ASEC REPORT VOL 년 3 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

Transcription

1

2 ASEC REPORT VOL 년 3 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 더많은정보는안랩닷컴 (www. ahnlab.com) 에서확인하실수있습니다 년 3 분기보안동향 Table of Contents 보안이슈 SECURITY ISSUE 금융거래정보노리는이모텟 (Emotet) 재등장 04 악성코드상세분석 ANALYSIS-IN-DEPTH 오퍼레이션비터비스킷 (Operation Bitter Biscuit) 분석보고서 14 ASEC REPORT Vol.88 Security Trend 2

3 보안이슈 SECURITY ISSUE 금융거래정보노리는 이모텟 (Emotet) 재등장

4 보안이슈 금융거래정보노리는 Security Issue 이모텟 (Emotet) 재등장 지난 2017 년 8월, 안랩은자사클라우드기반의악성코드위협분석및대응시스템인 ASD(AhnLab Smart Defense) 를통해이모텟 (Emotet) 악성코드가스팸봇넷을통해다시유포되고있음을확인했다. 이모텟은지난 2014 년해외에서처음발견된금융정보탈취악성코드다. 이번에다시발견된이모텟악성코드는사용자의금융거래정보유출을위해악성행위에필요한기능을모듈화하였으며, C&C 서버로부터해당모듈을다운받아동작하는것이특징이다. 이글에서는이모텟악성코드의유포과정및일련의동작방식을살펴보고, 이모텟악성코드의주요 악성행위들을면밀히살펴본다. 1. 이모텟유포및동작방식 이모텟악성코드의전체적인동작방식은 [ 그림 1-1] 과같다. 안랩의분석결과, 지난 3 분기에유포된이모텟 악성코드는 [ 표 1-1] 의 1 과같이스팸봇넷을통 해메일내첨부파일형태로유포되고있음을확 인했다. 그림 1-1 이모텟악성코드의동작방식 ASEC REPORT Vol.88 Security Trend 4

5 1 스팸메일내첨부파일을통해이모텟악성코드다운로드및실행 2 자동실행서비스에이모텟악성코드등록 3 시스템 OS 정보, 실행중인프로세스리스트, 이모텟악성코드의 PE CRC, 컴퓨터이름, 볼륨시리얼넘버정보를암호화하여전송 4 C&C 서버로부터추가악성행위를수행하기위한모듈다운로드 5 다운로드된모듈실행 표 1-1 이모텟악성코드동작방식설명 봇넷을통해전송된스팸메일에첨부된워드파일에는 [ 그림 1-2] 와같이악성매크로가포함되어있다. 그림 1-2 스팸메일내워드파일에첨부된악성매크로 해당문서에는 이문서는보호되어있으며매크로실행을허용하라 와같이사용자의악성매크로실행을유도하는내용이담겨있다. 사용자가매크로허용버튼을누르면 [ 그림 1-3] 과같이난독화된파워쉘명령어가실행되면서이모텟악성코드 ( 이하이모텟로더 ) 가외부 URL로부터시스템에다운로드및실행된다. 그림 1-3 난독화된파워쉘명령어 ASEC REPORT Vol.88 Security Trend 5

6 1 이모텟로더의재실행을위한서비스등록 2 컴퓨터이름및 OS 정보, 실행중인프로세스리스트획득 3 크립트 API를활용하여획득한정보암호화 4 암호화한데이터를통해 C&C 서버와통신 5 C&C 서버로부터전달받은데이터를복호화한뒤해당모듈을실행표 1-2 이모텟로더가수행하는악성행위과정 2. 주요악성행위악성 URL로부터다운로드된이모텟로더가실행되면가장먼저서비스등록을진행한다. 이후사용자정보를획득하고 C&C 서버와통신을거쳐추가악성행위에필요한모듈을다운로드한다. [ 표 1-2] 는이모텟로더가수행하는주요악성행위를일련의과정으로나타낸것이다 서비스등록이모텟로더는서비스생성및열거에대한권한을확인하기위해 OpenSCManagerW API를호출한다. 이때서비스생성및열거권한획득에성공하면이모텟로더를서비스에등록하는루틴을진행하며 %Windir%\System32 경로에자기자신을복사한다. 그림 1-4 OpenSCManagerW 호출을통한접근권한확인 [ 그림 1-4] 의 0x40884A 코드를보면 OpenSCManagerW API 호출의결과값에따라서 DS:[40B2A4] 값이달라지는것을확인할수있다. 또한 [ 그림 1-5] 의 0x4088EC 코드에서 DS:[40B2A4] 의 1 바이트값은이모텟로더가자가복제하는경로를결정한다. 그림 1-5 DS:[40B2A4] 값에따른자가복제경로결정코드일부분 ASEC REPORT Vol.88 Security Trend 6

7 권한획득성공여부에따라이모텟로더의자가 복제경로가달라지는데, 대상경로는 [ 표 1-3] 권한획득성공 권한획득실패 %Windir%\System32 %Appdata%\Local\Microsoft\Windows 과같다. 표 1-3 이모텟로더의자가복제경로 이모텟로더는자가복제된파일의이름을정하기위해 [ 표 1-4] 와같이서비스및파일생성에사용 하는키워드중무작위로 2 개의키워드를선택한다. agent,app,audio,bio,bits,cache,card,cart,cert,com,crypt,dcom,defrag,device,dhcp,dns,event,evt,flt,gdi,group,help,home,host,info,iso,laun ch,log,logon,lookup,man,math,mgmt,msi,ncb,net,nv,nvidia,proc,prop,prov,provider,reg,rpc,screen,search,sec,server,service,shed,shedul e,spec,srv,storage,svc,sys,system,task,time,video,view,win,window,wlan,wmi 표 1-4 서비스및파일생성에사용하는키워드 선택된키워드는 [ 그림 1-6] 과같이자가복제되는파일이름과서비스이름에조합되어적용된다. 그림 1-6 생성된서비스및파일경로 ASEC REPORT Vol.88 Security Trend 7

8 그림 1-7 서비스설명값변경 서비스생성후이모텟로더는 [ 그림 1-7] 과같이서비스설명값을변경하는 ChangeServiceConfig2W API를호출한다. 호출된 API는기존서비스설명중무작위로선택된값을복사하여 [ 그림 1-8] 과같이생성된서비스의설명값 그림 1-8 변경된서비스설명 을변경한다 사용자정보수집서비스생성완료후이모텟로더는사용자정보를수집한다. 이모텟로더는감염 PC에서수집한시스템의운영체제버전, 컴퓨터이름, 볼륨시리얼넘버, 실행중인프로세스리스트, 실행된 PE CRC 정보를추출하며, 이때추출된데이터는 C&C 서버에암호화화여전송한다. 분석당시 [ 그림 1-9] 과같이운영체제, PE CRC32 등의 사용자정보가유출된것을확인했다. 그림 1-9 유출된사용자정보 2-3. 크립트 API 를활용한데이터암호화 이모텟로더는수집한사용자정보의암호화를수행하는데, 암호화과정에는커스텀암호화방식과크 립트 API 를이용한방식이사용된다. 크립트 API 를사용하는암호화과정의경우, [ 그림 1-10] 과같이 ASEC REPORT Vol.88 Security Trend 8

9 파일내부에 RSA 공개키값이존재하며, 해당키는 CryptGenKey API 로호출한무작위의 AES-128 대칭키값을암호화하는데사용한다. 그림 1-10 파일내부에존재하는 RSA 공개키획득및 AES-128 랜덤키값생성부분 [ 그림 1-11] 과같이이모텟로더파일내부에는공격자가저장해둔 RSA 공개키값이존재하며, CryptDecodeObjectEx API 를통해복호화된 RSA 공개키값은 [ 그림 1-12] 와같다. 그림 1-11 파일내부에존재하는 RSA 공개키 그림 1-12 복호화된 RSA 공개키 ASEC REPORT Vol.88 Security Trend 9

10 그림 1-13 데이터암호화과정 최종적으로이모텟로더는 [ 그림 1-13] 과같이 CryptEncrypt API 를통해 AES-128 CBC 모드암호 화를수행하고데이터에대한해시값을생성한다. 또한 CryptExportKey API 를통해암호화에사용 된 AES-128 키값을추출하여메모리에복사한다 암호화된데이터를 C&C 서버에전송데이터암호화과정이모두완료되면이모텟로더는 [ 그림 1-14] 와같이 POST 전송방식을사용하여암호화된데이터를 C&C 서버로전송한다. 특징적인점은 C&C 서버가클라이언트에게응 답값으로 [ 그림 1-15] 와같은 404 에러값을전 송하는데, 실제데이터내부에는암호화된추가 그림 1-14 POST 데이터전송 악성모듈이포함되어있다는점이다. 그림 1-15 POST 전송및 404 에러 ASEC REPORT Vol.88 Security Trend 10

11 분석당시에는해당 C&C 서버가차단되어있어이를통해전송되는악성모듈은확인할수없었다. 실제 C&C 서버로부터추가악성모듈이전송되는경우, 실제클라이언트에게보내는응답값의크기 는 0x1c000 이상인것으로알려져있다 C&C 서버로부터전달받은암호화된데이터복호화후실행차단된 C&C 서버로부터전송된악성모듈확보는어려웠지만, 추가로정적분석을통해모듈다운로드후수행되는악성행위를확인했다. [ 그림 1-16] 과같이 C&C 서버로부터응답값을받은이모텟로더는데이터복호화루틴을수행한후추가악성모듈로추정되는파일을실행한다. 그림 1-16 추가모듈파일생성및실행코드일부분 시스템이이모텟악성코드에감염되어추가악성행위를수행하는모듈들이실행되면, 감염 PC 에서 실행중인웹브라우저에사용자정보를탈취하는모듈이인젝션되어동작한다. C&C 서버로부터다운받아동작하는추가악성모듈의목록은 [ 표 1-5] 와같다. 안랩분석당시, 악성코드가접속하는 C&C 서버 가차단되어악성행위를위한추가모듈을다운 로드하는과정은확인할수없었다. 현재 C&C 서 - 네트워크전파감염에사용되는모듈 - 스팸메일전송에사용되는모듈 - 웹브라우저에인젝션되어금융정보탈취에사용되는모듈표 1-5 C&C 서버로부터다운받는추가모듈목록 ASEC REPORT Vol.88 Security Trend 11

12 버로부터다운받는추가악성모듈에대한연구와이모텟로더에대한분석을계속진행하고있으며, 새로운분석내용이확인될경우안랩 ASEC 블로그 (asec.ahnlab.com) 를통해공개할예정이다. <AhnLab 진단정보 > V3 제품군에서는이모텟악성코드를다음과같은진단명으로탐지하고있다. Trojan/Win32.Emotet ( ) ASEC REPORT Vol.88 Security Trend 12

13 악성코드 상세분석 ANALYSIS-IN-DEPTH 오퍼레이션비터비스킷 (Operation Bitter Biscuit) 분석보고서

14 악성코드상세분석 Analysis-In-Depth 오퍼레이션비터비스킷 분석보고서 지난 2010년을기점으로본격화된국내주요기관을공격대상으로한지능형지속위협 (Advanced Persistent Threat, 이하 APT) 이점점고도화되어 2017년현재까지도꾸준히지속되고있다. 특히지난 2011년부터 2017년현재까지지속적으로국내기관을노리고있는공격이확인되었다. 일명 오퍼레이션비터비스킷 (Operation Bitter Biscuit) 으로불리는이공격은비소날 (Bisonal), 덱스비아 (Dexbia) 등의악성코드를이용하며주로국내외군사기관, 방위산업체, IT 업체등의주요기관을표적으로삼고있다. 이에국내외보안전문가들은비소날 (Bisonal) 류악성코드의최초발견이후공격그룹의연관성을제기하며비소날류악성코드를이용한 APT 공격을분석해왔다. 안랩시큐리티대응센터 (AhnLab Security Emergency-response Center, 이하 ASEC) 는실제국내 공격사례를중심으로오퍼레이션비터비스킷의현황및공격동향을분석했다. 1. 공격현황오퍼레이션비터비스킷 (Operation Bitter Biscuit) 에이용된비소날류악성코드는 2010년최초발견된후지속적으로한국, 일본, 인도에대한공격이확인되었으며, 디코이 (decoy) 파일을통해러시아권사용자에게도추가공격을가한것으로보인다. 일본의경우 2012년방위산업체에대한공격이있었으며, 인도 CERT에서는 2015년비소날악성코드의변형인바이오아지흐 (Bioazih) 에대해경고한바있다. 하지만최근에는한국을제외한나머지국가에서는관련공격이확인되지않았다. ASEC REPORT Vol.88 Security Trend 14

15 한국에서는 2011 년부터군사기관, 방위산업체, IT 업체등국내주요기관을대상으로한지속적인공격이계속되고있다. 2011년부터 2012년사이에는주로국내기관에대한공격이집중적으로진행되었으며, 2013년부터 2015년에는국내기업과군사기관까지점차적으로공격범위가확대됐다. 그림 2-1 비소날 (Bisonal) 악성코드공격대상국가 가장최근인 2016 년부터 2017 년사이에는방위산 업체와연관기업에대한공격도확인됐다. 공격에사용된악성코드종류는다소차이가있지만 C&C 서 버를사용하는악성코드공격이지난 2009 년부터존재해온점으로미루어관련공격그룹은오래전부 터국내에서활동했을가능성이있다. 비소날류악성코드의주요공격사례는다음과같다. 그림 2-2 비소날 (Bisonal) 류공격사례 비소날류의악성코드를이용한공격이오랜기간동안지속되면서안랩을비롯해코세인크 (Coseinc), 파이어아이 (FireEye), 트렌드마이크로 (TrendMicro) 등국내외보안업체에서는관련내용을수차례 ASEC REPORT Vol.88 Security Trend 15

16 언급한바있다. 트렌드마이크로는이를 하트비트 APT(HeartBeat APT) 로명명하기도했는데, [ 그림 2-3] 과같이일부악성코드내부에 HeartBeat 라는문자열이존재하기때문이다 년에는마이크 로소프트에서하트비트 APT 와연관된바이오아지흐 RAT(Bioazih RAT) 에대한정보를공개했다. 안랩에서도 2015 년 3 월비소날악성코드와관련된군사기관공격에대한내용을공개했다. 그림 2-3 악성코드내포함된 HeartBeat 문자열 지금까지살펴본바와같이비소날혹은비스콘 (Biscon) 은 2011년부터국내를공격하고있는악성코드로하트비트 APT와비소날변형인바이오아지흐와밀접한연관성이있으며, 이로미루어공격자는특정그룹이거나공개된소스코드를이용한다수의그룹일가능성이있다. 2. 공격방식 현재까지확인된오퍼레이션비터비스킷의공격 방식은공격대상이정해지면악성코드가첨부된 메일을보내감염을시도하는것이다. 특징적인 그림 2-4 비소날관련안랩블로그게시글 점은문서취약점을이용하는방식보다실행파일이나악성매크로를포함한문서를첨부하는방식을 주로이용한다는것이다. ASEC REPORT Vol.88 Security Trend 16

17 안랩의분석결과, 공격에사용된첨부파일은문 서프로그램의취약점을이용한것이아니라문 서파일로위장한실행파일을사용하고있었다. 공격과정은다음과같다. 악성메일을받은사 그림 2-5 문서파일로위장한실행파일형태의악성코드 용자가문서파일로위장한파일을착각해악성 코드를실행하면, 악성코드는해당시스템에백도어프로그램을설치하고 EXE 를삭제한후사용자 에게디코이 (decoy) 문서파일을보여준다. 그림 2-6 사용자를현혹하기위한문서파일 지난 2017년 3월에는마이크로소프트오피스매크로를이용한공격이확인됐다. 사용자가악성매크로가삽입된문서파일을열면 [ 그림 2-7] 과같이본문의내용을흐릿하게보여주며매크 로실행을유도한다. 그림 2-7 매크로활성화를유도하는문서 ASEC REPORT Vol.88 Security Trend 17

18 사용자가 콘텐츠사용 을클릭해매크로가실행되면시스템이악성코드에감염되며, 동시에사용자의의심을피하기위해정상적인문서로보이는내용의디코이문서를보여준다. 비슷한시기에유포된악성워드문서파일중 에는동일한내용, 동일한백도어를사용하고 있지만내용을흐릿하게보이지않고악성매크 그림 년 3 월매크로를이용한디코이문서내용 로만포함하고있는변형도존재한다. 3. 비소날 (Bisonal) 류악성코드현황 오퍼레이션비터비스킷과관련하여현재까지확인된비소날류악성코드수는약 150 개다. 악성코드분포를보면바이오아지흐 (Bioazih) 를포함한비소날 (Bisonal) 변형의비율이 70% 로 가장많으며덱스비아 (Dexbia) 는 17% 를차지하고있다. 하지만 2016 년이후에는덱스비아의출현 빈도가더잦아지고있는것이확인됐다. 그림 2-9 오퍼레이션비터비스킷관련악성코드분포 ASEC REPORT Vol.88 Security Trend 18

19 2009 년부터최근까지의비소날류악성코드추이는 [ 그림 2-10] 과같다. 그림 2-10 연도별비소날류악성코드추이 4. 비소날 (Bisonal) 백도어분석 공격자는일차적으로비소날 (Bisonal) 백도어프로그램을사용자에게보내공격대상컴퓨터를감 염시킨다. 비소날악성코드의특징과그변형을살펴보자 비소날 (Bisonal) 특징 비소날은악성코드내에 bisonal 과같은문자열을포함하고있어붙여진이름이다 년에제작 된변형에서해당문자열이발견되었으며, 2009 년에발견된초기버전에는특징적인문자열이없다. 비소날에서자주사용된파일이름은다음과같다. 6ro4.dll, 6to4nt.dll, AcroRd32.exe, ahn.exe, AhnSDsv.exe, ahnupdate.exe, AYagent.exe, chrome.exe, conhost.exe, conime.exe, ctfmon.exe, deskmvr.exe, dlg.exe, explorer.exe, htrn.dll, hyper.dll, lpk.dll, lsass.exe, mfc.exe, mmc.exe, msacm32.dll, netfxocm.exe, serskt.exe, svcsep. exe, taskmgr.exe, tpcon.exe, tsc.exe, v3update.exe, winhelp.exe 등 비소날악성코드는크게백도어를설치하는드롭퍼 (Dropper) 와백도어 (Backdoor) 로나뉜다. 백도 어는 DLL 파일형태와 EXE 파일형태가있는데, DLL 파일은기존파일을교체하는형태와서비스로 ASEC REPORT Vol.88 Security Trend 19

20 로딩되는형태가존재하며, EXE 파일은 C 로제작 된형태와 MFC(Microsoft Foundation Class) 로제작된형태가존재한다. DLL 파일형태 EXE 파일형태 단독형 C 로제작 기존파일교체형 MFC 로제작 표 2-1 비소날에서자주사용되는파일형태와특징 변형에따라특징적문자열이없거나 bisonal, bioazih, biaozhi 등의문자열을포함하고있으 며 C&C 서버주소, 식별정보또한포함하고있다. 그림 년발견된비소날악성코드 2011 년발견된변형부터는 C&C 서버주소등의문자열을보통 0x1F 로 XOR 연산해암호화한다. 그림 년발견된문자열암호화하는비소날악성코드 C&C 서버의경우 dynamic-dns.net, myfw.us 등의다이나믹 DNS 서비스를이용하기도한다. 주로 국내사이트와유사한이름을가지고있으며평소에는정상사이트주소로연결하고원격제어가필 요할때만실제 C&C 서버 IP 주소로변경한다. ASEC REPORT Vol.88 Security Trend 20

21 국내사이트유사 C&C 서버주소 정상사이트 정상사이트 ahnlab.myfw.us 안랩 안랩 kndu.ac.kr 국방대학교 통일연구원 국립자연휴양림관리소 표 2-2 비소날에서이용하는국내사이트유사 C&C 서버주소 비소날은악성코드내에식별정보를포함하기도하는데보통공격대상을포함하고있어공격대상을 추정할수있다. 하지만악성코드내식별정보와실제공격대상이일치하지않는경우도있다. 그림 2-13 군사기관추정공격샘플 악성코드가실행되면보통다음시스템정보를수집해전송한다. - 호스트명 - IP 주소 - OS 버전 - 시스템시간 - 실행중인프로세스목록 A-Z 드라이브를검사해존재하는이동식, 고정식, 네트워크드라이브명 - 모든폴더이름 - 모든파일이름 표 2-3 비소날실행시수집정보 또한 C&C 서버에접속하여명령을받아원격제어기능을수행한다. 프로세스리스트얻기 / 프로세스종료 / 파일관리 ( 읽기, 쓰기, 삭제등 ) / 프로그램실행 표 2-4 비소날악성코드의원격제어기능 ASEC REPORT Vol.88 Security Trend 21

22 4-2. 비소날 (Bisonal) 변형 2010 년부터제작된비소날 (Bisonal) 악성코드는다양한변형이존재한다. 비소날류악성코드의 연관관계와연도별변형은다음과같다. 그림 2-14 비소날류악성코드연관관계 시기종류내용 2009 Presonal 2009년부터 2013년까지국내기관에대한공격에사용. 비소날 (Bisonal) 류와동일 C&C 서버도있어동일조직의초기버전일수있음 A 형 비소날 (Bisonal) 최초버전 B 형 DLL 형태. Bisonal 문자열포함 B 형 DLL 형태. 정상 msacm32.dll 파일의 export 함수를가지고있음. 문자열암호화시작 2012 B 형 Bioazih 문자열포함된변형발견 2013 B 형 MFC 로제작된 EXE B 형 엔에스팩 (Nspack) 으로패킹 Dexbi (Bromall) 새로운문자열암호화방식사용. 일부버전에서 Bioazih 문자열발견 B 형 Biaozhi 로변경된변형발견 Dexbi (Bromall) 덱스비아 (Dexbia) 패킹버전 표 2-5 연도별비소날악성코드변형 비소날류악성코드의초기버전으로알려진프리소날 (Presonal) 은 2009 년처음발견된이후 2013 년 까지발견되었다. 대부분의프리소날 (Presonal) 악성코드는 200,000 바이트 (byte) 의길이를가지며 주로한국에서감염된사실이보고된바있다. 해당초기버전은비소날악성코드와코드면에서의연 ASEC REPORT Vol.88 Security Trend 22

23 관성은찾아보기어렵지만일부악성코드의경우비소날과 C&C 서버의주소가동일해초기버전으 로추정되고있다. 그림 2-15 비소날초기버전 2010 년에는 bisonal 문자열을포함한비소날악성코드변형이발견되었으며, 비슷한시기에 bioazih 문자열을가진변형도발견되었다. 그림 2-16 바이오아지흐 (Bioazih) 변형 2016 년국내방위산업체에서발견된변형은 bioazih 문자열을살짝변형한 biaozhi 문자열을포함 하고있다. 그림 2-17 Biaozhi 문자열포함변형 ASEC REPORT Vol.88 Security Trend 23

24 2014년부터는문자열암호화방식과코드가바뀐새로운변형이발견된다. 덱스비아 (Dexbia) 로불리는변형은코드만으로는비소날변형으로분류하기어렵다. 하지만파일이름중기존비소날변형에서사용된 6ro4.dll과같은이름의파일이존재하고, 비소날변형의특징적문자열인 biaozhi 를포함한변형이확인되었다. 또한비소날악성코드를이용한공격을받은업체들중 2곳이상의업체에서이변형도함께발견된것으로미루어보아동일공격그룹에서제작했을가능성이높을것으로추측된다. 그림 2-18 덱스비아 (Dexbia) 변형 2014 년에는엔에스팩 (nspack) 프로그램등으로패킹된변형이발견되었으며, 2017 년현재도비소날 등의구형버전과덱스비아변형이모두공격에사용되고있는것이확인되었다. 5. 내부침투도구공격자는공격대상컴퓨터에백도어를감염시킨후, 최종적으로내부시스템을장악하고정보를유출하기위해다양한내부침투도구를사용한다. 내부침투도구로는포트스캐너 (Port Scanner), 정보수집프로그램, 정보유출프로그램을사용한다 포트스캐너 (Port Scanner) 포트스캐너는포트정보를스캔프로그램으로 2011~2012 년에는프로그램이름이 s.exe 였으며, 2015 년에는 v3log.exe 였다. ASEC REPORT Vol.88 Security Trend 24

25 그림 2-19 포트스캐너 5-2. 정보수집프로그램 공격대상의계정정보, 윈도우버전정보등을수집하기위해 GetAccoutn.exe 와 getos.exe 프로그 램을사용한다. GetAccoutn.exe 그림 2-20 GetAccount 실행화면 getos.exe 그림 2-21 getos 실행화면 ASEC REPORT Vol.88 Security Trend 25

26 5-3. 정보유출프로그램 수집한정보를유출하기위해 Client.exe 와 Put.exe 프로그램을사용한다. Client.exe Client.exe 는 C&C 서버와통신하는프로그램으로통신에성공하면파일을전송한다. 내부시스템침 투에성공하여시스템정보를얻으면이를외부로보내는프로그램은별도로제작하는것으로보인다. Put.exe Put.exe는탈취한정보를 1 MB씩유출하는역할을한다. error.txt 파일에는전송과정에서공격자가남긴로그정보가남으며 flist.txt 파일에는유출대상이저장된다. Put.exe는해당악성코드와동일경로에위치하는텍스트파일들을참조하여압축파일들을공격자서버로전송하는기능을수행한다. 6. 결론지난 2009년부터국내주요기관을대상으로비소날 (Bisonal), 바이오아지흐 (Bioazih), 덱스비아 (Dexbia) 등의비소날류악성코드및연관악성코드를이용한공격이계속되고있다. 공격자는주로국내군사기관에대한정보를수집하기위해노력하고있으며 2013년부터는국내민간업체와방위산업체에대해서도공격을확대하고있다. 비소날악성코드는중국언더그라운드에소스코드가공개되어있다고알려졌으나, 현재확인된공격사례의공격자들이동일그룹인지여부또한불분명한상태다. 분석결과, 공격방식이기술적으로뛰어난그룹은아닌것으로확인되었지만약 10 년동안국내주요 기관들을노리고지속적인공격을가하고있어앞으로도더욱강력한보안대책과함께각별한주의 가요구된다. ASEC REPORT Vol.88 Security Trend 26

27 <AhnLab 진단정보 > V3 제품군와 MDS 제품에서는오퍼레이션비터비스킷에사용된비소날 (Bisonal) 류악성코드를다음과같은진단명으로탐지하고있다. Backdoor/Win32.Bisonal ( ) Trojan/Win32.Agent ( ) Trojan/Win32.Npkon ( ) Win-Trojan/Biscon.3140 ( ) 등 ASEC REPORT Vol.88 Security Trend 27

28