29
1 Security Trend 2015. 06 안랩 온라인 보안 매거진
1
Security Trend
2015. 06
안랩 온라인 보안 매거진
2
3
5
1 0
1 3
1 6
2 1
2 4
2 5
월간
C O N T E N T S
E x p E r T C O l u m N
최신 보안 용어 6선
보안 트렌드를 읽기 전, 꼭 알아야 할 용어들
S p E C i a l r E p O r T
2015년 상반기, 주목해야 할 악성코드
주요 키워드는 ‘귀환?’ … 올드보이의 화려한 컴백
H O T i S S u E
한글 제로데이 취약점
‘최신 패치 버전’에서 동작하는 한글 제로데이 악성코드
C a S E S T u d y
안랩 엔드포인트 보안 4개 제품 연동…통합 보안 시스템 구축
보람상조그룹, 꼭 맞는 보안 시스템을 찾다
T H r E aT a N a ly S i S
테슬라크립트 랜섬웨어 상세 분석
‘몸값’ 없이 파일 복구가 가능한 랜섬웨어
i T & l i f E
디스크 정리로 PC 저장 공간 늘리기
윈도 7에서 백업 설정하기
a H N l a b N E w S
안랩, ‘APT 공격에 대한 모니터링’ 설문 결과 발표
고객 주도형 보안 전략 세미나 ‘안랩 ISF 스퀘어 2015’ 개최
S TaT i S T i C S
2015년 4월 보안 통계 및 이슈
2015. 06
3
최신 보안 용어 6선
보안 트렌드를 읽기 전, 꼭 알아야 할 용어들
E x p E r T C O l u m N Security Terminology
진화하는 악성코드만큼이나 보안 용어도 복잡하고 어렵다. 특히 많은 보안 용어들이 약자로 표현되고 있어, 이를 알지 못하면 대화의
내용을 파악하기 힘들 정도이다. 그렇다면 최근 이슈가 되고 있는 보안 용어에는 어떤 것들이 있을까? 어떤 용어들이 새롭게 생겨났으
며, 어떤 용어가 보안 업계의 상황을 반영하고 있을까? 수많은 보안 용어 가운데 보안 트렌드를 이해하기 위해 꼭 알아야 할 몇 가지
용어를 소개하고자 한다. 이 용어를 익혀두면 빠르게 변화하고 있는 보안 트렌드에 대해 좀더 나은 정보를 얻게 될 것이다.
위협 인텔리전스(TI, Threat Intelligence)
“RSA Conference 2015의 주요 핵심 테마는 TI이며, 키노트 주제로는
TI, Data Analytics, Cloud 등이 공통적인 내용이다. 대다수의 글로벌
벤더들이 APT와 같은 보안 위협에 대응하기 위해서 GTI가 중요하며,
이를 위해서는 벤더간 정보 공유가 필요하다는 것에 공감대를 형성하
고 있다. 이에 따라 TIP와의 연동을 고려해 CPE, STIX, TAXII, CybOX
를 준비해야 한다. 또한 지난해와 달리 EDR 벤더 40여 개사가 참가하
는 등 관련 분야가 각광받고 있는 것을 확인할 수 있었다.”
RSA 콘퍼런스 2015에 다녀온 동료가 이렇게 얘기해준다면 얼마나 이
해할 수 있을까? 실제로 RSA 콘퍼런스 2015의 주제는 TI였으며, 최근
몇 년간 보안 관련 콘퍼런스에서 가장 많이 언급되는 단어 역시 TI이다.
여기서 말하는 TI는 위협 인텔리전스(Threat Intelligence)의 약자이며,
관련하여 GTI(Global Threat Intelligence), TIP(Threat Intelligence
Platform), TISS(Threat Intelligence Security Service) 등과 같은 표
현도 많이 사용된다.
시장조사 기관 가트너에서는 위협 인텔리전스(Threat Intelligence)에
대해 ‘증거를 기반하는 지식으로, 기업의 IT나 정보자산에 위협이 될 수
있는 부분에 실행 가능한 조언을 콘텍스트나 메커니즘, 지표 등으로 제
시하는 정보’로 정의하고 있다.
또한 IDC에서는 위협 인텔리전스란 ‘기업 내부의 과거 보안 사건 정보
뿐만 아니라 기업 커뮤니티, 관련 안티바이러스나 취약점 관련 정보를
가진 벤더와의 커뮤니티, 국가 보안 커뮤니티의 정보를 보안 위협 대응
에 활용하는 것’을 의미하며, 이를 인터랙티브 인텔리전스(interactive
Intelligence)라고도 표현한다.
위협 인텔리전스와 관련한 메타데이터 표준 포맷 프로젝트의 약자는
다음과 같다.
■ STIX(Structure Threat Information eXpression): 사이버 위
협 정보 관련 표준
■ TAXII(Trusted Automated eXchange of Indicator Infor-
mation): 사이버 위협 정보 전송 규격
■ CVE(Common Vulnerabilities and Exposures): 공격 취약
점 관련 표준
■ CPE(Common Platform Enumeration): 공격 타깃 플랫폼
관련 표준
■ MAEC(Malware Attribute Enumeration and Character-
ization): 악성코드 속성 정보 관련 표준
■ CybOX(Cyber Observables eXpression): 사이버 운영 오브
젝트 관련 표준
■ MMDEF(Malware Metadata Exchange Format): 악성코드
정보 공유 관련 표준
4
참고로 가트너에서는 EDR(Endpoint Detection & Response)이란 엔
드포인트 레벨에서 지속적인 모니터링과 대응을 제공하는 보안 솔루션
으로 정의하고 있다.
사이버 킬 체인(Cyber Kill Chain)
APT(Advanced Persistent Threat)라고 불리는 지능형 위협 공격을
설명하는데 주로 사용되는 용어 중 하나가 ‘사이버 킬 체인(Cyber Kill
Chain)’이다. 킬 체인(Kill Chain)은 세계적인 군수업체 록히드마틴의
등록상표로, 적의 미사일을 실시간으로 탐지하고 공격으로 잇는 일련
의 공격형 방위시스템을 일컫는 시사 용어이다. 이 용어가 IT 보안 업계
에서는 공격자가 조직을 공격할 때 쓰는 방법을 7개의 단계로 정의한
모델로서 사이버 킬 체인으로 표현되고 있는 것이다. 사이버 킬 체인의
7단계는 ▲정찰(Reconnaissance) ▲공격코드 제작(Weaponization)
▲전달(Delivery) ▲취약점 공격(Exploitation) ▲설치(Installation) ▲
명령 및 제어(Command and Control) ▲목표 시스템 장악(Actions
on objectives) 등이다.
머신 러닝(Machine Learning)
머신 러닝은 인공 지능의 한 분야로, 컴퓨터가 주어진 데이터의 패턴을
검증하고 컴퓨터가 스스로 학습하는 것을 말한다. 가령, 머신 러닝을
통해서 수신한 이메일이 스팸인지 아닌지를 구분할 수 있도록 훈련할
수 있다.
익스플로잇(Exploit)
TTA(한국정보통신기술협회) 용어 사전에 따르면 익스플로잇(Exploit)
은 컴퓨터나 컴퓨터 관련 전자제품의 보안 취약점을 이용한 공격 방법
으로 정의하고 있다. 취약점 공격은 주로 공격 대상 컴퓨터의 제어 권
한 획득이나 서비스 거부 공격(DoS) 등을 목적으로 한다. 취약점 공격
에는 보안 취약점의 종류에 따라 BOF 취약점 공격, CSRF 취약점 공격,
XSS 취약점 공격 등이 있다.
멀버타이징(Malvertising)
멀버타이징은 멀웨어(Malware)와 애드버타이징(Advertising)의 합성
어로, 온라인 인터넷 광고에 악성코드를 포함해 사용자들을 공격하는
형태를 일컫는다.
워터링 홀 공격(Watering Hole Attack)
‘워터링 홀 공격’이라는 명칭은 사자가 먹이를 습격하기 위해 물웅덩이
(watering hole) 근처에서 매복하고 있는 형상을 빗댄 것으로, 표적 공
격이라고도 한다. 공격자는 공격 대상이 주로 방문하는 웹사이트에 대
한 정보를 사전에 파악한 후 제로데이 취약점 등을 이용해 해당 사이트
에 악성코드를 심어둔다. 사용자는 해당 웹사이트에 접속하기만 해도
악성코드에 감염될 수 있다.
지금까지 최근 보안 트렌드를 언급할 때 거론되는 몇 가지 보안 용어
를 소개했다. 이 가운데 위협 인텔리전스는 최근 전 세계 보안 업계에
서 가장 핫 이슈가 되고 있는 용어라는 점에서 주목해야 할 필요가 있
다. 또한 보안 위협의 트렌드를 파악하고 이에 대비를 원한다면 보안뿐
만 아니라 IT 분야의 최신 트렌드에 대해서도 관심을 가질 필요가 있다.
5
2015년 상반기, 주목해야 할 악성코드
2015년 상반기 악성코드 관련 주요 특징은 기존 악성코드의 재조명이라고 할 수 있다. ‘하늘 아래 새로운 것은 없다(There is
Nothing New)’는 말처럼 최근 이슈가 되고 있는 악성코드는 기존 악성코드에 새로운 기법을 적용한 모습이다. 그러나 악성코드의
경우 이미 알고 있는 것이라도 조그만 변형이라도 더해지면 전혀 새로운 공격이므로 방어가 쉽지 않다. 이러한 악성코드로는 랜섬웨
어, 스팸메일을 이용한 어파트레(Upatre), SCR(Screensaver) 악성코드, 매크로 악성코드 등이 있다.
이 글에서는 2015년 상반기 주요 악성코드의 공격 사례와 예방 방법에 대해 살펴본다.
주요 키워드는 ‘귀환?’ …
올드보이의 화려한 컴백
공포의 대상이 된 랜섬웨어
2015년 상반기 국내에서 가장 큰 이슈가 된 악성코드를 꼽자면 단연 랜섬웨어(Ransomware)이다. 랜섬웨어는 2013년부터 해외에서 본격적으
로 주목받기 시작했으나, 그 이전에 이미 등장한 악성코드이다. 해외에서와는 달리 그동안 국내에서는 큰 영향을 미치지 않았다. 그러나 지난해
PC 감염 사례가 보고되기 시작한 이후 최근에는 국내 일부 기업과 기관의 피해 사례가 발생한 것으로 알려졌다. 특히, 지난 4월 국내 커뮤니티
사이트를 통해 ‘크립토락커(CryptoLocker)가 유포되면서 랜섬웨어의 위험성이 수면 위로 드러났다.
Security TrendS p E C i a l r E p O r T
5
[그림 1] 한글로 표기된 랜섬웨어 ‘크립토락커’ 감염 경로
66
이 크립토락커는 사용자 시스템의 취약점을 이용한 전형적인 웹 기반의 DBD(Drive-By-Download) 방식을 통해 감염이 이루어졌다. 국내에서
많은 사용자들을 보유하고 있는 유명 커뮤니티 사이트에 접속하면 취약한 사이트로 리다이렉션(Redirection)되면서 특정 취약점에 의해 랜섬웨
어 악성코드가 다운로드되고 실행된 것이다.
일반적인 랜섬웨어는 PC에 저장된 문서나 동영상 등의 파일을 암호화한 뒤 사용자에게 암호를 풀어주겠다는 조건으로 금전을 요구한다. 이번
한글로 표기된 크립토락커는 암호화된 파일들을 복원하기 위해 한화 약 438,900원의 비트코인을 요구했다. 피해자들이 비용 지불을 쉽게 할 수
있도록 결제 방법을 상세하게 설명하고 있으며 실제 복원됨을 증명하기 위해 암호화된 파일 중 1개의 파일을 무료로 복호화해주고 있다. 이를
통해 악성코드 제작자는 중요한 파일을 암호화하여 사용자의 금액 지불을 유도했다.
지금까지 랜섬웨어는 미국과 유럽 등지에서 많이 유포되고 있는 상황인데, 이번 크립토락커는 한글로 표기되어 우리나라도 더 이상 랜섬웨어의
안전지대가 아님을 증명하고 있다.
랜섬웨어가 공포의 대상이 된 이유는 변종이 계속 등장하고 있기 때문이다. 실제로 한글판 랜섬웨어 이후 과도한 트래픽을 일으켜 사이트를 마
비시키는 디도스(DDoS, 분산서비스거부) 공격 기능을 갖춘 랜섬웨어가 등장하기도 했다. 또한 랜섬웨어에 감염되면, 금전을 지불하더라도 파일
을 정상화할 수 없는 경우가 대부분이어서 두려움의 대상이 되고 있는 것이다. 이외에도 모바일을 겨냥한 랜섬웨어, 게이머들의 돈을 노리는 랜
섬웨어가 발견되는 등 수법이 더욱 정교해지고 있어 각별한 주의가 필요하다.
이러한 랜섬웨어에 감염되지 않으려면 사전 예방이 중요하다. 최근 보고된 랜섬웨어의 감염 경로 가운데 가장 많은 것이 스팸메일을 이용한 것
이다. 따라서 출처가 불분명하거나 분명한 출처의 이메일이라도 스팸성으로 의심되면 메일이나 첨부 파일의 실행을 자제하고 삭제해야 한다. 또
한 자신이 사용하는 OS에 따라 업무 및 기밀 문서 등의 주요 파일을 백업하고, 백업한 파일은 PC 저장 장치 외에 외부저장 장치에 별도로 저장
하는 것이 안전하다.
중요한 문서라면 ‘읽기전용’으로 설정하는 것도 피해 예방에 도움이 된다. 대부분의 랜섬웨어는 파일을 수정하면서 암호화를 시도하기 때문에 중
요 파일을 수정하거나 편집한 후에는 읽기전용으로 속성을 변경하면 일부 랜섬웨어에 의한 파일 수정(암호화)을 막을 수 있다. 즉, 중요도가 매
우 높은 문서의 속성을 읽기전용으로 설정하여 보관하다가 수정이 필요하면 해당 속성을 해제한 후 수정하고, 수정이 끝나면 다시 속성을 읽기
전용으로 바꾸어 보관하는 것이다.
또한 백신 소프트웨어 설치와 운영체제의 보안 패치 적용 등과 같이 기본적인 보안 수칙을 지키는 것은 필수이다.
스팸메일로 유포되는 Upatre 악성코드 기승
앞서 언급한 랜섬웨어에서 확인할 수 있듯이 현재 전 세계적으로 스팸메일은 악성코드의 가장 효과적인 유포 경로로 악용되고 있다.
스팸메일을 통한 악성코드 감염은 메일 본문 내의 링크를 클릭하도록 유도하여 악성 파일을 내려 받게 하거나 문서 파일 등으로 가장한 첨부 파
일을 실행하도록 유도하여 시스템에 악성코드를 감염시키는 형태이다.
국내에서는 지난해 후반부터 올해 상반기까지, ‘어파트레(Upatre)’ 악성코드가 첨부된 스팸메일이 국내에서도 지속해서 대량 유포되고 있다. 어
파트레 악성코드는 해외에서는 2013년 8월경부터 본격적으로 등장하여 지속적인 증가세를 보이고 있는 것으로 알려졌다.
어파트레 악성코드는 변형에 따라 차이가 있지만 공통적으로 ▲스팸메일 내 첨부 파일(최초 파일) 실행 시 자기 복제본 생성 ▲C&C 접속 시도
및 추가 악성코드 다운로드 ▲정상 PDF 파일 실행으로 정상처럼 위장 ▲지속적인 C&C 통신 및 정보 탈취 등의 동작을 수행한다.
[그림 2] 한글로 표기된 랜섬웨어 ‘크립토락커’ 감염 화면
7
[그림 3] 스팸메일을 통한 어파트레(Upatre) 유포
[그림 5] 정상 PDF 실행 화면
[그림 4] 스팸메일 첨부 파일(Dropper) 및 생성 파일(invoice121.exe 외 나머지)
이 어파트레 악성코드를 포함한 스팸메일은 사용자에게 클릭을 유도하기 위해 doc, document, invoice, ticket, photo 등의 문구를 주로 사용
한다.
최근 안랩에 접수된 어파트레 변형은 ‘invoice’라는 메일 제목으로 유포되었다. 메일의 첨부 파일에는 [그림 4]와 같이 PDF 아이콘으로 위장한
실행 파일 ‘invoice1212.exe’가 있다.
메일에 첨부된 악성 파일 ‘invoice1212.exe’를 실행하면, 파일을 생성하고 C&C 서버에 접속을 시도하여 추가 악성코드를 다운로드한다. 특히,
이 악성코드는 이러한 사실을 숨긴 채 [그림 5]와 같이 정상 PDF 파일을 실행하여 사용자에게 악성코드 감염 사실을 숨기려 한다. 그러나 이러
한 대부분의 악성코드는 금융정보 탈취 등의 인포스틸러(Infostealer) 기능을 가진다.
7
8
현재 어파트레 악성코드 변형은 꾸준하게 발견되고 있다. 이를 예방하기 위해서는 메일을 열람할 때 앞서 언급한 스팸메일에 자주 등장하는 문
구가 있는지 주의 깊게 살펴보아야 한다. 또한 메일 솔루션에서 이러한 문구는 필터링을 설정해두는 것도 좋은 방법이며, 출처가 불분명한 메일
은 열람하지 않는 것이 바람직하다.
SCR(화면보호기) 위장 악성코드 위협은 ‘진행 중’
대다수 PC 사용자에게 SCR 확장자는 생소하다. SCR(Screensaver)은 화면보호기의 확장자이다. 일반 사용자들이 생각하는 화면보호기는 일정
시간 동안 키보드나 마우스에서 입력이 없으면 PC 모니터에 여러 화면을 나타내는 기능을 하지만, SCR 확장자도 악성 파일로 사용할 수 있다는
점에서 주의가 필요하다.
[표 1]은 안랩이 모니터링한 악성 SCR 파일 중 일부를 표시한 것이다. 이 표에서 볼 수 있듯이 지난해부터 올해 상반기까지 SCR 악성코드가 지
속적으로 발견되고 있다. 이 파일들은 안랩 샘플 중 일부만 나열한 것이며 그 종류는 더 다양하다.
[표 1]의 파일명과 실행 시 그림 화면을 봤을 때 추석 인사, 새해 인사, 연하장, 레이싱걸 사진부터 북한 인민회의 김정은 결석, 통계자료, 국민 안
보의식 조사서 등과 같이 정치와 관련된 내용도 있다. 이 파일들의 특징은 두 가지다. 첫 번째는 그림 모양의 아이콘을 갖고 있고, 실행하면 내부
에 있던 광고나 문서 캡처 등 그림 파일이 실행된다. 해당 파일은 C드라이브 특정 경로에 PE 파일을 생성하고 사용자 정보를 유출한다.
이런 파일이 국가 주요 기관이나 기업에 전달된다면 사용자의 중요한 정보가 유출될 수 있으며, 추가 명령을 받아 실행할 수 있다. 또 과거부터
현재까지 지속적으로 발견되고 있어 주의가 필요하다.
[표 1] SCR 확장자의 악성코드
[그림 6] SCR 확장자 악성코드 실행 시 보이는 그림 파일 캡처 화면
8
9
매크로 악성코드의 부활
매크로 악성코드는 1995년 등장해 오피스 사용자들을 대상으로 널리 퍼졌다가 2000년 초에 거의 사라졌다. 하지만 놀랍게도 탄생 20년이 된
2014년부터 조금씩 증가하면서 올해에는 매일 1~2개의 신종 매크로 악성코드가 발견되고 있다.
2015년 3월 언론을 통해서도 매크로 악성코드의 부활에 대해 기사화되기 시작했다.
[그림 7] 오피스 악성코드 증가 기사
[표 2] 매크로 악성코드 고객 접수 수
실제로 2012년부터 2015년 5월 현재까지 안랩에서 고객으로부터 접수된 매크로 악성코드 수는 [표 2]와 같으며, 2015년 5월까지 발견된 수가
2014년 한해 동안 발견된 매크로 악성코드보다 많은 것을 확인할 수 있다.
공격자는 보통 이력서, 주문서 등을 가장한 메일을 보내 첨부된 문서를 열게 만든다. 아직 한글로 작성된 유형은 없고 대부분 영문 메일이지만
가끔 유럽 지역 언어로 된 메일과 문서도 존재한다. 또한 워드 문서 형태의 악성코드가 대부분이어서 국내에서는 한글과컴퓨터 한글 워드프로세
스 사용자가 많아 개인 사용자는 상대적으로 피해가 적다. 하지만, 외국과 교류가 잦은 기업 등을 중심으로 피해가 발생하고 있다.
오피스에서 매크로 기능은 기본적으로 사용하지 않음으로 설정되어 있다. 그러나 요즘 다시 등장한 매크로 악성코드는 사용자가 매크로 기능을
활성화하도록 유도한다. 이른바 사회공학(Social Engineering) 기법이 이용되고 있는 것이다. 가장 널리 사용되는 방법은 문서 내용을 알아보지
못하게 하고 매크로를 사용하면 내용을 볼 수 있다고 유도하는 방법이다. 매크로 기능을 활성화하면 화면 변화 없이 악성코드만 실행되는 경우
가 있다. 하지만, 다른 내용을 보여줘 사용자를 속이는 형태도 존재하며, 주로 엑셀 파일에서 볼 수 있다.
공격자는 매크로 악성코드를 이용해 다양한 다른 악성코드를 다운로드하거나 생성할 수 있다. 최종적으로 사용자 컴퓨터에 감염되는 악성코드
는 ▲사용자 정보 유출 ▲금융 정보 탈취 ▲원격 제어 등의 기능을 수행한다.
최근 증가하고 있는 매크로 악성코드는 우리나라 사용자보다는 외국 사용자를 대상으로 제작되고 있다. 하지만 앞으로 국내 사용자를 대상으로
한글로 작성된 문서가 공격에 이용될 가능성도 있다. 따라서 매크로 메일의 첨부된 문서 파일을 열 때 조심해야 하고 무엇보다 오피스의 매크로
기능은 비활성화 상태를 유지하는 게 중요하다.
년도 접수 수
2012년 22개
2013년 50개
2014년 108개
2015년 1~5월 387개
9
10
Zero-dayH O T i S S u E
10
최근 한글 프로그램의 최신 패치 버전에서 동작하는 제로데이 악성코드가 발견되어 사용자들의 각별한 주의가 요구된다. 이 악성코
드는 지난 2015년 3월 31일 배포된 최신 업데이트 패치가 적용된 상태에서도 동작하도록 제작되어 충격을 주고 있다. 이번에 발견
된 악성코드는 이메일 첨부문서 파일 형태로 유포됐으며, 해당 취약점이 발생하는 버전은 한글 2007, 2010, 2014이다.
안랩은 이번 취약점과 이를 악용하는 악성코드를 최초로 발견하였으며, 발견 즉시 V3 제품군 엔진을 업데이트하고 한글과컴퓨터 및
유관 기관에 취약점 분석 정보를 공유했다. 한글과컴퓨터는 지난 5월 21일, 관련 취약점을 개선한 보안패치를 배포했다. 피해를 예방
하기 위해서는 해당 보안 업데이트(2015.05.21)를 다운로드하여 설치하거나 자동 업데이트 기능을 이용해 최신 버전으로 업데이트
해야 한다.
지난 5월 12일, 한글 프로그램의 알려지지 않은 ‘제로데이 취약점’을
악용한 악성코드가 유포됐다. 이 악성코드는 당시 최신 버전의 한글
프로그램(2015년 3월 31일 업데이트 버전)이 설치된 환경에서도 사
용자가 이메일에 첨부된 악성 한글 문서파일을 실행하면 사용자 몰래
PC에 설치되어 다운로더 기능을 가진 악성 파일을 생성하며 주기적
으로 특정 웹사이트로 접속을 시도한다. 최신 제로데이 한글 취약점을
이용한 악성코드의 구조 및 동작 방식을 자세히 살펴보자.
최신 한글 취약점 상세 분석
해당 취약점은 공격자가 한글 파일의 ‘HWPTAG_PARA_TEXT’ 레코드
에 사용된 확장 컨트롤(0x03)을 조작해 임의로 설정해둔 주소로 분기
하게 함으로써 발생한다. [그림 1]은 해당 한글 문서 파일의 섹션별 구
조이다. [그림 1] 악성 한글 파일의 섹션 구조
‘최신 패치 버전’에서 동작하는
한글 제로데이 악성코드
1111
해당 한글 파일의 15개 섹션 중 “Section0”에는 정상적인 문자열 정보
와 취약점을 발생시키는 ‘HWPTAG_PARA_TEXT’ 레코드가 존재한다.
마찬가지로 “Section1~Section14”도 “Heap Spray + ShellCode”
삽입을 위한 ‘HWPTAG_PARA_TEXT’ 레코드를 갖고 있다.
해당 취약점은 [그림 2]와 같이 “Section0” 본문 내의 특정 아랍어 문
자를 처리하는 과정에서 발생하였다. 해당 아랍어의 범위는 유니코드
(Unicode)로 0x988 오프셋의 0x0634에 해당된다.
[그림 5]와 같이 제어문자 “03” 레코드에서 참조하는 가상주소 항목
에 “0x0D0C0D0C” 값이 설정되어 있으며 해당 주소의 4바이트 값
을 셸코드 분기에 사용한다. 정상적인 한글 파일의 경우 익스텐디드
(extended)형 레코드의 가상주소 영역은 NULL로 초기화되어 있으며,
한글 실행 후 자동으로 주소 값이 설정된다.
[그림 6]과 같이 “0x0D0C0D0C” 주소의 메모리에는 “Section1~Sec-
tion14”에 의해 채워진 SledCode(No-Operation Code)가 존재하며,
“0x0D0C0D0C” 주소에 저장된 “0x0B0C0B04” 주소로 분기가 발생한다.
[그림 8]과 같이 공격자가 설정한 주소로 분기하기 위해 “CALL EAX”
명령어를 수행한다.
“CALL EAX” 명령에 의해 분기한 “0x0B0C0B04” 메모리 영역에는 [그
림 9]와 같이 힙스프레이(HeapSpray)된 SledCode가 존재하며 NOP
명령을 수행하다가 유효 셸코드를 실행한다.
한글 파일은 문서 내 문자열이 유니코드 형태로 구성되며, 한 글자당
2바이트 크기를 갖는다. 따라서 ‘HWPTAG_PARA_TEXT’ 버퍼 내에
서 특정 문자열이 참조되는 위치는 ‘문자열 개수 x 2’ 오프셋에 해당하
며, 취약점은 [그림 3]과 같이 문단 내 ‘HWPTAG_PARA_TEXT’ 버퍼의
0xCF번째 문자열을 참조하는 과정(0xCF * 2 = 0x19E 오프셋 영역)에
서 발생한다.
[그림 4]는 ‘HWPTAG_PARA_TEXT’ 버퍼 내 0x19E 오프셋 영역에 해
당하며, “03” 제어문자 레코드의 시작으로 인식되지만 정상적인 구조
에서는 레코드의 시작으로 인식되지 않는 영역이다. 이 악성 한글 파일
의 경우, 해당 구간을 레코드로 인식하도록 하기 위해 0xCF 값을 버퍼
내의 오프셋 참조 번지로 사용하였다.
문서 본문 내 ‘HWPTAG_PARA_TEXT’ 레코드에서 “03” 제어문자는
[그림 5]와 같이 익스텐디드(extended) 컨트롤 형식으로 구성되며, 레
코드 버퍼의 시작부터 6바이트 건너뛴 위치에 4바이트의 가상주소 값
을 갖는다.
[그림 2] 악성 한글 파일 내 취약점 발생 영역
[그림 3] 취약점이 발생하는 버퍼 내 오프셋 구간
[그림 4] ‘HWPTAG_PARA_TEXT’ 버퍼 내 0x19E 오프셋 영역
코드 설명 컨트롤 형식
0 unusable char
1 예약 extended
2 구역 정의 / 단 정의 extended
3
필드 시작
(누름틀, 하이퍼링크, 블록 책갈피, 표 계산식,
문서 요약, 사용자 정보, 현재 날짜/시간,
문서 날짜/시간, 파일 경로, 상호 참조,
메일 머지, 메모, 교정부호, 개인정보)
extended
[표 1] 제어문자별 컨트롤 형식
[그림 5] 취약점 발생 구간
[그림 9] “0x0B0C0B04” 메모리 이후 유효 셸코드
[그림 6] 제어문자 “03” 레코드의 가상주소 조합 부분
[그림 8] “0x0B0C0B04” SledCode 영역으로 분기하는 구간
[그림 7] 가상주소에서 참조하는 “0x0D0C0D0C” 주소
1212
취약점 발생 이후 해당 악성코드는 %Temp% 경로에 smss.exe 파일
을 생성하며 다운로드 기능을 수행한다. V3 제품군은 현재 이 smss.
exe 파일을 ‘Win–Trojan/Hwdoor.107620’으로 진단하고 있다.
[그림 10] 악성 파일 smss.exe 생성
생성된 smss.exe 파일은 실행 시점에 따라 다음 2개의 URL 중 한 곳
에서 다운로드를 시도한다. 이때 다운로드 받은 파일은 %AppData%
폴더에 “~D543F5E7FB16DDC62E.TMP” 이름으로 생성된다.
이때 “/img_[임의의숫자].jpg”는 감염 시스템의 호스트(host) 명을 통
해 생성된다. 분석 당시에는 실제로 파일이 다운로드되지는 않았으나 특
정 호스트에서는 실제로 파일이 다운로드되었을 것으로 추정된다.
다운로드 성공 시 해당 파일을 디코딩하여 [그림 11]과 같이 %App-
Data% 폴더에 wuaudt.exe라는 파일로 생성 및 실행한다.
V3로 진단…최신 한글 보안 패치 적용 필요
이번 한글 파일 취약점과 이를 악용한 악성코드를 최초로 발견한
안랩은 즉시 V3 제품군에 해당 악성코드에 대한 시그니처를 업데
이트했다. V3 제품군은 악성 한글 파일과 이후 생성되는 악성 파
일을 각각 “HWP/Exploit”(V3: 2015.05.12.02), “Win-Trojan/
Hwdoor.107620”(V3: 2015.05.12.02)으로 진단하고 있다. 또한 현
재 한글과컴퓨터는 홈페이지를 통해 관련 보안 패치를 제공하고 있다
(http://www.hancom.com/downLoad.downPU.do?mcd=001).
향후에도 해당 취약점을 이용한 다양한 악성코드가 나타날 수 있기 때
문에 피해를 방지하기 위해서는 해당 보안 패치를 적용하고 V3 등 백
신의 업데이트 및 실시간 감시 기능 사용이 반드시 필요하다. 또한 이
번 악성 한글 문서 파일과 같이 이메일의 첨부 파일 형태로 유포되는
악성코드에 감염되지 않기 위해서는 발신인이 불명확한 경우 첨부 파
일을 실행하기 전에 백신 등을 이용해 문제가 없는지 확인하는 습관이
필요하다.
http://www.n***rfun.net/img/img_[임의의숫자].jpg
<목요일 실행시>
http://ig**et.com/img/img_[임의의숫자].jpg
<그 외 실행시>
[그림 11] 다운로드 파일 wuaudt.exe
13
안랩 프라이버시 매니지먼트 스위트 등 4개 제품 연동…통합 보안 시스템 구축
보람상조그룹, 꼭 맞는 보안 시스템을 찾다
C a S E S T u d y 보람상조그룹
우리나라의 대표적인 상조 기업인 보람상조그룹(회장 최철홍 www.boram.com)은 날로 고도화되는 악성코드에 대한 피해를 예방하
기 위해 안랩의 보안 솔루션 4종을 도입했다. 개인정보보호 솔루션인 안랩 프라이버시 매니지먼트 스위트, PC 통합 보안을 위한 V3
ES(Endpoint Security) 9.0, 중앙 관리를 위한 안랩 폴리시 센터, 시스템의 최신 업데이트와 항상성 유지를 위한 안랩 패치 매니지먼
트까지 일련의 통합 보안 시스템을 구비한 것이다. 통합 보안 시스템을 바탕으로 고객에게 더욱 안정적인 서비스를 제공하겠다는 보람
상조그룹의 보안 시스템 도입 현황을 살펴보았다.
“개인정보보호는 비즈니스의 기본”
보람상조그룹 최철홍 회장은 평소 “보람상조그룹 100만 회원의 개인정보보호는 고객과의 신뢰를 생명으로 하는 상조업의 바탕”이라며 “고객
의 개인정보를 비롯한 모든 정보는 우리 기업의 가장 귀중한 자산이며 이를 지키고 잘 관리하는 것은 기업의 매우 중요한 책임”이라고 자주 강
조했다.
최 회장을 비롯한 경영진의 이 같은 강한 의지와 기존 보안 시스템에 대한 보완이 필요하다는 실무팀의 의견이 접목되면서 보람상조그룹의 네
트워크 보안 시스템 강화 작업이 구체화되기 시작했다. 이에 따라 2014년 5월부터 내부 기밀 문서 유출 탐지 및 차단을 위한 솔루션 도입 프
로젝트를 본격 가동했다.
이번 프로젝트를 담당했던 보람정보산업㈜ 전산팀의 서동호 보안담당자는 “고객의 개인정보를 포함한 내부 기밀 데이터의 유출 방지를 위해
내부 정보자산을 중요도에 따라 구분 및 관리하고 기밀 데이터의 유통, 보관, 사용 경향을 직관적으로 판단하여 조치할 수 있는 솔루션을 도입
해 법규를 준수하고 개인정보를 보호한다는 것이 이번 프로젝트의 의의”라고 설명했다.
‘최적’의 솔루션이 곧 ‘최고’의 솔루션
보람상조그룹은 개인정보 문서를 다루는 엔드포인트 관리와 개인정보 유출 탐지 및 차단, 또 향후 발생할 수 있는 취약점에 대한 고도화된 패
치 관리 솔루션까지 포함된 통합 보안 시스템을 도입하기로 했다. 이 과정에서 보람상조그룹이 견지했던 원칙은, 자사의 환경과 활용도에 가장
적합한 제품을 도입함으로써 통합 보안 시스템을 굳건히 해나가겠다는 것이었다.
가장 중심이 된 것은 개인정보보호 솔루션이었다. 국내에 출시된 데이터 유출 방지(Data Loss Prevention: DLP) 솔루션은 한두 가지가 아니다.
하지만 보람상조그룹에 꼭 필요한 외부 장치 통제, 문서 유출 차단 기능과 더불어, 중소 규모 조직에 유용한 기능들이 포함되어 있는 솔루션은
안랩 프라이버시 매니지먼트 스위트(AhnLab Privacy Management Suite)가 유일했다. 서동호 보안담당자는 “고기능성 DLP 전용 제품은 필
요 기능 외에 심화된 기능이 너무 많다. 이 같은 과잉 기능은 오히려 업무를 지연시키고 방해가 될 수 있다”고 지적했다.
개인정보에 특화된 개인정보 유출 방지 솔루션인 안랩 프라이버시 매니지먼트 스위트는 엔드포인트에 존재하는 개인정보를 점검·관리하고 개
인정보 유출 행위를 방지하는 제품이다. 실시간 검색과 증분 검색을 융합한 뉴런 검색 기술로 이메일, 문서 출력 등 여러 가지 개인정보 유출
경로를 신속하고 정확하게 탐지하여 조치한다. 또한 문서 변환 기술을 활용해 다양한 문서 파일 내의 개인정보를 검출할 수 있으며, 직관적인
UI로 현황과 탐지에 대한 가시성이 높아 관리자들이 편리하게 사용할 수 있다.
14
중앙에서 엔드포인트까지, 빈틈없는 통합 보안 솔루션 도입
보람상조그룹은 개인정보보호 솔루션인 안랩 프라이버시 매니지먼트 스위트 외에도 V3 ES(Endpoint Security) 9.0, 안랩 폴리시 센터, 안랩
패치 매니지먼트 제품을 함께 도입해 엔드포인트에서 중앙 관리, 패치 관리까지 고려한 통합 보안 시스템을 구축함으로써 보안의 기본 틀을
완성했다.
엔드포인트를 관리하기 위해 V3 ES 9.0을, 이를 중앙에서 관리하기 위해 안랩 폴리시 센터를, 이들 시스템의 최신 업데이트와 항상성 유지를
위해 안랩 패치 매니지먼트까지 일련의 통합 보안 시스템을 구비한 것이다.
엔드포인트 통합 관리 솔루션인 V3 ES 9.0은 다차원 분석 플랫폼과 매체 제어 기능이 있어 다양한 경로를 통해 유입되는 악성코드를 원천 차
단해준다. 안랩의 기술이 응축된 초경량 TS 프라임 엔진이 적용돼 PC의 메모리 사용량을 최소화하고, 유해 가능 프로그램(PUP)이나 외부 메신
저 등 악성코드 유포 사이트의 접속을 막아주는 기능도 포함돼 있다. 또 스마트 검사 기술은 검사 속도를 최대 6배까지 가속할 수 있다.
중앙 관리 솔루션인 안랩 폴리시 센터는 안랩의 클라이언트/서버 보안 제품인 V3 IS(Internet Security), V3 ES와 V3 Net for Windows Server,
V3 Net for Unix/Linux Server 제품을 관리할 수 있는 매니지먼트 제품이다. 즉, 기업 보안 정책에 따라 엔드포인트 보안 정책을 일괄 적용 및
관리할 수 있으며, 악성코드 확산 방지를 위한 사전 방역 체계를 구현한다. 또한 데스크톱 매니지먼트(Desktop Management) 기능을 통해 기
업 내 전체 PC에 대한 제어 및 효과적인 보안 위협 대응이 가능하다.
안랩 패치 매니지먼트는 기업 내 PC의 각종 보안 패치에 대한 실시간 중앙 관리뿐만 아니라 기업 보안 정책에 위배되는 PC에 대한 인터넷 접
근 차단, 소프트웨어 설치 유도 기능을 보유한 전문 패치 관리 솔루션이다. 이를 통해 전체 PC에 대한 일관된 보안 정책을 적용할 수 있으며 보
안 사고를 사전에 예방할 수 있어 기업의 비용 손실을 줄여주고, 소프트웨어 관리의 효율성과 업무 생산성을 제고할 수 있다.
특히, 이들 4개 제품은 안랩 폴리시 센터를 기반으로 악성코드 방역(V3), 매체 제어(V3 ES), 패치관리(패치 매니지먼트), 개인정보보호(프라이버
시 매니지먼트 스위트)가 하나의 에이전트, 하나의 플랫폼으로 통합 운영과 관리가 가능하므로 관리의 편의성이 높다.
신뢰성과 적용성이 가장 중요한 기준
보람상조그룹은 전국 70개 지점, 약 400대의 PC에 통합 보안 시스템을 구축했다. 이후 허가 받지 않은 사용자의 내부 사용자들의 개인정보 관
련 문서 접근, 유출을 차단하고 로그를 남겨 중앙에서 이를 효율적으로 관리할 수 있다는 점을 가장 큰 효과로 꼽을 수 있다. 또한 부서별, 사
용자별 보안 등급을 설정할 수 있어 악성코드에 감염될 가능성이 높은 사용자에 대해 보안성을 검토하고 탐지하는 등 보안 담당자의 활용도가
매우 높다. 실시간 이벤트 메시지 출력이나 공지를 통해 사용자들의 보안에 대한 경각심을 높일 수 있다는 것도 빼놓을 수 없는 효과다.
2014년 10월 구축 완료 이후, 보람상조그룹은 실제 몇 차례의 악성코드 공격에도 거뜬히 버틸 수 있었다. 최근 이슈가 되고 있는 악성코드에
대한 주의보가 발령됐을 때도 안랩의 재빠른 업데이트와 대응으로 아무런 영향을 받지 않았다. 안랩 폴리시 센터의 전체 사용자들에게 공지를
발송하는 기능을 활용하면 손쉽고 빠르게 정보를 공유할 수 있기 때문이다. 이 외에도 크고 작은 2~3차례의 보안 위협은 있었는지도 모른 채
지날 수 있었다.
[그림] 보람상조그룹이 구축한 안랩의 엔드포인트 통합 보안 시스템
엔드포인트 통합 관리 플랫폼
AhnLab Policy Center
악성코드 방역 매체 제어개인정보
관리·유출 방지패치 관리
One Agent
V3 ISV3 ES
AhnLab Privacy ManagementtSuite
AhnLabPatch Managementt
15
[인터뷰] 보람정보산업㈜ 전산팀 서동호 보안담당자
서동호 보안담당자는 “보안 제품을 도입할 때 가장 중요한 것은 기업과 제품의 신뢰성과 더불어 자사 환경에 적합한가 하는 적용성”이라고 잘
라 말했다. 보람상조그룹이 성공적으로 보안 솔루션을 적용·활용할 수 있었던 것도 자사의 환경을 정확하게 분석하고 이에 꼭 맞는 제품을
도입한 것이 비결이라는 설명이다.
서 보안담당자는 “아직은 보안 시스템이 초기 단계지만 점차 내부 네트워크를 개편하고 확장해 나가면서 내부 전산 보안 관리 지침을 만들어
실시간 감사나 내부 모니터링을 시행할 예정이다. 이를 위해서는 보람상조그룹만의 안랩 폴리시 센터로 진화해 나가도록 하는 것이 관건”이라
고 밝혔다.
안랩의 솔루션을 선정한 이유는 무엇인가?
국산과 외산을 포함해 4군데의 주요 업체 솔루션을 검토했다. 고
기능성 DLP 제품도 있고 세계적인 지명도가 있는 제품도 있었다.
하지만 지나치게 많은 기능은 오히려 혼란을 줌과 동시에 유지 보
수 및 운영 측면에서도 바람직하지 않다고 판단했다. 또한 이 프로
젝트의 목적에 가장 충실하면서 과하지 않은 솔루션을 선정하고자
했으며 여기에 가장 잘 부합되는 솔루션이 안랩 제품이었다. 실제
로 그동안 운영해본 결과 그런 기대를 잘 충족해주었다고 생각한
다. 특히 필요한 부분에 대한 빠른 업그레이드 지원에 아주 만족하
고 있다.
안랩이 보람상조그룹을 위해 특별히 최적화해 준 기능이 있다고
들었다.
그렇다. 안랩 폴리시 센터의 중앙 관리 콘솔에서 사용자들의 개인
정보 문서 유출 로그나 이동 로그를 최대 7일까지 저장할 수 있었
다. 하지만 보람상조그룹은 현재 400명 정도가 사용하고 있기 때
문에 개별 사용자의 로그를 모두 기록하고 관리하는 것이 시스템
에 큰 부하가 되지 않는다. 따라서 최초 도입 시부터 지금까지의
모든 로그를 관제할 수 있도록 요청했고 안랩이 환경에 맞게 적절
히 가이드해 주었다. 이것은 보람상조그룹에게는 매우 필요하고
유용한 기능이다.
안랩 제품과 서비스에 대해 어떻게 평가하는가, 향후 발전을 위해
조언해달라.
보안 제품의 기술력과 경쟁력은 단연 국내 최고라고 평가한다. 서
비스 프로세스를 조금 더 개선하면 고객들의 만족도가 더 높아질
것이라 생각한다. 앞으로도 사용자와 관리자 측면에서 완성도 높
은 솔루션을 만든다면 국내외의 추종을 불허하는 좋은 제품이 탄
생할 것이라 기대한다.
“안랩 솔루션, 사용해 보니 더욱 믿음직스럽다”
보람상조그룹은…
보람상조그룹은 관혼상제(冠婚喪祭)로 일컬어지는 우리의 미풍양속을 현대적 이벤트 문화로 정착시키며 고품격의 행사 서비스를 제공하
고 있다. 25년의 업력을 가진 보람상조그룹은 이제 ‘제2의 보람그룹 건설’을 사명으로 봉사와 사랑이 가득한 글로벌 기업으로 성장해 나
가겠다는 포부를 다지고 있다.
16
테슬라크립트(TeslaCrypt) 랜섬웨어 상세 분석
T H r E aT a N a ly S i S
‘몸값’ 없이 파일 복구가 가능한 랜섬웨어
TeslaCrypt
PC의 파일을 암호화한 후 복구하는 조건으로 금전적 대가를 요구하는 랜섬웨어(ransomware)가 국내에서도 잇따라 발견됨에 따라
사용자들의 불안이 커지고 있다. 최근에는 게임 관련 파일을 노리는 랜섬웨어인 테슬라크립트(TeslaCrypt 또는 Tescrypt)가 등장했
다. 다행히 국내에서는 아직 피해 사례가 보고되지는 않았을 뿐만 아니라 ‘몸값’을 지불하지 않고도 테슬라크립트 랜섬웨어에 감염된
파일을 복구할 수 있는 것으로 알려졌다.
이 글을 통해 테슬라크립트 랜섬웨어의 공격 방식을 상세히 살펴보고 감염된 파일의 복원 방법을 미리 확인하여 추후 해당 랜섬웨어
감염 시 피해를 최소화하는 방법을 마련하자.
지난 4월 한글 버전이 발견돼 크게 화제가 되었던 크립토락커
(CryptoLocker) 랜섬웨어는 explorer.exe나 svchost.exe 등과 같은
정상 프로세스에 코드를 인젝션(injection)하는 방식을 이용했다. 이
와 달리 테슬라크립트(TeslaCrypt) 랜섬웨어는 %APPDATA% 경로에
생성한 악성코드 실행을 통해 감염이 발생한다.
테슬라크립트 랜섬웨어가 사용자의 파일을 암호화하는 과정은 다음
과 같으며, 해당 랜섬웨어에 감염되면 사용자 PC에는 ‘.ecc’ 이름의
파일만 존재하게 된다.
사용자 PC의 바탕화면 경로(CSIDL_DESKTOPDIR)에 다음과 같은 파
일들이 생성된다.
(2) 레지스트리 등록
자동 실행을 위해 아래와 같이 레지스트리를 등록한다.
2. 뮤텍스(Mutex) 생성
테슬라크립트 랜섬웨어는 아래와 같은 고정된 뮤텍스 이름을 사용한다.
- System1230123
테슬라크립트 랜섬웨어 상세 분석
테슬라크립트 랜섬웨어의 감염 방식과 동작 과정을 상세히 살펴보자.
1. 파일 및 레지스트리 생성
(1) 파일 생성
%APPDATA% 경로(CSIDL_APPDATA)에 생성되는 파일들은 다음과
같다.
● 경로: %APPDATA%: C:\Documents and Settings\<username>
\Application Data
normal.jpg → normal.jpg(암호화) → normal.jpg.ecc(복사본) → normal.jpg(삭제)
- 랜덤이름.exe (예:asoddjv.exe)
- help.html
- log.html : 감염된 파일들 목록 정보
- key.dat : 파일 복호화에 사용되는 키(KEY) 파일
● 레지스트리 : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- 값 이름: crypto13 - 고정
- 값 데이터: C:\Documents and Settings\<username>\Application Data\asoddjv.exe - 가변
- CryptoLocker.lnk: %APPDATA%asoddjv.exe 파일에 대한 바로가기
- HELP_TO_DECRYPT_YOUR_FILES.bmp: 경고창('v4')의 내용에 대한 이미지 파일
- HELP_TO_DECRYPT_YOUR_FILES.txt : 경고창('v4')의 내용에 대한 텍스트 파일
17
3. 볼륨 섀도(Volume Shadow) 삭제
감염 작업을 수행하기 전, 아래의 명령(Volume Shadow copy
Service(VSS) Admin)을 통해 모든 윈도 복원 이미지를 사용할 수 없
도록 한다.
[그림 1]은 테슬라크립트 랜섬웨어 감염 후 나타나는 화면으로, 이에
따르면 사용자 PC는 ‘RSA-2048’ 방식으로 암호화되었으며 복원에 필
요한 프라이빗 키(Private Key)는 서버에 저장되어 있다. 그러나 실제
로는 RSA 방식이 아닌 AES 방식으로 암호화되었으며, CBC(Cipher
Block Chaining) 모드가 사용되었다.
테슬라크립트 랜섬웨어에서 사용한 암호화 방식은 아래의 파이썬
(Python) 예제 코드와 같은 형태로 이루어진다.
위의 예제 코드에서 붉은색으로 표시된 ‘This is a key123’이 첫 번째
키(AES Key)를 나타내며, 파란색으로 표시된 ‘This is an IV456’이 두
번째 키(Initialization Vector)로 사용된다. 테슬라크립트 랜섬웨어
가 생성한 key.dat 파일에는 위의 예제에서 붉은색으로 표시된 ‘This
is a key123’ 정보가 존재한다. 또한 위 예제에서 파란색으로 표시된
‘This is an IV456’ 정보에 해당하는 초기화 벡터(Initialization Vector,
이하 IV) 값은 감염 파일의 처음 16바이트를 통해 얻을 수 있다.
좀더 정확히는 ‘key.dat’ 파일의 오프셋(0x177 ~ 0x197)까지의 0x20
바이트 값을 SHA256으로 변환하는 과정을 거쳐 생성된 값이 실제
AES 키(256-bits)로 사용된다.
(1) AES 키(Key)
테슬라크립트 랜섬웨어는 key.dat 파일에 존재하는 AES 키 값(0x20
바이트)과 감염 파일마다 각각 다른 IV값(0x10)을 통해 복원이 이루
어질 수 있는 구조이다. [그림 3]은 key.dat 파일의 내용을 나타내며,
파란색으로 표시된 부분이 AES 키에 해당하는 0x20바이트를 나타낸
다. 해당 값은 파일의 시작을 기준으로 0x177 오프셋만큼 떨어진 위
치에 존재하며, 전체 파일 크기는 0x27C바이트로 고정적이다.
4. 감염 대상 드라이브 및 파일
테슬라크립트 랜섬웨어는 드라이브 명에 상관없이 고정식 드라이브
(DRIVE_FIXED)만 감염 대상으로 하며, 이동식 드라이브나 네트워크
드라이브는 감염 대상에서 제외한다.
또한 감염 대상 드라이브에서 [표 1]과 같은 확장자를 갖는 파일들
을 감염 대상으로 한다. 이 확장자 리스트 중 arch00, Day Profile,
forge, mcgame, rgss3a 등이 게임 관련 파일들이다.
이때 다음과 같은 3가지 조건에 해당되는 파일은 감염 대상에서 제외된다.
테슬라크립트 랜섬웨어 감염 파일 복원
이제 테슬라크립트 랜섬웨어 감염 시 생성된 파일들의 구조를 파악하
여 파일들을 복원하는 방법을 알아보자. 해외 보안 업체도 지난 4월
블로그를 통해 테슬라크립트 랜섬웨어에 감염된 파일의 복원 방법을
소개한 바 있다.
1. 파일 복원의 핵심 파일 ‘key.dat’
%APPDATA% 경로에 생성되는 데이터 파일 중 ‘key.dat’ 파일은 이
름에서 짐작할 수 있듯이 암호화된 파일을 복원하는데 필요한 AES
키(Key) 정보를 담고 있다.
- vssadmin delete shadows /all
[표 1] 감염 대상 파일의 확장자 리스트
[그림 3] key.dat 파일의 AES 키(파란색 표시 부분)[그림 1] 테슬라크립트 랜섬웨어 감염 알림 창
[그림 2] 테슬라크립트 랜섬웨어 암호화 방식 예시
파일 확장자: “.ecc” 확장자를 갖는 파일 형태 제외
파일명: 파일명에 “Temporary”가 존재하는 경우 제외
파일 크기: 0x10000000 바이트(대략 260MB 이상)보다 큰 파일 제외
18
이렇게 생성된 AES 키 값은 [그림 4]와 같이 암호화 과정을 거친 후
공격자 서버로 전송된다.
한편 테슬라크립트 랜섬웨어는 피해자들의 신뢰를 얻기 위해 테스트
로 500KB 이하의 암호화된 파일 단 1개만 복호화해주는 기능을 제공
하며, 웹 기반으로 파일을 업로드하는 구조이다.
2. 감염 파일 구조
[그림 6]은 ‘겨울.jpg’ 파일의 테슬라크립트 랜섬웨어 감염 전•후를 비
교한 것이다. 감염 후 파일 크기가 증가하였으며, 내부 데이터도 암호
화된 것을 확인할 수 있다.
여기에서 “key=6446f0b0351eae14d01bcc70b0d4653ac1ce3488
7b2d23a53607c25655c8c793” 항목에 추가되는 값([그림 3]의 ①)
이 AES 키 값이며, “addr=1MX9oeHq4gcCULbdG93eVyd1kWrtJ
KozFz” 항목에 추가되는 값([그림 3]의 ②)은 비트코인 주소(BitCoin
Address)로 사용되는 값이다.
해당 테슬라크립트 랜섬웨어 내부에 존재하는 공격자 주소는 다음과
같은 4곳이다.
(2) 비트코인 주소(Bitcoin Address)
[그림 5]와 같이 key.dat 파일의 처음 시작 부분에 존재하는 값 ‘1MX
9oeHq4gcCULbdG93eVyd1kWrtJKozFz’는 파일 복원을 위해 결제
시 사용되는 비트코인 주소 값과 동일하다. 정확한 비트코인 주소 값
을 입력하면 프라이빗 키를 결제하기 위한 수단으로 약 528 달러 상
당의 비트코인(2.2 BTC~) 또는 페이팔(PayPal My Cash Card) 등 2가
지 방법을 제안한다.
테슬라크립트 랜섬웨어에 의해 암호화된 파일은 ‘원본파일명.ecc’ 형
태를 하고 있다. 변경된 파일들의 공통점은 파일 시작으로부터 0x10
바이트의 데이터가 암호화에 사용된 2차 키 값 IV이며, 이후 리틀엔
디안(Little-endian) 형태로 저장된 4바이트 값(0x00019C46)에는 암
호화 이전의 원본 파일의 크기 정보가 저장된다는 점이다. 즉, 암호화
된 데이터의 시작은 감염 파일의 시작으로부터 0x14바이트 떨어진
위치임을 알 수 있다.
실제 파일 복원 작업은 다음과 같은 순서로 이루어진다.
① key.dat 파일로부터 AES 키 정보 0x20바이트를 읽는다. (오프셋:
0x177~0x197)
- 변환 전 AES 키: 6446f0b0351eae14d01bcc70b0d4653ac1ce3
4887b2d23a53607c25655c8c793
② AES 키 값을 ‘SHA256’ 값으로 변환한다.
- 변환 후 AES 키: 795230585896ef6e3dfdbaf694f426e60290b3
6b00c5b75cf028a82f2a35afc3
③ 암호화된 파일에서 얻은 IV 값과 AES 키를 이용하여 복호화한다.
이때 IV 값은 *.ecc 파일의 처음 16바이트이다.
이와 같은 정보를 토대로, 감염된 시스템의 ‘key.dat’ 파일과 암호화
된 파일들(*.ecc)만 있으면 [그림 7]과 같은 파이썬 코드로 감염된 파
일들을 복원할 수 있다.
[그림 4] AES 키 값 전송 과정
[그림 6] 테슬라크립트 랜섬웨어 감염 전•후 파일 비교
[그림 5] 결제를 유도하는 비트코인 주소 값
● 테슬라크립트 랜섬웨어 내 공격자 주소
- 7tno4hib47vlep5o.s2.tor-gateways.de- 7tno4hib47vlep5o.tor2web.fi- 7tno4hib47vlep5o.tor2web.blutmagie.de- 7tno4hib47vlep5o.2kjb7.net
19
[그림 7] 파일 복구를 위한 파이썬 코드 [그림 8] CryptGenRandom 변환 과정
[그림 10] key.dat 파일의 세부 항목
[그림 9] GlobalMemoryStatus, GetCurrentProcessId 변환 과정
3. 그 외 key.dat 파일의 항목들
지금까지 key.dat 파일에 존재하는 8가지 항목의 데이터 중 비트코
인 주소와 AES 키에 해당하는 항목을 위주로 살펴보았다. key.dat 파
일에 존재하는 그 외의 항목들은 아래와 같은 API 호출을 통해 얻은
정보들을 이용해 생성되는 것으로 확인되었다.
마찬가지로 다른 API들의 결과로 리턴된 값들도 sub_41B3A0 함
수를 통한 변환 과정을 거치며, 최종 변환값이 key.dat에 사용
되는 것을 확인할 수 있다. 예를 들어 GlobalMemoryStatus,
GetCurrentProcessId API 호출을 통해 얻은 결과값도 [그림 9]와 같
이 sub_41B3A0 함수를 통해 변환 과정을 거친다.
[그림 10]은 key.dat 파일의 8개 세부 항목들이 데이터를 쓰는(Write)
과정이다. [그림 10]의 붉은색 박스로 표시된 부분은 마지막 8번째에
추가되는 항목으로, GetLocalTime API를 통해 얻은 시간 정보(16바
이트)이다(그 외 각 세부 항목별 데이터의 의미와 사용 목적에 대한
분석 내용은 추후 제공할 예정이다).
4. 프로세스 강제 종료
감염 스레드(thread) 구동 후 2번 째로 생성하는 스레드(GetProcess-
ImageFileNameW)는 아래의 이름으로 실행되는 프로세스를 강제로
종료(TerminateProcess)하는 기능을 갖는다. 단순히 프로세스 이름
만으로 비교가 이루어지기 때문에 이름을 변경하여 실행하면 정상적
인 실행이 가능하다.
[그림 8]은 위의 API 중 ‘CryptGenRandom’ 함수를 통해 얻은 0x40
크기의 데이터가 특정 함수(sub_41B3A0)를 통해 변환되는 과정이다.
[NETAPI32]
- NetStatisticsGet(0, "LanmanWorkstation", 0, 0, &buf)
- NetStatisticsGet(0, "LanmanServer", 0, 0, &buf)
[ADVAPI32]
- CryptAcquireContextW(&hProv, 0, 0, PROV_RSA_FULL, CRYPT_ VERIFYCONTEXT)
- CryptGenRandom(hProv, 0x40, &buf)
- CryptAcquireContextW(&hProv, 0, "Intel Hardware Cryptographic Seervice
Provider", PROV_INTEL_SEC, 0)
- CryptGenRandom(hProv, 0x40, &buf)
[kernel32]
- CreateToolhelp32Snapshot(TH32CS_SNAPALL, 0)
- GetTickCount
- Heap32ListFirst
- Heap32First
- Heap32Next
- GetTickCount
- Heap32ListNext
- GetTickCount
- GetTickCount
- Process32First
- Process32Next
- GetTickCount
- GetTickCount
- Thread32First
- Thread32Next
- GetTickCount
- GetTickCount
- Module32First
- Module32Next
- GetTickCount
- GlobalMemoryStatus
- GetCurrentProcessId
● 강제 종료하는 프로세스
- taskmgr- procexp- regedit- msconfig- cmd.exe
20
지금까지 테슬라크립트 랜섬웨어의 구조와 동작 방식을 상세히 살펴
보고 감염된 파일을 복구할 수 있는 방법을 알아봤다. 위와 같은 방
법으로 파일 복구가 어려운 사용자들을 위해 안랩은 “.ecc”라는 확장
자로 암호화된 파일 복원을 위해 전용백신을 제공하고 있다. 단, key.
dat 파일이 %AppData% 경로에 존재할 경우에만 해당 전용백신을
이용할 수 있다.
그러나 테슬라크립트가 아닌 대부분의 랜섬웨어에 감염되면 몸값을
지불하지 않고는 파일을 복구할 수 있는 방법이 알려져 있지 않다. 게
다가 설사 돈을 지불하더라도 시스템이 원래대로 돌아온다는 보장도
없다. 결국 사전에 랜섬웨어에 감염되는 것을 방지하는 것이 가장 좋
은 방법이다. 발신자가 명확하지 않은 이메일에 포함된 의심스러운
파일들을 실행하지 않아야 한다. 또한 사용 중인 백신을 항상 최신의
상태로 업데이트하고, OS와 애플리케이션 또한 최신 버전으로 유지
하는 것이 중요하다. 이와 함께 중요한 파일들은 미리 백업을 해둘 것
을 권장하고 있다.
<참고 사이트>
- https://technet.microsoft.com/en-us/library/cc788026.aspx
- https://pypi.python.org/pypi/pycrypto
- http://blogs.cisco.com/security/talos/teslacrypt
- https://blogs.mcafee.com/mcafee-labs/teslacrypt-joins-ransomware-field
- https://blog.kaspersky.com/teslacrypt-ransomware-targets-gamers/
- http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Ransom:Win32/Tescrypt.A#tab=2
한편 V3 제품군은 테슬라크립트 랜섬웨어를 다음과 같은 진단명으로
탐지하고 있다.
<V3 제품군 진단명>
Trojan/Win32.Tescrypt
21
[그림 1] 디스크 정리를 선택하면 삭제할 파일을 확인할 수 있다.
i T & l i f E
디스크 정리로 PC 저장 공간 늘리기
PC 저장 공간이 수백 기가바이트(GB), 테라바이트(TB)가 지원된다지만 사용자들은 용량과 성능에 목말라 있다. 사용자에 따라 PC의
저장 공간은 부족할 수도 있고 충분할 수도 있다. 이 글에서는 1MB가 아쉬운 이들을 위해 윈도 7에서 저장 공간을 확보하는 방법을
소개한다.
디스크 정리하기
PC의 저장 공간을 확보하는 방법에는 디스크 정리가 있다. 디스크 정리를 하기 전에 사용 중인 PC의 여유 공간이 어느 정도인지 확인해보자.
PC의 하드 디스크 용량이 어느 정도인지 확인했다면 다음은 디스크 정리다. 드라이브 별로 디스크 정리를 하면 소소한 것 같지만 작은 공간이
나마 확보할 수 있고, 사용자에 따라 PC 속도가 조금은 빨라지는 것을 느낄 수 있을 것이다. 윈도 [시작] 메뉴를 클릭한 후 프로그램 및 파일 검
색 창에 디스크 정리를 입력하면 바로 디스크 정리를 진행할 수 있으며 정리할 드라이브를 지정해주면 된다.
[그림 1]과 같이 디스크 정리를 하면 어느 정도의 불필요한 파일이 공간을 차지하고 있는지 확인할 수 있다. [그림 1]의 사용자는 디스크 정리
를 통해 6.33GB의 여유 공간을 확보할 수 있다. 디스크 정리에서 삭제되는 것은 휴지통 비우기, 윈도 업데이트 정리, 다운로드한 프로그램 파
일 등으로 평소 사용자가 생각하지 못했던 항목을 확인할 수 있다. PC를 사용하면서 삭제된 파일로 가득 차있는 휴지통은 비우지 않는 경우가
많다. 윈도 업데이트 정리는 대부분의 사용자가 모르는 항목으로, 윈도 업데이트 시 설치한 모든 업데이트 파일의 복사본이다. 새로운 버전의
업데이트를 설치한 후에도 저장되므로 더 이상 저장하지 않아도 된다. 공간만 차지하는 이전 버전의 업데이트를 삭제하면 1MB가 당장 아쉬운
사용자에게는 확실히 도움이 된다.
22
디스크 조각 모음
디스크 정리 후에는 디스크 조각 모음을 진행하자. 조각 모음은 PC의 하드 디스크에 있는 조각난 파일을 모아 시스템 성능을 향상시킬 수 있
다. [그림 2]의 사용자는 C드라이브에서 8%가 조각이 나서 디스크 조각 모음을 진행했다. PC에 따라, 조각률에 따라 조각 모음의 단계와 속도
는 차이가 있다. [그림 2]의 사용자 PC에서 조각 모음을 진행한 결과 무려 20단계를 거쳤고 3시간 가량 걸렸다. 물론 디스크 조각 모음을 하는
동안 PC를 사용할 수 있지만, 신경이 쓰인다면 PC를 사용하지 않는 시간을 선택하는 것이 현명하다.
V3로 PC 최적화하기
PC 용량을 확보하는 방법에는 여러 가지가 있지만 안랩의 V3 사용자라면 PC 최적화 기능을 이용하는 것도 좋다. PC 최적화를 진행하면 레지
스트리 청소, 브라우저(인터넷 익스플로러, 파이어폭스, 크롬)별로 임시 인터넷 파일을 삭제해준다. 사용 중인 웹 브라우저에서 직접 지울 필요
가 없어 편리하다. [그림 3]의 PC사용자의 경우 큰 용량은 아니지만 V3의 PC 최적화로 259MB를 확보할 수 있었다.
사용하지 않는 프로그램 제거하기
이외에도 사용하지 않는 프로그램을 제거해서 용량을 확보할 수 있다. [제어판]–[모든 제어판 항목]–[프로그램 및 기능]에서 사용자가 선택해
서 제거하면 된다. 이때 주의할 점은 용량이 크다고 해서 무조건 제거하면 안 된다. 사용하지 않고, 삭제를 해도 PC 시스템에 영향을 주지 않는
프로그램인지 확인한 후 진행해야 한다.
이처럼 디스크 정리는 그동안 PC에 쌓였던 불필요한 파일을 제거하고 저장 공간과 PC 성능 개선에 도움을 준다. 자주 해주면 좋겠지만 관리를
위해 주기적으로 디스크 정리를 해준다면 PC 사용에 유익할 것 같다.
[그림 2] 디스크 조각 모음은 PC의 하드디스크에 있는 조각난 파일을 모아서 시스템 성능을 향상시킨다.
[그림 3] V3의 PC 최적화 기능을 통해 용량을 확보할 수 있다.
23
i T & l i f E
윈도 7에서 백업 설정하기
얼마 전 국내에 급격하게 퍼진 랜섬웨어 ‘크립토락커(CryptoLocker)’ 감염은 다시 한 번 백업의 중요성을 일깨워줬다. 백업(Backup)이
란, 만일에 있을 상황에 대비해 문서, 사진 등 중요한 파일을 하나 더 복사하는 것이다. 그동안 백업의 중요성은 잘 알고 있지만, 귀찮아
서 혹은 별일 없을 것이라는 생각으로 미뤄왔다면 지금 바로 백업하는 것이 좋다. 윈도 7에서 백업 및 복원을 설정하는 방법을 알아보자.
백업 설정하기
마이크로소프트가 윈도 7에서 제공하는 백업을 마법사의 안내에 따라 이용하면 사용자의 데이터 파일의 복사본을 만들 수 있다. 백업 시 윈도
에서 기본적으로 선택한 데이터를 백업하거나 사용자가 직접 선택해서 백업할 수 있다. 처음 백업할 때 예약 작업을 설정해두면 정기적으로
백업되므로 편리하다.
백업을 설정하려면 [제어판]–[모든 제어판 항목]–[백업 및 복원]–[사용자 파일 백업 또는 복원]에서 오른쪽의 [백업 설정]을 누르면 백업할
저장 위치를 선택하라는 안내 메시지를 볼 수 있다. 화면에서 백업 저장 위치를 선택하고 다음 단계로 넘어간다.
드라이브를 선택했다면 백업 대상을 선택하고 다음 단계로 ‘자동 선택’과 ‘직접 선택’ 중 하나를 고른다. 자동 선택은 라이브러리, 바탕화면, 기
본 윈도 폴더에 저장된 데이터 파일이 백업된다. 또 PC 작동이 중지될 경우 PC를 복원하는 데 사용할 수 있는 시스템 이미지도 만들어진다. 직
접 선택은 시스템 이미지를 백업에 포함할지 여부와 라이브러리 및 폴더를 사용자가 선택할 수 있다. 사용자가 선택한 항목은 일정에 따라 정
기적으로 백업된다. 사용자의 편의대로 선택할 수 있지만, 마이크로소프트에서는 자동 선택을 권장한다.
직접 선택 후 다음 단계로 넘어가면 백업에 포함할 수 있는 데이터 파일과 컴퓨터 항목이 나타난다. 데이터 파일의 하위 카테고리에 새로 생성
된 사용자의 데이터 백업, 윈도 7의 라이브러리의 체크 상자에 표시한다. 이때 아래의 시스템 예약, (C:) 드라이브의 시스템 이미지 포함을 선
택하면 컴퓨터 작동이 중지될 때 시스템 이미지를 사용해 컴퓨터를 복원할 수 있다.
다음 단계를 진행하면 이전 단계에서 설정한 백업 항목을 확인하기 위해 백업 설정을 검토하라는 메시지 창이 나온다. 한 번 더 살펴본 후 계
속 진행을 원하면 [설정 저장 및 백업 실행]을 누른다. 그러면 사용자 파일 백업 또는 복원 화면에서 백업이 진행 중임을 확인할 수 있다.
백업 설정을 마쳤으면 제대로 됐는지 확인해보자. [시작], [컴퓨터]를 차례로 클릭한다. 윈도 탐색기에서 백업한 위치에 백업 파일을 확인할 수
있다. 백업한 위치에서 ****–PC, WindowsImageBackup 폴더와 폴더 내에 파일 목록이 확인되면 백업이 제대로 된 것이다.
백업된 파일 복원하기
백업 설정을 마쳤으면 백업된 파일이 제대로 복원되는지 확인해야 한다. 마찬가지로 처음 백업을 설정할 때처럼 [제어판]–[모든 제어판 항
목]–[백업 및 복원]–[사용자 파일 백업 또는 복원]에서 [파일 복원]을 선택한다. 파일별, 폴더별로 찾아서 복원할 수 있다.
윈도 7에서 제공하는 백업 기능은 백업과 복원 설정이 가능하며 쉽고 간단하다. 하지만 PC 내에 백업만으로는 한계가 있다. 외부 충격으로 PC
가 망가지거나 하드디스크가 파괴된다면 백업을 했다 하더라도 복원이 어렵기 때문이다. 따라서 이를 대비해 외부저장 장치에 백업을 해두는
것도 필요하다. 외부저장 장치 외에도 클라우드 서비스를 이용하는 것도 방법이다. 클라우드 서비스는 포털, 이동통신사에서 제공하고 있으며,
용량에 따라 유료로 제공된다. 이제 백업은 선택이 아닌 필수이다.
참고로, 윈도 7은 사용하는 버전과 백업 파일을 저장할 수 있는 공간에 따라 백업 파일을 저장하는 위치의 선택이 달라질 수 있다. 윈도 7 프로페
셔널, 윈도7 엔터프라이즈, 윈도 7 얼티매이트 버전은 네트워크 위치에 백업 파일을 저장할 수 있다. 백업 저장 위치는 윈도가 설치된 드라이브
(C:)를 제외한 드라이브에 해야 한다. 또 저장된 파일이 많을수록 저장 공간이 여유로워야 한다. PC 내에 저장 공간이 부족하면 외부 저장 장치를
이용하는 것도 좋다.
2424
a H N l a b N E w S
현업 실무자들은 차세대 보안관제를 통해 ‘지능형 위협(이하 APT,
Advanced Persistent Threat)에 대한 모니터링’을 가장 원하는 것
으로 나타났다.
안랩은 한국 IDG와 공동으로 지난 4월 6일부터 5월 18일까지 국내
IT 기업과 금융, 서비스업 등 다양한 산업군의 IT/비IT 담당자 408명
을 대상으로 진행한 ‘보안관제 서비스 진화 방안’에 대한 설문조사
결과를 발표했다.
먼저, 전체 응답자 중 가장 많은 42%가 ‘APT에 대한 탐지’를 차세대
보안관제 서비스가 제공하기를 원하는 기능으로 꼽았다. 이는 증가
하고 있는 지능형 공격에 대한 현업 실무자들의 높은 관심과, 차세대
보안관제로 이에 대비하고자 하는 요구를 반영한 것이다.
전체 응답자의 25%는 ‘보안 상황 및 위협에 대한 가시성을 제공하
는 사용자 대시보드’를 선택해, IT 관리자가 관제 전문가가 아니더라
도 조직 내 보안 환경을 한눈에 이해하고 보안 상황을 파악해 적절
한 의사결정을 내리기 위해 ‘보안 가시성’ 확보를 원하는 것으로 나
타났다.
이어 ‘내부 임직원에 대한 이상 징후 탐지’를 원한다는 응답이 17%,
‘전체적인 보안관제 업무 범위에 대한 확대’를 원한다는 응답이 16%
를 차지했다. 이는 실무자들이 APT와 같은 외부로부터 지능형 보안
위협뿐만 아니라 내부 임직원의 이상 행위 등 다면화된 보안 위협
요인을 차세대 보안 관제 서비스로 효과적으로 모니터링 하기를 기
대하고 있다는 것을 나타낸다.
곽희선 안랩 MSS기술팀 수석연구원은 “이번 설문으로 현업 실무자
들이 다면화된 보안 위협 요인에 대응할 수 있는 진화된 보안관제
서비스를 원한다는 것을 알 수 있다”며, “사용자의 요구를 충족하고
다면화된 보안 위협에 효과적으로 대응하기 위해 차세대 보안관제
서비스의 도입이 필요한 시점이다”라고 말했다.
시대의 다양한 보안 위협과 대응 방안, APT(지능형 위협) 대응 전략
과 최신 사례 등을 소개하고, 정보보호 최고 책임자의 역할에 대해
함께 의견을 나누는 시간을 가질 예정이다.
강석균 안랩 국내 사업 총괄 부문장은 “이번 개편은 안랩이 올해 초
발표한 고객의 경험과 지성에서 나온 보안의 니즈에 해법을 제공한
다는 고객 주도형의 ‘생각하는 보안’이라는 경영방침 실천과정의 일
환”이라며 “이번 ‘ISF 스퀘어 2015’가 각 산업별 담당자에게 실질적
인 도움을 줄 것으로 기대한다”고 밝혔다.
안랩, ‘APT 공격에 대한 모니터링’
설문 결과 발표
고객 주도형 보안 전략 세미나
‘안랩 ISF 스퀘어 2015’ 개최
안랩의 대표적인 보안 콘퍼런스 ‘안랩 ISF(Integrated Security Fair)’
가 ‘고객 밀착형’으로 바뀐다.
안랩은 지난 2009년부터 진행해오던 융합 보안 콘퍼런스 ‘안랩 ISF’
를 6월부터 각 고객 별 사이버 보안 위협에 대한 최적화된 대응 전략
을 제시하는 고객 주도형 보안전략 세미나 ‘안랩 ISF Square 2015(이
하, ISF 스퀘어 2015)’로 개편, 진행한다.
이번 개편은 기존 ISF 행사에서 제공하던 전체적인 관점의 보안 위
협 트렌드와 솔루션 전시에서, 다양한 산업군에 속해 있는 고객의
특성에 맞춰 ‘맞춤형 보안 전략 및 솔루션’을 제공하는 것이 주요 골
자다.
안랩은 이를 위해 기존의 연 1회의 대형행사에서 다회 진행으로 바
꾸고, 각 지역별·산업별로 세분화된 고객을 찾아가 고객 특성과 요
구를 듣고, 이에 최적화된 보안 솔루션을 제안할 예정이다.
‘ISF 스퀘어 2015’의 첫 행사는 6월 23일 금융권 CISO를 대상으로
여의도 콘래드 호텔에서 진행된다. 이 행사에서는 사물인터넷(IoT)
25
보안 통계와 이슈 S T a T i S T i C S
PUP, 57%로 여전히 꾸준한 강세
ASEC이 집계한 바에 따르면 2015년 4월 한 달간 탐지된 악성코드
수는 1,912만 6,002건이다. 이는 전월 2,131만 7,813건에 비해 219
만 1,811건 감소한 수치다. 한편 4월에 수집된 악성코드 샘플 수는
394만 488건이다.
[그림 1]에서 ‘탐지 건수’란 고객이 사용 중인 V3 등 안랩의 제품이 탐
지한 악성코드의 수를 의미하며, ‘샘플 수집 수’는 안랩이 자체적으로
수집한 전체 악성코드의 샘플 수를 의미한다.
[그림 2]는 2015년 4월 한 달간 유포된 악성코드를 주요 유형별로
집계한 결과이다. 불필요한 프로그램인 PUP(Potentially Unwanted
Program)가 57.62%로 가장 높은 비중을 차지했고, 트로이목마
(Trojan) 계열의 악성코드가 25.21%, 애드웨어(Adware)가 4.72%로
그 뒤를 이었다.
2015년 4월 악성코드 유포지로 악용된 도메인은 1,548개, URL은 1
만 9,704개로 집계됐다. 또한, 4월의 악성 도메인 및 URL 차단 건수
는 총 519만 1,767건이다. 악성 도메인 및 URL 차단 건수는 PC 등 시
스템이 악성코드 유포지로 악용된 웹사이트의 접속을 차단한 수이다.
안랩 시큐리티대응센터(ASEC)는 ASEC Report Vol.64를 통해 지난 2015년 4월의 보안 통계 및 이슈를 전했다. 4월의 주요 보안 이
슈를 살펴본다.
음악 앱으로 위장한 원격제어 악성코드
ASEC, 4월 악성코드 통계 및 보안 이슈 발표
[그림 1] 악성코드 추이(2015년 2월 ~ 2015년 4월)
샘플 수집 수탐지 건수
[그림 2] 2015년 4월 주요 악성코드 유형
Worm DownloaderAdwareetcTrojanPUP
5,000,000
6,000,000
10,000,000
20,000,000
30,000,000
40,000,000
1,000,000
2,000,000
3,000,000
4,000,000
04월03월02월
21,317,81319,126,002
22,063,090
3,78
1,33
3
4,21
7,29
3
3,94
0,48
8
4.72%
7.6%
25.21%
57.62%4.46%
0.39%
26
2015년 4월 한 달간 탐지된 모바일 악성코드는 15만 5,466건으로
집계됐다.
악성 도메인/URL 차단 건수 악성코드 유포 URL 수악성코드 유포 도메인 수
[그림 3] 악성코드 유포 도메인/url 탐지 및 차단 건수(2015년 2월 ~ 2015년 4월)
10,000
20,000
30,000
8,000,000
9,000,000
40,000
7,000,000
6,000,000
5,000,000
4,000,000
004월03월
33,588
19,790 19,704
1,5631,594 1,548
02월
[그림 4] 모바일 악성코드 추이(2015년 2월 ~ 2015년 4월)
50,000
100,000
150,000
250,000
200,000
0 04월03월
02월
247,243
221,188155,466
5,354,893 5,191,7674,860,868
음악 앱으로 위장한 원격제어 악성코드
음악을 듣기 위해 사용되는 애플리케이션에 원격제어 공격을 포함
한 사례가 포착되었다. 악성 애플리케이션은 구글 플레이 스토어
(Google Play Store) 및 서드파티 앱 스토어(Third Party App Store)
를 통해 유포되었다.
또한, 원격제어 공격에는 중국의 클라우드, 검색 포털 사이트 바이두
의 푸시 서비스를 이용했다. 이 푸시 서비스를 사용하여 공격자는 스
마트폰에 저장된 연락처, 문자 메시지, 사진 등의 개인정보를 공격자
의 서버에 전송할 수 있다.
서드파티 앱 스토어에서 앱을 설치하면 [그림 5]와 같은 권한을 요구
한다. 정상적인 음악 스트리밍 애플리케이션과 비교해보면 악성 앱에
서 요구하는 권한이 더 많다.
악성 음악 스트리밍 애플리케이션은 사용자의 의심을 피하기 위해 정
상적인 음악 스트리밍 애플리케이션의 기능(음악 다운로드, 재생)을
갖는다. 이를 위해 중국의 한 음악 사이트를 이용해 음악 정보를 추출
했다.
[그림 5] 정상 음악 스트리밍 앱(좌) / 악성 음악 스트리밍 앱(우)
[그림 6] 음악 정보 요청
[그림 7] 공격자의 바이두 클라우드 접근 키
[그림 8] 스마트폰 정보 수집 명령
[그림 9] 위치 정보 수집 명령
27
이처럼 사용자가 보기에는 정상 애플리케이션 기능이지만, 원격제어
를 통해 개인정보가 유출될 수 있다. 또한, 추가적인 악성 애플리케이
션이 설치되어 사용자는 추가 피해를 입을 수 있다.
이러한 악성 앱의 피해를 줄이려면 앱을 설치하기 전에 필요 이상의
과도한 권한을 요구하고 있는지 확인해야 한다. 또한 믿을 수 있는 모
바일 백신의 실시간 감시를 활성화하여 사용하면 안전하다.
V3 제품에서는 관련 악성코드를 다음과 같이 진단하고 있다.
<V3 제품군의 진단명>
Android-Trojan/Fcasino
[그림 10] 문자 메시지 정보 수집 명령
[그림 11] 다운로드 명령
[그림 11]과 같이 공격자는 다운로드 명령으로 추가적인 악성 앱을
다운 및 실행시킬 수 있다.
발행인 : 권치중
발행처 : 주식회사 안랩
경기도 성남시 분당구 판교역로 220
T. 031-722-8000 F. 031-722-8901
편집인 : 안랩 콘텐츠기획팀
디자인 : 안랩 UX디자인팀
© 2015 AhnLab, Inc. All rights reserved.
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제, 복사, 검색 시스템
으로 저장 또는 전송될 수 없습니다. 안랩, 안랩 로고는 안랩의 등록상표입
니다. 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다. 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다.
경기도 성남시 분당구 판교역로 220
T. 031-722-8000 F. 031-722-8901
© 2015 AhnLab, Inc. All rights reserved.
http://www.ahnlab.com
http://blog.ahnlab.com
http://twitter.com/ahnlab_man
![网络安全 2016年总结 - AhnLab, Inc.download.ahnlab.com/kr/site/library/[AhnLab]2017... · 2017-01-17 · 2016年总结 4 席卷全球的 勒索软件 01. 2016年席卷全球的安全威胁TOP5](https://static.documents.pub/doc/80x56/5f248de6998afa24bb0712f8/ccoe-2016c-ahnlab-inc-ahnlab2017-2017-01-17-2016c.jpg)
