시큐리티대응센터 2036

[랜섬웨어 분석] RegretLocker 랜섬웨어

RegretLocker Ransomware 감염 주의 최근 "RegretLocker” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 특정 파일 및 폴더를 제외한 모든 파일에 대해 암호화를 하고, 랜섬노트를 띄운 후 피해자에게 몸값을 요구한다. 또, 가상 하드 디스크 파일(VHD)을 마운트하는 동작과 실행중인 프로세스를 종료한 뒤 암호화하는 동작이 추가되어 효과적인 암호화가 이루어지므로 사용자의 주의가 필요하다. “RegretLocker” 랜섬웨어에 감염되면 [표 1]의 특정 파일 및 폴더를 제외한 모든 확장자의 파일이 암호화 된다. 암호화 이후 파일명의 확장자 뒤에 “.mouse”라는 이름의 확장자를 덧붙인다. 추가적으로 암호화 대상 폴더에 “HOW TO RESTORE FILES”라는 이름으로 txt 확장자의 ..

피싱 문자 주의

택배 회사를 사칭한 피싱 문자 주의! 택배 회사를 사칭한 피싱 문자는 바쁜 현대인들이 인터넷 거래와 택배 거래를 자주 이용하여 일상 생활에서 쉽게 받을 수 있는 택배 배송 문자를 악용한 피싱 문자이다. 해당 문자는 피싱 문자라고 생각할 수 없어 무의식적으로 첨부된 링크를 클릭하게 만들기에 효과적이다. 최근 이런 택배 배송 메시지를 사칭한 피싱 문자가 발견되어 사용자들의 주의가 필요하다. 아래의 피싱 문자는 링크가 첨부된 택배 회사를 사칭한 문자이다. 해당 문자의 내용은 사용자들이 자주 사용하는 택배 회사명과 함께 첨부된 링크의 클릭을 유도하고 있다. 해당 링크를 클릭하면 포털 사이트 아이디로 로그인하라는 메시지가 화면에 나타난다. 그 이후 국내 유명 포털 사이트 로그인 창을 사칭한 웹사이트로 접속된다. ..

피싱 메일 주의

악성 피싱 메일 주의! 최근 자주 등장하는 특정 기업을 사칭한 피싱 메일 뿐만 아니라 사용자를 불안하게 하는 내용의 글을 이용하여 협박하는 혹스(Hoax) 메일이 유포되고 있어 사용자들의 주의가 필요하다. 아래의 피싱 메일은 최근 불특정 다수에게 유포된 혹스(Hoax) 메일이다. 해당 메일은 사용자가 방문했던 성인사이트에 의해 감염되어 사용자의 은밀한 영상을 유포하겠다는 내용으로 사용자의 심리를 자극하여 협박하며 금전을 요구하고 있다. 또, 발신자가 사용자 메일 계정으로 되어있음을 강조하여 사용자가 해킹당했음을 인지시키고 있지만 이는 속임수를 사용한 것이다. 아래의 피싱 메일은 유명 해외 거래소를 사칭한 메일이다. 해당 메일은 첨부된 Office 파일의 인보이스를 검토해 달라는 내용이 담겨있다. 또, 발..

피싱 메일 주의

인보이스를 사칭한 피싱 메일 주의! 인보이스 사칭 피싱 메일은 유명한 글로벌 인터넷 거래 사이트를 사칭하여 거래소를 이용하는 사용자들에게 피해를 입힌다. 가짜 메일은 정상적인 인보이스 메일과 비교하여 육안으로 구별할 수 없기에 사용자를 속이기에 효과적인 피싱 메일이다. 최근 이런 인보이스 사칭을 통한 피싱 메일이 발견되어 사용자들의 주의가 필요하다. 아래의 피싱 메일은 인보이스 확인을 요청하는 피싱 메일이다. 해당 메일은 첨부파일의 인보이스를 확인하고 빠른 시일 내에 송금해 달라는 내용과 함께 Office 문서 파일을 첨부하고 있으며, 첨부 파일 실행 시 내부 매크로에 의해 악성 파일을 다운로드하여 실행시켜 이용자의 PC를 감염시킨다. 아래의 피싱 메일은 유명 해외 거래 사이트 A사를 사칭한 메일이다. ..

10월 랜섬웨어 동향 및 TechandStart 랜섬웨어

악성코드 분석보고서 1. 10월 랜섬웨어 동향 2020년 10월(10월 01일 ~ 10월 31일) 한 달간 랜섬웨어 동향을 조사한 결과, 해외에서는 프랑스 및 독일 유명 게임 개발사 유비소프트(Ubisoft)와 크라이텍(Crytek)이 지난 9월 중순에 등장한 “Egregor” 랜섬웨어 공격을 받았다. 또한, 미국 스키 및 골프 리조트 운영 업체 Boyne Resorts가 7월부터 활동 중인 “WastedLocker” 랜섬웨어 공격을 받았으며, 독일 소프트웨어 기업인 Software AG는 “Clop” 랜섬웨어 공격을 받아 데이터가 유출되었다. 1-1. 국내/외 랜섬웨어 소식 독일 소프트웨어 기업 Software AG, Clop 랜섬웨어 피해 사례 지난 10월 초, 독일 소프트웨어 기업인 Software..

[랜섬웨어 분석] Clay 랜섬웨어

Clay Ransomware 감염 주의 최근 "Clay” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 특정 폴더에 대해 암호화를 하고, 랜섬노트를 띄워 피해자에게 몸값을 요구한다. 그리고 레지스트리 변조를 통해 부팅이 정상적으로 일어나지 않게 하기 때문에 주의가 필요하다. “Clay” 랜섬웨어에 감염되면 ‘Desktop’ 및 ‘Downloads’ 경로의 모든 확장자를 암호화 한다. 암호화 이후에 파일의 확장자는 바뀌지 않는다. 감염이 완료되면 랜섬노트 창을 띄우며 해당 창을 종료할 수 없도록 만든다. 그리고 랜섬노트 창 아래에 1시간의 시간이 주어지며 해당 시간이 지나면 PC를 강제로 재부팅한다. 랜섬노트 창을 실행 직후 레지스트리 값을 변경하여 사용자가 랜섬웨어를 강제 종료할 수 없도록 작업관리자를 비활성화..

피싱 메일 주의

인보이스를 사칭한 피싱 메일 주의! 인보이스 사칭 피싱 메일은 해외 거래를 할 때 사용하는 송장 정보인 ‘인보이스’를 사칭하여 사용자가 받을 만한 메일을 보내는 기법을 말한다. 해당 피싱 메일은 사용자가 필수적으로 확인해야하는 정보를 담고있기에 첨부파일 및 링크를 클릭할 수 밖에 없게 하여 효과적이다. 최근 이런 인보이스 사칭을 통한 피싱 메일이 발견되어 사용자들의 주의가 필요하다. 아래의 피싱 메일은 파일이 첨부된 인보이스를 사칭한 메일이다. 해당 메일은 주문 내역과 함께 첨부 파일 문서를 숙지해 달라는 내용으로 첨부파일 실행을 유도하고 있다. 첨부 파일은 Office 파일로 실행할 경우, 자세히 보려면 컨텐츠 사용 버튼을 누르도록 유도한다. 컨텐츠 사용 버튼을 클릭하면 Office 파일에 적용된 매크..

[취약점 분석] Cisco 취약점 보안 업데이트 권고

Cisco 취약점 보안 업데이트 권고 개요 Cisco는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 최신버전 업데이트를 권고하였다. 이와 관련된 대표 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 버전으로 업데이트를 적용한다. - Cisco IOS XR Software 7.0.2, Cisco FMC / FTD Software 6.6.1 - Cisco FXOS 2.7.1.131, Cisco ASA Software 9.14.1.15 참고자료 https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35745 https://tools.cisco.com/security/center/pub..

취약점 정보 2020.10.29

[취약점 분석] Mozilla 취약점 보안 업데이트 권고

Mozilla 취약점 보안 업데이트 권고 개요 Mozilla는 제품에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 최신버전 업데이트를 권고하였다. 이와 관련된 대표 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 버전으로 업데이트를 적용한다. - Firefox 82 버전 - Firefox ESR 78.4 버전 - Thunderbird 78.4 버전 참고자료 https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35738 https://www.mozilla.org/en-US/security/advisories/ https://www.mozilla.org/en-US/security/advi..

취약점 정보 2020.10.29

[악성코드 분석] WSH RAT 악성코드 분석 보고서

지난 해에 등장한 ‘WSH RAT’이 최근 다시 모습이 나타나고 있다. 해당 악성코드는 PDF Reader Installer 을 가장한 파일로, 자바 스크립트 파일을 드롭하여 악성 동작을 수행한다. 악성 동작이 수행될 때, 정상 Installer 파일도 함께 실행하여 사용자가 눈치채지 못하게 하기에 큰 주의가 필요하다. 해당 악성코드가 실행되면, 정상 PDF Reader Installer을 드롭하고 실행한다. 정상 Install 파일의 화면을 띄우고, 악성 자바 스크립트 파일을 드롭 및 실행한다. 해당 스크립트 파일은 난독화 되어있어 일반 사용자는 파일 내용을 확인하기 힘들도록 한다. 아래의 빨간색 상자는 인코딩된 메인 코드이다. 인코딩된 메인 코드를 base64로 디코딩하면 다음과 같은 스크립트를 확인..