본문 바로가기

악성코드치료12

[랜섬웨어 분석] IOCP 랜섬웨어 IOCP Ransomware 감염 주의 최근 “IOCP” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 해외 사이트에 피해 사례가 발견되고 있으며, 볼륨 섀도우 복사본을 삭제하고 사용자의 파일을 암호화하기 때문에 주의가 필요하다. 이번 보고서에서는 “IOCP” 랜섬웨어에 대해 간략하게 알아보고자 한다. “IOCP” 랜섬웨어 실행 시, WMIC 명령어를 통해 현재 시스템의 볼륨 섀도우 복사본을 삭제하여 시스템 복원 기능을 무력화한다. 그리고 파일을 검색하여 [표 1]의 암호화 제외 목록과 비교하여 조건에 부합하는 파일을 암호화하고, UAKXC 확장자를 덧붙인다. 이후 파일을 암호화한 폴더에 랜섬노트를 생성하여 감염 사실과 복구 방법을 통보한다. 이번 보고서에서 알아본 “IOCP” 랜섬웨어는 볼륨 섀도우 복사본을 .. 2020. 9. 17.

[악성코드 분석] Anubis Stealer 악성코드 분석 보고서 지난 8월 중순, Anubis Stealer가 등장하였다. 해당 악성코드는 사용자의 PC에 저장된 정보를 탈취할 뿐 아니라, C&C 서버와 연결하여 탈취한 정보를 송신하고, 파일을 다운로드 하는 등의 동작을 하여 2차 피해가 발생할 수 있기에 주의가 필요하다. 이번 보고서에서는 Anubis Stealer의 동작에 대해 알아보고자 한다. Anubis Stealer는 사용자 PC에 대한 정보를 비롯한 브라우저 정보 등을 탈취하여 ‘AX7574VD.tmp’ 디렉토리에 저장한다. 악성코드가 시작되면 가장 먼저, 현재 웹캠과 모니터 화면을 캡처한다. 하기의 이미지, 표와 같이 사용자 PC에 저장되어 있는 다양한 정보를 탈취한다. FileZilla 브라우저에서 사용자 비밀번호와 사용자가 사용하는 사이트의 정보를 탈.. 2020. 9. 9.

[악성코드 분석] PurpleWave Stealer 악성코드 분석 보고서 1. 개요 최근 러시아 사이버 포럼에서 판매되고 있는 “PurpleWave Stealer”가 발견되었다. 판매자가 게시한 내용에 따르면 해당 악성코드는 C++로 작성되었고 평생업데이트 버전은 5000 루블, 두 번의 업데이트 지원 버전은 4000 루블에 판매하고 있다. 또한 탈취한 정보를 확인할 수 있는 패널을 제공하고 있으며, 사용자의 시스템에서 실행 시 민감한 정보가 탈취될 수 있어 주의가 필요하다. 이번 보고서에서는 “PurpleWave Stealer”에 대해 알아보고자 한다. 2. 분석 정보 2-1. C&C 연결 “PurpleWave Stealer” 실행 시, C&C 서버에 연결한다. 이때 공격자로부터 JSON 형식으로 전달되는 패킷 정보에 따라 [표 1]과 같이 가짜 알림 창, 파일 수집 경로 .. 2020. 9. 1.

[랜섬웨어 분석] Silvertor 랜섬웨어 Silvertor Ransomware 감염 주의 최근 “Silvertor” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 배치파일을 통해 볼륨 섀도우 복사본을 삭제하고, 사용자의 파일을 암호화하고 있어 주의가 필요하다. 이번 보고서에서는 “Silvertor” 랜섬웨어에 대해 간략하게 알아보고자 한다. “Silvertor” 랜섬웨어 실행 시, ‘C:\ProgramData’ 경로에 “cmdkey.bat” 배치파일 생성 후 Powershell로 실행한다. 실행된 배치파일은 볼륨 쉐도우 복사본을 삭제하며 시스템 복원 기능을 무력화한다. 이후 ‘C:\ProgramData\eq_2100.exe’과 ‘시작프로그램\sys_stratup.exe’ 경로에 자가복사하여, 시스템 시작 시 자동실행되도록 설정한다. 자가 복제 후 [표.. 2020. 8. 11.

[악성코드 분석] Vidar Stealer 악성코드 분석 보고서 1. 개요 최근 마이크로소프트의 윈도우, 오피스 제품에 대한 불법 정품인증 툴인 ‘KMSAuto’로 위장한 악성코드 유포 사례가 발견되었다. 해당 샘플은 SFX 형태의 압축파일로 내부에는 정품인증을 위한 ‘KMSAuto Net.exe’, 감염 PC의 네트워크 정보를 획득하기 위한 ‘script.vbs’ 및 정보를 탈취하는 ‘build.exe’가 있다. 만약, 사용자가 비밀번호를 정상적으로 입력한 후, OK 버튼을 누르면 “C:\Program\Data” 에 3개의 파일이 드롭된다. 첫 번째 드롭 파일은 KMSAuto Net.exe v1.5.1 크랙판(KMSAuto Net.exe)이고, 두 번째 드롭 파일은 IP Logger를 사용하여 감염 PC의 네트워크 정보를 수집하는 스크립트 파일(script.vbs).. 2020. 8. 6.

[랜섬웨어 분석] Try2Cry 랜섬웨어 Try2Cry Ransomware 감염 주의 최근 “Try2Cry” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 이동식 드라이브에 기존의 폴더와 동일한 이름으로 자가복제하여, 이동식 드라이브를 통해 랜섬웨어가 전파되도록 유도하고 있으며, 사용자의 파일을 암호화하고 있어 주의가 필요하다. 이번 보고서에서는 “Try2Cry” 랜섬웨어에 대해 간략하게 알아보고자 한다. “Try2Cry” 랜섬웨어 실행 시, 시스템에서 드라이브를 검색한다. 만약 이동식 드라이브가 존재한다면 해당 드라이브의 폴더를 검색하고, 검색된 폴더와 동일한 이름으로 “Try2Cry” 랜섬웨어를 복사한다. 이후 다음 [표 1]과 같이 아랍어 파일명으로 5개의 파일을 추가 복사한다. 자가 복제 후 파일을 검색하여 [표 2]의 암호화 조건에 부합하는 .. 2020. 7. 31.

이전 1 2 다음

티스토리툴바