악성코드에 해당하는글 46



웹브라우저와 플러그인을 공격경로로 삼는 이른바 맬버타이징(malvertising)이란 제3자 광고네트워크를 활용하여 정상적인 웹사이트를 통해 악성코드를 배포하는 사이버공격수법으로 근래 증가추세에 있다.


맬버타이징의 근본적인 문제는 광고 자체가 아니라 악성웹사이트로 이어지는 링크 클릭만으로 시스템에 위험을 야기할 수 있는 취약한 소프트웨어에 있다. 따라서 웹에서 광고를 모두 없앤다고 해서 이 문제가 해결되는 게 아니다. 웹사이트 해킹은 흔한 일이며 애드블록(adblock)과 같은 광고차단 확장프로그램이 있으면 안전하다는 식의 사고방식은 오류다.



웹브라우저와 플러그인의 취약성


사이버공격수법의 유형은 크게 두 가지가 있다. 사용자가 악성코드를 다운로드하여 실행하도록 유도하는 방식 그리고 웹브라우저와 플래시 플러그인, 자바 플러그인 등 관련 소프트웨어를 공격하는 방식이다. 두 번째 방식을 보면 제로데이 공격이나 보안패치 미비로 인해 시스템이 취약한 상태라면 악성코드가 설치된 웹페이지를 방문하기만 해도 시스템에 대한 침입 및 감염이 가능해진다. 이러한 공격은 주로 악성 플래시 오브젝트나 자바 애플릿을 통해 이루어진다.



맬버타이징 바로 위와 같은 웹브라우저 또는 플러그인의 취약점을 이용하는 수법이며 다만   악성웹사이트 방문을 유도하는 대신 광고네트워크를 악용하여 악성 플래시 오브젝트 등 악성코드를 여러 웹사이트로 유포한다. 사용자 소프트웨어의 취약점을 악용하여 정상적인 사이트에서도 감염이 가능하도록 수법으로 사용자를 악성웹사이트로 끌어들일 필요가 없다는 특징이 있다. 공격자는 실제 광고를 배포하듯 광고네트워크에 돈을 내고 악성 플래시 오브젝트 등 악성코드를 유포시킨다. 광고가 게재된 웹사이트를 방문하면 광고 스크립트가 광고 네트워크를 통해 광고를 다운받게 된다. 이 광고가 위에서 설명한 악성광고일 경우 웹브라우저 공격을 시도하게 된다. 실제로 악성 플래시광고가 야후 광고네트워크를  통해 공격을 실행한 사례가 있기도 하다.



맬버타이징 방지요령


플러그인 수동실행(click to play) 설정: 플러그인이 수동실행되도록 설정하면 플래시나 자바 오브젝트가 들어간 웹페이지를 방문할 때 클릭하지 않는 한 플러그인은 실행되지 않는다. 맬버타이징은 대체로 이들 플러그인을 활용하기 때문에 이 설정만으로도 대부분의 맬버타이징 공격을 차단할 수 있다.



MalwareBytes Anti-Exploit 취약점악용방지 솔루션: 이 소프트웨어는 안티바이러스와는 약간 다른 방식으로 작동하는데 웹브라우저를 모니터링하면서 브라우저 취약점악용 수법을 포착할 경우 이를 자동으로 차단한다. 프리웨어로 안티바이러스와 같이 구동될 수 있으며 상당수의 브라우저 및 플러그인 취약점악용 그리고 일부 제로데이 공격까지 차단할  수 있다. 또한 마이크로소프트 EMET 솔루션에 비해 사용하기 편하다는 장점이 있다.



자바 등 불필요 플러그인 차단 또는 삭제: 브라우저 플러그인을 사용하지 않는다면 아예 삭제하는 게 좋다. 이는 사용자가 사이버공격에 노출되는 평면을 감소시키는 효과가 있다. 사실 요즘은 자바를 사용하는 웹사이트도 얼마 없고 마이크로소프트 실버라이트 또한 많이 쓰이지 않는 등 굳이 플러그인이 필요한 경우가 많지 않기도 하다. 한편 브라우저 플러그인을 기본적으로 차단하고 플러그인이 필요한 웹페이지에 대해서만 다른 웹브라우저를 사용하는 방법도 있다. 플래시와 자바 플러그인만 없애도 맬버타이징 공격 가능성을 대폭 낮출 수 있다.


플러그인 및 웹브라우저 업데이트: 현재 사용하고 있는 플러그인은 언제나 업데이트 상태를 최신으로 유지해야 한다. 구글 크롬이나 마이크로소프트 엣지 그리고 윈도 8 이상 OS의 인터넷익스플로러는 플래시를 자동으로 업데이트한다. 윈도 7 이하 OS의 인터넷익스플로러, 파이어폭스, 오페라, 사파리 브라우저의 경우 플래시 업데이트를 자동으로 설정해야 한다(2015년 9월 기준). 웹브라우저 또한 업데이트를 최신으로 유지해야 하며 오늘날의 웹브라우저들은 대체로 자동 업데이트되므로 따로 자동업데이트 기능을 막지만 않으면 별 문제가 없다. 인터넷익스플로러의 경우 윈도우 업데이트 설정만 자동으로 해 두면 된다.





Chris Hoffman, What is Malvertising and How Do You Protect Yourself?, 9. 1. 2015.

http://www.howtogeek.com/227205/what-is-malvertising-and-how-do-you-protect-yourself/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 20. 13:57



게시일: 2016-07-14 l 작성자: Janus Agcaoili (Threat Response Engineer)

유럽에서 오래 전부터 활동해오던 뱅킹 트로미목마 ‘베블로(BEBLOH)’가 일본까지 확산되며 활발한 활동을 벌이고 있는 것이 확인되었습니다. 사이버 범죄자들은 현지 ISP 제공회사, 유사 홈페이지 주소 등 일본 회사의 브랜드명을 이용하여 사용자들이 멀웨어를 다운받도록 유도합니다. 해당 멀웨어를 다운받을 브라우저, FTP 클라이언트, 메일 클라이언트 감시를 통한 정보 탈취가 가능해집니다. 베블로의 주요 타겟은 바로 지역 은행입니다.

베블로는 2009년도에 처음 등장하여, ‘제우스(Zeus)’와 ‘스파이아이(SpyEye)’ 같은 경쟁자를 이겨내고 현재까지 살아남았습니다. 베블로는 피해자가 알지 못하는 사이에 은행 계좌에 접근하여 돈을 탈취합니다. 베블로는 안티바이러스 프로그램을 우회하기 위한 새로운 방법을 지속적으로 개발해왔습니다. 이번 경우도, 베블로는 메모리에 숨어 시스템 종료 시 임시 실행파일을 만든 후 PC를 재감염 시킨 후 해당 파일을 삭제합니다.


일본 현지 상황

전세계적으로 스팸메일을 통한 랜섬웨어 감염이 다수 발생하는 반면, 일본 현지에서 확인되는 스팸메일을 통한 멀웨어 감염은 온라인 뱅킹 트로이목마가 대다수입니다. 일본 경찰청에서 2016년 3월 발표한 보도자료에 따르면 이러한 온라인 뱅킹 트로이목마의 표적이 되는 은행 및 금융기관은 주요 시중 은행이 아닌 지역 은행과 신용 조합입니다. 이 자료에 따르면, 피해액이 사상 최대 금액인 약 26억 4,600만엔(약 2,580만 달러)에 달했으며, 베블로의 활동이 추가되며 일본의 뱅킹 트로이목마 피해는 더욱 커질 것으로 추정하고 있습니다.

트렌드마이크로는 2015년 12월부터 베블로의 일본 활동을 탐지하고 있습니다. 당시 324건의 탐지 수에 비해, 위 경찰청 2016년 3월 자료에서는 탐지 수가 약 2,562로 증가한 것을 확인할 수 있습니다.


모두가 공격 대상

베블로의 공격 대상은 엔드유저 뿐만 아니라 기업 직원도 포함합니다. 공격자가 보낸 스팸메일은 회사 및 개인 메일 계정에 발송되었습니다. 개인 계정으로 보낼 경우 대출, 쇼핑, 택배 등과 같은 개인 관심사 내용을 포함하며, 회사 계정으로 보낼 경우 이력서 등의 내용으로 꾸며집니다. 그렇기 때문에 확산과 감염이 빠르게 이루어지고 있습니다.

번역: 본 이메일은 보안을 강화하기 위한 전자 서명이 포함되어 있습니다. 
2016년 3월 3일 송금이 완료되었음을 알려드립니다. 
전자서명(전자서명)

번역: “전체 레코드 이미지"

그림 1. 개인 및 회사에 보내진 스팸메일 샘플

새로운 공격방법

베블로는 패커를 신속하게 자주 변경합니다. 베블로의 일부 버전에서는 자신이 생성한 프로세스에서 실행 파일을 암호해제하는 버전과 자신의 메모리에 해독한 후 explorer.exe 또는 iexplorer.exe등의 정규 프로그램에 자신의 코드를 대체하는 버전이 확인되고 있습니다. 그렇기 때문에 패커의 업데이트 속도에 따라가지 못하는 보안 제품에서는 탐지하지 못합니다.

베블로가 설치되면 C&C (Command and Control)서버에 접속하여 웹 인젝션(Web Injection) 설정 다운로드 등의 과정을 실행합니다. 앞서 언급한 바와 같이, 베블로의 정보 탈취 기능으로 피해자의 은행 계좌를 약탈할 수 있습니다.

또한 다운로드 되는 악성 프로그램은 브라우저, FTP 및 메일 클라이언트를 감시하는 스파이웨어 TSPY_URSNIF 로 확인되었습니다. 스파이웨어 이외에도 베블로는 스팸봇 멀웨어인 BKDR_PUSHDO 또한 다운로드 합니다.

C&C 서버와의 통신 중 다운로드에서 사용하는 URL이 C&C 서버의 응답에 따라 변경된다는 것을 발견하였습니다. 당사 보유한 샘플은 독립된 3일 동안 3가지 URL이 사용되고 있는 것을 확인하였습니다. URL 응답은 암호화되어 있습니다. 하지만 암호해제 될 경우 “CV {value}/r/n>DI/r/n>LD {URL}” 형식을 이용하는 것을 확인할 수 있습니다.

그림 2. C&C 서버 통신 암호해제

이번 베블로는 지역 은행, 신용 조합, 온라인 은행 및 주요 시중 은행을 포함한 일본 17개 은행과 금융기관을 감시하고 있습니다. 소규모 은행을 대상으로 함으로써 공격자는 공격 활동이 알려지지 않고 조용히 지나가는 것을 기대합니다. 또한 중소규모의 은행은 보안 대책이 충분하지 않은 경우가 많기 때문에 공격자의 표적이 된 것으로 파악하고 있습니다.

트렌드마이크로의 이메일 보안 솔루션인 Deep Discovery Email Inspector는 차세대 탐지 기술을 이용하여 사용자가 악성 첨부파일을 다운로드하거나 실행하지 않도록 스피어피싱 이메일을 탐지 및 차단합니다. 마크로 멀웨어 문서 파일, PDF, 실행파일, 스크립트 등과 같은 악성 첨부파일을 차단할 수 있으며, 본문 또는 제목에 포함된 악성 URL 및 첨부 문서에 기록된 URL을 탐지하여 차단합니다.


원문: BEBLOH Expands to Japan in Latest Spam Attack




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


일본에서 유행 중인 뱅킹 트로이목마 ‘베블로(BEBLOH)’, 이메일 보안이 답이다!

https://www.trendmicro.co.kr/kr/blog/bebloh-expands-japan-latest-spam-attack/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 20. 12:52



게시일: 2016-06-27 l 작성자: Michael Miley

트렌드마이크로의 인터넷 시큐리티 10는 2016년 1~2월 시행된 AV-TEST 최우수 제품 인증에 이어, 올해 두 번째로 AV-TEST에서 최우수 제품 인증을 획득했다. 2016년 3~4월에 시행된 본 평가에서 트렌드마이크로는 22개 제품과 경쟁하였다. 트렌드마이크로의 인터넷 시큐리티를 사용하는 고객은 PC의 성능저하 없이 최고의 보안을 적용할 수 있다.

리포트에 의하면, 인터넷 시큐리티는 다양한 시나리오의 악성 웹과 이메일 위협에 대한 100% 차단을 구현했으며, PC의 성능과 사용성을 저하시키지 않았다.
보안 구현, 성능, 사용성에 대한 자세한 결과는 하단 표를 통해 확인할 수 있다. 데스트 결과에 대한 세부 사항은 AV-TEST 기관 웹사이트에서 확인할 수 있다.

표1. 보안 구현 – 멀웨어 감염으로부터 보호(바이러스, 웜, 트로이목마 등). 트렌드마이크로 인터넷 시큐리티 10. (출처: AV-TEST Product Review and Certification Report – March-April/2016)

표2. 성능 – 일별 컴퓨터 속도에 미치는 평균 영향치. 트렌드마이크로 인터넷 시큐리티 10. (출처: AV-TEST Product Review and Certification Report – March-April/2016)

표3. 사용성 – 보안 소프트웨어가 컴퓨터 전체 시스템에 미치는 사용성 (수치가 낮을수록 좋은 평가) 트렌드마이크로 인터넷 시큐리티 10. (출처: AV-TEST Product Review and Certification Report – March-April/2016)

리포트: 트렌드마이크로 인터넷 시큐리티는 웹 위협을 100% 차단

트렌드마이크로는 당사의 인터넷 시큐리티 10 (2016)이 4월 시행된 AV-TEST의 “Whole-Product Dynamic Real-World Protection Test”에서 웹 위협을 100% 차단한 것을 자랑스럽게 생각한다. 테스트에서 사용된 368개의 악성 URL은 실제 사용자가 온라인 활동 중 맞닥뜨릴 수 있는 웹 위협이다. 트렌드마이크로는 테스트 URL 을 100% 차단했으며, 하단 그래프에서 결과를 확인할 수 있다. 전체 테스트 결과는 여기에서 확인할 수 있다.

그림1. Real-World Protection Test 결과, 2016년 4월 (출처: AV-Comparatives Factsheet April 2016, Real-World Protection Test)

원문: AV-TEST: Trend Micro™ Internet Security Two-Time Winner




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


트렌드마이크로 인터넷 시큐리티 10, 2016년 연속 2번 AV-TEST 최우수 제품 인증 획득

https://www.trendmicro.co.kr/kr/blog/av-test-trend-micro-internet-security-two-time-winner/index.html



참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 19. 13:07



최근 발견된 랜섬웨어는 Troj/Ransom-DJC 일반적인 여타 랜섬웨어와는 확연히 다른 차이점이 있다. 위 그림과 같이 랜섬웨어에 의해 금전지불 웹페이지가 열렸을 때 돈을 내지 않고 제출(submit)을 클릭하면  웹페이지 왼쪽 하단의 메시지가 다음과 같이 변한다.




이 때 랜섬웨어가 작동한 이후 시스템에 보관된 중요 문서파일이 실제로 사라졌음을 볼 수 있다. 이는 파일을 암호화시키는 데서 그치지 않고 하나씩 삭제하기까지 하여 피해자에게서 기어이 돈을 받아내려는 수법이라고 볼 수 있다. 이 랜섬웨어가 요구하는 금액이 약 달러에 0.2BTC, 130 달러에 불과하여 랜섬웨어 금전요구의 일반적인 시세인 300~500달러에 훨씬 못 미친다는 점도 흥미롭다.




이제 이 신종 랜섬웨어를 극도로 태만하다는 의미를 가진 "boneidleware"이라고 부른다 .이 랜섬웨어는 파일을 암호화하지 않고 삭제시켜 버린다. 그렇기 때문에 돈을 지급하는 건 아무런 의미가 없다. 2012년 하반기 CryptoLocker 랜섬웨어가 등장한 이래 랜섬웨어는 적어도 돈을 지불하면 파일을 복구해준다는 일종의 불문율이 있었지만 boneidleware 이러한 틀마저 무시해 버린다. 이하에는 boneidleware에 국한되지 않는 랜섬웨어 전번에 대한 방지요령을 요약 소개한다.


• 자바스크립트 첨부물(확장자: .js)은 메모장(Notepad)으로 연다.

• 파일확장자 기만을 피하기 위해 파일확장자가 보이도록 설정한다.

• VBA 맬웨어를 방지하기 위해 인터넷에서 받은 문서파일에 대한 오피스 매크로 기능을 해제한다.


<참고: 랜섬웨어 차단 AVG 안티바이러스>




Paul Ducklin, Ransomware that demands money and gives you back nothing!, 7. 13. 2016.

https://nakedsecurity.sophos.com/2016/07/13/ransomware-that-demands-money-and-gives-you-back-nothing/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 18. 15:16

최근 수많은 오피스365 사용자들이 제로데이공격의 피해를 받은 사례가 보고됐으며 그 배후에는 올해 초에 발견된 Cerber 랜섬웨어의 신형 변종이 있었다. 최근 독버섯처럼 번지고 있는 다른 제로데이 위협과 마찬가지로 이 변종 랜섬웨어 역시 오피스 매크로의 취약점을 악용함으로써 감염을 실행한다여기에서는 역설계(reverse engineering) 기법과 ThreatTrack 최신 맬웨어분석 샌드박스 솔루션 ThreatAnalyzer 6.1을 통해 본 Cerber 랜섬웨어 변종을 분석한 결과를 소개한다.


<참고: ThreatAnalyzer 맬웨어분석 샌드박스>

 

 

분석과정

 

역설계 기법은 분석대상이 어떤 목적을 가지고 행동하는지에 대한 보다 종합적인 판단이 요구된다. 어떤 맬웨어 샘플을 분석하거나 혹은 난독화(obfuscate)된 코드에서 어떤 함수가 무슨 기능을 하는지 알아내려 할 때 상세한 내용을 조사하기에 앞서 분석대상이 풍기는 전반적인 분위기를 포착할 수 있어야 한다.

 

ThreatAnalyzer는 샌드박스 솔루션으로 프로그램, 파일, URL을 통제 및 감시되는 환경 내에서 실행하고 이에 대한 상세보고서를 생성하여 연구분석 인력이 해당 샘플의 정확한 행동양상을 판단할 수 있도록 돕는 역할을 한다. 샌드박스는 피해징후(indicator of compromise, IOC)를 빠르게 포착하기 위한 위협정보 생성에 적합한 솔루션이다ThreatAnalyzer 6.1ThreatTrack이 선보이는 최신 샌드박스로 행동탐지 메커니즘을 내장하여 대상 샘플의 전체적인 행동양상을 판단하고 이러한 행동양상을 토대로 해당 샘플이 악성인지 무해한지 예측할 수 있다.

 



위 그림을 보면 ThreatAnalyzer 6.1이 본 샘플에 대해 다음과 같은 중요 정보를 생성했음을 볼 수 있다.

 

1. 3개 항목에 따라 대상샘플을 악성으로 판단

(1) ThreatTrack 통합 위협정보 데이터베이스 ThreatIQ 관측결과 대상샘플이 차단된 URL에 접근 시도

(2) 1개 이상의 안티바이러스 엔진이 대상샘플을 감지

(3) 대상샘플의 행동양상 판단결과 악성일 가능성이 높음

2. 레지스트리 변경, 파일 입출력(IO), 네트워크 접근시도와 이에 따른 프로세스 내용을 분석가/사용자에게 제공

3. 분석결과 수집된 상세정보를 다운로드 가능한 PDF 또는 XML 형식 보고서로 생성. 사용자는 선택에 따라 상세보고서, 생성된 중요파일, 새롭게 열린 창에 대한 스크린샷, 네트워크 활동내역을 기록한 PCAP 파일 사본 등이 포함된 자료를 다운받을 수 있다.

 

ThreatAnalyzer는 사용자가 분석한 샘플에 대한 상세보고서를 XML, JSON, PDF 형식으로 제공한다. 여기에는 생성된 프로세스, 생성/변경/접근된 파일, 변경된 레지스트리, 생성된 오브젝트, 네트워크 접속내역 등의 내용이 포함된다.

 

본 샘플에 관련된 XML 파일을 상세히 살펴보면 다음과 같은 활동내역을 볼 수 있다.

WINWORD.EXE 프로세스 생성(분석과정에서 DOTM 파일을 주입했으므로 예상된 결과), 프로세스 트리를 보면 생성된 프로세스는 다음과 같다,/

exe

exe

임의의 이름이 지정된 VBS 파일을 %appdata% 디렉토리에 다음과 같이 생성 - %appdata%\15339.vbs

VBS 파일을 요청하는 cmd.exe 프로세스 생성

exe /V /C set “GSI=%APPDATA%\%RANDOM%.vbs” (for %i in (“DIm RWRL” “FuNCtioN GNbiPp(Pt5SZ1)” “EYnt=45” “GNbiPp=AsC(Pt5SZ1)” “Xn1=52” “eNd fuNCtiON” “SUb OjrYyD9()”

다음 URL에 대한 접속 시도

httx://solidaritedeproximite.org/mhtr.jpg

임의의 이름이 지정된 .TMP 파일을 %appdata% 디렉토리에 생성하고 실행 - 해시값: ee0828a4e4c195d97313bfc7d4b531f1

 

이상의 분석결과는 단순한 오피스 문서파일에 대한 분석결과임을 볼 때 대단히 수상한 행동양상에 해당하며 이를 정상이라고 판단하기는 어렵다그러므로 원래 아는 사람이나 기관이 보낸 첨부물이라 해도 조금이라도 의심이 되는 경우라면 본 시스템에 받기에 앞서 ThreatAnalyzer와 같은 샌드박스를 통해 실행시켜 보는 게 좋다.

 

 

역설계


 


본 랜섬웨어의 코드를 분석해 보면 오피스 365 외에 오피스 2007 이상 버전에서도 작동함을 알 수 있다. 악성 오피스 첨부물을 열 경우 Document_Open 함수 내부의 매크로가 자동 실행된다. 다만 이는 매크로가 허용된 경우, 혹은 이전 버전의 오피스에서는 보안수준이 낮음으로 설정된 경우에만 해당된다. 또한 Cerber 매크로 변종의 각 연산은 난독화돼 있는데 이는 분석과정을 지연시키고 기존 안티바이러스의 시그내쳐 탐지를 우회하려는 수법일 가능성이 높다.


 

자동 실행된 매크로는 %appdata%VBS 스크립트를 생성하게 된다. VBS 파일 또한 난독화 처리됐으나 암호화되진 않았다여기에서 행동탐지를 회피하려는 의도가 있을 수도 있고 없을 수도 있는 흥미로운 행동양상이 관측된다. 매크로는 Timer 함수를 통해 임의의 정수가 생성하고 이를 자체 생성한 변수와 비교하는데 이는 코드가 암호화 구성요소를 다운로드하는 시점을 결정하게 된다. 그리고 나서 VBS 내장 네트워크 기능을 통해 원격서버에 접속하여 다음 파일의 다운로드를 시도하게 된다. 위 파일은 단순한 JPG 파일이라서 무해해 보일 수도 있지만 위 VBS 코드를 보면 이 JPG 파일의 내용을 %appdata%.TMP 형식으로 저장하고 실행시킨다는 점을 알 수 있다. 이 수법은 사실 오래 전부터 다른 맬웨어가 이미 사용했던 구식 수법이라서 이목을 끈다.

 


다은로드된 구성요소의 MD5 해시값: ee0828a4e4c195d97313bfc7d4b531f1 


이 파일은 Cerber 랜섬웨어의 암호화 구성요소로 피해대상 시스템의 목표파일을 스캔 및 암호화한다. 이 구성요소에 대한 전체 분석결과는 별도의 글에서 다룬다. 흥미로운 점은 이렇게 다운로드된 Cerber 실행파일이 인터넷 연결이 끊어진 경우에도 파일 암호화를 실행한다는 데 있다. EXE 내부 코드를 보면 CrytoWall, Locky, Teslacrypt 등 다른 랜섬웨어와 달리 파일 암호화를 위해 원격서버에 접속하려는 시도를 하지 않는다는 점을 알 수 있다.

 

시스템 감염이 완료되면 바탕화면에 아래 그림과 같은 메시지가 표시된다.


 

그리고 웹브라우저를 통해 아래 그림과 같이 메시지가 표시된다.


 

그리고 로봇 음성을 통해 “your documents, photos, databases, and other important files have been encrypted” 라는 메시지를 재생하기도 한다.

 

 

감염과정 요약

1. 악성 오피스 첨부물을 포함한 스피어피싱 메일 도달

2. 사용자가 이메일을 열고 첨부물을 실행시켰을 때 오피스 매크로가 허용된 상태라면 매크로를 실행되어 별도의 VBS 스크립트가 생성됨

3. 스크립트가 원격서버에 접속하여 Cerber 랜섬웨어 암호화 구성요소를 다운받아 실행시킴

4. 사용자 파일을 스캔하고 암호화

5. 사용자 시스템이 Cerber에 감염됐다는 메시지 표시


 

 


ThreatTrack Security Labs, A Look at the Cerber Office 365 Ransomware, 7. 13. 2016.

https://blog.threattrack.com/closer-look-cerber-office-365-attack/

 

번역: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 15. 15:44



근래 출시된 증강현실 모바일게임 포켓몬고(Pokemon Go)의 인기가 뜨겁다. 게임의 인기와는 대조적으로 막상 게임이 정식 출시된 국가는 몇 안 되며 따라서 게임을 즐기기 위해 구글 플레이나 애플 앱스토어 등 정식 채널이 아닌 다른 경로를 통해 게임을 구하려는 시도가 많아질 수 있다.

 

이는 보안 측면에서 문제가 될 수 있는데 물론 구글 플레이나 구글 플레이스토어 역시 맬웨어 위협이 완전히 없다고 할 수는 없지만 적어도 외부 앱마켓에 비해서는 상대적으로 안전한 편이다. 반면 구글의 심사를 거치지 않고 누구나 무슨 앱이든 등록할 수 있는 외부 앱마켓을 통한 앱 다운로드는 그 안전을 보장하기 어렵다. 실제로 포켓몬고 정식 앱을 해킹하여 맬웨어를 주입한 악성앱으로 개조한 사례가 벌써 발견되는 등 포켓몬고의 인기가 사이버범죄에 악용되기 시작했다.


 

 

포켓몬고 악성코드

 

여기에서 소개하는 포켓몬고 위장 악성앱은 안드로이드 스파이웨어/RAT/봇툴킷 등을 통해 겉으로는 정상적으로 작동하면서 원본 앱과 똑같아 보이지만 내부에 악성코드를 숨기고 있다. 이 맬웨어에는 2014년 밝혀진 원격제어툴 SandroRAT의 이름에서 따온 Andr/SandRat-C라는 이름이 붙여졌다.

 

참고: 스파이웨어(spyware)란 사용자의 전화통화, 문자메시지, 웹브라우징 등 온라인활동 정보를 탈취하는 맬웨어를 의미한다. RAT는 원격접속 트로이목마(remote access Trojan)의 약자로 주로 사용자의 웹캠을 해킹하는 맬웨어를 가리킨다. (bot)은 좀비(zombie)라고도 하는 원격제어툴로 공격자는 이 맬웨어가 설치된 다수의 감염기기 전체에 일괄적으로 명령을 전송하여 데이터탈취, 메시지 대량전송, 트래픽 과부하에 의한 디도스(분산서비스거부; distributed denial of service, DDoS) 공격 실행 등을 행할 수 있다.

 

여기서 심각한 문제는 사용자가 이 악성앱을 정식 앱과 구분해 낼 수 있는가이다. Andr/Sandrat-C는 유명한 앱의 겉모양과 행동양상을 모방하여 사용자를 혼동시키는 수법에 머무르지 않고 정식 앱 자체에 백그라운드 구동 스파이웨어 코드만 주입하고 나머지는 그대로 뒀기 때문에 정식 앱을 모방한 게 아니라 동일하게 구현하되 내부에 약간의 변형만 가한 경우에 해당한다. 아래 그림을 보면 정식 앱과 악성 앱의 차이점은 전혀 발견되지 않는다.


 

Andr/SandRat-C의 정체는 바로 정식 앱과는 달리 백그라운드에서 구동되는 악성기능이 다양하게 들어간 데서 발견할 수 있다. 이들 기능은 보안승인을 필요로 하지만 이러한 승인절차는 실질적으로 효과적인 보안대책이 될 수 없다. 왜냐하면 정식 포켓몬고 앱의 경우 카메라, 마이크, 위치정보, 외부저장소에 대한 접근을 요청하는데 Andr/SandRat-C보다 악성기능이 다소 제한되는 스파이웨어 트로이목마 또한 동일한 수준의 접근만 승인받아도 제 기능을 할 수 있기 때문이다.


 

Andr/SandRat-C를 디컴파일링하면 정식 포켓몬고 앱과 비교하지 않는다 해도 악성임을 알 수 있다. 아래 그림의 droidjack 항목의 추가요소들은 그 이름이 제시하는 대로의 기능을 수행한다. 하지만 이들 기능이 작동하기 위해 요구하는 승인은 정식 포켓몬고 앱과 비교하여 별 차이가 없기 때문에 안드로이드 개발자 툴을 보유한 사용자조차도 악성코드를 포착하기가 쉽지 않다.


 

특히 정교하게 설계된 스파이웨어는 추가기능이 많지 않고 여기에 이름도 그럴듯하게 붙일 수 있으며 기존의 정상 앱에 추가 코드를 패치로 주입하는 방식을 사용하기 때문에 어플리케이션 패키지에서는 악성코드임을 바로 알아내기 어렵다. 이를 뒤집어 생각해 보면 정식 포켓몬고 앱의 몇몇 구성요소는 전문가 입장에서도 수상해 보이는 부분이 없지 않다. 특히 프로그래밍 환경에서 구성요소에 기이한 이름을 붙이는 경우가 적지 않기 때문에 맬웨어 구성요소 또한 약간의 위장만으로도 자신의 정체를 손쉽게 숨길 수 있는 것이다.




 

 

대처방안

알려지지 않은 앱은 사용하지 않음: 아직 사용자층이 거의 없고 피드백도 빈약한 앱은 사용하지 않도록 한다.

구글 플레이 사용: 구글 플레이 역시 약점이 없다고는 할 수 없지만 그래도 정체불명의 앱이 난무하는 비공식 안드로이드 마켓보다는 안전한 편이다.

안드로이드 안티바이러스 사용: 악성앱이나 신원불명의 앱을 자동으로 차단할 수 있는 모바일보안 솔루션을 사용한다.

업무용 휴대폰 중앙제어: 모바일제어 솔루션을 통해 업무용 휴대전화에 어떤 앱을 허용할지의 여부를 제어할 수 있다.

 

 


Paul Ducklin, Fake Pokémon GO app watches you, tracks you, listens to your calls, 7. 12. 2016.

https://nakedsecurity.sophos.com/2016/07/12/fake-pokemon-go-app-watches-you-tracks-you-listens-to-your-calls/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 15. 15:01



게시일: 2016-06-23 l 작성자: Trend Micro


보안 소프트웨어 및 솔루션의 글로벌 리더 트렌드마이크로는 급증하는 랜섬웨어에 대비하여 기업 고객과 개인 사용자를 보호하기 위한 랜섬웨어 캠페인을 시작하였습니다.

트렌드마이크로는 지난 6개월 간 약 1억 건 이상의 랜섬웨어 공격을 방지했으며, 그 중 99%는 웹과 이메일을 통한 공격으로 분석하였습니다. 당사는 랜섬웨어 공격의 증가와 그 영향력을 인지하며, 고객들이 이에 적극적인 보안 조치를 취할 수 있도록 다음과 같은 포괄적인 랜섬웨어 방어 대책을 구성하였습니다.

  • 랜섬웨어 방어 대책: 기업 규모와 무관하게 기업의 보안 취약점을 조사하여 알맞은 보안 대처를 제안
  • 랜섬웨어 복구 툴: 랜섬웨어에 감염된 개인 및 고객이 데이터를 복구할 수 있도록 복구 툴 제공
  • 제품 기능 향상: 4단계의 다층 보안을 적용하여 랜섬웨어를 방어하고, 전사적인 랜섬웨어 가시성 제공

에바 첸(Eva Chen) 트렌드마이크로 CEO는 “트렌드마이크로는 랜섬웨어 위협을 분석하고 이에 맞서 싸우기 위한 노력을 지속하고 있습니다” 라고 전했습니다. “이러한 사이버 공격이 사회에 만연할 경우, 기업 생산성이 저하되며, 기업 가치 하락과 비용 부담을 초래한다는 것을 알고 있습니다. 트렌드마이크로의 기업 및 개인 보안 제품은 랜섬웨어에 최적화된 방어를 구성합니다. 당사 랜섬웨어 복구 툴과 핫라인은 트렌드마이크로 위협 전문가들의 상시 지원을 통해 고객이 랜섬웨어 공격에 대응하고, 감염 시 빠르게 대처할 수 있습니다.”


대기업을 위한 랜섬웨어 보안

랜섬웨어에 대한 100% 방어는 보장할 수 없습니다. 하지만 최대의 방어를 구사하기 위해 트렌드마이크로는 4단계의 다층 보안을 제안합니다.

  • 이메일: 트렌드마이크로는 랜섬웨어를 운반하는 가장 대중적인 방법인 스피어피싱 이메일과 메일에 포함된 첨부파일, URL을 검사하여 기존 이메일 게이트웨이보다 심화된 이메일 보안을 제공합니다.
  • 엔드포인트: 트렌드마이크로는 랜섬웨어 감지와 차단을 위한 차세대 엔드포인트 보안을 제공합니다. 패치 되지 않은 취약점 보호, 애플리케이션 관리, 동작 모니터링 등의 기능을 통해 다량 파일의 빠른 암호화와 같은 랜섬웨어 특유의 행동을 파악하고 감지 및 차단합니다.
  • 네트워크: 트렌드마이크로는 네트워크 전방위적 모니터링, 모든 트래픽, 포트, 프로토콜에 대한 커스텀 샌드박스를 통해 랜섬웨어의 침투와 확산을 방지합니다.
  • 서버: 트렌드마이크로는 의심스러운 행위 탐지 및 방지, 알려진 서버 소프트웨어의 취약점 공격 방지를 위한 가상 패치 기능, 그리고 랜섬웨어가 다른 서버에 확산하지 못하도록 측면이동 탐지를 통해 물리〮가상〮클라우드 서버를 랜섬웨어로부터 보호합니다.

“트렌드마이크로는 업계 리더십을 발휘하여 더 강력한 솔루션으로 랜섬웨어에 대응하기 위한 새로운 도약을 하고 있다. 랜섬웨어와 싸우고 있는 기업과 개인 고객을 위한 통합적인 솔루션, 고객 핫라인, 그리고 제품 기능 향상을 통해 전세계 고객들에게 심화된 보안을 제공하고 있다.”라고 RNDC IT 인프라 국장 존 딕슨 (John Dickson)은 전했습니다.

트렌드마이크로는 기업의 이메일, 악성 URL, 네트워크 또는 서버 침투를 통해 공격하는 랜섬웨어에 대한 중앙집중적 가시성을 제공합니다. 따라서, 보안 취약점을 빠르게 찾아내서 해결할 수 있으며 기업의 전반적인 보안을 향상시킬 수 있습니다.

“가장 중요한 것은, 다층 보안을 설계하는 것입니다.” 라고 ESG 사이버보안 전문 분석연구가 더그 카힐 (Doug Cahill)은 전했습니다.” 트렌드마이크로는 확장된 보안 관리를 통해 기업이 랜섬웨어에 가시성을 확보하고 어떤 영향을 주고 있는지 확인할 수 있습니다. 이를 통해 기업은 보안이 취약한 부분을 파악하여 보완할 수 있습니다. 랜섬웨어 공격의 복합성과 교묘함에 대한 심도 깊은 이해를 통해 지속적인 위협에 대처할 수 있는 전문성을 갖추었습니다.”


중소기업을 위한 랜섬웨어 보안

기업의 규모가 작더라도 랜섬웨어의 위협에서 안전하지 않습니다. 트렌드마이크로의 Worry-Free 비즈니스 시큐리티 서비스는 다음과 같은 기능으로 랜섬웨어를 방어합니다.

  • 이메일: 멀웨어 스캐닝(Malware Scanning), 웹 검증, 샌드박스 분석을 통해 악성 이메일, 첨부파일, URL을 감지하여 차단합니다.
  • 엔드포인트: 대량 파일의 빠른 암호화와 같은 랜섬웨어 특유의 행동을 파악하는 동작 모니터링 등의 랜섬웨어에 최적화된 엔드포인트 보안을 제공합니다.

Worry-Free 비즈니스 시큐리티 서비스는 중소기업을 위한 클라우드 기반 솔루션으로서, 간편하지만 운용이 편리합니다.


개인 사용자를 위한 랜섬웨어 보안

악성 웹사이트, 스팸 메일, 기타 멀웨어를 통해 소중한 파일과 사진이 랜섬웨어에 감염될 수 있습니다. 트렌드마이크로 맥시멈 시큐리티 10 또는 인터넷 시큐리티 10은 개인 또는 가정 사용자를 위한 최적의 랜섬웨어 방어를 구현합니다.


트렌드마이크로 회사 소개

트렌드마이크로는 글로벌 보안 소프트웨어 리더로써, 디지털 정보 교환이 안전하게 이루어지는 세상을 지향합니다. 27년의 역사를 지닌 트렌드마이크로는, 개인고객과 기업 및 정부 기관의 모바일 기기, 엔드포인트, 게이트웨이, 서버, 그리고 클라우드의 정보를 보호하기 위한 다층 데이터 보안을 제공하고 있습니다. 정보 보호를 위한 스마트 보호(Smart Protection)과 혁신적인 보안 기술을 끊임없이 발전시키고 있는 트렌드마이크로의 제품은 간편하고 편리한 운용을 자랑합니다. 당사의 모든 솔루션은 클라우드 기반 글로벌 위협 인텔리전스인 ‘트렌드마이크로 클라우드 보안센터(Trend Micro Smart Protection Network)’ 인프라를 구축하였으며, 전 세계 1,200명 이상의 전문가가 지원하고 있습니다. 더 많은 정보는 trendmicro.co.kr 홈페이지를 방문해보세요.


참고 사이트
트렌드마이크로 랜섬웨어 대응센터




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


트렌드마이크로 랜섬웨어 대응 캠페인

https://www.trendmicro.co.kr/kr/blog/ransomware_campaign/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 15. 14:45



게시일: 2016-06-01 l 작성자: Jasen Sumalapao (Threat Response Engineer)


하나의 물건이 유행하기 시작하면 시장에는 그와 유사한, 하지만 저하된 품질의 유사품이 유통됩니다. 랜섬웨어는 현재 이와 같은 단계에 와 있습니다.

최근 발견된 랜섬웨어 ZCRYPT는 윈도우 7 이상의 최신 시스템만 지원합니다. 개발자가 의도적으로 구 버전 윈도우를 타겟으로 삼지 않은 것인지, 혹은 악성코드가 형편없이 만들어진 것인지 정확한 이유는 알 수 없습니다.


배타적인 크립토 랜섬웨어

ZCRYPT가 처음 발견되었을 때, 별다른 특징 없는 위협으로 생각되었습니다. 사용자의 파일을 암호화하고 .ZCRYPT 확장자를 사용합니다. 해당 랜섬웨어는 다음의 파일 형식들을 암호화 할 수 있습니다.

.zip, .mp4, .avi, .wmv, .swf, .pdf, .sql, .txt, .jpeg, .jpg, .png, .bmp, .psd, .doc, .docx, .rtf, .xls, .xlsx, .odt, .ppt, .pptx, .xml, .cpp, .php, .aspx, .html, .mdb, .3fr, .accdb, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .dwg, .dxg, .eps, .erf, .indd, .kdc, .mdf, .mef, .nrw, .odb, .odp, .ods, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .pst, .ptx, .r3d, .raf, .raw, .rw2, .rwl, .srf, .srw, .wb2, .wpd, .tar, .jsp, .mpeg, .msg, .log, .cgi, .jar, .class, .java, .bak, .pdb, .apk, .sav, .tar.gz, .emlx, .vcf

피해자가 1주일 내 돈을 지불하지 않으면 모든 파일을 삭제하겠다는 협박도 빼놓지 않았습니다. 몸값은 1.2BTC(미화 약 500달러)로 책정되었으며, 4일 동안 돈을 지불하지 않을 경우 5BTC(미화 약 2,200달러)로 값이 오르게 됩니다. 몸값요구화면은 다음과 같이 표시됩니다.

그림1. 몸값 요구화면

하지만, 트렌드마이크로의 분석에 따르면 ZCRYPT 랜섬웨어는 특이하게 윈도우 XP와 같은 구 버전 윈도우에서 실행될 시 정상적으로 파일을 암호화하거나 몸값요구화면을 표출하지 못하는 것으로 밝혀졌습니다. 해당 악성코드는 구 버전 윈도우에 존재하지 않는 기능을 호출하기 때문에 구 버전에서 실행될 시 오류가 발생한다는 것입니다.

또 다른 흥미로운 점은 ZCRYPT는 USB 플래시 드라이브에 복사본을 만들어 이를 통해 확산을 시도한다는 것입니다. 크립토 랜섬웨어의 경우 대부분 악성 광고 또는 스팸 메일을 통해 확산되기 때문에 이동식 드라이브로 확산을 시도하는 행위는 크립토 랜섬웨어로에서는 흔치 않은 것입니다.


C&C 서버

C&C 서버의 도메인 명은 poiuytrewq.ml 이었습니다. 이것은 QWERTY 키보드의 제일 상단 qwertyuiopdml를 거꾸로 적은 것입니다. 도메인의 .ml은 2013년 4월부터 무료로 제공되었습니다. 도메인 등록이 등록자의 신원을 노출하지 않기 때문에 익명으로 공격을 진행할 수 있었으며, 현재 해당 도메인은 ‘취소됨’, ‘중지됨’, ‘거부됨’, ‘예약됨’으로 태그되어 있습니다.


대응하기

백업은 크립토 랜섬웨어를 예방하는 가장 좋은 방법입니다. 3-2-1 규칙을 시행하여 백업을 생활하면 유사한 공격을 당한 상황에서도 안심할 수 있습니다. 
또한 공격을 받아도 몸값을 지불하지 않을 것을 강력하게 권장합니다. 공격자들이 돈을 계속 벌어들인다면 이는 결국 계속되는 공격으로 이어지기 때문입니다.


트렌드마이크로의 대응

트렌드마이크로는 ZCRYPT와 같은 크립토 랜섬웨어로부터 대기업, 중소기업 및 개인을 보호하기 위한 다양한 솔루션을 보유하고 있습니다.

대기업은 다층방어를 통해 단계별 위협 보안을 구성할 수 있습니다. Deep Discovery Email Inspector는 이메일로 들어오는 랜섬웨어가 사용자에게 도달하지 못하도록 방어합니다. Office Scan은 동작 모니터링, 애플리케이션 관리, 취약점 보호 등의 기능을 통해 엔드포인트를 보호합니다. Deep Discovery Inspector는 네트워크 상에서 랜섬웨어를 감지하며, Deep Security는 물리적, 가상, 클라우드 서버를 보호하는 역할을 합니다.

개인용 클라이언트 종합 보안 제품 맥시멈 시큐리티 역시 랜섬웨어가 무단으로 데이터를 암호화하거나 변경하려는 움직임을 감지하고 차단하는 기능을 가지고 있습니다.

최근 트렌드마이크로에서 발표한 무료 툴인 트렌드마이크로 화면 잠금 랜섬웨어 도구는 화면잠금 랜섬웨어를 감지하여 제거합니다. 또한 트렌드마이크로 크립토 랜섬웨어 파일 복호화 툴은 피해자가 돈을 지불하거나 복호화 키를 사용하지 않아도 특정 종류 및 버전의 크립토 랜섬웨어를 복호화 할 수 있는 도구 입니다.

티핑포인트는 5월 31일부터 해당 취약점 공격에 대한 보호를 제공하고 있습니다.

• 24733: HTTP: Ransom_ZCRYPT.A


관련해쉬:

D14954A7B9E0C778909FE8DCAD99AD4120365B2E – Ransom_ZCRYPT.A 


원문: Crypto-ransomware Attacks Windows 7 and Later, Scraps Backward Compatibility




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


최신 버전 윈도우만 공격하는 ZCRYPT 랜섬웨어, 의도인가? 실수인가?

https://www.trendmicro.co.kr/kr/blog/crypto-ransomware-attacks-windows-7-later-scraps-backward-compatibility/index.html




참고링크 


<유료안티바이러스 제품비교>


COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 14. 13:51

위로가기