안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 최근 유명 국내 게임 공략 사이트 게시판에서 원격제어 기능과 MBR 파괴 기능이 있는 악성코드가 유포되어 주의를 당부 드립니다. 악성코드가 유포되는 사이트 게시판에는 실제 게임과 관련 없는 내용으로 영화와 성인사이트로 위장 된 링크를 기재하여 게시판 사용자들의 클릭을 유도하고 있습니다. [그림 1] 게임 공략 사이트에 기재된 게시글 이미지 취약한 윈도우 및 소프트웨어를 사용 중인 게시판 사용자가 호기심에 해당 사이트를 클릭 할 경우 Drive By Download 기법에 의해 악성코드가 다운로드 및 실행 될 수 있습니다. 이스트시큐리티 악성코드 위협 대응 솔루션 Threat Inside(쓰렛인사이드)에 분석 된 데이터에 의하면 2018년 08월..

악성코드 분석 리포트 2018. 9. 5. 17:08

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다. Adobe Flash Player파일로 위장한 'Bad Rabbit'이라 불리는 랜섬웨어가 유포되었습니다. 최근 러시아, 우크라이나와 같은 동유럽의 일부 국가에서 감염이 확인된 상태이며 추가적으로 국내로 유입될 가능성도 있으므로 이용자들의 각별한 주의를 당부드립니다. hxxp://1dnscontrol.com/index.phphxxp://1dnscontrol.com/flash_install.php[표 1] 유포지로 알려진 사이트 'Bad Rabbit’ 랜섬웨어는 파일과 디스크를 암호화하여 감염된 사용자에게 비트코인 결제를 요구합니다. 다음은 Bad Rabbit의 전체 흐름도입니다. [그림 1] Bad Rabbit의 전체 흐름도 Dropper - ..

악성코드 분석 리포트 2017. 10. 25. 11:03

안녕하세요. 이스트시큐리티입니다. SMB 취약점(MS17-010)을 이용한 PETYA 랜섬웨어가 유포되고 있습니다. 해당 취약점은 지난 5월, 전 세계적으로 큰 이슈가 되었던 워너크라이(WannaCry) 랜섬웨어가 이용한 것과 동일합니다. 이번 Petya 랜섬웨어의 유포경로는 MeDoc이라는 SW 업데이트를 통한 것으로 추정되고 있습니다. MeDoc은 우크라이나 기업과 기관에서 주로 쓰이는 세무관련 회계프로그램으로, MeDoc 홈페이지에는 자신들의 서버가 공격을 당하고 있다는 공지글이 업로드 되었습니다(현재는 삭제됨). 또한 CVE-2017-0199취약점이 포함된 doc 파일이 첨부된 이메일로도 유포 되고 있는 것으로 추정됩니다. 현재까지 Petya랜섬웨어의 피해가 가장 심각한 국가는 우크라이나, 러시아..

국내외 보안동향 2017. 6. 28. 02:07

상대방의 패를 엿볼 수 있는 사행성 도박 게임용 악성파일 유포 중! 최근 'anchul.exe', 'anchulsu.exe'와 같은 이름으로 된 사행성 도박 게임용 악성파일이 국내에서 유포 중입니다. 현재 악성 파일이 유포되고 있는 웹 사이트는 마치 인터넷 익스플로러의 연결상태가 불안정해 정상적으로 접속이 되지 않는 것처럼 보여지고 있습니다. 하지만 해당 웹 사이트의 소스를 분석해 본 결과, 이는 가짜 이미지로 위장한 것이었으며, 분석이 진행 중인 현재 이 시간에도 실제로 악성파일이 유포되고 있습니다. anchul.exe 악성파일을 유포 중인 위장 화면 공격자는 다양한 형태의 파일명으로 악성파일을 유포하고 있으며, 감염이 이루어지면 인터넷 익스플로러(Internet Explorer) 경로에 악성파일이 생..

이스트시큐리티 소식 2017. 4. 14. 15:26

PETYA 랜섬웨어 언락(Unlocked)! 파일 해독에 필요한 패스워드 생성 가능해진다PETYA Ransomware Unlocked, You Can Now Recover Password Needed for Decryption PETYA 랜섬웨어에 감염된 사용자들에게 좋은 소식입니다. 두 명의 보안 연구원들이 PETYA 랜섬웨어로부터 암호화된 파일을 해독하는데 필요한 패스워드를 생성하는 온라인 서비스 및 데스크탑 툴을 제작 및 공개했습니다. 트위터에서 Leo Stone이란 필명으로 활동하는, 신원을 공개하지 않기를 바라는 이 연구원은 유전 알고리즘(genetic algorithm)을 통해 이 랜섬웨어를 해킹하는 방법을 발견해냈습니다. 또한 피해자들이 복호화 패스워드를 얻을 수 있는 웹사이트도 제작했습니다..

국내외 보안동향 2016. 7. 4. 17:10

부트 레코드를 암호화하여 PC 실행을 막는 Satana 랜섬웨어Satana Ransomware Encrypts Your Boot Record and Prevents Your PC from Starting 사용자의 마스터 부트 레코드(MBR)를 망가뜨리는 Petya 랜섬웨어와 클래식 랜섬웨어를 결합한 새로운 형태의 Satana 랜섬웨어가 등장했습니다. Satana 랜섬웨어는 다른 랜섬웨어 패밀리들이 사용하는 것과 동일한 방법으로 사용자의 파일을 암호화하며, 암호화시킨 파일 이름은 “email@domain.com___파일명.확장자”와 같이 변경합니다. 그리고 사용자 PC의 MBR 영역을 암호화시키며 자신의 것으로 대체 시켜버립니다. 이후 사용자가 컴퓨터를 부팅시키면 Satana의 MBR 부트 코드가 로드되며..

국내외 보안동향 2016. 7. 4. 14:58

MBR영역을 변조하는 'PETYA' 랜섬웨어 등장 지난 금요일(3/25)부터 MBR(Master Boot Record)영역을 변조하여 아스키코드로 제작한 해골화면을 띄우고, 랜섬웨어에 감염되었다는 랜섬메시지를 띄우는 'PETYA' 랜섬웨어가 발견되어 주의가 필요합니다. 주로 이메일 첨부파일을 통해 드롭박스를 경유하여 랜섬웨어가 유입되는 형태를 띄고 있으며, 일단 감염되면 MBR영역이 변조되기 때문에 재부팅 이후에도 정상적으로 윈도우OS 부팅이 불가능합니다. (감염되면 몇분 이내로 시스템이 강제 재부팅됩니다.) 해골 이미지가 뜬 이후, 감염된 PC의 사용자가 아무키나 입력하면 아래의 랜섬 메시지가 뜨게 됩니다. 랜섬메시지에서는 토르브라우저를 이용한 특정URL접속을 유도하는 데, 해당 주소로 실제 접근하게 ..

악성코드 분석 리포트 2016. 3. 28. 11:18

마스터 부트 레코드를 파괴하는 새로운 멀웨어 ‘롬버틱 Rombertik’New 'Rombertik' malware destroys master boot record if analysis function detected 시스코의 연구원들이 다른 멀웨어들에 보다 뛰어난 탐지 회피 기술을 사용하는 새로운 멀웨어를 발견했습니다. 새롭게 발견된 멀웨어 롬버틱은 분석 툴이 탐지되었을 때 자신을 파괴하는 대신 장비의 마스터 부트 레코드(MBR: Master Boot Record)를 파괴합니다. 롬버틱은 스팸과 피싱 메시지를 통해 확산되고 있습니다. 한 샘플을 통해 확인한 결과, 공격자들은 사용자가 이메일에 첨부된 문서를 다운로드받도록 유도합니다. 파일이 다운로드되고 압축이 해제되면 문서 썸네일과 같은 파일이 생성됩니..

국내외 보안동향 2015. 5. 7. 11:48