프로세스크랙 - 시스템 해킹 방지 및 애드웨어 제거 프로그램

프로세스클린  |  프로세스핑  |  프로세스클램  |  프로세스클리너  | 프로세스락

모바일 프로세스 접속 |  프로세스클린 시작페이지 설정하기

프로세스 초기화 하지 않고 인터넷 접속 하면 100% 해킹 당할것임



프로세스 시작페이지

 

모바일 프로세스 접속

 

프로세스 즐겨찾기

 

회원 등업 신청

 

불꽃 포인트 전환

 

출석체크 | 배너홍보

 

회원탈퇴

설문조사 (500 point 적립)
등업 포인트 상향 원함?


프로세스클린 사용 방법   <--- 이거슨 사용방법 반드시 읽어보셈

프로세스 초기화

바이럴런처

시스템 해킹방지

서비스 초기화

프로세스 보기

초기화 제외 목록

하드디스크 최적화

시작 프로그램

IE 최적화

엑티브X 최적화

환경설정

시스템복원

상세설명

 

바이러스검사

   

프로세스핑

서비스초기화 설정

시작프로그램

현재프로세스

프로세스초기화

시스템해킹방지

히든커버링

초기화 제외 등록

시스템복원

HDD 최적화

IE 초기화

엑티브X 최적화

바이럴런처

환경설정

업데이트

 

 

등업 신청

출석체크

회원 권한 생략 초고속 프로세스 락 2.56a 다운로드

회원 권한 상승      불꽃 충전 다운로드

프로세스클린 + 프로세스핑

프로세스클린 2.65ap Pro. 다운로드





출석체크 1등 2000점 2등 1800점 기본 500점: http://www.processcrack.co.kr/plugin/mw.attendance/


회원가입 인사 글쓰기 : 500점 회원가입 환영 댓글 : 20점 회원가입 댓글 읽기 : 5점


회원 가입 게시판 : http://www.processcrack.co.kr/bbs/board.php?bo_table=B32





[ 광속 ] 초고속 광속 성장 레벨업 비법 공개  <-- 클릭




주간 인기 게시물

총 게시물 11,802건, 최근 0 건
   
* 주목해야 할 매그니베르 랜섬웨어의 변화
글쓴이 : Ador                    (182.♡.81.210) 날짜 : 2018-04-29 (일) 22:48 조회 : 415


씨넷 키워드

야후홍콩

구글닷컴

야후재팬


야후닷컴

바이두

소소닷컴

얀덱스

 

 

 

주목해야 할 매그니베르 랜섬웨어의 변화
   
  AhnLab
2018-03-05 

지난 2017년 중반 무렵, 매그니베르(Magniber) 랜섬웨어가 나타났다. 이름에서 짐작할 수 있는 것처럼 매그니베르는 케르베르(Cerber) 랜섬웨어에서 변형돼 매그니튜드(Magnitude) 익스플로잇킷을 이용해 유포되는 랜섬웨어다. 지난 2017년 하반기에 본격적으로 등장한 매그니베르 랜섬웨어가 주목 받았던 이유는 바로 한글 윈도우에서만 실행된다는 점 때문이었다. 한국 사용자를 노리는 것으로 알려진 매그니베르 랜섬웨어가 최근 뚜렷한 변화를 보이기 시작했다.

매그니베르 랜섬웨어는 주로 매그니튜드 익스플로잇킷을 이용해 멀버타이징(Malvertising) 방식으로 유포되고 있다. 멀버타이징은 정상적인 광고 서비스의 네트워크를 이용하여 악성코드를 유포 및 감염시키는 방법이다. 그런데 최근 매그니베르 랜섬웨어의 파일 생성 방식과 동작 방식에 변화가 나타났다.

매그니베르 랜섬웨어 파일 생성 방식의 변화: 파일 은폐

최신 매그니베르 랜섬웨어는 감염된 시스템에 랜섬웨어 파일을 생성할 때 ADS(Alternate Data Stream)를 활용해 파일을 은폐하는 기법을 사용하고 있다. [그림 1]과 [그림 2]는 각각 암•복호화된 매그니베르 랜섬웨어 유포 스크립트다. [그림 2]의 복호화된 매그니베르 유포 스크립트를 보면 %temp% 경로에 생성하는 파일명이 “wa0flL0Y: wa0flL0Y”이다.

[그림 1] 난독화된 매그니베르 랜섬웨어 유포 스크립트

 [그림 2] 복호화된 매그니베르 랜섬웨어 유포 스크립트

감염된 시스템의 로컬에 저장된 파일을 디렉토리에서 확인하면 [그림 3]과 같이 파일의 크기가 0 바이트로 나타난다.

[그림 3] temp 폴더에 생성된 파일

해당 경로를 [그림 4]와 같이 커맨드 명령(dir /r)을 통해 확인해보면 “wa0flL0Y: wa0flL0Y” 라는 이름의 ADS(Alternate Data Stream)에 실제 랜섬웨어 파일이 생성된 것을 알 수 있다.

[그림 4] 커맨드 명령을 통해 확인한 실제 폴더 구조

ADS에 생성된 실제 랜섬웨어 파일은 [그림 2]의 스크립트 마지막 줄에 위치한 실행문에 의해 실행된다. 윈도우(Windows) XP 이후 버전에서는 보안상의 이유로 ADS에 생성된 파일은 "start [파일명]" 과 같은 커맨드 명령으로는 실행되지 않는다. 그러나 아래와 같은 WMIC 쿼리를 이용하면 윈도우 7 환경에서도 ADS에 생성된 파일이 실행된다.

WMIC 쿼리​

매그니베르 랜섬웨어 동작 방식의 변화

지난 2월 말 안랩이 수집한 매그니베르 랜섬웨어 유포용 자바 스크립트에서 ADS에 생성한 파일을 forfiles.exe를 통해 실행하는 기법이 새롭게 발견되었다. forfiles.exe는 윈도우 운영체제에서 제공되는 프로그램으로, 특정한(선택적인) 파일에 대해 커맨드 명령을 수행하는 기능을 갖고 있다.

[그림 5]는 지난 2월 안랩에 접수된 매그니베르 랜섬웨어 유포 스크립트로, 난독화되어 있다. [그림 6]은 이 난독화된 스크립트를 복호화한 것이다.

[그림 5] 난독화된 매그니베르 랜섬웨어 유포 스크립트

[그림 6] 복호화된 매그니베르 랜섬웨어 유포 스크립트

[그림 6]에 표시된 부분은 새롭게 추가된 실행문으로, 이 실행문은 감염 시스템의 ADS에 생성된 랜섬웨어 파일을 forfiles.exe를 통해 실행하는 역할을 한다. forfiles.exe를 이용하면 ADS에 저장된 파일이 윈도우 7, 윈도우 10에서도 실행 가능한 것으로 확인됐다. 따라서 WMI 쿼리가 비활성화된 시스템을 감염시키기 위한 것으로 해석할 수 있다.

forfiles.exe 커맨드

위의 커맨드를 살펴보면 forfiles.exe의 명령 반복 횟수를 한 번으로 제한하기 위해 커맨드 앞단의 명령 인자(“/p c:\\windows\\system32 /m notepad.exe)가 사용된 것을 알 수 있다. 따라서 이어지는 명령 인자(/c \””+ FilePath + ”\”)가 한 번 실행되며, 공격자는 해당 명령을 통해 단일 파일을 실행하기 위한 목적으로 forfiles.exe를 사용하였다.

V3 제품군에서는 ADS(Alternate Data Stream)에 생성된 악성 파일을 다음과 같은 진단명으로 탐지하고 있다.

<V3 제품군 진단명>

Trojan/Win32.Magniber

Malware/MDP.Ransome.M1171

매그니베르 랜섬웨어는 주로 멀버타이이징 기법을 통해 유포 및 감염된다. 멀버타이징 기법은 오래된 운영체제 및 소프트웨어 버전을 사용하거나 최신 보안 패치를 적용하지 않는 시스템에 치명적이며, 광고 차단(애드 블록) 기능을 이용하지 않는 사용자들이 피해를 입는 경우가 많다. 따라서 매그니베르 랜섬웨어 등 멀버타이징 기법을 통해 유포되는 랜섬웨어의 피해를 예방하기 위해서는 최신 보안 패치 적용이 무엇보다 중요하다. ​
 
AhnLab 로고 
ASEC 분석팀

 

 


8 글자 이상 작성하실수 있습니다. (현재 0 글자 작성하셨습니다.)
   

총 게시물 11,802건, 최근 0 건
번호 제목 날짜 추천 비추천
 시사-보안 짤방 이용 +71 03-06 44 3
11802  * 갠드크랩 랜섬웨어 감염 확산 중...대응 방법은? 04-29 1 0
11801  * 주목해야 할 매그니베르 랜섬웨어의 변화 04-29 0 0
11800  * 링크드인, 자동완성(Autofill) 취약점 발견...개인정보 유출 제기 04-29 0 0
11799  북미 정상회담? +1 04-10 0 0
11798  국가가 제대로 서야 서민 경제가 살수 있다 03-26 0 0
11797  아시아나 항공 타야 하나 03-13 0 0
11796  정의용 "김정은, 만나길 갈망…트럼프, 5월안에 만날 의사 밝혀"(종… 03-09 0 0
11795  우리나라의 강력한 무기가 뭐일까? +1 02-05 0 0
11794  운전 중 휴대전화 사용자 車보험료 할증 추진(종합) +3 01-10 2 0
11793  한·중, 급속 해빙…'사드보복' 접고 '관계복원' 전방… 11-14 0 0
11792  우리나라가 강해지려면 +5 11-11 1 0
11791  트럼프의 이란 핵협정 불인증이 위험한 이유 +3 11-03 0 0
11790  文대통령, 구테흐스 유엔총장에 '북핵' 대화 중재 요청(종합) +4 09-19 1 0
11789  대북 외교압박 전세계 동참…남미·중동·유럽 '北대사 나가'… 09-19 1 0
11788  文대통령 5.18 진상조사 지시에 정치권 '들썩' +1 08-23 0 0
11787  "핵포기 불가·한미훈련 중단" 北외교관 동시다발 선전전 +1 08-23 0 0
11786  北 수산물 금수로 中 업계 타격···러시아産이 빈자리 채울 듯 08-23 0 0
11785  보수야당, 문 대통령 남북정상회담 제안 일제히 비판 07-07 2 0
11784  대북 제재가 먹히지 않는 이유…"전세계 164개국이 北과 교류 07-07 0 0
11783  선명해진 한미일-북중러 구도…베를린 구상 추진 '험로' 예… 07-07 0 0
11782  북한, 독재 국가는 맞지만 '북괴'는 아니다 +1 07-02 1 1
11781  펌) 되돌아 보기 +1 06-27 1 1
11780  박근혜 "4월16일, 몸 안 좋아 관저에서 조금 편하게 근무" +3 05-25 1 1
11779  사면초가 트럼프, 탄핵 위기 맞나? +1 05-17 1 0
11778  '코미의 메모' 무엇이 담겼기에…탄력받는 '트럼프 탄핵… +2 05-17 0 0
11777  文대통령 "정규직 전환 못하게 묶었던 규제 과감히 풀겠다"(상보) +2 05-12 2 0
11776  한국당, 文대통령 '세월호' 재조사 지시에 "정치보복 안돼" +5 05-12 1 0
11775  시진핑과 만나기 전에 트럼프가 받아 본 북핵 타결의 3가지 옵션 +1 05-11 1 0
11774  트럼프는 북중관계에 대한 시진핑의 이야기를 10분 듣고 나서야 ‘… +3 05-11 1 0
11773  수출·창업 ‘활짝’… G2 외풍·내수부진이 경기회복 ‘발목’ +1 05-01 1 0
11772  트럼프 말 한마디에… 롤러코스터 타는 환율 +2 05-01 1 0
11771  "핵실험시 中 北에 6개월 원유공급 중단" +2 05-01 1 0
11770  대선 토론 후 정의당... +5 04-20 1 0
11769  北 "미국이 선택하면 전쟁에 나설 것"..주말에 핵실험? +3 04-14 0 0
11768  北 "오산·평택 미군기지와 청와대, 몇 분이면 초토화"(2보) +1 04-14 0 0
11767  인슐린 셸프주사~ +5 04-04 0 0
11766  세월호 미수습자 9명어디있나? 04-02 0 0
11765  전업 아빠 +1 03-25 0 0
11764  "언제 잘릴 지 모르는데"… 부업하는 직장인들 +2 03-19 0 0
11763  손석희가,,, +1 03-19 1 3
11762  또 하나의 가족 박근혜 +3 03-15 1 2
11761  대통령이 특검조사 파악지시 +2 03-15 0 0
11760  박범계 "靑 보좌진 사표 반려, 박 전 대통령 '자택정치' 응하… +1 03-15 0 0
11759  손흥민 77% 몰표 MOM +1 03-14 1 0
11758  대성통곡 최순실 +4 03-13 2 0
11757  김기춘,,,,,, +1 03-12 1 1
11756  조윤선,,,,, +2 03-12 1 2
11755  박 전 대통령, 청와대 관저 머물며 여전히 침묵 +1 03-12 0 1
11754  이정미 재판관님의 헤어롤~^^ 03-11 1 1
11753  유시민,,, +1 03-11 0 0
 1  2  3  4  5  6  7  8  9  10  다음  맨끝