잉카인터넷 시큐리티대응센터 블로그

HWP2018 실행파일로 위장한 악성코드 유포 주의! 1. 개요 최근 hwp 문서 파일과 관련된 악성코드 수가 증가하고 있어 국내 사용자의 주의가 요구된다. 이전 대부분의 악성코드가 이력서나 중요 문서들로 위장했다면, 해당 악성코드는 불법 소프트웨어를 사용하려는 사람들을 대상으로 유포되고 있기때문에, P2P 사이트 등 신뢰할 수 없는 사이트에서의 파일 다운로드와 실행을 하지않도록 각별한 주의가 필요하다. 또한, ‘HWP2018 무설치버전’ 실행파일로 되어있고 파일 크기 또한 정상적인 실행파일과 유사하기 때문에, 사용자 입장에서 정상파일과 구분이 어려운 특징을 가지고 있다. 이번 보고서에서는 ‘HWP2018 무설치버전’ 실행파일로 위장한 악성코드에 대하여 알아보고자 한다. 2. 분석 정보 2-1. 파일 정..

2017년 11월 악성코드 통계 악성코드 Top20 2017년 11월(11월 1일 ~ 11월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로이목마) 유형이며 총 179,356건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Gen:Variant.Zusy.217219 Trojan 179,356건 2위 Backdoor/W32.Orcus.9216 Backdoor 87,634건 3위 Suspicious/PDF.CVE-2017-16364 Suspicious 34,234건 4위 Suspicious/W32.CVE-2016-3266..

‘Spider Ransomware’ 감염 주의 1. 개요 지난 보고서에서 알아보았던 ‘Oni’ 랜섬웨어는 일본을 대상으로 활동했던 랜섬웨어다. 국내뿐만 아니라, 세계적으로 2017년 악성코드 비율에서 높은 부분을 차지했던 악성코드는 랜섬웨어를 꼽을 수 있다. 이번 보고서에서는 발칸 반도의 특정 국가들을 대상으로 삼아 새로이 등장한 ‘Spider’ 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 enc.exe 파일크기 29,184 byte 진단명 Ransom/W32.FileSpider.29184 악성동작 파일 암호화 구분 내용 파일명 dec.exe 파일크기 222,208 byte 진단명 Ransom/W32.FileSpider.222208 악성동작 프로세스 모니터링 ..

‘PDF 파일로 위장한 Ransomware’ 감염 주의 1. 개요 일반적으로 악성코드는 사용자에게 감염을 성공적으로 하기 위해서, 사용자가 호기심을 가질만한 내용으로 파일이름을 변경하거나 이미 보편적으로 사용되고 있는 소프트웨어로 위장하여 유포한다. 랜섬웨어 또한 악성코드의 한 종류로써 위와 같은 방법을 사용하여 사용자의 파일을 인질로 삼아 금전을 요구한다. 일반적인 악성코드에 비하여 감염 시 정상적으로 PC에 있는 파일을 사용 할 수 없기 때문에 피해가 크다. 그렇기 때문에 보편적으로 사용되고 있는 소프트웨어라도 설치하거나 다운로드 시 주의를 요한다. 이번 보고서에서는 다른 랜섬웨어들에 비하여 완성도가 많이 떨어지긴 하지만 PDF 파일로 위장하여 파일을 암호화하는 랜섬웨어에 대하여 간략하게 알아보도록 ..

일본 기업을 표적으로 하는 Oni 랜섬웨어 유포 주의 1. 개요 최근, ‘NotPetya’ 과 ‘Bad Rabbit’ 등과 같이 기업을 표적으로 하는 랜섬웨어가 기승을 부리고 있다. 이번에는 일본 기업을 표적으로 하는 ‘Oni’라는 랜섬웨어가 등장해 사용자의 주의를 요하고 있다. 해당 랜섬웨어는 일본어로 쓰여진 랜섬노트가 특징이다. 파일을 암호화 한 후 확장자를 ‘. oni’로 변경하기 때문에 해당 랜섬웨어는 ‘Oni’로 명명 되었다. 이번 분석 보고서에서는 ‘Oni’ 랜섬웨어 유포 사례를 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 Oni.exe 파일크기 99,840 byte 진단명 Ransom/W32.Oni.99840 악성 동작 파일 암호화 2-2. 유포 경로해당 랜섬웨어는..

2017년 10월 악성코드 통계 악성코드 Top202017년 10월(10월 1일 ~ 10월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로이목마) 유형이며 총 1,123,251건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Gen:Variant.Razy.107843 Trojan 1,123,251건 2위 Gen:Variant.Zusy.217219 Trojan 127,661건 3위 Gen:Variant.Adware.Hebogo.1 Adware 27,748건 4위 Suspicious/W32.CVE-2016-3266 ..

MS Office CVE-2017-11826 취약점 보안패치 권고 1. 개요 최근, 한 보안 회사에 의해 메모리 손상 취약점을 악용하는 제로 데이 취약점이 발견되었다. 제로 데이 취약점이란 소프트웨어의 취약한 곳을 발견하여 패치가 이루어지지 않는 시점에 공격하는 것을 뜻한다. 해당 취약점은 2017년 10월 10일에 공개되었으며 DOCX 문서가 포함된 RTF 문서의 Office Open XML 파서에서 메모리 손상 취약점이 발생하여 임의의 코드를 실행할 수 있어 사용자들의 최신 보안 패치가 필요하다. 이번 보고서에서는 ‘CVE-2017-11826’ 취약점에 대해서 알아보고자 한다. 2. 취약점 번호 : CVE-2017-11826 2-1. 버전 정보 영향 받는 버전 l Microsoft Word Autom..

워드 문서 DDE 취약점을 이용한 악성코드 유포 주의 1. 개요 최근 ‘DDE’ 취약점을 이용한 악성코드가 유포되어 사용자들의 주의가 요구되고 있다. 이전에는 악성코드를 실행시키기 위해 MS Office의 매크로 기능 및 'JS', 'VBS' 등의 스크립트언어를 이용하였으나, 최근에는 ‘DDE’ 기능을 활용해 실행시키고 있다. DDE란 ‘Dynamic Data Exchange’의 약어로 윈도우 응용 프로그램간의 동일한 데이터를 공유하도록 허용하는 방법 중 하나이다. 해당 기능은 워드뿐만 아니라 엑셀, 비쥬얼 베이직 등 다양한 응용프로그램에서 사용되고 있다. 이 기능은 다른 프로세스를 실행시킬 수 있으며 이 기능을 악용하여 악성코드를 다운로드 받거나, 실행시키기 때문에 문제가 된다. 또한 응용 프로그램을 ..

[주의] 이번엔 유럽을 상대로 한 ‘BadRabbit Ransomware’ 감염 주의 1. 개요 최근, 한국어 시스템을 노린 새로운 랜섬웨어 ‘Magniber Ransomware(=MyRansom)’ 가 발견 된 지 얼마 지나지 않은데 이어서 이번엔 유럽국가를 상대로 공격을 시도한 ‘BadRabbit Ransomware’ 가 새롭게 발견 되었다. 현재까지 피해가 확인 된 국가는 우크라이나, 러시아, 터키, 독일, 불가리아 등이다. ‘BadRabbit Ransomware’ 에 감염이 되면 대상이 되는 파일을 암호화 할 뿐 아니라, 정상적으로 PC를 사용하지 못하도록 MBR영역까지 수정하기 때문에 국내 사용자도 각별한 주의가 필요하다. 이번 보고서에서는 ‘Adobe Flash Player’ 설치 파일로 위장..

한국 겨냥한 ‘Magniber(=MyRansom) Ransomware’ 감염 주의 1. 개요 최근, 새로운 랜섬웨어 ‘Magniber Ransomware(=MyRansom)’ 가 유포되고 있다. 이 랜섬웨어는 Magnitude 와 악명높은 Cerber 랜섬웨어의 합성어로 Magnitude 익스플로잇킷을 이용하여 유포하는 Cerber의 변형된 랜섬웨어이다. 일반적인 랜섬웨어가 여러국가의 불특정 다수를 상대로 유포하여 감염 시키는 것과 달리, 해당 랜섬웨어는 국내 사용자들을 대상으로 암호화하는 동작을 보여주고 있어 사용자들의 각별한 주의가 요구되고 있다. 이번 보고서에서는 한국을 겨냥한 ‘Magniber Ransomware’ 에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 ..