01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 알약 M 스미싱분석 02 전문가보안기고 차산업혁명시대, 산업현장의레거시

01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No.96 2017.09

01 이스트시큐리티통계및분석 No.96 2017.09 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 01-08 알약악성코드탐지통계 허니팟 / 트래픽분석 알약 M 스미싱분석 02 전문가보안기고 09-18 4 차산업혁명시대, 산업현장의레거시시스템이위험하다! 커져가고있는사이버공격피해, 대응방안은? 03 악성코드분석보고 19-31 개요 악성코드상세분석 결론 04 해외보안동향 32-50 영미권 중국 일본

이스트시큐리티보안동향보고서 01 악성코드통계및분석 악성코드동향알약악성코드탐지통계허니팟 / 트래픽분석알약 M 스미싱분석 1

01 악성코드통계및분석 1. 악성코드동향 8 월에도다양한보안이슈가발생하였습니다. 항상거론되는랜섬웨어이슈를차치하고서라도, 안드로이드랜섬웨어 제작앱발견, 크롬확장프로그램하이재킹, 메신저를통한악성코드유포등다양한분야에서사용자들을위협하는 보안이슈가계속발견되고있습니다. 특히주목할만한점은, 공격자들이기존 IE(Edge) 뿐만아니라사용자가계속적으로증가하여 2016 년에는브라우저 점유율 1 위, 현재무려 60% 의점유율을자랑하는크롬브라우저의사용자들을본격적으로노리기시작했다는 점입니다. 크롬웹브라우저자체의대한공격보다는크롬웹스토어를통해서다운로드받아크롬웹브라우저에연동시키는플러그인이공격자들의주타깃입니다. 최근웹디벨로퍼 (Web Developer) 라는사용자에게웹개발툴을제공하는플러그인의제작자계정이해킹당해프로그램이무단으로변경되고, 이플러그인을쓰는사용자 100 만여명의웹브라우저에광고를인젝션시킨사실이밝혀졌습니다. 또한이것외에도유명한몇가지크롬플러그인에서도해킹이발생하여무려 500 만에가까운사용자들이영향을받은것으로확인되었습니다. 공격자들이크롬플러그인을노리는이유는여러가지가있겠지만, 일단플러그인을개발하는서드파티개발사가구글만큼보안조치나취약점패치및대응이잘이뤄지지않을것으로공격자들이생각하고있을것으로추측됩니다. 추가적으로사용자들이많이사용하는플러그인다수가사용자브라우저에서발생하는중요이벤트에대한접근권한을가지고있는것이많기때문에, 플러그인해킹을통해사용자웹브라우저에서일어나는이벤트나기존활동로그, 계정정보등의추가적인액티브정보를수집하려는것으로보입니다. 동향보고서를읽고계시는분들께서는현재크롬브라우저를사용하고계시다면반드시사용하지않는플러그인에대해삭제조치를취하셔야하며, 플러그인은항상최신버전으로유지하는것은물론브라우저에저장된방문한웹사이트에서사용된로그인토큰과쿠키들을주기적으로삭제하시는것을권장해드립니다. 크롬플러그인관련보안뉴스를주기적으로체크해보시면서정보를습득하시면더욱좋겠습니다. 그외에도 HBO 왕좌의게임 ( 시즌 7) 대본과제작자의여러가지내부문서등이해커에의해유출된이슈, 페이스북 메신저를통한악성코드유포, 안드로이드랜섬웨어제작앱발견등다양한이슈가발생했던 8 월이었습니다. 2

01 악성코드통계및분석 2. 알약악성코드탐지통계 감염악성코드 TOP15 2017 년 8월의감염악성코드 Top 15 리스트에서는지난 7월에 3위를차지했던 Trojan.Agent.gen 이 8월 Top 15 리스트 1위를차지했으며, 지난달 4,5 위를차지했던 Trojan.HTML.Ramnit.A 와 Adware.SearchSuite 가새롭게 2,3 위를차지했다. 전반적으로전체감염건수가다시크게증가하였다. 순위 등락 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 2 Trojan.Agent.gen Trojan 1,348,425 2 2 Trojan.HTML.Ramnit.A Trojan 1,043,352 3 2 Adware.SearchSuite Adware 990,389 4 3 Misc.Riskware.BitCoinMiner Trojan 533,069 5 New JS:Trojan.Cryxos.1180 Trojan 360,069 6 - Trojan.LNK.Gen Trojan 296,785 7 5 Win32.Ramnit Trojan 252,137 8 5 Misc.Keygen Trojan 231,738 9 2 Worm.ACAD.Bursted.doc.B Worm 215,467 10 2 Adware.GenericKD.12030544 Adware 186,519 11 New Worm.ACAD.Kenilfe Worm 179,854 12 New Backdoor.Generic.792814 Backdoor 154,777 13 New Win32.Neshta.A Trojon 144,972 14 New Misc.HackTool.AutoKMS Trojan 143,468 15 New Trojan.HTML.Downloader.AG Trojan 142,400 * 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 2017 년 08 월 01 일 ~ 2017 년 08 월 31 일 3

01 악성코드통계및분석 악성코드유형별비율 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 72% 를차지했으며애드웨어 (Adware) 유형이 19% 로 그뒤를이었다. 애드웨어 19% 웜 백도어 6% 3% 트로이목마 (Trojan) 스파이웨어 (Spyware) 트로이목마 72% 애드웨어 (Adware) 취약점 (Exploit) 웜 (Worm) 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 카테고리별악성코드비율전월비교 8 월에는 7 월에비해트로이목마유형의악성코드비율이감소하였으며, 애드웨어유형의악성코드비율이크게 증가하였다. 전체적인악성코드감염수치는큰폭으로증가하였다. 100% 100% 트로이목마 (Trojan) 스파이웨어 (Spyware) 0% 0% 72% 83% 애드웨어 (Adware) 9% 19% 하이재커 (Hijacker) 0% 0% 웜 (Worm) 6% 4% 8 월 취약점 (Exploit) 0% 0% 7 월 바이러스 (Virus) 0% 2% 백도어 (Backdoor) 3% 0% 호스트파일 (Host) 0% 0% 기타 (Etc) 0% 2% 0% 20% 40% 60% 80% 100% 4

01 악성코드통계및분석 3. 허니팟 / 트래픽분석 7 월의상위 Top 10 포트 허니팟 / 정보수집용메일서버를통해유입된악성코드가사용하는포트정보및악성트래픽을집계한수치 25 11% 3389 1% 1433 3306 2% 5% 81 9% 22 14% 67 1% 5900 1% 8080 0% 23 56% 23 22 25 81 3306 1433 3389 67 5900 8080 최근 3 개월간상위 Top 5 포트월별추이 2017 년 6 월 2017 년 7 월 2017 년 8 월 23 22 25 81 3306 5

01 악성코드통계및분석 악성트래픽유입추이 외부로부터유입되는악의적으로보이는트래픽의접속시도가감지된수치 4,271,788 2,627,730 2,591,010 2,510,172 2,199,317 2,455,077 2017 년 3 월 2017 년 4 월 2017 년 5 월 2017 년 6 월 2017 년 7 월 2017 년 8 월 단위 : 악의적트래픽접속시도감지건수 2017 년 2 월 ~ 2017 년 07 월 6

01 악성코드통계및분석 4. 알약 M 스미싱분석 알약안드로이드를통한스미싱신고현황 기간 총신고건수 2017 년 08 월 01 일 ~ 2017 년 08 월 31 일 5,790 건 키워드별신고내역 키워드 신고건수 비율 택배 170 2.94% 청첩장 98 1.69% 예식장소 22 0.38% 길 23 0.40% 사진 18 0.31% 동영상 5 0.09% 주소 4 0.07% 초대 3 0.05% 신분증 2 0.03% 다운 1 0.02% 스미싱신고추이 지난달스미싱신고건수 8,414 건대비이번달 5,790 건으로알약안드로이드스미싱신고건수가전월대비 2,624 건감소했다. 이번달은택배관련스미싱이대부분을차지했으며, 신분증관련스미싱이새로등장했다. 7

01 악성코드통계및분석 알약이뽑은 8 월주목할만한스미싱 특이문자 순위 문자내용 1 [Web 발신 ] ( 대한통운 ) 고객님배송지불일치확인및정정부탁드립니다! 2 [Web 발신 ] 귀하의신분증을보관중입니다. 보관처확인후수령바랍니다. 수령지확인 3 나는당신께사진한장 : 를보냈습니다 다수문자 순위 문자내용 1 [Web 발신 ]( 대한통운 ) 고객님배송지불일치확인및정정부탁드립니다! 2 모b바k일, 청y첩r장d이, 도c착z하, 엿o습v니p다 3 [Web 발신 ] 예식장소 4 [Web 발신 ] 오시는길 5 나는당신께사진한장 : 를보냈습니다 6 ^^ 여^기 ^에^ 너 ^이상한동영상 ^ 있^는데바로삭제하세요 7 [Web 발신 ] 주소지확인 8 ^^ 당신 ^은뉴 ^스에나 ^왔 ^어요! 빨 ^리 ^와보세 ^요 9 [Web 발신 ] 귀하의신분증을보관중입니다. 보관처확인후수령바랍니다. 수령지확인 : 10 혹시접속이안되면이주소로다시다운하세요.. 8

이스트시큐리티보안동향보고서 02 전문가보안기고 1. 4 차산업혁명시대, 산업현장의레거시시스템이위험하다! 2. 커져가고있는사이버공격피해, 대응방안은? 9

02 전문가보안기고 1. 4 차산업혁명시대, 산업현장의레거시 시스템이위험하다! [Endpoint 개발팀김동원책임 ] 워너크라이랜섬웨어이슈와취약점공격의위험성지난 5월. 한국을포함한전세계에서워너크라이 (WannaCry) 랜섬웨어가기승을부렸다. 사용자의데이터를볼모로삼아금전을요구하는이랜섬웨어는윈도우 (Windows) 의 SMB 취약점을파고들어네트워크를통해빠르게확산되었다. 다행히도이와관련된업데이트가 2017 년 3월말공개되었기때문에업데이트를이미진행한사용자들은큰피해를입지않았다. 문제는지원이중지된 OS(Windows XP, Windows Server 2003 및이전버전 ) 였다. 마이크로소프트 (Microsoft) 는부랴부랴긴급업데이트를지원했지만, 공격발생이후의패치인지라소잃고외양간고치기에그치는경우가다수였다. 이처럼, 지원중지된 OS 의경우취약점공격을차단하는것은사실상불가능에가깝다. 보안구멍숭숭... 여전히방치되어있는산업시스템공격자는취약점공격을시도할때, 타깃시스템에다수의취약점이존재한다는것을전제로한다. 윈도우 XP 를기준으로살펴보자. 보안취약점통계분석사이트 CVE 디테일에따르면, 윈도우 XP 는현재까지알려진취약점만 726 개에달한다. 또한 2014 년을마지막으로공식지원이끊겨버린 OS 이기도하다. 그럼에도불구하고, 윈도우 XP 의점유율은현재까지전세계적으로 7% 대를유지하고있다. 따라서윈도우 XP 는공격자에게아주매력적인공격대상으로꼽힌다. 10

02 전문가보안기고 [ 그림 1. 2017 년데스크탑 OS 사용현황, 출처 : 넷마켓쉐어 (https://www.netmarketshare.com/)] 지원이중지된 OS 를계속해서사용하고있는이유는무엇일까? 지원중지된 OS 를사용하고있는장비들중가장큰비중을차지하는것은산업전반에서사용되고있는각종시스템들이다. 여기서산업시스템은우리삶에친숙한 ATM( 현금자동입출금기 ), POS( 판매시점관리프로그램 ), Kiosk( 디스플레이를기반으로한정보전달기기 ) 뿐만아니라, 산업설비를제어하기위해만들어진모든시스템들을일컫는다. 업데이트가쉬운개인용 PC 와는달리, 산업시스템은 OS 교체에많은기회비용이발생한다. 당장 OS 구입에들어가는비용및인력충원, 장비교체, 호환성의문제등이그러하다. 또한산업시스템은일반적으로특정한기능만을수행하기때문에저사양인경우가많아, 초기사용성만검증되었다면낡은 OS 를사용한다는것이큰문제가되지않는다. 당시에는윈도우최신버전을기반으로개발된시스템이었지만, 점차빨라지는 OS 의개발주기를따라잡지못한것이다. 가까운사례로이번워너크라이랜섬웨어는영국병원의네트워크와독일의철도시스템을마비시켰다. 국내피해 사례로는영화관과버스정류장의키오스크, 소매상의 POS 기기피해도들수있다. 이는산업현장이지원중지된 OS 사용으로인해, 취약점에크게노출되어있다는것을방증한다. 11

02 전문가보안기고 산업현장의레거시시스템, 차별화된보안전략이필요하다! 앞서언급한윈도우 XP 와같이, 현재까지남아사용되고있거나현재의체계에영향을미치는과거의낡은기술이나 방법론, 컴퓨터시스템, 소프트웨어등을레거시시스템 (Legacy System) 이라고한다. 레거시시스템은지속적인케어가 중단되기때문에필연적으로취약점에노출될수밖에없다. 따라서일반시스템과는다른보안기획수립이필요하다. 1. 내부망분리일반적으로보안공격은외부에서온다. 망을분리하면내부에서만통신이가능해지므로외부공격을원천적으로막을수있다. 그러나내부망은전용선을사용하기때문에여러한계가존재한다. 이는 VPN 을이용하여해결할수있으나, VPN 은결과적으로인터넷망을사용하는방법이기때문에 100% 안심할수없다. 또한구축과정에인력과시간이다수필요하기때문에비용이많이발생하는편이다. 2. 방화벽정책수립방화벽은말그대로네트워크구간들사이에놓인벽을말한다. 검증되지않은네트워크에서오는트래픽을검증된네트워크로넘어오지못하도록차단하는것이다. 산업시스템은대부분특정한기능만동작하도록설계되었다. 따라서검증된 IP 와포트를제외한외부통로를방화벽을통해차단한다면비교적수월하게방화벽정책을수립할수있다. 3. 화이트리스트 (White List) 방식활용블랙리스트가경계를요하는대상의목록인것과반대로, 화이트리스트는허용되거나신뢰할수있는대상의목록이라고할수있다. 간단하게말하자면관리자가사전에인가한프로그램만설치가가능하도록하는것이다. 이렇게되면잠입에성공하여설치된악성코드가제대로실행될수없는환경을만들수있다. 12

02 전문가보안기고 위와같은보안전략이체계적으로실행되려면인력과인프라, 구축비용등여러자원이필요하다. 따라서기업및조직에따라, 상황에맞는합리적인비용으로안전한환경을만드는것이중요하다. 혹, 소규모기업에서이러한보안전략을실행하기위해고민하고있다면, 보안솔루션을도입하는것이적절한해결책이될수있다. 솔루션을선택하는데있어필요한기능적인체크포인트는다음과같다. 1. 보안취약점및악성코드공격의원천차단 2. 화이트리스트기반의어플리케이션제어 3. 신규생성파일에대한감시및차단 4. 네트워크를통하지않은물리적인해킹에대응하기위한이동식매체 (USB) 감시및차단 [ 그림 2. 알약레거시프로텍터의주요기능 ] 국내외보안업체에서는레거시시스템을안전하게보호하기위한여러보안솔루션을개발및서비스하고있다. 이스트시큐리티는현재레거시시스템을위한알약레거시프로텍터 2.0 - 키오스크, ATM, POS 등맞춤보안솔루션을준비중에있다. 알약레거시프로텍터는앞서설명한체크포인트는물론, 산업현장의특성을반영하여저사양시스템에서도설치및운용이가능하도록클라우드화 ( 중앙화 ) 된것이특징이다. 또한자사가서비스하는 ASM(ALYac Security Manager, 기업용통합보안관리시스템 ) 과도연동되여고도의보안지식을가지고있지않은담당자라도쉽고간편하게통합관리가가능하도록설계되었다. 최신시스템도언젠가는레거시시스템이된다최근키오스크는 4차산업혁명에힘입어지하철의안내판, 영화관의무인발권기외에도패스트푸드점의주문관리, 병원의자동수납관리시스템등다양한분야에활발히도입되고있다. 또한 POS 의경우, 고객의개인정보를이용한마케팅, 적립금연동등고객정보관리뿐만아니라매장내의재고관리, 물품발주등제공하는기능이다양해지고있다. 이때문에키오스크나일반 POS 시스템은대부분폐쇄망이아닌상용인터넷망을사용하고있다. 하지만일부단말기는여전히윈도우 XP 및이를기반으로한 WEPOS(Windows Embedded for Point of Service), 윈도임베디드 POSReady 2009(Windows Embedded POSReady 2009) 를운영체제로사용하고있어보안에매우취약하다. 13

02 전문가보안기고 모든시스템은언제든지레거시시스템으로도태될수있다. 다행히도취약점에노출된 OS 를사용하는비율은점점 줄어들고있는추세이다. 그러나공격자들에게필요한것은취약점공격이가능한 단하나의시스템 뿐이다. 이러한 관점에서보면, 단하나의레거시시스템도소홀히해서는안될것이다. 산업시스템은인간의수고를덜어주며, 삶을윤택하게만드는서비스를제공한다. 그러나산업시스템에는수많은 개인정보가네트워크상에존재하기때문에철저한보안정책의수립이선행되어야한다. 우리의산업현장을안전하게 보호할수있도록세심한보안전략이필요한때이다. 14

02 전문가보안기고 2. 커져가고있는사이버공격피해, 대응방안은? [IMAS 개발팀한태원담당 ] 지난 2017 년 6 월, 웹호스팅업체인터넷나야나의서버가랜섬웨어에감염되어고객의중요자료들이암호화된 사건이있었다. 한국인터넷진흥원 (KISA) 과사이버수사대는조사를통해해당기업내리눅스서버 153 대가에레부스 또는에레보스 (Erebus) 라불리는랜섬웨어에감염되었다고밝혔다. [ 그림 1. 인터넷나야나랜섬웨어감염공지화면 ( 출처 : 인터넷나야나공식홈페이지 )] 이웹호스팅업체를이용하는고객사의 1 만여개중절반가량인 5 천개이상이랜섬웨어의공격을받은것으로 추정하고있으며, 랜섬웨어공격으로인해큰손실을본기업도상당수로알려졌다. 인터넷나야나는어쩔수없이 해커와최종협상을통해 380 비트코인 ( 한화약 13 억원 ) 을지불하기로합의해야만했다. 15

02 전문가보안기고 [ 그림 2. 공격으로인해손실된조직의매출비율 ( 출처 : Cisco 2017 연례사이버보안보고서 )] 사이버공격은시간이지나면서더욱더고도화되고있으며, 어떤기업도공격대상이될수있다는점이이번사건을통해드러났다. 최근발표된 Cisco 연례사이버보안보고서에따르면, 전체조직중 75% 가애드웨어에감염된경험이있다고나타났다. 또한사이버공격으로인해매출손실을경험한기업은조사대상기업중 29% 이며이중 38% 의기업이상당한매출손실을경험한것으로조사되었다. 이와같은사이버공격에대비하고피해를최소화하기위해기업은어떤대비를해야할것인가? - 사이버공격대비첫걸음, 악성코드분석시스템지난 2017 년 5월, 워너크라이 (WannaCry) 랜섬웨어사태가발생했을때이루어졌던대응조치를살펴보자면, 당시한국인터넷진흥원 (KISA) 를중심으로국내민간보안업체들이사이버위헙에대응하기위한인텔리전스네트워크를구성하였다. 이는워너크라이공격에대한정보공유를통하여발빠른대응에나서기위함이었다. KISA 백기승원장은 2017 민간분야상반기사이버위기대응모의훈련강평회에서 다양한산업군과함께모의훈련실시는물론, 사이버공유시스템 (C-TAS) 참여기관, 사이버위협인텔리전스네트워크등과정보공유및협력을확대할예정 이라고밝혔다. 사이버공격에대비하기위해민관이협동하여정보수집에신경쓰고있다는것을알수있다. ( 관련기사 : http://www.cctvnews.co.kr/news/articleview.html?idxno=69205) 악성코드수집및분석을통하여가장최신위협에대응하기위한모습은경찰청의악성코드포렌식시스템과 금융보안원의악성코드분석시스템에서도그예를찾아볼수있다. 16

02 전문가보안기고 경찰청은민원해결및침해사고에대응하기위해악성코드포렌식분석시스템을사용한다. 악성코드포렌식분석시스템은악성 URL, 카페 / 블로그에업로드되는다양한샘플의모니터링등을통해다양한형태의악성코드를수집하며, 수집된악성코드는 PE, APK, URL 분석을거치게된다. 관리자는분석된정보를실시간으로확인할수있고, 내용이정리된보고서형태로저장할수있다. 제공받은정보는악성코드에대한민원이들어왔을때, 어떤악성행위를하는지안내하는데사용되며또한침해사고발생시사건수사및프로파일링을위해사용된다. 금융보안원의악성코드분석시스템은주요금융기관과관련된다양한샘플을수집하여실시간으로분석하는역할을한다. 샘플수집에서부터분석결과를제공하는시스템을자동화프로세스에적용하였기때문에, 24 시간모니터링이가능하다는장점을가지고있다. 관리자가실시간으로분석결과알람을통하여받을수있기때문에, 사이버공격에대한빠른조치를위해악성코드분석시스템이사용되고있다. 이와비슷한행보는한국인터넷진흥원 (KISA) 이도입하는 IMAS 에서도살펴볼수있다. IMAS 는자동화된악성코드분석기법을이용하여의심스러운파일이나 URL 을분석한다. 또한 URL 분석에서는각사이트의하위페이지를단계제한없이분석할수있다. KISA 는 IMAS 를활용하여국내홈페이지를통해유포되는악성코드탐지와분석을강화하여최신사이버공격에보다효과적으로대응하겠다는계획이다. - 사이버공격, 기업이할수있는예방방법은? 많은공공기관및보안업체가악성코드정보를이용하여최신사이버위협에대한대응방안을마련해가고있는 상황이다. 그렇다면일반기업체에서는사이버공격을방어하기위해악성코드정보를어떻게활용할수있을까? IMAS 서비스는국내 2,000 만사용자를가지고있는알약을기반으로최신악성코드정보를수집, 분석한다. 악성코드분석으로나온데이터는사용자가파악하기쉬운양질의데이터로도식화시킨다. 또한분석한악성코드에 따른대응방안을제시하여, 기업보안담당자가어떤조치를취해야하는지를손쉽게알수있도록도와준다. [ 그림 3. IMAS 의인공지능분석 ] 17

02 전문가보안기고 악성코드분석정보와인공지능 (A.I) 을결합하여최신위협에방어하는방법도분석정보를이용하는방법이될수있다. 기존악성코드분석정보를기반으로인공지능이학습을시작한다면신 / 변종에대한악성코드에대한탐지와분석능력이더욱강화될수있을것으로예상된다. IMAS 는알약등각종보안서비스를통해다년간축적한악성코드분석정보와인공지능을결합하여신 / 변종악성코드에대한탐지, 분석능력을향상시키기위한연구를진행하고있다. 지난사건이지능형지속위협 (APT) 과랜섬웨어를이용하여큰이득을취할수있다는사례로기록되면서기업에대한사이버공격이대폭증가할것으로예상된다. IMAS 와같은악성코드분석시스템을도입하여접근가능한악성코드를분석, 사전에차단하는것도방법이될수있을것이다. 또한악성코드에대한정보를지속적으로얻을수있는채널을열어두어악성코드에대한최신패치와서버관리자에대한최신보안실무교육을병행하는방법도필요하다. 사이버공격은앞으로도더진화할것이며기업의입장에서는우리회사가다음공격대상이될수있다는생각을 가지고공격에대비한예방책을미리준비하는노력을취해야할것이다. 18

이스트시큐리티보안동향보고서 03 악성코드분석보고 개요 악성코드상세분석 결론 19

03 악성코드분석보고 [Trojan.Ransom.LockyCrypt] 악성코드분석보고서 1. 개요 과거다양한변종으로전세계에악명을떨친 Trojan.Ransom.LockyCrypt( 이하 Locky 랜섬웨어 ) 가다시등장하였다. 이 Locky 랜섬웨어는파일암호화간 diablo6 확장자로변경하는점이특징이다. 본분석보고서에서는 Locky 랜섬웨어를상세분석하고자한다. 이번 Locky 랜섬웨어는불특정다수를대상으로한스팸메일에서유포되었다. 메일은 Files attached. Thanks, 즉 파일을첨부하였다. 고맙다 의내용을담고있다. 이는메일을받은이들의호기심을자극하여첨부된파일을실행하도록하는의도로보여진다. 첨부된압축파일안에있는 E 2017-08-09 (672).vbs 는 Locky 랜섬웨어를다운로드하는 VBScript 스크립트파일이다. [ 그림 1] Locky 랜섬웨어를유포한스팸메일 20

03 악성코드분석보고 2. 악성코드상세분석 2.1. 첨부된 E 2017-08-09 (672).vbs 분석 첨부된 VBS 파일은 C&C 에서 Locky 랜섬웨어를다운로드하고, 임시폴더 (%TEMP%) 경로에 RzoGhNzbGgU.exe 파일명으로저장및실행한다. [ 그림 2] Locky 랜섬웨어를다운로드하는 VBS 파일 2.2. RzoGhNzbGgU.exe 상세분석 첨부된 E 2017-08-09 (672).vbs 에서다운로드되어실행되는 RzoGhNzbGgU.exe 는파일암호화기능을수행하며, 암호화이후복호화해주는대가로비트코인결제를유도한다. 1) 디버깅유무에따른자가복제및실행다음은자가복제및실행하는코드이다. 자가복제및실행은자기자신의흔적을숨기기위해사용하지만이번랜섬웨어에서는분석방해를위해사용하였다. PEB 구조체에있는 BeingDebugged 멤버값으로현재프로세스가디버깅상태인지를확인하고, 디버깅상태인경우임시폴더 (%TEMP%) 경로에 svchost.exe 이름으로자가복제및실행한다. 21

03 악성코드분석보고 [ 그림 3] 디버깅유무에따른자가복제및실행 2) 감염된이용자 ID 생성 감염된이용자를식별하기위한 ID 를생성하는코드이다. ID 는드라이브볼륨의 GUID 를 MD5 로변환한값에추가 연산을적용한값이다. [ 그림 4] ID 생성코드의일부 3) 정보전송 C&C 로감염된기기의정보들을전송한다. 전송되는정보에는감염된이용자의 ID, 국가언어, 운영체제정보, 서비스팩정보, 로컬컴퓨터의도메인소속정보, 64 비트유무, affid, v 값이포함된다. affid 와 v 값은악성코드내부에각각숫자 3 과 2 로고정되어있으며각각 Affiliation ID( 제휴아이디 ) 와 Version( 랜섬웨어버전정보 ) 의의미로보여진다. 22

03 악성코드분석보고 [ 그림 5] C&C 에전송하는정보 악성코드에서연결하는 C&C 정보는다음과같다. IP 국가 83.217.8.61 러시아 31.202.130.9 우크라이나 91.234.35.106 우크라이나 [ 표 1] C&C 정보 해당정보들은암호화되어전송되며, 분석하는시점에서 C&C 와연결이이루어지지않아어떠한데이터를받아오는지 확인이어렵다. 다음은 C&C 와연결이이루어질경우파라메터및전송정보이다. 파라메터 전송정보 id=&act=gettext&lang= id=&act=gethtml&lang= id=&act=stats&path=&encrypted=&failed=&length= [ 표 2] 파라메터및전송정보목록 ID 및지역정보 ID 및지역정보 ID 및암호화정보통계 23

03 악성코드분석보고 4) 파일암호화 1 암호화대상확인암호화대상을확인하기전러시아어환경인지확인한다. 러시아어환경의기기에서는암호화를진행하지않고, 프로세스종료및자가삭제한다. 그외의환경에서는파일암호화가진행된다. [ 그림 6] 러시아어환경확인 A 드라이브부터 Z 드라이브까지드라이브가고정식드라이브, 이동식드라이브, 램디스크드라이브인지확인한다. 만일대상드라이브인경우암호화대상드라이브에포함한다. [ 그림 7] 드라이브확인 네트워크드라이브도암호화대상에포함한다. [ 그림 8] 네트워크드라이브검색 드라이브내에서암호화조건에부합하는파일들을리스팅한다. 암호화대상파일의확인조건은확장자, 제외파일및 폴더문자열이다. 다음은암호화대상확장자와제외폴더및파일문자열목록이다. 24

03 악성코드분석보고 "wallet.dat", ".key", ".crt", ".csr", ".p12", ".pem", ".DOC", ".odt", ".ott", ".sxw", ".stw", ".PPT", ".XLS", ".pdf", ".RTF", ".uot", ".CSV", ".txt", ".xml", ".3ds", ".max", ".3dm", ".DOT", ".docx", ".docm", ".dotx", ".dotm", ".602", ".hwp", ".ods", ".ots", ".sxc", ".stc", ".dif", ".xlc", ".xlm", ".xlt", ".xlw", ".slk", ".xlsb", ".xlsm", ".xlsx", ".xltm", ".xltx", ".wk1", ".wks", ".123", ".wb2", ".odp", ".otp", ".sxi", ".sti", ".pps", ".pot", ".sxd", ".std", ".pptm", ".pptx", ".potm", ".potx", ".uop", ".odg", ".otg", ".sxm", ".mml", ".docb", ".ppam", ".ppsx", ".ppsm", ".sldx", ".sldm", ".ms11", ".ms11, (Security, copy)", ".lay", ".lay6", ".asc", ".onetoc2", ".pst", ".001", ".002", ".003", ".004", ".005", ".006", ".007", ".008", ".009", ".010", ".011", ".SQLITE3", ".SQLITEDB", ".sql", ".mdb", ".db", ".dbf", ".odb", ".frm", ".MYD", ".MYI", ".ibd", ".mdf", ".ldf", ".php", ".c", ".cpp", ".pas", ".asm", ".h", ".js", ".vb", ".vbs", ".pl", ".dip", ".dch", ".sch", ".brd", ".cs", ".asp", ".rb", ".java", ".jar", ".class", ".sh", ".bat", ".cmd", ".py", ".psd", ".NEF", ".tiff", ".tif", ".jpg", ".jpeg", ".cgm", ".raw", ".gif", ".png", ".bmp", ".svg", ".djvu", ".djv", ".zip", ".rar", ".7z", ".gz", ".tgz", ".tar", ".bak", ".tbk", ".tar.bz2", ".PAQ", ".ARC", ".aes", ".gpg", ".apk", ".asset", ".asset", ".bik", ".bsa", ".d3dbsp", ".das", ".forge", ".iwi", ".lbf", ".litemod", ".litesql", ".ltx", ".re4", ".sav", ".upk", ".wallet", ".vmx", ".vmdk", ".vdi", ".qcow2", ".mp3", ".wav", ".swf", ".fla", ".wmv", ".mpg", ".vob", ".mpeg", ".asf", ".avi", ".mov", ".mp4", ".3gp", ".mkv", ".3g2", ".flv", ".wma", ".mid", ".m3u", ".m4u", ".m4a", ".n64", ".contact", ".dbx", ".doc", ".docx", ".jnt", ".jpg", ".mapimail", ".msg", ".oab", ".ods", ".pdf", ".pps", ".ppsm", ".ppt", ".pptm", ".prf", ".pst", ".rar", ".rtf", ".txt", ".wab", ".xls", ".xlsx", ".xml", ".zip", ".1cd", ".3ds", ".3g2", ".3gp", ".7z", ".7zip", ".accdb", ".aoi", ".asf", ".asp", ".aspx", ".asx", ".avi", ".bak", ".cer", ".cfg", ".class", ".config", ".css", ".csv", ".db", ".dds", ".dwg", ".dxf", ".flf", ".flv", ".html", ".idx", ".js", ".key", ".kwm", ".laccdb", ".ldf", ".lit", ".m3u", ".mbx", ".md", ".mdf", ".mid", ".mlb", ".mov", ".mp3", ".mp4", ".mpg", ".obj", ".odt", ".pages", ".php", ".psd", ".pwm", ".rm", ".safe", ".sav", ".save", ".sql", ".srt", ".swf", ".thm", ".vob", ".wav", ".wma", ".wmv", ".xlsb", ".3dm", ".aac", ".ai", ".arw", ".c", ".cdr", ".cls", ".cpi", ".cpp", ".cs", ".db3", ".docm", ".dot", ".dotm", ".dotx", ".drw", ".dxb", ".eps", ".fla", ".flac", ".fxg", ".java", ".m", ".m4v", ".max", ".mdb", ".pcd", ".pct", ".pl", ".potm", ".potx", ".ppam", ".ppsm", ".ppsx", ".pptm", ".ps", ".pspimage", ".r3d", ".rw2", ".sldm", ".sldx", ".svg", ".tga", ".wps", ".xla", ".xlam", ".xlm", ".xlr", ".xlsm", ".xlt", ".xltm", ".xltx", ".xlw", ".act", ".adp", ".al", ".bkp", ".blend", ".cdf", ".cdx", ".cgm", ".cr2", ".crt", ".dac", ".dbf", ".dcr", ".ddd", ".design", ".dtd", ".fdb", ".fff", ".fpx", ".h", ".iif", ".indd", ".jpeg", ".mos", ".nd", ".nsd", ".nsf", ".nsg", ".nsh", ".odc", ".odp", ".oil", ".pas", ".pat", ".pef", ".pfx", ".ptx", ".qbb", ".qbm", ".sas7bdat", ".say", ".st4", ".st6", ".stc", ".sxc", ".sxw", ".tlg", ".wad", ".xlk", ".aiff", ".bin", ".bmp", ".cmt", ".dat", ".dit", ".edb", ".flvv", ".gif", ".groups", ".hdd", ".hpp", ".log", ".m2ts", ".m4p", ".mkv", ".mpeg", ".ndf", ".nvram", ".ogg", ".ost", ".pab", ".pdb", ".pif", ".png", ".qed", ".qcow", ".qcow2", ".rvt", ".st7", ".stm", ".vbox", ".vdi", ".vhd", ".vhdx", ".vmdk", ".vmsd", ".vmx", ".vmxf", ".3fr", ".3pr", ".ab4", ".accde", ".accdr", ".accdt", ".ach", ".acr", ".adb", ".ads", ".agdl", ".ait", ".apj", ".asm", ".awg", ".back", ".backup", ".backupdb", ".bank", ".bay", ".bdb", ".bgt", ".bik", ".bpw", ".cdr3", ".cdr4", ".cdr5", ".cdr6", ".cdrw", ".ce1", ".ce2", ".cib", ".craw", ".crw", ".csh", ".csl", ".db_journal", ".dc2", ".dcs", ".ddoc", ".ddrw", ".der", ".des", ".dgc", ".djvu", ".dng", ".drf", ".dxg", ".eml", ".erbsql", ".erf", ".exf", ".ffd", ".fh", ".fhd", ".gray", ".grey", ".gry", ".hbk", ".ibank", ".ibd", ".ibz", ".iiq", ".incpas", ".jpe", ".kc2", ".kdbx", ".kdc", ".kpdx", ".lua", ".mdc", ".mef", ".mfw", ".mmw", ".mny", ".moneywell", ".mrw", ".myd", ".ndd", ".nef", ".nk2", ".nop", ".nrw", ".ns2", ".ns3", ".ns4", ".nwb", ".nx2", ".nxl", ".nyf", ".odb", ".odf", ".odg", ".odm", ".orf", ".otg", ".oth", ".otp", ".ots", ".ott", ".p12", ".p7b", ".p7c", ".pdd", ".pem", ".plus_muhd", ".plc", ".pot", ".pptx", ".psafe3", ".py", ".qba", ".qbr", ".qbw", ".qbx", ".qby", ".raf", ".rat", ".raw", ".rdb", ".rwl", ".rwz", ".s3db", ".sd0", ".sda", ".sdf", ".sqlite", ".sqlite3", ".sqlitedb", ".sr2", ".srf", ".srw", ".st5", ".st8", ".std", ".sti", ".stw", ".stx", ".sxd", ".sxg", ".sxi", ".sxm", ".tex", ".wallet", ".wb2", ".wpd", ".x11", ".x3f", ".xis", ".ycbcra", ".yuv" [ 표 3] 암호화대상확장자문자열 System Volume Information ProgramFiles (x86) ApplicationData Program Files $Recycle.Bin AppData Windows winnt temp tmp _Locky_recover_instructions.txt _Locky_recover_instructions.bmp _HELP_instructions.html _HELP_instructions.bmp _HELP_instructions.txt thumbs.db Boot [ 표 4] 암호화제외대상문자열 25

03 악성코드분석보고 상기문자열을제외하는이유는시스템오류를피하기위함과, _Locky_recover_instructions.txt 등의기존버전 랜섬노트를보호해불필요한암호화를하지않으려는의도로보인다. 2 파일암호화 리스팅된파일들을대상으로암호화를진행한다. 파일암호화에는 RSA 및 AES 알고리즘이사용된다. [ 그림 9] 파일암호화알고리즘 파일암호화는암호화대상파일명과확장자를 [ 감염 ID 및임의값 ].diablo6 으로변경한이후에진행된다. [ 그림 10] 파일이름및확장자변경 다음은파일암호화코드의일부이다. 26

03 악성코드분석보고 [ 그림 11] 파일암호화코드 암호화된파일의구조는다음과같으며, 암호화된데이터, 시그니처, 감염된이용자 ID, 0x100 크기의 RSA 로암호화된 임의키, 0x230 크기의암호화된시그니처와원래파일이름이포함된다. [ 그림 12] 암호화된파일구조 5) 파일복원방지 파일복원을방지하기위해볼륨쉐도우복사본을삭제한다. 27

03 악성코드분석보고 [ 그림 13] 볼륨쉐도우복사본삭제 6) 결제안내 비트코인결제안내를위해암호화대상파일의경로에복호화안내를유도하는랜섬노트파일 diablo6-( 임의 값 4 자리 ).htm 을생성한다. 다음은랜섬노트파일생성코드의일부이다. [ 그림 14] 랜섬노트파일생성코드의일부 바탕화면을 Locky 랜섬웨어이미지로변경하고, 랜섬노트를실행해이용자에게암호화사실을알려준다. 랜섬노트의 내용은 모든파일들이암호화되었으니개인키를받기위해서는토르웹브라우저를사용하여우리의비밀서버로 접속하라 이다. 28

03 악성코드분석보고 [ 그림 15] 생성된 Locky 랜섬노트 실제랜섬노트에기재된 Locky 랜섬웨어다크넷으로접속할경우다음과같이암호화된파일을복호화해주는대가로 0.5 비트코인을요구한다. 29

03 악성코드분석보고 [ 그림 16] 복호화안내를제공하는 Locky 랜섬웨어다크웹 7) 자가삭제 파일암호화과정이모두종료되면자가삭제한다. [ 그림 17] 자가삭제 30

03 악성코드분석보고 3. 결론 Locky 랜섬웨어는러시아어외의환경에서파일들을암호화하여복구하지못하게만들고, 암호화된파일들을복호화 해주는대가로비트코인결제를요구한다. 다른랜섬웨어와달리러시아어환경인경우암호화를진행하지않는다는 특징이있다. 또한 C&C 에정상적으로연결이이루어지지않아도파일암호화가진행된다. 즉, 기업내부망등에서도암호화가 진행될수있어서랜섬웨어에대한대비가필요하다. 본보고서에서다룬악성코드외에도확장자를.lukitus 로변경하는 Locky 변종이웹사이트를통해유포되고있는 것으로알려져추가피해가발생할것으로보인다. 따라서랜섬웨어를사전에예방하기위해서는메일에첨부된파일에대해서주의해야하고, 윈도우보안업데이트나 컴퓨터에설치된애플리케이션을항상최신상태로유지해야한다. 또한중요한자료들은정기적으로외장매체에 백업하여만일에있을사태에대비해야한다. 31

이스트시큐리티보안동향보고서 04 해외보안동향 영미권 중국 일본 32

04 해외보안동향 1. 영미권 악성파워포인트파일을여는것만으로 PC 해킹가능해 How Just Opening A Malicious PowerPoint File Could Compromise Your PC Windows Object Linking and Embedding(OLE) 인터페이스에존재했던마이크로소프트의오피스원격코드실행 취약점 (CVE-2017-0199) 은지난 4 월수정되었음에도, 공격자들은아직도이취약점을악용하고있는것으로 나타났다. 보안연구원들은이익스플로잇을악용하는새로운멀웨어캠페인을발견했습니다. 공격자들은이취약점을최초로 파워포인트프레젠테이션파일 (PPSX) 에숨겼다. 이멀웨어캠페인을발견한 Trend Micro 의연구원들에따르면, 이타겟공격은설득력있는스피어피싱이메일 첨부파일을통해시작됩니다. 이메일은케이블제조회사에서보낸것으로위장하고있으며, 주로전자제조업계와 연관된회사들을노린다. 공격방법 전체공격시나리오는아래와같다. 이미지출처 : http://blog.trendmicro.com/trendlabs-security-intelligence/cve-2017-0199-new-malware-abuses-powerpoint-slide-show/ 33

04 해외보안동향 1단계 : 주문요청에대한배송정보가들어있는것으로위장한악성파워포인트 (PPSX) 첨부파일을통해공격이시작된다. 2단계 : 이 PPSX 파일이실행되면, 내부에프로그래밍된 XML 파일을호출해원격으로 logo.doc 파일을다운로드하고파워포인트쇼애니메이션기능을통해이를실행한다. 3단계 : 악성 Logo.doc 파일은 CVE-2017-0199 취약점을촉발시켜타겟시스템에서 RATMAN.exe 파일을다운로드및실행한다. 4단계 : RATMAN.exe 는 Remcos 원격제어툴의트로이목마화된버전으로, 설치될경우공격자가감염된컴퓨터를원격으로 C&C 서버에서제어할수있게된다. 이미지출처 : http://blog.trendmicro.com/trendlabs-security-intelligence/cve-2017-0199-new-malware-abuses-powerpoint-slide-show/ Remcos 는커스터마이징이가능한정식원격접속툴로, 사용자들이전세계어디서든그들이시스템을제어할수 있도록도와준다. 여기에는다운로드, 명령어실행, 키로거, 스크린로거, 웹캠및마이크레코더등의기능이포함되어 있다. 이익스플로잇이감염된 RTF 파일을배포하는데사용되었기때문에, 대부분 CVE-2017-0199 를탐지할때 RTF 파일에중점을둡니다. 따라서공격자들은 PPSX 파일을사용해안티바이러스프로그램의탐지를피할수있게된다. 34

04 해외보안동향 이공격으로부터보호받을수있는가장쉬운방법은마이크로소프트가 4 월에공개한 CVE-2017-0199 의패치를 다운로드하는것이다. [ 출처 ] http://thehackernews.com/2017/08/powerpoint-malware-ms-office.html http://blog.trendmicro.com/trendlabs-security-intelligence/cve-2017-0199-new-malware-abuses-powerpoint-slide-show/ 35

04 해외보안동향 이미보낸이메일일지라도공격자가내용을수정가능한단순한익스플로잇발견 Simple Exploit Allows Attackers to Modify Email Content Even After It's Sent! 보안연구원들이악용이쉬운새로운이메일트릭에대해경고했다. 이는공격자가이미사용자의받은편지함에 도착한이메일일지라도, 멀쩡한이메일을악성이메일로둔갑시킬수있도록허용한다. Ropemaker (Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky) 라명명된이 트릭은, Mimecast 의연구원인 Francisco Ribeiro 가발견했다. Ropemaker 를성공적으로악용할경우, 공격자는자신이보낸이메일의내용을원격으로수정할수있게된다. 따라서 URL 을악성으로변경하는등의행위가가능하다. 이는이메일이받은편지함에이미도달한상태에서도가능하기때문에, 수신자의컴퓨터나이메일어플리케이션에직접적으로접근하지않더라도모든스팸및보안필터를우회할수있게된다. 따라서수억명의데스크탑이메일클라이언트의사용자들이이공격에노출되었다. Ropemaker 는정보가인터넷에표시될수있는근본적인부분인 CSS 와 HTML 을악용한다. 연구원들은 Ropemaker 는이메일과웹기술의교차점으로 HTML 과함께사용되는 CSS 에서비롯되었다. 웹기술로 인해순수텍스트기반이었던이전이메일들이더욱매력적인비쥬얼을가진역동적인이메일들로바뀌었지만, 이로써 이메일을공격할수있는방법이생기게되었다. 고밝혔다. CSS 는원격으로저장되기때문에, 공격자는이메일의 style 을원격으로변경함으로써기술에익숙한사람들까지 눈치챌수없도록이메일의콘텐츠를바꿀수있게되는것이다. 36

04 해외보안동향 연구원들에따르면, Ropemaker 공격은공격자의창의력에따라얼마든지악용될수있다. 예를들면, 공격자들은정식 사이트로연결되던 URL 을사용자들을멀웨어에감염시킬수있는악성 URL 로바꿔치기할수있다. 일부시스템들은사용자가악성링크를오픈하려고시도할경우이를탐지해차단하지만, 다른사용자들은보안위험에 처할수있게된다. 37

04 해외보안동향 또다른공격시나리오인 Matrix Exploit 은, 위에설명한 Switch Exploit 보다훨씬탐지및방어를어렵게한다. Matrix Exploit 공격에서는, 공격자는이메일에텍스트 matrix 를쓴다음원격 CSS 를이용해어떤내용이표시될지선택적으로제어할수있기때문에, 공격자가이메일의 body 에악성 URL 을추가하는등원하는모든것을표시할수있게된다. 사용자가수신한초기이메일은어떠한 URL 도표시하지않으므로, 대부분의소프트웨어시스템들은이메시지를 악성으로분류하지않을것이기때문에이공격은방어하기가더욱힘들다. 연구원들은아직까지실제로악용된 사례는발견하지못했지만, 이공격이실행되지않고있다고는확신할수없는상황이라고밝혔다. 이러한공격으로부터보호받기위해서는, 사용자들은 Ropemaker 와같은 CSS 익스플로잇에영향을받지않는웹 기반의이메일인 Gmail, icloud, Outlook 등을사용하는것이좋다. 하지만데스크탑및모바일버전의 Apple Mail, Microsoft Outlook, Mozilla Thunderbird 등이메일클라이언트들은 Ropemaker 공격에취약하다. [ 출처 ] http://thehackernews.com/2017/08/change-email-content.html https://www.mimecast.com/blog/2017/08/introducing-the-ropemaker-email-exploit/ 38

04 해외보안동향 누구나단몇초만에안드로이드랜섬웨어를만들수있는앱발견 Easy-to-Use Apps Allow Anyone to Create Android Ransomware Within Seconds 해커들이랜섬웨어위협을더욱쉽게퍼뜨리기위해서비스형랜섬웨어 (RaaS: Ransomware-as-a-service) 를판매하기 시작했다. 이로써별다른기술이없는사용자들도그들만의랜섬웨어를만들어퍼뜨릴수있게되었다. 최악의경우, 누구나다운로드가가능하고손쉽게자신의기기를이용해안드로이드랜섬웨어를생성할수있는이 새로운안드로이드앱덕분에앞으로몇달동안랜섬웨어위협이급격히증가할수도있게되었다. 시만텍의보안연구원들은중국에서인기있는소셜네트워킹메시징서비스의광고를통해방문한해킹포럼에서 누구나트로이목마개발키트 (TDKs) 를다운로드및사용할수있도록하는안드로이드앱을발견했다. 나만의안드로이드랜섬웨어를만드는법 이앱의인터페이스는사용이쉬우며, 프로그래밍지식이없이도커스텀모바일멀웨어를만들수있다는것이외에 다른안드로이드앱과별반다르지않다. 커스텀랜섬웨어를만들기위해서사용자들은이앱을다운로드, 설치및오픈후아래의옵션들을선택해야한다 : 감염된기기의잠금화면에표시될메시지 감염된기기의잠금을해제하는데사용될키 39

04 해외보안동향 멀웨어에사용될아이콘 코드를랜덤화하기위한커스텀수학연산들 감염된기기에표시될애니메이션타입이모든정보가입력되면, 사용자는 Create 버튼을누르기만하면된다. 사용자가처음이라면, 이앱은사용자에게시작하기전서비스에가입하라는메시지를표시한다. 이로써사용자는 개발자와온라인채팅을할수있으며, 돈을지불할수있다. 결제가완료되면, 이멀웨어가실제로생성되어바로 배포할수있는상태로외부저장장치에저장되며사용자는가능한많은피해자를만드는일만이남았다. 연구원들은 이앱을통해생성된멀웨어는 SYSTEM_ALERT_WINDOW 를사용해기기의스크린을잠그고피해자가언락코드를입력하는텍스트박스를표시하는, 전형적인 Lockdroid 동작을따릅니다. 고밝혔다. Lockdroid 랜섬웨어는감염된기기를잠그고, 기기의 PIN 을변경하고, 공장초기화를통해사용자의모든데이터를삭제할수있으며심지어는사용자가멀웨어를삭제할수없도록방지한다. 이러한앱을사용하면해킹이나범죄에관심이있는누구나코드한줄작성하지않아도바로사용할수있는 랜섬웨어를개발할수있게된다. 따라서, 앞으로몇달간랜섬웨어변종들이증가할것으로보인다. [ 출처 ] http://thehackernews.com/2017/08/create-android-ransomware.html https://www.symantec.com/connect/blogs/mobile-malware-factories-android-apps-creating-ransomware 40

04 해외보안동향 2. 중국 CN Cert, II Bootkit 주의! CN Cert 는최근급속도로유포되고있는异鬼 II Bootkit 악성코드에대해경고를하였다. 异鬼 II Bootkit 라고명명된이악성코드는, 중국내다운로드프로그램들을통하여유포되고있으며, XP, Win7, Win10 등주요 OS 에서모두동작이가능하다. 异鬼 II Bootkit 악성코드는정상적인디지털인증서를갖고있다. 해당악성코드는 VBR 을수정하여탐지를어렵게할뿐만아니라, 클라우드에서기능모듈을내려받아감염 PC 에서 악성행위를한다. 감염확인방법 1) 내컴퓨터하위에.wav 파일이존재하는지확인한다. C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Media C:\Users\ 사용자명 \AppData\Local\Microsoft\Media 2) C:\windows\system32\usbsapi.dll 파일이존재하는지확인한다. 3) 레지스트리에다음값이있는지확인한다. {FC70EFDD-2741-495C-9A93-42408F6878D9}\un 4) 레지스트리에다음값이있으면이미감염된것을의미한다. HKEY_LOCAL_MACHINE\Software\Classes\CLSID{FC70EFDD-2741-495C-9A93-42408F6878D9}\ex 값 :1 현재알약에서는해당악성코드에대하여 Trojan.Bootkit.yigui 로탐지하고있다. [ 출처 ] http://www.cert.org.cn/publish/main/9/2017/20170729122626519351207/20170729122626519351207_.html 41

04 해외보안동향 중국광고 SDK 와연결된안드로이드스파이웨어발견 최근구글플레이에서 500 개의앱들이삭제되었는데, 그앱들안에는사용자몰래스파이웨어를설치할수있는광고 SDK 가내장돼있었다. lgexin 이라명명된이광고 SDK 는중국회사가개발했으며, 기기에서로그를추출할수있는 악성코드를설치하는데사용되었을수있다. 보안연구원들은지난월요일 lgexin SDK 를포함한 500 개이상의안드로이드앱들이 1 억회이상다운로드되었다고 밝혔다. 하지만이모든앱들이스파이웨어에감염된것은아니라고말했다. 5천만 ~ 1억회이상다운로드된앱은 10 대들을위해개발된게임앱이며, lgexin SDK 를포함한앱들중가장많은부분을차지했다. 이밖에도날씨앱, 인터넷라디오앱, 사진편집앱, 교육, 건강및피트니스, 여행및이모티콘앱들도해당 SDK 가포함된것으로나타났다. 연구원들은 모든앱이악성스파잉기능을다운로드하는것은아니지만, lgexin 이원할때언제든다운로드할수있었던것으로나타났다. 고밝혔다. Lgexin SDK 및이와유사한 SDK 들은주로앱개발자들이모바일광고네트워크와협력해광고를게재하고수익을창출해내기위해사용한다. 이러한서비스들은타겟광고를위해종종사용자의데이터를수집한다. 일반적으로구글의탐지를우회하기위하여악성코드제작자들은정상앱을구글플레이에등록한후, 사용자가기기에내려받으면악성코드를내려주는형태로구글의검열을우회한다. 하지만이번에발견된 lgexin 은앱개발자들이의도해서악성기능을만든것이아니며, 추후사용자기기에서실행되는 악성페이로드를제어하지못하며심지어인지하지도못하고있었다. 이런악성페이로드를내려보내는것은모두 lgexin 의컨트롤서버에있는문제점때문에발생하는것이었다. 앱들이악성코드를유포하는것으로알려진 ip 및서버와통신하고있었기때문에, 의심스러운행동을발견할수 있었다. 한앱은 lgexin SDK 가사용하는엔드포인트에위치한 REST API 로요청한후많은암호화된파일들을 다운로드했다. 연구원들은 다운로드된클래스에포함된기능들은런타임시완전히외부에의해제어되며, 원격의시스템운영자가 선택한요인에의해언제든변경될수있다. 원격 API 요청이이루어지면, 사용자와앱개발자들은기기에서실행되는 것에대해어떠한제어도할수없게된다. 라고밝혔다. 42

04 해외보안동향 기기에서로그를옮기는것이외에도, 다른플러그인들은전화기록을저장하는 PhoneStateListener 와같은기능들을 등록하는데사용될수있다. [ 출처 ] https://threatpost.com/android-spyware-linked-to-chinese-sdk-forces-google-to-boot-500-apps/127585/ https://blog.lookout.com/igexin-malicious-sdk 43

04 해외보안동향 3. 일본 응답없는경우에는계정을잠근다, 가짜 Amazon 의피싱에주의 유도처피싱사이트 ( 화면 : 피싱대책협의회 ) 온라인쇼핑사이트 Amazon 을가장하여계정정보를속여서빼앗는피싱공격이발생하고있다. 피싱대책협의회는 주의를당부했다. 이협의회에따르면, 문제의메일은 계정의잠금을해제하겠다 라는제목으로송신되고있는 것이라고한다. 문제의메일에서는계정정보의일부에오류가있다고설명하고, 정보를확인할필요가있다는등으로설명하여기재된 URL 에서가짜사이트로유도한다. 응답이없을경우에는계정을잠그겠다는등의협박으로불안을부추기고있었다. 44

04 해외보안동향 2 단계로정보를탈취하는수법을이용하고있으며유도처페이지에서계정정보, 더나아가서이동한페이지에서 보안코드를포함한신용카드정보나주소등을속여서빼앗는다. 지금까지도 Amazon 을가장하여 서비스가중단되었다, 등록된정보가잘못되었다 등으로속여서 계정갱신 등으로칭하며가짜사이트로유도하는케이스가 4월에확인되고있었다. 또한에프시큐어의조사에따르면, 세계적으로도 Amazon 을가장한피싱공격은다수발생하고있다. 피싱대책협의회에서는 JPCERT 코디네이션센터에조사를의뢰하고정보를잘못해서송신하지않도록주의를호소하고있다. [ 출처 ] http://www.security-next.com/084955 45

04 해외보안동향 H.I.S., 최대 1 만 1000 건이상의투어신청객의개인정보를유출 에이치아이에스 (H.I.S.) 는 8 월 22 일, 회사의일본국내버스투어 ( 수도권을출발지로하는것 ) 사이트에서투어를 신청한일부고객의개인정보가이사이트에침입한외부에서의접속에의해유출되는사고가발생했다고발표했다. 고객님께 2017 년8월22 일주식회사 H.I.S. 일본국내버스투어사이트에서의고객정보유출에대해서이번에저희회사의국내버스투어 ( 수도권을출발지로하는것 ) 사이트 ( 이하 본건사이트 ) 에서의투어신청을해주신일부고객개인정보가본건사이트에침입한외부에서의접속에의해유출되는사고가발생했습니다. 현재개인정보를악용당한피해보고는들어오지않고있습니다. 또한본건사이트는저희회사의다른온라인예약사이트와는분리된시스템에서운영되고있어본건사이트이외의저희회사가운영하는온라인예약사이트에서는이번사고의영향은없습니다. 고객님과관계자여러분께심려를끼쳐드려서진심으로사죄드리는동시에아래와같이본건의개요에대해알려드리겠습니다. 1. 경위 (1)8 월17 일 ( 목 ) 고객정보의보안을강화하기위해저희회사는항상보안관련외부정보를수집하고있습니다. 그중에저희회사가계약하고있는외부보안기술전문가에서외부사이트에본건사이트에관한기술 ( 記述 ) 이있었다는정보를입수했습니다. 이보고에따라즉시사내조사를개시하고외부에서의접속조사 / 분석을실시한결과, 본건사이트에압축파일다운로드의흔적이확인되어해당파일안에고객님의개인정보가포함되어있다는사실이판명되었습니다. 본건사이트에대해서는즉시필요한조치를강구했을뿐아니라이사태에따라저희회사사내에 대책본부 를설치하고그후데이터해석을실시한결과, 다운로드된개인정보는최대 11,975 명분이라는사실이판명되었습니다. 46

04 해외보안동향 발표시점에서유출된개인정보악용피해보고는들어오지않고있다고한다. 또한이사이트는회사의다른 온라인예약사이트와는분리된시스템으로운영되고있어, 이번사고의영향은받지않는다고한다. 이회사의발표에따르면, 8 월 17 일에이회사가계약하고있는외부보안전문가에게서외부사이트에일본국내 버스투어 ( 수도권을출발지로하는것 ) 사이트에관한기술이있었다고하는정보를입수했다. 이정보에따라외부에서의접속조사 / 분석을실시한결과, 일본국내버스투어 ( 수도권을출발지로하는것 ) 사이트에 압축파일의다운로드의흔적이확인되어이파일에고객의개인정보가포함되어있다는사실이판명되었다. 데이터 해석을실시한결과, 다운로드된개인정보는최대 1 만 1975 명분이라는사실이밝혀졌다고한다. 이사이트의리뉴얼에따라구 ( 舊 ) 사이트에서이미신청을마친고객의예약데이터를이행하는작업을실시했을때, 공개영역에개인정보를포함한예약데이터가잔치되어있던것을그원인으로들고있다. 유출된개인정보의대상은 2017 년 3 월 18 일 16 시 3 분에서 7 월 27 일 17 시 30 분기간에, 2017 년 8 월 1 일에서 13 월 31 일출발의수도권발 ( 發 ) 국내버스투어를예약한사람이다. 유출된정보는예약시에입력한일부또는전부 정보가되지만, 신용카드번호 / 금융기관계좌정보는포함되어있지않다고한다. 구체적으로는대표자의정보 ( 성명, 성별, 연령, 메일주소, 주소, 전화번호, 투어명, 출발일 ) 가최대 4566 명, 동행자 정보 ( 성명, 성별, 연령, 전화번호 < 입력되어있을경우만 >, 투어명, 출발일 ) 이 7017 명, 긴급연락처 ( 지명, 전화번호 ) 가최대 392 명유출되었을가능성이있다. 개인정보가유출된고객에대해서는 8 월 22 일부터투어대표자에게전자메일로연락하겠다고한다. [ 출처 ] http://news.mynavi.jp/news/2017/08/22/176/ 47

04 해외보안동향 계속해서나도는 Apple 의가짜메일 /6 개의제목돌려쓰며, 가짜사이트로유도하여 개인정보를훔쳐보고탈취 트렌드마이크로주식회사는 25 일, Apple 을사칭하는피싱메일이 6 월경부터계속해서확인되고있다고하며주의를 당부했다. 8월에트렌드마이크로가실시한조사에서는 14~21 일의 1주일간 2500 건이상의피싱메일의확산을확인했다. 송신자정보는 Apple 서포트 로표시되어있으며메일주소는 jp.appleservice 등의문자열로시작된다. 언뜻맞는메일주소로보이지만도메인명은 vera-clod.com 으로 Apple 사와는다른것으로되어있다. 피싱메일의송신주소로는이외에실재회사와비슷한도메인과프리메일의도메인등이사용되는경우가있다고한다. Apple ID 고객님의계정정보의일부데이터가부정확또는확인되지않은듯합니다. 계속해서고객님의계정정보를확인할필요가있습니다. 아래의링크를클릭하여계정정보를확인해주십시오. 여기서로그인 Case ID: JP-(662)(494) 24 시간이내에답신이없을경우, 그계정은무효가됩니다. Apple Support 확인된피싱메일의예 48

04 해외보안동향 메일중링크처는 Apple 사의사이트를가장한가짜사이트로되어있다. 이때 HTML 형식의메일을이용하여유도처 URL 을표면상모르게하거나단축 URL 을이용하여언뜻보기에는맞는지판단할수없게만든다. 최종적으로유도되는가짜사이트 URL 은 sign.in, appleid, apple.com 등의문자열을포함한긴문자열이되어있으며실제도메인명등을알기어렵게만들어져있다. 가짜사이트에서 Apple ID 와패스워드를입력하면계정이락되어있다는내용의메시지가표시되고계정확인을요구하며다양한정보입력을요구해온다. 요구되는정보는성명등개인정보외에신용카드정보, 카드회사의웹서비스등은이루어지지않기때문에무의미한문자열을입력해도통하게된다. 입력후에는영어로인증완료메시지가표시되고정규 Apple 사의사이트를표시한다. 수신자에게정규절차인것처럼생각하게만드는수법이다. 유도된피싱사이트의예 Apple ID 와패스워드를입력하면계정락을위장한 화면은표시 이름등의각종개인정보와신용카드정보의입력을 요구 49

04 해외보안동향 보안질문의입력을요구하는화면 인증완료의가짜메시지만영어로표시된다 이번에실제예로소개된것을포함하여같은가짜사이트로유도하는메일의제목으로적어도 6 종류의변화가 있었다는것도확인되고있다. [ 출처 ] http://internet.watch.impress.co.jp/docs/news/1077453.html 50

( 주 ) 이스트시큐리티 ( 우 ) 06711 서울시서초구반포대로 3 이스트빌딩 02.583.4616 www.estsecurity.com 0