잉카인터넷 시큐리티대응센터 블로그

Rokku 랜섬웨어 분석 보고서 1. 개요2015년도 악성코드의 뜨거운 감자가 금융권 파밍 악성코드였다면, 2016년 가장 주목 받게 될 악성코드 유형은 랜섬웨어가 아닐까 한다. 최근 가장 많이 발견되고 있을 뿐만 아니라, 한번 감염되면 그 피해가 크다는 점에서 현재 가장 위협적인 악성코드이다. 게다가 랜섬웨어는 그 수가 폭발적으로 증가하면서 암호화 방식이나 동작 유형이 다양하게 등장하고 있어 사용자들에게 더욱 공포감을 심어주고 있다. 이번 보고서에서는 수 많은 변종 랜섬웨어 중 하나인 rokku 랜섬웨어에 대해 이야기한다. 2. 분석 정보2-1. 파일 정보구분내용파일명rokkuRansom.exe (임의의 파일명)파일크기681,984 Byte진단명Trojan/W32.Deshacop.681984악성동작파일..

SWF 취약점을 통해 전파된 랜섬웨어 분석 보고서 1. 개요 악성코드의 목적은 금융정보 탈취, 파일 암호화, DDoS 공격용 좀비PC 생성, 단순 PC 파괴 등 다양하다. 그리고 공격자는 이런 악성코드가 사용자의 PC에서 실행되도록 다양한 수단을 이용한다. 취약점 CVE-2016-1019 도 그 중 하나이다. CVE는 Common Vulnerabilities and Exposures의 약자로, 보안 취약점 정보를 제공하는 시스템을 말한다. 각 취약점 별로 번호를 붙여 식별하고, 이 랜섬웨어에서 사용한 CVE-2016-1019 는 2016년 4월에 발견된 취약점으로, Adobe Flash Player 21.0.0.197 이하 버전을 사용할 경우 이 취약점에 노출된다. 이 보고서에서는 CVE-2016-101..

MBR 변조로 정상 부팅을 방해하는 PETYA 랜섬웨어 분석 보고서 1. 개요일반적인 랜섬웨어는 표적이 되는 특정 파일을 암호화 하여 해당 파일을 복구하는 대가로 금전을 요구한다. 이때, 사용자의 PC는 암호화된 파일을 여는 것 외에는 정상작동을 할 수 있었다. 최근엔 이런 일반적인 랜섬웨어의 동작에 고정관념을 깨고 컴퓨터 하드디스크의 MBR 코드를 변조시켜 정상부팅을 막는 랜섬웨어가 등장하였다. 또한 이 랜섬웨어는 파일공유 서비스를 이용해 유포되고 있으며 파일명이 독일어이지만 이력서 파일로 위장하고 있어 사용자에게 큰 피해가 우려된다. 본 보고서에선 파일 암호화가 아닌 MBR 코드를 변조하는 PETYA 랜섬웨어를 집중 분석하고 예방 및 해결책을 명시하여 사용자 피해를 최소화하고자 한다. 2. 분석 정보..

인기 게임으로 위장한 악성 토렌트 분석 보고서 1. 개요 토렌트는 많은 사람들이 이용하는 파일 공유 수단으로, 종종 악성코드 유포 수단으로 악용되기도 한다. 동영상이나 음악 같은 데이터 파일로 위장한 악성파일의 경우, 사용자의 실행 유도를 위해 실행파일을 데이터파일로 위장해야 한다. 하지만 실행파일이 필수적으로 포함된 게임, 유틸리티의 경우, 악성코드를 다른 파일 형태로 위장할 필요가 없어 해커들이 자주 사용하는 공격 수단이 된다. 특히 불법으로 유통되는 고 사양 최신 게임의 경우 파일의 크기가 굉장히 크고 쉽게 구할 수 없기 때문에 다운로드 받기가 쉽지 않다. 구하기 어려운 게임 파일로 위장한 악성파일은 사용자를 현혹시키기 쉬워 설령 오류가 있더라도 게임을 하고싶은 사용자 심리에 의해 의심없이 실행되는..

C&C 동작의 악성코드 분석 보고서 1. 개요PC나 시스템을 자유자제로 조작하고 감시하는 것은 해킹의 궁극적인 목적이다. 만약 사용자가 자신이 해킹 공격을 당하고 있다는 사실을 인지하지 못한다면 공격의 기간도 길어질 것이고, 피해의 심각성은 커질것이다. 윈도우 필수 프로세스에 인젝션되어 동작하는 악성코드들은 겉으론 보이지 않기 때문에 일반사용자가 쉽게 찾아내기 힘들다. 또한 C&C 악성동작을 겸비하고 있는 악성코드에 감염된 PC라면 추후 공격에 사용될 가능성이 크다. 악성코드 Trojan.GenericKD.3003712 (factuur2390.exe) 를 분석하며 PC에서 동작하고 있을지 모르는 C&C 악성코드의 위험성에 대해 설명하고자 한다. 2. 분석 정보2-1. 파일 정보구분내용파일명factuur2..

2016년 2월 악성코드 통계 악성코드 Top202016년 2월(2월 1일 ~ 2월 29일) 한 달간 잉카인터넷 시큐리티 대응센터는 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 3,181건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Virus/W32.Virut.Gen Virus 3181건 2위 Trojan/XF.XF.Sic Trojan 3117건 3위 W32.Ramnit Virus 2231건 4위 Adware/LemonWebtoon.D Adware 1565건 5위 Gen:Trojan.Heur.JP.ju2@aOy0xLkP Tro..

전자서명을 도용해 유포된 악성코드 분석 보고서 1. 개요최근 한 전자서명 업체의 코드서명(코드사인)이 해킹되어, 악성코드 유포에 악용된 사건이 발생했다. 특정 프로그램의 게시자 정보를 알려줘 믿고 다운받을 수 있게 해주는 코드서명을 이용해, 사용자가 서명된 악성파일을 의심없이 다운받고 실행하도록 한 것이다. 본 보고서에선 코드서명을 악용하여 유포된 악성코드 Trojan/W32.Agent.78592.I 를 분석하여, 운영체제의 서명 파일 취급과정과 해당 악성코드의 악성동작에 대해 알아보고자 한다. 2. 분석 정보2-1. 파일 정보구분내용파일명275b7.exe파일크기78,592 byte진단명Trojan/W32.Agent.78592.I악성동작다운로더네트워크165.***.***.67:443 2-2. 용어 설명일..

smo.exe(인터넷 뱅킹 파밍) 악성코드 분석 보고서 1. 개요 최근, 금융권 피싱 사이트를 통한 사용자 정보탈취 악성코드가 기승을 부리고 있다. 악성코드 유형별 비율 통계(한국인터넷진흥원, 2015.12)에 따르면 금융사이트파밍 악성코드 유형이 정보유출(금융정보) 유형에 이어 전체에서 높은 비율을 차지하고 있다. 최근에는 국내뿐만 아니라 일본 금융사이트를 대상으로 한 악성코드도 발견되고 있다. 금융권 계정 탈취용 악성코드의 경우, 피싱 사이트를 통해 정보 유출을 유도하므로, 사용자가 피싱 사이트에 쉽게 접속할 수 있도록 여러 파밍 기법을 쓰고 있다. 이번 보고서에서는 일본 금융 사이트를 대상으로 제작된 Trojan/W32.JPBanker.64696(smo.exe)를 분석하며 한동안 파밍 악성코드에서 ..

Radamant (랜섬웨어) 악성코드 분석 보고서 1. 개요파일을 암호화하고 암호를 풀기 위해 금전을 요구하는 악성 프로그램 랜섬웨어의 수가 급증하고 있다. 특히 2015년 상반기엔 유명 커뮤니티 사이트에서 랜섬웨어가 유포되어 많은 사용자가 피해를 입었다. 이후에도 많은 보안업체의 노력에도 불구하고 랜섬웨어의 피해는 점점 증가하고 있다. 인터넷뱅킹 파밍이나 계정정보 탈취를 시도하는 다른 악성코드들은 감염이나 피해에 따른 보안 툴이 있는 반면, 랜섬웨어의 경우 감염 즉시 PC의 데이터를 사용 불능으로 만들며 감염된 파일은 복구가 어려워 많은 피해를 일으키고 있다. 따라서, 잉카인터넷 시큐리티 대응센터는 해당 보고서에 Radamant 랜섬웨어(진단명: Trojan/W32.Bublik.208896.N) 를 분..

2016년 1월 악성코드 통계 악성코드 Top202016년 1월(1월 1일 ~ 1월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로이목마) 유형이며 총 4,729건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Gen:Trojan.Heur.JP.iu1@a847J8kP Trojan 4729건 2위 Gen:Trojan.Heur.GZ@B1ab4XA6LpO Trojan 4618건 3위 Trojan/XF.XF.Sic Trojan 2815건 4위 Gen:Variant.Graftor.2652 Trojan 2755건 5위 Ad..