안티바이러스15 [랜섬웨어 분석] Try2Cry 랜섬웨어 Try2Cry Ransomware 감염 주의 최근 “Try2Cry” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 이동식 드라이브에 기존의 폴더와 동일한 이름으로 자가복제하여, 이동식 드라이브를 통해 랜섬웨어가 전파되도록 유도하고 있으며, 사용자의 파일을 암호화하고 있어 주의가 필요하다. 이번 보고서에서는 “Try2Cry” 랜섬웨어에 대해 간략하게 알아보고자 한다. “Try2Cry” 랜섬웨어 실행 시, 시스템에서 드라이브를 검색한다. 만약 이동식 드라이브가 존재한다면 해당 드라이브의 폴더를 검색하고, 검색된 폴더와 동일한 이름으로 “Try2Cry” 랜섬웨어를 복사한다. 이후 다음 [표 1]과 같이 아랍어 파일명으로 5개의 파일을 추가 복사한다. 자가 복제 후 파일을 검색하여 [표 2]의 암호화 조건에 부합하는 .. 2020. 7. 31. [랜섬웨어 분석] Rabbit 랜섬웨어 Rabbit Ransomware 감염 주의 Rabbit 랜섬웨어는 파일 암호화와 함께 사용자 시스템 정보 및 화면 캡처 파일을 C2 서버로 전송한다. 또한 금전 요구 페이지가 태국어로 작성된 특징을 갖고있다. 이번 보고서에서는 Rabbit 랜섬웨어의 악성 동작에 대해 간략하게 알아본다. 해당 랜섬웨어는 아래 [표1]에 해당하는 폴더와 확장자에 대해 암호화를 진행하고, 암호화된 파일의 확장자 뒤에 ‘.RABBIT’을 덧붙인다. 그리고 암호화 대상 폴더마다 ‘อ่านวิธีแก้ไฟล์โดนล๊อค.txt’ 랜섬노트를 생성하고, 웹 브라우저를 실행해 태국어로 작성된 금전 요구 페이지로 연결한다. 이외에도 사용자 시스템 정보와 함께 화면 캡쳐 파일을 C2 서버로 전송한다. 랜섬웨어의 피해를 최소한으로 예방하기.. 2020. 7. 10. [랜섬웨어 분석] Immuni 랜섬웨어 Immuni Ransomware 감염 주의 코로나 바이러스 이슈를 악용한 악성 코드가 지속적으로 등장하고 있는 가운데 최근 사회공학 기법을 이용한 “Immuni”라는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 “FuckUnicorn” 이름으로도 불리우고 있으며, 최근 이탈리아 약사 주문 연합(Federazione Ordini Farmacisti Italiani)의 웹 사이트(fofi)와 유사한 가짜 웹 사이트(fofl)를 제작하고, “Immuni”라는 코로나 추적 애플리케이션 PC 버전 다운로드를 요청하는 메일을 통해 가짜 웹 사이트에서 파일을 다운로드 받도록 유도하고 있는 것으로 알려져 있다. 만약 다운로드 된 파일을 실행하면 사용자의 파일을 암호화하기 때문에 주의가 필요하다. 이번 보고서에서는 “Immu.. 2020. 6. 1. [악성코드 분석] Poulight Stealer 악성코드 분석 보고서 1. 개요 최근 해외 보안업체에 따르면 올해 3월경, 정보 탈취형 악성코드 ‘Poulight Stealer’가 새롭게 발견되었다고 알려진다. 또한 러시아 언어로 된 C2 패널에서 해당 악성코드의 판매가 이루어지고 있기 때문에 추가적으로 유포량이 증가할 가능성이 있어 주의가 필요하다. 이번 보고서에서는 ‘Poulight Stealer’ 악성코드의 주요 악성 동작에 대해 알아본다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 해당 악성코드를 실행하면 먼저 실행된 환경이 가상 환경인지 체크한다. 가상 환경이 아닐 경우 정상적으로 실행되어 사용자의 데이터를 수집하기 위한 임의의 폴더(pf-tu4ap)를 “C:\Users\사용자 계정명\AppData\Local” 위치에 생성한다. 이후 시스템 기본정보,.. 2020. 5. 20. [악성코드 분석] Lokibot 악성코드 분석 보고서 견적 요청서로 위장한 Lokibot 악성코드 유포 주의 최근 국내 특정기업을 사칭해 견적 요청서로 위장한 스피어 피싱 메일이 발견되었다. 스피어 피싱은 특정한 개인이나 회사를 대상으로 공격을 시도하는데, 아래의 악성 메일처럼 정교한 내용으로 첨부된 대용량 악성 파일을 열람하도록 유도한다. 첨부 파일은 디스크 이미지 파일(.img) 형식으로 되어있으며 더블 클릭할 경우, 자동으로 마운트 되어 내부에 존재하는 실행파일(‘RFQ_UYK_1DED’, ‘kiriko_492B.exe’)을 볼 수 있다. 이를 견적서와 관련된 파일로 착각해 실행하면 ‘LokiBot’ 악성코드가 실행된다. 실행된 ‘Lokibot’ 악성코드는 웹브라우저, 메일, FTP 클라이언트 등 응용프로그램에 저장된 계정정보를 수집한 뒤, 데이터를 .. 2020. 2. 27. [악성코드 분석] Gold Dragon 악성코드 주의 Gold Dragon 악성코드 주의 1. 개요 최근, 국내에서 열렸던 2018년 평창 올림픽이 무사히 막을 내렸다. 올림픽 기간 중에도 보안과 관련된 이슈는 끊임없이 계속 발생하였지만 그 중, 흥미롭게도 해외 한 백신 업체에서 평창 올림픽을 겨냥한 것으로 추정되는 악성코드에 대한 보고서를 기재하였다.게시된 글을 확인해보면 ‘Gold Dragon’ 이라고 불려지고 있는 파일에 대하여 내용이 다루어져 있다는 것을 확인할 수 있었는데, 이번 블로그에서는 해당 악성코드에 대해 어떠한 동작을 하는지 간단히 알아보도록 하자. 2. 분석 정보 2-1. 파일 정보구분내용파일명[임의의 파일명].exe파일크기49,152 byte진단명Trojan/W32.Agent.49152.CRX악성동작정보 탈취 / 추가 악성코드 다운 및.. 2018. 3. 14. 이전 1 2 3 다음
