작년 3분기말 Cerber 랜섬웨어는 활동을 중단 하였고 국내 랜섬웨어 피해는 한풀 꺾일 것으로 예상 되었다. 그러나 작년 10월 중순 동일한 취약점 공격도구 (Magnitude Exploit Kit) 를 사용하여 유포 되는 Magniber (Magnitude + Cerber 의 합성어) 라는 새로운 랜섬웨어가 올해 1분기까지 국내에 많은 피해를 주었다. 이 글을 작성하는 현재 해당 랜섬웨어도 자취를 감추고 4월 초중순부터는 GandGrab 이라고 명명된 랜섬웨어로 교체 되어 유포 중이다.

랜섬웨어는 전세계적으로 그 세력과 피해가 주춤 한 것으로 국내외 안티 바이러스 업체들의 보도를 통해서 알려져 있다. 사이버 범죄자들의 비즈니스 모델은 가상화폐의 시세상승에 힘입어 랜섬웨어에서 가상화폐를 채굴 (이하 코인 마이너) 하는 악성코드 제작과 유포에 더 집중을 하고 있는 것으로 확인 되었다. 안랩도 ASD (AhnLab Smart Defence) 시스템을 통해서 코인 마이너류의 폭발적인 증가를 체감 하고 있다. 그러나 국내의 랜섬웨어 피해상황은 이러한 추세와 달리 매우 국지적인 감염율 증가 현상을 보이고 있다. 주요 신규 랜섬웨어의 발견은 불행 중 다행으로 감소한 편으로 20174분기 / 20181분기를 통틀어 작년 3분기 대비 15% 정도 증가하는데 그쳤다.

아래 그래프를 통해서 샘플수량은 작년 4분기 대비 22% 감소 하였지만 감염보고 수치인 Report 수량은 올해 1분기 무려 173% 증가 한 것으로 확인 되었다. Cerber 활동 중단으로 인하여 작년 9 ~ 10월은 샘플과 감염보고 수가 급감 했고 10월 중순부터 Magniber 로 교체가 되면서 감염보고 건수도 서서히 증가 한 것을 알 수 있다.

[그림1] 2017/ 20181분기 랜섬웨어 통계 (샘플 및 감염보고 건수)

이 둘 랜섬웨어의 감염 추세를 비교해보면 Magniber 가 얼마나 짧은 기간 동안 폭발적인 감염율을 보였는지 다음 그래프를 통해서 알 수 있다.  Magniber 는 작년 10월 중순경 처음 확인 되었고 올해 4월 초중순경까지 약 7개월 동안 활동 하였다. 짧은 기간 동안 이처럼 높은 감염율을 보인 원인은 온라인 광고를 통해서 악성코드 설치를 유도하는 멀버타이징 (Malvertising) 기법과 기존의 Cerber 랜섬웨어 유포에 사용 되었던 JScript VBScript 엔진 취약점 (CVE-2016-0189) 그대로 악용 하였기 때문이다. 올해 4월초부터는 비교적 최근에 알려진 Adobe 플래쉬 취약점 (CVE-2018-4878)을 함께 악용 하기도 하였다.

[그림2] 2017/ 20181분기 Cerber, Magniber 감염 증가 추세

이렇게 맹위를 떨치던 Magniber 랜섬웨어도 약 7개월정도 활동을 끝으로 자취를 감추었다. 안랩은 해당 랜섬웨어를 유포하는 멀버타이징 (Malvertising) 관련 사이트와 취약점 공격도구 (Magnitude Exploit Kit)의 유포, 실행 방식 변화를 끊임 없이 추적하고 있었다. 또한 올해 3월에는 Magniber 랜섬웨어 복호화 가능성을 파악 한 후 암호화된 파일을 복호화 할 수 있는 도구를 개발하여 공개 하기도 하였다.

앞서 국내 랜섬웨어는 국외와 달리 매우 국지적으로 활발한 감염율 증가 추세를 보이는 것으로 언급 하였다. 여기에는 Magniber 와 유사한 외형을 가지고 있는 랜섬웨어들도 한몫을 차지 하고 있다. 유사한 외형의 효과는 동일한 패커 (Packer) 를 이용한 것으로 목적은 주로 안티 바이러스의 진단을 우회하고 통계와 같은 동향을 파악 하기에 혼동을 줄 목적으로도 사용 될 수 있다.

[그림3] 20174분기 / 20181분기 Magniber 유사 외형 랜섬웨어 감염수

위 그래프에서 Matrix, Hermes, SageCrypt 는 모두 국내 특정 미디어 웹 사이트를 통해서 유포가 되었었다. 올해 1분기 까지는 Hermes 랜섬웨어가 주로 보고 되었다. 주로 어도비 플래쉬 취약점으로 통하여 해당 사이트를 방문하는 사용자를 노렸다. 일부 랜섬웨어는 스팸 메일 형태로도 유포 되었다. 이는 온라인 광고로 감염을 유도하는 멀버타이징 기법과는 달랐다. 해당 랜섬웨어들이 처음부터 Magniber 와 동일한 패커를 사용하지는 않았으며 혼란을 줄 의도는 비교적 최근에 파악이 되었다

그러나 RansomCrypt 로 명명된 랜섬웨어는 Magniber, GandGrab, Hermes 랜섬웨어를 모두 아우르는 진단명으로 확실하게 의도된 외형을 가진 것으로 확인 되었다. 이중 GandGrab 랜섬웨어는 올해 초 처음 알려졌는데 취약점 공격도구의 쇠퇴 흐름에도 불구하고 GrandSoft Exploit Kit 이라고 명명된 신규 공격도구를 통해 국외에서 최초 유포가 되었다. 국내에서는 해당 공격도구는 사용 되지 않았고 스팸메일 형태로 지원서와 이미지 도용과 같은 내용이 포함된 메일에 첨부파일로 유포가 되었다. 이 유포 방식도 현재 계속 되고 있는 것으로 확인 되었다. 더불어 앞서 언급한대로 4월 초중순부터는 취약점 공격도구 (Magnitude Exploit Kit )를 이용하여 자신을 유포 한다.

다음은 1분기 랜섬웨어 샘플수량에 대한 Top10 비율이다. 작년 4분기에는 Cerber Locky 순으로 많은 비율을 차지 했다. 올해 1분기 Magniber 가 큰 비율을 차지 하고 있지만 4월 초중순경 드디어 종적을 감추었다. 동일한 취약점 도구로 유포된 Cerber 랜섬웨어가 19개월 동안 활동을 한 것과 달리 약 7개월간 활동 하는 것으로 그치고 말았다. 이 자리는 현재 GandGrab 에게 내주었고 해당 랜섬웨어는 이전 두 랜섬웨어들과 달리 더욱 교묘하게 자신의 유포에 대한 추적을 어렵게 하거나 실행을 감춘다.

[그림4] 20181분기 주요 랜섬웨어 Top 10 샘플 비율

랜섬웨어 신규 샘플이 감소하는 추세이지만 공격자의 국지적인 활발한 활동으로 알려진 랜섬웨어의 피해는 증가하는 양상으로 변모 하였다. 공격자는 우리나라 사용자를 노리고 있고 랜섬웨어를 바꿔가면서 계속 피해를 극대화 하려고 하고 있다. 이를 토대로 주요 국내 랜섬웨어 유포양식은 의뢰자가 원하는 설정으로 유포와 제작을 도와주는 RaaS (Ransomware-as-a-Service) 형태를 띄고 있는 것으로 추정된다. 공격자는 2년 넘게 온라인 광고를 통한 악성코드 유포와 동일한 공격도구와 취약점을 사용하고 있다. 신규 취약점을 도구에 적용한지는 얼마 되지 않았다. 이는 그 동안 오래된 취약점이 효과적으로 사용 되었다 라는 걸 의미 한다. 이 글을 읽고 있다면 지금이라도 늦지 않았다. 즉시 Internet Explorer Adobe 에 대한 보안 업데이트를 실행 해야 한다.

Posted by 분석연구팀

안랩 ASEC에서 2012년 6월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.30을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 6월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

악성코드, 당신의 계좌를 노린다

이메일로 시도되는 APT 공격 주의

문서 파일을 이용한 끊임없는 악성코드 유포

아래아한글 제로데이 취약점을 악용한 악성코드 - 1

아래아한글 제로데이 취약점을 악용한 악성코드 - 2

알려진 한글 취약점을 악용한 악성코드 유포

안랩 사칭한 광고 스팸 메일 주의

정부 기관에서 발송된 메일로 위장한 스팸 메일

FedEx Post Office 메일로 위장한 악성 스팸 메일

변형된 형태의 XML 코어 서비스 취약점 (CVE-2012-1889) 악용


2) 모바일 악성코드 이슈

zsone 안드로이드 악성코드 변종 발견

스마트폰 사진을 변조하는 악성코드

스마트폰 앱 이용할 땐 항상 주의하세요


3) 보안 이슈

IE 동일한 ID 속성 원격 코드 실행 취약점(CVE-2012-1875)

XML 코어 서비스의 취약점으로 인한 원격 코드 실행 문제점 (CVE-2012-1889)

XML 코어 서비스 취약점(CVE-2012-1889) 악용 증가


4) 2012년 상반기 보안 위협 동향

정보 유출 목적의 APT(Advanced Persistent Threat) 공격 증가

개인정보 탈취용 악성코드 지속

애플리케이션 취약점을 이용한 악성코드 기능

모바일 악성코드 유포 경로 다양화

PC와 모바일 동시 겨냥한 피싱 사이트 등장


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.30 발간


Posted by 비회원

안랩 ASEC에서 2012년 4월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.28을 발간하였다. 



이 번에 발간된 ASEC 리포트는 2012년 4월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

악성 DOC 문서를 첨부한 스피어 피싱 메일

북한 광명성 3호 발사 및 핵 실험을 주제로 한 악성코드

4.11 총선 이슈에 발견된 악성코드

런던 올림픽 개최를 이용한 악성코드

핵 안보 정상회담 PDF 문서로 위장한 악성코드

사회공학 기법을 이용하여 유포되는 악성 HWP 파일

국내 주요 금융기관 피싱 사이트 다수 발견

페이스북을 통해 유포되는 보안 제품 무력화 악성코드

보안 제품의 업데이트를 방해하는 Host 파일 변경 악성코드 주의

보안 제품 동작을 방해하는 온라인 게임핵 변종

Mac OS를 대상으로 하는 보안 위협의 증가

윈도우, Mac OS를 동시에 감염시키는 악성코드

자바, MS 오피스 취약점을 이용하여 유포되는 Mac OS X 악성코드

티베트 NGO를 타깃으로 하는 Mac 악성코드

낚시 포털 사이트를 통해 유포되는 온라인게임 계정 탈취 악성코드

스턱스넷 변형으로 알려진 듀큐 악성코드의 변형

스파이아이 공격 대상 기업들의 업종과 국가 분석


2) 모바일 악성코드 이슈

Another fake Angry birds


3) 악성코드 분석 특집

불필요한 옵션 사용으로 발생할 수 있는 스마트폰 보안 위협과 대응


4) 보안 이슈

윈도우 공용 컨트롤 취약점(CVE-2012-0158)을 악용하는 문서


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2012 Vol.28 발간


Posted by 비회원
안철수연구소 ASEC에서 2012년 2월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.26을 발간하였다. 

 
이 번에 발간된 ASEC 리포트는 2012년 2월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

1) 악성코드 이슈
 PC에 존재하는 모든 문서 파일을 탈취하는 악성코드
누군가 나를 지켜보고 있다? 웹캠으로 도촬하는 악성코드
가짜 KB국민은행 피싱 사이트 주의
스마트폰의 문자 메시지로 전달되는 단축 URL
특정 기관을 목표로 발송되는 발신인 불명의 이메일 주의
시리아 반정부군을 감시하기 위한 악성코드 유포
변형된 MS12-004 취약점 악용 스크립트 발견
MS11-073 워드 취약점을 이용하는 타깃 공격 발생
어도비 플래시 취약점 이용한 문서 파일 발견
wshtcpip.dll 파일을 변경하는 온라인게임핵 발견
윈도우 비스타, 윈도우 7을 대상으로 하는 온라인게임핵 악성코드 발견

2) 모바일 악성코드 이슈
안드로이드 애플리케이션에 포함된 윈도우 악성코드

3) 보안 이슈
국내 동영상 플레이어 프로그램의 취약점
아래아한글 스크립트 실행 취약

4) 악성코드 분석 특집
내가 설치한 앱이 악성코드라고?

 
안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 

ASEC 보안 위협 동향 리포트 2011 Vol.26 발간
Posted by 비회원
안철수연구소 ASEC에서 2012년 1월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.25을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2012년 1월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

MS12-004 윈도우 미디어 취약점을 악용한 악성코드 유포
스페이스와 탭을 이용한 자바스크립트 난독화 소스 출현
보안 제품의 업데이트를 방해하는 Hosts 파일 변경 악성코드 주의
내 하드디스크가 타버린다고? 불안심리를 자극하는 Hoax 악성코드
단축 URL을 이용해 트위터로 유포 중인 피싱 웹사이트
악성코드 버그로 인한 “응용 프로그램 초기화 오류”와 BSOD(Hard Disk) 발생
MADDEN NFL 12 로 위장한 악성 애플리케이션
일본 성인사이트에서 유포되는 악성 애플리케이
Hash Collision 공격을 통한 웹 서버 서비스 거부 공격(DoS)
HP LaserJet  펌웨어 관련 치명적 보안 취약점 발견

이 외에 악성코드 분석 특집으로 "모바일 악성코드 동향"을 포함하고 있다.
 

안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다 

ASEC 보안 위협 동향 리포트 2011 Vol.25
Posted by 비회원
안철수연구소 ASEC에서 2011년 12월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.24을 발간하였다. 

그리고 이번 호에서는 2011년 주요 보안 위협 이슈와 함게 2012년에 예상되는 보안 위협도 같이 포함되어 있다.


이 번에 발간된 ASEC 리포트는 2011년 12월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

김정일 위원장 사망을 이용한 애드웨어 유포

김정일 위원장 사망을 악용한 악성 전자 문서 파일 유포
국내 연예인 사생활 동영상으로 위장한 악성코드 유포
2012년 버전으로 위장한 허위 클라우드 백신
악성코드를 위한 안티바이러스 체크 웹 사이트
아크로뱃 제로데이 취약점을 악용한 타깃 공격
여러 가지 취약점을 이용한 제우스봇 전파 메일 발견
구글 안드로이드 마켓에 업로드된 악성 애플리케이션


안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다 

ASEC 보안 위협 동향 리포트 2011 Vol.24 발간 
Posted by 비회원
안철수연구소 ASEC에서 2011년 11월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.23을 발간하였다.


이 번에 발간된 ASEC 리포트는 2011년 11월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

DNS 서버 이상? BIND 제로데이
화학 업체를 대상으로 한 니트로 보안 위협
윈도우 커널 제로데이 취약점을 이용한 '듀큐' 악성코드
네트워크 분석기, 와이어샤크를 겨냥한 exploit
안드로이드 악성코드 FakeInst 변종 1600개로 급증
유럽을 타깃으로 제작된 안드로이드 악성 애플리케이션

안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다


ASEC 보안 위협 동향 리포트 2011 Vol.23 발간
 
Posted by 비회원
안철수연구소 ASEC에서 2011년 10월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.21을 발간하였다.


이 번에 발간된 ASEC 리포트는 2011년 10월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

* 10월 주요 보안 위협 이슈들

MySQL 사이트에 삽입된 악성 스크립트
스티브 잡스 사망 관련 메일로 위장한 악성코드
Smiscer Rootkit
QR 코드를 통해 감염되는 안드로이드 악성코드 발견
NETFLIX 위장 안드로이드 악성 애플리케이션
CVE-2011-2140 취약점을 이용한 악성코드 유포
플래시가 당신 컴퓨터의 웹 카메라와 마이크를 조종한다
리눅스 Tsunami DDoS 공격 툴의 맥 OS X 포팅
국내PC를 감염 목표로 하는 부트킷 상세 분석


안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다

 ASEC 보안 위협 동향 리포트 2011 Vol.21 발간
Posted by 비회원