01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 년 2 분기, 알약랜섬웨어공격행위차단건수 :

Similar documents
< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

*2008년1월호진짜

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

ActFax 4.31 Local Privilege Escalation Exploit

SBR-100S User Manual

Microsoft Word - src.doc

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

고객 카드

1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나 데이터를암호화해사용할수없도록하고이를인질로금전

Windows 8에서 BioStar 1 설치하기

System Recovery 사용자 매뉴얼

ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

로거 자료실

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

#WI DNS DDoS 공격악성코드분석

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

목차 Part Ⅰ 3 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 사서함업그레이드로위장한계정탈취목적의악성메일주의 국내에

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 악성메일로유포되는 GandCrab 2.1 랜섬웨어주의

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

PowerPoint Template

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

게시판 스팸 실시간 차단 시스템

유포지탐지동향

ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

Security Trend ASEC Report VOL.56 August, 2014

Install stm32cubemx and st-link utility

ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며

untitled

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

1

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

Security Trend ASEC REPORT VOL.68 August, 2015

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론


ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성

ASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No Copyright 2018 ESTsecurity Corp. All rights reserved.

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No

Office 365 사용자 가이드

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 피고소환장통지서로사칭한 GandCrab 랜섬웨어유포주

BEA_WebLogic.hwp

EQST Insight_201910

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

5th-KOR-SANGFOR NGAF(CC)

SBR-100S User Manual

ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작

07_alman.hwp

메뉴얼41페이지-2

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

Secure Programming Lecture1 : Introduction

ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

View Licenses and Services (customer)

<C0CCC8ADC1F82E687770>

컴퓨터관리2번째시간

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENT 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 02 전문가보안기고 새로운 KONNI 캠페인등

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO

1

wtu05_ÃÖÁ¾

문서의 제목 나눔고딕B, 54pt

목차 Part Ⅰ 12 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀

Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터

<4D F736F F D2038BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

미디어 및 엔터테인먼트 업계를 위한 Adobe Experience Manager Mobile

Microsoft PowerPoint - chap01-C언어개요.pptx

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.

ASEC REPORT VOL.78 June, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

목차 Part Ⅰ 8 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for


암호내지

Studuino소프트웨어 설치

vRealize Automation용 VMware Remote Console - VMware

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

Microsoft Outlook G Suite 가이드

H3250_Wi-Fi_E.book

행자부 G4C

소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기

슬라이드 1

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

Transcription:

01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No.106 2018.07

01 이스트시큐리티통계및분석 No.106 2018.07 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 01-06 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 07-16 2018 년 2 분기, 알약랜섬웨어공격행위차단건수 : 398,908 건! 수입세금계산서로위장한악성메일주의 03 악성코드분석보고 17-48 개요 악성코드상세분석 결론 04 해외보안동향 49-76 영미권 중국 일본

이스트시큐리티보안동향보고서 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 1

01 악성코드통계및분석 1. 악성코드동향 6 월에는여러가지내용으로위장하여사용자를속이는악성이메일을통한공격이다수발견되었습니다. 해당 이메일들은대부분능숙한한국어로작성된경우가많았고다양한주제를가지고사용자가첨부파일을열도록 유도하거나첨부된 URL 을클릭하게만드는경우였습니다. 6 월한달동안악성이메일이사용했던주제를나열해보면다음과같습니다. - 피고소환장을사칭하여피고소환관련공지를확인할수있는 URL 을열도록유도 - 국내시중은행명을도용하여상품운송장인것처럼속여사용자로그인계정을탈취시도 - 상품출고지연과관련하여선적서류내용이맞는지확인유도하여첨부파일을열도록시도 - 계약이체결된것으로위장하여첨부파일문서를열어보도록유도 - 특정인을지칭하여상품주문제안으로위장하여상품관련 URL 을열도록유도 - 이미지저작권침해확인내용으로위장하여침해내용이있는첨부파일을열도록유도 위에서언급한생활밀착형및업무관련주제말고도, 북미정상회담이개최된후현재북한과미국의정세를이용한 정치적이슈를이용하여 미북정상회담전망및대비 라는이름의문서로 hwp 취약점을이용하여사용자 PC 관련 주요정보를탈취하는이메일도함께발견된바있습니다. 다시한번말씀드리자면, 위에서발견된모든주제관련이메일들은모두 2018 년 6 월단한달동안에발견된 이메일들이며, 이들은첨부파일또는 URL 클릭을사용자에게유도하여랜섬웨어를포함한악성코드를배포하거나 사용자계정정보를탈취하는피싱사이트로이동시킵니다. 최근스미싱공격에서도보면거의 2 년가까이가장많이스미싱공격에사용되는메시지주제는 택배 관련내용인 것처럼공격자들은언제나사용자들이관심있어하고클릭할만한주제를이용하여사회공학적기법을구사합니다. 특히이메일주소가외부에오픈되어있는기업의인사담당자, 마케팅담당자, 사업관련제휴담당자들의경우외부에서유입된이메일을접할때, 되도록열람하지말아야하며, 열람이불가피하다고판단되는경우각별히주의를기울여야합니다. 첨부파일에대해회사내보안관련인력에게문의하거나가상머신과같은안전한환경에서열어보기를권장해드립니다. 2

01 악성코드통계및분석 2. 알약악성코드탐지통계 감염악성코드 TOP15 2018 년 6 월의감염악성코드 Top 15 리스트에서는지난 2018 년 5 월에도 1위를차지했던 Trojan.Agent.gen 이이번달 Top 15 리스트에서도 1 위를차지했다. 지난 5월에 2 위였던 Misc.HackTool.AutoKMS 도이번달역시 2 위를차지했다. 지난달 9 위로순위가급하강했던 Trojan.LNK.Gen 이 6 계단상승하여 3 위를차지하며이전수준으로돌아온것이 확인된다. 그밖에도지난 5 월 15 위밖으로빠졌었던 BitCoinMiner 류악성코드가다시순위가급상승하여이번 6 월 순위에서 5 위를차지한것이주목할만한부분이다. 순위 등락 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Trojan.Agent.gen Trojan 1,383,072 2 - Misc.HackTool.AutoKMS Trojan 778,371 3 6 Trojan.LNK.Gen Trojan 568,945 4 1 Trojan.HTML.Ramnit.A Trojan 566,110 5 New Misc.Riskware.BitCoinMiner Trojan 413,832 6 2 Adware.SearchSuite Adware 386,074 7 1 Win32.Neshta.A Virus 353,486 8 1 Misc.Keygen Trojan 327,482 9 1 Worm.ACAD.Bursted.doc.B Worm 200,964 10 New Trojan.ShadowBrokers.A Trojan 192,127 11 1 Exploit.CVE-2010-2568.Gen Exploit 190,891 12 New Win32.Ramnit Worm 173,217 13 8 Hosts.media.opencandy.com Host 173,187 14 1 Win32.Sality.3 Worm 149,186 15 - Win32.Ramnit.N Worm 113,379 * 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 2018 년 6 월 01 일 ~ 2018 년 6 월 30 일 3

01 악성코드통계및분석 악성코드유형별비율 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 71% 를차지했으며웜 (Worm) 유형이 11% 로그뒤를 이었다. 취약점 3% 애드웨어 6% 호스트파일 3% 바이러스트로이목마 (Trojan) 웜 6% 스파이웨어 (Spyware) 11% 애드웨어 (Adware) 트로이목마 71% 취약점 (Exploit) 웜 (Worm) 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 카테고리별악성코드비율전월비교 6 월에는 5 월과비교하여트로이목마 (Trojan) 악성코드감염카테고리비율이 65% 에서 71% 로소폭증가하였다. 전반적으로트로이목마악성코드를제외하고다른카테고리의악성코드감염건수및전체악성코드감염건수가크게감소하였다. 또한웜 (Worm) 악성코드및바이러스 (Virus) 류의악성코드감염건수는소폭감소하였다. 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 호스트파일 (Host) 기타 (Etc) 0% 0% 6% 8% 0% 0% 11% 13% 3% 0% 6% 7% 0% 0% 3% 7% 0% 0% 71% 65% 100% 100% 6 월 5 월 0% 20% 40% 60% 80% 100% 4

01 악성코드통계및분석 3. 허니팟 / 트래픽분석 6 월의상위 Top 10 포트 허니팟 / 정보수집용메일서버를통해유입된악성코드가사용하는포트정보및악성트래픽을집계한수치 80 4% 22 4% 81 8% 23 13% 3389 3% 1433 2% 25 15% 8080 1% 5900 27% 3306 23% 5900 3306 25 23 81 22 80 3389 1433 8080 최근 3 개월간상위 Top 5 포트월별추이 2018 년 4 월 2018 년 5 월 2018 년 6 월 22 5900 3306 23 81 5

01 악성코드통계및분석 악성트래픽유입추이 외부로부터유입되는악의적으로보이는트래픽의접속시도가감지된수치 25,184,718 20,556,512 12,951,301 17,636,329 8,722,537 13,808,383 2018 년 1 월 2018 년 2 월 2018 년 3 월 2018 년 4 월 2018 년 5 월 2018 년 6 월 단위 : 악의적트래픽접속시도감지건수 2018 년 1 월 ~ 2018 년 6 월 6

이스트시큐리티보안동향보고서 02 전문가보안기고 1. 2018 년 2 분기, 알약랜섬웨어공격행위차단건수 : 398,908 건! 2. 수입세금계산서로위장한악성메일주의 7

02 전문가보안기고 1. 2018 년 2 분기, 알약랜섬웨어공격 행위차단건수 : 398,908 건! 2018 년 2 분기, ' 알약랜섬웨어행위기반차단기능 ' 을통해차단된랜섬웨어의공격건수는총 398,908 건이었습니다. 이를환산하면월평균 132,968 건, 일평균 4,384 건의공격이발생했다고할수있습니다. 이번통계는공개용 알약에서랜섬웨어행위기반차단공격수만을집계하였기때문에, 패턴기반공격까지포함하면전체공격의수는더욱 많을것으로예상됩니다. 2 분기랜섬웨어행위기반차단건수는 1 분기대비약 20% 가량급증하였으며, 특히지난 5 월은한달간약 15 만건의공격이차단돼 2018 년상반기중랜섬웨어유포가가장많았던달로확인되었습니다. 또한 ESRC 에서 2 분기에수집한신변종랜섬웨어샘플수도 1 분기와비교해약 1.5 배가량증가한것으로집계돼, 2 분기에랜섬웨어공격이더욱기승을부렸다고볼수있습니다. <' 알약랜섬웨어행위기반차단기능 ' 을통해감지된 2018 년 2 분기랜섬웨어차단건수 > 8

02 전문가보안기고 한편랜섬웨어공격건수는 2017 년 4 분기부터 2018 년 2 분기까지 3 개분기에걸쳐꾸준히증가하는추세를보이고 있으며, 특히갠드크랩 (GandCrab) 랜섬웨어가사회공학적기법과취약점을악용하는업그레이드를통해꾸준히 유포되고있어주의가필요합니다. 이밖에 2018 년 2 분기유포된주요랜섬웨어로는도넛 (Donut), 레드아이 (RedEye), 킹우로보로스 (KingOuroboros) 변종등이있습니다. 2018 년 2 분기유포된주요랜섬웨어의특징은다음과같습니다. 랜섬웨어명 특징 2018 년 1 월부터 6 월까지가장많이유포된랜섬웨어. 계속적으로버전을업그레이드하면서현재 GandCrab Donut RedEye KingOuroboros 변종 PedCont VirLock 4.0버전까지발견되었음. 암호화된확장명을가지고있고유창한한국어의이메일첨부파일혹은 Rig 및 GrandSoft Exploit Kit 에의해취약한웹사이트방문을통해감염됨. Hidden Tear 오픈소스기반의전형적인랜섬웨어. 파일암호화후바탕화면에도넛이좌에서우로굴러가는이미지를보여줌감염된파일을빈용량의파일로만들기때문에랜섬머니를지불해도데이터복원이불확실함. 4일이내랜섬머니지불하지않으면 MBR 수정하여정상부팅불가. 암호화완료후시스템을재부팅시키며, 로그온화면에랜섬메시지를표시. Java Update Schedule 파일속성을도용함. ScreenSaver.scr 형식으로실행되며랜섬화면창닫기클릭시윈도우종료되고윈도우재시작시검은화면만나타나고응답없음. BTC, LTC 를랜섬머니로요구함. 최초의자기복제형랜섬웨어. 파일을암호화할뿐아니라, 기존파일을감염시켜바이러스처럼동작함. 그림판, 계산기, 메모장이실행되는것처럼보이며백그라운드에서암호화진행됨. RansSIRIA WannaPeace 의변종으로브라질사용자를공격대상으로함. 시리아난민을위한기부금으로랜섬머니를 요구함. 시리아어린이를돕자는내용의 세이브더칠드런 유튜브영상과참혹한장면을담은사진을링크함. MyRansom (=Magniber) 변종 Magnitude Exploit Kit 을이용해아시아태평양국가를주요타겟으로하는랜섬웨어. 랜섬노트와 Tor 주소가 작업스케줄러에등록되어 15 분혹은 1 시간마다자동으로연결됨. 중국의유명보안 SW 의파일속성도용한랜섬웨어. 컴퓨터를암호화할때기기의섀도우볼륨복사본들도 Crysis 변종 모두삭제해파일을복구를막음. 사용자의공유네트워크들을암호화하여실제로접근해야하는사용자만 권한을갖도록한다. 9

02 전문가보안기고 기업들이랜섬웨어감염피해를예방하기위한다방면의노력을하고있지만, 공격자역시방어체계를우회하기위해 각종사회공학적기법과취약점을악용한감염시도를지속하고있어여전히심각한보안위협으로손꼽히고있습니다. 또한실제통계수치로도랜섬웨어공격은지속적으로증가하고있기때문에피해를예방하기위해서는운영체제 (OS), 백신과같이사용중인 SW 의최신업데이트를유지하고중요한자료를수시로백업하는등의기본적인보안수칙을 반드시준수해야합니다. 이스트시큐리티는더안전한사용자사용환경을만들기위해한국인터넷진흥원 (KISA) 과긴밀한협력을통해랜섬웨어 정보수집과대응을진행하고있습니다. 10

02 전문가보안기고 2. 수입세금계산서로위장한악성메일 주의 최근수입세금계산서로위장한악성메일을통해정보탈취목적의악성코드가국내에유포되고있어이용자들의 주의를당부드립니다. 수입세금계산서로위장한악성메일은모두동일한내용을가지고있으며, 동일한첨부파일 'Tax_Invoice_1308182689,pdf.ace' 을실행하도록유도합니다. [ 그림 1] 수입세금계산서안내악성메일 (1) 11

02 전문가보안기고 [ 그림 2] 수입세금계산서안내악성메일 (2) 상기해당메일들에첨부된파일 'Tax_Invoice_1308182689,pdf.ace' 에는 'Tax_Invoice_1308182689,pdf.exe' 악성코드가있습니다. 12

02 전문가보안기고 [ 그림 3] 첨부파일 'Tax_Invoice_1308182689,pdf.ace' 이용자가세금계산서로생각하고 'Tax_Invoice_1308182689,pdf.exe' 파일을열경우, 시스템정보와웹브라우저 정보를탈취하는기능을수행하는악성코드가실행됩니다. 다음은시스템정보수집코드와웹브라우저정보에저장된 아이디및비밀번호를수집하는코드입니다. 13

02 전문가보안기고 [ 그림 4] 시스템정보수집코드 [ 그림 5] 웹브라우저에저장한아이디및비밀번호정보수집코드 수집된정보는암호화한뒤, 'http://62[.]108[.]34[.]70/zayee3/gate[.]php' 로전송합니다. 수집된정보에웹브라우저 아이디및비밀번호가포함되어있는경우계정유출에따른추가피해가발생할수있어주의가필요합니다. 14

02 전문가보안기고 [ 그림 6] 정보전송코드 따라서출처가불분명한메일에있는첨부파일혹은링크에대해접근을삼가하시고, 검증되지않은파일을실행하기 전에는백신프로그램을이용하여악성여부검사를수행해주시기바랍니다. 현재알약에서는메일에첨부된악성파일을 'Trojan.Agent.632320E' 로진단하고있습니다. 15

이스트시큐리티보안동향보고서 03 악성코드분석보고 개요 악성코드상세분석 결론 16

03 악성코드분석보고 [Trojan.Ransom.Paradise] 악성코드분석보고서 1. 개요 최근다양한랜섬웨어가지속적으로유포되고있는가운데 2017 년 9 월에활동했던 Paradise 랜섬웨어변종이새롭게발견되었다. 이번에발견된 Paradise 랜섬웨어는기존과마찬가지로사용자의중요파일을암호화하고파일확장자를.paradise 로변경한다. 시스템운영에필요한일부파일을제외하고확장자상관없이모든파일을암호화하기때문에감염되면큰피해를입을수있으므로사용자의주의가필요하다. 따라서본보고서에서는새롭게발견된 Paradise 랜섬웨어를상세분석하고자한다. 17

03 악성코드분석보고 2. 악성코드상세분석 2.1. 시스템언어및국가코드확인 Paradise 랜섬웨어는감염될사용자 PC 의시스템언어와 IP 주소대역의국가코드를확인하여암호화여부를 결정한다. 다음과같은언어를사용하는 PC 에대해서는암호화를진행하지않으며, 이외의언어를사용하는 PC 에 대해서만암호화를진행한다. [ 그림 1] 암호화제외시스템언어 사용자 PC 의 IP 주소대역을조회하여국가코드를확인하고, 다음과같은국가코드를사용하지않을경우암호화를진 행한다. [ 그림 2] 암호화제외국가코드 18

03 악성코드분석보고 [ 그림 3] 사용자 IP 주소대역조회 2.2 프로세스종료 다음과같은문자열을가진경로및프로세스를제외하고현재실행중인모든프로세스를종료한다. 이는실행중인프로세스에서특정파일에접근중일때정상적으로암호화가되지않는것을방지하기위한행위로보인다. 또한, 디버거및분석툴등을종료시켜정상적인분석을방해하고, Windows 하위에서실행된파일을제외하여비정상적인시스템오류를방지한다. C:\\Windows chrome.exe firefox.exe iexplore.exe launcher.exe [ 표 1] 프로세스종료제외문자열 19

03 악성코드분석보고 2.3 파일생성 특정경로하위에파일암 복호화에필요한사용자식별 ID 및키값등을파일로생성한다. 생성파일명생성경로 (Windows 7 x86 기준 ) ID_CLIENT_help@badfail.infot.txt paradise_key.bin C:\Users\[ 사용자 PC 명 ]\Documents paradise_key_pub.bin PARADISE_README_help@badfail.info.txt Paradise.png Windows 를제외한모든폴더 C:\Users\[ 사용자 PC 명 ]\AppData\Roaming [ 표 2] 생성파일및생성경로 2.3.1 ID_CLIENT_help@badfail.info.txt 감염 PC 를식별하기위한 0x32 byte 랜덤 ID 값을 ID_CLIENT_help@badfail.info.txt 파일로생성한다. [ 그림 4] ID_CLIENT_help@badfail.info.txt 파일생성코드 2.3.2 암호화키파일생성 Paradise 랜섬웨어는암호화를위해고유한 RSA-1024 키를생성하고, 이키를이용해모든파일을암호화하는데 사용한다. 다음과같이 paradise_key.bin 과 paradise_key_pub.bin 파일을생성한다. 20

03 악성코드분석보고 2.3.3 PARADISE_README_help@badfail.info.txt [ 그림 5] RSA 키파일생성코드 암호화가진행된각폴더마다 PARADISE_README_help@badfail.info.txt 파일을생성한다. 이파일은사용자에게 감염사실을알리고사용자식별 ID 와함께공격자와접촉할수있는메일주소를안내한다. [ 그림 6] PARADISE_README_help@badfail.info.txt 파일생성코 21

03 악성코드분석보고 [ 그림 7] PARDISE_README_help@badfail.info.txt 내용 2.4 파일암호화 다음과같은문자열을가진경로와파일에대해서는암호화를진행하지않는다. 특히브라우저관련파일은암호화 하지않음으로써, 복호화를위해공격자와메일로접촉할수있는최소한의환경을유지하기위함으로보인다. 암호화제외경로문자열 Opera Mozilla Firefox Google\chrome\application Internet Explorer [ 표 3] 암호화제외경로문자열 또한, 공격자가직접생성한파일에대해서도암호화를진행하지않는다. 랜섬노트에필요한이미지파일과복호화에필요한키값과사용자식별 ID 값등이포함되어있다. 암호화제외파일문자열 paradise.png paradise_key.bin PARADISE_README_ ID_CLIENT_ [ 표 4] 암호화제외파일문자열 암호화대상파일은다음과같은구조로데이터가암호화된다. 모든데이터를암호화시키는것이아닌최초 0x2800 byte 만암호화되며, 파일하단에 0x9 byte 의 PARADISE* 시그니쳐를삽입하여암호화여부를확인한다. 암호화된 파일의고유정보와이정보의크기도함께추가된다. 22

03 악성코드분석보고 [ 그림 8] 암호화된파일구조 암호화가완료된파일은 [ 원본파일명 ] V.0.0.0.1{help@badfail.info}.paradise 형식으로파일명과확장자가 변경된다. 다음은파일암호화코드의일부이다. [ 그림 9] 파일암호화코드일부 23

03 악성코드분석보고 2.5 C&C 전송 공격자는 C&C 서버로 POST 방식을이용해암호화정보들을전송한다. C&C 주소는 146.185.241.35/api/Encrypted.php 로러시아로확인되며분석시점에이미서버는차단된상태이다. 다음은정보 전송코드이다. [ 그림 10] POST 방식을이용한 C&C 정보전송 변수명 설명 v1 사용자식별 ID ( 랜덤값 ) v2 trump 섹션데이터값 0x8 byte (o1qfrehe) start_e 암호화시작시간 end_e 암호화종료시간 files_count 암호화파일개수 key RSA 키값 [ 표 5] C&C 전송정보파라미터값 24

03 악성코드분석보고 2.7 시스템복원기능무력화 감염된 PC 의시스템복원기능을무력화하기위해다음과같은명령어로볼륨섀도우복사본을삭제한다. C:\Windows\System32\wbem\wmic.exe shadowcopy delete cmd.exe /c vssadmin delete shadows /all /quiet [ 표 6] 볼륨섀도우복사본삭제명령어 2.8. 랜섬노트 모든암호화가종료되면감염사실과복호화방법을안내하는랜섬노트를화면에띄운다. 랜섬노트내용에따르면사용자는암호화된파일의복호화를위해비트코인을지불해야한다. 공격자는복호화를위해몇가지주의사항을안내하고, 실제로복호화가가능하다는것을증명하게위해 1MB 이하파일 1~3 개에대해서무료로복호화해준다고안내한다. [ 그림 11] 랜섬노트화면 25

03 악성코드분석보고 [ 그림 12] 랜섬노트화면 2 26

03 악성코드분석보고 3. 결론 공격자는사용자의중요파일을암호화시키고, 복호화대가로비트코인을요구하며금전적인이득을취하고자한다. 사용자의신뢰를얻기위해소수의파일을무료로복호화해주지만실제비트코인을지불했을경우정상적으로 복호화를해준다는것은보장할수없다. Paradise 랜섬웨어는시스템언어확인은물론실제사용자 IP 를조회하여국가코드가일치하는지까지확인하여특정 국가를확실하게제외시키는것이기존악성코드와는다른특징이다. 따라서, 시스템언어만임의로변경한다고해서 암호화대상에서제외될수없다. 지속적으로변종이등장할가능성이있는만큼사용자는중요파일을백업하는습관을들여야한다. 또한, 출처가 불분명한이메일에포함된링크및첨부파일은클릭하지않는것이중요하다. 패치누락으로인한취약점이발생하지 않도록 OS 와소프트웨어는최신버전의업데이트를유지하며, 백신을설치해주기적인검사를실시하여야한다. 현재알약에서는 Trojan.Ransom.Paradise 로진단하고있다. 27

03 악성코드분석보고 [Trojan.Android.HiddenApp] 악성코드분석보고서 1. 개요 텔레그램을이용하는새로운형태의안드로이드악성앱이등장하였다. 이전에도텔레그램을봇을악용한악성앱은있었지만, MS 사의 Xamarin 을활용한 C# 으로제작된앱으로서는처음이다. 이앱은텔레그램봇을활용하여원격으로명령을보낸다. 원격명령은악성행위와관련되어있고오디오제어, 카메라제어, 메시지탈취등개인의사생활과관련된악성행위를한다. 본분석보고서에서는 Trojan.Android.HiddenApp 를상세분석하고자한다. 28

03 악성코드분석보고 2. 악성코드상세분석 1. 앱은닉 앱을처음실행하면앱이삭제됐다는문구를띄우고아이콘을숨겨사용자를속인다. 그러나실제로는서비스형태로 실행되어악성행위를시작한다. 해당문구는페르시아어이며이란을주대상으로함을알수있다. [ 그림 1] 앱은닉 29

03 악성코드분석보고 2. Xamarin 을바탕으로텔레그램을활용한악성행위 Xamarin 은 MicroSoft 사의 C# 과.NET Framework 를리눅스에서도쓸수있도록해주는 Mono 프로젝트에서시작된프레임워크이다. 해당악성앱은 android.os.dll 에악성행위와관련된메소드가저장되어있고텔레그램봇 API 가저장된 TeleSharp.dll 을통하여악성행위와관련된명령을확인한다. [ 그림 2] 악성행위관련 dll 파일 악성앱의 /data/data/system.os( 패키지명 )/shared_prefs/ 폴더에텔레그램봇과관련된정보가저장되어있다. 해당텔레그램봇은생성자, 즉해커에의해서매니저로등록되어야활용할수있다. 30

03 악성코드분석보고 [ 그림 3] 텔레그램봇 31

03 악성코드분석보고 3. 원격명령을통한악성행위 3.1 명령어목록 텔레그램봇을활용하여악성행위를진행한다. 20 가지이상의다양한원격명령이있다. [ 그림 4] 명령어목록 3.2 SMS 메시지제어텔레그램원격명령을통해 SMS 메시지와관련된악성행위를한다. 메시지를해커에게전송할수도있고메시지를삭제할수도있다. SMS 발신함및수신되는메시지를감시하는데 +98 을 0 으로변경하여저장한다. 이는이란의국가코드이며이란을주대상으로함을알수있다. 시간, 번호, 내용을탈취하고탈취된정보는 /SDcard/Android/data/com/systemprocess.android/System/tmp_s/ 폴더에저장된다. 32

03 악성코드분석보고 [ 그림 5] 원격명령을통해탈취되는 SMS 메시지 [ 그림 6] 원격명령을통해삭제되는 SMS 메시지 33

03 악성코드분석보고 [ 그림 7] 발신함의 SMS 메시지감시 [ 그림 8] 수신되는 SMS 메시지감시 34

03 악성코드분석보고 3.3 통화목록탈취 번호, 이름, 날짜, 통화시간등을포함하여통화목록을탈취한다. [ 그림 9] 통화목록탈취 35

03 악성코드분석보고 3.4 오디오제어 명령어를통하여녹음을시작하거나종료할수있다. /SDcard/Android/data/com/systemprocess.android/System/tmp_vc/ 경로에 rec.vc 파일로저장된다. [ 그림 10] 녹음시작명령 3.5 통화녹음기기의통화내용을녹음한다. /SDcard/Android/data/com/systemprocess.android/System/tmp_c/ 폴더에 시간 +NUM= 번호.vc 파일로저장된다. [ 그림 11] 통화녹음 36

03 악성코드분석보고 3.6 녹음파일탈취 사용자몰래녹음된파일들은명령어를통하여.zip 파일로압축되어해커에게전송될수있다. [ 그림 12] 녹음파일탈취 37

03 악성코드분석보고 3.7 카메라제어 원격명령을통하여카메라제어가가능하다. [ 그림 13] 원격명령을통한카메라제어 3.8 메시지전송 원격으로 SMS 메시지를전송할수있다. [ 그림 14] 메시지전송 38

03 악성코드분석보고 3.9 주소록탈취 주소록을탈취하여이름이나번호로검색을할수있다. [ 그림 15] 주소록탈취및검색 3.10 위치정보탈취 위치정보를탈취하고 GPS 가꺼져있으면원격명령을통해서 GPS 기능을킬수있다. 39

03 악성코드분석보고 [ 그림 16] 위치정보탈취및제어 3.11 계정탈취 기기에등록된모든계정을탈취한다. [ 그림 17] 계정탈취 3.12 앱삭제 원격명령을통하여앱삭제가가능하다. [ 그림 18] 앱삭제 40

03 악성코드분석보고 3.13 파일제어 파일삭제, 이름변경, 경로변경등을할수있다. [ 그림 19] 파일제어 3.14 이미지파일탈취 기기의저장소에저장된이미지파일을탈취한다. [ 그림 20] 이미지파일탈취 41

03 악성코드분석보고 4. 기타행위 4.1 기기정보탈취 기기의제조사, 빌드버전, 전화번호, 아이피주소등기기와관련된정보들을탈취한다. [ 그림 21] 기기정보탈취 42

03 악성코드분석보고 4.2 서비스재시작 기기가재부팅, 화면잠금해제, 데이터연결변경과와이파이연결이변경되면악성행위의시작인 mainservice 가 다시시작된다. [ 그림 22] 재부팅확인 [ 그림 23] 와이파이상태확인 43

03 악성코드분석보고 [ 그림 24] 데이터상태확인 [ 그림 25] 잠금화면상태확인 4.3 절전모드제어 지속적인악성행위를위하여절전모드를제어함으로써앱종료를방지한다. [ 그림 26] 절전모드제어 44

03 악성코드분석보고 4.4 와이파이제어 와이파이를제어하여지속적인통신이가능토록한다. [ 그림 27] 와이파이제어 4.5 기기화면상태확인 키보드입력여부를확인하여화면의켜짐과꺼짐상태를확인한다. [ 그림 28] 기기화면상태확인 45

03 악성코드분석보고 4.6 루팅확인 안드로이드쉘명령어를활용하기위하여루팅여부를확인한다. [ 그림 29] 루팅확인 46

03 악성코드분석보고 4.7 기기스크린샷제어 안드로이드쉘명령어를통하여기기화면의스크린샷을찍어해커에게전송하고해당파일을바로지운다. 4.8 기기부팅제어 [ 그림 30] 스크린샷명령 안드로이드쉘명령어를통하여기기를재부팅및종료할수있다. [ 그림 31] 기기재부팅및종료명령 47

03 악성코드분석보고 3. 결론 해당악성앱은사용자를속이기위해서앱이삭제되었다는문구를띄우고오디오제어, 카메라제어, SMS 메시지등 사용자의사생활과관련된정보를탈취한다. 따라서, 악성앱에감염되지않기위해서는예방이중요하다. 출처가불명확한 URL 과파일은실행하지않아야한다. 또한, 주변기기의비밀번호를자주변경하고 OS 와애플리케이션을항상최신업데이트버전으로유지해야한다. 현재알약 M 에서는해당악성앱을 Trojan.Android.HiddenApp 탐지명으로진단하고있다. 48

이스트시큐리티보안동향보고서 04 해외보안동향 영미권 중국 일본 49

04 해외보안동향 1. 영미권 CoinHive URL 단축기, 해킹된사이트를통해가상화폐를채굴하도록악용돼 CoinHive URL Shortener Abused to Secretly Mine Cryptocurrency Using Hacked Sites 보안연구원들이새로운악성캠페인에대해경고했다. 이는수천개의해킹된사이트에악명높은 CoinHive JavaScript 를직접설치하지않고도가상화폐를채굴하기위한다른방법을사용한다. Coinhive 는웹사이트관리자가웹사이트방문자의 CPU 전력을이용해모네로가상화폐를채굴하도록하는 JavaScript 코드를제공하는인기있는브라우저기반서비스다. 그러나, 2017 년중반부터범죄자들은수많은해킹된사이트에자신의 CoinHive JavaScript 코드를추가해방문자들이자신도모르는사이모네로코인을채굴하도록악용했다. 많은웹보안회사들과안티바이러스회사들도승인되지않은 CoinHive 의 JavaScript 주입을탐지하도록업데이트하고있는추세이기때문에, 해커들은이제다른서비스를악용하기시작했다. CoinHive 단축 URL 을해킹사이트에주입하는해커들 삽입이가능한 JavaScript 채굴기와는별개로, CoinHive 는사용자들이단축링크를생성할수있는 URL 단축기 서비스를운영한다. 이단축기는단축된링크에서실제 URL 로이동하기위해발생하는약간의딜레이기간에 모네로를채굴한다. 50

04 해외보안동향 보안연구원들에따르면, 많은합법적인웹사이트들이자신들도모르는사이숨겨진 HTML iframe 내부에서 CoinHive 로생성된단축 URL 을로드하도록해킹되어, 방문자들의브라우저가공격자들을위한가상화폐를채굴하는 것으로드러났다. 지난몇주동안, 우리의크롤러는드라이브 - 바이마이닝을실행하기위한 CoinHive 의단축링크를사용하는동일한 난독화된코드가주입된다양한 CMS 를사용하는수백개의사이트들을발견했다. 연구원들은해커들이해킹된웹사이트에방문자의웹브라우저에로드되는즉시웹페이지에보이지않는 iframe (1x1 픽셀 ) 을동적으로주입하는난독화된 JavaScript 코드를추가한다고밝혔다. URL 단축기는보이지않는 iframe 을통해로드되기때문에, 웹페이지에서이를발견하는것은매우힘들다. 이후감염 된웹페이지는 CoinHive 의단축 URL 이실제 URL 로이동하기전까지자동으로채굴하게된다. 이미지링크 : https://1.bp.blogspot.com/-vrf7dbbi-- o/wzyac2zjp2i/aaaaaaaaxxo/u6r0yja8rggp5cei6e8exqgm2nqxwqbuwclcbgas/s728-e100/crypto-miner.gif 그러나, 단축된링크의리디렉션시간은 CoinHive 의설정 ( 해시값을사용하는 ) 을통해조정이가능하므로, 공격자들은 방문자들의웹브라우저가가상화폐를장기간동안채굴할수있도록설정을변경한다. CoinHive 의디폴트설정은 1024 해시로설정되어있지만, 이는도착지 URL 을로딩하기전 3,712,000 해시를 요구한다. 51

04 해외보안동향 게다가, 요구한해시의양이채워지면단축 URL 에연결된링크는사용자를동일한페이지로다시이동시켜채굴 과정을또다시시작하도록한다. 따라서사용자들은웹페이지가새로고침된것으로착각할수있다. 범죄자들, 당신의 PC 를가상화폐채굴기로변환시도 숨겨진 iframe 이외에도, 연구원들은합법적인소프트웨어로위장한가상화폐마이닝악성코드를다운로드하도록 방문자를속이는하이퍼링크가해킹된사이트에주입된것들을발견했다. 해킹당한서버는리눅스채굴기를다운로드및실행해공격자를위한수익을창출하지만, 사이트의소유주에게는 비용이발생한다. 브라우저에주입된불법채굴기로부터피해를입지않으려면, 가장좋은방법은 minerblock 이나 NoCoin 과같은 가상화폐마이닝서비스를차단하도록설계된브라우저확장프로그램을사용하는것이다. [ 출처 ] https://thehackernews.com/2018/07/coinhive-shortlink-crypto-mining.html 52

04 해외보안동향 다운로드폭탄 트릭돌아와 크롬, 파이어폭스, 오페라, 비발디, 브레이브에영향미쳐 Download Bomb Trick Returns in Chrome Also Affects Firefox, Opera, Vivaldi and Brave 구글크롬 67 의출시로인해, 2018 년 3 월크롭 67 버전에서수정된 다운로드폭탄 (download bomb) 버그가 다시가능하게된것으로나타났다. 이버그는기술지원사기꾼들이지난겨울악용했었다. 게다가, 테스트결과이문제는파이어폭스, 비발디, 오페라, 브레이브브라우저에서도영향을미치는것으로나타났다. 다운로드폭탄 트릭컴백해 다운로드폭탄 트릭은수백또는수천건의다운로드를시작해특정페이지에서브라우저를고정시키는 기술이다. 수년에걸쳐, 다운로드폭탄의많은변형들이등장했었다. 기술지원사기꾼들은이기술을이용해사용자들을악성 사이트에묶어두고, 기술지원번호로전화를하도록속였다. 이기술은크롬브라우저에서열린기술지원사이트를고정시키기위해 JavaScript Blob 메쏘드와 window.navigator.mssaveoropenblob 함수를이용해수천개의다운로드를시작한다. 이미지링크 : https://www.bleepstatic.com/images/news/u/986406/techsupportscams/chromebug/chrome_tss.gif 구글의개발자들은이문제를인지했으며, 크롬 65.0.3325.70 부터이문제를해결했다. 하지만 6 월 12 일공개된 53

04 해외보안동향 크롬 67.0.3396.87 버전에서문제가다시발생했다. 다운로드폭탄기술, 다른브라우저에도영향미쳐 하지만이문제는처음생각된것보다훨씬거대했다. 한보안전문가에따르면, 이문제는파이어폭스에도영향을주는 것으로나타났다. 또한 PoC 테스트결과, Brave 와 Vivaldi 브라우저도멈출수있었다. 오페라브라우저는짧은시간동안멈추었지만, 윈도우작업관리자를이용해브라우저를닫아 PoC 탭에서벗어날수있었다. 하지만연속적인다운로드는 백그라운드에서계속발생해, 다른인터페이스들을중단시켰다. 마이크로소프트의엣지와인터넷익스플로러는이문제에영향을받지않는다. 이러한트릭을사용하는기술지원사이트를방문하게될경우, 브라우저가마지막으로방문된사이트를열도록구성되어있다면, 브라우저폭탄공격이시작되기전기술지원사이트의탭을닫을수있다. 이는기술지원사기웹사이트가전체사이트를로드한후다운로드공격코드를로드하기때문에, 사용자가탭을닫을수있는몇초의시간을벌수있기때문이다. [ 출처 ] https://www.bleepingcomputer.com/news/security/download-bomb-trick-returns-in-chrome-also-affects-firefox-opera-vivaldi-and-brave/ 54

04 해외보안동향 범죄자들, 소프트웨어레지스트리로그인토큰을훔치는악성 ESLint 패키지배포해 Crooks deployed malicious ESLint packages that steal software registry login tokens 해커들, ESLint 관리자의 npm 계정을해킹해 npm 레지스트리에악성버전퍼블리싱했다. Npm 은 JavaScript 용 패키지관리자이며, 세계최대규모의소프트웨어레지스트리다. ESLint 는 JavaScript 의패턴을식별및보고하는오픈소스 플러그및구성가능한 Linter 툴 이다. Npm 에호스팅되는문제의패키지들은아래와같다 : eslint-scope 버전 3.7.2 o, ESLint 구버전에서사용된범위분석라이브러리및 babel-eslint 의최신버전, webpack ESLint 팀이내부적으로사용하는구성인 eslint-config-eslint 버전 5.0.2 감염된패키지가설치되면, 이는 pastebin.com 에서사용자의.mpmrc 파일의내용을훔치고이를공격자에게보내도록설계된코드를다운로드및실행한다. 이파일은보통 npm 에퍼블리싱을위한접근토큰을포함하고있다. 공격자는 build.js 를실행하기위한 postinstall 스크립트를추가해 eslint-escope@3.7.2 및 eslint-configeslint@5.0.2 내의 package.json 을변조했습니다. 이스크립트는 pastebin 에서또다른스크립트를다운로드하고내용을평가합니다. 이스크립트는사용자의.npmrc 에서 _authtoken 을추출하고 Referer 헤더내부의 histats 및 statcounter 로 보낸다. 관리자들은이패키지를발견즉시제거했으며, pastebin.com 의내용도제거되었다. 악성패키지가훔친 npm 로그인토큰은사용자의 npm 패스워드는포함하지않지만, npm 은영향을받은토큰을 폐지하기로결정했다. 사용자들은 npm 에서제안한대로기존토큰을제거할수있다. Npm 은 우리는 2018 년 7 월 12 일 12:30 (UTC) 이전에발행된모든 npm 토큰들을무효화시켜도난당한 토큰들이악의적으로사용될가능성을없앴다. 고밝혔다. ESLint 는 eslint-scope 버전 3.7.3 및 eslint-config-eslint 버전 5.0.3 을공개했다. 악성패키지를설치한사용자들은 npm 을업데이트해야한다. [ 출처 ] https://securityaffairs.co/wordpress/74497/hacking/malicious-eslint-packages.html 55

04 해외보안동향 2. 중국 중국비디오스트리밍업체 AcFun, 천만명의사용자정보유출, 이미 GitHub 에정보공개 6 월 13 일새벽, AcFun 은공지를통해해커의공격을받아천만명의사용자정보가유출되었다고밝혔다. 2017 년 7 월 7 일직후로그인한적없던사용자들은최대한빨리비밀번호를바꾸라고공지하였다. 또한만약지금 AcFun 에서사용하는계정과동일한계정을사용하는곳이있다면그계정도함께바꾸라고권고하였다. 이번에유출된정보들은사용자 ID, 닉네임, 비밀번호다. 6 월 13 일오후, 공격자는 GitHub 에휴대폰번호가포함된 300 명의정보를업로드했다. 하지만현재는이미삭제된상태다. [ 출처 ] http://www.acfun.cn/a/ac4405547 56

04 해외보안동향 WMAMiner 채굴웜분석 개요최근 lanysec 은여러모니터링지점에서 lanysec 차세대위협탐지시스템 을통해알려지지않은동일한위협을감지했다. 이악성코드의백신탐지율은매우낮았으며, 분석을해본결과봇넷의좀비PC 업데이트프로세스였고, 백신의탐지를피하기위해특이하게메인컨트롤프로세스를암호화한후자원중에드랍하였다. 이샘플은 MS17-010 취약점을이용하여유포되었으며, 명령을하달받고모듈을업데이트하기위해 C & C 와 연결하는타이밍이있었다. 이악성코드의주요목적은모네로채굴이며, 채굴악성코드의전형적인악성행위를 하고있었다. 우리는이웜으로구성된봇넷을 WMAMiner botnet 이라명명하였다. < Lanysec 차세대위협감지시스템탐지캡쳐화면 > < 바이러스토탈결과캡쳐화면 > 1. 드랍되는메인컨트롤악성코드샘플 분석결과봇넷에는 x86 과 x64 악성코드모듈이있었으며, 우리는 x86 샘플을갖고분석을진행하였다. 샘플은시스템 목록과아래의문자열을연결한곳에서내려받았으며, 다음과같다. C:\WINDOWS\system32\EnrollCertXaml.dll C:\WINDOWS\system32\wmassrv.dll C:\WINDOWS\system32\WMASTrace.ini 57

04 해외보안동향 우선위에 3 가지파일들을삭제한다. 그후자원을확보하고 C:\WINDOWS\system32\EnrollCertXaml.dll 에새로생성하고쓰기를한다. 이파일은실행가능한파일이아니다. 58

04 해외보안동향 먼저파일의내용을읽어온후복호화한내용을 C:\WINDOWS\system32\wmassrv.dll 에쓴다. 복호화한후에는하나의실행가능한파일이다. 그후 C:\WINDOWS\system32\svchost.exe 의파일시간정보를가져온후 wmassrv.dll EnrollCertXaml.dll 파일 시간을설정한다. 이렇게파일의시간을수정하면시스템의다른파일들의수정시간과대략적으로동일하게되며, 이는 PC 를검사하는 과정에서사용자를속일수있는효과를얻게된다. 59

04 해외보안동향 그후 wmassrv.dll 서비스프로그램을설정하고지속성을설정한다. 그후자신을삭제한다. 60

04 해외보안동향 2) 메인모듈 메인모듈순서도 서버의메인컨트롤모듈로서, 먼저 C:\WINDOWS\system32\WMASTrace.ini 를생성항후 + 기호를입력한다. 61

04 해외보안동향 일부서비스를우선정지시키는데그중에는이전봇넷이남기고간서비스들도포함되어있다. 초기화후에, 다중프로세스를시작시키는데, 각프로세스는하나의모듈이다. 3) 업데이트모듈 5 시간마다 sand.lcones.com 와 plam.lcones.com 주소에접속을한다. 만약연결이성공되면, 악성코드는 sand.lcones.com/resource 에접속한다. 만약어떤내용이있다면 plam.lcones.com/modules.dat 로내려받고 62

04 해외보안동향 만약반환되는값이 200 이라면 EnrollCertXaml.dll 파일에쓰기를한다. 4) C&C 통신모듈 이샘플은총 2 개의 C&C 주소를갖고있었으며, 하나는 http 프로토콜로통신하고, 하나는 TCP 프로토콜로통신하고 있었다. 4-1) http 통신 통신주소는 tecate.traduires.com 이며 5 시간에한번씩접속을한다. 시스템정보를수집하고 63

04 해외보안동향 다음과같이조합한후전송한다. 반환되는데이터를분석하면아래와같은 3 가지명령이나온다. 명령 0 을사용하여프로세스시작 64

04 해외보안동향 명령 1 을사용하여다운로드및실행, regsvr32.exe 를통하여 명령 2 를임시폴더에내려받고실행한다. 4-2) TCP 통신 TCP 통신모듈역시 5 시간마다한번씩접속을한다. 65

04 해외보안동향 연결도메인은 split.despcartes.tk 로, 흥미로운것은이안에일부간접호출을사용하여일부관련함수를숨겼다. 연결을시작하는데, 포트는 8080 이다. 연결이성공하면데이터를받는다. 66

04 해외보안동향 시스템정보를수집하여전송한다. 5) 채굴모듈 드랍된 TasksHostServices.exe 를분석한결과이는오픈소스모네로마이너툴이였다. (https://github.com/xmrig/xmrig/releases) 다음매개변수를이용하여실행할수있다. 67

04 해외보안동향 6) 악성코드유포모듈 C:\WINDOWS\SpeechsTracing\spoolsv.exe 드랍후실행하며, 이모듈은우선 Crypt 를드랍하는데, 이는사실 zip 파일이다. 압축해제후우리는 NSA 에서유출된취약점툴을발견할수있었다. 68

04 해외보안동향 내부망의 445 번포트를스캔하고유포한다. 파일을설정한다. 유포성공후에는, x86.dll 또는 x64.dll 을 payload 로하여지속적으로 x86.dll 의기능을관찰한다. 우선 52137 포트를모니터링한다. 69

04 해외보안동향 이때 spoolsv.exe 는 EnrollCertXaml.dll 을읽고연결하고전송한다. X86 은 EnrollCertXaml.dll 을수신하고 wmassrv.dll 을복호화하여서비스에등록하여다음유포를시작한다. 6) 안티모듈중지 샘플은실시간모니터링을통해작업관리자가실행되어있는지확인하며, 만약실행되어있다면즉시종료한다. 70

04 해외보안동향 7) web 서버모듈 오픈소스 WebHost\\mongoose 툴을설치하고, 이를서버로삼아서 63257 포트를모니터링한다. 만약연결이성공되면 EnrollCertXaml.dll 를전송한다. [ 출처 ] https://www.j4ml.com/t/36764 71

04 해외보안동향 3. 일본 2017 년의피싱보고는지난해부터감소 유도처 URL 은 1.7 배 2017 년에피싱대책협의회에신고가있었던피싱정보는 9812 건으로, 지난해부터감소한한편, 악용된 URL 건수는 전년대비 1.7 배로확대되었다. 온라인뱅킹관련보고가감소하는한편, 신용카드를노린공격이급증했다. 가상통화관련서비스등도표적이되고있다. 이것은피싱대책협의회가정리한 피싱레포트 2018 에서밝혀진것이다. 2017 년은 9812 건의신고가있어지난 해의 1 만 759 건에서감소했다. 2017 년은 8 월부터신고건수가급증했다. 10 월에조금감소세를보였으나, 11 월에다시증가하여피크에달하는등 특히하반기는높은수준으로추이하며전체의 60% 이상을차지했다. 공격에악용된브랜드건수도 2016 년의 261 건에서 248 건으로감소했다. 한편으로공격에악용된 URL 은지난해의 1.7 배로눈에띄게증가했다. 상반기는약 2,000 건으로지난해와같은수준의추세였으나하반기는갑자기급증하여 5000 건에달하는기세였다. 2017 년의추이 ( 피싱대책협의회의발표를바탕으로작성 ) 이협의회에따르면, 2017 년의경향을살펴보면신용카드정보의사취를목적으로한피싱이급증했다고한다. 게다가 SNS 를사칭하는케이스를많이볼수있었다. 72

04 해외보안동향 한편, 온라인뱅킹관련은멀티팩터인증등서비스제공측의대책이진행된점에서피싱신고는거의없어졌다고한다. 다만금융기관으로는가상통화관련서비스의계정정보를노리는케이스가새롭게보고되고있다. 공격수법으로는피싱메일에기재되어있는 URL 에서최종적으로피싱사이트까지단축 URL 등복수사이트를리다이렉트로경유시키는케이스에대해서보고가눈에띄었다고하며, 도중에리다이렉트처를정규사이트로변경하거나, 한번접속한 IP 주소에서재차접속할수없게되는피싱사이트도존재했다. 또 2017 년부터 HTTPS 에대응하는피싱사이트가증가하여전체의 15% 이상으로도메인용 SSL 서버증명서를사용하고있었다. [ 출처 ] http://www.security-next.com/094039 73

04 해외보안동향 세실 부정로그인, 공격리스트의고객 ID 합치는사전추출이원인 정보유출을거부 통신판매사이트 세실온라인샵 이본인이외의제삼자에의해로그인시행이이루어진문제로이사이트를운영하는 디노스세실은대상고객의 ID 가공격리스트와일치했던이유에대해서조사결과를밝히는동시에이회사를경유한 정보유출에대해서부정했다. 부정한로그인시행이이루어진 세실온라인샵 이번의부정접속은 6 월 2 일 10 시 19 분경부터같은날 18 시전에걸쳐서, 중국의 IP 주소를발신원으로하여 1938 건의로그인시행이이루어진것이다. 그중 490 건의계정에서는로그인되는피해가발생했다. 이번공격에서는부정한로그인시행에이용된 1938 건의메일주소모두가등록되어있는고객ID 와일치했다. 이회사는정보유출의가능성이높다고해서조사를진행해왔으나, 이회사를경유한유출은아니고공격리스트에서이회사고객과일치하지않는데이터를걸러내는 스크리닝처리 가이루어진리스트가이용되었다는조사결과를밝혔다. 이회사에따르면, 공격자는기존등록자의메일주소를중복하여등록할수없는 신규등록 의기능을악용하고 있었다고한다. 이기능에서이미고객등록이끝난메일주소인지사전에확인한다. 선별된리스트를이용하여로그인을 시행한것으로보인다. 실제로이사이트에서는공격자에의한로그인시행이이루어지는약 10 시간전, 신규고객의등록신청이통상이상의 16 만 5038 건있고그중현재알려져있는것만으로도 3533 건이이미등록이끝난메일주소였다. 또한이 3533 건에이번공격에서이용된 1938 건의메일주소모두가포함되어있었다고한다. 74

04 해외보안동향 이회사에서는현재도조사를계속하고있는동시에부정로그인피해를입은 490 명의고객에대해서부정로그인이 발생한이유에대해서보고했다. 로그인까지이르지못했지만시행대상이된 1448 명과스크리닝처리에의해공격자가리스트를가진것으로보이는 1595 명의고객에대해서도상황을설명하는동시에주의를호소하고있다. [ 출처 ] http://www.security-next.com/094270 75

04 해외보안동향 표적형공격은수면아래에서진행 -- 2017 년의일본국내동향 트렌드마이크로는 6 월 25 일, 2017 년의일본국내에서의표적형공격의동향을분석한보고서를공개했다. 공격에의한 중대피해의공표등은적었지만, 이회사의관측으로는 수면아래 에서공격이전개되는상황이이어지고있다고 한다. 이회사에의한법인고객의네트워크감시에서는 26% 에서원격조작툴 (RAT:Remote Access Tool) 과 RAT 에의한 공격자의커맨드 & 컨트롤 (C2) 서버에대한접속이검출되어이들혐의가있는징후도 45% 에서발견되었다. 감시대상조직에서의표적형공격의검출비율 ( 출처 : 트렌드마이크로 ) 감시서비스에서는 1 개의조직당월평균 35 만 6514 건의얼러트가발생했으나, 표적형공격의가능성을시사하는 얼러트는월평균 778 건으로전체의 0.2% 를차지하는것에불과하다고하여사소한얼러트에서조기에표적형공격의 흔적을파악할수있는지가피해방지나억지에서중요하다고해설한다. 또한표적형공격의 94.0% 에서는공격활동이 DLL 인젝션 과 DLL 프리로드 등의방법으로정규툴이나 서비스를위장하여전개되고있었다. 부정코드를정규프로세스의일부로실행함으로써원격조작툴의존재나활동을 은폐한다고한다. C2 서버도 83.3% 가클라우드서비스나포스팅서비스등의정규서비스상에설치되어있다고하여공격자가어떤 조직에서도가장빈번하게이루어지고있다고생각되는정규웹통신내에 RAT 등과의통신이잠입되고있다고 해설하고있다. [ 출처 ] https://japan.zdnet.com/article/35121397/ 76

( 주 ) 이스트시큐리티 ( 우 ) 06711 서울시서초구반포대로 3 이스트빌딩 02.583.4616 www.estsecurity.com 0