AhnLab SEcurity intelligence Center(ASEC)은 최근 MS-SQL 서버를 대상으로 한 공격들을 모니터링하던 중 TargetComapny 랜섬웨어 그룹이 Mallox 랜섬웨어를 설치하고 있는 사례를 확인하였다. TargetComapny 랜섬웨어 그룹은 주로 부적절하게 관리되는 MS-SQL 서버를 공격하여 Mallox 랜섬웨어를 설치하고 있다. 이러한 공격은 수 년째 지속되고 있지만 여기에서는 새롭게 확인된 악성코드를 통해 과거 Tor2Mine 코인 마이너, BlueSky 랜섬웨어를 유포했던 공격 사례와의 연관성을 정리한다.
이번 공격은 기존 사례들과 유사하게 부적절하게 관리되고 있는 MS-SQL 서버가 그 대상이 되었다. 공격자는 무차별 대입 공격 및 사전 공격으로 MS-SQL 서버를 공격한 것으로 추정되며 SA 계정에 로그인한 이후 Remcos RAT을 설치하였다. 공격이 이루어지고 4시간이 지난 후에는 Remcos RAT을 이용해 원격 화면 제어 악성코드를 추가적으로 설치하였다. 공격자는 이러한 악성코드들을 통해 감염 시스템을 조사하고 정보를 탈취하였을 것으로 추정된다. 그리고 또 다른 공격에서는 29시간이 지난 후 Mallox 랜섬웨어를 설치하여 감염 시스템을 암호화하려고 시도하였다.
1. Remcos RAT
Remcos는 원격 관리를 위한 도구로 판매되고 있는 상용 원격 제어 도구(Remote Administration Tool)이다. 하지만 다른 RAT(Remote Access Trojan) 악성코드들처럼 키로깅, 스크린샷 캡쳐, 웹캠 및 마이크 제어뿐만 아니라 시스템에 존재하는 웹 브라우저의 히스토리 및 비밀번호 추출 기능과 같은 악의적으로 사용 가능한 기능들을 지원하기 때문에 다양한 공격자들이 이를 사용하고 있다. [1]
Remcos는 스팸 메일의 첨부 파일이나 크랙을 위장하는 방식으로 유포되는 경우도 많지만 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 한 공격에서도 감염 시스템을 제어하기 위한 목적으로 코발트 스트라이크와 함께 자주 사용되고 있다. [2] 2023년 5월경에는 보안 제품의 탐지를 우회하기 위해 MS-SQL 서버를 장악한 이후 파워쉘 대신 SQLPS 유틸리티를 악용하여 유포되기도 하였다.
이번에 확인된 공격도 부적절하게 관리되고 있는 서버를 대상으로 하였으며, 악성코드 설치 과정에서 SQLPS 도구가 사용되었다.
공격에 사용된 Remcos RAT은 4.9.3 Light 버전이다. Light 버전은 Pro 버전과 달리 키로깅이나 스크린샷 캡쳐 등의 기능을 지원하지 않는다. 다음은 Remcos RAT에서 실행 중 복호화 된 설정 데이터와 대표적인 설정들 중 일부이다.
| 설정 | 데이터 |
|---|---|
| Host:Port:Password | 80.66.75[.]238:3388:1 |
| Assigned name | RemoteHost |
| Connect interval | 1 |
| Mutex | Rmc-8P1R4F |
| Keylog flag | Disabled |
| Keylog path | Application path |
| Keylog file | logs.dat |
| Screenshot flag | Disabled |
| Screenshot time | 10 |
| Screenshot path | AppData |
| Screenshot file | Screenshots |
| Audio record time | 5 |
| Audio folder | MicRecords |
| Copy folder | Remcos |
| Keylog folder | remcos |
공격자는 Remcos RAT을 통해 추가 악성코드들을 설치하였는데 처음 설치된 것은 AnyDesk와 추가한 사용자 계정으로 감염 시스템을 제어할 수 있는 악성코드였다. 이는 공격에 사용한 Remcos가 Light 버전이다보니 원활한 원격 제어를 위한 것으로 보인다. 또한 또 다른 공격에서는 약 29시간이 지난 후 Mallox 랜섬웨어를 설치하여 감염 시스템을 암호화하려고 시도하는 사례도 확인되었다.
2. 원격 화면 제어 악성코드
최초 감염 이후 4시간이 지난 후 공격자는 Remcos RAT을 이용해 원격 제어 기능을 추가하는 악성코드를 설치하였다. 해당 악성코드는 먼저 C&C 서버의 “creds” 주소에 접속해 문자열을 다운로드한다. 분석 시점 기준 C&C 서버와의 접속은 불가하지만 “ID;PW” 포맷의 문자열을 다운로드할 수 있었을 것으로 추정되며 해당 문자열의 ID와 비밀번호로 사용자 계정을 추가하고 관리자 그룹으로 등록한다.
| URL | 설명 |
|---|---|
| https://{C&C서버}/creds | 추가할 사용자 계정 문자열 다운로드 (ID;PW 포맷) |
| https://{C&C서버}/secret | AnyDesk 설치 시 지정할 비밀번호 문자열 다운로드 |
| https://{C&C서버}/desk | AnyDesk 설치 파일 다운로드 (MSI) |
| https://{C&C서버}/gate/{AnyDesk_ID} | 설치한 AnyDesk의 ID 전송 |
이후 “secret” 주소에 접속해 문자열을 다운로드하는데 이는 AnyDesk 설치 이후 지정할 비밀번호이다. 그리고 Program Files 경로에서 “\AnyDeskMSI\AnyDeskMSI.exe” 파일이 존재하는지 확인하는데 AnyDesk가 설치되어 있지 않을 경우 “desk” 주소에서 MSI 포맷의 AnyDesk 설치 파일을 다운로드하고 설치한다. 여기까지의 과정이 끝나면 AnyDesk에 C&C 서버에서 다운로드한 비밀번호를 설정하고 설치한 AnyDesk의 ID를 구한다. 마지막으로 이렇게 구한 ID를 “gate” 주소에 전달한다.
| 인자 | 설명 |
|---|---|
| –start-service | AnyDesk 서비스 시작 |
| –set-password | AnyDesk에 비밀번호 설정 |
| –restart-service | AnyDesk 서비스 재시작 |
| –get-id | 설치된 AnyDesk의 ID 구하기 |
공격자는 C&C 서버로 전달받은 AnyDesk의 ID를 이용해 감염 시스템에 접근할 수 있으며 “secret”으로 전달한 비밀번호로 인증하여 감염 시스템을 제어할 수 있었을 것이다. 또한 추가한 계정 정보로 감염 시스템에 RDP 즉 원격 데스크톱으로 로그인하여 원격 화면 제어도 가능했을 것이다.
3. Mallox 랜섬웨어
Mallox 랜섬웨어는 Trigona, BlueSky 랜섬웨어와 함께 부적절하게 관리되고 있는 MS-SQL 서버를 공격하는 대표적인 랜섬웨어들 중 하나이다. [4] 공격자는 또 다른 시스템에서 Remcos RAT 악성코드를 이용해 Mallox 랜섬웨어를 설치하기도 하였다.
| 개요 | 설명 |
|---|---|
| 암호화 알고리즘 | AES-256 / SHA-256,AES-128-CTR [5] |
| 암호화 확장자 | “.rmallox” |
| 랜섬 노트 이름 | “HOW TO BACK FILES.txt” |
| 우선순위 암호화 확장자 | “.bak”, “.zip”, “.rar”, “.7z”, “.gz”, “.sql”, “.mdf”, “.hdd”, “.vhd”, “.vdi”, “.vmx”, “.vmdk”, “.nvram”, “.vmem”, “.vmsn”, “.vmsd”, “.vmss”, “.lck”, “.vhdx”, “.vhd”, “.dbf”, “.ora”, “.oraenv”, “.dmp”, “.ibd”, “.mdb”, “.smd”, “.mdb” |
| 암호화 제외 경로 | “msocache”, “$windows.~ws”, “system volume information”, “intel”, “appdata”, “perflogs”, “programdata”, “google”, “application data”, “tor browser”, “boot”, “$windows.~bt”, “mozilla”, “boot”, “windows.old”, “Windows Microsoft.NET”, “WindowsPowerShell”, “Windows NT”, “Windows”, “Common Files”, “Microsoft Security Client”, “Internet Explorer”, “Reference”, “Assemblies”, “Windows Defender”, “Microsoft ASP.NET”, “Core Runtime”, “Package”, “Store”, “Microsoft Help Viewer”, “Microsoft MPI”, “Windows Kits”, “Microsoft.NET”, “Windows Mail”, “Microsoft Security Client”, “Package Store”, “Microsoft Analysis Services”, “Windows Portable Devices”, “Windows Photo Viewer”, “Windows Sidebar” |
| 암호화 제외 파일 | “desktop.ini”, “ntuser.dat”, “thumbs.db”, “iconcache.db”, “ntuser.ini”, “ntldr”, “bootfont.bin”, “ntuser.dat.log”, “bootsect.bak”, “boot.ini”, “autorun.inf”, “debugLog.txt”, “TargetInfo.txt” |
| 암호화 제외 확장자 | “.msstyles”, “.icl”, “.idx”, “.avast”, “.rtp”, “.mallox”, “.sys”, “.nomedia”, “.dll”, “.hta”, “.cur”, “.lock”, “.cpl”, “.Globeimposter-Alpha865qqz”, “.ics”, “.hlp”, “.com”, “.spl”, “.msi”, “.key”, “.mpa”, “.rom”, “.drv”, “.bat”, “.386”, “.adv”, “.diangcab”, “.mod”, “.scr”, “.theme”, “.ocx”, “.prf”, “.cab”, “.diagcfg”, “.msu”, “.cmd”, “.ico”, “.msc”, “.ani”, “.icns”, “.diagpkg”, “.deskthemepack”, “.wpx”, “.msp”, “.bin”, “.themepack”, “.shs”, “.nls”, “.exe”, “.lnk”, “.ps1”, “.rmallox” |
| 종료 대상 프로세스 | 참고 자료에 정리 |
| 종료 대상 서비스 | 참고 자료에 정리 |
| C&C 주소 | hxxp://91.215.85[.]142/QWEwqdsvsf/ap.php |
| 기타 | 볼륨 쉐도우 삭제. 종료 기능 비활성화. |
Mallox 랜섬웨어는 먼저 다음과 같은 명령들을 이용해 볼륨 쉐도우 복사본을 삭제하고 윈도우 복구 관련 기능을 비활성화한다.
| > cmd.exe /c bcdedit /set {current} bootstatuspolicy ignoreallfailures > cmd.exe /c bcdedit /set {current} recoveryenabled no > vssadmin.exe delete shadows /all /quiet |
그리고 데이터베이스나 가상화, 백업 솔루션 등 파일 암호화에 방해되는 프로세스 및 서비스들을 강제로 종료한다. Mallox는 이외에도 다음과 같은 레지스트리 키를 설정하여 종료, 재부팅, 로그아웃 버튼을 비활성화하고 로그온 화면에서 종료 기능을 비활성화하는 등 암호화 과정에서 사용자가 시스템의 전원을 끄거나 재부팅하는 것을 방해한다.
| 설정 대상 레지스트리 | 설명 |
|---|---|
| HKLM\SOFTWARE\Microsoft\PolicyManager\default\Start\HideShutDown / value / 0x00000001 HKLM\SOFTWARE\Microsoft\PolicyManager\default\Start\HideRestart / value / 0x00000001 HKLM\SOFTWARE\Microsoft\PolicyManager\default\Start\HideSignOut / value / 0x00000001 | 종료, 재부팅, 로그아웃 버튼 비활성화 |
| HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System / shutdownwithoutlogon / 0x00000000 | 로그온 화면에서 종료 기능 비활성화 |
| HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services / MaxConnectionTime / 0x00000000 HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services / MaxDisconnectionTime / 0x00000000 HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services / MaxIdleTime / 0x00000000 | 원격 데스크톱 연결 제한 |
Mallox는 공유 폴더에 접근하여 자신을 전파하는 기능을 지원하며 이외에도 감염 시스템의 기본적인 정보를 수집하고 C&C 서버에 전송하기도 한다.
여기까지의 과정이 끝나면 다음과 같은 랜섬 노트를 생성하고 시스템의 파일들을 암호화한다.
4. 과거 BlueSky 공격 사례와의 비교
공격에 사용된 원격 화면 제어 악성코드는 오픈 소스나 알려진 도구가 아닌 공격자가 직접 제작하였거나 아직 알려지지 않은 악성코드로 추정된다. 해당 악성코드는 적어도 2022년 12월경에 최초로 확인되었으며 이번에 확인된 유형과 C&C 서버 주소를 제외하면 실질적으로 동일하다.
2022년 12월경에 유포된 악성코드의 C&C 서버 주소는 과거 The DFIR Report에서 다루었던 공격 사례에서 확인된 C&C 서버 주소와 동일하다. [6] 해당 공격 사례에서도 공격자는 외부에 노출되어 있으면서 부적절하게 관리되고 있는 MS-SQL 서버를 공격하였으며 관리자 즉 SA 계정에 대한 무차별 대입 공격으로 시작되었다.
이후 공격자는 감염 시스템을 제어하기 위해 코발트 스트라이크를 설치하였으며 이를 이용해 Tor2Mine 코인 마이너와 BlueSky 랜섬웨어를 설치하였다. 각각의 공격들은 MS-SQL 서버라는 동일한 공격 방식이 사용되었으며 새롭게 확인된 악성코드가 사용되었다는 공통점이 존재한다. 즉 과거 이루어진 BlueSky 랜섬웨어 및 Tor2Mine 코인 마이너 공격 사례 또한 TargetComapny 공격자의 소행으로 추정된다. 과거 TrendMicro도 보고서를 통해 두 랜섬웨어가 암호화 방식이나 공격 방식에서 유사성이 있음을 알린 바 있다. [7]
5. 결론
부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 Mallox 랜섬웨어를 설치하는 공격 사례가 지속적으로 확인되고 있다. TargetCompany 랜섬웨어 그룹은 최초 공격 이후 Remcos RAT과 원격 화면 제어 악성코드를 설치하였으며 또 다른 시스템에서는 Mallox 랜섬웨어를 설치하여 감염 시스템을 암호화하려고 시도하기도 하였다. 해당 공격은 과거 MS-SQL 서버를 공격하여 Tor2Mine 코인 마이너와 BlueSky 랜섬웨어를 공격한 공격자의 소행으로 추정된다.
Mallox 같은 랜섬웨어 공격자들은 수익을 위해 감염 시스템을 암호화하고 민감한 정보를 탈취하여 협박하는 방식을 사용하고 있다. 이외에도 자격 증명 정보 탈취 및 측면 이동을 위한 다양한 기법들을 시도하기 때문에 기업에서는 단일한 시스템뿐만 아니라 기업 내부망 전체가 장악되어 기업의 민감한 정보들이 탈취당하고 네트워크 내의 시스템들이 암호화될 수 있다.
MS-SQL 서버를 대상으로 하는 공격에는 대표적으로 부적절하게 계정 정보를 관리하고 있는 시스템들에 대한 무차별 대입 공격(Brute Forcing)과 사전 공격(Dictionary Attack)이 있다. 관리자들은 계정의 비밀번호를 추측하기 어려운 형태로 사용하고 주기적으로 변경하여 무차별 대입 공격과 사전 공격으로부터 데이터베이스 서버를 보호해야 한다.
그리고 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다. 또한 외부에 공개되어 접근 가능한 데이터베이스 서버에 대해 방화벽과 같은 보안 제품을 이용해 외부 공격자로부터의 접근을 통제해야 한다. 위와 같은 조치가 선행되지 않을 경우 공격자 및 악성코드들에 의해 계속적인 감염이 이루어질 수 있다.
파일 진단
– Downloader/Win.Agent.C5614241 (2024.04.18.03)
– Backdoor/Win.Remcos.C5607317 (2024.04.03.00)
– Ransomware/Win.Mallox.C5601155 (2024.03.15.01)
– Trojan/Win.Generic.C5352187 (2023.01.07.01)
행위 진단
– Execution/MDP.Powershell.M4602
– Ransom/MDP.Decoy.M1171
– Ransom/MDP.Command.M1751
– Ransom/MDP.Event.M1946
IoC
MD5
– 52819909e2a662210ab4307e0f5bf562 : Remcos RAT (walkingrpc.bat)
– 20dd8410ff11915a0b1f4a5018c9c340 : 원격 화면 제어 악성코드 (launcher.exe)
– 09b17832fc76dcc50a4bf20bd1343bb8 : Mallox 랜섬웨어 (360.exe)
– 3297dc417cf85cfcea194f88a044aebd : 원격 화면 제어 악성코드 – 과거 사례
– ff011e8a1d1858f529e8a4f591dc0f02 : 원격 화면 제어 악성코드 – 과거 사례
C&C 서버
– 80.66.75[.]238:3388 : Remcos RAT
– hxxps://80.66.75[.]238:3030 : 원격 화면 제어 악성코드
– hxxp://91.215.85[.]142/QWEwqdsvsf/ap.php : Mallox 랜섬웨어
– hxxps://5.188.86[.]237:3030 : 원격 화면 제어 악성코드 – 과거 사례
다운로드 주소
– hxxp://42.193.223[.]169/extensioncompabilitynode.exe : Remcos RAT
참고 자료
종료 대상 프로세스
– “sqlserv.exe”, “oracle.exe”, “ntdbsmgr.exe”, “sqlservr.exe”, “sqlwriter.exe”, “MsDtsSrvr.exe”, “msmdsrv.exe”, “ReportingServecesService.exe”, “fdhost.exe”, “fdlauncher.exe”, “mysql.exe”
종료 대상 서비스
– “SiebelApplicationContainer_Siebel_Home_d_Siebel_sai, “ReportServer$SQLEXPRESS”, “SQL Server Reporting Services”, “SQL Server (MSSQLSERVER)”, “MSSQLFDLauncher”, “SQLSERVERAGENT”, “SQLBrowser”, “SQLTELEMETRY”, “MsDtsServer130”, “SSISTasdRY130”, “MSSQL$WOLTERSKLUWER”, “SQLAgent$PROGID”, “SQLWriter”, “MSSQL$VEEAMSQL2012”, “SQLAgent$VEEAMSQL2012”, “MSSQL”, “SQLAgent”, “MSSQLServerADHelper100”, “MSSQLServerOLAPService”, “MsDtsServer100”, “ReportServer”, “SQLTELEMETRY$HL”, “TMBMServer”, “MSSQL$PROGID”, “XT800Service_Personal”, “AHS SERVICE”, “Sense Shield Service”, “FontCache3.0.0.0”, “OSP Service”, “DAService_TCP”, “eCard-TTransServer”, “wanxiao-monitor”, “vm-agent”, “SyncBASE Service”, “Flash Helper Service”, “Kiwi Syslog Server”, “UWS HiPriv Services”, “UWS LoPriv Services”, “UtilDev Web Server Pro”, “ZTE USBIP Client Guard”, “ZTE USBIP Client”, “ZTE FileTranS”, “Zabbix Agent”, “EasyFZS Server”, “Rpc Monitor”, “Nuo Update Monitor”, “Daemon Service”, “FlexNet Licensing Service 64”, “U8WorkerService2”, “U8MPool”, “U8WebPool”, “U8WorkerService1”, “TongBackupSrv”, “cbVSCService11”, “CobianBackup11”, “MSSQLSERVER”, “MSSQL$”, “vss”, “vmvss”, “MSSQL$FE_EXPRESS”, “SQLANYs_Sage_FAS_Fixed_Assets”, “MSSQL$VIM_SQLEXP”, “QcSoftService”, “VMTools”, “VGAuthService”, “MSDTC”, “TeamViewer”, “RabbitMQ”, “SSMonitorService”, “SSSyncService”, “TPlusStdAppService1300”, “MSSQL$SQL2008”, “SQLAgent$SQL2008”, “TPlusStdTaskService1300”, “TPlusStdUpgradeService1300”, “VirboxWebServer”, “jhi_service”, “LMS”, “eCardMPService”, “EnergyDataService”, “UI0Detect”, “K3MobileService”, “TCPIDDAService”, “WebAttendServer”, “UIODetect”, “VMAuthdService”, “VMUSBArbService”, “VMwareHostd”, “VmAgentDaemon”, “OpenSSHd”, “eSightService”, “apachezt”, “Jenkins”, “secbizsrv”, “MSMQ”, “smtpsvrJT”, “zyb_sync”, “360EntHttpServer”, “360EntSvc”, “360EntClientSvc”, “NFWebServer”, “wampapache”, “MSSEARCH”, “msftesql”, “OracleDBConcoleorcl”, “OracleJobSchedulerORCL”, “OracleMTSRecoveryService”, “OracleOraDb11g_home1ClrAgent”, “OracleOraDb11g_home1TNSListener”, “OracleVssWriterORCL”, “OracleServiceORCL”, “aspnet_state”, “Redis”, “JhTask”, “ImeDictUpdateService”, “MCService”, “allpass_redisservice_port21160”, “ftnlsv3”, “ftnlses3”, “FxService”, “ftusbrdwks”, “ftusbrdsrv”, “wwbizsrv”, “qemu-ga”, “AlibabaProtect”, “ZTEVdservice”, “kbasesrv”, “MMRHookService”, “IpOverUsbSvc”, “KuaiYunTools”, “KMSELDI”, “btPanel”, “Protect_2345Explorer”, “2345PicSvc”, “vmware-converter-agent”, “vmware-converter-server”, “vmware-converter-worker”, “QQCertificateService”, “OracleRemExecService”, “GPSDaemon”, “GPSUserSvr”, “GPSDownSvr”, “GPSStorageSvr”, “GPSDataProcSvr”, “GPSGatewaySvr”, “GPSMediaSvr”, “GPSLoginSvr”, “GPSTomcat6”, “GPSMysqld”, “GPSFtpd”, “BackupExecAgentAccelerator”, “bedbg”, “BackupExecDeviceMediaService”, “BackupExecRPCService”, “BackupExecAgentBrowser”, “BackupExecJobEngine”, “BackupExecManagementService”, “MDM”, “TxQBService”, “Gailun_Downloader”, “RemoteAssistService”, “YunService”, “Serv-U”, “OpenFastAssist”, “asComSvc”, “OfficeUpdateService”, “RtcSrv”, “RTCASMCU”, “FTA”, “MASTER”, “NscAuthService”, “MSCRMUnzipService”, “MSCRMAsyncService$maintenance”, “MSCRMAsyncService”, “REPLICA”, “RTCATS”, “RTCAVMCU”, “RtcQms”, “RTCMEETINGMCU”, “RTCIMMCU”, “RTCDATAMCU”, “RTCCDR”, “ProjectEventService16”, “ProjectQueueService16”, “SPAdminV4”, “SPSearchHostController”, “SPTimerV4”, “SPTraceV4”, “OSearch16”, “ProjectCalcService16”, “c2wts”, “AppFabricCachingService”, “ADWS”, “MotionBoard57”, “MotionBoardRCService57”, “vsvnjobsvc”, “VisualSVNServer”, “BestSyncSvc”, “LPManager”, “MediatekRegistryWriter”, “RaAutoInstSrv_RT2870”, “CobianBackup10”, “SQLANYs_sem5”, “CASLicenceServer”, “SQLService”, “semwebsrv”, “TbossSystem”, “ErpEnvSvc”, “Mysoft.Autoupgrade.DispatchService”, “Mysoft.Autoupgrade.UpdateService”, “Mysoft.Config.WindowsService”, “Mysoft.DataCenterService”, “Mysoft.SchedulingService”, “Mysoft.Setup.InstallService”, “MysoftUpdate”, “edr_monitor”, “abs_deployer”, “savsvc”, “ShareBoxMonitorService”, “ShareBoxService”, “CloudExchangeService”, “CIS”, “EASService”, “KICkSvr”, “U8SmsSrv”, “OfficeClearCache”, “TurboCRM70”, “U8DispatchService”, “U8EISService”, “U8EncryptService”, “U8GCService”, “U8KeyManagePool”, “U8SCMPool”, “U8SLReportService”, “U8TaskService”, “UFAllNet”, “UFReportService”, “UTUService”
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보