잉카인터넷 시큐리티대응센터 블로그

2018년 11월 악성코드 통계 악성코드 Top20 2018년11월(11월 1일 ~ 11월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1-1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Backdoor(백도어) 유형이며 총 279,231 건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Backdoor/W32.Orcus.9216 Backdoor 279,231건 2위 Trojan/W32.HackTool.14848.N Trojan 29,414 건 3위 Trojan/XF.Sic Trojan 3,453 건 4위 Trojan/W64.KMSAuto.3584 Trojan 3,405 건 ..

1. 개요 최근 리눅스 커널의 취약점을 이용하여 관리자 권한을 탈취하는 Dirty Cow 취약점(CVE-2016-5195)을 사용한 악성 파일이 유포되고 있다. 해당 샘플에 감염될 시 가상화폐 채굴기로 이용될 뿐만 아니라 감염 PC 의 통신 기록을 참고하여 감염 대상을 늘리는 기능이 있기 때문에 주의가 필요하다. 이번 보고서에서는 Dirty Cow 취약점을 이용하는 백도어 프로그램의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 프로그램은 SSH 통신을 이용한 감염 기능을 포함하고 있으며, 이에 따라 SSH 통신을 통해 유포되고 있을 것으로 추측된다. 2-3. 실행 과정 악성 셸 스크립트를 실행하면 가장 먼저 감염 PC 의 시스템 정보를 읽어 감염 동작에..

한글 문서에 포함된 매크로 악성코드 분석 1. 개요 한글 문서의 스크립트 매크로 기능은 사용자가 정의하는 키보드와 마우스 동작을 특정 단축키에 기록하여 매크로로 이용할 수 있는 기능이다. 악성코드 제작자는 이 기능을 악용하여 조작된 HWP 파일을 피싱 메일을 통해 유포하고, 사용자가 조작된 한글 문서를 열람할 때 악성코드가 실행되도록 만든다. 이번 보고서에서는 한글 문서에 포함된 매크로 악성코드에 대해 알아본다. 2. 한글 문서의 스크립트 매크로 기능 한글 프로그램에서 사용자가 정의한 매크로는 ‘도구 탭 – 매크로 - 스크립트 매크로 정의’에서 코드 편집이 가능하다. Document 내용에 코드를 작성하면 한글 문서를 열람할 때 스크립트가 실행된다. 이렇게 매크로 스크립트가 삽입된 한글 문서를 사용자가 ..

서비스형 랜섬웨어 FilesLocker Ransomware 주의 1. 개요 최근 서비스형 랜섬웨어로 알려진 “FilesLocker”가 유포되고 있어 주의가 필요하다. 서비스형 랜섬웨어(Ransomware as a Service)는 랜섬웨어 제작자가 랜섬웨어를 공격자에게 판매하고, 피해자들로부터 얻은 수익금은 제작자와 공격자가 나눠 갖는 구조로 되어있다. 이번 보고서에서는 “FilesLocker Ransomware”에 대하여 알아본다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 201,216 byte 악성동작 파일 암호화 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어의 유포경로와 비슷할 것으로 추정된다. 2-3. 실행 과정 해당 랜..

2018년 10월 악성코드 통계 악성코드 Top20 2018년10월(10월 1일 ~ 10월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1-1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Backdoor(백도어) 유형이며 총 49,161 건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Backdoor/W32.Orcus.9216 Backdoor 49,161건 2위 Worm/W32.Brontok.42692 Worm 21,041 건 3위 Suspicious/W32.CVE-2016-3266 Suspicious 10,516 건 4위 Suspicious/PDF.CVE-2018-1283..

2018년 9월 악성코드 통계 악성코드 Top20 2018년9월(9월 1일 ~ 9월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1-1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 BackDoor(백도어) 유형이며 총 151,188 건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Backdoor/W32.Orcus.9216 Backdoor 151,188 건 2위 Trojan/W32.HackTool.14848.N Trojan 35,842 건 3위 Virus/W32.Ramnit.B Virus 12,440 건 4위 Virus/W32.Virut.Gen Virus 4,368 건 5위 ..

10월 랜섬웨어 동향 및 Xorist 랜섬웨어 1. 10월 랜섬웨어 동향 2018년 10월(10월 01일 ~ 09월 31일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 여전히 GandCrab 랜섬웨어가 지속적인 버전업을 하며 가장 이슈가 되었으며, 해외에서는 미국 노스캐롤라이나의 상하수도청과 인디아나주 방위군이 랜섬웨어에 피해를 받은 일이 있었다. 이번 보고서에서는 10월 국내/외 랜섬웨어 피해 사례 및 신/변종 랜섬웨어와 10월 말 등장한 Xorist 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 피해 사례 GandCrab 랜섬웨어 피해 사례 지난 달에 이어 이번달에도 여전히 GandCrab 랜섬웨어는 버전업을 통해 국내외 사용자들을 괴롭혔다. V5.0.2부터 v5..

유명 게임 치팅 프로그램으로 위장한 악성파일 유포 주의 1. 개요 Epic Games 社에서 개발한 유명 게임 포트나이트가 새로운 시즌을 맞이하면서, 이와 관련된 악성 파일 유포도 활발해지고 있다. 이전부터 포트나이트 치팅 프로그램으로 위장한 악성 프로그램은 많았지만 대부분 게임 아이디, 패스워드, 등의 정보를 수집하는 정도였다. 이번에 발견된 샘플은 비트코인 지갑 등 민감한 정보를 다수 수집하기 때문에 특히 주의가 필요하다. 이번 보고서에서는 포트나이트 치팅 프로그램으로 위장한 프로그램의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 HyperCheats by eblanich hack (work).exe 파일크기 171,520 bytes 진단명 Download..

다양한 확장자를 가진 Dharma Ransomware 변종 유포 주의 1. 개요 Dharma 랜섬웨어는 Crysis 랜섬웨어의 후속작으로, 변종마다 서로 다른 암호화 확장자를 사용하는 특징을 가지고 있다. 일부 변종에 대해서는 암호화된 파일을 복구할 수 있는 툴이 배포되고 있는 만큼 정확한 상황 파악과 대응이 필요하다. 이번 보고서에서는 Dharma 랜섬웨어의 변종 중 하나인 “.btc” 확장자 샘플의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 278,528 bytes 진단명 Ransom/W32.VB-Dharma.278528 악성동작 파일 암호화 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로..

9월 랜섬웨어 동향 및 GandCrab V5.0.1 랜섬웨어 1. 9월 랜섬웨어 동향 2018년 09월(09월 01일 ~ 09월 30일) 한 달 간 국내 랜섬웨어 동향을 조사한 결과, 지속적으로 버전업 된 GandCrab 랜섬웨어 5.0 버전과 5.0.1 버전이 등장했다. 또한 홈페이지 제작업체 ‘아이 웹’ 이 랜섬웨어에 피해를 받아 지난해 있었던 나야나 랜섬웨어 사태를 떠오르게 했다. 해외에서는 영국 브리스틀 공항이 랜섬웨어에 피해를 받아 직원들과 승객들이 혼란을 겪는 일이 있었다. 이번 보고서에서는 9월 국내/외 랜섬웨어 피해 사례 및 신/변종 랜섬웨어와 GandCrab v5.0.1 에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 피해 사례 아이웹 랜섬웨어 피해 사례 추석 연휴 기..