본문 바로가기

벌새::Analysis

벌새::Analysis 2019. 3. 16. 19:56 디스크 포맷과 파일 삭제를 시도하는 Mongolock 랜섬웨어 정보 (2019.3.16) 일반적으로 랜섬웨어(Ransomware)의 대표적인 행위는 파일 암호화(File Encryption)를 통해 열 수 없도록 한 후 돈을 지불할 경우 복호화 도구를 제공하는 방법 또는 MBR (Master Boot Record) 변조를 통한 부팅 자체를 방해하여 복구키를 구입하도록 유도하는 경우가 있습니다. 그 외에 간혹 디스크 암호화(Disk Encryption)를 통해 다른 파티션 또는 드라이브에 접근할 수 없도록 비밀번호를 걸어두는 경우도 존재합니다. 그런데 2019년 1월 초 VirusTotal 서비스에 등록된 Mongolock 랜섬웨어(Ransomware)는 기존의 방식과는 다르게 파일 삭제 및 디스크 포맷을 통해 돈을 요구하는 Wiper 계열 랜섬웨어 사례가 있어서 살펴보도록 하겠습니다. 해당 ..
벌새::Analysis 2019. 2. 12. 20:39 MS Office DDE(동적 데이터 교환) 필드를 악용한 Morty 스파이웨어 유포 주의 (2019.2.12) 최근 수신된 메일 중 MS Word 프로그램의 동적 데이터 교환(Dynamic Data Exchange, DDE) 필드 기능을 악용하여 악성코드를 자동 다운로드하는 방식이 확인되어 살펴보도록 하겠습니다. Microsoft Security Advisory 4053440 : Securely opening Microsoft Office documents that contain Dynamic Data Exchange (DDE) fields 참고로 마이크로소프트(Microsoft) 업체에서는 2017년 11월경에 Microsoft Office 프로그램의 DDE 필드가 포함된 문서와 관련된 보안 권고를 통해 기능을 비활성화할 수 있는 방법을 공개하고 있으며, 현재 MS Word 프로그램은 업데이트를 통해 기본적으로..
벌새::Analysis 2019. 1. 18. 20:38 MS Word 취약점을 이용한 AZORult 악성코드 유포 주의 (2019.1.18) 최근 국내에서 메일 첨부 파일로 전파된 악성 MS Word 문서를 실행할 경우 취약점(Exploit)을 통해 AZORult 악성코드에 감염되는 사례가 확인되어 살펴보도록 하겠습니다. New version of AZORult stealer improves loading features, spreads alongside ransomware in new campaign (2018.7.30) New Wine in Old Bottle: New Azorult Variant Found in FindMyName Campaign using Fallout Exploit Kit (2018.11.21) 참고로 AZORult 악성코드는 러시아어(Russian)를 사용하는 제작자를 통해 서비스되고 있으며, 웹 브라우저, FTP,..
벌새::Analysis 2018. 11. 3. 14:12 KMSAuto Net 정품 인증툴에 포함된 NanoCore RAT 악성코드 주의 (2018.11.3) 마이크로소프트(Microsoft) 업체에서 제공하는 Windows, Office 제품에 대한 인증 기능을 제공하는 KMSAuto Net 정품 인증툴은 기본적으로 다수의 백신 프로그램에서 HackKMS 계열의 진단명으로 탐지하는 경우가 있으며, 이로 인하여 정품 인증툴 사용 시 백신 탐지를 무시하는 경향이 강합니다. KMSpico 윈도우 정품 인증툴로 위장한 Domino 랜섬웨어 주의 (2016.8.29) KMSPico 정품 인증툴 설치 시 추가되는 가상 화폐 채굴 기능 주의 (2017.12.24) 하지만 이런 점을 이용하여 정품 인증툴에 악성코드를 추가하여 유포하는 사례도 분명히 존재한 것이 사실입니다. 이번 글에서는 2018년 5월경에 유포가 확인된 KMSAuto Net 정품 인증툴에 포함된 NanoC..
벌새::Analysis 2018. 10. 21. 20:31 Windows Update.exe 파일을 찾을 수 없다는 메시지 해결 방법 (2018.10.21) 2018년 10월 중순경부터 Monero 채굴 기능을 가진 기존의 Windows Defender.exe 악성 파일을 통해 대체한 Windows Update.exe 악성 파일이 유포된 부분이 발견되어 살펴보도록 하겠습니다. run.vbs / Windows Defender.exe 파일을 찾을 수 없다는 메시지의 정체 (2018.9.5) 당시 분석글을 작성하면서 정확한 감염 방식을 언급하지 못하였는데, 최근 추가적으로 확인된 정보를 통해 크랙(Crack) 파일로 위장하여 유포된 것을 알 수 있었습니다. 이번 역시 비슷한 방식으로 유포되었을 것으로 추정되며 해당 글을 작성할 수 있도록 악성 설치 파일을 빠르게 찾아 제공해주신 분에게 감사를 드립니다. 우선 설치 과정 일부를 살펴보면 RAR SFX 악성 설치 파일..
벌새::Analysis 2018. 9. 29. 14:45 엑셀(Excel) 파일로 위장한 정보 수집 악성코드 유포 주의 (2018.9.29) 최근 파일 공유 서비스를 통해 유포가 이루어진 것으로 추정되는 Microsoft Excel 파일 아이콘으로 위장한 정보 수집용 악성코드가 발견되어 살펴보도록 하겠습니다. 토렌트를 통한 백도어(Backdoor)가 포함된 "VMware Workstation 11" 버전 주의 (2015.6.17) 마인크래프트(Minecraft)로 위장한 백도어(Backdoor) 유포 주의 (2015.7.6) 서든 어택(Sudden Attack) 계정 정보 수집 목적으로 유포된 오토에임 악성코드 주의 (2017.4.16) 참고로 해당 악성코드는 기존에도 다양한 형태로 유포되었던 변종이 존재하였으므로 참고하시기 바랍니다. "Microsoft Wind" 디지털 서명 사용한 악성 파일 (SHA-1 : 32c9a6b54572cac5a..
벌새::Analysis 2018. 9. 14. 21:24 PC방에서 플레이되는 고포류 게임을 노리는 악성코드 정보 (2018.9.14) 2018년 8월 말부터 유포되었을 것으로 추정되는 국내에서 서비스되고 있는 고포류 게임을 통해 금전적 수익을 얻는 악성코드가 확인되어 살펴보도록 하겠습니다. 정확한 유포 경로는 확인되지 않고 있지만 기존에 이미 감염된 경로를 통해 패치되는 방식으로 전파가 이루어질 것으로 보이며, 특히 PC방 환경을 고려하여 제작된 것으로 보아 일반 개인 사용자에게는 노출되지 않았을 것으로 보입니다. 확인된 설치 파일(SHA-1 : 3a7fa60a969d9a51a570e74d5ee35a1d30cadfa6 - AhnLab V3 : Trojan/Win32.Downloader.C2433135) 또는 업데이트 파일(SHA-1 : e8ade2580be93921b51ff889130c3464e3b5cf25)을 통해 다음과 같은 사전 ..
벌새::Analysis 2018. 9. 5. 21:32 run.vbs / Windows Defender.exe 파일을 찾을 수 없다는 메시지의 정체 (2018.9.5) 최근 네이버 지식인을 통해 올라오는 질문 중 run.vbs 또는 Windows Defender.exe 파일을 찾을 수 없다는 메시지가 지속적으로 생성되는 문제로 고생하는 분들이 있는 것 같습니다. 실제 어떤 경로로 감염이 이루어졌는지는 알 수 없지만 아마도 토렌트(Torrent) 파일 공유 서비스를 통해 다운로드한 파일을 실행할 경우 몰래 설치된 환경 중 백신 프로그램에 의해 일부 악성 파일이 삭제되어 발생하는 것으로 보입니다. 스크립트 파일 "C:\Users\%UserName%\AppData\Roaming\Windows Defender\run.vbs"을(를) 찾을 수 없습니다. 'C:\Users\%UserName%\AppData\Roaming\Windows Defender\Windows Defender..

티스토리툴바