[11월 둘째주] 알약 스미싱 알림

 

본 포스트는 알약M 사용자 분들이 ‘신고하기’ 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 ‘특이 문자’를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다.

특이 문자 

 No.

문자 내용 

1

 너의 성적인 사진이 있으니 클릭하게끔 유도하는 문자

 2

 [Web발신] 11월11일/오후5시/라루체호텔/헤이스룸 [Web발신] ♣an eternal promise♣ 11.11(일).PM5시{포시즌호텔3층}

 3

 [Web발신] Cj대한통운 운송장번호[3209224154]  주문하신 상품이 발송 되었습니다

 4

 [Web발신][CJ대한통운]나기은11월07일택배주소를찾을수없음주소변경

Researcher discloses VirtualBox Zero-Day without reporting it to Oracle

보안 연구원인 Sergey Zelenyuk이 오라클의 VirtualBox 가상화 소프트웨어의 제로데이 취약점에 대한 세부사항을 공개했습니다. 이 취약점은 공격자가 게스트에서 호스트로 탈출하는데 악용될 수 있습니다.

Zelenyuk은 오라클의 패치를 기다리지 않고 이 취약점을 대중에 공개했습니다. 이유는 현대 정보 보안의 상태, 특히 보안 연구 및 버그바운티 쪽의 의견에 동의하지 않기 때문이라고 밝혔습니다.

이 취약점은 VirtualBox 5.2.20 및 이전 버전에 영향을 미치며, 모든 호스트 또는 게스트 OS에서 악용될 수 있습니다.

Zelenyuk은 디폴트 설정에서 동작하는 익스플로잇 코드를 개발했습니다. 유일한 요구사항은 네트워크 카드가 Intel PRO/1000 MT Desktop (82540EM)이어야 하며, NAT 모드여야 한다는 것입니다.

그는 Ubuntu 16.04 및 18.04 x86-64 guest에서 이 익스플로잇을 성공적으로 테스트 했습니다. 하지만 그는 이 코드가 윈도우에서도 작동할 것이라 추측했습니다.

이 취약점의 근본적인 원인은 메모리 충돌 버그입니다. 이는 루트 또는 관리자 권한을 가진 공격자가 guest에서 host ring3으로 탈출하는데 악용될 수 있습니다. 그런 다음, 공격자는 기존 테크닉을 사용해 /dev/vboxdrv를 통해 ring0으로 권한을 상승시킬 수 있습니다.

“이 익스플로잇은 리눅스 커널 모듈(LKM)으로 guest OS에 로드됩니다. 윈도우의 경우 초기화 래퍼와 커널 API 호출을 통한, LKM과 다른 드라이버가 필요할 뿐입니다.

“양쪽 OS 모두에서 드라이버를 로드하기 위해서는 상승 된 권한이 필요합니다. 이는 흔한 일이며, 극복이 불가능한 장애물로 간주 되지 않습니다. Pwn2Own 콘테스트에서, 연구원들은 익스플로잇 체인을 사용합니다. Guest OS에서 악성 웹사이트를 오픈한 브라우저를 악용하고, guestOS의 하이퍼바이저에서 공격하는데 필요한 ring0에 도달하기 위해 OS 취약점도 악용 되었습니다. 가장 강력한 하이퍼바이저 취약점들은 guest ring 3에서도 악용이 가능합니다. VirtualBox 또한 guest root 권한 없이도 도달이 가능한 코드였으며, 대부분 여기에 대한 감사가 이루어지지 않았습니다.”

이 연구원은 문제를 완화 시키기 위해 사용자들에게 가상 머신의 네트워크 카드를 AMD PCnet 또는 반가상화 된 네트워크 어댑터로 변경하거나, NAT의 사용을 피하라고 조언했습니다.

출처 :

https://securityaffairs.co/wordpress/77771/hacking/virtualbox-zero-day.html

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다.

과거 비너스락커(VenusLocker) 랜섬웨어를 뿌렸던 조직이 지난 11월 15일 입사지원서를 사칭해 갠드크랩(GandCrab) v5.0.4 랜섬웨어를 한국에 대량으로 유포하고 있는 내용을 공개한 바 있습니다.

동일한 조직이 지난 주말부터 한국에서 개발된 ‘Berryz WebShare(베리즈 웹쉐어)’ 파일공유 서버를 구축해 또 다른 갠드크랩 v5.0.4 변종을 유포하고 있습니다.

[그림 1] 베리즈 웹쉐어 서버로 유포 중인 갠드크랩 랜섬웨어 화면

ESRC에서는 해당 위협조직이 지난 주 이미 해당 서버를 구축하고 있다는 사실을 확인해, 지속적으로 공격자를 추적 감시하고 있었습니다.

지난 주에는 ‘Mongoose Web Server (몽구스 웹 서버)’ 기반으로 랜섬웨어를 유포하였는데, 17일 주말부터는 ‘Berryz WebShare(베리즈 웹쉐어)’ 서버를 구축해 유포에 사용하고 있는 상태입니다.

[그림 2] 몽구스 웹 서버로 갠드크랩 랜섬웨어를 유포했던 화면

베리즈 웹쉐어에는 2개의 파일이 업로드되어 있으며, 파일명은 각각 ‘박혜윤_이력서(181119)열심히하겠습니다.exe’, ‘이미지 무단사용관련 내용확인(박혜윤작가).exe’ 다르게 등록되어 있습니다.

하지만 두개의 파일은 이름만 다른 동일한 갠드크랩 랜섬웨어입니다.

[그림 3] 이력서 등으로 위장하고, 워드파일로 위장한 갠드크랩 랜섬웨어 화면

비너스락커 랜섬웨어를 유포했던 위협조직들이 한국에 집중적으로 최신 랜섬웨어를 유포하고 있어, 각별한 주의가 필요한 상태입니다.

이용자가 해당 파일에 현혹되어 실행할 경우 컴퓨터에 보관되어 있던 문서, 동영상, 사진 등 대부분의 데이터가 암호화되어 사용이 불가능해 집니다.

[그림 4] 갠드크랩 v5.0.4 감염시 생성되는 랜섬노트 화면

해당 랜섬웨어에 감염되면 대부분의 데이터 파일이 암호화되고, 기존 확장자에 ‘.extsxcdshg’ 내용이 추가될 수 있습니다. 그리고 다수의 경로에 랜섬노트 ‘EXTSXCDSHG-DECRYPT.txt’ 파일이 생성됩니다.

ESRC에서는 19일 오전부터 다수의 랜섬웨어 행위차단 통계를 기반으로 갠드크랩 변종 긴급 패턴 업데이트를 완료한 상태이고, 알약(ALYac) 랜섬웨어 행위기반 차단로직을 통해 감염 활동을 신속히 차단할 수 있는 상태입니다.

공격자는 이메일 첨부파일이나 본문 URL 링크를 통해 지속적으로 한국에 변종 랜섬웨어를 유포하고 있습니다.

유사한 위협이 앞으로도 지속될 것으로 전망되고 있으므로, 인터넷 이용자분들은 각별히 주의하시길 바랍니다.

[11월 넷째주] 알약 스미싱 알림

 

본 포스트는 알약M 사용자 분들이 ‘신고하기’ 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 ‘특이 문자’를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다.

특이 문자 

 No.

문자 내용 

1

 [Web발신]11/25 오후 4시스 카 이 웨 딩 홀

 2

 [Web발신][CJ대한통운]운송장번호[94862**] 주소지 재확인 요청드립니다

 3

 KB접수인증서비스

안녕하세요. 이스트시큐리티입니다.

알약M 2.1.0.3 최신 버전 업데이트 후, 갑자기 생겨난 빠른 실행바에 놀라셨나요?

빠른 실행바가 필요하지 않아 OFF로 설정을 해두었는데, 다시 생겨난 빠른 실행바가 반갑지만은 않으셨을 텐데요ㅠㅠ 알약M 최신 버전 업데이트 이후, 왜 빠른 실행바가 다시 나타났는지 안내해 드리겠습니다.

Android OS 8.0 이상의 알약M 사용자에게 안내해 드립니다! 

그 전에, 알약의 기본 동작에 대해 잠시 말씀드릴 필요가 있는데요! 알약은 실시간으로 악성코드를 탐지하기 위해 필요에 따라 스마트폰의 백그라운드에서도 동작하고 있습니다.

그런데, 구글에서 Android 8.0부터 백그라운드 실행 제한 정책을 추가했습니다. 백그라운드 실행 제한 정책이란, 안드로이드의 백그라운드에서 실행 중인 앱의 특정 동작을 제한하는 정책입니다.

>> Android 8.0 정책 자세히 보기

이 정책으로 인해, 보안 위협의 실시간 탐지를 위해 백그라운드 동작이 필요한 ‘실시간 검사’, ‘스미싱 탐지’와 같은 알약M의 일부 기능이 제한될 수 있습니다. 그래서 이번 최신 버전부터 빠른 실행바가 다시 나타나게 된 것인데요, 빠른 실행바는 알약M이 백그라운드에서 실행되고 있음을 알려주기 때문에 알약M의 특정 기능이 제한되지 않고, 정상적으로 동작해 사용자님의 스마트폰을 안전하게 지킬 수 있도록 해줍니다.

그럼 빠른 실행바를 무조건 사용해야만 하나요? 

만약 빠른 실행바 사용을 원하지 않으신다면, 이전처럼 빠른 실행바를 없앨 수 있습니다. 상단바를 내려 빠른 실행바를 길게 터치하신 후, 해당 옵션을 OFF로 변경하시면 빠른 실행바가 사라집니다.

 ※ 다만, 빠른 실행바를 OFF한 상태에서는 알약M이 정상적으로 동작하지 않을 수 있으니,

빠른 실행바가 활성화된 상태로 사용하시기를 권장해 드립니다. 

여기서 드리는 하나의 꿀팁!

빠른 실행바는 내가 원하는 기능으로 다양하게 편집하여 사용할 수 있어요. 각 기능의 배치를 내가 자주 쓰는 순서로 바꿀 수도 있고, 다양한 알약M의 기능 중 원하는 것을 골라서 빠른 실행바에 넣을 수도 있답니다!

[알약M – 환경설정]에서 빠른 실행바 메뉴를 편집해보세요!

혹시 업데이트 이후 나타난 빠른 실행바가 궁금하셨다면, 이 글이 도움이 되셨길 바랍니다 =) 알약M은 더욱 안전하게 사용자 여러분의 스마트폰을 지키기 위해 늘 노력하겠습니다. 감사합니다.

0-Days Found in iPhone X, Samsung Galaxy S9, Xiaomi Mi6 Phones

11월 13일 ~ 14일 도쿄에서 개최 된 Pwn2Own 2018 모바일 해킹 대회에서, 화이트 해커들이 최신 버전 소프트웨어를 사용하는 인기있는 스마트폰들도 해킹 될 수 있다는 것을 보여주었습니다.

성공적으로 해킹 된 기기에는 iPhone X, 삼성 갤럭시 S9, 샤오미 Mi6도 포함 되어 있었습니다. 화이트 해커들은 총 $325,000를 상금으로 수령했습니다.

서로 다른 국가, 서로 다른 사이버 보안 회사에서 참여한 해커 팀들이 애플, 삼성, 샤오미가 제조한 모바일 기기에서 제로데이 취약점 총 18개, 타겟 기기를 완전히 제어할 수 있는 익스플로잇을 공개하였습니다.

iOS 12.1을 사용하는 애플 iPhone X 해킹 돼

Fluoroacetate 팀의 두 연구원인 Richard Zhu, Amat Cama는 모든 패치가 적용 된 애플의 iPhone X를 Wi-Fi를 통해 해킹할 수 있는 취약점 한 쌍을 발견했습니다.

이 연구원들은 iOS 12.1을 실행하는 iPhone에서 데이터를 추출하기 위해 iOS 웹브라우저(사파리)의 just-in-time(JIT) 취약점과 샌드박스 탈출 및 권한 상승을 위한 out-of-bounds 쓰기 버그를 결합했습니다.

이들은 시연을 위해 타겟 iPhone에서 최근 삭제 된 사진을 복구해보이기로 결정했습니다. 이를 통해 연구원들은 상금으로 $50,000를 받았습니다.

Fluoroacetate팀은 iPhone X의 베이스밴드를 악용하려 시도했지만, 할당 된 시간 안에 익스플로잇을 성공시키지는 못했습니다.

삼성 갤럭시 S9 도 해킹 돼

Fluoroacetate 팀은 iPhone X 이외에도 삼성 갤럭시 S9도 해킹할 수 있었습니다. 이들은 기기의 베이스밴드 컴포넌트의 메모리 힙 오버플로우 취약점을 악용하고 코드 실행 권한을 얻었습니다.

이들은 이를 통해 상금으로 $50,000을 받을 수 있었습니다.

또한 MWR 팀이 또 다른 취약점 3개를 발견했습니다. 이들은 Wi-Fi를 통해 삼성 갤럭시 S9 기기를 사용자와의 어떠한 상호작용 없이도 강제로 종속 포털에 접근하도록 했습니다.

이후 커스텀 어플리케이션을 타겟 삼성 갤럭시 S9 기기에 설치하기 위해 안전하지 않은 리디렉트 및 어플리케이션 로드를 사용했습니다. MWR Labs는 상금으로 $30,000를 받았습니다.

샤오미 Mi6도 해킹 돼

Fluoroacetate 팀은 NFC를 통해 샤오미 Mi6 기기도 해킹하는데 성공했습니다.

“이들은 touch-to-connect 기능을 사용해 강제로 기기가 웹 브라우저를 열고 그들이 특별히 제작한 웹페이지를 방분하도록 했습니다.”

“시연 도중, 우리는 공격이 진행 중이라는 사실도 몰랐습니다. 실제로 이 공격을 받는 사용자들은 공격을 예방할 기회가 전혀 없을 것입니다.”

Fluoroacetate 팀은 이 취약점을 발견해 상금으로 $30,000를 받았습니다.

대회 이틀 째, Fluoroacetate은 샤오미 Mi6의 웹 브라우저 내 JavaScript 엔진의 정수 오버플로우 취약점을 활용해 기기에서 사진을 추출해낼 수 있었습니다.

이 버그로는 $25,000의 상금을 받았습니다.

MWR Labs 또한 샤오미 Mi6 스마트폰에서 서로 다른 버그 5개를 결합하여 JavaScript를 통해 은밀히 커스텀 어플리케이션을 설치하고, 어플리케이션 화이트리스트를 우회하고 자동으로 앱을 실행시킬 수 있었습니다.

이 목적을 달성하기 위해 이들은 샤오미 Mi6 기기가 공격자가 제어하는 Wi-Fi 서버에 연결했을 때 디폴트 웹 브라우저가 악성 웹사이트를 강제로 방문하도록 했습니다.

이 팀은 상금으로 $30,000을 받았습니다.

대회 이틀째 MWR 팀은 그들의 커스텀 어플리케이션을 로드하기 위해 다운로드 결점과 은밀한 앱 설치를 결합해 기기에서 사진 몇 개를 추출해낼 수 있었습니다. 이로써 상금으로 $25,000를 추가로 받았습니다.

또 다른 연구원인 Michael contreras는 JavaScript 타입 혼란 취약점을 악용해 샤오미 Mi6 기기에서 코드 실행 권한을 얻었습니다. 그는 상금으로 $25,000를 받았습니다.

Fluoroacetate 팀, 올해의 ‘Pwn 마스터’ 타이틀 획득

Fluoroacetate 팀은 가장 높은 총점인 45점 및 총 상금 $215,000를 획득해 올해의 ‘Pwn 마스터’ 타이틀을 획득했습니다. 이들은 iPhone X, 갤럭시 S9, 샤오미 Mi6에 실행한 6번의 데모 중 5건을 성공시켰습니다.

이 대회에서 발견 된 제로데이 취약점의 세부 사항들은 90일 안에 공개 될 것입니다. 이 기간 내 제조사들에게도 제보 될 것이며, OEM 패치도 배포 될 것입니다.

출처 :

https://thehackernews.com/2018/11/mobile-hacking-exploits.html

안녕하세요? 이스트시큐리티입니다.

스미싱과 보이스피싱 등을 결합한 형태로 악성 앱들이 유포되고 있습니다. 해당 앱들은 주로 1 금융 관련 앱을 사칭하였으나 최근에는 국가기관, 2 금융 사칭 등으로 다양한 형태로 나타나고 있습니다. 기기 및 개인정보를 탈취하고 금융 정보 탈취를 목적으로 기기의 통화 상태를 감시합니다.

특히, 해당 앱은 분석을 어렵게 하기 위해서 중국 Qihoo 360사의 패킹 기술을 적용하였습니다.

 

본 분석 보고서에서는 “Trojan.Android.KRBanker”를 상세 분석하고자 합니다.

악성코드 상세 분석

1. 패킹 특징

중국 Qihoo 360사의 패킹 된 앱은 일반 앱과는 다른 부분이 존재합니다. 앱의 권한과 컴포넌트 관련 정보를 볼 수 있는 매니페스트를 보면 일반 안드로이드 앱에서는 볼 수 없는 항목인 “android:qihoo”부분이 추가되어 있는데 이는 디컴파일을 방해합니다. “assets” 폴더에는 파일의 무결성과 동적 패킹에 관여하는 “.appkey”, “libjiagu.so” 파일이 포함되어 있습니다. 또한, 아래 [그림 2]를 보면 패키지명이 “com.android.hellod3”이지만, 패킹 된 덱스 코드에서는 해당 부분을 찾을 수 없어 정적 분석으로는 실제 악성 행위와 관련된 코드를 볼 수 없습니다.

 

[그림 1] 패킹 된 앱의 구조

  

 

[그림 2] 패킹 전 후 덱스코드 비교

2. 안티 디컴파일러

앱 디컴파일에 흔히 쓰이는 “apktool” 최신 버전을 통해서 컴파일을 시도하면 매니페스트의 “qihoo”와 관련된 요소를 찾을 수 없다고 하여 에러를 일으킨다. 앱의 동적 분석을 위해서는 매니페스트에 android:debuggable=”true” 항목이 필요한데 이를 방지한다.

 

[그림 3] 컴파일 실패

3. 안티 디버깅

패킹 앱의 초기에는 안티 디버깅이 포함되어 있지 않아서 메모리에 로드된 덱스 파일을 실시간 덤프를 함으로써 간단히 패킹앱의 분석이 가능했습니다. 그러나 최근 패킹 앱에는 다양한 안티 디버깅 기법이 추가되었기 때문에 동적 분석을 통해서 안티 디버깅을 우회한 다음에서야 메모리에 로드된 덱스 파일 덤프가 가능합니다.

3.1 dlactivity 확인

“/system/linker” 모듈 내부에 존재하는 “dl_rtld_db_dlactivity”의 값은 디버깅 되고 있는지 없는지를 나타냅니다.

[그림 4] dlactivity 활용 안티 디버깅

3.2 TracerPid 확인

“/proc/self/status” 파일을 확인해보면 앱과 관련된 정보들이 나타나있습니다. 그 중에서 “TracerPid”의 값을 통해서 디버깅 여부를 확인할 수 있습니다.

 

[그림 5] TracerPid 활용 안티 디버깅

3.3 주소 활성화 여부 확인

주소와 포트를 확인하여 디버깅 여부를 확인합니다. IDA를 통해서 안드로이드 원격 디버깅이 가능한데, IDA의 기본 디버깅 주소와 포트의 활성화 여부를 확인하여 디버깅 여부를 확인합니다.

 

[그림 6] 주소 확인을 통한 안티 디버깅

3.4 특정 문자 확인

“gdb”, “android_server” 등의 동적 디버깅에 사용되는 도구들의 명령어 및 메모리상의 관련 문자열 확인을 통해서 디버깅 여부를 확인합니다.

 

[그림 7] 명령어 및 메모리 확인을 통한 안티 디버깅

3.5 시간 확인

코드 실행 중간중간에 시간 관련 함수를 추가하여 해당 코드의 실행 시간을 계산하여 디버깅 여부를 확인합니다.

[그림 8] 시간 확인을 통한 안티 디버깅

3.6 덱스 파일 덤프

안티 디버깅을 모두 우회하면 복호화된 덱스 파일은 “libart.so” 모듈에 의해서 메모리로 로드되는데, 이때 덱스 파일이 로드된 메모리 주소와 덱스 파일 구조에 기록되어 있는 덱스 파일의 크기를 계산하여 해당 부분을 덤프합니다. 다음 실제 코드가 담긴 덱스코드를 분석합니다.

 

[그림 9] 덱스 파일 덤프

4. 덱스 파일 분석

“assets” 폴더에는 “image.zip” 파일이 있는데 내부에는 악성 행위에 사용되는 가짜 통화 관련 사진과 악성 앱을 구성하는 여러 개의 사진 등이 있습니다.

  

[그림 10] 악성 앱에 사용되는 파일

기기의 아이디와 전화번호를 탈취하여 식별 정보로 사용합니다.

 

[그림 11] 기기 정보 탈취

기기 부팅 시 서비스를 실행시켜 지속적인 악성 행위를 가능토록 합니다.

 

[그림 12] 기기 부팅 시 재실행

안드로이드 정책에서는 일정 시간 동안 와이파이를 사용하지 않으면 꺼지게 되는데 이를 방지하여 C&C와의 지속적인 통신을 가능토록 합니다.

 

[그림 13] 지속적인 와이파이 연결

메시지를 주기적으로 감시하고 탈취하여 C&C 서버로 전송합니다.

 

[그림 14] 메시지 탈취

주소록을 주기적으로 감시하고 탈취하여 C&C 서버로 전송합니다.

 

[그림 15] 주소록 탈취

통화 상태를 확인하고 특정 번호를 감시하여 해커에게 연결되도록 하고 사용자를 속이기 위해서 가짜 통화 사진을 팝업합니다.

[그림 16] 통화 탈취

C&C 서버는 “lib” 폴더의 “libmasker.so” 파일 내부의 함수 호출을 통해서 불러옵니다.

  

[그림 17] C&C 서버

결론

해당 악성 앱은 금융권 앱의 아이콘과 이름을 사칭합니다. 사용자의 기기 및 개인정보를 탈취하고 전화 상태를 확인하여 특정번호를 감시합니다. 통화를 종료하고 해커에게 전화를 자동으로 걸도록 하여 금융 정보를 탈취합니다. 특히, 앱의 분석을 어렵게 하기 위해서 중국의 Qihoo 360의 패킹을 적용했습니다.

따라서, 악성 앱으로부터 피해를 최소화하기 위해서는 백신 앱을 통한 주기적인 검사가 중요합니다. 출처가 불명확한 URL과 파일은 실행하지 않는 것이 기본이고 공식 마켓인 구글 플레이스토어를 통해서 확보한 앱이라도 백신 앱을 추가 설치하여 주기적으로 업데이트하고 검사해야 합니다.

현재 알약 M에서는 해당 앱을 ‘Trojan.Android.KRBanker’ 탐지 명으로 진단하고 있습니다.

[11월 셋째주] 알약 스미싱 알림

 

본 포스트는 알약M 사용자 분들이 ‘신고하기’ 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 ‘특이 문자’를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다.

특이 문자 

 No.

문자 내용 

1

 [Web발신][CJ대한통운]운송장번호[96251**] 주소지 재확인 요청드립니다

 2

 {꽃처럼예쁘게}잘살겠습니다일시:11월16일오후2시장소:

 3

 [Web발신][CJ대한통운]현상윤11월13일택배주소를찾을수없음주소변경

 4

 [Web발신][CJ대한통운]김태훈주소가 틀렸습니다.문자로 확인하십시오.

안녕하세요? 이스트시큐리티 사이버 위협 인텔리전스(CTI) 전문조직인 시큐리티대응센터 (이하 ESRC) 입니다.

지난 주부터 비너스락커(VenusLocker) 랜섬웨어 조직이 다시 활동을 본격화하고 있습니다. 이들은 최근에 RaaS(Ransomware-as-a-Service) 기반의 러시아 서비스형 갠드크랩(GandCrab) 랜섬웨어를 한국에 집중 유포시키고 있습니다.

’11월 15일에는 장윤성 입사지원서를 위장’해 DOC 워드 문서의 매크로 기능을 이용해 유포한 바 있고, ’19일에는 박예윤 이력서 내용과 이메일 본문에 악성 EXE 파일 링크’로 유포했습니다.

[그림 1] 갠드크랩 랜섬웨어 유포에 이용된 악성 이메일 실제 화면

MS Word 매크로 기법과 악성 EXE 파일의 직접적인 유포를 사용하던 범죄자들은 ‘베리즈 웹쉐어(Berryz WebShare)’ 서버를 구축해 한동안 변종 갠드크랩 랜섬웨어를 꾸준히 유포하는데 사용하였습니다.

ESRC는 이들 조직이 한국과 동일한 시간대에서 활동하며, 갠드크랩 변종 랜섬웨어를 유포서버에 등록하는 것을 확인하였습니다.

특히, 국내 대표 보안제품들이 탐지 기능을 추가하면 곧바로 변종을 제작해 등록하는 적극적인 공격전략을 구사하고 있습니다.

[그림 2] 공격자가 베리즈 웹쉐어 서버에 각종 악성파일을 등록해 둔 화면

이른바 비너스락커 위협 조직은 2016년 12월 23일 ‘한국’ 키워드가 포함된 다수의 국내 기관 및 연구원 등에 연말정산 내용으로 위장해 랜섬웨어를 본격적으로 유포를 시작한 바 있습니다.

그 이후에는 ‘차량 법규 위반 과태료 통지서’, ‘페덱스 배송팀 사칭’, ‘쇼핑몰 고객 개인정보 리스트’, ‘교육 일정표 위장’, ‘이미지 저작권 위반’ 등 다양한 형태로 한국을 상대로 오랜 기간 사이버 위협을 가하고 있습니다.

그리고 비너스락커 랜섬웨어 유포 이후에 오토크립터 랜섬웨어를 유포한 바도 있고, 암호화폐 채굴기능을 가진 악성코드를 유포한 이력도 가지고 있습니다.

특히, DOC Exploit 취약점 파일을 이용한 공격도 수행한 바 있어 전문화된 위협조직으로 분류되어 있고, 유창한 한국어를 자유자재로 구사하고 있는 상태입니다.

ESRC는 이들이 현재 한국을 대상으로 가장 활발히 움직이는 랜섬웨어 위협그룹 중 하나로 보고 있습니다.

11월 20일 오전부터는 이력서 사칭에서 이미지 무단사용 관련 협박내용을 추가했고, 다시 출석 요구서 내용으로 위장해 갠드크랩 랜섬웨어를 유포하였습니다.

그러다가 오후부터는 ‘임금체불관련 출석요구서’ 내용으로 바로가기(LNK) 파일과 숨김속성의 갠드크랩 실행파일(EXE) 연결 방식으로 다시 유포를 하기 시작했습니다.

[그림 3] 바로가기(LNK) 파일을 통해 숨김속성의 갠드크랩 랜섬웨어를 실행 유도하는 화면

ESRC에서는 알약(ALYac) 랜섬웨어 행위기반 차단 탐지 통계를 통해 공격자가 계속해서 변종을 한국에 유포하고 있다는 것을 확인했습니다.

또한, 파일명도 ‘peesss.exe’, ‘delltoro.exe’, ‘document.exe’ 등으로 다양하게 변경해서 유포하고 있습니다.

이러한 공격기법은 비너스락커 조직이 초기부터 꾸준히 사용하는 방식으로 ‘1.출석요구서.doc.lnk’, ‘2.임금체불 진정서.doc.lnk’ 2중 확장자의 바로가기 파일을 통해 은밀히 숨겨져 있는 랜섬웨어를 실행하는 기법입니다.

특히, 공격자들이 알집(ALZip) EGG 포맷을 자주 사용하고 있어, 이러한 기법을 사용할 경우 사전에 위협을 탐지할 수 있는 기능을 알집 압축프로그램에 추가한 상태입니다.

[그림 4] 랜섬웨어 위협 탐지 후 보여지는 알집 프로그램 경고 화면

이처럼 비너스락커 조직은 한국을 상대로 2년 가깝게 랜섬웨어를 집중적으로 유포하고 있는 상태이고, 주로 이메일의 첨부파일이나 링크 클릭을 유도하고 있습니다.

그동안 보고된 실제 공격 사례들을 기억해 유사한 보안위협에 노출되지 않도록 각별한 주의가 필요하며, 의심스러운 이메일을 수신할 경우 절대 파일이나 인터넷 주소로 접근하지 않는 것이 중요합니다.

ESRC에서는 이들 위협 조직에 대한 지속적인 보안 모니터링과 위협 인텔리전스 연구를 통해 인터넷 이용자들의 피해를 최소화하는데 집중하고 있습니다.

안녕하세요이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

미국 추수감사절(Thanksgiving Day) 내용으로
악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다
.

 

※ 관련글 보기

 

▶ 임금체불 관련
출석요구서로 사칭한 갠드크랩 랜섬웨어 감염 주의

▶ 해외 배송장으로
위장한 국내 포털 피싱 메일 주의
!!

▶ 매크로를 이용한
송장 관련 악성 메일 유포 주의

[업데이트][주의] 견적서를
위장한 악성메일 지속적으로 유포중
! 사용자들의 주의 필요

▶ 특정 기업의 프로젝트
파일처럼 위장한 악성 메일 유포 주의

▶ 국내 실제 기업명을
사칭한 악성 메일 유포 주의

 

이번에 발견된 악성 메일은 ‘Thanksgiving
Greeting Card
’라는 제목으로 메일 본문에는 ‘Happy Thanksgiving
wishes to you!’
라는 내용으로 첨부된 파일의 실행을 유도합니다.

[그림 1] 수신된 메일

 

만약 이용자가 첨부 파일 ‘Thanksgiving-Day-wishes.doc’를 클릭할 경우 아래와 같이 매크로 실행을 유도 합니다 

[그림 2] 매크로 실행을 유도하는 DOC 파일

 

이용자가 자세한 정보를 열람하기 위해 매크로를 실행할 경우난독화된 스크립트를 이용해 cmd.exe 프로세스를 실행 후 악성 코드에 감염 됩니다.

[그림 3] 난독화된 스크립트

 

따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을
삼가하시고
, 검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기
바랍니다
.

 

현재 알약에서는 관련 샘플을 ‘Trojan.Downloader.DOC.gen‘ 으로 진단하고 있습니다.