malware
-
WSF 기반 Zepto 랜섬웨어카테고리 없음 2016. 7. 27. 14:39
ThreatTrack 연구진은 최근 Zepto 랜섬웨어 배포수단으로 윈도스크립트파일(WSF, windows scripting file) 압축파일을 첨부한 스팸이 다량 유포되는 현상을 포착했다. 이 수법은 기존에 흔히 쓰인 자바스크립트나 매크로문서 스팸에서 바뀐 것이다. 아래는 이러한 종류의 소셜엔지니어링(social engineering) 수법을 보여주는 실제 이메일이다. ThreatAnalyzer 분석 위 스팸메일의 WSF를 추출하여 ThreatAnalyzer 맬웨어분석 샌드박스를 통해 분석한 결과는 다음과 같다. WSF에서 문제되는 부분은 스크립트며 따라서 WScript.exe의 요청트리(call tree)가 판단의 주안점이 됐다. 변경된 파일의 수가 많다는 점은 해당 스크립트가 바이러스나 랜섬웨어일..
-
랜섬웨어가 ‘먹히는’ 이유: 암호화 기술 뒤에 숨겨진 전략카테고리 없음 2016. 7. 26. 15:15
랜섬웨어가 ‘먹히는’ 이유: 암호화 기술 뒤에 숨겨진 전략게시일: 2016-06-17 l 작성자: Trend Micro기업은 어떻게 랜섬웨어 공격에 대응할 수 있을까요? 최근 여러 기관에서 랜섬웨어 공격에 대비하여 비트코인을 사들이고 있다는 연구가 있었습니다. 공격 받을 시 빠른 시간 내 중요한 파일을 복구하기 위한 대응책입니다. 하지만 돈을 지불하는 것이 파일 복구를 보장하지 않는 것은 물론이고, 추가적인 랜섬웨어 공격으로 이어질 수 있습니다. 그럼에도 불구하고 랜섬웨어 공격으로 인한 기업 손실과 명예 실추로 인해 추가적인 불이익을 예상한다면, 기업의 이러한 대처를 비난할 수는 없습니다. 지속적인 랜섬웨어의 공격랜섬웨어 피해자가 되지 않기 위해, 이 멀웨어가 어떻게, 그리고 왜 공격을 하는지 이해하는 ..
-
FLocker 랜섬웨어, 스마트TV를 노리다카테고리 없음 2016. 7. 25. 13:53
게시일: 2016-06-15 l 작성자: Echo Duan (Mobile Threat Response Engineer)하나의 플랫폼으로 여러 스마트 디바이스를 사용할 수 있는 것은 삶에 편리성을 가져다 줍니다. 하지만 이 경우, 멀웨어가 1대의 디바이스에 침투하면, 동일한 플랫폼을 공유하는 다른 디바이스도 감염되기 쉽습니다. 최근 유행하는 “FLocker” 랜섬웨어가 이와 같은 경우입니다. 해당 랜섬웨어는 안드로이드 운영체제의 모바일 디바이스를 공격하는 화면잠금형 랜섬웨어이지만, 안드로이드 스마트TV도 감염시킬 수 있습니다. 그림 1. TV 랜섬웨어 화면 2015년 5월, FLocker 랜섬웨어(ANDROIDOS_FLOCKER.A로 명명, Frantic Locker의 줄임말)가 처음 발견된 시기부터 트렌..
-
일본에서 유행 중인 뱅킹 트로이목마 ‘베블로(BEBLOH)’, 이메일 보안이 답이다!카테고리 없음 2016. 7. 20. 12:52
게시일: 2016-07-14 l 작성자: Janus Agcaoili (Threat Response Engineer)유럽에서 오래 전부터 활동해오던 뱅킹 트로미목마 ‘베블로(BEBLOH)’가 일본까지 확산되며 활발한 활동을 벌이고 있는 것이 확인되었습니다. 사이버 범죄자들은 현지 ISP 제공회사, 유사 홈페이지 주소 등 일본 회사의 브랜드명을 이용하여 사용자들이 멀웨어를 다운받도록 유도합니다. 해당 멀웨어를 다운받을 브라우저, FTP 클라이언트, 메일 클라이언트 감시를 통한 정보 탈취가 가능해집니다. 베블로의 주요 타겟은 바로 지역 은행입니다.베블로는 2009년도에 처음 등장하여, ‘제우스(Zeus)’와 ‘스파이아이(SpyEye)’ 같은 경쟁자를 이겨내고 현재까지 살아남았습니다. 베블로는 피해자가 알지 못..
-
파일삭제 랜섬웨어 소개카테고리 없음 2016. 7. 18. 15:16
최근 발견된 랜섬웨어는 Troj/Ransom-DJC 일반적인 여타 랜섬웨어와는 확연히 다른 차이점이 있다. 위 그림과 같이 랜섬웨어에 의해 금전지불 웹페이지가 열렸을 때 돈을 내지 않고 제출(submit)을 클릭하면 웹페이지 왼쪽 하단의 메시지가 다음과 같이 변한다. 이 때 랜섬웨어가 작동한 이후 시스템에 보관된 중요 문서파일이 실제로 사라졌음을 볼 수 있다. 이는 파일을 암호화시키는 데서 그치지 않고 하나씩 삭제하기까지 하여 피해자에게서 기어이 돈을 받아내려는 수법이라고 볼 수 있다. 이 랜섬웨어가 요구하는 금액이 약 달러에 0.2BTC, 130 달러에 불과하여 랜섬웨어 금전요구의 일반적인 시세인 300~500달러에 훨씬 못 미친다는 점도 흥미롭다. 이제 이 신종 랜섬웨어를 극도로 태만하다는 의미를 가..
-
트렌드마이크로 랜섬웨어 대응 캠페인카테고리 없음 2016. 7. 15. 14:45
게시일: 2016-06-23 l 작성자: Trend Micro 보안 소프트웨어 및 솔루션의 글로벌 리더 트렌드마이크로는 급증하는 랜섬웨어에 대비하여 기업 고객과 개인 사용자를 보호하기 위한 랜섬웨어 캠페인을 시작하였습니다.트렌드마이크로는 지난 6개월 간 약 1억 건 이상의 랜섬웨어 공격을 방지했으며, 그 중 99%는 웹과 이메일을 통한 공격으로 분석하였습니다. 당사는 랜섬웨어 공격의 증가와 그 영향력을 인지하며, 고객들이 이에 적극적인 보안 조치를 취할 수 있도록 다음과 같은 포괄적인 랜섬웨어 방어 대책을 구성하였습니다.랜섬웨어 방어 대책: 기업 규모와 무관하게 기업의 보안 취약점을 조사하여 알맞은 보안 대처를 제안랜섬웨어 복구 툴: 랜섬웨어에 감염된 개인 및 고객이 데이터를 복구할 수 있도록 복구 툴 ..
-
최신 버전 윈도우만 공격하는 ZCRYPT 랜섬웨어, 의도인가? 실수인가?카테고리 없음 2016. 7. 14. 13:51
게시일: 2016-06-01 l 작성자: Jasen Sumalapao (Threat Response Engineer) 하나의 물건이 유행하기 시작하면 시장에는 그와 유사한, 하지만 저하된 품질의 유사품이 유통됩니다. 랜섬웨어는 현재 이와 같은 단계에 와 있습니다.최근 발견된 랜섬웨어 ZCRYPT는 윈도우 7 이상의 최신 시스템만 지원합니다. 개발자가 의도적으로 구 버전 윈도우를 타겟으로 삼지 않은 것인지, 혹은 악성코드가 형편없이 만들어진 것인지 정확한 이유는 알 수 없습니다. 배타적인 크립토 랜섬웨어ZCRYPT가 처음 발견되었을 때, 별다른 특징 없는 위협으로 생각되었습니다. 사용자의 파일을 암호화하고 .ZCRYPT 확장자를 사용합니다. 해당 랜섬웨어는 다음의 파일 형식들을 암호화 할 수 있습니다..z..
-
트렌드마이크로 안티 랜섬웨어 툴을 활용하여 화면잠금 랜섬웨어에 대처하기카테고리 없음 2016. 7. 13. 15:10
게시일: 2016-05-24 l 작성자: Michael Miley아직 랜섬웨어의 피해자가 아니라 할지라도, 랜섬웨어를 들어보지 못한 사람은 없을 것입니다. 랜섬웨어의 공격에 대해 들어보았다면, 어떻게 이러한 공격으로부터 자신을 방어할 수 있을 지 고민할 것입니다.랜섬웨어는 컴퓨터 또는 컴퓨터 내의 파일을 암호화하여 돈을 지불할 때까지 복호화 해주지 않는 매우 지독한 형태의 악성코드입니다. 최근 랜섬웨어의 공격이 심각해지고 있습니다. 2014년도에만 트렌드마이크로에서 15,000~48,000개의 “크립토 랜섬웨어”라 명명된 샘플을 발견했습니다. 이것은 2013년과 비교하여 27배 증가한 수치입니다.랜섬웨어는 감염된 웹사이트, 스팸메일, 또는 다른 악성코드에 포장되어 컴퓨터로 침투합니다. 최근 복호화 하기 ..