잉카인터넷 시큐리티대응센터 블로그

Silvertor Ransomware 감염 주의 최근 “Silvertor” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 배치파일을 통해 볼륨 섀도우 복사본을 삭제하고, 사용자의 파일을 암호화하고 있어 주의가 필요하다. 이번 보고서에서는 “Silvertor” 랜섬웨어에 대해 간략하게 알아보고자 한다. “Silvertor” 랜섬웨어 실행 시, ‘C:\ProgramData’ 경로에 “cmdkey.bat” 배치파일 생성 후 Powershell로 실행한다. 실행된 배치파일은 볼륨 쉐도우 복사본을 삭제하며 시스템 복원 기능을 무력화한다. 이후 ‘C:\ProgramData\eq_2100.exe’과 ‘시작프로그램\sys_stratup.exe’ 경로에 자가복사하여, 시스템 시작 시 자동실행되도록 설정한다. 자가 복제 후 [표..

1. 개요 최근 마이크로소프트의 윈도우, 오피스 제품에 대한 불법 정품인증 툴인 ‘KMSAuto’로 위장한 악성코드 유포 사례가 발견되었다. 해당 샘플은 SFX 형태의 압축파일로 내부에는 정품인증을 위한 ‘KMSAuto Net.exe’, 감염 PC의 네트워크 정보를 획득하기 위한 ‘script.vbs’ 및 정보를 탈취하는 ‘build.exe’가 있다. 만약, 사용자가 비밀번호를 정상적으로 입력한 후, OK 버튼을 누르면 “C:\Program\Data” 에 3개의 파일이 드롭된다. 첫 번째 드롭 파일은 KMSAuto Net.exe v1.5.1 크랙판(KMSAuto Net.exe)이고, 두 번째 드롭 파일은 IP Logger를 사용하여 감염 PC의 네트워크 정보를 수집하는 스크립트 파일(script.vbs)..

악성코드 분석보고서 1. 7월 랜섬웨어 동향 2020년 7월(7월 01일 ~ 7월 31일) 한 달간 랜섬웨어 동향을 조사한 결과, 해외에서는 아르헨티나 인터넷 서비스 제공 업체인 ‘Telecom Argentina’, 메릴랜드 주의 ‘Lorien Health’가 각각 ‘REvil’, ‘NetWalker’ 랜섬웨어에 공격을 받았다. 또한, 프랑스 통신 회사 ‘Orange’가 ‘Nefilim’ 랜섬웨어 공격을 받았으며, 이들의 공통점은 랜섬웨어 감염과 더불어 정보 유출을 당했다는 점이다. 이번 보고서에서는 7월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 7월 등장한 ‘RandomRansom’ 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 소식 아르헨티나 인터넷 서비스 제공 업체..

Try2Cry Ransomware 감염 주의 최근 “Try2Cry” 랜섬웨어가 발견되었다. 해당 랜섬웨어는 이동식 드라이브에 기존의 폴더와 동일한 이름으로 자가복제하여, 이동식 드라이브를 통해 랜섬웨어가 전파되도록 유도하고 있으며, 사용자의 파일을 암호화하고 있어 주의가 필요하다. 이번 보고서에서는 “Try2Cry” 랜섬웨어에 대해 간략하게 알아보고자 한다. “Try2Cry” 랜섬웨어 실행 시, 시스템에서 드라이브를 검색한다. 만약 이동식 드라이브가 존재한다면 해당 드라이브의 폴더를 검색하고, 검색된 폴더와 동일한 이름으로 “Try2Cry” 랜섬웨어를 복사한다. 이후 다음 [표 1]과 같이 아랍어 파일명으로 5개의 파일을 추가 복사한다. 자가 복제 후 파일을 검색하여 [표 2]의 암호화 조건에 부합하는 ..

Exorcist Ransomware 감염 주의 새로운 Exorcist 랜섬웨어가 발견되었다. 해당 랜섬웨어는 Windows에 설정되어 있는 국가/지역에 대한 정보가 ‘russian’, ‘armenian’, ‘belarusian’, ‘georgian’, ‘kazakh’, ‘tajik’, ‘turkmen’, ‘ukrainian’, ‘uzbek', ‘azerbaijani’가 아닐 경우 파일 암호화 동작이 진행되며 특정 프로세스를 종료한 뒤 파일 암호화가 진행되는 특징을 갖고있다. 이번 보고서에서는 ‘Exorcist 랜섬웨어’의 주요 악성 동작에 대해 알아본다. ‘Exorcist’ 랜섬웨어는 먼저 시스템 복구를 무력화하기 위한 일련의 명령어를 실행하고 특정 프로세스를 종료시킨다. 이후 기본적인 시스템 관련 파일..

개요 SAP 사에서 보안 업데이트를 발표하고, 관련 취약점을 해결하기 위해 최신 버전으로 업데이트할 것을 권고하였다. 기술 해결방안 제조사 홈페이지를 참고하여 최신 버전으로 업데이트를 적용한다. 참고자료 https://us-cert.cisa.gov/ncas/alerts/aa20-195a https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6287 https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35517 https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675 https://support.sap.com/en/my-..

Panther 랜섬웨어 주의! 최근 Panther 랜섬웨어가 등장하였다. 해당 랜섬웨어는 중국에서 만들어진 것으로 추정되며, 일반적인 랜섬웨어와 유사하 게 사용자 PC의 파일에 대하여 암호화동작을 수행하고, 볼륨 섀도우 복사본을 삭제하는 동작을 한다. 이번 보고서에서는 Panther 랜섬웨어의 동작에 대해 알아보고자 한다. 해당 랜섬웨어는 A-Z 드라이브 중 이동식 드라이브와 고정 드라이브에 대하여 악성동작을 수행한다. 특정 디렉토리와 확장자를 제외하고 암호화동작을 수행하며, 악성동작이 이루어진 디렉토리 아래에 랜섬노트를 생성한다. 그리고 볼륨 섀도우 복사본을 삭제하여 사용자로 하여금 복구를 불가능하도록 한다. A-Z 드라이브 중 이동식 드라이브 타입 또는 고정 드라이브 타입인 경우, 악성동작을 수행한다..

개요 VMware Fusion, Mac 용 VMRC 및 Mac 용 Horizon Client의 권한 상승 취약점 발표하고, 해당 취약점을 해결하기 위한 업데이트 제공한다. 기술 해당 취약점은 잘못된 XPC 클라이언트 유효성 검사로 인한 권한 에스컬레이션한다. 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Fusion 11.5.5 - VMRC for Mac 11.2.0 - Horizon Client for Mac 5.4.3 참고자료 https://www.krcert.or.kr/data/secNoticeList.do https://www.vmware.com/security/advisories/VMSA-2020-0017.html https://my.vmware.co..

개요 Juniper Networks SRX에 대해 DoS 및 RCE 취약점을 발표하고, 업데이트를 권고하였다. 기술 ICAP (Internet Content Adaptation Protocol) 리디렉션 서비스가 활성화된 Juniper Networks SRX에서 특정 HTTP 메시지 처리로 인해 DoS (Denial of Service) 또는 RCE (Remote Code Execution)가 발생한다. 해결방안 제조사 홈페이지를 참고하여 취약점이 해결된 아래 버전으로 업데이트를 적용한다. - Junos OS 18.1, 18.2, 18.3, 18.4, 19.1, 19.2, 19.3 버전의 후속 릴리스 참고자료 https://www.krcert.or.kr/data/secNoticeList.do https:..

Conti Ransomware 감염 주의 작년 12월에 등장한 “Conti” 랜섬웨어는 최근 공격 사례가 증가하고 있으며, 실행 시 전달되는 인자에 따라 암호화 대상이 변경된다. 또한 다양한 서비스와 프로세스를 종료하고 사용자의 파일을 암호화 하고 있어 주의가 필요하다. 이번 보고서에서는 “Conti” 랜섬웨어에 대해 간략하게 알아보고자 한다. “Conti” 랜섬웨어 실행 시, 볼륨 쉐도우 복사본을 삭제하여 복구를 불가능하게 만들고, 데이터베이스, 보안 및 백업과 관련된 146개의 서비스를 중지시킨다. 또한 현재 실행중인 프로세스 목록을 검색한 후, “SQL” 문자열이 포함되어 있는 프로세스를 종료시킨다. 이후 암호화 대상을 결정하기 위해 실행 시 전달되는 인자를 확인하며, 인자에 따라 [표 1]와 같이..