Tick Group 공격동향보고서 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : AhnLab, Inc.

Similar documents
Red Eyes Hacking Group 상세분석 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : AhnL

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

*2008년1월호진짜

ASEC REPORT VOL 년 3 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

Secure Programming Lecture1 : Introduction

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

Security Trend ASEC Report VOL.56 August, 2014

#WI DNS DDoS 공격악성코드분석

ASEC REPORT VOL 년 2 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

목차 개요... 3 공격현황... 4 공격방식... 7 스피어피싱 (Spear Phishing) 이메일... 7 워터링홀 (Watering hole)... 7 중앙관리시스템... 8 국내외주요공격사례... 8 국내사례 Icefog-NG 변형 오퍼레

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

ActFax 4.31 Local Privilege Escalation Exploit

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

07_alman.hwp

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

Security Trend ASEC REPORT VOL.68 August, 2015

ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

고객 사례 | Enterprise Threat Protector | Akamai

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

ASEC REPORT VOL 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

TGDPX white paper

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

Operation Kabar Cobra Kimsuky 공격그룹의최신타깃공격사례분석 안랩시큐리티대응센터 (ASEC) 대응팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : w

#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

ASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

유포지탐지동향

ASEC REPORT VOL 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

ASEC REPORT VOL.78 June, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

Install stm32cubemx and st-link utility

슬라이드 1

MOVE TO THE LEFT OF THE KILL CHAIN AND STOP THE BAD GUYS MOVE TO THE RIGHT

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

ìœ€íŁ´IP( _0219).xlsx

*****

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx


Red Alert Malware Report

RHEV 2.2 인증서 만료 확인 및 갱신

ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

Microsoft Word - Crackme 15 from Simples 문제 풀이_by JohnGang.docx

<31305FBEC6C0CCC5DB2E687770>

AhnLab_template

Table of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

ASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

1

목차 개요 3 섹션 1: 해결 과제 4 APT(지능형 지속 위협): 이전과 다른 위협 섹션 2: 기회 7 심층 방어 섹션 3: 이점 14 위험 감소 섹션 4: 결론 14 섹션 5: 참조 자료 15 섹션 6: 저자 소개 16 2

P2WW HNZ0

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

Security Trend ASEC Report VOL.63 March, 2015

08_spam.hwp

804NW±¹¹®

Security Trend ASEC REPORT VOL.70 October, 2015

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀

Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염

Endpoint Protector - Active Directory Deployment Guide

ISP and CodeVisionAVR C Compiler.hwp

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

CX2 Camera User Guide

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

PowerPoint 프레젠테이션

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-

PowerPoint 프레젠테이션

악성코드분석보고서 학번 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지

차세대 방화벽 기능 애플리케이션 컨트롤 는 차세대 보안 기술인 애플리케이션 컨트롤(Application Control) 기능을 탑재해 P2P / 웹하드 / 메신저(Instant Messenger) / SNS 등 수 천 개의 글로벌 / 국내 애플리케이션에 대해 실시간 분

ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성

본 강의에 들어가기 전

PowerPoint Template

F O C U S 3 홈페이지를통한악성코드유포및대응방안 FOCUS 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아


미디어 및 엔터테인먼트 업계를 위한 Adobe Experience Manager Mobile

<4D F736F F D2038BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

1,000 AP 20,000 ZoneDirector IT 5, WLAN. ZoneFlex AP ZoneDirector. WLAN. WLAN AP,,,,,,., Wi-Fi. AP. PSK PC. VLAN WLAN.. ZoneDirector 5000 WLAN L

Windows 8에서 BioStar 1 설치하기

<372E20352D342D303620BEC7BCBAC4DAB5E5C0C720C0AFC0D4B0E6B7CE20B9D720C1F6B4C9C7FC28B1B8B9CCBCF7292E687770>

ThinkVantage Fingerprint Software

목 차 1. 개 요 배경 요약 정보 대상시스템 원리 공격 기법 및 기본 개념 Heap Spray Font 공 격..

ASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

슬라이드 1

Avaya G700 Media Gateway 하드웨어 설치의 빠른 시작

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

Android Master Key Vulnerability

<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707

Transcription:

2019.03.25 Tick Group 공격동향보고서 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved.

목차 개요... 3 주요공격사례... 4 주요악성코드상세분석... 5 1. 다운로더 (Downloader)... 6 2. 백도어 (Backdoor)... 9 3. 키로거 (Keylogger)... 16 주요공격도구분석... 17 1. 빌더 (Builder)... 17 2. 콘트롤러 (Controller)... 20 3. WCE (Windows Credentials Editor)... 23 4. 미미카츠 (Mimikatz)... 25 결론... 26 안랩제품대응현황... 27 IoC (Indicators of Compromise) 정보... 27 1. 주요샘플파일명... 27 2. 해쉬 (MD5)... 28 3. 관련도메인, URL 및 IP 주소... 29 참고문헌 (References)... 30 AhnLab, Inc. All rights reserved. 2

개요 틱그룹 (Tick Group) 은볼드나이트 (Bald Knight), 브론즈버틀러 (Bronze Butler), 니안 (Nian), 레드볼드나이트 (RedBaldKnight) 등으로도불리는공격그룹으로, 지난 2014 년부터본격적인활동이포착되었다. 이그룹이처음알려진것은 2013년어도비플래시플레이어제로데이취약점인 CVE-2013-0633과 CVE- 2013-0634를이용한레이디보일 (Ladyboyle) 1 이다. 23 2016년 4월시만텍 (Symantec) 이처음으로이그룹을 틱 (Tick) 으로명명 4 했으며, 같은해 11월일본의보안업체인 LAC 에서이그룹의일본활동을공개했다. 5 2017년 6월에는시큐어웍스 (SecureWorks) 에서브론즈버틀러 (Bronze Butler) 6 라는이름으로이그룹의활동을공개하고, 같은해 7월팔로알토네트웍스 7 와 11월트렌드마이크로 8 에서추가정보를공개했다. 2018년 6 월팔로알토유닛42는이그룹이한국의보안 USB에대한공격도시도했다고밝혔다. 9 2014 년이후에는주로한국과일본기관및기업에대한공격을시도하고있다. 다만이보다앞선 2008 년 국내에서해당그룹과관련된악성코드가발견된바있어이그룹의국내공격은상당히오랫동안지속되 었을가능성이있다. 이그룹은한국과일본의 IT 환경을연구해공격을전개하고있다. 일본에서주로사용되는제품의취약점을이용해악성코드를감염시켰으며, 한국에서는취약점공격외에도국산백신이나보안 USB 제품을공격하는등다양한공격을시도하고있다. 이그룹이일본에서전개한공격에대해서는잘알려져있으나상대적으로한국에서의활동에대해서는알려진것이적다. 본보고서에서는틱그룹의한국및일본공격사례를상세히분석한다. 1 https://www.symantec.com/connect/blogs/adobe-zero-day-used-ladyboyle-attack 2 https://www.fireeye.com/blog/threat-research/2013/02/lady-boyle-comes-to-town-with-a-new-exploit.html 3 https://asec.ahnlab.com/912 4 https://www.symantec.com/connect/blogs/tick-cyberespionage-group-zeros-japan 5 https://www.lac.co.jp/english/report/2016/11/04_cgview_01.html 6 https://www.secureworks.com/research/bronze-butler-targets-japanese-businesses 7 https://unit42.paloaltonetworks.com/unit42-tick-group-continues-attacks/ 8 https://blog.trendmicro.com/trendlabs-security-intelligence/redbaldknight-bronze-butler-daserf-backdoor-now-usingsteganography/ 9 https://unit42.paloaltonetworks.com/unit42-tick-group-weaponized-secure-usb-drives-target-air-gapped-critical-systems/ AhnLab, Inc. All rights reserved. 3

주요공격사례 틱그룹은지난 2014 년이후지속적으로한국과일본을대상으로공격을전개하고있다. 국내공격사례의경우, 방위산업체를비롯해국방및정치관련기관, 에너지, 전자, 제조, 보안, 웹호스팅, IT 서비스업체등다양한산업분야를공격대상으로하고있다. 주로스피어피싱, 어도비플래시나 MS 오피스의취약점공격, 워터링홀등의공격기법을사용한다. 악성코드에쓰레기코드를추가해분석을방해하거나악성코드파일을생성할때수십 ~ 수백메가바이트의길이를가진파일을생성해보안프로그램의우회를시도한다. 또국산백신이나국산보안 USB 제품을공격하거나악성코드가포함된가짜설치판파일을이용한공격을시도했다. [ 표 1] 은이그룹의활동이처음확인된 2013 년이후 2019 년 2 월현재까지의주요공격사례를정리한 것이다. 공격시기 공격대상 공격방식 2013년 2월 알려지지않음 플래시취약점 (CVE-2013-0633, CVE-2013-0634) 을이용한공격. 2014년 3월 한국 방위산업체 Netboy 변형으로공격. 해당변형은한국에서다수의감염보고 2015년 1월 한국 - 대기업 A Bisodown 변형으로공격 2015년 5월 한국 - 대기업 B Netboy 변형으로공격 2015년 6월 아시아 금융 2016년 2월 한국 해양산업 Daserf 변형으로공격. 2016년 6월한국통신사회사에서발견된 Daserf 악성코드와동일 2016년 6월 일본 - 여행사 LAC 보고서에따름 2016년 6월 한국 - 통신사 Daserf 변형으로공격 2016년 9월 한국 - 에너지 Datper 변형으로공격 2016년12월 일본 - 기업 일본자산관리소프트웨어취약점 (CVE-2016-7836) 을공격해감염 2017년 4월 한국 미확인 2018년팔로알토유닛42를통해한국보안 USB에대한공격알려짐 2018년 5월 한국 국방분야추정 Bisodown 변형으로공격. 군사관련내용으로위장한파일 (decoy) 등으로미루어국방분야관계자가목표로추정 2018년 5월 한국 - 정치기구 Bisodown 이용해공격 2018년 8월 한국 - 국방분야 Bisodown 변형으로공격. 감염된시스템에서 Linkinfo.dll 파일이름을가진 Keylogger 함께발견 2018년 9월 한국 - 정치기구 Datper 변형으로공격 2019년 1월 한국 - 정보보안 JPCERT에서 2019년 2월정보공개한 Datper 변형으로공격 2019년 1월 한국 - 웹호스팅 2019년 1월한국보안업체에서발견된악성코드와동일 AhnLab, Inc. All rights reserved. 4

2019년 2월 한국 - 전자부품 JPCERT에서 2019년 2월정보공개한 Datper 변형으로공격 2019년 2월 한국 - IT서비스 2019년 2월한국전자부품공격악성코드와동일한 Datper 변형으로공격 [ 표 1] 틱그룹의주요공격사례 (2013-2019) 주요악성코드상세분석 틱그룹이사용한악성코드종류는다양하다. 다운로더역할을하는 Bisodown(Cpycat, HomamDownloader), Gofarer, 백도어인 Daserf, Datper, Hdoor, Ghostrat, Netboy(Domino, Invader), Ninezero(9002), Xxmm 등을이 용하는것으로알려져있다. Ghostrat 등일부악성코드는온라인에서구할수있는악성코드를이용했다. [ 그림 1] 틱그룹에서사용한주요악성코드 AhnLab, Inc. All rights reserved. 5

1. 다운로더 (Downloader) 1.1) Bisodown (Cpycat, Homam) Bisodown 은 Cpycat, Homam, HomamDownloader 등으로도불리며, 2014 년 4 월처음발견되었다. 2019 년현 재도사용되고있으며, 다운로더기능을가진악성코드로한국기업과기관공격에여러차례사용되었다. 다운로더에는생성파일이름, 다운로드주소, 레지스트리등의문자열을포함하고있다. [ 그림 2] Bisodown 문자열 공격자는공격대상에게업무와관련된내용으로위장한메일을보낸다. 메일에는 PDF 또는워드문서파 일로위장한실행파일을첨부한다. 사용자가문서파일로보이는첨부파일을열면실행파일이동작하고 다운로더에의해추가악성코드를다운로드한다. 2015 년이후발견된다운로더변형은파일생성시파일끝에쓰레기값 (Garbage data) 을추가해수십 ~ 수백메가바이트에달하는크기를갖는다. 또이다운로더는오퍼레이션비터비스킷 (Operation Bitter Biscuit) 의 Bisoaks 변형을다운로드하기도했다. 2018 년 5 월국방분야관계자에게보낸것으로보이는샘플파일 (e45a80fcc66b2e52995e7b9767144b2f) 의경우, 공격대상에게군대성폭력과관련된문서로위장한내용을보여준다. AhnLab, Inc. All rights reserved. 6

[ 그림 3] 군사관련기관에유포된위장문서파일 이후드롭퍼는다운로더파일을생성할때파일끝에쓰레기값을추가해 100 메가바이트이상크기의다 운로더파일을생성한다. [ 그림 4] 파일생성시추가한쓰레기값 1.2) Gofarer Gofarer 는 2015 년에발견된다운로더이다. 시만텍블로그 10 에언급된변형은 2015 년 11 월에발견된악성코 드 (7ec173d469c2aa7a3a15acb03214256c) 로보인다. 10 https://www.symantec.com/security-center/writeup/2015-120812-1148-99 AhnLab, Inc. All rights reserved. 7

[ 그림 5] Gofarer 의메인코드 이악성코드의디지털서명을확인한결과, Heruida Electronic 이라는업체의인증서를갖고있으나, 실존하 는업체인지확인되지않는다. [ 그림 6] 악성코드의디지털서명 [ 그림 6] 과같은인증서로서명된악성코드가 4 개발견되었으며, 대부분 Gofarer 변형이다. 이들 4 개의악성 AhnLab, Inc. All rights reserved. 8

코드중 2015 년 7 월에발견된변형 (8d5bf506e55ab736f4c018d15739e352) 과인증서가없는변형 (4601e75267d0dcfe4256c43f45ec470a) 은모두일본에서발견되었다. 한국에서는이들변형이확인되지않 았다. 2. 백도어 (Backdoor) 2.1) Daserf (Muirim, Nioupale, Postbot) Daserf는 Muirim, Nioupale, Postbot 등으로알려진악성코드로, 2009년에처음발견되었다. 국내에서는 2011 년 4월에처음확인되었다 (653b69481b4ceaf851e2adc509e5b1b5). 그러나이악성코드가본격적으로알려진것은시만텍이 2016년 5월블로그를통해관련내용을공개하면서부터다. Daserf 변형들은대략 30-40 킬로바이트길이를갖는다. 일부변형은 100 킬로바이트이상의길이를갖고 있다. 초기에는 C 언어로제작되었지만 2013 년이후델파이로제작된변형들도존재한다. Daserf 변형들은버전정보와같은특징적문자열과파일끝에암호화된 C&C 정보를갖고있다. [ 그림 7] Daserf 의특징적인문자열 (1) 또한악성코드에버전정보가존재하는데, [ 그림 8] 의샘플의버전은 1.3G 다. AhnLab, Inc. All rights reserved. 9

[ 그림 8] Daserf 의특징적인문자열 (2) 파일끝에는암호화된 C&C 정보가존재한다. [ 그림 9] 암호화된 C&C 주소 Daserf는주로다음과같은기능을수행한다. - 대기 (Idle) - 파일목록보기 - cmd.exe로명령수행 - 파일업로드 / 다운로드 / 삭제 / 실행 - 제거 2011 년 4 월한국에서발견된 Daserf 에감염된시스템에서 keyll.ee 라는파일명을가진키로거가발견되었다 (d34241f92bf138d48d5bac82c46ffafe). Daserf 에감염된 2 개의다른시스템에서유사한키로거가발견된것 으로미루어 Daserf 가키로거를다운로드한것으로보인다. AhnLab, Inc. All rights reserved. 10

2.2) Netboy (Domino, Invader, Kickesgo) Netboy는 Domino, Invader, Kickesgo 등으로불리며, 델파이로작성된악성코드다. 국내에서는 2008년에초기버전이발견되었다 (054cff8c56245c547933379fa17b1c99). 이변형은다른변형과같이주요문자열이 0xC7로 XOR 암호화되어있지만 DLL 파일형태이며 2010년샘플과는코드도상당히다르다. 국내에서가장많은형태의변형이발견된것은 2010 년으로 (1fa904dacaf15db97293c86c5963503f), 이후본 격적으로활동하기시작했다. [ 그림 10] 2010 년형 Netboy 메인코드 대다수의 Netboy 변형들은주요문자열이 0x7C 로 XOR 암호화되어있다. AhnLab, Inc. All rights reserved. 11

[ 그림 11] XOR 암호코드 이악성코드는 Explorer.exe 등정상프로세스에악의적인코드를삽입해키로깅, 화면캡쳐, 프로세스리스 트, 프로그램실행등의기능을수행한다. 2013 년에발견된변형 (3dce29291a34b4ebf9f29404f527c704) 부터코드중간에쓰레기값을추가해 IDA Hexray 등으로코드를디컴파일할때제대로보이지않게하는등분석을방해한다. 2.3) Ninezero (9002) Ninezero 는이그룹에서 2012년부터 2013년사이에사용된악성코드로, 통신할때 '9002' 문자열을보낸다는점에서 9002 백도어 로불린다. 국내에서 Ninezero 악성코드가확인된것은 2012년이다 (0ffd2dbc6f5d666b1cf4dd5f9fcb9eb1, 9c0725278b6276783a8c21b4235c6283). 드롭퍼는약 70 킬로바이트정도길이를가지며, 실제백도어인 DLL 파일은 33 킬로바이트의길이를갖는 다 (181d4f01c8d6d1abae0847ce74e24268, 955a2287fb560b1b9f98ae131a13558b). 드롭퍼가실행되면 DLL 형 태의백도어를생성하고서비스로동작한다. 백도어 DLL 파일은 Launch, InitFunc 와같은함수명을갖는다. AhnLab, Inc. All rights reserved. 12

[ 그림 12] Ninezero 의특징적인 Export 함수명 (7246a7528649333dc64b03e46d84c9f0) 일부시스템은 Netboy 에먼저감염되고그후에 Ninezero 에감염된흔적도있다. 2.4) Xxmm (KVNDM, Minzen, Murim, ShadowWali, Wali, Wrim) Xxmm은 KVNDM, Minzen, Murim, ShadowWali, Wali, Wrim 등으로불린다. 코드내부에 Xxmm라는문자열이존재해 Xxmm라는이름이붙었으며, 2015년에처음발견되었다. 틱그룹이이악성코드를본격적으로사용한것은 2016년부터다. 다수의 Xxmm 변형의 PDB 정보를통해사용자이름이 123 임을알수있다. 그러나 2015 년 12 월이후변 형부터는특징적인 PDB 정보가제외되었다 (db1bc0b42be04ae1add09ab50bdc1c9d). C:\Users\123\Desktop\shadowDoor\Release\loadSetup.pdb [ 그림 13] Xxmm 의특징적인문자열 AhnLab, Inc. All rights reserved. 13

Xxmm 은크게드롭퍼, 로더 (Loader), 백도어모듈로구성되어있다. 드롭퍼가실행되면운영체제를확인해서 32 비트악성코드, 64 비트로더악성코드를생성한다. 로더가실행되면암호화된백도어악성코드를메모리 에인젝션하여실행한다. [ 그림 14] Xxmm 관계도 2015 년 1 월에는공격자가테스트혹은제작중이었던것으로보이는변형이 (0ed9ef2bfdae5f95dc1c5d774fb89b37) 발견되기도했다. [ 그림 15] 개발중인 Xxmm Wali 와 ShadowWali 는 Xxmm 과유사해대부분의보안업체에서는이들을구분하지않고모두 Xxmm 으로 진단한다. AhnLab, Inc. All rights reserved. 14

디컴파일을방해하는쓰레기코드를추가하거나파일끝에쓰레기값을추가해파일길이를 50 메가바이 트에서 100 메가바이트로증가시키는방법을사용한다. 11 대부분의보안제품이과도하게큰사이즈의파 일은수집하지않는다점을노린것으로보인다. 2.5) Datper Datper는 2015년부터 2019년 3월현재까지발견되고있는악성코드로, 델파이로작성되었다. 일본침해대응센터 (JPCERT) 에서 2017년 8월 12 과 2019년 2월 13 에 Datper 악성코드에대한정보를공개한바있다. 다른악성코드와마찬가지로코드중간에쓰레기값이포함되어있다. [ 그림 16] Datper (c7323e635841980e38129b3a5a90b0da) Datper 변형에감염된일부시스템에서는키로거 (7f98ff2b6648bd4fe2fc1503fc56b46d) 나미미카츠 (b108df0bd168684f27b6bddea737535e) 가발견되었다. 11 https://securelist.com/old-malware-tricks-to-bypass-detection-in-the-age-of-big-data/78010/ 12 https://blogs.jpcert.or.jp/en/2017/08/detecting-datper-malware-from-proxy-logs.html 13 https://blogs.jpcert.or.jp/ja/2019/02/tick-activity.html AhnLab, Inc. All rights reserved. 15

3. 키로거 (Keylogger) 3.1) keyll.exe 2011년 4월과 5월사이 Daserf에감염된일부시스템들에서 keyll.exe 라는파일명을가진키로거 (d34241f92bf138d48d5bac82c46ffafe) 가발견되었다. 이키로거가실행되면 c:\windows\log.txt 파일에사용자가입력하는키내용이저장된다. [ 그림 17] 2011 년키로거문자열 3.2) apphelp.dll (k6.dll, linkinfo.dll) 2017년과 2018년에 Bisodown 이나 Datper에감염된시스템들에서또다른키로거 (7f98ff2b6648bd4fe2fc1503fc56b46d) 가발견되었다. 감염된시스템에서발견된키로거의파일이름은 apphelp.dll, k6.dll, linkinfo.dll 등이며약 40-50 킬로바이트길이를갖고있다. [ 그림 18] 2017 년키로거문자열 (7f98ff2b6648bd4fe2fc1503fc56b46d) AhnLab, Inc. All rights reserved. 16

주요공격도구분석 안랩은틱그룹이보유한다양한공격도구를확인했다. 이들도구중일부는실제공격에사용됐다. 1. 빌더 (Builder) 1.1) Anti-AV Anti 1.0(ed4234b23043e41ea20ed01cd028d4b4) 은국내에서널리사용되는국산백신 (Anti-virus) 프로그램을 공격하는악성코드를생성하는도구이다. [ 그림 19] 국산백신프로그램공격프로그램생성기 이도구를이용해생성된악성코드는국산백신프로그램을공격하는프로그램을생성한다 (59423b2297242ce272a94b10a2ff82c1, 67d05b5bd5f4f1cbaf573648f2312846). [ 그림 20] 국산백신프로그램공격코드의문자열 2011 년 5 월부터 7 월까지다수의변형이제작되었다. 이들악성코드는다음과같은 PDB 정보를갖고있다. f:\driver\antiv\objfre_wxp_x86\i386\anti.pdb AhnLab, Inc. All rights reserved. 17

1.2) NForce 2011 년에제작된 NForce 는취약점을공격하는악성 PDF 를생성하는프로그램이다. [ 그림 21] 악성 PDF 생성기 2010 년에발견된 CheCheCheChe2010 (c411bff01eec6a31d1970863c41a1393) 이 NForce 의원형으로추정된 다. 틱그룹이이툴을사용했는지의여부는확인되지않았다. [ 그림 22] 2010 년 PDF 생성기 AhnLab, Inc. All rights reserved. 18

1.3) ShadowDawn 2016년에발견된 ShadowDawn 빌더는 Xxmm 빌더와 UI가유사하다. 파일이름은 wali_build(329274463f3bde525a7d8190a732ca2e) 와 shadowdawn(e4f61f03de8cedd07fb38e44858883ce) 이며, UI 상의명칭은 shadowdawn 으로동일하다. [ 그림 233] 다운로더생성기 설정을통해다운로드주소와다운로드받는파일의이름과경로를지정할수있으며, 클라우드환경에대 비하기위한 anti-cloud 기능이존재한다. [ 그림 24] 다운로더생성기설정 AhnLab, Inc. All rights reserved. 19

1.4) xxmm2_steganography Xxmm 악성코드는이미지속에악의적인명령을숨기는스테가노그래피기법을사용하고있고있다. 스테가노그래피내용을추가해주는생성기인 xxmm2_steganography.exe (50de060bf16898656317eb97c5c1da03) 가발견되었다. [ 그림 25] 스테가노그래피생성기 2. 콘트롤러 (Controller) 2.1) Netboy 콘트롤러 Netboy 악성코드를생성하고감염시스템의악성코드를조종프로그램이다 (08d651877d26f49e55d017d8a147cce8). AhnLab, Inc. All rights reserved. 20

[ 그림 246] Netboy 생성 / 콘트롤러 이생성기를통해 Netboy 악성코드를생성할수있으며, Server.mod (8ec48da5c519219917aca249288dddb5) 파일을기반으로설정을추가해악성코드를생성한다. 2.2) Xxmm 콘트롤러 Xxmm 의생성기는다수의버전이존재하는데, 초기버전은 2014 년에제작되었다. 초기버전의파일이름은 gh0st.exe(a92f17f5ccc7cf378a64ae8f239acd3d) 이지만프로그램이름은 xxmm Version 1.0 이다. [ 그림 27] Xxmm 1.0 콘트롤러 AhnLab, Inc. All rights reserved. 21

2015 년 2 월, xxmm2_build 가발견되었다 (a4382f0f311dbe03183a34c931869f81). 관련정보는사이버리즌 (Cybereason) 에서공개했다. 14 NetShadow.exe, wali_build.exe 등의파일명을가진변형도존재한다. [ 그림 28] Xxmm 생성기 NetShadow(67b2d7bd0fb606beab60f0c16b93b0e7) 는 Xxmm 과 UI(User Interface) 가거의흡사하다. [ 그림 29] NetShadow 14 https://www.cybereason.com/blog/labs-shadowwali-new-variant-of-the-xxmm-family-of-backdoors AhnLab, Inc. All rights reserved. 22

2.3) NetGhost 넷고스트 (NetGhost) 는 2014 년부터 2017 년까지발견된악성코드생성및콘트롤러이다. Modified From Gh0st 3.6 과같은문자열로미루어 Gh0st 을기반으로제작되었을가능성이있다. [ 그림 30] NetGhost 3. WCE (Windows Credentials Editor) WCE(Windows Credentials Editor) 는윈도우시스템계정정보를알수있는프로그램이다. 공격자는 2013 년 에 WCE.EXE(c0ec10a8bd525ba10254b857f406ec36) 를사용했다. AhnLab, Inc. All rights reserved. 23

[ 그림 25] WCE 실행화면 64 비트 WCE(2cd50cb6294045c59212b8e2a5211599) 는 2014 년에처음발견되었다. 2016 년 6 월에발견된 64 비트 WCE(47e75d87e6a695ce2a6700725a29f025) 의파일명은 wc64.exe 였으며, 앞서살펴본 Gofarer 악성코 드에서발견된 Heruida Electronic Technology Co., Ltd. 의인증서로디지털서명되었다. [ 그림 26] WCE 64 비트실행화면 GetLSASRVAddr.exe 는 Amplia Security 의프로그램으로, 로그온섹션과 NTLM 정보를얻기위해 WCE 와함께 사용된다. AhnLab, Inc. All rights reserved. 24

[ 그림 27] GetLSASRVaddr 실행화면 4. 미미카츠 (Mimikatz) 공격자는 WCE 가더이상유용하지않게됨에따라 2015 년부터계정정보탈취에미미카츠 (Mimikatz) 를이 용한다 (f547e6f4376eb0879123f02b911e0230, b108df0bd168684f27b6bddea737535e). [ 그림 28] Mimikatz 실행화면 [ 그림 29] Mimikatz 실행화면 Datper 악성코드에감염된시스템에서 mi.exe, m3.exe 등의파일이름을가진미미카츠변형이발견되었다. AhnLab, Inc. All rights reserved. 25

결론 2016 년이후본격적으로알려지기시작한틱그룹은그보다앞선지난 2008 년부터 10 여년간한국과일 본에서지속적으로공격을전개하고있다. 틱그룹은다양한악성코드와공격도구를이용하고있기때문에단순히악성코드만으로공격의배후를해당그룹으로단정하기에는한계가있다. 그러나지금까지살펴본것처럼일부공격사례에사용된악성코드사이에뚜렷한연관성이보인다. 대표적으로 Gofarer 악성코드의인증서서명과동일한서명이일부 Wc.exe 에서도발견되었다. 또 Daserf에감염된시스템에서 Netboy가발견되거나 Ninezero 에감염된시스템에서 Netboy가함께발견되기도했다. 다만일부악성코드는연관성을파악하기어려운특징이나타나기도했다. 일부 Bisodown 의경우, 이그룹에서사용하는악성코드뿐만아니라다른그룹의악성코드로알려진 Bisonal 계열의악성코드를다운로드하기도했다. Bisodown 에대한자세한정보는 2019년 1월안랩이공개한 오퍼레이션비터비스킷 Operation Bitter Biscuit 2018년활동 ) 을참고할수있다. 1516 2018년 10월에는시스코탈로스에서이그룹과 Emdivi 악성코드를사용하는그룹과의연관가능성을언급하기도했다. 17 안랩이틱그룹에대해추적하던중이들이사용한다수의악성코드생성및콘트롤러와각종공격도구를확인할수있었다. 다만, 이들악성코드생성기가언더그라운드포럼에서널리이용되고있는지에대해추가확인이필요할것으로보인다. 해당악성코드생성기가널리알려져있다면, 이그룹과상관없는사람들도관련악성코드로공격할수있어이그룹만의고유한특징이될수없기때문이다. 보다명확하게틱그룹과의연관성을밝혀내기위해서는악성코드뿐만아니라 C&C 서버등의특징을확인 해야하며, 목표대상의내부에서악성코드가이동한방법, 즉래터럴무브먼트 (Lateral movement) 를파악하 는등의작업이필요하다. 안랩이틱그룹의활동을추적한결과, 한국과일본의공격에사용된기법이나악성코드에일부차이가있지만다수의동일한점을확인할수있었다. 그러나여전히밝혀지지않은부분이많다. 따라서틱그룹의활동을추적하기위해서는이그룹이주로활동하고있는한국과일본분석가들의지속적인협력이필요하다. 안랩은틱그룹을연구하는국내외연구가들과의협력을언제나환영한다. 15 https://image.ahnlab.com/file_upload/asecissue_files/asec%20report_vol.93.pdf 16 https://global.ahnlab.com/global/upload/download/asecreport/asec%20report_vol.93_eng.pdf 17 https://blog.talosintelligence.com/2018/10/tracking-tick-through-recent-campaigns.html AhnLab, Inc. All rights reserved. 26

안랩제품대응현황 안랩 V3 제품군에서는틱그룹과관련된악성코드를다음과같은진단명으로탐지하고있다. ( 단, 다양한변형이존재하기때문에각변종에대한진단가능엔진버전 ( 날짜 ) 는표기하지않았다.) <V3 제품군진단명 > Dropper/Win32.Homam Trojan/Win32.Daserf Trojan/Win32.Datper Trojan/Win32.Domino Trojan/Win32.Gofarer Trojan/Win32.Homamdown Trojan/Win32.MalCrypted Trojan/Win32.Netboy Trojan/Win32.Xxmm Win-Trojan/Injector.37100 IoC (Indicators of Compromise) 정보 1. 주요샘플파일명 actray.exe apphelp.dll conhost.exe contray.exe dllh0st.exe hp.exe keyll.exe linkinfo.dll m3.exe mi.exe msbst.exe msinfo.exe mskes.exe mskntes.exe msndos.exe msupdata.exe msviewer.exe srvhost.exe swchost.exe taskemg.exe taskh0st.exe v3lite.exe videohost.exe w3wp.exe winsate.exe AhnLab, Inc. All rights reserved. 27

2. 해쉬 (MD5) 샘플파일 Bisodown Gofarer Daserf Netboy Ninezero (9002) Xxmm MD5 068aae4c99a42f224b45b9f8d5d30109 2b91011e122364148698a249c2f4b7fe 3c6e67fc006818363b7ddade90757a84 5f7a5ae8d568076ea496c3b97dd6afb5 5f7a5ae8d568076ea496c3b97dd6afb5 61654e3eacb22abeafa14ef5db7f1f57 e470b7538dc075294532d8467b1516f8 4601e75267d0dcfe4256c43f45ec470a 7ec173d469c2aa7a3a15acb03214256c 82ec6f2aadf4abb7e05c0c78e9dedc93 8d5bf506e55ab736f4c018d15739e352 db909c50b4f3263ef769028d9680a37f 653b69481b4ceaf851e2adc509e5b1b5 f92f8bddd98442cd2eb7a36e88ccc755 054cff8c56245c547933379fa17b1c99 0e8cc305bc58d256f94eee1ffe3eafb5 15898db67616370940073d5edf42238b 1f2a2d49430583bb89cf72cd07a56370 1fa904dacaf15db97293c86c5963503f 34bad798c01b4b52d708c1409590ea30 3dce29291a34b4ebf9f29404f527c704 537d16b7bad05afd9e40e99346bb9e65 753ac3700a31f8a68f8ed49385bf72d8 893f4b3c99c3865db68e1e1c9e7980e0 8d90282a98f035b0778de6884d7720c0 8ec48da5c519219917aca249288dddb5 ef21e6c67b492c98850ea014e4f1db09 0ffd2dbc6f5d666b1cf4dd5f9fcb9eb1 181d4f01c8d6d1abae0847ce74e24268 7246a7528649333dc64b03e46d84c9f0 955a2287fb560b1b9f98ae131a13558b 9c0725278b6276783a8c21b4235c6283 043a2833d1654f65120113d2453219b3 73c79f84361fc8d74ec53c36e07b39e6 8bca3dee891407a7da3987a43e39a9fe db1bc0b42be04ae1add09ab50bdc1c9d AhnLab, Inc. All rights reserved. 28

Datper Keylogger1 Keylogger2 dc0ef0b3fbfe4723eea4c353ad2f3e8f e981311a895719d0accb12c714f00689 2246524a940683315e65f143ff97ee20 28923dff8548f26dc25c48d5f69fce1c 416b22173debe86d4a98a8d141a87fdd 5dec86b6c5cfa94bf97345935725f20f 6b5ce7fb6dd1e588fd61c3a44720fc7a 8e60d4502c8234610b833e33f91c5728 a287d48e7eed8f4ce4ba1caa5470b8f3 c4c068126a11c1e60863f88f6ad5f779 da06832bb5e6618b515b61bee7c2dd58 e7106830a518149633095247c03e390d ec0ef96943300ef5030245b420dbc706 b60a5a392b450dc49fb1a64528a9caab d34241f92bf138d48d5bac82c46ffafe 1c2b1eb6e3e33f01e81be5998d08a38b 4eaaa4b603807b15dcb9dace33a0636f 7f98ff2b6648bd4fe2fc1503fc56b46d e439965f45cb869aa00e443732973a22 3. 관련도메인, URL 및 IP 주소 http://isozaki.sakura.ne.jp/pict/index.php http://patane.myonlineportal.org http://www.51cs.net/zy/images/colorpicker/s.php http://www.51cs.net/zy/images/patterns/preview/deletecomments.php http://www.aucsellers.com/rim/images/01/js/js/index.php http://www.lunwe.com/wp-includes/images/wlw/img/site.php http://www.wco-kyousai.com/ex-engine/modules/comment/queries/deletecomment.php AhnLab, Inc. All rights reserved. 29

참고문헌 (References) [1] Adobe Zero-day Used in LadyBoyle Attack (https://www.symantec.com/connect/blogs/adobe-zero-day-used-ladyboyle-attack) [2] LadyBoyle Comes to Town with a New Exploit (https://www.fireeye.com/blog/threat-research/2013/02/lady-boyle-comes-totown-with-a-new-exploit.html) [3] Tick cyberespionage group zeros in on Japan (https://www.symantec.com/connect/blogs/tick-cyberespionage-group-zeros-japan) [4] Attackers that Target Critical Infrastructure Providers in Japan (https://www.lac.co.jp/english/report/2016/11/04_cgview_01.html) [5] Old Malware Tricks To Bypass Detection in the Age of Big Data (https://securelist.com/old-malware-tricks-to-bypass-detectionin-the-age-of-big-data/78010/) [6] ShadowWali: New variant of the xxmm family of backdoors (https://www.cybereason.com/blog/labs-shadowwali-new-variant-ofthe-xxmm-family-of-backdoors) [7] Yu Nakamura, Detecting Datper Malware from Proxy Logs (https://blogs.jpcert.or.jp/en/2017/08/detecting-datper-malware-fromproxy-logs.html) [8] Tracking Tick Through Recent Campaigns Targeting East Asia (https://blog.talosintelligence.com/2018/10/tracking-tick-throughrecent-campaigns.html) [9] Shusei Tomonaga, 攻撃グループTickによる日本の組織をターゲットにした攻撃活動 ' (https://blogs.jpcert.or.jp/ja/2019/02/tickactivity.html) [10] Understanding Command and Control - An Anatomy of xxmm Communication (https://jsac.jpcert.or.jp/archive/2019/pdf/jsac2019_8_nakatsuru_en.pdf) [11] Operation Bitter Biscuit in 2018 - Korean (https://image.ahnlab.com/file_upload/asecissue_files/asec%20report_vol.93.pdf) [12] Operation Bitter Biscuit in 2018 English (https://global.ahnlab.com/global/upload/download/asecreport/asec%20report_vol.93_eng.pdf) [13] Steve Su, TeamT5, Personal Communication [14] Kaoru Hayashi/PaloAlto Networks, Personal Communication AhnLab, Inc. All rights reserved. 30

2024 © docsplayer.org 개인정보보호 | 약관 | 지원