AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A

Transcription

1 ASEC REPORT VOL 안랩월간보안보고서 이달의보안동향 모바일악성코드이슈 악성코드분석특집 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved.

2 AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 ( 에서확인하실수있습니다. CONTENTS 01. 악성코드동향 a. 악성코드통계 보안동향 a. 보안통계 43-2 월악성코드최다 20 건 - 악성코드대표진단명감염보고최다 20-2 월신종악성코드 - 2 월악성코드유형별감염보고 - 악성코드유형별감염보고전월비교 - 신종악성코드유형별분포 - 2 월마이크로소프트보안업데이트현황 b. 보안이슈 44 - 국내동영상플레이어프로그램의취약점 - 아래아한글스크립트실행취약점 b. 악성코드이슈 11 - PC 에존재하는모든문서파일을탈취하는악성코드 - 누군가나를지켜보고있다? 웹캠으로도촬하는악성코드 - 가짜 KB 국민은행피싱사이트주의 - 스마트폰의문자메시지로전달되는단축 URL - 특정기관을목표로발송되는발신인불명의이메일주의 - 시리아반정부군을감시하기위한악성코드유포 - 변형된 MS 취약점악용스크립트발견 - MS 워드취약점을이용하는타깃공격발생 - 어도비플래시취약점이용한문서파일발견 - wshtcpip.dll 파일을변경하는온라인게임핵발견 - 윈도우비스타, 윈도우 7 을대상으로하는온라인게임핵악성코드발견 03. 웹보안동향 a. 웹보안통계 46 - 웹사이트악성코드동향 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위 b. 웹보안이슈 49 c. 모바일악성코드이슈 23 - 안드로이드애플리케이션에포함된윈도우악성코드 년 2 월침해사이트현황 - 침해사이트를통해서유포된악성코드최다 10 건 d. 악성코드분석특집 25 - 내가설치한앱이악성코드라고?

3 이달의보안동향 01. 악성코드동향 a. 악성코드통계 2 월악성코드최다 20 건 ASEC이집계한바에따르면, 2012년 2월에감염이보고된악성코드는전체 1366만 3774건인것으로나타났다. 이는지난달의 1395만 901건에비해 28만 7127건이감소한수치다 ([ 그림 1-1]). 이중에서가장많이보고된악성코드는지난달과마찬가지로 JS/Agent였다. Malware/Win32.generic과 Trojan/ Win32.adh가그다음으로많이보고됐으며새로발견된악성코드는총 5건이었다 ([ 표 1-1]). 20,000,000 18,000,000 16,000,000 14,000,000 12,000, ,657, ,692 [ 그림 1-1] 월별악성코드감염보고건수변화추이 13,950, % +16.7% 13,663, , % 순위 등락 악성코드명 건수 비율 1 JS/Agent 634, % 2 4 Malware/Win32.generic 605, % 3 Trojan/Win32.adh 515, % 4 Trojan/Win32.Gen 476, % 5 2 Trojan/Win32.fakeav 399, % 6 1 Textimage/Autorun 373, % 7 5 Trojan/Win32.hdc 372, % 8 NEW VBS/Agent 184, % 9 NEW Html/Downloader 176, % 10 2 Adware/Win32.korad 173, % 11 Win-Trojan/Agent T 162, % 12 2 Trojan/Win32.agent 159, % 13 NEW Downloader/Win32.agent 151, % 14 2 Trojan/Win32.genome 148, % 15 NEW Win-Adware/Korad , % 16 Html/Iframe 120, % 17 3 Backdoor/Win32.asper 116, % 18 1 Packed/Win32.morphine 108, % 19 NEW Html/Agent 107, % 20 5 ASD.PREVENTION 105, % 5,238, % [ 표 1-1] 2012년 2월악성코드최다 20건 ( 감염보고, 악성코드명기준 )

4 7 8 악성코드대표진단명감염보고최다 20 2 월신종악성코드 [ 표 1-2] 는악성코드의주요동향을파악하기위하여악성코드별변종을종합한악성코드대표진단명최 다 20 건이다 년 2 월에는 Trojan/Win32 가총 261 만 5181 건으로전체 20 건중 29.1% 의비율로가 장빈번히보고된것으로조사됐다. Win-Trojan/Agent 가 78 만 6315 건, Malware/Win32 가 67 만 8114 건 [ 표 1-3] 은 2 월에신규로접수된악성코드중고객으로부터감염이보고된최다 20 건이다. 2 월의신 종악성코드는 Win-Adware/KorAd 이 14 만 4429 건으로전체의 20% 로가장많았으며, Win- Trojan/Korad C 는 5 만 4806 건으로그다음으로많이보고됐다. 으로그뒤를이었다. 순위 등락 악성코드명 건수 비율 1 Trojan/Win32 2,615, % 2 2 Win-Trojan/Agent 786, % 3 3 Malware/Win32 678, % 4 4 Win-Adware/Korad 653, % 5 3 JS/Agent 635, % 6 3 Adware/Win32 481, % 7 2 Downloader/Win32 442, % 8 1 Textimage/Autorun 373, % 9 Win-Trojan/Downloader 336, % 10 Win-Trojan/Onlinegamehack 308, % 11 NEW Win-Trojan/Korad 212, % 12 1 Backdoor/Win32 209, % 13 1 Win32/Virut 186, % 14 NEW VBS/Agent 184, % 15 NEW Html/Downloader 176, % 16 3 Win32/Conficker 175, % 17 2 Win32/Autorun.worm 135, % 18 1 Win32/Kido 135, % 19 1 Packed/Win32 134, % 20 Html/Iframe 120, % 8,982, % [ 표 1-2] 악성코드대표진단명최다 20건 순위 악성코드명 건수 비율 1 Win-Adware/KorAd , % 2 Win-Trojan/Korad C 54, % 3 Win-Adware/KorAd , % 4 Win-Adware/KorAd , % 5 Win-Adware/Pop2Click , % 6 Win-Trojan/Agent , % 7 Win-Trojan/Korad , % 8 Win-Adware/KorAd E 33, % 9 Win-Trojan/Korad B 33, % 10 Win-Trojan/Agent J 30, % 11 Win-Trojan/Fakeav B 27, % 12 Win-Adware/Shortcut , % 13 Win-Adware/KorAd J 24, % 14 Win-Trojan/Agent , % 15 Win-Adware/KorAd , % 16 Win-Trojan/Startpage , % 17 Win-Trojan/Agent B 20, % 18 Win-Trojan/Agent , % 19 Win-Adware/KorAd , % 20 Win-Trojan/Korad C 17, % 722, % [ 표 1-1] 2012년 2월악성코드최다 20건 ( 감염보고, 악성코드명기준 )

5 월악성코드유형별감염보고 신종악성코드유형별분포 [ 그림 1-2] 는 2012 년 2 월한달동안안랩고객으로부터감염이보고된악성코드의유형별비율을집계한결 과다 년 2 월의악성코드를유형별로살펴보면, 트로이목마 (Trojan) 가 42.4%, 스크립트 (Script) 가 14.2%, 애 2 월의신종악성코드유형을보면트로이목마가 53% 로가장많았고, 애드웨어가 38%, 드로퍼가 5% 였 다. 드웨어 (Adware) 가 7.1% 인것으로나타났다. [ 그림 1-2] 2012 년 2 월악성코드유형별감염비율 악성코드유형별감염보고전월비교 [ 그림 1-4] 신종악성코드유형별분포 [ 그림 1-3] 은악성코드유형별감염비율을전월과비교한것이다. 트로이목마, 애드웨어가전월에비해증가세를보인반면, 스크립트, 웜 (Worm), 드로퍼 (Dropper), 바이러스 (Virus), 다운로더 (Downloader), 스파이웨어 (Spyware) 계열들은전월에비해감소한것을볼수있다. 애프케어 (Appcare) 계열들은전월수준을유지했다. [ 그림 1-3] 2012 년 2 월 vs 2012 년 1 월악성코드유형별감염비율

6 악성코드동향 b. 악성코드이슈 [ 그림 1-8] 은압축파일에포함된폴더및파일의목록이다. 파티션을나누거나복수의디스크드라이브 ( 외장하드포함 ) 를사용할경우해당드라이브에존재하는문서도수집될수있으므로주의해야한다. 전송패킷을분석하여얻은업로드주소에접속했지만 [ 그림 1-11] 과같이해당파일을찾을수없고이미삭제되었다는메시지가나타났다. 이는악성코드제작자가취합된파일을다운로드한뒤웹하 [ 그림 1-8] 인코딩된파일을디코딩하여정상 PE 파일을생성 드에서삭제했기때문인것으로판단된다. [ 그림 1-11] 웹하드에서이미삭제된압축파일 PC 에존재하는모든문서파일을탈취하는악성코드 이악성코드의주요동작순서는 [ 그림 1-6] 과같다. 사용자가첨부 페덱스 (FedEx) 운송장메일로위장하여사용자 PC에존재하는모든 MS 워드파일 (doc, docx) 과엑셀파일 (xls, xlsx) 을탈취하는악성코드가발견되었다. 이메일은 'Your package is available for pickup. NO#8248' 이라는제목으로전파되었다. 일반적으로국내의개인사용자는영어로된페덱스관련메일을스팸으로분류하기때문에감염위험이높지않지만, 업무상영문메일을많이주고받거나페덱스국제화물운송을자주이용하는사용자는감염될수있으므로주의해야한다. 파일을실행하면 PC에있는모든 MS 워드파일이나엑셀파일들을압축하여해외에있는웹하드업체에업로드한다. 악성코드제작자는해당웹하드에수집된압축파일들을다운로드한뒤웹하드에등록된정보를삭제한다. 이웹하드업체의이름은 Sen****ce이며정상적인웹하드서비스를제공하는업체이다. [ 그림 1-6] 문서파일을탈취하는악성코드의동작순서 문서파일이압축되면 [ 그림 1-9] 와같이특정서버에전송로그를남긴다음문서파일이압축된파일을웹하드업체서버로전송한다. 전송로그를남기는이유는악성코드제작자에게감염여부를알려주고통계정보를확보하기위한것으로보인다. 국내기업및관공서의대다수사용자는대부분의문서파일을자신의업무용 PC에보관하고있다. 또한많은사용자가문서파일에암호를걸지않고사용하므로악성코드에감염되면중요문서파일들이통째로악성코드제작자에게전송될수있으므로주의해야한다. 참고로, 이러한악성코드는최근이슈가되고있는 APT(Advanced Persistent Threat) 와는다르다. APT는장기간에걸쳐목표로하는 참고자료 : [ 악성스팸경보 ] FedEx 메일을위장한악성스팸! [ 그림 1-9] 특정서버에전송로그를남기는패킷 시스템의취약점및관리자계정을탈취한후원하는정보만빼내거 ( 나파괴하는것을목적으로한다. 하지만이번에발견된악성코드는 운송관련메일로위장하여악성코드를유포한사례는과거에도있었다. 주로 DHL, UPS, 페덱스등유명국제화물운송업체의이름이허위백신유포에도용되었다. 메일에첨부된악성코드파일명은 스팸메일을이용하여불특정다수에게발송되므로악성코드제작자는감염대상을알수없고, 원하는특정정보만탈취하는것이아니라사용자 PC에존재하는모든문서파일을탈취한다. FedEx_Invoice.exe 이다. 이파일을실행하면확장자가 txt 인악성코드 <V3 제품군의진단명 > 가다운로드되어사용자들이실행파일이아닌것으로생각하기쉬우나실제로는실행가능한윈도우 PE 파일이다. [ 그림 1-5] 는뷰어로이악성코드를열어본것인데, 분석을어렵게하기위해 UPX로 2번이상압축된것을볼수있다. [ 그림 1-5] UPX로실행압축된악성코드파일 악성코드가실행되면사용자의 PC에존재하는문서파일들을검색하고발견된문서파일들을 c:\documents and Settings\ Administrator\Local Settings\Temp 폴더에임의의파일명으로압축하여저장한다. [ 그림 1-7] 은해당악성코드가실행되었을때생성된, 문서파일들이압축된파일이다. [ 그림 1-7] 임의의파일명으로생성된압축파일 [ 그림 1-10] 은압축파일이전송되는패킷이다. 이악성코드내에문서파일탐색, 압축, 압축파일전송등의기능이모두포함되어있다. 특히웹하드업로드기능이포함된것으로보아악성코드제작자는해당업체의파일업로드 / 다운로드웹페이지구조에대해잘알고있다고볼수있다. [ 그림 1-10] 압축파일을전송하는패킷 - Spyware/Win32.Zbot ( ) - Trojan/Win32.Gen ( ) 이러한악성코드에감염되는것을예방하기위해서는다음과같이조치해야한다. 1. 안티스팸솔루션을도입해스팸및악의적인이메일의유입을최소화한다. 2. 출처가불분명하거나의심가는제목일때는메일을열지말고삭제한다. 3. 사용중인보안프로그램은최신버전으로업데이트하고실시간감시기 능을사용한다. 4. 메일에첨부된파일은바로실행하지않고, 저장한다음보안프로그램으 로검사한후실행한다. 5. 이메일에존재하는의심가거나확인되지않은웹사이트링크는클릭하지 않는다. 6. 악성코드감염을예방하기위해윈도우, 인터넷익스플로러, 오피스제품 등의보안업데이트를모두설치한다. 7. 중요한문서파일은 PC 에보관하지않는다. 8. 중요한문서파일은암호를걸어저장하는습관을가진다.

7 13 14 누군가나를지켜보고있다? 웹캠으로도촬하는악성코드자신도모르는사이에누군가가지켜보고있다면? 생각만해도소름끼치는일이다. 노트북에달려있는카메라나 PC에연결된웹캠을이용하여감염된 PC의사용자를도촬하는악성코드가발견되었다. PC에저장된사용자정보를빼내거나시스템동작을방해하는악성코드와달리, 감염된 PC 사용자의사생활을그대로노출시키기때문에개인의프라이버시에커다란위협이된다. 이악성코드에감염되면러시아 URL로접속되는것으로보아러시아에서제작된것으로추정된다. 국내감염사례는발견되지않았지만해외사이트를주로이용하는사용자들의각별한주의가필요하다. [ 그림 1-15] 악성코드의동작과정을기록하는 run***_.log <V3 제품군의진단명 > - Win-Trojan/Backdoor ( ) 가짜 KB국민은행피싱사이트주의국내대형은행인 KB국민은행을사칭한사이트가또다시등장했다. 지난주 도메인으로등장했던피싱사이트가차단조치되자 도메인으로변경해다시나타났다. 특히 [ 그림 1-17] 과같이스팸메시지를발송하여피싱사이트접속을유도한다. [ 그림 1-17] 피싱사이트접속을유도하는스팸메시지 ' 보안승급바로가기 ' 버튼을클릭하면 [ 그림 1-20] 과같이이름과주민등록번호를수집하는메뉴가출력된다. 약관에서는타사개인정보유출사고를언급하며개인정보입력을유도한다. [ 그림 1-20] 이름과주민등록번호입력유도페이지 이악성코드에감염되면다음과같은파일이생성된다. 로그파일을통해확인된동작과정은다음과같다. C:\Documents and Settings\Administrator\Local Settings\Temp\ Run***_*****64.dll, run***_.exe, run***_.log, run***_dll.sid, run***_.bat 1 악성코드파일을 C:\Documents and Settings\Administrator\ Temp\ 에복사 2 감염된 PC의식별자정보를생성하여파일로저장 run***_*****64.dll 파일을에디터로열어보면 [ 그림 1-12] 와같이 3 촬영한사진을전송할서버설정후카메라로촬영한 BMP 파일저장 입력한이름과주민등록번호는 시작프로그램에등록하기위해레지스트리에등록명령어를포함 4 타이머설정 (59000ms = 1 분 ) URL 로유출된다. 하고있다. 확장명은 dll이지만실제로는텍스트파일인데, 이명령어를통해시작프로그램에등록되어 PC를켤때마다악성코드가동작한다. 5 감염된 PC의 OS 버전, 사용자정보, PC 이름, SID 정보등을지정된서버로전송 6 서버에서전송될다음명령수신대기 문자메시지로전송된 홈페이지외관및분위기는 KB국민은행사이트와매우흡사하다. [ 그림 1-21] 입력된개인정보를유출하는패킷 [ 그림 1-12] 시작프로그램에등록하는 run***_*****64.dll [ 그림 1-16] 악성코드가수집한정보를전송하는과정 [ 그림 1-18] KB 국민은행을사칭한가짜홈페이지 전송되는정보는 [ 그림 1-21] 과같으며 username 은이름, idcard1 은주민등록번호앞자리, idcard2 는주민등록번호뒷자리를의미한 다. 정보를입력하면 [ 그림 1-22] 와같이보안카드정보, 계좌번 위의정보를종합해보면해당악성코드는 PC 에연결된웹캠을이용 호, 계좌비밀번호등을추가로수집하며, 모든번호를입력하기전 run***_.bat 파일은최초실행된악성코드를 C:\Documents and Settings\Administrator\Local Settings\Temp\ 경로로복사한다. 파일에저장된내용은 [ 그림 1-13] 과같다. 하여분당 1회의사진을찍어 BMP로저장하고 PC 정보와함께악성코드제작자에게전송하는것으로보인다. 온라인게임핵과같이사용자계정정보를탈취하거나, 가짜온라인뱅킹사이트를만들어계좌정보를탈취하는피싱을넘어서, 개인의 에는다음화면으로진행할수없게설계되어있다. [ 그림 1-22] 계좌정보및보안카드정보를유출하기위한페이지 [ 그림 1-13] 특정경로로악성코드파일을복사하는 run***_.bat 민감한사생활을엿보는트로이목마가등장하는등악성코드의진 run***_dll.sid 파일은감염된 PC를식별하기위해 [ 그림 1-14] 와같이무작위로생성된문자열을저장한다. 화는계속되고있다. 악성코드는개인의프라이버시를심각하게침해할수있기때문에사용자들의각별한주의가요구된다. 이러한악성코드의감염을예방하기위해서는다음과같은조치가필요하다. 메인화면의 ' 보안승급바로가기 ' 버튼이아닌다른메뉴들을클릭하면 [ 그림 1-19] 와같은메시지를출력하여 ' 보안승급바로가기 ' 버튼을클릭하도록유도한다. [ 그림 1-14] 감염 PC 를식별하기위한식별자를저장하는 run***_dll.sid 1. 백신프로그램은최신버전의엔진으로업데이트해사용한다. 2. 윈도우 XP의경우 SP 버전등을확인하여최신버전을설치하여사용하 [ 그림 1-19] ' 보안승급바로가기 ' 버튼클릭유도메시지 고, 보안업데이트는모두설치한다. 3. IE 8.0 이상의브라우저를사용하거나타브라우저를사용한다. run***_.log 파일은악성코드동작과정을 [ 그림 1-15] 와같이로그파일에기록한다. 4. PC에악성코드가존재하는지정기적으로정밀하게검사한다. 5. 노트북의웹캠을사용하지않을때는시스템설정메뉴에서사용을중지한다. 6. PC에연결된웹캠을사용하지않을때에는 PC에서분리하여보관한다. 입력된계좌정보및보안카드정보는 regtwoinsert.asp로유출된다. 계좌정보및보안카드정보는 [ 그림 1-23] 과같이전송되며, regno는입력된정보들을구분하기위한 key 정보이다. 입력된보안

8 15 16 카드키값들은 ASCII 값형태로전송된다. [ 그림 1-26] 과같은결과를볼수있다. 스마트폰의문자메시지로전달되는단축 URL 첨부된 ZIP 파일은 PDF 파일을압축한것으로보이지만자세히보 [ 그림 1-23] 입력된보안카드, 계좌정보를유출하는패킷 [ 그림 1-26] 스팸메시지발송번호로조회한결과 [ 그림 1-27] 과같은스팸문자메시지발송이확인되었다. 면 [ 그림 1-29] 와같이 PDF 파일로위장한, 확장자가 exe인실행파일이다. [ 그림 1-27] 단축 URL 을포함한스마트폰문자메시지 [ 그림 1-29] 메일에첨부된악성코드파일 모든정보를입력하면 [ 그림 1-24] 화면이출력된다. 오탈자와말투 를보아조선족또는중국인이스크립트를작성했을가능성이높다. [ 그림 1-24] 모든정보가입력되면출력되는메시지 참고로, 이러한피싱사이트를한국인터넷진흥원 (KISA) 의 118 로신 이악성코드는다음의동작을수행한다. 고하면다음과같은절차로처리된다. 1 아래의경로에악성코드를생성한다. 피싱사이트확인 KISA(118) 접수 각 ISP 업체로공문발송 ( 약 1시간소요 ) 각 ISP 업체에서차단처리 ( 일반적으로 1시간 - C:\Program Files\Common Files\AcroRd32.exe - C:\Program Files\Windows NT\htrn.dll 해당피싱사이트를통해유출되는정보는이름, 주민등록번호, 계좌번호, 비밀번호, 보안카드일련번호, 보안카드전체번호배열등이다. 이정보들을확보하면공인인증서를재발급받는데전혀문제가없다. 따라서보안카드승급전환시간동안사용자가온라인뱅 ~1일소요 ) 이러한피싱사이트에속는것을방지하기위해서는다음과같은사항들을숙지해야한다. 1. 정상은행사이트 URL은외우거나적어둔다. 은행 ].com에서은행부분은 card.[ 은행 ].com, bank.[ 은행 ].com 식으로대부분고정되어있다. 알고있는 URL과다르다면피싱사이트로의심해야한다. 이문자메시지는메시지내부에단축 URL을포함하고있어클릭만하면특정웹사이트로연결되는것이특징이다. 문자메시지에포함된단축 URL은테스트당시에는접속되지않았지만스마트악성코드나피싱사이트등의다른보안위협들로연결될가능성이있다. 이런단축 URL을이용한보안위협은트위터와같은소셜네트워크서비스에도존재한다. 그러므로스마트폰뿐만 2 레지스트리에아래의값이등록된다. -HKLM\SYSTEM\ControlSet001\**************************\ ServiceDll "C:\Program Files\Windows NT\htrn.dll" 3 악성코드를실행하면 [ 그림 1-30], [ 그림 1-31] 과같이정상적인 PDF [ 그림 1-30] 수신된메일의암호입력요청 킹을이용하지않는틈을타사용자계좌에있는현금을인출할수있다. 전체적인구조는 [ 그림 1-25] 와같다. 2. 은행사이트는공인인증서를이용하여로그인한다. 보안등급승급과같은개인정보변경시공인인증서를사용하지않 아니라트위터를통해전달되는메시지에포함된단축 URL을클릭할때에는각별한주의가필요하다. [ 그림 1-25] 전체적인피싱사이트동작구조 는다면피싱사이트로의심해보아야한다. 3. 보안등급설정과같은민감한사안은직접은행창구에서처리한다. 기간만료로인한인증서재발급을제외한모든인증서재발급은직접은행을방문해야처리가가능하다. 4. 정상적인은행사이트는보안카드에있는모든내용을입력하라고하지않는다. 특정기관을목표로발송되는발신인불명의이메일주의신원미상의발신인으로부터 [ 그림 1-28] 과같은악성코드가첨부된이메일이발송되어주의가요구된다. 이메일은특정기관을대상으로유포되고있다. [ 그림 1-28] 악성코드가첨부된이메일 [ 그림 1-31] 정상 PDF 파일을불러와서감염사실은폐 정상사이트는보안카드에대한임의의일부정보만물어본후이 를은행에서가지고있는정보와비교한다. 보안카드의모든정보 를입력하라고요구하면피싱사이트로의심해야한다. 이와같은내용의피싱사이트는 2011년 9월부터발견되기시작해, 보통한달에한두개씩확인되었는데최근들어급증하는추세이다. 스팸메시지로전송된번호를스팸정보사이트에서조회하면 파일을보여주어사용자가악성코드에감염된것을인지하지못하게한다. 4 악성코드가생성한악성 DLL 파일은 svchost 프로세스에인젝션되어

9 17 18 [ 그림 1-32] svchost.exe 에인젝션된악성코드 DLL 파일 [ 그림 1-35] RARSfx 로압축된파일내부의악성코드 그러나공개된파일들만으로는언론에서알려진바와같이시리아정부에서제작한것으로확인되거나추정되는특징은발견할수없 [ 그림 1-38] MS 취약점을이용하는변형된스크립트악성코드구조 었다. ASEC 에서추가정보를수집하는과정에서해당악성코드가 원격제어와모니터링기능을가지고있는 [ 그림 1-37] 과동일한악 [ 그림 1-33] C&C 서버위치 성코드생성기를이용하여제작되었다는것을확인하였다. 이악성 코드생성기를이용하여생성된악성코드는볼랜드델파이 (Boland Delphi) 로제작된파일이다. 해당악성코드는다음과같은동작을수행한다. 1 RARSfx로압축된파일을실행하면아래의경로에파일을생성하고실행한다. - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\ [ 그림 1-37] 원격제어기능을수행하는악성코드생성기 'Heap Feng Shui' 는 2007년 Black Hat Europe에서최초로발표된기법으로순차적인자바스크립트 (Java Script) 할당을통해브라우저에서힙 (Heap) 영역을다룬다. Temp\ jpg - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\ [ 그림 1-39] MS 취약점을이용하는변형된스크립트악성코드코드의일부 [ 그림 1-34] C&C 서버와통신하기위한 syn 패킷 Temp\svhost.exe 2 사용자가악성코드감염을인지하지못하도록 [ 그림 1-36] 과같은이미 지파일을보여준다. [ 그림 1-36] 악성코드실행시보여지는이미지파일 이번에유포된시리아반정부군을감시하기위한악성코드는, 처음 에알려진바와는다르지만, 다른악성코드의변형이거나공개되지 않은악성코드생성기의다른버전에의해생성되었을가능성이있 동작한다. 필리핀마닐라에있는 12*.***.**.219 IP 로 SYN 패킷을발송한다. 다. 5 필리핀에위치한 C&C 서버에서명령을전달받아악의적인동작을수행한다. <V3 제품군의진단명 > - Trojan/Win32.Agent ( ) - Trojan/Win32.Dllbot ( ) <V3 제품군의진단명 > - Win-Trojan/Meroweq Win-Trojan/Meroweq Win-Trojan/Meroweq 변형된 MS 취약점악용스크립트발견 스크립트는 yty.mid 파일을호출하도록되어있으나, 해당 MIDI 파일은 [ 그림 1-40] 과같이손상되어있어실질적인공격은성공하지않았을것이다. [ 그림 1-40] 악의적으로조작된 MIDI 파일 3 임시폴더 (Temp) 에마이크로소프트비주얼베이직 (Microsoft Visual ASEC 에서는 2012 년 1 월 27 일 MS 윈도우미디어취약점 시리아반정부군을감시하기위한악성코드유포 2012년 2월 17일해외언론인 CNN의기사 <Computer spyware is newest weapon in Syrian conflict> 를통해시리아정부에서반정부군의동향을수집, 감시하는목적의악성코드를유포한사실이공개되었다. 현재까지 ASEC에서파악한바로는, 이번에알려진악성코드는특정인들에게이메일로첨부돼전송된것으로보인다. 이메일에첨부된악성코드는 RARSfx(RAR 실행압축 ) 로되어있으며, 파일내부에는 [ 그림 1-35] 와같은백도어기능을수행하는 svhost.exe(69,632바이트 ) 와정상적인이미지파일인 jpg(114,841바이트 ) Basic) 으로제작된 svhost.exe(69,632바이트 ) 파일이생성되며자신의복사본을다음폴더에생성한다. - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\ Temp\Google Cache.exe 4 시리아에있는특정시스템으로역접속을수행하지만, 테스트당시에는정상적인접속이이루어지지않았다. 5 백도어기능을수행하는 svhost.exe(69,632바이트 ) 는또한다음의악의적인기능들을수행한다. - 파일다운로드및실행 - 실행중인프로세스리스트수집 (CVE ) 을이용한악성코드가유포된것을발견했으며, 마이크로소프트에서 2012년 1월 11일배포한보안패치로해당취약점을제거할수있음을공개하였다. 이악성코드는온라인게임관련정보를노리고한국과중국을포함한극동아시아권을주대상으로유포된것으로파악된다. 2012년 2월 2일국내웹사이트에서 'Heap Feng Shui' 라는기법을이용한새로운형태의 MS 취약점을악용하는스크립트악성코드의변형이발견되었다. 이번에발견된스크립트악성코드는 2012년 1월 30일에유포된것으로추정된다. 그구조는 [ 그림 1-38] 과같다. 이번에발견된악성코드의셸코드 (Shellcode) 는국내의특정시스템에서 i.exe(20,480바이트 ) 를다운로드한후실행한다. 다운로드후실행되는 i.exe는비주얼베이직 (Visual Basic) 으로제작되었으며국내에서제작된특정온라인게임의사용자정보를탈취하고특정 ASP 파일을읽어온다. 새로운 MS 취약점을악용하는스크립트의변형은주말사이에총 72건이 V3에서진단되었다. 이를미루어봤을때해당악성코드는향후온라인게임관련악성코드와함께지속적으로유포될것으로예측된다. 그러므로사용자는최신윈도우보안패치를설치하여악성코드감염을원천적으로예방해야한다. 가포함되어있다.

10 19 20 <V3 제품군의진단명 > 1 취약한워드파일이실행되면 [ 그림 1-43] 과같이 fputlsat.dll(126,976 이번에발견된취약한어도비플래시파일은 [ 그림 1-44] 와같이 해당문서파일내부에포함된취약한플래시파일은셸코드를포함 - Downloader/Win32.Small 바이트 ) 이삭제되고정상 Thumbs.db 파일이생성된다. MS 워드와엑셀에포함된구조이다. 한 HeapAlloc 부분과취약한 MP4 파일의재생을위한부분으로구 - HTML/Ms Exploit/Ms JS/Redirector - SWF/Cve JS/Cve 윈도우임시폴더 (Temp) 에 ~MS2A.tmp(76,800바이트 ) 를생성한다. ~MS2A.tmp(76,800바이트 ) 파일은윈도우폴더 (C:\WINDOWS\) 와윈도우시스템폴더 (C:\WINDOWS\system32\) 에 iede32.ocx(13,824바이트 ) 를생성한다. [ 그림 1-44] 워드파일내부에포함된플래시파일의위치 분되어있으며, 미국에있는특정시스템에서취약한 MP4 파일인 test.mp4(22,384바이트 ) 파일을다운로드한다. [ 그림 1-48] 플래시파일내부에하드코딩된다운로드파일주소 3 시스템이재부팅되더라도생성한 iede32.ocx(13,824 바이트 ) 가자동실 MS 워드취약점을이용하는타깃공격발생 행되도록레지스트리에다음의키를생성한다. 2012년 2월 10일시만텍은블로그 <New Targeted Attack Using Office Exploit Found In The Wild> 를통해, 마이크로소프트가 2011 년 9월에공개한보안패치 'Microsoft Security Bulletin MS Microsoft Office의취약점으로인한원격코드실행문제점 ( )' 취약점을이용한타깃공격 (Targeted Attack) 이발견되었음을공개하였다. HKLM\SYSTEM\ControlSet001\Services\Irmon\Parameters\Servic edll "C:\WINDOWS\system32\iede32.ocx" 4 생성된 iede32.ocx(13,824바이트 ) 는정상 svchost.exe 프로세스에스레드 (Thread) 로인젝션 (Injection) 되어미국내특정시스템으로역접속 (Reverse Connection) 한다. 그러나테스트당시에는정상접속되지않았다. [ 그림 1-44] 는발견된해당 MS워드파일의내부구조로, [ 그림 1-45] 와같은 2431바이트크기의플래시파일이포함되어있다. [ 그림 1-45] 워드파일내부에포함된플래시파일 다운로드된 MP4 파일은 [ 그림 1-49] 와같은형태이다. [ 그림 1-49] 악의적으로조작된 MP4 파일 해당타깃공격은이메일을통해전파되며, ZIP으로압축된첨부파일에는 [ 그림 1-41] 과같은취약한워드파일과 fputlsat.dll(126,976 바이트 ) 이포함되어있다. [ 그림 1-41] 압축파일에포함된취약한워드파일과취약점유발 DLL 파일 스레드로인젝션된 iede32.ocx(13,824바이트 ) 는공격자의명령에따라다음의악의적인기능들을수행한다. - 실행중인프로세스리스트 - 감염된시스템 IP - 파일업로드 - 프록시 (Proxy) 기능수행 <V3 제품군의진단명 > 또다른취약한엑셀파일은 [ 그림 1-46] 의구조로되어있으며해당파일내부에플래시파일이포함되어있다. [ 그림 1-46] 엑셀파일내부에포함된플래시파일의위치 해당취약점을이용한문서파일은다음의동작을수행한다. 1 어도비플래시의 CVE 취약점으로인해다운로드된파일이실행되면자신의복사본을다음과같이생성한다. - C:\Program Files\Common Files\[ 실행시파일명 ].exe(23,040바이트) 2 윈도우레지스트리에다음의키를생성하여시스템재부팅시에도실행 취약한워드파일을 fputlsat.dll(126,976바이트 ) 과동일한폴더에서열면 [ 그림 1-42] 의워드파일이실행된다. - Dropper/MS Win-Trojan/Activehijack Win-Trojan/Activehijack 되도록설정한다. - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ common [ 그림 1-42] MS 취약점을이용하는워드파일 - Win-Trojan/Activehijack = "C:\Program Files\Common Files\[ 실행시파일명 ].exe 어도비플래시취약점이용한문서파일발견 3 [ 그림 1-50] 과같이미국에위치한특정시스템으로역접속을수행한다. 테스트당시에는접속되지않았다. 최근의타깃공격이나 APT 공격은공통적으로 MS 오피스, 어도비리더, 그리고한글프로그램과같은전자문서파일의취약점을이용한다. 특히어도비리더와어도비플래시의취약점들을이용한원격제어기능이있는악성코드를유포하는사례가자주발견되고있다. CVE 취약점은, [ 그림 1-47] 과같이플래시플레이어가 MP4 파일을파싱하는과정에서발생하는오류로인해코드가실행된다. [ 그림 1-49] 악의적으로조작된 MP4 파일 해당악성코드는다음의동작을수행한다. [ 그림 1-43] fputlsat.dll 실행후생성된 Thumbs.db 파일 최근국외에서어도비플래시의 CVE 취약점을이용하는 MS 워드파일또는엑셀파일을이메일에첨부한타깃공격이발견되었다. 이취약점은제로데이 (Zero-Day) 는아니다. 미국현지시각으로 [ 그림 1-47] flashplayer.exe 에서오류가발생하는주소 4역접속이성공하면공격자의명령에따라다음의악의적인기능을수행한다. - 운영체제정보수집 2012 년 2 월 15 일어도비에서보안권고문 'APSB12-03 Security - 실행중인프로세스리스트 update available for Adobe Flash Player' 를통해보안패치를배포 - 커맨드 (Command) 명령실행 했다.

11 21 22 이어도비플래시취약점은 2012년 2월현재보안패치가배포중이므로어도비플래시플레이어다운로드센터를통해즉시업데이트한다. 레이어액티브X의버전을확인한다. [ 그림 1-52] 플래시플레이어보안취약점 (CVE ) 을이용하기위한코드 [ 그림 1-55] BHO 로등록된 safemon.dll 파일 대상 PC의운영체제를확인하여운영체제별로다른방식으로감염시킨다. 1. 윈도우 XP <V3 제품군의진단명 > - Dropper/Cve SWF/Cve MP4/Cve Win-Trojan/Yayih Win-Trojan/Renos E 해당악성코드에감염되면웹브라우저가비정상적으로종료되거나, 시스템이느려지거나, 국내외주요보안업체의보안프로그램이정 3 [ 그림 1-56] 과같이특정서버로접속해시스템의 MAC 주소와운영체제버전을전송한다. 현재해당 IP 및 URL은동작하지않는다. 윈도우 XP인경우기존형태와같이 C:\Windows\System32\ ws2help.dll 파일이악성파일로변경된다. 악성코드에감염되면 C:\Windows\System32 경로아래에 ws2helpxp.dll 혹은 ws2help.dll.[ 랜덤 ].tmp 등으로원본파일명이변경되고악성 ws2help.dll 파일이생성된다. [ 그림 1-58] 윈도우 XP에감염되어교체된 ws2help.dll wshtcpip.dll 파일을변경하는온라인게임핵발견 상적으로동작하지않는증상이발생한다. 악성코드감염을확인하는간단한방법은 [ 그림 1-53] 과같이 [ 그림 1-56] 감염된시스템의정보를전송하는부분 온라인게임사용자의아이템과캐시탈취를목적으로하는온라인게임핵이사용자의 PC에서교체하는파일이기존과달라졌다. 지금까지해당악성코드가변경시킨윈도우주요파일은 imm32.dll, comres.dll, lpk.dll, ws2help.dll, version.dll 등이었으며, 2011년하반기부터최근까지는 ws2help.dll을악성코드로교체하는유형이가장많이발견되었다. 그러나보안업체의대응능력이점차향상됨에 c:\windows\system32 폴더에서 wshtcpip.dll 파일을찾아확인하는것이다. 해당파일의크기가 20KB 내외라면정상이지만, 악성파일이면 82,432바이트의크기이며파일생성날짜가비교적최신이다. 파일크기는앞으로발생될변종에따라달라질수있지만, 윈도우주요구성파일의생성일이최근이면악성코드에감염되었거나치료된파일일수있으므로의심해볼필요가있다. 보안프로그램이정상적으로동작하지않으면안랩이제공하는전용백신을이용하여 [ 그림 1-57] 과같이진단및치료할수있다. [ 그림 1-57] 전용백신으로해당악성코드를검출한화면 2. 윈도우비스타또는윈도우 7 윈도우비스타또는윈도우 7에서는 C:\Windows\System32\ himym.dll 악성파일을생성한다. 윈도우 XP처럼다른시스템파일을변경하거나지우는동작은발견되지않았다. [ 그림 1-59] 감염된 himym.dll 파일정보 따라해당악성코드로인해감염되는 PC의수가줄어들었다. 이때문에악성코드제작자들은윈도우주요파일중새로운감염대상을 [ 그림 1-53] 악성파일로교체된 wshtcpip.dll 파일 물색하게되었는데, 이번에발견된 wshtcpip.dll 파일을교체하는악 성코드가이러한유형에해당한다. 악성코드의다운로드에는익스플로러와플래시플레이어액티브 X 의보안취약점이이용되었는데, 이것은예전부터많이사용되던방 식이다. [ 그림 1-51] 은취약점을이용하여버퍼오버플로우 (Buffer Overflow) 를유발하는코드의난독화를해제한것으로, 익스플로러 해당악성코드는다음의동작을수행한다. 6 또는익스플로러 7의사용자를대상으로 MS 취약점을유발한다. [ 그림 1-51] IE 보안취약점 (MS10-018) 유발코드 [ 그림 1-52] 는 CVE 보안취약점을이용하기위한코드로, 사용자 PC에설치된익스플로러, 플래시플레이어, 플래시플 1 정상 wshtcpip.dll 파일을 [ 그림 1-54] 와같이 wshtcpxp.dll 파일로백업한다. [ 그림 1-54] wshtcpxp.dll로백업된 wshtcpxp.dll 파일 2 c:\windows\system32 폴더의 safemon.dll 파일을악성파일로변경하고, 윈도우추가확장기능 (BHO) 에등록한다. 대부분의국산온라인게임은해당게임사이트에접속해서게임을실행하므로이과정에서입력되는아이디와비밀번호를탈취하기위한것으로추정된다. <V3 제품군의진단명 > - JS/Agent - JS/Downloader - JS/Cve SWF/Cve Win-Trojan/Onlinegamehack BL - Win-Trojan/Onlinegamehack CC - Win-Trojan/Onlinegamehack CV 윈도우비스타, 윈도우 7 을대상으로하는온라인게임핵악성코드발견 윈도우비스타, 윈도우 7 운영체제사용자를대상으로온라인게임핵을감염시키는사례가발견되었다. 최근까지온라인게임핵감염대상은대부분윈도우 XP 사용자였지만, 이번에발견된형태는감염 해당악성코드는안랩이제공하는아래의전용백신으로진단및치료할수있다. <V3 GameHack Kill 전용백신다운로드 > 해당악성코드는웹사이트를통해유포되므로감염을예방하기위해사전에보안업데이트를설치하도록한다. 어도비플래시플레이어업데이트방법 : 윈도우보안업데이트방법 : 자바관련업데이트방법 : <V3 제품군의진단명 > - Win-Trojan/Patched B ( ) - Win-Trojan/Patcher ( ) - Win-Trojan/Patcher ( )

12 악성코드동향 c. 모바일악성코드이슈 안드로이드애플리케이션에포함된윈도우악성코드 [ 그림 1-61] 악성코드생성을위한비주얼베이직스크립트 윈도우운영체제와리눅스운영체제에서모두동작하는악성코드를제작하는것은쉽지않다. 특히모바일운영체제와일반윈도우 PC 모두에서동작하는악성코드를제작하기란더욱어렵다. 2012년 2월 3일 ASEC은전세계에서수집된안드로이드애플리케이션중특정앱의내부에윈도우악성코드가포함되어있는것을발견하였다. 이번에발견된안드로이드앱은 [ 그림 1-60] 과같은구조를가지고있으며, 붉은색박스로표기한스크립트파일인 about_habit. htm(123,196바이트 ) 을내부에포함하고있다. [ 그림 1-60] 안드로이드앱내부에포함된비주얼베이직스크립트 해당비주얼베이직스크립트파일은 svchost.exe(61,357바이트 ) 파일명으로윈도우운영체제에서감염되는악성코드를생성및실행한다. 그러나안드로이드운영체제에서는동작할수없으며, 앱의내부코드에도스크립트를외장메모리에쓰도록제작된코드는없다. 이로미루어봤을때앱제작자의실수로인해비주얼베이직스크립트파일이앱제작시에포함된것으로판단된다. <V3 제품군의진단명 > - VBS/Agent - Win-Trojan/Krap 이 about_habit.htm은일반적인 HTML 파일이아니며실제로는비주얼베이직스크립트로다음과같은형태이다.

13 악성코드동향 d. 악성코드분석특집 [ 그림 1-62] 의오른쪽그림이 K 씨가설치한앱이다. 겉모습만봐서는왼쪽의정상앱과구분하기쉽지 않다. 저작권 (Copyright) 과버튼정도만차이가있을뿐이다. 또한, 악성앱을실행하더라도정상앱과다 름없이기타연주기능이잘동작하기때문에유심히살펴보지않는다면이둘을구분할수없다. 이와같이리패키징기법을이용한안드로이드악성코드는 2011 년처음발견된이후로계속증가하고 있으며, 구글안드로이드마켓, 서드파티마켓, 블랙마켓, P2P 등의다양한경로를통해배포되고있다. 리패키징이란? 대부분의프로그래밍언어들은컴파일 (Compile) 과정을거쳐사람이알수있는소스코드 (Source Code) 에서기계가인식할수있는바이너리 (Binary) 파일로변경된다. 안드로이드에서는여기에프로그램을묶어주는패키징 (Packaging) 작업과코드사인 (Code Sign) 작업이추가된다. 그림으로살펴보면 [[ 그림 내가설치한앱이악성코드라고? IT 업계에종사하는 K 씨는최근안드로이드운영체제가탑재된최신형스마트폰을구매했다. 그는스마 트폰을구매하자마자평소취미로즐기는기타연주를위해기타연주앱을검색했다. 구글안드로이드마 1-63] 과같다. [ 그림 1-63] 안드로이드앱제작과정 켓에서 Guitar 키워드로검색하여나온목록중무료로구매할수있는앱을선택하여바로다운로드 했다. K 씨는실제기타못지않은소리에감탄하며온종일스마트폰을붙잡고있었다. 그런데갑자기 K 씨의루팅 (Rooting) 되고, K 씨의스마트폰기기정보및개인정보가외부로유출되었다. 그의스마트폰이악성코드에감염된것이다. K 씨는안드로이드에앱을설치하는가장일반적인경로인 구글안드로이드마켓을이용했고, 설치된앱또한정상적으로동작하였는데, 대체왜 K 씨의스마트폰은 악성코드에감염된것일까? 1. 안드로이드악성코드는어떻게만들어지는가? 원인은 K 씨가다운로드한앱에있다. K 씨가설치한기타연주앱은악성코드제작자가리패키징 리패키징이란, 앱의제작과정을거꾸로하여앱의최초형태인소스코드로변환한후소스코드를수정 하거나다른코드를삽입하고앱을다시제작하는일련의과정을말한다. [ 그림 1-64] 안드로이드앱리패키징과정 (Repackaging) 기법을이용하여인기있는기타연주앱에악성코드를삽입하고앱의이름을변경한후, 다시안드로이드마켓에등록한것이다. [ 그림 1-62] 정상 / 악성앱 [ 그림 1-64] 와같이 APK 파일의압축을해제하여나온바이너리형태의파일을디컴파일 (Decompile) 하 면소스코드로변환된다. 결과물로나온소스코드를해커나개발자가수정하여다시컴파일과패키징

14 27 28 작업을거치면 APK 파일이생성된다. 마지막으로개발자인증서로코드사인과정만거치면실행가능한앱이완성되는데, 개발자인증서는압축파일형식으로되어있는 APK 파일을압축해제하는언패킹 (Unpacking) 과정에서추출할수없으므로새로운인증서로코드사인을해야만한다. [ 그림 1-65] 리패키징예제앱 반면안드로이드는 PC에서와같이바이너리형태의파일을직접수정하기어렵다. 안드로이드앱은일반 PC 파일과달리단일형태가아닌패키지형태로존재하는데, 모든패키지에는개발자코드사인이되어있어야만한다. 패키지내부의파일일부를수정하면코드사인된것이유효하지않아다시는앱을설치할수없다. 물론, 기존의바이러스형태가안드로이드에서완전히불가능한것은아니지만, 악성코드제작자들이리패키징이라는손쉬운방법을두고굳이어려운길을택하지는않을것같다. 앱이리패키징되지않도록하려면? 개발자의입장에서앱이리패키징되는것을막을방법은없을까? 안타깝게도앱스스로리패키징되는것을완벽히방어할수는없다. 적어도현재까지는이와관련한해결책이없다. 다만, 다음과같은방법으로리패키징을힘들게하거나지연할수있다. 가. 코드난독화 ProGuard와같은도구를활용하여코드를최대한난독화한다. 이렇게하면디컴파일을하더라도클래스나함수이름등이의미없는문자로변경되어해커가앱을파악하기가어렵다. ProGuard란, 코드최적화, 난독화등에사용되는도구로자세한내용은다음웹페이지를참고하기바란다. [ 그림 1-65] 는리패키징기법을활용하여, 버튼을눌렀을때출력되는메시지를 반갑습니다 에서 안녕하세요 로변경한예이다. 자바언어에대해어느정도이해하고있고, 관련된몇가지도구들만다룰수있으면누구나손쉽게앱을수정할수있다. 리패키징기법은악성코드제작뿐만아니라안드로이드앱의한글화, 크래킹 (Cracking), 기능추가 수정등의다양한용도로활용된다. 리패키징에서가장핵심이되는부분은디컴파일작업이다. 이것은높은수준의기술력을필요로하는어려운작업으로디컴파일하더라도본래의소스코드로온전히회귀하기는어렵다. 이러한이유로대부분의언어에는디컴파일이요구되는리패키징기법을활용할수없다. 하지만안드로이드에서주로사용되는개발언어인자바 (Java) 의경우, JAD, apktool 등공개된다양한도구들을활용하여바이너리파일에서소스코드로쉽게디컴파일이가능하다. 결과물로나온소스코드또한본래의것과비슷하다. 이것이안드로이드에서리패키징기법을활용한악성코드가유행하는이유중하나이다. 나. 안드로이드 NDK를이용한개발앞서설명했듯이자바로개발된프로그램은디컴파일이쉽다. 그러므로보안이필요한중요코드는 NDK(Native Development Kit) 를활용하여 C언어로개발하도록한다. 리패키징된앱으로말미암은악성코드감염피해를줄이려면? 일반사용자들은어떻게리패키징된악성앱을피할수있을까? 가. 서드파티마켓, 블랙마켓이용자제악성코드제작자들은앱을등록할때검사가허술한마켓을이용한다. 그러므로신뢰할수있는마켓을통해서만앱을다운로드한다. 나. 앱정보확인악성코드제작자들이앱을리패키징하여마켓에등록할때다른것은다똑같이위장하더라도앱의이름과제작자정보는정상앱과동일하게할수없다. 마켓에서유명한앱을다운로드하려고할때 이름이유사하지만조금차이가있거나, 제작자정보가알고있는것과다르다면리패키징을의심해 바이러스 VS 리패키징리패키징은정상프로그램에악의적인코드를삽입한다는점에서바이러스 (Virus) 나패치드 (Patched) 악성코드와유사하다. 그러나구현방법이나내부동작에는큰차이가있다. PC에서발견되는일반적인바이러스의경우, 기계어형태의악의적인코드를정상파일의어느한부분에삽입하고바이러스코드가호출되도록프로그램코드의시작주소를수정하는형태로동작한다. 따라서악성코드제작자는실행파일의구조와기계어에대해높은수준의지식을갖추어야한다. 야한다. 다. 앱설치할때권한요청확인안드로이드에서앱이설치될때는반드시해당앱에필요한권한정보를사용자에게확인하게끔되어있다. 만약설치하려는앱이과도한권한을요청한다면, 우선설치를중단하고앱을확인해볼필요가있다.

15 29 30 라. 보안제품설치 많은보안업체에서안드로이드보안제품을내놓았다. 이중하나를설치하여주기적으로보안검사 를실시한다. 앱을실행하면 [ 그림 1-67] 의설치안내화면이나온다. 프로그램을설치해주는앱으로위장하고있지만 사실은아래와같은악의적기능을수행한다. [ 그림 1-68] Android-Trojan/SmsSend.KH 의 SMS 관련코드 2. 스마트폰악성코드의위험성 : 프리미엄 SMS 악성코드분석과그위험성 안드로이드악성코드를이용하여금전적이득을취하는방법중에가장많은비중을차지하고있는 Android-Trojan/SmsSend, 통칭 프리미엄 SMS 악성코드에대해서알아보자. [ 그림 1-66] 프리미엄 SMS 악성코드설치화면 앱을살펴보면 [ 그림 1-68] 과같은형태의코드가계속나열된것을볼수있다. 이코드는앱이실행되 는스마트폰의 MCC(Mobile Country Code) 에따라 SMS 를전송할번호를저장한다. [ 그림 1-69] SMS 발송코드 Android-Trojan/SmsSend 로구분되는악성코드군에는매우다양한변형들이존재한다. [ 그림 1-66] 은 그중에서비교적간단한 Android-Trojan/SmsSend.KH 의설치화면이다. 이악성앱은설치시에인터 넷사용, 문자열람, 요금이부과되는문자발송등의권한을요구한다. 해당앱이문자를전송할필요가 있는지생각해보아야한다. [ 그림 1-67] 프리미엄 SMS 악성코드실행화면 국가에맞는번호를저장한후에는 [ 그림 1-69] 의코드와같이해당번호로 SMS 를발송한다. [ 그림 1-70] 과같이다양한국가들의코드가저장된것을알수있다. [ 그림 1-70] SMS 발송에사용되는국가코드

16 31 32 여기서한가지의문이생긴다. 단순히특정번호로 SMS를전송하는것을왜악의적인행위로규정하는것일까? 사용자동의없이이루어졌다는점에서잘못된행위로볼수있지만, SMS를대량으로전송하지않는이상피해자는 100원미만의아주작은피해를볼뿐이다. 금전적이득을취하는것이악성코드제작자의목적일텐데, 제작자는 SMS 전송으로어떻게돈을버는것일까? 악성코드제작자들은이를이용해해당업체에서비스를등록하여과금할수있는번호를부여받고, 이 번호로결제 SMS 를전송하는악성코드를유포하여손쉽게돈을벌수있다. [ 그림 1-72] 프리미엄번호 7781 에대한안내 유럽이나러시아에는 [ 그림 1-71] 과같은휴대전화결제서비스를제공하는업체가많다. 해당사이트를 살펴보면악성코드가 SMS 를보내는것만으로제작자가어떻게돈을버는지알수있다. [ 그림 1-71] 영국의휴대전화결제서비스업체 [ 그림 1-73] 은러시아의한사이트에서프리미엄번호 7781 에대한안내를조회한화면이다. SMS 한건 당 203 루블의금액이결제되며그중일부를특정사업자에게전달한다고설명되어있다. [ 그림 1-73] 이동통신사별 SMS 과금명세 이들의휴대전화결제서비스는결제한비용이다음달휴대전화요금으로청구된다는점은우리나라와 같지만, 그방식에약간차이가있다. 우리나라에서는결제를하려면 SMS 로받은인증번호를사용자가 입력해야하지만, 특정국가에서는사업자에게제공된특정번호 (Shortcode number) 로사용자가 SMS 를 보내기만하면바로결제가이루어진다. 이러한방식으로결제를받는사업자들은일반적으로다음과같 [ 그림 1-73] 에서와같이통신사별가격이안내되어있다. 환율이 1 루블당 37 원정도일때한화로 7 천원 정도의금액이 SMS 발송만으로부과되는것이다. 은서비스를제공한다. 악성코드제작자들은휴대전화결제서비스에가입하여 SMS 수신으로과금이되는번호를발급받는다. - 고객지원, 전화번호안내 - 뉴스, 교통, 스포츠, 운세, 성인콘텐츠 - 벨소리, 동영상, 사진, 게임다운로드 그리고해당번호로 SMS 를발송하는안드로이드앱을제작및배포하여불법적으로금전적이득을취한 다. 또한, 악성코드를널리퍼뜨리기위해안티바이러스로진단되지않는다양한방법을구사한다. 간단 하게정리하면 [ 그림 1-74] 와같다. - 휴대전화를이용한투표 - 기부금

17 33 34 [ 그림 1-74] 프리미엄 SMS 악성코드의수익구조 몰래 SMS 발송으로피해를주는악성코드가등장할가능성은충분한것이다. 안드로이드마켓에는누구 나쉽게자신의앱을등록할수있으므로악성코드에의한피해를미리방지하기위해마켓에서앱을설 치할때불필요한권한을요구하고있지는않은지주의깊게살펴보아야한다. 3. 스마트폰악성코드의유포방식 [ 그림 1-76] 은안랩의 V3 Mobile for Android 에진단추가된악성코드의숫자를월별로정리한그래프다. 순서대로살펴보면, 아래와같다. [ 그림 1-76] 안랩 V3 Mobile for Android 에진단추가된모바일악성코드월별수치 국내의위험가능성 그렇다면우리나라는어떨까? 오디션프로그램의건당 100 원의유료문자투표나라디오프로그램의건 당 50 원의문자응모가있다는것을생각해보면우리나라도결코안전하지만은않을것이다. ASEC 에서 국내상황을조사해본결과, 유럽처럼간단하지는않지만 SMS 수신으로요금이부과되는번호를발급받을수있다. 이를 MO(Message Oriented) 서비스라고한다. [ 그림 1-75] 는 MO 서비스를제공하는업체중하나이다. [ 그림 1-75] 국내 MO 서비스제공업체 2011년들어그숫자가기하급수적으로증가했으며, 이는스마트폰이그만큼악성코드에노출될가능성이높아졌음을의미한다. 최근의사례를중심으로악성코드의감염경로와예방법을알아보자. 안드로이드마켓을통한설치안드로이드운영체제를사용하는스마트폰은기본적으로구글에서운영하는안드로이드마켓을통해앱 을설치한다. 대부분의사용자는안드로이드마켓에서다운로드한앱은안전하다고믿고있다. 하지만실 상은그렇지않다. [ 그림 1-77] 은실제안드로이드마켓에등록된테스트목적의앱으로누구나다운로드및설치할수있 다. 이처럼안드로이드마켓은개발자가앱을등록하는순간누구든그앱을이용할수있다. 만약악성코 드제작자가악성앱을등록한다면어떻게될것인가? [ 그림 1-77] 안드로이드마켓에등록된테스트용도의앱 해당사이트에서결제를통해건당 100 원의정보이용료가발생하는 SMS 수신번호를발급받을수있으 며, 이번호로 SMS 가 1 만건이상수신되면수익금의 30% 를개인이가져갈수있다. 국내에서도사용자

18 35 36 실제안드로이드공식마켓에등록된악성코드로인해다수의사용자가피해를보고있다. 이러한문제 가지속적으로발생하자최근구글은악성코드를검사하는시스템인 바운서 (Bouncer) 를운영하기 [ 그림 1-80] 서드파티안드로이드마켓 시작했지만이것이악성코드를 100% 차단할수있을지는미지수다. [ 그림 1-78] 구글안드로이드마켓에서악성코드다운로드 구글은악성코드로확인된앱은안드로이드마켓에서즉시삭제한다. 따라서최근에등록된앱은다운로 드전에다른사용자들의평가를꼼꼼히읽어본후문제가없다고판단되면설치하는것이바람직하다. 또한, 안드로이드앱은 [ 그림 1-79] 와같이설치전에해당앱이사용할시스템이나자원에대한권한을 보여준다. [ 그림 1-79] 앱설치전권한확인창 이러한서드파티안드로이드마켓은사용자가비교적적고비공식적으로운영되는곳이많아앱의악성 여부를확인하는데시간이오래걸린다. 또한, 악의적인목적으로만들어진서드파티안드로이드마켓도 존재하므로구글이운영하는안드로이드마켓에비해악성코드를설치하게될가능성이높다. 따라서서드파티안드로이드마켓에서앱을설치하기전에해당앱이구글이운영하는공식마켓에있는지확인한후, 될수있으면구글이운영하는안드로이드마켓을이용하는것이좋다. 또한, 서드파티안드로이드마켓이용을위한전용앱을설치해야한다면, 운영자가신뢰할만한지확인하는것이바람직하다. 국내에서는휴대전화통신서비스제공사별로안드로이드마켓이따로운영된다. 통신사가운영하는안드로이드마켓은앱을등록하기전에사용자에게악의적인영향을줄수있는지를검사하므로비교적신뢰할만하다. 인터넷검색최적화및사회공학적기법을이용한배포 사용하려는앱에해당권한이필요한지를반드시확인하고지나치게많은권한을요구하면설치하지않 는것이좋다. 예를들어, 문자나전화송 수신앱이아닌단순한게임앱은 [ 그림 1-79] 와같이 ' 요금이 부과되는서비스 ' 를사용할이유가없다. 안드로이드운영체제는 [ 그림 1-81] 과같이안드로이드마켓을통하지않고도앱을설치할수있다. [ 그림 1-81] 시판되지않은응용프로그램설치허용 ' 옵션 서드파티안드로이드마켓에서다운로드 & 설치 안드로이드운영체제를사용하는스마트폰은구글이운영하는공식안드로이드마켓이외에제 3 자가만 든앱마켓의사용을허용하고있다. 즉, 누구나안드로이드앱을제공하는마켓을운영할수있다.

19 37 38 [ 그림 1-81] 의옵션을사용하면안드로이드용으로제작된앱을사용자가마음대로다운로드하여설치하 거나내 외장메모리를이용하여설치할수있다. 이러한기능을악용하여악성코드를설치하도록유도 [ 그림 1-84] 사회공학적기법을이용한악성코드설치유도 한사례가발견되었다. 웹브라우저를통해 ' 악성코드에감염되어시스템이보안상위험하다 ' 는허위진단 결과를보여주어사용자가가짜백신을설치하도록유도한다. 이때설치되는앱은보안제품이아닌프 리미엄 SMS 를발송하여과금을발생시키는악성코드다. [ 그림 1-82] 가짜백신으로허위진단결과를보여주어악성코드설치유도 4. 마켓의위험성 마켓은운영체제에따라앱스토어 ( 애플 ), 안드로이드마켓 ( 안드로이드 ), 오비스토어 ( 심비안 ), 앱월드 ( 블랙 베리 ), 바다 ( 삼성 ) 등이있다. 그중사용자가가장많은안드로이드마켓의특징을알아보고, 마켓을통해 앱을설치하는것이왜위험할수있는지알아본다. 이를기반으로마켓의위험성을이해하고안전하게 성인사이트를개설해놓고해당사이트에접속한사용자에게악성코드설치를유도하는사례도발견되었다. [ 그림 1-83] 과같이스마트폰으로해당성인사이트에접속하면특정콘텐츠를보기위해서는앱을설치해야한다고유도한다. 하지만실제설치되는앱은스마트폰의중요정보와사용자계정관련정보, 위치정보를외부로유출하는악성코드이다. [ 그림 1-83] 성인사이트접속사용자로하여금악성코드설치유도 스마트폰을이용하는방법을제시한다. 안드로이드마켓의특징안드로이드는스마트폰같은휴대용장치를위한미들웨어, 사용자인터페이스, 표준응용프로그램을포함하는모바일운영체제이다. 안드로이드는애플의앱스토어운영정책과는달리개방적인정책을시행하고있다. 가. 사전심의없는앱등록안드로이드운영체제는컴파일된바이트코드를구동할수있는런타임라이브러리를제공한다. 또한개발자가소프트웨어개발키트 (SDK) 를별도의등록과정없이무료로받을수있다. 이때문에제작된프로그램을안드로이드마켓에등록하면별다른심의과정없이사용자에게배포되는데, 이점이애플에서운영하는앱스토어와다른점이다. [ 표 1-4] 앱스토어와안드로이드마켓의차이점 비교항목 앱스토어 안드로이드마켓 운영주체 애플 구글또는마켓운영자 애플리케이션등록 애플심의후통과 자율적등록 이렇듯누구나호기심을가질만한주제로스마트폰사용자를유인한후악성코드의설치를유도하는사 회공학적기법은앞으로도더욱더정교한형태로사용자들을유혹할것이다. 따라서사용자들은추가로 개발프로그램 (SDK) 다운로드개발자등록후가능누구나가능 수익분배 CP(Contents provider) 와애플 7:3 CP 와구글 7:3 앱을설치하라고유도하는경우에는한번쯤의심해보고, 되도록이면설치하지않는것이보안상바람직하다. 사용자의보안의식부족 아직스마트폰보안에대한의식수준이낮다. CP 와마켓운영자 7:3

20 39 40 나. 서드파티마켓의허용 일반적으로말하는안드로이드마켓은구글에서운영하는서비스를의미한다. 하지만안드로이드운영체제 나광고를집어넣어여러마켓에배포하면배포자에게수익이돌아갈수있다는점도앱이빠르게증 가하는데에일조하고있다. 는통신사나기기제조사등에서운영하는서드파티마켓을허용한다. 안드로이드스마트폰을구매했을때 전화기제조사의마켓프로그램과가입된통신사의마켓프로그램이설치되어있는것은이러한안드로이 드진영의정책때문이다. 이러한개방성이안드로이드생태계에긍정적효과만주는것은아니다. 사전심의절차가없기때문 에마켓에는사용자에게불필요한프로그램도많이등록되어있다. [ 그림 1-85] 안드로이드마켓 [ 그림 1-87] 은 'Hello world' 라는키워드로마켓에서검색하였을때의결과이다. 'Hello world' 는 C 언어 를개발한 Dennis Richie 와 Kernighan 이쓴책 <The C Programming> 에서처음언급된프로그램이다. 주로개발자들이처음프로그램을작성할때 I/O 나라이브러리, 변수등이확실하게동작하는지확인 하기위해관례처럼사용하는예제프로그램이다. [ 그림 1-87] Hello world 로검색된앱 네덜란드의앱조사기업디스티모 (DISTIMO) 의조사에따르면 2011 년 12 월에만 40 만개가넘는앱이 안드로이드마켓에등록되었다. [ 그림 1-86] 안드로이드마켓에등록된앱의수 / 앱스토어와안드로이드마켓의앱증가추이 이런테스트프로그램과같이사용자들에게불필요한프로그램이나악의적인영향을미칠수있는악 성앱도안드로이드마켓에등록되어있다. 현재까지마켓에서발견된안드로이드기반악성코드는단 애플의앱스토어와비교했을때, 등록된앱수가 20 만개를돌파하는기간은앱스토어가 9 개월가량 말기정보등개인정보를유출하거나통화및 SMS 발송을통해무단과금하는형태가대부분이다. 빨랐지만, 이후로는안드로이드마켓이빠른증가속도를보이고있다. 이중일부는 ASEC 블로그를통해서도언급된바있다. 다. 개방성 안드로이드운영체제는개발자들에게안드로이드소스를개방하는오픈소스정책을취하고있다. 개 발자는개발키트 (SDK) 를자유롭게다운로드할수있고개발한앱을자유롭게마켓에등록할수도있다. 1. 안드로이드마켓에서유포된, 사용자폰을강제루팅시키는악성애플리케이션주의 구글안드로이드마켓, 또다시악성코드발견 안드로이드공식마켓과서드파티마켓, 웹등다양한배포경로를제공하는정책도빠른속도로앱이 - 증가하는이유중하나로볼수있다. 자바로개발되는앱의특성상리버스엔지니어링이쉬운편에속하고, 이렇게리버싱된앱에악성코드

21 41 42 안전한스마트폰이용 무료앱을설치할때는스마트폰에저장된민감한데이터에대한접근요구가없는지다시한번확인 해야한다. 가. ' 바운서 ', 새로운보안도구 지난 2012년 2월 3일구글은코드네임 바운서 (bouncer) 를발표했다. 바운서는안드로이드마켓에올라오는앱이악성코드를포함하고있는지를몇단계에걸쳐분석하는서비스이다. 하지만바운서는앱이마켓에등록되기전에분석 탐지하는시스템은아니다. 따라서마켓에등록되는악성코드가일부감소할수있으나모두차단되는것은아니다. 또한, 사용자들이안드로이드공식마켓이아니라서드파티마켓을이용해앱을설치한다면이서비스는도움이되지않는다. 마. 신뢰할수있는마켓이용인터넷검색을통해블랙마켓에서무료앱을다운로드하기보다는구글이운영하는안드로이드마켓이나신뢰할수있는서드파티마켓을이용해야한다. 안드로이드마켓을이용하여앱을설치할때도혹시모를위험에대비하기위해검색된앱의제작자평점과사용자평점, 다운로드수등을확인해야한다. 설치되는앱이요청하는권한을잘확인한다면편리하고안전하게스마트폰을이용할수있다. 나. 안드로이드의보안기능안드로이드의보안기본은 ' 어떤앱도다른앱과운영체제또는사용자에게나쁜영향을미칠수있는권한을가지지않는다 ' 는것이다. 이것은샌드박스라는기능을통해이루어지며설치된앱이동작할때다른앱이가진데이터에는접근할수없다. 앱은설치시요구한권한만큼만데이터접근이나기능동 현재모바일악성코드는과거 PC 악성코드가걸어왔던길을답습하고있다. 과거에는단순히휴대전화정보나개인정보등을유출했지만, 최근에는공격자의명령을받아사용자스마트폰의보안기능을강제로해제하여악의적인행위를하는악성코드가늘고있다. 또한프리미엄 SMS 등을이용하여금전적갈취를하고있으며, 사회공학적기법을사용하여더많은사용자가악성코드를설치하도록유도하고있다. 작이가능하며한번앱이설치되면할당받은권한은변경되지않는다. 안드로이드사용자들은이러한 특징을이해하고스마트폰을사용할때조금만주의하면악성코드감염을상당부분예방할수있다. 이렇듯악성코드는날이갈수록사용자에게직접적인피해를주도록진화해나갈것이며, 그배포방법 또한더욱지능화될것이다. 따라서사용자들은 ' 나의스마트폰도악성코드에감염될수있다 ' 는것을염 다. 루팅금지 루팅은관리자권한을획득하는행동을의미한다. 관리자권한을얻으면스마트폰에기본적으로설치 된앱을제거하는등사용자임의대로시스템설정을변경할수있다. 안드로이드에설치된앱은모두 두에두고새로운앱을설치할때정말필요한시스템권한과자원을사용하는지확인해야하며, 단말기 제조회사에서제공하는업데이트를충실히수행해야한다. 그리고새로운앱을설치했다면사용하기전 에보안제품으로검사하고이상이없는것을확인한후사용해야한다. 고유한리눅스사용자 ID 가부여되어다른앱에서생성한데이터에접근하는것이불가능하다. 하지만 루팅을하면이용자뿐만아니라앱또한시스템의다른데이터에접근할수있다. 이러한권한이악용 되면사용자데이터가유출되는등보안상의문제가생길수있다. 라. 앱설치시권한확인안드로이드마켓은앱을설치할때요구되는권한을보여주는데, 사용자는이를확인한후앱을설치할지를결정해야한다. 하지만대부분의사용자는앱을설치할때권한을확인하지않고있다. 예를들어게임앱은진동울림권한을이용할수있지만, 메시지읽기나주소록접근권한등은불필요하다. 스마트폰사용자는설치하고자하는앱의종류에따라불필요한권한이없는지주의를기울여야한다. 주의가필요한권한의종류는다음과같다. - 전화걸기 - SMS 전송 - 메모리카드접근 - 주소록접근 - 인터넷접근 - IEMI 등의정보에대한접근 대부분의무료안드로이드앱은수익성광고를제공하기때문에인터넷접근권한을요구한다. 따라서

22 보안동향 a. 보안통계 02. 보안동향 b. 보안이슈 2월마이크로소프트보안업데이트현황마이크로소프트가발표한보안업데이트는긴급 4건, 중요 5건으로총 9건이다. 이달에발표된보안업데이트는인터넷익스플로러와윈도우시스템관련취약점들이복합적으로구성되었다. 또한 C 런타임라이브러리취약점에대한패치인 MS12-013이포함되었다 국내동영상플레이어프로그램의취약점 2012년 2월에실시된국내보안캠프에서다음팟플레이어의취약점이발견되어, 2012년 2월 22일다음 ( 에서취약점이제거된팟플레이어 v1.5 베타버전을배포하였다. 해당취약점은 WMV 파일 (Windows Media Video) 의특정필드값의유효성을체크하지않아오버플로우가발생하는것으로, 이를이용해조작된 WMV 파일을특정인에게보내면원격코드실행이가능하다. 일반적으로동영상취약점은자동화된퍼저 (Fuzzer) 를이용하여조작된필드테스트및수동테스트를통해서발견된다. 다음팟플레이어뿐만아니라국내에서많이사용하는곰플레이어등에서도취약점이발견되고있다. [ 그림 2-1] 과 [ 그림 2-2] 는다음팟플레이어와곰플레이어를대상으로조작된 WMV 파일및 ASX 파일이다. [ 그림 2-1] 다음팟플레이어를대상으로조작된 WMV 파일예 들의보안업데이트가필요하다. 또한동영상프로그램뿐만아니라다른애플리케이션들도파일포맷취약점을이용한공격이자주발생하므로특별히주의가필요하다. 아래아한글스크립트실행취약점 2012년들어아래아한글의스크립트실행취약점을이용한악성코드배포및특정사이트공격이발생하고있다. 아래아한글스크립트를이용한공격방식은 2008년하반기에처음발견되었다. 해당취약점을이용하여특수하게조작된 HWP 파일은메일이나웹페이지링크등을통해특정사용자또는불특정사용자에게유포되어사용자가아래아한글파일을열어보는과정에서코드실행같은특정명령어를수행한다. 이취약점은아래아한글의스크립트매크로기능을악용한다. [ 그림 2-3] 아래아한글 2007의매크로 - 스크립트매크로메뉴 [ 그림 2-1] 공격대상기준별 MS 보안업데이트 위험도 취약점 긴급 윈도우커널모드드라이버의취약점으로인한원격코드실행문제점 ( ) 긴급 인터넷익스플로러누적보안업데이트 ( ) 긴급 C 런타임라이브러리의취약점으로인한원격코드실행문제점 ( )) 긴급.NET Framework 및 Microsoft Silverlight의취약점으로인한원격코드실행문제점 ( ) 중요 Ancillary Function Driver의취약점으로인한권한상승문제점 ( ) 중요 Indeo 코덱의취약점으로인한원격코드실행문제점 ( ) 중요 색제어판의취약점으로인한원격코드실행문제점 ( ) [ 표 2-1] 2012년 2월주요 MS 보안업데이트 [ 그림 2-2] 곰플레이어를대상으로조작된 ASX 파일예 동영상플레이어의취약점을방지하기위해서는출처가불분명한동영상파일은일단열어보지않는것이매우중요하며, 해당프로그램 아래아한글은스크립트매크로에서 Document에해당하는부분을제공하는데, Document 항목에들어간스크립트매크로는기본적으로문서를여는과정에서실행된다. [ 그림 2-4] 아래아한글 2007의스크립트매크로코드화면

23 45 46 [ 그림 2-5] 는악의적인스크립트매크로가내장된한글문서이다. [ 그림 2-5] HWP 문서가추가된스크립트부분 03. 웹보안동향 a. 웹보안통계 웹사이트악성코드동향안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하면, 2012년 2월악성코드를배포하는웹사이트를차단한건수는총 7만 3746건이었다. 악성코드유형은 630종, 악성코드가발견된도메인은 403개, 악성코드가발견된 URL은 5079개였다. 이를 2012 최근발견된한글스크립트실행취약점을이용한코드도 Document_New 이벤트이후에악의적인기능을하는자체변수및함수를사용한다. [ 그림 2-6] 악의적인스크립트매크로코드 년 1 월과비교해보면악성코드유형, 악성코드가발견된도메인, 악성코드가발견된 URL 은다소감소 했으나악성코드발견건수는증가하였다. 악성코드배포 URL 차단건수 41,181 73, % 악성코드유형악성코드가발견된도메인악성코드가발견된 URL ,524 5,079 아래아한글최근버전은스크립트매크로에대한악의적공격을막기위해보안수준의높고낮음과상관없이스크립트매크로의실행을막는다. 하지만새로운취약점에의한아래아한글스크립트실행공격을예방하기위해아래의사항을고려해야한다. [ 표 3-1] 웹사이트악성코드동향 월별악성코드배포 URL 차단건수 2012 년 2 월악성코드배포웹사이트 URL 접근에대한차단건수는지난달 4 만 1181 건에비해 79% - 스크립트매크로의실행여부확인방법 : 환경설정 -> 기타 -> 증가한 7 만 3746 건이었다. 스크립트실행확인에서 On/Off - 출처가불분명한아래아한글파일은열어보지않기 - 아래아한글보안업데이트하기 150, , ,000 75,000 50,000 42, % -1,588 41, % +32,565 73, % 25,000 0 [ 그림 3-1] 월별악성코드배포 URL 차단건수변화추이

24 47 48 월별악성코드유형 2012 년 2 월의악성코드유형은전달의 671 종에비해 6% 줄어든 630 종이었다. 악성코드유형별배포수 악성코드유형별배포수를보면드로퍼가 4 만 6467 건 /63% 로가장많았고, 트로이목마가 7678 건 /10.4% 인것으로조사됐다. 1, % [ 그림 3-2] 월별악성코드유형수변화추이 월별악성코드가발견된도메인 % % 유형 건수 비율 DROPPER 46, % TROJAN 7, % DOWNLOADER 5, % ADWARE 4, % APPCARE 2, % WIN-CLICKER 1, % Win32/VIRUT % SPYWARE % JOKE % ETC 5, % 73, % [ 표 3-2] 악성코드유형별배포수 2012 년 2 월악성코드가발견된도메인은 403 건으로 2012 년 1 월의 689 건에비해 42% 감소했다. 1, % [ 그림 3-3] 월별악성코드가발견된도메인수변화추이 월별악성코드가발견된 URL % % DROPPER 46,467 TROJAN DOWNLOADER ETC ADWARE APPCARE WIN-CLICKER Win32/VIRUT 348 SPYWARE JOKE 7,678 5,193 5,110 4,983 2,359 1, [ 그림 3-5] 악성코드유형별배포수 10,000 5, 년 2 월악성코드가발견된 URL 은전달의 1 만 1524 건에비해 56% 감소한 5079 건이었다. 12,000 10,000 8,000 6,000 4,000 2, , % [ 그림 3-4] 월별악성코드가발견된 URL +1,118 11, % -6,445 5, % 순위 등락 악성코드명 건수 비율 1 NEW Win-Dropper/KorAd , % 2 1 Downloader/Win32.Korad 2, % 3 2 Win-AppCare/WinKeyfinder , % 4 2 Adware/Win32.KorAd 2, % 5 1 Downloader/Win32.Totoran 1, % 6 NEW Win-Clicker/Agent B 1, % 7 NEW Trojan/Win32.HDC % 8 NEW Win-Adware/ToolBar.Cashon % 9 7 Downloader/Win32.Genome % 10 2 Win-Trojan/Buzus J % 57, % [ 표 3-3] 악성코드배포최다 10건

25 49 VOL. 26 ASEC REPORT Contributors 03. 웹보안동향 b. 웹보안이슈 집필진책임연구원 이승원 책임연구원 이정형 선임연구원 강동현 선임연구원 안창용 선임연구원 장영준 2012 년 2 월침해사이트현황 트를통한유포가가장많았고, P2P, 웹하드, 기타순이었다. 선임연구원주임연구원 주설우김용구 [ 그림 3-6] 2012 년 2 월악성코드유포목적의침해사이트현황 [ 그림 3-7] Win-Trojan/Patched B 유포사이트 연구원 심상우 참여연구원 ASEC 연구원 SiteGuard 연구원 편집장 선임연구원 안형봉 [ 그림 3-6] 은악성코드유포를목적으로하는침해사고가발생했던사이트의현황이다. 전월대비절반으로감소했는데, 명절이주말과겹 편집인 안랩세일즈마케팅팀 치면서외부의공격이현저히줄어들었기때문인것으로추정된다. 디자인 안랩 UX 디자인팀 침해사이트를통해서유포된악성코드최다 10건 [ 표 3-4] 2012년 1월악성코드최다 10건 순위 악성코드명 건수 1 Win-Trojan/Patched B 32 2 Win-Trojan/Onlinegamehack DI 25 3 Win-Trojan/Onlinegamehack DH 24 4 Win-Trojan/Patcher Dropper/Onlinegamehack Win-Trojan/Onlinegamehack Win-Trojan/Onlinegamehack B 15 8 Dropper/Onlinegamehack Win-Trojan/Patched B Win-Trojan/Onlinegamehack CV 11 [ 표 3-4] 는 2012년 2월한달간침해사이트를통해서가장많이유포 된악성코드 10건이다. 전월과마찬가지로온라인게임핵계열의트로 이목마가가장많이유포되었다. 특히가장많은건수를차지한 Win- Trojan/Patched B는 32개의사이트에서유포되었는데, 카테고 리별로분류해보면 [ 그림 3-7] 과같이전월과유사하게언론사사이 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. 감수전 무 조시행 발행처 ( 주 ) 안랩 경기도성남시분당구 삼평동 673 ( 경기도성남시분당구 판교역로 220) T F