시큐리티대응센터 2044

[월간동향] 2016년 12월 악성코드 통계

2016년 12월 악성코드 통계 악성코드 Top202016년 12월(12월 1일 ~ 12월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Adware(애드웨어) 유형이며 총 28,659건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Adware/SmartAddress.B Adware 28,659건 2위 Trojan/XF.XF.Sic Trojan 12,242건 3위 Trojan/W32.Agent.1384792 Trojan 5,786건 4위 Adware.GenericKD.3675704 Adware 3,408건 5위 Virus/W3..

[월간동향] 2016년 11월 악성코드 통계

2016년 11월 악성코드 통계 악성코드 Top202016년 11월(11월 1일 ~ 11월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Adware(애드웨어) 유형이며 총 13,544건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Adware/SmartAddress.A Adware 13,544건 2위 Adware/SmartAddress.B Adware 6,383건 3위 Trojan/XF.XF.Sic Trojan 6,168건 4위 Adware.GenericKD.3675704 Adware 3,760건 5위 Virus/W32.Vi..

[악성코드 분석] 크리스마스 이브에 유포된 DeriaLock 랜섬웨어

크리스마스 이브에 유포된 DeriaLock 랜섬웨어 1. 개요 악성코드를 제작하거나 유포하는 이들은 사회적 이슈를 많이 활용한다. 특히 어떠한 큰 행사나 기념일과 같은 때에 더욱 기승을 부리기도 한다. 이번 크리스마스 역시 새로운 악성코드 DeriaLock 랜섬웨어가 나타났다. 이번 보고서에서는 DeriaLock 랜섬웨어에 대해 알아보자. 2. 분석 정보 2-1. 파일 정보구분내용파일명DeriaLock.exe (임의의 파일명)파일크기581,632 bytes진단명Ransom/W32.Derialock.581632악성동작파일 암호화, 금전 요구네트워크a*********e.b*****d.net 2-2. 유포 경로정확한 유포 경로는 밝혀지지 않았지만, 해당 랜섬웨어가 크리스마스 이브에 유포되었다는 점에서 연말과 ..

[악성코드 분석]부팅 막는 랜섬웨어, Petya의 변종 GoldenEye

부팅 막는 랜섬웨어, Petya의 변종 GoldenEye 1. 개요 2016년 3월 MBR 영역을 변조하여 PC 부팅 시 해골 화면을 띄우는 랜섬웨어인 Petya 가 모습을 드러냈다. 이 랜섬웨어에 감염되면 MBR 이 변조 되는 것뿐만 아니라 MFT 까지 암호화를 진행하여 사용자가 PC 를 사용할 수 없도록 한 뒤 비트코인을 요구하였다. 5월에는 Petya가 Micha 와 함께 다시 나타나 MBR 뿐만 아니라 사용자의 파일까지 암호화 시키는 동작을 수행하였다.최근 Petya 랜섬웨어의 새로운 변종이 새로이 유포되고 있는 것이 확인되었다. 랜섬웨어에 감염된 사용자 PC 화면에 노란해골 화면을 띄우는 GoldenEye 랜섬웨어를 본 보고서에서 다루고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명G..

[악성코드 분석] 금융 정보 파밍형 악성코드 doubi.exe

금융 정보 파밍형 악성코드 doubi.exe 1. 개요 국내 금융 기관의 웹 서버를 가장하여 사용자의 금융 정보를 파밍하는 악성 코드는 아직까지 꾸준하게 유포되고있다. 이런 유형의 파밍형 악성코드 또한 다른 악성코드들과 마찬가지로 안티-바이러스(Anti-Virus)의 탐지를 피하기 위해 계속해서 다른 형태의 바이너리로 유포된다. 본 보고서에서는 앞서 설명한 금융 정보 파밍형 악성코드의 최근 유포 바이너리를 분석하여 금융 정보 파밍형 악성코드의 최근 동향을 다루었다. 2. 분석 정보 2-1. 파일 정보구분내용파일명doubi.exe파일크기264,792 byte진단명Banker/W32.Agent.264792악성동작금융 정보 파밍, 공인 인증서 탈취해쉬(MD5)C199F621BE7040C7C2D0466E15A7..

[악성코드 분석] 파일 바이러스 Bloored 분석

파일 바이러스 Bloored 1. 개요 대부분 사용자들이 일반적으로 악성코드하면 ‘바이러스(Virus)’를 떠오르기 마련이다. 바이러스는 사전적으로 ‘프로그램을 통해 감염되는 악성 소프트웨어’를 말하는데 보통 바이러스 감염 후에 공격자에게 실질적인 이득을 주는 기능이나, 기능 확장을 위한 추가 모듈 다운로드 및 실행 기능을 포함한다. 본 보고서에서 다루게 될 악성코드 Bloored는 앞서 설명한 바이러스 형태의 악성코드이며, 구조가 다른 바이러스들에 비해 비교적 단순하다. 본 보고서를 통해 바이러스가 다른 파일을 감염하는 방식과 공격자가 이를 이용해 불법적으로 이득을 취하는 방법을 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명Bloored.exe파일크기259,072 byte진단명Wor..

[악성코드 분석] 샌프란시스코 지하철 해킹에 사용된 Mamba 랜섬웨어

샌프란시스코 지하철 해킹에 사용된 Mamba 랜섬웨어 1. 개요 지난 11월 샌프란시스코 철도 시스템(일명 Muni)의 2,112 대 컴퓨터가 랜섬웨어에 감염되었다. 이로 인해 해당 역의 결제 시스템과 스케줄링 시스템을 사용할 수 없게 되었으며, 결국 전철을 임시로 무료 개방하는 상황에 이르렀다. 이번 사태에 이용된 랜섬웨어는 바로 Mamba(또는 HDDCryptor) 랜섬웨어다. 해당 랜섬웨어는 파일을 암호화하는 것이 아니라 하드 디스크를 암호화하기 때문에 부팅 시 지정된 암호를 입력해야만 PC 를 부팅할 수 있게 된다. 이번 분석보고서에서는 Mamba 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명mamba.exe (임의의 파일명)파일크기2,415,104 byte진단..

[악성코드 분석] ‘Park Geun-hye Resigns’ 기사 링크 주의, Cerber 랜섬웨어

‘Park Geun-hye Resigns’ 링크 주의, 이슈를 이용해 유포된 Cerber 랜섬웨어 1. 개요 악성코드 유포 방법은 다양한데, 이 중 하나로 사회적 이슈를 이용하는 방법이 있다. 사회적 이슈와 관련된 웹 페이지나 파일 등에 악성코드를 첨부하여 사용자가 접근했을 때 악성코드를 다운로드하고 감염을 시작한다. 최근엔 국내 가장 큰 이슈에 맞춰, 박근혜 대통령 이슈를 이용해 유포되는 랜섬웨어가 등장하였다. 하루에도 수 많은 관련 기사들이 나오고 대부분의 사람들이 관심 갖는 이슈인 만큼 감염되기 쉽다는 것이 큰 특징이다. 이번 보고서에선 ‘Park Geun-hye Resigns’이라는 자극적인 제목의 가짜 기사 링크로 접속을 유도하여, 사용자 PC를 감염시킨 Cerber 랜섬웨어에 대해 자세히 알아..

[악성코드 분석] 악성코드 접근을 숨겨주는 포트 루트킷 분석

악성코드 접근을 숨겨주는 포트 루트킷 1. 개요 루트킷(Rootkit)의 의미는 본래 Unix 계열의 관리자 계정인 루트(Root) 권한을 획득하기 위한 코드와 프로그램의 집합으로 사용되었다. 하지만 최근에 루트킷이 단순히 특정 악성코드가 시스템에서 탐지되지 않도록 악용되면서 이제 개인 PC에서 루트킷의 역할은 악성코드 은닉이 주가 되었다. 본 보고서에서는 악성코드가 통신하는 포트 또는 통신 대상의 IP를 기준으로 연결 정보를 숨겨주는 루트킷을 분석하여 포트 루트킷이 동작 방식을 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명SynDrives.sys파일크기3,840 byte진단명Trojan/W32.KRDDoS.3840악성동작포트 루트킷 2-2. 유포 경로SynDrives.sys는 이전에..

[월간동향] 2016년 10월 악성코드 통계

2016년 10월 악성코드 통계 악성코드 Top202016년 10월(10월 1일 ~ 10월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Adware(애드웨어) 유형이며 총 51,881건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Adware/SmartAddress.A Adware 51881건 2위 Trojan/XF.XF.Sic Trojan 4739건 3위 Trojan.GenericKD.3478486 Trojan 3114건 4위 Trojan/W32.Agent.4608.TK Trojan 3104건 5위 Virus/W32.Alm..