2015 년 2 분기 주요 정보보안 소식 2015.08.10 안랩 시큐리티대응센터(ASEC) 분석팀 차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7) 책임 연구원 공개판
2015년 2분기주요정보보안소식
2015.08.10
안랩 시큐리티대응센터(ASEC) 분석팀
차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7) 책임 연구원
공개판
© AhnLab, Inc. All rights reserved. 2
:~$whoami
Profile
− 차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7)
− 1988년 1월 7일 : Apple ][+ 복제품으로 컴퓨터 시작
− 1989년 : Brain virus 변형 감염
− 1997년 : AhnLab 입사
− AhnLab 책임 연구원 (Senior Antivirus Researcher)
− 시큐리티 대응센터(ASEC) 분석팀에서
악성코드 분석 및 연구 중
- 민간합동 조사단, 사이버보안 전문단
- AVED, AMTSO, vforum 멤버
- Wildlist Reporter
Contents
01
02
03
04
05
06
07
2015 년 국내 정보보안 소식
2 분기 국내 사건 사고
2015 년 국외 정보보안 소식
2 분기 국외 사건 사고
2 분기 주요 취약점과 악성코드
Case Study : 한글 지원 Ransomware
Case Study : 일본 연금기구 정보 유출
01
2015 년국내정보보안소식
© AhnLab, Inc. All rights reserved. 5
2015 년국내정보보안소식
2015년국내정보보안소식
− 1월 7일 : 모바일 상품권 부정 사용 의혹
http://www.boannews.com/media/view.asp?idx=44991&kind=0
− 1월 15일 : 정부, 400개 기관에 대한 사이버 안전 대진단 발표
http://www.mt.co.kr/view/mtview.php?type=1&no=2015011510033489266
− 1월 15일 : 사법부, 파밍 사건의 은행 책임 일부 인정
http://news.donga.com/3/01/20150115/69100947/1
− 1월 28일 : 전 남친 뒷조사하려고 군 홈페이지 해킹 시도한 여대생 검거
http://economy.hankooki.com/lpage/society/201501/e20150128142208117920.htm
− 1월 28일 : 안랩, 안랩 V3 모바일 3.0 일본 출시
− 2월 1 일 : CDN 업체 해킹으로 일부 정부 웹사이트 통해 악성코드 유포
− 2월 2일 : PG사 Active X 설치 대신 EXE 파일 다운로드 방식으로 변경 시작
© AhnLab, Inc. All rights reserved. 6
2015 년국내정보보안소식
2015년국내정보보안소식
− 2월 13일 : 부산 강서경찰서, 회사 자금을 관리하는 직원 컴퓨터에 악성코드를 심어 1억 원 빼돌린 혐
의로 신모(37) 씨 구속
http://www.yonhapnews.co.kr/society/2015/02/13/0701000000AKR20150213168100051.HTML?template
=5567
− 3월 2일 : SBS, 돈 받고 DDoS 공격한 보안업체 대표 양 모씨 보도
http://news.sbs.co.kr/news/endPage.do?news_id=N1002859801
− 3월 5일 : 미래부, 인터넷 공유기 보안 강화 발표
http://www.ddaily.co.kr/news/article.html?no=127945
− 3월 5일 : 공공 아이핀 75 만 건 부정 발급 확인
http://www.nocutnews.co.kr/news/4377976
− 3월 12일 : John, 한수원 유출 자료 추가 공개 주장
http://news.mt.co.kr/mtview.php?no=2015031220118210253
− 3월 15일 : AhnLab 창립 20 주년
© AhnLab, Inc. All rights reserved. 7
2015 년국내정보보안소식
2015년국내정보보안소식
− 3월 17일 : 합수단, 한수원 해킹 수사 결과 발표
http://www.dailysecu.com/news_view.php?article_id=9004
− 3월 17일 : 인섹시큐리티, Metascan 국내 판매 발표
http://www.itdaily.kr/news/articleView.html?idxno=61081
− 3월 19일 : 3.20 공격 세력 공격 재개 보도
http://www.boannews.com/media/view.asp?idx=45713&kind=0
− 3월 19일 : Pwn2Own에서 이정훈 (lokihardt) 연구원 상금 독식
http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2015-Day-Two-results/ba-
p/6722884#.VQ9clI6sXow
− 3월 23일 : 온라인 문화상품권 업체 해킹해 7억 원 챙긴 일당 적발
http://news1.kr/articles/?2146019
− 3월 23일 : 카드업계, 26일 부터 Active X 제거 발표
© AhnLab, Inc. All rights reserved. 8
2015 년국내정보보안소식
2015년국내정보보안소식
− 3월 23일 : 서울중앙지법, 북한 해커로부터 온라인 도박을 조작할 수 있는 프로그램 구매하고 배포한
혐의로 기소된 도박업자들에게 징역형이 선고
http://www.newsis.com/ar_detail/view.html?ar_id=NISX20150321_0013550963&cID=10201&pID=10200
− 3월 23일 : 디도스(DDoS) 공격 의뢰를 받고 범행을 공모한 혐의로 보안업체 기소
http://www.newsis.com/ar_detail/view.html?ar_id=NISX20150326_0013560539&cID=10203&pID=10200
− 3월 31일 : 청와대 안보실 사이버 안보비서관 신설
http://www.yonhapnews.co.kr/bulletin/2015/03/30/0200000000AKR20150330190100001.HTML
− 4월 13일 : 안랩, V3 Mobile Security 글로벌 출시
https://play.google.com/store/apps/details?id=com.ahnlab.v3mobilesecurity
− 4월 21일 : 클리앙 통해 한글화 Ransomware 배포
http://www.boannews.com/media/view.asp?idx=46006
− 4월 21 일 : 이데일리, 사이버 예비군 창설 준비 보도
http://www.edaily.co.kr/news/NewsRead.edy?SCD=JF31&newsid=01259526609338416&DCD=A00603
© AhnLab, Inc. All rights reserved. 9
2015 년국내정보보안소식
2015년국내정보보안소식
− 4월 22일 : VirusTotal에 국내 기관·기업 내부문서 업로드 보도
http://www.boannews.com/media/view.asp?idx=46028
− 5월 6일 : Avast, Windows dll 파일 Kryptik-PFA [Trj] 오진
https://forum.avast.com/index.php?topic=170709.0
− 5월 12일 : 중국 Qihoo 360 Security, Android 제품 한국 진출 발표
http://www.asiae.co.kr/news/view.htm?idxno=2015051211260311849
− 5월 14일 : 데일리NK, 북한에서 해킹 시도 의혹 밝힘
http://www.dailynk.com/korean/read.php?cataId=nk00100&num=106135
− 5월 21일 : 안랩, 한글 새로운 취약점 정보 공개
http://asec.ahnlab.com/1035
− 5월 26일 : 한국인터넷진흥원, 사이버 가디언스(Cyber Guardians) 위촉
http://www.boannews.com/media/view.asp?idx=46365&kind=2
© AhnLab, Inc. All rights reserved. 10
2015 년국내정보보안소식
2015년국내정보보안소식
− 5월 28일 : Avast, 클라우드 기반 무료 기업 제품 출시 발표
http://www.etoday.co.kr/news/section/newsview.php?idxno=1132900
− 5월 29일 : 다음 카카오, daum V3 서비스 종료 발표
http://blog.daum.net/daumcleaner/28
− 5월 31일 : NSHC & Kaist Syssec, CCTV 와 IP Camera에서 백도어 및 취약점 발견 발표
http://syssec.kaist.ac.kr/sub0501/articles/view/tableid/news/id/5
− 6월 7일 : 한국인터넷진흥원 주요 SW와 취약 액티브X 업데이트를 안내하는 ‘SW 원클릭 안심 서비스’
실시 발표
http://www.etnews.com/20150605000143
− 6월 12일 : 북한 연계 의혹 MERS 관련 악성코드 소동
http://www.yonhapnews.co.kr/bulletin/2015/06/12/0200000000AKR20150612084152017.HTML
http://news.kbs.co.kr/news/NewsView.do?SEARCH_NEWS_CODE=3094304&ref=A
© AhnLab, Inc. All rights reserved. 11
2015 년국내정보보안소식
2015년국내정보보안소식
− 6월 15일 : Samsung, 사이버보안 사업팀 신설 보도
http://www.dt.co.kr/contents.html?article_no=2015061502100151800001
− 6월 26일 : 대구 은행 등 유럽 해킹그룹 DD4BC로부터 DDoS 공격 받음
http://news1.kr/articles/?2300794
−
02
2 분기국내사건사고
© AhnLab, Inc. All rights reserved. 13
데일리NK 해킹
• 데일리 NK 해킹시도
- 공격자 IP 중175.45.178.19 (북한) 발견
* Source : http://www.dailynk.com/korean/read.php?cataId=nk00100&num=106135
© AhnLab, Inc. All rights reserved. 14
데일리NK 해킹
• 175.45.178.19
-
* Source : http://myip.ms/view/ip_addresses/2939007488/175.45.178.0_175.45.178.255
© AhnLab, Inc. All rights reserved. 15
MERS 정보가장
• MERS 관심노린스미싱및악성코드등장
-첨부파일 : 메르스_병원및환자리스트.docx.exe
* Source : http://www.yonhapnews.co.kr/bulletin/2015/06/12/0200000000AKR20150612084152017.HTML
© AhnLab, Inc. All rights reserved. 16
MERS 정보가장
• 북한 IP 포함되어북한연계소동
- 메르스_병원및환자리스트.docx.exe의접속주소에북한 IP 포함보도
-KISA 확인결과한보안업체에서교육용으로만들어교육생들에게배포한것
* Source : http://news.kbs.co.kr/news/NewsView.do?SEARCH_NEWS_CODE=3094304&ref=A
03
2015 년국외정보보안소식
© AhnLab, Inc. All rights reserved. 18
2015 년국외정보보안소식
2015년국외정보보안소식
− 2014년 12월 28일 : Trammell Hudson, Thunderbolt 취약점을 이용한 Thunderstrike 발표
https://events.ccc.de/congress/2014/Fahrplan/events/6128.html
− 2014년 12월 31일 : LOL Taiwan 서버에서 Plugx 변형 배포
http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-malware-found-in-official-releases-of-
league-of-legends-path-of-exile
− 1월 8일 : Moneyhorse 사 해킹으로 Glorious Leader! 게임 제작 중단 발표
https://www.kickstarter.com/projects/884592321/glorious-leader/posts/1101568
− 1월 12일 : 미국 American, United 항공 고객 마일리지 계좌 해킹해 무료 탑승
http://www.inquisitr.com/1750232/american-united-airlines-hacked-thieves-hack-into-thousands-of-
customer-accounts-for-free-flights/
− 1월 13일 : 북한 조선중앙통신 사이트 에서 악성코드 배포
http://arstechnica.com/security/2015/01/surprise-north-koreas-official-news-site-delivers-malware-too/
− 1월 15일 : Intel Security, Samsung Tizen 기반 휴대폰에 보안 프로그램 탑재 발표
© AhnLab, Inc. All rights reserved. 19
2015 년국외정보보안소식
2015년국외정보보안소식
− 1월 16일 : 영국 SEROCU, Lizard Squard 멤버 검거 발표
http://www.serocu.org.uk/31/section.aspx/21/man_arrested_swatting_and_denial_of_service_offences
− 1월 16일 : 미국 언론사 뉴욕포스트(NYP)와 UPI 통신의 트위터 계정 도용
http://www.reuters.com/article/2015/01/16/us-usa-media-twitter-idUSKBN0KP24U20150116
− 1월 19일 : 미국 The New York Times, NSA에서 북한 네트워크 침투 보도
http://www.nytimes.com/2015/01/19/world/asia/nsa-tapped-into-north-korean-networks-before-sony-
attack-officials-say.html?referrer
− 1월 27일 : Linux GNU C Library 취약점 CVE-2015-0235 (일명 Ghost) 발표
https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt
− 1월 27일 : Kaspersky, Reign과 Qwerty Keylogger 간 연관 관계 발표
http://securelist.com/blog/research/68525/comparing-the-regin-module-50251-and-the-qwerty-
keylogger
© AhnLab, Inc. All rights reserved. 20
2015 년국외정보보안소식
2015년국외정보보안소식
− 1월 29일 : 중국 정부, 강력한 사이버 보안법 적용
http://www.nytimes.com/2015/01/29/technology/in-china-new-cybersecurity-rules-perturb-western-
tech-companies.html
− 2월 3일 : 미국 정부, 사이버대책 총괄 기구 E-Gov Cyber 설립
http://thehill.com/policy/cybersecurity/231598-white-house-creates-e-gov-cyber-unit
− 2월 4일 : Anthem, 8 천 만명 개인 정보 유출
http://www.anthemfacts.com
− 2월 11일 : Facebook, ThreatExchange 사이트 공개
https://threatexchange.fb.com
− 2월 12일 : Trend Micro, 한국 은행 사용자를 대상으로 한 모바일 악성코드 발표
http://blog.trendmicro.com/trendlabs-security-intelligence/mobile-malware-gang-steals-millions-from-
south-korean-users
© AhnLab, Inc. All rights reserved. 21
2015 년국외정보보안소식
2015년국외정보보안소식
− 2월 14일 : Newyork times, 은행 시스템에 Carbanak 악성코드 감염 시켜 돈 빼낸 사건 보도
http://www.nytimes.com/2015/02/15/world/bank-hackers-steal-millions-via-malware.html
− 2월 16일 : Kaspersky, Equation 정보 공개
https://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy
− 2월 19일 NSA & GCHQ, SIM Card 제조 업체 해킹
https://firstlook.org/theintercept/2015/02/19/great-sim-heist
− 2월 20일 : Lenovo, Superfish 취약점 발표
http://support.lenovo.com/us/en/product_security/superfish
− 2월 25일 : Microsoft MMPC, Ramnit 300 만대 차단 발표
http://blogs.technet.com/b/mmpc/archive/2015/02/25/microsoft-malware-protection-center-assists-in-
disrupting-ramnit.aspx
− 2월 27일 : Uber, 5 만 명 기사 정보 유출 발표
http://blog.uber.com/2-27-15
© AhnLab, Inc. All rights reserved. 22
2015 년국외정보보안소식
2015년국외정보보안소식
− 3월 3일 : Oracle, OS X Java에도 ask toolbar 탑재 논란
http://www.zdnet.com/article/oracle-extends-its-adware-bundling-to-include-java-for-macs
− 3월 5일 : Bluebox, Xiaomi 스마트폰에 악성코드 포함 발표
https://bluebox.com/blog/technical/popular-xiaomi-phone-could-put-data-at-risk
− 3월 6일 : FREAK (Factoring Attack on RSA-EXPORT Keys CVE-2015-0204)
https://www.us-cert.gov/ncas/current-activity/2015/03/06/FREAK-SSLTLS-Vulnerability
− 3월 9일 : Krebs on Security, POS 업체 NEXTEP 정보 유출 공개
http://krebsonsecurity.com/2015/03/point-of-sale-vendor-nextep-probes-breach
− 3월 11일 : PandaSecuriy, 자신을 악성코드로 오진
http://www.pandasecurity.com/uk/homeusers/support/card?id=100045
− 3월 11일 : Kaspersky, the Equation Group의 EquationDrug 발표
http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform
© AhnLab, Inc. All rights reserved. 23
2015 년국외정보보안소식
2015년국외정보보안소식
− 3월 19일 : BloombergBusiness, Kaspersky Lab 러시아 첩보부와 연관 의혹 보도
http://www.bloomberg.com/news/articles/2015-03-19/cybersecurity-kaspersky-has-close-ties-to-
russian-spies
− 3월 19일 : 미국 Target, 2013년 해킹으로 1천만 달러(약 112억 원)를 배상
http://money.cnn.com/2015/03/19/technology/security/target-data-hack-settlement
− 3월 25일 : Trend Micro, 동아시아 지역에서 발견되고 있는 Sextortion 악성코드 분석자료 발표
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-sextortion-in-
the-far-east.pdf
− 3월 25일 : AraLabs, Home Router DNS 설정 변경해 광고 교체 발표
http://aralabs.com/blog/2015/03/25/ad-fraud-malware-hijacks-router-dns-injects-ads-via-google-
analytics
− 3월 27일 : Slack 해킹 당함
http://slackhq.com/post/114696167740/march-2015-security-incident-and-launch-of-2fa
© AhnLab, Inc. All rights reserved. 24
2015 년국외정보보안소식
2015년국외정보보안소식
− 3월 29일 : github.com 중국 정부 추정 DDoS 공격 당함
http://insight-labs.org/?p=1682
− 4월 7일 : CNN, Russian Hacker가 White house 해킹 했다고 보도
http://edition.cnn.com/2015/04/07/politics/how-russians-hacked-the-wh/index.html
− 4월 9일 : France TV5Monde 해킹 보도
http://www.lemonde.fr/pixels/article/2015/04/09/les-sites-de-tv5-monde-detournes-par-un-groupe-
islamiste_4612099_4408996.html
− 4월 9일 : 새로운 shellshock 취약점 이용한 웜 발견
http://www.volexity.com/blog/?p=118
− 4월 10일 : HSBC, 정보 유출 시인
http://doj.nh.gov/consumer/security-breaches/documents/hsbc-finance-20150410.pdf
− 4월 11일 : Russia 경찰, Android 인터넷뱅킹 정보 탈취 악성코드 제작자 검거
https://mvd.ru/news/item/3311877
© AhnLab, Inc. All rights reserved. 25
2015 년국외정보보안소식
2015년국외정보보안소식
− 4월 13일 : Interpol, Simda botnet take down 발표
http://www.interpol.int/en/News-and-media/News/2015/N2015-038
− 4월 15일 : GAO, 새로운 항공 관제 시스템 문제 발표
http://gao.gov/assets/670/669627.pdf
− 4월 17일 : BitDefender, BitDefender Box 출시
http://www.bitdefender.com/news/direct-sales-of-bitdefenders-the-box-launches-new-era-in-internet-
security-3029.html
− 4월 21일 : Kaspersky, Cozyduke 정보 공개
https://securelist.com/blog/research/69731/the-cozyduke-apt/
− 4월 25일 : Russian Hackers가 백악관 시스템 해킹 해 Obama 메일 읽음
http://www.nytimes.com/2015/04/26/us/russian-hackers-read-obamas-unclassified-emails-officials-
say.html?_r=0
© AhnLab, Inc. All rights reserved. 26
2015 년국외정보보안소식
2015년국외정보보안소식
− 4월 27일 : AV-Comparatives 부정 행위 적발 발표
− 4월 29일 : BBC, 다큐멘터리에서 철도 제어 시스템 암호 노출
https://grahamcluley.com/2015/05/train-control-centre-passwords-revealed
− 4월 29일 : Eset, Linux Spam 발송 악성코드 Mumblehard 정보 공개
http://www.welivesecurity.com/wp-content/uploads/2015/04/mumblehard.pdf
− 4월 29일 : Canada 경찰 webcam 해킹 혐의로 27세 여성 Valérie Gignac 검거 발표
http://www.rcmp-grc.gc.ca/qc/nouv-news/com-rel/2015/04/150429-eng.htm
− 5월 1일 : 인증 기관 테스트 관련해 부정 행위 한 업체 적발
http://www.av-test.org/fileadmin/pdf/VB-AVC-AVT-press-release.pdf
− 5월 1일 : Linux GPU 이용한 Rootkit Jellyfish 공개
https://github.com/x0r1/jellyfish
− 5월 4일 : Sally Beauty 두번째 유출 사고 발표
https://www.sallybeautyholdings.com/data-incident-information.aspx
© AhnLab, Inc. All rights reserved. 27
2015 년국외정보보안소식
2015년국외정보보안소식
− 5월 6일 : Las Vegas' FireKeepers Casino 카드정보 7개월 동안 유출
http://firekeeperscasino.com/data-sec
− 5월 8일 : India CERT, Bioazih 경고
http://www.cert-in.org.in
− 5월 13일 : 가상환경 취약점 (CVE-2015-3456) VENOM 발표
http://venom.crowdstrike.com
− 5월 15일 : GTA V mods ‘Angry Planes’ 와 ‘Noclip’ 에서 악성코드 발견
https://grahamcluley.com/2015/05/beware-gta-malware
− 5월 15일 : FBI, Chris Roberts 비행기 해킹 혐의 주장
http://www.washingtonpost.com/news/morning-mix/wp/2015/05/18/hacker-chris-roberts-told-fbi-he-
took-control-of-united-plane-fbi-claims
− 5월 21일 : channel4, Adult FriendFinder 해킹으로 390 만명 정보 유출 보도
http://www.channel4.com/news/adult-friendfinder-dating-hack-internet-dark-web
© AhnLab, Inc. All rights reserved. 28
2015 년국외정보보안소식
2015년국외정보보안소식
− 5월 21일 : Intercept, NSA의 Google 및 Samsung AppStore 해킹 시도 보도
https://firstlook.org/theintercept/2015/05/21/nsa-five-eyes-google-samsung-app-stores-spyware
− 5월 23일 : Mcafee, Ransomware 생성 도구 Tox 발견
https://blogs.mcafee.com/mcafee-labs/meet-tox-ransomware-for-the-rest-of-us
− 5월 26일 : 미국 IRS (Internal Revenue Service) 해킹으로 10 만 명 개인정보 유출
http://bigstory.ap.org/article/34539a748b3745ffb92451472f814ffa/apnewsbreak-irs-says-thieves-stole-
tax-info-100000
− 5월 26일 : Eset, Moose 악성코드 분석보고서 공개
http://www.welivesecurity.com/wp-content/uploads/2015/05/Dissecting-LinuxMoose.pdf
− 5월 29일 : 미 언론, 미국 정보 당국 2010년 봄 북한 평북 영변 핵시설에 Stuxnet 공격 시도 보도
http://www.reuters.com/article/2015/05/29/us-usa-northkorea-stuxnet-idUSKBN0OE2DM20150529
− 5월 29일 : Qihoo 360, 2012년 부터 중국 정부 해킹한 Ocean Lotus 공개
http://blogs.360.cn/blog/oceanlotus-apt/
© AhnLab, Inc. All rights reserved. 29
2015 년국외정보보안소식
2015년국외정보보안소식
− 5월 29일 : Mac firmware 변조 가능 공개
https://reverse.put.as/2015/05/29/the-empire-strikes-back-apple-how-your-mac-firmware-security-is-
completely-broken
− 6월 1일 : 일본연금기구 악성코드 감염으로 연금 정보 유출 보도
http://asahikorean.com/article/asia_now/AJ201506020076
http://d.hatena.ne.jp/Kango/20150601/1433166675
− 6월 4일 : 중국 hacker에 의해 400 만 명 미 연방 공무원 정보 유출 보도
http://www.washingtonpost.com/world/national-security/chinese-hackers-breach-federal-governments-
personnel-office/2015/06/04/889c0e52-0af7-11e5-95fd-d580f1c5d44e_story.html
− 6월 4일 : Samy Kamkar, IM-ME를 이용해 자체 제작한 OpenSesame로 차고 문 열기 시연
http://www.wired.com/2015/06/hacked-kids-toy-opens-garage-doors-seconds/
− 6월 4일 : Bae Systems, MacKeeper 취약점을 통해 감염되는 악성코드 정보 공개
http://www.baesystemsai.blogspot.co.uk/2015/06/new-mac-os-malware-exploits-mackeeper.html
© AhnLab, Inc. All rights reserved. 30
2015 년국외정보보안소식
2015년국외정보보안소식
− 6 월 5일 : Trendmicro, Oracle MICROS을 목표로 한 Malumpos 발견 발표
http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-malumpos-targets-
hotels-and-other-us-industries
− 6월 9일 : 미군 홈페이지 해킹
http://www.welivesecurity.com/2015/06/09/us-army-website-hack/
− 6월 10일 : 일본, 도쿄상공회의소, 회원기업 정보 1만여건 유출
http://www.47news.jp/korean/economy/2015/06/116051.html
− 6월 10일 : Kasperskylab, Duqu 2.0 자사 공격 시도 발표
https://blog.kaspersky.com/kaspersky-statement-duqu-attack
− 6월 11일 : 미국 연방인사관리처 추가 해킹 피해자 가능성 보도
http://bigstory.ap.org/article/af77f567a4b74f128a4869031dc9add9/union-hackers-have-personnel-data-
every-federal-employee
© AhnLab, Inc. All rights reserved. 31
2015 년국외정보보안소식
2015년국외정보보안소식
− 6월 14일 : Bild 지, 5월 독일 메르켈 총리실 컴퓨터 악성코드에 감염 보도
http://www.bild.de/bild-plus/politik/inland/angela-merkel/steht-im-zentrum-des-cyber-angriffs-
41347220,var=a,view=conversionToLogin.bild.html
− 6월 14일 : China와 Russia에서 Edward Snowden의 암호화 파일 해제 보도
http://www.thesundaytimes.co.uk/sto/news/uk_news/National/article1568673.ece
− 6월 15일 : Kaspersky Lab, Duqu 2.0에 Foxconn Technology Group 인증서 사용 발표
https://securelist.com/blog/research/70641/the-duqu-2-0-persistence-module
− 6월 16일 : FBI, Louis Cardinals 휴스턴 구단 해킹 혐의로 수사 중
http://www.nytimes.com/2015/06/17/sports/baseball/st-louis-cardinals-hack-astros-fbi.html
− 6월 16일 : 학계 Apple Keychain 취약점 공개
https://drive.google.com/file/d/0BxxXk1d3yyuZOFlsdkNMSGswSGs/view?pli=1
© AhnLab, Inc. All rights reserved. 32
2015 년국외정보보안소식
2015년국외정보보안소식
− 6월 16일 : NowSecure, 삼성 스마트폰 취약점 공개
https://www.nowsecure.com/blog/2015/06/16/remote-code-execution-as-system-user-on-samsung-
phones
− 6월 16일 : Paloalto, 동남아 지역 공격한 Lotus Blossom 공개
https://www.paloaltonetworks.com/content/dam/paloaltonetworks-
com/en_US/assets/pdf/reports/Unit_42/operation-lotus-blossom/unit42-operation-lotus-blossom.pdf
− 6월 17일 : Canada 정부 사이트 DDoS 공격으로 장애
http://www.citynews.ca/2015/06/17/government-of-canada-servers-under-cyber-attack
− 6월 18일 : Wikileaks, Sony 유출 자료 공개
https://wikileaks.org/sony/docs/
− 6월 21일 : 폴란드 LOT 항공사, DDoS 공격으로 시스템 장애 발생
http://www.tvn24.pl/wiadomosci-z-kraju,3/atak-hakerow-na-systemy-informatyczne-lot,553485.html
© AhnLab, Inc. All rights reserved. 33
2015 년국외정보보안소식
2015년국외정보보안소식
− 6월 22일 : 미국 & 영국 정보기관 백신 업체 목표 폭로
https://firstlook.org/theintercept/2015/06/22/nsa-gchq-targeted-kaspersky
− 6월 23일 : google researcher, Eset 취약점 공개
http://googleprojectzero.blogspot.co.uk/2015/06/analysis-and-exploitation-of-eset.html
− 6월 23일 : 미 법원, Blackshades 판매한 Alex Yucel 4년 9개월 징역형 선고
http://www.justice.gov/usao-sdny/pr/Swedish-co-creator-blackshades-malware-enabled-users-around-
world-secretly-and-remotely
− 6월 23일 : Samsung 컴퓨터 Windows Update 기능 해제 프로그램 제공
http://bsodanalysis.blogspot.in/2015/06/samsung-deliberately-disabling-windows.html
− 6월 25일 : Europol, Zeus 와 Spyeye 악성코드 관계자 검거 발표
https://www.europol.europa.eu/content/major-cybercrime-ring-dismantled-joint-investigation-team
−
04
2 분기국외사건사고
© AhnLab, Inc. All rights reserved. 35
Login 정보노출
• 영국 Rail control centre로그인정보
- 방송내용중Login 정보노출
* Source : https://grahamcluley.com/2015/05/train-control-centre-passwords-revealed
© AhnLab, Inc. All rights reserved. 36
부정테스트
• 테스트기관부정행위적발
- AV-Comparatives, AV-TEST, Virus Bulletin 공동발표
* Source : https://www.virusbtn.com/pdf/VB-AVC-AVT-press-release.pdf
© AhnLab, Inc. All rights reserved. 37
Airplane Hacking
• 비행기해킹
- Chris Roberts 해킹성공
* Source : http://www.darkreading.com/attacks-breaches/planes-tweets-and-possible-hacks-from-seats/d/d-id/1320499
© AhnLab, Inc. All rights reserved. 38
Sally Beauty Breach
• Sally Beauty
- 2차유출사고
* Source : https://www.sallybeautyholdings.com/data-incident-information.aspx
© AhnLab, Inc. All rights reserved. 39
TV5 Monde hacked
• France TV5Monde 해킹
-
* Source : http://www.lemonde.fr/pixels/article/2015/04/09/les-sites-de-tv5-monde-detournes-par-un-groupe-islamiste_4612099_4408996.html
© AhnLab, Inc. All rights reserved. 40
TV5 Monde hacked
• 방송내용에 password 공개됨
-
* Source : https://twitter.com/pent0thal
© AhnLab, Inc. All rights reserved. 41
TV5 Monde hacked
• 공격에사용된악성코드
-
* Source : https://www.bluecoat.com/security-blog/2015-04-09/visual-basic-script-malware-reportedly-used-tv5-monde-intrusion
© AhnLab, Inc. All rights reserved. 42
TV5 Monde hacked
• 악성코드
-
* Source : twitter.com/K_SH_HACKER
© AhnLab, Inc. All rights reserved. 43
TV5 Monde hacked
• Constructor
-
© AhnLab, Inc. All rights reserved. 44
TV5 Monde hacked
• BBC, Russian hackers 소행가능성보고
- APT28 … 과거백악관등도해킹
* Source : http://www.bbc.com/news/world-europe-33072034
© AhnLab, Inc. All rights reserved. 45
항공사공격
• 폴란드항공사 LOT 시스템장애
- 1,400 passengers 영향, 10 편취소및12 편지연발생
* Source : http://www.tvn24.pl/wiadomosci-z-kraju,3/atak-hakerow-na-systemy-informatyczne-lot,553485.html
© AhnLab, Inc. All rights reserved. 46
항공사공격
• DDoS공격으로확인
-
* Source : http://www.theregister.co.uk/2015/06/23/planegrounding_airport_attack_revealed_to_be_ddos/
© AhnLab, Inc. All rights reserved. 47
NSA & GCHQ Attack
• NSA & GCHQ 관심보안업체공개
-
* Source : https://firstlook.org/theintercept/2015/06/22/nsa-gchq-targeted-kaspersky
© AhnLab, Inc. All rights reserved. 48
NSA & GCHQ Attack
• Project Camberdada
- 국내업체AhnLab, Hauri포함
* Source : https://firstlook.org/theintercept/document/2015/06/22/project-camberdada-nsa
05
2 분기주요취약점과악성코드
© AhnLab, Inc. All rights reserved. 50
New Shellshock worm
• New Shellshock worm
-
* Source : http://www.volexity.com/blog/?p=118
© AhnLab, Inc. All rights reserved. 51
Bioazih (Bisonal)
• Bisonal
- India CERT 에서경고
-국내에서도2014년부터변형공격존재
* Source : http://www.cert-in.org.in
© AhnLab, Inc. All rights reserved. 52
Rombertik
• MBR 파괴기능
- Researcher 대비했다고최초알려졌지만불법복제제품에대한응징으로밝혀짐
* Source : http://blogs.cisco.com/security/talos/rombertik& http://www.symantec.com/connect/blogs/rombertik-carbongrabber-sting-tail-cheapskates
© AhnLab, Inc. All rights reserved. 53
정품감염
• GTA V mod
- GTV V mod 에서악성코드발견
* Source : http://gtaforums.com/topic/794383-malware-inside-angry-planes-noclip-mod
© AhnLab, Inc. All rights reserved. 54
Ransomware 생성기
• Tox
- Ransomware 생성기
* Source : https://blogs.mcafee.com/mcafee-labs/meet-tox-ransomware-for-the-rest-of-us
© AhnLab, Inc. All rights reserved. 55
Moose
• Moose
- Home Router worm
-
* Source : http://www.welivesecurity.com/2015/05/26/dissecting-linuxmoose/
© AhnLab, Inc. All rights reserved. 56
MacKeeper취약점
• MacKeeper취약점
-
* Source : https://www.exploit-db.com/exploits/36955
© AhnLab, Inc. All rights reserved. 57
MacKeeper취약점
• MacKeeper취약점이용한악성코드등장
-
* Source : http://www.baesystemsai.blogspot.co.uk/2015/06/new-mac-os-malware-exploits-mackeeper.html
© AhnLab, Inc. All rights reserved. 58
MalumPOS
• MalumPOS
- 전세계330,000 개고객보유한Oracle MICROS 목표
* Source : http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-malumpos-targets-hotels-and-other-us-industries
© AhnLab, Inc. All rights reserved. 59
MalumPOS
• Oracle MICROS
-2014년6월23일Oracle에서인수
-
* Source : http://www.oracle.com/us/corporate/acquisitions/micros/index.html
© AhnLab, Inc. All rights reserved. 60
Duqu 2.0 Kaspersky Lab 공격시도
• Kaspersky Lab 공격시도
-사내에서Duqu2.0 발견
-특정국가소행?
* Source : https://blog.kaspersky.com/kaspersky-statement-duqu-attack/
© AhnLab, Inc. All rights reserved. 61
Duqu 2.0 Kaspersky Lab 공격시도
• 유출디지털인증서사용
-
* Source : https://securelist.com/blog/research/70641/the-duqu-2-0-persistence-module
06
Case Study : 한국어지원Ransomware
© AhnLab, Inc. All rights reserved. 63
한국어지원Ransomware
• 한글판 Ransomware 등장
-
© AhnLab, Inc. All rights reserved. 64
한국어지원Ransomware
• 문서암호화
- 암호화후파일이름에 .encrypted 추가
-DECRYPT_INSTRUCTIONS.html과DECRYPT_INSTRUCTIONS.txt 생성
© AhnLab, Inc. All rights reserved. 65
한국어지원Ransomware
• clien에서배포
-
* Source : http://www.clien.net/cs2/bbs/board.php?bo_table=notice&wr_id=10703
© AhnLab, Inc. All rights reserved. 66
한국어지원Ransomware
• 다국어지원
- 일본어, 한국어지원
* Source : http://www.symantec.com/connect/blogs/ransomware-increasingly-turning-far-east
© AhnLab, Inc. All rights reserved. 67
한국어지원Ransomware
• 구조
-
* Source : ASEC 분석팀
© AhnLab, Inc. All rights reserved. 68
한국어지원Ransomware
• 대응
-url과행위로도차단
© AhnLab, Inc. All rights reserved. 69
한국어지원Ransomware
• 수익
- 160 * 250 $ = 약40,000 $ (약4 천만원)
* Source :https://blockchain.info/ko/charts/balance?address=1GCUK95bUSSKBiXMdwU6Yog2wbV2B6gGQy
07
Case Study : 일본연금기구정보유출
© AhnLab, Inc. All rights reserved. 71
일본연금기구정보유출
• 정보유출
- 2015년5월공격으로125 만명연금수급자및가입자의기초연금번호및이름등개인정보가유출
- ‘기초연금번호와이름’이약3만1000건, ‘번호, 이름, 생년월일’이약116만7000건, ‘번호, 이름, 생년월일, 주소’가약
5만2000건유출
* Source : http://www.nenkin.go.jp/n/data/service/0000150601ndjIleouIi.pdf
© AhnLab, Inc. All rights reserved. 72
일본연금기구정보유출
• Timeline
-
* Source : http://d.hatena.ne.jp/Kango/20150601/1433166675
© AhnLab, Inc. All rights reserved. 73
일본연금기구정보유출
• 공격방식
- 업무관련메일로가장해악성URL 이나악성코드첨부
-첨부파일 : 医療費通知のお知らせ.lzh
* Source : http://d.hatena.ne.jp/Kango/20150601/1433166675
© AhnLab, Inc. All rights reserved. 74
일본연금기구정보유출
• Blue Termite
- Kasperskylab발표
* Source : http://ascii.jp/elem/000/001/015/1015228/
© AhnLab, Inc. All rights reserved.
일본연금기구정보유출
20142013 2015
New
Emdivi
(encrypted strings)
Japan Pension
Service Attack
Emdivi
discovered
Fake
Japan Health
Insurance
© AhnLab, Inc. All rights reserved. 76
일본연금기구정보유출
• 악성코드
-
LZH
sfx
kenpo.doc vmater.exe
© AhnLab, Inc. All rights reserved. 77
일본연금기구정보유출
• 악성코드
-医療費通知のお知らせ.exe : 200 KB 정도의sfx파일.
-실행되면%temp%에vmater.exe 과kenpo.doc 생성 (doc 파일은정상문서)
© AhnLab, Inc. All rights reserved. 78
일본연금기구정보유출
• 악성코드
- kenpo.doc 내용
© AhnLab, Inc. All rights reserved. 79
일본연금기구정보유출
• 악성코드
- vmater.exe는2015년5월20일과6월2일생성됨
© AhnLab, Inc. All rights reserved. 80
일본연금기구정보유출
• 악성코드
- 주요문자열암호화
© AhnLab, Inc. All rights reserved. 81
일본연금기구정보유출
• 악성코드
- 일본을주목표로한악성코드로추정
-http://www.yahoo.co.jp 등으로인터넷가능유무테스트
* Source :
© AhnLab, Inc. All rights reserved. 82
일본연금기구정보유출
• 분석방해
-Host 이름검사해wilbert-SC1508, xp-sp3-template, mip-xp-cht, CWS01_03, wilbert-sc2202,
CWS05D102 일 경우 임의의 주소로 점프해 오류 발생
© AhnLab, Inc. All rights reserved. 83
일본연금기구정보유출
• 분석방해
- Process 검사 : ollydbg, W32Dasm, Wireshark, SoftICE, Process Explorer, Process Monitor, Process
Hacker
-해당Process 존재할경우 random sleep 수행
© AhnLab, Inc. All rights reserved. 84
일본연금기구정보유출
• c&c
- www.sakuranorei.com
-www.feeltheworld.jp/feeds.php
© AhnLab, Inc. All rights reserved. 85
일본연금기구정보유출
• 대응문제점
-행정기관을지키기위해정부가지정한중요대상에포함되지않음
-실행파일첨부파일을열어실행한사람이다수 -> 교육부재
-5월8일“수상한통신이력감지’되어후생성에통보
-연금기구에연락한담당자는후생성계장이었으며연금기구가19일경시청에이문제를상담한시점에도계장은
상관에보고하지않음 -> 보고문제
- 연금기구는23일19대의컴퓨터에서대량의정보발신확인. 인터넷접속을차단하는대책만을실시 -> 보고문제
-후생성과경시청에연락한것은2일뒤인25일 -> 후생노동대신은최초바이러스감염발각으로부터20일뒤보고
받음
* Source : http://www.47news.jp/korean/politics_national/2015/06/115691.html
© AhnLab, Inc. All rights reserved. 86
일본연금기구정보유출
• 변형
- 2012-2013년변형은문자열암호화안함. 2014년발견된변형부터문자열암호화
© AhnLab, Inc. All rights reserved. 87
현재의보안문제
• Not really a fair fight
* source : http://image-store.slidesharecdn.com/81268b95-5c3b-4604-9129-d83ab3dc4600-large.png
© AhnLab, Inc. All rights reserved. 88
현재의보안문제
• 모두가함께해야하는보안
* source : http://www.security-marathon.be/?p=1786
© AhnLab, Inc. All rights reserved. 89
Q&A
email : [email protected] / [email protected]
http://xcoolcat7.tistory.com
https://twitter.com/xcoolcat7, https://twitter.com/mstoned7
© AhnLab, Inc. All rights reserved. 90
Reference
• 송재민&차민석, ‘일본연금기구해킹‘, AhnLab
• 이현목, ‘Win-Trojan/CryptoLocker.229892 분석’, AhnLab
D E S I G N Y O U R S E C U R I T Y