잉카인터넷 시큐리티대응센터 블로그

6월 랜섬웨어 동향 및 LooCipher 랜섬웨어 분석보고서 1. 6월 랜섬웨어 동향 2019년 6월(6월 01일 ~ 6월 30일) 한 달 간 랜섬웨어 동향을 조사한 결과, 1년 넘게 전 세계 사용자를 대상으로 악명을 떨치던 GandCrab 랜섬웨어가 특정 해킹 포럼을 통해 운영 중단을 선언했다. 또한 룩셈부르크에 있는 한 실험 기관이 랜섬웨어 공격을 받아, 시스템과 서버가 마비되는 사건이 있었고, 벨기에에 본사를 두고있는 비행기 부품 공급업체가 랜섬웨어 공격을 받아 생산공장이 중단되어 직원들이 강제 휴가를 떠난 사건이 있었다. 이번 보고서에서는 6월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 6월 등장한 LooCipher 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 소..

이미지 파일에 숨겨진 Remcos RAT 악성코드 분석 보고서 1. 개요 ‘Remcos RAT’은 과거부터 현재까지 악성 메일의 첨부파일을 통해 꾸준히 유포되고 있는 악성코드 중 하나이다. 본래의 Remcos 자체는 해외 보안 업체에서 합법적으로 윈도우를 관리하기 위해 개발된 프로그램이지만, 공격자들의 원격 접근 툴(RAT)로 악용되고 있다. 악용된 ‘Remcos RAT’은 사용자의 시스템을 장악하고 정보를 탈취할 수 있으며 원격 명령 수행, 키로거, 화면 캡처, 파일 다운로드, 웹 브라우저 로그인 정보 저장 등의 다양한 기능을 갖고 있다. 이번 보고서에서는 Remcos RAT의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 Rokko 新订单请求,pdf.exe ..

RIG Exploit Kit으로 유포되는 Buran 랜섬웨어 감염 주의 1. 개요 최근 Internet Explorer 취약점을 악용해 RIG Exploit Kit 공격으로 유포되는 Buran 랜섬웨어가 발견되었다고 알려진다. RIG Exploit Kit은 주로 Internet Explorer, Adobe Flash Player, Java의 보안 취약점을 악용한 악성코드 유포 도구로 이용되며, 해당 공격 도구를 이용해 사용자 PC에 Buran 랜섬웨어를 다운 및 실행시킬 수 있기 때문에 주의가 필요하다. 이번 보고서에서는 Buran 랜섬웨어의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크키 796,160 bytes 진단명 Rans..

5월 랜섬웨어 동향 및 Maze 랜섬웨어 분석보고서 1. 5월 랜섬웨어 동향 2019년 5월(5월 01일 ~ 5월 31일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 학원 관리 시스템 개발업체가 랜섬웨어 공격을 받아 해당 시스템을 이용하는 여러 학원들이 피해를 받았다. 또한, 국내 여러 기업들을 대상으로 메일을 통한 랜섬웨어 유포가 이루어진 사건이 있었고, 해외에서는 미국 볼티모어 시청이 랜섬웨어 공격을 받은 사건이 있었다. 이번 보고서에서는 5월 국내/외 랜섬웨어 피해 사례 및 신/변종 랜섬웨어와 5월 등장한 Maze 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 피해 사례 학원 관리 시스템 개발업체 랜섬웨어 피해 사례 5월 11일 새벽, 국내 학원 관리 시스템 개..

국내 기업 표적으로 계속되는 Ammyy RAT 유포 메일 주의 1. 개요 이전부터 국내 기업을 표적으로 Ammyy RAT 을 다운로드하는 악성 메일이 유포되어 왔다. 최근에는 단순히 기존 방식대로 유포할 뿐만 아니라 악성 파일의 포맷을 바꾸고 악성 코드를 숨기는 등, 다양한 방법으로 백신의 탐지를 우회하는 시도를 하고 있다. Ammyy RAT 에 감염되면 정보 탈취, 랜섬웨어 설치와 같은 추가 공격이 이어질 수 있기 때문에 주의가 필요하다. 이번 보고서에서는 Ammyy RAT 유포 메일의 변화 과정과 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 C739054.xls 파일크키 167,628 bytes 진단명 Suspicious/X97M.Downloader.Gen..

공유 폴더 통해 전파되는 GetCrypt 랜섬웨어 주의 1. 개요 최근 공유 폴더를 통해 타 시스템까지 암호화하는 GetCrypt 랜섬웨어가 유포되고 있다. 해당 랜섬웨어는 일반적으로 자주 사용되는 취약한 계정 및 암호 목록을 이용하여 접속 가능한 타 시스템에 접속을 시도한다. 접속에 성공하면 기존 감염 시스템과 마찬가지로 암호화 대상 파일을 암호화한다. 이로 인해 취약한 계정, 암호를 사용하는 네트워크는 피해가 확산될 수 있어 주의가 필요하다. 이번 보고서에서는 GetCrypt 랜섬웨어의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크키 18,432 bytes 진단명 Ransom/W32.GetCrypt.18432 악성 동작 파일 ..

송장(Invoice)을 위장한 엑셀파일 주의 1. 개요 최근 국내 기업을 대상으로 악성 파일이 첨부된 메일이 유포되고 있다. 해당 메일에는 송장(invoice)을 위장한 엑셀 파일이 첨부되어 있고, 해당 엑셀 파일의 매크로를 통해 백도어 기능을 하는 악성파일을 다운받아 사용자 PC에 설치한다. 이와 유사한 방식의 첨부파일을 포함한 형태의 메일이 꾸준히 유포되고 있어 사용자들의 주의를 요한다. 이번 보고서에는 최근에 발견 된 송장(Invoice)을 위장한 엑셀 파일에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 L680273.xls 파일크키 216,064 byte 진단명 Suspicious/X97M.Obfus.Gen.1 악성동작 매크로 실행을 통한 악성파일 다운 구분 내용..

다수의 정보 탈취 악성 파일 다운로드하는 Scranos 루트킷 감염 주의 1. 개요 최근 Youtube, Facebook, 등 인기 사이트와 관련된 개인 정보를 탈취하는 Scranos 루트킷이 전파되고 있다. 이뿐만 아니라 해외 보안 업체 Bitdefender 에 따르면 추가 기능을 보유한 변종이 발견되고 있으며, 실행 이후에는 다수의 추가 악성 페이로드를 다운로드한다고 알려져 있다. 또한 Scranos는 시스템의 Shutdown 명령 발생 시 자기 자신을 다시 생성하고, 시스템 날짜를 기반으로 일정 주기마다 C&C 서버 주소를 바꾸기 때문에 주의가 필요하다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].sys 파일크키 621,928 bytes 진단명 Trojan-Downloa..

4월 랜섬웨어 동향 및 BigBobRoss 랜섬웨어 분석보고서 1. 4월 랜섬웨어 동향 2019년 4월(4월 01일 ~ 4월 30일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 새롭게 등장한 Sodinokibi 랜섬웨어가 다양한 유포방식을 통해 국내 사용자들에게 피해를 입혔고, 해외에서는 미국 플로리다의 스튜어트시에서 트릭봇과 연계된 랜섬웨어 공격이 있었으며, 미국 노스캐롤라이나 그린빌은 도시 네트워크망이 랜섬웨어 공격을 받아 업무가 마비되는 사건이 있었다. 이번 보고서에서는 4월 국내/외 랜섬웨어 피해 사례 및 신/변종 랜섬웨어와 4월 등장한 BogBobRoss 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 피해 사례 Sodinokibi 랜섬웨어 피해 사례 국내에서..

DarkCloud Bootkit 악성코드 감염 주의 1. 개요 부트킷 악성코드는 시스템이 부팅할 때 필요한 정보가 저장되어있는 MBR(Master Boot Record) 영역을 감염시키고 백신을 무력화시키며 추가로 악성 파일을 다운받거나 사용자의 정보를 탈취할 수 있는 악성코드이다. 부팅 시 MBR의 정보로 운영체제를 구동시키기 때문에 MBR 영역에 악성코드가 존재하면, 시스템에서 악성코드를 삭제해도 악성코드는 지속적으로 존재할 수 있기 때문에 사용자의 각별한 주의가 필요하다. 이번 보고서에서는 “DarkCloud Bootkit” 악성코드에 대해 알아보고자 한다 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 임의의 문자열.exe 파일크키 737,280 Byte 악성 동작 MBR 변조, 추가 파일 ..