ASEC REPORT VOL.94 2019 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 더많은정보는안랩닷컴 (www. ahnlab.com) 에서확인하실수있습니다. 2019 년 1 분기보안동향 Table of Contents 보안이슈 SECURITY ISSUE 동시다발적으로국내기업노린 Ammyy 해킹툴과클롭랜섬웨어 04 악성코드상세분석 ANALYSIS-IN-DEPTH 워너크라이의그림자, 2019 년형 SMB 취약점공격 16 ASEC REPORT Vol.94 Security Trend 2
보안이슈 SECURITY ISSUE 동시다발적으로국내기업노린 Ammyy 해킹툴과클롭랜섬웨어
동시다발적으로국내기업 보안이슈 Security Issue 노린 Ammyy 해킹툴과 클롭랜섬웨어 최근첨부파일내악성매크로를이용한공격사례가지속적으로증가하고있다. 지난 2월에는국내기업사용자를타깃으로메일의첨부파일을통해 Flawed Ammyy RAT 라고명명된원격제어해킹툴이유포됐다. 한편동일한시기에국내기업을노린 클롭 (CLOP) 랜섬웨어 가유포되고있는정황이안랩시큐리티대응센터 (AhnLab Security Emergency-response Center, 이하 ASEC) 에포착됐다. 안랩은 Flawed Ammyy RAT 과클롭랜섬웨어의인증서를추척하던중이들두악성코드가동일한서명을공유하고있으며, 공격대상또한국내기업사용자인점등다수의공통점이존재하는것을확인했다. 안랩시큐리티대응센터는국내기업사용자를노린 Flawed Ammyy RAT 과클롭랜섬웨어의유포방 법및공격기법과함께이들두악성코드의연관성을면밀히분석했다. 1. 해킹툴 Flawed Ammyy RAT 공격개요먼저원격제어기능을가진해킹툴 Flawed Ammyy RAT(Remote Access Tool) 의공격방식을살펴보자. 공격자는스팸메일을이용한악성코드유포하는방식을사용했다. [ 그림 1-1], [ 그림 1-2] 과같이메일의내용만보면다운로드나실행을유도하지않는일반적인내용의메일로보인다. 또한첨부파일의이름은 의뢰 _030719_001.xls 또는 증명서.xls 이다. 해당메일을수신한사용자는별다른의심없이메일의첨부파일을열어볼소지가있다. ASEC REPORT Vol.94 Security Trend 4
그림 1-1 스팸메일사례 (1) 그림 1-2 스팸메일사례 (2) 사용자가첨부된악성엑셀문서를다운받은후실행하면 [ 그림 1-3] 과같은화면이나타난다. 공격자 는사회공학적기법을이용하여매크로설정이꺼져있는마이크로소프트오피스 (Microsoft Office) 프로그램에서사용자가화면상단의 콘텐츠사용 버튼을클릭하도록유도했다. 그림 1-3 매크로를활성화시키기위해사용되는사회공학적기법 ASEC REPORT Vol.94 Security Trend 5
일반적인사용자의경우매크로활성화버튼클릭만으로백도어 (Backdoor) 가컴퓨터에설치될수있다는것을알기어렵다. 또한해당문서는일반적인악성문서파일과달리 VBA(Visual Basic for Application) 를이용한악성매크로를포함하지않는대신 XLM을이용한매크로가포함되어있다. XML은엑셀의이전버전인 4.0 버전에서사용하는매크로다. 일반적인악성문서파일에서사용되는 VBA는엑셀 5.0 버전에서도입된매크로이다. 대부분의악성오피스문서파일들은대부분 VBA를이용하여제작되어악성코드를다운로드하거나드랍하고실행시킨다. 최근에는파워셸을이용하는공격방식또한증가하는추세다. 반면, 이번공격에사용된방식은보안프로그램의탐지회피를위해엑셀프로그램의초기버전에서이용하는매크로제작방식을사용했다는점이특징적이다. 엑셀파일하단의숨겨진워크시트를해제하면 [ 그림 1-4] 와같은명령을확인할수있는데, 이는 msiexec.exe 를이용해악성서버에서 msi 파일을다운로드하고실행하는방식이다. 그림 1-4 XML 을이용한다운로드방식 서버로부터다운로드된악성 msi 파일은내부에 exe 파일을포함하고있는데해당 exe 파일은실제악성백도어역할을담당하는또다른 exe 파일을다운로드하는기능을수행한다. 또한파일을실행시키기전 [ 그림 1-5] 와같이현재실행중인프로세스를검사하여현재백신프로그램이실행중인경우에는해당백신프로그램의프로세스를종료한다. ASEC REPORT Vol.94 Security Trend 6
이후특정 url에서인코딩된형태의파일이다운로드되며, 최종적으로디코딩과정을거치면 exe 형태의악성코드가생성된다. 한편다운로더는악성코드설치이후자가삭제되는데이때설치된악성코드가실제악성행위를담당하는해킹툴인 Flawed Ammyy RAT 이다. [ 그림 1-6] 은 Flawed Ammyy RAT 가다운로드 되기까지의일련의과정을나타낸것이다. 공격 그림 1-5 백신프로세스를검사하는루틴 자는다수의백신프로그램에서오피스문서파 그림 1-6 악성코드공격흐름도 ASEC REPORT Vol.94 Security Trend 7
일의 VBA 매크로가주요분석대상이라는점을이용하여 XLM 을사용한공격방식을통해백신프로 그램의탐지를효과적으로우회했다. 공격자는악성 exe 파일을직접다운로드하여실행시키지않고, msiexec의기능중하나인외부에존재하는 msi 파일을설치하는방식을통해간접적으로다운로더프로그램을다운로드및실행했다. 또한실제백도어악성코드역할을하는 Flawed Ammyy RAT 역시인코딩된형태로다운로드받아디코딩과정을거친후설치가진행되었다. 또한프로세스목록을검사하여백신프로그램이동작하고있는경우에는행위를진행하지않고바로종료한다. 마지막으로유효한인증서를통해각각의바이너리를서명함으로써, 인증서가존재하지않거나유효하지않은인증서로서명된일반적인악성코드에비해쉽게정상프로그램으로위장했다. 한편 Flawed Ammyy RAT 은원격데스크탑프로그램인 Ammyy Admin의유출된소스코드를기반으로제작되었다. Ammyy Admin 프로그램은파일전송이나화면캡쳐와같은원격컴퓨터에대한제어기능을포함하고있어공격자는해당소스코드를기반으로악성행위를수행할수있도록코드를추가, 수정하여 RAT 악성코드를제작한것으로보인다. Flawed Ammyy 의초기루틴을분석한결과다운로더와유사하게현재실행중인프로세스를검사 하고백신프로그램이실행중인경우종료하는기능이확인되었다. 또한서버에서사용자컴퓨터에 접속할수있도록 OS 정보, 권한, 사용자이름등의기본정보를전송하는것이확인되었다. 2. Flawed Ammyy RAT 과클롭 (CLOP) 랜섬웨어의연관성앞서언급한것과같이 Flawed Ammyy RAT 은악성코드본체뿐만아니라다운로더또한유효한서명을포함한다. 유효하지않은서명을포함한여타악성코드와는달리, 악성코드바이너리가여러유효한인증서를통해서명되어유포되는것은 Flawed Ammyy RAT 만의특징적인점이라고볼수있다. 그런 ASEC REPORT Vol.94 Security Trend 8
데최근국내기업을대상으로유포된클롭 (CLOP) 랜섬웨어에서도이와같은특징이발견되었다. ASEC에서는이점을이용해 Flawed Ammyy RAT 과클롭랜섬웨어의인증서를추적하던중두악성코드가동일한인증서로서명된경우가존재하는사실을확인했다. [ 그럼 1-7], [ 그림 1-8] 은동일한인증서 DELUX LTD 와 MAN TURBO (UK) LIMITED 로서명된 Flawed Ammyy RAT 과클롭랜섬웨어의속성화면이다. 그림 1-7 동일인증서사례 (1) 그림 1-8 동일인증서사례 (2) Flawed Ammyy RAT 과클롭랜섬웨어의또하나의공통점은일반사용자가아닌기업사용자를대 상으로유포된다는점이다. 클롭랜섬웨어는다수의일반사용자들을대상으로하는대부분의랜섬웨 어들과달리기업을공격대상으로하는데, 유포방식및감염방식은아직확인되지않았다. 다만공 ASEC REPORT Vol.94 Security Trend 9
격자는중앙관리서버에침투한후관리서버에 연결된시스템에악성코드를삽입및감염시킨다 는사실만알려져있다. 최근 Flawed Ammyy의다운로더에변화된코드가포착됐다. 백신프로그램의프로세스검사루틴이후에기업사용자환경을탐지하는루틴이포함된것이다. [ 그림 1-9] 과같이 net user /domain 명령을수행하고, 그결과에 WORKGROUP 문자열이출력되는지검사한다. 일반개인사용자의경우별다른설정이없기때 문에 WORKGROUP 문자열이출력되지만기업 그림 1-9 WORKGROUP 문자열을검사하는루틴 사용자의경우각환경에맞게설정된그룹명이출력될수있다. 공격자는 WORKGROUP 문자열이 출력되는일반개인사용자의경우, Flawed Ammyy RAT 악성코드를다운로드및설치하는악성행 위를수행하지않고종료하도록했다. 3. 클롭 (CLOP) 랜섬웨어동작방식 클롭랜섬웨어의공격방식및암호화과정을살펴보자. 클롭랜섬웨어는 [ 그림 1-10] 과같이시스템서 비스로등록되어실행되며, 서비스로실행되지않는경우에는정상적으로동작하지않는다. 그림 1-10 클롭랜섬웨어의실행방법 ASEC REPORT Vol.94 Security Trend 10
또한클롭랜섬웨어는파일암호화를진행하기전일부프로세스를강제로종료시킨다. 이는암호화 를진행하는과정에서보다많은대상을암호화시키기위한것으로추정된다. 프로세스강제종료대 상은 [ 그림 1-11] 과같다. 그림 1-11 강제종료프로세스목록 그림 1-12 암호화제외경로 클롭랜섬웨어의특징적인점은암호화진행시일부경로와파일을암호화대상에서제외하는점이다. [ 그림 1-12] 은암호화제외경로를나타낸것이다. 경로에해당문자열을포함하고있으면암호화대상에서제외된다. [ 그림 1-13] 은암호화제외파일목록이다. 제외 경로와마찬가지로파일명에해당문자열을가지 고있으면암호화대상에서제외된다. 그림 1-13 암호화제외파일 클롭랜섬웨어는 [ 그림 1-14] 와같이공격자의공개키가파일내부에포함되어있으며, 해당공개키는 파일암호화시사용된다 ASEC REPORT Vol.94 Security Trend 11
또한클롭랜섬웨어는 AES 알고리즘을이용하여파일암호화를진행한다. 사용자 PC에서생성한대칭키로대상파일을암호화하는데, [ 그림 1-15] 와같이클롭랜섬웨어의시그니쳐인 Clop^_- 를삽입하고공격자의공개키로사용한대칭키 그림 1-14 랜섬웨어공격자의공개키 를암호화하여시그니쳐의뒷부분에사용한다. 그림 1-15 암호화된파일의시그니쳐 [ 그림 1-16] 은암호화전과후의파일구조를비교하여나타낸것이다. 그림 1-16 암호화전 / 후파일비교 그림 1-17 암호화된파일 최종적으로암호화된파일은 [ 그림 1-17] 과같이파일명이 [ 원본파일명 ].Clop 로변경된다. 지금까지살펴본내용및두악성코드의연관성을통해현재유포방식및감염방식이확인되지않은클롭랜섬웨어의감염벡터중하나로 Flawed Ammyy RAT 이사용되었음을추정할수있다. Flawed Ammyy RAT 은원격제어를통해정보유출및악성코드설치를위한명령수행이가능하기때문이다. [ 그림 1-18] 은 Flawed Ammyy RAT 와클롭랜섬웨어이들두악성코드를이용한공격자 ASEC REPORT Vol.94 Security Trend 12
의유포방법을정리한것이다. 그림 1-18 유포방법추정 4. 결론 ASEC에서분석한결과 Flawed Ammyy RAT 과클롭랜섬웨어는활동시기가겹치는점, 국내사용자를직접적인대상으로하는점, 백신프로그램을우회하는루틴을포함하는점, 그리고여러유효한인증서를통해변형을포함하는다수의악성코드들을서명하고유포하였다는점등다수의공통점이존재한다. 또한두악성코드가동일한서명을공유하고있고, 공격대상또한기업사용자라는점으로미루어동일한공격자가제작한것으로추정할수있다. 기업사용자를주요공격대상으로삼는 Flawed Ammyy RAT, 클롭랜섬웨어와같은악성코드피해를최소화하기위해서는항상윈도우보안패치및 V3 백신프로그램을최신업데이트상태로유지하는것이중요하다. 또한사내에서신뢰할수없는출처의메일등의첨부파일실행및확인되지않은웹페이지방문은삼가는등각별한주의가필요하다. ASEC REPORT Vol.94 Security Trend 13
V3 제품군에서는 Flawed Ammyy RAT 과클롭 (CLOP) 랜섬웨어를다음과같은진단명으로탐지 하고있다. < V3 제품군진단명 > XLS/Downloader MSI/Downloader BinImage/Encoded Trojan/Win32.Agent Trojan/Win32.Downloader Backdoor/Win32.Agent Trojan/Win32.ClopRansom ASEC REPORT Vol.94 Security Trend 14
악성코드 상세분석 ANALYSIS-IN-DEPTH 워너크라이의그림자, 2019 년형 SMB 취약점공격
악성코드상세분석 Analysis-In-Depth 워너크라이의그림자, 2019 년형 SMB 취약점공격 지난 2017년 5월약 30만대이상의시스템을감염시키며전세계를랜섬웨어공포로몰아넣었던워너크립터 (WannaCryptor, 일명워너크라이 ) 는윈도우 SMB 보안취약점 (MS17-010) 을이용하여급속도로확산됐다. 당시국내에서도다수의기관및기업이피해를입은것으로보고된가운데, 약 2년의시간이경과한최근까지도워너크립터가사용한해당 SMB 취약점 (MS17-010) 을통해국내기업을노린공격이활발하게이뤄지고있다. 특히이번에발견된악성코드는 코인마이너 라는암호화폐채굴형악성코드로더욱각별한주의가필요하다. 이번보고서에서는 2018 년부터 2019 년 1 분기현재까지국내에서발생한 SMB 취약점 (MS17-010) 공 격사례를상세히살펴본다. 1. NrsMiner 악성코드공격사례 (2018년) 2018년 3월, 해외에위치하고있는국내기업을대상으로 NrsMiner 악성코드가감염된사례가발견되었다. 해당악성코드는워너크립터가이용하는 SMB 취약점 (MS17-010) 을통해내부네트워크를스캐닝하고, 취약한시스템인경우암호화폐의한종류인모네로코인을채굴하는악성코드를설치한다. NrsMiner 악성코드는 ZIP 압축파일형식의패키지파일로구성되어있으며, 패키지파일명 (MsraReportDataCache32.tlb) 은변형마다다른것으로확인되었다. ASEC REPORT Vol.94 Security Trend 16
그림 2-1 NrsMiner 패키지구조 [ 그림 2-1] 는 NrsMiner 패키지파일의구조이다. 취약점을통한시스템감염시설치된 OS 환경에맞게 Srv, Srv64 파일중하나를 tpmagentservice.dll 파일명으로변경하여서비스로등록한다. 이는이후에나올공격모듈과채굴툴을생성및실행하는주체가된다. Spoolsv, Spoolsv64는패키지파일을로드하여환경에따라필요한모듈을설치하며, 특히시스템내 MS17-010 취약점을스캐닝한다. Hash, Hash64는모네로코인을채굴하는것으로알려진공개툴인 XMRig이다. Crypt 폴더는공개된 MS17-010 취약점관련도구와파일들이포함된 ZIP 형태의압축파일이다. 그림 2-2 Spoolsv.exe 실행흐름 ASEC REPORT Vol.94 Security Trend 17
[ 그림 2-2] 는공격모듈인 Spoolsv.exe 파일의동작방식이다. spoolsv.exe 은 MsraReportDataC ache32.tlb 패키지를압축해제하여내부모듈들을로드하는기능을수행한다. 해당 tlb 파일은앞서살펴본 [ 그림 2-1] NrsMiner 패키지구조에서설명한것처럼 hash, hash64 파일명의 XMRig( 공개모네로채굴툴 ), spoolsv, spoolsv64 파일명의공격모듈, 그리고 srv, svr64 파일명의메인모듈, 이터널블루 (Eternalblue) SMB 취약점인 MS17-010 관련 Crypt 파일명의압축파일로구성되어있다. Spoolsv.exe 파일이실행되면 6개의스레드 (Thread) 를구동하며, 다음의일련의과정을수행한다. 먼저시스템에 [ 표 2-1] 의폴더를생성한다음, 악성코드패키지파일을로드한후로드된파일의압 축을해제한다. - %Windows%\SecureBootThemes\ - %Windows%\SecureBootThemes\Microsoft\ - %Windows%\System32\MsraReportDataCache32.tlb (*.tlb 파일 (zip) 압축해제 ) - %Windows%\SecureBootThemes\Microsoft\crypt ( 압축해제완료후삭제 ) 표 2-1 Spoolsv.exe 파일이생성하는폴더 또한 SMB 취약점전파를위해 MsraReportDataCache32.tlb 파일내부에있는 crypt 압축폴더내 svchost.exe(eternalblue-2.2.0.exe) 와 spoolsv.exe(doublepulsar-1.3.1.exe) 를실행한다. 윈도우환 경에따라 x64.dll, x86.dll 파일을로드하는데, 해당파일명은 spoolsv64.exe 내하드코딩되어있다. 최종적으로 spoolsv64.exe 프로세스의스레드에서취약점스캔을수행하며성공시 x64.dll, x86. dll 모듈에서타겟시스템으로 *.tlb 파일을복사하고압축해제한다. 이후 tpmagentservice.dll 으로 파일명을변경하고 srv 서비스를등록한후 spoolsv64.exe 파일을재실행하는과정을거친다. 한편취약점을이용한내부네트워크전파는 [ 그림 2-3] 과같이진행된다.(x64 윈도우기준 ) ASEC REPORT Vol.94 Security Trend 18
그림 2-3 이터널블루 (Eternalblue) 공격툴설정파일 이후이터널블루 (Eternalblue) 도구가실행되는데, [ 표 2-2] 의 stage1.txt, stage2.txt 과같이 2 개의 로그파일이생성된다. cmd.exe /c C:\WINDOWS\SecureBootThemes\Microsoft\\svchost.exe > stage1.txt // Eternalblue cmd.exe /c C:\WINDOWS\SecureBootThemes\Microsoft\\spoolsv.exe > stage2.txt // Doublepulsar 표 2-2 생성된로그파일 stage1.txt 파일은이터널블루툴의실행로그파일이며, 상세내용은 [ 그림 2-4] 와같다. 그림 2-4 이터널블루 (Eternalblue) 툴로그파일 ASEC REPORT Vol.94 Security Trend 19
또한취약점패킷은 [ 그림 2-5] 와같이타깃시스템에전송된다. 그림 2-5 취약점패킷전송 이후 lsass.exe 파일에의해악성코드패키지파일인 MsraReportDataCache32.tlb 파일이원격시스템내에생성된다. [ 그림 2-6] 은취약점공격성공후에생성된패키지파일이다. 전송되는패키지파일은 102,400 바이트씩분할하여파일에기록되며, 별도의암호화과정없이플레인바이너리를직접전송하도록되어있다. 그림 2-6 취약점공격성공후 lsass.exe 의한 *.tlb 패키지파일생성 패킷전송시사용하는 TCP 포트는동적으로할당한 492xx 대역과 572xx 대역을사용한다. 테스트 과정에서는 src:49287, dest:57219 가사용되었다. ASEC REPORT Vol.94 Security Trend 20
취약점공격이성공하면 MsraReportDataCache32.tlb 파일이전송되고, 전송된파일이압축해제된다. 압축해제폴더는 Windows\SecureBootThemes\Microsoft로동일하다. srv64 파일은 system32\tpagentservice.dll 파일명으로변경된후시스템에복사되고, 서비스로등록되어동작한다. 해당모듈은메인제어모듈로 tlb 내부의 spoolsv64.exe 파일을실행하고또다른취약한시스템을찾아패키지파일을유포한다. 최종적으로모네로코인을채굴하는 XMRig 툴 (hash, hash64 파일명 ) 이실행되는데, 마이닝풀 (Mining Pool) 주소는 [ 표 2-3] 과같다. -o p3.qsd2xjpzfky.site:45560 -u wvsymvtjeg -o p1.mdfr6avyyle.online:45560 -u lqbpyceupn -o p1.qsd2xjpzfky.site:45560 -u odiqldkee2 -o p5.mdfr6avyyle.online:45560 -u jodkrofar -o p5.qsd2xjpzfky.site:45560 -u dkw1kaxlep 표 2-3 마이닝풀 (Mining Pool) 주소 메인제어모듈은악성코드패키지파일인 MsraReportDataCache32.tlb 파일을압축해제한후, 공격모듈과모네로코인채굴프로그램인 TrustedHostServices.exe 을생성하여실행시킨다. 메인 제어모듈의주요행위코드는 [ 그림 2-7] 과같다. 그림 2-7 메인제어모듈의주요행위코드 ASEC REPORT Vol.94 Security Trend 21
또한 [ 표 2-4] 와같이이전버전으로추정되는파일들을삭제하고, 서비스중지및작업스케줄삭제 를수행한다. dnsclientprovider_userdata.mof NrsDataCache.tlb SecUpdateHost.exe ServicesHost.exe settings7283.dat SysprepCache.ini vmichapagentsrv.dll ("schtasks.exe", " /Delete /TN \"\\Microsoft\\Windows\\UPnP\\Services\" /F"); ("sc.exe", " stop vmichapagentsrv"); ("sc.exe", " delete vmichapagentsrv"); ("schtasks.exe"," /End /TN \"\\Microsoft\\Windows\\Tcpip\\TcpipReportingServices\""); ("schtasks.exe"," /Delete /TN \"\\Microsoft\\Windows\\Tcpip\\TcpipReportingServices\" /F"); 표 2-4 파일삭제와서비스중지및작업스케줄삭제수행 Mongoose 기반의자체웹서버기능이있어, 다른감염시스템에 MsraReportDataCache32.tlb 패키지파일전송을담당하며포트 26397 를사용한다. 또한외부로인터넷연결이가능한경우 [ 그 림 2-8] 과같이원격서버로부터악성패키지파일을다운로드받는다. 그림 2-8 다운로드관련코드 ASEC REPORT Vol.94 Security Trend 22
*.tlb 패키지는메인제어모듈이담당하는웹서버를통해업데이트되며, 다운로드주소는 [ 표 2-5] 와같다. rer.njaavfxcgk3.club/f79e53 (port: 4431) ccc.njaavfxcgk3.club/a4c80e (port: 4433) ccc.njaavfxcgk3.club/5b8c1d (port: 4433) ccc.njaavfxcgk3.club/d0a01e (port: 4433) 표 2-5 다운로드주소 2. 국내 POS 공격사례 (2018년) 지난 2018년 7월, 국내 POS 단말기 10만대가해킹되는사례가발생했다. 대부분의 POS 단말기에인터넷연결이되지않아결제서비스가정상 적으로이루어지지않는증상이나타났다. 당시피해업체중한곳에서는 [ 그림 2-8] 과같이윈도우 보안취약점으로인한서비스장애및보안패치관련권고사항을게시했다. 감염기기는대부분보안에취약한 XP 운영체제환경이었으며, 모두 SMB 취약점관련보안업데이트를적용하지않은상태였다. 공격자는워너크립터랜섬웨어가사용한 SMB 취약점을이용하여 POS 시스템에 고스트랫 (GhostRAT) 이라는백도어악성코드와 코인마이너 를설치했다. [ 그림 2-9] 는악성코드의동작과정을나타낸 그림 2-8 POS 제조사장애관련권고사항 것이다. 그림 2-9 POS 악성코드동작과정 (2018.07) ASEC REPORT Vol.94 Security Trend 23
안랩 ASD(AhnLab Smart Defense) 엔진을통해확인한결과 [ 그림 2-9] 의 (3) 번파일인 iiiiiiii.exe 을생성한대상이윈도우시스템파일인 lsass.exe 인것으로미루어, 해당공격은 SMB 취약점을이용한공격으로감염된시스템에의해공격이이루어진것을추정할수있다. 고스트랫 (GhostRAT) 원격제어악성코드는 (2) 번 3b.txt 파일이며, (1) 번 3a.txt 파일에의해다운로드된파일은암호화폐체굴목적의 코인마이너 로확인되었다. 그림 2-10 SMB 취약점행위탐지리포트 (2018.06~2018.07) V3 제품군에서는이와같은 SMB 취약점공격에대한행위탐지기능을제공하고있으며, [ 그림 2-10] 의탐지리포트를살펴보면국내 POS 해킹피해가있었던 2018 년 6 월 24 일과 7 월 7 일에공격 시도가급증한것을확인할수있다. 3. 국내 POS 공격사례 2 (2019년) 2019년 2월, 또다시국내 POS 기기를대상으로 SMB 취약점을통한 코인마이너 악성코드감염사례가확인되었다. ASEC은블로그 (https://asec.ahnlab.com/1196) 를통해관련내용을공유한바있다. 전체적인악성코드동작과정은아래의 [ 그림 2-11] 과같다. ASEC REPORT Vol.94 Security Trend 24
그림 2-11 POS 악성코드동작과정 (2019.02) 악성코드인 Sample.exe 파일내부에는운영체제환경에따라 32비트, 64비트 2가지형태를포함하는구조이며, 시스템경로의드라이버폴더 (%system%drivers) 에복사된 svchost.exe 파일이 SMB 취약점공격을발생시킨다. 최종적으로다운로드되어설치되는파일은 코인마이너 악성코드와윈도우계정정보탈취용해킹툴인 Mimikaz 이다. 2018년 7월의국내 POS 공격사례와는달리해당 코인마이너 악성코드는실행파일형태가아닌스크립트로동작하는것이특징이다. [ 그림 2-12] 의탐지리포트에서 2019년 1월부터 2월까지의 SMB 취약점관련행위탐지수가특정기간에급증한것을확인할수있다. ASEC REPORT Vol.94 Security Trend 25
그림 2-12 SMB 취약점행위탐지리포트 (2019.01~2019.02) 4. 결론지난 2008년에도 SMB 취약점 (MS08-067) 을통해전파기능을갖는컨피커 (Conficker) 로불리우는웜 (Worm) 이국내에많은피해를입히고수년동안끊임없이공격이지속된바있다. 그만큼국내기업의시스템은 SMB 서비스를이용하는환경이많고, 그중에는보안업데이트가되지않아취약한환경에노출된경우가많아각별한주의가필요하다. 이와같은피해를예방하기위해서는마이크로소프트윈도우운영체제의이터널블루 (Eternalblue) SMB 취약점 (MS17-010) 과관련된보안패치를적용해야한다. 이보고서에서살펴본 2018년 3월 NrsMiner 악성코드를이용한공격사례및 2018년 7월과 2019년 2월에발생한 POS 공격사례를볼때, SMB 취약점 (MS17-010) 공격은앞으로도고도화되어계속될것으로추정된다. 특히보안에취약한환경의국내 POS 기기에대한점검및보안업데이트등의조치가필수적이다. [SMB 취약점 (MS17-010) 패치 ] - https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010 ASEC REPORT Vol.94 Security Trend 26