시큐리티대응센터 2036

[랜섬웨어 분석] Maze 랜섬웨어 분석 보고서

한국어를 사용하는 Maze Ransomware 감염 주의 1. 개요 최근 발견된 Maze 랜섬웨어는 5월에 유포되었던 버전과 다르게 랜섬노트에 한국어 안내문이 포함되어있으며, 파일 내부에 김정은과 관련한 문자열이 포함되어 있다. 이러한 변화는 한국을 대상으로 추가적인 공격 가능성이 있으며, 이로 인해 많은 피해가 발생할 수 있어 사용자의 주의가 필요하다. 이번 보고서에서는 한국어를 사용하는 Maze 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 Maze 랜섬웨어 실행 시 암호화 제외 대상을 확인 후 암호화 대상 파일을 선별하여 암호화한다. 만약 공유 폴더가 존재한다면 해당 위치에 두개의 링크 폴더을 생성하며, 추가적으로 C&C 서버로 연결을 시도한다. 마지막으로..

[악성코드 분석]개인정보를 탈취하는 SeafkoAgent 분석 보고서

개인정보를 탈취하는 SeafkoAgent 분석 보고서 1. 개요 최근 발견된 Saefko RAT는 Saefko Attack System유료프로그램의 크랙버전으로 알려져 있으며, 현재 Saefko RAT의 실행 파일은 정확히 확인되지 않는다. 해당 RAT의 기능을 이용하면 SeafkoAgent.exe라는 이름의 파일이 생성되며, 해당 파일이 실행되면 Saefko RAT와 통신을 통해 악위적인 동작을 수행한다. 해당 실행 파일은 Saefko RAT의 정책 설정에 따라 내용이 달라질 가능성이 있으며, Saefko라는 RAT의 이름과 달리 SeafkoAgent.exe라는 파일명을 사용하고 있다. 이러한 공격방식은 추가 악성코드 다운로드, 키로깅 등 다양한 악성동작을 통해 치명적인 피해를 발생시킬 수 있으며 사용..

[월간동향]2019년 7월 악성코드 통계

2019년 7월 악성코드 통계 악성코드 통계 악성코드 Top20 2019년07월(07월 1일 ~ 07월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로잔) 유형이며 총 11,761 건이 탐지되었다. 악성코드 유형 비율 7월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Trojan(트로잔)이 74%로 가장 높은 비중을 차지하였고, Exploit(익스플로잇)과 Adware(애드웨어)가 각각 10%와 4%, Virus(바이러스)와 Ransom(랜섬웨어)가 각각 2%, 2%씩으로 그 뒤를 따랐다. 악성코드 진단 수 전..

[악성코드 분석]국내 보안업체 디지털서명을 포함한 악성코드 주의

국내 보안업체 디지털서명을 포함한 악성코드 주의 1. 개요 최근 국내 보안업체의 디지털 서명을 포함한 악성코드가 발견되었다. 해당 악성코드는 URL을 통해 일반 사용자들에게 유포 되는 것으로 알려졌다. 디지털 서명을 포함한 파일의 경우, 정상 파일 이라고 생각 할 수 있기 때문에 유포자 들은 이 점을 악용하기 위해 디지털 서명을 탈취한 것으로 보여진다. 이번 보고서에는 최근에 발견된 국내 보안업체의 디지털 서명을 포함한 파일에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 악성코드는 URL을 통해 유포된다고 알려졌으나, 현재 URL은 차단된 상태이다. 2-3. 실행 과정 두 종류의 파일 모두 해당 파일을 작업 스케줄러를 이용하여 지속적으로 실행 되도록 한다. 또한 ..

[랜섬웨어 분석] syrk 랜섬웨어 분석 보고서

새로이 나타난 syrk 랜섬웨어 1. 개요 지난 8월 1일 syrk 랜섬웨어가 처음 등장하였다. 해당 랜섬웨어는 파일을 암호화 한다는 점에서는 일반적인 랜섬웨어와 동일하지만, 복호화 키를 감염된 사용자 PC내에 저장하는 것으로 보아 현재 개발 단계 중이거나, 제작자의 실수로 보여진다. 하지만, 랜섬웨어의 특성 상 파일 암호화 시 물질적, 금전적 피해가 커지기 때문에 지속적인 주의를 기울일 필요가 있다. 이번 보고서에서는 syrk 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 syrk 랜섬웨어를 실행하면 C:\Users\Public\Do..

[악성코드 분석]송장 관련 피싱 메일로 유포되는 스파이웨어 주의 AgentTesla

송장 관련 피싱 메일로 유포되는 스파이웨어 주의 1. 개요 최근 송장 관련 피싱 메일이 유포되고 있어 사용자의 주의가 필요하다. 첨부 파일에는 악성 매크로가 포함된 doc 문서 파일이 존재하는데 문서 열람 후 매크로를 실행하면 C&C 서버에서 악성 파일을 다운받는다. 다운로드된 악성 파일은 ‘에이전트 테슬라(Agent Tesla)’ 변종으로 알려지며 스파이웨어 기능이 있어 키보드 입력, 화면 캡처, 계정 정보 저장 등 사용자의 정보가 탈취된다. 원래 ‘에이전트 테슬라(Agent Tesla)’는 합법적으로 판매되는 Keystroke Logger 프로그램이지만, 공격자에 의해 악용되어 피싱 메일로 전파되며 감염된 PC는 사용자의 동의 없이 사용자 정보가 탈취될 위험이 있다. 2. 분석 정보 2-1. 파일 정..

[랜섬웨어 분석] BoooamCrypt 랜섬웨어 감염 주의

BoooamCrypt 랜섬웨어 감염 주의 1. 개요 최근 BoooamCrypt 라고 불리는 새로운 랜섬웨어가 발견되었다. 해당 랜섬웨어는 2019년 7월초 처음 발견되었으며, 아직 정확한 유포 경로나 피해사례는 알려지지 않았다. 이번 보고서에는 최근에 발견 된 BoooamCrypt 랜섬웨어 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다. 2-3. 실행 과정 BoooamCrypt 랜섬웨어 실행 시, 자신을 특정 경로에 복제한 뒤 레지스트리에 등록하여 시스템 재부팅 후에도 자동으로 실행될 수 있도록 설정한다. 또한 대상이 되는 암호화 파일을 선별한 뒤 ‘.boooam@cock_li’ 라는 확장자를..

[악성코드 분석]악성코드 제작자는 체포되었지만 여전히 유포되는 NanoCore RAT

악성코드 제작자는 체포되었지만 여전히 유포되는 NanoCore RAT 1. 개요 최근 피싱 메일의 첨부파일을 통해 ‘Nanocore RAT’(원격 관리 툴)이 다수 유포되고있다. 원격 관리 툴은 합법적인 프로그램이지만 공격자에 의해 악용될 수 있는데, ‘NanoCore RAT’의 경우에는 ‘NanoCore RAT’을 만든 제작자가 악의적인 목적으로 ‘NanoCore RAT’을 제작 및 배포하여 징역을 받았다. 하지만 악성코드 제작자가 체포되어도 ‘Nanocore RAT’ 악성코드는 공격자들에 의해 여전히 유포되고 있어 사용자의 주의가 필요하다. 이번 보고서에서는 ‘NanoCore RAT’ 악성코드가 유포된 사례와 악성 동작에 대해 알아본다. 2. 분석 정보 2-1. 유포 사례 ‘NanoCore RAT’은..

[악성코드 분석]비정상적인 로그인 활동 관련 피싱 메일 유포중!

비정상적인 로그인 활동 관련 피싱 메일 유포중! 1. 개요 현재 비정상적인 로그인 활동을 알리는 내용으로 피싱 메일의 유포가 지속적으로 이루어지고 있어 사용자의 주의가 필요하다. 피싱 메일의 내용은 바뀌었지만, 피싱 메일에 첨부된 링크를 클릭하면 이전 사례와 동일하게 cPanel(웹 호스팅 업체)의 가짜 webmail 로그인 페이지로 연결되어 사용자의 이메일 로그인 계정정보를 기재하도록 유도하고 있다. 2. 분석 정보 2-1. 유포 경로 이번에 유포 중인 피싱 메일은 사용자의 이메일 계정이 의심스러운 장소에서 로그인 시도가 있었다는 내용이다. 피싱 페이지로 연결되는 링크는 두 개로 늘어났으며 사용자가 링크를 클릭하면 이메일 계정에 로그인하기를 요구하는 내용은 동일하다. 2-2. 실행 과정 사용자가 본인의..

[랜섬웨어 분석]윈도우 취약점 이용하여 권한 상승하는 Sodinokibi 랜섬웨어 감염 주의

윈도우 취약점 이용하여 권한 상승하는 Sodinokibi 랜섬웨어 감염 주의 1. 개요 최근 발견된 Sodinokibi 랜섬웨어는 기존의 랜섬웨어 동작과 다르게 윈도우 취약점(CVE-2018-8453)을 통해 권한을 상승시켜 랜섬 동작을 수행하는 방식을 사용하고 있다. 해당 공격방식은 취약한 시스템에 있어 치명적인 피해를 발생시킬 수 있으며, 공격방식의 변화를 예상할 수 있어 사용자의 각별한 주의가 필요하다. 잉카인터넷에서는 해당 랜섬웨어에 대한 분석 정보를 게시하였다. "견적 요청서 관련 내용으로 유포되는 Sodinokibi 랜섬웨어 감염 주의" - https://isarc.tachyonlab.com/2306 이번 보고서에서는 윈도우 취약점을 이용하여 권한을 상승시키는 Sodinokibi 랜섬웨어에 대..