3 월이달의 TOP 1
3 월이달의 TOP 01 보안컬럼 3 당신의코인은안전합니까? 사ㄴ타할아버지는우는아이에겐치 ~ 즈를안주신대 모바일보안산업의미래 02 악성코드상세분석 23 한번만실행되어도충분한 APT FileLess 악성코드 의원실사칭악성코드 03 모바일악성코드상세분석 35 Skygofree 악성앱주의! 04 2 월이달의 TOP 43 윈도우인스톨러형식악성코드증가에따른감염주의 05 3 월이달의 TOP 46 상품주문관련메일을통해유포되는악성코드감염주의파워쉘 ' 엠파이어 ' 를이용한 APT 타깃공격주의최신플래시취약점을이용한 헤르메스 랜섬웨어감염주의웹사이트계정정보를탈취하는악성코드국내유포주의이력서로유포되는시그마랜섬웨어감염주의저작권위반위장메일로유포되는 GandCrab 2.0 랜섬웨어암호화전에백신부터제거하는 AVCrypt 랜섬웨어등장 다양한보안이슈가끊임없이발생되고있습니다. 건강한내 PC 와소중한개인정보보호를위해이제는미리예방하십시오. 하우리보안매거진이알찬보안정보를전하겠습니다.
01 보안컬럼 당신의코인은안전합니까? 사ㄴ타할아버지는우는아이에겐치 ~ 즈를안주신대 모바일보안산업의미래 3
보안컬럼 당신의코인은안전합니까? " 잔액 : 0 BTC (0 KRW)" 지난 2017년은암호화폐의해라고해도과언이아니다. 암호화폐의대장이라불리는비트코인은 2017년초까지만해도일반인들에게비교적많이알려지지않았었다. 그러던중작년 5월의 WannaCry 랜섬웨어 를통해대규모감염사례가발생하였고백만원대의가격을유지하던비트코인은순식간에몇배이상의가격으로건너뛰었다. 그후다양한거래소시스템이생겨나면서날이갈수록비싸지는비트코인을얻기위해점점더많은공격자들이랜섬웨어를유포하기시작했다. 자연스럽게비트코인은더욱유명해졌고 2017년 12월초, 비트코인은한화이천만원이넘게되었다.( 국내 C거래소기준 ) [ 그림 1] WannaCry 사태이후의비트코인가격변화그래프 가격의급등, 거래소의활성화, 암호화폐 ( 코인 ) 의다양화, 채굴방식의다양화등의이유로암호화폐시장규모는빠른속도로성장했다. 암호화폐의가치가높아지다보니파일을잠그고비용을암호화폐로요구하는랜섬웨어가아닌암호화폐자체를노리는악성코드들이생겨나기시작했고공격자들은암호화폐의특성을노리는공격방식을사용하여전세계수많은암호화폐투자자들의재산을훔치는데에성공했다. 본컬럼에서는국내암호화폐시장이변화함에따라국내암호화폐투자자들을겨냥한악성코드의유형을정리하고자한다. 1. 랜섬웨어랜섬웨어는암호화폐시장의초창기부터공격자들이돈을벌기위해가장많이사용한악성코드의유형이다. 감염시사용자 PC의파일을암호화시킨뒤파일의복호화비용을요구하는특징이있다. 최초의랜섬웨어는실제현금을입금받는유형이었지만최근몇년간유포된랜섬웨어는거래의익명성이보장되는코인을요구하고있다. 4
보안컬럼 1-1. 비트코인랜섬웨어 2015년 4월, 국내대형커뮤니티에서사용하는광고서버가해킹되어랜섬웨어를뿌린사례가있었다. 랜섬웨어는복호화비용을비트코인으로입금받기때문에감염자들이비트코인을구매하여송금을해야한다. 그렇기때문에공격자들은랜섬웨어감염시랜섬노트 (Ransom-note) 를통해비트코인의구매및입금방법을설명해주는데과거랜섬웨어는이러한설명이영어로적혀있었기때문에국내감염자들이공격자에게복호화비용을지불하고싶어도영어설명서를이해하기힘들어서복호화를못하는경우가있었다. 랜섬웨어공격자는이러한사실을반영하여다양한언어를통해설명서를제작하기시작했다. 해당랜섬웨어는국내에유포된랜섬웨어중에최초로한글을사용하여비트코인의구매방법을설명하는랜섬웨어로당시큰이슈가되었다. [ 그림 2] 국내에유포된최초의한글랜섬웨어 한글설명서를지원하는 Crypt0L0cker 랜섬웨어의성과가좋아보였는지, 랜섬웨어제작자들은본격적 으로랜섬웨어에한글설명서를포함시켜국내에유포하기시작했다. 1-2. 알트코인랜섬웨어 알트코인 은암호화폐중비트코인을제외한다른코인들을일컫는말이다. 비트코인의가격이폭등하면서알트코인들이대거등장하게되었다. 알트코인은종류와특징에따라저마다의값어치가매겨지기시작했고기존에비트코인으로만복호화비용을받았던공격자들이비트코인을대신하여다른알트코인들을받게되지않을까하는예측이많이나왔다. 때마침비트코인의가격이천정부지로오르면서복호화비용은 1 비트코인단위에서사토시 (Satoshi, 비트코인의단위 ) 단위로쪼개지게되었고공격자들은비교적저렴한다른알트코인들을사용하기시작했다. 5
보안컬럼 [ 그림 3] 2015 년 Crypt0L0cker 의복호화비용 (1.84338 BTC) [ 그림 4] 2017 년 Princess Ransomware 의복호화비용 (0.066 BTC) GrandCrab 랜섬웨어는대시 (DASH) 코인을복호화비용으로입금받는랜섬웨어다. 2018 년 1 월, 국내에 다수의피해사례가발생하였다. 기존의랜섬웨어와유사하지만비트코인대신대시코인을받는다는점 이다른랜섬웨어와의차이점이다. [ 그림 5] DASH 코인을입금받는 GrandCrab 그외에도 2018 년 1 월, 모네로코인과이더리움을통해복호화비용을입금받는 HC9 랜섬웨어가국 내에유포된사례도있다. 1-3. 지갑암호화랜섬웨어랜섬웨어악성코드는 사용자에게중요한파일 을암호화시키는것을목적으로하기때문에문서, 이미지, 음악, 비디오, 압축파일등많은파일확장자를암호화대상으로한다. 그렇기때문에감염된사람들은본인들의중요한파일을살리기위해울며겨자먹기로복호화비용을지불할수밖에없다. 때문에공격자들은사용자의 PC에서중요하게생각할만한파일확장자를연구하기시작했을것이다. 6
보안컬럼 때마침암호화폐거래소의보안성에대한문제가제기되었다. 그로인해암호화폐투자자들은암호화폐관리프로그램등을사용하여온라인거래소에존재하는자신의코인들을오프라인지갑으로다운로드받아저장하기시작했다. MultiBit 는오프라인비트코인지갑관리프로그램으로사용되는소프트웨어중하나다. MultiBit에서는비트코인을오프라인형태의파일로저장하기위해.wallet 확장자를사용했는데, 얼마뒤해당확장자까지도암호화시켜버리는랜섬웨어가등장하기시작했다. [ 그림 6] 약 5000 개의확장자를암호화시키는 HERMES 랜섬웨어 [ 그림 7] HERMES 랜섬웨어의암호화대상확장자 만약, 지갑관리소프트웨어에서사용하는확장자가암호화되어버린다면오프라인지갑을사용하는 투자자들은암호화된자신의코인을구해내기위해코인을지불해야하는상황에놓이게된다. 2. 코인채굴형악성코드암호화폐를벌기위해랜섬웨어에의존하던공격자들은감염자가직접코인을채굴하여자신들의지갑으로전송하게끔발상의전환을시도했다. 코인채굴은컴퓨터의수많은연산과정을필요로하기때문에많은전력과장비의과부하를발생시킨다. 또한, 코인의채굴속도는고사양장비를사용해도매우느리기때문에단일장비한개만으로는코인을채굴해내기가어렵다. 공격자들은이러한채굴의특성을파악하여동시에많은감염자들이자신들의장비 (PC) 로코인을채굴하도록만드는일명 Coin Miner 를개발했다. 2-1. 비트코인채굴코인채굴형악성코드의초기모델은역시나비트코인을채굴하도록설계되었다. 단일악성코드로존재하지는않았으며봇넷 (Botnet) 의기능중하나로동작하였다. 2013년부터국내에서발견되기시작한비 7
보안컬럼 트코인채굴봇넷은감염자 PC 의 CPU 와 GPU 등을사용하여비트코인을채굴하고공격자의지갑으로 전송하는형태였다. [ 그림 8] 비트코인채굴악성코드유포시나리오 2-2. 알트코인채굴비트코인채굴형악성코드는채굴을위해악성코드를유포해야한다는번거로움이있다. 대부분의악성코드가그렇듯사용자 PC가백신을사용중이거나안전한환경에서사용하고있을경우감염이어렵기때문에공격자들은채굴의한계점이있었다. 이러한상황에서자바스크립트채굴을지원하는모네로 (Monero) 코인이등장하게되면서공격자들은악성코드를사용하지않고코인을채굴하도록시킬수있는 크립토재킹 (Cryptojacking) 방식을만들어냈다. 인터넷사용자들이악성자바스크립트가삽입된웹사이트에접속하게되면브라우저는코인채굴을시작한다. 사용자는별다른악성코드에감염되지않았지만브라우저가자바스크립트코드를실행시키면서사용자의 PC를사용하여코인을채굴한다. 8 [ 그림 9] 모네로코인크립토재킹시나리오
보안컬럼 [ 그림 10] 모네로코인채굴자바스크립트코드 사용자는웹사이트에접속만했을뿐인데본인의전력과장비를이용하여채굴한모네로코인을 공격자에게바치게된다. 3. 코인탈취형악성코드 기존에간접적으로사용자의코인을노리던공격자들은점점더직접적으로코인을노리기시작한다. 암호화폐지갑주소는일반적으로긴문자열의형태를가지고있다. [ 그림 11] 비트코인지갑주소의형태 비트코인의지갑주소는숫자와문자가뒤죽박죽섞여있는형태이며글자수또한길기때문에지갑주소를직접손으로입력하는사람은비교적적다. 대부분클립보드를이용하여지갑주소를복사해두었다가붙여넣는방식으로사용하는데이를악용하는악성코드들이등장하기시작했다. 악성코드는다음과같은알고리즘으로작동한다. 9
보안컬럼 - 악성코드는클립보드에저장되는내용을실시간으로검사 - 비트코인지갑주소로보이는문자열이클립보드에복사됨 - 악성코드는이를최대한유사한공격자의비트코인지갑주소로바꿔치기 [ 그림 12] 클립보드에저장된지갑주소바꿔치기 결과적으로송금을위해정상적인입금대상의지갑주소를복사한뒤붙여넣기를할경우, 정상적인입 금대상의지갑주소대신공격자의지갑주소가입력되면서공격자에게입금을시키는상황이발생하는 것이다. [ 그림 13] 클립보드변조예시 4. 결론암호화폐거래가활발해지고투자자가대거생겨나면서돈을목적으로코인을이용하는공격수법이증가하고있다. 과거에는간접적으로금전손실을발생시켰던사이버공격이이제는직접적으로금전적인손실을가져올수있는시대가되었다. 현재국내외로암호화폐의미래와가치에대해많은의견이오가지만적어도이순간공격자들은암호화폐의가치를믿고한개라도더훔쳐내기위해머리를굴리고 10
보안컬럼 있다. 현실에서지갑을도둑맞거나잃어버리듯이코인지갑이하루아침에공격자들의주머니로들어갈수있으며, 이는아마도실제지갑보다금액이훨씬높을것이다. 사이버보안은이제는자신의정보를위해지켜야하는것이아니라자신의재산을위해지켜야하는필수적인요소가되어가고있다고생각한다. " 당신의코인은안전합니까?" 작성자 : UH4CK3R 11
보안컬럼 사ㄴ타할아버지는우는아이에겐치 ~ 즈를안주신대 올크라이 & 사탄랜섬웨어특징비교분석 울면안돼 ~~ 울면안돼 ~ 산타할아버지는우는아이에겐선 ~ 물을안주신대요 ~..( 필자에겐치즈가선물입니다.) 이노래는본컬럼에서가장어울리는동요가사의한구절이다. 그러나컬럼제목의오타때문에선물을주는산타가아닌대재앙을줄사탄이되어모든아이가울어버리는사태가벌어지고야말았다. 2017년은랜섬웨어의해라고해도무방할만큼랜섬웨어들이많이유포되었다. 특히 SMB 취약점으로전세계 PC를위험에빠트린워너크라이, 한회사를무너뜨린에레보스, 한국어시스템만감염시키는마이랜섬등국내에서도파급력이큰랜섬웨어들이많았다. 본컬럼은그중추석연휴기간에국내에유포되었던 올크라이 (AllCry) 라는랜섬웨어에대해다룰것이다. 올크라이는최초발견이후반년이나지난랜섬웨어인데왜지금에서야컬럼에서언급하는지의아해할수있다. 본컬럼에서올크라이를다루는이유는추석연휴에만유포되고끝난줄만알았던올크라이가최초유포이래약한달후다시발견되었기때문이다. 이뿐만이아니라올크라이와행위도, 제작시기도비슷한 사탄 (Satan) 이란랜섬웨어가발견되었다. 사탄은 2017년 1월초에유포되었던이력이있는랜섬웨어다. 필자는올크라이와사탄에대해호기심을가지고작년에비교분석을했던것을이번에문서로작성하게되었다. 해당컬럼에서는랜섬웨어가제작된날짜를기준으로 [ 표 1] 과같이분류하였다. 랜섬웨어명 제작 올크라이 2017년 09월중순 올크라이v2 2017년 10월중순 사탄 2017년 11월초순 [ 표 1] 제작날짜기준으로분류한랜섬웨어 올크라이 2017.09 올크라이는 2017년 9월추석연휴국내에유포된신종랜섬웨어다. 올크라이는애드웨어처럼광고성이강한 QBridge 프로그램을변조한형태로유포되었다. 올크라이는 2017년 4월에 SMB 취약점으로유포된워너크라이 (WannaCry) 와이름은비슷하지만해당취약점이사용되지는않아워너크라이만큼큰파급력을가져오지는않았다. 올크라이는보통의랜섬웨어처럼자가복제, 파일암호화및확장자변경 (.allcry) 등의행위를한뒤비트코인결제를유도하는결제페이지창을띄운다. 특이점중하나는랜섬노트에한국어를지원하며번역으로도나오지않는오탈자가있다는점이다. [ 그림 1] 은올크라이의실행과정을나타낸도식도이다. 변조된 QBridge 파일을실행하게되면정상 QBridge 설치파일과올크라이파일을생성하고실행한다. 실행되면서 QBridge의설치와동시에올크라이의본격적인행위도시작된다. 올크라이는 C&C와의통신에성공하면파일암호화를진행한다. ( 현재는 C&C와통신불가 ) 파일암호화를마친파일의확장자는.allcry로변경하며두개의랜섬노트를생성한다. 12
보안컬럼 [ 그림 1] 올크라이의실행과정도식도 랜섬노트는 [ 그림 2] 와같이 3 개의언어 ( 한국어, 영어, 중국어 ) 를지원한다. 랜섬노트의내용엔한국어오 탈자 ( 메일주수 ) 와영어오탈자 (decryper) 가보인다. 각오탈자는번역에서도나올수없는오탈자이며이 는올크라이제작자가한국어를구사할수있는사람이라는것을추측할수있게해준다. [ 그림 2] 랜섬노트언어별오탈자 13
보안컬럼 올크라이의랜섬웨어행위와한국어버전의랜섬노트및오탈자등을보아국내를겨냥한랜섬웨어로 인지하였다. 그리고약한달후올크라이 v2 와사탄을마주하였다. 올크라이 v2 2017.10 올크라이와같이올크라이v2도실행시확장자를.allcry로변경하며파일암호화를한다. 하지만이번랜섬노트에는한국어를지원하지않는점과네트워크통신없이파일암호화를진행한다는점이달랐다. 이에필자는의문을가지기시작했다. 랜섬노트를비교해보면 [ 그림 3] 과같이이둘이유사함을알수있다. 하지만올크라이v2는위의 [ 그림 2] 처럼닷넷기반의랜섬노트는생성하지않는다. [ 그림 3] 올크라이와올크라이 v2 랜섬노트비교 사탄 2017.11 올크라이v2가제작된후약 2주후올크라이v2와행위가매우유사한사탄랜섬웨어를발견했다. 참고로사탄은 2017년 1월에유포된이력이있다. 하지만 이름만 같은랜섬웨어인지공격자까지같은랜섬웨어인지는확정할수없어분석을진행해보았다. 만약 1월에유포된사탄과연관이있다면이번에발견된올크라이v2는신종랜섬웨어가아니게되는것이다. 1월에유포된사탄과연관성이있을까? 결론적으로는연관성은없는것으로확인되었다. ( 필자의입사전 ) 2017년 1월에유포된이력이있는사탄은 [ 그림 4] 처럼무수히많은안티디버깅기법이적용되어있지만 11월의사탄샘플은해당기법들이보이지않는다. 보통은랜섬웨어제작자들은재유포시더욱정교하고진화된랜섬웨어를제작하기마련인데 11월의사탄은안티디버깅이적용되어있지않으며행위적인부분에도큰공통점이없는것으로판단된다. 14
보안컬럼 [ 그림 4] 안티디버깅이적용된 2017 년 1 월사탄 [ 그림 5] 는랜섬노트를비교한내용이다. 1 월사탄은한국어를포함해 24 개의언어를지원하며토르브 라우저를통해특정페이지의접속을유도한다. 현재는페이지접속이불가하여비트코인주소를확인 할수없다. 그에반해 11 월사탄은 2 개의언어 ( 영어, 중국어 ) 만을지원한다. [ 그림 5] 각랜섬노트의지원하는언어수비교 같은공격자인지구분하는결정적인단서로는비트코인주소다. 하지만 1월에유포된사탄은랜섬웨어를제작해주는서비스형태의사탄랜섬웨어이다. 직접랜섬웨어를유포하는것이아닌다크웹에서비스형으로판매를하므로랜섬웨어를의뢰한사람의비트코인주소는각기다르다. 즉, 비트코인주소를찾는것은무의미하므로같은공격자도, 같은랜섬웨어도아닌것으로결론지었다. 15
보안컬럼 [ 그림 6] 비트코인주소비교 사탄은올크라이v2와연관성이있을까? 11월사탄이이전에유포된사탄랜섬웨어와같지않음을확인하고다시원점으로돌아가올크라이v2와이전의사탄을다시비교해본다. [ 그림 7] 은올크라이v2와사탄의랜섬노트를비교한것이다. 비트코인과비트코인주소, 메일주소를제외하고 100% 일치함을알수있다. [ 그림 7] 올크라이 v2 와사탄랜섬노트비교 행위만비슷한것이아닌지코드상으로확인해보았을때올크라이 v2 와사탄둘다 MPRESS 로패킹되어 있으며언패킹후확인시 [ 그림 8] 과 [ 그림 9] 처럼매우유사함을알수있었다. 같은공격자가아닌이 상이렇게유사하기는매우어렵다. 16
보안컬럼 [ 그림 8] IDA 로본코드 1 [ 그림 9] IDA 로본코드 - 2 주요특징점비교 올크라이v2와사탄은행위와코드적인부분에서대부분일치한다. 그러므로올크라이와올크라이v2가같은공격자라면올크라이는사탄처럼다른랜섬웨어명으로유포되고있거나유포될예정에있을수있다. 그가능성을확인하기위해주요특징을비교해보았다. 올크라이의랜섬노트는두개로. 나누어져있지만올크라이v2와사탄의랜섬노트는한개이며 PDF 형태의파일아이콘을가지고있다. 17
보안컬럼 [ 그림 10] 파일에서의변화 아래의 [ 그림 11] 을보면올크라이 v2 와사탄의랜섬노트내용은매우유사하며기존의올크라이와도내 용이같다. 올크라이 v2/ 사탄에있는깨진데이터는중국어이며내용은코인, 주소등을제외하고 100% 일치한다. 다만올크라이 v2 와사탄은기존의올크라이처럼한국어를지원하지않았다. [ 그림 11] 동일한랜섬노트내용 [ 표 2] 는올크라이, 올크라이v2, 사탄세가지를비교한내용이다. 자가복제의파일명, 레지스트리키의경로등이비슷함을확인할수있다. 그리고올크라이v2와사탄이올크라이를모방하고있을가능성도있다. 하지만올크라이와올크라이v2가같은비트코인지갑주소를사용하는것으로확인되었다. 이는모방세력이아닌같은공격자의공격이라고추측할수있는증거다. 18
보안컬럼 [ 표 2] 주요특징비교 [ 그림 12] 전체랜섬노트비교 이뿐만아니라올크라이의여러샘플을확인한결과닷넷기반의랜섬노트와디크립터의 PDB 경로를확인할수있었다. PDB 경로는작업하던프로그램의경로를유추할수있는단서가되기도한다. 각파일의폴더경로는매우유사하며두개의사용자계정 (one, M) 을사용하는것으로보인다. 기존랜섬웨어의제작과정이한눈에보이는순간이다. 19
보안컬럼 [ 그림 13] 랜섬노트와디크립터의 PDB 비교 결론 이번비교분석을통해세개의샘플이행위가비슷하며결정적으로비트코인주소때문에같은공격자일가능성을확인할수있었다. 공격자가누구인지아직은정확히알진못하지만이번에발견된여러샘플들을통해제작자도수입을위해지속적인노력 (?) 을하고있다는사실을알게되었다. 같은공격자가지속적인노력을하는만큼앞으로도눈여겨볼필요가있다. 작성자 : ch2exe 20
보안컬럼 모바일보안산업의미래 모바일산업은보안문제를간과하면서계속된발전만을추구하고있다. 모바일프로그램의발전속도는너무빨라서도중에중요한단계를놓치는경우가빈번히발생한다. 이렇게빠른발전속도는모바일산업분야에큰보안적취약점을야기할수있다. 모바일업계는끊임없이새로운플랫폼과새로운앱을제공하고있지만, 보안기술의발전속도는플랫폼의발전속도를따라가지못하고있다. 얼마전발생한대규모디도스공격에서알수있듯이제 PC가아닌모바일기기들의취약한보안이해킹공격의수단이될가능성이커지고있는것이다. 이러한사례로 SS7 프로토콜을들수있다. SS7 프로토콜은 1980년대에도입된통신기술로음성통신호출정보및데이터통신의연결정보등을통합적으로관리하기위한프로토콜이다. 이프로토콜은굉장히광범위하게사용되는데이는기본통화설정, 자료의관리및전달기능, 개인용전화및무선전화서비스, 무선로밍및모바일인증등과같은다양한분야에제공한다. 일반인들이매일사용하는 SNS 애플리케이션들역시대부분 SS7 프로토콜을사용하고있지만, 사용자들은이를이용한다는인식은하지못하고있다. 2017년여름몇몇사이버범죄자들이독일전역의은행계좌에서무단출금을방지하기위해사용하는인증방식을우회하기위해 SS7 프로토콜의취약점을이용한해킹사례가있었다. 그들의실제로은행서버를해킹한것이아니라고객의사용자이름 (ID), 비밀번호, 계좌번호그리고전화번호정보를얻은후, 2단계인증방식인 OTP 번호가포함된 SMS, 은행의승인코드를고객이전송받는중간에탈취하는방법을사용하였으며, 이때 SS7 프로토콜의보안상취약점을이용했던것이었다. [ 그림 1] SS7 취약점을이용한해킹도식도 ( 출처 : http://www.paymentscardsandmobile.com/hackers-exploit-ss7-security-flaws-access-german-bank-accounts/) SS7 프로토콜의핵심은통신사업자의상호운용성에있다. SS7 프로토콜이없다면사용자는그누구에게도문자나전화를받을수없다. 일반적으로디바이스와애플리케이션은 SS7 프로토콜을이용하여사용자정보를주고받으면서사용자의신분을인증하는데, 공격자는이정보를손쉽게탈취하여해당사용자로위장할수있다. 이경우공격자는수신자의메시지를받고, 읽고, 쓸수있게되는것이다. 일반사용자들은이런공격이새로운기술을통한숙련된해커에의해가능하다고생각하지만, 사실은그렇지않다. SS7 프로토콜은 70년대에개발되었지만, 지금까지수정되거나업데이트되지않고현재까지그대로사용하고있다. 모바일네트워크를이용하는음성통화역시 70년대의 SS7 프로토콜을사용하고 21
보안컬럼 있다. 물론최근에는 SIGTRAN이라는 SS7 프로토콜의확장버전을통해 IP 네트워크로메시지를전송하는방법으로보호하고있다. 그럼에도 SS7 프로토콜의보안상취약점은여전히존재며, 보안전문가들은수년간이프로토콜의기본적인보안문제를지적해왔다. 이러한문제점은비단 SS7 프로토콜에국한된문제가아니라앞으로일어날기술혁명에전반적으로영향을끼치는문제인것이다. 대부분의모바일사용자는신기술을부담없이받아들이고있으며, 더욱발전된기술을요구하고있다. 앞으로는모바일을통해차세대이동통신 (5G) 과사물인터넷 (IoT) 그리고클라우드서비스를이용하는이용자는지속적으로증가할것이다. 사용자들의끊임없는요구를충족하며보안에취약한부분이없도록하는것은앞으로의모바일산업계가풀어가야할숙제이다. 물론새로운기술의흐름은 5G나사물인터넷 (IoT) 의상용화를가속화할것이며, 새로운기술을저렴한비용, 향상된편의성및다른많은이점을집약하여제공할것이다. 하지만아무리뛰어난기술이더라도현재와같이보안의측면을간과한다면주요기술로자리잡을수없을것이다. 따라서모바일업계의진정한도전과제는 새로운것 의제공이아닌, 기존의것 을보호할수있는보안기술을향상하는것이다. 작성자 : KYH 22
보안컬럼 02 악성코드상세분석 한번만실행되어도충분한 APT FileLess 악성코드 의원실사칭악성코드 23
악성코드상세분석 한번만실행되어도충분한 APT FileLess 악성코드 개요대부분의악성코드는자신의목적을달성할때까지감염상태를지속적으로유지시키려고한다. 그러다보니 Fileless 악성코드라고하여도시스템이재시작되었을때다시동작하기위하여여러장치들을해놓는경우가많다. 하지만이번에발견된이문서형악성코드는문서를열었을때감염이이루어지며이후모든동작을메모리에서만수행하고있다. 따라서재부팅을한번이라도하거나프로세스가종료된다면더이상동작하지않는다. 물론 C&C 서버연결후추가적인악성행위를하면서생성되는파일들은있을수있지만현재제대로연결되는 C&C가없어정확한확인은불가능하다. 문서파일실행과정 (Malware1.HWP) 공격자는 APT 공격에사용할문서에 GhostScript 취약점을넣어악성코드가동작하도록한다. 취약점 에의해실행된코드들은파일을생성하지는않으며메모리상에서만동작하고있다. (1) HWP 문서내부에고스트스크립트코드를확인할수있다. [ 그림 1] 삽입된스크립트 (Decompress 후 ) 24
악성코드상세분석 (2) 해당 EPS 파일을처리하기위해 gswin32c.exe 가실행되며, 취약점에의해메모리에코드가생성된 다. [ 그림 2] 취약점에의해삽입된 ShellCode (3) 생성된코드는 HWP.exe 프로세스를찾아악성행위를위한코드를삽입한후 Thread 로실행한다. [ 그림 3] HWP.exe 에코드삽입 (4) 실행된악성 Thread 는삽입된코드일부를복호화한다. [ 그림 4] 복호화코드 25
악성코드상세분석 [ 그림 5] 복호화전 ( 위 ) 과복호화후 ( 아래 ) 코드 (5) 특정프로세스를찾아메모리할당후코드와복호화된데이터를삽입하고해당 Thread 를종료한다. 프로세스명 : Explorer.exe [ 그림 6] 프로세스탐색 [ 그림 7] Explorer.exe 에코드삽입 26
악성코드상세분석 (6) Explorer.exe 에삽입된코드에서함께삽입된 PE 파일을탐색하고해당파일을메모리에서실행되는 형식에맞춰메모리에로드한다. [ 그림 8] Explorer.exe 에삽입된코드 메인악성코드 (Explorer.exe 에 Injection 된 Malware2.dll) 파일로는생성되지않으며, HWP.exe 에의해 Explorer.exe 에코드가인젝션되어동작한다. (1) 특정폴더에서 INF 파일을탐색하여데이터를읽어오며해당파일이존재하지않을경우파일을생 성한다. - 파일명 : %system%\perf91nc.inf [ 그림 9] inf 파일읽어오기 27
악성코드상세분석 [ 그림 10] inf 파일내부 (URL 일부삭제 ) (2) 시스템정보를수집한다. IP 정보컴퓨터이름사용자명 OS 언어 OS Type 프로세서정보 (3) inf 파일에서읽어들인데이터를이용하여, C&C 서버에접속을시도한다. C&C : http://www.p*****a.com/board/news/board.asp http://d********s.com/file_bd/upload_file/file_board.asp http://s********a.com/admin/data/admin_data.asp http://www.p********l.net/goods/goods.asp http://www.o******r.com/rental/sub06.asp [ 그림 11] C&C 서버에전송하기위한데이터 (4) C&C 에수집된시스템정보를전송하며, 서버에서추가적인 ShellCode 를전송받아동작하는것으로 보인다. 28
악성코드상세분석 결론매년 Fileless 공격위험은꾸준히증가하고있다. 또한 APT 공격과 Fileless 악성코드는매우잘어울리는한쌍이라고볼수있다. 감염시킨타겟이명확할경우감염흔적을남기지않을수있으며이후공격자를추적하기가어렵기때문이다. 공격자들은점점더흔적을남기지않으려고하고있기때문에보안에신경쓰기위해서는끊임없이합리적인의심을해보고주의를기울여야한다. 작성자 : 보안분석팀 29
악성코드상세분석 의원실사칭악성코드 개요올해초특정의원실을사칭한문서형악성코드가발견되었다. 해당악성코드는 " 가상통화대응에관한긴급현안보고 " 라는파일을워드문서에내용복사한후매크로악성스크립트삽입해배포되었다. 첨부된악성문서파일은 " 비트코인1!" 이라는비밀번호를걸어서압축후피해자에게전송, 매크로컨텐츠사용을누르라고메일본문에유도하고있다. [ 그림 1] 악성코드동작과정 30
악성코드상세분석 문서파일실행과정 (Malware1.doc) 공격자는의원실에서배포한것으로위장하여이메일본문과악성파일을첨부하여발송한다. 첨부파일 에는매크로가심겨져있어악의적인동작을수행하며메일본문에매크로를사용하라고전달하고있다. (1) 워드문서실행시매크로팝업이활성화되며, 클릭시 C&C 주소에서추가악성코드를다운로드하여 실행한다. - C&C 주소 : kj*****g.com/jdboard/boardbank/board/bbs/log.php ( 한국 ) [ 그림 2] 악성문서및매크로실행 [ 그림 3] C&C 서버에존재하는추가악성코드 31
악성코드상세분석 메인악성코드 (Malware2.exe) 위문서의매크로에의해다운로드되어진악성코드는 C&C 서버와통신하여악성행위를수행한다. (1) 감염 PC 의컴퓨터이름과사용자계정정보를수집한다. [ 그림 4] C&C 서버에존재하는추가악성코드 (2) C&C 서버에연결하며, 송 / 수신 4 byte 를검증한다. (0x783219, 0x093258) - C&C 주소 : 199.***.***.228:443 ( 미국 ) [ 그림 5] C&C 서버연결및통신 32
악성코드상세분석 (3) C&C 서버와통신시특정암호알고리즘을사용한다. [ 그림 6] 통신암호알고리즘 (4) 수신된 C&C 서버의명령코드에따라악성행위를수행한다. [ 그림 7] 명령코드에따른악성행위 ( 파일생성, CMD 명령 ) [ 그림 8] 공격자의실제 CMD 명령화면 (whoami) 33
악성코드상세분석 명령코드 recv[0x01] recv[0x0a] 행위 0x0A 파일생성 ( 파일명 : recv[0x0b]) 0x11 0x0B 데이터입력 0x0C 파일핸들종료 0x12 - 명령프롬프트 (CMD) 명령수행및결과전송 [ 표 1] 명령코드및행위 결론최근이러한형태의 APT 공격이많이발생하고있다. 특히국회의원이나관련자를사칭하여이메일을받게되는경우의심하지않고열어보기쉬워주의가필요하다. 항상 E-mail을확인할때는발신자를확인하고첨부파일을의심해보아야한다. 또한이번과같이메일본문에매크로를실행해달라는등의요청사항이있다면, 악성코드의동작을유도하는행위인만큼주의해야한다. 작성자 : KJK 34
03 모바일악성코드상세분석 Skygofree 악성앱주의! 35
모바일악성코드상세분석 Skygofree 악성앱주의! 최근 skygofree 악성앱이발견되어주의를요구하고있다. Skygofree는 GCM(Google Cloud Messaging) 을이용하여악성행위를제어하며사용자의민감한정보를탈취하는스파이웨어이다. 해당앱의악성 행위는다음과같다. Command code 악성행위 gps_y 현재위치탈취 rubrica 주소록탈취 sms SMS함탈취 registro_chiamate 전화기록탈취 camera 카메라캡쳐 history 북마크탈취 cancan 앱리스트탈취 getfile SD카드내에파일리스트탈취 whatsapp 왓츠앱정보탈취 [ 표 1] Skygofree의악성행위 [ 그림 1] 은 skygofree 의아이콘이며 systemupdate 앱으로위장하여사용자를속인다. [ 그림 1] skygofree 아이콘 GCM 서비스를이용하기위해 RegistrationID 값을 GCM 서버로부터인증받는다. - RegistrationID : 6********664 [ 그림 2] RegistrationID 인증 36
모바일악성코드상세분석 skygofree 는 GCM(Google Cloud Messaging) 을이용하여악성앱의악성행위를제어한다. [ 그림 3] 악성행위제어 1 37
모바일악성코드상세분석 [ 그림 4] 악성행위제어 2 GPS 정보를이용해서현재사용자가있는위치정보를탈취하여위도와경도, 국가이름을 C&C 로전송 한다. 38
모바일악성코드상세분석 [ 그림 5] 현재위치정보탈취 Phone.CONTENT_URI 에접근하여주소록에저장되어있는연락처와이름들을탈취한다. [ 그림 6] 주소록탈취 Content://sms 에접근하여 SMS 전화번호및내용, SMS 읽기여부를탈취한다. [ 그림 7] SMS 함탈취 Calls.CONTENT_URI 접근하여전화번호, 이름, 통화시간, 날짜를탈취한다. 39
모바일악성코드상세분석 [ 그림 8] 전화기록탈취 카메라로사용자얼굴을캡쳐한뒤 Foto_ 날짜.png 형식으로저장하여 C&C 전송한다. [ 그림 9] 카메라캡쳐 Browser.BOOKMARKS_URI 에접근해서북마크를탈취하여제목및날짜, URL 를 C&C 에전송한다. 40
[ 그림 10] 북마크탈취 단말기에설치되어있는앱리스트를탈취한다. [ 그림 11] 앱리스트탈취 41
SD 카드내에파일명과폴더명을탈취하여 JSON 형태로변환한뒤 C&C 로전송한다. [ 그림 12] 파일리스트탈취 /mnt/sdcard/whatsapp/databases/ 접근하여 msgstore.db 파일을탈취한다. msgstore.db 파일은 WhatsApp 에서상대방과대화내용을암호화하여백업한파일이다. [ 그림 13] 왓츠앱정보탈취 탈취한정보를아래의 C&C 서버로전송한다. - C&C: http://2**.***.**.133/app/pro_v5/ [ 그림 14] C&C 서버로전송 대부분악성앱은 C&C와직접적인통신을통해명령을받고결과를전송하는데비해 skygofree는 GCM 을통해악성행위제어를한다는점에서다른악성앱과차이가있다. GCM 서비스를이용할경우직접차단하는것은불가능하고 Google 측에서사용되는계정 ID를차단해야하는번거로움이있어악용하기쉽다. 사용자는모르는 URL에들어가지않도록주의하고출처가불분명한앱은설치하지않는것이좋다. 그리고모바일백신을항상최신버전으로유지해보안을강화하는것이바람직하다. 작성자 : HW 42
04 2 월이달의 TOP 윈도우인스톨러형식악성코드증가에따른감염주의 43
2 월이달의 TOP 윈도우인스톨러형식악성코드증가에따른감염주의 개요 최근 윈도우인스톨러 형식을활용하여악성코드를유포하는사례가늘고있어사용자들의각별한주 의가요구된다. 내용 윈도우인스톨러 (Windows Installer) 는마이크로소프트윈도우운영체제에서사용하는표준설치패키지로 MSI(Microsoft Installer) 를확장자로사용한다. 파일내부에데이터베이스테이블로구성된설치지침들과실행할응용프로그램파일을포함하고있다. 공격자들은 윈도우인스톨러 에악성코드를포함시키는방법으로기존의보안제품들을우회하여악성코드를감염시킨다. [ 그림 1] 윈도우인스톨러형식파일내부에포함되어있는악성코드 주로이메일에 윈도우인스톨러 형식인 MSI 패키지파일을첨부하거나문서취약점으로 MSI 패키지파일을다운로드하여실행시키는방법으로악성코드를감염시키고있다. 현재원격제어악성코드와랜섬웨어악성코드등이해당방법으로유포되고있는정황이포착되었다. MSI 패키지파일로악성코드를실행시키는방법은흔치않기때문에기존보안제품들이탐지하기어려운경우가많다. 또한 EXE 등의실행파일들보다사용자들의신뢰도가높기때문에쉽게감염될수있어주의가필요하다. 44
2 월이달의 TOP [ 그림 2] 윈도우인스톨러형식으로유포된악성코드현황 바이로봇업데이트내역 대표진단명 MSI.S.Agent 작성자 : suffix 45
05 3 월이달의 TOP 상품주문관련메일을통해유포되는악성코드감염주의파워쉘 ' 엠파이어 ' 를이용한 APT 타깃공격주의최신플래시취약점을이용한 헤르메스 랜섬웨어감염주의웹사이트계정정보를탈취하는악성코드국내유포주의이력서로유포되는시그마랜섬웨어감염주의저작권위반위장메일로유포되는 GandCrab 2.0 랜섬웨어암호화전에백신부터제거하는 AVCrypt 랜섬웨어등장 46 46
3 월이달의 TOP 상품주문메일을통해유포되는악성코드감염주의 개요 최근한국어로번역된상품주문메일과함께드로퍼와정보탈취형악성코드가유포되고있어국내사 용자들의각별한주의가요구된다. 내용 해당악성코드는 주문, 신규주문, P20170610을주문하십시오 와같이상품을주문을요청하는메일에첨부되어유포되고있다. 해당메일의내용은한국어로되어있지만번역기를사용한것과같이내용이부자연스럽다. 해외에서국내를겨냥하여유포한것으로추정된다. [ 그림 1] 악성코드를첨부한메일 구매주문혜택.rar 과 주문.rar 의압축을해제하면 purchase order.exe 파일이있다. 이는다음의경로에파일을드롭하는드로퍼이다. - %AppData%\tmp.exe - %Temp%\.exe 47 [ 그림 2] 주문.rar 과구매주문혜택.rar 에포함된악성코드
3 월이달의 TOP 신규주문.rar 파일에는 신규주문.exe 파일이들어있다. 해당악성코드가실행되는경우백그라운드로 동작하면서감염된사용자의 PC 정보를탈취하여 명령제어 (C&C) 서버로전송한다. [ 그림 3] 신규주문.rar 에포함된악성코드 금번에발견된악성코드는평범한제목과한국어로작성된메일내용으로유포되고있다. 악성코드또한메일내용과관련있는이름으로첨부되어있지만의심스러운실행파일아이콘, 번역기로번역된한국어메일내용등사용자가의심을가질만한부분들이다수존재한다. 해외공격자들이국내사용자를대상으로보다적극적인공격을시도하고있으므로국내사용자들의각별한주의가요구된다. 바이로봇업데이트내역 Dropper.Agent.797832 Trojan.Win32.InfoStealer.229376 작성자 : conchi 48
3 월이달의 TOP 파워쉘 ' 엠파이어 ' 를이용한 APT 타깃공격주의 개요 최근파워쉘 ' 엠파이어 ' 를이용한 APT 타깃공격이증가하고있어기관및조직보안담당자들의주의 가요구된다. 내용 " 엠파이어 (Empire)" 는파워쉘로제작된오픈소스악성코드공격프레임워크이다. 엠파이어는키로거, 계정정보를탈취하는 " 미미카츠 (Mimikatz)" 등다양한공격모듈을포함하고있다. 또한암호화된통신을통해 " 파일리스 (Fileless)" 형태로공격을수행하기때문에 APT 타깃공격에활용되고있다. [ 그림 1] 파워쉘 ' 엠파이어 ' 악성코드공격프레임워크 [ 그림 2] ' 엠파이어 ' 를활용한윈도우계정정보탈취 주로매크로문서파일을통해유포되며난독화된악성스크립트가삽입된매크로를실행하면추가로스크립트를다운로드한다. 다운로드된스크립트는파워쉘 ' 엠파이어 ' 로파일리스형태로메모리에로드되어실행된다. 실행된파워쉘 ' 엠파이어 ' 스크립트를통해명령제어 (C&C) 서버와암호화된통신을수행하고해커의명령을받아 PC정보탈취, 추가파일다운로드, 명령실행등의악성행위를수행한다. 49
3 월이달의 TOP [ 그림 3] 실제국내 APT 타깃공격에사용된 ' 엠파이어 ' 파워쉘코드일부 파워쉘스크립트코드만동작하고파일을생성하지않아탐지하기가까다롭다. 또한최근평창올림픽 을주제로한타깃공격에 ' 엠파이어 ' 프레임워크가사용된정황이있기때문에 엠파이어 를이용한공 격이더욱많아질것으로예상된다. 작성자 : savni 50
3 월이달의 TOP 최신플래시취약점을이용한 헤르메스 랜섬웨어감염주의 개요 최근 헤르메스 (HERMES) 랜섬웨어가최신플래시취약점을이용하여유포되어국내피해자가크게증 가함에따라사용자들의주의가필요하다. 내용 3월 8일오전부터 헤르메스 랜섬웨어 2.1 버전이최신플래시취약점인 CVE-2018-4878 으로국내에유포되기시작한정황이포착되었다. 기존 " 선다운 (Sundown)" 익스플로잇킷에해당취약점이적용된후유포되어국내사용자의피해사례가증가하였다. 특히 CVE-2018-4878 취약점은문서에플래시가포함된형태로 " 지능형지속위협 (APT)" 공격에사용되고있다. 특히최근까지탈북자및북한연구자등을타깃으로한문서에많이사용되었다. 하지만최근에는웹서핑도중악성코드에감염되는 " 드라이브바이다운로드 (Drive-by Download)" 형태로변형되어좀더대중적으로랜섬웨어유포를할수있게되었다. 유포일자 유포지 URL 유포악성코드해쉬 (MD5) 2018-03-11 http://construction.secondadvertisements.com/index.php AB55DFAAC416D8F8F3E0A99955D0BAF0 2018-03-10 http://sterling.secondadvertisements.com/index.php 499AF772F072766AF7BF9ED2F4774938 2018-03-10 http://hours.secondadvertisements.com/index.php 0981F6E004907AC8AC3CF56DCAA59434 2018-03-09 http://sells.secondadvertisements.com/index.php B4668622C069F1AE9BC65796CBFD4A29 2018-03-09 http://temporarily.secondadvertisements.com/index.php B4668622C069F1AE9BC65796CBFD4A29 2018-03-09 http://tonne.secondadvertisements.com/index.php 37BE22026F64C217E4BF0ECE4E1D690D 2018-03-09 http://particles.secondadvertisements.com/index.php 56F7901ACA35882371810A156B387EBF 2018-03-09 http://reference.secondadvertisements.com/index.php 56F7901ACA35882371810A156B387EBF 2018-03-09 http://pronounced.secondadvertisements.com/index.php D68F8D85F3088A26B36CA648303632B2 2018-03-08 http://hierarchy.secondadvertisements.com/index.php 82F3CE5B922214CAC455EDDC669B94F4 2018-03-08 http://dealers.secondadvertisements.com/index.php DA37CA62C4144430BF3F8B18A23AEB95 2018-03-08 http://indefinitely.secondadvertisements.com/index.php 8DD028963941ECE123F333E08BCCCBB9 [ 표 1] 헤르메스랜섬웨어침해지표 (IOC) 헤르메스랜섬웨어는사용자 PC에있는수천여종류의파일들을암호화한다. 이후폴더마다 "DECRYPT _INFORMATION.html 라는이름의랜섬웨어감염노트를생성하여약 266만원상당의가상화폐로몸값을내도록유도한다. 또한 헤르메스 랜섬웨어제작자는국내백신환경에대해서도분석하여국내일부백신에대해서우회하는기능을추가하기도하였다 51
3 월이달의 TOP [ 그림 1] 헤르메스랜섬웨어감염노트 지난달, 플래시패치가나왔지만아직도패치를하지않은사용자가많다. 해당취약점이사용되기시 작한이후국내랜섬웨어감염자가크게증가하고있으므로아직패치를하지않은사용자는반드시패 치를해야한다. 바이로봇업데이트내역 대표진단명 Trojan.Win32.R.Agent 작성자 : herme_dike 52
3 월이달의 TOP 웹사이트계정정보를탈취하는악성코드국내유포주의 개요 최근웹사이트접속시입력하는계정정보를탈취하는악성코드가국내에유포되고있어국내사용자들 의주의가필요하다. 내용 해당악성코드는최근국내에유포되고있는 ' 헤르메스 ' 랜섬웨어와함께최신플래시취약점등을이용한 " 선다운 (Sundown)" 익스플로잇킷을통해유포되었다. 웹을통해감염된악성코드는 " 윈도우탐색기 (explore.exe)" 에코드삽입을통해동작한다. 악성코드는가상머신탐지기능을통해 "VMWARE" 와같이가상머신을사용하는악성코드분석시스템이나분석환경에서는동작하지않도록제작되었다. 이후사용자 PC 내의각종정보를수집하여공격자의서버로전송한다. 악성코드는지속적으로감염된 PC 에상주하며네가지웹브라우저 ( 인터넷익스플로러, 크롬, 파이어폭 스, 오페라 ) 에입력데이터를지속적으로가로채사용자의계정정보를로그로기록한다. HTTPS 보안프 로토콜을통해통신하는웹사이트들에입력되는데이터까지모두탈취할수있는것으로확인되었다. [ 그림 1] 악성코드가탈취한국내가상화폐거래소의접속로그 해당악성코드에감염되는경우사용자 PC 의정보뿐만아니라가상화폐거래소등다양한웹사이트의 계정정보가탈취되어 2 차피해를유발할수있기때문에사용자들의주의가필요하다. 53
3 월이달의 TOP 바이로봇업데이트내역 대표진단명 Trojan.Win32.R.Agent 작성자 : savni 54
3 월이달의 TOP 이력서로유포되는시그마랜섬웨어감염주의 개요 최근전세계를대상으로이력서파일로위장하여유포중인 시그마 랜섬웨어가발견되었다. 이력서로위 장하고있기때문에특히기업인사담당자들의각별한주의가필요하다. 내용 시그마 (Sigma) 랜섬웨어는이메일에첨부된이력서워드문서파일에매크로를통해유포되고있다. 치밀하게이메일의지원문구및지원자의이름은각기다른다양한유형으로발송된다. 현재해당랜섬웨어이메일은전세계를대상으로광범위하게유포되고있다. [ 그림 1] 메일로유포중인시그마랜섬웨어 특히이력서워드문서는수신자가파일에대한신뢰감을가질수있도록암호가걸려있으며암호는이메일본문에명시하여암호를입력한사용자만이문서를열람할수있도록했다. 암호가걸려있는문서이기때문에문서를사전에열람하여악성코드를탐지하는행위기반자동분석시스템등을우회할수있다. 55
3 월이달의 TOP [ 그림 2] 시그마랜섬웨어감염노트와복호화페이지 이력서문서를실행하면매크로가동작하여특정서버로부터 시그마 랜섬웨어를다운로드하고실행한다. 랜섬웨어는 PC 내의주요파일들을암호화하고 ReadMe.html 이라는랜섬웨어감염노트를생성하여피해자에게몸값을지불하도록안내한다. 암호화과정중에파일의확장자는변경하지않기때문에파일이암호화되었음을인지하기어렵다. 랜섬웨어는복구비용으로약 400달러상당의비트코인을요구한다. 바이로봇업데이트내역 대표진단명 Trojan.Win32.Ransom 작성자 : suffix 56
3 월이달의 TOP 저작권위반위장메일로유포되는 GandCrab 2.0 랜섬웨어 개요 최근저작권침해관련메일내용으로위장하여랜섬웨어가유포되고있어국내사용자들의각별한주 의가요구된다. 내용 해당메일에서는자신을작가로소개하며저작권침해에해당하는이미지링크를정리하였으니첨부파 일을확인해달라는메일의내용과함께압축파일이첨부되어있다. [ 그림 1] 저작권위반에대한내용이담겨있는메일 하지만첨부파일의압축을해제하면 [ 그림 2] 와같이그림파일과문서파일로위장한바로가기파일과 악성코드가들어있다. 57
3 월이달의 TOP [ 그림 2] 메일의첨부파일로유포되고있는파일들 바로가기파일은숨김속성의악성코드 (esse.exe) 를실행시키도록유도한다. 악성코드는폴더의옵션에 따라일반사용자에게는안보일수있다. [ 그림 3] 압축해제후세개의바로가기파일과실행파일 해당악성코드는실행시파일을암호화하는 GandCrab 2.0 랜섬웨어이다. 2018 년 1 월에 RIG EK 로유포 된이력이있던 GandCrab 랜섬웨어에서 v2.0 으로업그레이드되었다. 58
3 월이달의 TOP [ 그림 4] GandCrab 2.0 의랜섬노트 GandCrab 랜섬웨어는 DNS 쿼리를조회할수있는 nslookup.exe 를이용하여 C&C 서버와통신이이루 어지면파일암호화를진행한다. 암호화대상폴더에는랜섬노트를생성하며암호화를마친파일의확 장자는.GDCB 로변경한다. GandCrab 2.0 은감염된파일의확장자를.CRAB 로변경한다. [ 그림 5] GandCrab( 위그림 ) 과 GandCrab 2.0( 아래그림 ) GandCrab 2.0 외세개의바로가기파일에는비너스락커유포조직이사용했던것으로추정되는특정경 59
3 월이달의 TOP 로가존재하며최근에는바로가기파일명에 _ 메일유포날짜 를덧붙여유포하고있다. - C:\\Users\\I\\Desktop\\ 양진이 \\VenusLocker_korean.exe - [ 그림 6] 바로가기파일에있는비너스락커의특정경로와파일명 작년말에이어금년초까지가상화폐채굴악성코드를유포했었던비너스락커유포조직이이번에는 GandCrab 2.0 랜섬웨어를유포하고있는것으로보여국내사용자들의주의가요구된다. 바이로봇업데이트내역 Trojan.Win32.Gandcrab LNK.Agent 작성자 : ch2exe 60
3 월이달의 TOP 암호화전에백신부터제거하는 AVCrypt 랜섬웨어등장 개요 최근해외에서사용자의 PC에서동작중인백신을식별후제거하는랜섬웨어가발견되었다. 유포중인랜섬웨어는윈도우 10에기본으로탑재되어있는 Windows Defender와 Malwarebytes, Emsisoft 제품등을대상으로하며국내백신제품은대상에포함되어있지않다. 하지만국내에도많은사용자가 Windows Defender 및해외백신을사용하고있기때문에주의가필요하다. 내용 유포중인랜섬웨어에감염되면사용자 PC 의중요파일을감염시키기전, 동작중인백신프로그램을식 별하고아래리스트에포함된서비스가동작하는경우삭제한다. [ 표 1] 삭제되는서비스리스트 이후 PC 내주요파일들의파일이암호화되고암호화가완료된파일은기존파일이름앞에 + 를붙인 이름으로변경된다. 이후사용자에게감염사실을알리기위한랜섬노트를생성하지만랜섬웨어제작자 는암호화된파일에대해몸값을별도로요구하지않는다. [ 그림 1] 암호화변경전 ( 위 ) / 변경후 ( 아래 ) 61
3 월이달의 TOP [ 그림 2] 랜섬노트 바이로봇업데이트내역 대표진단명 Trojan.Win32.S.AVCrypt 작성자 : IAMTH 62
3 월이달의 TOP 63