잉카인터넷 시큐리티대응센터 블로그

정상 프로그램으로 위장한 Mailto Ransomware 분석 보고서 “Mailto” 랜섬웨어는 2019년 8월에 등장하였으며, 최근 해외기업을 대상으로 공격한 사례가 발견되고 있다. 해당 랜섬웨어는 “Netwalker”라는 이름으로도 명명되고 있으며, “Sticky Password”라는 정상 프로그램으로 위장하여 사용자가 랜섬웨어를 실행시키도록 유도하고 있다. 만약 랜섬웨어가 실행된다면 사용자 시스템의 파일들을 암호화한다. 이번 보고서에서는 “Mailto” 랜섬웨어의 대해 간략하게 알아보고자 한다. . “Mailto” 랜섬웨어 실행 시 [표 1]의 암호화 제외 대상과 비교하여, 조건에 일치하는 사용자의 모든 파일을 암호화한다. 파일 암호화 동작 후 파일의 확장자를 .mailto[].으로 변경하고, {I..

Nebo 랜섬웨어 감염 주의 1. 개요 최근 Nebo 랜섬웨어가 등장하였는데, 해당 랜섬웨어는 암호화하기 전에 암호화에 방해되는 여러 프로세스를 종료하고 암호화 동작을 수행한다. 그 후C&C 서버와 연결을 시도하지만, 현재 분석시점에서는 해당 원격지와 연결이 원활하지 않기 때문에 추가 악성동작은 파악이 되지 않고 있다. 이번 보고서에서는 Nebo 랜섬웨어의 동작에 대해 간략하게 알아보고자 한다. 2. 악성 동작 2-1. 실행과정 해당 랜섬웨어는 먼저, 암호화 작업에 방해가 되는 프로세스를 강제 종료한다. 그리고 특정 확장자에 대하여 파일 암호화를 수행한다. 마지막으로 모든 디렉토리 아래에 랜섬노트를 생성하여 사용자에게 랜섬웨어에 감염된 사실을 알린다. 그리고 C&C서버에 연결을 시도하지만 현 시점에는 연..

국내 특정 기업을 사칭한 Emotet 악성코드 유포 주의 이모텟(Emotet)은 2014년 해외에서 처음 발견되어 금융정보를 탈취하는 악성코드로 현재까지도 유입량이 상위권에 속해있는 악성코드이다. 주로 견적서, 계약서 등 관련 내용의 피싱 메일을 통해 대량으로 유포되며 사용자 정보 탈취, 파일 다운로드 등 악성 동작을 수행한다. 최근 국내 특정기업을 사칭한 피싱 메일을 통해 ‘Emotet’ 악성코드가 유포되고 있어 사용자들의 주의가 필요하다. 해당 피싱 메일은 회의와 관련된 내용으로, 사용자가 첨부된 악성 워드 문서를 열람하도록 유도하고있다. 사용자가 피싱 메일에 첨부된 워드 문서를 열람할 경우, ‘콘텐츠 사용’ 클릭을 유도하고 있다. 본문 내용을 보기 위해 ‘콘텐츠 사용’ 버튼을 클릭할 경우, 악성 매..

‘Magniber’ 랜섬웨어 재등장 감염 주의 1. 개요 지난해 등장해서 파일 암호화를 수행하던 Magniber 랜섬웨어가 올해 6월 다시 등장해 활동을 시작했다. 해당 랜섬웨어는 MyRansom 이라고도 불리며, 한국어 환경의 운영체제에서만 파일 암호화를 수행하기 때문에 국내 사용자들의 각별한 주의가 요구되고 있다. 이번 보고서에서는 지난해 등장했던 Magniber 랜섬웨어와 비교했을 때 변화된 내용에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].dll 파일크기 82,944 byte 진단명 Trojan/W32.Inject.82944.U 악성동작 파일 암호화 2-2. Magniber 이전 버전 분석 정보 지난해 등장했던 Magniber 랜섬웨어와 비교했..

오프라인 환경에서 암호화하는 GandCrab 4 버전 감염 주의 1. 개요 올해 상반기에 유행했던 GandCrab 랜섬웨어가 버전 4로 업그레이드되어 돌아왔다. 많은 부분이 이전 버전과 동일하지만, C&C 서버와 통신을 시도하지 않고 암호화 과정을 진행한다는 점에서 차이가 있다. 이로 인해 오프라인이나 폐쇄된 네트워크 환경에서도 곧바로 암호화가 진행되기 때문에 주의가 필요하다. 이번 보고서에서는 GandCrab 랜섬웨어의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 210,432 byte 진단명 Ransom/W32.GandCrab.210432 악성동작 파일 암호화 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 해당..

2017년 7월 악성코드 통계 악성코드 Top202017년 7월(7월 1일 ~ 7월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Worm(웜) 유형이며 총 366,204건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Worm.Generic.24677 Worm 366,204건 2위 Backdoor/W32.Agent.986112.C Backdoor 9,994건 3위 Trojan.GenericKD.3549777 Trojan 9,716건 4위 Gen:Variant.Adware.Hebogo.1 Adware 9,643건 5위 Gen:V..

잉카인터넷, 2년 연속 ‘인터넷에코어워드 보안표준화분야 대상’ 수상 정보보안 전문기업 잉카인터넷(대표 주영흠)의 온라인 통합보안 서비스 nProtect Online Security(이하 온라인 시큐리티)가 ‘인터넷에코어워드 2017 보안표준화분야 대상을 받았다. 2016년 보안표준화분야 대상에 이어 2년 연속 수상의 영광을 안게 된 것이다. 인터넷에코어워드는 아이어워드위원회가 주최하고 한국인터넷전문가협회가 주관하며 미래창조과학부가 후원하는 시상식으로, 사용자 편의성을 제고한 인터넷 기술과 인터넷을 통한 사회공헌 활동 등으로 인터넷 생태계 발전에 기여한 개인과 기업, 단체를 선정한다. 올해는 7개 부문, 36개 분야에 걸쳐 총 90여 개의 인터넷서비스가 후보로 참가하여 열띤 경쟁을 펼쳤다. 대상 평가는 3..

‘Trick-Crypt ransomware’ 감염 주의 1. 개요 현대인들의 생활을 살펴보면 IT기술의 발전에 힘입어 윤택하고 편리한 생활을 누리고 있다는 것을 알 수 있다. 이제 현대인들은 PC와 스마트폰과 같은 IT기기가 없다면 일상생활에 불편함을 느끼기 마련이다. IT 기술은 생활을 편리하고 이롭게 만들기 위해 활용되지만, 몇몇은 악의적인 목적으로 사용되기도 한다. 랜섬웨어 사고 사례도 그 중 하나라고 볼 수 있다. 암호화 및 복호화 기법은 본래 어떠한 정보나 자료를 다른 사람에게 노출시키지 않게 하기 위한 기밀성에 초첨을 맞추어 발전해 왔다. 하지만 이런 기술이 현재에 와선 랜섬웨어 형태로 나타나 파일을 인질로 하여 금전을 얻기 위한 사이버 범죄에 사용되고 있어 사용자들은 항상 주의를 하여야 한다..

‘Scarab ransomware’ 감염 주의 1. 개요 사용자 PC의 중요 파일을 암호화하고 이 파일을 풀기 위한 금전을 요구하는 악성코드인 랜섬웨어는 하루가 멀다 하고 계속 발견되고 있다. 기업이나 공공기관에서 사용하는 대부분의 업무 자료가 종이 문서에서 디지털 문서로 대체되고 있는 만큼, 디지털 문서를 암호화하는 랜섬웨어는 업무를 마비시키거나 경제적으로 큰 손실로 이어질 수 있으므로, 모르는 파일이나 인터넷에서 다운로드한 파일은 실행 전에 다시 한번 의심을 가질 필요가 있다. 이번 보고서에서 다루는 ‘Scarab Ransomware’ 는 최근 발견되었으며 앞서 말했던 랜섬웨어와 마찬가지로 여러 확장자를 암호화하는 랜섬웨어이다. 2. 분석 정보 2-1. 파일 정보구분내용파일명Scarab_Ransom...

2017년 6월 악성코드 통계 악성코드 Top202017년 6월(6월 1일 ~ 6월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Worm(웜) 유형이며 총 137,087건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Worm/W32.Agent.57344 Worm 137,087건 2위 Trojan.TeslaCrypt.ES Trojan 9,289건 3위 Virus/W32.Ramnit Virus 7,619건 4위 Trojan/XF.Sic Trojan 6,584건 5위 Trojan/W32.Agent.174399.B Trojan 5,..