잉카인터넷 시큐리티대응센터 블로그

Reyptson Ransomware 감염 주의 1. 개요 PC를 이용하는 사용자들의 중요 데이터를 인질로 삼아 이를 복호화하기 위한 대가로 금전을 요구하는 랜섬웨어의 유포 방식이 나날이 발전하고 있다. 랜섬웨어 제작자는 보다 많은 감염을 발생시키기 위해 여러가지 방법을 이용하는데 최근까지 발견된 랜섬웨어들의 유포 방식을 보면 사회공학기법을 이용하거나, 윈도우 취약점을 악용하여 많은 피해가 발생하였다. 이번에 발견된 ‘Reyptson’ 랜섬웨어 같은 경우 악성코드내에 사용자 이메일 계정에 등록되어 있는 주소목록 대상으로 스팸메일을 전송하는 것으로 확인되어 주의가 필요하다. 이번 보고서에서는 ‘Reyptson’ 랜섬웨어는 어떠한 동작을 수행하는지 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내..

‘Trick-Crypt ransomware’ 감염 주의 1. 개요 현대인들의 생활을 살펴보면 IT기술의 발전에 힘입어 윤택하고 편리한 생활을 누리고 있다는 것을 알 수 있다. 이제 현대인들은 PC와 스마트폰과 같은 IT기기가 없다면 일상생활에 불편함을 느끼기 마련이다. IT 기술은 생활을 편리하고 이롭게 만들기 위해 활용되지만, 몇몇은 악의적인 목적으로 사용되기도 한다. 랜섬웨어 사고 사례도 그 중 하나라고 볼 수 있다. 암호화 및 복호화 기법은 본래 어떠한 정보나 자료를 다른 사람에게 노출시키지 않게 하기 위한 기밀성에 초첨을 맞추어 발전해 왔다. 하지만 이런 기술이 현재에 와선 랜섬웨어 형태로 나타나 파일을 인질로 하여 금전을 얻기 위한 사이버 범죄에 사용되고 있어 사용자들은 항상 주의를 하여야 한다..

‘Scarab ransomware’ 감염 주의 1. 개요 사용자 PC의 중요 파일을 암호화하고 이 파일을 풀기 위한 금전을 요구하는 악성코드인 랜섬웨어는 하루가 멀다 하고 계속 발견되고 있다. 기업이나 공공기관에서 사용하는 대부분의 업무 자료가 종이 문서에서 디지털 문서로 대체되고 있는 만큼, 디지털 문서를 암호화하는 랜섬웨어는 업무를 마비시키거나 경제적으로 큰 손실로 이어질 수 있으므로, 모르는 파일이나 인터넷에서 다운로드한 파일은 실행 전에 다시 한번 의심을 가질 필요가 있다. 이번 보고서에서 다루는 ‘Scarab Ransomware’ 는 최근 발견되었으며 앞서 말했던 랜섬웨어와 마찬가지로 여러 확장자를 암호화하는 랜섬웨어이다. 2. 분석 정보 2-1. 파일 정보구분내용파일명Scarab_Ransom...

[주의] 네트워크를 통해 전파되는 Petya 변종 랜섬웨어 1. 개요 현지시간 기준 6월 27일부터 우크라이나를 비롯한 유럽 일부국가를 중심으로 ‘Petya 변종 랜섬웨어’에 의한 대규모 감염이 일어나고 있다. 현재까지 피해가 확인 된 국가는 우크라이나, 러시아, 벨기에, 브라질, 독일, 미국 등이다. 또한, 단순히 금전적인 이득이 목적이 아니라, 사이버 공격무기로 사용되었을 가능성도 있어 문제가 되고 있다. 2016년부터 발견 되었던 이전의 ‘petya 랜섬웨어’와 달리 네트워크 전파 기능이 추가되어 있어 많은 피해를 일으키고 있다. 네트워크 전파에 사용되고 있는 취약점은 최근 세계적인 이슈가 되었던 워너크라이(WannaCry) 랜섬웨어에서 사용된 것과 동일한 SMB 취약점 (MS17-010) 이다. ..

페이스북 아이콘으로 위장한 ‘KKK 랜섬웨어’ 감염 주의 1. 개요 ‘KKK(Ku Klux Klan)’ 란 백인 우월주의, 반유대주의, 인종차별, 동성애 반대 등을 표방하는 미국의 극우 비밀 결사 단체로 알려져 있다. 최근, 이러한 특정 단체 문양이 사용된 랜섬웨어인 일명 ‘KKK랜섬웨어’가 발견되어 사용자의 주의가 필요하다. 해당 단체와 KKK랜섬웨어의 연관성은 확인되지 않았지만, 여타 랜섬웨어와 같이 파일 암호화 후 비트코인을 요구하며 페이스북 아이콘으로 위장하고 있어 파일명이 변경돼 유포될 경우 쉽게 감염될 것으로 보인다. 2. 분석 정보 2-1. 파일 정보구분내용파일명KKK.exe(임의의 파일명)파일크기296,960 Byte악성동작파일 암호화, 금전 요구 2-2. 유포 경로정확한 유포 경로는 밝혀..

‘Erebus 랜섬웨어’ 변종, 이젠 리눅스 서버도 안전하지 않다 1. 개요 지난 5월 윈도우 운영체제를 대상으로 공격을 감행하여 혼란을 야기하였던 ‘WannaCry’ 랜섬웨어가 화제라면 이번 6월의 주요 화제는 리눅스 서버를 대상으로 공격을 시도한 ‘Erebus’ 랜섬웨어 이다. ‘Erebus’ 랜섬웨어는 리눅스에서 감염 되기 이전부터 윈도우에서 주로 활동하던 랜섬웨어였다. 윈도우에서 공격을 하였던 시기에는 피해자가 개개인이었던 반면 이번에는 국내 유명 웹 호스팅 업체의 서버를 대상으로 시도하여 그 피해 사례가 상당한 것으로 알려지고 있다. 타 랜섬웨어들이 윈도우에서 주로 암호화를 수행하였기 때문에, 다른 운영체제를 사용하는 사용자 입장에선 평소 안심하고 생활했을 것이라 여긴다. 이번 사건을 계기로 윈..

4.0 버전으로 나타난 ‘DMA Locker 랜섬웨어’ 감염 주의 1. 개요 최근 전세계를 대상으로 공격을 감행한 ‘워너크라이’ 랜섬웨어로 인하여 어느때보다 언론 및 일반 PC사용자들이 악성코드에 대한 관심이 높아지고 있다. ‘DMA Locker 4.0’ 랜섬웨어는 새로 발견된 랜섬웨어는 아니지만, 아이콘이 PDF형태이고 원격지에서 암호화에 사용되는 공개키와 함께 명령문을 전달받아 동작을 수행하므로 사용자의 주의가 필요하다. 현재 분석시점에서는 원격지와의 연결이 원활하지 않아 암호화 동작을 수행하고 있지 않지만 감염된 PC에서 악성코드가 프로세스에 상주해 있기 때문에 원격지와 연결이 된다면 언제든지 암호화가 가능할 것으로 보인다. 이번 보고서에서는 ‘DMA Locker 4.0’ 랜섬웨어의 주요 동작을 알..

회사 메일을 이용한 피싱 메일 C&C 감염 주의 1. 개요 이메일 피싱 공격은 요즘 선행하는 악성코드의 공격 기법 중 하나이다. 대게 공격자는 악성코드를 성공적으로 실행시키기 위해, 업무와 관련되거나 사회적으로 이슈화되는 내용의 이메일을 보내어 공격 성공률을 높인다. 이러한 이메일 첨부파일에 한글 문서(.HWP) 로 위장한 C&C 악성코드가 있다면 감염된 PC는 원격지로부터 공격자의 명령을 받아 시스템을 자유자제로 조작하고 감시 당할 우려가 있다. 이번 보고서에서는 파일명 ‘美 사이버 보안시장의 현재와 미래.hwp’란 한글 문서에서 추가적으로 드롭되어 실행되는 C&C악성코드에 대하여 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 美 사이버 보안시장의 현재와 미래.hwp 파일크기 ..

‘게임 핵’ 으로 위장한 악성코드 감염 주의 1. 개요 ‘오토에임(AutoAim)’ 이란 오토와 조준 겨냥을 뜻하는 에임의 합성어로 FPS와 같은 게임에서 자동 조준을 해주는 게임 핵으로 알려져 있다. 이러한 오토에임 프로그램은 불법임에도 불구하고 몇몇 게임 유저의 호기심 등 때문에 사용되거나 만들어지고 있다.지난 달, 한 온라인 카페에서 오토에임으로 위장한 악성코드가 발견되어 문제가 되고 있다. 이번 보고서에서는 ‘오토에임’ 으로 위장 한 악성코드에 대하여 어떠한 동작을 하는지 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명Whindow.exe파일크기24,064 byte악성동작게임 계정 정보 탈취 2-2. 유포 경로최초 유포 경로는 밝혀지지 않았지만, 국내 한 온라인 커뮤니티 카페에서..

전 세계를 공포에 떨게 한 ‘WannaCryptor 랜섬웨어’ 분석 1. 개요 지난 5월 전 세계를 동시다발적으로 혼란상태로 빠지게 만든 ‘WannaCryptor’ 랜섬웨어가 가장 큰 이슈의 도마 위에 오르게 되었다. 랜섬웨어로 인한 피해사례는 과거부터 수차례 언급되었지만 이번 공격처럼 전 세계적으로 짧은 시간에 빠르게 유포된 사례는 없었다. 기존 여타 랜섬웨어 같은 경우 출처가 불분명한 이메일 첨부파일이나 취약한 웹사이트 접속 시 감염되었는 데 반해, 해당 랜섬웨어는 Windows 취약점 SMB 프로토콜을 이용한 확산형 웜 형태로 네트워크를 통해서 유포되었기 때문에 피해 사례가 급속도로 늘어난 것으로 추정된다. Windows SMB 취약점은 이미 Microsoft에서 3월에 패치를 통해 해결된 상태이기..