AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A

Transcription

1 ASEC REPORT VOL 안랩월간보안보고서 이달의보안동향 2012 년 2 분기보안동향 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved.

2 AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 ( 에서확인하실수있습니다. CONTENTS 년 6 월의보안동향 01. 악성코드동향 년 2 분기보안동향 01. 악성코드동향 a. 악성코드통계 05 a. 악성코드통계 41-6 월악성코드, 1100 만건 '12.6% 감소 ' - 악성코드유형, ' 트로이목마가최다 ' - 6 월최다신종악성코드 Win-Adware/KorAD 월악성코드, 1100 만건 '12.6% 감소 ' - 악성코드유형, ' 트로이목마가최다 ' - 6 월최다신종악성코드 Win-Adware/KorAD b. 악성코드이슈 웹보안동향 - 악성코드, 당신의계좌를노린다 - 이메일로시도되는 APT 공격주의 - 문서파일을이용한끊임없는악성코드유포 - 아래아한글제로데이취약점을악용한악성코드 아래아한글제로데이취약점을악용한악성코드 알려진한글취약점을악용한악성코드유포 - 안랩사칭한광고스팸메일주의 - 정부기관에서발송된메일로위장한스팸메일 - FedEx Post Office 메일로위장한악성스팸메일 - 변형된형태의 XML 코어서비스취약점 (CVE ) 악용 a. 웹보안통계 45 - 웹사이트악성코드동향 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 03. 보안동향 a. 보안통계 47-6 월마이크로소프트보안업데이트현황 c. 모바일악성코드이슈 30 - zsone 안드로이드악성코드변종발견 - 스마트폰사진을변조하는악성코드 - 스마트폰앱이용할땐항상주의하세요 02. 보안동향 년상반기보안동향 1. 정보유출목적의 APT(Advanced Persistent Threat) 공격증가 48 a. 보안통계 개인정보탈취용악성코드지속 49-6 월마이크로소프트보안업데이트현황 3. 애플리케이션취약점을이용한악성코드기능 49 b. 보안이슈 35 - IE 동일한 ID 속성원격코드실행취약점 (CVE ) - XML 코어서비스의취약점으로인한원격코드실행문제점 (CVE ) - XML 코어서비스취약점 (CVE ) 악용증가 4. 모바일악성코드유포경로다양화 PC 와모바일동시겨냥한피싱사이트등장 웹보안동향 a. 웹보안통계 37 - 웹사이트악성코드동향 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위

3 년 6 월의보안동향 01. 악성코드동향 a. 악성코드통계 6 월악성코드, 1100 만건 12.6% 감소 ASEC 이집계한바에따르면, 2012 년 6 월에감염이보고된악성코드는전체 1100 만 6597 건인것으로 나타났다. 이는지난달의 1258 만 9409 건에비해 158 만 2812 건이감소한수치다 ([ 그림 1-1]). 이중에 서가장많이보고된악성코드는 ASD.PREVENTION 이었으며, JS/Agent 와 Trojan/Win32.Gen 이그다음 으로많이보고됐다. 또한 Java/Exploit, Backdoor/Win32.trojan, Java/Cve , Downloader/ Win32.opentab 등총 4 건의악성코드가최다 20 건목록에새로이름을올렸다 ([ 표 1-1]). 14,000,000 13,000,000 12,000,000 11,000,000 10,000, ,409, % [ 그림 1-1] 월별악성코드감염보고건수변화추이 12,589, % +1,180,047 +1,582,812 11,006, % 순위 등락 악성코드명 건수 비율 1 3 ASD.PREVENTION 499, % 2 5 JS/Agent 442, % 3 1 Trojan/Win32.Gen 436, % 4 2 Textimage/Autorun 308, % 5 13 Downloader/Win32.agent 270, % 6 3 Malware/Win32.generic 218, % 7 4 Trojan/Win32.adh 202, % 8 Adware/Win32.korad 189, % 9 6 JS/Exploit 141, % 10 5 Trojan/Win32.bho 133, % 11 1 Trojan/Win32.sasfis 103, % 12 NEW Java/Exploit 94, % 13 1 Als/Bursted 93, % 14 6 RIPPER 88, % 15 NEW Backdoor/Win32.trojan 86, % 16 NEW Java/Cve , % 17 Trojan/Win32.agent 79, % 18 6 Malware/Win32.suspicious 76, % 19 3 Mov/Cve , % 20 NEW Downloader/Win32.opentab 72, % 3,698, % [ 표 1-1] 2012년 6월악성코드최다 20건 ( 감염보고, 악성코드명기준 )

4 7 8 악성코드대표진단명감염보고최다 20 6 월최다신종악성코드 Win-Adware/KorAD [ 표 1-2] 는악성코드별변종을종합한악성코드대표진단명중가장많이보고된 20 건을추린것이다 년 6 월에는 Trojan/Win32 가총 153 만 4154 건으로가장빈번히보고된것으로조사됐다. Adware/ Win32 가 56 만 6838 건, Win-Adware/Korad 가 55 만 361 건으로그뒤를이었다. [ 표 1-3] 은 6 월에신규로접수된악성코드중고객으로부터감염보고가가장많았던 20 건을꼽은것이 다. 6 월의신종악성코드는 Win-Adware/KorAD 이 7 만 1935 건으로전체의 14.9% 를차지했으 며, Win-Trojan/Agent BQF 가 3 만 4540 건, Win-Spyware/KeyMatch B 는 3 만 4349 건이 보고됐다. 순위 등락 악성코드명 건수 비율 1 Trojan/Win32 1,534, % 2 1 Adware/Win32 566, % 3 7 Win-Adware/Korad 550, % 4 2 Downloader/Win32 533, % 5 2 ASD 499, % 6 1 Win-Trojan/Agent 486, % 7 1 JS/Agent 465, % 8 3 Win-Trojan/Downloader 392, % 9 5 Malware/Win32 325, % 10 1 Textimage/Autorun 308, % 11 1 Win-Trojan/Onlinegamehack 276, % 12 4 Win-Trojan/Korad 230, % 13 NEW Backdoor/Win32 184, % 14 Win32/Conficker 151, % 15 NEW Win-Dropper/Korad 151, % 16 1 Dropper/Win32 146, % 17 2 JS/Exploit 141, % 18 1 Win32/Virut 133, % 19 1 Win32/Kido 119, % 20 NEW Win32/Autorun.worm 114, % 7,312, % [ 표 1-2] 악성코드대표진단명최다 20건 순위 악성코드명 건수 비율 1 Win-Adware/KorAd , % 2 Win-Trojan/Agent BQF 34, % 3 Win-Spyware/KeyMatch B 34, % 4 Win-Trojan/Agent BQE 34, % 5 Win-Adware/KorAd , % 6 Win-Trojan/Downloader , % 7 Win-Trojan/Agent AC 25, % 8 Win-Trojan/Korad , % 9 Win-Trojan/Agent AY 21, % 10 Win-Adware/KorAd E 20, % 11 Win-Trojan/Downloader , % 12 Win-Spyware/KeyMatch , % 13 Win-Trojan/Agent ABW 18, % 14 Win-Spyware/SpyBot , % 15 Win-Trojan/Spybot , % 16 Win-Trojan/Graybird , % 17 Win-Adware/KorAd C 13, % 18 Win-Adware/Shortcut.Zipcorn , % 19 Win-Adware/KorAd , % 20 Win-Trojan/Downloader , % 481, % [ 표 1-3] 6월신종악성코드최다 20건

5 월악성코드유형별감염보고 신종악성코드유형별분포 [ 그림 1-2] 는 2012 년 6 월한달동안안랩고객으로부터감염이보고된악성코드의유형별비율을집계한결 과다. 트로이목마 (Trojan) 가 38.6% 로가장높은비율을나타냈고, 스크립트 (Script) 가 8.7%, 웜 (Worm) 이 7.1% 인 6 월의신종악성코드를유형별로보면트로이목마가 54% 로가장많았고, 애드웨어가 31%, 스파이웨어 가 8% 였다. 것으로집계됐다 ADWARE APPCARE DOWNLOADER DROPPER ETC SCRIPT SPYWARE TROJAN VIRUS WORM 6.8% 0.2% 0.3% 2.9% 31.9% 8.7% 1.0% 38.6% 2.5% 7.1% TROJAN 38.6% SCRIPT 8.7% WORM 7.1% OTHER 45.6% [ 그림 1-2] 2012 년 6 월악성코드유형별감염비율 악성코드유형별감염보고전월비교 [ 그림 1-4] 신종악성코드유형별분포 [ 그림 1-3] 은악성코드유형별감염비율을전월과비교한것이다. 트로이목마, 스크립트, 웜, 애드웨어 (Adware), 바이러스 (Virus), 스파이웨어 (Spyware), 다운로더 (Downloader) 가전월에비해증가세를보였 으며, 애프케어 (Appcare) 계열은전월과동일한수준을유지하였다. [ 그림 1-3] 2012 년 6 월 vs. 5 월악성코드유형별비율

6 악성코드동향 b. 악성코드이슈 [ 그림 1-9] 인터넷라이브방송플레이어다운로드창 해당악성코드실행시 [ 그림 1-12] 와같은옵션도함께실행된다. [ 그림 1-12] SFX 옵션및정상파일실행 악성코드, 당신의계좌를노린다 인터넷뱅킹의피싱기법이날로고도화되고있다. 최근기승을 [ 그림 1-7] 난독화된악성 HTML 악성코드가실행되면 [ 그림 1-12] 의오른쪽그림처럼 SFX 파일에존재하는정상파일이실행된다. 하지만백그라운드에서 C:\Windows 부리고있는악성코드를이용한피싱기법에대하여알아보자. a. 인터넷라이브방송프로그램 폴더에악성코드가생성및실행되므로사용자는악성코드감염사실을인지할수없다. 1. 유포경로분석 온라인뱅킹악성코드가유포될당시에는 [ 그림 1-9] 의 설치하 2. 악성코드분석 온라인뱅킹정보탈취목적의악성코드는지금까지 3 가지유형이 기 를클릭하면악성코드가포함된 Install_LiveManagerPlayer.exe 가 온라인뱅킹악성코드의기본적인형태는 SFX( 자동압축풀림 ) 이나 확인되었다. A. 침해사이트 + 응용프로그램의보안취약점결합 이악성 HTML 파일의난독화를해제하면 Java, IE, Flash Player 의 [ 그림 1-8] 온라인뱅킹악성코드가사용하는취약점 다운로드됐다. 현재는조치되어유포되지않는다. [ 그림 1-10] P2P 프로그램 utorrent 실제악의적인기능은 SFX 파일내부에존재하는아래 3개의파일에의해서수행된다. 이온라인뱅킹악성코드는특정 URL을통해서유포됐다. 해킹된국내웹사이트 (31개사이트, 구글의안전브라우징진단페이지 ) 들의응용프로그램 (Java, IE, Flash Player, Windows Media Player) 보안취약점을이용하여 PC를감염시켰다. [ 표 1-5] 악성자동압축풀림파일의구조파일명핵심기능 CONFIG.INI 아래두파일에서사용할서버의 IP를저장한환경설정파일 CretClient.exe 특정경로에서인증서존재여부검색및탈취기능 HDSetup.exe 호스트파일변조와삭제, 인터넷익스플로러의보안옵션변경 [ 그림 1-5] 구글의안전브라우징진단페이지 [ 표 1-5] 에서설명된 3 개의파일은각각독립된기능을가지고있지 해킹된국내웹사이트들에는제로보드를사용한공지사항페이지에 [ 그림 1-6] 과같이악성스크립트링크가삽입되어있었다. 취약점을이용하는것으로보이는코드들이확인된다. b. P2P 프로그램 Torrent utorrent는흔히사용되고있는 P2P 프로그램중하나이며누구나손쉽게다운로드할수있다. 온라인뱅킹악성코드제작자는이런점을이용하여 utorrent.exe 파일내부에정상파일과온라인뱅킹악성코 만궁극적인목표는 [ 그림 1-13] 과같다. [ 그림 1-13] 온라인뱅킹악성코드의감염흐름 [ 그림 1-6] 공지사항페이지에삽입된 iframe 온라인뱅킹악성코드는가능한많은 PC 를감염시키기위해서 [ 그림 드를리패키징해두었다. 1-8] 과같이각응용프로그램의버전을체크하여해당버전에존재 이악성코드는실행파일인 EXE 확장자를가지고있지만, 사실 [ 표 1-4] 응용프로그램별온라인뱅킹악성코드가사용한취약점 SFX( 자동압축풀림 ) 형태로 [ 그림 1-11] 과같은파일구조를가지고 응용프로그램 Java 취약점 ID CVE / CVE 있다. [ 그림 1-11] 온라인뱅킹악성코드의파일구조 Flash Player CVE 또는 CVE Windows Media Player MS 온라인뱅킹악성코드의유포및감염은악성 HTML 파일로부터시 Internet Explorer MS 작된다. 해당 HTML 파일이실행되면또다른 HTML 파일을다운로드 하는취약점을사용한다. 및실행하는데, [ 그림 1-7] 과같이어떤코드인지확인이어렵도록난독화되어있다. B. 정상프로그램과악성코드리패키징온라인뱅킹악성코드가특정인터넷라이브방송프로그램, P2P 프로그램인 Torrent와함께리패키징된채로유포된사례가발견되었다. A. CONFIG.INI CONFIG.INI는 CretClient.exe, HDSetup.exe가악의적인기능을수행하는데필요한 IP를저장하는환경설정파일이다.

7 13 14 [ 그림 1-14] CONFIG.INI 에저장된서버 IP 호스트파일변조 HDSetup.exe가실행되면기존의호스트파일을삭제하고 [ 그림 [ 그림 1-20] 농협피싱사이트 정상사이트와피싱사이트를구분하는것이쉽지않겠지만, 평소각은행에서피싱과관련하여권고한내용들을숙지하고있다면피싱사 1-17] 의내용을담고있는호스트파일을새로생성한다. 이트임을알아볼수있는증거들을여러곳에서발견할수있다. [ 그림 1-17] 생성된호스트파일 피싱사이트는계좌정보를입력할때보안카드에명시된모든번호 를입력하도록유도하지만, 실제은행들은온라인뱅킹이용시절대 보안카드에명시된모든번호를입력하라고하지않는다. 또한공인 인증서로그인과정에서도수상한부분이많다. B. CretClient.exe CretClient.exe는사용자가감염된 PC에서피싱사이트에접속시실 A. 피싱사이트들의보안승급서비스 행되는허위인증서로그인파일이다. 해당파일을단독으로실행하 이후사용자가감염된 PC 에서 [ 그림 1-17] 에명시된은행으로접속 [ 그림 1-23] 국민은행피싱사이트의보안승급서비스 면 [ 그림 1-15] 와같이허위 KB 국민은행인증서로그인창이뜨지 을시도할경우정상사이트가아닌피싱사이트로접속된다 ([ 그림 만, 피싱사이트를통해실행되면대상은행 ( 국민은행, 우리은행, 농협 1-13] 참고 ). 뱅킹, 외환은행등총 4곳 ) 인증서로그인창으로변경된다. [ 그림 1-15] CretClient.exe 실행화면 3. 피싱사이트분석온라인뱅킹악성코드에의해서피싱대상이되는은행은 [ 표 1-6] [ 그림 1-21] 외환은행피싱사이트 과같다. [ 표 1-6] 피싱대상은행리스트 피싱대상은행국민은행 농협 우리은행 외환은행 피싱대상 URL 은행마다조금씩다르지만피싱을통한사용자의계좌정보탈취프로세스는 [ 그림 1-18] 과같다. [ 그림 1-24] 농협피싱사이트의보안승급서비스 [ 그림 1-18] 피싱을통한계좌정보탈취프로세스 허위인증서로그인프로그램이실행되면사용자가사용중인인증서 정보를출력하고인증서암호를입력하도록유도한다. [ 그림 1-16] 인증서가설치된경로검색 피싱사이트는실제은행홈페이지와구분이힘들정도로유사하다. [ 그림 1-22] 우리은행피싱사이트 상당기간준비한것으로보인다. [ 그림 1-19] 국민은행피싱사이트 C. HDSetup.exe HDSetup.exe 는실행시피싱사이트로접속되도록조작된 IP 와 URL 을포함한호스트파일을생성한다.

8 15 16 [ 그림 1-25] 외환은행피싱사이트의보안승급서비스 - Dropper/Banki (V3, ) - Win-Trojan/Qhost (V3, ) [ 그림 1-29] APT 공격에사용된악성 PDF 문서 - Win-Trojan/Agent CEU( ) - PDF/Exploit( ) - Win-Trojan/Banki (V3, ) - Win-Trojan/Banki B(V3, ) 문서파일을이용한끊임없는악성코드유포 - Win-Trojan/Banki (V3, ) - Win-Trojan/Banki (V3, ) - Win-Trojan/Banki B(V3, ) - Win-Trojan/Banki C(V3, ) 최근사람들의호기심을자극하는제목의이메일을통해끊임없이악성코드가유포되고있다. MS워드, 한글문서의취약점을이용한악성코드의공격형태를살펴보자. 1. MS 워드문서를이용한악성코드 이메일로시도되는 APT 공격주의 [ 그림 1-31] 이메일로첨부되어유포되는문서파일 최근이메일을통해문서파일 (DOC, HWP, PDF 등 ) 의취약점을이 [ 그림 1-26] 우리은행피싱사이트의보안강화서비스 용하여특정시스템을노리는 APT 공격이빈번히발견되고있다. 기존처럼불특정다수에게이메일을유포하는방식이아닌, 특정집단 ( 기관, 학교, 회사 ) 을대상으로하고있으며악성파일을드롭하는문서파일을첨부하여열람을유도해표적공격을시작한다. 표적공격시발송하는이메일은다음과같은특징이있다. 1. 제목이자극적이고, 중요한메일인것같은느낌을준다. 2. 취약점을이용하는문서파일을첨부하며, 첨부파일명을중요성을띤것처럼표기 3. 메일의내용을자세히적지않고첨부파일열람유도 해당악성문서파일의경우익스플로잇이동작하면서다음경로에두개의파일을드롭한다. - C:\Documents and Settings\[ 사용자 ]\ 시작메뉴 \ 프로그램 \ 시작프로그램 \ld.exe - C:\Documents and Settings\[ 사용자 ]\Local Settings\ Temp\AdobeARM.dll [ 그림 1-30] 설치된악성파일 [ 그림 1-31] 과같이최근이슈와관련하여사람들이흥미를가질만 [ 그림 1-28] 은실제공격에사용된이메일이다. [ 그림 1-28] APT 공격에사용된이메일 한제목으로이메일이유포된다. 첨부된 Tibetan Declaration of independence.doc 파일은사용자가의심하지않도록정상적인문서파일을보여준다. [ 그림 1-32] 사용자를속이기위해보여주는 MS 워드문서내용 정상은행사이트에서는 [ 그림 1-23] 부터 [ 그림 1-26] 과같이사용자 에게계좌와보안카드의모든정보를입력하도록요구하지않는다. 이악성파일은시작프로그램에등록되어부팅시실행되며, 주기 B. 피싱인증서로그인창 vs. 정상인증서로그인창 적으로 C&C 서버 ( 17*.***.***.*90:80, ) 에 [ 그림 1-27] 피싱인증서로그인창 vs. 정상인증서로그인창 접속하여명령을수행한다. 아래의사항들을참고하여이메일을이용한 APT 공격을사전에 예방하자. 이메일에첨부된문서파일은알려진취약점을이용하였다. 해당취약점이패치되지않은상태에서문서파일을열면악성파일이생성되어사용자시스템을감염시킨다. 이때문서파일은정상적으로열리므로사용자는감염사실을인지할수없다. 1. 발신인을확인할수없는메일의열람을자제한다. 2. 출처를알수없는첨부파일을열지않는다. 3. 문서관련애플리케이션은주기적으로업데이트하여최신버전을유지한다. 4. 사용하는안티바이러스제품의실시간검사를활성화하고엔진 악성코드는사용자 PC에서악의적인기능을수행하기위해다음과같은파일을생성한다. [ 그림 1-33] 생성되는파일정보 [ 그림 1-29] 는이메일에첨부된 PDF 문서의일부이다. 별도의확인 을최신버전으로유지한다. - Trojan/Win32.Banki(V3, ) 과정이없다면발송자가악의적인의도를가지고이메일을보낸것인지구분하기쉽지않다. - Win-Trojan/Dropper.36352( )

9 17 18 해당문서는 2012년 4월에발표됐던윈도우공용컨트롤취약점 (CVE ) 을악용한것으로워드문서내에 Active X 오브젝트가포함되어악의적인기능을수행한다. [ 그림 1-34] 악성코드실행시변화되는파일 림 1-37] 은악성한글문서실행시생성되는파일이다. [ 그림 1-37] 악성한글문서실행시생성되는파일정보 [ 그림 1-40] 북핵해결 3 대전략 문서정보 <voice????@indiatimes.com>' 메일주소로전송한다. C. rundir.dll 파일은정상 Themes 서비스와유사하게 Themas 라는이름으로서비스에등록되어시스템시작시마다자동실행된다. 해당서비스가시작되면윈도우방화벽설정을 사 용안함 으로변경하고, comirv.dll 파일을 explorer.exe 프로세스 에인젝션시켜실행한다. [ 그림 1-43] Themas 서비스등록내용 8d01df96.dll 파일이최종적으로생성되며 rundll32.exe 프로세스에 악성코드가생성한파일은일정한시간마다 index.dat 파일에접근 해당 dll 파일이인젝션되어동작한다. 하여사용자가방문한웹사이트기록과아웃룩등을이용해주고받은이메일정보를기록한다. [ 그림 1-38] 레지스트리정보 [ 그림 1-41] 북핵해결 3 대전략 문서파일의내용 [ 그림 1-35] 네트워크접속정보 최근언론에보도된 2012 년통일정책토론회내용을포함하고있 네트워크접속정보는 [ 그림 1-35] 와같으며, index.dat 파일을특정서버로전송한다. 이와같이워드문서의취약점을이용한악성코드감염을방지하기위해서는최신 MS 보안패치를설치해야한다. - Exploit/Cve (V3, ) 2. 아래아한글문서를이용한악성코드 [ 그림 1-36] 사용자를속이기위해보여주는아래아한글문서내용 악성코드는레지스트리정보를변경하며 222.xxx.x.xxx IP에지속적으로접속을시도한다. [ 그림 1-39] 네트워크정보해당악성코드의감염을방지하기위해서는한글프로그램의업데이트를수행해야한다. - HWP/Exploit(V3, ) 또한취약점을통해아래와같은악성파일이생성된다. - %Systemroot%\hwprnt.dl - %Systemroot%\system32\comirv.dll - %Systemroot%\system32\rundir.dll - %Systemroot%\system32\soric.rxc A. hwprnt.dll 파일은 systeminfo 명령을통해시스템정보를수집하여 soric.rxc 파일에저장한다. 는한글제로데이취약점을악용한악성코드에대한분석정보는아래블로그에서확인할수있다. - HWP/Exploit( ) - Win-Trojan/Agent QS( ) - Trojan/Win32.Infostealer( ) - Win-Trojan/Agent BOS( ) <TrusGuard 탐지명 > - Exploit/HWP.AccessViolation-DE 아래아한글제로데이취약점을악용한악성코드 - 1 최근아래아한글제로데이취약점을악용한악성코드가등장하면서많은기업들이 APT 공격을우려하고있다. 보안패치가제공되기전까지는악성한글파일실행시악성코드에감염되기때문에사용자의주의가필요하다. [ 그림 1-42] soric.rxc 파일내용 향후출시예정인 V3 인터넷시큐리티 (Internet Security) 9.0에포함된 ASD 2.0의 MDP 엔진에서도시그니처없이다음과같이탐지할수있다. <ASD 2.0 MDP 엔진진단명 > - Dropper/MDP.Document(57) 최근발견된악성한글문서역시실행하면정상적인문서를보여주나, [ 그림 1-36] 과같이실행경로가다른것을확인할수있다. [ 그 해당악성파일을실행하면 2012년 6월 10일에작성된것으로확인된 < 북핵해결 3대전략 > 이라는제목을가진정상한글문서파일이열린다. B. comirv.dll 파일은인디아타임즈 (indiatimes.com) 웹메일서비스를이용하여수집한시스템정보파일 (soric.rxc) 을 kim unhong 아래아한글제로데이취약점을악용한악성코드 - 2 추가로발견된취약점을포함하고있는악성한글파일은 986,624 바이트의크기이며이메일의첨부파일형태로유포된것으로파악된다.

10 19 20 [ 그림 1-44] 코드실행취약점을가진취약한한글파일 감염된시스템의정보를기록하는로그파일을생성한다. - C:\WINDOWS\system32\IBMCodecSrv.exe(49,152바이트 ) [ 그림 1-48] 웹브라우저접속정보를수집하는악성코드 <TrusWatcher 탐지명 > - Exploit/HWP.AccessViolation-DE - C:\WINDOWS\system32\c_43911.nls - C:\WINDOWS\system32\abc.bat(39바이트 ) <ASD 2.0 MDP 엔진진단명 > - Dropper/MDP.Document(57) 생성된 abc.bat 는아래와같은커맨드명령으로동일한윈도우시스 - service_exploit(cve ) 해당취약점이존재하는파일은 [ 그림 1-45] 와같은구조를가지며, 템폴더에 tmp.dat를생성하고악성코드가실행된연도와날짜를기록한다. 알려진한글취약점을악용한악성코드유포 내부에다른 PE 파일이인코딩된상태로포함되어있다. [ 그림 1-45] 취약한한글파일의구조 - date /t > "C:\WINDOWS\system32\tmp.dat" 생성된로그파일 c_43911.nls는 [ 그림1-47] 과같이감염된시스템의하드웨어및운영체제정보, 현재실행중인프로그램들의프로세스정보를기록한다. [ 그림 1-47] 악성코드가수집한감염시스템정보들 또한감염된시스템에서특정웹브라우저들 (FireFox, Internet Explorer, Chrome) 이실행되면, 해당프로세스를모니터링하여접속하는웹사이트주소들역시모두수집한다. B. winview.exe와이파일의복사본인 IBMCodecSrv.exe는감염된시스템에서웹사이트접속주소, 하드웨어및운영체제정보들을수집하여이를로그파일인 c_43911.nls에기록하는정보수집목 2012년 6월 15일한글에존재하는코드실행취약점을악용한악성코드유포사례가발견됐다. 이후 2012년 6월 22일에한글과컴퓨터에서해당취약점을제거할수있는보안패치를공개하여악성코드감염시도를원천차단했다. 이번에유포된취약한한글파일들은국내특정조직을대상으로발송된이메일의첨부파일형태로발견됐다. 이파일들을열면 [ 그림 적의악성코드다. 1-50] 과같은내용을볼수있다. C. YAHOO.dll 파일에의해생성되는다른 c_38901.nls 파일은 [ 그 [ 그림 1-50] 취약한한글파일의문서내용 림 1-49] 와같이감염된시스템에서임의로구글지메일의사용자 세션을연결한다. 또한 [ 그림 1-46] 과같은전체적인악성코드감염구조를가지고있 [ 그림 1-49] 악성코드가연결하는구글지메일사용자세션관련코드 으며, 다른악성코드들과로그파일을생성한다. [ 그림 1-46] 취약한한글파일에의해생성되는악성코드들 또한재부팅시에도악성코드를다시실행하기위해윈도우레지스 이한글파일을실행하면윈도우시스템에다음의파일이생성된다. - C:\WINDOWS\YAHOO.dll(135,168바이트 ) 생성된 YAHOO.dll 파일은다시윈도우시스템폴더 (C:\WINDOWS\ system32\) 에다음파일들을생성한다. - C:\WINDOWS\system32\winview.exe(49,152바이트 ) - C:\WINDOWS\system32\c_38901.nls(45,056바이트 ) 트리에특정키를생성하여 IBMCodecSrv.exe을 Microsoft Audio Codec Services 라는명칭으로윈도우서비스를등록한다. [ 등록된레지스트리 ] - HKLM\SYSTEM\ControlSet001\Services\Microsoft Audio Codec Services - ImagePath = "C:\WINDOWS\system32\IBMCodecSrv.exe" 생성된파일들은각각다른역할을하도록설계 제작됐으며, 하나의악성코드만을분석해서는해당악성코드들이어떠한목적을가지고설계및제작되었는지파악하기어렵다. A. 최초 YAHOO.dll에의해생성되는파일인 winview.exe와이파일의복사본인 IBMCodecSrv.exe는 [ 그림 1-48] 과같이감염된시스템의하드웨어및운영체제정보를수집한다. D. c_38901.nls는연결된구글지메일세션을이용하여특정메일주소로, winview.exe와해당파일의복사본인 IBMCodecSrv. exe에의해감염된시스템에서수집된정보들을기록한로그파일 c_43911.nls를전송하는정보탈취목적의악성코드다. 이번에발견된한글제로데이취약점을악용한악성코드는감염된시스템으로부터다양한정보들을수집하기위해제작된것으로추정된다. 이러한정보는향후다른공격을계획하거나구상할때유용한데이터로활용될수있다. - HWP/Exploit - Trojan/Win32.Dllbot - Trojan/Win32.Npkon 해당파일은 [ 그림 1-51] 과같은구조로되어있으며이미보안패치가제공된취약점을응용했다. [ 그림 1-51] 취약한한글파일의구조 생성된 winview.exe 는다시자신의복사본을아래와같이생성하고

11 21 22 이취약점은 HncTextArt_hplg 에존재하는스택 (Stack) 의경계를체 안랩사칭한광고스팸메일주의 1. 신뢰도있는이름도용 또한, 시스템시작시자동실행되도록레지스트리에등록하고특정 크하지않아발생하는버퍼오버플로 (Buffer Overflow) 이며, 2010년부터지속적으로악용되어왔던한글취약점들중하나이다. 해당취약점이존재하는한글을사용하는시스템에서취약한한글파일을열면사용자계정의임시폴더에 scvhost.exe(138,752바이트 ) 파일이생성된다. 안랩 (AhnLab) 을사칭하여성인용품을광고하는스팸메일이무차별적유포되고있어사용자들의주의가요구된다. 스팸메일의발신주소는안랩시큐리티레터이메일주소인 AhnLab[csadmin@ rm.ahnlab.com] 으로조작돼발송됐다. - 신뢰도있는기업의이름을도용하여수신자를속이려함 2. 자극적인메일제목사용 - 선정적이고자극적인제목을사용하여수신자의호기심을자극함 3. 단순한메일내용 - 별내용없이링크만제공하여호기심이발동한수신자의클릭유도 URL에접속을시도하지만, 해당링크및접속 IP가유효하지않아증상은재현되지않았다. [ 그림 1-58] 레지스트리등록정보 - c:\documents and settings\[ 사용자계정명 ]\local settings\ temp\scvhost.exe(138,752바이트 ) 생성된 scvhost.exe 파일이실행되면윈도우폴더 (c:\windows) 에 wdmaud.drv(78,848바이트 ) 와 wdmaud.dat(78,848바이트 ) 가생성 [ 그림 1-52] 안랩을사칭한스팸메일원문 정부기관에서발송된메일로위장한스팸메일최근정부기관및학회에서발송된메일로위장한스팸메일이유포되어사용자들의주의가요구된다. [ 그림 1-59] 네트워크정보 된다. [ 그림 1-55] 악성 PDF 문서가첨부된메일 - C:\WINDOWS\wdmaud.drv(78,848 바이트 ) - C:\WINDOWS\wdmaud.dat(78,848 바이트 ) wdmaud.dat(78,848바이트 ) 는인코딩된파일로, 디코딩하면실행가능한 PE 파일 wdmaud.drv(78,848바이트 ) 가생성된다. 이후 scvhost.exe에의해 wdmaud.dat는삭제된다. 그리고생성된 wdmaud.drv는감염된시스템에서다음의정보들을수집하여외부 [ 그림 1-53] 의메일제목과발신자를보면의심스러운부분이있다. [ 그림 1-53] 보안회사와연관이없는자극적인메일제목 이러한형태의악성코드에감염되지않기위해서는평소출처가불분명하거나의심스러운메일은가급적열지않고, 사용중인안티바이러스프로그램을최신버전으로유지하는등의생활습관이중요하다. 로전송하나분석당시에는정상적으로접속되지않았다. [ 악성코드감염시수집되는정보 ] - Win-Trojan/Dllbot.7168.D( ) - 하드웨어정보 - 윈도우운영체제정보 - 로그인사용자정보 - 파일업로드및다운로드 - 감염된시스템의 IP 주소및프록시 (Proxy) 서버주소 스팸메일은특별한내용없이링크가첨부되어있다. 해당링크를클릭하면성인용약품을판매하는사이트 ( com:80) 로연결된다. 위의메일에첨부된 PDF 문서는기관에서배포하는정상적인문서로위장했다. 비밀번호까지설정되어있어사용자로하여금아무의심없이실행하도록유도한다. [ 그림 1-56] 악성 PDF 문서 FedEx Post Office 메일로위장한악성스팸메일 FedEx Post Office 메일로위장한악성스팸메일이유포된것이발견됐다. 메일에는 ZIP 압축파일형태로악성코드가첨부됐으며해당파일을실행하면허위백신이설치되어 PC 사용에불편을초래 - HWP/Agent - Win-Trojan/Npkon Trojan/Win32.Dllbot [ 그림 1-54] 메일본문링크클릭시연결되는성인약품판매불법사이트 스팸메일에첨부된 PDF 문서를실행하면악의적인기능을수행하는파일이생성된다. 한다. 메일내용을살펴보면, 소포를보관하고있으며찾아가지않을경우비용이청구될수있다고경고하면서사용자에게첨부파일을실행하도록유도한다. <TrusWatcher 탐지명 > - Exploit/HWP.AccessViolation-DE [ 생성파일 ] C:\WINDOWS\system32\webios.dll [ 그림 1-60] FedEx Post Office 로위장한스팸메일 <ASD 2.0 MDP 엔진진단명 > [ 그림 1-57] 생성된악성 DLL 파일 - Dropper/MDP.Document(57) 이번에유포된취약한한글파일은이미한글과컴퓨터에서보안패치를배포했다. 해당보안패치를설치하는것이악성코드감염을근본적으로차단하는방법이다. 이번에발견된스팸메일은악성코드를유포하지는않았지만, 첨부된링크를클릭하면악성코드에감염될수있으므로주의해야한다. 이번사례는크게 3 가지특징을이용하여사용자를현혹했다.

12 23 24 [ 그림 1-61] 은스팸메일에첨부된파일을압축해제한파일이다. [ 그림 1-61] 첨부된악성파일 [ 그림 1-65] 허위백신의검사화면 사용자가제품을활성화하면결제페이지로연결되어결제를요구한다. 양한온라인뱅킹정보탈취트로이목마들의소스코드중스파이아이의소스코드를사용한것으로추정된다. [ 그림 1-68] 결제유도화면 ASEC 에서는 2012 년 5 월중순부터해당새로운스파이아이트로이 목마변형이유포되기시작했으며, 웹익스플로잇툴킷 (Web Exploit Toolkit) 의한종류인블랙홀익스플로잇툴킷 (Blackhole Exploit Toolkit) 에의해유포된것으로추정하고있다. 해당스파이아이트로이목마에감염되면감염된시스템에서실 A. 해당파일이실행되면자신의복제본을 [ 그림 1-62] 의경로에생성한다. 행중인정상윈도우시스템파일 explorer.exe의프라이빗메모리 (Private Memory) 영역에악성코드 16,384바이트가삽입된다. [ 그림 1-62] 복제된파일의생성위치와파일명 [ 그림 1-70] 메모리영역에삽입된스파이아이코드 또한, [ 그림 1-66] 과같은경고메시지와함께악성코드제거버튼 이활성화된다. [ 그림 1-66] 검사종료후팝업화면 시스템에감염된악성코드를수동으로제거하기위해서는실행되어있는프로세스를종료하고파일을삭제해야한다. [ 그림 1-69] FakeAV 수동조치화면 정상적으로 explorer.exe 의메모리영역에자신의코드가삽입되면 자신의복사본을다음경로에설정파일과함께생성하나, 기존스 파이아이변형들처럼유저모드 (User Mode) 은폐기능을실행하지 는않는다. B. 악성코드가실행되면트레이아이콘에 PC의위험을경고하는팝업창을출력한다. - C:\Documents and Settings\All Users\Application Data\ default\bin.exe [ 그림 1-63] 트레이아이콘에출력된메시지 다음레지스트리키를생성하여윈도우시스템이재부팅되어도자 사용자가악성코드제거를선택하면제품활성화 (activate) 를유도한 동실행되도록구성한다. 다. - HKCU\Software\Microsoft\Windows\CurrentVersion\ [ 그림 1-67] 활성화화면 - Win-Trojan/Fakeav AX( ) Run\default = "C:\Documents and Settings\All Users\Application Data\ default\bin.exe" [ 그림 1-64] 경고문구 독일은행을노리는스파이아이변형발견 그리고독일에위치한 C&C 서버와암호화된통신으로별도의설정 온라인뱅킹정보탈취를위해제작된스파이아이 (SpyEye) 트로이 파일인 web.dat 을아래의경로에생성한다. C. Smart Fortress 2012 허위백신프로그램이실행된다. 목마가이제는다양한국가에위치한여러산업군의웹사이트에서사용자계정정보를탈취하고있다. 스파이아이는끊임없이새로운형태의변형이발견되고있다. 이번 - C:\Documents and Settings\All Users\Application Data\ default\web.dat - C:\Documents and Settings\All Users\Application Data\ 에발견된스파이아이트로이목마도전체적인동작면에서는기본 default\cfg.dat 적으로동일하다. 이로미루어, 현재까지언더그라운드에공개된다

13 25 26 생성된설정파일은 RC4로인코딩되어있으며, 이를디코딩하는키값은해당스파이아이트로이목마내부에있으며, 생성된설정파일 [ 그림 1-73] 파이어폭스의사용자설정파일에삽입하는스파이아이코드 * 메일본문 Attached document was scanned and sent [ 그림 1-76] 허위로보여주는웹페이지하단에숨겨진악의적인코드 을디코딩하면 [ 그림 1-71] 과같은텍스트파일이나타난다. to you using a Hewlett-Packard HP Officejet 1178P. [ 그림 1-71] 디코딩된스파이아이의설정파일 Sent by: SHAVON Images : 1 Attachment Type:.HTM [INTERNET EXPLORER] Hewlett-Packard Officejet Location: machine location not set Device: [ 임의의숫자열 ] 하단에포함된스크립트코드를디코딩하면 [ 그림 1-77] 과같이러시아에위치한시스템으로접속하는코드가포함되어있다. * 첨부파일 [ 그림 1-77] 디코딩한하단에인코딩되어있는악의적인코드 이번에발견된스파이아이변형은전체적인감염동작은기존에발 HP_Doc_06.04-[ 임의의숫자열 ].htm 견된스파이아이변형들과동일하게정상 explorer.exe 의메모리영 이번에발견된스팸메일은과거의악성코드유포목적의스팸메일 해당설정파일에는 [ 그림 1-72] 와같은독일에위치한은행의온라인뱅킹웹사이트의로그인을위한사용자계정과암호를후킹하기위한코드가설정되어있다. [ 그림 1-72] 스파이아이의탈취대상인독일은행의웹페이지 역에자신의코드를삽입하고, 웹브라우저가접속하는웹사이트주소를설정파일과비교하여웹폼인젝션을통해사용자계정과암호를후킹하는것은동일하다. 그러나기존스파이아이변형들이가지고있는유저모드은폐기능을통해생성한파일복사본과설정파일들을은폐하는기능은없다는차이점이있다. 들과는다른특징을보이고있다. 해당스팸메일은웹을기반으로하여일반응용프로그램들의취약점을악용하는웹익스플로잇툴킷 (Web Exploit Toolkit) 과결합하여다양한취약점들을동시에악용하는특징을보이고있다. 이러한웹익스플로잇툴킷과결합된스팸메일의전체적인구조를도식화하면 [ 그림 1-74] 와같다. [ 그림 1-74] 스팸메일과결합된블랙홀웹익스플로잇툴킷 해당스크립트코드가실제웹브라우저에의해실행되면 [ 그림 1-78] 과같이러시아에위치한특정시스템으로연결되도록구성되어있으며, 해당시스템에는웹익스플로잇툴킷의한형태인블랙홀익스플로잇툴킷 (Blackhole Exploit Toolkit) 이설치되어있다. [ 그림 1-78] 웹익스플로잇툴킷이설치된시스템의접속패킷 - Win-Trojan/Spyeyes B 스팸메일과결합된웹익스플로잇툴킷 이메일에첨부되어스팸메일 (Spam Mail) 처럼유포되는악성코드들은대부분이 ZIP으로압축된 EXE 파일이첨부되거나 EXE 또는 SCR 등의파일확장자를가진첨부파일형태로유포되는것이일반적이다. 해당시스템에서는 [ 그림 1-79] 와같이마이크로소프트인터넷익스플로러에존재하는 MS MDAC(Microsoft Data Access Components) 기능의취약점으로인한원격코드실행문제점 (911562) 취약점을악용하는스크립트코드를전송한다 그러나최근에와서는이메일본문에단축 URL(URL Shortening) 또 [ 그림 1-79] 블랙홀웹익스플로잇툴킷에서사용되는 MS 취약점코드 이번에발견된스파이아이변형은웹폼인젝션 (Web Form Injection) 을위해마이크로소프트인터넷익스플로러, 구글크롬 (Google Chrome) 과파이어폭스웹브라우저실행여부를확인하고접속하는웹사이트주소를확인한다. 그리고파이어폭스의사용자설정파일인 user.js를확인하여 [ 그림 1-73] 과같은코드를삽입, 파이어폭스 는하이퍼링크를제공하여, 특정악성코드를유포하는웹사이트나피싱 (Phishing) 사이트로연결을유도하는형태들도발견되고있다. 최근국내에유명 IT 업체인 HP를사칭하여악성코드감염을유도하는악의적인스팸메일들이대량으로유포되었다. 이번에유포된악성코드감염을목적으로하는악의적인스팸메일은다음과같은형태를가지고있다. 첨부되어있는 HTML 파일을실행할경우에는웹브라우저에서는 [ 그림 1-75] 와같이웹사이트접속에잠시장애가있는것으로위장하고있다. [ 그림 1-75] 허위로보여주는웹페이지 에포함되어있는보안경고기능을무력화한다. * 메일제목 - 다음중하나 Scan from a HP ScanJet #[ 임의의숫자열 ] Scan from a Hewlett-Packard ScanJet #[ 임의의숫자열 ] Scan from a Hewlett-Packard ScanJet [ 임의의숫자열 ] 그러나실제해당스크립트파일을편집기등으로확인하면, [ 그림 1-76] 과같은스크립트코드가하단에존재하는것을볼수있다. 그다음으로는어도비아크로뱃리더 (Adobe Acrobat Reader) 에존재하는 Security updates available for Adobe Reader and Acrobat CVE 취약점을악용하는 PDF 파일을전송한다.

14 27 28 [ 그림 1-80] CVE 아크로뱃리더취약점전송로그램들은윈도우보안패치와함께주기적으로관리하여, 일반응 C:\Documents and Settings\[ 사용자계정명 ]\Application Data\ 용프로그램들의취약점을악용하는악성코드감염을예방하도록한 KB exe 다. 그리고윈도우시스템이재부팅되더라도자동실행되도록레지스트 리에다음의키를생성해둔다. - JS/Iframe 마지막으로자바애플릿 (Java Applet) 에존재하는 Oracle Java SE Critical Patch Update Advisory CVE 취약점을악용하는 JAR 파일을전송한다. HKCU\Software\Microsoft\Windows\CurrentVersion\Run KB exe = ""C:\Documents and Settings\[ 사용자계정명 ]\Application Data\KB exe"" - JS/CVE PDF/CVE Win-Trojan/Infostealer F 위에서언급한 3가지의취약점모두가정상적으로악용되지않을경 - Win-Trojan/Downloader JU 해당악성코드는 [ 그림 1-84] 와같이내부에하드코딩되어있는 C&C 우에는정상구글메인페이지로연결된다. 서버와암호화된 SSL(Secure Socket Layer) 통신을시도한다. MS12-037(CVE ) 취약점을악용한악성코드 [ 그림 1-81] 블랙홀익스플로잇툴킷에서마지막으로재연결하는구글웹페이지 [ 그림 1-84] 악성코드내부에포함된 C&C 서버리스트 유포 마이크로소프트는한국시각으로 6월 13일, 보안취약점들을제거하 기위한보안패치를배포하였다. 그러나위 3가지취약점중하나라도정상적으로악용될경우에는 [ 그림 1-82] 와같이동일한시스템에있는 info.exe(86,016바이트 ) 파일을다운로드하고실행한다. [ 그림 1-82] 취약점들이성공할경우다운로드되는 info.exe 파일 해당익스플로잇 3가지로인해다운로드된 info.exe 파일이실행되면윈도우시스템에존재하는정상 explorer.exe 프로세스의메모리영역에자신의코드를삽입한다. [ 그림 1-83] 메모리에덮어쓰인악성코드 자신의코드가정상적으로삽입되면, 다음과같은경로에자신의복사본을생성한다. 정상적으로접속되면 [ 그림 1-85] 와같이암호화된데이터를통신한다. [ 그림 1-85] C&C 서버와통신하는암호화된패킷 그리고공격자의명령에따라인터넷익스플로러와파이어폭스웹브라우저가접속을시도하는웹사이트를모니터링하고, 관련정보들을외부로유출한다. 이번에발견된, HP를사칭하여악성코드감염을목적으로한악의적인스팸메일은일반응용프로그램의취약점을악용하는웹익스플로잇툴킷과결합된형태이다. 이메일수신인과관련이없는의심스럽거나수상한스팸메일을받으면메일자체를삭제하고, 첨부된파일은절대로실행하지말아야한다. 또한평소자주사용하는응용프 이와동시에보안업체인맥아피 (McAfee) 는마이크로소프트가배포한보안패치 <Microsoft Security Bulletin MS Internet Explorer 누적보안업데이트 ( )> 에포함된 CVE 취약점을악용하는공격이실제발생하고있음을블로그 Active Zero-Day Exploit Targets Internet Explorer Flaw 를통해공개하였다. ASEC에서는추가조사를통해해당 CVE 취약점을악용하는악성코드가아래이미지와동일한스크립트형태의악성코드임을확인하였으며, 최초유포는홍콩에위치한특정시스템을통해진행되었다. 홍콩에위치한해당시스템에서는서로다른셸코드 (Shellcode) 를가진스크립트악성코드가동시에유포되었다. [ 그림 1-86] MS12-037(CVE ) 취약점을악용하는스크립트악성코드 해당 CVE 취약점은인터넷익스플로러가삭제된개체에액세스하는방식의오류로인해메모리가손상되어임의코드를 실행할수있는코드실행취약점이다. 그리고해당스크립트악성코드는 ROP(Return-Oriented Programming) 기법을이용하여윈도우시스템에포함되어있는메모리보호기능인 DEP(Data Execution Prevention) 와 ASLR(Address Space Layout Randomization) 를우회할수있도록제작되었다. 해당스크립트악성코드가정상적으로실행될경우에는스크립트에포함되어있는쉘코드에따라이탈리아에위치한특정시스템또는홍콩에위치한스크립트악성코드를유포한동일한시스템에서다른백도어악성코드들을다운로드하게된다. 이탈리아에위치한시스템과홍콩에위치한시스템에서다운로드되는악성코드들은감염된시스템에서프록시 (Proxy) 기능과함께하드웨어정보등시스템사용과관련된정보들을수집하여홍콩에위치한다른시스템으로전송하게된다. - HTML/CVE Win-Trojan/Injector BR - Dropper/Agent DX - Win-Trojan/Infostealer C 2012년 6월현재마이크로소프트에서는이번악성코드유포에악용된 CVE 취약점을제거하기위한보안패치 MS 를배포중에있음으로, 해당취약점으로인한악성코드감염을근본적으로차단하기위해서는해당보안패치를설치하여야만한다. 변형된형태의 XML 코어서비스취약점 (CVE ) 악용 ASEC에서는 6월 26일현재까지제로데이 (Zero-Day) 취약점인 XML 코어서비스취약점 (CVE ) 을악용한공격사례들이발생하고있다고공유한바있다. 최근해당 XML 코어서비스취약점을악용한다른형태의공격사례가발견되었으며, 이사례는 XML 코어서비스뿐만아니라자바 (JAVA) 와어도비플래시 (Adobe Flash) 취약점도같이악용하고있는것으로파악되었다. 이번에발견된 XML 코어서비스취약점을악용한사례는블랙홀 (Blackhole) 과같은웹익스플로잇툴킷 (Web Exploit Toolkit) 형태이다. 이형태의악성코드는스크립트들을기능별로분류하여단계적으로취약점을악용한다. 이렇게단계적으로취약점을악용하는공격형태는 [ 그림 1-87] 과같은전체적인구조를가지고있어, 일부스크립트들만분석해서는전체적인공격및취약점형태를파악하기어렵다.

15 29 30 [ 그림 1-87] XML 코어서비스취약점과함께다른취약점을같이악용 [ 그림 1-88] 악성코드내부에하드코딩되어있는 FTP 주소와계정 01. 악성코드동향 c. 모바일악성코드이슈 그러나분석당시에는해당 FTP 서버로정상적인접속이이루어지 지않았으며, 정상적인접속이이루어지면감염된시스템에설치되 해당 XML 코어서비스취약점등을악용한공격형태는 SQL 인젝션 (Injection) 공격기법등으로취약한웹페이지의하단에 Exploit. html 웹페이지로연결되는아이프레임 (iframe) 코드를삽입한다. 그리하여, 웹사이트방문자모르게아래의취약점들중하나가자동으로악용되도록구성되어있다. CVE Security Alert for CVE and CVE Released CVE APSB11-08 Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat CVE Microsoft Security Advisory( ) Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution 어있는보안제품정보들을전송할것으로추정된다. 이번에발견된 XML 코어서비스취약점을악용하는공격사례는앞서언급한바와같이 SQL 인젝션과같은공격기법으로취약한웹사이트를노리고있으므로웹사이트방문시각별한주의가필요하다. 6월까지 XML 코어서비스취약점에대한보안패치가아직제공되지않지만, 마이크로소프트는임시방안으로픽스잇 (Fix It) 을제공하므로이를설치하는것이중요하다. 그리고다른일반애플리케이션들의취약점들도동반하고있으므로평소자주사용하는애플리케이션들의보안패치를설치하는것도잊지말아야한다. zsone 안드로이드악성코드변종발견 2011년구글안드로이드마켓에등록 유포되었던 zsone 안드로이드악성코드변종이발견되었다. 이번에발견된 zsone 악성코드변종은예전처럼프리미엄 SMS를발송하는기능이포함되어있다. 애플리케이션설치화면에서 SMS 수신및발송권한사용을확인할수있다. 설치가완료되고애플리케이션을실행하면 Hello! 문자가출력된다. [ 그림 1-89] 애플리케이션설치화면 [ 그림 1-91] hello-jni.so 라이브러리로드루틴 libhello-jni.so 라이브러리내부에는 SMS 발송기능이포함되어있다. 해당취약점들이정상적으로동작하면중국에위치한특정시스템으로부터 win.exe(30,720바이트 ) 의파일이다운로드및실행된다. 해당 win.exe(30,720바이트 ) 파일은 XOR로인코딩 (Encoding) 되어있는파일로이를디코딩 (Decoding) 하면비주얼 C++(Visual C++) 로제작된실행가능한 PE 파일이생성된다. - JS/CVE HTML/Downloader - SWF/CVE JS/Downloader - JS/Redirect - JS/Redirector [ 그림 1-92] libhello-jni.so 라이브러리 다운로드된 win.exe(30,720 바이트 ) 파일이정상적으로디코딩된이 - Win-Trojan/Yolped 후에실행되면, 다음의배치 (BAT) 파일들과텍스트 (TXT) 파일을순 차적으로생성한다. - C:\4.bat(66바이트 ) - C:\2.txt(100바이트 ) - C:\3.bat(15바이트 ) APK 파일내부에는 libhello-jni.so 라이브러리파일이존재한다. [ 그림 1-90] APK 파일에포함된 libhello-jni.so 라이브러리 추가로디컴파일된코드를살펴보면, 이나 번호에서 SMS가수신되었을때 abortbroadcast() win.exe(30,720바이트 ) 파일에의해생성된 4.bat(66바이트 ) 는시스템공유폴더와윈도우방화벽을강제로종료한다. 2.txt는미국에위치한특정 FTP 서버로접속하는정보들이기록되어있다. 3.bat(15 함수를이용해다른리시버에게브로드캐스트되는것을방지한다. 이렇게 SMS를차단하거나가로채는기능은네이티브라이브러리에포함되어있지않다. 바이트 ) 는해당 FTP 정보들을바탕으로커맨드라인 (Command- Line) 명령으로접속을시도하는역할을한다. FTP 접속정보들은 [ 그림 1-88] 과같이 win.exe(30,720바이트 ) 파일내부에하드코딩된상태로기록되어있다. 해당악성코드의디컴파일코드를확인하면 libhello-jni.so 라이브러리를로드하는루틴을확인할수있다.

16 31 32 [ 그림 1-93] libhello-jni.so 의디컴파일코드 [ 그림 1-96] 악성앱의메인화면 악성행위를하는관련코드는 [ 그림 1-99] 와같다. [ 그림 1-99] AKB48 악성코드디컴파일코드 [ 그림 1-101] 에서 Import from Contacts 메뉴를선택한후, 실행하면스마트폰에저장되어있는전화번호체크리스트가나온다. 체크박스에표시한채로 Import Birthdays via SMS 버튼을클릭하면 확인창이나오며체크된사용자들에게아래그림과같은 SMS 를전 송한다. [ 그림 1-102] 사용자들에게보내는 SMS 내용 - Android-Trojan/SmsRaden - Android-Trojan/SmsRaden.B - Android-Trojan/Stampeg( ) 스마트폰사진을변조하는악성코드 [ 그림 1-97] 악성앱이요구하는사용권한 스마트폰앱이용할땐항상주의하세요 스마트폰카메라로찍은사진 ( 갤러리 ) 을특정이미지로바꿔버리는안드로이드악성애플리케이션이일본에서발견되었다. 이악성앱은일본의아이돌그룹 AKB48 의인기투표이벤트에사용된어플을위장하여비공식마켓을통해배포되었다. 최근수년동안스마트폰의보급이폭발적으로증가함에따라악성앱들의수도꾸준히증가하고있다. 최근우리나라에서도악성앱으로인해피해를입는사례가발견되어아래와같이앱을분석해보았다. 이과정에서메시지를보낸사람의전화번호부에다수의번호가저장되어있다면모든사람에게 SMS를보내므로사용자가의도치않게금전적피해를입을수있다. [ 그림 1-103] 메시지를보내는코드 [ 그림 1-94] 일본유명걸그룹 AKB48 ( 출처 : wiki) [ 그림 1-100] 피해신고접수된앱아이콘 피해신고가접수된앱은 Play 스토어 ( 안드로이드마켓 ) 에등록된앱 이악성코드는감염시특이한증상이있는데, 악성서비스를등록시키고이를통해카메라로찍은사진들 (JPG 파일 ) 을스캔하여특정이미지로교체하는것이다. [ 그림 1-98] 과같이무서운아기로카메라사진이전부교체되는것을볼수있다. [ 그림 1-98] 교체된이미지 으로 [ 그림 1-100] 과같은아이콘을갖고있다. 이앱은전화번호부나페이스북에있는친구들의생일을가져와사용자들에게알려주는기능을가진앱인데, 실행시화면은아래와같다. [ 그림 1-101] 앱의실행화면 코드분석시에도 [ 그림 1-101] 과같이확인창을선택했을때 SMS 를보냈고이과정에서피해를입은것으로보인다. 사용자에게확인창을띄어알린후에 SMS를전송했기때문에이앱을완전한악성앱으로분류하기에는어렵지만, 현재 V3 mobile은국내스마트폰사용자들의피해를줄이기위해이를애드웨어로진 단하고있다. [ 그림 1-95] 악성앱의아이콘및어플이름 - Android-Adware/SmsBomber

17 33 34 Zitmo 변형으로알려진안드로이드악성코드 ASEC에서는 <2012 예상스마트폰보안위협트렌드 > 를발표하며윈도우 PC에서감염및동작하는제우스 (Zeus) 악성코드의모바일버전인 Zitmo(Zeus In The Mobile) 가발견되었으며심비안 (Symbian), 블랙베리 (Blackberry) 를거쳐최근엔안드로이드 (Android) 플랫폼으로까지확장되었다고언급한바있다. 해당 Zitmo 안드로이드악성코드가실행되면 [ 그림 1-106] 과같이일반적인허위보안소프트웨어에서사용하였던기법과동일하게인증등록번호를입력하도록요구한다. [ 그림 1-106] 인증번호를요구하는 Zitmo 안드로이드악성코드 02. 보안동향 a. 보안통계 최근러시아보안업체카스퍼스키랩 (Kaspersky Lab) 은블로그 <Android Security Suite Premium = New ZitMo> 를통해새로운 Zitmo 변형이발견되었음을공개하였다. ASEC은추가조사를통해해당새로운 Zitmo 변형은구글의공식안드로이드앱스토어를통해유포된것이아니라, 인터넷에존재하는서드파티앱스토어를통해유포된것을파악하였다. 이번에발견된새로운 Zitmo 변형은안드로이드모바일운영체제에서감염및동작하도록되어있으며, 안드로이드운영체제에설치되면 [ 그림 1-104] 와같은허위보안소프트웨어로위장한다. [ 그림 1-104] 허위안드로이드보안제품아이콘을가진 Zitmo 악성코드안드로이드에감염되는허위보안소프트웨어는이번에처음발견된것이아니며, 2012년 5월국외보안업체아이콘으로위장한형태가발견된사례도있다. 그리고해당안드로이드악성코드는설치시에 [ 그림 1-105] 와같이감염된안드로이드모바일기기에서송 수신하는 SMS 접근권한과 SMS 발송권한등이사용됨을보여주고있다. [ 그림 1-105] Zitmo 안드로이드악성코드가사용하는권한들 그러나해당안드로이드악성코드는감염된안드로이드모바일기기에서정보들을수집하여특정 C&C 서버로전송한다. 해당안드로이드악성코드가수집 전송하는정보 - 휴대전화번호, Subscriber Id, Device Id, 모델명, 제작사, OS 버전, SMS - Android-Trojan/Zitmo - Android-Trojan/Zitmo.B - Android-Trojan/Zitmo.C - Android-Trojan/Zitmo.D 안드로이드모바일기기사용자들은인터넷웹사이트등을통해안드로이드앱을다운로드해설치하는것보다신뢰할수있는통신사나기기제조사가제공하는앱스토어를이용해다운로드및설치하는것이안전하다. 그리고안드로이드모바일기기에서도믿을수있는보안업체가개발한보안제품을설치하여주기적으로검사해야한다. 6월마이크로소프트보안업데이트현황 2012년 6월마이크로소프트사에서발표한보안업데이트는긴급 3건, 중요 4건이었다 [ 그림 2-1] 공격대상기준별 MS 보안업데이트 위험도긴급긴급긴급중요중요중요중요 취약점 MS 원격데스크톱의취약점으로인한원격코드실행문제점 MS Internet Explorer 누적보안업데이트 MS NET Framework의취약점으로인한원격코드실행문제점 MS Lync의취약점으로인한원격코드실행문제점 MS Microsoft Dynamics AX Enterprise Portal의취약점으로인한권한상승문제점 MS Windows 커널모드드라이버의취약점으로인한권한상승문제점 MS Windows 커널의취약점으로인한권한상승문제점 [ 표 ] 2012 년 6 월주요 MS 보안업데이트

18 보안동향 b. 보안이슈 [ 그림 2-5] xml core services 취약점공격해당스크립트악성코드에포함된셸코드가작동되면홍콩에위치한특정시스템에서 css.exe (32,936바이트) 를다운로드한후실행한다. 해당파일이실행되면윈도우운영체제에서실행되는정상프 로세스인 explorer.exe 의스레드로자신의코드들을 [ 그림 2-7] 과 같이삽입한다. [ 그림 2-7] explorer.exe 프로세스메모리에덮어쓰여진악성코드 IE 동일한 ID 속성원격코드실행취약점 (CVE ) MS Internet Explorer 누적보안업데이트는총 13개의취약점에대한패치를포함하고있어안전한인터넷사용을위해서는보 6월에마이크로소프트가발표한 MS Internet Explorer 누적보안업데이트에포함된패치중 CVE 에해당하는동일한 ID 속성을사용하는원격코드실행취약점의인터넷상공격코드가공개되었다. 현재이취약점을이용한공격사례들이많이보고되고있어주의가필요하다. 이번취약점은 img 태그와 div 태그에서동일한 ID 속성값을사용하는경우에발생하는메모리손상 (Memory Corruption) 버그이며 use-after-free가원인이다. Use-after-free 버그는힙메모리에할당 (use) 받아서사용하고해제 (free) 한후에, 다시해당값을사용할때발생한다. [ 그림 2-2] 동일한 ID 속성을사용하는취약점발생코드 현재보고된바에따르면 CVE 는 Internet Explorer 8에만해당되는취약점으로 IE8을이용하고있다면주의가필요하다. CVE 취약점을공격하는코드는 html 기반이며메일이 안패치를먼저실시하는것이필요하다. XML 코어서비스의취약점으로인한원격코드실행문제점 (CVE ) 6월 MS 보안패치가발표된직후에발견된 MS XML 코어서비스 (Core Services) 에대한제로데이공격이발생한사실이알려져 MS 에서권고문을발표했다. 현재 XML 코어서비스취약점에대한보안패치는없으며, 임시방편으로 MS 권고문 ( 보안권고 ) 에서제공하는마이크로소프트픽스잇솔루션을통해해결이가능한상태이다. 그러나해당취약점을이용한공격사례들이많이보고되고있으며, 최근에는기존취약점들 (Java CVE , Flash CVE 등 ) 과결합된복합적인공격형태도보이고있다. 해당취약점은 msxml의 definition 함수에서초기화되지않은메모리의개체에접근하려고시도할때발생하여, 해당접근으로인해메모리가손상되어악의적인코드를실행할수있게된다. [ 그림 2-4] msxml3.dll crash 화면 이러한공격을방어하기위해서는알려지지않은특이한웹사이트방문을최소화하며인터넷익스플로러이외의빠른자동업데이트보안을제공하는크롬 (Chrome) 및파이어폭스등의사용을고려해볼수있다. XML 코어서비스취약점 (CVE ) 악용증가 2012년 6월 12일마이크로소프트는 XML 코어서비스에서알려지지않은제로데이취약점이발견되었음을보안권고문 <Microsoft Security Advisory ( ) Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution> 을통해공개했다. 해당취약점은공격자가지정한임의코드를실행할수있는코드실행취약점이며, 해당 XML 코어서비스를사용하는윈도우운영체제와오피스 2003, 2007 버전에서악용할수있다. 해당취약점은현재까지도마이크로소프트에서보안패치를제공하지않는제로데이취약점이며, 임시방안으로해당취약점을제거할수있는픽스잇 (Fix it) 을보안공지 <Microsoft 보안공지 : Microsoft XML Core Services의취약성으로인한원격코드실행문제 > 를통해배포하고있다. 그리고자신의코드들이정상적으로스레드인젝션되면구글의공개용 DNS 서버로질의를송신하여감염된시스템이인터넷에정상적으로연결되는지확인한다. 그후싱가포르에위치한특정시스템에접속을시도한다. 분석당시에는해당시스템으로정상적인접속이이루어지지않았다. 해당악성코드는감염된시스템에서하드웨어정보, 운영체제정보및커맨드라인 (Command-Line) 명령을실행한다. 앞서언급한바와같이, 해당 XML 코어서비스취약점은보안패치가제공되지않는제로데이취약점이므로각별한주의가필요하다. 임시방편으로마이크로소프트에서제공하는픽스잇을설치할수있다. 이번에발견된해당 XML 코어서비스취약점을악용하는악성코드들은 V3 제품군에서다음과같이진단한다. 나악의적인웹사이트를통해악성코드를감염시키고있다. 아울러 해당 XML 코어서비스를악용하는스크립트악성코드가국외에서 사용되는코드에는 ROP(return-oriented programming) 기법이내 발견되는사례가서서히증가하고있어주의가필요하다. 최근발 - JS/Agent 장되어있어 DEP, ASLR 등의윈도우보안메커니즘을우회한다. 해 견된해당제로데이취약점을악용하는스크립트악성코드는 [ 그림 - Win-Trojan/Dekor 당공격코드는인터넷익스플로러를사용하는 XP 시스템뿐만아니 2-6] 과같은형태의셸코드 (Shellcode) 가구성되어있다. 라윈도우 7 에도영향을줄수있다. [ 그림 2-3] ROP Exploit 기법 [ 그림 2-6] XML 코어서비스취약점을악용하는스크립트악성코드 <TrusGuard 탐지명 > - http_ie_heap_spray_attack-4(http) 알려진 Exploit 들은 CLASS ID 값으로 F6D90F11-9C73-11D3- - ms_xml_core_ B32E-00C04F990BB4 를쓰며 definition 함수를이용하여 Heap spray 기법을통해공격하며변형된형태들도많다.

19 웹보안동향 a. 웹보안통계 월별악성코드유형 2012 년 6 월의악성코드유형은전달의 471 건에비해 13% 줄어든 409 건이었다. 1,000 웹사이트악성코드동향 안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하 % % % 면, 2012 년 6 월악성코드를배포하는웹사이트를차단한건수는총 9850 건이었다. 악성코드유형은 0 총 409 종, 악성코드가발견된도메인은 241 개, 악성코드가발견된 URL 은 792 개였다. 이는 2012 년 5 월과비교할때전반적으로감소한수치이다. [ 그림 3-2] 월별악성코드유형수변화추이 악성코드배포 URL 차단건수 12,727 9,850 악성코드유형악성코드가발견된도메인악성코드가발견된 URL [ 표 3-1] 웹사이트악성코드동향 -22.6% , 월별악성코드가발견된도메인 2012년 6월악성코드가발견된도메인은 241건으로 2012년 5월의 313건에비해 23% 감소했다 % % % 월별악성코드가차단된 URL 2012 년 6 월악성코드배포웹사이트 URL 접근에대한차단건수는지난달 1 만 2727 건에비해 23% 감소한 9850 건이었다. [ 그림 3-3] 월별악성코드가발견된도메인수변화추이 월별악성코드가발견된 URL 2012년 6월악성코드가발견된 URL은전월의 1430건에비해 45% 감소한 792건이었다. 25,000 20,000 15,000 10,000 19, % -7,198 12, % 9,850-2, % 3,000 2,250 1, , % , % % 0 0 [ 그림 3-1] 월별악성코드배포 URL 차단건수변화추이 [ 그림 3-4] 월별악성코드가발견된 URL 수변화추이

20 39 40 악성코드유형별배포수 악성코드최다배포수 악성코드유형별배포수를보면트로이목마가 4971 건 /50.5% 로가장많았고, 드롭퍼가 949 건 /9.6% 인것으로조사됐다. 악성코드배포최다 10 건중에서 Win-Trojan/Adload W 가 1245 건으로가장많았고 Trojan/ Win32.BHO 가 914 건으로그뒤를이었다. 유형 건수 비율 TROJAN 4, % DROPPER % DOWNLOADER % ADWARE % APPCARE % Win32/VIRUT % JOKE % SPYWARE 5 0.1% ETC 2, % 9, % [ 표 3-2] 악성코드유형별배포수 순위 등락 악성코드명 건수 비율 1 NEW Win-Trojan/Adload W 1, % 2 NEW Trojan/Win32.BHO % 3 NEW Win32/Parite % 4-3 Trojan/Win32.HDC % 5-1 ALS/Qfas % 6-4 Downloader/Win32.Korad % 7-4 ALS/Bursted % 8 NEW Dropper/Onlinegamehack B % 9-3 Trojan/Win32.SendMail % 10 NEW Win-AppCare/Wlwhs % 5, % [ 표 3-3] 악성코드배포최다 10건 TROJAN 4,971 5,000 ETC 2,669 DROPPER 949 DOWNLOADER 443 2,500 ADWARE 413 APPCARE 296 Win32/VIRUT 88 JOKE 16 SPYWARE 5 0 [ 그림 3-5] 악성코드유형별배포수

21 년 2 분기보안동향 01. 악성코드동향 a. 악성코드통계 2012 년 2 분기악성코드최다 20 건 악성코드대표진단명 2 분기최다 20 건 ASEC이집계한바에따르면, 2012년 2분기에감염이보고된악성코드는전체 3500만 5368건인것으 로나타났다. 이는 2012년 1분기의 4143만 4881건에비해 642만 9513건이감소한수치다. 이중에서 가장많이보고된악성코드는 Mov/Cve 이다. Trojan/Win32.adh와 Trojan/Win32.Gen이그 다음으로많이보고됐으며최다 20건에새로포함된악성코드는총 10건이었다 ([ 표 4-1]). 순위 등락 악성코드명 건수 비율 1 NEW Mov/Cve ,744, % 2 1 Trojan/Win32.adh 1,522, % 3 1 Trojan/Win32.Gen 1,347, % 4 2 Textimage/Autorun 997, % 5 11 ASD.PREVENTION 948, % 6 4 JS/Agent 926, % 7 2 Malware/Win32.generic 882, % 8 NEW Trojan/Win32.bho 756, % 9 1 Adware/Win32.korad 634, % 10 NEW Mov/Cve , % 11 2 Downloader/Win32.agent 495, % 12 3 Trojan/Win32.agent 392, % 13 NEW Als/Bursted 350, % 14 NEW Trojan/Win32.sasfis 323, % 15 NEW Malware/Win32.suspicious 316, % 16 NEW JS/Exploit 291, % 17 NEW Downloader/Win32.opentab 286, % 18 NEW Adware/Win32.winagir 259, % 19 NEW RIPPER 257, % 20 5 Java/Agent 245, % 13,587, % [ 표 4-1] 2012년 2분기악성코드최다 20건 ( 감염보고, 악성코드명기준 ) [ 표 4-2] 는악성코드의주요동향을파악하기위하여악성코드별변종을종합한악성코드대표진단명최 다 20건이다. 2012년 2분기에는 Trojan/Win32가총 639만 8533건으로최다 20건중 27.2% 의비율로 가장많이보고된것으로조사됐다. 또한 Adware/Win32가 186만 4466건, Mov/Cve (174 만 4492건 ) 도많이보고된것으로나타났다. 순위 등락 악성코드명 건수 비율 1 Trojan/Win32 6,398, % 2 Adware/Win32 1,864, % 3 NEW Mov/Cve ,744, % 4 3 Downloader/Win32 1,323, % 5 1 Win-Trojan/Agent 1,319, % 6 Malware/Win32 1,284, % 7 1 Win-Trojan/Downloader 1,038, % 8 3 Win-Adware/Korad 1,032, % 9 Textimage/Autorun 997, % 10 7 JS/Agent 953, % 11 NEW ASD 948, % 12 2 Win-Trojan/Onlinegamehack 866, % 13 NEW Mov/Cve , % 14 2 Win-Trojan/Korad 514, % 15 4 Backdoor/Win32 511, % 16 3 Win32/Conficker 482, % 17 5 Win32/Virut 447, % 18 NEW Win-Trojan/Rootkit 429, % 19 1 Dropper/Win32 388, % 20 5 Win32/Kido 378, % 23,533, % [ 표 4-2] 악성코드대표진단명 2분기최다 20건

22 년 2 분기악성코드유형별감염보고 2012 년 2 분기신종악성코드 [ 그림 4-1] 은 2012 년 2 분기동안안랩고객으로부터감염이보고된악성코드의유형별비율을집계한 결과다 년 2 분기의악성코드를유형별로살펴보면, 트로이목마가 41%, 스크립트가 7.1%, 웜이 7% 인것으로나타났다. [ 표 4-3] 은 2012 년 2 분기에신규로접수된악성코드중고객으로부터감염이보고된최다 20 건이다 년 2 분기신종악성코드는 TextImage/Autorun 이 99 만 5935 건으로전체의 20.7% 로가장많았으며, JS/Agent 가 92 만 6910 건으로그다음으로많이보고됐다. ADWARE APPCARE DOWNLOADER DROPPER ETC SCRIPT SPYWARE TROJAN VIRUS WORM [ 그림 4-1] 2012 년 2 분기악성코드유형별감염비율 2012 년 2 분기신종악성코드유형별감염보고 4.2% 0.2% 0.2% 2.8% 34.4% 7.1% 0.5% 41.0% 2.6% 7% TROJAN 41.0% SCRIPT 7.1% Worm 7.0% OTHER 44.9% 2012 년 2 분기의신종악성코드유형을보면트로이목마가 43% 로가장많았고, 스크립트가 14%, 웜이 10% 였다. 순위 악성코드명 건수 비율 1 TextImage/Autorun 995, % 2 JS/Agent 926, % 3 ALS/Bursted 350, % 4 JS/Exploit 291, % 5 JAVA/Agent 238, % 6 HTML/IFrame 190, % 7 Win32/Olala.worm , % 8 Win-Trojan/Rootkit D 176, % 9 Win32/Virut.F 164, % 10 Win32/Induc 158, % 11 Win-Trojan/Dllbot C 147, % 12 Win-Trojan/Rootkit C 147, % 13 JAVA/Cve , % 14 Win-Trojan/Agent T 115, % 15 Win32/Kido.worm , % 16 Win32/Conficker.worm , % 17 Win-Trojan/Korad , % 18 Java/Exploit 97, % 19 Win32/Virut.E 94, % 20 HTML/Agent 92, % 4,807, % [ 표 4-3] 2012년 1분기신종악성코드최다 20건 [ 그림 4-2] 2012 년 2 분기신종악성코드유형별분포

23 웹보안동향 a. 웹보안통계 2012 년 1 분기웹사이트악성코드동향 악성코드유형별배포수 안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하 면, 2012 년 2 분기악성코드배포웹사이트 URL 접근에대한차단건수는 2012 년 1 분기의 14 만 800 악성코드유형별배포수를보면트로이목마가 1 만 6820 건 /39.6% 로가장많았고, 애드웨어가 4929 건 /11.6% 인것으로조사됐다. 건에비해 70% 감소한 4 만 2502 건이었다. 악성코드유형은전분기의 1920 종에비해 25% 줄어든 1436 종이었다. 악성코드가발견된도메인은전분기의 1489 건에비해 38% 감소한 920 건이었다. 악 성코드가발견된 URL 은전분기의 1 만 8740 건에비해 78% 감소한 4189 건이었다. TROJAN 16,820 20,000 ETC 11,381 악성코드발견건수 140,800 42,502 악성코드유형악성코드가발견된도메인악성코드가발견된 URL 1,920 1,436 1, % 18,740 4, / /4 ADWARE 4,929 DOWNLOADER 4,441 DROPPER 3,531 [ 그림 5-1] 2012 년 2 분기악성코드유형별배포수 Win32/VIRUT 551 APPCARE 463 SPYWARE 231 JOKE ,000 0 [ 표 4-4] 2012 년 2 분기웹사이트보안요약 악성코드배포최다수 악성코드배포최다 10 건중에서 Downloader/Win32.Korad 가 2361 건으로가장많았고 Trojan/ Win32.HDC 가 2165 건으로뒤를이었다. 순위등락악성코드명건수비율 유형 건수 비율 TROJAN 16, % ADWARE 4, % DOWNLOADER 4, % DROPPER 3, % Win32/VIRUT % APPCARE % SPYWARE % JOKE % ETC 11, % 42, % [ 표 5-2] 2012년 2분기악성코드유형별배포수 1 2 Downloader/Win32.Korad 2, % 2 NEW Trojan/Win32.HDC 2, % 3 3 Win-Adware/ToolBar.Cashon , % 4 NEW ALS/Bursted 1, % 5 NEW ALS/Qfas 1, % 6-2 Downloader/Win32.Totoran 1, % 7-2 Dropper/Small.Gen 1, % 8 NEW Win-Trojan/Adload W 1, % 9 NEW Trojan/Win32.ADH 1, % 10 NEW Unwanted/Win32.WinKeyfinder 1, % 15, % [ 표 5-3] 2012년 2분기악성코드배포최다 10건

24 보안동향 a. 보안통계 년상반기보안동향 2012 년상반기에는 2011 년처럼대규모 DDoS 공격이나내부정보유출과같은사회적으로이슈가될 2분기마이크로소프트보안업데이트현황 2012년 2분기에마이크로소프트는총 20건의보안업데이트를발표하였다. 1분기보다조금줄어든수의보안패치가발표되었으며, 1분기와마찬가지로시스템분야의취약점이 35% 를차지하고있다. 5월과 6월에보안패치가동일하게 7건으로많이발표되었으며. 패치의중요도인 긴급 도많은비중을차지하고있다. 6월보안패치에는 Internet Explorer의누적업데이트를제공하고있어, 인터넷이용자라면보안패치를적용할것을권고한다. 또한오피스취약점의비율도꾸준한상태로신뢰하지않은이용자에게온메일의오피스첨부파일에대해주의가필요하다. 만한커다란보안사고는발생하지않았다. 그러나, 다양한경로를악용해악성코드가유포됐으며, 사회적혼란을야기하는대형침해사고보다는특정조직을대상으로은밀하게진행되는 APT 형태의공격들이다수발견됐다. 1. 정보유출목적의 APT(Advanced Persistent Threat) 공격증가 2012년상반기에발견된보안위협들의특징중하나는내부정보유출을꾀하는 APT 공격이증가했다는점이다. 상반기국내에서발견된 APT 공격들을살펴보면, 취약한전자문서파일이첨부된이메일을이용해내부시스템의악성코드감염을시도한사례가많았다. 공격대상기준별 MS 보안업데이트분류 이메일의첨부파일을이용한공격기법은공통적으로메일내용에사회적이슈를포함하거나흥미로운 주제를제시해첨부된전자문서파일을열어보도록유도한다. 또한 MS 워드, 어도비리더, 아래아한글 등이메일에첨부되는전자문서파일들의취약점을악용하여악성코드감염을시도하고있다. 취약한 Application 25% System 35% 전자문서들로인해감염되는악성코드대부분이외부에서감염 PC 를원격제어및모니터링하여내부 중요정보들을외부로유출하기위한것이다. Server 0% Office 30% IE 10% [ 그림 5-2] 공격대상기준별 MS 보안업데이트 [ 그림 7-1] 취약한 PDF 파일이첨부된이메일

25 개인정보탈취용악성코드지속 온라인게임관련개인정보를탈취하려는악성코드들이끊임없이새로운변형을만들어내며주말마다 취약한웹사이트들을공략하고있다. 이러한현상은하나의국내보안위협특성으로굳어졌을정도다. 취약점이악용되는일반애플리케이션들의형태는크게전자문서, 웹브라우저, 그리고웹애플리케이션 으로구분할수있다. 이를다시제품별로구분하면, 전자문서는주로마이크로소프트워드 (DOC) 와어 도비리더 (PDF) 취약점들이주로악용되고있다. 웹브라우저는마이크로소프트의인터넷익스플로러취 약점악용사례가대다수다. 웹애플리케이션의경우에는어도비플래시취약점악용사례가빈번하게 온라인게임관련악성코드들은윈도우시스템파일들을패치하거나변경하는형태로보안소프트웨어 발생하고있다. 의탐지를우회하는공격을시도하고있으며, 더불어직접적으로보안소프트웨어를무력화하기위한시 도도지속하고있다. 이와달리, 2012 년상반기들어국내에서처음으로악용되기시작한일반애플리케이션의취약점들로는 MS 윈도우미디어플레이어관련취약점과자바관련취약점 (CVE ) 들이있다. 이러한온라인게임관련악성코드들과함께 2012 년상반기에는온라인뱅킹에사용되는개인금 융정보들을탈취하기위한악성코드들이발견되었다. 해당악성코드는허위로제작된금융업체피싱 (Phishing) 웹사이트들과연동하여보안카드비밀번호와공인인증서같은개인금융정보의탈취를시 이처럼범용애플리케이션들의취약점을악용한악성코드유포형태외에도, 우리나라에서만사용되는 아래아한글소프트웨어 (HWP) 에존재하는취약점들을악용하는사례들도 2012 년상반기에다수발견되 었다. 도했다. [ 그림 7-2] 악성코드에의해생성된허위공인인증서확인창 한편, 유명포털웹사이트들의로그인에사용되는개인정보를탈취하는악성코드들역시 2012 년상반 기에발견되었다. 이악성코드들은유명포털웹사이트의로그인형태를변조하거나키보드입력을가 로채는키로깅 (Keylogging) 기능을이용하여사용자계정과암호를외부로유출하는수법을사용했다. [ 그림 7-3] 아래아한글소프트웨어의취약점을악용한한글파일 과거온라인게임의아이템탈취를목적으로했던악성코드들과비교하여, 2012 년상반기에발견된개 인정보탈취형태의악성코드들은직접적인금전적인이윤을목적으로하거나다양한용도로악용이가 능한포털웹사이트개인정보들을목적으로했다는점에서차이가있다. 취약점악용을통해유포되는악성코드들의형태면에서도, 마이크로소프트워드, 어도비리더, 아래아한 글소프트웨어와같은전자문서형태의애플리케이션취약점들은특정조직들을대상으로하는 APT 형 태의공격에사용되는빈도가비교적높다. 3. 애플리케이션취약점을이용한악성코드기능범용적으로사용되는일반애플리케이션들의취약점을악용한악성코드유포형태가 2012년상반기에도동일한형태로이어졌다. 이와함께특정국가에서만사용되는국지적성향의애플리케이션취약점을악용하는악성코드도창궐했다는점이 2012년상반기의특징이다. 반면에, 마이크로소프트인터넷익스플로러, 어도비플래시, 자바와같은웹브라우저와웹애플리케이션에존재하는취약점들은일반 PC 사용자들의온라인게임관련개인정보들을탈취하는악성코드유포에자주활용된다. 특히, 5월 30일발견된것으로알려진마이크로소프트의 XML 코어서비스취약점 (CVE ) 은한달이넘는장시간에걸쳐악용되고있는제로데이취약점이다. 이역시온라인게임관련개인정보들을탈취하는악성코드유포에악용되고있다.

26 모바일악성코드유포경로다양화 2012년상반기에발견된안드로이드악성코드들은수치면에서지속적으로증가하고있다. 2012년상반기에발견된안드로이드악성코드들은정상적인안드로이드앱으로위장하여유포된다는면에서는기존과동일하지만유포경로면에서는 2011년하반기와다른특징을보이고있다. 기존안드로이드악성코드들은구글에서운영하는앱스토어나인터넷에존재하는서드파티앱스토어 (3rd Party Appstore) 를주요유포지로악용하였다. 그러나 2012년상반기에는악성코드제작자에의해제작된허위앱스토어나허위유명앱배포웹사이트, 그리고트위터 (Twitter) 등의소셜네트워크 (Social Network) 를새로운유포지로악용하는사례들이발견되었다. [ 그림 7-5] 스마트폰 SMS 으로전달된피싱웹사이트주소와모바일피싱웹사이트 이러한피싱기법이개발되었다는점은국내에서스마트폰사용자층이많으며, 스마트폰을이용해온라 인뱅킹이가능하다는특징들을분석하여악용하였다는점에서피싱웹사이트제작자들은우리사회와 문화에대한높은이해를가지고있다고볼수있다. [ 그림 7-4] 허위안드로이드마켓에서유포중인안드로이드악성코드들 이러한현상은구글에서앱스토어를통해유통되는안드로이드앱들에대한보안검사가강화됐기때문이다. 다수의사용자들이이용하는서드파티앱스토어의평판등에의해기존의유포경로들을통해서는안드로이드악성코드유포가어려워진것이다. 이때문에안드로이드악성코드제작자들역시기존과다른새로운유포경로를확보하려고노력하고있다. 5. PC와모바일동시겨냥한피싱사이트등장 2012년상반기에발생한보안위협들중특이한사례중한가지로피싱웹사이트의광범위한유포를들수있다. 특히스마트폰부터일반 PC까지, 피싱웹사이트접속에사용되는단말기의특징들에맞추어진피싱웹사이트가제작되었다는점이과거와는다르다고할수있다 년상반기에발생한피싱웹사이트유포사례의특징들을살펴보면, 스마트폰의 SMS 로피싱웹사 이트주소를전달하는기법이유행했고, 모바일웹브라우저의규격에맞추어진피싱웹사이트가제작 되었다.

27 VOL. 30 ASEC REPORT Contributors 집필진책임연구원선임연구원선임연구원주임연구원연구원 이정형안창용장영준문영조강민철 참여연구원 ASEC 연구원 SiteGuard 연구원 편집장선임연구원 안형봉 편집인 안랩세일즈마케팅팀 디자인 안랩 UX 디자인팀 감수 전 무 조시행 발행처 주식회사안랩경기도성남시분당구삼평동 673 ( 경기도성남시분당구판교역로 220) T F Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved.