Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights res

Size: px

Start display at page:

Download "Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights res"

유비 국
5 years ago
Views:

1 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. ASEC REPORT VOL 안철수연구소월간보안보고서 이달의보안동향타깃공격 (Target Attack) 의위험성 Google's Shorten URL Service 서비스를이용한악성코드유포사례발생

2 AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구소의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 ( 에서확인하실수있습니다. CONTENTS 1. 악성코드동향 a. 악성코드통계 5 2. 시큐리티동향 a. 시큐리티통계 22 - 악성코드감염보고 Top 2 - 악성코드대표진단명감염보고 Top 2 - 악성코드유형별감염보고비율 - 악성코드유형별감염보고전월비교 - 악성코드월별감염보고건수 - 신종악성코드감염보고 Top 2 - 신종악성코드유형별분포 b. 악성코드이슈 1 - 타깃공격 (Target Attack) 의위험성 - 다양한조직을대상으로한오퍼레이션 Shady RAT 침해사고 - EMC/RSA 침해사고유발한타깃공격이메일발견 - 아마존클라우드서비스를악용한스파이아이유포 - 제우스봇소스코드기반으로제작된아이스 IX 봇 - Google's Shorten URL Service 서비스를이용한악성코드유포사례발생 - 트위터로신용카드결제를유도하는스팸메시지유포 - 신용카드결제오류메일로위장한악성코드유포 - AV(19+) 에도 AV(Anti-Virus) 는필요하다!? - 스마트폰보안위협증가 - SMS, 통화명세를수집 / 전송하는안드로이드악성앱 Nicky - 스마트폰정보를유출하는안드로이드악성코드주의 - SNS 구글플러스 (Google+) 로위장한안드로이드악성 APP Google 월마이크로소프트보안업데이트현황 3. 웹보안동향 a. 웹보안통계 24 - 웹사이트보안요약 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위 b. 웹보안이슈 년 8 월침해사이트현황

3 Web 악성코드동향 a. 악성코드통계 악성코드감염보고 Top 2 악성코드대표진단명감염보고 Top 년 8 월악성코드통계현황은다음과같다. 211 년 8 월의악성코드감염보고에서는 Swf/Agent 가 1 위를차지하고있으며, JS/Agent 와 Textimage/Autorun 이각각 2 위와 3 위를차지하였다. 신규로 Top2 에진입한악성코드는총 7 건이다. 아래표는악성코드별변종종합감염보고순위를악성코드대표진단명에따라정리한것이다. 이를통 해악성코드의동향을파악할수있다. 211 년 8 월의감염보고건수는 Win-Trojan/Downloader 가총 85,163 건으로 Top2 중 1.4% 의비율로 1 위를차지하고있으며, Swf/Agent 가 712,68 건으로 2 위, Win-Trojan/Agent 이 698,272 건으로 3 위를차지하였다. 순위 등락 악성코드명 건수 비율 1 NEW Swf/Agent 712, % 2 1 JS/Agent 566, % 3 1 Textimage/Autorun 536, % 4 NEW JS/Exploit 382, % 5 2 Html/Agent 377, % 6 5 JS/Iframe 352, % 7 1 Swf/Cve , % 8 NEW Swf/Exploit 231, % 9 NEW Win-Trojan/Startpage AO 168, % 1 5 Win32/Induc 119, % 11 NEW Win-Trojan/Onlinegamehack69.Gen 113, % 12 5 Win-Trojan/Downloader AE 15, % 13 NEW Win-Trojan/Overtls57.Gen 99, % 14 5 Win32/Palevo1.worm.Gen 95, % 15 NEW Als/Bursted 89, % Swf/Cve , % 17 2 Win-Trojan/Onlinegamehack57.Gen 87, % 18 8 Win32/Conficker.worm.Gen 85, % Win32/Virut.d 81, % 2 5 Win-Trojan/Downloader13.Gen 71, % 4,679,724 1 % [ 표 1-1] 악성코드감염보고 Top 2 순위 등락 악성코드명 건수 비율 1 1 Win-Trojan/Downloader 85, % 2 NEW Swf/Agent 712, % 3 2 Win-Trojan/Agent 698, % 4 3 Win-Adware/Korad 65, % 5 2 JS/Agent 566, % 6 Textimage/Autorun 536, % 7 3 Win-Trojan/Onlinegamehack 425, % 8 NEW JS/Exploit 382,59 5. % 9 1 Html/Agent 377, % 1 NEW JS/Iframe 352, % 11 4 Win32/Virut 33, % 12 NEW Swf/Cve , % 13 4 Win32/Conficker 276, % 14 NEW Swf/Exploit 231, % 15 4 Win32/Autorun.worm 23, % 16 NEW Win-Trojan/Startpage 198, % 17 5 Win-Trojan/Winsoft 176, % 18 3 Win32/Kido 175, % 19 6 Dropper/Malware 16, % 2 NEW Win-Downloader/Korad 148, % 7,76,46 1 % [ 표 1-2] 악성코드대표진단명감염보고 Top 2

4 Vol.18 Web 7 8 악성코드유형별감염보고비율 악성코드월별감염보고건수 아래차트는 211 년 8 월한달동안안철수연구소가집계한악성코드의유형별감염비율을분석한결과다. 211 년 8 월의감염보고건수중악성코드를유형별로살펴보면, 감염보고건수비율은트로이잔 (TROJAN) 류 8 월의악성코드월별감염보고건수는 13,666,715 건으로 7 월의악성코드월별감염보고건수 14,878,454 건에비해 1,211,739 건이감소하였다. 가 36.2% 로가장많이차지하였으며, 스크립트 (SCRIPT) 가 25.9%, 웜 (WORM) 이 1% 로각각그뒤를잇고있다 % ADWARE APPCARE DOWNLOADER DROPPER ETC 8.4%.6% 1.9% 4.1% 7.8% TROJAN SCRIPT 36.2% 25.9% 2,, 18,, 16,, 14,, 14,176,633 14,878, % -2.3% 13,666, ,821-1,211, % SCRIPT SPYWARE TROJAN 25.9%.6% 36.2% WORM 1.% OTHER 27.9% 12,, VIRUS WORM 4.5% 1.% [ 그림 1-1] 악성코드유형별감염보고비율 [ 그림 1-3] 악성코드월별감염보고건수 악성코드유형별감염보고전월비교 악성코드유형별감염보고비율을전월과비교하면, 스크립트, 다운로더 (DOWNLOADER), 스파이웨 어 (SPYWARE) 가전월에비해증가세를보이고있는반면트로이잔, 웜, 애드웨어 (ADWARE), 바이러 신종악성코드유형별분포 8 월의신종악성코드유형별분포는트로이잔이 66% 로 1 위를차지하였다. 그뒤를이어애드웨어가 15%, 드롭퍼가 8% 를점유하였다. 스 (VIRUS), 드롭퍼 (DROPPER), 클리커 (CLICKER) 는전월에비해감소한것을볼수있다. 애프케어 (APPCARE) 계열들은전월수준을유지하였다 ADWARE APPCARE CLICKER DOWNLOADER TROJAN 36.9% 36.2% DROPPER ETC SCRIPT SPYWARE VIRUS WORM [ 그림 1-2] 악성코드유형별감염보고전월비교 [ 그림 1-4] 신종악성코드유형별분포

Web 9 1 신종악성코드감염보고 Top 2 아래표는 8 월에신규로접수된악성코드중고객으로부터감염이보고된악성코드 Top2 이다. 8 월의 신종악성코드감염보고의 Top 2 은 Win-Trojan/Startpage.118784.AO 가 168,327 건으로 27.3% 로 1 위 1. 악성코드동향 b. 악성코드이슈 를차지하였으며, Win-Trojan/Agent.

6656 35,44 5.7 % 5 Win-Trojan/Agent.978944.DT 3,6 5. % 6 Dropper/Agent.199528 28,918 4.7 % 7 Win-Adware/AdCenter.254865 23,257 3.8 % 8 Win-Trojan/Downloader.461824.C 21,236 3.4 % 9 Win-Spyware/Agent.

9 % 14 Win-Trojan/Downloader.41428.G 17,771 2.9 % 15 Win-Adware/KorAd.239616 17,755 2.9 % 16 Win-Trojan/Downloader.137648.D 17,317 2.8 % 17 Win-Trojan/Downloader.165688.B 17,217 2.

5 Web 9 1 신종악성코드감염보고 Top 2 아래표는 8 월에신규로접수된악성코드중고객으로부터감염이보고된악성코드 Top2 이다. 8 월의 신종악성코드감염보고의 Top 2 은 Win-Trojan/Startpage AO 가 168,327 건으로 27.3% 로 1 위 1. 악성코드동향 b. 악성코드이슈 를차지하였으며, Win-Trojan/Agent CFM 가 53,151 건으로 2 위를차지하였다. 순위악성코드명건수비율 1 Win-Trojan/Startpage AO 168, % 2 Win-Trojan/Agent CFM 53, % 3 Win-Trojan/Agent , % 4 Win-Trojan/Fosniw , % 5 Win-Trojan/Agent DT 3,6 5. % 6 Dropper/Agent , % 7 Win-Adware/AdCenter , % 8 Win-Trojan/Downloader C 21, % 9 Win-Spyware/Agent C 2, % 1 Win-Trojan/Downloader B 19, % 11 Win-Adware/KorAd , % 12 Dropper/Malware BT 19, % 13 Win-Adware/KorAd B 18, % 14 Win-Trojan/Downloader G 17, % 15 Win-Adware/KorAd , % 16 Win-Trojan/Downloader D 17, % 17 Win-Trojan/Downloader B 17, % 18 Win-Trojan/Downloader.4224.L 17, % 19 Win-Adware/KorAd , % 2 Win-Trojan/Agent AL 16, % 616,882 1 % [ 표 1-3] 신종악성코드감염보고 Top 2 타깃공격 (Target Attack) 의위험성최근국내대형포털사이트및특정웹사이트등이해킹되어개인정보가유출되는사건이발생하였다. 이러한공격의이면에는특정목표를정한공격즉, 타깃공격 (Target Attack) 또는 APT(Advanced Persistent Threat, 지능형타깃지속공격 ) 기법이사용된것으로몇년전부터이러한공격기법에대해위험성이커지고있다. 타깃공격또는 APT 기법은크게사내망을공격하는것과서버망을공격하는것으로나누어지는데서버망을공격하는방식은일반적인해킹기법과유사하지만사내망을공격하는방식은사회공학, 악성코드, 피싱, 키로깅, 특정애플리케이션취약점공격, 리버스셸 (Reverse Shell) 명령실행및데이터베이스해킹등다양한방법으로이루어지고있다. 이러한공격에대응하기위해서는복합적인보안방법이필요하다. 일반적으로사내의특정 PC가악성코드등에감염이되면아래와같이해당 PC의운영체제정보등이유출된다. 패킷 (Packet) 데이터가암호화된경우도있어네트워크상에서확인이힘든경우도있다. [ 그림 1-5] 중국산 RAT 툴에서시스템정보네트워크유출패킷 [ 그림 1-6] Reverse Shell 에서실행프로세스확인스템정보확인, 프로세스확인, 특정명령실행, 키로그, 프락시지원, 원격관리등의다양한기능을가져위험성이더크다고할수있다. 또한, 중요한데이터가저장되어있는데이터베이스 ( 이하 DB) 를사내의취약한 PC를이용하여 DB 서버로특정 SQL Query를실행하는공격방식도사용되고있다. 이경우는사내의신뢰된시스템에서 DB 서버로접속하므로 DB 서버에로그를분석할수있는환경이없으면 DB 서버의정보유출을파악하기가쉽지않다. [ 그림 1-7] 원격 SQL 명령실행툴 아울러공격자는장시간동안사내 PC 감시및특정명령을실행할수있는리버스셸 (Reverse Shell) 등을이용하는데리버스셸은방화벽을회피 (bypass) 하는방식의특정명령어를실행하는것으로시스템정보확인, 프로세스확인, 특정명령실행, 키로그, 프락시지원, 원격관리등의다양한기능을가져위험성이더크다고할수있다. 아울러공격자는장시간동안사내 PC 감시및특정명령을실행할수있는리버스셸 (Reverse Shell) 등을이용하는데리버스셸은방화벽을회피 (bypass) 하는방식의특정명령어를실행하는것으로시 타깃공격및 APT에대응하기위해서는기초정보수집, 악성코드, 기밀정보유출등에대해아래와같은대응방식이필요하다. 특히중요한정보를담고있는서버망에접속할수있는사내관리자들은망분리 ( 물리적또는논리적 ), 리눅스및유닉스운영체제사용등을고려해볼수있다. 1. 조직내부정보나구성원의신원정보통제 2. 지속적인각종보안위협징후내 외부모니터링및로그분석 3. 구성원에대한주기적인보안교육 (P2P, 웹하드, SW 자동업데이트등 ) 4. PC( 엔드포인트 ) 에설치된보안소프트웨어의주기적인관리와감독

Web 11 12 5. 기업내부에서검토및인증한애플리케이션들의화이트리스트 개의악성코드가해당침해사고와직접적으로연관된것으로파악 해당엑셀첨부파일은당시제로데이 (Zero-Day, -Day) 취약점이 만, 이번스파이아이악성코드와같이보안위협의유포를위한부 작성후화이트리스트이외다른애플리케이션설치 / 실행차단 하였다.

EMC/RSA 에서발생한 APT 구성되어있으며이러한웹서비스를아마존의클라우드서비스를 7. 중요시스템네트워크대역과임직원네트워크대역분리 와함께다계층적인보안장비및소프트웨어구축이필요하며무엇 형태의침해사고는사람의심리를공격한다는고도화된사회공학 이용해서웹서비스를하고있다.) 이렇게상용화된클라우드와가상 8.

이번 EMC/ 들은언제, 어디서나악성코드에감염된시스템들의조정과유포를 볼수있다. RSA 에서발생한침해사고에이용된타깃공격을위한이메일에첨 할수있게된다.

이러한 APT 형태의보안위협은올해 2월공개된글로벌에너지업체를대상으로한나이트드래곤보안위협과 3월공개된 EMC/RSA 침해사고를대표적으로들수가있다. 이번맥아피에의해명명된 Operation Shady RAT은 5년 6개월이라는기간에걸쳐조직적으로침해사고가발생하였으며, 해당침해사고에의해피해가발생한조직은총 72개로아래이미지와같은피해조직의형태분류가가능한것으로공개되었다.

6 Web 기업내부에서검토및인증한애플리케이션들의화이트리스트 개의악성코드가해당침해사고와직접적으로연관된것으로파악 해당엑셀첨부파일은당시제로데이 (Zero-Day, -Day) 취약점이 만, 이번스파이아이악성코드와같이보안위협의유포를위한부 작성후화이트리스트이외다른애플리케이션설치 / 실행차단 하였다. 타깃공격을동반하는 APT 형태의보안위협은조직전체 었던어도비플래시플레이어 (Adobe Flash Player) 의 CVE-211- 정적인측면도존재한다. ( 스파이아이의 C&C 는웹기반의서버로 6. 확인 / 인가되지않은계정의중요시스템접근최소화 / 차단 를거시적인관점에서바라보는정보보호전략을필요로하며, 이 69 취약점을악용하도록제작되었다. EMC/RSA 에서발생한 APT 구성되어있으며이러한웹서비스를아마존의클라우드서비스를 7. 중요시스템네트워크대역과임직원네트워크대역분리 와함께다계층적인보안장비및소프트웨어구축이필요하며무엇 형태의침해사고는사람의심리를공격한다는고도화된사회공학 이용해서웹서비스를하고있다.) 이렇게상용화된클라우드와가상 8. PC 에설치된운영체제및애플리케이션취약점패치및관리 보다도기업내부직원들의보안정책준수와사회공학기법 (Social (Social Engineering) 과제로데이취약점을악용해원격제어형태의 화서비스를악용하게되면보안위협을양산하는악성코드제작자 9. 데이터암호화 Engineering) 에대응하기위한보안인식교육의제공이중요하다고 악성코드감염을시도한복합적인형태로볼수가있다. 이번 EMC/ 들은언제, 어디서나악성코드에감염된시스템들의조정과유포를 볼수있다. RSA 에서발생한침해사고에이용된타깃공격을위한이메일에첨 할수있게된다. 그러므로클라우드와가상화서비스를제공하는 다양한조직을대상으로한오퍼레이션 Shady RAT 침해사고현지시각 8월 2일미국보안업체맥아피 (McAfee) 에서블로그 "Revealed: Operation Shady RAT" 을통해 5년 6개월동안조직적으로이루어진 APT(Advanced Persistent Threat) 형태의침해사고를발견하였다는내용을게시하였다. 이러한 APT 형태의보안위협은올해 2월공개된글로벌에너지업체를대상으로한나이트드래곤보안위협과 3월공개된 EMC/RSA 침해사고를대표적으로들수가있다. 이번맥아피에의해명명된 Operation Shady RAT은 5년 6개월이라는기간에걸쳐조직적으로침해사고가발생하였으며, 해당침해사고에의해피해가발생한조직은총 72개로아래이미지와같은피해조직의형태분류가가능한것으로공개되었다. [ 그림 1-8] Operation Shady RAT 침해사고로피해를본단체들분류 이번 Operation Shady RAT 침해사고와관련된악성코드들은모두 V3 제품군에서진단가능하며그중일부진단명은다음과같다. - Win-Trojan/Sharat Win-Trojan/Sharat Win-Trojan/Sharat Win-Trojan/Sharat EMC/RSA 침해사고유발한타깃공격이메일발견 ASEC에서는 4월 4일 EMC/RSA에서 APT 형태의침해사고가발생하였으며, 이로말미암아 2 팩터인증 (2 Factor Authentication) 관련정보들이외부로유출되었다는사실을전한바가있다. 당시 EMC/RSA에서는해당 APT 형태의침해사고는 '211 Recruitment plan.xls' 라는엑셀 (Excel) 파일이첨부된메일을이용한타깃공격 (Targeted Attack) 으로부터침해사고가발생하였다는사실을공개 부된엑셀파일은 V3 제품군에서다음과같이진단한다. - Dropper/Cve 아마존클라우드서비스를악용한스파이아이유포 211년 1월 ASEC에서는 211년예상되는 7대보안위협을선정하여발표하였다. 해당 211년 7대보안위협예측에서는소셜네트워크서비스 (Social Network Service) 를악용한보안위협과제로데이 (Zero-Day, -Day) 공격의고도화등 211년에도지속적으로발생할가능성이큰주요보안위협이슈들을선정하였다. 해당 7대보안위협예측중에는 " 클라우드, 가상화기술이용한위협등장 " 이포함되어있으며, 해당보안위협은악성코드와같은보안위협을광범위하게유포하기위해 IT 자원의효율적인사용과관리로주목받고있는클라우드 (Cloud) 와가상화 (Virtualization) 기술을악용하는것으로볼수있다. 공급자는자사의서비스가악의적인목적으로이용되지않는지지속적인모니터링과시스템감사가필요하다. 제우스봇소스코드기반으로제작된아이스 IX 봇금융정보탈취를위한목적으로제작되어 21년부터급격하게유포되기시작한제우스봇 (Zeus Bot) 이 211년 5월소스코드 (Source Code) 가유출된이후로그변형제작이급격하게증가할것으로많은보안업체들은우려하고있다. [ 그림 1-11] 유출된제우스봇소스코드들 하였다. 이러한사실관계가현지시각 8 월 26 일핀란드보안업체 현지시각 7 월 29 일러시아보안업체인카스퍼스키 (Kaspersky) 의 F-Secure의 "How we found the file that was used to Hack RSA" 블로그를통해공개되었다. F-Secure에서밝힌 EMC/RSA에서발생한 APT 형태의침해사고에악용된이메일은 ASEC에서확인한아래이미지와같이 211 Recruitment plan.xls(18,32바이트 ) 가첨부된타깃공격을위한이메일로부터시작되었다. [ 그림 1-9] EMC/RSA 침해사고에악용된악성코드가첨부된이메일 블로그 "Amazon S3 exploiting through SpyEye" 를통해제우스봇 (ZeusBot) 과함께금융정보탈취를위해제작되기로유명한스파이아이 (SpyEye) 가클라우드서비스를제공하는아마존 S3(Amazon S3) 를악용해유포되었다는사실이공개되었다. 이번에발견된스파이아이유포와조정을위한 C&C(Command and Control) 서버는아래캐스퍼스키에서공개한이미지와같이아마존 S3 서비스를악용하여개인금융정보등을수집하고있었다. [ 그림 1-1] 아마존의클라우드서비스를악용한스파이아이 현지시각으로 211년 8월 24일러시아보안업체인카스퍼스키 (Kaspersky) 에서는블로그 "Ice IX, the first crimeware based on the leaked ZeuS sources" 를통해새롭게발견된아이스 IX 봇 (Ice IX Bot) 은 5월에유출된제우스봇의소스코드를기반으로제작된것이라는사실을공개하였다. 아이스 IX 봇은러시아인으로추정되는인 [ 그림 1-12] 아이스 IX 봇생성기와웹패널을판매한다는게시물 해당침해사고는기존에이미알려진타깃공격 (Targeted Attack) 과유사하며악성코드를내려받을수있는웹사이트링크, 일반애 플리케이션들의취약점악용이나워드 (Word) 와 PDF 파일로위장 한악성코드를첨부한이메일 ( ) 을공격목표로하는조직의 직원들에게전송하는공격기법들을사용하였다. 조직내부직원들 의시스템에감염된악성코드들은 C&C(Command and Control) 서버에접속하여원격제어할수있는형태이며, ASEC에서는약 25 클라우드와가상화서비스를기업에서활용하면 IT 자원의효율적인활용과업무공간의이동성이보장되는긍정적인측면도존재하지

Web 13 14 물에의해제작되었으며, 아래이미지와같이언더그라운드포럼에 [ 그림 1-12] 와같이자신이제작한아이스 IX 봇을판매한다는게시물을공개하고있다. [ 그림 1-14] 정상 Explorer.

봇은유출된제우스소스코드를기반으로제작된것임을밝히고있으며, 아이스 IX 봇을생성하기위한빌더 (Builder) 와원격제어할수있는웹기반의패널 (Panel) 을합쳐 6 달러 ( 한화약 66,원 ) 에판매한다.

그리고아이스 IX 봇제작자가공개한원격제어를위한웹기반의패널은아래와같은이미지형태들을가지고있으며, 기존에발견된제우스봇또는스파이아이봇 (Spyeye Bot) 의원격제어웹기반패널들과유사한형태를띠고있다.

BC [ 그림 1-18] 은악성코드유포 URL이단축 URL로변환되어 Twitter 를통해서확산됐던예로, [ 그림 1-19] 의 '<script src=' 태그로삽입된악성단축 URL에접근해보면 [ 그림

가동작한다. 정상프로세스인 explorer.exe의메모리영역에삽입된아이스 IX 봇은자신의코드전체를아래이미지와같이삽입하게되어있으며, 해당정상프로세스 ( 정상 explorer.

[ 그림 1-15] 메모리영역에삽입된아이스 IX 봇코드 Google's Shorten URL Service 서비스를이용한악성코드유포사례발생 * 단축 URL 서비스 (Shorten URL Service)

봇의기본적인동작은기존에알려진제우스봇과유사하며제작자가의도한원격제어외에다양한기능들을수행하게되어있다.

7 Web 물에의해제작되었으며, 아래이미지와같이언더그라운드포럼에 [ 그림 1-12] 와같이자신이제작한아이스 IX 봇을판매한다는게시물을공개하고있다. [ 그림 1-14] 정상 Explorer.exe 의메모리영역에자신의코드를삽입 [ 그림 1-16] C&C 서버와통신을수행하는아이스 IX 봇 [ 그림 1-18] 단축 URL 로변환된악성코드유포 URL 해당게시물을통해아이스 IX 봇은유출된제우스소스코드를기반으로제작된것임을밝히고있으며, 아이스 IX 봇을생성하기위한빌더 (Builder) 와원격제어할수있는웹기반의패널 (Panel) 을합쳐 6 달러 ( 한화약 66,원 ) 에판매한다. 그리고아이스 IX 봇의제작횟수제한이없는빌더는 18 달러 ( 한화약 1,98,원 ) 에판매한다고명시해두었다. 그리고아이스 IX 봇제작자가공개한원격제어를위한웹기반의패널은아래와같은이미지형태들을가지고있으며, 기존에발견된제우스봇또는스파이아이봇 (Spyeye Bot) 의원격제어웹기반패널들과유사한형태를띠고있다. 제우스봇의유출된소스코드를기반으로제작된것으로알려진아이스 IX 봇은 V3 제품군에서다음과같이진단한다. [ 그림 1-13] 웹기반의아이스 IX 봇 C&C 서버 - Win-Trojan/Zbot.9984.BC [ 그림 1-18] 은악성코드유포 URL이단축 URL로변환되어 Twitter 를통해서확산됐던예로, [ 그림 1-19] 의 '<script src=' 태그로삽입된악성단축 URL에접근해보면 [ 그림 1-2] 처럼다른악성스크립트를내려받는 URL이존재하며, 해당 iframe tag가동작하면서접속한 PC의 Internet Explorer의버전을검사하여버전에맞는취약점을내포한스크립트 ([ 그림 1-21]) 가동작한다. 정상프로세스인 explorer.exe의메모리영역에삽입된아이스 IX 봇은자신의코드전체를아래이미지와같이삽입하게되어있으며, 해당정상프로세스 ( 정상 explorer.exe) 를이용하여외부에있는원격제어를위한 C&C(Command and Control) 서버에접속을시도한다. [ 그림 1-15] 메모리영역에삽입된아이스 IX 봇코드 Google's Shorten URL Service 서비스를이용한악성코드유포사례발생 * 단축 URL 서비스 (Shorten URL Service) 란? 단축 URL 서비스 (Shorten URL Service) 는 Twitter, FaceBook 같은 SNS(Social Network Service) 에서활발히사용되고있으며포스팅할수있 는글자수의제한을보완하기위해서원본 URL 을짧게변환하는것이다. [ 그림 1-19] Google's Shorten URL Service 를이용한악성코드유포 [ 그림 1-17] Google's Shorten URL Service 아이스 IX 봇의기본적인동작은기존에알려진제우스봇과유사하며제작자가의도한원격제어외에다양한기능들을수행하게되어있다. 원격제어를위한 C&C(Command and Control) 서버에접속을시도하여 [ 그림 1-16] 과같이감염된시스템에대한정보를전송하고악성코드제작자가지정한특정명령을수신한다. [ 그림 1-17] 의예처럼원본 URL을 'Google's Shorten URL Service' 를이용하여단축 URL로변환하면원본 URL의길이보다짧아지므로그만큼의포스팅할수있는글자수를확보할수있는장점이있다. 하지만이를악용한사례 ( 악성코드유포, 광고등 ) 가자주발견되고있어주의가필요하다. 단축 URL 서비스의가장큰위험성은바로 ' 단축 URL을신뢰할수있는가?' 란문제인데사용자로서는원본 URL을알수가없고이미단축 URL로변환된후이므로해당단축 URL의위험성을판단할수가없다. 그리고무심코클릭하여광고창에노출되거나악성코드에감염되는사례가발생하는것이다. [ 그림 1-2] 악성단축 URL 에삽입된 Iframe Tag

Web 15 16 [ 그림 1-21] Internet Explorer 의버전체크및동작스크립트 4. [ 빠른설치 ] 버튼을눌러업데이트진행 이렇게유포된트위터메시지에포함된구글단축 URL을클릭하게되면 [ 그림 1-27] 과같이 ' 적은돈을투자해서큰돈을벌수있다 ' 라는허위사실을광고하는웹페이지로연결된다.

트위터로신용카드결제를유도하는스팸메시지유포 8월 9일오후소셜네트워크서비스 (Social Network Service) 인트위터 (Twitter) 로아무런내용도없이구글 URL 단축 (Google URL Shortening) 을악용해신용카드결제를유도하는스팸성메시지들이유포되었다.

[ 그림 1-22] 악성스크립트의동작구조 [ 그림 1-24] 트위터로발송된스팸성메시지 메일제목 ( 다음중하나 ) - Hotel [ 호텔명 ] made wrong transaction - [ 호텔명 ] made wrong transaction - Wrong transaction from your credit card in [ 리조트명 ] Golf

Transaction: Visa [ 숫자 5 자리 ]_r We are sorry to inform you that on July 26th, 211 Hotel transaction debiting from your account for an overall amount of $1232. 해당악성코드에감염되면윈도우정상파일 (imm32.

us에서제공하는단축 URL 주소만포함되어있다. [ 그림 1-25] 단축 URL만포함된스팸성트위터메시지 해당웹페이지에있는 'Download Now' 를클릭하게되면아래이미지와같이신용카드정보를입력하고결제를하도록유도한다.

8 Web [ 그림 1-21] Internet Explorer 의버전체크및동작스크립트 4. [ 빠른설치 ] 버튼을눌러업데이트진행 이렇게유포된트위터메시지에포함된구글단축 URL을클릭하게되면 [ 그림 1-27] 과같이 ' 적은돈을투자해서큰돈을벌수있다 ' 라는허위사실을광고하는웹페이지로연결된다. 하여메일을수신자자신이사용하는신용카드에문제가있는것으로현혹되어첨부된악성코드를실행하도록유도하고있다. 이번에발견된해당악성코드는 [ 표 1-4] 의형태를취하고있다. 트위터로신용카드결제를유도하는스팸메시지유포 8월 9일오후소셜네트워크서비스 (Social Network Service) 인트위터 (Twitter) 로아무런내용도없이구글 URL 단축 (Google URL Shortening) 을악용해신용카드결제를유도하는스팸성메시지들이유포되었다. 이번에트위터에서발견된스팸성메시지들은아래이미지와같이악의적인목적으로허위생성된것으로추정되는다수계정을이용해유포되었다. [ 그림 1-27] 단축 URL 클릭시연결되는허위광고웹페이지 [ 표 1-4] 신용카드결제오류메일로위장한메일구성 이번에도가능한한많은 PC가악성코드에감염되도록다양한취약점을사용하였으며전체적인구조를요약해보면아래와같다. [ 그림 1-22] 악성스크립트의동작구조 [ 그림 1-24] 트위터로발송된스팸성메시지 메일제목 ( 다음중하나 ) - Hotel [ 호텔명 ] made wrong transaction - [ 호텔명 ] made wrong transaction - Wrong transaction from your credit card in [ 리조트명 ] Golf Resort - Wrong transaction from your credit card in [ 호텔명 ] Dear Customer! Transaction: Visa [ 숫자 5 자리 ]_r We are sorry to inform you that on July 26th, 211 Hotel transaction debiting from your account for an overall amount of $1232. 해당악성코드에감염되면윈도우정상파일 (imm32.dll) 을교체하는증상이발생한다. 악성 imm32.dll이실행되면서백업된정상 imm32.dll인 Shell64.dll을로딩하도록해두었는데이는악성 imm32.dll의코드를통해서확인할수있다. [ 그림 1-23] 악성 imm32.dll의정상 API 호출기능 트위터메시지에는특별한문구나내용은포함되지않았으며구글단축 URL 주소나 [ 그림 1-25] 와같이 xrl.us에서제공하는단축 URL 주소만포함되어있다. [ 그림 1-25] 단축 URL만포함된스팸성트위터메시지 해당웹페이지에있는 'Download Now' 를클릭하게되면아래이미지와같이신용카드정보를입력하고결제를하도록유도한다. [ 그림 1-28] 신용카드결제정보를입력하도록유도하는웹페이지 메일본문 For noncompliance of the service contract this Hotel was divested accreditation in Moverick Company. For the return of funds please contact your bank and fill information in the attached form. You?ll need the attached detalization of your account transactions to apply for the return of funds. Company just mediates and bears no responsibility for any money transactions made by Hotel. Thank you for understanding. We trust you can solve this unpleasant problem. Victorine Mccrandle, Manager of Reception Desk & Reservation Departament Dear Guest! 해킹된웹사이트를통해서유포되는악성코드를예방하는것이최고의방법이므로아래내용을참고하여보안업데이트는반드시설치하도록한다. 해당메시지를보내는계정들은아래이미지와같이다른트위터메시지는발송한적이없으며특정웹사이트로연결하는구글단축 URL 주소들만다른트위터계정들에지속적으로전송하고있었다. [ 그림 1-26] 스팸성트위터메시지를지속적으로발송하는악성트위터계정 이번에발견된스팸성으로발송된트위터메시지는적은금액을투자해큰돈을벌수있는허위광고를통해신용카드결제를유도하고있으며, 이렇게입력되는신용카드정보는어떠한용도로다시이용될지알수없으므로각별한주의가필요하다. 이러한소셜네트워크서비스를통해발생하는보안위협들은다양한형태로발생하고있으므로잘알지못하는사람이보내는메시지에포함된단축 URL에대해서는세심한주의가필요하다. Transaction: Visa [ 숫자 5 자리 ]_oxi8q On July 26th, 211 Hotel made wrong transaction debiting from your credit card for an overall amount of $1122. For noncompliance of the service contract this Hotel was divested accreditation in Moverick Company. For the return of funds please contact your bank and fill information in the attached form. In the attachment you will find expense sheet with the sum of wrong transaction writing-down. Company just mediates and bears no responsibility for any money transactions made by Hotel. Thank you for understanding. We trust you can solve this unpleasant problem. Silver Rousch, Manager of Reception Desk & Reservation Departament 1) Adobe Flash Player는아래사이트에서최신버전을내려받아설치한다. ( 첨부파일 - RefundForm[ 숫자 4 자리 ].zip 파일 2) 인터넷익스플로러취약점은아래안내해드리는방법대로업데이트를진행한다. 신용카드결제오류메일로위장한악성코드유포 메일본문에는 7월 26일에결제한호텔경비가더결제되었으므로이를돌려받기위해서는첨부파일에은행계좌들을작성해달라는문구로첨부파일을실행하도록유도하고있다. 위와같은형식을가진악의적인스팸메일에첨부된 RefundForm[ 숫자 4자리 ].zip의압축을풀게되면다음과같은아이콘을가진 Refund_Form.exe 파일이생성된다. [Microsoft Windows 보안업데이트방법 ] 1. 인터넷익스플로러실행 2. 메뉴에서 [ 도구 ] - [Windows Update] 를선택 3. ActiveX를설치하라는메시지가나오면설치를진행 7월 28일부터유명리조트나호텔명을악용하여사용한신용카드결제에서오류가발생하였다는허위메일을발송하여첨부된악성코드를실행하도록유도하는악의적인스팸메일 (Spam Mail) 이유포되었다. 해당악의적인스팸메일은유명리조트나호텔명을언급

Web 17 18 [ 그림 1-29] 신용카드오류메일로위장한이메일에첨부된악성코드생성된해당파일을실행하게되면윈도우시스템에존재하는정상 svchost.exe 파일을실행시킨이후해당정상프로세스의특정메모리영역에해당파일전체를덮어쓰게된다. 그리고해당정상 svchost.

하지만, 공유되는파일에대한안전성까지보장하는것은아니다. 이에파일공유사이트가악성코드경유지뿐만아니라, 악성코드제작자의유포지로악용되는점을안내하고자한다.

[ 그림 1-32] 다운로드받은파일 / 생성된악성코드 [ 그림 1-33] 악성코드에의해변경된방화벽예외설정 [ 그림 1-34] cve-211-1823 exploit 코드해당취약점은진저브레이크 (GingerBreak) 란루팅툴에서도사용되고있었는데악성코드는진저브레이크와결합한형태로 3rd Party

1724928 스마트폰보안위협증가 내려받은파일은기존에발견되었던악의적인스팸메일이내려받 스마트폰사용이늘어남과동시에올해에는스마트폰의보안위협 는것과같은허위백신이다. 이번에발견된신용카드결제에서오 이나타나고있으며악성코드또한빠르게증가하고있다. 류가발생하였다는허위메일에첨부된악성코드들은 V3 제품군에서다음과같이진단한다.

865792 - Win-Trojan/Hmblocker.38524 AV(19+) 에도 AV(Anti-Virus) 는필요하다!? ' 파일공유사이트, utorrent, P2P 프로그램에서내려받은파일주의!' 많은사람이파일공유사이트를이용하는가장큰이유중의하나는접근하기쉽고, 원하는것을쉽게얻을수있어서일것이다.

$- C:\WINDOWS 폴더에 setup.exe / DTLitte.exe / _info.inf 파일을생성한다. 예제의악성코드에감염되면방화벽을우회하여백도어로사용될수있다.$

9 Web [ 그림 1-29] 신용카드오류메일로위장한이메일에첨부된악성코드생성된해당파일을실행하게되면윈도우시스템에존재하는정상 svchost.exe 파일을실행시킨이후해당정상프로세스의특정메모리영역에해당파일전체를덮어쓰게된다. 그리고해당정상 svchost.exe의프로세스를이용해아래이미지와같이러시아 (Russia) 에있는특정시스템에서 soft.exe(385,24바이트 ) 를내려받는다. [ 그림 1-3] 다른악성코드를다운로드시도하는악성코드 ' 내 PC의보안패치, 응용프로그램패치로취약점을조치한다면, 안전할까?' 악성코드가이용하는취약점을패치하였다면, 사이트접속만으로감염되지는않는다. 하지만, 공유되는파일에대한안전성까지보장하는것은아니다. 이에파일공유사이트가악성코드경유지뿐만아니라, 악성코드제작자의유포지로악용되는점을안내하고자한다. [ 그림 1-31] 동영상으로추정되는, exe로압축된형태의파일 [ 그림 1-31] 의파일공유사이트, utorrent, P2P 프로그램에서받은동영상 (AV) 을살펴보면다음과같은사실을알수있다. [ 그림 1-32] 다운로드받은파일 / 생성된악성코드 [ 그림 1-33] 악성코드에의해변경된방화벽예외설정 [ 그림 1-34] cve exploit 코드해당취약점은진저브레이크 (GingerBreak) 란루팅툴에서도사용되고있었는데악성코드는진저브레이크와결합한형태로 3rd Party Market인비공식마켓에서퍼지고있는것으로보이며, 개인정보, 전화번호등의자료가특정 C&C 서버로유출되는것으로주의가필요하다. [ 그림 1-35] GingerBreak 예제에서보여준악성코드는 V3 제품군에서다음과같이진단한다. - Dropper/Agent Win-Trojan/Agent 스마트폰보안위협증가 내려받은파일은기존에발견되었던악의적인스팸메일이내려받 스마트폰사용이늘어남과동시에올해에는스마트폰의보안위협 는것과같은허위백신이다. 이번에발견된신용카드결제에서오 이나타나고있으며악성코드또한빠르게증가하고있다. 류가발생하였다는허위메일에첨부된악성코드들은 V3 제품군에서다음과같이진단한다. 그러나다양한변형들이존재함으로위에서언급한메일형식과유사한메일에존재하는첨부파일은주의가필요하다. - Win-Trojan/Yakes C - Win-Trojan/Yakes Win-Trojan/Yakes Win-Trojan/Yakes Win-Trojan/Yakes Win-Trojan/Hmblocker AV(19+) 에도 AV(Anti-Virus) 는필요하다!? ' 파일공유사이트, utorrent, P2P 프로그램에서내려받은파일주의!' 많은사람이파일공유사이트를이용하는가장큰이유중의하나는접근하기쉽고, 원하는것을쉽게얻을수있어서일것이다. 하지만, 파일공유사이트및특정사이트의접속만 ( 취약점 ) 으로악성코드에 - 동영상이름으로보이지만, exe 형태로압축되어있다. - exe 형태로압축된파일을실행하면, 동영상파일이생성되어사용자는정상적인동영상파일이압축된것으로믿게된다. - 추가생성되는악성코드는사용자가알수없도록백그라운드로생성 / 실행된다. - C:\WINDOWS 폴더에 setup.exe / DTLitte.exe / _info.inf 파일을생성한다. 예제의악성코드에감염되면방화벽을우회하여백도어로사용될수있다. [ 표 1-5] 211년안드로이드악성코드발견건수 월에는진저마스터 (Gingermaster) 라는악성코드가나타났는데특이하게도안드로이드운영체제 2.3 진저브레드 (Gingerbread) vold volume manager 취약점 (CVE ) 을이용하고있다. 취약점은올해 4월에처음공개된것으로진저브레드 2.3.3까지영향을미치고있다. 앞으로도취약점과악성코드가결합한형태로보안위협이증가할것으로여겨지며스마트폰사용자들은아래와같은사항을참고하여더안전한스마트폰사용을할수있다. 1. PC로부터스마트폰으로파일을전송받으면백신으로악성코드여부를꼭확인한다. 2. 게임등애플리케이션을내려받을때는신중하게다른사람이올린평판정보를먼저확인한다. 3. 브라우저나애플리케이션으로인터넷에연결시확인되지않은전송자로부터온이메일이나문자메시지에있는 URL은클릭하지않는다. 4. 애플리케이션을설치하거나의심스러운파일을내려받았을때반드시스마트폰전용백신으로악성코드검사를한다. 5. 스마트폰용보안소프트웨어 [V3 Mobile 등 ] 를설치하고엔진을 감염되는사례를다수보여왔고, 현재에도여전히유효하다. 항상최신으로유지한다.

Web 19 2 6. 스마트폰의잠금기능 [ 암호설정 ] 을이용해서다른사용자의접근을막는다. 잠금기능에사용한비밀번호를수시로변경한다. 7. 블루투스기능을켜놓으면악성코드에감염될가능성이크므로필요할때만켜놓는다. 8. ID, 비밀번호등을스마트폰에저장하지않는다.

gpsservice" android:exported="true">' '<service android:name=".socketservice">' '<service android:name=".

[ 그림 1-41] 특정서버로전송을시도하도록되어있는코드의일부 다른악성앱과다른점은, 위의개인정보들을유출하는것뿐아니라특정애플리케이션이설치되어있는지조사하는기능도포함하고있다는것인데, 애플리케이션을찾을때단순히패키지네임만을비교하는것뿐아니라패키지파일 (APK) 의 MD5

) 해당악성앱설치여부를검사하는패키지네임들은아 록한다. '<service android:name=".xm_callrecordservice" />' 래와같다. 1. 임의로개조하거나복사방지등을풀어서사용하지않는다. '<service android:name=".recordservice" />' 해당악성코드는 V3 모바일제품군에서다음과같이진단한다.

android SMS, 통화명세를수집 / 전송하는안드로이드악성앱 Nicky Android-Spyware/Nicky 악성코드는안드로이드스마트폰에서동작하며, 송수신 SMS, GPS, 통화명세를수집하여특정시스템으로전송한다.

[ 그림 1-38] Manifest 정보 - Android-Spyware/Nicky - Android-Spyware/Nicky.B - Android-Spyware/Nicky.

wuba, com.mappn.gfan, com.hiapk. marketpho - cn.emoney.l2, cn.goapk.market [ 그림 1-44] Checking md5sum [ 그림 1-36] Nicky Spyware 권한정보 가발견되었다.

[ 그림 1-42] Data stealing code [ 그림 1-39] 사용자정보수집 / 전송하는 class 전체화면 해당악성코드는 V3 모바일제품군에서다음과같이진단한다.

10 Web 스마트폰의잠금기능 [ 암호설정 ] 을이용해서다른사용자의접근을막는다. 잠금기능에사용한비밀번호를수시로변경한다. 7. 블루투스기능을켜놓으면악성코드에감염될가능성이크므로필요할때만켜놓는다. 8. ID, 비밀번호등을스마트폰에저장하지않는다. '<service android:name=".mainservice" android:exported="true">' '<service android:name=".gpsservice" android:exported="true">' '<service android:name=".socketservice">' '<service android:name=".xm_smslistener" />' - 수집된정보는 [ 그림 1-41] 과같이 218 port를이용하여 'jin.****.com' 으로전송을시도할것으로추정된다. [ 그림 1-41] 특정서버로전송을시도하도록되어있는코드의일부 다른악성앱과다른점은, 위의개인정보들을유출하는것뿐아니라특정애플리케이션이설치되어있는지조사하는기능도포함하고있다는것인데, 애플리케이션을찾을때단순히패키지네임만을비교하는것뿐아니라패키지파일 (APK) 의 MD5 hash를이용하여더욱정교하게비교한다는점이다. ( 패키지네임만으로는중복값이있 9. 백업을주기적으로받아서분실시정보의공백이생기지않도 '<service android:name=".xm_calllistener" />' 을수있다.) 해당악성앱설치여부를검사하는패키지네임들은아 록한다. '<service android:name=".xm_callrecordservice" />' 래와같다. 1. 임의로개조하거나복사방지등을풀어서사용하지않는다. '<service android:name=".recordservice" />' 해당악성코드는 V3 모바일제품군에서다음과같이진단한다. - com.cola.twisohu, com.sohu.newsclient, com.duomi.android SMS, 통화명세를수집 / 전송하는안드로이드악성앱 Nicky Android-Spyware/Nicky 악성코드는안드로이드스마트폰에서동작하며, 송수신 SMS, GPS, 통화명세를수집하여특정시스템으로전송한다. Nicky 악성앱인 Android System Message[ 그림 1-37] 은 [ 그림 1-36] 과같은권한을요구하고있으며, 권한정보를바탕으로 APP의행위에대한추정이가능하다. [ 그림 1-38] Manifest 정보 - Android-Spyware/Nicky - Android-Spyware/Nicky.B - Android-Spyware/Nicky.C 스마트폰정보를유출하는안드로이드악성코드주의스마트폰의개인정보를유출하는정보유출형안드로이드악성코드 - com.snda.youni, com.diguayouxi, com.mx.browser, com. uc.browser - com.onekchi.xda, com.wuba, com.mappn.gfan, com.hiapk. marketpho - cn.emoney.l2, cn.goapk.market [ 그림 1-44] Checking md5sum [ 그림 1-36] Nicky Spyware 권한정보 가발견되었다. 해당악성코드는설치와동시에아래와같은스마트폰개인정보를중국의베이징에있는서버 ' net***d/nm*****n.jsp' 로 IMEI, 제조사 (manufacturer), Model 번호, IMSI 정보를유출한다. [ 그림 1-42] Data stealing code [ 그림 1-39] 사용자정보수집 / 전송하는 class 전체화면 해당악성코드는 V3 모바일제품군에서다음과같이진단한다. [ 그림 1-37] 灵猫安安의설치 / 실행정보 - Android-Spyware/Netsend SNS 구글플러스 (Google+) 로위장한안드로이드악성 APP Google++ 최근구글플러스 SNS 의사용자가증가함에따라, 이를악용한악 성애플리케이션이등장했다. 인기 SNS 의증가와사용자의관심을 이용하여이른바, 사회공학기법의악성코드감염방식과유사하다고 수집된정보저장위치는 [ 그림 1-4] 의코드를통해 '/sdcard/ 볼수있다. 얼마전구글서치 (Google Search) 를위장한앱에이어 shangzhou/callrecord/' 가되는것으로추정된다. [ 그림 1-43] Sending data through http post 구글을위장한악성앱이다시등장한것이다. [ 그림 1-4] 수집된정보의저장위치관련코드 참고 : Google SSearch 악성앱정보 : Nicky 악성코드계열인악성앱 Google++ 는앱이설치되어도아 이콘은생성되지않으므로 [ 응용프로그램관리 ] 를통하여확인가능 해당앱은 android.intent.action.boot_completed 의설정으로, 스 하다. 마트폰을부팅할때마다아래의서비스를시작할것으로추정된다.

Web 21 22 Web [ 그림 1-45] Google++ 애플리케이션권한정보 [ 그림 1-47] Manifest 일부 2. 시큐리티동향 a.

건이다. 21.8-211.8 8 - SMS, 통화명세, GPS 정보수집등 Nicky 와비슷한동작을시도한다.

com/32 [ 그림 1-48] 악의적행위를시도하는서비스관련코드 1 11 12 1 2 3 4 5 해당악성코드의 'AndroidManifest.xml' 을통해다음과같이동작할것으로추정된다.

11 Web Web [ 그림 1-45] Google++ 애플리케이션권한정보 [ 그림 1-47] Manifest 일부 2. 시큐리티동향 a. 시큐리티통계 8 월 MS 보안업데이트현황 마이크로소프트사가제공하는이달의보안업데이트는긴급 2 건과중요 9 건그리고 [ 그림 1-46] ' 응용프로그램관리 ' 화면 보통 2 건으로총 13 건이다 SMS, 통화명세, GPS 정보수집등 Nicky 와비슷한동작을시도한다. 9 참고 : Android System Message 악성앱정보 : com/32 [ 그림 1-48] 악의적행위를시도하는서비스관련코드 해당악성코드의 'AndroidManifest.xml' 을통해다음과같이동작할것으로추정된다 해당악성코드는 V3 모바일제품군에서다음과같이진단한다. [ 그림 2-1] 공격대상기준별 MS 보안업데이트 - Android-Spyware/Nicky - Android-Spyware/Nicky.B - Android-Spyware/Nicky.C - Android-Spyware/Nicky.D - Android-Spyware/Nicky.E - Android-Spyware/Nicky.F

12 Web Web 3. 웹보안동향 a. 웹보안통계 웹사이트보안요약안철수연구소의웹브라우저보안서비스사이트가드 (SiteGuard) 를통해산출된 211년 8월웹사이트보안통계자료를보면악성코드를배포하는웹사이트의차단건수는 68,46건이다. 또한, 악성코드유형은 827건이며, 악성코드가발견된도메인은 65건, 악성코드가발견된 URL은 4,76 건이다. 211년 8월은전월대비악성코드발견건수, 악성코드가발견된도메인, 악성코드가발견된 URL은 위험도취약점 긴급 Internet Explorer 누적보안업데이트 (255949) 긴급 DNS 서버의취약점으로인한원격코드실행문제점 ( ) 중요 Data Access Components의취약점으로인한원격코드실행문제 (256656) 중요 Microsoft Visio의취약점으로인한원격코드실행문제 (256978) 중요 원격데스크톱웹액세스의취약점으로인한권한상승문제 (254625) 중요 원격액세스서비스 NDISTAPI 드라이버의취약점으로인한권한상승문제 ( ) 중요 Windows CSRSS(Client/Server Runtime Subsystem) 의취약점으로인한권한상승문제 (256768) 중요 TCP/IP 스택의취약점으로인한서비스거부문제 ( ) 중요 원격데스크톱프로토콜의취약점으로인한서비스거부문제 (257222) 중요 Microsoft 차트컨트롤의취약점으로인한정보유출문제 ( ) 중요 Microsoft Report Viewer의취약점으로인한정보유출문제 (257823) [ 표 2-1] 211년 8월주요 MS 보안업데이트 다소감소하였으나, 악성코드유형은증가하였다. 악성코드배포 URL 차단건수 145,467 68,46 악성코드유형악성코드가발견된도메인악성코드가발견된 URL [ 표 3-1] 웹사이트보안요약 월별악성코드배포 URL 차단건수 -53.% 4,863 4, 년 8 월악성코드배포웹사이트 URL 접근에따른차단건수는지난달 145,467 건에비해 47% 수준인 68,46 건이다. 15, 125, 1, 75, 49, % +96,15 145, % -77,61 68,46-53.% 5, 25, [ 그림 3-1] 월별악성코드발견건수

13 Web 월별악성코드유형 악성코드유형별배포수 211 년 8 월악성코드유형은전달의 677 건에비해 122% 수준인 827 건이다. 악성코드유형별배포수는애드웨어류가 28,3 건으로전체의 41% 의비율을보이며 1 위를차지하 1, [ 그림 3-2] 월별악성코드유형 % 월별악성코드가발견된도메인 년 8 월악성코드가발견된도메인은전달의 799 건에비해 81% 수준인 65 건이다 % % 였고, 트로이잔류가 19,531건으로전체의 28.6% 로 2위를차지하였다. 유형 건수 비율 ADWARE 28,3 41. % TROJAN 19, % DROPPER 8, % DOWNLOADER 4, % Win32/VIRUT % JOKE % APPCARE % SPYWARE % ETC 5, % 68,46 1 % [ 표 3-2] 악성코드유형별배포수 ADWARE 28,3 3, 1, % % % TROJAN 19,531 DROPPER 8,167 ETC 5,68 DOWNLOADER 4,791 15, 4 2 Win32/VIRUT 896 JOKE 643 APPCARE 471 SPYWARE 269 [ 그림 3-5] 악성코드유형별배포수 [ 그림 3-3] 월별악성코드가발견된도메인 월별악성코드가발견된 URL 211 년 8 월악성코드가발견된 URL 은전달의 4,863 건에비해 84% 수준인 4,76 건이다. 5, 4, 3, 2, 1, [ 그림 3-4] 월별악성코드가발견된 URL , % +2,465 4,863 4, % % 악성코드배포순위 악성코드배포순위는 [ 표 3-3] 에서볼수있듯이Win-Adware/ADPrime 이 18,447건으로 1 위를차지하였으며, Top1에 Dropper/SennaOneMaker.6556등 6건이새로등장하였다. 순위 등락 악성코드명 건수 비율 1 Win-Adware/ADPrime , % 2 Win-Trojan/Downloader , % 3 NEW Dropper/SennaOneMaker , % 4 NEW Dropper/Kgen M 1, % 5 NEW Win-Trojan/Genome QK 1, % 6 NEW Win32/Induc 1, % 7 4 Win-Downloader/KorAd , % 8 2 Win-Adware/Adprime , % 9 NEW Downloader/Win32.Totoran 1, % 1 NEW Dropper/Small.Gen 1, % 37,465 1 % [ 표 3-3] 악성코드배포 Top 1

14 Web 27 VOL. 2 Contributors 3. 웹보안동향 b. 웹보안이슈 집필진선임연구원선임연구원 이정형안창용 선임연구원 장영준 연구원 이정신 참여연구원 211 년 8 월침해사이트현황 [ 그림 4-2] 와같이해킹된웹사이트를통해서유포되는악성코드중에일부는게임사용자의계정정보를탈취하는 DLL과해당 DLL을보 ASEC 연구원 SiteGuard 연구원 8월한달간침해사이트들을통해서유포된악성코드들의동향을요약해보면아래와같다. [ 그림 4-1] 211년 8월악성코드유포목적의침해사이트현황 호하기위한루트킷드라이버를함께생성하는때도있다. [ 그림 4-2] midisappe.dll 은지속적으로변종으로교체되지만두 SYS 파일은변경되지않고꾸준히사용되고있다. 편집장선임연구원 안형봉 2 18 편집인 디자인 안철수연구소마케팅실 안철수연구소 UX디자인팀 감수상무 조시행 악성코드유포목적을위한침해사고사이트가전월보다감소하였다. 그원인을살펴보면개인블로그나사이트에서사용중인특정사이트에서제공하는배너를통한악성코드유포사례가감소했기때문으로풀이된다. ([ 그림 4-1] 참고 ) [ 표 4-1] 은한달간가장많은침해사이트를통해서유포된악성코드 발행처 안철수연구소서울시영등포구여의도동 12 CCMM빌딩 6층 중에 Top 1 을나타낸것이며, 8 월한달동안 6 개의사이트에서유 T 포된 Win-Trojan/Patched.CO 가 1위를차지했으며, 전월과비슷하게게임핵루트킷인 Win-Trojan/Onlinegamehack55.Gen과 Win-Trojan/ F Onlinegamehack56.Gen 이상위권에올랐다. [ 표 4-1] 침해사이트를통해서유포된악성코드 Top 1 Disclosure to or reproduction 순위악성코드명건수 for others without the specific written authorization of AhnLab is 1 Win-Trojan/Patched.CO 6 prohibited. 2 Win-Trojan/Onlinegamehack55.Gen 53 3 Win-Trojan/Onlinegamehack56.Gen 53 Copyright (c) AhnLab, Inc. 4 Win-Trojan/Onlinegamehack All rights reserved. 5 Dropper/Onlinegamehack Win-Trojan/Patched.DE 17 7 Win-Trojan/Onlinegamehack Win-Trojan/Onlinegamehack B 16 9 Win-Trojan/Onlinegamehack Dropper/Onlinegamehack

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.