CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

Size: px

Start display at page:

Download "CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안"

순창 영
5 years ago
Views:

1 ASEC REPORT VOL

2 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 ( 에서확인하실수있습니다 년 8 월보안동향 악성코드동향 01. 악성코드통계 03-8월악성코드, 전월대비 57만여건감소 - 악성코드대표진단명감염보고최다 20-8월최다신종악성코드트로이목마 - 8월악성코드유형트로이목마가 52.7% - 악성코드유형별감염보고전월비교 - 신종악성코드유형별분포 02. 악성코드이슈 07 - 메모리패치형 Banki의온라인뱅킹정보탈취기법분석 (1) - 고객님, 영수증이발급되었습니다 - 아마존구매관련메일로위장한스팸메일 - 특정은행대출승인메일로위장한스팸메일 - 휴가철, 사용자의휴가비를노려라! - 동영상재생프로그램을이용한악성코드유포 - 토렌트파일로위장한악성코드주의 - Your reservation is now confirmed! - 델타항공메일로위장한악성코드유포 보안동향 01. 보안통계 21-8월마이크로소프트보안업데이트현황 02. 보안이슈 22 - 자바취약점과결합된메모리해킹 - 인터넷뱅킹보안대책웹보안동향 01. 웹보안통계 24 - 웹사이트악성코드동향 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 03. 모바일악성코드이슈 17 - V3 모바일설치위장스미싱주의! - 금융사피싱앱주의

3 3 악성코드동향 01. 악성코드통계 8월악성코드, 전월대비 57만여건감소 ASEC 이집계한바에따르면, 2013 년 8 월에감염이보고된악성코드는 276 만 3163 건인것으로나타났 다. 이는전월 334 만 338 건에비해 57 만 7175 건이감소한수치다 ([ 그림 1-1]). 이중가장많이보고된 악성코드는 Trojan/Win32.onlinegamehack 이었으며, Textimage/Autorun 과 Trojan/Win32.Gen 이다음으 로많았다. 또한총 4 건의악성코드가최다 20 건목록에새로이름을올렸다 ([ 표 1-1]). 그림 1-1 월별악성코드감염보고건수변화추이 10,000,000 5,000,000 4,138, % 3,340,338 2,763, % 17.3% 표 년 8월악성코드최다 20건 ( 감염보고, 악성코드명기준 ) 순위 등락 악성코드명 건수 비율 1 7 Trojan/Win32.onlinegamehack 117, % 2 1 Textimage/Autorun 108, % 3 12 Trojan/Win32.Gen 64, % 4 1 Win-Trojan/Wgames.Gen 61, % 5 1 Trojan/Win32.agent 60, % 6 1 Als/Bursted 56, % 7 2 RIPPER 52, % 8 NEW JS/Iframe 41, % 9 3 Win-Trojan/Onlinegamehack140.Gen 39, % 10 8 Trojan/Win32.urelas 35, % 11 1 ASD.PREVENTION 32, % 12 7 BinImage/Host 32, % 13 NEW Win-Trojan/Agent , % 14 1 Win32/Autorun.worm F 31, % 15 4 JS/Agent 28, % 16 Win-Trojan/Malpacked5.Gen 26, % 17 3 Win-Trojan/Asd.variant 26, % 18 NEW JS/Exploit 25, % 19 NEW Win32/Virut.f 23, % 20 2 Win-Trojan/Avkiller4.Gen 21, % TOTAL 918, %

4 4 악성코드대표진단명감염보고최다 20 [ 표 1-2] 는악성코드별변종을종합한악성코드대표진단명중가장많이보고된 20 건을추린것이다. 이중 Trojan/Win32 가총 46 만 1426 건으로가장빈번히보고된것으로조사됐다. Win-Trojan/Agent 는 18 만 5623 건, Textimage/Autorun 이 10 만 8365 건을각각기록해그뒤를이었다. 표 1-2 악성코드대표진단명최다 20건 순위 등락 악성코드명 건수 비율 1 Trojan/Win32 461, % 2 Win-Trojan/Agent 185, % 3 Textimage/Autorun 108, % 4 Win-Trojan/Onlinegamehack 88, % 5 Win-Trojan/Downloader 83, % 6 3 Adware/Win32 64, % 7 1 Win-Trojan/Wgames 61, % 8 1 Win32/Conficker 58, % 9 1 Win32/Virut 57, % 10 4 Als/Bursted 56, % 11 2 Win32/Autorun.worm 53, % 12 3 RIPPER 52, % 13 1 Malware/Win32 45, % 14 2 Win32/Kido 44, % 15 NEW JS/Iframe 41, % 16 5 Win-Trojan/Onlinegamehack140 39, % 17 2 Downloader/Win32 33, % 18 1 ASD 32, % BinImage/Host 32, % 20 2 JS/Agent 28, % TOTAL 1,629, % 8월최다신종악성코드트로이목마 [ 표 1-3] 은 8 월에신규로접수된악성코드중감염보고가가장많았던 20 건을꼽은것이다. 8 월의 신종악성코드는 Win-Trojan/Agent 이 3 만 1782 건으로전체의 31.2% 를차지했다. Win- Trojan/Agent UP 는 1 만 8871 건이보고돼 18.5% 로그뒤를이었다. 표 1-3 7월신종악성코드최다 20건 순위 악성코드명 건수 비율 1 Win-Trojan/Agent , % 2 Win-Trojan/Agent UP 18, % 3 Win-Trojan/Backdoor , % 4 Win-Trojan/Kanav , % 5 Als/Agent 7, % 6 Win-Trojan/Agent , % 7 Win-Trojan/Agent M 2, % 8 Win-Trojan/Zbot , % 9 Win-Trojan/Zegost B % 10 Win-Trojan/Urelas % 11 Win-Trojan/Agent B % 12 Win-Trojan/Agent B % 13 Win-Trojan/Agent % 14 Exploit/Donxref % 15 Win-Trojan/Agent % 16 Win-Trojan/Downloader JS % 17 Win-Trojan/Urelas % 18 Win-Trojan/Agent % 19 Alc/Agent % 20 Win-Adware/KorAd I % TOTAL 101, %

5 5 7월악성코드유형트로이목마가 52.7% [ 그림 1-2] 는 2013 년 8 월 1 개월간안랩고객으로부터감염이보고된악성코드의유형별비율을 집계한결과다. 트로이목마 (Trojan) 가 52.7% 로가장높은비율을나타냈고스크립트 (Script) 가 8.3%, 웜 (Worm) 이 8.2% 의비율을각각차지했다. 그림 1-2 악성코드유형별비율 악성코드유형별감염보고전월비교 [ 그림 1-3] 은악성코드유형별감염비율을전월과비교한것이다. 스크립트, 바이러스, 애드웨어, 스파이웨어등은전월에비해증가세를보였으며웜, 드롭퍼, 익스플로이트, 다운로더는감소했다. 트로이목마, 애프케어계열은전월수준을유지했다. 그림 년 7 월 vs 년 8 월악성코드유형별비율

6 6 신종악성코드유형별분포 8 월의신종악성코드를유형별로살펴보면트로이목마가 91% 로가장많았고, 애드웨어와익스플로 이트각각 1% 로집계됐다. 그림 1-4 신종악성코드유형별분포

7 악성코드동향 02. 악성코드이슈 메모리패치형 Banki의온라인뱅킹정보탈취기법분석 (1) 요즘은특정온라인게임사용자의계정정보와아이템탈취를위한온라인게임핵보다는악성코드에감염된 PC의 hosts 파일을수정하거나 hosts.

exe, 자신삭제 Thread 2는 C&C서버접속, 감염된 PC 정보전송, 파일생성등여러가지기능수행 1. Banki는어떤취약점을사용했나? Banki의감염구조를도식화해보면아래 [ 그림 1-5] 와같다. 그림 1-7 시작프로그램에등록된악성코드 [ 그림 1-7] 에서번호로표시된항목들의특징을정리하면다음과같다.

1 의경우 - DLL, SYS 파일생성 - C&C(116.***.121.***:7125, UDP) 로감염된 PC 의시스템정보전송 전송시암호화함 탈취하는정보는맥주소, OS 버전, mshtml.dll 의버전등 - 백신무력화기능존재 2 의경우 - 윈도우서비스명 + 32.dll - svchost.

7 7 악성코드동향 02. 악성코드이슈 메모리패치형 Banki의온라인뱅킹정보탈취기법분석 (1) 요즘은특정온라인게임사용자의계정정보와아이템탈취를위한온라인게임핵보다는악성코드에감염된 PC의 hosts 파일을수정하거나 hosts.ics를생성해사용자를피싱사이트로유도한뒤온라인뱅킹정보를탈취하는파밍악성코드 ( 이하 Banki) 가더빈번하게발견되고있다. 2. 악성코드의동작구조 wfx.exe의전체동작구조는아래와같으며 2개의 Main Thread를생성해동작한다. Thread 1은 cmd.exe를이용해 wfk.exe, 자신삭제 Thread 2는 C&C서버접속, 감염된 PC 정보전송, 파일생성등여러가지기능수행 1. Banki는어떤취약점을사용했나? Banki의감염구조를도식화해보면아래 [ 그림 1-5] 와같다. 그림 1-7 시작프로그램에등록된악성코드 [ 그림 1-7] 에서번호로표시된항목들의특징을정리하면다음과같다. 그림 1-5 Banki의감염과정위 [ 그림 1-5] 에서는 CVE 을통해감염됐으나 css.htm파일을살펴보면기본적으로 JAVA( 자바 ) 취약점 6개, Internet Explorer(IE) 취약점 1개, Flash Player( 플래시플레이어 ) 취약점 1개등총 8개의취약점을사용했다. 1 의경우 - DLL, SYS 파일생성 - C&C(116.***.121.***:7125, UDP) 로감염된 PC 의시스템정보전송 전송시암호화함 탈취하는정보는맥주소, OS 버전, mshtml.dll 의버전등 - 백신무력화기능존재 2 의경우 - 윈도우서비스명 + 32.dll - svchost.exe 를통해실행되는서비스의 Parameter 로실행 - C&C(116.***.121.***:7125, UDP) 로감염된 PC 의맥주소전송 - 특정조건에서파일다운로드 3 의경우 - 암호화된데이터파일 복호화하면 **a2.exe 를다운로드하는주소존재 4 의경우 - %PROGRAMFILES%\NPKI 와해당폴더내에파일이존재할경우에만파일다운로드 Banki 드롭퍼 - hosts, hosts.ics 파일삭제및 msimsg.dll.mui 파일생성 그림 1-6 wfk.exe 가사용한자바취약점 5 의경우 - 보안모듈패치및계좌정보탈취

8 3. 보안모듈패치 msimsg.dll.mui는 [ 그림 1-8] 과같이총 4개의 Thread를생성해온라인뱅킹이용시설치되는일부보안모듈에대해메모리패치를수행한다.

45에서살펴볼계획이다. V3 제품에서는아래와같이진단이가능하다. 그림 1-8 보안모듈패치를위한 Thread 생성 msimsg.dll.

<V3 제품군의진단명 > Trojan/Win32.MalPack (2013.08.04.01) Win-Trojan/Qhost.48557 (2013.08.04.00) Dropper/Win32.

최근발견된악성코드는워드문서양식의영수증으로가장해사용자의실행을유도하는형태였다. 아이콘을보면일반워드문서로보이지만확장자는.exe로돼있다.

mui는보안모듈을메모리패치하기전, 해당모듈의로딩여부검사를위해 [ 그림 1-10] 의코드를실행한다.

8 8 3. 보안모듈패치 msimsg.dll.mui는 [ 그림 1-8] 과같이총 4개의 Thread를생성해온라인뱅킹이용시설치되는일부보안모듈에대해메모리패치를수행한다. 드가메모리패치후이다. 오른쪽의코드를보면메모리패치된보안모듈이정상적으로실행되다가 0x00B40000으로분기함을알수있다. 이후탈취과정에대한추가내용은 ASEC Report Vol. 45에서살펴볼계획이다. V3 제품에서는아래와같이진단이가능하다. 그림 1-8 보안모듈패치를위한 Thread 생성 msimsg.dll.mui의리소스영역을살펴보면 4개의은행을대상으로하고있음을알수있다. 사용자가해당은행에접속해온라인뱅킹을이용하고자하면 [ 그림 1-9] 와같이허위보안강화설정창이나타난다. <V3 제품군의진단명 > Trojan/Win32.MalPack ( ) Win-Trojan/Qhost ( ) Dropper/Win32.Rootkit ( ) 고객님, 영수증이발급되었습니다 악성코드제작자들은악성코드유포를위해다양한방법을사용한다. 최근발견된악성코드는워드문서양식의영수증으로가장해사용자의실행을유도하는형태였다. 아이콘을보면일반워드문서로보이지만확장자는.exe로돼있다. 파일의헤더정보를통해해당파일이워드문서를가장한실행파일임을확인할수있다. 그림 1-9 허위보안강화설정창 그림 1-12 워드문서를가장한실행파일 msimsg.dll.mui는보안모듈을메모리패치하기전, 해당모듈의로딩여부검사를위해 [ 그림 1-10] 의코드를실행한다. 그림 1-10 GetModuleHandleA() 를통한보안모듈로딩여부체크 이후아래코드를통해서해당모듈의특정주소부터 5바이트에대해메모리패치를수행한다. 그림 1-13 파일의헤더정보 그림 1-11 npdelfinoplugin.dll 에대해메모리패치수행 위 [ 그림 1-11] 에서왼쪽의코드가메모리패치전이고, 오른쪽의코 이러한형태의악성코드는악성코드제작자들이매우즐겨사용하는방법이며사용자들이조금만관심을둔다면얼마든지피해를막을수있다.

9 해당악성코드가실행되면아래의파일을생성하고, 자신은삭제된다. 그림 1-14 파일생성정보또한시스템에서지속적으로자동실행되도록레지스트리에자신을등록한다.

또한파일실행전최신엔진으로백신을업데이트하고검사를실시한후실행해야한다. V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > Trojan/Win32.

04) 그림 1-15 시작프로그램등록 아마존구매관련메일로위장한스팸메일 해당악성코드의특징적인행위중하나는윈도우방화벽에특정포트를허용하는정책을추가한다는점이다.

이러한상태는특정서버로의정보유출이나원격접속등다양한형태의공격이가능하다. 그림 1-19 수신된메일의내용메일에첨부된파일은 [ 그림 1-20] 과같다.

9 9 해당악성코드가실행되면아래의파일을생성하고, 자신은삭제된다. 그림 1-14 파일생성정보또한시스템에서지속적으로자동실행되도록레지스트리에자신을등록한다. 이처럼악성코드제작자들은사용자의부주의를이용해악성코드를유포하므로알지못하는파일을실행할경우파일의확장자를잘살펴보는것이중요하다. 또한파일실행전최신엔진으로백신을업데이트하고검사를실시한후실행해야한다. V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > Trojan/Win32.Zbot ( ) 그림 1-15 시작프로그램등록 아마존구매관련메일로위장한스팸메일 해당악성코드의특징적인행위중하나는윈도우방화벽에특정포트를허용하는정책을추가한다는점이다. 세계적인온라인쇼핑몰인아마존닷컴 (amazon.com) 의구매관련메일로위장해악성파일을유포하는스팸메일이발견됐다. 구매중인정보 파일을첨부한구매확인메일을보내파일을열어보도록유도하는방식이다. 그림 1-16 방화벽허용정책추가 시스템의네트워크상태정보를확인해보면방화벽에허용정책을추가한두포트가열린상태로대기중임을확인할수있다. 이러한상태는특정서버로의정보유출이나원격접속등다양한형태의공격이가능하다. 그림 1-19 수신된메일의내용메일에첨부된파일은 [ 그림 1-20] 과같다. 해당파일의압축을해제하면파일의확장자가 [ 그림 1-20] 과같이 PDF 파일로돼있어사용자는이파일을정상파일로인지할위험이있다. 그림 1-20 첨부된파일 그림 1-17 네트워크연결상태정보 하지만여러차례언급한바와같이폴더옵션에서 알려진파일형식의확장자숨기기 설정을체크하면, 파일의진짜확장자 (zip, exe 등 ) 를확인할수있다. 첨부파일실행시생성되는주요파일은아래와같다. 그림 1-18 특정포트연결정보 %TEMP%\ exe %APPDATA%\Xuxaalb\raommy.exe %APPDATA%\Yzsuaba\yqotagu.tau %TEMP%\tmpcc820afc.bat

$HKCU\Software\Microsoft\Windows\CurrentVersion\ Run\{F0805A8B-9AE6-CA33-ACA5-7086365E3443} ""C:\Documents and Settings\Administrator\Application Data\Xuxaalb\raommy.$ exe"" 그림 1-23 특정은행위장스팸메일전문 해당메일에는악성실행파일이함께포함돼있다. 악성코드감염시다수의도메인으로의접속을시도하며, 연결된일부도메인에서는추가파일을다운로드한다.

exe"" 그림 1-23 특정은행위장스팸메일전문 해당메일에는악성실행파일이함께포함돼있다. 악성코드감염시다수의도메인으로의접속을시도하며, 연결된일부도메인에서는추가파일을다운로드한다.

$해당메일에첨부된악성파일을실행하면다음과같은파일이생성된다. CREATE C:\Documents and Settings\Administrator\ Application 시스템재시작시에도동작할수있도록아래의값을레지스트리에등록한다. 특정은행대출승인메일로위장한스팸메일특정은행의대출승인관련문서파일을첨부한것처럼위장한스팸메일이발견됐다.$

10 10 해당악성코드는관련프로세스를윈도우방화벽정책에등록하고, 윈도우자동업데이트를사용할수없도록한다. 그런다음아래와같이레지스트리값을등록해시스템재시작시에도동작할수있도록설정한다. HKCU\Software\Microsoft\Windows\CurrentVersion\ Run\{F0805A8B-9AE6-CA33-ACA E3443} ""C:\Documents and Settings\Administrator\Application Data\Xuxaalb\raommy.exe"" 그림 1-23 특정은행위장스팸메일전문 해당메일에는악성실행파일이함께포함돼있다. 악성코드감염시다수의도메인으로의접속을시도하며, 연결된일부도메인에서는추가파일을다운로드한다. 그림 1-21 DNS 쿼리정보 그림 1-24 PDF 아이콘으로위장한악성실행파일 그림 1-22 추가악성파일다운로드정보제작자는더많은악성코드유포를위해지속적으로의심스러운메일을보내고있는만큼, 악성코드에감염되지않도록항상주의할필요가있다. V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > Spyware/Win32.Zbot ( ) Trojan/Win32.Inject ( ) 해당파일은 [ 그림 1-24] 와같이 PDF 문서의아이콘으로표시돼있지만, 등록정보에서확인해보면실제로는실행파일임을알수있다. 만약사용자의폴더옵션이 알려진확장자에대한숨김 으로설정돼있다면위와같이확장자가보이지않아사용자는 PDF 문서로판단하고파일을실행해악성코드에감염될위험이있다. 해당메일에첨부된악성파일을실행하면다음과같은파일이생성된다. CREATE C:\Documents and Settings\Administrator\ Application 시스템재시작시에도동작할수있도록아래의값을레지스트리에등록한다. 특정은행대출승인메일로위장한스팸메일특정은행의대출승인관련문서파일을첨부한것처럼위장한스팸메일이발견됐다. 기존스팸메일과유포형태에서는크게차이나지않지만, 해당은행은국내에도다수의지점이운영되고있어감염피해가우려되는만큼아래내용을공유해사용자들의주의를당부할필요가있을것으로보인다. HKCU\Software\Microsoft\Windows\CurrentVersion\ Run\Yksaib ""C:\Documents and Settings\Administrator\Application Data\Qyakod\yksaib.exe"" 또한감염시몇몇 IP 및특정사이트에접속을시도해추가적인악성파일을다운로드해실행한다. RE: Loan Approved 로수신된해당스팸메일은대출승인을위한문서를보내니서명하여답장하라는내용이며메일전문은 [ 그림 1-23] 과같다. 그림 1-25 추가적으로다운로드하는파일및접속이력

11 국제운송업체, 은행등에서보낸메일로위장해악성코드를유포하는형태의스팸메일은과거부터지속적으로발생하고있으나, 피해사례또한꾸준히발생하고있다. 따라서발신인이명확하지않거나, 첨부파일이포함된메일을확인할때는각별한주의가필요하다. V3 제품에서는아래와같이진단할수있다. 보를확인할수있었다.

더큰문제는많은여행사들이영세한규모로운영되고있어홈페이지보안에는크게신경을쓰지않고있어해당여행사홈페이지에방문하는접속자들이악성코드에무방비로노출돼있다는점이다. 악성코드제작자들은적은노력으로최대의효과를얻기위해사용자들이많이접속하면서도보안이취약한사이트를주요공격대상으로하고있다.

11 11 국제운송업체, 은행등에서보낸메일로위장해악성코드를유포하는형태의스팸메일은과거부터지속적으로발생하고있으나, 피해사례또한꾸준히발생하고있다. 따라서발신인이명확하지않거나, 첨부파일이포함된메일을확인할때는각별한주의가필요하다. V3 제품에서는아래와같이진단할수있다. 보를확인할수있었다. 해당사이트는중국에서각국방문자통계사이트를모니터링해접속률이높은사이트만골라악성코드를배포하는곳으로, 몇년전언론을통해기사화된바있다. <script language=javascript src= click.aspx?id= &logo=1 charset=gb2312></script> <V3 제품군의진단명 > Trojan/Win32.Zbot ( ) Trojan/Win32.Tepfer ( ) 휴가철, 사용자의휴가비를노려라! 7~8월은직장인들이가장기다려온여름휴가가있는시기다. 여름휴가를맞아국내뿐만아니라해외유명관광지로여행을계획하는사람이많다. 여행을준비할때본인이직접해당관광지에대한정보를수집하는경우도있지만, 여행사이트를통해자신이가고자하는여행지상품을선택하고돈을지불하는경우도많다. 이렇게휴가철, 사람들이여행사홈페이지에많이접속한다는점을악용해여행사홈페이지에악성코드를삽입하는사례가발생했다. 더큰문제는많은여행사들이영세한규모로운영되고있어홈페이지보안에는크게신경을쓰지않고있어해당여행사홈페이지에방문하는접속자들이악성코드에무방비로노출돼있다는점이다. 악성코드제작자들은적은노력으로최대의효과를얻기위해사용자들이많이접속하면서도보안이취약한사이트를주요공격대상으로하고있다. 그림 1-27 악성코드가삽입된여행사홈페이지사용자가 [ 그림 1-27] 의여행사홈페이지에방문할경우홈페이지에삽입된악성코드가자동으로사용자시스템으로다운로드되어악성코드에감염된다 우선 server.exe 파일은아래와같이 c:\windows\ \ svchsot.exe를생성하고, 작업관리자에파일을등록해지정된시간마다해당악성코드가자동으로실행되도록한다. 그림 1-26 인터넷사이트접속통계를보여주는중국사이트 - 51YES 이번에발견된악성코드를유포한여행사사이트에서는아래의파일이다운로드된다. 다운로드된파일에서는접속통계를보여주는중국사이트의 URL 정 그림 1-28 server.exe가생성하는악성코드추가로다운로드되는 238.exe는사용자의금융정보를빼내기위한악성코드로, 감염시 [ 그림 1-29] 와같이 hosts.ics 파일을생성해악성코드제작자가만들어놓은파밍사이트로사용자의접속을유도한다.

12 알림이사용자에게나타나고업데이트기능을이용해악성코드가유포된것으로추정된다. 현재 KMPlayer 홈페이지에서배포하고있는최신버전은 3.6.0.87 버전이다. [ 링크참고 ] http://www.icst.org.tw/newsrssdetail.aspx?

&lang=zh https://www.ncert.nat.gov.tw/noticeana/anadetail.do?id=icst- ANA-2013-0018 [ 그림 1-31] 은 ICST에공지된악성코드분석정보화면이다.

또한사용자가여행사사이트에접속했다는사실을이용해공격자가여행사를가장하게되면더욱손쉽게사용자에게피해를줄수도있어사용자의각별한주의가요구된다. V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > Trojan/Win32.Qhost (2013.08.06.

동영상재생프로그램을이용한악성코드유포 최근사용자가많은무료동영상재생프로그램을이용한악성코드가발견됐다. 이용자가많은프로그램이나광고프로그램의업데이트기능을이용한악성코드유포사례가증가하고있는만큼사용자들의주의가요구된다.

12 12 알림이사용자에게나타나고업데이트기능을이용해악성코드가유포된것으로추정된다. 현재 KMPlayer 홈페이지에서배포하고있는최신버전은 버전이다. [ 링크참고 ] 그림 1-29 생성된 hosts.ics 파일이파밍사이트로유도해당파밍사이트들은현재차단된상태지만, 최근수많은변종들이파밍사이트 IP만변경해지속적으로제작되고있어사용자들의각별한주의가요구된다. &lang=zh ANA [ 그림 1-31] 은 ICST에공지된악성코드분석정보화면이다. 이렇듯악성코드제작자들은최근사용자들이많이접속하는취약한여행사이트를통해악성코드를유포하고있어사용자들의조그만부주의가금융정보의유출이라는커다란피해로확대될수있는상황이다. 또한사용자가여행사사이트에접속했다는사실을이용해공격자가여행사를가장하게되면더욱손쉽게사용자에게피해를줄수도있어사용자의각별한주의가요구된다. V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > Trojan/Win32.Qhost ( ) Win-Trojan/Agent FE ( ) 그림 1-31 ICST- KMPlayer exe라는파일명을사용하는악성코드는 SFX 압축파일형태로제작돼있다. 동영상재생프로그램을이용한악성코드유포 최근사용자가많은무료동영상재생프로그램을이용한악성코드가발견됐다. 이용자가많은프로그램이나광고프로그램의업데이트기능을이용한악성코드유포사례가증가하고있는만큼사용자들의주의가요구된다. [ 그림 1-30] 은외부해킹공격에따른 KMPlayer의긴급공지내용이다. 그림 1-32 KMPl_ exe 이번에발견된악성코드는디지털서명을이용해백신탐지를우회하도록정교하게제작된특징을가지고있다. 그림 1-30 외부해킹공격에따른긴급공지 분석당시악성코드유포경로를정확히확인할수없었지만, 외부에공개된내용 (icst.org.tw) 을참고하면, KMPlayer 버전업데이트 그림 1-33 정상적인디지털서명을이용하는악성코드 시스템이윈도우XP 운영체제인경우, All Users 폴더에 [ 그림 1-34] 와같은파일이생성된다.

13 뀌었다. 웹하드와 P2P 기술은효율적인데이터파일전송을위해개발된기술이지만, 불법콘텐츠파일유통을위한수단으로사용되기도했다.

그림 1-34 윈도우 XP 파일생성경로 시스템이윈도우7 운영체제인경우, ProgramData 폴더에 [ 그림 1-34] 와동일한악성코드가생성된다.

A, B, C 사용자가각각파일의앞부분, 중간부분, 마지막부분을가지고있다면 D라는사용자는 A, B, C라는사용자로부터해당부분을전송받아완성된파일로조합한다.

그림 1-35 윈도우 7 파일생성경로 해당악성코드는 PlugX 악성코드로사용자의키보드입력정보를 NvSmart.hlp 파일에저장해탈취한다.

torrent 파일만공유하는방식으로이용되고있으며, 토렌트파일공유사이트는대부분암암리에회원제로운영되고있다. 그림 1-36 NvSmart.

그림 1-39 토렌트파일로위장한악성코드 그림 1-37 네트워크연결정보 <V3 제품군의진단명 > Binimage/Plugx (V3, 2013.08.23.

exe 확장명을가진실행파일이었다. 윈도우폴더옵션중 알려진확장명숨기기 기능이활성화되어있으면해당파일이.torrent로끝나는토렌트파일로보여착각하기쉽다.

13 13 뀌었다. 웹하드와 P2P 기술은효율적인데이터파일전송을위해개발된기술이지만, 불법콘텐츠파일유통을위한수단으로사용되기도했다. 최근에는토렌트 (Torrent) 라는프로그램을통해불법콘텐츠가많이유통되고있다. 그림 1-34 윈도우 XP 파일생성경로 시스템이윈도우7 운영체제인경우, ProgramData 폴더에 [ 그림 1-34] 와동일한악성코드가생성된다. P2P 방식은파일을가지고있는사용자와연결되어파일전체를다운로드하는방식이다. 그러나토렌트프로그램은 P2P 프로그램과다르다. A, B, C 사용자가각각파일의앞부분, 중간부분, 마지막부분을가지고있다면 D라는사용자는 A, B, C라는사용자로부터해당부분을전송받아완성된파일로조합한다. 그러면 A, B, C는파일의모든부분을가지고있는 D로부터나머지부분을전송받는식이다. 그림 1-35 윈도우 7 파일생성경로 해당악성코드는 PlugX 악성코드로사용자의키보드입력정보를 NvSmart.hlp 파일에저장해탈취한다. 그림 1-38 토렌트프로그램실행화면이러한네트워크에참가하기위해서는.torrent 확장명으로끝나는파일이필요하다. 최근불법콘텐츠파일을유통하는사이트에서는이러한.torrent 파일만공유하는방식으로이용되고있으며, 토렌트파일공유사이트는대부분암암리에회원제로운영되고있다. 그림 1-36 NvSmart.hlp 파일에저장된키로깅정보 악성코드는특정서버로접속을시도하며키로깅정보및시스템정보등을전송하는것으로추정된다. 그림 1-39 토렌트파일로위장한악성코드 그림 1-37 네트워크연결정보 <V3 제품군의진단명 > Binimage/Plugx (V3, ) Trojan/Win32.PlugX 이번에발견된악성코드의경우 [ 그림 1-39] 와같이.torrent 파일로위장하고있지만, 실제로는.exe 확장명을가진실행파일이었다. 윈도우폴더옵션중 알려진확장명숨기기 기능이활성화되어있으면해당파일이.torrent로끝나는토렌트파일로보여착각하기쉽다. 해당파일의경우실행가능한압축파일형태로, 내부에는 [ 그림 1-40] 과같이정상 Torrent 파일과악성코드파일이포함돼있다. 특히파일명이모방송국의유명예능프로그램이름으로돼있어사용자들이무심코실행할가능성이매우높다. 토렌트파일로위장한악성코드주의 불법콘텐츠파일을유통하는방법은나날이발전하고있다. 초기에는와레즈사이트를통해웹에서직접다운로드하는방식이이용됐다. 시간이지나면서웹하드가사용되다가, P2P(Peer-to-Peer) 방식으로바 그림 1-40.torrent 파일로위장한파일내부에포함된파일

14 토렌트프로그램이설치된경우해당파일을실행하면 [ 그림 1-41] 과같은화면이출력된다. 이러한악성코드에감염되는것을방지하기위해서는합법적인서비스를이용하는것이중요하다. 최근개정된저작권법에따르면, 토렌트파일을이용한파일공유행위는법에따른처벌의대상에포함된다. 이에사용자들의의식개선이필수적이다. V3 제품에서는아래와같이진단이가능하다.

와마찬가지로휴가철특수를노리는악성코드가이메일을통해유포됐다. 전세계호텔, 게스트하우스, 리조트등다양한숙박업체예약서비스를하는제공하는 Booking.com 사이트를사칭한메일이유포된것이다. 이번에발견된이메일은사회공학적기법을이용해주로휴가시즌에유포됐다. 그림 1-42 토렌트프로그램이설치되어있지않은경우 사용자는.

$exe 파일과이름을비슷하게해, 사용자가윈도우구성파일인것으로착각하게한다. [ 생성되는파일 ] C:\Program Files\server.exe ( 악성코드 ) C:\Program Files\tiara.torrent ( 정상토렌트파일 ) C:\WINDOWS\B194AB4D\svchsot.exe (server.$

14 14 토렌트프로그램이설치된경우해당파일을실행하면 [ 그림 1-41] 과같은화면이출력된다. 이러한악성코드에감염되는것을방지하기위해서는합법적인서비스를이용하는것이중요하다. 최근개정된저작권법에따르면, 토렌트파일을이용한파일공유행위는법에따른처벌의대상에포함된다. 이에사용자들의의식개선이필수적이다. V3 제품에서는아래와같이진단이가능하다. 그림 1-41 악성코드를실행시실행되는토렌트프로그램 그러나해당프로그램이설치되어있지않으면 [ 그림 1-42] 와같이프로그램을선택하라는메시지가나타난다. <V3 제품군의진단명 > Packed/Win32.PePatch ( ) Your reservation is now confirmed! 앞서소개한 휴가철사용자의휴가비를노려라! 와마찬가지로휴가철특수를노리는악성코드가이메일을통해유포됐다. 전세계호텔, 게스트하우스, 리조트등다양한숙박업체예약서비스를하는제공하는 Booking.com 사이트를사칭한메일이유포된것이다. 이번에발견된이메일은사회공학적기법을이용해주로휴가시즌에유포됐다. 그림 1-42 토렌트프로그램이설치되어있지않은경우 사용자는.torrent 파일이실행되는화면만확인하게되지만, 실제로는함께포함된 server.exe라는악성코드파일이사용자몰래실행되면서악성코드에감염된다. 해당파일을실행하면다음과같이파일을생성하고레지스트리영역을수정한다. server.exe 파일과 svchsot.exe 파일은동일파일이다. 특히 svchsot.exe 파일은윈도우시스템파일인 svchost.exe 파일과이름을비슷하게해, 사용자가윈도우구성파일인것으로착각하게한다. [ 생성되는파일 ] C:\Program Files\server.exe ( 악성코드 ) C:\Program Files\tiara.torrent ( 정상토렌트파일 ) C:\WINDOWS\B194AB4D\svchsot.exe (server.exe와동일파일 ) C:\WINDOWS\Tasks\At1.job ~ At24.job ( 예약된작업파일 ) [ 레지스트리영역 ] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ B194AB4D ( 시작프로그램등록 ) HKLM\SYSTEM\ControlSet001\Services\Schedule\ NextAtJobId ( 예약된작업등록 ) 사용자가 PC를재부팅하더라도지속적으로감염된상태를유지하기위해시작프로그램과예약된작업에악성코드파일을등록한다. 그리고아래주소로연결을시도한다. 20**.12******27.tk 16*.1**.*5.*6: *.1**.**6.**1:2012 그림 1-43 booking.com을사칭한악성코드유포메일원문메일에첨부된압축파일을풀면아래그림과같이 PDF 문서로보이는파일을볼수있다. 하지만윈도우탐색기에서해당파일의종류를확인해보면실제로는응용프로그임을확인할수있다. 알려진파일형식의확장명숨기기 설정에따라확장자가보이지않아해당파일의아이콘이 PDF 문서파일로보인것이다. 그림 1-44 압축해제된첨부파일그림 1-45 윈도우탐색기에서확인한파일

$15 압축이풀린 Booking number {_booking}.exe 파일은웹브라우저, 메일및 FTP 클라이언트등에저장된사용자계정과암호를탈취하고아래사이트에접속해다른악성파일을다운로드및실행한다. 108.**.252.36:8938 2.176.***.150:5566 V3 제품에서는아래와같이진단이가능하다. hxxp://www.a***.$

15 15 압축이풀린 Booking number {_booking}.exe 파일은웹브라우저, 메일및 FTP 클라이언트등에저장된사용자계정과암호를탈취하고아래사이트에접속해다른악성파일을다운로드및실행한다. 108.** : ***.150:5566 V3 제품에서는아래와같이진단이가능하다. hxxp:// hxxp://detail*****rect.ca/forum/viewtopic.php hxxp:// hxxp://stluke*****chrak.org/rext.exe hxxp://208.***.50.5/c38qvmd.exe hxxp://s onl*****me.us/y3r.exe 분석당시에는위 URL에서 y3r.exe의파일만다운로드됐다. 해당파일은아래와같은랜덤한이름으로파일을생성하고시스템시작시자동실행되도록레지스트리에등록한다. [ 파일생성 ] %Temp%\ exe %Appdata%\Oxisuk\awidyr.exe %Temp%\MEE8970 <V3 제품군의진단명 > Trojan/Win32.Zbot ( ) 델타항공메일로위장한악성코드유포최근에델타항공메일로위장해배포된악성코드가발견됐다. 기존에발견된 과속범칙금을위장한메일, 택배를위장한메일, ' 은행을위장한메일 ' 등과같은형태지만, 별도로악성코드가첨부된것은아니었고사용자가링크를클릭하면악성코드가다운로드되는형태였다. 다운로드된악성코드역시유사한것으로확인되나, 외형이나기능에있어서는약간의차이가있는것으로나타났다. [ 레지스트리등록 ] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Awidyr"="C:\Documents and Settings\Administrator\Application Data\Oxisuk\awidyr.exe" 위레지스트리등록외에도 [ 그림 1-46] 과같이윈도우방화벽에 TCP1468, UDP5202 포트를예외설정할수있도록레지스트리에등록한다. 그림 1-47 델타항공메일로위장한메일본문 위의 [ 그림 1-47] 은메일의본문이며, 본문에삽입된링크클릭시다운로드되는악성코드는 [ 그림 1-48] 과같다. 그림 1-48 링크클릭시다운로드되는악성코드 해당악성코드역시기존에발견된악성코드와같이자신의파일을복 그림 1-46 윈도우방화벽예외설정 또한아래와같이 C&C 서버로추정되는 IP 로의접속을시도한다. 제해방화벽을우회하고자동으로실행될수있도록레지스트리에특정값을등록한다. 특히자신의파일을복제할때는 5자리의임의의폴더및파일이름으로복제하며악성코드감염시생성되는배치파일은자신의파일을스스로삭제해흔적을감추는기능을한다. 84.** : **.230: ***.27: *** : ***.165:7168 C:\Documents and Settings\Administrator\Local Settings\ Application Data\ijnio.ala C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\NWM39F0.bat 표 1-4 파일생성

16 16 HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Bioge HKLM\SYSTEM\ControlSet001\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\DisableNotifications HKLM\SYSTEM\ControlSet001\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\ List\6881:UDP HKLM\SYSTEM\ControlSet001\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\DisableNotifications HKLM\SYSTEM\ControlSet001\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\ List\9254:TCP 표 1-5 레지스트리등록 1 악성코드파일을시작프로그램에등록 2 explorer.exe 프로세스에대해방화벽예외설정정책설정 3 UDP를사용하는 6881 포트개방 4 TCP를사용하는 9254 포트개방 기존에발견된악성코드확인시에는 Address Book 폴더에있는 Administrator.wab 파일에접근하는로그만확인된반면, 최근에는아웃룩메일과관련된로그가확인된다. C:\Documents and Settings\Administrator\Application Data\ Microsoft\Address Book\Administrator.wab C:\Documents and Settings\Administrator\Local Settings\ Application Data\Identities\{DB5938C6-87F2-4E13-BDFE- 8F80D }\Microsoft\Outlook Express\Folders.dbx C:\Documents and Settings\Administrator\Local Settings\ Application Data\Identities\{DB5938C6-87F2-4E13-BDFE- 8F80D }\Microsoft\Outlook Express\ 받은편지함.dbx C:\Documents and Settings\Administrator\Local Settings\ Application Data\Identities\{DB5938C6-87F2-4E13-BDFE- 8F80D }\Microsoft\Outlook Express\Offline.dbx C:\Documents and Settings\Administrator\Local Settings\ Application Data\Identities\{DB5938C6-87F2-4E13-BDFE- 8F80D }\Microsoft\Outlook Express\ 보낸편지함.dbx 표 1-6 메일과관련된로그 위과정을통해네트워크연결로접근한로그와관련된정보를전송할것으로추정되나, 테스트시에는네트워크연결과관련된정보가확인되지않았다. 위와같이스팸형태로유포되는사례는과거에이어현재도지속적으로발견되고있다. 그만큼흔한방법이기도하지만사용자들이무심코클릭해감염되는경우도종종발생하고있다. 이에발신인이명확하지않은이메일또는의심스러운링크가포함되어있거나특정파일을실행하도록유도하는이메일에대해서는각별한주의가필요하다. 해당악성코드는 V3 제품을통해진단및치료가가능하다. <V3 제품군의진단명 > Trojan/Win32.Zbot

17 악성코드동향 03. 모바일악성코드이슈 현재까지는국내사용자를대상으로한모바일악성코드들의경우소액결제를주목적으로했으나, 지난 8월에는스파이앱과파밍앱이많이발견됐다. 그림 1-50 안랩을사칭한스미싱 메시지에포함된앱 (APK) 을설치하면 [ 그림 1-51] 과같은아이콘이생성된다.

17 17 악성코드동향 03. 모바일악성코드이슈 현재까지는국내사용자를대상으로한모바일악성코드들의경우소액결제를주목적으로했으나, 지난 8월에는스파이앱과파밍앱이많이발견됐다. 그림 1-50 안랩을사칭한스미싱 메시지에포함된앱 (APK) 을설치하면 [ 그림 1-51] 과같은아이콘이생성된다. 그림 1-49 스파이앱 스마트폰에저장된개인정보를유출하는스파이앱은스미싱을이용해사용자의설치를유도하고, 악성코드가설치되면내부에저장된정보를악성코드제작자에게전달하는것을목적으로하는악성앱이다. V3 모바일설치위장스미싱주의! 최근스마트폰보안앱으로위장한스미싱사례가발견돼사용자들의각별한주의가필요할것으로보인다. 최근안랩의모바일보안제품인 V3 모바일 (V3 Mobile) 을설치하라는내용의문자로위장해악성앱의설치를유도하는스미싱이발견됐다. 안랩은불특정다수에게불안전한메시지를발송하지않으며, 안랩 V3 모바일제품은스마트폰제조사를통해제공하고있는만큼반드시스마트폰제조사에서제공하는경로를통해제품을설치해야한다는점을명심하자. 악성앱제작자는 [ 그림 1-50] 과같이 스미싱, 파밍으로인한개인정보유출이증가하고있다 며 백신프로그램을배포하고있다 는문자를발송했다. 해당문자에는링크가포함되어있어, 이를클릭할경우악성앱이설치된다. 그림 1-51 악성앱아이콘아이콘은 V3의모양을하고있지만, 앱이름은 내가사께! 로나타난다. 앱제작시이름수정을미처하지못한것으로추정된다. 앱을실행하면 [ 그림 1-52] 와같은화면이나타나며, 악성행위가동작한다. 그림 1-52 악성앱실행화면

18 악성앱이실행되면사용자가모르는사이악성코드내부에저장된두개의번호로앱설치완료문자를전송하며 SD

그림 1-57 동일제작자의악성앱아이콘 그림 1-53 악성앱의소스코드 1 - 주소록, 통화내역,

사전에 V3 Mobile 백신과같은믿을수있는제품을사용해감염되지않도록사전에주의해야한다.

18 18 악성앱이실행되면사용자가모르는사이악성코드내부에저장된두개의번호로앱설치완료문자를전송하며 SD Card의.temp 디렉토리를만들어주소록, 통화기록, 문자정보를저장한다. 이렇게저장된정보는미리정의된특정서버로전송하고, 그결과를문자로알린다. 악성앱제작자는과거에도동일한기능을가진악성앱을제작한바있다. 이악성앱제작자가과거에제작한앱의아이콘은 [ 그림 1-57] 과같다. - 악성코드내부에저장된두개의전화번호로앱의설치를알린다. 그림 1-57 동일제작자의악성앱아이콘 그림 1-53 악성앱의소스코드 1 - 주소록, 통화내역, 문자내용정보를수집하는코드중일부 스마트폰사용자는문자내용에포함된링크가존재할경우접속에주의해야하며, 사전에 V3 Mobile 백신과같은믿을수있는제품을사용해감염되지않도록사전에주의해야한다. 해당악성코드는 V3 Mobile 제품을통해진단및치료가가능하다. <V3 Mobile의진단명 > Android-Trojan/FakeV3 Android-Spyware/BarSmish 그림 1-54 악성앱의소스코드 2 - 수집된정보를전송하는과정 금융사피싱앱주의금융사앱으로위장해사용자의금융정보를빼내는악성앱의변형이최근발견됐다. 국내스마트폰사용자를타깃으로하는이악성앱은기존에발견된앱보다지능화된데다가, 실제감염사례도보고되고있어각별한주의가필요하다. 금융사앱으로위장해사용자의금융정보를빼낸피싱앱의이번변형은다음과같은특징을보였다. 기존 bankun 앱은 ASEC REPORT VOL.42 ' 금융사피싱앱주의 ' 에서분석정보를확인할수있다. 그림 1-55 특정서버로정보를전송하는과정 - 아이콘및패키지변화 - 사용자로부터탈취한정보는 c, d, f 파일명으로특정서버에전송된다. 그림 1-58 아이콘및앱이름 그림 1-56 특정서버에저장된정보들 그림 1-59 패키지및클래스의변화

19 기존에는앱이름에패키지이름이있었던반면, 최근발견된앱에서는이름이보이지않는다.

1-60 앱실행시, 나타나는기기관리자등록화면 앱을실행하면아이콘은사라지고사용자는 [ 그림 1-60]

- 서비스및리시버이용 그림 1-63 문자수신시, 새로운업데이트를알리는화면

라는알림이뜬다. 이는구글플레이나다른앱들이업데이트되는방식과매우유사해사용자는의심없이또다른악성피싱앱을설치하게된다.

19 19 기존에는앱이름에패키지이름이있었던반면, 최근발견된앱에서는이름이보이지않는다. 또한비교적간단하게작성됐던기존의클래스들에비해최근발견된앱에서는 Receiver, services 등의클래스가추가됐다. - 권한및기기관리자등록 그림 1-62 Receiver 코드 - 알림 (Notification) 사용 그림 1-60 앱실행시, 나타나는기기관리자등록화면 앱을실행하면아이콘은사라지고사용자는 [ 그림 1-60] 과같이해당앱의기기관리자등록여부를묻는화면을볼수있다. - 서비스및리시버이용 그림 1-63 문자수신시, 새로운업데이트를알리는화면 리시버에의해사용자가임의의문자를수신했을때는 [ 그림 1-63] 과같이 " 새로운업데이트가있습니다 " 라는알림이뜬다. 이는구글플레이나다른앱들이업데이트되는방식과매우유사해사용자는의심없이또다른악성피싱앱을설치하게된다. - 설치된피싱앱 그림 1-61 악성앱이동작하는화면 [ 그림 1-60] 에서사용자가 Activate 버튼을누르면악성앱은서비스로동작하기시작한다. 또한앱디컴파일시, 아래 [ 그림 1-62] 와같이 Receive 코드를확인할수있다. 해당코드를확인해보면사용자가문자수신을하거나전원을 On/Off하는등의행위를했을시, 피싱앱추가설치를유도한다는사실을확인할수있다. 그림 1-64 파일생성정보

20 악성앱이띄운알림에따라업데이트를누르면, 사용자는기존의앱삭제여부를묻는팝업창과피싱앱설치화면을보게된다. 사용자는이과정을단순한앱업데이트과정으로착각할수있다. 설치과정에서정상적인 A 금융기관앱이설치돼있는사용자라면해당금융사의피싱앱이설치되고, B 금융기관앱이설치돼있을경우에는 B 금융기관피싱앱이설치된다.

20 20 악성앱이띄운알림에따라업데이트를누르면, 사용자는기존의앱삭제여부를묻는팝업창과피싱앱설치화면을보게된다. 사용자는이과정을단순한앱업데이트과정으로착각할수있다. 설치과정에서정상적인 A 금융기관앱이설치돼있는사용자라면해당금융사의피싱앱이설치되고, B 금융기관앱이설치돼있을경우에는 B 금융기관피싱앱이설치된다. 다만, 과거에발견된앱에서는 8 개의금융업체피싱앱이존재했으나, 최근발견된앱에서는 A, B, C 금융기관의피싱앱만이존재했다. 그림 1-65 악성앱안에존재하는피싱앱 앞서언급했듯이최근감염사례가접수되고있는금융관련악성앱인만큼그피해가커질수있어사용자들의각별한주의가요구된다. 피해를예방하기위해서는 V3 Mobile과같은백신으로주기적인검사를하는습관이필요하며특히의심스러운앱은다운로드하지않는것이무엇보다중요하다. <V3 Mobile의진단명 > Android-Trojan/Bankun

21 ASEC REPORT 44 SECURITY TREND 21 보안동향 01. 보안통계 8월마이크로소프트보안업데이트현황 2013 년 8 월마이크로소프트사에서발표한보안업데이트는총 8 건으로긴급 3 건, 중요 5 건이다. 특 히인터넷익스플로러는누적보안업데이트로많은취약점들에대한패치가포함돼있다. 안전한인 터넷사용을위해반드시보안패치를적용하도록하자. 그림 2-1 공격대상기준별 MS 보안업데이트 긴급 MS Internet Explorer 누적보안업데이트 MS Unicode Scripts Process의취약점으로인한원격코드실행문제점 MS Microsoft Exchange Server의취약점으로인한원격코드실행문제점중요 MS 원격프로시저호출의취약점으로인한권한상승문제점 MS Windows 커널의취약점으로인한권한상승문제점 MS Windows NAT 드라이버의취약점으로인한서비스거부문제점 MS ICMPv6의취약점으로인한서비스거부문제점 MS Active Directory Federation Services의취약점으로인한정보유출문제점 표 년 8 월주요 MS 보안업데이트

ASEC REPORT 44 SECURITY TREND 22 악성코드동향 02. 보안이슈 자바취약점과결합된메모리해킹최근에인터넷뱅킹의메모리해킹이슈가증가하고있는가운데, 해당메모리해킹을이용하는악성코드감염시에 Exploit Pack 등을이용한자바취약점들이사용되는것이확인됐다. 자바취약점들은많이공개돼있어이를이용하는개발자들은최신버전의 JDK를이용하는것이필요하다.

그림 2-3 코드패치를이용한메모리해킹 그림 2-2 자바 CVE-2011-3544 취약점코드이러한인터넷브라우저와연동된애플리케이션들은크게자바, SWF, PDF 등이있다. Exploit Pack 등에서는브라우저취약점과더불어위의세가지애플리케이션취약점들도공격하도록설계돼있어브라우저취약점자체에대한패치와자바, SWF, PDF 등의보안패치에대해서도꾸준한관심이필요하다.

22 ASEC REPORT 44 SECURITY TREND 22 악성코드동향 02. 보안이슈 자바취약점과결합된메모리해킹최근에인터넷뱅킹의메모리해킹이슈가증가하고있는가운데, 해당메모리해킹을이용하는악성코드감염시에 Exploit Pack 등을이용한자바취약점들이사용되는것이확인됐다. 자바취약점들은많이공개돼있어이를이용하는개발자들은최신버전의 JDK를이용하는것이필요하다. 용자마저정상사이트로착각하게만드는파밍공격또한하는증가하고있다. 최근에는인터넷뱅킹에사용하는프로그램및금융권사이트의정상적인자바스크립트를메모리에서조작해계좌비밀번호및보안카드비밀번호유출등을일으키는메모리해킹도늘고있다. 그림 2-3 코드패치를이용한메모리해킹 그림 2-2 자바 CVE 취약점코드이러한인터넷브라우저와연동된애플리케이션들은크게자바, SWF, PDF 등이있다. Exploit Pack 등에서는브라우저취약점과더불어위의세가지애플리케이션취약점들도공격하도록설계돼있어브라우저취약점자체에대한패치와자바, SWF, PDF 등의보안패치에대해서도꾸준한관심이필요하다. 일반적으로스미싱공격은사회공학적인방법으로금융권을위장하거나이벤트문자를이용하는방식이많이악용되고있어 URL이포함된문자메시지를수신할경우해당 URL 을클릭해서는안된다. 클릭시에도모바일앱을설치하지않으면스미싱공격의위험을예방할수있다. 또한금융권에서는보안카드전체번호를요구하지않으므로보안카드번호전체를입력하라고요구할경우에는피싱사이트라고단정할수있다. Hosts 파일변조시에경고창이보이면해당 PC가악성코드에감염됐을수있으므로백신을이용한전체검사가필요하다. 인터넷뱅킹보안대책올해하반기에도금전적이득을노린스미싱, 파밍, 피싱, 메모리해킹등의보안위협들이증가하고있다. 모바일사용의폭발적인증가로인한문자메시지와피싱의합성어인스미싱공격이스마트폰이용자를대상으로급격하게증가하고있는추세다. 또한일반적인피싱사이트를이용한공격보다는 Hosts 파일을변조해보안에관심있는사 그림 2-4 Hosts 파일변조경고메모리해킹공격은먼저악성코드가동작해야하므로, 악성코드에감염이되지않는것이중요하다. 인터넷사용시에해당 PC의보안패치는필수다. 관련애플리케이션 (ex. 자바, SWF, PDF 등 ) 에대한보안패치도수행해야하며주기적으로백신등의소프트웨어를이용한점검

23 ASEC REPORT 44 SECURITY TREND 23 이필요하다. 이밖에보안카드보다보안이강화된 OTP(One Time Password) 의사용을고려할수있다. 또한 9월 26일부터시행되는전자금융사기예방서비스를반드시이용하도록한다. 이서비스는인터넷뱅킹을이용할경우본인확인절차가전면강화됨으로써공인인증서발급및이체시문자메시지및휴대전화, ARS 응답을통하기때문에정보유출로인한개인재산의피해를예방할수있다.

24 ASEC REPORT 44 WEB SECURITY TREND 24 웹보안동향 01. 웹보안통계 웹사이트악성코드동향 안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하 면, 2013 년 8 월웹을통한악성코드발견건수는모두 5162 건이었다. 악성코드유형은총 218 종, 악 성코드가발견된도메인은 236 개, 악성코드가발견된 URL 은 632 개로각각집계됐다. 전월과비교해 악성코드가발견된도메인은다소증가했으나웹을통한악성코드발견건수, 악성코드유형, 악성코 드가발견된 URL 은감소했다. 표 년 8 월웹사이트보안현황 악성코드발견건수 12,772 8 월 7 월 5, % 악성코드유형 악성코드가발견된도메인 악성코드가발견된 URL 월별악성코드배포 URL 차단건수 2013 년 8 월웹을통한악성코드발견건수는전월의 1 만 2772 건과비교해 40.4% 수준인 5162 건이 다. 그림 3-1 월별악성코드발견건수변화추이 20,000 15,000 10,000 10, % 12, % 5, % 5,

25 ASEC REPORT 44 WEB SECURITY TREND 25 월별악성코드유형 2013 년 8 월악성코드유형은전달 255 건에비해 92.8% 수준인 218 건이다. 그림 3-2 월별악성코드유형수변화추이 % 7.8% 7.2% 월별악성코드가발견된도메인 2013 년 8 월악성코드가발견된도메인은 236 건으로, 2013 년 7 월의 226 건과비교해 4.4% 증가했다. 그림 3-3 악성코드가발견된도메인수변화추이 % % 4.4% 월별악성코드가발견된 URL 2013 년 8 월악성코드가발견된 URL 은전월의 734 건과비교해 86.1% 수준인 632 건이다. 그림 3-4 월별악성코드가발견된 URL 수변화추이 1, % 33.4% %

26 ASEC REPORT 44 WEB SECURITY TREND 26 월별악성코드유형 악성코드유형별배포수를보면트로이목마가 2424 건 (47.0%) 으로가장많았고, 스파이웨어는 751 건 (14.5%) 인것으로조사됐다. 유형 건수 비율 TROJAN 2, % SPYWARE % ADWARE % DROPPER % DOWNLOADER % Win32/VIRUT % APPCARE % JOKE 2 0 % ETC 1, % 5, % 표 3-2 악성코드유형별배포수 3,000 2,424 1,500 1, TROJAN SPYWARE 그림 3-5 악성코드유형별배포수 270 ADWARE DROPPER DOWNLOADER Win32/VIRUT APPCARE JOKE ETC 악성코드최다배포수악성코드배포최다 10건중에서는 Spyware/Win32.Gajai가 633건 (21.0%) 으로 1위를차지했으며, Trojan/Win32.Downloader 등 4건이새로등장했다. 순위 등락 악성코드명 건수 비율 1 NEW Spyware/Win32.Gajai % 2 1 ALS/Bursted % 3 1 Worm/Win32.Luder % 4 NEW Trojan/Win32.Downloader % 5 NEW Trojan/Win32.agent % 6 4 Trojan/Win32.Agent % 7 ALS/Qfas % 8 3 Trojan/Win32.KorAd % 9 NEW Android-Trojan/Bankun % 10 4 Trojan/Win32.Starter % TOTAL 3, % 표 3-3 악성코드배포최다 10건

27 ASEC REPORT CONTRIBUTORS 집필진 책임연구원 이정형 선임연구원 박종석 선임연구원 이도현 선임연구원 강동현 주임연구원 문영조 주임연구원 김재홍 연구원 강민철 참여연구원 ASEC 연구원 편집 안랩세일즈마케팅팀 디자인 안랩 UX 디자인팀 감수전무조시행 발행처 주식회사안랩경기도성남시분당구삼평동 673 ( 경기도성남시분당구판교역로 220) T F Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited AhnLab, Inc. All rights reserved.

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.