잉카인터넷 시큐리티대응센터 블로그

SMAUG Ransomware 감염 주의 최근 워드 문서 아이콘과 가짜 설치 파일로 위장한 ‘SMAUG’ 랜섬웨어가 발견되었다. 가짜 설치 파일의 내부에는 ‘SMAUG’ 랜섬웨어(11bdd939-1d45-421c-9be0-0addcdc818c_windows.exe)와 아이콘 파일이 존재한다. 사용자가 설치 파일로 착각하여 설치를 진행할 경우, 해당 랜섬웨어가 실행되기 때문에 주의가 필요하다. 이번 보고서에서는 ‘SMAUG 랜섬웨어’의 주요 악성 동작에 대해 알아본다. 해당 랜섬웨어는 기본적인 시스템 관련 파일을 제외하고 아래 [표 1]과 같은 확장자 파일에 대해 암호화를 진행한다. 그리고 암호화가 완료된 파일의 확장자 뒤에 ‘.11bdd939-1d45-421c-9be0-0addcdc8181c’ 확장자를 ..

악성코드 분석보고서 1. 8월 랜섬웨어 동향 2020년 8월(8월 01일 ~ 8월 31일) 한 달간 랜섬웨어 동향을 조사한 결과, 해외에서는 일본 비즈니스 솔루션 업체 Konica Minolta, 미국 주류 및 와인 분야 기업인 Brown-Forman이 각각 “RansomEXX”, “Revil” 랜섬웨어에 공격을 받았다. 또한, 캐나다 운송 및 물류 회사 TFI International가 “DoppelPaymer” 랜섬웨어 공격을 받았으며, 표적 공격 및 정보 유출이 계속 발생하고 있다. 이번 보고서에서는 8월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 8월 등장한 “BitRansomware” 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 소식 일본 비즈니스 솔루션 업체 ..

원격 익스플로잇이 가능한 SMBv3 취약점 Microsoft의 서버 메시지 블록 프로토콜에서 치명적인 수준의 취약점이 새롭게 발견되었다. 해당 취약점은 CVE-2020-0796으로 Windows SMBv3 클라이언트 / 서버 원격 코드 실행 취약점이다. 이는 SMB 3.1.1 프로토콜이 압축패킷을 처리하는 방식에서 취약점이 발생하며, 공격자가 특수하게 조작된 패킷을 공격 대상 SMBv3 서버에 보내어 해당 취약점을 악용할 수 있다. 이 취약점은 아래의 보기와 같이 비교적 최신 운영체제에서 작용된다. Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for ARM64-based Systems Windows 10 Version 1903 f..