시큐리티대응센터 2037

[악성코드 분석] 다운로더 악성동작 Tufik 바이러스 분석

다운로더 악성동작 Tufik 바이러스 분석 1. 개요 바이러스(Virus) 형태의 악성코드는 실행 파일에 코드나 파일 형태로 기생하므로 감염된 파일을 치료하기 위해선 감염 형태 분석이 필요하다. 본 보고서에서는 바이러스 형태 다운로더 악성코드인 ‘Tufik’을 분석하여, 바이러스들의 다양한 감염 형태 중 하나를 파악하고 파일 감염 진행 방식에 대해 다루었다. 2. 분석 정보 2-1. 파일 정보구분내용파일명tufik.exe파일크기41,472 Bytes진단명Virus/W32.Tufik악성동작파일 바이러스다운로더 2-2. 유포 경로해당 악성코드는 네트워크 활동을 통한 감염 시도가 발견되지 않았으므로, 감염된 컴퓨터에서 옮겨간 파일의 실행을 통하여 유포되었을 확률이 크다. 2-3. 실행 과정실행된 악성코드는 자..

[악성코드 분석] 웜(Worm) 악성코드 Allaple 상세 분석

웜(Worm) 악성코드 Allaple 상세 분석 1. 개요 컴퓨터에서 웜(worm)의 정의는 ‘자신을 복제하는 컴퓨터 프로그램’이다. 웜은 네트워크상에서 전파되며 바이러스(Virus)보다 일반적으로 전파속도가 빠르고 과도한 트래픽을 유발하여 대역폭을 잠식할 수 있다. 또한 다른 파일에 기생하여 실행되는 바이러스와 달리 웜은 독립적으로 실행될 수 있다. 본 보고서에서는 C&C(Command & Control) 서버의 명령 없이 무조건 특정 IP에 DoS(Denial of Service) 공격을 수행하는 기능을 수반한 웜 형태 악성코드인 ‘Allaple’(또는 Starman)을 분석하여 웜이 어떤 방식으로 증식하는지 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명allaple.exe파일크기..

[악성코드 분석] 피해자를 가해자로, PopcornTime 랜섬웨어

피해자를 가해자로, PopcornTime 랜섬웨어 분석 1. 개요 랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 사용자에게 금전을 요구하는 악성 프로그램을 말한다. 대부분의 랜섬웨어는 사용자의 파일을 암호화한 뒤 비트코인을 보내면 복호화를 해준다며 금전을 요구하는데 최근 복호화 방법으로 비트코인 지불 외에 다른 방법을 거론하는 ‘PopcornTime’ 랜섬웨어가 발견되었다. PopcornTime 랜섬웨어는 파일을 복호화 하기 위해 타 랜섬웨어와 같이 비트코인을 요구하지만 또 다른 복호화 방법을 사용자에게 알려준다. 그 방법은 랜섬웨어 피해자가 랜섬웨어를 유포하게 만드는 것이다. 랜섬웨어 감염자에게 무료 복호화 방안으로 본인을 제외한 다른 이 2명을 감염시키고 비트코인을..

[월간동향] 2016년 12월 악성코드 통계

2016년 12월 악성코드 통계 악성코드 Top202016년 12월(12월 1일 ~ 12월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Adware(애드웨어) 유형이며 총 28,659건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Adware/SmartAddress.B Adware 28,659건 2위 Trojan/XF.XF.Sic Trojan 12,242건 3위 Trojan/W32.Agent.1384792 Trojan 5,786건 4위 Adware.GenericKD.3675704 Adware 3,408건 5위 Virus/W3..

[월간동향] 2016년 11월 악성코드 통계

2016년 11월 악성코드 통계 악성코드 Top202016년 11월(11월 1일 ~ 11월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Adware(애드웨어) 유형이며 총 13,544건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Adware/SmartAddress.A Adware 13,544건 2위 Adware/SmartAddress.B Adware 6,383건 3위 Trojan/XF.XF.Sic Trojan 6,168건 4위 Adware.GenericKD.3675704 Adware 3,760건 5위 Virus/W32.Vi..

[악성코드 분석] 크리스마스 이브에 유포된 DeriaLock 랜섬웨어

크리스마스 이브에 유포된 DeriaLock 랜섬웨어 1. 개요 악성코드를 제작하거나 유포하는 이들은 사회적 이슈를 많이 활용한다. 특히 어떠한 큰 행사나 기념일과 같은 때에 더욱 기승을 부리기도 한다. 이번 크리스마스 역시 새로운 악성코드 DeriaLock 랜섬웨어가 나타났다. 이번 보고서에서는 DeriaLock 랜섬웨어에 대해 알아보자. 2. 분석 정보 2-1. 파일 정보구분내용파일명DeriaLock.exe (임의의 파일명)파일크기581,632 bytes진단명Ransom/W32.Derialock.581632악성동작파일 암호화, 금전 요구네트워크a*********e.b*****d.net 2-2. 유포 경로정확한 유포 경로는 밝혀지지 않았지만, 해당 랜섬웨어가 크리스마스 이브에 유포되었다는 점에서 연말과 ..

[악성코드 분석]부팅 막는 랜섬웨어, Petya의 변종 GoldenEye

부팅 막는 랜섬웨어, Petya의 변종 GoldenEye 1. 개요 2016년 3월 MBR 영역을 변조하여 PC 부팅 시 해골 화면을 띄우는 랜섬웨어인 Petya 가 모습을 드러냈다. 이 랜섬웨어에 감염되면 MBR 이 변조 되는 것뿐만 아니라 MFT 까지 암호화를 진행하여 사용자가 PC 를 사용할 수 없도록 한 뒤 비트코인을 요구하였다. 5월에는 Petya가 Micha 와 함께 다시 나타나 MBR 뿐만 아니라 사용자의 파일까지 암호화 시키는 동작을 수행하였다.최근 Petya 랜섬웨어의 새로운 변종이 새로이 유포되고 있는 것이 확인되었다. 랜섬웨어에 감염된 사용자 PC 화면에 노란해골 화면을 띄우는 GoldenEye 랜섬웨어를 본 보고서에서 다루고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명G..

[악성코드 분석] 금융 정보 파밍형 악성코드 doubi.exe

금융 정보 파밍형 악성코드 doubi.exe 1. 개요 국내 금융 기관의 웹 서버를 가장하여 사용자의 금융 정보를 파밍하는 악성 코드는 아직까지 꾸준하게 유포되고있다. 이런 유형의 파밍형 악성코드 또한 다른 악성코드들과 마찬가지로 안티-바이러스(Anti-Virus)의 탐지를 피하기 위해 계속해서 다른 형태의 바이너리로 유포된다. 본 보고서에서는 앞서 설명한 금융 정보 파밍형 악성코드의 최근 유포 바이너리를 분석하여 금융 정보 파밍형 악성코드의 최근 동향을 다루었다. 2. 분석 정보 2-1. 파일 정보구분내용파일명doubi.exe파일크기264,792 byte진단명Banker/W32.Agent.264792악성동작금융 정보 파밍, 공인 인증서 탈취해쉬(MD5)C199F621BE7040C7C2D0466E15A7..

[악성코드 분석] 파일 바이러스 Bloored 분석

파일 바이러스 Bloored 1. 개요 대부분 사용자들이 일반적으로 악성코드하면 ‘바이러스(Virus)’를 떠오르기 마련이다. 바이러스는 사전적으로 ‘프로그램을 통해 감염되는 악성 소프트웨어’를 말하는데 보통 바이러스 감염 후에 공격자에게 실질적인 이득을 주는 기능이나, 기능 확장을 위한 추가 모듈 다운로드 및 실행 기능을 포함한다. 본 보고서에서 다루게 될 악성코드 Bloored는 앞서 설명한 바이러스 형태의 악성코드이며, 구조가 다른 바이러스들에 비해 비교적 단순하다. 본 보고서를 통해 바이러스가 다른 파일을 감염하는 방식과 공격자가 이를 이용해 불법적으로 이득을 취하는 방법을 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명Bloored.exe파일크기259,072 byte진단명Wor..

[악성코드 분석] 샌프란시스코 지하철 해킹에 사용된 Mamba 랜섬웨어

샌프란시스코 지하철 해킹에 사용된 Mamba 랜섬웨어 1. 개요 지난 11월 샌프란시스코 철도 시스템(일명 Muni)의 2,112 대 컴퓨터가 랜섬웨어에 감염되었다. 이로 인해 해당 역의 결제 시스템과 스케줄링 시스템을 사용할 수 없게 되었으며, 결국 전철을 임시로 무료 개방하는 상황에 이르렀다. 이번 사태에 이용된 랜섬웨어는 바로 Mamba(또는 HDDCryptor) 랜섬웨어다. 해당 랜섬웨어는 파일을 암호화하는 것이 아니라 하드 디스크를 암호화하기 때문에 부팅 시 지정된 암호를 입력해야만 PC 를 부팅할 수 있게 된다. 이번 분석보고서에서는 Mamba 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명mamba.exe (임의의 파일명)파일크기2,415,104 byte진단..