01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No

Similar documents
< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

*2008년1월호진짜

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

Office 365 사용자 가이드

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

SBR-100S User Manual

1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나 데이터를암호화해사용할수없도록하고이를인질로금전

Windows 10 General Announcement v1.0-KO

F120L(JB)_UG_V1.0_ indd

View Licenses and Services (customer)

ìœ€íŁ´IP( _0219).xlsx

#WI DNS DDoS 공격악성코드분석

ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작

ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

고객 카드

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기

Microsoft Word - src.doc

Security Trend ASEC REPORT VOL.68 August, 2015

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

Windows 8에서 BioStar 1 설치하기

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

SIGIL 완벽입문

01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No Copyright 2018 ESTsecurity Corp. All rights reserved.

ActFax 4.31 Local Privilege Escalation Exploit

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

5th-KOR-SANGFOR NGAF(CC)

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며

ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

Android Master Key Vulnerability

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

Install stm32cubemx and st-link utility

wtu05_ÃÖÁ¾

Security Trend ASEC Report VOL.56 August, 2014

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성

로거 자료실

01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No

유포지탐지동향

메뉴얼41페이지-2

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENT 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 02 전문가보안기고 새로운 KONNI 캠페인등

목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.

사용설명서를 읽기 전에 ios용 아이디스 모바일은 네트워크 연결을 통해 ios 플랫폼 기반의 모바일 기기(iOS 버전 6.0 이상의 ipod Touch, iphone 또는 ipad)에서 장치(DVR, 네트워크 비디오 서버 및 네트워크 카메라)에 접속하여 원격으로 영상을

PowerPoint 프레젠테이션

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

JDK이클립스

C O N T E N T 목 차 요약 / 4 Ⅰ. 서론 Ⅱ. 주요국별대형유통망현황 / Ⅲ. 시사점및진출방안 ( 첨부 ) 국가별주요수입업체

1

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

ASEC REPORT VOL 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 년 2 분기, 알약랜섬웨어공격행위차단건수 :

System Recovery 사용자 매뉴얼

08_spam.hwp

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

내지(교사용) 4-6부


메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

B2B 매뉴얼

ASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

월간악성코드분석보고서 ( ) 국내맞춤형랜섬웨어 갠드크랩 2.1 수산 INT 기술연구소 (CERT) 본문서는국내를대상으로노리는유포되는랜섬웨어갠드크랩 2.1을분석한보고서입니다. 실제침해사고내용을중심으로작성된보고서입니다. 본문서는수산아이앤티

MF5900 Series MF Driver Installation Guide

EQST Insight_201910

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

NX1000_Ver1.1

목차 Part Ⅰ 3 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

Secure Programming Lecture1 : Introduction

PowerPoint 프레젠테이션

Security Trend ASEC REPORT VOL.67 July, 2015

PowerPoint Presentation

사용설명서를 읽기 전에 안드로이드(Android)용 아이디스 모바일은 네트워크 연결을 통해 안드로이드 플랫폼 기반의 모바일 기기에서 장치 (DVR, NVR, 네트워크 비디오 서버, 네트워크 카메라) 에 접속하여 원격으로 영상을 감시할 수 있는 프로그램입니다. 장치의 사

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 유명취업사이트채용공고지원문의로위장된랜섬웨어피해속출 한

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 피고소환장통지서로사칭한 GandCrab 랜섬웨어유포주

2017 년보안위협동향 기억해야할 2017 년보안위협 Top 랜섬웨어패러다임의변화 : 규모, 감염경로, 세대교체정상적인경로를이용한대범함, 공급망공격 돈이되는것을노린다? 돈 자체를노리다! 익스플로잇킷의숨고르기, 취약점공격은다변화모바일위협의고

07_alman.hwp

IRISCard Anywhere 5

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENT 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 02 전문가보안기고 금성 121 정부기반 AP

1

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

01 이스트시큐리티통계및분석 No 이스트시큐리티보안동향보고서 CONTENTS 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 허니팟 / 트래픽분석 02 전문가보안기고 악성메일로유포되는 GandCrab 2.1 랜섬웨어주의

201112_SNUwifi_upgrade.hwp

RHEV 2.2 인증서 만료 확인 및 갱신

var answer = confirm(" 확인이나취소를누르세요."); // 확인창은사용자의의사를묻는데사용합니다. if(answer == true){ document.write(" 확인을눌렀습니다."); else { document.write(" 취소를눌렀습니다.");

Transcription:

01 이스트시큐리티통계및분석 이스트시큐리티 보안동향보고서 No.113 2019.02

01 이스트시큐리티통계및분석 No.113 2019.02 이스트시큐리티보안동향보고서 CONTENT 01 악성코드통계및분석 악성코드동향 01-05 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 02 전문가보안기고 06-12 갠드크랩 (GandCrab) 랜섬웨어제왕의변천사 2018 년랜섬웨어동향및특징 03 악성코드분석보고 13-37 개요 악성코드상세분석 결론 04 글로벌보안동향 38-49

이스트시큐리티보안동향보고서 01 악성코드통계및분석 악성코드동향 알약악성코드탐지통계 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 1

01 악성코드통계및분석 1. 악성코드동향 2019 년 1 월에도여전히많은형태의공격이발견되었습니다. 특히 1 월은연말연시이슈와구직시즌이슈, 남북관계등을활용한사회공학적기법을동반한공격이다수 확인되었습니다. 2019 년북한신년사평가로위장한 APT 공격, 암호화폐관련내용으로위장한 APT 공격, 통일부기자단을상대한한 APT 공격, 남북경협자문용질문으로위장한 APT 공격등다양한소재를활용한 APT 공격이 1 월에확인되었으며, 그외에도유명소셜커머스입사지원서를위장한악성코드, 연말정산간소화서비스기간동안유포된연말정산관련악성메일유포공격들도확인되었습니다. 위에서언급한내용외에다양한 APT 공격에대한상세분석은이스트시큐리티에서서비스하는악성코드위협대응솔루션 Threat Inside 에서인텔리전스분석보고서형태로확인이가능합니다. 물론, 전통적인랜섬웨어특히, GandCrab 랜섬웨어의공격도입사지원서로위장하거나, 명함제작문의메일등으로위장하는형태로꾸준히발견되었습니다. 또한 1 월말경부터는 GandCrab 랜섬웨어를유포하는공격자들이 GandCrab 랜섬웨어에사용자계정혹은금융관련정보를탈취하는인포스틸러 (InfoStealer) 인 Vidar 를조합하여유포하는정황이확인되었습니다. 이들악성코드조합은함께유포되는 bot 이먼저실행되고, 적절한실행및탐지우회를위해몇가지단계를거친후악성코드가인젝션되게하며, 이후상황에따라 GandCrab 이나 InfoStealer 등을상황에맞게유포하는것으로보입니다. 이조합의악성코드는다양한프로그램에서사용하는사용자계정이나금융관련정보탈취뿐만아니라사용자기기에저장된가상화폐지갑정보까지수집을하므로주의가필요합니다. 이번 1 월에는지난 2018 년한해동안발생했던다양한악성코드공격에대한연간동향과흐름에대해몇가지정리를 해봤습니다. 관련내용을이스트시큐리티알약블로그에업로드하였으니, 관심있으신분들은방문하셔서내용을 확인하시는걸권장드립니다. ** 2018 년가장핫했던스미싱 Trojan.Android.SmsSpy https://blog.alyac.co.kr/2098 ** 2018 년랜섬웨어동향및특징 https://blog.alyac.co.kr/2111 ** 알약을통해알아보는 2018 년 4 분기및 2018 년연간랜섬웨어차단통계 https://blog.alyac.co.kr/2074 2

01 악성코드통계및분석 2. 알약악성코드탐지통계 감염악성코드 TOP15 2019 년 1 월의감염악성코드 Top 15 리스트에서는지난 2018 년 12 월에 1,2,3 위를차지했던 Trojan.Agent.gen, Misc.HackTool.AutoKMS, Misc.HackTool.KMSActivator 이이번달 Top 15 리스트에서도역시 1,2,3 위를차지했다. 리스트에 Misc.Riskware.TunMirror 악성코드가새롭게올라왔는데이악성코드는이번달 2,3 위를차지한윈도나상용SW 의정품인증을불법으로도와주는툴에포함된파일로아직도많은사용자들이불법으로 KMS 툴을이용해정품인증을시도하고있는것을알고있다. 전반적으로악성코드진단수치자체는지난 12 월과대비하여크게감소한추세를보였다. 순위 등락 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Trojan.Agent.gen Trojan 1,016,792 2 - Misc.HackTool.AutoKMS Trojan 711,783 3 - Misc.HackTool.KMSActivator Trojan 392,874 4 6 Gen:Variant.Razy.348484 Trojan 295,923 5 - Trojan.HTML.Ramnit.A Trojan 290,173 6 1 Trojan.ShadowBrokers.A Trojan 254,201 7 2 Win32.Neshta.A Virus 237,778 8 - Misc.Keygen Trojan 229,394 9 3 Trojan.LNK.Gen Trojan 229,301 10 New Misc.Riskware.TunMirror Trojan 225,790 11 7 Worm.ACAD.Bursted Worm 187,293 12 2 Adware.SearchSuite Adware 162,006 13 - Worm.ACAD.Bursted.doc.B Worm 157,345 14 3 Exploit.CVE-2010-2568.Gen Exploit 150,757 15 New Worm.ACAD.Kenilfe Worm 133,035 * 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 2018 년 12 월 01 일 ~ 2018 년 12 월 31 일 3

01 악성코드통계및분석 악성코드유형별비율 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 78% 를차지했으며웜 (Worm) 유형이 10% 로그뒤를 이었다. 웜 (Worm) 10% 취약점 (Exploit) 3% 애드웨어 (Adware) 4% 바이러스 (Virus) 5% 트로이목마 (Trojan) 78% 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 취약점 (Exploit) 웜 (Worm) 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 카테고리별악성코드비율전월비교 1 월에는 12 월과비교하여트로이목마 (Trojan) 악성코드감염카테고리비율이동일하고. 웜 (Worm) 취약점 (Exploit), 바이러스 (Virus), 애드웨어 (Adware) 악성코드유형의경우 12 월과 1 월이비율상은거의유사한모습을보였다. 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 호스트파일 (Host) 기타 (Etc) 0% 0% 4% 3% 0% 0% 10% 11% 3% 4% 5% 4% 0% 0% 0% 0% 0% 0% 78% 78% 1 월 12 월 0% 20% 40% 60% 80% 100% 4

2019-01-01 2019-01-02 2019-01-03 2019-01-04 2019-01-05 2019-01-06 2019-01-07 2019-01-08 2019-01-09 2019-01-10 2019-01-11 2019-01-12 2019-01-13 2019-01-14 2019-01-15 2019-01-16 2019-01-17 2019-01-18 2019-01-19 2019-01-20 2019-01-21 2019-01-22 2019-01-23 2019-01-24 2019-01-25 2019-01-26 2019-01-27 2019-01-28 2019-01-29 2019-01-30 2019-01-31 01 악성코드통계및분석 3. 랜섬웨어차단및악성코드유포지 / 경유지 URL 통계 1 월랜섬웨어차단통계 해당통계는통합백신알약공개용버전의 랜섬웨어차단 기능을통해수집한월간통계로써, DB 에의한시그니쳐 탐지횟수는통계에포함되지않는다. 1 월 1 일부터 1 월 31 일까지총 114,723 건의랜섬웨어공격시도가차단되었다. 주말과연휴를제외하면꾸준하게하루 4,000 여건이상의랜섬웨어공격차단이이뤄지고있다. 1 월랜섬웨어차단통계 5,000 4,500 4,000 3,500 3,000 2,500 2,000 1,500 1,000 500 0 악성코드유포지 / 경유지 URL 통계 해당통계는 Threat Inside 에서수집한악성코드유포지 / 경유지 URL 에대한월간통계로, 1 월한달간총 15,370 건의악성코드경유지 / 유포지 URL 이확인되었다. 이수치는 12 월한달간확인되었던 22,465 건의악성코드유포지 / 경유지건수에비해약 32% 가량감소한수치이다. 12000 10000 8000 6000 4000 2000 0 악성 URL 경유지 / 유포지통계 경유지 유포지 경유지 유포지 5

이스트시큐리티보안동향보고서 02 전문가보안기고 1. 갠드크랩 (GandCrab) 랜섬웨어제왕의변천사 2. 2018 년랜섬웨어동향및특징 6

02 전문가보안기고 1. 갠드크랩 (GandCrab) 랜섬웨어제왕의 변천사 Trojan.Ransom.GandCrab ( 이하 GandCrab 랜섬웨어 ) 은서비스형랜섬웨어 (RaaS) 로, 2018 년도를대표하는 랜섬웨어라고도말할수있습니다. 공개키방식으로파일을암호화하는랜섬웨어인 GandCrab 은스팸메일과익스플로잇킷을통해처음등장하였으며, 최근에는변종들까지발견되고있습니다. GandCrab 랜섬웨어는파일암호화기능을수행하며, 암호화된파일뒤에.CRAB 확장자를추가하는특징을가집니다. GandCrab 의구매자는랜섬수익을 6 대 4 로나누는 파트너프로그램 조항에동의해야하며, 대형구매자는수익의 70% 까지요구할수있습니다. GandCrab 은구매자에게지속적인기술지원과업데이트를제공하고있습니다. 독립국가연합 ( 러시아, 몰도바, 벨라루스, 아르메니아, 아제르바이잔, 우즈베키스탄, 카자흐스탄, 키르기스스탄, 타지키스탄, 우크라이나, 투르크메니스탄 ) 을 공격하기위한용도로는구매가불가능하며, 이정책을위반하면계정이삭제됩니다. GandCrab 의역사는다음과같습니다. GandCrab v1 2018.01 러시아해킹커뮤니티에서새로운랜섬웨어, GandCrab 이발견되었습니다. 랜섬웨어를유포한사이버 범죄조직은 RIG 및 GrandSoft EK 를이용해랜섬웨어를유포했습니다. GandCrab v2 2018.03 GandCrab v2 가발견되었습다. 여전히.Crab 확장자를사용하고있었으며일부내용만변경되었습니다. 2018.03 디자이너명의를사칭한 GandCrab 이발견되었습니다. 2018.04 GandCrab v2.1 이발견되었습니다. ' 창작물무단이용에대한이미지파일을확인 ' 이라는내용으로첨부파일 실행을유도했습니다. 2018.05 입사지원서로위장한갠드크랩이발견되었습니다. 2018.05 취약점 (CVE-2017-8570) 으로유포되는갠드크랩발견되었습니다. 7

02 전문가보안기고 2018.05 유명취업사이트의채용공고지원문의로위장한갠드크랩이발견되었습니다. 2018.05 합법적인웹사이트에숨어있는갠드크랩이발견되었습니다. 당시해당웹사이트는최신업데이트를하지않아보안에취약한상태였습니다. 2018.05 매크로기반으로유포되는갠드크랩이발견됩니다. 한국어를구사하는랜섬웨어유포자가매크로기반의갠드크랩을유포했습니다. GandCrab v3 2018.05 GandCrab v3 이 Bondat 웜변종을통해유포되었습니다. Bondat 웜은이동식디스크를통해유포되며감염 PC 를좀비 PC 로만들뿐만아니라브라우저시작페이지변경하고모네로를채굴하는등의악성행위를저질렀습니다. 2018.05 국내대학을대상으로갠드크랩랜섬웨어가유포됩니다. 국내대학을대상으로갠드크랩랜섬웨어를다운로드할수있는악성메일이발송되었습니다. 메일은 'Greetings to you an extract!' 라는제목으로, 본문은 ' 여보세요!' 로시작했습니다. 공격자는부채를알린다며첨부파일실행을유도했습니다. 2018.06 국내에피고소환장통지서로사칭한악성이메일을통해갠드크랩랜섬웨어가유포되었습니다. 이메일은소환장통지내용으로 ' 여기서소환공지다운로드 ' 라고적혀있는 URL 링크클릭을유도했습니다. 2018.06 특정인지칭과상품주문제안내용으로위장한악성메일을통해갠드크랩랜섬웨어가유포되었습니다. 메일은특정인이름및상품제안내용에하이퍼텍스트 ( 참조 ) 로악성 URL 을연결하는방식으로되어있었습니다. 2018.06 ' 이미지저작권침해확인내용 ' 의내용이담긴악성메일로갠드크랩랜섬웨어가유포되었습니다. 이메일에는개인작가의이미지를무단으로침해했다는애용이담겨있으며, 이미지확인을위해첨부파일 (.egg) 실행을유도합니다. 2018.06 문자가깨진악성메일을통해갠드크랩랜섬웨어가유포되었습니다. 이메일은이력서인것처럼보이는첨부파일과메일제목과첨부파일제목의문자가깨져있는점이특징입니다. GandCrab v4 2018.07 암호화한파일에새로운.KRAB 확장자를붙이는 GandCrab v4 가발견되었습니다. 새로운버전은이전버전과달리 Salsa20 암호화알고리즘을적용했으며, '.KRAB' 확장자를붙이고, 랜섬노트이름이 'KRAB- DECRYPT.txt' 로변경되었습니다. 지불은 gandcrabmfe6mnef.onion 라는주소를가진 TOR 사이트를사용했습니다. 2018.07 GandCrab v4.1 이다운로드사이트로보이는해킹된웹사이트들을통해배포되었습니다. 최신버전인 4.1 의코드에는악성코드가감염된기기와관련된데이터를보내는웹사이트목록이포함되어있었습니다. 또 GandCrab 은이새로운버전에서이전버전에서볼수없었던네트워크통신전략을추가했습니다. 2018.07 국내에입사지원서로위장한악성메일로 GandCrab 랜섬웨어가유포되었습니다. 메일에는경력직입사지원 내용이담겨있으며, 이력서로위장한악성파일실행을유도합니다. 8

02 전문가보안기고 2018.08 GandCrab 랜섬웨어의제작자가이랜섬웨어에대한백신을공개한한국보안회사인안랩에보복을시도했습니다. 2018.08 공정거래위원회를사칭한악성메일로 GandCrab 랜섬웨어가유포되었습니다. 발견된공정거래위원회사칭악성메일은 ' 전자상거래에대한위반행위관련조사통지서 ' 내용으로메일본문하단에 ' 붙임. 전산및비전산자료보존요청서 1 부 ' 내용으로첨부파일확인을유도합니다. 2018.09 전자상거래위반행위조사내용이담긴공정거래위원회사칭악성메일을통해국내에 GandCrab 랜섬웨어가유포되었습니다. 최신공정위 CI 로고를사용하였다는점이특징입니다. 2018.09 GandCrab v4.3 은 Tomcat 서버의취약한비밀번호를이용하여침투하였습니다. 침투에성공한후, C2 서버에서랜섬웨어와채굴악성코드를내려받았습니다. GandCrab v5 2018.09 추석연휴동안랜덤확장자와 HTML 랜섬노트를사용하고 ALPC 작업스케쥴러익스플로잇악용하는 GandCrab v5 가발견되었습니다. 기존의 GandCrab v4.x 와비교하였을때달라진점은.KRAB 이아닌 5 자리의랜덤한확장명을사용한다는점과, HTML 형식의한국어랜섬노트를생성한다는점입니다. 2018.10 기존복호화툴로복구불가능한 GandCrab 5.0.5 변종이됩니다. 백신업체인비트디펜더가갠드크랩복호화툴을공개한가운데, 최근갠드크랩의최신변종인갠드크랩 5.0.5 가발견되어사용자들의주의가필요했었습니다. 이때발견된갠드크랩 5.0.5 버전은이전에발견되었던갠드크랩들과동일한특징을갖고있습니다. 파일들을암호화한후확장자를 5~10 자리의랜덤한문자열방식의확장자로변경하며, txt 형식의랜섬노트를사용했습니다. 갠드크랩 5.0.5 버전은이전과동일한특성을갖고있음에도비트디펜더가공개한복호화툴로는아래와같이더이상복호화는불가능했었습니다. 2018.10 GandCrab 랜섬웨어 v5.0.1, v5.0.2 변종이발견되었습니다. GandCrab v5.0.1 에서는고정된 5 자리의랜덤한문자열방식에서 5~10 자리의랜덤한문자열방식의확장명을사용했고, 랜섬노트가.TXT 형식으로변경되었습니다. 2018.10 GandCrab v5.0.4 은실행된후자신이위치한파일경로에동일한사람얼굴이미지파일두개를드롭합니다. 드롭된이미지파일은실제로하는역할은없으며, 해당갠드크랩랜섬웨어변종이공격타겟으로삼고있는인물로추정되었습니다. 2018.11 비너스락커 (VenusLocker) 랜섬웨어조직이활동을본격화해갠드크랩을한국에집중유포하였습니다. 11 월 20 일오전부터이력서사칭에서이미지무단사용관련협박내용을추가했고, 오후에는임금체불관련출석요구서내용으로위장해갠드크랩랜섬웨어를유포했습니다. 2018.11 해커조직이파일공유서버를구축해갠드크랩 V5.0.4 변종유포했습니다. 과거비너스락커랜섬웨어를유포한조직이한국에서개발된 'Berryz WebShare' 파일공유서버를구축해또다른갠드크랩 v5.0.4 변종을유포하고있습니다. 9

02 전문가보안기고 2018.11 MS 오피스워드의매크로기능을악용하는 ' 갠드크랩 (GandCrab) V5.0.4' 이국내사용자를대상으로급속히확산되고있습니다. 해당갠드크랩 5.0.4 버전은 218 년 11 월 15 일오전에한국어기반의환경에서제작되었고, 제작된악성문서의 VBA 매크로코드는분석을방해하기위해대부분난독화되어있는상태입니다. 2018.11 이력서로위장하여 GandCrab 이국내에지속적으로유포되고있습니다. 해당메일에는악성알집파일이첨부되어있었고, 파일을실행하면해당파일이매크로를실행시키는방식으로랜섬웨어를다운로드했습니다. 2018.11 글로벌기업의상표명으로위장하거나국내기관을사칭한이메일을통해유포되어온 GandCrab 랜섬웨어가발견되었습니다. 발견된랜섬웨어는 GandCrab V5.0.3 으로, 파일속성의저작권과등록상표를해외유명백신업체로위장했습니다. 하지만해당버전의갠드크랩은복호화툴이공개되어복구가가능합니다. 2018.12 GandCrab 랜섬웨어 v5.0.9 가등장했습니다. 해당 GandCrab 은기존 GandCrab 랜섬웨어와는다르게사용자화면에 "We will become back very soon! ;)" 이라는팝업창을띄웁니다. 사용자가확인버튼을클릭한다면기존의 GandCrab 랜섬웨어와동일하게파일을암호화시키며, 확장자를 5~10 자리의랜덤한문자열방식의확장자로변경하고, txt 형식의랜섬노트를사용합니다. 2018.12 최근 ' 이미지무단사용안내메일 ' 이라는내용으로 GandCrab 랜섬웨어를유포하는시도가발견되었습니다. 해당 GandCrab 의경우내부 ' 바로가기 ' 파일 (LNK) 를새롭게변경했는데, 이전부터제작한 LNK 파일을 1 년넘게사용해오다가최근해당 LNK 파일에대한탐지율이높아져감염율이낮아지면서 12 월 2 일에 LNK 파일을새로변경한것으로확인되었습니다. 2018.12 GandCrab 이연말정산시즌을겨냥해국세청홈텍스를사칭, 악성메일을통해랜섬웨어를유포했습니다. 첨부파일 2018 년연말정산안내.alz 에는 2 개의 LNK 파일과 1 개의 DOC 파일이담겨있었습니다. 사용자가 LNK 파일을클릭하면, GandCrab 랜섬웨어가실행되어바탕화면이변경되고주요데이터가암호화됩니다. 2019.01 악성광고캠페인을통해 Vidar 인포스틸러와 GandCrab 랜섬웨어가결합된형태로배포되었습니다. 2019.01 컴퓨터백신프로그램을무력화하는 GandCrab 랜섬웨어의변종이발견되었습니다. 해당변종랜섬웨어가실행되면 Sleep() 함수를이용해 15 분간동작을지연시키고, 디코이폴더를우회하도록시도합니다. 2019.01 입사지원서로위장한갠드크랩랜섬웨어 v5.1 이발견되었습니다. 바탕화면변경파일의파일명이 pidor.bmp 에서 bxmeoengtf.bmp 로변경되었습니다. 10

02 전문가보안기고 2. 2018 년랜섬웨어동향및특징 2018 년에는어떠한랜섬웨어들이등장했으며, 랜섬웨어들의특징은무엇이있는지알아보겠습니다. GandCrab 랜섬웨어의등장 GandCrab 랜섬웨어는감히 2018 년을대표하는랜섬웨어라고도부를수있겠습니다. GandCrab 랜섬웨어는 2018 년 2 월, 러시아의해킹커뮤니티에서 RaaS 형태로처음발견된이후꾸준히변종이등장했으며, 1.0 버전부터현재까지 5 번의메이저업데이트와여러번의마이너업데이트를진행하였으며, 2018 년 12 월말까지 5.1.9 버전까지공개됐습니다. GandCrab 랜섬웨어는해외뿐만아니라국내에서도다양한수법으로대량유포되고있어사용자들의각별한주의가필요합니다. WannaCry 랜섬웨어의여전한활동 WannaCry 랜섬웨어는 2017 년 5 월유포된랜섬웨어로, Shadow Brokers 에서공개한 NSA 의 EternalBlue 취약점을통하여단시간내 70 여개국이상에서동시다발적으로발생, 수많은 PC 들을감염시켜큰혼란을야기하였습니다. 이후전세계보안업체에서는빠르게조치툴을만들어공유하였고, 한동안 WannaCry 랜섬웨어의위협이잠잠해진것으로생각하였습니다. 하지만, 2018 년에도여전히 WannaCry 랜섬웨어는패치가되어있지않은시스템을타겟으로활발히활동하였으며, 개인사용자보다는기업들을타겟으로공격을진행하였습니다. 실제로보잉의생산공장, TSMC 공장등이 WannaCry 랜섬웨어에감염되어큰피해를입었으며, 알약의 2018 년랜섬웨어탐지통계에서도 WannaCry 탐지율이 Top5 안에들어갈정도로높았습니다. 요구하는랜섬머니종류의다양화 2017 년대부분의랜섬웨어들은랜섬머니를비트코인으로요구하였습니다. 하지만 2018 년에등장한다양한랜섬웨어및랜섬웨어변종들은, 비트코인이외에도다양한방식으로랜섬머니를 요구하였습니다. 11

02 전문가보안기고 비트코인캐시, 모네로, 제트캐시등암호화폐뿐만아니라중국의위챗페이, Alipay, 체크카드납부등다양한방식으로 랜섬머니를요구하여금전적이득을취하려노력하였습니다. 기업및기관들의시스템을노리는랜섬웨어공격의증가 2018 년, 기업및기관들의시스템을노리는랜섬웨어들의공격이눈에띄게증가하였습니다. 실제로전세계공장들뿐만아니라, 거대해운회사 COSCO, 각국의공항, 병원등수많은기업및기관들이랜섬웨어에감염되었으며큰피해를입었습니다. 이중에서는실제로랜섬머니를지불하고데이터를복구한사례도있습니다. 국내에서도홈페이지제작업체인아이웹도랜섬웨어에감염되기도하였습니다. \ 비너스락커랜섬웨어를유포하던조직, GandCrab 랜섬웨어와함께귀환 2017 년도비너스락커랜섬웨어를유포하던조직이 2018 년에갠드크랩랜섬웨어를들고돌아왔습니다. 기존에도 국내사용자들을대상으로정교하게위장된스피어피싱이메일을통해랜섬웨어들이많이유포하였습니다. 2018 년에는주로이미지무단도용, 입사지원문의, 피고소환장통지서, 택배등의내용으로사용자들의클릭을 유도하였으며, 압축파일에악성.lnk 혹은.js 파일등을첨부하거나, 악성매크로를사용하는등다양한방식을이용하여 사용자 PC 감염을시도합니다. 또한비너스락커조직은채용시즌혹은연말정산시즌등시기별이벤트이슈를잘캐치하여시기별맞춤형공격을 진행하는특징을보이고있습니다. 2019 년에도랜섬웨어의위협은지속될것으로예상되기때문에, 사용자및기업들에서는랜섬웨어에감염되지않도록 각별한주의가필요할것입니다. 12

이스트시큐리티보안동향보고서 03 악성코드분석보고 개요 악성코드상세분석 결론 13

03 악성코드분석보고 [Trojan.Android.SmsAgent] 악성코드분석보고서 1. 개요 Trojan.Android.SmsAgent 는중국에서제작된것으로추정되며스파이기능을수행하는악성앱이다. 주요기능은피해자의사생활을감시하는것이다. 스파이류의악성앱들은설치될경우피해자가이를인지하기어려울정도로은밀하게동작한다. 설치후피해자가스마트폰사용시아무런이상을찾을수없도록동작한다. 과거스마트폰의사양이좋지않았을때는스파이류의악성앱들이설치될경우스마트폰이느려지거나행이걸리는경우가많아체감으로도알수있었다. 그러나스마트폰의사양이갈수록좋아짐에따라체감으로도이상징후를감지하기어렵게되었다. 따라서악성앱이설치될경우피해자가인지하지못하는사이주요사생활정보가공격자에게노출되며심지어기밀정보를탈취당할수도있다. 공격자는이를이용한 2차공격을가하거나탈취한기밀정보를활용할수도있을것이다. Trojan.Android.SmsAgent 의특징을살펴본후코드분석을통해보다자세히살펴보도록하겠다. Trojan.Android.SmsAgent 의특징은첫째로해외에서유포되기시작하여 2017 년부터는국내에서도본격적으로유포 되기시작했으며둘째로스파이기능만을위해제작되었다는점이다. 다음그림은 Trojan.Android.SmsAgent 가사용하는 C2 들의 IP 를수집하여정리한것이다. 시간흐름으로정리하여과 거부터최근까지 C2 의 IP 사용흐름이표현되어있다. [ 그림 1] Trojan.Android.SmsAgent 의 C2 IP history 14

03 악성코드분석보고 그림을살펴보면 2014 ~ 16년사이의 C2는해외에위치하고있음을알수있다. 그러나 2017년부터현재까지의 C2위치는국내에위치하고있음을알수있다. 따라서 Trojan.Android.SmsAgent 가국내를타겟으로유포되고있음을추정할수있다. 그리고 Trojan.Android.SmsAgent 는기능의변화없이 C2의 IP만변경하여유포하기에다수의 IP가발견되지만특정대역을이용하고있다는것을알수있다. 이로미루어상대적으로보안이취약한웹호스팅업체의서버를이용하는것으로추정되며 IP 소유자를통해이를확인할수있다. Trojan.Android.SmsAgent 는 2014 년에발견된초기버전에서스파이활동에필요한기능이대부분구현되어있었다. 그리고 2015년이후의개량된버전에서는일부기능을제거하고분석을어렵게하기위한 obfuscation 이적용되었다. 초기버전부터스마트폰에서구현할수있는스파이기능이모두구현되어있었기에별다른코드의수정없이 C2 서버의 IP만변경하여지속적으로유포되고있다. 최근발견되고있는 Trojan.Android. SmsAgent 도일부코드의변경이있으나대부분의코드가같으며 C2의 IP만변경하여유포하고있다. Trojan.Android.SmsAgent 의스파이기능은공격자의의도에따라작동하도록되어있으며다양한정보탈취를목적으로하고있다. 코드분석을통해이런내용들을살펴보도록하겠다. 15

03 악성코드분석보고 2. 악성코드상세분석 Trojan.Android.SmsAgent 설치시피해자에게노출되는기기의변화는다음그림에서보이듯 ICON 생성이전부이다. [ 그림 2] Trojan.Android.SmsAgent ICON 설치후실행을위해 ICON 클릭시블랭크화면을잠시노출후사라진다. 이후악성앱은은밀하게공격자의명령을 대기하고수행하게된다. 다음그림은초기버전과최근버전의클래스구성차이점을보여주고있다. 16

03 악성코드분석보고 [ 그림 3] 초기 vs 최근클래스구성차이점 그림에서보이듯이난독화적용으로클래스의이름직접적으로비교할수없으나주요패키지가같으며엔트리 클래스와함께시작되는 BootService, PhoneListenerService 등이같음을알수있다. 실제코드내용도대동소이하다. 다음은 C2 의 IP 가기록된파일이다. [ 그림 4] C2 IP 가기록된파일 유포되는변종들은그림에서보이는파일에있는 C2 의 IP 만변경되어유포되며간혹코드의일부나기능의증감이 있다. 다음은탈취정보를저장하는보조서버의도메인이다. [ 그림 5] 보조서버도메인 악성앱은탈취정보를 C2 와보조서버에저장한다. 공격자는혹시모를메인 C2 의다운에대비하여보조서버를 사용하는것으로보이며보조서버의도메인은초기버전부터현재까지바뀌지않고동일하게사용하고있다. 다음그림은보조서버인 g0oo0gle.com 도메인의 IP history 이다. 17

03 악성코드분석보고 [ 그림 6] g0oo0gle 의 IP history 2016 년기록은없으나꾸준히운영되고있음을알수있다. Vslang.f3322.org 는도메인의 IP history 를알수없어 생략하였다. 그러나서버는운영되고있음을확인했다. 다음은악성앱동작시 C2 에접속하는코드이다. [ 그림 7] C2 접속코드 다음은 C2 에피해자정보를등록하는코드이다. [ 그림 8] 피해자정보등록코드 18

03 악성코드분석보고 등록하는피해자정보는다음과같다. - 제조사정보 - 기기메모리정보 - OS 릴리즈버전 - 네트워크상태 - 피해자전화번호 다음은제조사와 OS 릴리즈정보를수집하는코드이다. [ 그림 9] 제조사와릴리즈버전수집코드 다음은네트워크상태정보를수집하는코드이다. [ 그림 10] 네트워크상태정보수집코드 다음은기기메모리정보를수집하는코드이다. [ 그림 11] 기기메모리정보수집코드 다음은피해자전화번호를수집하는코드이다. 19

03 악성코드분석보고 [ 그림 12] 피해자전화번호수집코드 악성앱은피해자정보를등록후공격자의명령을기다리며대기하고있다. 다음은공격자의명령을처리하는코드의일부이다. [ 그림 13] 공격자명령처리코드 다음은그림 12 의코드에서처리되는명령코드리스트이다. 20

03 악성코드분석보고 [ 그림 14] 명령코드및수행내용 위의명령리스트에서주요명령몇가지를살펴보도록하겠다. 다음그림은코드 8 번위치정보를탈취하는코드이다. [ 그림 15] 위치정보탈취코드 그림을살펴보시면악성앱은위치정보를탈취하기위해중국의검색엔진인 baidu 의위치서비스를이용하고있다. 이는초기버전부터변함이없다. 다음그림은코드 10 번외부스피커녹음을수행하는코드이다. [ 그림 16] 외부스피커녹음제어코드 21

03 악성코드분석보고 코드 10 번은공격자의명령에따라녹음시작, 중지등을수행하며 Anserver 라는폴더에저장힌다. 이후코드 3 번명령 실행시 C2 서버로전송하게된다. 다음그림은코드 14 번사진을촬영하는코드이다. [ 그림 17] 사진촬영코드 코드 14 번은공격자의명령에따라피해자의위치에서사진을촬영하게되며녹음파일과마찬가지로 Anserver 폴더에 사진을저장하게된다. 코드 3 번명령실행시 C2 서버로전송된다. 다음그림은 SMS 를실시간으로수집하는코드이다. [ 그림 18] 실시간 SMS 탈취코드 22

03 악성코드분석보고 3. 결론 이번에분석한스파이악성앱은스파이역할에특화되어있다. 그리고이런악성앱들이꾸준히유포되고있다는점은 우려되는부분이다. 위의코드분석에서스파이기능을살펴보셨듯이민감한사생활정보를탈취당할수있기때문이 다. 이런악성앱에대응하기위해사용자의보안의식재고가필요하며알약 M 과같은신뢰할수있는백신의사용이필요 하다. 그리고문자나 SNS 의링크연결시그리고앱설치시에도주의가필요하다. [ 그림 19] 알약 M 실시간탐지 이런악성앱에대응하기위해사용자의보안의식재고가필요하며알약 M 과같은신뢰할수있는백신의사용이필요 하다. 그리고문자나 SNS 의링크연결시그리고앱설치시에도주의가필요하다. 현재알약 M 에서는해당앱을 Trojan.Android.SmsAgent 탐지명으로진단하고있다. 23

03 악성코드분석보고 [Spyware.Android.FakeApp] 악성코드분석보고서 1. 개요 지난해 8 월가짜성인앱으로위장해사용자다운로드를유도했던안드로이드스파이웨어 Triout 이이번에는정상앱에 숨어들었다. 1 천만건이상다운로드된프라이버시툴 PsiPhon 에악성코드가추가되었다. 서비스와리시버형태로 사용자몰래기기정보는물론문자탈취, 녹음등사생활을완전히감시하고그정보를해커의서버로전송한다. 본분석보고서에서는 Spyware.Android.FakeApp 를상세분석하고자한다. 24

03 악성코드분석보고 2. 악성코드상세분석 2.1 악성코드추가 원본앱의구조와비교해보면마지막에 psp 클래스가추가됐다. 특히, 매니페스트를보면리시버와서비스들이 다수추가된것을알수있고, 관련권한과인텐트들은민감한정보를얻기위해사용되는요소들이다. 25

03 악성코드분석보고 [ 그림 1] 정상앱에추가된악성코드 2.2 앱아이콘숨김 지속적인악성행위를위하여자신의아이콘을숨긴다. [ 그림 2] 아이콘숨김 26

03 악성코드분석보고 2.3 기기정보확인 심카드관련정보, 기기모델, 제조사, 보드등기기자체의정보를확인한다. [ 그림 3] 기기정보확인 2.4 기기사용정보확인 현재최상위에서실행되는앱정보확인, 설치된앱정보확인, 저장소에위치한파일들의용량과경로등을확인하여 실시간으로대상을감시한다. [ 그림 4] 현재실행되는최상위액티비티확인 27

03 악성코드분석보고 [ 그림 5] 설치된앱의패키지명확인 [ 그림 6] 저장소에저장된파일정보확인 28

03 악성코드분석보고 2.5 앱감시 바이버, 왓츠앱, 라인 3 개앱의정보가저장된데이터베이스를감시한다. 해당앱들은메신저및통화앱이다. [ 그림 7] 감시되는앱중하나인바이버 2.6 앱통화감시 앱의통화기능과관련된액티비티를확인하여실행되고있으면해당내용을저장한다. [ 그림 8] 앱의통화기능감시 2.7 수신되는문자메시지확인 수신되는문자메시지의내용을확인하고특정문자를감시하거나원격명령으로사용한다. 29

03 악성코드분석보고 [ 그림 9] 수신되는문자메시지확인 2.8 저장된문자메시지확인 기기의저장된문자메시지를확인한다. [ 그림 10] 저장된문자메시지확인 30

03 악성코드분석보고 2.9 통화목록확인 기기의통화목록을확인한다. [ 그림 11] 통화목록확인 2.10 주소록확인 주소록을확인한다. [ 그림 12] 주소록확인 31

03 악성코드분석보고 2.11 전화녹음 기기의전화상태를감시하여수신되는전화번호를확인하고통화내용을녹음한다. 32

03 악성코드분석보고 [ 그림 13] 수신전화번호확인및통화내용녹음 2.12 사용자위치와네트워크확인 사용자의현재위치와네트워크상태를주기적으로확인한다. [ 그림 14] 위치와네트워크확인 33

03 악성코드분석보고 2.13 카메라제어 카메라의소리와촬영을제어하고저장한다. [ 그림 15] 카메라제어 2.14 북마크확인 기기의인터넷브라우저의북마크를확인한다. [ 그림 16] 북마크확인 34

03 악성코드분석보고 2.15 실시간녹음 실시간으로사용자의일상을녹음한다. [ 그림 17] 실시간일상녹음 2.16 실시간스크린샷 실시간으로사용자의기기화면을저장한다. [ 그림 18] 실시간화면스크린샷 2.17 문자전송 사용자몰래특정번호로문자전송이가능하다. [ 그림 19] 문자전송 2.18 확인된정보탈취위에서확인하고수집한정보들은해커의서버로탈취된다. hxxp://188.165.49.205/ 해커가수집한정보와관련된문자열.php 형태로탈취한정보들은각기다른서브디렉토리에저장된다. 35

03 악성코드분석보고 [ 그림 20] 탈취되는수집된정보 36

03 악성코드분석보고 3. 결론 해당악성앱은가짜성인앱으로위장했던이전버전과는다르게정상앱에숨어들어유포되었다. 특히, 기기정보는물론이고통화녹음, 카메라제어등으로사용자의사생활을실시간으로감시할수있다. 따라서, 악성앱에감염되지않기위해서는예방이중요하다. 출처가불명확한 URL 과파일은실행하지않아야한다. 또한, 주변기기의비밀번호를자주변경하고백신애플리케이션을설치하여항상최신업데이트버전으로유지해야한다. 현재알약 M 에서는해당악성앱을 Spyware.Android.FakeApp 탐지명으로진단하고있다. 37

이스트시큐리티보안동향보고서 04 글로벌보안동향 38

04 글로벌보안동향 GandCrab 랜섬웨어와 Ursnif 바이러스, MS 워드매크로를통해배포돼 GandCrab ransomware and Ursnif virus spreading via MS Word macros 보안연구원들이악성코드캠페인두개를발견했다. 이들중하나는 Ursnif 데이터스틸링트로이목마와 GandCrab 랜섬웨어를배포하고, 두번째는 Ursnif 악성코드만을배포하는것으로나타났다. 이두악성코드캠페인들은서로다른사이버범죄자들의작업으로보이지만, 둘사이에는많은유사점이발견되었다. 이두공격들모두악성매크로가포함된마이크로소프트워드문서가첨부된피싱이메일로시작되며, 파일이없는 악성코드를전달하기위해 Powershell 을사용한다. Ursnif 는해킹된컴퓨터로부터민감정보를훔치는데이터탈취악성코드이다. 또한뱅킹크리덴셜, 브라우징활동, 키 입력및시스템 / 프로세스정보수집, 추가백도어설치등의기능이있다. 작년초에발견된 GandCrab 은널리확산된랜섬웨어위협이다. 다른랜섬웨어들과같이, 감염된시스템의파일을 암호화하고피해자에게랜섬머니를요구한다. 개발자들은랜섬머니를더욱추적이힘든 DASH 로지불하기를 요구한다. MS Doc 문서 + VBS 매크로 = Urnif 및 GandCrab 감염첫번째악성코드캠페인은악성코드 2 가지를한번에배포한다. 이위협을발견한 Carbon Black 의보안연구원들은실제공격에서악성 VBS 매크로가포함된 MS 워드문서의변종약 180 개를발견했다. 성공적으로악용될경우, 악성 VBS 매크로는 PowerShell 스크립트를실행한다. 이스크립트는일련의기술을사용해 Ursnif 와 Gandcrab 을타겟시스템에다운로드및실행한다. 39

04 글로벌보안동향 [ 출처 ] https://www.carbonblack.com/2019/01/24/carbon-black-tau-threatsight-analysis-gandcrab-and-ursnif-campaign/ 이 PowerShell 스크립트는 base64 로암호화되었으며, 손상된시스템에메인악성코드페이로드다운로드를담당하는다음단계의감염을실행한다. 첫번째페이로드는타겟시스템의구조를평가한후 Pastebin 웹사이트로부터추가페이로드를다운로드하는한줄짜리 PowerShell 이었다. 이추가페이로드는메모리에서실행되어일반적인안티바이러스기술로는활동을탐지하기어렵도록한다. 이 Powershell 스크립트는 Empire Invoke-PSInject 모듈의거의수정되지않은버전이다. 이스크립트는 base64 로인코딩된내장된 PE 파일을현재 PowerShell 프로세스에주입할것이다. 그후최종페이로드는피해자의시스템에 GandCrab 랜섬웨어의변종을설치하고, 랜섬머니를지불할때까지시스템을잠가버린다. 그동안, 이악성코드는원격서버에서 Ursnif 실행파일을다운로드후실행한다. 실행되면시스템의핑거프린트를 수집하고, 데이터수집을위해웹브라우저트래픽을모니터링하고, 수집된데이터를공격자의 C&C 서버로전송한다. 40

04 글로벌보안동향 MS Doc 문서 + VBS 매크로 = Ursnif 데이터탈취악성코드 Cisco Talos 의보안연구원이발견한두번째악성캠페인또한악성 VBA 매크로가포함된마이크로소프트의워드 문서를이용해또다른 Ursnif 악성코드의변종을전달한다. 이악성코드공격또한타겟시스템을다단계로공격한다. 파일이없는상태에서의지속성을얻기위하여악성 PowerShell 명령어를실행하기위한피싱이메일로시작하여 Ursnif 데이터탈취악성코드를다운로드및설치하게 된다. PowerShell 명령은세부분으로나뉩니다. 첫번째부분은추후 base64 로인코딩된 PowerShell 을디코드하는함수를생성한다. 두번째부분은악성 DLL 을포함하는바이트배열을만든다. 세번째부분은 Base64 로인코딩된문자열을함수의파라미터로사용하여첫번째부분에서생성된 base64 디코드함수를실행한다. 이후반환된디코딩된 PowerShell 은 Invoke-Expression (iex) 함수를통해실행된다. 일단피해자의컴퓨터에서실행되면, 이악성코드는시스템에서정보를수집하여 CAB 파일형식으로묶어 HTTPS 보안연결을통해 C&C 서버로보낸다. Talos 연구원들은해킹된기기들에드랍된페이로드파일이름들을포함한 IoC 목록을게시했다. [ 출처 ] https://thehackernews.com/2019/01/microsoft-gandcrab-ursnif.html https://www.carbonblack.com/2019/01/24/carbon-black-tau-threatsight-analysis-gandcrab-and-ursnif-campaign/ https://blog.talosintelligence.com/2019/01/amp-tracks-ursnif.html 41

04 글로벌보안동향 Altran 공격에사용된것으로추정되는 LockerGoga 랜섬웨어발견 New LockerGoga Ransomware Allegedly Used in Altran Attack 해커들이 Altran Technologies 의시스템을회사네트워크를통해확산되는악성코드로감염시켜일부유럽국가의운영에영향을미치고있다. 고객의데이터와그들의자산을보호하기위해, Altran 은네트워크와응용프로그램을중단시키기로결정했다. 이공격은 1 월 24 일발생했지만, 이프랑스의기술컨설팅회사는어제가되어서야공개성명을발표했다. 또한세부정보공개를최소한으로하며, 써드파티기술전문가와디지털포렌식전문가들이조사중이라밝혔다. Altran, 새로운랜섬웨어인 LockerGoga 에공격받은것으로추정 Altran 은공격을받은악성코드의유형에대해서는언급하지않았지만, 보안연구원들은공개된단서들로미루어보아랜섬웨어공격일것이라는결론을내렸다. Altran 이받은사이버공격이온라인상에처음으로밝혀진곳은 1 월 25 일발행된한트윗에서였다. 한보안연구원은이트윗에해당공격의배후에있던악성코드샘플이바이러스토털에업로드되어있다고답변했다. 이샘플은 1 월 24 일루마니아에서바이러스토털에처음으로업로드되었으며, 이후네덜란드에서도업로드되었다. 구글의스캐닝서비스에업로드된파일이 Altran 을공격한것과동일하다면, 이는 LockerGoga 라는랜섬웨어일것이다. 이랜섬웨어를테스트한결과, 파일을암호화할때마다또다른프로세스를생성하는방식을사용하기때문에매우느린것을발견했다. 연구원들은이코드가탐지를피하는데어떠한노력도하지않았다고밝혔다. 연구원에따르면, 이랜섬웨어는보통 DOC, DOT, WBK, DOCX, DOTX, DOCB, XLM, XLSX, XLTX, XLSB, XLW, PPT, POT, PPS, PPTX, POTX, PPSX, SLDX, PDF 파일을노립니다. 하지만이랜섬웨어가 w 명령줄인수로시작되면, 모든파일타입을타겟으로한다. 지원되는또다른스위치는 - k, -m 이며 base 64 인코딩, 랜섬노트에표시될이메일주소제공을담당한다. 이랜섬웨어는파일을암호화한후.locked 확장자를붙이다. 즉 test.jpg 파일이암호화될경우 test.jpg.locked 로이름이변경될것이다. 42

04 글로벌보안동향 데이터암호화가완료되면, 이는데스크탑에랜섬노트인 README-NOW.txt 를드랍한다. 여기에는돈지불방법을 알아내기위해서 CottleAkela@protonmail.com 또는 QyavauZehyco1994@o2.pl 이메일주소에연락하라는내용이 포함되어있다. LockerGoga, 유효한인증서사용해 McAfee 의연구원인 Thomas Roccia 에따르면, 이 LockerGoga 변종은유효한인증서로서명되어있어피해자의 호스트가대부분의경우의심없이설치할가능성을높인다. 43

04 글로벌보안동향 하지만, 윈도우의경고창을자세히살펴보면무언가이상한점을발견할수있다. 이는윈도우서비스용호스트 프로세스이지만, 인증서는 MIKL Limited 의것이기때문이다. 이인증서는 Comodo CA 에서발행되었으며, 현재는취소된상태이다. LockerGoga 랜섬웨어의알려진파일샘플들은 worker 와 worker32 이다. 이악성코드는 'svch0st', 'svchub' 과 같이마이크로소프트가윈도우서비스에사용하는것과유사한프로세스이름을사용한다. Yara 를사용하여이패밀리의감염을탐지하고자하는이들을위해, 보안연구원인 V 는 LockerGoga 랜섬웨어로부터 시스템을보호할수있는첫번째룰을발표했다. [ 출처 ] https://www.bleepingcomputer.com/news/security/new-lockergoga-ransomware-allegedly-used-in-altran-attack/ https://pastebin.com/2wzwv4eu 44

04 글로벌보안동향 FaceTime 전화를받지않아도발신자가수신자의기기를통해듣고, 볼수있는버그발견 New FaceTime Bug Lets Callers Hear and See You Without You Picking Up 애플기기를사용중이라면, FaceTime 앱을즉시며칠간꺼두기를권장한다. 애플의영상 / 음성통화앱인 FaceTime 에서아직까지패치되지않은프라이버시버그가발견되었다. 이를악용하면, 사용자가 FaceTime 전화를받기전이라도발신자가사용자의기기를통해듣거나볼수있게된다. 이버그는트위터를포함한기타소셜미디어플랫폼에서빠르게확산되고있다. 사용자들이모르는사이모든아이폰기기가도청장치로둔갑될수있기때문에, 많은사용자들이이문제에대한불만을제기하고있다. 연구원들이최신버전인 ios 12.1.2 를사용하는 iphone X 에서이버그를테스트결과, 즉시버그가동작한다는것을알수있었다. 또한 macos Mojave 를사용하는맥북의 FaceTime 전화에서도동일한버그를확인했다. FaceTime 버그를통해스파잉하는법이문제는새롭게추가된그룹 FaceTime 기능에존재하며, 기술적인취약점이라기보다설계상또는논리적결함이라고볼수있다. Spying Through Group FaceTime( 영상 ): https://www.youtube.com/watch?v=z2-rv7qvmro 버그를재현하는법은아래와같다. 아무아이폰연락처에 FaceTime 영상전화걸기 신호가가고있을때아이폰스크린아랫쪽을스와이프해 사람추가 누르기 이로써그룹 FaceTime 전화가시작되는데, 수신자가통화를수락하지않더라도수신자의오디오를들을수있게된다. 또한, 첫번째수신자가볼륨다운버튼또는파워버튼을눌러전화를무음처리하거나거절하려시도할경우, 수신자의아이폰카메라가켜진다는제보도있었다. 이경우, 수신자의기기는여전히전화를수신중인것으로표시되지만상대방은수신자의아이폰카메라에찍히는영상을볼수있게된다. 아이폰과 Mac 에서 FaceTime 기능을끄는법애플은 이문제를이미인지하고있으며, 이번주말쯤공개할소프트웨어업데이트에수정사항을포함하겠다 라고밝혔다. 또한애플은이버그를수정하기위한픽스를공개하기전까지 임시로 FaceTime 의그룹전화기능을비활성화했다. 45

04 글로벌보안동향 애플이수정본을공개하기전까지사용자들은아이폰, 아이패드, 맥북에서 FaceTime 영상통화기능을비활성화해둘수있다. 방법은아래와같다. 아이폰 / 아이패드 : 설정 > FaceTime 에서토글버튼을끈다. 맥 : FaceTime 앱을켜고, 왼쪽위의메뉴바에서 FaceTime 을클릭후 FaceTime 끄기 를누른다. [ 출처 ] https://thehackernews.com/2019/01/apple-facetime-privacy-hack.html 46

04 글로벌보안동향 LinkedIn, 중국사용자들에게모두휴대폰정보요구해 사회관계망서비스인 LinkedIn 의중국홈페이지가필수적으로새로운사용자및현재이용중인사용자들에게휴대폰인증을통한신분확인을요구하고있다. 중국정부는모든사회관계망서비스에실명인증제도를도입하라고하였으며, 실명인증제는일반적으로휴대폰인증을통해이루어진다. LinkedIn 중국은이미휴대폰인증기능을도입했었다. 하지만사용자들에게강제성을띄지는않았었다. LinkedIn 의중국대변인은, 중국의법률을준수하고사용자계정의신뢰성과진실성을위해서본인인증절차를시행하며, 이는중국사용자에제한한다라고밝혔다. [ 출처 ] https://www.solidot.org/story?sid=59250 47

04 글로벌보안동향 바이두검색에서더이상 url 노출하지않아 1 월 24 일저녁부터바이두검색결과에는 url 이표시되지않았다. 대신 url 주소는매체명으로대체되었다. 바이두에인공지능을검색해본결과, url 대신작성자의이름으로대체되었다. 이로서바이두의컨텐츠플랫폼 百家号 의글인지아니면외부홈페이지의글인지구분이되지않게되었다. 얼마전 < 바이두검색엔진은이미죽었다 > 라는글을쓴저자는, 해당홈페이지가진짜인지가짜인지, 해당컨텐츠의질을판단할수있는가장믿을만한근거는 url 이다. 홈페이지의이름, 버전, 내용모두속일수있지만 url 은속일수없기때문이다라고말하였다. 1 월 22 일저녁, < 바이두검색엔진은이미죽었다 > 의저자는바이두검색엔진의검색결과중절반이상이바이두자사제품이검색되며, 그중특히나바이두컨텐츠플랫폼인바이자하오 ( 百家号 ) 의검색결과가노출되었다. 百家号의검색결과중대부분은상업적이며, 퀄리티가떨어지는내용으로이는결국바이두검색결과전체의가치를떨어뜨리게되었다고언급하였다. 또한어떤사용자는바이두는영리를추구하는기업이기때문에검색결과를어떻게배치하든그것은바이두의자유이다라고말한다. 하지만바이두는검색엔진으로, 사람들은바이두에검색할때바이두엔진을통해유용한정보를찾고자하는기대가있다. 만약이점을만족시키지못한다면더이상검색엔진이라고말할수없을것이다. 다음은바이두의검색결과노출방식변경에따른 < 바이두검색엔진은이미죽었다 > 저자의의견이다. 48

04 글로벌보안동향 [ 출처 ] https://tech.sina.com.cn/i/2019-01-25/doc-ihqfskcp0298862.shtml 49

( 주 ) 이스트시큐리티 ( 우 ) 06711 서울시서초구반포대로 3 이스트빌딩 02.583.4616 www.estsecurity.com 0

2024 © docsplayer.org 개인정보보호 | 약관 | 지원