01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No.109 2018.10
01 이스트시큐리티통계및분석 No.109 2018.10 이스트시큐리티보안동향보고서 CONTENT 01 악성코드통계및분석 악성코드동향 01-05 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 02 전문가보안기고 06-18 새로운 KONNI 캠페인등장, 작전명해피바이러스 (Operation Happy Virus) 한국맞춤형파밍악성코드 KRBanker, 국내웹해킹으로전격귀환 03 악성코드분석보고 19-38 개요 악성코드상세분석 결론 04 해외보안동향 39-53 영미권 중국 일본
이스트시큐리티보안동향보고서 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 1
01 악성코드통계및분석 1. 악성코드동향 여전히 GandCrab 이강세를보이고있고, 악성한글문서파일의취약점을이용해원격제어기능을수행하는 APT 공격이 발견된 9 월이었습니다. 그외에는독특하게 Hoax( 혹스 ) 메일유포이슈가다수확인되었습니다. GandCrab 랜섬웨어의최신버전이 9월들어 4점대버전에서 5점대버전으로업데이트되었습니다. 거의한달에한번은메이저버전업데이트를진행하고있는추세를보이고있습니다. GandCrab v5 에서는기존의 GandCrab v4 와다르게.KRAB 이아닌 5자리의랜덤한확장명으로암호화를진행한다는점과, HTML 형식의한국어랜섬노트를생성한다는점이차이입니다. GandCrab v5 는 Fallout 익스플로잇킷을호스팅하는사이트로이동시키는멀버타이징 (Malvertising) 공격을통해유포된것이최초로확인되었습니다. Fallout 익스플로잇킷을활용한유포이기때문에공격받은시스템에존재하는취약점을악용하며, 따라서사용자는별다른액션을취하지않았어도랜섬웨어에감염될수있었습니다. 한글문서파일취약점을활용해서한국공공기관을타깃팅하는것으로추정되는 APT 공격역시확인되었습니다. ESRC( 이스트시큐리티시큐리티대응센터 ) 에서는해당 APT 공격을유령꼭두각시 (Ghost Puppet) 오퍼레이션으로명명하였으며, 상세내용을분석하고기존한글문서를활용한공격과의유사점을추적한결과를인텔리전스보고서로발행하였습니다. 불특정다수또는특정인을타깃으로하는 Hoax 메일공격도확인되었습니다. 공격자는한글로작성된메일을통해, 사용자가포르노사이트를방문해서진행한여러가지행위에대한녹화를진행했다고거짓협박하여비트코인을갈취 시도하는 Hoax 메일을 9 월한달동안여러차례발송한바있습니다. GandCrab 랜섬웨어와 유령꼭두각시 APT 공격사례에서도확인할수있듯이, 사용중인 OS 와 SW 에대한보안패치는필수적인보안조치중하나입니다. 특히, GandCrab v5 랜섬웨어는감염된컴퓨터에서시스템권한을얻기위해작업스케쥴러 ALPC( 고급로컬프로시져호출 ) 취약점을이용했는데, 이는 2018 년 9월 MS 정기업데이트를통해패치가완료된취약점으로, 공격자들이발견된지얼마되지않은취약점을공격에활용하고있다는정황도확인되고있는상황입니다. 보안동향보고서를읽고계신분들께서는지금다시한번사용중인시스템의보안패치현황을살펴보시고점검하시는 게어떨까요? 2
01 악성코드통계및분석 2. 알약악성코드탐지통계 감염악성코드 TOP15 2018 년 9월의감염악성코드 Top 15 리스트에서는지난 2018 년 8월에도 1위를차지했던 Trojan.Agent.gen 이이번달 Top 15 리스트에서도 1위를차지했다. 8월에 3위였던 Misc.HackTool.AutoKMS 가한단계상승한 2위를차지했다. 또한, 지난달 5위를차지했었던 Misc.HackTool.KMSActivator 가 2단계상승하여이번달 3위를차지하였다. 전반적으로악성코드진단수치자체가지난달과대비하여크게감소하는추세를보였으며, 특히지난 8 월 2 위를 차지했던 Misc.Riskware.BitCoinMiner 의진단건수가크게감소한것을확인할수있었다. 순위 등락 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Trojan.Agent.gen Trojan 1,702,935 2 1 Misc.HackTool.AutoKMS Trojan 564,018 3 2 Misc.HackTool.KMSActivator Trojan 520,314 4 5 Gen:Variant.Razy.107843 Trojan 416,010 5 1 Trojan.HTML.Ramnit.A Trojan 395,920 6 - Adware.SearchSuite Adware 273,682 7 New Hosts.media.opencandy.com Host 252,682 8 - Misc.Keygen Trojan 251,518 9 2 Win32.Neshta.A Virus 247,599 10 8 Misc.Riskware.BitCoinMiner Trojan 213,751 11 New Gen:Variant.Ursu.271548 Trojan 195,236 12 2 Trojan.LNK.Gen Trojan 190,562 13 2 Worm.ACAD.Bursted.doc.B Worm 146,391 14 1 Exploit.CVE-2010-2568.Gen Exploit 139,311 15 New Win32.Ramnit.N Virus 136,441 * 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 2018 년 9 월 01 일 ~ 2018 년 9 월 30 일 3
01 악성코드통계및분석 악성코드유형별비율 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 79% 를차지했으며, 웜 (Virus) 유형이 7% 로그뒤를 이었다. 호스트파일 바이러스 7% 4% 트로이목마 (Trojan) 스파이웨어 (Spyware) 취약점 2% 웜 애드웨어 (Adware) 애드웨어 3% 5% 취약점 (Exploit) 웜 (Worm) 트로이목마 79% 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 카테고리별악성코드비율전월비교 9월에는 8월과비교하여트로이목마 (Trojan) 악성코드감염카테고리비율이 80% 에서 79% 로소폭감소하였다. 다른영역에서의감염카테고리비율은대동소이했으나, 웜 (Worm) 악성코드의감염비율이 8월에비해 9월이 5% 가량낮아졌다. 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 호스트파일 (Host) 기타 (Etc) 0% 0% 5% 5% 0% 0% 3% 8% 2% 2% 7% 5% 0% 0% 4% 0% 0% 0% 79% 80% 100% 100% 9 월 8 월 0% 20% 40% 60% 80% 100% 4
01 악성코드통계및분석 3. 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 9 월랜섬웨어차단통계 해당통계는통합백신알약공개용버전의 랜섬웨어차단 기능을통해수집한월간통계로써, DB 에의한시그니쳐탐지횟수는통계에포함되지않는다. 9월랜섬웨어차단통계 5,000 4,500 4,000 3,500 3,000 2,500 2,000 1,500 1,000 500 0 1 2 3 4 5 6 7 8 9 101112131415161718192021222324252627282930 악성코드유포지 / 경유지 URL 통계 해당통계는 Threat Inside 에서수집한악성코드유포지 / 경유지 URL 에대한월간통계로, 9월한달간총 12,503 건의악성코드유포지 / 경유지 URL 이확인되었다. 9월악성URL 유포지 / 경유지 400 300 200 100 0 유포지 경유지 5
이스트시큐리티보안동향보고서 02 전문가보안기고 1. 새로운 KONNI 캠페인등장, ' 작전명해피바이러스 (Operation Happy Virus)' 2. 한국맞춤형파밍악성코드 KRBanker, 국내웹해킹으로전격귀환 6
02 전문가보안기고 1. 새로운 KONNI 캠페인등장, ' 작전명해피 바이러스 (Operation Happy Virus)' 이스트시큐리티사이버위협인텔리전스 (CTI) 전문조직인시큐리티대응센터 ( 이하 ESRC) 에서는 2018 년 10 월 18 일 새로운 'KONNI' 캠페인의활동을발견했습니다. 'KONNI' 시리즈는지난 2014 년부터주로북한관련내용을담고있는미끼파일로유혹하고있으며, 한국언론매체를 통해알려진기사를활용하고있기도합니다. 해당위협그룹은주로스피어피싱 (Spear Phishing) 공격을통해문서파일형태로위장한 EXE, SCR 실행파일 형식이나실제문서파일 (DOC 등 ) 취약점을활용하기도합니다. 이번에새롭게발견된최신 'KONNI' 변종은기존과유사하게 EXE 악성코드내부에 2 개의리소스모듈을숨기고 있으며, 악성파일개발에다음과같은 PDB 경로가사용되었습니다. F:\0_work\planes\2018\forvirus\happy\Release\happy.pdb 기존시리즈에서발견됐던 PDB 내용에는다음과같은것이존재하며, 일부에는러시아표기를포함하고있기도 합니다. F:\0_work\_programe\Dlldroper\virus-load\_Result\virus-dll.pdb F:\0_work\_programe\virus-load920\_Result\virus-dll.pdb F:\0_work\_programe\virus-load\_Result\virus-dll.pdb F:\0_work\_programe\virus-loadRussia\_Result\virus-dll.pdb F:\0_work\_programe\Worm\InfectWorm_Full_20170615\Release\InfectWorm.pdb F:\0_work\_programe\Worm\InfectWorm_Full_20170816\Release\InfectWorm.pdb F:\0_work\planes\2017\0414\Doc7\Release\Doc.pdb F:\0_work\planes\2017\0414\virus-load\_Result\virus-dll.pdb F:\0_work\planes\2017\0502\virus-load\_Result\virus-dll.pdb 7
02 전문가보안기고 F:\0_work\planes\2017\0502\virus-load\_Result\virus-exe.pdb F:\0_work\planes\2017\0508\Doc7\Release\Doc.pdb F:\0_work\planes\2017\0626\virus-load\_Result\virus-dll.pdb F:\0_work\planes\2017\0920\Doc7\Release\Doc.pdb F:\0_work\planes\2018\0328\Doc7\Release\Doc.pdb 금일새로등장한 'KONNI' 악성코드에는 'forvirus', 'happy' 이름의폴더경로에서제작되었고, 최종파일명도 'happy.exe' 입니다. 저희는공격자가사용한폴더명의키워드를활용해사이버위협캠페인 (Campaign) 명을 ' 작전명해피 바이러스 (Operation Happy Virus)' 로명명하였습니다. 메인드롭퍼에는 'DOD', 'EOE' 이름을사용한 2 개의리소스가포함되어있으며, 한개는 MS DOC Word 문서이고, 나머지한개는 EXE 실행파일입니다. 특이하게각리소스는한국어기반 (1042) 으로만들어진것을확인할수있습니다. [ 그림 1] 악성코드에포함된 2 개의리소스화면 악성코드는 2018 년 10 월 18 일발견되었지만, 내부코드를분석해보면실제만들어진날짜는한국시간 (KST) 기준으로 2018 년 10 월 19 일 03:51 분제작된것으로알수있습니다. 8
02 전문가보안기고 실제발견된날짜와제작된날짜에차이가있고, 공격자가제작날짜를의도적으로숨기고조작을시도했다는것을알 수있습니다. 리소스에포함되어있는정상 DOC 문서파일에는다음과같이한국의연합뉴스영문소식이포함되어있습니다. [ 그림 2] 악성코드가사용하는정상문서파일의화면 해당뉴스내용은실제로연합뉴스영문사이트에등록되어있는내용을공격자가복사해서사용한것입니다. 9
02 전문가보안기고 이문서파일의메타데이터를확인해보면, 코드페이지가한국어 (949) 로설정된것을알수있습니다. Codepage: 949 Category: PSIDDSI_PRESFORMAT: Manager: Company: Byte count: 0 Line count: 9 Paragraph count: 2 Slide count: 0 Note count: 0 Hidden count: 0 그리고문서파일은한국시간 (KST) 기준으로 2018 년 10 월 18 일오전 11 시 19 분경에제작된것을확인할수 있고, 만든이는한자로된이름 ' 朱熠锷 ' 을가지고있고, 마지막으로수정된이름은 'james' 입니다. [ 그림 3] 악성코드에포함되어있는 DOC 문서의메타정보 10
02 전문가보안기고 ' 朱熠锷 ' 이름으로사용된문서는이미 2018 년 4 월 9 일이스트시큐리티알약블로그 ' 군비통제관련기사문서로 위장한악성코드주의 ' 를통해서도유사변종이사용했던기록을가지고있습니다. 악성코드는 MS Word DOC 파일을 'DoD' 리소스로포함하고있고, 다음과같은코드로실행을하게됩니다. [ 그림 4] 'DoD' 리소스를활용하는함수영역 'EoE' 리소스는정상적인 PE 구조의 EXE 파일이존재하지만, 생성될때는다음함수에의해손상된 EXE 파일로 변환되어생성되고실행됩니다. 정상적인 EXE 파일의다이얼로그에는흥미롭게도중국어리소스 (2052) 가포함되어있기도합니다. 11
02 전문가보안기고 [ 그림 5] 'EoE' 리소스를활용하는함수영역 정상적인 EXE 파일이해당함수에의해손상된형태로생성되고실행되기때문에오류메시지창이나타나게됩니다. 리소스에존재했던코드와실제생성된코드를비교해보면다음과같이생성될때는코드가모두비정상적인데이터로 변경된것을알수있습니다. 12
02 전문가보안기고 [ 그림 6] 리소스에존재했던코드와생성된후코드의비교화면 ESRC 는공격자가어떤목적으로이러한기법을활용했는지그의도를파악하고있으며, 'KONNI' 제작자가수년동안 지속적으로활동하고있다는점에서각별한주의가요구되고있습니다. 13
02 전문가보안기고 2. 한국맞춤형파밍악성코드 KRBanker, 국내웹해킹으로전격귀환 국내유명사이버학습원에서 CK VIP Exploit 을통한 KRBanker 악성코드유포가확인되어주의를당부드립니다. 악성코드가유포되는사이트는정상적인스크립트파일내부에악성스크립트를삽입하여악성 URL 로연결시키고 있습니다. [ 그림 1] 해당사이트에삽입된악성스크립트코드화면 취약한윈도우및소프트웨어를사용중인사용자가해당사이트를방문할경우 Drive By Download 기법에의해 악성코드가다운로드및실행될수있습니다. 14
02 전문가보안기고 이스트시큐리티악성코드위협대응솔루션 Threat Inside( 쓰렛인사이드 ) 에분석된데이터에의하면 2018 년 10 월 19 일 09 시에해당사이트에서최초악성코드가발견되었으며, CK VIP(KaiXin) 익스플로잇킷공격도구로만들어진 사이트로확인이되었습니다. 또한이사이트에는 CVE-2018-8174, CVE-2016-0189 VB 스크립트취약점, CVE-2016-7201 엣지브라우저 취약점등을포함하여총 7 가지취약점공격으로이루어져있습니다. ThreatInside 에서는해당사이트에서사용된 CK VIP(KaiXin) 익스플로잇킷을상세분석하여사용된취약점리스트를 볼수있습니다. [ 그림 2] CK VIP(KaiXin) 익스플로잇분석흐름도이미지 15
02 전문가보안기고 hxxp://www.w-****.***/a*****/upload/1/index.html hxxp://www.w-****.***/a*****/upload/1/vsmxnq.html hxxp://www.w-****.***/a*****/upload/1/yvdvdt.jar hxxp://www.w-****.***/a*****/upload/1/rqsjup.html hxxp://www.w-****.***/a*****/upload/1/long.js hxxp://www.w-****.***/a*****/upload/1/jquery.js hxxp://www.w-****.***/a*****/upload/1/byfbwu.html hxxp://www.w-****.***/a*****/upload/1/rahdas.jar hxxp://www.w-****.***/a*****/upload/1/lvwzro.html hxxp://www.w-****.***/a*****/upload/1/swfobject.js hxxp://www.w-****.***/a*****/upload/1/deconcept.swf hxxp://www.w-****.***/a*****/upload/1/expressinstall.swf hxxp://www.w-****.***/a*****/upload/1/ww.html hxxp://www.w-****.***/a*****/upload/1/ww.js hxxp://www.w-****.***/a*****/upload/1/ww.swf hxxp://www.w-****.***/a*****/upload/1/ww.doc hxxp://www.w-****.***/a*****/upload/1/bin_do.swf hxxp://www.w-****.***/a*****/upload/1/license.swf hxxp://www.w-****.***/a*****/upload/1/logo.swf hxxp://www.w-****.***/a*****/upload/1/deep_do.swf hxxp://www.w-****.***/a*****/upload/1/cam_do.swf hxxp://www.w-****.***/a*****/upload/1/vljqss.jar hxxp://w-****.***/a*****/upload/1/kk.exe ( 현재유포가진행중이라일부 * 로대체 ) hxxp://w-dana.com/admode/upload/1/kk[.]exe hxxp://www.selffund.co.kr/upload/se[.]exe hxxp://kgfarmmall.co.kr/data/sample/kk[.]exe 취약한사용자가접속할경우다운로드및실행되는악성코드는흔히알려진 hosts 파일변조를통한파밍방법과는 달리로컬에프락시서버를구축하여 C&C 로웹페이지를포워딩하는방식을사용하고있습니다. 16
02 전문가보안기고 [ 그림 3] 감염된시스템에서보여지는파밍사이트화면 [ 그림 4] 로컬프록시서버를이용한파밍방식 17
02 전문가보안기고 이번에발견된것과같이 Drive By Download 통한 KRBanker 악성코드는 2016 년까지성행하였지만 2017 년부터 최근까지공격자그룹이모습을감춘악성코드입니다. [ 그림 5] KRBanker 악성코드타임스탬프이미지 위의그림과같이해당악성코드가금일을기점으로다시유포를시작한다는점에주의를기울여야하며, 이러한 악성코드에감염되지않기위해서는윈도우보안업데이트를포함한각종어플리케이션업데이트를항상최신으로 유지하는보안습관을준수하시길당부드립니다. 통합백신알약에서는관련악성코드를 Spyware.Krbanker.Gen 으로진단하고있습니다. 18
이스트시큐리티보안동향보고서 03 악성코드분석보고 개요 악성코드상세분석 결론 19
03 악성코드분석보고 [Trojan.Ransom.Ryuk] 악성코드분석보고서 1. 개요 최근노스캐롤라이주잭슨빌에위치한수도사업소에랜섬웨어공격이발상하여시스템운영이마비되었다. 이공격에 사용된악성코드는 Ryuk 랜섬웨어로밝혀졌다. 해당랜섬웨어는올해초유포되었던 Hermes 랜섬웨어의변종으로 많은유사성을가진다. 따라서, 본보고서에서는 Ryuk 랜섬웨어의악성행위와이를예방하기위한방법에대해기재한다. 20
03 악성코드분석보고 2. 악성코드상세분석 2.1. 프로세스인젝션사용자로부터감염사실을은폐하기위해실행중인프로세스중임의로선택하여파일암호화를수행하는코드를인젝션한다. 이과정에서 csrss.exe, explorer.exe, lsaas.exe 는제외된다. 이는시스템안정성과인젝션을통한탐지를우회하기위한행위로보인다. 또한제외프로세스 lsaas.exe 는 lsass.exe 의오타로보인다. [ 그림 1] 프로세스인젝션코드 21
03 악성코드분석보고 2.2. 파일암호화파일암호화를수행하는과정에서중복실행을방지하기위해킬스위치파일인 sys 파일을생성한다. 이파일은 os 버전에의해구분되어 Windows XP 이하버전경우, C:\Documents and Settings\Default User 하위로 Windows7 이상버전경우, C:\Users\Public 하위로생성한다. [ 그림 2] 킬스위치생성코드 킬스위치기능을하는파일이없을경우, 이를생성하고파일암호화를진행한다. 로컬의모든드라이브와공유된 폴더들을대상으로루트경로부터파일을탐색한다. 파일탐색중다음의특정문자열이나확장자를가지면암호화에서 제외된다. 이는백신의탐지를우회하고시스템파일들은파일암호화에서제외하기위함으로보인다. 22
03 악성코드분석보고 Windows Ahnlab Chrome Mozilla %Recycle..Bin WINDOWS [ 표 1] 암호화제외문자열 dll lnk hrmlog ini exe [ 표 2] 암호화제외확장자 다음은파일을암호화하는코드이다. [ 그림 3] 파일암호화코드 23
03 악성코드분석보고 사용자가암호화된파일을백업된시점으로되돌릴수있기때문에이를방지하기위하여볼륨섀도우를삭제한다. [ 그림 4] 볼륨섀도우삭제코드 2.3. 자동실행등록파일암호화중시스템이종료될경우, 모든파일의암호화가진행되지않을수있기때문에공격자를컴퓨터재부팅시에도암호화를진행할수있도록자동실행등록을수행한다. 그러나재부팅시에도킬스위치파일이남아있어추가적인암호화는진행되지않는다. [ 그림 5] 자동실행등록코드 24
03 악성코드분석보고 2.4. 메타데이터 특정서비스들을종료할수있는명령데이터들이발견되었다. 종료대상서비스는 Anti-Virus, DataBase 프로그램등 180 개이상이존재한다. 하지만이를호출하는루틴이존재하지않기때문에실행되지않는다. [ 그림 6] 서비스종료명령데이터 25
03 악성코드분석보고 3. 결론 본랜섬웨어는 Hermes 랜섬웨어의변종으로써사용자로부터의심을피하기위해임의의프로세스에인젝션을시도하 여파일암호화를수행한다. 또한킬스위치파일이존재하며암호화과정에서이파일이존재할경우암호화가진행되 지않는다. 재부팅시에도악성행위를지속하기위해자동실행등록을한다. 하지만사용자가비정상적인시스템을인지하고감염초기에해당프로세스를종료하면이미생성된킬스위치파일때 문에암호화는더이상진행되지않는다. 추가로, 악성행위과정에서실행되지않는메타데이터들과킬스위치등의취약점으로암호화에실패할경우를대비하여 공격자는지속적인변종을생성할것으로예상된다. 따라서, 사용자들은감염을예방하기위해출처가불분명한파일은다운로드및실행을지양하고보안전문가들은지속 적인연구가필요하다. 현재알약에서는해당악성코드를 Trojan.Ransom.Ryuk 로탐지하고있다. 26
03 악성코드분석보고 [Trojan.Android.Banker] 악성코드분석보고서 1. 개요 MS 사의 Xamarin 을활용하는또다른악성앱이등장하였다. 해당앱은구글플레이스토어와비슷한이름과아이콘을사용하여사용자를속인다. 지속적인악성행위를위해서앱의아이콘을숨기고관리자권한을요구한다. 또한, 원격명령을통해서기기정보탈취뿐만아니라문자기록, 주소록등의개인정보까지탈취한다. 무엇보다가짜사이트를띄워카드관련정보를탈취한다. 본분석보고서에서는 Trojan.Android.Banker 를상세분석하고자한다. 27
03 악성코드분석보고 2. 악성코드상세분석 2.1. 악성행위준비처음악성앱을실행하면사용자를속이기위해서해당앱의아이콘을숨기고관리자권한을요구한다. 관리자권한을허용하도록유도하는문구를띄우고관리자권한이허용되면기기의바탕화면으로자동이동한다. 아이콘을숨김으로써지속적인악성행위가가능하고, 관리자권한허용을통해서앱삭제를방해한다. [ 그림 1] 악성행위준비 28
03 악성코드분석보고 2.2 기기정보등록 기기와관련된정보들을 C&C 서버 5.9.33.226:541 에등록한다. 그러나, 실제통신은되지않고있다. 저장되는 정보들로는기기의전화번호, 모델, 제조사, 유심정보등 10 가지기기정보가등록된다. [ 그림 2] C&C 서버에저장되는기기정보 29
03 악성코드분석보고 2.3 카드정보탈취 해당샘플의 assets 폴더내부의구글결제를사칭한 index_main.html 를띄우고카드관련정보를탈취한다. 해당 언어는러시아어로되어있어공격대상이러시아임을알수있다. [ 그림 3] 카드정보탈취 30
03 악성코드분석보고 2.4 원격명령 C&C 서버를통하여원격명령을내릴수있다. 원격명령은기기의모든기능을통제하는 23 가지명령으로되어있다. [ 그림 4] 원격명령 SendSMS 명령을통해서 SMS 관련권한을확인하고 SendTextMessage 메소드를통해서 SMS 를전송한다. [ 그림 5] SendSMS 명령 RequestGoogleCC 명령을통해서카드정보를훔치는구글결제사칭화면을언제든지띄울수있다. 31
03 악성코드분석보고 [ 그림 6] RequestGoogleCC 명령 Wipe 명령을통해서기기의사용자데이터정보를삭제한다. [ 그림 7] Wipe 명령 OpenBrowser 명령을통해서원하는사이트를기기의화면에띄울수있다. [ 그림 8] OpenBrowser 명령 SendUSSD 명령을통해서기기와관련된특정정보를확인할수있다. 예를들면, *#44336# 로통화를누르면 소프트웨어버전의정보를알수있고, *#92782# 는기기모델등을알수있다. 이와관련하여 USSD 는 Unstructured Supplementary Service Data 의약자이며, 상호작용하는프로토콜로 180 여개의명령이존재한다. [ 그림 9] SendUSSD 명령 32
03 악성코드분석보고 ServerChange 명령을통해서 C&C 서버의주소를변경할수있다. [ 그림 10] ServerChange 명령 StartApp 명령을통해서다른앱을추가실행할수있다. [ 그림 11] StartApp 명령 CallPhone 명령을통해서특정번호로전화를걸수있다. [ 그림 12] CallPhone 명령 SetPingTimer 명령을통해서 C&C 서버와의통신주기를조절할수있다. [ 그림 13] SetPingTimer 명령 33
03 악성코드분석보고 SMSBroadcast 명령을통해서수신되는 SMS 를확인할수있다. [ 그림 14] SMSBroadcast 명령 RequestContacts, RequestSMSList, RequestAppList, RequestLocation 각명령을통해서주소록, SMS 목록, 설치된앱 목록, 위치정보를요청할수있다. [ 그림 15] RequestContacts 명령 34
03 악성코드분석보고 [ 그림 16] RequestSMSList 명령 [ 그림 17] RequestAppList 명령 [ 그림 18] RequestLocation 명령 35
03 악성코드분석보고 ShowNotification 명령을통해서기기의상단바로알람이가도록할수있다. [ 그림 19] ShowNotification 명령 SetLockPassword 명령을통해서기기의비밀번호를제어한다. [ 그림 20] SetLockPassword 명령 LockNow 명령을통해서화면을잠근다. [ 그림 21] LockNow 명령 MuteSound 명령을통해서기기의소리를제어한다. [ 그림 22] MuteSound 명령 36
03 악성코드분석보고 LoadScript, LoadPlugin, Evaluate, AddInject, RemoveInject 5 개의각명령을통해서스크립트삽입, 코드삽입및삭제 등의추가행위가가능하다. [ 그림 23] 코드추가및삭제와관련된명령 2.5 기타행위 C&C 서버와의통신을유지하기위해서와이파이를관리하고, 전원제어를통하여앱이꺼지지않도록한다. 또한, 수신되는 SMS 의번호와내용을탈취하여수시로 C&C 서버로전송한다. [ 그림 24] 와이파이제어 [ 그림 25] 전원제어 [ 그림 26] 수신문자탈취 37
03 악성코드분석보고 3. 결론 해당악성앱은공식마켓인구글플레이스토어의아이콘과이름을사칭한다. 사용자를속이기위해서앱을숨기고 지속적인악성행위를위해서관리자권한을요구한다. 원격명령을통해기기및개인정보를탈취하는데, 특히신용 카드정보를탈취하기때문에사용자의금전적피해가커질수있다. 따라서, 악성앱으로부터피해를최소화하기위해서는백신앱을통한주기적인검사가중요하다. 출처가불명확한 URL 과파일은실행하지않는것이기본이고공식마켓인구글플레이스토어를통해서확보한앱이라도백신앱을추가 설치하여주기적으로업데이트하고검사해야한다. 현재알약 M 에서는해당앱을 Trojan.Android.Banker 탐지명으로진단하고있다. 38
이스트시큐리티보안동향보고서 04 해외보안동향 영미권 중국 일본 39
04 해외보안동향 1. 영미권 지속을위해 6 가지방법을사용하지만뚜렷한목적이없는, 새로운 Iot 봇넷 Torii 발견 New Iot Botnet Torii Uses Six Methods for Persistence, Has No Clear Purpose 보안연구원들이보통 Mirai 변종보다우월한수준의새로운 IoT 봇넷을발견했다. 이봇넷의개발자들은 CPU 아키텍쳐 다수용바이너리를제작하여스텔스및지속성을위해악성코드를조정했다. C&C 서버와의통신은암호화되었으며, 추출및명령실행등의기능을포함하고있다. Avast 의연구원들에따르면, 이악성코드는지난 2017 년 12 월부터활동해왔으며 MIPS, ARM, x86, x64, PowerPC, SuperH 등의 CPU 아키텍쳐기기들을노린다. Mirai 기반의위협들사이에서멀티플랫폼지원은흔한것이지만, 연구원들은 Torii 가지금까지본것들중에가장큰아키텍쳐세트를지원하는봇넷중하나라밝혔다. Tor 를통한텔넷공격유명한보안연구원인 Dr. Vesselin Bontchev 는그의텔넷허니팟에서이악성코드의샘플을발견했다. 그는텔넷통신을위한포트 23 을통해공격받았음을발견했지만, 이통신은 Tor 네트워크를통해터널링되어있었다고밝혔다. Torii 는 Telnet 이노출되어있거나취약한크리덴셜로보호된시스템을노린다. 이는기기의아키텍쳐를알아내는정교한스크립트를실행하고바이너리페이로드를전달하기위해 'wget,' 'ftpget,' 'ftp,' 'busybox wget,', 'busybox ftpget' 등의명령어를사용한다. Torii, IoT 기기에머무르기위해감염시켜 이스크립트는다음으로기기의아키텍쳐를위한 1 단계페이로드를다운로드한다. 이는지속성을가지며, 2 단계 페이로드를위한드롭퍼일뿐이다. Torii 는 VPNFilter 와 Hide and Seek 에이어감염된기기에서지속성을얻는세번째 IoT 봇넷이다. 즉, Torii 는시스템 재부팅후에도살아남으며, 펌웨어를디폴트구성으로리셋하여제거할수있다는것이다. 연구원들은 이는파일이기기에서유지되고, 항상실행되도록하기위해최소 6 가지방법을사용한다. 이들중하나만 실행하는것이아니라, 이들모두를실행한다. 6 가지방법은아래와같다. A. ~\.bashrc 에주입한코드를통한자동실행 B. Crontab 에 @reboot 를통한자동실행 40
04 해외보안동향 C. Systemd 를통해 System Daemon 서비스로써자동실행 D. /etc/init 와 PATH 를통한자동실행 E. SELinux 정책관리를수정해자동실행 F. /etc/inittab 를통한자동실행 용도는다양하지만, 뚜렷한목적이없는 Torii C2 서버로의트래픽은암호화되며 TLS 특정포트 443 을통해전달되지만, 이악성코드는 TLS 프로토콜을사용하지않는다. 악성코드가호스트네임, 프로세스 ID, mac 주소및시스템관련정보를추출해내기때문에이러한방식으로교환된정보는기기의정보를인식하는데도움을준다. 대부분의 IoT 봇넷의목적은 DDoS 또는가상화폐채굴이지만, Torii 는아직까지는이러한의도를보이고있지 않다. 하지만이봇넷은감염기기에서어떠한명령어도실행이가능하기때문에, 가능성은매우다양하다. 또한 GOP 언어로작성되어다양한기기배열을위해재컴파일될수있다. [ 출처 ] https://www.bleepingcomputer.com/news/security/new-iot-botnet-torii-uses-six-methods-for-persistence-has-no-clear-purpose/ https://blog.avast.com/new-torii-botnet-threat-research 41
04 해외보안동향 GandCrab v5 랜섬웨어, 랜덤확장자와 HTML 랜섬노트를사용하고 ALPC 작업스케쥴러익스플로잇악용해 GandCrab V5 Released With Random Extensions and New HTML Ransom Note GandCrab v5 랜섬웨어가몇가지눈에띄는변화와함께출시되었다. 가장눈에띄는변화는, 암호화한파일의 확장자로랜덤한문자 5 개를사용한다는것과 HTML 랜섬노트를사용한다는것이다. 보안연구원인 nao_sec 이 Fallout 익스플로잇키트를호스팅하는사이트로이동시키는멀버타이징을통해배포되고 있다는사실을발견했다. 이익스플로잇은방문자의소프트웨어에존재하는취약점을활용해그들의소프트웨어를 설치하기때문에, 피해자는암호화된파일과랜섬노트를발견하기전까지는감염사실을눈치채지못할수있다. 또한, GandCrab v5 랜섬웨어가감염된컴퓨터에서시스템권한을얻기위해최근공개된작업스케쥴러 ALPC 취약점을악용하는것으로나타났다. 이취약점은 2018 년 9 월 패치화요일 업데이트를통해패치되었으나업데이트가느린기업용 PC 등아직까지업데이트되지않은컴퓨터들은취약할수있다. 이전버전과같이, GandCrab v5 로암호화된파일을무료로해독할수있는방법은없다. GandCrab v5 가컴퓨터를암호화하는법 GandCrab v5 가실행되면, 이는컴퓨터및모든네트워크공유를탐색해암호화할파일을찾다. 네트워크공유를스캐닝할때, 매핑된드라이브뿐만아니라네트워크의모든공유가나열된다. 타깃파일을발견하면, 이를암호화한후랜덤문자 5 개를확장자로붙이다. 예를들어, 연구언이랜섬웨어를테스트했을때는.lntps 확장자가붙었다. Test.doc 파일이암호화될경우 test.doc.lntps 와같이이름이변경될것이다. 아래는암호화된파일이있는폴더의예이다. 42
04 해외보안동향 파일이암호화될때, 랜섬웨어는 [extension]-decrypt.html [EXTENSION]-DECRYPT.txt 라는이름의랜섬노트도 생성한다. 예를들면, 위의테스트에서확장자가 lntps 였으므로랜섬노트의이름은 LNTPS-DECRYPT.html 가될 것이다. 랜섬노트의내용은아래와같다. 사용자가 TOR 지불사이트에방문하면, GandCrab 해독기를받기위한랜섬금액과지불방법등을보게된다. 43
04 해외보안동향 랜섬머니는현재 $800 USD 로책정되어있으며 DASH 코인을통해지불할수있다. [ 출처 ] https://www.bleepingcomputer.com/news/security/gandcrab-v5-ransomware-utilizing-the-alpc-task-scheduler-exploit/ https://www.bleepingcomputer.com/news/security/gandcrab-v5-released-with-random-extensions-and-new-html-ransom-note/ 44
04 해외보안동향 모든윈도우버전에영향을미치는제로데이취약점발견 Researcher Discloses New Zero-Day Affecting All Versions of Windows 한보안연구원이마이크로소프트 Windows 의모든버전 ( 서버에디션포함 ) 에영향을미치는패치되지않은제로데이 취약점을공개했다. 연구원은 120 일의기한이내에마이크로소프트가이취약점을패치하지못해공개했다고밝혔다. 트렌드마이크로의 Lucas Leong 이발견한이제로데이취약점은마이크로소프트 Jet Database Engine 에존재하며, 공격자가모든취약한윈도우컴퓨터에서원격으로악성코드를실행할수있도록허용한다. 마이크로소프트의 JET 데이터베이스엔진 (Joint Engine Technology) 는 Access 와비쥬얼베이직을포함한 마이크로소프트제품들다수에통합된데이터베이스엔진이다. ZDI 측에서발표한권고에따르면, 이취약점은 Jet 데이터베이스엔진의인덱스관리에서발생하는문제때문에발생한다. 성공적으로악용될경우 out-of-bound 메모리쓰기가발생해원격코드실행으로이어질수있다. 이취약점을악용하여타겟컴퓨터에서원격으로악성코드를실행하기위해공격자는타겟사용자가특별히제작한 JET 데이터베이스파일을오픈하도록속여야한다. 데이터베이스파일내특별히제작된데이터로인해할당된버퍼의끝을지나서쓸수있게된다. 공격자는이취약점을악용해현재프로세스의컨텍스트에서코드를실행할수있다. 다양한응용프로그램에서이데이터페이스포맷을사용한다. 이를이용하는공격자는현재프로세스수준에서코드를실행할수있게된다. ZDI 의연구원들에따르면, 이취약점은 Windows 10, 8.1, 7, Windows Server Edition 2008~2016 을포함한모든지원되는버전에존재한다. 이들은지난 5월 8일이취약점에대해마이크로소프트에알렸으며, 마이크로소프트측은 5월 14 일버그를확인했지만 120 일 (4 개월 ) 이내에패치하지않아취약점의세부내용을공개했다고밝혔다. 트렌드마이크로는이취약점의 PoC 익스플로잇코드또한 GitHub 페이지에공개했다. 마이크로소프트는이취약점의패치를제작중이며, 9 월정기업데이트에포함되지않았기때문에 10 월정기패치에 포함될것으로추측된다. 트렌드마이크로는마이크로소프트가패치를발표하기전까지사용자들에게 응용 프로그램의상호작용을신뢰할수있는파일만가능하도록제한 하기를권장했다. [ 출처 ] https://thehackernews.com/2018/09/windows-zero-day-vulnerability.html https://www.zerodayinitiative.com/advisories/zdi-18-1075/ 45
04 해외보안동향 2. 중국 중국정부홈페이지등록시반드시상위기관에허가를받아야하며, 이를위반시엄중한처벌을받을것이다. 정부홈페이지를둘러싼혼란이해결될예정이다. 최근국무원은정부의홈페이지등록시반드시상위기관의허가를 받아야한다는내용을발표하였다. 정부기관홈페이지 url 은반드시.gov.cn. 政务 로끝나야한다. 행정기능을 담당하지않는기관은원칙적으로 ".gov.cn" 이라는접미사가붙은영어도메인이름을사용할수없다. 현재시행되고있는도메인등록프로세스는, 홈페이지를개설하는조직이직접도메인등록기관이나호스팅업체를 통해도메인을등록하였으며, 상위기관에따로보고하지않아도되어관리감독에허점이존재하였다. 예를들어, 한조직이마음대로상업적으로자주사용되는홈페이지의도메인을신청하여지방조직의공식홈페이지를개설하였다면, 홈페이지를통일적으로관리하기가힘들어진다. 실제로국가정보공개단의책임자가말하길, 2015 년국가기관이생성한정부기관홈페이지를확인해본결과도메인관리가엉망이었으며, 매우자주홈페이지가폐쇄되고있다고밝혔습니다. 현재전국적으로약 9만개의정부기관홈페이지가존재하고수시로바뀌기때문에, 정부기관에서일률적으로관리하기가힘들며, 이로인해관리가되지않고방치되어있는홈페이지들이끊임없이늘고있다고밝혔다. 이에중국국무총리실은 < 정부기관홈페이지도메인관리에대한공지 > 에서정부기관홈페이지는원칙상한개의중문 도메인과한개의영문도메인을등록해야하며, 만약조건에부합하는여러개의도메인을갖고있다면반드시메인 도메인을정해야한다. 이미등록된정부도메인을개인맘대로다른기관혹은개인에게양도할수없다고명시하였다. 국무원은각지역및부문에내년 4 월 30 일전까지, 지역및부문행정기관및하위기관들의도메인들에대해 전면적으로분석하고, 규칙에맞지않는도메인, 홈페이지는이미폐쇄하였지만여전히말소하지않은도메인등을 정리하라고하였다. [ 출처 ] http://www.bjnews.com.cn/news/2018/09/06/503457.html 46
04 해외보안동향 Tencent 보안연구원이호텔 WiFi 취약점을이용하여내부서버에접근, 5,000 달러벌금형 9 월 25 일, 싱가폴에서열린보안컨퍼런스기간동안, Tencent 의보안연구원이자신이머물던호텔 wifi 를통해위법한 행위를하여싱가폴경찰에체포되었다. 이보안연구원은 8 월 27 일, 호텔에머물던중에호텔의 Wifi 에취약점이존재할까라는호기심이발동, 실제로 취약점을찾았으며, 해당취약점을이용하여호텔 DB 에접근을하였다. 이연구원은호텔 wifi 해킹성공후블로그에포스팅을게재하였는데, 이포스팅안에는호텔 wifi 서버관리자의 비밀번호가포함되어있었으며 Whatsapp 을통하여해당글을공유하였다. 이러한행동은싱가폴사이버보안국에 주의를집중시켰으며, 결국체포되어 5,000 만달러의벌금을물게되었다. [ 출처 ] https://baijiahao.baidu.com/s?id=1612636778779029897&wfr=spider&for=pc 47
04 해외보안동향 3. 일본 2018 년상반기는피싱유도가과거최다 코인마이너도과거최다 트렌드마이크로는 9 월 3 일, 2018 년상반기의보안동향을분석한결과를발표했다. 피싱사기나가상통화관련공격의 영향을지적하고있다. 이회사에따르면, 이기간에피싱사기사이트에유도된일본국내유저는 2017 년하반기의약 2.7 배가되는 290 만 2247 건으로과거최다였다. 공격자의표적은신용카드정보와클라우드서비스의인증정보에집중되고있고하며, 후자의경우에는 Apple ID 나 Microsoft 계정, Amazon 계정등의저명한서비스의인증정보를탈취하는수법이눈에띈다. 적어도 27 건의공격 활동이확인되었고, 그중 13 건은신용카드정보와클라우드서비스의인증정보두개를모두노리는공격이었다. 일본국내에서피싱사이트에유도된건수 (2014 년 1 월 ~2018 년 6 월, 출처 : 트렌드마이크로 ) 또한가상통화의마이닝을하는 코인마이너 는전세계에서 78 만146 건의탐지가있었고, 2017 년하반기의약 2.4 배로증가했다고한다. 일본국내의검출은과거최다인 41 만5036 건이었다. 47 종류의부정한코인마이너군이확인되었다. 특히웹서버의소프트웨어의취약성을뚫고웹사이트열람자에게부정한마이닝을하게만들기위한스크립트를심는등의공격이횡행하고있다. 48
04 해외보안동향 일본국내에서코인마이너의검출대수추이 (2017 년 1 월 ~2018 년 6 월, 출처 : 트렌드마이크로 ) 랜섬웨어의탐지대수는 2017 년하반기대비약 3% 증가한 38 만299 건이었다. 한편, 신규로확인된랜섬웨어패밀리 ( 변종을포함한것 ) 의수는 159 건에서 118 건으로감소했다. 이회사는부정한코인마이너의대두로랜섬웨어에의한금전획득을노리는위협이둔화되고는있으나공격자는완전하게포기한것은아니라고계속적인주의를권고하고있다. [ 출처 ] https://japan.zdnet.com/article/35125010/ 49
04 해외보안동향 일본어메일로부정 iqy 파일 이대량유통 일본국내 IP 에서만감염활동을전개 확장자가 iqy 의 Office 쿼리파일 을사용하여악성코드에감염시키는공격이확인되고있다. 8 월초순의대규모 공격에서는일본국내에서파일을열었을경우에만 다운로더 로동작하여악성코드에감염시키려고하고있었다. iqy 파일 은 Excel 웹쿼리기능을이용할때에이용하는파일형식이다. 통상 Excel 과관련되어있다. 조작된 iqy 파일 을열면보안상의문제가있다고해서경고알람이표시되고 무효화하겠다 를선택하면특별한피해는발생하지않는다. 그러나 유효화하겠다 를선택하면 Office 의기능을이용하여외부와통신한다. 최종적으로별도의악성코드가다운로드되어실행당할우려가있다. 5월에해외에서공개된신종공격수법에서 보호뷰 의이용하에서도공격을방지할수없다고해서시큐리티벤더와관련기관이주의를권고하고있다. iqy 파일 을이용한공격으로인터넷이니시어티브 (IIJ) 가이회사매니지드시큐리티서비스에서 7 월에 Trojan- Downloader.MSOfiice.Sliqy 를다수관측했다. 이회사가메일을경유하여확인한악성코드중, 이악성코드가전체의 41.7% 를차지하여최다였다. 특히같은달 13 일과 17 일에많이탐지되었다. 7 月에메일을경유하여탐지된악성코드의비율 ( 그래프 :IIJ) 또한 iqy 파일 을이용한일본어베이스의공격은트렌드마이크로가 8 월초순에발견하였다. 업체에따르면문제의메일은봇넷 Cutwail 을통해서송신되고있으며더나아가일본국내만으로한정하여감염활동이전개되고있었다는사실이밝혀졌다고한다. 공격에이용된메일은청구서나사진의송부등으로위장되어있었다. 8월6일, 8월8일에집중되어있으며각각 39 만8330 건, 10 만1652 건으로탐지수는이회사만해도약 50 만건에달하고있다. 50
04 해외보안동향 8 월초순에서의 iqy 파일 을악용한스팸의탐지상황 ( 그래프 : 트렌드마이크로 ) 메일이일본어로기재되어있는사실뿐아니라문제의 iqy 파일 은일본국내의 IP 주소로열린경우에한하여 악성코드를다운로드하는시스템이되어있어, 소셜엔지니어링, 기술의양면에서일본을공격대상으로삼고있었다고 한다. 또한일련의공격에서는 URLZone, Shiotob 등별명을가진 Bebloh 나 Gozi, DreamBot, Snifula, Papras 로서도 알려져있는 Ursnif 등이른바 부정송금악성코드 의감염을노리고있었다. 보안기관에서는피해를방지하기위해기본적인보안대책뿐아니라 Office 를이용하고있을때에매크로나컨텐츠 등의기능을간단하게무효화하지않도록조언한다. 수상한경고가표시되고경고가나타내는의미를모를경우에는 조작을중단하도록권고하고있다. 사진송부건 안녕하십니까? XLS 판으로송부했습니다. 첨부파일의확인부탁드리겠습니다. 잘부탁드리겠습니다. 일본어로된공격메일의일례 ( 화면 :IPA) [ 출처 ] http://www.security-next.com/097805 51
04 해외보안동향 가상통화거래소 Zaif 에부정접속, 약 67 억엔이피해 원인은공개되지않아 테크뷰로가운영하는가상통화거래소 Zaif 가부정접속을받아약 67 억엔에해당하는가상통화가부정으로출금되었다는사실이밝혀졌다. 이회사는고객의피해를보상하기위해자금조달을위한교섭을진행하고있다고한다. 이서비스에서는 9월14 일부터가상통화의입출금을할수없게되는문제가발생하고있었으나입출금용핫월렛을관리하는서버가외부에서의부정접속을받고있었다는사실이판명된것이다. 이회사에따르면부정접속은 9 월 14 일 17 시경부터 14 일 19 시경에걸쳐서이루어지고있으며 Bitcoin, Bitcoin Cash, Monacoin 이부정으로송금되었다. 서비스의이상을탐지한것은 9 월 17 일로다음날인 18 일에피해를 확인했다고한다. 약 43 억엔에해당하는 5966BTC 의송금이판명되고있을뿐아니라서버를정지하고있기때문에상세한피해액은 밝혀지지않고있으나다른코인을합쳐서약 67 억엔상당이피해를입었다. 그중약 45 억엔이고객이예치한 자금으로약 22 억엔은이회사의고유자산이라고한다. 부정접속을받은 Zaif 부정접속을받은구체적인원인에대해서는경찰에피해를신고하고수사를의뢰한것과동종의피해를막는것등을이유로들어공표를바꿀것이라고한다. 이번문제에따라이회사는금융청에사태를보고했다. 가상통화를입출금하기위한시스템을재가동하기위해서버의재구축등보안강화를진행하고있으나구체적인복구의목표는세우지않고있다. 이회사는소실된가상통화를조달하기위해이회사주식의과반수이상을취득하는자본제휴나 50 억엔의지원을 받는것에대해서검토하는계약을피스코디지털에셋그룹 (Fisco Digital Asset Group) 의자회사와체결했다. 9 월 하순의실현을목표로교섭을진행해나가겠다고한다. 52
04 해외보안동향 더불어보안대책에있어서는카이카에서기술제공을받는계약을체결했다고한다. [ 출처 http://www.security-next.com/098107 53
( 주 ) 이스트시큐리티 ( 우 ) 06711 서울시서초구반포대로 3 이스트빌딩 02.583.4616 www.estsecurity.com 0