악성코드 정보

ASEC 주간 악성코드 통계 ( 20211227 ~ 20220102 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2021년 12월 27일 월요일부터 2022년 01월 02일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 42.7%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 35.4%, 다운로더가 14.6%, 랜섬웨어가 4.9%, Ddos가 2.4% 로 집계되었다. Top 1 –  AgentTesla AgentTesla는 20.7%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을 활용하며…

S/W 크랙으로 위장한채 유포되는 Redline Stealer

안랩 ASEC 분석팀은 기존의 블로그 포스팅을 통해 상용 소프트웨어의 Crack, Serial 등의 키워드로 검색되는 악성 사이트로부터 유포되는 악성코드에 대하여 언급하며 사용자의 주의를 당부하였다. 최근 한 기업의 내부 망 침해 사고 조사에서 상용 소프트웨어의 Crack으로 위장한 Redline Stealer 악성코드에 감염되어 기업의 VPN 사이트와 계정 정보가 유출된 사실을 확인했다. 피해 기업에서는 재택 근무 중에 사내 망에 접근할 수 있도록 VPN 서비스를 제공하고 있었으며, 해당 기업의 직원들은 지급된 노트북 또는 개인 PC로 VPN 연결 후 업무를 수행했다. 피해 직원은 웹 브라우저에서 제공하는 비밀번호…

기업의 백신 잠금 정책 미사용으로 인한 Lockis 랜섬웨어 감염 사례

지난 11월경 안랩의 한 고객사에서 다수의 서버가 Lockis 랜섬웨어에 감염된 사고가 발생했다. 피해 업체는 V3 백신을 사용하고 있었음에도 불구하고 랜섬웨어에 감염되어 감염 원인을 파악하기 위해 안랩 A-FIRST가 투입돼 포렌식 분석을 수행했다.  Lockis 랜섬웨어는 “ASEC 블로그 : Lockis 랜섬웨어와 함께 사용된 해킹 툴” 포스팅에서 언급한 바와 같이 GlobImposter 랜섬웨어의 변종으로, 9월 16일에 최초 발견됐다. 안랩에서는 2018년 5월경부터 GlobImposter 류의 랜섬웨어를 진단명 Trojan/Win32.FileCoder로 진단하고 있었고, 9월 16일 등장한 Lockis 랜섬웨어도 진단이 가능한 상황이었다.  피해 시스템에서 확인된 공격자의 공격 순서는 다음과 같다.  1….

Lockis 랜섬웨어와 함께 사용된 해킹 툴

안랩 A-FIRST는 지난 11월경 Lockis 랜섬웨어에 감염된 피해 시스템을 대상으로 포렌식 분석을 수행했다. Lockis 랜섬웨어는 러시아 공격 그룹인 TA505가 사용하는 GlobeImposter 랜섬웨어의 변종으로, 지난 9월 16일 처음 등장했다. GlobeImposter 랜섬웨어는 2017년 2월에 처음 등장한 이래로 꾸준히 변종이 증가해 현재까지 총 192개의 변종이 발견됐다. 공격자는 랜섬웨어 감염을 위해 악성 스팸 메일 발송, 익스플로잇 공격, RDP 접속 등의 공격 기법을 사용하는 것으로 알려져 있다. 현재 Lockis 랜섬웨어는 ‘lockisdog.exe’라는 파일명으로 유포되고 있으며, 파일을 암호화하고 확장자를 ‘.lockis’로 변경한다.  이번 사례에서 공격자는 관리자 계정을 이용해…

ASEC 주간 악성코드 통계 ( 20211220 ~ 20211226 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2021년 12월 20일 월요일부터 2021년 12월 26일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 51.9%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 36.3%, 다운로더가 8.1%, 코인마이너가 2.2%, 랜섬웨어가 1.5%로 집계되었다. Top 1 –  RedLine RedLine 악성코드가 21.5%로 1위를 기록하였다. RedLine 악성코드는 웹 브라우저, FTP 클라이언트, 암호화폐 지갑, PC 설정 등 다양한 정보를 탈취하며 C&C 서버로 부터 명령을…