일반적으로 택배의 배송 정보는 문자 메세지로 확인하기 때문에 문자 메세지에 포함되어 있는 악성 URL 을 클릭하여 스미싱 사이트에 접속하거나 악성 앱 설치를 유도한다. 스미싱의 내용을 살펴보면 단순 명료하기 때문에 보안에 관련된 지식이 없으면 이러한 스미싱에 속아서 개인 정보를 도용당하거나 금전적 피해를 보기 십상이다. 앞으로도 이러한 형태의 공격은 줄어들지 않을 것으로 전망된다.

[상세분석]

1. SMS수신 시 보낸 사람의 전화 번호와 문자 내용, 수신 날짜를 탈취한다.

2. 탈취한 SMS를 C&C로 전송한다.

국내 및 전세계적으로 심각하게 발생하고 있는 '코로나19 바이러스'  이슈를 이용한 악성코드들이 지속적으로 

증가하면서 사이버 침해 및 감염에 대한 보안 위협을 초래하고 있다. 사용자의 호기심을 자극하여 컴퓨터나 

스마트폰에 수신된 메일이나 문자, SNS 메세지 등에 포함된 파일을 실행하거나 링크를 클릭하면 감염될 수 

있기 때문에 사용자의 주의가 필요하다.

 

사례1. 메일을 이용한 악성코드 유포 

현재 국내외에 코로나19 관련 악성 메일 및 악성코드가 지속적으로 유포되고 있다. 

[그림1] 국내 악성 스팸 메일
[그림2] 해외 악성 스팸 메일

메일 내용에는 코로나19 예방수칙 및 대응 관련된 내용을 적어 사용자로 하여금 첨부파일을 받도록 유도하며, 

첨부파일에는 주로 정보탈취, RAT, 매크로 악성코드 등이 첨부되어 있다.

 

[그림3] 메일에 첨부된 악성파일들

사례2. 엑셀 문서로 위장한 랜섬웨어 유포
파일명이 'Information on Travelers from Wuhan China to India.xlsx.exe'로(이중 확장자) 코로나19 관련 엑셀문서로

위장하고 있으며, 해당 파일의 마지막 확장자가 exe인 실행파일로 실행 시 VBS스크립트파일과 배치파일을 드롭하며,

사용자 PC의 파일을 암호화한다.

 

[그림4] 드롭된 파일과 랜섬노트

사례3. 스마트폰 문자메세지를 이용한 악성 앱
스마트폰에 저장된 중요 정보를 탈취하기 위해 SMS 문자메세지를 이용하여 사용자의 호기심을 자극하고 클릭을

유도하도록 제작하여 발송되는 스미싱 문자메세지도 증가하고 있다. [그림 5]는 코로나19 관련 내용과 URL 접속을

유도하는 내용 담고 있다. 해당 URL에 접속하여 악성 앱 설치 시 개인정보 및 금융정보가 탈취된다.

 

[그림5] '코로나19 바이러스'를 이용한 악성 스미싱 문자
[그림6] 설치된 코로나19 악성 앱

사례4. '코로나 실시간 현황' 프로그램으로 위장한 악성코드
스미싱 이외에도 “국내 코로나 실시간 국내 현황” 이라는 코로나19 관련 이름으로 악성코드를 유포해

사용자들을 악성코드에 감염시킨다.

 

[그림7] 코로나19 관련 악성코드

사례5. 코로나19 불안심리를 이용한 악성코드
파일명이 'coronavirus.vbs'인 VBS스크립트파일로 실행 시 다음과 같은 질문 창이 발생되며,

질문 내용에는 다운로드 된 악성코드를 지울 수 없다는 장난형식의 내용을 담고 있으며,

특정 키보드 입력을 방해하는 악성행위를 한다.

 

[그림8] VBS 스크립트가 실행된 화면

 

['코로나19 바이러스' 를 이용한 물리적 바이러스 감염 예방 수칙]

1. 발신자나 메일 내용이 의심스러우면 발신자에게 메일 발송여부를 확인한 후 링크나 첨부파일을 열람하자!

2. 스마트폰으로 전송받은 코로나19 관련 문자메세지, SNS 메세지 등에 포함된 링크는 가급적 클릭을 삼가자!

3. 출처가 불명확한 파일 또는 파일명이 이중 확장자이면 실행을 자제하고 백신업체에 신고하자!

 

  1. 하우리맨 2020.03.11 14:32 신고

    이젠 컴도 마스크를 해야 하나 ㅠㅠ

당신의 코인은 안전합니까?  "잔액: 0 BTC (0 KRW)"

 

지난 2017년은 암호화폐의 해라고 해도 과언이 아니다.

암호화폐의 대장이라 불리는 비트코인은 2017년 초 까지만 해도 일반인들에게 비교적 많이 알려지지 않았었다.

그러던 중 작년 5월의 “WannaCry 랜섬웨어”를 통해 대규모 감염사례가 발생하였고 백만 원 대의 가격을 유지하던

비트코인은 순식간에 몇 배 이상의 가격으로 건너뛰었다. 그 후 다양한 거래소 시스템이 생겨나면서 날이 갈수록 비싸지는 비트코인을 얻기 위해 점점 더 많은 공격자들이 랜섬웨어를 유포하기 시작했다.

자연스럽게 비트코인은 더욱 유명해졌고 2017년 12월 초, 비트코인은 한화 이천만 원이 넘게 되었다.(국내 C거래소 기준)

 

 

 

가격의 급등, 거래소의 활성화, 암호화폐(코인)의 다양화, 채굴방식의 다양화 등의 이유로 암호화폐 시장규모는

빠른 속도로 성장했다. 암호화폐의 가치가 높아지다 보니 파일을 잠그고 비용을 암호화폐로 요구하는 랜섬웨어가 아닌

암호화폐 자체를 노리는 악성코드들이 생겨나기 시작했고 공격자들은 암호화폐의 특성을 노리는 공격 방식을

사용하여 전 세계 수 많은 암호화폐 투자자들의 재산을 훔치는 데에 성공했다.
본 컬럼에서는 국내 암호화폐 시장이 변화함에 따라 국내 암호화폐 투자자들을

겨냥한 악성코드의 유형을 정리하고자 한다.

 

 

1. 랜섬웨어


랜섬웨어는 암호화폐 시장의 초창기부터 공격자들이 돈을 벌기 위해 가장 많이 사용한 악성코드의 유형이다.

감염 시 사용자 PC의 파일을 암호화 시킨 뒤 파일의 복호화 비용을 요구하는 특징이 있다. 최초의 랜섬웨어는

실제 현금을 입금 받는 유형이었지만 최근 몇 년간 유포된 랜섬웨어는 거래의 익명성이 보장되는 코인을 요구하고 있다.

 

 

1-1. 비트코인 랜섬웨어


2015년 4월, 국내 대형 커뮤니티에서 사용하는 광고 서버가 해킹되어 랜섬웨어를 뿌린 사례가 있었다.

랜섬웨어는 복호화 비용을 비트코인으로 입금 받기 때문에 감염자들이 비트코인을 구매하여 송금을 해야 한다.

그렇기 때문에 공격자들은 랜섬웨어 감염 시 랜섬노트(Ransom-note)를 통해 비트코인의 구매 및 입금방법을

설명해주는데 과거 랜섬웨어는 이러한 설명이 영어로 적혀있었기 때문에 국내 감염자들이 공격자에게 복호화 비용을

지불하고 싶어도 영어 설명서를 이해하기 힘들어서 복호화를 못하는 경우가 있었다. 랜섬웨어 공격자는 이러한 사실을

반영하여 다양한 언어를 통해 설명서를 제작하기 시작했다. 해당 랜섬웨어는 국내에 유포된 랜섬웨어 중에

최초로 한글을 사용하여 비트코인의 구매방법을 설명하는 랜섬웨어로 당시 큰 이슈가 되었다.

 

                                                       [그림] 국내에 유포된 최초의 한글 랜섬웨어

 

한글 설명서를 지원하는 “Crypt0L0cker” 랜섬웨어의 성과가 좋아 보였는지, 랜섬웨어 제작자들은 본격적으로

랜섬웨어에 한글 설명서를 포함시켜 국내에 유포하기 시작했다.

 

 

1-2. 알트코인 랜섬웨어


“알트코인”은 암호화폐 중 비트코인을 제외한 다른 코인들을 일컫는 말이다.

비트코인의 가격이 폭등하면서 알트코인들이 대거 등장하게 되었다. 알트코인은 종류와 특징에 따라 저마다의 값어치가 매겨지기 시작했고 기존에 비트코인으로만 복호화 비용을 받았던 공격자들이 비트코인을 대신하여 다른 알트코인들을

받게 되지 않을까 하는 예측이 많이 나왔다.
때마침 비트코인의 가격이 천정부지로 오르면서 복호화 비용은 1 비트코인 단위에서 사토시(Satoshi, 비트코인의 단위)

단위로 쪼개지게 되었고 공격자들은 비교적 저렴한 다른 알트코인들을 사용하기 시작했다.

 

                                                 [그림] 2015년 Crypt0L0cker의 복호화 비용(1.84338 BTC)

 

                                                         [그림] 2017년 Princess Ransomware의 복호화 비용(0.066 BTC)

 

“GrandCrab” 랜섬웨어는 대시(DASH)코인을 복호화 비용으로 입금 받는 랜섬웨어다.

2018년 1월, 국내에 다수의 피해사례가 발생하였다. 기존의 랜섬웨어와 유사하지만 비트코인 대신 대시코인을

받는다는 점이 다른 랜섬웨어와의 차이점이다.

 

                                                        [그림] DASH코인을 입금 받는 GrandCrab

 

그 외에도 2018년 1월, 모네로 코인과 이더리움을 통해 복호화 비용을 입금 받는 “HC9” 랜섬웨어가

국내에 유포된 사례도 있다.

 

 

1-3. 지갑암호화 랜섬웨어


랜섬웨어 악성코드는 “사용자에게 중요한 파일”을 암호화 시키는 것을 목적으로 하기 때문에 문서, 이미지, 음악, 비디오, 압축파일 등 많은 파일 확장자를 암호화 대상으로 한다. 그렇기 때문에 감염된 사람들은 본인들의 중요한 파일을 살리기 위해 울며 겨자 먹기로 복호화 비용을 지불할 수 밖에 없다. 때문에 공격자들은 사용자의 PC에서 중요하게 생각할만한

파일 확장자를 연구하기 시작했을 것이다. 때마침 암호화폐 거래소의 보안성에 대한 문제가 제기되었다.

그로 인해 암호화폐 투자자들은 암호화폐 관리 프로그램 등을 사용하여 온라인 거래소에 존재하는 자신의 코인들을

오프라인 지갑으로 다운로드 받아 저장하기 시작했다.
“MultiBit”는 오프라인 비트코인 지갑 관리 프로그램으로 사용되는 소프트웨어 중 하나다. MultiBit에서는 비트코인을

오프라인 형태의 파일로 저장하기 위해 “.wallet” 확장자를 사용했는데, 얼마 뒤 해당 확장자까지도 암호화 시켜버리는

랜섬웨어가 등장하기 시작했다.

 

                                                     [그림] 약 5000개의 확장자를 암호화 시키는 HERMES 랜섬웨어

 

                                                                [그림] HERMES 랜섬웨어의 암호화 대상 확장자

 

만약, 지갑 관리 소프트웨어에서 사용하는 확장자가 암호화 되어버린다면 오프라인 지갑을 사용하는 투자자들은

암호화된 자신의 코인을 구해내기 위해 코인을 지불해야 하는 상황에 놓이게 된다.

 

 

2. 코인 채굴형 악성코드


암호화폐를 벌기 위해 랜섬웨어에 의존하던 공격자들은 감염자가 직접 코인을 채굴하여 자신들의 지갑으로 전송하게끔 발상의 전환을 시도했다. 코인 채굴은 컴퓨터의 수많은 연산과정을 필요로 하기 때문에 많은 전력과 장비의 과부하를

발생시킨다. 또한, 코인의 채굴 속도는 고사양 장비를 사용해도 매우 느리기 때문에 단일 장비 한 개 만으로는 코인을

채굴해내기가 어렵다. 공격자들은 이러한 채굴의 특성을 파악하여 동시에 많은 감염자들이 자신들의 장비(PC)로 코인을

채굴하도록 만드는 일명 “Coin Miner”를 개발했다.

 

 

2-1. 비트코인 채굴


코인 채굴형 악성코드의 초기 모델은 역시나 비트코인을 채굴하도록 설계되었다. 단일 악성코드로 존재하지는 않았으며 봇넷(Botnet)의 기능 중 하나로 동작하였다. 2013년부터 국내에서 발견되기 시작한 비트코인 채굴 봇넷은 감염자 PC의 CPU와 GPU 등을 사용하여 비트코인을 채굴하고 공격자의 지갑으로 전송하는 형태였다.

 

 

                                                    [그림] 비트코인 채굴 악성코드 유포 시나리오

 

2-2. 알트코인 채굴


비트코인 채굴형 악성코드는 채굴을 위해 악성코드를 유포해야 한다는 번거로움이 있다. 대부분의 악성코드가 그렇듯

사용자 PC가 백신을 사용 중이거나 안전한 환경에서 사용하고 있을 경우 감염이 어렵기 때문에 공격자들은

채굴의 한계점이 있었다. 이러한 상황에서 자바스크립트 채굴을 지원하는 모네로(Monero)코인이 등장하게 되면서

공격자들은 악성코드를 사용하지 않고 코인을 채굴하도록 시킬 수 있는 “크립토재킹(Cryptojacking)” 방식을 만들어냈다.
인터넷 사용자들이 악성 자바스크립트가 삽입된 웹 사이트에 접속하게 되면 브라우저는 코인 채굴을 시작한다.

사용자는 별다른 악성코드에 감염되지 않았지만 브라우저가 자바스크립트 코드를 실행시키면서 사용자의 PC를

사용하여 코인을 채굴한다.

 

                                                                    [그림] 모네로 코인 크립토재킹 시나리오

 

                                                                     [그림] 모네로 코인 채굴 자바스크립트 코드

 

 

사용자는 웹 사이트에 접속만 했을 뿐인데 본인의 전력과 장비를 이용하여 채굴한 모네로 코인을 공격자에게 바치게 된다.

 

 

3. 코인 탈취형 악성코드


기존에 간접적으로 사용자의 코인을 노리던 공격자들은 점점 더 직접적으로 코인을 노리기 시작한다.

암호화폐 지갑주소는 일반적으로 긴 문자열의 형태를 가지고 있다.

 

                                                           [그림] 비트코인 지갑주소의 형태

 

비트코인의 지갑주소는 숫자와 문자가 뒤죽박죽 섞여있는 형태이며 글자수 또한 길기 때문에 지갑주소를

직접 손으로 입력하는 사람은 비교적 적다. 대부분 클립보드를 이용하여 지갑주소를 복사해두었다가 붙여 넣는 방식으로 사용하는데 이를 악용하는 악성코드들이 등장하기 시작했다. 악성코드는 다음과 같은 알고리즘으로 작동한다.


   - 악성코드는 클립보드에 저장되는 내용을 실시간으로 검사
   - 비트코인 지갑주소로 보이는 문자열이 클립보드에 복사됨
   - 악성코드는 이를 최대한 유사한 공격자의 비트코인 지갑주소로 바꿔치기

 

                                                                   [그림] 클립보드에 저장된 지갑주소 바꿔치기

 

결과적으로 송금을 위해 정상적인 입금 대상의 지갑주소를 복사한 뒤 붙여넣기를 할 경우, 정상적인 입금 대상의 지갑주소 대신 공격자의 지갑주소가 입력되면서 공격자에게 입금을 시키는 상황이 발생하는 것이다.

 

                                                                             [그림] 클립보드 변조 예시

 

 

4. 결론


암호화폐 거래가 활발해지고 투자자가 대거 생겨나면서 돈을 목적으로 코인을 이용하는 공격 수법이 증가하고 있다.

과거에는 간접적으로 금전손실을 발생시켰던 사이버 공격이 이제는 직접적으로 금전적인 손실을 가져올 수 있는

시대가 되었다. 현재 국내외로 암호화폐의 미래와 가치에 대해 많은 의견이 오가지만 적어도 이 순간 공격자들은

암호화폐의 가치를 믿고 한 개라도 더 훔쳐내기 위해 머리를 굴리고 있다. 현실에서 지갑을 도둑맞거나 잃어버리듯이

코인지갑이 하루아침에 공격자들의 주머니로 들어갈 수 있으며, 이는 아마도 실제 지갑보다 금액이 훨씬 높을 것이다.

사이버 보안은 이제는 자신의 정보를 위해 지켜야 하는 것이 아니라 자신의 재산을 위해 지켜야 하는 필수적인 요소가

되어가고 있다고 생각한다.

 

                                                    

                                            "당신의 코인은 안전합니까?"


작성자 : HAURI CERT _ UH4CK3R







  1. 대디앤 2018.04.12 14:14

    코인지갑도 조심해야겠네요.
    도움이 되는 정보였습니다.

  2. 2018.04.13 11:30

    안전하지 않아도 제 코인은 이미 떡락했네요.....

최근 MBR(Master Boot Record)영역을 조작하여 부팅을 불가능하게 만들고 300달러 상당의 비트코인을 요구하는 랜섬웨어가 유포되고 있어 국내 사용자들의 각별한 주의가 요구된다.

 

 

해당 랜섬웨어는 실행하면 컴퓨터가 자동으로 종료된다. 그리고 다음과 같은 화면이 나타난다.

 

 

300달러 상당의 비트코인을 주면 파일을 복구할 수 있으며, 누구도 복호화 서비스를 이용하지 않고는 파일을 복구 할 수 없다는 내용의 경고의 메시지와 지갑주소가 함께 나타난다.

 

 

 

해당 악성코드는 실행 시 사용자 PC의 PHYSICALDRIVE0의 핸들을 구한다. 이는 보통 물리디스크0이 기본 디스크로 잡혀있으며 가장 앞부분 512byt가 MBR영역이기 때문이다. 이런 방식을 통해 MBR이 존재하는 영역을 확인한 후, 해당 영역에 512byte만큼 임의의 데이터를 덮어쓴다. 그 후에 WinExec 함수를 이용하여 명령어(shutdown -r -t 0)를 실행시키고 사용자의 PC는 재부팅되면서 MBR에 로드된 감염메세지가 뜬다.

 

 

상당히 간단한 동작 방식을 가지고 있으나 식별정보나 메일주소 등 기존의 랜섬웨어와 달리 지갑 주소 이외에 공격자에 대한 아무런 정보가 없다는 점에서 300달러 상당의 비트코인을 지불하였을 때 정상적으로 시스템을 복구할 수 있을지는 미지수이다. 시스템 복구를 위해 돈을 요구하는 부분은 기존의 랜섬웨어들과 동일하나 행위만 확인하였을 땐 사실상 MBR파괴형 악성코드에 더 가까운 형태를 가지고 있다. MBR영역이 파괴되면 부팅자체가 불가능하기 때문에 Windows 파일 시스템에 대한 지식이 적은 사용자들은 복구에 큰 어려움을 겪을 수 있으므로 각별한 주의가 필요하다.

 

 

바이로봇 업데이트 내역 : Trojan.Win32.S.Ransom

 

 

 

 

 

 

 

최근 한국에 탈북자를 대상으로 카카오톡 피싱이 일어나고 있어 주의를 요구하고 있다. 카카오톡 같은 메신저를 통해 전파되기 때문에 지인인 줄 알고 대화에 응해 상대방이 보낸 URL이나 앱 설치파일을 눌러서 설치하게 된다. '북한기도'라는 앱으로 위장하여 배포되고 있으며 단말기에 설치되면 상대방의 사생활을 감시하고 개인의 민감한 정보를 탈취하여 C&C로 전송한다.

 

북한기도 앱을 실행하면 Overlay를 이용하여 특정 광고를 강제로 최상단에 띄운뒤 사용자 몰래 인증 되지 않은 앱을 설치한다. 

 

 

[그림 1] 북한기도 앱 아이콘

 

[그림 2] 특정 광고 화면

 

특정 광고가 끝나면 [그림 3]과 같은 화면을 보여준다.

 

[그림 3] 북한기도에 관련된 문구가 쓰인 화면

 

assets/aaa 파일을 설치한다.

 

[그림 4] aaa 파일 설치

assets/bbb 파일을 설치한다.

 

[그림 5] bbb 파일 설치

 

bbb.apk 파일은 구글 스토어에 있는 정상 통화 녹음 앱의 코드를 일부 수정해서 리패키징한 APK 파일이다.

 

[그림 6] 아이콘 숨기기 

 

[그림 7] 실행 시 앱 종료

 

녹음된 파일을 저장한다.

- 저장경로: /sdcard/ToHCallRecord/

[그림 8] 녹음된 파일 저장 경로

 

aaa.apk 파일은 기기 정보를 탈취하고 C&C로부터 DEX파일을 다운받아 메모리에 로딩한 뒤 실행시킨다.

 

[그림 9] 계정 정보 탈취

 

[그림 10] 기기 정보 탈취

 

[그림 11] 앱 리스트 탈취

 

서버로부터 Command 번호와 cmd[번호].dex를 저장할 경로, yandex 토큰 정보를 받아온다.

 

[그림 12] 커맨드 번호와 저장할 DEX경로 다운

 

C&C로부터 받은 cmd12.dex파일을 DexLoader를 통해 메모리에 로딩한 뒤 실행한다.

 

[그림 13] 다운 받은 DEX파일 실행

 

C&C로부터 custom.dex 파일을 다운 받은 뒤 실행한다.

[그림 14] custom.dex파일 다운 및 실행

 

cmd12.dex 파일은 카카오톡 대화 내용을 탈취한다. (현재의 카카오톡 버전은 탈취가 불가능하다)

 

[그림 15] 카카오톡 대화내용 탈취 

 

custom.dex 파일에서 개인 정보를 감시하고 탈취한 뒤 서버로 전송한다.

 

[그림 16] 녹음

  

[그림 17] SMS탈취

 

[그림 18] 현재 위치 정보 탈취

 

[그림 19] 전화 기록 탈취

 

[그림 20] 주소록 탈취

 

 

  1. vf2416 2019.04.22 22:07

    인조고기,탈지대두? 간장으로 만들어,먹던가 수출이 낫지 않을까ㅋㅋ http://pann.nate.com/talk/320596037

최근 이메일을 통해 국내에 가상화폐 채굴 악성코드가 유포되고 있다. 악성코드는 감염 PC의 CPU 자원을 이용하여 모네로(XMR)를 채굴하며, 사용자가 작업관리자를 실행할 경우 채굴을 종료하는 등 매우 지능적으로 설계되었다. 

해당 악성코드는 2016년 12월부터 유포된 비너스락커와 동일 조직으로 판단되며, 악성코드에 감염되지 않도록 사용자들의 각별한 주의가 필요하다.

 

악성 이메일 본문은 유창한 한국어로 작성되었고, 사회공학적 기법을 사용하여 악성코드 실행을 유도한다. 2017년 11월 30일부터 거래, 이력서, 개인정보 유출, 이미지 도용 등의 키워드를 사용하여 악성코드를 유포하고 있다.

 

 

[그림 1] 악성 이메일 및 악성코드 실행 과정

 

 

[그림 2] 모네로 채굴 악성코드 유포에 사용된 바로가기(.LNK) 파일

 

해당 악성코드는 사진이나 문서파일 아이콘으로 위장한 바로가기(.LNK)를 실행할 경우 동작하며, 최종적으로 메모리에서 악성 행위를 수행한다.

 

[그림 3] 악성코드 동작 과정

 

자세한 분석 내용은 아래 상세 분석보고서를 참고하시기 바랍니다.

 

□ 바이로봇 업데이트 내역  

Trojan.Win32.S.Agent.1781810
Trojan.Win32.Injector.733184
Trojan.Win32.S.XMRigMiner.373760
Trojan.Win64.S.XMRigMiner.338944

 

 

▶ 상세 분석보고서 다운받기 (Click)

 

최근 자극적인 메일 제목과 함께 국내 포털 메일 계정 수백명에게 PC 원격제어 악성코드가 유포되고 있어 사용자들의 각별한 주의가 요구된다.

이번에 발견된 악성코드는 '사진 유출'이라는 자극적인 메일 제목으로 국내 포털 메일 계정 수백명에게 악성 첨부파일을 포함하여 메일로 발송되었다.

 

 

[그림 1] 대량 유포중인 악성코드 메일

 

메일에 첨부된 파일은 "확인부탁드려요.egg"으로 압축되어있으며, 실제 운전 면허증을 스캔한 "전하영입니다.jpg" 파일과 악성코드인 "증명사진.exe" 파일로 구성되어 있다. "증명사진.exe" 파일은 사진 모양의 아이콘으로 위장하여 실행 시 정상 프로그램인 "네트워크 셸(netsh.exe)"이 동작하며 숨김 속성으로 변하게 된다. 해당 악성코드에 감염되면 사용자의 PC 정보를 탈취하여 "명령제어(C&C)" 서버로 전송하고 공격자의 명령에 따라 원격 제어를 당하게 된다.

 

 

 

[그림 2] 첨부 파일에 포함된 악성코드

 

금번에 발견된 악성코드는 성적으로 자극적인 메일 제목으로 사용자들의 호기심을 불러 일으켰다. 덧붙여 최근에 사망한 한국 유명한 아이돌의 마지막 영상 및 유서로 위장하는 등 다양한 방식으로 유포되고 있다. 이와 같이 해당 악성코드에 감염되면 좀비 PC로 전락하여 사용자들의 PC를 원격 제어로 독점할 수 있으니 각별한 주의가 필요하다.

 

 

 

□ 바이로봇 업데이트 내역  

Backdoor.Win32.S.Agent

 

최근 발칸 반도를 대상으로 File Spider 랜섬웨어가 스팸 메일의 첨부 파일로 유포되고 있어 사용자들의 각별한 주의가 요구된다.

 

최근에 보스니아, 헤르체고바나, 세르비아, 크로아티아를 대상으로 File Spider 랜섬웨어가 스팸 메일의 첨부 파일로 유포되고 있다. 스팸 메일에는 악성 워드 매크로 문서가 포함되어있으며, 매크로를 실행할 시 파워쉘스크립트가 동작하며 파일 dec.exe와 enc.exe가 다운로드된다. 

 

 

[그림 1] 악성 워드 매크로 문서

 

파일 dec.exe와 enc.exe는 %UserProfile%\AppData\Roaming\Spider에 다운로드된다. dec.exe는 decryptor GUI로 enc.exe가 암호화를 마칠 때까지 백그라운드에서 실행된다.

 

 

 

[그림 2] 파일 dec.exe와 enc.exe 생성 모습

 

해당 랜섬웨어는 파일 확장자를 ‘.spider’로 변경하여 암호화를 수행한다. 특히 암호화 파일 중에는 확장자 '.hwp'도 포함되어있다.

 

 

 

[그림 3] 파일 암호화

 

파일 암호화가 완료되면 %UserProfile%\AppData\Roaming\Spider에 files.txt와 5p1d3r 파일이 생성된다. file.txt 파일에는 암호화 되기 전에 원본 파일의 경로가 기록된다.

 

 

[그림 4] 파일 file.txt와 5p1d3r 생성 모습

 

랜섬웨어 감염 사실과 함께 토르 지불 사이트와 토르 사이트 로그인에 필요한 ID 코드, 복호화 키에 대해 안내한다.

 

 

[그림 5] 감염 사실을 알리는 페이지

 

피해자가 토르 사이트로 이동해서 ID 코드를 적은 뒤 로그인하면 복호화 키를 받기 위한 비트코인 지불 방법이 적혀 있는 Decryptor 페이지를 보여준다.

 

 

[그림 6] Decryptor

 

금번에 발견된 랜섬웨어는 발칸 반도를 대상으로 스팸 메일의 첨부 파일로 유포되었다. 향후 국내를 대상으로 유포될 수 있으니 국내 사용자들도 스스로 중요 문서에 대한 백업을 하는 등 각별한 주의가 요구된다.

 

 

□ 바이로봇 업데이트 내역  

Trojan.Win32.Ransom

 

※ 랜섬웨어 감염 예방방법 : https://www.hauri.co.kr/ransomware/guide.html

 

최근 졸업 및 취업시즌을 맞아 "입사 지원", "중고 물품 구매", "택배 배송" 등의 내용으로 가상화폐를 채굴하는 악성코드가 유포되고 있어 사용자들의 각별한 주의가 요구된다. 

 

유포중인 악성코드는 실제 기업의 인사담당자에게 이력서로 위장한 메일을 보내거나 현재 중고 물품을 파는 판매자에게 구매 의사가 있다는 내용으로 수신인 맞춤형으로 메일을 발송했다. 메일에 첨부된 압축파일(egg)은 실행 파일과 바로가기 파일로 구성되어 있다.

 

 

 

[그림 1] 가상화폐 채굴 악성코드를 첨부한 위장 메일

 

 

해당 악성 파일들은 작년 연말부터 올해 상반기에 “2016년도 연말정산”, “사내내부지침사항” 등으로 유포된 비너스락커 랜섬웨어와 8월에 유포된 입사지원 위장 메일의 유포 방법 및 악성코드 형태가 매우 유사하며, 바로가기 파일에 포함된 특정 경로는 "C:\Users\l\Desktop\양진이\VenusLocker_korean.exe"로 이전에 유포된 메일과 동일범으로 추정된다. 

 

 

 

[그림 2] 링크파일에 포함된 비너스락커 경로

 

 

악성코드를 실행할 경우 자신을 숨기기 위해 "wuapp.exe", "svchost.exe" 등 윈도우 정상 프로세스를 실행하고 악성코드를 인젝션한 후 다음과 같은 명령을 통해 모네로(Monero) 코인 채굴을 시작한다.

 

[Comand line]

C:\Windows\System32\wuapp.exe -o monerohash.com:3333 -u (지갑주소) -p x -v 0 -t 1 

 

 

□ 바이로봇 업데이트 내역

대표진단명 Trojan.Win32.BitCoinMiner

 

 

 

 

 

 

 

 

 

+ Recent posts