본문 바로가기

Master Boot Record

벌새::Analysis 2020. 4. 13. 21:02 보안 업체를 사칭하는 MBR 변조 악성코드 유포 주의 (2020.4.13) 2020년 4월 12일경부터 국내외에서 Master Boot Record (MBR) 영역을 변조하여 시스템 부팅을 방해하는 악성코드 2종이 유포되었습니다. C:\Users\%UserName%\AppData\Local\Temp\.tmp.exe 실행된 MBR 악성코드 파일의 위치와 파일명으로 추정해보면 최신 보안 패치가 제대로 설치되지 않은 Windows 7 운영 체제 환경에서 웹 사이트 접속 과정에서 취약점(Exploit)을 이용하여 자동 감염된 것이 아닌가 추정되며, 감염이 확인된 국가는 한국(South Korea), 인도네시아(Indonesia)로 확인되고 있습니다.(※ 해외 정보에 따르면 크랙(Crack) 파일 또는 무료 프로그램에 포함된 제휴 프로그램을 통해 유포되었다고 합니다.) 해당 MBR 악성..
벌새::Analysis 2019. 3. 16. 19:56 디스크 포맷과 파일 삭제를 시도하는 Mongolock 랜섬웨어 정보 (2019.3.16) 일반적으로 랜섬웨어(Ransomware)의 대표적인 행위는 파일 암호화(File Encryption)를 통해 열 수 없도록 한 후 돈을 지불할 경우 복호화 도구를 제공하는 방법 또는 MBR (Master Boot Record) 변조를 통한 부팅 자체를 방해하여 복구키를 구입하도록 유도하는 경우가 있습니다. 그 외에 간혹 디스크 암호화(Disk Encryption)를 통해 다른 파티션 또는 드라이브에 접근할 수 없도록 비밀번호를 걸어두는 경우도 존재합니다. 그런데 2019년 1월 초 VirusTotal 서비스에 등록된 Mongolock 랜섬웨어(Ransomware)는 기존의 방식과는 다르게 파일 삭제 및 디스크 포맷을 통해 돈을 요구하는 Wiper 계열 랜섬웨어 사례가 있어서 살펴보도록 하겠습니다. 해당 ..
벌새::Security 2018. 12. 12. 19:28 일본(Japan)을 비난하는 StupidJapan 랜섬웨어(Ransomware) 정보 (2018.12.12) 최근 국내에서 제작된 것으로 보이는 StupidJapan 랜섬웨어(Ransomware) 정보가 해외에서 공개되었는데 실제 PC에 피해를 주는 악의적인 기능은 포함되어 있지 않지만 제작하게 된 이유를 알 수 있는 메시지가 포함되어 있기에 살펴보도록 하겠습니다. 랜섬웨어 이름에서도 알 수 있듯이 일본(Japan)이 과거의 역사적 잘못에 대해 현재에도 반성을 제대로 하지 않는 부분에 대해 언급하면서 해당 랜섬웨에 의해 파일이 잠긴 경우 일본인(Japanese)이 아닌 경우에는 다음(Daum) 메일로 파일을 보내면 복구키를 제공한다는 내용이 포함되어 있습니다. 또한 일본어로도 작성되어 있는데, 텍스트 기반으로 작성한 것이 아닌 그림 파일로 제작하여 실제 번역기 기반인지 여부는 잘 모르겠습니다. c:\Users\..
벌새::Analysis 2017. 3. 25. 14:51 mp4 동영상으로 위장한 MBR 변조 악성 파일 유포 주의 (2017.3.25) 최근에 토렌트(Torrent) 파일 공유 서비스를 통해 동영상 파일(.mp4)처럼 확장명을 조작한 악성 실행 파일(.exe)이 유포된다는 제보와 함께 실행 시 Master Boot Record (MBR) 변조를 통해 시스템 부팅에 실패하도록 하는 악의적인 행위가 있기에 살펴보도록 하겠습니다. English.srt :: 영어(English) 자막 파일 Fabricated.City.2017.HDRip.1080p.eXe.mp4 :: RIGHT-TO-LEFT OVERRIDE (RLO) 방식으로 유니코드 확장명 조작이 이루어진 악성 실행 파일 Fabricated.City.2017.HDRip.1080p.eXe.nfo :: 동영상 릴리즈 정보 파일 poster.jpg :: 조작된 도시 영화 포스터 사진 파일 제보해준..
벌새::Analysis 2016. 5. 13. 21:07 MBR 변조 또는 파일 암호화를 수행하는 Mischa 랜섬웨어 주의 (2016.5.13) 2016년 3월에 공개된 PETYA 랜섬웨어(Ransomware)는 Master Boot Record (MBR) 영역을 변조하여 정상적인 Windows 운영 체제 부팅을 방해하여 금전을 요구하였으며 실제 PC에 저장된 데이터 암호화는 진행하지 않는 형태였습니다. MBR 변조를 통해 부팅을 방해하는 PETYA 랜섬웨어 주의 (2016.3.28) 그런데 최근 PETYA 랜섬웨어의 새로운 변종인 Mischa 랜섬웨어가 등장하였으며, 기존과 다르게 실행 시 관리자 권한으로 실행하지 않고 MBR 변조를 수행할 수 있도록 변경되었습니다. 특히 실행 후 사용자 계정 컨트롤(UAC) 알림창을 생성하여 예(Yes), 아니요(No) 선택에 따라 MBR 변조 또는 파일 암호화 행위가 추가된 것으로 확인되고 있습니다. 알려진..
벌새::Analysis 2016. 3. 28. 11:32 MBR 변조를 통해 부팅을 방해하는 PETYA 랜섬웨어 주의 (2016.3.28) 최근 해외에서 특정 악성 파일을 실행 시 Master Boot Record (MBR) 전체를 변조하여 정상적인 부팅을 하지 못하도록 한 후 금전을 요구하는 PETYA 랜섬웨어(Ransomware)가 유포된다는 정보가 공개되었습니다. PETYA Crypto-ransomware Overwrites MBR to Lock Users Out of Their Computers (2016.3.24)MBR 영역을 건드리는 Locker 계열은 이전에도 등장한 적이 있었기에 새로운 방식은 아니지만 일단 감염될 경우 복구하기 어렵다는 점에서 다른 방식의 랜섬웨어(Ransomware)보다도 특히 주의해야 합니다.우선 유포 방식은 독일에 위치한 회사를 타켓으로 메일을 통해 이력서를 전송하여 Dropbox에 업로드된 파일을 다운..
벌새::Security 2015. 2. 11. 19:14 2015년 2월 마이크로소프트(Microsoft) 정기 보안 업데이트 (2015.2.11) 마이크로소프트(Microsoft) 업체에서 Windows Update 기능을 통해 매월 정기적으로 제공하는 2015년 2월 정기 보안 업데이트에서는 Microsoft Windows, Internet Explorer, Microsoft Office, Microsoft Server 소프트웨어 제품에서 발견된 56건의 보안 취약점에 대한 9개의 보안 패치가 포함되어 있습니다. 2015년 2월 Microsoft 보안 공지 요약 (2015.2.10) ■ 2015년 2월 정기 보안 업데이트 이슈 정리 1. 공개된 보안 취약점 정보 CVE-2014-8967 : Internet Explorer 메모리 손상 취약성 CVE-2015-0071 : Internet Explorer ASLR 우회 취약성 → 제한적인 사이버 공격..
벌새::CyberCrime 2014. 4. 11. 12:05 고의적인 부팅 불능을 통해 돈벌이를 한 PC 수리업체 적발 소식 (2014.4.11) 최근 경찰청에서 2013년 6월경부터 최근까지 PC 고장으로 출장 수리를 나가는 직원들에게 프로그램을 통해 부팅이 이루어지지 않도록 조작하여 추가적인 수리 비용을 청구하는 방식으로 10,300명으로부터 21억 5800만원의 수익을 챙긴 PC 출장 수리업체를 적발하였다는 소식입니다. ▷ "또 고장?"… PC수리업체가 악성프로그램 심어 '영업' (2014.4.8) ▷ 고객PC에 악성프로그램 심어 장사한 PC수리업체 들통 (2014.4.8) 간혹 인터넷 상으로 수리를 맡긴 고객의 PC에서 부품을 바꿔치기한다는 이야기는 본 적이 있지만, 추가 비용을 지불하게 할 목적으로 프로그램을 이용하여 부팅을 방해하는 사례는 처음보는 것 같습니다. 언론 보도를 종합해보면 네이버(Naver) 포털 사이트 파워 링크 1~2위를..

티스토리툴바