ASEC REPORT VOL.75 March, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

Security Trend ASEC REPORT VOL.75 March, 2016

ASEC REPORT VOL.75 March, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2016 년 3 월보안동향 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 Table of Contents 4 6 7 2 보안이슈 SECURITY ISSUE 01 금융정보를탈취하는신종모바일랜섬웨어, Xbot 02 POS 시스템노리는악성코드국내유포주의 10 14 3 악성코드상세분석 ANALYSIS IN-DEPTH 2016 년 1 분기주요랜섬웨어동향 18 2

1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계

보안통계 01 악성코드통계 Statistics ASEC이집계한바에따르면, 2016년 3월한달간탐지된악성코드수는 1,321만 2,012건으로나타났다. 이는전월 1,183만 547건에비해 138만 1,465건증가한수치다. 한편 3월에수집된악성코드샘플수는 354만 8,581건이다. 40,000,000 30,000,000 20,000,000 10,000,000 15,061,417 11,830,547 13,212,012 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 5,167,710 3,493,468 3,548,581 탐지건수샘플수집수 1 월 2 월 3 월 [ 그림 1-1] 악성코드추이 (2016 년 1 월 ~ 2016 년 3 월 ) * 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 4

[ 그림 1-2] 는 2016 년 3 월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그 램인 PUP(Potentially Unwanted Program) 가 57.33% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 17.78%, 웜 (Worm) 이 3.68% 의비율로그뒤를이었다. 0.2% 0.82% 3.68% 17.78% 57.33% 20.19% PUP etc Trojan Worm Adware Downloader [ 그림 1-2] 2016 년 3 월주요악성코드유형 [ 표 1-1] 은 3 월한달간탐지된악성코드중 PUP 를제외하고가장빈번하게탐지된 10 건을진단명기준으 로정리한것이다. Trojan/Win32.Starter 가총 28 만 7,193 건으로가장많이탐지되었고, Malware/ Win32.Generic 이 12 만 9,017 건으로그뒤를이었다. [ 표 1-1] 2016년 3월악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 Trojan/Win32.Starter 287,193 2 Malware/Win32.Generic 129,017 3 Trojan/Win32.Agent 110,699 4 Unwanted/Win32.HackTool 101,161 5 Trojan/Win32.Banki 89,940 6 Trojan/Win32.Teslacrypt 85,658 7 Trojan/Win32.Injector 78,698 8 Trojan/Win32.Neshta 78,147 9 Unwanted/Win32.Keygen 74,648 10 HackTool/Win32.Crack 74,607 5

보안통계 02 웹통계 Statistics 2016 년 3 월에악성코드유포지로악용된도메인은 1,587 개, URL 은 8,146 개로집계됐다 ([ 그림 1-3]). 또 한 3 월의악성도메인및 URL 차단건수는총 715 만 7,616 건이다. 9,000,000 8,000,000 7,157,616 7,000,000 6,000,000 6,084,376 6,355,582 5,000,000 4,000,000 40,000 30,000 20,000 10,000 1,093 9,911 936 7,900 1,587 8,146 악성도메인 /URL 차단건수 악성코드유포도메인수 0 1 월 2 월 3 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 (2016 년 1 월 ~ 2016 년 3 월 ) * 악성도메인및 URL 차단건수 란 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 6

보안통계 03 모바일통계 Statistics 2016 년 3 월한달간탐지된모바일악성코드는 25 만 6,512 건으로나타났다. 700,000 600,000 500,000 400,000 300,000 275,885 323,301 256,512 200,000 100,000 0 1 월 2 월 3 월 [ 그림 1-4] 모바일악성코드추이 (2016 년 1 월 ~ 2016 년 3 월 ) 7

[ 표 1-2] 는 3 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. Android-PUP/ SmsPay 가가장많이발견되었다. [ 표 1-2] 2016 년 3 월유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/SmsPay 47,039 2 Android-PUP/SmsReg 35,088 3 Android-PUP/Noico 18,872 4 Android-PUP/Dowgin 15,098 5 Android-Trojan/Moavt 8,782 6 Android-PUP/Shedun 8,302 7 Android-PUP/Zdpay 6,627 8 Android-PUP/Kuguo 5,771 9 Android-PUP/Wapsx 5,313 10 Android-Trojan/FakeInst 5,066 8

2 보안이슈 SECURITY ISSUE 01 금융정보를탈취하는신종모바일랜섬웨어, Xbot 02 POS 시스템노리는악성코드국내유포주의

보안이슈 01 금융정보를탈취하는신종모바일랜섬웨어, Xbot Security Issue 윈도우 (Windows) 기반의랜섬웨어로인한피해가다수보고되고있는가운데, 최근랜섬웨어기능을가진신종안드로이드악성앱 Xbot이발견됐다. 지난 2015년 5월경부터발견되고있는 Xbot은사용자의신용카드및은행계좌정보를탈취하고, 기기내의데이터를암호화한다. 또한정기적인업데이트를통해꾸준히진화하고있어모바일랜섬웨어로인한금융피해가우려된다. 다음은구글플레이아이콘으로위장하고있는 Xbot 을분석한내용이다. 먼저해당안드로이드악성앱의 manifest 정보를통해권한정보를확인하면다음 [ 표 2-1] 과같이악성행위에필요한다수의권한을요구하고있다. 표 2-1 manifest 정보 <manifest android:versioncode="1" android:versionname="1.0" package="com.replayroll.core" platformbuildversioncode="15" platformbuildversionname="4.0.4-1406430" xmlns:android="http://schemas.android.com/apk/res/android"> <application android:allowbackup="true" android:icon="@ drawable/icon" android:label="installer"> <activity android:label="installer" android:launchmode="singletop" android:name="com.replayroll. core.mainactivity"> <intent-filter> <action android:name="android.intent.action.main" /> <category android:name="android.intent.category. LAUNCHER" /> </intent-filter> </activity> <activity android:label="" android:launchmode="singletop" android:name="com.replayroll.core.activities.browseractivity" /> <activity android:label="" android:launchmode="singletop" android:name="com.replayroll.core.activities.browser" /> <activity android:label="" android:launchmode="singletop" android:name="com.replayroll.core.lck.lock" /> <activity android:label="" android:launchmode="singletop" android:name="com.replayroll.core.activities.googlecc" /> <activity android:label="" android:launchmode="singletop" android:name="com.replayroll.core.activities.inject" /> <activity android:label="" android:launchmode="singletop" android:name="com.replayroll.core.activities.bankapp" /> <activity android:label="" android:launchmode="singletop" android:name="com.replayroll.core.activities.runscript" /> <activity android:label="" android:launchmode="singletop" android:name="com.replayroll.core.adminactivity" /> <activity android:label="" android:launchmode="singletop" android:name="com.replayroll.core. CCNotificationResultActivity" /> <service android:name="com.replayroll.core.runservice" /> <receiver android:name="com.replayroll.core. OnBootHandler"> <intent-filter> <action android:name="android.intent.action.boot_ COMPLETED" /> </intent-filter> </receiver> <receiver android:name=".smshandler"> <intent-filter android:priority="2147483647"> <action android:name="android.provider.telephony. 10

SMS_RECEIVED" /> </intent-filter> </receiver> <receiver android:label="admin" android:name="com. replayroll.core.adminreceiver" android:permission="android. permission.bind_device_admin"> <meta-data android:name="android.app.device_admin" android:resource="@xml/ok" /> <intent-filter> <action android:name="android.app.action.device_ ADMIN_ENABLED" /> </intent-filter> </receiver> <receiver android:name=".sms.sentreceiver"> <intent-filter> <action android:name="sms_sent" /> </intent-filter> </receiver> <receiver android:name=".sms.deliveredreceiver"> <intent-filter> <action android:name="sms_delivered" /> </intent-filter> </receiver> </application> <uses-permission android:name="android.permission. INTERNET" /> <uses-permission android:name="android.permission.wake_ LOCK" /> <uses-permission android:name="android.permission.read_ SMS" /> <uses-permission android:name="android.permission. RECEIVE_SMS" /> <uses-permission android:name="android.permission.read_ EXTERNAL_STORAGE" /> <uses-permission android:name="android.permission.write_ EXTERNAL_STORAGE" /> <uses-permission android:name="android.permission.read_ PHONE_STATE" /> <uses-permission android:name="android.permission.send_ SMS" /> <uses-permission android:name="android.permission. RECEIVE_BOOT_COMPLETED" /> <uses-permission android:name="android.permission.read_ CONTACTS" /> <uses-permission android:name="android.permission. ACCESS_FINE_LOCATION" /> <uses-permission android:name="android.permission. ACCESS_MOCK_LOCATION" /> <uses-permission android:name="android.permission. ACCESS_LOCATION_EXTRA_COMMANDS" /> <uses-permission android:name="android.permission.bind_ DEVICE_ADMIN" /> <uses-permission android:name="android.permission.get_ TASKS" /> <uses-permission android:name="android.permission. ACCESS_NETWORK_STATE" /> <uses-permission android:name="android.permission. MODIFY_AUDIO_SETTINGS" /> <uses-permission android:name="android.permission. DEVICE_POWER" /> <uses-permission android:name="android.permission. SYSTEM_ALERT_WINDOW" /> </manifest> 해당앱의설치과정을살펴보면 [ 그림 2-1] 과같이주소록및메시지접근, SD 카드내의콘텐츠수정등의권한을갖고있는것을확인할수있다. 그림 2-1 악성앱설치과정 1 설치가완료되면 [ 그림 2-1] 의오른쪽화면과같이사용자의스마트폰에구글플레이스토어아이콘이생성되며, 해당앱을실행하면관리자권한을획득하기위해휴대폰관리자활성화를요구한다. 대다수의악성안드로이드앱은휴대폰관리자권한을요구하는데, 사용자가관리자권한을활성화하면악성앱은스스로를보호하기위해사용자가다시활성화해제하는것을방해한다. 11

그림 2-2 악성앱설치과정 2 그림 2-4 정보탈취용은행위장페이지 악성앱이동작하면 [ 그림 2-3] 과같이 RunService 클래스를통해카드정보수집페이지로이동한다. 또한, [ 그림 2-5] 와같이잠금패스워드를 1811blabla 로재설정하는코드도확인된다. 해당코드가정상적으로실행되면랜섬웨어기능이동작할것으로보인다. 그림 2-3 정보탈취코드일부 해당악성앱은명령을받아 [ 그림 2-4] 와같이사용 자에게위조된은행페이지를보여준다음사용자가입력한금융정보를탈취한다. 그림 2-5 패스워드재설정코드 한편, 해외에존재하는 C&C서버에서 [ 그림 2-6] 과같은파일구성이확인되었으며, 현재도지속적으로악성앱을제작중인것으로보인다. 12

거래가증가할수록이를노린악성안드로이드앱또한더욱교묘하게고도화되고있다. 기본적으로앱은공식마켓에서다운로드하여설치하는것이안전하다. 그러나공식마켓에도악성앱이등록되어있을가능성이있으므로앱설치시에는반드시평판정보를확인하고다운로드하는습관이필요하다. 또한문자에포함된 URL을무심코클릭하면악성앱이설치될수도있기때문에확인되지않은 URL 및앱은설치하지않도록주의해야한다. V3 Mobile Security 등의모바일전용보안앱을이용하는것도안전한스마트폰이용에도움이된다. 그림 2-6 C&C 서버의파일구성 지금까지살펴본것처럼 Xbot은구글플레이스토어의지불정보페이지와은행앱의로그인페이지를도용한피싱을이용하여사용자의금융정보를탈취하고, SD 카드내의사용자데이터를암호화하여금전을요구하고있다. 스마트폰에서뱅킹, 쇼핑등금융 V3 모바일제품에서는해당악성앱을다음과같은진단명으로탐지하고있다. <V3 모바일제품군진단명 > Android-Trojan/XBot 13

보안이슈 02 POS 시스템노리는악성코드국내유포주의 Security Issue POS(Point of Sales) 시스템은주로백화점, 마트, 음식점등과같이판매와관련된데이터를관리하는시스템으로, PC에바코드리더기, 카드입력기, 영수증프린터가추가된형태다. POS 시스템은대부분결제시신용카드의정보및고객정보를일시적으로저장하고있는데, 일반 PC에비해 OS나응용프로그램의업데이트가제대로이뤄지지않는등상대적으로보안위협에취약한편이다. 그림 2-7 2016 년국내 POS 해킹사고 ( 출처 : KBS 뉴스 ( 좌 ) 기호일보 ( 우 )) 이러한이유로 POS 시스템의취약점을노리는악성코드가지속적으로나타나고있다. POS 시스템의데이터유출을위한다양한공격기법이존재하는데, 대표적으로시스템에입력되는값들을가로채는키로깅 (Keylogging) 과메모리에접근하여특정값을유출하는메모리스크래핑 (Memory Scraping) 등이있다. 체리피커 (Cherry Picker) 를비롯한대부분의 POS 악성코드들은메모리스크래핑공격기법을이용한다. 최근에도메모리스크래핑공격기법을이용한 POS 악성코드가발견돼 POS 시스템보안관리에더욱주의가요구된다. 그림 2-8 POS 악성코드파일정보 최근발견된 POS 악성코드는 [ 그림 2-8] 과같이위조된디지털서명과함께 Dll Launcher로위장하고있으며, 실행시레지스트리를통해 LogMeInServer 서비스로등록된다. 14

그림 2-9 서비스로등록된 POS 악성코드 [ 그림 2-9] 와같이서비스로등록된악성코드는시스 템시작시자동실행되며, DLLLaunchasdf 뮤텍 스를생성하여중복실행을방지한다. 그림 2-12 메모리스캔이제외되는프로세스목록 이악성코드는감염된시스템내 POS 프로세스의메모리값을읽어이를암호화하여 [ 랜덤문자열 ].dat 파일에저장한다. 또한 bot ID 값으로추정되는문자열을 dspsvc.bid 에저장한다. 그림 2-10 중복실행방지를위한뮤텍스생성 그림 2-13 추가생성되는 dspsvc.bid 와 [ 랜덤문자열 ].dat 이 POS 악성코드는 CreateToolhelp32Snapshot API를이용하여시스템정보및실행중인프로세스 ( 특정프로세스제외 ) 메모리의트랙데이터 (Track Data) 를스캔한다. 이어 POS 프로세스를스캔한메모리내데이터를 C&C 서버로전송한다. 이에앞서네트워크연결상태를확인하기위하여 45.63.71.150:80 /index. php HTTP Request 패킷을보내는데, 응답이오면탈취한금융정보를 C&C 서버로전송할것으로추측된다. 그림 2-11 실행중인프로세스의메모리복사 최근국내에서도 POS 악성코드로인한피해가지속적으로발생하고있으나, 이에대한대처는미흡한상황이다. POS 시스템은신용카드등민감한정보를다루고있는만큼, POS 시스템에대한지속적인관리와확실한보안조치가필요하다. 특히 POS 악성코드에의한피해를예방하기위해서는 POS 시스템 15

로그인암호를주기적으로변경하고웹서핑, 메신저등 POS 시스템운영과무관한프로그램이나서비스사용은지양해야한다. 또한 POS 시스템전용보안프로그램을사용하는것도바람직하다. V3 제품에서는해당악성코드를다음과같은진단명으로탐지하고있다. <V3 제품군진단명 > Spyware/Win32.Poscard (2016.02.25.09) 16

3 악성코드상세분석 ANALYSIS-IN-DEPTH 2016 년 1 분기주요랜섬웨어동향

악성코드상세분석 Analysis-In-Depth 2016 년 1 분기주요랜섬웨어동향 최근랜섬웨어피해가잇따라발생하고있는가운데, 다양한공격기법을이용한신 변종랜섬웨어가지속적으로유포되고있다. 이글에서는 2016년 1분기주요랜섬웨어의특징을상세히살펴본다. 1. 록키 (Locky) 랜섬웨어의진화 1.1. 매크로기능을이용한록키랜섬웨어 MS 오피스문서의매크로기능을이용한록키랜섬웨어가발견됐다. 사용자가감염된사이트를접속하면감염되는기존의랜섬웨어와달리, 최근발견된록키랜섬웨어는 [ 그림 3-1] 과같이지급 (payment), 송장 (invoice), 계약서 (contract) 등의제목으로위장한스팸메일을통해불특정다수에게유포되었다. 그림 3-2 첨부된워드파일실행화면 스팸메일에첨부된워드파일을실행하면 [ 그림 3-2] 와같이인코딩되어있는내용을풀기위해매크로기능을사용하도록유도하고있다. 그림 3-1 스팸메일을통해유포되는록키랜섬웨어 그림 3-3 워드파일에삽입된매크로내용 18

해당매크로내용을살펴보면난독화된자바스크립트구문이확인되며, 시스템 [%Temp%] 폴더에생성된파일에의해 [ 그림 3-4] 와같이특정 URL에접속해추가로악성파일다운로드를시도한다. 해당 URL은실제암호화행위를하기위해필요한키 (Key) 를받아오는 C&C 서버주소로추정되나, 분석당시에는정상적으로접속되지않았다. 그림 3-5 일반적인형태의스팸메일 그림 3-4 매크로기능에의해악성파일추가다운로드 V3 제품에서는해당악성코드를다음과같은진단명으로탐지하고있다. 그림 3-6 일반적으로스팸메일내부에존재하는 exe, pdf 파일 <V3 제품군의진단명 > W97M/Downloader (2016.02.18.00) 1.2..js 파일형식의록키랜섬웨어최근에는자바스크립트 (.js) 를 zip 파일로첨부해이를실행하면외부에서랜섬웨어본체를다운로드받아오는변종형태도발견되었다. 웹서버가아닌사용자 PC에설치된웹브라우저에서동작하도록작성된자바스크립트 (JavaScript) 언어를이용한것으로, 기존의 exe, pdf, doc 등의첨부파일형태를이용한형태와차이를보인다. 기존의랜섬웨어들이사용한파일포맷은다양한 PC 환경에구애받지않을뿐만아니라사용자들이익숙한파일아이콘을보고별다른의심없이실행하도록유도하기위함이었다. 그러나최근발견된록키랜섬웨어변종은일반사용자들에게는익숙하지않은 js 파일이스팸메일의첨부파일로포함되어있다. 그림 3-7 기존과동일한형태의스팸메일 [ 그림 3-7] 과같이스팸메일에압축파일형태로첨부되어있으며지급 (payment), 송장 (invoice), 계약서 (contract) 등을사칭하고있는점도기존랜섬웨어유포방식과동일하다. 그러나압축파일의내부를확인해보면기존과다른것을알수있다. 19

그림 3-8 압축파일내부에존재하는 js 파일 [ 그림 3-8] 과같이압축파일내부에 js 파일이존재하며, 파일종류또한 JScript 스크립트로구분되어있다. Windows Based Script Host (WBSH) 라는프로그램으로연결된다. 해당프로그램은윈도우운영체제에서스크립트파일을구동하기위한프로그램으로, 일반적으로 wscript.exe 프로그램이실행되면서 js 파일을실행하는구조로되어있다. 사용자가.js 파일을더블클릭하면 wscript.exe 프로그램을통해 js 파일이실행되면서악성코드를다운로드한다. 일반적으로 js 파일의역할은악성코드를다운로드하고실행하는것까지만수행한다. 표 3-1 생성되는파일 [ 생성되는파일 ] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\V3Z9E5F.tmp\ accent.270847031.js C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qualifier.scr 그림 3-9 난독화되어있는 js 파일 해당첨부파일을다운로드하여압축을해제한뒤 js 파일을확인해보면 [ 그림 3-9] 와같이난독화되어있다. 최근신고되는 js 파일들을살펴보면난독화된형태는비슷하지만랜덤한문자열이각기다른것으로보아자동생성프로그램을활용하고있는것으로추측된다. 압축파일의압축을해제하지않고열려있는상태로내부의 js 파일을더블클릭하면임시폴더에 js 파일이복사되어실행된다. 이후임시폴더에 qualifier. scr 파일을다운로드한뒤실행하는데, [ 그림 3-11] 과같이 Windows 작업관리자에서해당프로세스를확인할수있다. 이프로세스가실행되면서사용자의문서를암호화한다. 그림 3-10 js 파일을더블클릭할경우연결되는프로그램 해당 js 파일의연결프로그램을확인하면 Microsoft 그림 3-11 js 파일실행시다운로드되어실행되는악성코드 20

V3 제품에서는해당록키랜섬웨어변종을다음과 같은진단명으로탐지하고있다. 인지하기까지더많은시간이소요되어적절한조치를취하기어렵게된다. <V3 제품군의진단명 > Trojan/JS.Downloader (2016.03.08.08) Trojan/Win32.Locky.R175959 (2016.03.08.04) 2. 테슬라크립트 (Tesla Crypt) 4.0 등장 2015년에악명을떨쳤던테슬라크립트 (Tesla- Crypt) 랜섬웨어가지난 2016년 3월중순경, 4.0 버전으로업그레이드되어나타났다. 새롭게발견된테슬라크립트 4.0은기존 3.0 버전에비해한층진화한형태를하고있다. 먼저, 테슬라크립트 3.0과 4.0의가장큰차이점은감염후암호화된파일의확장자명이다. 테슬라크립트 3.0은 [ 그림 3-12] 와같이기존파일명뒤에.micro,.mp3 등의문자열이추가되는형태로, 어떤파일이암호화되었는지짐작이가능하다. 그림 3-13 테슬라크립트 4.0 으로암호화된파일 테슬라크립트가실행되면대부분의악성코드와마찬가지로자가복제및자가삭제행위를수행한다. 테슬라크립트 3.0과 4.0 버전의또다른차이점은이자가복제파일이위치하는경로이다. [ 그림 3-14] 와같이 3.0 버전은 %Application Data% 경로에, 4.0 버전은 %My Documents% 경로에자가복제파일을저장한다. 이때 숨김속성 으로자가복제하는것도이전버전과달라진점이다. 그림 3-12 테슬라크립트 3.0 의암호화된파일확장자명 그러나테슬라크립트 4.0은 [ 그림 3-13] 과같이암호화된파일명의변경이없어파일명만으로는암호화여부를알수없으며, 해당파일을실행한후나타나는에러메시지를통해서만암호화여부를확인할수있다. 이로인해사용자가랜섬웨어감염사실을 그림 3-14 테슬라크립트 3.0 버전의복사본경로 ( 위 ) 및 4.0 버전복사본경로 ( 아래 ) 암호화를완료한테슬라크립트는 html, png, txt 파 일등을이용해사용자에게 PC 가랜섬웨어감염되었 음을공지하고, 복호화의대가로금전을요구한다. 21

테슬라크립트 4.0 버전의결제유도파일명또한이전버전과다르게변경되어있는데, [ 그림 3-15] 와같이 3.0 버전은 help_recover_instructions+xxx, 4.0 버전은 RECOVERxxxxx로경고문페이지의문자열이다르다. 제실행되는 Transmission.app 에는유효한코 드서명이존재하기때문에맥 OS 의게이트키퍼 (GateKeeper) 를우회할수있었다. 그림 3-15 경고문페이지문자열변경 그림 3-16 트랜스미션 (Transmission) 프로그램설치 V3 제품에서는테슬라크립트 4.0을다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > Trojan/Win32.Teslacrypt (2016.03.18.01) 3. 맥 (Mac) OS X 랜섬웨어 'KeRanger' 등장최근에는맥 OS X 사용자들을노린랜섬웨어가처음으로발견됐다. KeRanger 랜섬웨어가맥 OS X 전용토렌트클라이언트프로그램인 트랜스미션 (Transmission) 의 2.90 버전과함께배포돼맥 OS 사용자들또한랜섬웨어에대한각별한주의가필요하다. 트랜스미션프로그램설치부터파일암호화까지, KeRanger의일련의동작과정을자세히살펴보자. 트랜스미션프로그램이실행되면 [ 그림 3-17] 과같이 ~/Library 경로에.kernel_pid 파일과.kernel_ time 파일이생성되며, Resources 경로에있는 General.rtf 파일이실행된다. General.rtf 파일은문서파일형태로위장하고있지만, 실제로는맥에서실행될수있는 Mach-O 포맷파일이다. 그림 3-17 ~/Library 경로에생성된파일 [ 그림 3-16] 과같이 KeRanger 는 Transmission-2.90.dmg 설치파일을통해배포되었다. 실 그림 3-18 Transmission.app 22

그다음, [ 그림 3-18] 에서확인할수있는바와같이 pid와 time 파일을이용하여 3일동안은슬립 (sleep) 상태로있다가 3일간의잠복기를끝내면파일암호화를진행하고 C&C 서버에연결을시도한다. 암호화되는파일들은문서및그림파일들을포함한수백개종류의파일들이다. KeRanger 랜섬웨어와관련하여트랜스미션공식홈페이지에는긴급공지문과함께사용자의맥시스템이 KeRanger에감염됐는지를확인하고, 만약감염되었을경우해당랜섬웨어를제거하는기능이포함된 2.92 버전이게시됐다. 애플 (Apple) 또한 OS X의보안기능인 XProtect 블랙리스트에관련시그니처를업데이트했다. 이번사례와같이오픈소스를이용해코드인증이된경우에는보안솔루션의탐지를우회할수있기때문에사용자들의각별한주의가필요하다. 그림 3-19 네트워크정보및 General.rtf Time Check 암호화가완료된파일들은 [ 그림 3-20] 과같이.encrypted 확장자가붙는다. V3 제품에서는 KeRanger 랜섬웨어를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > OSX64/Keranger.139264 OSX64/Keranger.1269584 BinImage/Keranger 그림 3-20 General.rtf Time Check 그림 3-21 트랜스미션홈페이지 지금까지살펴본바와같이최근악성코드제작자들은사용자들을속이고보안솔루션의탐지를회피하기위해다양한기법과기능을추가한랜섬웨어변종을지속적으로제작및유포하고있다. 특히랜섬웨어는암호화알고리즘을이용하여시스템내의파일을암호화하기때문에감염된이후에는사실상파일복구가어렵다. 따라서랜섬웨어에감염되지않도록의심스러운이메일등을주의하고백신및주요프로그램의최신업데이트적용등기본적인보안수칙을준수하는습관이필요하다. 또한중요한데이터는주기적으로별도백업을해두는것도방법이다. 23

랜섬웨어감염을예방하기위한보안수칙은다음과같다. 1. 발신인이불분명한이메일은가급적열어보지않는다. 2. 악성코드를첨부한영문스팸메일은대부분 Payment, Invoice, Shipping, Order와같은단어들을포함하고있는점을참고한다. 3. 업무상송장이나대금결제등을영문메일로하는경우에는발신자를확인하고, 거래업체에확인하는등의과정을거친다. 4. 첨부파일또는첨부된압축파일내에 js 확장자명을가진파일이존재하면실행하지않는다. 5. 백신프로그램을최신엔진으로항상유지하고, 실시간감시기능을활성화한다. 6. 첨부파일은바탕화면에저장하여백신으로검사한다음, 실행하거나열람한다. 7. 메일본문에언급된 URL이나 IP 주소는가급적접속하지않는다. 8. 확장명숨기기기능을해제하여.exe 등의확장명을숨기는파일에속지않는다. 24

ASEC REPORT VOL.75 March, 2016 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2016 AhnLab, Inc. All rights reserved.