2015년 3분기 주요 정보보안 소식 차민석 20160117_공개판

2015년 3분기
주요 정보보안 소식
2016.01.17
안랩 시큐리티대응센터(ASEC) 분석팀
차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7) 책임 연구원
공개판판

© AhnLab, Inc. All rights reserved. 2
알림
• 본 자료는 개인적 관심으로 정리한 내용입니다.
• 누락된 내용이 존재할 수 있습니다.

:~$whoami
Profile
− 차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7)
− 1988년 1월 7일 : Apple ][+ 복제품으로 컴퓨터 시작
− 1989년 : Brain virus 변형 감염
− 1997년 : AhnLab 입사
− AhnLab 책임 연구원 (Senior Antivirus Researcher)
− 시큐리티 대응센터(ASEC) 분석팀에서
악성코드 분석 및 연구 중
- 민간합동 조사단, 사이버보안 전문단
- AVED, AMTSO, vforum 멤버
- Wildlist Reporter

Contents
01
02
03
04
05
06
07
2015 년 국내 정보보안 소식
3 분기 국내 사건 사고
2015 년 국외 정보보안 소식
3 분기 국외 사건 사고
3 분기 주요 취약점과 악성코드
Case Study : Hacking Team
Case Study : Black Mine Operation

01

2015년 국내 정보보안 소식
− 1월 7일 : 모바일 상품권 부정 사용 의혹
http://www.boannews.com/media/view.asp?idx=44991&kind=0
− 1월 15일 : 정부, 400개 기관에 대한 사이버 안전 대진단 발표
http://www.mt.co.kr/view/mtview.php?type=1&no=2015011510033489266
− 1월 15일 : 사법부, 파밍 사건의 은행 책임 일부 인정
http://news.donga.com/3/01/20150115/69100947/1
− 1월 28일 : 전 남친 뒷조사하려고 군 홈페이지 해킹 시도한 여대생 검거
http://economy.hankooki.com/lpage/society/201501/e20150128142208117920.htm
− 1월 28일 : 안랩, 안랩 V3 모바일 3.0 일본 출시
− 2월 1 일 : CDN 업체 해킹으로 일부 정부 웹사이트 통해 악성코드 유포
− 2월 2일 : PG사 Active X 설치 대신 EXE 파일 다운로드 방식으로 변경 시작

− 2월 13일 : 부산 강서경찰서, 회사 자금을 관리하는 직원 컴퓨터에 악성코드를 심어 1억 원 빼돌린 혐
의로 신모(37) 씨 구속
http://www.yonhapnews.co.kr/society/2015/02/13/0701000000AKR20150213168100051.HTML?template
=5567
− 3월 2일 : SBS, 돈 받고 DDoS 공격한 보안업체 대표 양 모씨 보도
http://news.sbs.co.kr/news/endPage.do?news_id=N1002859801
− 3월 5일 : 미래부, 인터넷 공유기 보안 강화 발표
http://www.ddaily.co.kr/news/article.html?no=127945
− 3월 5일 : 공공 아이핀 75 만 건 부정 발급 확인
http://www.nocutnews.co.kr/news/4377976
− 3월 12일 : John, 한수원 유출 자료 추가 공개 주장
http://news.mt.co.kr/mtview.php?no=2015031220118210253
− 3월 15일 : AhnLab 창립 20 주년

− 3월 17일 : 합수단, 한수원 해킹 수사 결과 발표
http://www.dailysecu.com/news_view.php?article_id=9004
− 3월 17일 : 인섹시큐리티, Metascan 국내 판매 발표
http://www.itdaily.kr/news/articleView.html?idxno=61081
− 3월 19일 : 3.20 공격 세력 공격 재개 보도
− 3월 19일 : Pwn2Own에서 이정훈 (lokihardt) 연구원 상금 독식
http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/Pwn2Own-2015-Day-Two-results/ba-
p/6722884#.VQ9clI6sXow
− 3월 23일 : 온라인 문화상품권 업체 해킹해 7억 원 챙긴 일당 적발
http://news1.kr/articles/?2146019
− 3월 23일 : 카드업계, 26일 부터 Active X 제거 발표

− 3월 23일 : 서울중앙지법, 북한 해커로부터 온라인 도박을 조작할 수 있는 프로그램 구매하고 배포한
혐의로 기소된 도박업자들에게 징역형이 선고
http://www.newsis.com/ar_detail/view.html?ar_id=NISX20150321_0013550963&cID=10201&pID=10200
− 3월 23일 : 디도스(DDoS) 공격 의뢰를 받고 범행을 공모한 혐의로 보안업체 기소
http://www.newsis.com/ar_detail/view.html?ar_id=NISX20150326_0013560539&cID=10203&pID=10200
− 3월 31일 : 청와대 안보실 사이버 안보비서관 신설
http://www.yonhapnews.co.kr/bulletin/2015/03/30/0200000000AKR20150330190100001.HTML
− 4월 13일 : 안랩, V3 Mobile Security 글로벌 출시
https://play.google.com/store/apps/details?id=com.ahnlab.v3mobilesecurity
− 4월 21일 : 클리앙 통해 한글화 Ransomware 배포
http://www.boannews.com/media/view.asp?idx=46006
− 4월 21 일 : 이데일리, 사이버 예비군 창설 준비 보도
http://www.edaily.co.kr/news/NewsRead.edy?SCD=JF31&newsid=01259526609338416&DCD=A00603

− 4월 22일 : VirusTotal에 국내 기관·기업 내부문서 업로드 보도
http://www.boannews.com/media/view.asp?idx=46028
− 5월 6일 : Avast, Windows dll 파일 Kryptik-PFA [Trj] 오진
https://forum.avast.com/index.php?topic=170709.0
− 5월 12일 : 중국 Qihoo 360 Security, Android 제품 한국 진출 발표
http://www.asiae.co.kr/news/view.htm?idxno=2015051211260311849
− 5월 14일 : 데일리NK, 북한에서 해킹 시도 의혹 밝힘
http://www.dailynk.com/korean/read.php?cataId=nk00100&num=106135
− 5월 21일 : 안랩, 한글 새로운 취약점 정보 공개
http://asec.ahnlab.com/1035
− 5월 26일 : 한국인터넷진흥원, 사이버 가디언스(Cyber Guardians) 위촉

− 5월 28일 : Avast, 클라우드 기반 무료 기업 제품 출시 발표
http://www.etoday.co.kr/news/section/newsview.php?idxno=1132900
− 5월 29일 : 다음 카카오, daum V3 서비스 종료 발표
http://blog.daum.net/daumcleaner/28
− 5월 31일 : NSHC & Kaist Syssec, CCTV 와 IP Camera에서 백도어 및 취약점 발견 발표
http://syssec.kaist.ac.kr/sub0501/articles/view/tableid/news/id/5
− 6월 7일 : 한국인터넷진흥원 주요 SW와 취약 액티브X 업데이트를 안내하는 ‘SW 원클릭 안심 서비스’
실시 발표
http://www.etnews.com/20150605000143
− 6월 12일 : 북한 연계 의혹 MERS 관련 악성코드 소동
http://news.kbs.co.kr/news/NewsView.do?SEARCH_NEWS_CODE=3094304&ref=A

− 6월 15일 : Samsung, 사이버보안 사업팀 신설 보도
http://www.dt.co.kr/contents.html?article_no=2015061502100151800001
− 6월 26일 : 대구 은행 등 유럽 해킹그룹 DD4BC로부터 DDoS 공격 받음
− 7월 6일 : 하우리, 바이로봇 7.0 1년 무료 제공
http://www.hauri.co.kr/support/hauriNews_view.html?intSeq=364&page=1
− 7월 7일 : 중국 360 Security 국내 진출
− 7월 8일 : John, 한수원 유출 자료 추가 공개
− 7월 12일 : 인천 남구 주안동 한 음식점에서 POS 해킹 발생
http://www.kihoilbo.co.kr/news/articleView.html?idxno=614167
− 7월 13일 : 원전반대그룹 한수원 추가 정보 공개
https://twitter.com/nnppkrb

− 7월 30일 : SBS, 인천공항 보안 문제 보도
http://news.sbs.co.kr/news/endPage.do?news_id=N1003100087
− 7월 31일 : 게임 매크로 프로그램에 악성코드 포함해 훔친 개인정보로 상품권 등 결제한 일당 실형
선고
− 8월 2일 : 편의점서 복제한 고객 카드정보 1 건에 3 만원 씩 거래
http://news.mt.co.kr/mtview.php?no=2015080209008242760
− 8월 5일 : 삼성카드, 안랩 간편인증 도입
http://www.etnews.com/20150805000127
− 8월 10일 : 오픈넷, 오픈백신 발표
http://opennet.or.kr/9737
− 8월 9일 : DEFKOR 팀 DEFCON 23 CTF에서 우승
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20150810093758

− 8월 12일 : 경향, 하우리 해킹으로 문서 유출 보도
http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201508120600025&code=940202
− 8월 27일 : 인천 남부경찰서, 음식점 3곳에 있는 신용카드 결제시스템( POS) 단말기를 해킹해 10 만
여건의 신용카드 마그네틱 정보를 빼낸 2명 구속 발표
http://www.hani.co.kr/arti/society/area/706228.html
− 9월 2일 : 인하대 학생들 학교 전산망 해킹해 출석부 조작
http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201509021638321&code=940202
− 9월 7일 : 동아일보, 북 도박 프로그램 이용한 외화벌이 의심 보도
http://news.donga.com/3/all/20150907/73467960/1#
− 9월 11일 : 뽐뿌 해킹
http://www.ppomppu.co.kr/zboard/view.php?id=notice&no=835
− 9월 14일 : BitDefender 한국 진출
http://www.datanet.co.kr/news/articleView.html?idxno=90751

− 9월 16일 : 2014년 8월 한국철도공사(코레일) 내부 전산망이 해킹 보도
http://news.chosun.com/site/data/html_dir/2015/09/16/2015091600866.html
−

02
2 분기 국내 사건 사고

중국 360 Security 국내 진출
• 360 Security국내 진출
- 2015년7월국내진출하며 TV광고
-다운로드수620만건돌파(2015년8월)
* Source:

한수원 유출 자료 주장
• 한수원 유출 자료 추가 공개 주장
-
* Source:https://www.dropbox.com/s/a2cwnnqr4g1qipw/alert.txt?dl=0

한수원 유출 자료 주장
• 계정 차단 이후 다른 계정에서 공개
- 2015년7월13일
* Source:https://twitter.com/nnppkrb

뽐뿌 해킹
• 뽐뿌 해킹
- 190여만명정보유출
- ID,암호화된password,생년월일,E-mail,닉네임,암호화된장터password,가입일, 회원점수유출
* Source:http://www.ppomppu.co.kr/zboard/view.php?id=notice&no=835

03
2015 년 국외 정보 보안 소식

2015년 국외 정보보안 소식
− 2014년 12월 28일 : Trammell Hudson, Thunderbolt 취약점을 이용한 Thunderstrike 발표
https://events.ccc.de/congress/2014/Fahrplan/events/6128.html
− 2014년 12월 31일 : LOL Taiwan 서버에서 Plugx 변형 배포
http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-malware-found-in-official-releases-of-
league-of-legends-path-of-exile
− 1월 8일 : Moneyhorse 사 해킹으로 Glorious Leader! 게임 제작 중단 발표
https://www.kickstarter.com/projects/884592321/glorious-leader/posts/1101568
− 1월 12일 : 미국 American, United 항공 고객 마일리지 계좌 해킹해 무료 탑승
http://www.inquisitr.com/1750232/american-united-airlines-hacked-thieves-hack-into-thousands-of-
customer-accounts-for-free-flights/
− 1월 13일 : 북한 조선중앙통신 사이트 에서 악성코드 배포
http://arstechnica.com/security/2015/01/surprise-north-koreas-official-news-site-delivers-malware-too/
− 1월 15일 : Intel Security, Samsung Tizen 기반 휴대폰에 보안 프로그램 탑재 발표

− 1월 16일 : 영국 SEROCU, Lizard Squard 멤버 검거 발표
http://www.serocu.org.uk/31/section.aspx/21/man_arrested_swatting_and_denial_of_service_offences
− 1월 16일 : 미국 언론사 뉴욕포스트(NYP)와 UPI 통신의 트위터 계정 도용
http://www.reuters.com/article/2015/01/16/us-usa-media-twitter-idUSKBN0KP24U20150116
− 1월 19일 : 미국 The New York Times, NSA에서 북한 네트워크 침투 보도
http://www.nytimes.com/2015/01/19/world/asia/nsa-tapped-into-north-korean-networks-before-sony-
attack-officials-say.html?referrer
− 1월 27일 : Linux GNU C Library 취약점 CVE-2015-0235 (일명 Ghost) 발표
https://www.qualys.com/research/security-advisories/GHOST-CVE-2015-0235.txt
− 1월 27일 : Kaspersky, Reign과 Qwerty Keylogger 간 연관 관계 발표
http://securelist.com/blog/research/68525/comparing-the-regin-module-50251-and-the-qwerty-
keylogger

− 1월 29일 : 중국 정부, 강력한 사이버 보안법 적용
http://www.nytimes.com/2015/01/29/technology/in-china-new-cybersecurity-rules-perturb-western-
tech-companies.html
− 2월 3일 : 미국 정부, 사이버대책 총괄 기구 E-Gov Cyber 설립
http://thehill.com/policy/cybersecurity/231598-white-house-creates-e-gov-cyber-unit
− 2월 4일 : Anthem, 8 천 만명 개인 정보 유출
http://www.anthemfacts.com
− 2월 11일 : Facebook, ThreatExchange 사이트 공개
https://threatexchange.fb.com
− 2월 12일 : Trend Micro, 한국 은행 사용자를 대상으로 한 모바일 악성코드 발표
http://blog.trendmicro.com/trendlabs-security-intelligence/mobile-malware-gang-steals-millions-from-
south-korean-users

− 2월 14일 : Newyork times, 은행 시스템에 Carbanak 악성코드 감염 시켜 돈 빼낸 사건 보도
http://www.nytimes.com/2015/02/15/world/bank-hackers-steal-millions-via-malware.html
− 2월 16일 : Kaspersky, Equation 정보 공개
https://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy
− 2월 19일 NSA & GCHQ, SIM Card 제조 업체 해킹
https://firstlook.org/theintercept/2015/02/19/great-sim-heist
− 2월 20일 : Lenovo, Superfish 취약점 발표
http://support.lenovo.com/us/en/product_security/superfish
− 2월 25일 : Microsoft MMPC, Ramnit 300 만대 차단 발표
http://blogs.technet.com/b/mmpc/archive/2015/02/25/microsoft-malware-protection-center-assists-in-
disrupting-ramnit.aspx
− 2월 27일 : Uber, 5 만 명 기사 정보 유출 발표
http://blog.uber.com/2-27-15

− 3월 3일 : Oracle, OS X Java에도 ask toolbar 탑재 논란
http://www.zdnet.com/article/oracle-extends-its-adware-bundling-to-include-java-for-macs
− 3월 5일 : Bluebox, Xiaomi 스마트폰에 악성코드 포함 발표
https://bluebox.com/blog/technical/popular-xiaomi-phone-could-put-data-at-risk
− 3월 6일 : FREAK (Factoring Attack on RSA-EXPORT Keys CVE-2015-0204)
https://www.us-cert.gov/ncas/current-activity/2015/03/06/FREAK-SSLTLS-Vulnerability
− 3월 9일 : Krebs on Security, POS 업체 NEXTEP 정보 유출 공개
http://krebsonsecurity.com/2015/03/point-of-sale-vendor-nextep-probes-breach
− 3월 11일 : PandaSecuriy, 자신을 악성코드로 오진
http://www.pandasecurity.com/uk/homeusers/support/card?id=100045
− 3월 11일 : Kaspersky, the Equation Group의 EquationDrug 발표
http://securelist.com/blog/research/69203/inside-the-equationdrug-espionage-platform

− 3월 19일 : BloombergBusiness, Kaspersky Lab 러시아 첩보부와 연관 의혹 보도
http://www.bloomberg.com/news/articles/2015-03-19/cybersecurity-kaspersky-has-close-ties-to-
russian-spies
− 3월 19일 : 미국 Target, 2013년 해킹으로 1천만 달러(약 112억 원)를 배상
http://money.cnn.com/2015/03/19/technology/security/target-data-hack-settlement
− 3월 25일 : Trend Micro, 동아시아 지역에서 발견되고 있는 Sextortion 악성코드 분석자료 발표
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-sextortion-in-
the-far-east.pdf
− 3월 25일 : AraLabs, Home Router DNS 설정 변경해 광고 교체 발표
http://aralabs.com/blog/2015/03/25/ad-fraud-malware-hijacks-router-dns-injects-ads-via-google-
analytics
− 3월 27일 : Slack 해킹 당함
http://slackhq.com/post/114696167740/march-2015-security-incident-and-launch-of-2fa

− 3월 29일 : github.com 중국 정부 추정 DDoS 공격 당함
http://insight-labs.org/?p=1682
− 4월 7일 : CNN, Russian Hacker가 White house 해킹 했다고 보도
http://edition.cnn.com/2015/04/07/politics/how-russians-hacked-the-wh/index.html
− 4월 9일 : France TV5Monde 해킹 보도
http://www.lemonde.fr/pixels/article/2015/04/09/les-sites-de-tv5-monde-detournes-par-un-groupe-
islamiste_4612099_4408996.html
− 4월 9일 : 새로운 shellshock 취약점 이용한 웜 발견
http://www.volexity.com/blog/?p=118
− 4월 10일 : HSBC, 정보 유출 시인
http://doj.nh.gov/consumer/security-breaches/documents/hsbc-finance-20150410.pdf
− 4월 11일 : Russia 경찰, Android 인터넷뱅킹 정보 탈취 악성코드 제작자 검거
https://mvd.ru/news/item/3311877

− 4월 13일 : Interpol, Simda botnet take down 발표
http://www.interpol.int/en/News-and-media/News/2015/N2015-038
− 4월 15일 : GAO, 새로운 항공 관제 시스템 문제 발표
http://gao.gov/assets/670/669627.pdf
− 4월 17일 : BitDefender, BitDefender Box 출시
http://www.bitdefender.com/news/direct-sales-of-bitdefenders-the-box-launches-new-era-in-internet-
security-3029.html
− 4월 21일 : Kaspersky, Cozyduke 정보 공개
https://securelist.com/blog/research/69731/the-cozyduke-apt/
− 4월 25일 : Russian Hackers가 백악관 시스템 해킹 해 Obama 메일 읽음
http://www.nytimes.com/2015/04/26/us/russian-hackers-read-obamas-unclassified-emails-officials-
say.html?_r=0

− 4월 27일 : AV-Comparatives 부정 행위 적발 발표
− 4월 29일 : BBC, 다큐멘터리에서 철도 제어 시스템 암호 노출
https://grahamcluley.com/2015/05/train-control-centre-passwords-revealed
− 4월 29일 : Eset, Linux Spam 발송 악성코드 Mumblehard 정보 공개
http://www.welivesecurity.com/wp-content/uploads/2015/04/mumblehard.pdf
− 4월 29일 : Canada 경찰 webcam 해킹 혐의로 27세 여성 Valérie Gignac 검거 발표
http://www.rcmp-grc.gc.ca/qc/nouv-news/com-rel/2015/04/150429-eng.htm
− 5월 1일 : 인증 기관 테스트 관련해 부정 행위 한 업체 적발
http://www.av-test.org/fileadmin/pdf/VB-AVC-AVT-press-release.pdf
− 5월 1일 : Linux GPU 이용한 Rootkit Jellyfish 공개
https://github.com/x0r1/jellyfish
− 5월 4일 : Sally Beauty 두번째 유출 사고 발표
https://www.sallybeautyholdings.com/data-incident-information.aspx

− 5월 6일 : Las Vegas' FireKeepers Casino 카드정보 7개월 동안 유출
http://firekeeperscasino.com/data-sec
− 5월 8일 : India CERT, Bioazih 경고
http://www.cert-in.org.in
− 5월 13일 : 가상환경 취약점 (CVE-2015-3456) VENOM 발표
http://venom.crowdstrike.com
− 5월 15일 : GTA V mods ‘Angry Planes’ 와 ‘Noclip’ 에서 악성코드 발견
https://grahamcluley.com/2015/05/beware-gta-malware
− 5월 15일 : FBI, Chris Roberts 비행기 해킹 혐의 주장
http://www.washingtonpost.com/news/morning-mix/wp/2015/05/18/hacker-chris-roberts-told-fbi-he-
took-control-of-united-plane-fbi-claims
− 5월 21일 : channel4, Adult FriendFinder 해킹으로 390 만명 정보 유출 보도
http://www.channel4.com/news/adult-friendfinder-dating-hack-internet-dark-web

− 5월 21일 : Intercept, NSA의 Google 및 Samsung AppStore 해킹 시도 보도
https://firstlook.org/theintercept/2015/05/21/nsa-five-eyes-google-samsung-app-stores-spyware
− 5월 23일 : Mcafee, Ransomware 생성 도구 Tox 발견
https://blogs.mcafee.com/mcafee-labs/meet-tox-ransomware-for-the-rest-of-us
− 5월 26일 : 미국 IRS (Internal Revenue Service) 해킹으로 10 만 명 개인정보 유출
http://bigstory.ap.org/article/34539a748b3745ffb92451472f814ffa/apnewsbreak-irs-says-thieves-stole-
tax-info-100000
− 5월 26일 : Eset, Moose 악성코드 분석보고서 공개
http://www.welivesecurity.com/wp-content/uploads/2015/05/Dissecting-LinuxMoose.pdf
− 5월 29일 : 미 언론, 미국 정보 당국 2010년 봄 북한 평북 영변 핵시설에 Stuxnet 공격 시도 보도
http://www.reuters.com/article/2015/05/29/us-usa-northkorea-stuxnet-idUSKBN0OE2DM20150529
− 5월 29일 : Qihoo 360, 2012년 부터 중국 정부 해킹한 Ocean Lotus 공개
http://blogs.360.cn/blog/oceanlotus-apt/

− 5월 29일 : Mac firmware 변조 가능 공개
https://reverse.put.as/2015/05/29/the-empire-strikes-back-apple-how-your-mac-firmware-security-is-
completely-broken
− 6월 1일 : 일본연금기구 악성코드 감염으로 연금 정보 유출 보도
http://asahikorean.com/article/asia_now/AJ201506020076
http://d.hatena.ne.jp/Kango/20150601/1433166675
− 6월 4일 : 중국 hacker에 의해 400 만 명 미 연방 공무원 정보 유출 보도
http://www.washingtonpost.com/world/national-security/chinese-hackers-breach-federal-governments-
personnel-office/2015/06/04/889c0e52-0af7-11e5-95fd-d580f1c5d44e_story.html
− 6월 4일 : Samy Kamkar, IM-ME를 이용해 자체 제작한 OpenSesame로 차고 문 열기 시연
http://www.wired.com/2015/06/hacked-kids-toy-opens-garage-doors-seconds/
− 6월 4일 : Bae Systems, MacKeeper 취약점을 통해 감염되는 악성코드 정보 공개
http://www.baesystemsai.blogspot.co.uk/2015/06/new-mac-os-malware-exploits-mackeeper.html

− 6 월 5일 : Trendmicro, Oracle MICROS을 목표로 한 Malumpos 발견 발표
http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-discovers-malumpos-targets-
hotels-and-other-us-industries
− 6월 9일 : 미군 홈페이지 해킹
http://www.welivesecurity.com/2015/06/09/us-army-website-hack/
− 6월 10일 : 일본, 도쿄상공회의소, 회원기업 정보 1만여건 유출
http://www.47news.jp/korean/economy/2015/06/116051.html
− 6월 10일 : Kasperskylab, Duqu 2.0 자사 공격 시도 발표
https://blog.kaspersky.com/kaspersky-statement-duqu-attack
− 6월 11일 : 미국 연방인사관리처 추가 해킹 피해자 가능성 보도
http://bigstory.ap.org/article/af77f567a4b74f128a4869031dc9add9/union-hackers-have-personnel-data-
every-federal-employee

− 6월 14일 : Bild 지, 5월 독일 메르켈 총리실 컴퓨터 악성코드에 감염 보도
http://www.bild.de/bild-plus/politik/inland/angela-merkel/steht-im-zentrum-des-cyber-angriffs-
41347220,var=a,view=conversionToLogin.bild.html
− 6월 14일 : China와 Russia에서 Edward Snowden의 암호화 파일 해제 보도
http://www.thesundaytimes.co.uk/sto/news/uk_news/National/article1568673.ece
− 6월 15일 : Kaspersky Lab, Duqu 2.0에 Foxconn Technology Group 인증서 사용 발표
https://securelist.com/blog/research/70641/the-duqu-2-0-persistence-module
− 6월 16일 : FBI, Louis Cardinals 휴스턴 구단 해킹 혐의로 수사 중
http://www.nytimes.com/2015/06/17/sports/baseball/st-louis-cardinals-hack-astros-fbi.html
− 6월 16일 : 학계 Apple Keychain 취약점 공개
https://drive.google.com/file/d/0BxxXk1d3yyuZOFlsdkNMSGswSGs/view?pli=1

− 6월 16일 : NowSecure, 삼성 스마트폰 취약점 공개
https://www.nowsecure.com/blog/2015/06/16/remote-code-execution-as-system-user-on-samsung-
phones
− 6월 16일 : Paloalto, 동남아 지역 공격한 Lotus Blossom 공개
https://www.paloaltonetworks.com/content/dam/paloaltonetworks-
com/en_US/assets/pdf/reports/Unit_42/operation-lotus-blossom/unit42-operation-lotus-blossom.pdf
− 6월 17일 : Canada 정부 사이트 DDoS 공격으로 장애
http://www.citynews.ca/2015/06/17/government-of-canada-servers-under-cyber-attack
− 6월 18일 : Wikileaks, Sony 유출 자료 공개
https://wikileaks.org/sony/docs/
− 6월 21일 : 폴란드 LOT 항공사, DDoS 공격으로 시스템 장애 발생
http://www.tvn24.pl/wiadomosci-z-kraju,3/atak-hakerow-na-systemy-informatyczne-lot,553485.html

− 6월 22일 : 미국 & 영국 정보기관 백신 업체 목표 폭로
https://firstlook.org/theintercept/2015/06/22/nsa-gchq-targeted-kaspersky
− 6월 23일 : google researcher, Eset 취약점 공개
http://googleprojectzero.blogspot.co.uk/2015/06/analysis-and-exploitation-of-eset.html
− 6월 23일 : 미 법원, Blackshades 판매한 Alex Yucel 4년 9개월 징역형 선고
http://www.justice.gov/usao-sdny/pr/Swedish-co-creator-blackshades-malware-enabled-users-around-
world-secretly-and-remotely
− 6월 23일 : Samsung 컴퓨터 Windows Update 기능 해제 프로그램 제공
http://bsodanalysis.blogspot.in/2015/06/samsung-deliberately-disabling-windows.html
− 6월 25일 : Europol, Zeus 와 Spyeye 악성코드 관계자 검거 발표
https://www.europol.europa.eu/content/major-cybercrime-ring-dismantled-joint-investigation-team
− 7월 1일 : 일본 17세 소년, 일본 첫 ‘랜섬웨어’ 제작 혐의
http://www.47news.jp/korean/politics_national/2015/07/117682.html

− 7월 6일 : Italia Hacking Team 해킹으로 400 GB 가량 정보 공개
http://www.csoonline.com/article/2944333/data-breach/hacking-team-responds-to-data-breach-issues-
public-threats-and-denials.html
− 7월 7일 : 일본 방위성 공제조합이 운영하는 Hotel Grand Ichigaya 5월 사이버 공격 보도
http://www.47news.jp/korean/politics_national/2015/07/118091.html
− 7월 8일 : 미국 뉴욕증권거래소(NYSE), 월스트리트저널(WSJ), 유나이티드항공의 시스템에 장애 발생
http://www.ibtimes.com/wall-street-journal-homepage-wsjcom-down-nyse-stops-trading-computer-
glitch-1999756
− 7월 14일 : Eset, Operation Liberpy 공개
http://www.welivesecurity.com/2015/07/14/operation-liberpy-keyloggers-information-theft-latin-america
− 7월 13일 : Software bug로 65,000 대 자동차 recall
http://www.bbc.com/news/technology-33506486

− 7월 15일 : Hacking Forum 중단 및 멤버 기소 발표
http://www.justice.gov/opa/pr/major-computer-hacking-forum-dismantled
− 7월 16일 : FireEye 인턴 포함된 Darkode 판매한 혐의자 검거
http://www.forbes.com/sites/thomasbrewster/2015/07/15/fireeye-intern-dendroid-charges
− 7월 20일 : Ashely Madison 해킹으로 개인정보 유출
http://www.theguardian.com/technology/2015/jul/20/ashley-madison-hacked-cheating-site-total-
shutdown
− 7월 21일 : Charlie Miller and Chris Valasek, Fiat Chrysler의 Jeep Cherokee 자동차 원격 해킹 공개
http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway
− 7월 21일 : MMS를 받기만 해도 발생하는 Stagefright 취약점 발표
http://blog.zimperium.com/the-biggest-splash-at-blackhat-and-defcon-2015
− 7월 24일 : Fiat Chrysler, Jeep Cherokee 140 만대 recall 결정
http://www.bbc.com/news/technology-33650491

− 7월 29일 : DedoxRansome, BitDefender 해킹 후 돈 요구
http://blog.hackerfilm.com/2015/07/antivirus-maker-bitdefender-hacked.html
− 7월 29일 : Microsoft, Windows 10 출시
− 7월 31일 : Lenovo, Lenovo Service Engine (LSE) 제거 발표
http://news.lenovo.com/article_display.cfm?article_id=2013
− 8월 3일 : DYLD_PRINT_TO_FILE 취약점 이용한 공격 실제 확인
https://blog.malwarebytes.org/mac/2015/08/dyld_print_to_file-exploit-found-in-the-wild
− 8월 3일 : Mac firmwar worm Thunderstrike 2 공개
http://www.wired.com/2015/08/researchers-create-first-firmware-worm-attacks-macs
− 8월 7일 : Brazil Curitiba시, Boqueirao station의 정류장 정보 시스템에서 15 분간 Porno 상영
http://www.dailystar.com.lb/News/World/2015/Aug-08/310320-hackers-broadcast-porn-on-tv-screens-
at-brazil-bus-depot.ashx

− 8월 10일 : Kaspersky, DarkHotel 최신 정보 공개
https://securelist.com/blog/research/71713/darkhotels-attacks-in-2015
− 8월 11일 : SEC 해킹 후 가짜 보도자료를 배포 확인
http://money.cnn.com/2015/08/11/investing/hacked-stock-press-release-indictment
− 8월 11일 : 영국 MumsNet 해킹과 DDoS 및 창립자 Justine Roberts 집에 Swating
http://www.welivesecurity.com/2015/08/19/mumsnet-hack-ddos-swat
− 8월 14일 : Reuters, Kaspersky의 경쟁사 제품 방해 의혹 보도
http://www.reuters.com/article/2015/08/14/ctech-us-Kaspersky-rivals-idCAKCN0QJ1CR20150814
− 8월 18일 : 중국 공안, 사이버범죄자 15,000 명 검거 발표
http://www.reuters.com/article/2015/08/18/us-china-internet-idUSKCN0QN1A520150818
− 8월 28일 : UK 경찰, Lizard Squad 멤버 검거 발표
http://www.nationalcrimeagency.gov.uk/news/691-operation-vivarium-targets-users-of-lizard-squad-s-
website-attack-tool

− 8월 30일 : Paloalto, 탈옥 된 iOS 악성코드 Keyraider 발표
http://researchcenter.paloaltonetworks.com/2015/08/keyraider-ios-malware-steals-over-225000-apple-
accounts-to-create-free-app-utopia
− 8월 31일 : LA times, Chinese 와 Russian에서 미국 Spy 찾기 위해 해킹 시도한다고 보도
http://www.latimes.com/nation/la-na-cyber-spy-20150831-story.html
− 9월 7일 : Citadel, Dridex 제작자 검거 보도
https://krebsonsecurity.com/2015/09/arrests-tied-to-citadel-dridex-malware
− 9월 15일 : Fireeye, Cisco router에서 Router Implant Synful-Knock 이용한 공격 발견 (이후 163개 발견)
http://blog.shadowserver.org/2015/09/21/synful-knock/
− 9월 17일 : AVG, 새로운 privacy policy 발표
http://now.avg.com/understanding-the-new-privacy-policy/

− 9월 17일 : 중국 내 변조된 Xcode로 악성코드 포함된 정상 APP 발견
http://researchcenter.paloaltonetworks.com/2015/09/novel-malware-xcodeghost-modifies-xcode-infects-
apple-ios-apps-and-hits-app-store
− 9월 17일 : F-Secure, Russia에서 Dukes 이용해 공격 추정 발표
https://labsblog.f-secure.com/2015/09/17/the-dukes-7-years-of-russian-cyber-espionage
− 9월 23일 : The Office of Personnel Management (OPM), 560 만 명 지문정보 유출 발표
https://www.opm.gov/news/releases/2015/09/cyber-statement-923
− 9월 23일 : Threat Connect & DGI, Unit 78020 활동 공개
http://cdn2.hubspot.net/hubfs/454298/Project_CAMERASHY_ThreatConnect_Copyright_2015.pdf
− 9월 29일 : ATM Skimmer Gang, Dr. Web에 화염병 공격
http://krebsonsecurity.com/2015/09/atm-skimmer-gang-firebombed-antivirus-firm
−

04
3 분기 국외 사건 사고

BitDefender hacked
• BitDefenderHacked
- DedoxRansome정보유출후돈요구
* Source:http://blog.hackerfilm.com/2015/07/antivirus-maker-bitdefender-hacked.html

05
2 분기 주요 취약점과 악성코드

Car Hacked
• Car Hacked
-
* Source:http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway

Lenovo Service Engine (LSE)
• LenovoServiceEngine(LSE) 문제
-BIOS차원에서OneKeyOptimizer다운로드
-2015년4월–5월출시제품에한함
* Source:https://support.lenovo.com/us/en/product_security/lse_bios_notebook

KeyRaider
• iOS 악성코드
- 한국포함해18개국에서225,000대감염추정
* Source:http://researchcenter.paloaltonetworks.com/2015/08/keyraider-ios-malware-steals-over-225000-apple-accounts-to-create-free-app-utopia/

Carbanak
• Carbanakgangis back
-
* Source:http://www.welivesecurity.com/2015/09/08/carbanak-gang-is-back-and-packing-new-guns/

Xcode Ghost
• XcodeGhost
-변조된Xcode배포(주로중국개발자가다운로드)
-개발된APP은정보유출기능포함됨
* Source:http://researchcenter.paloaltonetworks.com/2015/09/novel-malware-xcodeghost-modifies-xcode-infects-apple-ios-apps-and-hits-app-store

Kasidet (Neutrino)
• KasidetBuilder
-
* Source:http://blog.trendmicro.com/trendlabs-security-intelligence/credit-card-scraping-kasidet-builder-leads-to-spike-in-detections

Kasidet (Neutrino)
• Kasidet(Neutrino)cracked공개
-
* Source:https://www.nulled.io/topic/88871-neutrino-v394-http-botnet-cracked-by-0x22

Kasidet (Neutrino)
• Kasidet(Neutrino)
- distributeddenial-of-service(DDoS)attacks
- logkeystrokes
- copyclipboarddata
-capturescreenshots
- executearemoteshell
-infectremovabledrivesandnetworkfolders

Hacking Team hacked
• HackingTeam hacked
- 400GB자료유출
* Source:http://www.hackingteam.com/index.php/about-us

취약점 & 악성코드도 유출
• Zero-Day
- 7월초부터AdobeFlashzero-day(CVE-2015-5119) exploit을이용한공격발생
* Source:http://blog.trendmicro.com/trendlabs-security-intelligence/hacking-team-flash-zero-day-tied-to-attacks-in-korea-and-japan-on-july-1

• Zero-Day
- CVE-2015-5122&CVE-2015-5123
* Source:http://www.tripwire.com/state-of-security/vulnerability-management/another-zero-day-flash-exploit-revealed-in-hacking-team-breach-cve-
2015-5122-cve-2015-5123/

• UEFI BIOS Rootkit
-
* Source:http://blog.trendmicro.com/trendlabs-security-intelligence/hacking-team-uses-uefi-bios-rootkit-to-keep-rcs-9-agent-in-target-systems

국내 문제
• 국내에서도 구매
-
* Source:http://pastebin.com/MP8zpQ26

국내 문제
• 국정원 해킹팀 제품 구입 보도
-
* Source:http://newstapa.org/27329

국내 문제
• 국정원 사찰 의혹
-
* Source:http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201507160600025&code=940202

국내 문제
• 오픈넷, 오픈 백신 프로젝트
- 탐지프로그램개발발표
* Source:http://opennet.or.kr/9581

국내 문제
• 오픈넷, 오픈 백신 프로젝트
- 탐지프로그램발표
* Source:https://play.google.com/store/apps/details?id=org.p2plab.openvaccine

국내 문제
• 기존 업체 대응
- HackingTeam악성코드는기존악성코드와다르지않음
-샘플이없을경우대응못하지만샘플만확보되면진단가능
* Source:http://www.etnews.com/20150728000132

07
Case Study : Black Mine Operation

Black Mine Operation
• 월간 안 2015년 11월호
-
* Source:http://www.ahnlab.com/kr/site/securityinfo/newsletter/magazine.do?letterNo=201511

• 현황
- 242개변형발견

© AhnLab, Inc. All rights reserved.
2008 2013 2015
Bmdoor
2012
Dllbot
3.20(DarkSeoul)
& 6.25
Cyber-attack
Bmbot(TypeA)
Bmbot(TypeB)
2014
3.20Cyber-attack
(Gatheringinformation)
Bmdoor
(Non-BM&
New Bmbot)

• 감염 방법
-

• 공격 대상
-

Target
• TargetedAttack
-

Bmdoor 특징
• Bmdoor구조
- 겉보기에는정상EXE파일처럼보임
Encrypted
Data
Dropper
BM + Loader #2
Loader #1
JMP

Bmdoor 특징
• 분석 환경 검사
- 가상환경(VMware,VirtualBox)검사
- 시스템이름과실행파일명에서(SANDBOX,VIRUS,MALWARE)분석환경추정

Inside the Bmdoor
• Bmdoor내 악성코드 종류
-

현재의 보안 문제
• Not reallya fair fight
* source:http://image-store.slidesharecdn.com/81268b95-5c3b-4604-9129-d83ab3dc4600-large.png

현재의 보안 문제
• 모두가 함께 해야 하는 보안
* source:http://www.security-marathon.be/?p=1786

Q&A
email : minseok.cha@ahnlab.com / mstoned7@gmail.com
http://xcoolcat7.tistory.com
https://twitter.com/xcoolcat7, https://twitter.com/mstoned7

D E S I G N Y O U R S E C U R I T Y

2015년 3분기 주요 정보보안 소식 차민석 20160117_공개판

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (8)

En vedette

En vedette (17)

Similaire à 2015년 3분기 주요 정보보안 소식 차민석 20160117_공개판

Similaire à 2015년 3분기 주요 정보보안 소식 차민석 20160117_공개판 (20)

2015년 3분기 주요 정보보안 소식 차민석 20160117_공개판