분석 정보873 [악성코드 분석] Hades Locker로 돌아온 WildFire 랜섬웨어 Hades Locker로 돌아온 WildFire 랜섬웨어 1. 개요 이전에 유포되었던 WildFire 랜섬웨어는 유로폴(유렵 형사 경찰 기구) 등이 참여하고 있는 랜섬웨어 피해방지 민관협력 프로젝트 ‘No More Ransom’ 에서 복호화 툴을 제작하여 배포하며 점차 수그러들었다. 하지만 최근 Hades Locker 라는 이름의 새로운 랜섬웨어가 유포되고 있는데, 이는 WildFire 랜섬웨어와 유사하게 동작하는 면에서 새로운 변종으로 보고 있다. 이번 분석보고서에서는 WildFire 의 변종으로 보이는 Hades 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 update.exe 파일크기 510,026 byte 진단명 Ransom/W32.Hades.510026 .. 2016. 10. 27. [악성코드 분석] CDSpace 업데이트 서버를 통해 유포된 악성코드 CDSpace 업데이트 서버를 통해 유포된 악성코드 1. 개요 금융 기관을 사칭한 가짜 웹 사이트로 사용자의 접속을 유도하여 계좌번호, 비밀번호, 보안카드와 같은 금융 정보를 빼앗아 악용하는 파밍(Pharming)은 과거 hosts 파일을 직접 변조하는 방식이 대다수였다. 이에따라 파밍을 막기위해 hosts 파일을 보호하는 제품이 계속해서 출시됐고, 공격자들은 최근 이를 우회하기 위해 프록시 자동 구성(Proxy auto-config, PAC) 스크립트를 이용한 파밍 악성코드를 사용하고 있다. PAC는 hosts 파일을 변조하지 않고 스크립트를 작성하여 특정 URL을 자동으로 다른 웹 서버에 연결 시켜줄 수 있다. 본 보고서는 2016년 9월 10일 시디 스페이스(CDSpace) 프로그램의 업데이트 서버.. 2016. 10. 18. [악성코드 분석] 한국어 지원 프린세스 랜섬웨어 주의 한국어 지원 Princess 랜섬웨어 분석 1. 개요 최근 새로운 랜섬웨어 Princess가 유포되고 있다, 이 랜섬웨어는 기존 랜섬웨어보다 높은 복호화 비용을 요구할 뿐만 아니라, 복호화 안내 페이지가 한국어를 포함한 12개의 언어를 지원한다는 특징을 갖고있다. 이는 국내 사용자도 랜섬웨어 감염대상에 포함된 다는 의미로 사용자의 각별한 주의가 필요하다. 이번 보고서에는 한국을 겨냥한 신종 Princess 랜섬웨어에 대하여 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 nvsvc32.exe 파일크기 403,968 byte 진단명 Ransom/W32.Princess.403968 악성동작 파일 암호화 네트워크 4*****f*****3**m.onion.link – 공격자 서버 2-2... 2016. 10. 6. [악성코드 분석] 백도어 악성코드 분석 보고서 백도어 악성코드 분석 1. 개요 백도어(Backdoor)의 본래 의미는 시스템 개발이나 유지 보수를 편리하게 수행하기 위해, 시스템 인증과정 없이 원격 접속을 보장하여 운영체제나 프로그램 등에 접근할 수 있도록 만든 통로였다. 하지만, 최근에는 사용자 모르게 시스템에 무단으로 접근하고, 추가적인 악성코드를 설치하거나 개인 정보를 수집하는 악성코드 종류를 뜻하는 경우가 많아졌다. 본 보고서에서는 백도어 형태의 악성코드를 분석하여 백도어의 일반적인 기능과 동작 방식 등을 알아본다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 1.exe 파일크기 135,185 byte 진단명 Backdoor/W32.Farfli.135185 악성동작 백도어 네트워크 http://www.h*****r.com - 유포지 .. 2016. 9. 28. [악성코드 분석] 지정된 경로의 파일을 암호화 하는 Nullbyte 랜섬웨어 지정된 경로의 파일을 암호화 하는 Nullbyte 랜섬웨어 분석 1. 개요 일반적으로 랜섬웨어는 .ppt, .doc, .txt 와 같은 문서 파일의 확장자를 대상으로 한다. 이번에 분석한 Nullbyte 랜섬웨어는 파일 확장자를 기준으로 암호화 대상을 찾지 않고, 공격자가 지정한 경로의 모든 파일을 암호화 한다. 따라서, 주요 문서 파일의 암호화 뿐만 아니라 응용프로그램도 암호화하며, 확장자가 없는 파일 또한 암호화가 된다. 이렇듯 무차별적으로 파일을 암호화하는 Nullbyte 랜섬웨어에 대하여 알아본다. 2. 분석 정보 2-1. 파일 정보구분내용파일명encasvc.exe파일크기456,192 byte진단명Ransom/W32.Agent.456192악성동작파일 암호화네트워크31.***.***.116 2-2... 2016. 9. 13. [악성코드 분석] DLL 파일로 돌아온 Locky 랜섬웨어 주의 DLL 파일로 돌아온 Locky 랜섬웨어 주의 1. 개요 지난 8월 Locky의 변종인 Zepto가 유포되어 사용자를 위협했다. Zepto는 이메일에 첨부된 오피스 매크로를 통해 실행되어 파일을 암호화했으나, 최근 매크로가 아닌 다른 방식을 사용하는 새로운 변종이 발견되었다. 이 신규 변종은 자바스크립트를 통해 랜섬웨어 본체인 DLL 파일을 다운받고 실행시키는 특징을 보인다. 이번 보고서에서는 DLL 파일로 동작하는 변종 Locky 에 대하여 알아본다. *참고. Locky의 변종, Zepto 랜섬웨어 주의 보고서 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 locky.js (임의의 파일명) 파일크기 88,107 byte 진단명 Script/W32.Locky 악성동작 랜섬웨어 다운로더 네트워크 2.. 2016. 9. 7. 이전 1 ··· 90 91 92 93 94 95 96 ··· 146 다음
