AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A

Transcription

1 ASEC REPORT VOL 안랩월간보안보고서 212 년 3 월의보안동향 212 년 1 분기보안동향 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved.

2 AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 ( 에서확인하실수있습니다. CONTENTS 년 3 월의보안동향 1. 악성코드동향 3. 웹보안동향 a. 악성코드통계 5 a. 웹보안통계 25-3 월악성코드최다 2 건 - 악성코드대표진단명감염보고최다 2-3 월신종악성코드 - 3 월악성코드유형별감염보고 - 악성코드유형별감염보고전월비교 - 신종악성코드유형별분포 b. 악성코드이슈 11 - 스페이스바와탭키를이용한난독화된자바스크립트 - 어도비플래시플레이어 CVE 취약점을이용한악성코드 - 윈도우원격데스크톱의계정정보를탈취하는악성코드 - 전세계은행웹사이트를대상으로고객정보를수집하는 Cridex 악성코드 - KISA 주민번호클린센터를사칭한피싱사이트 - 국외금융정보탈취악성코드 - 이메일을통해배포되는파일유출악성코드 - 온라인게임핵변종의지속적인유포 - CVE 취약점을이용하여전파되는온라인게임핵악성코드 - 은폐형온라인게임계정탈취악성코드 c. 모바일악성코드이슈 2 - 트위터로전파되는안드로이드악성코드 - 웹사이트악성코드동향 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위 b. 웹보안이슈 년 3 월침해사이트현황 - 침해사이트를통해서유포된악성코드최다 1 건 년 1 분기보안동향 1. 악성코드동향 a. 악성코드통계 년 1 분기악성코드최다 2 건 년 1 분기악성코드대표진단명감염보고최다 년 1 분기신종악성코드 년 1 분기악성코드유형별감염보고 년 1 분기신종악성코드유형별분포 2. 웹보안동향 2. 보안동향 a. 웹보안통계 35 a. 보안통계 21-3 월마이크로소프트보안업데이트현황 b. 보안이슈 22 - 윈도우원격데스크톱취약점발표 - 자바최신버전사용권장 년 1 분기웹사이트악성코드동향 년 1 분기악성코드배포 URL 차단건수 년 1 분기악성코드유형 년 1 분기악성코드가발견된도메인 년 1 분기악성코드가발견된 URL 년 1 분기악성코드유형별배포수 년 1 분기악성코드배포순위

3 년 3 월의보안동향 1. 악성코드동향 a. 악성코드통계 3 월악성코드최다 2 건 ASEC 이집계한바에따르면, 212 년 3 월에감염이보고된악성코드는전체 1382 만 26 건인것으로나 타났다. 이는지난달의 1366 만 3774 건에비해 15 만 6432 건이증가한수치이며, 1 월에비해서는 13 만 695 건줄어들었다 ([ 그림 1-1]). 이중에서가장많이보고된악성코드는 Trojan/Win32.adh 이었다. JS/ Agent 와 Trojan/Win32.Gen 이그다음으로많이보고됐으며, 최다 2 건에새로포함된악성코드는총 7 건이었다 ([ 표 1-1]). 2,, 18,, 16,, 14,, 12,, 13,95,91-4.8% [ 그림 1-1] 월별악성코드감염보고건수변화추이 13,663, , % +156,432 13,82, % 순위 등락 악성코드명 건수 비율 1 2 Trojan/Win32.adh 1,398, % 2 1 JS/Agent 572, % 3 1 Trojan/Win32.Gen 432, % 4 2 Textimage/Autorun 391, % 5 3 Malware/Win32.generic 354, % 6 4 Adware/Win32.korad 268, % 7 Trojan/Win32.hdc 25, % 8 NEW Adware/Win32.startpage 22, % 9 3 Trojan/Win32.agent 171,61 3.2% 1 5 Trojan/Win32.fakeav 169, % 11 NEW Win-Trojan/Downloader.7424.AE 145,39 2.7% 12 NEW JS/Iframe 131, % 13 1 Trojan/Win32.genome 131, % 14 NEW Exploit/Cve ,4 2.2% 15 NEW Java/Agent 11, % 16 NEW Adware/Win32.wingo 12, % 17 4 Downloader/Win32.agent 95, % 18 2 Html/Iframe 95,31 1.8% 19 4 Win-Adware/Korad , % 2 NEW Malware/Win32.suspicious 88, % 5,319,286 1.% [ 표 1-1] 212년 3월악성코드최다 2건 ( 감염보고, 악성코드명기준 )

4 7 8 악성코드대표진단명감염보고최다 2 3 월신종악성코드 [ 표 1-2] 는악성코드의주요동향을파악하기위하여악성코드별변종을종합한악성코드대표진단명최 다 2 건이다. 212 년 3 월에는 Trojan/Win32 가총 37 만 9746 건으로최다 2 건중 33.2% 의비율로가 장빈번히보고된것으로조사됐다. Adware/Win32 가 91 만 48 건, Win-Trojan/Downloader 가 61 만 [ 표 1-3] 은 3 월에신규로접수된악성코드중고객으로부터감염이보고된최다 2 건이다. 3 월의신종 악성코드는 Win-Trojan/Downloader.7424.AE 가 14 만 539 건으로전체의 17.6% 로가장많았으며, Win-Adware/KorAd 가 6 만 2363 건으로그다음으로많이보고됐다 건으로그뒤를이었다. 순위 등락 악성코드명 건수 비율 1 Trojan/Win32 3,79, % 2 4 Adware/Win32 914,8 9.9% 3 6 Win-Trojan/Downloader 611, % 4 1 JS/Agent 573, % 5 1 Win-Adware/Korad 566, % 6 4 Win-Trojan/Agent 545, % 7 4 Malware/Win32 458,76 4.9% 8 Textimage/Autorun 391, % 9 2 Downloader/Win32 382,37 4.2% 1 Win-Trojan/Onlinegamehack 298,71 3.2% 11 1 Backdoor/Win32 187,516 2.% 12 4 Win32/Conficker 183,99 2.% 13 Win32/Virut 172, % 14 NEW Win-Trojan/Rootkit 151,88 1.6% 15 2 Win32/Autorun.worm 149, % 16 2 Win32/Kido 143, % 17 NEW JS/Iframe 131, % 18 NEW Exploit/Cve ,4 1.3% 19 NEW Java/Agent 11, % 2 9 Win-Trojan/Korad 12,14 1.1% 9,272,186 1.% [ 표 1-2] 악성코드대표진단명최다 2건 순위 악성코드명 건수 비율 1 Win-Trojan/Downloader.7424.AE 145, % 2 Win-Adware/KorAd , % 3 Win-Trojan/Downloader.9216.BM 6, % 4 JS/Agent 58,5 7.1% 5 Win-Trojan/Downloader , % 6 Win-Trojan/Rootkit C 45, % 7 Win-Trojan/Rootkit D 44,33 5.4% 8 Win-Trojan/Startpage K 41, % 9 Win-Trojan/Dllbot C 36,61 4.5% 1 Win-Adware/BHO.KorAd , % 11 Win-Adware/KorAd ,5 4.% 12 Win-Adware/KorAd B 31, % 13 Win-Trojan/Downloader B 28,98 3.4% 14 Win-Trojan/Downloader T 24,453 3.% 15 Win-Trojan/Agent F 22,22 2.7% 16 Win-Trojan/Downloader K 21, % 17 MID/Cve , % 18 Win-Adware/KorAd ,66 2.4% 19 Dropper/Agent ,77 2.3% 2 Win-Adware/KorAd D 18, % 821,271 1.% [ 표 1-1] 3월신종악성코드최다 2건

5 9 1 3 월악성코드유형별감염보고 신종악성코드유형별분포 [ 그림 1-2] 는 212 년 3 월한달동안안랩고객으로부터감염이보고된악성코드의유형별비율을집계한결 과다. 212 년 3 월의악성코드를유형별로살펴보면, 트로이목마 (Trojan) 가 45.1%, 스크립트 (Script) 가 1.7%, 웜 3 월의신종악성코드를유형별로보면트로이목마가 7% 로가장많았고, 애드웨어가 19%, 스크립트가 5% 였다. (Worm) 이 6.8% 인것으로나타났다. [ 그림 1-2] 212 년 3 월악성코드유형별감염비율 악성코드유형별감염보고전월비교 [ 그림 1-4] 신종악성코드유형별분포 [ 그림 1-3] 은악성코드유형별감염비율을전월과비교한것이다. 트로이목마, 웜이전월에비해증가세를보이고있는반면, 스크립트, 애드웨어 (Adware), 드로퍼 (Dropper), 바이러스 (Virus), 다운로더 (Downloader), 스파이웨어 (Spyware) 계열들은전월에비해감소한것을볼수있다. 애프케어 (Appcare) 계열들은전월수준을유지하였다. [ 그림 1-3] 212 년 3 월 vs. 2 월악성코드유형별감염비율

6 악성코드동향 b. 악성코드이슈 안패치를발표 (APSB12-3) 했다. 해당악성코드는 [ 그림 1-9] 와같이이메일의첨부파일형태로유포되었다. 이번에발견된악성워드문서 'Iran's Oil and Nuclear Situation.doc' 파일의내부에는 [ 그림 1-1] 과같은플래시파일이포함되어있다. [ 그림 1-1] 워드문서에포함된플래시파일의일부 4. CVE 취약점을이용해다운로드된악성코드는 temp 폴더에생성되며 [ 그림 1-14] 와같이자바업데이트체크프로그램으로위장한다. [ 그림 1-14] 자바업데이트체크프로그램으로위장한악성코드 스페이스바와탭키를이용한난독화된자바스크립트 212년 1월 ASEC 블로그에소개되었던, 자바스크립트를이용한악성코드유포방식중스페이스바와탭키를이용한난독화코드가최근특정언론사사이트에서발견되었다. [ 그림 1-5] 스페이스바와탭키로난독화된코드 난독화된코드를해제하면 [ 그림 1-7] 의 URL 주소를얻을수있다. 그러나실제아스키값과함께헥스값이섞여있어이를해제해야한다. [ 그림 1-7] 난독화부분해제시보이는값 1. 이플래시파일은특정파일을드롭하는기능을수행한다. 악성워드문서파일에서플래시파일을추출하여태그정보를확인하면, [ 그림 1-11] 과같이 'DoABC2' 태그에서주요정보를확인할수있다. [ 그림 1-11] 추출된플래시파일의주요정보 헥스값을해제하면 [ 그림 1-8] 과같이악성코드를유포하는 URL 주소를확인할수있다. [ 그림 1-8] 헥스값해제 5. 해당악성코드는 [ 그림 1-15] 의경로에복사되어동작한다. [ 그림 1-15] 악성코드가복사되는경로 6. 이악성코드는 [ 그림 1-16] 의 URL 주소로감염시킨 PC 의운영체 제정보, 실행중인프로세스정보를전송하고, 공격자의명령을수행 할것으로추정된다. - JS/Agent( ) - JS/Cve ( ) 2. 추출된플래시파일은 [ 그림 1-12] 와같이특정서버에서, 취약한 MP4 파일을다운로드한다. [ 그림 1-16] 악성코드내부에서발견된 URL 정보 해당코드는 [ 그림 1-6] 과같이 2과 9의헥스 (HEX) 값으로이루어졌다. 이는아스키 (ASCII) 값에서스페이스바와탭키를의미한다. 어도비플래시플레이어 CVE 취약점을이용한악성코드 어도비플래시플레이어의 CVE 취약점을이용한악성코드가발견되었다. 이취약점은 212년 2월어도비사에서이미보 [ 그림 1-9] CVE 취약점을이용한악성코드첨부파일의등록정보 [ 그림 1-12] 취약한 MP4 파일을다운로드하는부분 - Dropper/Cve ( ) - SWF/Cve ( ) - MP4/Cve ( ) - Win-Trojan/Yayih ( ) [ 그림 1-6] 헥스편집기에서보이는난독화된부분 - Win-Trojan/Renos.6144.E( ) 3. 해당서버로부터다운로드된 MP4 파일은 [ 그림 1-13] 과같이 MP4 파일의헤더정보를가지고있지만실제로는비정상파일이다. 윈도우원격데스크톱의계정정보를탈취하는악성코드 이파일을플래시플레이어가처리하는과정에서취약점이발생한다. 212 년 3 월침해사고가발생한언론사홈페이지, 취업포털사 [ 그림 1-13] MP4 파일헤더정보를가지고있는비정상파일 이트등국내의일부웹사이트를통해서윈도우원격데스크톱 (Windows Remote Desktop) 의계정정보를탈취하는악성코드가 유포된것이확인되었다. 이악성코드는해당사이트에접속한 PC 를감염시키기위해 CVE 취약점과 ' laha****.com/ee.jpg' URL 을이용했다. 이악성코드는감염된 PC 에 C:\Windows\System32\dotply.

7 13 14 dll 파일과 C:\Windows\\dotply.dll파일을생성한다. PC 내에윈도우원격데스크톱의정보가저장된 Default.rdp 파일이존 응답이있을때까지계속해서접속을요청한다. 이후 [ 그림 1-2] 과같이 87.***.**.155에접속하는것이확인되었다. [ 그림 1-22] KISA 24 시간사이버도우미전화번호인 118 을사칭하여보낸문자내용 그러나피싱사이트에서이메뉴를클릭하면 [ 그림 1-25] 와같이이름, 주민등록번호, 연락처, 이메일을입력하도록요구한다. 재하면해당파일을미국에있는 ' com(74.3.***.16, CA)' 사이트로전송한다. 그리고 C:\ [ 그림 1-2] explorer.exe 프로세스를후킹하여 C&C 서버에접속시도 [ 그림 1-25] 피싱사이트의개인정보수집관련화면 Windows\\dotply.dll 파일은 DNS 정보를요청하면서특정 DNS 서버로만접속을시도한다. 그이유는다른 DNS 서버로접속할때 필터링등의이유로정상 IP 를확인하지못하는것을방지하기위한 5. C&C 서버에접속이성공하면수집된사용자 PC 의정보를서버 것으로보인다. 로전송한다. 이악성코드와관련된전세계금융권도메인은 [ 그림 - Win-Trojan/Agent.124.ADT( ) - Win-Trojan/Avkiller C( ) 1-21] 과같으며, 해당사이트에접속하는사용자 PC의정보및화면을캡처하여전송한다. [ 그림 1-21] 대상은행 URL 목록 문자메시지에포함된 URL 에접속하면 [ 그림 1-23] 과같이정상사 전세계은행웹사이트를대상으로고객정보를수집하는 Cridex 악성코드 외국은행의웹사이트를대상으로고객정보를수집하는악성코드가발견되었다. 이악성코드는스팸메일에포함된 URL 링크나침해된사이트에삽입된악성스크립트를통해유포된다. 이트로위장한피싱사이트로연결된다. [ 그림 1-23] KISA 에서운영하는주민번호클린센터와유사한피싱사이트 모든정보를입력하고, 실명확인 버튼을클릭하면 [ 그림 1-26] 과같은가짜본인인증페이지가나타난다. [ 그림 1-26] 개인금융정보를탈취하는피싱사이트의페이지 1. 해당악성코드에감염되면 [ 그림 1-17] 과같은파일들이생성된다. [ 그림 1-17] 악성코드감염시생성되는파일 2. KB[ 숫자 8 자리 ].exe 파일은 [ 그림 1-18] 과같이자신의복사본을 부팅시실행되도록시작프로그램에등록한다. 또하나의파일은다운로드된.exe 실행파일을제거하기위한배치파일이다. [ 그림 1-18] 부팅시자동실행되도록레지스트리에등록 212년 3월까지국내은행및금융권관련사이트는대상목록에포함되지않았으나, 국외은행을이용하는국내사용자들은주의가필요하다. KISA에서운영하는사이트는화면의가운데에있는 ' 주민등록번호이용내역확인 ' 버튼을누르면 [ 그림 1-24] 와같은 개인정보수집 3. 악성코드에감염되면 [ 그림 1-19] 와같이사용자정보를수집하는 C&C 서버에접속을시도한다. [ 그림 1-19] 악성코드에감염되어 C&C 서버에접속을시도하는상태 - Win32/Autorun.worm.6772.J( ) KISA 주민번호클린센터를사칭한피싱사이트 및이용동의 팝업창과함께이용약관관련창이나타난다. [ 그림 1-24] 정상사이트에서조회할때나타나는개인정보수집동의관련팝업창 인증수단을선택하면 [ 그림 1-27] 과같은각종개인금융정보를탈취하는창이나온다. [ 그림 1-27] 피싱사이트의개인금융정보탈취관련화면 최근국내유명은행사이트를사칭하여개인금융정보를탈취하는 피싱사이트에이어개인정보뿐만아니라공인인증서정보까지탈 취하는피싱사이트가발견되었다. KISA( 한국인터넷진흥원 ) 에서는주민번호클린센터사이트와 24 시간 사이버도우미전화인 118 번호를운영하고있다. 피싱사이트운영 자는이두사이트의관리자를사칭하여 [ 그림 1-22] 와같은문자 메시지로접속을유도했다. 4. 이악성코드는 explorer.exe 프로세스를후킹하여 C&C 서버의

8 15 16 이처럼문자메시지나이메일등을통해피싱사이트의접속을유도 Data\1U79NB5DE2G2T2\mixhan.exe TkbvidL.exe 파일을시작프로그램에등록한다. 이메일을통해배포되는파일유출악성코드 하여개인정보및금융정보를탈취하는형태가계속해서발견되고있으므로각별한주의가요구된다. 국외금융정보탈취악성코드 ' 송금이되었다 ' 는본문내용과함께악성코드의다운로드링크를포함한스팸메일이발견되었다. [ 그림 1-28] 과같이포르투갈어로작 4. index1.html 파일은다른파일에서파라미터로사용될것으로추정되는 [ 그림 1-3] 과같은문자열정보를가진다. [ 그림 1-3] index1.html 접속페이지 [ 그림 1-33] C:\ProgramData\BqadnsY 폴더내용 국내패스트푸드업체를사칭한허위메일이유포되고있다. 이메일은사람들의호기심을유발하는 ' 프리미엄환불서비스 ' 홍보내용과함께악성코드유포 URL을포함하고있다. 해당 URL이국내사이트이기때문에별다른의심없이클릭할수있으니주의해야한다. [ 그림 1-36] 악성코드유포메일원문 성되어국내사용자의피해는적을것으로예상되지만, 주의할필요 [ 그림 1-34] C:\ProgramData\BqadnsY\AphrufD 폴더내용 가있다. Comprovante 는포르투갈어로영수증인데, 한국어의 입금확인증과같은의미이다. [ 그림 1-28] 포르투갈어로작성된스팸메일의원본 5. btube.bmp, md1.bmp, md2.bmp, md4.bmp, md5.bmp, md6. bmp, md7.bmp, md8.bmp 파일은 v [ 그림 1-31] 과같은형태의이 미지파일이다. [ 그림 1-31] 다운로드된 btube.bmp 파일 8. 이외 C:\ProgramData\BqadnsY 하위폴더에생성되는폴더 및파일은다음과같다. - BdkctaX 폴더 : md1.bmp, md2.bmp, md3.bmp, md4.bmp, md5.bmp, md6.bmp, md7.bmp, md8.bmp, md9.bmp 본문에포함된링크는 [ 그림 1-37] 과같이악성코드를유포하는 URL로접속하게되어있다. [ 그림 1-31] 과유사한형태의이미지파일이다. [ 그림 1-37] 악성코드유포 URL 스크립트 - TuvswgM 폴더 : md3.bmp 파일의스트링정보와같은이미지, 링크된압축파일은 [ 그림 1-29] 와같이 Comprovante_Tfonline.exe 파일을포함한다. 데이터파일인 md3.bmp는 operaxxp.exe 파일에서사용되는파일로추정된다. 스트링정보를보면 [ 그림 1-32] 와같다. 텍스트파일들이생성되며그중일부이미지파일은 [ 그림 1-35] 와같다. [ 그림 1-29] 압축해제된악성코드파일 [ 그림 1-32] md3.bmp 파일의문자열내용 [ 그림 1-35] TuvswgM 폴더에생성되는파일 이링크 ('hxxp:// 를클릭하 1. Comprovante_Tfonline.exe 파일을실행하면 '%USERPROFILE% \Local Settings\Application Data\Temp\ytube.exe' 에자신의복제본을생성하고실행한다. 2. ytube.exe 파일은특정 IP에접속하여다음과같은파일들을다운로드한다 /index1.html /md1.bmp ~ md8.bmp /atube.bmp, ntube.bmp, btube.bmp 3. 다운로드된파일들은다음의파일을생성및실행한다. atube.bmp : %USERPROFILE%\Local Settings\Application Data\1U79NB5DE2G2T2\operaxxp.exe ntube.bmp : %USERPROFILE%\Local Settings\Application 6. mixhan.exe 파일은 :8으로연결을시도했지만, 분석당시에는연결되지않았다. 7. operaxxp.exe 파일은메모장 (notepad.exe) 에인젝션하여동작하면서 [ 그림 1-33] 과같은랜덤한이름의폴더및파일을생성한다. 또 [ 그림 1-34] 의 C:\ProgramData\BqadnsY\AphrufD\ 이악성코드는 [ 그림 1-35] 의생성된파일들을이용하여국외유명금융사이트를접속할때입력한사용자계정정보, 패스워드, 신용카드정보, 일회용비밀번호생성기 (OTP) 정보및보안카드정보등을탈취할것으로예측된다. - Win-Trojan/Downloader BH( ) - Win-Trojan/Agent AQ( ) 면자바애플릿 (Java applet) 이실행되면서 [ 그림 1-38] 의보안경고창이나타난다. 이때실행을클릭하면악성파일 ('hxxp:// exe') 이다운로드되며, 이파일을실행하면국내유명패스트푸드사이트로리다이렉트된다. 단, 자바가설치되지않은시스템은애플릿이실행되지않기때문에이악성코드에감염되지않는다. [ 그림 1-38] 자바애플릿실행보안경고

9 17 18 자바애플릿에의해실행되는 Signed_Update.jar 코드는 [ 그림 1-39] 와같이악성코드유포사이트의파라미터정보를받아실행 [ 레지스트리생성 ] - HKEY_CURRENT_USER\Software\Microsoft\Windows\ 악성코드가생성한스레드는지속적으로 ws2help.dll 파일을모니터링한다. 분석을통해확인된내용은다음과같다. [ 그림 1-44] SWF 파일내부에포함된액션스크립트에서 MP4 파일을로드하는부분 된다. 이코드는해당사이트에접속한시스템의운영체제를구분해 CurrentVersion\Run\WarHead 서실행하도록설계됐지만, 실제다운로드된파일은윈도우에서만 "C:\tmp\lkcmmdj9xnow.exe 1. ws2help.dll 파일변경 : 악성파일의사본 (sso1.dat) 과파일크기 동작하며다른운영체제에설치되는악성파일을다운로드하는 URL 은없었다. [ 그림 1-39] Signed_Update.jar 코드의내용일부 2. lkcmmdj9xnow.exe 파일은 'war.******.com (121.**.***.138)', 'war.*****.com (174.***.***.75)', 'war.*****.com (121.**.***.138)' 주소를포함한다. 이파일은 [ 그림 1-41] 과같이 'war.*****.com' 으로주기적으로연결을시도하지만, 분석당시에는연결이되지않아추가동작은확인되지않았다. 그리고, 'OllyDbg', 'Regmon', 'Iceword' 등과같은디버깅및파일탐지툴들이실행되면자신의동작을멈추는기능이있다. 를비교하여다른경우재감염 2. sso1.dat 파일삭제 : ws2help.dll 파일을삭제. 이후재부팅시부팅불가 [ 그림 1-42] 211년 11월발견된 SA1.dat 파일과감염형태는같다. 참고로, sso1.dat 파일은수집시, [ 그림 1-43] 과같이악성코드에의해교체된 ws2help.dll 파일의 PE 헤더만변경 (MZ ) 된파일이다. [ 그림 1-42] ws2help.dll 삭제시발생한부팅불가메시지 이취약점은이전부터공격자들에의해꾸준히이용됐던 MP4 파일관련취약점인 CVE 과감염되는형태나패턴은유사하 3. tran.exe 파일은파일을전송하는기능이있으며 C&C 서버로부 지만생성되는악성코드파일이다르다. 터업로드할파일과전송할주소를받아동작하는것으로판단된다. 또 Kernel.dll 파일은데이터파일이며인코딩된 PE 파일로보인다. [ 그림 1-41] lkcmmdj9xnow.exe 파일실행시패킷정보 [ 그림 1-43] sso1.dat 파일의변경된 PE 헤더 이번사례는두가지취약점을모두이용하고있으며 CVE 취약점은 ea.jpg 파일명을, CVE 취약점은 ee.jpg 파일명을사용하여 MP4 파일을생성하고실행한다. [ 그림 1-45] 는 ea.jpg 파일, [ 그림 1-46] 은 ee.jpg 파일의구조다. [ 그림 1-45] CVE 취약점관련 MP4 파일 다운로드된악성파일의디지털서명정보는국내특정업체에서발 급받은것으로보인다. 하지만 [ 그림 1-4] 과같이인증서정보에 발급자가인증서를해지했습니다 ' 라고표시되는것으로보아해당 업체에서인증서유출을확인하고해지한것으로추측된다. [ 그림 1-4] xyz.exe 파일의디지털서명정보 - HTML/Downloader( ) - Win-Trojan/Horst.4594.B( ) - Win-Trojan/Agent.468.JG( ) 감염된시스템은다음의전용백신으로진단및치료할수있다. - do?seq=15 온라인게임핵변종의지속적인유포침해된국내웹사이트를통해지속적으로유포되고있는온라인게임핵악성코드는보안제품의탐지를우회하기위해계속해서변종이생기고있다. 최근온라인게임핵악성코드에감염되어윈도우시 - Win-Trojan/Patcher.79357( ) - Win-Trojan/PatchedA.Gen( , 전용신 ) [ 그림 1-46] CVE 취약점관련 MP4 파일 이악성파일은다음의동작을수행한다. 1. xyz.exe 파일이실행되면아래의파일을생성하고레지스트리시작프로그램에등록한다. [ 파일생성 ] - C:\tmp\Kernel.dll(5,12바이트 ) - C:\tmp\lkcmmdj9xnow.exe(45,94바이트 / 실행될때마다 xyz. exe 파일과동일한형태, 랜덤한이름으로생성된다.) - C:\tmp\tran.exe(4,68바이트 ) 스템파일 (ws2help.dll) 이교체됐던시스템에서치료후에도재감염되는증상이발견되었다. 이악성코드에감염되면아래의파일들이생성된다. - C:\Windows\SYSTEM32\ws2help.dll - C:\Windows\SYSTEM32\dllcache\ws2help.dll - C:\Windows\Tasks\sso1.dat( 과거 : SA1.dat의변종 ) - C:\Windows\Temp\del[6자리 ].bat( 여러개가생성되며실행직후삭제된다. 각각의파일은드로퍼를삭제하고 sso1.dat 파일을 ws2help.dll로복사하는기능이있다.) CVE 취약점을이용하여전파되는온라인게임핵악성코드 얼마전어도비플래시플레이어취약점을이용한타깃공격 (Targeted Attack) 문서파일이발견됐다 ( 관련내용 : ahnlab.com/785). 최근이취약점을이용해타깃공격악성코드를감염시키는온라인게임핵이국내웹사이트를통해전파되고있다. 해당취약점은 [ 그림 1-44] 와같은액션스크립트이며웹페이지에삽입된악성 SWF 파일에서 MP4 파일 (ee.jpg) 을로드한다. 현재국내의많은사이트에서해당취약점을이용한온라인게임핵악성코드가유포되고있으므로 flashplayer/ 사이트에접속하여최신버전의어도비플래시플레이어를설치해야한다. 이사이트에접속하면 [ 그림 1-47] 과같이사용중인프로그램의버전을확인할수있다.

10 19 2 [ 그림 1-47] 어도비플래시플레이어프로그램업데이트설치화면 - C:\WINDOWS\olesau32.dll - C:\WINDOWS\system32\olesau32.dll - C:\WINDOWS\system32\drivers\ahnurl.sys 1. 악성코드동향 c. 모바일악성코드이슈 [ 등록된레지스트리 ] - HKLM\SYSTEM\ControlSet1\Services\ahnurl\ ImagePath ( 데이터 :??\C:\WINDOWS\system32\drivers\ahnurl.sys") 이악성코드는보안제품을무력화하는 AV Kill 기능과 [ 그림 1-48] 과같이온라인게임의계정을탈취하는기능이있다. [ 그림 1-48] 악성코드가탈취하려는온라인게임리스트 이악성코드에감염되면특정온라인게임사이트에서로그인할때사용자의계정정보를유출한다. 주요탈취대상이되는게임프로그램및게임사이트는한게임, 넷마블, 피망, 던전앤파이터, 테라, 메이플스토리, 리니지등이다. ahnurl.sys 파일은 [ 그림 1-49] 과같이 ZwQueryDirectoryFile, ZwSetInformationFile을후킹하여자신과 olesau32.dll 파일을은폐된상태로동작시킨다. 트위터로전파되는안드로이드악성코드요금이부과되는문자를발송하고추가적인악성코드를설치하는 Android-Trojan/Fakeinst의변종이최근다수의국외트위터계정을통해유포중인것이발견되었다. 악성코드유포에사용된트윗들은러시아어로작성되었으며, 인기애플리케이션의소개글이나의미없는단어속에악성애플리케이션을다운로드하는 URL을포함하고있다. [ 그림 1-5] 악성코드유포트윗 - 감염된스마트폰의개인정보 (IMEI, IMSI,phone number 등 ) 를특정서버로전송 - premium number로 SMS를전송하여과금유도 - 백그라운드에서실행되면서주기적으로다른악성코드설치유도 [ 그림 1-53] 악성애플리케이션실행화면 [ 그림 1-49] 은폐를위한커널후킹 - Win-Trojan/Onlinegamehack [ 그림 1-54] 주기적으로접속하는악성코드설치유도페이지 악성코드에의하여생성및변조되는파일은다음과같다. - Win-Trojan/Rootkit C - C:\WINDOWS\system32\WindowsEx.dll - C:\WINDOWS\system32\ws2help.dll( 원본은 ws2helpxp.dll 로백업된다.) 트윗에포함된단축 URL을클릭하면 [ 그림 1-51] 의악성코드설치를유도하는페이지로연결된다. 이페이지들은주로인기애플리케이션 감염된시스템은다음의전용백신으로진단및치료할수있다. ( 모바일브라우저, 모바일백신등 ) 의설치페이지로위장하고있다. - [ 그림 1-51] 악성코드설치유도페이지 do?seq=15 - Trojan/Win32.OnlineGameHack - JS/Agent [ 그림 1-55] 악성행위관련코드 - SWF/Exploit 은폐형온라인게임계정탈취악성코드 [ 그림 1-52] 악성코드유포웹페이지 온라인게임계정을탈취하는악성코드는주로정상적인시스템파 일을패치하여감염시키는형태가많았다. 그러나최근은폐된상태로온라인게임계정을탈취하는악성코드가발견되었다. 감염시생성되는파일과등록되는레지스트리값은다음과같다. [ 생성된파일 ] 이페이지를통해설치되는악성애플리케이션은다음과같이동작한다. 악성행위에관련된코드들은 [ 그림 1-55] 와같다. - Android-Trojan/Fakeinst - Android-Trojan/FakeIM

11 보안동향 a. 보안통계 2. 보안동향 b. 보안이슈 3월마이크로소프트보안업데이트현황마이크로소프트가발표한보안업데이트는윈도우시스템과응용프로그램에관련된취약점으로긴급 1 건, 중요 4건, 보통 1건의총 6건이다. 특히 MS12-2은원격에서코드를실행할수있는취약점으로, 이미관련공격코드가공개된만큼주의가필요하다 윈도우원격데스크톱취약점발표 212년 3월 14일마이크로소프트는비공개적으로보고된 CVE 의원격데스크톱취약점을해결하기위한 MS12-2 긴급업데이트를발표하였다. 원격데스크톱은이용도가높은프로토콜로, 실행가능코드가공개될시악용될위험성이높은취약점이다. 이를이용한서비스거부공격코드도공개되어주의가요구된다. RDP(Remote Desktop Protocol) 는데스크톱에가상세션을만들어이를통해사용자가원격으로컴퓨터에있는모든데이터와응용프로그램에접근할수있게한다. 공격자가 RDP의취약점을이용하면악성코드를설치하거나프로그램을삭제하는등사용자의시스템을완전히제어할수있다. 212년 3월까지는서비스거부공격코드만공개되고원격에서실행가능한공격코드는알려지지않았다. 다만, 코드구조상공격코드가제작될가능성이높다. RDP는 [ 그림 2-2] 와같은방식으로통신하며, 취약점은연결초기화과정과기본설정교환과정에서발생한다. [ 그림 2-2] RDP 연결과정 ( 출처 : 마이크로소프트 MSDN) maxchannelids 값이 6보다작으면커널 (termdd.sys, rpdwd.sys) 의 'Use After Free' 취약점이발생한다. [ 그림 2-3] RDP 서비스거부공격패킷서비스거부공격에성공하면 [ 그림2-4] 와같은크래시화면이나타난다. [ 그림 2-4] RDP 서비스거부공격에의한시스템크래시화면 [ 그림 2-1] 공격대상기준별 MS 보안업데이트 위험도긴급중요중요 취약점원격데스크톱의취약점으로인한원격코드실행문제점 (MS12-2) DNS 서버의취약점으로인한서비스거부문제점 (MS12-17) 윈도우커널모드드라이버의취약점으로인한권한상승문제점 (MS12-18) 중요 Visual Studio의취약점으로인한권한상승문제점 (MS12-21) 중요 Expression Design의취약점으로인한원격코드실행문제점 (MS12-22) 보통 DirectWrite의취약점으로인한서비스거부문제점 (MS12-19) [ 표 2-1] 212년 3월주요 MS 보안업데이트 알려진서비스거부공격사례를보면도메인파라미터구조체는정의된값으로초기화되어야한다. 이때 targetparameters의 또한중국언더그라운드를중심으로 [ 그림 2-5] 와같은커맨드라인 (Command Line) 과 GUI(Graphic User Interface) 툴들도공유되고있다.

12 23 24 [ 그림 2-5] BSOD 를유발하는 MS12-2 취약점공격툴 원격데스크톱은관리목적으로많이이용되고있어주의가필요하며, 영향을받는시스템은다음과같다. - Windows XP - Vista Ultimate - Windows Server 23 - Windows 7 - Windows Server 28 - Windows Server 28 R2 윈도우 28과윈도우 7부터 ' 터미널서비스 ' 에서 ' 원격데스크톱 ' 으로이름이변경되었으며 TCP/3389 포트를이용한다. <TrusGuard 탐지명 > - ms12-2_rdp_exploit(cve-212-2) [ 그림 2-9] 난독화되어있는코드를해독한화면이러한자바취약점을이용한공격의피해를최소화하기위해선최신버전으로업데이트해야한다. [ 그림 2-1] 자바버전확인방법 [ 그림 2-6] 윈도우프로그램으로제작된 MS12-2 취약점공격툴 자바최신버전사용권장웹을통한악성코드유포는꾸준히이뤄지고있으며대부분윈도우, 인터넷익스플로러, 플래시취약점등을이용하고있다. 최근자바취약점을이용한공격이증가하고있어자바업데이트의필요성이높아지고있다. 자바는윈도우, 플래시플레이어등에비해서인지도가낮다. 때문에 PC에자바가설치되어있어도그사실을알지못한채오래된버전을계속사용하는사용자가많고, 이를악용한웹공격이증가하고있다. 대표적으로 CVE 취약점이공격에자주이용되는데, 이를통해 JRE 환경에서원격코드를실행할수있다. 이공격코드에 JSXX VIP Script를이용해만들어진악성스크립트파일이다수확인되었다. 일반적인공격형태는다음과같다. [ 그림 2-1] 과같은명령어나 download/installed.jsp' 사이트방문을통해현재컴퓨터에설치된자바의버전을확인할수있다. 또한업데이트가능여부도동시에확인할수있다. 이취약점을해결하기위해서는 MS12-2 패치를적용하거나윈도우에서원격데스크톱기능을해제해야한다. 해제는 ' 제어판-> 시스템-> 원격설정옵션 ' 에서 ' 이컴퓨터에대한원격지원연결허용안함 ' 을선택하면된다. [ 그림 2-7] 원격데스크톱설정화면 1. 한사이트에서 와같이호출된다. 2. 호출되면여러개의요청파일중에서 [ 그림 2-8] 과같은침해된사이트에삽입된 www. _[deleted]_.com/some.js 파일을호출한다. [ 그림 2-8] 침해사이트에삽입된 js 파일의일부 는악성스크립트로 pack되어있으며플래시나자바애플릿등의취약점을통해악성코드를다운로드한다.

13 웹보안동향 a. 웹보안통계 월별악성코드유형 212 년 3 월의악성코드유형은전달의 63 종에비해 2% 줄어든 619 종이었다. 1, % % % 웹사이트악성코드동향안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하면, 212년 3월악성코드를배포하는웹사이트를차단한건수는총 2만 5873건이었다. 악성코드유형은 619종, 악성코드가발견된도메인은 397개, 악성코드가발견된 URL은 2137개였다. 이는 212 년 2월과비교할때전반적으로다소감소한수치이다. 4 2 [ 그림 3-2] 월별악성코드유형수변화추이 악성코드배포 URL 차단건수 73,746 25,873 악성코드유형악성코드가발견된도메인악성코드가발견된 URL [ 표 3-1] 웹사이트악성코드동향 -64.9% ,79 2, 월별악성코드가발견된도메인 212 년 3 월악성코드가발견된도메인은 397 건으로 212 년 2 월의 43 건에비해 1% 감소했다. 1, % % % 월별악성코드배포 URL 차단건수 212 년 3 월악성코드배포웹사이트 URL 접근에대한차단건수는지난달 7 만 3746 건에비해 65% 감소한 2 만 5873 건이었다. 15, 125, 1, 75, 5, 25, 41, % +32,565 [ 그림 3-1] 월별악성코드배포 URL 차단건수변화추이 73, % -47,873 25, % [ 그림 3-3] 월별악성코드가발견된도메인수변화추이 월별악성코드가발견된 URL 212 년 3 월악성코드가발견된 URL 은전월의 579 건에비해 58% 감소한 2137 건이었다. 12, 1, 8, 6, 4, 2, [ 그림 3-4] 월별악성코드가발견된 URL 11, % -6,445 5, % -2,942 2, %

14 27 28 악성코드유형별배포수 악성코드유형별배포수를보면트로이목마가 799 건 /27.4% 로가장많았고, 애드웨어가 5719 건 /22.1% 인것으로조사됐다. 악성코드배포최다 1 건중에서 Win-Adware/ToolBar. 3. 웹보안동향 b. 웹보안이슈 Cashon 이 315 건으로가장많았고 Dropper/Small.Gen 이 272 건으로뒤를이었다. 유형 건수 비율 TROJAN 7, % ADWARE 5, % DOWNLOADER 3, % DROPPER 2, % APPCARE 1, % Win32/VIRUT 199.8% SPYWARE 121.5% WIN-CLICKER 19.4% JOKE 18.4% ETC 4, % 25,873 1.% [ 표 3-2] 악성코드유형별배포수 212 년 3 월침해사이트현황 [ 그림 3-6] 212 년 3 월악성코드유포목적의침해사이트현황 [ 그림 3-7] Win-Trojan/Patched B 유포사이트 TROJAN 7,99 8, [ 그림 3-6] 은악성코드유포를목적으로침해사고가발생했던사이트의현황이다. 전월보다약 2.5배증가하였는데, 그원인은명절등으로 카테고리별로분류해보면 [ 그림 3-7] 과같이전월과같이, 언론사 >P2P& 웹하드 > 기타순이었다. 몇몇언론사는메인 URL과함께다수의하위 URL을서비스하면서같은링크를통해악성코드를유포했 ADWARE 5,719 주춤했던취약한웹사이트에대한공격이다시증가했기때문이다. 던것으로추정된다. 또한, 특정언론사사이트에삽입되었던악성 ETC DOWNLOADER DROPPER 4,882 3,34 2,929 4, 침해사이트를통해서유포된악성코드최다 1 건 스크립트는탭키와스페이스바를이용한난독화코드로되어있어발견하기어려웠다. APPCARE 1,367 [ 표 3-4] 212 년 1 월악성코드최다 1 건 Win32/VIRUT 199 SPYWARE 121 WIN-CLICKER JOKE [ 그림 3-5] 악성코드유형별배포수 순위등락악성코드명건수비율 1 7 Win-Adware/ToolBar.Cashon , % 2 NEW Dropper/Small.Gen 2, % 3 1 Downloader/Win32.Korad 1, % 4 1 Win-AppCare/WinKeyfinder , % 5 Downloader/Win32.Totoran 1,19 8.8% 6 2 Adware/Win32.KorAd % 7 NEW Unwanted/Win32.WinKeygen % 8 NEW Unwanted/Win32.WinKeyfinder % 9 2 Trojan/Win32.HDC % 1 NEW Trojan/Win32.FakeAV % 12,642 1.% [ 표 3-3] 악성코드배포최다 1건 순위 악성코드명 건수 1 Win-Trojan/Patched B 48 2 Win-Trojan/Patcher Win-Trojan/Agent IC 26 4 Win-Trojan/Onlinegamehack CX 25 5 Trojan/Win32.Patcher 16 6 Win-Trojan/Patcher B 16 7 Win-Trojan/Patcher Trojan/Win32.Patcher 16 9 Trojan/Win32.Patcher 12 1 Win-Trojan/Patched D 9 [ 표 3-4] 는 3월한달동안침해된사이트를통해서유포되었던악성 코드최다 1건이다. 가장많이유포된 Win-Trojan/Patched B( 이하 Patched B) 는 48개의국내웹사이트를통해서유포되 었다.

15 년 1 분기보안동향 1. 악성코드동향 a. 악성코드통계 212 년 1 분기악성코드최다 2 건 ASEC 이집계한바에따르면, 212 년 1 분기에감염이보고된악성코드는전체 4143 만 4881 건인것으 로나타났다. 이는 211 년 4 분기의 3771 만 539 건에비해 371 만 9491 건이증가한수치다 ([ 그림 4-1]). 이중에서가장많이보고된악성코드는 Trojan/Win32.adh 다. JS/Agent 와 Trojan/Win32.hdc 가그다음 으로많이보고됐으며최다 2 건에새로포함된악성코드는총 15 건이었다 ([ 표 4-1]). 2,, 18,, 16,, 14,, 12,, 13,95,91-4.8% [ 그림 4-1] 월별악성코드감염보고건수변화추이 13,663, , % +156,432 13,82, % 순위 등락 악성코드명 건수 비율 1 NEW Trojan/Win32.adh 2,417, % 2 1 JS/Agent 2,86, % 3 NEW Trojan/Win32.hdc 1,356,63 8.9% 4 NEW Trojan/Win32.Gen 1,314, % 5 NEW Malware/Win32.generic 1,294,3 8.5% 6 4 Textimage/Autorun 1,167,79 7.6% 7 NEW Trojan/Win32.fakeav 869, % 8 NEW Adware/Win32.korad 715, % 9 NEW Trojan/Win32.agent 515, % 1 NEW Trojan/Win32.genome 43,83 2.8% 11 5 Win-Trojan/Agent T 368, % 12 NEW Html/Iframe 356, % 13 NEW Downloader/Win32.agent 35, % 14 NEW Downloader/Win32.adload 328,78 2.1% 15 NEW Java/Agent 316,93 2.1% 16 NEW ASD.PREVENTION 35,971 2.% 17 9 JS/Iframe 297, % 18 NEW Backdoor/Win32.asper 289, % 19 8 Html/Agent 266, % 2 NEW Adware/Win32.startpage 266, % 15,315,863 1.% [ 표 4-1] 212년 1분기악성코드최다 2건 ( 감염보고, 악성코드명기준 )

16 년 1 분기악성코드대표진단명감염보고최다 년 1 분기신종악성코드 [ 표 4-2] 는악성코드의주요동향을파악하기위하여악성코드별변종을종합한악성코드대표진단명최 다 2 건이다. 212 년 1 분기에는 Trojan/Win32 가총 853 만 2482 건으로최다 2 건중 31.8% 의비율로 가장많이보고된것으로조사됐다. 또한 Adware/Win32 가 221 만 6958 건, JS/Agent 가 29 만 111 건도 [ 표 4-3] 은 212 년 1 분기에신규로접수된악성코드중고객으로부터감염이보고된최다 2 건이다. 212 년 1 분기신종악성코드는 Exploit/Cve 가 24 만 5663 건으로전체의 15.2% 로가장많 았으며, Win-Adware/KorAd 가 23 만 2852 건으로그다음으로많이보고됐다. 많이보고된것으로나타났다. 순위 등락 악성코드명 건수 비율 1 NEW Trojan/Win32 8,532, % 2 NEW Adware/Win32 2,216, % 3 2 JS/Agent 2,91,11 7.8% 4 2 Win-Trojan/Agent 1,965, % 5 2 Win-Adware/Korad 1,579, % 6 NEW Malware/Win32 1,541, % 7 NEW Downloader/Win32 1,284, % 8 1 Win-Trojan/Downloader 1,254, % 9 5 Textimage/Autorun 1,168,28 4.4% 1 2 Win-Trojan/Onlinegamehack 913,22 3.4% 11 NEW Backdoor/Win32 62, % 12 1 Win32/Virut 555,35 2.1% 13 3 Win32/Conficker 549,169 2.% 14 2 Win32/Autorun.worm 438, % 15 Win32/Kido 422, % 16 NEW Win-Trojan/Korad 392, % 17 NEW Html/Iframe 356, % 18 NEW Dropper/Win32 331, % 19 NEW Java/Agent 316,93 1.2% 2 NEW Packed/Win32 315,24 1.2% 26,828,799 1.% [ 표 4-2] 악성코드대표진단명 1분기최다 2건 순위 악성코드명 건수 비율 1 Exploit/Cve , % 2 Win-Adware/KorAd , % 3 Win-Trojan/Downloader.7424.AE 145,39 9.% 4 Win-Trojan/Downloader ,571 6.% 5 Win-Trojan/Downloader PV 66, % 6 Win-Trojan/Korad.4556.C 65,153 4.% 7 Win-Trojan/Agent F 63, % 8 Win-Adware/Pop2Click , % 9 Win-Adware/KorAd , % 1 Win-Adware/KorAd , % 11 Win-Trojan/Downloader.9216.BM 6, % 12 Win-Adware/Shortcut ,63 3.7% 13 JS/Agnet 58,5 3.6% 14 Win-Trojan/Downloader , % 15 Win-Adware/KorAd , % 16 Win-Trojan/Downloader N 49, % 17 Win-Adware/KorAd E 46, % 18 Win-Trojan/Rootkit C 45, % 19 Win-Trojan/Korad , % 2 Win-Adware/KorAd , % 1,619,246 1.% [ 표 4-3] 212년 1분기신종악성코드최다 2건

17 년 1 분기악성코드유형별감염보고 [ 그림 4-2] 는 212 년 1 분기동안안랩고객으로부터감염이보고된악성코드의유형별비율을집계한결과다. 212 년 1 분기의악성코드를유형별로살펴보면, 트로이목마가 42.7%, 스크립트가 13.2%, 웜이 6.8% 인것으로 나타났다. [ 그림 4-2] 212 년 1 분기악성코드유형별감염비율 212 년 1 분기악성코드유형별분포 212 년 1 분기의신종악성코드유형을보면트로이목마가 55% 로가장많았고, 애드웨어가 28%, 드로퍼 가 5% 였다. DROPPER 5% SCRIPT 2% WORM 1% ETC 8% TROJAN 55% DOWNLOADER 1% 212 1/4 ADWARE 28% [ 그림 1-4] 신종악성코드유형별분포

18 웹보안동향 a. 웹보안통계 212 년 1 분기악성코드유형 212 년 1 분기악성코드유형은전분기의 272 종에비해 7% 줄어든 192 종이었다. 1, % % % 212 년 1 분기웹사이트악성코드동향 안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하 면, 212 년 1 분기악성코드를배포하는웹사이트를차단한건수는총 14 만 8 건이었다. 악성코드 4 2 유형은 192 종, 악성코드가발견된도메인은 1489 개, 악성코드가발견된 URL 은 1 만 874 개였다 [ 그림 4-5] 분기별악성코드유형수변화추이 악성코드배포 URL 차단건수 18,45 14,8 악성코드유형악성코드가발견된도메인악성코드가발견된 URL 2,72 1,92 [ 표 4-4] 212 년 1 분기웹사이트보안요약 1,326 1, % 18,13 18, / /4 212 년 1 분기악성코드가발견된도메인 212 년 1 분기악성코드가발견된도메인은전분기의 1326 건에비해 12% 증가한 1489 건이었다. 1, % % % 년 1 분기악성코드배포 URL 차단건수 212 년 1 분기악성코드배포웹사이트 URL 접근에대한차단건수는 211 년 4 분기의 1 만 845 건 에비해 3% 증가한 14 만 8 건이었다. 15, 125, 1, 75, 5, 25, 41, % +32,565 [ 그림 4-4] 분기별악성코드배포 URL 차단건수변화추이 73, % -47,873 25, % [ 그림 4-6] 분기별악성코드가발견된도메인수변화추이 212 년 1 분기악성코드가발견된 URL 212 년 1 분기악성코드가발견된 URL 은전분기의 1 만 813 건에비해 3% 증가한 1 만 874 건이었다. 12, 1, 8, 6, 4, 2, 11, % -6,445 [ 그림 4-7] 분기별악성코드가발견된 URL 수변화추이 5, % -2,942 2, %

19 37 VOL. 27 ASEC REPORT Contributors 212년 1분기악성코드유형별배포수악성코드유형별배포수를보면드로퍼가 5만 1877건 /36.8% 로가장많았고, 트로이목마가 3만 1282건 /22.2% 인것으로조사됐다. 악성코드배포최다 1건중에서 Win-Dropper/KorAd 이 4만 4877건으로가장많았고 Win-Trojan/Agent.848이 765건으로뒤를이었다. 유형건수비율 DROPPER 51, % TROJAN 31, % DOWNLOADER 17, % ADWARE 15, % APPCARE 5,57 3.9% WIN-CLICKER 1, % Win32/VIRUT 1,184.8% SPYWARE 53.4% JOKE 52.4% ETC 15, % 14,8 1.% [ 표 3-2] 악성코드유형별배포수 집필진책임연구원선임연구원선임연구원연구원연구원참여연구원편집장선임연구원 정관진안창용장영준심상우이정신 ASEC 연구원 SiteGuard 연구원안형봉 DROPPER 51,877 TROJAN 31,282 5, 4, 편집인 디자인 안랩세일즈마케팅팀 안랩 UX 디자인팀 DOWNLOADER 17,416 ETC 15,146 ADWARE 15,146 [ 그림 4-8] 212 년 1 분기악성코드유형별배포수 APPCARE 5,57 WIN- CLICKER 1,672 Win32/VIRUT 1,184 SPYWARE JOKE , 2, 1, 순위등락악성코드명건수비율 1 NEW Win-Dropper/KorAd , % 2 NEW Win-Trojan/Agent.848 7,65 8.7% 3 Downloader/Win32.Korad 6,92 7.9% 4 1 Downloader/Win32.Totoran 4, % 5 NEW Win-AppCare/WinKeyfinder , % 6 4 Win-Adware/ToolBar.Cashon ,58 5.1% 7 6 Downloader/Win32.Genome 4,372 5.% 8 NEW Adware/Win32.KorAd 4, % 9 NEW Dropper/Small.Gen 3,57 3.5% 1 4 Unwanted/Win32.WinKeygen 2,3 2.6% 87,727 1.% [ 표 4-6] 212년 1분기악성코드배포최다 1건 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. 감수전 무 조시행 발행처 ( 주 ) 안랩 경기도성남시분당구 삼평동 673 ( 경기도성남시분당구 판교역로 22) T F