月光愛靑狼

1. 개요

• 지난 3월 기상청 산하 기상산업기술원 홈페이지가 중국발 공격으로 인해 관리자 권한이 탈취되어 고객개인정보가 유출됨

2. 내용

• 기사 내용
• 지난 3월 기상청 산하 기관인 한국기상산업기술원 홈페이지가 허술한 보안관리로 해킹되어 고객들의 개인정보가 유출됨
  ※ 한국시상산업기술원 : 기상청 산하 기관으로 기상산업 진흥·발전, 기상정보의 활용 촉진 및 유통을 효율적으로 지원. 현재는 기상청의 지진조기경보관측망과 지상·고층 기상관측망을 운영하고 있으며, 기상레이저 유지보수 등의 업무도 담당
• 해킹의 원인으로는 기술우너 홈페이지 방화벽 정책이 외부 접속이 가능한 환경으로 설정되어 있었으며, 특히 2016년 홈페이지를 개편한 이후 위탁업체에서 최초로 설정했던 쉬운 문자열의 계정과 암호를 변경하지 않고 그대로 사용
  - 홈페이지 해킹 다시 설정되었던 관리자 아이디 및 암호

• 홈페이지에서 개인정보를 수집하는 항목은 클린신고센터, 고객의 소리, 측기검정, 기업지원 신청서 접수 등 4가지 항목
  - 측기검정 신청 항목에는 기상측기검정 민원인의 이름, 생년월일, 주소, 전화번호, 이메일 등을 의무로 기재

1. 개요

• 한국을 집중 공격하는 마이랜섬(My Ransom) 랜섬웨어 확산

2. 내용

• 기사 내용
• 마이랜섬 랜섬웨어는 케르베르(Cerber) 랜섬웨어의 변형으로 매그니튜드 익스플로잇 킷을 통해 유포되며 해외에서는 매그니베르 또는 매그니버 랜섬웨어로 불리기도 함
  - 국내에서 최초 발견한 순천향대 SCH사이버보안연구센터가 마이랜섬 랜섬웨어로 작명
• 매그니베르는 매그니튜드(Magnitude) 익스플로잇 킷(Exploit Kit)과 케르베르(Cerber) 랜섬웨어의 합성어로 케르베르 랜섬웨어에서 변형되어 매그니튜드 익스플로익 킷을 통해 유포되는 새로운 랜섬웨어
  ※ 익스플로잇 킷(Exploit Kit)이란 악성코드를 유포하기 위해 사용하는 공격도구
• 지난 2017년 3월 파이어아이는 다이나믹 위협 인텔리전스(Dynamic threat Intelligence, DTI) 리포트를 통해 한국어 시스템만 공격하는 매그니베르 랜섬웨어에 대해 경고
  - 2017년 9월 말까지 보이다 사라졌ㅇ며, 지난 10월 15일 다시 한국만을 공격
  - 시스템의 언어가 한국어가 아닌 경우 실행되지 않음
• 최근까지 이메일을 통해 케르베르 랜섬웨어를 유포한 공격자들은 매그니베르 랜섬웨어를 유포
• 다시 등장한 매그니튜드 익스플로잇 킷은 온라인 광고를 통해 악성코드를 유포하는 멀버타이징(Malvertising) 형태로 확인됐으며, 랜딩 페이지는 파이어아이가 발견한 후 보고한 CVE-2016-0189로 구성됨
  ※ CVE-2016-0189 : 스크립팅 엔진 메모리 손상 취약점
  공격자가 피싱이나 E-Mail 등을 통해 URL클릭을 유도하여 악성코드나 임의의 코드를 실행할 수 있는 공격 방법으로 윈도우 익스플로러 8,9,10,11 버전에서 발생
• 샌드박스 시스템을 피하기 위해 해당 멀웨어는 가상머신에서 구동되는지 확인을 하고, 그 결과를 URL 콜백으로 첨부
• 가상머신 확인은 평균적으로 실행에 소용되는 시간을 확인하기 위해 여러 차례에 걸쳐 진행됐으며, 평균 소요시간이 1000보다 큰 경우 해당 시스템을 가상머신으로 분류
• 테스트가 실패한 경우 또는 멀웨어가 해당 시스템을 가상머신으로 판단한 경우에는 URL 마지막에 숫자 1을 기입하고, 가상머신이 아니라고 판단된 경우에는 숫자 0을 기입
  - URL 형식은 hxxp://[19 charater pseudorandom string].[callback domain]/new[0 or 1]

1. 개요

• 제주항공 도메인 비롯한 국내 다수 웹사이트, 광고 배너 통해 마이랜섬 유포

2. 내용

• 기사 내용
• 23일 오전 국내 저가항공사인 제주항공 도메인(www[.]jejuair[.]co[.]kr)을 비롯해 국내 여러 웹사이트에서 한국을 타깃으로 제작된 '마이랜섬(My Ransom)' 랜섬웨어가 지속적으로 유포됨
  - 온라인 광고를 통해 악성코드를 유포하는 멀버타이징(Malvertising) 형태로 유포
• 마이랜섬 랜섬웨어는 광고 서버를 통해 유포되었으며, IP로 인증하기 때문에 다른 IP에서 접속할 경우 또 다시 감염되는 것으로 분석됨
• 제주항공의 경우 www[.]jejuair[.]net을 대표 홈페이지로 사용하고 있지만, 마이랜섬 랜섬웨어가 유포된 도메인은 www[.]jejuair[.]co[.]kr으로 도메인 파킹서비스 가입
  ※ 도메인 파킹이란?
  일반적으로 완성하지 못한 홈페이지나 수정중에 있는 홈페이지의 메임에 임시안내 페이지를 보여주는 서비스이며, 사이트가 비활성화된 도메인의 소유자가 가지고 있는 도메인의 메인에 광고를 달아 누군가가 광고를 클릭할 때마다 발생하는 수익을 얻게 되는 서비스의 도메인 파킹도 있음
• 마이랜섬 랜섬웨어는 케르베르(Cerber) 랜섬웨어의 변형으로 매그니튜드 익스플로잇 킷을 통해 유포되며 해외에서는 매그니베르 또는 매그니버 랜섬웨어로 불리기도 함
  - 국내에서 최초 발견한 순천향대 SCH사이버보안연구센터가 마이랜섬 랜섬웨어로 작명

1. 개요

• 하나투어 해킹에 악용됐던 악성코드가 통신하는 C&C서버 IP와 공항 자동출입국시스템 제공 SI업체 IP대역 유사

2 내용

• 기사 내용

• 하나투어의 개인정보 유출에 악용됐던 악성코드와 통신하는 C&C서버(명령제어 서버)의 IP 대역이 이보다 앞서 해킹된 공항 자동출입국 시스템 제공업체 홈페이지의 IP대역과 유사
• 기존 북한 추정 사이버공격의 공격방식과 동원된 악성 프로그램도거의 동일하다는 의견 제시
• 악성코드가 심어진 SI업체 홈페이지가 하나투어 악성코드 공격에 C&C 서버로 사용됐을 가능성이 높음
• 하나투어에 비트코인을 요구하며 개인정보 유출 사실을 협박할 때 사용된 악성 프로그램 역시 2016년 보안업체 모듈로 위장해 공격한 악성프로그램과 유사
  - 금융 보안 모듈로 위장한 해당 악성프로그램은 2016년 1월 제작됐으며, 하나투어에 유포된 악성 프로그램은 지난 6월 제작됨
  - 2016년 국방부, 보안업체 A사와 B사, ATM사, 금융권 관련 웹사이트 공격에 사용된 악성코드와 유사

1. 개요

• 국내 공항의 자동 출입국 시스템을 담당했던 SI업체의 웹사이트가 해킹돼 방문자를 대상으로 악성코드 유포

2. 내용

• 기사내용
• 인천공항 등 국내 공항의 자동 출입국 시스템을 담당했던 업체의 홈페이지가 신종 해킹수법인 '월터링 홀(Watering-hole) 유형의 해킹 공격을 당함
  ※ 워터링 홀 : 사자가 물웅덩이에 매복해 먹잇감을 기다리듯, 공격대상이 평소 자주 방문하는 웹사이트나 홈페이지 등에 미리 악성코드를 심어두는 해킹 방식
• 13일 공항 자동 출입국 시스템과 관련된 시스템 개발(SI)업체 홈페이지를 통해 악성코드 유포
  - 엑티브엑스를 실행하면 악성코드가 자동으로 설치되는 형태
  - 13일 악성코드 제거 및 취약점 조치 완료
  - 해당 홈페이지는 목동 KT IDC에 있으며 보안관제 서비스 규정에 따라 운영 중
  - 홈페이지는 업무용 내부망과 분리되어 있어 홈페이지 해킹을 통한 내부자료 접근 불가
  - 내부망은 가상화 솔루션이 적용되어 있으며, 홈페이지는 회사소개용(사업소개, 뉴스, 자료실, 채용정보 등)으로 방문자가 일평균 13명 내외로 웹사이트에 개인정보는 저장되어 있지 않음
• 한국인터넷진흥원에서 IP주소를 추적한 결과 캐나다 국정으로 확인
• 해당 업체 대표는 공항 자동 출입국 시스템 유지보수 업무가 지난해 12월 31일로 종료되어 정부방침에 따라 모든 자료를 반납하고 철수했고, 이번 악성코드가 올해 5월 31일에 홈페이지에 설치되었다고 해서, 국내 공항 출입국 시스템이 해킹 될 가능성은 낮다는 입장 표명

1. 개요

• 국내 최대 여행사인 하나투어가 해킹 공격으로 100만건에 달하는 회원 개인정보 유출

2. 내용

• 기사내용
• 하나투어는 유지보수업체 직원의 PC가 악성코드에 감염된 사실을 파악한 뒤 조사를 진행하던 중 9월 28일 고객 개인정보가 유출된 정황 파악
• 유출된 내용은 이름, 휴대전화 번호, 주민등록번호, 집 전화번호, 집 주소, 이메일 주소 등으로 확인
• 해당 개인정보 내용은 2004년 10월부터 2007년 8월 사이에 생성된 파일 추정
• 지난 10월 한국인터넷진흥원(KISA)에 신고하여 조사를 진행 중이며 경찰에도 신고된 상태
• 서울 종로경찰서는 하나투어 측이 지난달 28일 서버관리자 계정을 해킹당해 100만여건에 육박하는 고객정보가 유출됐고 비트코인을 요구하는 협박까지 받았다고 17일 밝힘
  - 사이버 관련 전문수사가 필요하다고 판단해 경찰청 사이버안전국으로 수사를 넘긴 상태

1. 개요

• 토털 뷰티 쇼핑몰 '뷰티퀸' 고객정보 유출 공지

2. 내용

• 기사내용

• 제이피컴퍼니 측은 "유출 사실을 확인한 후, 경기분당경찰서 사이버수대에 즉각 신고했으며, 현재 경찰과 적극 협력하면서 고객들에게 발생할 수 있는 피해를 예방하고 유사 사례를 방지하기 위해 모든 조치를 취하고 있다"고 설명
  - 고객들의 개인정보를 보호하기 위해 개인정보보호법과 정보통신망법에서 제시한 모든 보안관련 사항을 엄격히 준수해 로그인 한지 1년 이상 지난 회원의 정보를 암호화 처리했다고 함
• 유출된 내용은 이름, 성별, 생년월일, 연락처, 휴대전화, 주소, 이메일, 아이디 등으로 확인
  - 회사 측은 고객정보의 유출규모는 밝히지 않음
• 이와 함께 제이피컴퍼니 측은 뷰티퀸의 서비스 종료 소식도 전함
  - 뷰티퀸은 오는 10월 31일까지 운영될 예정으로, 서비스 종료와 동시에 모든 회원 정보는 파기될 예정
  - 최근 1년 이내 주문 내역은 교환환불반품 이슈로 인해 한달 간 보관 후 파기될 예정
  - 현재 적립금을 보유하고 있는 뷰티퀸 회원만 10월 31일까지 구매가 가능하며, 신규 회원 가입, 네이버 페이 주문, 뷰티퀸 모바일 서비스는 종료
• 제이피컴퍼니 측이 고객정보 유출 사실을 공지하는 동시에 서비스 종료 사실을 알리면서 고객정보 유출과 서비스 종료 사이에 인과관계가 주목받음
  - 고객정보 유출로 사업에 큰 타격을 입었거나 향후 입을 손실을 감안해 서비스 종료까지 결정했다는 추측 가능
• 
  

침해 사고가 발생해 악성코드 감염이 의심되는 시스템에서 생성한 메모리 덤프 파일을 분석하기 위해서는 다음 같은 6단계의 절차를 이용하여 메모리 분석을 진행할 수 있습니다.

1) 운영체제 분석
- 어떠한 운영체제에서 생성한 Memory Dump인지 분석

2) 프로세스 분석
- 생성한 Memory Dump에서 실행 중이거나 은폐된 Process 및 그와 관련된 정보들을 분석

3) 네트워크 정보
- 생성한 Memory Dump에서 활성화되거나 은폐된 Network 및 그와 관련된 정보를 분석

4) DLL 및 쓰레드 분석
- 특정 Process에서 load한 DLL 정보나 Thread 정보들을 분석

5) String 분석
- 생성한 Memory Dump 전체 또는 Binary 형태로 추출한 Process 및 DLL Memory Dump에서 특정 string 분석

6) 레지스트리 분석
- 생성한 Memory Dump 전체에서 Windows Registry 관련 정보들을 분석

1) Process와 Threads
- 실행 중이거나 종료되었지만 Memory에 남아 있는 정보들 추출

2) Modules와 Libraries
- 실행 중이거나 종료되었던 Process 관련 Modules와 Libraries 정보들 추출

3) Open Files와 Sockes
- 실행 중이거나 종료되었던 파일들과 Network 연결 관련 Socket 정보들 추출

4) Various Data Structures
- Memory에만 존재하는 다양한 Data의 구조 정보들 추출

1. 개요

• 새벽 배송으로 유명한 온라인 푸드 마켓 '마켓컬리'가 해킹으로 인해 34만 명 고객정보 유출

2. 내용

• 기사내용
• 20일 세차례에 걸쳐 해킹 공격을 받았으며, 마지막 세 번째 공격에서 기존회원 뿐만 아니라 휴면계정 회원 34만 명의 고객정보가 유출됨
• 해킹으로 유출된 고객정보는 회원 아이디, 전자우편, 연락처(전화번호/핸드폰번호), 암호화된 비밀번호(식별 및 암호해독 불가능) 등이며, 고객이름, 주소, 구매내역, 출입방법, 배송정보, 신용카드 번호를 비롯한 결제정보 등은 모두 안전한 것으로 학인했다고 함
• 새벽에 음식이나 식자재를 배송하는 만큼 배송지 출입방법, 예를 들면 공동현관의 비밀번호라던가 경비실 호출 등을 배송 요청에 작성하게 되어 있어 만에 하나 이 정보가 유출됐다면 추가 피해가 우려되는 상황
• 마켓컬리는 사건발생 직후 해당 IP와 불법접속 경로를 차단하고 웹방화벽을 강화 및 무차별적인 웹 로그인 시도를 막기 위해 CAPTCHA(자동 계정 생성방지 기술)을 적용함