TACHYON Internet Security 5.0 36

[랜섬웨어 분석]오픈소스로 제작된 CryptoWire 랜섬웨어 감염 주의

오픈소스로 제작된 CryptoWire 랜섬웨어 감염 주의 1. 개요 CryptoWire 랜섬웨어는 2016년도에 오픈소스 코딩 사이트 GitHub에 익명의 사용자로부터 원본 소스 코드가 공개되고 나서 CryptoWire 랜섬웨어의 변종인 Lomix, UltraLocker 랜섬웨어가 만들어졌다고 알려진다. 2018년 현재까지도 제작 및 유포되고 있기 때문에, 이번 보고서에서는 CryptoWire 랜섬웨어의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 870,912 bytes 진단명 Ransom/W32.CryptoWire.870912 악성동작 파일 암호화 2-2. 유포 경로 피싱 메일의 첨부파일, 파일 공유 사이트 등 일반적인 형..

[악성코드 분석]사용자 로그인 계정 정보를 탈취하는 악성코드 감염 주의

사용자 로그인 계정 정보를 탈취하는 악성코드 감염 주의 1. 개요 최근 사용자의 PC에서 웹 브라우저에 저장된 로그인 계정 정보를 탈취하는 악성코드가 발견되었다. 그뿐만 아니라 비트코인 지갑 정보와 특정 응용프로그램의 사용자 계정 정보까지 탈취한다. 이번 보고서에서는 사용자의 로그인 계정 정보 및 비트코인 지갑 정보를 탈취하는 악성코드의 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 263,533 bytes 진단명 Trojan-Exploit/RTF.CVE-2017-11882 악성동작 다운로더 구분 내용 파일명 INVOICE.exe 파일크기 115,200 bytes 진단명 Trojan-PSW/W32.DP-infoStealer.11520..

[랜섬웨어 분석]다시 등장한 GlobeImposter 랜섬웨어 감염 주의

다시 등장한 GlobeImposter 랜섬웨어 감염 주의 1. 개요 2017년 하반기 이메일의 첨부파일 형태로 위장하여 유포 되었던, GlobeImposter 랜섬웨어가 최근 다시 등장하기 시작하였다. 해당 랜섬웨어는 RDP(원격 데스크톱 서비스)를 이용하거나 이메일 첨부 등 다양한 유포방식을 사용하고 있기 때문에 중요한 파일이 손실되지 않도록 주의가 필요하다. 이번 보고서에는 최근에 발견 된 GlobeImposter 랜섬웨어 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 516,096 bytes 진단명 Ransom/W32.GlobeImposter.516096 악성동작 파일 암호화 2-2. 유포 경로 해당 랜섬웨어는 메일 첨부파일 형태로 ..

[랜섬웨어 분석]Python 모듈 사용하는 Dablio 랜섬웨어 감염 주의

Python 모듈 사용하는 Dablio 랜섬웨어 감염 주의 1. 개요 최근 Dablio라는 이름의 Python 코드로 작성된 랜섬웨어가 유포되고 있다. 해당 랜섬웨어에 감염 시 중요 파일을 암호화시킬 뿐만 아니라 일부 시스템 기능을 비활성화하여 정상적인 작업도 불가능하게 만들기 때문에 주의가 필요하다. 이번 보고서에서는 Dablio 랜섬웨어의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 12,662,402 bytes 진단명 Ransom/W32.Dablio.12662402 악성동작 파일 암호화 2-2. 유포 경로 해당 랜섬웨어는 일반적인 형태의 랜섬웨어로 정확한 유포 경로는 밝혀지지 않았다. 2-3. 실행 과정 Dablio 랜섬..

과거 리눅스 커널 취약점 활용한 악성파일 유포 주의

1. 개요 최근 리눅스 커널의 취약점을 이용하여 관리자 권한을 탈취하는 Dirty Cow 취약점(CVE-2016-5195)을 사용한 악성 파일이 유포되고 있다. 해당 샘플에 감염될 시 가상화폐 채굴기로 이용될 뿐만 아니라 감염 PC 의 통신 기록을 참고하여 감염 대상을 늘리는 기능이 있기 때문에 주의가 필요하다. 이번 보고서에서는 Dirty Cow 취약점을 이용하는 백도어 프로그램의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 프로그램은 SSH 통신을 이용한 감염 기능을 포함하고 있으며, 이에 따라 SSH 통신을 통해 유포되고 있을 것으로 추측된다. 2-3. 실행 과정 악성 셸 스크립트를 실행하면 가장 먼저 감염 PC 의 시스템 정보를 읽어 감염 동작에..

[악성코드 분석]한글 문서에 포함된 매크로 악성코드 분석

한글 문서에 포함된 매크로 악성코드 분석 1. 개요 한글 문서의 스크립트 매크로 기능은 사용자가 정의하는 키보드와 마우스 동작을 특정 단축키에 기록하여 매크로로 이용할 수 있는 기능이다. 악성코드 제작자는 이 기능을 악용하여 조작된 HWP 파일을 피싱 메일을 통해 유포하고, 사용자가 조작된 한글 문서를 열람할 때 악성코드가 실행되도록 만든다. 이번 보고서에서는 한글 문서에 포함된 매크로 악성코드에 대해 알아본다. 2. 한글 문서의 스크립트 매크로 기능 한글 프로그램에서 사용자가 정의한 매크로는 ‘도구 탭 – 매크로 - 스크립트 매크로 정의’에서 코드 편집이 가능하다. Document 내용에 코드를 작성하면 한글 문서를 열람할 때 스크립트가 실행된다. 이렇게 매크로 스크립트가 삽입된 한글 문서를 사용자가 ..