'TACHYON Internet Security'에 해당되는 글 35건
[악성코드 분석] 정보 탈취형 Krypton Stealer 악성코드 분석 보고서
정보 탈취형 Krypton Stealer 악성코드 감염 주의 1. 개요 최근 해외 보안업체에 따르면 ‘Krypton Stealer’ 정보 탈취형 악성코드가 새롭게 발견되었다고 알려진다. ‘Krypton Stealer’ 악성코드 제작자는 다크 웹 포탈에서 악성코드를 서비스 형태(MaaS: Malware-as-a-Service)로 판매하고 있으며, 2019년 4월경 1.1버전 이후 현재 1.2 버전으로 업데이트되었다. 이번 보고서에서는 정보 탈취형 ‘Krypton Stealer’ 악성코드의 주요 악성 동작에 대해 알아본다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 해당 악성코드를 실행하면 탈취한 정보를 저장하기 위해 “C:\Users\Public” 경로에 폴더를 생성하고 폴더 명은 하드웨어 프..
악성 파일 정보 | 2019.09.10 16:40
8월 랜섬웨어 동향 및 Nemty 랜섬웨어 분석보고서
8월 랜섬웨어 동향 및 Nemty 랜섬웨어 분석보고서 1. 8월 랜섬웨어 동향 2019년 8월(8월 01일 ~ 8월 31일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 한국어 메시지를 포함한 Maze 랜섬웨어가 발견되었고, 입사지원서와 우리은행등을 사칭한 Sodinokibi 랜섬웨어가 유포되었다. 해외에서는 미국 텍사스 주의 22개 도시에서 랜섬웨어 공격이 발생하는 사건이 있었다. 이번 보고서에서는 8월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 8월 등장한 Nemty 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 소식 Maze 랜섬웨어 유포 사례 8월 초, 국내 사용자를 대상으로 한 Maze 랜섬웨어가 발견되었다. Maze 랜섬웨어는 5월 말 처음 등장해서 Ch..
동향 및 악성코드 분석 정보 | 2019.09.06 13:01
[악성코드 분석]이메일 웜 Mydoom, Alcoul 악성코드 분석 보고서
반송된 이메일로 위장한 이메일 웜 Mydoom 주의 1. 개요 이메일 웜은 과거에 만우절이나 크리스마스와 같은 특정 기념일에 이메일을 통해 대량으로 전파되었다. 이메일 웜에 감염된 PC는 이메일 웜이 첨부된 메일을 이메일 주소록에 있는 사람들에게 자동으로 재전송 하도록 되어있어 단시간에 다량으로 확산 시켜 피해를 유발한다. 또한 ‘Mydoom’ 이메일 웜은 2004년경에 발견되어 현재까지 유포되고 있다고 알려진다. 이번 보고서에서는 문서형 ‘Alcoul’ 이메일 웜을 통해 이메일 웜의 동작 방식을 알아보고, 최근 유포 중인 ‘Mydoom’ 이메일 웜의 악성 동작에 대해 알아본다. 2. Email-Worm: Alcoul 2-1. 파일 정보 3-2. 실행 과정 및 악성 동작 ‘Alcoul’ 이메일 웜은 문서..
악성 파일 정보 | 2019.08.30 09:40
7월 랜섬웨어 동향 및 Phobos 랜섬웨어 분석보고서
7월 랜섬웨어 동향 및 Phobos 랜섬웨어 분석보고서 1. 7월 랜섬웨어 동향 2019년 7월(7월 01일 ~ 7월 31일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 Sodinokibi 랜섬웨어가 공정거래위원회를 사칭하여 첨부파일을 포함한 메일로 유포 되었다. 해외에서는 미국 워싱턴에 있는 NorthWest Indian College(NWIC)가 랜섬웨어 공격을 받아 시스템 및 데이터에 피해를 봤으며, 또한 미국의 클라우드 컴퓨팅 제공업체인 iNSYNQ사가 랜섬웨어 피해를 입은 사건이 있었다. 이번 보고서에서는 7월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 7월 등장한 Phobos 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 소식 Sodinokibi 랜섬웨..
동향 및 악성코드 분석 정보 | 2019.08.26 10:56
[악성코드 분석]국내 보안업체 디지털서명을 포함한 악성코드 주의
국내 보안업체 디지털서명을 포함한 악성코드 주의 1. 개요 최근 국내 보안업체의 디지털 서명을 포함한 악성코드가 발견되었다. 해당 악성코드는 URL을 통해 일반 사용자들에게 유포 되는 것으로 알려졌다. 디지털 서명을 포함한 파일의 경우, 정상 파일 이라고 생각 할 수 있기 때문에 유포자 들은 이 점을 악용하기 위해 디지털 서명을 탈취한 것으로 보여진다. 이번 보고서에는 최근에 발견된 국내 보안업체의 디지털 서명을 포함한 파일에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 악성코드는 URL을 통해 유포된다고 알려졌으나, 현재 URL은 차단된 상태이다. 2-3. 실행 과정 두 종류의 파일 모두 해당 파일을 작업 스케줄러를 이용하여 지속적으로 실행 되도록 한다. 또한 ..
악성 파일 정보 | 2019.08.20 16:29
[랜섬웨어 분석] syrk 랜섬웨어 분석 보고서
새로이 나타난 syrk 랜섬웨어 1. 개요 지난 8월 1일 syrk 랜섬웨어가 처음 등장하였다. 해당 랜섬웨어는 파일을 암호화 한다는 점에서는 일반적인 랜섬웨어와 동일하지만, 복호화 키를 감염된 사용자 PC내에 저장하는 것으로 보아 현재 개발 단계 중이거나, 제작자의 실수로 보여진다. 하지만, 랜섬웨어의 특성 상 파일 암호화 시 물질적, 금전적 피해가 커지기 때문에 지속적인 주의를 기울일 필요가 있다. 이번 보고서에서는 syrk 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 syrk 랜섬웨어를 실행하면 C:\Users\Public\Do..
랜섬웨어 분석 정보 | 2019.08.20 15:23
[악성코드 분석]송장 관련 피싱 메일로 유포되는 스파이웨어 주의 AgentTesla
송장 관련 피싱 메일로 유포되는 스파이웨어 주의 1. 개요 최근 송장 관련 피싱 메일이 유포되고 있어 사용자의 주의가 필요하다. 첨부 파일에는 악성 매크로가 포함된 doc 문서 파일이 존재하는데 문서 열람 후 매크로를 실행하면 C&C 서버에서 악성 파일을 다운받는다. 다운로드된 악성 파일은 ‘에이전트 테슬라(Agent Tesla)’ 변종으로 알려지며 스파이웨어 기능이 있어 키보드 입력, 화면 캡처, 계정 정보 저장 등 사용자의 정보가 탈취된다. 원래 ‘에이전트 테슬라(Agent Tesla)’는 합법적으로 판매되는 Keystroke Logger 프로그램이지만, 공격자에 의해 악용되어 피싱 메일로 전파되며 감염된 PC는 사용자의 동의 없이 사용자 정보가 탈취될 위험이 있다. 2. 분석 정보 2-1. 파일 정..
악성 파일 정보 | 2019.08.12 14:56
[랜섬웨어 분석] BoooamCrypt 랜섬웨어 감염 주의
BoooamCrypt 랜섬웨어 감염 주의 1. 개요 최근 BoooamCrypt 라고 불리는 새로운 랜섬웨어가 발견되었다. 해당 랜섬웨어는 2019년 7월초 처음 발견되었으며, 아직 정확한 유포 경로나 피해사례는 알려지지 않았다. 이번 보고서에는 최근에 발견 된 BoooamCrypt 랜섬웨어 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다. 2-3. 실행 과정 BoooamCrypt 랜섬웨어 실행 시, 자신을 특정 경로에 복제한 뒤 레지스트리에 등록하여 시스템 재부팅 후에도 자동으로 실행될 수 있도록 설정한다. 또한 대상이 되는 암호화 파일을 선별한 뒤 ‘.boooam@cock_li’ 라는 확장자를..
랜섬웨어 분석 정보 | 2019.08.02 14:11