잉카인터넷 시큐리티대응센터 블로그

사용자 행동을 감시하는 악성코드 분석 보고서 1. 개요악성코드는 일반적으로 기존에 사용 되었던 코드를 재사용하거나, 전문 툴을 이용해서 제작된다. 그 중에서 전문 툴로 제작된 악성코드는 상당히 정교하기 때문에 해커들 사이에서 많이 사용된다. 특히, 전문 툴을 사용하는 악성코드 중 Backdoor 기능이 담겨있는 툴을 RAT라고 하는데 일단 감염에 성공한다면 Backdoor 기능을 통해 수 많은 다른 악성 행위가 가능해진다. 악성코드 Backdoor/W32.DarkKomet.281088.G (procexp.exe) 를 분석하며 원격 제어를 가능하게 하는 악성코드의 위험성에 대해 말하고자 한다. 2. 분석 정보2-1. 파일 정보구분내용파일명procexp.exe, scrss.exe파일크기281,088 Byte..

이미지 뷰어 프로그램 '꿀뷰'로 위장한 파밍 악성코드 분석 보고서 1. 개요최근 반디소프트의 이미지 뷰어 프로그램 '꿀뷰'를 위장한 악성코드를 200여명의 사용자들이 다운로드 받은 사건이 발생하였다. 3월 26일 오후 2시부터 4시까지 반디소프트 홈페이지에서 유포된 이 악성코드는 꿀뷰 설치파일로 위장하고 있고 설치도 정상적으로 이루어지기 때문에 사용자가 악성코드 감염사실을 인지하기 어렵다. 다운로드한 악성코드는 인터넷뱅킹 파밍 악성코드로 인증서 탈취 및 사용자를 위조 사이트로 접속하게 하여 금융정보 탈취를 유도한다. 현재 반디소프트 공식 입장에 따르면 반디소프트의 서버 자체가 해킹을 당한 것은 아니며, 공격사실을 인지함과 동일한 사건이 일어나지 않도록 적절한 조치를 취했다고 밝혔다. 2. 분석 정보2-1..

인기 게임으로 위장한 악성 토렌트 분석 보고서 1. 개요 토렌트는 많은 사람들이 이용하는 파일 공유 수단으로, 종종 악성코드 유포 수단으로 악용되기도 한다. 동영상이나 음악 같은 데이터 파일로 위장한 악성파일의 경우, 사용자의 실행 유도를 위해 실행파일을 데이터파일로 위장해야 한다. 하지만 실행파일이 필수적으로 포함된 게임, 유틸리티의 경우, 악성코드를 다른 파일 형태로 위장할 필요가 없어 해커들이 자주 사용하는 공격 수단이 된다. 특히 불법으로 유통되는 고 사양 최신 게임의 경우 파일의 크기가 굉장히 크고 쉽게 구할 수 없기 때문에 다운로드 받기가 쉽지 않다. 구하기 어려운 게임 파일로 위장한 악성파일은 사용자를 현혹시키기 쉬워 설령 오류가 있더라도 게임을 하고싶은 사용자 심리에 의해 의심없이 실행되는..

C&C 동작의 악성코드 분석 보고서 1. 개요PC나 시스템을 자유자제로 조작하고 감시하는 것은 해킹의 궁극적인 목적이다. 만약 사용자가 자신이 해킹 공격을 당하고 있다는 사실을 인지하지 못한다면 공격의 기간도 길어질 것이고, 피해의 심각성은 커질것이다. 윈도우 필수 프로세스에 인젝션되어 동작하는 악성코드들은 겉으론 보이지 않기 때문에 일반사용자가 쉽게 찾아내기 힘들다. 또한 C&C 악성동작을 겸비하고 있는 악성코드에 감염된 PC라면 추후 공격에 사용될 가능성이 크다. 악성코드 Trojan.GenericKD.3003712 (factuur2390.exe) 를 분석하며 PC에서 동작하고 있을지 모르는 C&C 악성코드의 위험성에 대해 설명하고자 한다. 2. 분석 정보2-1. 파일 정보구분내용파일명factuur2..

dkmpr4.2.exe 악성코드 분석 보고서 1. 개요금융권, 검찰 등의 기관을 사칭하여 가짜 사이트로 연결을 유도한 후 계좌번호, 비밀번호 및 개인정보를 탈취하는 파밍의 시도가 나날이 증가하고 있으며, 그 수법 또한 발전하여 더욱 정밀해지고 있다. 이 보고서에서는 최근 새로운 기법을 사용하여 파밍 동작을 수행하는 악성파일이 발견되었기에 동일한 형태의 악성 동작이 의심되는 경우 피해를 방지하고자 해당 파일의 감염방식과 파밍 기법에 대해 기술하였다. 2. 분석 정보2-1. 파일 정보구분내용파일명dkmpr4.2.exe파일크기78,197 byte진단명Trojan/W32.KRBanker.78197악성동작파일 생성, 금융권 파밍, 인증서 탈취네트워크192.***.***.249192.***.***.39 (파밍) 2..

2016년 2월 악성코드 통계 악성코드 Top202016년 2월(2월 1일 ~ 2월 29일) 한 달간 잉카인터넷 시큐리티 대응센터는 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 3,181건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Virus/W32.Virut.Gen Virus 3181건 2위 Trojan/XF.XF.Sic Trojan 3117건 3위 W32.Ramnit Virus 2231건 4위 Adware/LemonWebtoon.D Adware 1565건 5위 Gen:Trojan.Heur.JP.ju2@aOy0xLkP Tro..

전자서명을 도용해 유포된 악성코드 분석 보고서 1. 개요최근 한 전자서명 업체의 코드서명(코드사인)이 해킹되어, 악성코드 유포에 악용된 사건이 발생했다. 특정 프로그램의 게시자 정보를 알려줘 믿고 다운받을 수 있게 해주는 코드서명을 이용해, 사용자가 서명된 악성파일을 의심없이 다운받고 실행하도록 한 것이다. 본 보고서에선 코드서명을 악용하여 유포된 악성코드 Trojan/W32.Agent.78592.I 를 분석하여, 운영체제의 서명 파일 취급과정과 해당 악성코드의 악성동작에 대해 알아보고자 한다. 2. 분석 정보2-1. 파일 정보구분내용파일명275b7.exe파일크기78,592 byte진단명Trojan/W32.Agent.78592.I악성동작다운로더네트워크165.***.***.67:443 2-2. 용어 설명일..

smo.exe(인터넷 뱅킹 파밍) 악성코드 분석 보고서 1. 개요 최근, 금융권 피싱 사이트를 통한 사용자 정보탈취 악성코드가 기승을 부리고 있다. 악성코드 유형별 비율 통계(한국인터넷진흥원, 2015.12)에 따르면 금융사이트파밍 악성코드 유형이 정보유출(금융정보) 유형에 이어 전체에서 높은 비율을 차지하고 있다. 최근에는 국내뿐만 아니라 일본 금융사이트를 대상으로 한 악성코드도 발견되고 있다. 금융권 계정 탈취용 악성코드의 경우, 피싱 사이트를 통해 정보 유출을 유도하므로, 사용자가 피싱 사이트에 쉽게 접속할 수 있도록 여러 파밍 기법을 쓰고 있다. 이번 보고서에서는 일본 금융 사이트를 대상으로 제작된 Trojan/W32.JPBanker.64696(smo.exe)를 분석하며 한동안 파밍 악성코드에서 ..

Radamant (랜섬웨어) 악성코드 분석 보고서 1. 개요파일을 암호화하고 암호를 풀기 위해 금전을 요구하는 악성 프로그램 랜섬웨어의 수가 급증하고 있다. 특히 2015년 상반기엔 유명 커뮤니티 사이트에서 랜섬웨어가 유포되어 많은 사용자가 피해를 입었다. 이후에도 많은 보안업체의 노력에도 불구하고 랜섬웨어의 피해는 점점 증가하고 있다. 인터넷뱅킹 파밍이나 계정정보 탈취를 시도하는 다른 악성코드들은 감염이나 피해에 따른 보안 툴이 있는 반면, 랜섬웨어의 경우 감염 즉시 PC의 데이터를 사용 불능으로 만들며 감염된 파일은 복구가 어려워 많은 피해를 일으키고 있다. 따라서, 잉카인터넷 시큐리티 대응센터는 해당 보고서에 Radamant 랜섬웨어(진단명: Trojan/W32.Bublik.208896.N) 를 분..

2016년 1월 악성코드 통계 악성코드 Top202016년 1월(1월 1일 ~ 1월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로이목마) 유형이며 총 4,729건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Gen:Trojan.Heur.JP.iu1@a847J8kP Trojan 4729건 2위 Gen:Trojan.Heur.GZ@B1ab4XA6LpO Trojan 4618건 3위 Trojan/XF.XF.Sic Trojan 2815건 4위 Gen:Variant.Graftor.2652 Trojan 2755건 5위 Ad..