잉카인터넷 시큐리티대응센터 블로그

사용자 PC 정보를 탈취하는 악성코드 감염 주의 1. 개요 본 보고서에서 다루게 될 내용은 사진 파일 아이콘(.JPEG 형태)을 사용하여 위장한 정보탈취형 악성코드에 대한 내용이다. 대부분의 PC 사용자들이 확장자 보다는 아이콘을 보고 파일을 실행하는데, 이 점을 노려서 이와 같은 형식으로 유포하고 있는 것으로 보인다. 위장 된 악성코드를 사진 파일로 착각하여 실행 할 경우 감염된 PC 정보 탈취 뿐만 아니라 공격자에게 전달받은 명령을 통해서 추가적인 악성동작을 수행하게 되는데, 각각의 추가 기능에 특정 캐릭터 이름을 붙여놓아 변칙적으로 수행하는 점을 통해서 이전에 해외에 등장했던 악성코드의 변종으로 추정된다. 악성코드가 가지고 있는 기능중에는 추가 악성파일을 다운받아 실행하는 기능이 포함되어 있어 2차..

복호화 키를 저장하는 ‘Termite’ 랜섬웨어 감염 주의 1. 개요 본 보고서에서 다루게 될 ‘Termite’ 랜섬웨어는 파일을 암호화하고 랜섬노트를 통해 중국의 특정 블로그 주소를 안내한다. 현재까지 정확한 유포 경로는 밝혀지지 않았으며, 랜섬웨어 버전에 따라 암호화한 파일에 ‘.aaaaaa’, ‘.Xiak’ 등의 문자열을 덧붙여 확장자를 변경한다. 추가적으로 복호화 키를 레지스트리에 저장하기 때문에 해당 키를 사용하여 복구를 시도해 볼 수 있다. 이번 보고서에서는 최근 발견된 ‘Termite’ 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 599,040 bytes 진단명 Ransom/W32.Termite.1957888 악성..

2018년 8월 악성코드 통계 악성코드 Top20 2018년 08월(08월 01일 ~ 08월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많은 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로잔) 유형이며 총 42,583건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Trojan/W32.HackTool.14848.N Trojan 42,583 건 2위 Backdoor/W32.Orcus.9216 Backdoor 6,221 건 3위 Virus/W32.Virut.Gen Virus 4,291 건 4위 Suspicious/X97M.Obfus.Gen Suspicious 3,3..

사용자의 계정을 탈취하는 악성코드 감염 주의 1. 개요 본 보고서에서 다루게 될 악성코드는 사용자를 속이기 위해 정상 파일 아이콘을 이용하여 유포되며, 감염 시 사용자 PC 의 브라우저와 이메일 계정정보를 탈취한다. 현재 분석 시점인 8월 7일경에도 탈취한 계정정보를 전송하는 FTP 서버는 운영되고 있으며, 해당 FTP 서버 접속 시 탈취된 여러 계정 파일들이 존재한다. 이와 같은 계정 탈취 용 악성코드는 탈취한 계정을 통해서 2차적인 피해가 발생할 수 있으므로 감염을 예방하기 위해서 PC 사용에 주의를 기울여야 한다. 이번 보고서에서는 사용자 PC 를 감염시켜 계정정보를 탈취하는 악성코드에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 4..

2018년 7월 악성코드 통계 악성코드 Top20 2018년7월(7월 1일 ~ 7월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1-1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로잔) 유형이며 총 105,901 건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Trojan/W32.Agent.534016.BS Trojan 105,901 건 2위 Virus/W32.Sality.D Virus 10,463 건 3위 Virus/W32.Neshta Virus 8,766 건 4위 Suspicious/PDF.CVE-2018-5018 Suspicious 7,431 건 5위 ..

2018년 6월 악성코드 통계 악성코드 Top20 2018년6월(6월 1일 ~ 6월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1-1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan (트로잔) 유형이며 총 361,644 건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Trojan/W32.Agent.534016.BS Trojan 361,644 건 2위 Virus/W32.Ramnit.B Virus 281,863 건 3위 Backdoor/W32.Orcus.9216 Backdoor 201,362 건 4위 Virus/W32.Virut.Gen Virus 4,729 건 5위 ..

‘King Ouroboros’ 랜섬웨어 감염 주의 1. 개요 나날이 지능화되고 있는 랜섬웨어는 비교적 제작이 쉽다는 점과 암호화폐 즉 비밀성이 보장되는 거래수단에 기인하여 지속적인 증가 추세를 보이고 있다. 최근 발견된 ‘King Ouroboros’ 랜섬웨어는 파일을 암호화하고 ‘king_ouroboros’ 라는 문자열을 삽입하여 파일명을 변경한다. Autoit 으로 작성된 해당 랜섬웨어는 암호화된 파일의 복호화를 조건으로 암호화폐를 요구하고 시스템 복구 기능을 무력화시켜 사용자의 각별한 주의가 필요하다. 이번 보고서에서는 ‘King Ouroboros’ 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 KingOuroboros.exe 파일크기 823,808 byte..

‘Magniber’ 랜섬웨어 재등장 감염 주의 1. 개요 지난해 등장해서 파일 암호화를 수행하던 Magniber 랜섬웨어가 올해 6월 다시 등장해 활동을 시작했다. 해당 랜섬웨어는 MyRansom 이라고도 불리며, 한국어 환경의 운영체제에서만 파일 암호화를 수행하기 때문에 국내 사용자들의 각별한 주의가 요구되고 있다. 이번 보고서에서는 지난해 등장했던 Magniber 랜섬웨어와 비교했을 때 변화된 내용에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].dll 파일크기 82,944 byte 진단명 Trojan/W32.Inject.82944.U 악성동작 파일 암호화 2-2. Magniber 이전 버전 분석 정보 지난해 등장했던 Magniber 랜섬웨어와 비교했..

오프라인 환경에서 암호화하는 GandCrab 4 버전 감염 주의 1. 개요 올해 상반기에 유행했던 GandCrab 랜섬웨어가 버전 4로 업그레이드되어 돌아왔다. 많은 부분이 이전 버전과 동일하지만, C&C 서버와 통신을 시도하지 않고 암호화 과정을 진행한다는 점에서 차이가 있다. 이로 인해 오프라인이나 폐쇄된 네트워크 환경에서도 곧바로 암호화가 진행되기 때문에 주의가 필요하다. 이번 보고서에서는 GandCrab 랜섬웨어의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 210,432 byte 진단명 Ransom/W32.GandCrab.210432 악성동작 파일 암호화 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 해당..

Crybrazil Ransomware 감염 주의 1. 개요 본 보고서에서 다루게 될 'Crybrazil Ransomware' 는 파일 암호화 동작을 수행한다. 정확한 유포경로는 밝혀지지 않았으며, 해외의 한 보안연구원에 의해 발견됐다. 해당 랜섬웨어는 'Ransomware' 오픈 소스인 'HiddenTear' 를 기반으로 작성되었으며, 감염된 PC 의 바탕화면을 즐겁게 웃는 광대 이미지로 변경하여 사용자에게 감염된 사실을 통보한다. 이번 보고서에서는 오픈소스 기반의 'Crybrazil Ransomware' 에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 222,720 byte 진단명 Ransom/W32.HiddenTear.222720 악..