잉카인터넷 시큐리티대응센터 블로그

윈도우 취약점 이용하여 권한 상승하는 Sodinokibi 랜섬웨어 감염 주의 1. 개요 최근 발견된 Sodinokibi 랜섬웨어는 기존의 랜섬웨어 동작과 다르게 윈도우 취약점(CVE-2018-8453)을 통해 권한을 상승시켜 랜섬 동작을 수행하는 방식을 사용하고 있다. 해당 공격방식은 취약한 시스템에 있어 치명적인 피해를 발생시킬 수 있으며, 공격방식의 변화를 예상할 수 있어 사용자의 각별한 주의가 필요하다. 잉카인터넷에서는 해당 랜섬웨어에 대한 분석 정보를 게시하였다. "견적 요청서 관련 내용으로 유포되는 Sodinokibi 랜섬웨어 감염 주의" - https://isarc.tachyonlab.com/2306 이번 보고서에서는 윈도우 취약점을 이용하여 권한을 상승시키는 Sodinokibi 랜섬웨어에 대..

바로가기 파일로 위장하여 악성파일 다운로드하는 Cephalo 랜섬웨어 감염 주의 1. 개요 최근 발견된 Cephalo 랜섬웨어는 바로가기(.lnk) 파일을 정상인 것처럼 위장하여 사용자의 실행을 유도하고 있으며, 실행 시 악성파일을 다운로드 하고 실행하여 악성 동작을 수행하는 방식을 사용하고 있다. 이러한 방식은 사용자로 하여금 의심없이 파일을 실행시킬 수 있으며, 이로 인해 많은 피해가 발생할 수 있어 사용자의 주의가 필요하다. 이번 보고서에서는 .ceph 감염 확장자를 사용하는 Cephalo 랜섬웨어에 대해 간략하게 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].lnk 파일크키 3,205 bytes 진단명 - 악성 동작 파일 다운로드 구분 내용 파일명 Cep..

키릴문자 'Я' 파일을 생성하는 GEFEST 랜섬웨어 감염 주의 1. 개요 GEFEST 랜섬웨어는 수십 여개의 변종으로 발견되는 Scarab 랜섬웨어 계열의 후속 작으로, 발견 시기마다 암호화 파일 확장자의 변화와 일부 변종에서는 암호화 대상 폴더에 키릴문자 'Я'을 이름으로 한 파일을 생성하는 특징을 발견할 수 있다. 이러한 특징은 GEFEST 랜섬웨어에서도 확인할 수 있으며, 해당 랜섬웨어는 최근 암호화 파일 확장자가 새롭게 변화하여 발견되고 있기 때문에 사용자들의 주의가 필요하다. 이번 보고서에서는 .GFS 감염 확장자를 사용하는 GEFEST 랜섬웨어에 대해 간략하게 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크키 176,128 bytes 진..

모든 파일을 암호화하는 Blind 랜섬웨어 감염 주의 1. 개요 2017년 하반기에 발견된 Blind 랜섬웨어는 다양한 변종으로 변화하고 있으며, 최근에도 유포되고 있다. Blind 랜섬 웨어는 변종 마다 감염 파일에 덧붙이는 확장자를 변경하고 있는데, 최근에 발견된 버전에서는 .skeleton 이라는 확장자를 사용하고 있다. 해당 랜섬웨어는 수년 간 여러 변종이 발견되고 있으며 최근까지 유포되고 있기 때문에 사용자들의 주의가 필요하다. 이번 보고서에서는 .skeleton감염 확장자를 사용하는 Blind 랜섬웨어에 대해 간략하게 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크키 651,264 bytes 진단명 Ransom/W32.Blind.65126..

11월 랜섬웨어 동향 및 Aurora / Zorro 랜섬웨어 1. 11월 랜섬웨어 동향 2018년 11월(11월 01일 ~ 11월 30일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 GandCrab 랜섬웨어가 다양한 방법을 통해 유포 되며 사용자들에게 피해를 입혔으며, 해외에서는 말레이시아에서 Media Prima 그룹이 랜섬웨어 피해를 받았고, 러시아에서는 모스크바에 있는 케이블카 시스템이 랜섬웨어에 감염되어 일정기간 운행이 중지되기도 했다. 이번 보고서에서는 11월 국내/외 랜섬웨어 피해 사례 및 신/변종 랜섬웨어와 11월 말 등장한 Aurora / Zorro 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 피해 사례 GandCrab 랜섬웨어 피해 사례 이번달에는 ..

1. 개요 최근 리눅스 커널의 취약점을 이용하여 관리자 권한을 탈취하는 Dirty Cow 취약점(CVE-2016-5195)을 사용한 악성 파일이 유포되고 있다. 해당 샘플에 감염될 시 가상화폐 채굴기로 이용될 뿐만 아니라 감염 PC 의 통신 기록을 참고하여 감염 대상을 늘리는 기능이 있기 때문에 주의가 필요하다. 이번 보고서에서는 Dirty Cow 취약점을 이용하는 백도어 프로그램의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 프로그램은 SSH 통신을 이용한 감염 기능을 포함하고 있으며, 이에 따라 SSH 통신을 통해 유포되고 있을 것으로 추측된다. 2-3. 실행 과정 악성 셸 스크립트를 실행하면 가장 먼저 감염 PC 의 시스템 정보를 읽어 감염 동작에..

한글 문서에 포함된 매크로 악성코드 분석 1. 개요 한글 문서의 스크립트 매크로 기능은 사용자가 정의하는 키보드와 마우스 동작을 특정 단축키에 기록하여 매크로로 이용할 수 있는 기능이다. 악성코드 제작자는 이 기능을 악용하여 조작된 HWP 파일을 피싱 메일을 통해 유포하고, 사용자가 조작된 한글 문서를 열람할 때 악성코드가 실행되도록 만든다. 이번 보고서에서는 한글 문서에 포함된 매크로 악성코드에 대해 알아본다. 2. 한글 문서의 스크립트 매크로 기능 한글 프로그램에서 사용자가 정의한 매크로는 ‘도구 탭 – 매크로 - 스크립트 매크로 정의’에서 코드 편집이 가능하다. Document 내용에 코드를 작성하면 한글 문서를 열람할 때 스크립트가 실행된다. 이렇게 매크로 스크립트가 삽입된 한글 문서를 사용자가 ..

서비스형 랜섬웨어 FilesLocker Ransomware 주의 1. 개요 최근 서비스형 랜섬웨어로 알려진 “FilesLocker”가 유포되고 있어 주의가 필요하다. 서비스형 랜섬웨어(Ransomware as a Service)는 랜섬웨어 제작자가 랜섬웨어를 공격자에게 판매하고, 피해자들로부터 얻은 수익금은 제작자와 공격자가 나눠 갖는 구조로 되어있다. 이번 보고서에서는 “FilesLocker Ransomware”에 대하여 알아본다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 201,216 byte 악성동작 파일 암호화 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어의 유포경로와 비슷할 것으로 추정된다. 2-3. 실행 과정 해당 랜..

10월 랜섬웨어 동향 및 Xorist 랜섬웨어 1. 10월 랜섬웨어 동향 2018년 10월(10월 01일 ~ 09월 31일) 한 달 간 랜섬웨어 동향을 조사한 결과, 국내에서는 여전히 GandCrab 랜섬웨어가 지속적인 버전업을 하며 가장 이슈가 되었으며, 해외에서는 미국 노스캐롤라이나의 상하수도청과 인디아나주 방위군이 랜섬웨어에 피해를 받은 일이 있었다. 이번 보고서에서는 10월 국내/외 랜섬웨어 피해 사례 및 신/변종 랜섬웨어와 10월 말 등장한 Xorist 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 피해 사례 GandCrab 랜섬웨어 피해 사례 지난 달에 이어 이번달에도 여전히 GandCrab 랜섬웨어는 버전업을 통해 국내외 사용자들을 괴롭혔다. V5.0.2부터 v5..

한국어를 지원하는 Kraken Cryptor 랜섬웨어 감염 주의 1. 개요 'Kraken Cryptor' 랜섬웨어는 올해 8월경부터 유포되어 최근 v2.0.7 버전까지 발견되었다. 파일 암호화 이후에는 감염된 PC의 바탕화면을 사용자 언어에 맞춰 변경하여 감염된 사실을 통보하며, 정상적인 파일 삭제 유틸리티를 다운로드해 원본 파일의 흔적까지 삭제하는 방식을 갖고 있다. 앞으로 버전 업의 여지가 있어 보이는 'KraKenCryptor' 랜섬웨어를 이번 분석 보고서에서 알아보도록 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].exe 파일크기 147,456 byte 악성동작 파일 암호화 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어의 유포 경로와 ..