시큐리티대응센터 2044

[악성코드 분석] MBR 변조에 파일 암호화까지, PETYA-MISCHA 변종 랜섬웨어 주의

MBR 변조에 파일 암호화까지, PETYA-MISCHA 변종 랜섬웨어 분석 보고서 1. 개요지난 4월 시큐리티 대응센터에선 일반 랜섬웨어 다르게 컴퓨터 하드디스크의 MBR 코드를 변조시켜 정상부팅을 막는 PETYA 랜섬웨어를 분석한 바 있다. 독일어로 이력서란 파일명으로 위장하여 사용자의 PC를 감염을 유도한 PETYA 랜섬웨어, 이 랜섬웨어가 파일 암호화 동작까지 추가된 PETYA-MISCHA 변종으로 나타나 사용자의 주의가 요구된다. 참고 : PEYTA 랜섬웨어 보고서 2. 분석 정보2-1. 파일 정보구분내용파일명PDFBewerbungsmappe.exe파일크기899,584 Byte진단명Trojan/W32.Mikhail.899584악성동작혼합 랜섬웨어 2-2. 유포 경로PETYA 랜섬웨어가 독일어로 된..

[월간동향] 2016년 6월 악성코드 통계

2016년 6월 악성코드 통계 악성코드 Top202016년 6월(6월 1일 ~ 6월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로이잔) 유형이며 총 2,167건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Trojan/XF.Sic Trojan 2167건 2위 Gen:Variant.Graftor.2652 Trojan 2082건 3위 Trojan/W32.Agent.4608.TK Trojan 1867건 4위 Gen:Trojan.Heur.FU.xC0@aOJQD!oi Trojan 1728건 5위 Gen:Trojan.H..

[악성코드 분석] JavaScript(JScript)를 이용한 RAA 랜섬웨어

JavaScript(JScript)를 이용한 RAA 랜섬웨어 1. 개요JavaScript를 이용하여 동작하는 랜섬웨어가 발견됐다. Script 언어를 활용하여 악성코드를 추가적으로 다운로드 하거나 부수적 동작을 수행하는 악성코드는 이전에도 있었지만, JavaScript(.js) 단일 파일로 암호화를 진행하는 랜섬웨어는 근래 보기 힘든 악성동작이라 주의가 필요하다. 잉카인터넷 시큐리티 대응센터에선 이번 보고서를 통해 JavaScript로 동작하는 RAA 랜섬웨어를 알아보고 대책 방안에 대해 살펴보고자 한다. 2. 분석 정보2-1. 파일 정보구분내용파일명RAA.js파일크기758,931 Byte진단명Script-VBS/W32.RAA악성동작파일 암호화를 통한 Bit-coin 요구 2-2. 유포 경로RAA 랜섬웨..

[악성코드 분석] 북한이 사용한 악성 프로그램 ‘유령쥐’ (Gh0st RAT)

북한이 사용한 악성 프로그램 ‘유령쥐’ 1. 개요지난 6월 13일 경찰청 사이버안전국은 북한이 4차 핵실험 직후인 2월, 국내 대기업 전산망을 해킹했음을 발표하였다. 발표에 따르면 북한은 악성 프로그램 ‘유령쥐’를 이용해 13만여대의 컴퓨터를 감염시켰다고 한다. 이번 보고서에선 이 유령쥐를 자세하게 알아보고자 한다. 실행파일명은 zegost.exe로 통칭 Gh0st RAT의 변종으로 불리고 있다. 여기서 RAT은 Remote Access Tool 혹은 Remote Administrator Tool로 불리며 단어의 차이는 있으나 그 뜻은 원격 접속을 보장하는 도구로 같다. 유령쥐라는 명칭 또한 Gh0st RAT이라는 영문이름에서 비롯된 것으로 보인다. 2. 분석 정보2-1. 파일 정보구분내용파일명svchs..

[악성코드 분석] 이동식 디스크를 통해 전파되는 ZCrypt 랜섬웨어 주의

이동식 디스크를 통해 전파되는 ZCrypt 랜섬웨어 분석 보고서 1. 개요 최근 랜섬웨어의 공격 및 전파 방식이 한층 더 다양해지고 있다. 이번 보고서에서 분석한 ZCrypt 는 autorun.inf 를 이용해 사용자 PC를 감염시킨다. 이 공격방법은 최근 여러 악성코드와 비교할 때 상대적으로 사용하지 않는 방식인데, 이를 통해 해커들이 수 많은 랜섬웨어 변종을 양산하며 다양한 공격을 시도하고 있다는 것을 알 수 있다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 ZCrypt.exe (파일명 확인되지 않음) 파일크기 536, 699 Byte 진단명 Ransom/W32.ZCryptor.536699 악성동작 파일 암호화를 통한 금전(Bit-coin) 요구 2-2. 유포 경로 랜섬웨어는 대체적으로 불..

[악성코드 분석] 다운로드 프로그램으로 위장한 애드웨어 배포 주의

다운로드 프로그램으로 위장한 애드웨어 배포 주의 1. 개요컴퓨터를 사용하다보면 컴퓨터 문의 중 한 번쯤 이런 말을 들어봤을 것이다. “아무것도 하지 않았는데 컴퓨터가 느려졌어요.” “인터넷을 하는데 자꾸 이상한 광고가 나와요. 고쳐주세요.” 이런 문제가 있는 PC를 들여다보면 대부분 애드웨어가 원인인 것으로 밝혀진다. 애드웨어의 유포는 여러 경로지만, 보통 특정 프로그램을 설치할 때 사용자가 인지하기 힘든 방식으로 추가 설치되어 골치를 꽤 썪이곤 한다. 사실 추가설치 자체는 잘못된 방식이 아니다. 마이크로소프트사의 오피스 프로그램만 하더라도 ‘워드’만 설치할지, ‘엑셀’도 설치할지 사용자 편의에 맞게 프로그램 설치를 할 수 있기에 추 후 있을 사항을 대비해 추가설치는 꼭 필요한 형태의 설치 방식이다. 또..

[월간동향] 2016년 5월 악성코드 통계

2016년 5월 악성코드 통계 악성코드 Top202016년 5월(5월 1일 ~ 5월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로이잔) 유형이며 총 6,513건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Trojan.Generic.16137213 Trojan 6513건 2위 Trojan/XF.XF.Sic Trojan 3568건 3위 Gen:Variant.Graftor.2652 Trojan 2637건 4위 Gen:Trojan.Heur.JP.ju2@aOy0xLkP Trojan 2278건 5위 Trojan.Gen..

[악성코드 분석] CryptXXX 랜섬웨어 주의

CryptXXX 랜섬웨어 분석 보고서 1. 개요 흔히 많은 사람들은 악성코드는 .exe 파일을 실행하여 감염되는 것으로 알고 있다. 하지만 사람들의 생각과 다르게 .exe 파일 실행이 아니어도 악성코드에 감염되는 방식은 다양하다. 이번 보고서에서는 그 예 중 하나로 .dll 파일형태이며 최근 대형 커뮤니티에 유포되어 문제를 일으킨 랜섬웨어 CryptXXX에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 CryptXXX.dll (임의의 파일명) 파일크기 402, 432 Byte 진단명 Ransom/W32.CryptXXX.402432 악성동작 파일 암호화를 통한 Bit-coin 요구 2-2. 유포 경로 CryptXXX 는 주로 Angler Exploit Kit 을 통해 전파된다..

[악성코드 분석] 백도어 악성코드 분석

백도어 악성코드 분석 보고서 1. 개요 여러 악성코드 종류 중에서 표적의 정보를 탈취하거나 추가적인 공격에 흔히 사용되는 악성코드를 백도어 악성코드라고 불린다. 일반적으로 백도어의 의미는 사용자에게 정상적인 인증을 거치지 않고 공격자가 PC에 접근할 수 있는 동작을 말한다. 이번 보고서에서는 백도어 악성코드를 분석하여 백도어 악성코드가 가지고 있는 일반적인 기능과 방식에 대해 이야기한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 server.exe 파일크기 737,280 Byte 진단명 Trojan-Spy/W32.Agent.737280.D 악성동작 백도어, 사용자 정보 탈취 3. 악성 동작 3-1. 추가 악성 파일 다운로드 분석한 악성코드는 특정 URL에서 추가적인 파일을 내려 받고 실행시킨..

[악성코드 분석] 인터넷 뱅킹 파밍 KRbanker 악성코드 주의

인터넷 뱅킹 파밍 KRBanker 악성코드 분석 보고서 1. 개요 인터넷뱅킹 파밍 악성코드는 정부 및 금융기관의 노력에도 불구하고 해커들의 공격 수단으로 계속 사용되고 있다. 다수의 안티 바이러스 업체에서 파밍 악성코드를 진단 치료하지만, 이러한 대응이 무색하게 끊임없이 변종을 양산해 내고 있어 치료에 한계가 따른다. 이 보고서에서는 활동이 급증하고 있는 악성파일 'KRBanker'을 분석하여, 금융권 파밍 악성코드의 감염방식에 대해 알아보고 대응책을 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 KRBanker_d8dba.exe 파일크기 338,944 byte 진단명 Banker/W32.Agent.338944 악성동작 금융정보 탈취 네트워크 104.***.***.27 (파밍서버..