01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No

01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No.112 2019.01

01 이스트시큐리티통계및분석 No.112 2019.01 이스트시큐리티보안동향보고서 CONTENT 01 악성코드통계및분석 악성코드동향 01-05 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 02 전문가보안기고 06-14 일요일수행된 APT 변종공격, 오퍼레이션페이크캡슐 연말정산간소화서비스기간을맞이하여또다시유포되고있는악성메일 03 악성코드분석보고 15-35 개요 악성코드상세분석 결론 04 글로벌보안동향 36-48

이스트시큐리티보안동향보고서 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 1

01 악성코드통계및분석 1. 악성코드동향 안녕하세요? 2019 년새해에도안전한한해가되시길기원합니다. 지난 2018 년 12 월말경에발표된 2018 년보안이슈정리및 2019 년보안이슈전망 을확인하셨나요? 2018 년 한해의되돌아보고 2019 년에는어떤보안이슈에대해대비를강화해야할지, 이스트시큐리티가발표한콘텐츠를 통해확인하시기바랍니다. 관련콘텐츠링크 : http://blog.alyac.co.kr/2046 12 월한달동안, GandCrab 랜섬웨어이슈는변함없이맹위를떨쳤으며, 중국에서는 4 일간 10 만대이상의컴퓨터를감염시킨중국타깃랜섬웨어가발견되어주목을끌었습니다. 이중국타깃랜섬웨어는랜섬웨어기능외에도중국내다양한서비스들의계정정보를훔치는기능을지닌악성코드였습니다. 해당랜섬웨어는특히, 중국내에서많은어플리케이션개발자들이사용하고있는 EasyLanguage 프로그래밍소프트웨어안에악성코드를추가하는 공급망공격 을통해짧은시간내에확산되었습니다. 또한비트코인이아닌중국인들이많이사용하는 WeChat 의계정을통해위안화를랜섬머니로요구하는것이가장큰특징이었습니다. 이외에도연말연시기간동안사용자들의호기심을끌만한 연말정산 과같은다양한소재로첨부파일클릭이나 URL 클릭을유도하여공격을진행하는형태가많이나타났습니다. 최근 알약을통해알아보는 2018 년 4 분기및 2018 년연간랜섬웨어차단통계 에서도강조한바와같이, 2018 년한해동안하루평균약 3,827 건정도의랜섬웨어공격이있었고지금현재도꾸준히공격이이뤄지고있습니다. 이를효과적으로방어하기위해서는무엇보다도사용중인 OS 와 SW 의보안패치가필수인점을다시한번상기해주시고, 그와함께중요자료에대한별도백업과신뢰할수있는보안솔루션을활용하시어랜섬웨어로부터안전한한해되시기바랍니다. 관련콘텐츠링크 : http://blog.alyac.co.kr/2074 2

01 악성코드통계및분석 2. 알약악성코드탐지통계 감염악성코드 TOP15 2018 년 12 월의감염악성코드 Top 15 리스트에서는지난 2018 년 8 월부터꾸준히 1 위를차지했던 Trojan.Agent.gen 이이번달 Top 15 리스트에서도역시 1 위를차지했다. 10 월과 11 월에 2 위를차지했던 Misc.HackTool.AutoKMS 역시이번달에도 2 위를지켰다. 지난 11 월에 5 위를차지했었던 Misc.HackTool.KMSActivator 가 2 단계상승하여이번달 3 위를새롭게차지했다. 전반적으로악성코드진단수치자체는지난 11 월과대비하여 2.8% 정도감소한큰변화가없었다. 순위 등락 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Trojan.Agent.gen Trojan 978,671 2 - Misc.HackTool.AutoKMS Trojan 954,191 3 2 Misc.HackTool.KMSActivator Trojan 431,465 4 New Worm.ACAD.Bursted Worm 417,274 5 2 Trojan.HTML.Ramnit.A Trojan 404,123 6 4 Trojan.LNK.Gen Trojan 356,656 7 8 Trojan.ShadowBrokers.A Trojan 281,379 8 1 Misc.Keygen Trojan 257,953 9 3 Win32.Neshta.A Virus 232,957 10 New Gen:Variant.Razy.348484 Trojan 225,869 11 2 Exploit.CVE-2010-2568.Gen Exploit 221,913 12 New Trojan.Agent.Miner Trojan 162,571 13 1 Worm.ACAD.Bursted.doc.B Worm 161,077 14 5 Adware.SearchSuite Adware 156,314 15 New Trojan.Generic.4120421 Trojan 155,643 * 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 2018 년 12 월 01 일 ~ 2018 년 12 월 31 일 3

01 악성코드통계및분석 악성코드유형별비율 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 78% 를차지했으며웜 (Worm) 유형이 11% 로그뒤를 이었다. 취약점 4% 애드웨어 3% 웜 11% 바이러스 4% 트로이목마 78% 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 취약점 (Exploit) 웜 (Worm) 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 카테고리별악성코드비율전월비교 12 월에는 11 월과비교하여트로이목마 (Trojan) 악성코드감염카테고리비율이 82% 에서 78% 로소폭감소하였다. 웜 (Worm) 악성코드유형의경우 11 월에비해 12 월이 3.6 배증가한모습을보였다. 100% 100% 트로이목마 (Trojan) 스파이웨어 (Spyware) 0% 0% 78% 82% 애드웨어 (Adware) 3% 4% 하이재커 (Hijacker) 0% 0% 웜 (Worm) 3% 11% 12 월 취약점 (Exploit) 4% 3% 11 월 바이러스 (Virus) 4% 8% 백도어 (Backdoor) 0% 0% 호스트파일 (Host) 0% 0% 기타 (Etc) 0% 0% 0% 20% 40% 60% 80% 100% 4

2018-12-01 2018-12-02 2018-12-03 2018-12-04 2018-12-05 2018-12-06 2018-12-07 2018-12-08 2018-12-09 2018-12-10 2018-12-11 2018-12-12 2018-12-13 2018-12-14 2018-12-15 2018-12-16 2018-12-17 2018-12-18 2018-12-19 2018-12-20 2018-12-21 2018-12-22 2018-12-23 2018-12-24 2018-12-25 2018-12-26 2018-12-27 2018-12-28 2018-12-29 2018-12-30 2018-12-31 01 악성코드통계및분석 3. 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 11 월랜섬웨어차단통계 해당통계는통합백신알약공개용버전의 랜섬웨어차단 기능을통해수집한월간통계로써, DB 에의한시그니쳐 탐지횟수는통계에포함되지않는다. 12 월 1 일부터 12 월 31 일까지총 109,053 건의랜섬웨어공격시도가차단되었다. 주말과연휴를제외하면꾸준하게하루 4,000 여건이상의랜섬웨어공격차단이이뤄지고있다. 5,000 4,500 4,000 3,500 3,000 2,500 2,000 1,500 1,000 500 0 12 월랜섬웨어차단통계 악성코드유포지 / 경유지 URL 통계 해당통계는 Threat Inside 에서수집한악성코드유포지 / 경유지 URL 에대한월간통계로, 12 월한달간총 22,465 건의악성코드경유지 / 유포지 URL 이확인되었다. 이수치는 11 월한달간확인되었던 25,154 건의악성코드유포지 / 경유지건수에비해약 10% 가량감소한수치다. 20000 12 월악성 URL 유포지 / 경유지통계 15000 10000 5000 0 경유지 유포지 경유지 유포지 5

이스트시큐리티보안동향보고서 02 전문가보안기고 1. 일요일수행된 APT 변종공격, 오퍼레이션페이크캡슐 (Operation Fake Capsule) 주의 2. 연말정산간소화서비스기간을맞이하여또다시유포되고있는연말정산악성메일 주의! 6

02 전문가보안기고 1. 일요일수행된 APT 변종공격, 오퍼레이션 페이크캡슐 (Operation Fake Capsule) 주의 2019 년 01 월 07 일월요일새벽 1 시경통일부등을출입하는언론사기자 ( 단 ) 들의이메일대상으로대규모스피어 피싱 (Spear Phishing) 공격이수행된바있고, ESRC 에서는 ' 작전명코브라베놈 (Operation Cobra Venom)' 으로 위협정보를공개한바있습니다. 이런가운데 2019 년 01 월 20 일일요일에새로운변종이발견되었습니다. 해당변종은한국시간 (KST) 으로 01 월 21 일새벽 6 시경에코드가제작된것으로설정되어있었습니다. 또한, 마치이스트시큐리티의알약 (ALYac) 보안 모듈처럼위장하는공격벡터를도입했습니다. 이에 ESRC 는가짜로조작된날짜와알약보안모듈위장등의특징부분을활용해이번최신정부기반 APT( 지능형지속위협 ) 공격캠페인을 ' 작전명페이크캡슐 (Operation Fake Capsule)' 로명명하였습니다. 악성코드의제작날짜가다음날인 21 일월요일인것으로보아, 제작자는날짜를의도적으로조작했으며, 코브라베놈 작전때와동일하게 HWP 문서처럼아이콘을위장한 2 중확장자 EXE 기법이활용되었습니다. 다만, 공격에사용된파일명의확장자는 EXE 가아닌 SCR 이사용되었으며, 기존처럼중간에다수의빈공백을포함해 폴더옵션에따라확장자가보이지않게만들었습니다. [ 그림 1] 중국연구자료 HWP 문서처럼위장한 EXE(SCR) 파일 악성파일은 'BINARY' 리소스내부에 3 개의개별데이터를가지고있으며, 모두한국어로제작된것을알수있습니다. 공격자는한국어운영체제기반에서코드를제작했습니다. 각각의리소스내용을살펴보면다음과같습니다. 7

02 전문가보안기고 - 103 ( 한국어 ) : 정상 HWP 문서파일포함 - 105 ( 한국어 ) : C2 서버도메인 - 108 ( 한국어 ) : 악성 DLL 코드포함 [ 그림 2] 악성파일의내부리소스코드화면 먼저 103 리소스의경우는악성코드가실행될경우동일경로에 ' 중국 - 연구자료.hwp' 파일명으로정상문서파일이 생성되어실행이이뤄집니다. 실행된화면은다음과같습니다. 8

02 전문가보안기고 [ 그림 3] 공격에이용된정상 HWP 문서파일실행화면 이문서파일은 2018 년 12 월 17 일에제작된것으로, 중국을알기위한독서와여행의순서라는제목과내용을담고 있습니다. ESRC 에서는일요일현재해당공격이기존통일부등을출입하는기자단쪽에추가로진행된것인지확인해보았지만, 아직까지관련된분들은해당공격에노출된것이확인되지는않았습니다. 그다음 105 리소스에는총 21 바이트의코드가포함되어있는데, 바로공격자가지정한명령제어 (C2) 서버의호스트 주소 'safe-naver-mail.pe.hu' 이름이포함되어있습니다. 9

02 전문가보안기고 [ 그림 4] 리소스코드에포함되어있는 C2 도메인정보 그리고마지막으로 108 리소스에는최종적으로페이로드기능을수행하는악성 DLL 파일이포함되어있습니다. 이 파일은 32 비트기반으로제작되어있고, 2019 년 01 월 16 일오후 2 시경에만들어졌습니다. 이악성코드는드롭퍼명령에의해다음과같은경로에 'AlyacEst' 폴더를만든후 복사본을 'AlyacMonitor.dll' 파일명으로생성합니다. 그리고하위경로에는 DLL 과동일하지만파일명만 다른 'AlyacMonitor.db' 파일과 C2 가포함된 105 리소스파일을 'AlyacMonitor.db_ini' 파일명으로생성합니다. - C:\Users\[ 사용자계정명 ]\AppData\Roaming\Microsoft 이처럼악성코드제작자는마치 ' 알약 (Alyac)' 보안프로그램처럼위장한폴더와파일명을사용하고있으며, 드롭퍼 내부에는다음과같이의도적으로알약모듈처럼위장한의도를엿볼수있습니다. - E:\PC\EstService\Bin32\makeHwp.pdb 공격자는한국의대표보안제품처럼위장해악성코드를제작한것을알수있고, C2 코드를별도로분리해추후 악성파일이어느사이트와통신하는지분석을회피하는데활용을했습니다. 10

02 전문가보안기고 [ 그림 5] ini 파일에서 C2 코드를불러오는화면 특히, 공격자는 C2 서버에 Est 폴더를생성해수집된정보업로드와다운로드명령을수행하도록만들었습니다. 또한, ' 작전명코브라베놈 (Operation Cobra Venom)' 코드에서사용한 'Content-Disposition: form-data' 영역이동일하게 사용되었는데, 데이터명부분만 'binary' 에서 'files' 로변경되었습니다. [Operation Cobra Venom] : 2019-01-07.rdata:10026AE0 a44cdd22e90fcon db '---------------44cdd22e90f',0Dh,0Ah.rdata:10026AE0 db 'Content-Disposition: form-data; name="binary"; filename="%s"',0dh,0ah.rdata:10026ae0 db 'Content-Type: application/octet-stream',0dh,0ah.rdata:10026ae0 db 0Dh,0Ah,0 [Operation Fake Capsule] : 2019-01-20.rdata:10029E48 a44cdd22e90fcon db '---------------44cdd22e90f',0Dh,0Ah.rdata:10029E48 db 'Content-Disposition: form-data; name="files"; filename="%s"',0dh,0ah.rdata:10029e48 db 'Content-Type: application/octet-stream',0dh,0ah.rdata:10029e48 db 0Dh,0Ah,0 이처럼특정정부가배후에있는것으로추정되는국가기반 APT 위협조직의활동이갈수록활발하게수행하고있다는 점에주목하고있으며, 한국의주요보안제품들처럼위장하는교란전술에각별한주의가요구되는상황입니다. 공격자는주로이메일의첨부파일을통해표적공격을수행하고있으며, 전혀알지못하는이메일아이디에서수신되는 경우도있지만, 발신자를조작해실제최근에이메일을주고받은사람의계정을도용하거나해킹해서사용하는경우가 있다는점도명심해야합니다. 11

02 전문가보안기고 따라서, 조금이라도의심스러운점이있다거나실행파일 (EXE, SCR 등 ) 형태의파일이첨부된경우에는반드시 발신자에게발송여부를확인하는과정이중요하며, 십중팔구악성코드일가능성이높습니다. 더불어이번공격은지난코브라베놈때와마찬가지로일요일부터월요일로이어지는공격흐름과스케줄을가지고 있다는점에서일반적인표적공격과다른고유한특징을가지고있다는점에서매우흥미롭습니다. ESRC 는이와관련된다양된 APT 위협사례를추가분석하고있으며, 공격에사용된 IoC 데이터와추가 분석데이터는 ' 쓰렛인사이드 (Threat Inside)' 서비스를통해제공할예정입니다. 12

02 전문가보안기고 2. 연말정산간소화서비스기간을맞이하여 또다시유포되고있는연말정산악성메일 주의! 2019 년 1 월 15 일부터시작하는연말정산간소화서비스기간과발맞춰, 연말정산내용의악성메일이또다시 유포되고있어사용자들의각별한주의가필요합니다. 금일수집된악성이메일은 12 월중순에발견되었던악성메일과동일한내용으로유포되고있습니다. 다만기존과다른점은, 기존에는이메일에워드파일형식으로악성파일이첨부되어있었지만이번에는링크형태로 유포되고있습니다. [ 그림 1] 연말정산사칭악성메일 13

02 전문가보안기고 이메일본문에는링크가포함되어있어사용자의클릭을유도하며, 만약사용자가링크를클릭하면악성매크로가 포함된 doc 파일이실행됩니다. [ 그림 2] 악성링크클릭시내려오는악성파일 만약사용자가실행된워드파일의매크로기능을활성화할경우악성코드가실행됩니다. 연말정산기간동안, 연말정산을노린공격이끊임없이시도될것으로추정되며, 이에사용자여러분들께서는피해가 없도록각별한주의를기울여주시기바랍니다. 현재알약에서는해당악성코드에대해 Trojan.Downloader.DOC.gen, Trojan.Ransom.GandCrab 으로탐지중에 있습니다. 14

이스트시큐리티보안동향보고서 03 악성코드분석보고 개요 악성코드상세분석 결론 15

03 악성코드분석보고 [Trojan.Ransom.Filecoder] 악성코드분석보고서 1. 개요 최근 Outsider 로명명된랜섬웨어가새롭게등장해사용자의각별한주의가필요하다. Outsider 랜섬웨어는확장자에관계없이모든파일을암호화하고특정확장자에따라암호화방식을달리한다. 또한, 사용자시스템뿐만아니라사용자시스템과연결된네트워크드라이브까지검사해감염시키는것이특징이다. 공격자는파일복호화대가로 $900 의비트코인을요구하며금전적인이득을노린다.. 따라서, 본보고서에서는 Outsider 랜섬웨어의행위와특징에대해서알아보고자한다. 16

03 악성코드분석보고 2. 악성코드상세분석 2.1. 사용자언어확인 Outsider 랜섬웨어는사용자의시스템언어를확인하여암호화여부를결정한다. 다음과같은언어를사용중일경우에 는암호화를진행하지않으며, 이외의언어를사용하는시스템에대해서만암호화를진행한다. [ 그림 1] 사용자시스템언어확인 2.2. 파일암호화암호화대상파일을검색하고암호화를진행한다. 다음과같은문자열이포함되어있는경우암호화에서제외된다. 이는시스템운영에필요한폴더및파일을암호화하지않음으로써정상적인악성행위를유지하기위함으로보인다. 또한, 중복감염을방지하기위해이미암호화된파일과랜섬노트파일도암호화에서제외된다. 다음은암호화제외문자열목록이다. Windows Program Files Program Files (x86) $Recycle.bin, System Volume Information [ 표 1] 암호화제외문자열목록 17

03 악성코드분석보고 다음은암호화대상파일을검색하는코드이다. [ 그림 2] 암호화대상파일검색코드 파일암호화는모든확장자를대상으로진행되며, 파일확장자에따라암호화방식이상이하다. 파일암호화방식은다음과같이두가지경우로나뉜다. 대상파일이.txt,.rar,.zip 확장자를가질경우데이터전체를암호화한다. 이는압축파일의경우헤더수정을통해데이터복원을방지하고, 텍스트파일의경우데이터전체를암호화함으로써일부내용을유추할수없도록하기위함으로보인다. 파일끝부분에 NANI 시그니처문자열을삽입하고, 암호화된키값 (0x30) 바이트를추가하는것은확장자에 상관없이모두동일하다. 18

03 악성코드분석보고 확장자 차이점 공통점.txt,.rar,.zip 데이터전체암호화 파일끝부분 NANI 시그니처삽입후 그외 파일의앞부분 0x2800 바이트만암호화 암호화된키값 0x30 바이트추가 [ 표 2] 파일확장자에따른암호화방식의차이점과공통점 암호화된파일은다음과같은파일구조를가진다. [ 그림 3] 암호화된파일구조 19

03 악성코드분석보고 다음은파일암호화코드의일부이다. [ 그림 4] 파일암호화코드의일부 20

03 악성코드분석보고 암호화가완료된파일은.protected 확장자가추가되며, 더이상정상파일로서동작하지않는다. [ 그림 5].protected 확장자추가코드 다음은암호화되기전과후의파일비교화면이다. 확장자예외없이모두암호화된것을알수있다. 암호화전 암호화후 [ 표 3] 파일암호화전후비교 21

03 악성코드분석보고 2.3. 랜섬노트생성암호화가진행된폴더내에는 HOW_TO_RESOTRE_FILES.txt 의랜섬노트가생성된다. 랜섬노트는감염사실을알리고, 복호화를위한결제방법을안내한다. 공격자들은복호화를대가로 $900 의비트코인을요구하며, 본인들의이메일과비트코인지갑주소, 감염자서버 ID 를안내한다. 공격자이메일 : secureserver@memeware.net 지불방법 : 비트코인비트코인지갑주소 : 1CfMU2eKnajfpnYvLbWR3m7jZRXujtx8Cm 감염자서버 ID: QH1AFcWJYufcs9CLr/H4csECFbmRqMgbalGwcwEBrZpJ2KYghaoMcOmD+E ( 생략 ) [ 표 4] 랜섬노트에안내된복호화시필요한정보 다음은랜섬노트화면이다. [ 그림 6] 랜섬노트화면 22

03 악성코드분석보고 공격자비트코인주소를추적했을때총 13 건의거래가발생했으며, 최근 2019 년 1 월 14 일까지거래가이루어진것을 확인할수있다. [ 그림 7] 공격자비트코인주소 2.4. 네트워크드라이브암호화 Outsider 랜섬웨어는로컬시스템만감염시키는것이아니라로컬과연결된네트워크드라이브에대해서도암호화를 시도한다. 연결된시스템이백업을위한폴더나서버일경우더큰피해로이어질수있다. [ 그림 8] 네트워크드라이브검색및암호화코드의일부 23

03 악성코드분석보고 2.5. 시스템복원기능무력화 vssadmin.exe 프로세스명령어를통해시스템복원파일인볼륨섀도우복사본을삭제한다. 이를통해감염된 시스템의복원기능이무력화된다. [ 그림 9] 볼륨섀도우복사본삭제코드 2.1. 특정프로세스종료 현재실행중인프로세스이름을검색하여 null.exe, nan.exe 프로세스가실행중일경우해당프로세스를종료한다. [ 그림 10] 특정프로세스종료코드 24

03 악성코드분석보고 3. 결론 공격자는.txt,.rar,.zip 확장자를가진파일에대해서는데이터전체를암호화함으로써복구가능성을최소화시키는치밀함을보였다. 또한, Outsider 랜섬웨어는사용자로컬시스템뿐만아니라연결된네트워크드라이브까지감염시킨다. 특히기업의경우클라우드같은네트워크연결형백업을자주사용하기때문에그피해는더치명적일수도있다. 그렇기때문에사용자는외부저장매체를이용해중요파일을백업하거나 2가지이상의방식으로백업을해두는노력을기울이는것이좋다. 공격자비트코인주소를확인해봤을때이미 13 건의거래가발생했다. 이는실제 Outsider 랜섬웨어감염자일부가 복호화를위해비트코인을결제했을가능성이높다. 하지만, 실제비용을지불한다고해서공격자가파일을복호화 해준다는것은보장할수없으므로이는지양해야한다. 따라서, 사용자는이를예방하기위해메일로첨부되는파일에대해서는실행시주의해야하고백신을최신업데이트 상태로유지하며주기적인검사를실시해야한다. 현재알약에서는 Trojan.Ransom.Filecoder 로진단하고있다. 25

03 악성코드분석보고 [Trojan.Android.Fakeapp] 악성코드분석보고서 1. 개요 구글플레이스토어에서정상앱을가장한악성앱이지속적으로발견되고있다. 관련앱들은게임, 티비, 리모컨등의 앱으로위장하여사용자를속인다. 해당앱중에는다운로드건수가 500 만건이넘는앱도있었다. 특히, 다양한 가상환경탐지기법을적용하여앱분석을방해하며광고팝업뿐만아니라기기및개인정보를탈취한다. 본분석보고서에서는 Trojan.Android.FakeApp 를상세분석하고자한다. 26

03 악성코드분석보고 2. 악성코드상세분석 1) 광고를위한앱설정광고를하기위해서자체설정을하는데, 해당설정과관련된정보는인터넷을통해서읽어오고, shared_prefs 에값을저장한다. 또한, 인터넷이안될경우를대비하여앱자체에도하드코딩되어기록되어있다. 해당내용은애드몹, 페이스북광고관련설정값들과이러한값들의업데이트주기가기록되어있다. 27

03 악성코드분석보고 [ 그림 1] 광고관련설정값 2) 주기적인광고설정업데이트이러한악성앱들은자기자신을숨기기때문에한번설치되면발견이어렵다. 특히광고와관련된악성앱은해커의금전적수익과직결되기때문에해커가마음대로조종할수있는 C2 를활용하여광고관련설정을주기적으로변경하면서지속적인악성행위를한다. 또한, 기기재부팅을하더라도지속할수있도록부팅여부를확인하여재실행한다. [ 그림 2] 주기적인업데이트 28

03 악성코드분석보고 3) 기기화면확인 사용자에게광고노출을시키고터치를유도하기위해서기기의화면켜짐여부를확인한다. 4) 애드몹광고설정 애드몹 SDK 를이용하여광고를노출한다. [ 그림 3] 화면확인 [ 그림 4] 애드몹 SDK 설정 5) 페이스북광고설정 페이스북 SDK 를이용하여광고를노출한다. [ 그림 5] 페이스북 SDK 설정 29

03 악성코드분석보고 6) 자체광고설정 애드몹과페이스북을이용하여광고를불러오는데, 실패할경우자체제작한광고를팝업한다. 오픈소스인 Picasso 를 활용하며터치하면구글플레이스토어에등록된특정앱을안내한다. [ 그림 6] 자체광고설정 30

03 악성코드분석보고 7) 별점유도와무분별한광고팝업 구글플레이스토어의별점을유도하는문구가팝업되고터치시구글플레이스토어로이동한다. 또한, 앱내부의어떠한 기능이나버튼을누르거나취소를하면광고를팝업하여사용자가광고에계속노출되도록한다. [ 그림 7] 무분별한광고팝업 31

03 악성코드분석보고 8) 가상환경탐지 가상환경과관련되는정보들이하드코딩되어있고해당정보와기기정보를비교하여가상환경여부를확인한다. [ 그림 8] 가상환경탐지 32

03 악성코드분석보고 9) 기기정보탈취 사용자의동의나관련언급없이기기모델, 버전, 위치, 아이피등 20 가지이상의기기정보를탈취한다. [ 그림 9] 탈취되는기기정보 33

03 악성코드분석보고 3. 결론 해당악성앱은구글플레이스토어를통해서유포되었다. 특히, 사용자를속이기위해서앱을숨기고금전적수익을위해광고를팝업한다. 또한, 기기와관련된 20 가지이상의정보들을탈취한다. 따라서, 악성앱에감염되지않기위해서는예방이중요하다. 출처가불명확한 URL 과파일은실행하지않아야한다. 또한, 주변기기의비밀번호를자주변경하고백신애플리케이션을설치하여항상최신업데이트버전으로유지해야한다. 현재알약 M 에서는해당악성앱을 Trojan.Android.HiddenApp 탐지명으로진단하고있다 34

이스트시큐리티보안동향보고서 04 글로벌보안동향 35

04 글로벌보안동향 Quora 해킹 ; 1 억사용자데이터노출돼 Quora Hacked - 100 Million User's Data Exposed Quora 가금일자사의시스템중하나가해킹되어약 1 억명사용자의데이터가승인되지않은제 3 자에노출 되었다고밝혔다. Quora 는지난금요일인 11 월 30 일승인되지않은제 3 자가사용자의데이터에접근한것을발견했다. 회사측은법 집행부에침해사실을신고했으며, 디지털포렌식및보안컨설팅회사를고용해사건이일어난경위와범인을찾기 위해노력중이라밝혔다. 유출된 1 억명의사용자의데이터는아래를포함한다 : 계정정보 ( 예 : 이름, 이메일주소, 암호화된패스워드, 사용자가승인한연결된네트워크에서가져온데이터 ) 공개컨텐츠및활동 ( 예 : 질문, 답변, 코멘트, 좋아요등 ) 비공개컨텐츠및활동 ( 예 : 답변요청, 싫어요, 다이렉트메시지 ) 현재까지공격자가어떻게시스템에접근권한을얻었는지는알려지지않았다. Quora 는이사고에영향을받은 사용자들에게이메일을통해알리고있다. 다른사이트의비밀번호보호하기 Quora 는전세계에서 95 번째로큰사이트로추정되며방문수는매달 7 억에달한다. 따라서영향을받는사용자의수또한엄청나다. 하지만, 다행히어떠한금융관련정보도노출되지않았다. 다만, 공격자들이사용자의정보를악용하여사용하는다른사이트에접근을시도할것을우려해야할것이다. 따라서, Quora 와동일한패스워드를다른사이트에서도사용하고있을경우즉시변경해야한다. 또한추후비슷한 사건이발생할것을고려해사이트마다다른비밀번호를사용하는것을권장한다. [ 출처 ] https://www.bleepingcomputer.com/news/security/quora-hacked-100-million-users-data-exposed/ 36

04 글로벌보안동향 뉴질랜드보안국, Spark 통신사에화웨이 5G 장비사용금지시켜 New Zealand Security Bureau halts Spark from using Huawei 5G equipment 뉴질랜드의정보기관이모바일통신사인 Spark 측에 5G 인프라구축에화웨이장비를사용하지말것을요청했다. 뉴질랜드의정부통신보안국에따르면, 5G 인프라용화웨이장비가 상당한네트워크보안위험 을야기시키기 때문에, 모바일회사인 Spark 에중국회사가제조한장비사용을자제할것을요청했다. 이는호주의정부가보안에대한우려로인해호주의 5G 네트워크에서화웨이장비의사용을금지하기로결정한후뒤이어발표되었다. 뉴질랜드는 FiveEyes 정보동맹국의일원이며, 캐나다를제외한나머지국가들 ( 영국, 미국, 호주 ) 도보안관련우려로화웨이장비의사용을금지시켰다. 중국제장비사용과관련된보안위협에대해첫번째로경고한나라는미국이다. 화웨이는호주의고객데이터를중국의정보국과공유한다는소문을부인했지만, 호주정부에게이는충분하지않았던것으로보인다. 또한호주당국은중국회사인 ZTE Corp 의장비사용도금지했다. 화웨이는이미 Spark 가 5G 모바일네트워크를구축하는것을돕고있던상황이었다. 화웨이는뉴질랜드에서모바일네트워크를구축하는것을돕고있었다. 지난 3 월, Spark 와화웨이는 5G 테스트 사이트를선보였다. 중국과뉴질랜드는꽤좋은상업적파트너쉽을유지하고있으나, 정부의이번금지조치는이관계에치명적인영향을 미칠것으로보인다. 뉴질랜드는 2008 년중국과자유무역협정을체결했다. 외무부의대변인인 Geng Shuang 은 중국과뉴질랜드간의경제및무역협력은본질적으로상호간에이익이된다. 우리는뉴질랜드가중국기업에평등한기회를제공하여상호신뢰및협력에도움이되는일을할수있기를 희망한다. 라고밝혔다. Spark 측은뉴질랜드정부통신보안국의결정에실망했다고밝히며, 2020 년 7 월까지 5G 네트워크를런칭할수 있도록최선을다하겠다고밝혔다. [ 출처 ] https://securityaffairs.co/wordpress/78621/intelligence/new-zealand-bans-huawei.html 37

04 글로벌보안동향 메리어트의 Starwood 호텔대규모해킹발생 ; 고객기록 5 억건 4 년동안노출돼 Marriott's Starwood hotels mega-hack: Half a BILLION guests' deets exposed over 4 years 미국의호텔체인인메리어트가자회사인 Starwood 게스트예약네트워크에데이터베이스전체가노출되어있었다고 밝혔다. 여기에는 4 년동안이루어진게스트예약 5 억건전체가포함되어있어, 개별조직에서발생한해킹중가장 규모가큰사건으로남게되었다. 2018 년 9 월 8 일, 메리어트는내부보안툴에서미국에있는 Starwood 게스트예약데이터베이스에접근하려는 시도가있다는경고알림을받았다. 조사를통해, 메리어트는 2014 년부터 Starwood 네트워크에승인되지않은접근이있었다는것을발견했다. 약 3.27 억건의게스트예약정보에는고객의이름, 우편주소, 전화번호, 이메일주소, 여권번호, SPG 계정정보, 생년월일, 성별, 출입국정보, 예약일정, 수신동의정보가포함되어있었다. 여기에는정확한수를알수없는암호화된카드번호및유효기간도포함되어있었지만, 메리어트는 AES-128 수준의암호화가걸려있었다고밝혔다. 지불카드정보를복호화하기위해서는컴포넌트두개가필요한다. 이시점에서, 메리어트는이두가지모두도난 당했을가능성을배제할수없었다. 관련하여더욱자세한정보는공개되지않았지만, 이두가지는솔팅및해싱인것으로추측된다. 메리어트는지난 11 월 19 일이유출사고를밝혀냈으며, 조사관들은온라인에서암호화된데이터베이스를발견할수있었다. 암호화를해제하자, Starwood 게스트예약데이터베이스전체의복사본을찾을수있었다. 영향을받은호텔브랜드는아래와같다. W 호텔 (W Hotels) 세인트레지스 (St. Regis) 쉐라톤호텔 & 리조트 (Sheraton Hotels & Resorts) 웨스틴호텔 & 리조트 (Westin Hotels & Resorts) 엘리멘트호텔 (Element Hotels) 알로프트호텔 (Aloft Hotels) 럭셔리콜렉션 (The Luxury Collection) 트리뷰트포트폴리오 (Tribute Portfolio) 르메르디앙호텔 & 리조트 (Le Méridien Hotels & Resorts) 38

04 글로벌보안동향 포포인츠바이쉐라톤 (Four Points by Sheraton) Starwood Preferred Guest (SPG) 프로그램에참여한디자인호텔 Starwood 브랜드타임쉐어호텔 메리어트의 CEO 인 Arne Sorenson 은이사고가일어난것을 매우유감스럽게 생각하며, 회사는 전용웹사이트및콜센터 를만들었다고밝혔다. 이사건은미국의법집행부에도신고되었다. 또한메리어트는고객들에게이메일을통해이사건에대해알리고있다. 메리어트가만든전용웹사이트는 http://info.starwoodhotels.com 이며, 영향을받는고객들은 Webwatcher 개인정보유출모니터링시스템에등록하기를권유한다. 또한메리어트는이메일을 starwoodhotels@email-marriott.com 이메일주소를사용해발송할예정이며 어떠한첨부파일이나정보요구도없을것이며, 포함된링크는이웹사이트로이동되는것뿐 이라밝혔다. 영향을받았거나가능성이있는사용자들은즉시강력한패스워드로변경할것을권장한다. [ 출처 ] https://www.theregister.co.uk/2018/11/30/marriott_starwood_hotels_500m_customer_records_hacked/ 39

04 글로벌보안동향 360 브라우저자체루트인증서프로그램계획발표 360 브라우저는사용자보안을강화하기위하여, 브라우저에자체루트인증서계획을발표하고, 어떠한인증서든지 문제가있다면제거할것이라고밝혔다. 360 은구글뒤를이어자체루트인증서를공표하였으며이는중국최초로 자체인증서브라우저를공개한업체로인증서보안을브라우저체계에접목시켰다. 일반적인상황에서 360 브라우저는운영체제가신뢰하는인증서를신뢰하며, 또한자체인증서 DB 에저장되어있는인증서도추가적으로신뢰하게된다. 360 홈페이지에서는인증서에대한철저한보안을위하여적합하지않은인증서에대해 360 에게요구하면신뢰하는인증서리스트에서삭제하겠다고밝혔다. 360 의이러한인증서제거전략은심지어 OS 가신뢰하는인증서에도적용된다. 하지만브라우저가인증서를삭제하는것은아니며, 브라우저블랙리스트에등록을하는것이다. [ 출처 ] https://baijiahao.baidu.com/s?id=1620184608056769774&wfr=spider&for=pc 40

04 글로벌보안동향 중국에서급속히확산되는새로운랜섬웨어, PC 10 만대이상감염시켜 새로운랜섬웨어가중국에서급격히확산되고있습니다. 이는공급망공격을통해지난 4 일간 10 만대이상의 컴퓨터를감염시켰으며, 피해자는매시간마다증가하고있는상태다. 흥미로운점은, 다른랜섬웨어들과는달리이 새로운바이러스는랜섬머니를비트코인으로요구하지않는다는것이다. 대신공격자들은피해자들에 WeChat Pay 를통해 110 위안 ( 약 18,000 원 ) 을지불하라고요구한다. < 이미지출처 : https://www.huorong.cn/info/1543706624172.html> 랜섬웨어 + 패스워드스틸러 : 지난해전세계적으로큰혼란을일으켰던 WannaCry 와 NotPetya 랜섬웨어와는다르게, 이새로운중국랜섬웨어는중국사용자만을대상으로하고있다. 이는사용자의 Alipay, NetEase 163 이메일서비스, Baidu 클라우드디스크, Jingdong (JD.com), Taobao, Tmall, AliWangWang, QQ 웹사이트의계정패스워드를훔치는기능또한포함하고있다. 공급망공격 : 중국의사이버보안회사인 Velvet Security 에따르면, 공격자들은많은어플리케이션개발자들이 사용하고있는 EasyLanguage 프로그래밍소프트웨어안에악성코드를추가했다. 악의적으로변조된이프로그래밍소프트웨어는이를통해컴파일되는모든어플리케이션에랜섬웨어코드를주입하도록설계되었다. 이는바이러스를신속히확산시키기위한소프트웨어공급망공격의또다른예가되었다. 많은소프트웨어를설치한 10 만명이상중국사용자들의시스템이손상을입었다. 이랜섬웨어는 gif, exe, tmp 확장자를제외한감염된시스템의모든파일을암호화한다. 훔친디지털서명사용 안티바이러스프로그램의탐지를피하기위해공격자들은 Tencent Technologies 사에서훔친디지털서명으로그들의악성코드를서명했으며, "Tencent Games, League of Legends, tmp, rtl, program" 과같은특정디렉토리의데이터는암호화하지않았다. 41

04 글로벌보안동향 파일암호화를끝낸후이랜섬웨어는복호화키를받기위해서는공격자의 WeChat 계정에 3 일이내로 110 위안을 입금하라는팝업을띄운다. <Tencent 의디지털서명 > < 이미지출처 : https://www.huorong.cn/info/1543706624172.html> 만약제시간안에돈을지불하지못할경우, 이악성코드는자동으로원격 C&C 서버에서복호화키를삭제하겠다고 협박한다. 사용자의파일을암호화하는것이외에도이랜섬웨어는사용자의인기있는중국웹사이트와소셜미디어계정의 로그인크리덴셜을은밀히훔쳐원격서버로보낸다. 또한 CPU 모델, 화면해상도, 네트워크정보및설치된소프트웨어 목록을포함한시스템정보를수집한다. 42

04 글로벌보안동향 랜섬웨어크래킹성공 중국의사이버보안연구원들은이랜섬웨어가엉망으로프로그래밍되어있었으며, 공격자들은암호화프로세스에대해거짓말을했다고밝혔다. 이랜섬웨어는사용자의파일이 DES 암호화알고리즘으로암호화된다고밝혔지만, 실제로는덜강력한 XOR 사이퍼를 사용하며복호화키의복사본을피해자의시스템에로컬로저장한다. 위치는아래와같다 : %user%\appdata\roaming\unname_1989\datafile\appcfg.cfg 이정보를활용해 Velvet 의보안팀은피해자들이랜섬머니를지불하지않고도파일을쉽게복호화할수있도록무료 랜섬웨어복호화툴을만들어배포했다. 또한연구원들은공격자의 C&C 서버및 MySQL 데이터베이스서버를해킹해 접근하는데성공했으며, 해당서버에저장된수천건의훔친크리덴셜을발견했다. 이랜섬웨어의배후는? 공개적으로접근가능한정보를활용해, 연구원들은 "lsy resource assistant" 와 "LSY classic alarm v1.1 를개발한소프트웨어프로그래머인 Luo 를용의자로지목했다. 그의 QQ 계정번호, 휴대전화번호, Alipay ID 와이메일 ID 가연구원이수집한공격자의 WeChat 계정정보와동일했다. WeChat 은신고를받고공격자가랜섬머니를받는데사용한계정을정지시켰다. 연구원들은중국의법집행기관에이를신고한상태다. [ 출처 ] https://www.huorong.cn/info/1543706624172.html 43

04 글로벌보안동향 이번은야마토운수를사칭하는 SMS 공격이확산, 부재중통지를가장한부정어플을설치 야마토운수 ( ヤマト運輸 ) 의택배부재중통지를위장한 SMS 에서부정어플을설치하게만드는공격이발생하고있다는 사실이밝혀졌다. 최근까지도사가와큐빈 ( 佐川急便 ) 을사칭하는비슷한수법이확인되어왔는데, 이번에는그 야마토운수판 이라고할수있다. 독립행정법인정보처리추진기구 (IPA) 에따르면, 야마토운수를사칭하는부재중통지 SMS 에기재된 URL 을통해 Android 단말에서접속하면야마토운수의정규사이트를위장한부정사이트로유도된다고한다. 이사이트를표시하는동시에부정어플을다운로드하게만드는경우도있지만다운로드개시직전에 이종류의파일은사용하시는단말에악영향을미칠가능성이있습니다 등의경고화면이떠서차단할수있는케이스도확인되었다. 부정어플을설치했을경우, 야마토운수의택배부재통지를위장한 SMS 를유저단말에서모르는전화번호앞으로다수 송신하는사례가확인되고있다. 1. 가짜부재통지 SMS 를송신 2. 기재된 URL 을터치 3. 가짜사이트가표시되는동시에다운로드가시작된다. 그리고 iphone 에서유도처웹사이트에접속하면, 사가와큐빈을가장한부정사이트가표시된다는것이 12 월 11 일 시점에서확인되고있기때문에, 사가와큐빈판 과비슷한피해가예상된다. 이사이트에서는전화번호와인증코드의 입력화면이표시되는데이들을입력하면모바일결제서비스를부정사용당할가능성이있다. 44

04 글로벌보안동향 iphone 에서는사가와큐빈을가장한부정사이트가표시된다 부정사이트가표시되었을경우에는화면을닫고대처하지않길바란다. 만일부정어플을설치했을경우에는바로스마트폰을비행모드로바꾸고통신의무효화하여이어플의언인스톨을하도록 IPA 에서는권고하고있다. 이외에 SNS 등의계정의패스워드변경이나수상한모바일결제청구가발생하고있지는않은지휴대전화회사에확인하도록촉구하고있다. 또부정어플에의한스마트폰본체에대한영향범위는명확하지않기때문에초기화를하는것도추천한다. 데이터 복원을할경우에는부정어플을설치한시점보다전의백업데이터사용이추천된다. [ 출처 ] https://internet.watch.impress.co.jp/docs/news/1158230.html 45

04 글로벌보안동향 제 1 비밀번호 ( 第一暗証 ) 는원타임패스워드가아닙니다 미쓰이스미토모 ( 三井住友 ) 은행을사칭하는 SMS 에주의 미쓰이스미토모 ( 三井住友 ) 은행을사칭하는메시지가송신되고있다고해서피싱대책협의회가주의를호소했다. 가짜사이트로유도하는 SMS( 화면 : 피싱대책협의회 ) 문제의메시지 (SMS) 의경우는온라인뱅킹에관한에러통지로보이게만들어가짜사이트로유도하여로그인패스워드등을속여서빼앗으려고하고있었다. 처음에는 제1 비밀번호는원타임패스워드가아닙니다 등으로에러통지로보이게만든메시지를반복하여송신된다. 그다음에는패스워드가다음날에실효할것이라고불안을부추겨서피싱사이트로유도하여제1 비밀번호의갱신등으로사칭하여정보를속여서빼앗으려고하고있었다. 12 월 25 일시점에서피싱사이트의가동이확인되고있으며피싱대책협의회에서는사이트폐쇄를위해조사를 JPCERT 코디네이션센터에조사를의뢰했다. 유사한공격에주의하도록당부하고있다. [ 출처 ] http://www.security-next.com/101333 46

04 글로벌보안동향 PayPay 로시큐리티코드 20 회이상입력은 13 건, 9 건은본인 외부에서신용카드정보 입수했는가 스마트폰을이용한결제서비스를제공하는 PayPay 은신용카드의부정이용피해가발생한원인에대해서외부에서 유출된신용카드정보가악용되었다는견해를제시했다. 이회사는부정이용을보상하고 3D 시큐어에대응할 예정이라고한다. 이회사결제서비스에서부정이용의보고가이어지고더나아가이회사어플에서시큐리티코드의입력횟수가 제한되지않고있다는것이그원인이아닌가하는지적을받아이회사에서는시큐리티코드의입력횟수를제한하는 업데이트를실시하는등대응을추진하고있었다. 일련의문제에따라이회사가조사를진행한결과, 신용카드가등록되었을때시큐리티코드가 20 회이상입력된케이스는서비스개시이후 13 건에머물고있으며그중 9 건은본인에의한입력이었다는사실이판명되었다고한다. 조사결과에따라이회사는신용카드의부정이용에대해서이회사이외에서입수된신용카드정보가악용되었을가능성이높다고설명한다. 부정이용에대한대책으로본인인증을추가한다. 구체적으로는신용카드의명의인본인인지인증을하는 3D 시큐어 를 2019 년 1 월에도입하고이용자에게인증을 요구한다. 다만결제별인증은불필요하다고한다. 현재이회사에서는신용카드에의한결제를 30 일이내 5 만엔으로 하는상한을설정하고있으며, 도입후에는 3D 시큐어에의한인증유무로다른상한액을설정한다. 또부정이용에대한대책에대해서는 20 회미만이라고해도시큐리티코드가일정횟수이상입력되고등록되어 결제가이루어진신용카드에대한대응을추진하여부정이용의혐의가있을경우에는신용카드회사에서연락하여 부정한청구에대해서는이회사가전액을보상할방침이다. 이용자가신고하여신용카드회사에서부정이용이인정되었을경우에도이회사가전액을보상하겠다고하고있으며 신용카드의청구명세를확인하여수상한청구가있을경우에는신용카드회사에게연락을취하도록요구하고있다. [ 출처 ] http://www.security-next.com/101429 47

( 주 ) 이스트시큐리티 ( 우 ) 06711 서울시서초구반포대로 3 이스트빌딩 02.583.4616 www.estsecurity.com 0