01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 유명취업사이트채용공고지원문의로위장된랜섬웨어피해속출 한

Transcription

1 01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No

2 01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 유명취업사이트채용공고지원문의로위장된랜섬웨어피해속출 한국어를구사하는랜섬웨어유포자, 매크로기반으로갠드크랩유포중 03 악성코드분석보고 개요 악성코드상세분석 결론 04 해외보안동향 영미권 중국 일본

3 이스트시큐리티보안동향보고서 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 1

4 01 악성코드통계및분석 1. 악성코드동향 지난 4 월에는 GandCrab 으로대표되는랜섬웨어의지속적인공격이있었습니다. 하지만 APT 공격그룹의오퍼레이션 배틀크루저 / 베이비코인 / 스타크루저공격도새롭게확인되었고, 다양한형태로사용자들을현혹하여정보를탈취하는 등추가적인악성행위시도도꾸준히발견되었습니다. 이스트시큐리티시큐리티대응센터 (ESRC) 에서는지속적인추적과프로파일링작업을통해 4 월에발견된일부 공격들을분석하였으며, 기존에다른 APT 공격을지속했던정부차원의후원을받는것으로추정되는공격그룹의이전 공격과의유사성을확인하여관련내용을이스트시큐리티알약블로그에포스팅해공개하였습니다. 또한제품견적서확인내용을위장한악성메일공격, 국내가상화폐커뮤니티및사이트게시판에가상화폐거래소설명서글로위장한게시물로악성코드를유포하려는시도, 군비통제및남북회담관련인터뷰기사문서로위장한악성코드유포, 국내기업및기관의이메일웹서버계정정보를삭제하는것처럼보이게만들어관리자암호를입력하도록유도하는피싱공격등다양한형태로사용자들을현혹하여주요정보를탈취하려는시도도발견되었습니다. 또한랜섬웨어의지속적인공격역시예외가아니었습니다. 2 월러시아해킹커뮤니티에서최초발견된이후현재 Cerber 와 Magniber 랜섬웨어를제치고가장많이유포되고있는 GandCrab 랜섬웨어는실제존재하는디자이너 명의를사칭하거나입사지원서를위장하는등의다양한방법을통해메일첨부파일로유포되고있습니다. 이밖에도해외에서는악의적인제3 자가글로벌 No.1 SNS 서비스인페이스북의사용자 22 억명모두의공개프로필정보를수집해갔음을인정하고공식적으로사과하는한편, 사용자의프로필정보를수집하는데악용된페이스북의검색기능을비활성화한이슈가있었습니다. 이렇게악의적으로수집된정보들은소셜엔지니어링기법을이용한스피어피싱등추가사이버범죄에악용될소지가있기때문에주의가필요합니다. 출처를알수없는이메일및첨부파일열람시최대한주의를기울이고, 사용중인 OS 와 SW 는항상최신버전으로 업데이트하며, 알약과같은보안프로그램을잘활용하는것만으로도대다수의공격은효과적으로방어가가능한만큼, 다시한번기본적인보안수칙을잘지키고있는지스스로점검이필요한때입니다. 2

5 01 악성코드통계및분석 2. 알약악성코드탐지통계 감염악성코드 TOP 년 4 월의감염악성코드 Top 15 리스트에서는지난 3 월에각각 1 위를차지했던 Trojan.Agent.gen 이 2018 년 4 월 Top 15 리스트에서도 1 위를차지했다. 지난 3 월에각각 2 위였던 Misc.HackTool.AutoKMS 도이번달역시 2 위를차지했다. 지난달 8위를차지했던 Trojan.LNK.Gen 이 5 계단급상승하여 3 위로올라온것을확인할수있으며, 전반적으로 3 월에비해전체감염건수가 20% 가량크게감소했던 4 월이었다. 올해 2 월부터꾸준히악성코드전체감염건수가줄어들고있는추세이다. 순위 등락 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Trojan.Agent.gen Trojan 1,482, Misc.HackTool.AutoKMS Trojan 632, Trojan.LNK.Gen Trojan 455, Adware.SearchSuite Adware 385, Trojan.HTML.Ramnit.A Trojan 348,356 6 New Trojan.Generic Trojan 286, Misc.Keygen Trojan 273, Win32.Neshta.A Trojan 230, Hosts.media.opencandy.com Host 207, Worm.ACAD.Bursted.doc.B Worm 174, Misc.Riskware.BitCoinMiner Trojan 136, New Trojan.Generic Trojan 124, New Win32.Ramnit.N Trojan 100, New Trojan.Script Worm 96, New Win32.Ramnit Trojan 95,991 * 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 2018 년 4 월 01 일 ~ 2018 년 4 월 30 일 3

6 01 악성코드통계및분석 악성코드유형별비율 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 83% 를차지했으며애드웨어 (Adware) 유형이 8% 로 그뒤를이었다. 애드웨어 8% 호스트파일 3% 트로이목마 (Trojan) 웜 5% 트로이목마 83% 스파이웨어 (Spyware) 애드웨어 (Adware) 취약점 (Exploit) 웜 (Worm) 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 카테고리별악성코드비율전월비교 4 월에는 3 월과비교하여트로이목마 (Trojan) 악성코드감염카테고리비율이 67% 에서 83% 로크게증가했다. 트로이목마감염건수의절대적인수치는크게증가하지않았으나, 다른카테고리의악성코드감염건수가감소하여상대적으로트로이목마감염비율이큰증가폭을보였다. 100% 100% 트로이목마 (Trojan) 스파이웨어 (Spyware) 0% 0% 67% 83% 애드웨어 (Adware) 8% 24% 하이재커 (Hijacker) 0% 0% 웜 (Worm) 5% 3% 4 월 취약점 (Exploit) 0% 3% 3 월 바이러스 (Virus) 0% 0% 백도어 (Backdoor) 0% 0% 호스트파일 (Host) 4% 3% 기타 (Etc) 0% 0% 0% 20% 40% 60% 80% 100% 4

7 01 악성코드통계및분석 3. 허니팟 / 트래픽분석 4 월의상위 Top 10 포트 허니팟 / 정보수집용메일서버를통해유입된악성코드가사용하는포트정보및악성트래픽을집계한수치 110 2% 81 10% % % 25 6% 23 12% % 80 1% % 22 41% 최근 3 개월간상위 Top 5 포트월별추이 2018 년 2 월 2018 년 3 월 2018 년 4 월

8 01 악성코드통계및분석 악성트래픽유입추이 외부로부터유입되는악의적으로보이는트래픽의접속시도가감지된수치 17,636,329 10,091,035 12,011,679 12,951,301 13,808,383 8,722, 년 11 월 2017 년 12 월 2018 년 1 월 2018 년 2 월 2018 년 3 월 2018 년 4 월 단위 : 악의적트래픽접속시도감지건수 2017 년 11 월 ~ 2018 년 4 월 6

9 이스트시큐리티보안동향보고서 02 전문가보안기고 1. 유명취업사이트채용공고지원문의로위장된랜섬웨어피해속출 2. 한국어를구사하는랜섬웨어유포자, 이젠매크로기반으로갠드크랩유포중 7

10 02 전문가보안기고 1. 유명취업사이트채용공고지원문의로 위장된랜섬웨어피해속출 마치한국의유명취업전문웹사이트의채용공고와지원문의로교묘하게위장된갠드크랩 (GandCrab) 랜섬웨어 (Ransomware) 이메일이국내에급속도로전파되고있으며, 실제감염피해보고까지속출하고있어기업의 채용및인사담당자들의각별한주의가요망됩니다. 이공격자 ( 해커 ) 는 2016 년말부터한국의특정기관및기업, 고유커뮤니티에속한개인들을상대로약 1 년넘게 랜섬웨어유포를수행하고있습니다. 그런가운데며칠전부터국내취업전문웹사이트의채용정보에기재된기업내인사담당자의이메일로집중공격을 수행하고있어피해가연이어보고되고있는실정입니다. 이전에는주로이메일에압축된형태로악성파일 (LNK, EXE, DOC) 을첨부해사용하였는데, 최근에는이메일본문에 악성 URL 링크를한글로연결시켜클릭을유도하고, 다운로드된압축파일내의 'resume.js' 스크립트파일로 랜섬웨어가설치하도록변경한상태입니다. 현재관련해특정취업전문사이트에서도다음과같은긴급공지로주의를안내하고있습니다. [ 긴급 ] 이메일입사지원으로위장된, 바이러스메일주의필요! [ 긴급 ] 이메일지원으로위장된, 바이러스메일주의 2 차공지 아래화면은 2018 년 5 월 9 일한국에유포된이메일중하나로, 실제채용지원문의내용과크게차이가없을정도로 매우정교하게만들어진것을알수있습니다. 8

11 02 전문가보안기고 [ 그림 1] 취업사이트채용공고지원메일로위장한랜섬웨어유포이메일화면 기존의랜섬웨어유포이메일과는다르게악성 ( 압축 ) 파일을이메일에첨부하지않고, 본문에 ' 이력서를 첨부하였습니다.' 부분에악성 URL 주소를링크시켰습니다. 만일해당이메일을수신한인사담당자가해당링크를클릭하면 IP 주소가미국소재인특정대만기업의웹사이트로 통신을하고, 발신자의이메일아이디처럼위장한이름의압축파일 ( 발신자이메일아이디 _resume.zip) 이또다른 프랑스소재의서버에서다운로드됩니다. ( 변종공격에따라이메일내용과링크는일부달라지고있습니다.) 9

12 02 전문가보안기고 [ 그림 2] 이력서파일로위장해다운로드된압축파일 다운로드된압축파일내부에는이력서를의미하는영문표기의악성자바스크립트 'resume.js' 파일이포함되어 있습니다. [ 그림 3] 이력서파일로위장한악성스크립트포함압축파일화면 'resume.js' 자바스크립트파일은분석및보안탐지회피목적으로코드가난독화되어있습니다. 10

13 02 전문가보안기고 [ 그림 4] 난독화된 'resume.js' 악성스크립트파일코드화면 기업의인사담당자가악성스크립트파일을실행할경우, 호스트가미국소재인또다른명령제어 (C2) 서버로통신을 시도하게됩니다. 만약통신이성공할경우컴퓨터의임시폴더 (Temp) 경로에 EXE 랜섬웨어파일이다운로드되게됩니다. 다음화면은실제공격자의명령제어 (C2) 서버와통신이성공해랜섬웨어악성파일이다운로드된패킷화면입니다. 11

14 02 전문가보안기고 [ 그림 5] 명령제어 (C2) 서버에서추가로다운로드된 EXE 악성파일패킷화면 악성자바스크립트파일은 C2 서버의 'update.php' 명령에의해 '1.pdf' 파일명으로다운로드한후다시임시폴더 (Temp) 경로에랜덤한파일명의 EXE 파일로랜섬웨어를생성하고실행합니다. 암호화가완료되면사용자의바탕화면을바꾸고 기존파일명뒤에 '.CRAB' 이라는확장자가추가됩니다. [ 그림 6] 암호화완료후바탕화면교체된화면 12

15 02 전문가보안기고 [ 그림 7].CRAB 확장자추가된화면 공격자는 C2 서버에시간차를두고계속변종 EXE 파일을등록해, 새로운변종랜섬웨어를지속적으로유포하는데 활용하고있습니다. ESRC( 이스트시큐리티시큐리티대응센터 ) 에서는한국인터넷진흥원 (KISA) 과협력해해당서버의국내접속을차단할수 있도록진행중이며, 추가공격에대한모니터링을강화하고있습니다. 이처럼과거비너스락커 (Venus Locker) 랜섬웨어를유포했던공격자가오토크립터 (AutoCryptor) 랜섬웨어, 갠드크랩 (GandCrab) 랜섬웨어등거의 1 년넘도록한국맞춤형공격을지속적으로수행하고있습니다. 다음과같은실제사례들을참고해유사보안위협에노출되지않도록각별한주의가필요합니다. 특히, 최근인사담당자를겨냥한공격이증가하고있다는점에서기업보안강화가절실한상황입니다. 현재알약에서는관련악성파일들을 'Trojan.Ransom.GandCrab, Trojan.JS.Downloader.Agent' 등으로진단하고 있습니다. 13

16 02 전문가보안기고 2. 한국어를구사하는랜섬웨어유포자, 매크로기반으로갠드크랩유포중 2018 년 05 월 14 일한국의유명택배회사의배송팀으로위장된이메일로 ' 갠드크랩 (GandCrab) 랜섬웨어변종 ' 이 유포되고있어이용자분들의각별한주의가요망됩니다. 동일한공격자는 2016 년말부터 2017 년까지비너스락커 (VenusLocker) 랜섬웨어를유포했고, 초기에매크로기능을 이용한방식을사용한바있습니다. 그이후에바로가기 (.LNK) 파일과랜섬웨어메인실행파일 (.EXE) 을연결하는수법을주로많이사용했고, 일부 악성문서에서는중국식폰트 (DengXian) 가사용된바있습니다. 아래는실제유포에사용된이메일의화면으로유창한한국어로작성되어있으며, 마치실제택배배송관련안내 메일처럼교묘하게만들어져있는것을알수있습니다. 14

17 02 전문가보안기고 [ 그림 1] 특정택배배송팀으로위장한악성이메일화면 이메일에첨부되어있는 ' 한진택배.egg' 압축파일내부에는 ' 배송장 _ doc', ' 영수증 _ doc' 등 MS Word 파일이포함되어있습니다. [ 그림 2] 압축파일내부에포함된워드파일화면 15

18 02 전문가보안기고 이름이다른 2 개의파일은실제로는동일한파일이며, 워드파일을실행하면다음과같이보안경고창과매크로실행 유도화면을보여주게됩니다. [ 그림 3] 워드파일실행후보여지는매크로실행유도화면 만약, [ 콘텐츠사용 ] 버튼을클릭해매크로기능을활성화시키면, 내부매크로코드명령에의해한국의특정언론사웹 사이트로접속해다음과같은이미지를보여주게됩니다. 해당이미지는실제다음과같은뉴스에포함되어있습니다. 16

19 02 전문가보안기고 그리고 'Yeah' 내용의메시지창을띄우게됩니다. [ 그림 4] 매크로실행후에보여지는화면 이용자가여기서 [ 확인 ] 버튼을클릭하면매크로기능에의해명령제어 (C2) 서버로연결되어 'ha.exe' 파일을다운로드 합니다. 17

20 02 전문가보안기고 [ 그림 5] 특정서버에서갠드크랩랜섬웨어 (ha.exe) 를다운로드하는패킷화면 해당서버에등록되어있는갠드크랩 (GandCrab) 랜섬웨어는공용폴더 (C:\User\Public) 에 'putty.exe' 파일명으로 생성되고실행됩니다. 18

21 02 전문가보안기고 [ 그림 6] 생성된갠드크랩랜섬웨어화면 공격자가구축해둔명령제어 (C2) 서버에는지속적으로새로운변종랜섬웨어가등록되어지고있는것을확인했습니다. ESRC 에서는한국인터넷진흥원 (KISA) 과긴밀히협력해국내에서해당서버로의접속을차단해랜섬웨어전파를 최소화할수있도록진행중입니다. 19

22 02 전문가보안기고 [ 그림 7] 랜섬웨어유포에악용되고있는서버화면 공격자의서버에는다수의악성파일이은밀하게숨겨져있으며, 'HJ_invoice.pdc' 파일은기존갠드크랩랜섬웨어유포에 이용된바있는 CVE 취약점을이용한 MS Word 기반악성파일도발견이되었습니다. [ 그림 8] CVE 취약점을이용한 HJ_invoice.doc 파일코드화면 'HJ_invoice.doc' 문서는택배관련내용으로유포한것과동일한이미지를포함하고있는데, 일부편집한흔적이 존재합니다. 20

23 02 전문가보안기고 [ 그림 9] 공격자서버에서발견된악성문서의실행된화면 'HJ_invoice.doc' 문서의취약점이실행되면, 임시폴더 (Temp) 경로에 'decoy.doc' 파일이생성됩니다. 이파일이실행되면다음과같이공격자가테스트한것으로추정되는한글문구를확인할수있으며, 기존 CVE 취약점공격에이용했던문서와동일한회사명 'KOMP' 표현이포함된것을볼수있습니다. 21

24 02 전문가보안기고 [ 그림 10] 'decoy.doc' 문서파일에포함된내용과속성정보화면 현재알약에서는관련악성파일들을 'Trojan.Ransom.GandCrab', 'Trojan.Downloader.VBA.gen' 등으로진단하고 있습니다. 최근한국맞춤형갠드크랩랜섬웨어이메일이국내에지속적으로유포되고있으며, 매우다양한형태로진화하고 있으므로, 아래사례들을참고해유사한보안위협에노출되지않도록각별한주의가필요합니다. 22

25 이스트시큐리티보안동향보고서 03 악성코드분석보고 개요 악성코드상세분석 결론 23

26 03 악성코드분석보고 [Trojan.Ransom.GandCrab] 악성코드분석보고서 1. 개요 올해초외국에서스팸메일과익스플로잇킷을통해 Trojan.Ransom.GandCrab ( 이하 GandCrab 랜섬웨어 ) 이처음 등장하였으며, 최근국내에서도 GandCrab 변종들이다수발견되고있다. GandCrab 랜섬웨어는파일암호화기능을 수행하며, 암호화된파일뒤에.CRAB 확장자를추가하는점이특징이다. 따라서본보고서에서는 GandCrab 랜섬웨어를상세분석하고자한다. 24

27 03 악성코드분석보고 2. 악성코드상세분석 1. 중복실행방지중복실행방지를위해뮤텍스값을 Global\pc_group=( 소속그룹 )&ransom_id=( 사용자 ID) 으로생성한다. 만일동일한프로세스가실행중인경우종료한다. pc_group 과 ransom_id 값은각각 PC 의작업그룹이름, 하드디스크시리얼넘버와 CPU 정보를 CRC32 로인코딩한값이다. [ 그림 1] 중복실행방지코드 2. 자가복제및자동실행등록 현재실행중인자기자신의프로세스경로가임시폴더 (%TEMP%) 가아닌경우 %APPDATA%\Microsoft\ 에 [ 임 의영문 6 자리 ].exe 로자가복제한다. [ 그림 2] 자가복제코드 25

28 03 악성코드분석보고 윈도우부팅시자동실행되도록자가복제된파일을자동실행레지스트리에등록한다. [ 그림 3] 자동실행레지스트리등록 3. 정보전송 1) C&C 주소획득다음은 C&C 주소를획득하는코드이다. nslookup 윈도우프로그램을통해하드코딩된도메인으로부터 C&C 주소를가져온다. 감염된기기가오프라인환경인경우프로그램을더이상진행하지않는다. [ 그림 4] nslookup 명령어를통해 C&C 주소를얻는코드 본악성코드에서연결시도하는하드코딩된도메인들은다음과같다. 하드코딩된도메인항목 zonealarm.bit, ransomware.bit [ 표 1] 하드코딩된도메인항목 26

29 03 악성코드분석보고 2) 시스템정보수집시스템정보수집대상에는공인 IP, 사용자이름, 컴퓨터이름, 컴퓨터소속그룹, 현재실행중인백신프로세스, PC 언어, 러시아어사용유무, 운영체제정보, 랜섬웨어 ID, 하드디스크정보, 생성된 RSA 공개키및비밀키정보가포함된다. 다음은수집되는항목중 현재실행중인백신프로세스 를확인및수집하는코드이다. [ 그림 5] 실행중인백신프로세스확인 수집대상백신프로세스목록은다음표와같다. 백신프로세스수집대상목록 AVP.EXE, ekrn.exe, avgnt.exe, ashdisp.exe, NortonAntiBot.exe, Mcshield.exe, avengine.exe, cmdagent.exe, smc.exe, persfw.exe, pccpfw.exe, fsguiexe.exe, cfp.exe, msmpeng.exe [ 표 2] 현재실행중인백신프로세스확인목록 27

30 03 악성코드분석보고 3) 정보전송및수신정보전송은파일암호화이전과이후에이루어진다. 암호화이전에는수집한시스템정보와 action=call 과 &id=39&subid=92, &version=1.2.5 를전송한다. 암호화이후에는암호화통계, 컴퓨터소속그룹, 랜섬웨어사용자 ID 와함께 action=result 를전송한다. id, subid 는악성코드파일끝에있는 base64 로된문자열을디코딩한값이며, action, version 은각각 암호화시작 / 결과 와 악성코드버전정보 를의미하는것으로보인다. C&C 로송신할데이터는인코딩되어전송된다. 다음은 송신데이터와수신데이터 를정리한표이다. 암호화이전 암호화이후 action=call& ip=( 공인 IP) &pc_user=( 사용자이름 ) &pc_name=( 컴퓨터이름 ) &pc_group=( 컴퓨터소속그룹 ) 송신데이터 &av=( 실행중인백신프로세스리스트 ) &pc_lang=( 컴퓨터언어 ) &pc_keyb=( 러시아어사용유무 ) &os_major=(os 버전 ) &os_bit=( 운영체제비트 ) &ransom_id=( 랜섬웨어사용자 ID) &hdd=( 디스크정보 ) &id=39&subid=92 &pub_key=(rsa 공개키 ) &priv_key=(rsa 비밀키 ) &version=1.2.5 action=result &e_files=( 암호화된파일개수 ) &e_size=( 암호화된데이터크기 ) &e_time=( 암호화소요시간 ) &pc_group=( 컴퓨터소속그룹 ) &ransom_id=( 랜섬웨어사용자 ID) 수신데이터암호화된 RSA 공개키 - [ 표 3] 송신데이터와수신데이터 파일암호화이전에정보전송이정상적으로이루어진경우, 서버로부터 RSA 공개키를가져와파일암호화에사용한다. 만일서버에연결이되지않는경우, 기존에생성한 RSA 공개키를파일암호화에사용한다. 다음은 C&C 연결에따른 공개키가달라지는코드이다. 28

31 03 악성코드분석보고 [ 그림 6] C&C 연결에따른 RSA 공개키사용 4) 파일암호화 1 암호화환경확인 키보드레이아웃중에러시아가있는경우암호화를진행하지않고종료한다. [ 그림 7] 암호화환경확인 2 파일암호화를위한프로세스종료 파일암호화전, 암호화대상파일의쓰기권한을확보하기위해 MS 오피스, 스팀, SQL 관련프로세스를종료한다. 프로세스종료목록 msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, sqlservr.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe [ 표 4] 프로세스종료목록 29

32 03 악성코드분석보고 3 암호화대상확인이동식디스크, 하드디스크, 네트워크디스크에서다음의파일경로, 이름, 확장자문자열을제외한 10 바이트이상의파일에대해암호화를진행한다. 제외문자열을지정한이유는불필요한암호화를피하기위함과시스템불안정을방지하려는것으로보인다. 암호화제외경로문자열 \\ProgramData\\, \\IETldCache\\, \\Boot\\, \\Program Files\\, \\Tor Browser\\, Ransomware, \\All Users\\, \\Local Settings\\, \\Windows\\ [ 표 5] 암호화제외경로문자열 암호화제외파일이름문자열 desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, CRAB-DECRYPT.txt [ 표 6] 암호화제외파일이름문자열 암호화제외확장자문자열.ani,.cab,.cpl,.cur,.diagcab,.diagpkg,.dll,.drv,.hlp,.ldf,.icl,.icns,.ico,.ics,.lnk,.key,.idx,.mod,.mpa,.msc,.msp,.msstyles,.msu,.nomedia,.ocx,.prf,.rom,.rtp,.scr,.shs,.spl,.sy s,.theme,.themepack,.exe,.bat,.cmd,.crab,.crab,.gdcb,.gdcb,.gandcrab,.yassine_l emmou [ 표 7] 암호화제외확장자문자열 4 파일암호화 다음은 AES 및 RSA 으로파일을암호화하는코드이다. 암호화가완료된파일은기존파일이름뒤에.CRAB 확장자가추가된다. 30

33 03 악성코드분석보고 [ 그림 8] 파일암호화코드 암호화된파일은 암호화된데이터, 암호화된 AES 키, 암호화된 AES IV, 암호화된데이터크기 의 구조를갖는다. AES 의 IV(Initialization Vector) 는초기화벡터로서, 암호화할데이터의첫부분을암호화할때사용되는 값이다. [ 그림 9] 암호화된파일의구조 31

34 03 악성코드분석보고 5) 파일복원방지 암호화된파일의복원을방지하기위해볼륨쉐도우복사본을삭제한다. 다음은운영체제버전마다달라지는파일복원 방지명령어이다. 운영체제 Vista OS 상위 Vista OS 하위 명령어 "C:\Windows\system32\wbem\wmic.exe", "shadowcopy delete" "C:\Windows\system32\cmd.exe", "/c vssadmin delete shadows /all /quiet [ 표 8] 운영체제별로나뉘는파일복원방지명령어 6) 결제안내 암호화대상경로마다결제안내를유도하는내용이담긴랜섬노트파일 CRAB-DECRYPT.txt 를드롭한다. [ 그림 10] 랜섬노트드롭코드 파일암호화가끝난뒤, GandCrab 다크넷주소 에접속을유도하기위해토르웹브라우저프로그램을다운받는 사이트를띄우고, 생성된랜섬노트로이용자에게암호화사실을알린다. 랜섬노트의내용은 당신의모든파일이 암호화되었으니, 복호화하기위해서는다크넷접속, Jabber 메신저로접속해서결제를해야한다. 이다. 32

35 03 악성코드분석보고 [ 그림 11] 랜섬노트 CRAB-DECRYPT.txt 파일내용 다음은토르웹브라우저에서 GandCrab 다크넷사이트에접속했을때화면이며, 달러 (USD), 대시 (DASH), 비트코인 (BTC) 가상화폐로지불을요구한다. [ 그림 12] GandCrab 다크넷사이트화면 33

36 03 악성코드분석보고 다음은 Jabber 메신저화면이고, 현재분석하는시점에서 공격자계정은오프라인상태이다. [ 그림 13] Jabber 메신저화면 34

37 03 악성코드분석보고 3. 결론 국내에악성메일을통해유포되고있는 GandCrab 랜섬웨어는암호화제외문자열을제외한파일에대해암호화를 진행한다. 또한암호화된파일을복호화해주는대가로달러를포함한대시, 비트코인과같은가상화폐결제를 요구한다. 다른랜섬웨어와달리러시아어환경을확인하는점, 랜섬노트를통해다크넷사이트와 Jabber 메신저프로그램등으로 결제를유도하는점을특징으로가지고있다. 랜섬웨어를예방하기위해서는메일에첨부된파일이나링크에대해주의해야하며, 윈도우, 애플리케이션을최신으로 업데이트해야한다. 또한중요한자료는정기적으로외장매체나클라우드서비스등에백업해서피해를최소화할수 있도록해야한다. 현재알약에서는 Trojan.Ransom.GandCrab 으로진단하고있다. 35

38 03 악성코드분석보고 [Trojan.Android.Banker] 악성코드분석보고서 1. 개요 DNS 하이재킹을이용한안드로이드악성앱이등장하였다. DNS 하이재킹은라우터를공격하여사용자가정상사이트접속시악성사이트로리다이렉트되도록한다. 이후페이스북, 크롬등유명한앱으로위장한악성앱을사용자가설치하도록유도한다. 사용자의통화내용을녹음하고설치된은행앱, 게임앱등과관련된정보들을탈취한다. 특히, C&C 서버의주소를감추기위해서중국사이트파싱을통해주소를수신하고 10 개이상의원격명령을통해서사용자의기기를실시간제어한다. 본분석보고서에서는 Roaming Mantis 를상세분석하고자한다. 36

39 03 악성코드분석보고 2. 악성코드상세분석 1) 악성행위유지를위한장치 가. 아이콘숨김 지속적인악성행위를위하여앱의아이콘을숨긴다. [ 그림 1] 아이콘숨김 나. 삭제방해관리자권한을요구하고현재실행되고있는최상위액티비티를확인하여그패키지명이 환경설정 이나 V3 백신 일경우홈화면으로되돌아가도록한다. 관리자권한이승인된앱을삭제하고자할때는 환경설정 에서관리자권한을먼저해제해야앱의삭제가가능하다. [ 그림 2] 삭제방해 37

40 03 악성코드분석보고 다. 절전모드방해 wakelock 을통해서앱이종료될수있는절전모드진입을막아지속적인악성행위를가능토록한다. 해당기능은 acquire 메소드를통하여활성화한후 release 메소드로해제를해주어야하나해당하는코드가없어배터리의사용량을증가시킨다. [ 그림 3] 절전모드방해 라. 재실행 기기가부팅되면앱이재실행된다. [ 그림 4] 부팅시앱재실행 마. 와이파이강제연결 와이파이연결을확인하고와이파이가비활성화되면자동으로재연결되도록한다. [ 그림 5] 와이파이재연결 38

41 03 악성코드분석보고 바. 배터리최적화옵션해제 배터리최적화옵션을해제함으로써앱의종료를방지하여지속적인악성행위를한다. [ 그림 6] 배터리최적화옵션해제 2) 인코딩된악성덱스파일디코딩 실질적인악성행위를하는 data.sql 파일은앱의 Assets 폴더내부에 Base64 로인코딩되어저장되어있다. 해당 파일은 Base64 로디코딩되어 /data/data/ghd.et.hds( 패키지명 )/files 경로에 test.dex 파일로생성된다. 39

42 03 악성코드분석보고 [ 그림 7] 악성덱스파일디코딩 3) 악성덱스파일동적로딩 Base64 로디코딩된 test.dex 파일을동적으로로딩하고이덱스파일내부에 com.loader 클래스의 create 와 start 메소드를실행한다. 실제해당덱스파일이메모리에실제로드되었는지는 /proc/self/maps 파일을통해서확인할수있다. 40

43 03 악성코드분석보고 [ 그림 8] 동적로딩 4) 인텐트및액션추가 다수의인텐트및액션을동적으로추가한다. [ 그림 9] 인텐트및액션추가 41

44 03 악성코드분석보고 5) 앱변경 설치되는앱중탈취하고자하는앱이있으면 /sdcard/.update2/ 폴더의공격자가원하는앱으로바꿔치기한후 설치되는앱은삭제가되고공격자의바꿔치기된앱이실행한다. [ 그림 10] 특정앱탈취 6) 구글계정탈취 사용자의기기에저장된계정중구글계정을탈취한다. [ 그림 11] 구글계정탈취 42

45 03 악성코드분석보고 7) 구글계정관련정보탈취 위에서탈취된구글계정을이용하여사용자의기기를서버로하는피싱사이트를팝업하고관련정보작성을 유도한다. 피싱사이트와관련된부분은하드코딩되어있으며한국어, 일본어, 중국어, 영어를지원한다. [ 그림 12] 구글계정관련정보탈취 43

46 03 악성코드분석보고 8) 원격명령 C&C 서버로부터의원격명령을통하여실시간으로악성행위가가능하다. [ 그림 13] 원격명령 44

47 03 악성코드분석보고 9) 탈취정보전송 아웃룩메일을통하여기기와네트워크상태의기본정보를전송한다. 사용되는계정은 이며디버깅메시지를보면메일전송은되지않고있다. [ 그림 14] 아웃룩이용탈취정보전송 45

48 03 악성코드분석보고 10) C&C 서버주소수신중국의 baidu" 사이트를파싱하여특정문자열을얻어온후문자열 beg 를킷값으로 xor 복호화를진행하여 C&C 서버주소를얻는다. 사이트주소구성을보면중간에특정 ID 가들어가게되는데이 ID 는감염된사용자의국가에따라다른 ID 가들어간다.( 사이트구성이변경되어 C&C 서버를알수없음 [ 그림 15] C&C 서버주소수신 46

49 03 악성코드분석보고 11) 탈취되는앱 하드코딩된 18 개의앱의정보가탈취된다. 주표적은한국임을알수있으며은행앱, 게임앱, OTP 앱을대상으로 한다. [ 그림 16] 탈취되는앱목록 47

50 03 악성코드분석보고 12) 정보탈취 가. 설치된앱들의패키지명탈취 기기에설치된앱들의패키지명을탈취한다. [ 그림 17] 설치된앱패키지명탈취 나. 통화녹음 통화를녹음하고 /sdcard/.rec/ 폴더에. rec.amr" 파일로저장한다. 폴더와파일앞에. 을추가하여숨김을 하고있다. [ 그림 18] 통화녹음 48

51 03 악성코드분석보고 다. 수신되는 SMS 탈취 SMS 가수신되면문자내용, 발신번호, 수신시간을탈취한다. [ 그림 19] SMS 탈취 라. MMS 탈취 MMS 문자를탈취한다. [ 그림 20] MMS 탈취 마. 종합정보탈취 앞에서탈취한개인정보와관련된부분뿐만아니라기기의세세한부분과관련된정보까지추가로탈취하여개인정보 및기기정보를종합하여탈취한다. [ 그림 21] 종합정보탈취 49

52 03 악성코드분석보고 3. 결론 해당악성앱은기기정보및개인정보를탈취하고은행및게임과관련된앱의정보까지추가로탈취하여금전적인 이득을노리고있다는것을알수있다. 지속적으로악성행위를하기위하여앱의아이콘을은닉하고앱삭제와관련된 기기의환경설정및백신의실행을감시하여앱삭제를방해한다. 따라서, 악성앱에감염되지않기위해서는예방이중요하다. 출처가불명확한 URL 은실행하지않아야한다. 또한, 주변 기기의비밀번호를자주변경하고 OS 와애플리케이션을항상최신업데이트버전으로유지해야한다. 현재알약 M 에서는해당악성앱을 Trojan.Android.Banker 탐지명으로진단하고있다. 50

53 이스트시큐리티보안동향보고서 04 해외보안동향 영미권 중국 일본 51

54 04 해외보안동향 1. 영미권 인텔 CPU 에서새로운 Spectre-Class 취약점 (Spectre-NG) 8 개발견돼 8 New Spectre-Class Vulnerabilities (Spectre-NG) Found in Intel CPUs 한연구원팀이 Intel CPI 에서새로운 Spectre-class 취약점 8 개를발견했다고밝혔다. 이들은소수의 ARM 프로세서와 AMD 프로세서의아키텍처에도영향을미칠수있는것으로나타났다. Spectre-Next Generation 또는 Spectre-NG 라명명된이취약점의세부내용중일부분이독일의컴퓨터잡지인 Heise 의저널리스트에게유출되어, 인텔이새로운취약점들중 4 개를 매우위험함 으로, 나머지 4 개는 보통 으로분류했다고밝혔다. 새로이발견된이 CPU 취약점들은오리지널 Spectre 결점을발생시킨것과동일한설계상문제로인한것이라 알려졌다. 하지만, 새로발견된취약점들중하나는가상머신 (VM) 에접근권한을가진공격자들이손쉽게호스트 시스템을공격할수있게되어, 오리지널 Spectre 취약점보다더욱위협적이다. 연구원들은 또한, 동일한서버에서실행되는다른고객의 VM 도공격할수있게된다. 공격자들은클라우드 시스템의안전한데이터전송을위한패스워드와비밀키에많은관심을갖고있기때문에, 이로인해클라우드 시스템이매우큰위험에처하게되었다. 하지만, 앞서언급한 Spectre-NG 취약점은공격자들이시스템의경계를넘어쉽게악용할수있기때문에, 잠재적인 위협을새로운단계로끌어올릴수있다. 아마존이나 Cloudflare 와같은클라우드서비스제공자들은물론이고, 그들의 고객들까지부분적으로영향을받는다. 고밝혔다. 올해초발견된 Spectre 취약점은프로세서의추측실행엔진 (speculative execution engine) 에서의사이드채널공격에의존하여악성프로그램이패스워드, 암호화키, 또한커널을포함한민감정보들을읽을수있게된다. 독일의잡지사는이취약점들을발견한연구원의이름은공개하지않았지만, 이취약점들중하나는구글의프로젝트제로의보안연구원이발견했다고밝혔다. 이사이트에서는구글의보안연구원이칩제조사에약 88 일전문제를제보했기때문에, 연구원들은구글의 90 일 공개정책이끝나는날인 5 월 7 일에취약점들중하나의세부사항이공개될수있을것으로추측했다. 이는패치 화요일 1 일전이다. 52

55 04 해외보안동향 Spectre-NG 결점에관한 Intel 의대응 인텔에이새로운취약점들에대해묻자, 인텔은 Spectre-NG 취약점의존재를인정하지도거부하지도않는답변을 했다. 우리는고객의데이터를보호하고제품의보안을지키는것을매우중요하게생각하고있다. 식별된모든문제를 이해하고완화시키기위해고객들, 파트너들, 다른칩제조사들, 연구원들과긴밀히협력하며, CVE 번호를미리등록해 두는일도한다. 우리는계획적으로공개하는것이가치있다고믿으며, 완화과정이완료되면잠재적인모든문제에대한추가정보를공개할예정이다. 최선의방법으로, 우리는모두가시스템을최신버전으로유지할것을권장한다. Heise 측에 Spectre-NG 취약점과관련해미리등록된 CVE 번호에대해묻자, 저널리스트는이에대한어떠한정보도공개하기를거절했다. 해당 CVE 번호는내용이추가되지않은상태다. 또한이로인해이문제의출처에더욱큰위험을초래할수있으며, 우리는이러한상황을원하지않는다. 따라서우리는당분간이를공개하지않기로결정했다. 새로나온보안패치를대비하세요 Spectre-NG 취약점은인텔 CPU 에영향을미치며일부 ARM 프로세서들에도영향을미친다는것이확인되었으나, AMD 프로세서에영향을미치는지여부는아직까지확인되지않았다. 해당독일사이트에따르면, 인텔은이미새로운 Spectre-NG 취약점들을인지하고있으며 5 월, 8 월에보안패치를 공개할계획이다. 마이크로소프트도수개월내에윈도우업데이트와함께보안패치를공개해이문제를수정할예정이다. 하지만, 올해 초오리지널 Spectre 와 Meltdown 취약점때처럼, 이새로운패치들이취약한기기의성능에어떤영향을미칠지는 아직까지확인되지않았다. [ 출처 ] 53

56 04 해외보안동향 해커들, 마이크로소프트오피스 365 의세이프링크를우회하는새로운방법발견 Hackers Found Using A New Way to Bypass Microsoft Office 365 Safe Links 보안연구원들이몇몇해킹그룹들이마이크로소프트오피스 365 의보안기능을우회하기위해실제로사용해온방법을발견했다. 이보안기술은악성코드와피싱공격으로부터사용자를보호하기위해설계되었다. 이기능의이름은세이프링크로, 마이크로소프트의오피스 365 소프트웨어에포함되어있다. 이는마이크로소프트의 ATP 솔루션 (Advanced Threat Protection) 의일부로, 수신되는이메일내의모든 URL 을마이크로소프트의안전한 URL 로변경한다. 따라서, 사용자가이메일내의링크를클릭할때마다사용자는마이크로소프트가소유한도메인으로이동되며, 마이크로소프트는즉시오리지널 URL 에의심스러운점은없는지확인한다. 마이크로소프트의스캐너가악의적인 요소를발견하면사용자에게이에대해경고하며, 그렇지않다면사용자를오리지널링크로이동시킨다. 하지만연구원들은해커들이이세이프링크를우회하는방법을발견했다. 이기술은 basestriker 공격 이라명명되었다. BaseStriker 공격은문서나웹페이지내의관련링크를위한디폴트베이스 URI 또는 URL 을정의하는 HTML 이메일헤더의 <base> 태그를사용한다. 즉, <base> URL 이정의되면모든후속링크는해당 URL 을시작점으로사용할것이라는이야기다. [ 출처 ] 위스크린샷에서볼수있듯이, 연구원들은일반적인피싱이메일과악성링크를분할해세이프링크가부분적인 하이퍼링크를식별및대체하지못하도록 <base> 태그를사용하는피싱이메일을비교했다. 피해자들이이링크를 54

57 04 해외보안동향 클릭하면, 피싱사이트로이동된다. 연구원들은 basestriker 공격이이루어지는과정을보여주는영상데모도제공했다. 그들은여러구성에대해 basestriker 공격을테스트한결과, 아웃룩의웹기반클라이언트, 모바일앱, 데스크탑 프로그램을사용하는모든사용자들이취약한것을발견했다. BaseStriker Phishing Attack Methodology ( 영상 ): 또한, Proofpoint 도이 basestriker 공격에취약한것으로나타났다. 하지만 gmail 사용자와오피스 365 를 Mimecast 로보호하는사용자들은이문제에영향을받지않는것으로나타났다. 연구원들은지금까지는 basestriker 공격이피싱이메일을보내는데만사용되었지만, 추후에는랜섬웨어, 악성코드또는기타악성소프트웨어를배포하는데악용될수있다고추측했다. 사용중인프로그램 basestriker 에취약한가요? Office 365 네, 취약합니다. Office 365 with ATP and Safelinks 네, 취약합니다. Office 365 with Proofpoint MTA 네, 취약합니다. Office 365 with Mimecast MTA 아니오, 당신은안전합니다. Gmail 아니오, 당신은안전합니다. Gmail with Proofpoint MTA 아직테스트되지않았습니다. Gmail with Mimecast MTA 아니오, 당신은안전합니다. 연구원들은이문제를마이크로소프트외 Proofpoint 에지난주제보했으나, 아직까지이문제를해결할수있는패치는 공개되지않았다. [ 출처 ]

58 04 해외보안동향 페이스북을통해배포되는크롬확장프로그램 7 개, 패스워드를훔치는것으로밝혀져 7 Chrome Extensions Spreading Through Facebook Caught Stealing Passwords 보안연구원들이최소올 3 월부터활동을시작했으며, 이미전세계 10 만명이상을감염시킨새로운악성코드 캠페인에대해경고했다. Nigelthorn 이라명명된이악성코드는페이스북의링크를통해빠르게배포되고있으며, 피해자들의시스템에 SNS 크리덴셜을훔치고, 가상화폐채굴기를설치하고, 클릭사기를유도하는악성브라우저확장프로그램을설치한다. 이 악성코드는최소 7 개의크롬브라우저확장프로그램에포함되었으며, 모두크롬의공식웹스토어에등록되었다. [ 출처 ] 연구원들에의하면, 이악성코드의운영자들은합법적인구글크롬확장프로그램의복사본에난독화된짧은악성 스크립트를주입해구글의확장프로그램검사를우회했다. Nigelthorn, 페이스북의링크를통해확산돼 Nigelthorn 은페이스북상에공개된소셜엔지니어링기법이사용된링크를통해배포된다. 이를클릭할경우, 피해자는영상을재생하려면악성크롬확장프로그램을다운로드할것을요구하는가짜유튜브페이지로이동된다. 56

59 04 해외보안동향 일단설치되면, 이확장프로그램은피해자의컴퓨터를봇넷의일부분으로추가시키는악성 JavaScript 코드를 실행한다. 작년등장한 Digimine 이라는유사한악성코드도페이스북메신저를통해소셜엔지니어링기법을사용한링크를보내 악성확장프로그램을설치해공격자들이피해자의페이스북프로필에접근하고동일한악성코드를메신저를통해 피해자의친구들에게도배포할수있었다. Nigelthorn, 페이스북 / 인스타그램계정의패스워드훔쳐새로운악성코드는주로사용자의페이스북및인스타그램계정의크리덴셜을훔치고, 그들의페이스북계정의세부정보를집중적으로훔친다. 그리고훔친정보를이용해감염된사용자의친구에게동일한악성확장프로그램을설치하기위한링크를보낸다. 친구들이이링크를클릭하면, 전체감염과정이또한번시작된다. 또한 Nigelthorn 은공개적으로사용이가능한브라우저기반가상화폐마이닝툴을플러그인으로써다운로드해감염된시스템이모네로, 바이트코인, 일렉트로니움등의가상화폐를다운로드하도록한다. 공격자는단 6 일만에가상화폐 ( 주로모네로 ) 로만약 $1,000 을벌어들였다. Nigelthorn 은사용자가이악성확장프로그램을제거하는것을방해한다. 삭제를방지하기위해, 이는사용자가악성확장프로그램탭을오픈할때마다자동으로창을닫는다. 또한이악성코드는페이스북과구글에서제공하는다양한정리툴을차단해사용자들이포스트를편집, 삭제하거나코멘트를작성하지못하도록한다. 악성크롬확장프로그램의목록 [ 출처 ] 합법적인확장프로그램으로위장하고있는악성확장프로그램 7 개는아래와같다 : Nigelify 57

60 04 해외보안동향 PwnerLike Alt-j Fix-case Divinity 2 Original Sin: Wiki Skill Popup Keeprivate ihabno 구글은위의확장프로그램을삭제했지만, 만약위프로그램들을설치했다면즉시이를언인스톨하고페이스북, 인스타그램및동일한패스워드를사용하는모든계정들의비밀번호를변경하는것이좋다. 페이스북스팸캠페인은꽤흔하게발생하므로, 사용자들은 SNS 플랫폼에서제공되는링크와파일을클릭할때 각별한주의를기울일것을권장한다. [ 출처 ]

61 04 해외보안동향 2. 중국 T-APT-02 기생수 APT 조직 이조직은 2017 년처음확인되었으며, 전문적으로제작된악성코드를이용하며, 그공격수단이매우새롭다. 또한공격 범위가매우작고, 특정대상에대해서만공격을진행하기때문에지금까지발견되지않았다. 주로악성코드를오픈소스예를들어 putty, openssl, zlib 등에숨겨위장하는방식을주로사용한다. 즉적은양의 악성코드를대량의오픈소스내숨겨백신을우회한다. 그래서우리는이조직을 " 기생수 " 라명명하였다. 이조직은취약점을이용하여악성코드를 office 계열의파일에인젝션하여유포하며, 최근에는주로 CVE CVE 등의취약점을사용한다. 우리가발견하였을때이악성코드는심지어 CVE 취약점을이용하여사용자의 usb 에있는 office 문서를감염시킨후악성코드를인젝션하여, 실제하드드라이브를감염시켰다. 해당악성코드는주로인젝션형식으로동작하며, 각기다른공격대상에대해각기다른기능을내려줄만큼유연한 악성코드이다. 악성코드는다양한기능들을갖고있다. - 이동식디스크중특정확장자를가진문서를탈취및공격자서버로전송 - 키로깅및현재활성화되어있는창들의정보를기록및서버로전송 - 주기적으로화면캡쳐및전송 - dll 다운로드및실행을통해내부망침투시도 - 이동식디스크중의 office 문서를 rtf 파일로변환하고, 취약점공격악성코드를심는다. - 로컬이메일정보와브라우저에저장되어있는계정정보를유출한다. [ 출처 ] 59

62 04 해외보안동향 WebLogic 취약점을이용한 GreyStars 랜섬웨어공격주의! 4 월 21 일, 익명의해커가 Weblogic 역직렬화취약점을이용하여중국기업의서버들에 Greystars 랜섬웨어를 감염시켰으며, 서버중의중요문서를암호화한후 0.08 비트코인을요구하였다. 현재까지이미백여대가넘는 서버들이해당공격에영향을받은것으로확인되었다. " 파일리스 " 공격방식을이용, 공격페이로드는 Gist 에호스팅 Greystars 랜섬웨어는최근몇년동안의공격에서줄곧 " 파일리스 " 공격방식을사용하였다. 이번공격역시파일리스공격방식을이용하였다. 해커는 Weblogic 역직렬화취약점을이용하여서버를공격하고, Gist 에호스팅되어있던첫번째페이로드를감염시킨서버로내려받고실행시킨다. 60

63 04 해외보안동향 첫번째페이로드는 Gist 에업로드되어있는악성코드가포함된이미지를읽어온후해당이미지안에서두번째 페이로드를내려받는다. 그후 PowerShell 프로세스중에서실행시킨다. 해커가성공적으로 Weblogic 역직렬화취약점을이용하여서버에침투한후다음과같은명령어를이용하여호스팅된 주소에서공격페이로드를내려받아실행시킨다. 대부분의해커들이개인도메인을페이로드다운로드주소로사용하는것과달리, Greystars 랜섬웨어는 Gist 에호스팅 되어있는페이로드를사용한다. 그이유는 raw.githubusercontent.com 도메인은이미대부분의백신과보안제품에서정상적인도메인으로인지하고 있기때문에효과적으로악성페이로드를내려줄수있는것이다. 다만이러한방식을사용하면, 공격자의신분이쉽게 노출될수있는단점은존재한다. " 스테가노그래피 " 기술을이용한악성코드은닉첫번째공격페이로드의주요기능은악성코드가포함되어있는이미지를내려받고, 해당이미지중포함되어있는악성코드를실행시키는것이다. web.png 이미지는특별히제작된이미지로, 해커는 Invoke-PSImage 툴을이용하여해당이미지안에악성코드를삽입해놓았다. Invoke-PSImage 는해외보안연구원 Barrett Adams 이개발한툴로, 악성코드를이미지의매픽셀의 G 와 B 두개 색상채널의마지막 4bit 에삽입시킬수있다. 61

64 04 해외보안동향 위이미지는 Invoke-PSImage 의간단한동작원리다. 색상채널의마지막 4bit 는픽셀의색상에큰영향을끼지지않기때문에, Invoke-PSImage 를이용하여악성코드를 이미지에삽입해도원본이미지와큰차이점이없는것이다. 그렇기때문에해커들이 " 정상을가장한이미지 " 를 Gist 에 업로드시켜놓아도별다른의심을받지않는것이다. 중요문서암호화및랜섬머니요구두번째페이로드는서버내랜섬웨어를실행시킨후주요파일들을암호화하는데, 해당페이로드역시 Power Shell 로제작되어있다. Greystars 랜섬웨어는컴퓨터한대당 AES 키를생성하여파일들을암호화하며, 내장되어있는 RSA 공개키를이용하여 AES 키를암호화한다. 이 RSA 공개키는하드코딩방식으로코드내인증서중에저장되어있으며,.NET X509Certificates 류의 PublicKey 방식으로얻을수있다. PowerShell 언어는.NET 메서드를조작할수있는유연성을가지고있기때문에 Greystars 랜섬웨어는이특징을 이용하여암호화키생성과암호화키의암호화과정을간단한 PowerShell 로구현하였다. 62

65 04 해외보안동향 Greystar 랜섬웨어는 422 종류의파일들을암호화시키며, 여기에는문서, 이미지,DB 파일뿐만아니라서버운영에 필요한스크립트문서들예를들어파이선스크립트. PHP 스크립트등도포함되어있다. 암호화과정중 Greystars 랜섬웨어는 C 드라이브하위에데스크탑폴더및문서폴더이외에다른목록들을암호화 대상에서제외하여시스템이정상적으로운영될수있도록하며, DB 와관련된프로세스를종료하여 DB 파일들이 성공적으로암호화될수있도록한다. Greystars 랜섬웨어는 " 원본파일암호화 - 새파일생성 - 원본파일삭제 " 의방식을이용하며, 일부읽기권한밖에 없는파일에대해서는암호화된파일이존재하지않고원본파일이삭제되는경우가발생하기도한다. 이러한 경우에는랜섬머니를지불하여도원본파일을복구할수없게된다. 63

66 04 해외보안동향 암호화된파일들은모두뒤에 라는텍스트가추가되며, 0.08 비트코인을랜섬머니로 요구하는랜섬화면을띄운다. Weblogic 서버가랜섬웨어공격자들의환영을받기시작해 2017 년, Weblogic 에서 CVE 과 CVE 두가지의심각한역직렬화취약점이발견되었다. 해당취약점은 Oracle WebLogic Server 등다양한버전이영향을받았으며, 많은공격자들이이취약점들을악용하여서버에악성코드를심었다. 하지만아직까지아직많은 WebLogic 서버들이해당취약점들에대한패치를진행하지않았다. WebLogic 서버가랜섬웨어공격자들의환영을받게된원인은다음과같다. 첫번째, 아직많은 WebLogic 서버들이취약점업데이트를진행하지않았다. 그렇기때문에공격자들의입장에서공격 난이도가낮으며, 적은노력으로최대효과를낼수있다. 두번째, 이런종류의서버는일반적으로기업들이사용을하고있으며, 기업사용자들은일반사용자들보다랜섬머니를 지불하고암호화된파일을복호화할가능성이크기때문이다. [ 출처 ] 64

67 04 해외보안동향 3. 일본 iphone X 당첨? 일본우편을사칭하여월정액 8900 엔의서비스에강제가입시키는가짜 사이트에주의 일본우편을사칭하여 iphone X 에당첨되었다고하며설문조사에답변을하게하여주소나신용카드정보등을 탈취하는가짜사이트가발견되었다고해서일본우편이나트렌드마이크로가주의를당부하고있다. 트렌드마이크로에서는이번당첨사기사이트로유도하는 3 종류의부정한광고를확인했으며, 3 월 26 일부터 4 월 2 일까지일주일간일본에서 2500 건이상의접속이확인되었다고한다. 가짜사이트에정보를입력하면, 월정액 8900 엔의서비스에등록되어 3 일간시행후에신용카드에서자동적으로 인출이이루어진다고한다. Android 에서당첨사기사이트를표시한예. URL 에는정규사이트로오해시키는 post,.co.jp 로오해시키는 65

68 04 해외보안동향.co/jp 라는문자열이포함된다. 이번에확인된당첨사기가짜사이트의경우는아래의설문조사가표시된다. 1. 우리의우편서비스를사용한지몇년이되었습니까? 2. 어떤빈도로우편서비스를이용하셨습니까? 3. 당신은우리의서비스에어느정도만족하고있습니까? 4. 스마트폰에서당신이좋아하는색은무엇입니까? 설문조사의답변후에는스마트폰의선택화면이표시되고 지금곧겟 버튼을선택하면 iphone 7 과 AirPods, 실리콘케이스세트를 100 엔 ( 이외 199 엔까지의예도있다 ) 으로추첨권을구입할수있다는화면이표시된다. 이 화면에서각종정보를입력하면월정액 8900 엔의서비스에등록된다. 설문조사답변후에표시되는 스마트폰의당첨화면예 100 엔으로 iphone 7 세트의추첨권을구입할수 있다는화면의예 트렌드마이크로에따르면, 이번사례는세계각지의우편사업사를위장하는일련의수법의일부로일본국내만을 표적으로한것이아니다. 또이번수법에유사한당첨사기는 2015 년과 2016 년에도발견되고있다. [ 출처 ] 66

69 04 해외보안동향 10% 이상의기업이과거 1 년간내부부정정보유출을인지 - DDoS 공격도약 10% 과거 1 년간내부부정에의한개인정보유출이나손실을인지하고있는기업이 10% 를넘는것이밝혀졌다. 일본정보경제사회추진협회 (JIPDEC) 와 ITR 이 1 월 17 일부터 29 일에걸쳐서웹설문조사형식으로조사를실시하여 결과를정리한것이다. 종업원 50 명이상의일본국내기업에근무하면서 IT 전략책정또는정보보안시책에관한 임원을대상으로실시하였는데, 693 개사가답변했다. 이조사에따르면, 과거 1 년간사건을경험하지않았다는기업은 29.6% 로 30% 에미치지못했다. 다만이기업들의 경우에도사건을인지하고있지못하고있을뿐일가능성도있다. 한편, 사건을인지했다는기업에대해서사건내용을살펴보면, 사내 PC 의악성코드감염 이 27.3% 로가장많았다. 이어서 스마트폰, 휴대전화, 테블릿분실, 도난 이 20.8%, 인위적실수에의한개인정보의유출, 분실 이 17.3%, USB 메모리, 저장매체의분실, 도난 이 16.9% 로뒤를잇는다. 인지율증가가지난해부터눈에띄게증가했던것이 외부에서온위장메일의수신 이었다 년조사의 10.7% 에서 15.9% 로 5.2 포인트상승했다. 내부부정에의한개인정보의유출, 손실 이지난해의 8.3% 에서 2.5 포인트증가한 10.8% 로, 10% 를넘어섰다. 6.7% 였던 2016 년부터증가추세가이어지고있다. 또한 공개서버등에대한 DDoS 공격 도 5.8% 에서 9.4% 로상승하고있어, 10% 가까운기업이인지하고있었다. 67

70 04 해외보안동향 사내 PC 의악성코드감염 스마트폰, 휴대전화, 테블릿의분실 / 도난 USB 메모리 / 저장매체의분식 / 도난 개인정보의유출 / 분실 ( 인위적실수에의한 ) 개인정보의유출 / 분실 ( 내부부정에의한 ) 개인정보를둘러싼트러블발생 ( 목적외이용, 개시청 구에대한대응등 ) 표적형사이버공격 공개서버등에대한 DDoS 공격 과거 1 년간인지한사건종류 ( 그래프 :JIPDEC, ITR) [ 출처 ] 68

71 04 해외보안동향 일본국내에서도 Drupalgeddon 2.0 발견 Drupal 이용자는업데이트상황확인필요 컨텐츠매니지먼트시스템 Drupal 의심각한취약성 CVE 에대한공격이발생하고있는문제로, 일본국내에서도취약성을악용하는공격이관측되고있다는사실이밝혀졌다. 문제의 CVE 은영향의크기에서별명 Drupalgeddon 2.0 으로도불리고있는취약성이다. 3 월 28 일에공개된시큐리티업데이트 Drupal 8.5.1, Drupal 7.58 로수정되었을뿐아니라서포트가종료된 버전에대해서도 Drupal 8.4.6, Drupal 가발매되고있다. 공개당초부터악용에대한경계를권고하고있었으나 GitHub 상에실증코드 (PoC) 가공개된 4 월 12 일을경계로 상황이크게변화했다. 이취약성을이용하여백도어나코인마이너를다운로드시키는공격이확인되고있다. 일본국내에서는 4 월16 일시점에 JPCERT 코디네이션센터가센터에서의관측시스템에서는탐색행위탐지에머무르고공격그자체는확인되지않고있다는사실이밝혀졌으나, 경찰청에서는 4 월14 일부터공격을관측하고있어그후증가추세에있다고한다. 경찰청에따르면, 관측된공격은실증코드와흡사한 POST 리퀘스트 였다. 취약성의탐색뿐만아니라외부에서파일을취득하여설치시키려고하고있었다. SANS 의연구자에따르면, 이러한공격에서는 POST 리퀘스트를송신할때에가짜리퍼러 (referrer) 등을설정하고있는케이스가있어 baidu.com 에서의접속을가장한케이스가확인되고있다. 게다가코인마이너를설치시키는공격의경우는영속적으로동작하도록정기적으로기동하게설정되어있었다. 또파일의업데이트기능을제공하는백도어가설치되는케이스가있었을뿐아니라 Windows 에서실행되고있는 Drupal 을탐색하는움직임도있다고보고하고있다. CVE 에대한공격의관측동향 ( 그래프 : 경찰청 ) [ 출처 ] 69

72 ( 주 ) 이스트시큐리티 ( 우 ) 서울시서초구반포대로 3 이스트빌딩