CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

Transcription

1 ASEC REPORT VOL

2 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 ( 에서확인하실수있습니다. I. 2013년 9월보안동향악성코드동향 01. 악성코드통계 03-9월악성코드, 전월대비 40만건감소 - 악성코드대표진단명감염보고최다 20-9월최다신종악성코드트로이목마 - 9월악성코드유형트로이목마가 55.3% - 악성코드유형별감염보고전월비교 - 신종악성코드유형별분포 02. 악성코드이슈 07 - ZeroAccess 악성코드의지속적인등장 - 구글업데이트를위장한 ZeroAccess 악성코드 - IE 실행시중국사이트접속?! - 대형인터넷쇼핑몰을겨냥한금융피싱악성코드기승 - 난독화된스크립트악성코드감염주의 - 최신음악토렌트파일을위장한 PUP 유포 - 홍콩금융관리국위장악성스팸메일 - 페이징파일에잔존하는데이터 03. 모바일악성코드이슈 16 - 한국인터넷진흥원을사칭한스미싱주의! - 금융사피싱앱변종발견 - 금융예방서비스? 보안동향 01. 보안통계 21-9월마이크로소프트보안업데이트현황 02. 보안이슈 22 - 제로데이 IE 취약점, CVE 어도비사고객정보및소스코드유출사건 웹보안동향 01. 웹보안통계 24 - 웹사이트악성코드동향 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 II. 2013년 3분기보안동향 01. 악성코드통계 27-3분기악성코드, 846만건기록 - 3분기악성코드대표진단명감염보고최다 20-3분기최다신종악성코드, 트로이목마 - 3분기악성코드유형, 트로이목마가 53.4% - 신종악성코드 3분기유형별분포 02. 모바일악성코드통계 30-3분기모바일악성코드접수량 - 3분기모바일악성코드유형별접수량 - 모바일악성코드감염보고최다 10 - 국내스마트폰악성코드대부분은스미싱 03. 보안통계 33-3분기마이크로소프트보안업데이트현황 04. 웹보안통계 34 - 웹사이트악성코드동향 - 3분기웹을통한악성코드발견건수 - 3분기악성코드유형 - 3분기악성코드가발견된도메인 - 3분기악성코드가발견된 URL - 3분기악성코드유형 - 3분기악성코드최다배포

3 3 악성코드동향 01. 악성코드통계 9월악성코드, 전월대비 40만건감소 ASEC 이집계한바에따르면, 2013 년 9 월에감염이보고된악성코드는 235 만 9753 건인것으로나타 났다. 이는전월 276 만 3163 건에비해 40 만 3410 건이감소한수치다 ([ 그림 1-1]). 이중가장많이보 고된악성코드는 Trojan/Win32.onlinegamehack 이었으며, Textimage/Autorun 과 Win-Trojan/Patched. kg 가다음으로많았다. 또한총 3 건의악성코드가최다 20 건목록에새로이름을올렸다 ([ 표 1-1]). 그림 1-1 월별악성코드감염보고건수변화추이 10,000,000 5,000,000 3,340,338 2,763,163 2,359, % 17.3% 14.6% 표 년 9월악성코드최다 20건 ( 감염보고, 악성코드명기준 ) 순위 등락 악성코드명 건수 비율 1 Trojan/Win32.onlinegamehack 164, % 2 Textimage/Autorun 99, % 3 NEW Win-Trojan/Patched.kg 76, % 4 9 Win-Trojan/Agent , % 5 1 Win-Trojan/Wgames.Gen 58, % 6 1 RIPPER 43, % 7 1 Als/Bursted 40, % 8 3 Trojan/Win32.agent 28, % 9 5 Win32/Autorun.worm F 27, % 10 5 JS/Agent 26, % 11 5 Win-Trojan/Malpacked5.Gen 26, % 12 1 ASD.PREVENTION 25, % 13 1 BinImage/Host 24, % 14 3 Win-Trojan/Asd.variant 21, % 15 NEW Backdoor/Win32.plite 20, % 16 2 JS/Exploit 20, % Trojan/Win32.Gen 19, % 18 1 Win32/Virut.f 17, % Win-Trojan/Onlinegamehack140.Gen 14, % 20 NEW Adware/Win32.agent 14, % TOTAL 834, %

4 4 악성코드대표진단명감염보고최다 20 [ 표 1-2] 는악성코드별변종을종합한악성코드대표진단명중가장많이보고된 20 건을추린것이다. 이중 Trojan/Win32 가총 35 만 6576 건으로가장빈번히보고된것으로조사됐다. Win-Trojan/Agent 는 18 만 3970 건, Textimage/Autorun 은 9 만 9546 건을각각기록해그뒤를이었다. 표 1-2 악성코드대표진단명최다 20건 순위 등락 악성코드명 건수 비율 1 Trojan/Win32 356, % 2 Win-Trojan/Agent 183, % 3 Textimage/Autorun 99, % 4 NEW Win-Trojan/Patched 89, % 5 1 Win-Trojan/Onlinegamehack 75, % 6 1 Win-Trojan/Wgames 58, % 7 2 Win-Trojan/Downloader 56, % 8 Win32/Conficker 50, % 9 3 Adware/Win32 49, % 10 1 Win32/Autorun.worm 47, % 11 2 Win32/Virut 44, % 12 RIPPER 43, % 13 3 Als/Bursted 40, % 14 Win32/Kido 38, % 15 NEW Backdoor/Win32 31, % 16 4 JS/Agent 26, % 17 4 Malware/Win32 26, % 18 NEW Win-Trojan/Malpacked5 26, % 19 1 ASD 25, % 20 1 BinImage/Host 24, % TOTAL 1,395, % 9월최다신종악성코드트로이목마 [ 표 1-3] 은 9 월에신규로접수된악성코드중감염보고가가장많았던 20 건을꼽은것이다. 9 월의 신종악성코드는 Win-Trojan/Hupigon 이 9291 건으로전체의 30.4% 를차지했다. ACAD/ Agent 는 3931 건이보고돼 12.9% 로그뒤를이었다. 표 1-3 9월신종악성코드최다 20건 순위 악성코드명 건수 비율 1 Win-Trojan/Hupigon , % 2 ACAD/Agent 3, % 3 Win-Trojan/Malpack , % 4 Win-Trojan/Agent EC 1, % 5 Win-Trojan/Onlinegamehack , % 6 Win-Trojan/Urelas , % 7 Win-Trojan/Downloader , % 8 Win-Trojan/Jorik , % 9 Win-Trojan/Agent % 10 JS/Decode % 11 Win-Trojan/Bootkit % 12 Win-Trojan/Onlinegamehack % 13 Win-Trojan/Agent EB % 14 Win-Trojan/Agent % 15 Win-Trojan/Onlinegamehack % 16 Win-Trojan/Banki % 17 Win-Trojan/Patched.KE % 18 Win-Trojan/Agent B % 19 Win-Adware/Enumerate % 20 Win-Trojan/Morix % TOTAL 30, %

5 5 9월악성코드유형트로이목마가 55.3% [ 그림 1-2] 는 2013 년 9 월 1 개월간안랩고객으로부터감염이보고된악성코드의유형별비율을 집계한결과다. 트로이목마가 55.3% 로가장높은비율을나타냈고웜은 8.4%, 스크립트는 7.4% 의 비율을각각차지했다. 그림 1-2 악성코드유형별비율 악성코드유형별감염보고전월비교 [ 그림 1-3] 은악성코드유형별감염비율을전월과비교한것이다. 트로이목마, 웜, 익스플로이트등 은전월에비해증가세를보였으며스크립트, 바이러스, 애드웨어, 드롭퍼, 다운로더, 스파이웨어는 감소했다. 애프케어계열은전월수준을유지했다. 그림 년 8 월 vs 년 9 월악성코드유형별비율

6 6 신종악성코드유형별분포 9 월의신종악성코드를유형별로살펴보면트로이목마가 82% 로가장많았고, 애드웨어와익스플로 이트가 3% 와 2% 로각각집계됐다. 그림 1-4 신종악성코드유형별분포

7 7 악성코드동향 02. 악성코드이슈 ZeroAccess 악성코드의지속적인등장과거의악성코드는특수한목적으로제작됐기때문에백신제품으로큰어려움없이제거할수있었다. 악성코드제작자들은분석가로부터자신의존재를숨기기위해정상파일과유사한이름을사용하거나전문가가아니면프로세스명을모두확인할수없는 system32 폴더와같은곳에악성코드를숨겼다. 그러나악성코드가분석가들에의해쉽게파악되자악성코드제작자들은자신의프로그램을지켜내기위해다양한방법을동원해백신프로그램을우회하는방법을고민하게됐다. 최근에여러변종이보고되고있는 ZeroAccess 악성코드는새로운악성코드는아니지만꾸준히변종을유포하고있는데다, 아래와같은여러가지방법을사용해지속적으로백신제작자들을힘들게하고있다. 그림 1-6 접근권한변경 - MBR 영역을조작해백신에서치료가되더라도부팅시마다계속악성코드를생성 - 운영체제의로드된드라이버중에하나를타깃으로정해감염을시키고, 파일시스템을가로챔 - ADS(Alternate Data Stream) 영역에자신을은닉 - 프로세스의권한을변경해백신의치료를방해 - 운영체제의정상프로세스에자신의코드를주입 그림 1-7 파일이나폴더의접근권한변경과오류메시지 악성코드감염시생성된폴더를살펴보면 [ 그림 1-8] 과같다. 그림 1-5 정상프로세스에자신의코드를주입 ZeroAccess 악성코드감염후접근권한을변경하면 [ 그림 1-6] 과같은오류메시지가나타난다. 그림 1-8 악성코드가생성하는파일들

8 8 - C:\Documents and Settings\<User Name>\Local Settings\Applicatuin Data\google\{7ae63c65.}\ - C:\Program Files\Google\Desktop\Install\{7ae63c65...}\ 아래에다음과같은파일과디렉토리들을생성한다. U : Directory L : : Data 파일 ( 시간정보및몇가지정보가담김 ) GoogleUpdate.exe : PE 파일 (Payload 기능의 dll 파일 ) - C\Windows\assembly\GAC\Desktop.ini : GoogleUpdat.exe 에의해생성되는파일 - 조치방법 2011년이전에발생한 ZeroAccess 악성코드들은드라이버를감염시켜완전한치료를위해서는전용백신을이용해야했으나, 현재는백신프로그램으로도정상적인진단및치료가가능하다. 단운영체제의정상프로세스에자신의코드를덮어쓰기때문에, 완전한치료를위해서는치료후재부팅이반드시필요하다. 만약치료시재시작이되지않을경우실시간감시의치료창이지속적으로발생하게된다. 그림 1-10 인터넷익스플로러 9 의파일다운로드경고화면, 다운로드관리자 <V3 제품군의진단명 > Trojan/Win32.AZccess ( ) Backdoor/Win32.ZAccess ( ) 그림 1-11 바이러스검사실패 구글업데이트를위장한 ZeroAccess 악성코드 최근윈도우비스타 (Windows Vista), 윈도우7(Windows7) 운영체제에서인터넷을통해다운로드받은파일을바이러스로인식하는특이한증상이발견됐다. 이는앞서살펴본 ZeroAccess 악성코드변형이다. 이러한증상으로 PC 사용에불편을호소하는사용자가있는것으로보고됐다. 그림 1-12 크롬 (Chrome) 에서파일다운로드후나타난경고, 크롬다운로드관리자 이번에발견된 ZeroAccess 악성코드에감염된상태에서는아래 [ 그림 1-9] 와같이정상전용백신파일을각각의웹브라우저에서다운로드할때, 바이러스로인식해삭제됐다는경고가나타났다. 바이러스검사실패로파일다운로드가되지않거나, 파일이다운로드됐다고나오지만실제로는다운로드되지않은것이확인됐다. 웹브라우저에서어떠한파일을다운로드하더라도동일한결과가나타났다. 그림 1-13 파이어폭스 (FireFox) 다운로드관리자 인터넷익스플로러 (IE), 크롬과는다르게 [1-13] 과같이파이어폭스에서는정상적으로파일이다운로드된것처럼보였지만, 파일을다운로드받은후에는해당파일이존재하지않았다. 그림 1-9 바이러스로인식해삭제됐다는경고

9 9 해당악성코드치료후에도웹브라우저를통해파일이다운로드되지않아확인해보니, ZeroAccess 악성코드에의해 Windows Defender 프로그램파일들이심볼링크 (Symbolic Link) 로변경돼정상적으로실행되지않아나타난것으로밝혀졌다. 위 fsutil 명령을메모장에복사해서 bat 파일로만든뒤실행하면 Windows Defender 하위폴더및파일들의심볼링크를한번에제거할수있으며, 아래압축파일을해제하면 bat 파일을확인할수있다. ( 단증상이나타난 PC에서는다운로드가되지않으니위파일은다른정상 PC에서다운로드받아야한다.) WDfix.zip 파일을임의의위치에다운로드받아압축을해제한다음에명령프롬프트를관리자권한으로실행하고, 프롬프트경로를 WDfix. bat 파일이위치한경로로변경해 bat 파일을실행하면된다. [ 그림 1-16] 은명령프롬프트에서 WDfix.bat 파일을실행한예시화면이다. 그림 1-14 Windows Defender 폴더의하위폴더및파일들이심볼링크로바뀐모습 [ 그림 1-14] 의 Windows Defender 폴더를삭제하면임시방편으로웹브라우저를통해파일이다운로드되지않는문제를해결할수있다. 또 [ 표 1-4] 와같이 fsutil 명령을이용해심볼링크로변경된 Windows Defender 폴더의하위폴더및파일들을심볼링크를제거해해결하는방법도있다. fsutil reparsepoint delete "c:\program Files\Windows Defender\ko-KR" fsutil reparsepoint delete "c:\program Files\Windows Defender\MpAsDesc.dll" fsutil reparsepoint delete "c:\program Files\Windows Defender\MpClient.dll" fsutil reparsepoint delete "c:\program Files\Windows Defender\MpCmdRun.exe" fsutil reparsepoint delete "c:\program Files\Windows Defender\MpCommu.dll" fsutil reparsepoint delete "c:\program Files\Windows Defender\MpEvMsg.dll" fsutil reparsepoint delete "c:\program Files\Windows Defender\MpOAV.dll" fsutil reparsepoint delete "c:\program Files\Windows Defender\MpRTP.dll" fsutil reparsepoint delete "c:\program Files\Windows Defender\MpSvc.dll" fsutil reparsepoint delete "c:\program Files\Windows Defender\MSASCui.exe" fsutil reparsepoint delete "c:\program Files\Windows Defender\MsMpCom.dll" fsutil reparsepoint delete "c:\program Files\Windows Defender\MsMpLics.dll" fsutil reparsepoint delete "c:\program Files\Windows Defender\MsMpRes.dll" 표 1-4 fsutil 명령단 fsutil 명령을이용하기위해서는명령프롬프트를실행할때아래 [ 그림 1-15] 와같이관리자권한으로실행해야한다. 그림 1-15 명령프롬프트를관리자권한으로실행하는방법 그림 1-16 WDfix.bat 실행화면해당악성코드감염시아래와같이파일을생성하고, 시스템시작시자동으로실행되도록레지스트리에등록한다. [ 파일생성 ] - C:\Program Files\Google\Desktop\Install\{5b59de3cf4bd-9bb1-c23a-d28ec } \ \...\???\{5b59de3c-f4bd-9bb1-c23ad28ec }\googleupdate.exe - C:\Users\User\Appdata\Local\Google\Desktop\ Install\{5b59de3c-f4bd-9bb1-c23a-d28ec } \???\???\???\{5b59de3c-f4bd-9bb1-c23ad28ec }\googleupdate.exe - C:\Program Files\Google\Desktop\Install\{5b59de3cf4bd-9bb1-c23a-d28ec } \ \...\???\{5b59de3c-f4bd-9bb1-c23ad28ec }\U\ @ - C:\Program Files\Google\Desktop\Install\{5b59de3cf4bd-9bb1-c23a-d28ec } \ \...\???\{5b59de3c-f4bd-9bb1-c23ad28ec }\U\ @ - C:\Program Files\Google\Desktop\Install\{5b59de3cf4bd-9bb1-c23a-d28ec } \ \...\???\{5b59de3c-f4bd-9bb1-c23ad28ec }\U\ @

10 10 - C:\Program Files\Google\Desktop\Install\{5b59de3cf4bd-9bb1-c23a-d28ec } \ \...\???\{5b59de3c-f4bd-9bb1-c23ad28ec }\U\800000cb.@ [ 레지스트리등록 ] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Google Update"="C:\Users\User\Appdata\Local\ Google\Desktop\Install \{5b59de3c-f4bd-9bb1-c23ad28ec }\???\???\??? \{5b59de3c-f4bd-9bb1-c23a-d28ec }\ googleupdate.exe" [HKLM\SYSTEM\CurrentControlSet\Services\gupdate] "ImagePath"= C:\Program Files\Google\Desktop\Install \{5b59de3c-f4bd-9bb1-c23a-d28ec } \ \...\??? \{5b59de3c-f4bd-9bb1-c23a-d28ec } \googleupdate.exe Run 키에등록된구글업데이트값은은폐된상태로레지스트리편집기에서접근할경우 [ 그림 1-17] 과같은오류내용을확인할수있다. hxxp://j.max***d.com/a**/geoip.js function geoip_country_code() { return 'KR'; } function geoip_country_name() { return 'Korea, Republic of'; } function geoip_city() { return 'Seoul'; } function geoip_region() { return '11'; } function geoip_region_name() { return 'Seoul-t\'ukpyolsi'; } function geoip_latitude() { return ' '; } function geoip_longitude() { return ' '; } function geoip_postal_code() { return ''; } function geoip_area_code() { return ''; } function geoip_metro_code() { return ''; } 표 1-5 geoip.js 스크립트내용이후 C&C 서버로추정되는 IP로의접속을시도한다. 68.2**.***.74:16464 V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > Trojan/Win32.HDC ( ) Trojan/Win32.Zapchast ( ) Trojan/Win32.ZAccess ( ) Malware/Win32.Generic ( ) IE 실행시중국사이트접속?! 그림 1-17 레지스트리편집기의구글업데이트값표시오류 [ 그림 1-18] 과같이 Google Update Service 로등록된서비스는정상구글업데이트서비스와유사한것을확인할수있다. 최근악성코드에감염되어 IE 실행시중국으로추정되는사이트에접속되는사례가발견됐다. 해당악성코드는치료뒤에도재부팅하면다시똑같은증상이나타났다. 이악성코드는 IE의기본 URL을변경해 [ 그림 1-19] 와같은중국사이트에접속되도록했다. 또한, 아래사이트에접속해사용자 IP 의위치정보를확인한다. 그림 1-19 IE 실행시접속되는중국사이트 감염시악의적인행위를하는추가악성파일을다운로드하기위해접속하는 IP의패킷정보는 [ 그림 1-20] 과같다. 그림 1-18 구글업데이트서비스로위장해서비스에등록된내용 그림 1-20 다운로드하기위해접속하는 IP 의패킷정보

11 11 감염이후생성되거나삭제된파일은아래와같다. CREATE C:\DOCUME~1\ADMINI~1\LOCALS~1\ Temp\MoonHare_[ 영문 3 자 ].tmp DELETE C:\Documents and Settings\Administrator\ 바탕화면 \pop_bmw.exe ( 자기삭제 ) CREATE C:\Documents and Settings\All Users\ Documents\My Videos\TVC[ 영문 3 자 ].tmp CREATE C:\WINDOWS\system32\Vanmvq.exe ( 서비스에자동등록 ) 해당팝업의 확인 버튼을클릭하면 [ 그림 1-22] 와같이 yessign 사이트로이동하며인증서의인증을요구하는피싱팝업이다시발생한다. 인증서선택후은행을선택하면변조된 hosts.ics에의해진짜은행사이트로보이는피싱사이트로이동한다. 이후생성된파일은자동등록되어시스템시작시계속실행되도록설정해놓았으며, 아래레지스트리에설정된값을보면 IE의기본및시작페이지의 URL 변경을확인할수있다. SetValue HKCR\IE\shell\op en\c ommand\(d efault) "C:\Program Files\Internet Explorer\IEXPLORE.EXE d*.*******.com/" SetValue HKCU\Software\Microsoft\InternetExplorer\ Main\Start Page " SetValue HKCU\Software\Microsoft\InternetExplorer\ Main\Default_Page_URL 드롭퍼및 IE 레지스트리를변경하는악성코드는 V3 제품에서아래와같이진단이가능하다. <V3 제품군의진단명 > Trojan/Win32.PbBot ( ) Trojan/Win32.Scar ( ) 대형인터넷쇼핑몰을겨냥한금융피싱악성코드기승 2013년 9월초인터넷쇼핑몰에접속시공인인증서를갱신하라는내용의팝업창을띄우는금융정보탈취목적의파밍악성코드가발견됐다. 과거포털사이트접근시팝업을띄우던방식에이어사용자가많은인터넷쇼핑몰을악용하기시작한것이다. 인터넷쇼핑몰접근시 [ 그림 1-21] 과같은팝업이발생한다. 그림 1-22 인증서입력피싱팝업창이후뱅킹피싱사이트에서계좌비밀번호, 인증서비밀번호등을입력하도록유도하고입력값을수집한다. - hosts.ics 변조도메인과 IP를매칭시키는역할을하는로컬파일은 hosts 파일보다먼저해석되는 hosts.ics를변조해온라인뱅킹사이트접근시피싱사이트로유도한다. - 기타행위악성코드는 1분단위로악성서버에접근한다 ( 현재는접근이불가하다 ). 또한안티바이러스제품을무력화하는코드가존재하며게임사이트접근시게임 ID, PW를유출하는기능도포함돼있다. V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > Trojan/Win32.Banker ( ) Win-Trojan/Avkiller4.Gen ( ) Trojan/Win32.OnlineGameHack ( ) Dropper/Win32.Downloader ( ) Trojan/Win32.OnlineGameHack ( ) Win-Trojan/Onlinegamehack B ( ) Win-Trojan/Onlinegamehack140.Gen ( ) 난독화된스크립트악성코드감염주의 그림 1-21 사이트접근시팝업창이뜨는피싱메시지 최근난독화된스크립트형태의오토런악성코드가지속적으로확산되고있어 PC 사용자의주의가필요하다. 스크립트로제작된오토런악성코드종류는대부분유포주기가짧고스크립트로구현할수있는기능이제한적이기때문에개체수가많지않은것이일반적이다.

12 12 그러나최근국내에서유행하고있는스크립트악성코드변형은여러가지기능으로무장하고, 잘제거도되지않으며, 다양한변종을지속적으로유포해사용자들을괴롭히고있다. 더구나제작자가스크립트를난독화해배포함으로써백신제품의탐지를방해하고주기적으로새로운변형을다운로드해설치하도록유도하기때문에한번감염된사용자는오랜기간동안감염된상태로남아있는경우가많다. 이악성코드에감염되면 [ 그림 1-23] 과같이 autorun.inf 파일을생성해 USB 삽입시자동으로악성코드가실행되도록유도한다. 그림 1-23 악성코드에의해생성된 autorun.inf 파일과바로가기아이콘또한 c:\documents and settings\[ 사용자계정 ]\application data\[ramdom 폴더명 ]\[random파일명].js 파일로자신을복사하고부팅시실행되도록레지스트리에등록한다. 그림 1-25 악성코드가변경하는레지스트리설정값의일부이러한설정은보안프로그램에서시스템의보안강화를위해제어하는경우도있고보안프로그램에서원래설정값을알지못하기때문에백신프로그램에서악성코드를진단하더라도변경된정보를원래상태로의복원하기어렵다. - 보안제품의실행및탐지를방해백신제품이나 process explorer 등각종보안툴이실행되는것을방해하기위해특정파일명들이실행되는것을모니터링하고파일의실행을차단한다. 또한악성코드감염과정에서가상화시스템여부를확인해가상환경에서실행되지않도록함으로써악성코드분석을방해한다. - 특정 URL에접속해악성코드다운로드 C&C 서버로추정되는다양한사이트들에접속을하기위해 DNS 쿼리를수행하고 [ 그림 1-26] 과같이특정서버로의접속을시도한다. 악성코드에감염된후에는삽입된 USB의폴더를숨김속성으로변경하고숨긴폴더와동일한이름의바로가기파일을생성한다. 이바로가기파일은다음과같이 CMD 명령어를이용해특정폴더에저장된 js 파일을실행한후, 숨김폴더를실행함으로써사용자가악성코드감염을인지하지못하도록위장한다. 그림 1-26 C&C 서버와통신하는악성코드 접속하는 URL은현재유효하지않은상태지만다른변형의경우또다른형태로난독화된 js 파일을유포하거나봇넷기능이있는실행파일을설치하는경우가빈번하게발견되고있다. - PC 사용자의정보유출 악성코드감염시 PC 정보가전달되고특정프로그램들의계정관련설정파일이전송됨으로써 2차피해를유발할가능성이있다. 그림 1-24 바로가기아이콘의악성코드실행옵션감염된악성코드는자신을보호하기위해다양한동작을수행하는데주요기능들은다음과같다. - 레지스트리속성을변경해악성코드가발견되지않도록방해제어판이나레지스트리편집기, cmd 등 OS에서제공하는프로그램중보안과관련한용도로사용되는것들이실행되지못하도록설정을변경한다. 해외에서보고된내용들을파악해본결과이러한유형의스크립트악성코드가올해 5월이후전세계적으로많이유포되기시작한것으로보인다. 국내에서도 6월말이후부터지속적으로유포되는상황이다. 이악성코드의특성상변형이매우많고변형마다다른형태로난독화되어있기때문에최신버전의백신제품을사용하더라도진단되지않는경우가발생할수있다. 만약감염이의심되는경우 Process explorer와같은보안툴의파일명을임의것으로변경한후 wscript. exe를이용해실행되고있는스크립트가있는지확인해볼수있다. 감염이된상태라면 wscript.exe를종료한후실행되고있는 js 파일을삭제하는것으로임시조치를취할수있다.

13 13 그림 1-27 스크립트악성코드감염여부확인 안랩은이악성코드의다양한변형들에대한치료기능이있는전용백신을제공하고있다. 해당악성코드에감염된경우아래전용백신을이용해검사해볼것을권장한다. Js_proslikefan 전용백신 : - 그림 1-28 최신음악토렌트파일을위장한 PUP 설치프로그램 블로그에파일명이다른파일이연결되어있지만다운로드받으면동일한파일이배포되고있는것으로확인된다. name=v3_js_proslikefan.exe 위전용백신은난독화된악성코드들에대한휴리스틱한진단기능과악성코드가변경한 OS 설정관련레지스트리와바로가기등악성코드감염과정에서변경된설정값들의일부를 OS 초기상태로변경해준다. V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > JS/Agent ( ) JS/Morphe ( ) 최신음악토렌트파일을위장한 PUP 유포최신음악과관련된토렌트파일로위장한 PUP(Potentially Unwanted Program 불필요한프로그램 ) 가유포되어사용자들의주의가요구된다. 이번에발견된 PUP 유포파일은블로그에포스팅되어검색엔진을통해다운로드받아실행할수있으며, 함께설치되는유료악성코드제거프로그램을결제할경우매월요금이부과되는피해가발생할수있다. PUP란, 사용자가동의하여설치했지만프로그램의실제내용이설치목적과관련이없거나불필요한프로그램으로시스템에문제를일으키거나사용자의불편을초래할가능성을가진잠재적으로위험한프로그램을말한다. [ 그림 1-28] 은블로그에포스팅된최신음악토렌트파일을위장한 PUP 설치프로그램이다. 해당파일은.torrent 파일로위장하고있어서사용자들은정상파일로잘못생각하고실행할수있다. 그림 1-29 다운로드받은파일해당파일을실행하면프로그램추가설치하는옵션이기본으로체크되어있는파일다운로드창이나타난다. 사용자가열기버튼이나저장버튼을누르면 다운받을화일이없습니다 라는안내창이나타나지만, PUP 프로그램이백그라운드에서설치된다. 그림 1-30 실행화면 [ 그림 1-31] 은프로그램실행후 Program Files 경로에생성된프로그램폴더를나타내는화면이다. PUP가설치된것을확인할수있다.

14 14 홍콩금융관리국위장악성스팸메일최근홍콩금융관리국 (HKMA, Hong Kong Monetary Authority) 으로위장한악성코드가첨부된메일이확인됐다. 메일의내용은 [ 그림 1-34] 와같으며첨부파일의확인을유도하고있다. 그림 1-31 실행후시스템에설치된프로그램 또한국내에서제공하는유료악성코드제거프로그램이함께설치되며사용자에게악성코드감염메시지를띄워결제를유도한다. 그림 1-34 수신된메일내용 첨부된파일을확인하면 [ 그림 1-35] 와같이 PDF 문서형태의아이콘으로위장하고있지만, 실제로는 PDF가아닌실행파일형태의악성파일임을확인할수있다. 그림 1-32 유료악성코드제거프로그램 유료사용자가별도의해지신청을하지않을경우매월자동으로요금이청구되므로피해가발생하지않도록주의해야한다. 그림 1-35 PDF 문서아이콘으로위장한첨부파일 첨부파일을실행하면 [ 그림 1-36] 과같이내부에하드코딩된 URL로연결, 악성파일을추가로다운로드한다. 그림 1-36 접속 URL 리스트 그림 1-33 유료결제안내창안랩은허위과장된결과로이익을얻는경우나프로그램제작사또는배포지가불분명한경우등대다수사용자가불편을호소한프로그램을 PUP로진단하며, 사용자의동의를받아불필요한프로그램을검사하고사용자가선택적으로삭제 / 허용할수있는기능을제공하고있다. 감염시아래의 [ 그림 1-37], [ 그림 1-38] 과같이감염된시스템에서다양한정보들이수집되어특정서버로전송되는것을확인할수있다. 수집된정보를이용해추가위협시도가발생할수있다. <V3 제품군의진단명 > Win-PUP/Downloader.KorAd PUP/Win32.Downloader 그림 1-37 FTP 관련일부스트링정보

15 15 이렇게큰용량을차지하는 pagefile.sys는왜필요할까? 윈도우에서메모리공간이부족해지면메모리관리자가당장사용하지않는내용을 pagefile.sys 로옮겨여유공간을확보하게된다. 이는흔히 swap 이라고말하며메모리관리자가메모리공간을조절하는데필요한파일이다. 그런데이파일이유용하게사용되는경우가있는데, 바로 pagefile.sys 에서텍스트를추출해메모리분석시함께사용할때다. 그림 1-38 메일계정및설정관련일부스트링정보 최근탐지된파일들을보면 [ 그림 1-39] 와같이다양한이름으로위장해유포되는악성코드의파일명들이확인된다. 그동안관련유포형태에대해서는수시로공유돼왔다. 그림 1-41 pagefile.sys 그림 1-39 유사한형태로유포되는악성코드파일 / 진단명이처럼정상적인메일로위장해악성코드를유포하는사례는지속해서발생하고있으며, 여전히주요보안위협으로이어지고있다. 이에대한내용을한번더인지하고, 이와유사한또는의심스러운메일에대해서는확인시조금더주의를기울일필요가있다. 침해사고분석시이러한정보들은중요한단서를제공한다. 따라서안티포렌식 (Anti Forensics) 에의해시스템종료시 pagefile.sys 파일을삭제하도록설정해두었을수있다. 보안강화의방안으로페이징파일에안전하지않은정보들이남아있지않게시스템종료시 pagefile. sys 파일을삭제하도록하는설정을할수있다. 그러나시스템종료소요시간이길어지기때문에일반적으로설정하지않는편이다. Pagefile.sys 를시스템종료시삭제를하려면 HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management 키에 ClearPageFileAtShutdown 값의데이터값을 1로변경해야한다. V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > Trojan/Win32.Tepfer ( ) 그림 1-42 레지스트리변경값 Pagefile.sys 파일에서예상하지못했던정보를발견할수도있으므로포렌식을수행할때관심을갖고살펴볼필요가있다. 페이징파일에잔존하는데이터윈도우탐색기로파일을찾을때윈도우가설치된드라이브에 ( 대부분 C:\) 루트디렉토리를보면 pagefile.sys 라는용량이상당히큰파일을발견하게되는경우가있다. 아무리하드디스크용량이빠르게증가하고있다해도이정도크기는여전히부담이될수있다. 그림 1-40 pagefile.sys 속성

16 16 악성코드동향 03. 모바일악성코드이슈 설치후아이콘과앱이름은 [ 그림 1-45] 와같이나타난다. 하지만앱을실행하면아이콘이사라지고, 기기관리자권한획득을시도한다. 그림 1-45 악성앱실행전 ( 왼쪽 ) / 실행후 ( 오른쪽 ) 한국인터넷진흥원을사칭한스미싱주의! 기기관리자권한획득을시도하는화면은 [ 그림 1-46] 과같으며, 스마트폰에따라휴대폰관리자, 디바이스관리자로나타날수있다. 스마트폰사용자들을타깃으로해금전적이득을목적으로개인정보를포함한인터넷뱅킹정보를탈취하려는악성앱이다수발견되고있어사용자의주의가필요하다. 그림 1-46 휴대폰관리자활성화화면 그림 1-43 한국인터넷진흥원을사칭한스미싱악성앱제작자는지능적으로사용자에게악성앱을설치하도록유도하고있다. 이번에발견된스미싱은 [ 그림 1-43] 과같이한국인터넷진흥원을사칭하고있으며, 개인정보방침 이라는내용으로앱의설치를권하는메시지를보내고있다. 메시지에포함된단축 URL을클릭하면앱 (APK) 을다운로드받게되어있다. 다운받은악성앱의설치과정에서 [ 그림 1-44] 와같은권한정보를확인할수있다. 휴대폰관리자를활성화하면사용자가앱을삭제하는것이번거로우며, 아이콘이이미삭제되었기때문에앱이삭제된것으로착각할수도있다. 설치된악성앱을제거하기위해서는다음와같은방법으로조치하면된다. [ 환경설정 -> 보안 -> 디바이스관리자 ] 를실행한후 sample_ device_admin 항목에대한체크를해제한다. 그림 1-44 악성앱권한정보 그림 1-47 악성앱제거방법

17 17 해당악성앱은스마트폰의전화번호와주소록 ( 전화번호, 메일주소 ) 정보를탈취한다. 그림 1-48 주소록정보를탈취하는소스코드 실제주소록정보가전송되는과정은 [ 그림 1-49] 와같다. 그림 1-51 환경설정 -> 보안 -> 알수없는소스 해당악성코드는 V3 Mobile 제품을통해진단및치료가가능하다. <V3 제품군의진단명 > Android-Trojan/Langya 그림 1-49 메일계정을이용한사용자정보탈취 ( 네트워크패킷 ) 악성앱제작자는메일로전송된정보를 [ 그림 1-50] 과같이확인한다. 금융사피싱앱변종발견안드로이드폰사용자를타깃으로금융정보를탈취하는 Bankun 악성앱의변종이발견됐다. 스미싱형태로유포되는해당악성앱은기존에발견된방식보다더욱정교한형태로진화한모습이어서사용자들의각별한주의가요구된다. 해당앱을설치하면 [ 그림 1-52] 와같이 Play 스토어 아이콘이나타난다. 하지만자세히살펴보면정상앱과는차이가있다. 정상앱의이름은 Play 스토어 인반면, 악성앱은 Google App Store 라는이름을쓰고있기때문이다. 그림 1-50 악성앱제작자의메일계정 스마트폰사용자는문자내용에포함된링크가존재할경우접속에주의해야하며, 사전에 AhnLab 안전한문자, V3 Mobile 등과같은믿을수있는모바일보안제품을사용해감염되지않도록주의하는것이중요하다. 그림 1-52 악성앱아이콘모양 악성앱실행시에는설치파일이손상됐다는오류와함께 [ 그림 1-53] 과같은팝업메시지가나타난다. 또한 [ 환경설정 -> 보안 -> 알수없는소스 ] 항목을 허용하지않음 으로설정하면, 공식마켓이외의앱은설치가제한되므로더욱안전한환경에서스마트폰을사용할수있다. 그림 1-53 앱실행시나타나는팝업메시지

18 18 위그림에서 확인 이나 취소 버튼을터치하면앱의아이콘은보이지않게되며, 앱이서비스로실행된다. [ 그림 1-54] 는앱정보화면이며, 앱이삭제된후에도서비스로등록되어실행되고있음을확인할수있다. 화면에서 확인 을터치하면실제로사용자의공인증서를확인할수있으며, 이는기존에발견된피싱앱과달리정상앱과매우유사한형태임을확인할수있다. 금융사피싱앱은일반사용자들이정상앱과구분을할수없을정도로정교화되어가고있다. 이에사용자는문자내용에링크가존재할경우접속에주의해야하며, 사전에 V3 Mobile과같은믿을수있는제품을사용해감염되지않도록주의하는것이중요하다. 해당악성코드는 V3 Mobile 제품을통해진단및치료가가능하다. <V3 Mobile의진단명 > Android-Downloader/Bankun 그림 1-54 악성앱실행정보해당앱은서비스로실행되면서, 사용자의스마트폰에어떤뱅킹앱이설치돼있는지확인한후, 그앱에맞는악성앱을다운로드한다. 이후정상앱을삭제하고다운로드된악성앱을설치하도록시도한다. 금융예방서비스? 내스마트폰이 금융예방서비스전면실시보안강화! 라고알림메시지를보여주며잘사용하던뱅킹앱을업데이트하라고안내를한다면? 그림 1-57 보안강화를위해업데이트를요구하는알림메시지 그림 1-55 악성뱅킹앱을다운로드받는코드 ( 일부 ) 악성앱이다운로드되어실행되면 [ 그림 1-56] 과같이금융사피싱앱임을확인할수있다. 기존에유포된바있는금융사피싱앱과달리 V3 Mobile Plus 실행을가장하고금융감독원을사칭한팝업메시지를띄운다. [ 그림 1-57] 은실제스마트폰에서사용자에게보여준알림메시지이다. 해당알림메시지를터치하면 [ 그림 1-58] 처럼스마트폰에설치되어있는뱅킹앱을제거하도록유도하며제거가완료되면곧바로동일한뱅킹앱이자동으로다운로드되어설치를유도한다. 그림 1-56 다운로드된뱅킹앱실행시, 보이는화면 그림 1-58 뱅킹앱제거및재설치유도

19 19 이과정만을놓고보면보안강화를위해뱅킹앱을업데이트한것처럼보이지만실제로는정상적인뱅킹앱을삭제하고악성코드를설치한것이다. 어떻게이런일이발생한것일까? 이번악성코드역시그시작은스미싱 (Smishing) 이다. [ 그림 1-61] 과같이사용자스마트폰에저장된공인인증서를사용자전화번호라는파일명의 ZIP 형태로압축해저장한다. - 구글 Play 스토어를사칭한악성코드 스미싱으로설치되는악성코드는다음과같은권한을요청한다. android.permission.internet android.permission.write_external_storage android.permission.read_contacts android.permission.send_sms android.permission.read_phone_state android.permission.receive_boot_completed android.permission.access_network_state android.permission.process_outgoing_calls android.permission.receive_boot_completed android.permission.call_phone android.permission.restart_packages android.permission.receive_sms android.permission.read_sms 그림 1-62 스마트폰의공인인증서를외부로유출이어사용자전화번호를파일명으로압축한공인인증서를 FTP를사용해외부로유출한다. 실제해당 FTP 계정으로접속해확인한결과상당수의공인인증서가유출된것을확인할수있었다. - 설치된뱅킹앱을악성코드로재설치설치되어있는뱅킹앱을검색해업데이트하라는알림메시지를보여주고제거를유도한다. 해당앱은 [ 그림 1-59] 와같이구글의공식앱마켓인 Play 스토어 를사칭한 play 스토어 라는이름으로설치된다. 진짜앱의이름은 P 가대문자이지만, 이를사칭한앱은 p 가소문자다. 그림 1-63 설치된뱅킹앱제거유도 그림 1-59 구글 Play 스토어 사칭한앱해당앱이실행되면실제구글의 Play 스토어 와동일하게작동하는데이는구글의공식마켓인 com.android.vending 을그대로사용하기때문이다. 사용자가알림메시지창을터치해기존에설치된뱅킹앱을제거하면이를감지해제거한뱅킹앱과동일한형태의뱅킹앱을외부로부터다운로드받아설치를유도한다. 기존에설치돼있던정상적인뱅킹앱을금융정보유출악성코드로교체하는것이다. 이과정에서공인인증서가유출된다. 가짜뱅킹앱을다운로드받는서버의위치는 [ 그림 1-64] 와같이해외에위치해있다. 그림 1-60 구글의공식마켓을그대로사용 - 공인인증서유출해당악성코드는스마트폰에저장되어있는공인인증서를외부로유출한다. 그림 1-61 공인인증서를 ZIP으로압축 그림 1-64 뱅킹앱사칭악성코드가사용하는서버의위치 - 온라인뱅킹에필요한정보유출 악성코드는기존의뱅킹앱과동일한아이콘과이름을사용하고있다.

20 20 설치시필요권한은다음과같다. android.permission.access_network_state android.permission.read_contacts android.permission.receive_sms android.permission.read_phone_state android.permission.receive_boot_completed android.permission.call_phone android.permission.access_network_state android.permission.read_phone_state android.permission.internet android.permission.read_sms android.permission.send_sms android.permission.process_outgoing_calls android.permission.read_phone_state android.permission.restart_packages android.permission.internet android.permission.read_logs 가짜뱅킹앱을실행하면실제뱅킹앱과동일한화면을보여주지만곧악의적인행동을시작한다. 가장먼저온라인금융거래를위한각종정보들을유출하기위해사용자의이름, 주민등록번호, 핸드폰번호, 뱅킹 ID, 뱅킹비밀번호, 계좌번호, 계좌비밀번호, 인증서비밀번호, 보안카드일련번호, 보안카드숫자전체를입력받아외부로유출한다. 사전에유출한공인인증서와함께온라인금융거래에필요한모든정보들을사용자로부터입력받아외부로유출하는것이다. 또한스마트폰에저장되어있는전화번호부와 SMS 모두를외부로유출하며이후에수신된 SMS 역시실시간으로유출한다. 그림 1-66 온라인금융거래에필요한정보유출과정모바일악성코드가소액결제를통해금전적인수익을올리던형태에서온라인금융거래에필요한각종정보를유출하는형태로변화하고있는추세다. 이렇게유출된각종정보들을이용하면인터넷뱅킹을비롯한각종온라인금융거래를당사자가모르는사이에할수있다. 한달에 30만원이내만청구할수있는소액결제에비해그피해금액과범위가더욱커질수밖에없는것이다. 피해를예방하기위해서는새로운앱을설치하거나기존에설치되어있던앱을업데이트하는경우 V3 Mobile과같은백신으로검사를한후실행하는습관이필요하다. 구글 Play 스토어나기타통신사의공식앱마켓을통하지않고 SMS나기타메신저의 URL을통해직접다운로드받은앱은가급적설치하지않는것이바람직하다. 그리고 알수없는소스 ( 출처 ) 허용 설정을해제해마켓이아닌다른경로로앱이설치되는것을허용하지않는것이좋다. 최근스미싱으로인한피해가커짐에따라안랩에서는이를예방할수있는스미싱탐지앱 AhnLab 안전한문자 를개발해무료로서비스하고있다. AhnLab 안전한문자 는구글의 Play 스토어 ( safemessage) 를통해다운로드및설치할수있다. 해당앱을사용하면수신받은 SMS에악성 URL이포함되어있는지, URL을통한웹브라우징시실시간으로해당 URL의악성여부를확인할수있어보다안전하게스마트폰을사용할수있다. 그림 1-67 스미싱예방을위한 AhnLab 안전한문자 그림 1-65 수신된 SMS 를외부로유출 해당악성코드는 V3 Mobile 제품을통해진단및치료가가능하다. 온라인금융거래에필요한각종정보들을유출하는과정을살펴보면 [ 그림 1-66] 과같다. <V3 Mobile의진단명 > Android-Trojan/Bankun

21 ASEC REPORT 45 SECURITY TREND 21 보안동향 01. 보안통계 9월마이크로소프트보안업데이트현황 2013 년 9 월마이크로소프트사에서발표한보안업데이트는총 13 건으로긴급 4 건, 중요 9 건으로 2013 년들어가장많은보안패치를발표했다. 일부 (MS13-069, MS13-071) 취약점은 PoC(Proof of Concept) 코드가공개돼있기도하다. 그림 2-1 공격대상기준별 MS 보안업데이트 긴급 MS Microsoft SharePoint Server의취약점으로인한원격코드실행문제점업데이트 MS Unicode Scripts Process의취약점으로인한원격코드실행문제점 MS Microsoft Exchange Server의취약점으로인한원격코드실행문제점 중요 MS Windows 테마파일의취약점으로인한원격코드실행문제점 MS Microsoft Office의취약점으로인한원격코드실행문제점 MS Microsoft Excel의취약점으로인한원격코드실행문제점 MS Microsoft Access의취약점으로인한원격코드실행문제점 MS Microsoft Office IME( 중국어 ) 의취약점으로인한권한상승문제점 MS 커널모드드라이버의취약점으로인한권한상승문제점 MS Windows 서비스제어관리자의취약점으로인한권한상승문제점 MS OLE의취약점으로인한원격코드실행문제점 MS FrontPage 의취약점으로인한정보유출문제점 MS Active Directory 의취약점으로인한서비스거부문제점 표 년 9 월주요 MS 보안업데이트

22 ASEC REPORT 45 SECURITY TREND 22 보안동향 02. 보안이슈 제로데이 IE 취약점, CVE 인터넷익스플로러 (IE) 를대상으로한제로데이취약점이발견돼주의가필요하다. 공격은윈도우 XP와윈도우7 기반의 IE8 또는 9 버전에서제대로동작하는것으로알려져있으나 MS에서발표한권고문에따르면다른운영체제와 IE에서도영향을받는다. 이번취약점은인터넷 IE의 HTML 렌더링엔진의 Use After Free 취약점을이용하는것이다. 이기법은메모리해제를한후다시해당영역을재참조할경우프로그램의크래쉬나예상치못한값또는코드실행등이가능한기법이다. 이기법의예를 C언어형태로표현해보면다음과같다. 그러므로공격자는조작된자바스크립트문자열을통해해제된메모리영역에재할당하면서 EIP 주소를변경해프로그램흐름을변경하게된다. 변경되는주소에는셸코드가들어가게되어임의의코드를실행할수있게되는것이다. [ 그림 2-2] 는공격코드일부예로, EIP를컨트롤하기위한값이들어있다. #include <stdio.h> #include <unistd.h> #define BUFSIZER1 512 #define BUFSIZER2 ((BUFSIZER1/2) - 8) int main(int argc, char **argv) { char *buf1r1; char *buf2r1; char *buf2r2; char *buf3r2; buf1r1 = (char *) malloc(bufsizer1); buf2r1 = (char *) malloc(bufsizer1); free(buf2r1); buf2r2 = (char *) malloc(bufsizer2); buf3r2 = (char *) malloc(bufsizer2); strncpy(buf2r1, argv[1], BUFSIZER1-1); free(buf1r1); free(buf2r2); free(buf3r2); } 그림 2-2 프로그램흐름제어코드일부위에삽입된코드를통해해제된객체의메모리는최종적으로 mshtml!celement::doc 함수의안에서 ECX= 가되고, 힙상에올려진 번지를호출하게된다. 그림 2-3 취약점 (Use after free) 발생코드 위의예제와같이이미메모리해제된 buf2r1을사용하면올바른동작을하지못하고프로그램이크래쉬된다. 즉 CVE 은브라우저상에서이미해제된메모리를참조하면서발생하는것으로 mshtml!ctreenode::ctreenode 클래스를통해생성된개체가취약점의원인이된다. 공격자는이취약점을이용하기위해자바스크립트로구성된코드를힙스프레이기술을통해힙상에로드시킨다. 취약점이발생하면스택상에존재하는코드를실행하게되고 Call 스택은최종적으로셸코드가위치하는지점을가리키게된다. 공격자는자신이원하는코드를실행할수있게되는것이다.

23 ASEC REPORT 45 SECURITY TREND 23 이취약점을해결하기위해서는 MS사의 10월보안패치적용을권장한다. 어도비사고객정보및소스코드유출사건최근어도비사의데이터유출사건이발생했다. 신용카드정보를포함해 290만명의고객정보와소스코드가유출된것으로알려졌다. 아직해커가해독된신용카드정보를얻었다는정황은없지만, 어도비사는고객의안전을위해이사실을통보하고패스워드변경을통보했다. 더군다나기업의핵심자산인소스코드까지유출되어앞으로해당소프트웨어를사용하는개인또는기업에또다른보안우려된다. 유출된소스코드중하나로알려진 ColdFusion은포츈 100개기업의 75 개회사가사용할만큼폭넓게이용되고있다. 해당소스코드가유출됐다는정보는해커가악의적으로이용하고있는서버에 40기가정도의어도비소스코드가존재함을확인하면서부터다. 유출된코드는 ColdFusion과대중적으로많이이용되는어도비아크로뱃등이다. [ 그림 2-4] 는해커서버에서발견된 ColdFusion의소스코드화면이다. ( 출처 : Krebsonsecurity.com 사이트 ) 그림 2-4 해커서버에서발견된 ColdFusion 의소스코드화면 소스코드가있다는것은아직알려져있지않은보안취약점을더쉽게발견할수도있고, 이러한취약점을악용할수있다는점에서우려를낳고있다. 소스코드유출은어도비사뿐만아니라, 과거시만텍 PcAnyWhere 제품과 Vmware에서도발생한바있다. 소프트웨어업체에서는소스코드가반도체설계문서와같이중요한기업비밀이다. 금전적손해뿐만아니라더큰문제를야기할수도있기때문이다.

24 ASEC REPORT 45 WEB SECURITY TREND 24 웹보안동향 01. 웹보안통계 웹사이트악성코드동향 안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하 면, 2013 년 9 월웹을통한악성코드발견건수는모두 4015 건이었다. 악성코드유형은총 191 종, 악 성코드가발견된도메인은 153 개, 악성코드가발견된 URL 은 466 개로각각집계됐다. 전월과비교해 웹을통한악성코드발견건수, 악성코드유형, 악성코드가발견된도메인, 악성코드가발견된 URL 모두감소했다. 표 년 9 월웹사이트보안현황 악성코드발견건수 5,162 9 월 8 월 4, % 악성코드유형 악성코드가발견된도메인 악성코드가발견된 URL 월별악성코드배포 URL 차단건수 2013 년 9 월웹을통한악성코드발견건수는전월의 5162 건과비교해 77.8% 수준인 4015 건이다. 그림 3-1 월별악성코드발견건수변화추이 20,000 15,000 10,000 5,000 12, % 5,162 4, % 22.2%

25 ASEC REPORT 45 WEB SECURITY TREND 25 월별악성코드유형 2013 년 9 월악성코드유형은전달 218 건에비해 87.6% 수준인 191 건이다. 그림 3-2 월별악성코드유형수변화추이 % 7.2% 12.4% 월별악성코드가발견된도메인 2013 년 9 월악성코드가발견된도메인은 153 건으로, 2013 년 8 월의 236 건과비교해 64.8% 수준이다. 그림 3-3 악성코드가발견된도메인수변화추이 % 4.4% % 월별악성코드가발견된 URL 2013 년 9 월악성코드가발견된 URL 은전월의 632 건과비교해 73.7% 수준인 466 건이다. 그림 3-4 월별악성코드가발견된 URL 수변화추이 1, % % %

26 ASEC REPORT 45 WEB SECURITY TREND 26 월별악성코드유형 악성코드유형별배포수를보면트로이목마가 2147 건 (53.5%) 으로가장많았고, 애드웨어는 361 건 (9.0%), 스파이웨어는 342 건 (8.5%) 인것으로조사됐다. 유형 건수 비율 TROJAN 2, % ADWARE % SPYWARE % DOWNLOADER % DROPPER % Win32/VIRUT % APPCARE % ETC 1, % 4, % 표 3-2 악성코드유형별배포수 2,500 2,147 1,250 1, TROJAN ADWARE 그림 3-5 악성코드유형별배포수 SPYWARE DOWNLOADER DROPPER Win32/VIRUT APPCARE JOKE ETC 악성코드최다배포수악성코드배포최다 10건중에서는 Spyware/Win32.Gajai가 341건 (16.9%) 으로 1위를차지했으며, Trojan/Win32.Onescan 등 6건이새로등장했다. 순위 등락 악성코드명 건수 비율 1 Spyware/Win32.Gajai % 2 NEW Trojan/Win32.Onescan % 3 1 Trojan/Win32.Downloader % 4 2 ALS/Bursted % 5 Trojan/Win32.agent % 6 NEW Adware/Win32.Toolbar % 7 NEW Win32/Induc % 8 NEW Trojan/Win32.Zegost % 9 NEW Trojan/Win32.Bjlog % 10 NEW Backdoor/Win32.Msx % TOTAL 2, % 표 3-3 악성코드배포최다 10건

27 27 II 년 3 분기보안동향 01. 악성코드통계 3분기악성코드, 846만건기록 2013 년 3 분기에감염이보고된악성코드는 846 만 3254 건으로, 2013 년 2 분기의악성코드감염보고 건수 1481 만 7917 건에비해 635 만 4663 건이감소했다 ([ 그림 4-1]). 이중가장많이보고된악성코드는 Trojan/Win32.onlinegamehack 이었으며, Textimage/Autorun 과 Win-Trojan/Wgames.Gen 이각각뒤를 이었다. 신규로 Top 20 에진입한악성코드는총 4 건이다 ([ 표 4-1]). 그림 4-1 악성코드분기별감염보고건수 15,000,000 7,500,000 14,817,917 8,463, % Q Q 표 4-1 악성코드감염보고 3 분기 Top 20 순위 등락 악성코드명 건수 비율 1 5 Trojan/Win32.onlinegamehack 343, % 2 1 Textimage/Autorun 339, % 3 1 Win-Trojan/Wgames.Gen 211, % 4 5 Trojan/Win32.agent 178, % 5 Trojan/Win32.urelas 169, % 6 5 Als/Bursted 160, % 7 3 RIPPER 156, % 8 7 BinImage/Host 124, % 9 5 Win-Trojan/Onlinegamehack140.Gen 120, % 10 4 Trojan/Win32.Gen 119, % ASD.PREVENTION 111, % 12 NEW JS/Agent 103, % 13 4 Win32/Autorun.worm F 97, % 14 NEW Win-Trojan/Agent , % 15 NEW Win-Trojan/Malpacked5.Gen 86, % 16 9 Win-Trojan/Asd.variant 84, % 17 NEW Win-Trojan/Patched.kg 76, % 18 5 Trojan/Win32.adh 75, % 19 Win32/Virut.f 67, % 20 4 Win-Trojan/Avkiller4.Gen 66, % TOTAL 2,787, %

28 28 3분기악성코드대표진단명감염보고최다 20 다음은악성코드별변종을종합한악성코드대표진단명중가장많이보고된 20 건을추린것이다 년 3 분기사용자피해를주도한악성코드들의대표진단명을보면 Trojan/Win32 가총보고건수 140 만 2132 건으로전체의 28.3% 로 1 위를차지했다. 그뒤를 Win-Trojan/Agent 가 52 만 3940 건으로 10.6%, Textimage/Autorun 은 33 만 9308 건으로 6.8% 를차지해각각 2 위와 3 위를기록했다. 표 4-2 악성코드대표진단명감염보고 3분기 Top 20 순위 등락 악성코드명 건수 비율 1 Trojan/Win32 1,402, % 2 Win-Trojan/Agent 523, % 3 5 Textimage/Autorun 339, % 4 1 Win-Trojan/Onlinegamehack 280, % 5 Win-Trojan/Downloader 239, % 6 1 Win-Trojan/Wgames 211, % 7 1 Adware/Win32 181, % 8 4 Win32/Conficker 178, % 9 4 Win32/Virut 169, % 10 4 Win32/Autorun.worm 165, % 11 5 Als/Bursted 160, % 12 3 RIPPER 156, % 13 4 Malware/Win32 136, % 14 3 Win32/Kido 136, % 15 NEW BinImage/Host 124, % 16 6 Win-Trojan/Onlinegamehack , % 17 NEW Win-Trojan/Patched 119, % ASD 111, % 19 NEW JS/Agent 104, % 20 2 Downloader/Win32 98, % TOTAL 4,960, % 3분기최다신종악성코드, 트로이목마 [ 표 4-3] 은 2013 년 3 분기에신규로접수된악성코드중감염보고가가장많았던 20 건을꼽은것이 다. 3 분기신종악성코드는 TextImage/Autorun 이 33 만 8791 건으로전체 22.6% 로 1 위를차지했으 며, ALS/Bursted 가 16 만 394 건으로뒤를이었다. 표 4-3 신종악성코드감염보고 Top 20 순위 악성코드명 건수 비율 1 TextImage/Autorun 338, % 2 ALS/Bursted 160, % 3 BinImage/Host 124, % 4 JS/Agent 103, % 5 Win32/Autorun.worm F 97, % 6 Win-Trojan/Agent , % 7 Win32/Virut.F 67, % 8 JS/Exploit 59, % 9 LSP/Agent 52, % 10 Win-Trojan/Downloader AO 50, % 11 Win32/Virut.E 49, % 12 Win32/Induc 44, % 13 Win32/Kido.worm , % 14 JS/IFrame 38, % 15 Win32/Conficker.worm , % 16 Win-Trojan/Agent UP 31, % 17 JAVA/Cve , % 18 Win-Trojan/Backdoor , % 19 Win-Trojan/Downloader B 27, % 20 Win32/Conficker.worm , % TOTAL 1,501, %

29 29 3분기악성코드유형, 트로이목마가 53.4% [ 그림 4-2] 는 2013 년 3 분기동안고객으로부터감염이보고된악성코드의유형별비율을집계한 결과다. 트로이목마가 53.4% 로가장많은비율을차지했으며웜이 8.4%, 스크립트가 7.1% 의비율 을각각나타냈다. 그림 4-2 악성코드유형별 3 분기감염보고비율 신종악성코드 3분기유형별분포 2013 년 3 분기의신종악성코드를유형별로살펴보면트로이목마가 44% 로 1 위를차지했고, 스크립 트와웜이각각 11%, 10% 로뒤를이었다. 그림 4-3 신종악성코드 3 분기유형별분포

30 30 II 년 3 분기보안동향 02. 모바일악성코드통계 3 분기모바일악성코드수 [ 그림 4-4] 는 2013년 3분기동안안랩으로접수된모바일샘플중악성으로분류되어 V3 Mobile에서진단가능한악성코드의월별건수를집계한결과다. 3분기동안 V3 Mobile에진단추가된모바일악성코드는총 28만 6884건으로상반기에비해크게증가하지않았다. 그림 년 3 분기모바일악성샘플접수량 250, , ,000 90, ,731 82,201 50, 분기모바일악성코드유형별접수량 2013년 3분기에접수된악성코드유형은 [ 그림 4-5] 와같다. 상반기와마찬가지로 PUP와트로이목마류가대부분을차지하고있다. 그림 년 3 분기악성코드유형별접수량

31 31 모바일악성코드감염보고최다 10 [ 표 4-4] 는 2013년 3분기에접수된모바일악성코드중접수량이많은상위 10개의진단명을추린것이다. Android-Trojan/FakeInst류는국내사용자의감염사례가확인된바는없으나세계적으로가장많이접수되는악성코드다. 2013년상반기에는 V3 Mobile에서 186개의진단명을사용해악성코드를분류했지만 3분기에는더다양한유형의악성코드가발견되어, 현재는 366개의진단명을이용해악성코드를분류하고있다. 모바일악성코드의다양성이증가함에따라각유형이차지하는비율은상반기에비해낮아졌다. 표 년 3분기악성코드유형별접수량 순위 진단명 건수 비율 1 Android-Trojan/FakeInst 59,043 9% 2 Android-PUP/Airpush 41,663 6% 3 Android-Trojan/Opfake 32,973 5% 4 Android-PUP/Wapsx 20,722 3% 5 Android-PUP/Plankton 14,072 2% 6 Android-Trojan/GinMaster 10,680 2% 7 Android-PUP/Pushad 9,860 1% 8 Android-PUP/Adwo 8,649 1% 9 Android-Trojan/SMSAgent 7,254 1% 10 Android-PUP/Kuguo 6,222 1% 국내스마트폰악성코드대부분은스미싱 국내스마트폰사용자를대상으로한악성코드는주로스미싱을이용해배포된다. 스미싱 (Smishing) 이란문자메시지 (SMS) 와피싱 (Phishing) 의합성어로인터넷접속이가능한문자메시지에포함된 URL로접속을유도한뒤악성코드를설치하는기법을말한다. 올해상반기까지는이렇게배포된악성코드가주로소액결제인증문자를가로챘으나, 지난 8월부터는스마트폰에설치된뱅킹앱을악성앱으로교체하고공인인증서정보및인증서발급문자를가로채는양상을보이고있다. [ 그림 4-6] 은올해 3분기 V3 Mobile에진단추가된악성코드중국내사용자를타깃으로스미싱을이용해전파된악성코드의월별합계를나타낸것이다. 7월이전에는 300건대에머물던스미싱악성코드가 8월에급격히증가해 822건을기록했으며, 9월에는하루평균 30건이넘는스미싱악성코드변형이추가로진단됐다. 그림 년 3 분기스미싱으로전파된악성코드의월별합계 1,

32 32 특히 8월부터는기존소액결제를대상으로하던악성코드제작자들까지파밍앱을설치하는악성코드를배포하는것으로확인됐다. [ 그림 4-7] 은스미싱으로전파된모바일악성코드의 3분기유형별집계결과다. 최초의파밍앱은 Android-Trojan/Bankun이다. Android-Trojan/Bankun의초기형태는내부에악성은행앱을포함하고있었으나 8월부터는내부에지정된 URL을통해악성은행앱을다운로드받는형태로변경됐다. Android-Trojan/SMSStealer와 Android-Trojan/Chest에도악성은행앱을다운로드하는기능이추가된것으로확인됐다. 그림 4-7 스미싱으로전파된모바일악성코드의 3 분기유형별집계 Android-Trojan/Chest 606 Android-Trojan/SMSstealer 524 Android-Trojan/Bankun 256 Android-Downloader/Bankun 155 Android-Spyware/PhoneSpy 154 Android-Spyware/Langya 142 Android-Spyware/MsgIntercept 131 Android-Trojan/Meteor 56 Android-Spyware/Tmphone 41 Android-Trojan/Pbstealer 16 Android-Trojan/OTPstealer 10 Android-Trojan/PNStealer 5 Android-Trojan/KrSmsBomber 4 Android-Trojan/FakeV3 2 Android-Spyware/Ketor 2

33 ASEC REPORT 45 SECURITY TREND 33 II 년 3 분기보안동향 03. 보안통계 3분기마이크로소프트보안업데이트현황 2013 년 3 분기에는총 28 건의보안패치가발표됐다. 시스템관련보안패치가전체의 50% 를차지할 만큼비중이높았고, 그다음이 MS 오피스제품군순이었다. 응용프로그램과인터넷익스플로러 (IE) 는각각 3 개씩 11% 로집계됐다. 이번분기중총13건이긴급에해당하는내용이었다. IE의경우는제로데이공격코드가공개돼있었던만큼반드시적용해야한다. 비록이번분기에는 IE와관련해총 3개의패치밖에나오지않았지만 IE는사용자들의사용빈도가높고웹페이지에악의적인코드를삽입해악용되는비중이높은만큼앞으로도 IE를대상으로한취약점찾기는계속될것으로보인다. 더불어오피스문서의취약점을이용하는비중이늘어나는만큼오피스제품군에대한패치도과거에비해증가하고있다. APPLICATION 11% SERVER 3% OFFICE 25% SYSTEM 50% IE 11% 그림 5-1 공격대상기준별 MS 보안업데이트분류

34 ASEC REPORT 45 WEB SECURITY TREND 34 II 년 3 분기보안동향 04. 웹보안통계 웹사이트악성코드동향 2013 년 3 분기웹을통한악성코드발견건수는모두 2 만 1949 건이었다. 악성코드유형은총 644 건, 악성코드가발견된도메인은 615 건, 악성코드가발견된 URL 은 1832 건으로각각집계됐다. 표 년 3 분기웹사이트보안현황 악성코드발견건수 37,046 3Q. 2Q. 21, % 악성코드유형 악성코드가발견된도메인 악성코드가발견된 URL 2,258 1,832 3분기웹을통한악성코드발견건수 2013 년 3 분기웹을통한악성코드발견건수는 2 분기 3 만 7046 건에비해 59.2% 수준인 2 만 1949 건이다. 그림 분기웹을통한악성코드발견건수변화추이 40,000 37,046 30,000 20, % 21,949 10, Q 3Q

35 ASEC REPORT 45 WEB SECURITY TREND 35 3 분기악성코드유형 2013 년 3 분기악성코드유형은전분기 828 건과비교해 77.8% 수준인 644 건이다. 그림 분기악성코드유형수변화추이 1, % Q 3Q 3분기악성코드가발견된도메인 2013 년 3 분기악성코드가발견된도메인은전분기 399 건과비교해 154.1% 수준인 615 건이다. 그림 분기악성코드가발견된도메인수변화추이 % Q 3Q 3분기악성코드가발견된 URL 2013 년 3 분기악성코드가발견된 URL 은전분기의 2,258 건과비교해 81.1% 수준인 1832 건이다. 그림 분기악성코드가발견된 URL 수변화추이 2,500 2,000 1,500 2, % 1,832 1, Q 3Q

36 ASEC REPORT 45 WEB SECURITY TREND 36 3 분기악성코드유형 2013 년 3 분기악성코드의유형별배포수를보면트로이목마가 9282 건 (42.3%) 으로가장많았고, 스파이웨어류가 6937 건으로전체의 31.6% 자치해 2 위를기록했다. 유형 건수 비율 TROJAN 9, % SPYWARE 6, % ADWARE % DOWNLOADER % DROPPER % Win32/VIRUT % APPCARE % JOKE 4 0 % ETC 4, % 21, % 표 년 3분기악성코드유형별배포수 10,000 9,282 6,937 5,000 4,306 0 TROJAN SPYWARE 그림 년 3 분기악성코드유형별배포수 ADWARE DOWNLOADER DROPPER Win32/VIRUT APPCARE JOKE ETC 3분기악성코드최다배포 3 분기악성코드배포최다 10 건중에서는 Win-Spyware/Agent 이 5767 건으로 1 위를, Trojan/Win32.Agent 가 3262 건으로 2 위를기록했다. 순위 등락 악성코드명 건수 비율 1 Win-Spyware/Agent , % 2 3 Trojan/Win32.Agent 3, % 3 3 ALS/Bursted 1, % 4 NEW Spyware/Win32.Gajai % 5 NEW Worm/Win32.Luder % 6 NEW Trojan/Win32.Downloader % 7 3 Trojan/Win32.KorAd % 8 1 ALS/Qfas % 9 NEW Trojan/Win32.agent % 10 NEW Trojan/Win32.Starter % TOTAL 14, % 표 년 3분기악성코드배포최다 10건

37 ASEC REPORT CONTRIBUTORS 집필진 책임연구원 정관진 선임연구원 박종석 선임연구원 박시준 선임연구원 강동현 선임연구원 이도현 연구원 강민철 참여연구원 ASEC 연구원 편집 안랩세일즈마케팅팀 디자인 안랩 UX 디자인팀 감수전무조시행 발행처 주식회사안랩경기도성남시분당구삼평동 673 ( 경기도성남시분당구판교역로 220) T F Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited AhnLab, Inc. All rights reserved.