분석 정보/악성코드 분석 정보396 [악성코드 분석] 워드 문서 DDE 취약점을 이용한 악성코드 유포 주의 워드 문서 DDE 취약점을 이용한 악성코드 유포 주의 1. 개요 최근 ‘DDE’ 취약점을 이용한 악성코드가 유포되어 사용자들의 주의가 요구되고 있다. 이전에는 악성코드를 실행시키기 위해 MS Office의 매크로 기능 및 'JS', 'VBS' 등의 스크립트언어를 이용하였으나, 최근에는 ‘DDE’ 기능을 활용해 실행시키고 있다. DDE란 ‘Dynamic Data Exchange’의 약어로 윈도우 응용 프로그램간의 동일한 데이터를 공유하도록 허용하는 방법 중 하나이다. 해당 기능은 워드뿐만 아니라 엑셀, 비쥬얼 베이직 등 다양한 응용프로그램에서 사용되고 있다. 이 기능은 다른 프로세스를 실행시킬 수 있으며 이 기능을 악용하여 악성코드를 다운로드 받거나, 실행시키기 때문에 문제가 된다. 또한 응용 프로그램을 .. 2017. 11. 13. [악성코드 분석] 무단 광고로 사용자를 불편하게 만드는 Adware 배포 주의 무단 광고로 사용자를 불편하게 만드는 Adware 배포 주의 1. 개요 ‘Adware’ 원래의 의미는 프로그램 실행 중 광고를 보여주고, 이를 봄으로써 비용 납부를 대신하는 형태의 프로그램을 야기한다. 광고성 제휴 프로그램은 사용자 동의 안내 등 절차적인 문제가 없으면 적법한 프로그램이기 때문에 백신 프로그램에서 무조건 진단 및 치료를 할 수 없다. 하지만, 해당 ‘Adware’ 는 프로그램 설치 시에 추가로 사용자의 의지와는 상관없이 ‘기본값(default)’ 으로 체크 되어 같이 설치되기 때문에 사용자가 꼼꼼하게 확인 하지 않고 진행하면 많은 광고로 인하여 컴퓨터 사용을 매우 불편하게 할 수 있다. 이번 분석보고서에서는 이러한 ‘Adware’ 를 배포하는 한 유틸리티에 대해서 알아보고자 한다. 2. .. 2017. 9. 20. [악성코드 분석] 한국 사용자의 호기심을 자극하는 KONNI Malware 분석 KONNI Malware 분석 1. 개요 최근 시스코 인텔리전스 그룹 탈로스에 의하여 KONNI 라고 명명된 악성코드가 발견되었다. 해당 악성코드는 사회적으로 관심을 가질만한 내용의 이메일을 보내 사용자들이 문서 파일인지 알고 내용을 열람 할 경우, 악성코드가 실행되도록 되어 있어 주의가 필요하다. 이번 보고서에서는 ‘KONNI’ 악성코드는 어떠한 동작을 수행하는지 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 How can North Korean hydrogen bomb wipe out Manhattan.scr 파일크기 266,752 byte 진단명 Trojan/W32.Konni.266752 악성동작 드롭퍼 구분 내용 파일명 winnit.exe 파일크기 104,960 byte .. 2017. 8. 11. [악성코드 분석] 회사 메일을 이용한 피싱 메일 C&C 감염 주의 회사 메일을 이용한 피싱 메일 C&C 감염 주의 1. 개요 이메일 피싱 공격은 요즘 선행하는 악성코드의 공격 기법 중 하나이다. 대게 공격자는 악성코드를 성공적으로 실행시키기 위해, 업무와 관련되거나 사회적으로 이슈화되는 내용의 이메일을 보내어 공격 성공률을 높인다. 이러한 이메일 첨부파일에 한글 문서(.HWP) 로 위장한 C&C 악성코드가 있다면 감염된 PC는 원격지로부터 공격자의 명령을 받아 시스템을 자유자제로 조작하고 감시 당할 우려가 있다. 이번 보고서에서는 파일명 ‘美 사이버 보안시장의 현재와 미래.hwp’란 한글 문서에서 추가적으로 드롭되어 실행되는 C&C악성코드에 대하여 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 美 사이버 보안시장의 현재와 미래.hwp 파일크기 .. 2017. 6. 1. [악성코드 분석] ‘게임 핵’ 으로 위장한 악성코드 감염 주의 ‘게임 핵’ 으로 위장한 악성코드 감염 주의 1. 개요 ‘오토에임(AutoAim)’ 이란 오토와 조준 겨냥을 뜻하는 에임의 합성어로 FPS와 같은 게임에서 자동 조준을 해주는 게임 핵으로 알려져 있다. 이러한 오토에임 프로그램은 불법임에도 불구하고 몇몇 게임 유저의 호기심 등 때문에 사용되거나 만들어지고 있다.지난 달, 한 온라인 카페에서 오토에임으로 위장한 악성코드가 발견되어 문제가 되고 있다. 이번 보고서에서는 ‘오토에임’ 으로 위장 한 악성코드에 대하여 어떠한 동작을 하는지 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명Whindow.exe파일크기24,064 byte악성동작게임 계정 정보 탈취 2-2. 유포 경로최초 유포 경로는 밝혀지지 않았지만, 국내 한 온라인 커뮤니티 카페에서.. 2017. 5. 26. [악성코드 분석] 뱅킹 악성코드 Dyreza의 후속작, TrickBot 분석 TrickBot 분석 1. 개요 2014년도에 활발히 활동했던 뱅킹 악성코드 Dyreza의 후속작으로 보이는 악성코드 Trickbot이 발견되었다. 해당 악성코드는 아래 그림과 같이 'TrickBot'으로 뮤텍스를 생성하여 이러한 이름이 붙여졌으며, 본 보고서는 이 Trickbot을 분석하여 Dyreza의 후속작으로 판단하는 이유와 해당 악성코드의 목적을 알아본다. 2. 분석 정보 2-1. 파일 정보구분내용파일명TrickBot.exe파일크기412,160 byte진단명Trojan/W32.TrickBot.412160악성동작정보수집, 다운로드해쉬(MD5)F26649FC31EDE7594B18F8CD7CDBBC15 2-2. 유포 경로해당 악성코드는 Rig 익스플로잇 킷(Exploit-kit) 또는 악성 워드(Wo.. 2017. 4. 14. 이전 1 ··· 27 28 29 30 31 32 33 ··· 66 다음
