2017 년 1 분기 정보보안소식. 2017.05.28 (v1.0) - 공개판차민석 ( 車珉錫, CHA Minseok, Jacky Cha, mstoned7)
알림 본발표자료는개인적관심사항위주로정리했으며 소속회사의공식입장과다를수있습니다. 덕질자료가포함되어있을수있습니다. 2
시작하기전에 보안이완벽한시스템은이세상에없어 - Matthew Broderick 주연위험한게임 (War Games) * Source : War Games (1983) 3
Contents 01 02 03 04 05 06 07 2017년동향 2017년국내보안소식 2017년 1 분기국내사건사고 2017년국외보안소식 2017년 1 분기국외사건사고 2017년 1 분기취약점과악성코드.
01 2017 년동향
RoT (Ransomware of Things) RoT (Ransomware of Things)?! - * Source : http://www.geekculture.com/joyoftech/joyarchives/2340.html 6
ShadowBrokers 해킹툴공개 ShadowBrokers 해킹툴공개 - 2017 년 5 월 Wannacryptor 에서이용 * Source : https://onlyzero.net/theshadowbrokers.bit/post/messagefinale/ 7
02 2017 년국내보안소식
2017 년국내정보보안소식 1월 2일 : 이스트시큐리티설립 http://www.estsecurity.com/ 1월 2일 : 한글메일로작성된 VenusLocker Ransomware 배포 http://www.etnews.com/20170102000507 1월 2일 : 북한신년사가장한악성코드확인 https://www.dailynk.com/korean/read.php?num=110033&cataid=nk00100 1월 3일 : 한글메시지포함한매크로 Downloader 발견 http://blog.alyac.co.kr/917 1월 5일 : 원격조종프로그램을통해빼낸신용카드정보로 2년만에 12억원을챙긴일당검거 http://news.donga.com/3/all/20170105/82186046/1 1월 16일 : 특검에대한공격포착 https://www.hankookilbo.com/v/b6b123f7d9014321821cc3f06119fa06 1월 19일 : 핸디소프트인증서도용악성코드발견 http://www.etnews.com/20170119000346 9
2017 년국내정보보안소식 1월 23일 : 한국항공우주학회홈페이지를통한워터링홀공격조사중 http://news.jtbc.joins.com/article/article.aspx?news_id=nb11407111 1월 25일 : 경찰, 학술연구단체사칭한사이버공격은북한소행발표 http://www.hani.co.kr/arti/society/society_general/780166.html 1월 26일 : 북한해커탈북시도했으나실패보도 http://www.mediatoday.co.kr/?mod=news&act=articleview&idxno=134791 1월 26일 : Saint Security, MAX 베타테스트시작 2월 1일 : USB킬러이용해경쟁PC방컴퓨터고장일으킨 30대검거 http://news1.kr/articles/?2899904 2월 20일 : 아시아나항공홈페이지해킹 http://www.hani.co.kr/arti/economy/economy_general/783307.html 2월 23일 : KT, 사이버보안센터개관 http://news.inews24.com/php/news_view.php?g_serial=1008138&g_menu=020300 10
2017 년국내정보보안소식 3월 1일 : 롯데중국사이트공격으로다운 http://www.yonhapnews.co.kr/bulletin/2017/03/01/0200000000akr20170301073000030.html?input=1 195m 3월 8일 : 금융사망분리취약점이용한악성코드발견 http://www.etnews.com/20170308000292 3월 14일 : Sophos 국내진출 http://byline.network/2017/03/1-626/ 3월 19일 : 국내 ATM 제조회사에대한표적공격발생 http://www.etnews.com/20170317000244 3월 24일 : 여기어때해킹으로고객정보유출 http://byline.network/2017/03/1-652/ 11
03 2017 년 1 분기국내사건사고
신년사관련악성코드 북한신년사담은한글파일에악성코드포함 - * Source : https://www.dailynk.com/korean/read.php?num=110033&cataid=nk00100 13
특검에해킹시도 특검에해킹시도 - * Source : https://www.hankookilbo.com/v/b6b123f7d9014321821cc3f06119fa06 14
핸디소프트인증서도용 핸디소프트인증서도용 - 2016 년 1 월 9 일핸디소프트인증서로서명된악성코드발견 - 국내백신프로그램기능변조 * Source : http://www.etnews.com/20170119000346 15
핸디소프트인증서도용 핸디소프트사과문 - 16
VenusLocker 한글이메일로배포 - * Source : http://www.newsis.com/view/?id=nisx20170214_0014703763&cid=10201 & http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201702142234025&code=940202 17
사드로인한중국발공격추정 롯데면세점홈페이지마비 - 사드영향으로추정 * Source : http://biz.chosun.com/site/data/html_dir/2017/03/02/2017030202516.html?main_hot1 & http://news.mk.co.kr/newsread.php?sc=30000001&year=2017&no=145147 18
사드로인한중국발공격추정 서울시산하단체홈페이지해킹 - * Source : http://news.sbs.co.kr/news/endpage.do?news_id=n1004074542 19
사드로인한중국발공격추정 국내홈페이지해킹 - 20
금융사표적공격 금융사표적공격 - 논리적망분리솔루션취약점이용 * Source : http://www.etnews.com/20170308000292 21
ATM 제조회사에대한공격 국내 ATM 제조회사에대한표적공격발생 - * Source : http://www.etnews.com/20170317000244 22
여기어때해킹 여기어때해킹 - 고객정보유출 * Source : https://www.goodchoice.kr/ 23
04 2017 년국외보안소식
2017 년국외정보보안소식 1월 1일 : Anonymous, FBI 해킹주장 http://pastebin.com/5vwz6wj4 1월 1일 : 미국전력망악성코드감염과장보도로확인 http://nypost.com/2017/01/01/washington-post-retracts-story-about-russian-hack-at-vermont-utility/ 1월 3일 : Symantec, secure router Norton Core 발표 https://us.norton.com/core 1월 5일 : Mongodb 해킹후금품요구발생 http://thehackernews.com/2017/01/mongodb-database-security.html 1월 5일 : Linux Killdisk Ransomware http://www.welivesecurity.com/2017/01/05/killdisk-now-targeting-linux-demands-250k-ransom-cantdecrypt/ 1월 9일 : Shamoon 2 변형등장 http://researchcenter.paloaltonetworks.com/2017/01/unit42-second-wave-shamoon-2-attacksidentified/ 25
2017 년국외정보보안소식 1월 10일 : ShadowBrokers, NSA 해킹툴공개 https://onlyzero.net/theshadowbrokers.bit/post/messagefinale/ 1월 12일 : Ukraine 정전사이버공격으로결론 http://www.bbc.com/news/technology-38573074 1월 18일 : 오래된코드를사용한 Mac 악성코드발견 https://blog.malwarebytes.com/threat-analysis/2017/01/new-mac-backdoor-using-antiquated-code/ 1월 17일 : Spain 에서 NeverQuest 악성코드관계자검거 http://www.guardiacivil.es/en/prensa/noticias/6075.html 1월 19일 : St. Louis 도서관 Ransomware 감염으로피해 http://money.cnn.com/2017/01/19/technology/st-louis-public-library-hack/index.html 1월 21일 : BBC, Nyt twitter 계정해킹 https://www.hackread.com/bbc-nyt-twitter-accounts-hacked/ 26
2017 년국외정보보안소식 1 월 23 일 : 중국정부 vpn 불법화 http://www.scmp.com/news/china/policies-politics/article/2064587/chinas-move-clean-vpns-andstrengthen-great-firewall 1월 24일 : Checkpoint, Google Play에서악성앱 Charger 발견 http://blog.checkpoint.com/2017/01/24/charger-malware/ 1월 25일 : Russia 정부, Ruslan Stoyano 반역죄로검거 http://www.kommersant.ru/doc/3200840 1월 28일 : Hotel 에서 Ransomware 감염으로키시스템에장애발생 http://www.thelocal.at/20170128/hotel-ransomed-by-hackers-as-guests-locked-in-rooms 1월 30일 : NetGear Routers 취약점 https://www.trustwave.com/resources/spiderlabs-blog/cve-2017-5521--bypassing-authentication-on- NETGEAR-Routers/ 1월 31일 : Czech, 외무장관메일해킹 http://abcnews.go.com/technology/wirestory/czech-foreign-minister-emails-hacked-foreign-state- 45163676-27
2017 년국외정보보안소식 2월 1일 : Licking County, Ransomware 감염으로장애발표 http://www.10tv.com/article/officials-ransom-demanded-licking-county-technology-hack 2월 3일 : InterContinental Hotels Group, 12개호텔에서 Card 정보유출발표 http://www.prnewswire.com/news-releases/ihg-notifies-guests-of-payment-card-incident-at-12- properties-in-the-americas-300401996.html 2월 3일 : Several Polish banks hacked https://badcyber.com/several-polish-banks-hacked-information-stolen-by-unknown-attackers/ 2월 4일 : Washington DC CCTV 해킹용의자검거 http://www.dailymail.co.uk/news/article-4191080/british-man-woman-arrested-cctv-washington-dchacked.html 2월 6일 : MacOS Macro 악성코드발견 https://objective-see.com/blog/blog_0x17.html 2월 6일 : ikittens: Iranian Actor Resurfaces with Malware for Mac https://iranthreats.github.io/resources/macdownloader-macos-malware/ 28
2017 년국외정보보안소식 2월 6일 : Mirai 전파시키는 Windows 악성코드발견 https://news.drweb.com/show/?i=11140&c=5&lng=en&p=0 2월 8일 : Fileless attacks against enterprise networks https://securelist.com/blog/research/77403/fileless-attacks-against-enterprise-networks/ 2월 8 일 : Boeing 직원개인정보유출 https://agportal-s3bucket.s3.amazonaws.com/breach%20the%20boeing%20company%202017-02- 08.pdf 2월 14일 : Xagent Mac Malware Linked with the APT28 https://labs.bitdefender.com/2017/02/new-xagent-mac-malware-linked-with-the-apt28/ 2월 22일 : macos, Ransomware 발견 http://www.welivesecurity.com/2017/02/22/new-crypto-ransomware-hits-macos/ 2월 28일 : AtomicBombing 기법이적용된 Dridex 변형발견 https://securityintelligence.com/dridexs-cold-war-enter-atombombing 29
2017 년국외정보보안소식 3월 4일 : 미국, 북한에대한 Left of Launch 작전수행? https://www.nytimes.com/2017/03/04/world/asia/left-of-launch-missile-defense.html 3월 6일 : Kaspersky, Diskwiper 악성코드정보공개 https://securelist.com/blog/research/77725/from-shamoon-to-stonedrill/ 3월 7일 : WikiLeaks, CIA 기밀자료공개 https://wikileaks.org/ciav7p1/ 3월 8일 : New Apache Struts2 0 day 공격발생 http://blog.talosintelligence.com/2017/03/apache-0-day-exploited.html 3월 10일 : CGI Vulnerability 으로감염되는 Linux 악성코드 http://blog.trendmicro.com/trendlabs-security-intelligence/new-linux-malware-exploits-cgi-vulnerability/ 3월 14일 : Citadel 제작자러시아인 Mark Vartanyan(Kolypto) 유죄선고 https://www.justice.gov/usao-ndga/pr/russian-hacker-kolypto-extradited-norway 3월 10일 : Mobile 제품에 preinstalled malware 발견 http://blog.checkpoint.com/2017/03/10/preinstalled-malware-targeting-mobile-users/ 30
2017 년국외정보보안소식 3월 16일 : 미국, Yahoo 해킹에러시아관련발표 https://www.welivesecurity.com/2017/03/16/us-charges-russian-fsb-officials-connection-massive-yahoosecurity-breach 3월 21일 : Avtech devices multiple vulnerabilities https://www.search-lab.hu/advisories/126-avtech-devices-multiple-vulnerabilities 3월 22일 : Antivirus 제품권한을가져오는 DoubleAgent https://cybellum.com/doubleagent-taking-full-control-antivirus/ 3월 27일 : Apple ios Script 취약점해결 https://blog.lookout.com/blog/2017/03/27/mobile-safari-scareware/ 31
05 2017 년 1 분기국외사건사고
ShadowBrokers 해킹툴공개 ShadowBrokers 해킹툴공개 - * Source : https://onlyzero.net/theshadowbrokers.bit/post/messagefinale/ 33
Polish banks hacked 폴란드은행해킹 - 20 개은행해킹 * Source : https://zaufanatrzeciastrona.pl/post/wlamania-do-kilku-bankow-skutkiem-powaznego-ataku-na-polski-sektor-finansowy/ & https://badcyber.com/several-polish-banks-hacked-information-stolen-by-unknown-attackers/ 34
Polish banks hacked 관련그룹추정 - * Source : http://baesystemsai.blogspot.kr/2017/02/lazarus-watering-hole-attacks.html & https://www.symantec.com/connect/blogs/attackers-targetdozens-global-banks-new-malware-0 & http://www.welivesecurity.com/2017/02/16/demystifying-targeted-malware-used-polish-banks/ 35
06 2017 년 1 분기취약점과악성코드
한국어랜섬웨어실행유도 한국어랜섬웨어다운로더 - 12 월 26 일 DOC -> 12 월 29 일 DOCM - > 12 월 30 일 LNK - 중국 Font 37
한국어랜섬웨어실행유도 한국어메일로랜섬웨어실행유도 - LNK 38
북한신년사가장 Talos Blog - * Source : http://blog.talosintelligence.com/2017/02/korean-maldoc.html 39
북한신년사가장 17 년북한신년사분석.hwp - 취약점이아닌붙임을클릭해악성코드실행유도 40
북한신년사가장 17 년북한신년사분석.hwp - 개체삽입형태 41
Quimitchin Quimitchin - Biomedical research 에서발견 - 오래된 Code 사용된 Backdoor * Source : https://blog.malwarebytes.com/threat-analysis/2017/01/new-mac-backdoor-using-antiquated-code/ 42
Russian 그룹연관의혹 Mac 악성코드 Russian 그룹연관의혹 Mac Malware 발견 - * Source : https://labs.bitdefender.com/2017/02/new-xagent-mac-malware-linked-with-the-apt28/ & https://labs.bitdefender.com/2017/02/dissecting-theapt28-mac-os-x-payload-whitepaper-available/ 43
Cabinfo Cabinfo - MiraiDropper * Source : https://vms.drweb.com/virus/?_is=1&i=14934685 & https://securelist.com/blog/research/77621/newish-mirai-spreader-poses-new-risks/ 44
Cabinfo Mirai Dropper 기능추가 - 2017년 1월 16일이후변형에서 Mirai 변형배포기능확인 - Windows 악성코드내ARM, M68K, MIPS, PowerPC, x86 등 Mirai 실행파일포함 - Windows Mirai 가아닌 IP 를검색해 IoT 가있으면 Mirai 를감염시키는 Windows 악성코드 45
CIA 유출자료 Wikileaks CIA 유출자료공개 - 8,761 건공개 * Source : https://wikileaks.org/ciav7p1, https://www.theguardian.com/media/2017/mar/07/wikileaks-publishes-biggest-ever-leak-of-secret-ciadocuments-hacking-surveillance 46
현재의보안문제 Not really a fair fight * source : http://image-store.slidesharecdn.com/81268b95-5c3b-4604-9129-d83ab3dc4600-large.png 47
현재의보안문제 모두가함께해야하는보안 * source : http://www.security-marathon.be/?p=1786 48
Q&A email : minseok.cha@ahnlab.com / mstoned7@gmail.com http://xcoolcat7.tistory.com, https://www.facebook.com/xcoolcat7 https://twitter.com/xcoolcat7, https://twitter.com/mstoned7 49