악성파일 진단39 [악성코드 분석] 백도어 악성코드 분석 보고서 백도어 악성코드 분석 1. 개요 백도어(Backdoor)의 본래 의미는 시스템 개발이나 유지 보수를 편리하게 수행하기 위해, 시스템 인증과정 없이 원격 접속을 보장하여 운영체제나 프로그램 등에 접근할 수 있도록 만든 통로였다. 하지만, 최근에는 사용자 모르게 시스템에 무단으로 접근하고, 추가적인 악성코드를 설치하거나 개인 정보를 수집하는 악성코드 종류를 뜻하는 경우가 많아졌다. 본 보고서에서는 백도어 형태의 악성코드를 분석하여 백도어의 일반적인 기능과 동작 방식 등을 알아본다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 1.exe 파일크기 135,185 byte 진단명 Backdoor/W32.Farfli.135185 악성동작 백도어 네트워크 http://www.h*****r.com - 유포지 .. 2016. 9. 28. [악성코드 분석] 지정된 경로의 파일을 암호화 하는 Nullbyte 랜섬웨어 지정된 경로의 파일을 암호화 하는 Nullbyte 랜섬웨어 분석 1. 개요 일반적으로 랜섬웨어는 .ppt, .doc, .txt 와 같은 문서 파일의 확장자를 대상으로 한다. 이번에 분석한 Nullbyte 랜섬웨어는 파일 확장자를 기준으로 암호화 대상을 찾지 않고, 공격자가 지정한 경로의 모든 파일을 암호화 한다. 따라서, 주요 문서 파일의 암호화 뿐만 아니라 응용프로그램도 암호화하며, 확장자가 없는 파일 또한 암호화가 된다. 이렇듯 무차별적으로 파일을 암호화하는 Nullbyte 랜섬웨어에 대하여 알아본다. 2. 분석 정보 2-1. 파일 정보구분내용파일명encasvc.exe파일크기456,192 byte진단명Ransom/W32.Agent.456192악성동작파일 암호화네트워크31.***.***.116 2-2... 2016. 9. 13. [악성코드 분석] DLL 파일로 돌아온 Locky 랜섬웨어 주의 DLL 파일로 돌아온 Locky 랜섬웨어 주의 1. 개요 지난 8월 Locky의 변종인 Zepto가 유포되어 사용자를 위협했다. Zepto는 이메일에 첨부된 오피스 매크로를 통해 실행되어 파일을 암호화했으나, 최근 매크로가 아닌 다른 방식을 사용하는 새로운 변종이 발견되었다. 이 신규 변종은 자바스크립트를 통해 랜섬웨어 본체인 DLL 파일을 다운받고 실행시키는 특징을 보인다. 이번 보고서에서는 DLL 파일로 동작하는 변종 Locky 에 대하여 알아본다. *참고. Locky의 변종, Zepto 랜섬웨어 주의 보고서 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 locky.js (임의의 파일명) 파일크기 88,107 byte 진단명 Script/W32.Locky 악성동작 랜섬웨어 다운로더 네트워크 2.. 2016. 9. 7. [악성코드 분석] 말하는 랜섬웨어 Cerber 2 말하는 랜섬웨어 Cerber 2 분석 보고서 1. 개요 말하는 랜섬웨어로 유명한 Cerber 랜섬웨어는 파일 암호화가 완료되면 .vbs 파일을 통해 사용자에게 암호화 사실을 알려준다. 2016년 4월에서 5월 중에 CryptoWall 과 Locky 랜섬웨어 다음으로 많이 유포되었던 Cerber 렌섬웨어(출처 Fortinet Blog)는 최근 새로운 버전으로 다시 유포되기 시작했는데, 기존과는 다르게 확장자가 ‘.cerber2’로 변경되어 있다. 이번 분석 보고서에서는 새로운 버전으로 나타난 Cerber2 랜섬웨어에 대하여 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 cerber2.exe (임의의 파일명) 파일크기 248,965 byte 진단명 Ransom/W32.Cerber.2.. 2016. 8. 31. [악성코드 분석] 국내 메신저로 위장한 랜섬웨어 분석 국내 메신저로 위장한 랜섬웨어 분석 보고서 1. 개요 교육용 오픈소스 랜섬웨어 히든-티어(Hidden-Tear)를 변형한 랜섬웨어가 발견되었다. 다른 랜섬웨어와 다르게 주목할만한 점은 해당 랜섬웨어가 암호화한 파일의 확장자를 “.암호화됨”으로 변경하고, 파일 아이콘이 국내 유명 메신저로 위장하는 등 여러 부분에서 한국인이 제작했을 가능성이 높아 보인다. 분석 결과 해당 랜섬웨어는 히든-티어의 소스 전체를 그대로 가져다 쓰고 랜섬노트 출력만 추가한 것으로 보이며, 랜섬웨어 동작에 필요한 다수 기능이 아직 구현되지 않은 개발 초기 단계로 보인다. 해당 랜섬웨어는 아직 유포가 되지않아 제작 목적이 개인 연구용인지 유포용인지 알 수 없다. 하지만 아래와 같이 토르(Tor-project)를 이용하여 익명의 암호 .. 2016. 8. 23. [악성코드 분석] 사용자 자원을 무단으로 이용하는 가상 화폐 채굴 악성코드 사용자 자원을 무단으로 이용하는 가상 화폐 채굴 악성코드 1. 개요 비트코인과 같이 가상 화폐의 이용이 많아짐에 따라 가상 화폐 채굴 악성코드가 출현하고 있어 사용자의 주의가 필요하다. 가상 화폐 채굴 동작은 과도한 연산이 필요하기에 채굴 전용 GPU, 주문형 반도체(ASIC) 등을 동원해도 수익을 내기 어렵다. 이 때문에 해커들은 적은 비용으로 많은 가상 화폐를 채굴하기 위해, 소유자의 동의 없이 불특정 다수의 자원을 무단으로 이용하는 악성코드를 사용하고 있다. 본 보고서에서 다루게 될 Photo.scr 또한 가상 화폐의 한 종류인 모네로 코인(Monero Coin)을 채굴하여 사용자 모르게 해커의 가상 화폐 지갑에 전송하는 프로그램을 설치 및 실행시킨다. 게다가 이 악성코드는 취약한 웹 서버들을 자동.. 2016. 8. 19. 이전 1 2 3 4 5 ··· 7 다음
