잉카인터넷 시큐리티대응센터 블로그

CryptXXX 랜섬웨어 분석 보고서 1. 개요 흔히 많은 사람들은 악성코드는 .exe 파일을 실행하여 감염되는 것으로 알고 있다. 하지만 사람들의 생각과 다르게 .exe 파일 실행이 아니어도 악성코드에 감염되는 방식은 다양하다. 이번 보고서에서는 그 예 중 하나로 .dll 파일형태이며 최근 대형 커뮤니티에 유포되어 문제를 일으킨 랜섬웨어 CryptXXX에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 CryptXXX.dll (임의의 파일명) 파일크기 402, 432 Byte 진단명 Ransom/W32.CryptXXX.402432 악성동작 파일 암호화를 통한 Bit-coin 요구 2-2. 유포 경로 CryptXXX 는 주로 Angler Exploit Kit 을 통해 전파된다..

백도어 악성코드 분석 보고서 1. 개요 여러 악성코드 종류 중에서 표적의 정보를 탈취하거나 추가적인 공격에 흔히 사용되는 악성코드를 백도어 악성코드라고 불린다. 일반적으로 백도어의 의미는 사용자에게 정상적인 인증을 거치지 않고 공격자가 PC에 접근할 수 있는 동작을 말한다. 이번 보고서에서는 백도어 악성코드를 분석하여 백도어 악성코드가 가지고 있는 일반적인 기능과 방식에 대해 이야기한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 server.exe 파일크기 737,280 Byte 진단명 Trojan-Spy/W32.Agent.737280.D 악성동작 백도어, 사용자 정보 탈취 3. 악성 동작 3-1. 추가 악성 파일 다운로드 분석한 악성코드는 특정 URL에서 추가적인 파일을 내려 받고 실행시킨..

인터넷 뱅킹 파밍 KRBanker 악성코드 분석 보고서 1. 개요 인터넷뱅킹 파밍 악성코드는 정부 및 금융기관의 노력에도 불구하고 해커들의 공격 수단으로 계속 사용되고 있다. 다수의 안티 바이러스 업체에서 파밍 악성코드를 진단 치료하지만, 이러한 대응이 무색하게 끊임없이 변종을 양산해 내고 있어 치료에 한계가 따른다. 이 보고서에서는 활동이 급증하고 있는 악성파일 'KRBanker'을 분석하여, 금융권 파밍 악성코드의 감염방식에 대해 알아보고 대응책을 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 KRBanker_d8dba.exe 파일크기 338,944 byte 진단명 Banker/W32.Agent.338944 악성동작 금융정보 탈취 네트워크 104.***.***.27 (파밍서버..

ZeusBot 변종 악성코드 분석 보고서 1. 개요ZBot 이라고 알려진 제우스 봇은 유명한 상용 해킹 툴로써 2007년 이래로 지금껏 활동을 이어오고 있다. 주로 이메일이나 소프트웨어 취약점을 이용해 전파되며, 감염된 PC를 쉽게 제어 할 수 있는 C&C 서버 프로그램을 제공한다. 또한 악성코드를 생성 할 때 자세한 사항을 설정할 수 있는 빌더를 제공하고 있어 감염 방지에 어려움이 따른다. 2. 분석 정보2-1. 파일 정보구분내용파일명fc6b9.exe파일크기450,560 byte진단명Trojan-Spy/W32.ZBot.450560.P악성동작인증서 탈취, 파일 생성실행, C&C, 인젝션네트워크78.***.**.114 2-2. 유포 경로ZBot은 감염PC 봇넷을 생성·관리하는 하나의 해킹 서비스를 말한다...

Rokku 랜섬웨어 분석 보고서 1. 개요2015년도 악성코드의 뜨거운 감자가 금융권 파밍 악성코드였다면, 2016년 가장 주목 받게 될 악성코드 유형은 랜섬웨어가 아닐까 한다. 최근 가장 많이 발견되고 있을 뿐만 아니라, 한번 감염되면 그 피해가 크다는 점에서 현재 가장 위협적인 악성코드이다. 게다가 랜섬웨어는 그 수가 폭발적으로 증가하면서 암호화 방식이나 동작 유형이 다양하게 등장하고 있어 사용자들에게 더욱 공포감을 심어주고 있다. 이번 보고서에서는 수 많은 변종 랜섬웨어 중 하나인 rokku 랜섬웨어에 대해 이야기한다. 2. 분석 정보2-1. 파일 정보구분내용파일명rokkuRansom.exe (임의의 파일명)파일크기681,984 Byte진단명Trojan/W32.Deshacop.681984악성동작파일..

SWF 취약점을 통해 전파된 랜섬웨어 분석 보고서 1. 개요 악성코드의 목적은 금융정보 탈취, 파일 암호화, DDoS 공격용 좀비PC 생성, 단순 PC 파괴 등 다양하다. 그리고 공격자는 이런 악성코드가 사용자의 PC에서 실행되도록 다양한 수단을 이용한다. 취약점 CVE-2016-1019 도 그 중 하나이다. CVE는 Common Vulnerabilities and Exposures의 약자로, 보안 취약점 정보를 제공하는 시스템을 말한다. 각 취약점 별로 번호를 붙여 식별하고, 이 랜섬웨어에서 사용한 CVE-2016-1019 는 2016년 4월에 발견된 취약점으로, Adobe Flash Player 21.0.0.197 이하 버전을 사용할 경우 이 취약점에 노출된다. 이 보고서에서는 CVE-2016-101..

MBR 변조로 정상 부팅을 방해하는 PETYA 랜섬웨어 분석 보고서 1. 개요일반적인 랜섬웨어는 표적이 되는 특정 파일을 암호화 하여 해당 파일을 복구하는 대가로 금전을 요구한다. 이때, 사용자의 PC는 암호화된 파일을 여는 것 외에는 정상작동을 할 수 있었다. 최근엔 이런 일반적인 랜섬웨어의 동작에 고정관념을 깨고 컴퓨터 하드디스크의 MBR 코드를 변조시켜 정상부팅을 막는 랜섬웨어가 등장하였다. 또한 이 랜섬웨어는 파일공유 서비스를 이용해 유포되고 있으며 파일명이 독일어이지만 이력서 파일로 위장하고 있어 사용자에게 큰 피해가 우려된다. 본 보고서에선 파일 암호화가 아닌 MBR 코드를 변조하는 PETYA 랜섬웨어를 집중 분석하고 예방 및 해결책을 명시하여 사용자 피해를 최소화하고자 한다. 2. 분석 정보..

사용자 행동을 감시하는 악성코드 분석 보고서 1. 개요악성코드는 일반적으로 기존에 사용 되었던 코드를 재사용하거나, 전문 툴을 이용해서 제작된다. 그 중에서 전문 툴로 제작된 악성코드는 상당히 정교하기 때문에 해커들 사이에서 많이 사용된다. 특히, 전문 툴을 사용하는 악성코드 중 Backdoor 기능이 담겨있는 툴을 RAT라고 하는데 일단 감염에 성공한다면 Backdoor 기능을 통해 수 많은 다른 악성 행위가 가능해진다. 악성코드 Backdoor/W32.DarkKomet.281088.G (procexp.exe) 를 분석하며 원격 제어를 가능하게 하는 악성코드의 위험성에 대해 말하고자 한다. 2. 분석 정보2-1. 파일 정보구분내용파일명procexp.exe, scrss.exe파일크기281,088 Byte..

이미지 뷰어 프로그램 '꿀뷰'로 위장한 파밍 악성코드 분석 보고서 1. 개요최근 반디소프트의 이미지 뷰어 프로그램 '꿀뷰'를 위장한 악성코드를 200여명의 사용자들이 다운로드 받은 사건이 발생하였다. 3월 26일 오후 2시부터 4시까지 반디소프트 홈페이지에서 유포된 이 악성코드는 꿀뷰 설치파일로 위장하고 있고 설치도 정상적으로 이루어지기 때문에 사용자가 악성코드 감염사실을 인지하기 어렵다. 다운로드한 악성코드는 인터넷뱅킹 파밍 악성코드로 인증서 탈취 및 사용자를 위조 사이트로 접속하게 하여 금융정보 탈취를 유도한다. 현재 반디소프트 공식 입장에 따르면 반디소프트의 서버 자체가 해킹을 당한 것은 아니며, 공격사실을 인지함과 동일한 사건이 일어나지 않도록 적절한 조치를 취했다고 밝혔다. 2. 분석 정보2-1..

인기 게임으로 위장한 악성 토렌트 분석 보고서 1. 개요 토렌트는 많은 사람들이 이용하는 파일 공유 수단으로, 종종 악성코드 유포 수단으로 악용되기도 한다. 동영상이나 음악 같은 데이터 파일로 위장한 악성파일의 경우, 사용자의 실행 유도를 위해 실행파일을 데이터파일로 위장해야 한다. 하지만 실행파일이 필수적으로 포함된 게임, 유틸리티의 경우, 악성코드를 다른 파일 형태로 위장할 필요가 없어 해커들이 자주 사용하는 공격 수단이 된다. 특히 불법으로 유통되는 고 사양 최신 게임의 경우 파일의 크기가 굉장히 크고 쉽게 구할 수 없기 때문에 다운로드 받기가 쉽지 않다. 구하기 어려운 게임 파일로 위장한 악성파일은 사용자를 현혹시키기 쉬워 설령 오류가 있더라도 게임을 하고싶은 사용자 심리에 의해 의심없이 실행되는..