Tick Group 공격동향보고서 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : AhnLab, Inc.

Size: px

Start display at page:

Download "Tick Group 공격동향보고서 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : AhnLab, Inc."

종현 오
5 years ago
Views:

2 목차 개요... 3 주요공격사례... 4 주요악성코드상세분석 다운로더 (Downloader) 백도어 (Backdoor) 키로거 (Keylogger) 주요공격도구분석 빌더 (Builder) 콘트롤러 (Controller) WCE (Windows Credentials Editor) 미미카츠 (Mimikatz) 결론 안랩제품대응현황 IoC (Indicators of Compromise) 정보 주요샘플파일명 해쉬 (MD5) 관련도메인, URL 및 IP 주소 참고문헌 (References) AhnLab, Inc. All rights reserved. 2

3 개요 틱그룹 (Tick Group) 은볼드나이트 (Bald Knight), 브론즈버틀러 (Bronze Butler), 니안 (Nian), 레드볼드나이트 (RedBaldKnight) 등으로도불리는공격그룹으로, 지난 2014 년부터본격적인활동이포착되었다. 이그룹이처음알려진것은 2013년어도비플래시플레이어제로데이취약점인 CVE 과 CVE 를이용한레이디보일 (Ladyboyle) 1 이다 년 4월시만텍 (Symantec) 이처음으로이그룹을 틱 (Tick) 으로명명 4 했으며, 같은해 11월일본의보안업체인 LAC 에서이그룹의일본활동을공개했다 년 6월에는시큐어웍스 (SecureWorks) 에서브론즈버틀러 (Bronze Butler) 6 라는이름으로이그룹의활동을공개하고, 같은해 7월팔로알토네트웍스 7 와 11월트렌드마이크로 8 에서추가정보를공개했다. 2018년 6 월팔로알토유닛42는이그룹이한국의보안 USB에대한공격도시도했다고밝혔다 년이후에는주로한국과일본기관및기업에대한공격을시도하고있다. 다만이보다앞선 2008 년 국내에서해당그룹과관련된악성코드가발견된바있어이그룹의국내공격은상당히오랫동안지속되 었을가능성이있다. 이그룹은한국과일본의 IT 환경을연구해공격을전개하고있다. 일본에서주로사용되는제품의취약점을이용해악성코드를감염시켰으며, 한국에서는취약점공격외에도국산백신이나보안 USB 제품을공격하는등다양한공격을시도하고있다. 이그룹이일본에서전개한공격에대해서는잘알려져있으나상대적으로한국에서의활동에대해서는알려진것이적다. 본보고서에서는틱그룹의한국및일본공격사례를상세히분석한다 AhnLab, Inc. All rights reserved. 3

4 주요공격사례 틱그룹은지난 2014 년이후지속적으로한국과일본을대상으로공격을전개하고있다. 국내공격사례의경우, 방위산업체를비롯해국방및정치관련기관, 에너지, 전자, 제조, 보안, 웹호스팅, IT 서비스업체등다양한산업분야를공격대상으로하고있다. 주로스피어피싱, 어도비플래시나 MS 오피스의취약점공격, 워터링홀등의공격기법을사용한다. 악성코드에쓰레기코드를추가해분석을방해하거나악성코드파일을생성할때수십 ~ 수백메가바이트의길이를가진파일을생성해보안프로그램의우회를시도한다. 또국산백신이나국산보안 USB 제품을공격하거나악성코드가포함된가짜설치판파일을이용한공격을시도했다. [ 표 1] 은이그룹의활동이처음확인된 2013 년이후 2019 년 2 월현재까지의주요공격사례를정리한 것이다. 공격시기 공격대상 공격방식 2013년 2월 알려지지않음 플래시취약점 (CVE , CVE ) 을이용한공격. 2014년 3월 한국 방위산업체 Netboy 변형으로공격. 해당변형은한국에서다수의감염보고 2015년 1월 한국 - 대기업 A Bisodown 변형으로공격 2015년 5월 한국 - 대기업 B Netboy 변형으로공격 2015년 6월 아시아 금융 2016년 2월 한국 해양산업 Daserf 변형으로공격. 2016년 6월한국통신사회사에서발견된 Daserf 악성코드와동일 2016년 6월 일본 - 여행사 LAC 보고서에따름 2016년 6월 한국 - 통신사 Daserf 변형으로공격 2016년 9월 한국 - 에너지 Datper 변형으로공격 2016년12월 일본 - 기업 일본자산관리소프트웨어취약점 (CVE ) 을공격해감염 2017년 4월 한국 미확인 2018년팔로알토유닛42를통해한국보안 USB에대한공격알려짐 2018년 5월 한국 국방분야추정 Bisodown 변형으로공격. 군사관련내용으로위장한파일 (decoy) 등으로미루어국방분야관계자가목표로추정 2018년 5월 한국 - 정치기구 Bisodown 이용해공격 2018년 8월 한국 - 국방분야 Bisodown 변형으로공격. 감염된시스템에서 Linkinfo.dll 파일이름을가진 Keylogger 함께발견 2018년 9월 한국 - 정치기구 Datper 변형으로공격 2019년 1월 한국 - 정보보안 JPCERT에서 2019년 2월정보공개한 Datper 변형으로공격 2019년 1월 한국 - 웹호스팅 2019년 1월한국보안업체에서발견된악성코드와동일 AhnLab, Inc. All rights reserved. 4

2019년 2월 한국 - 전자부품 JPCERT에서 2019년 2월정보공개한 Datper 변형으로공격 2019년 2월 한국 - IT서비스 2019년 2월한국전자부품공격악성코드와동일한 Datper 변형으로공격 [ 표 1] 틱그룹의주요공격사례 (2013-2019) 주요악성코드상세분석 틱그룹이사용한악성코드종류는다양하다.

5 2019년 2월 한국 - 전자부품 JPCERT에서 2019년 2월정보공개한 Datper 변형으로공격 2019년 2월 한국 - IT서비스 2019년 2월한국전자부품공격악성코드와동일한 Datper 변형으로공격 [ 표 1] 틱그룹의주요공격사례 ( ) 주요악성코드상세분석 틱그룹이사용한악성코드종류는다양하다. 다운로더역할을하는 Bisodown(Cpycat, HomamDownloader), Gofarer, 백도어인 Daserf, Datper, Hdoor, Ghostrat, Netboy(Domino, Invader), Ninezero(9002), Xxmm 등을이 용하는것으로알려져있다. Ghostrat 등일부악성코드는온라인에서구할수있는악성코드를이용했다. [ 그림 1] 틱그룹에서사용한주요악성코드 AhnLab, Inc. All rights reserved. 5

1. 다운로더 (Downloader) 1.1) Bisodown (Cpycat, Homam) Bisodown 은 Cpycat, Homam, HomamDownloader 등으로도불리며, 2014 년 4 월처음발견되었다. 2019 년현 재도사용되고있으며, 다운로더기능을가진악성코드로한국기업과기관공격에여러차례사용되었다.

6 1. 다운로더 (Downloader) 1.1) Bisodown (Cpycat, Homam) Bisodown 은 Cpycat, Homam, HomamDownloader 등으로도불리며, 2014 년 4 월처음발견되었다 년현 재도사용되고있으며, 다운로더기능을가진악성코드로한국기업과기관공격에여러차례사용되었다. 다운로더에는생성파일이름, 다운로드주소, 레지스트리등의문자열을포함하고있다. [ 그림 2] Bisodown 문자열 공격자는공격대상에게업무와관련된내용으로위장한메일을보낸다. 메일에는 PDF 또는워드문서파 일로위장한실행파일을첨부한다. 사용자가문서파일로보이는첨부파일을열면실행파일이동작하고 다운로더에의해추가악성코드를다운로드한다 년이후발견된다운로더변형은파일생성시파일끝에쓰레기값 (Garbage data) 을추가해수십 ~ 수백메가바이트에달하는크기를갖는다. 또이다운로더는오퍼레이션비터비스킷 (Operation Bitter Biscuit) 의 Bisoaks 변형을다운로드하기도했다 년 5 월국방분야관계자에게보낸것으로보이는샘플파일 (e45a80fcc66b2e52995e7b b2f) 의경우, 공격대상에게군대성폭력과관련된문서로위장한내용을보여준다. AhnLab, Inc. All rights reserved. 6

시만텍블로그 10 에언급된변형은 2015 년 11 월에발견된악성코 드 (7ec173d469c2aa7a3a15acb03214256c) 로보인다.

7 [ 그림 3] 군사관련기관에유포된위장문서파일 이후드롭퍼는다운로더파일을생성할때파일끝에쓰레기값을추가해 100 메가바이트이상크기의다 운로더파일을생성한다. [ 그림 4] 파일생성시추가한쓰레기값 1.2) Gofarer Gofarer 는 2015 년에발견된다운로더이다. 시만텍블로그 10 에언급된변형은 2015 년 11 월에발견된악성코 드 (7ec173d469c2aa7a3a15acb c) 로보인다 AhnLab, Inc. All rights reserved. 7

8 [ 그림 5] Gofarer 의메인코드 이악성코드의디지털서명을확인한결과, Heruida Electronic 이라는업체의인증서를갖고있으나, 실존하 는업체인지확인되지않는다. [ 그림 6] 악성코드의디지털서명 [ 그림 6] 과같은인증서로서명된악성코드가 4 개발견되었으며, 대부분 Gofarer 변형이다. 이들 4 개의악성 AhnLab, Inc. All rights reserved. 8

코드중 2015 년 7 월에발견된변형 (8d5bf506e55ab736f4c018d15739e352) 과인증서가없는변형 (4601e75267d0dcfe4256c43f45ec470a) 은모두일본에서발견되었다. 한국에서는이들변형이확인되지않 았다. 2. 백도어 (Backdoor) 2.

9 코드중 2015 년 7 월에발견된변형 (8d5bf506e55ab736f4c018d15739e352) 과인증서가없는변형 (4601e75267d0dcfe4256c43f45ec470a) 은모두일본에서발견되었다. 한국에서는이들변형이확인되지않 았다. 2. 백도어 (Backdoor) 2.1) Daserf (Muirim, Nioupale, Postbot) Daserf는 Muirim, Nioupale, Postbot 등으로알려진악성코드로, 2009년에처음발견되었다. 국내에서는 2011 년 4월에처음확인되었다 (653b69481b4ceaf851e2adc509e5b1b5). 그러나이악성코드가본격적으로알려진것은시만텍이 2016년 5월블로그를통해관련내용을공개하면서부터다. Daserf 변형들은대략 킬로바이트길이를갖는다. 일부변형은 100 킬로바이트이상의길이를갖고 있다. 초기에는 C 언어로제작되었지만 2013 년이후델파이로제작된변형들도존재한다. Daserf 변형들은버전정보와같은특징적문자열과파일끝에암호화된 C&C 정보를갖고있다. [ 그림 7] Daserf 의특징적인문자열 (1) 또한악성코드에버전정보가존재하는데, [ 그림 8] 의샘플의버전은 1.3G 다. AhnLab, Inc. All rights reserved. 9

exe로명령수행 - 파일업로드 / 다운로드 / 삭제 / 실행 - 제거 2011 년 4 월한국에서발견된 Daserf 에감염된시스템에서 keyll.

10 [ 그림 8] Daserf 의특징적인문자열 (2) 파일끝에는암호화된 C&C 정보가존재한다. [ 그림 9] 암호화된 C&C 주소 Daserf는주로다음과같은기능을수행한다. - 대기 (Idle) - 파일목록보기 - cmd.exe로명령수행 - 파일업로드 / 다운로드 / 삭제 / 실행 - 제거 2011 년 4 월한국에서발견된 Daserf 에감염된시스템에서 keyll.ee 라는파일명을가진키로거가발견되었다 (d34241f92bf138d48d5bac82c46ffafe). Daserf 에감염된 2 개의다른시스템에서유사한키로거가발견된것 으로미루어 Daserf 가키로거를다운로드한것으로보인다. AhnLab, Inc. All rights reserved. 10

2.2) Netboy (Domino, Invader, Kickesgo) Netboy는 Domino, Invader, Kickesgo 등으로불리며, 델파이로작성된악성코드다. 국내에서는 2008년에초기버전이발견되었다 (054cff8c56245c547933379fa17b1c99).

11 2.2) Netboy (Domino, Invader, Kickesgo) Netboy는 Domino, Invader, Kickesgo 등으로불리며, 델파이로작성된악성코드다. 국내에서는 2008년에초기버전이발견되었다 (054cff8c56245c fa17b1c99). 이변형은다른변형과같이주요문자열이 0xC7로 XOR 암호화되어있지만 DLL 파일형태이며 2010년샘플과는코드도상당히다르다. 국내에서가장많은형태의변형이발견된것은 2010 년으로 (1fa904dacaf15db97293c86c f), 이후본 격적으로활동하기시작했다. [ 그림 10] 2010 년형 Netboy 메인코드 대다수의 Netboy 변형들은주요문자열이 0x7C 로 XOR 암호화되어있다. AhnLab, Inc. All rights reserved. 11

12 [ 그림 11] XOR 암호코드 이악성코드는 Explorer.exe 등정상프로세스에악의적인코드를삽입해키로깅, 화면캡쳐, 프로세스리스 트, 프로그램실행등의기능을수행한다 년에발견된변형 (3dce29291a34b4ebf9f29404f527c704) 부터코드중간에쓰레기값을추가해 IDA Hexray 등으로코드를디컴파일할때제대로보이지않게하는등분석을방해한다. 2.3) Ninezero (9002) Ninezero 는이그룹에서 2012년부터 2013년사이에사용된악성코드로, 통신할때 '9002' 문자열을보낸다는점에서 9002 백도어 로불린다. 국내에서 Ninezero 악성코드가확인된것은 2012년이다 (0ffd2dbc6f5d666b1cf4dd5f9fcb9eb1, 9c b a8c21b4235c6283). 드롭퍼는약 70 킬로바이트정도길이를가지며, 실제백도어인 DLL 파일은 33 킬로바이트의길이를갖는 다 (181d4f01c8d6d1abae0847ce74e24268, 955a2287fb560b1b9f98ae131a13558b). 드롭퍼가실행되면 DLL 형 태의백도어를생성하고서비스로동작한다. 백도어 DLL 파일은 Launch, InitFunc 와같은함수명을갖는다. AhnLab, Inc. All rights reserved. 12

[ 그림 12] Ninezero 의특징적인 Export 함수명 (7246a7528649333dc64b03e46d84c9f0) 일부시스템은 Netboy 에먼저감염되고그후에 Ninezero 에감염된흔적도있다. 2.

$그러나 2015 년 12 월이후변 형부터는특징적인 PDB 정보가제외되었다 (db1bc0b42be04ae1add09ab50bdc1c9d). C:\Users\123\Desktop\shadowDoor\Release\loadSetup.$

13 [ 그림 12] Ninezero 의특징적인 Export 함수명 (7246a dc64b03e46d84c9f0) 일부시스템은 Netboy 에먼저감염되고그후에 Ninezero 에감염된흔적도있다. 2.4) Xxmm (KVNDM, Minzen, Murim, ShadowWali, Wali, Wrim) Xxmm은 KVNDM, Minzen, Murim, ShadowWali, Wali, Wrim 등으로불린다. 코드내부에 Xxmm라는문자열이존재해 Xxmm라는이름이붙었으며, 2015년에처음발견되었다. 틱그룹이이악성코드를본격적으로사용한것은 2016년부터다. 다수의 Xxmm 변형의 PDB 정보를통해사용자이름이 123 임을알수있다. 그러나 2015 년 12 월이후변 형부터는특징적인 PDB 정보가제외되었다 (db1bc0b42be04ae1add09ab50bdc1c9d). C:\Users\123\Desktop\shadowDoor\Release\loadSetup.pdb [ 그림 13] Xxmm 의특징적인문자열 AhnLab, Inc. All rights reserved. 13

14 Xxmm 은크게드롭퍼, 로더 (Loader), 백도어모듈로구성되어있다. 드롭퍼가실행되면운영체제를확인해서 32 비트악성코드, 64 비트로더악성코드를생성한다. 로더가실행되면암호화된백도어악성코드를메모리 에인젝션하여실행한다. [ 그림 14] Xxmm 관계도 2015 년 1 월에는공격자가테스트혹은제작중이었던것으로보이는변형이 (0ed9ef2bfdae5f95dc1c5d774fb89b37) 발견되기도했다. [ 그림 15] 개발중인 Xxmm Wali 와 ShadowWali 는 Xxmm 과유사해대부분의보안업체에서는이들을구분하지않고모두 Xxmm 으로 진단한다. AhnLab, Inc. All rights reserved. 14

15 디컴파일을방해하는쓰레기코드를추가하거나파일끝에쓰레기값을추가해파일길이를 50 메가바이 트에서 100 메가바이트로증가시키는방법을사용한다. 11 대부분의보안제품이과도하게큰사이즈의파 일은수집하지않는다점을노린것으로보인다. 2.5) Datper Datper는 2015년부터 2019년 3월현재까지발견되고있는악성코드로, 델파이로작성되었다. 일본침해대응센터 (JPCERT) 에서 2017년 8월 12 과 2019년 2월 13 에 Datper 악성코드에대한정보를공개한바있다. 다른악성코드와마찬가지로코드중간에쓰레기값이포함되어있다. [ 그림 16] Datper (c7323e e38129b3a5a90b0da) Datper 변형에감염된일부시스템에서는키로거 (7f98ff2b6648bd4fe2fc1503fc56b46d) 나미미카츠 (b108df0bd168684f27b6bddea737535e) 가발견되었다 AhnLab, Inc. All rights reserved. 15

$exe 라는파일명을가진키로거 (d34241f92bf138d48d5bac82c46ffafe) 가발견되었다. 이키로거가실행되면 c:\windows\log.txt 파일에사용자가입력하는키내용이저장된다.$ [ 그림 17] 2011 년키로거문자열 3.2) apphelp.dll (k6.dll, linkinfo.

[ 그림 17] 2011 년키로거문자열 3.2) apphelp.dll (k6.dll, linkinfo.

16 3. 키로거 (Keylogger) 3.1) keyll.exe 2011년 4월과 5월사이 Daserf에감염된일부시스템들에서 keyll.exe 라는파일명을가진키로거 (d34241f92bf138d48d5bac82c46ffafe) 가발견되었다. 이키로거가실행되면 c:\windows\log.txt 파일에사용자가입력하는키내용이저장된다. [ 그림 17] 2011 년키로거문자열 3.2) apphelp.dll (k6.dll, linkinfo.dll) 2017년과 2018년에 Bisodown 이나 Datper에감염된시스템들에서또다른키로거 (7f98ff2b6648bd4fe2fc1503fc56b46d) 가발견되었다. 감염된시스템에서발견된키로거의파일이름은 apphelp.dll, k6.dll, linkinfo.dll 등이며약 킬로바이트길이를갖고있다. [ 그림 18] 2017 년키로거문자열 (7f98ff2b6648bd4fe2fc1503fc56b46d) AhnLab, Inc. All rights reserved. 16

[ 그림 19] 국산백신프로그램공격프로그램생성기 이도구를이용해생성된악성코드는국산백신프로그램을공격하는프로그램을생성한다 (59423b2297242ce272a94b10a2ff82c1,

17 주요공격도구분석 안랩은틱그룹이보유한다양한공격도구를확인했다. 이들도구중일부는실제공격에사용됐다. 1. 빌더 (Builder) 1.1) Anti-AV Anti 1.0(ed4234b23043e41ea20ed01cd028d4b4) 은국내에서널리사용되는국산백신 (Anti-virus) 프로그램을 공격하는악성코드를생성하는도구이다. [ 그림 19] 국산백신프로그램공격프로그램생성기 이도구를이용해생성된악성코드는국산백신프로그램을공격하는프로그램을생성한다 (59423b ce272a94b10a2ff82c1, 67d05b5bd5f4f1cbaf573648f ). [ 그림 20] 국산백신프로그램공격코드의문자열 2011 년 5 월부터 7 월까지다수의변형이제작되었다. 이들악성코드는다음과같은 PDB 정보를갖고있다. f:\driver\antiv\objfre_wxp_x86\i386\anti.pdb AhnLab, Inc. All rights reserved. 17

(c411bff01eec6a31d1970863c41a1393) 이 NForce 의원형으로추정된 다.

18 1.2) NForce 2011 년에제작된 NForce 는취약점을공격하는악성 PDF 를생성하는프로그램이다. [ 그림 21] 악성 PDF 생성기 2010 년에발견된 CheCheCheChe2010 (c411bff01eec6a31d c41a1393) 이 NForce 의원형으로추정된 다. 틱그룹이이툴을사용했는지의여부는확인되지않았다. [ 그림 22] 2010 년 PDF 생성기 AhnLab, Inc. All rights reserved. 18

shadowdawn(e4f61f03de8cedd07fb38e44858883ce) 이며, UI 상의명칭은 shadowdawn 으로동일하다.

19 1.3) ShadowDawn 2016년에발견된 ShadowDawn 빌더는 Xxmm 빌더와 UI가유사하다. 파일이름은 wali_build( f3bde525a7d8190a732ca2e) 와 shadowdawn(e4f61f03de8cedd07fb38e ce) 이며, UI 상의명칭은 shadowdawn 으로동일하다. [ 그림 233] 다운로더생성기 설정을통해다운로드주소와다운로드받는파일의이름과경로를지정할수있으며, 클라우드환경에대 비하기위한 anti-cloud 기능이존재한다. [ 그림 24] 다운로더생성기설정 AhnLab, Inc. All rights reserved. 19

1.4) xxmm2_steganography Xxmm 악성코드는이미지속에악의적인명령을숨기는스테가노그래피기법을사용하고있고있다. 스테가노그래피내용을추가해주는생성기인 xxmm2_steganography.exe (50de060bf16898656317eb97c5c1da03) 가발견되었다.

20 1.4) xxmm2_steganography Xxmm 악성코드는이미지속에악의적인명령을숨기는스테가노그래피기법을사용하고있고있다. 스테가노그래피내용을추가해주는생성기인 xxmm2_steganography.exe (50de060bf eb97c5c1da03) 가발견되었다. [ 그림 25] 스테가노그래피생성기 2. 콘트롤러 (Controller) 2.1) Netboy 콘트롤러 Netboy 악성코드를생성하고감염시스템의악성코드를조종프로그램이다 (08d651877d26f49e55d017d8a147cce8). AhnLab, Inc. All rights reserved. 20

[ 그림 246] Netboy 생성 / 콘트롤러 이생성기를통해 Netboy 악성코드를생성할수있으며, Server.mod (8ec48da5c519219917aca249288dddb5) 파일을기반으로설정을추가해악성코드를생성한다. 2.2) Xxmm 콘트롤러 Xxmm 의생성기는다수의버전이존재하는데, 초기버전은 2014 년에제작되었다.

21 [ 그림 246] Netboy 생성 / 콘트롤러 이생성기를통해 Netboy 악성코드를생성할수있으며, Server.mod (8ec48da5c aca249288dddb5) 파일을기반으로설정을추가해악성코드를생성한다. 2.2) Xxmm 콘트롤러 Xxmm 의생성기는다수의버전이존재하는데, 초기버전은 2014 년에제작되었다. 초기버전의파일이름은 gh0st.exe(a92f17f5ccc7cf378a64ae8f239acd3d) 이지만프로그램이름은 xxmm Version 1.0 이다. [ 그림 27] Xxmm 1.0 콘트롤러 AhnLab, Inc. All rights reserved. 21

[ 그림 28] Xxmm 생성기 NetShadow(67b2d7bd0fb606beab60f0c16b93b0e7) 는 Xxmm 과 UI(User Interface) 가거의흡사하다.

22 2015 년 2 월, xxmm2_build 가발견되었다 (a4382f0f311dbe03183a34c931869f81). 관련정보는사이버리즌 (Cybereason) 에서공개했다. 14 NetShadow.exe, wali_build.exe 등의파일명을가진변형도존재한다. [ 그림 28] Xxmm 생성기 NetShadow(67b2d7bd0fb606beab60f0c16b93b0e7) 는 Xxmm 과 UI(User Interface) 가거의흡사하다. [ 그림 29] NetShadow 14 AhnLab, Inc. All rights reserved. 22

23 2.3) NetGhost 넷고스트 (NetGhost) 는 2014 년부터 2017 년까지발견된악성코드생성및콘트롤러이다. Modified From Gh0st 3.6 과같은문자열로미루어 Gh0st 을기반으로제작되었을가능성이있다. [ 그림 30] NetGhost 3. WCE (Windows Credentials Editor) WCE(Windows Credentials Editor) 는윈도우시스템계정정보를알수있는프로그램이다. 공격자는 2013 년 에 WCE.EXE(c0ec10a8bd525ba10254b857f406ec36) 를사용했다. AhnLab, Inc. All rights reserved. 23

[ 그림 25] WCE 실행화면 64 비트 WCE(2cd50cb6294045c59212b8e2a5211599) 는 2014 년에처음발견되었다.

exe 였으며, 앞서살펴본 Gofarer 악성코 드에서발견된 Heruida Electronic Technology Co., Ltd. 의인증서로디지털서명되었다.

24 [ 그림 25] WCE 실행화면 64 비트 WCE(2cd50cb c59212b8e2a ) 는 2014 년에처음발견되었다 년 6 월에발견된 64 비트 WCE(47e75d87e6a695ce2a a29f025) 의파일명은 wc64.exe 였으며, 앞서살펴본 Gofarer 악성코 드에서발견된 Heruida Electronic Technology Co., Ltd. 의인증서로디지털서명되었다. [ 그림 26] WCE 64 비트실행화면 GetLSASRVAddr.exe 는 Amplia Security 의프로그램으로, 로그온섹션과 NTLM 정보를얻기위해 WCE 와함께 사용된다. AhnLab, Inc. All rights reserved. 24

(f547e6f4376eb0879123f02b911e0230, b108df0bd168684f27b6bddea737535e).

25 [ 그림 27] GetLSASRVaddr 실행화면 4. 미미카츠 (Mimikatz) 공격자는 WCE 가더이상유용하지않게됨에따라 2015 년부터계정정보탈취에미미카츠 (Mimikatz) 를이 용한다 (f547e6f4376eb f02b911e0230, b108df0bd168684f27b6bddea737535e). [ 그림 28] Mimikatz 실행화면 [ 그림 29] Mimikatz 실행화면 Datper 악성코드에감염된시스템에서 mi.exe, m3.exe 등의파일이름을가진미미카츠변형이발견되었다. AhnLab, Inc. All rights reserved. 25

26 결론 2016 년이후본격적으로알려지기시작한틱그룹은그보다앞선지난 2008 년부터 10 여년간한국과일 본에서지속적으로공격을전개하고있다. 틱그룹은다양한악성코드와공격도구를이용하고있기때문에단순히악성코드만으로공격의배후를해당그룹으로단정하기에는한계가있다. 그러나지금까지살펴본것처럼일부공격사례에사용된악성코드사이에뚜렷한연관성이보인다. 대표적으로 Gofarer 악성코드의인증서서명과동일한서명이일부 Wc.exe 에서도발견되었다. 또 Daserf에감염된시스템에서 Netboy가발견되거나 Ninezero 에감염된시스템에서 Netboy가함께발견되기도했다. 다만일부악성코드는연관성을파악하기어려운특징이나타나기도했다. 일부 Bisodown 의경우, 이그룹에서사용하는악성코드뿐만아니라다른그룹의악성코드로알려진 Bisonal 계열의악성코드를다운로드하기도했다. Bisodown 에대한자세한정보는 2019년 1월안랩이공개한 오퍼레이션비터비스킷 Operation Bitter Biscuit 2018년활동 ) 을참고할수있다 년 10월에는시스코탈로스에서이그룹과 Emdivi 악성코드를사용하는그룹과의연관가능성을언급하기도했다. 17 안랩이틱그룹에대해추적하던중이들이사용한다수의악성코드생성및콘트롤러와각종공격도구를확인할수있었다. 다만, 이들악성코드생성기가언더그라운드포럼에서널리이용되고있는지에대해추가확인이필요할것으로보인다. 해당악성코드생성기가널리알려져있다면, 이그룹과상관없는사람들도관련악성코드로공격할수있어이그룹만의고유한특징이될수없기때문이다. 보다명확하게틱그룹과의연관성을밝혀내기위해서는악성코드뿐만아니라 C&C 서버등의특징을확인 해야하며, 목표대상의내부에서악성코드가이동한방법, 즉래터럴무브먼트 (Lateral movement) 를파악하 는등의작업이필요하다. 안랩이틱그룹의활동을추적한결과, 한국과일본의공격에사용된기법이나악성코드에일부차이가있지만다수의동일한점을확인할수있었다. 그러나여전히밝혀지지않은부분이많다. 따라서틱그룹의활동을추적하기위해서는이그룹이주로활동하고있는한국과일본분석가들의지속적인협력이필요하다. 안랩은틱그룹을연구하는국내외연구가들과의협력을언제나환영한다 AhnLab, Inc. All rights reserved. 26

27 안랩제품대응현황 안랩 V3 제품군에서는틱그룹과관련된악성코드를다음과같은진단명으로탐지하고있다. ( 단, 다양한변형이존재하기때문에각변종에대한진단가능엔진버전 ( 날짜 ) 는표기하지않았다.) <V3 제품군진단명 > Dropper/Win32.Homam Trojan/Win32.Daserf Trojan/Win32.Datper Trojan/Win32.Domino Trojan/Win32.Gofarer Trojan/Win32.Homamdown Trojan/Win32.MalCrypted Trojan/Win32.Netboy Trojan/Win32.Xxmm Win-Trojan/Injector IoC (Indicators of Compromise) 정보 1. 주요샘플파일명 actray.exe apphelp.dll conhost.exe contray.exe dllh0st.exe hp.exe keyll.exe linkinfo.dll m3.exe mi.exe msbst.exe msinfo.exe mskes.exe mskntes.exe msndos.exe msupdata.exe msviewer.exe srvhost.exe swchost.exe taskemg.exe taskh0st.exe v3lite.exe videohost.exe w3wp.exe winsate.exe AhnLab, Inc. All rights reserved. 27

28 2. 해쉬 (MD5) 샘플파일 Bisodown Gofarer Daserf Netboy Ninezero (9002) Xxmm MD5 068aae4c99a42f224b45b9f8d5d b91011e a249c2f4b7fe 3c6e67fc b7ddade90757a84 5f7a5ae8d568076ea496c3b97dd6afb5 5f7a5ae8d568076ea496c3b97dd6afb e3eacb22abeafa14ef5db7f1f57 e470b7538dc d8467b1516f8 4601e75267d0dcfe4256c43f45ec470a 7ec173d469c2aa7a3a15acb c 82ec6f2aadf4abb7e05c0c78e9dedc93 8d5bf506e55ab736f4c018d15739e352 db909c50b4f3263ef769028d9680a37f 653b69481b4ceaf851e2adc509e5b1b5 f92f8bddd98442cd2eb7a36e88ccc cff8c56245c fa17b1c99 0e8cc305bc58d256f94eee1ffe3eafb db d5edf42238b 1f2a2d bb89cf72cd07a fa904dacaf15db97293c86c f 34bad798c01b4b52d708c ea30 3dce29291a34b4ebf9f29404f527c d16b7bad05afd9e40e99346bb9e65 753ac3700a31f8a68f8ed49385bf72d8 893f4b3c99c3865db68e1e1c9e7980e0 8d90282a98f035b0778de6884d7720c0 8ec48da5c aca249288dddb5 ef21e6c67b492c98850ea014e4f1db09 0ffd2dbc6f5d666b1cf4dd5f9fcb9eb1 181d4f01c8d6d1abae0847ce74e a dc64b03e46d84c9f0 955a2287fb560b1b9f98ae131a13558b 9c b a8c21b4235c a2833d1654f d b3 73c79f84361fc8d74ec53c36e07b39e6 8bca3dee891407a7da3987a43e39a9fe db1bc0b42be04ae1add09ab50bdc1c9d AhnLab, Inc. All rights reserved. 28

29 Datper Keylogger1 Keylogger2 dc0ef0b3fbfe4723eea4c353ad2f3e8f e981311a895719d0accb12c714f a e65f143ff97ee dff8548f26dc25c48d5f69fce1c 416b22173debe86d4a98a8d141a87fdd 5dec86b6c5cfa94bf f20f 6b5ce7fb6dd1e588fd61c3a44720fc7a 8e60d4502c b833e33f91c5728 a287d48e7eed8f4ce4ba1caa5470b8f3 c4c068126a11c1e60863f88f6ad5f779 da06832bb5e6618b515b61bee7c2dd58 e a c03e390d ec0ef ef b420dbc706 b60a5a392b450dc49fb1a64528a9caab d34241f92bf138d48d5bac82c46ffafe 1c2b1eb6e3e33f01e81be5998d08a38b 4eaaa4b603807b15dcb9dace33a0636f 7f98ff2b6648bd4fe2fc1503fc56b46d e439965f45cb869aa00e a22 3. 관련도메인, URL 및 IP 주소 AhnLab, Inc. All rights reserved. 29

30 참고문헌 (References) [1] Adobe Zero-day Used in LadyBoyle Attack ( [2] LadyBoyle Comes to Town with a New Exploit ( [3] Tick cyberespionage group zeros in on Japan ( [4] Attackers that Target Critical Infrastructure Providers in Japan ( [5] Old Malware Tricks To Bypass Detection in the Age of Big Data ( [6] ShadowWali: New variant of the xxmm family of backdoors ( [7] Yu Nakamura, Detecting Datper Malware from Proxy Logs ( [8] Tracking Tick Through Recent Campaigns Targeting East Asia ( [9] Shusei Tomonaga, 攻撃グループTickによる日本の組織をターゲットにした攻撃活動 ' ( [10] Understanding Command and Control - An Anatomy of xxmm Communication ( [11] Operation Bitter Biscuit in Korean ( [12] Operation Bitter Biscuit in 2018 English ( [13] Steve Su, TeamT5, Personal Communication [14] Kaoru Hayashi/PaloAlto Networks, Personal Communication AhnLab, Inc. All rights reserved. 30

Red Eyes Hacking Group 상세분석 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : AhnL

2018.04.03 Red Eyes Hacking Group 상세분석 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved. 목차 개요... 3 레드아이즈공격그룹활동현황...