Contents 01 2 월마이크로소프트보안업데이트요약 3 02 월간악성코드이슈동향 5 악성코드보안위협보안동향해킹침해사고 03 이달의 TOP 13 변종랜섬웨어 크립토실드 감염주의 10만원요구하는 에레보스 랜섬웨어감염주의미국대통령트럼프랜섬웨어감염주의 04 보안컬럼 21

2017. 03 12

Contents 01 2 월마이크로소프트보안업데이트요약 3 02 월간악성코드이슈동향 5 악성코드보안위협보안동향해킹침해사고 03 이달의 TOP 13 변종랜섬웨어 크립토실드 감염주의 10만원요구하는 에레보스 랜섬웨어감염주의미국대통령트럼프랜섬웨어감염주의 04 보안컬럼 21 메타몽과악성코드 GO 실행해서는안될이메일첨부파일들 05 월간악성코드상세분석 27 국내맞춤형타켓랜섬웨어비너스락커 (VenusLocker) 06 모바일악성코드상세분석 33 점점발전하는랜섬웨어! 3

01 2 월마이크로소프트 보안업데이트요약 3

2 월마이크로소프트보안업데이트요약 공지번호 공지제목및요약 최대심각도및 취약점영향 다시시작요구 사항 MS17-005 Adobe Flash Player용보안업데이트 (4010250) 이보안업데이트는지원되는모든버전의 Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10 및 Windows Server 2016에설치된 Adobe Flash Player의취약성을해결합니다. ** 위표에는심각도순으로요약되어있음 * 중요 원격코드실행 다시시작해야함 4

02 월간악성코드이슈동향 악성코드보안위협보안동향해킹침해사고 5

악성코드 포켓몬고자동사냥프로그램위장악성코드 ' 주의 ' 국내에출시된모바일게임 포켓몬고 와관련한악성프로그램이비공식경로를통해배포되고있는것으로나타났다. 월간악성코드이슈동향설문지위장국내맞춤형랜섬웨어 비너스락커 최신버전유포 최근설문지문서파일로위장한국내맞춤형랜섬웨어인 비너스락커 의최신버전이이메일로유포되고있는것으로드러났다. 한보안업체는최근악성코드가포함된윈도우운영체제 (OS) 용포켓몬고의자동사냥프로그램 ( 오토봇 ) 이발견되었다고발표했다. 오토봇은게임내불법행위를하기위해만들어진일종의핵프로그램 ( 불법해킹프로그램 ) 이다. 게임속희귀몬스터, 아이템을손쉽게획득하기위해무분별하게사용하는오토봇은보안상검증되지않은불법적프로그램으로무심코사용할경우개인정보가노출되거나악성파일에감염될수있다. 회사측은 " 포켓몬고의인기가치솟으며주로 PC 기반다중접속역할수행 (MMORPG) 장르게임에서공공연하게이뤄지던아이템, 불법프로그램거래가모바일게임에서도나타나고있다 " 며 " 오토봇등검증되지않은게임핵프로그램을사용하면예기치못한피해를입을수있다 " 고경고했다. 출처 : http://news.inews24.com/php/news_view.php?g_se rial=1004764&g_menu=020300&rrf=nv 보안업체하우리에따르면이번에발견된 비너스락커 의최신버전은설문지문서파일로위장하여유포됐다. 기존버전에는없었던.hwp 확장자를갖는한글문서들을암호화하는기능이추가된것으로분석됐다. 악성코드분석가들의분석을방해하기위해난독화코드를강화했으며, 가상머신에서는동작하지않는다. 비너스락커 (VenusLocker) 랜섬웨어는국내맞춤형으로제작된랜섬웨어로지난해말부터국내에유포되기시작했으며, 주요국내기관및기업을겨냥하여지속적으로발전하며유포되고있다. 특히, 한국어를사용하여정교한사회공학적기법으로이메일을통해유포되고있어가장위험한랜섬웨어로평가되고있다. 하우리 CERT실은 해당랜섬웨어제작자가지속적으로기능을업데이트하면서정교하게국내사용자들을노리고있다 며 한국어를자유자재로구사하는만큼이메일의첨부파일열람시주의가필요하다 고밝혔다. 출처 : http://www.boannews.com/media/view.asp?idx=53 358&kind=&sub_kind= 6

맥악성코드실행위해워드문서에서매크로사용공격확인 윈도우시스템이아닌맥 (Mac) 컴퓨터에서악성코드를실행하기위해워드문서에서매크로를사용하는공격이확인되었다. 사용자가이문서를열고대화창에서매크로를사용하도록설정하면, 맥, 리눅스용오픈소스 post-exploitation 에이전트인 EmPyre와거의동일한 Python 코드에감염된다. 매크로는자동화작업등합법적인목적을위해제공되므로, 사용자들이기본적으로매크로를사용하도록설정하거나사용하지않도록하는경고를무시한다는사실을윈도우기반멀웨어개발자들이악용한다. 월간악성코드이슈동향몸값내도소용없어 애플맥기기노린랜섬웨어발견 애플의맥 (Mac) 기기를대상으로새로운랜섬웨어가발견됐다고한보안업체에서밝혔다. 맥보안연구원은 " 워드매크로를감염벡터로사용할때는가장약한링크로인간을이용하고, 매크로가가장대중적인사이버무기로플랫폼을가로질러동작하고합법적인기능이기때문에벤더에의한패치로수정될수없기때문이다 " 라고말하며 " 공격자가기존윈도우지식을맥사용자를대상으로계속적용시킬것으로생각한다 라고말했다. 그러나아직까지는대부분의맥공격이상대적으로정교하지않은부분에대해서그는 " 이러한위협요소를탐지하는도구들이윈도우만큼발전하지않았고, 맥악성코드프로그램작성자가맥플랫폼에익숙하지않기때문일것으로생각한다 " 라고덧붙였다. 출처 : http://www.dailysecu.com/?mod=news&act=articl eview&idxno=18480&sc_code=&page=&total= 랜섬웨어는대부분윈도우시스템을공격대상으로하고있지만, 최근에는리눅스나맥시스템을공격대상으로하는사례도발견되고있다. 이번에발견된랜섬웨어는애플의소프트웨어개발도구인스위프트 (Swift) 로제작됐다. 이랜섬웨어는한번창이닫히면다시열수없다. 실행후시작버튼을클릭하면암호화프로세스가시작되며모든파일의암호화가완료되면 README!.txt 파일에복호화지침을안내한다. 이랜섬웨어의동작에는심각한문제가있다. 명령제어 (C&C) 서버와통신을위한코드가없다. 즉, 파일을암호화하는데사용된키를공격자에게전송할수없기때문에피해자가몸값을지불해도파일을복호화할수없다는뜻이다. 이사실을발견한보안업체의대표는 리눅스나맥운영체제를사용하는사용자도안심할수없다 며 정품소프트웨어를사용하는것을권장하며, 모든중요한데이터를오프라인으로백업하는것이랜섬웨어피해를최소화할수있는가장중요한예방책 이라고강조했다. 출처 : http://www.ddaily.co.kr/news/article.html?no=1532 67 7

보안위협 세계 40국의은행, 통신, 정부기관노린파일레스공격 최근한보안업체는 40개국의금융및통신업체등에서발견된표적형공격에대해발표했다. 이공격은주로은행과통신업체, 정부기관들을노리고실행되었으며보안전문가들사이에서널리사용되고있는합법침투테스트툴인미터프리터 (Meterpreter) 가사용되었다고한다. 이툴은파일이없는공격을가능하게해준다. 여기에시스템관리자들이흔히사용하는윈도우파워쉘등유틸리티들도함께사용되었다. 월간악성코드이슈동향러시아추정해커그룹, 우크라이나타깃사이버폭격 우크라이나내전력, 재정시스템이신종악성코드에공격당했다. 로이터통신에따르면우크라이나정부는이번사이버공격의배후로러시아를지목했다. 주목해야할것은이번공격에악성파일이단한개도피해자시스템으로로딩되지않았다는것이다. 공격용코드는전부메모리내에서만실행되었고, 시스템이꺼질때마다사라졌다. 이런식의파일레스 (fileless) 공격은기존의보안솔루션들로는탐지가극히어렵고, 심지어포렌식솔루션및전문가들이의미있는수사를진행하기도힘들게만든다. 현재까지도이공격은계속해서진행되고있으며, RAM이나네트워크및레지스트리를스캔하는것외에는탐지가불가능하다고한다. 합법적인윈도우유틸리티를오픈소스익스플로잇코드가활용되고있으며, 배후세력은드러나지않고있다. 출처 : http://www.boannews.com/media/view.asp?idx=53 398&kind=&sub_kind= 우크라이나정부의최고보안관리자는최근공식기자간담회를통해신종악성코드를만든이들이지난해 12월우크라이나수도키예프에서일어났던대규모정전사태의원인인블랙에너지 (BlackEnergy) 라는악성코드를만들었던세력과동일해보인다고언급했다. 우크라이나는키예프정전사건과국고시스템마비사건을포함하여지난해 11월부터 12월까지우크라이나내에서발생했던사이버공격 6,500건이러시아의소행이라고주장하고있으나러시아는혐의를계속부인하였다. 이와함께최근한보안업체는우크라이나의국가정보를노린스파이범죄행위가발견됐다고주장하며, 이로인해국립전력공단, 과학수사연구원등의재직자 60명이상의개인정보가유출된것으로보인다고말했다. 이보안업체의 CTO는배후세력이정확히누군지아직파악하지못한상태지만, 향후사이버공격을감행하기위해내부상황을정찰하려했던것으로보인다고언급했다. 출처 : http://www.boannews.com/media/view.asp?idx=53 500&page=1&kind=4 8

어나니머스, 아동포르노사이트 10,000 개공격 국제적해커집단어나니머스 (Anonymous) 가다크웹사이트의호스팅서버인프리덤호스팅 2(Freedom Hosting 2) 를지난주말에공격했다. 이로인해 10,000개이상의아동포르노사이트들이공격을받아오프라인상태로됐다. 프리덤호스팅 2는전체아동포르노사이트중 50% 이상을소유하고있는호스팅서버로알려졌다. 공격을받은사이트에계정을갖고있던사용자들은어나니머스로부터계정과개인정보가해킹당했다는메시지를받았다. 게다가해당내용이외에도피해자들은훔친데이터에대한대가로 10만원을지불할것을요구받는메시지를받았다. 하지만 10만원이라는금액이이전에어나니머스가다른이들에게요구했던액수와비교해봤을때상당히적어진지하게금전적요구를한것은아닌것으로보인다. 어나니머스는데이터베이스유출알림서비스사이트인마더보드 (Motherboard) 를통해처음부터프리덤호스팅 2를타깃으로하여공격하려고했던것은아니었다고말하며 그저호스팅서버에접근권한을얻으려고시작했었으나프리덤호스팅 2가상당히많은수의아동포르노사이트와연관있는호스팅서버라는사실을알게되어대규모공격을감행하게된것 이라고입장을밝혔다. 이번공격으로통해어나니머스가훔친개인정보들은이미덤프가된것으로알려졌다. 보안동향 월간악성코드이슈동향 이젠비밀번호 OTP 없이바이오인증만으로계좌이체 우리은행이용자들은이제비밀번호와 OTP 없이바이오인증만으로계좌이체가가능할것으로보인다. 한공인인증기관은우리은행스마트뱅킹아이폰사용자에게계좌이체등높은수준의보안을요구하는금융거래에지문을이용한 생체기반공인인증서 를공급했다고밝혔다. 공인인증기관이우리은행에제공한 생체기반공인인증서 는공인인증기술과 FIDO 기술을연계하여보안성과편리성을동시에충족시켜주는서비스다. 공인인증기관의한팀장은 우리은행의 생체기반공인인증서 는한국인터넷진흥원 (KISA) 이배포한 바이오정보연계등스마트폰환경에서공인인증서안전이용구현가이드라인 을준수하여개발되었으며, 이용자들은편리하고안전한뱅킹서비스를이용할수있게되었다 고밝혔다. 공인인증기관이이번에개발한아이폰사용자의생체기반공인인증서는단순히공인인증서비밀번호를지문인증으로대체하는방식이아니라, 지문정보를이용한생체기반공인인증서를스마트폰의안전한영역에별도발급함으로안전성이크게향상되었으며, 유효기간도 3년인점이특징이다. 공인인증기관의대표는 우리은행의아이폰에서도이용가능한 생체기반공인인증서 출시는아이폰사용자들에게희소식이될것으로기대되며, 이를계기로 생체기반공인인증서 가앞으로다른금융기관으로도더욱확대될것으로전망된다 고밝혔다. 출처 : http://www.boannews.com/media/view.asp?idx=53 355&kind=&sub_kind= 출처 : http://www.boannews.com/media/view.asp?idx=53 397&kind=&sub_kind= 9

2017년랜섬웨어, 이번엔공인인증서노린다 2017년전망보고서에서늘손꼽히던문제아 랜섬웨어 가새로운방식의공격방법을들고등장했다. 보안업체하우리는최근보안채팅프로그램으로위장해공인인증서를탈취하고, 금전을요구하는랜섬웨어가유포되어사용자들의주의가요구된다고밝혔다. 월간악성코드이슈동향 2017년드론시장...60억달러, 300만대생산전망 세계적인 IT 전문기관인가트너 (Gartner) 는 2017 년전세계무인항공기 ( 드론 ) 매출이전년대비 34% 증가해 60억달러이상기록할것이고, 드론생산량은전년대비 39% 성장해 300만대에육박할것으로전망하였다. 이번에발견된랜섬웨어는보안채팅프로그램으로위장해유포됐다. 사용자가보안채팅프로그램을실행할경우, PC에있는각종정보들을수집한다. 수집한정보중에는웹브라우저히스토리정보가포함되어있어사용자의웹서핑활동내역을감시할수있다. 또한, 공인인증서를비롯해사용자 PC에위치한각종인증서파일들을수집한다. 이렇게수집한정보들은압축하며, 최종적으로압축된파일은다시암호화해해커가지정해놓은웹기반소스코드저장소인 깃허브 (GitHub) 웹서버로업로드해탈취한다. 특히, 해당랜섬웨어는자기자신을시작프로그램에등록또는 PC 를재부팅해도계속실행되어정보를가져가도록설계되어있다. 이랜섬웨어는 당신의컴퓨터로부터정보들을가져갔으니, 이를멈추기위해서는비트코인을지불하라 라는메시지를남기며, 특정비트코인지갑주소로 1비트코인 ( 한화약 120만원 ) 을지불하라고요구한다. 출처 : http://www.boannews.com/media/view.asp?idx=53 401&kind=1 이와함께개인용과상업용드론생산량이급증하고있다는발표가나와관심을끌고있다. 상업용드론의최대규모시장은농업분야이나, 상업용농업드론시장은수확량과투자수익률저하에따른가격책정및경제역학으로인해다른상업형드론시장에비해성장이더딘것으로나타났다. 가트너는 2020년까지시장특성상높은비용민감성에따라농업용드론채택률은상업용시장성장중 7% 를차지하는데그칠것이라고전망했다. 배달용드론은언론의꾸준한관심을받고있지만향후수년간드론시장의주요인이되지않을것으로나타났다. 배달용드론의경우장비가격및운용비용과단일고객배달대비투자수익률이아직입증되지않은상태며, 선임연구원은 배달용드론은배송후드론이기존위치로되돌아오는데소요되는시간등물류상의문제에직면하게되면서 2020년까지상업용시장의 1% 미만에불과할것 " 이라고말했다. 출처 : http://www.boannews.com/media/view.asp?idx=53 449&page=1&kind=3 10

해킹침해사고 프린터해킹현실화! 인쇄물자동출력하는사이버공격확산 한보안업체는인터넷이연결된프린터를해킹하여출력물을인쇄하는공격사례가국내에서발견되었다고밝혔다. 월간악성코드이슈동향메타스플로잇, IoT 해킹지원 자동차해킹테스트간편해져 가장대중적인해킹프레임워크인메타스플로잇에서 IoT에대한공격이업그레이드되어, 보안연구원들이자동차에대한해킹을좀더간편하게테스트할수있게되었다고밝혔다. 현재메타스플로잇은약 1,600건의익스플로잇과 3,300건의침투테스트모듈을지원하고있다. 피해자의프린터는별다른인쇄명령을하지않았음에도불구하고연결된프린터를통해해킹되었다는영문메시지가자동으로출력된다. 이번공격은프린터기기의다양한온라인기능중무선으로인쇄명령을내리거나특정이메일주소로인쇄정보를전송하는기능을활용했다. 각프린터제조사는컴퓨터의응용프로그램에서프린터기기를제어하기위해 PCL(Printer Command Language), PJL(Printer Job Language) 등의통신언어를사용하고있으며, 이번공격은이통신언어를악용해인터넷에연결된특정프린터로인쇄명령을전송하고원격지에존재하는프린터에서실제출력물을인쇄하는것으로분석된다. 또한, 이번사이버공격집단은사물인터넷 (IoT) 디바이스를검색할수있는 쇼단 (Shodan) 등의데이터를기반으로, 전세계인터넷에연결된온라인프린터와포스 (POS) 기기에악의적인출력명령을내리고있는것으로추정된다. 출처 : http://www.boannews.com/media/view.asp?idx=53 346&page=1&kind=1 한보안업체의교통보안연구책임자는메타스플로잇프레임워크를하드웨어에직접연결해, 사용자가하드웨어를테스트하고침투테스트를하는데있어시간을낭비하지않으면서익스플로잇을개발할수있게도와준다고발표했다. 출시초기에는 IoT에초점을맞추고있으며, 특히자동차침투테스트에집중되어있다. 이브릿지에는현재 CAN(Controller Area Network) 을테스트하는모듈이포함되어있으며사용자는속도및내장보안시스템과같이테스트중인차량에대한정보를수집하는대화형명령도제공된다. 한보안업체는앞으로메타스플로잇에는스카다시스템을포함해임베디드, 산업용, 하드웨어디바이스를타깃으로하는모듈을추가하고, 향후 K- Line과같은 BUS 시스템역시추가할예정이라고밝혔다. 출처 : http://www.dailysecu.com/?mod=news&act=articl eview&idxno=18391&page=&total= 11

월간악성코드이슈동향 아시아나항공, 왜해커의먹잇감이됐나? 아시아나항공홈페이지가복면쓴사내사진으로뒤덮였다. 아시아나항공홈페이지는사이버공격을받아해당웹사이트에접속하면핵티비즘 (Hacktivism) 을연상케하는다른페이지로연결됐다. 해커들은금전적이유또는정보유출만을사이버공격목적으로삼지않는다. 정치적메시지전달, 자신의실력을과시하기위해해킹을감행하기도한다. 이번사태는후자쪽에가깝다. 이번에해커는직접해당기업서버를타깃하지않고, DNS( 도메인네임시스템 ) 를통해공격하는방식을택했다. 아시아나항공홈페이지 IP주소와도메인 (flyasiana.com) 을연결해주는 DNS를노린것이다. 아시아나항공의경우, 해커가원하는페이지로바꾸는디페이스 (deface) 공격사례다. 이러한디페이스공격은보안투자규모가상대적으로큰대기업보다소규모업체들을대상으로주로실시된다. 하지만, 이번에는 DNS 업체를통해우회적으로아시아나항공에접근했고불특정다수가아닌특정타깃을정한공격으로추정된다. 아시아나항공은한국사이트뿐아니라다국적언어로하위사이트들을운영하고있다. 이사이트들도모두해킹피해를입었다. 출처 : http://www.ddaily.co.kr/news/article.html?no=1530 01 12

03 이달의 TOP 변종랜섬웨어 크립토실드 감염주의 10만원요구하는 에레보스 랜섬웨어감염주의미국대통령트럼프랜섬웨어감염주의 13

이달의 TOP 변종랜섬웨어 크립토실드 감염주의 개요 최근크립토믹스 (CryptoMix) 랜섬웨어의변종인크립토실드 (CryptoShield) 랜섬웨어가발견되었다. 크립토실드는주로리그익스플로잇킷 (RIG Exploit Kit) 을이용하여웹사이트페이지에해킹된광고서버들을통해유포되고있기때문에웹서핑을이용하는국내 PC 사용자들의각별한주의가필요하다. 내용 크립토실드랜섬웨어는주로웹서핑중감염된다. 웹사이트방문자가해킹된광고서버를포함한사이트를방문하면 EITest 공격체인을만나게된다. EITest는악의적인자바스크립트코드를삽입하여방문자측 PC에서실행하도록하는방식이다. 이렇게삽입된자바스트립트코드가실행되면리그익스플로잇킷을로드하여크립토실드랜섬웨어를다운로드하고실행한다. 크립토실드랜섬웨어에감염되면사용자 PC에존재하는 454개의확장자를포함하는파일들에대하여암호화를수행한다. 암호화가끝나면 ROT- 13 암호화방식으로파일이름을알아볼수없게바꾼뒤.CRYPTOSHIELD 라는확장자를추가한다. 파일암호화가모두끝나면메모리오류라는거짓경고창을띄우며, 사용자가확인을누를경우랜섬웨어감염노트를보여준다. [ 그림 1] 크립토실드에감염된파일과감염노트 암호화과정에서볼륨쉐도우복사본을지워복구지점을없애기때문에윈도우복원은불가능하며파일 복호화를위한비용지불은해커의이메일을통해서만연락하는것이가능하다. 아직까지크립토믹스나 14

이달의 TOP 크립토실드로암호화된파일을해독하는방법은없다. 하지만웹사이트취약점을이용한리그익스플로잇킷방식으로유포중이기때문에모든프로그램및운영체제, 특히어도비플래시와자바등각종보안업데이트를최신으로유지하고백신이나취약점차단솔루션을사용하여감염을미연에방지할수있다. [ 표 1] 크립토실드가암호화하는확장자목록 (454 개 ) 바이로봇업데이트내역 Trojan.Win32.Ransom.97280 외다수 작성자 : suffix 15

이달의 TOP 10 만원요구하는 에레보스 랜섬웨어감염주의 개요 최근복구비용으로 10만원을요구하는에레보스 (Erebus) 랜섬웨어가발견되었다. 에레보스랜섬웨어는윈도우 OS에서사용자계정제어 (UAC) 보안기능을우회하는취약점을활용하여공격하기때문에 PC 이용자들의주의가요구된다. 내용 에레보스랜섬웨어는윈도우이벤트뷰어를이용한사용자계정제어보안기능을우회하는기법을활용한다. 이를위해레지스트리를수정하여.msc 확장명에대한연결을하이재킹하고, 이를통해상승모드에서실행된이벤트뷰어의권한을따라실행되기때문에 PC 이용자는모르게실행된다. [ 그림 1] msc 확장자하이재킹을위한레지스트리수정 에레보스랜섬웨어에감염되면 http://ipecho.net/plain과 http://ipinfo.io/country에연결하여감염자의아이피와국가를알아낸다음익명 (Tor) 브라우저클라이언트를다운받아명령제어에사용한다. 익명브라우저를이용하면여러 IP를경유하기때문에추적이어려워진다. 암호화과정에서볼륨쉐도우복사본 (Volume Shadow Copy) 을지우고복구지점을삭제하기때문에윈도우복원이불가능하게된다. 16

이달의 TOP [ 그림 2] 에레보스랜섬웨어감염노트 암호화가완료되면파일확장자를 ROT-3 암호화방식으로변경한다. 암호화가완료되면경고창을띄우고랜섬웨어감염노트를보여준다. 복구비용은 0.085비트코인 ( 한화약 10만원 ) 을요구하며기존랜섬웨어들에비해서저렴한편이지만악성코드가남아있을경우 msc 확장자를실행할때마다 UAC 우회기법을통해재감염되기때문에반드시악성코드파일까지완벽하게제거해야한다. [ 그림 3] ROT-3 으로암호화된확장자 매크로를이용하여 UAC 우회기법을위한레지스트리수정을하는것으로보이기때문에문서작업을 17

이달의 TOP 위한프로그램들의보안업데이트를최신으로유지하고백신과취약점차단솔루션을사용하여감염을 미연에방지하여야한다. [ 표 1] 에레보스가암호화하는확장자목록 바이로봇업데이트내역 Trojan.Win32.Z.Erebus.1249280 외다수 작성자 : suffix 18

이달의 TOP 미국대통령트럼프랜섬웨어감염주의 개요 최근미국의제45대대통령인도널드트럼프를주제로한랜섬웨어가등장하였다. 기존에국내맞춤형으로유포되고있는 비너스락커 (VenusLocker) 랜섬웨어와동일한소스코드를기반으로제작되었다. 이메일을통해압축파일형태로전파되며사용자들의각별한주의가요구된다. 내용 트럼프를주제로한랜섬웨어인 트럼프락커 (ThrumpLocker) 는국내맞춤형으로유포되고있는 비너스락커 (VenusLocker) 랜섬웨어와동일한소스코드를기반으로제작되었다. 해당랜섬웨어에감염되면 볼륨쉐도우복사본 (Volume Shadow Copy) 을삭제하여윈도우복원을불가능하도록만든다. 이후주요파일들을암호화하며 Base64로인코딩된파일명과 ".TheTrumpLockerf", ".TheTrumpLockerp" 의확장자로변경한다. [ 그림 1] 트럼프락커 (ThrumpLocker) 랜섬웨어감염메시지 해당랜섬웨어는파일암호화가완료되면바탕화면을변경하고, YOU ARE HACKED 라는문자열이쓰인 트럼프미국대통령사진을출력한다. 공격자는 72 시간이내에파일복호화비용으로 $150 달러 ( 한화로 약 17 만원 ) 를자신의비트코인지갑으로보내달라고요구한다. 19

이달의 TOP [ 그림 2] 변경된바탕화면과미국대통령트럼프사진메시지 바이로봇업데이트내역 Trojan.Win32.TrumpLocker 작성자 : JK 20

04 보안컬럼 메타몽과악성코드 GO 실행해서는안될이메일첨부파일들 21

보안컬럼 메타몽과악성코드 GO 지난해 7월에출시한증강현실 (AR) 게임 포켓몬고 (Pokemon GO) 는전세계게이머들의뜨거운호응을얻었다. 우리나라에서는지도반출이슈등으로출시가지연되었고, 강원도북부지역일부가북한과같은구역으로분류되어속초신드롬을불러일으켰다. 올해 1월 24일본격적으로국내에상륙한포켓몬고는 포세권 ( 포켓스톱 + 역세권 ) 이라는신종어를만들며뜨거운이슈가되었다. 필자는어릴적보던포켓몬스터만화와띠부띠부씰을떠올리며포켓볼을던졌다. 백도어키로거트로잔파일바 ( 이러스 ) 스파이해킹툴랜섬웨어미라이 ~ 서로생긴모습은달라도우리는모두나빠 ( 맞아 ~ ) 즐거운포켓몬스터주제가를필자의환경에맞게가사를고쳐보았다. 하루에도수없이쏟아져나오는악성코드의홍수속에서필자는오늘도올리디버거 (OllyDbg) 앞에앉아있다. 악성코드분석은잠시뒤로하고포켓몬스터의메타몽과악성코드를엮어이야기하고자한다. [ 그림 1] 악성코드 GO 포켓몬스터의메타몽은전신의세포를재구성하여어떤포켓몬으로변할수도있고, 고유기술까지사용할수있다. 실제모습은흐물흐물하고꽤귀엽게 (?) 생겼지만무서운녀석이다. [ 그림 2] 변신의천재메타몽날씨좋던어느날문득그런생각이들었다. 국내외안티바이러스벤더사나수사기관에서 APT 공격에사용된악성코드와흔적을추적하여프로파일링하고공격그룹을분류한다. 이렇게분류한공격그룹특징을메타몽처럼카피한다면어떨까? 분석가입장에서매우머리아픈일이다. APT 공격그룹프로파일링은악성코드분석과침해사고현장에남겨진아티팩트 (Artifact) 까지포함한다. 필자는 0과 1로이루어진악성코드바이너리를분석하는비트위의나그네일뿐이다. 대부분의나그네들은현장에서아티팩트를얻기어렵고, 외부에공개된정보도매우적어완벽한프로파일링이어렵다. 최근교육이나훈련목적으로제작된메타몽악성코드가사회혼란과기업이미지실추를초래한사례를소개한다. # 사례 1 북한발메르스악성코드소동 2015년 5월중동호흡기증후군 (MERS) 이국내를강타했다. 정부의허술한대응으로감염이퍼졌고, 국가전체가혼란에빠진시기였다. 6월 3일, 바이러스토탈 (VirusTotal) 에 메르스 _ 병원및환자리스트.docx.exe 라는이름을가진파일이업로드되었고, 12일공중파에보도되면서사태가커졌다. 해당파일은워드파일확장자 (.docx) 로위장하여북 22

한 IP에연결하는특징이있어사회이슈를이용한북한소행이라는이야기도나왔다. 알고보니어느보안업체에서정보보안교육용으로제작된샘플파일이었다. 누군가바이러스토탈에업로드한것이 북한발메르스악성코드소동 의시발점이었다. [ 그림 3] 메르스악성코드 # 사례 2 - Operation OnionDog 2016년해외어느안티바이러스벤더사는한국의에너지, 교통및인프라산업에침투하여정보를탈취한악성코드분석보고서를공개했다. 해당보고서에따르면한글문서를통해악성코드가유포되었으며 APT 공격그룹을 OnionDog로분류하였다. 그러나 OnionDog는실제국내를목표로한악의적인공격이아닌매년시행되는을지연습에서사이버공격훈련용으로제작된악성코드로밝혀졌다. 이사건으로안티바이러스벤더사와해당보고서를작성한 APT 공격추적팀의이미지가실추되었다. 보안컬럼 렸다는것이다. 악성코드바이너리에는공격자들이주로애용 (?) 하는특징점들이남아있다. 하지만또다른불순한세력들이교란과은폐의목적으로바이너리특징점을이용하여메타몽악성코드를제작할가능성이존재한다. 이러한이유로 APT 공격그룹의프로파일링에는침해사고현장의아티팩트가매우중요하다고생각한다. 최근국내기관및기업을목표로하는 APT 공격이빈번히발생하고있다. 정부합동수사단과경찰은공격주체를북한으로판단하고있다. 인터파크해킹의경우공격경유지 IP, 디코딩 흔적을삭제하는기법, 협박이메일의북한식표현을근거로하였다. 일부사람들은 또북한으로몰아가네 ~ 라고말한다. 필자가직접아티팩트를수집하고조사한것은아니지만, 외부에공개되지않은결정적인아티팩트가있을것으로생각한다. 이러한아티팩트가외부에공개된다면더많은메타몽악성코드나메타몽공격그룹이생겨나정확한공격그룹의프로파일링을어렵게할것이다. 사이버공격주체도포켓몬처럼라즈열매몇개먹이고, 하이퍼볼로쉽게잡을수있다면얼마나좋을까? 마지막으로필자가좋아하는문구와함께칼럼을마치겠다. 악성코드와함께한모든시간이눈부셨다. 날이좋아서, 날이좋지않아서, 날이적당해서. 모든날이좋았다. 작성자 : JK [ 그림 4] OnionDog 보고서일부내용 두사례의공통점은바이러스토탈에업로드된샘 플, 즉악성코드바이너리만분석하여결론을내 23

실행해서는안될이메일첨부파일들 얼마전지인으로부터연락이왔다. " 회사메일로날아온파일을실행했더니컴퓨터안의파일들이안열리고바탕화면이이상한데방법이없을까?" 라고. 랜섬웨어에대해알려주고함께슬퍼해주었다. 악성코드감염사례중위와같이이메일의첨부파일을실행하여감염되는경우가상당한비중을차지하고있다. 그런이상한파일을왜열어서감염되는거지? 라는의문을가지는사람이있을수있지만, 이런악성메일에는첨부파일만덩그러니들어있는것이아니다. 공격자는사용자입장에서생각하여첨부파일을실행시키도록유도한다. 사람을속이는사회공학적기법을사용하는것이다. 관심을가질수밖에없는달콤한주제를미끼로유혹하면피해자는반드시생기기마련이다. 그러면이러한악성첨부파일들은어떤모습으로사용자들을속이는지, 실행할경우 PC에어떤일이일어나는지, 또어떻게대처해야하는지를 3종류의파일형태로나누어알아보도록하자. 1. 스크립트파일먼저살펴볼악성첨부파일형태는스크립트파일로.js,.jse,.wsf 등의확장자들이존재한다. 작년초 Locky 랜섬웨어가.js 파일을통해대량유포된이후공격자들이꾸준히애용하고있는유포방식이다. 스크립트파일의기본적인겉모습은 [ 그림 1] 과같다. 단일파일로유포되는경우가있고압축파일에포함되는경우도있다. 보안컬럼 서겪을법한주제를다룬다. 파일내용은사용자가알아볼수없도록난독화되어있고, 난독화를해제하면악성코드를다운로드하는 URL을확인할수있다. 랜섬웨어, 백도어, 그무엇이든다운로드가능하다. [ 그림 2] 난독화된 js 첨부파일 G메일은보안을위해특정형태의파일첨부를차단하는데, 올해 2월 13일부터.js 파일도차단목록에포함되었다. 만약자신이홈페이지제작업체직원이라면메일로스크립트를주고받을수있지만, 그런경우가아니라면스크립트파일이첨부된메일로왔다면그메일은지워야한다. 그것은그냥악성코드일뿐이다. 2. 문서파일또다른악성메일의첨부파일은문서형태의파일이다. 대표적으로.doc,.xls,.hwp,.rtf,.pdf 확장자들이있다. 작년말, 사람들의관심이연말정산으로집중될시기에 "2016 연말정산관련안내 " 라는제목의메일이국내기관들에유포되었다. [ 그림 1] 스크립트파일 악성파일들은주로 'Delivery-Details', 'invoice', 'Parking bill', 'booking_conf', 'Payment, Notice', 'Alert, Picture' 등의파일명으로사람들이일상에 [ 그림 3] 연말정산안내위장메일 24

첨부파일의압축을풀고문서를실행하면상단에매크로차단알림과옵션버튼이눈에들어온다. 여기까지는실행해도 PC에이상이없다. 하지만옵션버튼을눌러 " 이콘텐츠사용 " 으로설정을변경하는순간문서에포함된매크로로인해악성행위가시작된다. 이렇게매크로가실행된 PC는랜섬웨어에감염되어파일들을사용할수없게된다. 확실히검증된문서가아니라면매크로를사용하도록설정을변경해서는안된다. [ 그림 4] 매크로보안옵션창악성한글문서파일이첨부된메일도지속적으로발견되고있다. 한글악성코드에는북한, 최순실과같은사회적인이슈를다루는내용이많이포함되어있으며, 주로한글취약점을통해악성코드를실행한다. 올해 2월에는중국인이작성한이력서로위장한악성코드가유포되었다. 보안컬럼 같은취약점을통해동작하는악성코드는 ' 바이로봇 APT Shield' 와같은취약점차단솔루션을이용하면매우효과적인방어가가능하다. 3. 실행파일무역회사에다니는 A씨는메일로 견적서.pdf 라는파일을받았다. 평소견적서를많이다루던 A씨는무심코파일을열었고견적서에는알수없는물품들만나열되어있었다. 파일을연순간부터백그라운드로악성코드가동작하여감염사실을알수없었다. 위의이야기가공격자들이생각하는이상적인악성코드감염사례이며실제로많은피해자가발생하고있다. 첨부되어있던 ' 견적서.pdf' 파일이실제로 pdf 문서파일이었을까? 그렇지않다. 파일명뒤의.pdf는실제확장자가아니며, pdf 아이콘도공격자가만들어낸이미지다. 윈도우폴더옵션에는 ' 알려진파일형식의파일확장명숨기기 ' 설정이있다. 기본시스템설정이숨기기로되어있기때문에가짜견적서를실행하게되는것이다. 확장명숨기기를해제하면 ' 견적서.pdf' 가아닌 ' 견적서.pdf.exe' 파일이첨부되어있었다는사실을알수있다. [ 그림 6] 알려진확장자숨김 ( 좌 ) 과 숨김해제 ( 우 ) [ 그림 5] 이력서위장한글문서악성코드 유포된한글문서는취약점을이용해그림파일로 위장한정보탈취악성코드를다운로드한다. 이와 이와유사한방식으로유포된악성코드파일명으로는 'Order.doc.exe', 'Details.xls.exe', ' 연락처.pdf.exe', ' 제품.png.exe' 등이있고확장자를속이지않는 'Payment.exe', 'invoice.exe', 'Purchase Order.exe' 파일명으로도꾸준히유포되고있다. 앞서언급했듯이 ' 알려진파일형식의파일확장명숨기기 ' 옵션은해제한상태로 PC를사용하고이메일의첨부파일은최신버전의백신으로검사한후에사용하는것이좋다. 무엇보다수상한메일의파일은실행시키지말아야한다. 25

보안컬럼 악성메일은매번우리가겪고있는시기와상황에맞춰친숙한모습으로다가온다. 이사실을알고있지만방심하고악성메일의첨부파일을실행하는사람들이생기기때문에가장큰보안취약점은사람이라는말이나오는것이다. 영화 ' 타짜 ' 평경장의대사로컬럼을끝맺고자한다. " 아무도믿지마라!" 작성자 : JSY 26

보안컬럼 05 월간악성코드상세분석 국내맞춤형타켓랜섬웨어비너스락커 (VenusLocker) 27

월간악성코드상세분석 국내맞춤형타겟랜섬웨어비너스 락커 (VenusLocker) 에로드한다. 작년 12월부터연말정산, 지원서, 예약문의등특정타깃에맞춰작성된악성이메일이유포되고있다. 해당이메일에첨부된악성파일은바로가기 (.LNK) 나워드파일 (.DOC) 매크로를이용해비너스락커 (VenusLocker) 랜섬웨어를감염시킨다. 비너스락커는감염 PC에존재하는파일을암호화하며, 몸값으로일정금액의비트코인을요구한다. 올해 2월부터는한글문서 (.HWP) 까지암호화하여국내이용자들을위협하고있다. [ 그림 3] 바이너리디코딩루틴 [ 그림 4] 디코딩된바이너리로드 3. MemoryLoad.exe ( 가칭 ) (1) 악성코드실행시 Sandboxie에서사용하는 DLL 로드여부를확인하고, 웹디버깅툴 Fiddler 프로세스가동작중인지확인한다. [ 그림 1] 악성코드도식도 1. 악성파일.doc.lnk (1) 악성바로가기파일은이미지 (.JPG) 파일로위 장된악성코드를실행한다. [ 그림 5] Sandboxie 확인루틴 [ 그림 6] Fiddler 확인루틴 (2) 특정바이너리를복호화한다. [ 그림 2] 악성바로가기파일 (.LNK) 2. Malware.jpg (1) 해당악성코드는클래스와함수명이난독화되 어있고특정값의바이너리를디코딩하여메모리 [ 그림 7] 바이너리복호화루틴 28

월간악성코드상세분석 - 파일경로 : C:\Users\( 사용자계정 )\bw9uz XlsaWJlcnR5.mlssuc [ 그림 8] 복호화전 / 후비교 [ 그림 13] 특정파일확인및생성루틴 (3) 자기자신을실행시켜복호화된바이너리를 인젝션한다. (3) 현재시스템시간이기준시간이후일경우 종료한다. - 기준시간 : 2017-04-01 00:00:00 [ 그림 9] Suspend 상태로실행 [ 그림 14] 시스템시간비교 [ 그림 10] 메모리인젝션 (4) 감염 PC 에서컴퓨터이름, 사용자계정, 윈도우 언어, 윈도우버전, 현재시스템시간을수집한다. [ 그림 11] 인젝션된바이너리실행 [ 그림 15] 시스템정보수집 4. VenusLocker.exe (1) 악성코드실행시특정가상머신환경에서동작하는지확인한다. (WMI 쿼리사용 ) - 확인문자열 : VIRTUAL, VMware, VirtualBox (5) 감염 PC 를식별하기위해 (4) 에서수집된정보 로 MD5 해시값을생성한다. - 식별정보 (userid) : 감염 PC 정보의 MD5 값 [ 그림 12] 가상머신확인 (2) 특정경로에파일존재시실행을종료하며, 없을경우숨김 / 시스템속성을가진파일을생성 한다. [ 그림 16] 식별정보 (userid) 생성 (6) C&C 서버에수집정보와식별정보를전송한다. 29

월간악성코드상세분석 - C&C 주소 : http://31.207.44.155/create.php [ 그림 23] 하드코딩된 AES-256 키값 [ 그림 17] 정보전송 (8) 감염 PC의모든드라이브에암호화를수행한다. 파일암호화대상은숨김 / 시스템속성과 47개의특정이름을가진폴더를제외한모든폴더이며, 파일암호화대상 511개확장자에포함되고, 숨김 / 시스템속성이아닌파일이다. [ 그림 18] 전송패킷 (7) (6) 에서전송이성공할경우, 랜덤값으로생성한 32byte AES-256 암호화키를공격자의 RSA- 2048 공개키로암호화후 C&C 서버에전송한다. 만약전송이실패할경우, 악성코드에하드코딩된 AES-256 암호화키를사용한다. - C&C 주소 : http://31.207.44.155/keysave.php [ 그림 24] 드라이브목록수집 [ 그림 25] 재귀함수를이용한암호화루틴 [ 그림 19] AES-256 키생성루틴 [ 그림 20] RSA-2048 로 AES-256 키암호화 [ 그림 26] 암호화제외폴더 (47 개 ) [ 그림 21] 공격자의 RSA-2048 공개키값 [ 그림 22] 암호화키전송 [ 그림 27] 암호화대상파일확장자 (511 개 ) 30

월간악성코드상세분석 (9) 파일암호화시작전 AES-256 암호화키에 SHA-256을적용한다. 파일암호화범위는전체암호화확장자 (57개) 포함여부에따라결정된다. 이후 원본파일명 + 확장자 에 Base64 인코딩하여특정조건에따라변경할확장자를결정하고파일암호화를수행한다. [ 그림 33] 파일전체 / 부분암호화비교 [ 그림 28] 파일전체암호화확장자 (57 개 ) [ 그림 29] 조건에따른암호화범위, 파일명, 확장자정보 [ 그림 34] 파일암호화전 / 후파일명및확장자 비교 [ 그림 30] AES-256 암호화루틴 (10) 파일암호화가완료되면비너스락커감염이미지를다운로드하여바탕화면을변경한다. 이후 VenusLocker_ReadMe.txt 파일을생성하며랜섬노트화면을출력한다. [ 그림 35] 바탕화면이미지다운로드 [ 그림 31] 파일전체암호화루틴 [ 그림 36] VenusLocker_ReadMe.txt 파일 [ 그림 32] 파일부분암호화루틴 31

월간악성코드상세분석 [ 그림 37] 변경된바탕화면 [ 그림 38] 랜섬노트화면 [ 그림 39] 한글설명서 (hastebin) 작성자 : JK 32

06 모바일악성코드상세분석 점점발전하는랜섬웨어! 33

점점발전하는랜섬웨어! 랜섬웨어가증가하면서기능도발전하고있다. 최근에는신종랜섬웨어가발견되어이슈가되었다. 기존의랜섬웨어는감염되면화면을잠금하는기능만있었지만, 새롭게발견된랜섬웨어는기존의기능에소리까지재생하는기능이추가되었다. 새롭게발견된이랜섬웨어에감염된스마트폰은주변에소음피해를주기때문에몸값을지불할수밖에없는상황을만든다. 모바일악성코드상세분석 또다른랜섬웨어는 QR코드를읽으면 QQ메신저로이동한다. QQ메신저는중국에서널리사용되고있는메신저이다. 이 QQ메신저를이용하여랜섬웨어배포자와거래를하게된다. MediaPlayer 클래스를이용하여리소스폴더에 존재하는 MP3 파일을재생한다. [ 그림 1] MP3 파일재생 리소스에존재하는 MP3 파일이다. 랜섬웨어가실행되면해당 MP3가재생된다. [ 그림 2] MP3 파일소리를재생하는랜섬웨어뿐만아니라다양한형태의랜섬웨어가계속해서등장하고있다. 심지어동영상을재생하여보여주는랜섬웨어도등장했다. [ 그림 4] QR코드다음랜섬웨어는단말기가루팅되어있다면사용자로부터루트권한을요구한다. 이후권한이승인되면랜섬웨어를시스템영역에복사한다. 랜섬웨어가시스템영역에복사되면삭제가어려워진다. [ 그림 5] 루트권한상승요구 [ 그림 3] 동영상이재생되는랜섬웨어 루트권한이승인되면다음과같은명령어들이 차례대로실행된다. /system 영역을 rw 권한으로 변경한뒤앱을 /system 영역으로복사한다. 34

/system 영역으로복사된앱의권한을 644 로변 경한뒤단말기를재부팅시킨다. 모바일악성코드상세분석 이처럼랜섬웨어는다양한기능이추가되며발전하고있다. 초기의단순한랜섬웨어라고생각하고주의하지않고넘어간다면자신도모르게랜섬웨어에감염될수도있다. 과거에는화면을잠그기만하는랜섬웨어가많이유포되었지만최근에는화면뿐만아니라음성, 동영상등을재생시켜사용자에게피해를주는랜섬웨어들도유포되고있다. 이에사용자들은항상최신백신을업데이트하고검증된스토어에서앱을다운받아야랜섬웨어를예방할수있다. 작성자 : TS [ 그림 6] 시스템영역복사 또한, 추가로핀암호를재설정하여이중으로화 면잠금을하는랜섬웨어도등장했다. [ 그림 7] 기기관리자활성화 [ 그림 8] 핀번호재설정 35

모바일악성코드상세분석 감사합니다. ( 주 ) 하우리 www.hauri.co.kr 서울시종로구율곡로 238( 예일빌딩 ) 7 층 TEL. 02-3676-1100 FAX. 02-3676-8011 36 36