Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보일본을 타겟으로 한 Ursnif 악성코드
작성일 2017-11-01 조회 1159

개요

Ursnif(또는 Gozi)는 북미, 유럽, 호주 및 일본등을 주요 대상으로 활동하는 악성코드이다. 이번에 발견된 변종은 기존에 사용된 스팩에서 새로운 기능 및 회피 기술이 추가되었다. 해당 악성코드는 2016년 금융부분에 가장 큰 두각을 나타낸 악성코드이며 현재까지도 많은 영향력을 끼치고 있다. 최근에는 9월 부터 시작하여 일본 은행을 타겟으로 활발히 활동중이다.

 

<그림 1 - 2017년 10월 금융 관련 악성코드 비중 출처:X-force

 

확인내역

악성코드의 유포는 이메일의 문서를 통해 전달이 된다. 메일 내용은 일본의 금융 서비스 및 카드 제공 업체등에서 보낸 것처럼 위장을 하며 <그림 2>와 같이 피싱용 문서를 첨부한다. 문서 내용에는 매크로 사용 유도를 위한 문구가 포함되어 있다.

 

<그림 2 - 이메일을 통해 유포되며 매크서 사용 기능을 유도하는 Ursnif 악성코드>

 

 이번에 일본에서 발견된 Ursnif 변종은 은행 외에도 로컬 웹 메일, 클라우드 스토리지, 암호화 교환 플랫폼 및 전자 상거래 사이트에 대한 사용자 자격 증명 또한 공격 대상에 포함이 되었다. 그리고 사용자가 악의적인 파일을 닫은 후에만 PowerShell을 시작하는 샌드 박스 탐지를 회피하는 기술 또한 추가가 되었다. 

 

대응방안

1. 최신의 백신으로 치료한다.

 

2. 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다.

 

3. 당사 IPS에서는 아래와 같은 패턴으로 대응이 가능하다.

[3796] Win32/Trojan.Ursnif.45568

 

4. Snort Rule은 시큐어캐스트에서 확인 가능하다.

참고

https://threatpost.com/ursnif-banking-trojan-spreading-in-japan/128643/
https://securityintelligence.com/ursnif-campaign-waves-breaking-on-japanese-shores/
http://malware-traffic-analysis.net/2017/10/03/index4.html

 

첨부파일 첨부파일이 없습니다.
태그 Ursnif  Gozi  일본  banking