시큐리티대응센터 2044

[악성코드 분석] BERPOY.exe (인터넷 뱅킹 파밍, 인증서 탈취)

BERPOY.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 BERPOY.exe 파일크기 79,368 byte 진단명 Trojan/W32.KRBanker.79368 악성동작 인터넷 뱅킹 파밍, 인증서 탈취 연결대상 **7.**3.**9.**8 특징 DNS 및 host 파일 변조, 인증서를 네트워크로 전송 1.2. 분석환경 운영체제 Windows XP SP3 분석도구 Process Monitor, Process Explorer, Autorun, Regshot, Wireshark ​ 1.3. 전체흐름도 ​ ​ 2. 분석정보 ​ 2.1. 파일 유포 방식 특정 학회 웹 서버에 업로드된 악성파일 (http://ch*********.net/ba********/*/ BERPOY.exe) 이 다운로드 ..

[악성코드 분석] system1.exe (인터넷 뱅킹 파밍, 인증서 탈취)

system1.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 system1.exe 파일크기 145,408 byte 진단명 Trojan/W32.KRBanker.145408.B 악성동작 인터넷 뱅킹 파밍, 인증서 탈취 특징 hosts 및 hosts.ics 파일 변조를 통해 가짜 사이트로 유도 인증서를 드라이브, 폴더 별로 압축하여 보관 자동실행으로 지속적 인증서 탈취 1.2. 분석환경 운영체제 Windows XP SP3 32bit (한글) 분석도구 Process Explorer, Wireshark, NetMon, OllyDbg 등 ​ 1.3. 전체흐름도 ​ ​ 2. 분석정보 ​ 2.1. 파일 유포 방식 ​ 온라인 쇼핑몰 www.we******ak**.com 로 접속 시 98.***.***...

[악성코드 분석] nv.exe (인터넷 뱅킹 파밍, 인증서 탈취)

nv.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 nv.exe 파일크기 129,024 byte 진단명 Trojan/W32.KRBanker.129024.F 악성동작 인터넷 뱅킹 파밍, 인증서 탈취 특징 hosts 및 hosts.ics 파일 변조를 통해 가짜 사이트로 유도 인증서를 드라이브, 폴더 별로 압축하여 보관 1.2. 분석환경 운영체제 Windows 7 Ultimate K SP1 (한글) 분석도구 Process Explorer, Wireshark, NetMon, Hxd 등 ​ 1.3. 전체흐름도 ​ ​ 2. 분석정보 ​ 2.1. 파일 유포 방식 ​ 특정 종교용품 판매 쇼핑몰에 접속 시 해당 사이트에 삽입된 악성 스크립트 (http://so*******y.kr/u***ad/b**/i..

[월간동향] 2015년 9월 악성코드 통계

2015년 9월 악성코드 통계 (1) 악성파일 탐지 현황 2015년 9월(9월 1일 ~ 9월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 *악성파일 현황을 조사하였으며, [표 1]은 접수된 악성파일 중 가장 많이 탐지된 악성파일 20건을 탐지 건수를 기준으로 정리한 악성파일 Top20현황이다. 가장 많이 탐지된 악성파일은 Trojan(트로이목마) 유형의 Gen:Trojan.Heur.JP.iu1@a83oRFmP이며 총 12,044명의 사용자가 피해를 입었다. *악성파일 현황은 nProtect Anti Virus-Spyware(nProtect AVS) 등 nProtect 제품에서 탐지된 악성파일을 기준으로 작성됨. [표 1] 2015년 9월 악성파일 Top20 현황 (2) 악성코드 ..

잉카인터넷, 회사소개 웹사이트 개편

잉카인터넷, 회사소개 웹사이트 개편, 전문성과 인재 중심 기업문화를 강조 2015년 9월 17일 - 잉카인터넷(대표 주영흠, www.inca.co.kr)이 정보보안 강소기업으로 성장하기까지 걸어온 발자취와 기업문화를 엿볼 수 있는 회사소개 웹사이트(inca.co.kr)를 17일 전면 개편했다고 밝혔다. 이번에 개편한 웹사이트는 정보보안 분야의 노하우와 고객중심의 경영철학을 강조하였으며 사업영역으로 금융보안, 게임보안, 모바일보안, 엔드포인트보안을 한눈에 확인할 수 있도록 하였다. 우선 메인화면에서는 고객에게 전하고자 하는 메시지가 가장 먼저 눈길을 끈다. △보안을 넘어, 보다 나은 인터넷생활을 위하여 △금융, 게임, 모바일, 엔드포인트 등 다양한 영역의 보안 강화 △믿을 수 있는 인증된 솔루션과 서비스 ..

안내사항 2015.09.17

한국 맞춤형 취약점을 활용하는 북한 사이버 공격

1. 차별화된 보안 취약점을 결합한 워터링 홀 공격 북한의 사이버 침투공격이 갈수록 노골적이면서 과감해지고 있어 각별한 주의가 필요한 상황이며, 이들은 다양한 공격방식을 동원해 주기적으로 새로운 악성파일 유포에 집중하고 있다. 북한 사이버공격은 휴전이 아닌 현재 진행형 위협 http://erteam.nprotect.com/474 6.25 사이버전, 국내 주요 사이트 해킹 공격 받는 중 http://erteam.nprotect.com/429 6.25 사이버전, 신문사, PC방 프로그램 업데이터 모듈공격 최초공개 http://erteam.nprotect.com/427 7.7 DDoS 공습 1주년에 즈음한 과거로의 시간 여행 http://erteam.nprotect.com/1 대표적으로 이메일에 HWP 등 문..

북한 사이버공격은 휴전이 아닌 현재 진행형 위협

1. 서막에 불과! 언제 어디서나(?) 대남 사이버공작 과거와 달리 현대에서는 정보통신기술 발달과 고속 네트워크 인프라의 확충으로 주요 정부기반 시설 및 국가방위 지휘통제 체계 등이 자동화 기반의 컴퓨터 시스템으로 운용되고 있다. 이렇듯 국가 주요 시스템이 다양한 전산망으로 연결되어 있기 때문에 그에 대한 보안은 매우 중요하다. 지난 2009년 7월 7일 발생한 DDoS 공격, 2013년 3월 20일 발생한 언론사·금융사 등을 상대로 한 사이버테러, 2013년 6월 25일 어나니머스 국제 해킹그룹을 사칭한 사이버전(戰) 등 북한의 사이버테러는 갈수록 과감하고 노골적으로 발전되고 있다. 북한의 국지적 도발 전략은 물론이고, 사이버 상으로도 대한민국의 안보를 크게 위협하고 있는 실정이다. 이를테면 김일성 군..

[주의]Drive by download 방식에 모바일 공격코드 추가

1. 웹 접속만으로 무조건 악성파일에 감염된다? 그건 아니다! 2005년 경부터 보안이 허술한 국내 웹 사이트가 변조되어 각종 악성파일이 끊임없이 유포시도 되고 있다. 보통 Drive by download 방식이라고 말하는 이 기법은 대표적인 3대 취약점(Microsoft, Adobe, Oracle)들이 주로 이용되고 있다. 따라서 이용자들은 마이크로 소프트사의 운영체제와 응용프로그램, 어도브사의 플래시 플레이어와 PDF 리더, 오라클사의 자바 프로그램 등을 항시 최신버전으로 업데이트하여 시스템을 유지하고, 개인용 보안솔루션을 함께 활용하면 악성파일 감염 빈도를 충분히 낮출 수 있다. 이용자 컴퓨터에 원격코드 실행가능한 보안취약점이 존재하지 않는 경우 악의적인(Exploit) 코드가 삽입된 웹 사이트에 ..

[주의]포털사 계정중지 내용으로 사칭한 스피어피싱 공격

1. 포털사 이메일 계정중지로 개인정보 수집형 공격 2014년 02월 17일 마치 국내 유명 포털사이트의 이메일 공지내용처럼 사칭한 스피어피싱 표적공격이 발견되었다. 기존의 스피어시핑 수법과는 다르게 악성파일을 첨부하는 형태가 아니라 이메일 본문에 가짜 피싱사이트 주소를 연결하여 수신자로 하여금 비밀번호를 입력하도록 유도한 방법이다. 특히, 수신자가 대한민국 정부기관에 소속되어 있는 인물로 공격자는 정부기관에 근무하는 중요정보를 탈취하기 위한 목적으로 이번 공격을 감행한 것으로 추정된다. [주의]HWP 취약점을 이용한 북한의 사이버 침투활동 증가 ☞ http://erteam.nprotect.com/463 [주의]우주항공기술과 세계평화공원 학술회의 내용의 HWP 표적공격 ☞ http://erteam.npr..

[주의]신용카드 개인정보유출 내용을 사칭한 스미싱 전파 중

1. 신용카드 정보유출로 현혹 중인 스미싱 발견 잉카인터넷 대응팀은 2014년 01월 23일 오후 1시 26분 경 스미싱 원천 차단솔루션인 [뭐야 이 문자] 앱 이용자를 통해서 신용카드 정보유출 정보 확인내용으로 가장한 신종 스미싱 정보를 신고받았다. 관심사가 높은 사회적인 이슈를 사이버 범죄자들이 매우 적극적으로 활용하고 있기 때문에 안드로이드 스마트폰 이용자들의 각별한 주의가 요구된다. 더불어 안드로이드 스마트폰 이용자들은 악성앱 설치용 스미싱 공격에 직접적인 겨냥이 되고 있다는 점을 명심하고, 의심스러운 문자메시지를 무심코 클릭하거나 접속해 보지 않도록 하여야 한다. 또한, 잉카인터넷에서 무료로 배포 중인 [뭐야 이 문자] 앱을 설치해 두면 다양한 형태의 스미싱을 사전에 탐지하여 차단할 수 있다. ..