목차 Part Ⅰ 7 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

Transcription

1

2 목차 Part Ⅰ 7 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이 악성코드이슈분석 국내인터넷뱅킹계정정보를노리는악성코드... 6 (1) 개요... 6 (2) 행위분석... 6 (3) 결론 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 (2) 상위 Top 5 포트월별추이 (3) 악성트래픽유입추이 스팸메일분석 (1) 일별스팸및바이러스통계현황 (2) 월별통계현황 (3) 스팸메일내의악성코드현황 Part Ⅱ 보안이슈돋보기 월의보안이슈 월의취약점이슈 페이지 2

3 Part Ⅰ 7 월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 [2012년 7월 1일 ~ 2012년 7월 30일 ] 순위 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Spyware.OnlineGames.wsxp Spyware 5, Trojan.Downloader Trojan 2,935 3 New Trojan.Agent A Trojan 2,535 4 New Gen:Variant.Graftor Etc 2,070 5 New Variant.Zusy.4661 Etc 1,864 6 New Trojan.Generic Trojan 1, Trojan.KillAV.AB Trojan 1,778 8 New Trojan.RHT.Hosts Trojan 1,703 9 New Trojan.JS.QRG Trojan 1, New Trojan.Generic.KDV Trojan 1, New Hosts.gms.ahnlab.com Host 1, New Gen:Variant.Graftor Etc 1, New Gen:Varian.Zusy.4661 Etc 1, New Adware.Generic Adware 1, New Gen:Variant.Graftor.Elzob.5989 Etc 1,319 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 감염악성코드 Top 15는사용자 PC에서탐지된악성코드를기반으로산출한통계입니다. 7월의감염악성코드 TOP 15는 Spyware.OnlineGames.wsxp가 5,332건으로 TOP 15 중 1위를차지 했으나, 감염자수는지난달에비해약 34% 가까이감소했습니다. 하지만 6월에 9위를차지한 Trojan.Downloader 악성코드가지난달에비해무려 7계단이상승한 2위를차지하였습니다. Trojan.Downloader 악성코드는윈도우서비스로등록되어특정서버로접속하여또다른악 성코드를다운로드받게하는악성코드입니다. 그외에특이사항으로는호스트파일을변조하여 사용자또는클라이언트가정상적인사이트로접속하지못하게하는악성코드에많이감염된것 을확인할수있습니다. 페이지 3

4 (2) 카테고리별악성코드유형 호스트파일 (Host) 5% 트로이목마 (Trojan) 스파이웨어 (Spyware) 기타 (Etc) 23% 트로이목마 애드웨어 (Adware) 취약점 (Exploit) (Trojan) 웜 (Worm) 48% 기타 (Etc) 애드웨어 (Adware) 5% 스파이웨어 (Spyware) 19% 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 48% 를차지했으며, 기타악성코드 (Etc) 유형이 23% 로그뒤를차지했습니다. 스파이웨어의비중은 19% 입니다. (3) 카테고리별악성코드비율전월비교 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 호스트파일 (Host) 기타 (Etc) 4% 19% 10% 5% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 5% 5% 23% 48% 81% 6 월 7 월 0% 20% 40% 60% 80% 100% 7월에는 6월과비교하여트로이목마 (Trojan) 유형의악성코드비중이 81% 에서 48% 로급감하였으며스파이웨어 (Spyware) 유형의악성코드와기타 (Etc) 유형의악성코드의비중이모두전월에비해 5배가까이증가하였습니다. 그외나머지카테고리에속하는악성코드의경우전반적으로비율이줄어들었습니다. 페이지 4

5 (4) 월별피해신고추이 [2011 년 8 월 ~ 2012 년 7 월 ] 8 월 9 월 10 월 11 월 12 월 1 월 2 월 3 월 4 월 5 월 6 월 7 월 알약사용자의신고를합산에서산출한결과임월별피해신고추이는알약사용자의신고를합산해서산출한결과로써, 월별신고건수를나타내는그래프입니다. 알약 2.0의신고기능에의해접수된피해문의신고는 4, 5, 6월연속으로증가하였다가 7월에는 6월에비해피해신고가약 40% 가량감소된수치를보여줬습니다. (5) 월별악성코드 DB 등록추이 [2011 년 8 월 ~ 2012 년 7 월 ] Adware Spyware Hijacker KeyLogger Exploit RAT Trojan Worm Backdoor Downloader Dropper Misc 페이지 5

6 Part Ⅰ 7 월의악성코드통계 2. 악성코드이슈분석 국내인터넷뱅킹계정정보를노리는악성코드 (1) 개요 온라인게임의계정정보및패스워드를가로채는스파이웨어가성행하는가운데, 온라인게임의개인정보로는성이안차는악성코드제작자들이인터넷뱅킹의개인정보를가져가기위해새로운악성코드를만들어내고있습니다. 온라인게임의개인정보와는달리인터넷뱅킹의개인정보는직접적으로금전취득이가능하기때문에이런악성코드는앞으로도계속나올것으로보입니다. 이번분석문서에서는악성코드가어떤방식으로인터넷뱅킹의정보를가져가는지그방법에대해알아보겠습니다. (2) 행위분석 1 유포경로 해당악성코드는여러가지방식으로유포를시도하고있다. 현재까지확인된사항은주말변조사이트같이평일에도변조사이트를통해취약점존재시악성코드가실행되는방법과특정웹서비스를통한파일다운로드방식, 웹하드설치파일에추가되어설치되는방식등총세가지방법으로유포되고있다. 이번분석문서에서는 JAVA 및 XML 취약점을이용하여유포한사례를분석한다. 전체적인유포구조를도식화한이미지는아래와같다.. 페이지 6

7 hxxp:// (Main Malware Script) hxxp:// (SWF Object Script) hxxp:// (JRE & Applet Script) hxxp:// (Java Exploit CVE ) hxxp:// (Java Exploit CVE ) hxxp:// (XML Core Services Exploit CVE ) hxxp:// (XML Core Services Exploit CVE ) hxxp://dns03.********.com/down_x.exe (KoreaBank Spyware Malware) 유포에사용된취약점정보 CVE Oracle Java SE Critical Patch Update Advisory CVE Oracle Java SE Critical Patch Update Advisory CVE Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution 2 악성파일 (down_x.exe) - 파일정보 Detection Name File Name MD5 Size(Byte) Trojan.Downloader.wdx down_x.exe 7F83063AF79DE9592D58192EE39DDDDC down_x.exe 파일은 SFX(Self-extracting archive : 자동압축해제포멧 ) 형식으로되어있으며, ServiceInstall.exe, WindowsDirectx.exe 파일명으로 2 개의악성파일이압축되어있다. 페이지 7

8 < 그림. 실행압축되어있는파일의내용 > 압축파일에는 SFX명령어가기재되어압축해제시악성파일이 SFX명령어에따라동작하게구성되어있다. Path=C:\WINDOWS\system32 // 압축해제폴더위치 SavePath // 폴더위치저장 Setup=ServiceInstall.exe // 압축해제후실행될파일명 Silent=1 // 대화상자를표시하지않고압축해제 Overwrite=2 // 동일파일이존재하면건너띄기 3 악성파일 (ServiceInstall.exe) - 파일정보 Detection Name File Name MD5 Size(Byte) Trojan.Downloader.wdx ServiceInstall.exe 44BB7D40017AE0DE03CB58167D2D 뮤텍스생성 중복실행을방지하기위해 MUTEX_HB 의뮤텍스생성 페이지 8

9 < 그림. 뮤텍스생성코드 > - 서비스레지스트리생성 부팅시자동실행을위해서비스레지스트리생성 < 그림. 서비스레지스트리생성코드 > < 그림. 새로생성된서비스레지스트리화면 > 페이지 9

10 - 서비스실행 Sc.exe 파일을이용하여서비스를실행시킨다. Sc.exe 파일은윈도우 NT 버전에서서비스를시작 / 중지 / 삭제 / 생성등의동작을할수있다 사용된명령어 : sc start WindowsDirectx 4 악성파일 (WindowsDirectx.exe) - 파일정보 Detection Name File Name MD5 Size(Byte) Trojan.Downloader.wdx WindowsDirectx.exe 8AB C0F29AA35E459783C 파일다운로드 지정된서버에접속하여 CONFIG.txt 파일을다운로드받는다. < 그림. 다운로드를위해접속할 URL 주소화면 > 다운로드된 txt 파일은아래와같은형식으로추가적인악성파일을다운로드할수있도 록되어있다. < 그림. 다운로드된 CONFIG.txt 파일내용 > 페이지 10

11 5 악성파일 (5.exe) - 파일정보 Detection Name File Name MD5 Size(Byte) Spyware.PWS.KRBanker 5.exe B97D36CB7A362E19D3B19ED8400B61E 다운로드된 5.exe 파일은이전 down_x.exe 파일과마찬가지로 SFX 형식으로되어있으며, CONFIG.INI, CretClient.exe, HDSetup.exe 파일명으로 3 개의악성파일이압축되어있다. < 그림. 실행압축되어있는파일의내용 > SFX 명령어에따라압축해제시 C:\WINDOWS\HDSetup.exe 파일이실행되도록되어 있다. 6 악성파일 (HDSetup.exe) - 파일정보 Detection Name File Name MD5 Size(Byte) Spyware.PWS.KRBanker HDSetup.exe E E1E5A34A8CE6A2D1E1D0AC CONFIG.INI 파일의 IP 체크 페이지 11

12 압축이풀린디렉토리에서 CONFIG.INI 파일을읽어 [start] 의 SERVER 값을가져온다. < 그림. CONFIG.INI 파일내용 > < 그림. CONFIG.INI 파일의서버 IP 를구하는코드 > - HDSetup.exe 파일실행인자값체크 Command Line에서 HDSetup.exe 파일이실행시 첫번째인자가 101 인지확인 한다. 인자값을체크하는이유는시스템이감염되어 사용자정보를가져간시스템 과 사용자정보를가져가기전의시스템 을구분하기위해서다. 페이지 12

13 < 그림. HDSetup.exe 파일의실행인자값을체크하는코드 > A. 첫번째인자가 101 이아닐경우 ( 정보를가져가기전의시스템 ) Hosts 파일을변경한후 Internet Explorer ActiveX 관련레지스트리를생성및수정한다. - Hosts 파일생성 Echo 명령어를사용하여 Hosts 파일을생성한다. "cmd /c echo kbstar.com obank.kbstar.com banking.nonghyup.com banking.shinhan.com wooribank.com pib.wooribank.com bank.keb.co.kr > C:\WINDOWS\system32\drivers\etc\hosts" < 그림. 새롭게생성된 Hosts 파일내용 > - 레지스트리변경및생성 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ = dword: > dword: 으로변경 (ACtiveX 컨트롤초기화및스크립트관련레지스트리 ) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Security DisableSecuritySettingsCheck = dword: 값생성 ( 서명된 ActiveX 컨트롤다운로드사용관련레지스트리 ) HKEY_CURRENT_USER\Software\HDSoft RunPach = C:\WINDOWS (HDSetup.exe 이실행된위치 ) 페이지 13

14 B. 첫번째인자가 101 이맞을경우 ( 정보를가져간시스템 ) 해당시스템이감염되어이미얻고자하는사용자정보를모두가져갔으므로자신의흔적 을지우기위해서, 실행된파일을삭제하고변조된 hosts 파일을정상적으로되돌린다 인자설정 101 인자값은감염된시스템에서인터넷뱅킹을접속했을시정상사이트가아닌파밍 사이트로이동후특정한페이지를통해 101 값으로실행된다. < 그림. 101 인자값을설정하는페이지코드 > - 파일삭제 HKEY_CURRENT_USER\Software\HDSoft\RucPach 레지스트리에서폴더정보를가져온다 ( 디폴트로실행되었다면 C:\WINDOWS 폴더로지정되어있다.) 삭제대상파일은 C:\WINDOWS\HDExpress.exe, C:\WINDOWS\CretClient.exe 이다. 페이지 14

15 < 그림. 삭제될파일을체크하는코드 > - 레지스트리삭제 HKEY_CURRENT_USER\Software\HDSoft - Hosts 파일삭제 cmd /c del C:\WINDOWS\system32\drivers\etc\hosts - Hosts 파일생성 기본값 ( localhost) 으로 hosts 파일을다시생성 < 그림. 기본적인내용으로변경된 Hosts 파일내용 > - 자가삭제파일생성 DeleteBat.bat 을실행하여 del %1(HDSetup.exe) 와 del %0(DeleteBat.bat) 관련파일삭제 < 그림. 자가삭제를위해만들어진 Batch 파일의내용 > 페이지 15

16 7 악성파일 (CretClient.exe) - 파일정보 Detection Name File Name MD5 Size(Byte) Spyware.PWS.KRBanker CretClient.exe D82908EEAB669CD991D217BEED61D57D CretClinet.exe 는인터넷뱅킹공인인증서로그인을가장한파일이며, 감염된사용자의공 인인증서 (PKI) 와비밀번호를서버로전송시키는역할을한다. < 그림. 허위공인인증서프로그램 ( 좌 ) 과실제공인인증서프로그램 ( 우 ) 비교화면 > 페이지 16

17 8 악성파일순서도 (3) 결론 해당악성코드에감염시 Hosts 파일이변조되어인터넷뱅킹을이용하는사용자는정상적인인터넷뱅킹사이트가아닌제작자가만들어둔허위사이트로접속되어실직적인금전피해를입을수있습니다. 악성코드제작자는모든정보를가져간후에는자신의흔적을지우기위해모든파일들 과레지스트리를삭제시키기때문에사용자는자신의정보가유출되었는지조차모를수 있습니다. 따라서안티바이러스프로그램은 Hosts 파일감시와파밍사이트에대해빠른대처가필 요하며, 사용자들은인터넷뱅킹의암호와공인인증서의암호를주기적으로교체하는노력 이필요합니다. 페이지 17

18 Part Ⅰ 7 월의악성코드통계 3. 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 % % 23 1% % 21 4% % % % (2) 상위 Top 5 포트월별추이 [2012 년 05 월 ~ 2012 년 07 월 ] 2012 년 7 월 2012 년 6 월 2012 년 5 월 페이지 18

19 (3) 악성트래픽유입추이 [2012 년 02 월 ~ 2012 년 07 월 ] 2012 년 2 월 2012 년 3 월 2012 년 4 월 2012 년 5 월 2012 년 6 월 2012 년 7 월 페이지 19

20 Part Ⅰ 7 월의악성코드통계 4. 스팸메일분석 (1) 일별스팸및바이러스통계현황 60,000 50,000 40,000 30,000 20,000 10,000 바이러스 스팸 0 일별스팸및바이러스통계현황그래프는하루에유입되는바이러스및스팸메일의개수를나타내는그래프입니다. 7월의경우 6월에비해바이러스가포함된메일통계수치는약 10% 가량소폭으로증가하였습니다. 수집된스팸메일의통계수치도 6월에이어 7월통계가약 20% 가까이증가하였습니다. (2) 월별통계현황 [2012 년 02 월 ~ 2012 년 07 월 ] 800, , % 600, , % 400, , % 4.7% % 4.8% 바이러스 스팸 200, , 월 3 월 4 월 5 월 6 월 7 월 월별통계현황은전체악성메일중단순스팸메일과악성코드첨부메일의각비율을나타내는 그래프입니다. 7 월에는스팸메일이 95.2%, 바이러스첨부메일이 4.8% 의비율로수신된것으로 나타났습니다. 페이지 20

21 (3) 스팸메일내의악성코드현황 [2012 년 6 월 1 일 ~ 2012 년 6 월 31 일 ]ff 순위 악성코드진단명 메일수 [ 개 ] 비율 [%] 1 W32/Mytob-C 4, % 2 W32/MyDoom-H 1, % 3 Mal/ZipMal-B 1, % 4 W32/Virut-T % 5 Mal/BredoZp-B % 6 Troj/Invo-Zip % 7 W32/Lovgate-V % 8 W32/MyDoom-N % 9 W32/MyDoom-F % 10 W32/Bagle-CF % 스팸메일내의악성코드현황은 6월한달동안수신된메일에서발견된악성코드중 Top 10을뽑은그래프입니다. 현재 W32/Mytob-C가 27.88% 로비율이지난달에비해약간감소하였으나 3달연속으로 1위를차지하고있으며, 2위는 11.94% 를차지한 W32/MyDoom-H, 3위는 9.25% 를차지한 Mal/ZipMal-B입니다. 2위와 3위역시비율의변화는있었으나지난달과동일한순위를보이고있습니다. 7월에유입된스팸메일수는 6 월에비해약 20% 가까이증가하였습니다. 페이지 21

22 Part Ⅱ 보안이슈돋보기 1. 7 월의보안이슈 7월 15일부터모바일플래시플레이어의배포가중단됩니다. 그밖에 MS 제로데이취약점악용한 ARP 스푸핑공격, DNS체인저악성코드, 애플스토어에서악성코드발견, 은행 4곳파밍공격발생, 마흐디악성코드발견건등이 7월의이슈가되었습니다. 7월 15일부터모바일플래시배포중단플래시는매년몇차례씩보안의취약점을드러냈으며, 매달한번씩보안패치가진행될만큼많은해커들의공격을받아왔습니다. 모바일상황도크게다르지않았으며, 특히모바일플래시플레이어자체가무겁고과도한베터리소모를유발하는약점도가지고있었습니다. 그래서어도비는 7월 15일을기준으로모바일플래시배포를중단하기로하였으며, 모바일플래시를대체할수있는 HTML5 컨텐츠제작에집중하고있습니다. MS 제로데이취약점악용한 ARP 스푸핑공격공격자가원격으로임의의코드를실행할수있는코드실행취약점인 CVE 취약점을악용한악성코드가 6월중순부터여러가지형태로유포되고있었습니다. 특히 6월 27일부터는 ARP 스푸핑공격기능을포함한악성코드들이제로데이취약점을이용하여유포되었으며, 정식보안패치가나오지않은상황에서많은 PC들이제로데이공격위험에노출되어있었습니다. 이에따라 MS는임시보안패치를내놓았으며, 정식패치는 7월 11일에발표되었습니다. DNS체인저한국에침투전세계적으로 420만대개인용 PC를감염시킨악성코드 DNS 체인저 가국내에서도발견되었습니다. DNS체인저는컴퓨터의 DNS 설정을바꿔인터넷접속에장애를일으키는악성코드로국내에서는 1,798대의 PC가감염되었습니다. 한국인터넷진흥원 (KISA) 와경찰은악성코드에감염된사용자들에게피해사실을알리고치료방법을안내했습니다. 앞서미 FBI는피해방지를위해서, 감염시설정되는악성DNS IP에클린 DNS를운영해왔으나 7 월 9일부로운영을중단했습니다. 이조치로인해 DNS 체인저에감염된적이있는 PC는이때부터인터넷연결에장애가발생할수있다고경고한바있습니다. 애플스토어에서악성코드발견철저한보안을자랑하던애플스토어에서악성코드가발견되었습니다. 악성코드에감염된앱은 파인드앤콜 (Find and Call) 로사용자의연락처와 GPS 등위치정보를지정된원격서버에몰래업로드하였습니다. 또한사용자몰래수집한연락처를이용해몰래스팸메세지를발송하기도했습니다. 현재파인드앤콜은는앱스토어와구글플레이에서모두삭제되었지만, 앱스토어도악성코드로부터완전히자유로울수는없다는것이확인되었습니다. 페이지 22

23 은행 4곳파밍에습격국민은행, 농협, 우리은행, 외환은행이파밍공격을당했습니다. 파밍은정상사이트에접속해도해커가만든가짜사이트에접속이되는공격형태입니다. 가짜사이트는정상사이트와동일한형태로꾸며졌으며, 보안승급등을이유로개인정보를요구하며, 공인인증서입력화면까지유사하게설계되었습니다. 실제로피해로이어지지는않았지만, 금융권을중심으로파밍경계령이내려졌습니다. 파밍은피싱과달리주소창에보여지는 URL까지진짜와똑같다는점에서매우위험합니다. 새로운바이러스마흐디 (Mahdi), 중동에서발견스턱스넷, 듀큐, 플레임처럼, 군사목적의사이버무기로활용될가능성이의심되는새로운악성코드마흐디 (Mahdi) 가발견되었습니다. 마흐디는이슬람교의메시아를의미하는말로파일의이름을따서명명되었으며, 특정지역을대상으로선택한컴퓨터만공격한다는점에서사이버무기로의심을받았습니다. 마흐디는 PDF파일, 엑셀및워드문서의취약점을악용하여감염되는것으로알려졌으나아직완전히파악되지는않은상태로, 더정밀한분석결과를기다리고있습니다. 페이지 23

24 2. 8 월의취약점이슈 8 월 MS 정기보안업데이트가아직발표되지않아, 8 월의보안업데이트정보는 9 월호에 게시됩니다. 알마인드 DLL하이재킹취약점보안업데이트권고이스트소프트의마인드맵프로그램 알마인드 에서, DLL하이재킹취약점이발견되었습니다. 사용자가특수하게조작된 DLL파일과동일한디렉토리경로에존재하는정상파일을알마인드프로그램을통하여열람할경우, 원격코드가실행될수있습니다. 사용자는해당취약점을이용한공격이발생하지않도록알마인드프로그램을최신버전으로업그레이드하시기바랍니다. < 해당제품 > 알마인드 및이전버전 < 해결방법 > 알툴즈홈페이지를방문하여알마인드최신버전을재설치하거나, [ 시작 ] - [ 모든프로그램 ] - [ 이스트소프트 ] - [ 알툴즈업데이트 ] 를통해최신버전으로업데이트하시기바랍니다. < 참고사이트 > 페이지 24

25 아래한글원격코드실행취약점보안업데이트권고한글과컴퓨터사의워드프로세서 아래한글 에서원격코드실행취약점 2종이발견되었습니다. 낮은버전의아래한글사용자는악성코드감염에취약할수있으므로해결방안에따라보안업데이트를하시기바랍니다. - 공격자는웹게시, 스팸메일, 메신저의링크등을통해특수하게조작된한글문서 (HWP) 파일을사용자가열어보도록유도하여원격코드가실행될수있는취약점 - 사용자가특수하게조작된 DLL 파일과동일한디렉토리경로에존재하는정상 HWP 문서 파일을열람할경우, 원격코드가실행될수있는취약점 < 해당제품 > 한글 및이전버전 한글 및이전버전 한글 및이전버전 한글 및이전버전 한글 및이전버전 < 해결방법 > 홈페이지를방문하여보안업데이트파일을다운받아설치하거나, 자동업데이트를통해 한글최신버전으로업데이트하시기바랍니다. 업데이트다운로드페이지 : 자동업데이트 : 시작 모든프로그램 한글과컴퓨터 한컴자동업데이트 < 참고사이트 > 페이지 25

26 Contact us 이스트소프트알약대응팀 Tel : help@alyac.co.kr : 알약홈페이지 : 페이지 26