미분류

지난 ‘랜섬웨어 다운로드 목적의 플래시파일 (SunDown EK)’ (http://asec.ahnlab.com/1048) 글에서 소개한 것처럼 Exploit Kit (Exploit Kit – 웹 서버에서 동작하는 공격용 소프트웨어, 이하 EK) 을 통해 유포되는 플래시 파일 중 내부에 암호화된 플래시 파일을 가지고 있는 유형에 대해서 소개하고자 한다. 해당 플래시 파일 역시 랜섬웨어 다운로드 목적일 것으로 추정된다. 플래시 파일

최근 Microsoft Office Word 문서 파일 내부의 사용자 정의 폼을 이용한 악성코드가 스팸 메일과같은 사회적 공학 기법 (Social Engineering) 을 이용하여 유포되고 있으므로 사용자의 각별한 주의가 필요하다. 해당 악성코드는 VBA (Visual Basic for Applications, Microsoft Office 응용프로그램의 확장을 위한 프로그래밍 언어) 매크로를 이용하여 사용자 정의 폼 내부 암호화된 쉘코드(Shellcode)와 내부에

2016년 11월 8일, Microsoft 에서 OpenType 폰트 취약점 관련하여 보안패치를 배포하였다. (MS16-132, CVE-2016-7256) 해당 취약점은 국내에서 최초 발견 및 보고된 것으로 피해를 예방하기 위해 아래의 보안패치를 적용하는 것이 필요하다. [보안패치] https://technet.microsoft.com/ko-kr/library/security/mt674627.aspx   OpenType 폰트는 Microsoft 와 Adobe 가 함께 개발한 폰트 형식으로, .otf 또는 .ttf 확장자를 갖는다. 폰트의 모양새를 결정하는

최근 ‘Cerber’ 이름의 랜섬웨어를 다운로드 받는 악성 플래쉬(Flash) 파일이 다량으로 유포되고 있어 사용자의 주의가 요구된다.  본 글에서는 이러한 플래쉬 파일에서 2차 악성 실행파일을 다운로드 하기 위해 쉘코드(Shell Code)를 사용하는 사례를 소개한다. [그림 1]과 같이 irrcrpt 이름의 함수를 사용해 암호화 되어 있는 문자열 데이터(“FC590101”)를 복호화 하면 [그림 2]와 같은 쉘코드를 확인할

4월 11일 발견된 Locky 랜섬웨어를 다운로드하는 악성코드에서 “CVE-2015-1701” 취약점이 사용된 것이 확인되었다. “CVE-2015-1701” 취약점은 2015년 4월, 'Operation RussianDoll' 이름으로 명명된 러시아발 APT(Advanced Persistent Threat) 공격에 사용되어 알려진 취약점이다. 참고로 Locky 랜섬웨어는 발견 당시부터 현재까지 윈도우 설치언어가 러시아어 인 경우, 동작하지 않는 특징을 갖는다. 즉, Locky 랜섬웨어는 러시아에서 제작/배포되는 것으로 추정되며, APT 공격에 사용된 취약점이 랜섬웨어에서도

컴퓨터 파일을 인질로 삼은 후 돈(비트코인)을 요구하는 랜섬웨어(Ransomware)의 기세가 올해에도 식을 줄을 모르고 있다.  2월부터 꾸준히 유포되고 있는 Locky 랜섬웨어에 이어 파일을 암호화한 뒤 스크립트를 이용해 목소리로 사용자에게 친절하게 비트코인을 요구하는 “Cerber 랜섬웨어”(이하 Cerber)의 감염 사례가 최근 꾸준히 접수되었다. Cerber의 유포경로는 주로 광고 서비스의 정상적인 네트워크를 이용하여 악성코드를 유포하는 “멀버타이징(Malvertising)”으로 알려져 있으며, “러시아 지하 시장”에서는 Cerber가 해커들에게 활발하게 판매되고 있는 것으로 파악된다.  Malvertising 에 사용된 도메인 일부는

3월부터 현재까지 Locky 라는 이름의 랜섬웨어의 국내감염 사례가 지속적으로 발생하고 있다. 국내뿐 아니라 해외 여러 보안업체에서도 이러한 Locky 랜섬웨어 대응을 위한 다양한 시도들이 진행되고 있으며, 제작자 또한 이를 우회하기 위해 기존의 동작방식에 변화를 주는 추세이다. 본 글에서는 최근 국내접수 Locky 를 통해 확인한 변화내용 3가지를 소개하고자 한다.   1. DGA (Domain

최근 다양한 경로를 통해 유포되고 있는 신종 Locky (록키) 랜섬웨어로 인한 피해가 급증하고 있어 사용자의 각별한 주의가 요구되고 있다.  Locky 랜섬웨어는 주로 이메일 첨부파일에 가짜 송장 파일이나 급여 명세서와 같이 사용자의 호기심을 불러 일으키는 파일을 포함하여 사용자로 하여금 의심없이 파일을 실행하도록 하는 사회공학적 기법을 사용하여 유포된다. 이메일 첨부파일은 오피스 문서인 Excel(엑셀) 및 Word(워드) 파일 내 악성코드를 다운로드 하는 Macro(매크로) 를 포함하는

안랩에서는 2014년 5월부터 2015년 7월까지 1년 넘게 특정 그룹이 동일한 유형의 악성코드를 이용해 국내 여러 기관과 기업을 공격하고 있음을 파악했다. 악성코드 내부에서 공통적으로 볼 수 있는 ‘BM’과 코드를 자세히 살펴봐야 실제 기능을 파악할 수 있다는 의미에서 이 공격을 ‘검은 광산 작전 (Black Mine Operation, 블랙 마인 오퍼레이션)’으로 명명했다. Bmdoor 발견

지난 2015년 5월 12일 한글 프로그램 최신 패치버전에서 동작하는 제로데이 취약점 파일이 접수되어 사용자의 각별한 주의가 요구된다. 취약점이 발생하는 프로그램은 한글2007, 2010, 2014 버전이 모두 해당되며 2015년 3월 31일 업데이트 된 최신 패치가 적용된 상태에서도 동작하도록 제작되었다. 취약점 발생 이후에는 다운로더 기능의 악성파일을 생성하며 주기적으로 특정 사이트로 접속을 시도한다. V3 에서는