AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구

Transcription

1 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. ASEC REPORT VOL 안철수연구소월간보안보고서 이달의보안동향 211년보안동향분석 211년세계보안동향 212년보안위협예측

2 AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구소의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 ( 에서확인하실수있습니다. CONTENTS 1. 이달의보안동향 1. 악성코드동향 년보안동향분석 1. 악성코드동향 a. 악성코드통계 5 a. 악성코드통계 25 - 악성코드감염보고최다 2 - 악성코드대표진단명감염보고최다 2 - 악성코드유형별감염보고비율 - 악성코드유형별감염보고전월비교 - 악성코드월별감염보고건수 - 신종악성코드감염보고최다 2 - 신종악성코드유형별분포 - 악성코드감염보고연간최다 2 - 악성코드대표진단명감염보고연간최다 2 - 악성코드유형별연간감염보고비율 - 악성코드월별연간감염보고건수 - 연간신종악성코드감염보고최다 2 - 연간신종악성코드유형별분포 b. 악성코드이슈 1 b. 악성코드이슈 29 - 김정일위원장사망을이용한애드웨어유포 - 김정일위원장사망을악용한악성전자문서파일유포 - 국내연예인사생활동영상으로위장한악성코드유포 년버전으로위장한허위클라우드백신 - 악성코드를위한안티바이러스체크웹사이트 - 아크로뱃제로데이취약점을악용한타깃공격 - 여러가지취약점을이용한제우스봇전파메일발견 - 구글안드로이드마켓에업로드된악성애플리케이션 2. 시큐리티동향 a. 시큐리티통계 년마이크로소프트보안업데이트현황 3. 웹보안동향 2. 시큐리티동향 a. 웹보안통계 33 a. 시큐리티통계 월마이크로소프트보안업데이트현황 3. 웹보안동향 a. 웹보안통계 21 - 웹사이트보안요약 - 월별악성코드발견건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위최다 1 - 웹사이트보안요약 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위 b. 웹보안이슈 24 b. 웹보안이슈 36 - 침해사이트현황 년세계보안동향 세계보안동향 년 12 월침해사이트현황 년보안위협예측 보안위협예측 4

3 Web 이달의보안동향 1. 악성코드동향 a. 악성코드통계 악성코드감염보고최다 2 악성코드대표진단명감염보고최다 년 12 월악성코드감염보고는지난달과마찬가지로 JS/Agent 가가장많았다. Exploit/Cve 과 Swf/Dropper 가그다음으로많이보고됐으며새로발견된악성코드는최다 2 건중총 7 건이었 다 ([ 표 1-1]). [ 표 1-2] 는악성코드의주요동향을파악하기위하여, 악성코드별변종을종합한악성코드대표진단명 감염보고최다 2 건이다. 211 년 12 월의감염보고건수는 JS/Agent 가총 142 만 6157 건으로전체 2 건중 16.5% 의비율로가장빈번히보고된것으로조사됐다. Win-Trojan/Agent 가 14 만 9476 건, Win- Adware/Korad 이 77 만 7141 건으로그뒤를이었다. 순위 등락 악성코드명 건수 비율 1 JS/Agent 1,414, % 2 1 Exploit/Cve , % 3 6 Swf/Dropper 62,84 1. % 4 NEW Java/Cve , % 5 NEW Swf/Exploit 472, % 6 2 Textimage/Autorun 464, % 7 3 Html/Agent 312, % 8 3 Win-Trojan/Agent T 196, % 9 7 JS/Downloader 163, % 1 NEW Html/Iframe 16, % 11 3 JS/Redirector 15, % 12 1 Swf/Agent 115, % 13 2 JS/Exploit 18, % 14 NEW JS/Cve cc 16, % 15 9 Swf/Cve , % 16 4 Als/Bursted 97, % 17 2 Win32/Induc 95, % 18 NEW JS/Shellcode 89, % 19 NEW Win-Trojan/Adload B 85, % 2 NEW JS/Cve , % 5,998, % [ 표 1-1] 악성코드감염보고최다 2 순위 등락 악성코드명 건수 비율 1 JS/Agent 1,426, % 2 Win-Trojan/Agent 1,49, % 3 2 Win-Adware/Korad 777, % 4 Exploit/Cve , % 5 11 Swf/Dropper 62,84 7. % 6 NEW Java/Cve , % 7 NEW Swf/Exploit 472, % 8 2 Textimage/Autorun 464, % 9 Win-Trojan/Onlinegamehack 457, % 1 8 Html/Agent 312, % 11 4 Win-Trojan/Downloader 282, % 12 NEW Win-Trojan/Korad 213, % 13 3 Win32/Conficker 211, % 14 1 Win32/Virut 197, % 15 3 Win32/Autorun.worm 186, % 16 4 Win-Downloader/Korad 179, % JS/Downloader 163, % 18 4 Win32/Kido 162, % 19 NEW Html/Iframe 16, % 2 5 JS/Redirector 15, % 8,645, % [ 표 1-2] 악성코드대표진단명감염보고최다 2

4 Web 7 8 악성코드유형별감염보고비율 악성코드월별감염보고건수 [ 그림 1-1] 은 211 년 12 월한달동안안철수연구소가고객으로부터감염이보고된악성코드의유형별감염 비율을집계한결과다. 211 년 12 월의악성코드를유형별로살펴보면, 감염보고건수비율은스크립트 (Script) 12 월의악성코드월별감염보고건수는 1465 만 7593 건으로 11 월의 1255 만 9154 건에비해 29 만 8439 건이증가했다. 가 3.1%, 트로이목마 (Trojan) 가 27.5%, 애드웨어 (Adware) 가 9.4% 로나타났다 % 2,, ADWARE APPCARE DOWNLOADER DROPPER ETC SCRIPT SPYWARE TROJAN VIRUS 9.4%.4% 1.5% 3.2% 16.7% 3.1%.6% 27.5% 2.9% SCRIPT 3.1% TROJAN 27.5% ADWARE 9.4% OTHER 33.% 18,, 16,, 14,, 12,, 1,498, % +2,6,511 12,559, % +2,98,439 14,657, % WORM [ 그림 1-1] 악성코드유형별감염보고비율 7.7% [ 그림 1-3] 악성코드월별감염보고건수 악성코드유형별감염보고전월비교 신종악성코드유형별분포 [ 그림 1-2] 는악성코드유형별감염보고비율을전월과비교한것이다. 애드웨어, 다운로더 (Downloader), 스파이웨어 (Spyware) 가전월에비해증가세를보이고있는반면, 트로이목마, 웜 (Worm), 12 월의신종악성코드유형을보면트로이목마가 41% 로가장많았고, 애드웨어가 24%, 스크립트가 6% 였다. 드로퍼 (Dropper), 바이러스 (Virus) 는전월에비해감소한것을볼수있다. 스크립트와애프케어 (Appcare) 계열들은전월수준을유지했다. [ 그림 1-2] 악성코드유형별감염보고전월비교 [ 그림 1-4] 신종악성코드유형별분포

5 Web 9 1 신종악성코드감염보고최다 2 [ 표 1-3] 은 12 월에신규로접수된악성코드중고객으로부터감염이보고된악성코드최다 2 건이다. 12 월에감염보고된신종악성코드는 JAVA/Cve 이 5 만건이넘어전체의 29.5% 로가장 1. 악성코드동향 b. 악성코드이슈 많았으며, JS/Cve cc 도 1 만건이넘게보고됐다. 순위악성코드명건수비율 1 JAVA/Cve , % 2 JS/Cve cc 16, % 3 Win-Trojan/Adload B 85, % 4 Win-Trojan/Agent , % 5 Win-Spyware/Agent F 76, % 6 Win-Adware/KorAd , % 7 Win-Adware/KorAd , % 8 Win-Trojan/Onlinegamehack ,53 4. % 9 Win-Trojan/Agent , % 1 Dropper/Tesa , % 11 Win-Adware/KorAd , % 12 Win-Trojan/Sadenav , % 13 Win-Trojan/Agent , % 14 Win-Trojan/Korad.4556.B 52, % 15 Win-Trojan/Agent CW 49, % 16 JS/Expliot 49, % 17 Win-Trojan/Korad , % 18 Win-Adware/KorAd , % 19 Win-Adware/StartPage , % 2 Win-Trojan/Agent S 42, % 1,696, % [ 표 1-3] 신종악성코드감염보고최다 2 김정일위원장사망을이용한애드웨어유포 211년 12월 19일, 북한방송을통해김정일위원장의사망소식이전세계에알려진다음날이를악용한애드웨어유포사례가발견됐다. 해당애드웨어는 [ 그림 1-5] 와같이김정일위원장의사망관련동영상시청을위해유튜브페이지의단축 URL을클릭하도록유도하고있다. [ 그림 1-5] 애드웨어유포를위한단축 URL이포함된유튜브페이지 림 1-6] 의웹사이트에서는정상적인동영상시청을위해 [ 그림 1-7] 과같이특정툴바를설치하도록권유한다. [ 그림 1-7] 동영상시청을위해툴바설치를권유하는페이지사용자가설치에동의하지않아체크박스를해제해도 Start 버튼을클릭하면 [ 그림 1-8] 과같이 Setup.exe 파일을다운로드하게된다. [ 그림 1-8] 툴바다운로드페이지 [ 그림 1-6] 단축 URL 을통해연결된웹페이지 해당단축 URL 을클릭하면 [ 그림 1-6] 의웹페이지로연결된다. [ 그 다운로드된 Setup.exe를실행하면사용자의동의없이특정시스템으로부터다른파일들을다운로드및실행한다. 설치가완료되면 [ 그림 1-9] 와같이사용자가동의하지않은인터넷

6 ASEC REPORT 11 Web 익스플로러 툴바가 나타난다. 또한 인터넷 익스플로러의 시작 페이 [그림 1-11] CVE 취약점을 악용하는 어도비 플래시 파일 12 -HKCU\Software\Microsoft\Windows\CurrentVersion\Run 지를 특정 웹 사이트로 변경하고 사용자가 입력하는 검색 키워드들 GoogleUpd = ""C:\Documents and Settings\[사용자 계정명]\ 을 가로채 특정 시스템으로 전송한다. Local Settings\Application Data\GoogleUpdate.exe"" [그림 1-9] 사용자 동의 없이 설치된 툴바 [그림 1-14] 유명 연예인 A양 동영상을 다운로드하도록 유도하는 트위터 계정 abc.scr에 의해 생성된 GoogleUpdate.exe 파일은 감염된 시스템의 인터넷 접속 여부를 확인하기 위해 구글 웹 사이트로 접속한 후, 특 정 시스템들 중 하나로 역접속(Reverse Connection)하여 공격자가 지정한 명령을 수행한다. GoogleUpdate.exe는 공격자의 명령에 따라 다음의 악의적인 기능 들을 수행한다. 시스템 사용자 모르게 다음의 파일들을 시스템에 생성하고 실행한다. [그림 1-12] PDF 파일에 포함된 내용의 일부 - 실행중인 프로세스 확인 및 강제 종료 - CMD 셸 명령 수행 - 파일 업로드 및 다운로드, 삭제 이 외에 트렌드마이크로에서는 마이크로소프트 워드의 "Microsoft Security Bulletin MS Microsoft Office의 취약점으로 인한 <V3 제품군의 진단명> - Trojan/Win32.ADH 원격 코드 실행 문제점(242393)" 취약점을 악용해 유포된 악성코 로드하도록 유도하고 있다. 해당 URL을 복사하여 웹 브라우저에서 드도 있다고 밝혔다. 다운로드를 시도하면 XXX 아나운서 2분5초짜리.zip 파일이 [그림 1-13] MS1-87 취약점을 이용한 MS워드 파일의 일부 - Adware/Win32.Hotbar - Trojan/Win32.ADH 다운로드된다. [그림 1-15] 압축 파일에 포함된 이미지 및 실행 파일 김정일 위원장 사망을 악용한 악성 전자 문서 파일 유포 ASEC에서 211년 12월 2일 북한의 김정일 위원장 사망을 악용한 애드웨어가 유포된 사실을 공개한지 얼마 지나지 않아 트렌드마이 크로(Trend Micro)도 블로그 <Kim Jong Il Malicious Spam Found> <V3 제품군의 진단명> 를 통해 [그림 1-1]과 같이, 취약점이 존재하는 전자 문서 파일을 - PDF/Cve 첨부한 이메일이 유포된 사실을 공개했다. - Dropper/Cve SWF/Cve [그림 1-1] 김정일 위원장 사망 사실을 악용한 이메일 - C:\Documents and Settings\Tester\Local Settings\Brief introduction of Kim Jong-il.pdf(45,572바이트) - C:\Documents and Settings\Tester\Local Settings\abc. scr(156,672바이트) 생성된 파일 중 Brief introduction of Kim Jong-il.pdf는 [그림 1-11] 과 같은 정상 파일이며, 함께 생성된 abc.scr 파일이 악의적인 기능 을 수행한다. 생성된 abc.scr은 다음 파일을 다시 생성한다. 해당 이메일에 첨부된 어도비 아크로뱃 리더(Adobe Acrobat Reader, 이하 PDF) 파일은 CVE 취약점과 함께, 211 년 4월에 발견된 CVE 취약점을 악용하는 어도비 플래 - Win-Trojan/Infostealer B - Win-Trojan/PcClinet.8384 다운로드된 압축 파일에는 [그림 1-15]와 같은 다수의 JPG 파일과 - Win-Trojan/PcClinet SFX로 압축된 EXE 파일이 들어있다. 국내 연예인 사생활 동영상으로 위장한 악성코드 유포 이 유포돼 사회적으로 큰 이슈를 일으켰다. 이를 틈타 211년 12월 8일 저녁, 소셜 네트워크 서비스인 트위터 등을 통해 해당 연예인의 Application Data\GoogleUpdate.exe(91,136바이트) 사생활 동영상으로 위장한 악성코드가 유포됐다. 그리고 아래의 레지스트리 키 값을 생성하여 시스템을 재부팅한 후 [그림 1-12]와 같이 김정일 위원장의 사진과 함께 그의 일생에 관련 에도 자동 실행되도록 설정한다. [그림 1-16] 압축 해제된 동영상 파일과 이미지 파일들 최근 국내 유명 연예인 A양을 촬영한 것으로 알려진 사생활 동영상 -C:\Documents and Settings\Tester\Local Settings\ 시(Adobe Flash) 파일을 포함하고 있다. 해당 PDF 파일을 실행하면 된 내용을 보여준다. 해당 파일은 취약점이 없는 정상 파일이지만, - Win-Trojan/Infostealer 해당 트위터 계정은 비교적 최근에 생성한 것으로 보이며 계정 사용 텍스트 파일은 SFX로 압축된 EXE 파일을 실행해야만 동영상을 볼 자에 대한 자세한 정보가 없다. 또한 [그림 1-14]와 같이 별다른 내 수 있는 것처럼 꾸며 XXX아나운서 2분 5초짜리.sfx.exe 파일 용 없이 유명 연예인의 동영상 파일로 위장한 ZIP 압축 파일을 다운 의 실행을 유도한다. 해당 EXE 파일을 실행하면 압축을 풀 경로를

7 Web 선택하도록되어있으며, [ 그림 1-16] 과같이실제성인동영상파 용되는클라우드안티바이러스 (Cloud Anti-Virus) 로위장했다. Program Interface) 를이용해제작된것으로확인됐다. 러시아어로 한국시각으로 211 년 12 월 7 일새벽, 어도비는보안권고문 일과다수의이미지파일을해당폴더에생성한다. 그러나사용자모르게 netsecurity.exe 파일도압축이풀리면서실행되고, 윈도우시스템폴더 (C:\Windows\System32) 에 netdrvsrty. exe 파일을생성한다. 이후윈도우레지스트리에다음키값을생성 이번에발견된허위클라우드안티바이러스 212는, 외형적인인터페이스부분을제외하곤과거에발견됐던것과기능이나동작면에서동일하다. 제작된 [ 그림 1-2] 의웹사이트역시 35개의안티바이러스소프트웨어에대한검사가가능하며그중에는안랩의 V3 Internet Security 8.도포함돼있었다. 1회사용은 15센트, 한달사용은 25달러 ( 약 2만 75원 ) 라고광고하고있다. <APSA11-4 Security Advisory for Adobe Reader and Acrobat> 을통해어도비아크로뱃에서알려지지않은제로데이 (Zero-Day) 취약점 CVE 가발견됐음을알렸다. 이번에발견된제로데이취약점에영향을받는어도비아크로뱃버전들은다음과같다. 하여시스템재부팅후에도자동실행되도록구성한다. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 업데이트를위해최신엔진을다운로드하는것처럼꾸미지만실제로다운로드되는파일은없다. [ 그림 1-19] 프라이빗 AV 체커웹사이트 - Adobe Reader X (1.1.1) and earlier 1.x versions for Windows and Macintosh netsecuritydrv = "C:\WINDOWS\system32\netdrvsrty.exe" 또한다른허위백신들과마찬가지로금전결제를유도하는데, 약 5 - Adobe Reader and earlier 9.x versions for Windows, 생성된 netdrvsrty.exe는마이크로소프트비주얼 C++(Microsoft Visual C++) MFC로제작됐으며, 코드상으로는감염된시스템의 IP 주소를수집하고, 인터넷익스플로러의즐겨찾기폴더에웹페이지바로가기파일들을생성하게되어있다. 그러나테스트당시에는코드상으로존재하는악의적인기능들이정상동작하지않았다. 이런 만 7원을신용카드로결제하면허위로표기된악성코드모두를치료가능한것처럼보여준다. [ 그림 1-18] 금전결제를유도하는허위백신 Macintosh and UNIX - Adobe Acrobat X (1.1.1) and earlier 1.x versions for Windows and Macintosh - Adobe Acrobat and earlier 9.x versions for Windows and Macintosh 일련의사항들을살펴볼때이번유명연예인의사생활동영상으로 그리고보안권고문을통해해당제로데이취약점을악용한타깃공 위장하여유포된악성코드는제작자의명령에따라즐겨찾기파일 격이발생했으며, 해당취약점을보고한업체는미국군수방위업 을조작하는애드웨어종류로판단된다. 체인록히드마틴 (Lockheed Martin) 이라고밝혔다. <V3 제품군진단명 > - Downloader/Win32.Korad [ 그림 1-2] 러시아어로제작된프라이빗 AV 체커웹사이트 이번타깃공격과관련해시만텍 (Symantec) 은 <A New Zero-Day PDF Exploit used in a Targeted Attack> 블로그를통해이메일의첨 - Trojan/Win32.Sysckbc 부파일로제로데이취약점인 CVE 가존재하는 PDF - Dropper/Agent 파일이유포됐으며공격대상이된기업들은통신, 제조, 유통, 컴퓨 금전결제를유도하는허위백신들모두가악성코드에감염됐다는 터하드웨어업체들이라고전했다. 212 년버전으로위장한허위클라우드백신 허위정보를보여주므로신뢰할수있는보안제품을사용하는것이 ASEC 에서는이번타깃공격이 11 월말에서 12 월초를전후해발생 연말연시에는사회적인분위기를악용하는사회공학기법을활용한악성코드나보안위협들이발견될가능성이높다. 크리스마스카드로위장한악성코드, 신년축하카드로위장한악성코드등이발견됐다. 금전적인목적으로꾸준히유포됐던허위백신들중 [ 그림 1-17] 과같이 212년도최신버전으로위장한사례가 211년 11 월 3일발견됐다. 이허위백신은 212년도최신버전이라고표기 [ 그림 1-17] 허위클라우드안티바이러스 212로진단된허위악성코드정보 중요하다. <V3 제품군의진단명 > - Trojan/Win32.Jorik - Win-Trojan/Fakescanti 악성코드를위한안티바이러스체크웹사이트최근발생하고있는 APT(Advanced Persistent Threat) 보안사고의상당수는기업내부네트워크에서사용하는메일이나메신저, SNS 한것으로추정하고있으며, 취약한 PDF 파일은최소 2개이상인것으로파악하고있다. 일반적으로 PDF 파일은 Universal 3D 파일포맷 ( 이하 U3D) 같은 3차원이미지를포함할수있다. U3D 이미지파일은일반적인블록헤더뿐만아니라블록타입의특별한블록데이터를가질수있다. 이블록들중힙 (Heap) 에객체를생성할때사용되는 ShadingModifierBlock은 'xffffff45' 값을가진다. [ 그림 1-21] 취약한 PDF 내부에포함된악의적인 3D Stream 등을이용해백도어 (Backdoor) 기능을수행하는악성코드를전파해 한것외에도, 최근다양한보안위협들에대응하기위해개발및사 감염을시도한다. 이렇게전달되는악성코드대부분은, 공격자에의해사전에안티바이러스소프트웨어로진단되는지테스트를거침으로써공격성공률을높이고있다. 이러한테스트는 [ 그림 1-19] 와같이최근러시아에서발견된프라이빗 AV 체커 (Private AV Checker) 웹사이트를통해유료로진행된다. 이번에발견된웹사이트는 35개의안티바이러스제품들에대한검사가가능하며 1회검사에 1센트, 2달러 ( 약 2 만 2원 ) 를지불하면 5회까지검사할수있다고광고하고있다. 해당웹사이트는러시아웹사이트에서제공하는 API(Application 이외에도악성코드를유포하기위한웹사이트가보안업체들의블랙리스트 (BlackList) 에포함돼있는지확인하는기능과별도의 VPN(Virtual Private Network) 서비스도제공하고있으며, 검사되는파일은보안업체로전달되지않는다는점을강조하고있다. 이런웹사이트들은악성코드의공격성공률을높일수있는환경을만들어주기때문에그위험성이크다. 아크로뱃제로데이취약점을악용한타깃공격 이런오브젝트들의포인트도힙에저장되며, 포인터를위해메모리에할당되는양은포인터사이즈에 U3D 파일의 Shader List Count 필드를곱한것이다. 그러나포인터가 'xe' 형태의힙메모리에초기화되지않은상태로설정될경우, 이를악용한힙변형이발생할수있다. 이번에발견된취약한 PDF들은 [ 그림 1-21] 과같은악의적인 3D Stream을포함하고있다.

8 ASEC REPORT 15 Web 16 해당 악의적인 3D Stream의 압축을 해제하면 [그림 1-22]와 같은 15번 오브젝트에는 [그림 1-24]와 같이 힙 스프레이를 통해 셸 코 생성된 파일들 중 ManTech Employee Satisfaction Survey.pdf는 [그 U3D 파일이 생성되며, 붉은 색 박스로 표시된 부분에 의해 실질적 드를 메모리에 적재하는 AcroJS가 포함돼 있다. 림 1-24]와 같이 취약한 PDF 파일이 실행될 때 감염된 시스템의 사 인 오버플로우(Overflow)가 발생한다. [그림 1-25] XOR 97로 디코딩을 수행하는 코드 [그림 1-22] 악의적인 3D Stream에 포함된 오버플로우 발생 코드 용자가 악성코드로 의심하지 않도록 보여주는 정상 파일이다. 생성 된 ctfmon.exe 파일은 자신의 복사본을 동일한 위치에 pretty.exe 파 일로 재생성하며 DLL 파일인 WSE4EF1.TMP를 드롭(Drop)한다. 해 당 파일들 모두 마이크로소프트 비주얼 C++로 제작됐으며 실행 압 축돼 있진 않다. 그리고 ctfmon.exe는 다음의 레지스트리 키 값을 생 어도비는 해당 제로데이 취약점에 대한 임시 방안으로 어도비 리더 의 버전을 1.으로 업그레이드하고 해당 버전에 포함돼 있는 보호 모드(Protected Mode)와 보호 뷰(Protected View) 기능을 활성화할 것을 권고했다. 메뉴 편집 기본 설정 일반 시작할 때 보호 모드 사용(활성) [그림 1-28] 어도비 리더의 보호 모드 기능 성해 시스템 재부팅 후에도 자동 실행되도록 구성한다. HKCU\Software\Microsoft\Windows\CurrentVersion\Run office = "C:\Documents and Settings\[사용자 계정명]\Local Settings\pretty.exe" 드롭된 WSE4EF1.TMP는 다음의 프로그램들이 실행돼 프로세스를 생성할 때 [그림 1-27]과 같이 스레드(Thread)로 해당 프로세스에 인젝션(Injection)된다. 메일로 전달된 CVE 제로데이 취약점을 가지고 있는 [그림 1-27] 스레드로 인젝션된 악성코드 PDF 파일을 실행하면 [그림 1-26]과 같은 정상 PDF 파일을 보여 OpenAction을 통해 취약한 PDF 파일이 실행될 때 [그림 1-23]과 준다. 그러나 실제로는 사용자 모르게 다음 파일들이 시스템에 생성 같은 14번 오브젝트에서 AcroJS를 포함한 15번 오브젝트 부분의 스 및 실행된다. 크립트를 실행하도록 되어 있다. [그림 1-26] 이메일에 포함된 PDF 파일 [그림 1-23] 14번 오브젝트에 포함된 AcroJS 코드 - Microsoft Outlook - Microsoft Internet Explorer - Firefox 메뉴 편집 기본 설정 보안(고급) 고급 보안 사용(활성) [그림 1-29] 어도비 리더의 고급 보안 사용 기능 인젝션에 성공하면 다음 시스템으로 HTTPS 접속을 시도하게 되나 테스트 당시에는 정상적인 접속이 이루어지지 않았다. 'hxxps:// [그림 1-24] 15번 오브젝트에 포함된 셸 코드와 AcroJS asp?name=getkys.kys' 정상적으로 접속되면 다음의 악의적인 기능들을 수행하는데, 악성코 드들은 기존 다른 침해 사고에서 발견됐던 원격 제어 형태의 백도어다. - 파일 업로드 및 다운로드 - CMD 셸 명령 수행 - 시스템 강제 종료 및 재부팅 - C:\Documents and Settings\[사용자 계정명]\Local - 프록시(Proxy) 서버 Settings\ctfmon.exe 이번에 발견된 어도비 아크로뱃에 존재하는 제로데이 취약점 CVE- - C:\Documents and Settings\[사용자 계정명]\Local 를 악용한 타깃 공격은 취약한 PDF 파일과 감염되는 악 Settings\Temp\ManTech Employee Satisfaction Survey.pdf - C:\Documents and Settings\[사용자 계정명]\Local Settings\pretty.exe 성코드 등 전반적인 사항들을 고려했을 때, 기업 내부에 존재하는 중요 데이터를 탈취하기 위한 목적으로 제작 및 유포된 것으로 추정 - C:\Documents and Settings\[사용자 계정명]\Local 된다. 타깃 공격에 악용된 CVE 취약점에 대한 보안 패 Settings\WSE4EF1.TMP 치는 어도비에 의해 현지 시각으로 12월 12일 배포됐다. <V3 제품군의 진단명> - PDF/CVE Win-Trojan/Agent BAT - Backdoor/Win32.CSon

9 Web 여러가지취약점을이용한제우스봇전파메일발견 211년 12월 23일국내에서제우스봇 (Zeus Bot) 유포를위해여러가지애플리케이션들의취약점을악용해웹페이지접속을유도하는이메일이발견됐다. 이번에유포된이메일의제목은 <Fwd : I'm in trouble> 이며본문내용은다음과같다. 해당웹페이지는다른웹페이지를로딩하는것으로위장한 'Please wait page is loading...' 문구를보여주며다양한애플리케이션들의취약점을악용해악성코드감염을시도한다. 해당웹페이지에존재하는난독화된스크립트를풀어보면 "Microsoft 보안권고 ( ) Windows 도움말및지원센터의취약점으로인한원격코드실행문제점 " 과함께자바, 어도비플래시등에존재하는다양한취약점들 해당악성코드는구글공식안드로이드마켓 ( com) 을통해유포됐고, 현재는마켓에서제외됐다. 해당애플리케이션을설치하면 [ 그림 1-35] 와같이정상게임에선볼수없는화면이나오며, 게임을하기위해 xxx.148/app URL을통한추가적인애플리케이션다운로드를유도 [ 표 1-5] 문자과금대상국가 국가코드 송신번호 국가이름 am 1121 Armenia az 914 Azerbaijan by 7781 Belarus I was at a party, got drunk, couldn't drive the car, somebody gave me a lift on my car, and crossed on the red light! I've just got the pictures, maybe you know him??? Here is the photo. I need to find him urgently! 을악용해악성코드감염을시도하는것으로분석됐다. 해당취약점들을통해다운로드되는파일은인터넷뱅킹정보유출을위해제작된제우스봇악성코드다. 한다 ( 현재정상접속은불가능한것으로확인된다 ). [ 그림 1-35] 실행화면 /Rules cz Czech Republic de 8888 Germany ee 1713 Estonia Thank you. < 보낸사람 > <V3 제품군의진단명 > - Win-Trojan/Obfuscated.Gen fr France gb 7967 United Kingdom 유포된이메일의형태는 [ 그림 1-3] 과같다. [ 그림 1-3] 제우스봇전파메일 구글안드로이드마켓에업로드된악성애플리케이션 211년초, 구글공식안드로이드마켓에악성애플리케이션이업로드됐던것과같이, 이번에또다시악성애플리케이션이업로드됐다. 유럽지역국가에서는이악성코드가유명모바일게임으로위장해프리미엄번호로 SMS를전송함으로써과금을유발했다. 국내 ge 814 Georgia il 4545 Israel kg 4157 Kyrgyzstan kz 779 Kazakhstan lt 1645 Lithuania 피해사례에대한보고는없었다. 해당악성코드들은 [ 그림 1-32] 과 lv 1874 Latvia 같이 Angry birds, Assasin Creed 등인기게임의아이콘, 애플리케이션명으로위장하고있어정상게임과구분이어렵다. pl Poland ru 7781 Russian Federation [ 그림 1-32] 안드로이드마켓에유포된악성코드 < 출처 : 시만텍블로그 > tj 1171 Tajikistan ua 754 Ukraine [ 그림 1-36] 악성애플리케이션의설치요구권한 해외보안업체컴터치 (Commtouch) 는블로그 <The I m in trouble massive malware outbreak> 를통해이러한이메일의변형들도상당수존재할것이라고경고했다. 메일수신자가이메일본문의 'Here is the photo' 를클릭하면악성코드감염을시도하는특정웹페이지로연결된다. [ 그림 1-31] 악성코드감염을시도하는웹페이지 첫화면의 Rules를클릭하면해당프로그램이 SMS를전송한다는약관을보여준다. 이는이전 ASEC 리포트에서언급했던 FakeInst 변종과유사하다. 악성코드는 sim card에서단말기의국가코드를파싱해국가에맞는과금번호 (premium number) 로문자를전송한다. 과금관련코드는 [ 표 1-5] 와같이총 18개의유럽지역국가에대해서발송하도록설정돼있다. 해당악성코드는 [ 그림 1-36] 과같이 'SMS 과금관련권한 ' 을보면 [ 그림 1-33] 악성애플리케이션 [ 그림 1-34] 정상애플리케이션 구분이가능하므로, 애플리케이션설치시항상권한을주의깊게살핀후설치하는습관을갖도록하자. <V3 mobile 제품군의진단명 > - Android-Trojan/Pavelsms

10 Web 시큐리티동향 a. 시큐리티통계 12 월마이크로소프트보안업데이트현황 마이크로소프트로부터발표한보안업데이트는 13 건이며총 13 건의패치가제공됐다. 이중악성코드로 이용될수있는보안취약점은 9 가지로, 많은악성코드들이이용할가능성이큰만큼각별한주의와업데 이트가필요하다 위험도 취약점 [ 그림 2-1] 공격대상기준별 MS 보안업데이트 긴급 Windows 커널모드드라이버의취약점으로인한원격코드실행문제점 ( ) 긴급 ActiveX 킬 (Kill) 비트누적보안업데이트 ( ) 긴급 Windows Media의취약점으로인한원격코드실행문제점 (264848) 중요 Microsoft Office IME( 중국어 ) 의취약점으로인한권한상승문제점 (265216) 중요 Microsoft Office의취약점으로인한원격코드실행문제점 (25962) 중요 Microsoft Publisher의취약점으로인한원격코드실행문제점 (26772) 중요 OLE의취약점으로인한원격코드실행문제점 ( ) 중요 Microsoft PowerPoint의취약점으로인한원격코드실행문제점 ( ) 중요 Windows Active Directory의취약점으로인한원격코드실행문제점 (26445) 중요 Microsoft Excel의취약점으로인한원격코드실행문제점 (264241) Windows CSRSS(Client/Server Runtime Subsystem) 의취약점으로인한권한상승문제 중요 점 (262712) 중요 Windows 커널의취약점으로인한권한상승문제점 ( ) 중요 Internet Explorer 누적보안업데이트 ( ) [ 표 2-1] 211년 12월주요 MS 보안업데이트

11 Web 웹보안동향 a. 웹보안통계 월별악성코드유형 211 년 12 월악성코드유형은전달의 77 건에비해 4% 줄어든 68 건이었다. 1, % % % 6 웹사이트보안요약안철수연구소의웹브라우저보안서비스사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에따르면, 211년 12월악성코드를배포하는웹사이트의차단건수는총 4만 2769건이다. 또한악성코드유형은 68건이며, 악성코드가발견된도메인은 477건, 악성코드가발견된 URL은 1만 46건이다. 이를 211년 11월과비교해보면악성코드유형은감소했으나나머지항목은증가했다. 4 2 [ 그림 3-2] 월별악성코드유형 월별악성코드가발견된도메인 악성코드배포 URL 차단건수 39,875 42,769 악성코드유형악성코드가발견된도메인악성코드가발견된 URL [ 표 3-1] 웹사이트보안요약 월별악성코드배포 URL 차단건수 211 년 12 월악성코드배포웹사이트 URL 접근에따른차단건수는지난달 3 만 9875 건에비해 7% 증가한 4 만 2769 건이었다. 15, 125, 1, 75, 5, 25, [ 그림 3-1] 월별악성코드발견건수 +7.5% , % +14,114 39, ,894% 5,26 1,46 + 2,894 42, % 년 12 월악성코드가발견된도메인은 11 월의 452 건에비해 5% 증가한 477 건이었다. 1, [ 그림 3-3] 월별악성코드가발견된도메인 월별악성코드가발견된 URL 211 년 12 월악성코드가발견된 URL 은전달의 526 건에비해 17% 늘어난 1 만 46 건이다. 1, 8, 6, 4, 2, % [ 그림 3-4] 월별악성코드가발견된 URL % , % +2,328 5, % , % ,46 +17%

12 Web 악성코드유형별배포수 악성코드유형별배포수를보면다운로더가 1 만 364 건 /3.5% 로가장많았고, 트로이목마가 1 만 29 건 /23.4% 인것으로조사됐다. 3. 웹보안동향 b. 웹보안이슈 유형건수비율 DOWNLOADER 13, % TROJAN 1, % ADWARE 7, % DROPPER 3,14 7. % Win32/VIRUT % JOKE % APPCARE % SPYWARE 74.2 % WIN-CLICKER 4.1 % ETC 7, % 42, % [ 표 3-2] 악성코드유형별배포수 211년 12월침해사이트현황 [ 그림 3-6] 211년 12월악성코드유포목적의침해사이트현황 갱신되는것을볼수있는데, 이는금요일저녁에악성코드의유포가시작되고새로운한주가시작되는월요일아침에악성코드유포가소강상태에접어드는사이클이반복되는과정에서새로운변종들이발견되기때문이다. DOWNLOADER 13, TROJAN 1,29 1, 4 2 ADWARE ETC 7,787 7, DROPPER 3,14 Win32/VIRUT 793 JOKE 338 APPCARE 261 SPYWARE WIN-CLICKER 74 4 [ 그림 3-5] 악성코드유형별배포수 5, [ 그림 3-6] 은악성코드유포를목적으로하는침해사고가발생했던사이트의현황이다. 211년 12월은 11월보다 2배정도증가했는데, 11월까지악성코드유포에서소강상태를보였던언론사, P2P 웹하드등다수의사이트들이 12월들어다시악성코드유포에활용됐기때문인것으로추정된다. 악성코드배포순위 악성코드배포건수는 Downloader/Win32.Genome이 4499건으로가장많았다. 또 Win-Adware/ Woowa B 등 6건이새로등장했다. 순위 등락 악성코드명 건수 비율 1 1 Downloader/Win32.Genome 4, % 2 3 Downloader/Win32.Korad 3, % 3 5 Downloader/Win32.Totoran 3, % 4 2 Unwanted/Win32.WinKeygen 2, % 5 NEW Win-Adware/Woowa B 1, % 5 NEW Win-Downloader/Woowa , % 7 NEW Win-Adware/Woowa.6144.B 1, % 8 NEW Win-Trojan/Downloader , % 9 NEW Adware/Win32.KorAd 1, % 1 NEW Unwanted/Win32.WinKeyfinder % 21, % [ 표 3-3] 악성코드배포최다 1 [ 표 3-4] 침해사이트를통해서유포된악성코드최다 1 순위 악성코드명 건수 1 Win-Trojan/Onlinegamehack BW 59 2 Dropper/Win32.OnlineGameHack 54 3 Win-Trojan/Onlinegamehack AO 31 4 Trojan/Win32.OnlineGameHack 28 5 Win-Trojan/Onlinegamehack BL 28 6 Win-Trojan/Onlinegamehack AJ 26 7 Win-Trojan/Onlinegamehack Win-Trojan/Onlinegamehack O 21 9 Win-Trojan/Onlinegamehack Win-Trojan/Onlinegamehack AY 2 [ 표 3-4] 는한달간침해사이트를통해서가장많이유포된악성코드 1건이다. Win-Trojan/Onlinegamehack BW는언론사, P2P 웹 하드사이트를포함한 59개의해킹된사이트를통해유포됐지만빠른 대응덕분에큰피해는발생하지않았다. 또매주새로운진단명으로

13 Web 년보안동향분석 1. 악성코드동향 a. 악성코드통계 211 악성코드감염보고최다 2 악성코드대표진단명감염보고최다 년악성코드통계현황은 [ 표 1-1] 과같다. 211 년의악성코드감염보고는 Textimage/Autorun 이 가장많았으며, JS/Agent 와 Win32/Induc 이뒤를이었다. 새로상위 2 건에포함된악성코드는총 8 건이 다. [ 표 1-2] 는악성코드별변종종합감염보고순위를악성코드대표진단명에따라정리한것이다. 이를 통해 211 년한해동안의악성코드동향을파악할수있다. 211 년사용자피해를주도한악성코드중 최다감염보고는 Win-Trojan/Onlinegamehack 으로총 177 만 83 건 /12.3% 로조사됐다. 또한 Win- Trojan/Agent 이 963 만 767 건 /11%, Textimage/Autorun 이 946 만 413 건 /1.8% 로나타났다. 순위 등락 악성코드명 건수 비율 1 Textimage/Autorun 9,458, % 2 1 JS/Agent 6,217, % 3 1 Win32/Induc 2,149, % 4 12 Html/Agent 1,859, % 5 9 JS/Downloader 1,789, % 6 NEW JS/Redirect 1,58, % 7 2 JS/Exploit 1,545, % 8 JS/Iframe 1,446, % 9 NEW Swf/Agent 1,432, % 1 NEW Win32/Palevo1.worm.Gen 1,389, % 11 NEW Exploit/Cve ,351, % 12 6 Win32/Olala.worm 1,9, % 13 6 Win32/Conficker.worm.Gen 1,45, % 14 1 Win32/Parite 1,36, % 15 NEW Swf/Dropper 997, % 16 NEW JS/Redirector 974, % 17 NEW Swf/Exploit 938, % 18 NEW Win32/Virut.f 929, % 19 JS/Cve , % 2 8 Als/Bursted 87, % 39,32,377 1 % [ 표 1-1] 211년악성코드감염보고최다 2건 순위 등락 악성코드명 건수 비율 1 Win-Trojan/Onlinegamehack 1,77, % 2 Win-Trojan/Agent 9,637, % 3 1 Textimage/Autorun 9,46, % 4 1 Win-Trojan/Downloader 8,788,92 1. % 5 4 JS/Agent 6,339, % 6 NEW Win-Trojan/Winsoft 5,319, % 7 NEW Win-Adware/Korad 4,63, % 8 1 Win32/Conficker 3,886, % 9 4 Win32/Autorun.worm 3,845, % 1 2 Win32/Virut 3,491,81 4. % 11 6 Win-Trojan/Adload 3,22, % 12 2 Dropper/Malware 2,634, % 13 2 Win32/Kido 2,587, % 14 8 Win32/Induc 2,15, % 15 NEW Win-Trojan/Patched 1,95, % 16 NEW Html/Agent 1,859, % 17 4 Dropper/Onlinegamehack 1,847, % 18 NEW JS/Downloader 1,789, % 19 4 Win32/Palevo 1,739, % 2 NEW VBS/Solow 1,64, % 87,58,619 1 % [ 표 1-2] 211년악성코드대표진단명감염보고상위최다 2건

14 Web 악성코드유형별감염보고비율 211 년신종악성코드감염보고최다 2 건 [ 그림 1-1] 은 211 년한해동안안철수연구소가고객으로부터감염이보고된악성코드의유형별감염비율을 집계한결과이다. 211 년감염보고건수비율은트로이목마가 42.1% 로가장많았으며, 스크립트가 17.4%, 웜 이 11.6% 로나타났다. [ 표 1-3] 은 211 년에신규접수된악성코드중고객으로부터감염이보고된악성코드상위 2 건이다. Win-Trojan/Patched.CR 가 75 만 7876 건으로전체의 25.8%, Win-Trojan/Overtls11.Gen 가 7 만 456 건 /23.9% 인것으로나타났다. 순위악성코드명건수비율 TROJAN 42.1% SCRIPT 17.4% WORM 11.6% OTHER 28.9% [ 그림 1-1] 211년악성코드유형별감염보고비율 211년신종악성코드유형별분포 211년의신종악성코드유형을보면트로이목마가 62% 로가장많았고, 애드웨어가 16%, 드롭퍼가 7% 인것으로나타났다. 1 Win-Trojan/Patched.CR 757, % 2 Win-Trojan/Overtls11.Gen 7, % 3 Win-Trojan/Downloader.5994.AK 278, % 4 Win-Trojan/Winsoft17.Gen 222, % 5 Win-Trojan/Adload LPU 181, % 6 Win-Trojan/Winsoft18.Gen 14, % 7 Win-Trojan/Winsoft KX 75, % 8 Win-Trojan/Winsoft LO 73, % 9 Win-Trojan/Agent EI 69, % 1 Win-Trojan/Agent FK 68, % 11 Win-Trojan/Winsoft GHF 52, % 12 Win-Trojan/Winsoft GGM 46, % 13 Win-Trojan/Winsoft LR 4, % 14 Win-Trojan/Fakeav , % 15 Win-Trojan/Adload F 39, % 16 Win-Trojan/Adload B 39, % 17 Win-Trojan/Downloader BG 38, % 18 Win-Trojan/Downloader , % 19 Win-Adware/BHO.WowLinker , % 2 Win-Trojan/Adload D 33,34 1. % 2,935,3 1 % [ 표 1-3] 신종악성코드감염보고최다 2건 악성코드연간감염보고건수 211 년의악성코드감염보고건수는 1 억 7747 만 3697 건으로 21 년의 1 억 469 만 7262 건에비해 3137 만 6435 건이증가한것으로나타났다. 2,, 18,626,994 17, ,13,21 17,531,396 15,, 14,499,855 14,176,633 14,878,454 13,666,715 12,559,154 14,657,593 11,61,9 1,498,643 1,, [ 그림 1-2] 211 년신종악성코드유형별분포 [ 그림 1-3] 악성코드연간감염보고건수

15 Web 악성코드동향 b. 악성코드이슈 [ 그림 1-4] 공격에사용한이메일내용 [ 표 1-5] 좀비 1PC 당공격유형트래픽현황 ( 감염 PC 1 대 -> 공격대상 1 곳, Active Attack Traffic) 공격유형 Avg. packets/ sec Avg. packet size Avg. bytes/sec Avg. Mbit/sec HTTP GET Flooding ICMP Flooding UDP Flooding , attack total , 모바일악성코드급증 1. 과금형악성코드폭발적증가 211년을대표하는안드로이드악성코드로는과금형악성코드를꼽을수있다. 과금형악성코드는안드로이드플랫폼자체가전화나문자기능이포함된스마트폰 OS라는점을악용한예이다. 우리가흔히알고있는문자과금방식 (premium call) 을주로이용하며, 감염시추가과금을유발하는특정번호로문자를보내사용자들에게금전적인피해를준다. 가장최근에발견된과금악성코드는 Android-Trojan/ 4. 온라인뱅킹정보를노리는악성코드발생온라인뱅킹정보를갈취하는것으로악명높은제우스봇이다양한모바일환경에서도동작하도록제작, 유포됐다. Zitmo(Zeus In The Mobile) 로불리는이악성코드는 symbian, blackberry를거쳐최근엔안드로이드플랫폼까지침투했다. 안드로이드의 Zitmo 악성코드는트러스티어 (Trusteer) 라는해외의뱅킹보안업체의제품을위장해유포됐으며, 온라인뱅킹에접속할때 2-factor 인증방식을깨기위해 SMS 수신내역까지감청하는치밀함을보여준것이특징이다. 첨부파일의압축을풀고미리보기옵션을사용하면취약점으로인해악성코드에감염된다. 이악성코드는특정웹사이트를통해악의적인파일을다운로드및실행한다. 3.4 DDoS : 네트워크관점으로되돌아보기 공격은크게 3 가지 Flooding 과 1 개의 C&C 서버와의통신에이용되 대규모 SQL 인젝션 리자문 발생 최근웹센스 (WebSense) 를통해서대규모 SQL 인젝션공격이알려졌다. 이공격은리자문 (LizaMoon) 이라불리며, 대략 22만 6개이상의사이트가침해당한것으로알려졌다. [ 그림 1-6] 구글에서리자문과관련한검색결과 Pavelsms( 로, 해외에선 rufraud라는이름으로알려져있다. 감염시스마트폰의가입국가를파악하고유럽 스톰웜봇넷 는네트워크로나눌수있다. DDoS 공격유형별로발생된패킷분포를보면 HTTP가가장많으며, 다음과같은수준의패킷발생을보여 내스마트폰일경우각국가에맞는프리미엄문자를보내는것이특 스톰웜은트로이목마악성코드로, 지난 27 년 1 월 17 일처음발 주고있다. 징이다. 견돼 19 일부터급속도로퍼지기시작, 전세계 PC 의 8% 를감염시 [ 그림 1-5] 3.4 DDoS 트래픽의구성 2. 유명애플리케이션으로위장한 Fake 악성코드 Google Search, Google+, Angry bird, Opera, Skype 등사용자층이두터운유명애플리케이션으로위장한악성코드가배포된사례가있었다. 위장형악성코드는주로서드파티마켓을통해배포됐으며, 실제정상애플리케이션과아이콘 애플리케이션이름이완전히동일해사용자가쉽게구분할수없었다. 다른위장형악성코드로는정상애플리케이션과완전히동일하게동작하면서추가로악성코드를삽입, 재배포하는리패키징 (repackaging) 형악성코드가있다 ( 참조 : 3. 사생활침해형애플리케이션증가스마트폰은통화및문자송수신, 카메라, GPS 등 PC보다좀더생활에밀착된기능이많아민감한정보들이들어있기마련이다. 만약이러한정보들이임의로유출될시에는심각한사생활침해문제가발생할수있다. Android-Spyware/Nicky와같은악성코드는 GPS를통해수집된사용자위치정보, SMS 송수신, 전화송수신내역뿐만아니라보이스레코딩기능을악용해사용자의통화내용까지도훔쳐가는기능을내장하고있어서큰충격을주었다 ( 참고 : ahnlab.com/32, 앞으로도이러한디지털스토커 (digital stalker) 형악성코드가지속적으로증가할전망이다. 켰다. 해당악성코드는이메일을통해날씨에관한긴급뉴스라고속여사람들이실행파일을다운로드하도록유도했다. 이후 28 년 FBI vs FaceBook 을가장한새로운스톰웜공격이확산됐는데, 이처럼사회적이슈가되는것이나이슈가될만한키워드를이메일을통해전파하는웜의형태를스톰웜 (Storm Worm) 이나웨일덱 (Wale Dac) 이라부르는경우가있다. 스팸메일속에포함된위장링크를클릭하면웜에감염되는데, 이후감염된 PC들은스팸메일발송지로악용된다. 현재까지도관련악성샘플이지속적으로증가하는추세이고주로메일을통해전파되니의심스러운메일을함부로열람하거나첨부파일을열지않도록주의해야한다. 윈도우그래픽렌더링엔진취약점공격사례등장 Windows Graphics Rendering Engine(Shimgvw.dll) 에서 thumbnail image( 탐색기보기옵션중 미리보기 ) 를처리하면서발생하는 Stack-based Buffer Overflow 취약점으로임의의코드를실행할수있다. 메일은국내 ISP 업체를통해발송됐으며, 송신자메일주소는 Taiwan Yahoo WebMail Address(@yahoo.com.tw) 이다. 이를통해국내좀비 PC를이용해무작위로스팸메일이발송됐다고추정할수있다. 메일본문은중국어로이루어졌으며, 첨부파일은 7z HTTP GET Flooding(81%) > ICMP Flooding(1%) > UDP Flooding(9~1%) [ 표 1-4] 는악성코드감염으로인해발생하는트래픽을산출한것으로, 공격대상한곳에서바라본좀비 PC 1대당트래픽정보를기준으로추산한것이다. 그리고이당시감염추정으로판단되는좀비 PC의수는 3만 13대로설정했다. * 1차감염으로추정되는 3만대기준 [ 표 1-4] 활동좀비 PC 수별공격트래픽유입현황 ( 공격대상 1곳기준 ) 감염 PC 수 Avg. packets/ sec Avg. packet size Avg. bytes/sec Avg. Mbit/sec 1PC K.33M 소니플레이스테이션네트워크 77 만명정보유출 전세계적으로많은게임사용자층을확보하고있는소니플레이스테이션네트워크에서약 77만명의데이터유출이라는초유의사건이발생했다. 이름, 주소, 이메일주소, 생년월일, 사용자아이디, 사용자패스워드, 로그인정보등많은정보가유출된것으로보인다. 소니에의하면플레이스테이션네트워크와큐리오시티서비스는 4월 17일과 4월 19일사이에침해사고가발생한것으로보이며, 얼마나많은정보가유출됐는지는자세히밝히지않았다. 신용카드정보도유출됐는지에대한정확한증거는없지만유출가능성이있어앞으로이정보를이용한악의적인사건 사고가발생할소지가충분하다. 으로압축된 43 개의정상이미지파일과취약한 doc 파일이다. 이 31,3PCs 776K - 13M 1G

16 Web Web 해외인터넷뱅킹노리는제우스소스유출과스파이아이동향해외인터넷뱅킹악성코드로유명한제우스 (Zeus) 버전소스가유출됨에따라국내인터넷뱅킹에도적신호가켜졌다. 물론유출된소스는최신버전이아니며해외에특화돼있지만어떤식으로든악용될소지가있기때문에주의를기울일필요가있다. 스파이아이 (SpyEye) 는 12월이후접수되는샘플은감소하는추세이나꾸준히새로운 C&C 서버가등장하며활발히활동하고있는것으로보인다. 확보된샘플에서스파이아이 C&C 서버의국가정보를보면미국이 34% 로가장많은비중을차지하고있고우크라이나가 16%, 러시아가 15% 이며한국도 12% 를차지하고있다. [ 그림 1-7] 제우스 C&C 서버맵 인의도로작성된 PDF 파일링크를통해얼마든지타인의스마트폰을장악할수있다는점에서매우심각한위협이될수있다. [ 그림 1-9] Jailbreak 시큐리티동향 a. 시큐리티통계 어도비플래시제로데이어도비플래시취약점을이용한악성코드가특정사이트를해킹해배포됐다. 어도비의보안패치가나오기전에유포된취약점을이용한플래시파일이며, 악성코드가배포된사이트를접속한사용자는악성코드에감염됐을가능성이크다. [ 그림 1-8] 플래시취약점을이용한악성코드동작흐름 PDF 취약점을악용한 Jailbreak 3. ios 버전을탑재한아이폰 아이패드를 5초만에탈옥시킬수있는 jailbreakme 3.이공개됐다. ios 사용자들은아이폰 아이패드에탑재된사파리 (Safari) 브라우저를통해, [ 그림 1-9] 의 www. jailbreakme.com에접속해서 Free 버튼을눌러 Cydia를설치하는것만으로간단하게탈옥을완료할수있다. 해당취약점은공개적으로는 jailbreak 목적으로사용됐지만, 악의적 DNS 서버이상? BIND 제로데이! DNS BIND 애플리케이션에크래시가일어나 DSN 서비스가중지되는제로데이공격이발생했다. BIND(Berkeley Internet name Daemon) 는네임서버를운영하기위해설치하는서버측소프트웨어로미국기준으로 DNS의 9% 이상이사용하고있다. 해당제로데이 (CVE ) 는캐시에존재하지않는레코드를돌려주는과정에서발생하는취약점이다. 크래시가나면 "INSIST(! dns_ rdataset_isassociated(sigrdataset))" 로그를남긴다. 211 년마이크로소프트보안업데이트현황 211년한해마이크로소프트에서발표한보안업데이트는총 99건으로 21년 13건에비해 4건이적었다. 전년도와비슷한형태의시스템관련취약점들이나타났으며, 마이크로소프트의인터넷익스플로러, 오피스뿐만아니라어도비의 PDF 및 SWF 취약점등의애플리케이션취약점도꾸준히발생했다 [ 그림 2-1] 공격대상기준별 MS 보안업데이트

17 Web 웹보안동향 a. 웹보안통계 월별악성코드유형 211 년악성코드유형은전년도의 1 만 164 건의 8% 수준인 8846 건이었다. 1, 웹사이트보안요약 안철수연구소의웹브라우저보안서비스사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료 에따르면, 211 년악성코드를배포하는웹사이트의차단건수는총 79 만 1728 건이었다. 또한악성 4 2 코드유형은 8846 건이며, 악성코드가발견된도메인은 7764 건, 악성코드가발견된 URL 은 4 만 건이었다. [ 그림 3-2] 211 년월별악성코드유형 악성코드배포 URL 차단건수 1,737, ,728 악성코드유형악성코드가발견된도메인악성코드가발견된 URL 11,64 8,846 [ 표 3-1] 211 년웹사이트보안요약 1,528 7, % 47,491 49, 월별악성코드가발견된도메인 211년악성코드가발견된도메인은전년도의 1만 528건의 74% 수준인 7764건이다. 1, 월별악성코드배포 URL 차단건수 211 년악성코드배포웹사이트 URL 접근에따른차단건수는전년도 173 만 7946 건의 46% 수준인 79 만 1728 건이었다. [ 그림 3-3] 211 년월별악성코드가발견된도메인 월별악성코드가발견된 URL 211 년악성코드가발견된 URL 은전년도의 4 만 7491 건에비해 4% 증가한 4 만 9196 건이다. 15, 145, , 1, 99,34 17,713 1, 8, 1,46 75, 5, 25, 78,911 61,187 49,317 32,918 68,46 39,74 39,875 25,761 42,769 6, 4, 2, 3,463 3,367 4,259 2,65 2,684 2,398 4,863 4,76 3,351 2,698 5, [ 그림 3-1] 211 년월별악성코드발견건수 [ 그림 3-4] 211 년월별악성코드가발견된 URL

18 Web 악성코드유형별배포수 악성코드유형별배포수를보면, 트로이목마가 23 만 799 건 /29.2% 로가장많았고, 애드웨어가 22 만 3713 건 /28.3% 로조사됐다. 3. 웹보안동향 b. 웹보안이슈 유형건수비율 TROJAN 23, % ADWARE 223, % DOWNLOADER 77,1 9.7 % DROPPER 72, % Win32/VIRUT 18, % JOKE 1, % APPCARE 3,71.4 % SPYWARE 1,149.1 % WIN-CLICKER 4.1 % ETC 154, % 791, % [ 표 3-2] 211년악성코드유형별배포수 TROJAN 23,799 ADWARE 223,713 JOKE 1,155 APPCARE 3,71 SPYWARE WIN-CLICKER ETC 154,259 DOWNLOADER 77,1 DROPPER Win32/VIRUT 72,63 18,812 [ 그림 3-5] 211 년악성코드유형별배포수 악성코드배포순위최다 1 1,149 4 악성코드배포최다 1 건중에서 Win32/Induc 이 6 만 9889 건으로가장많았고 Win-Adware/ ADPrime 이 5 만 488 건으로뒤를이었다. 25, 125, 211년, 해킹된웹사이트를통해서유포된악성코드들의특징을요약해보면다음과같다. 시스템파일변조악성코드에의한시스템파일변조는오래전부터있었지만 211년에는그현상이두드러졌다. imm32.dll부터 ws2help.dll에이르기까지다양한시스템파일들이악성코드에의해서변조됐는데, 그중눈에띄는 imm32.dll과 ws2help.dll의경우를살펴보자. imm32.dll을이용하는악성코드는자신이생성한악성 DLL을로딩하도록 imm32.dll을패치했고, 시간이지남에따라패치방식에도변화가있었다. [ 그림 3-6] 패치된 imm32.dll의구조변화 [ 그림 3-7] ws2help.dll 교체악성코드의버그그러나최근일부변종은자신의구성파일일부가존재하지않으면악성 DLL로교체된 ws2help.dll을삭제해백업된정상 ws2help.dll과의연결고리를끊음으로써의도적으로부팅시 BSOD를발생시킨다. 부트킷의등장부트킷은감염된 PC의 MBR(PC가부팅하는데필요한정보들이저장된물리적인하드디스크영역, 512바이트 ) 을조작해, 부팅시악성 DLL을생성해특정사이트로부터계정정보탈취목적을가진악성코드를지속적으로다운로드및실행케한다. [ 그림 3-8] 부트킷악성코드실행구조 순위 등락 악성코드명 건수 비율 1 1 Win32/Induc 69, % 2 NEW Win-Adware/ADPrime , % 3 2 Win-Adware/Shortcut.InlivePlayerActiveX , % 4 NEW Win-Trojan/Agent , % 5 NEW Win-Trojan/Downloader , % 6 NEW Virus/Win32.Induc 24, % 7 NEW Win-Adware/ToolBar.Cashon , % 8 NEW Win-Downloader/KorAd , % 9 NEW Win-Adware/Shortcut.Unni , % 1 NEW Win-Adware/KorZlob , % 329, % [ 표 3-3] 211년악성코드배포최다 1 [ 그림 3-6] 을보면패치된 imm32.dll(new Imm32.dll) 은특정 API 호출부분을패치해악성 DLL을로딩하는코드가존재하는영역으로분기한다. ws2help.dll의경우정상 ws2help.dll을다양한파일명으로백업한후악성 DLL을 ws2help.dll로생성하는데, 일부변종에서는버그로인해서부팅시 BSOD가발생했다. 그원인을살펴보면, 시스템재부팅시에악성코드로변경된 ws2help.dll 파일이시스템프로세스에인젝션할때안티디버깅으로익셉션을유발하며, 그처리과정에서 EIP 레지스터가 1바이트씩밀려전혀다른명령을수행함으로써잘못된메모리주소를참고했기때문이다. 다중취약점을이용하는것은기본 211년에도응용프로그램 ( 인터넷익스플로러, 파이어폭스같은브라우저, 어도비플래시플레이어등 ) 들에존재하는취약점을이용한트로이목마가가장많이유포됐는데, 그주목적은탈취한정보를현금화하는것이었다. 현금화를위한공격대상에서해외와국내를비교해보면, 해외는제우스나스파이아이본넷 (SpyEye Bonet) 을이용한온라인뱅킹정보, 국내는특정온라인게임사용자의계정정보라는차이가있었다. 국내온라인게임사용자의계정정보를탈취하기위한트로이목마를일반적으로온라인게임핵으로명명하는데, 해킹된웹사이트와웹응용프로그램의취약점이결합된형태의유포방식을주로사용했다. 가장많이사용한취약점 5건을분석한결과는 [ 표 3-4] 와같다.

19 Web [ 표 3-4] 5 대응용프로그램취약점 순위 취약점 ID 응용프로그램 1 MS1-18 Internet Explorer 2 CVE Adobe Flash Player 3 CVE Adobe Flash Player 4 CVE Internet Explorer 5 CVE Adobe Flash Player [ 그림 3-9] 다중취약점을이용한악성코드유포사례 배너광고를이용한악성코드유포사례 211년악성코드를유포했던사이트들을분석해보면상당수의사이트에서배너광고를통해악성코드를유포했다. 해당사이트자체가취약해서해킹된것이아니라외부 ( 광고업체 ) 에서제공받은배너광고에악성코드가포함돼있었던경우가대부분이다. 배너광고의가장큰목적은수익이기때문에기업, 개인구분없이운영하는사이트나블로그에서사용되고있지만, 배너광고제공업체가해킹당하면자신의사이트또는블로그가한순간에악성코드유포지로전락하게된다는것에주의할필요가있다. [ 그림 3-1] 배너광고를통한악성코드유포사례

20 년세계보안동향 년보안위협예측 세계악성코드동향 211년은특정업체및산업군에따른타깃공격이다수진행됐다. 대부분의보안업체는 212년에도타깃공격의꾸준한증가를예측하고있다. 세계악성코드통계대부분의악성코드는특정지역에서만발견되는여러가지변형이소규모로보고되고있다. 이러한악성코드의지역화에따라백신프로그램에서유사변형을하나의진단명으로통합해진단하거나통계를내고있다. 주요보안업체악성코드통계에따르면컨피커웜 (Conficker worm), 오토런웜 (Autorun worm), 바이럿바이러스 (Virut virus), 샐리티바이러스 (Sality virus), 허위보안프로그램등이꾸준히보고되고있다. 악성코드배포방식홈페이지해킹후취약점을이용해코드를삽입해서사용자가웹사이트방문시감염시키는방식과 USB 메모리를통한직접전파가주를이뤘다. 이외에도메일을통한배포와페이스북, 트위터등의소셜네트워크를이용한전파도계속됐다. 정보유출과 APT 공격자에의한정보유출및시도가계속보고되고있으며상당수공격은지능형타깃위협 (Advanced Persistent Threat) 으로분류될수있다. 21년이란원전가동을중지시킨걸로알려진스턱스넷웜 (Stuxnet worm) 의동일제작자들이만든걸로추정되는듀큐 (Duqu) 가발견됐다. 스턱스넷과달리자체전파기능과산업제어시스템 (Industrial control systems) 관련기능은없고사용자키입력내용을저장하는키로거등의정보수집용으로제작됐다. 특히설치된후특정기간 ( 보통한달정도 ) 만활동한후기간이지나면스스로삭제됐다. 맥아피가 8월표적공격에대해발표한데이어시만텍에서도포이즌아이비백도어 (Poisonivy backdoor) 를이용한중국발공격으로화학업체 4곳이상이공격받았다고발표했다. 11월에는노르웨이주요방위산업체와에너지기업에대한표적공격이발표됐다. APT 공격경로지능화기업과기관을겨냥한 APT 공격이 212년에도지속적으로이어지는한편, 공격경로가지능화할것으로예상된다. 이제껏주된공격방식은타깃기업 / 기관의특정구성원에게업무메일로위장하는것이었다. 즉, SNS( 소셜네트워크서비스 ) 등에서이메일을손쉽게수집해신뢰할수있는사람으로위장해취약점이포함된문서를첨부하거나취약점이존재하는웹사이트주소를본문에삽입해악성코드를감염시키는것이다. 널리사용되는소프트웨어의업데이트관련파일을변조한경우도있었다. 앞으로는조직내부로반입하기쉬운스마트폰이나보안관리가어려운기술지원업체의장비나소프트웨어등을이용한내부침입도발생할것으로예측된다. PC 악성코드수준의스마트폰악성코드등장스마트폰, 특히안드로이드겨냥악성코드는 21년에악성코드제작 / 유포의가능성을점쳐보는수준이었다면, 211년에는금전적이득을취할수있는방법을찾아대량제작된시기였다. 212년에는감염의효율을높이기위해과거 PC용악성코드에사용된기법이본격적으로활용될것으로예측된다. 즉, 스마트폰내부에서자신을숨기는은폐기법과모바일운영체제에존재하는취약점을악용한루트권한탈취등이있을수있다. 그리고, 사회공학기법을악용해웹사이트에서악성코드다운로드를유도하거나모바일웹브라우저에존재하는취약점으로인해악성코드가자동감염되게하는기법도등장할것으로예측된다. 스마트폰에설치된인터넷뱅킹및온라인쇼핑관련앱에서금융 / 신용카드정보를탈취하는기법도나올것으로예측된다. SNS 통한보안위협증가 SNS가전세계인과정보를빠르게공유하는창구인만큼악용사례도급증하고있다. 단축 URL이전체주소가전부보이지않는다는점을악용해악성코드유포사이트나피싱사이트를단축 URL로유포하는경우가있었다. 212년에는단축 URL 악용사례가더증가하는한편, SNS가 APT(Advanced Persistent Threat) 공격의경유지로이용될가능성도있다. 정치목적의공격 211년 1월 26일대한민국서울시장선거일에중앙선거관리위원회와박원순후보홈페이지에한나라당보좌관주도로 DDoS 공격이발생해충격을주었다. 12월 4일러시아하원총선에서도반정부성향언론사와선거감시기구사이트가 DDoS 공격을받았다. 해킹그룹어노니머스역시이스라엘주요정부기관웹사이트를공격하거나미전략싱크탱크스트래트포글로벌인텔리전스고객명단을해킹하는등정치적목적의공격이계속되고있다. 이는앞으로도정치적목적의사이버공격이일상화될수있다는우려를낳고있다. 애플리케이션취약점공격국지화 211년에는운영체제같은범용애플리케이션의취약점을공격하는경우는줄어든반면, 특정지역에서만사용되는애플리케이션의취약점을악용한사례는증가했다. 아래아한글을비롯해동영상재생소프트웨어, P2P 및웹하드프로그램의취약점을악용한악성코드유포가대표적이다. 취약점을가진파일을이메일로전송하거나웹사이트접속시자동으로악성코드를감염시키는방식으로유포한다. 이런추세는 212년에도이어지는한편, 애플리케이션취약점이 APT 공격등다양한보안위협에악용되리라예측된다.

21 41 VOL. 24 ASEC REPORT Contributors 특정국가산업 / 기관시스템공격시도증가금전적이익이나정치적, 종교적이유로특정국가의산업 / 기관시스템을공격하는시도가더욱증가할것이다. 이런공격에국가기관이직간접적으로개입돼국가간사이버전쟁으로확대될수도있다. 사용자부주의로내부시스템이인터넷이나외부시스템에연결돼있을때이를통해공격이들어올가능성이있다. 또한국가산업 / 기관시스템용특정소프트웨어의취약점을이용해공격이이루어질것으로예측된다. 가상화및클라우드환경공격본격화최근가상화기술을기반으로클라우드서비스등을사업모델을삼는기업이증가하고있다. 그러나가상화와클라우드서비스는자원활용의극대화라는장점이있지만, 악용되면또하나의보안위협이될수있다. 실제로 211년에대표적인가상화제품의보안취약점이다수발견됐으며, 실제금융정보탈취를위한스파이아이악성코드가아마존클라우드서비스를악용해배포되기도했다. 212년에는가상화및클라우드서비스의본격화에맞추어다양한공격이시도될것으로예상된다. 스마트 TV 등네트워크로연결되는시스템에대한공격증가스마트폰, 스마트 TV를비롯해네트워크에연결되는임베디드소프트웨어가탑재된기기에대한보안위협이증가할것으로예측된다. 특히교체주기가비교적길고실생활과밀접한가전제품은지속적인공격에노출될가능성이높다. 실제로인터넷접속이가능한 DVD 리코더를악용한공격이일본에서일어났다. 한보안컨퍼런스에서는닌텐도DS 단말기에리눅스를설치해외부에서특정시스템을제어하는것을시연하기도했다. 단순반복작업만을담당했던임베디드시스템이네트워크에연결됨에따라해킹또는 DDoS 공격의타깃이될가능성이점차높아지고있다. 집필진책임연구원선임연구원선임연구원선임연구원주임연구원주임연구원연구원참여연구원편집장선임연구원편집인디자인 차민석김소헌안창용장영준이도현조주봉이정신 ASEC 연구원 SiteGuard 연구원안형봉안철수연구소마케팅실안철수연구소 UX디자인팀 이밖에정치 사회적목적을이루고자시스템을해킹하거나 DDoS 공격을시도하는행위인핵티비즘 (Hacktivism) 활동이 212 년에특히많이발생할것으로예측된다. 우리나라의대선과총선, 미국과러시 아의대선등전세계적이슈가많기때문이다. 감수상 무 조시행 발행처 ( 주 ) 안철수연구소 경기도성남시분당구 삼평동 673 ( 경기도성남시분당구 판교역로 22) T F Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved.