안녕하세요. 여러분!세인트시큐리티 대표이사 김기홍입니다. 여러분!세인트시큐리티가 벌써 13주년을 맞이 했습니다.와... 벌써 13주년이라니!!믿을 수가 없습니다! 저는 이제 한 2년 정도 사업을 한 것 같은데, 벌써 13주년이라는 시간이 지났네요.세월 참 빠릅니다. 한국의 아주 터프한 IT 보안 시장에서 13년을 망하지 않고 버텼다는 것.그리고 정말 20살 대학생이 맨손으로 창업해서 세인트시큐리티를 지금 여기까지 끌고 왔다는 것.정말 칭찬 받을 만한 일이죠? ^^ 감사합니다. 우리 임직원 모두, 정말 고생 많았습니다.이 미친 분들(세인트시큐리티 회사소개서에 우리 임직원은 정말 미친놈이라고 표현했습니다!)이 없었다면 저와 우리 세인트시큐리티는 13년을 버티지 못했을 것입니다. 감사합니다. 지금 함께 할 수..
안녕하세요.malwares.com TEAM 입니다. 오늘 3월 16일은 MAX 베타 1이 출시 된지 만 50일이 되는 날입니다.여러분들의 많은 성원과 관심속에, 세인트시큐리티의 개발자 분들의 MAX 베타 2 준비의 심적 압박이 나날이 증가하고 있습니다. (하지만 행복한 고민이 아닐 수 없습니다!! 많은 관심 계속 부탁드리고 감사드립니다.) MAX 베타 1 출시되고~50일 동안 어떤일이 일어났는지, 그리고 저희가 어떻게 유저분들에게 도움을 드렸는지 인포그래픽을 준비를 해보았습니다. MAX 는 정말 여러분들께 도움이 되었는지... 아래 내용을 한번 보시죠! 잘 보셨는지요!? 첫 베타 출시임에도 너무 잘 동작한 것 같고 또 실제 악성코드 감염으로 부터 많은 분들을 보호 해드린 것 같아 너무 뿌듯합니다. :) ..
안녕하세요. malwares.com 입니다. 요즘 저희는 MAX 출시로 바쁜 나날을 보내고 있습니다. 여러분은 다들 잘 지내시는지요? 혹시 어제(2017년 2월 11일, 토요일) 방송된 SBS '그것이 알고 싶다' 프로그램을 보셨나요?우리나라에 다시는 있어서는 안 될 '선관위 DDoS 사건'에 대한 여러 의혹과 관련 사실에 대해서 방영을 했지요. 해당 방송 1063편에 세인트시큐리티 malwares.com TEAM이 출연을 했습니다. 물론 저희 김기홍 대표님도 함께 출연했지요. 관련된 내용에 진실에 더욱 가깝게 다가서기 위해서 기술적으로 필요한 내용을 설명을 드렸고, 일반인 분들도 알기 쉽게 가상의 시스템을 만들어 시연을 진행했습니다. 시청률이 10%가 넘게 나오는 공중파에 저희 모습이 많이 노출 되었는..
안녕하세요.malwares.com 입니다. 저희가 최근에 머신 러닝 기술을 이용한 인공지능 차세대 안티바이러스 엔진을 개발 했습니다.이름은 MAX AI 라고 내부적으로 붙였고, 이 친구는 버전이라는 것을 붙이기는 애매해서 "세대" 라는 뜻에서 G1 을 붙이기로 했습니다. 잘 아시겠지만, 저희는 malwares.com 사이트와 서비스를 운영중에 있으며 여기로 부터 수집된 각종 정보를 기반으로 악성코드를 군으로 나눠서 학습 시키기 시작했습니다. 대표적인 악성코드의 종류 별 (바이러스, 웜, 스파이웨어, 랜섬웨어, 개인정보 탈취, 파밍, 피싱 등) 로 학습을 시켰고 이들과의 유사한 정보를 머신 러닝 알고리즘을 통해서 식별을 할 수 있도록 구현을 했습니다. 그 결과, 꽤 성능이 좋은 안티바이러스 엔진이 만들어졌..
malwares.com 코드분석팀 분석 자료 1. 개요 2018년 4월, 카스퍼스키랩에서 로밍 ?맨티스(Roaming Mantis)라고 명명한 이 공격은 아시아(일본, 한국, 방글라데시)의 사용자들을 대상으로 스마트폰을 감염시킨다는 게시글을 게시했습니다. 해당 악성코드에 감염되기 이전의 사용자들은 네이버, 페이스북, 다음과 같은 사이트에 접근할 때 공격자가 의도한 페이지로 ?리다이렉트(redirect)되어 페이스북이나 크롬으로 위장한 악성코드가 설치됩니다. 공유기 설정 페이지에서 DNS 변조를 통해 악성코드가 유포된 것은유포된것은 매우 오래된 공격으로 아직 많이 이용되고 있을 뿐이므로 공유기 설정에 대한 기본 암호를 변경하는 것이 중요합니다. 그 이후, 카스퍼스키랩은 새로 나타나고 있는 로밍 ?맨티스 그..
*** Security Hot Issue *** 정보보호 시장 동향 병원 정보·의료기기 '사이버 보안' 지침 나왔다 전자신문 김인순 콜드월렛부터 ICO까지...보안업계 '블록체인' 승부수 전자신문 정영일 보험업계, 카카오페이 인증 확산… 블록체인 기반 보안강화 통했다 보안성·친숙함·접근성 '3박자' 교보 등 15곳 인증서비스 도입 공인전자문서중계자 선정 한몫 디지털타임스 황병서 생체인식 글로벌 인증 FIDO, 국내기업 활동 보고서 FIDO의 탄생과 글로벌 기업의 활동, 국내 기업 참여현황 FIDO 얼라이언스 이사회 멤버인 국내 3개 기업이 말하는 FIDO 보안뉴스 엄호식 전지전능 인공지능? 우린 보안특화 AI로 간다 인공지능 연구, 1950년 앨런 튜링 논문에서 시작...1956년 인공지능(AI) 용어 ..
뭐든 붐이 일어나면 사기꾼도 함께 일어나는 법입니다. 이들은 머리가 비상하고 트렌디하며 발빠르게 움직이는 자들이거든요. 가상화폐가 시장 이슈로 떠오른지 벌써 몇 개월 됐습니다. 오늘 놀라운 기사가 하나 떴습니다. ‘시스코’와 무관한 ‘시스코 코인’…“사기 코인 조심하세요”디지털데일리 백지영 기자님께서 쓴 기사인데요. IT인이 아니라도 잘 알고 있는 글로벌 기업 시스코시스템즈 이름을 걸고 사기를 치는 이야기였습니다. 놀랍게도 시스코가 추진하는 스마트시티와 연계해 코인을 발행한다는 있을 법한 스토리를 배경으로 블로그와 카페에서 사람들을 모으고 있었습니다. 시스코 코리아 측에서는 시스코 코인과 무관하다는 공식입장을 내놓았습니다. 피해를 입지 않도록 주의해야 할 때입니다. 혹시라도 주변 사람들이 사기 코인에 당..
정보통신기술진흥센터(IITP)가 2018년 5월 23일 발행한 1847호 에 '4차 산업혁명과 보안 패러다임 변화(송근혜,이승민 / ETRI School, 한국전자통신연구원)' 내용이 실렸습니다. 4차 산업혁명은 초연결, 가상세계와 물리적 세계의 결합, 인공지능 등 신기술의 등장을 통해 이루어집니다. 이러한 특징을 악용한 위협과 광범위한 피해사례 발생으로부터 개인과 기업 국가를 보호하기 위한 전략이 필요합니다. 보고서 목차는 다음과 같습니다. I. 서론II. 보안 패러다임 변화 전망III. 신규 보안 위협1. 정보보안2. 사이버보안3. 사이버안보IV. 결론 및 시사점 *****************************************************************************..
*** Security Hot Issue *** 정보보호 시장 동향 통신3사 공동인증브랜드 'PASS'... 사설 전자인증 시장 '태풍' 되나 전자신문 김인순 기업들이 가장 궁금해하는 GDPR 주요 질문 10 GDPR 적용대상, 기업의 준비사항, GDPR 신설조항 등 문답으로 풀기 GDPR 대응, 중견기업에서 가장 시급한 업무 TOP 5 예산 한정된 중견기업, 우선 순위 정해 전략적으로 대응해야 적용 대상 및 개인정보 파악, 이전 근거 확보, 리스크 통제 등 필요 보안뉴스 김경애 행안부, 부처별로 산재된 개인정보 관련 시스템 하나로 통합 행안부, 분산된 개인정보 관련 시스템 연계해 통합관리하는 시스템 구축 추진 개인정보 노출, 불법 스팸 모니터링 등 개인정보종합관리 시스템으로 통합 운영 행안부, 취약 분..
지난 2017년 말에 LG경제연구원에서 발표한 를 간단하게 정리해 보았습니다. 항상 그렇지만 트렌드는 기술을 앞서나가지요. 우리가 트렌드를 공부해야 하는 이유이기도 합니다. 초지능화/초자동화/초연결화/초융합화 세상에서 더욱 Hyper한 학습자가 되도록 해야겠습니다. ^_____^ 보고서 원문은 해당 사이트(http://www.lgeri.com/report/view.do?idx=19598)에서 무료로 다운 받으실 수 있습니다.
*** Security Hot Issue *** 정보보호 시장 동향 국가사이버경보 올라가면 보안관제 인력 '52시간 어쩌나' 전자신문 김인순 보안업계 보릿고개 '1분기'...양극화 두드러졌다 전자신문 정영일 [창간특집1부⑪] 안전한 초연결시대.…“양자보안 필요” 디지털데일리 최민지 엔드포인트로 향하는 보안, EDR·CDR ‘주목’ 복잡한 엔드포인트 환경 지원해야 EDR 운영 가능…문서·악성코드 전문성 갖춘 CDR 필수 데이터넷 김선애 “공공기관 10%, 지난 1년간 사이버 공격 피해 입어” 국가정보보호백서, 사이버 공격 피해 기관 10.2%…정보보호 담당자 직무 만족도 낮아 데이터넷 김선애 ICT 강국의 전자서명제도 이대로 좋은가? ‘전자서명법 개정’ 갑론을박, 국회도 토론 송희경 국회의원 주최로 18일..
*** Security Hot Issue *** 정보보호 시장 동향 [암호화폐 지갑 보안] 암호화폐 계정 키 보호가 관건 키 분산보관으로 유출시에도 보호…안전한 저장소 이용해 유출 경로 차단해야 데이터넷 김선애 '인공지능 보안·커넥티드카'…KISTEP 10대 유망기술 선정 연합뉴스 신선미 이직 통해 기술유출··· 전문보안 업체 활용도 한 방법 정보보호 전문인력 없는 경우 전문 보안업체 활용하는 것도 한 방법 인터스트리뉴스 전시현 개인정보보호 개인정보처리 업무 위탁시 위반, 주요 사례 어떤 게 있나 법적 의무 사항 미포함, 위탁업무 공개와 수탁사 관리 미흡 등 자주 위반 업무 위탁시 목적외 처리 금지, 기술적·관리적 보호조치 등 7개 필수 의무 고지해야 보안뉴스 김경애 위기의 한국 인터넷이 나아갈 길을 함..
국내 최초 인공지능 안티바이러스 전세계 동시 출시 세인트시큐리티, 기존 안티바이러스 시장에 도전장 멀웨어스닷컴 URL 피드 서비스 개시 유의미한 정보 근간으로 사이버 위협에 선제적 대응 정보보안 시장도 정보가 곧 재산이 되는 시대가 도래했다. 뛰어난 성능의 엔진과 장비를 보유하고 있다 한들 정보 없이는 아무 소용이 없다. 최근 보안 시장에서 정보에 대한 가치와 중요성을 인식하는 움직임이 활발하다. 5년간 악성코드 정보를 수집분석하고, 그 정보를 바탕으로 한 신제품과 서비스를 런칭하는 보안 기업이 있다. 세인트시큐리티(대표 김기홍 www.stsc.com)가 29일 기자간담회에서 인공지능 안티바이러스 솔루션 ‘맥스(MAX)’와 멀웨어스닷컴(malwares.com) ‘URL 피딩 서비스’를 전세계 동시 출시..
세인트시큐리티, APT 솔루션 ‘MNX’ GS인증 1등급 획득 GS인증으로 제품 신뢰성 및 안정성 인정 malwares.com 연동으로 네트워크에 기반한 지능형 악성코드 대응 세인트시큐리티(대표 김기홍 www.stsc.com)가 자사의 APT 솔루션 ‘MNX’가 한국정보통신기술협회(TTA)로부터 GS(Good Software)인증 1등급을 획득했다고 8일 밝혔다. GS인증은 기능성, 신뢰성, 효율성, 사용성, 유지보수성, 이식성 등 국제표준의 세부 항목을 평가해 부여되는 것으로 인증 제품은 공공기관에서 우선 구매 대상으로 지정된다. 이번에 GS인증 1등급을 획득한 MNX는 네트워크 기반의 APT 공격 대응 어플라이언스로 APT, 랜섬웨어, 인증서 탈취 등 최근 이슈가 되고 있는 악성코드를 탐지하고 차단하..
세인트시큐리티, 사이버 공격에 글로벌 공조 CTA(Cyber Threat Alliance) 멤버로 참여 글로벌 사이버 공격 대응 협력에 최선 멀웨어즈닷컴 글로벌 시장 진출 가속화 최근 국내 중소 보안기업이 ‘글로벌 사이버 위협 연합(Cyber Threat Alliance: CTA)’ 멤버로 가입, 세계적인 기업들과 어깨를 나란히 하며 큰 주목을 받고 있다. 세인트시큐리티(대표 김기홍 www.stsc.com)가 CTA에 참여, 날로 지능화되고 첨예해지는 사이버 공격에 대한 글로벌 공조를 시작했다고 27일 밝혔다. CTA는 첨단 사이버 공격에 효과적으로 대응하기 위해 글로벌 보안기업인 시만텍, 맥아피, 포티넷, 팔로알토네트웍스를 중심으로 결성한 사이버 보안 전문가 그룹이다. 다양한 위협 정보를 공유하고 첨단..
*** Security Hot Issue *** 정보보호 시장 동향 [일본 보안 시장, 기회를 잡아라①] 속도 내는 ‘스마트워크’ 초고령화 문제 해결 위해 일본 정부, 스마트워크 의무화…스마트워크 위한 보안 시스템 ‘주목’ [일본 보안 시장, 기회를 잡아라②] APT 방어 시장 개화 2020 도쿄올림픽 앞두고 APT 방어 ‘총력’…컴플라이언스로 망분리·문서보안·무해화 시장 열려 데이터넷 김선애 개인정보보호 가장 안 지켜지는 개인정보 파기, 대표 위반사례 4 개인정보 미파기 위반, 보유기간과 목적달성 지난 개인정보와 탈퇴회원 등 보유 보안뉴스 김경애 문고리닷컴, 684,993명 개인정보 유출...온라인 쇼핑몰 ‘비상’ 문고리닷컴, 684,993명의 아이디·이메일·연락처 등 개인정보 유출 보안뉴스 김경애 기..
세인트시큐리티 보안백서 2호 발간! 세인트시큐리티 코드분석팀이 제2호 보안백서(2분기)를 발행했습니다. 보안백서 Volume 2에서는 새로운 패러다임으로 등장한 IoT 및 IoT 보안 대응에 대한 이야기를 풀어보았습니다. IoT(Internet of Things)는 잘 알지?IoT 보안, 어떻게 바라볼 것인가?IoT 위협에 어떻게 대응할 것인가? PC, 스마트폰, 무선공유기 정도로 국한됐던 보호 대상이, 사물인터넷(IoT) 세상과 만나면서 수백~수천 배까지 확대되어갑니다. 모든 기기들이 연결되는 세상에서 우리는 편리한 삶을 살아갈 수 있을 것입니다.동시에 보안이 더욱 중요해지는 시기가 다가오고 있지요.우리의 삶과 아주 밀접하게 닿아있는 다양한 IoT 디바이스를 안전하고 유용하게 사용하기 위한 노력이 계속..
malwares.com 코드분석팀 분석 자료 1. 개요 2018년 4월 즈음 가상화폐 시장이 얼어붙으며 관련 악성코드도 함께 주춤했었다. 최근 채굴 악성코드가 다시 모습을 드러내고 양상이다. 지금까지 채굴 악성코드는 PC를 주타겟으로 활동해왔다. 갈수록 성능이 좋아지고 24시간 동작하는 특징을 가지고 있는 스마트폰이 채굴 악성코드의 새로운 온상지가 되고 있다. 일반 사용자의 스마트폰을 노리고 있는 해커의 움직임에 주의해야 할 것이다. 본 블로그에서는 새로운 타겟이 되고 있는 스마트폰 위협하는 채굴 악성코드를 분석해본다. 관련 기사 보러가기 : [보안뉴스] 안드로이드 생태계 노리는 악성 채굴 멀웨어 2. 분석 정보 [ Figure 0. 안드로이드 어플리케이션 압축해제 ] 안드로이드 어플리케이션은 압축 파일..
malwares.com 코드분석팀 분석 자료 1. 개요 2018년 1월 26일에 처음 발견된 GandCrab(.GDCB) 랜섬웨어는 RIG EK, Grandsoft EK 두개의 공격 도구를 통해 배포되었습니다. 그러던 중 최근에 Receipt Feb-21310(임의 숫자) 라는 제목으로 메일이 무작위로 발송되었으며 메일에 첨부되어 있던 PDF를 통해 GandCrab 랜섬웨어가 감염되고 있습니다. GandCrab은 해커들이 주로 사용하던 비트코인의 지불을 요구하지않고 비교적 알려지지 않은 대시코인(DASH) 암호화폐를 요구합니다. 대시(DASH)는 해커들에게 더 많은 익명성을 제공하고 비트코인보다 낮은 수수료로 앞으로도 많이 사용될것으로 보입니다. 관련 기사 보러가기 : [데일리시큐] 익스플로잇 킷 통해 ..
"블록체인이 가상화폐야?" 최근 가상화폐, 블록체인이 화두가 되는 것이 이상하지 않은 세상이 됐습니다. 심지어 키즈카페에서도 젊은 어머니들이 모여 가상화폐에 대한 심각한 토론을 나누신다고 하네요. 가상화폐 이슈가 불거지면서 마치 "블록체인=가상화폐"로 여기거나 "블록체인에서 가상화폐를 제외시키겠다"는 얘기가 나오는 등 혼란이 커지고 있습니다. 가상화폐는 블록체인의 다양하고 방대한 기능 가운데 아주 일부입니다. 특히 국내에서 비트코인과 같은 가상화폐로 돈을 벌거나 잃은 투자자들이 많아지면서 한쪽으로 쏠림현상이 일어나 오해가 생기게 된 것 같습니다. 그런데 TV 토론회를 보아도 딱히 잘 모르겠는 건 마찬가지입니다. 전문가로 나오신 저명한 분들은 비트코인 얘기만 하시거든요. 그래서 세인트시큐리티에서 '블록체인..
세인트시큐리티 보안백서 발간! 세인트시큐리티 코드분석팀이 제1호 보안백서를 발행했습니다. 앞으로 분기별 1회, 정기적으로 발행될 예정이며 다양하고 유익한 보안 이슈로 여러분을 만날 것입니다. 보안백서 Volume 1에서는 2017년에 발생했던 주요 보안 사고를 훑어보고 2018년도에 이슈가 될 것으로 예측되는 3가지를 선정해 이야기를 풀어보았습니다. 악성코드는 진화중블록체인과 정보보호나는, 내 정보는 소중하니까요 3가지 이슈를 세인트시큐리티 코드분석팀에서 면밀히 관찰한 결과와 예측을 여러분께 선보여 드립니다. 참! 보시면 타사와는 뭔가 다른 점이 있으실 거예요. 아마도 고등학교 시절 열심히 공부하던 기억이 새록새록 나지 않을까 싶습니다. 자 그럼~ 2018년도엔 어떤 이슈가 있을지 함께 살펴 보시지요. ..
malwares.com 코드분석팀 분석 자료 1. 개요 최근 malwares.com에 한국어와 카카오톡 이미지를 사용하는 마인크래프트 위장 랜섬웨어가 발견 됐다. 특히 주목할 점은, 감염될 경우 접속하도록 공개한 URL이 2016년 8월에 배포돼 이슈였던 카카오톡 위장 랜섬웨어와 같은 주소였기 때문이다. 즉, 2016년 8월 이후 2018년 1월 현재까지도 배포되고 있는 것이다. 이에 최초 발견되었던 카카오톡 위장 랜섬웨어와 마인크래프트 위장 랜섬웨어의 차이를 확인해 보고자 한다. 2016년 관련 기사 보러가기 : [데일리시큐] 국내에서 제작한 카카오톡 위장 랜섬웨어 확인돼...주의 2. Hidden Tear 2016년 8월에 확인된 랜섬웨어는 교육용으로 깃허브에 공개된 랜섬웨어인 "Hidden Tear..
malwares.com 코드분석팀 분석 자료 1. 개요 2018년 1월 8일 해외 보안회사 에어리언볼트(AlienVault)에서 최근 지속적으로 이슈가 되고 있는 모네로 채굴 악성코드에 대한 신규 샘플 분석 정보를 내놓았다. 신규 모네로 채굴 악성코드는 분석 결과 북한과 관련된 것으로 추정된다. 북한 정부 산하 해킹 그룹인 라자루스(Lazarus)가 최근 타겟을 금융 부분으로 옮긴 것과 같은 맥락으로 추정된다. AlienVault 분석 정보 : A North Korean Monero Cryptocurrency Miner 관련 기사 보러가기 : [서울경제] 가상화폐 채굴시켜 북한으로 송금하는 "악성코드" 발견돼 2. 분석 정보 에어리언 볼트에서 공개한 3개 샘플을 분석해보니 같은 악성코드 프로젝트의 결과물..
malwares.com 코드분석팀 분석 자료 1. 개요 2017년은 랜섬웨어의 해였다고 볼 수 있을 정도로 강세였다. 하반기로 갈수록 비트코인 등 가상화폐의 관심이 높아지면서 이를 노린 가상화폐 마이너들이 급격히 증가했다. [ 그림 1. 가상화폐 마이너의 급격한 증가 그래프 ] 관련 기사 보러가기 : [보안뉴스] 가상화폐 광풍이 불러온 '채굴 악성코드'의 진화 이번에 분석한 악성코드 또한 가상화폐 마이너로 사용자 PC의 리소스를 사용해 특정 가상화폐를 채굴하는 기능을 가지고 있는 것으로 나타났다. 상세한 분석을 통해서 어떻게 채굴하는지 알아보자. 관련 기사 보러가기 : [아이뉴스24] 비트코인 악성코드 10월 기점 "폭발적 증가" 2. 가상화폐 "모네로" 분석 대상 샘플은 가상화폐 중 '모네로'를 채굴하..
malwares.com 코드분석팀 분석 자료 1. 개요 2017년 12월 17일 일요일 오후, 친구가 페이스북 메신저로 파일을 전송했다. 파일명은 Video.67846746.mp4.exe. 친구는 자신이 파일을 보낸 사실조차 모르고 있었다. 무슨 파일일까?그 후 같은 경험을 한 사람들이 페이스북에 글을 올리기 시작했다. 이렇게 파일을 배포한 해커는 무엇을 목표로 이렇게 동시다발적으로 유포를 시도했을까? 파일을 통해 확인해 보자. 관련 기사 보러가기 : 보안뉴스 [긴급] 페이스북 메신저로 온 video.xxxx.zip 파일의 정체 2. 분석 정보 [ 그림1. AutoIt 소스코드 ] URL : http://byclixe.ozivu.bid/api/apple/config.phpUser-Agent : Miner..
malwares.com 코드분석팀 분석 자료 1. 개요 2017년 10월 9일 SensePost의 블로그에 흥미로운 글이 게시됐다. 이는 오피스 문서 내 DDE(Dynamic Data Exchange) 기능을 활용해 임의의 코드 실행 관련 글로 매크로와 같은 스크립트를 삽입하는 과정이 상세히 나와있다. 또한 이렇게 악성 동작을 삽입한 스크립트는 안티 바이러스 업체에서 탐지가 불가능하다는 것도 보여주고 있다. 그 동안 Macro와 GhostScript(또는 PostScript) 기능을 이용한 형태에 다른 방식이 추가된 것이다. 문제는 대부분의 안티 바이러스 업체에서 이를 탐지하지 못하기 때문에 바이러스 진단에 있어 보안에 적신호가 켜진 것이다. 해당 글이 공개된 이후 연일 관련 뉴스들이 쏟아지고 있으며 그..
malwares.com 코드분석팀 분석 자료 1. 개요 malwares.com을 통해 유입된 해당 악성코드는 외부로부터 다운로드 받는 파일이 암호화돼 있었다. 이력을 확인해 본 결과, 2015년부터 지금까지 유포되고 있는 악성코드임을 알 수 있다. 그 이전부터 유포됐을 가능성도 배제할 수 없으며, 많은 서버에서 유포되고 있어 저명한 악성코드로 추측하고 있다. 그러나 해당 샘플이 어디서 공유되고 있는 지는 알 수 없다. 어떻게 같은 샘플을 가지고 서로다른 많은 공격자가 사용하는지 분석을 통해 알아 보자. 2. 분석 정보 (1) Dropper szUrl : 4jNnIiz7AYwSsF0fDp4YatEvOJXt+j7K4eauVpX6VwkjB7o=Decode szUrl : http..
malwares.com 코드분석팀 분석 자료 1. 개요 최근 CVE-2017-8759로 명명된 제로데이 취약점의 POC가 공개되었고 핀피셔(FinFisher)는 해당 취약점을 이용해 RTF(Rich Text Format) 문서를 작성했고, 이 파일을 통해서 감시소프트웨어 Finspy 를 러시아어 사용자들을 감염시키기도 하였다. 또한 해당 취약점은 많은 악성코드 제작자들이 사용하고 있고, .NET framework의 대부분 버전에서 발생하기 때문에 매우 크리티컬한 취약점이다.분석을 통해 해당 취약점이 왜 동작하고, 어떻게 동작하는지 알아보고 현재 어떻게 패치되었는지 알아보자. ※ 참고 : 분석 정보에 나오는 "vuln.kr" 과 "hack.kr"은 내부 분석을 위해 사용된 분석가 도메인으로 악성 도메인은 ..
malwares.com 코드분석팀 분석 자료 1. 개요 최근 북한의 사이버 공격 그룹이 세금관련 한글문서를 이용해 국내 가상화폐 기업을 공격한 사례가 보도된 바 있다. 해당 북한 공격그룹은 TEMP.Hermit로 다음의 문서 파일을 통해 PEACHPIT 악성코드를 유포했다. 세무조사준비서류.hwp 법인(개인)협의거래보고내역.hwp납세담보변경요구서.hwp환전_해외송금_한도_및_제출서류.hwp2017년5월까지감지된유사수신행위와법률적조치.hwp국내가상화폐의유형별현황및향후전망.hwp이러한 악성 문서 파일들은 최근 유행하는 한글 파일내에 EPS (Encapsulated PostScript) 를 삽입해 동작시키는 형태이다. EPS는 Adobe 측에서 공개한 언어로 인터프리터인 GhostScript를 이용해 문서나 ..
malwares.com 코드분석팀 분석 자료 1. 개요 실행된 파일명이 vmtoolsd.exe 이어야 동작하는 코드를 발견했다. VM에 설치되어 호스트에 영향을 끼치기 위한것인가? 아니면 단순히 분석가에게 걸리지 않기 위함인가? 하지만 설치되어있는 경로가 이상하다. 분석을 통해 C2 서버와 무슨 행위를 하는지 파악해보자 2. 분석 정보 분석 대상 악성코드는 관리자 패스워드 탈취, 원격 명령 실행이 가능한 백도어의 기능을 한다.C2 Server를 가지고 있으며, 파일 드랍의 기능을 가지고 있으나 현재는 동작하고 있지 않다. 다른 포함한 기능을 살펴보며 분석한다. (1) 시작 프로그램의 시작지점인 WinMain을 분석해보면 실행된 자기프로세스가 시스템 디렉토리에 “..
malwares.com 코드분석팀 분석 자료 1. 개요 예전에 등장한 백도어로 보이는 파일이 최근에도 유입되고 있었다. 수 많은 랜섬웨어가 등장하고 있지만, 최근에 파밍, 뱅킹, 백도어등 타 악성코드들이 모습을 보이고 있는 추세이다. 백도어로 추정되는 악성코드 분석을 통해 악성코드의 세부 동작과 악성코드 유포자의 의도가 무엇인지 알아보자. 2. 분석 정보 분석 대상 악성코드는 관리자 패스워드 탈취, 원격 명령 실행이 가능한 백도어의 기능을 한다.C2 Server를 가지고 있으며, 파일 드랍의 기능을 가지고 있으나 현재는 동작하고 있지 않다. 다른 포함한 기능을 살펴보며 분석한다. (1) 시작 해당 악성코드를 실행하게 되면, 처음 동작의 경우에는 서비스에 등록하게 되며,..
malwares.com 코드분석팀 분석 자료 1. 개요 드랍퍼로 보이는 파일을 수집했다. IDA로 열어보니 평소에 자주보던 설치패키지가 아니다. 이 설치 파일은 어떠한 동작을 할까. 분석을 통해서 알아보자. 2. 분석 정보 IDA로 분석대상을 열어보면 임시폴더에 caoyuanwl 폴더를 생성한다. 현재 바이너리에서 특정한 영역을 복호화하여 [Figure 0] 에서 생성한 임시폴더에 파일을 생성한다. 임시폴더에 9개의 파일이 생겨났다. 각각의 파일은 PE파일로 동작가능하나, exe의 확장자를 가지고 있지않아 다른 파일에서 호출을 통해서만 사용가능 하다. 생성..
malwares.com 코드분석팀 분석 자료 1. 개요 - 안드로이드 악성코드는 예전보다 줄었지만, 어플리케이션을 크랙해 소스코드를 무단도용하는 사례가 많아지게 되었다. 2017년, 안드로이드 패커도 많이 등장했으나, 지금도 해커들과 창과 방패의 싸움을 진행중이다. 분석을 방해하기 위한 기법을 사용한 악성 어플리케이션 분석을 통해서 알아보자. 관련 기사 : (2016.12.27) [애플경제] 오늘의 앱 이야기 50 2. 분석 정보 분석을 시도할 샘플을 분석용 단말에 설치하여 확인해보면 크롬브라우저 어플리케이션과 똑같이 생겨서 정상 어플리케이션과 악성 어플리케이션의 구분이 가지 않는다. 실행했을 때, 기기 관리자 권한획득을..
malwares.com 코드분석팀 분석 자료 1. 개요 - 2017년 2월, 리눅스를 타겟으로한 랜섬웨어가 발견되었다. 이 랜섬웨어는 2015년 우크라이나의 국가 인프라를 공격하는데 사용되었던 KillDisk의 변종인것으로 알려졌다. 랜섬웨어에 감염 될 경우 $250K(약 3억)을 요구한다. 그러나 해외 기사에 따르면 키를 서버로 전송하거나 저장하지 않으므로, 복구 비용을 지불하더라도 복구를 할 수 없고, 취약점이 존재해 복구가 가능하지만 이 또한 어렵다고 한다. 분석을 통해서 자세히 알아보자. 관련 기사 : (2017.01.10) [데일리시큐] 리눅스 컴퓨터 암호화하는 KillDisk 악성코드 변종 발견 2. 분석 정보 리눅스의 모든 디렉토리를 crypto_loc..
malwares.com 코드분석팀 분석 자료 1. 개요 - 2017년 2월, 랜섬웨어로 인한 감염은 계속되고 있으며, 값은 지속적으로 오르고있다. 그로 인해 비트코인 시장까지 활성화 되어 1년동안 비트코인의 가치는 2배가 뛰었다. 이번에 한국에 등장한 Erebus 랜섬웨어는 $90(10만원 상당) 을 요구해 "저가형 랜섬웨어" 로 불리고 있다. 타 랜섬웨어와 다른점이 가격말고 무엇이 있을지 분석해보았다. 관련 기사 : (2017.02.17) [보안뉴스] 10만원만 줘! 저가형 랜섬웨어 '에레보스' 등장 2. 분석 정보 프로그램에서는 제일 먼저 가상환경을 탐지해낸다. 3가지 방법으로 탐지를 시도해내고 있으며 탐지 될 경우, 종료한다. 이로 인해 행위 분석으로는 결과가 나오..
malwares.com 코드분석팀 분석 자료 1. 개요 분석 대상 샘플은 2016년 초부터 꾸준히 배포/보고되고 있는 악성코드로 감염된 사용자 PC에서 지속적으로 동작하면서 서버와 통신 및 기능 업데이트를 하는 형태의 악성코드이다. 본 악성코드의 특이한 점은 업데이트등을 위해 접근하는 C2 서버는 과거 악성으로 사용된 이력이 없는 신규 등록 도메인이라는 점과 업데이트를 제외한 악성으로 의심할 만한 어떠한 동작도 하지 않는다는 점이다. 또한 해당 악성코드는 하루에도 3~4차례 업데이트가 이루어지고 있는 등 봇넷은 구성되고 있지만 탐지/차단이 매우 어려운 상황이다. 버전 : 1.0.0.455 ~ 1.0.275.3232유사 변종 샘플 수 : 약 1100여개유포/배포 URL : 800여개 2. 분석 정보 (1)..
안녕하세요.malwares.com 입니다. 지난 주 그것이 알고싶다 방영 이후 폭발적인 인기 상승을 느끼고 있는 월요일 오후 입니다.다들 주말은 잘 보내셨죠? 저희가 운영중인 malwares.com 이 해외에 서비스 되고 있는 VirusTotal 과 비교하여 많은 분들이 문의를 주고 계십니다.VirusTotal 은 아무래도 전 세계에서 수집한 풍부한 악성코드 데이터베이스가 아무래도 큰 자랑인데요, 그렇다 보니 수집된 파일이 외부로 노출 되거나 권한을 가진 일부 유료 사용자에게 그 정보와 샘플 파일이 고스란히 노출 되는 문제가 종종 있었습니다. 관련 기사 보기 : http://www.etnews.com/20170206000431 (전자신문) 저희 malwares.com 은 서비스 시작 때 부터 이런 상황에..