분석 정보/악성코드 분석 정보396 [악성코드 분석]신용카드 결제 영수증으로 위장한 피싱 공격 주의 신용카드 결제 영수증으로 위장한 피싱 공격 주의 1. 개요 최근 신용카드 결제 영수증으로 위장한 피싱 메일이 유포되고 있어 주의가 필요하다. 해당 이메일은 외국어를 번역한 듯한 부자연스러운 한국어로 작성되어 있으며, 특정 링크를 클릭하도록 유도하는 내용을 담고 있다. 현재는 링크가 끊어져 작동하지 않지만 VirusTotal 에 게재된 정보에 따르면 최근 유사한 URL 을 다수 생성한 것으로 추정되므로 추가 공격에 주의할 필요가 있다. 2. 분석 정보 2-1. 유포 경로 해당 피싱 메일은 외국어를 번역한 듯한 어수룩한 한국어로 작성되었다. 피싱 메일은 특정 링크를 따라 들어가 비밀번호를 사용하도록 유도하는 내용을 담고 있다. 2-2. 실행 과정 현재는 링크가 끊어져 있으나, VirusTotal에서 검색되는.. 2019. 6. 7. [악성코드 분석]국내 기업 표적으로 계속되는 Ammyy RAT 유포 메일 주의 국내 기업 표적으로 계속되는 Ammyy RAT 유포 메일 주의 1. 개요 이전부터 국내 기업을 표적으로 Ammyy RAT 을 다운로드하는 악성 메일이 유포되어 왔다. 최근에는 단순히 기존 방식대로 유포할 뿐만 아니라 악성 파일의 포맷을 바꾸고 악성 코드를 숨기는 등, 다양한 방법으로 백신의 탐지를 우회하는 시도를 하고 있다. Ammyy RAT 에 감염되면 정보 탈취, 랜섬웨어 설치와 같은 추가 공격이 이어질 수 있기 때문에 주의가 필요하다. 이번 보고서에서는 Ammyy RAT 유포 메일의 변화 과정과 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 C739054.xls 파일크키 167,628 bytes 진단명 Suspicious/X97M.Downloader.Gen.. 2019. 6. 7. [악성코드 분석]송장(Invoice)을 위장한 엑셀파일 주의 송장(Invoice)을 위장한 엑셀파일 주의 1. 개요 최근 국내 기업을 대상으로 악성 파일이 첨부된 메일이 유포되고 있다. 해당 메일에는 송장(invoice)을 위장한 엑셀 파일이 첨부되어 있고, 해당 엑셀 파일의 매크로를 통해 백도어 기능을 하는 악성파일을 다운받아 사용자 PC에 설치한다. 이와 유사한 방식의 첨부파일을 포함한 형태의 메일이 꾸준히 유포되고 있어 사용자들의 주의를 요한다. 이번 보고서에는 최근에 발견 된 송장(Invoice)을 위장한 엑셀 파일에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 L680273.xls 파일크키 216,064 byte 진단명 Suspicious/X97M.Obfus.Gen.1 악성동작 매크로 실행을 통한 악성파일 다운 구분 내용.. 2019. 5. 27. [악성코드 분석]다수의 정보 탈취 악성 파일 다운로드하는 Scranos 루트킷 감염 주의 다수의 정보 탈취 악성 파일 다운로드하는 Scranos 루트킷 감염 주의 1. 개요 최근 Youtube, Facebook, 등 인기 사이트와 관련된 개인 정보를 탈취하는 Scranos 루트킷이 전파되고 있다. 이뿐만 아니라 해외 보안 업체 Bitdefender 에 따르면 추가 기능을 보유한 변종이 발견되고 있으며, 실행 이후에는 다수의 추가 악성 페이로드를 다운로드한다고 알려져 있다. 또한 Scranos는 시스템의 Shutdown 명령 발생 시 자기 자신을 다시 생성하고, 시스템 날짜를 기반으로 일정 주기마다 C&C 서버 주소를 바꾸기 때문에 주의가 필요하다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].sys 파일크키 621,928 bytes 진단명 Trojan-Downloa.. 2019. 5. 24. [악성코드 분석]DarkCloud Bootkit 악성코드 감염 주의 DarkCloud Bootkit 악성코드 감염 주의 1. 개요 부트킷 악성코드는 시스템이 부팅할 때 필요한 정보가 저장되어있는 MBR(Master Boot Record) 영역을 감염시키고 백신을 무력화시키며 추가로 악성 파일을 다운받거나 사용자의 정보를 탈취할 수 있는 악성코드이다. 부팅 시 MBR의 정보로 운영체제를 구동시키기 때문에 MBR 영역에 악성코드가 존재하면, 시스템에서 악성코드를 삭제해도 악성코드는 지속적으로 존재할 수 있기 때문에 사용자의 각별한 주의가 필요하다. 이번 보고서에서는 “DarkCloud Bootkit” 악성코드에 대해 알아보고자 한다 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 임의의 문자열.exe 파일크키 737,280 Byte 악성 동작 MBR 변조, 추가 파일 .. 2019. 5. 7. [악성코드 분석]Slack, Github을 이용해 통신하는 SLUB 백도어 감염 주의 Slack, Github을 이용해 통신하는 SLUB 백도어 감염 주의 1. 개요 얼마 전 해외 보안 업체 Trend Micro 에서 팀 협력 도구 Slack 과 분산 버전 관리 툴 Github 을 이용하여 통신하는 백도어를 발견하였고, 두 서비스의 이름을 합쳐 SLUB 백도어라 명명했다. 해당 악성 파일은 시스템에 특정 백신이 실행 중이면 백도어 실행 없이 스스로 종료되거나, Github 으로부터 수행할 명령을 수신받고 Slack 채널로 결과를 전송하는 등, 탐지 회피 기능을 가지고 있기 때문에 주의가 필요하다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크키 78,848 bytes 진단명 Trojan-Downloader/W32.SLUB.78848 악성동작 파일 다.. 2019. 5. 2. 이전 1 ··· 22 23 24 25 26 27 28 ··· 66 다음
