'TACHYON Endpoint Security'에 해당되는 글 7건
[랜섬웨어 분석] lostfile 랜섬웨어 분석
보안 스캐너를 가장한 랜섬웨어 1. 개요 최근, ‘Windows Security Scanner’를 가장한 랜섬웨어가 등장하였다. 이는 이메일을 통해 유포되었으며, Zip 파일이 첨부되어 압축을 해제하면 실행파일이 있고, 숨김 속성으로 ‘Resource’ 폴더가 나타난다. 해당 실행파일을 실행하면 ‘Resource’ 폴더 내에 숨김 파일들이 실행되며, 스캐너 로딩 이미지를 통해 정상 파일처럼 보이도록 하지만 악성 동작을 수행한다. 사용자 PC의 보안을 경고하여 사용자가 이에 속아 직접 실행하도록 하기에 주의가 요구된다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 이메일을 통해 유포되며, Microsoft 사의 공식 메일을 모방한다. 2-3. 실행 과정 스팸 메일에 첨부된 파일은 Zip 형태로,..
랜섬웨어 분석 정보 | 2019.10.18 10:54
[랜섬웨어 분석] PyCrypter 랜섬웨어 분석
보안 로그까지 삭제하는 PyCrypter감염 주의 1. 개요 최근 Python 모듈을 사용하는 PyCrypter 랜섬웨어가 발견되었다. 해당 랜섬웨어는 6월에 발견된 SystemCrypter 랜섬웨어의 계통으로 알려져 있으며, 감염 시 파일 암호화 뿐만 아니라 일부 시스템 기능을 비활성화하여 정상적인 작업을 불가능하게 만들기 때문에 주의가 필요하다. 이번 보고서에서는 PyCrypter 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다. 2-3. 실행 과정 "PyCrypter 랜섬웨어" 는 실행 시, 악성 행위에 사용되는 다수의 Python 모듈을 드랍 후 '작업관리자' 레지스트리를 비활성..
랜섬웨어 분석 정보 | 2019.10.08 10:17
[랜섬웨어 분석] Is 랜섬웨어 분석 보고서
Is Ransomware 감염 주의 1. 개요 지난 9월에 Is라고 불리는 새로운 랜섬웨어가 발견되었다. 해당 랜섬웨어는 이력서 pdf 파일 형태로 위장하여 유포된 것으로 알려져 있으며, 최근 문서로 위장한 형태의 랜섬웨어가 다수 발견되고 있어 사용자의 주의가 필요하다. 이번 보고서에서는 Is 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 Is 랜섬웨어는 실행파일을 Eva Richter의 이력서 pdf파일로 위장하여 유포된 것으로 알려져 있다. 2-3. 실행 과정 Is 랜섬웨어 실행 시 암호화 제외 대상을 확인 후 암호화 대상 파일을 선별하여 암호화하며, 이동식 드라이브 또한 암호화한다. 이후 랜섬노트를 생성하고 시작프로그램으로 등록한다. 마지막으로 볼륨 섀도우..
랜섬웨어 분석 정보 | 2019.09.18 09:50
[랜섬웨어 분석] JSWorm 랜섬웨어 분석 보고서
업데이트된 JSWorm 4.0.2 랜섬웨어 1. 개요 2019년 초기에 등장한 JSWorm 랜섬웨어는 최근 4.0.2 버전으로 등장하였다. 해당 버전의 경우, 일반적인 랜섬웨어와 동일하게 암호화 동작을 하고, 백업 섀도우 볼륨을 삭제한다. 그러나 JSWorm 랜섬웨어의 경우, 꾸준히 업그레이드하고 있어 더 큰 피해를 초래할 수 있기 때문에 지속적인 주의를 필요로 한다. 이번 보고서에서는 JSWorm 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 JSWorm 랜섬웨어는 시스템 디렉토리 및 특정 확장자를 제외하고 파일을 암호화하며, 모든 ..
랜섬웨어 분석 정보 | 2019.09.10 14:45
[랜섬웨어 분석] Maze 랜섬웨어 분석 보고서
한국어를 사용하는 Maze Ransomware 감염 주의 1. 개요 최근 발견된 Maze 랜섬웨어는 5월에 유포되었던 버전과 다르게 랜섬노트에 한국어 안내문이 포함되어있으며, 파일 내부에 김정은과 관련한 문자열이 포함되어 있다. 이러한 변화는 한국을 대상으로 추가적인 공격 가능성이 있으며, 이로 인해 많은 피해가 발생할 수 있어 사용자의 주의가 필요하다. 이번 보고서에서는 한국어를 사용하는 Maze 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 Maze 랜섬웨어 실행 시 암호화 제외 대상을 확인 후 암호화 대상 파일을 선별하여 암호화한다. 만약 공유 폴더가 존재한다면 해당 위치에 두개의 링크 폴더을 생성하며, 추가적으로 C&C 서버로 연결을 시도한다. 마지막으로..
랜섬웨어 분석 정보 | 2019.08.26 10:10
[악성코드 분석]개인정보를 탈취하는 SeafkoAgent 분석 보고서
개인정보를 탈취하는 SeafkoAgent 분석 보고서 1. 개요 최근 발견된 Saefko RAT는 Saefko Attack System유료프로그램의 크랙버전으로 알려져 있으며, 현재 Saefko RAT의 실행 파일은 정확히 확인되지 않는다. 해당 RAT의 기능을 이용하면 SeafkoAgent.exe라는 이름의 파일이 생성되며, 해당 파일이 실행되면 Saefko RAT와 통신을 통해 악위적인 동작을 수행한다. 해당 실행 파일은 Saefko RAT의 정책 설정에 따라 내용이 달라질 가능성이 있으며, Saefko라는 RAT의 이름과 달리 SeafkoAgent.exe라는 파일명을 사용하고 있다. 이러한 공격방식은 추가 악성코드 다운로드, 키로깅 등 다양한 악성동작을 통해 치명적인 피해를 발생시킬 수 있으며 사용..
악성 파일 정보 | 2019.08.21 10:57
[랜섬웨어 분석]GandCrab 랜섬웨어 5.2 버전 출현!, 초기 버전부터 변화과정
GandCrab 랜섬웨어 5.2 버전 출현!, 초기 버전부터 변화과정 1. 개요 현재 일반 사용자와 국내기업을 대상으로 랜섬웨어 공격이 다수 발견되고 있으며, 최근에는 버전 5.2로 업데이트된 GandCrab 랜섬웨어의 공격이 빠르게 증가하고 있다. 해당 랜섬웨어는 정확한 한국어 사용과 공신력 있는 기관을 사칭하여 사용자로 하여금 악성파일을 실행시키도록 위장하고 있기 때문에 각별한 주의가 필요하다. 이번 보고서에서는 GandCrab 랜섬웨어의 초기 버전부터 최근 버전까지의 변화 사항에 대해서 간략하게 알아보고자 한다. 2. 버전 별 변화 2-1. 타임라인 작년 1월에 등장한 GandCrab 랜섬웨어는 지속적인 업데이트를 통해 꾸준히 변화해오고 있으며, 최근에는 5.2 버전까지 발견되고 있다. 먼저 아래의..
랜섬웨어 분석 정보 | 2019.04.09 15:47