악성코드 분석 119

[월간동향]2019년 9월 악성코드 통계

2019년 9월 악성코드 통계 악성코드 통계 악성코드 Top20 2019년9월(9월 1일 ~ 9월 30일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 1,422,121 건이 탐지되었다. 악성코드 유형 비율 9월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Trojan(트로잔)이 66%로 가장 높은 비중을 차지하였고, Exploit(익스플로잇)과 Virus(바이러스)가 각각 27%와 3%, Worm(웜)과 Backdoor(백도어)이 각각 1%, 1%씩으로 그 뒤를 따랐다. 악성코드 진단 수 전월 비교..

[악성코드 분석] 암호화폐 지갑 정보를 훔치는 InnfiRAT 악성코드 분석 보고서

암호화폐 지갑 정보를 훔치는 InnfiRAT 주의 1. 개요 최근 해외 보안업체에 따르면 암호화폐 지갑 정보를 훔치는 ‘InnfiRAT’ 악성코드가 새롭게 발견되었다고 알려진다. 이외에도 ‘InnfiRAT’ 악성코드는 브라우저에 저장된 사용자의 계정 정보를 탈취하고 화면 캡처, 특정 프로세스 종료, 파일 다운로드 및 실행 기능이 포함되어있다. 이번 보고서에서는 ‘InnfiRAT’ 악성코드의 주요 악성 동작에 대해 알아본다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 악성코드의 정확한 유포 경로는 밝혀지지 않았다. 2-3. 실행 과정 해당 악성코드를 실행하면 먼저 “%AppData%” 경로에 ‘NvidiaDriver.exe’ 파일명으로 자가 복제 및 실행한다. 실행된 ‘NvidiaDriv..

[악성코드 분석] 정보 탈취형 Krypton Stealer 악성코드 분석 보고서

정보 탈취형 Krypton Stealer 악성코드 감염 주의 1. 개요 최근 해외 보안업체에 따르면 ‘Krypton Stealer’ 정보 탈취형 악성코드가 새롭게 발견되었다고 알려진다. ‘Krypton Stealer’ 악성코드 제작자는 다크 웹 포탈에서 악성코드를 서비스 형태(MaaS: Malware-as-a-Service)로 판매하고 있으며, 2019년 4월경 1.1버전 이후 현재 1.2 버전으로 업데이트되었다. 이번 보고서에서는 정보 탈취형 ‘Krypton Stealer’ 악성코드의 주요 악성 동작에 대해 알아본다. 2. 분석 정보 2-1. 파일 정보 2-2. 실행 과정 해당 악성코드를 실행하면 탈취한 정보를 저장하기 위해 “C:\Users\Public” 경로에 폴더를 생성하고 폴더 명은 하드웨어 프..

[월간동향]2019년 8월 악성코드 통계

2019년 8월 악성코드 통계 악성코드 통계 악성코드 Top20 2019년08월(08월 1일 ~ 08월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Virus(바이러스) 유형이며 총 18,858,450 건이 탐지되었다. 악성코드 유형 비율 8월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Trojan(트로잔)이 66%로 가장 높은 비중을 차지하였고, Exploit(익스플로잇)과 Virus(바이러스)가 각각 25%와 4%, Worm(웜)와 Backdoor(백도어)가 각각 2%, 2%씩으로 그 뒤를 따랐다. 악성코드 진단 수 전..

[악성코드 분석]개인정보를 탈취하는 SeafkoAgent 분석 보고서

개인정보를 탈취하는 SeafkoAgent 분석 보고서 1. 개요 최근 발견된 Saefko RAT는 Saefko Attack System유료프로그램의 크랙버전으로 알려져 있으며, 현재 Saefko RAT의 실행 파일은 정확히 확인되지 않는다. 해당 RAT의 기능을 이용하면 SeafkoAgent.exe라는 이름의 파일이 생성되며, 해당 파일이 실행되면 Saefko RAT와 통신을 통해 악위적인 동작을 수행한다. 해당 실행 파일은 Saefko RAT의 정책 설정에 따라 내용이 달라질 가능성이 있으며, Saefko라는 RAT의 이름과 달리 SeafkoAgent.exe라는 파일명을 사용하고 있다. 이러한 공격방식은 추가 악성코드 다운로드, 키로깅 등 다양한 악성동작을 통해 치명적인 피해를 발생시킬 수 있으며 사용..

[월간동향]2019년 7월 악성코드 통계

2019년 7월 악성코드 통계 악성코드 통계 악성코드 Top20 2019년07월(07월 1일 ~ 07월 31일) 한 달간 잉카인터넷 대응팀은 사용자에게 가장 많이 피해를 준 악성코드 현황을 조사하였으며, [표 1]은 가장 많이 탐지된 악성코드를 탐지 건수 기준으로 정리한 악성코드 Top20이다. 가장 많이 탐지된 악성코드는 Trojan(트로잔) 유형이며 총 11,761 건이 탐지되었다. 악성코드 유형 비율 7월 한달 간 탐지된 악성코드를 유형별로 비교하였을 때 Trojan(트로잔)이 74%로 가장 높은 비중을 차지하였고, Exploit(익스플로잇)과 Adware(애드웨어)가 각각 10%와 4%, Virus(바이러스)와 Ransom(랜섬웨어)가 각각 2%, 2%씩으로 그 뒤를 따랐다. 악성코드 진단 수 전..

[악성코드 분석]국내 보안업체 디지털서명을 포함한 악성코드 주의

국내 보안업체 디지털서명을 포함한 악성코드 주의 1. 개요 최근 국내 보안업체의 디지털 서명을 포함한 악성코드가 발견되었다. 해당 악성코드는 URL을 통해 일반 사용자들에게 유포 되는 것으로 알려졌다. 디지털 서명을 포함한 파일의 경우, 정상 파일 이라고 생각 할 수 있기 때문에 유포자 들은 이 점을 악용하기 위해 디지털 서명을 탈취한 것으로 보여진다. 이번 보고서에는 최근에 발견된 국내 보안업체의 디지털 서명을 포함한 파일에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 2-2. 유포 경로 해당 악성코드는 URL을 통해 유포된다고 알려졌으나, 현재 URL은 차단된 상태이다. 2-3. 실행 과정 두 종류의 파일 모두 해당 파일을 작업 스케줄러를 이용하여 지속적으로 실행 되도록 한다. 또한 ..

[악성코드 분석]송장 관련 피싱 메일로 유포되는 스파이웨어 주의 AgentTesla

송장 관련 피싱 메일로 유포되는 스파이웨어 주의 1. 개요 최근 송장 관련 피싱 메일이 유포되고 있어 사용자의 주의가 필요하다. 첨부 파일에는 악성 매크로가 포함된 doc 문서 파일이 존재하는데 문서 열람 후 매크로를 실행하면 C&C 서버에서 악성 파일을 다운받는다. 다운로드된 악성 파일은 ‘에이전트 테슬라(Agent Tesla)’ 변종으로 알려지며 스파이웨어 기능이 있어 키보드 입력, 화면 캡처, 계정 정보 저장 등 사용자의 정보가 탈취된다. 원래 ‘에이전트 테슬라(Agent Tesla)’는 합법적으로 판매되는 Keystroke Logger 프로그램이지만, 공격자에 의해 악용되어 피싱 메일로 전파되며 감염된 PC는 사용자의 동의 없이 사용자 정보가 탈취될 위험이 있다. 2. 분석 정보 2-1. 파일 정..

[악성코드 분석]악성코드 제작자는 체포되었지만 여전히 유포되는 NanoCore RAT

악성코드 제작자는 체포되었지만 여전히 유포되는 NanoCore RAT 1. 개요 최근 피싱 메일의 첨부파일을 통해 ‘Nanocore RAT’(원격 관리 툴)이 다수 유포되고있다. 원격 관리 툴은 합법적인 프로그램이지만 공격자에 의해 악용될 수 있는데, ‘NanoCore RAT’의 경우에는 ‘NanoCore RAT’을 만든 제작자가 악의적인 목적으로 ‘NanoCore RAT’을 제작 및 배포하여 징역을 받았다. 하지만 악성코드 제작자가 체포되어도 ‘Nanocore RAT’ 악성코드는 공격자들에 의해 여전히 유포되고 있어 사용자의 주의가 필요하다. 이번 보고서에서는 ‘NanoCore RAT’ 악성코드가 유포된 사례와 악성 동작에 대해 알아본다. 2. 분석 정보 2-1. 유포 사례 ‘NanoCore RAT’은..

[악성코드 분석]비정상적인 로그인 활동 관련 피싱 메일 유포중!

비정상적인 로그인 활동 관련 피싱 메일 유포중! 1. 개요 현재 비정상적인 로그인 활동을 알리는 내용으로 피싱 메일의 유포가 지속적으로 이루어지고 있어 사용자의 주의가 필요하다. 피싱 메일의 내용은 바뀌었지만, 피싱 메일에 첨부된 링크를 클릭하면 이전 사례와 동일하게 cPanel(웹 호스팅 업체)의 가짜 webmail 로그인 페이지로 연결되어 사용자의 이메일 로그인 계정정보를 기재하도록 유도하고 있다. 2. 분석 정보 2-1. 유포 경로 이번에 유포 중인 피싱 메일은 사용자의 이메일 계정이 의심스러운 장소에서 로그인 시도가 있었다는 내용이다. 피싱 페이지로 연결되는 링크는 두 개로 늘어났으며 사용자가 링크를 클릭하면 이메일 계정에 로그인하기를 요구하는 내용은 동일하다. 2-2. 실행 과정 사용자가 본인의..