잉카인터넷 시큐리티대응센터 블로그

Panther 랜섬웨어 주의! 최근 Panther 랜섬웨어가 등장하였다. 해당 랜섬웨어는 중국에서 만들어진 것으로 추정되며, 일반적인 랜섬웨어와 유사하 게 사용자 PC의 파일에 대하여 암호화동작을 수행하고, 볼륨 섀도우 복사본을 삭제하는 동작을 한다. 이번 보고서에서는 Panther 랜섬웨어의 동작에 대해 알아보고자 한다. 해당 랜섬웨어는 A-Z 드라이브 중 이동식 드라이브와 고정 드라이브에 대하여 악성동작을 수행한다. 특정 디렉토리와 확장자를 제외하고 암호화동작을 수행하며, 악성동작이 이루어진 디렉토리 아래에 랜섬노트를 생성한다. 그리고 볼륨 섀도우 복사본을 삭제하여 사용자로 하여금 복구를 불가능하도록 한다. A-Z 드라이브 중 이동식 드라이브 타입 또는 고정 드라이브 타입인 경우, 악성동작을 수행한다..

Conti Ransomware 감염 주의 작년 12월에 등장한 “Conti” 랜섬웨어는 최근 공격 사례가 증가하고 있으며, 실행 시 전달되는 인자에 따라 암호화 대상이 변경된다. 또한 다양한 서비스와 프로세스를 종료하고 사용자의 파일을 암호화 하고 있어 주의가 필요하다. 이번 보고서에서는 “Conti” 랜섬웨어에 대해 간략하게 알아보고자 한다. “Conti” 랜섬웨어 실행 시, 볼륨 쉐도우 복사본을 삭제하여 복구를 불가능하게 만들고, 데이터베이스, 보안 및 백업과 관련된 146개의 서비스를 중지시킨다. 또한 현재 실행중인 프로세스 목록을 검색한 후, “SQL” 문자열이 포함되어 있는 프로세스를 종료시킨다. 이후 암호화 대상을 결정하기 위해 실행 시 전달되는 인자를 확인하며, 인자에 따라 [표 1]와 같이..

Rabbit Ransomware 감염 주의 Rabbit 랜섬웨어는 파일 암호화와 함께 사용자 시스템 정보 및 화면 캡처 파일을 C2 서버로 전송한다. 또한 금전 요구 페이지가 태국어로 작성된 특징을 갖고있다. 이번 보고서에서는 Rabbit 랜섬웨어의 악성 동작에 대해 간략하게 알아본다. 해당 랜섬웨어는 아래 [표1]에 해당하는 폴더와 확장자에 대해 암호화를 진행하고, 암호화된 파일의 확장자 뒤에 ‘.RABBIT’을 덧붙인다. 그리고 암호화 대상 폴더마다 ‘อ่านวิธีแก้ไฟล์โดนล๊อค.txt’ 랜섬노트를 생성하고, 웹 브라우저를 실행해 태국어로 작성된 금전 요구 페이지로 연결한다. 이외에도 사용자 시스템 정보와 함께 화면 캡쳐 파일을 C2 서버로 전송한다. 랜섬웨어의 피해를 최소한으로 예방하기..

Wholocker 랜섬웨어 주의! 이달 초, Wholocker 랜섬웨어가 등장하였다. 해당 랜섬웨어는 일반적인 랜섬웨어와 유사하게, 특정 폴더와 파일에 대하여 암호화동작을 수행한다. 이때, 문서 파일 및 이미지 파일 등을 암호화하기에 감염된다면 큰 피해를 초래할 수 있다. 이번 보고서에서는 Wholocker 랜섬웨어의 동작에 대해 알아보고자 한다. 해당 랜섬웨어는 사용자에게 랜섬웨어 감염사실을 알리기 위해, C&C 서버에 연결하여 하기의 이미지를 다운로드하고 배경화면으로 등록한다. 그리고 C 드라이브에 특정 디렉토리와 확장자에 대하여 암호화 동작을 수행한다. 악성동작이 끝나면, C2 서버에 사용자 PC 정보를 전달하고, 원본파일을 삭제하여 흔적을 지운다. 서버에 연결하여 그림1의 이미지를 다운로드한다. ..

악성코드 분석보고서 1. 6월 랜섬웨어 동향 2020년 6월(6월 01일 ~ 6월 30일) 한 달간 랜섬웨어 동향을 조사한 결과, Maze 랜섬웨어 운영자가 국내 전자 회사를 공격했다고 주장하였고, 해외에서는 일본의 혼다와 남미의 에넬 아르헨티나(Enel Argentina)가 Snake 랜섬웨어 공격을 받았다. 또한, 미국의 캘리포니아 대학교를 비롯한 몇몇 대학도 Netwalker 랜섬웨어에 공격받아 데이터가 유출된 사건이 있었다. 이번 보고서에서는 6월 국내/외 랜섬웨어 소식 및 신/변종 랜섬웨어와 6월 등장한 RansomEXX 랜섬웨어에 대해 좀 더 자세히 알아보고자 한다. 1-1. 국내/외 랜섬웨어 소식 국내 전자 회사, Maze 랜섬웨어 피해 사례 최근 Maze 랜섬웨어가 국내 전자 회사를 공격했..

TurkStatik Ransomware감염 주의 1. 개요 “TurkStatik”로 불리는 랜섬웨어는 모든 드라이브를 대상으로 암호화한다. 이 중 디렉터리가 재배치 지점(ReparsePoint), 시스템(System) 및 숨김(Hidden) 속성을 지니면 암호화를 하지 않는다. 추가로 암호화의 주요 대상은 윈도우 실행 파일이 아닌 문서, 사진, 영상 및 코드 등이다. 암호화가 완료된 디렉터리에는 터키어로 작성된 랜섬노트가 생성되며 48시간 이내에 금액에 대한 협상을 요구한다. 따라서, 감염된 경우 상당한 주의가 필요하며, 상세한 금액은 알려지지 않은 상태이다. 이번 보고서에서는 “TurkStatik” 랜섬웨어의 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 “Tur..

bigbosshorse Ransomware감염 주의 1. 개요 최근 사용자 PC의 파일을 암호화한 후, “.bigbosshorse”라는 확장자를 추가하는 랜섬웨어가 발견되었다. 해당 랜섬웨어는 볼륨 섀도우 복사본을 삭제하여 복구를 무력화한 후, .testxx 확장자와 Windows 폴더를 제외한 모든 파일의 암호화를 진행한다. 또한, 국내에서 해당 랜섬웨어가 발견된 만큼 주의를 기울일 필요가 있다. 이번 보고서에서는 “bigbosshorse” 랜섬웨어의 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 “BigBossHorse” 랜섬웨어가 실행되면 가장 먼저 사용 언어를 확인한 후, 아르메니아 등 6개국에 해당하는 언어를 사용 중인 경우 프로그램을 종료한다. 이후 복구..

사용자 정보를 탈취하는 Sorano Stealer 1. 개요 최근, 사용자 정보를 탈취하는 악성 코드가 등장하였다. 기존의 Stealer 와 유사하지만, 안티바이러스 정보를 포함하여 소프트웨어 DB 정보와 스크린 사이즈 등 광범위한 데이터를 탈취한다. 이러한 악성 공격은 이차적인 피해를 유발할 수 있기 때문에 큰 주의가 필요하다. 이번 보고서에는 최근 등장한 Sorano Stealer 에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 악성코드와 같이 이메일을 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 Sorano Stealer 이 수행한 악성 동작에 대해 저장되어있는 ‘C:\ProgramData\debug.txt..

14.99 달러로 판매되는 Phoenix Keylogger 분석 보고서 1. 개요 최근 서비스형 맬웨어 형태로 배포되고 있는 “Phoenix Keylogger”가 발견되었다. 판매자는 다크웹에서 1달 정액제 14.99달러, 완전 구매가격은 78.99 달러로 판매하고 있으며, 해당 악성코드는 키로깅 뿐만 아니라 사용자의 중요한 개인정보를 탈취하고 있어 사용자의 주의가 필요하다. 이번 보고서에서는 개인정보를 탈취하는 “Phoenix Keylogger”에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 “Phoenix Keylogger”가 실행되면 사용자 시스템 구성 정보와 키로깅, 클립보드 정보를 수집하고, 가상 환경과 관련된 프로세스 및 파일의 존재 여부를 확인한다. 만약 가..

최근 등장한 Spart 랜섬웨어 1. 개요 최근 Spart 랜섬웨어가 등장하였다. 해당 랜섬웨어 파일 사이즈가 작아 눈에 띄지 않는 것이 특징이다. 또한, 일반적인 랜섬웨어와는 다르게 확장자에 관계없이 파일을 암호화하고, 금전적인 요구를 한다. 따라서, 랜섬웨어에 감염된다면 피해가 클 것으로 예상되어 큰 주의가 필요하다. 이번 보고서에는 최근 등장한 Spart 랜섬웨어에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 정확한 유포 경로는 밝혀지지 않았지만, 일반적인 랜섬웨어와 같이 이메일을 통해 유포되었을 것으로 추정된다. 2-3. 실행 과정 해당 랜섬웨어가 실행되면, 사용자 User 이름과 Computer 이름, 볼륨시그널을 획득하여 %Roaming% 아래에 ‘Temp ..