악성코드 진단 19

[악성코드 분석] Venus Locker의 변종, LLTP Locker 감염 주의

Venus Locker의 변종, LLTP Locker 감염 주의 1. 개요 ‘사회공학 기법’ 이란 사람들의 심리를 이용하여 원하는 정보를 얻는 공격기법을 말한다. 보안 기술이 발달함에 따라 시스템의 보안성은 강화되고 있지만 사람의 심리를 이용한 공격은 시대의 흐름을 떠나 상당히 효과적이며 이를 이용하여 많은 대상에게 피해를 줄 수 있다. 지난해 12월부터 국내주요기관과 기업인들을 대상으로 유포된 ‘Venus Locker’ 는 연말연시에 내부 변동 사항이 많은 시점을 노려, 특정 제목으로 스팸메일을 발송하여 첨부파일을 열람하도록 유도한것으로 보인다. 그리고 불가 몇 달 만에 Venus Locker의 변종인 ‘LLTP Locker’ 랜섬웨어가 발견되었다. 이번 보고서에서는 Venus Locker의 변종, ‘..

[악성코드 분석] Black Energy (우크라이나 정전사태 관련 악성코드)

BLACK ENERGY 악성코드 분석 보고서 1. 개요지난해 말 악성코드에 의한 최초의 정전사태로 기록된 우크라이나 정전사태의 주범으로 Black Energy(블랙에너지)가 주목 받고 있다. Black Energy는 하나의 악성 파일이 아닌, 침투-정보수집-확산-공격-파괴 의 절차를 가진 APT 공격 전체를 지칭하는 것으로, 다양한 목적을 가진 악성파일들과 악성행위들을 모두 일컫는 말이다. 이 보고서에서는 Black Energy의 시발점이 된 엑셀 문서 파일과, 전체 공격의 일부로 사용된 MBR 파괴 모듈에 대해 알아보고자 한다. 2. 분석 정보2-1. 파일 정보구분내용파일명BlackEnergy.xls파일크기734,724 byte진단명Trojan-Dropper/X97M.BlackEnergy악성동작xls ..

[악성코드 분석] 토렌트를 통한 유포방식의 악성코드

토렌트를 통한 유포방식의 악성코드 분석 보고서 1. 개요 플로피 디스크, CD, DVD, 와레즈에 이어 토렌트까지. PC의 발전과 함께 자료의 공유방식도 발전해 왔다. 인터넷 접속이 빨라지면서 점차 물리적 매체가 아닌 인터넷을 통한 공유가 자리를 잡아갔고, 현재는 토렌트를 통한 공유가 매우 활성화 되었다. 토렌트란 사용자와 사용자 간의(peer-to-peer) 파일 전송 프로토콜이자 그것을 이용하는 응용 소프트웨어의 이름이다. 파일을 전송하기 위해 전송하고자 하는 파일이 아닌, 그 파일에 대한 정보를 갖고 있는 시드파일(.torrent)만을 공유하면 되기 때문에 파일의 공유가 간편하다. 또한 여러 사용자로부터 동시에 파일을 받기 때문에 속도가 빠르다. [출처 – 위키백과] 하지만 그 편의성과 접근성으로 ..

[악성코드 분석] k01922.exe (인터넷 뱅킹 파밍)

k01922.exe 악성코드 분석 보고서 1. 개요 인터넷뱅킹 파밍을 시도하는 금융권 파밍 악성코드는 정부와 금융권의 지속적인 노력에도 불구하고 금전을 노리는 해커들의 공격 수단으로 계속 사용되고 있다. 다수의 안티 바이러스 업체에서 파밍 악성코드를 진단 치료하지만, 이러한 대응이 무색하게 끊임없이 변종을 양산해 내고 있다. 이 보고서에서는 금융권 파밍 악성코드의 감염방식에 대해 알아보고 대응책을 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 k01922.exe 파일크기 175,616 byte 진단명 Trojan/W32.KRBanker.175616.E 악성동작 인터넷 뱅킹 파밍 네트워크 m***.co.kr, 23.***.**.10, 23.***.**.18, 114.***.***...

[악성코드 분석] pmsis.exe (개인정보 유출)

pmsis.exe 악성코드 분석 보고서 1. 개요 최근 대부분의 일상생활을 PC를 통해 해결 가능하게 됨으로써 사용자가 인지하지 못하는 방법으로 설치되는 악성파일이 급증하고 있다. 이로 인해 PC 의 제어권을 빼앗기거나, PC 사용 정보를 유출하는 등 다수의 위험에 노출되게 된다. 이번에 분석한 pmsis.exe 의 경우 사용자가 인지하지 못하는 사이에 설치되어 PC의 사용 정보를 유출할 뿐 아니라 사용자의 키보드 사용 정보의 유출 위험성이 있어 개인정보의 유출 및 2차 피해의 우려가 있다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 pmsis.exe 파일크기 145,408 byte 진단명 Trojan/W32.Agent_Packed.145408.I 악성동작 파일/프로세스 제어, 키보드 후킹, ..

PC 부팅을 막는 MBR 악성코드

PC 부팅을 막는 MBR 악성코드 1. 개요 하드디스크의 MBR(Master Boot Record ; 마스터부트레코드) 영역을 파괴하여 PC 부팅을 못 하게 만드는 MBR 악성코드가 성행하기 시작했다. MBR 영역을 파괴하는 악성코드는 이전 한수원 해킹 사건, 3.20 사이버 테러, 6.25 사이버테러 등에서 국내 주요기관을 마비시킨 이력이 있다. MBR이란 파티션 된 저장장치(하드 디스크, 이동식 저장장치, USB메모리 등)의 가장 앞 부분에 쓰여있는, 저장장치 이용 시 반드시 필요한 정보이다. MBR에는 PC 부팅에 반드시 필요한 여러 정보(파티션정보, 부트로더 정보 등)이 손상되면 저장장치를 읽을 수 없게 되어 대표적으로 PC 부팅 실패 등 여러 이상이 발생한다. 이에 잉카인터넷 시큐리티 대응센터(..

[악성코드 분석] HashCop_Bypass.exe (토렌트를 통한 악성코드 유포)

HashCop_Bypass.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 구분내용파일명HashCop_Bypass.exe, svchost.exe파일크기1,009,152 byte진단명Trojan-Downloader/W32.Agent.1009152.C악성동작Bot, Downloader 1.2. 유포경로 HashCop_Bypass.exe는 *토렌트를 통해 유포되었다. 이 악성 파일에 대한 내용이 담긴 torrent 파일 “Inside Men, 2015 .720p.HDRip-H264.by-kyh -.torrent” 은 현재에도 토렌트 공유 사이트에 업로드 되어 있고 파일 다운로드가 가능하므로 주의가 요구된다. *토렌트 – 사용자와 사용자 간(peer-to-peer) 파일 전송 프로토콜이자 그것을 이용하..

[악성코드 분석] atotal3.exe (게임 실행화면 탈취, 파일 생성실행)

atotal3.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 구분 내용 파일명 atotal3.exe 파일크기 438,272 byte 진단명 Trojan/W32.Agent.438272.SW 악성동작 게임 실행화면 탈취, 파일 생성실행 네트워크 115.**.***.158 에서 다운로드 1.2. 유포경로 atotal3.exe 는 네이트 피싱사이트 nete.kr(115.**.***.158)에서 유포되었다. 정상 사이트(nate.com)와 URL이 비슷한 피싱사이트는 접속 시 정상 사이트와 외관이 동일하기 때문에 이용자가 쉽게 정상 사이트로 착각할 수 있다. 피싱 사이트는 정상 사이트의 정보를 그대로 가져와 보여주지만 페이지 소스코드를 살펴보면 세 개의 악성함수가 숨겨져 있으며, 이 함수를 통해 악성코..

[악성코드 분석] fgrfev1.1.exe

fgrfev1.1.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 파일명 fgrfev1.1.exe 파일크기 55,198 byte 진단명 Trojan-PWS/W32.WebGame.55198 악성동작 다운로더 네트워크 14.**.***.148/down/dll.dll 파일명 임의숫자.txt 파일크기 68,006 byte 진단명 Trojan-PWS/W32.WebGame.68006 악성동작 계정정보 탈취 네트워크 14.**.***.148 1.2. 유포경로 fgrfev1.1.exe는 복합쇼핑몰 홈페이지 www.y****k.kr/ad/fgrfev1.1.exe 에 업로드 되어 있다. 수집 당시 해당 웹사이트에는 fgrfev1.1.exe 외에도 다른 두 개의 실행파일이 업로드 되어 있었으나 현재는 다운로드되지 ..

[악성코드 분석] 80.exe (랜섬웨어)

80.exe 악성코드 분석 보고서 1. 분석 정보 1.1. 유포경로 랜섬웨어는 사용자의 PC에서 실행될 경우 PC 내의 문서, 그림 파일 등 특정 파일들을 암호화하고 복호화를 위해서 금전을 요구하는 악성파일이다. 대다수가 이메일의 첨부파일이나 변조된 웹사이트를 통해 전파되어 감염된다. 80.exe 파일은 랜섬웨어 중 TeslaCrypt에 속하며 이메일 첨부파일을 통해 전파되었다. 이메일 내용을 살펴보면 결제와 관련된 내용이며, 첨부된 .zip 파일은 .js 파일이 압축된 것을 확인 할 수 있다. 사용자가 별다른 의심없이 첨부파일을 다운로드하여 압축해제 후 .js 파일을 실행하면 80.exe 파일을 다운로드하고 실행하는 스크립트가 동작한다. [그림] 메일을 통해 유포된 랜섬웨어 80.exe 1.2. 80...