잉카인터넷 시큐리티대응센터 블로그

국내 메신저로 위장한 랜섬웨어 분석 보고서 1. 개요 교육용 오픈소스 랜섬웨어 히든-티어(Hidden-Tear)를 변형한 랜섬웨어가 발견되었다. 다른 랜섬웨어와 다르게 주목할만한 점은 해당 랜섬웨어가 암호화한 파일의 확장자를 “.암호화됨”으로 변경하고, 파일 아이콘이 국내 유명 메신저로 위장하는 등 여러 부분에서 한국인이 제작했을 가능성이 높아 보인다. 분석 결과 해당 랜섬웨어는 히든-티어의 소스 전체를 그대로 가져다 쓰고 랜섬노트 출력만 추가한 것으로 보이며, 랜섬웨어 동작에 필요한 다수 기능이 아직 구현되지 않은 개발 초기 단계로 보인다. 해당 랜섬웨어는 아직 유포가 되지않아 제작 목적이 개인 연구용인지 유포용인지 알 수 없다. 하지만 아래와 같이 토르(Tor-project)를 이용하여 익명의 암호 ..

사용자 자원을 무단으로 이용하는 가상 화폐 채굴 악성코드 1. 개요 비트코인과 같이 가상 화폐의 이용이 많아짐에 따라 가상 화폐 채굴 악성코드가 출현하고 있어 사용자의 주의가 필요하다. 가상 화폐 채굴 동작은 과도한 연산이 필요하기에 채굴 전용 GPU, 주문형 반도체(ASIC) 등을 동원해도 수익을 내기 어렵다. 이 때문에 해커들은 적은 비용으로 많은 가상 화폐를 채굴하기 위해, 소유자의 동의 없이 불특정 다수의 자원을 무단으로 이용하는 악성코드를 사용하고 있다. 본 보고서에서 다루게 될 Photo.scr 또한 가상 화폐의 한 종류인 모네로 코인(Monero Coin)을 채굴하여 사용자 모르게 해커의 가상 화폐 지갑에 전송하는 프로그램을 설치 및 실행시킨다. 게다가 이 악성코드는 취약한 웹 서버들을 자동..

파일을 제거하는 랜섬웨어, Ranscam 분석 1. 개요 랜섬웨어는 파일을 인질로 사용자에게 금전을 요구한다. 최근 국외에서는 파일을 암호화하는 대신 파일을 삭제하는 랜섬웨어가 잇달아 등장하고 있다. 6월 말 Anonpop 랜섬웨어가 나온 이후 최근엔 Ranscam 랜섬웨어가 전파되고있다. 두 랜섬웨어 모두 암호화된 파일을 복호화하는 대가로 금액을 요구한다. 하지만 금액을 지불한다고 하더라도 암호화된 파일을 확인하면 복호화되지 않고 제거되어 있다. 이렇게 이른바 가짜(Fake) 랜섬웨어라고도 불리는 ‘삭제형 랜섬웨어' 중 하나인 Ranscam에 대해 이번 보고서를 통해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명winstrsp.exe파일크기2,508,224 byte진단명Trojan...

기업 홈페이지명을 사칭한 백도어 악성코드 분석 보고서 1. 개요 뒷문이란 의미의 백도어(Backdoor)는 원래는 시스템의 유지 보수나 유사 시 문제 해결을 위해 관리자 보안 설정을 우회하여 시스템에 접근할 수 있도록 하는 것을 뜻했다. 하지만 이 점을 악성코드가 이용하게 되면서 다른 사용자의 보안 설정을 우회하여 접근, 해킹하여 추가적 피해를 입히면서 백도어는 악성동작의 한 종류로 자리잡게 되었다. 이번 보고서에서는 백도어 악성코드에 대하여 알아보고자 한다. 이번에 분석한 악성코드는 국내 모 대기업의 해외 지사 홈페이지에서 유포된 것으로 추정되며, 신뢰있는 기업의 사이트명을 파일명으로 하여 사용자의 실행을 유도시키며 해킹까지 이어질 수 있다는 점에서 각별한 주의가 필요하다. 2. 분석 정보 2-1. 파..

Locky의 변종, Zepto 랜섬웨어 분석 보고서 1. 개요 연초 유명했던 Locky 랜섬웨어가 Zepto라는 새로운 이름으로 돌아왔다. Zepto는 Locky와 마찬가지로 주로 이메일 첨부파일을 통해 유포된다. 첨부파일은 매크로가 포함된 워드 문서파일(.docm)이며, 사용자가 문서를 열 때 매크로가 실행되고, 매크로에서 랜섬웨어 파일을 다운받아 실행하는 방식으로 악성동작을 수행한다. 랜섬웨어로 인한 피해가 여전히 발생하고 있는 만큼 이번 보고서에서는 Zepto 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 FB823FF1EC737DAA.docm 파일크기 39,533 byte 진단명 Trojan-Downloader/W32.MSWord.Gen 악성동작 랜섬웨어 ..

MBR 변조로 정상부팅을 막는 satana 랜섬웨어 분석 보고서 1. 개요satana 랜섬웨어는 컴퓨터 부팅에 필요한 정보를 저장하는 하드디스크의 MBR(Master Boot Record)영역을 변조하여 부팅이 불가능하게 만들며 사용자 파일을 암호화한다. 감염된 컴퓨터가 부팅될 때 *랜섬노트 출력으로 인해 커스텀 부트로더(Bootloader, 윈도우 부팅을 위해 실행되는 명령어)가 정상 작동하지 않으며, 내부 변수 값들이 디버그 메시지로 상세하게 출력되는 등 개발 단계 소프트웨어의 특징이 나타난다. 해당 랜섬웨어의 랜섬노트를 보면 아래 창과 같이 0.5비트코인(2016.07.07일 기준 약 400,000 KRW)지불을 조건으로 복호화 소프트웨어를 전송해 주겠다는 메시지를 담고있다. *랜섬노트(Ransom..

MBR 변조에 파일 암호화까지, PETYA-MISCHA 변종 랜섬웨어 분석 보고서 1. 개요지난 4월 시큐리티 대응센터에선 일반 랜섬웨어 다르게 컴퓨터 하드디스크의 MBR 코드를 변조시켜 정상부팅을 막는 PETYA 랜섬웨어를 분석한 바 있다. 독일어로 이력서란 파일명으로 위장하여 사용자의 PC를 감염을 유도한 PETYA 랜섬웨어, 이 랜섬웨어가 파일 암호화 동작까지 추가된 PETYA-MISCHA 변종으로 나타나 사용자의 주의가 요구된다. 참고 : PEYTA 랜섬웨어 보고서 2. 분석 정보2-1. 파일 정보구분내용파일명PDFBewerbungsmappe.exe파일크기899,584 Byte진단명Trojan/W32.Mikhail.899584악성동작혼합 랜섬웨어 2-2. 유포 경로PETYA 랜섬웨어가 독일어로 된..

JavaScript(JScript)를 이용한 RAA 랜섬웨어 1. 개요JavaScript를 이용하여 동작하는 랜섬웨어가 발견됐다. Script 언어를 활용하여 악성코드를 추가적으로 다운로드 하거나 부수적 동작을 수행하는 악성코드는 이전에도 있었지만, JavaScript(.js) 단일 파일로 암호화를 진행하는 랜섬웨어는 근래 보기 힘든 악성동작이라 주의가 필요하다. 잉카인터넷 시큐리티 대응센터에선 이번 보고서를 통해 JavaScript로 동작하는 RAA 랜섬웨어를 알아보고 대책 방안에 대해 살펴보고자 한다. 2. 분석 정보2-1. 파일 정보구분내용파일명RAA.js파일크기758,931 Byte진단명Script-VBS/W32.RAA악성동작파일 암호화를 통한 Bit-coin 요구 2-2. 유포 경로RAA 랜섬웨..

북한이 사용한 악성 프로그램 ‘유령쥐’ 1. 개요지난 6월 13일 경찰청 사이버안전국은 북한이 4차 핵실험 직후인 2월, 국내 대기업 전산망을 해킹했음을 발표하였다. 발표에 따르면 북한은 악성 프로그램 ‘유령쥐’를 이용해 13만여대의 컴퓨터를 감염시켰다고 한다. 이번 보고서에선 이 유령쥐를 자세하게 알아보고자 한다. 실행파일명은 zegost.exe로 통칭 Gh0st RAT의 변종으로 불리고 있다. 여기서 RAT은 Remote Access Tool 혹은 Remote Administrator Tool로 불리며 단어의 차이는 있으나 그 뜻은 원격 접속을 보장하는 도구로 같다. 유령쥐라는 명칭 또한 Gh0st RAT이라는 영문이름에서 비롯된 것으로 보인다. 2. 분석 정보2-1. 파일 정보구분내용파일명svchs..

이동식 디스크를 통해 전파되는 ZCrypt 랜섬웨어 분석 보고서 1. 개요 최근 랜섬웨어의 공격 및 전파 방식이 한층 더 다양해지고 있다. 이번 보고서에서 분석한 ZCrypt 는 autorun.inf 를 이용해 사용자 PC를 감염시킨다. 이 공격방법은 최근 여러 악성코드와 비교할 때 상대적으로 사용하지 않는 방식인데, 이를 통해 해커들이 수 많은 랜섬웨어 변종을 양산하며 다양한 공격을 시도하고 있다는 것을 알 수 있다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 ZCrypt.exe (파일명 확인되지 않음) 파일크기 536, 699 Byte 진단명 Ransom/W32.ZCryptor.536699 악성동작 파일 암호화를 통한 금전(Bit-coin) 요구 2-2. 유포 경로 랜섬웨어는 대체적으로 불..