CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

Transcription

1 ASEC REPORT VOL

2 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 ( 에서확인하실수있습니다. 2013년 6월보안동향악성코드동향 01. 악성코드통계 03-6월악성코드, 전월대비 103만건감소 - 악성코드대표진단명감염보고최다 20-6월최다신종악성코드트로이목마 - 6월악성코드유형트로이목마가최다 - 악성코드유형별감염보고전월비교 - 신종악성코드유형별분포 02. 악성코드이슈 07 - 포털사이트겨냥한금감원사칭피싱악성코드주의 - 택배사이트배송조회페이지에서유포된악성코드 - 토렌트사이트에서유포된 hosts.ics 생성악성코드 - 최신영화공유파일을이용한악성코드유포 - 다앙한 DDoS 공격기능이있는악성코드 - PUP( 불필요한프로그램 ) 의습격 - 한컴엑셀파일취약점을이용한백도어유포 - 전자계정명세서로위장한스팸메일 - 이메일로도착한문자메시지 03. 모바일악성코드이슈 16 - 금융사피싱앱주의 - 문자메시지수집하는사생활침해악성앱주의 - 성인악성앱주의 - 안드로이드랜섬웨어주의보안동향 01. 보안통계 21-6월마이크로소프트보안업데이트현황 02. 보안이슈 22 - 주요정부기관 DNS 서버 DDoS - 국제사회에영향을미치는에드워드스노든효과웹보안동향 01. 웹보안통계 24 - 웹사이트악성코드동향 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 2013년상반기보안동향 01. 상반기보안위협동향 27 - 정부기관, 언론및금융기관을대상으로한대규모보안사고 - 메모리패치기능을이용한인터넷뱅킹악성코드 - 국내소프트웨어대상제로데이취약점증가 - 한국적특색이강해지는모바일악성코드 - 파밍과결합된온라인게임계정정보탈취악성코드 - 자바와인터넷익스플로러취약점의지속적인악용 - 국가간갈등을유발하는인터넷의사이버첩보전 02. 상반기모바일악성코드동향 년상반기모바일악성코드급증 - 정보유출및과금유발트로이목마다수 - 사용자과금유발악성앱최다 - 국내스마트폰을노린악성코드

3 ASEC REPORT 40 MALICIOUS CODE TREND 3 악성코드동향 01. 악성코드통계 6월악성코드, 전월대비 103만건감소 ASEC 이집계한바에따르면, 2013 년 6 월에감염이보고된악성코드는 413 만 8029 건인것으로나타 났다. 이는전월 517 만 993 건에비해 103 만 2964 건이감소한수치다 ([ 그림 1-1]). 이중에서가장많이 보고된악성코드는 ASD.PREVENTION 이었으며, Win-Trojan/Wgames.Gen 과 Textimage/Autorun 이다 음으로많았다. 또한총 3 건의악성코드가최다 20 건목록에새로이름을올렸다 ([ 표 1-1]). 그림 1-1 월별악성코드감염보고건수변화추이 10,000,000 5,000,000 5,508,895 5,170,993 4,138, % 6.1% 20.0% 표 년 6월악성코드최다 20건 ( 감염보고, 악성코드명기준 ) 순위 등락 악성코드명 건수 비율 1 1 ASD.PREVENTION 249, % 2 1 Win-Trojan/Wgames.Gen 149, % 3 1 Textimage/Autorun 132, % 4 3 Win-Trojan/Onlinegamehack140.Gen 101, % 5 1 Trojan/Win32.onlinegamehack 95, % 6 2 Trojan/Win32.urelas 87, % 7 NEW Win-Trojan/Agent , % 8 1 Trojan/Win32.agent 82, % 9 2 Als/Bursted 64, % 10 2 RIPPER 64, % 11 3 BinImage/Host 59, % 12 9 Win-Trojan/Asd.variant 52, % 13 8 Malware/Win32.generic 52, % 14 NEW Win-Trojan/Malpacked5.Gen 47, % 15 Malware/Win32.suspicious 43, % 16 1 Win32/Autorun.worm F 41, % 17 1 Win-Trojan/Avkiller4.Gen 41, % 18 2 Win32/Virut.f 33, % 19 NEW Trojan/Win32.adh 33, % 20 2 Trojan/Win32.Gen 30, % TOTAL 1,547, %

4 4 악성코드대표진단명감염보고최다 20 [ 표 1-2] 는악성코드별변종을종합한악성코드대표진단명중가장많이보고된 20 건을추린것이다. 이중 Trojan/Win32 가총 57 만 9543 건으로가장빈번히보고된것으로조사됐다. Win-Trojan/Agent 는 27 만 9946 건, ASD 가 24 만 9187 건으로그뒤를이었다. 표 1-2 악성코드대표진단명최다 20건 순위 등락 악성코드명 건수 비율 1 Trojan/Win32 579, % 2 Win-Trojan/Agent 279, % 3 3 ASD 249, % 4 1 Win-Trojan/Onlinegamehack 165, % 5 1 Win-Trojan/Wgames 149, % 6 4 Textimage/Autorun 132, % 7 2 Malware/Win32 105, % 8 3 Win-Trojan/Downloader 103, % 9 2 Win-Trojan/Onlinegamehack , % 10 2 Adware/Win32 97, % 11 1 Win32/Virut 82, % 12 1 Win32/Conficker 79, % 13 1 Win32/Autorun.worm 78, % 14 1 Als/Bursted 64, % 15 1 RIPPER 64, % 16 2 Win32/Kido 60, % 17 3 BinImage/Host 59, % 18 1 Downloader/Win32 55, % Win-Trojan/Asd 52, % 20 NEW Win-Trojan/Malpacked5 47, % TOTAL 2,609, % 6월최다신종악성코드트로이목마 [ 표 1-3] 은 6 월에신규로접수된악성코드중감염보고가가장많았던 20 건을꼽은것이다. 6 월의 신종악성코드는트로이목마 (Win-Trojan/Agent ) 가 8 만 3179 건으로전체의 68.3% 를차지 했다. Win-Trojan/Urelas 는 1 만 1576 건이보고돼그뒤를이었다. 표 1-3 악성코드대표진단명최다 20건 순위 악성코드명 건수 비율 1 Win-Trojan/Agent , % 2 Win-Trojan/Urelas , % 3 Win-Trojan/Agent NH 8, % 4 Win-Adware/KorAd F 1, % 5 Win-Trojan/Agent , % 6 Win-Trojan/Qhost , % 7 Win-Trojan/Agent , % 8 Java/Gondad 1, % 9 Win-Trojan/Small , % 10 Win-Trojan/Agent P 1, % 11 Win-Spyware/OnlineGameHack , % 12 JS/Expoit % 13 Win-Adware/KorAd % 14 S/Exploit % 15 Win-Trojan/Agent P % 16 Win-Trojan/Downloader B % 17 JAVA/Cve % 18 Win-Trojan/Agent BX % 19 Win-Trojan/Qhost V % 20 Dropper/Expjava % TOTAL 121, %

5 5 6월악성코드유형트로이목마가최다 [ 그림 1-2] 는 2013 년 6 월 1 개월간안랩고객으로부터감염이보고된악성코드의유형별비율을 집계한결과다. 트로이목마 (Trojan) 가 53.1% 로가장높은비율을나타냈고웜 (Worm) 이 7.8%, 스크 립트 (Script) 가 4.5% 의비율을각각차지했다. 그림 1-2 악성코드유형별비율 악성코드유형별감염보고전월비교 [ 그림 1-3] 은악성코드유형별감염비율을전월과비교한것이다. 웜, 스크립트, 바이러스, 익스플 로이트등은전월에비해증가세를보였으며트로이목마, 애드웨어, 드롭퍼, 스파이웨어는감소했다. 다운로더, 애프케어계열은전월수준을유지했다. 그림 년 5 월 vs 년 6 월악성코드유형별비율

6 6 신종악성코드유형별분포 6 월의신종악성코드를유형별로살펴보면트로이목마가 91% 로가장많았고애드웨어가 3%, 익스 플로이트는 2% 로각각집계됐다. 그림 1-4 신종악성코드유형별분포

7 7 악성코드동향 02. 악성코드이슈 포털사이트겨냥한금감원사칭피싱악성코드 주의 포털사이트에접속한사용자에게금융감독원의가짜보안인증공지팝업을띄워금융정보를탈취하는파밍악성코드가최근기승을부리고있다. 해당악성코드는국내의유명포털사이트를겨냥하고있어그피해가더욱커지고있다. 이악성코드에감염된상태에서해당포털사이트에접속하면 [ 그림 1-5] 와같은가짜팝업이뜬다. 팝업의링크를통해은행뱅킹사이트에접속하면보안인증을강화하도록유도해금융정보를탈취하는식이다. 그림 1-6 금융권사이트를가장한피싱사이트 [ 그림 1-6] 과같이팝업창의 바로가기 또는 확인 버튼을누르면이름, 주민등록번호, 보안카드정보를입력하도록유도하는창이뜬다. 정보를입력하면공격자의서버로입력한내용이전송된다. 이렇게탈취된정보는금융범죄에사용되므로피해를입지않도록각별히주의해야한다. 은행은절대로보안카드의모든항목의입력을요구하지않는다는점을명심하자. 그림 1-5 포털사이트접속시생성되는보안인증팝업 팝업확인후은행사이트에접근하면 hosts 감염으로인해공격자가만든피싱사이트로연결된다. 피싱사이트에서도보안인증을강화해야한다며개인정보입력을유도한다.

8 8 에는사용자들이자주방문하는택배사이트의배송조회페이지에서악성코드가발견됐다. 현재는삽입된악성스크립트가삭제된상태다. 그림 1-7 개인금융정보입력을유도하는피싱 해당악성코드는피싱사이트의서버 IP를주기적으로변경하는기능도있어공격자가만든피싱사이트가차단되어도다른사이트 IP로유도할수있다. 이악성코드의경우 yswwrnm.wan****mrn.com/abc.txt를통해주기적으로업데이트한다. 그림 1-9 택배사이트배송조회페이지 택배배송조회를위해배송조회페이지를방문할경우 iframe이로딩되며, 취약점을통해악성코드에감염된다. 그림 1-10 자바 (Java) 스크립트하단에삽입된 iframe 해당웹페이지는공다팩 (Gongda pack) 툴킷으로내부코드가난독화돼있다. 그림 1-11 악성 HTML 파일 (rivacy.html) 그림 1-8 공격에사용되는 hosts 목록 V3 제품에서는아래와같이진단이가능하다. 난독화를해제하면자바취약점 (CVE ) 파일과악성코드유포 URL을확인할수있다. <V3 제품군의진단명 > Trojan/Win32.Blocker ( ) 택배사이트배송조회페이지에서유포된악성코드 파일공유사이트 (P2P), 뉴스사이트, 게임아이템거래사이트, 토렌트등다양한웹사이트를통해악성코드가끊임없이유포되고있다. 최근 그림 1-12 난독화해제 (rivacy.html)

9 9 해당악성코드 (nate.exe) 에감염되면특정서버 (118.***.***.36) 에연결을시도하며, 내부문자열에서다음과같은정보를확인할수있다. 악성코드가유포됐다. 이용자가많은사이트인만큼, 사용자들의주의가요구된다. 금융정보를가로채기위한목적으로제작된해당파밍악성코드는 hosts 파일을변조하거나 hosts.ics 파일을생성해사용자들이정상사이트주소를입력해도가짜사이트에연결되도록하는기능을한다. 현재악성스크립트는제거된상태이며, 웹사이트는 [ 그림 1-16] 과같이변경됐다. 그림 1-13 nate.exe 내부문자열정보 최종적으로감염된악성코드 (llsass.exe) 는매시간실행되도록예약작업에등록돼동작한다. 그림 1-16 토렌트사이트 사용자가웹사이트를방문할경우 common.js 파일에삽입된 iframe이로딩되며, 취약점을통해악성코드에감염된다. 그림 1-14 예약작업등록정보 그림 1-17 자바스크립트파일에삽입된 iframe 해당악성코드 (llsass.exe) 는백도어로동작하며, 다음과같이특정서버 (126.**.**.40:1000) 로연결을시도한다. 해당웹페이지는공다팩 (Gongda pack) 툴킷으로내부코드가난독화돼있다. 그림 1-15 llsass.exe 네트워크연결정보 해당악성코드는 V3 제품을통해진단및치료가가능하다. <V3 제품군의진단명 > Java/Cve ( ) Downloader/Win32.Agent ( ) Trojan/Win32.Agent ( ) 그림 1-18 악성 HTML 파일 난독화를해제하면자바취약점과관련된코드와악성코드유포 URL 을확인할수있다. 토렌트사이트에서유포된 hosts.ics 생성악성코드 파일을공유하는토렌트사이트에서최근 hosts.ics 파일을생성하는 그림 1-19 난독화해제

10 10 악성코드 (server.exe) 에감염되면 [ 그림 1-20] 과같이 hosts.ics 파일이생성된다. 해당악성코드는 Nullsoft를이용해제작됐으며, 내부에는토렌트공유파일과악성코드 (Activex.exe) 가포함돼있었다. 그림 1-20 hosts.ics 파일 악성코드감염시 hosts.ics 파일의우선순위로인해올바른금융권사이트의주소를입력해도악성코드제작자가만들어놓은파밍사이트에접속된다. 그림 1-23 악성코드정보 악성코드가실행되면토렌트프로그램이연결되고, 백그라운드로동작하기때문에사용자는감염사실을인지하지못한다. 그림 1-21 hosts.ics 파일정보 해당악성코드 (llsass.exe) 는백도어로동작하며, 다음과같이특정서버 (126.**.**.40:1000) 로연결을시도한다. V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > Worm/Win32.Allaple ( ) Trojan/Win32.Hosts ( ) Trojan/Win32.Jorik ( ) JS/Agent ( ) 그림 1-24 악성코드실행화면이와유사한형태로다수의영화토렌트파일을위장한악성코드가공유사이트에서유포되고있는것으로확인됐다. [ 유사한형태로유포되고있는악성코드정보 ] 최신영화공유파일을이용한악성코드유포요즘많은사람들이파일공유사이트 (P2P) 나토렌트프로그램을이용해영화, 드라마, 게임, 유틸리티프로그램등을공유하거나다운받고있다. 하지만이렇게공유되는자료의상당수는저작권의문제가있을뿐아니라, 자료의출처가불분명하고내부에악성코드가포함돼있는경우도있어이용에주의해야한다. 최근영화파일을공유하는토렌트파일로위장한악성코드가발견됐다. 해당파일은영화토렌트파일 (.torrent) 아이콘으로위장하고있지만, 실제로는악성코드가숨어있었다. 미나OO방구 p.HDR-240.mkv.torrent.exe iron_ooo_ p.hdrip.ultra.edition.ac3.x264.mkv.torrent.exe Jack_the_OOO_Slayer_2013_1080p_BRRip_x264_AC3-JYK.torrent.exe born.to.oooo.2013.kor.vodrip.x264.ac3-adios.torrent.exe warm OOOOOO p web-dl x264 ac3-jyk.torrent.exe [ 방영중 ] [tvn] 몬스O.e 모든것은 OO에서시작되었다.hdtv. h p-with1.torrent.exe 악성코드감염시생성되는파일은다음과같다. C:\Activex.exe C:\Program Files\Microsoft Window Update\lsass.exe 생성된파일 (lsass.exe) 은시작레지스트리값에등록되어동작한다. 그림 1-22 토렌트사이트

11 11 의속성정보와같다는점때문에정상으로판단할수도있다. 그러나 ICMP 패킷이발생한다는여러시스템에서, P2P 다운로드프로그램파일이동일한속성정보를가지고랜덤한이름으로실행되고있었다. 그림 1-25 시작레지스트리에등록악성코드에감염된후실제동작하는 lsass.exe 프로세스를보면 [ 그림 1-26] 과같이특정서버 (121.***.***.146:4183) 로지속적인접근을시도한다. 분석당시에는해당서버로의연결이정상적으로이뤄지지않았다. 분석당시, A사의 P2P 다운로드프로그램이변조되어 DDoS 공격기능이있는악성코드를다운로드하는지는확인되지않았다. 그러나 DDoS 공격을수행하는악성코드가접속하는도메인과동일한도메인 (death***.hopto.org) 에접속을시도하는것이확인됐다. 따라서변조된 A사의 P2P 다운로드프로그램이 DDoS 공격악성코드와관련이있는것으로추정된다. 그림 1-26 lsass.exe 프로세스이와같이토렌트파일을위장한악성코드를실행하거나, P2P 등의파일공유사이트에서불법으로다운로드받은영화, 방송, 유료프로그램을통해악성코드에감염될수있으므로사용자들은각별한주의를기울여야한다. V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > Trojan/Win32.Scar ( ) 다앙한 DDoS 공격기능이있는악성코드최근특정 IP대역으로 ICMP 패킷이과다발생한다는보고가있었다. 감염된 PC에서 ICMP Flood 공격이이루어졌으며, 공격대상은미국에위치한 Amazon 소유의 IP였다. ICMP 패킷이발생한다는다수시스템을분석한결과, 공통적으로 A사 P2P 다운로드프로그램이 [ 그림 1-27] 과같이실행중인것으로확인됐다. 그림 1-28 감염시접속하는도메인에해당하는사이트 [ 그림 1-28] 의 배포파일 링크에는어떠한파일도연결되어있지않았지만, 향후공격자에의해악성코드를유포할수있으므로주의해야한다. 접속을시도하는 hopto.org는무료로 Dynamic DNS 서비스를하는도메인으로, 악성코드제작자가 C&C 서버 IP 변경을용이하게하기위해이용한것으로추정된다. death***.hopto.org 도메인의 IP는 211.***.**.242로국내에위치하고있다. 변조된 P2P 다운로드프로그램파일은실행시 C&C 서버로추정되는아래서버에주기적으로접속을시도한다. 그리고감염 PC의컴퓨터이름, 운영체제, 메모리, CPU 정보등과같은시스템정보를탈취한다. - hxxps://deat****.hopto.org 그림 1-27 P2P 다운로드프로그램실행중인상태 [ 그림 1-27] 의 sssysu.exe 파일이실제 P2P 다운로드프로그램파일 그림 1-29 탈취된시스템정보의패킷내용

12 12 DDoS 공격악성코드는 hxxp://roc*****.com/u.exe에서다운로드된다. 그리고해당악성코드에감염되면아래와같은파일을생성하고, 시스템시작시자동으로실행되도록레지스트리에등록한다. [ 파일생성 ] %Systemroot%\System32\nrvunrqfey.exe %Systemroot%\System32\yxurqreekf.exe %Temp%\svchest.exe [ 레지스트리등록 ] HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\aspnet_states "ImagePath"="%Temp%\svchest.exe" 성코드로분류해진단하기가쉽지가않다. 또한악성코드제작자들은이러한허점을이용해더욱다양한방법으로프로그램을배포하고있다. 안랩은현재이러한프로그램들을불필요한프로그램, PUP(Potentially Unwanted Program) 으로분류하고있다. 상세히설명하면불필요한프로그램이란, 사용자동의를받아설치됐지만프로그램의실제내용이설치목적과관련이없거나사용자시스템의시작페이지변경, 과도한리소스사용으로인한시스템느려짐, 지속적인광고노출등사용자에게불편을초래할가능성을가진잠재적으로위험한프로그램을말한다. 최종설치되는 svchest.exe 파일은 hxxps://death***.hopto.org 도메인에접속을시도했지만, 정상연결이되지않아 DDoS 트래픽은확인되지않았다. 그러나해당프로세스의메모리덤프를확인한결과, 아래 [ 그림 1-30] 과같은문자열정보가포함되어있는것으로확인됐다. 따라서 C&C 서버의명령을통해다양한 DDoS 공격을수행하는것으로추정된다. 그림 1-31 PUP 가설치된시스템 안랩은허위사실이나과장된결과로수익을얻는경우나프로그램제작사또는배포지가불분명한경우등대다수사용자가불편을호소한프로그램을 PUP로진단하며, 사용자의동의하에 PUP를검사하고사용자가선택적으로삭제 / 허용할수있도록하는기능을제공하고있다. 그림 1-30 svchest.exe 프로세스메모리덤프내용 V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > Packed/Win32.Morphine ( ) Trojan/Win32.Symmi ( ) Packed/Win32.Morphine ( ) PUP( 불필요한프로그램 ) 의습격과도하게광고창을많이생성해시스템을느려지게하거나, 존재하지않는위협으로사용자의불안감을조성한후치료를위해결제를유도하는등의행위로사용자에게커다란불편을끼치는프로그램들이은밀하게증가하고있다. 이들프로그램들은교묘한방법으로사용자의동의를받고설치되기때문에안티바이러스제작사의입장에서는악 그림 1-32 V3 제품군의 PUP 검사설정 ( 왼쪽 : V3 Clinic, 오른쪽 : V3 IS 8.0) 만약사용자가필요에의해해당프로그램의사용을원할경우, [ 그림 1-32] 의옵션창의체크를해제하면더이상 PUP로진단하지않는다. PUP 제작자들은백신프로그램의진단을피하고, 법망을벗어나기위한방법으로프로그램이설치되기전사용자로부터동의를받거나다른프로그램과함께설치되도록하는등다양한방법으로설치에대한동의를받고있다. 그림 1-33 PUP의설치동의방법들

13 13 일단사용자동의를받고나면 [ 그림 1-34] 와같이지속적으로광고창을띄운다거나사용자가실행하지않더라도전체시스템을스캐닝해시스템에위협요소가많다는경고창을지속적으로생성해사용자의불안감을조성, 치료를위한결제를유도해금전적인이득을취한다. 한컴엑셀파일취약점을이용한백도어유포문서파일의보안취약점을이용해악성코드를유포하는행위는오래전부터발생해온일이다. 과거에는불특정다수를감염시키는공격이대부분이라 PDF나 DOC와같은다수의사용자들이사용하는소프트웨어들을공격하는경우가많았다. 그러나최근에는특정기업을타깃으로하는등공격대상과방식이다양해지는추세이고, 국내에서는작년부터한컴오피스의보안취약점을공격하는악성코드도증가하고있다. 최근발견된한컴엑셀 ( 이하한셀 ) 파일은한컴오피스의보안취약점을이용해 OS의권한을획득한후한셀파일내부에저장된파일들을 temp 폴더에복사하고 CMD 명령어를이용해악성코드를감염시킨다. 그림 1-34 PUP 의주요사례 1 이외에도과도하게광고창을많이생성하거나시스템리소스를많이소모시켜시스템을느려지게하는등불편을초래한다. C:\Users\rain\AppData\Local\Temp\temp.hwp C:\Users\rain\AppData\Local\svchost.exe C:\Users\rain\AppData\Local\Temp\Alyac\Alyac.exe 생성된파일중 hwp 파일은실제한셀파일이고파일실행시 [ 그림 1-37] 과같이특정단체임원들의정보가저장되어있다. 이러한파일은대부분악성코드감염후정상파일을실행해보여줌으로써감염되지않은것처럼사용자를속이는목적으로이용되는데, 이악성코드의경우제작과정에서확장자를잘못기입한것으로보인다. 그림 1-35 PUP 의주요사례 2 특정프로그램업데이트파일또는 V3 Lite 설치파일을위장해유포된지난사례에서보듯 PUP의위험성은여기에서그치지않는다. 해당프로그램제작사의관리서버가해킹을당한후온라인게임핵과같은악성코드배포에활용되기도한다. PUP의제거방법은 V3 Clinic 사용자나 V3 Internet Security 사용자의경우 [ 그림 1-32] 와같이 V3 환경설정에서 불필요한프로그램 옵션을선택함으로써진단및치료가가능하다. [ 그림 1-36] 과같이 [ 제어판 ]-[ 프로그램추가 / 제어 ] 에서수동제거도가능하다. 그림 1-37 악성코드감염문서파일 악성문서파일이생성하는 svchost.exe 파일은 temp 폴더에 Alyac. exe 파일명으로자신을복사하고부팅시악성코드를실행시키기위해레지스트리에아래와같은데이터를추가한다. HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ Shell - "explorer.exe C:\Users\rain\AppData\Local\Temp\Alyac\ Alyac.exe" HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AlyacV2 - "C:\Users\rain\AppData\Local\Temp\Alyac\Alyac.exe" 그림 1-36 PUP 의수동제거

14 14 해발송되지는않았지만, 은행이름을제외한나머지제목과본문이특정은행의메일과일치했다. 영국계 RBS 은행계정뿐만아니라, 미국계 CITI 은행계정을사칭해유포한사례도발견됐다. 이들스팸메일외에도, 다른은행을사칭한스팸메일도다수존재할것으로추정된다. 그림 1-38 C&C 서버접속시도백도어로사용된악성코드는제작툴을사용해간단하게제작이가능하다. 공격자는관리프로그램을이용해손쉽게악성코드를제작하고감염현황을모니터링하는등시스템들을제어하기위한환경을구축했을것으로추정된다. ㆍ발신자 ㆍ메일제목 (SECURE)Electronic Account Statement ( 임의의숫자 )_( 임의의숫자 ) ㆍ메일본문 You have received a Secure PDF message from the CitiSecure(the RBS Bankline) Messaging Server.Open the PDF file attached to this notification. [ 중략 ] Help is available 24 hours a day by calling or or by at secure. help@citi.com (secure. help@ rbs.com) Please note: Adobe Reader version 7 or above is required to view all SecurePDF messages. ㆍ첨부파일 그림 1-39 감염된악성코드를제어하기위한프로그램악성코드에감염되지않기위해서는출처가불분명한파일을함부로실행하지않는것이가장중요하다. 특정기업을타깃으로한악성코드의경우해당기업에서사용하는보안제품에탐지되지않는형태로제작될수있기때문에보안제품이설치되어있더라도탐지하지못할가능성이있다. 사용중인소프트웨어에대한최신보안패치를하는것도감염으로인한피해예방을위해중요하다. 아래와같이한컴오피스설치시함께설치되는자동업데이트프로그램을이용하거나한컴에서제공하는웹사이트에서최신패치를설치하도록한다. 한컴업데이트 : 해당악성코드는 V3 제품을통해진단및치료가가능하다. Secure.pdf.zip 해당스팸메일의첨부파일은전자계정명세서를확인하도록유도하고있으나, 실제로는 PDF 문서를위장한악성실행파일이다. 첨부된파일이실행되면시스템시작시자동으로작동하기위해악성코드를등록하고, 미국시애틀에위치한것으로확인된원격의시스템에반복해서연결을시도한다. [ 생성된파일 ] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ exe C:\Documents and Settings\Administrator\Application Data\ Jife\muziaq.exe [ 등록된레지스트리 ] HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ Muziaq""C:\Documents and Settings\Administrator\Application Data\Jife\muziaq.exe"" <V3 제품군의진단명 > CELL/Dropper ( ) Win-Trojan/Xtreme ( ) 그림 1-40 원격시스템연결시도 전자계정명세서로위장한스팸메일 은행을사칭한스팸메일이다수유포되고있다. 특정은행으로위장 그리고아래의 URL 을통해악성코드를추가다운로드하기위해접속

15 15 을시도한다. 일부 URL은분석당시접속이되지않았으나, 아직접속이가능한 URL도존재했다. 그림 1-41 악성코드다운로드 해당악성코드에감염되면아래와같이동작한다. [ 파일생성 ] C:\Documents and Settings\All Users\svchost.exe [ 시작프로그램등록 ] SunJavaUpdateSched - C:\Documents and Settings\All Users\ svchost.exe V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > Trojan/Win32.Tepfer ( ) 그리고레지스트리값을수정해 _ S9876Y_.jpeg.exe 파일에대한방화벽정책을변경하고인증된프로그램목록에등록한다. 또한 [ 그림 1-44] 와같이 3208 포트를개방하고외부에서의연결요청을대기한다. 증상재현과정에서원격지의 IP 주소는확인되지않았다. 이메일로도착한문자메시지휴대전화를이용한데이터통신이활발해지면서, 스마트폰은정보통신의핵심기기가됐다. 문자메시지를보관하거나, PC사용자에게전달하기위한사용자를위해통신사는문자메시지를이메일로보내는서비스를제공하고있는데최근이를악용한악성코드가발견됐다. 이번에발견된스팸메일은 [ 그림 1-42] 와같이문자메시지를이메일로발송한것으로위장했다. 문자메시지가이메일로전달된것처럼사용자를속여, 첨부된파일을실행하도록유도하는방법이다. 그림 1-44 특정포트를개방하고대기중인악성코드이러한스팸메일의첨부파일을검증과정없이무심코클릭할경우, 백도어 (Backdoor) 악성코드에감염될수있기때문에매우위험하다. 따라서이런스팸메일을수신했을경우, 함부로열람하지않는것이가장중요하다. 또한스팸메일을열람했다고하더라도, 첨부파일을실행하기전에 V3 검사등을통해서해당파일의안전성을확인해보는것이좋다. V3 제품에서는아래와같이진단이가능하다. 그림 1-42 문자메시지로위장한이메일 <V3 제품군의진단명 > Trojan/Win32.Blocker ( ) 이번에발견된유형은외국에서보낸것이기때문에, 국내에서열람하는사람은거의없을것으로예상된다. 그러나국내통신사에서발송한것으로위장할가능성이있기때문에주의를기울일필요가있다. 일반적으로이들메일은첨부파일을열람하도록유도하는데, 대부분의첨부파일에는악성코드가포함돼있다. 해당첨부파일의압축을해제하면 [ 그림 1-43] 과같이실행파일을확인할수있다. 윈도우탐색기의 [ 폴더옵션 ] 에서 [ 알려진확장명숨기기 ] 기능에체크되어있으면, _ S9876Y_.jpeg 와같이보이기때문에그림파일의확장명으로오인하기쉽다. 그림 1-43 첨부파일에포함된실행파일

16 16 악성코드동향 03. 모바일악성코드이슈 Apk 파일압축해제시 [ 그림 1-47] 과 assets 폴더에별도의 8개 apk 가존재하는것이확인된다. 그림 1-47 압축해제시 assets 폴더 또한 classes.dex 파일을디컴파일해패키지구조를보면 [ 그림 1-48] 과같다. 금융사피싱앱주의 최근국내스마트폰사용자들을타깃으로유포되는악성앱이점차증가하는가운데, 금융사를위장한피싱앱도종종발견되고있다. 스미싱으로유포되는악성앱들은휴대폰의소액결제를통해금전적인이득을취하려는목적이대부분인반면, 금융피싱앱은보안카드및사용자의금융관련정보를모두탈취하려는의도로그피해가커질수있어주의가필요하다. 최근발견된금융사피싱앱은금융사관련피싱사이트를통해배포되는것으로추정되며, 설치시에는아래와같이 Google Play Store 아이콘모양을하고있다. 그림 1-48 패키지정보앱제작자가작성한 com.google.bankun 패키지안의 MainActivity 클래스를보면총 6개의함수가확인되며, oncreate를제외한나머지함수들은제작자가작성한함수로각각의기능은 [ 표 1-4] 와같다. 함수명 oncreate installzxingapk 기능 처음시작되는 EntryPoint 함수 Apk 인스톨기능을하는함수 그림 1-45 앱설치시아이콘앱설치시, 어떠한퍼미션도요구하지않았으며 [ 그림 1-46] 과같이 AndroidManifest.xml 파일확인시, 사용자에게퍼미션을요구하지않는것으로확인된다. isavilible 뱅킹앱설치여부를체크하는함수 chmodapk 권한변경기능을하는함수 getrootahth Root 권한을확인하기위한함수 uninstallapk Apk 언인스톨기능을하는함수 표 1-4 제작자가작성한함수및각각의기능 위함수들의 [ 그림 1-49] 와같이뱅킹앱설치여부및루팅여부확인후, 각조건에맞게 assets 폴더안에 1~8.apk 파일을설치한다. 설치된앱중 8.apk 파일을살펴보면금융사앱을위장해사용자로부터이름및계좌정보등을입력하도록하는피싱앱으로확인된다. 그림 1-46 AndroidManifest.xml 파일내용 그림 apk 앱

17 17 8.apk 파일외에추가발견된다른앱들은금융사의이름만다를뿐그기능은유사한것으로확인된다. 각앱들이위장하고있는금융사들은아래표와같다. 함수명 기능 1.apk OO 은행 2.apk 3.apk 4.apk 5.apk 6.apk 7.apk 8.apk 표 1-5 금융사를위장한앱목록 OO은행 OO은행 OO OO은행 OOOO은행 OO은행 OOOOO 그림 1-51 앱설치화면 [ 그림 1-50] 은또다른앱의캡처화면으로 [ 그림 1-49] 앱과이미지만다를뿐그방식이유사하다. 그림 1-52 앱의패키지명과리소스파일 악성앱을실행하면 10초동안검은화면만출력된다. 이과정에서앱은사용자정보를모아대만에위치한특정서버 (211.***.***.184) 로전송하고, 이후앱을디바이스관리자에추가하도록유도한다. 이때수집되는개인정보는아래와같다. 그림 apk 앱위와같은피싱앱외에도국내에서는주로스미싱메시지를통해많은악성앱이유포되고있으므로사용자들은 V3 Mobile과같은백신으로주기적인검사를실시하는것이좋다. - 수신한문자메시지내용및발신자정보 - 사용자핸드폰번호 - 사용자기기번호 (device ID) 악성앱은백그라운드로동작하면서문자가수신될때마다서버로개인정보를전송한다. 해당악성코드는 V3 Mobile 제품을통해진단및치료가가능하다. <V3 제품군의진단명 > Android-Trojan/Bankun 문자메시지수집하는사생활침해악성앱주의스마트폰에저장된문자메시지및전화번호와같은개인정보를탈취하는사생활침해형악성앱이지속적으로발견되고있어주의가필요하다. 이번에발견된악성앱은정상앱과구분이어렵도록 Google Market이라는앱이름을사용했고, 앱의패키지명과리소스파일은국내의특정모바일백신을사칭했다. 그림 1-53 악성앱의소스일부 V3 Mobile 제품에서아래와같이진단이가능하다. <V3 제품군의진단명 > Android-Trojan/SMSstealer.8134D

18 18 성인악성앱주의성인앱을이용해사용자의개인정보를탈취하는앱이끊임없이발견되고있다. 이중최근발견된악성성인앱을살펴보자. [ 그림 1-54] 와같이구글공식마켓에서유포되고있는성인앱은사용자의동의없이전화번호, 이름, 주민번호를수집하고있었다. 그림 1-57 패키지정보 그런다음 [ 그림 1-57] 과같은성인인증화면을보여준다. 그림 1-54 구글마켓에등록된악성성인앱 그림 1-58 전화번호, 이름, 주민번호수집 [ 그림 1-54] 의정보에서보듯해당앱은 2013년 6월 10일에업데이트기록이남아있었으나, 6월 11일경구글마켓에서삭제됐다. 앱을설치하면 엉덩이줌인 아이콘이생성되고, 실행할경우 [ 그림 1-55] 의오른쪽화면과같은이미지가나타난다. 소액결제피해를유발하는 체스트 라고불리는악성앱이지난해부터유행했다. 최근에는 체스트 뿐만아니라스마트폰사용자에게금전적피해를일으키는악성앱이기승을부리고있다. 위와같이수집된개인정보는자동결제피해를일으킨다. 경찰은이런악성코드제작자를검거하고있지만, 악성앱은끊임없이제작및유포되는실정이다. 이들악성앱은스미싱메시지, 구글공식마켓, 서드파티마켓등에서유포되고있는만큼사용자의각별한주의가필요하다. 해당악성코드는 V3 Mobile 제품을통해진단및치료가가능하다. <V3 제품군의진단명 > Android-Trojan/PNStealer 그림 1-55 악성앱아이콘및실행화면 앱을실행하면사용자동의없이스마트폰의전화번호를수집해특정서버로전송한다. 안드로이드랜섬웨어주의악성코드가발견됐다며결제를유도하는허위백신은더이상 PC에만국한된이야기가아니다. 최근존재하지않는악성코드진단화면을보여주고, 치료를위해결제를유도하는악성앱이발견됐다. 그림 1-56 사용자동의없이개인정보수집 ( 전화번호 ) 그림 1-59 안드로이드랜섬웨어

19 19 해당앱은결제가이뤄지기전까지는스마트폰을사용하지못하도록 [ 그림 1-59] 와같이바탕화면에팝업을계속발생시키므로, 사용자에게큰불편을초래한다. 권한정보를확인하고설치를진행하면, 아래와같이 휴대폰관리자 활성화화면이나타난다 ( 기기에따라, ' 휴대폰관리자 ' 또는 ' 기기관리자 ' 또는 ' 디바이스관리자 ' 로나타날수있다 ). 이런악성코드는사용자의중요한자산을불모로잡고돈을요구한다고해서랜섬웨어 (Ransomware) 라고불린다. 최근발견된안드로이드랜섬웨어는지난 3월경부터최근까지 [ 그림 1-60] 과같은아이콘으로위장해유포되고있다. 오페라, 파이어폭스, 크롬등의운영체제나페이스북과같은친숙한아이콘을이용해사용자의의심을피했다. 그림 1-63 앱설치과정 2 그림 1-60 안드로이드랜섬웨어아이콘 사용자가취소또는활성화, 둘중에어느옵션을선택해도앱은 설치과정 1 에서이미설치가완료됐다. 해당악성앱은 [ 그림 1-64] 와같이허위악성코드감염정보를보여주고, 결제를유도한다. 악성앱의권한을살펴보면, 대략적인행위추정이가능하다. SMS, 네트워크, 백그라운드프로세스종료, 사용자의연락처접근등의행위를짐작할수있으며재부팅시에자동으로시작되도록설계되어있다. 그림 1-64 허위검사화면 ( 왼쪽 ) / 허위진단화면 ( 오른쪽 ) 그림 1-61 악성앱권한정보 [ 그림 1-62] 와같이, 앱을설치할때권한정보를확인할수있다. 그림 1-62 앱설치과정 1 그림 1-65 구매유도화면 ( 왼쪽 ) / 인증키입력화면 ( 오른쪽 )

20 20 악성앱의실행화면에서 홈 화면으로이동해도, 다른작업을할수없다. 전화기의기본기능인문자와통화조차불가능하다. [ 그림 1-66] 과같이악성코드제거를권한다는내용의메시지팝업으로사용자의다른작업을방해한다. "com.metago.astro", "com.avast.android.mobilesecurity", "com.estrongs.android.taskmanager", "com.gau.go.launcherex.gowidget.taskmanagerex", "com.gau.go.launcherex", "com.rechild.advancedtaskkillerpro", "mobi.infolife.taskmanager", "com.rechild.advancedtaskkillerfroyo", "com.netqin.aotkiller", "com.arron.taskmanagerfree", "com.rhythm.hexise.task" 그림 1-66 악성코드제거를권하는팝업메시지 스마트폰에저장된 SMS를읽어오는코드가존재하며, 해당 SMS는 droidbackup.db에저장된다. 그림 1-69 저장된 SMS 를읽어오는코드일부 그림 1-67 악성코드제거를권하는팝업메시지 droidbackup.db 는아래와같이구성되어있다. 위와같은악성행위로, 사용자가수동으로앱을삭제해도삭제가안되는상황이발생하며, 다른모든작업이불가능해진다. 소스코드의일부를살펴본결과, 악성앱을실행했을때아래목록과일치하는프로세스가존재할경우종료하도록설계됐다. 그림 1-70 droidbackup.db ANDROID DEFENDER 랜섬웨어가설치된경우, 일반사용자가수동으로조치하기는어려울것으로예상된다. 따라서 V3 모바일백신과같은믿을수있는모바일백신제품을사용하여감염되지않도록사전에주의하는것이무엇보다중요하다. 해당악성코드는 V3 Mobile 제품을통해진단및치료가가능하다. 그림 1-68 프로세스종료명령코드일부 [ 프로세스리스트 ] "com.rechild.advancedtaskkiller", "com.estrongs.android.pop", <V3 제품군의진단명 > Android-Trojan/FkDefend

21 ASEC REPORT 42 SECURITY TREND 21 보안동향 01. 보안통계 6월마이크로소프트보안업데이트현황 2013 년 6 월마이크로소프트사에서발표한보안업데이트는총 5 건으로긴급 1 건, 중요 4 건이다. 특 히위험도긴급인 MS 익스플로러취약점의경우공격코드가공개되어있어, 악의적으로사용될가 능성이있으므로신속한업데이트가필요하다. 그림 2-1 공격대상기준별 MS 보안업데이트 긴급 MS Internet Explorer 용누적보안업데이트 중요 MS Windows 커널의취약점으로인한정보유출문제점 MS 커널모드드라이버의취약점으로인한서비스거부문제점 MS Windows 인쇄스풀러구성요소의취약점으로인한권한상승문제 MS Microsoft Office 의취약점으로인한원격코드실행문제점 표 2-1 신종악성코드유형별분포

22 ASEC REPORT 42 SECURITY TREND 22 악성코드동향 02. 보안이슈 주요정부기관 DNS 서버 DDoS 실제로 2만여개의다른 DNS 서버로특정도메인확인요청을일시에보내 1000 바이트이상의응답을유발해공격했다. [ 그림 2-3] 과같이 ripe.net의 ANY 레코드의결과는 1000 바이트이상으로, 다수의 PC에서요청해대역폭고갈및네임서버자원고갈등의시도를할수있다. 해당악성코드들은최신엔진으로업데이트한 V3 제품군에서다음과같이진단한다. 그림 2-2 DNS-증폭-디도스-공격개념도 6.25 해킹에서 DNS 증폭 DDoS 공격 (DNS Amplification DDoS Attack) 을하는샘플이발견됐다. DNS 증폭 DDoS 공격이란 DNS ANY Query 를공격대상이요청하는것처럼 IP를위장 (IP Spoofing) 해 Query 결과를 Open Resolver(Reflector, 일종의중계 DNS 서버 ) 를통해공격대상의네임서버로유도, 대상을마비시키는것을말한다. 이때 Query 결과는수십배이상의크기가되도록하여 DDoS를유발한다. 공격시나리오는먼저공격자가다수의 PC를감염시켜좀비 PC로만든다. 그리고좀비 PC의 IP 주소를공격대상의 IP 주소로위장해다른 DNS 서버들에도메인주소에대한확인요청을보낸다. 이요청을받은 DNS 서버들은일제히위장된 IP 주소로응답을보내결과적으로공격대상서버에응답트래픽을집중시킨다. 또한공격자는변조된 IP 주소로다른 DNS 서버에주소확인요청을보낼때, 요청크기의수십배에달하는큰용량의응답이필요한요청을한다. 이렇게하면공격대상 DNS 서버에증폭된트래픽이도달한다. 그림 2-3 IP 주소가위장된 DNS Query <V3 제품군의진단명 > Trojan/Win32.Ddkr Trojan/Win32.XwDoor 국제사회에영향을미치는에드워드스노든효과미국의전직중앙정보국 (CIA) 직원이었던에드워드스노든은가디언지와의인터뷰에서미국내통화감찰기록과 PRISM( 이하프리즘 ) 감시체계등 NSA의다양한기밀을공개해전세계적인파장을불러왔다. 에드워드스노든은대량정보수집의범위가일반대중에게까지미치고있고위험한활동과범죄활동이감시되는등프리즘의감시범위가광범위하다고폭로했다. 프리즘은미국국가안보국 (NSA) 의국가보안전자감시체계중하나이다 테러이후조지부시행정부가미국보안법에의거, NSA의대규모국내 외감시체계를출범시켰다. 가디언지에따르면프리즘의정보수집을위한주요도구인전자시스템은국경을초월하여전역에확산돼있다. 이도구로전화번호를비롯해통화시간, 통화기간, 통화장소, 통화내용까지모두녹음이가능하다. 또한각국정부의정보는물론미국인들의개인정보까지 970 억건의정보를수집했다고폭로했다. 미국가안보국 (NSA) 과 CIA의전세계를대상으로감시한사실이폭로되면서유럽연합은미국정부에구체적인설명을요구했다. 유엔산하국제전기통신연합 (ITU) 사무총장은스노든의폭로가이슈가되자언론과의인터뷰에서 국제사회가사이버전쟁에있어휴전할수있는

23 ASEC REPORT 42 SECURITY TREND 23 기회를얻었다 고말했다. ITU는인터폴, 유엔마약범죄사무소등과함께사이버범죄단속을주도하는데사실상모든나라가사이버공간에서서로감시하며전쟁을벌이고있다는것이다.. 실제로에드워드스노든은 2009년이후홍콩, 중국을표적으로수백건의해킹을해왔다고밝혔다. 미국은개별컴퓨터를해킹하지않아도사이버통신내용을엿볼수있는기간통신망을갖추고있다며중국뿐만아니라홍콩의대학, 학교, 기업을대상으로해킹을했다고밝혔다. 전세계를대상으로진행한해킹작전은 6만건이상이라고도덧붙였다. 흥미로운점은스노든으로인해중국의보안업체들의주식가격이급등하고있다는점이다. 미국정부의감시프로그램이중국, 홍콩까지도달할수있다고하자투자자들이인터넷보안업체주식을사들이고있는것이다. 중국증권가에서는이를스노든효과라고부르고있다. 이처럼미국 NSA의전세계를대상으로한사이버감시및해킹행위를폭로한에드워드스노든에의해국가간사이버전쟁, 보안업계의주가급등현상등다양한파장이일어나고있다.

24 ASEC REPORT 42 WEB SECURITY TREND 24 웹보안동향 01. 웹보안통계 웹사이트악성코드동향 안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하 면, 2013 년 6 월웹을통한악성코드발견건수는모두 1 만 212 건이었다. 악성코드유형은총 255 종, 악성코드가발견된도메인은 176 개, 악성코드가발견된 URL 은 641 개로각각집계됐다. 전월과비교 해서악성코드발견건수를비롯해악성코드유형, 악성코드가발견된도메인, 악성코드발견된 URL 모두감소했다. 표 년 6 월웹사이트보안현황 악성코드발견건수 15,013 6 월 5 월 10, % 악성코드유형 악성코드가발견된도메인 악성코드가발견된 URL 월별악성코드배포 URL 차단건수 2013 년 6 월악성코드발견건수는전월의 1 만 5013 건과비교해 32% 감소한 1 만 212 건이다. 그림 3-1 월별악성코드발견건수변화추이 20,000 15,000 11, % 15, % 10, % 10,000 5,

25 ASEC REPORT 42 WEB SECURITY TREND 25 월별악성코드유형 2013 년 6 월악성코드유형은지난 5 월의 272 건에비해 5.5% 감소한 255 건이다. 그림 3-2 월별악성코드유형수변화추이 % 9.6% 5.5% 월별악성코드가발견된도메인 2013 년 6 월악성코드가발견된도메인은 176 건으로, 2013 년 5 월의 208 건에비해 15.4% 감소했다. 그림 3-3 악성코드가발견된도메인수변화추이 % 8.9% % 월별악성코드가발견된 URL 2013 년 6 월악성코드가발견된 URL 은전월의 963 건과비교해 66% 수준인 641 건이다. 그림 3-4 월별악성코드가발견된 URL 수변화추이 1, % 16.5% 33.4%

26 ASEC REPORT 42 WEB SECURITY TREND 26 월별악성코드유형 악성코드유형별배포수를보면트로이목마가 4759(31.7%) 건으로가장많았고, 스파이웨어는 4038(26.9%) 건으로그뒤를이었다. 유형 건수 비율 TROJAN 4, % SPYWARE 4, % ADWARE 3, % DOWNLOADER % DROPPER % Win32/VIRUT % APPCARE % JOKE 2 0 % ETC 2, % 15, % 표 3-2 악성코드유형별배포수 5,000 4,759 4,038 3,548 2,500 2,248 0 TROJAN SPYWARE ADWARE 277 DOWNLOADER DROPPER Win32/VIRUT APPCARE JOKE ETC 그림 3-5 악성코드유형별배포수

27 ASEC REPORT II 년상반기보안동향 01. 상반기보안위협동향 정부기관, 언론및금융기관을대상으로한대규모보안사고 2013년상반기에는정부기관웹사이트와언론사및금융기관들을대상으로한대규모보안사고가 3월 20일과 6월 25일두차례나발생했다. 올해상반기에발생한두차례의대규모보안사고는정부기관, 언론사및금융기관들과같이사회기반이되는산업들이주공격목표가되었다는점에서공통점이있다. 하지만세부적인공격기법면에서는서로다른형태를보이고있다. 우선 3월 20일발생한보안사고는 2011년과그이전에발생했던대규모보안사고사례와유사하게감염된시스템의정상적인가동방해및데이터파괴를위해디스크의 MBR(Master Boot Record) 과 VBR(Volume Boot Record) 을특정문자열로강제덮어쓰기를수행하는악성코드유포가가장큰목적이었다. 그러나 6월 25일발생한보안사고는시스템의정상적인가동과데이터파괴목적의악성코드유포와함께청와대를비롯한국내의정치단체와정부기관웹사이트에대한대규모 DDoS(Distributed Denial of Service) 공격을함께병행한것이특징이라고볼수있다. 이외에 DNS 증폭 DDoS 공격 (DNS Amplification DDoS Attack) 및스크립트기반의 DDoS 공격이라는보안사고에서볼수없었던새로운 DDoS 공격기법들이사용된것도특징이라고볼수있다. 메모리패치기능을이용한인터넷뱅킹악성코드 2013년 6월발견된온라인게임사용자정보유출형태의악성코드는기존에발견되지않았던한국내인터넷뱅킹사이트에대한정보유출기능이추가됐다. 이처럼온라인게임사용자정보유출형태의악성코드가게임사이트외에다른웹사이트를목표로삼은시기는 2012년 8월부터이며, 당시에는언론사및정부기관의서버관리자페이지에대한정보유출이이루어졌다. 기존의뱅키 (Banki) 악성코드가사용했던호스트 (hosts) 파일을변조해허위로제작된금융권웹사이트로사용자접속을유도하는방식이었다. 그러나 2013년처음발견된인터넷뱅킹사이트공격방식은개별금융권웹사이트에서설치되는고유한보안모듈들에대한메모리패치를수행해정보유출이발생한다. 이러한공격기법은정상적인인터넷뱅킹이용과정중정보유출이발생하므로사용자가인지하는것이어렵다는특징이있다. 국내소프트웨어대상제로데이취약점증가몇년전부터국내소프트웨어를대상으로한취약점과이를악용한악성코드가증가하기시작했고, 이러한추세는가속화하고있다. 문제는대중적으로널리사용되는제품이그대상이라는점이다. 예를들어, 인터넷뱅킹에많이쓰이는소프트웨어의취약점이발견됐고, 지난 6월초에는다른보안소프트웨어에서도보안취약점이발견됐다. 그외에도동영상플레이어에서취약점이보고돼업데이트가권고됐다. 문서작성소프트웨어의취약점을이용, 문서파일에악성코드를삽입해공격하는형태도꾸준히기승을부리고있다. 전세계적으로많이사용하고있는 MS 오피스제품군과어도비리더 (Adobe Reader, PDF) 등에서도여전히발생하고있으며, 몇년전부터는국내소프트웨어의취약점을악용하는사례도점차증가하고있다. 국내의대표적인문서작성소프트웨어인아래아한글에서취약점이눈에띄게증가했고, 스프레드시트프로그램인 ' 한셀 ' 에서도올해 6월처음으로유사공격형태가발생했다. 이렇게국내소프트웨어를대상으로한취약점이늘어난다는것은특정조직의내부기밀정보유출을목적으로한다는것을의미하기도한다. 국내문서소프트웨어는특히정부기관에서많이사용하고있기때문에공격자입장에서는매력적인대상이다. 더군다나올상반기에발견된국내소프트웨어취약점이대중적으로많이이용되고있다. 사용대상이많은만큼, 제로데이취약점을통해목표로하고자하는대상조직의정보획득또는특정목적달성이쉬어짐은두말할나위없다. 앞으로도국내소프트웨어를대상으로한제로데이취약점이증가할것으로예상되는만큼, 각별한주의가요구된다.

28 ASEC REPORT 한국적특색이강해지는모바일악성코드지난해 V3 모바일에진단이추가된악성코드는문자메시지발송이나사용자정보를유출하는유형이많이발견됐다. 이런유형의악성코드는한국내사용자만을대상으로한것이라볼수없다. 하지만올상반기에는한국내스마트폰사용자를공격대상으로한악성코드가다수발견됐다. Android-Trojan/Chest와 Android-Trojan/SMSStealer의경우에는한국내에서서비스되는스마트폰관련서비스들을분석하고공격한좋은예라고할수있다. 이런유형의악성코드는휴대전화를이용한소액결제서비스가한국내에서활성화되어있으며, 그방식이주민번호, 이름및전화번호를이용한 1차인증을거친후그결과로등록된스마트폰으로전송된 OTP(One-Time Password) 를입력해결제가이루어지는서비스의특징을잘이해한모바일악성코드제작자가한국내모바일사용자만을대상으로제작한것이다. 하여 IP 차단을대비하는등진보된형태로발전돼왔다. 최근에는보안모듈의동작을감시하면서동작하는형태로진화하고있다. PC 사용자가원하는웹사이트를찾아갈때웹브라우저에웹사이트정보를입력하고, 입력한정보를바탕으로 DNS(Domain Name Service) 를통해해당웹사이트의 IP 주소를확인해연결한다. 이러한일련의연결과정에대한우선순위는아래와같으며, 이중어느하나라도변조가되면사용자가방문하려는사이트가아닌악성코드제작자가의도한비정상적인웹사이트로이동하게되는것이다. 1 로컬시스템의 DNS Cache 정보 2 hosts.ics 3 hosts 4 DNS 지난 1월 15일부터 3일간각기다른개발자명칭으로구글플레이스토어 (Google Play Store) 에등록되어배포된 Android-Trojan/Yaps은과거 SMS나메일을통해배포되던피싱 (Phishing) URL을앱 (App) 으로변환한것이다. Androi-Trojan/Yaps를실행하면보안승급을위해보안카드를비롯한사용자의계정정보를유도한다. 자세한상반기모바일보안위협동향은뒤에나오는 2013년상반기모바일악성코드동향 에서살펴보고자한다. 파밍과결합된온라인게임계정정보탈취악성코드 2013년상반기에발견된보안위협들의특징중하나는개인정보를탈취하기위한공격이활발했다는점이다. 상반기국내에서가장많이발견된개인정보탈취형태의악성코드는인터넷뱅킹정보를탈취하는형태와온라인게임계정정보를탈취하는악성코드라고할수있다. 인터넷뱅킹정보를탈취하는악성코드와온라인게임계정을탈취하는악성코드는오래전부터발견되고있지만, 진보된형태로끊임없이등장하고있다. 특히온라인게임계정을탈취하는악성코드는윈도우시스템파일을변경하거나패치하는형태로유포됐는데, 이는사용자에게발각되지않도록위장하기위한기법으로, 다수의온라인게임계정탈취악성코드가이를사용하는경우가많았다. 그리고보안소프트웨어의진단을피하기위해셀수없이많은변형들을유포하거나, 목적달성을위해다양한보안소프트웨어무력화기법들을발전시켜오고있다. 또한인터넷뱅킹정보탈취형태의악성코드는정상적인은행사이트와구분이어려울정도로유사한피싱 (Phishing) 웹사이트를이용한방법에서부터호스트 (hosts) 파일변조형태, 그후 hosts.ics로변화된형태, 주기적으로서버 (C&C) 와통신해새로운파밍사이트주소로갱신 그림 4-1 개인정보및인터넷뱅킹정보탈취개인의중요한자산정보를탈취하려는악성코드는점점진화하며그수를늘려가고있다. 최근에는인터넷뱅킹정보탈취형악성코드와온라인게임계정탈취형악성코드가결합해금전적이득을극대화하는양상을보이고있다. 자바와인터넷익스플로러취약점의지속적인악용이번상반기취약점위협의특징은 MS사의인터넷익스플로러 (Internet Explorer), 어도비 (Adobe) 사의플래시플레이어 (Flash Player) 와아크로뱃리더 (Acrobat Reader), 오라클 (Oracle) 사의자바 (Java) 등시스템이아닌다양한애플리케이션상에서발생하는취약점들이다수를차지한다는점이다. 이중인터넷익스플로러와자바애플리케이션취약점은 2013년상반기동안보고된취약점수면에서도다른애플리케이션에비해단연압도적이었다. 2013년상반기에는대표적으로 2개의자바제로데이취약점이주요이슈가됐다. 첫번째 CVE 취약점은기존에발표된다수의자바취약점과유사하게보안체크기능이누락된점을악용해샌드박스 (Sandbox) 를우회하는취약점이었다. 그리고쿨익스플로이트툴킷 (Cool Exploit Toolkit) 에서도악용됐던두번째취약점 CVE-2013-

29 ASEC REPORT 은메모리충돌 (corruption) 오류를통한악의적인행위를수행한다는점에서새로운특징을보였다. CVE 취약점을포함하는상반기동안의인터넷익스플로러취약점들을살펴보면, 2012년말부터지속적으로발표되는브라우저상의힙메모리 (Heap Memory) 취약점인 use-after-free 취약점들이다수를차지하고있다. 이러한취약점들은웹에접근하는사용자 PC를공격타깃으로삼는웹공격툴킷 (Web Exploit Toolkit) 에서빠지지않고적극활용되는주요아이템이기때문에정식보안업데이트및보안솔루션을통해지속적인주의를기울여야한다. 국가간갈등을유발하는인터넷의사이버첩보전 2013년상반기는소문과의혹만무성했던국가간사이버첩보행위가조금씩수면위로드러나면서갈등양상을보였다. 6월초워싱턴포스트지와가디언지는미국의테러범적발을위한비밀정보검색수집프로그램인프리즘 (Prism) 의존재를폭로했다. 6월 10일포린폴리시 (Foreign Policy) 는 NSA 내중국해킹임무조직이존재한다고보도했다. 또한가디언지는영국정보기관이 2009년 G20 회의때각국대표단을해킹했다고밝히기도했다. 시리아전자군 (The Syrian Electronic Army) 은 BBC Weather, 가디언, Onion 트위터계정을해킹했다. 특히 4월 23일에는 AP 통신트위터계정을해킹해백악관이폭발했다는거짓트윗을날려잠시주가가요동치기도했다. 또한대한민국에서발생한 3월 20일과 6월 25일전산망장애를유발한보안사고는북한정찰총국이배후에있다는의심을받고있다. 현재각국정부는증가하는사이버위협에대응하기위한조직을강화하고있다. 사이버첩보행위로인한외교마찰은향후에도더욱강력한형태로발생할가능성이높다. 뉴욕타임즈는 2012년 10월중국원자바오총리일가의재산보도후 4개월간중국해커로부터지속적인공격을당했다고지난 1월 30 일보도했다. 또한뉴욕타임즈는미국보안업체맨디언트 (Mandiant) 보고서를인용해미국정보유출사고의배후에는중국인민해방군 부대가있다고지난 2월 19일보도했다. 이와더불어미국국방부는지난 5월중국정부와인민해방군이사이버첩보활동에개입했다고주장하기도했다. 이에따라미국내에서는중국산네트워크장비수입에대한규제까지논의됐다.

30 ASEC REPORT II 년상반기보안동향 02. 상반기모바일악성코드동향 2013년상반기모바일악성코드급증 [ 그림 5-1] 은 2013년상반기동안접수된모바일샘플중악성으로분류되어 V3 모바일에서진단가능한악성코드의월별접수건수이다. 상반기동안 V3 모바일에진단이추가된모바일악성코드는총 67만 3599건으로, 이는지난 1년동안접수된모바일악성코드 26만 2718건을훌쩍넘는수치이다. 그림 5-1 월별악성샘플접수량 250, , , ,000 50,000 66,868 65,670 82, ,304 92, 정보유출및과금유발트로이목마다수 2013년상반기동안접수된악성코드유형은아래 [ 그림 5-2] 와같다. 지난해에는앱이실행되지않은상태에서도광고를노출하는유형인 PUP가가장많았던반면, 올상반기에는사용자의정보를유출하거나사용자모르게과금을유발하는유형의트로이목마가가장많이발견됐다. 그림 5-2 월별악성샘플접수량

31 ASEC REPORT 사용자과금유발악성앱최다 [ 표 5-1] 은 2013년상반기에접수된모바일악성코드중접수량이많은상위 10개의진단명이다. 다양한유료앱을무료로설치할수있는것처럼사용자를유혹해과금을발생시키는 Android-Trojan/ FakeInst가가장많이접수됐으며, 앱이실행되지않은상태에서광고가실행되는다양한 PUP가상위 10개의진단명중 6건이확인됐다. 표 5-1 접수량상위진단명최다 10건 순위 진단명 건수 비율 1 Android-Trojan/FakeInst 158,663 24% 2 Android-PUP/Airpush 90,218 13% 3 Android-Trojan/Opfake 49,309 7% 4 Android-PUP/Kuguo 33,730 5% 5 Android-PUP/Wapsx 32,890 5% 6 Android-Exploit/Rootor 28,000 4% 7 Android-PUP/Plankton 23,329 3% 8 Android-PUP/Leadbolt 22,028 3% 9 Android-PUP/Admogo 18,842 3% 10 Android-Trojan/GinMaster 18,214 3% 국내스마트폰을노린악성코드 지난 2012년 10월국내스마트폰사용자를대상으로한악성코드인 Win-Android/Chest가처음발견된이후다양한유형의악성코드가지속적으로발견되고있다. [ 그림 5-3] 은국내사용자를대상으로한악성코드유형과각유형별활동상태를나타낸것이다. 2013년상반기에는 15종의악성코드가국내사용자를대상으로전파됐으며, 12종의악성코드가새로발견됐다. 지금까지확인된악성코드중 11종이변형생산되어꾸준히활동하고있으며국내스마트폰사용자들을위협하고있다. 그림 5-3 국내사용자대상악성코드유형및활동상태 진단명 Android-Trojan/Chest Android-Spyware/PhoneSpy Android-Trojan/Gsbot Android-Spyware/Langya Android-Trojan/PNStealer Android-Trojan/Yaps Android-Trojan/Smsmon Android-Trojan/OTPstealer Android-Trojan/SMSstealer Android-Spyware/Ketor Android-Trojan/Bankun Android-Trojan/Meteor Android-Downloader/SMSstealer Android-Trojan/Pbstealer Android-Trojan/KrSmsBomber

32 ASEC REPORT [ 그림 5-4] 는국내스마트폰사용자를대상으로한악성코드의변형접수건수이다. 지난해 10월처음발견된이후 2013년 1월부터 3월까지는급격히그수가증가했으나, 4월잠시감소했다가 5월과 6월다시증가해집계이후최고많은변형악성코드가접수됐다. 그림 5-4 국내스마트폰사용자대상악성코드변형접수건수 [ 그림 5-5] 는국내스마트폰사용자를대상으로전파된모바일악성코드의상반기변형통계이다. Android-Trojan/Chest와 Android-Trojan/SMSstealer는소액결제악성코드로 SMS의단축 URL을이용해전파되며사용자가악성 SMS의단축 URL을통해악성코드를다운로드받고설치하는형태로전파된다. 설치후에는 SMS 정보를외부로유출한다. Android-Trojan/Chest의경우소액결제와관련된발신자번호를이용해특정번호에서발송한 SMS를유출하는반면, Android-Trojan/SMSstealer는모든문자를유출한다. 이렇듯국내사용자를타깃으로하는악성코드는대부분휴대폰소액결제와관련이있다. 그림 5-5 국내스마트폰사용자대상악성코드변형접수건수 56% 25% Android-Trojan/Chest 745 Android-Trojan/SMSstealer 339 Android-Spyware/Ketor 48 Android-Trojan/PNStealer 39 Android-Trojan/Gsbot 32 Android-Trojan/Bankun 31 Android-Spyware/PhoneSpy 26 Android-Trojan/Yaps 24 Android-Trojan/OTPStealer 17 Android- Spyware/Lagya 14 Android-Trojan/Smsmon 7 Android-Trojan/Pbstaler 6 Android-Trojan/Meteor 3 Android-TrojanKrSmsBomber 1 Android-Downloader/SMSstealer 1

33 ASEC REPORT CONTRIBUTORS 집필진 선임연구원 장영준 선임연구원 이도현 선임연구원 강동현 주임연구원 문영조 주임연구원 김재홍 연구원 강민철 연구원 양지수 참여연구원 ASEC 연구원 편집 안랩세일즈마케팅팀 디자인 안랩 UX 디자인팀 감수전무조시행 발행처 주식회사안랩경기도성남시분당구삼평동 673 ( 경기도성남시분당구판교역로 220) T F Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited AhnLab, Inc. All rights reserved.