시큐리티대응센터 2036

[랜섬웨어 분석] Sepsys 랜섬웨어

Sepsys 랜섬웨어 주의! 지난 4월 중순에 Sepsys 랜섬웨어가 등장하였다. 해당 랜섬웨어가 실행되면 볼륨 섀도우 복사본을 삭제하며, 특정 디렉토리 내에 모든 확장자에 대하여 암호화를 진행하기에 큰 주의가 필요하다. 이번 보고서에서는 SepSys 랜섬웨어의 동작에 대해 알아보고자 한다. 해당 랜섬웨어는 사용자가 감염된 PC를 복구할 수 없도록 사전에 볼륨 섀도우 복사본을 모두 삭제 한 뒤, 암호화 동작을 수행한다. 또한 사용자의 PC IP정보를 서버로 전달하고, 자동실행 레지스트리 값에 자가 복제된 파일과 랜섬노트를 추가하여 윈도우 재부팅 시에도 동작이 수행되도록 만든다. 하기의 이미지와 같이, 윈도우 재부팅 시 동작하도록 자가 복제 파일과 랜섬노트를 Run 레지스트리에 등록한다. C2서버에 연결하..

[랜섬웨어 분석] VoidCrypt 랜섬웨어

VoidCrypt Ransomware 감염 주의 최근 “VoidCrypt”라 불리는 랜섬웨어가 발견되었다. 해당 랜섬웨어에 감염될 경우 정상적인 시스템 기능을 비활성화하고, 사용자의 파일을 암호화한다. 따라서 감염될 경우 큰 피해를 초래할 수 있어 주의가 필요하다. “VoidCrypt” 랜섬웨어가 실행되면, 원활한 악성 동작을 위해 다음 [표 1] 목록의 서비스 및 프로세스를 종료시킨다. 이후 [표 2]의 목록과 같이 윈도우 복구 모드 비활성화, 백업 카탈로그 삭제 및 방화벽을 비활성화 한다. 사용자 PC의 드라이브 목록을 검색한 뒤, 폴더 및 파일의 경로가 “Windows”인 경우를 제외한 모든 파일을 암호화한다. 암호화한 파일에는 Void 확장자를 덧붙이고, 랜섬노트를 생성한 뒤 실행하여 감염 사실과..

[악성코드 분석] 서류 배송으로 위장한 피싱 메일 주의

서류 배송으로 위장한 피싱 메일 주의 최근 특정 기업을 사칭해 서류 배송 관련 내용으로 위장한 피싱 메일이 발견되어 사용자의 주의가 필요하다. 이번에 발견된 메일의 제목은 ‘[DHL KOREA] 서류 도착 통지’로 되어있으며 잘못된 세관 신고로 인해 첨부파일의 문서를 숙지해달라는 내용으로 첨부파일 실행을 유도하고 있다. 첨부 파일은 디스크 이미지 파일(.img) 형식으로 되어있으며 더블 클릭할 경우, 자동으로 마운트 되어 내부에 존재하는 실행 파일(‘DHL Assessment Package.exe’)을 볼 수 있다. 이를 서류 배송 관련 문서로 착각해 실행하면 구글 드라이브에서 암호화된 ‘Formbook’ 악성코드를 다운받고 복호화한 뒤 실행한다. 실행된 ‘Formbook’ 악성코드는 정상 프로세스에 인..

[랜섬웨어 분석] VHD 랜섬웨어

VHD Ransomware 감염 주의 최근 “VHD”라 불리는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 메일과 그룹웨어 기능을 제공하는 Microsoft Exchange Server의 서비스를 종료하고, 사용자 시스템의 파일을 암호화한다. 따라서 감염될 경우 큰 피해를 초래할 수 있어 사용자의 주의가 필요하다. “VHD” 랜섬웨어가 실행되면 휴지통의 파일을 전부 삭제하고, 원활한 악성 동작을 위해 아래 [그림 1]과 같이 서비스를 종료시킨다. 이후 바탕화면에 “HowToDecrypt.txt” 랜섬노트를 생성하고 사용자 시스템의 드라이브 목록과 타입을 검색한다. 검색된 드라이브가 [표 1]의 제외 대상이 아닌 경우 최상단 경로에 랜섬노트를 추가로 생성한다. 위 조건의 해당하는 드라이브의 파일들을 검색한 뒤,..

[랜섬웨어 분석] Nephilim 랜섬웨어

진화하는 Nephilim 랜섬웨어 최근 코로나 바이러스 등의 여파로 다양한 종류의 랜섬웨어가 등장하며, Nemty 랜섬웨어 2.5에서 변형된 형태로 Nefilim 랜섬웨어가 나타났다. 그리고 잇달아 Nefilim 랜섬웨어의 변형된 형태인 Nephilim 랜섬웨어가 나타났다. 해당 랜섬웨어는 Nefilim 랜섬웨어와 유사한 동작을 하나, 기업을 타겟으로 하며 암호화 대상의 범위가 확대되는 등의 변형이 있어 큰 주의가 필요하다. 이번 보고서에서는 Nephilim 랜섬웨어의 동작에 대해 알아보고자 한다. 해당 랜섬웨어는 특정 파일과 디렉토리를 제외하고 암호화 동작을 수행한 뒤, Root 아래에 랜섬노트를 생성한다. 그리고 %Temp%에 랜섬노트 이미지 파일을 드롭하여 배경화면으로 지정하여 사용자에게 랜섬웨어 ..

3월 랜섬웨어 동향 및 RekenSom랜섬웨어 분석보고서

악성코드 분석보고서 1. 3월 랜섬웨어 동향 2020년 3월(3월 01일 ~ 3월 31일) 한 달간 랜섬웨어 동향을 조사한 결과, 국내에서는 이력서로 위장한 NEMTY 랜섬웨어가 2.6으로 버전 업 하여 다수 유포되었다. 해외에서는 프랑스 지방 정부 기관이 Mespinoza 랜섬웨어 공격을 받았으며, 보험 회사인 Chubb이 Maze 랜섬웨어에 공격당해 데이터가 유출된 사건이 있었다. 이번 보고서에서는 3월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 3월 등장한 RekenSom 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 소식 이력서로 위장한 NEMTY 랜섬웨어 유포 사례 최근 국내에서 유포 중인 NEMTY 랜섬웨어의 변종이 발견되었다. 2020년 1월부터 3월까지 확인..

[월간동향] 2020년 03월 악성코드 통계

1. 악성코드 통계 악성코드 Top20 2020년3월(3월 1일 ~ 3월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 73,273 건이 탐지되었다. 악성코드 유형 비율 3월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Trojan(트로잔)이 78%로 가장 높은 비중을 차지하였고, Exploit(익스플로잇)과 Worm(웜)이 각각 14%와 2%, Backdoor(백도어)와 Downloader(다운로더)가 각각 2%, 1%씩으로 그 뒤를 따랐다. 악성코드 진단 수 전월 비교 3월에는 악성코드 유..

[랜섬웨어 분석] Nefilim 랜섬웨어

데이터를 공개하겠다고 협박하는 Nefilim Ransomware 감염 주의 최근 등장한 “Nefilim” 랜섬웨어는 “Nemty” 랜섬웨어의 새로운 버전으로 추정되고 있으며, 실행 시 사용자의 파일들을 암호화한다. 암호화된 파일의 대가로 금품을 요구하며 7일 내로 공격자의 요구에 응답하지 않으면 데이터를 공개하겠다고 협박하고 있어 사용자의 주의가 필요하다. “Nefilim” 랜섬웨어 실행 시, 뮤텍스를 생성하여 중복 실행을 방지하고 현재 디스크 드라이브 목록 및 타입을 검색한다. 만약 디스크 타입이 이동식 혹은 고정식이라면 해당 드라이브 최상위 경로에 랜섬 노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다. 이후 드라이브의 파일들을 검색한 뒤 [표 1]의 암호화 제외 경로 및 확장자 목록과 비..

[랜섬웨어 분석] CoronaVirus 랜섬웨어

CoronaVirus Ransomware 감염 주의 코로나19 바이러스 이슈를 악용한 ‘CoronaVirus’ 랜섬웨어가 등장했다. 해당 랜섬웨어는 시스템 최적화 유틸리티를 제공하는 해외 특정 웹 사이트와 유사한 가짜 웹 사이트를 제작해서 가짜 유틸리티를 다운받도록 유도하고, 다운로드된 파일을 실행할 경우 정보 탈취형 악성코드 ‘Kpot’와 ‘CoronaVirus’ 랜섬웨어를 다운 및 실행한다고 알려진다. ‘CoronaVirus 랜섬웨어’는 파일 암호화를 진행하고 암호화된 파일을 ‘coronaVi2022@이메일___원본 파일명.원본 확장명’ 형태로 변경하며 ‘CoronaVirus.txt’ 랜섬 노트를 생성한다. 또한 정상적인 복구를 무력화하기 위해 볼륨 섀도우 복사본을 삭제 하고, 디스크 이름을 ‘Cor..

[랜섬웨어 분석] Onix 랜섬웨어

Onix Ransomware 감염 주의 “Onix”로 불리는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 확장자가 “.Onix”가 아닌 경우에는 지정된 형식에 따라 확장자를 변경하며, 볼륨 섀도우 복사본 삭제 및 복구 비활성화를 통해 복구를 무력화한다. 따라서 감염될 경우 큰 피해를 초래할 수 있어 주의가 필요하다. 먼저, “Onix” 랜섬웨어는 폴더마다 ‘TRY_TO_READ.html’ 형식의 랜섬노트를 생성하여 사용자에게 감염 사실과 복구 방법을 통보한다. 랜섬노트와 더불어 바탕화면을 [그림 2]와 같이 변경한다. “Onix” 랜섬웨어에 감염되어 암호화가 완료되면 확장자가 .ONIX가 아닌 파일의 확장자를 “{사용자 ID}.{메일}.ONIX”로 변경한다. 또한, 암호화 후 복구를 무력화 하기 위해 볼륨 섀..