3분기 랜섬웨어 위협에는 큰 변화가 있었다. 그 변화는 8월초쯤 시작 되어 9월말에 이르러서 확연히 우리 눈 앞에 보여지게 되었다. 그 변화는 가장 많이 보고 되는 Cerber 랜섬웨어의 위협이 약화를 거듭하여 오랜 기간 동안 발견 되고 있지 않다는 것이다. Cerber 94주차가 끝나갈 무렵부터 이 글을 작성하는 3주 후까지도 보고 되지 않았다. Cerber 위협이 완전이 끝났다고는 생각 되지 않으며 활동을 중단 한 것일 수도 있다. 다른 악성코드도 그랬듯이 랜섬웨어 역시 홀연히 자취를 감추었다가 다시 활발히 활동 하는 경우가 자주 목격 되는데 대표적으로 Locky 랜섬웨어가 그 중 하나이다.

                             [그림1] 20173분기 랜섬웨어 통계 (샘플 및 감염보고 건수)

위 그래프에서 3분기 랜섬웨어 중 9월 샘플과 리포트 수량 모두 크게 감소 한 것으로 나타났다.

샘플은 전월 대비 68% 감소, 리포트 수는 36% 감소 하였다. 안랩은 20173분 기준 약 150개 종류의 랜섬웨어를 모니터링 하고 있으며 이는 2분기 대비 40종 이상 증가 하였다. 이중 기타 (Etc) 로 분류한 84 종류의 랜섬웨어군의 샘플수량이 전월 대비 약 95% 정도로 매우 크게 감소 한 것이 큰 원인으로 확인 되었다. 해당 랜섬웨어군은 샘플수량대비 감염보고가 적은 것이 특징으로 따라서 크게 위협이 되지 않는 랜섬웨어군이다.

 

또한, 앞서 언급한 것처럼 Cerber 의 활동이 중단된 영향도 한 몫을 했다. Cerber 샘플은 8월 대9

43% 감소 하였고 감염보고수는 55% 감소 하였다. 그리고 2분기와 달리 WannaCryptor Petya

은 세간의 이슈를 끌만 한 랜섬웨어들이 발견 되지 않는 점도 있다.

 

반면, 다시 활발히 활동하는 랜섬웨어도 있는데 Locky 7월부터 꾸준히 샘플과 감염수가 증가 하고

있음을 알 수 있다. 다음 [그림2] 그래프를 통해서 Cerber Locky 의 추세를 확인해 보았.

[그림2] 2017Cerber / Locky 샘플 및 감염보고 추세

위 그래프를 통해서 Cerber 7월을 기점으로 샘플수와 감염수 모두 하락 하였다.

Cerber 유포는 Magnitude Exploit Kit 으로 알려진 취약점 악용 및 배포 도구를 이용하여 유포하는데 시Malvertising 기법을 이용한다. 악의적인 광고 사이트로 유도가 되면 Exploit Kit 에 의한 취약점이 동작하고 성공하면 Cerber 에 최종적으로 감염 된다.

 

Cerber 3분기내 안티 바이러스와 같은 보안 제품의 진단을 회피 하기 위해서 유포 방식에 변화를 주는 것이 다양하게 관찰 되었다. 다음 [그림3] 에서 3분기내 주요 변화를 정리 하였다.

[그림3] 2017 3분기 Magnitude Exploit Kit 변화

 

앞서 언급한대로 Magnitude Exploit Kit 를 이용한 Cerber 유포 활동이 중단 되었지만 안심 하기는 이르다. 집요하게 자신을 변화하면서 보안 제품을 우회하려는 시도를 보였고 잠시 숨을 고르고 있는지도 모른다. 다시 컴백 할 수 있는 만큼 아직도 안티 바이러스 제품을 설치 하지 않았거나 윈도우를 비롯한 사용중인 프로그램의 보안 업데이트를 진행 하지 않았다면 이 시점에 반드시 점검을 해보기 바란다.

 

[그림2] 추세 그래프를 통해서 Locky 3분기 기준 샘플수 대비 감염수는 무려 140% 가량 많았다. 이는 그 만큼 많은 사용자에게서 보고가 되고 있다는 뜻이다. Locky 의 유포는 크게 2가지로 나누어진다. 안랩은 유포 방식에 따라 각각 다른 유포자(또는 그룹)이 있다고 추정한다. 유포 방식은 첫번째, 악성 스팸 메일을 이용한 방식이다. 주로 다음 문장이 포함된 영어 제목의 메일로 시작 된다.

 

 

[그림4] Locky 악성 스팸 메일 제목 일부

메일에는 다운로드 증상을 갖는 JS 또는 VBS 확장자의 스크립트 파일이 첨부 되는 경우도 있고 스크립트를 7z 으로 압축하여 첨부된 경우도 있다. 일부 변형에 따라서 첨부파일 없이 메일 본문내 특정 URL의 링크를 삽입하는 경우도 있었다.

 

두번째는 SWF 취약점으로 추정 되는 유포 방법이다. 웹 브라우저인 Internet Explorer 사용자에서 보고

되고 있다. 현재 확인 된 내용으로는 Malvertising 기법과는 다르게 악성 광고 사이트로 유도 되지 않는

것으로 보여진다. 사용자가 방문한 특정 웹 사이트가 침해 당하여 악의적인 링크가 웹 페이지내 삽입

된 것으로 추정 된다. 악의적인 링크는 취약점이 있는 SWF 를 실행하도록 되어 있고 이로 인하여

Locky 에 최종 감염 되는 것으로 보여진다. 해당 유포 방식에 대한 연구와 조사가 진행 되고 있으며 결

과가 나올 시 다음 동향 리포트에 그 내용을 포함 할 예정이다.

 

유포 방식에 따른 Locky 는 외형도 다른데 사용되는 커스텀 패커도 다르고 하드코딩된 환경설정내 정보도 차이가 있다. 위 두 유포 방식의 Locky 의 경우 C2 정보가 존재하지 않는 형태 이지만 이와 또 다른 Locky 변형은 C2 정보가 존재하는 경우도 있었다. 이러한 정보를 토대로 Locky 는 랜섬웨어를 제작하고 유포 하고 싶은 자들이 돈을 주고 공격자들에게 의뢰할 경우 원하는 설정으로 제작을 도와주는 RaaS (Ransomware-as-a-Service) 형태로 추정 된다.

 

3분기 중 이슈가 되었던 랜섬웨어는 다음과 같다.

 

액세스 권한이 없는 파일을 암호화시 권한을 변경하는 행위를 하는 것이 특징인 Matrixran 랜섬웨어 변종이 악성 스팸 메일 형태로 유포 되어 7월말 ~ 8월초 다수 발견 되었다.

 

암호화 시킨 파일의 확장자를 .korea 로 변경하는 JigsawLocker 랜섬웨어가 국외에서 보고 되었으며 실제 동작 하지 않는 것으로 확인 되었다.

 

NemucodAES 라고 명명된 PHP 스크립트 형태의 랜섬웨어 변형이 또 다시 발견  되었다. 해당 랜섬웨어는 2016년에 처음 보고 되었다. 실행을 위해서 정상 PHP.EXE, PHP5.DLL 파일을 추가로 다운로드 하여 동작한다. 해당 랜섬웨어는 국외에서 복호화 도구가 공개 되었는데 사용 되는 mt_rand() 함수의 취약성으로 seed 값에 따라 정해진 난수값이 생성 되는 점 이용하여 키를 알아 낸 것으로 보인다.

 

SyncCrypt 라는 다소 특이한 랜섬웨어도 발견 되었다. 해당 랜섬웨어는 다운로드 증상이 있는 JS 스크립트를 이용하여 다운로드 된다. 다운로드 된 파일은 JPEG 포맷의 이미지 파일로 파일 내부에 PK ZIP 포맷으로 되어 있으며 압축 파일 내부에는 랜섬웨어 실행 파일과 랜섬노트등을 포함하고 있다. JS 코드 중 일부가 JPEG 이미지 파일의 특정 위치를 참조하여 파일을 생성 하도록 하여 랜섬웨어가 실행 될 수 있다. HWP 확장자로 암호화 대상에 포함된다.

 

악성행위에 필요한 DLL 파일과 파이썬 암호화 라이브러리를 내부에 가지고 있는 Scicario 랜섬웨어도 확인 되었다. 필요한 파일을 가지고 있다보니 랜섬웨어는 9MB 가 넘는 크기를 가지고 있으며 Pycrypto 파이썬 암호화 모듈을 이용하여 타켓 파일을 암호화 시킨다.

 

다음은 3분기 랜섬웨어 Top 14 에 대한 비율이다.

 

[그림5] 20173분기 랜섬웨어 Top 14 샘플 비율

3분기 동향에서 주목할 만한 것은 Cerber 위협의 감소도 눈 여겨 보여지지만 Locky 의 부상도 간과 할 수 없다. 특히 2가지 이상의 유포 방식을 통해서 다양하게 확산 되어 감염보고 역시 증가 시킬 징후가

높아 보이기 때문이다.

 

Cerber 3분기 까지는 가장 많은 비율을 차지 하고 Locky 가 뒤를 따르고 있다. 글의 시작에 언급 했지만 Cerber 의 위협은 3분기 동안 서서히 약화 되었다. Cerber 는 지난 2016년 초 처음 보고 후 지금까지 국내에 가장 많은 샘플과 감염보고를 가지고 있는 랜섬웨어 이다. 3분기 동안 계속 변화하는 유포 방식을 관찰하고 연구한 결과 위협은 약화 되고 중단 될 수 있었다. 이것은 다양한 단계적 대응방법을 이용한 향상된 선제적 대응이 지속성을 유지하면서 위협에 대한 예측이 가능 했기 때문이다. (끝)

 

UPDATE //

 

Magnitude Exploit Kit 를 이용하여 새로운 랜섬웨어가 유포 되기 시작했다. 안랩은 10월14일 토요일 밤부터 해당 Kit 을 이용하여 새로운 랜섬웨어가 유포 되는 것을 확인 하였으며 이는 3주만에 활동을 재개 한 것이다. 안랩은 진단명을 Trojan/Win32.Cerber 로 최초 진단 후 현재는 Trojan/Win32.Magniber 로 변경 하였다. 일부 안티 바이러스에서는 Trojan.Ransom.MyRansom 으로 진단 한다.

신고
Posted by L0REAL

오퍼레이션 비터 비스킷(Operation Bitter Biscuit)에 이용된 비소날류 악성코드는 2010년 최초 발견된 후 현재까지 한국, 일본, 인도에 대한 공격이 확인되었으며, 디코이(decoy) 파일을 통해 러시아권 사용자에게도 추가 공격을 가한 것으로 보인다. 일본의 경우 2012년 방위산업체에 대한 공격이 있었으며, 인도 CERT에서는 2015년 비소날 악성코드의 변형인 바이오아지흐(Bioazih)에 대해 경고한 바 있다. 하지만 최근에는 한국을 제외한 나머지 국가에서는 관련 공격이 확인되지 않았다.

 

 

한국에서는 2011년부터 군사 기관, 방위산업체, IT 업체 등 국내 주요 기관을 대상으로 한 지속적인 공격이 계속되고 있다. 2011년부터 2012년 사이에는 주로 국내 기관에 대한 공격이 집중적으로 진행되었으며, 2013년부터 2015년에는 국내 기업과 군사 기관까지 점차적으로 공격 범위가 확대됐다. 가장 최근인 2016년부터 2017년 사이에는 방위산업체와 연관 기업에 대한 공격도 확인됐다. 공격에 사용된 악성코드 종류는 다소 다르지만 동일한 C&C 서버를 사용하는 악성코드의 공격이 지난 2009년부터 존재해온 점으로 미루어 관련 공격 그룹은 오래 전부터 국내에서 활동했을 가능성이 있다.

비소날류 악성코드의 주요 공격 사례는 다음과 같다.

비소날류의 악성코드를 이용한 공격이 오랜 기간 동안 지속되면서 안랩을 비롯해 코세인크(Coseinc), 파이어아이(FireEye), 트렌드마이크로(TrendMicro) 등 국내외 보안 업체에서는 관련 내용을 수 차례 언급한 바 있다. 트렌드마이크로는 이를 ‘하트비트 APT(HeartBeat APT)’로 명명하기도 했는데 부 악성코드 내부에 ‘HeartBeat’라는 문자열이 존재하기 때문이다. 또한 2015년에는 마이크로소프트에서 하트비트 APT와 연관된 바이오아지흐 RAT(Bioazih RAT)에 대한 정보를 공개했다.

2015년 3월 안랩에서도 비소날 악성코드와 관련하여 군사 기관 공격에 대한 내용을 공개했다.

 
지금까지 살펴본 바와 같이 비소날 혹은 비스콘(Biscon)은 2011년부터 국내를 공격하고 있는 악성코드로 하트비트 APT와 비소날 변형인 바이오아지흐와 밀접한 연관성이 있으며, 이로 미루어 공격자는 특정 그룹이거나 공개된 소스코드를 이용한 다수의 그룹일 가능성이 있다.

자세한 내용은 ASEC 리포트 2017년 3Q (Vol. 88)를 참고하면 된다.

 

- ASEC 리포트 2017년 3Q (Vol. 88)

 

 

 

 

 

저작자 표시
신고
Posted by mstoned7

상반기 랜섬웨어 동향에는 크고 작은 사건들이 많았다. 특히 5월과 6월에는 사회적으로 큰 이슈가 되었던 WannaCryptor 와 Petya 랜섬웨어가 있었다. 그리고 작년에 맹위를 떨쳤던 Locky 가 다시 유포 되었고 이와 유사한 Jaff 랜섬웨어도 발견 되었다.

상반기 중 랜섬웨어의 감염 보고 건수 (샘플이 사용자로부터 감염 보고된 수) 는 1분기 하락 하다가 4, 5월 증가했으나 6월에 다시 감소 추세에 있다. 그러나 발견되고 있는 랜섬웨어의 샘플 수량은 5월을 제외하고 계속 증가 추세에 있다.

 

[그림1] 2017년 상반기 랜섬웨어 통계 (샘플 및 감염보고 건수)

5월에 샘플수량이 감소한 원인은 명확히 확인 되지 않았지만 가장 많은 변형이 발견 되고 있는Cerber 를 포함하여 전체적으로 랜섬웨어 발견 건수가 감소 하였다. 그러나 Cerber 경우 지속적으로 샘플 발견 대비 감염보고 수가 높으므로 심각한 주의가 요구 된다. 아래 그래프를 통해서 Cerber 의 샘플 발견 대비 감염보고 수가 높음을 알 수 있다. 이 의미는 특정 샘플이 다수의 사용자로부터 감염보고가 되었음을 뜻한다. 그 만큼 Cerber 감염율이 높다고 할 수 있다.

[그림2] 2017년 상반기 Cerber 감염보고 건수 통계 (샘플대비 감염보고 건수)

 지난 분기 보고서에도 언급 했지만 랜섬웨어을 제작 및 유포하는 공격자들은 웹 브라우저를 이용한 취약점과 이메일을 주 감염경로로 사용하고 있다. 특히 Cerber 2가지를 적절하게 병행하면서 시스템을 감염 시키고 있다. 특히 웹 브라우저 관련 취약점을 이용하는 경우가 많이 보고 되고 있으므로 Adobe Flash Internet Explorer 는 항상 최신버전을 유지 해야 한다. 필요하다면 다른 웹 브라우저를 이용해보거나 웹 서핑 시 의도하지 않는 광고를 차단 할 수 있는 프로그램의 도움을 받는 것도 좋다.

상반기 중 2분기에 이슈가 되었던 랜섬웨어는 다음과 같다.

 Locky 랜섬웨어가 다시 발견 되었다. 악성 스팸 메일 형태로 지난 4~5월에 대량 유포가 되었다. 작년과 다르게 메일에 PDF 문서가 첨부된 형태로 유포 되었다. 해당 PDF 는 자바 스크립트와 악의적인 매크로가 포함된 워드 문서 객체를 포함한 형태 였다. 이는 안티 바이러스 제품 진단을 우회 및 사용자가 의심 없이 문서를 열어보도록 하기 위한 것으로 보인다. 이후에 이와 유사한 형태를 따라 하는 악성 스팸메일이 발견 되기도 하였다.

 암호화한 파일의 확장자를 .MOLE 로 변경하는 MoleCrypto 랜섬웨어는 랜섬노트가 CryptoMix CryptoShield 와 매우 유사하며 4월경 국내 발견 되었다. 해당 랜섬웨어는 SageCrypt 가 악성 스팸 메일로 유포 될 때 사용하는 특정 IP 를 모니텅 중에 발견 되었는데 두 랜섬웨어의 연관성은 확인 되지 않았다.

Locky 와 유사한 방법으로 유포된 Jaff 랜섬웨어는 마치 Locky 의 또 다른 변형처럼 느껴질 만큼 모든게 닮았다. PDF 문서내 JS / DOCM 객체를 포함한 것은 물론 Locky 랜섬웨어가 자신을 다운로드 할 때 사용된 일부 URL 중에서 Jaff 역시 같은 도메인을 사용한 것이 확인 되기도 하였다. 해당 랜섬웨어는 실행 시 시스템의 전원을 체크하여 윈도우 10 & 노트북 환경 및 러시어 언어로 윈도우가 설정된 경우 더 이상 실행 되지 않고 자신을 종료한다.

5월에 큰 이슈가 되었던 WannaCryptor 는 랜섬웨어 유포에 전례가 없었던 취약점을 이용하여 네트워크로 자신을 전파 하였다. 이것은 SMB(Server Message Block) 취약점(MS17-010)을 이용한 것으로 전세계적으로 확산 되었다. 해당 취약점은 다른 악성코드 (주로 비트코인 채굴 악성코드) 에서 확인 되었지만 랜섬웨어 전파에 사용된 것이 큰 파급력을 보였다.

자신을 전파 하기 위해서 Spora 와 같은 일부 랜섬웨어가 매핑 된 네트워크 드라이브로 자신을 전파 시키는 경우가 있었으나 WannaCryptor 는 네트워크에 연결된 취약한 모든 시스템이 감염 대상이 되었다.

 올해 초 공공기관에서 주로 보고된 VenusLocker 변형도 발견 되었다. 국외에 거점을 두고 있는 유명 특송회사의 지점안내 문서파일명으로 자신을 위장 하였다. 실제로 실행 가능한 EXE 형태로 파일명만 위장 되어 있었다. 한글로 작성된 랜섬노트의 내용으로 볼 때 한글을 모국어로 사용하고 국내 사정을 잘 아는 사람이 개입 되었을 가능성이 높다.

 국외에서 발견 보고가 있었던 Globeimposter 랜섬웨어도 보고 되었다. 암호화한 파일의 확장자를 .crypt 로 변경하며 확장자와 상관 없이 접근 가능한 모든 파일을 암호화 한다. 이로 인하여 재부팅시 정상적으로 부팅이 되지 않는다.

 Gennasom 랜섬웨어는 존재가 확실하지 않는 세계 빈곤 퇴치기구를 가장한 랜섬웨어로 랜섬노트에 관련 사진을 보여주면서 비트코인을 요구한다. 유포 방법이 일반적인 랜섬웨어와 다르게 특정 응용 프로그램의 업데이트 서버로 추정 되는 곳에서 Dropper 가 확인 되었다. 해당 서버의 침해여부는 조사 되지 않았다.

WannaCryptor 유포에 이용 되었던 SMB(Server Message Block) 취약점 (MS17-010) 을 이용하여 Petya 랜섬웨어가 유포 되었다. 해당 랜섬웨어는 2016년 최초 알려졌다. 다른 랜섬웨어와는 다르게 문서, 미디어 파일들도 암호화 하지만 부팅이 필요한 정보를 담고 있는 MBR (Master Boot Record) 을 변조하고, 파일의 메타 정보 (파일 크기,시간,날짜,권한, 데이터등)와 같은 중요한 정보가 담긴 MFT (Master File Table) 영역을 암호화 한다.

일부 안티 바이러스 연구가들은 6월에 발견된 Petya 는 기존에 알려진 것과 다르다고 얘기하고 있다. 안랩 역시 이러한 근거를 확인 하였다. 그 이유로는 비트코인을 지불화고 키를 받아도 MFT 를 복호화 할 수 없도록 디스크에 남겨둔 Salsa20 암호화 Key 정보를 지우는 것과 랜섬노트에 보여지는 개인 ID 역시 임의의 값으로 만들어져 공격자도 이 값으로도 누구인지 특정 할 수 없기 때문이다. 따라서 해당 Petya 는 금전적인 이득 보다는 시스템을 손상 시킬 목적으로 제작 되었다.

안랩은 진단명 기준으로 100개가 넘는 랜섬웨어의 샘플과 감염 현황을 모니터링 하고 있다. 이중에서 상위에 존재하는 15개 유형에 대하여 다음과 같이 현황을 파악해 보았다.

[그림3] 2017년 상반기 랜섬웨어 샘플 현황

Cerber 가 상대적으로 상반기 발견된 랜섬웨어에서 가장 많은 변형군을 가지고 있는 것으로 조사 되었다. 그리고 위 항목내 15개 랜섬웨어 중 Locky, SageCrypt, Matrixran, Petya, Jaff, Venuslocker, WanaCryptor Cerber 대비 발견 수는 작지만 사용자들로부터 활발히 보고 되거나 이슈가 되었다.

 2017년 상반기는 랜섬웨어로 인한 큰 보안사고가 국내외 이슈가 되었다. WannaCryptor 를 비롯하여 국내 모 호스팅 업체 서버를 노린 랜섬웨어와 취약점 전파와 디스크를 파괴하는 Petya 랜섬웨어등 랜섬웨어가 더 이상 개인이나 기업의 피해를 넘어 국가적인 사회혼란을 야기 할 만큼 보안사고의 문제로 자리 잡았다. 앞으로 불특정 다수를 노리는 랜섬웨어 감염은 랜섬웨어를 쉽게 제작 할 수 있는 서비스로 더욱 많은 변형이 쏟아져 나올 것으로 보인다.

이와 함께 올 상반기 보여졌던 랜섬웨어 공격 흐름으로 비춰 볼 때 앞으로는 특정 기업 및 국가만을 노리며 해커의 금전적인 이득 보다는 데이터 파괴 행위를 통한 기업의 업무의 연속성을 중단 시키고 국가적으로는 사회 혼란을 불러일으킬 만한 랜섬웨어 공격 형태도 예상해 볼 수 있다. 끝으로 안랩에서 정리한 상반기 랜섬웨어 동향ASEC (AhnLab Security Emergency Response Center) Report Vol.87 에 소개 되었으므로 참고하기 바란다.

 

 

 

 

 

 

 

 

신고
Posted by L0REAL

올해 1분기 랜섬웨어의 감염보고 건수는 감소하는 추세에 있는 것으로 확인 되었다. 이것은 분명 좋은 소식이지만 다음 분기에도 감소 추세에 있을 것이라고는 확신 할 수 없다. 왜냐하면 랜섬웨어 변형은 계속 증가하는 추세를 보이고 있기 때문에 안심 할 수는 없다.

안랩은 홈페이지 <www.ahnlab.com> -> 보안정보 -> 월간 ’ 201704호에 <20171분기 랜섬웨어 기상도 매우 나쁨’> 이란 글을 게시하였다. 여기도 밝혔듯이 랜섬웨어는 여전히 증가하고 있으며 그 변형 또한 매우 다양한 것을 알 수 있다.

다음은 2016.10 ~ 2017.03 기간 동안 ASD (AhnLab Smart Defence) 인프라로 수집된 랜섬웨어의 샘플수량과 감염보고 건수 이다.

[그림1] 2016 4분기, 2017 1분기 랜섬웨어 통계 (샘플 및  감염보고 건수)

위 [그림1] 그래프를 보면 작년 4분기 감염보고 건수는 상승 후 올해 1분기 감소하는 추세 인데 이것은 Locky 와 TeslaCrypt 가 자취를 거의 감춘것과 관련이 있다. 작년 한 해를 통틀어 가장 많은 변형과 감염 보고건수를 차지하는 랜섬웨어는 Cerber, CryptXXX, Locky, TeslaCrypt 였다. 이중에서 CryptXXX 는 작년 3분기까지 왕성한 활동을 보이다가 4분기에 들어서면서 샘플과 감염보고 수가 급격히 감소했다.

 

Locky 랜섬웨어 경우 작년 초에 처음 보고 되었다. 초기에는 Exploit Tool Kit 으로 유포 되었고 하반기에는 다운로더 증상을 가지는 악성 자바 스크립트 (진단명: JS/Nemucod 또는 JS/Downloader 또는 JS/Obfus.S<number>) 가 포함된 스팸 메일 유형으로 대량 유포 되었다. Locky 도 작년 하반기부터 변형 발견 수가 급감 하기 시작하여 올해 1분기에는 거의 자취를 감추었다. 이러한 이유 작년 러시아내에서 사이버범죄자 체포 이후 특정 Exploit Took Kit 을 더 이상 사용 할 수 없었기 때문으로 추정된다.

 

 

작년과 올해 1분기 랜섬웨어 유포에 주로 사용된 취약점 공격 툴킷의 종류와 대표 취약점은 다음

과 같다.

 

 취약점 공격 툴킷명

 사용된 대표 취약점

 유포된 랜섬웨어

 Angler Exploit Kit

  Adobe Flash 취약점 (CVE-2015-8651)

 Locky

 Neutrino Exploit Kit

 Adobe Flash 취약점 (CVE-2015-8651)               IE 취약점 (CVE-2016-0189)

 Locky

 Magnitude Exploit Kit

  Adobe Flash 취약점 (CVE-2015-8651)

 Cerber

 

[1] 랜섬웨어 유포에 사용된 취약점 공격 툴킷명

 

 

작년 하반기부터 랜섬웨어을 제작 및 유포하는 공격자들은 취약점 이외에 위와 같은 악성 스팸 메일 형태로 유포하는 방식으로 전환 했거나 이 두가지 방법을 병행하여 사용한다. 그 예로 취약점과 결합된Malvertising 기법을 이용하여 2년 전 국내 대형 온라인 커뮤니티에서 감염 되었던 Cryptolocker (다른 이름 Teerac 또는 TorrentLocker) 는 최근 다운로더 기능이 있는 자바 스크립트 및 악성 매크로가 포함된 워드문서 파일 또는 엑셀문서 파일이 첨부된 악성 스팸 메일 형태로 유포 되고 있다. 국내에서 악명을 떨치고 있는 Cerber 랜섬웨어의 경우 작년 초는 취약점으로만 유포 되었다가 작년 하반기 취약점과 악성 스팸 메일형태 두 가지 유포 경로를 가진 적이 있었다.

 

취약점 유포 방식은 다소 감소 하는 추세에 있으며 이는 보안패치에 대한 사용자 인식이 높아진 것으로 보여진다. 하지만 악성 스팸 메일 형태의 유포 방식은 취약점 보안패치와 무관하게 사회공학기법을 이용하여 사용자들로 하여금 메일에 첨부된 파일을 실행하도록 유도 한다. 따라서 보안 패치율이 높아질수록 해당 방식의 공격은 더욱 기승을 부릴 전망으로 보인다.

 

다음 201610월부터 20173월까지 주요 랜섬웨어 변형들의 발견 현황이다.

 

 

[그림2] 주요 랜섬웨어 변형 발견 현황

 

몇 가지 랜섬웨어를 살펴보면 Cerber 가 다른 랜섬웨어 보다도 월등히 많은 변형이 보고 되었다. Cerber 2016 1분기경 처음 보고 되었으며 Magnitude Exploit Kit 을 이용하며 Malvertising 기법 으로 유포 된다. 작년 하반기부터는 .HWP 확장자도 암호화 대상 목록에 추가 되기도 했다. 최근 변형은 설치된 보안 제품을 검사하여 해당 프로그램의 모든 실행파일을 대상으로 인터넷 연결을 방해 하도록 하는 증상이 확인 되었다.

 

Locky 는 위에서 언급한 것처럼 작년에 처음 보고된 이후 Cerber 과 함께 맹위를 떨친 이후 하반하부터 급격히 변형 발견 건수가 감소 했다.

 

Nabucur 랜섬웨어는 바이러스 증상을 포함하고 있어 변형 수량은 많지만 실제 감염보고 건수는 매우 적은 편이다.

 

SageCrypt 2017 1분기 Cerber 다음으로 변형발견 및 감염보고 건수가 많았다. SageCrypt 유포지가 국내 특정 인터넷 스포츠 및 연예 언론사 웹 사이트로 확인 되었다. 플래시 취약점 (CVE-2016-4117)을 이용하여 유포 되었으며 언론사 사이트 특성상 SNS 와 같은 서비스를 통해서 기사가 공유 되므로 이와 같은 이유로 국내 감염 보고 건수와 변형 발견이 많았다.

 

SageCrypt CryLocker 변형으로 알려져 있으며 Cerber 와 유사하게 특정 VBS 파일을 생성하고 음성으로 감염 사실을 알려준다. 또한 Google MAP API 를 사용하여 감염 시스템의 SSID, MAC 주소를 쿼리한다. 이를 통해 해당 랜섬웨어의 감염분포를 파악하는 것으로 보여진다.

 

[그림2] 주요 랜섬웨어 변형 발견 현황에는 포함 되지 않았지만 약 50개의 다양한 이름으로 명명된 랜섬웨어 변형들이 발견 되었으며 그 수는 점점 증가 하고 있어 단일 랜섬웨어로 가장 변형을 가지고 있는 Cerber 보다 어떤 달은 더 많이 보고 되기도 했다. 여기서는 그 중 다음과 같은 랜섬웨어들을 간단히 언급 하도록 한다.

 

VenusLocker 는 한글로 작성된 악성 스팸 메일 형태로 주로 국내 관공서를 대상으로 유포가 되었다. 메일에 랜섬웨어가 압축파일 형태로 첨부되는 경우와 다운로더 증상이 있는 악성 매크로가 포함된 문서를 첨부하는 형태로 유포 되기도 했다. 한편 암호화된 일부 파일은 복구가 가능하다. (블로그 링크)

 

CryptoMix CryptoShield  랜섬웨어도 국내 발견 보고 되었다. 두 랜섬웨어는 랜섬노트 및 암호화 확장자가 유사하거나, 자기 복제본 생성, 윈도우 기본 유틸리티를 이용한 윈도우 복구 무력화, 암호화 대상에서 제외 되는 확장자 및 폴더 경로등이 거의 같았다. 또한 CryptoShield 랜섬노트에 자신은 CryptoMix 변형이 아니라는 내용을 담기도 했다.

 

Spora 는 바로가기 (.lnk) 파일을 생성하여 지속적인 감염을 유도한다. 일반적으로 랜섬웨어는 한번 암호화된 이후에 자신을 재실행 하도록 하는 전략은 사용하지 않는다. 그러나 Spora CryptoMix, CryptoShield 는 재부팅 이후 자신을 재실행 할 수 있도록 해둔다.

 

Spora 는 취약점을 통해서 유포 되기도 하며 Chrome 사용자들을 타켓으로 특정 사이트 방문시 허위 Popup 창을 보여주고 클릭을 유도하여 감염 되기도 한다. 또한 Cerber  유포지에서도 발견 되기도 하며 외형이 Cerber 와 유사한 변형들도 종종 발견 되었다. 해당 랜섬웨어는 암호화 이후 생성되는 랜섬노트내 정보를 이용하여 제작자와 채팅을 할 수 있도록 되어 있기도 했다. 또한 암호화된 파일 종류에 따라서 제작자에게 지불하는 비용이 달라지는 특징이 있다.

 

위에서도 살펴보았지만 랜섬웨어의 유포방식은 크게 두 가지로 최근에는 악성 스팸메일 형태로 유포 되는 경향을 주로 보인다. 그리고 Malvertising 기법을 이용하여 사용자를 의도하지 않는 웹 사이트로 유도하고 취약점을 이용하여 악성코드를 감염 시킨다. 이러한 공격에는 여러 감염 단계가 있으며 이중 하나라도 성공하지 못하면 악성코드에 감염 될 수 없다. 안티 바이러스 연구가들은 이러한 감염 단계를 연구하고 무력화 하는 방법을 개발하여 이를 제품에 반영하고 있다. 이제 사용자 스스로 조심하는 단계는 이미 지났으며 보안 제품을 이용한 보호만큼 자동화 되고 안전한 것은 없다.

 

 

 
신고
Posted by L0REAL

2016년 9월 브라이언 크렙스의 블로그 크렙스온시큐리티(KrebsOnSecurity)와 프랑스 인터넷 호스팅 업체 OVH에 대해 기록적인 DDoS 공격이 발생하고 2016년 10월 21일 금요일 오전 미국 인터넷 호스팅 서비스업체 딘(Dyn)이 DDoS 공격을 당한 사건이 일어났다. 이로 인해 에어비앤비(Airbnb), 페이팔(PayPal), 넷플릭스(Netflix), 사운드 클라우드(SoundCloud), 트위터(Twitter), 뉴욕타임스(The New York Times) 등 여러 사이트에서 접속 장애가 발생했다. 이들 공격에는 사물인터넷(Internet of Things, IoT)을 감염시키는 미라이(Mirai)라는 악성코드가 이용되었음이 밝혀진다.


현재 여러 운영체제가 IoT의 주도권을 놓고 경쟁하고 있으며 이중 임베디드 리눅스(Embedded Linux)가 많이 사용되고 있다. 우리가 흔히 접할 수 있는 인터넷 공유기, 셋톱 박스, NAS(Network Attached Storage), 디지털 비디오 레코더, IP 카메라 등에 임베디드 리눅스가 이용되고 있다. 이들 시스템은 데스크톱과 비교했을 때는 저성능이지만 다른 IoT 제품보다는 컴퓨터에 가까워 공격자들의 우선 목표가 되고 있다.

이러한 임베디드 리눅스 시스템을 겨냥한 악성코드는 2008년 처음 보고되었다. 


초기 임베디드 리눅스 악성코드는 밉스(MIPS) 프로세스를 사용하는 인터넷 공유기만 감염시킬 수 있었지만, 2012년 발견된 에이드라(Aidra) 웜은 밉스 외 다양한 프로세스를 지원해 인터넷 공유기뿐 아니라 셋톱 박스 등 다양한 임베디드 리눅스 환경에서 활동할 수 있었다. 많은 임베디드 리눅스 악성코드는 DDoS 공격 기능이 주 목적이지만 2013년 발견된 달로즈(Darlloz)는 비트코인과 같은 가상 화폐 채굴이 주목적이다. 2014년 말 리자드 스쿼드(Lizard Squad)란 그룹에서 가프지트(Gafgyt) 변형으로 일으킨 DDoS 공격으로 게임 관련 웹 사이트 장애가 발생하기도 했다. 2016년에는 미라이에 의해 9월과 10월 대규모 DDoS 공격이 발생한다. 공격에는 기존 인터넷 공유기뿐 아니라 DVR(Digital Video Recorder), IP 카메라 등의 사물인터넷 기기가 이용되었다


이 가운데 특정 기기만 감염시키는 악성코드나 지속적으로 변형이 나오지 않는 악성코드를 제외하고 많이 발견되고 있는 악성코드는 에이드라(Aidra), 달로즈(Darlloz), 가프지트(Gafgyt), 피엔스캔(Pnscan), 미라이(Mirai) 등이다. 이들 5 종류 악성코드 발견 현황을 보면 2012년 36개, 2013년 26개, 2014년 348개, 2015년 1,180개, 2016년 9,125개다. 참고로 2016년 통계는 10월 31일까지의 집계로, 연말까지 1만 개 이상의 악성코드가 보고될 것으로 예상된다. 이처럼 임베디드 리눅스 기반 악성코드는 2014년 이후 폭발적인 증가세를 보이고 있다.

V3에서는 이들 파일을 Linux/Aidra, Linux/Darlloz, Linux/Gafgyt, Linux/Pnscan, Linux/Mirai 등으로 진단하고 있지만 사물인터넷에는 백신 프로그램을 설치 할 수 없이 사물인터넷에 감염된 악성코드를 직접 진단할 수는 없다.

이들 악성코드 예방을 위해 사물인터넷의 취약한 암호를 변경해줘야 한다. 



보다 상세한 사물인터넷 관련 악성코드 동향은 다음 주소에서 확인 할 수 있다.

- IoT 환경 위협하는 ‘리눅스 악성코드 Top 5’ (월간 안 201612호)
http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=25779


- '임베디드 리눅스 기반 사물인터넷(IoT) 보안위협 동향 보고서' 전문

http://download.ahnlab.com/kr/site/library/[AhnLab]_Embedded_Linux_Malware_201612.pdf



저작자 표시
신고
Posted by mstoned7

1. 개요

멀버타이징(Malvertising)은 악성 프로그램을 뜻하는 멀웨어(Malware) 혹은 악성 행위를 의미하는 멀리셔스(Malicious)와 광고 활동을 뜻하는 애드버타이징(Advertising)의 합성어 이다. 멀버타이징(Advertising)은 광고 서비스의 정상적인 네트워크를 이용하여 악성코드를 유포 및 감염 시키는 방법이다.

예를 들면 악성코드 제작자는 그럴 듯한 도메인 이름 - 예를 들어 호텔예약 정보 및 게임정보 - 을 갖는 위장된 광고 웹 사이트를 제작 후 광고 서비스에 이를 광고 한다. 제작된 웹 사이트 내용은 단지 취약점 페이지로 리다이렉트 그 이후 알려진 정상 웹사이트로 이동 - 되도록 설정 해둔다.

광고 서비스를 하는 업체는 일반적으로 사용자들에게 광고를 많이 노출 하도록 하기 위해서 동적으로 광고를 받아 올 수 있는 특정 파라미터를 갖는 URL 제공 한다. 제공 된 URL은 여러 웹 사이트에서 사용 되는데 보통 웹 서핑 중 방문 하지 않는 웹 사이트가 새로운 창의 웹 브라우저를 이용해서 보여지는 경우가 이와 같다.

멀버타이징 애드웨어는 (PUP/Win32.EoRezo) 동적으로 광고를 받아 올 수 있는 특정 파라미터를 갖는 URL 을 인코딩하여 내부적으로 가지고 있으며 주로 다음과 같은 웹 사이트에서 팝업을 통한 설치, 또는 크랙파일, 무료게임파일로 위장 되어 설치를 유도한다.

- 토렌트 관련 사이트

- 크랙 관련 사이트

- 음란물 관련 사이트

- 무료 게임 사이트

- 무료 동영상 플레이어 다운로드 유도 사이트

- 허위 플래시 플레이어 다운로드 유도 사이트


                      멀버타이징 (Malvertising) 애드웨어를 이용한 악성코드 감염방법


멀버타이징으로 악성코드에 감염 되는 경우는 크게 2가지로 웹 서핑시 웹 브라우저의 팝업으로 보여지는 광고 사이트에 노출 되거나,  멀버타이징 애드웨어가 사용된 경우, 사용자가 서핑을 하지 않아도 설치된 애드웨어가 불규칙하게 브라우저를 자동 실행한 광고를 받아 오는 특정 파라미터를 갖는 URL 접속 하여 광고를 보여준다.  

사이트가 정상적인 광고 사이트라면 이런 자동 실행이 문제가 되지 않을 수도 있다. 하지만 보안이 취약한 브라우저 또는 플래시 플레이어(Flash Player), 아크로뱃 리더(Acrobat Reader), 실버라이트(Silverlight), 자바(Java) 설치된 경우라면 상황이 다르다. 사용자 의도와 상관 없이 애드웨어가 보여주는 사이트가 취약점이 있는 사이트로 리다이렉트 앞서 열거한 어플리케이션 플러그인 취약점을 이용하여 악성코드에 감염이 있다. 멀버타이징을 이용한 방법은 불특정 다수를 대상으로 감염 시킬 수 있고웹 사이트 (도메인)를 자주 변경하여유포지를 찾거나 차단하기 어렵게 만든다.


2. 감염사례

Angler Exploit Kit 에 의한 Cryptolocker 감염 사례

공격자에 의해서 제작된 booking(제거됨).pw  웹사이트는 위에서 언급한 광고 관련 특정 파라미터_내부 URL' 중 하나인 다음 광고 서비스의 www.fh(제거됨).com/(특정 파라미터) 로부터 받아온다.


                                                   멀버타이징 감염사례_Fiddler_로그


이러한 공격 뒤에는 ‘익스플로잇 킷(Exploit Kit, EK)’이라는 악성코드를 제작, 관리, 유포를 자동화 할 수 있는 도구가 있으며 최근 공격에는 다음 익스플로잇 킷이 주로 사용 되고 있다.

 

- 앵글러(Angler) EK

- 리그(Rig) EK

- 매그니튜드(Magnitude) EK


3. 진단명


해당 멀버타이징 애드웨어에 대한 V3 진단명은 다음과 같다.

- PUP/Win32.EoRezo

- Win-PUP/EoRezo

신고
Posted by L0REAL

 

  1. Mac OS X

얼마 전 Mac 의 운영체제인 OS X 요세미티(Yosemite)가 업데이트 되었고 아이폰 6는 여전히 큰 인기를 끌며 판매되고 있다. 이전에 음악, 디자인 등 예술계 종사자들 혹은 소수의 매니아들만 사용하던 애플사의 Mac 컴퓨터는, 아이팟과 아이폰의 성공에 힘입어 사용자 계층이 크게 확대되고 대중화되었으며, 이에 따라 OS X 악성코드 또한 증가하고 있는 추세이다.

다만, 다음 통계에서 확인할 수 있듯이, 국내의 OS X 점유율은 아직 10%가 채 안 되어, 국내에서는 비교적 파급력이 크지 않다.

 

[그림 1] 국내 OS 점유율 (출처: StatCounter)

 

그러나 과거 수년간 대형 보안사고 발생에 따른 피해가 점점 커지고, 보안의 중요성에 대한 인식이 확대되면서, 종전의 사용하던 시스템 기반을 리눅스나 맥 등으로 변경을 고려하는 기업과 기관들이 증가하고 있다. 현재 국내에는 맥과 관련된 백신 사용률이 매우 낮고 보급 속도 또한 더딘 상태라, 표적 공격에 매우 취약할 수 있기 때문에, 만약 사고가 나면 그 위험성과 피해는 예상보다 훨씬 클 수 있다. 따라서 당장 큰 위협은 없어 보여도, 이전과 같은 대형 보안 사고가 반복되기 전에, 미리 맥 관련된 악성코드에 대해 짚어둘 필요가 있다. WIL 의 지면을 통해 간략하게나마, 2014년에는 어떤 Mac 악성코드가 발견되었는지 살펴보자.

 

  2. 2014 Mac Malware

지난 2014년의 보안 이슈 키워드로는 '멀티 플랫폼, 금융, 취약점, 고도화' 등을 꼽을 수 있다. 윈도우뿐만 아니라 모바일, POS (Point of Sales), Mac 등 다양한 플랫폼을 공격하는 악성코드들이 발견되었고, 파밍을 비롯하여 메모리 해킹을 이용해 인터넷 뱅킹의 금융정보를 탈취하는 기술까지 다양했고 '하트블리드(Heartbleed)'나 '쉘쇼크(ShellSock)' 와 같은 오픈 소스 취약점도 연이어 공개가 되었다.

2014년에 발견된 Mac 악성코드들은, 물론 기술적인 차이는 있지만 그 형태가 윈도우 악성코드와 비교해서 크게 다르지 않다. 애플사도 과거와는 다르게 GateKeeper 와 같은 보안 기능을 추가하는 등, 마이크로소프트사와 마찬가지로 보안을 크게 염두에 두고 있다. 또한 현재 발견되는 맥 악성코드는 불법다운로드와 프로그램의 취약점, 피싱, 앱스토어 등을 주된 유포 경로로 삼아 감염되는데, 이 또한 윈도우의 사례와 유사하다.

 

GateKeeper

윈도우의 사용자 계정 컨트롤(UAC) 와 유사한 기능으로, 인터넷을 통해 다운로드한 앱이나 써드 파티(Third-party) 앱들로부터 Mac 을 보호하는 기능이다.

 

  (1) Cross Platform - Flashback & Icefog

2012년 발견된 Flashback 악성코드는 맥 사용자들에게는 유명한 악성코드이다. 이때만 해도 애플사는 Java를 기본 패키지로 맥 OS를 배포했는데, Flashback 악성코드는 바로 이 자바의 취약점(CVE-2012-0507, CVE-2011-3544) 을 통해 감염되었다. 이 악성코드는 약 60만대의 맥을 감염시킬 정도로 파급력이 컸기 때문에, 애플사는 Mac OS Lion (10.7) 버전 이후로 Java를 기본 패키지에서 제외했다. 해외 보안 업체 Intego의 통계에 따르면, Flashback 악성코드로 인한 피해는 2014년 초반까지도 계속되었다.

한편 악성코드의 C&C (Command-And-Control) 서버 문자열로 이름 붙여진 Icefog 악성코드는, 한국과 일본의 주요 기업과 기관 대상으로 한 소규모 APT(Advanced Persistent Threat) 악성코드로 당시 매우 위협적이었다. 본격적인 표적공격이라 할 수 있는 이 Icefog 악성코드는 Java의 취약점뿐만 아니라 HWP, Microsoft Office 등의 취약점을 이용하였다.

 

[그림 2] Flashback 악성코드

 

위의 두 악성코드는 Java의 취약점을 감염 경로로 이용했는데, 특히 Icefog 악성코드는 Java 뿐 아니라 다양한 프로그램의 취약점을 이용하여 윈도우와 OS X 플랫폼을 감염시켰다. 이른바 크로스 플랫폼(Cross platform) 공격인데, 하나의 취약점을 통해 다양한 플랫폼을 공격함으로써 피해자가 사용하는 플랫폼에 제약 없이 악성코드를 감염시키는 형태였다. 과거에 이어, 2014년 역시 이러한 크로스 플랫폼 공격 형태의 악성코드는 다양한 형태로 발견되었다.

 

  (2) RAT - LaoShu

2014년 1월에 발견된 LaoShu 악성코드는 피싱 메일을 통해 유포되었다. 이 메일은 유명 운송업체를 가장하고 다운로드 링크를 포함하여 사용자가 파일을 다운로드 하도록 유도하였다. PDF 아이콘으로 위장한 Laoshu 악성코드는 RAT (Remote Access Trojan) 악성코드로 분류되며, 다른 RAT 류의 악성코드와는 달리 사용자의 컴퓨터 정보, 인터넷 연결 정보, 데이터들을 탈취하는데 그 기능이 집중되어 있었다. 데이터 명의 확장자가 DOC, DOCX, XLS, XLSX, PPT and PPTX, ZIP 인 파일 정보를 탈취하였고 또 다른 파일을 다운로드 하여 스크린샷 이미지들 또한 탈취하였다.

[그림 3] (좌)유포된 이메일 전문 (출처: Sophos) / (우)스크린샷 이미지 전송 코드

 

이러한 RAT류의 악성코드들은 주로 APT(Advanced Persistent Threat) 형태로 특정 기업, 기관을 대상으로 배포, 감염되었지만, 2014년부터 대상 범위가 불특정 다수의 일반인들까지 확대되었다. 2014년에 발견되었던 뱅킹류의 악성코드에 CyberGate RAT, Gh0st RAT 등이 포함된 것이 그 예이다. LaoShu 악성코드도 주로 기업이나 기관을 대상으로 하던 기존과는 달리 일반인들을 대상으로 유포된 RAT류 악성코드의 대표적 예로, Mac 또한 윈도우와 그 흐름을 같이 하고 있다.

 

  (3) BitCoin – CoinThief

CoinThief, CoinStealer라 불리는 이 악성코드는 2014년 2월경 발견되었으며, 주 목적은 비트코인을 채굴하는 것이다. 온라인 가상 화폐의 일종인 '비트코인(Bitcoin)' 은 P2P(파일공유 시스템)를 기반으로 발행 및 거래가 이루어지는데, 이러한 비트코인의 가치가 상승하면서 이를 탈취하기 위해 Mac 에 배포된 것으로 보인다. 2014년 8월경 리눅스에서도 같은 형태의 악성코드가 Ssabobot, Bossabot 이라는 이름으로 발견되었다.

CoinThief 악성코드는 정상 애플리케이션으로 가장하여 유포되었다. 해킹으로 인해 2014년 3월에 파산한 Mt.Gox (당시 세계 최대 비트코인 거래소) 관련 애플리케이션과 유명한 게임인 'Angry Birds' 애플리케이션이 대표적이다. 또한 CoinThief 악성코드 종류 중에는 OS가 Windows인지 Mac인지 체크 후, 각 OS에 맞는 악성코드를 배포하여 감염시키기도 하였다.

 

[그림 4] (좌) Mt.Gox 를 위장한 윈도우 악성코드 실행화면 / (우) Angry Birds

 

Mt.Gox 사가 파산한 뒤, 얼마 전 세계 최대의 비트코인 거래소로 자리잡은 비트스탬프가 출금 거래를 중단했다. '거래 과정에서 문제가 감지되었다' 는 것이 그 이유인데, 이러한 불안함 속에서도 비트코인의 가치는 하락하지 않고 있다. 또한 2015년에도 인터넷 뱅킹, 모바일 뱅킹과 관련된 악성코드는 물론이며, 가상화폐 비트코인 관련 악성코드 또한 크게 증가할 것으로 보인다. 이에 Mac 또한 예외없이 이 악성코드에 대한 대비책이 있어야 할 것이다.

 

  (4) BotNet - Luaddit

iWorm이라는 이름으로도 알려진 Luaddit 악성코드는 2014년 9월 해외 보안업체 Dr. Web에 의해 발견되었다.

[그림 5] Luaddit (출처: Dr. Web)

 

Luaddit 악성코드는 일반적인 Trojan 악성코드와 유사하나, 감염된 Mac과 관련되어 확인된 IP 가 1만 7천여 개 이상이라는 것이 특이점이다. 이는 윈도우뿐만 아니라 Mac 에서도 대규모 Botnet에 감염될 수 있다는 것을 의미한다. 물론 Flashback 악성코드와 같은 Mac의 대규모 악성코드 감염 사례가 이미 있었지만, 이 Luaddit 악성코드는 윈도우와 마찬가지로 Mac 또한 악성코드로 인한 대규모 피해로부터 안전지대가 아니라는 것을 다시 한 번 확실히 보여주었다. 당시에 해당 악성코드는 애플사의 XProtect 에도 'iWorm'이라는 이름으로 업데이트되었고, 자사에서는 'Luaddit'로 진단이 가능하다.

 

  (5) Modular & Open Source - Ventir

2014년 10월에 발견된 Ventir는 다양한 기능이 모듈화된 악성코드로 확인되었다. 보통 악성코드들은 정보탈취, 원격제어 등 하나의 기능과 목적을 위해 제작되는 반면, Ventir 악성코드는 Dropper 파일 안에 키로거, 백도어, 이벤트 모니터 등의 기능들이 모두 모듈화되어 있었다. 아래 그림은 하나의 Dropper 안에서 각각의 기능을 수행하는 파일들의 위치를 보여준다.

 

[그림 6] 각 모듈의 파일 위치 (출처: Kaspersky)

 

Ventir 악성코드의 대표적 특징은 모듈들 중 오픈 소스가 사용된 점이다. 이러한 오픈 소스는 사용자들이 자유롭게 이용이 가능하며, Github 과 같은 사이트를 통한 코드 공유가 매우 편리하다. 위에서 언급한 Gh0st RAT 툴도 이러한 오픈 소스의 한 예로 볼 수 있다. 이러한 오픈 소스를 적극 활용한 악성코드 배포가 증가하게 되면, 상대적으로 악성코드로부터 안전하다고 여겨지는 Mac OS X 를 대상으로 한 새로운 악성코드 제작도 매우 쉬워진다. 따라서 이 악성코드는 그 자체로 끼치는 피해로만 그치는 것이 아니라, 다양한 악성코드 증가에도 큰 영향을 끼칠 것으로 보인다.

 

  (6) New Era - Wirelurker

가장 최근인 11월에 발견된 악성코드 Wirelurker 는 기존과 다른 새로운 형태의 악성코드였다. 윈도우가 아닌 OS X, iOS 만을 타깃으로 하여 제작되었고, 아래 그림과 같이 1. 사용자가 3rd 파티 앱스토어에서 악성코드를 다운로드 받아 설치를 하면, 2. 감염된 Mac 은 이미 감염되어 있는 악성앱을 다시 다운로드하고 USB 연결을 모니터링 한다. 3. 이후, 사용자가 아이폰을 Mac 컴퓨터와 연결했을 때 4. 악성앱이 아이폰에 설치된다.

 

[그림 7] iOS 감염 과정

 

중국에서 만든 것으로 추정되는 이 악성코드는, 기존의 정상앱 리패키징을 이용한 점, USB 연결을 통해 iOS 를 감염시킨 점, 그리고 탈옥하지 않은 스마트폰도 감염시킨다는 것이 특이점이다. 그리고 이러한 점은 과거에 발견되지 않은 형태로, 일반적으로 악성코드로부터 상당히 안전하다고 평가받는 iOS 도 안드로이드와 다름없이 위협하고 있다. 당시에 해당 악성코드로 인해 큰 피해가 발생한 것은 아니지만, OS X 와 iOS 시스템과 관련해 종전보다 한층 정교한 기술을 보여주기 때문에, 이후 나올 악성코드에 많은 영향을 끼칠 것으로 보인다.

 

 

  3. Conclusion

보통 맥 사용자들은 윈도우가 아닌 OS X를 사용한다는 이유 때문에 악성코드로부터 자유로울 수 있다고 생각할지 모른다. 물론 윈도우에 비해 맥 악성코드가 많지 않고 그 파급력 역시 현재는 크지 않기에 틀린 말은 아니다. 그러나2014년에 발견된 맥 관련 악성코드들을 살펴보면, Mac 역시 앞으로 악성코드의 위협에서 결코 자유로울 수 없다는 것을 확인할 수 있다.

위에서 언급했던 Mac 악성코드의 대표적 양상인 크로스 플랫폼 공격 형태는 2014년에 새로 등장한 게 아니라, 과거부터 현재까지 계속적으로 발견되어 온 형태의 악성코드다. 더 나아가 위에서 말했듯이 Wirelurker 악성코드처럼 기술적으로 수준이 높은 Mac의 OS만을 대상으로 한 악성코드 또한 이미 등장했다. 즉 OS X, iOS의 악성코드는 계속 진화하고 있으며, 그 속도는 점점 빨라진다는 것을 알 수 있다. 또한 RAT, Bitcoin, 오픈 소스 등을 이용한 악성코드를 통해 확인했듯이, Mac 악성코드 또한 사회적 흐름에 따라 파급 분야는 다양해지고, 기술적으로는 점점 체계화되고 정교해지고 있다.

 

이러한 악성코드 예방을 위해 최소한 아래 세 가지는 반드시 기억하도록 하자.

(1) 검증된 소프트웨어 다운로드 및 설치, 최신 업데이트

(2) 시작 시, 등록된 App 확인

 

[그림 8] (좌) 검증되지 않은 App 실행 / (우) 시작 시, 실행되는 App 설정


(3) 백신 소프트웨어 설치

 

[그림 9] 자사의 V3 for Mac

 

끝으로 윈도우든 Mac 이든 모든 기술은 완벽할 수 없다. 2015 년에는 핀테크, 사물인터넷 등 새로운 기술들이 우리 생활에 더 가까이 다가올 것이다. 그러나 국내 사용자들의 보안 인식과 패러다임을 바꾸지 않는다면 아무리 최고의 기술도, 편리한 기술도 보안 문제로 인해 자유롭게 사용할 수 없을지 모른다. 충분한 보안 인식을 토대로 했을 때에만, 사용자들은 새로운 기술을 완벽하게 누릴 수 있을 것이다.

 

V3 for Mac 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

OSX64-Trojan/Laoshu

OSX32-Dropper/Luaddit

OSX64-Trojan/Wirelurker 외 다수.

저작자 표시 비영리 동일 조건 변경 허락
신고
Posted by DH, L@@

 

1. 스마트폰 뱅킹 사용자 대상 공격 심화

2. 스마트폰 결제 서비스 노린 새로운 위협 등장

3. 스미싱(Smishing) 고도화

4. 사물인터넷(IoT)에 대한 스마트폰 보안의 중요성 대두

 

- 2014년 한 해 안랩이 수집한 스마트폰 악성코드 총 143만 247개로 보안위협 증가

 

안랩(대표 권치중, www.ahnlab.com)이 2014년 스마트폰 악성코드 통계와 2015년에 예상되는 국내 모바일 보안 위협 트렌드 4가지를 분석해 발표했다. 

 

먼저, 안드로이드 기반 스마트폰 사용자를 노리는 악성코드는 지난 해 누적 총 143만 247개로 나타났다. 이는 2013년(125만 1,586개) 대비 14.2% 증가한 수치이며, 2012년(26만 2,699개)보다 444%(5.4배) 증가한 수치이다.

 

또한, 스마트폰 악성코드는 2011년 8,290개에서 2012년 약 26만개로 폭발적으로 증가했고, 2013년에 100만개를 돌파한 이후 지속적으로 증가하고 있다(보충자료 참조).

 

이 중(스마트폰 악성코드 143만 247개) 스미싱 악성코드의 경우, 2014년 한 해 동안 총 10,777개가 발견됐다. 이는 2013년(5,206개) 대비 약 107%(2배), 2012년(29개) 대비 37,062%(371배) 증가한 수치이며, 역시 꾸준히 증가세를 보이고 있다(보충자료 참조).

 

올해도 모바일 악성코드의 양적인 증가추세는 이어질 것으로 보이는 가운데, 안랩은 ▲스마트폰 뱅킹 사용자 대상 공격 심화 ▲스마트폰 결제 서비스 노린 새로운 위협 등장 ▲스미싱(Smishing) 고도화 ▲사물인터넷(IoT)의 중심으로서의 스마트폰 보안의 중요성 대두 등의 2015년 모바일 보안 위협 트렌드를 발표했다.

 

1. 스마트폰 뱅킹 사용자 대상 공격 심화

2014년에 많이 발견된 뱅킹 악성코드는 양적인 증가와 함께 주로 문자메시지나 SNS에 URL 사용에서 공유기 DNS를 변조하거나, 정상마켓을 통해 악성 앱을 유포시키는 방식으로 발전을 보였다. 이렇게 스마트폰 뱅킹 관련 악성코드가 진화함에 따라, 금융기관에서는 다채널 인증 도입 등 인증절차를 강화하고 있다. 하지만, 공격자도 이러한 강화된 보안기법들의 취약점을 다양한 방법으로 분석해 이를 우회 시도할 것으로 보인다.

 

2. 스마트폰 결제 서비스 노린 새로운 위협 등장

'핀테크(FinTech, Financial + Technology, 금융과 IT의 융합)' 개념이 적용된 여러 스마트폰 결제 서비스가 본격적으로 도입됨에 따라 이를 노리는 보안 위협 또한 증가할 수 있다. 국내 금융기관(출처: 키움증권 '2015년 유통산업 전망' 보고서)의 조사에 따르면, 2014년 3분기에 모바일 쇼핑 거래액은 3조9천억원이었고, 올해 4분기까지 8조1천억원까지 증가할 것으로 예상했다. 이런 추세에 맞춰 해외에서는 모바일 결제를 노린 공격이 발생한 바 있고, 국내에서도 모바일 앱카드 명의도용이 발생하기도 했다. 스마트폰 결제 서비스의 편리함으로 사용자가 늘어나는 만큼, 이를 노리는 보안위협도 증가할 것으로 예상된다.

 

3. 스미싱(Smishing) 고도화

올해 스미싱 악성코드는 양적 증가와 함께 유포방식 및 유형 등도 더욱 고도화 될 것으로 보인다. 초기 스미싱은 이벤트 당첨, 선물 증정과 같은 단순 문구에 URL을 포함시켜 악성 앱 다운로드를 유도했다. 하지만 최근에는 민원발생 등 생활밀착형 스미싱, 시즌별 맞춤형 스미싱 문구와 함께, 정상 모바일 사이트와 구분하기 어려운 정교한 가짜 사이트를 제작해 사용자를 속이는 방식 등 사용자를 속이기 위한 다양한 방식으로 진화를 거듭하고 있다. 2015년에는 사용자를 속이기 위한 방식의 고도화와 스미싱 탐지 보안제품을 우회하기 위한 시도도 증가할 것으로 보인다. 특히, 최근에는 스미싱 형태로 유포되는 악성코드 중 상당수가 스마트폰 뱅킹을 노리는 악성코드로, 실제 금융피해를 발생 시킬 수 있다.

 

4. 사물인터넷(IoT)의 중심로서 모바일 보안의 중요성 대두

IoT(사물인터넷, Internet of Things)는 유/무선 망으로 연결된 기기들끼리 서로 통신을 하며 정보를 주고 받으며 다양한 편익을 제공하는 것으로, 많은 전문가들이 2015년에는 IoT환경이 생활 속에 녹아들 것으로 예상하고 있다. 스마트폰으로 조종하는 보일러나 TV, 조명 등에서와 같이 IoT 환경에서 스마트폰은 각 기기의 컨트롤과 정보흐름에 있어서 중심으로 성장할 가능성이 높다. 따라서, 앞으로 펼쳐질 IoT환경에서 사회혼란이나 생활불편 초래를 노리는 공격자는 각 기기에 대한 개별 공격이 아니라, 그 중심에 서있는 스마트폰에 대한 보안위협을 가할 가능성이 높다.

 

안랩은 스마트폰 보안위협을 최소화 하기 위해서 3대 보안수칙을 제시했다.

1)문자 메시지나 SNS(Social Networking Service)등에 포함된 URL 실행을 자제해야 한다. 만약 수상한 URL을 실행하고 앱을 설치 했을 시에는 모바일 전용 보안 프로그램을 통해 스마트폰을 검사하는 것이 필수다.

2)반드시 모바일 전용 보안 앱(V3 Mobile 등)나 스미싱 탐지 앱을 설치하고 자동업데이트 등으로 항상 최신 엔진을 유지한다. 또한, 보안 앱으로 주기적으로 스마트폰을 검사하는 것이 좋다.

3)공식 마켓 이외의 출처의 앱 설치 방지를 위해 "알 수 없는 출처[소스]"의 허용 금지 설정을 하고, 공식 마켓에도 악성 앱이 등록되어 있을 수 있어 평판 정보를 반드시 확인해야 한다.

 

안랩 ASEC 이승원 책임연구원은 "최근 스마트폰은 금융 결제, 쇼핑, 업무정보 저장 등 활용범위가 대단히 늘어났고, IoT환경에 발맞춰 더욱 확대될 것으로 예상된다. 이에 따라, 사용자와 기업과 같은 모든 보안 주체에서 보안에 대해 진지하게 생각하는 것이 중요하다."고 말했다.

 

 

[보충자료]

1. 2012~2014년 스마트폰 악성코드 통계



 

2. 2012~2014년 스미싱 악성코드 통계



 

3. 스마트폰 사용자 3대 보안수칙



저작자 표시 비영리 변경 금지
신고
Posted by DH, L@@

안랩 ASEC에서 2013년 11월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2013 Vol.47을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 11월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

PC 내 파일을 암호화하는 랜섬웨어 CryptoLocker

악성 매크로를 포함한 엑셀 파일

USB에 생성되는 ‘바로가기’ 파일

MS 오피스 제로데이 취약점(CVE-2013-3906) 주의

새터민 자기소개서로 위장한 악성 한글 파일 출현

신용카드 명세서로 위장한 악성코드 변종 유포

가짜 음성 메시지가 첨부된 악성 스팸 메일 등장

동영상 파일로 위장한 악성코드

이력서 문서 파일로 위장한 실행 파일


2) 모바일 악성코드 이슈

정상 앱을 가장한 광고 앱 주의

신뢰할 수 있는 기업의 웹사이트로 위장한 모바일 사이트

음란 페이지로 가장해 모바일 악성 앱 배포

웹서핑 중 자동으로 다운로드 되는 앱


3) 보안 이슈

비트코인 지갑 저장소를 노린 공격 발생

Apache Struts 2 취약점 업데이트 권고


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.47 발간



저작자 표시 비영리 변경 금지
신고
Posted by 비회원

안랩 ASEC에서 2013년 10월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2013 Vol.46을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 10월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

IE 취약점(MS13-080) 주의보!

웹하드 사이트에서 유포된 백도어 악성코드 발견

반복 감염 유발하는 USB 악성코드 발견

일반 사용자에게도 유포된 이력서 첨부 파일

화면보호기 확장자(.scr)를 이용한 악성 파일


2) 모바일 악성코드 이슈

모바일 메신저 피싱 앱 설치하는 악성 앱 등장

암호화된 안드로이드 악성코드의 등장

공공기관 및 기업 사칭 스미싱 증가


3) 보안 이슈

스팸 메일을 발송하는 다리미?

PHP.net 해킹으로 인한 악성코드 유포

DNS 하이재킹을 통한 홈페이지 해킹

어도비 해킹 피해자, 3800만 명으로 증가


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.46 발간

저작자 표시 비영리 변경 금지
신고
Posted by 비회원