본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

최신동향

최신동향 상세보기
남미 금융 기관을 대상으로 유포 되는 새로운 KillDisk 변종 발견2018.01.22
개요
 
  1. 트렌드마이크로社는 남미 금융기관을 대상으로 유행하는 새로운 KillDisk 변종 발견
     

  

주요내용

 

  • KillDisk는 2015년 12월 블랙에너지 그룹이 우크라이나 에너지 산업 공격 뿐만 아니라 철도, 광산 산업을 대상으로 한 랜섬웨어 공격에 이용하였고, 최근에는 랜섬웨어 기능이 사라지고 남미 금융권을 대상으로 사이버 공격에 악용되고 있음
 
  1. 악성코드는 기존의 버전과 다르게 랜섬웨어 기능이 사라졌으며 드라이브의 아래와 같은 시스템 폴더 및 하위 디렉토리를 제외하고 저장된 파일을 삭제
    - WINNT, Users, Windows, Program Files, Program Files (x86), ProgramData, Recovery (case-sensitive check), $Recycle.Bin, System Volume Information, old, PerfLogs
 
  1. 또한 연결 된 저장 장치의 MBR(마스터 부트 레코드)를 읽어 첫 번째 0x20섹터를 “0x00"으로 덮어써 목록의 파티션을 손상시키고, 발견 된 파티션이 확장 파티션이 아닌 경우 실제 볼륨의 첫 0x10 및 마지막 섹터를 덮어씀
 
  1. 악성코드는 시스템 재부팅을 강요하거나 사용자의 재부팅을 유도하기 위해 다음 프로세스를 종료하여 비정상 동작 유발
    - 클라이언트 / 서버 런타임 하위 시스템 (csrss.exe)
    - Windows 시작 응용 프로그램 (wininit.exe)
    - Windows 로그온 응용 프로그램 (winlogon.exe)
    - 로컬 보안 기관 하위 시스템 서비스 (lsass.exe)

  

시사점

 

  • 시스템과 어플리케이션의 보안 업데이트
 
  • 의심스러운 프로그램이 실행 되는 것을 차단하고, 비정상적인 시스템 수정을 막을 수 있는 응용프로그램 제어/허용 목록 및 동작 모니터링과 같은 보안 정책 사용
     
 
 

 


[출처]
1.http://https://blog.trendmicro.com/trendlabs-security-intelligence/new-killdisk-variant-hits-financial-organizations-in-latin-america/ , 2018.1.15




작성 : 침해대응단 상황관제팀
키워드 KillDisk , 악성코드