시큐리티대응센터2132 [악성코드 분석] 사용자 PC를 감염시켜 봇으로 만드는 악성코드 jorik 사용자 PC를 감염시켜 봇으로 만드는 악성코드 jorik 1. 개요 해커가 마음대로 제어할 수 있는 감염된 다수의 컴퓨터로 형성된 네트워크를 봇넷(Botnet)이라 한다. 이 봇넷을 구성하는 감염된 컴퓨터 봇(Bot)은 C&C(Command and Control) 서버의 명령을 수행한다. C&C 서버의 명령은 주로 봇넷 확장을 위한 악성코드 유포 또는 DDoS(Distributed Denial of Service) 공격을 이루기 위한 DoS(Denial of Service) 공격 등이다. 본 보고서에선 사용자 컴퓨터를 감염시켜 봇으로 만드는 C&C 악성코드의 주요 기능을 분석하여 봇의 동작 방식을 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명server.exe파일크기90,624 byt.. 2016. 11. 18. [악성코드 분석] 금융정보 탈취하는 KRBanker 분석 금융정보 탈취하는 KRBanker 분석 보고서 1. 개요 최근 악성코드 제작자는 현금을 목적으로 하는 악성코드를 주로 만들고 있다. 랜섬웨어와 같이 사용자 파일을 인질로 하여 현금을 요구하거나, 사용자의 직접적인 금융 정보를 탈취하여 이를 악용하기도 한다. 이번 분석 보고서에서는 자동 구성 프록시(PAC) 설정으로 사용자를 파밍 사이트로 유도하여 금융정보 탈취를 시도하는 KRBanker 에 대하여 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명adinstall.exe파일크기478,208 byte진단명Banker/W32.Agent.478208.B악성동작파밍, 금융정보 탈취네트워크103.***.***.86 – 공격자 서버 2-2. 유포 경로해당 악성코드의 정확한 유포 방식은 밝혀지지 않았지.. 2016. 11. 10. [악성코드 분석] 영화 ‘더 퍼지’ 를 모방한 Globe 랜섬웨어 영화 ‘더 퍼지’ 를 모방한 Globe 랜섬웨어 1. 개요 2015년 랜섬웨어가 확산된 시점부터 지금까지 신,변종의 랜섬웨어가 계속해서 등장하고 있으며, 랜섬웨어는 점차 현대 트렌드를 반영한 형태로 나타나기 시작했다. 모바일 게임인 Pokemon Go 가 출시 된 후, 그에 따른 PokemonGo 랜섬웨어가 나타났고, 미국 드라마 Mr.Robot 이 방송함에 따라 드라마 속 집단의 이름을 모방한 Fsociety 랜섬웨어가 나타났다. 이처럼 현대 트렌드를 반영한 랜섬웨어가 점차 많이 발견되고 있으므로, 이번 분석보고서에서는 영화 ‘더 퍼지’를 모티브로 한 Globe 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 trump.exe (임의의 파일명) 파일크기 155,6.. 2016. 11. 2. [악성코드 분석] Hades Locker로 돌아온 WildFire 랜섬웨어 Hades Locker로 돌아온 WildFire 랜섬웨어 1. 개요 이전에 유포되었던 WildFire 랜섬웨어는 유로폴(유렵 형사 경찰 기구) 등이 참여하고 있는 랜섬웨어 피해방지 민관협력 프로젝트 ‘No More Ransom’ 에서 복호화 툴을 제작하여 배포하며 점차 수그러들었다. 하지만 최근 Hades Locker 라는 이름의 새로운 랜섬웨어가 유포되고 있는데, 이는 WildFire 랜섬웨어와 유사하게 동작하는 면에서 새로운 변종으로 보고 있다. 이번 분석보고서에서는 WildFire 의 변종으로 보이는 Hades 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 update.exe 파일크기 510,026 byte 진단명 Ransom/W32.Hades.510026 .. 2016. 10. 27. [악성코드 분석] CDSpace 업데이트 서버를 통해 유포된 악성코드 CDSpace 업데이트 서버를 통해 유포된 악성코드 1. 개요 금융 기관을 사칭한 가짜 웹 사이트로 사용자의 접속을 유도하여 계좌번호, 비밀번호, 보안카드와 같은 금융 정보를 빼앗아 악용하는 파밍(Pharming)은 과거 hosts 파일을 직접 변조하는 방식이 대다수였다. 이에따라 파밍을 막기위해 hosts 파일을 보호하는 제품이 계속해서 출시됐고, 공격자들은 최근 이를 우회하기 위해 프록시 자동 구성(Proxy auto-config, PAC) 스크립트를 이용한 파밍 악성코드를 사용하고 있다. PAC는 hosts 파일을 변조하지 않고 스크립트를 작성하여 특정 URL을 자동으로 다른 웹 서버에 연결 시켜줄 수 있다. 본 보고서는 2016년 9월 10일 시디 스페이스(CDSpace) 프로그램의 업데이트 서버.. 2016. 10. 18. [월간동향] 2016년 9월 악성코드 통계 2016년 9월 악성코드 통계 악성코드 Top202016년 9월(9월 1일 ~ 9월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Adware(애드웨어) 유형이며 총 19,181건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Adware/SmartAddress.A Adware 19181건 2위 Trojan/XF.XF.Sic Trojan 4918건 3위 Virus/W32.SpyEye Virus 4464건 4위 Adware/WinSmartSearch.B Adware 2679건 5위 Trojan/W32.Agent.4608.TK Tr.. 2016. 10. 14. 이전 1 ··· 281 282 283 284 285 286 287 ··· 356 다음
