2017. 11 2 트 1 트 1
Contents 01 월간악성코드이슈동향 3 악성코드보안위협취약점 02 이달의 TOP 10 파일암호화에부팅도불가능하게하는레드부트 (RedBoot) 랜섬웨어감염주의광고프로그램모듈을통해유포되는 AllCry 랜섬웨어유포주의오픈소스로개발된매직 (Magic) 랜섬웨어유포주의한국어시스템만공격하는마이랜섬 (MyRansom) 유포주의 Flash Player 업데이트파일을위장하여유포되는 Bad Rabbit Ransomware 매트릭스 (Matrix) 변종랜섬웨어감염주의 03 보안컬럼 30 당신의 ActiveX 는안전합니까? IoT 보안겉핥아보기 04 월간악성코드상세분석 38 Bad Rabbit 랜섬웨어분석 05 모바일악성코드상세분석 52 악성금융탈취앱 Red Alert 2.0 3
01 월간악성코드이슈동향 악성코드보안위협취약점 3
악성코드 ATM 기기노리는멀웨어 ATMii, 정상라이브러리악용 ATM을노리는또다른멀웨어가카스퍼스키에의해발견됐다. 한보안업체는이멀웨어의이름을 ATMii라고붙였다. 이멀웨어가최초로눈에띈것은올해 4월의일로, 주입시키는모듈 (exe.exe) 과주입되는모듈 (dll.dll) 로구성되어있다 는것이특징이라고한다. 이멀웨어를사용하려면 ATM 기기로물리적인접근을해야만한다. 월간악성코드이슈동향확장자를 asasin으로변경하는 Locky 랜섬웨어변종확산... 주의 최근 'asasin' 으로확장자를변경하는 Locky 랜섬웨어변종이악성메일등을통해국내외로다수유포되고있는정황이포착되어이용자들의주의가필요하다. 해당업체는 ATMii의샘플을계속분석해오며주입시키는모듈이 1) 보안장치가없는명령행애플리케이션이며 2) 비주얼 C로작성되었고 3) 가짜컴파일타임스탬프 (4년전시점 ) 가찍혀있다는걸발견해냈다. 또한대부분의 ATM에설치된운영체제인윈도우 XP보다나중에나온윈도우들에서도멀웨어가작동한다는사실도알아냈다. 이주입모듈은 atmapp.exe라는 ATM 소프트웨어프로세스를노리고, 여기에두번째모듈을삽입시킨다. ATMii는공격자들이 ATM을공격하기위해정상라이브러리를악용할뿐만아니라아주소량의코드만을사용한다는것을보여주는사례입니다. 자동거부방식정책과기기에대한통제를강화함으로써방어가가능합니다. 자동거부방식은 ATM 내부 PC에서외부인이임의의프로그램을작동시킬수없게만들고, 기기통제를강화하면물리적인접근을불가능하게만들수있습니다. 출처 : http://www.boannews.com/media/view.asp?idx=57 420&page=1&kind=1 한보안업체에따르면, 이번에 Locky 랜섬웨어유포에활용된이메일은 'Invoice INV0000809' 제목과함께 'Send from my iphone' 내용을포함하고있다. 이는아이폰에서보낸송장 (Invoice) 으로위장하기위한것으로추정된다고밝혔다. 이용자가이메일에첨부된압축파일 'Invoice INV0000809.7z' 에는 'Invoice INV0000494.vbs' 이름의스크립트가존재하고있다. 이용자가무심코파일을실행할경우, C&C에서 Locky 랜섬웨어를다운로드및실행하게된다. 파일암호화가완료되었을경우이용자에게랜섬웨어에감염된사실을알리기위해바탕화면경로에이미지파일 (asasin.bmp), 랜섬노트파일 (asasin.htm) 등을생성한다. 랜섬노트에는암호화된파일을복원해주는대가로토르브라우저를설치하고, 기재된다크넷주소로접속하라는내용을담고있다. 실제다크넷주소에접속할경우 Locky 랜섬웨어복호화안내사이트를확인할수있다. 출처 : http://www.dailysecu.com/?mod=news&act=articl eview&idxno=24635 4
신종랜섬웨어 마이랜섬 출현... 제2의케르베르공포시작되나 우리나라에더욱악명이높은케르베르 (Cerber) 랜섬웨어와유사한신종랜섬웨어가출현했다. 특히, 드라이브바이다운로드 (Drive-by-Download) 기법을통해웹으로유포되고있어국내인터넷사용자들의각별한주의가필요할것으로보인다. 월간악성코드이슈동향히든티어오픈소스기반으로제작된변종매직랜섬웨어주의 최근히든티어 (Hidden Tear) 오픈소스프로젝트를기반으로제작된 매직 (Magic) 랜섬웨어가유포되고있어이용자들의각별한주의가요구된다. 신종랜섬웨어를발견한연구센터에따르면이번랜섬웨어는매그니튜드익스플로잇킷 (Magnitude Exploit Kit) 을통해멀버타이징 (Malvertising) 방식으로유포되고있는것으로확인했다. 센터측은지금까지와는다른형태의신종랜섬웨어로판단해 마이랜섬 (MyRansom) 이라명명했다. 센터는지난 15일부터국내웹사이트에서신종 마이랜섬 의출현을탐지한것으로알려졌다. 이번에발견된 마이랜섬 은 2017년 6월부터지속적으로유포됐던케르베르의변종인케르베르인크립터 (CRBR Encryptor) 와아주유사한특성을보이고있는것으로분석됐다. 마이랜섬 이드라이브바이다운로드형태로유포되고있고, 감염사실을알리는문구인랜섬노트와몸값을요구하는알림창의문구도매우유사하기때문이다. 이번에발견된 마이랜섬 은자신의명백한이름과특정의확장자를갖지않는특성을지닌것으로드러났다. 공격자는몸값으로 마이디크립터 (My Decryptor) 의구매를피해자에게요구한다. 이를근거로센터는해당랜섬웨어를 마이랜섬 (MyRansom) 으로명명했다는설명이다. 출처 : http://www.boannews.com/media/view.asp?idx=57 526&mkind=1&kind=1 히든티어는랜섬웨어오픈소스프로젝트로서, 2015년 8월에교육을목적으로시작됐지만공격자들은이를악용하여랜섬웨어를제작하고있다. 보안업체하우리관계자는 히든티어오픈소스프로젝트는누구나접근이가능하며, 이를이용하여변종랜섬웨어를손쉽게제작할수있다 며 매직랜섬웨어는이러한히든티어오픈소스를기반으로제작된변종랜섬웨어로공격자는공개된히든티어의소스코드보다더많은확장자를암호화시키도록제작했다 고분석했다. 매직랜섬웨어는 AES-256bit 암호화방식을통해감염자의파일을암호화시킨다. 암호화된파일의확장자는.locked 로변경된다. 파일암호화가끝난후, 사용자의배경화면을바꾸고감염사실을알리기위한랜섬노트 (READ_IT.txt) 를생성한다. 해당랜섬노트에는지급방법을설명하는유튜브동영상의주소가포함돼있다. 공격자는약 13만원 (100 유로 ) 상당의비트코인을요구하며, 감염 2일이지난이후에는파일의복구가불가능하다고경고하고있다. 출처 : http://www.boannews.com/media/view.asp?idx=57 573&mkind=1&kind=1 5
우크라이나가경고했던낫페트야급사이버공격 배드래빗 등장 24일 ( 현지시각 ) 동유럽의정부기관, 언론사, 교통기관등수백개조직이랜섬웨어에감염됐다. 피해는주로러시아와우크라이나에집중됐으며, 불가리아, 독일, 터키에서도피해가발생했다. 월간악성코드이슈동향삭제시도하면랜섬웨어로변신하는뱅킹트로이목마, 로키봇 로키봇 (LokiBot) 이라는안드로이드뱅킹트로이목마의새로운버전이발견됐다. 그냥평범한뱅킹트로이목마가아니라, 삭제되지않으려고발버둥치는독한녀석이다. 사용자가로키봇을발견해지우려고하면스스로를랜섬웨어로둔갑시킨다.. 러시아의대형언론사인터팩스에이전시 (Interfax Agency) 를포함해우크라이나의대중교통기관인키예프메트로 (Kiev Metro) 와오데사국제공항 (Odessa International Airport), 그리고각종사회기반시설및금융유관부처도피해를입었다. 현재보안연구자들이배드래빗을집중분석하기시작하면서이번공격과관련한세부사항이점차드러나고있다. 보안업체연구자들은키예프메트로공격시사용된멀웨어가악명높은페트야 (Petya) 멀웨어의새로운변종인 Diskcoder.D 라고밝혔다. Diskcoder.D의가장최신버전은지난 6월전세계에전파된랜섬웨어캠페인, 즉낫페트야멀웨어공격에사용됐다. 연구자들은배드래빗에서발견된 dispci.exe 파일이오픈소스암호화툴인 DiskCryptor 의코드베이스에서나온것이라고설명했다. DiskCryptor는디스크와시스템파티션을암호화하는데쓰이는합법적인툴이다. 이들은블로그포스트를통해 이멀웨어는조작된부트로더 (bootloader) 를설치하고감염된기기의정상적인부팅을방해하는동시에디스크암호화모듈로작동한다 고말했다. 출처 : http://www.boannews.com/media/view.asp?idx=57 673&mkind=1&kind=1 보안업체는로키봇에대해 트로이목마 라고분명히못을박는다. 다른트로이목마들과비슷해요. 인기가많거나유명한앱화면위로가짜로그인팝업을띄워서크리덴셜을훔쳐가죠. 물론모바일뱅킹앱에다가이런조작을할때도있지만, 사용자들이보통같은 ID와비밀번호를모든서비스에사용한다는점에착안, 스카이프, 아웃룩, 왓츠앱등의앱에도이런식의공격을감행합니다. 물론로키봇에는로키봇만의독특한기능이존재한다. 모바일브라우저를열고 URL을로딩할수있으며, SOCKS5 프록시를설치해바깥으로나가는트래픽을우회시킬수있습니다. 또한기기로들어온문자메시지에자동으로답장할수있으며, 감염시킨기기에저장된지인들연락처로문자메시지를전송할수도있습니다. 심지어다른정상앱들로부터온것처럼보이는 가짜통보 를내보내기도합니다. 로키봇은이모든기능들을활용하여사용자들의계좌에돈이입금됐다고믿게끔만든다. 그래서거래은행의모바일앱에접속하여확인하도록유도하는게목적이다. 그과정에서가짜로그인화면을띄워로그인정보를수집하는것이다. 출처 : http://www.boannews.com/media/view.asp?idx=57 672&mkind=1&kind=1 6
보안위협 해커를해킹하는해커들, 제4자수집 때문에첩보분석어려워져 사이버범죄자들이다른해커의툴과전술을모방하기때문에원래공격자를추적하는일이점점더어려워지고있다는연구가나왔다. 월간악성코드이슈동향 " 北해커들, 스피어피싱이메일로美전력회사들공격목표 " 사이버보안社 북한해커들이스피어피싱이메일로미국전력회사들을공격하는것을목표로하고있다는새로운분석보고서가나왔다. 한보안업체는공격자들이다른공격자를해킹한뒤피해자정보와공격툴, 공격기술등을훔쳐내고익스플로잇을조작하는데다똑같은인프라를공격한다는사실을발견했다. 이에따라최초의공격자가누구인지찾는일이매우어려워질것으로보인다. 위협첩보가작동하는방식은대개특정한공격자의패턴을식별하고그와관련한툴을찾는데의존한다. 공격자의패턴과툴을식별하는것은보안연구자들이공격의타깃을찾아내고각기다른공격자행동을구별하는데도움이된다. 그러나해커들이다른공격자를해킹한뒤똑같은툴을사용하고똑같은피해자를겨냥하기시작하면서위협첩보모델이더이상작동하지않게됐다. 정부지원을받으면서외국조직을공격하는해커들이주로이런유형의모방전술을펼치리라짐작하고있다. IT 보안연구자들이이와같은공격을탐지및해석할수있어야하며, 첩보능력을맥락속에서발휘할수있도록해야한다고강조한다. 출처 : http://www.boannews.com/media/view.asp?idx=57 373&mkind=1&kind=1 10일 ( 현지시간 ) 미 NBC뉴스에따르면사이버보안회사는ㄴ고객들에게북한해커들이최근스피어피싱이메일을이용해미전력회사를공격하려는목표를갖고있다는새보고서를보냈다. 북한이보낸스피어피싱이메일은가짜모금행사초대장형태로되어있다고파이어아이는보고서에서전했다. 이메일에첨부된초대장을다운로드하면악성코드가당사자의컴퓨터에침투하게된다. 보고서는북한해커의해킹시도가성공했다는증거를제시하지는않았다. 그러나파이어아이는전력회사를타깃으로한점은잠재적으로파괴적인사이버공격을예고하는것이며, 미국과북한간긴장고조와관련이있을수있다고평가했다. NBC뉴스는지난 8월북한이각종미국인프라를공격하기위해엄청난사이버능력을사용할것으로미정보당국자들은우려하고있다고보도한바있다. 한보안전문가는 NBC뉴스에 " 우리는북한이긴장감이고조되는것에보복하는방법으로사이버를통해우리의특정금융부분을공격할수있다고우려하고있다 " 고말했다. 이어 " 북한은한국에대해선 ( 이미 ) 예술같은공격을하고있다 " 고했다. 출처 : http://www.newsis.com/view/?id=nisx20171011_0 000114744&cID=10101&pID=10100 7
암호화기술적용된장비무력화시키는 덕 공격발견 일부포티넷 (Fortinet) 기기들에서비밀키를노출시키는취약점이발견됐다. ANSI X9.31 난수발생기와하드코드된시드키를함께사용하는기기들이취약한상태 라고한대학의연구원들이발표했다. 이취약점을활용한공격을덕 (DUHK) 이라고이름붙였다. 월간악성코드이슈동향구글, 내부취약점데이터베이스뚫리고리캡챠도뚫리고 보안전문가가구글내부의버그추적시스템을침해해가장심각한취약점들을열람하는데성공했다. 구글은이슈트래커 (Issue Tracker) 혹은버거나이저 (Buganizer) 라고내부적으로부르는구글취약점관리시스템을통해보안전문가들이나버그헌터들이구글제품과서비스에서찾아낸문제들을관리및저장해오고있다. 덕은 하드코드된키를사용하지마세요 의준말 입니다 (Don t Use Hard-coded Keys). 공격자들이 비밀암호화키를탈취해 VPN 통신이나암호화된웹세션을복호화시킬수있도록해줍니다. 즉민감한사업운영용데이터나로그인크리덴셜, 신용카드정보등이이취약점때문에새나갈수있게된다는뜻입니다. 현재까지밝혀진바 FortiOS 4.3.0부터 FortiOS 4.3.18 버전을사용하는 VPN 트래픽은, 암호화된핸드셰이크트래픽을관찰할수있는자에의해복호화되는게가능하다. 약 2만 5천여대의포티넷기기들이덕공격에취약한상태라고한다. X9.31 난수발생기와하드코드된시드키를같이사용하고, 거기서나온결과물을암호화키를생성하는데에사용하면일부키들이암호화되지않은채로전송됩니다. SSL/TLS와 IPsec에서도나타나는현상입니다. 출처 : http://www.boannews.com/media/view.asp?idx=57 706&mkind=1&kind=1 연구원은 이슈트래커의존재에대해전혀알지못했다 고말하며 일부외부인자격으로도이슈트래커를아는사람도있었던것같지만, 우리가아는건빙산의일각에불과했다 고정리한다. 버산은구글의기업메일주소를스푸핑해서시스템의백엔드에침투하는데성공했다. 구글시스템은버산의접근시도에대해 내부직원 이라고판단했고, 각종버그에관한보고서들을열람할수있도록했다. 심지어업데이트를원하는보고서들은표시를해둘수있도록했습니다. 이슈트래커에대해 구글내부적으로유지하는데이터베이스로개발과정에서추가될기능을요구한다거나버그가발견되었을때해당정보를공유하는데사용된다 고설명한다. 출처 : http://www.boannews.com/media/view.asp?idx=57 781&mkind=1&kind=1 8
취약점 4G 5G 취약점, 데이터탈취부터디도스공격까지가능하다 4G 및 5G 무선네트워크의 EPC(Evolved Packet Core) 아키텍처취약점을이용하면모바일데이터를탈취할수있을뿐더러디도스 (DDoS) 공격을가할수도있다는연구가발표됐다. 월간악성코드이슈동향북한사이버공격의단골루트, PMS 취약점도대체뭐길래? 지난 2013년에발생한 3.20 사이버테러에서부터 2015년공기업해킹사건, 2016년정보보호업체및방위산업체해킹, 그리고지난 3월발생한현금인출기 ATM 해킹사건에이르기까지모두한가지공통점이있다. 해당기관과기업모두바로 PMS 취약점을이용해공격당했다는점이다. 한보안업체는최근 EPC의 GTPv2 프로토콜에서치명적인취약점을발견했다. EPC는컴포넌트간정보를교환하기위해독특한인터페이스를갖고있는데 GTPv2 프로토콜에서데이터암호화메커니즘이덜갖춰져있다는사실이밝혀진것이다. 이것뿐만아니라 4G 네트워크에서는최근취약점이연이어나타나고있다. 그예로, 국제모바일가입자구별자캐처 (IMSI-catcher) 를좀더쉽게스누핑 (Snooping) 하도록만드는취약점이있고, 다이어미터프로토콜 (Diameter protocol) 을이용해 4G 및 5G 기기에디도스공격을가하게만드는취약점등이있다. TEID(Tunnel Endpoint Identifier) 에무차별대입공격을가하는디도스공격자들이다중의휴대전화가똑같은 GTP 터널을통해작동한다는사실을이용해단한번의공격으로수많은사용자들의연결을끊어버릴수도있다고경고했다. 또한 4G 네트워크상의이같은취약점을노리는공격자들에게얻기힘든툴이나대단한능력이필요치도않다고덧붙였다. 출처 : http://www.boannews.com/media/view.asp?idx=57 380&page=1&kind=1 패치관리시스템 (Patch Management System) 을의미하는 PMS는백신, OA, OS 등업데이트관리시스템으로, 북한에서우리나라를공격할때단골로사용하는게 PMS 취약점을악용한공격이다. PMS 취약점의주요원인으로는 PMS와연결되는포트 (Port) 취약점 프로토콜사용취약점 명령어에대한유효성검증이되지않다는점 PMS 솔루션공급및제조업체의영세성등이문제로꼽히고있다. PMS 포트취약점과관련해한국인터넷진흥원연구원은 PMS 취약점은북한에서자주이용하는취약점공격으로지난 3월에발생한 ATM 해킹사건의경우업데이트서버의특정포트로악의적인명령어를전송함으로써소프트웨어업데이트를위해특정포트접속을대기중이던내부업데이트서버를장악했다 며 서버를장악한해커는업데이트대상인소프트웨어사용 PC에명령을내리거나악성코드에감염시켰다 고설명했다. 출처 : http://www.boannews.com/media/view.asp?idx=57 389&mkind=1&kind=1 9
02 이달의 TOP 파일암호화에부팅도불가능하게하는레드부트 (RedBoot) 랜섬웨어감염주의광고프로그램모듈을통해유포되는 AllCry 랜섬웨어유포주의오픈소스로개발된매직 (Magic) 랜섬웨어유포주의한국어시스템만공격하는마이랜섬 (MyRansom) 유포주의 Flash Player 업데이트파일을위장하여유포되는 Bad Rabbit Ransomware 매트릭스 (Matrix) 변종랜섬웨어감염주의 10
이달의 TOP 파일암호화에부팅도불가능하게하는레드부트 (RedBoot) 랜섬웨어감염주의 개요 최근파일암호화에부팅잠금기능까지더해진랜섬웨어가발견되어국내사용자들의각별한주의가 요구된다. 내용 레드부트랜섬웨어는사용자 PC의파일들을암호화할뿐만아니라 PC 부팅에참조되는 MBR(Master Boot Record) 영역을 boot.bin 파일로덮어씌워재부팅시윈도우접근을불가하도록한다. 감염된사용자시스템은복구할수없다. 해당랜섬웨어는감염시특정경로에 [ 그림 1] 과같이 5개의파일을생성한다. - 파일생성경로 : C:\Users\ 사용자PC명 \[ 랜덤 8글자 ] [ 그림 1] 생성된 5 개의파일 레드부트랜섬웨어는사용자 PC 명을기반으로파일암호화키를만들고특정경로에 5 개의파일을생 성한다. [ 그림 2] 는각 5 개파일의역할과동작과정을나타낸것이다. 11
이달의 TOP [ 그림 2] 각파일의동작과정도식화 - boot.asm : 재부팅시 MBR영역에덮어쓰는파일 (boot.bin) 을생성하는어셈블리파일 - assembly.exe : boot.asm을 boot.bin으로컴파일 - overwrite.exe : 생성된 boot.bin을 MBR(Master Boot Record) 영역에덮어씌움 - main.exe : 해당랜섬웨어의자가복제파일 - protect.exe : Taskmgr, ProcessHacker 프로세스실행차단 assembly.exe 는어셈블리어파일을컴파일해주는정상프로그램이다.( 원본파일명 : nasm.exe) 해당프로 그램을이용하여 boot.asm 를컴파일한다. [ 그림 3] assembler.exe 의원본파일명 (nasm) 12
이달의 TOP [ 그림 4] boot.asm 파일의내용중일부 컴파일이완료되면 assembly.exe 는삭제되고 overwrite.exe 를이용해 MBR(Master Boot Record) 영역을 boot.bin 파일로덮어씌운다. [ 그림 5] 컴파일되어생성된 boot.bin 레트부트랜섬웨어는 protect.exe 를실행시킨후 AES-256 암호화방식으로파일을암호화한다. protect.exe 는 Taskmgr, ProcessHacker 프로세스의실행을차단한다. 13
이달의 TOP [ 그림 6] 파일암호화후확장자명이.locked 로변경된모습 [ 그림 7] 암호화전 ( 위 ), 암호화후 ( 아래 ) 파일의암호화가끝나면시스템을강제로재부팅하고 [ 그림 8] 과같이사용자에게감염사실을알린다. 14
이달의 TOP [ 그림 8] 재부팅후감염화면 레드부트랜섬웨어는파일암호화와부트영역잠금을동시에진행한다. 특히시스템자체복구가 불가능하도록만들기때문에더욱더사용자들의주의를요한다. 바이로봇업데이트내역 Trojan.Win32.Z.Agent 외다수 작성자 : ch2exe 15
이달의 TOP 광고프로그램모듈을통해유포되는 AllCry 랜섬웨어유포주의 개요 최근웹하드업체프로그램을통해 AllCry 랜섬웨어가유포되고있다. 특히국내에이미감염사례가발 생했기때문에사용자들의각별한주의를요한다. 내용 연휴시작과동시에국내웹하드를통해 "AllCry 랜섬웨어 " 가유포된정황이포착되었다. 해당랜섬웨어는지난달말에최초로발견되었으나추석연휴시작과동시에본격적으로유포되기시작했다. AllCry 랜섬웨어에감염시 PC 내주요파일이암호화되고확장자가 ".allcry" 로변경된다. 또한암호화대상확장자목록에한글문서파일인 "hwp" 가포함된점으로보아국내사용자를대상으로하고있음을확인할수있다. [ 그림 1] 암호화된파일 감염 PC 의정보를서버로전송한다. 서버는해킹당한것으로추정되는국내모사이트며해당사이트의 /css/count.php 페이지를활용한다. [ 그림 2] 감염 PC 정보전송 Allcry 는영어, 한국어, 중국어총 3 개국어를지원하고있으며메뉴에서선택한언어로비트코인지불정 보를출력해준다. 16
이달의 TOP [ 그림 3] 리소스영역에존재하는랜섬노트 text [ 그림 4] 언어별랜섬노트 사용자의주요파일을모두암호화한후사용자에게감염사실을알리는데감염사실을알리는창에 " 주소 " 가 " 주수 " 로잘못기재되어있는것을확인할수있다. 같은창에다른 " 주소 " 라는단어에는오타가없으나한군데에서오타가발생한것으로보아한국어를할수있는제작자가직접감염안내문구를작성한것으로추정된다. 17
이달의 TOP [ 그림 5] 감염확인 AllCry 랜섬웨어는워너크라이랜섬웨어처럼특정사이트에접속하는경우사용자의 PC를감염시킨다. 그러나해당사이트에서랜섬웨어와통신하지않도록조치가된것으로보인다. 현재 AllCry 랜섬웨어는해당사이트에접속하지못해더이상사용자의 PC를감염시키지않는다. 하지만또다른사이트를이용하는변종이등장할수있기때문에아직안심하기는이르다. 바이로봇업데이트내역 대표진단명 Trojan.Win32.Ransom 대표진단명 Trojan.Win32.AllCry 작성자 : IAMTH, herme_dike, kino 18
이달의 TOP 오픈소스로개발된매직 (Magic) 랜섬웨어유포주의 개요 최근히든티어 (Hidden Tear) 오픈소스프로젝트를기반으로제작된 " 매직 (Magic)" 랜섬웨어가유포되고있다. 히든티어는랜섬웨어오픈소스프로젝트로 2015년 8월에교육을목적으로시작되었지만최근공격자들은이를악용하여랜섬웨어를제작하고있다. 내용 히든티어오픈소스프로젝트는누구나접근이가능하며이를이용하여변종랜섬웨어를손쉽게제작할수도있다. 매직랜섬웨어는히든티어오픈소스를기반으로제작된변종랜섬웨어이다. 공격자는공개된히든티어의소스코드보다더많은확장자를암호화시키도록제작하였다. [ 그림 1] 히든티어와매직랜섬웨어의암호화대상확장자비교 매직랜섬웨어는 AES-256 암호화방식을사용하여파일을암호화시키며암호화된파일의확장자는 ".locked" 로변경된다. 파일암호화가끝난후사용자의바탕화면을바꾸고감염사실을알리기위한랜섬노트 (READ_IT.txt) 를생성한다. 랜섬노트에는몸값지불방법을설명하는유튜브동영상의주소가포함되어있다. 공격자는약 13만원 (100유로) 상당의비트코인을요구하며감염후 2일이지난시점부터는파일의복구가불가능하다고경고한다. 19
이달의 TOP [ 그림 2] 암호화가끝난뒤, 변경되는배경화면 [ 그림 3] 바탕화면에생성되는랜섬노트 히든티어프로젝트의랜섬웨어는악성코드에포함된공격자의주소로암호화키등의감염정보를보내는기능이존재한다. 공개된소스코드는감염정보를 "http://www.example.com" 으로전송하는데매직랜섬웨어는해당부분을수정하지않고그대로사용하였다. 따라서공격자는복호화키를가지고있지않기때문에비트코인을지급해도파일에대한복구가불가능하다. [ 그림 4] 히든티어프로젝트의감염정보전달관련소스코드 최근전세계적으로랜섬웨어에대한연구가진행되면서교육을목적으로한랜섬웨어오픈소스프로젝 트가생겨나고있다. 교육목적이지만이를악용하여개발경험이적은공격자들도손쉽게변종랜섬웨 20
이달의 TOP 어제작이가능하기때문에주의해야할필요가있다. 바이로봇업데이트내역 대표진단명 Trojan.Win32.S.Magic.220160 작성자 : UH4CK3R 21
이달의 TOP 한국어시스템만공격하는마이랜섬 (MyRansom) 유포주의 개요 최근한국어시스템만집중공격하는매그니베르 (Magniber) 랜섬웨어가유포된사실이알려졌다. 해당랜섬웨어는매그니튜드 (Magnitude) 와케르베르 (Cerber) 랜섬웨어의합성어로케르베르랜섬웨어에서변형되어매그니튜드익스플로잇킷 (Magnitude Exploit Kit) 을통해유포되는신종랜섬웨어이다. 또다른이름으로는마이랜섬 (MyRansom) 이라고도불린다. 금번에발견된랜섬웨어는국내사용자들을타깃으로하는만큼각별한주의가요구된다. 내용 최근에한국어시스템만집중공격하는매그니베르 (Magniber) 랜섬웨어가유포된사실이알려졌다. 해당랜섬웨어는매그니튜드 (Magnitude) 랜섬웨어와케르베르 (Cerber) 랜섬웨어의합성어로케르베르랜섬웨어에서변형되어매그니튜드익스플로잇킷을통해유포되었다. 이랜섬웨어를최초로발견한한사이버보안연구센터는해당랜섬웨어를 ' 마이랜섬 (MyRansom)' 이라고명명하였다. 해당랜섬웨어는매그니튜드익스플로잇킷을통해광고사이트에악성코드를심는멀버타이징방식으로유포된것으로확인되었다. [ 그림 1] 은파일암호화를진행하기전에시스템의언어가한국어인지확인하는코드이다. [ 그림 1] 시스템언어환경을확인하는코드 마이랜섬랜섬웨어는사용자의주요파일을암호화하고파일확장자를 '.kgpvwnr', '.ihsdj' 등으로변경한 다. 암호화대상확장자에는 '.hwp' 도포함되어있다. [ 그림 2] 파일암호화 22
이달의 TOP 공격자는작업스케줄러에마이랜섬실행파일과랜섬노트를등록하여 15 분마다실행을반복하도록설 정한다. [ 그림 3] 작업스케줄러등록 해당랜섬웨어는케르베르의변종인케르베르인크립터 (CRBR Encryptor) 와유사점이많다. 특히유포방 식을포함하여감염사실을알리는랜섬노트와몸값을요구하는 Decryptor 가매우유사한것으로확인 되었다. [ 그림 4] 케르베르와마이랜섬랜섬노트비교 랜섬노트에적혀있는다크넷주소로접속할경우비트코인결제를유도한다. 23
이달의 TOP [ 그림 5] My Decryptor 금번에발견된랜섬웨어는한국어시스템만을공격하는신종랜섬웨어로매그니튜드익스플로잇킷을 통해유포되었다. 해당랜섬웨어는케르베르의뒤를이어지속적으로유포될것으로예측된다. 따라서 사용자스스로중요문서에대한백업을하는등국내사용자들의각별한주의가요구된다. 바이로봇업데이트내역 대표진단명 Trojan.Win32.MyRansom 작성자 : picker 24
이달의 TOP Flash Player 업데이트파일을위장하여유포되는 Bad Rabbit Ransomware 개요 최근해외에서많은사용자를보유하고있는 Adobe 사의 Flash Player 업데이트파일을위장하여랜섬웨 어가유포되고있어사용자들의각별한주의가요구된다. 내용 "Bad Rabbit Ransomware" 는사용자가웹사이트에방문하면드라이브바이다운로드 (Drive-By- Download) 방식을사용하여사용자의시스템을감염시킨다. 위장된 Flash Player 업데이트파일이실행될경우악성파일이생성되며생성된파일은다음과같은중요기능을포함하고있다. - AES 암호화방식을사용하여파일을암호화 - 자격증명확인후 SMB를통한네트워크확산 - MBR을수정하여감염된사용자의컴퓨터부팅시감염사실을알리고비트코인결제를유도 [ 그림 1] 감염확장자목록 25
이달의 TOP [ 그림 2] 랜섬노트 파일이동작하는과정에서사용자의시스템에 "C:\Windows\cscc.dat" 이존재할경우악성코드가정상 적으로동작하지않기때문에임시로파일을생성하여랜섬웨어에감염되지않도록예방할수있다. 바이로봇업데이트내역 대표진단명 Trojan.Win32.Ransom 작성자 : IAMTH 26
이달의 TOP 매트릭스 (Matrix) 변종랜섬웨어감염주의 개요 지난 7 월에이어최근매트릭스랜섬웨어가다시발견되어국내사용자들의각별한주의가요구된다. 내용 이전매트릭스랜섬웨어는 불법사이트에접속했으니벌금을내놓으라 는내용이었으나금번에발견된매트릭스랜섬웨어는 파일이암호화되었으니복호화를원하면이메일을보내라 는내용만포함되어있다. [ 그림 9] 매트릭스의감염화면 해당랜섬웨어는 %TEMP% 경로와 %AppData%\[ 랜덤명폴더 ] 경로에자가복제후실행된다. 파일암호 화완료후에는배치파일을이용해원본랜섬웨어파일과자가복제한랜섬웨어파일을삭제한다. 27
이달의 TOP [ 그림 10] 자가복제한파일을삭제하는배치파일생성 [ 그림 3] 과같이사용자의주요파일을감염시킨후이전의매트릭스랜섬웨어와같이암호화된파일의 확장자는변경하지않는다. [ 그림 11] 확장자변경없이암호화된파일과생성된 RTF 파일 금번발견된매트릭스랜섬웨어는바탕화면내용과감염사실을알리는데쓰이는 RTF 파일명이변경되었다. 변경전 :!WhatHappenedWithMyFiles!.rtf 변경후 : #_#WhatWrongWithMyFiles#_#.rtf [ 그림 4] 는각폴더에 RTF 파일을생성하여감염사실을알리는모습이다. 공격자는 juche 라는계정의 Yahoo, Tutanota 메일주소를제시하며사용자에게복호화를원하면자신에게메일을보낼것을요구한 다. 28
이달의 TOP [ 그림 12] #_#WhatWrongWithMyFiles#_#.rtf 파일의내용 최근조용했던매트릭스랜섬웨어가국내에다시유포되고있으니사용자들의각별한주의가요구된다. 취약한응용프로그램의업데이트나바이로봇백신을통해랜섬웨어로부터시스템을보호할수있다. 바이로봇업데이트내역 Trojan.Win32.R.Agent 작성자 : ch2exe 29
03 보안컬럼 당신의 ActiveX 는안전합니까? IoT 보안겉핥아보기 30
당신의 ActiveX 는안전합니까? 본컬럼에서는실제사례에서사용된취약점을임의의환경에서재현하여분석하였습니다. " 계절이지나가는하늘에는가을로가득차있는 10월, 그녀석이다시돌아왔다." 보안컬럼 ActiveX는사용자 PC에설치된버전에따라 Javascript 코드를실행시킬수있다. 일반적으로해당기능은 ActiveX의버전업데이트를위해사용된다. 이번사례에서는다음과같은방법으로버전을검증하여최신버전이아닐경우악성스크립트 (Exploit.html) 를호출하는방식을사용했다. 2017년 10월, 모사이트에서악성코드를유포하기시작했다. 다급하게유포방식을조사한결과, 특정 ActiveX의취약점을이용하여악성코드를유포하고있는것을확인할수있었다. 흥미롭게도악성코드유포에사용된 ActiveX는지난 5월제로데이취약점을통해다른악성코드를유포한전과가있는녀석이었다. 그럼이번에도제로데이를사용한것일까? 다행히도아니었다. 공격자는지난 5월애사용한취약점과동일한취약점을사용했으며해당 ActiveX는제조사에서보안패치가된모델을배포했다. 따라서, 이론상으로는최신버전의 ActiveX로업데이트를했다면취약점으로부터안전한상황이었다. 하지만 PC에설치된모든 ActiveX를항상최신으로유지하는사람들의수가얼마나될까. ActiveX의취약성에대해서끊임없는논란이제기되는시점에서본컬럼을통해이번사례에사용된 ActiveX 취약점을분석하고자한다. 1. 공격대상 ActiveX 호출 ActiveX의취약점을이용하기위해서는 " 호출과제어 " 가필요하다. CLSID를이용하여공격하고자하는 ActiveX를호출한뒤해당 ActiveX를제어하는스크립트를통해취약점을사용하여원하는명령을수행시킬수있다. ActiveX의호출에는 HTML의 Object 태그를사용할수있다. classid 속성에 CLSID를지정한뒤 codebase 속성을이용하여버전검사등이가능하다. [ 그림 2] 버전검사를통한악성스크립트호출 2. 악성스크립트의구조호출된악성스크립트는 ActiveX의설치여부를검사하는영역과실제악성행위가이루어지는영역으로구성되어있다악성행위가이루어지는영역에는공격에사용되는악성스크립트가 16진수 (Hex) 아스키코드로난독화되어있다. 해당스크립트는 ActiveX의특정함수를호출하여취약점을사용하는과정에서사용된다. 최초로스크립트가실행되면 ActiveX의설치여부를검사하는함수가호출되어사용자 PC의 ActiveX 취약여부를검사한다. 취약한 ActiveX가설치되어있을경우난독화된스크립트가복호화되어 ActiveX의취약점을사용하는구조이다. [ 그림 1] ActiveX 호출및버전검사 31
보안컬럼 스크립트를호출한뒤 Javascript의출력함수를사용하면간단하게평문을얻어낼수있다. 이와같은방법은 16진수아스키코드난독화방식뿐만아니라다양한 Javascript 난독화를해제하는데에도많이쓰이는방식이다. 따라서가장큰배열인 _0xf4fd를확인하기위해 "document.write" 함수를사용한다. [ 그림 4] _0xf4fd 배열의내용 [ 그림 3] 난독화된악성스크립트 출력된 _0xf4fd 배열의내용을참조하여전체적인 공격스크립트코드를보기쉽게다시작성하면 다음과같은구조를확인할수있다. 2-1. 악성스크립트의요소해당스크립트는 obj 객체에할당된 ActiveX를제어하는행위를한다. 스크립트의구성요소는다음과같다. Var Info obj ActiveX가할당되어있는객체 _0xf4fd 16진수 Ascii가저장된배열 _0xe12f _0xf4fd를통해만들어지는배열 str 드롭되는 update.js의내용 [ 표 1] 악성스크립트에서사용하는주요변수 _0xe12f 배열을참조하여만들어진 str 변수는최종적으로공격자의 C2서버에서악성파일을다운로드받아실행시키는 update.js 파일에삽입되는내용이다. 2-2. 악성스크립트의복호화 16 진수아스키코드로난독화된스크립트의복호 화는생각보다단순하다. 브라우저를통해해당 [ 그림 5] 공격스크립트의구조 3. 악성스크립트분석 취약점에사용되는 ActiveX 는 obj 객체로할당되 32
어사용된다. 이후할당된 obj 객체가가지고있는 Method(Function) 를이용하여 C2서버로부터악성코드를다운로드받아실행시킨다. 보안컬럼 호출하여값을 0x63(10 진수 99) 으로지정해주는 방식을사용했다. 3-1. ActiveX의취약점취약점이있는 ActiveX는파일의생성, 삭제, 복제, 이동뿐만아니라레지스트리관리, 특정파일실행및프로세스생성등의기능을포함하고있다. 누구나 CLSID를이용하여이러한 ActiveX를호출하는웹사이트를제작할수있으며이를악용하여접속자 PC에각종명령을실행시킬수있다. rdeletefilea, rdeletefilew, runregsvra, rmovefilea, rmovefilew, rmovefileexa, rmovefileexw, risfilealreadyopen, rregcreatekeya, rregcreatekeyw, rregcreatekeyexa, rregcreatekeyexw, rregclosekey, rregdeletekeya, rregdeletekeyw, rregopenkeyexa, rregopenkeyexw, ndestdir[out, retval], ndestdir[in], rdeletefile, rmovefile, rmovefileex, rregcreatekey, rregcreatekeyex, rregdeletekey, rregopenkeyex, rcreateprocess, rshellexecute, rrdsavedlg, rwriteprivateprofilestring, rcopyfile, rcopyfileex, rregsetvalueexa, rregsetvalueexw, rregsetvalueex, rregenumkeyexa, rregenumkeyexw, rregenumkeyex [ 그림 6] 해당 ActiveX가제공하는함수 [ 그림 8] rcreateprocess 함수실행조건우회실행조건에대한검증이끝난뒤브라우저에대한검증을시작한다. 현재 ActiveX가호출된브라우저를검사하여 internet explorer, chrome, safari, firefox, opera 중한개의브라우저를사용할경우에만동작하도록설계되어있다. 모든검증을마친후에는 CreateProcessW 함수를통해 rcreateprocess 함수의명령인자로전달받은값을프로세스로실행시킨다. [ 그림 9] rcreateprocess 함수의명령실행 실제사례에서 rcreateprocess, ndestdir 함수를호출하여사용했기때문에필자는공격자가호출한함수의쓰임새를분석하기위해 ActiveX의메인 DLL을분석해보았다. 다음과같은두명령어가 rcreateprocess 함수를 통해실행된다. 이에따라 update.js 파일이생성되 고 cscript.exe 에인자로전달되어실행된다. [ 그림 10] rcreateprocess 함수로전달된명령 [ 그림 7] rcreateprocess 함수의시작지점 rcreateprocess 함수의시작지점을분석한결과 lpsz( 호출된객체 ) 의 0x48번째값이 99인지를검사하는루틴이있으며해당조건을만족해야지만함수가동작하도록설계가되어있다. 공격자는해당조건을우회하기위해 ndestdir를 생성된 update.js 파일은최종적으로악성코드를 다운로드받아실행시키는역할을한다. 33
보안컬럼 [ 그림 11] update.js의구조 3-2. 악성코드의생성및실행과정스크립트를분석해보면외부링크로부터악성코드바이너리파일을다운로드받아 MZ 헤더를추가하는부분이존재한다. 실제사례에서백신의탐지를우회하기위해다운로드받아지는악성코드의 MZ(4D5A) 헤더를누락하고유포했기때문이다. 따라서공격자는 update.js를통해서버로부터악성코드를다운로드받아저장 (conhost.tmp) 한뒤해당파일에 MZ 헤더를추가하여실행가능한 PE파일 (iexplore.exe) 로수정하는방식을사용했다. PE파일로수정된악성코드 (iexplore.exe) 는명령프롬프트 (cmd) 의 at 옵션을통해서스케줄러에등록된다. update.js는감염pc의로컬시간을가져온뒤 1분을추가하여스케줄러에등록한다. 1분이지나면해당악성코드는동작하기시작한다. [ 그림 12] 악성코드다운로드및실행과정 4. 마치며... 국내에서는예전부터 ActiveX에대한관심이뜨겁다. 특히나 ActiveX의보안성에대한부정적인의견들이많은게사실이다. 그럼에도불구하고아직까지도많은웹사이트들이 ActiveX 보안모듈설치를권고하고있다. 심지어는설치하지않을경우해당웹사이트를이용할수없도록만들어놓기도한다. 보안을위해설치하는프로그램이보안을위협하는상황이발생하는것이다. 당연히모든 ActiveX가취약하다고는할수는없다. 또한취약점이발생한 ActiveX는빠른시일내에보안패치를통해최신버전이공개되기도한다. 하지만 ActiveX를사용함에있어동반되는잠재적보안위협과떨어지는가용성은분명문제가될수있다고생각한다. " 당신의 ActiveX는안전합니까?" 작성자 : UH4CK3R 34
IoT 보안겉핥아보기 과거의통신은사람과사람사이에서필요로했다. 통신이발전하면서많은정보를생산하고인터넷이라는매체를통해수많은정보가오가고있다. 이제는사람에서사람뿐아니라사람과사물 (Things) 을넘어사물과사물이통신하게되었다. 여기서말하는사물은냉장고, 세탁기, 의료기기들이다. 이러한사물들이인터넷에연결해정보를쌓고분석을하고그정보를바탕으로무언가를하는것이다. 이것이이글에서말하고자하는 IoT (Internet of Things) 다. 보안컬럼 냉장고, 세탁기부터 TV, 의료기기까지다양한 IoT 장비는사용자의생활방식뿐만아니라수많은개인적인정보들을가지고있을수있다. 수많은개인정보를가지고있는장비가공격을받는다면어떤일이일어날지는상상이상으로위험할것이다. 약일년전에출현한미라이 (Mirai) 봇넷의경우 IoT 기기를대상으로구성된봇넷이었다. 이봇넷에감염된 IoT 제품들은좀비가되어공격자가마음대로제어를할수있게된다. 이사례로해외인터넷도메인서비스업체인 Dye라는업체가 DDoS 공격을받아미국동부지역이인터넷이마비되기도했다. 독일통신사인도이치텔레콤 (Deutsch Telekom) 도같은공격을받아백만명가까이되는고객들이인터넷사용에어려움을겪었다. 이봇넷은외국뿐만아니라국내에서도많이발견되고있어보안업체들은해당악성코드에대한대비를하고있다. [ 그림 1] Internet of Things IT 분야는발전속도가매우빠르다. 발전에발전을거치면서요즘트랜드인클라우드, 빅데이터, 머신러닝같은기술의최전선에있다고볼수있다. 사물인터넷은전혀새로운개념은아니다. 예전부터있었던사물통신을시작으로 NFC, 블루투스와같은기술과과거에자주언급되었던유비쿼터스라는개념을기반으로새롭게발전한기술이라고생각하면쉽다. 이러한기술들을합쳐 IoT 또는 IoE (Internet of Everything) 라고하는데최근에는 IoT라고통용한다. IoT의사전적정의는 일상의사물들이네트워크에연결되어데이터를주고받을수있는인터넷이발달한형태 라고정의한다. 개념이모호하다면 SK telecom에서 12년도에만든 가능성의릴레이 라는 1분짜리영상을보면쉽게이해할수있다. IoT 장비는이글을읽기전까지손에있었던스마트폰부터시작이된다. 최근에나온가전제품들에도실제로많이적용되어있다. 앞에서언급한 [ 그림 2] github에공개된미라이 (Mirai) 소스공격자들이어떤식으로공격을진행을하는지생각해볼수있다. 그들은공격하고자하는 IoT 기기를공급하는업체에대한정보부터기기매뉴얼과관련문서까지다양한정보를수집할것이다. 이렇게수집된정보를바탕으로해당기기가어떻게다른기기와통신을하는지, 어떠한프로토콜을이용하는지, 어떠한정보가어디서어디로넘어가게되는지를자기들만의방식을이용하여알아보기쉽게도식화를할것이다. 그리고그들이원하는정보를얻기위해서어느부분을공격할것인지필요한기술이무엇인지에대해연구하고공격을진행할것이라예상할수있다. 이제이러한연구를통해영역별로예상가능한 35
공격에관해이야기를해보자. IoT는크게 3가지영역으로나눌수있다. IoT는임베디드기기, 소프트웨어, 무선통신을필수로필요로한다. 먼저개인적으로 IoT의핵심요소라고생각되는임베디드기기에대해간략하게이야기하고자한다. 임베디드기기는두가지로나누어생각해볼수있다. 다른기기및중앙장치와연결을해주는역할을하는 게이트웨이 (Gateway) 와기기에서작동을하면서제작자혹은사용자가원하는대로인식하고작업을하는 작동장치 로구성된다고볼수있다. 공격자가공격할수있는부분은다른임베디드기기에서도볼수있는부분이다. 이를확인하기위해서기기의펌웨어를직접추출하여취약점을확인하거나최상위권한인루트에접근할수있는포트를통해직접연결하여통신을시도한다. 다음으로통신하는과정에서발생할수있는공격에대해알아보고자한다. 장치와장치, 또는위에서언급한장치와애플리케이션, 웹페이지등이통신을하게된다. 가장많이사용하는통신프로토콜은인터넷에연결하기위한 WiFi이며이동통신 (Cellular) 부터 Bluetooth Low Energy(BLE), zigbee 등과같은근거리통신을위한프로토콜을사용할수도있다. 이러한프로토콜들은많이사용되고있어그만큼해커들의공격을많이받는다. 최근에발생한 WAP2 취약점만보더라도알수있다. WAP2는최근까지안전하다고알려져있었다. 하지만불과며칠전 KRACK 공격이공개되었다. 사용자기기와 WiFi 공유기간교신절차과정에서인증및암호화키생성이진행되는데이때암호화키가노출되는문제가존재하여이를이용해공격이가능하다. US-CERT팀에따르면이취약점을이용하여암호화된데이터를해킹하거나가짜사이트로유도하여데이터를가로채기, 패킷재생등을이용하여신종피싱에노출될수있다고한다. 보안컬럼 [ 그림 3] 취약점발견자가만든홈페이지마지막으로알아볼인프라는소프트웨어부분이다. 사람이개발한소프트웨어는기기의펌웨어부분에서예상하지못한버그들로인한공격이발생할수도있다. 그외에도장치를제어하거나모니터링을하기위해사용하는웹페이지, 기기, 애플리케이션등이기기와직접적인연결점이되어해당부분을통해공격또는정보유출이이루어질수있다. [ 그림 4] IoT연결망및주사용통신예시앞에서 3가지인프라에대한공격가능성에대해간략하게설명을했다. 사용자가많이사용하는인프라가있다면해커들을분명히해당인프라를노린공격을할것이다. 이러한공격에대비하기위해가장좋은방법은기기의최신업데이트를꾸준히하는것이다. 앞에서설명한 KRACK 공격의경우에도애플은이미패치를했기때문에문제가없다는견해를밝혔다. 그리고마이크로소프트, 구글, 삼성, 시스코, 인텔등과같은업체들은앞으로몇주안에해당공격에대응하기위한패치를제공한다고밝혔다. 삼성의경우최근에하 36
보안컬럼 드웨어와소프트웨어를결합한 IoT용보안솔루션도공개하였다. 해당솔루션의경우해킹을감지하는즉시동작을중지시키고초기화시킨다고설명하고있다. 이처럼많은보안업체에서는 IoT 영역을예의주시하며여러보안제품을만들고있다. 보안을위해서조금번거롭더라도추가적인제품을구매하는것도좋은방법이다. 마지막으로가장중요한것은사용자의보안의식이다. 아무리비싸고좋은보안제품이있더라도사용자의부주의로인해공격자에게틈을보여주게된다면귀중한정보들이새어날수있기때문이다. 다음기회에는각영역에대해좀더자세한이야기를할수있도록해보겠다. 작성자 : Cjinzy 37
보안컬럼 04 월간악성코드상세분석 Bad Rabbit 랜섬웨어분석 38
월간악성코드상세분석 Bad Rabbit 랜섬웨어분석 개요 10월 24일, Bad Rabbit이라는랜섬웨어가유럽전역을강타했다. 랜섬웨어가전파된지몇시간만에러시아, 우크라이나, 독일, 일본, 터키등의 200개주요기관에영향을미칠만큼파급력이상당하였다. 최초감염은가짜어도비플래시업데이트를통해배포되었다고알려져있다. Bad Rabbit에감염되면제한시간 40시간이남았다는결제페이지를보여주며 0.05 비트코인 ( 약 32만원 ) 비용지불을유도한다. 꾸준히세계각국을노리는랜섬웨어! 이번호상세분석에서는유럽을강타한 Bad Rabbit 랜섬웨어를분석해보려한다. 악성코드아이콘위장 [ 그림 1] 어도비플래시플레이어아이콘위장 악성코드분석 Install.exe 에서드랍된 infpub.dat 파일을 rundll32.exe 를통해실행한다. [ 그림 2] 추가악성모듈실행 Mutex 를체크하여중복동작되지않도록한다. 39
월간악성코드상세분석 [ 그림 3] Mutex 생성 리소스영역에서특정데이터를로드한후복호화하여파일을생성한다. - cscc.dat: DiskCryptor Driver [ 그림 4] cscc.dat 리소스복호화 40
월간악성코드상세분석 - dispci.exe: DiskCryptor Client [ 그림 5] dispci.exe 리소스복호화 dispci.exe 파일생성후다음과같이스케줄러에등록하여동작하도록한다. [ 그림 6] dispci.exe 스케줄러등록 DiskCryptor Driver 를동작시키기위해부팅시서비스가시작되도록등록한다. [ 그림 7] cscc.dat 서비스및필터등록 41
월간악성코드상세분석 특정시각에재부팅되도록스케줄러를등록한다. [ 그림 8] 재부팅스케줄러등록 흔적을지우기위해이벤트로그를삭제한다. [ 그림 9] 이벤트로그삭제 파일암호화 암호화를위해 AES-128-CBC Key 를생성한다. [ 그림 10] AES-128-CBC Key 생성 암호화를위해 Public Key 를설정한다. [ 그림 11] RSA-2048 Public Key 암호화진행전 Readme.txt 이름으로랜섬노트를생성한다. 42
월간악성코드상세분석 [ 그림 12] 랜섬노트 파일의암호화를수행하기전확장자매칭을통해파일감염여부를선택한다. 감염대상확장자 리스트는다음과같다. 제외폴더 : \Windows, \Program Files, \ProgramData, \AppData.3ds.7z.accdb.ai.asm.asp.aspx.avhd.back.bak.bmp.brw.c.cab.cc.cer.cfg.conf.cpp.crt.cs.ctl.cxx.dbf.der.dib.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.hpp.hxx.iso.java.jfif.jpe.jpeg.jpg.js.kdbx.key.mail.mdb.msg.nrg.odc.odf.odg.odi.odm.odp.ods.odt.ora.ost.ova.ovf.p12.p7b. p7c.pdf.pem.pfx.php.pmf.png.ppt.pptx.ps1.pst.pvi.py.pyc.pyw.qcow.qcow2.rar.rb.rtf.scm.sln.sql.tar.tib.tif.tiff.vb.vbox.vbs.vcb.vdi.vfd.vhd.vhdx.vmc.vmdk.vmsd.vmtm.vmx.vsdx.vsv.work.xls.xlsx.xml.xvd.zip [ 표 1] 암호화대상확장자리스트 생성된키를이용하여파일암호화를진행한다. 암호화후파일끝에 Unicode encrypted 문자열을 삽입하여표시한다. 43
월간악성코드상세분석 [ 그림 13] 파일암호화 네트워크전파 네트워크를통해전파를하기위해다음과같이로컬호스트주소, 어댑터정보, IP, 서버등을체크한다. 44 [ 그림 14] 네트워크전파사전준비
월간악성코드상세분석 ( 숫자 2 자리랜덤 ).tmp 파일을만든후생성된 Guid 값을이용하여파이프통신을한다. [ 그림 15] Guid 생성후파이프통신 admin$ 공유폴더를통해전파하기위해 WNetOpenEnumW API 를이용한네트워크드라이브목록과 CredEnumerateW API 를이용한 Credential 정보획득후랜섬웨어를전파한다. 전파후 wmic.exe 를통해 랜섬웨어를실행한다. 45
월간악성코드상세분석 [ 그림 16] admin$ 전파일부 [ 그림 17] 전파된랜섬웨어실행 46
월간악성코드상세분석 SMB 취약점을통해추가로전파를한다. IPC$ 연결을위해하드코딩된사용자계정과암호를대입하여 테스트후 ADMIN$ 을통해복사후실행한다. [ 그림 18] SMB 전파 47
월간악성코드상세분석 [ 그림 19] 하드코딩된계정, 패스워드일부 MBR 변조앞에서등록한스케줄러를통해재부팅후 dispci.exe 파일로 MBR 변조를수행한다. \\.\\dcrypt 드라이버에연결후후킹을시도하며 raw disk 에접근하여 DeviceIOControl Code(DC_CTL_RESOLVE) 를호출한다. [ 그림 20] DiskCryptor 드라이버연결 48
월간악성코드상세분석 실행시입력되는옵션에따라 Encryption, Decryption 으로구분된다. Decryption 과정은 DeviceIOControl 을통해수행한다. [ 그림 21] 실행로직구분 핸들러를통해 Decryption 을위한셋팅을한다. [ 그림 22] Decrypt 리소스영역에저장되어있는데이터를기존디스크에덮어쓴다. 0x8B(MBR), 0x8C(Kernel Component), 0x8D(Kernel Component) 49
월간악성코드상세분석 [ 그림 23] 변조데이터 다음은시스템부팅시 MBR 영역이변조되어보이는화면이다. [ 그림 24] 부팅화면 50
월간악성코드상세분석 본보고서에는언급하지않았지만 Bad Rabbit 랜섬웨어는 NotPetya 랜섬웨어와비슷한부분이많다. 사용하는함수와구조체, 랜섬노트등이유사하다. 이러한점에서 NotPetya 변종으로인식되고있다. 끊임없이바뀌고변화하는랜섬웨어! 파괴와암호화를일삼는랜섬웨어! 취약점을통한전파까지. 앞으로발견될랜섬웨어는또다른무언가가결합할지도모르겠다. 부디엄청난사태를겪지않길바랄뿐이다. 작성자 : bdz 51
05 모바일악성코드상세분석 악성금융탈취앱 Red Alert 2.0 52
모바일악성코드상세분석 악성금융탈취앱 Red Alert 2.0 가짜금융앱을실행시켜사용자금융정보를탈취하는 Red Alert 2.0 이등장하여사용자에게주의를요구하고있다. Red Alert 2.0은금융정보뿐만아니라개인의민감한정보까지탈취하여 C&C로전송한다. 특이한점은코드내에 C&C 에접속할수없을경우트위터를이용하여새로운 C&C를받아와사용한다. 이번 11월호에서는 Red Alert 2.0에대해서알아보고자한다. Red Alert 2.0 의코드흐름이다. [ 그림 4] 기기정보탈취 알람을이용하여서비스들을주기적으로실행시 킨다. [ 그림 1] 코드흐름 string.xml 에저장된 C&C 를가져온다. [ 그림 5] 서비스를주기적으로실행 현재설치된앱목록을탈취하여 C&C 로전송한 다. [ 그림 2] string.xml String.xml 에저장된 C&C 에접속이불가능할경 우트위터를통해새로운 C&C 를받아온다. [ 그림 6] 앱목록탈취 C&C 로부터탈취할금융앱의패키지명과앱의 HTML 주소를가져온뒤저장한다. [ 그림 3] 트위터를통한 C&C 업데이트 기기정보를탈취하여 C&C 로전송한다. [ 그림 7] HTML 주소저장 1 53
모바일악성코드상세분석 [ 그림 8] HTML 주소저장 2 [ 그림 13] 가짜금융앱을보여줌 롤리팝 (API 21) 이상일경우 toolbox 의 ps 명령 어를이용하여최상단앱을검사한다. C&C 로부터명령코드를받아와서저장한다. [ 그림 9] toolbox [ 그림 14] 명령코드저장 킷캣 (API 20) 이하일경우 getrunningtasks 를이 용하여최상단앱을검사한다. 기본 SMS 앱을현재앱 (Red Alert 2.0) 으로변경 한다. [ 그림 15] 기본 SMS 앱을현재패키지로변경 [ 그림 10] getrunningtasks 현재실행중인금융앱의이름과가짜금융앱이름이동일하면 WebView를통해가짜금융앱의 HTML을연다. 현재 SMS 앱을시스템에등록되어있는기본 SMS 앱이나, 이전에사용하였던 SMS 앱으로복 구한다. [ 그림 16] 기본 SMS 앱변경 1 [ 그림 11] 실행중인앱과가짜앱정보매칭 [ 그림 17] 기본 SMS 앱변경 2 [ 그림 12] WebView 실행 주소록에등록된모든전화번호로 SMS 를전송 한다. 54
모바일악성코드상세분석 [ 그림 23] 전화걸기 수신된 SMS 를탈취한다. [ 그림 18] SMS 전송 SMS 목록에있는내용을탈취한다. [ 그림 19] SMS 목록탈취 전화기록을탈취한다. [ 그림 24] 수신된 SMS 탈취 주소록을탈취한다. [ 그림 20] 전화기록탈취 Red Alert 2.0은아직해외에서만이슈화된악성코드로국내에발견사례된가없다. 국내에스미싱으로유포되는악성금융앱또한 Red Alert 2.0과동일하게현재사용자가금융앱을실행하면가짜금융앱으로대체하여사용자의금융정보를탈취한다는점은동일하다. 하지만 Red Alert 2.0은금융정보탈취뿐만아니라사용자의민감한개인정보까지탈취하는기능이존재하기때문에감염시큰피해를입을것으로예상한다. 사용자는공인된앱스토어에서앱을다운받는것이좋으며모바일백신을항상최신버전으로유지해모바일보안을강화하는것이바람직하다. 특정앱을실행시킨다. [ 그림 21] 주소록탈취 작성자 : HW [ 그림 22] 특정앱실행 특정번호로전화를건다. 55
모바일악성코드상세분석 감사합니다. ( 주 ) 하우리 www.hauri.co.kr 서울시종로구율곡로 238( 예일빌딩 ) 7 층 TEL. 02-3676-1100 FAX. 02-3676-8011 56