잉카인터넷 시큐리티대응센터 블로그

파일을 파괴하는 Ordinypt 랜섬웨어 1. 개요 사용자 PC에 접근하여 파일을 암호화하고 그에 대한 대가를 요구하는 것이 일반적인 랜섬웨어의 특징이다. 하지만 최근 등장한 Ordinypt 랜섬웨어는 파일에 비정상적인 데이터를 삽입하여 훼손한 뒤, 거짓으로 복구를 약속하며 금전을 요구한다. 이러한 모습의 악성코드는 추후에 지속적으로 등장할 수 있기에 주의가 필요하다. 이번 보고서에서는 Ordinypt 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 Ordinpyt 랜섬웨어가 실행되면, 시스템 폴더를 제외한 모든 경로에 있는 파일들의 확..

암호화폐 지갑 정보를 훔치는 InnfiRAT 주의 1. 개요 최근 해외 보안업체에 따르면 암호화폐 지갑 정보를 훔치는 ‘InnfiRAT’ 악성코드가 새롭게 발견되었다고 알려진다. 이외에도 ‘InnfiRAT’ 악성코드는 브라우저에 저장된 사용자의 계정 정보를 탈취하고 화면 캡처, 특정 프로세스 종료, 파일 다운로드 및 실행 기능이 포함되어있다. 이번 보고서에서는 ‘InnfiRAT’ 악성코드의 주요 악성 동작에 대해 알아본다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 악성코드의 정확한 유포 경로는 밝혀지지 않았다. 2-3. 실행 과정 해당 악성코드를 실행하면 먼저 “%AppData%” 경로에 ‘NvidiaDriver.exe’ 파일명으로 자가 복제 및 실행한다. 실행된 ‘NvidiaDriv..

기업을 노리는 TFlower 랜섬웨어 감염 주의 1. 개요 최근 랜섬웨어 개발자들이 기업과 정부 기관을 공격해서 막대한 돈을 번 사례가 많았기 때문에, 기업을 대상으로 하는 랜섬웨어가 많이 발견되고 있다. 그 중 TFlower 랜섬웨어는 8월 초부터 해커들이 실제 공격에 사용하기 시작한 랜섬웨어로, 기업의 원격 데스크톱 서비스(RDP)를 해킹하여 유포된다고 알려졌다. 해당 랜섬웨어는 감염 후 확장자를 변경하지 않기 때문에 사용자가 감염 여부를 인지하고 대응하는데 시간이 지연될 것으로 예상된다. 이번 보고서에는 최근에 발견 된 TFlower 랜섬웨어 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 랜섬웨어는 기업을 대상으로 원격 데스크톱 서비스(RDP)를 해킹해서 유포..

Is Ransomware 감염 주의 1. 개요 지난 9월에 Is라고 불리는 새로운 랜섬웨어가 발견되었다. 해당 랜섬웨어는 이력서 pdf 파일 형태로 위장하여 유포된 것으로 알려져 있으며, 최근 문서로 위장한 형태의 랜섬웨어가 다수 발견되고 있어 사용자의 주의가 필요하다. 이번 보고서에서는 Is 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 Is 랜섬웨어는 실행파일을 Eva Richter의 이력서 pdf파일로 위장하여 유포된 것으로 알려져 있다. 2-3. 실행 과정 Is 랜섬웨어 실행 시 암호화 제외 대상을 확인 후 암호화 대상 파일을 선별하여 암호화하며, 이동식 드라이브 또한 암호화한다. 이후 랜섬노트를 생성하고 시작프로그램으로 등록한다. 마지막으로 볼륨 섀도우..

정보 탈취형 Krypton Stealer 악성코드 감염 주의 1. 개요 최근 해외 보안업체에 따르면 ‘Krypton Stealer’ 정보 탈취형 악성코드가 새롭게 발견되었다고 알려진다. ‘Krypton Stealer’ 악성코드 제작자는 다크 웹 포탈에서 악성코드를 서비스 형태(MaaS: Malware-as-a-Service)로 판매하고 있으며, 2019년 4월경 1.1버전 이후 현재 1.2 버전으로 업데이트되었다. 이번 보고서에서는 정보 탈취형 ‘Krypton Stealer’ 악성코드의 주요 악성 동작에 대해 알아본다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 해당 악성코드를 실행하면 탈취한 정보를 저장하기 위해 “C:\Users\Public” 경로에 폴더를 생성하고 폴더 명은 하드웨어 프..

업데이트된 JSWorm 4.0.2 랜섬웨어 1. 개요 2019년 초기에 등장한 JSWorm 랜섬웨어는 최근 4.0.2 버전으로 등장하였다. 해당 버전의 경우, 일반적인 랜섬웨어와 동일하게 암호화 동작을 하고, 백업 섀도우 볼륨을 삭제한다. 그러나 JSWorm 랜섬웨어의 경우, 꾸준히 업그레이드하고 있어 더 큰 피해를 초래할 수 있기 때문에 지속적인 주의를 필요로 한다. 이번 보고서에서는 JSWorm 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 JSWorm 랜섬웨어는 시스템 디렉토리 및 특정 확장자를 제외하고 파일을 암호화하며, 모든 ..

8월 랜섬웨어 동향 및 Nemty 랜섬웨어 분석보고서 1. 8월 랜섬웨어 동향 2019년 8월(8월 01일 ~ 8월 31일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 한국어 메시지를 포함한 Maze 랜섬웨어가 발견되었고, 입사지원서와 우리은행등을 사칭한 Sodinokibi 랜섬웨어가 유포되었다. 해외에서는 미국 텍사스 주의 22개 도시에서 랜섬웨어 공격이 발생하는 사건이 있었다. 이번 보고서에서는 8월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 8월 등장한 Nemty 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 소식 Maze 랜섬웨어 유포 사례 8월 초, 국내 사용자를 대상으로 한 Maze 랜섬웨어가 발견되었다. Maze 랜섬웨어는 5월 말 처음 등장해서 Ch..

2019년 8월 악성코드 통계 악성코드 통계 악성코드 Top20 2019년08월(08월 1일 ~ 08월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 18,858,450 건이 탐지되었다. 악성코드 유형 비율 8월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Trojan(트로잔)이 66%로 가장 높은 비중을 차지하였고, Exploit(익스플로잇)과 Virus(바이러스)가 각각 25%와 4%, Worm(웜)와 Backdoor(백도어)가 각각 2%, 2%씩으로 그 뒤를 따랐다. 악성코드 진단 수 전..

반송된 이메일로 위장한 이메일 웜 Mydoom 주의 1. 개요 이메일 웜은 과거에 만우절이나 크리스마스와 같은 특정 기념일에 이메일을 통해 대량으로 전파되었다. 이메일 웜에 감염된 PC는 이메일 웜이 첨부된 메일을 이메일 주소록에 있는 사람들에게 자동으로 재전송 하도록 되어있어 단시간에 다량으로 확산 시켜 피해를 유발한다. 또한 ‘Mydoom’ 이메일 웜은 2004년경에 발견되어 현재까지 유포되고 있다고 알려진다. 이번 보고서에서는 문서형 ‘Alcoul’ 이메일 웜을 통해 이메일 웜의 동작 방식을 알아보고, 최근 유포 중인 ‘Mydoom’ 이메일 웜의 악성 동작에 대해 알아본다. 2. Email-Worm: Alcoul 2-1. 파일 정보 3-2. 실행 과정 및 악성 동작 ‘Alcoul’ 이메일 웜은 문서..

7월 랜섬웨어 동향 및 Phobos 랜섬웨어 분석보고서 1. 7월 랜섬웨어 동향 2019년 7월(7월 01일 ~ 7월 31일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 Sodinokibi 랜섬웨어가 공정거래위원회를 사칭하여 첨부파일을 포함한 메일로 유포 되었다. 해외에서는 미국 워싱턴에 있는 NorthWest Indian College(NWIC)가 랜섬웨어 공격을 받아 시스템 및 데이터에 피해를 봤으며, 또한 미국의 클라우드 컴퓨팅 제공업체인 iNSYNQ사가 랜섬웨어 피해를 입은 사건이 있었다. 이번 보고서에서는 7월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 7월 등장한 Phobos 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 소식 Sodinokibi 랜섬웨..