Contents 01 월간악성코드이슈동향 3 악성코드보안위협보안동향해킹침해사고 02 이달의 TOP 11 실행파일 (EXE) 도감염시키는 Blacksnow 랜섬웨어감염주의 리눅스서버를대상으로하는에레보스 (Erebus) 변종랜섬웨어감염주의 03 보안컬럼 17 IP 스캐닝과

2017. 06 2 트 1 트 1

Contents 01 월간악성코드이슈동향 3 악성코드보안위협보안동향해킹침해사고 02 이달의 TOP 11 실행파일 (EXE) 도감염시키는 Blacksnow 랜섬웨어감염주의 리눅스서버를대상으로하는에레보스 (Erebus) 변종랜섬웨어감염주의 03 보안컬럼 17 IP 스캐닝과공격 당신의윈도우는안전합니까? 04 월간악성코드상세분석 23 국내 ActiveX 취약점으로유포된백도어악성코드 전세계를뒤흔든워너크라이랜섬웨어 05 모바일악성코드상세분석 31 모바일랜섬웨어예방! 3

01 월간악성코드이슈동향 악성코드보안위협보안동향해킹침해사고 3

악성코드 북한해커조직, 사이버논리폭탄 탑재한정찰용악성코드유포! 최근북한추정해커조직이 사이버논리폭탄 이적용된정찰용악성코드를국내에은밀히유포하고있는것으로드러났다. 월간악성코드이슈동향이것도북한소행? 신종멀웨어 바이지우 출현 한보안업체는 바이지우 (Baijiu) 라는새로운멀웨어를발견했다. 바이지우를활용한공격자들은일반사용자들이쉽게관심가질만한키워드인 북한 을사용해클릭을유인하고, 지오시티 (GeoCities) 라는오래된익명성제공웹호스팅서비스를활용하고있다는내용이다. 이번에발견된악성코드는특정대상에이메일을통해한글문서의첨부파일형태로유포됐다. 사용자가한글문서를열람할경우, 한글프로그램의취약점을이용하여국내의한병원웹서버에서암호화된악성코드를다운로드해복호화한후, 동작하는것으로분석됐다. 특히, 이번악성코드에서는발각되지않고정찰을오랜기간유지하기위해아래한글프로그램에기생해서동작하는새로운방식이적용된것으로알려졌다. 특정경로에아래한글모듈과유사한이름의악성코드파일을숨김속성으로생성하고, 이를아래한글프로그램의모듈들이등록되는레지스트리경로에추가하는방식이다. 또한, 이렇게동작된악성코드는오후 2시부터 6 시사이에만특정서버로부터추가악성코드를다운로드해실행하도록하는논리폭탄 (Logic Bomb) 이포함되어있다. 논리폭탄은특정날짜나시간등조건이충족되었을때악성행위를수행할수있게만든코드의일부분으로소프트웨어시스템에의도적으로삽입된것이다. 따라서지시된조건과맞지않으면계속숨어있게된다. 이는오랜기간은닉하면서정찰및정보수집활동을수행하기위한사이버공격의일종이다. 출처 : http://www.boannews.com/media/view.asp?idx=54 815&page=1&kind=1 바이지우의궁극적인목표는 태풍 (Typhoon) 이라불리는다운로더를통해스파이툴을설치하고작년북한지역에피해를안겼던태풍인 라이언록 (Lionrock) 에서이름을딴라이언록백도어를설치하는것이다. 보안업체의위협첩보이사는이런툴을통해피해자의데이터를빼돌릴가능성이높다고설명했다. 하지만바이지우가완전히새롭게등장한멀웨어는아니다. 보안업체의연구자들은바이지우의일부가멀웨어공유사이트인바이러스토탈 (VirusTotal) 에이미올라와있는것을발견할수있었다. 하지만 그럼에도대부분보안솔루션에탐지되지않고있었다 고이사는지적했다. 이사실을발견한보안업체는바이지우의공격대상에대해분석하진않았다. 바이지우멀웨어가표적삼은조직이나특정지역이딱히드러난건아니지만, 공격대상이만연하게퍼져있을것으로보인다고말하며특정한사이버범죄자나사이버범죄집단을규명하기도어렵다고덧붙였다. 이사는 이번공격의기술적복잡성과멀웨어가코딩된방식을고려했을때, 매우정교한공격자가뒤에있을것이라고만말할수있다 라고말했다. 출처 : http://www.boannews.com/media/view.asp?idx=54 747 4

페덱스배송안내로위장한한국형랜섬웨어 오토크립터 확산! 서비스형랜섬웨어 (Ransomware as a Service, RaaS) 의일종인 오토크립터 (AutoCryptor) 변종이국제배송안내를사칭한이메일을통해국내에다량유포되고있어주의를요하고있다. 월간악성코드이슈동향 수원남부경찰서 명의사칭한랜섬웨어메일떴다! 최근수원남부경찰서를사칭해 과태료고지서 를발송하고, 첨부된고지서를열어보면공격당하는사건이벌어지고있다. 경찰청사이버안전국은해당이메일첨부파일을실행하면컴퓨터가다운되고, 재부팅하면 결제를하라 는랜섬노트가나온다며각별한주의를요구했다. 해당이메일본문에는 고객님의물품을부득이하게전달할수없으니, 첨부된영수증과배송장을출력해가까운 FedEx 사무실에방문해물품을전달받으세요 라는일반적인배송안내가적혀있어, 수신자의관심을끌고첨부파일을실행하게끔유도한다. 이메일에첨부된압축파일내부에는 배송장.jpg, 영수증.jpg 등이미지파일로위장된바로가기 (*.lnk) 파일과 페덱스지점안내.doc 문서파일로위장된랜섬웨어기능의실행파일 (.exe) 이포함되어정부기관, 민간기업, 커뮤니티블로거까지폭넓게공격하고있다고밝혔다. 특히이번랜섬웨어는수사기관의추적을피하기위해토르 (Tor) 웹브라우저로만접속가능한다크웹 (Dark Web) 주소를사용했으며, 보안업체시큐리티대응센터측은 " 이번에발견된오토크립터랜섬웨어역시정교하게작성된한글이메일을활용하는등작년말부터꾸준히이어진비너스락커 (VenusLocker) 랜섬웨어의공격방식과상당부분일치하는것으로분석되었다 고말했다. 출처 : http://www.boannews.com/media/view.asp?idx=54 954&page=1&kind=1 29일아침에발송된해당이메일은수원남부경찰서이름으로보내졌으며, 교통위반을했으니첨부된과태료고지서확인후벌금을납부하라는내용이담겨있다. 특히, 과태료를자진납부할경우 20% 의감면혜택을받을수있으며, 기초생활수급자의경우에는 50% 를감면받을수있다면서자세한사항은첨부파일을확인하라고강조하고있다. 특히, 메일에는 JPG와.egg 압축파일등이첨부되어있는데, 이파일을열면랜섬웨어에감염된다고한보안전문가는설명했다. 실제로한시민은페이스북을통해해당메일을받고의심없이첨부파일을열었지만, 파일자체가실행되지않아자세하게살펴보니가짜였다는것을알게됐다고알려왔다. 출처 : http://www.boannews.com/media/view.asp?idx=54 986&kind=1&search=title&find=%BC%F6%BF%F8 %B3%B2%BA%CE%B0%E6%C2%FB%BC%AD 5

보안위협 택배메시지는꼭 2번확인하고클릭! 택배스미싱다시 기승 연휴기간에집중적으로발생하는택배스미싱이요즘들어서더기승을부리고있다. 최근들어중요온라인커뮤니티에는택배스미싱관련피해사례가심심찮게접수되고있다. 게시글에따르면한진택배에서 고객님배송재확인바람 ( 도로명미정확 ) 변경요망 문자와관련 URL이왔고, 게시글작성자는이 URL을접속했다. 작성자는 URL 접속이후 CJ대한통운사이트로연결됐고, 이후알수없는앱설치등이진행됐다며스미싱을조심하라고글을올렸다. 택배사들은고객에게 URL을포함한문자메시지를발송하지않는다는것을이용자들이반드시숙지해야하는것이다. 택배스미싱은날로지능화돼개인의신용카드정보까지도유출될가능성이있다. 스미싱사기가피해자스마트폰에저장된연락처와신용카드정보, 공인인증서등을훔쳐갈정도로점점지능화되고있다는것이다. 최근유행하는스미싱사기는불특정다수에악성주소 (URL) 가포함된문자메시지 (SMS) 를발송하는전형적인스미싱형태다. 이전의스미싱사기는소액결제나모바일뱅킹앱이용자를겨냥했지만, 최근에는스마트폰에저장된공인인증서탈취는물론신용카드정보까지훔쳐각별한주의가요구된다. 출처 : http://www.boannews.com/media/view.asp?idx=54 894&page=1&kind=1 월간악성코드이슈동향한비밀번호여러계정에쓰면크리덴셜스터핑에당한다 하나의비밀번호를여러계정에걸쳐동일하게사용하는가? 그렇다면크리덴셜스터핑공격에당할가능성이매우높아보인다. 크리덴셜스터핑 공격이란공격자가이미확보한크리덴셜을다른계정들에마구쑤셔넣는 (stuffing) 방식으로사용자정보를침해하고공격하는것을가리킨다. 만약어떤사람이동일한비밀번호를여러계정에서함께사용하고있거나예전에사용했던비밀번호를다시사용하고있다면, 언제어디서유출됐을지모를크리덴셜을통해공격자가여러계정에그사람의비밀번호를대입해공격하고성공할가능성이매우높은것이다. 크리덴셜스터핑은한웹사이트에서훔친로그인정보를다른웹사이트에무차별대입 (brute-force) 하는자동화시스템으로, 하나의계정정보가다른계정정보와도일치할것을노린공격프로세스다. 사용자가동일한크리덴셜을다중의웹사이트에서사용한다는사실을파악한공격자는계정탈취를쉽게자동화할수있고추후더많은계정을공격하는데도활용할수있다. 한분석가는이같은계정탈취공격에대해공격자가계정을침투하는데는대단한전문성이필요치않고, 사용자의보안습관이좋지않다는사실도공격이성공하는큰요인이라는것이다. 크리덴셜스터핑은기업규모와관계없이산업전반에걸쳐영향을미친다. 예전에는게임회사나기술회사들이가장많이공격받았지만, 이제는기프트카드회사, 호텔, 피자가게, 온라인상점들도빈번하게공격대상이되고있다. 가장취약한웹사이트는계정탈취시도에당할수있는직원이나고객의로그인페이지가있는곳이므로비밀번호재사용이나회사이메일주소를개인계정으로사용하는것의위험을알려야한다고도강조했다. 출처 : http://www.boannews.com/media/view.asp?idx=54 909 6

북한관련연구기관홈피에서워터링홀방식악성코드유포 최근문재인대통령취임이후북한의연이은미사일발사로전세계의관심이북한에쏠려있는이때, 북한관련연구기관의웹사이트에서악성링크가탐지된것으로드러났다. 보안동향 월간악성코드이슈동향 단돈 10 弗로랜섬웨어확산막은 22세英청년 " 안끝났다 " 경고 전세계를혼란에빠뜨린랜섬웨어확산을단돈 1만2천원으로막은 22세영국청년이화제가되고있다. 13일 ( 현지시간 ) 영국가디언, BBC 방송등은보안업체에서근무하는 22세영국청년이 ' 워너크라이 (WannaCry) 랜섬웨어확산을중단시키는 ' 킬스위치 ' 를발견해이를활성화했다고보도했다. 한보안업체는북한관련전문기관웹사이트에서 ActiveX 취약점을이용한드라이브바이다운로드 (Drive-by-download) 공격이발생한것이확인됐다고밝혔다. 악성링크삽입을통해다른취약한페이지로이동하여 PHP 확장자로위장된실행파일을내려받아실행한다. 해당악성파일은인터넷익스플로러환경에서키입력을가로채는것으로분석됐다. 이는전형적인워터링홀공격방식으로, 웹사이트소스코드내에감염을유도하는취약점을심어놓고, 공격타깃이 N사 웹사이트를방문했을때취약점에포함된코드가동작해악성행위가발생하는형태다. 이는과거부터현재까지꾸준히발생하고있다. 보안업체팀장은 공격자가웹페이지를악용하는가장큰이유는불특정다수에게악성코드를대량으로빠르게확산시킬수있기때문 이라며 웹사이트를방문하는사용자들은자신도모르는사이에악성스크립트가동작하고, 악성파일을내려받아자동으로실행하게되며, 다양한공격에활용된다 고설명했다. 보안업체측은 취약한웹서비스의전체적인점검과관리를통해웹을운용하는환경개선이필요하다 고강조했다. 출처 : http://www.boannews.com/media/view.asp?idx=54 985&page=1&kind=1 그는 " 분석을통해공격에사용된악성소프트웨어샘플을발견했으며, 등록되지않은특정도메인과연결돼있다는사실을알게됐다 " 고말했다. 이어 " 회사가봇넷을추적하는업체인만큼봇넷이어떻게확산되는지보려고이도메인을사들인뒤이를등록했다 " 고설명했다. 도메인을등록하는데든돈은불과 10.69달러 ( 약 1만2천원 ) 에불과했지만그결과는값을매길수없을정도로컸다. 등록된도메인이랜섬웨어확산을중단하는킬스위치로작동해워너크라이랜섬웨어확산을중단시킨것이다. 비록이미감염된컴퓨터에대해서는손을쓸수없었으나추가확산은막을수있었다. 일간월스트리트저널 (WSJ) 은 ' 사이버범죄배트맨 ' 이라고표현하기도했다. 그는 " 공격집단이우리가어떻게확산을멈췄는지알아차리고는코드를바꿔다시시작할것 " 이라며 " 윈도업데이트를가능하게한뒤업데이트와재부팅을하라 " 고조언했다. 출처 : http://www.yonhapnews.co.kr/bulletin/2017/05/14/ 0200000000AKR20170514014000009.HTML?input =1195m 7

워너크라이랜섬웨어, 북한이사용하는멀웨어와유사성적어 지난 5월 12일시작된랜섬웨어워너크라이 (WannaCry) 공격이급속히진행되며전세계의조직들에게영향을주고있다. 월간악성코드이슈동향국내서비트코인제친 ' 리플코인 '... 가상화폐확대에피해우려도증가 리플코인 (XRP) 하루원화거래량이 500억원에육박하며국내가상화폐시장에서비트코인을제치고선두자리에올랐다. 전체가상화폐시장이확대되면서투기자본도빠르게유입되고있어주의가필요하다. 22일업계에따르면최근국내가상화폐시장에리플코인에대한관심이커지며거래량이급격히늘었다. 글로벌가상화폐정보분석업체에따르면하루에원화로거래되는리플코인은 473억원규모로 300억 ~400억원대인비트코인규모를넘어섰다. 보안업체의분석에따르면워너크라이공격과관련된악성바이너리는서로다른다른두개의요소로구성된다. 하나는랜섬웨어기능을제공하며, 5월 12일이전에보고된바있는워너크라이멀웨어샘플과매우유사하게행동한다. 다른하나는확산에사용되며스캐닝과 SMB 취약점악용기능들을활성화하는역할을한다. 이랜섬웨어의급속한확산및분포속도를고려할때, 보안업체는이공격이취약한윈도우컴퓨터를사용하는모든조직들에잠재적으로상당한위협이될것으로보고있다. 또한새로운변종의출현은공격자들이원하면워너크라이의킬스위치기능을제거하거나대폭수정해이제까지취해진대응책을회피할수도있음을보여준다고밝혔다. 한편이번 ' 워너크라이 ' 랜섬웨어공격의배후에북한이있다는주장에대해보안업체의분석팀매니저는 " 북한과의연관성에대해조사를진행했으나, 워너크라이와배후로지목된북한해킹그룹이사용하는멀웨어간의유사점이충분하지않기때문에, 현시점에서는북한의소행으로단정짓기는어렵다 라고밝혔다. 출처 : http://www.dailysecu.com/?mod=news&act=articl eview&idxno=20250 리플은블록체인을활용한해외송금에특화된가상화폐다. 운영주체가불분명한비트코인과달리미국샌프란시스코에본사를둔리플 ( 리플랩스 ) 에서 ' 리플프로토콜 ' 을운영한다. 분산원장기술을기반으로 ' 실시간결제시스템 ' 을구현, 전세계다수참여자에의해발생하는대량결제를빠르게처리한다. 코인원관계자는 원화거래대량유입과은행네트워크확장으로리플시장규모가급격히커졌다 며 국내리플거래서비스를시작하고한때원화리플거래액이 1000억원까지치솟았다 고말했다. 해외송금에특화된점역시국내에서리플코인인기를높이는한요인이다. 두달후외환거래법개정안이시행되면은행이아닌다양한핀테크업체에게도가상화폐기술등을활용해소액해외송금사업이허용되기때문이다. 출처 : http://www.etnews.com/20170522000301?mc=em _002_00001 8

비트코인 이더리움등가상화폐시세광풍! 보안은담보못해 이더리움과비트코인등의가상화폐시세가최근고공행진을거듭하고있다. 해킹침해사고 월간악성코드이슈동향 해킹의혹 CJ ONE계정中서불법거래 2차피해우려확산 CJ그룹통합멤버십서비스인 CJ ONE 개인계정이중국에서불법거래되고있다. 해킹의혹이급속도로퍼지자 CJ 측이뒤늦게대처하고나섰지만이미수만건이상거래가이뤄진상황이다. 이더리움은지난 2014년캐나다인비탈리크부테린이개발한가상화폐로, 컴퓨터암호를풀면이더리움 1개를획득하는 채굴 형방식이라고할수있다. 이더리움은올해들어서만가치가 2,300% 넘게상승했다고미국 NBC 방송은보도했다. 본지가우리나라의대표적인가상화폐거래소인빗썸에서현재이더리움시세를확인해본결과 25일기준으로 1이더리움 (ETH) 이 341,500원으로 24일과비교해서도 96,750원이상승한것으로드러났다. 빗썸에따르면현재시세는비트코인 (BTC) 당 4,300,000원에육박하고있다. 하루새 1백만원이넘게급등했다. 이쯤되면이더리움과비트코인모두비정상적인폭등세라고할수있고, 최근열기에힘입어투자수단으로주목받고있다는방증이다. 그럼이러한가상화폐가투자수단으로바람직할까? 그러나비트코인이나이더리움등가상화폐를취득하려는사이버범죄자들이많은만큼보안성은아직담보되지않은게현실이다. 무엇보다거래소해킹가능성과비트코인을악용한사기등두가지측면에서위험하다는지적이다. 오는 6월쯤금융위원회가가상통화투명화관련대처방안을발표할것으로알려진만큼관련정책방향도참고할필요가있다는지적이다. 출처 : http://www.boannews.com/media/view.asp?idx=54 930 CJ ONE 계정은최근까지온라인을통해계정당한화약 1000~2000원에판매돼왔지만현재는 CJ 측에서중국사이트에삭제를요청한상태다. 불법거래가이뤄지는가장큰이유는 CJ 계열사에서제작하는 프로듀스101 시즌2 투표를위한것으로현재부정투표논란으로까지확산되고있는상황이다. 부정투표는 CJ자체적으로차단이가능하지만가장큰문제는같은아이디와패스워드를사용하는가입자들이많아 2차피해가우려되고있다는점이다. 12일관련업계에따르면최근중국유명온라인쇼핑몰인 타오바오 에서 CJ ONE 개인정보가 10만건이상판매되어왔다. 일부판매게시글의경우이미 6만건이상이상거래된것으로나타났다. 이사이트에서는판매자가원하는연습생에게투표하는것으로거래조건으로내걸기도했다. 판매자당수백개단위의계정거래도있는것으로확인된만큼해킹및계정도용가능성을배제하기어렵다. CJ그룹측은 TV프로그램투표를위한것일뿐실제로는투표가되지않고중국사이트운영회사측에요청해판매글도모두지웠다 고설명했다. 출처 : http://news.donga.com/main/3/all/20170512/8432 5494/1 9

월간악성코드이슈동향 11세소년테디베어해킹 장난감도위험 11세소년이해킹에취약한사물인터넷 (IoT) 단말기의위험성을알려주목을받았다. 이소년은사이버보안컨퍼런스에서인터넷과연결된인형테디베어해킹을직접시연해보이며, IoT에대한경각심을일깨웠다. 17일 ( 현지시간 ) 영국일간지가디언보도에따르면한사이버보안컨퍼런스에서 11세소년인루벤폴군은 비행기에서자동차, 스마트폰, 스마트가전, 심지어장난감까지 IoT가될수있는데, 이는무기가될수있다 고경고했다. 이자리에서폴군은와이파이와블루투스를통해클라우드에연결, 메시지를송수신하는테디베어를이용해자신의생각을입증했다. 루벤폴군은 인터넷에연결되는단말기의대부분은블루투스기승을갖고있지만, 나는이런단말기에연결해음성을녹음하고재생하는명령을보낼수있다 면서 자동차나전구, 냉장도등일상생활에서사용하는것은뭐든지 IoT가될수있다. 그리고이들은쉽게사람들의삶을들여다보고해치기위한무기로변할수있다 고경고했다. IoT를통해비밀번호등개인정보를원격으로탈취하고, GPS를이용해누가어디에있는지모니터링한뒤테디베어를해킹해 OO에서만나자 라고아이에게말을걸수있다는것이폴군의주장이다. 출처 : http://www.zdnet.co.kr/news/news_view.asp?artice _id=20170519085458&type=det&re= 10

02 이달의 TOP 실행파일 (EXE) 도감염시키는 Blacksnow 랜섬웨어감염주의 리눅스서버를대상으로하는에레보스 (Erebus) 변종랜섬웨어감염주의 11

이달의 TOP 실행파일 (EXE) 도감염시키는 Blacksnow 랜섬웨어감염주의 개요 최근국내에 Blacksnow 랜섬웨어가등장하였다. Blacksnow 랜섬웨어는윈도우와맥 OS X를모두감염시키며사용자의정보까지탈취하는것으로알려졌다. 해당랜섬웨어는취약한웹사이트, 스팸메일에의한첨부파일등을통해유포되고있으며하드디스크전체를검색한후모든파일을랜덤한확장자로변경하여암호화한다. 특히국내에이미감염사례가발생하였기때문에사용자들의각별한주의가요구된다. 내용 금번에발견된 Blacksnow 랜섬웨어는윈도우와맥 OS X를모두감염시키며사용자의정보까지탈취하는것으로알려졌다. 해당랜섬웨어에감염되면다음과같이하드디스크전체를검색한후모든파일을랜덤한확장자로변경한다. [ 그림 1] 암호화된파일들 사용자의모든파일을감염시킨후사용자에게감염사실을알리는 txt 파일을생성한다. 그후감염사 실을알리는오류메시지를띄워준다. [ 그림 2] 오류메시지 12

이달의 TOP 금번발견된랜섬웨어는기존의랜섬웨어와다르게실행파일 (EXE) 도감염시킨다. 때문에지금까지주요 타깃이되었던문서나사진파일의백업만으로는피해를완전히예방할수없다. [ 그림 3] 실행파일 (EXE) 감염 최근랜섬웨어는금번발견된랜섬웨어와같이윈도우뿐만아니라맥 OS로도영역을확장하고있다. 또한해당랜섬웨어는파일잠금뿐만아니라사용자의정보까지탈취하고있어정보유출로인한 2차피해도예상된다. 또이미국내에감염사례가발생한랜섬웨어인만큼국내사용자들의각별한주의가필요하다. 바이로봇업데이트내역 Trojan.Win32.S.Xorist.14336 외다수 작성자 : YJ 13

이달의 TOP 리눅스서버를대상으로하는에레보스 (Erebus) 변종랜섬웨어감염주의 개요 최근리눅스서버를대상으로암호화하는에레보스 (Erebus) 랜섬웨어의변종이발견되었다. 에레보스랜섬웨어는국내웹호스팅업체의리눅스서버를감염시켜주요파일과백업파일, 호스팅을맡긴고객들의파일까지모두암호화시켰다. 이러한사태로인해특정홈페이지접속이불가능하거나회사업무에피해를끼쳤다. 이번랜섬웨어는윈도우운영체제가아닌리눅스를공격대상으로하고있어리눅스사용자들의주의가요구된다. 내용 금번에발견된에레보스랜섬웨어는감염시사용자 PC의주요파일들이암호화되고확장자는.ecrypt 로변경된다. 사용자의주요파일을감염시킨후 _DECRYPT_FILE.html, _DECRYPT_FILE.txt 파일로비트코인을요구한다. [ 그림 1] 에레보스의감염화면 (_DECRYPT_FILE.html) 해당랜섬웨어가요구하는파일의몸값은특정시간을기재한후, 정해진시간안에는 4 비트코인 ( 한화 약 1,328 만원 ), 이후에는 2 배의값인 8 비트코인을요구한다. 14

이달의 TOP [ 그림 2] 결제화면 특정디렉토리의파일을제외하고암호화를수행한다. [ 표 1] 암호화제외디렉토리항목 에레보스랜섬웨어는 433 개의확장자를대상으로암호화를수행한다. [ 표 2] 감염대상확장자목록 현재에레보스랜섬웨어는웹호스팅업체의각서비스의중요데이터들을감염시켰고, 홈페이지의일 부가정상적으로서비스가되지않는사태가발생하였다. 현재호스팅업체를타깃으로랜섬웨어가유 포되고있으므로개인사용자들도미리중요문서에대한백업을하는등의주의가요구된다. 15

이달의 TOP 바이로봇업데이트내역 Linux.S.Agent.429144 Linux.S.Agent.8401 Linux.S.Agent.487166 Linux.S.Agent.10631 작성자 : LHJ 16

03 보안컬럼 IP 스캐닝과공격 당신의윈도우는안전합니까? 17

보안컬럼 IP 스캐닝과공격 는말과마찬가지다. Targets 0.0.0.0 to 255.255.255.255 우리는상당히편리해진사회를누리고있다. 단순히 PC 또는스마트폰의브라우저를열어 naver.com을입력하면네이버사이트에접근할수있고, 필요한사이트의 URL을외워즐겨찾기에서골라열기만하면언제든원하는웹사이트에접근할수있다. [ 그림 3] 검색엔진을통한주소검색 [ 그림 1] URL 만으로접속한구글 IP 주소는 IP 주소감독기관인 ICANN(Internet Corporation for Assigned Names And Numbers) 에서관리한다. Ipv4에서 0.0.0.0에서 255.255.255.255 까지를모두사용할수는없지만, IP 주소를 Subnet을이용해나라별최상위도메인관리기관에할당하여해당국가가할당받은 IP 주소를사용할수있도록지정하고있다. 우리는 URL을기억하는것만으로도쉽게자신이원하는사이트에접근할수있다. 하지만생각외로 URL을가진서버는전세계에있는서버들의갯수에비해턱없이적다. 이는자신의사이트를자신만접근하기위해도메인에등록하지않고숫자그대로의 IP 주소를통해접근하는사용자가많기때문이다.. [ 그림 4] 전세계 IP 주소를관리하는 ICANN 한국에할당되어있는 IP 주소는국내 IP 자원관 리기관중가장최상위기관인 KRNIC 사이트에 서확인할수있다. [ 그림 2] IP 주소만으로접속한블로그 URL 과도메인은실생활에서정해진규약인도로 명주소와같다고볼수있다. 이는하우리의본 사주소가서울특별시종로구율곡로 238 와같다 [ 그림 5] KRNIC 에서확인가능한 IP 대역 18

하지만서버의연결은단순히 IP 주소나 URL 뿐만아니라포트번호또한필요하다. 이는실생활에서빌딩의층혹은상세주소와비슷하다고할수있다. 하우리 CERT실을예로들면, 서울특별시종로구율곡로 238, 예일빌딩 7층하우리 CERT실 과같이같은예일빌딩내부에있는회사들중에서도하우리 CERT실의주소는따로있는것과마찬가지다. 포트번호는 IP주소: 포트번호 혹은 도메인 : 포트번호 의입력을이용하여특정포트로접근이가능하다. 우리가사용하는웹브라우저는타깃도메인이나 IP 주소에포트번호의언급이없다면 [ 그림 6] 과같이자동으로 80번혹은 443번의포트로연결을시도한다. 보안컬럼 [ 그림 8] 크롤링된 CCTV 관리서버 [ 그림 8] 에서발견된서버들은기본웹서버포트를이용하여크롤러에수집된모습이다. 이서버들중약 20여개에달하는 CCTV 관리서버가관리자계정또한제조사에서지정해놓은기본계정과비밀번호를그대로이용중인것으로확인되었다. [ 그림 6] 도메인접근시이용하는 80 번포트 5일간접근이가능한웹서버를탐색하기위해도메인에등록되지않은 IP로크롤러를제작하여크롤링해본결과, 약 10만개의웹서버가크롤러의요청에응답했다. [ 그림 9] 지자체에서운영하는것으로 추정되는 CCTV [ 그림 7] 크롤러에응답한웹서버들응답받은헤더만을이용해몇가지의미있는단어들로검색해본결과, 공개된웹하드솔루션 5개, CCTV 관제웹서버가 45개가발견되었다. 이러한솔루션을사용하는서버들은 잘알려진포트 (Well-Known Ports), 그중에서도 80번포트를이용하는서버이다. 비공개파일서버나관리서버는보통보안측면에서자주사용하지않는포트를이용하는것이권장사항임에도불구하고적지않은수의서버들이공개된포트로방치되어있다. 비단 [ 그림 9] 처럼 CCTV 관리솔루션만문제가아니다. CCTV 뿐만아니라대부분의 NAS나웹하드솔루션은기본웹서버포트나기본웹서버포트에서기본값으로조금씩바꾼포트를사용하도록지정되어있다. 19

보안컬럼 정그대로사용하는보안설정등을변경하여사용한다면 Shodan이나손쉽게만들수있는크롤러등의수집도구가기본계정, 패스워드로접근하는행위로부터안전해질수있다. [ 그림 12] 기존에운영중인서버의 SSH 와 접속포트를변경하니봇의공격이잠잠해짐 [ 그림 10] 공무부처의소유로추정되는웹하드보안설정변경없이이러한솔루션을이용할경우, 간단한크롤러만으로도검색및접근이가능하다. 여기에다른보안조치가취해져있지않다면상기두그림처럼파일접근및관리가가능한취약한서버가되는것이다. [ 그림 12] 와같이지난칼럼에서운용중이였던홈서버에도 SSH 접속포트를변경하고나서중국발봇의공격이아예발생하지않고있다. 좋은서버는좋은성능과동일한단어이지만그에걸맞는보안또한갖춰져야한다. 좋은성능을갖추고도보안이허술하다면공격자에게무상으로서버와회선을임대해주는것과다름없기때문이다. 서버의서비스별공개여부에따라포트번호와보안설정을변경해서버리소스의낭비나범죄의피해자또는가해자가되지않도록보안을강화해운용해야할것이다. 작성자 : Razor [ 그림 11] Shodan 을통해검색한한국서버 IoT 기기및웹서버를찾아내어출력해주는 Shodan도제작한크롤러와비슷한시스템이다. Shodan의경우전세계대역 IP를대상으로크롤링하여지역별, 포트별, ISP별필터링기능등추가기능을제공하는것이간단하게만든크롤러와의차이점이다. 그렇다면이러한크롤러나봇에의하여수집되는것을피하는방법은없을까? 애석하게도완벽한방법은없다. 하지만자주사용하는포트, 기본설 20

당신의윈도우는안전합니까? 지난 5월 12일, 전세계에서동시다발적으로랜섬웨어감염피해가발생했다. 그중에는은행, 공항, 학교, 심지어병원도있었다. WannaCry 랜섬웨어의공격자들은파일을모두암호화시킨뒤복호화비용으로 300달러를요구하였다. 보안컬럼 존재할경우, 공격자는취약점을이용하여대상시스템에악의적인명령을실행시킬수있게된다. 이토록심각한 SMB 취약점은어떻게세상에알려지게되었을까? 지난 4월, NSA를해킹했다고주장하는 TSB(The Shadow Brokers) 가 NSA가사용했던해킹도구를공개하는과정에서 SMB 취약점을이용한공격도구까지인터넷에공개해버렸다. 이로써 SMB 취약점의공격방식이세상에알려졌고, 결국랜섬웨어유포에이용되었다. [ 그림 1] 유포된 WannaCry 랜섬웨어전례없는대규모랜섬웨어감염사태에보안전문가들은원인을분석하기시작했다. 악성이메일을받거나악성웹사이트에접속하지도않았지만랜섬웨어에감염된사실이밝혀졌다. WannaCry 랜섬웨어는윈도우 SMB(Server Message Block) 취약점을악용한네트워크웜형태로되어있기때문에보안업데이트를수행하지않은사용자들은인터넷에연결만되어있어도모두잠재적인악성코드감염대상이되었다. 본컬럼에서는이번대규모랜섬웨어유포사태의개요를통해보안업데이트의중요성을설명하고자한다. 취약점의등장 WannaCry가전세계를대상으로대규모로유포할수있었던이유는공격자가악성코드유포에사용한 SMB 취약점 (MS17-010) 의역할이가장컸다. SMB는 Windows 운영체제에기본으로탑재되어있는파일공유프로토콜이다. SMB는 Windows 운영체제에기본으로탑재되어있는온라인파일공유프로토콜로, 인터넷을통해서원격접근이가능하다. 만약이러한 SMB 프로토콜에취약점이 [ 그림 2] 공개된 NSA의해킹도구특히 WannaCry는웜형태로만들어졌기때문에감염자가또다른감염자를만들어내는연쇄구조를가진다. 즉, 공격자가처음몇대의 PC만감염시켜도각각의감염 PC가수십대의감염 PC를만들게되면서매우빠르게퍼져나간다. 감염의확산인터넷에연결만되어도위험하다면 'SMB 취약점은무적인가?' 라는의문이들수도있다. 답은 'No' 이다. 사실 SMB 취약점은이미지난 3월 15일에패치가되었다. MicroSoft사는 Windows 사용자를대상으로취약점에대한업데이트를제공했으며 Windows 보안업데이트만했어도공개된 SMB 취약점으로부터는안전한상황이었다. 따라서, 이미보안업데이트가공개된지두달이나지난시점에서 SMB 취약점을이용한악성코드유포는영향력이크지않아야정상이다. 하지만결과는 " 대규모 " 감염사태였다. 하루가채지나기도전에전세계 70개국이상이감염되었으며, 국내유명포털사이트의실시간검색어가랜섬웨어관련키워드로도배되었다. Windows 업 21

데이트를하지않은사용자가생각보다너무많았기때문에악성코드가퍼져나가는것을속수무책으로볼수밖에없었다. 킬스위치 (Kill Switch) 의등장 5월 13일, 갑자기악성코드의유포속도가주춤하기시작했다. 영국의한보안전문가가킬스위치를작동시켜 WannaCry의유포를급감시켰다. WannaCry는특정도메인에접속을시도하고접속에실패할경우악성기능을수행하는구조이다. 이러한구조를파악하는과정에서영국의보안전문가가우연히해당도메인의주인이없는것을확인하였고, 자신을도메인에등록시키면서킬스위치를작동시켰다. 보안컬럼 지는아직모르며해당취약점을이용하는보안위협이어떻게다가올지또한아무도모른다. 공격자들은계속해서취약점을찾을것이고, 제조사들은그때마다보안업데이트를제공할것이다. 사용자가보안업데이트를수행하지않는것은본인의의지와는상관없이자신의 PC가공격자들의악성코드유포도구로전락하여다른사용자의 PC를공격할수도있는행동이다. 아파서병원에가도랜섬웨어때문에진료를못받거나급한은행업무로은행에가도돈을찾지못할수도있다. 또는몇년동안준비한연구자료나작업결과를한순간에잃어버릴수도있다. 실제로위의상황을겪은사람들이이미존재한다. 몇분의보안업데이트를수행하지않은대가로수십배이상의대가를치러야할상황이발생하는것이다. 제조사에서제공하는보안업데이트는선택이아닌필수이다. 한번쯤은사용하는 PC의보안수준에대해고민을해볼필요가있다. [ 그림 3] WannaCry 의킬스위치작동전후 " 당신의윈도우는안전합니까?" 킬스위치가작동하면서랜섬웨어의유포는대폭감소했지만많은변종이등장하면서여전히 SMB 취약점을통해악성코드의유포가이루어지고있다. 이번 WannaCry 사태는결과적으로전세계 150 여개이상의국가에 30만여대가넘는 PC가감염되었다. 만약공격자가킬스위치를만들지않았거나킬스위치도메인을하루만더늦게등록했었더라면유포범위가훨씬컸을것이다. 또한랜섬웨어기능대신파일을삭제하고 PC의부팅영역을파괴하는등의파괴형코드를넣었다면감염 PC를복구하는과정이더오래걸리고피해규모역시더컸을것이다. 물론이러한시나리오는 SMB 보안업데이트를하지않은사용자에게만해당되는내용이다. 하지만아직방심하기에는이르다. SMB 취약점을공개한 TSB는 6월부터새로운비즈니스모델을통해각종문서들과취약점등을유료로판매할것이라고밝혔다. 어떤취약점들이세상에공개될 작성자 : UH4CK3R 22

보안컬럼 04 월간악성코드상세분석 국내 ActiveX 취약점으로유포된백도어악성코드 전세계를뒤흔든워너크라이랜섬웨어 23 23

월간악성코드상세분석 국내 ActiveX 취약점으로유포된 백도어악성코드 최근국내소프트웨어의 ActiveX 취약점을이용한악성코드가유포된정황이포착되었다. ActiveX 취약점은예전부터공격자들이악성코드유포에사용하는매우훌륭한 (?) 도구이다. 공격자는 ActiveX 취약점을이용하여특정타깃이자주접속하는웹사이트에악성코드를유포하였다. 이를워터링홀 (Watering Hole) 공격이라부른다. 만약취약점패치가나오지않은제로데이 (Zero- Day) 일경우한번의웹사이트접속만으로악성코드에감염되기때문에매우위협적이다. 이번상세분석에서는국내 ActiveX 취약점으로유포된백도어악성코드를다뤄보고자한다. [ 그림 3] API 함수 (3) 감염 PC 의네트워크정보를수집한다. [ 그림 4] MAC, IP 정보수집 (4) C&C 서버에연결을시도한다. [ 그림 1] 악성코드도식도 Malware.exe (1) 특정뮤텍스명을이용하여악성코드의중복 실행을방지한다. [ 그림 2] 뮤텍스확인및생성 (2) 악성코드가사용할 API 함수주소를가져와 저장한다. [ 그림 5] C&C 서버연결 (5) 특정문자열과수집한네트워크정보를암호 화하여서버에전송한다. 24

월간악성코드상세분석 [ 그림 6] 암호화루틴 [ 그림 10] 복호화루틴 (7) 서버에서수신한명령에따라악성행위를수 행한다. [ 그림 7] 암호화전 ( 위 ), 후 ( 아래 ) 비교 [ 그림 11] 백도어루틴 [ 그림 8] 데이터전송루틴 (6) 서버에서데이터를수신하여복호화한다. 명령코드 0x08 0x0A 0x0B 0x0F 0x1C 0x1E 0x21 행위 CMD 명령실행후결과값전송특정파일전송파일생성생성할파일명저장특정시간만큼대기임시폴더에파일생성및데이터입력백도어종료 [ 표 1] C&C 명령코드 작성자 : JK [ 그림 9] 데이터수신루틴 25

월간악성코드상세분석 전세계를뒤흔든워너크라이랜섬 웨어 지난 5월워너크라이랜섬웨어로인해전세계가떠들썩했다. 해당랜섬웨어는윈도우 SMB의취약점을이용하여자신을확산시키는특징을가지고있다. 또한영화관, 학교등을비롯하여각종공공기관까지도피해를입힌치명적인랜섬웨어이다. MS17-010 윈도우보안패치가되어있지않은경우해당랜섬웨어에감염되어 PC 내파일들이암호화된다. [ 그림 3] 킬스위치접속확인 (2) 실행인자가없을경우리소스를로드하고해당리소스를이용하여파일생성및실행한다. - 생성경로 : C:\WINDOWS\tasksche.exe - 실행명령 : C:\WINDOWS\tasksche.exe /i [ 그림 1] 파일도식도 [ 그림 4] 리소스로드 (3) "-m security" 인자값을이용하여서비스로실 행된경우내부및외부네트워크로 SMB 패킷을 보낼각각의스레드를생성한다. [ 그림 2] 행위도식도 1. Malware.exe (1) 특정도메인 ( 킬스위치 ) 으로접속이가능한지확인하고접속될경우프로그램을종료한다. ( 킬스위치가빠진변종의경우이코드가존재하지않는다 ) http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwer gwea.com (144.217.254.3) http://www.ifferfsodp9ifjaposdfjhgosurijfaewrwerg wea.com (54.153.0.145) [ 그림 5] 스레드생성 (4) 내부및외부 IP 의 445 포트로접속하고 SMB 패킷을통해자신을전파한다. 26

월간악성코드상세분석 taskdl.exe 특정경로에.WNCRY 파일이존재하는지확인 taskse.exe 특정프로세스의핸들을복제하여파일실행 Msg ( 폴더 ) WanaDecryptor 에표시될언어파일들저장 [ 표 1] 압축해제파일 / 폴더정보 [ 그림 6] SMB 통신 (5) SMB 취약점이존재한다면악성코드전파를위해백도어인 DoublePulsar 동작을확인한뒤워너크라이자신을포함하고있는 launcher.dll 파일을원격지로전송한다. (2) t.wnry 파일을읽어와특정로직에따라복호 화한다. (PE 바이너리 ) [ 그림 7] 랜섬웨어전파흐름도 2. tasksche.exe (1) 리소스를로드한뒤메모리에로드된바이너리를현재경로에압축해제한다. - 리소스명 : XIA [ 그림 9] t.wnry 파일복호화 (3) t.wnry 파일을복호화한바이너리의 Export 함 수 TaskStart 의주소를얻어와실행한다. [ 그림 10] t.wnry 파일내부함수호출 [ 그림 8] 리소스로드 3. MemoryMalware.dll (1) c.wnry 파일을읽어와특정메모리에저장한다. 파일 / 폴더명 b.wnry c.wnry r.wnry s.wnry t.wnry u.wnry 27 내용바탕화면변경이미지 Tor 서버주소랜섬노트 (Q&A) Tor 관련실행모듈압축파일암호화된메인 DLL 파일 ( 암호화수행 ) @WanaDecryptor@.exe 파일 [ 그림 11] c.wnry 파일읽기

월간악성코드상세분석 (2) 폴더내에 Public Key가존재하는지확인하여존재할경우로드하고, 존재하지않는경우파일자체에저장되어있는해커의 Public Key를로드한다. [ 그림 12] Public Key 로드 (3) 생성된키중 Public Key 를가져와파일로저 장한다. 파일 : 00000000.pky [ 그림 16] 스레드생성 - 스레드 1 : CryptGenRandom 으로생성된값을 25 초간격으로 00000000.res 파일에저장한다. [ 그림 13] Public Key 저장 (4) 생성된비밀키를공격자의공개키로암호화를수행한다. [ 그림 14] 비밀키암호화 (5) 암호화된키를파일로저장한다. - 파일명 : 00000000.eky [ 그림 17] 랜덤값저장 - 스레드 2 : 00000000.dky 파일이존재할경우 TESTDATA 문자열을암 / 복호화테스트를수행한다. 정상적으로암 / 복호화가이루어지면플래그값을 1로변경한다. [ 그림 15] 파일에키저장 (6) 5 개의스레드를생성하여각각다른행위를수 행한다. [ 그림 18] 암 / 복호화테스트 - 스레드 3 : 감염 PC 의드라이브갯수를 3 초마다 확인하여추가된경우파일암호화를수행한다. 28

월간악성코드상세분석 [ 그림 19] 추가된파일암호화 - 스레드 4 : 암 / 복호화플래그값이 0 인경우 30 초마다 taskdl.exe 파일을실행한다. [ 표 2] 암호화대상파일확장자 [ 그림 20] taskdl.exe 실행 - 스레드 5 : taske.exe 파일을실행하여권한을상승시키고, @WanaDecryptor@.exe를실행한다. 이후레지스트리 Run에랜덤값을생성하여 tasksche.exe를등록한다. (8) 16바이트의 AES Key를생성한뒤선택된공개키로암호화를수행한다. 위에서선택된 10개의샘플들은공격자의공개키로암호화를수행하고그외파일들은악성코드에서새롭게생성한공개키로암호화한다. [ 그림 23] AES Key 암호화 (9) 암호화대상이되는파일을읽어온뒤 AES 암 호화를수행하고파일로저장한다. [ 그림 21] @WanaDecryptor@.exe 실행및 tasksche.exe 자동실행레지스트리등록 (7) 파일의확장자를암호화대상확장자와비교 한후암호화를수행한다. [ 그림 24] 파일암호화 (10) 암호화된헤더정보에는시그니처값, 암호화 된 AES Key 사이즈, 공개키로암호화된 AES Key, 플래그값, 원본파일크기등이포함된다. [ 그림 22] 파일확장자확인 29

월간악성코드상세분석 [ 그림 25] 헤더정보변경 [ 그림 26] 암호화된파일헤더 (11) 암호화한파일의확장자를 *.WNCRYT 에서 *.WNCRYT 로변경한다. [ 그림 27] 확장자변경 작성자 : JSY, JK, kino, Razor 30

05 모바일악성코드상세분석 모바일랜섬웨어예방! 31

모바일악성코드상세분석 모바일랜섬웨어예방! 2017년 5월 12일, 전세계는워너크라이랜섬웨어의등장으로시끄러웠다. 워너크라이랜섬웨어는전세계에막대한피해를입혔고이로인해많은보안업체들이긴장상태를유지했다. 모바일환경에서의피해는없었지만, 언젠간모바일에서도이번워너크라이와같은사태처럼대형랜섬웨어사고가생길수도있다. 대부분의모바일랜섬웨어는화면을잠금한뒤피해자를협박하여금전을갈취한다. 그러나화면잠금을해제하기위해금전을주더라도화면잠금해제를해주지않거나연락이안되는경우가많다. [ 그림 2] 난수로생성된복호화키생성이러한모바일랜섬웨어의감염은어떻게예방할수있을까? 서드파티나블랙마켓과같은출처가불분명한곳이아닌공식적인마켓에서앱을다운로드받아서사용하는것이중요하다. [ 그림 3] 서드파티에등록된앱 URL 이의심스러운 SMS 를받으면절대링크를 누르지않도록주의해야한다. 해당 URL 을통해 랜섬웨어에감염될수있다. [ 그림 4] 스미싱 1 [ 그림 1] 화면잠금난수를이용하여복호화키를생성하는랜섬웨어도존재한다. 이경우는앱을실행할때마다생성되는난수값이달라지므로랜섬웨어배포자도복호화키를알수없다. 때문에랜섬웨어배포자들도화면을풀지못해금전지불이무의미하다. [ 그림 5] 스미싱2 랜섬웨어의감염을피하기위해서는꾸준한백신업데이트및주기적인검사를해주는것이좋다. 자신이사용하고있는모바일백신의버전이최신이아니라면업데이트를반드시수행해야한다. 32

모바일악성코드상세분석 [ 그림 8] 은백신이최신버전으로업데이트된모 습이다. [ 그림 6] 업데이트가되지않은백신 [ 그림 7] 과같이업데이트버튼을눌러서최신 버전으로업데이트해준다. [ 그림 8] 최신버전의백신 [ 그림 9] 와같이검사하기버튼을눌러서설치된 앱또는저장된파일들을검사한다. [ 그림 7] 업데이트 [ 그림 9] 검사하기 1 33

모바일악성코드상세분석 만약랜섬웨어가진단되면삭제버튼을눌러단 말기내에서반드시삭제해준다. [ 그림 10] 검사하기 2 모바일랜섬웨어에감염되면단말기를사용할수없게되어연락을받을수없는등의불편함이발생한다. 해외의경우상대적으로모바일랜섬웨어이슈사례가많지만국내에서는아직큰이슈사례가없어당장예방의중요성이크게와닿지않을수있다. 하지만국내모바일환경에서워너크라이랜섬웨어과같은사례가발생하지않을거라고장담할수없다. 때문에윈도우뿐만아니라모바일또한렌섬웨어예방에꾸준한관심을가져야한다. 작성자 : TS 34

모바일악성코드상세분석 감사합니다. ( 주 ) 하우리 www.hauri.co.kr 서울시종로구율곡로 238( 예일빌딩 ) 7 층 TEL. 02-3676-1100 FAX. 02-3676-8011 35