‘EternalBlue’ SMB 취약점(MS17-010)을 통한 악성코드 감염 확산
최근 SMB 취약점을 이용한 악성코드가 국내 사용자를 대상으로 다시 확산되면서 경각심을 주고 있다. SMB 취약점은 작년 ‘WannaCrypt’ 랜섬웨어(http://asec.ahnlab.com/1067)가 확산되면서 전 세계적으로 이슈된 OS 취약점으로 대대적으로 패치가 이루어졌지만, 몇몇 중소기업이나 복지기관 그리고 결제시스템에 필요한 POS단말기 등 호환성을 위해 아직 패치되지 않은 낮은 버전의 OS를 사용 중인 시스템들은 해커들로부터 공격 대상이 되고 있다. 대표적으로 6월 말쯤 발생한 POS장비 인터넷 마비 사건 또한 이
VB6 외형으로 유포 중인 헤르메스 랜섬웨어 v2.1
지난해 말부터 시작하여 꾸준히 유포되고 있는 헤르메스 랜섬웨어 2.1은 기능적으로 큰 변화가 없으며, 이에 따라 구현된 내부 PE(Portable Executable) 파일도 유사한 형태를 가진다. 하지만 외형의 경우 아이콘이나 무의미한 문자열 같은 리소스, 데이터가 랜덤하게 다양한 값을 가지기 때문에 형태 뿐만 아니라 크기까지도 매우 상이한 형태로 유포되었다. 최근 유포되고 있는 헤르메스 랜섬웨어
동일 URL에서 유포되는 Hermes v2.1과 GandCrab v4 랜섬웨어
자사에서는 금주 동안 악성 문서가 첨부된 메일을 통해 Hermes v2.1과 GandCrab v4 랜섬웨어를 유포 중임을 확인하였다. 문서는 비밀번호를 필요로 하며, 해당 비밀번호는 아래와 같이 메일에 명시 되어있다. [그림1] – 악성 문서가 첨부 된 메일 비밀번호 입력 후 문서가 열리면 매크로를 활성화 하라는 내용을 확인 할 수 있다. [그림2] – 암호 입력을 필요로 하는 악성
음란물과 함께 유포되는 GoBot2 악성코드 주의
2018년 6월 초부터 음란물과 함께 악성코드가 활발히 유포되고 있는 것을 확인했다.해당 악성코드는 음란 게시글을 이용해 사용자들에게 *.zip 파일을 다운받게 유도했고, 다운받은 zip을 풀어 실행할 경우 실제 음란 사진 또는 음란 동영상이 실행되어 사용자가 악성코드에 감염된 사실을 인지하지 못하게 한다. [그림-1] 6월 20일 자 업로드 된 음란 게시글 [그림-1]과 같은 게시글에서
GrandSoft 익스플로잇 킷을 통한 갠드크랩 랜섬웨어 유포
최근 웹 익스플로잇 킷을 통해 국내에 유포되는 대표적인 랜섬웨어는 매그니베르 랜섬웨어이다. 하지만 최근 그랜드소프트(GrandSoft) 익스플로잇 킷을 통해 갠드크랩 랜섬웨어도 유포되기 시작했다. 그랜드소프트 익스플로잇 킷은 랜섬웨어를 유포하는데 웹사이트 취약점(CVE-2018-8174) 을 사용한다. 따라서 Internet Explorer 버전이 취약한 경우, 웹 사이트 접속하는 것 만으로 랜섬웨어에 감염될 수 있다. [그림 1] 그랜드소프트(GrandSoft) 익스플로잇 킷 취약점 스크립트
Fileless 형태 매그니베르 랜섬웨어 인젝션 대상(불특정 프로세스) 변경
지난 주말(6월 9일) ASEC은 랜섬웨어 유포지 모니터링 작업 중 파일리스 형태의 매그니베르 랜섬웨어의 인젝션 대상이 변경된 것을 확인하였다. 매그니베르 랜섬웨어는 이전에 확인된 것 처럼 매그니튜드 익스플로잇 킷을 사용하고 있으며, CVE-2018-8174 취약점을 사용하여 쉘코드를 실행한다. 실행된 쉘 코드에 의해 매그니베르 랜섬웨어가 동작하면, [그림 1]처럼 실행중인 프로세스 목록 중 [표 1]의 권한이 있는 대상에 인젝션을 수행
Fileless 형태 매그니베르 랜섬웨어 재등장
지난 주말 ASEC은 랜섬웨어 유포지 모니터링 작업 중 파일리스 형태의 랜섬웨어가 갠드크랩에서 매그니베르로 바뀐 것을 확인하였다. 4월 11일 이후 매그니베르 랜섬웨어가 재등장한 것은 53일 만이다. 매그니베르 랜섬웨어는 매그니튜드 익스플로잇 킷을 사용하는 것을 확인하였으며, 동작 방식은 [그림 1]과 같다. [그림 1] 파일리스 형태의 매그니베르 랜섬웨어 유포 및 동작 방식
이력서를 가장해 유포되는 GandCrab 랜섬웨어 주의
1. 요약 2018.05.09 오후부터 채용 정보사이트에 기재된 인사담당자를 대상으로 한 이력서 형태의 랜섬웨어가 집중 유포되고 있다. 입사지원자를 사칭한 메일로 인사담당자가 메일 본문에 포함된 링크를 클릭하면 랜섬웨어 다운로드 페이지로 연결된다. 해당 페이지에서 이력서로 위장한 압축 파일을 다운로드 받아 실행 시 GandCrab 랜섬웨어에 감염된다. [그림1 유포_경로] 2. 유포 및 감염 방법 사회공학
Fileless 형태로 유포되는 GandCrab v3.0
GandCrab 랜섬웨어는 최근 Magnitude 익스플로잇 킷을 통해 Fileless 형태로 유포 중임이 발견되었다. 이전 블로그에도 게시했던 것처럼 Magniber 유포지 확인 중 새로운 버전의 GandCrab v2.1이 유포 됨을 확인한바 있다. 이와 관련하여 자사에서는 금주부터 GandCrab v3.0이 Magnitude 익스플로잇 킷을 통해 Fileless 형태로 유포 중임을 추가 확인하였다. [그림 1] 4월 30일 유포과정 구조도 [그림 2] 5월 2일 유포과정 구조도 [그림 1]과 [그림2]는 각각 4월 30일,
GandCrab V2.1 랜섬웨어 (내부 버전 “version=3.0.0”)
현재까지 GandCrab 랜섬웨어의 유포는 익스플로잇 킷(Exploit Kit)을 통한 유포와 'OO지원서' 'OO내용증명' 등의 이메일 첨부 파일을 이용한 유포 방식이 주로 확인되었다. 이러한 유포 방식과 더불어 GandCrab 랜섬웨어 파일을 구동하는 방식 또한 다양하게 확인되고 있다. 금주 자사에서는 실질적인 랜섬웨어 기능을 하는 GandCrab DLL이 svchost.exe에 인젝션되어 동작하는 변형을 발견하였다. explorer.exe에 인젝션하여 동작하였던 기존의 방법과는 차이를 보인다.
