잉카인터넷 시큐리티대응센터 블로그

사용자의 중요 정보를 탈취하는 AZORult 분석 보고서 1. 개요 최근 활발히 활동 중인 AZORult는 주로 암호 화폐 지갑 정보와 사용자의 비밀번호 정보를 탈취하는 악성코드이다. 지난해 말 판매가 종료된 후, 올해 1분기에 C++로 재제작되어 유포되었다. 새로 유포된 버전은 기존에 사용하던 언어(Delphi)가 아닌 C++로 제작됐다는 점에서 ++버전으로 불린다. AZORult++ 버전이 기존과 다른 점은 원격 데스크톱 프로토콜(RDP) 설정이 추가됐다는 점이다. 아직 원격 데스크톱을 이용한 행위는 확인되지 않았지만, 정보 탈취와 함께 사용되면 많은 영향을 미칠 수 있음으로 주의가 필요하다. 이번 보고서에서는 출시 후 3년 동안의 유포 및 기능의 변화 과정과 올해 1분기에 발견된 AZORult++ ..

레지스트리를 변경하는 MedusaLocker 랜섬웨어 감염 주의 1. 개요 최근 사용자 계정 컨트롤(UAC) 관련 레지스트리를 변경하는 MedusaLocker 랜섬웨어가 발견되었다. 10월 초, 중국 서버 중 한 곳이 피해를 당한 것으로 알려졌으며, 국내에서는 최근에 지속적으로 발견되고 있는 것으로 알려져 주의를 기울일 필요가 있다. 이번 보고서에는 최근에 유포 되고 있는 MedusaLocker 랜섬웨어 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다. 2-3. 실행 과정 MedusaLocker 랜섬웨어 실행 시, ‘관리자 권한’을 사용하여 악성 동작을 실행하기 위해 사용자 계정 컨트롤(UAC)..

Mike 랜섬웨어 주의! 1. 개요 최근 10월에 볼륨 섀도우를 삭제하는 Mike 랜섬웨어가 등장하였다. 해당 랜섬웨어는 볼륨 섀도우의 복사본을 삭제하고, Windows 오류 복구 기능을 비활성화한다. 그리고 특정 대상 파일에 대해 AES 와 RSA 로 암호화를 하여 사용자에게 금전적인 요구를 하므로 주의가 필요하다. 이번 보고서에는 최근 발견된 Mike 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 랜섬웨어가 실행되면 암호화가 시작되기 전, “vssadmin.exe” 를 통해 드라이브에서 섀도우 복사본을 모두 삭제한다. 그리고SQL과..

회계법인 송장 관련 피싱 메일 유포 주의 1. 개요 현재 송장 관련 내용으로 위장한 피싱 메일이 국내 기업 대상으로 유포되고 있어 주의가 필요하다. 이메일의 제목에는 국내 특정 기업을 사칭했으며 본문에는 악성 엑셀 파일을 다운받을 수 있는 링크가 포함되어있다. 2. 분석 정보 2-1. 분석 정보 2-2. 실행 과정 악성 엑셀 문서를 실행하면 다음과 같이 매크로를 사용하도록 유도하는 내용이 적혀있다. 만약 사용자가 엑셀 본문의 내용을 보기 위해 콘텐츠 사용 버튼을 클릭하면 악성 매크로가 실행되며 [그림 3]과 같은 로딩 창이 생긴다. 3. 악성 동작 3-1. 악성 파일 드롭 및 로드 악성 매크로가 실행되면 아래와 같이 파일들을 생성한다. ‘libProject.xlsx’에 임베디드된 ‘oleObject1.b..

다크웹에서 판매되는 Arcane Stealer 분석 보고서 1. 개요 최근 사용자 정보를 탈취하는 “Arcane Stealer”가 발견되었다. 현재 다크웹에서 소스코드와 함께 9달러 혹은 699루블로 판매되고 있으며, 사용자의 중요한 개인정보를 탈취한다. 해당 악성코드는 특정 목표를 대상으로 한 공격이 아닌 무차별적인 공격을 하고 있어 사용자의 주의가 필요하다. 이번 보고서에서는 개인정보를 탈취하는 “Arcane Stealer”에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 “Arcane Stealer”가 실행되면 브라우저, 파일, 시스템 정보 등 사용자의 다양한 개인정보를 수집 후 기록한다. 이후 해당 파일들을 ZIP 파일로 압축하여 C&C로 전송한 후 삭제한다. 3...

보안 스캐너를 가장한 랜섬웨어 1. 개요 최근, ‘Windows Security Scanner’를 가장한 랜섬웨어가 등장하였다. 이는 이메일을 통해 유포되었으며, Zip 파일이 첨부되어 압축을 해제하면 실행파일이 있고, 숨김 속성으로 ‘Resource’ 폴더가 나타난다. 해당 실행파일을 실행하면 ‘Resource’ 폴더 내에 숨김 파일들이 실행되며, 스캐너 로딩 이미지를 통해 정상 파일처럼 보이도록 하지만 악성 동작을 수행한다. 사용자 PC의 보안을 경고하여 사용자가 이에 속아 직접 실행하도록 하기에 주의가 요구된다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 이메일을 통해 유포되며, Microsoft 사의 공식 메일을 모방한다. 2-3. 실행 과정 스팸 메일에 첨부된 파일은 Zip 형태로,..

2019년 9월 악성코드 통계 악성코드 통계 악성코드 Top20 2019년9월(9월 1일 ~ 9월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 1,422,121 건이 탐지되었다. 악성코드 유형 비율 9월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Trojan(트로잔)이 66%로 가장 높은 비중을 차지하였고, Exploit(익스플로잇)과 Virus(바이러스)가 각각 27%와 3%, Worm(웜)과 Backdoor(백도어)이 각각 1%, 1%씩으로 그 뒤를 따랐다. 악성코드 진단 수 전월 비교..

1. 9월 랜섬웨어 동향 2019년 9월(9월 01일 ~ 9월 30일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 Nemty 랜섬웨어가 입사지원서를 위장한 스팸 메일 형태로 다수 유포되었다. 해외에서는 미국 라디오 방송사인 Entercom이 랜섬웨어 공격을 받았으며, 미국 Campbell County의 메모리얼 병원 또한 랜섬웨어 공격을 받은 사건이 있었다. 이번 보고서에서는 9월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 9월 등장한 WannaCash 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 소식 Nemty 랜섬웨어 유포 사례 8월 말 등장했던 Nemty 랜섬웨어가 9월에 본격적으로 국내 사용자를 대상으로 유포되었다. 입사지원서를 위장한 스팸메일 형태로 첨..

보안 로그까지 삭제하는 PyCrypter감염 주의 1. 개요 최근 Python 모듈을 사용하는 PyCrypter 랜섬웨어가 발견되었다. 해당 랜섬웨어는 6월에 발견된 SystemCrypter 랜섬웨어의 계통으로 알려져 있으며, 감염 시 파일 암호화 뿐만 아니라 일부 시스템 기능을 비활성화하여 정상적인 작업을 불가능하게 만들기 때문에 주의가 필요하다. 이번 보고서에서는 PyCrypter 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다. 2-3. 실행 과정 "PyCrypter 랜섬웨어" 는 실행 시, 악성 행위에 사용되는 다수의 Python 모듈을 드랍 후 '작업관리자' 레지스트리를 비활성..

파일을 파괴하는 Ordinypt 랜섬웨어 1. 개요 사용자 PC에 접근하여 파일을 암호화하고 그에 대한 대가를 요구하는 것이 일반적인 랜섬웨어의 특징이다. 하지만 최근 등장한 Ordinypt 랜섬웨어는 파일에 비정상적인 데이터를 삽입하여 훼손한 뒤, 거짓으로 복구를 약속하며 금전을 요구한다. 이러한 모습의 악성코드는 추후에 지속적으로 등장할 수 있기에 주의가 필요하다. 이번 보고서에서는 Ordinypt 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 Ordinpyt 랜섬웨어가 실행되면, 시스템 폴더를 제외한 모든 경로에 있는 파일들의 확..