잉카인터넷 시큐리티대응센터 블로그

새로 생성되는 파일도 암호화 하는 Rapid 랜섬웨어 주의 1. 개요 2017년과 비교하였을 때 2018년에 랜섬웨어의 공격 빈도는 상대적으로 많이 줄어들었지만 꾸준히 발견되고 있다. 이번에 발견된 'rapid ransomware' 역시도 기존 랜섬웨어와 같이 파일 암호화를 진행하며 파일을 복호화 하기위해 공격자에게 이메일을 보내도록 유도한다. 'rapid ransomware' 만이 가지는 특징은 아니지만 해당 랜섬웨어는 암호화를 끝낸 뒤에 활성화 상태를 유지하며 암호화 동작을 반복적으로 시행한다. 이런 동작으로 인하여 새롭게 생성되는 파일 역시 암호화 된다.이번 보고서에서는 새롭게 생성되는 파일까지도 암호화 하는 'rapid ransomware' 에 대해 알아보자. 2. 분석 정보 2-1. 파일 정보구..

평창 올림픽 이벤트성 프로그램으로 위장한 악성코드 주의 1. 개요 2018년 평창 올림픽을 맞이하여 이를 노린 사이버 공격도 기승을 부리고 있다. 이번에 발견된 'OlympicGames.exe' 파일 역시 그러한 공격들 중에 하나로써 실행할 경우 사용자의 정보를 전송하고 추가 데이터를 사용자 몰래 다운로드한다. 악성코드의 메인 화면 역시 올림픽 이벤트 프로그램으로 보이기 위해서 그럴듯한 배경으로 사용자를 현혹한다. 자세하게 살펴보면 배경화면에 보이는 로고들이 평창올림픽과 다르다는 점을 찾을 수 있지만, 쉽게 알아차릴 수 없어 사용자의 피해가 우려된다. 이번 보고서에서는 올림픽과 관계된 요소들을 넣어 사용자들을 속이고 이벤트성 프로그램으로 위장한 'OlympicGames.exe' 파일에 대해서 알아보고자 ..

2018년 1월 악성코드 통계 악성코드 Top202018년 1월(1월 1일 ~ 1월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Backdoor (백도어) 유형이며 총 168,218건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Backdoor/W32.Orcus.9216 Backdoor 168,218 건 2위 Worm/W32.Brontok.45374 Worm 52,962 건 3위 Trojan-Spy/W32.SpyEyes.2270504 Trojan-Spy 52,188 건 4위 Gen:Variant.Razy.107843 Viru..

한국인이 제작한 것으로 추정되는 ‘Korean Locker’ 랜섬웨어 유포 주의 1. 개요 최근, 유창한 한국어로 작성된 ‘Korean Locker’ 랜섬웨어가 발견되었다. 새롭게 발견된 ‘Korean Locker’ 랜섬웨어는 오픈소스 랜섬웨어인 '히든 티어(Hidden Tear)'를 활용한 ‘.NET’ 기반의 랜섬웨어다. 해당 랜섬웨어의 랜섬노트는 능숙한 한글로 기재 되어 있으며, 나무 위키 웹사이트 URL을 첨부하여 사용자에게 RSA 암호화 방식에 대한 내용을 제공한다. 또한 비트 코인을 지불하는 방법으로 한국 비트코인 거래소를 소개하는 점으로 보아 한국인 개발자가 제작한 것으로 추정된다. 이번 분석 보고서에서는 ‘Korean Locker’ 랜섬웨어에 대하여 간략하게 알아보고자 한다. 2. 분석 정보..

사용자의 동의 없이 가상화폐 채굴 프로그램을 실행시키는 악성코드 주의 1. 개요 최근 가상화폐에 대한 가치가 주목받고 있는 가운데 가상화폐 채굴 프로그램을 실행시키는 악성코드가 출현하고 있어 사용자의 주의가 필요하다. 이번에 발견 된 가상화폐 채굴 프로그램은 사용자 동의 없이 실행되기 위해 불법 윈도우를 이용하는 사용자들을 대상으로 유포하고 있다. 대게 불법 윈도우를 사용하는 이용자들은 정품인증을 받기 위하여 'KMSPico' 프로그램을 사용하는데, 특정 웹사이트에서 배포하는 'KMSPico 10.2.2.exe' 는 설치 시 ‘모네로’ 채굴 프로그램을 동작 시키고 있다. 복잡한 연산을 필요로 하는 채굴 작업은 컴퓨터에 부하를 발생시켜 작업지연이나 갑작스러운 종료를 초래할 수 있기 때문에 주의가 필요하다...

Hermes 2.1 랜섬웨어 감염 주의 1. 개요 ‘Hermes 2.1’ 랜섬웨어는 지정된 확장자를 대상으로 파일을 암호화한다. 일반적인 랜섬웨어와는 달리 암호화 후 확장자를 변경시키지 않아, 사용자가 자신이 랜섬웨어에 감염되었는지 파악하기 어려울 것으로 예상된다. 해당 랜섬웨어는 일반 사용자의 접근이 쉬운 국내 웹 사이트를 통해 유포되었기 때문에 각별한 주의가 필요하다. 이번 보고서에는 국내 웹 사이트를 통해 유포된 ‘Hermes 2.1’ 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 345,088 byte 진단명 Ransom/W32.Hermes.345088 악성동작 파일 암호화 2-2. 유포 경로‘Sundown Exploit..

2017년 12월 악성코드 통계 악성코드 Top202017년 12월(12월 1일 ~ 12월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로이목마) 유형이며 총 131,148건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Suspicious/W32.CVE-2016-3266 Trojan 21,255 건 2위 Gen:Variant.Johnnie.80689 Backdoor 13,602 건 3위 Trojan/W32.Obfuscated.569856.AR Suspicious 11,098 건 4위 Suspicious/PDF...

HWP2018 실행파일로 위장한 악성코드 유포 주의! 1. 개요 최근 hwp 문서 파일과 관련된 악성코드 수가 증가하고 있어 국내 사용자의 주의가 요구된다. 이전 대부분의 악성코드가 이력서나 중요 문서들로 위장했다면, 해당 악성코드는 불법 소프트웨어를 사용하려는 사람들을 대상으로 유포되고 있기때문에, P2P 사이트 등 신뢰할 수 없는 사이트에서의 파일 다운로드와 실행을 하지않도록 각별한 주의가 필요하다. 또한, ‘HWP2018 무설치버전’ 실행파일로 되어있고 파일 크기 또한 정상적인 실행파일과 유사하기 때문에, 사용자 입장에서 정상파일과 구분이 어려운 특징을 가지고 있다. 이번 보고서에서는 ‘HWP2018 무설치버전’ 실행파일로 위장한 악성코드에 대하여 알아보고자 한다. 2. 분석 정보 2-1. 파일 정..

2017년 10월 악성코드 통계 악성코드 Top202017년 10월(10월 1일 ~ 10월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, 아래 [표]는 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로이목마) 유형이며 총 1,123,251건이 탐지되었다. 순위 진단명 유형 탐지 건수 1위 Gen:Variant.Razy.107843 Trojan 1,123,251건 2위 Gen:Variant.Zusy.217219 Trojan 127,661건 3위 Gen:Variant.Adware.Hebogo.1 Adware 27,748건 4위 Suspicious/W32.CVE-2016-3266 ..

워드 문서 DDE 취약점을 이용한 악성코드 유포 주의 1. 개요 최근 ‘DDE’ 취약점을 이용한 악성코드가 유포되어 사용자들의 주의가 요구되고 있다. 이전에는 악성코드를 실행시키기 위해 MS Office의 매크로 기능 및 'JS', 'VBS' 등의 스크립트언어를 이용하였으나, 최근에는 ‘DDE’ 기능을 활용해 실행시키고 있다. DDE란 ‘Dynamic Data Exchange’의 약어로 윈도우 응용 프로그램간의 동일한 데이터를 공유하도록 허용하는 방법 중 하나이다. 해당 기능은 워드뿐만 아니라 엑셀, 비쥬얼 베이직 등 다양한 응용프로그램에서 사용되고 있다. 이 기능은 다른 프로세스를 실행시킬 수 있으며 이 기능을 악용하여 악성코드를 다운로드 받거나, 실행시키기 때문에 문제가 된다. 또한 응용 프로그램을 ..