01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 피고소환장통지서로사칭한 GandCrab 랜섬웨어유포주

01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No.105 2018.06

01 이스트시큐리티통계및분석 No.105 2018.06 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 01-06 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 07-18 피고소환장통지서로사칭한 GandCrab 랜섬웨어유포주의 상품관련내용으로유포되는악성메일주의 03 악성코드분석보고 19-34 개요 악성코드상세분석 결론 04 해외보안동향 35-58 영미권 중국 일본

이스트시큐리티보안동향보고서 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 1

01 악성코드통계및분석 1. 악성코드동향 지난 5 월에발생한주요악성코드이슈를살펴보면크게 3 가지로요약할수있습니다. 1. 여전히다양한형태로이뤄지는 GandCrab 랜섬웨어공격 2. 남북정상회담이슈를악용한 APT 공격 3. 크롬확장프로그램으로위장하여사용자정보를유출시키는공격 GandCrab 랜섬웨어는지난달에이어 5월에도그위세가계속되었습니다. 알려진 doc 취약점 (CVE-2017-8570) 을통해불특정다수에게유포가이뤄지기도하고, 국내대학대상으로도유포된케이스도확인되었습니다. 사회공학적기법을활용하여채용공고지원문의혹은입사지원서로위장하여기업임직원을대상으로하는 GandCrab 이발견되었습니다. 또한한국의유명택배회사의배송팀으로위장, 매크로를활용하여 GandCrab 이포함된이메일을유포하는정황이확인되기도하였습니다. 이뿐만이아닙니다. 5월말경에는 Bondat 이라는 2013 년발견된웜의변종이발견되었는데, 기존의웜기능에추가로 GandCrab 랜섬웨어를유포하는시도가확인되기도하였습니다. 지난 5월한달동안발생한해당이슈들은, 공격자또는공격에가담한협력자가유창한한국어를구사하기때문에더더욱주의가필요합니다. 이외에도남북정상회담이슈관련판문점선언내용의문서로수행된 Operation OneZero APT 공격이발견되었으며, 안보 / 대북연구기관등을대상으로워터링홀공격이수행된 'Operation WanterTank APT 공격도추가로 확인되었습니다. 또한크롬 (Chrome) 브라우저사용자를노린공격이 2건이나발생했습니다. 크롬확장프로그램으로위장하여정상적인크롬웹스토어에업로드되었고, 사용자가해당악성확장프로그램을설치할경우사용자의 SNS 또는가상화폐거래사이트의계정정보탈취를시도하고, 가상화폐채굴기를설치하는시도가확인되기도하였습니다. 이러한악의적인크롬확장프로그램들이주로페이스북메신저등을통해유포가이뤄졌기때문에 SNS 에서 URL 을클릭하거나파일을다운로드하는경우각별히주의를기울여야하겠습니다. 추가적으로악성코드이슈는아니지만 2018 년 5월 25 일자로 EU 를통해정식발효된 GDPR(General Data Protection Regulation) 에도많은관심이모아지고있습니다. EU 회원국대상으로개인정보수집 / 처리활동을하는기업들은 GDPR 에대한정확한정보를확인하고, 현재회사가처한상황을인지하고대처하는것이기업리스크관리차원에서도매우중요한이슈로떠오르게되었습니다. 2

01 악성코드통계및분석 2. 알약악성코드탐지통계 감염악성코드 TOP15 2018 년 5월의감염악성코드 Top 15 리스트에서는지난 2018 년 4월 1위를차지했던 Trojan.Agent.gen 이이번달 Top 15 리스트에서도 1위를차지했다. 지난 4월에 2위였던 Misc.HackTool.AutoKMS 도이번달역시 2위를차지했다. 지난달 3위를차지했던 Trojan.LNK.Gen 이여섯계단하강한 9위를차지하여이전 3월수준으로돌아온것을확인할수있으며, 전반적으로 4월에비해전체감염건수가 22% 가량크게증가한 5월이었다. 올해 2월부터 4월까지꾸준히악성코드전체감염건수가줄어들고있는추세였으나 5월들어서전체감염건수가급증하였다. 순위 등락 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Trojan.Agent.gen Trojan 1,650,470 2 - Misc.HackTool.AutoKMS Trojan 868,596 3 2 Trojan.HTML.Ramnit.A Trojan 639,193 4 - Adware.SearchSuite Adware 494,116 5 4 Hosts.media.opencandy.com Host 471,492 6 New Gen:Variant.Graftor.468105 Trojan 371,769 7 - Misc.Keygen Trojan 349,478 8 - Win32.Neshta.A Virus 332,593 9 6 Trojan.LNK.Gen Trojan 282,638 10 - Worm.ACAD.Bursted.doc.B Worm 217,303 11 4 Win32.Ramnit Worm 167,366 12 New Worm.IM-VB.as Worm 156,690 13 New Win32.Sality.3 Virus 148,117 14 New Win32.Ramnit.Dam Worm 141,262 15 2 Win32.Ramnit.N Worm 133,678 * 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 2018 년 5 월 01 일 ~ 2018 년 5 월 31 일 3

01 악성코드통계및분석 악성코드유형별비율 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 65% 를차지했으며웜 (Worm) 유형이 13% 로그뒤를 이었다. 웜 13% 애드웨어 8% 호스트파일바이러스 7% 7% 트로이목마 65% 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 취약점 (Exploit) 웜 (Worm) 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 카테고리별악성코드비율전월비교 5 월에는 4 월과비교하여트로이목마 (Trojan) 악성코드감염카테고리비율이 83% 에서 64% 로크게감소했다. 절대 수치로만보면트로이목마감염건수가크게변화하지않았으나, 다른카테고리및전체감염건수가크게증가하면서 상대적으로트로이목마감염비율이큰감소폭을보였다. 웜악성코드및바이러스감염건수는크게증가하였다. 100% 100% 트로이목마 (Trojan) 스파이웨어 (Spyware) 0% 0% 65% 83% 애드웨어 (Adware) 8% 8% 하이재커 (Hijacker) 0% 0% 웜 (Worm) 5% 13% 5 월 취약점 (Exploit) 0% 0% 4 월 바이러스 (Virus) 0% 7% 백도어 (Backdoor) 0% 0% 호스트파일 (Host) 7% 4% 기타 (Etc) 0% 0% 0% 20% 40% 60% 80% 100% 4

01 악성코드통계및분석 3. 허니팟 / 트래픽분석 5 월의상위 Top 10 포트 허니팟 / 정보수집용메일서버를통해유입된악성코드가사용하는포트정보및악성트래픽을집계한수치 80 4% 22 11% 3389 3% 25 8% 23 11% 8080 2% 81 14% 1433 2% 5900 23% 3306 22% 5900 3306 81 23 22 25 80 3389 8080 1433 최근 3 개월간상위 Top 5 포트월별추이 2018 년 3 월 2018 년 4 월 2018 년 5 월 22 3306 5900 23 81 5

01 악성코드통계및분석 악성트래픽유입추이 외부로부터유입되는악의적으로보이는트래픽의접속시도가감지된수치 25,184,718 12,011,679 12,951,301 13,808,383 17,636,329 8,722,537 2017 년 12 월 2018 년 1 월 2018 년 2 월 2018 년 3 월 2018 년 4 월 2018 년 5 월 단위 : 악의적트래픽접속시도감지건수 2017 년 12 월 ~ 2018 년 5 월 6

이스트시큐리티보안동향보고서 02 전문가보안기고 1. 피고소환장통지서로사칭한 GandCrab 랜섬웨어유포주의 2. 상품관련내용으로유포되는악성메일주의 7

02 전문가보안기고 1. 피고소환장통지서로사칭한 GandCrab 랜섬웨어유포주의 안녕하세요. 이스트시큐리티시큐리티대응센터 (ESRC) 입니다. 국내에피고소환장통지서로사칭한악성이메일을통해 GandCrab 랜섬웨어가유포되고있어긴급히주의를 당부드립니다. 이번에발견된이메일은소환장통지내용으로 ' 여기서소환공지다운로드 ' URL 링크클릭을유도합니다. [ 그림 1] 피고소환장통지서사칭악성이메일 8

02 전문가보안기고 URL 링크를클릭할경우악성 URL 로연결되며, 'summons_notice_2235674.doc' 파일을다운로드받습니다. 다음은 링크에접속했을때 URL 의소스코드입니다. [ 그림 2] 하이퍼텍스트를통해연결되는 URL 다운로드된 'summons_notice_2235674.doc' 는문서내용이 'Microsoft Word' 에의해보호된다는내용을담고있으며 내용을보기위해매크로활성화를유도합니다. [ 그림 3] 매크로활성화를유도하는 DOC 파일 9

02 전문가보안기고 이용자가소환장에대한자세한정보를열람하기위해매크로허용및실행할경우, 추가적으로 DOC 본문이미지를 소환장통지서관련내용이담긴특정웹사이트의이미지로수정및 GandCrab 랜섬웨어를다운로드받습니다. [ 그림 4] 소환장통지서내용으로수정된 DOC 문서 [ 그림 5] GandCrab 랜섬웨어를다운받는코드 10

02 전문가보안기고 다운로드된 GandCrab 랜섬웨어는 'C:\Users\Public\' 경로에 'JSQC0UgW.exe' 이름으로드롭및실행됩니다. [ 그림 6] 다운로드한 GandCrab 랜섬웨어드롭 GandCrab 감염시암호화대상파일뒤에 'CRAB' 이추가되며, 바탕화면변경및랜섬노트로대시코인등의금전결제를 요구합니다. 다음은 GandCrab 랜섬노트및바탕화면입니다. [ 그림 7] GandCrab 랜섬웨어이미지로변경된바탕화면 11

02 전문가보안기고 [ 그림 8] GandCrab 랜섬웨어랜섬노트 이러한유형의공격으로부터랜섬웨어에감염이되지않기위해출처가불분명한이메일에첨부된링크나첨부파일을 주의해야합니다. 또한평상시중요한자료들은외장하드등의외장매체에정기적으로백업할수있는습관을가져야 합니다. 현재알약에서는해당랜섬웨어를 'Trojan.Ransom.GandCrab, Trojan.Downloader.X97M.Gen' 로진단하고있습니다. 12

02 전문가보안기고 2. 상품관련내용으로유포되는악성메일 주의 최근국내에지속적으로상품관련내용으로악성메일이유포되고있어주의를당부드립니다. 이번에발견된악성 메일은상품출고지연내용과함께선적서류로위장한첨부파일실행을유도하는내용을담고있습니다. [ 그림 1] 상품출고지연내용의악성메일 13

02 전문가보안기고 첨부파일에는악성실행파일 'Shipping Documents.exe' 가있습니다. [ 그림 2] 첨부파일 'Shipping Documents.rar' 이용자가파일이름만보고선적관련서류라고생각해서, 파일을실행할경우악성코드가실행됩니다. 'Shipping Documents.exe' 는.NET 로제작되어있으며, 자기자신을자식프로세스로실행한뒤, 정보탈취기능을수행하는 악성코드를인젝션합니다. 다음은인젝션하는코드의일부입니다. 14

02 전문가보안기고 [ 그림 3] 인젝션코드의일부 인젝션되어실행되는악성코드는웹브라우저에인라인후킹을하고, 입력한정보를 C&C 로전송합니다. 다음은 C&C 로입력한정보를전송하는화면입니다. [ 그림 4] C&C 로정보보내는화면 15

02 전문가보안기고 관련하여유사악성이메일을확인하던중, 상품견적의뢰내용으로첨부파일실행을유도하는악성메일이추가로 발견되었습니다. [ 그림 5] 상품견적서위장악성메일 16

02 전문가보안기고 첨부파일에는국내특정기업이름과함께상품견적의뢰대상문서로위장한실행파일이있습니다. [ 그림 6] 상품견적서악성메일의첨부파일 첨부파일에있는악성실행파일 (exe) 을클릭할경우, 웹브라우저및 FTP 정보를탈취하여 C&C(http://62.108.34.49/1zayee/gate.php) 로전송하는악성코드가실행됩니다. [ 그림 7] 정보전송코드 17

02 전문가보안기고 최근지속적으로상품관련내용으로위장한악성메일이발견되고있습니다. 따라서이용자들은출처가불분명한 메일에있는링크혹은첨부파일에대해접근을삼가주시기바랍니다. 또한백신업데이트상태를항상최신으로 유지해주시기바랍니다. 현재알약에서는관련악성코드를 'Trojan.Agent.188416B, Trojan.Agent.717312B' 로진단하고있습니다. 18

이스트시큐리티보안동향보고서 03 악성코드분석보고 개요 악성코드상세분석 결론 19

03 악성코드분석보고 [Trojan.Ransom.SynAck] 악성코드분석보고서 1. 개요 과거부터공격자들은백신탐지를우회하고감염사실을은폐하기위해다양한방법을시도해왔다. 그중프로세스인젝션기법을통한백신탐지우회는 Process Hollowing, SetWindowsHookEx 등방법을전형적인방법을통해이루어져왔다. 하지만이러한기법들은오랜기간사용되었기때문에백신회사들로부터인젝션탐지연구가진행되어악성코드탐지율이높아졌다. 이에따라최근기존에사용되어왔던프로세스인젝션기법이아닌 Atombombing, Process Doppelganging, early bird 등새로운기법들이등장하였으며이러한기법들은정보탈취악성코드, 랜섬웨어등다양한유형의악성코드에서 발견되고있다. 따라서본보고서에서는새롭게발견된인젝션기법중 Process Doppelganging (1) 을이용한 SynAck 랜섬웨어를상세 분석하고자한다. (1) 출처 : https://www.blackhat.com/docs/eu-17/materials/eu-17-liberman-lost-in-transaction-process-doppelganging.pdf 20

03 악성코드분석보고 2. 악성코드상세분석 2.1. 분석환경우회 악성코드분석가나분석시스템으로부터정적인데이터분석을어렵게하기위해문자열난독화, 동적인 IAT 구성, 자체적인 API 함수를사용한다. 1) 난독화 다음과같이난독화를통해사용한 API 가확인되지않아정적분석을어렵게한다. [ 그림 1] IAT 구성화면 21

03 악성코드분석보고 2) 자체적인 API 호출함수구성 주소계산을통해함수를호출하기때문에다음과같이정적분석툴로어떤함수가호출되는지확인되지않는다. [ 그림 2] 코드난독화화면 3) Process DoppelGanging 인젝션전형적인프로세스인젝션기법을사용할경우, 분석시스템이나백신을통해쉽게탐지될수있기때문에이를우회하기위해최근공개된 Process DoppelGanging 이라는새로운프로세스인젝션기법을사용한다. 인젝션대상프로세스는윈도우설치프로그램인 msiexec.exe 이다. 다음은인젝션코드이다. [ 그림 3] Process DoppelGanging 인젝션코드 22

03 악성코드분석보고 하지만실제해외에서공개된방식인 PE 파일을직접쓰지않고이를응용하여 EntryPoint 에삽입되는코드를통해 로드되는방식을사용한다. 다음은삽입되는 EntryPoint 코드이다. [ 그림 4] 후킹된 Entry Point 코드 23

03 악성코드분석보고 2.2. 파일암호화파일암호화를진행하기전에 excel.exe, javaw.exe, dns.exe, vmtoolds.exe, GoogleUpdate.exe 등총293 개의프로세스를종료한다. 이는프로세스에서접근중인파일을최소화하여많은파일을안정적으로암호화하기위함으로보인다. 또한분석을어렵게하기위해종료대상프로세스리스트는이름값으로생성된 Hash 로관리된다. 다음은프로세스종료코드이다. [ 그림 5] 프로세스종료코드 24

03 악성코드분석보고 안정적인파일암호화를위해파일암호화제외경로가존재한다. 제외경로리스트는 Hash 로관리되며 Windows(0x7B35A3C6), STARTUP(0x53C4CAFE), CryptnetUrlCache(0x8FEBB2B3), Temp(0xF37288C2), Cache(0xAD634ADA) 등총 16 가존재한다. [ 그림 6] 암호화제외대상경로들의 Hash 파일암호화는로컬에연결된저장공간을대상으로루트폴더부터진행된다. 암호화가완료된파일은임의의 10 자리의확장자가추가되며해당폴더에는감염 ID 를이용한 ==READ==THIS==PLIEASE==[ 감염 ID].txt 이름의랜섬노트가드롭된다. 다음은암호화가완료된폴더화면이다. [ 그림 7] 암호화된폴더화면 암호화가완료된파일의구조는다음과같다. 암호화파일구조크기 ( byte ) 설명 암호화된파일데이터 Filesize Filesize%16 암호화된파일내부데이터 파일접미원본데이터 Filesize%16 파일의접미원본데이터 ( 파일사이즈를 16 으로나눈나머지만큼암호화되지않는다.) 암호화시그니쳐 8 시그니쳐를통해암호화여부를확인 ( 0x2F A1934A203DCE65 ) 암호화 ID 4 감염 ID 암호화정보구조체크기 4 암호화정보구조체의크기 0x27B 로고정 암호화정보구조체 0x27B 암호화된 AES, 공개키등의정보 [ 표 1] 암호화파일구조 25

03 악성코드분석보고 또한랜섬노트에는사용자정보와암호화키정보들이포함되어있다. 생성된랜섬노트의내용은다음과같다. [ 그림 8] 랜섬노트화면 랜섬노트에따르면파일복원을위해서는 synack@scryptmail.com 또는 synack@countermail.com 로연락을 해야하며 24 시간이내에답장이없을시 BitMessage 를이용해야한다. 또한암호화된파일의일부는무료로 복원시켜준다는내용을포함한다. 26

03 악성코드분석보고 3. 결론 시간이지날수록공격자들의공격기법들이교묘하고다양해지고있다. 알려지지않은기법들을사용해백신탐지를우회함으로써사용자들모르게악성코드에감염될확률이더높아졌다. SynAck 랜섬웨어의경우기존랜섬웨어와는다르게 Process Doppelganging 이라는새로운기법을사용하면서상당히고도화된모습을보였다. 백신회사또는전문가들은새로운기법에대해분석하고빠르게대응할수있는관심과연구를지속적으로수행할필요가있다. 또한지속적으로변종이등장할가능성이있는만큼사용자는주기적으로중요파일을백업하여야하며, 패치누락으로 인한취약점이발생하지않도록 OS 와소프트웨어는최신버전의업데이트를유지해야한다. 백신을최신업데이트 상태로유지하며주기적인검사를실시하여야한다. 현재알약에서는해당악성코드를 Trojan.Ransom.SynAck 로진단하고있다. 27

03 악성코드분석보고 [Trojan.Android.Banker] 악성코드분석보고서 1. 개요 몸캠피싱을이용한안드로이드악성앱이다시기승을부리고있다. 몸캠피싱은음란한화상채팅을빌미로악성앱설치를유도한다. 해당악성앱은몸캠을진행하는데필요한필수앱으로사용자를속이고사용자의기기에저장된전화번호부를탈취, 이를통하여 사용자의몸캠이용사실 을지인들에게알리겠다고협박하여금전을갈취한다. 본분석보고서에서는 Trojan.Android.InfoStealer 를상세분석하고자한다. 28

03 악성코드분석보고 2. 악성코드상세분석 2.1 유명앱사칭 사용자를속이기위해서 카카오스토리 아이콘을사용하고, 앱명으로 Support 를사용한다. [ 그림 1] 유명앱사칭 2.2 권한요구사용자기기의 SDK 버전을확인하고, 그버전이 23 이상일경우 "android.permission.read_contacts, android.permission.read_phone_state 두가지권한의허가를동적으로요구한다. 앱설치시필요한권한의허가를한꺼번에요청했던이전버전과달리, 안드로이드 6.0 마시멜로우 버전인 SDK23 버전부터는해당권한이사용될때, 동적으로허가요청을받는것으로안드로이드정책이변경되었다. [ 그림 2] 권한요구 29

03 악성코드분석보고 2.3 권한재요구요청하는권한을거절할경우사용자가원하는기능을이용할수없다며사용자를속이는문구를팝업하고악성행위에필요한권한을허가하도록유도한다.( 사회공학적기법으로서사용자는 몸캠 을하기위하여해당앱을다운받아설치한상태이고, 그목적을달성하기위해서동적권한을허가할확률이매우높을것으로추정 ) [ 그림 3] 권한재요구 2.4 발신번호탈취 사용자기기의통화상태를감시하여발신상태일경우대상번호를저장한다. /data/data/com.tencent.qq.a( 패키지명 )/shared_prefs/ 폴더의 cache.xml 파일에저장한다. [ 그림 4] 발신번호탈취 30

03 악성코드분석보고 2.5 전화번호및기기고유번호탈취 사용자의전화번호를탈취하여 /data/data/com.tencent.qq.a( 패키지명 )/shared_prefs/ 폴더의 cache.xml 파일에 저장된다. 이때, 기기의전화번호가없으면기기의고유번호를저장한다. [ 그림 5] 탈취된사용자의전화번호 2.6 주소록과계정탈취기기에저장된주소록과유심칩에저장된주소록까지탈취한다. 또한, 기기에저장된계정도탈취한다.( 해커는이주소록을탈취하여사용자의주변지인들에게문자와메일을이용하여 사용자의몸캠이용 사실을전송하겠다고협박하며금전을요구함 ) 31

03 악성코드분석보고 [ 그림 6] 주소록과계정탈취 2.7 탈취된정보전송 탈취된정보는해커의 C&C 서버인 118.107.181.26 로전송된다. 그러나, 현재해당서버에접속이되지않는다. [ 그림 7] 정보탈취 32

03 악성코드분석보고 2.8 기타특징 1) 악성행위의추가해당샘플에서는코드가있어도실행이되지않거나앞으로추가될수도있는행위와관련된코드들을확인할수있다. 관리자권한확보를통한앱삭제방해, 문자탈취, 사진앨범탈취, 기기정보탈취가있다. [ 그림 8] 추가될수있는악성행위 2) 임대계약서 해당앱의 Assets 폴더에 temp.html 이저장되어있는데, 실제한국에존재하는특정회사와관련된문서가저장되어 있다. [ 그림 9] 계약서 33

03 악성코드분석보고 3. 결론 해당악성앱은사용자를속이기위해서유명앱으로위장하고, 사용자의전화번호부를탈취한다. 이를통하여 지인들에게 몸캠이용사실 을알린다고협박하여금전을탈취한다. 따라서, 악성앱에감염되지않기위해서는예방이중요하다. 출처가불명확한 URL 과파일은실행하지않아야한다. 또한, 주변기기의비밀번호를자주변경하고 OS 와애플리케이션을항상최신업데이트버전으로유지해야한다. 현재알약 M 에서는해당악성앱을 Trojan.Android.InfoStealer 탐지명으로진단하고있다. 34

이스트시큐리티보안동향보고서 04 해외보안동향 영미권 중국 일본 35

04 해외보안동향 1. 영미권 75% 의 Redis 서버들, 악성코드감염돼 Around 75% of Open Redis Servers Are Infected With Malware Imperva 의대변인이대부분의 Redis 서버가인증시스템없이인터넷에오픈되어있어, 악성코드가숨어있는것으로보인다고밝혔다. 전문가들은지난몇달간 Redis 기반의허니팟서버를운영해본뒤이같은결론을내렸다. 그들은허니팟서버를통해온라인에노출된오픈 Redis 서버에서은밀하게가상화폐를채굴하는봇넷인 ReddisWannaMine 을발견했다. SSH 키재사용을통해봇넷작전밝혀내가장일반적인패턴은, 공격자가손상된 Redis 서버에 SSH 키를계속설치해나중에도접근이가능하도록하는것이. 연구원들은 서로다른공격자들이동일한키나값을사용해공격을실행하는것을발견했다. 다수의서버들사이에서공유된키나값은, 악성봇넷활동의분명한증거이다. 고밝혔다. 전문가들은허니팟을통해수집한 SSH 키를사용해, 이키가존재하는지확인하기위해온라인에노출된 Redis 서버들 모두를스캔했다. 테스트된 Redis 의서버의 75% 가손상된것으로나타나 72,000 대이상의 Redis 서버가온라인에노출되어있으며, 이들중 10,000 대이상이스캔요청에에러없이응답해연구원들이로컬에설치된 SSH 키를확인할수있었다. 전문가들은이서버의 75% 가악성봇넷작전과관련있는것으로알려진 SSH 키를사용하고있었다고밝혔다. 36

04 해외보안동향 허니팟데이터에서가장많이발견된악성 SSH 키들 출처 : https://www.incapsula.com/blog/report-75-of-open-redis-servers-are-infected.html 일부악성 SSH 키들, 2년동안활성화되어있어위리스트의키들중 crackit SSH 키는알려진공격자들에의해수년간사용되어온것으로나타났다. 이악성키는지난 2016 년 7월 6,338 개의 Redis 서버들에서발견되었다. 1개월후, 동일한키는 13,000 대이상의 Redis 서버에서발견되었다. 이들은 2비트코인을요구하는가짜랜섬노트를보여주기위해해킹된것으로나타났다. 그리고며칠후, 다른연구원들에의해동일한 Redis 서버들이 FairWare 랜섬웨어를호스팅및배포하는데사용 되었다는사실도발견되었다. Redis 서버공격의배후에있는공격자들은오픈되어있는 Redis 서버를집중적으로 스캔하고, 배포후수분이내로기기를해킹할수있는것으로알려져있다. Redis 서버들, 기본적으로안전하지않아서버관리자들은서버의구성파일을수정해인증시스템을활성화해야한다. 연구원들은 Redis 는인증이디폴트로설정되어있지않으며, 모든데이터가텍스트형태로저장되기때문에절대공개적으로노출되어서는안된다. 고밝혔다. [ 출처 ] https://www.bleepingcomputer.com/news/security/around-75-percent-of-open-redis-servers-are-infected-with-malware/ https://www.incapsula.com/blog/report-75-of-open-redis-servers-are-infected.html 37

04 해외보안동향 수천개의프로젝트에영향을미치는 Zip Slip 취약점발견 'Zip Slip' Vulnerability Affects Thousands of Projects Across Many Ecosystems 보안연구원들이수천개의프로젝트들에영향을미치는치명적인취약점과관련된자세한정보를공개했다. 공격자가 이취약점을악용할경우, 타겟시스템에서코드를실행할수있는것으로나타났다. Zip Slip 이라명명된이문제는압축파일의압축을해제할때디렉토리탐색 (Directory traversal) 공격을통해촉발되는임의파일덮어쓰기취약점이며 tar, jar, war, cpio, apk, rar, 7z 를포함한많은압축포맷에영향을미친다. JavaScript, Ruby, Java,.NET, Go 등의다양한프로그래밍언어로작성된 Google, Oracle, IBM, Apache, Amazon, Spring/Pivotal, Linkedin, Twitter, Alibaba, Eclipse, OWASP, ElasticSearch, JetBrains 등의수천개의프로젝트가취약한코드및라이브러리를포함하고있는것으로나타났다. 이취약점은수년동안탐지되지않았으며, 디렉토리탐색이가능한파일명을사용하는특별히제작된압축파일을 사용함으로써악용될수있다. 취약한코드나라이브러리를통해압축이해제될경우공격자들이지정된폴더의 외부에악성파일을추출해낼수있게된다. Zip Slip Vulnerability Exploit( 영상 ): https://www.youtube.com/watch?v=l1mt5lr4p9o 공격자는 Zip Slip 공격을통해타깃시스템이나사용자가실행하도록속이기위해프로그램의정식실행파일이나구성파일도덮어쓰기할수있게된다. 따라서피해자의기기에서원격으로명령을실행할수있게된다. 이취약점은구성파일이나다른민감한리소스를덮어쓰기함으로써데미지를입힐수있다. 또한클라이언트머신및서버모두에서악용될수있다. zip 파일의컨텐츠는수작업으로만들어져야한다. Zip 은사용자들이이러한경로의파일을추가하도록허용하지만, 아카이브생성툴은일반적으로허용하지않는다. 하지만특정툴을이용하면이러한경로를포함한파일을생성하는것은매우쉽다. 라고연구원들이밝혔다. 또한연구원들은 Zip Slip 아카이브의 PoC 및공격자가어떻게 Zip Slip 취약점을악용하는지보여주는영상을공개했다. 4 월이후, 연구원들은모든취약한라이브러리및프로젝트의관리자들에게개인적으로 Zip Slip 취약점을공개하기 시작했다. 영향을받는모든라이브러리및프로젝트의목록은 Snyk 의 GitHub 저장소에서확인할수있다. 이들중일부는이미 업데이트된버전을공개해문제를수정했다. [ 출처 ] https://thehackernews.com/2018/06/zipslip-vulnerability.html https://snyk.io/research/zip-slip-vulnerability 38

04 해외보안동향 해커들, 안전하지않게구성된클라이언트로부터 2 천만달러상당의이더리움훔쳐 Hackers Stole Over $20 Million in Ethereum from Insecurely Configured Clients 보안연구원들이인터넷에노출된안전하지않게구성된이더리움노드를하이재킹하는방식으로단몇달만에 2 천만달러이상을벌어들인사이버범죄자들에대해경고했다. Qihoo 360 의연구원들은지난 3 월이더리움노드를실행하는안전하지않은 geth 클라이언트를찾기위해 인터넷에서포트 8545 를스캔하는사이버범죄자그룹에대해밝힌적있다. 그당시, 그들은이더리움 3.96234 유닛을훔쳤다. 그러나, 연구원들은또다른범죄자그룹이지난몇개월동안 JSON-RPC 포트 8545 를외부에열었던적이있는사용자들의이더리움지갑을하이재킹해 $20,500,000 상당의이더리움 38,642 개를훔친것을발견했다. Geth 는이더리움노드를실행하기위한가장인기있는클라이언트들중하나다. 그리고 JSON-RPC 인터페이스를활성화하면사용자들이원격으로이더리움블록체인및노드기능에접근할수있게된다. 노드기능에는트랜잭션을보내기전잠금해제되었던모든계정에서트랜잭션을보내는기능을비롯하여전체세션을잠금해제상태로유지하는기능등이있다. 훔친코인이들어있는공격자의이더리움계정은아래와같다 : 0x957cD4Ff9b3894FC78b5134A8DC72b032fFbC464 39

04 해외보안동향 이주소를인터넷에서검색만해도, 사용자들이이주소를사용하는해커에게코인을도난당했다는글을수십개의 포럼및웹사이트들에서찾아볼수있었다. 3 년전이더리움프로젝트측에서발행한권고에따르면, JSON-RPC 인터페이스를인터넷접근가능한머신에방화벽 정책없이남겨둘경우 사용자의지갑주소, IP 를아는누구라도가상화폐를훔칠수있다. 고한다. 연구원들은위에언급한사이버범죄자그룹뿐만아니라, 다른공격자들도가상화폐지갑에서돈을훔치기위해안전하지않은 JSON-RPC 인터페이스를찾기위해인터넷을스캔하고있다고밝혔다. 이더리움노드를구현한사용자라면, 로컬컴퓨터로부터이루어지는 geth 클라이언트로의연결만허용하거나, 원격 RPC 연결이활성화되어있어야하는경우라면, 사용자승인을구현하는것이좋다. [ 출처 ] https://thehackernews.com/2018/06/ethereum-geth-hacking.html 40

04 해외보안동향 2. 중국 중국최대동성홈페이지에악성코드심어져있어 5 월 3 일, 중국에서접속자가가장많은동성애홈페이지에 Flash 취약점 (CVE-2018-4878) 을악용하는악성코드가 포함되어있었다. 만약취약한버전의 flash 를사용하는사용자들이해당페이지를방문했다면, 공격자들은사용자 모르게채굴악성코드, 뱅킹악성코드및원격컨트롤악성코드등을설치할수있다. 이악성코드의공격은 5 월 3 일저녁 22:30 23:00 가피크였으며, 5 월 4 일오전 10 시까지여전히악성코드를 유포하였다. 사용자가해당페이지를방문하면컴퓨터등디바이스들이감염될뿐만아니라은행계정정보, 휴대폰번호 등민감정보가유출될수있다. 이번동성홈페이지의감염규모는매우광범위했으며, 현재까지가장많은피해를받은지역은북경, 산동, 안후이, 후남, 사천등이다. [ 출처 ] https://guanjia.qq.com/news/n2/2329.html 41

04 해외보안동향 바이두 SW 버전의 putty 에서악성코드발견돼 최근한커뮤니티에서 RTFM 이라는닉네임을사용하는사용자가작성한 < 바이두다운로드가악성코드에감염되었다. Putty 에악성코드가포함되어있다 > 라는제목의글이사람들의주목을끌었다. 이작성자는, 자신이바이두 sw 센터에서최신버전의 putty 를 일반다운로드 로내려받아설치했는데, 설치하니 2개의 SW가자동으로설치되었다고주장하였다. 작성자는내려받은파일에대해분석을진행해본결과, putty 는비공식버전으로, 공식홈페이지에있는버전과차이가 있었다고밝혔다. 또한바이두 SW 센터에업로드되어있는 putty 는서명이존재하지않았으며, 버전역시이상하게 1.0.0.1 이였다. 42

04 해외보안동향 해당 SW 를실행한후, 이프로그램은먼저어떤서버에접속을하여 list.exe 라는파일을내려받았다. 하지만실제로이 파일은하나의리스트로, 해당내부에는두개의 SW 다운로드주소가포함되어있었다. 이리스트를다내려받은다음에 putty 파일을설치한다. Putty 가실행될때사용자몰래 2 개의특정프로그램을설치하는것이다. 사실을알아보기위해제작자는서버 ip 를추적해보았다. 확인결과, ip 소유자는바이두상해의사용자상품부서에서근무하고있는연구원이였다. 43

04 해외보안동향 해당사건에대해아직까지바이두에서어떠한연락도없으며, 이번에악의적으로 SW 에번들로다른프로그램을넣어 놓은것이과연개인의행위일까도확신할수없다. 제작자는간단히조사해본결과문제가발생한버전은 0.67.0.0 버전부터로, 최소 2017 년 5 월부터 SW 센터에업로드 되어있었다. 현재해당 SW 는이미삭제된상황이다. [ 출처 ] http://www.freebuf.com/news/171211.html 44

04 해외보안동향 CVE-2018-5002 : 2018 년두번째 Flash 제로데이취약점 배경 2018 년 6월 1일, 360 연구원들은 Flash 제로데이취약점 (CVE-2018-5002) 를악용한새로운공격을발견하였다. 해커는원격에서 Flash 제로데이가포함된 office 문서를로드하고, 해당문서를열면모든취약점이악성코드와악성페이로드를이용하여원격에있는서버에서내려받는다. 이번공격은주로중동을타겟으로했다. 해당취약점은현재 Adobe Flash Player 29.0.0.171 및이하버전이영향을받으며, 해당취약점은올해 2번째로발견된 Flash 제로데이취약점이다. 관련취약점문서분석해당샘플은사용자들의흥미를유발할만한 salary.xlsx 문서명을갖고있었다. 그내용도파일명과동일했으며, 근무기간동안의월급내용이포함되어있었다. 언어는아랍어로작성되었다. ***salary.xlsx(md5: ******517277fb0dbb4bbf724245e663) 파일의내용은정교했으며, 다음은그중일부를캡쳐한이미지이다. 45

04 해외보안동향 해커는 acticex 컨트롤과데이터에원격의 Flash 파일링크를삽입해놓는방식을통하여관련취약점공격코드가 원격에있는서버에의해스크립트가제어되도록하였다. 취약점공격과정분석 Xlsx 를실행한이후원격의서버 (C&C:people.doha****.com) 에서악성 swf 파일 (MD5: ******66491a5c5cd7423849f32b58f5) 을내려받아실행한다. 이 swf 파일은다시서버에 request 를보내서암호화된데이터와복호화 KEY 를내려받는다. 복호화한후의 SWF 파일 (md5:****** e78116bebfa1780736d343c9eb) 은 Flash 0day exploit 으로, 취약점이실행된이후원격지에요청하여악성 shellcode 를내려받고실행한다. 실시간분석하는과정에서우리는이미공격자가최종악성페이로드를내려주는기능을비활성화했다는사실을발견하였다. 46

04 해외보안동향 취약점공격의다단계과정은다음과같다. 취약점원리분석 취약점의 flash 공격코드는고도의난독화가되어있으며, 디버깅분석을통하여우리는공격샘플중에서제로데이 공격코드를찾을수있었다. 47

04 해외보안동향 복호화후의관련코드는다음과같다. 코드중Static-init methods Flash 는인터프리터를사용하여처리되며, 인터프리터가 try catch 구문을처리할때제대로된처리를하지않아이상이발생하며, 코드중의 li8(123456) 명령을유발시켜 catch 블록에의해트리거된다. Try catch 구문을처리할때 flash 는 catch 구문에서실행할수있는코드가없다고판단하여 catch 구문블록중의바이트코드에대해어떠한검사도진행하지않기때문에공격자는 catch 구문블록중 getlocal, setlocal 명령을사용하여스택상에서임의의주소를읽고쓰게할수있게되는것이다. 최종적으로공격자는스택상의 2개의오브젝트포인터의 exchange 를통하여취약점을유형난독화문제로전환하여공격을완성한다. 48

04 해외보안동향 공격코드를좀더디버깅하는과정에서우리는취약점이이용한바이트코드를발견하였으며, 함수의 localcount 값이 2 인것을확인했다. 또한 catch 블록중의 getlocal, setlocal 이이미 448 과 498 위치의데이터로설정되어있음을 확인하였다. setlocal 연산스택데이터를살펴보면, 이미지중에서 ecx 의값이 class5 오브젝트의포인터, 068fc1a0 은 class7 의 포인터라는것을확인할수있다. 49

04 해외보안동향 2 개오브젝트의포인터교환을완료한이후, 공격자는오브젝트멤버의값비교를통하여취약점이성공적으로악용 되었는지를확인할수있다. 공격자관련정보분석취약점공격의 C&C 서버는 people.doha****.com 이며, 그 ip 주소는 ***.145.128.57 이였다. whois 에서정보를검색해본결과이도메인은 2018 년 2월 18 일에등록되었다. 이는즉공격자가올해 2월부터공격을준비해왔다고볼수있다. 우리가직접 people.doha****.com 도메인에접속을해보니 https://people.****.com/***/ 도메인으로리다이렉션 됐으며, 해당도메인은한카타르항공의직원소개페이지였다. people.****.com 은중동지역의구직홈페이지로, 공격자는해당주소에 doha 라는글자만추가하여 C&C 주소를 만들었다. 이는도메인을위장하여피싱을하려는의도도포함되어있는것으로추정되며, 그렇기때문에우리는 공격자의공격목표가카타르도하라고추측하고있다. 50

04 해외보안동향 결론이번공격을분석해본결과공격자는클라우드에서매우정교한공격방식을고안하고, 최소 3개월이라는시간을들여이번공격을준비하였다. 공격타겟속이려정교한피싱공격내용도제작하였으니이는전형적인 APT 공격이라고볼수있다. [ 출처 ] http://blogs.360.cn/blog/cve-2018-5002/ 51

04 해외보안동향 3. 일본 보안담당자를대비하여배치하는기업은 20% 미만 약 60% 가 현상황으로충분 보안담당자를대비하여배치하고있는기업은 20% 에미치지못한다는사실이 IDC Japan 의조사에의해판명되었다. 한편으로 60% 이상의기업이기존의배치로충분하다고생각하고있었다고한다. 정보보안투자에서지난해부터살펴본증감율 ( 그래프 :IDC Japan) 이회사가 1 월에일본국내기업 812 개사를대상으로실시한정보보안대책에관한실태조사의결과를정리한것이다. 이조사에따르면, 정보보안에대한투자동향은전체적으로는증가추세에있지만, 61.8% 의기업에관해서는 보안예산이확정되지않고있으며투자액은지난해와같은수준이라고답변했다. 보안담당자를대비하여배치하고있는기업은 20% 에달하지못하고있다. 그한편으로 60% 이상의기업이기존의인원배치로충분하다고생각하고있었다고한다. 또한전체의 14.2% 가최근 1년동안보안피해를입었다고답변했다. 그중중대한보안피해를입었던기업은 26.7% 로지난번조사의 29.4% 에서조금감소했다. 또한이번조사에서 10% 가까이의기업이랜섬웨어에의한감염피해를입었다고답변하고있다. 보안피해에서복구나배상금의비용이 500 만엔이상이라고답변한기업은 64.5% 였다. 또한 5 월부터시행되는 EU 의 일반데이터보호규칙 (GDPR) 에관해서는 EU 권에서비즈니스를하고있는기업에서조사시점에서대책이 52

04 해외보안동향 끝났다고하는기업은 20% 에달하지못했으나, 약 90% 의기업이인지하고있었다. 한편일본국내기업전체적으로는 과반수가 GDPR 에대해서 모르겠다 고답변했다. [ 출처 ] http://www.security-next.com/093364 53

04 해외보안동향 중국에서총 2 억건이상의일본인정보가판매, 기업유출도확인 파이어아이 보안기업인파이어아이는 5 월 17 일, 중국에서총 2 억건이상의일본인개인정보가판매되고있었다고발표했다. 정보중에는이회사의고객기업에서유출된데이터가포함되어있었다는사실도확인했다. 파이어아이에따르면, 판매되고있던정보는 2017 년 12 월초순에인터넷상에게재된광고에서발견된것이다. 이회사산하의보안조사회사 isight 가분석한결과, 일본의웹사이트나기업등에서유출된데이터일가능성이높다는사실이밝혀져일본법인을통해서일본국내의고객기업에조회한결과, 과거의사건으로유출된고객정보의존재가인정되었다. 파이어아이가입수한중국에서판매되고있는일본인개인정보중일부 총 2억건이상의정보는개인이나기업의종업원등의 ID 나패스워드, 성명, 닉네임, 주소, 생년월일, 연령, 휴대전화번호등다방면에걸쳐있다. 다만유출원은소매나식품, 식료, 금융, 엔터테인먼트, 교통등다양한업종의 11~50 건의웹사이트로보이며중복되는데이터가다수있다는점에서이회사에서는인원수규모가 2억건을크게밑도는것으로보고있다. 조사에서판매자는중국저장성 ( 浙江省 ) 에주재하는것으로보이는인물로, 협력자를포함하여 2명이상의관여가의심된다고한다. 판매자는적어도 2013 년 9월부터중국의언더그라운드사이트상에서이러한개인정보데이터베이스판매를광고하고있었다고하며, 이번에발견된데이터베이스는복수의파일로구성되어총량으로는 5G 바이트를넘는다. 파일일자는 2013 년5월과 2016 년6월등제각각이었다. 일본이외에중국이나타이완, 홍콩, 오스트레일리아, 뉴질랜드, 구미의웹사이트에서유출된개인정보도판매도하고있다. 또한인터넷상에서의판매가격은 1000 위안 ( 약 1 만 7300 엔 ) 으로이러한정보의부정판매로는 이상하게저렴한 가격 이었다. 광고에대한네거티브한평가도발견된다고해서이판매자가구입희망자에게데이터를제공하지않았던 케이스도상정된다고한다. 54

04 해외보안동향 기자회견을한집행역부사장인이와마마사토미 ( 岩間優仁 ) 씨에다르면, 조사에서는 isight 의담당자가판매자들과 관련된것으로보이는인터넷상의커뮤니티사이트에잠입하여데이터수집방법이나판매방법, 데이터의신뢰성확인 등의점을주의깊게실시했다고한다. 샘플데이터의해석으로는무작위로추출한 20 만건의메일주소의대부분이과거의정보유출사건으로유출된것이었다는사실이판명되었다. 또샘플로추출한 19 만건이상의인증정보의 36% 가중복되어있었다. 판매자는일본에서인터넷상에유출된막대한개인정보를어떤방법으로수집, 리스트화하여인터넷을통해서희망자에게저렴하게제공하고있었을가능성이있다. 조사결과에대해서이와마씨는 자주 ID 나패스워드의돌려사용하기가지적되지만다시그상황이확인되었다. 과거에유출된정보는이러한형태로수집, 리스트화되어인터넷상에서판매되어구입자가새로운공격이나범죄에사용한다. 이번사태는 ID 나패스워드의돌려사용하기가얼마나위험한지를뜻하는것으로그러한행위를꼭멈추길바란다고호소하기위해발표했다 라고말했다. 해석에관해서이회사는금전을지불하고이데이터베이스를입수했다고한다. 입수금액등은공표하지않고있다. 이것은판매자의부정한이익으로이어질것이라는견해도나오고있으나, 기자회견에동석한미 FireEye 이그젝티브바이스프레지던트겸최고기술책임자인 Grady Summers 씨는실재해명의필요성과사실의공표에의한보안계몽이라는공익성을감안하여이러한대응을했다는견해를설명했다. [ 출처 ] https://japan.zdnet.com/article/35119345/ 55

04 해외보안동향 PUBG 의 1 시간플레이를강요하는랜섬웨어를 4 월에확인, 요구에따라도 정상적으로복호할수있다고는할수없어 ~ 캐논 ITS 조사 PUBG Ransomware 의협박화면 캐논 ITS 솔루션즈주식회사 ( 캐논 ITS) 가공개한 4월의일본국내악성코드검출보고서에따르면, 몸값대신에배틀로얄게임 PLAYERUNKOWN'S BATTLEGROUNDS ( 이하 PUBG) 에서놀것을강요하는랜섬웨어 PUBG Ransomware 가확인되고있다는사실이밝혀졌다. 보고서는이회사의바이러스대책소프트 ESET 시큐리티소프트웨어시리즈 에서 4월1일 ~30 일에검출된데이터를바탕으로분석한것이다. PUBG Ransomware 는감염되면데스크탑의파일을암호화하고파일명의확장자를 PUBG 로변경하는것이다. 통상 랜섬웨어는파일의복호화조건으로가상통화등의금전을요구해오지만, 이번에발견된랜섬웨어는 PUBG 를 1 시간 플레이할것을요구해오는것이특징이다. 다만, 실제로 PUBG 를 1 시간놀필요는없고게임의실행프로그램 TslGame.exe 를 3 초이상기동하고있을경우, 암호화된파일은복호화된다고한다. 56

04 해외보안동향 게임이기동하고있는지확인하는처리 파일이복호되었을때의화면 ( 붉은네모는복호된파일의일람 ) 또다른방법으로화면에표시된복호코드 s2acxx56a2sae5fjh5k2gb5s2e 를 RESTORE CODE 텍스트박스에 입력하는것으로도복호할수있다고한다. 복호코드의입력처리 57

04 해외보안동향 이랜섬웨어는실행가능한형식을유지한채압출하는팩처리나코드난독화처리가이루어지지않고복호화코드만입력해도파일을복호화할수있기때문에장난으로작성된것으로보인다. 그러나다른랜섬웨어와마찬가지로화면이나음악, 문서등의데이터가암호화되는것에는변화는없으며정상적으로복호화되지않는케이스도확인되고있다는점에서주의가필요하다. 또캐논 ITS 에따르면, 다른공격자가코드를유용하여변종등의작성에악용될가능성을생각할수있다고한다. [ 출처 ] https://internet.watch.impress.co.jp/docs/news/1123926.html 58

( 주 ) 이스트시큐리티 ( 우 ) 06711 서울시서초구반포대로 3 이스트빌딩 02.583.4616 www.estsecurity.com 0