잉카인터넷 시큐리티대응센터 블로그

다시 돌아온 ‘Sage 2.2 랜섬웨어’ 감염 주의 1. 개요 전세계적으로 많은 피해를 일으키고 있는 랜섬웨어는 불과 몇 년 전까지만 해도 국내에서는 다른 악성코드에 비하여 많은 피해 신고가 접수되지 않았다. 그 이유 중 하나는, 주로 이메일에 첨부된 내용이 영문으로 작성되어 있기 때문에 사용자 입장에서는 확인을 하지 않고 무시하는 경우가 대부분 이었던 것으로 추정된다. 하지만 근래에는 ‘연말정산 안내’, ‘영수증 첨부’ 등 한글로 교묘하게 위장한 랜섬웨어들로 인하여 국내에서 피해신고가 매년 증가하는 추세이다. 최근 업데이트 된 ‘Sage 2.2 랜섬웨어’ 는 기존에 유포 된, ‘Sage 2.0 Ransomware’ 와 동일하게 .hwp 확장자 파일을 암호화한다는 점은 같다. 하지만, ‘Sage 2.2’..

Venus Locker의 변종, LLTP Locker 감염 주의 1. 개요 ‘사회공학 기법’ 이란 사람들의 심리를 이용하여 원하는 정보를 얻는 공격기법을 말한다. 보안 기술이 발달함에 따라 시스템의 보안성은 강화되고 있지만 사람의 심리를 이용한 공격은 시대의 흐름을 떠나 상당히 효과적이며 이를 이용하여 많은 대상에게 피해를 줄 수 있다. 지난해 12월부터 국내주요기관과 기업인들을 대상으로 유포된 ‘Venus Locker’ 는 연말연시에 내부 변동 사항이 많은 시점을 노려, 특정 제목으로 스팸메일을 발송하여 첨부파일을 열람하도록 유도한것으로 보인다. 그리고 불가 몇 달 만에 Venus Locker의 변종인 ‘LLTP Locker’ 랜섬웨어가 발견되었다. 이번 보고서에서는 Venus Locker의 변종, ‘..

게임 점수를 요구하는 ‘Rensenware’(련선웨어) 분석 1. 개요 일반적으로 랜섬웨어는 해당 PC에 저장되어 있는 데이터 파일들을 암호화하여 인질로 잡고, 이를 복구하기 위한 방법으로 금전적 요구를 하는 악성코드이다. 하지만 최근에 발견된 ‘Rensenware’(련선웨어) 의 경우 암호화된 파일을 복구하기 위해 금액 지불이 아닌 특정 게임에서 일정 점수 이상을 달성해야 한다. 해당 ‘Rensenware’ 는 국내 한 누리꾼이 재미를 위해 개발한 랜섬웨어로, 실행 파일이 직접적으로는 배포되지 않았다. 하지만 인터넷에 소스코드가 공개되어 악용의 소지가 있을 것으로 예상된다.사태의 심각성을 인지한 해당 개발자는 빠른 사과와 무력화 툴을 공개하였지만 유사한 악성코드가 발견될 수 있어 국내 사용자들에게 주의..

TrickBot 분석 1. 개요 2014년도에 활발히 활동했던 뱅킹 악성코드 Dyreza의 후속작으로 보이는 악성코드 Trickbot이 발견되었다. 해당 악성코드는 아래 그림과 같이 'TrickBot'으로 뮤텍스를 생성하여 이러한 이름이 붙여졌으며, 본 보고서는 이 Trickbot을 분석하여 Dyreza의 후속작으로 판단하는 이유와 해당 악성코드의 목적을 알아본다. 2. 분석 정보 2-1. 파일 정보구분내용파일명TrickBot.exe파일크기412,160 byte진단명Trojan/W32.TrickBot.412160악성동작정보수집, 다운로드해쉬(MD5)F26649FC31EDE7594B18F8CD7CDBBC15 2-2. 유포 경로해당 악성코드는 Rig 익스플로잇 킷(Exploit-kit) 또는 악성 워드(Wo..

한국어 지원하는 ‘Revenge’ 랜섬웨어 감염 주의 1. 개요 ‘Revenge’ 랜섬웨어는 한국 사용자들이 복호화 비용을 지불할 수 있도록 한국어도 함께 지원하고 있다. 암호화 대상 확장자에는 국내에서 많이 사용되고 있는 .hwp 도 포함되어 있어 주의를 요한다.CrytoMix 또는 CryptFile2의 변종인 해당 랜섬웨어는 웹 브라우저 및 웹 브라우저 플러그인의 취약점을 공격하는 ‘RIG 익스플로잇 킷’ 을 통해 유포된다. 이 랜섬웨어에 감염 되면 감염 된 파일 확장자들이 .REVENGE 라는 확장자명으로 변경되고 파일명이 특정한 규칙에 의해 변경 된다.이번 보고서에는 한국인 사용자도 함께 겨냥한 ‘Revenge’ 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명r..

Spora 랜섬웨어 분석 보고서 1. 개요 몸값을 뜻하는 랜섬(Ransom)과 제품을 뜻하는 웨어(Ware)의 합성어인 랜섬웨어(Ransomware)는 사용자의 데이터를 동의없이 암호화하여 인질로 잡아 금전적 요구를 하는 악성 프로그램이다. 익명성이 보장되는 비트코인(Bitcoin)의 활용으로 이러한 랜섬웨어의 대금 지불이 용이하게 되어 가장 활발하게 활동하는 악성코드가 되었다. 해당 보고서에서 다루는 악성코드는 앞서 설명한 랜섬웨어의 일종이며, 최근 유명 악성코드 군에 합류한 랜섬웨어이다. 2. 분석 정보 2-1. 파일 정보구분내용파일명spora.exe파일크기77,824 byte진단명Ransom/W32.Spora.77824.L악성동작랜섬웨어해쉬(MD5)57484440F7BE94394FD851DE3E41..

Neutrino bot 분석 1. 개요 봇넷(Botnet)은 네트워크에 연결되어 있으면서 제 3자에게 제어 권한을 빼앗긴 컴퓨터들의 집합을 말한다. 이러한 봇넷을 구성하는 봇(Bot)들은 공격자의 목적을 달성하기 위해 다양한 기능을 가지고 있으며, 주로 확장을 위한 추가 악성코드 다운로드와 DDoS(Distributed Denial of Service) 공격을 이루기 위한 flooding 공격 등 다양한 기능을 갖춘다. 해당 악성코드에서 다루게 될 Neutrino bot은 앞서 설명한 봇의 일종이며, 같은 이름을 가진 익스플로잇 킷(Exploit-kit) Neutrino EK를 활용하여 유포된다. 2. 분석 정보 2-1. 파일 정보구분내용파일명neutrino.exe파일크기274,432 byte진단명Tro..

금융정보 탈취 악성코드 분석 1. 개요 분석한 악성코드는 추가로 드롭한 악성 DLL을 로드하도록 윈도우 시스템 DLL 을 변조하여, 금융 정보 탈취와 변조를 시도 한다. 또한, 온라인 금융거래 시에 MITB(Man-In-The-Browser) 공격을 수행하여 목적을 달성한다. MITB 공격이란, 금융거래 시 사용자와 제공자 사이에서 거래 문서의 무결성(특히, JavaScript 코드의 무결성 검사)을 확인하지 않아 문서가 변조 됐어도 거래가 가능한 취약점을 노려 거래 과정에서 암호화되지 않은 구간의 민감한 정보를 탈취, 변조하는 공격이다. 이번 보고서에서는 MITB 공격을 수행하는 금융 정보 탈취 악성코드를 상세 분석하였다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 PrimePC.exe 파일..

바이러스와 웜 형태의 악성코드 'Mamianune' 상세 분석 1. 개요 생물학에서 다루는 바이러스처럼 자기 자신을 다른 컴퓨터에 전염 시키는 특성을 갖고있는 바이러스(Virus) 악성코드는 다른 실행 파일에 코드나 파일 형태로 기생한다. 그렇기에 감염된 파일을 치료하기 위해선 감염 형태를 분석해야 한다. 본 보고서에선 바이러스와 웜 형태로 전파되는 악성코드 ‘Mamianune’의 감염 동작을 분석하고 바이러스들이 전파 되는 방식을 담았다. 2. 분석 정보 2-1. 파일 정보구분내용파일명Mamianune.exe파일크기20,027 Bytes진단명Virus/W32.Mamianune악성동작파일 바이러스다운로더 2-2. 유포 경로E-mail 웜 기능과 파일 바이러스 기능을 모두 가지고 있는 해당 악성코드의 특성..

목적이 불분명한 파일 바이러스 Sivis 분석 1. 개요 악성코드 개발 및 유포에는 대부분 직·간접적으로 이득을 취하기 위해서나 실력 과시와 보복을 하기 위해서 등 다양한 의도가 내포 돼있다. 그런데 이와 반대로 악성행위를 수행하지만 그 의도를 알 수 없는 악성코드가 종종 등장한다. 본 보고서에서 다루는 악성코드 sivis 또한 파일 바이러스 동작을 수행하지만 감염 동작 이외에는 어떤 악성 행위도 수행하지않아 개발 및 유포 목적을 파악하기 어렵다. 이 같은 악성코드를 분석하여 목적이 불분명한 다양한 악성코드의 존재를 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명sivis.exe파일크기13,312 bytes진단명Trojan/W32.Sivis.Gen악성동작파일 감염 2-2. 유포 경로해당..