미분류

최근 갠드크랩 랜섬웨어는 악성 문서를 포함한 피싱 이메일, 유틸리티 피싱 다운로드 페이지 등으로 활발하게 유포되고 있다. 안랩 ASEC은 해당 유포방식을 모니터링 중 국내 백신에 대한 진단 우회 시도를 포착하였다.   해당 유포 스크립트는 지난 글에서 언급하였듯이 과거에 백신(V3Lite)을 종료시키는 무력화를 시도했던 이력이 있다. 새롭게 진단 우회를 시도하는 유포 악성코드는 자바스크립트(JS) 유형으로 과

2019년 1분기 샘플건수는 33만6천건으로, 2018년 4분기 42만8천건 대비 21.3% 감소 하였다. 감염 리포트는 1분기 14만건으로 직전 분기 7만6천건 보다 84.1% 증가 하였다. 샘플건수 감소 원인은 그 동안 감염 리포트 건수가 현저히 적은 Teslacrypt 와 Nabucur 랜섬웨어를 2019년 1분기 통계에서부터 제외 했기 때문이다. Teslacrypt 의 1분기 샘플건수는 28만9천건 이지만 감염 리포트

안랩 ASEC은 최근들어 국내 코인업체를 대상으로 타겟하여 이메일 첨부파일(DOC, RTF, VBS, EXE 등 다양) 형태로 'Amadey' 이름의 악성코드 공격이 빈번하게 시도됨을 확인하였다. 현재까지 공격에 사용된 문서파일 및 실행파일의 이름은 다음과 같다.   – Crypto Market Predictor for Desktop V2.13.exe – Price list on blockchain 24.03.2019.exe – Price list coins 26.03.19.bat

틱 그룹(Tick Group)은 볼드나이트(Bald Knight), 브론즈 버틀러(Bronze Butler), 니안(Nian), 레드볼드 나이트(RedBaldKnight) 등으로도 불리는 공격 그룹으로, 지난 2014년부터 본격적인 활동이 포착되었다.  이 그룹이 처음 알려진 것은 2013년 어도비 플래시 플레이어 제로데이 취약점인 CVE-2013-0633과 CVE-2013-0634를 이용한 레이디보일(Ladyboyle) 이다.   2016년 4월 시만텍(Symantect)이 처음으로 이 그룹을 ‘틱(Tick)’으로 명명 했으며, 같은 해 11월 일본의 보안 업체인 LAC 에서 이 그룹의 일본 활동을 공개했다.  2017년 6월에는 시큐어웍스(SecureWorks)에서 브론즈 버틀러(Bronze Butler) 라는 이름으로 이 그룹의 활동을 공개하고, 같은 해 7월 팔로알토 와 11월 트렌드마이크로 에서 추가 정보를 공개했다. 2018년 6월 팔로알토 유닛42는 이 그룹이 한국의 보안 USB에 대한 공격도 시도했다고 밝혔다.   2014년 이후에는 주로 한국과 일본 기관 및 기업에 대한 공격을 시도하고 있다. 다만 이 보다 앞선 2008년 국내에서 해당 그룹과 관련된 악성코드가 발견된 바 있어 이 그룹의 국내 공격은 상당히 오랫동안 지속되었을 가능성이 있다.  이 그룹은 한국과 일본의 IT 환경을 연구해 공격을 전개하고 있다. 일본에서 주로 사용되는 제품의 취약점을 이용해 악성코드를 감염시켰으며, 한국에서는 취약점 공격 외에도 국산 백신이나 보안 USB 제품을 공격하는 등 다양한 공격을 시도하고 있다.   이 그룹이 일본에서 전개한 공격에 대해서는 잘 알려져 있으나 상대적으로 한국에서의 활동에 대해서는 알려진 것이 적다.    관련 내용은 다음 주소에서 확인 할 수 있다.   – 한일 양국에서 전개되는 타깃 공격의 실체 https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=28186   – Tick Group 공격 동향 보고서 전문 (PDF) http://download.ahnlab.com/kr/site/library/[Analysis_Report]Tick__Threat_Group.pdf

안랩 ASEC은 최근 국내 사용자를 대상으로 악성코드를 다운로드 받는 악성 vbs 스크립트 파일과 워드 문서 파일을 확인하였다.   공격자는 다음과 같이 “0328_크립토***”라는 이름을 갖는 압축 파일을 메일 첨부 파일로 유포한다. 압축 파일 내부를 보면 “주식회사 크립토***_세무조정계산서(추가).doc” 악성 문서 파일과, “참고사항.doc               .vbs”라는 이름을 갖는 악성 vbs 스크립트가 들어있다. 메일에 첨부된 압축

2019년 3월 25일, ASUS 소프트웨어 업데이트 서버가 해킹되어 유효한 인증서를 포함한 악성코드 유포가 Kaspersky Lab 에 의해 보고되었다. Kaspersky는 이러한 공격을 “Operation ShadowHammer” 로 명명하였으며, ASUS 업체에는 2019 년 1 월 31 일 공격에 대한 정보를 전달한 것으로 알려졌고, 최초 공격은 2018 년 6 월에서 11 월 사이에 시작된 것으로 추정된다. 공격을 받은 ASUS Live Update는 대부분의 ASUS 컴퓨터에 설치되어 BIOS, UEFI, 드라이버 및 응용 프로그램과 같은 구성 요소를 자동으로 업데이트하는 데 사용되는 유틸리티이다. Kaspersky의 통계에 따르면 57,000 명이 넘는 Kaspersky 사용자가 ASUS Live Update의 백도어 버전을 다운로드하여 설치한 것으로 알려졌으나, 실제로는 전 세계적으로 백만 명이 넘는 사용자에게 영향을 미칠 것으로 예상된다. Kaspersky에서 공개한 ASUS Live Update 설치파일(md5: aa15eb28292321b586c27d8401703494)을

안랩 ASEC은 최근 Gandcrab v5.2에서 새로운 방식의 동적 분석 우회 기법이 사용되는 것을 확인하였다. Gandcrab에서 사용되는 동적 분석 우회 기법은 이전 블로그에서도 다룬 바 있다.   – GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 [ https://asec.ahnlab.com/1202 ]   이전 글에서 다룬 시간 지연 방식은 SetTimer() API 함수 즉 타이머를 이용한 방식이었다. 동적 분석 환경에서는 샘플에서 이러한 API가

2017년 5월 12일 스페인, 영국, 러시아 등을 시작으로 전 세계를 ‘랜섬웨어 공포’로 몰아넣었던 ‘워너크립터’(일명 워너크라이) 사태가 발생한지 대략 2년이라는 시간이 지났다. 당시 전 세계 150여개국에서 최소 30만대 이상의 컴퓨터 시스템을 감염한 것으로 알려졌으며, 국내에서는 21곳의 기관 및 기업이 피해를 입은 것으로 보고되었다. 피해 시스템들은 모두 SMB(포트번호: 445) 서비스를 사용하고 있었으며, 2017년

안랩 ASEC은 3월 21일 한국 경찰을 사칭하여 유포되는 Gandcrab 다운로더 문서를 발견하였다. 이 전 글과 동일하게 cmstp.exe를 통해 Windows Sript Componet(.sct) 형태의 파일을 다운로드 받아 Gandcrab이 실행된다. – 워드 문서파일에 의한 GandCrab 랜섬웨어 유포 중 (Pastebin 이용) https://asec.ahnlab.com/1210 [그림 1] 워드 문서 다른점은 http://pastebin.com 을 이용하지 않고, http:134.209.88.23/???.txt 주소를 통해 *.sct 파일을 다운로드

안랩 ASEC은 2019년 3월 19일 Gandcrab 랜섬웨어 유포방식의 변화를 확인하였다. 워드문서(ex) 소환장.doc, 알리미.doc) 실행 시 내부 매크로 코드에 의해 Windows Script Component(.sct) 형태의 파일이 Pastebin 사이트를 통해 다운로드되며, 이를 통해  실행파일 형태의 GandCrab 랜섬웨어가 생성 및 실행되는 방식이다. 현재까지 확인된 유포방식은 1)워드 문서파일이 실행 파일을 다운로드하거나, 2)이력서로 가장하여 Gandcrab 실행(“입사지원서.doc (공백) .exe”)을