시큐리티대응센터2133 [랜섬웨어 분석] Cring 랜섬웨어 최근 “Cring” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 원활한 암호화 동작을 수행하기 위해서, 백업 및 데이터베이스와 관련된 서비스와 프로세스를 종료한다. 그리고 랜섬노트를 통해 3일 이내에 공격자에게 연락하지 않으면 파일을 복구할 수 없다고 협박하고 있어 사용자의 주의가 필요하다. “Cring” 랜섬웨어 실행 시, 해당 랜섬웨어와 동일한 경로에 "Kill.bat" 이름의 배치파일을 생성 후 실행한다. 실행된 배치 파일은 다음 [표 1]과 같이 백업 및 데이터베이스와 관련된 서비스를 중지, 비활성화하고 프로세스를 종료한다. 그리고 “D”, “E”, “F”, “G”, “H” 드라이브의 파일을 검색하여, 다음 [표 2]와 같이 백업 파일들을 삭제한다. 사용자의 파일을 검색하여 다음 [표 3] 암호화 대상.. 2021. 2. 3. [취약점 정보] Apple 제품군 보안 업데이트 권고 개요 Apple사에서 자사 제품의 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 이와 관련된 대표 취약점에 대해서 기술한다. 기술 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - iOS 및 iPad OS v14.4 - tvOS v14.4 - watchOS v7.3 - iCloud for Windows v12.0 - Xcode v12.4 참고자료 https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35879 https://support.apple.com/ko-kr/HT212146 https://support.apple.com/ko-kr/H.. 2021. 2. 3. [랜섬웨어 분석] MrDec 랜섬웨어 “MrDec” 또는 “_RSA” 라고 알려진 랜섬웨어는 모든 이벤트 뷰어 로그를 삭제하고 파일 암호화 후에는 자기자신을 삭제한다. 지난 2018년에 발견되어 현재까지 유포되고 있어 주의가 필요하다. 해당 랜섬웨어는 아래 [표 1]의 암호화 제외 목록에 따라 기본적인 시스템 파일을 제외한 모든 대상 파일에 대해 암호화를 진행한다. 파일 암호화가 완료되면 “임의의ID_RSA” 형태의 확장자를 덧붙이며 암호화 대상 경로마다 “Data recovery.hta” 랜섬노트를 생성하고 실행한다. 파일 암호화 이외에도 명령 프롬프트에서 모든 이벤트 뷰어 로그 지우기 위해 ‘Windows’ 폴더에 ”delog.cmd" 파일을 생성하고 실행한다. 마지막으로 해당 랜섬웨어는 사용자가 복구하기 어렵도록 볼륨 섀도우 복사본을 .. 2021. 1. 28. [랜섬웨어 분석] Epsilon 랜섬웨어 최근 “Epsilon” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 사진, 문서, 영상과 관련된 사용자의 파일을 암호화하고 볼륩 섀도우 복사본을 삭제하여 시스템 복원을 무력화한다. 그리고 시스템이 재부팅되어도 “Epsilon” 랜섬웨어가 자동실행되도록 설정하기 때문에 주의가 필요하다. “Epsilon” 랜섬웨어 실행 시, ‘HKCU\Software\Microsoft\Windows\CurrentVersion\Run’ 레지스트리에 “Epsilon” 랜섬웨어 파일을 등록하여 시스템 시작 시 자동실행되도록 설정한다. 파일을 검색하여 [표 1] 암호화 대상 조건에 부합하는 파일을 암호화한 뒤, “[neftet@tunanota.com].boom” 확장자를 암호화한 파일에 덧붙인다. 파일을 암호화한 뒤, 볼륨 섀도우 복사.. 2021. 1. 27. [악성코드 분석] CRAT 악성코드 분석 보고서 2020년 “인천광역시 코로나바이러스 대응 긴급 조회”라는 제목의 악성 한글 문서가 발견되었다. 해당 한글 문서는 코로나 19 바이러스와 관련된 내용으로 공공기관을 사칭하여 유포되었는데, 사용자가 정상 문서처럼 위장한 내용에 속아 악성 한글 문서를 실행한다면 문서에 삽입된 EPS(Encapsulated PostScript)를 통해 “CRAT” 악성코드를 다운로드하고 사용자의 정보를 탈취한다. 한글 프로그램에서는 그래픽 이미지를 화면에 표현하기 위해 EPS 파일을 사용한다. 공격자들은 한글 문서에 악성 EPS 파일을 삽입하고, EPS 파일이 9.21 이하 버전의 인터프리터(gbb.exe, gswin32c.exe)를 통해 실행되는 과정에서 발생하는 CVE-2017-8291 취약점을 이용하여 악성 동작을 수행.. 2021. 1. 27. 2020년 4분기 랜섬웨어 동향 보고서 1. 랜섬웨어 피해 사례 2020년 4분기(10월 1일 ~ 12월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 “에그레고르(Egregor)”, “류크(Ryuk)”, “클롭(Clop)” 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 10월에는 공정거래위원회 사칭 문서를 이용한 “마콥(Makop)” 랜섬웨어 공격이 있었고, 11월과 12월에는 이탈리아 주류 회사 Campari Group과 영국 대형 의료 업체 The Hospital Group이 각각 “라그나락커(RagnarLocker)”와 “레빌(REvil)” 랜섬웨어 공격을 받아 피해가 발생했다. 에그레고르(Egregor) 랜섬웨어 피해 사례 올해 9월부터 활발한 공격을 하고있는 에그레고르 랜섬웨어는 주로 피싱 메일을 이용해 유포된다. 또한,.. 2021. 1. 25. 이전 1 ··· 211 212 213 214 215 216 217 ··· 356 다음
