맬웨어
-
포켓몬고 관련 사이버공격 방지요령카테고리 없음 2016. 8. 4. 13:33
포켓몬고의 인기는 가히 경이로운 수준이다. 포켓몬고는 미국 앱스토어 무료앱 1위를 차지하고있으며 안드로이드 기준으로 유명 소개팅앱 Tinder보다 2배 많이 설치됐다. 일부 조사에 따르면 포켓몬고 일일 사용자수는 트위터와 비슷한 수준이라고 한다. 포켓몬고의 선풍적인 인기는 사이버범죄에도 영향을 끼쳤으며 얼마 지나지 않아 다양한 범죄수법이 개발됐다. 1. 포켓몬고 개발사 Niantic은 앱 자체는 무료 제공하지만 사용자가 PokeCoin이라는 가상통화를 구매하도록 하여 수익을 올린다. PokeCoin은 희귀 포켓몬을 부화시킬 수 있는 알이나 포켓몬을 유혹할 수 있는 아이템 등을 구매하는 데 쓰인다. 사이버범죄자들은 PokeCoin을 제공하는 설문조사를 만들어냈다. 사용자가 설문조사 사이트를 클릭하면 포켓몬..
-
WSF 기반 Zepto 랜섬웨어카테고리 없음 2016. 7. 27. 14:39
ThreatTrack 연구진은 최근 Zepto 랜섬웨어 배포수단으로 윈도스크립트파일(WSF, windows scripting file) 압축파일을 첨부한 스팸이 다량 유포되는 현상을 포착했다. 이 수법은 기존에 흔히 쓰인 자바스크립트나 매크로문서 스팸에서 바뀐 것이다. 아래는 이러한 종류의 소셜엔지니어링(social engineering) 수법을 보여주는 실제 이메일이다. ThreatAnalyzer 분석 위 스팸메일의 WSF를 추출하여 ThreatAnalyzer 맬웨어분석 샌드박스를 통해 분석한 결과는 다음과 같다. WSF에서 문제되는 부분은 스크립트며 따라서 WScript.exe의 요청트리(call tree)가 판단의 주안점이 됐다. 변경된 파일의 수가 많다는 점은 해당 스크립트가 바이러스나 랜섬웨어일..
-
랜섬웨어가 ‘먹히는’ 이유 제2탄: 침투 전략카테고리 없음 2016. 7. 27. 13:46
게시일: 2016-07-05 l 작성자: Trend Micro2016년 상반기는 ‘랜섬웨어의 대활약’ 이라고 요약할 수 있습니다. 온라인 뱅킹 해킹도구 등과 같은 기타 사이버 범죄와 달리, 랜섬웨어는 고급 기술을 보유하고 있지 않아도 쉽게 돈을 벌 수 있는 멀웨어입니다. 따라서 2014년과 2015년 확인된 랜섬웨어가 총 49개였던 것과 비교하여 2016년 6월 말 현재, 이미 50개 이상의 새로운 랜섬웨어 그룹이 확인되고 있습니다.랜섬웨어의 암호화 기술 뒤에 숨겨진 전략을 살펴보는 것 이외에, 침입 전략을 살펴보는 것 또한 중요합니다. 랜섬웨어의 전형적인 침입 전략은 (1) 스팸메일, (2) 변조된 웹사이트 또는 익스플로잇 킷이 포함된 악성 웹사이트 입니다. 위 두 가지 방법은 간단하지만 매우 효과적입..
-
랜섬웨어가 ‘먹히는’ 이유: 암호화 기술 뒤에 숨겨진 전략카테고리 없음 2016. 7. 26. 15:15
랜섬웨어가 ‘먹히는’ 이유: 암호화 기술 뒤에 숨겨진 전략게시일: 2016-06-17 l 작성자: Trend Micro기업은 어떻게 랜섬웨어 공격에 대응할 수 있을까요? 최근 여러 기관에서 랜섬웨어 공격에 대비하여 비트코인을 사들이고 있다는 연구가 있었습니다. 공격 받을 시 빠른 시간 내 중요한 파일을 복구하기 위한 대응책입니다. 하지만 돈을 지불하는 것이 파일 복구를 보장하지 않는 것은 물론이고, 추가적인 랜섬웨어 공격으로 이어질 수 있습니다. 그럼에도 불구하고 랜섬웨어 공격으로 인한 기업 손실과 명예 실추로 인해 추가적인 불이익을 예상한다면, 기업의 이러한 대처를 비난할 수는 없습니다. 지속적인 랜섬웨어의 공격랜섬웨어 피해자가 되지 않기 위해, 이 멀웨어가 어떻게, 그리고 왜 공격을 하는지 이해하는 ..
-
FLocker 랜섬웨어, 스마트TV를 노리다카테고리 없음 2016. 7. 25. 13:53
게시일: 2016-06-15 l 작성자: Echo Duan (Mobile Threat Response Engineer)하나의 플랫폼으로 여러 스마트 디바이스를 사용할 수 있는 것은 삶에 편리성을 가져다 줍니다. 하지만 이 경우, 멀웨어가 1대의 디바이스에 침투하면, 동일한 플랫폼을 공유하는 다른 디바이스도 감염되기 쉽습니다. 최근 유행하는 “FLocker” 랜섬웨어가 이와 같은 경우입니다. 해당 랜섬웨어는 안드로이드 운영체제의 모바일 디바이스를 공격하는 화면잠금형 랜섬웨어이지만, 안드로이드 스마트TV도 감염시킬 수 있습니다. 그림 1. TV 랜섬웨어 화면 2015년 5월, FLocker 랜섬웨어(ANDROIDOS_FLOCKER.A로 명명, Frantic Locker의 줄임말)가 처음 발견된 시기부터 트렌..
-
Cerber 랜섬웨어 공격의 진상카테고리 없음 2016. 7. 22. 15:03
근래 Cerber 랜섬웨어가 오피스365를 노린다고 하여 큰 주목을 받았는데 그 실상은 흔히 알려진 내용과는 약간 다르다. Cerber 랜섬웨어가 오피스365를 공격했다는 내용이 최초로 등장한 출처는 보안업체 Avanan의 웹사이트에 Steven Toole이 게재한 글이며 그 내용을 보면 "제로데이 랜섬웨어 바이러스의 대규모 공격에 오피스365 기업사용자들이 노출됐다"고 기술하고 있다. 그런데 사실 여기에서 언급된 "대규모 공격"이란 Avana 고객 중 오피스365 사용자를 대상으로 한 공격으로 가리키며 오피스365와는 직접 관련이 없는 Avanan 메시지보안플랫폼을 통해 탐지됐다. Cerber가 등장한 이후 몇 시간 지나지 않아 마이크로소프트, 구글, 시만텍, 아바스트, 맥아피 등 수많은 보안업체들이 ..
-
기업 CFO를 노리는 허위 송금 이메일, BEC카테고리 없음 2016. 7. 21. 13:50
게시일: 2016-06-20 l 작성자: Ryan Flores (Threat Research Manager)범죄의 목적으로 기업 최고경영자(CEO) 또는 대표이사, 사장 등 고위 간부을 사칭한 이메일 범죄의 증가는 놀라운 일이 아닙니다. 고위 간부의 요청사항을 거절하기 쉽지 않기 때문입니다. 부자연스러운 문법 표현, 복권 당첨, 타국가 왕족의 편지와 같은 비현실적인 이메일을 범죄에 활용하는 시대는 지나갔습니다. 오늘날 범죄에 이용하는 이메일은 업무 이메일 해킹으로 이루어지는 ‘허위 송금 이메일(Business Email Compromise, BEC)’ 입니다. 기업의 간부로 교묘하게 위장하여 타겟 기업의 최고 재무책임자(CFO) 등 재무 관계 책임과 업무를 담당하는 직원을 대상으로 하고 있습니다.BEC ..
-
파일삭제 랜섬웨어 소개카테고리 없음 2016. 7. 18. 15:16
최근 발견된 랜섬웨어는 Troj/Ransom-DJC 일반적인 여타 랜섬웨어와는 확연히 다른 차이점이 있다. 위 그림과 같이 랜섬웨어에 의해 금전지불 웹페이지가 열렸을 때 돈을 내지 않고 제출(submit)을 클릭하면 웹페이지 왼쪽 하단의 메시지가 다음과 같이 변한다. 이 때 랜섬웨어가 작동한 이후 시스템에 보관된 중요 문서파일이 실제로 사라졌음을 볼 수 있다. 이는 파일을 암호화시키는 데서 그치지 않고 하나씩 삭제하기까지 하여 피해자에게서 기어이 돈을 받아내려는 수법이라고 볼 수 있다. 이 랜섬웨어가 요구하는 금액이 약 달러에 0.2BTC, 130 달러에 불과하여 랜섬웨어 금전요구의 일반적인 시세인 300~500달러에 훨씬 못 미친다는 점도 흥미롭다. 이제 이 신종 랜섬웨어를 극도로 태만하다는 의미를 가..