Security Trend ASEC REPORT VOL.64 April, PDF Free Download

Security Trend ASEC REPORT VOL.64 April, 2015

ASEC REPORT VOL.64 April, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다 2015 년 4 월보안동향 1 보안통계 STATISTICS 2 보안이슈 SECURITY ISSUE 01 악성코드통계 02 웹통계 03 모바일통계 01 DDoS 기능을포함한랜섬웨어, 크립토락커 02 음악앱으로위장한원격제어악성코드 03 스팸메일로유포되는 Upatre 악성코드기승 Table of Contents 4 6 7 10 19 21 3 악성코드상세분석 ANALYSIS IN-DEPTH 잔혹한악의화신, 랜섬웨어 Top 6 24 2

1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계

보안통계 01 악성코드통계 Statistics ASEC 이집계한바에따르면 2015 년 4 월한달간탐지된악성코드수는 1,912 만 6,002 건이다. 이는전 월 2,131 만 7,813 건에비해 219 만 1,811 건감소한수치다. 한편 4 월에수집된악성코드샘플수는 394 만 488 건이다. [ 그림 1-1] 에서 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플 수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 40,000,000 30,000,000 20,000,000 22,063,090 21,317,813 19,126,002 10,000,000 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 3,781,333 4,217,293 3,940,488 탐지건수샘플수집수 02 월 03 월 04 월 [ 그림 1-1] 악성코드추이 (2015 년 2 월 ~ 2015 년 4 월 ) 4

[ 그림 1-2] 는 2015 년 4 월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그램 인 PUP(Potentially Unwanted Program) 가 57.62% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 25.21%, 애드웨어 (Adware) 가 4.72% 로그뒤를이었다. 0.39% 4.46% 4.72% 7.6% 57.62% 25.21% PUP Trojan etc Adware Worm Downloader [ 그림 1-2] 2015 년 4 월주요악성코드유형 [ 표 1-1] 은 4 월한달간가장빈번하게탐지된악성코드 10 건을진단명기준으로정리한것이다. PUP/ Win32.BrowseFox 가총 186 만 5,187 건으로가장많이탐지되었고, PUP/ Win32.MywebSearch 가 180 만 9,795 건으로그뒤를이었다. [ 표 1-1] 2015년 4월악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 PUP/Win32.BrowseFox 1,865,187 2 PUP/Win32.MyWebSearch 1,809,795 3 PUP/Win32.MicroLab 1,482,437 4 PUP/Win32.Enumerate 834,002 5 PUP/Win32.Helper 774,611 6 PUP/Win32.CrossRider 435,549 7 PUP/Win32.SubShop 403,861 8 PUP/Win32.InClient 401,272 9 Trojan/Win32.Gen 353,537 10 PUP/Win32.Generic 352,268 5

보안통계 02 웹통계 Statistics 2015년 4월악성코드유포지로악용된도메인은 1,548개, URL은 1만 9,704개로집계됐다. 또한 4월의악성도메인및 URL 차단건수는총 519만 1,767건이다. 악성도메인및 URL 차단건수는 PC 등시스템이악성코드유포지로악용된웹사이트의접속을차단한수이다. 9,000,000 8,000,000 7,000,000 6,000,000 5,000,000 4,860,868 5,354,893 5,191,767 4,000,000 40,000 33,588 30,000 20,000 19,790 19,704 10,000 1,594 1,563 1,548 악성도메인 /URL 차단건수 악성코드유포도메인수 0 02 월 03 월 04 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 (2015 년 2 월 ~ 2015 년 4 월 ) 6

보안통계 03 모바일통계 Statistics 2015 년 4 월한달간탐지된모바일악성코드는 15 만 5,466 건으로집계됐다. 250,000 221,188 247,243 200,000 155,466 150,000 100,000 50,000 0 02 월 03 월 04 월 [ 그림 1-4] 모바일악성코드추이 (2015 년 2 월 ~ 2015 년 4 월 ) 7

[ 표 1-2] 는 4 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. Android-PUP/ SMSReg 가지난 3 월에이어가장많이발견되었다. [ 표 1-2] 2015 년 4 월유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/SMSReg 66,134 2 Android-PUP/Dowgin 11,303 3 Android-Trojan/FakeInst 10,701 4 Android-PUP/Noico 10,127 5 Android-PUP/Airpush 6,136 6 Android-Trojan/SmsSpy 3,916 7 Android-Trojan/Opfake 3,352 8 Android-Trojan/SmsSend 2,983 9 Android-PUP/Chepa 2,318 10 Android-PUP/Wapsx 2,193 8

2 보안이슈 SECURITY ISSUE 01 DDoS 기능을포함한랜섬웨어, 크립토락커 02 음악앱으로위장한원격제어악성코드 03 스팸메일로유포되는 Upatre 악성코드기승

보안이슈 01 DDoS 기능을포함한랜섬웨어, 크립토락커 Security Issue 국내인터넷사용자를노린랜섬웨어가인터넷커뮤니티사이트에서유포되었다. 러시아, 동유럽국가등에서등장한랜섬웨어는서유럽, 미국등으로확산되어피해자가많았다. 최근몇년사이국내에서도랜섬웨어에감염된사용자가증가했으며, ASEC리포트에서는랜섬웨어악성코드감염예방법 (Tip) 등을소개한바있다. 커 (CryptographicLocker), 테슬라크립트 (TeslaCrypt) 등의이름으로변형들이계속해서나타났다. 주로이메일을통해유포되던랜섬웨어가이번에는국내인터넷커뮤니티사이트에서유포되었는데크립토락커는과거발견된랜섬웨어와같은종류이다. 랜섬웨어 (Ransomware) 란, Ransom( 몸값 ) 과 Software( 소프트웨어 ) 두단어가합쳐져생성된용어로, PC에있는중요한자료들을암호화하여사용하지못하게한다. 암호화된파일을복구하려면피해자에게돈을지급하도록강요하는악성코드이다. 이번에발견된랜섬웨어크립토락커 (CryptoLocker) 는국내유명커뮤니티사이트를통해유포되었다. 크립토락커는사용자 PC의 IP 대역을확인하여해당국가의언어로페이지를생성했다. 한글로보이기때문에국내피해자가더욱많았을것으로추정된다. 크립토락커는 [ 그림 2-1] 과같이 2013년 9월처음발견되었으며, 크립토월 (CryptoWall), 토렌트락커 (TorrentLocker), 크립토그래픽락 그림 2-1 랜섬웨어타임라인 랜섬웨어에감염되면 [ 그림 2-2] 와같은페이지가나타난다. 암호화된파일들을복원하기위해한화약 43만 8,900원의비트코인 (BitCoin) 을요구한다. 피해자들이비용지급을쉽게할수있도록결제방법을상세하게설명하고있으며, 실제복원됨을증명하기위해암호화된파일중 1개의파일을무료로복호화해준다. 이를통해악성코드제작자는중요한파일을암호화하여사용자에게금전을요구한다. 10

섬웨어가다운로드및실행된다. 그림 2-2 크립토락커감염시보이는웹페이지 그림 2-3 랜섬웨어감염경로 그리고사용자 PC의 IP 대역을확인하여해당국가에맞는언어로안내페이지를생성하고실행하여보여준다. 결제를진행하기위해안내된링크를클릭하면다음과같은정보가기본으로세팅되어있다. 토르 (Tor), 즉익명의네트워크 (anonymity network) 를사용하여네트워크추적을어렵게하였다. ( 예제 ) http://zoqowm4kzz4cvvvl.torlocator.org/ jxt85f9.php - User-Code : 12lrne9 - User-Pass : 8394 1. 감염경로 [ 그림 2-3] 과같이크립토락커의감염은사용자시스템의취약점을이용한전형적인웹기반의 DBD(Drive-By-Download) 방식을통해이루어졌다. 국내에서많은사용자를보유하고있는유명커뮤니티사이트에접속하면취약한사이트로리다이렉션 (Redirection) 되면서특정취약점에의해랜 1) 최초유포지및경유지이번크립토락커배포에는국내 3곳의대표적인 IT 커뮤니티사이트가악용되었다. (1) C 업체 (2) S 업체 (3) R 업체이들국내사이트에는광고데이터를동적으로받아서화면에보여주는기능이포함되어있다. 공격자는이기능을악용하여 [ 그림 2-4] 와같이광고서버에악의적인스크립트를삽입하거나또는직접사이트를변조하는방법으로사용자들이인지하지못한채악의적인사이트로연결되도록유도하였다. 그림 2-4 C 업체에삽입된악성스크립트 11

그림 2-5 S 업체에삽입된악성스크립트 그림 2-8 앵글러 EK 동작구조 그림 2-6 R 업체에삽입된악성스크립트 (SWF 이용 ) 특히, 삽입된악성스크립트들은경유지사이트를거쳐최종적으로취약점공격코드가탑재된사이트로연결된다. 이때사용자클라이언트시스템상의취약점을이용하기위해자동화된웹공격툴킷인 앵글러 EK(Angler Exploit Kit) 가사용되었다. 이때악성코드의탐지우회기능과유사하게스크립트레벨에서도취약점 CVE-2013-7331 을이용하여가상환경, 분석환경, 백신프로그램등의클라이언트환경을체크한다. 만약, 해당프로그램들이존재하면정상으로공격이이루어지지않는다. 또한, [ 표 2-1] 과같이특유의변수를이용하여개별애플리케이션들의공격여부를제어한다. 2) 자동화된웹공격툴킷 앵글러 EK [ 그림 2-7], [ 그림 2-8] 과같이크립토락커에감염되면사용자는최종적으로난독화된앵글러 EK의취약점랜딩페이지로연결된다. 표 2-1 애플리케이션제어변수애플리케이션변수어도비플래시 window.sf325gtgs7sfdf1 플레이어 window.sf325gtgs7sfdf2 마이크로소프트실버라이트 window.sf325gtgs7sfds 오라클자바 window.sf325gtgs7sfdj 환경체크 window.sf325gtgs7sfdfn 그림 2-7 앵글러 EK 로난독화된취약점랜딩페이지 12

3) 취약점및페이로드 ( 셸코드 ) 일반적인앵글러 EK는다양한애플리케이션취약점을이용하는것으로알려졌다. 그러나이번공격에는 갓모드 (God Mode) 로알려진 CVE-2014-6332 와어도비플래시플레이어취약점인 CVE-2014-0515 가사용되었다. 그림 2-11 웹으로부터전달된 exec 파라미터 (Base64 인코딩 ) 처리 CVE 번호 CVE-2014-6332(MS14-064) 보안권고문 https://technet.microsoft.com/library/security/ ms-14-064 영향받는버전 마이크로소프트인터넷익스플로러 (IE) 3.0 이후모든버전마이크로소프트윈도비스타, 7, 8, 8.1, RT, RT 8.1 마이크로소프트서버 2003, 2008, 2008 R2, 2012, 2012 R2 그림 2-12 CVE-2014-0515 취약점원인 픽셀벤더바이너리데이터 (Pixel Bender Binary Data) 그림 2-13 CVE-2014-0515 취약점코드 그림 2-9 CVE-2014-6332 취약점 CVE Number CVE-2014-0515(apsb 14-13) 보안권고문 영향받는버전 https://helpx.adobe.com/security/products/ flash-player/apsb14-13.html Adobe Flash Player 13.0.0.182 and earlier versions for Windows Adobe Flash Player 13.0.0.201 and earlier versions for Macintosh Adobe Flash Player 11.2.202.350 and earlier versions for Linux [ 그림 2-14] 와같이실제셸코드실행시공격자사이트로부터추가적인페이로드 (Payload) 를다운로드받는다. 이를해당키 (KEY) 문자열로해제한후페이로드의시작이 9090 또는 MZ 인지구별하여직접메모리상에서실행하거나 tmp 파일 (%temp% 폴더 ) 로생성하여실행한다. 그림 2-10 CVE-2014-0515 취약점 그림 2-14 셸코드 (ShellCode) 일부 13

2. 기능분석 1) 전체동작흐름랜섬웨어가실행되면다른악성코드처럼자기자신을 %WINDOWS% 폴더에복사하여 HKCU S oftware Microsoft Windows CurrentVer sion Run < 랜덤명 > 에등록한다. 해당키에실행파일을등록해놓으면시스템을재부팅할때마다자동실행된다. 이경우해당파일을찾아서삭제하지않으면감염된 PC 사용자가돈을주고파일을복구하더라도재감염될가능성이높다. 랜섬웨어는자신을자동실행으로등록한후에는정상 explorer. exe 프로세스를생성하고 C&C 서버통신및파일을암호화하는주요기능을포함한 PE 파일을인젝션 (injection) 시켜서동작한다. 송한다. 첫번째는사용자 PC의정보를전달한후 IP 대역에따른 ( 나라별 ).txt 와.html 파일을받아온다. 그리고두번째는앞에서보낸정보에암호화된파일들을복호화할때필요한키정보 (256 바이트 ) 를함께보내고서버에서 200 OK 응답을받으면파일들을암호화하기시작한다. 서버로부터받은 DECRYPT_INSTRUCTIONS.txt 와 DECRYPT_INSTRUCTIONS.html 파일은암호화한파일이있는모든폴더에생성되며, 시스템이감염되었다는메시지를사용자에게보여주고파일을정상으로복원하기위해비트코인결제방법이설명되어있다. 그림 2-15 크립토락커동작흐름 그림 2-16 C&C 통신과정 2) 세부내용 a) 네트워크접속네트워크통신상태를확인하기위해 www. download.windowsupdate.com 과 akama itechnologies.com 에접속한다. 이후 [ 그림 2-16] 과같이 C&C 서버인 https://lepodick. ru /topic.php 에두번에걸쳐 POST 패킷을전 b) 볼륨섀도카피삭제악성코드는 vssadmin.exe Delete Shadows/ All/Quiet 명령을실행하여볼륨섀도카피를삭제한다. 이경우윈도운영체제에서제공하는파일백업및복원기능을정상적으로이용할수없다. 이명령은크립토락커류에서공통적으로확인할수있는기능이다. 14

c) 파일암호화랜섬웨어의가장특징적인기능은사용자의중요파일들을암호화하는것이다. [ 표 2-2] 의목록에있는확장자를가진파일과폴더는암호화대상에서제외된다. 암호화대상파일은이동식드라이브와네트워크드라이브에있는파일이며암호화가완료된파일의확장자뒤에는.encrypted 문자열이붙는다. 표 2-2 파일암호화에제외된확장자와폴더 그림 2-17 감염전 ( 좌 )/ 감염후 ( 우 ) 의변경된파일명 [ 제외대상확장자 ].avi,.wav,.mp3,.gif,.ico,.png,.bmp,.txt,.html,.inf,.manifest,.chm,.ini,.tmp,.log,.url,.lnk,.cmd,.bat,.scr,.msi,.sys,.dll,.exe [ 제외대상폴더 ] - %Program Files% - %ProgramW6432% - C: WINDOWS - C: Documents and Settings All Users Application Data - C: Documents and Settings 사용자계정 Application Data - C: Documents and Settings 사용자계정 Local Settings Application Data - C: Documents and Settings 사용자계정 Cookies - C: Documents and Settings 사용자계정 Local Settings History - C: Documents and Settings 사용자계정 Local Settings Temporary Internet Files 3. 복구프로그램최근이슈가된크립토락커의복구프로그램은내부에감염된사용자별로다른복호화키인덱스정보 (0x20바이트) 를포함하고있다. 실행시 [ 그림 2-18] 과같은화면이나타나며 Start Decryption 버튼을클릭하면, 감염조건에부합하는드라이브및폴더에대한스캔과정을수행한다..encrypted 확장자를갖는파일들에대해실제복호화작업이진행되는것을확인할수있다. [ 표 2-2] 의암호화대상제외확장자및폴더를제외하고는파일외형적으로는 [ 그림 2-17] 과같이파일의확장자에.encrypted 가추가된것을확인할수있다. 이렇게암호화된파일내부에는변경된원본데이터와시그니처그리고복호화에필요한 256바이트공개키가포함되어있다. 그림 2-18 복구프로그램내부에저장된키정보 이때.encrypted 로암호화된파일은공통적으로 원래파일크기에 0x108(264 바이트 ) 이증가한것 15

을알수있다. 파일끝에추가된 0x108 크기의데이 터는다음과같은구조를갖는다. 증가한 264바이트 = 해시정보 (4바이트) + 시그니처 (4바이트) + 공개키 (256바이트) [ 그림 2-19] 는실제복구툴내부에저장된키인덱스정보 (0x20바이트) 를통해생성된데이터 (0x108 바이트 ) 를.encrypted 파일에존재하는해시정보와비교해유효한키인지검증하는과정이다. 그림 2-20 악성기능별인젝션대상프로세스 - DDoS 기능기존에알려진랜섬웨어기능외에해당샘플은 DDoS 공격기능의실행파일을구동하는특징이있다. 구체적인 DDoS 공격방식은 니톨 (Nitol) 이라는이름으로알려진악성코드와동일하며, 아래의 C&C 주소와의통신을통해공격자의명령에따라파일을다운로드하고 DDoS 기능을수행한다. - b.googlex.me (Port: 22, 23,...) [ 그림 2-21] 은공격자의명령에의해 DDoS 공격이발생하는부분을나타내며, DDoS 기능관련스레드 (Thread) 가반복적으로생성되는구조를보여주고있다. 그림 2-19 유효한키여부를검증하는과정 이러한랜섬웨어는변종이다양하다. 그중 DDoS 공격기능이포함된변종도발견되고있다. 엑셀아이콘모양으로제작된악성코드 (a.exe) 를실행하면 [ 그림 2-20] 의 2와같이 explorer.exe 프로세스가실행되며, 해당프로세스메모리에랜섬웨어기능의실행파일이인젝션 (Injection) 되어동작하는것을알수있다. 해당랜섬웨어는국내커뮤니티사이트인 C 업체배너광고를통해유포된것과동일한형태이며, tidisow.ru 사이트에접속을시도한다. 그림 2-21 DDoS 관련스레드생성루틴 16

[ 그림 2-22] 는 DDoS 공격시사용되는다양한 HTTP 메시지내용이다. 해당악성코드가생성하는뮤텍스정보는다음과같다. - qazwsxedc ( 고정 ) 최초 C&C 주소와통신할때공격자에게전송되는 정보는아래 API 호출을통해얻는다 ( 최종전송시, XOR 을통해암호화되어전송 ). 그림 2-22 DDoS 공격시사용되는 HTTP 메시지 DDoS 공격방식은랜섬웨어동작방식과유사하게악성행위를하는실행파일이별도의파일형태로생성되는구조가아닌, 정상프로세스실행및인젝션 (Injection) 을통해동작하여파일기반의진단을우회한다. 또한, 인젝션대상이되는프로세스는감염시스템아래의레지스트리정보를통해얻은웹브라우저이며, 테스트시스템에서는 chrome.exe 가기본웹브라우저로설정되어있어 [ 그림 2-20] 의 1과같이 chrome.exe가실행됨을알수있다. - HKCR http shell open command 그림 2-23 인젝션대상웹브라우저정보 - KERNEL32.GetComputerNameA - KERNEL32.GetLocaleInfoW - ADVAPI32.RegOpenKeyExA ( HKLM SOFTWARE Microsoft Windows NT CurrentVersion ) - ADVAPI32.RegQueryValueExA ( ProductName, ProcessorNameString ) - KERNEL32.GlobalMemoryStatusEx - KERNEL32.GetSystemInfo [ 그림 2-24] 와같이안티 -VM 기능으로 C&C 접속 전 30 분간의 Sleep() 을수행하며, GetTickCount API 를이용하여정상적으로 30 분간 Sleep() 을수 행하였는지여부를체크하는코드가존재한다. 그림 2-24 30 분 Sleep() 정상수행여부체크 4. 결론 이번크립토락커는국내유명커뮤니티웹사이트의광고배너를통해유포되면서피해자가많았다. 이에웹관리자는보안에대한주의가필요하며 PC 사용자는랜섬웨어예방을위해발신자가불명확한이메 17

일열람에주의해야한다. 중요한파일들은별도로백업해둘필요가있다. 또한취약점에의한감염피해를줄이려면운영체제와응용프로그램을항상최신버전으로유지하는것이필요하다. 이외에도백신프로그램을통해예방할수있는데 V3에서는해당악성코드를 Win-Trojan/Cryptolocker.229892, Win-Trojan/Cryptolocker.Gen, Trojan/ Win32. Cryptolocker 등으로진단하고있으며현재까지파악된관련악성경유지및유포지를아래와같이확보하였다. 한편, ASEC 리포트이번호의상세분석에서는최근유포되고있는랜섬웨어 Top 6에대해다루고있다. [ 경유지 ] - medbps.filmwedding.ro/bkktab2.html (gtdgq2.html, lrvqdg2.html, nprgj2.html) - guhm.gusg.com.br/pzvjqn2.html - aker.ktc66.com/tpgop2.html - lub.liuboya.com/xzrwqh2.html (wvbrrd2.html, gibusn2.html, jibnnm2.html, lxhufq2.html, ubodwx2. html) - lab.lamo.ro/tpgop2.html [ 유포지 ] - row.bottomwebsites.xyz/elusiveness_sugarcoated_ icepack_worthier/41294017316481015 - gate.moneyslistsarea.xyz/dynasty_sunset_trepidation_guitarists/65630335056125154 - gate.nothaveillinous.xyz/tyrant_absolves_pimply_ casualness/16752510507522986 - gate.nothaveillinous.xyz/shirked_edison_ gatehouses_springier/47090670725834176 [C&C] - lepodick.ru/topic.php - possoqer.ru/topic.php - koposorer.ru/topic.php - wosowpe.ru/topic.php 18

보안이슈 Security Issue 02 음악앱으로위장한원격제어악성코드 음악애플리케이션으로위장한악성앱이원격제어공격에이용되어주의가요구된다. 악성애플리케이션은구글플레이스토어 (Google Play Store) 및서드파티앱스토어 (Third Party App Store) 를통해유포되었다. [ 그림 2-27] 과같이악성음악스트리밍애플리케이션은사용자의의심을피하기위해정상적인음악스트리밍애플리케이션의음악다운로드, 재생기능을갖는다. 그림 2-25 구글플레이스토어 ( 좌 ) / 서드파티앱스토어 ( 우 ) 출처 : <ElevenPaths blog> El mes de la RATa en Google Play 서드파티앱스토어에서앱을설치하면 [ 그림 2-26] 과같이개인정보, 요금이부과되는서비스, 위치, 메시지등에접근할수있는권한을요구한다. 정상음악스트리밍애플리케이션과비교해보면악성앱에서요구하는권한이더많다는것을알수있다. 그림 2-27 정상음악스트리밍앱기능 악성앱의음악정보추출은중국의모음악사이트를이용한다. 그림 2-28 음악정보요청 그림 2-26 정상음악스트리밍앱 ( 좌 ) / 악성음악스트리밍앱 ( 우 ) 악성앱은원격제어공격을위해중국의클라우드, 검색포털사이트바이두의푸시서비스를이용하였다. 이푸시서비스를사용하여공격자는스마트폰에저장된연락처, 문자메시지, 사진등개인정보를공격자의서버에전송할수있다. 19

그림 2-29 공격자의바이두클라우드접근키 그림 2-35 앱설치명령 그림 2-30 스마트폰정보수집명령 사용자가보기에는정상애플리케이션의기능을하지만, 원격제어를통해개인정보가유출될수있다. 또한, 추가적인악성애플리케이션이설치되어피해가발생할수있다. 그림 2-31 위치정보수집명령 이러한악성앱의피해를예방하려면앱설치전에필요이상의과도한권한을요구하고있는지확인하고설치하는습관과, 믿을수있는모바일백신의실시간감시를활성화하여사용하기를권한다. 그림 2-32 문자메시지정보수집명령 V3 제품에서는관련악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Android-Trojan/Fcasino 그림 2-33 사진앨범수집명령 또한, 다운로드명령을내려서추가적인악성앱을다운로드및실행하게할수있다. 그림 2-34 다운로드명령 20

보안이슈 03 스팸메일로유포되는 Upatre 악성코드기승 Security Issue 전세계적으로스팸메일을통한악성코드감염이문제가되고있다. 스팸메일을통한악성코드감염은메일본문내의링크를클릭하도록유도하여악성파일을내려받게하거나문서파일등으로가장한첨부파일을실행하도록유도하여시스템에악성코드를감염시키는형태를띠고있다. 스팸메일내첨부파일 ( 최초파일 ) 실행시자기복제본생성 C&C 접속시도및추가악성코드다운로드 정상 PDF 파일실행으로정상처럼위장 지속적인 C&C 통신및정보탈취 이문서에다룬샘플은최근접수된어파트레의변형으로 invoice 라는메일제목으로유포되었다. 메일의첨부파일에는 [ 그림 2-37] 과같이 PDF 아이콘으로위장한실행파일 invoice1212.exe 가있다. 지난 2014년후반부터는이러한 어파트레 (Upatre ) 류의악성코드가첨부된스팸메일이국내에서도지속해서대량유포되고있어다시한번스팸메일의위험성을강조하고자한다. 그림 2-37 스팸메일첨부파일 (Dropper) 및생성파일 (invoice121. exe 외나머지 ) 메일에첨부된악성파일 invoice1212.exe 를실행하면, [ 표 2-3] 과같이파일을생성하고 C&C 서버로접속을시도하여추가악성코드를다운로드한다. 표 2-3 생성파일목록 그림 2-36 스팸메일유포형태 어파트레류의악성코드는변형에따라조금씩다르지만, 공통적으로다음과같은동작을한다. C: DOCUME~1 ADMINI~1 LOCALS~1 Temp cwutokat.exe ( 복사본 ) C: DOCUME~1 ADMINI~1 LOCALS~1 Temporary Internet Files Content.IE5 BR95JRB5 doc101.pdf ( 인코딩된파일 ) C: DOCUME~1 ADMINI~1 LOCALS~1 Temp temp25.pdf ( 정상 PDF) C: DOCUME~1 ADMINI~1 LOCALS~1 Temp bhihxxs96.exe ( 디코딩파일 ) 21

다운로드시도후에는정상 PDF 파일을실행하여사 용자에게악성코드에감염된사실을숨긴다. 그림 2-38 C&C 서버연결정보 C&C 접속시도이후정확한행위정보는확인되지않았지만, 보통은금융정보를탈취하는 인포스틸러 (Infostealer) 기능을갖는다. 이러한스팸메일은사용자에게클릭을유도하기위해 doc, document, invoice, ticket, photo 등의문구를사용하므로각별한주의가필요하다. 그림 2-39 IP 주소확인 감염후패킷정보를확인하면, [ 그림 2-39] 와같이 IP 주소를확인하는사이트 checkup.dyndns. org 에접속하여감염된시스템의 IP를확인한다. 이후인코딩된 doc101.pdf 파일을 [ 표 2-4] 의주소에서다운로드를시도한다. 표 2-4 다운로드주소 Electro*****.ro/*****/doc101.pdf (21*.**.**.37:80) electro********.com.**/***/doc101.pdf (66.***.**.28:80) 어파트레류의악성코드변형은지속적으로발견되고있다. 악성코드감염을예방하려면메일을열람할때위와같은문구가있는지살펴야한다. 또한, 위의문구에대해필터링을설정해둔다면스팸메일을통한악성코드감염을대부분예방할수있다. 악성파일이첨부된스팸메일로부터피해를최소화하는방법은스팸차단솔루션으로스팸메일을사전에차단하며, 발신인이불분명한메일은열람하지않는것이다. V3 제품에서는관련악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Trojan/Win32.Upatre (2015.04.08.01) Win-Trojan/Agent.516096.EG (2015.04.07.03) BinImage/Encdata (2015.04.07.05) 그림 2-40 정상 PDF 파일실행화면 22

3 악성코드상세분석 ANALYSIS-IN-DEPTH 잔혹한악의화신, 랜섬웨어 Top 6

악성코드상세분석 Analysis-In-Depth 잔혹한악의화신, 랜섬웨어 Top 6 국내도랜섬웨어비상이걸렸다. 이미해외에서는수년전부터등장한공격수법이었으나그동안국내에서는큰영향이없었다. 그러나최근랜섬웨어의일종인크립토락커 (CryptoLocker) 의한글버전이국내웹사이트에서유포되면서랜섬웨어에대한우려가높아지고있다. 이글에서는주요랜섬웨어를분류해각각의특징과행위를소개하고자한다. 분류및우선순위는국내외이슈정도 ( 고객사접수, 보도기사, 포스팅등 ) 와진단건수를기반으로하였으며, 대상기간은 2014년 10월부터 2015년 3월까지이다. 랜섬웨어 Top 6 분류및특징랜섬웨어가운데최근 V3 진단수량에서많은비중을차지하고기사화등으로이슈가되는것에대해 [ 표 3-1] 과같이총 6개로분류할수있다. 좀더넓게구분하자면 나부커 (Nabucur) 와그외의랜섬웨어류로나눌수있다. 그차이의기준은나부커는인코딩한원본파일에감염코드를추가해서정상파일을변경하는방식으로, V3에서는해당파일들을원본파일로복원할수있다. 반면, 나머지종류의랜섬웨어는 RSA나 AES 같은암호화기법을사용하여원본파일로복원하려면복호화키가필요하다. 그리고실제동작을살펴보면비슷한부분이많다는것을알수있다. 표 3-1 주요랜섬웨어분류 1 2 랜섬웨어의종류 Nsb 락커 / 나부커 Ctb 로커 / 크리트로니 3 크립토락커 4 크립토월 / 크립토디펜스 5 토렌트락커 6 테슬라크립트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

각랜섬웨어의특징은 [ 표 3-2] 와같이정리할수있다. 가장큰특징은앞서언급한것처럼나부커에서는암호화기법을사용하지않았으며공격대상파일에.exe 파일이있다는것이다. 그리고공통적으로는모든종류의랜섬웨어에서비트코인을이용해사용자의결제를유도하는것을확인할수있다. 표 3-2 주요랜섬웨어의특징 1 2 3 4 5 6 랜섬웨어종류 Nsb 락커 / 나부커 Ctb 로커 / 크리트로니 크립토락커 크립토월 / 크립토디펜스 토렌트락커 테슬라크립트 프로토콜 TCP HTTPS/ TOR HTTP HTTP/ TOR HTTPS HTTPS/ TOR 암호화방법 Polymor phic AES, ECDH AES, RSA RSA AES AES, ECC 주요대상파일 Doc/EXE/ 이미지 / 미디어파일 Doc/ 이미지파일 Doc/ 이미지파일 Doc/ 이미지파일 Doc/ 이미지파일 게임 /Doc/ 이미지파일 구현방식 Polymor phic 결제방법 비트코인 복호화대가 250 USD OpenSSL 비트코인 0.5 USD MS Crypto API MS Crypto API 비트코인 300 USD 비트코인 500~1000 USD OpenSSL 비트코인 0.8 BTC OpenSSL 비트코인, 페이팔 500~1000 USD 이들랜섬웨어가발생한시기를타임라인으로정리하면 [ 그림 3-1] 과같다. 최근발견된 테슬라크립트 (TeslaCrypt) 는공격대상파일을문서나이미지파일뿐만아니라게임관련파일들도대상에포함시킨것이특징이며, 이메일로유포되는 Ctb락커 (CtbLocker) 류는최근에다시확산되고있다. 그림 3-1 주요랜섬웨어타임라인 랜섬웨어 Top 6 기능분석 Nsb락커 / 나부커 (Nabucur) 나부커악성코드에대해서는 2015년 2월 11일자안랩 ASEC 블로그 (asec.ahnlab.com/1025) 에 원본파일복원이가능한랜섬웨어 (NSB: National Security Bureau) 라는제목으로소개한바있다. 해당악성코드에감염되면시스템에있는이미지파일 (*.bmp, *.gif, *.jpg, *.png), 문서파일 (*.doc, *.ppt, *.xls), 미디어파일 (*.mp3, *.wma) 뿐만아니라실행파일 (*.exe) 과압축파일 (*.rar, *.zip) 도공격대상이된다. 이파일들은원본파일을인코딩된형태로백업하고, 이는실행파일로변경되는데이와같이원본파일들을 AES, RSA 와같은암호화방법으로변경한것이아니므로백신으로도복원할수있다. 그리고변경된실행파일에는백업된원본파일뿐만아니라나부커감염코드도포함되어있어그자체가다시다른파일들을감염시키는나부커랜섬웨어악성코드가된다. 그림 3-2 Nsb 락커 / 나부커동작흐름 25

[ 그림 3-2] 에서볼수있듯이나부커에감염된파일은실행되면실행파일 2개를 %User% 와 %ALLUser% 폴더에생성하는데이파일은스레드형태로기능을수행하면서 C&C 접속과시스템내의특정확장자를가진파일들을감염시킨다. 그리고최종적으로감염된시스템의화면을금전을요구하는화면으로바꾼다. 대상파일 파일상태.bmp,.cer,.crt,.doc,.exe,.gif,.jpg,.mdb,.mp3,.mpg,.p12,.p7b,.pdf,.pem,.pfx,.png,.ppt,.psd,.rar,.wma,.xls,.zip 파일의원래확장자뒤에.exe 추가. 단, 실행파일 (.exe) 인경우에는확장자를추가하지않음예 ) test.jpg.exe, compress.zip.exe 등 표 3-3 Nsb 락커 / 나부커특징 동작 Log 파일생성레지스트리등록네트워크접속 %User%\< 랜덤폴더명1>\< 랜덤파일명1>.exe %ALLUser%\< 랜덤폴더명2>\< 랜덤파일명2>.exe 실제랜섬웨어기능을하는파일 %TEMP%\< 랜덤파일명3>.bat 원본파일디코딩에필요한 4바이트키값, 원본파일생성후삭제 %TEMP%\< 원본파일명 >.exe 디코딩된원본파일 HKCU\Software\Microsoft\Windows\ CurrentVersion\Run\< 랜덤파일명1>.exe %User%\< 랜덤폴더명1>\< 랜덤파일명1>.exe HKLM\Software\Microsoft\Windows\ CurrentVersion\Run\< 랜덤파일명2>.exe %ALLUser%\< 랜덤폴더명2>\< 랜덤파일명2>.exe 자동실행등록 HKCU\Software\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\Hidden 0x2 HKCU\Software\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\ HideFileExt 0x1 폴더및확장자보기속성변경 HKLM\Software\Microsoft\Windows\ CurrentVersion\policies\system\EnableLUA 0x0 윈도사용자계정설정변경 200.87.164.69:9999( 또는 666포트 ) 200.119.204.12:9999( 또는 666포트 ) 190.186.45.170:9999( 또는 666포트 ) 감염화면아래그림은파일을감염시키는과정이다. 먼저감염시키려는파일의아이콘정보를가져와 < 랜덤4문자.ico> 를만든다. 원본파일의아이콘 + 인코딩된원본파일 + 감염코드 를포함하고있는 < 랜덤4문자.exe> 파일을생성한다. 그리고이파일을 원본파일명 +.exe 로복사하고원본파일은삭제한다. 기타 Ctb락커 / 크리트로니 2014년 7월공개된랜섬웨어 Ctb락커 (CtbLocker) 는 크리트로니 (Critroni) 라는이름으로도알려졌으며스팸메일로유포되는다운로더 (downloader) 에의해생성및실행된다. 첨부파일로포함되어있는다운로더는.zip 또는.cab 형태로압축되어유포된다. 압축해제된파일은.scr 26

확장자를가진다. 실행하면 %TEMP% 폴더에정상.rtf 파일을생성및실행하여마치문서파일처럼위장하지만백그라운드에서는사용자몰래악성코드를다운로드한다. 대상파일.pwm,.kwm,.txt,.cer,.crt,.der,.pem,.doc,.cpp,.c,.php,.js,.cs,.pas,.bas,.pl,.py,.docx,.rtf,.docm,.xls,.xlsx,.safe,.groups,.xlk,.xlsb,.xlsm,.mdb,.mdf,.dbf,.sql,.md,.dd,.dds,.jpe,.jpg,.jpeg,.cr2,.raw,.rw2,.rwl,.dwg,.dxf,.dxg,.psd,.3fr,.accdb,.ai,.arw,.bay,.blend,.cdr,.crw,.dcr,.dng,.eps,.erf,.indd,.kdc,.mef,.mrw,.nef,.nrw,.odb,.odm,.odp,.ods,.odt,.orf,.p12,.p7b,.p7c,.pdd,.pdf,.pef,.pfx,.ppt,.pptm,.pptx,.pst,.ptx,.r3d,.raf,.srf,.srw,.wb2,.vsd,.wpd,.wps,.7z,.zip,.rar,.dbx,.gdb,.bsdr,.bsdu,.bdcr,.bdcu,.bpdr,.bpdu,.ims,.bds,.bdd,.bdp,.gsf,.gsd,.iss,.arp,.rik,.gdb,.fdb,.abu,.config,.rgx 암호화된파일들은아래그림과같이확장자뒤에 7자리랜덤문자열이추가된다. 예 ) test.jpg.[7자리랜덤문자열 ], compress.zip.[7자리랜덤문자열 ] 등 그림 3-3 Ctb 락커 / 크리트로니동작흐름 다운로드된파일은랜섬웨어악성코드로오피스문서파일들뿐만아니라이미지와소스파일그리고기타다양한파일을암호화대상으로하고완료후에는 Ctb락커에대한메시지와비트코인을요구하는페이지를화면에보여준다. 파일상태 표 3-4 Ctb 락커 / 크리트로니특징 동작 Log 감염화면 파일생성 레지스트리등록 %temp%\temp_cab_< 랜덤숫자 >.cab %temp%\<downloader>.rtf 사용자를속이기위한정상문서파일 %temp%\< 랜덤문자 >.exe 실제랜섬웨어기능실행없음 96시간안에돈을주지않으면데이터를복구할수없다는메시지를보여주고해당시간이모두지나거나컴퓨터시간을임의로이후시간으로조작하면아래와같이만료 (expire) 되었다는화면이나타난다. 네트워크접속 https://breteau-photographe.com/tmp/pack.tar.gz https://voigt-its.de/fit/pack.tar.gz https://maisondessources.com/assets/pack.tar.gz https://jbmsystem.fr/jb/pack.tar.gz https://pleiade.asso.fr/pivigotest/pack.tar.gz https://scolapedia.org/histoiredesarts/pack.tar.gz 파일다운로드주소 기타 27

크립토락커 2013년 9월처음발견된크립토락커 (CryptoLocker) 는 Ctb락커처럼스팸메일의첨부파일형태또는 P2P 방식의 게임오버제우스 (Gameover Zeus) 봇넷악성코드를통해유포되며문서와이미지파일들을암호화하였다. 이를정상화하려면머니팩 (MoneyPak) 이나비트코인결제를요구한다. 이랜섬웨어는자신을레지스트리에자동실행하도록등록해놓는데등록된이름이 크립토락커 (CryptoLocker) 로되어있는것이특징이다. C&C 서버에접속해서공개키 (Public Key) 를받아온후시스템의파일들을암호화한다. 현재는해당서버들이다운되어있는상태이므로랜섬웨어기능이동작하지는않는다. 표 3-5 크립토락커의특징동작 Log %AppData%\< 랜덤파일명 >.exe [Windows XP] 파일생성 %AppData%\Loca\< 랜덤파일명 >.exe [Windows 7] 자기복제 HKCU\Software\Microsoft\Windows\ CurrentVersion\Run\CryptoLocker %AppData%\< 랜덤파일명 >.exe 레지스트리 HKCU\Software\Microsoft\Windows\ 등록 CurrentVersion\RunOnce\*CryptoLocker %AppData%\< 랜덤파일명 >.exe 자동실행등록 http://iryymjeallxat.net http://cvlagtrfprixtf.com http://ppsryujrxvap.ru 네트워크 http://vtnwqvqdlunbk.biz 접속 http://odnhaentyltc.info http://iubeloxoublp.co.uk http://alegqseessuop.org C&C 서버주소.odt,.ods,.odp,.odm,.odc,.odb,.doc,.docx,.docm,.wps,.xls,.xlsx,.xlsm,.xlsb,.xlk,.ppt,.pptx,.pptm,.mdb,.accdb,.pst,.dwg,.dxf,.dxg,.wpd,.rtf,.wb2,.mdf,.dbf,.psd,.pdd,.eps,.indd,.cdr,.jpg,.dng,.3fr, 대상파일.arw,.srf,.sr2,.bay,.crw,.cr2,.dcr,.kdc,.erf,.mef,.mrw,.nef,.nrw,.orf,.raf,.raw,.rwl,.rw2,.r3d,.ptx,.pef,.srw,.x3f,.der,.cer,.crt,.pem,.pfx,.p12,.p7b,.p7c 파일상태 C&C 서버와통신성공후동작 감염화면 그림 3-4 크립토락커동작흐름 2014년 8월, 글로벌보안전문가들이 Tovar 오퍼레이션을통해이악성코드제작자의 C&C 서버를다운시키고서버에저장된복호화키를다수획득했다. 현재는암호화된파일상당수를이전의상태로복구할수있다. 해당기간까지전세계약 50만대의시스템이크립토락커에감염된것으로보고되었다. 기타 [C&C 서버에특정데이터를암호화하여 POST 전송 ] C&C 접속에성공하면해당서버의 /home/ 경로에실행파일과피해시스템의정보가포함된데이터를 POST 전송한다. 28

크립토월 / 크립토디펜스크립토월은전체적인동작흐름이앞서설명한크립토락커와비슷하다. 둘다하위프로세스를생성한후 PE 이미지를인젝션시켜동작하며, C&C 서버로부터공개키를받아온후랜섬웨어기능을실행한다. 네트워크접속대상파일파일상태 http://likeyoudominicana.com http://maskaradshowdominicana.com http://dominikanabestplace.com http://nofbiatdominicana.com http://dominicanajoker.com C&C 서버주소 *.doc, *.ppt, *.rtf 등의문서와이미지파일 C&C 서버와통신성공후동작 감염화면 기타 C&C 서버로부터키값을가져와크립토월이시스템을감염시킨다면모든폴더에아래 3개의파일을생성하고내부에는파일복구를위한절차가명시되어있다. DECRYPT_INSTRUCTION.HTML DECRYPT_INSTRUCTION.TXT DECRYPT_INSTRUCTION.URL 그림 3-5 크립토월동작흐름표 3-6 크립토월의주요특징동작 Log C:\< 랜덤명 >\< 랜덤명 >.exe %AppData%\< 랜덤명 >.exe 파일생성 % 시작프로그램 %\< 랜덤명 >.exe 자기복제 토렌트락커토렌트락커 (TorrentLocker) 역시앞에설명한크립토락커, 크립토월과비슷한동작을하며코드가진행되는부분도매우비슷하다. 단 HKCU Softwa re Bit Torrent Application configuration 레지스트리에암호화한파일리스트를등록하는특징이있어토렌트락커로명명되었다고한다. 레지스트리등록 HKCU\Software\Microsoft\Windows\ CurrentVersion\Run\ < 랜덤명-1> C:\< 랜덤명 >\< 랜덤명 >.exe HKCU\Software\Microsoft\Windows\ CurrentVersion\RunOnce\*< 랜덤명-1> C:\< 랜덤명 >\< 랜덤명 >.exe HKCU\Software\Microsoft\Windows\ CurrentVersion\Run\ < 랜덤명 > %AppData%\< 랜덤명 >.exe HKCU\Software\Microsoft\Windows\ CurrentVersion\RunOnce\*CryptoLocker %AppData%\< 랜덤명 >.exe 자동실행등록 < 랜덤명-1> 은 7문자랜덤한파일명에서마지막문자를제외한 6자리 랜덤한파일명 그림 3-6 토렌트락커동작흐름 29

표 3-7 토렌트락커의특징 동작 Log 파일생성 %WINDOWS%\< 랜덤명 >.exe 자기복제 레지스트리등록 HKCU\Software\Microsoft\Windows\ CurrentVersion\Run\ < 랜덤명 > %WINDOWS%\< 랜덤명 >.exe 자동실행등록 네트워크접속대상파일파일상태감염화면 http://octoberpics.ru/topic.php http://it-newsblog.ru/topic.php http://tweeterplanet.ru/topic.php http://deadwalk32.ru/topic.php C&C 서버주소 *.doc, *.ppt, *.rtf 등의문서와이미지파일 C&C 서버와통신성공후동작 그림 3-7 테슬라크립트동작흐름 테슬라크립트는크립토락커와는달리네트워크접속은사용자 PC의비트코인접속주소를전달하기위해사용되며, %AppData% 폴더에는암호화한파일리스트를가지고있는 log.html 파일과복호화할때사용하는 key.dat 파일이저장된다. 그리고바탕화면에생성되는 HELP_RESTORE_FILES.txt 파일에는암호화된파일을풀기위해비트코인을지급하는과정이설명되어있다. 기타 C&C 서버에서키를받아와파일들을암호화하는랜섬웨어기능을한다면, %AppData%\<16자리소문자랜덤명 > 폴더에암호화된파일들을저장해놓음 표 3-8 테슬라크립트특징 동작 Log 테슬라크립트테슬라크립트 (TeslaCrypt) 는게임기능과저장데이터를공격하는랜섬웨어류로, 아이프레임 (iframe) 대신태그 (div) 를이용한플래시플레이어취약점을통해일반사용자 PC에설치된다. 구조는앞의크립토락커 (CyptoLocker) 와유사하지만, 문서파일뿐만아니라게임관련파일 ( 프로필, 세이브, 데이터, 지도, 모드등 ) 도암호화한다는것이특징이다. 파일생성 레지스트리등록 %AppData%\Roaming\< 랜덤명 >.exe 자기복제 %AppData%\Roaming\log.html 암호화된파일리스트 %AppData%\Roaming\key.dat 복호화시사용되는파일 % 바탕화면 %\CryptoLocker.lnk 바로가기파일 % 바탕화면 %\HELP_RESTORE_FILES.txt 시스템이감염되었으니비트코인으로결제하여해결하라는안내텍스트 HKCU\Software\Microsoft\Windows\ CurrentVersion\Run\ < 랜덤명 > %AppData%\Roaming\< 랜덤명 >.exe 자동실행등록 30

네트워크접속대상파일파일상태감염화면 https://7tno4hib47vlep5o.tor2web.fi https://7tno4hib47vlep5o.tor2web.blutmagie.de.d3dbsp,.icxs,.menu,.mpqge,.wotreplay,.pptx,.sc2save,.hvpl,.layout,.dayzprofile,.desc,.xlsb,.ibank,.hplg,.blob,.rofl,.jpeg,.xlsm,.pkpass,.hkdb,.dazip,.litemod,.mrwref,.xlsx,.sidn,.mdbackup,.arch00,.asset,.indd,.docm,.sidd,.syncdb,.vpp_pc,.forge,.dbfv,.docx,.mddata,.mcgame,.mcmeta,.rgss3a,.accdb,.itdb,.ztmp,.vfs0,.unity3d,.pptm 파일확장자뒤에.ecc 추가, 그리고모든폴더에 HELP_ RESTORE_FILES.txt 파일이생성됨예 ) test.jpg.ecc, compress.zip.ecc 등 랜섬웨어에감염되면, 화면으로 PC가감염되었음을사용자에게알려주고이를정상화하려면돈을내라는내용에사용자들은혼란을겪는다. 당장 PC를사용할수없을뿐만아니라내부에중요한파일들이있다면다른뚜렷한해결책이없는상황에서는사용자들이결제를선택할수밖에없을것이다. 그렇다고대가를지급한다고해서시스템이원래대로돌아온다고확신할수도없다. 그러므로해당악성코드에 PC가감염되는것을사전에방지하는것이가장좋은방법이다. 그러려면발신자가명확하지않은이메일에포함된의심스러운파일들을실행하지말아야한다. 또한 PC에사용중인백신을항상최신의상태로업데이트하고, OS와애플리케이션공급업체에서제공하는패치를최신버전으로유지하는것이중요하다. 기타 C&C 서버로부터키를받아와파일들을암호화하는랜섬웨어기능을한다면, %AppData%\<16자리소문자랜덤명 > 폴더에암호화된파일들을저장해놓음 31

ASEC REPORT VOL.64 April, 2015 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩 UX디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2015 AhnLab, Inc. All rights reserved.