잉카인터넷 시큐리티대응센터 블로그

애플(Apple) 제품 구매 확인서를 사칭한 피싱 메일 주의 1. 개요 최근 애플(Apple) 제품 구매 확인서를 사칭한 피싱 메일이 유포되고 있다. 2018년 하반기, 애플을 사칭하여 사용자 계정정보를 탈취하는 메일이 유포 된 적이 있으나 최근에 다시 등장하여 사용자의 주의를 요한다. 해당 메일은 애플 제품의 구매 확인서를 사칭해서 pdf 파일을 첨부 하고 있으며 피싱사이트로 유도하여 사용자 정보를 노린다. 이번 보고서에는 최근에 발견 된 애플을 사칭한 피싱 메일에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 Invoice Receipt #4658421.pdf 파일크기 684,668 bytes 진단명 Trojan/W32.Pidief.684668.E 악성동작 사용자 계정..

저장된 로그인 정보를 탈취하는 악성코드 감염 주의 1. 개요 최근 사용자의 웹 브라우저, 이메일 클라이언트 로그인 정보를 탈취하는 악성코드가 지속적으로 유포되고 있다. 사용자 PC에 저장된 로그인 정보를 수집하기 위해 패스워드 뷰어 프로그램을 악용하고 있으며, 백신 프로그램을 우회하고 사용자 모르게 악성파일을 다운받기 위해 hta 파일을 이용한다. 이번 보고서에서는 저장된 로그인 정보를 탈취하는 악성코드의 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 임의의 문자열.exe 파일크기 8,358 bytes 진단명 Trojan-Exploit/RTF.2017-11882 악성동작 악성코드 다운로드 구분 내용 파일명 PES.exe 파일크기 1,362,576 bytes 진단명 T..

광고성 스팸메일을 발송하는 악성코드 주의 1. 개요 광고성 스팸메일을 발송하는 악성코드는 도박, 성인 광고 스팸을 불특정 다수에게 자동으로 대량 발송한다. 광고성 스팸 발송 악성코드를 이용해 스팸 메일을 발송하는 특정 SMTP 서버의 주소를 국내 유명 통신사의 메일 주소로 속여서 국내 통신사가 사용자에게 스팸 메일을 보낸 것처럼 위장한 사례가 있다. 이번 보고서에서는 자동으로 광고성 스팸메일을 발송하는 악성코드의 동작에 대해 알아본다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 임의의 문자열.exe 파일크기 223,744 bytes 진단명 Trojan/W32.Spamer.223744 악성동작 광고성 스팸메일 발송 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 악성코드의 유..

Facebook 통해 접촉 요구하는 Boom 랜섬웨어 감염 주의 1. 개요 최근 Xorist 랜섬웨어의 변종인 Boom 랜섬웨어가 발견되었다. 해당 랜섬웨어는 암호화된 파일을 복호화하기 위해 Facebook을 통해 공격자와 접촉하기를 요구한다. 또한 복호화 시도 도중 실패 시 컴퓨터를 강제로 종료하기 때문에 추가 피해에 주의해야 한다. 이번 보고서에서는 Boom 랜섬웨어의 악성 동작에 대해 알아보고자 한다. [참고 : Xorist 랜섬웨어 분석 보고서] http://isarc.tachyonlab.com/1942 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 280,576 bytes 진단명 Ransom/W32.DN-Boom.280576 악성동작 파일 암호화 2-2...

2018년 12월 악성코드 통계 악성코드 Top20 2018년12월(12월 1일 ~ 12월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1-1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Adware(애드웨어) 유형이며 총 14,864 건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Adware/WiseMan.N3.B Adware 14,864건 2위 Trojan.GenericKD.31205443 Trojan 5,713 건 3위 Worm.Generic.914973 Trojan 3,499 건 4위 Virus/W32.Virut.Gen Virus 2,598 건 5위 Trojan/X..

트위터 이미지 이용한 악성 프로그램 감염 주의 1. 개요 얼마 전 트위터에 업로드한 이미지를 활용하여 악성 동작 명령을 받는 악성 프로그램이 발견되었다. 이 프로그램은 특정 트위터 계정의 이미지를 다운로드한 후, 이미지 내부에 저장된 명령을 추출하여 그에 따른 악성 동작을 실행한다. 문제가 되는 계정은 현재 정지된 상태지만 유사한 방식으로 동작하는 프로그램의 존재 가능성이 있기 때문에 주의가 필요하다. 이번 보고서에서는 트위터 이미지를 이용한 악성 프로그램의 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 svghost.exe 파일크기 35,840 bytes 진단명 Trojan-Dropper/W32.DN-InfoStealer.35840 악성동작 파일 드랍 및 프로세스 ..

사용자 로그인 계정 정보를 탈취하는 악성코드 감염 주의 1. 개요 최근 사용자의 PC에서 웹 브라우저에 저장된 로그인 계정 정보를 탈취하는 악성코드가 발견되었다. 그뿐만 아니라 비트코인 지갑 정보와 특정 응용프로그램의 사용자 계정 정보까지 탈취한다. 이번 보고서에서는 사용자의 로그인 계정 정보 및 비트코인 지갑 정보를 탈취하는 악성코드의 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 263,533 bytes 진단명 Trojan-Exploit/RTF.CVE-2017-11882 악성동작 다운로더 구분 내용 파일명 INVOICE.exe 파일크기 115,200 bytes 진단명 Trojan-PSW/W32.DP-infoStealer.11520..

Python 모듈 사용하는 Dablio 랜섬웨어 감염 주의 1. 개요 최근 Dablio라는 이름의 Python 코드로 작성된 랜섬웨어가 유포되고 있다. 해당 랜섬웨어에 감염 시 중요 파일을 암호화시킬 뿐만 아니라 일부 시스템 기능을 비활성화하여 정상적인 작업도 불가능하게 만들기 때문에 주의가 필요하다. 이번 보고서에서는 Dablio 랜섬웨어의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 12,662,402 bytes 진단명 Ransom/W32.Dablio.12662402 악성동작 파일 암호화 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다. 2-3. 실행 과정 Dablio 랜섬..

1. 개요 최근 리눅스 커널의 취약점을 이용하여 관리자 권한을 탈취하는 Dirty Cow 취약점(CVE-2016-5195)을 사용한 악성 파일이 유포되고 있다. 해당 샘플에 감염될 시 가상화폐 채굴기로 이용될 뿐만 아니라 감염 PC 의 통신 기록을 참고하여 감염 대상을 늘리는 기능이 있기 때문에 주의가 필요하다. 이번 보고서에서는 Dirty Cow 취약점을 이용하는 백도어 프로그램의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 프로그램은 SSH 통신을 이용한 감염 기능을 포함하고 있으며, 이에 따라 SSH 통신을 통해 유포되고 있을 것으로 추측된다. 2-3. 실행 과정 악성 셸 스크립트를 실행하면 가장 먼저 감염 PC 의 시스템 정보를 읽어 감염 동작에..

한글 문서에 포함된 매크로 악성코드 분석 1. 개요 한글 문서의 스크립트 매크로 기능은 사용자가 정의하는 키보드와 마우스 동작을 특정 단축키에 기록하여 매크로로 이용할 수 있는 기능이다. 악성코드 제작자는 이 기능을 악용하여 조작된 HWP 파일을 피싱 메일을 통해 유포하고, 사용자가 조작된 한글 문서를 열람할 때 악성코드가 실행되도록 만든다. 이번 보고서에서는 한글 문서에 포함된 매크로 악성코드에 대해 알아본다. 2. 한글 문서의 스크립트 매크로 기능 한글 프로그램에서 사용자가 정의한 매크로는 ‘도구 탭 – 매크로 - 스크립트 매크로 정의’에서 코드 편집이 가능하다. Document 내용에 코드를 작성하면 한글 문서를 열람할 때 스크립트가 실행된다. 이렇게 매크로 스크립트가 삽입된 한글 문서를 사용자가 ..