본문 바로가기

보안이슈

(주의) 택배를 사칭하는 스미싱 주의 일반적으로 택배의 배송 정보는 문자 메세지로 확인하기 때문에 문자 메세지에 포함되어 있는 악성 URL 을 클릭하여 스미싱 사이트에 접속하거나 악성 앱 설치를 유도한다. 스미싱의 내용을 살펴보면 단순 명료하기 때문에 보안에 관련된 지식이 없으면 이러한 스미싱에 속아서 개인 정보를 도용당하거나 금전적 피해를 보기 십상이다. 앞으로도 이러한 형태의 공격은 줄어들지 않을 것으로 전망된다. [상세분석] 1. SMS수신 시 보낸 사람의 전화 번호와 문자 내용, 수신 날짜를 탈취한다. 2. 탈취한 SMS를 C&C로 전송한다. 더보기
'코로나19 바이러스' 이슈로 위장한 악성코드 유포 주의 국내 및 전세계적으로 심각하게 발생하고 있는 '코로나19 바이러스' 이슈를 이용한 악성코드들이 지속적으로 증가하면서 사이버 침해 및 감염에 대한 보안 위협을 초래하고 있다. 사용자의 호기심을 자극하여 컴퓨터나 스마트폰에 수신된 메일이나 문자, SNS 메세지 등에 포함된 파일을 실행하거나 링크를 클릭하면 감염될 수 있기 때문에 사용자의 주의가 필요하다. 사례1. 메일을 이용한 악성코드 유포 현재 국내외에 코로나19 관련 악성 메일 및 악성코드가 지속적으로 유포되고 있다. 메일 내용에는 코로나19 예방수칙 및 대응 관련된 내용을 적어 사용자로 하여금 첨부파일을 받도록 유도하며, 첨부파일에는 주로 정보탈취, RAT, 매크로 악성코드 등이 첨부되어 있다. 사례2. 엑셀 문서로 위장한 랜섬웨어 유포 파일명이 'I.. 더보기
당신의 코인은 안전합니까? 당신의 코인은 안전합니까? "잔액: 0 BTC (0 KRW)" 지난 2017년은 암호화폐의 해라고 해도 과언이 아니다. 암호화폐의 대장이라 불리는 비트코인은 2017년 초 까지만 해도 일반인들에게 비교적 많이 알려지지 않았었다. 그러던 중 작년 5월의 “WannaCry 랜섬웨어”를 통해 대규모 감염사례가 발생하였고 백만 원 대의 가격을 유지하던 비트코인은 순식간에 몇 배 이상의 가격으로 건너뛰었다. 그 후 다양한 거래소 시스템이 생겨나면서 날이 갈수록 비싸지는 비트코인을 얻기 위해 점점 더 많은 공격자들이 랜섬웨어를 유포하기 시작했다. 자연스럽게 비트코인은 더욱 유명해졌고 2017년 12월 초, 비트코인은 한화 이천만 원이 넘게 되었다.(국내 C거래소 기준) 가격의 급등, 거래소의 활성화, 암호화폐(코인.. 더보기
MBR을 파괴하는 랜섬웨어 최근 MBR(Master Boot Record)영역을 조작하여 부팅을 불가능하게 만들고 300달러 상당의 비트코인을 요구하는 랜섬웨어가 유포되고 있어 국내 사용자들의 각별한 주의가 요구된다. 해당 랜섬웨어는 실행하면 컴퓨터가 자동으로 종료된다. 그리고 다음과 같은 화면이 나타난다. 300달러 상당의 비트코인을 주면 파일을 복구할 수 있으며, 누구도 복호화 서비스를 이용하지 않고는 파일을 복구 할 수 없다는 내용의 경고의 메시지와 지갑주소가 함께 나타난다. 해당 악성코드는 실행 시 사용자 PC의 PHYSICALDRIVE0의 핸들을 구한다. 이는 보통 물리디스크0이 기본 디스크로 잡혀있으며 가장 앞부분 512byt가 MBR영역이기 때문이다. 이런 방식을 통해 MBR이 존재하는 영역을 확인한 후, 해당 영역에.. 더보기
북한기도(NKPrayer) 악성앱 주의 최근 한국에 탈북자를 대상으로 카카오톡 피싱이 일어나고 있어 주의를 요구하고 있다. 카카오톡 같은 메신저를 통해 전파되기 때문에 지인인 줄 알고 대화에 응해 상대방이 보낸 URL이나 앱 설치파일을 눌러서 설치하게 된다. '북한기도'라는 앱으로 위장하여 배포되고 있으며 단말기에 설치되면 상대방의 사생활을 감시하고 개인의 민감한 정보를 탈취하여 C&C로 전송한다. 북한기도 앱을 실행하면 Overlay를 이용하여 특정 광고를 강제로 최상단에 띄운뒤 사용자 몰래 인증 되지 않은 앱을 설치한다. [그림 1] 북한기도 앱 아이콘 [그림 2] 특정 광고 화면 특정 광고가 끝나면 [그림 3]과 같은 화면을 보여준다. [그림 3] 북한기도에 관련된 문구가 쓰인 화면 assets/aaa 파일을 설치한다. [그림 4] aa.. 더보기
모네로(XMR) 가상화폐 채굴 악성코드 감염 주의 최근 이메일을 통해 국내에 가상화폐 채굴 악성코드가 유포되고 있다. 악성코드는 감염 PC의 CPU 자원을 이용하여 모네로(XMR)를 채굴하며, 사용자가 작업관리자를 실행할 경우 채굴을 종료하는 등 매우 지능적으로 설계되었다. 해당 악성코드는 2016년 12월부터 유포된 비너스락커와 동일 조직으로 판단되며, 악성코드에 감염되지 않도록 사용자들의 각별한 주의가 필요하다. 악성 이메일 본문은 유창한 한국어로 작성되었고, 사회공학적 기법을 사용하여 악성코드 실행을 유도한다. 2017년 11월 30일부터 거래, 이력서, 개인정보 유출, 이미지 도용 등의 키워드를 사용하여 악성코드를 유포하고 있다. [그림 1] 악성 이메일 및 악성코드 실행 과정 [그림 2] 모네로 채굴 악성코드 유포에 사용된 바로가기(.LNK) .. 더보기
국내 메일 계정으로 대량 유포된 악성코드 감염 주의 최근 자극적인 메일 제목과 함께 국내 포털 메일 계정 수백명에게 PC 원격제어 악성코드가 유포되고 있어 사용자들의 각별한 주의가 요구된다. 이번에 발견된 악성코드는 '사진 유출'이라는 자극적인 메일 제목으로 국내 포털 메일 계정 수백명에게 악성 첨부파일을 포함하여 메일로 발송되었다. [그림 1] 대량 유포중인 악성코드 메일 메일에 첨부된 파일은 "확인부탁드려요.egg"으로 압축되어있으며, 실제 운전 면허증을 스캔한 "전하영입니다.jpg" 파일과 악성코드인 "증명사진.exe" 파일로 구성되어 있다. "증명사진.exe" 파일은 사진 모양의 아이콘으로 위장하여 실행 시 정상 프로그램인 "네트워크 셸(netsh.exe)"이 동작하며 숨김 속성으로 변하게 된다. 해당 악성코드에 감염되면 사용자의 PC 정보를 탈취.. 더보기
발칸 반도를 타깃으로 하는 File Spider 랜섬웨어 감염 주의 최근 발칸 반도를 대상으로 File Spider 랜섬웨어가 스팸 메일의 첨부 파일로 유포되고 있어 사용자들의 각별한 주의가 요구된다. 최근에 보스니아, 헤르체고바나, 세르비아, 크로아티아를 대상으로 File Spider 랜섬웨어가 스팸 메일의 첨부 파일로 유포되고 있다. 스팸 메일에는 악성 워드 매크로 문서가 포함되어있으며, 매크로를 실행할 시 파워쉘스크립트가 동작하며 파일 dec.exe와 enc.exe가 다운로드된다. [그림 1] 악성 워드 매크로 문서 파일 dec.exe와 enc.exe는 %UserProfile%\AppData\Roaming\Spider에 다운로드된다. dec.exe는 decryptor GUI로 enc.exe가 암호화를 마칠 때까지 백그라운드에서 실행된다. [그림 2] 파일 dec.e.. 더보기