악성파일 진단 39

[악성코드 분석] 국내 메신저로 위장한 랜섬웨어 분석

국내 메신저로 위장한 랜섬웨어 분석 보고서 1. 개요 교육용 오픈소스 랜섬웨어 히든-티어(Hidden-Tear)를 변형한 랜섬웨어가 발견되었다. 다른 랜섬웨어와 다르게 주목할만한 점은 해당 랜섬웨어가 암호화한 파일의 확장자를 “.암호화됨”으로 변경하고, 파일 아이콘이 국내 유명 메신저로 위장하는 등 여러 부분에서 한국인이 제작했을 가능성이 높아 보인다. 분석 결과 해당 랜섬웨어는 히든-티어의 소스 전체를 그대로 가져다 쓰고 랜섬노트 출력만 추가한 것으로 보이며, 랜섬웨어 동작에 필요한 다수 기능이 아직 구현되지 않은 개발 초기 단계로 보인다. 해당 랜섬웨어는 아직 유포가 되지않아 제작 목적이 개인 연구용인지 유포용인지 알 수 없다. 하지만 아래와 같이 토르(Tor-project)를 이용하여 익명의 암호 ..

[악성코드 분석] 사용자 자원을 무단으로 이용하는 가상 화폐 채굴 악성코드

사용자 자원을 무단으로 이용하는 가상 화폐 채굴 악성코드 1. 개요 비트코인과 같이 가상 화폐의 이용이 많아짐에 따라 가상 화폐 채굴 악성코드가 출현하고 있어 사용자의 주의가 필요하다. 가상 화폐 채굴 동작은 과도한 연산이 필요하기에 채굴 전용 GPU, 주문형 반도체(ASIC) 등을 동원해도 수익을 내기 어렵다. 이 때문에 해커들은 적은 비용으로 많은 가상 화폐를 채굴하기 위해, 소유자의 동의 없이 불특정 다수의 자원을 무단으로 이용하는 악성코드를 사용하고 있다. 본 보고서에서 다루게 될 Photo.scr 또한 가상 화폐의 한 종류인 모네로 코인(Monero Coin)을 채굴하여 사용자 모르게 해커의 가상 화폐 지갑에 전송하는 프로그램을 설치 및 실행시킨다. 게다가 이 악성코드는 취약한 웹 서버들을 자동..

[악성코드 분석] 파일을 제거하는 랜섬웨어, Ranscam 분석

파일을 제거하는 랜섬웨어, Ranscam 분석 1. 개요 랜섬웨어는 파일을 인질로 사용자에게 금전을 요구한다. 최근 국외에서는 파일을 암호화하는 대신 파일을 삭제하는 랜섬웨어가 잇달아 등장하고 있다. 6월 말 Anonpop 랜섬웨어가 나온 이후 최근엔 Ranscam 랜섬웨어가 전파되고있다. 두 랜섬웨어 모두 암호화된 파일을 복호화하는 대가로 금액을 요구한다. 하지만 금액을 지불한다고 하더라도 암호화된 파일을 확인하면 복호화되지 않고 제거되어 있다. 이렇게 이른바 가짜(Fake) 랜섬웨어라고도 불리는 ‘삭제형 랜섬웨어' 중 하나인 Ranscam에 대해 이번 보고서를 통해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보구분내용파일명winstrsp.exe파일크기2,508,224 byte진단명Trojan...

[악성코드 분석] 기업 홈페이지명을 사칭한 백도어 악성코드

기업 홈페이지명을 사칭한 백도어 악성코드 분석 보고서 1. 개요 뒷문이란 의미의 백도어(Backdoor)는 원래는 시스템의 유지 보수나 유사 시 문제 해결을 위해 관리자 보안 설정을 우회하여 시스템에 접근할 수 있도록 하는 것을 뜻했다. 하지만 이 점을 악성코드가 이용하게 되면서 다른 사용자의 보안 설정을 우회하여 접근, 해킹하여 추가적 피해를 입히면서 백도어는 악성동작의 한 종류로 자리잡게 되었다. 이번 보고서에서는 백도어 악성코드에 대하여 알아보고자 한다. 이번에 분석한 악성코드는 국내 모 대기업의 해외 지사 홈페이지에서 유포된 것으로 추정되며, 신뢰있는 기업의 사이트명을 파일명으로 하여 사용자의 실행을 유도시키며 해킹까지 이어질 수 있다는 점에서 각별한 주의가 필요하다. 2. 분석 정보 2-1. 파..

[악성코드 분석] Locky의 변종, Zepto 랜섬웨어 주의

Locky의 변종, Zepto 랜섬웨어 분석 보고서 1. 개요 연초 유명했던 Locky 랜섬웨어가 Zepto라는 새로운 이름으로 돌아왔다. Zepto는 Locky와 마찬가지로 주로 이메일 첨부파일을 통해 유포된다. 첨부파일은 매크로가 포함된 워드 문서파일(.docm)이며, 사용자가 문서를 열 때 매크로가 실행되고, 매크로에서 랜섬웨어 파일을 다운받아 실행하는 방식으로 악성동작을 수행한다. 랜섬웨어로 인한 피해가 여전히 발생하고 있는 만큼 이번 보고서에서는 Zepto 랜섬웨어에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 FB823FF1EC737DAA.docm 파일크기 39,533 byte 진단명 Trojan-Downloader/W32.MSWord.Gen 악성동작 랜섬웨어 ..

[악성코드 분석] MBR 변조로 정상부팅을 막는 satana 랜섬웨어 주의

MBR 변조로 정상부팅을 막는 satana 랜섬웨어 분석 보고서 1. 개요satana 랜섬웨어는 컴퓨터 부팅에 필요한 정보를 저장하는 하드디스크의 MBR(Master Boot Record)영역을 변조하여 부팅이 불가능하게 만들며 사용자 파일을 암호화한다. 감염된 컴퓨터가 부팅될 때 *랜섬노트 출력으로 인해 커스텀 부트로더(Bootloader, 윈도우 부팅을 위해 실행되는 명령어)가 정상 작동하지 않으며, 내부 변수 값들이 디버그 메시지로 상세하게 출력되는 등 개발 단계 소프트웨어의 특징이 나타난다. 해당 랜섬웨어의 랜섬노트를 보면 아래 창과 같이 0.5비트코인(2016.07.07일 기준 약 400,000 KRW)지불을 조건으로 복호화 소프트웨어를 전송해 주겠다는 메시지를 담고있다. *랜섬노트(Ransom..

[악성코드 분석] MBR 변조에 파일 암호화까지, PETYA-MISCHA 변종 랜섬웨어 주의

MBR 변조에 파일 암호화까지, PETYA-MISCHA 변종 랜섬웨어 분석 보고서 1. 개요지난 4월 시큐리티 대응센터에선 일반 랜섬웨어 다르게 컴퓨터 하드디스크의 MBR 코드를 변조시켜 정상부팅을 막는 PETYA 랜섬웨어를 분석한 바 있다. 독일어로 이력서란 파일명으로 위장하여 사용자의 PC를 감염을 유도한 PETYA 랜섬웨어, 이 랜섬웨어가 파일 암호화 동작까지 추가된 PETYA-MISCHA 변종으로 나타나 사용자의 주의가 요구된다. 참고 : PEYTA 랜섬웨어 보고서 2. 분석 정보2-1. 파일 정보구분내용파일명PDFBewerbungsmappe.exe파일크기899,584 Byte진단명Trojan/W32.Mikhail.899584악성동작혼합 랜섬웨어 2-2. 유포 경로PETYA 랜섬웨어가 독일어로 된..

[악성코드 분석] JavaScript(JScript)를 이용한 RAA 랜섬웨어

JavaScript(JScript)를 이용한 RAA 랜섬웨어 1. 개요JavaScript를 이용하여 동작하는 랜섬웨어가 발견됐다. Script 언어를 활용하여 악성코드를 추가적으로 다운로드 하거나 부수적 동작을 수행하는 악성코드는 이전에도 있었지만, JavaScript(.js) 단일 파일로 암호화를 진행하는 랜섬웨어는 근래 보기 힘든 악성동작이라 주의가 필요하다. 잉카인터넷 시큐리티 대응센터에선 이번 보고서를 통해 JavaScript로 동작하는 RAA 랜섬웨어를 알아보고 대책 방안에 대해 살펴보고자 한다. 2. 분석 정보2-1. 파일 정보구분내용파일명RAA.js파일크기758,931 Byte진단명Script-VBS/W32.RAA악성동작파일 암호화를 통한 Bit-coin 요구 2-2. 유포 경로RAA 랜섬웨..

[악성코드 분석] MBR 변조로 부팅을 방해하는 PETYA 랜섬웨어

MBR 변조로 정상 부팅을 방해하는 PETYA 랜섬웨어 분석 보고서 1. 개요일반적인 랜섬웨어는 표적이 되는 특정 파일을 암호화 하여 해당 파일을 복구하는 대가로 금전을 요구한다. 이때, 사용자의 PC는 암호화된 파일을 여는 것 외에는 정상작동을 할 수 있었다. 최근엔 이런 일반적인 랜섬웨어의 동작에 고정관념을 깨고 컴퓨터 하드디스크의 MBR 코드를 변조시켜 정상부팅을 막는 랜섬웨어가 등장하였다. 또한 이 랜섬웨어는 파일공유 서비스를 이용해 유포되고 있으며 파일명이 독일어이지만 이력서 파일로 위장하고 있어 사용자에게 큰 피해가 우려된다. 본 보고서에선 파일 암호화가 아닌 MBR 코드를 변조하는 PETYA 랜섬웨어를 집중 분석하고 예방 및 해결책을 명시하여 사용자 피해를 최소화하고자 한다. 2. 분석 정보..

[악성코드 분석] 인기 게임으로 위장한 악성 토렌트

인기 게임으로 위장한 악성 토렌트 분석 보고서 1. 개요 토렌트는 많은 사람들이 이용하는 파일 공유 수단으로, 종종 악성코드 유포 수단으로 악용되기도 한다. 동영상이나 음악 같은 데이터 파일로 위장한 악성파일의 경우, 사용자의 실행 유도를 위해 실행파일을 데이터파일로 위장해야 한다. 하지만 실행파일이 필수적으로 포함된 게임, 유틸리티의 경우, 악성코드를 다른 파일 형태로 위장할 필요가 없어 해커들이 자주 사용하는 공격 수단이 된다. 특히 불법으로 유통되는 고 사양 최신 게임의 경우 파일의 크기가 굉장히 크고 쉽게 구할 수 없기 때문에 다운로드 받기가 쉽지 않다. 구하기 어려운 게임 파일로 위장한 악성파일은 사용자를 현혹시키기 쉬워 설령 오류가 있더라도 게임을 하고싶은 사용자 심리에 의해 의심없이 실행되는..