잉카인터넷 시큐리티대응센터 블로그

유명 게임 치팅 프로그램으로 위장한 악성파일 유포 주의 1. 개요 Epic Games 社에서 개발한 유명 게임 포트나이트가 새로운 시즌을 맞이하면서, 이와 관련된 악성 파일 유포도 활발해지고 있다. 이전부터 포트나이트 치팅 프로그램으로 위장한 악성 프로그램은 많았지만 대부분 게임 아이디, 패스워드, 등의 정보를 수집하는 정도였다. 이번에 발견된 샘플은 비트코인 지갑 등 민감한 정보를 다수 수집하기 때문에 특히 주의가 필요하다. 이번 보고서에서는 포트나이트 치팅 프로그램으로 위장한 프로그램의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 HyperCheats by eblanich hack (work).exe 파일크기 171,520 bytes 진단명 Download..

사용자 PC 정보를 탈취하는 악성코드 감염 주의 1. 개요 본 보고서에서 다루게 될 내용은 사진 파일 아이콘(.JPEG 형태)을 사용하여 위장한 정보탈취형 악성코드에 대한 내용이다. 대부분의 PC 사용자들이 확장자 보다는 아이콘을 보고 파일을 실행하는데, 이 점을 노려서 이와 같은 형식으로 유포하고 있는 것으로 보인다. 위장 된 악성코드를 사진 파일로 착각하여 실행 할 경우 감염된 PC 정보 탈취 뿐만 아니라 공격자에게 전달받은 명령을 통해서 추가적인 악성동작을 수행하게 되는데, 각각의 추가 기능에 특정 캐릭터 이름을 붙여놓아 변칙적으로 수행하는 점을 통해서 이전에 해외에 등장했던 악성코드의 변종으로 추정된다. 악성코드가 가지고 있는 기능중에는 추가 악성파일을 다운받아 실행하는 기능이 포함되어 있어 2차..

POS 시스템을 대상으로 한 ‘RtPOS’ 악성코드 감염 주의 1. 개요 얼마전 EternalBlue와 Doublepulsar 취약점을 통해 추가 악성코드를 전파하는 악성코드가 5만여대 이상의 판매시점정보관리(POS) 시스템을 감염시켜 정상적인 통신에 악영향을 주는 이슈가 있었다. 해당 악성코드는 8월 16일자 잉카인터넷 공식 블로그에 게시한 바 있다. 최근에는 마그네틱 카드의 정보를 수집하는 POS 시스템 대상의 악성코드 ‘RtPOS’ 가 발견되었다. POS 시스템에서는 결제와 관련된 카드의 고유 정보가 오가는 만큼 정보 유출 시 카드 도용으로 이어질 수 있어 각별한 주의가 필요하다. 이번 보고서에서는 POS 시스템을 대상으로 하는 ‘RtPOS’ 악성코드에 대해서 알아보고자 한다. 2. 분석 정보 2-..

사용자의 계정을 탈취하는 악성코드 감염 주의 1. 개요 본 보고서에서 다루게 될 악성코드는 사용자를 속이기 위해 정상 파일 아이콘을 이용하여 유포되며, 감염 시 사용자 PC 의 브라우저와 이메일 계정정보를 탈취한다. 현재 분석 시점인 8월 7일경에도 탈취한 계정정보를 전송하는 FTP 서버는 운영되고 있으며, 해당 FTP 서버 접속 시 탈취된 여러 계정 파일들이 존재한다. 이와 같은 계정 탈취 용 악성코드는 탈취한 계정을 통해서 2차적인 피해가 발생할 수 있으므로 감염을 예방하기 위해서 PC 사용에 주의를 기울여야 한다. 이번 보고서에서는 사용자 PC 를 감염시켜 계정정보를 탈취하는 악성코드에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 4..

POS 시스템을 노린 악성코드 1. 개요 최근 판매시점관리시스템(POS)에 악성코드가 감염되어 먹통이 되는 사건이 발생하였다. 6월 29일 한 POS 기업은 ‘윈도우 XP 시스템 연결 끊김 증상 긴급복구 방법 및 권고사항 안내’ 란 제목의 글을 게시했다. 공지 내용은 윈도우 XP 기반의 특정 POS 시스템에서 인터넷 연결이 안 되는 증상이 발생되고 있다는 내용이었다. 해당 증상은 윈도우 XP의 보안취약성을 악용한 TCP/IP 설정 및 윈도우 서비스의 인터넷 연결 관련 항목에 악영향을 주어 인터넷 연결이 끊어지는 증상이 발생되는 것으로 확인됐다고 밝혔다. 이번 블로그에서는 해당 사건에 쓰였던 악성코드 중에서 이전 ‘WannaCryptor Ransomware’ 에서 쓰였던 EternalBlue, Double..

Gold Dragon 악성코드 주의 1. 개요 최근, 국내에서 열렸던 2018년 평창 올림픽이 무사히 막을 내렸다. 올림픽 기간 중에도 보안과 관련된 이슈는 끊임없이 계속 발생하였지만 그 중, 흥미롭게도 해외 한 백신 업체에서 평창 올림픽을 겨냥한 것으로 추정되는 악성코드에 대한 보고서를 기재하였다.게시된 글을 확인해보면 ‘Gold Dragon’ 이라고 불려지고 있는 파일에 대하여 내용이 다루어져 있다는 것을 확인할 수 있었는데, 이번 블로그에서는 해당 악성코드에 대해 어떠한 동작을 하는지 간단히 알아보도록 하자. 2. 분석 정보 2-1. 파일 정보구분내용파일명[임의의 파일명].exe파일크기49,152 byte진단명Trojan/W32.Agent.49152.CRX악성동작정보 탈취 / 추가 악성코드 다운 및..

평창 올림픽 이벤트성 프로그램으로 위장한 악성코드 주의 1. 개요 2018년 평창 올림픽을 맞이하여 이를 노린 사이버 공격도 기승을 부리고 있다. 이번에 발견된 'OlympicGames.exe' 파일 역시 그러한 공격들 중에 하나로써 실행할 경우 사용자의 정보를 전송하고 추가 데이터를 사용자 몰래 다운로드한다. 악성코드의 메인 화면 역시 올림픽 이벤트 프로그램으로 보이기 위해서 그럴듯한 배경으로 사용자를 현혹한다. 자세하게 살펴보면 배경화면에 보이는 로고들이 평창올림픽과 다르다는 점을 찾을 수 있지만, 쉽게 알아차릴 수 없어 사용자의 피해가 우려된다. 이번 보고서에서는 올림픽과 관계된 요소들을 넣어 사용자들을 속이고 이벤트성 프로그램으로 위장한 'OlympicGames.exe' 파일에 대해서 알아보고자 ..

음란물 사이트를 통해 유포하는 협박성 악성코드 감염 주의 1. 개요 해외 음란물 사이트를 통해 유포된 이번 악성코드는 아동 음란물 다운로드 및 유포 행위에 대한 신고를 빌미로 사용자에게가상화폐를 요구한다. 감염 시스템상의 피해를 주진 않지만 금전 갈취를 목적으로 사용자PC에서 수집한 정보를 공개하고 있어 주의를 기울여야 한다. 이번 보고서에는 가상화폐를 요구하는 협박성 악성코드에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명[임의의 파일명].exe파일크기616,448 byte진단명Trojan/W32.PornBlackMailer.616448악성동작가상화폐 요구 협박 2-2. 유포 경로해외 음란물 사이트를 통해 유포한다. 2-3. 실행 과정악성코드를 실행하면 자기 자신을 ‘%app..

사용자의 동의 없이 가상화폐 채굴 프로그램을 실행시키는 악성코드 주의 1. 개요 최근 가상화폐에 대한 가치가 주목받고 있는 가운데 가상화폐 채굴 프로그램을 실행시키는 악성코드가 출현하고 있어 사용자의 주의가 필요하다. 이번에 발견 된 가상화폐 채굴 프로그램은 사용자 동의 없이 실행되기 위해 불법 윈도우를 이용하는 사용자들을 대상으로 유포하고 있다. 대게 불법 윈도우를 사용하는 이용자들은 정품인증을 받기 위하여 'KMSPico' 프로그램을 사용하는데, 특정 웹사이트에서 배포하는 'KMSPico 10.2.2.exe' 는 설치 시 ‘모네로’ 채굴 프로그램을 동작 시키고 있다. 복잡한 연산을 필요로 하는 채굴 작업은 컴퓨터에 부하를 발생시켜 작업지연이나 갑작스러운 종료를 초래할 수 있기 때문에 주의가 필요하다...

HWP2018 실행파일로 위장한 악성코드 유포 주의! 1. 개요 최근 hwp 문서 파일과 관련된 악성코드 수가 증가하고 있어 국내 사용자의 주의가 요구된다. 이전 대부분의 악성코드가 이력서나 중요 문서들로 위장했다면, 해당 악성코드는 불법 소프트웨어를 사용하려는 사람들을 대상으로 유포되고 있기때문에, P2P 사이트 등 신뢰할 수 없는 사이트에서의 파일 다운로드와 실행을 하지않도록 각별한 주의가 필요하다. 또한, ‘HWP2018 무설치버전’ 실행파일로 되어있고 파일 크기 또한 정상적인 실행파일과 유사하기 때문에, 사용자 입장에서 정상파일과 구분이 어려운 특징을 가지고 있다. 이번 보고서에서는 ‘HWP2018 무설치버전’ 실행파일로 위장한 악성코드에 대하여 알아보고자 한다. 2. 분석 정보 2-1. 파일 정..