01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No Copyright 2018 ESTsecurity Corp. All rights reserved.

Similar documents
< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

Windows 10 General Announcement v1.0-KO

SBR-100S User Manual

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

ActFax 4.31 Local Privilege Escalation Exploit

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

Office 365 사용자 가이드

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

Android Master Key Vulnerability

Windows 8에서 BioStar 1 설치하기

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

SIGIL 완벽입문

01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

메뉴얼41페이지-2

System Recovery 사용자 매뉴얼

Install stm32cubemx and st-link utility

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

*2008년1월호진짜

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENT 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 02 전문가보안기고 새로운 KONNI 캠페인등

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc


< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

NX1000_Ver1.1

미디어 및 엔터테인먼트 업계를 위한 Adobe Experience Manager Mobile

Microsoft Word - src.doc

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

Studuino소프트웨어 설치

#WI DNS DDoS 공격악성코드분석

ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작

Secure Programming Lecture1 : Introduction

Security Trend ASEC REPORT VOL.68 August, 2015

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

슬라이드 1

Operation-name: 악성행위의종류를말하며, Sending SMS Calling Sending sensitive information Converting data 로분류합니다. Operation-target: 악성행위의목표물을말하며, Premium-rate SM

? : 6, 7 8 9, 10, ,, Adobe Marketing Cloud

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>


ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

PowerPoint Presentation

신입생을 위한 iPad 설정 및 등록 방법

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며

Windows Server 2012

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 악성메일로유포되는 GandCrab 2.1 랜섬웨어주의

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 년 2 분기, 알약랜섬웨어공격행위차단건수 :

View Licenses and Services (customer)

vRealize Automation용 VMware Remote Console - VMware

목차 Part Ⅰ 3 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

설치 순서 Windows 98 SE/Me/2000/XP 1 PC를 켜고 Windows를 시작합니다. 아직 컴퓨터에 프린터를 연결하지 마십시오. 2 PC에 P-S100 CD-ROM(프 린터 드라이버)을 삽입합니다. 3 설치 프로그램을 시작합니다. q CD-ROM의 PS1

유포지탐지동향

암호내지

Xcovery 사용설명서

ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나 데이터를암호화해사용할수없도록하고이를인질로금전

C스토어 사용자 매뉴얼

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

Cloud Friendly System Architecture

Security Trend ASEC Report VOL.56 August, 2014

IRISCard Anywhere 5

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 사서함업그레이드로위장한계정탈취목적의악성메일주의 국내에

서현수

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

untitled

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

RHEV 2.2 인증서 만료 확인 및 갱신

PowerPoint 프레젠테이션

ISP and CodeVisionAVR C Compiler.hwp

CODESYS 런타임 설치과정

Office 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack

PowerPoint Template

Secure Programming Lecture1 : Introduction

게시판 스팸 실시간 차단 시스템

Microsoft Outlook G Suite 가이드

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENT 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 02 전문가보안기고 금성 121 정부기반 AP

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

정보

[ 목차 ] 1. 개요 2 2. 악성앱배포방식 2 3. 채굴악성앱유형분석 정상앱을리패키징하여채굴기능포함후재배포 앱개발시의도적으로채굴기능포함 9 4. 스마트폰악성앱감염예방방법및대처 참고문헌 12 [ 붙임 ] 13

SBR-100S User Manual

목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENT 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 금성 121 그룹의최신 APT 캠페인 작전명로켓맨 게임

160322_ADOP 상품 소개서_1.0

PowerPoint 프레젠테이션

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

Transcription:

01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No.111 2018.12

01 이스트시큐리티통계및분석 No.111 2018.12 이스트시큐리티보안동향보고서 CONTENT 01 악성코드통계및분석 악성코드동향 01-05 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 02 전문가보안기고 06-27 비너스락커랜섬웨어조직, 한국상대로악성문서파일융단폭격중 오퍼레이션블랙버드 (Operation Blackbird), 금성 121 의모바일침공 03 악성코드분석보고 28-52 개요 악성코드상세분석 결론 04 해외보안동향 53-66 영미권 중국 일본

이스트시큐리티보안동향보고서 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 1

01 악성코드통계및분석 1. 악성코드동향 벌써 2018 년연말이성큼다가왔습니다. 올해에도정말수많은보안이슈가있었고, 침해사고들도발생했습니다. 그중가장큰 2018 년이슈는 GandCrab ( 갠드크랩 ) 랜섬웨어일것입니다. 연말을앞두고올한해동안있었던 GandCrab 이슈를한번정리해보고자합니다. 1월 GandCrab v1 첫발견. 1월에만 5만여명의감염자발생. 2월 GandCrab v1 의복호화툴이개발되어공개 3월 기존복호화툴로복호화가불가능한 GandCrab v2 등장. 실존디자이너명의를사칭한악성메일로 GandCrab 국내유포 4월 GandCrab v3 등장 5월 입사지원서혹은채용문의로위장하여첨부파일이아닌본문내악성 URL 을통해 GandCrab v3 국내유포. 정상웹사이트를해킹하여 GandCrab 대량유포한해외케이스발견 6월 상품주문제안, 이미지저작권침해, 피고소환장등으로위장한메일로 GandCrab 랜섬웨어국내유포 7월 GandCrab v4 등장. 러시아및인근국가언어시스템사용환경에서는암호화를하지않음 8월 GandCrab 제작자가 GandCrab v4 의킬스위치를발견했던보안업체가운영하는백신의제로데이취약점을악용하여공격시도 9월 GandCrab v5 등장. 윈도우 ALPC 작업스케쥴러익스플로잇악용하여유포 10 월 - 10 월초에만 GandCrab 이 v5.0.1 ~ v5.0.4 까지지속적으로업데이트되며유포. 10 월말유로폴과 FBI, 보안업체, 경찰, 법집행기관이함께 GandCrab v1, v4, v5 에대한복호화툴제작. 곧바로 GandCrab 제작자는최신복호화툴로복호화가불가능한 v5.0.5 업데이트진행 11 월 한국에서개발된베리즈웹쉐어파일공유서버구축을통해 GandCrab 국내유포 11 월에도 Kraken Cryptor 등다양한보안이슈가있었지만, 올해가장큰이슈였던 GandCrab 타임라인으로 정리해봤습니다. 공격자들은다양한형태로 GandCrab 을지속적으로유포하고있지만, 주로이메일을활용하여 사용자로하여금메일첨부파일을열어보도록유도하는방식을취하고있습니다. 사용자는출처를알수없는메일을열람과특히첨부파일을열어보는것은되도록지양해야합니다. 또한사용중인 OS 와 SW 에대한최신보안패치, 그리고신뢰할수있는백신을사용하는등의기본보안수칙준수가중요합니다. 2

01 악성코드통계및분석 2. 알약악성코드탐지통계 감염악성코드 TOP15 2018 년 11 월의감염악성코드 Top 15 리스트에서는지난 2018 년 8월부터꾸준히 1위를유지해온 Trojan.Agent.gen 이이번달 Top 15 리스트에서도역시 1위를차지했다. 10 월에 2위를차지했던 Misc.HackTool.AutoKMS 역시이번달에도 2위를지켰다. 지난 10 월에 14 위였던 Misc.Riskware.BitCoinMiner 가무려 10 단계상승하여이번달 4위에오른것이가장큰변동이었다. 전반적으로악성코드탐지수치자체는지난 10 월대비유사한추세를보였다. 순위 등락 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Trojan.Agent.gen Trojan 1,056,333 2 - Misc.HackTool.AutoKMS Trojan 954,184 3 1 Trojan.HTML.Ramnit.A Trojan 593,309 4 10 Misc.Riskware.BitCoinMiner Trojan 486,493 5 2 Misc.HackTool.KMSActivator Trojan 433,265 6 1 Win32.Neshta.A Virus 276,986 7 1 Misc.Keygen Trojan 274,646 8 3 Gen:Variant.Razy.107843 Trojan 224,510 9 1 Adware.SearchSuite Adware 205,539 10 1 Trojan.LNK.Gen Trojan 203,978 11 New Win32.Ramnit Virus 182,182 12 1 Worm.ACAD.Bursted.doc.B Worm 175,427 13 3 Exploit.CVE-2010-2568.Gen Exploit 172,921 14 New Gen:Variant.Ursu.315300 Trojan 156,120 15 - Trojan.ShadowBrokers.A Trojan 153,350 * 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 2018 년 11 월 01 일 ~ 2018 년 11 월 30 일 3

01 악성코드통계및분석 악성코드유형별비율 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 82% 를차지했으며바이러스 (Virus) 유형이 8% 로그 뒤를이었다. 취약점 3% 웜 3% 애드웨어 4% 바이러스 8% 트로이목마 82% 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 취약점 (Exploit) 웜 (Worm) 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 카테고리별악성코드비율전월비교 11 월에는 10 월과비교하여트로이목마 (Trojan) 악성코드감염카테고리비율이 79% 에서 82% 로크게증가하였다. 다른영역에서의감염카테고리비율은큰차이없었으며, 웜 (Worm) 악성코드의감염비율이 10 월에비해 11 월이 2배가량감소했다. 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 호스트파일 (Host) 기타 (Etc) 0% 0% 4% 5% 0% 0% 3% 6% 3% 4% 8% 8% 0% 0% 0% 0% 0% 0% 82% 77% 100% 100% 11 월 10 월 0% 20% 40% 60% 80% 100% 4

2018-11-01 2018-11-02 2018-11-03 2018-11-04 2018-11-05 2018-11-06 2018-11-07 2018-11-08 2018-11-09 2018-11-10 2018-11-11 2018-11-12 2018-11-13 2018-11-14 2018-11-15 2018-11-16 2018-11-17 2018-11-18 2018-11-19 2018-11-20 2018-11-21 2018-11-22 2018-11-23 2018-11-24 2018-11-25 2018-11-26 2018-11-27 2018-11-28 2018-11-29 2018-11-30 01 악성코드통계및분석 3. 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 11 월랜섬웨어차단통계 해당통계는통합백신알약공개용버전의 랜섬웨어차단 기능을통해수집한월간통계로써, DB 에의한시그니쳐 탐지횟수는통계에포함되지않는다. 11 월 1 일부터 11 월 30 일까지총 113,805 건의랜섬웨어공격시도가차단되었습니다. 주말과연휴를제외하면꾸준하게하루 4,000 여건이상의랜섬웨어공격차단이이뤄지고있다. 5,000 11 월랜섬웨어차단통계 4,000 3,000 2,000 1,000 0 악성코드유포지 / 경유지 URL 통계 해당통계는 Threat Inside 에서수집한악성코드유포지 / 경유지 URL 에대한월간통계로, 11 월한달간총 25,154 건의악성코드유포지 / 경유지 URL 이확인되었다. 이수치는 10 월 15,113 건의악성코드유포지 / 경유지건수에비해약 60% 가량증가한수치다. 20000 11 월악성 URL 유포지 / 경유지통계 15000 10000 5000 0 경유지 유포지 경유지 유포지 5

이스트시큐리티보안동향보고서 02 전문가보안기고 1. 비너스락커랜섬웨어조직, 한국상대로악성문서파일융단폭격중 2. ' 오퍼레이션블랙버드 (Operation Blackbird)', 금성 121 의모바일침공 6

02 전문가보안기고 1. 비너스락커랜섬웨어조직, 한국상대로 악성문서파일융단폭격중 과거비너스락커 (VenusLocker) 랜섬웨어를유포했던위협조직이최근대규모로악성이메일을국내에유포하는 정황이지속적으로포착되고있어이용자분들의각별한주의가필요해보입니다. 이들조직은한글로 ' 입사지원서 ', ' 이미지무단사용내용의저작권법안내 ' 등으로이용자들을현혹하고, 악성매크로 코드가포함된 DOC 워드파일을첨부해집중적으로유포하고있으며, 주로갠드크랩 (GandCrab) 랜섬웨어를 전파시키고있습니다. 이스트시큐리티사이버위협인텔리전스 (CTI) 전문조직인시큐리티대응센터 (ESRC) 에서는해당위협조직이 12 월 08 일지난주토요일부터월요일새벽까지다양한형태로새로운악성코드를유포하고있으며, 주말기간에도공격을 쉬지않고있는것을확인했습니다. 사례별로비교해보면다음과같으며, 발신자이메일에는한국식이름이설정되어있고, 비너스락커초창기때처럼다시 구글지메일을사용하기시작했습니다. [ 그림 1] 입사지원및면접관련내용으로위장한악성이메일 ( 토요일유포 ) 7

02 전문가보안기고 [ 그림 2] 입사지원서공고내용으로위장한악성이메일 ( 일요일유포 ) [ 그림 3] 이미지무단사용저작권법내용으로위장한이메일 ( 월요일유포 ) 8

02 전문가보안기고 각각의이메일에첨부되어있는 MS Word 문서파일에는모두악성매크로코드가탑재되어있으며, 실행시다음과 같은화면을보여주어 [ 콘텐츠사용 ] 클릭을유도하게됩니다. 물론, 매크로가실행되기전까지는악의적인기능이 작동하진않습니다. [ 그림 4] 악성매크로실행을유도하기위해보여지는워드파일화면 매크로는분석을방해하기위해코드와함수가난독화되어있으며, 특정웹사이트로접속해추가악성파일을설치시도 합니다. 9

02 전문가보안기고 [ 그림 5] 난독화된매크로코드화면일부 워드파일의메타데이터를확인해보면다음과같이한국어기반에서제작된것을알수있으며, 기존과동일하게 'HP' 컴퓨터계정에서제작된것을확인할수있습니다. Codepage: 949 (Korean) Author: HP Template: Normal.dotm Last author: HP Application name: Microsoft Office Word Creation time: 일 12 902:48:00 2018 Last save time: 일 12 902:49:00 2018 10

02 전문가보안기고 매크로가로딩되면변종에따라다수의아이피주소로접속해 'jackripper.exe' 악성파일을추가로설치하게됩니다. 공격자는기존처럼베리즈웹쉐어서버를구축해추가악성파일유포에활용하고있습니다. [ 그림 6] 베리즈웹쉐어웹서버에등록된악성코드화면 한편, ESRC 는비너스락커조직이새로운패턴으로공격을시도하는것을확인했습니다. 지난주금요일공격자는한국의특정웹사이트의개인정보유출공지내용처럼위장해동일한유형의악성파일을 유포했습니다. 과거한국의 ' 특정쇼핑몰해킹사건과관련한유사사례 ' 가보고된바있었지만, 이런유형이자주활용된 바는없습니다. 11

02 전문가보안기고 [ 그림 7] 개인정보유출안내문으로위장한악성이메일 비너스락커위협조직은해당공격에서네이버이메일발신아이디를사용한것이목격되었습니다. 한국의특정웹 호스팅서버아이피가사용돼도용된것으로추정되고있지만, 공격자추적에중요한단서중에하나로활용될수 있습니다. ESRC 는이들의활동반경에집중하고있으며, 변화되고있는공격벡터와유의미한증거들을확보하는데주력하고 있습니다. 12

02 전문가보안기고 갠드크랩랜섬웨어는한국에서가장활발하게유포되고있는랜섬웨어종류중에하나입니다. 따라서, DOC 등의문서파일실행시 [ 콘텐츠사용 ] 보안경고창이나타날경우절대실행하지않아야합니다. ESRC 에서는기존비너스락커 (VenusLocker) 랜섬웨어유포조직이이번공격에가담한것으로확인했으며, 상세한 위협인텔리전스분석을수행하고있습니다. 이처럼한국맞춤형으로랜섬웨어공격이끊임없이발생하고있다는점에서기업및기관의이용자분들은개인 보안 ( 최신업데이트유지 ) 및자료보관 ( 분리백업 ) 에보다철저한노력이절실한상황입니다. 이스트시큐리티는알약제품군에해당악성파일에대한탐지및치료기능을긴급업데이트해배포하고있는상태이며, 랜섬웨어행위기반기술을통해서도사전대응을유지하고있습니다. 더불어한국인터넷진흥원 (KISA) 과긴밀한협력을통해악성파일유포주소에대한조기접근차단을통해피해확산 방지에최선을다하고있습니다. 13

02 전문가보안기고 2. ' 오퍼레이션블랙버드 (Operation Blackbird)', 금성 121 의모바일침공 작년 12 월카카오톡을통한피싱공격이이루어지고있다는언론의보도가있었습니다. 해당공격은탈북자를대상으로앱을직접전달하거나구글플레이스토어의설치페이지를알려주어앱을설치하도록 유도하는피싱공격이었습니다. 이렇게설치되는앱은피해자의사생활정보를탈취하는스파이앱으로밝혀졌습니다. 발견된스파이앱을제작한공격주체는 금성 121 이라는단체로추정되며한국을대상으로지속적인사이버공격을하고있는단체입니다. 금성 121 의공격대상장비는서버나 PC 였으나이번스파이앱의발견으로모바일영역까지확대한것을알수있습니다. 그리고금성 121 의공격대상은군이나정관계또는기업등의단체를향한공격이었다면모바일을통한공격대상은탈북자나탈북자와관계있는개인을표적으로하는것이특징입니다. 본글의내용은위협인텔리전스보고서내용의일부를발췌하여작성되었으며전체내용은 쓰렛인사이드 (Threat Inside) 의위협인텔리전스보고서를통하여확인하실수있습니다. 14

02 전문가보안기고 Invasion of Mobile 이제부터금성 121 이모바일환경에서수행한공격에대하여살펴보도록하겠습니다. 다음그림은 Operation Blackbird 의공격흐름도입니다. 그림 1. Operation Blackbird 의공격흐름도 15

02 전문가보안기고 공격흐름을살펴보면공격자는스파이앱을유포하기위한유포서버를준비하고피해자에게링크를전달하게됩니다. 이때피해자는공격자가선정한대상으로한정되며탈취자료는클라우드서버나해킹으로탈취한웹서버에저장하는 흐름입니다. 스파이앱의초기버전은삼성이나 LG 기기를대상으로취약점을통한설치를시도하였으나이후버전들은피해자에게 도움이되는앱으로위장하여설치를유도하였습니다. 공격은공격앱이존재하는서버의링크를전달하여피해자가다운로드후설치를유도하는식으로이루어집니다. 공격앱설치링크의전달은 SNS 를이용하며피해자의계정에댓글을남기거나카카오톡과같은메신저를통해 전달합니다. 통상의악성앱유포방법은임의의다수에게무차별적으로유포하기에위와같이한정된대상에게직접링크를 전달하는경우는극히드물다고할수있습니다. 링크를직접전달한다는것은공격대상을한정하여공격하는표적공격에서흔히볼수있는유포방법이며이는 Operation Blackbird 또한표적공격을하고있는것으로추측되는대목이기도합니다. 아래의뉴스기사를통해서도 이를확인할수있습니다. 그림 2. 금성 121 의공격정황관련기사 16

02 전문가보안기고 지금부터 Operation Blackbird 에대하여알아보도록하겠습니다. 우선금성 121 이유포한것으로추정되는앱들의히스토리를살펴보고초기공격앱의특징을살펴보겠습니다. 그리고 공격자의수집데이터와공격앱의상세코드를살펴보도록하겠습니다. 히스토리 아래그림은금성 121 이제작한것으로추정되는스파이앱들을출현시기별로정리한히스토리의일부입니다. 전체 히스토리는 쓰렛인사이드 (Threat Inside) 를통하여확인하실수있습니다. 17

02 전문가보안기고 그림 3. Operation Blackbird 의유포앱히스토리의일부 히스토리 ( 그림 3) 를살펴보시면최초출현으로의심되는시기는 2017 년 8 월이며이후지속적으로변종이나신규 공격앱을제작하여유포하고있음을알수있습니다. 이어서히스토리 ( 그림 3) 내공격앱들에대한특징과연관성을살펴보도록하겠습니다. 18

02 전문가보안기고 공격앱들의특징 히스토리 ( 그림 3) 를표현한위의그림에서는스파이앱들의특징을코드 & 데이터, 인증서핑거프린트그리고사용하는 C2 에따라분류되어있습니다. C2 는 dropbox 와 Yandex 그리고 hacked web 서버로분류되며스파이앱들은 3 종류중하나를사용하고있습니다. 히스토리상의인증서핑거프린트와코드 & 데이터특징은위그림의마킹번호의조합으로분류하여식별이 용이하도록하였습니다. 인증서핑거프린트는인증서내의 hash 값으로 md5 값을사용하였습니다. 이값이같다면동일인증서를사용한 앱임을알수있습니다. 마지막으로코드 & 데이터특징에대하여살펴보겠습니다. 코드 & 데이터특징도분류에따라위에표기된코드 조합으로마킹하였습니다. 다음그림은코드 & 데이터특징 1 번에대한내용을정리한것입니다. 19

02 전문가보안기고 그림 4. 코드 & 데이터특징 1 번 코드 & 데이터특징 1 번에속하는앱들은드랍퍼입니다. 이드랍퍼들은삼성과 LG 기기의취약점을이용하여설치되었으며취약점이존재하던시기에집중적으로발견 되었습니다. 히스토리 ( 그림 3) 를살펴보면 2017 년 8 월이후드랍퍼가변경되었다는것을알수있습니다. 특징 1 번에속하는 앱들은동일한공격앱을드랍하며공격앱을설치하는코드도동일한특징이있습니다. 더블어동일한스트링데이터를 가지고있습니다. 다음그림은코드 & 데이터특징 2 번에대한내용을정리한것입니다. 20

02 전문가보안기고 그림 5. 코드 & 데이터특징 2 번 코드 & 데이터특징 2 번은드랍되거나다운로드되는앱에서수집되었으며일부단독으로동작하는앱에서도특징 2 번이수집되었습니다. 특징 2 번은 3 가지유형으로나뉘어있으나클래스의이름만다를뿐코드내용이대동소이 합니다. 이는다운로드하는추가모듈과스트링정보가같다는점으로도쉽게알수있습니다. 그리고특징 2-3 의경우 오픈소스인 CallRecorder 의코드일부를차용하여사용하고있다는점이특징입니다. CallRecorder 는통화녹음기능을구현하고있는오픈소스로통화녹음을설정에따라자동으로처리하는기능을 가지고있습니다. 특징 2 번은실질적인악성행위코드로구성되어있습니다. 이런이유로꾸준하게재사용되고있음을히스토리 ( 그림 3) 를통하여알수있습니다. 히스토리 ( 그림 3) 를살펴보면다수의드랍앱에특징 2 번이사용되었고단독으로실행 되는일부앱에서도특징 2 번이발견되는것을알수있습니다. 21

02 전문가보안기고 수집데이터분석 공격앱들의연관성에서는공격앱들을분석하여연관성을알아보았다면지금부터는 C2 에서수집된데이터를 분석해보고이를통해금성 121 과의연관성을알아보도록하겠습니다. 공격앱들이사용하는 C2 중 dropbox 의특정폴더에서공격앱들을테스트한데이터가발견되었습니다. 이테스트데이터에는공격앱제작자의것으로추정되는이메일계정과카카오톡프로필정보, 그리고공격에사용된 익스플로잇코드등이발견되었으며다른폴더에서는피해자들의민감한개인정보가다수발견되었습니다. 수집된 데이터들을살펴보고데이터의특징과이에따른공격자정보등을살펴보도록하겠습니다. 다음그림에표기된토큰으로접근한 dropbox 에서공격자의 test 폴더가발견되었습니다. 폴더내파일들의이름은 기기를식별하기위한식별번호로 DeviceID 를사용하고있습니다. 그림 6. C2 인 dropbox 내의테스트폴더 test 폴더내파일들은기기정보, 명령리스트, 피해자계정이포함된프로필정보그리고문서파일등의데이터 파일들입니다. test 폴더내의다양한파일들을분석하던중공격자의테스트기기에서전송한데이터로추정되는내용이발견 되었습니다. 해당파일에는공격자의것으로추정되는이메일계정이있었으며검색엔진을통하여이를확인할수 있었습니다. 22

02 전문가보안기고 그리고 test 기기의 DeviceID(358506075293260) 와같은파일이다른폴더 ( 토큰이다름 ) 에도존해하여 DeviceID 가 같은파일을수집하여분석을진행하였습니다. 해당파일들에는금성 121 과연관된데이터가다수발견되었으며 자세한내용은위협인텔리전스리포트에서확인하실수있습니다. 코드분석 코드분석에서는앞서분류한스파이앱들의분류중코드 & 데이터특징 1, 2 번앱을분석하였습니다. SamsungApps Hash : 948f1d50d1784908ece778614315a995 앱명 : SamsungApps 패키지명 : com.android.systemservice 코드특징 : 코드 & 데이터특징 1 그림 7. 삼성앱스의실행흐름개념도 위그림은 SamsungApps 의동작흐름개념도입니다. 해당앱은드랍퍼로실제악성행위를담당하는앱을드랍하는 코드를가지고있습니다. 최초드랍퍼의설치는삼성폰의취약점 (CVE-2015-7888) 을활용하여설치됩니다. 드랍앱은초기에기기정보를 등록하고 cmd 와추가모듈 (dex) 을다운받아 cmd 에정의된대로악성행위를수행합니다. 23

02 전문가보안기고 그림 8. APK 내드랍앱 해당앱의 assets 폴더내에드랍되는 apk 파일이존재하며이 apk 파일이실제악성행위를수행합니다. 그림 9. 드랍앱설치코드 위코드는공격앱을드랍하고설치하는코드입니다. 드랍앱분석 Hash : 19a06965edc7b86f7b63d5a86b927a87 앱명 : SystemService 패키지명 : com.android.systemservice C2 : YANDEX 코드특징 : 코드 & 데이터특징 2-1 24

02 전문가보안기고 그림 10. C2 인 Yandex 주소 위코드는드랍앱이 yandex 와통신하기위한 Yandex 주소입니다. 그림 11. 기기정보업로드코드 위코드는기기정보를업로드하기위한코드입니다. 기기의세부적인정보를수집하고있다는것을알수있습니다. 이렇게수집되는정보를기반으로각기기를식별하고데이터를분류하기위한자료로쓰입니다. 25

02 전문가보안기고 그림 12. 공격자코맨드추출코드 위는 cmd 파일을다운받은후코맨드정보를추출하여적절한정보로변환후코맨드에따라앱을설정합니다. 그림 13. 추가모듈다운로드코드 위는추가모듈을다운받는코드입니다. 그림 14. 추가모듈로딩및실행코드 위그림은다운로드받은추가모듈을로딩후실행하는코드입니다. 26

02 전문가보안기고 Custom.dex 는 SamsungApps 가다운로드받는것과는다른버전으로일부메소드의이름이다르지만기능은 대동소이합니다. 그림 15. 추가모듈의코드내용 각메소드는수집데이터에따라나뉘어있으며각각의파일로저장이됩니다. 이후업로드시에암호화하여클라우드 서버에저장됩니다. ESRC 에서는 Operation Blackbird 로명명하고작년하반기부터금성 121 이유포하는스파이앱을지속적으로수집 및분석하고있으며지속적인추적과연관성분석을수행하고있습니다. 추가적인내용들은 쓰렛인사이드 (Threat Inside) 를통하여확인하실수있습니다. 더불어 쓰렛인사이드 (Threat Inside) 에서는체계적인위협정보 (IoC) 와전문화된인텔리전스리포트서비스를제공할예정입니다. 27

이스트시큐리티보안동향보고서 03 악성코드분석보고 개요 악성코드상세분석 결론 28

03 악성코드분석보고 [Trojan.Ransom.Facebook] 악성코드분석보고서 1. 개요 최근 Facebook 아이콘으로위장한랜섬웨어가등장해사용자의각별한주의가필요하다. Facebook 악성코드는히든 티어 (Hidden Tear) 오픈소스를기반으로제작된랜섬웨어로, 사용자의중요파일을암호화한뒤.Facebook 확장자를 추가한다. 공격자는이를복호화해주는대가로 0.29 비트코인을요구하며금전적인이득을목적으로하고있다. 본보고서에서는 Facebook 으로위장한랜섬웨어행위와이를예방하기위한방법을알아보고자한다. 29

03 악성코드분석보고 2. 악성코드상세분석 이번에발견된 Facebook 랜섬웨어는다음과같이실제 Facebook 아이콘을사용한다. 또한파일속성에 Facebook Official 이라는설명을사용하면서정상파일처럼보이도록위장한다. 만약 Facebook 이용자라면별다른의심없이 해당랜섬웨어를실행시킬위험성이크다. [ 그림 1] Facebook.exe 랜섬웨어속성정보 2.1. 파일암호화 Facebook 랜섬웨어는다음과같은확장자를가진파일에대해서만암호화를진행한다. 히든티어 와비교했을때,.bat,.cmd,.URL,.kys,.jpeg 확장자가추가됐다..txt,.doc,.docx,.xls,.xlsx,.ppt,.pptx,.odt,.jpg,.png,.csv,.sql,.mdb,.sln,.php,.asp,.aspx,.html,.xml,.psd,.bat,.cmd,.URL,.kys,.jpeg [ 표 1] 암호화대상확장자 30

03 악성코드분석보고 암호화대상확장자로확인되면, SHA-256 으로인코딩한패스워드 (passwrodbytes) 를이용해 AES-256 으로파일을 암호화한후.Facebook 확장자를추가한다. 이패스워드값은추후파일복호화시사용된다. [ 그림 2] 파일암호화코드일부 AES-256 암호화가진행될때, 16 바이트단위로데이터크기를맞추기위해패딩값이추가된다. 따라서, 다음과같이 암호화된파일의데이터가증가한것을알수있다. 기존데이터크기에따라추가되는패딩값의길이는파일별로 상이하다. 파일암호화전 파일암호화후 [ 표 2] 파일암호화후패딩값이추가된화면 31

03 악성코드분석보고 다음은파일암호화전과후확장자가변경된화면이다..Facebook 확장자가추가된파일은더이상정상파일로써의 기능을할수없다. 파일암호화전 파일암호화후 [ 표 3] 파일암호화전후비교 2.2. 랜섬노트 파일암호화가모두끝나면, 랜섬웨어감염사실과파일복호화방법을알리는랜섬노트를생성한다. 랜섬웨어는사용자 바탕화면경로에 READ_IT.rtf 형식으로생성된다. 내용은다음과같다. [ 그림 3] 랜섬노트화면 32

03 악성코드분석보고 랜섬노트생성과함께암호화된파일을복호화할수있는화면이생성된다. 생성된화면은랜섬노트와마찬가지로랜섬웨어감염사실을알린다. 또한복호화방법안내를위해하단의 How to Decrypt your files 버튼을클릭하도록유도한다. 이버튼을클릭했을경우, 화면에표시된비트코인주소로 0.29 비트코인을지불하고, Give me Back my Files! 버튼을클릭해파일을복호화하라고안내한다. [ 그림 4] 복호화안내화면 비트코인비용을지불하지않고 Give me Back my Files! 버튼을클릭했을경우, 다음과같이결제가실패했다고안내 한다. 하지만, 복호화코드와비용지불여부를식별할코드가존재하지않기때문에비용을지불했더라도파일을정상적 으로복호화해준다고보장할수없다. [ 그림 5] Give me Back my Files! 버튼을클릭했을경우 33

03 악성코드분석보고 2.3 파일복호화히든티어랜섬웨어는복호화툴이이미공개되어있다. Facebook 랜섬웨어또한공격자에게비트코인을지불하지않아도복호화가가능하다. 공개된복호화툴을이용해파일암호화에사용된패스워드 (passwordbytes) 를적용하면정상적으로복호화가이루어진다. 다음은분석을통해확인가능한패스워드정보이다. 프로그램실행시마다값은랜덤으로변경된다. [ 그림 6] 패스워드생성코드 다음은암호화된데이터가정상적으로복호화된화면이다. [ 그림 7] 정상적으로복호화된데이터 34

03 악성코드분석보고 3. 결론 Facebook 랜섬웨어는정상 Facebook 을위장해사용자로하여금의심받지않도록한다. 이는이미많은사람들이 Facebook 을이용한다는점을노리고불특정대상에게뿌려졌을가능성이크다. 유포방법은확인되지않았으나공격자들은주로이메일과, 메신저, P2P 등을통해유포하는방법을사용한다. 국내에는아직까지피해가발견되지않았으나, 히든티어기반의한글을이용한랜섬웨어가발견됐던적이있던만큼사용자들의주의가필요하겠다. 이외에도히든티어를악용한랜섬웨어가 2018 년현재까지도지속적으로발견되고있다. 누구나쉽게코드를수정할 수있기때문에앞으로도수많은변종이등장할것이다. 따라서, 사용자는이를예방하기위해주기적으로중요파일을백업하는습관을들여야한다. 또한메일로첨부되는 파일에대해서는실행시주의해야하고백신을최신업데이트상태로유지하며주기적인검사를실시해야한다. 현재알약에서는해당악성코드를 Trojan.Ransom.Facebook 로진단하고있다. 35

03 악성코드분석보고 [Trojan.Android. Zitmo] 악성코드분석보고서 1. 개요 기존스미싱을통해서유포되던악성앱들이진화하고있다. 과거에는주로 모바일청첩장 을사칭했었지만최근에는 무료모바일동영상 을사칭한다. 또한그기능도과거에는단순한정보탈취였다면, 최근에는원격조종및추가 다운로드를통해서더욱더복잡하고다양한악성행위를한다. 특히, 해당앱은분석및백신의탐지를어렵게하기위해서악성파일을암호화하여숨겼다가복호화한후동적로딩을 통해서악성행위를한다. 본분석보고서에서는 Trojan.Android. Zitmo 를상세분석하고자한다. 36

03 악성코드분석보고 2. 악성코드상세분석 2.1. 앱특징백신의탐지를피하고분석에어려움을주기위해서실제악성행위를하는 classes.dex 파일은 XOR 연산과특정연산을통해서복호화되고동적으로로딩된다. 앱의주요정보가담긴매니패스트를보면패키지명은 com.glocs.ab79s.xd, 앱의엔트리포인트는 com.android.syswrap.xb.mecha58, 메인액티비티는 com.android.systemsetting.mainactivity 로각각다르게설정하고있다. [ 그림 1] 암호화된앱의구조 [ 그림 2] 복호화연산중일부 37

03 악성코드분석보고 [ 그림 3] 암호화전후덱스코드비교 2.2 아이콘숨김 사용자를속이고지속적인악성행위를위해서자신의아이콘을숨긴다 [ 그림 4] 아이콘숨김 2.3 관리자권한요구다양한악성행위및앱삭제방해를위해서관리자권한을요구한다. 관리자권한을해제하려고하면경고문구를팝업한다. 또한, 관리자권한이해제되면관리자권한이다시활성화될때까지관리자권한요구창을지속적으로팝업하여기기의사용을어렵게한다 38

03 악성코드분석보고 [ 그림 5] 관리자권한요구 39

03 악성코드분석보고 2.4 메시지앱변경 메시지관련악성행위를위하여기본으로설정된메시지앱을해당앱으로변경한다 [ 그림 6] 메시지앱변경요구 2.5 절전모드제한 기기의배터리관리를위해서절전모드를통해서일부앱들을관리하는데, 이러한절전모드방지를통해서지속적인 악성행위를한다 [ 그림 7] 절전모드제한 40

03 악성코드분석보고 2.6 기기정보탈취 기기전화번호, 기기모델등기기관련정보를탈취한다 [ 그림 8] 기기정보탈취 2.7 메시지탈취 문자메시지의번호, 내용등을탈취한다 [ 그림 9] 메시지탈취 41

03 악성코드분석보고 2.8 주소록탈취 기기에저장된주소록을탈취한다 [ 그림 10] 주소록탈취 2.9 탈취정보저장 탈취한문자와주소록정보는안드로이드 DB 에저장한다 42

03 악성코드분석보고 [ 그림 11] 탈취정보저장 2.10 문자전송 스미싱의피해를확산시키기위해서기기에서탈취한주소록을활용해서 결혼 과관련된문구와스미싱주소가담긴 문자를전송한다. 43

03 악성코드분석보고 [ 그림 12] 추가문자전송 2.11 통화녹음 통화상태를확인하여통화를녹음하고저장한다 44

03 악성코드분석보고 [ 그림 13] 통화녹음 2.12 통화종료 벨소리를무음으로변경하고수신되는통화를종료한다 [ 그림 14] 통화종료 45

03 악성코드분석보고 2.13 이미지탈취 DCIM 폴더를확인하여최신순으로이미지를탈취한다 [ 그림 15] 이미지탈취 2.14 추가다운로드 새로운 apk 파일을다운로드하여추가악성행위를한다. 46

03 악성코드분석보고 [ 그림 16] 추가다운로드 47

03 악성코드분석보고 2.15 백신회피 특정백신의여부를확인하여실행중이라면동작하지못하도록홈화면으로되돌리고, 삭제를유도하는창을팝업한다 [ 그림 17] 백신회피 48

03 악성코드분석보고 2.16 주요악성행위재실행 기기가부팅되면주요악성행위와관련된서비스를재실행한다 [ 그림 18] 주요악성행위재실행 49

03 악성코드분석보고 2.17 원격조종 문자메시지를통하여 C&C 서버를변경할수있다. [ 그림 19] 문자메시지를통한원격조종 2.18 탈취정보전송 C&C 서버로부터원격명령을받아탈취된정보들을전송한다. 50

03 악성코드분석보고 [ 그림 20] 탈취정보전송 51

03 악성코드분석보고 3. 결론 해당악성앱은청첩장관련앱의이름과아이콘을사칭한다. 기기의전화번호, 모델등의기기정보와통화녹음, 문자목록, 주소록등의개인정보를탈취하고탈취한개인정보를이용하여스미싱을추가로전송하여피해를확산시킨다. 따라서, 악성앱으로부터피해를최소화하기위해서는백신앱을통한주기적인검사가중요하다. 출처가불명확한 URL 과파일은실행하지않는것이기본이고공식마켓인구글플레이스토어를통해서확보한앱이라도백신앱을추가설치하여주기적으로업데이트하고검사해야한다. 현재알약 M 에서는해당앱을 Trojan.Android. Zitmo 탐지명으로진단하고있다. 52

이스트시큐리티보안동향보고서 04 해외보안동향 영미권 중국 일본 53

04 해외보안동향 1. 영미권 8 Popular Android Apps Caught Up In Million-Dollar Ad Fraud Scheme 8 Popular Android Apps Caught Up In Million-Dollar Ad Fraud Scheme Clean Master 및 Battery Doctor 와같은유틸리티앱으로유명한중국앱회사인 Cheetah Mobile 과자회사인 Kika Tech 가광고주들로부터수백만달러를훔친안드로이드광고사기와연관된것으로드러났다. 앱분석회사인 Kochava 에따르면, 구글플레이스토어에서총다운로드수 20 억회를돌파한 Cheetah Mobile 이 개발한안드로이드앱 7 개, Kika Tech 이개발한앱 1 개가요금또는상금을받기위한새로운앱설치유도를허위로 조작한것으로나타났다. 많은모바일개발자들이자신의앱에다른앱의설치를유도하는광고를포함해통상적으로 $0.50 ~ $3.00 의요금또는상금을얻는방식으로수익을내고있다. 어떤광고가앱을추천했으며크레딧을받아야하는지알아내기위해서, 새로이설치된앱은처음으로실행된직후마지막클릭이어디에서발생했는지알아내기위한 룩백 (lookback) 을실행한다. 하지만 Kochava 는 Cheetah Mobile 과 Kika Tech 의앱들이앱설치상금을하이잭하기위해사용자들이새로운앱을 다운로드할때사용자의권한을악용하여출처를추적하고이데이터를악용한다고밝혔다. 54

04 해외보안동향 Kochava 의 Grant Simmons 는 이행위는절도입니다. 다른말로표현할수없습니다., 이는누군가지하에숨어서 한일이아니라, 실제기업이큰규모로진행한일입니다. 고밝혔다. 아래는이광고사기에참여한것으로밝혀진 Cheetah Mobile 과 Kika Tech 의앱목록이다 : Clean Master ( 사용자 10 억명 ) Security Master ( 사용자 5.40 억명 ) CM Launcher 3D ( 사용자 2.25 억명 ) Battery Doctor ( 사용자 2.00 억명 ) Cheetah Keyboard ( 사용자 1.05 억명 ) CM Locker ( 사용자 1.05 억명 ) CM File Manager ( 사용자 0.65 억명 ) Kika Keyboard ( 사용자 2.05 억명, Kika Tech 소유 ) 안드로이드기기에서위목록의앱들중하나라도사용중일경우, 즉시언인스톨하기를권장한다. 이앱들은사용자들이새앱을설치하는데아무런기여를하지않았음에도부적절하게크레딧을요구했다. 이렇게 벌어들인부당이득은수백만달러에달했다. 아래그림의위부분은일반적인광고추천프로세스이며, 아래는하이잭된광고추천프로세스다. 55

04 해외보안동향 이미지출처 : https://www.buzzfeednews.com/article/craigsilverman/android-apps-cheetah-mobile-kika-kochava-ad-fraud 56

04 해외보안동향 Kika Tech 는 사기행위에가담할의도가전혀없었다 고해명했으며, 상황을신속하고완벽히시정하고관련된 것들을바로잡기위한조치를취하겠다 고밝혔다. 하지만 Cheetah Mobile 은써드파티 SDK 나광고네트워크에게책임을돌렸다. 그러나, Kochava 는클릭사기행위에 관련된 SDK 조차 Cheetah Mobile 에서개발했으며그들의소유임을지적했다. Cheetah Mobile 은그들의 SDK 는 광고사기와관련이없다고밝혔다. Google 은 Cheetah Mobile 과 Kika Tech 의앱들이실제로사기행위를했는지조사중이라고밝혔다. [ 출처 ] https://thehackernews.com/2018/11/android-click-ad-fraud.html 57

04 해외보안동향 균열된블록캠페인 : 십여가지미끼문서포맷을지원하는 CARROTBAT 드롭퍼발견 Fractured Block Campaign: CARROTBAT dropper dupports a dozen decoy document formats Palo Alto Networks 의연구원들이최근많은페이로드를드랍하기위해수십여개의미끼파일포맷을지원하는 악성코드드롭퍼인 CARROTBAT 을발견했다. CARROTBAT 은 2018 년 3 월처음발견되었지만, 지난 3 개월동안연구원들은이드롭퍼관련활동이급격히증가한 것을발견했다. CARROTBAT 은대한민국과북한지역에페이로드를드랍하기위해사용되었다. 공격자들은미끼 문서에가상화폐, 가상화폐거래및정치이벤트와같은주제를사용했다. 또한작년 12 월, CARROTBAT 은영국의정부기관을노린공격에도사용되었다. 당시공격자들은 SYSCON 백도어를 드랍하기위한미끼문서를사용했다. 연구원들은 CARROTBAT 을발견한이래로샘플 29 개를탐지했다. 이샘플에는미끼문서 12 개가포함되어있었다. 연구원들은 CARROTBAT 을 균열된블록 (Fractured Block) 공격이라명명했다. 공격자들은미끼문서파일포맷 11 개 (.doc,.docx,.eml,.hwp,.jpg,.pdf,.png,.ppt,.pptx,.xls, and.xlsx.) 를사용했다. 지난 3 월, 공격자들은 SYSCON RAT 구버전및 OceanSalt 악성코드의새로운샘플을포함한또다른페이로드를 확산시키는데이드롭퍼를사용했다. 연구원들은 CARROTBAT 이정교하지않으며, 기초적인수준의명령어난독화를구현했다고지적했다. 내장된미끼 문서가오픈되면, 난독화된명령어가시스템에서실행되어마이크로소프트윈도우의빌트인 certutil 유틸리티를 이용해원격파일을다운로드및실행하려고시도한다. CARROTBAT 샘플과관련된타임스탬프를분석한결과, 이들은 2018 년 3월에서 9월사이에수집된것으로나타났다. 또한연구원들은 CARROTBAT 과 KONNI 악성코드패밀리간의인프라가겹치는것을발견했다. Cisco Talos 팀은 KONNI 악성코드가지난 5월북한과관련된조직을노리는타겟공격에사용된것을발견했다. KONNI 악성코드는 3년이상동안탐지되지않았으며, 극도로타겟화된공격에사용되었다. 이는지속적인진화를통해탐지를피할수있었다. 최신버전은타겟시스템에서임의코드를실행하고데이터를훔치는것이가능했다. 지난 8 월, Cylance 의연구원들은 KONNI 공격에사용된미끼문서가 DarkHotel APT 의최근캠페인에사용된것과 유사하다는점을발견했다. Palo Alto Networks 의연구원들은아래와같은결론을내렸다. CARROTBOT 을발견한것은균열된블록캠페인활동을식별하는데매우중요한역할을했습니다. CARROTBAT 을 58

04 해외보안동향 통해우리는관련된 OceanSalt, SYSCON, KONNI 의활동을찾을수있었습니다. 겹치는부분이많다는것은주목할만한사실이며, 우리는이모든위협행위가동일한공격자의소행이라추측하고 있습니다. 하지만, 아직까지완전히확신할만한충분한증거는없습니다. [ 출처 ] https://securityaffairs.co/wordpress/78703/malware/carrotbat-dropper-campaign.html https://researchcenter.paloaltonetworks.com/2018/11/unit42-the-fractured-block-campaign-carrotbat-malware-used-to-deliver-malware-targetingsoutheast-asia/ 59

04 해외보안동향 구글플러스 API 에서버그발견, 5,200 만사용자에게위험초래해 Bug in Google+ API Puts at Risk Privacy of over 52 Million Users 5,250 만구글플러스사용자의비공개정보가데이터열람권한을요청한앱개발자에게노출되었다. 해당정보는 사용자가비공개로유지하도록설정한데이터다. 이비공개정보는지난 11 월에 6 일간노출되었으며, 정보제공자가동의한프로필데이터에접근하도록만들어진 Google + People 의 API 의버그로인해발생했다. 사용자가앱에제공하지않겠다고선택한개인데이터를앱이프로필 정보에접근하도록허용한프로필과공유되었을경우, 이정보도노출되었다. 구글은아무런피해가없었다밝혀 구글은루틴테스팅프로시져를실행하던중이프라이버시침해취약점을발견했다. G Suite 의제품관리담당 부사장인 David Thacker 는이이슈가업데이트후에발생했으며, 1 주일후에발견및수정되었다고밝혔다. 오늘발표에따르면, 그는이실수가제 3 자의해킹으로인한결과는아니며, 구글은 6 일동안앱개발자들이비공개 정보에우연히접근했거나악용했다 는증거는찾지못했다고밝혔다. 구글은 People API 를사용하는개발자들은금융 관련데이터, 주민등록번호, 패스워드, 그리고사기또는신상도용을위한정보에는접근할수없었다고밝혔다. 구글플러스 PeoPle API 는사용자의이름, 이메일주소, 직업, 나이, 기술, 성별, 생일을포함한전체프로필데이터에 접근하도록합니다. 목록전체는구글플러스의 People API 페이지에서확인할수있다. 구글은이문제에영향을받은 개인및기업고객들에게연락을취한상태다. 구글플러스, 서비스중단앞당겨기대를충족시키지못한구글의이소셜미디어플랫폼은내년 8월이미서비스중단이예정되어있는상태다. 하지만지난 10 월이후두번째로이새로운 API 버그를발견한후, 회사는구글플러스플랫폼의서비스중단날짜를 2019 년 4월로앞당기기로결정했다. 또한모든구글플러스 API 는 90 일내에종료될것이다. 이기간은사용자들이다른플랫폼으로이동하기에충분한기간일것이다. 사용자들의피해를줄이기위해, 구글은그들의플랫폼에서데이터를안전하게이동시킬수있는방법을계속적으로 제공할예정이다. 기업사용자들은 G Suite 를통해구글플러스서비스를계속이용할수있기때문에위의프로세스를 거치지않아도된다. [ 출처 ] https://www.bleepingcomputer.com/news/security/bug-in-google-api-puts-at-risk-privacy-of-over-52-million-users/ 60

04 해외보안동향 2. 중국 11 월 11 일광군절, 악성코드일평균 1.7 억번탐지돼 중국보안업체 huorong 은광군절동안악성코드유포량이최고조에달했다고밝혔다. 10 여개의유명한 SW 들이 " 팝업 광고 " " 사용자몰래바로가기생성 " 등의방식으로평균약 8000 만대의컴퓨터를공격하였으며, 일평균 1.7 억번공격이 발생한것이다. 다음리스트들은이번광군절때악성코드들은주로 360 그룹 SW, 2345 그룹 SW, kancloud 그룹 SW, WinRAR 등으로위장하였다. 통계에따르면, 이러한악성코드들이팝업창을띄우는방식은전면팝업, 가운데팝업, 우측코너팝업등등각양각색 이였다. 61

04 해외보안동향 사용자동의없이광고팝업띄우는것이외에도바탕화면에바로가기링크를생성하는행위, 시작페이지변경등의 행위들도많이발생하였다. [ 출처 ] https://www.huorong.cn/info/1542186068166.html 62

04 해외보안동향 바이두백신, 정식으로서비스종료 바이두백신이역사속으로사라졌다. 바이두는 2013 년 4월처음카스퍼스키와협력하여카스퍼스키엔진을탑재한바이두무료백신을출시하였다. 하지만바이두가백신을출시한이후몇년동안스마트폰시장은비약적으로발전하였으며, 사용자들의 PC 에대한관심은점차사라졌다. 또한 Windows Defender 의출현은더이상사용자들이 PC 에백신을설치해야할필요성을못느끼게하였다. 사실, 바이두가백신을출시하였을 2013 년은이미 PC 백신시장이포화상태였으며, 기술력이상당히높거나혹은몇십년동안백신시장을이끌어왔던몇몇회사들이모든시장을장악하고있었다. 또한사용자입장에서는특별한악성코드가발견되지않는이상사용하고있는백신을변경하지않기때문에바이두백신의출시는많은사람들의이목을끌지못했다. 또한일부백신들이무료백신을출시한이후트래픽비용을감당하기위하여자신들의브라우저, 혹은키보드 프로그램등을번들로설치하였으며메인페이지변경, 검색엔진변경등의행위를하였으며, 이런행위는사용자들에게 극심한피로도를느끼게하였다. PC 백신의전성기는 2005 년부터 2010 년이였으며, 이때가 PC 발전의전성기이기도했다. 하지만점차사용자들의 사용환경이 PC 에서모바일로넘어가면서, 공격자들도더이상 PC 환경에대한매력을느끼지못하였으며, 이때문에 PC 악성코드역시감소하게되었다. 바이두백신은 2016 년초, 새로운엔진을탑재한 5.0 버전을공개한이후지금까지메이저업데이트를진행하지 않았으며, 가장마지막버전은 5.6 이다. [ 출처 ] http://tech.ifeng.com/a/20181121/45230310_0.shtml http://dy.163.com/v2/article/detail/e1hftlip0511hi42.html 63

04 해외보안동향 3. 일본 카드결제시의본인인증 3D 시큐어 를노리는피싱에주의 신용카드대형브랜드가제공하는본인인증서비스 3D 시큐어 의패스워드를사취하는피싱공격이확인되었다. 유도처피싱사이트 ( 화면 : 피싱대책협의회 ) 3D 시큐어 는인터넷에서의신용카드결제시에신용카드정보뿐아니라사전등록한패스워드를요구하여부정이용을 방지하는본인인증서비스다. 대형카드업체로위장하여신용카드정보뿐아니라패스워드정보도속여서빼앗으려고하는피싱공격이확인되었다고 해서피싱대책협의회가주의를당부했다. 피싱메일은 Your credit card has been suspended 등의제목으로송신되어있으며, 신용카드확인으로문제가 검출되어카드를정지시켰다등으로설명했다. 24 시간이내에문제가해결되지않으면부정사용될가능성이있다고 불안을부추겨서해결절차등의말로속여서가짜사이트로유도하고있었다. 유도처가짜사이트에서는이름이나카드번호, 유효기한, 보안코드뿐아니라패스워드의입력을요구한다. 64

04 해외보안동향 11 월 9 일의시점에서피싱사이트의가동이확인되고있으며이협의회에서는폐쇄를위해 JPCERT 코디네이션센터에 조사를의뢰했다. 피싱사이트의 URL 은현재확인되고있는것만해도 5 건에달하고있으며유사한공격에주의하도록 호소하고있다. [ 출처 ] http://www.security-next.com/099859 65

04 해외보안동향 Apple 가장한피싱, 완전히동결, 영구히금지 라며불안부추기다 피싱대책협의회는 Apple 을가장한피싱공격에관한보고가협의회에들어오고있다고해서주의를권고했다. 피싱대책협의회에따르면, 문제의피싱메일은 Apple ID 계정을복구해주십시오 등의제목으로송신되고있다고한다. 본문에는이상한조작을검출하여관리팀이계정을정지시켰다등의말로설명하고있다. 계정을완전히동결시키겠다 등의말로불안을부추기고해제등의말로부추겨서가짜사이트로유도한다. 또정확한정보를속여서빼앗으려고한것인지입력시에 3 회의에러가발생하면계정을영구히정지하겠다등의 기재도볼수있었다. 11 월 13 일의시점에서동작이확인되고있으며, 폐쇄를위해 JPCERT 코디네이션센터에조사를 의뢰했다. Apple 을가장한피싱공격은빈번하게발생하고있어서계속해서주의하도록호소하고있다. Apple 을이용해주셔서감사합니다. 계정관리팀은최신 Apple 계정에서이상한조작을검출했습니다. 계정을안전하게보호하고도난등의리스크를방지하기위해계정관리팀이계정을정지시켰습니다. 다음주소에서계정정지를해제할수있습니다. 주 : 계정을재개할때는정보를정확하게기입해주십시오. 3번의에러가발생하면, 계정은영구히정지됩니다. 이주소에서계정을복원해주십시오 : 복원계정 http:// -suport-appleid.com/ 바로복원해주십시오! 도난에의한계정분실을막기위해계정정보가시간내에확인되지않을경우, 계정관리팀은계정을완전히동결시키겠습니다. 계정을재개하기전에계정을재등록하지말아주십시오. 그렇지않으면, 계정관리팀은계정을동결하게되어있습니다. 앞으로도잘부탁드리겠습니다. Apple 서포트센터피싱메일의글 ( 화면 : 피싱대책협의회 ) [ 출처 ] http://www.security-next.com/099991 66

( 주 ) 이스트시큐리티 ( 우 ) 06711 서울시서초구반포대로 3 이스트빌딩 02.583.4616 www.estsecurity.com 0