본문 바로가기

악성코드 정보1079

신천지 비상연락처 위장한 Bisonal 악성코드 유포 중 (2020.03.05) ASEC분석팀은 현재 우리나라에서 이슈가 되고있는 신천지 관련 악성코드가 유포된 것을 확인하였다. 유포 파일명은 xlsx 엑셀 또는 ppt 파워포인트 문서 파일로 보이지만, 유니코드 RLO(Right to Left Override) 방식을 이용하여 파일 확장자를 다른 형태로 보이도록 하였다. 실제 악성 파일은 *.scr 파일이다. 유니코드 RLO 변조 유포 악성 파일 신천지예수교회비상연락처(1).Rcs.xlsx 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직RCS.ppt - 신천지예수교회비상연락처(1).xlsx - 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직.ppt 분석 내용은 엑셀 파일을 기준으로 작성한다. 파일 실행 시 위와 같이 정상 엑셀파일을 함께 실행하여 사용자 .. 2020. 3. 5.
견적서 위장 정보 유출형 악성코드 유포 중(구글 드라이브 이용) ASEC 분석팀은 오늘(3월 4일) 견적서로 위장한 정보 탈취 형(키보드 입력값 유출) 악성코드가 유포 중임을 확인하였다. 2차 악성파일 다운로드 주소가 일반인들이 정상적으로 많이 사용하는 구글 드라이브(https://drive.google.com)를 이용한 점도 정상적인 행위로 위장하기 위한 것으로 추정된다. 해당 악성코드는 자사에서 이전에 공개하였던 오토캐드(AutoCAD) 도면 파일(dwg)로 위장한 아래의 악성코드와 동일한 유형으로 확인되었다. [주의] 오토캐드(AutoCAD) 설계도면 파일(dwg)로 위장하여 악성코드 유포 - 2020. 2. 27 https://asec.ahnlab.com/1290 아래 [그림1, 2]과 같이 메일 내부에 정상적인 견적서 이미지(img)파일이 첨부되어있으며 해당.. 2020. 3. 4.
3월 3일!! 또 다시 '전자상거래 위반행위 사칭' 신종 랜섬웨어 유포 중 ASEC 분석팀은 3월 3일 금융기관 및 인사담당자를 대상으로 '부당 전자상거래 위반행위' 및 '이력서' 사칭 랜섬웨어 유포를 확인하였다. 이메일의 압축 첨부파일(7z, zip) 형태로 유포되며, 내부에는 PDF 문서 아이콘의 실행파일(exe)이 존재한다. 일반 사용자의 경우, 문서 아이콘 형태이면서 실행파일 확장자(exe)가 노출되지 않아 문서파일로 착각하고 실행하게되며, 실제로는 랜섬웨어가 동작하게된다. 이러한 공격방식은 1월 6일자에 아래의 ASEC블로그를 통해서 소개한바 있다. 1월에는 Nemty 라는 이름의 랜섬웨어가 사용되었다면, 오늘은 아래의 확장자로 암호화되는 새로운 랜섬웨어가 확인되었다. 원본파일명.[랜덤8자].[helpdesk_makp@protonmail.ch].makop 2020.01.. 2020. 3. 3.
가짜 윈도우 화면과 함께 설치되는 신종 랜섬웨어 국내 발견(*.rezm 확장자) ASEC분석팀은 2020년 3월 2일 가짜 윈도우 업데이트 화면과 함께 설치되는 신종 랜섬웨어를 발견하였다. 해당 랜섬웨어는 기존 국내에 널리 유포되고 있는 Bluecrab, Nemty, Paradise 이름의 랜섬웨어와 동일한 패커(Packer)를 사용하여 유포 중이며 암호화된 파일은 확장자가 .rezm 이 추가되는 특징을 갖는다. 파일 실행 시 아래 주소에서 Fake 윈도우즈 업데이트 파일을 다운로드 받아 실행 되어, 사용자에게는 마치 윈도우즈 업데이트가 되는 듯한 화면을 보여준다. 그러나, 실제로는 랜섬웨어가 동작하여 사용자 컴퓨터 파일들을 감염 시킨다. http[:]//mopg.top/files/penelop/updatewin1.exe http[:]//mopg.top/Asjdi435784ihjk6.. 2020. 3. 2.
특정 환경에서만 동작하는 새로운 동적 분석 우회 기법 ASEC 분석팀은 활발하게 유포되고 있는 악성코드들을 모니터링하던 중 새로운 형태의 동적 분석 우회 기법을 확인하였다. 최근 다수 유포되고 있는 악성코드들은 진단을 회피하기 위한 목적으로 악성코드 실행 환경을 확인 후 조건에 부합하면 Crash를 발생시켜 동작하지 않도록 한다. 이번에 소개될 기법은 특정 어셈블리 명령어를 사용하는 방법과 사이즈가 큰 메모리를 할당 가능한지에 대한 여부를 확인하는 방법이다. 1. AVX 지원 여부(VXORPS 명령어) ‘VXORPS’ 명령어를 사용하여 AVX를 지원하지 않는 환경에서 동작하는 경우 Crash가 발생하는 악성코드는 주로 Visual Basic으로 만들어진 악성코드다. 최근에 소개된 ‘국내 기업을 사칭하여 이메일로 유포되는 Visual Basic 악성코드’ 블.. 2020. 2. 27.
[주의] 오토캐드(AutoCAD) 설계도면 파일(dwg)로 위장하여 악성코드 유포 최근 들어 오토캐드(AutoCAD) 도면 파일(dwg)로 위장한 악성코드가 유포되고 있다. 해당 파일명은 imageXXX_M-003 장비일람표.dwg.exe 형식을 가지며 주로 스팸 메일을 통해 유포되고 있는 것으로 추정된다. 위와 같이 유포된 파일은 VB(VisualBasic) 아이콘을 사용하며 윈도우 폴더 기본 옵션인 확장명 숨기기 기능을 해제 할 경우 다음과 같은 dwg 파일명 뒤에 .exe 확장자가 추가적으로 붙은 것을 알 수 있다. 실제 해당 악성 파일은 Visual Basic 언어로 만들어진 exe 실행 파일이다. 주로 스팸 메일 등으로 유포되는 국내외 Visual Basic 악성코드는 일반적으로 상용 빌더(Builder) 또는 커스텀 패커를 이용하여 만들어지기 때문에 파일의 코드 외형 특징과.. 2020. 2. 27.
주의! 실시간 코로나19 현황 프로그램을 위장한 악성코드 유포 ASEC 분석팀은 국내와 일본 사용자를 대상으로 코로나 바이러스와 관련된 악성코드가 유포되고 있는 것을 확인하였다. 해당 악성코드는 코로나19 현황을 나타내는 팝업창을 생성하고 Temp 경로에 악성 파일을 드롭 후 실행한다. 이때 사용자 몰래 악성 파일이 생성되기 때문에 팝업창만 확인시 마치 정상 코로나 현황 프로그램으로 착각할 수 있어 사용자의 주의가 필요하다. 유포중인 파일은 아래와 같은 데이터를 디코딩 후, 특정 프로세스에 디코딩된 데이터를 인젝션(injection) 한다. 인젝션(injection) 된 데이터는 Temp 경로에 “국내 코로나 실시간 현황.exe”(정상) 와 “jjutest1.exe”(악성) 명으로 파일을 드롭 후 실행한다. “국내 코로나 실시간 현황.exe” 파일은 아래와 같이 코.. 2020. 2. 26.
[주의] 코로나 바이러스를 이용한 다양한 형태의 악성코드 유포 전 세계적으로 이슈인 코로나 바이러스를 이용한 악성코드들이 다수 발견되고 있다. 테스트 파일, JOKE 파일, 실제 악성 파일까지 다양하게 존재하며 현재 코로나 바이러스의 관심도가 높은 상황에서 이러한 악성코드의 제작 및 유포는 더 큰 사회 불안을 발생시킬 수 있어 사용자의 큰 주의가 요구되는 시점이다. [1] 여행자를 위한정보 문서파일 (테스트 파일 추정) 파일명 : Informations Coronavirus.docm MD5 : ecca36caf86d9fcea32b624f06b6a3c8 V3 진단명 : VBA/Obfuscated (2020.02.11.00) 해당 파일은 코로나 바이러스 여행자를 위한 주의 내용을 담고 있는 문서 파일이다. 문서 상단에 "콘텐츠 사용"을 클릭 시, 문서 내부의 매크로(M.. 2020. 2. 25.