2015년 1분기 정보보안 소식

1. 2015년 1분기
주요 정보보안 소식
2015.05.12
안랩 시큐리티대응센터(ASEC) 분석팀
차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7) 책임 연구원
공개판

2. © AhnLab, Inc. All rights reserved. 2
:~$whoami
Profile
− 차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7)
− 1988년 1월 7일 : Apple ][+ 복제품으로 컴퓨터 시작
− 1989년 : Brain virus 변형 감염
− 1997년 : AhnLab 입사
− AhnLab 책임 연구원 (Senior Antivirus Researcher)
− 시큐리티 대응센터(ASEC) 분석팀에서
악성코드 분석 및 연구 중
- 민간합동 조사단, 사이버보안 전문단
- AVED, AMTSO, vforum 멤버
- Wildlist Reporter

3. Contents
01
02
03
04
05
06
07
2015 년 국내 정보보안 소식
1 분기 국내 정보보안 소식
2015 년 국외 정보보안 소식
1 분기 국외 정보보안 소식
1 분기 주요 취약점과 악성코드
Case study : Kimsuky 변형
Case study : Upatre

4. 01
2015 년 국내 정보보안 소식

5. © AhnLab, Inc. All rights reserved. 5
2015 년 국내 정보보안 소식
2015년 국내 정보보안 소식
− 1월 7일 : 모바일 상품권 부정 사용 의혹
http://www.boannews.com/media/view.asp?idx=44991&kind=0
− 1월 15일 : 정부, 400개 기관에 대한 사이버 안전 대진단 발표
http://www.mt.co.kr/view/mtview.php?type=1&no=2015011510033489266
− 1월 15일 : 사법부, 파밍 사건의 은행 책임 일부 인정
http://news.donga.com/3/01/20150115/69100947/1
− 1월 28일 : 전 남친 뒷조사하려고 군 홈페이지 해킹 시도한 여대생 검거
http://economy.hankooki.com/lpage/society/201501/e20150128142208117920.htm
− 1월 28일 : 안랩, 안랩 V3 모바일 3.0 일본 출시
− 2월 1 일 : CDN 업체 해킹으로 일부 정부 웹사이트 통해 악성코드 유포
− 2월 2일 : PG사 Active X 설치 대신 EXE 파일 다운로드 방식으로 변경 시작

6. © AhnLab, Inc. All rights reserved. 6
2015 년 국내 정보보안 소식
2015년 국내 정보보안 소식
− 2월 13일 : 부산 강서경찰서, 회사 자금을 관리하는 직원 컴퓨터에 악성코드를 심어 1억 원 빼돌린 혐
의로 신모(37) 씨 구속
http://www.yonhapnews.co.kr/society/2015/02/13/0701000000AKR20150213168100051.HTML?template
=5567
− 3월 2일 : SBS, 돈 받고 DDoS 공격한 보안업체 대표 양 모씨 보도
http://news.sbs.co.kr/news/endPage.do?news_id=N1002859801
− 3월 5일 : 미래부, 인터넷 공유기 보안 강화 발표
http://www.ddaily.co.kr/news/article.html?no=127945
− 3월 5일 : 공공 아이핀 75 만 건 부정 발급 확인
http://www.nocutnews.co.kr/news/4377976
− 3월 12일 : John, 한수원 유출 자료 추가 공개 주장
http://news.mt.co.kr/mtview.php?no=2015031220118210253
− 3월 15일 : AhnLab 창립 20 주년

7. © AhnLab, Inc. All rights reserved. 7
2015 년 국내 정보보안 소식
2015년 국내 정보보안 소식
− 3월 17일 : 합수단, 한수원 해킹 수사 결과 발표
http://www.dailysecu.com/news_view.php?article_id=9004
− 3월 17일 : 인섹시큐리티, Metascan 국내 판매 발표
http://www.itdaily.kr/news/articleView.html?idxno=61081
− 3월 19일 : 3.20 공격 세력 공격 재개 보도
http://www.boannews.com/media/view.asp?idx=45713&kind=0
− 3월 19일 : Pwn2Own에서 이정훈 (lokihardt) 연구원 상금 독식
http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2015-Day-Two-results/ba-
p/6722884#.VQ9clI6sXow
− 3월 23일 : 온라인 문화상품권 업체 해킹해 7억 원 챙긴 일당 적발
http://news1.kr/articles/?2146019
− 3월 23일 : 카드업계, 26일 부터 Active X 제거 발표

8. © AhnLab, Inc. All rights reserved. 8
2015 년 국내 정보보안 소식
2015년 국내 정보보안 소식
− 3월 23일 : 서울중앙지법, 북한 해커로부터 온라인 도박을 조작할 수 있는 프로그램 구매하고 배포한
혐의로 기소된 도박업자들에게 징역형이 선고
http://www.newsis.com/ar_detail/view.html?ar_id=NISX20150321_0013550963&cID=10201&pID=10200
− 3월 23일 : 디도스(DDoS) 공격 의뢰를 받고 범행을 공모한 혐의로 보안업체 기소
http://www.newsis.com/ar_detail/view.html?ar_id=NISX20150326_0013560539&cID=10203&pID=10200
− 3월 31일 : 청와대 안보실 사이버 안보비서관 신설
http://www.yonhapnews.co.kr/bulletin/2015/03/30/0200000000AKR20150330190100001.HTML
−

9. 02
1 분기 국내 정보보안 소식

10. © AhnLab, Inc. All rights reserved. 10
한수원 정보유출
• 정보 유출 과정
-일부핵심자료는한수원협력사사장컴퓨터
-한수원관계자주소록과연락처등은한수원전·현직직원의이메일해킹
* Source:http://www.yonhapnews.co.kr/economy/2015/02/05/0303000000AKR20150205081600004.HTML?template=2087

11. © AhnLab, Inc. All rights reserved. 11
한수원 정보유출
• 한수원 추가 경고
-2015년3월12일경고및추가자료공개
* Source:http://twtkr.com/L1m4kD

12. © AhnLab, Inc. All rights reserved. 12
한수원 정보유출
• 수사 결과 발표
-북한소행으로판단
* Source:http://www.dailysecu.com/news_view.php?article_id=9004

13. © AhnLab, Inc. All rights reserved. 13
미래부, 인터넷 공유기 보안 강화
• 미래부 인터넷 공유기 보안 강화 발표
- 6월중:인터넷공유기의실시간모니터링시스템구축
-7월:공유기보안업데이트체계구축·운영
* Source:http://www.ddaily.co.kr/news/article.html?no=127945

14. © AhnLab, Inc. All rights reserved. 14
공공 아이핀 부정 발급
• 공공 아이핀 75 만 건 부정 발급
-
* Source:http://www.nocutnews.co.kr/news/4377976

15. © AhnLab, Inc. All rights reserved. 15
청와대 사이버안보비서관 신설
• 사이버안보비서관 신설
- 청와대국가안보실에추가
* Source:http://www.yonhapnews.co.kr/bulletin/2015/03/30/0200000000AKR20150330190100001.HTML

16. 03
2015 년 국외 정보 보안 소식

17. © AhnLab, Inc. All rights reserved. 17
2015 년 국외 정보보안 소식
2015년 국외 정보보안 소식
− 2014년 12월 29일 : Trammell Hudson, Thunderbolt 취약점을 이용한 Thunderstrike 발표
https://events.ccc.de/congress/2014/Fahrplan/events/6128.html
− 2014년 12월 31일 : LOL Taiwan 서버에서 Plugx 변형 배포
http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-malware-found-in-official-releases-of-
league-of-legends-path-of-exile
− 1월 8일 : Moneyhorse 사 해킹으로 Glorious Leader! 게임 제작 중단 발표
https://www.kickstarter.com/projects/884592321/glorious-leader/posts/1101568
− 1월 12일 : 미국 American, United 항공 고객 마일리지 계좌 해킹해 무료 탑승
http://www.inquisitr.com/1750232/american-united-airlines-hacked-thieves-hack-into-thousands-of-
customer-accounts-for-free-flights/
− 1월 13일 : 북한 조선중앙통신 사이트 에서 악성코드 배포
http://arstechnica.com/security/2015/01/surprise-north-koreas-official-news-site-delivers-malware-too/
− 1월 15일 : Intel Security, Samsung Tizen 기반 휴대폰에 보안 프로그램 탑재 발표

18. © AhnLab, Inc. All rights reserved. 18
2015 년 국외 정보보안 소식
2015년 국외 정보보안 소식
− 1월 16일 : 영국 SEROCU, Lizard Squard 멤버 검거 발표
http://www.serocu.org.uk/31/section.aspx/21/man_arrested_swatting_and_denial_of_service_offences
− 1월 16일 : 미국 언론사 뉴욕포스트(NYP)와 UPI 통신의 트위터 계정 도용
http://www.reuters.com/article/2015/01/16/us-usa-media-twitter-idUSKBN0KP24U20150116
− 1월 19일 : 미국 The New York Times, NSA에서 북한 네트워크 침투 보도
http://www.nytimes.com/2015/01/19/world/asia/nsa-tapped-into-north-korean-networks-before-sony-
attack-officials-say.html?referrer
− 1월 27일 : Linux GNU C Library 취약점 CVE-2015-0235 (일명 Ghost) 발표
https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt
− 1월 27일 : Kaspersky, Reign과 Qwerty Keylogger 간 연관 관계 발표
http://securelist.com/blog/research/68525/comparing-the-regin-module-50251-and-the-qwerty-
keylogger

19. © AhnLab, Inc. All rights reserved. 19
2015 년 국외 정보보안 소식
2015년 국외 정보보안 소식
− 1월 29일 : 중국 정부, 강력한 사이버 보안법 적용
http://www.nytimes.com/2015/01/29/technology/in-china-new-cybersecurity-rules-perturb-western-
tech-companies.html
− 2월 3일 : 미국 정부, 사이버대책 총괄 기구 E-Gov Cyber 설립
http://thehill.com/policy/cybersecurity/231598-white-house-creates-e-gov-cyber-unit
− 2월 4일 : Anthem, 8 천 만명 개인 정보 유출
http://www.anthemfacts.com
− 2월 11일 : Facebook, ThreatExchange 사이트 공개
https://threatexchange.fb.com
− 2월 12일 : Trend Micro, 한국 은행 사용자를 대상으로 한 모바일 악성코드 발표
http://blog.trendmicro.com/trendlabs-security-intelligence/mobile-malware-gang-steals-millions-from-
south-korean-users

20. © AhnLab, Inc. All rights reserved. 20
2015 년 국외 정보보안 소식
2015년 국외 정보보안 소식
− 2월 14일 : Newyork times, 은행 시스템에 Carbanak 악성코드 감염 시켜 돈 빼낸 사건 보도
http://www.nytimes.com/2015/02/15/world/bank-hackers-steal-millions-via-malware.html
− 2월 16일 : Kaspersky, Equation 정보 공개
https://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy
− 2월 19일 NSA & GCHQ, SIM Card 제조 업체 해킹
https://firstlook.org/theintercept/2015/02/19/great-sim-heist
− 2월 20일 : Lenovo, Superfish 취약점 발표
http://support.lenovo.com/us/en/product_security/superfish
− 2월 25일 : Microsoft MMPC, Ramnit 300 만대 차단 발표
http://blogs.technet.com/b/mmpc/archive/2015/02/25/microsoft-malware-protection-center-assists-in-
disrupting-ramnit.aspx
− 2월 27일 : Uber, 5 만 명 기사 정보 유출 발표
http://blog.uber.com/2-27-15

21. © AhnLab, Inc. All rights reserved. 21
2015 년 국외 정보보안 소식
2015년 국외 정보보안 소식
− 3월 3일 : Oracle, OS X Java에도 ask toolbar 탑재 논란
http://www.zdnet.com/article/oracle-extends-its-adware-bundling-to-include-java-for-macs
− 3월 5일 : Bluebox, Xiaomi 스마트폰에 악성코드 포함 발표
https://bluebox.com/blog/technical/popular-xiaomi-phone-could-put-data-at-risk
− 3월 6일 : FREAK (Factoring Attack on RSA-EXPORT Keys CVE-2015-0204)
https://www.us-cert.gov/ncas/current-activity/2015/03/06/FREAK-SSLTLS-Vulnerability
− 3월 9일 : Krebs on Security, POS 업체 NEXTEP 정보 유출 공개
http://krebsonsecurity.com/2015/03/point-of-sale-vendor-nextep-probes-breach
− 3월 11일 : PandaSecuriy, 자신을 악성코드로 오진
http://www.pandasecurity.com/uk/homeusers/support/card?id=100045
− 3월 11일 : Kaspersky, the Equation Group의 EquationDrug 발표
http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform

22. © AhnLab, Inc. All rights reserved. 22
2015 년 국외 정보보안 소식
2015년 국외 정보보안 소식
− 3월 19일 : BloombergBusiness, Kaspersky Lab 러시아 첩보부와 연관 의혹 보도
http://www.bloomberg.com/news/articles/2015-03-19/cybersecurity-kaspersky-has-close-ties-to-
russian-spies
− 3월 19일 : 미국 Target, 2013년 해킹으로 1천만 달러(약 112억 원)를 배상
http://money.cnn.com/2015/03/19/technology/security/target-data-hack-settlement
− 3월 25일 : Trend Micro, 동아시아 지역에서 발견되고 있는 Sextortion 악성코드 분석자료 발표
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-sextortion-in-
the-far-east.pdf
− 3월 25일 : AraLabs, Home Router DNS 설정 변경해 광고 교체 발표
http://aralabs.com/blog/2015/03/25/ad-fraud-malware-hijacks-router-dns-injects-ads-via-google-
analytics
− 3월 27일 : Slack 해킹 당함
http://slackhq.com/post/114696167740/march-2015-security-incident-and-launch-of-2fa

23. © AhnLab, Inc. All rights reserved. 23
2015 년 국외 정보보안 소식
2015년 국외 정보보안 소식
− 3월 29일 : github.com 중국 정부 추정 DDoS 공격 당함
http://insight-labs.org/?p=1682

24. 04
1 분기 국외 정보보안 소식

25. © AhnLab, Inc. All rights reserved. 25
공격
• 해킹으로 게임 제작 취소
- 해킹으로GloriousLeader! 제작취소발표
* Source:https://www.kickstarter.com/projects/884592321/glorious-leader/posts/1101568

26. © AhnLab, Inc. All rights reserved. 26
NSA 북한 네트워크 침입
• NSA북한 해킹
- 2010년미국NSA(NationalSecurityAgency)북한네트워크침투보도
* Source:http://www.nytimes.com/2015/01/19/world/asia/nsa-tapped-into-north-korean-networks-before-sony-attack-officials-say.html?referrer

27. © AhnLab, Inc. All rights reserved. 27
유출
• Anthem
- 8천만명개인정보
-이름,생년월일,이메일,주소,사회보장번호등정보유출
* Source:http://www.anthemfacts.com

28. © AhnLab, Inc. All rights reserved. 28
유출
• Uber
- 드라이버5만명정보유출
-5개월동안미공개
* Source:http://blog.uber.com/2-27-15

29. © AhnLab, Inc. All rights reserved. 29
정보 공유
• ThreatExchange
-
* Source:https://threatexchange.fb.com/

30. © AhnLab, Inc. All rights reserved. 30
MMPC, Ramnit 차단 발표
• Ramnit차단 발표
-MMPC(MicrosoftMalwareProtectionCenter)300만대차단발표
* Source:http://blogs.technet.com/b/mmpc/archive/2015/02/25/microsoft-malware-protection-center-assists-in-disrupting-ramnit.aspx

31. © AhnLab, Inc. All rights reserved. 31
Bluebox, Xiaomi Phone 위험 발표
• Bluebox,XiaomiPhone위험 발표
- Xiaomi측:비공식유통경로로입수된단말기
* Source:https://bluebox.com/blog/technical/popular-xiaomi-phone-could-put-data-at-risk/

32. © AhnLab, Inc. All rights reserved. 32
장애
• PandaSecurity장애
- 2015년3월11일signature파일오진문제
* Source:http://www.pandasecurity.com/uk/homeusers/support/card?id=100045

33. 05
1 분기 주요 취약점과 악성코드

34. © AhnLab, Inc. All rights reserved. 34
Superfish vulnerability
• Superfish
- 2014년9월–2015년2월판매Lenovo노트북에포함
-
* Source:http://support.lenovo.com/us/en/product_security/superfish

35. © AhnLab, Inc. All rights reserved. 35
Equation Group
• Equation
-1995년부터19년동안활동.Stuxnet과연관되어NSA배후가능성존재
-HDDfirmware에도악성코드주입
* Source:https://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/

36. © AhnLab, Inc. All rights reserved. 36
Vulnerability
• SeagateNASRemote CodeExecutionVulnerability
-
* Source:https://beyondbinary.io/advisory/seagate-nas-rce/

37. © AhnLab, Inc. All rights reserved. 37
Home Router
• Home RouterDNS 설정 변경
-광고출력
* Source:http://aralabs.com/2015/03/25/ad-fraud-malware-hijacks-router-dns-injects-ads-via-google-analytics/

38. © AhnLab, Inc. All rights reserved. 38
EFI bootkit
• EFI Bootkit
-firmwaremodifications
* Source:https://events.ccc.de/congress/2014/Fahrplan/events/6128.html

39. © AhnLab, Inc. All rights reserved. 39
Ransomware
• Nabucur
- FileInfection+Ransomware
* Source:http://asec.ahnlab.com/1025&http://blog.trendmicro.com/trendlabs-security-intelligence/virlock-combines-file-infection-and-ransomware/

40. 06
Case study : Kimsuky 변형

41. 07
Case study : Upatre

42. © AhnLab, Inc. All rights reserved. 42
Upatre
• Upatre
- 2013년11년부터배포
-주로메일을통해감염
* Source:

43. © AhnLab, Inc. All rights reserved. 43
Upatre
• Icon
- 2015년2월–3월배포변형

44. © AhnLab, Inc. All rights reserved. 44
Upatre
• 관계도
-
* Source:분석팀

45. © AhnLab, Inc. All rights reserved. 45
현재의 보안 문제
• Not reallya fair fight
* source:http://image-store.slidesharecdn.com/81268b95-5c3b-4604-9129-d83ab3dc4600-large.png

46. © AhnLab, Inc. All rights reserved. 46
현재의 보안 문제
• 모두가 함께 해야 하는 보안
* source:http://www.security-marathon.be/?p=1786

47. © AhnLab, Inc. All rights reserved. 47
Q&A
email : minseok.cha@ahnlab.com / mstoned7@gmail.com
http://xcoolcat7.tistory.com
https://twitter.com/xcoolcat7, https://twitter.com/mstoned7

48. D E S I G N Y O U R S E C U R I T Y