01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENT 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 금성 121 그룹의최신 APT 캠페인 작전명로켓맨 게임

Similar documents
< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

Windows 8에서 BioStar 1 설치하기

#WI DNS DDoS 공격악성코드분석

SBR-100S User Manual

*2008년1월호진짜

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

System Recovery 사용자 매뉴얼

ActFax 4.31 Local Privilege Escalation Exploit

Microsoft Word - src.doc

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

NX1000_Ver1.1

untitled

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

Office 365 사용자 가이드

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

Android Master Key Vulnerability

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

목차 Part Ⅰ 3 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

08_spam.hwp

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

Windows Server 2012

1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나 데이터를암호화해사용할수없도록하고이를인질로금전


월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부


취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

Studuino소프트웨어 설치

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

View Licenses and Services (customer)

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

CODESYS 런타임 설치과정

목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENT 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 02 전문가보안기고 새로운 KONNI 캠페인등

Windows 10 General Announcement v1.0-KO

슬라이드 1

5th-KOR-SANGFOR NGAF(CC)

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

untitled

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

PowerPoint Presentation

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

Secure Programming Lecture1 : Introduction

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO

SIGIL 완벽입문

01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No Copyright 2018 ESTsecurity Corp. All rights reserved.

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서

07_alman.hwp

목차 Part Ⅰ 7 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

서현수

Cloud Friendly System Architecture

Microsoft PowerPoint - chap01-C언어개요.pptx

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

고객 카드

Install stm32cubemx and st-link utility

01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

게시판 스팸 실시간 차단 시스템

메뉴얼41페이지-2

BEA_WebLogic.hwp

ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

Windows Live Hotmail Custom Domains Korea

4S 1차년도 평가 발표자료

#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리

F120L(JB)_UG_V1.0_ indd

Security Trend ASEC REPORT VOL.68 August, 2015

슬라이드 1

ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성

ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

[Brochure] KOR_TunA

유포지탐지동향

목 차 1. 드라이버 설치 설치환경 드라이버 설치 시 주의사항 USB 드라이버 파일 Windows XP에서 설치 Windows Vista / Windows 7에서 설치 Windows

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

wtu05_ÃÖÁ¾

Spotlight on Oracle V10.x 트라이얼프로그램설치가이드 DELL SOFTWARE KOREA

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 년 2 분기, 알약랜섬웨어공격행위차단건수 :

PowerPoint 프레젠테이션

Office 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack

Transcription:

01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No.108 2018.09

01 이스트시큐리티통계및분석 No.108 2018.09 이스트시큐리티보안동향보고서 CONTENT 01 악성코드통계및분석 악성코드동향 01-06 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 07-44 금성 121 그룹의최신 APT 캠페인 작전명로켓맨 게임공략사이트로부터이어지는악성코드유포주의 03 악성코드분석보고 45-65 개요 악성코드상세분석 결론 04 해외보안동향 66-81 영미권 중국 일본

이스트시큐리티보안동향보고서 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 1

01 악성코드통계및분석 1. 악성코드동향 8 월에도여전히 GandCrab 이버전업데이트를계속이어가며유포되었습니다.. GandCrab 랜섬웨어의최신버전이 v4.0 으로 7월초에업데이트된이후 8월말까지 GandCrab 은버전을계속업데이트하면서여러가지공격을시도중입니다. 공격자는 7월에는입사지원서메일로위장하여 GandCrab 을유포했고, 8월에는공정거래위원회를사칭한메일로계속유포중입니다. 8월에발견된악성이메일에서는공정거래위원회가메일을보낸것처럼사칭하여 전자상거래에대한위반행위관련조사통지서 내용으로사용자를현혹시키고있습니다. 국내에서는 GandCrab 이가장위세를떨치고있지만해외에서는 GandCrab 외에도다양한랜섬웨어들이활발하게활동중입니다. SamSam 랜섬웨어를비롯하여, 8월한달동안여러건의랜섬웨어공격이확인되었습니다. 대만의반도체업체인 TSMC 가 WannaCry 랜섬웨어의변종에게공격을당해공장가동이일시중단되었으며, 미국남자프로골프협회 PGA 오피스가 Bitpaymer 랜섬웨어공격에당했습니다. 또한서비스형랜섬웨어인 Princess Locker 랜섬웨어의변종 Princess Evolution 이새롭게언더그라운드마켓에서홍보를진행하고있으며, 현재도활동중인 Hermes 랜섬웨어와연관성이높아보이는신종랜섬웨어 Ryuk 가 8월중순등장하여약 15 일동안무려 $640,000 상당의비트코인을벌어들인것으로확인되고있는상황입니다. 랜섬웨어는타깃팅공격을통해유포되기도하고 RIG Exploit Kit 과같은도구를활용하여취약점을악용해유포되기도하지만, 국내에서는한글로작성된이메일과함께첨부된파일로가장유포가많이이뤄지고있습니다. 사용중인 OS 와 SW 에대한보안패치는물론지인이보낸것이라판단되는이메일조차도첨부파일이나이메일내 URL 을클릭할때는매우주의를기울여야합니다. 2

01 악성코드통계및분석 2. 알약악성코드탐지통계 감염악성코드 TOP15 2018 년 8월의감염악성코드 Top 15 리스트에서는지난 2018 년 7월에도 1위를차지했던 Trojan.Agent.gen 이이번달 Top 15 리스트에서도 1위를차지했다. 지난 7월에 2위였던 Misc.HackTool.AutoKMSdms 한단계내려간 3위를차지했으며, 지난달 8위였던 Misc.Riskware.BitCoinMiner 가 6단계상승하여이번달 2위를차지하였다. 전반적으로타악성코드의경우는지난달과대비하여조금씩증가하는추세를보였으나, 1위를차지한 Trojan.Agent.gen 의경우는지난달에중복탐지건이발생해서수치가급등한바있었는데, 이번달역시관련중복탐지건에영향을받아 7월보다는그수치가 1/2 넘게감소했으나여전히평상시대비높은탐지건수를보이고있는상황이다. 순위 등락 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Trojan.Agent.gen Trojan 2,482,484 2 6 Misc.Riskware.BitCoinMiner Trojan 684,769 3 1 Misc.HackTool.AutoKMS Trojan 619,158 4 1 Trojan.HTML.Ramnit.A Trojan 490,082 5 New Misc.HackTool.KMSActivator Trojan 464,804 6 1 Adware.SearchSuite Adware 365,546 7 1 Win32.Neshta.A Virus 342,959 8 1 Misc.Keygen Trojan 299,453 9 New Gen:Variant.Razy.107843 Trojan 258,025 10 6 Trojan.LNK.Gen Trojan 203,897 11 1 Worm.ACAD.Bursted.doc.B Worm 187,687 12 2 Win32.Ramnit Worm 186,297 13 - Worm.Brontok-F Worm 179,412 14 4 Trojan.ShadowBrokers.A Trojan 164,322 15 - Exploit.CVE-2010-2568.Gen Exploit 130,485 * 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 2018 년 8 월 01 일 ~ 2018 년 8 월 31 일 3

01 악성코드통계및분석 악성코드유형별비율 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 80% 를차지했으며웜 (Worm) 유형이 8% 로그뒤를 이었다. 애드웨어취약점 5% 2% 웜 8% 바이러스 5% 트로이목마 80% 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 취약점 (Exploit) 웜 (Worm) 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 카테고리별악성코드비율전월비교 8월에는 7월과비교하여트로이목마 (Trojan) 악성코드감염카테고리비율이 84% 에서 80% 로소폭감소하였다. 알약이유포된악성코드포함영화파일을중복으로탐지하면서수치상으로크게증가한것처럼보이나, 배포건수나등록된악성코드건수로보아 7월에는이전달에비해조금상승한수준, 8월에는 7월보다많이하강한수준이다. 100% 100% 트로이목마 (Trojan) 스파이웨어 (Spyware) 0% 0% 80% 84% 애드웨어 (Adware) 5% 3% 하이재커 (Hijacker) 0% 0% 웜 (Worm) 8% 8% 8 월 취약점 (Exploit) 2% 1% 7 월 바이러스 (Virus) 5% 4% 백도어 (Backdoor) 0% 0% 호스트파일 (Host) 0% 0% 기타 (Etc) 0% 0% 0% 20% 40% 60% 80% 100% 4

01 악성코드통계및분석 3. 허니팟 / 트래픽분석 8 월의상위 Top 10 포트 허니팟 / 정보수집용메일서버를통해유입된악성코드가사용하는포트정보및악성트래픽을집계한수치 81 5% 5900 3% 3306 5% 3389 8% 23 11% 80 2% 1433 1% 22 23% 8080 1% 25 41% 25 22 23 3389 81 3306 5900 80 1433 8080 최근 3 개월간상위 Top 5 포트월별추이 2018 년 6 월 2018 년 7 월 2018 년 8 월 25 23 3306 5900 22 5

01 악성코드통계및분석 악성트래픽유입추이 외부로부터유입되는악의적으로보이는트래픽의접속시도가감지된수치 25,184,718 17,636,329 20,556,512 18,796,029 16,467,450 13,808,383 2018 년 3 월 2018 년 4 월 2018 년 5 월 2018 년 6 월 2018 년 7 월 2018 년 8 월 단위 : 악의적트래픽접속시도감지건수 2018 년 3 월 ~ 2018 년 8 월 6

이스트시큐리티보안동향보고서 02 전문가보안기고 1. 금성 121 그룹의최신 APT 캠페인 - ' 작전명로켓맨 (Operation Rocket Man)' 2. 게임공략사이트로부터이어지는악성코드유포주의 7

02 전문가보안기고 1. 금성 121 그룹의최신 APT 캠페인 - ' 작전명로켓맨 (Operation Rocket Man)' 1. 금성 121, 최신 APT 캠페인 ' 작전명로켓맨 (Operation Rocket Man)' ESRC 에서는지난 03 월 20 일미디어를통해대북단체및국방분야를주요공격대상으로사이버침투활동을전개해 온정부지원 APT 위협그룹금성 121(Geumseong121) 조직이안드로이드기반모바일스피어피싱 (Spear Phishing) 공격까지수행함을공개한바있습니다. 그리고 07 월 04 일에는남북이산가족찾기전수조사내용으로사칭한스피어피싱이메일주의를안내해드린바도 있습니다. [ 그림 1] 금성 121 그룹의공격벡터사례 베일에쌓여있는공격자들은 CVE-2018-4878 0-Day 취약점을카카오톡메신저로유포한바있고, 악성 HWP 문서를 활용해은밀한표적공격도수차례시도했습니다. 지난 03 월에발견된모바일스피어피싱 (APK) 의경우에는 ' 불법 ' 대신 ' 비법 ' 이라는표현이포함된상태로악성 APK 악성앱이유포되었습니다. 8

02 전문가보안기고 금성 121 그룹은특정정부가배후에서지원할것으로믿고있는국가기반사이버군대조직으로한국의대표 포털사에서개발한모바일백신앱으로위장한공격을수행했었고, 이와관련된악성앱 (Trojan.Android.Fakeav) 에 대한상세한분석정보를포스팅하기도했었습니다. [ 그림 2] 모바일보안앱설치로위장한악성앱 (APK) 설치유도화면 추후이내용은 Cisco Talos, Paloalto Unit 42 보안블로그의포스팅을통해추가위협사례들이자세히공개된바 있었습니다. ESRC 에서다년간조사한결과이공격그룹은 2013 년전후부터한국등을상대로수년간지속적으로사이버 캠페인을수행해왔으며, 주요위협벡터로는워터링홀 (Watering Hole), 스피어피싱 (Spear Phishing), 소셜네트워크 피싱 (Social Network Phishing), 토렌트피싱 (Torrent Phishing) 공격등을사용하고있습니다. 9

02 전문가보안기고 이런가운데 2018 년 08 월한국의특정대상을겨냥한최신스피어피싱이추가로발견되었는데, 이공격을분석하던 중몇가지흥미로운사실을발견하기도했습니다. 또한, 공격자는한국의기업인사담당자로위장해공격을 수행했습니다. 아래는실제공격에사용된침해지표 (IoC) 자료들로 ESRC 에서는한국인터넷진흥원 (KISA) 에해당내용을신속히 공유해유포를조기에차단시킨상태입니다. - http://m.ssbw.co.kr/admin/form_doc/image/down/down[.]php (MD5 : af6721145079a05da53c8d0f3656c65c) - http://m.ssbw.co.kr/admin/form_doc/image/down/worldnews[.]doc (MD5 :1213e5a0be1fbd9a7103ab08fe8ea5cb) - http://m.ssbw.co.kr/admin/form_doc/image/img/111[.]hwp (MD5 : edc1bdb2d70e36891826fdd58682b6c4) - http://m.ssbw.co.kr/admin/form_doc/image/img/ant_3.5[.]exe (MD5 : b710e5a4ca00a52f6297a3cc7190393a) - http://m.ssbw.co.kr/admin/form_doc/image/img/desktops[.]ini (MD5 : 05eef00de73498167b2d7ebdc492c429) 금성 121 위협그룹이사용하는스피어피싱전략에는나름의고유한특징이존재하는데, 직접적인감염유도 (Lure, Decoy) 파일을첨부하는대신에해킹한한국의웹사이트주소를추가하고, 마치첨부된파일처럼이미지로교묘히 위장하는수법입니다. 이들도정교한한글을사용하지만, 간혹지리적언어표현에미묘한차이가존재하는경우가목격됩니다. 이러한 접근방법론은공격자의언어구사력을기반해지역적특색을분석하는데활용되며, 해당언어를제대로이해할수 있는분석가를통해보다심층적데이터로접근하게됩니다. 더불어공격에이용된다양한메타데이터는과거에수행된흔적들과침해사고연관성지표에핵심단서로활용이되고 있습니다. 이번 8 월에새롭게발견된공격은지난 3 월공격과마찬가지로한국의보안프로그램처럼아이콘을 위장하였는데, 이번에는모바일보안이아닌 PC 용보안프로그램으로위장한것이특징입니다. 10

02 전문가보안기고 [ 그림 3] 보안프로그램으로위장한공격흐름도 공격벡터에따라보안프로그램으로위장한악성코드는여러단계를거쳐추가파일을설치하게되는데, 닷넷 버전별로선택적인명령을수행하게됩니다. 닷넷기반으로유포된악성파일에는 'Ant.pdb' 라는빌드데이터를볼수있습니다. 특히, 공격자는 ' 로켓 (Rocket)' 이라는프로젝트폴더에서악성파일변종시리즈를지속적으로제작하고있는것을알수있습니다. - E:\project\windows\Rocket\Ant\Api\PubnubApi\obj\Debug\net35\Pubnub.pdb - E:\project\windows\Rocket\Ant_3.5\Ant\obj\Release\Ant.pdb [ 그림 3-1] Rocket 경로에서제작된 PDB 경로화면 11

02 전문가보안기고 저희는주요키워드를활용해사이버캠페인 (Campaign) 을분류했으며, ' 작전명로켓맨 (Operation Rocket Man)' 으로 명명하였습니다. 또한, 이후이들조직에대한상세한추가분석자료및침해지표 (IoC) 자료는기업용 Threat Inside 서비스를통해 지속적으로제공할예정입니다. [ 그림 3-2] Threat Inside 인텔리전스리포트표지 ESRC 는공격에활용된코드를분석하던중위협인텔리전스 (TI) 혼선기법의거짓플래그 (False Flag) 를다수 발견했습니다. 제작자는중국어영문식표기로어린아이를의미하는 'Haizi' 영어표현을사용했습니다. 12

02 전문가보안기고 이표현은추후설치되는닷넷기반의프로그램에서도동일하게사용되는것이확인되는데, 닷넷기반악성코드에서는 'PAPA' 라는문자가존재합니다. 그러나아버지를의미하는중국어의영문표기는 'BABA' 가사용되고있습니다. 단순히이를기반으로추론했을때공격자는중국어역시모국어가아닐가능성도존재하는중요한단서가될수 있습니다. [ 그림 4] 중국어영문표기표현이담긴악성코드내부화면 이렇게설치된악성코드는암호화된 ini 설정파일을다운로드해복호화과정을거치게됩니다. 이설정파일은 'desktops.ini' 파일명을가지고있으며, 취약점공격을사용하던명령제어 (C2) 서버와동일한곳에서수신하게됩니다. public void SetPubnub(string[] strarr) { if (strarr.length!= 7) { return; } 13

02 전문가보안기고 for (int i = 0; i < strarr.length; i++) { strarr[i] = this.calcxor(strarr[i], 23); } this.m_strchannelnametmp = strarr[1]; 명령어를통해암호화되어있는설정파일은 XOR 0x17 키값으로복호화가진행되고, 복호화가완료되면서비스로서의 인프라스트럭처 (Infrastructure as a Service) 의하나인퍼브너브 (PubNub) 채널로명령제어 (C2) 통신을시도하게됩니다. 공격자는여기서도 'LiuJin' 계정을사용하는데, 이부분역시중국근거요소로사용할수있도록유도하는부분중에 하나입니다. 'LiuJin' 영문표기는다양한표현이존재하는데, 중국어로표현하면 ' 刘劲 '( 리우진 ) 으로사용할수있고, 중국의 배우이름이나온라인게임에서도사용됩니다. 코드안에는중국과연관되는다양한기록들이의도적으로남겨져있는데, ESRC 에서는언어적, 지리적코드를고의로 노출해위협인텔리전스 (TI) 에혼선을유발하기위한교란전술가능성이높다고판단하고있습니다. 14

02 전문가보안기고 [ 그림 5] IaaS 기반 PubNub 명령제어 (C2) 사용화면 15

02 전문가보안기고 이처럼공격자는정상적인 IaaS 서비스를이용해은밀하고교묘하게통신을수행하고있어, 유해트래픽식별하는데 많은어려움이존재하게됩니다. 2. 유사위협사례및연관성심층분석 2017 년 09 월에는동일한기법의스피어피싱사례가발견된바있습니다. 이공격에도 HWP 취약점이사용되었는데, 메타데이터가 2018 년 8 월침해사고지표와동일하게존재합니다. 공격자에대한계정명과 OLE 코드도동일하게사용이되며, 참고자료처럼위장하고, 원본메일에회신하는형태로 구성되어있는특징이있습니다. [ 그림 6] 공격에사용된이메일화면중일부 공격에사용된악성프로그램은 'icloud.exe' 파일명도사용하고, 내부에는다음과같은 PDB(Program Data Base) 코드가존재합니다. - E:\))PROG\doc_exe\Release\down_doc.pdb 해당 PDB 시리즈는변종악성파일에따라매우다양하게존재하며, 동일시리즈중에 AOL 메신저 (AIM) 를이용하는 2013 년초기버전과도연결됩니다. 16

02 전문가보안기고 AOL 메신저로통신하던초기모델이후한국의웹사이트를해킹해통신하는형태로진화하고, 이후에는 스트림네이션 (Streamnation.com) 을통한명령제어방식을사용합니다. 명령제어통신용계정가입에는주로한국, 미국, 중국, 인도, 러시아등의이메일정보를사용합니다. 그다음에는피클라우드 (pcloud.com) 나얀덱스 (yandex.com), 드롭박스 (Dropbox) 등의클라우드서비스를지속적으로 활용했으며, 최근에는 IaaS 방식이며, 사물인터넷 (IoT) 클라우드디바이스를하나의시스템으로상호연결할때사용할 수있는실시간네트워크플랫폼인퍼브너브 (PubNub) 서비스를통신제어방식으로사용하고있습니다. - K:\))pick\ie\test.pdb - D:\))pick\doc_exe\Release\down_doc.pdb - E:\))PROG\doc_exe\Release\down_doc.pdb - E:\))PROG\doc_exe\Release\drun.pdb - E:\))PROG\ie\Release\drun.pdb - E:\))PROG\Upload\Upload\thunder - E:\))PROG\waoki\Release\runner.pdb - E:\))PROG\waoki\Release\kltest.pdb [ 그림 7] 악성프로그램내부에존재하는 PDB 코드분석화면 이공격에사용된명령제어 (C2) 서버는 'endlesspaws.com' 도메인으로이호스트는수차례유사공격에이용된바 있습니다. 위협인텔리전스 (TI) 측면에서이공격에사용된서버를통해공격자의유사위협사례를조사하는데유용하게활용할 수있습니다. 17

02 전문가보안기고 ESRC 는이도메인이 2015 년대북관련한국의워터링홀공격과연관된것도확인하였으며, 2017 년실행파일을 첨부한스피어피싱공격에도사용된증거를확보했습니다. 더불어 CVE-2017-8759 취약점을통한공격도존재합니다. 그중일부를중국의보안업체인 텐센트 (Tencent) 에서블로그를통해공개한바있습니다. 2017 년 2 월에도다수의유사위협사례들이포착되었는데, 당시다음과같이탈북인사보호강화를위한 안전수칙이라는내용으로현혹해악성코드를유포하는데 'endlesspaws.com' 도메인이이용되기도했습니다. [ 그림 8] 탈북인사보호강화안전수칙위장악성파일유포화면 마치 ' 안전수칙.zip' 파일을이메일에첨부한것처럼보이지만, 실제로는 'endlesspaws.com' 도메인에서압축파일을 설치하도록연결해두고있으며, HWP 문서처럼위장한이중확장자의 EXE 실행타입의악성파일이포함되어있습니다. 18

02 전문가보안기고 공격자는이중확장자로위장하면서, 아이콘도문서파일리소스를활용해얼핏보기에정상적인 HWP 파일로보이도록 조작해두었습니다. 악성파일은내부에암호화함수루틴으로구성된코드를로드하고, 특정 16 진수코드들을로직 XOR 0x55 키값으로 디코딩하게됩니다. ZIP 압축파일을유포하는데사용된 C2 도메인과마찬가지로 EXE 실행형악성파일은다음과같은주소로접속을 시도하게됩니다. - http://endlesspaws.com/vog/tan[.]php?fuck=x - http://endlesspaws.com/vog/denk[.]zip [ 그림 9] 암호화된 C2 데이터를변환하는코드화면 19

02 전문가보안기고 추가로다운로드되는 'denk.zip' 파일은겉으로보기에 ZIP 형식의압축파일로보이지만, 실제로는 HWP 형식의 문서파일입니다. 보통 EXE 형식으로유포되는악성코드는내부에정상적인 HWP 문서를포함한후감염될때보여주거나, 명령제어 서버에서정상적인 HWP 문서를다운로드해보여줍니다. 하지만, 이번사례는추가로악성 HWP 문서를다운로드해 설치하는독특한절차를수행하게됩니다. 이미감염된시스템에문서기반악성파일을추가로설치하는특이한경우라볼수있습니다. 해당문서파일에는 공격에사용된이메일내용과일치하는내용이포함되어있어, 다른사이버작전과혼동하여잘못된파일이링크된 것은아닌것으로보입니다. 'denk.zip' 파일에는 DefaultJScript 영역에악성스크립트코드를삽입하였고, BASE64 코드로인코딩된악성 DLL 파일을임베디드형식으로포함하고있다가스크립트작동시디코딩하여로딩하게됩니다. [ 그림 10] 문서파일내부에포함되어있는악성스크립트코드화면 BASE64 코드가디코딩되어작동하는악성 DLL 파일에는다음과같은 PDB 경로가포함되어있으며, 총 6 개의한국 명령제어 (C2) 서버와통신을시도하게됩니다. 통신시에는 'srvrlyscss' 코드를사용하는데, 이코드는한국내다수의침해사고지표에서포착된바있습니다. 20

02 전문가보안기고 [ 그림 11] 통신에사용하는 'srvrlyscss' 스트링을가진코드화면 - seline.co.kr/datafiles/cnooc[.]php - www.causwc.or.kr/board_community01/board_community01/index2[.]php - www.kumdo.org/admin/noti/files/iindex[.]php - www.icare.or.kr/upload/board/index1[.]php - cnjob.co.kr/data/blog/iindex[.]php - notac.co.kr/admin/case/iindex[.]php 그리고중복실행방지를위해사용한뮤텍스 (Mutex) 코드로 'taihaole9366' 이라는스트링이 사용되었는데, 'taihaole' 는중국어 ( 太好了 ) 영문표기와일치하며의미는 ' 매우좋다 ' 입니다. 공격자는과거부터중국어영문표기방식을매우자주사용하였으며, 이외에도다양한표현이존재합니다. 21

02 전문가보안기고 [ 그림 12] 인코딩되어있는 C2 와중국식영문표기뮤텍스화면 2018 년 01 월에는기존한국보안프로그램으로위장한사례와다르게, 중국의유명보안프로그램으로위장해 유포되는경우가확인됩니다. 공격자는한국의웹사이트 'ebsmpi.com' 사이트에마치중국의 360 TOTAL SECURITY 보안프로그램웹페이지처럼 위장한가짜화면을추가하였습니다. 당시실제중국에서운영되고있던웹사이트의소스코드를복사해사용하였으며, 다운로드되는파일만악성으로 변경해사용하였습니다. 다운로드로연결된주소는다음과같고, 'Free Download' 링크를클릭할경우 '360TS_Setup_Mini.exe' 파일이다운로드 됩니다. - http://ebsmpi.com/ipin/360/down[.]php 22

02 전문가보안기고 [ 그림 13] 한국의 'ebsmpi.com' 웹사이트를해킹해화면을추가한모습 중국의보안프로그램처럼파일명 (360TS_Setup_Mini.exe) 을위장하고있으며, 아이콘리소스역시실제정상 프로그램것을그대로도용해사용하였습니다. 그리고추가적인닷넷기반악성파일이환경조건에따라설치시도 됩니다. 또한, 2018 년 8 월한국의포털사보안프로그램위장공격벡터기법과 100% 일치하고, 암호화알고리즘도 동일한것을확인했습니다. 23

02 전문가보안기고 [ 그림 14] 중국보안프로그램으로위장한악성파일과정상파일비교 - http://ebsmpi.com/ipin/360/ant_3.5[.]exe (MD5 : ff32383f207b6cdd8ab6cbcba26b1430) - http://ebsmpi.com/ipin/360/ant_4.5[.]exe (MD5 : 84cbbb8cdad90fba8b964297dd5c648a) - http://ebsmpi.com/ipin/360/desktops[.]ini (MD5 : ab2a4537c9d6761b36ae8935d1e5ed8a) - http://cgalim.com/admin/hr/temp[.]set (MD5 : fa39b3b422dc4232ef24e3f27fa8d69e) 정상적인 '360TS_Setup_Mini.exe' 파일은 'cgalim.com' 도메인에서 'temp.set' 파일명으로설치하게되는데, 이경로는 하기유사한침해사고에도동일하게사용됩니다. [ 그림 14-1] '360TS_Setup_Mini.exe' 정상파일설치시도화면 닷넷기반의초기악성파일에는다음과같은 PDB 경로들이포함되어있고, 최신변종들에서는일부생략되어 있습니다. 24

02 전문가보안기고 - E:\project\windows\Rocket\Ant\Api\PubnubApi\obj\Debug\net35\Pubnub.pdb - E:\project\windows\Rocket\Sys-Guard\Servlet-standalone_Guard\Release\Servlet.pdb - E:\project\windows\Rocket\Sys-Guard\Chutty_Guard\Release\Chutty.pdb - E:\project\windows\Rocket\Servlet\Release\Servlet.pdb - E:\project\windows\Rocket\Ant_4.5\Ant\obj\Release\Ant.pdb ESRC 는분석을통해악성파일실행시정상프로그램을또다른해킹서버에서다운로드해이용자로하여금정상적인 프로그램처럼인식하도록만들고있다는것을검증했습니다. 이때사용하는 C2 서버가기존안드로이드악성앱 (1.apk) 유포와비트코인관련 'bitcoin-trans.doc' (MD5 : 8ab2819e42a1556ba81be914d6c3021f) 악성파일에서확인된호스트와오버랩됩니다. - http://cgalim.com/admin/hr/hr[.]doc (MD5 : 24fe3fb56a61aad6d28ccc58f283017c) - http://cgalim.com/admin/hr/1[.]apk (MD5 : 9525c314ecbee7818ba9a819edb4a885) - http://cgalim.com/admin/hr/temp[.]set (MD5 : fa39b3b422dc4232ef24e3f27fa8d69e) 'cgalim.com' 도메인의경우는하위주소 /hr/ 경로외에도 /1211me/ 주소에서도변종파일이유포된이력이 존재합니다. 동일조직은 2015 년과 2016 년에는대북유관단체등을상대로한워터링홀공격이수행되었습니다. 당시에 공격자들은플래시플레이어취약점을적극적으로활용했습니다. 북한관련뉴스사이트나대북관련웹사이트들이집중적으로해킹되었으며, 이공격은수개월간지속됩니다. 다음화면은실제해킹된웹사이트에추가된악성오브젝트입니다. 25

02 전문가보안기고 [ 그림 15] 워터링홀공격에사용된플래시플레이어취약점코드화면 공격조직은 2015 년당시 CVE-2015-5119, CVE-2015-0313 최신플래시플레이어취약점뿐만아니라, 이탈리아 Hacking Team 서버해킹으로유출된플래시플레이어취약점인 CVE-2015-5119 취약점등을사용한바있습니다. 그리고이들은 2017 년하반기부터카카오톡메신저등을활용해공격대상자를선별하고 CVE-2018-4878 플래시플레이어 Zero-day 취약점공격을수행하기도하였습니다. - G:\FlashDeveloping\mstest\src (CVE-2014-8439) - G:\FlashDeveloping\20148439\src (CVE-2014-8439) - G:\FlashDeveloping\Main\src\ (CVE-2015-0313) - G:\FlashDeveloping\2015-3090\src (CVE-2015-3090) - G:\FlashDeveloping\20153105\src (CVE-2015-3105) - G:\FlashDeveloping\20155119\src (CVE-2015-5119) - G:\FlashDeveloping\chrome_ie\src (CVE-2015-5119) 공격자는여러워터링홀공격중에플래시플레이어취약점 (SWF) 에의해다운로드된추가악성코드가사용자계정 컨트롤 (User Account Control) 을통한관리자권한실행에실패할경우약 5 분후가짜하드디스크문제오류창을 출력합니다. 그리고마치백업프로세스로조작해관리자권한 CMD 명령으로악성코드를재실행하도록유도하는데이때사용한 한글표기중일부가북한에서사용하는영문식컴퓨터용어표현 ( 프로쎄스, 프로그람 ) 과동일한것을알수있습니다. 26

02 전문가보안기고 [ 그림 16] 북한식컴퓨터용어표현이포함된가짜메시지창화면 명령제어 (C2) 통신방식에도나날이진화를거듭하고있습니다. 가장초기에는 AOL(America Online) 메신저인 AIM(America Online Instant Messenger) Oscar 프로토콜을이용해명령제어를수행했습니다. AIM 메신저의계정과암호를통해암호화된명령을주고받는데, 로그인암호가한글식영문타이핑이라는것을알수 있습니다. 또한, 초기에사용한 PDB 경로에는 AOL 폴더에서개발된것을알수있습니다. - fastcameron13 / powercooper00 / dpfwls&rkapfns19 ( 옐찐 & 까메룬 19) - F:\Program\svr_install\Release\svr_install.pdb - F:\Program\Aol\Release\ServiceDll1.pdb 27

02 전문가보안기고 [ 그림 17] AIM 메신저를 C2 로사용하고있는화면 AIM 메신저로통신을시도할때공격자는로그인계정과암호를통해접속한후암호화된메시지를또다른계정 사용자에게발송하게됩니다. 실제감염된경우컴퓨터정보, 추가명령등암호화된메시지가전송되게되며, 다양한계정들을사용한바있습니다. 공격자들은대표적으로다음과같은 aol.com, hotmail.com, yahoo.com, India.com, inbox.com, gmail.com, zmail.ru 계정들이존재하며, 이외에도다양한변종들을제작해사용하였습니다. - allmothersorg11@hotmail.com - allmothersorg@hotmail.com - bluelove@india.com - cmostenda01@yahoo.com 28

02 전문가보안기고 - cmostenda102@yahoo.com - cmostenda103@yahoo.com - daum14401@zmail.ru - dapplecom2013@yahoo.com - eatleopard00@inbox.com - fastcameron00 - fastcameron11 - fastcameron13 - fatpigfarms@hotmail.com - fatpigs9009@hotmail.com - friendleopard00@aol.com - ganxiangu04@hotmail.com - ganxiangu07@hotmail.com - greatvictoria84 - greatvictoria85 - greatvictoria86 - greatvictoria87 - hatmainman@hotmail.com - hatwoman40@hotmail.com - jinmeng288@gmail.com - minliu231@gmail.com - Okokei@india.com - pghlsn333@gmail.com - prettysophia00 - prettysophia47 - prettysophia48 - prettysophia49 - prettysophia50 - prettysophia51 - prettysophia52 - prettysophia53 - prettysophia54 - prettysophia55 - prettysophia56 29

02 전문가보안기고 - prettysophia57 - tosarang87@gmail.com - winpos1000@zmail.ru - winpos1001@zmail.ru - winpos1002@zmail.ru - winpos1003@zmail.ru - winpos1004@zmail.ru - xiangangxu88@hotmail.com - zum36084@gmail.com - zum36084@zmail.ru - zum36085@zmail.ru 2016 년초공격자는 'zum36084@gmail.com', 'zum36084@zmail.ru', 'daum14401@zmail.ru' 등의이메일을생성한 후테스트용이메일을발송하는것이확인됩니다. IoA(Indicators of Attack) 기반으로조사를하면공격자는마치 'Google 계정팀 ' 처럼 'zum36084@gmail.com' 이메일을 설정한것을알수있으며, 처음부터한글을사용하고있다는것도확인할수있습니다. 30

02 전문가보안기고 [ 그림 18] 공격용이메일을생성후테스트한화면 2016 년 03 월 03 일테스트한이메일에서는 '0303_zmail.gif' 파일을첨부해발송하는데, XOR 0x69 키등으로 2 단계 암호화된 EXE 형식의악성파일입니다. 복호화된악성파일은특정컴퓨터이름만감염되도록설정한특징이존재하는데, 이곳에는한글이름과특정언론사의 기자도포함되어있습니다. - 하지나 - WOOSEONG-PC - T-PC 변종중에는다음과같은계정을체크하는종류도존재하는데, 'SEIKO' 컴퓨터명의경우에는다양한침해지표에서 발견이되고있습니다. 특히, HWP 문서파일취약점을사용할때마지막작성자의계정과일치하며, '175.45.178.133' 아이피의감염로그에서도확인된바있습니다. 31

02 전문가보안기고 - 홍채연 [ 하율 ] - KIM[Administrator] - JAMIE[Jamie Kim] - DONGMIN[MinSk] - T-PC[T] - YONGJA-PC - USER - sec - CRACKER-PC - SEIKO 'SEIKO' 계정으로감염된로그기록에는다음과같이해당사용자가다음과같은사이트를즐겨찾기해둔것을확인할 수있습니다. Windows IP Configuration Host Name...: SEIKO-PC Primary Dns Suffix...: Node Type...: Hybrid IP Routing Enabled....: No WINS Proxy Enabled....: No Ethernet adapter Ethernet: Connection-specific DNS Suffix.: Description...: Realtek PCIe FE Family Controller DHCP Enabled....: No Autoconfiguration Enabled...: Yes IPv4 Address....: 175.45.178.133(Preferred) Subnet Mask...: 255.255.255.240 Directory of c:\users\seiko\favorites\links\mail 32

02 전문가보안기고 150 126? 易.url 213 163? 易.url 808 AOL Mail.url 265 Gmail.url 837 Hotmail.url 152 Inbox.url 183 India.url 466 Yahoo mail.url 218 zmail.url Directory of c:\users\seiko\favorites\links\ 뉴스 112 FN 지니아이.URL 115 Sputnik.URL 110 네이트.URL 109 다음사전.URL 114 러.URL 113 로동신문.URL 151 한경.URL Directory of f:\2_program\orbis_zmail\debug 아울러조건이맞는컴퓨터의경우에는내부에암호화된코드를 XOR 0x55 키로복호화한후 'conhost.exe' 파일명으로 생성해실행하게됩니다. 'conhost.exe' 파일의경우가바로 AOL 메신저로통신을하는기능을수행하게됩니다. 33

02 전문가보안기고 [ 그림 19] AOL 메신저로통신을시도하는코드화면 특히주목해야할점은 AOL 메신저로로그인하기위해사용된암호코드 (dpqms&thvldk1987) 알파벳을한글 키보드에서변환하게되면한국어로 ' 예쁜 & 쏘피아 1987' 표현으로완벽히변환이된다는것입니다. 공격자는 AOL 메신저통신기법에서도다수의중국식표현을복합적으로사용하기도합니다. 또다른변종에서는 'Dajiahao' 코드를 Mutex 키로사용하는데, 중국어로 ' 여러분안녕하세요.' 라는의미를가지고있으며, AOL 로그인계정암호로는 (dpfwls&rkapfns19) 알파벳을쓰는데, 이것도한글키보드상태에서입력하면, 한국어로 ' 옐찐 & 까메룬 19' 표현으로변경되는것을알수있습니다. 34

02 전문가보안기고 [ 그림 20] 중국식인사말과한글변환가능암호가사용된화면 이러한종류의변종은매우다양한형태가발견되었는데, 'SEIKO' 컴퓨터명을감염대상으로하고있는경우에는내부에 다음과같은 PDB 경로가존재합니다. 공격자는 'zum36085@zmail.ru', 'pghlsn333@gmail.com' 이메일을사용합니다. - F:\2_Program\Orbis_zmail\Release\RecvTest_zmail.pdb 유사한시리즈로는다음과같은 PDB 자료를포함하고있습니다. - F:\2_Program\Orbis_academia\Release\RecvTest_zmail.pdb - F:\2_Program\Orbis_academia\Release\Recv_Pwd_2_India.pdb 35

02 전문가보안기고 [ 그림 21] Zmail 테스트정보가포함되어있는 PDB 코드화면 ESRC 는이들이 APT 표적공격외에도불특정다수를겨냥한다양한공격기법을활용하는정황도포착한바있는데, 바로한국의토렌트웹사이트에가입해불법소프트웨어속에은밀하게악성코드를삽입해유포하는기법입니다. 내부에악성코드를삽입한후, 유명상용소프트웨어를불법적으로사용할수있도록배포를하는방식입니다. 실제공격자가한국의특정토렌트에서활동하면서얻은포인트이력은다음과같고, 업로드와댓글등의활발한 움직임을보이기도했습니다. [ 그림 22] 한국의토렌트사이트에서활동한이력화면 36

02 전문가보안기고 3. 금성 121 그룹의시계열흐름정리 2013 년상반기 AOL 메신저를통한통신기법이후에공격자는잠시한국의웹사이트를해킹해 C2 로활용을하기도 합니다. 그러나해당웹사이트들이노출되고, 신속하게차단되자지속적효용성이떨어진다는것을의식한것으로 추정됩니다. 그래서인지얼마후에다시 AOL 메신저를통한통신기법으로회귀해지속적인변종을제작하였고, 그러다가 워드프레스 (WordPress) 기반웹사이트를집중적으로해킹해워터링홀공격거점으로활용하게됩니다. 워드프레스웹사이트를이용한공격에서는주로플래시플레이어취약점파일을이용하게되며, 개인용미디어허브 서비스인 'Streamnation' 클라우드계정을본격적으로쓰게됩니다. 공격자는그과정에서도꾸준히 AOL 메신저를이용한통신방식을유지하였고, 스피어피싱이나워터링홀공격의중개 서버로는워드프레스웹사이트를 C2 로활용하게됩니다. 그러던중 'Streamnation' 서비스가 2016 년 2 월경서비스를종료한다고알려지면서, 공격자는 2016 년 1 월 말부터 'zmail.ru' 서비스를본격적으로테스트하기시작합니다. 물론, 공격자는그전부터 'zmail.ru' 서비스를이용하고 있었습니다. 그렇게 'zmail.ru' 서비스등을통해공격자는새로운 C2 서버체계로변경을시도하고, AOL 메신저통신과함께 'pcloud' 서비스를도입하기시작합니다. 클라우드서비스계정을생성할때는한국뿐만아니라미국, 중국, 인도, 러시아등 다양한국가의무료이메일서비스를활용하기도합니다. 공격전술의변화는시간이갈수록변화를거듭하며, 친구추가가되어있지않은특정대상을상대로카카오톡 메시지로 CVE-2018-4878 취약점파일을전송하거나, 스마트폰이용자를겨냥한안드로이드악성앱유포도 발견되었습니다. 2017 년말암호화폐관련내용의 DOC 문서취약점공격은해외에서먼저보고되기도했습니다. 그외한국, 중국등의 보안프로그램위장유포, 토렌트를통한악성코드무차별배포등공격기술을꾸준히업그레이드하고있다는것을알 수있었습니다. 37

02 전문가보안기고 [ 시계열에따라일부 C2 기법의변화 ] 2013 년 03 월 26 일 : AOL 메신저서비스방식지속 2013 년 04 월 20 일 : 한국내특정웹사이트통신 2015 년 07 월 10 일 : 워드프레스웹사이트통신 2015 년 07 월 14 일 : Streamnation 개인용클라우드서비스 2015 년 08 월 09 일 : Streamnation 개인용클라우드서비스 2016 년 02 월 09 일 : Streamnation 개인용클라우드서비스공식종료 2016 년 04 월 11 일 : Pcloud 개인용클라우드서비스 2017 년 12 월 15 일 : AOL 메신저서비스공식종료 2017 년 12 월 12 일 : PubNub IaaS 서비스 2018 년 01 월 16 일 : PubNub laas 서비스 2018 년 02 월 23 일 :PubNub IaaS 서비스 2018 년 08 월 14 일 : PubNub IaaS 서비스 [ 그림 23] 시간에따라변화하는 C2 통신화면 38

02 전문가보안기고 지금까지의사례외에도동일한 IoC 코드나메타데이터를사용하는유사한침해사고가한국에서는수년간계속 이어지고있으며, ESRC 는그변화과정을지속적으로추적연구하고있습니다. 39

02 전문가보안기고 2. 게임공략사이트로부터이어지는 악성코드유포주의 최근유명국내게임공략사이트게시판에서원격제어기능과 MBR 파괴기능이있는악성코드가유포되어주의를 당부드립니다. 악성코드가유포되는사이트게시판에는실제게임과관련없는내용으로영화와성인사이트로위장된링크를 기재하여게시판사용자들의클릭을유도하고있습니다. 40

02 전문가보안기고 [ 그림 1] 게임공략사이트에기재된게시글이미지 취약한윈도우및소프트웨어를사용중인게시판사용자가호기심에해당사이트를클릭할경우 Drive By Download 기법에의해악성코드가다운로드및실행될수있습니다. 41

02 전문가보안기고 이스트시큐리티악성코드위협대응솔루션 Threat Inside( 쓰렛인사이드 ) 에분석된데이터에의하면 2018 년 08 월 27 일 09 시에해당사이트에서최초악성코드가발견되었으며, CK VIP(KaiXin) 익스플로잇킷공격도구로만들어진 사이트로확인이되었습니다. 또한이사이트에는 CVE-2018-8174 VB 스크립트취약점, CVE-2016-7201 엣지브라우저취약점등을포함하여총 7 가지취약점공격으로이루어져있습니다. 쓰렛인사이드에서는해당사이트에서사용된 CK VIP(KaiXin) 익스플로잇킷을상세분석하여사용된취약점리스트를 볼수있습니다. [ 그림 2] CK VIP(KaiXin) 익스플로잇분석흐름도이미지 취약한사용자가접속할경우다운로드및실행되는악성코드는 PC 정보전달, 계정설정, 파일삭제, 다운로드등의 기능을가진원격제어악성코드 (RAT) 로써아래의기능들을수행할수있습니다. 42

02 전문가보안기고 [ 그림 3] 원격제어악성코드기능이미지 악성행위중 C&C 명령에따라 MBR( 마스터부트레코드 ) 를파괴하는기능까지존재하여사용자들의각별한주의가 필요합니다. 43

02 전문가보안기고 [ 그림 4] MBR 영역에문자열을삽입시키는코드이미지 이러한악성코드에감염되지않기위해서는출처가불분명한링크혹은사이트에접속하지않아야합니다. 또한윈도우 보안업데이트를포함한각종어플리케이션업데이트를항상최신으로유지하는보안습관을준수하시길당부 드립니다. 통합백신 알약 에서는관련악성코드를 'Trojan.Agent.259584K, Trojan.Agent.Injector.273920' 로진단하고 있습니다. 44

이스트시큐리티보안동향보고서 03 악성코드분석보고 개요 악성코드상세분석 결론 45

03 악성코드분석보고 [Trojan.Ransom.CryptoJoker] 악성코드분석보고서 1. 개요 최근 CrpytoJoker 랜섬웨어의변종으로 CryptoNar 로불리는랜섬웨어가발견되었다. CryptoJoker 랜섬웨어와는다르게암호화대상이나방법에는차이점을보인다. CrpytoNar 랜섬웨어는암호화제외확장자를따로구분하지않아바탕화면에존재하는모든폴더와파일이암호화대상이된다. 파일암호화가완료되면, 시스템정보와 RSA 키정보를공격자메일로전송한다. 현재복호화도구가공개되어피해를최소화할수있으나, 지속적인변종이등장할가능성이높은만큼사용자의주의가필요하다. 따라서, 본보고서에서는 CryptoNar 랜섬웨어를상세분석하고자한다. 46

03 악성코드분석보고 2. 악성코드상세분석 2.1. 중복실행방지 중복실행을방지하기위해특정폴더내에 jokingwithyou.cryptonar 파일유무를검사한다. 파일존재하지않으면 암호화가진행되지않은시스템으로인지하고악성행위를계속한다. [ 그림 1] 중복실행방지코드 2.2. 파일암호화 CryptoNar 랜섬웨어는파일을암호화할때, 확장자에따라암호화방법이상이하다. 파일확장자가.txt,.md 일경우에는데이터전체를암호화하고.fully.cryptoNar 확장자를추가한다. 그외확장자를가진파일은데이터의첫 1024 바이트만암호화하고.partially.cryptoNar' 확장자를추가한다. [ 그림 2] 확장자구분코드 47

03 악성코드분석보고 기존 CryptoJoker 랜섬웨어와는다르게확장자구분없이모든파일을암호화한다. 다음은암호화가끝난후확장자가 추가된화면이다. 해당파일들은더이상정상파일로동작하지않는다. [ 그림 3] 암호화된파일화면 2.2.1 파일암호화알고리즘파일암호화는간단한바이트덧셈연산으로이뤄진다. 암호화할원본데이터와임의로생성한 20 바이트문자열 (ex: 8V2ZQCT2Q8MGLX5PQEIH) 의첫 1바이트를더하여암호화데이터를생성한다. 첫 1바이트는파일암호화에사용되는 EncryptionKey 로본악성코드에서는 0x38( 8 ) 가사용되었다. 암호화데이터 = 원본데이터 + EncryptionKey [(0x38( 8 )] 다음과같이.partially.cryptoNar 로암호화된파일의데이터가첫 1024 바이트 (0x400) 까지암호화된것을확인할수 있다. 각바이트값들이덧셈연산에의해 0x38 씩증가했다. 48

03 악성코드분석보고 [ 그림 4] 부분암호화된데이터 2.3. 랜섬노트생성파일암호화가완료되면, 사용자에게감염사실과복호화방법을안내하기위한랜섬노트가 CRYPTONAR RECOVERY INFORMATION.txt 이름으로바탕화면에생성된다. 공격자는복호화키를구매하기위해 72 시간이내로 $200 의비트코인을지불해야한다고지시한다. 비트코인주소 : 1FeutvrVeiF8Qdnnx9Rr3CyBfHBCFeKWPq 2.4 SMTP 메일전송 [ 그림 5] CRYPTONAR RECOVERY INFORMATION 랜섬노트 또한, 파일암호화완료후 SMTP 프로토콜을이용해시스템정보및 RSA 키정보를공격자에게전달한다. 메일전송은 49

03 악성코드분석보고 smtp.zoho.eu 호스트를이용한다. [ 그림 6] SMTP 메일전송코드 다음은메일전송에필요한데이터형식이다. 메일제목은 Hello 이며 johnstang@zoho.eu 로부터 johnsmith987654@tutanota.com 으로전송된다. Body 항목에공격자가원하는정보가저장되어있다. 이때, How are you 로전송되는 RSA 키정보는추후드롭되는 CryptoNarDecryptor.exe 프로그램에서복호화키로사용된다. CryptoNarDecryptor.exe 는암호화된파일을복호화하는기능을가진프로그램으로 2.5 파일복호화 부분에서더자세한내용을확인할수있다. Body - Hello: 사용자식별을위한개인고유 ID - How are you: Base64 로인코딩된 RSA 키 (RSA 키는파일암호화에사용되지않는다.) [ 그림 7] SMTP 메일전송데이터형식 50

03 악성코드분석보고 네트워크패킷을통해메일이정상적으로암호화되어전달된것을알수있다. 220: 도메인서비스가준비되었음을알리는응답코드 250: 요청한메일을정상적으로전달하였음을알리는응답코드 [ 그림 8] SMTP 메일네트워크패킷 2.5 파일복호화프로그램 공격자는파일복호화프로그램으로 CrytoNarDecryptor.exe 파일을바탕화면에생성후실행한다. 이파일은 CryptoNar 랜섬웨어리소스영역에저장되어있다. 해당파일은다음과같이크롬아이콘을사용한다. [ 그림 9] CrytoNarDecryptor.exe 파일생성 시스템재부팅시에도자동실행될수있도록레지스트리 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run ) 에 Sound Card 이름으로키값을등록한다. [ 그림 10] Sound Card 이름으로자동실행등록 51

03 악성코드분석보고 다음은 CrytoNarDecryptor.exe 실행화면이다. 복호화방법과개인고유 ID, 비트코인주소를확인할수있고, RSA 키 를적용하여파일을복원할수있는기능이포함되어있다. [ 그림 11] CrytoNarDecryptor.exe 실행화면 다음은복호화키를입력할수있는화면이다. 이복호화키는 Base64 형태로인코딩된 RSA 키이며, 공격자에게메일 로전송한키다. [ 그림 12] RSA 키를입력하는화면 52

03 악성코드분석보고 다음과같은코드를통해유효한 RSA 키가입력되었는지확인한다. 만약에이 RSA 키가유효한경우에는암호화된 파일을복호화할수있다. [ 그림 13] RSA 키유효성검사 다음은유효한 RSA 키가적용되었을때복호화를시작하는화면이다. [ 그림 14] 복호화시작안내화면 53

03 악성코드분석보고 다음은파일복호화알고리즘이다. 암호화에사용되었던 EncryptionKey 를빼주면원본데이터를얻을수있다. 암호화데이터 = 원본데이터 - EncryptionKey [0x38( 8 )] 정상적으로복원된파일은다음과같다. [ 그림 15] 정상적으로복원된파일화면 54

03 악성코드분석보고 3. 결론 CrpytoNar 랜섬웨어의암호화방법은다른랜섬웨어에비해비교적간단한바이트덧셈연산을이용한다. 그렇기때문 에복호화방법역시간단하고, EncryptionKey 를알면암호화된모든파일을복호화할수있다. 이때, 원본파일을가지 고있다면암호화된파일과비교를통해서 EncryptionKey 를쉽게알아낼수있다. 마찬가지로, RSA 키를알고있는경우 CryptoNarDecryptor.exe 프로그램을통해서, 공격자에게비용을지불하지않고 도암호화된파일을복원할수있다. 또한, 중복실행방지를위해생성되는 jokingwithyou.cryptonar 파일을 %AppData% 하위에미리생성해두면 CrpytoNar 랜섬웨어에감염되는것을예방할수있다. 사용자들은랜섬웨어를예방하기위해중요파일은주기적으로백업하는습관을들여야한다. 또한패치누락으로인한 취약점이발생하지않도록운영체제와소프트웨어는최신버전을유지하는것이중요하다. 현재알약에서는 Trojan.Ransom.CryptoJoker 로진단하고있다. 55

03 악성코드분석보고 [Trojan.Android.Dropper] 악성코드분석보고서 1. 개요 구글플레이스토어는공식앱마켓으로서악성행위가포함된앱에대응하기위해서각별한주의를기울이고있다. 하지만다양한악성앱들이정상앱을가장하여배포되고있다. 해당악성앱은별자리운세앱을사칭하여앱이지워졌다는문구를팝업하여사용자를속이지만실제지워지지않고사용자몰래기기정보뿐아니라문자, 통화기록등의개인정보까지탈취한다. 본분석보고서에서는 Trojan.Android.Dropper 를상세분석하고자한다. 56

03 악성코드분석보고 2. 악성코드상세분석 2.1. 사용자를속이는문구 처음악성앱을실행하면사용자를속이기위해서해당앱이삭제되었다는문구가팝업되나실제지워지지않고 사용자에게보이는아이콘만지워지고악성행위는지속하고있다. [ 그림 1] 사용자를속이는문구 2.2 악성행위앱드랍 assets 폴더에 mp3 확장자로저장된파일들은앱파일이며, 실질적으로악성행위와관련된코드가저장되어있다. 특히, Base64 암호화되어저장되어있고, /SDcard/Download/ 경로에저장된다. 57

03 악성코드분석보고 [ 그림 2] 암호화되어저장된악성앱 2.3 실행환경확인 기기정보를확인하여실제기기에서의실행여부를확인하는데, 동적분석을회피하기위함으로추정할수있다. [ 그림 3] 실행환경확인 2.4 동적로딩드랍된악성앱은안드로이드의동적로딩을활용하여실행된다. 원본앱은드랍퍼앱으로서악성행위를하기보다는악성행위를하기위한준비를한다. 다음 2.5 부터는드랍된앱의악성행위에대한분석이다. [ 그림 4] 동적로딩을통한악성행위 58

03 악성코드분석보고 2.5 기기정보수집 기기의전화번호를비롯하여 8 가지의기기정보를수집한다. [ 그림 5] 기기정보수집 2.6 설치된앱목록수집 설치된앱목록을수집한다. [ 그림 6] 설치된앱목록수집 59

03 악성코드분석보고 2.7 위치정보수집 사용자의위치정보를수집한다. [ 그림 7] 위치정보수집 2.8 통화목록수집 통화목록을수집한다. [ 그림 8] 통화목록수집 2.9 주소록수집 주소록을수집한다. [ 그림 9] 주소록수집 60

03 악성코드분석보고 2.10 문자정보수집 문자정보를수집한다. [ 그림 10] 문자정보수집 2.11 문자전송 문자를작성하여사용자몰래전송한다. [ 그림 11] 문자전송 61

03 악성코드분석보고 2.12 추가다운로드 사용자동의없이앱을추가다운로드한다. [ 그림 12] 추가다운로드 62

03 악성코드분석보고 2.13 폴더, 파일정보수집 저장소의최상위폴더인 / 경로부터시작해서최하위폴더에위치한파일까지저장소에저장된모든폴더와파일 정보를수집한다. [ 그림 13] 저장소정보수집 63

03 악성코드분석보고 2.14 SQLite 활용 안드로이드에서데이터베이스관리시스템으로사용하는 SQLite 를활용하여악성행위를한다. herobot 이라는 파일명에수집한정보들을저장한다. [ 그림 14] 악성행위에활용되는 SQLite 2.15 수집된정보탈취 (bibonado.com, 89.108.65.121) 수집된정보들은 herobot 디비에저장되어 C2 로전송된다. 여기서카드정보와관련된것으로추정되는문자열을 확인했지만실제관련코드를찾아볼수없었다. ( 추가다운로드앱에존재하거나미구현으로추정 ) [ 그림 15] C2 주소 64

03 악성코드분석보고 3. 결론 해당악성앱은공식마켓인구글플레이스토어를통해서유포되었다. 사용자를속이기위해서앱이삭제되었다는 문구를띄우고기기정보및주소록, 문자정보등의사용자정보를탈취한다. 따라서, 악성앱으로부터피해를최소화하기위해서는백신앱을통한주기적인검사가중요하다. 출처가불명확한 URL 과파일은실행하지않는것이기본이고공식마켓인구글플레이스토어를통해서확보한앱이라도백신앱을추가 설치하여주기적으로업데이트하고검사해야한다. 현재알약 M 에서는해당앱을 Trojan.Android.Dropper 탐지명으로진단하고있다. 65

이스트시큐리티보안동향보고서 04 해외보안동향 영미권 중국 일본 66

04 해외보안동향 1. 영미권 보안모듈로위장한새로운뱅킹트로이목마발견 New Banking Trojan Poses As A Security Module 기존의악성코드와는다른전략을사용하는새로운뱅킹트로이목마가발견되었다. 이는눈에보이는설치, 소셜 엔지니어링컴포넌트를추가했다. CamuBot 은지난달브라질에서발견되었으며, 공공기업및조직을노린다. 피해자들은은행직원으로위장한 공격자들의지시에따라악성코드를설치하는사람들이다. 소셜엔지니어링의정석 이악성코드는은행의로고와브랜드이미지를사용해보안어플리케이션으로위장한다. IBM X-Force 연구팀은블로그를통해 CamuBot 운영자들은공격을실행하기위해특정금융기관과거래하는 은행을찾기위한정찰을시작했다. 그런다음, 기업의은행계좌크리덴셜을가지고있는것으로추정되는사람에게 전화통화를시도한다. 고밝혔다. 공격자들은현재은행의보안모듈의유효성을확인해야한다는핑계를대며가짜보안툴을설치하라고종용한다. 타깃이거래하는은행의금융직원행세를하며, 이공격자는피해자에게소프트웨어가구버전이라는것을보여주는 웹사이트를로드하도록요청한다. 공격자는문제해결을위해서는관리자권한으로온라인뱅킹을위한새로운모듈을다운로드및설치해야한다고 속인다. 피해자의시스템에서이루어지는사기성거래 CamuBot 의루틴은기기에서 SSH 기반의 SOCKS 프록시를설정하고포트포워딩을활성화하는것을포함한다. 이행동의목적은양방향통신터널을설정해공격자들이해킹한은행계좌에접근할때피해자의 IP 를사용하도록하기위함이다. 온라인뱅킹계좌의로그인크리덴셜은피싱을통해얻는다. CamuBot 이설치되면, 이는타깃은행의가짜웹사이트를 열고피해자에게로그인을요청해공격자에게정보를보내도록한다. 67

04 해외보안동향 안티바이러스와방화벽탐지를우회하기위해, 이악성코드는보안툴들의승인프로그램리스트에자기자신을 추가한다. 더욱강력한방어막을대비한 Camubot 악성코드제작자들은이중인증을요구하는상황에서도공격이성공할수있도록만들었다. 두번째인증시도에감염된컴퓨터와연결된기기가요구될경우, CamuBot 은이를인식해올바른드라이버를 설치한다. 이후공격자는전화를통해피해자에게보안코드를공유하라고요청한다. OTP 를손에넣은공격자는사기거래를시도할수있으며, 그들의 IP 주소로터널링해은행측이해당세션을 정상적으로인식하게할수있다. 연구원들은 CamuBot 의공격은개인맞춤형이며, 브라질의기업들만노리고있으며다른국가에서는공격이발견되지 않았다고밝혔다. 이공격은소셜엔지니어링에많은부분을의존하고있지만, 공격자는아주적절한트릭을사용해 많은사람들이이에속을수있을것으로보인다. [ 출처 ] https://www.bleepingcomputer.com/news/security/new-banking-trojan-poses-as-a-security-module/ https://securityintelligence.com/camubot-new-financial-malware-targets-brazilian-banking-customers/ 68

04 해외보안동향 윈도우작업스케쥴러제로데이를악용하는악성코드발견돼 Windows Task Scheduler Zero Day Exploited by Malware 악성코드개발자들이윈도우의작업스케쥴러제로데이익스플로잇을악용하기시작했다. 이는해당취약점의 PoC 코드가온라인에공개된지이틀만이다. SandboxEscaper 라는보안연구원은 8 월 27 일윈도우작업스케쥴러가사용하는 ALPC 인터페이스에존재하는보안 버그를악용하는소스코드를발표했다. 구체적으로, 문제는 SchRpcSetSecurity API 기능에존재한다. 이는사용자의권한을확인하지않아 C:\Windows\Task 의파일쓰기권한을허용한다. 이취약점은윈도우버전 7~10 에영향을미치며, 공격자가모든 권한을 SYSTEM 계정수준으로상승시켜모든접근권한을얻는데사용할수있다. ESET 의연구원들은익스플로잇코드가공개된지며칠후, PowerPool 이라는공격자들이실시하는악성캠페인에서이 코드가사용되는것을발견했다. PowerPool 은그들이주로 PowerShell 로작성된툴을사용하기때문에붙여진 이름이다. GoogleUpdate.exe 를노리는 PowerPool 이그룹은칠레, 독일, 인도, 필리핀, 폴란드, 러시아, 영국, 미국및우크라이나에약간의피해자들을보유한것으로보인다. 연구원들은 PowerPool 개발자들이익스플로잇의바이너리버전을사용하지않고, 소스코드를재컴파일링하기전약간의변화를준것으로보인다고밝혔다. PowerPool 의개발자들은 C:\Program Files (x86)\google\update\googleupdate.exe 파일컨텐츠를변경했다. 이는 구글어플리케이션의합법적인업데이터이며, 관리자권한으로정기적으로마이크로소프트윈도우작업에의해 실행된다. 이로인해 PowerPool 이구글업데이터의실행파일을그들이공격 2단계에서사용하는백도어의복사본으로덮어쓰기할수있게된다. 이업데이터가다음에호출되면, 백도어가 SYSTEM 권한과함께실행될것이다. 연구원들에따르면 PowerPool 악성코드운영자들은정찰단계를거쳐관심이있는피해자들에게만 2단계백도어를사용하는것으로보인다. 마이크로소프트는 ALPC 버그를아직까지패치하지않았으나, 9 월 11 일진행될월간보안업데이트에서이를수정할 것으로추정된다. 69

04 해외보안동향 하지만, 마이크로소프트에서승인한것은아니지만취약점을완화시킬수있는방법이있다. Karten Nilsen 이제공한 솔루션은익스플로잇을차단하며예약된작업이실행될수있도록하지만, 예전작업스케쥴러인터페이스에서생성 된것들이손상을입을수있다. 64 비트윈도우 10 버전 1803 사용자일경우, 마이크로패치를적용해이문제를완화시킬수있다. 이는임시 패치이며, Acros security 의 0patch Agent 를설치해야한다. [ 출처 ] https://www.bleepingcomputer.com/news/security/windows-task-scheduler-zero-day-exploited-by-malware/ https://www.welivesecurity.com/2018/09/05/powerpool-malware-exploits-zero-day-vulnerability/ 70

04 해외보안동향 마이크로소프트, 치명적인취약점 17 개를수정하는소프트웨어업데이트발행 Microsoft Issues Software Updates for 17 Critical Vulnerabilities 시스템과소프트웨어를패치할시간이다가왔다. 마이크로소프트가 2018 년 9 월의월간 패치화요일 업데이트를 공개했다. 취약점총 61 개를수정하고, 이중 17 개는심각도가치명적, 43 개는중요함, 하나는보통으로분류되었다. 이달의보안업데이트는마이크로소프트의 Windows, Edge, Internet Explorer, Office, ChakraCore,.NET 프레임워크, Microsoft.Data.OData, ASP.NET 등의취약점을수정한다. 패치된보안취약점들중 4 개는공개적으로알려졌으며, 이미공격자들이악용하고있을가능성이높다. CVE-2018-8475: 치명적인윈도우 RCE 취약점이취약점 4개중하나는치명적인원격코드실행결점 (CVE-2018-8475) 이다. 이는마이크로소프트 Windows 에존재하며 Windows 10 을포함한모든버전에영향을미친다. Windows RCE 취약점은윈도우가특별히제작된이미지파일을처리하는방식에존재한다. 악성코드를타겟시스템에서실행하기위해서, 원격의공격자가해야할일은그저피해자가이미지하나를보게만드는것뿐이다. 이취약점은심각도가높으며악용이쉬워, 앞으로이를악용해윈도우사용자를노리는공격이발견될것으로추측 된다. CVE-2018-8440: 윈도우 ALPC 권한상승취약점 이패치는윈도우의 ALPC 에존재하는제로데이취약점도수정한다. 악용될경우, 로컬의공격자나악성프로그램이 타깃기기에서관리자권한을얻어코드를실행시킬수있게된다. 마이크로소프트에따르면, 이결점은현재활발히악용되고있어각별한주의가필요하다. 이권한상승취약점에대한 PoC 익스플로잇은 GitHub 에서찾을수있다. CVE-2018-8457: 스크립팅엔진메모리충돌취약점공개적으로알려진또다른취약점은스크립팅엔진에존재하는원격코드실행취약점이다. 이는스크립팅엔진이마이크로소프트브라우저의메모리내오브젝트를적절히처리하지못할때생기는문제로인증되지않은원격공격자가타깃시스템에서현재로그인된사용자컨텍스트로임의코드를실행할수있도록허용한다. 관리자권한을가진사용자가로그인중이라면, 이취약점을성공적으로악용한공격자는영향을받는시스템을 제어할수있게된다. 71

04 해외보안동향 이후공격자는프로그램을설치하고, 데이터를열람 / 변경 / 삭제할수있으며전체권한을가진사용자계정을생성할 수도있다. 이취약점은마이크로소프트 Edge, Internet Explorer 11, 10 에존재한다. 윈도우 Hiper-V 원격코드실행취약점 2개이패치는윈도우 Hyper-V 에존재하는치명적인원격코드실행취약점 2개를수정한다. Hyper-V 는윈도우서버에서가상머신을실행하기위한기본하이퍼바이저다. 두취약점모두 (CVE-2018-0965, CVE-2018-8439) 호스트서버의 Windows Hyper-V 가게스트 OS 에서승인된사용자의입력을적절히검증하지않아발생한다. 악성게스트사용자는이 RCE 취약점둘다를악용해가상 OS 에서특별히제작한프로그램을실행해호스트 OS 에서 임의의코드를실행할수있다. 모든마이크로소프트소프트웨어취약점을패치하세요이외에도, 마이크로소프트는어도비플래시플레이어의치명적인원격코드실행취약점도패치했다. 어도비는해당권한상승취약점 (CVE-2018-15967) 을 중요 로분류했으나, 마이크로소프트는 치명적 인원격코드실행취약점으로분류했다. 사용자들이시스템을보호하기위해이패치를가능한빨리적용하기를권고한다. 보안업데이트설치를위해서는설정 -> 업데이트및보안 -> Windows 업데이트 -> 사용가능한업데이트확인을 클릭하거나수동으로업데이트를설치할수있다. [ 출처 ] https://thehackernews.com/2018/08/snapchat-hack-source-code.html 72

04 해외보안동향 2. 중국 중국 Huazhu Hotels Group 정보유출! 최근블랙마켓에서 Huazhu 호텔그룹에서투숙한투숙객들의이름, 휴대폰번호, 신분증번호, 비밀번호등민감정보가 포함된개인정보들이유출되었다. 이번에유출된개인정보들은 1.23 억개에달하는것으로확인하였다. 뿐만아니라 1.3 억개의투숙정보와 2.4 억개의룸정보등이포함되어있었다. 게시글작성자는이정보들의유출시점은 8 월 14 일로, 이정보들의판매가로 8 비트코인혹은 520 모네로를 요구하고있다. 뿐만아니라판매자는완전한판매사후서비스를위해, 만약앞으로도사용자권한이유지되면 구매자에게는무료로추가데이터를제공해주겠다고밝혔다. 또한이게시글에는자신이올린데이터가실제데이터라는것을증명하기위해 10000 건의정보를공개하였다. 73

04 해외보안동향 정보유출원인이번에발생한정보유출사건은호텔직원이실수로 DB 의구성정보를 GitHub 에업로드하였으며, 이정보는약 20 일전에 Github 에올라온것으로확인되었다. 또한해커가이 DB 를해킹한날자는 14 일전이기때문에, 아마이정보를이용하여해커가 DB 를공격했을것이라고추정된다. [ 출처 ] https://www.anquanke.com/post/id/158123 74

04 해외보안동향 TSMC 3 개공장, 랜섬웨어에감염 8 월 3 일, 대만의신주과학단지 타이중과학단지 타이난과학단지에있는 TSMC 공장이랜섬웨어에감염되어운행을 중단했다. TSMC 는전세계에서가장큰반도체생산공장으로, 항상해커들의공격타깃이되어매년사이버공격을받았다. 하지만이렇게대규모공격을받은것은이번이처음이다. 생산설비들은인터넷에연결되어있지않았기때문에 TSMC 가어떻게랜섬웨어에감염되었는지아직밝혀지지않았다. 이번사건과관련하여 TSMC 는 8 월 4 일, 공식입장을발표하였다. TSMC 는 8 월 3 일저녁, 일부기기에서랜섬웨어의감염을확인하였다. 외부에알려진것처럼해커의공격은아니며, 현재 TSMC 는랜섬웨어에감염된범위를확인하는동시에해결방안을모색중에있다. 랜섬웨어감염정도에따라 일부설비들은금방복구되었으며, 남은공장설비들도하루만에정상동작이되었다. 주목할것은, TSMC 의최대고객은애플로, TSMC 는올해 iphone 신제품에탑재되는 7nm 의 A12 CPU 의주요 생산공장중하나이다. 비록가동이중지된시간이길지는않았지만, 반도체제조공정이비교적긴것을고려했을때, 상당한손실이발생했을것이라추정되고있다. [ 출처 ] https://www.cnbeta.com/articles/tech/753965.htm 75

04 해외보안동향 3. 일본 중요인프라 3 개사중 1 개사에서랜섬웨어피해 11% 는감염 20 대이상 일본국내중요인프라조직중 3 개사중 1 개사가랜섬웨어피해를경험하고있다는사실이밝혀졌다. 감염된 랜섬웨어의약반수가 Locky 로, 몸값을지불했다고답변한조직은없었다고한다. JPCERT 코디네이션센터가 2017 년 9 월 19 일부터 10 월 17 일에걸쳐서조사를실시하여, 결과를정리한것이다. 일본 국내의중요인프라등 184 개조직이답변했다. 랜섬웨어의피해경험에대해서물어본결과, 65% 가 없다 고답변한한편, 35% 에해당하는 64 개조직이 있다 고 답했다. 피해를입은조직에건수를물어본결과, 78% 는 5 건미만 이었고 5 건이상, 10 건미만 이 16% 였다. 피해를입은기기의대수는 1 대 가 36%, 2~4 대 도마찬가지로 36% 였다. 5~9 대 가 13%, 10~19 대 가 6% 로뒤를 잇는한편, 20 대이상 에감염이확대된케이스도 11% 로 10% 를넘어섰다. 피해조직에서의피해건수 ( 그래프 :JPCERT/CC) 감염된랜섬웨어의종류는 Locky 가 52% 로최다였다. TeslaCrypt 가 20%, WannaCrypt 가 17%, spora 가 11% 로 뒤를잇는다. 감염원인은 메일의첨부파일 이 66% 였다. 웹사이트또는웹어플리케이션 이 41%, 메일의링크 가 6%, 외부저장매체 와 리모트데스크탑 이각각 5% 였다. 감염자를물어본결과, 86% 가정사원이라고답변했다. 계약사원이나아르바이트, 인재파견등의외부인원이 17% 로 76

04 해외보안동향 뒤를잇는다. 또경영층이 5%, 관리직이 11% 였다. 피해를입은단말의종류를물어본결과, 외부반출을하지않는데스크탑 PC 가 61%, 외부반출을하는랩탑 PC 가 48% 였다. 한편으로서버가 42%, NAS 가 9% 로뒤를잇는다. 휴대전화나테블릿에서의피해보고는없었다. E메일의첨부파일 E메일의링크웹사이트또는웹어플리케이션외부저장매체 (USB메모리, 포터블 HDD 등 ) 리모트데스크탑 SNS(Twitter, Facebook 등 ) 비즈니스에서사용하고있는어플리케이션 Active Directory의도메인폴리시불명기타 랜섬웨어의감염원인 ( 그래프 :JPCERT/CC) 피해시의대응에대해서는 업무단말을교체했다 가 80%, 데이터를백업으로복구했다 가 58% 로뒤를잇는다. 백업하지않아서데이터를복구하지못한케이스는 16% 였다. 시큐리티벤더가제공하고있는복호화툴로데이터를 복원한조직은 2% 로적다. 또일부미답변도있었지만, 몸값을지불했다고답변한조직은없었다. 랜섬웨어에감염된후, 통상의업무가복구되기까지요구된시간은 1 주일미만 이 36% 로최다였다. 6 시간미만 이 22%, 1 일미만 이 17% 로뒤를이었다. 업무단말을교체했다데이터를백업으로복구시켰다데이터의백업을취득하지않아서데이터는원상태로돌리지못했다시큐리티벤더가제공하고있는복호화툴에서데이터를복원했다몸값을지불하여데이터가원상태로돌아갔다몸값을지불했으나데이터는복구되지못했다. [No More Ransom] 의정보와툴을활용했다 [ 출처 ] http://www.security-next.com/096223 랜섬웨어피해시의대처법 ( 그래프 :JPCERT/CC) 77

04 해외보안동향 확장자.iqy 파일에주의 수십만건규모로악성코드메일이유통 확장자가.iqy 인악의있는파일을첨부한메일이 8 월에들어일본국내에서대량으로유통되고있다는사실이 밝혀졌다. 일본어로기재되어있으며, 사진이나서류송부를가장하고있었다. 안녕하세요? 해약에관한서류입니다. 도장을찍은후, 다시보내주시면감사하겠습니다. 잘부탁드리겠습니다..iqy 파일 을열도록만드는일본어메일 공격을관측한트렌드마이크로에따르면, 확장자가.iqy 인 Office 쿼리파일 을위장하여악성코드에감염시키고자하는 메일이 8 월에들어대량으로송신되었다고한다. 문제의메일은 안녕하세요?, 확인해주십시오, 사진첨부, 사진송부의건 등의제목으로유통되고있었다. 일본어로 기재되어있어, 서류나사진의송부로보이게만들어 Gozi, DreamBot, Snifula, Papras ed 의별명으로도알려져 있는부정송금악성코드 Ursnif 에감염시키고자하고있었다..iqy 파일 을이용한공격은해외에서 5 월하순이후에확인되고있으나, 일본어로일본국내를노린공격을이회사가 관측한것은이번이처음이었다. 8 월 6 일불과하루만해도 29 건이상을검지했다고한다..iqy 파일 은 Excel 의웹쿼리기능으로수집한데이터를보존할때에이용한다. 통상 Excel 과관련지어져있어 더블클릭등에의해파일이열리게되면내부에기재된처리가 Excel 로실행된다. 78

04 해외보안동향 보안영향을미칠가능성이있는문제점이검지되었습니다. 데이터접속이블록되었습니다. 데이터접속을유효하게하면, 컴퓨터의안전성을잃게될가능성이있습니다. 이파일의발행원을신뢰할수없을경우에는이컨텐츠를유효하게하지말아주십시오. 유효하게한다 무효하게한다 열었을때에표시된경고화면 ( 화면 : 트렌드마이크로 ) 신뢰할수없는파일을잘못해서열면외부에서스크립트를다운로드해서실행하거나외부접속이이루어지는등보안 상의영향을미치는경우에는 Office 에의해얼러트가표시된다. 그때에무효화되면악의있는동작을미연에막을수있지만, 잘못해서컨텐츠를유효화해버리면악성코드에감염될 우려가있다. 이러한확장자의관련을악용하여의도치않게처리를 Excel 에실행시키려고한수법으로는 CSV 파일 을 이용한수법등도확인되고있다. 이번공격에대해서트렌드마이크로는공격자가모색하는새로운공격중하나라고분석한다. 익숙치않은파일형식을 이용함으로써수신자의경계를풀고자했을가능성이있다고지적한다. 향후비슷한공격이발생할가능성이있어.iqy 파일 이첨부된메일의수신을제한하거나 Excel 파일제한기능으로 Office 쿼리파일 을열지않도록설정을변경하는등이회사에서는주의를권고하고있다. [ 출처 ] http://www.security-next.com/096567 79

04 해외보안동향 택배편부재통지를위장한 SMS, 7 월중순부터상담급증 택배편의부재통지로보이게하는숏메시지 (SMS) 를이용하는수법에가짜사이트로유도당해부정어플을 설치해버렸다는상담이정보처리추진기구 (IPA) 에다수들어오고있다. 지금까지비슷한공격이확인되고있으나 7 월 중순부터폭발적으로증가하는모양새다. 이기구에따르면, 사가와큐빈 ( 佐川急便 ) 의부정통지를가장한 SMS 가유통되고있는데, 메시지에기재된유도처 사이트에서잘못해서부정어플을설치해버리는피해가다발하고있다는것이다. 7 월중순부터상담이급증하고 있으며, 7 월 1 개월간 110 건이들어왔다고한다. 문제의어플은 Android 를노린것으로, 유도처가짜사이트에서설치가유도된다. Google Play 이외에서설치시키기 위해 제공원불명어플 의설치를허가하도록요구하고있었다. 또설치시에는전화발신, 연락처읽기, 메시지송신, 네트워크에대한풀접속, 녹음등, 다수기능에대한접속허가가요구되어잘못해서설치해버리면단말탈취나정보탈취등모든피해가상정된다. 실제로악의있는 SMS 를외부에송신하기위한발판으로악용된피해뿐아니라일부기억에없는컨텐츠요금청구가발생했다는상담도들어오고있어, 스마트폰과연결된계정이부정이용되었을가능성이지적받고있다. IPA 가호소한기본적인대책스텝 1 가짜부재통지 SMS 를수신대책기재된 URL 을터치하지않는다스텝 2 유도된가짜사이트에서다운로드대책사이트내를터치하지않는다스텝 3 출처가명확하지않은어플을허가하여수상한어플을인스톨대책 출처불명확어플 의설치를허가하지않는다! 사가와큐빈을가장한 SMS 에의해부정한어플을설치시키는공격은지금까지도보고되어왔으나, 7 월중순이후에 80

04 해외보안동향 일본국내에서피해가급증했다. 트렌드마이크로에따르면, 이회사클라우드기반에서는피크에달한같은달 19 일에 1일당 3000 건이상의부정접속으로유도된것으로보이는접속을블록한다. 이후에도계속적으로접속이확인되고있다. 이회사에서비슷한접속은 2018 년제2사분기의 3개월로 1600 건정도였으나, 7월만으로 8000 건에달했다고한다. 급증한배경에대해서이회사는 AndroidOS_FakeSpy, AndroidOS_Xloader 의변화를지적한다. 기존정규어플을 부정한어플로바꾸거나정보탈취를하는기능을갖추고있었으나 7 월중순에 SMS 의송신기능이추가되었다는 사실이영향을미쳤다고분석하고있다. 유도처사이트에대한접속을차단한건수추이 ( 그래프 : 트렌드마이크로 ) [ 출처 http://www.security-next.com/096565 81

( 주 ) 이스트시큐리티 ( 우 ) 06711 서울시서초구반포대로 3 이스트빌딩 02.583.4616 www.estsecurity.com 0