잉카인터넷 시큐리티대응센터 블로그

정보 탈취형 Krypton Stealer 악성코드 감염 주의 1. 개요 최근 해외 보안업체에 따르면 ‘Krypton Stealer’ 정보 탈취형 악성코드가 새롭게 발견되었다고 알려진다. ‘Krypton Stealer’ 악성코드 제작자는 다크 웹 포탈에서 악성코드를 서비스 형태(MaaS: Malware-as-a-Service)로 판매하고 있으며, 2019년 4월경 1.1버전 이후 현재 1.2 버전으로 업데이트되었다. 이번 보고서에서는 정보 탈취형 ‘Krypton Stealer’ 악성코드의 주요 악성 동작에 대해 알아본다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 해당 악성코드를 실행하면 탈취한 정보를 저장하기 위해 “C:\Users\Public” 경로에 폴더를 생성하고 폴더 명은 하드웨어 프..

업데이트된 JSWorm 4.0.2 랜섬웨어 1. 개요 2019년 초기에 등장한 JSWorm 랜섬웨어는 최근 4.0.2 버전으로 등장하였다. 해당 버전의 경우, 일반적인 랜섬웨어와 동일하게 암호화 동작을 하고, 백업 섀도우 볼륨을 삭제한다. 그러나 JSWorm 랜섬웨어의 경우, 꾸준히 업그레이드하고 있어 더 큰 피해를 초래할 수 있기 때문에 지속적인 주의를 필요로 한다. 이번 보고서에서는 JSWorm 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 JSWorm 랜섬웨어는 시스템 디렉토리 및 특정 확장자를 제외하고 파일을 암호화하며, 모든 ..

반송된 이메일로 위장한 이메일 웜 Mydoom 주의 1. 개요 이메일 웜은 과거에 만우절이나 크리스마스와 같은 특정 기념일에 이메일을 통해 대량으로 전파되었다. 이메일 웜에 감염된 PC는 이메일 웜이 첨부된 메일을 이메일 주소록에 있는 사람들에게 자동으로 재전송 하도록 되어있어 단시간에 다량으로 확산 시켜 피해를 유발한다. 또한 ‘Mydoom’ 이메일 웜은 2004년경에 발견되어 현재까지 유포되고 있다고 알려진다. 이번 보고서에서는 문서형 ‘Alcoul’ 이메일 웜을 통해 이메일 웜의 동작 방식을 알아보고, 최근 유포 중인 ‘Mydoom’ 이메일 웜의 악성 동작에 대해 알아본다. 2. Email-Worm: Alcoul 2-1. 파일 정보 3-2. 실행 과정 및 악성 동작 ‘Alcoul’ 이메일 웜은 문서..

한국어를 사용하는 Maze Ransomware 감염 주의 1. 개요 최근 발견된 Maze 랜섬웨어는 5월에 유포되었던 버전과 다르게 랜섬노트에 한국어 안내문이 포함되어있으며, 파일 내부에 김정은과 관련한 문자열이 포함되어 있다. 이러한 변화는 한국을 대상으로 추가적인 공격 가능성이 있으며, 이로 인해 많은 피해가 발생할 수 있어 사용자의 주의가 필요하다. 이번 보고서에서는 한국어를 사용하는 Maze 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 Maze 랜섬웨어 실행 시 암호화 제외 대상을 확인 후 암호화 대상 파일을 선별하여 암호화한다. 만약 공유 폴더가 존재한다면 해당 위치에 두개의 링크 폴더을 생성하며, 추가적으로 C&C 서버로 연결을 시도한다. 마지막으로..

개인정보를 탈취하는 SeafkoAgent 분석 보고서 1. 개요 최근 발견된 Saefko RAT는 Saefko Attack System유료프로그램의 크랙버전으로 알려져 있으며, 현재 Saefko RAT의 실행 파일은 정확히 확인되지 않는다. 해당 RAT의 기능을 이용하면 SeafkoAgent.exe라는 이름의 파일이 생성되며, 해당 파일이 실행되면 Saefko RAT와 통신을 통해 악위적인 동작을 수행한다. 해당 실행 파일은 Saefko RAT의 정책 설정에 따라 내용이 달라질 가능성이 있으며, Saefko라는 RAT의 이름과 달리 SeafkoAgent.exe라는 파일명을 사용하고 있다. 이러한 공격방식은 추가 악성코드 다운로드, 키로깅 등 다양한 악성동작을 통해 치명적인 피해를 발생시킬 수 있으며 사용..

국내 보안업체 디지털서명을 포함한 악성코드 주의 1. 개요 최근 국내 보안업체의 디지털 서명을 포함한 악성코드가 발견되었다. 해당 악성코드는 URL을 통해 일반 사용자들에게 유포 되는 것으로 알려졌다. 디지털 서명을 포함한 파일의 경우, 정상 파일 이라고 생각 할 수 있기 때문에 유포자 들은 이 점을 악용하기 위해 디지털 서명을 탈취한 것으로 보여진다. 이번 보고서에는 최근에 발견된 국내 보안업체의 디지털 서명을 포함한 파일에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 악성코드는 URL을 통해 유포된다고 알려졌으나, 현재 URL은 차단된 상태이다. 2-3. 실행 과정 두 종류의 파일 모두 해당 파일을 작업 스케줄러를 이용하여 지속적으로 실행 되도록 한다. 또한 ..

새로이 나타난 syrk 랜섬웨어 1. 개요 지난 8월 1일 syrk 랜섬웨어가 처음 등장하였다. 해당 랜섬웨어는 파일을 암호화 한다는 점에서는 일반적인 랜섬웨어와 동일하지만, 복호화 키를 감염된 사용자 PC내에 저장하는 것으로 보아 현재 개발 단계 중이거나, 제작자의 실수로 보여진다. 하지만, 랜섬웨어의 특성 상 파일 암호화 시 물질적, 금전적 피해가 커지기 때문에 지속적인 주의를 기울일 필요가 있다. 이번 보고서에서는 syrk 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 syrk 랜섬웨어를 실행하면 C:\Users\Public\Do..

송장 관련 피싱 메일로 유포되는 스파이웨어 주의 1. 개요 최근 송장 관련 피싱 메일이 유포되고 있어 사용자의 주의가 필요하다. 첨부 파일에는 악성 매크로가 포함된 doc 문서 파일이 존재하는데 문서 열람 후 매크로를 실행하면 C&C 서버에서 악성 파일을 다운받는다. 다운로드된 악성 파일은 ‘에이전트 테슬라(Agent Tesla)’ 변종으로 알려지며 스파이웨어 기능이 있어 키보드 입력, 화면 캡처, 계정 정보 저장 등 사용자의 정보가 탈취된다. 원래 ‘에이전트 테슬라(Agent Tesla)’는 합법적으로 판매되는 Keystroke Logger 프로그램이지만, 공격자에 의해 악용되어 피싱 메일로 전파되며 감염된 PC는 사용자의 동의 없이 사용자 정보가 탈취될 위험이 있다. 2. 분석 정보 2-1. 파일 정..

BoooamCrypt 랜섬웨어 감염 주의 1. 개요 최근 BoooamCrypt 라고 불리는 새로운 랜섬웨어가 발견되었다. 해당 랜섬웨어는 2019년 7월초 처음 발견되었으며, 아직 정확한 유포 경로나 피해사례는 알려지지 않았다. 이번 보고서에는 최근에 발견 된 BoooamCrypt 랜섬웨어 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다. 2-3. 실행 과정 BoooamCrypt 랜섬웨어 실행 시, 자신을 특정 경로에 복제한 뒤 레지스트리에 등록하여 시스템 재부팅 후에도 자동으로 실행될 수 있도록 설정한다. 또한 대상이 되는 암호화 파일을 선별한 뒤 ‘.boooam@cock_li’ 라는 확장자를..

악성코드 제작자는 체포되었지만 여전히 유포되는 NanoCore RAT 1. 개요 최근 피싱 메일의 첨부파일을 통해 ‘Nanocore RAT’(원격 관리 툴)이 다수 유포되고있다. 원격 관리 툴은 합법적인 프로그램이지만 공격자에 의해 악용될 수 있는데, ‘NanoCore RAT’의 경우에는 ‘NanoCore RAT’을 만든 제작자가 악의적인 목적으로 ‘NanoCore RAT’을 제작 및 배포하여 징역을 받았다. 하지만 악성코드 제작자가 체포되어도 ‘Nanocore RAT’ 악성코드는 공격자들에 의해 여전히 유포되고 있어 사용자의 주의가 필요하다. 이번 보고서에서는 ‘NanoCore RAT’ 악성코드가 유포된 사례와 악성 동작에 대해 알아본다. 2. 분석 정보 2-1. 유포 사례 ‘NanoCore RAT’은..