잉카인터넷 시큐리티대응센터 블로그

꾸준히 발견되고 있는 Maoloa 랜섬웨어 감염 주의 1. 개요 올해 초, 처음으로 등장한 Maoloa 랜섬웨어는 다양한 변종이 출현하며 현재까지도 꾸준히 발견되고 있다. 최근 발견된 Maoloa 랜섬웨어는 이전에 비해 특정 서비스를 비활성화 시키며, 일부 폴더 및 파일을 제외하고 모든 확장자를 암호화 대상하기 때문에, 감염 되었을 경우 사용자의 피해가 클 것으로 예상된다. 이번 보고서에는 최근에 유포 되고 있는 Maoloa 랜섬웨어 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다. 2-3. 실행 과정 Maoloa 랜섬웨어 실행 시, 시스템 재부팅 후에도 자동으로 실행 될 수 있도록 레지스트리에..

bigbosshorse Ransomware감염 주의 1. 개요 최근 사용자 PC의 파일을 암호화한 후, “.bigbosshorse”라는 확장자를 추가하는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 볼륨 섀도우 복사본을 삭제하여 복구를 무력화한 후, .testxx 확장자와 Windows 폴더를 제외한 모든 파일의 암호화를 진행한다. 또한, 국내에서 해당 랜섬웨어가 발견된 만큼 주의를 기울일 필요가 있다. 이번 보고서에서는 “bigbosshorse” 랜섬웨어의 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 “BigBossHorse” 랜섬웨어가 실행되면 가장 먼저 사용 언어를 확인한 후, 아르메니아 등 6개국에 해당하는 언어를 사용 중인 경우 프로그램을 종료한다. 이후 복구..

2019년 11월 악성코드 통계 악성코드 통계 악성코드 Top20 2019년11월(11월 1일 ~ 11월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 676,542 건이 탐지되었다. 악성코드 유형 비율 11월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Trojan(트로잔)이 67%로 가장 높은 비중을 차지하였고, Exploit(익스플로잇)과 Virus(바이러스)가 각각 25%와 4%, Worm(웜)과 Backdoor(백도어)이 각각 2%, 1%씩으로 그 뒤를 따랐다. 악성코드 진단 수 전월..

1. 11월 랜섬웨어 동향 2019년 11월(11월 01일 ~ 11월 30일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 Nemty 랜섬웨어가 스팸메일을 통해 다수 유포 되었다. 해외에서는 스페인 컨설팅 회사인 Everis가 랜섬웨어 공격을 받았으며, 미국의 웹 호스팅 회사 SmarterASP.NET가 랜섬웨어 공격으로 웹사이트 기능이 마비된 사건이 있었다. 이번 보고서에서는 11월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 11월 등장한 MainBat 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 소식 Nemty 랜섬웨어 유포 사례 11월 한달 동안 Nemty 랜섬웨어가 ‘공정거래위원회’나 ‘입사지원서’로 위장하여 첨부파일을 포함한 스팸메일 형태로 유포 되었다...

확장자를 변경하지 않는 DEATH Ransomware 감염 주의 1. 개요 최근 ‘DEATH Ransom’이라고 불리는 새로운 랜섬웨어가 발견되었다. 초기에 발견된 ‘DEATH’ 랜섬웨어는 파일 암호화를 진행하지 않았지만 이번에 발견된 ‘DEATH’ 랜섬웨어는 파일 암호화를 진행하며 일반적인 랜섬웨어와 다르게 암호화된 파일의 확장자를 변경하지 않는 특징을 갖고 있다. 이번 보고서에서는 ‘DEATH Ransomware’에 대하여 알아본다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 현재 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 피싱메일, P2P 사이트를 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 해당 랜섬웨어가 실행되면 사용자 PC에서 특정 폴더와 파일을 제외..

사용자 정보를 탈취하는 Sorano Stealer 1. 개요 최근, 사용자 정보를 탈취하는 악성 코드가 등장하였다. 기존의 Stealer 와 유사하지만, 안티바이러스 정보를 포함하여 소프트웨어 DB 정보와 스크린 사이즈 등 광범위한 데이터를 탈취한다. 이러한 악성 공격은 이차적인 피해를 유발할 수 있기 때문에 큰 주의가 필요하다. 이번 보고서에는 최근 등장한 Sorano Stealer 에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 악성코드와 같이 이메일을 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 Sorano Stealer 이 수행한 악성 동작에 대해 저장되어있는 ‘C:\ProgramData\debug.txt..

14.99 달러로 판매되는 Phoenix Keylogger 분석 보고서 1. 개요 최근 서비스형 맬웨어 형태로 배포되고 있는 “Phoenix Keylogger”가 발견되었다. 판매자는 다크웹에서 1달 정액제 14.99달러, 완전 구매가격은 78.99 달러로 판매하고 있으며, 해당 악성코드는 키로깅 뿐만 아니라 사용자의 중요한 개인정보를 탈취하고 있어 사용자의 주의가 필요하다. 이번 보고서에서는 개인정보를 탈취하는 “Phoenix Keylogger”에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 “Phoenix Keylogger”가 실행되면 사용자 시스템 구성 정보와 키로깅, 클립보드 정보를 수집하고, 가상 환경과 관련된 프로세스 및 파일의 존재 여부를 확인한다. 만약 가..

최근 등장한 Spart 랜섬웨어 1. 개요 최근 Spart 랜섬웨어가 등장하였다. 해당 랜섬웨어 파일 사이즈가 작아 눈에 띄지 않는 것이 특징이다. 또한, 일반적인 랜섬웨어와는 다르게 확장자에 관계없이 파일을 암호화하고, 금전적인 요구를 한다. 따라서, 랜섬웨어에 감염된다면 피해가 클 것으로 예상되어 큰 주의가 필요하다. 이번 보고서에는 최근 등장한 Spart 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 해당 랜섬웨어가 실행되면, 사용자 User 이름과 Computer 이름, 볼륨시그널을 획득하여 %Roaming% 아래에 ‘Temp ..

꾸준히 발견되는 Ouroboros 랜섬웨어 감염 주의 1. 개요 Ouroboros 랜섬웨어는 2019년 4월경 처음 발견된 후 현재까지 지속적으로 발견되고 있는 랜섬웨어 이다. Zeropadypt 랜섬웨어 라고도 불리며, 유포 방식부터 감염 후 추가되는 암호화 확장자명까지 다양한 형태의 변종이 발견되고 있기 때문에 사용자들은 주의가 필요하다. 이번 보고서에는 최근에 발견 된 Ouroboros 랜섬웨어 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다. 2-3. 실행 과정 Ouroboros 랜섬웨어는 실행 시, 사용자 PC에서 특정 서비스 및 프로세스를 찾아 종료한다. 이후 암호화 대상이 되는 파일..

MegaCortex Ransomware감염 주의 1. 개요 “MegaCortex”로 불리며 기업을 주요 대상으로 공격하는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 배치 파일(.cmd)을 사용하여 프로세스 및 서비스 종료, 볼륨 섀도우 복사본 삭제 및 등의 행위를 한다. “MegaCortex”에 감염되면 파일이 암호화 되며 랜섬노트를 통해 금액 협상을 요구하므로 주의가 필요하며, 상세한 금액은 알려지지 않은 상태이다. 이번 보고서에서는 “MegaCortex” 랜섬웨어의 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 “MegaCortex” 랜섬웨어가 실행되면 TEMP 경로에 배치 파일과 DLL을 생성한 후, 실행하여 악성 행위를 한다. 이 과정에서 사용자의 암호를 변경하..