웹하드

국내 유명 웹하드를 통해 유포되는 njRAT 악성코드

njRAT 악성코드는 사용자의 개인 정보를 탈취하며 공격자의 명령을 받아 실행할 수 있는 RAT 악성코드로, 국내에서 개인을 상대로 꾸준히 유포되고 있다. https://asec.ahnlab.com/1367 진단 로그를 분석한 결과 njRAT은 주로 웹하드나 토렌트 등 자료 공유 사이트를 통하여 게임, 인증 툴, 유틸리티 등의 정상 파일로 위장하여 유포되며, 대부분의 경우 원본 프로그램이 실행됨과 동시에 악성코드가 감염되어 사용자 입장에서는 감염 사실을 파악하기 쉽지 않다. ASEC 분석팀은 njRAT 악성코드가 국내 웹하드 사이트를 통해 유포 중인 사례를 소개하고자 한다. 최근 유포된 njRAT의 파일명을 기반으로 역추적한 결과 다음과 같이 국내…

ASEC 보안 위협 동향 리포트 2013 Vol.46 발간

안랩 ASEC에서 2013년 10월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2013 Vol.46을 발간하였다.  이 번에 발간된 ASEC 리포트는 2013년 10월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈 IE 취약점(MS13-080) 주의보! 웹하드 사이트에서 유포된 백도어 악성코드 발견 반복 감염 유발하는 USB 악성코드 발견 일반 사용자에게도 유포된 이력서 첨부 파일 화면보호기 확장자(.scr)를 이용한 악성 파일 2) 모바일 악성코드 이슈 모바일 메신저 피싱 앱 설치하는 악성 앱 등장 암호화된 안드로이드 악성코드의 등장 공공기관 및 기업 사칭 스미싱 증가 3) 보안 이슈 스팸 메일을 발송하는 다리미? PHP.net 해킹으로 인한 악성코드 유포 DNS 하이재킹을 통한 홈페이지 해킹 어도비 해킹 피해자, 3800만 명으로 증가 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. …

6.25 DDoS 공격에 사용된 악성코드 상세 분석

6월 25일 오전 10시에 일부 정부 기관 홈페이지를 대상으로 DDoS(Distributed Denial of Service) 공격을 수행하도록 제작된 악성코드가 발견되었다.  ASEC에서는 해당 DDoS 공격 수행 기능을 가진 악성코드들을 신속하게 확보하여 상세한 분석을 진행 중에 있다. 현재까지 분석된 정보들은 아래와 같으며, 추가적으로 분석된 정보들은 ASEC 블로그를 통해 지속적으로 업데이트 할 예정이다. [업데이트 히스토리] 1) 2013.06.25 – 6.25 DDoS 공격에 사용된 악성코드 상세 분석 내용 최초 작성 2) 2013.06.26 – 6.25 DDoS 공격에 사용된 악성 스크립트 상세 분석 내용 추가 1. 공격 시나리오 특정 웹하드 업체(www.simdisk.co.kr)의 설치 파일(RARSFX)을 변조하여 압축 해제 후 SimDiskup.exe 가 실행 되도록 해두었다.  아래 이미지는 이 번에 유포된 악성코드들의 전체적인 상관 관계를 도식화한 이미지이다. 2. 주요 파일 분석 정보 1) servmgr.exe (4,383,232 바이트) 해당 파일은 전체적인 구조에서 드롭퍼(Dropper) 역할을 수행하도록 제작된 악성코드이다. 해당 파일의 리소스(Resource) 영역에는 다른 PE…

구글 코드 웹 페이지로 유포된 Banki 트로이목마 변형

온라인 뱅킹에 사용되는 개인 금융 정보를 탈취하는 Banki 트로이목마 변형들이 지속적으로 유포되고 있는 것이 금일 새벽 다시 발견되었다. ASEC에서는 Banki 트로이목마 변형이 유포 중인 사실을 7월 11일과 16일 공개하였으며, 그 유포 방식에 있어서도 7월 11일 취약한 웹 사이트를 통해 웹 브라우저와 자바(JAVA) 취약점을 악용한 형태로 유포되었으며, 7월 16일 공개시에는 14일과 15일 주말 사이 사용자가 많은 웹 하드 프로그램의 웹 사이트를 통해 유포되었다. 금일 새벽 다시 발견된 Banki 트로이목마 변형은 아래 이미지와 같이 구글(Google)에서 운영하는 구글 코드 웹 페이지를 통해 유포되었다. ASEC은 구글 시큐리티(Google Security) 팀과 협력으로 현재 Banki 트로이목마 변형이 업로드 되어 있는 해당 구글 코드의 특정 웹 페이지 자체를 삭제한 상태이다. 이번 구글 코드의 특정 웹 페이지를 통해 유포된 Banki 트로이목마 변형은 기존에 발견된 변형들과 유사한 형태로 제작 및 구성 되어 있으며, 아래 이미지와 같은 형태로 동작하게…

웹 하드 설치 파일 변경으로 Banki 트로이목마 변형 유포

ASEC에서는 7월 11일 취약한 웹 사이트를 통해 온라인 뱅킹에 사용되는 개인 금융 정보 탈취를 목적으로하는 Banki 트로이목마 변형이 유포되었음을 공개하였다. 개인 금융 정보 탈취를 목적으로하는 Banki 트로이목마 변형이 7월 14일과 15일 주말 사이 사용자가 많은 웹 하드 프로그램 웹 사이트의 설치 파일을 변경하여 유포된 사례가 발견되었다. 이번에 유포된 Banki 트로이목마 변형은 보안 관리가 상대적으로 취약한 웹 하드 프로그램의 웹 사이트에서 배포 중인 설치 파일을 RARSfx로 악성코드와 정상 설치 파일을 압축한 파일을 배포 중인 정상 설치 파일과 변경하여, 사용자로 하여금 악성코드가 포함된 변경된 설치 파일을 다운로드하도록 하였다. 정상 웹 하드 설치 파일을 변경하여 유포된 Banki 트로이목마 변형이 동작하는 전체적인 구조를 도식화 한 이미지는 아래와 같다. 웹 하드 프로그램의 웹 페이지에서 배포 중인 웹 하드 프로그램의 설치 파일은 RARSfx 파일로 압축된 파일로…