼워팔기식의 메모리해킹 기법의 악성파일 급증 ☞ http://erteam.nprotect.com/461 [주의..