본문 바로가기
RigEK 이용한 Avaddon 랜섬웨어 국내 유포 중(*.avdn 확장자) 6월 초에 아래의 해외 사이트를 통해 Avaddon 이름의 신종 랜섬웨어에 대한 기사가 소개되었다. 6월 8일부터 국내에서 RigEK(Rig Exploit Kit)를 이용한 악성코드 유포 수가 급증한 것을 확인하였고, 해당 랜섬웨어가 국내에도 유포 중인 것이 확인되었다. (6월 7일) sensorstechforum.com/avaddon-virus-remove/ (6월 8일) www.bleepingcomputer.com/news/security/new-avaddon-ransomware-launches-in-massive-smiley-spam-campaign/ 아래의 그림은 RigEK 에 대한 V3 제품의 행위탐지 로그 수를 나타낸다. 1153은 행위탐지 룰 번호를 나타내며, 6월 8일부터 건 수가 급격하게.. 2020. 6. 24.
학술대회 지원관련 한글(HWP) 악성코드 유포 중 ASEC 분석팀은 지난 6월 4일 "국내 학술대회 시즌을 노린 한글문서(HWP) 악성코드 유포 중"이라는 제목으로 블로그를 통해 분석 정보를 공유하였다. 국내 학술대회 시즌을 노린 한글문서(HWP) 악성코드 유포 중 ASEC 분석팀은 지난 5월에 다양한 주제별로 유포 중인 한글문서(HWP) 악성코드에 대해 아래의 블로그를 통해 공유하였다. '부동산 관련' 제목으로 유포하던 것에서 최근에는 국내 학술대회 일정에 asec.ahnlab.com 코로나19로 인해 여러 학회에서 온라인으로 학술 대회를 진행 및 개최 논의가 되고 있는 가운데 6월 18일 "온라인 학술대회 한시적 지원 관련 Q&A.hwp"라는 제목의 한글 악성코드 유포가 확인되어 사용자 주의가 필요하다. 유포지로 확인된 곳은 첨부파일이 현재 삭제된 .. 2020. 6. 24.
ASEC 주간 악성코드 통계 ( 20200615 ~ 20200621 ) ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 6월15일 월요일부터 2020년 6월 21일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러 악성코드가 55.9%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 14.3%, Banking 악성코드가 10.5%를 차지하였다. 랜섬웨어와 다운로더 악성코드는 10.1%, 3.8%로 그 뒤를 따랐다. Top 1 - AgentTesla 33.2%를 차지하는 AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근.. 2020. 6. 22.
특정 기업환경에서만 동작하도록 설계된 Snake 랜섬웨어 최근 기업들을 대상으로 한 스네이크 랜섬웨어가 유포 중이다. 아직 국내에서 확인된 사례는 없지만 독일, 이탈리아, 일본 등 여러 국가 기업들을 대상으로 공격이 나타나고 있기 때문에 국내 기업들도 주의가 필요하다. 스네이크 랜섬웨어는 Go 언어로 개발되어 있다. Go로 개발된 악성코드는 이전부터 꾸준히 증가하고 있으며 최근 유포되는 악성코드들은 분석 방해를 위한 난독화 기법들이 사용되고 있다. 아래와 같이 스네이크 랜섬웨어도 동일하게 함수명들이 모두 랜덤한 문자열들로 변경되어 있다. 작년 말에 확인된 스네이크 랜섬웨어는 일반적인 랜섬웨어와 유사하게 실행 시 특별한 조건 없이 암호화를 진행한다. 하지만 올해 5월부터 확인된 샘플들은 모두 현재 실행 환경이 기업 네트워크 내부인지 여부를 확인한다. 최근 Hon.. 2020. 6. 18.
원격제어 기능의 Gh0st RAT(고스트 렛) 주요기능 ASEC 분석팀에서는 2014년도에 뱅킹 악성코드에 DDoS 기능이 포함된 Gh0st RAT 분석 정보를 소개한 바있다. 당시에는 주로 DDoS 공격기능 중심으로 소개되었고, 전체적인 동작과정 및 원격제어 기능에 대한 설명이 부족하였다. 해당 원격제어 툴은 현재까지도 널리 사용되는 상황으로 이번 글에서는 좀 더 다양한 기능들에 대해 분석한 내용을 설명하고자 한다. 뱅킹악성코드에 포함된 DDoS 공격기능 ('Gh0st' 3.75 버전) 최근들어 사용자 시스템의 호스트파일(hosts) 변조를 통한 은행 피싱사이트 방문 유도 및 이를통한 금융정보 유출을 시도하는 악성코드가 빈번하게 발생하고 있다. 관심있게 볼 부분은 3월말부�� asec.ahnlab.com Gh0st RAT은 중국의 C. Rufus Secur.. 2020. 6. 16.
ASEC 주간 악성코드 통계 ( 20200608 ~ 20200614 ) ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 6월 8일 월요일부터 2020년 6월 14일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러 악성코드가 56.9%로 1위를 차지하였으며, 그 다음으로는 다운로더 악성코드가 15.4%, RAT (Remote Administration Tool) 악성코드가 11.2%를 차지하였다. 랜섬웨어와 뱅킹 악성코드는 8.2%, 7.5%로 그 뒤를 따랐다. Top 1 - AgentTesla 33.0%를 차지하는 AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 .. 2020. 6. 15.
[주의] NSIS 형태로 유포 중인 이력서 위장 Makop 랜섬웨어 ASEC 분석팀은 이전부터 꾸준히 유포되던 이력서로 위장한 악성코드가 다른 외형으로 유포되는 것을 확인했다. 대다수의 악성코드는 내부 바이너리를 숨기고 AV의 진단을 우회하기 위해 패킹(Packing) 기법을 활용한다. 내부 악성코드 바이너리는 동일하지만 겉 포장만을 다르게 하여 마치 다른 파일인 것처럼 제작하는 것이다. 최근 활발히 유포 중인 이력서를 위장한 악성코드 또한 마찬가지이다. 기존에는 V3 진단명 "MalPE"유형의 패커(Packer)를 사용하였지만 최근 발견된 샘플에서는 NSIS를 사용한다. 아이콘 및 파일명은 기존과 동일하다. 이력서(경력사항은 자세히 기재하였습니다 확인바랍니다).exe 포트폴리오(경력사항은 자세히 기재하였습니다 확인바랍니다).exe [주의] 이력서와 공정거래위원회를 사칭.. 2020. 6. 12.
ASEC 주간 악성코드 통계 ( 20200601 ~ 20200607 ) ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 6월 1일 월요일부터 2020년 6월 7일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러 악성코드가 56.6%로 1위를 차지하였으며, 그 다음으로는 다운로더 악성코드가 16.4%, RAT (Remote Administration Tool) 악성코드가 12.9%를 차지하였다. 뱅킹과 랜섬웨어악성코드는 9.1%, 3.5%로 그 뒤를 따랐다. Top 1 - AgentTesla 30.1%를 차지하는 AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플.. 2020. 6. 8.