본문 바로가기

악성코드 정보

CVE-2018-8174 취약점 분석 안랩 ASEC은 랜섬웨어를 포함하여 국내 악성코드 유포에 널리 사용되는 IE 취약점 CVE-2018-8174에 대한 분석을 진행하였다. 해당 취약점은 메그니베르 랜섬웨어 유포에도 사용되고 있으며, 보안패치 적용을 통해 피해를 예방하는 작업이 필요하다.MS 보안 업데이트 페이지 (CVE-2018-8174)- https://portal.msrc.microsoft.com/ko-kr/security-guidance/advisory/CVE-..
GandCrab 랜섬웨어 유포에 사용되는 이메일 주소 (사전예방) 안랩 ASEC은 11월 15일부터 국내에 유포되는 이력서 사칭 메일관련하여 아래의 글을 게시하였다.- http://asec.ahnlab.com/1178 (이력서를 가장하여 유포중인 GandCrab 랜섬웨어 (2018.11.15))당시 공격자가 사용하는 발신자 메일주소는 아래의 사이트를 통해 확인 가능하며, "mshuherk@gmail.com" 메일주소를 갖는 사용자에 의해 등록되는 것으로 확인되었다. - https..
[주의] EPS 파일을 이용한 악성 한글 HWP 문서 | 업데이트 필수 우리나라 주요 공공기관과 기업 등 국내 많은 사용자가 이용하는 '한글과컴퓨터'의 한글 워드프로세서를 대상으로 하는 악성 문서파일(*.HWP)이 꾸준히 제작 및 유포되고 있다. 안랩 분석팀은 2016년부터 2018년 말 현재까지 접수되었던 악성 한글 파일의 상당수가 EPS를 이용하여 악성 기능을 수행한 것을 확인하였다. 여기에서 EPS(Encapsulated PostScript)&..
V3 Uninstall 기능을 제거하여 유포되는 GandCrab v5.0.4 현재 자바스크립트 형태(*.js) 로 국내에 유포 중인 GandCrab 의 유포 스크립트 에서 V3 제품 제거와 관련된 코드가 지속적으로 변화 하였는데, 11월 6일 V3 Lite Uninstall 프로그램에 캡차 코드 적용으로 인하여 더 이상 삭제가 불가능 해지자 V3 제품 Uninstall 기능을 제거한 스크립트의 유포가 확인 되었다.[ 그림 1. Captcha 코드가 적용된 Uninstall 프로그램 ]변경된 스크립트에서는 %..
악성 매크로 스크립트를 포함하고 있는 한글 HWP 주의 안랩 분석팀은 11월 16일(금) 악성 매크로 스크립트를 포함하고 있는 신규 한글 HWP 파일을 수집하였다. 최근 지속해서 발견되고 있는 악성 한글 파일이 EPS를 이용하고 있는 상황에서, 이번 한글 파일은 매크로 스크립트 방식을 다시 이용 하였다는 점이 독특하다. 매크로 스크립트를 포함한 악성 한글 파일은 2007~2008년에 유행하였다가 2015년에 다시 발견되는 등 비정기적으로 수집되고 있는데, 향후 이와 같은 방식의 한글 파..
이력서를 가장하여 유포중인 GandCrab 랜섬웨어 (2018.11.15) 11월 15일(목) 국내 사용자를 대상으로 입사 지원서를 가장한 갠드크랩 랜섬웨어 유포 시도가 확인되었다. 이메일을 통해 유포되고 있으며, 첨부파일이 아닌 외부 링크를 통해 *.DOC 형식의 문서를 다운로드 받도록 유도한다. 다운로드 받은 워드 문서파일에 포함된 악성 매크로 코드에 의해 갠드크랩 랜섬웨어가 다운로드 및 실행되는 구조이다. 아래의 [그림-1]은 11월 15일에 유포된 이메일의 내용이며, 이력서 다운로드 클릭 시 "donghakacade..
SEON 랜섬웨어 주의 (Fileless 형태) 안랩 ASEC은 Powershell로 동작하는 SEON 랜섬웨어를 발견하였다. 해당 방식은 7월에 발견된 "파워쉘 스크립트를 이용한 GandCrab 랜섬웨어의 유포 "(http://asec.ahnlab.com/1141)와 동일하게 파일리스(Fileless)로 동작한다.Greenflash Sundown Exploit Kit 을 통해 악성 스크립트가 동작하면서 SEON 랜섬웨어가 실행된다. [그림 1]과 같이 악성 스..
[주의] 복구 불가능한 GandCrab v5.0.4 국내 유포 중 주말 사이 GandCrab 제작자는 Bitdefender의 복구 툴을 우회하기 위하여 v5.0.4를 배포하였다. 금일 수집된 v5.0.4로 복구 시도 시 다음과 같이 실패하게 된다. [그림-1] GandCrab v5.0.4감염 시스템 복구 실패 화면 또한 V3 Lite제품에 대한 삭제 행위도 자사 행위 탐지 우회를 위해 기존과 다른 방식으로 변경되었다. [그림-2] V3 Lite 언인스톨 관련 코드(GandCrab v5.0.4) 행위 주체를 ..