月光愛靑狼

1. 개요

• 보안업체 에베스트(Avast)에서 인수한 최적화 프로그램 씨클리너(CCleaner)의 모듈이 변조되어 악성코드가 유포된 정황이 포착되었으며, 디지털 인증서까지 탈취돼 이용자들의 주의 요구

2. 내용

• 기사내용

• 8월 15일 출시된 씨클리너 v5.33.6162 윈도우 32비트와 씨클리너 클라우드 1.07.3191 윈도우 32비트 버전의 모듈이 변조됨
  - 시클러너는 임시 파일을 제거하고 시스템 성능을 최적화하며 설치된 프로그램 관리를 간소화함으로써 PC 성능을 향상시켜주는 프로그램
• 이후 9월 12일 버전 5.34(정식 버전)가 출시됐는데, 그 때까지 약 1개월 정도가 악성코드 감염에 노출되었으며 9월 13일 모듈이 변조된 사실 발견
• 9월 18일 어베스트 코리아 블로그에 씨클리너 제품에서 특정 IP로 데이터를 주고받는 현상을 포착하고 관련 분석을 통해 무단 변조된 사실을 파악
• 추가 분석을 진행하는 과정 중에 C&C 서버가 다운되고 공격자가 보유한 것으로 추정되는 서버들도 제어할 수 없는 상황으로 파악되어 해킹으로 인해 추가적인 피해가 발생하기 전에 위협이 해소됐다고 밝힘
• 이번 사건은 지난 8월에 발생한 넷사랑 소프트웨어 모듈 변조사건과 매우 유사한 데다가 비슷한 시기에 발생했으며, 하반기 보안위협으로 우려돼 왔던 SW 개발사를 통한 우회 공격이라고 할 수 있음
• 최근 발생한 대부분의 백도어 관련 이슈에서는 C&C로 연결하는 방식이 거의 HTTPS(SSL)가 표준으로 자리매김하는 추세로 SSL 프로토콜의 특성상 탐지하기 위해서는 로컬 PC 또는 네트워크 장비에서 패킷을 분석해야하는 한계가 있음

1.개요

• 최근 경찰은 국내 20여개 업체가 보유한 3300만건에 이르는 개인정보를 빼돌린 20대 해커 송모씨를 검거 구속하였으며, 수사 과정에서 유출사실을 기업에 알려주기 전까지 해킹당한 업체들은 개인정보 유출에 대해 모르고 있었음
  

2. 내용

• 기사내용

• 2016년 10월 송모씨는 중국인 해커 등을 고용해 유진투자선물의 데이터베이스 보안망을 뚫고 서버에 저장된 개인정보 30만건을 빼돌림
  - 지난해 10월부터 해커가 검거된 7월까지 회사 측은 해킹 사실을 전혀 인지하지 못하고 있었음
  - 해킹단한 개인정보는 2013년 9월 4일부터 2016년 10월 19일 사이 상속인 금융거래조회 민원서비스 이용과정에서 제출된 신청인 등의 이름, 주민등록번호, 주소, 휴대폰번호, 이메일주소
  - DB 암호화 조치 등을 했다고 하나 보안의 허점이 있었던 것으로 보임
  - 압수한 송씨의 노트북에서 유진투자선물 외 남양유업과 탐앤탐스 등 19개 업체가 보유했던 개인정보 확인
• 남양유업은 2011년 5우러부터 2015년 말까지 가입한 회원 일부의 ID, 이름, 이메일, 생년월일, 연락처, 주소가 유출됨
• 커피전문점 탐앤탐스는 과거 운영하던 홈페이지에 2011년 11월부터 2015년 12우러 사이에 가입한 정보로 아이디, 이메일, 생년월일, 휴대전화 번호, 이름이 유출되었으나, 개인 주민등록번호와 비밀번호는 유출되지 않은 것으로 파악됨
  - 현재 운영 중인 홈페이지 회원정보는 암호화 처리되고 있으며 이번 해킹과 무관하다고 밝힘
• 중소기업융합중앙회는 2013년 7월 12일부터 2016년 10월 19일 사이 가입한 정보로 대표자성명, 대표자생년월일, 대표자이메일주소, 담당자성명, 담당자휴대번호, 담당자전화번호, 담당자이메일주소가 유출됨
• 국내 1위 학술논문 사이트 디비피아(DBpia)는 2014년 12월 31일 이전 가입한 개인회원의 이름, 아이디, 생년월일, 전화번호, 이메일이 유출됨
• 화장품 회사인 미구하라는 2017년 7월 26일 이전에 가입한 정보로 성명, 전화번호, 생년월일이 유출됨

1. 개요

• 올해 3월 확인된 청호이지캐쉬 현금자동입출금기(ATM) 서버 해킹사건은 외화벌이를 노린 북한 해커의 소행으로 드러남

2. 내용

• 기사내용

• 북한 해커가 국내 ATM기 업체 백신 서버의 취약점을 이용해 전산망을 해킹한 뒤 ATM기 63대에 악성프로그램을 유포시켰고, 피해자들의 전자금융거래정보 23만 8천여 건을 국내에 설치한 탈취 서버를 통해 빼냄
  - 북한 해커와 접촉한 중국인 A씨는 한국인 B씨에게 국내에 정보탈취서버를 설처토록 함
  - 지난해 9월 경 악성프로그램을 VPN을 경유, 유포
  - 올해 2~3월 사이 해당 ATM에서 카드를 사용한 소비자들의 금융정보 수집
  - 감염된 ATM을 이용한 피해자들의 금융정보는 B씨가 설치한 탈취서버를 통해 유출
  - 유출된 금융정보는 카드번호, 유호기간, 카드비밀번호, 결제은행, 결제계좌, 잔액, 이름, 주민번호, 법인번호 등
  - 해킹에 사용된 악성코드는 지난해 5월 국방부 전산망 해킹 악성코드와 동일한 키로거와 원격 제어 등이 재사용 됨
  - 또한 지난해 SK 그룹 해킹 사건에 사용됐던 탈취서버가 재사용됨
  - 해커는 지난해 대규모 해킹 당시 지적됐던 보안 취약점이 보안된 보안 프로그램 업데이트를 미루는 사이를 틈타 악성프로그램을 감염시켜 정보 탈취
  - 외부에서 원격으로 파일을 업로드 할 수 있는 취약점 이용
• 핵심 피의자인 중국인 A씨가 "복한에 들어가서 해당 금융정보를 구입해 USB에 담아왔다"며 "북한 해커가 이익금은 4(북한)대 6으로 나누자고 했다"고 진술
  - 실제 돈이 북한으로 흘러 들어갔는지는 확인되지 않음
• 해킹에 사용된 IP 추적 결과 북한 지역으로 명확하게 나타난 것은 없음

[경찰청 사이버안전국]

• 전자금융거래정보를 북한 해커로부터 받아 신용카드 복제에 사용한 피의자 4명을검거해 정보통신망법 위반 등의 혐의로 구속
  - 유출된 금융정보는 한국, 대만, 태국, 일본 등으로 판매 됨
  - 금융정보를 구입한 한국인들은 현금인출, 대금결제, 하이패스 카드 충전 등으로 605명의 신용카드에서 4억 2,799만원 상당의 금액을 인출,결제하려했고, 이중 96명의 신용카드에서 모두 1억 264만우너을 부정 결제
  - 해외로 도피한 나머지 피의자와 중국에 거주 중인 피의자들에 대해서는 인터폴 적색수배와 국제공조수사 등을 통해 계속 추적 예정

[경찰청 사이버안전국]

1. 개요

• 이스트 소프트의 회원 아이디와 비밀번호가 담긴 개인정보 13만여건 유출

2. 내용

• 기사내용

• 이스트 소프트는 지난 9월 1일 신원 미상의 공격자로부터 고객 정보를 볼모로한 협박 메일을 받음
• 공격자가 증거로 제시한 정보가 알툴즈 사용자 계정 정보 13만여건과 일치하는 것이 확인 됨
• 해커가 이스트소프트 서버에 직접 침투해서 정보를 탈취했을 것으로 의심되는 증거는 발결되지 않음
• 지난 몇 년간 발생한 개인정보 침해사고에서 유출된 다수의 개인 정보를 토대로 알툴즈 사이트 로그인을 시도한 '도용'에 무게를 두고 있는 상황
• 추가 이용 피해 방지를 위해 KISA와 결찰이 조사 진행 중
• 침해된 개인정보 항목 : 알툴즈 사이트 아이디, 비밀번호, 알패스 제품에 등록된 외부 사이트 리스트 및 계정 정보
• 알툴즈 고객 대처 방법
  - 알툴즈 사이트에 안내되어 있는 '개인정보 침해 사실 조회' 창을 통해, 자신의 개인정보가 침해되었는지 확인
  - 개인정보가 침해된 사용자는 알패스에 저장된 외부 사이트의 아이디, 패스워드가 노출되었을 수 있으니, 알패스 사이트 목록을 확인하고 반드시 비밀번호 변경
  - 침해되지 않은 사용자의 경우에도 혹시 모를 피해 예방을 위해, 알툴즈 사이트 로그인 후 비밀번호 변경(특수문자, 대소문자, 숫자 조합 10~20자)
  

1. 개요

• LG전자서비스 셀프 접수 시스템에 악성코드 감염으로 서비스 중지 발생

2. 내용

• 기사 내용

• LG전자서비스의 서버(상암센터)가 악성코드에 감염됨
• LG전자서비스 서버는 각 지역에 있는 모든 LG전자 서비스센터의 서버들을 관리하는 중앙 집중 형 서비스 형태
• 금번 악성코드 감염으로 인해 모든 LG전자서비스 센터 업무가 마비됨
• 상암센터 서버는 전국 각 지역의 서버를 관리하고 있는 서버이며 이로 인해 전체 서비스센터 서버가 감염 되었을 것으로 추정
• 8월 14일 OS업데이트 및 백신업체를 통해 악성코드 조치
• 8월 15일 오전에 악성코드 관련 조치율 99% 완료
• 현재 KISA 및 과학기술정보통신부에서 감염원인 및 피해규모 파악 중앙

• 추가 내용

• CGV에서 키오스크시스템에 워너크라이 랜섬웨어 사고 발생 이력 존재
  - 키오스크 시스템은 윈도XP(EOS)를 사용하는 부분이 대다수이며 보안업데이트, 백신설치 등의 기본적인 보안 대응방안의 사각지대에 놓여 있음
  - 결제 시스템이 포함된 키오스크시스템도 다수 존재함(CGV도 결제 기능 존재)
• 국내 키오스크 OS의 99%는 윈도 기반으로 제작됨
• 기사 내용에서 보면 OS업데이트를 통해 조치 시행중이라는 내용이 있음
  - 내부망과 연결가능한 키오스크시스템이 OS업데이트가 주기적으로 되고 있지 않았음
• LG전자서비스 키오스크시스템이 내부망 DATA(서비스센터 방문자 개인정보, 처리 이력 등)에 접근가능 할 경우 크리티컬한 문제 가능성 존재

1.개요

• 넷사랑컴퓨터社 Xmanager, Xshell, Xftp, Xlpd 제품에서 사용하는 DLL 파일이 악성으로 변조되어 배포됨에 따라 사용자의 주의 및 긴급 패치 필요

2. 내용

• 상세내용

• '17년 7월 18일 넷사랑컴퓨터社에서 배포한 소프트웨어에 변조된 악성 DLL 파일이 포함
  유관기관(KISA 등) 및 관련업체(카스퍼스키 등) 협조를 통해 상세 정보 파악중에 있으면 결과는 추후 공지 예정

• 악성 파일 정보
  악성 DLL 파일 포함 제품

- Xmamager Enterprise 5 : 통합 보안 연결 솔루션
- Xmanager 5 : 강력한 PC X 서버
- Xshell 5 : 터미널연결 솔루션의 표준
- Xftp 5 : 편리한 파일 전송 프로그램
- Xlpd 5 : 원도우용 LPD 프린터 서버

• 악성 DLL 파일

• 증상 및 동작 내용
  악성 DLL 파일 내부에는 암호화된 추가 코드가 존재하며 복호화 후 실행됨
  복호화 코드는 추가 파일 다운로드, 프로세스 실행 등의 기능 수행

1. 개요

• 2017년 7월 6일 워키리크스에 미국 중앙정보국(CIA)의 해킹 툴 코드 Vault 7 프로젝트 문서가 폭로됨

2. 내용

• 상세 내용

• 윈도우와 리눅스에서의 모든 활성화된 SSH 세션에 대한 사용자의 인증증명을 CIA 서버로 전송
• 윈도우에서는 넷사랑컴퓨터社의 Xshell을, 리누스에서는 OpenSSH 클라이언트를 사용하여사용자 인증정보를 수집
• 활성화된 SSH 세션에 대한 사용자의 계정을 훔쳐 CIA서버로 전송
  - Password authentication
  User Name, Passwod
  - Public key authentication
  User name, Private key, file name, private key password

1. 개요

• 최근 구글 플레이 앱스토어에 등록된 앱을 통해 모바일 리커로커(LeakerLocker) 랜섬웨어 유포 정황이 확인됨

2. 내용

• 기사요약

• 미국 보안업체 맥아피(McAfee)의 연구원을 통해 구글플레이 앱스토어에서 랜섬웨어 형태의 악성코드가 심어진 두 개의 응용 프로그램이 발견됨
• 해당 랜섬웨어는 파일을 암호화하는 다른 랜선웨어와 달리 스마트기기 자체를 잠그고 개인 데이터를 장치에 저장된 모든 연락처에게 공유하는 형태임
• 랜섬웨어에 감염되면 스마트폰의 개인정보를 볼모로 72시간 내에 몸값을 지불하지 않으면 주소록의 모든 사람에게 데이터를 전송한다는 협박 메시지를 출력함
• 맥아피 분석 결과 실제로 모든 개인 정보가 읽히거나 유출되진 않고 신용카드 정보만 빼돌리는 것으로 확인됨(신용카드 정보 내역은 확인된 바 없음)

• 감염경로

• 구글 플레이 스토어
  - 웰페이퍼 블러 HD(Wallpapers Blur HD) : 스마트폰의 배경화면을 바꿔주는 앱
  - 부스트 앤드 클리너 프로(Booster & Cleaner Pro) : 스마트폰 성능 최적화 앱

• 증상 및 동작 내용

• 두 악성 응용 프로그램은 설치 시 전화, SMS 읽기 및 보내기, 연락처 액세스 등 관련 없는 권한을 요청하거나 모든 권한에 액세스하는 부가기능을 실행함
• 부팅이 완료되면 악성 활동을 시작하는 AlarmManager를 시작하며 장치의 화면을 잠그고 백그라운드에서 개인 정보에 액세스 시도
• 스마트폰에 저장된 아래의 개인정보 목록에 액세스 시도
• 이메일 주소 일부 연락처, Chrome 검색기록, 일부 문자 메시지 및 전화, 사진 등
• 피해자가 특정 URL에 접속하여 결제를 하도록 유도하고 신용카드 번호 입력 후 결제하면 번호를 결제 URL로 전송함

1. 개요

• 최근 웹을 통한 매트릭스(Matrix) 랜섬웨어 유포 정황이 확인됨에 따라 사용자 주의 권고

2. 내용

• 기사 요약

• 악성코드가 숨겨진 웹사이트에 방문만 해도 감염되는 "Drive by Download" 방식으로 국내에 유포
• Drive-by-Download : 웹페이지의 취약한 보안 상태를 이용해 악성코드를 심어 놓고 사용자가 웹페이지 접속 시 사용자 모르게 악성 프로그램을 다운로드하여 감염시키는 수법
• 매트릭스 랜섬웨어에 감염이 되면 불법사이트 접속으로 파일을 암호화했으니 벌금을 내라는 FBI 사칭 경고문과 함께 비트코인으로 몸값을 요구함
• 해외에서는 3월, 국내에서는 지난 4월부터 유포되는 것이 확인되었으며, 국내에 대규모로 유포된 것은 금번이 두번째로 확인됨
  ※ 하우리 백신사에서 국내 다수 이용자들이 해당 랜섬웨어에 감염되었다는 소식을 전하고 있으나 국내 사고 내역에 대한 실제 사례는 확인되지 않음
• 유포된 랜섬웨어는 기존과 다르게 파일 확장자를 변경하지 않는 것으로 확인
  - MATRIX의 변형 과정
• 2017년 3월 Matrix 1차 변조 (.matrix)
• 2017년 4월 Matrix 2차 변조 (.b1010ckedl)
• 2017년 7월 Matrix 3차 변조 (확장자 변조 없음)

• 감염 경로

• 발신자가 불분명한 이메일 內 첨부파일 실행
• P2P를 이용한 파일 다운로드
  - 다운로드 파일 실행 시 파일 內 숨겨진 매트릭스 랜섬웨어가 실행되며 감염
  ※ P2P : Peer to Peer의 약자로 인터넷에서 개인과 개인이 P2P 프로그램을 이용하여 직접 파일을 공유
• 보안이 취약한 웹페이지 접속
  - TV 드라마/영화 등을 시청하는 스트리밍 사이트나 광고 팝업이 많은 취약한 뉴스, 블로그 사이트 접속을 통한 감염

• 증상 및 동작 원리

• 아래와 같은 파일 확장자를 암호화하여 정상 사용 불가
  

.xls, .xlsx, .doc, .docx, .pdf, .txt, .jpg, .psd, .wav, .mp4, .mpg, .avi, .wmv 등

• 바탕화면을 포함한 모든 폴더에 랜섬노트(WhatHappenedWithMyFiles.rtf)를 생성하여 사용자가 이를 열람하고 비용을 지불하도록 유도
• 96시간 이내에 해커의 메일로 연락하지 않을 경우 파일 복구가 불가능하며 12시간마다 복구비용을 100$씩 올리겠다는 내용이 포함됨
• 컴퓨터가 새로 시작될 때마다 랜섬노트 프로세스(mshta.exe) 실행

• 조치 방법

• [작업관리자] - [프로세스] 탭에서 mshta.exe.를 모두 종료
• C:\Users\Administrator\AppData\Roaming 폴더 내 감염 시기에 생성된 hta, ast, afn 파일들을 모두 삭제
• 시스테 복원 기능을 사용하여 암호화된 파일을 부분적으로 복원 가능
• 현재 100% 조치 및 복원은 불가능하며 포맷 권장

1. 개요

• 6월 10일 새벽 1시경 호스팅 업체 나야나 리눅스 서버 300대 중 153대가 에레버스(Erebus) 랜섬웨어 감염

2. 내용

• 상세 내용
• 망분리가 안된 것으로 보이며 내외부 백업파일까지 랜섬웨어에 감염됨
• Erebus 랜섬웨어는 32비트와 64비트 리눅스 운영체제(OS)를 모두 감염시키는 리눅스용 ELF 파일
  ※ ELF는 프로그램 구성요소를 바이너리 형태로 나열한 포맷으로, 윈도 시스템의 PE 파일 또는 맥 OS의 Mach-O 파일과 비슷한 성격
• 감염시킨 시스템의 네트워크 연결 상태와 무관하게 암호화하며, 암호화 대상이 되는 확장자는 압축파일, 문서, 음원, 동영상 등 총 433종으로 확인됨
• 감염 직후 증상으로는 암호화 대상 파일명이 '(알파벳,숫자조합).ecrypt'으로 바뀌며 '_DECRYPT_FILE.txt'와 '_DECRYPT_FILE.html' 2개 파일을 생성하여 피해자에게 감염사실을 통보하고 비트코인 결제를 요구함
• 다음 경로 내에 존재하는 파일은 암호화되지 않음
  /bin, /boot, /dev, /etc, /lib, /lib64, /proc, /run, /sbin, /src, /sys, /tmp, /usr, /var, /.gem, /.bundle, /.nvm, /.npm
• 해커는 복구대가로 서버당 10비트코인(3,271만원)을 요구하였으나 협상이 지체되자 요구가격을 5.4비트코인(1,755만원)까지 낮춘 상황
• 6개월 전 호스팅 업체 와우코리아가 동일한 Erebus 리눅스 랜섬웨어에 감염되어 신고했으나 한국인터넷진흥원(KISA)의 현장 조사를 받지 못해 감염사실이 외부로 알려지지 않았으며 돈을 주고 협상한 것으로 파악 됨
• 호스팅업체 나야나를 지정해 공격한 것으로 호스티업체를 공격하는 것은 비용 대비 효과가 크기 때문이며 서버 한곳만 뚫린다면 수천~수백만 곳의 웹호스팅 고객사를 대상으로 복구대가를 요구할 수 있음