2016년 1분기 주요 정보보안 소식 차민석 20160703_공개판

2016년 1분기주요정보보안소식

2016.07.03

안랩시큐리티대응센터(ASEC) 분석팀

차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7) 책임연구원

공개판

2

알림

•본자료는개인적관심에서정리한자료로

안랩의입장과다를수있습니다.

•덕질자료가포함되어있을수있습니다.

3

시작하기전에

•보안이완벽한시스템은이세상에없어

- Matthew Broderick 주연위험한게임 (War Games)

* Source : War Games (1983)

Contents

01

02

03

04

05

06

07

2016년보안동향특징

2016년국내보안뉴스

2016년 1분기국내사건사고

2016년국외보안뉴스

2016년 1분기국외사건사고

2016년 1분기취약점과악성코드

Case Study : 보안업체디지털인증서도용

01

2016 년보안동향특징

6

Ransomware 피해증가

•계속증가하는Ransomware 피해

-

* Source : http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=2&seq=24838

7

Ransomware 피해증가

•의료시설피해

-

* Source : http://arstechnica.com/security/2016/03/two-more-healthcare-networks-caught-up-in-outbreak-of-hospital-ransomware/&

http://arstechnica.com/security/2016/04/maryland-hospital-group-denies-ignored-warnings-allowed-ransomware-attack/

8

사회기반시설공격 ?

•사회기반시설공격에대한우려

-

02

2016년국내보안뉴스소식

10

2016 년국내정보보안소식

2016년국내정보보안소식

− 1월 14일 : Facebook 계정해킹일당검거

http://www.yonhapnews.co.kr/society/2016/01/14/0706000000AKR20160114101151004.HTML

− 1월 14일 : 북핵관련청와대사칭이메일배포경고

http://www.etnews.com/20160114000222

− 1월 16일 : 쯔위사태로 JYP엔터에공격발생

http://news.inews24.com/php/news_view.php?g_menu=020200&g_serial=938532

− 1월 16일 : POS 노린악성코드발견

http://news.kbs.co.kr/news/view.do?ncd=3216445

− 1월 17일 : PC방관리업체통해사기도박프로그램설치일당검거

http://www.kookje.co.kr/news2011/asp/newsbody.asp?code=0300&key=20160117.99002092048

− 1월 22일 : 국방부, 국방사이버기술연구센터설립발표

http://www.yonhapnews.co.kr/bulletin/2016/01/23/0200000000AKR20160123029900014.HTML

11



− 1월 22일 : 카드고객개인정보 1억여건유출사태피해자들법원에서첫배상판결


− 1월 25일 : 동아일보, 대기업노린악성코드관련기사보도

http://news.donga.com/3/all/20160125/76105495/1,

http://news.donga.com/3/all/20160125/76105487/1

− 1월 27일 : 동아일보, 지하철통제시스템업체를해킹보도

http://news.donga.com/3/all/20160127/76151152/1

− 1월 29일 : AhnLab V3 모바일시큐리티발표

− 2월 13일 : 서울시감사위원회, 서울메트로와도시철도감사결과발표

http://www.etnews.com/20160212000326?mc=ns_004_00003

− 2월 18일 : 금융권보안솔루션공급사인증서로디지털서명된악성코드발견

http://www.etnews.com/20160218000217

http://news.joins.com/article/19706272

12



− 2월 22일 : 경향신문, 한겨레서버해킹보도

http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201602221514151

− 2월 25일 : 경찰, 청와대사칭이메일해킹은북소행발표

http://vip.mk.co.kr/news/view/21/20/1371755.html

− 3월 4일 : Microsoft, 국내에 Cybercrime Center 개소


− 3월 5일 : IS, 표적한국인 20명명단공개


− 3월 7일 : 정부내주요인사스마트폰해킹및철도관련기관을대상으로공격


http://news.donga.com/Main/3/all/20160312/76952378/1

13



− 3월 21일 : AhnLab, 개인용 Mac 백신제품출시

http://www.ahnlab.com/kr/site/support/notice/noticeView.do?boardSeq=50123849

− 3월 26일 : 반디소프트, 꿀뷰설치파일악성코드로교체되어배포

http://blog.bandisoft.com/132

03

2016년 1분기국내사건사고

15

국가공공기관사칭한해킹메일

•청와대사칭메일

- 국방위원회현안보고참고자료.hwp첨부

* Source : http://www.etnews.com/20160114000222

16

국가공공기관사칭한해킹메일

•공격메일종류

-

* Source : http://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=23916

17

Anonymous Tw JYP에공격

• DDoS 공격

-

* Source : http://news.inews24.com/php/news_view.php?g_menu=020200&g_serial=938532

18

POS 노린악성코드발견

•무작위배포방식

-

* Source : http://news.kbs.co.kr/news/view.do?ncd=3216445

19

PC방컴퓨터에사기도박프로그램설치

• PC 방관리업체인수

-

* Source : http://www.kookje.co.kr/news2011/asp/newsbody.asp?code=0300&key=20160117.99002092048

20

지하철통제시스템업체해킹거점활용

•지하철통제시스템업체해킹

-

* Source : http://news.donga.com/3/all/20160127/76151152/1

21

도시철도감사결과

•보안지적

- 열차운행제어컴퓨터 (TCC) 악성코드감염방치및관제센터보안문제

* Source : http://gov.seoul.go.kr/files/2016/02/56b44ae5bbcfa8.55745107.pdf

22


•악성코드감염

- 백신실시간감시기능활성화하지않음

23


•악성코드감염

- 규정지키지않음

24


•관리소홀

- 인터넷연결, USB 포트봉인안됨, 백신미설치

25


•보안보다편의성

- 랜카드추가설치, 외부망사용하게구조변경, 외부사용프로그램설치, 공유폴더생성

26


•유지보수업체관리문제

- 유지보수업체통한악성코드감염, 보안사고발생가능성

27


•보안교육과실천의지

- 직원보안의식이낮고보안전담직원의전문성부족

28

금융권보안솔루션공급사디지털서명

•보안업체디지털인증서로서명악성코드발견

-


29

IS 표적한국인명단공개

•국내업체서버해킹

- Caliphate Cyber Army (CCA) 에서언론보도스크랩업체서버가해킹으로추정

* Source : http://www.yonhapnews.co.kr/bulletin/2016/03/05/0200000000AKR20160305028951004.HTML

04

2016년국외보안뉴스

31

2016 년국외정보보안소식

2016년국외정보보안소식

− 1월 4일 : BlackEnergy trojan strikes again

http://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-again-attacks-ukrainian-electric-

power-industry

− 1월 5일 : Romanian 경찰, Tyupkin ATM 악성코드제작자검거발표

http://www.diicot.ro/index.php/arhiva/1643-comunicat-de-presa-05-01-2016

− 1월 12일 : Microsoft, 옛버전 Internet Explorer 지원중단

https://www.microsoft.com/en-us/WindowsForBusiness/End-of-IE-support

− 1월 12일 : Europol, DD4BC (DDoS 4 BitCoin) 관련자검거발표

https://www.europol.europa.eu/content/international-action-against-dd4bc-cybercriminal-group

− 1월 15일 : Gatekeeper 우회발견

http://arstechnica.com/security/2016/01/how-malware-developers-could-bypass-macs-gatekeeper-

without-really-trying

32



− 1월 18일 : 우크라이나정부, 공항에대한사이버공격공개

http://en.interfax.com.ua/news/general/317972.html

− 1월 18일 : The Globe and Mail, F-35 등미국군수정보훔친일당보도

http://www.theglobeandmail.com/news/national/chinese-entrepreneur-living-in-canada-implicated-in-

us-military-hacking-case/article28253148/

− 1월 19일 : Linux Kernel 권한상승취약점공개

http://perception-point.io/2016/01/14/analysis-and-exploitation-of-a-linux-kernel-vulnerability-cve-

2016-0728/

− 1월 19일 : 오스트레일리아병원악성코드감염으로문제발생

https://www.thermh.org.au/news/update-regarding-computer-virus-affecting-melbourne-health-

computer-network

33



− 1월 20일 : 아일랜드 Lotto ticket terminals DDoS 공격으로운영중단

http://www.irishtimes.com/business/financial-services/lotto-ticket-terminals-brought-down-by-cyber-

attack-1.2503690

− 1월 21일 : SEC Consult, AMX에서취약한계정발견발표

https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20160121-

0_AMX_Deliberately_hidden_backdoor_account_v10.txt,

http://www.amx.com/techcenter/NXSecurityBrief/

− 1월 26일 : 이스라엘, 전력망사이버공격받음 (실제로는랜섬웨어감염)

http://www.timesofisrael.com/steinitz-israels-electric-authority-hit-by-severe-cyber-attack/

− 1월 29일 : 미국과영국 Israeli drones and planes 해킹보도

https://theintercept.com/2016/01/28/hacked-images-from-israels-drone-fleet

− 1월 29일 : HSBC DDoS 공격받음

http://www.itv.com/news/story/2016-01-29/hsbc-online-banking-fully-recovered-after-cyber-attack

34



− 2월 4일 : 유효한인증서로서명된가짜 Adobe Flash Update 발견

https://isc.sans.edu/diary/Fake+Adobe+Flash+Update+OS+X+Malware/20693

− 2월 5일 : Dridex, Avira 제품설치. 이유는알수없음

https://blog.avira.com/dridex_serves_avira/

− 2월 6일 : Russia 당국 Dyre 제작자검거

http://www.reuters.com/article/us-cybercrime-russia-dyre-exclusive-idUSKCN0VE2QS

− 2월 8일 : 20,000 FBI, 9,000 Homeland Security 정보인터넷공개

https://www.rt.com/usa/331788-hacker-doj-fbi-doxxed

− 2월 12일 : 미국할리우드장로병원(Hollywood presbyterian medical center) ransomware 감염으로업

무장애발생

http://www.nbclosangeles.com/news/local/Hollywood-Hospital-Victim-of-Cyber-Attack-368574071.html

− 2월 21일 : Mint Linux, 웹사이트해킹되어악성코드포함된 ISO 이미지배포

http://blog.linuxmint.com/?p=2994

35



− 2월 24일 : Novetta, Lazarus group 소행의 Operation Blockbuster 정보공개

https://www.operationblockbuster.com

− 2월 24일 : 독일경찰악성코드이용해용의자감시가능

http://arstechnica.co.uk/tech-policy/2016/02/german-police-can-now-use-spying-malware-to-monitor-

suspects

− 2월 25일 : 독일병원 Ransomware 감염

http://www.dw.com/en/hackers-hold-german-hospital-data-hostage/a-19076030

− 2월 29일 : Hacking Team 제작새로운 Mac 악성코드발견

https://reverse.put.as/2016/02/29/the-italian-morons-are-back-what-are-they-up-to-this-time/

− 3월 4일 : Rosen Hotels & Resorts 신용카드정보노출

http://www.rosenhotels.com/protectingourguests

36



− 3월 6일 : 변조된 Transmission 설치파일에서 OS X Ransomware 발견

http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-

transmission-bittorrent-client-installer

− 3월 7일 : Bangladesh 중앙은행해킹으로약 1천억원이체시도

http://www.nytimes.com/aponline/2016/03/15/world/asia/ap-as-bangladesh-hack-attack.html

− 3월 16일 : Palo Alto Networks, iOS Acedeceiver발견

http://researchcenter.paloaltonetworks.com/2016/03/acedeceiver-first-ios-trojan-exploiting-apple-drm-

design-flaws-to-infect-any-ios-device/

− 3월 16일 : Anonymous, Donald Trump 에대한 #OpWhiteRose발표

http://hollywoodlife.com/2016/03/16/anonymous-total-war-donald-trump-dismantle-campaign-

president-watch

http://www.techinsider.io/anonymous-leak-donald-trumps-2016-3

37



− 3월 17일 : FBI, 자동차취약점증가경고

http://www.ic3.gov/media/2016/160317.aspx

− 3월 23일 : Trend Micro, 인도군표적공격사례공개

http://blog.trendmicro.com/trendlabs-security-intelligence/indian-military-personnel-targeted-by-

information-theft-campaign/

− 3월 24일 : 미국 Justice Department, Dam 공격시도공개

https://www.helpnetsecurity.com/2016/03/24/7indicted-cyber-attacks-us-banks-dam

http://www.bloomberg.com/news/articles/2016-03-30/new-york-s-little-dam-sends-super-sized-

warning-of-cyber-attacks

− 3월 24일 : OS X System Integrity Protection 우회취약점발견

https://www.sentinelone.com/blog/apple-os-x-zero-day-vulnerability-can-bypass-system-integrity-

protection/

38



− 3월 24일 : Verizon 고객정보유출

http://krebsonsecurity.com/2016/03/crooks-steal-sell-verizon-enterprise-customer-data/

− 3월 24일 : 상수도시설해킹보도

http://www.theregister.co.uk/2016/03/24/water_utility_hacked/

− 3월 24일 : 프린터해킹해반유대주의문구출력

http://wgntv.com/2016/03/24/anti-semitic-flyer-printed-on-depaul-campus-school-investigating/

− 3월 26일 : 5년내원자력발전소에 cyber attack 가능성제기

http://www.lalibre.be/actu/belgique/attentats-d-ici-5-ans-ils-pourraient-prendre-le-controle-d-une-

centrale-nucleaire-56f58f4d35708ea2d3e8e878

− 3월 29일 : 미국 FBI, Apple 사도움없이 iPhone 잠금해제발표

http://www.telegraph.co.uk/technology/2016/03/29/fbi-finds-method-to-hack-gunmans-iphone-

without-apples-help0/

39



− 3월 30일 : Eset, Remaiten정보공개

http://www.welivesecurity.com/2016/03/30/meet-remaiten-a-linux-bot-on-steroids-targeting-routers-

and-potentially-other-iot-devices

−

05

2016년 1분기국외사건사고

41

구버전 Interner Explorer 지원중단

•지원중단발표

- 2016년1월12일

* Source : https://www.microsoft.com/en-us/WindowsForBusiness/End-of-IE-support

42

검거

•ATM 해킹조직검거

- 용의자는대부분루마니아인들

* Source : http://www.diicot.ro/index.php/arhiva/1643-comunicat-de-presa-05-01-2016

43

Hyatt 신용카드유출사고

• 250 개정보유출호텔공개

-

* Source : http://www.hyatt.com/protectingourcustomers/hotellist/

44

Ukraine 교통시설공격받음

• Boryspil airports, railway stations 등에대한공격

-

* Source :http://en.interfax.com.ua/news/general/317972.html

45

US Military hacking case

•중국기업인연류보도

-

* Source : http://www.theglobeandmail.com/news/national/chinese-entrepreneur-living-in-canada-implicated-in-us-military-hacking-

case/article28253148/

46

Ransomware 피해

• Southern California hospital Ransomware 감염으로업무장애발생

- 17,000 $ 지불

* Source : http://www.nbclosangeles.com/news/local/Hollywood-Hospital-Victim-of-Cyber-Attack-368574071.html

47

Ransomware 피해

•독일병원피해

-

* Source : http://www.dw.com/en/hackers-hold-german-hospital-data-hostage/a-19076030

48

우크라이나정전

•사이버공격

-

* Source : https://ics-cert.us-cert.gov/alerts/IR-ALERT-H-16-056-01?_mc=sm_dr_editor_kellyjacksonhiggins

49

Bangladesh bank heist

• Bangladesh 중앙은행해킹해이체

- 2016년2월8,100 만달러Philippines and Sri Lanka 로이체시도

* Source : http://nypost.com/2016/03/07/bangladesh-bank-says-hackers-stole-100m-from-its-new-york-fed-account,

https://www.hankookilbo.com/v/a22d16d7ee8d49a982857ed8d1952a1f

50

Bangladesh bank heist

•악성코드이용가능성보도

- Bangladesh bank 강탈에악성코드이용되었을가능성보도

* Source : http://www.aljazeera.com/news/2016/03/bangladesh-bank-governor-resigns-81m-hack-160315084217775.html

51

Nuclear plants 사이버공격위험

• 5 년내Belgium nuclear plants Cyber attack 가능성제기

-

* Source :http://www.lalibre.be/actu/belgique/attentats-d-ici-5-ans-ils-pourraient-prendre-le-controle-d-une-centrale-nucleaire-

56f58f4d35708ea2d3e8e878

52

미국사회기반시설해킹시도

• FBI 발표

-

* Source : https://www.fbi.gov/news/stories/2016/march/iranians-charged-with-hacking-us-financial-sector

06

2016년 1분기취약점과악성코드

54

청와대사칭해킹메일

•유사성

-

* Source : http://www.boannews.com/media/view.asp?idx=49257&kind=0

55

청와대사칭해킹메일

• 2014년한국수력원자력공격당시 IP와동일

-

* Source : http://www.voakorea.com/content/article/3151177.html

56

한컴업데이트사칭메일

•한컴공지

-

57

Gatekeeper 우회발견

• Eset

-

* Source : http://arstechnica.com/security/2016/01/how-malware-developers-could-bypass-macs-gatekeeper-without-really-trying/

58

Linux Kernel (CVE-2016-0728)

•관련악성코드

-

* Source : http://perception-point.io/2016/01/14/analysis-and-exploitation-of-a-linux-kernel-vulnerability-cve-2016-0728/

59

Linux Mint 해킹

• Hacked ISOs 배포

-

* Source : http://blog.linuxmint.com/?p=2994

60

Keranger

•변조된Transmission v2.90 내악성코드포함

-

* Source : http://www.transmissionbt.com

61

Keranger

•정상파일과비교

- 공개된Transmission Source Code 에서General.rtf 실행기능추가

62

Keranger

•정상파일과비교

-

63

Keranger

• General.rtf

- /Resources/에존재하는실행파일로실제 ransomware 기능을수행

07

Case Study : 보안업체디지털인증서도용

65

보안업체디지털서명도용

•보안업체디지털인증서로서명된악성코드발견

-


66


•검찰수사결과발표

-

* Source : http://www.spo.go.kr/spo/notice/press/press.jsp?mode=view&board_no=2&article_no=618758

67


•사건순서

-

* Source : http://www.zdnet.co.kr/news/news_view.asp?artice_id=20160531182617

68


•사건개요설명도

-

69

현재의보안문제

• Not really a fair fight

* source : http://image-store.slidesharecdn.com/81268b95-5c3b-4604-9129-d83ab3dc4600-large.png

70

현재의보안문제

•모두가함께해야하는보안

* source : http://www.security-marathon.be/?p=1786

71

Q&A

email : [email protected] / [email protected]

http://xcoolcat7.tistory.com

https://twitter.com/xcoolcat7, https://twitter.com/mstoned7

2016년 1분기 주요 정보보안 소식 차민석 20160703_공개판

Technology