DoppelPaymer 랜섬웨어 동작방식 및 V3 탐지 Posted By ASEC , 2021년 2월 22일 최근 미국의 의료 서비스 및 교육기관을 타깃으로 이슈가 되었던 ‘DoppelPaymer 랜섬웨어’에 관하여 트렌드 마이크로에서 조사 결과를 발표 하였다. DoppelPaymer 랜섬웨어는 해외의 국내 기업까지 피해가 확산되며 이슈가 되고 있다. https://www.etnews.com/20210218000110 https://news.mt.co.kr/mtview.php?no=2021021822141892938 https://www.dailysecu.com/news/articleView.html?idxno=120820 https://www.trendmicro.com/en_us/research/21/a/an-overview-of-the-doppelpaymer-ransomware.html 트렌드 마이크로의 조사에 따르면 DoppelPaymer는 정상 문서파일로 위장한 악성파일(예: EMOTET)의 다운로드 링크 또는 첨부파일이 포함된 스팸 이메일을 통해 유포되며, 실행된 악성코드(예: EMOTET)는 C&C 통신을 통해 [그림 3] 과 같이 Dridex 악성코드를 다운로드 하고 Dridex 악성코드로부터 DoppelPaymer 랜섬웨어가 다운로드 되었다고 설명하였다. 보고서에는 추가적으로 DoppelPaymer 랜섬웨어는 악성 루틴을 실행하기 위해서 실행…
부당 전자상거래 위반행위 사칭하여 Nemty 2.5 랜섬웨어 유포 중 Posted By ASEC , 2020년 1월 6일 2020년 1월 6일 ASEC 분석팀은 Nemty 랜섬웨어가 2.5 버전으로 업데이트 되어 국내에 유포된 것을 확인하였다. 이전과 동일하게 공정거래위원회를 사칭하여 이메일 첨부파일 형태로 유포 중으로 추정되며, 첨부된 파일은 *.alz 형태의 압축파일이며 악성 실행파일을 포함하고 있다. (PDF 문서로 위장된 실행파일) 이러한 Nemty 랜섬웨어는 빠르게 변종이 제작되어 유포되고 있으며, VirusTotal의 시그니처 진단으로 탐지하지 않더라도 V3의 행위탐지, 프로세스 메모리검사 기능에 의해 실행 시점에 탐지 및 차단이 가능하다. 2018년 12월 30일에 유포된 것과 유사한 방식으로 이메일의 첨부파일 형태로 유포된 것으로 추정되며, 2020년 1월 6일에 아래와…
제작자와 채팅기능 유도의 신종 랜섬웨어 국내발견 (.RaaS 확장자) Posted By ASEC , 2019년 12월 24일 ASEC 분석팀은 원본 확장자 이름에 _r00t_{6자_랜덤}.RaaS 를 추가하는 신종 랜섬웨어가 국내에 다수 유포 중인 것을 확인하였다. 이 랜섬웨어는 파라다이스(Paradise) 랜섬웨어의 변형으로 추정되며, 제작된 시간은 PE파일 내부의 Time Date Stamp 정보 상 12월 21일로 최근 임을 확인할 수 있다. 국내에는 12월 23일 첫 피해가 확인되었으며 “wscript.exe” 프로세스에 의해 생성된 것을 볼 때 취약점이나 스크립트 파일에 의해 유포 중인것으로 추정된다. [그림 1] 랜섬웨어가 제작날짜 해당 랜섬웨어는 감염하기 전에 언어 확인, 프로세스 및 서비스 종료 등 몇몇의 작업을 거친 후 파일 암호화를 진행한다….
V3 Lite 4.0 새로운 탐지기능 소개: 매그니베르(Magniber) 랜섬웨어 차단 Posted By ASEC , 2019년 12월 10일 파일리스(Fileless) 형태로 동작하는 매그니베르(Magniber) 랜섬웨어는 2018년 4월에 ASEC블로그를 통해 복구툴을 배포한 후, 암호화 방식의 변화로 2018년 6월부터 현재까지 등장하는 형태는 모두 복구가 불가능한 형태로 유포 중이다. 여전히 국내 피해사례가 많은 상황이며, IE 취약점(CVE-2018-8174)을 통해 유포 중임으로 IE 사용자의 경우 보안패치가 필수적으로 요구된다. ASEC 분석팀에서는 지속적으로 매그니베르 랜섬웨어 유포지를 모니터링하고 있으며, 1)11월 11일 이후 동작방식의 변화를 확인하였다. 어떠한 동작방식의 변화가 있었는지를 설명하고, V3 Lite 4.0 제품에 새롭게 적용된 ‘프로세스 메모리 진단‘ 탐지기능을 통한 2)암호화 차단과정을 소개하고자 한다. 매그니베르 랜섬웨어는 IE 브라우저…
2019년 상반기 랜섬웨어 동향 Posted By ASEC , 2019년 7월 16일 2019년 2분기 샘플 건수는 47만4천건으로, 2019년 1분기 33만6천 건 대비 41.2% 증가 하였다. 증가 원인이 된 랜섬웨어는 GandCrab 과 기타로 분류된 감염 리포트가 적은 랜섬웨어 유형이다. 감염 리포트 건수는 2분기 4만1천 건으로 1분기 14만7백 건 보다 무려 70.7% 감소하였다. 지난 2016년부터 랜섬웨어 통계를 산출하기 시작한 이래 가장 낮은 수치를 보였다. [그림1] 2018.01~2019.06 랜섬웨어 통계 (샘플 및 감염 리포트 건수) 감소 원인은 대표적으로 GandCrab 과 Wannacry 감염보고가 현저히 줄었기 때문으로 파악 되었다. GandCrab 은 3월부터 감염보고 건수가 감소하기 시작하여 6월 최대…
