본문 바로가기

벌새::Analysis

벌새::Analysis 2016. 5. 16. 14:29 드라마 영상 파일로 위장한 파밍(Pharming) 악성코드 유포 사례 (2016.5.16) 최근의 인터넷뱅킹를 노리는 파밍(Pharming) 악성코드는 국내 광고 프로그램이 설치된 사용자를 대상으로 감염을 시키는 방식으로 활발하게 유포가 이루어지고 있는 것으로 보이며, 개인적으로 7개월 넘게 관련 파일을 살펴보지 않던 중에 2014년 11월경에 토렌트(Torrent)를 통해 유포된 사례가 확인되어 간단하게 살펴보도록 하겠습니다. 확인된 유포 파일은 1.2 GB 파일 크기를 가진 "[tvN] 미생.E06.141101.HDTV.H264.720p-WITH.exe" 파일명으로 토렌트(Torrent) 파일 공유 사이트를 통해 유포되었습니다. [tvN] 미생.E06.141101.HDTV.H264.720p-WITH.mp4 cldfaft.exe (SHA-1 : ce704dd03468a038d60731f101..
벌새::Analysis 2016. 5. 15. 14:54 검색 도우미 : 게임플레이 2015년 5월경부터 특정 웹사이트에서 제공하는 ActiveX 방식으로 설치된 것으로 추정되는 Internet Explorer 웹 브라우저의 우측 영역에 광고바를 생성하는 게임플레이 광고 프로그램(SHA-1 : a6fe05930689a350adccd796e8e027a7e7074d50 - AVG : Win32/DH{gVEkWw?})에 대해 살펴보도록 하겠습니다. 생성 폴더 / 파일 등록 정보 C:\Program Files\GamePlay C:\Program Files\GamePlay\gameplay.exe C:\Program Files\GamePlay\gameplaya.dll :: 브라우저 도우미 개체(GamePlayHelper Class) 등록 파일 C:\Program Files\GamePlay\game..
벌새::Analysis 2016. 5. 13. 21:07 MBR 변조 또는 파일 암호화를 수행하는 Mischa 랜섬웨어 주의 (2016.5.13) 2016년 3월에 공개된 PETYA 랜섬웨어(Ransomware)는 Master Boot Record (MBR) 영역을 변조하여 정상적인 Windows 운영 체제 부팅을 방해하여 금전을 요구하였으며 실제 PC에 저장된 데이터 암호화는 진행하지 않는 형태였습니다. MBR 변조를 통해 부팅을 방해하는 PETYA 랜섬웨어 주의 (2016.3.28) 그런데 최근 PETYA 랜섬웨어의 새로운 변종인 Mischa 랜섬웨어가 등장하였으며, 기존과 다르게 실행 시 관리자 권한으로 실행하지 않고 MBR 변조를 수행할 수 있도록 변경되었습니다. 특히 실행 후 사용자 계정 컨트롤(UAC) 알림창을 생성하여 예(Yes), 아니요(No) 선택에 따라 MBR 변조 또는 파일 암호화 행위가 추가된 것으로 확인되고 있습니다. 알려진..
벌새::Analysis 2016. 5. 9. 19:22 어린이 자선 단체에 기부한다는 CryptoMix 랜섬웨어 정보 (2016.5.9) 최근 기존에 사용되던 2종의 랜섬웨어(Ransomware) 메시지 파일명을 사용하는 CryptoMix 랜섬웨어에 감염되어 금전을 입금할 경우 수익금의 일부를 돈을 지불한 피해자의 이름으로 어린이를 위한 자선 단체에 기부한다는 정보가 있어서 살펴보도록 하겠습니다. Security Alert: New Ransomware Promises to Donate Earnings to Charity (2016.5.4) 해당 CryptoMix 랜섬웨어는 기존의 CryptFIle2, HydraCrypt 랜섬웨어의 변종으로 보이며, 보안 패치가 제대로 이루어지지 않은 상태로 악의적으로 조작된 웹사이트 접속 시 자동으로 감염되는 것으로 보입니다. 생성 파일 및 진단 정보 C:\Users\(로그인 계정명)\AppData\Roa..
벌새::Analysis 2016. 5. 7. 22:57 고액을 요구하는 Lock Screen 방식의 7ev3n 랜섬웨어 정보 (2016.5.7) 2016년 1월 20일경부터 해외에서 발견된 7ev3n 랜섬웨어(Ransomware)는 파일 암호화 후 Windows 재부팅을 강제로 진행한 후 Lock Screen 방식으로 PC 사용을 차단한 후 680만원 상당의 고액을 요구하는 사례가 있어서 살펴보도록 하겠습니다. 생성 파일 등록 정보 C:\Users\(로그인 계정명)\AppData\Local\bcd.bat :: 작업 스케줄러(uac) 등록 파일 C:\Users\(로그인 계정명)\AppData\Local\del.bat :: 드랍퍼(Dropper) 삭제 기능 C:\Users\(로그인 계정명)\AppData\Local\system.exe :: 시작 프로그램(System) 등록 파일, 메모리 상주 프로세스 C:\Users\(로그인 계정명)\AppData\..
벌새::Analysis 2016. 5. 5. 18:29 네덜란드 언어로 작성된 메일을 통한 Locky 랜섬웨어 유포 주의 (2016.5.5) 2016년 3월경부터 대규모 스팸(Spam) 메일을 이용하여 .locky 확장명으로 파일 암호화를 수행하는 Locky 랜섬웨어(Ransomware)가 최근까지도 여전히 유사한 수법으로 유포되고 있습니다. A New Variant of Locky Leaking Out (2016.5.4) 특히 Locky 랜섬웨어는 변화된 통신 방식과 새로운 암호화 알고리즘이 적용되었다는 Fortinet 보안 업체의 분석이 공개된 상태입니다. 오늘 확인된 Locky 랜섬웨어 유포에서는 네덜란드(Netherlands) 유명 호스팅 업체에서 발송한 것으로 위장하여 첨부 파일을 다운로드하여 실행하도록 유도하는 사례가 있기에 살펴보도록 하겠습니다. 메일 제목 : Nieuwe factuur (met automatische incass..
벌새::Analysis 2016. 5. 4. 18:02 Amazon Gift Cards 결제 방식을 추가한 TrueCrypter 랜섬웨어(Ransomware) 소식 최근 유포된 랜섬웨어(Ransomware) 중에서는 비트코인(Bitcoin) 가상 화폐 이외의 다양한 결제 방식을 추가하는 경우가 발견되고 있습니다. iTunes Gift Cards 결제 방식을 요구하는 Alpha 랜섬웨어와 복호화 도구 (2016.5.2) 대표적으로 Alpha 랜섬웨어는 iTunes Gift Cards 방식으로 결제를 하도록 유도한 사례가 있으며, 이 글에서 살펴볼 TrueCrypter 랜섬웨어는 Amazon Gift Cards 결제가 포함되어 있습니다. 생성 폴더/파일 및 진단 정보 C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\TrueCrypter C:\Users\(로그인 계정명)\AppData\Roaming\Microsoft\TrueCrypter\..
벌새::Analysis 2016. 5. 2. 14:51 iTunes Gift Cards 결제 방식을 요구하는 Alpha 랜섬웨어와 복호화 도구 일반적으로 파일 암호화를 통해 금전을 요구하는 랜섬웨어(Ransomware)는 비트코인(Bitcoin) 가상 화폐를 통해 결제를 요구하는 경향이 매우 강한데, 최근에는 Amazon Gift Cards (TrueCrypter 랜섬웨어)를 결제 수단으로 추가한 사례가 발견되었습니다. 특히 최근 보고된 Alpha 랜섬웨어 초기 버전(SHA-1 : 2891935a4e1f3fc25c9a7c5e962d0c41705406d3 - Kaspersky : Trojan.Win32.Reconyc.flei)은 iTunes Gift Cards를 결제 수단으로만 사용하는 경우가 발견되어 살펴보도록 하겠습니다. 생성 폴더/파일 및 진단 정보 C:\Users\(로그인 계정명)\AppData\Roaming\Windows\svchost...

티스토리툴바