Contents 01 월간악성코드이슈동향 3 악성코드해킹침해사고취약점보안위협 02 이달의 TOP 11 워드문서 DDE 취약점을이용한국내표적공격주의한글자료연결기능을악용한국내표적악성코드주의되돌아보는 '17 5대보안이슈및 '18 보안위협동향 5가지 03 보안컬럼 22 은밀하

2017. 12 2 트 1 트 1

Contents 01 월간악성코드이슈동향 3 악성코드해킹침해사고취약점보안위협 02 이달의 TOP 11 워드문서 DDE 취약점을이용한국내표적공격주의한글자료연결기능을악용한국내표적악성코드주의되돌아보는 '17 5대보안이슈및 '18 보안위협동향 5가지 03 보안컬럼 22 은밀하게위대하게 - Supply chain attack 파일압축좀풀어주실분..? 04 월간악성코드상세분석 30 개인정보유출사건에이용된악성코드 05 모바일악성코드상세분석 39 스마트폰에서진행되는 DDoS 3

01 월간악성코드이슈동향 악성코드해킹침해사고취약점보안위협 3

악성코드 한국엔마이랜섬, 일본엔 Oni 랜섬웨어... 동일범인가? 최근특정국가를타깃으로한맞춤형공격에랜섬웨어가지속적으로악용되고있다. 우리나라의경우한국사용자를타깃으로한마이랜섬랜섬웨어가있다면, 일본은일본인들을타깃으로한 Oni 랜섬웨어가등장해이슈가되고있다. 월간악성코드이슈동향유명웹하드사이트, 무려 1년간파밍악성코드유포했다 국내특정웹하드사이트가 2017년한해동안지속적으로파밍악성코드를유포한정황이포착됐다. 여기에다최근파일공유프로그램인토렌트사이트에서도악성코드가계속유포되는등 P2P, 웹하드사이트에서의보안경고등이들어왔다. Oni 랜섬웨어는지난 7월사일런스 (Cylance) 가보고한랜섬웨어로, 일본어로쓰여진협박문등이특징으로일본기업을표적으로하고있다고밝혔다. 공격에는 영수증 등의제목과함께매크로가포함된악성오피스 (Office) 첨부파일이포함된이메일이사용된다. 메일에는 ~ 입니다. 안녕하십니까? 영수증을첨부하겠습니다. 확인부탁드립니다 라는메시지가포함돼있다. 만약사용자가첨부파일을실행해매크로를활성화하면, 사용자컴퓨터에 Ammyy Admin RAT 이설치된다. 공격자는이 RAT를이용해네트워크에연결되어있는파일서버및어플리케이션서버로의접근을시도하며, 저장되어있는데이터와시스템등의정보들을계속탐색한다. 이과정에서워너크라이 (WannaCry) 등랜섬웨어가사용한 SMB 취약점이터널블루 (EternalBlue) 를악용할가능성도있다. 공격자는침입및탐색흔적들을모두삭제하고, Oni와 MBR-Oni 랜섬웨어를사용해데이터를암호화하거나컴퓨터를사용불능으로만들어비트코인을요구한다. 출처 : http://www.boannews.com/media/view.asp?idx=57 872 해당웹하드사이트인 XX박스는영화, 드라마, 게임, 만화등에대한다운로드서비스를제공하는곳으로, 2017년 1월부터최근인 11월초최근까지약 1년동안지속적으로파밍악성코드를유포한것으로드러났다. 1월에만 4차례, 2월 1차례, 4월 1 차례, 6월 3차례, 7월 4차례, 9월 5차례, 10월 3차례, 11월 1차례로총 22차례유포한것으로집계됐다. 게다가해당웹하드웹사이트는과거에도북한추정해커조직이악성코드를유포한전력이있어보안전문가들사이에서도요주의대상으로주목받고있는웹사이트라고할수있다. 웹사이트이용자들은기본적인보안수칙을준수하는일이무엇보다중요하다. 본인 PC의보안설정확인에서부터백신, 각종소프트웨어및프로그램, 윈도우 OS와같은운영체제등은모두최신버전으로업데이트해유지되고있는지등을꼼꼼히점검하고지속적으로관리해야한다. 출처 : http://www.boannews.com/media/view.asp?idx=57 870 4

새로운지본 (GIBON) 랜섬웨어패밀리등장 또새로운랜섬웨어패밀리가등장했다. 이름은지본 (GIBON) 으로시스템내모든파일을암호화한다. 단 Windows 폴더에있는파일만은그대로남긴다고한다. 현재지본랜섬웨어는지하시장에서 500달러에판매되고있으며, 올해 5월부터존재해왔던것으로보인다. 월간악성코드이슈동향 ' 한글 ' 파일서 ' 자료연결 ' 기능사용할때악성코드침투주의 한글 (HWP) 문서의 ' 자료연결 ' 기능을악용한표적공격이발생해사용자들의주의가필요하다. 하우리는 6일 " 프로그램의정상기능을악용하기때문에별도의알림창없이본문을한번누르는것만으로도악성코드에걸릴수있다 " 고경고했다 ' 자료연결 ' 은한글에서설명을추가하고참고자료를지정하여하이퍼링크를연결하는정상기능이다. 연결할수있는자료의종류에는한글문서, 웹주소, 전자우편주소, 외부어플리케이션문서등이있다. 5월부터존재해왔지만지본랜섬웨어가보안전문가들의눈에띈건비교적최근의이ㄹ이다. 스팸이메일을통해이멀웨어가퍼지는것을발견한일부전문가들이지본을분석하기시작했고지난주에디크립터를발표했다. 하지만아직멀웨어가어떤방식으로퍼져나가고시스템을감염시키는지는정확하게이해하지못하고있다. 5월부터존재해왔지만지본랜섬웨어가보안전문가들의눈에띈건비교적최근의일이다. 스팸이메일을통해이멀웨어가퍼지는것을발견한일부전문가들이지본을분석하기시작했고지난주에디크립터를발표했다. 하지만아직멀웨어가어떤방식으로퍼져나가고시스템을감염시키는지는정확하게이해하지못하고있다. 혹시지본에걸린지인이있다면다음주소에서디크립터를다운로드받는게가능하다. 디크립터다운로드주소 : https://download.bleepingcomputer.com/demonsl ay335/gibondecrypter.zip 출처 : http://www.boannews.com/media/view.asp?idx=57 908 이번표적공격에쓰인악성한글문서파일은 ' 자료연결 ' 기능중 ' 외부어플리케이션문서 ' 에모든파일을지정가능한점과 OLE 개체삽입때개체를임시폴더에생성하는점을악용했다. 하우리는 " 해당한글문서는인터넷익스플로러브라우저를이용해이메일에첨부한문서를실행할경우에만악성스크립트를실행하도록설계했다 " 며, " 공격자는일부사람들이이메일첨부파일을컴퓨터에저장하지않고바로실행한다는점을노렸으며, ' 자료연결 ' 대상파일의상대경로방식의한계를극복하려는의도로보인다 " 고밝혔다. 출처 : http://www.newshankuk.com/news/content.asp?fs =1&ss=3&news_idx=201711061532051069 5

4 단계변신합체가능한안드로이드용멀웨어발견 새로운안드로이드용트로이목마패밀리가발견됐다. 이름은 Android/TrojanDropper.Agent.BKY으로보통트로이목마들이 2단계에걸쳐공격을실시하는것과달리 4단계에걸쳐페이로드를전파한다. 월간악성코드이슈동향뱅킹트로이목마로스파이공격까지펼치는테르돗 뱅킹트로이목마가뱅킹트로이목마그이상이라면? 뱅킹트로이목마가사이버스파이공격의일환으로사용되고있다는연구결과가나왔다. 현재까지이패밀리는구글플레이에등록되어있는 8개앱에서발견됐다. 그러나아직까지광범위한피해로이어지지는않는것으로보인다. 구글이해당앱들을구글플레이에서삭제할때까지각각수백건의다운로드만기록했기때문이다. 보안업체는멀웨어감염이네단계에걸쳐발생한다는것에관심을보이고있다. 트로이목마가 2단계로전파되는건흔히있는일입니다. 특히안드로이드생태계에서는아주자주볼수있죠. 하지만네단계는다른얘기입니다. 페이로드가여러단계에걸쳐퍼져갈수록공격자들은자신들의궁극적인의도를보다효과적으로숨길수있게된다. 즉페이로드가드로퍼, 디크립터, 다운로드등을포함해 4단계로나뉘어배포된다는건더깊이숨어들수있었다는겁니다. 특히악성목적을숨기기에효과적이죠. 이미 9 월후반에 Android/TrojanDropper.Agent.BKY가발견되었다. 하지만아직해당멀웨어공격자들이누구인지는알아내지못했다고한다. 출처 : http://www.boannews.com/media/view.asp?idx=58 089&page=1&kind=1 한보안업체연구진은테르돗 (Terdot) 이라는뱅킹트로이목마를발견했다. 테르돗은피해자의금융정보를수집할뿐만아니라이메일및소셜미디어플랫폼상의트래픽을관찰하고조작할수있는멀웨어였다. 게다가테르돗은크리덴셜을훔치고방문한웹페이지에 HTML 코드를삽입하는데다파일을다운로드받거나실행할수도있었다. 테르돗은뱅킹트로이목마의주요기능을수행한다. 악성이메일내의 PDF 링크를위장한버튼을클릭하면테르돗이기기를감염시키고, 트랜잭션을조작하기위해웹프록시를만든다. 테르돗은피해자가은행으로보내는모든데이터를가로채면서실시간으로조작할수있고, 은행이보내는데이터역시도중에가로채고조작할수있다. 뱅킹트로이목마가다시모습을드러냈다는건꽤흥미로운사실이다. 랜섬웨어같은상대적으로더쉬운공격들에비해뱅킹트로이목마공격에는여러명의공격자가필요하고, 공격을개시하거나이윤을내는것도어렵기때문이다. 보안연구원은앞서트로이목마코드가유출된데다랜섬웨어시장이과포화됐기때문에뱅킹트로이목마가귀환한것이라고말했다. 출처 : http://www.boannews.com/media/view.asp?idx=58 094&page=1&mkind=1&kind=1 6

해킹침해사고 IP 카메라 1,600여대또해킹... 사생활침해언제까지? 천여대의 IP 카메라를해킹해몰래훔쳐본사람들이무더기로적발돼검거됐다. 경남경찰청사이버수사대는 2일 정통망법 위반으로이모씨등 30 명을불구속했다고밝혔다. 이들은무작위대입공격인 브루트포스공격 (Brute Force Attack) 으로비밀번호를알아내 IP 카메라를장악한것으로알려졌다. 월간악성코드이슈동향하얏트호텔카드정보유출, 한국도뚫렸다 하얏트호텔이용고객의카드정보가유출되는사고가발생한지 4개월여만에국내피해사례건수가 22건에달하는것으로드러났다. 하얏트측은사고발생 3개월이지나서야고객들에게카드재발급등을요청하는안내메일을보내 ' 늑장대응 ' 이라는비판을받고있다. 지난 7월경하얏트호텔의결제시스템이해킹당하는사고가발생했다. 이사고로인해 2017년 3월 18일부터 2017년 7월 2일사이에하얏트호 경남청은이모씨가 1월부터 10월까지약 1,600여대의 IP 카메라를해킹하고영상을촬영한파일을다운받거나녹화해보관했으며, 나머지도각각 10 대에서 100여대의 IP 카메라를해킹했다고밝혔다. 이들은단순하거나초기비밀번호를그대로사용하는 IP 카메라를노렸으며, 브루트포스공격까지감행했다. 브루트포스공격이란무작위로비밀번호를대입하는방법으로, 예를들면여행용가방의 4자리비밀번호를까먹었을경우 0000부터 9999까지일일이대입해가며여는것과같은경우다. 보안전문가들은홈 CCTV를사용할경우반드시설치하면서초기비밀번호를바꿔야하며, 특히숫자이외에단어나특수키등을사용하라고조언한다. 출처 : http://www.boannews.com/media/view.asp?idx=57 831&mkind=1&kind=1 텔 11개국 41개지점을이용한고객의카드정보가유출됐다. 당시중국, 하와이, 브라질, 콜롬비아, 괌, 인도, 인도네시아, 일본, 멕시코, 푸에르토리코등을비롯해한국호텔도해킹에노출됐다. 하얏트호텔관계자는자사의사이버보안팀이 7월에의심스러운활동징후를발견했고, 조사결과를고객에게 10월 12일통보했다고밝혔다. 하얏트호텔고객들은 " 하얏트호텔측은카드정보만유출되고개인정보는유출되지않았다고해서피해규모를작게생각하고있는것같다 " 며 " 보안시스템을강화했다고밝혔지만이미유출된마당에소잃고외양간고치는격아니냐 " 며불안감을떨치지못하고있다. 출처 : http://www.insightkorea.co.kr/news/articleview.ht ml?idxno=20006 7

베트남정부배후 APT32, 주변아세안국가해킹 베트남정부와동일한이해관계를지닌것으로알려진사이버해킹그룹 APT32가여전히활개치고있다. 취약점 월간악성코드이슈동향 수천대해상선박해킹공격가능한치명적취약점발견돼 전세계수천대해상선박이사용하는소프트웨어에서심각한취약점이발견되었다. 보안연구원들은공격자가시스템및정보에자유롭게접근할수있는 AmosConnect 8.0의중요한취약점두개를발표했다. 7 일 ( 현지시각 ) 로이터통신에따르면한보안업체 APT32 가베트남에진출해사업하고있거나투자 예정인외국계기업뿐아니라주변 ' 아세안 ( 동남아시아국가연합 )' 회원국을타깃해공격하고있다. 보고서에따르면 APT32는라오스, 캄보디아, 필리핀의정부기관을공격해악성코드를심을것으로예상된다. 스티븐아데어볼렉시티 CEO는 "APT32 가정상회담시기에맞춰아세안웹사이트를공격하고있는데, 이주에도필리핀마닐라에서정상회담이개최예정으로해킹이우려된다 " 고말했다. 한편지난 5월다른보안업체는 APT32가그동안베트남에진출한해외기업을대상으로사이버공격을진행했다고밝힌바있다. 파이어아이는지난 2014년부터 APT32를추적해왔는데베트남에서제조, 소비재, 부동산사업과관련된해외기업을공격대상으로삼아왔다. 2014년에는베트남에제조시설을건설하려던유럽기업이침해피해를당했으며, 지난해에는베트남및외국계금융, 미디어부문의기업들이공격대상이됐다. 출처 : http://www.dt.co.kr/contents.html?article_no=2017 110802109960041001 국제해운회사는종종기밀고객의데이터를처리하며귀중한배송물품을취급하고있어공격자의목표가될수있다. 과거에도이미해커들이값비싼물품을훔치기위해공격한적이있었던만큼, 공격의목표가될수있는해당산업은보안이매우중요하다. Inmarsat회사인 Stratos Global사는 AmosConnect 통신선상플랫폼을제공해협대역위성통신, 이메일, 팩스, 사무실간통신을제공한다. 그런데 AmosConnect의로그인양식에서치명적인취약점이존재해고객및물품이위험에노출되어있다. 연구원들은블라인드 SQL 삽입취약점으로인해공격자가내부데이터베이스에저장된자격증명에접근할수있음을밝혀내었다. 서버는사용자이름과암호를일반텍스트로저장하므로이취약점을악용할수있다. 출처 : http://www.dailysecu.com/?mod=news&act=articl eview&idxno=25481 8

비잔티움하드포크진행한이더리움, 특정지갑접속불가취약점발견 글로벌가상화폐중비트코인다음으로막대한거래가이뤄지는이더리움에특정지갑접속이불가능한취약점이발견됐다. 현재이더리움지갑서비스중하나인패리티 (Parity) 지갑의소프트웨어 (SW) 오류로해당지갑을이용하는사용자의이더리움에접속이불가능할수있다는의견도나오고있어문제가커지고있다. 보안위협 월간악성코드이슈동향 ATM으로도봇넷만들수있다, 그것도아주쉽게 은행창구한쪽을차지하고있는 ATM 기기들중많은수가인터넷에연결되어있고, 특수한검색엔진을사용하면공공인터넷을사용하여찾아낼수도있다고한다. 뿐만아니라이러한기기들을활용해봇넷을구성하는것이쉽다고카스퍼스키랩에서발표했다. 여기서핵심은 쉽다 는것이다. 이번에발견된취약점은 7 월 20 일이후패리티 지갑사용자중 ' 다중서명 ' 기능을이용하는경우 발생하게된다. 패리티지갑은이더리움의개인지갑 SW로, 이더리움공동창업자인개빈우드가만든지갑서비스다. 지난 7월 20일다중서명취약점으로 3200 만달러 ( 한화약 357억원 ) 상당의이더리움을해커에서탈취당하면서보안에구멍이뚫린것아니냐는주장도제기된바있다. 이번에공개된보안취약점도이전에발생했던다중서명취약점과유사한형태로, 현재까지해커들로부터탈취당한사례가발생하진않았지만해당지갑사용자들이보관한이더리움에접속하지못할가능성이있는것으로알려졌다. 일부이더리움개발자들이해당문제를해결하기위해또한번의하드포크를진행해야한다고말하지만, 이더리움재단측이하드포크를거부하고있는만큼논란이커질것으로전망된다출처 : http://www.kinews.net/news/articleview.html?idxn o=113223 한보안업체는 ATM 한대장악하는게그리어려운것도아니다 라고설명했다. 물리적으로접근해서감염된 USB와같은악성기기를설치하거나, ATM들을관리하는컴퓨터에침투하거나, 제조사업데이트과정을침해한공급망공격을가하는등방법도다양합니다. 실제로세계각지의 ATM 기기들은빈번하게털리고있기도하고요. 그렇게한대감염에성공했다면네트워크전체에들어가다른 ATM 기기들도감염시킬수있다. 그중한대를공격의중앙지휘통제소처럼운영하는것도가능하다. 한마디로 ATM으로봇넷을 간단히 만들수있다는건데이는 ATM 기기들이현재아주취약하게연결되어있기때문이다. 취약하게연결되어있다는건기기들끼리네트워크를통해별다른어려움이나복잡한인증과정없이서로에게접속할수있다는겁니다. 한가지다행인점은아직까지 ATM 기기들로구성된봇넷에실존한적이없다는것이다. 출처 : http://www.boannews.com/media/view.asp?idx=58 035&page=1&kind=1 9

월간악성코드이슈동향 갑자기증가하고있는애드윈드공격캠페인주의보 애드윈드 (Adwind) 혹은에얼리언스파이 (AlienSpy) 라는멀웨어가피싱캠페인을통해번지고있는현상이발견됐다. 이공격은 10월에최초로발견됐고, 현재까지도진행중이다. 애드윈드자체는적어도 2012년부터발견되어온것으로, 추가멀웨어설치, 정보탈취, 키스트로크로깅, 스크린샷캡처, 영상및음성정보저장등의기능을수행하는백도어다. 애드윈드는유료서비스형태로배포된다고한다. 즉, 범죄자들이멀웨어를돈을주고구입해독자적으로사용한다는것이다. 이러한 고객 들이 2015년말까지적어도 1800명에달했다. 그 1800 명은 2015년말까지최소 443,000개의대상들을공격한것으로집계된다. 이번애드윈드변종에는탐지방해기능들도탑재되어있다고한다. 샌드박스탐지기능, 다양한백신및보안솔루션비활성화기능, 리버스엔지니어링방해기능등이발견됐습니다. 탐지및아니라분석도어렵다는것이죠. 서비스형멀웨어답게점점고급화되고있습니다. 보안업체는교육을통해수상한이메일을스스로걸러내도록하는게가장효과적인방어법이라고권장하고있다. 출처 : http://www.boannews.com/media/view.asp?idx=58 147&page=1&kind=1 10

02 이달의 TOP 워드문서 DDE 취약점을이용한국내표적공격주의한글자료연결기능을악용한국내표적악성코드주의되돌아보는 '17 5대보안이슈및 '18 보안위협동향 5가지 11 11

이달의 TOP 워드문서 DDE 취약점을이용한국내표적공격주의 개요 지단달에공개된워드 DDE 취약점은이미해외에서랜섬웨어를비롯한여러악성코드유포에사용되고있다. 이번에발견된워드문서의경우국내표적공격에사용된첫사례이다. 워드 DDE 취약점은기존의오피스매크로방식에비해제작이쉽고일반인들에게알려지지않아많은공격자들이사용할것으로예상되기때문에사용자들의각별한주의가필요하다. 내용 DDE는윈도우응용프로그램간에동일한데이터를공유하도록허용하는여러방법중하나이며마이크로소프트의엑셀과워드, 비주얼베이직을비롯한여러응용프로그램에서사용하고있다. 이번표적공격에사용된악성워드문서는 연구용역, 부품구매 등과관련된내용으로이메일을통해유포되었다. 수신자가해당문서를실행할경우 DDE(Dynamic Data Exchange) 취약점이발생한다. 해당취약점은두개의메시지창을띄우며사용자가확인버튼을누를경우악성파워쉘스크립트가동작하도록설계되어있다. 동작한악성파워쉘스크립트는국내소재인재서비스전문기업홈페이지에서추가악성코드를받아와실행한다. 이는기존의한글문서취약점을통해유포되고있는악성코드와동일한기능으로동일제작자의소행으로추정된다. [ 그림 1] 연구용역입금관련워드 DDE 취약점문서 12

이달의 TOP [ 그림 2] 악성파워쉘스크립트 예방법 (1) 출처가불분명한이메일첨부파일열람을자제하고, [ 그림 1] 과같은메시지창이발생하면 " 아니오 " 버튼을누른다. - " 이문서에다른파일을참조하는링크가있습니다. 연결된파일의데이터로이문서를업데이트하시겠습니까?" -> " 아니오 " (2) 워드프로그램에서 파일 옵션 고급 일반 문서를열때자동연결업데이트 항목의체 크를해제한다. [ 그림 3] 워드문서설정변경 바이로봇업데이트내역 대표진단명 DOC.S.Agent 작성자 : JK 13

이달의 TOP 한글자료연결기능을악용한국내표적악성코드주의 개요 최근워드파일 DDE 취약점처럼프로그램의정상기능을악용하여악성코드가유포되는정황이포착되었다. 이번에발견된한글문서도 자료연결 정상기능을악용하였으며별도의알림창없이본문클릭한번으로악성코드에감염되기때문에사용자가정상파일인지아닌지인지하기어렵다. 앞으로정상기능을악용한악성코드유포가증가할것으로예상되기때문에사용자들의각별한주의가필요하다. 내용 이번표적공격에사용된악성한글 (HWP) 문서파일은 자료연결 기능중 외부어플리케이션문서 에모든파일을지정할수있다는점과 OLE 개체삽입시개체가임시폴더에생성되는점을악용하였다. * 자료연결 : 한글에서설명을추가하고참고자료를지정하여하이퍼링크를연결하는정상기능이며연결할수있는자료의종류에는한글문서, 웹주소, 전자우편주소, 외부어플리케이션문서등이있다. [ 그림 1] 공고문으로위장한악성한글문서 14

이달의 TOP 해당한글문서는인터넷익스플로러브라우저를이용하여이메일에첨부된문서를실행할경우에만악성스크립트가실행되도록설계되었다. 공격자는일부사람들이이메일첨부파일을 PC에저장하지않고바로실행한다는점을노렸으며 자료연결 대상파일의상대경로방식에대한한계를극복하려는의도로파악된다. [ 그림 2] 악성스크립트가연결된한글 자료연결 기능 공격자는한글의 OLE 개체삽입기능을사용하여문서에악성스크립트 (VBScript) 를삽입하였다. 이후 자료연결 대상에해당스크립트의경로 ( 임시폴더 ) 를상대경로방식으로지정하였다. 사용자가한글문서를열람하면삽입된악성스크립트는임시폴더에생성되며 자료연결 이설정된본문을클릭할경우해당스크립트가실행되어동작한다. [ 그림 3] 악성스크립트실행 동작한악성스크립트는특정경로에악성코드를생성하고실행한다. 최종악성코드는윈도우명령처 리기 (CMD.EXE) 에인젝션되어동작하며감염 PC 의정보를수집하는등백도어행위를수행한다. 15

이달의 TOP [ 그림 4] 추가악성코드를생성하는악성스크립트 바이로봇업데이트내역 대표진단명 HWP.S.Exploit 대표진단명 VBS.S.Dropper 작성자 : JK 16

이달의 TOP 되돌아보는 '17 5 대보안이슈및 '18 보안위협동향 5 가지 2017 년 5 대보안이슈 1. 능동적이고지능화된랜섬웨어공격범람 2016년랜섬웨어시장은레드오션 (Red Ocean) 이되었다. 공격자들은랜섬웨어로더많은수익을창출하기위해지능적인수법을사용하기시작했다. 올해 5월에배포되었던워너크라이 (Wannacry) 랜섬웨어는 SMB 취약점을이용하여불특정다수의시스템을감염시키고스스로확산하도록제작되었다. 이로인해, 워너크라이랜섬웨어는전세계로빠르게유포되어대규모감염피해사태가발생하였다. 워너크라이랜섬웨어와는달리에레보스 (Erebus) 랜섬웨어는특정기업이나기관을타깃으로집중적인공격을시도했다. 공격자는 2017년 6월대형웹호스팅업체인 N사를타깃으로랜섬웨어를감염시켜 13억이라는기록적인액수의몸값을요구하기도했다. 17

이달의 TOP 2. 가상화폐비트코인타깃범죄기승 2017년가장뜨거운감자인비트코인의상승세가하늘을찌르자공격자들이비트코인을직접노리기시작했다. 1월에백만원대였던비트코인은꾸준한상승세를보이며 11월에는 8백만원가까이가치가상승했다. 이처럼꾸준하게상승세를보이는비트코인의가치와더불어거래추적이어렵다는이점때문인지올한해공격자들은해킹을통해다수의개인과기업을대상으로중요파일이나자료들을암호화하고비트코인을요구하기시작했다. 그예로최근 10월에는국내대형여행사인 H사를해킹한공격자가고객정보를빌미로 99 비트코인을요구한사건이발생했다. 공격자들은이에그치지않고직접비트코인을훔치기에이르렀고국내비트코인거래소를대상으로해킹을시도하여 Y업체와 C 업체두곳으로부터각각 55억원과 21억원상당의비트코인을탈취한사건도발생하였다. 올해발생한대부분의사이버해킹공격들이가상화폐인비트코인을탈취할목적으로빈번히발생했고앞으로도지속될우려가있어긴장감을늦출수없다. 3. 공급망을이용하는치명적인공격지속올해도정상프로그램의공급망을직접공격하는일명서플라이체인어택 (Supply Chain Attack) 의정황이포착되었다. 특히올한해는사용자수가많아영향력이높은프로그램들이주공격대상이되었다. 금융기관에서주로사용하는서버관리소프트웨어를제공하는업체인 N사가해킹을당해사용자들이위조된모듈을다운받는사건이발생했다. 위조된모듈은백도어 (Backdoor) 악성코드로개발단계에서이미악성코드가심어져유포된것으로파악된다. 이뿐만이아니라누적다운로드수가 20억이넘는 PC 최적화도구인 C 프로그램의다운로드서버가해킹당하는사건도있었다. 공격자들이다운로드서버에악성코드를심어정상파일을다운로드하는사용자들에게악성코드를다운받도록설계된것이다. 이처럼올해는사용자들의시스템기반환경을고려하여사람들에게영향을많이끼치는프로그램들을변조한후공격을시도한정황이빈번하게포착되어사용자들의불안감이다소증대되었다. 18

이달의 TOP 4. 사이버침해사고로개인정보의유출심각매년개인정보유출로몸살을앓고있지만올한해는특히나대형기업들의침해사고로인한고객정보유출사고가빈번히발생했다. 국내최대학술논문사이트에서총 3300만건에달하는대규모의개인정보가유출되어큰피해가발생했고이용자수가많은숙박업체는개인정보유출사고최초로책임자징계권고제재를받기도했다. 작년에이어또다시대형항공사에서개인정보가유출되었고여행사, 인터넷쇼핑몰과같은사이트에서도개인정보가유출되었다. 연이어화장품이나식품등업종을가리지않고개인정보유출사고가터지며개인정보가더이상개인의정보가아니게되었다. 유출된개인정보는블랙마켓에서거래되거나제2의범죄에사용되어그피해가 1차피해고객에게고스란히돌아간다. 그렇기때문에고객의개인정보는철저한보안과위협에대한상시점검이필요하다. 5. 사회공학적기법을이용한표적형 APT 공격의보안위협작년에이어올해에도표적형공격이끊임없이발생했다. 특히올해는악성코드를유포하는메일이더욱더지능화되어정상적으로보낸메일과흡사하거나기존에미리탈취한일반사용자의메일계정으로발송하기때문에사용자들이의심이나별다른장애없이악성코드에감염될수밖에없다. 대통령선거시즌에는후보자들의안보정책등의문서로위장하여악성코드를유포하였고대기업공채시즌에는입사지원서로위장한악성코드가인사담당자에게유포되었으며대학교시험시즌에는교수님에게보내는수업문의사항으로위장한악성코드가유포되는등국내정세를정확하게파악한악성메일들이유포되었다. 또한, 블로거들에게는자신의사진이올라간게시글을지워달라는메일에악성코드를첨부하여보내는정황도다수포착되었다. 이외에도금융감독원, 국세청, 경찰청등공신력있는기관을사칭하여일반사용자들을노린악성스피어피싱 (Spear Phising) 메일이다수발송되어사회적혼란을야기했다. 앞으로도 APT 공격은더욱더지능화되어사용자들에게악성코드를배포할수있으므로메일확인시에각별한주의가필요하다. 19

이달의 TOP 2018 년보안위협동향 5 가지 1. 해킹공격의대상과목표의변화 13억원의피해를봤던호스팅업체의랜섬웨어사건과 55억원의피해를봤던비트코인거래소해킹사건이후보안트렌드가변화하고있다. 지금까지는다수의개인을상대로악성코드를유포하여개개인의통장에서비교적작은금액을얻어가는형태가보편적이었다면이제는개인이아닌기업을향한공격이증가하고있다. 큰금액을지급할수있는능력이있는기업들을타깃으로삼으면한번의공격으로더많은이익을얻을수있기때문이다. 이미 2017년부터기업에게큰돈을요구하는해킹사건이다수발견되고있으며 2018년에는더욱더큰규모의해킹사건이발생할가능성이높기때문에기업의보안대책의점검이필요하다. 2. 은닉 (Concealment) 의극대화, 기반공급망을이용한공격증가정상소프트웨어개발및배포단계에서부터악성코드를숨기는공급망공격 (supply chain attack) 의증가세가계속되고있다. 특히사용자수가많고한번에큰위협을줄수있는소프트웨어를노리는공격이증가할것으로보인다. 공급망공격은주로소프트웨어개발사를해킹하여악성코드를심고사용자의 PC에서소프트웨어업데이트시악성코드에자동으로감염되도록하는공격이다. 공급망공격은표적기관의보안시스템이탐지하기이전에이루어지기때문에위험성이더욱더높다. 개발초기단계에서도공격할수있고유지보수를위한업데이트서버를통해서나장비납품과정에서도공격할수있기때문에그어느과정에서도절대안심할수없다. 3. 증가하는파일리스악성코드그리고제로데이위협 2017년에도파일리스 (Fileless) 악성코드가꾸준하게등장했다. 파일리스악성코드는실제로파일이존재하지않고정상프로그램에코드를삽입하여메모리상으로동작하는악성코드이다. 때문에보편적인악성코드탐지방법으로는탐지하기가까다롭다. 이러한파일리스악성코드가워너크라이랜섬웨어사태처럼강력한제로데이취약점과만나유포된다면어떻게될까. 이미올해파일리스악성코드를통한금융권공격이성공하였고워너크라이사태를통해제로데이를통한악성코드유포가엄청난파급력을일으킬수있다는것이증명되었다. 2018년이둘이결합하여더무시무시한공격으로되돌아올지도모른다. 4. 리눅스악성코드의증가와사물인터넷 (Internet of Things) 의보안위협관계 4차산업혁명이급격하게이루어지면서 2018년에는사물인터넷 (IoT) 기기의수가휴대폰의수를능가할것으로예측되고있다. IoT의증가로인해리눅스악성코드가지속적인증가세를보이고있으며다양한플랫폼에서동작하는크로스플랫폼악성코드또한증가할전망이다. 대규모의디도스 (DDoS) 공격을발생시키는미라이 (Mirai) 악성코드의소스코드공개와기하급수적으로늘어나고있는 IoT 기기의수의조합으로 2018년, 또다시대규모디도스공격이찾아올지도모른다. 또한, IPTV, IP 카메라같은기반시설물을해킹하여사생활침해를시도하는범죄도증가할것으로예상된다. 20

이달의 TOP 5. 북한발악성코드로위장한모방공격사례증가특정사이버공격이북한발악성코드라는것을어떻게알수있을까. 지속적으로대규모의공격을하는해킹그룹은저마다의고유의특징을가지고있다. 북한발공격도그러한특징을가지고있기때문에전문가들이북한의소행이다아니다를추측할수있는것인데최근이런북한발공격의특징을모방한사례가종종발생하고있다. 대규모그룹의공격중에특히북한발사이버공격은어디에서나주목을받고있기때문에북한이아닌다른그룹에서자신들의공격을은폐하기위해북한발공격의특징을모방하기도한다. 또한정치적인목적에의해서북한발공격을모방하는사례도꾸준히발견되고있어 2018년에도북한발악성코드를모방하는사례들이지속적으로발생할것으로보인다. 작성자 : herme_dike 21

03 보안컬럼 은밀하게위대하게 - Supply chain attack 파일압축좀풀어주실분..? 22

은밀하게위대하게 - Supply chain attack 과거보안위협에관련한강의에서강연자가목표를공격하는두가지방법에대해언급한적이있다. 바로 Direct Hit와 Indirect Hit였다. Direct Hit는말그대로목표를직접공격하여목적을이루는방법을말하고 Indirect Hit는목표를직접공격하지않고다른곳을공격하여그여파로목적을이루는방법이다. 이두방법은아주큰분류에해당되기때문에여기에서파생된많은가지가생길수있다. 본문서에서는 Indirect Hit 방법중에서최근유명세를떨치고있는공급망공격 (Supply Chain Attack) 에대한이야기를해보고자한다. 보안컬럼 코드는 Petya( 혹은 Not Petya) 라고불리는랜섬웨어로컴퓨터가부팅될수있도록도움을주는 MBR 영역을암호화하여컴퓨터의이용자체를하지못하도록한다. [ 그림 2] Petya 랜섬웨어감염사진 공급망공격 (Supply Chain Attack) 공급망공격을네이버사전을통해검색해보면아 래와같은내용을찾을수있다. 이랜섬웨어가유포될때바로공급망공격기법이사용되었다. 우크라이나의은행권에서는회계관리의편의를위해미독 (MeDoc) 이라는회계관리프로그램을사용하고있었다. [ 그림 1] Supply Chain Attack 의정의 혹은 프로그램의개발단계에서악성코드를삽입하여유포 하는공격방식으로표현되기도한다. 즉, 악성코드가취약점등을통해서감염되는것이아니라우리가평소에사용하는정상프로그램에내장된채유포가되는것이다. 사용자가스스로제품을설치혹은업데이트하면악성코드에감염된다. 기존에없던새로운공격방식은아니지만 2017년한해동안악성코드유포에많이사용되어이슈가되었다. 국외 MeDoc 감염사례 2017년 6월말우크라이나의은행에서시스템부팅이되지않도록하는랜섬웨어에감염되어업무가마비되는사태가발생했다. 당시유포된악성 [ 그림 3] MeDoc을통한 Petya 랜섬웨어유포해커는이회계관리프로그램의업데이트서버에 Petya 랜섬웨어를업로드시켜사용자가새로운버전으로업데이트할때랜섬웨어가설치되도록하였다. 추가적으로 smb 취약점을이용하여네크워크상에존재하는다른 PC로전파되어미독프로그램을사용하지않는 PC에도랜섬웨어가감염되는사례도발생하였다. 은행권내의랜섬웨어감염으로인해장비의복구에필요한비용과금융거래의마비에따른경제적피해가발생하였다. 23

국외 CCleaner 감염사례씨클리너 (CCleaner) 는 PC의최적화를위해사용하는도구로전세계적으로유명한프로그램이다. 약 1억 3만명이사용하는이 PC 관리프로그램은누적다운로드수가 20억회이상이될정도로높은인지도를가지고있다. 하지만이씨클리너가악성코드유포에이용되었다는것이밝혀졌다. 시스코탈로스팀은 2017년 8월부터 9월까지약한달간배포된씨클리너의최신버전에악성코드가포함된것을발견하였다. 배포된기간동안약 227만명의사용자가악성코드가포함된씨클리너를다운받았다. 이중일부가해커들의백도어로도사용되었다. 씨클리너에포함된악성코드는국내외대형 IT기업의내부네트워크를검색하고목표한기업의 PC가감염되는경우 2차악성코드를다운로드하도록개발되었다. [ 그림 4] IT기업정보를노린 CCleaner 공격사례내부네트워크에서동작하게되는 2차악성코드의감염사례는보고된바없지만 PC 관리자가흔하게사용하는최적화도구를이용하여기업네트워크의내부로침입하고자했던사례이다. 보안컬럼 스서버관리를위해이제품의무료개인라이선스용프로그램을사용하고있다. 2017년 8월 4일보안업체카스퍼스키랩은리눅스서버관리자에게는익숙한이소프트웨어의한라이브러리 (2017년 7월 18일빌드버전 ) 에서악성코드가포함된것을발견하였다. [ 그림 5] 서버관리프로그램에잠입한백도어넷사랑의소프트웨어역시 1달여간취약한상태로일반및기업사용자들에게배포되었다. 포함되어있던악성코드는 쉐도우패드 라불리는백도어형악성코드로해커의명령에따라 Petya와같은랜섬웨어를감염시킬수도있고씨클리너의사례처럼특정기업을목표로 2차감염을시도할수도있다. 넷사랑을통해악성코드를유포한해커의목적이무엇인지는아직밝혀진바없다. 유포된악성코드가백도어인것은확인되었으나추가적인악성행위가발견되지않은상태로패치된버전이업데이트되었다. 국내넷사랑감염사례국내에도이와같은사례가발견된적이있다. 바로국내소프트웨어개발업체인넷사랑감염사례다. 넷사랑은국내의리눅스서버및 IT 관리자들의서버관리의편의를위한소프트웨어를제공하는업체이다. 기업용리눅스서버통합관리를위한매니지먼트소프트웨어나원격접속 SSH 툴등이대표적이다. 필자도개인적으로운용하는리눅 [ 그림 6] 넷사랑의취약버전업데이트공지해커의목적이무엇인지밝혀지지는않았지만서버에접근하는넷사랑의소프트웨어특성상서버관리자가접근가능한중요자원을노리고공격한 24

보안컬럼 것이라는추측이가능하다. 그목적이특정기업일지, World Wide한것일지는모르지만말이다. 공급망공격은 2017년한해동안많은사례가있었던것은아니지만특유의영향력과전파력의강력함으로이슈가되어 [ 꼭봐야할 2018년보안위협동향 ] 으로선정되기도했다. 2017년이전까지는기업을타겟으로한공격보다일반사용자를대상으로한악성코드유포가더많았다. 그러나 2017년에들어서해커들에게티끌모아태산이아닌한탕주의적공격이유행처럼번지고있는듯하다. 공급망공격의카테고리에어울리지않아빠졌지만일반사용자에게서랜섬웨어를감염시키고몇십 ~ 몇백만원을요구하던공격자들이나야나사태를통해억단위수익을얻은사례가있었다. 우크라이나의 Petya 사태는해커가금전적인이익을얻은것은아니지만업무가마비되는사태로인해매출피해와영업피해를포함해약 9,550억원의피해가있었던것으로추산된다. (2017년 7월기준 ) 악성코드의유포는점점더은밀해지고피해규모는거대해지고있다. 특정기업의보안수준이높다고하더라도기업에서사용되는소프트웨어가취약하다면위와같은사례의주인공이될수있을것이다. 다가오는 2018년에는기업혹은개인의보안만큼기업과기업, 개인과개인을연결하는고리 (chain) 에대한보안도고려해야하는해가되지않을까생각한다. 작성자 : 09re 25

파일압축좀풀어주실분..? Vortex 랜섬웨어분석 보안컬럼 Password 값을입력하면 AES 암호화방식으로압 축해준다. 필자는한달전 Vortex( 보텍스 ) 랜섬웨어를처음발견했다. Vortex는폴란드어로소용돌이라는뜻이다. 보텍스랜섬웨어는 2017년초에발견된것으로 Polski( 폴스키 ) 랜섬웨어의다음버전이다. Polski는폴란드어로 폴란드어 라는뜻이다. 분석에들어가기전 [ 그림 1] 은보텍스의행위를도식화한것이다. [ 그림 3] 깃허브에있는 AESxWin 오픈소스 2. 보텍스의행위분석 2-1. 자동실행등록윈도우부팅시에랜섬웨어가자동으로실행될수있도록 [ 그림 4] 와같이레지스트리를등록한다. [ 그림 1] 보텍스랜섬웨어도식화 1. 분석시작보텍스랜섬웨어에의해암호화된파일들은 [ 그림 2] 와같이일반압축프로그램을사용하면원본파일을확인할수있다. 압축을해제할수있는암호는공격자만가지고있다. [ 그림 4] 자동실행레지스트리등록 2-2. Keyboard 디렉토리생성암호화과정을로깅할파일을저장하기위해 Keyboard 디렉토리를생성한다. - 생성디렉토리 : C:\\ProgramData\\KeyBoard [ 그림 2] 압축프로그램과비슷한화면 암호화된파일들은 AESxWin 프로그램을이용하여 압축되어있다. AESxWin 프로그램은깃허브에오 픈소스로공개되어있으며압축에사용할 [ 그림 5] Keyboard 디렉토리생성 파일암호화시행위가잘이루어지는지 [ 그림 6] 26

보안컬럼 과같이로그를남긴다. 암호화가이루어지고있 는디렉토리등을기록한다. - 로그파일포맷 : 일월년 _ 시분초.log [ 그림 9] password 값을받는배치파일 [ 그림 6] 암호화로깅파일 [ 그림 6] 과다르게인터넷이안되거나암호화가이루어지지않는등의오류가발생하면.error 확장자의파일이생성된다. 2-5 수집된정보와 Password 전송수집한 IP, Computer ID, date 정보와 C&C 서버에서받아온 Password 값은다시 C&C 서버에인자값으로전송된다. - C&C: e-xbau.pl/alien/post.php 2-3. IP / Computer ID / Date 수집사용자 PC의 IP, Computer ID, 날짜를수집한다. Computer ID는보텍스가감염 PC를구별하기위해랜덤으로생성한값이다. 아래 [ 그림 7] 처럼감염 PC의레지스트리에 Computer ID 값을남겨둔다. - 레지스트리경로 : HKCU\Software\AESxWin [ 그림 7] Computer ID 값레지스트리등록 [ 그림 8] 사용자 PC에저장된모습 [ 그림 10] URL 파라미터값으로전송될정보 2-6. 암호화대상디렉토리 / 제외디렉토리선정암호화대상디렉토리와제외디렉토리를정한다. 보통은최상위디렉토리부터암호화를진행하지만보텍스는그와는다른특이점이발견되었다. 1) 암호화대상디렉토리 (Startpaths) 13개암호화대상디렉토리는 13개경로에 GetDrive 함수로나오는드라이브값에따라개수가추가될수있다. 여기서 [ 그림 10] 의배열순서가중요하다. 배열의순서는곧암호화할디렉토리의우선순위가된다. 중요디렉토리 ( 내문서 / 최근문서 / 그림 / 음악등 ) 를우선암호화하고최상위디렉토리인 C 드라이브는가장마지막에진행한다. 2-4. Password 수신 Password는 C&C 서버에서받아와배치파일로저장한다. 현재는 C&C 서버에연결이되지않아확인이불가하다. - C&C : e-xbau.pl/cgi-sys/suspendedpage.cgi [ 그림 11] 암호화대상디렉토리 27

보안컬럼 2) 암호화제외디렉토리 (ignorespaths) 5개 1) 의마지막암호화대상인 C 드라이브의암호화를진행하면서암호화하지않을하위폴더를 5개선정한다. [ 그림 12] 암호화제외디렉토리 2-7. 볼륨쉐도우삭제 cmd 명령어처리기를이용하여볼륨쉐도우를삭제한다. 해당명령어는윈도우의복구지점을없앤다. - 명령어 : Vssadmin.exe Delete Shadows /All Quiet [ 그림 14] 확장자배열 Image_ext 2) 그외확장자배열 Code_ext (9가지) / Video_ext (15가지) / Audio_ext (6가지) / Document_ext (5가지) / Compressed_ext (9가지) [ 그림 13] 윈도우복구지점삭제 2-8. 파일암호화대상의확장자파일암호화대상은여섯개의배열에나누어져저장되어있으며총 400개이상의확장자를대상으로암호화를수행한다. 각배열에저장된확장자중에서는중복된확장자도다수존재한다. 1) 이미지확장자배열 [ 그림 15] 그외확장자명 2-9. 파일암호화진행정상 AESxWin 프로그램같은경우사용자가정해놓은구간만타겟팅하여암 / 복호화가이루어진다. 보텍스가사용하는변조된 AesxWin은자동으로암호화진행을하기위해 while 문이추가되었다. 함수명도 AESxWinAuto로변경되어있다. [ 그림 16] 반복문과 AESxWinAuto 28

감염대상경로와 2-2의배치파일에들어있던 Password 값을인자로받아암호화를진행한다. [ 그림 17] 파일암호화 보안컬럼 암호화를도는구간마다감염사실을알리는 txt 파일을생성한다. 감염내용에는대략 문서를읽고싶습니까? 다른사람들과대화를할수있습니까? 좋아하는음악을듣고재생할수있습니까? 와같은내용과함께파일이 AES-256 알고리즘으로암호화되었다며 200달러를요구하는내용이들어있다. 암호화가완료된파일은 [ 그림 18] 처럼.AES 파일 로생성한다. 완료후 test.txt 는삭제된다. [ 그림 18] 암호화를마친.aes 파일 [ 그림 21] 보텍스랜섬웨어감염화면 랜섬웨어가제기능을하는지확인하기위해 password값을 123 으로바꾸고파일을암호화를진행해보았다. 이후패스워드를입력하여아래와같이복호화되는것을확인하였다. [ 그림 19] Password 값 (123) 입력 보텍스랜섬웨어제작자가왜 AESxWin 오픈소스를이용해압축했을까생각해보았다. 다른랜섬웨어같은경우파일의복호화를제공하려면별도의디크립터파일을보내줘야한다. 보텍스랜섬웨어같은경우는파일의압축해제패스워드만가지고있어도파일이복호화된다. 간단히패스워드만주면된다는이점때문에오픈소스를이용하지않았나추측을해본다. 또한압축비밀번호를브루트포싱공격으로뚫을수있을거란생각을가질수있다. 하지만해당파일의비밀번호는 40자로이루어져브루트포싱을하기는어렵다. 그리고보텍스랜섬웨어는암호화속도가느린편이다. 이것은폴더에우선순위를가지고암호화를진행한이유가될수있다. 작성자 : ch2exe [ 그림 20] 복호화된파일 2-10. 보텍스랜섬웨어감염화면 29

보안컬럼 04 월간악성코드상세분석 개인정보유출사건에이용된악성코드 30

월간악성코드상세분석 개인정보유출사건에이용된악성코드 개요지난 10월, H 모회사가악성코드에의해개인정보가유출되는사고가발생하였다. 이때사용된악성코드는다른몇몇회사에서도발견되었으며대규모공격이있었을것으로보이는정황이나오고있다. 발견된악성코드들은주로백도어였으며특정서버에접속을확인하는툴과정상터미널접속프로그램도함께발견되었다. 이번호상세분석에서는금번에발견된백도어두종류에대해분석해보았다. Type 1. 악성코드 해당악성코드는 Themida 로패킹되어있다. [ 그림 1] Themida 패킹정보 프랑스에위치한 C&C 서버에연결하여동작한다. [ 그림 2] C&C 연결 스레드를생성하여 C&C 서버에특정 4byte 값을전송하고수신한 4byte 를특정값과비교한다. - Send : 0x58294517, Recv : 0x36138321 31

월간악성코드상세분석 [ 그림 3] C&C 와기본통신값 감염 PC 에서수집한컴퓨터이름, 사용자계정, 도메인정보, 윈도우버전을특정알고리즘을사용하여 암호화한후전송한다. [ 그림 4] 수집된정보 ( 왼쪽 ) 와암호화된정보 ( 오른쪽 ) 32

월간악성코드상세분석 C&C 서버에서수신한값을 XOR 연산한후특정값인지비교하며일치할경우명령코드에따라악성행 위를수행한다. - 비교값 : 0x86145107 [ 그림 5] 수신값비교 [ 그림 6] 명령코드 33

월간악성코드상세분석 - 명령코드별악성행위 명령코드 행위 0x14 수신데이터복호화 0x15 특정변수 +1 증가 0x16 특정메일슬롯에데이터입력 (IPC 통신 ) 0x17 특정메일슬롯이존재하는지확인 (IPC 통신 ) 0x18 파일생성 [ 표 1] 명령코드별악성행위 Type 2. 악성코드 해당악성코드가실행되면 C&C 서버에연결을시도한다. C&C 서버에연결실패시 1 초대기후재연 결을시도한다. [ 그림 7] 접속및대기 소켓을생성하고 C&C 서버에 443 포트로연결을시도한다. [ 그림 8] C&C 서버접속 연결에성공할경우시스템정보를탈취한다. 탈취정보 : 스크린사이즈, 관리자여부, CPU 정보, 사용자이름및호스트명, 시스템정보, 34

월간악성코드상세분석 OS 버전, 메모리사용량등 [ 그림 9] 정보탈취및취합 [ 그림 10] 화면크기탈취 [ 그림 11] 관리자계정확인 35

월간악성코드상세분석 [ 그림 12] CPU 정보확인 [ 그림 13] 사용자및호스트명탈취 [ 그림 15] 사용중인 IP 확인 36

월간악성코드상세분석 [ 그림 16] 시스템버전및정보탈취 [ 그림 17] OS 버전정보탈취 [ 그림 18] 메모리사용량탈취 37

월간악성코드상세분석 탈취한시스템정보를 C&C 서버에전송한뒤명령을수신한다. 수신되는명령코드에따라다음과같은악성행위를수행한다. 명령코드 악성행위 0x07D2 프로세스정보획득 0x07D3 특정프로세스종료 0x07D4 현재실행중인창의이름전송 0x07D7 특정프로세스에 WM_CLOSE 메시지전송 0x07DA 시스템에연결된저장소정보전송 0x07DC 지정폴더의파일목록과파일사이즈탈취 0x07DE 수신받은인자에해당하는파일과경로에파일복사 0x07E0 수신받은인자에해당하는파일삭제 0x07E2 수신받은인자에해당하는파일과경로에파일이동 0x07E6 특정파일데이터탈취 0x07E8 폴더와파일목록탈취 0x07EA 수신받은인자에따라특정파일을보이거나보이지않게실행 0x07EE 지정경로의파일다운로드 0x0802 현재화면캡쳐및탈취 0x0804 화면캡쳐종료 0x0820 시스템에설치된서비스의상태확인 0x0821 지정서비스시작명령 0x0822 지정서비스중지명령 0x0BC2 설치된프로그램목록탈취 0x0FA1 파이프를통한 CMD 제어 0x0FA2 추가인자를수신해 CMD 파이프에전달 0x0FA3 CMD 파이프종료 [ 표 2] 명령코드별악성행위 이처럼침투된악성코드는다양한행위를수행할수있다. 보통의경우정보수집 / 탐색과추가악성코드를받을수있는백도어가먼저침투되며정보수집을통해타겟이확인될경우터미널통신프로그램등을내부에서사용하여원하는정보를탈취하는과정을거치고있다. 기업의정보보호담당자들은이러한공격에유의해야할것으로보인다. 작성자 : 보안분석팀 38

05 모바일악성코드상세분석 스마트폰에서진행되는 DDoS 39

모바일악성코드상세분석 스마트폰에서진행되는 DDoS 지난 9월에발견된 WireX라는앱은봇넷에감염된안드로이드단말기에구글플레이스토어에등록된여러악성앱중하나를실행시켜 DDoS 공격을수행하도록설계되었다. C&C 서버로부터명령을받게되면 UDP Flood 공격이나여러 WebView를생성하여특정사이트에접속하는방법으로다량의트래픽을유발시킨다. 이번매거진에서는 DDoS봇넷으로이용되는 WireX 앱을분석해보았다. 분석한 WireX는 DeviceAnalysis라는정상앱을리패키징한악성앱이며아이콘의모양은다음과같다. [ 그림 3] 공격대상지에접속 C&C 서버로부터공격할 URL, Port를받아와서대상지에 UDP Flood 공격을한다. - C&C 서버로부터 URL, Port값수신 [ 그림 1] 악성앱아이콘 WireX 앱이실행되기위한권한은다음과같다. 악성앱권한 android.permission.internet android.permission.access_network_state android.permission.access_wifi_state [ 표 1] 권한목록 [ 그림 4] C&C 서버에접속 50 개의스레드를생성한다. [ 그림 5] 스레드생성 C&C 서버로부터공격할 URL, UserAgent, Referer 값을받아와서공격할사이트를접속한다. - C&C로부터 URL, UserAgent, Referer 정보를수신 512Byte 의데이터를 10,000,000 회전송하여공 격을진행한다. - 총공격트래픽 : 238GB [ 그림 6] 트래픽유발 [ 그림 2] C&C 서버에접속 - WebView 를 20 개생성해서공격대상에접 속 공격서비스들을실행시킨다. 40

[ 그림 7] 공격서비스실행테스트서버를구축하여 UDP Flood 공격테스트를시도해보았다. - C&C 서버를테스트서버주소로변경 모바일악성코드상세분석 안드로이드악성코드는날이갈수록정교하고이전에는볼수없었던공격방식과기능으로계속진화하고있다. 또한악성코드가심어진앱이구글플레이스토어에정식으로등록되는일도증가하고있다. 즉, 구글플레이스토어에정식으로등록된앱을무조건신뢰할수없는시기가된것이다. 사용자는스마트폰에백신앱을설치하고꾸준한검사와최신의엔진으로항상업데이트해야만악성앱으로부터보호할수있다. 작성자 : KYH [ 그림 8] 악성앱리패키징 - 테스트서버로 UDP Flood 공격 [ 그림 9] UDP Flood 공격테스트결과 이번에발견된 WireX 앱은설치후 C&C 서버와통신하기전까지는악성행위를하지않아구글플레이스토어에정상적으로등록될수있었다. 악성행위가확인된이후구글은 WireX 봇넷이아직작은규모로활동하고있지만대부분러시아, 중국및기타아시아국가에서활동하고있다. 라고발표하였고 WireX 앱을발견즉시차단하였다. 41

모바일악성코드상세분석 감사합니다. ( 주 ) 하우리 www.hauri.co.kr 서울시종로구율곡로 238( 예일빌딩 ) 7 층 TEL. 02-3676-1100 FAX. 02-3676-8011 42