2015년 2월 주요 정보보안 소식

1. 2015년 2분기
주요 정보보안 소식
2015.08.10
안랩 시큐리티대응센터(ASEC) 분석팀
차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7) 책임 연구원
공개판

2. © AhnLab, Inc. All rights reserved. 2
:~$whoami
Profile
− 차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7)
− 1988년 1월 7일 : Apple ][+ 복제품으로 컴퓨터 시작
− 1989년 : Brain virus 변형 감염
− 1997년 : AhnLab 입사
− AhnLab 책임 연구원 (Senior Antivirus Researcher)
− 시큐리티 대응센터(ASEC) 분석팀에서
악성코드 분석 및 연구 중
- 민간합동 조사단, 사이버보안 전문단
- AVED, AMTSO, vforum 멤버
- Wildlist Reporter

3. Contents
01
02
03
04
05
06
07
2015 년 국내 정보보안 소식
2 분기 국내 사건 사고
2015 년 국외 정보보안 소식
2 분기 국외 사건 사고
2 분기 주요 취약점과 악성코드
Case Study : 한글 지원 Ransomware
Case Study : 일본 연금기구 정보 유출

4. 01
2015 년 국내 정보보안 소식

5. © AhnLab, Inc. All rights reserved. 5
2015 년 국내 정보보안 소식
2015년 국내 정보보안 소식
− 1월 7일 : 모바일 상품권 부정 사용 의혹
http://www.boannews.com/media/view.asp?idx=44991&kind=0
− 1월 15일 : 정부, 400개 기관에 대한 사이버 안전 대진단 발표
http://www.mt.co.kr/view/mtview.php?type=1&no=2015011510033489266
− 1월 15일 : 사법부, 파밍 사건의 은행 책임 일부 인정
http://news.donga.com/3/01/20150115/69100947/1
− 1월 28일 : 전 남친 뒷조사하려고 군 홈페이지 해킹 시도한 여대생 검거
http://economy.hankooki.com/lpage/society/201501/e20150128142208117920.htm
− 1월 28일 : 안랩, 안랩 V3 모바일 3.0 일본 출시
− 2월 1 일 : CDN 업체 해킹으로 일부 정부 웹사이트 통해 악성코드 유포
− 2월 2일 : PG사 Active X 설치 대신 EXE 파일 다운로드 방식으로 변경 시작

6. © AhnLab, Inc. All rights reserved. 6
2015 년 국내 정보보안 소식
2015년 국내 정보보안 소식
− 2월 13일 : 부산 강서경찰서, 회사 자금을 관리하는 직원 컴퓨터에 악성코드를 심어 1억 원 빼돌린 혐
의로 신모(37) 씨 구속
http://www.yonhapnews.co.kr/society/2015/02/13/0701000000AKR20150213168100051.HTML?template
=5567
− 3월 2일 : SBS, 돈 받고 DDoS 공격한 보안업체 대표 양 모씨 보도
http://news.sbs.co.kr/news/endPage.do?news_id=N1002859801
− 3월 5일 : 미래부, 인터넷 공유기 보안 강화 발표
http://www.ddaily.co.kr/news/article.html?no=127945
− 3월 5일 : 공공 아이핀 75 만 건 부정 발급 확인
http://www.nocutnews.co.kr/news/4377976
− 3월 12일 : John, 한수원 유출 자료 추가 공개 주장
http://news.mt.co.kr/mtview.php?no=2015031220118210253
− 3월 15일 : AhnLab 창립 20 주년

7. © AhnLab, Inc. All rights reserved. 7
2015 년 국내 정보보안 소식
2015년 국내 정보보안 소식
− 3월 17일 : 합수단, 한수원 해킹 수사 결과 발표
http://www.dailysecu.com/news_view.php?article_id=9004
− 3월 17일 : 인섹시큐리티, Metascan 국내 판매 발표
http://www.itdaily.kr/news/articleView.html?idxno=61081
− 3월 19일 : 3.20 공격 세력 공격 재개 보도
http://www.boannews.com/media/view.asp?idx=45713&kind=0
− 3월 19일 : Pwn2Own에서 이정훈 (lokihardt) 연구원 상금 독식
http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2015-Day-Two-results/ba-
p/6722884#.VQ9clI6sXow
− 3월 23일 : 온라인 문화상품권 업체 해킹해 7억 원 챙긴 일당 적발
http://news1.kr/articles/?2146019
− 3월 23일 : 카드업계, 26일 부터 Active X 제거 발표

8. © AhnLab, Inc. All rights reserved. 8
2015 년 국내 정보보안 소식
2015년 국내 정보보안 소식
− 3월 23일 : 서울중앙지법, 북한 해커로부터 온라인 도박을 조작할 수 있는 프로그램 구매하고 배포한
혐의로 기소된 도박업자들에게 징역형이 선고
http://www.newsis.com/ar_detail/view.html?ar_id=NISX20150321_0013550963&cID=10201&pID=10200
− 3월 23일 : 디도스(DDoS) 공격 의뢰를 받고 범행을 공모한 혐의로 보안업체 기소
http://www.newsis.com/ar_detail/view.html?ar_id=NISX20150326_0013560539&cID=10203&pID=10200
− 3월 31일 : 청와대 안보실 사이버 안보비서관 신설
http://www.yonhapnews.co.kr/bulletin/2015/03/30/0200000000AKR20150330190100001.HTML
− 4월 13일 : 안랩, V3 Mobile Security 글로벌 출시
https://play.google.com/store/apps/details?id=com.ahnlab.v3mobilesecurity
− 4월 21일 : 클리앙 통해 한글화 Ransomware 배포
http://www.boannews.com/media/view.asp?idx=46006
− 4월 21 일 : 이데일리, 사이버 예비군 창설 준비 보도
http://www.edaily.co.kr/news/NewsRead.edy?SCD=JF31&newsid=01259526609338416&DCD=A00603

9. © AhnLab, Inc. All rights reserved. 9
2015 년 국내 정보보안 소식
2015년 국내 정보보안 소식
− 4월 22일 : VirusTotal에 국내 기관·기업 내부문서 업로드 보도
http://www.boannews.com/media/view.asp?idx=46028
− 5월 6일 : Avast, Windows dll 파일 Kryptik-PFA [Trj] 오진
https://forum.avast.com/index.php?topic=170709.0
− 5월 12일 : 중국 Qihoo 360 Security, Android 제품 한국 진출 발표
http://www.asiae.co.kr/news/view.htm?idxno=2015051211260311849
− 5월 14일 : 데일리NK, 북한에서 해킹 시도 의혹 밝힘
http://www.dailynk.com/korean/read.php?cataId=nk00100&num=106135
− 5월 21일 : 안랩, 한글 새로운 취약점 정보 공개
http://asec.ahnlab.com/1035
− 5월 26일 : 한국인터넷진흥원, 사이버 가디언스(Cyber Guardians) 위촉
http://www.boannews.com/media/view.asp?idx=46365&kind=2

10. © AhnLab, Inc. All rights reserved. 10
2015 년 국내 정보보안 소식
2015년 국내 정보보안 소식
− 5월 28일 : Avast, 클라우드 기반 무료 기업 제품 출시 발표
http://www.etoday.co.kr/news/section/newsview.php?idxno=1132900
− 5월 29일 : 다음 카카오, daum V3 서비스 종료 발표
http://blog.daum.net/daumcleaner/28
− 5월 31일 : NSHC & Kaist Syssec, CCTV 와 IP Camera에서 백도어 및 취약점 발견 발표
http://syssec.kaist.ac.kr/sub0501/articles/view/tableid/news/id/5
− 6월 7일 : 한국인터넷진흥원 주요 SW와 취약 액티브X 업데이트를 안내하는 ‘SW 원클릭 안심 서비스’
실시 발표
http://www.etnews.com/20150605000143
− 6월 12일 : 북한 연계 의혹 MERS 관련 악성코드 소동
http://www.yonhapnews.co.kr/bulletin/2015/06/12/0200000000AKR20150612084152017.HTML
http://news.kbs.co.kr/news/NewsView.do?SEARCH_NEWS_CODE=3094304&ref=A

11. © AhnLab, Inc. All rights reserved. 11
2015 년 국내 정보보안 소식
2015년 국내 정보보안 소식
− 6월 15일 : Samsung, 사이버보안 사업팀 신설 보도
http://www.dt.co.kr/contents.html?article_no=2015061502100151800001
− 6월 26일 : 대구 은행 등 유럽 해킹그룹 DD4BC로부터 DDoS 공격 받음
http://news1.kr/articles/?2300794
−

12. 02
2 분기 국내 사건 사고

13. © AhnLab, Inc. All rights reserved. 13
데일리 NK 해킹
• 데일리 NK 해킹 시도
- 공격자IP중175.45.178.19(북한)발견
* Source:http://www.dailynk.com/korean/read.php?cataId=nk00100&num=106135

14. © AhnLab, Inc. All rights reserved. 14
데일리 NK 해킹
• 175.45.178.19
-
* Source:http://myip.ms/view/ip_addresses/2939007488/175.45.178.0_175.45.178.255

15. © AhnLab, Inc. All rights reserved. 15
MERS 정보 가장
• MERS관심 노린 스미싱 및 악성코드 등장
-첨부파일:메르스_병원및환자리스트.docx.exe
* Source:http://www.yonhapnews.co.kr/bulletin/2015/06/12/0200000000AKR20150612084152017.HTML

16. © AhnLab, Inc. All rights reserved. 16
MERS 정보 가장
• 북한 IP포함되어 북한 연계 소동
- 메르스_병원및환자리스트.docx.exe의접속주소에북한IP포함보도
-KISA확인결과한보안업체에서교육용으로만들어교육생들에게배포한것
* Source:http://news.kbs.co.kr/news/NewsView.do?SEARCH_NEWS_CODE=3094304&ref=A

17. 03
2015 년 국외 정보 보안 소식

18. © AhnLab, Inc. All rights reserved. 18
2015 년 국외 정보보안 소식
2015년 국외 정보보안 소식
− 2014년 12월 28일 : Trammell Hudson, Thunderbolt 취약점을 이용한 Thunderstrike 발표
https://events.ccc.de/congress/2014/Fahrplan/events/6128.html
− 2014년 12월 31일 : LOL Taiwan 서버에서 Plugx 변형 배포
http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-malware-found-in-official-releases-of-
league-of-legends-path-of-exile
− 1월 8일 : Moneyhorse 사 해킹으로 Glorious Leader! 게임 제작 중단 발표
https://www.kickstarter.com/projects/884592321/glorious-leader/posts/1101568
− 1월 12일 : 미국 American, United 항공 고객 마일리지 계좌 해킹해 무료 탑승
http://www.inquisitr.com/1750232/american-united-airlines-hacked-thieves-hack-into-thousands-of-
customer-accounts-for-free-flights/
− 1월 13일 : 북한 조선중앙통신 사이트 에서 악성코드 배포
http://arstechnica.com/security/2015/01/surprise-north-koreas-official-news-site-delivers-malware-too/
− 1월 15일 : Intel Security, Samsung Tizen 기반 휴대폰에 보안 프로그램 탑재 발표

19. © AhnLab, Inc. All rights reserved. 19
2015 년 국외 정보보안 소식
2015년 국외 정보보안 소식
− 1월 16일 : 영국 SEROCU, Lizard Squard 멤버 검거 발표
http://www.serocu.org.uk/31/section.aspx/21/man_arrested_swatting_and_denial_of_service_offences
− 1월 16일 : 미국 언론사 뉴욕포스트(NYP)와 UPI 통신의 트위터 계정 도용
http://www.reuters.com/article/2015/01/16/us-usa-media-twitter-idUSKBN0KP24U20150116
− 1월 19일 : 미국 The New York Times, NSA에서 북한 네트워크 침투 보도
http://www.nytimes.com/2015/01/19/world/asia/nsa-tapped-into-north-korean-networks-before-sony-
attack-officials-say.html?referrer
− 1월 27일 : Linux GNU C Library 취약점 CVE-2015-0235 (일명 Ghost) 발표
https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt
− 1월 27일 : Kaspersky, Reign과 Qwerty Keylogger 간 연관 관계 발표
http://securelist.com/blog/research/68525/comparing-the-regin-module-50251-and-the-qwerty-
keylogger

20. © AhnLab, Inc. All rights reserved. 20
2015 년 국외 정보보안 소식
2015년 국외 정보보안 소식
− 1월 29일 : 중국 정부, 강력한 사이버 보안법 적용
http://www.nytimes.com/2015/01/29/technology/in-china-new-cybersecurity-rules-perturb-western-
tech-companies.html
− 2월 3일 : 미국 정부, 사이버대책 총괄 기구 E-Gov Cyber 설립
http://thehill.com/policy/cybersecurity/231598-white-house-creates-e-gov-cyber-unit
− 2월 4일 : Anthem, 8 천 만명 개인 정보 유출
http://www.anthemfacts.com
− 2월 11일 : Facebook, ThreatExchange 사이트 공개
https://threatexchange.fb.com
− 2월 12일 : Trend Micro, 한국 은행 사용자를 대상으로 한 모바일 악성코드 발표
http://blog.trendmicro.com/trendlabs-security-intelligence/mobile-malware-gang-steals-millions-from-
south-korean-users

21. © AhnLab, Inc. All rights reserved. 21
2015 년 국외 정보보안 소식
2015년 국외 정보보안 소식
− 2월 14일 : Newyork times, 은행 시스템에 Carbanak 악성코드 감염 시켜 돈 빼낸 사건 보도
http://www.nytimes.com/2015/02/15/world/bank-hackers-steal-millions-via-malware.html
− 2월 16일 : Kaspersky, Equation 정보 공개
https://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy
− 2월 19일 NSA & GCHQ, SIM Card 제조 업체 해킹
https://firstlook.org/theintercept/2015/02/19/great-sim-heist
− 2월 20일 : Lenovo, Superfish 취약점 발표
http://support.lenovo.com/us/en/product_security/superfish
− 2월 25일 : Microsoft MMPC, Ramnit 300 만대 차단 발표
http://blogs.technet.com/b/mmpc/archive/2015/02/25/microsoft-malware-protection-center-assists-in-
disrupting-ramnit.aspx
− 2월 27일 : Uber, 5 만 명 기사 정보 유출 발표
http://blog.uber.com/2-27-15

22. © AhnLab, Inc. All rights reserved. 22
2015 년 국외 정보보안 소식
2015년 국외 정보보안 소식
− 3월 3일 : Oracle, OS X Java에도 ask toolbar 탑재 논란
http://www.zdnet.com/article/oracle-extends-its-adware-bundling-to-include-java-for-macs
− 3월 5일 : Bluebox, Xiaomi 스마트폰에 악성코드 포함 발표
https://bluebox.com/blog/technical/popular-xiaomi-phone-could-put-data-at-risk
− 3월 6일 : FREAK (Factoring Attack on RSA-EXPORT Keys CVE-2015-0204)
https://www.us-cert.gov/ncas/current-activity/2015/03/06/FREAK-SSLTLS-Vulnerability
− 3월 9일 : Krebs on Security, POS 업체 NEXTEP 정보 유출 공개
http://krebsonsecurity.com/2015/03/point-of-sale-vendor-nextep-probes-breach
− 3월 11일 : PandaSecuriy, 자신을 악성코드로 오진
http://www.pandasecurity.com/uk/homeusers/support/card?id=100045
− 3월 11일 : Kaspersky, the Equation Group의 EquationDrug 발표
http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform

23. © AhnLab, Inc. All rights reserved. 23
2015 년 국외 정보보안 소식
2015년 국외 정보보안 소식
− 3월 19일 : BloombergBusiness, Kaspersky Lab 러시아 첩보부와 연관 의혹 보도
http://www.bloomberg.com/news/articles/2015-03-19/cybersecurity-kaspersky-has-close-ties-to-
russian-spies
− 3월 19일 : 미국 Target, 2013년 해킹으로 1천만 달러(약 112억 원)를 배상
http://money.cnn.com/2015/03/19/technology/security/target-data-hack-settlement
− 3월 25일 : Trend Micro, 동아시아 지역에서 발견되고 있는 Sextortion 악성코드 분석자료 발표
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-sextortion-in-
the-far-east.pdf
− 3월 25일 : AraLabs, Home Router DNS 설정 변경해 광고 교체 발표
http://aralabs.com/blog/2015/03/25/ad-fraud-malware-hijacks-router-dns-injects-ads-via-google-
analytics
− 3월 27일 : Slack 해킹 당함
http://slackhq.com/post/114696167740/march-2015-security-incident-and-launch-of-2fa

24. © AhnLab, Inc. All rights reserved. 24
2015 년 국외 정보보안 소식
2015년 국외 정보보안 소식
− 3월 29일 : github.com 중국 정부 추정 DDoS 공격 당함
http://insight-labs.org/?p=1682
− 4월 7일 : CNN, Russian Hacker가 White house 해킹 했다고 보도
http://edition.cnn.com/2015/04/07/politics/how-russians-hacked-the-wh/index.html
− 4월 9일 : France TV5Monde 해킹 보도
http://www.lemonde.fr/pixels/article/2015/04/09/les-sites-de-tv5-monde-detournes-par-un-groupe-
islamiste_4612099_4408996.html
− 4월 9일 : 새로운 shellshock 취약점 이용한 웜 발견
http://www.volexity.com/blog/?p=118
− 4월 10일 : HSBC, 정보 유출 시인
http://doj.nh.gov/consumer/security-breaches/documents/hsbc-finance-20150410.pdf
− 4월 11일 : Russia 경찰, Android 인터넷뱅킹 정보 탈취 악성코드 제작자 검거
https://mvd.ru/news/item/3311877

25. © AhnLab, Inc. All rights reserved. 25
2015 년 국외 정보보안 소식
2015년 국외 정보보안 소식
− 4월 13일 : Interpol, Simda botnet take down 발표
http://www.interpol.int/en/News-and-media/News/2015/N2015-038
− 4월 15일 : GAO, 새로운 항공 관제 시스템 문제 발표
http://gao.gov/assets/670/669627.pdf
− 4월 17일 : BitDefender, BitDefender Box 출시
http://www.bitdefender.com/news/direct-sales-of-bitdefenders-the-box-launches-new-era-in-internet-
security-3029.html
− 4월 21일 : Kaspersky, Cozyduke 정보 공개
https://securelist.com/blog/research/69731/the-cozyduke-apt/
− 4월 25일 : Russian Hackers가 백악관 시스템 해킹 해 Obama 메일 읽음
http://www.nytimes.com/2015/04/26/us/russian-hackers-read-obamas-unclassified-emails-officials-
say.html?_r=0

26. © AhnLab, Inc. All rights reserved. 26
2015 년 국외 정보보안 소식
2015년 국외 정보보안 소식
− 4월 27일 : AV-Comparatives 부정 행위 적발 발표
− 4월 29일 : BBC, 다큐멘터리에서 철도 제어 시스템 암호 노출
https://grahamcluley.com/2015/05/train-control-centre-passwords-revealed
− 4월 29일 : Eset, Linux Spam 발송 악성코드 Mumblehard 정보 공개
http://www.welivesecurity.com/wp-content/uploads/2015/04/mumblehard.pdf
− 4월 29일 : Canada 경찰 webcam 해킹 혐의로 27세 여성 Valérie Gignac 검거 발표
http://www.rcmp-grc.gc.ca/qc/nouv-news/com-rel/2015/04/150429-eng.htm
− 5월 1일 : 인증 기관 테스트 관련해 부정 행위 한 업체 적발
http://www.av-test.org/fileadmin/pdf/VB-AVC-AVT-press-release.pdf
− 5월 1일 : Linux GPU 이용한 Rootkit Jellyfish 공개
https://github.com/x0r1/jellyfish
− 5월 4일 : Sally Beauty 두번째 유출 사고 발표
https://www.sallybeautyholdings.com/data-incident-information.aspx

27. © AhnLab, Inc. All rights reserved. 27
2015 년 국외 정보보안 소식
2015년 국외 정보보안 소식
− 5월 6일 : Las Vegas' FireKeepers Casino 카드정보 7개월 동안 유출
http://firekeeperscasino.com/data-sec
− 5월 8일 : India CERT, Bioazih 경고
http://www.cert-in.org.in
− 5월 13일 : 가상환경 취약점 (CVE-2015-3456) VENOM 발표
http://venom.crowdstrike.com
− 5월 15일 : GTA V mods ‘Angry Planes’ 와 ‘Noclip’ 에서 악성코드 발견
https://grahamcluley.com/2015/05/beware-gta-malware
− 5월 15일 : FBI, Chris Roberts 비행기 해킹 혐의 주장
http://www.washingtonpost.com/news/morning-mix/wp/2015/05/18/hacker-chris-roberts-told-fbi-he-
took-control-of-united-plane-fbi-claims
− 5월 21일 : channel4, Adult FriendFinder 해킹으로 390 만명 정보 유출 보도
http://www.channel4.com/news/adult-friendfinder-dating-hack-internet-dark-web

28. © AhnLab, Inc. All rights reserved. 28
2015 년 국외 정보보안 소식
2015년 국외 정보보안 소식
− 5월 21일 : Intercept, NSA의 Google 및 Samsung AppStore 해킹 시도 보도
https://firstlook.org/theintercept/2015/05/21/nsa-five-eyes-google-samsung-app-stores-spyware
− 5월 23일 : Mcafee, Ransomware 생성 도구 Tox 발견
https://blogs.mcafee.com/mcafee-labs/meet-tox-ransomware-for-the-rest-of-us
− 5월 26일 : 미국 IRS (Internal Revenue Service) 해킹으로 10 만 명 개인정보 유출
http://bigstory.ap.org/article/34539a748b3745ffb92451472f814ffa/apnewsbreak-irs-says-thieves-stole-
tax-info-100000
− 5월 26일 : Eset, Moose 악성코드 분석보고서 공개
http://www.welivesecurity.com/wp-content/uploads/2015/05/Dissecting-LinuxMoose.pdf
− 5월 29일 : 미 언론, 미국 정보 당국 2010년 봄 북한 평북 영변 핵시설에 Stuxnet 공격 시도 보도
http://www.reuters.com/article/2015/05/29/us-usa-northkorea-stuxnet-idUSKBN0OE2DM20150529
− 5월 29일 : Qihoo 360, 2012년 부터 중국 정부 해킹한 Ocean Lotus 공개
http://blogs.360.cn/blog/oceanlotus-apt/

29. © AhnLab, Inc. All rights reserved. 29
2015 년 국외 정보보안 소식
2015년 국외 정보보안 소식
− 5월 29일 : Mac firmware 변조 가능 공개
https://reverse.put.as/2015/05/29/the-empire-strikes-back-apple-how-your-mac-firmware-security-is-
completely-broken
− 6월 1일 : 일본연금기구 악성코드 감염으로 연금 정보 유출 보도
http://asahikorean.com/article/asia_now/AJ201506020076
http://d.hatena.ne.jp/Kango/20150601/1433166675
− 6월 4일 : 중국 hacker에 의해 400 만 명 미 연방 공무원 정보 유출 보도
http://www.washingtonpost.com/world/national-security/chinese-hackers-breach-federal-governments-
personnel-office/2015/06/04/889c0e52-0af7-11e5-95fd-d580f1c5d44e_story.html
− 6월 4일 : Samy Kamkar, IM-ME를 이용해 자체 제작한 OpenSesame로 차고 문 열기 시연
http://www.wired.com/2015/06/hacked-kids-toy-opens-garage-doors-seconds/
− 6월 4일 : Bae Systems, MacKeeper 취약점을 통해 감염되는 악성코드 정보 공개
http://www.baesystemsai.blogspot.co.uk/2015/06/new-mac-os-malware-exploits-mackeeper.html

30. © AhnLab, Inc. All rights reserved. 30
2015 년 국외 정보보안 소식
2015년 국외 정보보안 소식
− 6 월 5일 : Trendmicro, Oracle MICROS을 목표로 한 Malumpos 발견 발표
http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-malumpos-targets-
hotels-and-other-us-industries
− 6월 9일 : 미군 홈페이지 해킹
http://www.welivesecurity.com/2015/06/09/us-army-website-hack/
− 6월 10일 : 일본, 도쿄상공회의소, 회원기업 정보 1만여건 유출
http://www.47news.jp/korean/economy/2015/06/116051.html
− 6월 10일 : Kasperskylab, Duqu 2.0 자사 공격 시도 발표
https://blog.kaspersky.com/kaspersky-statement-duqu-attack
− 6월 11일 : 미국 연방인사관리처 추가 해킹 피해자 가능성 보도
http://bigstory.ap.org/article/af77f567a4b74f128a4869031dc9add9/union-hackers-have-personnel-data-
every-federal-employee

31. © AhnLab, Inc. All rights reserved. 31
2015 년 국외 정보보안 소식
2015년 국외 정보보안 소식
− 6월 14일 : Bild 지, 5월 독일 메르켈 총리실 컴퓨터 악성코드에 감염 보도
http://www.bild.de/bild-plus/politik/inland/angela-merkel/steht-im-zentrum-des-cyber-angriffs-
41347220,var=a,view=conversionToLogin.bild.html
− 6월 14일 : China와 Russia에서 Edward Snowden의 암호화 파일 해제 보도
http://www.thesundaytimes.co.uk/sto/news/uk_news/National/article1568673.ece
− 6월 15일 : Kaspersky Lab, Duqu 2.0에 Foxconn Technology Group 인증서 사용 발표
https://securelist.com/blog/research/70641/the-duqu-2-0-persistence-module
− 6월 16일 : FBI, Louis Cardinals 휴스턴 구단 해킹 혐의로 수사 중
http://www.nytimes.com/2015/06/17/sports/baseball/st-louis-cardinals-hack-astros-fbi.html
− 6월 16일 : 학계 Apple Keychain 취약점 공개
https://drive.google.com/file/d/0BxxXk1d3yyuZOFlsdkNMSGswSGs/view?pli=1

32. © AhnLab, Inc. All rights reserved. 32
2015 년 국외 정보보안 소식
2015년 국외 정보보안 소식
− 6월 16일 : NowSecure, 삼성 스마트폰 취약점 공개
https://www.nowsecure.com/blog/2015/06/16/remote-code-execution-as-system-user-on-samsung-
phones
− 6월 16일 : Paloalto, 동남아 지역 공격한 Lotus Blossom 공개
https://www.paloaltonetworks.com/content/dam/paloaltonetworks-
com/en_US/assets/pdf/reports/Unit_42/operation-lotus-blossom/unit42-operation-lotus-blossom.pdf
− 6월 17일 : Canada 정부 사이트 DDoS 공격으로 장애
http://www.citynews.ca/2015/06/17/government-of-canada-servers-under-cyber-attack
− 6월 18일 : Wikileaks, Sony 유출 자료 공개
https://wikileaks.org/sony/docs/
− 6월 21일 : 폴란드 LOT 항공사, DDoS 공격으로 시스템 장애 발생
http://www.tvn24.pl/wiadomosci-z-kraju,3/atak-hakerow-na-systemy-informatyczne-lot,553485.html

33. © AhnLab, Inc. All rights reserved. 33
2015 년 국외 정보보안 소식
2015년 국외 정보보안 소식
− 6월 22일 : 미국 & 영국 정보기관 백신 업체 목표 폭로
https://firstlook.org/theintercept/2015/06/22/nsa-gchq-targeted-kaspersky
− 6월 23일 : google researcher, Eset 취약점 공개
http://googleprojectzero.blogspot.co.uk/2015/06/analysis-and-exploitation-of-eset.html
− 6월 23일 : 미 법원, Blackshades 판매한 Alex Yucel 4년 9개월 징역형 선고
http://www.justice.gov/usao-sdny/pr/Swedish-co-creator-blackshades-malware-enabled-users-around-
world-secretly-and-remotely
− 6월 23일 : Samsung 컴퓨터 Windows Update 기능 해제 프로그램 제공
http://bsodanalysis.blogspot.in/2015/06/samsung-deliberately-disabling-windows.html
− 6월 25일 : Europol, Zeus 와 Spyeye 악성코드 관계자 검거 발표
https://www.europol.europa.eu/content/major-cybercrime-ring-dismantled-joint-investigation-team
−

34. 04
2 분기 국외 사건 사고

35. © AhnLab, Inc. All rights reserved. 35
Login 정보 노출
• 영국 Railcontrolcentre 로그인 정보
- 방송내용중Login정보노출
* Source:https://grahamcluley.com/2015/05/train-control-centre-passwords-revealed

36. © AhnLab, Inc. All rights reserved. 36
부정 테스트
• 테스트 기관 부정 행위 적발
- AV-Comparatives,AV-TEST,VirusBulletin공동발표
* Source:https://www.virusbtn.com/pdf/VB-AVC-AVT-press-release.pdf

37. © AhnLab, Inc. All rights reserved. 37
Airplane Hacking
• 비행기 해킹
- ChrisRoberts해킹성공
* Source:http://www.darkreading.com/attacks-breaches/planes-tweets-and-possible-hacks-from-seats/d/d-id/1320499

38. © AhnLab, Inc. All rights reserved. 38
Sally Beauty Breach
• SallyBeauty
- 2차유출사고
* Source:https://www.sallybeautyholdings.com/data-incident-information.aspx

39. © AhnLab, Inc. All rights reserved. 39
TV5 Monde hacked
• FranceTV5Monde해킹
-
* Source:http://www.lemonde.fr/pixels/article/2015/04/09/les-sites-de-tv5-monde-detournes-par-un-groupe-islamiste_4612099_4408996.html

40. © AhnLab, Inc. All rights reserved. 40
TV5 Monde hacked
• 방송 내용에 password 공개 됨
-
* Source:https://twitter.com/pent0thal

41. © AhnLab, Inc. All rights reserved. 41
TV5 Monde hacked
• 공격에 사용된 악성코드
-
* Source:https://www.bluecoat.com/security-blog/2015-04-09/visual-basic-script-malware-reportedly-used-tv5-monde-intrusion

42. © AhnLab, Inc. All rights reserved. 42
TV5 Monde hacked
• 악성코드
-
* Source:twitter.com/K_SH_HACKER

43. © AhnLab, Inc. All rights reserved. 43
TV5 Monde hacked
• Constructor
-

44. © AhnLab, Inc. All rights reserved. 44
TV5 Monde hacked
• BBC,Russianhackers소행 가능성 보고
- APT28…과거백악관등도해킹
* Source:http://www.bbc.com/news/world-europe-33072034

45. © AhnLab, Inc. All rights reserved. 45
항공사 공격
• 폴란드 항공사 LOT 시스템 장애
- 1,400passengers영향,10편취소및12편지연발생
* Source:http://www.tvn24.pl/wiadomosci-z-kraju,3/atak-hakerow-na-systemy-informatyczne-lot,553485.html

46. © AhnLab, Inc. All rights reserved. 46
항공사 공격
• DDoS공격으로 확인
-
* Source:http://www.theregister.co.uk/2015/06/23/planegrounding_airport_attack_revealed_to_be_ddos/

47. © AhnLab, Inc. All rights reserved. 47
NSA & GCHQ Attack
• NSA& GCHQ 관심 보안 업체 공개
-
* Source:https://firstlook.org/theintercept/2015/06/22/nsa-gchq-targeted-kaspersky

48. © AhnLab, Inc. All rights reserved. 48
NSA & GCHQ Attack
• ProjectCamberdada
- 국내업체AhnLab,Hauri포함
* Source:https://firstlook.org/theintercept/document/2015/06/22/project-camberdada-nsa

49. 05
2 분기 주요 취약점과 악성코드

50. © AhnLab, Inc. All rights reserved. 50
New Shellshock worm
• NewShellshockworm
-
* Source:http://www.volexity.com/blog/?p=118

51. © AhnLab, Inc. All rights reserved. 51
Bioazih (Bisonal)
• Bisonal
- IndiaCERT에서경고
-국내에서도2014년부터변형공격존재
* Source:http://www.cert-in.org.in

52. © AhnLab, Inc. All rights reserved. 52
Rombertik
• MBR 파괴 기능
- Researcher대비했다고최초알려졌지만불법복제제품에대한응징으로밝혀짐
* Source:http://blogs.cisco.com/security/talos/rombertik&http://www.symantec.com/connect/blogs/rombertik-carbongrabber-sting-tail-cheapskates

53. © AhnLab, Inc. All rights reserved. 53
정품 감염
• GTAV mod
- GTVVmod에서악성코드발견
* Source:http://gtaforums.com/topic/794383-malware-inside-angry-planes-noclip-mod

54. © AhnLab, Inc. All rights reserved. 54
Ransomware 생성기
• Tox
- Ransomware생성기
* Source:https://blogs.mcafee.com/mcafee-labs/meet-tox-ransomware-for-the-rest-of-us

55. © AhnLab, Inc. All rights reserved. 55
Moose
• Moose
- HomeRouterworm
-
* Source:http://www.welivesecurity.com/2015/05/26/dissecting-linuxmoose/

56. © AhnLab, Inc. All rights reserved. 56
MacKeeper 취약점
• MacKeeper취약점
-
* Source:https://www.exploit-db.com/exploits/36955

57. © AhnLab, Inc. All rights reserved. 57
MacKeeper 취약점
• MacKeeper취약점 이용한 악성코드 등장
-
* Source:http://www.baesystemsai.blogspot.co.uk/2015/06/new-mac-os-malware-exploits-mackeeper.html

58. © AhnLab, Inc. All rights reserved. 58
MalumPOS
• MalumPOS
- 전세계330,000개고객보유한OracleMICROS목표
* Source:http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-malumpos-targets-hotels-and-other-us-industries

59. © AhnLab, Inc. All rights reserved. 59
MalumPOS
• Oracle MICROS
-2014년6월23일Oracle에서인수
-
* Source:http://www.oracle.com/us/corporate/acquisitions/micros/index.html

60. © AhnLab, Inc. All rights reserved. 60
Duqu 2.0 Kaspersky Lab 공격 시도
• KasperskyLab 공격 시도
-사내에서Duqu2.0발견
-특정국가소행?
* Source:https://blog.kaspersky.com/kaspersky-statement-duqu-attack/

61. © AhnLab, Inc. All rights reserved. 61
Duqu 2.0 Kaspersky Lab 공격 시도
• 유출 디지털 인증서 사용
-
* Source:https://securelist.com/blog/research/70641/the-duqu-2-0-persistence-module

62. 06
Case Study : 한국어 지원 Ransomware

63. © AhnLab, Inc. All rights reserved. 63
한국어 지원 Ransomware
• 한글판 Ransomware 등장
-

64. © AhnLab, Inc. All rights reserved. 64
한국어 지원 Ransomware
• 문서 암호화
- 암호화후파일이름에.encrypted추가
-DECRYPT_INSTRUCTIONS.html과DECRYPT_INSTRUCTIONS.txt생성

65. © AhnLab, Inc. All rights reserved. 65
한국어 지원 Ransomware
• clien 에서배포
-
* Source:http://www.clien.net/cs2/bbs/board.php?bo_table=notice&wr_id=10703

66. © AhnLab, Inc. All rights reserved. 66
한국어 지원 Ransomware
• 다국어 지원
- 일본어,한국어지원
* Source:http://www.symantec.com/connect/blogs/ransomware-increasingly-turning-far-east

67. © AhnLab, Inc. All rights reserved. 67
한국어 지원 Ransomware
• 구조
-
* Source:ASEC분석팀

68. © AhnLab, Inc. All rights reserved. 68
한국어 지원 Ransomware
• 대응
-url과행위로도차단

69. © AhnLab, Inc. All rights reserved. 69
한국어 지원 Ransomware
• 수익
- 160*250$=약40,000$(약4천만원)
* Source:https://blockchain.info/ko/charts/balance?address=1GCUK95bUSSKBiXMdwU6Yog2wbV2B6gGQy

70. 07
Case Study : 일본 연금기구 정보 유출

71. © AhnLab, Inc. All rights reserved. 71
일본 연금기구 정보 유출
• 정보 유출
- 2015년5월공격으로125만명연금수급자및가입자의기초연금번호및이름등개인정보가유출
-‘기초연금번호와이름’이약3만1000건,‘번호,이름,생년월일’이약116만7000건,‘번호,이름,생년월일,주소’가약
5만2000건유출
* Source:http://www.nenkin.go.jp/n/data/service/0000150601ndjIleouIi.pdf

72. © AhnLab, Inc. All rights reserved. 72
일본 연금기구 정보 유출
• Timeline
-
* Source:http://d.hatena.ne.jp/Kango/20150601/1433166675

73. © AhnLab, Inc. All rights reserved. 73
일본 연금기구 정보 유출
• 공격 방식
- 업무관련메일로가장해악성URL이나악성코드첨부
-첨부파일:医療費通知のお知らせ.lzh
* Source:http://d.hatena.ne.jp/Kango/20150601/1433166675

74. © AhnLab, Inc. All rights reserved. 74
일본 연금기구 정보 유출
• BlueTermite
- Kasperskylab발표
* Source:http://ascii.jp/elem/000/001/015/1015228/

75. © AhnLab, Inc. All rights reserved.
일본 연금기구 정보 유출
20142013 2015
New
Emdivi
(encryptedstrings)
JapanPension
ServiceAttack
Emdivi
discovered
Fake
JapanHealth
Insurance

76. © AhnLab, Inc. All rights reserved. 76
일본 연금기구 정보 유출
• 악성코드
-
LZH
sfx
kenpo.doc vmater.exe

77. © AhnLab, Inc. All rights reserved. 77
일본 연금기구 정보 유출
• 악성코드
-医療費通知のお知らせ.exe :200KB정도의sfx파일.
-실행되면%temp%에vmater.exe과kenpo.doc생성(doc파일은정상문서)

78. © AhnLab, Inc. All rights reserved. 78
일본 연금기구 정보 유출
• 악성코드
- kenpo.doc내용

79. © AhnLab, Inc. All rights reserved. 79
일본 연금기구 정보 유출
• 악성코드
- vmater.exe는2015년5월20일과6월2일생성됨

80. © AhnLab, Inc. All rights reserved. 80
일본 연금기구 정보 유출
• 악성코드
- 주요문자열암호화

81. © AhnLab, Inc. All rights reserved. 81
일본 연금기구 정보 유출
• 악성코드
- 일본을주목표로한악성코드로추정
-http://www.yahoo.co.jp등으로인터넷가능유무테스트
* Source:

82. © AhnLab, Inc. All rights reserved. 82
일본 연금기구 정보 유출
• 분석 방해
-Host이름검사해wilbert-SC1508, xp-sp3-template, mip-xp-cht, CWS01_03, wilbert-sc2202,
CWS05D102 일 경우 임의의 주소로 점프해 오류 발생

83. © AhnLab, Inc. All rights reserved. 83
일본 연금기구 정보 유출
• 분석 방해
- Process검사:ollydbg, W32Dasm, Wireshark, SoftICE, Process Explorer, Process Monitor, Process
Hacker
-해당Process존재할경우randomsleep수행

84. © AhnLab, Inc. All rights reserved. 84
일본 연금기구 정보 유출
• c&c
- www.sakuranorei.com
-www.feeltheworld.jp/feeds.php

85. © AhnLab, Inc. All rights reserved. 85
일본 연금기구 정보 유출
• 대응 문제점
-행정기관을지키기위해정부가지정한중요대상에포함되지않음
-실행파일첨부파일을열어실행한사람이다수->교육부재
-5월8일“수상한통신이력감지’되어후생성에통보
-연금기구에연락한담당자는후생성계장이었으며연금기구가19일경시청에이문제를상담한시점에도계장은
상관에보고하지않음->보고문제
- 연금기구는23일19대의컴퓨터에서대량의정보발신확인.인터넷접속을차단하는대책만을실시->보고문제
-후생성과경시청에연락한것은2일뒤인25일->후생노동대신은최초바이러스감염발각으로부터20일뒤보고
받음
* Source:http://www.47news.jp/korean/politics_national/2015/06/115691.html

86. © AhnLab, Inc. All rights reserved. 86
일본 연금기구 정보 유출
• 변형
- 2012-2013년변형은문자열암호화안함.2014년발견된변형부터문자열암호화

87. © AhnLab, Inc. All rights reserved. 87
현재의 보안 문제
• Not reallya fair fight
* source:http://image-store.slidesharecdn.com/81268b95-5c3b-4604-9129-d83ab3dc4600-large.png

88. © AhnLab, Inc. All rights reserved. 88
현재의 보안 문제
• 모두가 함께 해야 하는 보안
* source:http://www.security-marathon.be/?p=1786

89. © AhnLab, Inc. All rights reserved. 89
Q&A
email : minseok.cha@ahnlab.com / mstoned7@gmail.com
http://xcoolcat7.tistory.com
https://twitter.com/xcoolcat7, https://twitter.com/mstoned7

90. © AhnLab, Inc. All rights reserved. 90
Reference
• 송재민&차민석, ‘일본 연금기구 해킹‘, AhnLab
• 이현목, ‘Win-Trojan/CryptoLocker.229892분석’,AhnLab

91. D E S I G N Y O U R S E C U R I T Y