안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 해외에서 스테가노그래피(Steganography) 기술을 이용한 랜섬웨어 유포 수법이 등장했습니다. 스테가노그래피란 이미지 파일 등에 또 다른 데이터를 은밀히 숨기는 기술을 의미합니다. 이번에 발견된 랜섬웨어는 이메일에 'Windows 스크립트 파일(.wsf)' 형식의 악성 스크립트 파일을 첨부해 전파되었습니다. 해당 스크립트는 내부 명령어에 의해 3개의 URL 주소로 접속해 'arrival.jpg', 'X8IOl.jpg' 등의 이미지 파일을 다운로드합니다. 실제 해당 파일은 다음과 같은 이미지 화면을 보여줍니다. [그림 1] 이미지 파일로 위장한 스테가노그래피 기법의 악성파일 - image.***.co/mxRqXF/arrival.jpg-..

악성코드 분석 리포트 2017. 8. 21. 21:39

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 비트코인 시세가 가파르게 상승하면서 많은 사람들이 가상화폐에 높은 관심을 가지고 있습니다. 이에 따라 가상화폐와 관련된 다양한 사이버 범죄들도 비례적으로 증가하고 있어 각별한 주의가 필요한 시기입니다. 그런 와중에 지난 일요일(20일) 국내의 특정 가상화폐 거래소 이용자 등을 대상으로 피싱메일이 다량으로 전파된 정황이 포착되었습니다. 공격자는 국내 유명 비트코인 거래소 중 한곳을 사칭하여 마치 '출금완료 알림' 내용으로 조작한 피싱 메일을 유포했으며, 메일 본문에는 다음과 같이 '새로운 기기에서의 로그인 알림' 내용처럼 위장하고 있습니다. 특히, 다른 IP 주소에서 수신자의 로그인이 발생한 것처럼 보안주의를 안내함으로써, 공격 대상자의 심..

악성코드 분석 리포트 2017. 8. 21. 11:13

크롬 브라우저 확장 프로그램을 악용한 페이스북 피싱 기법 주의! 안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 8월 16일 오전부터 가짜 동영상 화면으로 위장된 악성 URL 링크가 페이스북(Facebook) 메신저를 통해 무작위로 전파되고 있어 사용자들의 각별한 주의가 필요합니다. 크롬(Chrome) 웹 브라우저가 활성화 되어 있고 페이스북에 로그인 되어 있을 경우, 감염된 페이스북 사용자의 메신저를 통해 비디오 동영상 링크로 위장된 단축 URL 주소가 전송됩니다. [그림 1] 페이스북 메신저로 전송된 악성 단축 URL 링크 화면 만약, 피해자가 페이스북 친구로부터 메신저를 통해 받은 해당 단축 URL 링크를 클릭하게 되면 보낸이의 프로필 사진으로 위장한 구글 DOC 사이트로 연결되며 재생..

악성코드 분석 리포트 2017. 8. 17. 14:18

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 악명높은 Locky 랜섬웨어 변종이 이메일 첨부파일을 통해 국내외로 다수 전파되고 있습니다. 인터넷 이용자분들은 아래 내용을 숙지하여 유사한 보안위협에 노출되지 않도록 각별히 주의하시기 바랍니다. 이번 공격 수법도 기존 사례와 비슷하게 이메일에 ZIP 파일을 첨부했고, 압축 내부에 악성 비주얼 베이직 스크립트(VBS) 파일을 포함하고 있습니다. 이메일 제목과 첨부파일에는 'E 2017-08-09 (숫자).확장명' 형태를 띄고 있으며, 확장명은 'PDF', 'XLS', 'DOC', 'XLSX', 'DOCX', 'TIFF', 'JPG' 등 다양하게 사용되었습니다. [그림 1] 이메일 유포 화면 사례들 이번 Locky 랜섬웨어 유포에 사용된 대부분의..

악성코드 분석 리포트 2017. 8. 10. 15:42

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. GlobeImposter 랜섬웨어 변종 중 유효한 디지털 서명을 탑재한 형태가 해외에서 등장하고 있어 이용자분들의 각별한 주의가 요망됩니다. 잘 아시는 분들도 계시겠지만, 일반적으로 특정 파일에 유효한 디지털 서명이 탑재되어 있다는 것은 무결성이 보장된다는 의미와 함께 정상적인 파일(화이트 리스트)임을 증명하는 용도로 활용되기도 합니다. 그러다보니 일부 악의적인 해커들은 정상적인 디지털 서명 데이터를 무단 탈취하여 악성프로그램 제작에 악용되는 경우가 종종 발생하기도 합니다. 그런 와중에 2017년 7월 29일과 31일에 제작된 GlobeImposter 랜섬웨어 변종 2개에서 각각 다르지만 유효한 디지털 서명이 탑재된 것이 발견되었습니다. [그..

악성코드 분석 리포트 2017. 8. 1. 11:03

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 해외에서 일명 '이스라바이(israbye)'라는 새로운 유형의 랜섬웨어가 등장했습니다. 현 시점까지 국내 유입 및 피해사례가 공식보고 되진 않았지만, 관련 내용을 숙지하시어 사전에 대비하시길 당부드립니다. 이 랜섬웨어는 2017년 07월 24일 닷넷 기반 프로그래밍으로 제작되었으며, 파일속성에 다음과 같은 정보를 보유하고 있습니다. 제작자가 지정한 원본 파일 이름은 'israbye.exe' 입니다. 이 파일명은 '이스라엘 바이' 라는 의미로 해석되고 있습니다. [그림 1] israbye 랜섬웨어 파일 속성 정보 파일 내부에는 제작자로 추정할 수 있는 아티팩트가 포함되어 있는데, 'Ahmed' 라는 컴퓨터 계정을 사용하고 있음을 알 수 있습니다..

악성코드 분석 리포트 2017. 7. 31. 11:14

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 2017년 07월 25일부터 일본에서 다량 전파된 악성 해킹 메일이 국내에도 유입된 정황이 일부 포착되어 각별한 주의가 필요한 상황입니다. 해당 해킹 메일은 일본어(한자)로 '청구서(請求書)'라는 제목을 달고 있으며, 발신자 이메일은 일본에서 주로 사용하는 'so-net.ne.jp' 도메인이지만 아이디는 다양하게 설정되어 전파되고 있습니다. 일본의 인터넷 사업자, 보안기업, 금융기관, 수사기관 등과 협력하는 '일본 사이버범죄 컨트롤 센터(JC3/Japan Cybercrime Control Center)'에서도 지난 25일 주의보를 내린 상태이기도 합니다. [그림 1] 일본 사이버범죄 컨트롤 센터에 등록된 주의 안내문 한국과 일본에서 이미 발견..

악성코드 분석 리포트 2017. 7. 27. 13:57

안녕하세요. 이스트시큐리티입니다. 최근 워너크라이(WannaCry)를 비롯한 다양한 랜섬웨어들이 출현하고 있는 가운데 기존 sage2.0 랜섬웨어의 변종인 sage2.2 랜섬웨어가 지속적으로 발견되고 있습니다. sage 2.2 랜섬웨어는 sage 2.0 랜섬웨어와는 다르게 한글 안내페이지를 지원하는 특징을 가지고 있습니다. 또한 spora 랜섬웨어와 같이 오프라인 암호화를 진행하며 Cerber 랜섬웨어와 같이 감염 시 음성을 지원합니다. sage2.2 랜섬웨어는 스팸 메일을 통한 유입이나 웹 사이트 방문 시 노출되는 취약점을 통해 감염이 이루어졌을 것으로 추정됩니다. 이번 보고서에서는 sage2.2 랜섬웨어를 상세 분석해보고자 합니다. 악성코드 분석 ※ Rj3fNWF3.exe 상세 분석 1) 자가 복제 ..

악성코드 분석 리포트 2017. 7. 24. 13:27