malware에 해당하는글 39

ThreatTrack 연구진은 최근 Zepto 랜섬웨어 배포수단으로 윈도스크립트파일(WSF, windows scripting file) 압축파일을 첨부한 스팸이 다량 유포되는 현상을 포착했다. 이 수법은 기존에 흔히 쓰인 자바스크립트나 매크로문서 스팸에서 바뀐 것이다. 아래는 이러한 종류의 소셜엔지니어링(social engineering) 수법을 보여주는 실제 이메일이다.










ThreatAnalyzer 분석


위 스팸메일의 WSF를 추출하여 ThreatAnalyzer 맬웨어분석 샌드박스를 통해 분석한 결과는 다음과 같다.




WSF에서 문제되는 부분은 스크립트며 따라서 WScript.exe의 요청트리(call tree)가 판단의 주안점이 됐다.


변경된 파일의 수가 많다는 점은 해당 스크립트가 바이러스나 랜섬웨어일 가능성이 높음을 의미한다.


분석결과 두 장의 스크린샷이 잡혔다.



한편 MODIFED FILES 항목을 펼친 결과는 다음과 같다.




감염된 파일에는 .zepto라는 확장자가 붙게 된다. 위 스크린샷과 파일변경내용으로 볼 때 본 샘플은 Zepto 랜섬웨어의 변종이라고 할 수 있다.



WSF 스크립트 행동양상


C:\Windows\System32\WScript.exe (3388)를 선택하면 WSF 자체의 행동결과를 확인할 수 있다.

-



WSF는 우선 두 개의 파일(UL43Fok40ii, UL43Fok40ii.exe)을 생성하고 mercumaya.net에 대한 HTTP 접속을 개시했다.


아래는 UL43Fok40ii 바이너리 표시다.



아래는 UL43Fok40ii.exe로 PE 파일형식으로 돼 있다.



이들 두 파일을 비교해 보면 각각 용량이 208008바이트와 208004바이트로 그 차이가 4바이트에 불과한데 이를 통해 .exe 확장자가 없는 파일은 복호화를 거쳐 PE 실행파일로 만들어졌다는 추측이 가능하다.


이후 WSF스크립트가 전달인자(arguement) 321을 통해 PE 실행파일을 구동했다.





호스트 주소에 com.my라는 접미어가 들어간다는 사실로 볼 때 서버 위치는 말레이시아로 추정된다.


HTTP 헤더를 봐도 컨텐츠 용량이 208008바이트임을 볼 수 있으며 이는 앞서 본 암호화된 파일의 용량과 동일하다.

WScript.exe가 실행하 WSF 파일은 Windows PE 파일을 다운받아 복호화한 다음 실행시켰다.



다운로드 PE 실행파일


이제 UL43Fok40ii.exe에 대해 살펴본다. 아래 그림에서 판단할 수 있는정보는 다음과 같다.

•  우크라이나에 위치한 일부 정보 게시

•  수백 개의 파일에 접근

•  기본브라우저 실행(본 분석의 경우 크롬)

•  cmd.exe가 포함된 파일 삭제

•  공유폴더 접속

•  파일이 암호화된 모든 폴더에 대해 _HELP_instructions.html 안내문을 생성

•  쓰레드 10개 생성





우크라이나 사이트에 게시된 데이터는 암호화돼있는데 파일 암호화에 필요한  id와 키를 포함하고 있다 추정된다.



ThreatAnayzer 분석결과를 통해 1차(raw) 데이터는 16진법 표시로 볼 수 있다. 1차 데이터를 부분적으로 변환한 결과는 다음과 같다.



아울러 여러 파일의 이름이 변경됐다. 파일이 암호화되는 과정에서 GUID filename을 통해 암호화된 파일 명칭의 접미부분에 .zepto를 붙게 된다.



파일검색을 보면 드라이브 루트 디렉토리로 들어가기에 앞서 연락처 파일를 먼저 노리게 된다.



아래는_HELP_instructions.bmp 파일의 컨텐츠를 보여주는 스크린샷이다.



본 맬웨어 샘플은 구동 중인 실행파일을 Temp 폴더의 파일로 옮기려 한다.



기본브라우저로 설정된 크롬을 통해 바탕화면에 생성된 _HELP_instructions.html이 열린다.

또한 Temp 폴더의 맬웨어 사본이 삭제되는데 이는 사후정리 과정의 하나로 생각된다.


_HELP_instructions.html을 브라우저에서 열면 아래와 같이 나타난다.



Chrome.exe 하부의 프로세스요청트리는 Zepto 악성코드와는 별개로 브라우저에 의해서만 개시됐을 가능성이 높다.




랜섬웨어 방지


오늘날  Zepto와 같은 랜섬웨어의 배후세력은 기업과 정부기관을 침투하기 위해 다양한 방법을 공격적으로 모색하고 있으며 본 사례는 랜섬웨어에 흔히 쓰이는 자바스크립트나 오피스 매크로에서 벗어나 WSF 첨부물을 필터링하지 않는 이메일 게이트웨이 통과를 시도했던 경우에 해당한다.


랜섬웨어와 같은 정교한 위협의 피해를 막기 위해서는 VIPRE Endpoint Security와 같은 지능형 엔드포인트 보안솔루션, ThreatAnalyzer와 같은 맬웨어행동분석툴, ThreatSecure와 같은 사이버공격 방어솔루션 등의 솔루션이 필요하며 중요 데이터를 주기적으로 백업해야 한다.


<참고: ThreatAnalyzer 맬웨어분석 샌드박스> 


<참고: VIPRE 엔드포인트 보안솔루션> 





ThreatTrack Security Labs, Zepto Ransomware Packed into WSF Spam, 7. 25. 2016.

https://blog.threattrack.com/ransomware-packed-into-wsf-spam/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 27. 14:39



랜섬웨어가 ‘먹히는’ 이유: 암호화 기술 뒤에 숨겨진 전략

게시일: 2016-06-17 l 작성자: Trend Micro

기업은 어떻게 랜섬웨어 공격에 대응할 수 있을까요? 최근 여러 기관에서 랜섬웨어 공격에 대비하여 비트코인을 사들이고 있다는 연구가 있었습니다. 공격 받을 시 빠른 시간 내 중요한 파일을 복구하기 위한 대응책입니다. 하지만 돈을 지불하는 것이 파일 복구를 보장하지 않는 것은 물론이고, 추가적인 랜섬웨어 공격으로 이어질 수 있습니다. 그럼에도 불구하고 랜섬웨어 공격으로 인한 기업 손실과 명예 실추로 인해 추가적인 불이익을 예상한다면, 기업의 이러한 대처를 비난할 수는 없습니다.


지속적인 랜섬웨어의 공격

랜섬웨어 피해자가 되지 않기 위해, 이 멀웨어가 어떻게, 그리고 왜 공격을 하는지 이해하는 것이 중요합니다. 물론, 사회공학적 기법과 상용 등급 암호화는 랜섬웨어 공격의 중요한 요소입니다. 하지만 최근 유행하는 랜섬웨어들은 다른 멀웨어의 수법을 차용하여, 복호화를 어렵게 만들고 있습니다.

예를 들어보겠습니다. A 회사에서 ‘파일과 중요 데이터가 모두 암호화 되었으니, 되찾고 싶다면 돈을 지불하라’는 메시지를 수신했습니다. IT 운영자는 즉시 감염된 시스템의 네트워크를 차단하고 분리했습니다. 그 후, 감염된 컴퓨터를 치료하여 파일 복구를 시도합니다. 하지만 이 때 여러 문제점이 발생합니다.

일례로 랜섬웨어가 일반적으로 사용하는 기법 중 하나는 섀도우 복사본을 삭제하는 것입니다. 하단의 커맨드 중 하나를 사용하여 이를 실행합니다.

vssadmin.exe Delete Shadows/All/Quiet

WMIC.exe shadowcopy delete/nointeractive

섀도우 복사본을 삭제함으로써, 사용자가 파일을 복구할 수 없도록 백업 파일을 삭제하게 되는 것입니다.CRYPWALLLockyCERBERCRYPTESLA와 같은 변종 랜섬웨어에서 이와 같은 기능을 사용하고 있습니다. 부팅 변경, 감염 확산, 백신 우회 등과 같은 기법도 널리 활용되고 있습니다.


부팅 변경

마스터 부트 레코드(MBR)의 재작성 또는 삭제로 인해 시스템 부팅이 불가능해집니다. 이를 우회하기 위해 안전모드 부팅을 시도하는 것도 무용지물입니다. PETYA 는 이러한 공격 수법을 가진 대표적인 랜섬웨어입니다.


감염 확산

랜섬웨어에 의해 감염된 1개의 시스템 복구도 어렵지만, 이동식 드라이브와 네트워크를 통해 감염이 확산된다면 또 다른 중요 데이터가 암호화 될 위험에 놓이게 됩니다. 해당 공격 수법을 사용하는 랜섬웨어는Zcryptor(ZCRYPT crypto-ransomware)는 이동식 드라이브와 네트워크의 공유폴더까지 확산하여 감염시킵니다.


백신 우회

워치독 프로세스(Watchdog process)는 멀웨어의 새로운 인스턴스를 부활시키기 위해 svchost.exe로 명명된 regsvr32.exe 또는 rundll32.exe을 복사합니다. 하나의 프로세스가 암호화를 실행하면, 나머지 하나의 프로세스는 워치독으로 활동합니다. 랜섬웨어가 탐지를 우회하기 위해 고용하는 또 다른 기술은, 해당 환경이 VMWare 환경인지 확인하는 것입니다.

그림 1. CryptXXX 감염 프로세스 트리, 워치독 프로세스 포함

VIRLOCK 은 다형성 암호 기법을 가진 랜섬웨어로서, 감염이 실행될 때마다 코드를 변경해 보안 소프트웨어에서 탐지가 매우 어렵습니다. 하단 그림에서와 같이 감염 파일에 무작위 가비지 코드와 API 콜을 삽입하기도 합니다.

그림 2. VIRLOCK의 탐지 우회 기술 코드 정보


또 다른 공격 수법

랜섬웨어의 지속적인 공격에서 주목할 만한 기술은 네트워크 드라이브의 데이터를 암호화하고, 이와 더불어 SMB(Server Message Block)를 공유하여 발견되는 모든 파일을 암호화 하는 것입니다. 2015년 등장한 CryptoFortress는 위와 같은 수법을 사용합니다. CRYPWALL 3버전과 4버전 또한 마찬가지로, 연결된 모든 드라이브로 확산하여 데이터를 암호화 합니다.

또 다른 변종인 PowerWare와 POSHCODER는 윈도우 PowerShell 기능을 악용합니다. CryptoLocker 공격에서는 C&C 서버 연결을 위한 DGA(Domain Generation Algorithm)도 처음 발견되었습니다. CryptXXX의 경우, 피해자의 정보를 탈취하여 지하시장에서 판매합니다.

랜섬웨어 공격자가 취약점을 이용하여 위협을 확산시킬 경우, 감염 피해 복구는 더욱 어려워집니다. SAMSAM은 Jexboss 익스플로잇을 악용하여 네트워크를 통해 취약한 서버에 침투하여 랜섬웨어 공격을 실행하였습니다.


다층 보안 설계

파일 암호화로부터 초래되는 불편함, 파일 복구 시도의 실패, 잠재적인 추가 피해로 인해 몇몇 기관들에서는 랜섬을 지불하는 것을 택하고 있습니다. 하지만 이것은 매우 위험한 결정이라고 할 수 있습니다. 한 번 랜섬을 지불할 경우, 돈을 지불하는 피해자로 인식되어 더 많은 랜섬웨어 공격의 대상이 될 수 있습니다.

랜섬웨어를 이해하는 것은 기업의 IT환경을 보호하기 위한 중요한 시작입니다. 파일을 백업하는 것은 보안의 가장 기초이지만, 그것만으로 끝나는 것이 아닙니다. 백업을 찾아내어 삭제하는 변종들이 계속 새롭게 등장하고 있기 때문입니다. 기업에서는 다층 보안 설계를 구축해야 합니다.

트렌드마이크로는 대기업, 중소기업 및 개인 사용자가 크립토 랜섬웨어의 피해를 최소화할 수 있는 대응책을 제공합니다.

트렌드마이크로의 Deep Discovery Email Inspector는 이메일로 들어오는 랜섬웨어가 사용자에게 도달하지 못하도록 방어합니다. 오피스스캔은 동작 모니터링, 애플리케이션 관리, 취약점 보호 등의 기능을 통해 엔드포인트를 보호합니다. Deep Discovery Inspector는 네트워크 상에서 랜섬웨어를 감지하며, Deep Security는 물리적, 가상, 클라우드 서버를 보호하는 역할을 합니다.

중소기업용 Worry-Free 비즈니스 시큐리티는 클라우드 기반 이메일 게이트웨이 보안인 이메일 보안 호스팅을 제공합니다. 또한 동작 모니터링, 실시간 웹 검증을 통해 엔드포인트에 도달하는 랜섬웨어를 탐지하고 차단합니다.

개인용 클라이언트 종합 보안 제품 맥시멈 시큐리티 역시 랜섬웨어가 무단으로 데이터를 암호화하거나 변경하려는 움직임을 감지하고 차단하는 기능을 가지고 있습니다.

최근 트렌드마이크로에서 발표한 무료 툴인 트렌드마이크로 화면 잠금 랜섬웨어 도구는 화면잠금 랜섬웨어를 감지하여 제거합니다. 또한 트렌드마이크로 크립토 랜섬웨어 파일 복호화 툴은 피해자가 돈을 지불하거나 복호화 키를 사용하지 않아도 특정 종류 및 버전의 크립토 랜섬웨어를 복호화 할 수 있는 도구 입니다.


원문: Why Ransomware Works: Tactics and Routines Beyond Encryption




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


랜섬웨어가 ‘먹히는’ 이유: 암호화 기술 뒤에 숨겨진 전략

https://www.trendmicro.co.kr/kr/blog/why-ransomware-works-tactics-beyond-encryption/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 26. 15:15



게시일: 2016-06-15 l 작성자: Echo Duan (Mobile Threat Response Engineer)

하나의 플랫폼으로 여러 스마트 디바이스를 사용할 수 있는 것은 삶에 편리성을 가져다 줍니다. 하지만 이 경우, 멀웨어가 1대의 디바이스에 침투하면, 동일한 플랫폼을 공유하는 다른 디바이스도 감염되기 쉽습니다. 최근 유행하는 “FLocker” 랜섬웨어가 이와 같은 경우입니다. 해당 랜섬웨어는 안드로이드 운영체제의 모바일 디바이스를 공격하는 화면잠금형 랜섬웨어이지만, 안드로이드 스마트TV도 감염시킬 수 있습니다.



그림 1. TV 랜섬웨어 화면


2015년 5월, FLocker 랜섬웨어(ANDROIDOS_FLOCKER.A로 명명, Frantic Locker의 줄임말)가 처음 발견된 시기부터 트렌드마이크로 클라우드 보안센터에서는 약 7,000여종의 FLocker 변종이 수집되었습니다. 해당 랜섬웨어의 개발자는 탐지를 우회하고 암호화 기능을 향상하기 위해 지속적으로 멀웨어를 재작성하고 있는 것으로 보여집니다. 지난 몇 달 동안 새로운 FLocker 변종의 출현이 급증과 급감을 반복하였으며, 최근 2016년 4월에 약 1,200개의 변종이 확인되었습니다.


가장 최근 버전의 FLocker는 폴리스 트로이목사(Police Trojan)로서 미국 사이버경찰(US Cyber Police) 또는 다른 법률 기관으로 위장하여, 피해자가 범하지 않은 혐의를 제기합니다. 화면잠금이 완료되면 미화 200달러 상당의 아이튠즈 기프트카드를 벌금으로 지불할 것을 요구하는 화면을 띄우게 됩니다. 트렌드마이크로의 분석에 따르면 모바일 기기를 감염시키는 변종과 스마트TV를 감염시키는 변종에는 큰 차이점이 없습니다. 하단은 당사의 FLocker 루틴에 대한 분석입니다.


FLocker는 정적분석을 우회하기 위해 [asset] 폴더 내부의 raw 파일에 코드를 숨깁니다. 해당 코드는 정상적인 파일로 보이는 “form.html” 파일을 생성합니다.

그림 2. FLocker 정적분석 우회 기능


이렇게 함으로써, “classes.dex” 코드에서 악성행위가 발견되지 않기 때문에 정적분석을 우회할 수 있게 됩니다. “form.html”은 멀웨어가 동작할 때 암호 해제되어 악성코드를 실행합니다.

그림 3. Classes.dex코드(위)와 from.html 코드 암호 해제(아래)


FLocker가 처음 실행될 때 감염된 디바이스가 다음의 동부 유럽 국가에 위치해 있는지 확인합니다: 카자흐스탄, 아제르바이잔, 불가리아, 조지아, 헝가리, 우크라이나, 러시아, 아르메니아, 벨라루스. 만약 디바이스가 앞서 언급된 국가 중 하나에 위치해 있는 것으로 확인될 경우, 멀웨어가 자동으로 비활성화 됩니다.

FLocker는 디바이스에 침투한 후 30분 동안 아무 활동을 하지 않으며, 30분이 지난 후에 디바이스 관리자 권한을 즉시 요청하는 백그라운드 서비스를 실행합니다. 당사는 이러한 행위를 동적 샌드박스 탐지를 우회하기 위한 기술로 파악하고 있습니다. 만약 사용자가 관리자 권한 부여를 거부할 경우, 시스템 업데이트처럼 위조하여 화면을 멈춥니다.

그림 4. 일부 국가에서 공격이 실행되지 않는 FLocker


FLocker는 백그라운드에서 C&C서버로 연결되어 명령을 내려받습니다. 이 때 C&C에서 misspelled.apk라는 새로운 페이로드를 전달하고, 자바스크립트 인터페이스의 랜섬 HTML(“form.html”)이 활성화 됩니다. 해당 HTML 페이지는 APK 설치를 시작할 수 있는 기능이 있으며, 자바스크립트 인터페이스를 활용하여 감염된 피해자의 디바이스로 사진을 촬영하여 랜섬 페이지에 표출시킵니다.

랜섬 웹페이지는 감염된 디바이스에 맞추어 해상도를 변경하는 것으로 확인되었습니다.

그림 5. FLocker 랜섬 페이지 캡처 화면


화면은 잠금되었지만, 멀웨어는 C&C 서버와 통신하며 디바이스 정보, 전화번호, 연락처, 현위치 등과 같은 정보를 탈취합니다. 이러한 데이터는 하드코딩 AES 키로 암호화 되어 base 64로 인코딩됩니다.

그림 6. C&C 서버로 전달되는 정보


이러한 랜섬웨어는 스팸 문자메시지 또는 악성 링크를 통해 전달됩니다. 따라서 인터넷을 탐색하거나 알 수 없는 출처로부터 메시지 또는 이메일을 받았을 때 각별한 주의가 필요합니다.


트렌드마이크로의 대응

안드로이드TV가 감염된 경우 될 경우, 제조사에 연락하여 해결 방법을 문의할 것을 권고합니다. 멀웨어를 제거하기 위한 다른 방법은, 사용자가 ADB 디버깅을 활성화 하는 것입니다. PC에 디바이스를 연결하여 ADB 쉘을 활성화한 뒤 “PM clear %pkg%”를 실행할 수 있습니다. 이 경우 랜섬웨어 프로세스를 중단하고 화면잠금이 해제될 수 있습니다. 사용자는 또한 애플리케이션에 부여된 관리자 권한을 비활성화하고 앱을 삭제할 수 있습니다.

트렌드마이크로는 모바일 디바이스를 보호하기 위해, 스마트 디바이스에 보안 소프트웨어를 설치할 것을 권고합니다. 트렌드마이크로 모바일 시큐리티는 악성 앱 및 기타 경로를 통해 디바이스에 침투하는 랜섬웨어와 같은 모바일 위협으로부터 사용자를 보호합니다. 해당 앱은 Google Play에서 다운로드 받으실 수 있습니다.


원문: FLocker Mobile Ransomware Crosses to Smart TV




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


FLocker 랜섬웨어, 스마트TV를 노리다

https://www.trendmicro.co.kr/kr/blog/flocker-ransomware-crosses-smart-tv/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 25. 13:53



게시일: 2016-07-14 l 작성자: Janus Agcaoili (Threat Response Engineer)

유럽에서 오래 전부터 활동해오던 뱅킹 트로미목마 ‘베블로(BEBLOH)’가 일본까지 확산되며 활발한 활동을 벌이고 있는 것이 확인되었습니다. 사이버 범죄자들은 현지 ISP 제공회사, 유사 홈페이지 주소 등 일본 회사의 브랜드명을 이용하여 사용자들이 멀웨어를 다운받도록 유도합니다. 해당 멀웨어를 다운받을 브라우저, FTP 클라이언트, 메일 클라이언트 감시를 통한 정보 탈취가 가능해집니다. 베블로의 주요 타겟은 바로 지역 은행입니다.

베블로는 2009년도에 처음 등장하여, ‘제우스(Zeus)’와 ‘스파이아이(SpyEye)’ 같은 경쟁자를 이겨내고 현재까지 살아남았습니다. 베블로는 피해자가 알지 못하는 사이에 은행 계좌에 접근하여 돈을 탈취합니다. 베블로는 안티바이러스 프로그램을 우회하기 위한 새로운 방법을 지속적으로 개발해왔습니다. 이번 경우도, 베블로는 메모리에 숨어 시스템 종료 시 임시 실행파일을 만든 후 PC를 재감염 시킨 후 해당 파일을 삭제합니다.


일본 현지 상황

전세계적으로 스팸메일을 통한 랜섬웨어 감염이 다수 발생하는 반면, 일본 현지에서 확인되는 스팸메일을 통한 멀웨어 감염은 온라인 뱅킹 트로이목마가 대다수입니다. 일본 경찰청에서 2016년 3월 발표한 보도자료에 따르면 이러한 온라인 뱅킹 트로이목마의 표적이 되는 은행 및 금융기관은 주요 시중 은행이 아닌 지역 은행과 신용 조합입니다. 이 자료에 따르면, 피해액이 사상 최대 금액인 약 26억 4,600만엔(약 2,580만 달러)에 달했으며, 베블로의 활동이 추가되며 일본의 뱅킹 트로이목마 피해는 더욱 커질 것으로 추정하고 있습니다.

트렌드마이크로는 2015년 12월부터 베블로의 일본 활동을 탐지하고 있습니다. 당시 324건의 탐지 수에 비해, 위 경찰청 2016년 3월 자료에서는 탐지 수가 약 2,562로 증가한 것을 확인할 수 있습니다.


모두가 공격 대상

베블로의 공격 대상은 엔드유저 뿐만 아니라 기업 직원도 포함합니다. 공격자가 보낸 스팸메일은 회사 및 개인 메일 계정에 발송되었습니다. 개인 계정으로 보낼 경우 대출, 쇼핑, 택배 등과 같은 개인 관심사 내용을 포함하며, 회사 계정으로 보낼 경우 이력서 등의 내용으로 꾸며집니다. 그렇기 때문에 확산과 감염이 빠르게 이루어지고 있습니다.

번역: 본 이메일은 보안을 강화하기 위한 전자 서명이 포함되어 있습니다. 
2016년 3월 3일 송금이 완료되었음을 알려드립니다. 
전자서명(전자서명)

번역: “전체 레코드 이미지"

그림 1. 개인 및 회사에 보내진 스팸메일 샘플

새로운 공격방법

베블로는 패커를 신속하게 자주 변경합니다. 베블로의 일부 버전에서는 자신이 생성한 프로세스에서 실행 파일을 암호해제하는 버전과 자신의 메모리에 해독한 후 explorer.exe 또는 iexplorer.exe등의 정규 프로그램에 자신의 코드를 대체하는 버전이 확인되고 있습니다. 그렇기 때문에 패커의 업데이트 속도에 따라가지 못하는 보안 제품에서는 탐지하지 못합니다.

베블로가 설치되면 C&C (Command and Control)서버에 접속하여 웹 인젝션(Web Injection) 설정 다운로드 등의 과정을 실행합니다. 앞서 언급한 바와 같이, 베블로의 정보 탈취 기능으로 피해자의 은행 계좌를 약탈할 수 있습니다.

또한 다운로드 되는 악성 프로그램은 브라우저, FTP 및 메일 클라이언트를 감시하는 스파이웨어 TSPY_URSNIF 로 확인되었습니다. 스파이웨어 이외에도 베블로는 스팸봇 멀웨어인 BKDR_PUSHDO 또한 다운로드 합니다.

C&C 서버와의 통신 중 다운로드에서 사용하는 URL이 C&C 서버의 응답에 따라 변경된다는 것을 발견하였습니다. 당사 보유한 샘플은 독립된 3일 동안 3가지 URL이 사용되고 있는 것을 확인하였습니다. URL 응답은 암호화되어 있습니다. 하지만 암호해제 될 경우 “CV {value}/r/n>DI/r/n>LD {URL}” 형식을 이용하는 것을 확인할 수 있습니다.

그림 2. C&C 서버 통신 암호해제

이번 베블로는 지역 은행, 신용 조합, 온라인 은행 및 주요 시중 은행을 포함한 일본 17개 은행과 금융기관을 감시하고 있습니다. 소규모 은행을 대상으로 함으로써 공격자는 공격 활동이 알려지지 않고 조용히 지나가는 것을 기대합니다. 또한 중소규모의 은행은 보안 대책이 충분하지 않은 경우가 많기 때문에 공격자의 표적이 된 것으로 파악하고 있습니다.

트렌드마이크로의 이메일 보안 솔루션인 Deep Discovery Email Inspector는 차세대 탐지 기술을 이용하여 사용자가 악성 첨부파일을 다운로드하거나 실행하지 않도록 스피어피싱 이메일을 탐지 및 차단합니다. 마크로 멀웨어 문서 파일, PDF, 실행파일, 스크립트 등과 같은 악성 첨부파일을 차단할 수 있으며, 본문 또는 제목에 포함된 악성 URL 및 첨부 문서에 기록된 URL을 탐지하여 차단합니다.


원문: BEBLOH Expands to Japan in Latest Spam Attack




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


일본에서 유행 중인 뱅킹 트로이목마 ‘베블로(BEBLOH)’, 이메일 보안이 답이다!

https://www.trendmicro.co.kr/kr/blog/bebloh-expands-japan-latest-spam-attack/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 20. 12:52



최근 발견된 랜섬웨어는 Troj/Ransom-DJC 일반적인 여타 랜섬웨어와는 확연히 다른 차이점이 있다. 위 그림과 같이 랜섬웨어에 의해 금전지불 웹페이지가 열렸을 때 돈을 내지 않고 제출(submit)을 클릭하면  웹페이지 왼쪽 하단의 메시지가 다음과 같이 변한다.




이 때 랜섬웨어가 작동한 이후 시스템에 보관된 중요 문서파일이 실제로 사라졌음을 볼 수 있다. 이는 파일을 암호화시키는 데서 그치지 않고 하나씩 삭제하기까지 하여 피해자에게서 기어이 돈을 받아내려는 수법이라고 볼 수 있다. 이 랜섬웨어가 요구하는 금액이 약 달러에 0.2BTC, 130 달러에 불과하여 랜섬웨어 금전요구의 일반적인 시세인 300~500달러에 훨씬 못 미친다는 점도 흥미롭다.




이제 이 신종 랜섬웨어를 극도로 태만하다는 의미를 가진 "boneidleware"이라고 부른다 .이 랜섬웨어는 파일을 암호화하지 않고 삭제시켜 버린다. 그렇기 때문에 돈을 지급하는 건 아무런 의미가 없다. 2012년 하반기 CryptoLocker 랜섬웨어가 등장한 이래 랜섬웨어는 적어도 돈을 지불하면 파일을 복구해준다는 일종의 불문율이 있었지만 boneidleware 이러한 틀마저 무시해 버린다. 이하에는 boneidleware에 국한되지 않는 랜섬웨어 전번에 대한 방지요령을 요약 소개한다.


• 자바스크립트 첨부물(확장자: .js)은 메모장(Notepad)으로 연다.

• 파일확장자 기만을 피하기 위해 파일확장자가 보이도록 설정한다.

• VBA 맬웨어를 방지하기 위해 인터넷에서 받은 문서파일에 대한 오피스 매크로 기능을 해제한다.


<참고: 랜섬웨어 차단 AVG 안티바이러스>




Paul Ducklin, Ransomware that demands money and gives you back nothing!, 7. 13. 2016.

https://nakedsecurity.sophos.com/2016/07/13/ransomware-that-demands-money-and-gives-you-back-nothing/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 18. 15:16



게시일: 2016-06-23 l 작성자: Trend Micro


보안 소프트웨어 및 솔루션의 글로벌 리더 트렌드마이크로는 급증하는 랜섬웨어에 대비하여 기업 고객과 개인 사용자를 보호하기 위한 랜섬웨어 캠페인을 시작하였습니다.

트렌드마이크로는 지난 6개월 간 약 1억 건 이상의 랜섬웨어 공격을 방지했으며, 그 중 99%는 웹과 이메일을 통한 공격으로 분석하였습니다. 당사는 랜섬웨어 공격의 증가와 그 영향력을 인지하며, 고객들이 이에 적극적인 보안 조치를 취할 수 있도록 다음과 같은 포괄적인 랜섬웨어 방어 대책을 구성하였습니다.

  • 랜섬웨어 방어 대책: 기업 규모와 무관하게 기업의 보안 취약점을 조사하여 알맞은 보안 대처를 제안
  • 랜섬웨어 복구 툴: 랜섬웨어에 감염된 개인 및 고객이 데이터를 복구할 수 있도록 복구 툴 제공
  • 제품 기능 향상: 4단계의 다층 보안을 적용하여 랜섬웨어를 방어하고, 전사적인 랜섬웨어 가시성 제공

에바 첸(Eva Chen) 트렌드마이크로 CEO는 “트렌드마이크로는 랜섬웨어 위협을 분석하고 이에 맞서 싸우기 위한 노력을 지속하고 있습니다” 라고 전했습니다. “이러한 사이버 공격이 사회에 만연할 경우, 기업 생산성이 저하되며, 기업 가치 하락과 비용 부담을 초래한다는 것을 알고 있습니다. 트렌드마이크로의 기업 및 개인 보안 제품은 랜섬웨어에 최적화된 방어를 구성합니다. 당사 랜섬웨어 복구 툴과 핫라인은 트렌드마이크로 위협 전문가들의 상시 지원을 통해 고객이 랜섬웨어 공격에 대응하고, 감염 시 빠르게 대처할 수 있습니다.”


대기업을 위한 랜섬웨어 보안

랜섬웨어에 대한 100% 방어는 보장할 수 없습니다. 하지만 최대의 방어를 구사하기 위해 트렌드마이크로는 4단계의 다층 보안을 제안합니다.

  • 이메일: 트렌드마이크로는 랜섬웨어를 운반하는 가장 대중적인 방법인 스피어피싱 이메일과 메일에 포함된 첨부파일, URL을 검사하여 기존 이메일 게이트웨이보다 심화된 이메일 보안을 제공합니다.
  • 엔드포인트: 트렌드마이크로는 랜섬웨어 감지와 차단을 위한 차세대 엔드포인트 보안을 제공합니다. 패치 되지 않은 취약점 보호, 애플리케이션 관리, 동작 모니터링 등의 기능을 통해 다량 파일의 빠른 암호화와 같은 랜섬웨어 특유의 행동을 파악하고 감지 및 차단합니다.
  • 네트워크: 트렌드마이크로는 네트워크 전방위적 모니터링, 모든 트래픽, 포트, 프로토콜에 대한 커스텀 샌드박스를 통해 랜섬웨어의 침투와 확산을 방지합니다.
  • 서버: 트렌드마이크로는 의심스러운 행위 탐지 및 방지, 알려진 서버 소프트웨어의 취약점 공격 방지를 위한 가상 패치 기능, 그리고 랜섬웨어가 다른 서버에 확산하지 못하도록 측면이동 탐지를 통해 물리〮가상〮클라우드 서버를 랜섬웨어로부터 보호합니다.

“트렌드마이크로는 업계 리더십을 발휘하여 더 강력한 솔루션으로 랜섬웨어에 대응하기 위한 새로운 도약을 하고 있다. 랜섬웨어와 싸우고 있는 기업과 개인 고객을 위한 통합적인 솔루션, 고객 핫라인, 그리고 제품 기능 향상을 통해 전세계 고객들에게 심화된 보안을 제공하고 있다.”라고 RNDC IT 인프라 국장 존 딕슨 (John Dickson)은 전했습니다.

트렌드마이크로는 기업의 이메일, 악성 URL, 네트워크 또는 서버 침투를 통해 공격하는 랜섬웨어에 대한 중앙집중적 가시성을 제공합니다. 따라서, 보안 취약점을 빠르게 찾아내서 해결할 수 있으며 기업의 전반적인 보안을 향상시킬 수 있습니다.

“가장 중요한 것은, 다층 보안을 설계하는 것입니다.” 라고 ESG 사이버보안 전문 분석연구가 더그 카힐 (Doug Cahill)은 전했습니다.” 트렌드마이크로는 확장된 보안 관리를 통해 기업이 랜섬웨어에 가시성을 확보하고 어떤 영향을 주고 있는지 확인할 수 있습니다. 이를 통해 기업은 보안이 취약한 부분을 파악하여 보완할 수 있습니다. 랜섬웨어 공격의 복합성과 교묘함에 대한 심도 깊은 이해를 통해 지속적인 위협에 대처할 수 있는 전문성을 갖추었습니다.”


중소기업을 위한 랜섬웨어 보안

기업의 규모가 작더라도 랜섬웨어의 위협에서 안전하지 않습니다. 트렌드마이크로의 Worry-Free 비즈니스 시큐리티 서비스는 다음과 같은 기능으로 랜섬웨어를 방어합니다.

  • 이메일: 멀웨어 스캐닝(Malware Scanning), 웹 검증, 샌드박스 분석을 통해 악성 이메일, 첨부파일, URL을 감지하여 차단합니다.
  • 엔드포인트: 대량 파일의 빠른 암호화와 같은 랜섬웨어 특유의 행동을 파악하는 동작 모니터링 등의 랜섬웨어에 최적화된 엔드포인트 보안을 제공합니다.

Worry-Free 비즈니스 시큐리티 서비스는 중소기업을 위한 클라우드 기반 솔루션으로서, 간편하지만 운용이 편리합니다.


개인 사용자를 위한 랜섬웨어 보안

악성 웹사이트, 스팸 메일, 기타 멀웨어를 통해 소중한 파일과 사진이 랜섬웨어에 감염될 수 있습니다. 트렌드마이크로 맥시멈 시큐리티 10 또는 인터넷 시큐리티 10은 개인 또는 가정 사용자를 위한 최적의 랜섬웨어 방어를 구현합니다.


트렌드마이크로 회사 소개

트렌드마이크로는 글로벌 보안 소프트웨어 리더로써, 디지털 정보 교환이 안전하게 이루어지는 세상을 지향합니다. 27년의 역사를 지닌 트렌드마이크로는, 개인고객과 기업 및 정부 기관의 모바일 기기, 엔드포인트, 게이트웨이, 서버, 그리고 클라우드의 정보를 보호하기 위한 다층 데이터 보안을 제공하고 있습니다. 정보 보호를 위한 스마트 보호(Smart Protection)과 혁신적인 보안 기술을 끊임없이 발전시키고 있는 트렌드마이크로의 제품은 간편하고 편리한 운용을 자랑합니다. 당사의 모든 솔루션은 클라우드 기반 글로벌 위협 인텔리전스인 ‘트렌드마이크로 클라우드 보안센터(Trend Micro Smart Protection Network)’ 인프라를 구축하였으며, 전 세계 1,200명 이상의 전문가가 지원하고 있습니다. 더 많은 정보는 trendmicro.co.kr 홈페이지를 방문해보세요.


참고 사이트
트렌드마이크로 랜섬웨어 대응센터




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


트렌드마이크로 랜섬웨어 대응 캠페인

https://www.trendmicro.co.kr/kr/blog/ransomware_campaign/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 15. 14:45



게시일: 2016-06-01 l 작성자: Jasen Sumalapao (Threat Response Engineer)


하나의 물건이 유행하기 시작하면 시장에는 그와 유사한, 하지만 저하된 품질의 유사품이 유통됩니다. 랜섬웨어는 현재 이와 같은 단계에 와 있습니다.

최근 발견된 랜섬웨어 ZCRYPT는 윈도우 7 이상의 최신 시스템만 지원합니다. 개발자가 의도적으로 구 버전 윈도우를 타겟으로 삼지 않은 것인지, 혹은 악성코드가 형편없이 만들어진 것인지 정확한 이유는 알 수 없습니다.


배타적인 크립토 랜섬웨어

ZCRYPT가 처음 발견되었을 때, 별다른 특징 없는 위협으로 생각되었습니다. 사용자의 파일을 암호화하고 .ZCRYPT 확장자를 사용합니다. 해당 랜섬웨어는 다음의 파일 형식들을 암호화 할 수 있습니다.

.zip, .mp4, .avi, .wmv, .swf, .pdf, .sql, .txt, .jpeg, .jpg, .png, .bmp, .psd, .doc, .docx, .rtf, .xls, .xlsx, .odt, .ppt, .pptx, .xml, .cpp, .php, .aspx, .html, .mdb, .3fr, .accdb, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .dwg, .dxg, .eps, .erf, .indd, .kdc, .mdf, .mef, .nrw, .odb, .odp, .ods, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .pst, .ptx, .r3d, .raf, .raw, .rw2, .rwl, .srf, .srw, .wb2, .wpd, .tar, .jsp, .mpeg, .msg, .log, .cgi, .jar, .class, .java, .bak, .pdb, .apk, .sav, .tar.gz, .emlx, .vcf

피해자가 1주일 내 돈을 지불하지 않으면 모든 파일을 삭제하겠다는 협박도 빼놓지 않았습니다. 몸값은 1.2BTC(미화 약 500달러)로 책정되었으며, 4일 동안 돈을 지불하지 않을 경우 5BTC(미화 약 2,200달러)로 값이 오르게 됩니다. 몸값요구화면은 다음과 같이 표시됩니다.

그림1. 몸값 요구화면

하지만, 트렌드마이크로의 분석에 따르면 ZCRYPT 랜섬웨어는 특이하게 윈도우 XP와 같은 구 버전 윈도우에서 실행될 시 정상적으로 파일을 암호화하거나 몸값요구화면을 표출하지 못하는 것으로 밝혀졌습니다. 해당 악성코드는 구 버전 윈도우에 존재하지 않는 기능을 호출하기 때문에 구 버전에서 실행될 시 오류가 발생한다는 것입니다.

또 다른 흥미로운 점은 ZCRYPT는 USB 플래시 드라이브에 복사본을 만들어 이를 통해 확산을 시도한다는 것입니다. 크립토 랜섬웨어의 경우 대부분 악성 광고 또는 스팸 메일을 통해 확산되기 때문에 이동식 드라이브로 확산을 시도하는 행위는 크립토 랜섬웨어로에서는 흔치 않은 것입니다.


C&C 서버

C&C 서버의 도메인 명은 poiuytrewq.ml 이었습니다. 이것은 QWERTY 키보드의 제일 상단 qwertyuiopdml를 거꾸로 적은 것입니다. 도메인의 .ml은 2013년 4월부터 무료로 제공되었습니다. 도메인 등록이 등록자의 신원을 노출하지 않기 때문에 익명으로 공격을 진행할 수 있었으며, 현재 해당 도메인은 ‘취소됨’, ‘중지됨’, ‘거부됨’, ‘예약됨’으로 태그되어 있습니다.


대응하기

백업은 크립토 랜섬웨어를 예방하는 가장 좋은 방법입니다. 3-2-1 규칙을 시행하여 백업을 생활하면 유사한 공격을 당한 상황에서도 안심할 수 있습니다. 
또한 공격을 받아도 몸값을 지불하지 않을 것을 강력하게 권장합니다. 공격자들이 돈을 계속 벌어들인다면 이는 결국 계속되는 공격으로 이어지기 때문입니다.


트렌드마이크로의 대응

트렌드마이크로는 ZCRYPT와 같은 크립토 랜섬웨어로부터 대기업, 중소기업 및 개인을 보호하기 위한 다양한 솔루션을 보유하고 있습니다.

대기업은 다층방어를 통해 단계별 위협 보안을 구성할 수 있습니다. Deep Discovery Email Inspector는 이메일로 들어오는 랜섬웨어가 사용자에게 도달하지 못하도록 방어합니다. Office Scan은 동작 모니터링, 애플리케이션 관리, 취약점 보호 등의 기능을 통해 엔드포인트를 보호합니다. Deep Discovery Inspector는 네트워크 상에서 랜섬웨어를 감지하며, Deep Security는 물리적, 가상, 클라우드 서버를 보호하는 역할을 합니다.

개인용 클라이언트 종합 보안 제품 맥시멈 시큐리티 역시 랜섬웨어가 무단으로 데이터를 암호화하거나 변경하려는 움직임을 감지하고 차단하는 기능을 가지고 있습니다.

최근 트렌드마이크로에서 발표한 무료 툴인 트렌드마이크로 화면 잠금 랜섬웨어 도구는 화면잠금 랜섬웨어를 감지하여 제거합니다. 또한 트렌드마이크로 크립토 랜섬웨어 파일 복호화 툴은 피해자가 돈을 지불하거나 복호화 키를 사용하지 않아도 특정 종류 및 버전의 크립토 랜섬웨어를 복호화 할 수 있는 도구 입니다.

티핑포인트는 5월 31일부터 해당 취약점 공격에 대한 보호를 제공하고 있습니다.

• 24733: HTTP: Ransom_ZCRYPT.A


관련해쉬:

D14954A7B9E0C778909FE8DCAD99AD4120365B2E – Ransom_ZCRYPT.A 


원문: Crypto-ransomware Attacks Windows 7 and Later, Scraps Backward Compatibility




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


최신 버전 윈도우만 공격하는 ZCRYPT 랜섬웨어, 의도인가? 실수인가?

https://www.trendmicro.co.kr/kr/blog/crypto-ransomware-attacks-windows-7-later-scraps-backward-compatibility/index.html




참고링크 


<유료안티바이러스 제품비교>


COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 14. 13:51



게시일: 2016-05-24 l 작성자: Michael Miley

아직 랜섬웨어의 피해자가 아니라 할지라도, 랜섬웨어를 들어보지 못한 사람은 없을 것입니다. 랜섬웨어의 공격에 대해 들어보았다면, 어떻게 이러한 공격으로부터 자신을 방어할 수 있을 지 고민할 것입니다.

랜섬웨어는 컴퓨터 또는 컴퓨터 내의 파일을 암호화하여 돈을 지불할 때까지 복호화 해주지 않는 매우 지독한 형태의 악성코드입니다. 최근 랜섬웨어의 공격이 심각해지고 있습니다. 2014년도에만 트렌드마이크로에서 15,000~48,000개의 “크립토 랜섬웨어”라 명명된 샘플을 발견했습니다. 이것은 2013년과 비교하여 27배 증가한 수치입니다.

랜섬웨어는 감염된 웹사이트, 스팸메일, 또는 다른 악성코드에 포장되어 컴퓨터로 침투합니다. 최근 복호화 하기 위한 몸값(ransom)이 치솟고 있습니다. 미화 24달러부터 시작한 몸값은 최근 평균 600달러까지 이릅니다. 하지만, 이를 지불하는 것이 컴퓨터 또는 파일의 암호를 해제할 수 있는 완벽한 보장을 하지는 않습니다.

그렇다면, 어떻게 랜섬웨어로부터 안전할 수 있을까요? 다음의 안전 수칙을 단계별로 따라해보세요.

  • 확인되지 않은 이메일을 열거나, 내포된 링크를 클릭하지 않습니다.
  • 3-2-1백업 규칙을 생활화 합니다: 3개의 복사본, 2개의 다른 형식으로, 1개의 오프라인 백업.
  • 소프트웨어, 프로그램, 애플리케이션을 정기적으로 업데이트하여 새로운 취약점에 대해 최신 보안을 적용합니다.
  • 마지막으로, 트렌드마이크로 백신을 사용하여 컴퓨터를 보호합니다.

트렌드마이크로 안티 랜섬웨어 툴

트렌드마이크로 백신은 바이러스, 피싱 및 기타 온라인 위협을 차단하는 것을 포함하여 위험한 웹사이트 차단합니다. 이는 웹사이트, SNS, 이메일, 채팅창에서 발견되는 링크도 포함합니다.

또한 다층 보안 전략으로 화면잠금(Screen Locker) 또는 암호화 랜섬웨어로부터 사용자를 보호합니다.

알려진 랜섬웨어나 악성코드의 경우, 트렌드마이크로의 실시간 보안검색이 이를 탐지하여 다운로드 또는 설치를 방지합니다.

화면잠금 랜섬웨어로부터 보호

알려지지 않은 화면잠금 랜섬웨어의 경우, 트렌드마이크로 보안이 의심스러운 설치 행동을 파악하여 자동으로 랜섬웨어를 삭제합니다.

만약, 랜섬웨어가 이러한 보안을 뚫고 감염에 성공했을 경우, 다음의 2가지 치료 방법이 있습니다.

  • 트렌드마이크로 백신 고객지원 엔지니어의 도움을 받아 컴퓨터 복호화 작업 및 화면잠금 랜섬웨어를 삭제할 수 있습니다.
  • 트렌드마이크로의 무료 안티 랜섬웨어 툴을 다운로드하여 컴퓨터 복호화 및 랜섬웨어를 삭제할 수 있습니다.

크립토 랜섬웨어로부터 보호

알려지지 않은 크립토 랜섬웨어의 경우, 트렌드마이크로 백신이 암호화 시작 시점에 타겟 파일을 즉시 백업하고, 암호화 프로세스를 중단한 뒤, “의심스러운 프로그램 중단”이라고 적힌 팝업이 생성됩니다. 공격받은 파일은 기존 위치에 영향을 받지 않고 그대로 남아 있습니다.

팝업 창의 “프로그램 삭제”를 클릭하면, 트렌드마이크로 백신이 랜섬웨어 파일을 즉시 삭제하고 필요할 경우, 시스템을 다시 시작합니다.

경우에 따라 잔여 악성코드 제거를 위해 트렌드마이크로 백신을 사용하여 전체 시스템 수동 검사를 요구할 수 있습니다. 이는 랜섬웨어 감염 전 상태로 컴퓨터를 완벽하게 복구하기 위한 작업입니다.

간단히 말해, 사용자의 컴퓨터, 파일, 그리고 돈이 안전하게 보호받을 수 있습니다. 공격자는 빈 손으로 돌아갈 수 밖에 없습니다.

화면잠금 및 크립토 랜섬웨어로부터 최선의 방어 구축하기

트렌드마이크로 백신과 안티 랜섬웨어 툴은 화면잠금 및 크립토 랜섬웨어로부터 보호하기 위한 최선의 방어입니다.

트렌드마이크로에서 제공하는 랜섬웨어에 대한 자세한 정보를 얻고 싶다면 링크를 클릭해주세요: 랜섬웨어 대응센터

트렌드마이크로 안티 랜섬웨어 툴 사용에 대한 가이드 및 다운로드를 원하시면, 링크를 클릭해주세요: 트렌드마이크로 안티 랜섬웨어 툴(가정용)

트렌드마이크로 랜섬웨어 영상을 시청하시려면 클릭해주세요: 트렌드마이크로 백신 – 랜섬웨어 방어

트렌드마이크로 백신에 대한 추가 정보는 아래 웹사이트에서 얻으실 수 있습니다: 
http://www.trendmicro.co.kr/kr/home/products/software/maximum-security/index.html


원문: Fighting Ransomware with Trend Micro Security 10 and the Trend Micro Anti-Ransomware Tool




본문은 <트렌드마이크로 보안블로그>의 저작물입니다.


트렌드마이크로 안티 랜섬웨어 툴을 활용하여 화면잠금 랜섬웨어에 대처하기

https://www.trendmicro.co.kr/kr/blog/fighting-ransomware-with-trend-micro-security-10-and-the-trend-micro-anti-ransomware-tool/index.html




참고링크 


<유료안티바이러스 제품비교>

COMMENT : 0 TRACKBACK : 0

날짜

2016. 7. 13. 15:10

위로가기