1. 개요
랜섬웨어(Ransomware)를 이용한 사이버 공격은 끊임없이 발생하고 있다. 올해 6월 서비스를 종료한 GandCrab 제작자는 2년간 랜섬웨어 서비스를 통해 얻은 수익이 20억 달러(한화 약 2조 3천억 원)에 달한다고 밝혔다.
랜섬웨어는 감염 시 시스템에 존재하는 파일을 암호화하여 시스템을 사용할 수 없게 만든다. 공격자들은 암호화된 파일의 복호화키(정상 파일로 되돌리기 위한 키)를 빌미로 가상화폐를 요구하는데 이때 요구하는 가상화폐 금액은 상상을 초월한다.
랜섬웨어 감염 시 상당히 큰 피해가 발생하기 때문에 피해를 사전에 예방하고자 최근 다양한 매체를 통해 위험성 및 예방 방법들이 알려지고 있으나 공격자들의 공격 기법은 점점 더 정교해지고 있어 피해는 매년 증가하는 추세이다.
이에 이번 호에서는 2019년 상반기 국내/외를 강타하여 많은 피해를 입힌 랜섬웨어 4종(CLOP, Sodinokibi, GandCrab, Crysis(Dharma))에 대해 살펴보고자 한다. 이번 호의 <2019년 상반기 랜섬웨어 동향> Part1은 올해 초부터 국내 기업의 AD(Active Directory) 서버를 대상으로 유포되고 있는 CLOP, GandCrab과 유사한 형태로 유포되고 있는 Sodinokibi를 분석하였다. 이어서 GandCrab, Crysis(Dharma)는 다음 호 <2019년 상반기 랜섬웨어 동향> Part2에서 다루도록 하겠다.
[그림 1] 2019 상반기 TOP 10 랜섬웨어 (출처 : 카스퍼스키)
▶ 랜섬웨어 4종 : CLOP, Sodinokibi, GandCrab, Crysis(Dharma) 주요 특징
구 분 | GandCrab | CrySiS | Clop | Sodinokibi |
활동시기 | 2018.01. ~ 2019.06 | 2016.02. ~ 현재 | 2019.02. ~ 현재 | 2019.04. ~ 현재 |
유포방식 | · 악성코드 유포지 · 스피어피싱 · 멀버타이징 · 웜 (Bondat) · 워터링 홀 | · 악성코드 유포지 · 스피어 피싱 · RDP 프로토콜 | · 사전 공격 (특정 서버를 대상) | · 스피어피싱 · 취약점 |
암호화 확장자 | · .CRAB (v1~v3) · .KRAB (v4) · .[rand] (v5) | · .id-[id].[email].[rand] · .[email].dharma | · .[rand] | · .[rand] |
암호화 키 관리 | · 네트워크 통신 · 레지스트리 저장 | · 암호화 파일 | ·감염 파일 내 저장 | · 레지스트리 저장 |
주요 악성행위 | · 파일 암호화 · 프로세스 종료 · 시스템 정보 탈취 · 섀도 복사본 삭제 | · 파일 암호화 · 섀도 복사본 삭제 | ·파일 암호화 ·서비스 등록 ·공유 드라이브 파일 암호화 ·특정 국가 언어 감염제외 | · 파일 암호화 · 공유 드라이브 파일 암호화 |
[표 1] 행위 요약
2. CLOP Ransomware
1) 개요
클롭(CLOP) 랜섬웨어는 TA505 그룹의 사전 공격으로 인해 시스템이 장악된 AD(Active Directory) 서버를 대상으로 공격이 진행되는 것으로 추정하고 있다. 감염 시 파일 확장자가 *.Clop(CLOP) 혹은 *.Ciop(CIOP)로 변경되며 파일이 암호화된다. 배치파일을 이용하여 섀도 복사본 파일을 모두 삭제하고 랜섬웨어의 동작에 방해가 되는 프로세스들을 확인하며(주로 백신 프로세스) 최근 유포 중인 클롭 랜섬웨어는 특정 백신(구 버전 제품)이 설치되어 있는 경우 직접 삭제한다.
※ TA505그룹의 사전공격에 대한 내용은 04. TA505 그룹의 사전공격(CLOP) 상세분석에서 상세하게 다룬다.
구분 | 내용 |
프로세스 | - 서비스로 등록 후 동작 |
파일 | - 파일 암호화 및 확장자 변경(*.Clop(CLOP), *.Ciop(CIOP) - 특정 프로그램 삭제 및 프로세스 확인 - 배치파일 생성 및 실행(섀도우 파일 삭제) - 특정 국가의 언어를 사용중인 시스템은 감염을 진행하지 않음 |
[표 2] 행위 요약
2) 행위 상세분석
CLOP 랜섬웨어는 서비스로 등록된 후 동작한다. 등록되는 서비스명은 샘플에 따라 상이하다.
[그림 2] 서비스를 이용하여 메인 행위를 수행
특정 국가의 언어가 확인되면 더 이상 악성 행위를 진행하지 않고 종료된다.
[그림 3] 서비스를 이용하여 메인 행위를 수행
확인하는 언어 |
Georgian, Russian, Ukrainian, Belarusian, Tajik, Armenian Uzbek, Azerbaijani, Kazakh, Kyrgyz, Turkmen, Swahili |
[표 3] 감염 제외 시스템 언어
특정 프로세스들이 현재 실행 중인지 확인한다.(확인하는 프로세스 명은 샘플에 따라 상이)
[그림 4] 임의의 프로세스가 실행중 인지 확인
중복 실행방지를 위해 뮤텍스를 생성한다.(뮤텍스 명은 샘플에 따라 상이)
[그림 5] 뮤텍스를 생성
임의의 경로에 배치파일을 생성한다.
[그림 6] 배치파일 생성
드라이브 유형(이동식 드라이브/하드 드라이브 등)을 파악한 후 파일 암호화를 수행한다.
[그림 7] 드라이브 유형 확인
A~Z(대문자만 포함)까지 드라이브 명을 확인하며 감염대상을 탐색한다. 파일이 암호화되는 부분은 스레드로 동작한다.
[그림 8] 드라이브 파일 확인 및 스레드 동작
감염 시키고자 하는 파일이 감염 제외 대상에 포함되어 있는지 확인 후 제외 대상이 아닌 경우 스레드로 파일 암호화를 수행한다.
[그림 9] 감염 제외대상 확인
아래의 표에 해당하는 확장자 및 파일명을 제외한 나머지 파일은 모두 암호화된다.
(파일명 및 확장자명은 랜섬웨어 버전에 따라 상이할 수 있음)
파일명 |
desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, ntuser.dat.log, thumbs.db, DESKTOP.INI, AUTORUN.INF, NTUSER.DAT, ICONCACHE.DB, bootsect.bak, NTUSER.DAT.LOG, THUMBS.DB, boot.ini, BOOT.INI, ntuser.ini, AUTOEXEC.BAT, autoexec.bat, NTDETECT.COM, ntdetect.com, CIopReadMe.txt, ntldr, NTLDR |
[표 4] 감염 제외 파일명
확장자 |
.CIop, .dll, .DLL, .exe, .EXE, .sys, .SYS, .OCX, .ocx, .LNK, .lnk |
[표 5] 감염 제외 확장자
3. Sodinokibi Ransomware
1) 개요
소디노 키비(Sodinokibi)(소딘(Sodin), REvil) 랜섬웨어는 올해 4월 말부터 다양한 방법(사칭 메일의 첨부파일, 취약점, 익스플로잇 키트, 포트스 캐닝 및 RDP 브루트포싱 공격 등)으로 유포되고 있으며 암호화에 사용하는 키, 변경되는 확장자 등의 정보를 레지스트리에 저장하는 특징을 가지고 있다. 갠드크랩 랜섬웨어 유포 방법과 상당수 동일한 방법으로 유포되고 있으나 추가적으로 제로데이(0-day) 및 원데이(1-day) 취약점을 이용하는 사례가 발견되고 있다.
구분 | 내용 |
파일 | - 파일 암호화 및 확장자(랜덤 값) 변경 |
네트워크 | - 수집된 데이터를 특정 C2 서버로 전송하기 위해 통신을 시도함 |
레지스트리 | - 파일 암호화에 사용되는 키(Key), 변경된 확장자 등을 저장 |
[표 6] 행위 요약
2) 유포 방식
이전의 GandCrab 랜섬웨어가 유포되던 방식과 동일한 방법들이 사용되고 있으나 특이한 점이 있다면 공격자들은 취약점을 랜섬웨어 유포에 사용하고 있으며 직접 공격 후 파워쉘 명령어로 실행한다. 이러한 공격 방법 때문에 피해자는 본인이 직접 랜섬웨어를 실행하지 않더라도 취약한 시스템으로 인해 감염될 수 있으며, 현재까지 확인된 유포 방식은 다음과 같다.
유포방법 | 내용 |
스피어 피싱 | - 다양한 사칭 이메일의 첨부파일을 통하여 유포 ex) 입사지원서, 금융회사 사칭, 스팸 블랙리스트, 은행, 성범죄, 헌법재판소, 견적요청서, 원본 이미지 등 |
취약점 | - CVE-2019-2725 (웹로직(WebLogic) 취약점) - CVE-2019-2729 (웹로직(WebLogic) 취약점) - CVE-2018-8453 (Windows 권한상승 취약점) |
기타 | - RIG 익스플로잇 킷(Exploit Kit) - 멀버타이징(Malvertising) |
[표 7] 랜섬웨어 유포방식
3) 파일 유형
사용자들에게 직접 유포되는 유형으로는 사칭 이메일의 첨부파일을 통하여 유포되는 경우가 많다. 정상적인 첨부파일로 위장하기 위해 다양한 파일 형태를 사용하고 있다.
파일 형태 | 내용 |
압축파일 | 링크파일 (*.lnk) | - 사칭하고 있는 파일의 아이콘으로 위장(ex. 문서 아이콘) - 실행 시 링크되어있는 랜섬웨어 파일이 실행 됨 |
실행파일 (*.exe) | - 주로 숨김 처리 되어있으며 폴더옵션을 따로 변경하지 않은 사용자 의 PC에서 보이지 않음 - LNK파일에 링크되어 있으며 링크파일 실행 시 해당 파일이 실행됨 |
자바 스크립트 (*.js) | - |
[표 8] 파일 유형
4) 특이사항
갠드크랩 랜섬웨어와 상당히 유사한 방식(스피어 피싱, 멀버타이징 등)으로 유포되고 있다. 그러나 다양한 제로데이 취약점을 악용하여 공격을 진행하고 있는 점은 갠드크랩 랜섬웨어 유포 방식과 차이점을 보인다. 최근에 나오는 변종 샘플에서는 안티 바이러스의 탐지를 피하기 위해 Heaven’s Gate를 사용하고 있으며 복잡한 알고리즘으로 암호화 되며 현재까지는 복호화 툴이 없다.
5) 행위 상세분석
감염이 완료되면 다음과 같이 바탕화면이 변경된다.
[그림 10] 감염 후 변경된 바탕화면
중복 실행 방지를 위하여 뮤텍스를 생성하며 뮤텍스 명은 샘플마다 상이하다.
[그림 11] 임의의 뮤텍스 생성
다음의 명령어를 이용하여 섀도 복사본을 삭제한다.
명령어 |
cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet & bcdedit /set {default} recoveryenabled No & bcdedit /se |
[표 9] 섀도우 복사본 삭제 명령어
파일 암호화에 사용되는 데이터는 메모리에 로드 한 후 임의의 디코딩 루틴을 통해 복호화 하여 사용한다. 복호화 된 데이터에는 감염에서 제외되는 대상, PK, 감염 제외 확장자 등의 정보가 들어있다.
[그림 12] 감염에 사용되는 데이터
폴더명 |
$windows.~ws, $recycle.bin, $windows.~bt, appdata, program files (x86), intel, google, perflogs, programfiles, windows.old, boot, msocache, windows, application data, programdata, mozilla, system volume information, tor browser |
[표 10] 감염 제외 폴더명
파일명 |
thumbs.db, ntldr, ntuser.dat, boot.ini, ntuser.ini, autorun.inf, bootfont.bin, iconcache.db, desktop.ini, bootsect.bak, ntuser.dat.log |
[표 11] 감염 제외 파일명
파일 확장자 |
diagpkg, key, cmd, deskthemepack, nomedia, 386, msp, rom, lnk, ldf, sys, msi, cur, msstyles, msc, dll, themepack, mod, ps1, adv, ani, idx, tico, icl, spl, exe, hta, ocx, theme, wpx, bin, bat, icns, drv, com, cab, shs, mpa, scr, ics, diagcab, rtp, nls, diagcfg, hlp, prf, cpl, msu, lock |
[표 12] 감염 제외 파일 확장자
암호화에 사용되는 값들을 특정 루틴을 통해 생성하고 특정 레지스트리 키(Key)에 저장한 후, 각각의 값들을 불러와 사용한다. 레지스트리 키에 저장되는 값들은 다음과 같다.
(레지스트리 키 경로 : HKEY_LOCAL_MACHINESOFTWARErecfg)
생성 값 | 내용 |
0_key | 파일 암호화에 사용됨(암호화 관련 키) |
pk_key |
sk_key |
rnd_ext | 해당 PC에서 파일 암호화 후 변경 할 파일 확장자(랜덤값) |
[표 13] 레지스트리에 저장되는 키와 내용
[그림 13] 레지스트리에 저장 되어있는 키 값
드라이브의 상태를 확인한 후 A ~ Z까지 드라이브 이름을 탐색하여 감염시킨다.
(공유 폴더가 드라이브로 잡혀있는 경우 함께 감염된다)
[그림 14] 드라이브 정보 확인
PC에 연결되어있는 네트워크 드라이브를 확인한다. 이 때, 네트워크 드라이브가 존재하는 경우에는 함께 감염된다.
[그림 15] 네트워크 드라이브 탐색
다양한 시스템 정보를 수집한다. (PC 이름, PC에서 사용하는 언어 등)
[그림 16] 드라이브 정보 확인
수집된 정보는 다음과 같은 다수의 도메인에 임의의 값을 포함한 주소로 만들어 전송한다. 이때 사용되는 도메인 수는 1000개 이상이다.
[그림 17] 드라이브 정보 확인
4. TA505 그룹의 사전공격(CLOP) 상세분석
TA505 그룹은 러시아 정부의 지원을 받고 있는 것으로 추정되는 해킹 그룹으로 2019년 2월부터 현재까지 국내 다수의 기업 및 금융권을 대상 다양한 사칭 메일을 통해 악성코드를 유포해오고 있다. 해당 파트에서 다루는 공격 벡터는 2019년 2월부터 6월까지의 수집된 샘플에 대한 내용으로 작성되었다.
1) 공격 형태 - 메일의 첨부파일을 이용한 악성코드 유포
2019년 2월 인보이스_xxxx.xls, 송장_xxxx.xls 샘플을 시작으로 다양한 문서를 사칭하여 유포되었으나 2019년 5월 말부터 첨부파일의 형태가 엑셀(*.xls)에서 HTML(*.html) 파일로 변경된 샘플을 함께 사용하기 시작했다. HTML파일 실행 시 특정 서버에서 엑셀 파일을 다운로드 받아오며 기존과 동일한 루틴의 엑셀 파일이 다운로드 및 실행된다. 이는 엑셀 파일이 첨부되어 있는 이메일이 스팸 처리되는 것을 우회하기 위한 것으로 보여지며 앞으로도 다양한 형태의 첨부파일을 공격에 사용할 것으로 예상된다.
월 | 첨부파일 형태 | 첨부파일 제목 |
2 | Microsoft Excel | 인보이스_[숫자].xls, 송장_[숫자].xls |
3 | Microsoft Excel | 증명서.xls, 구매오더4500286249.xls |
4 | Microsoft Excel | 20180423 출납일보.xls |
5 | Microsoft Excel, HTML | eTaxInvoice_[숫자].html, eTaxInvoice_[숫자].xls |
6 | Microsoft Excel, HTML | 계약서_[숫자].html, [숫자].xls, 20.06.2019 송금 증 [숫자].[숫자].html, 20.06.2019 송금 증 [숫자].[숫자].htm 20.06.2019 송금 증 [숫자].[숫자].xls |
[표 14] 랜섬웨어 유포방식
2) TA505 그룹의 사전공격 - 엑셀 첨부파일
TA505 그룹이 사용하는 엑셀 첨부파일에는 공통적으로 임의의 C2 서버에 접속을 시도하는 악성 매크로가 포함되어 있다. 초기에 사용된 샘플(2019.02)에서는 숨김 시트에 C2 #1(첫 번째 C2)로 접속하는 매크로를 삽입하였으나, 이후의 공격에서는 폼(Form) 영역의 Tag, Text 영역에 C2 #1에 대한 데이터를 삽입하였다. 엑셀 첨부파일은 C2 #1에 접속 후 임의의 파일을 다운받아 오는 다운로더로 이용된다.
[그림 18] 다양한 형태로 C2에 접속
3) TA505 그룹의 사전공격 – 엑셀에서 최종 페이로드 까지
TA505 그룹이 사용하는 엑셀 악성코드에서는 매크로를 통해 C2 #1에서 다음 공격에 사용할 추가 악성코드를 다운로드 받아 오는 공통점을 가지고 있다. C2 #1을 통해 다운로드 된 추가 악성코드는 C2 #2(두 번째 C2)에 접근하여 최종 페이로드 wsus.exe를 다운로드 받아온다. 엑셀 파일에서부터 최종 페이로드를 다운로드 받아 오는 과정에서도 몇 번의 변화를 걸친 모습이 확인되었다.
[공격 벡터 1] – 전체 개요(실행 -> C2 #1 -> C2 #2)
(벡터 1.1) 최초의 공격에 사용된 공격 벡터는 [그림 18]과 같다. 엑셀파일의 매크로에서는 MSI(Windows Installer) 파일을 다운로드 받아온 후 실행한다. 실행된 MSI 파일에서 *.tmp를 드롭/실행하여 C2 #2에 접근하고 최종 악성코드를 다운로드 받아 오는 형태로 동작한다.
(벡터 1.2) 엑셀 파일의 매크로를 이용하여 C2 #1에서 *.tmp를 다운로드 받아온 후 실행한다.(MSI를 이용하여 *.tmp를 다운로드 하는 과정을 생략) 실행된 *.tmp에서 C2 #2에 접근하고 최종 악성코드를 다운로드 받아 온다.
[공격 벡터 2] – (C2 #2 접근 과정)
(벡터 2.1) *.tmp에서 C2 #2로 접근 시 “net use /domain"명령을 이용하여 현재 악성코드가 동작 중인 환경을 확인하는 작업을 가진 후 AD 서버가 아닌 경우에는 C2 #2에 접근하지 않고 프로그램을 종료한다.
최종적으로 다운로드 되는 wsus.exe는 현재까지 모두 Ammyy Admin이라는 상용 원격제어 프로그램의 유출된 소스코드(Flawed Ammyy)를 사용하고 있다. 백도어 기능을 이용하여 다양한 정보를 수집 후 서버로 전송하며, wsus.exe는 서명된 인증서를 가지고 있는 정상 프로그램으로 위장하고 있다.
4) TA505 그룹의 사전공격 – 해외 대상 공격 벡터와 비교
TA505 그룹이 국내 공격에 사용하는 공격 루틴은 빠른 속도로 변화 중이다. 해당 공격 그룹은 국내뿐만 아니라 해외 각국을 공격 대상으로 삼아 공격을 진행하고 있으며, 이에 사용되는 공격 루틴은 국내에서 사용하는 샘플의 형태와 다음과 같은 차이점들을 보이고 있다.
| 국내 | 해외 |
공격 매체 | 악성 메일 첨부파일 | 악성 메일 첨부파일 |
사용 파일 | 엑셀(*.xls) | 엑셀(*.xls) |
첫 번째 악성코드 | 엑셀 매크로를 이용하여 악성코드 유포지 #1에 접속 후 다운로드 받아옴(파일 1개) | 엑셀 매크로를 이용하여 악성코드 유포지 #1, #2에서 다운로드 받아옴(파일 2개) |
첫 번째 악성코드 파일 형태 | MSI, *.tmp(*.exe) | MSI, SFX(*.exe), *exe |
두 번째 악성코드 | 첫 번째 악성코드가 실행되면서 악성코드 유포지 #2에 접속 후 다운로드 | 다운로드 받아온 두 개의 악성코드 중 SFX형태의 악성코드에서 드롭 |
두 번째 악성코드 파일 형태 | *.dat, template_[랜덤값].임의의 확장자 | SFX(*.exe), *.exe, i.cmd(*.bat) |
세 번째 악성코드 | 두 번째 악성코드에서 임의의 연산을 통해 최종 악성코드 복호화 | 드롭 된 파일 중 SFX 형태의 악성코드에서 최종 악성코드(winserv.exe) 드롭 |
세 번째 악성코드 파일 형태 | wsus.exe | winserv.exe, setting.dat, i.cmd(*.bat), exit.exe |
목적 | 정보 탈취 및 RAT (Flawed ammyy) | 정보 탈취 및 RAT (Remote Manipulator System) |
공격 대상 | AD서버 | - |
[표 15] 국내/해외 공격벡터 비교
5. 대응방안
랜섬웨어는 감염 시 시스템에 막대한 피해를 입히며, 복호화 툴이 공개되지 않은 랜섬웨어에 감염되는 경우 데이터를 복구할 수 없다. 따라서 감염이 되지 않는 것을 가장 우선으로 해야 하며 감염 시 추가 감염이 발생할 수 있는 루트를 확인 후 차단해야 한다.
① 신뢰되지 않은 발신자 또는 기관으로부터 접수된 메일의 링크/첨부파일 열람금지
다양한 랜섬웨어 및 악성코드 유포자들이 가장 많이 사용하는 방법이다. 다양한 기관 및 특정 인물 등을 사칭하여 메일을 유포하며 악성 메일의 내용은 점점 정교해지고 있다. 어색한 한국어 사용, 첨부파일 및 링크 실행을 요구, 알 수 없는 이메일 계정으로 발신, 해킹 위협, 별 내용 없어 보이는 첨부파일 등의 수상한 이메일에 첨부되어있는 첨부파일은 절대로 실행하지 않는 것을 권고한다.
문서파일로 위장하여 유포되는 랜섬웨어도 존재하기 때문에 어떠한 확장자/아이콘을 가진 첨부파일이라도 의심스러운 메일에 첨부되어 있으면 실행하지 않는 것을 권고한다.
② 취약점 패치
최근 다양한 원데이 및 제로데이 취약점을 악용하여 시스템에 침투한 후 랜섬웨어를 유포하는 공격이 발생하고 있다. 따라서 사용 중인 환경은 항상 최신 버전의 업데이트를 유지할 것을 권고한다.
(Web Logic 서버 취약점 CVE-2019-2725을 악용한 Sodinokibi)
③ Windows OS : RDP(Remote Desktop Protocol)보안 설정
과거부터 랜섬웨어 공격자들은 RDP를 타깃으로 공격을 진행하여 랜섬웨어를 직접 삽입하고 실행하는 방법을 사용해왔다. 주로 밤이나 새벽시간 등 업무시간 이외의 시간을 파악하여 공격을 진행하며 현재까지 알려진 수많은 종류의 랜섬웨어(GandCrab, Sodinokibi, Crysis 등)가 해당 방법을 통해 시스템에 감염되었다. 따라서 해당 기능에 대한 보안을 강화할 것을 권고한다.
④ 안티 바이러스 제품 실시간 검사 및 업데이트
⑤ 방화벽 또는 IPS에서 IoC 정보 탐지 및 차단 (보고서에서 사용된 샘플)
순번 | 파일명 | |
1 | CLOP Ransomware | a3ad385444da692d751b9141922ef01e |
2 | 0403db9fcb37bd8ceec0afd6c3754314 |
3 | Sodinokibi Ransomware | 72fc67f28e5223b034e357ea7e620d9e |
4 | 13533631b1b82c77ff5bf132771b7724 |
5 | 인보이스 12-2-2019.xls | da0dc5e26a4dd2f85c1c56f65999f79b |
6 | 17337ASE.xls | ba29927464fca99980bca1a366a8ce97 |
7 | Invoice-09547593402.xls | 7DEB2CBC62ABFF912E4EF03C2B15EF23 |
8 | 출납일보 20180423 .xls | C2DBCC176BF6FA9C20F93EF258724C6A |
9 | C58635.xlsb | 6C0D8B03AE466C8142320DAFF9983DBF |
10 | 052719_34D033.xls | 6B9CA01960F3D63BF6EA8056D8B52B2D |
11 | 구매오더450 0286249.xls | 3645C04AD11B617E423EEFB563149ABE |
12 | C047743.xls | B16E889F912CD8CB4E1349D517C9DA57 |
[표 16] IOC 정보
6. 참고자료
[1] https://securelist.com/it-threat-evolution-q1-2019-statistics/90916/
[2] 체크멀 (기업을 지속적으로 노리는 Clop 랜섬웨어 감염 주의 (2019.5.30))
https://blog.naver.com/PostView.nhn?blogId=checkmal&logNo=221550406092&navType=tl
[3] 체크멀 (Sodinokibi 랜섬웨어 유포 메일에 포함된 문장 선택 옵션 (2019.5.8))
[5] https://securelist.com/cve-2018-8453-used-in-targeted-attacks/88151/
[6] https://blog.talosintelligence.com/2019/07/rats-and-stealers-rush-through-heavens.html