잉카인터넷 시큐리티대응센터 블로그

‘Scarab ransomware’ 감염 주의 1. 개요 사용자 PC의 중요 파일을 암호화하고 이 파일을 풀기 위한 금전을 요구하는 악성코드인 랜섬웨어는 하루가 멀다 하고 계속 발견되고 있다. 기업이나 공공기관에서 사용하는 대부분의 업무 자료가 종이 문서에서 디지털 문서로 대체되고 있는 만큼, 디지털 문서를 암호화하는 랜섬웨어는 업무를 마비시키거나 경제적으로 큰 손실로 이어질 수 있으므로, 모르는 파일이나 인터넷에서 다운로드한 파일은 실행 전에 다시 한번 의심을 가질 필요가 있다. 이번 보고서에서 다루는 ‘Scarab Ransomware’ 는 최근 발견되었으며 앞서 말했던 랜섬웨어와 마찬가지로 여러 확장자를 암호화하는 랜섬웨어이다. 2. 분석 정보 2-1. 파일 정보구분내용파일명Scarab_Ransom...

2017년 6월 악성코드 통계 악성코드 Top202017년 6월(6월 1일 ~ 6월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Worm(웜) 유형이며 총 137,087건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Worm/W32.Agent.57344 Worm 137,087건 2위 Trojan.TeslaCrypt.ES Trojan 9,289건 3위 Virus/W32.Ramnit Virus 7,619건 4위 Trojan/XF.Sic Trojan 6,584건 5위 Trojan/W32.Agent.174399.B Trojan 5,..

[주의] 네트워크를 통해 전파되는 Petya 변종 랜섬웨어 1. 개요 현지시간 기준 6월 27일부터 우크라이나를 비롯한 유럽 일부국가를 중심으로 ‘Petya 변종 랜섬웨어’에 의한 대규모 감염이 일어나고 있다. 현재까지 피해가 확인 된 국가는 우크라이나, 러시아, 벨기에, 브라질, 독일, 미국 등이다. 또한, 단순히 금전적인 이득이 목적이 아니라, 사이버 공격무기로 사용되었을 가능성도 있어 문제가 되고 있다. 2016년부터 발견 되었던 이전의 ‘petya 랜섬웨어’와 달리 네트워크 전파 기능이 추가되어 있어 많은 피해를 일으키고 있다. 네트워크 전파에 사용되고 있는 취약점은 최근 세계적인 이슈가 되었던 워너크라이(WannaCry) 랜섬웨어에서 사용된 것과 동일한 SMB 취약점 (MS17-010) 이다. ..

페이스북 아이콘으로 위장한 ‘KKK 랜섬웨어’ 감염 주의 1. 개요 ‘KKK(Ku Klux Klan)’ 란 백인 우월주의, 반유대주의, 인종차별, 동성애 반대 등을 표방하는 미국의 극우 비밀 결사 단체로 알려져 있다. 최근, 이러한 특정 단체 문양이 사용된 랜섬웨어인 일명 ‘KKK랜섬웨어’가 발견되어 사용자의 주의가 필요하다. 해당 단체와 KKK랜섬웨어의 연관성은 확인되지 않았지만, 여타 랜섬웨어와 같이 파일 암호화 후 비트코인을 요구하며 페이스북 아이콘으로 위장하고 있어 파일명이 변경돼 유포될 경우 쉽게 감염될 것으로 보인다. 2. 분석 정보 2-1. 파일 정보구분내용파일명KKK.exe(임의의 파일명)파일크기296,960 Byte악성동작파일 암호화, 금전 요구 2-2. 유포 경로정확한 유포 경로는 밝혀..

‘Erebus 랜섬웨어’ 변종, 이젠 리눅스 서버도 안전하지 않다 1. 개요 지난 5월 윈도우 운영체제를 대상으로 공격을 감행하여 혼란을 야기하였던 ‘WannaCry’ 랜섬웨어가 화제라면 이번 6월의 주요 화제는 리눅스 서버를 대상으로 공격을 시도한 ‘Erebus’ 랜섬웨어 이다. ‘Erebus’ 랜섬웨어는 리눅스에서 감염 되기 이전부터 윈도우에서 주로 활동하던 랜섬웨어였다. 윈도우에서 공격을 하였던 시기에는 피해자가 개개인이었던 반면 이번에는 국내 유명 웹 호스팅 업체의 서버를 대상으로 시도하여 그 피해 사례가 상당한 것으로 알려지고 있다. 타 랜섬웨어들이 윈도우에서 주로 암호화를 수행하였기 때문에, 다른 운영체제를 사용하는 사용자 입장에선 평소 안심하고 생활했을 것이라 여긴다. 이번 사건을 계기로 윈..

2017년 5월 악성코드 통계 악성코드 Top202017년 5월(5월 1일 ~ 5월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로이목마) 유형이며 총 6,818건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Gen:Trojan.Heur.VP.dv1@a81HrUnG Trojan 6,818건 2위 Gen:Variant.Adware.Hebogo.1 Adware 6,175건 3위 Trojan/XF.Sic Trojan 5,460건 4위 Trojan/W32.Agent.174399.B Trojan 5,303건 5위 Tro..

4.0 버전으로 나타난 ‘DMA Locker 랜섬웨어’ 감염 주의 1. 개요 최근 전세계를 대상으로 공격을 감행한 ‘워너크라이’ 랜섬웨어로 인하여 어느때보다 언론 및 일반 PC사용자들이 악성코드에 대한 관심이 높아지고 있다. ‘DMA Locker 4.0’ 랜섬웨어는 새로 발견된 랜섬웨어는 아니지만, 아이콘이 PDF형태이고 원격지에서 암호화에 사용되는 공개키와 함께 명령문을 전달받아 동작을 수행하므로 사용자의 주의가 필요하다. 현재 분석시점에서는 원격지와의 연결이 원활하지 않아 암호화 동작을 수행하고 있지 않지만 감염된 PC에서 악성코드가 프로세스에 상주해 있기 때문에 원격지와 연결이 된다면 언제든지 암호화가 가능할 것으로 보인다. 이번 보고서에서는 ‘DMA Locker 4.0’ 랜섬웨어의 주요 동작을 알..

잉카인터넷 회사소개 웹사이트(INCA.CO.KR) 새 단장 안내 안녕하십니까? (주) 잉카인터넷입니다.잉카인터넷의 회사소개, 기업문화, 사업영역, 윤리경영 등 다양한 콘텐츠를 다루고 있는 회사소개 웹사이트 INCA.CO.KR이 전문적이고 사용친화적인 디자인과 기능으로 새로 단장하였습니다. 정보보안 전문기업으로서 신뢰감 있는 이미지와 누구나 쉽게 정보를 얻을 수 있도록 메뉴와 내용을 재구성한 것이 특징입니다. 웹사이트 메인에선 사용자가 자주 찾는 내용과 회사소개에서 강조하는 부분으로 구성하였으며, 정보보안 전문기업 이미지를 담도록 노력하였습니다. 무엇보다 잉카인터넷의 사업영역과 정보보안 브랜드 nProtect의 주요 제품소개 페이지를 마련하여 웹사이트 이해도와 접근성을 높였습니다. 회사소개 웹사이트의 목적..

회사 메일을 이용한 피싱 메일 C&C 감염 주의 1. 개요 이메일 피싱 공격은 요즘 선행하는 악성코드의 공격 기법 중 하나이다. 대게 공격자는 악성코드를 성공적으로 실행시키기 위해, 업무와 관련되거나 사회적으로 이슈화되는 내용의 이메일을 보내어 공격 성공률을 높인다. 이러한 이메일 첨부파일에 한글 문서(.HWP) 로 위장한 C&C 악성코드가 있다면 감염된 PC는 원격지로부터 공격자의 명령을 받아 시스템을 자유자제로 조작하고 감시 당할 우려가 있다. 이번 보고서에서는 파일명 ‘美 사이버 보안시장의 현재와 미래.hwp’란 한글 문서에서 추가적으로 드롭되어 실행되는 C&C악성코드에 대하여 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 美 사이버 보안시장의 현재와 미래.hwp 파일크기 ..

‘게임 핵’ 으로 위장한 악성코드 감염 주의 1. 개요 ‘오토에임(AutoAim)’ 이란 오토와 조준 겨냥을 뜻하는 에임의 합성어로 FPS와 같은 게임에서 자동 조준을 해주는 게임 핵으로 알려져 있다. 이러한 오토에임 프로그램은 불법임에도 불구하고 몇몇 게임 유저의 호기심 등 때문에 사용되거나 만들어지고 있다.지난 달, 한 온라인 카페에서 오토에임으로 위장한 악성코드가 발견되어 문제가 되고 있다. 이번 보고서에서는 ‘오토에임’ 으로 위장 한 악성코드에 대하여 어떠한 동작을 하는지 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명Whindow.exe파일크기24,064 byte악성동작게임 계정 정보 탈취 2-2. 유포 경로최초 유포 경로는 밝혀지지 않았지만, 국내 한 온라인 커뮤니티 카페에서..