ASEC REPORT VOL 년 3 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

Similar documents
*2008년1월호진짜

Windows 8에서 BioStar 1 설치하기

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

ASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

Microsoft Word - src.doc

ActFax 4.31 Local Privilege Escalation Exploit

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

#WI DNS DDoS 공격악성코드분석

ASEC REPORT VOL 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

Red Eyes Hacking Group 상세분석 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : AhnL

ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

Security Trend ASEC Report VOL.56 August, 2014

Secure Programming Lecture1 : Introduction

ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작

목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

Security Trend ASEC REPORT VOL.68 August, 2015

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

System Recovery 사용자 매뉴얼

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀


` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

PowerPoint Template

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

ASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

PowerPoint Template

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

Tick Group 공격동향보고서 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : AhnLab, Inc.

07_alman.hwp

ASEC REPORT VOL 년 2 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

게시판 스팸 실시간 차단 시스템

untitled

ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

Security Trend ASEC REPORT VOL.70 October, 2015

#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리

목차 개요... 3 공격현황... 4 공격방식... 7 스피어피싱 (Spear Phishing) 이메일... 7 워터링홀 (Watering hole)... 7 중앙관리시스템... 8 국내외주요공격사례... 8 국내사례 Icefog-NG 변형 오퍼레

Operation Kabar Cobra Kimsuky 공격그룹의최신타깃공격사례분석 안랩시큐리티대응센터 (ASEC) 대응팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : w

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

Windows 10 General Announcement v1.0-KO

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

TGDPX white paper

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

Security Trend ASEC Report VOL.63 March, 2015

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

Table of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17

ASEC REPORT VOL 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

ASEC REPORT VOL.78 June, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

08_spam.hwp

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

ASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

행자부 G4C

ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성

The Pocket Guide to TCP/IP Sockets: C Version

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

IRISCard Anywhere 5

유포지탐지동향

JDK이클립스

1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다. TOE의 세부 식별자 및 배포

Security Trend ASEC REPORT VOL.67 July, 2015

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

고객 카드

ASEC REPORT VOL.75 March, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

1

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

Security Trend ASEC Report VOL.52 April, 2014

슬라이드 1

Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

SIGIL 완벽입문

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

ISP and CodeVisionAVR C Compiler.hwp

untitled

MF Driver Installation Guide

Windows Server 2012

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

로거 자료실

1장 암호의 세계

PowerPoint Template

1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나 데이터를암호화해사용할수없도록하고이를인질로금전

ìœ€íŁ´IP( _0219).xlsx

ASEC REPORT VOL 년 3 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

Security Trend ASEC Report VOL.55 July, 2014

IssueMakersLab

vRealize Automation용 VMware Remote Console - VMware

Transcription:

ASEC REPORT VOL.88 2017 년 3 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 더많은정보는안랩닷컴 (www. ahnlab.com) 에서확인하실수있습니다. 2017 년 3 분기보안동향 Table of Contents 보안이슈 SECURITY ISSUE 금융거래정보노리는이모텟 (Emotet) 재등장 04 악성코드상세분석 ANALYSIS-IN-DEPTH 오퍼레이션비터비스킷 (Operation Bitter Biscuit) 분석보고서 14 ASEC REPORT Vol.88 Security Trend 2

보안이슈 SECURITY ISSUE 금융거래정보노리는 이모텟 (Emotet) 재등장

보안이슈 금융거래정보노리는 Security Issue 이모텟 (Emotet) 재등장 지난 2017 년 8월, 안랩은자사클라우드기반의악성코드위협분석및대응시스템인 ASD(AhnLab Smart Defense) 를통해이모텟 (Emotet) 악성코드가스팸봇넷을통해다시유포되고있음을확인했다. 이모텟은지난 2014 년해외에서처음발견된금융정보탈취악성코드다. 이번에다시발견된이모텟악성코드는사용자의금융거래정보유출을위해악성행위에필요한기능을모듈화하였으며, C&C 서버로부터해당모듈을다운받아동작하는것이특징이다. 이글에서는이모텟악성코드의유포과정및일련의동작방식을살펴보고, 이모텟악성코드의주요 악성행위들을면밀히살펴본다. 1. 이모텟유포및동작방식 이모텟악성코드의전체적인동작방식은 [ 그림 1-1] 과같다. 안랩의분석결과, 지난 3 분기에유포된이모텟 악성코드는 [ 표 1-1] 의 1 과같이스팸봇넷을통 해메일내첨부파일형태로유포되고있음을확 인했다. 그림 1-1 이모텟악성코드의동작방식 ASEC REPORT Vol.88 Security Trend 4

1 스팸메일내첨부파일을통해이모텟악성코드다운로드및실행 2 자동실행서비스에이모텟악성코드등록 3 시스템 OS 정보, 실행중인프로세스리스트, 이모텟악성코드의 PE CRC, 컴퓨터이름, 볼륨시리얼넘버정보를암호화하여전송 4 C&C 서버로부터추가악성행위를수행하기위한모듈다운로드 5 다운로드된모듈실행 표 1-1 이모텟악성코드동작방식설명 봇넷을통해전송된스팸메일에첨부된워드파일에는 [ 그림 1-2] 와같이악성매크로가포함되어있다. 그림 1-2 스팸메일내워드파일에첨부된악성매크로 해당문서에는 이문서는보호되어있으며매크로실행을허용하라 와같이사용자의악성매크로실행을유도하는내용이담겨있다. 사용자가매크로허용버튼을누르면 [ 그림 1-3] 과같이난독화된파워쉘명령어가실행되면서이모텟악성코드 ( 이하이모텟로더 ) 가외부 URL로부터시스템에다운로드및실행된다. 그림 1-3 난독화된파워쉘명령어 ASEC REPORT Vol.88 Security Trend 5

1 이모텟로더의재실행을위한서비스등록 2 컴퓨터이름및 OS 정보, 실행중인프로세스리스트획득 3 크립트 API를활용하여획득한정보암호화 4 암호화한데이터를통해 C&C 서버와통신 5 C&C 서버로부터전달받은데이터를복호화한뒤해당모듈을실행표 1-2 이모텟로더가수행하는악성행위과정 2. 주요악성행위악성 URL로부터다운로드된이모텟로더가실행되면가장먼저서비스등록을진행한다. 이후사용자정보를획득하고 C&C 서버와통신을거쳐추가악성행위에필요한모듈을다운로드한다. [ 표 1-2] 는이모텟로더가수행하는주요악성행위를일련의과정으로나타낸것이다. 2-1. 서비스등록이모텟로더는서비스생성및열거에대한권한을확인하기위해 OpenSCManagerW API를호출한다. 이때서비스생성및열거권한획득에성공하면이모텟로더를서비스에등록하는루틴을진행하며 %Windir%\System32 경로에자기자신을복사한다. 그림 1-4 OpenSCManagerW 호출을통한접근권한확인 [ 그림 1-4] 의 0x40884A 코드를보면 OpenSCManagerW API 호출의결과값에따라서 DS:[40B2A4] 값이달라지는것을확인할수있다. 또한 [ 그림 1-5] 의 0x4088EC 코드에서 DS:[40B2A4] 의 1 바이트값은이모텟로더가자가복제하는경로를결정한다. 그림 1-5 DS:[40B2A4] 값에따른자가복제경로결정코드일부분 ASEC REPORT Vol.88 Security Trend 6

권한획득성공여부에따라이모텟로더의자가 복제경로가달라지는데, 대상경로는 [ 표 1-3] 권한획득성공 권한획득실패 %Windir%\System32 %Appdata%\Local\Microsoft\Windows 과같다. 표 1-3 이모텟로더의자가복제경로 이모텟로더는자가복제된파일의이름을정하기위해 [ 표 1-4] 와같이서비스및파일생성에사용 하는키워드중무작위로 2 개의키워드를선택한다. agent,app,audio,bio,bits,cache,card,cart,cert,com,crypt,dcom,defrag,device,dhcp,dns,event,evt,flt,gdi,group,help,home,host,info,iso,laun ch,log,logon,lookup,man,math,mgmt,msi,ncb,net,nv,nvidia,proc,prop,prov,provider,reg,rpc,screen,search,sec,server,service,shed,shedul e,spec,srv,storage,svc,sys,system,task,time,video,view,win,window,wlan,wmi 표 1-4 서비스및파일생성에사용하는키워드 선택된키워드는 [ 그림 1-6] 과같이자가복제되는파일이름과서비스이름에조합되어적용된다. 그림 1-6 생성된서비스및파일경로 ASEC REPORT Vol.88 Security Trend 7

그림 1-7 서비스설명값변경 서비스생성후이모텟로더는 [ 그림 1-7] 과같이서비스설명값을변경하는 ChangeServiceConfig2W API를호출한다. 호출된 API는기존서비스설명중무작위로선택된값을복사하여 [ 그림 1-8] 과같이생성된서비스의설명값 그림 1-8 변경된서비스설명 을변경한다. 2-2. 사용자정보수집서비스생성완료후이모텟로더는사용자정보를수집한다. 이모텟로더는감염 PC에서수집한시스템의운영체제버전, 컴퓨터이름, 볼륨시리얼넘버, 실행중인프로세스리스트, 실행된 PE CRC 정보를추출하며, 이때추출된데이터는 C&C 서버에암호화화여전송한다. 분석당시 [ 그림 1-9] 과같이운영체제, PE CRC32 등의 사용자정보가유출된것을확인했다. 그림 1-9 유출된사용자정보 2-3. 크립트 API 를활용한데이터암호화 이모텟로더는수집한사용자정보의암호화를수행하는데, 암호화과정에는커스텀암호화방식과크 립트 API 를이용한방식이사용된다. 크립트 API 를사용하는암호화과정의경우, [ 그림 1-10] 과같이 ASEC REPORT Vol.88 Security Trend 8

파일내부에 RSA 공개키값이존재하며, 해당키는 CryptGenKey API 로호출한무작위의 AES-128 대칭키값을암호화하는데사용한다. 그림 1-10 파일내부에존재하는 RSA 공개키획득및 AES-128 랜덤키값생성부분 [ 그림 1-11] 과같이이모텟로더파일내부에는공격자가저장해둔 RSA 공개키값이존재하며, CryptDecodeObjectEx API 를통해복호화된 RSA 공개키값은 [ 그림 1-12] 와같다. 그림 1-11 파일내부에존재하는 RSA 공개키 그림 1-12 복호화된 RSA 공개키 ASEC REPORT Vol.88 Security Trend 9

그림 1-13 데이터암호화과정 최종적으로이모텟로더는 [ 그림 1-13] 과같이 CryptEncrypt API 를통해 AES-128 CBC 모드암호 화를수행하고데이터에대한해시값을생성한다. 또한 CryptExportKey API 를통해암호화에사용 된 AES-128 키값을추출하여메모리에복사한다. 2-4. 암호화된데이터를 C&C 서버에전송데이터암호화과정이모두완료되면이모텟로더는 [ 그림 1-14] 와같이 POST 전송방식을사용하여암호화된데이터를 C&C 서버로전송한다. 특징적인점은 C&C 서버가클라이언트에게응 답값으로 [ 그림 1-15] 와같은 404 에러값을전 송하는데, 실제데이터내부에는암호화된추가 그림 1-14 POST 데이터전송 악성모듈이포함되어있다는점이다. 그림 1-15 POST 전송및 404 에러 ASEC REPORT Vol.88 Security Trend 10

분석당시에는해당 C&C 서버가차단되어있어이를통해전송되는악성모듈은확인할수없었다. 실제 C&C 서버로부터추가악성모듈이전송되는경우, 실제클라이언트에게보내는응답값의크기 는 0x1c000 이상인것으로알려져있다. 2-5. C&C 서버로부터전달받은암호화된데이터복호화후실행차단된 C&C 서버로부터전송된악성모듈확보는어려웠지만, 추가로정적분석을통해모듈다운로드후수행되는악성행위를확인했다. [ 그림 1-16] 과같이 C&C 서버로부터응답값을받은이모텟로더는데이터복호화루틴을수행한후추가악성모듈로추정되는파일을실행한다. 그림 1-16 추가모듈파일생성및실행코드일부분 시스템이이모텟악성코드에감염되어추가악성행위를수행하는모듈들이실행되면, 감염 PC 에서 실행중인웹브라우저에사용자정보를탈취하는모듈이인젝션되어동작한다. C&C 서버로부터다운받아동작하는추가악성모듈의목록은 [ 표 1-5] 와같다. 안랩분석당시, 악성코드가접속하는 C&C 서버 가차단되어악성행위를위한추가모듈을다운 로드하는과정은확인할수없었다. 현재 C&C 서 - 네트워크전파감염에사용되는모듈 - 스팸메일전송에사용되는모듈 - 웹브라우저에인젝션되어금융정보탈취에사용되는모듈표 1-5 C&C 서버로부터다운받는추가모듈목록 ASEC REPORT Vol.88 Security Trend 11

버로부터다운받는추가악성모듈에대한연구와이모텟로더에대한분석을계속진행하고있으며, 새로운분석내용이확인될경우안랩 ASEC 블로그 (asec.ahnlab.com) 를통해공개할예정이다. <AhnLab 진단정보 > V3 제품군에서는이모텟악성코드를다음과같은진단명으로탐지하고있다. Trojan/Win32.Emotet (2017.09.20.00) ASEC REPORT Vol.88 Security Trend 12

악성코드 상세분석 ANALYSIS-IN-DEPTH 오퍼레이션비터비스킷 (Operation Bitter Biscuit) 분석보고서

악성코드상세분석 Analysis-In-Depth 오퍼레이션비터비스킷 분석보고서 지난 2010년을기점으로본격화된국내주요기관을공격대상으로한지능형지속위협 (Advanced Persistent Threat, 이하 APT) 이점점고도화되어 2017년현재까지도꾸준히지속되고있다. 특히지난 2011년부터 2017년현재까지지속적으로국내기관을노리고있는공격이확인되었다. 일명 오퍼레이션비터비스킷 (Operation Bitter Biscuit) 으로불리는이공격은비소날 (Bisonal), 덱스비아 (Dexbia) 등의악성코드를이용하며주로국내외군사기관, 방위산업체, IT 업체등의주요기관을표적으로삼고있다. 이에국내외보안전문가들은비소날 (Bisonal) 류악성코드의최초발견이후공격그룹의연관성을제기하며비소날류악성코드를이용한 APT 공격을분석해왔다. 안랩시큐리티대응센터 (AhnLab Security Emergency-response Center, 이하 ASEC) 는실제국내 공격사례를중심으로오퍼레이션비터비스킷의현황및공격동향을분석했다. 1. 공격현황오퍼레이션비터비스킷 (Operation Bitter Biscuit) 에이용된비소날류악성코드는 2010년최초발견된후지속적으로한국, 일본, 인도에대한공격이확인되었으며, 디코이 (decoy) 파일을통해러시아권사용자에게도추가공격을가한것으로보인다. 일본의경우 2012년방위산업체에대한공격이있었으며, 인도 CERT에서는 2015년비소날악성코드의변형인바이오아지흐 (Bioazih) 에대해경고한바있다. 하지만최근에는한국을제외한나머지국가에서는관련공격이확인되지않았다. ASEC REPORT Vol.88 Security Trend 14

한국에서는 2011 년부터군사기관, 방위산업체, IT 업체등국내주요기관을대상으로한지속적인공격이계속되고있다. 2011년부터 2012년사이에는주로국내기관에대한공격이집중적으로진행되었으며, 2013년부터 2015년에는국내기업과군사기관까지점차적으로공격범위가확대됐다. 그림 2-1 비소날 (Bisonal) 악성코드공격대상국가 가장최근인 2016 년부터 2017 년사이에는방위산 업체와연관기업에대한공격도확인됐다. 공격에사용된악성코드종류는다소차이가있지만 C&C 서 버를사용하는악성코드공격이지난 2009 년부터존재해온점으로미루어관련공격그룹은오래전부 터국내에서활동했을가능성이있다. 비소날류악성코드의주요공격사례는다음과같다. 그림 2-2 비소날 (Bisonal) 류공격사례 비소날류의악성코드를이용한공격이오랜기간동안지속되면서안랩을비롯해코세인크 (Coseinc), 파이어아이 (FireEye), 트렌드마이크로 (TrendMicro) 등국내외보안업체에서는관련내용을수차례 ASEC REPORT Vol.88 Security Trend 15

언급한바있다. 트렌드마이크로는이를 하트비트 APT(HeartBeat APT) 로명명하기도했는데, [ 그림 2-3] 과같이일부악성코드내부에 HeartBeat 라는문자열이존재하기때문이다. 2015 년에는마이크 로소프트에서하트비트 APT 와연관된바이오아지흐 RAT(Bioazih RAT) 에대한정보를공개했다. 안랩에서도 2015 년 3 월비소날악성코드와관련된군사기관공격에대한내용을공개했다. 그림 2-3 악성코드내포함된 HeartBeat 문자열 지금까지살펴본바와같이비소날혹은비스콘 (Biscon) 은 2011년부터국내를공격하고있는악성코드로하트비트 APT와비소날변형인바이오아지흐와밀접한연관성이있으며, 이로미루어공격자는특정그룹이거나공개된소스코드를이용한다수의그룹일가능성이있다. 2. 공격방식 현재까지확인된오퍼레이션비터비스킷의공격 방식은공격대상이정해지면악성코드가첨부된 메일을보내감염을시도하는것이다. 특징적인 그림 2-4 비소날관련안랩블로그게시글 점은문서취약점을이용하는방식보다실행파일이나악성매크로를포함한문서를첨부하는방식을 주로이용한다는것이다. ASEC REPORT Vol.88 Security Trend 16

안랩의분석결과, 공격에사용된첨부파일은문 서프로그램의취약점을이용한것이아니라문 서파일로위장한실행파일을사용하고있었다. 공격과정은다음과같다. 악성메일을받은사 그림 2-5 문서파일로위장한실행파일형태의악성코드 용자가문서파일로위장한파일을착각해악성 코드를실행하면, 악성코드는해당시스템에백도어프로그램을설치하고 EXE 를삭제한후사용자 에게디코이 (decoy) 문서파일을보여준다. 그림 2-6 사용자를현혹하기위한문서파일 지난 2017년 3월에는마이크로소프트오피스매크로를이용한공격이확인됐다. 사용자가악성매크로가삽입된문서파일을열면 [ 그림 2-7] 과같이본문의내용을흐릿하게보여주며매크 로실행을유도한다. 그림 2-7 매크로활성화를유도하는문서 ASEC REPORT Vol.88 Security Trend 17

사용자가 콘텐츠사용 을클릭해매크로가실행되면시스템이악성코드에감염되며, 동시에사용자의의심을피하기위해정상적인문서로보이는내용의디코이문서를보여준다. 비슷한시기에유포된악성워드문서파일중 에는동일한내용, 동일한백도어를사용하고 있지만내용을흐릿하게보이지않고악성매크 그림 2-8 2017 년 3 월매크로를이용한디코이문서내용 로만포함하고있는변형도존재한다. 3. 비소날 (Bisonal) 류악성코드현황 오퍼레이션비터비스킷과관련하여현재까지확인된비소날류악성코드수는약 150 개다. 악성코드분포를보면바이오아지흐 (Bioazih) 를포함한비소날 (Bisonal) 변형의비율이 70% 로 가장많으며덱스비아 (Dexbia) 는 17% 를차지하고있다. 하지만 2016 년이후에는덱스비아의출현 빈도가더잦아지고있는것이확인됐다. 그림 2-9 오퍼레이션비터비스킷관련악성코드분포 ASEC REPORT Vol.88 Security Trend 18

2009 년부터최근까지의비소날류악성코드추이는 [ 그림 2-10] 과같다. 그림 2-10 연도별비소날류악성코드추이 4. 비소날 (Bisonal) 백도어분석 공격자는일차적으로비소날 (Bisonal) 백도어프로그램을사용자에게보내공격대상컴퓨터를감 염시킨다. 비소날악성코드의특징과그변형을살펴보자. 4-1. 비소날 (Bisonal) 특징 비소날은악성코드내에 bisonal 과같은문자열을포함하고있어붙여진이름이다. 2010 년에제작 된변형에서해당문자열이발견되었으며, 2009 년에발견된초기버전에는특징적인문자열이없다. 비소날에서자주사용된파일이름은다음과같다. 6ro4.dll, 6to4nt.dll, AcroRd32.exe, ahn.exe, AhnSDsv.exe, ahnupdate.exe, AYagent.exe, chrome.exe, conhost.exe, conime.exe, ctfmon.exe, deskmvr.exe, dlg.exe, explorer.exe, htrn.dll, hyper.dll, lpk.dll, lsass.exe, mfc.exe, mmc.exe, msacm32.dll, netfxocm.exe, serskt.exe, svcsep. exe, taskmgr.exe, tpcon.exe, tsc.exe, v3update.exe, winhelp.exe 등 비소날악성코드는크게백도어를설치하는드롭퍼 (Dropper) 와백도어 (Backdoor) 로나뉜다. 백도 어는 DLL 파일형태와 EXE 파일형태가있는데, DLL 파일은기존파일을교체하는형태와서비스로 ASEC REPORT Vol.88 Security Trend 19

로딩되는형태가존재하며, EXE 파일은 C 로제작 된형태와 MFC(Microsoft Foundation Class) 로제작된형태가존재한다. DLL 파일형태 EXE 파일형태 단독형 C 로제작 기존파일교체형 MFC 로제작 표 2-1 비소날에서자주사용되는파일형태와특징 변형에따라특징적문자열이없거나 bisonal, bioazih, biaozhi 등의문자열을포함하고있으 며 C&C 서버주소, 식별정보또한포함하고있다. 그림 2-11 2010 년발견된비소날악성코드 2011 년발견된변형부터는 C&C 서버주소등의문자열을보통 0x1F 로 XOR 연산해암호화한다. 그림 2-12 2011 년발견된문자열암호화하는비소날악성코드 C&C 서버의경우 dynamic-dns.net, myfw.us 등의다이나믹 DNS 서비스를이용하기도한다. 주로 국내사이트와유사한이름을가지고있으며평소에는정상사이트주소로연결하고원격제어가필 요할때만실제 C&C 서버 IP 주소로변경한다. ASEC REPORT Vol.88 Security Trend 20

국내사이트유사 C&C 서버주소 정상사이트 정상사이트 ahnlab.myfw.us www.ahnlab.com 안랩 www.ahnlab.com.rr.nu www.ahnlab.com 안랩 www.kndu.ac.kr.myfw.us kndu.ac.kr 국방대학교 www.kinu.or.kr.rr.nu www.kinu.or.kr 통일연구원 www.huyang.go.kr.passas.us www.huyang.go.kr 국립자연휴양림관리소 표 2-2 비소날에서이용하는국내사이트유사 C&C 서버주소 비소날은악성코드내에식별정보를포함하기도하는데보통공격대상을포함하고있어공격대상을 추정할수있다. 하지만악성코드내식별정보와실제공격대상이일치하지않는경우도있다. 그림 2-13 군사기관추정공격샘플 악성코드가실행되면보통다음시스템정보를수집해전송한다. - 호스트명 - IP 주소 - OS 버전 - 시스템시간 - 실행중인프로세스목록 A-Z 드라이브를검사해존재하는이동식, 고정식, 네트워크드라이브명 - 모든폴더이름 - 모든파일이름 표 2-3 비소날실행시수집정보 또한 C&C 서버에접속하여명령을받아원격제어기능을수행한다. 프로세스리스트얻기 / 프로세스종료 / 파일관리 ( 읽기, 쓰기, 삭제등 ) / 프로그램실행 표 2-4 비소날악성코드의원격제어기능 ASEC REPORT Vol.88 Security Trend 21

4-2. 비소날 (Bisonal) 변형 2010 년부터제작된비소날 (Bisonal) 악성코드는다양한변형이존재한다. 비소날류악성코드의 연관관계와연도별변형은다음과같다. 그림 2-14 비소날류악성코드연관관계 시기종류내용 2009 Presonal 2009년부터 2013년까지국내기관에대한공격에사용. 비소날 (Bisonal) 류와동일 C&C 서버도있어동일조직의초기버전일수있음 2010.07 A 형 비소날 (Bisonal) 최초버전 2011.04 B 형 DLL 형태. Bisonal 문자열포함 2011.12 B 형 DLL 형태. 정상 msacm32.dll 파일의 export 함수를가지고있음. 문자열암호화시작 2012 B 형 Bioazih 문자열포함된변형발견 2013 B 형 MFC 로제작된 EXE 2014.10 B 형 엔에스팩 (Nspack) 으로패킹 2014.12 Dexbi (Bromall) 새로운문자열암호화방식사용. 일부버전에서 Bioazih 문자열발견 2016.08 B 형 Biaozhi 로변경된변형발견 2017.02 Dexbi (Bromall) 덱스비아 (Dexbia) 패킹버전 표 2-5 연도별비소날악성코드변형 비소날류악성코드의초기버전으로알려진프리소날 (Presonal) 은 2009 년처음발견된이후 2013 년 까지발견되었다. 대부분의프리소날 (Presonal) 악성코드는 200,000 바이트 (byte) 의길이를가지며 주로한국에서감염된사실이보고된바있다. 해당초기버전은비소날악성코드와코드면에서의연 ASEC REPORT Vol.88 Security Trend 22

관성은찾아보기어렵지만일부악성코드의경우비소날과 C&C 서버의주소가동일해초기버전으 로추정되고있다. 그림 2-15 비소날초기버전 2010 년에는 bisonal 문자열을포함한비소날악성코드변형이발견되었으며, 비슷한시기에 bioazih 문자열을가진변형도발견되었다. 그림 2-16 바이오아지흐 (Bioazih) 변형 2016 년국내방위산업체에서발견된변형은 bioazih 문자열을살짝변형한 biaozhi 문자열을포함 하고있다. 그림 2-17 Biaozhi 문자열포함변형 ASEC REPORT Vol.88 Security Trend 23

2014년부터는문자열암호화방식과코드가바뀐새로운변형이발견된다. 덱스비아 (Dexbia) 로불리는변형은코드만으로는비소날변형으로분류하기어렵다. 하지만파일이름중기존비소날변형에서사용된 6ro4.dll과같은이름의파일이존재하고, 비소날변형의특징적문자열인 biaozhi 를포함한변형이확인되었다. 또한비소날악성코드를이용한공격을받은업체들중 2곳이상의업체에서이변형도함께발견된것으로미루어보아동일공격그룹에서제작했을가능성이높을것으로추측된다. 그림 2-18 덱스비아 (Dexbia) 변형 2014 년에는엔에스팩 (nspack) 프로그램등으로패킹된변형이발견되었으며, 2017 년현재도비소날 등의구형버전과덱스비아변형이모두공격에사용되고있는것이확인되었다. 5. 내부침투도구공격자는공격대상컴퓨터에백도어를감염시킨후, 최종적으로내부시스템을장악하고정보를유출하기위해다양한내부침투도구를사용한다. 내부침투도구로는포트스캐너 (Port Scanner), 정보수집프로그램, 정보유출프로그램을사용한다. 5-1. 포트스캐너 (Port Scanner) 포트스캐너는포트정보를스캔프로그램으로 2011~2012 년에는프로그램이름이 s.exe 였으며, 2015 년에는 v3log.exe 였다. ASEC REPORT Vol.88 Security Trend 24

그림 2-19 포트스캐너 5-2. 정보수집프로그램 공격대상의계정정보, 윈도우버전정보등을수집하기위해 GetAccoutn.exe 와 getos.exe 프로그 램을사용한다. GetAccoutn.exe 그림 2-20 GetAccount 실행화면 getos.exe 그림 2-21 getos 실행화면 ASEC REPORT Vol.88 Security Trend 25

5-3. 정보유출프로그램 수집한정보를유출하기위해 Client.exe 와 Put.exe 프로그램을사용한다. Client.exe Client.exe 는 C&C 서버와통신하는프로그램으로통신에성공하면파일을전송한다. 내부시스템침 투에성공하여시스템정보를얻으면이를외부로보내는프로그램은별도로제작하는것으로보인다. Put.exe Put.exe는탈취한정보를 1 MB씩유출하는역할을한다. error.txt 파일에는전송과정에서공격자가남긴로그정보가남으며 flist.txt 파일에는유출대상이저장된다. Put.exe는해당악성코드와동일경로에위치하는텍스트파일들을참조하여압축파일들을공격자서버로전송하는기능을수행한다. 6. 결론지난 2009년부터국내주요기관을대상으로비소날 (Bisonal), 바이오아지흐 (Bioazih), 덱스비아 (Dexbia) 등의비소날류악성코드및연관악성코드를이용한공격이계속되고있다. 공격자는주로국내군사기관에대한정보를수집하기위해노력하고있으며 2013년부터는국내민간업체와방위산업체에대해서도공격을확대하고있다. 비소날악성코드는중국언더그라운드에소스코드가공개되어있다고알려졌으나, 현재확인된공격사례의공격자들이동일그룹인지여부또한불분명한상태다. 분석결과, 공격방식이기술적으로뛰어난그룹은아닌것으로확인되었지만약 10 년동안국내주요 기관들을노리고지속적인공격을가하고있어앞으로도더욱강력한보안대책과함께각별한주의 가요구된다. ASEC REPORT Vol.88 Security Trend 26

<AhnLab 진단정보 > V3 제품군와 MDS 제품에서는오퍼레이션비터비스킷에사용된비소날 (Bisonal) 류악성코드를다음과같은진단명으로탐지하고있다. Backdoor/Win32.Bisonal (2016.09.05.06) Trojan/Win32.Agent (2017.02.18.00) Trojan/Win32.Npkon (2009.10.30.00) Win-Trojan/Biscon.3140 (2014.07.10.00) 등 ASEC REPORT Vol.88 Security Trend 27

2024 © docsplayer.org 개인정보보호 | 약관 | 지원