Widia ScreenLocker

1. 개요 최근 기존 랜섬웨어와 다른 방식인 다른 스크린락커(ScreenLocker)가 유포되고 있다. 스크린락커는 기존의 랜섬웨어와 다르게파일을 암호화하는 것이 아닌 감염 PC의 화면을 잠금으로써 PC를 사용하지 못하게 하고 금전, 금융정보 등을 요구하는 악성코드다. 아래 그림처럼 PC의 화면을 잠근 뒤 카드 정보를 요구한다. Alt + F4 를 누르면 종료되지만, 작업관리자와 explorer.exe 가 실행되지 않아 사실상 PC를 사용할 수…

WannaCryptor 공개된 자료 정리

WannaCry 정보정리 이 글은 https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168 를 번역한 내용입니다. 개요 알려진 이름 : WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY 감염벡터 : MS-17-010 패치 안된, WIN10 이하 모든버전의 윈도우, 자가전파에 EternalBlue1 MS17-010 사용 몸값 : $300 ~ $600, 샘플 내 ‘rm'(remove) 명령어 존재, 샘플 충돌시 리셋하기 위한 것으로 추정 백도어 : 전파를 위해 감염PC 내 존재하는 RDP 세션에…

중국발 공격예고

개요 보안뉴스에 따르면 중국 최대 해커조직인 홍커연맹이 28일 한국 웹사이트 공격계획을 세우고 있는 사실이 알려지며 파장을 일으키고 있다. 홍커연맹은 지난 3월초 롯데의 사드 부지 제공 문제로 롯데 관련 사이트와 한국 웹사이트를 타깃으로 무차별 해킹 공격을 감행한 전적이 있다. 아직까지 홍커연맹과 이 공격 준비와의 정확한 연관관계는 파악되지 않았으나, 중국내 보안동향 및 위협분석 전문업체 씨엔시큐리티는 “게시물 작성자가…

NanoCore RAT

개요 최근 국내에 나노코어(NanoCore) 기반 악성코드가 정상 프로그램으로 위장해 유포되고 있다. 나노코어는 해외에서 제작된 상용 프로그램으로 플러그인 방식을 사용해 기능을 추가/제거 할 수 있다. 이 점을 악용해 악성 플러그인를 제작해 유포하고 있다. 기사원문 아래의 사진은 실제 나노코어 악성코드를 설치하는 방법과 사용법 등을 동영상으로 찍어 올린 글이며, 다운로드 URL도 함께 작성이 돼있다. 이 처럼 간단한 검색만으로도…

RIG EK를 통해 유포되는 Revenge 랜섬웨어

개요 Broad Analysis 는 RIG EK 을 이용 Revenge 랜섬웨어를 유포중인 정황을 포착했습니다. 이 랜섬웨어는 랜섬노트에 한글을 지원하는 특징을 보입니다. 감염사이트 Revenge 랜섬웨어는 CryptoMix 의 변종 혹은 새로운 버전입니다. 해킹된 사이트1 는 악성 iframe 이 삽입되어 RIG EK의 랜딩페이지로 사용자를 리디렉션 시킵니다. width, height 0의 iframe 안에 EK 로 리디렉션 되는 페이지를 삽입하는 방식은 사이트에…

VenusLocker Ransomware

1. 개요 최근 들어 한국을 겨냥한 랜섬웨어가 늘고 있다. 그중 비너스락커(VenusLocker) 랜섬웨어가 일정표로 위장해 유포되고 있어 사용자들에게 각별한 주의가 요구된다. 비너스락커 랜섬웨어는 바로 가기 파일 생성 시 확장자가 보이지 않는 점을 이용해 파일명에 .doc 를 붙여 워드 문서로 위장했다. 이는 정상 파일로 보이기 때문에 사용자는 아무 의심 없이 파일을 실행할 수 있다. 본 보고서는 비너스락커…

Mirai for Windows

개요 지난 2016년 10월 21일 DNS 서비스 제공업체 다인(Dyn)이 대규모 DDoS(Distributed Denial of Service, 분산서비스거부) 공격을 받아 트위터(Twitter), 넷플릭스(Netflix), 뉴욕타임즈(The NewYork Times, NYT) 등 총 76개의 사이트가 일제히 마비되거나 서비스가 지연되는 사건이 발생했다. 국내에서도 Mirai 악성코드에 의한 피해가 발생하였는데 2016년 9월경 국내 ISP의 국제 관문 망에서 해외 특정 서버로의 트래픽이 과다 발생한 사례이며, 이 사고…

중국인 이력서로 위장한 HWP 악성코드

1. 개요 하우리에 따르면 지난 2월 6일 한국계 중국인 이력서로 위장하여 이메일을 통해 유포된 것으로 보이는 악성파일 ‘이력서-이광희.hwp’ 가 포착되었다. 신년을 맞아 인력수급이 한창인 지금 최근 급증하는 한글파일로 위장한 악성코드 중 하나인 이 악성코드를 분석하고, 대응책을 알아보겠다. 관련기사: http://www.asiae.co.kr/news/view.htm?idxno=2017020616551290957 2. 파일정보 항목 내용 파일명 이력서-이광희.hwp 파일 타입 HWP 파일 크기 24,576 bytes MD5 16a3f7b7191fc3c70b3a9aad7dd44a25 설명…

Debugging Malicious ASP

악성코드 분석가를 위한 ASP 분석환경 구성 최근 웹서버에 업로드된 악성 ASP 웹쉘파일을 분석할 일이 있었습니다. 다행히 윈도우 분석환경은 마련되 있었기에 ASP 분석을 위한 설정만 추가하면 되어 쉽게 해결할 수 있었습니다. 악성 웹쉘은 보통 PHP나 ASP로 많이 작성돼있습니다. 이번 기회에 ASP를 위한 분석환경 구성법을 문서화하면 좋겠다 싶어 이 글을 작성합니다. 환경구성은 앞으로 아래와 같은 순서로 진행될…

Malicious SVG files

1. 개요 최근 SVG1 파일포맷을 이용한 악성코드 유포가 다시 인기를 끌고 있다. SVG 는 2차원 벡터 그래픽을 표현하기 위한 XML2 기반 파일 형식으로, 개방형 표준3형식을 지켜 많은 그래픽 편집도구에서 이 파일포맷을 지원한다. 또한 IE 9 을 포함한 대부분의 웹 브라우저에서 SVG 를 지원하기에 별도의 그래픽 편집도구 없이도 이 파일을 열 수 있다. 문제는 이 SVG…