잉카인터넷 시큐리티대응센터 블로그

정보 탈취형 Krypton Stealer 악성코드 감염 주의 1. 개요 최근 해외 보안업체에 따르면 ‘Krypton Stealer’ 정보 탈취형 악성코드가 새롭게 발견되었다고 알려진다. ‘Krypton Stealer’ 악성코드 제작자는 다크 웹 포탈에서 악성코드를 서비스 형태(MaaS: Malware-as-a-Service)로 판매하고 있으며, 2019년 4월경 1.1버전 이후 현재 1.2 버전으로 업데이트되었다. 이번 보고서에서는 정보 탈취형 ‘Krypton Stealer’ 악성코드의 주요 악성 동작에 대해 알아본다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 해당 악성코드를 실행하면 탈취한 정보를 저장하기 위해 “C:\Users\Public” 경로에 폴더를 생성하고 폴더 명은 하드웨어 프..

업데이트된 JSWorm 4.0.2 랜섬웨어 1. 개요 2019년 초기에 등장한 JSWorm 랜섬웨어는 최근 4.0.2 버전으로 등장하였다. 해당 버전의 경우, 일반적인 랜섬웨어와 동일하게 암호화 동작을 하고, 백업 섀도우 볼륨을 삭제한다. 그러나 JSWorm 랜섬웨어의 경우, 꾸준히 업그레이드하고 있어 더 큰 피해를 초래할 수 있기 때문에 지속적인 주의를 필요로 한다. 이번 보고서에서는 JSWorm 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 JSWorm 랜섬웨어는 시스템 디렉토리 및 특정 확장자를 제외하고 파일을 암호화하며, 모든 ..

8월 랜섬웨어 동향 및 Nemty 랜섬웨어 분석보고서 1. 8월 랜섬웨어 동향 2019년 8월(8월 01일 ~ 8월 31일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 한국어 메시지를 포함한 Maze 랜섬웨어가 발견되었고, 입사지원서와 우리은행등을 사칭한 Sodinokibi 랜섬웨어가 유포되었다. 해외에서는 미국 텍사스 주의 22개 도시에서 랜섬웨어 공격이 발생하는 사건이 있었다. 이번 보고서에서는 8월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 8월 등장한 Nemty 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 소식 Maze 랜섬웨어 유포 사례 8월 초, 국내 사용자를 대상으로 한 Maze 랜섬웨어가 발견되었다. Maze 랜섬웨어는 5월 말 처음 등장해서 Ch..

2019년 8월 악성코드 통계 악성코드 통계 악성코드 Top20 2019년08월(08월 1일 ~ 08월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 18,858,450 건이 탐지되었다. 악성코드 유형 비율 8월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Trojan(트로잔)이 66%로 가장 높은 비중을 차지하였고, Exploit(익스플로잇)과 Virus(바이러스)가 각각 25%와 4%, Worm(웜)와 Backdoor(백도어)가 각각 2%, 2%씩으로 그 뒤를 따랐다. 악성코드 진단 수 전..

반송된 이메일로 위장한 이메일 웜 Mydoom 주의 1. 개요 이메일 웜은 과거에 만우절이나 크리스마스와 같은 특정 기념일에 이메일을 통해 대량으로 전파되었다. 이메일 웜에 감염된 PC는 이메일 웜이 첨부된 메일을 이메일 주소록에 있는 사람들에게 자동으로 재전송 하도록 되어있어 단시간에 다량으로 확산 시켜 피해를 유발한다. 또한 ‘Mydoom’ 이메일 웜은 2004년경에 발견되어 현재까지 유포되고 있다고 알려진다. 이번 보고서에서는 문서형 ‘Alcoul’ 이메일 웜을 통해 이메일 웜의 동작 방식을 알아보고, 최근 유포 중인 ‘Mydoom’ 이메일 웜의 악성 동작에 대해 알아본다. 2. Email-Worm: Alcoul 2-1. 파일 정보 3-2. 실행 과정 및 악성 동작 ‘Alcoul’ 이메일 웜은 문서..

7월 랜섬웨어 동향 및 Phobos 랜섬웨어 분석보고서 1. 7월 랜섬웨어 동향 2019년 7월(7월 01일 ~ 7월 31일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 Sodinokibi 랜섬웨어가 공정거래위원회를 사칭하여 첨부파일을 포함한 메일로 유포 되었다. 해외에서는 미국 워싱턴에 있는 NorthWest Indian College(NWIC)가 랜섬웨어 공격을 받아 시스템 및 데이터에 피해를 봤으며, 또한 미국의 클라우드 컴퓨팅 제공업체인 iNSYNQ사가 랜섬웨어 피해를 입은 사건이 있었다. 이번 보고서에서는 7월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 7월 등장한 Phobos 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 소식 Sodinokibi 랜섬웨..

한국어를 사용하는 Maze Ransomware 감염 주의 1. 개요 최근 발견된 Maze 랜섬웨어는 5월에 유포되었던 버전과 다르게 랜섬노트에 한국어 안내문이 포함되어있으며, 파일 내부에 김정은과 관련한 문자열이 포함되어 있다. 이러한 변화는 한국을 대상으로 추가적인 공격 가능성이 있으며, 이로 인해 많은 피해가 발생할 수 있어 사용자의 주의가 필요하다. 이번 보고서에서는 한국어를 사용하는 Maze 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 Maze 랜섬웨어 실행 시 암호화 제외 대상을 확인 후 암호화 대상 파일을 선별하여 암호화한다. 만약 공유 폴더가 존재한다면 해당 위치에 두개의 링크 폴더을 생성하며, 추가적으로 C&C 서버로 연결을 시도한다. 마지막으로..

개인정보를 탈취하는 SeafkoAgent 분석 보고서 1. 개요 최근 발견된 Saefko RAT는 Saefko Attack System유료프로그램의 크랙버전으로 알려져 있으며, 현재 Saefko RAT의 실행 파일은 정확히 확인되지 않는다. 해당 RAT의 기능을 이용하면 SeafkoAgent.exe라는 이름의 파일이 생성되며, 해당 파일이 실행되면 Saefko RAT와 통신을 통해 악위적인 동작을 수행한다. 해당 실행 파일은 Saefko RAT의 정책 설정에 따라 내용이 달라질 가능성이 있으며, Saefko라는 RAT의 이름과 달리 SeafkoAgent.exe라는 파일명을 사용하고 있다. 이러한 공격방식은 추가 악성코드 다운로드, 키로깅 등 다양한 악성동작을 통해 치명적인 피해를 발생시킬 수 있으며 사용..

2019년 7월 악성코드 통계 악성코드 통계 악성코드 Top20 2019년07월(07월 1일 ~ 07월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로잔) 유형이며 총 11,761 건이 탐지되었다. 악성코드 유형 비율 7월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Trojan(트로잔)이 74%로 가장 높은 비중을 차지하였고, Exploit(익스플로잇)과 Adware(애드웨어)가 각각 10%와 4%, Virus(바이러스)와 Ransom(랜섬웨어)가 각각 2%, 2%씩으로 그 뒤를 따랐다. 악성코드 진단 수 전..

국내 보안업체 디지털서명을 포함한 악성코드 주의 1. 개요 최근 국내 보안업체의 디지털 서명을 포함한 악성코드가 발견되었다. 해당 악성코드는 URL을 통해 일반 사용자들에게 유포 되는 것으로 알려졌다. 디지털 서명을 포함한 파일의 경우, 정상 파일 이라고 생각 할 수 있기 때문에 유포자 들은 이 점을 악용하기 위해 디지털 서명을 탈취한 것으로 보여진다. 이번 보고서에는 최근에 발견된 국내 보안업체의 디지털 서명을 포함한 파일에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 악성코드는 URL을 통해 유포된다고 알려졌으나, 현재 URL은 차단된 상태이다. 2-3. 실행 과정 두 종류의 파일 모두 해당 파일을 작업 스케줄러를 이용하여 지속적으로 실행 되도록 한다. 또한 ..