잉카인터넷 시큐리티대응센터 블로그

smo.exe(인터넷 뱅킹 파밍) 악성코드 분석 보고서 1. 개요 최근, 금융권 피싱 사이트를 통한 사용자 정보탈취 악성코드가 기승을 부리고 있다. 악성코드 유형별 비율 통계(한국인터넷진흥원, 2015.12)에 따르면 금융사이트파밍 악성코드 유형이 정보유출(금융정보) 유형에 이어 전체에서 높은 비율을 차지하고 있다. 최근에는 국내뿐만 아니라 일본 금융사이트를 대상으로 한 악성코드도 발견되고 있다. 금융권 계정 탈취용 악성코드의 경우, 피싱 사이트를 통해 정보 유출을 유도하므로, 사용자가 피싱 사이트에 쉽게 접속할 수 있도록 여러 파밍 기법을 쓰고 있다. 이번 보고서에서는 일본 금융 사이트를 대상으로 제작된 Trojan/W32.JPBanker.64696(smo.exe)를 분석하며 한동안 파밍 악성코드에서 ..

Radamant (랜섬웨어) 악성코드 분석 보고서 1. 개요파일을 암호화하고 암호를 풀기 위해 금전을 요구하는 악성 프로그램 랜섬웨어의 수가 급증하고 있다. 특히 2015년 상반기엔 유명 커뮤니티 사이트에서 랜섬웨어가 유포되어 많은 사용자가 피해를 입었다. 이후에도 많은 보안업체의 노력에도 불구하고 랜섬웨어의 피해는 점점 증가하고 있다. 인터넷뱅킹 파밍이나 계정정보 탈취를 시도하는 다른 악성코드들은 감염이나 피해에 따른 보안 툴이 있는 반면, 랜섬웨어의 경우 감염 즉시 PC의 데이터를 사용 불능으로 만들며 감염된 파일은 복구가 어려워 많은 피해를 일으키고 있다. 따라서, 잉카인터넷 시큐리티 대응센터는 해당 보고서에 Radamant 랜섬웨어(진단명: Trojan/W32.Bublik.208896.N) 를 분..

2016년 1월 악성코드 통계 악성코드 Top202016년 1월(1월 1일 ~ 1월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로이목마) 유형이며 총 4,729건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Gen:Trojan.Heur.JP.iu1@a847J8kP Trojan 4729건 2위 Gen:Trojan.Heur.GZ@B1ab4XA6LpO Trojan 4618건 3위 Trojan/XF.XF.Sic Trojan 2815건 4위 Gen:Variant.Graftor.2652 Trojan 2755건 5위 Ad..

BLACK ENERGY 악성코드 분석 보고서 1. 개요지난해 말 악성코드에 의한 최초의 정전사태로 기록된 우크라이나 정전사태의 주범으로 Black Energy(블랙에너지)가 주목 받고 있다. Black Energy는 하나의 악성 파일이 아닌, 침투-정보수집-확산-공격-파괴 의 절차를 가진 APT 공격 전체를 지칭하는 것으로, 다양한 목적을 가진 악성파일들과 악성행위들을 모두 일컫는 말이다. 이 보고서에서는 Black Energy의 시발점이 된 엑셀 문서 파일과, 전체 공격의 일부로 사용된 MBR 파괴 모듈에 대해 알아보고자 한다. 2. 분석 정보2-1. 파일 정보구분내용파일명BlackEnergy.xls파일크기734,724 byte진단명Trojan-Dropper/X97M.BlackEnergy악성동작xls ..

토렌트를 통한 유포방식의 악성코드 분석 보고서 1. 개요 플로피 디스크, CD, DVD, 와레즈에 이어 토렌트까지. PC의 발전과 함께 자료의 공유방식도 발전해 왔다. 인터넷 접속이 빨라지면서 점차 물리적 매체가 아닌 인터넷을 통한 공유가 자리를 잡아갔고, 현재는 토렌트를 통한 공유가 매우 활성화 되었다. 토렌트란 사용자와 사용자 간의(peer-to-peer) 파일 전송 프로토콜이자 그것을 이용하는 응용 소프트웨어의 이름이다. 파일을 전송하기 위해 전송하고자 하는 파일이 아닌, 그 파일에 대한 정보를 갖고 있는 시드파일(.torrent)만을 공유하면 되기 때문에 파일의 공유가 간편하다. 또한 여러 사용자로부터 동시에 파일을 받기 때문에 속도가 빠르다. [출처 – 위키백과] 하지만 그 편의성과 접근성으로 ..

k01922.exe 악성코드 분석 보고서 1. 개요 인터넷뱅킹 파밍을 시도하는 금융권 파밍 악성코드는 정부와 금융권의 지속적인 노력에도 불구하고 금전을 노리는 해커들의 공격 수단으로 계속 사용되고 있다. 다수의 안티 바이러스 업체에서 파밍 악성코드를 진단 치료하지만, 이러한 대응이 무색하게 끊임없이 변종을 양산해 내고 있다. 이 보고서에서는 금융권 파밍 악성코드의 감염방식에 대해 알아보고 대응책을 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 k01922.exe 파일크기 175,616 byte 진단명 Trojan/W32.KRBanker.175616.E 악성동작 인터넷 뱅킹 파밍 네트워크 m***.co.kr, 23.***.**.10, 23.***.**.18, 114.***.***...

pmsis.exe 악성코드 분석 보고서 1. 개요 최근 대부분의 일상생활을 PC를 통해 해결 가능하게 됨으로써 사용자가 인지하지 못하는 방법으로 설치되는 악성파일이 급증하고 있다. 이로 인해 PC 의 제어권을 빼앗기거나, PC 사용 정보를 유출하는 등 다수의 위험에 노출되게 된다. 이번에 분석한 pmsis.exe 의 경우 사용자가 인지하지 못하는 사이에 설치되어 PC의 사용 정보를 유출할 뿐 아니라 사용자의 키보드 사용 정보의 유출 위험성이 있어 개인정보의 유출 및 2차 피해의 우려가 있다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 pmsis.exe 파일크기 145,408 byte 진단명 Trojan/W32.Agent_Packed.145408.I 악성동작 파일/프로세스 제어, 키보드 후킹, ..

PC 부팅을 막는 MBR 악성코드 1. 개요 하드디스크의 MBR(Master Boot Record ; 마스터부트레코드) 영역을 파괴하여 PC 부팅을 못 하게 만드는 MBR 악성코드가 성행하기 시작했다. MBR 영역을 파괴하는 악성코드는 이전 한수원 해킹 사건, 3.20 사이버 테러, 6.25 사이버테러 등에서 국내 주요기관을 마비시킨 이력이 있다. MBR이란 파티션 된 저장장치(하드 디스크, 이동식 저장장치, USB메모리 등)의 가장 앞 부분에 쓰여있는, 저장장치 이용 시 반드시 필요한 정보이다. MBR에는 PC 부팅에 반드시 필요한 여러 정보(파티션정보, 부트로더 정보 등)이 손상되면 저장장치를 읽을 수 없게 되어 대표적으로 PC 부팅 실패 등 여러 이상이 발생한다. 이에 잉카인터넷 시큐리티 대응센터(..

HashCop_Bypass.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 구분내용파일명HashCop_Bypass.exe, svchost.exe파일크기1,009,152 byte진단명Trojan-Downloader/W32.Agent.1009152.C악성동작Bot, Downloader 1.2. 유포경로 HashCop_Bypass.exe는 *토렌트를 통해 유포되었다. 이 악성 파일에 대한 내용이 담긴 torrent 파일 “Inside Men, 2015 .720p.HDRip-H264.by-kyh -.torrent” 은 현재에도 토렌트 공유 사이트에 업로드 되어 있고 파일 다운로드가 가능하므로 주의가 요구된다. *토렌트 – 사용자와 사용자 간(peer-to-peer) 파일 전송 프로토콜이자 그것을 이용하..

atotal3.exe 악성코드 분석 보고서 1. 개요 1.1. 파일정보 구분 내용 파일명 atotal3.exe 파일크기 438,272 byte 진단명 Trojan/W32.Agent.438272.SW 악성동작 게임 실행화면 탈취, 파일 생성실행 네트워크 115.**.***.158 에서 다운로드 1.2. 유포경로 atotal3.exe 는 네이트 피싱사이트 nete.kr(115.**.***.158)에서 유포되었다. 정상 사이트(nate.com)와 URL이 비슷한 피싱사이트는 접속 시 정상 사이트와 외관이 동일하기 때문에 이용자가 쉽게 정상 사이트로 착각할 수 있다. 피싱 사이트는 정상 사이트의 정보를 그대로 가져와 보여주지만 페이지 소스코드를 살펴보면 세 개의 악성함수가 숨겨져 있으며, 이 함수를 통해 악성코..