잉카인터넷 시큐리티대응센터 블로그

1. 악성코드 통계 악성코드 Top20 2020년9월(9월 1일 ~ 9월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 30,981 건이 탐지되었다. 악성코드 유형 비율 9월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Trojan(트로잔)이 74%로 가장 높은 비중을 차지하였고, Exploit(바이러스)와 Worm(웜)이 각각 19%와 2%, Backdoor(백도어)와 Virus(바이러스)가 각각 2%, 1%씩으로 그 뒤를 따랐다. 악성코드 진단 수 전월 비교 9월에는 악성코드 유형별로 8월..

Badbeeteam Ransomware 감염 주의 최근 “Badbeeteam” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 배치파일을 통해 Oracle, SQL 등 데이터베이스 시스템과 관련된 서비스를 중지 시킨 뒤, 사용자의 파일을 암호화하고 있어 주의가 필요하다. 이번 보고서에서는 “Badbeeteam” 랜섬웨어에 대해 알아보고자 한다. “Badbeeteam” 랜섬웨어 실행 시 ‘사용자 폴더\AppData\Roaming\Microsoft\Visio’경로에 “start.bat” 배치파일을 생성 후 실행하여, 아래 [표 1]의 서비스를 중지시킨다. 그리고 시스템의 파일을 검색하여 “Windows” 폴더 이외에 파일들을 암호화하고, CRPTD 확장자를 덧붙인다. 파일 암호화 이후 ‘사용자 폴더\AppData\R..

Trickbot 악성코드는 모듈형 악성코드로 로더와 모듈이 존재한다. 로더는 악성 모듈을 다운받고 실행하는데, 과거에 Trickbot악성코드는 금융 정보를 탈취하는 기능을 가진 악성 모듈이 유포되어 Banker 악성코드로도 유명하다. 현재 유포되는 모듈 중에는 웹 브라우저에 저장된 사용자 계정 정보를 탈취하기 때문에 사용자의 주의가 필요하다. 이번 보고서에서는 ‘Trickbot’ 악성코드의 주요 악성 동작에 대해 알아본다. 해당 악성코드는 먼저 “%AppData%/TimeEr” 폴더를 생성하고 로더의 설정 파일을 생성한다. 생성된 설정 파일은 C2 서버 목록이 존재하며, C2 서버와 연결이 될 경우 “%AppData%/TimeEr/Data” 폴더에 암호화된 악성 모듈과 모듈의 구성 파일을 함께 생성한다...

Samba 취약점 보안 업데이트 권고 개요 Samba 소프트웨어에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 최신버전 업데이트를 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 버전으로 업데이트를 적용한다. - Samba AD DC 4.12.6 / 4.11.12 / 4.10.17 - 임시 방안으로 Samba 4.7 이하 버전의 경우 smb.conf 파일에서 [global] 섹션에 “server schannel = yes” 문구를 추가하여 (재부팅 필요) 취약점을 해결 할 수 있다. 참고자료 https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35675 https://www.samba.org/samba..

Mozilla 취약점 보안 업데이트 권고 개요 Mozilla는 Firefox에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 최신버전 업데이트를 권고하였다. 이와 관련된 대표 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 버전으로 업데이트를 적용한다. - Firefox 81 버전 - Firefox ESR 78.3 버전 참고자료 https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35676 https://www.mozilla.org/en-US/security/advisories/mfsa2020-42/ https://www.mozilla.org/en-US/security/advisorie..

Zhen Ransomware 감염 주의 최근 “Zhen” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 현재 실행중인 프로그램들을 종료시키고, 복구 무력화 및 사용자의 파일을 암호화 하고 있어 주의가 필요하다. 이번 보고서에서는 “Zhen” 랜섬웨어에 대해 간략하게 알아보고자 한다. “Zhen” 랜섬웨어 실행 시 ‘ProgramData’ 폴더에 원본과 동일한 파일명으로 복사 후 실행하고, [표 1]과 같이 복원 지점 삭제, 윈도우 복구 모두 비활성화 등 정상적인 복구를 방해하기 위한 명령을 수행한다. 그리고 현재 실행중인 프로세스 목록을 확인한 뒤, [표 2]의 목록에 해당하는 프로세스를 모두 종료시킨다. 프로세스 종료 후, 시스템의 파일을 검색하여 [표 3]의 암호화 대상 목록과 비교하여 조건에 부합하는 파일..

MS Windows Server 취약점 보안 업데이트 권고 개요 MS는 Windows Server에서 발생하는 취약점에 대한 보안 업데이트를 발표하고, 최신버전 업데이트를 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 버전으로 업데이트를 적용한다. - KB4571729, KB4571719, KB4571736, KB4571702, KB4571703 - KB4571723, KB4571694, KB4565349, KB4565351, KB4566782 참고자료 https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35672 https://portal.msrc.microsoft.com/en-US/security-gui..

P4YME Ransomware 감염 주의 최근 "P4YME" 랜섬웨어가 발견되었다. 해당 랜섬웨어는 파일을 암호화하는 대신 감염된 PC의 화면을 잠근 후 몸값을 요구한다. 만약, “P4YME” 랜섬웨어에 감염된 경우 정상적인 작업을 불가능하게 하여 상당한 주의가 필요하다. 이번 보고서에서는 “P4YME” 랜섬웨어에 대해 간략하게 알아보고자 한다. “P4YME” 랜섬웨어가 실행되면 잠금 화면을 표시하여 사용자가 감염된 PC를 정상적으로 사용하지 못하도록 한다. 또한, [그림 1]과 같이 랜섬노트를 띄워 잠금을 해제하기 위한 몸값으로 75유로(€ 75)를 요구한다. “P4YME” 랜섬웨어는 [그림 1]의 랜섬노트 생성 및 잠금 화면 표시 이전에 원활한 감염을 위해 [표 1]에 작성된 7개의 프로세스를 종료한..

Adobe 보안 업데이트 권고 개요 Adobe 사에서 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 대표 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Adobe Experience Manager v6.5.6.0, v6.4.8.2 - AEM Forms add-on Service Pack 6(AEM v6.5.6.0), Service Pack 8(AEM v6.4.8.2) - Adobe Framemaker v2019.0.7 - Adobe InDesign v15.1.2 참고자료 https://helpx.adobe.com/security.html https://www.krc..

ThunderX 랜섬웨어 주의 최근, ThunderX 랜섬웨어가 등장하였다. 해당 랜섬웨어는 일반적인 랜섬웨어와 유사하게 암호화 동작을 수행하고 감염된 PC를 복구 불가능하도록 하지만, 광범위한 대상에 대하여 악성 동작을 수행하기에 감염된다면 큰 피해를 초래할 수 있다. 이번 보고서에서는 ThunderX 랜섬웨어의 동작에 대해 알아보고자 한다. 해당 랜섬웨어의 랜섬노트는 암호화가 이루어진 파일 경로에 “readme.txt”라는 이름으로 생성되어 사용자에게 감염사실을 알린다. 암호화 동작이 이행되기 전에 아래의 이미지와 같이 볼륨섀도우 복사본을 삭제하고, 자동복구를 비활성화로 설정하여 악성동작이 진행된 뒤, 복구가 불가능하도록 한다. 사용중인 모든 드라이브를 대상으로 일부 디렉토리와 확장자를 제외하고 암호..