본문내용 바로가기 메인메뉴 바로가기

하단내용 바로가기

최신동향

남미 금융 기관을 대상으로 유포 되는 새로운 KillDisk 변종 발견2018.01.22
개요
 
  1. 트렌드마이크로社는 남미 금융기관을 대상으로 유행하는 새로운 KillDisk 변종 발견
     

  

주요내용

 

  • KillDisk는 2015년 12월 블랙에너지 그룹이 우크라이나 에너지 산업 공격 뿐만 아니라 철도, 광산 산업을 대상으로 한 랜섬웨어 공격에 이용하였고, 최근에는 랜섬웨어 기능이 사라지고 남미 금융권을 대상으로 사이버 공격에 악용되고 있음
 
  1. 악성코드는 기존의 버전과 다르게 랜섬웨어 기능이 사라졌으며 드라이브의 아래와 같은 시스템 폴더 및 하위 디렉토리를 제외하고 저장된 파일을 삭제
    - WINNT, Users, Windows, Program Files, Program Files (x86), ProgramData, Recovery (case-sensitive check), $Recycle.Bin, System Volume Information, old, PerfLogs
 
  1. 또한 연결 된 저장 장치의 MBR(마스터 부트 레코드)를 읽어 첫 번째 0x20섹터를 “0x00"으로 덮어써 목록의 파티션을 손상시키고, 발견 된 파티션이 확장 파티션이 아닌 경우 실제 볼륨의 첫 0x10 및 마지막 섹터를 덮어씀
 
  1. 악성코드는 시스템 재부팅을 강요하거나 사용자의 재부팅을 유도하기 위해 다음 프로세스를 종료하여 비정상 동작 유발
    - 클라이언트 / 서버 런타임 하위 시스템 (csrss.exe)
    - Windows 시작 응용 프로그램 (wininit.exe)
    - Windows 로그온 응용 프로그램 (winlogon.exe)
    - 로컬 보안 기관 하위 시스템 서비스 (lsass.exe)

  

시사점

 

  • 시스템과 어플리케이션의 보안 업데이트
 
  • 의심스러운 프로그램이 실행 되는 것을 차단하고, 비정상적인 시스템 수정을 막을 수 있는 응용프로그램 제어/허용 목록 및 동작 모니터링과 같은 보안 정책 사용
     
 
 

 


[출처]
1.http://https://blog.trendmicro.com/trendlabs-security-intelligence/new-killdisk-variant-hits-financial-organizations-in-latin-america/ , 2018.1.15




작성 : 침해대응단 상황관제팀
키워드 KillDisk , 악성코드