01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No.103 2018.04
01 이스트시큐리티통계및분석 No.103 2018.04 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 01-06 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 07-16 악성메일로유포되는 GandCrab 2.1 랜섬웨어주의 군비통제관련기사문서로위장한악성코드주의 03 악성코드분석보고 17-39 개요 악성코드상세분석 결론 04 해외보안동향 40-54 영미권 중국 일본
이스트시큐리티보안동향보고서 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 1
01 악성코드통계및분석 1. 악성코드동향 이스트시큐리티에서선정한 3 월에발생했던가장큰보안이슈는계속되는랜섬웨어의위협이었습니다. 계속적으로랜섬웨어의공격은발생했었으나가상화폐채굴관련공격등으로상대적으로이슈가적은편이었던 1,2 월에비해 3 월에는다시랜섬웨어의위협이급부상했습니다. GandCrab 랜섬웨어는 v1 에서 C&C 서버에외부의접근을허용해서피해자들의복호화키를복구할수있는방법을 찾아내자, 더욱안전한 C&C 서버를포함한 v2 를출시했으며, 특히국내사용자들에게실존디자이너의명의를 사칭하여저작권이슈관련메일을보내감염을유도하는유포방식이확인되기도하였습니다. 이뿐만이아닙니다. 미국조지아주의애틀랜타시정부의 IT 시스템이지난 2월콜로라도교통부를감염시키고마비시킨 SamSam 랜섬웨어에감염되어시민들이정부관련시스템에접속이불가능해져큰피해가발생하기도했습니다. 피해자파일암호화뿐만아니라피해자가백업해둔데이터를찾아삭제하는 Zenis 랜섬웨어, WhatsApp 아이콘또는 Facebook 아이콘으로위장한랜섬웨어의유포가새로발견되기도하였습니다. 항공기를생산하는보잉의생산공장에 WannaCry 랜섬웨어가감염된사실도확인되었습니다. 이처럼, 공격자들은쉬지않고계속랜섬웨어의공격을시도하고있으며, 기존버전에서부족했거나아쉬웠던점을보완한더강력해진랜섬웨어로계속업그레이드하고있는상황입니다. 랜섬웨어의대한대비는무엇보다도보호해야할주요자료에대한지정과분류, 그리고백업이가장중요합니다. 일단중요자료에대한보호조치를취한이후에시스템이나 OS/SW 에대한패치도반드시함께이뤄져야합니다. 랜섬웨어의위협외에도 3월에는 UDP reflection 을사용한 Memcached DDoS 공격이발생한것도큰이슈였는데, 특히 Github 와또하나의미국회사에가해진 DDoS 공격규모가무려 3Tbps 가넘는것으로알려져화제가되기도하였습니다. 무엇보다 PoC 익스플로잇코드가온라인에공개되면서 Memcached 서버들에대한위협이커졌기때문에, 해당서버들에대해로컬인터페이스에서만사용가능하도록바인드하거나 UDP 지원을완전히비활성화하는조치등이시급합니다. 2
01 악성코드통계및분석 2. 알약악성코드탐지통계 감염악성코드 TOP15 2018 년 3월의감염악성코드 Top 15 리스트에서는지난 2월에각각 1위를차지했던 Trojan.Agent.gen 이 2018 년 3월 Top 15 리스트에서도 1위를차지했다. 지난 2월에각각 2위와 4위를차지했던 Misc.HackTool.AutoKMS 과 Trojan.HTML.Ramnit.A 순위를바꾸었다. 지난달 7위를차지했던 BitCoinMiner 악성코드의경우 12 위로순위가하락했지만, 또다른코인마이너악성코드인 Misc.Riskware.JS.CoinMiner 가새롭게 Top15 위리스트에올랐다. 2월에비해 3월전체감염건수는약 9% 정도감소했다. 순위 등락 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Trojan.Agent.gen Trojan 2,056,954 2 2 Misc.HackTool.AutoKMS Trojan 875,133 3 3 Adware.SearchSuite Adware 872,564 4 2 Trojan.HTML.Ramnit.A Trojan 492,035 5 - Adware.GenericKD.12447732 Adware 483,499 6 3 Adware.SearchSuite Adware 451,523 7 1 Misc.Keygen Trojan 382,655 8 1 Trojan.LNK.Gen Trojan 364,122 9 New Exploit.CVE-2010-2568.Gen Exploit 251,006 10 New Trojan.Generic.22802158 Trojan 242,673 11 1 Win32.Neshta.A Trojan 241,102 12 5 Misc.Riskware.BitCoinMiner Trojan 236,378 13 1 Hosts.media.opencandy.com Host 235,369 14 - Worm.ACAD.Bursted.doc.B Worm 222,416 15 New Misc.Riskware.JS.CoinMiner Trojan 155,290 * 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 2018 년 3 월 01 일 ~ 2018 년 3 월 31 일 3
01 악성코드통계및분석 악성코드유형별비율 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 67% 를차지했으며애드웨어 (Adware) 유형이 24% 로 그뒤를이었다. 호스트파일 취약점 3% 트로이목마 (Trojan) 3% 애드웨어 24% 웜 3% 스파이웨어 (Spyware) 애드웨어 (Adware) 취약점 (Exploit) 웜 (Worm) 트로이목마 67% 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 카테고리별악성코드비율전월비교 3 월에는 2 월과비교하여트로이목마 (Trojan) 악성코드감염카테고리비율이 75% 에서 67% 로감소했다. 3 월이 2 월에비해 3 일이많음에도불구하고전체악성코드감염건수가약 9% 정도감소했다. 100% 100% 트로이목마 (Trojan) 스파이웨어 (Spyware) 0% 0% 67% 75% 애드웨어 (Adware) 16% 24% 하이재커 (Hijacker) 0% 0% 웜 (Worm) 3% 2% 3 월 취약점 (Exploit) 3% 0% 2 월 바이러스 (Virus) 0% 0% 백도어 (Backdoor) 0% 3% 호스트파일 (Host) 3% 4% 기타 (Etc) 0% 0% 0% 20% 40% 60% 80% 100% 4
01 악성코드통계및분석 3. 허니팟 / 트래픽분석 3 월의상위 Top 10 포트 허니팟 / 정보수집용메일서버를통해유입된악성코드가사용하는포트정보및악성트래픽을집계한수치 1433 2% 5900 10% 3389 81 4% 5% 23 11% 25 1% 80 1% 3306 29% 8080 1% 22 36% 22 3306 23 5900 81 3389 1433 25 80 8080 최근 3 개월간상위 Top 5 포트월별추이 2018 년 1 월 2018 년 2 월 2018 년 3 월 22 33062 23 5900 25 5
01 악성코드통계및분석 악성트래픽유입추이 외부로부터유입되는악의적으로보이는트래픽의접속시도가감지된수치 13,039,948 12,011,679 12,951,301 13,808,383 10,091,035 8,722,537 2017 년 10 월 2017 년 11 월 2017 년 12 월 2018 년 1 월 2018 년 2 월 2018 년 3 월 단위 : 악의적트래픽접속시도감지건수 2017 년 10 월 ~ 2018 년 3 월 6
이스트시큐리티보안동향보고서 02 전문가보안기고 1. 악성메일로유포되는 GandCrab 2.1 랜섬웨어주의 2. 군비통제관련기사문서로위장한악성코드주의 7
02 전문가보안기고 1. 악성메일로유포되는 GandCrab 2.1 랜섬웨어주의 최근악성메일을통해 GandCrab 2.1 버전의랜섬웨어가유포되고있어주의를당부드립니다. 이번에발견된악성메일은기존 GandCrab 2.0 을유포한악성메일과거의유사하게 ' 창작물무단이용에대한이미지 파일을확인 ' 내용으로첨부파일실행을유도합니다. [ 그림 1] 창작물저작권침해악성메일내용 8
02 전문가보안기고 첨부파일에는 'white.exe', '1. 원본이미지 _180408.jpg.lnk', '2. 사용이미지 _180408.jpg.lnk', '3. 사이트 링크정리 _180408.doc.lnk' 가있습니다. 만일이용자가이미지나링크를보기위해바로가기파일을클릭할경우 'white.exe' 실행파일이실행됩니다. [ 그림 2] 이메일에첨부된파일 실행되는 white.exe 실행파일은 GandCrab 2.1 랜섬웨어로서, 기존 GandCarb 2.0 랜섬웨어와대부분동일하지만일부 달라진점이있습니다. 첫번째로, 자가복제된경로 (%APPDATA%\Microsoft\) 가아닌경우파일암호화완료뒤시스템을강제종료하는 기능이추가되었습니다. 즉, 랜섬웨어최초실행시시스템이한차례재부팅이됩니다. 9
02 전문가보안기고 [ 그림 3] 자가복제된경로가아닌경우시스템재부팅 두번째로는 GandCrab 2.0 버전에는암호화가끝난파일뒤에 '.CRAB' 를추가하였지만, 이번버전에는파일암호화 전에암호화대상파일뒤에 '.CRAB' 를추가합니다. [ 그림 4] 파일암호화전 '.CRAB' 확장명추가 세번째로는, C&C 에시스템정보전송간 ' 버전정보 ' 로보여지는고정값이변경되었습니다. GandCrab 2.0 에서는 '&version=1.2.5' 가고정값이었지만, 이번버전에서는 '&version=2.3.1' 로변경되었습니다. 10
02 전문가보안기고 [ 그림 5] GandCrab 2.1 에서버전정보로보이는값변경 그리고이번버전에서 C&C IP 를얻기위해다음의도메인들이사용되었습니다. 11
02 전문가보안기고 호스트도메인 zonealarm.bit ransomware.bit 서버도메인 ns1.corp-servers.ru ns2.corp-servers.ru [ 표 1] GandCrab 2.1 에서사용하는호스트와서버도메인 마지막으로 GandCrab 2.1 랜섬노트에서버전이 'V2.1' 로바뀌었습니다. [ 그림 6] GandCrab 2.1 버전랜섬노트 12
02 전문가보안기고 따라서이러한유형의공격으로부터랜섬웨어에감염이되지않기위해출처가불분명한메일에첨부된링크나 첨부파일을주의해야합니다. 또한평상시중요한자료들은외장하드등의외장매체에정기적으로백업할수있는 습관을가져야합니다. 현재알약에서는관련샘플들을 'Trojan.Agent.LNK.Gen', 'Trojan.Ransom.GandCrab' 로진단하고있습니다. 13
02 전문가보안기고 2. 군비통제관련기사문서로위장한 악성코드주의 최근 ' 군비통제관련기사문서 ' 로위장한악성코드가발견되어이용자들의주의를당부드립니다. 이번악성코드에서는지난 ' 남북회담인터뷰기사문서 ' 에쓰인것과동일한코드가사용되었으며, 드롭퍼로서 'C:\Users\( 사용자계정 )\AppData\Local\MFAData\event\' 경로에 'errors.dll' 악성파일을드롭합니다. [ 그림 1] 파일드롭코드 또한지난번과마찬가지로감염된사실을숨기기위해, 군비통제관련기사내용이담긴문서를드롭한뒤, 실행합니다. 14
02 전문가보안기고 [ 그림 2] 군비통제내용이담긴기사문서내용 이용자에게보여주는문서에는러시아어로작성된군비통제와관련된내용이담겨져있지만, 문서속성은다음그림과 같이제목에 'S. Korea fires warning shots at N. Korea after soldier defection( 군인탈출이후, 남한에서북한을향해 경고탄을발사하였다 )' 로되어져있습니다. 즉, 공격자가문서를수정하여사용했음을나타냅니다. [ 그림 3] 남한관련내용이담긴제목속성 15
02 전문가보안기고 또한지난 ' 남북회담기사문서 ' 와동일하게만든이는중국식이름인 ' 朱熠锷 ', 마지막수정한사람이 'John' 으로되어져 있습니다. 최종적으로드롭된 errors.dll 은 C&C 서버 (checksessionmail.esy.es) 에서받아온명령에따라시스템정보전송, 파일 전송, 화면캡쳐전송등의다양한악성행위를수행하여정보유출피해가발생할수있습니다. [ 그림 4] 명령에따른다양한악성행위 한편이번악성코드에서발견된 PDB 정보는다음과같으며, 지속적으로변종이만들어지고있습니다. 16
02 전문가보안기고 이번에발견된 PDB 정보 F:\0_work\planes\2018\0328\Doc7\Release\Doc.pdb(2018.04.04 14:50:28 UTC) 과거에발견된 PDB 경로중일부 F:\0_work\planes\2018\0328\Doc7\Release\Doc.pdb(TimeStamp : 2018.03.29 07:21:34(UTC)) F:\0_work\planes\2017\0704\Doc7\Release\Doc.pdb(TimeStamp : 2017.07.04 14:22:35(UTC)) F:\0_work\planes\2017\0626\virus-load\_Result\virus-dll.pdb( 드롭된 DLL) F:\0_work\planes\2017\0508\Doc7\Release\Doc.pdb(TimeStamp : 2017.05.08 10:54:49(UTC)) F:\0_work\planes\2017\0502\virus-load\_Result\virus-dll.pdb( 드롭된 DLL) [ 표 1] PDB 정보 공격자들은사회적트렌드나이슈를악성코드에이용하고있어, 주의가필요합니다. 따라서악성코드에감염이되지 않기위해서는검증되지않은파일을실행하기전, 백신프로그램을이용하여악성여부검사를수행해주시기바랍니다. 현재알약에서관련샘플을 'Trojan.Fuerboos' 로진단하고있습니다. 17
이스트시큐리티보안동향보고서 03 악성코드분석보고 개요 악성코드상세분석 결론 18
03 악성코드분석보고 [Trojan.Agent.Emotet] 악성코드분석보고서 1. 개요 2014 년독일및오스트리아은행고객을대상으로처음등장한 EMOTET 악성코드가최근다시등장하고있다. EMOTET 악성코드는사용자 PC 를감염시키고, C&C 통신을통해서시스템정보와금융정보를탈취하는등의악성 행위를시도한다. EMOTET 악성코드는주로이메일을통해유포된다. 공격자는이메일안에악의적인스크립트가포함된문서파일을 첨부하거나, 악성코드가다운로드되는 URL 링크를삽입하는방식을사용한다. 또한사용자가관심가질만한거래및 청구서관련내용을포함하여의심을최소화하고악성코드에감염되도록유도한다. 본보고서에서는 EMOTET 악성코드를상세분석하고자한다. 19
03 악성코드분석보고 2. 악성코드상세분석 1. EMOTET 악성코드유포 EMOTET 악성코드는주로스팸메일을통해유포된다. 공격자는메일내용으로청구서와같이사용자가관심을가질만한소재를사용한다. 이와함께청구서로위장된워드파일을첨부하거나, 청구서를다운로드할수있는 URL 를포함하여사용자의다음행동을유도한다. [ 그림 1] 첨부파일형태로유포되는스팸메일본문 [ 그림 2] URL 이포함된형태로유포되는스팸메일본문 20
03 악성코드분석보고 URL 를통해다운로드받거나첨부된워드파일내에는 EMOTET 악성코드를다운로드하는악성매크로가포함되어 있다. 이매크로는매크로기능이활성화되어있을경우에만동작한다. 공격자는이기능이활성화되지않았을경우를 대비해본문에기능활성화를유도하는내용을포함했다. [ 그림 3] 악성매크로가포함된워드파일 다음은워드파일내에포함된악성매크로목록이다. [ 그림 4] 워드파일내악성매크로목록 악성매크로는난독화된스크립트를이용해 cmd.exe 프로세스를실행하고, cmd.exe 프로세스는 powershell.exe 프로세스를이용해스크립트를실행한다. 21
03 악성코드분석보고 [ 그림 5] 난독화된스크립트실행트리 다음은난독화된스크립트로실행되는 powershell.exe 프로세스정보이다. [ 그림 6] powershell.exe 프로세스실행정보 powershell.exe 프로세스매개변수로전달된난독화스크립트를해제하면다음과같다. 스크립트는공격자가접속 가능한 C&C 서버를조회하면서 EMOTET 악성코드파일을다운로드한다. [ 그림 7] 난독화를해제한스크립트 다운로드된파일은 Windows 7 운영체제를기준으로 C:\Users\Public\[ 랜덤숫자 ].exe 형태로생성된다. 22
03 악성코드분석보고 [ 그림 8] 다운로드파일생성 2. EMOTET 악성파일분석 2.1 자가복제및자동실행등록다운로드된악성코드는사용자로부터의심을피하기위해 C:\Windows\System32\GabriolaPivot.exe 경로로자가복제를수행한다. GabriolaPivot.exe 파일명은공격자가미리하드코드한단어들을사용하여랜덤으로조합되며분석시스템별로상이할수있다. 이후자가복제된악성코드가부팅할때마다실행될수있도록서비스로등록한다. 다음은자동실행등록코드의일부이다. [ 그림 9] 자가복제및자동실행등록코드 2.2 분석 PC 우회 현재실행중인파일명이다음과같은이름으로사용되면실행을종료한다. 이는분석가들이자주사용하는파일명으로 분석환경및샌드박스를우회하기위함이다. 23
03 악성코드분석보고 sample, mlwr_smpl, artifact.exe [ 표 1] 자가종료파일명 또한다음과같은조건들에해당할경우샌드박스환경으로인지하고프로세스는종료된다. [ 그림 10] 샌드박스환경확인 - NetBIOS 의이름이 TEQUILABOOMBOOM 인경우 - UserName 이 Wilbe, NetBIOS 의이름이 SC, CW 로시작하는경우 -UserName 이 admin, DnsHostName 이 SystemIT 이고, C :\\ Symbols \ aagmmc.pdb 와같은디버거기호파일이있는경우 - 사용자이름이 admin 이고 NetBIOS 이름이 KLONE_X64-PC 인경우 - UserName 이 John Doe 인경우 - UserName 이 John 이고 C:\\ take_screenshot.ps1 및 C:\\ loaddll.exe 두개의파일이존재할경우 - C:\\ email.doc, C:\\123\\email.doc 및 C:\\123\\\ email.docx 파일이존재할경우 - C:\\a\\foobar.bmp, C:\\a\\foobar.doc 및 C :\\ a \\ foobar.gif. 파일이존재할경우 [ 표 2] 샌드박스환경확인 24
03 악성코드분석보고 2.3 로컬 PC 정보탈취악성코드가실행중인 PC 의시스템정보 ( 프로세스목록, OS 버전, 아키텍처 ) 를수집하고 C&C 서버로전송한다. 이는감염 PC 의정보를획득하고관리하기위한공격자의의도로보인다. 다음은시스템정보중에서프로세스리스트를획득하는코드의일부이다. [ 그림 11] 프로세스목록획득코드 획득한정보는별도의암호화를진행한뒤, C&C 로전송한다. 공격자가사용하는 C&C 목록은다음과같다. 149.62.173.247 61.19.254.63 203.198.129.4 158.58.170.24 220.227.247.35 46.4.251.184 200.146.250.0 37.187.4.178 178.254.24.98 158.69.249.236 45.55.201.174 89.186.26.179 [ 표 3] C&C 목록 2.4 다운로더 C&C 로정보전송이성공하면데이터를추가로다운로드한다. 다운로드된데이터는복호화과정을거쳐 PE 파일인지 확인하고, 파일드롭및실행동작을수행한다. 다음은다운로드코드의일부이다. 25
03 악성코드분석보고 [ 그림 12] 다운로드코드 다운로드된파일은공격자의옵션에따라파일생성유무를결정할수있다. 만약파일생성옵션이라면 %APPDATA% 또는 C:\Windows\System32 경로하위에파일이생성되고실행된다. 파일을생성하지않는옵션이라면다음 코드를통해현재실행중인악성코드메모리에로드되어실행된다. 26
03 악성코드분석보고 [ 그림 13] 현재실행중인악성코드메모리에로드 분석시점에해당 C&C 서버가차단되어현재는파일다운로드가진행되지않는다. 따라서추가적인악성행위를직접 확인할수는없다. 하지만국내및해외의 EMOTET 악성코드의분석및뉴스를통해다운로드된파일은인터넷뱅킹 관련금융정보를탈취하고악성행위를하는것으로확인된다. 27
03 악성코드분석보고 3. 결론 EMOTET 악성코드는사용자의금융정보를탈취하여금전적인이득을목표로하는뱅킹트로이목마로알려져있다. 분석된악성코드와다르게 C&C 와통신이가능할경우, 추가적인악성코드를다운받아치명적인피해로이어질수있다. 따라서, 악성코드의유입을예방하는것이중요하다. 예방방법으로사용자는출처가불명확한이메일로전달된첨부파일이나 URL 은실행하지않아야한다. 만약실행이필요한경우주의해야한다. 또한 MS Office 문서파일의매크로자동실행기능과 PDF 파일에서지원하는첨부파일자동실행기능을허용하지않아야한다. 현재알약에서는 Trojan.Agent.EMOTET 으로진단하고있다. 28
03 악성코드분석보고 [Spyware.Android.FakeApp] 악성코드분석보고서 1. 개요 최근안드로이드악성앱이고도화되면서백신의탐지를회피하기위한암호화및안티디버깅기술이적용되고있다. 특히, 해당앱은악성행위에사용되는모든문자열과파일들을암호화하여저장하고있다가실제사용될때이를복호화하여사용한다. 또한, 기기및개인정보의단순한탈취를넘어사용자의기기를완전히장악한후오디오, 사용자의입력등사용자의활동을실시간으로감시하고확인한다. 본분석보고서에서는 Spyware.Android.FakeApp 를상세분석하고자한다. 29
03 악성코드분석보고 2. 악성코드상세분석 1) 분석방해및백신탐지회피가. 암호화된문자열악성행위에사용되는문자열들을암호화하여바이트형태로저장하고있다가해당문자가실제사용될때마다 xor 연산메소드를통하여복호화후사용한다. 이는특정문자열검색을통한백신탐지를우회하기위함으로추측할수있다. [ 그림 1] 암호화된문자열 복호화되어사용되는문자열들은 g.a 부터 g.ai 까지 60 개이상의변수에저장된다. [ 그림 2] 복호화된문자열 30
03 악성코드분석보고 나. 안티디버깅 g.t (/proc/self/status) 에는실행되는앱과관련된정보가저장되어있고, 그중에서 g.s (TracerPid) 의값을확인하여현재앱이디버깅되고있는지확인한다. 그리고다시 isdebuggerconnected 메소드를통하여한번더디버깅여부를확인한다. [ 그림 3] 안티디버깅 다. 실행환경확인 현재실행되는환경이가상환경이아니며, 중국샤오미사의기기일경우악성행위가시작된다. [ 그림 4] 실행환경확인 2) 암호화된 C&C 정보 C&C 정보와관련된파일이 Assets 폴더에암호화되어저장되어있다. C&C 서버로부터추가다운로드하는코드가 있지만실제통신은되지않고있다. 31
03 악성코드분석보고 [ 그림 5] C&C 서버 32
03 악성코드분석보고 3) 암호화된정보탈취파일악성행위에사용되는파일역시암호화되어앱의 Assets 폴더에저장되어있다. SDK API LEVEL 이 16 이상이라면 sx 파일을복호화한다. 복호화된 sx 파일은 /data/user/0/com.android.boxa( 패키지명 )/files 폴더에 sux 파일로저장된다. sux 파일은 ELF 파일이며특정메신저앱들의정보를탈취한다. ( 현재안드로이드의 SDK API LEVEL 은 26 까지출시되어있으며, 테스트환경은 LEVEL22 에서진행하였다.) [ 그림 6] API LEVEL 에따라다른파일실행 getruntime().exec() 메소드를통하여명령어를실행한다. \n 문자를기준으로나뉘어실행된다. [ 그림 7] 명령어실행 33
03 악성코드분석보고 4) 메신저앱정보탈취 sux 파일은특정메신저앱들의정보를탈취한다. Tencent WeChat, Weibo, Voxer, Walkie, Talkie Messenger, Telegram Messenger, Gruveo Magic Call, Twitter, Line, Coco, BeeTalk, TalkBox Voice Messenger, Viber Momo, Facebook Messenger, Skype 14 개앱이그대상이며해당앱들의정보가저장되는 /data/data/ 패키지명 폴더를확인하고, 존재할경우관련정보를탈취한다. [ 그림 8] 탈취되는앱목록중일부 5) 루트권한요청 기기의완전제어와자유로운악성행위를위하여루트권한을요구하며, getruntime().exec() 메소드를이용하여루트 권한을요구한다. 34
03 악성코드분석보고 [ 그림 9] 루트권한요청 6) 기기제어 가. 문자정보탈취 SMS 문자정보를탈취하고삭제한다. [ 그림 10] 문자정보탈취 35
03 악성코드분석보고 나. 주소록탈취 주소록을탈취하고삭제한다. [ 그림 11] 주소록탈취 다. 통화목록탈취 통화목록을탈취하고삭제한다. [ 그림 12] 통화목록탈취 라. 위치정보탈취 위치정보를탈취한다. [ 그림 13] 위치정보탈취 36
03 악성코드분석보고 마. 카메라제어 카메라관련정보를제어한다. [ 그림 14] 카메라제어 바. 오디오제어 오디오를녹음한다. [ 그림 15] 오디오제어 37
03 악성코드분석보고 사. 화면제어 기기의화면을캡처하여저장한다. [ 그림 16] 화면캡처 사. 달력정보탈취 달력에기록된정보들을탈취한다. [ 그림 17] 달력정보탈취 7) 아이콘은닉 분석및백신탐지에대한안전장치를모두통과하면본격적인악성행위가시작되는데, 이때자신의아이콘을 은닉하여사용자가쉽게알아차리기어렵도록한다. [ 그림 18] 아이콘은닉 38
03 악성코드분석보고 8) 키로그 사용자의입력을훔치고이를외부저장소에저장한다. /sdcard/zs/key 폴더에 keylogger.txt 파일로저장되며해당 앱명, 시간, 사용자가입력한내용등이기록된다. [ 그림 19] 키로그 39
03 악성코드분석보고 3. 결론 해당악성앱은기기정보및개인정보를탈취하기보다는사용자의개인사생활을감시하는데그목적이있다. 지속적으로악성행위를하기위하여앱의아이콘을은닉하고오디오, 카메라를제어하며특정메신저앱의정보를 탈취하고사용자가기입하는내용을모두기록한다. 따라서, 악성앱에감염되지않기위해서는예방이중요하다. 출처가불명확한 URL 은실행하지않아야한다. 또한 OS 와 애플리케이션을항상최신업데이트버전으로유지해야한다. 현재알약 M 에서는해당악성앱을 Spyware.Android.FakeApp 탐지명으로진단하고있다. 40
이스트시큐리티보안동향보고서 04 해외보안동향 영미권 중국 일본 41
04 해외보안동향 1. 영미권 Github 웹사이트, 역대최대의 DDoS 공격 (1.35 Tbs) 당해 Biggest-Ever DDoS Attack (1.35 Tbs) Hits Github Website 2018 년 2 월 28 일수요일, GitHub 의코드호스팅웹사이트가역대가장큰규모 (1.35Tbps) 의 DDoS 공격을받았다. 흥미롭게도, 공격자들은어떠한봇넷네트워크도사용하지않았다. 대신 DDoS 공격을확장하기위해잘못구성된 Memcached 서버들을무기화해사용했다. 공격자들이쉽게설치가능한오픈소스분산캐싱시스템인 Memcached 를악용하면일반적인 DDoS 공격보다 51,000 배나강력한공격을실행할수있는것으로나타났다. Memcrashed 라명명된이증폭된 DDoS 공격은, 피해자의 IP 와매칭되는스푸핑된 IP 주소를사용해타깃 Memcached 서버포트 11211 로위조된요청을보내는방식을사용한다. 이요청의바이트들중일부가취약한 서버로전송되어타깃 IP 주소에수만배큰응답을보내도록유발한다. Github 이이공격을물리치는데도움을준 Akamai 는 공격은지금까지보아온공격중가장규모가큰공격이었다. 지난 2016 년 9월발생한 Mirai 를이용한가장규모가컸던 DDoS 공격의두배이상이다. 고밝혔다. Github 은블로그를통해 이공격은수만개의고유한엔드포인트에서수천개의서로다른 ASN(autonomous systems - 자율시스템 ) 을통해발생했다. Memcached 기반접근방식을사용했으며, 초당 1.269 억개패킷을이용해 1.35Tbps 를기록했다. 라고밝혔다. 앞으로더욱강력한 DDoS 공격이이루어질것으로예상돼증폭공격은새로운것은아니지만, 이공격벡터는수천대의잘못구성된 Memcached 서버들을사용하도록발전되었다. 이들중많은서버들은아직도인터넷상에노출되어있으며, 또다른대규모공격에악용될수있다. Memcached 서버가악용되는것을예방하기위해서는방화벽을설치하거나포트 11211 로부터의 UDP 를차단하거나속도를제한하고, 사용하지않을경우 UDP 지원을완전히비활성화해두는것을고려해보는것이좋겠다. [ 출처 ] https://thehackernews.com/2018/03/biggest-ddos-attack-github.html https://githubengineering.com/ddos-incident-report/ 42
04 해외보안동향 인터넷이메일서버의절반에영향을미치는취약점발견 Vulnerability Affects Half of the Internet's Email Servers 수십만대의이메일서버에영향을미치는치명적인취약점이발견되었다. 이취약점은인터넷이메일서버의절반 이상에영향을미치며, 패치는이미공개된상태이지만적용하는데몇주, 또는몇달이상이소요될것으로보인다. 이취약점은이메일을송신자로부터수신자에게전달해주는이메일서버에서실행되는소프트웨어 (MTA mail transfer agent) 인 Exim 에존재한다. 2017 년 3월실시된설문조사에따르면, 모든인터넷이메일서버의 56% 가 Exim 을사용하고있는것으로나타났으며, 560,000 대이상이온라인에서사용가능했다. 최근발표된또다른보고서는, 서버의수가수백만대에달한다고밝혔다. 이버그로인해원격코드실행가능해져 이버그를발견한연구원은, 지난 2 월 2 일 Exim 측에버그를제보했다. Exim 은원격코드실행취약점을수정한 4.90.1 버전을지난 2 월 10 일공개했다. CVE-2018-6789 로등록된이버그는 ' 선승인원격코드실행 ' 으로분류되었다. 이는공격자가서버에서인증하기 전에 Exim 이메일서버가악성명령어를실행하도록속일수있다는의미이다. 실제버그는 Exim 의 Base64 디코드 기능에존재하는 1 바이트버퍼오버플로우이며지금까지공개된모든 Exim 버전에영향을준다. PoC, 익스플로잇코드는공개되지않아 Exim 팀은보안공지를통해이문제를공개적으로인정했다. 그들은 이문제의심각도는정확히알수없으나, 우리는 버그악용이어려울것으로추측하고있다. 이버그를완화할수있는방법은현재까지알려지지않았다. 라고밝혔다. Exim 4.90.1 이출시된후, 업데이트된 Exim 버전은주로데이터센터에서사용되는리눅스배포판에는적용되었지만, 패치되지않은온라인시스템의수는아직까지알수없다. Exim 은가장인기있는메일에이전트중하나이며, CVE-2018-6789 는여러가지공격에악용될수있으므로 Exim 서버사용자라면업데이트를최대한빨리적용해야할것이다. 아직까지취약한 Exim 서버를공격할수있는익스플로잇코드는공개되지않았지만, 연구원은빠른시일내에공개 될것으로추측했다. [ 출처 ] https://www.bleepingcomputer.com/news/security/vulnerability-affects-half-of-the-internets-email-servers/] 43
04 해외보안동향 아틀란타시 IT 시스템, SamSam 랜섬웨어에공격 City of Atlanta IT Systems Hit by SamSam Ransomware 조지아주의아틀란타시장이금일기자회견에서지방정부시스템몇곳이랜섬웨어감염으로인해중단되었다고 밝혔다. 시당국은해당랜섬웨어감염이현지시간으로금일아침 5:40 에이루어진것으로보인다고말했다. 일부시스템은다운되었지만, 주요서비스들은계속운행중아틀란타시의 COO 인 Richard Cox 는감염사고로인해내부프로그램들및주민들이세금을내거나법원문서에접근하는데사용하는온라인시스템과같은고객응대프로그램들다수가영향을받았다고밝혔다. 또한그는이감염으로인해시의수도, 지역공항, 공공안전시스템과같은중요한인프라는영향을받지않았다고도덧붙였다. Cox 와그의팀은 FBI 와 DHS 요원들과 Cisco, Microsoft 의사고대응팀과도함께작업하고있다. 수사관들은아직까지 이감염으로인한피해상황을평가하고있는중이다. 랜섬머니지불여부는아직결정하지않아 아틀란타의시장은랜섬머니를지불할의향이있느냐는질문에 지금당장은그질문에대해답변할수없다. 이에대해 연방파트너들과상의를해볼것이다. 라고답변했다. 애틀란타시가일부시스템을클라우드서비스로옮기는과정을진행중이었기때문에, 모든 IT 인프라가영향을받지는 않았다. 언론에따르면, 이감염은올해아주활발히활동한 SamSam 랜섬웨어로인해발생된것으로나타났다. [ 출처 ] https://www.bleepingcomputer.com/news/security/city-of-atlanta-it-systems-hit-by-samsam-ransomware/ 44
04 해외보안동향 2. 중국 중국가전제품협회, 정식으로스마트가전표준공개 많은기업들이스마트가전영역에뛰어들고있지만, 각업체들마다표준이달라불편함을초래했다. 하지만최근, 중국가전제품협회는 AWE 에서스마트가전클라우드통신프로젝트의로고와 SDK 를공개하였다. 이는서로다른 브랜드의가전제품들도함께통신할수있도록하는프로젝트이다. 중국가전제품협회는 2015 년설립된이후지금까지 TCL, 삼성, haier 등의업체들과 3 년동안논의하여 < 스마트가전클라우드커넥션표준 > 을만들어공개하였으며, 현재 SDK 는오픈소스단계에있다. 협회는좀더고도화를 시킨후에외부에공개할것이라고밝혔다. [ 출처 ] http://www.sohu.com/a/225256557_114760 45
04 해외보안동향 cncert, 2017 년중국 IoT 보안동향보고서 1. IoT 취약점수집현황 IoT 디바이스에존재하는하드웨어취약점들은정보유출, 네트워크마비, 내부망공격등다양한위험을발생시킨다. 1) 일반적취약점현황 일반적취약점이란특정브랜드가만든하드웨어제품군에영향을줄수있는취약점을말한다. 2017 년 CNVD 에서 수집한 IoT 디바이스의취약점은 2440 건으로, 작년대비 118.4% 나증가하였다. 발견된취약점들은구글, 시스코, 화웨이등의제품들이었으며, 그중안드로이드장치구글 IoT 디바이스취약점은 948 개였으며, 전체 IoT 디바이스취약점들중의 32% 를차지하였다. 시스코는 250 개로 2 위를차지하였으며, 화웨이와 D-Link 는각각 3-4 위를차지하였다. 취약점유형에는권한우회, 정보유출, 명령실행, 서비스거부, 크로스플랫폼, 버퍼오버플로우, SQL 인젝션, 취약한 비밀번호, 설계상취약점등이있었다. 그중권한우회, 정보유출, 원격코드실행취약점이 1,2,3 위를차지하였으며, 각각 27%, 15%, 13% 였다. 46
04 해외보안동향 취약점의영향을받는디바이스유형들은모바일, 라우터, 네트워크카메라, 회의시스템, 방화벽, 게이트웨이, 스위치 등이다. 그중모바일, 라우터, 네트워크카메라가 1,2,3 위를차지하였으며각각 45%, 11%, 8% 였다. 47
04 해외보안동향 2) 특정취약점현황특정취약점이란특정 SW에만영향을줄수있는취약점을말한다. 2017 년 CNVD 에서조사한특정 IoT 의취약점은총 306건이였다. 영향받는디바이스들은 cctv, 네트워크카메라, GPS, 라우터, 게이트웨이, 방화벽등등이였다. 그중, cctv, 네트워크카메라, GPS 가 1,2,3 위를차지하였으며, 각각 27%, 18%, 15% 를차지하였다. 2. IoT 기기취약점모니터링분석사례 1) 네트워크카메라 WIFICAM 권한우회취약점공격권한우회취약점은 CNVD 에접수된취약점들중 1위를차지하고있다. WirelessIP Camera(P2P) WIFICAM 에도해당취약점이존재하였다. 이캠의웹서버는.ini 설정파일의접근권한을제대로확인하지않아, 공격자가특별히조작된계정정보가없는 http request 를통하여설정파일과계정증명을내려받을수있도록허용한다. cncert 모니터링에따르면 10월 22일일부터 12월 31일까지해당종류의취약점은매일 40만건이상발생하였으며, 11월 7일에는최고 3000 만건까지발생하였다. 48
04 해외보안동향 2) 일부브랜드스마트카메라에서취약한비밀번호취약점존재 취약한비밀번호취약점은스마트카메라에서매우위험도높으며쉽게사용할수있는취약점이다. IoT 를타깃으로하는악성코드들은 Ddosf Dofloo Gafgyt MrBlack Persirai Sotdas Tsunami Triddy Mirai Moose Satori 것들이있으며, 이악성코드들 및변종들은 telnet, ssh 등원격관리서버취약한비밀번호취약점을이용하여시스템에접근한다. IoT 디바이스들을타깃으로하는악성코드들의특징은다음과같다. - 공격범위가매우넓다 - 구조가복잡하며, 기능들이모듈화되어있다. - 악성코드변종이많으며, 업데이트가매우빠르다. 3. IoT 타깃악성코드공격활동정황 cncert 는 IoT 를조사하면서악성코드에감염되어있던 IoT 들도발견하였으며, 여기에있는악성코드들을분석해보았다. 1) 악성코드 C&C 서버수량및분포현황 2017 년하반기발견된 C&C IP 누적수량은 1.5 만개로, 약 81.7% 가해외에있었다. 상위 3 개국가는미국, 러시아 한국이다. 중국내존재하는 C&C 서버의 IP 수는 2806 개로확인되었다. 2) 감염된디바이스분포현황 2017 년하반기공격자의컨트롤을받는 IoT IP 는누적 293.8 만개로, 중국내위치한 ip 는 129.8 만개로전체의 44.1% 에해당하였다. 3) 봇넷규모통계분석 cncert 는 IoT 로구성된봇넷규모에대해분석을진행하였다. 조사결과 2017년하반기봇넷규모가 1천대이상인봇넷은 343개, 1만대이상인봇넷은 39개, 5만대이상인봇넷은 5개로확인되었으며, 주로폴란드, 미국, 프랑스, 이탈리아, 러시아등의국가에서컨트롤하는것으로확인되었다. 4) 악성코드공격의트랜드 2017 년하반기, 매일활성화되어있는감염된 IoT IP는평균 2.7만대였으며, C&C IP 주소는평균 173개였다. 7월 26일부터 8월 2일, 10월 17일부터 11월 3일, 11월 28일부터 12월 1일은악성코드가활발히활동하였다. 그중 10월 26일통제를받는활성 IP주소는최소 69584 개였으며, 단일활성 C&C 서버의 IP개수는 616개였다. 49
04 해외보안동향 4. 감염된 IoT DDOS 공격현황 개인 PC 와다르게라우터, 스위치, 네트워크카메라등등은일반적으로항상인터넷에연결되어있으며, 공격자의 공격을받은후에도사용자가쉽게발견하기어려워 DDOS 공격의안정적인자원으로많이활용된다. CNCERT 는 Gafgyt 등이발생시키는 DDoS 공격을모니터링하고분석해본결과, 해외에서중국내대량의감염된 IoT 를이용하여중국및해외각지에 DDoS 공격을하고있었다. 명령을내리는곳은덴마크, 미국, 폴란드등의국가가 많았으며, DDoS 공격을받는국가는미국, 독일, 터키, 덴마크, 캐나다등등이였다. [ 출처 ] http://www.freebuf.com/articles/terminal/164866.html 50
04 해외보안동향 3. 일본 가상통화의채굴자를노린공격이증가, 경찰청이주의당부 경찰청은 2018 년3월12 일, 가상통화 Ethereum( 이더리엄 ) 을채굴하는소프트웨어 Claymore( 클레이모어 ) 를표적으로한접속이증가하고있다고해서주의를당부했다. 경찰청의인터넷정점관측시스템 (@police) 에서 2018 년1월8일이후, Claymore 가관리용포트로사용하고있는 TCP 의 3333 번포트에대해 JSON-RPC 라는리모트호출프로토콜에서 Ethereum 의계정리스트를조사하는접속이증가하고있다고한다. @police 에서는이러한접속건수를발신원인국가 / 지역별로정리하고있다. TCP3333 번포트에대해계정리스트를조사하는접속건수의발신원국가 / 지역별추이 ( 출처 : 경찰청 ) 이러한접속을하고있는발신원의다른접속을조사한결과, TCP52869 번포트에대한접속으로 IoT 기기를표적으로한악성코드 ( 포트 ) 인 Mirai 인변종 ( okiru 와 satori ) 을외부의 Web 서버에서다운로드하고그실행을시행하는패킷을확인했다고한다. 또 TCP37215 번포트에대한접속의경우는랜섬웨어 WannaCry 에서이용된취약성공격툴 EternalBlue 와 DoublePulsar 을사용한공격으로생각되는패킷을확인했다. 이러한상황에서경시청은 Claymore 로 JSON-RPC API 를이용하고있는유저에대해서복수의대책을실시하는것을추천하고있다. 우선서버를인터넷에이용할때에는직접접속하는것이아니라루터등의기기를매개로접속하는것을요구하고있다. 방화벽등에서외부에서불필요한접속을차단할뿐아니라특정 IP 주소만으로접속을허가하는적절한접속제한등도필요하다고한다. 51
04 해외보안동향 52869 번포트와 37215 번포트에대한접속은 IoT 기기의표적으로삼고있는것으로생각된다. 그래서 IoT 기기에서도종합적인보안대책을필요로한다. 구체적으로는서버와비슷한대책을시행한뒤에기기의제조원이공개하는취약성정보를확인하고취약성이있을경우에는방화벽의업데이트등의적절한대책을실시한다. 유저명과패스워드는초기설정인채로두지말고추측하기어려운것으로변경한다. 업체가취약성에대응하지않는오래된제품은사용을중지할것을요구하고있다. 그리고경찰청은 Android 어플을개발할때에디버그로이용되는 Android Debug Bridge(ADB) 라는기능을사용하는 TCP5555 번포트에대한접속증가도동시에지적하고있다. ADB 를악용한탐색행위와감염활동이이루어지고있을 가능성이있다고한다. 이에관해서해외의시큐리티벤더는 Android 탑재기기에감염되어가상통화를채굴하는악성코드 ADB.Miner 의정보를공표하고있다. 감염된단말의대부분은 Android 를탑재한스마트 TV 와셋탑박스등이었다. 감염단말은 TCP5555 번포트를개방하고있는단말을네트워크경유로탐색하여감염활동을실시하거나가상통화 Monero( 모네로 ) 의채굴을하거나한다고한다. [ 출처 ] http://tech.nikkeibp.co.jp/atcl/nxt/news/18/00433/?st=nxt_thmit_security 52
04 해외보안동향 악질적인 주문확인메일 을송신하는가짜라쿠텐에주의를 정보를훔친뒤에 악성코드감염 라쿠텐 ( 楽天 ) 으로위장한가짜메일을통해피싱사이트로유도하여계정정보를탈취한뒤에악성코드에감염시키려고 하는공격이확인되었다. 유도처피싱사이트. 패스워드돌려쓰기방지를호소하는 JPCERT 코디네이션센터의캠페인배너도포함하여정규사이트에서디자인이도용당하고 있다 ( 화면 : 피싱대책협의회 ) 주의를당부한피싱대책협의회에따르면, 공격자는라쿠텐시장내의샵에서주문이있었던것처럼보이는피싱메일을송신했다. 문제의피싱메일은정규사이트에서주문을했을때에송신되는수주확인메일과완전똑같은제목의 [ 라쿠텐시장 ] 주문내용확인 ( 자동송신메일 ) 이었다. 메일본문의디자인과기재내용등정규메일에서도용되어문의처등의링크를통해피싱사이트로유도한다. 유도처가짜사이트도라쿠텐의정규사이트를위장한다. 로그인화면과비슷한페이지에서유저 ID 와패스워드등을 입력, 송신시킨뒤에계정을락했다는등으로화면에서표시한다. 상세한정보를확인하도록클릭을요구하지만, 실제로는악성코드를인스톨시키려고하는것이었다. 문제의피싱사이트는 3 월 23 일시점에서가동이확인되었으며이협의회에서는폐쇄를위해 JPCERT 코디네이션센터에조사를의뢰했다. 이협회와라쿠텐에서는유사한공격에주의하도록호소하고있다. [ 출처 ] http://www.security-next.com/091412 53
04 해외보안동향 NTT 의히카리전화용기기의일부에서인터넷에접속불가가되는문제 NTT 히가시니혼 ( 東日本 ) 은 2018 년3월28 일, 히카리전화오피스 A( 에이스 )/ 히카리전화오피스타이프에대응하는 VoIP 루터의 Netcommunity OG 시리즈 에서인터넷이접속되지않는문제가발생한적이있다고발표했다. 보안설정을무효로하고있을경우에접속한단말에서 Web 사이트열람등을하려고하면, Facebook 확장툴백을장착하여안전성및사용유창성을향상시키겠습니다 라는메시지가나와서인터넷에접속할수없게되는문제가발생하고있다. NTT 히가시니혼에서는 3월26 일부터이건에대해유저의신고를받기시작했다고한다. 영향을받을가능성이있는기종은 Netcommunity OG410Xa, Netcommunity OG410Xi, Netcommunity OG810Xa, Netcommunity OG810Xi 이다. 펌웨어는최신판 2.20 을포함한전버전이대상이된다.(1) 이기기를인터넷접속용도로이용하고있을경우,(2) 인터넷접속설정에서보안설정을무효로하여이용하고있을경우,(3) 기기설정용로그인패스워드를초기치에서변경하지않았을경우 의 3개의조건이충족되었을경우에발생할가능성이있다. NTT 히가시니혼에서는이들조건이충족되면외부에서기기에접속되어기기의 DNS 어드레스의설정을변경함으로써이러한문제가발생한다고보고있다. 이문제가발생하고있을경우는설정을변경하여해소한다고설명하고있다. 또기기를안전하게이용하기위한기본적대책으로기기설정용로그인패스워드의변경과보안설정을유효하게하는것을추천했다. 유저에대해설정내용을확인하도록호소하고있다. 또이메시지가표시되었을경우, OK 를누르지않도록설명하고있다. NTT 히가시니혼에따르면, Android 단말에서이메시지가표시되어 OK 를누른결과악성코드에감염되었다는신고가있었다고한다. 설정변경방법은이회사의 통신기기취급상담센터 또는프렛고장접수창고에문의하길바란다고한다. 54
04 해외보안동향 Netcommunity OG 시리즈 에서인터넷에접속할수없게되는문제에대해서전하는 NTT 히가시니혼의공지페이지 ( 출처 :NTT 히가시니혼 ) [ 출처 ] http://tech.nikkeibp.co.jp/atcl/nxt/news/18/00640/?st=nxt_thmit_security 55
( 주 ) 이스트시큐리티 ( 우 ) 06711 서울시서초구반포대로 3 이스트빌딩 02.583.4616 www.estsecurity.com 0