2015년 2분기 주요 정보보안 소식 차민석 공개판_20150810

2015년 2분기주요정보보안소식

2015.08.10

안랩 시큐리티대응센터(ASEC) 분석팀

차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7) 책임 연구원

공개판

© AhnLab, Inc. All rights reserved. 2

:~$whoami

Profile

− 차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7)

− 1988년 1월 7일 : Apple ][+ 복제품으로 컴퓨터 시작

− 1989년 : Brain virus 변형 감염

− 1997년 : AhnLab 입사

− AhnLab 책임 연구원 (Senior Antivirus Researcher)

− 시큐리티 대응센터(ASEC) 분석팀에서

악성코드 분석 및 연구 중

- 민간합동 조사단, 사이버보안 전문단

- AVED, AMTSO, vforum 멤버

- Wildlist Reporter

Contents

01

02

03

04

05

06

07

2015 년 국내 정보보안 소식

2 분기 국내 사건 사고

2015 년 국외 정보보안 소식

2 분기 국외 사건 사고

2 분기 주요 취약점과 악성코드

Case Study : 한글 지원 Ransomware

Case Study : 일본 연금기구 정보 유출

01

2015 년국내정보보안소식



2015년국내정보보안소식

− 1월 7일 : 모바일 상품권 부정 사용 의혹

http://www.boannews.com/media/view.asp?idx=44991&kind=0

− 1월 15일 : 정부, 400개 기관에 대한 사이버 안전 대진단 발표

http://www.mt.co.kr/view/mtview.php?type=1&no=2015011510033489266

− 1월 15일 : 사법부, 파밍 사건의 은행 책임 일부 인정

http://news.donga.com/3/01/20150115/69100947/1

− 1월 28일 : 전 남친 뒷조사하려고 군 홈페이지 해킹 시도한 여대생 검거

http://economy.hankooki.com/lpage/society/201501/e20150128142208117920.htm

− 1월 28일 : 안랩, 안랩 V3 모바일 3.0 일본 출시

− 2월 1 일 : CDN 업체 해킹으로 일부 정부 웹사이트 통해 악성코드 유포

− 2월 2일 : PG사 Active X 설치 대신 EXE 파일 다운로드 방식으로 변경 시작




− 2월 13일 : 부산 강서경찰서, 회사 자금을 관리하는 직원 컴퓨터에 악성코드를 심어 1억 원 빼돌린 혐

의로 신모(37) 씨 구속

http://www.yonhapnews.co.kr/society/2015/02/13/0701000000AKR20150213168100051.HTML?template

=5567

− 3월 2일 : SBS, 돈 받고 DDoS 공격한 보안업체 대표 양 모씨 보도

http://news.sbs.co.kr/news/endPage.do?news_id=N1002859801

− 3월 5일 : 미래부, 인터넷 공유기 보안 강화 발표

http://www.ddaily.co.kr/news/article.html?no=127945

− 3월 5일 : 공공 아이핀 75 만 건 부정 발급 확인

http://www.nocutnews.co.kr/news/4377976

− 3월 12일 : John, 한수원 유출 자료 추가 공개 주장

http://news.mt.co.kr/mtview.php?no=2015031220118210253

− 3월 15일 : AhnLab 창립 20 주년




− 3월 17일 : 합수단, 한수원 해킹 수사 결과 발표

http://www.dailysecu.com/news_view.php?article_id=9004

− 3월 17일 : 인섹시큐리티, Metascan 국내 판매 발표

http://www.itdaily.kr/news/articleView.html?idxno=61081

− 3월 19일 : 3.20 공격 세력 공격 재개 보도


− 3월 19일 : Pwn2Own에서 이정훈 (lokihardt) 연구원 상금 독식

http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2015-Day-Two-results/ba-

p/6722884#.VQ9clI6sXow

− 3월 23일 : 온라인 문화상품권 업체 해킹해 7억 원 챙긴 일당 적발

http://news1.kr/articles/?2146019

− 3월 23일 : 카드업계, 26일 부터 Active X 제거 발표




− 3월 23일 : 서울중앙지법, 북한 해커로부터 온라인 도박을 조작할 수 있는 프로그램 구매하고 배포한

혐의로 기소된 도박업자들에게 징역형이 선고

http://www.newsis.com/ar_detail/view.html?ar_id=NISX20150321_0013550963&cID=10201&pID=10200

− 3월 23일 : 디도스(DDoS) 공격 의뢰를 받고 범행을 공모한 혐의로 보안업체 기소

http://www.newsis.com/ar_detail/view.html?ar_id=NISX20150326_0013560539&cID=10203&pID=10200

− 3월 31일 : 청와대 안보실 사이버 안보비서관 신설

http://www.yonhapnews.co.kr/bulletin/2015/03/30/0200000000AKR20150330190100001.HTML

− 4월 13일 : 안랩, V3 Mobile Security 글로벌 출시

https://play.google.com/store/apps/details?id=com.ahnlab.v3mobilesecurity

− 4월 21일 : 클리앙 통해 한글화 Ransomware 배포

http://www.boannews.com/media/view.asp?idx=46006

− 4월 21 일 : 이데일리, 사이버 예비군 창설 준비 보도

http://www.edaily.co.kr/news/NewsRead.edy?SCD=JF31&newsid=01259526609338416&DCD=A00603




− 4월 22일 : VirusTotal에 국내 기관·기업 내부문서 업로드 보도

http://www.boannews.com/media/view.asp?idx=46028

− 5월 6일 : Avast, Windows dll 파일 Kryptik-PFA [Trj] 오진

https://forum.avast.com/index.php?topic=170709.0

− 5월 12일 : 중국 Qihoo 360 Security, Android 제품 한국 진출 발표

http://www.asiae.co.kr/news/view.htm?idxno=2015051211260311849

− 5월 14일 : 데일리NK, 북한에서 해킹 시도 의혹 밝힘

http://www.dailynk.com/korean/read.php?cataId=nk00100&num=106135

− 5월 21일 : 안랩, 한글 새로운 취약점 정보 공개

http://asec.ahnlab.com/1035

− 5월 26일 : 한국인터넷진흥원, 사이버 가디언스(Cyber Guardians) 위촉





− 5월 28일 : Avast, 클라우드 기반 무료 기업 제품 출시 발표

http://www.etoday.co.kr/news/section/newsview.php?idxno=1132900

− 5월 29일 : 다음 카카오, daum V3 서비스 종료 발표

http://blog.daum.net/daumcleaner/28

− 5월 31일 : NSHC & Kaist Syssec, CCTV 와 IP Camera에서 백도어 및 취약점 발견 발표

http://syssec.kaist.ac.kr/sub0501/articles/view/tableid/news/id/5

− 6월 7일 : 한국인터넷진흥원 주요 SW와 취약 액티브X 업데이트를 안내하는 ‘SW 원클릭 안심 서비스’

실시 발표

http://www.etnews.com/20150605000143

− 6월 12일 : 북한 연계 의혹 MERS 관련 악성코드 소동

http://www.yonhapnews.co.kr/bulletin/2015/06/12/0200000000AKR20150612084152017.HTML

http://news.kbs.co.kr/news/NewsView.do?SEARCH_NEWS_CODE=3094304&ref=A




− 6월 15일 : Samsung, 사이버보안 사업팀 신설 보도

http://www.dt.co.kr/contents.html?article_no=2015061502100151800001

− 6월 26일 : 대구 은행 등 유럽 해킹그룹 DD4BC로부터 DDoS 공격 받음

http://news1.kr/articles/?2300794

−

02

2 분기국내사건사고


데일리NK 해킹

• 데일리 NK 해킹시도

- 공격자 IP 중175.45.178.19 (북한) 발견

* Source : http://www.dailynk.com/korean/read.php?cataId=nk00100&num=106135


데일리NK 해킹

• 175.45.178.19

-

* Source : http://myip.ms/view/ip_addresses/2939007488/175.45.178.0_175.45.178.255


MERS 정보가장

• MERS 관심노린스미싱및악성코드등장

-첨부파일 : 메르스_병원및환자리스트.docx.exe

* Source : http://www.yonhapnews.co.kr/bulletin/2015/06/12/0200000000AKR20150612084152017.HTML


MERS 정보가장

• 북한 IP 포함되어북한연계소동

- 메르스_병원및환자리스트.docx.exe의접속주소에북한 IP 포함보도

-KISA 확인결과한보안업체에서교육용으로만들어교육생들에게배포한것

* Source : http://news.kbs.co.kr/news/NewsView.do?SEARCH_NEWS_CODE=3094304&ref=A

03

2015 년국외정보보안소식



2015년국외정보보안소식

− 2014년 12월 28일 : Trammell Hudson, Thunderbolt 취약점을 이용한 Thunderstrike 발표

https://events.ccc.de/congress/2014/Fahrplan/events/6128.html

− 2014년 12월 31일 : LOL Taiwan 서버에서 Plugx 변형 배포

http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-malware-found-in-official-releases-of-

league-of-legends-path-of-exile

− 1월 8일 : Moneyhorse 사 해킹으로 Glorious Leader! 게임 제작 중단 발표

https://www.kickstarter.com/projects/884592321/glorious-leader/posts/1101568

− 1월 12일 : 미국 American, United 항공 고객 마일리지 계좌 해킹해 무료 탑승

http://www.inquisitr.com/1750232/american-united-airlines-hacked-thieves-hack-into-thousands-of-

customer-accounts-for-free-flights/

− 1월 13일 : 북한 조선중앙통신 사이트 에서 악성코드 배포

http://arstechnica.com/security/2015/01/surprise-north-koreas-official-news-site-delivers-malware-too/

− 1월 15일 : Intel Security, Samsung Tizen 기반 휴대폰에 보안 프로그램 탑재 발표




− 1월 16일 : 영국 SEROCU, Lizard Squard 멤버 검거 발표

http://www.serocu.org.uk/31/section.aspx/21/man_arrested_swatting_and_denial_of_service_offences

− 1월 16일 : 미국 언론사 뉴욕포스트(NYP)와 UPI 통신의 트위터 계정 도용

http://www.reuters.com/article/2015/01/16/us-usa-media-twitter-idUSKBN0KP24U20150116

− 1월 19일 : 미국 The New York Times, NSA에서 북한 네트워크 침투 보도

http://www.nytimes.com/2015/01/19/world/asia/nsa-tapped-into-north-korean-networks-before-sony-

attack-officials-say.html?referrer

− 1월 27일 : Linux GNU C Library 취약점 CVE-2015-0235 (일명 Ghost) 발표

https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt

− 1월 27일 : Kaspersky, Reign과 Qwerty Keylogger 간 연관 관계 발표

http://securelist.com/blog/research/68525/comparing-the-regin-module-50251-and-the-qwerty-

keylogger




− 1월 29일 : 중국 정부, 강력한 사이버 보안법 적용

http://www.nytimes.com/2015/01/29/technology/in-china-new-cybersecurity-rules-perturb-western-

tech-companies.html

− 2월 3일 : 미국 정부, 사이버대책 총괄 기구 E-Gov Cyber 설립

http://thehill.com/policy/cybersecurity/231598-white-house-creates-e-gov-cyber-unit

− 2월 4일 : Anthem, 8 천 만명 개인 정보 유출

http://www.anthemfacts.com

− 2월 11일 : Facebook, ThreatExchange 사이트 공개

https://threatexchange.fb.com

− 2월 12일 : Trend Micro, 한국 은행 사용자를 대상으로 한 모바일 악성코드 발표

http://blog.trendmicro.com/trendlabs-security-intelligence/mobile-malware-gang-steals-millions-from-

south-korean-users




− 2월 14일 : Newyork times, 은행 시스템에 Carbanak 악성코드 감염 시켜 돈 빼낸 사건 보도

http://www.nytimes.com/2015/02/15/world/bank-hackers-steal-millions-via-malware.html

− 2월 16일 : Kaspersky, Equation 정보 공개

https://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy

− 2월 19일 NSA & GCHQ, SIM Card 제조 업체 해킹

https://firstlook.org/theintercept/2015/02/19/great-sim-heist

− 2월 20일 : Lenovo, Superfish 취약점 발표

http://support.lenovo.com/us/en/product_security/superfish

− 2월 25일 : Microsoft MMPC, Ramnit 300 만대 차단 발표

http://blogs.technet.com/b/mmpc/archive/2015/02/25/microsoft-malware-protection-center-assists-in-

disrupting-ramnit.aspx

− 2월 27일 : Uber, 5 만 명 기사 정보 유출 발표

http://blog.uber.com/2-27-15




− 3월 3일 : Oracle, OS X Java에도 ask toolbar 탑재 논란

http://www.zdnet.com/article/oracle-extends-its-adware-bundling-to-include-java-for-macs

− 3월 5일 : Bluebox, Xiaomi 스마트폰에 악성코드 포함 발표

https://bluebox.com/blog/technical/popular-xiaomi-phone-could-put-data-at-risk

− 3월 6일 : FREAK (Factoring Attack on RSA-EXPORT Keys CVE-2015-0204)

https://www.us-cert.gov/ncas/current-activity/2015/03/06/FREAK-SSLTLS-Vulnerability

− 3월 9일 : Krebs on Security, POS 업체 NEXTEP 정보 유출 공개

http://krebsonsecurity.com/2015/03/point-of-sale-vendor-nextep-probes-breach

− 3월 11일 : PandaSecuriy, 자신을 악성코드로 오진

http://www.pandasecurity.com/uk/homeusers/support/card?id=100045

− 3월 11일 : Kaspersky, the Equation Group의 EquationDrug 발표

http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform




− 3월 19일 : BloombergBusiness, Kaspersky Lab 러시아 첩보부와 연관 의혹 보도

http://www.bloomberg.com/news/articles/2015-03-19/cybersecurity-kaspersky-has-close-ties-to-

russian-spies

− 3월 19일 : 미국 Target, 2013년 해킹으로 1천만 달러(약 112억 원)를 배상

http://money.cnn.com/2015/03/19/technology/security/target-data-hack-settlement

− 3월 25일 : Trend Micro, 동아시아 지역에서 발견되고 있는 Sextortion 악성코드 분석자료 발표

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-sextortion-in-

the-far-east.pdf

− 3월 25일 : AraLabs, Home Router DNS 설정 변경해 광고 교체 발표

http://aralabs.com/blog/2015/03/25/ad-fraud-malware-hijacks-router-dns-injects-ads-via-google-

analytics

− 3월 27일 : Slack 해킹 당함

http://slackhq.com/post/114696167740/march-2015-security-incident-and-launch-of-2fa




− 3월 29일 : github.com 중국 정부 추정 DDoS 공격 당함

http://insight-labs.org/?p=1682

− 4월 7일 : CNN, Russian Hacker가 White house 해킹 했다고 보도

http://edition.cnn.com/2015/04/07/politics/how-russians-hacked-the-wh/index.html

− 4월 9일 : France TV5Monde 해킹 보도

http://www.lemonde.fr/pixels/article/2015/04/09/les-sites-de-tv5-monde-detournes-par-un-groupe-

islamiste_4612099_4408996.html

− 4월 9일 : 새로운 shellshock 취약점 이용한 웜 발견

http://www.volexity.com/blog/?p=118

− 4월 10일 : HSBC, 정보 유출 시인

http://doj.nh.gov/consumer/security-breaches/documents/hsbc-finance-20150410.pdf

− 4월 11일 : Russia 경찰, Android 인터넷뱅킹 정보 탈취 악성코드 제작자 검거

https://mvd.ru/news/item/3311877




− 4월 13일 : Interpol, Simda botnet take down 발표

http://www.interpol.int/en/News-and-media/News/2015/N2015-038

− 4월 15일 : GAO, 새로운 항공 관제 시스템 문제 발표

http://gao.gov/assets/670/669627.pdf

− 4월 17일 : BitDefender, BitDefender Box 출시

http://www.bitdefender.com/news/direct-sales-of-bitdefenders-the-box-launches-new-era-in-internet-

security-3029.html

− 4월 21일 : Kaspersky, Cozyduke 정보 공개

https://securelist.com/blog/research/69731/the-cozyduke-apt/

− 4월 25일 : Russian Hackers가 백악관 시스템 해킹 해 Obama 메일 읽음

http://www.nytimes.com/2015/04/26/us/russian-hackers-read-obamas-unclassified-emails-officials-

say.html?_r=0




− 4월 27일 : AV-Comparatives 부정 행위 적발 발표

− 4월 29일 : BBC, 다큐멘터리에서 철도 제어 시스템 암호 노출

https://grahamcluley.com/2015/05/train-control-centre-passwords-revealed

− 4월 29일 : Eset, Linux Spam 발송 악성코드 Mumblehard 정보 공개

http://www.welivesecurity.com/wp-content/uploads/2015/04/mumblehard.pdf

− 4월 29일 : Canada 경찰 webcam 해킹 혐의로 27세 여성 Valérie Gignac 검거 발표

http://www.rcmp-grc.gc.ca/qc/nouv-news/com-rel/2015/04/150429-eng.htm

− 5월 1일 : 인증 기관 테스트 관련해 부정 행위 한 업체 적발

http://www.av-test.org/fileadmin/pdf/VB-AVC-AVT-press-release.pdf

− 5월 1일 : Linux GPU 이용한 Rootkit Jellyfish 공개

https://github.com/x0r1/jellyfish

− 5월 4일 : Sally Beauty 두번째 유출 사고 발표

https://www.sallybeautyholdings.com/data-incident-information.aspx




− 5월 6일 : Las Vegas' FireKeepers Casino 카드정보 7개월 동안 유출

http://firekeeperscasino.com/data-sec

− 5월 8일 : India CERT, Bioazih 경고

http://www.cert-in.org.in

− 5월 13일 : 가상환경 취약점 (CVE-2015-3456) VENOM 발표

http://venom.crowdstrike.com

− 5월 15일 : GTA V mods ‘Angry Planes’ 와 ‘Noclip’ 에서 악성코드 발견

https://grahamcluley.com/2015/05/beware-gta-malware

− 5월 15일 : FBI, Chris Roberts 비행기 해킹 혐의 주장

http://www.washingtonpost.com/news/morning-mix/wp/2015/05/18/hacker-chris-roberts-told-fbi-he-

took-control-of-united-plane-fbi-claims

− 5월 21일 : channel4, Adult FriendFinder 해킹으로 390 만명 정보 유출 보도

http://www.channel4.com/news/adult-friendfinder-dating-hack-internet-dark-web




− 5월 21일 : Intercept, NSA의 Google 및 Samsung AppStore 해킹 시도 보도

https://firstlook.org/theintercept/2015/05/21/nsa-five-eyes-google-samsung-app-stores-spyware

− 5월 23일 : Mcafee, Ransomware 생성 도구 Tox 발견

https://blogs.mcafee.com/mcafee-labs/meet-tox-ransomware-for-the-rest-of-us

− 5월 26일 : 미국 IRS (Internal Revenue Service) 해킹으로 10 만 명 개인정보 유출

http://bigstory.ap.org/article/34539a748b3745ffb92451472f814ffa/apnewsbreak-irs-says-thieves-stole-

tax-info-100000

− 5월 26일 : Eset, Moose 악성코드 분석보고서 공개

http://www.welivesecurity.com/wp-content/uploads/2015/05/Dissecting-LinuxMoose.pdf

− 5월 29일 : 미 언론, 미국 정보 당국 2010년 봄 북한 평북 영변 핵시설에 Stuxnet 공격 시도 보도

http://www.reuters.com/article/2015/05/29/us-usa-northkorea-stuxnet-idUSKBN0OE2DM20150529

− 5월 29일 : Qihoo 360, 2012년 부터 중국 정부 해킹한 Ocean Lotus 공개

http://blogs.360.cn/blog/oceanlotus-apt/




− 5월 29일 : Mac firmware 변조 가능 공개

https://reverse.put.as/2015/05/29/the-empire-strikes-back-apple-how-your-mac-firmware-security-is-

completely-broken

− 6월 1일 : 일본연금기구 악성코드 감염으로 연금 정보 유출 보도

http://asahikorean.com/article/asia_now/AJ201506020076

http://d.hatena.ne.jp/Kango/20150601/1433166675

− 6월 4일 : 중국 hacker에 의해 400 만 명 미 연방 공무원 정보 유출 보도

http://www.washingtonpost.com/world/national-security/chinese-hackers-breach-federal-governments-

personnel-office/2015/06/04/889c0e52-0af7-11e5-95fd-d580f1c5d44e_story.html

− 6월 4일 : Samy Kamkar, IM-ME를 이용해 자체 제작한 OpenSesame로 차고 문 열기 시연

http://www.wired.com/2015/06/hacked-kids-toy-opens-garage-doors-seconds/

− 6월 4일 : Bae Systems, MacKeeper 취약점을 통해 감염되는 악성코드 정보 공개

http://www.baesystemsai.blogspot.co.uk/2015/06/new-mac-os-malware-exploits-mackeeper.html




− 6 월 5일 : Trendmicro, Oracle MICROS을 목표로 한 Malumpos 발견 발표

http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-malumpos-targets-

hotels-and-other-us-industries

− 6월 9일 : 미군 홈페이지 해킹

http://www.welivesecurity.com/2015/06/09/us-army-website-hack/

− 6월 10일 : 일본, 도쿄상공회의소, 회원기업 정보 1만여건 유출

http://www.47news.jp/korean/economy/2015/06/116051.html

− 6월 10일 : Kasperskylab, Duqu 2.0 자사 공격 시도 발표

https://blog.kaspersky.com/kaspersky-statement-duqu-attack

− 6월 11일 : 미국 연방인사관리처 추가 해킹 피해자 가능성 보도

http://bigstory.ap.org/article/af77f567a4b74f128a4869031dc9add9/union-hackers-have-personnel-data-

every-federal-employee




− 6월 14일 : Bild 지, 5월 독일 메르켈 총리실 컴퓨터 악성코드에 감염 보도

http://www.bild.de/bild-plus/politik/inland/angela-merkel/steht-im-zentrum-des-cyber-angriffs-

41347220,var=a,view=conversionToLogin.bild.html

− 6월 14일 : China와 Russia에서 Edward Snowden의 암호화 파일 해제 보도

http://www.thesundaytimes.co.uk/sto/news/uk_news/National/article1568673.ece

− 6월 15일 : Kaspersky Lab, Duqu 2.0에 Foxconn Technology Group 인증서 사용 발표

https://securelist.com/blog/research/70641/the-duqu-2-0-persistence-module

− 6월 16일 : FBI, Louis Cardinals 휴스턴 구단 해킹 혐의로 수사 중

http://www.nytimes.com/2015/06/17/sports/baseball/st-louis-cardinals-hack-astros-fbi.html

− 6월 16일 : 학계 Apple Keychain 취약점 공개

https://drive.google.com/file/d/0BxxXk1d3yyuZOFlsdkNMSGswSGs/view?pli=1




− 6월 16일 : NowSecure, 삼성 스마트폰 취약점 공개

https://www.nowsecure.com/blog/2015/06/16/remote-code-execution-as-system-user-on-samsung-

phones

− 6월 16일 : Paloalto, 동남아 지역 공격한 Lotus Blossom 공개

https://www.paloaltonetworks.com/content/dam/paloaltonetworks-

com/en_US/assets/pdf/reports/Unit_42/operation-lotus-blossom/unit42-operation-lotus-blossom.pdf

− 6월 17일 : Canada 정부 사이트 DDoS 공격으로 장애

http://www.citynews.ca/2015/06/17/government-of-canada-servers-under-cyber-attack

− 6월 18일 : Wikileaks, Sony 유출 자료 공개

https://wikileaks.org/sony/docs/

− 6월 21일 : 폴란드 LOT 항공사, DDoS 공격으로 시스템 장애 발생

http://www.tvn24.pl/wiadomosci-z-kraju,3/atak-hakerow-na-systemy-informatyczne-lot,553485.html




− 6월 22일 : 미국 & 영국 정보기관 백신 업체 목표 폭로

https://firstlook.org/theintercept/2015/06/22/nsa-gchq-targeted-kaspersky

− 6월 23일 : google researcher, Eset 취약점 공개

http://googleprojectzero.blogspot.co.uk/2015/06/analysis-and-exploitation-of-eset.html

− 6월 23일 : 미 법원, Blackshades 판매한 Alex Yucel 4년 9개월 징역형 선고

http://www.justice.gov/usao-sdny/pr/Swedish-co-creator-blackshades-malware-enabled-users-around-

world-secretly-and-remotely

− 6월 23일 : Samsung 컴퓨터 Windows Update 기능 해제 프로그램 제공

http://bsodanalysis.blogspot.in/2015/06/samsung-deliberately-disabling-windows.html

− 6월 25일 : Europol, Zeus 와 Spyeye 악성코드 관계자 검거 발표

https://www.europol.europa.eu/content/major-cybercrime-ring-dismantled-joint-investigation-team

−

04

2 분기국외사건사고


Login 정보노출

• 영국 Rail control centre로그인정보

- 방송내용중Login 정보노출

* Source : https://grahamcluley.com/2015/05/train-control-centre-passwords-revealed


부정테스트

• 테스트기관부정행위적발

- AV-Comparatives, AV-TEST, Virus Bulletin 공동발표

* Source : https://www.virusbtn.com/pdf/VB-AVC-AVT-press-release.pdf


Airplane Hacking

• 비행기해킹

- Chris Roberts 해킹성공

* Source : http://www.darkreading.com/attacks-breaches/planes-tweets-and-possible-hacks-from-seats/d/d-id/1320499


Sally Beauty Breach

• Sally Beauty

- 2차유출사고

* Source : https://www.sallybeautyholdings.com/data-incident-information.aspx


TV5 Monde hacked

• France TV5Monde 해킹

-

* Source : http://www.lemonde.fr/pixels/article/2015/04/09/les-sites-de-tv5-monde-detournes-par-un-groupe-islamiste_4612099_4408996.html


TV5 Monde hacked

• 방송내용에 password 공개됨

-

* Source : https://twitter.com/pent0thal


TV5 Monde hacked

• 공격에사용된악성코드

-

* Source : https://www.bluecoat.com/security-blog/2015-04-09/visual-basic-script-malware-reportedly-used-tv5-monde-intrusion


TV5 Monde hacked

• 악성코드

-

* Source : twitter.com/K_SH_HACKER


TV5 Monde hacked

• Constructor

-


TV5 Monde hacked

• BBC, Russian hackers 소행가능성보고

- APT28 … 과거백악관등도해킹

* Source : http://www.bbc.com/news/world-europe-33072034


항공사공격

• 폴란드항공사 LOT 시스템장애

- 1,400 passengers 영향, 10 편취소및12 편지연발생

* Source : http://www.tvn24.pl/wiadomosci-z-kraju,3/atak-hakerow-na-systemy-informatyczne-lot,553485.html


항공사공격

• DDoS공격으로확인

-

* Source : http://www.theregister.co.uk/2015/06/23/planegrounding_airport_attack_revealed_to_be_ddos/


NSA & GCHQ Attack

• NSA & GCHQ 관심보안업체공개

-

* Source : https://firstlook.org/theintercept/2015/06/22/nsa-gchq-targeted-kaspersky


NSA & GCHQ Attack

• Project Camberdada

- 국내업체AhnLab, Hauri포함

* Source : https://firstlook.org/theintercept/document/2015/06/22/project-camberdada-nsa

05

2 분기주요취약점과악성코드


New Shellshock worm

• New Shellshock worm

-

* Source : http://www.volexity.com/blog/?p=118


Bioazih (Bisonal)

• Bisonal

- India CERT 에서경고

-국내에서도2014년부터변형공격존재

* Source : http://www.cert-in.org.in


Rombertik

• MBR 파괴기능

- Researcher 대비했다고최초알려졌지만불법복제제품에대한응징으로밝혀짐

* Source : http://blogs.cisco.com/security/talos/rombertik& http://www.symantec.com/connect/blogs/rombertik-carbongrabber-sting-tail-cheapskates


정품감염

• GTA V mod

- GTV V mod 에서악성코드발견

* Source : http://gtaforums.com/topic/794383-malware-inside-angry-planes-noclip-mod


Ransomware 생성기

• Tox

- Ransomware 생성기

* Source : https://blogs.mcafee.com/mcafee-labs/meet-tox-ransomware-for-the-rest-of-us


Moose

• Moose

- Home Router worm

-

* Source : http://www.welivesecurity.com/2015/05/26/dissecting-linuxmoose/


MacKeeper취약점

• MacKeeper취약점

-

* Source : https://www.exploit-db.com/exploits/36955


MacKeeper취약점

• MacKeeper취약점이용한악성코드등장

-

* Source : http://www.baesystemsai.blogspot.co.uk/2015/06/new-mac-os-malware-exploits-mackeeper.html


MalumPOS

• MalumPOS

- 전세계330,000 개고객보유한Oracle MICROS 목표

* Source : http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-malumpos-targets-hotels-and-other-us-industries


MalumPOS

• Oracle MICROS

-2014년6월23일Oracle에서인수

-

* Source : http://www.oracle.com/us/corporate/acquisitions/micros/index.html


Duqu 2.0 Kaspersky Lab 공격시도

• Kaspersky Lab 공격시도

-사내에서Duqu2.0 발견

-특정국가소행?

* Source : https://blog.kaspersky.com/kaspersky-statement-duqu-attack/


Duqu 2.0 Kaspersky Lab 공격시도

• 유출디지털인증서사용

-

* Source : https://securelist.com/blog/research/70641/the-duqu-2-0-persistence-module

06

Case Study : 한국어지원Ransomware


한국어지원Ransomware

• 한글판 Ransomware 등장

-



• 문서암호화

- 암호화후파일이름에 .encrypted 추가

-DECRYPT_INSTRUCTIONS.html과DECRYPT_INSTRUCTIONS.txt 생성



• clien에서배포

-

* Source : http://www.clien.net/cs2/bbs/board.php?bo_table=notice&wr_id=10703



• 다국어지원

- 일본어, 한국어지원

* Source : http://www.symantec.com/connect/blogs/ransomware-increasingly-turning-far-east



• 구조

-

* Source : ASEC 분석팀



• 대응

-url과행위로도차단



• 수익

- 160 * 250 $ = 약40,000 $ (약4 천만원)

* Source :https://blockchain.info/ko/charts/balance?address=1GCUK95bUSSKBiXMdwU6Yog2wbV2B6gGQy

07

Case Study : 일본연금기구정보유출


일본연금기구정보유출

• 정보유출

- 2015년5월공격으로125 만명연금수급자및가입자의기초연금번호및이름등개인정보가유출

- ‘기초연금번호와이름’이약3만1000건, ‘번호, 이름, 생년월일’이약116만7000건, ‘번호, 이름, 생년월일, 주소’가약

5만2000건유출

* Source : http://www.nenkin.go.jp/n/data/service/0000150601ndjIleouIi.pdf



• Timeline

-

* Source : http://d.hatena.ne.jp/Kango/20150601/1433166675



• 공격방식

- 업무관련메일로가장해악성URL 이나악성코드첨부

-첨부파일 : 医療費通知のお知らせ.lzh

* Source : http://d.hatena.ne.jp/Kango/20150601/1433166675



• Blue Termite

- Kasperskylab발표

* Source : http://ascii.jp/elem/000/001/015/1015228/



• 악성코드

-

LZH

sfx

kenpo.doc vmater.exe



• 악성코드

-医療費通知のお知らせ.exe : 200 KB 정도의sfx파일.

-실행되면%temp%에vmater.exe 과kenpo.doc 생성 (doc 파일은정상문서)



• 악성코드

- kenpo.doc 내용



• 악성코드

- vmater.exe는2015년5월20일과6월2일생성됨



• 악성코드

- 주요문자열암호화



• 악성코드

- 일본을주목표로한악성코드로추정

-http://www.yahoo.co.jp 등으로인터넷가능유무테스트

* Source :



• 분석방해

-Host 이름검사해wilbert-SC1508, xp-sp3-template, mip-xp-cht, CWS01_03, wilbert-sc2202,

CWS05D102 일 경우 임의의 주소로 점프해 오류 발생



• 분석방해

- Process 검사 : ollydbg, W32Dasm, Wireshark, SoftICE, Process Explorer, Process Monitor, Process

Hacker

-해당Process 존재할경우 random sleep 수행



• c&c

- www.sakuranorei.com

-www.feeltheworld.jp/feeds.php



• 대응문제점

-행정기관을지키기위해정부가지정한중요대상에포함되지않음

-실행파일첨부파일을열어실행한사람이다수 -> 교육부재

-5월8일“수상한통신이력감지’되어후생성에통보

-연금기구에연락한담당자는후생성계장이었으며연금기구가19일경시청에이문제를상담한시점에도계장은

상관에보고하지않음 -> 보고문제

- 연금기구는23일19대의컴퓨터에서대량의정보발신확인. 인터넷접속을차단하는대책만을실시 -> 보고문제

-후생성과경시청에연락한것은2일뒤인25일 -> 후생노동대신은최초바이러스감염발각으로부터20일뒤보고

받음

* Source : http://www.47news.jp/korean/politics_national/2015/06/115691.html



• 변형

- 2012-2013년변형은문자열암호화안함. 2014년발견된변형부터문자열암호화


현재의보안문제

• Not really a fair fight

* source : http://image-store.slidesharecdn.com/81268b95-5c3b-4604-9129-d83ab3dc4600-large.png


현재의보안문제

• 모두가함께해야하는보안

* source : http://www.security-marathon.be/?p=1786


Q&A

email : [email protected] / [email protected]

http://xcoolcat7.tistory.com

https://twitter.com/xcoolcat7, https://twitter.com/mstoned7


Reference

• 송재민&차민석, ‘일본연금기구해킹‘, AhnLab

• 이현목, ‘Win-Trojan/CryptoLocker.229892 분석’, AhnLab

D E S I G N Y O U R S E C U R I T Y