미국 우편 서비스로 위장한 테슬라크립트와 안드로이드 랜섬웨어 변종 발견
앱스토어 검증 우회 기능 앱 발견, 리눅스 민트 웹사이트 해킹
[보안뉴스 김경애] 한 주간 테슬라크립트(TeslaCrypt) 랜섬웨어가 미국 우편 서비스로 위장해 유포됐으며, 모바일 기기에서 직접 생성되는 안드로이드 랜섬웨어 변종이 발견됐다. 뿐만 아니라 앱스토어 검증을 우회할 수 있는 앱과 모바일 기기에서 직접 생성되는 안드로이드 랜섬웨어 변종도 출현했다. 다음은 한 주간 발생한 보안이슈다.
1. 테슬라크립트 랜섬웨어, 미국 우편 서비스로 위장
먼저 한 주간 테슬라크립트 랜섬웨어가 미국 우편 서비스(USPS)로 위장해 유포되고 있어 이용자들의 주의가 요구된다.
알약 블로그에 따르면 테슬라크립트 랜섬웨어 공격자는 ‘배달이 실패했다’는 메시지와 함께 미국 우편 서비스의 대금 영수증으로 위장한 파일을 첨부해 이메일을 보내 이용자를 속이고, zip 파일을 열어보도록 유도한다고 밝혔다.
압축된 zip 파일은 다운로더의 역할을 하는 악성 자바스크립트이며, 파일명은 USPS_delivery_invoice.zip이다. 악성 자바스크립트 파일로는 invoice_[랜덤 스트링].js, invoice_copy_[랜덤 스트링].js 또는 invoice_scan_[랜덤 스트링].js등이 발견됐다.
파일이 실행되면, mafiawantsyouqq[.]com, lenovowantsyouff[.]com, whereareyoumyfriendff[.]com, lenovomaybenotqq[.]com, ikstrade.co[.]kr 중 하나가 웹사이트에 연결돼 93[.]exe, 45[.]exe, 26[.]exe와 같은 파일들이 다운로드된다. 일부 버전은 http post 커맨드를 생성하기 위해 salaeigroup[.]com에 연결을 시도하기도 한다.
2. 앱스토어 검증을 우회할 수 있는 앱 ZergHelper 발견
이어 앱 스토어에 애플 앱을 업로드할 때 애플의 검증 절차를 우회하는 ZergHelper 악성앱이 발견됐다.
▲앱스토어 검증를 우회할 수 있는 앱 ZergHelper(출처: http://researchcenter.paloaltonetworks.com)
이번에 발견된 앱은 ‘开心日常英语(HappyDaily English)’로, 중국 iOS 사용자를 노리고 있다. 앱은 서드파티 마켓에도 존재하며, 이미 기업서명이 포함된 버전도 확인됐다.
알약 블로그에 따르면 ZergHelper는 △앱스토어 위장한 안전하지 않은 iOS앱 제공 △기업 인증서와 개인 인증서 서명 마음대로 사용해 앱 배포(애플 검증 우회할 수 있는 코드 포함) △사용자의 애플 ID 탈취 시도해 탈취 성공시 애플 서버에 로그인해 조작 △제작자는 코드의 업데이트 통해 기능추가 시도, 이 과정에서 iOS 보안정책 우회가능 △앱의 사용기술, iOS의 생태계 위협 등의 위험성이 있다고 밝혔다.
ZergHelper은 GPS 정보를 기반으로 추가행위를 하며, 애플의 검증과정을 우회 시도한다. 일반적으로 중국 이외의 국가에서는 일반 영문 교육 앱으로 실행되지만, 만약 중국에서 해당 앱을 실행할 때 악성 기능이 활성화된다.
ZergHelper는 2015년 10월 30일에 최초로 앱스토어에 업로드됐으며, 지난 19일까지 적발되지 않고 앱스토어에 존재했던 것으로 드러났다.
ZergHelper의 주요 기능은 해적버전과 다른 iOS앱들과 충돌을 일으킬 수 있는 앱들을 제공하는 가짜 앱스토어를 제공한다.
이 악성앱은 기업 인증서를 마음대로 사용하고, 새로운 기술을 사용해 탈옥을 하지 않은 기기상에도 마음대로 앱을 설치할 수 있다. 애플 아이튠즈(Apple iTunes) 윈도우 버전을 통해 로그인, 구매 및 앱 다운로드 등의 행위를 할 수 있다. 동시에 Xcode IDE 기능을 이용해 자동으로 무료 개발인증서를 생성할 수 있다. 이는 공격자가 이미 애플의 프로토콜과 8개월 전에 공개된 개발계획을 완벽히 분석했다는 것을 의미한다.
ZergHelper는 매우 복잡한 코드로 구성돼 있으며, 서버에 기기정보를 전송해 정적 추적에 사용된 것으로 알려졌다. 또한, 언어를 바꿔 확장성을 높였으며, 애플이 검증하지 않을 때만 업데이트가 진행된 것으로 분석됐다.
현재까지 기업 인증서를 사용한 ZergHelper 앱은 50개 이상 발견됐으며, 이들은 각각 다른 경로로 유포된 것으로 추정되고 있다.
3. 모바일 기기에서 직접 생성되는 안드로이드 랜섬웨어 변종
이 외에도 AIDE(Android Integrated Development Environment)를 이용해 안드로이드 기기에서 개발된 Android.Lockdroid.E의 변종이 발견됐다.
▲모바일 기기에서 직접 생성 되는 안드로이드 랜섬웨어 변종 발견(출처:시만텍)
-신속한 어플리케이션 개발 RAD 모델
이에 대해 알약 블로그 측은 “랜섬웨어들은 RAD(Rapid Application Development) 모델을 사용해 개발되며, 신속한 프로토타입이 필요한 소프트웨어에서 주로 사용된다”고 밝혔다. 또한, 유저 인터페이스 요구사항에 의해 만들어진다고 덧붙였다.
-모바일 기기에서의 랜섬웨어 개발
AIDE의 경우 공격자들이 IDE를 이용해 모바일 기기에서 직접 Android.Lockdroid.E의 변종을 설계, 빌드, 실행, 수정 및 서명을 할 수 있다. 이 변종들은 코드 짜투리 부분에 AIDE를 사용해 개발됐다는 표시가 되어 있다.
-랜섬웨어 개발시 AIDE 사용 이유
공격자들이 AIDE를 사용하는 이유는 랜섬웨어를 개발할 때 코드를 유연하게 재빨리 수정할 수 있고, 이동성이 좋은 AIDE의 장점 때문이다. 초보 개발자의 경우 코드 몇 줄만 수정해 새로운 변종을 만들수 있고, 고급 개발자는 노트북 없이도 언제 어디서나 랜섬웨어를 제작할 수 있다.
-모바일에서 개발된 랜섬웨어 발견
Lockdroid.E의 변종은 중국에서 스팸 이메일이나 브라우저 하이재커들을 통해 배포되어 왔다. Lockdroid.E는 다른 일반적인 랜섬웨어들과 비슷한 기능을 가진다. 이 랜섬웨어가 기기에 설치되면, 사용자 기기가 잠겼다는 메세지가 뜨며, 잠금을 해제하고 싶을 경우 중국 메신저 QQ를 통해 공격자에게 연락하라고 요구한다. 피해자들은 기기의 잠금을 해제하려면 공격자에게 비용을 지불해야 한다.
4. 리눅스 민트 웹사이트 해킹
Linux의 Mint 웹사이트가 지난 20일에 해킹당해 다운로드 링크가 공격자의 서버에서 제공하는 악성 Linux Mint 17.3 Cinnamon Edition ISO 파일로 바뀌었다.
▲Linux의 Mint 웹사이트 블로그(출처: The Linux Mint Blog)
Linux Mint 프로젝트 담당자는 공지를 통해 “해커들은 Linux Mint ISO에 백도어를 삽입해 우리 사이트에서 악성코드가 다운로드 되도록 했다”고 밝혔다.
이번 이슈는 지난 20일에 Linux Mint 17.3 Cinnamon Edition을 다운받은 사용자들에게 해당되며, 20일 이전 혹은 토렌트나 직접 HTTP 링크를 통해 다운로드 한 경우는 해당되지 않는다.
알약 블로그에 따르면 공격자들은 Linux Mint의 워드프레스 블로그에 접근해 www-data의 shell 접근이 가능했던 것으로 보이며 이후 Linux Mint 다운로드 페이지를 변조해 불가리아에 위치하는 악성 FTP 서버로 연결시켰다고 밝혔다.
감염된 Linux ISO 이미지는 OS와 함께 IRC 백도어인 Tsunami를 설치하며, 공격자가 IRC 서버를 통해 시스템에 접근할 수 있도록 한다. Tsunami는 디도스(DDoS) 공격 실행시 사용되는 단순한 IRC 봇인 Linux ELF 트로이목마의 일종이다.
[김경애 기자(boan3@boannews.com)]
앱스토어 검증 우회 기능 앱 발견, 리눅스 민트 웹사이트 해킹
[보안뉴스 김경애] 한 주간 테슬라크립트(TeslaCrypt) 랜섬웨어가 미국 우편 서비스로 위장해 유포됐으며, 모바일 기기에서 직접 생성되는 안드로이드 랜섬웨어 변종이 발견됐다. 뿐만 아니라 앱스토어 검증을 우회할 수 있는 앱과 모바일 기기에서 직접 생성되는 안드로이드 랜섬웨어 변종도 출현했다. 다음은 한 주간 발생한 보안이슈다.
1. 테슬라크립트 랜섬웨어, 미국 우편 서비스로 위장
먼저 한 주간 테슬라크립트 랜섬웨어가 미국 우편 서비스(USPS)로 위장해 유포되고 있어 이용자들의 주의가 요구된다.
알약 블로그에 따르면 테슬라크립트 랜섬웨어 공격자는 ‘배달이 실패했다’는 메시지와 함께 미국 우편 서비스의 대금 영수증으로 위장한 파일을 첨부해 이메일을 보내 이용자를 속이고, zip 파일을 열어보도록 유도한다고 밝혔다.
압축된 zip 파일은 다운로더의 역할을 하는 악성 자바스크립트이며, 파일명은 USPS_delivery_invoice.zip이다. 악성 자바스크립트 파일로는 invoice_[랜덤 스트링].js, invoice_copy_[랜덤 스트링].js 또는 invoice_scan_[랜덤 스트링].js등이 발견됐다.
파일이 실행되면, mafiawantsyouqq[.]com, lenovowantsyouff[.]com, whereareyoumyfriendff[.]com, lenovomaybenotqq[.]com, ikstrade.co[.]kr 중 하나가 웹사이트에 연결돼 93[.]exe, 45[.]exe, 26[.]exe와 같은 파일들이 다운로드된다. 일부 버전은 http post 커맨드를 생성하기 위해 salaeigroup[.]com에 연결을 시도하기도 한다.
2. 앱스토어 검증을 우회할 수 있는 앱 ZergHelper 발견
이어 앱 스토어에 애플 앱을 업로드할 때 애플의 검증 절차를 우회하는 ZergHelper 악성앱이 발견됐다.
▲앱스토어 검증를 우회할 수 있는 앱 ZergHelper(출처: http://researchcenter.paloaltonetworks.com)
이번에 발견된 앱은 ‘开心日常英语(HappyDaily English)’로, 중국 iOS 사용자를 노리고 있다. 앱은 서드파티 마켓에도 존재하며, 이미 기업서명이 포함된 버전도 확인됐다.
알약 블로그에 따르면 ZergHelper는 △앱스토어 위장한 안전하지 않은 iOS앱 제공 △기업 인증서와 개인 인증서 서명 마음대로 사용해 앱 배포(애플 검증 우회할 수 있는 코드 포함) △사용자의 애플 ID 탈취 시도해 탈취 성공시 애플 서버에 로그인해 조작 △제작자는 코드의 업데이트 통해 기능추가 시도, 이 과정에서 iOS 보안정책 우회가능 △앱의 사용기술, iOS의 생태계 위협 등의 위험성이 있다고 밝혔다.
ZergHelper은 GPS 정보를 기반으로 추가행위를 하며, 애플의 검증과정을 우회 시도한다. 일반적으로 중국 이외의 국가에서는 일반 영문 교육 앱으로 실행되지만, 만약 중국에서 해당 앱을 실행할 때 악성 기능이 활성화된다.
ZergHelper는 2015년 10월 30일에 최초로 앱스토어에 업로드됐으며, 지난 19일까지 적발되지 않고 앱스토어에 존재했던 것으로 드러났다.
ZergHelper의 주요 기능은 해적버전과 다른 iOS앱들과 충돌을 일으킬 수 있는 앱들을 제공하는 가짜 앱스토어를 제공한다.
이 악성앱은 기업 인증서를 마음대로 사용하고, 새로운 기술을 사용해 탈옥을 하지 않은 기기상에도 마음대로 앱을 설치할 수 있다. 애플 아이튠즈(Apple iTunes) 윈도우 버전을 통해 로그인, 구매 및 앱 다운로드 등의 행위를 할 수 있다. 동시에 Xcode IDE 기능을 이용해 자동으로 무료 개발인증서를 생성할 수 있다. 이는 공격자가 이미 애플의 프로토콜과 8개월 전에 공개된 개발계획을 완벽히 분석했다는 것을 의미한다.
ZergHelper는 매우 복잡한 코드로 구성돼 있으며, 서버에 기기정보를 전송해 정적 추적에 사용된 것으로 알려졌다. 또한, 언어를 바꿔 확장성을 높였으며, 애플이 검증하지 않을 때만 업데이트가 진행된 것으로 분석됐다.
현재까지 기업 인증서를 사용한 ZergHelper 앱은 50개 이상 발견됐으며, 이들은 각각 다른 경로로 유포된 것으로 추정되고 있다.
3. 모바일 기기에서 직접 생성되는 안드로이드 랜섬웨어 변종
이 외에도 AIDE(Android Integrated Development Environment)를 이용해 안드로이드 기기에서 개발된 Android.Lockdroid.E의 변종이 발견됐다.
▲모바일 기기에서 직접 생성 되는 안드로이드 랜섬웨어 변종 발견(출처:시만텍)
-신속한 어플리케이션 개발 RAD 모델
이에 대해 알약 블로그 측은 “랜섬웨어들은 RAD(Rapid Application Development) 모델을 사용해 개발되며, 신속한 프로토타입이 필요한 소프트웨어에서 주로 사용된다”고 밝혔다. 또한, 유저 인터페이스 요구사항에 의해 만들어진다고 덧붙였다.
-모바일 기기에서의 랜섬웨어 개발
AIDE의 경우 공격자들이 IDE를 이용해 모바일 기기에서 직접 Android.Lockdroid.E의 변종을 설계, 빌드, 실행, 수정 및 서명을 할 수 있다. 이 변종들은 코드 짜투리 부분에 AIDE를 사용해 개발됐다는 표시가 되어 있다.
-랜섬웨어 개발시 AIDE 사용 이유
공격자들이 AIDE를 사용하는 이유는 랜섬웨어를 개발할 때 코드를 유연하게 재빨리 수정할 수 있고, 이동성이 좋은 AIDE의 장점 때문이다. 초보 개발자의 경우 코드 몇 줄만 수정해 새로운 변종을 만들수 있고, 고급 개발자는 노트북 없이도 언제 어디서나 랜섬웨어를 제작할 수 있다.
-모바일에서 개발된 랜섬웨어 발견
Lockdroid.E의 변종은 중국에서 스팸 이메일이나 브라우저 하이재커들을 통해 배포되어 왔다. Lockdroid.E는 다른 일반적인 랜섬웨어들과 비슷한 기능을 가진다. 이 랜섬웨어가 기기에 설치되면, 사용자 기기가 잠겼다는 메세지가 뜨며, 잠금을 해제하고 싶을 경우 중국 메신저 QQ를 통해 공격자에게 연락하라고 요구한다. 피해자들은 기기의 잠금을 해제하려면 공격자에게 비용을 지불해야 한다.
4. 리눅스 민트 웹사이트 해킹
Linux의 Mint 웹사이트가 지난 20일에 해킹당해 다운로드 링크가 공격자의 서버에서 제공하는 악성 Linux Mint 17.3 Cinnamon Edition ISO 파일로 바뀌었다.
▲Linux의 Mint 웹사이트 블로그(출처: The Linux Mint Blog)
Linux Mint 프로젝트 담당자는 공지를 통해 “해커들은 Linux Mint ISO에 백도어를 삽입해 우리 사이트에서 악성코드가 다운로드 되도록 했다”고 밝혔다.
이번 이슈는 지난 20일에 Linux Mint 17.3 Cinnamon Edition을 다운받은 사용자들에게 해당되며, 20일 이전 혹은 토렌트나 직접 HTTP 링크를 통해 다운로드 한 경우는 해당되지 않는다.
알약 블로그에 따르면 공격자들은 Linux Mint의 워드프레스 블로그에 접근해 www-data의 shell 접근이 가능했던 것으로 보이며 이후 Linux Mint 다운로드 페이지를 변조해 불가리아에 위치하는 악성 FTP 서버로 연결시켰다고 밝혔다.
감염된 Linux ISO 이미지는 OS와 함께 IRC 백도어인 Tsunami를 설치하며, 공격자가 IRC 서버를 통해 시스템에 접근할 수 있도록 한다. Tsunami는 디도스(DDoS) 공격 실행시 사용되는 단순한 IRC 봇인 Linux ELF 트로이목마의 일종이다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
_Th.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
