CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

Transcription

1 ASEC REPORT VOL 안랩월간보안보고서 이달의보안동향모바일악성코드이슈

2 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 ( 에서확인하실수있습니다. 이달의보안동향악성코드동향 01. 악성코드통계 03-8월악성코드, 23만건 11.5% 감소 - 악성코드대표진단명감염보고최다 20-8월신종악성코드 - 8월악성코드유형, 트로이목마가최다 - 악성코드유형별감염보고전월비교 - 신종악성코드유형별분포 02. 악성코드이슈 07 - 보안프로그램으로위장한악성코드 - 변조된정상프로그램을이용한게임핵유포 - ActiveX라는이름의악성코드 - 게임부스터패스트핑으로위장한악성코드 - 국내업체를대상으로유포된악성스팸메일 - 이메일을이용한어도비 CVE 취약점악성코드유포 - 오라클자바 JRE 7 제로데이취약점을악용한악성코드유포 - MS12-060(CVE ) 취약점을악용한타깃공격 - 어도비플래시플레이어의 CVE 취약점악용악성코드 - 페이팔스팸메일과결합된블랙홀웹익스플로잇툴킷 - 런던올림픽악성스팸메일 - Xanga 초대장을위장한악성스팸메일 - Flame 변형으로알려진 Gauss 악성코드 - YSZZ 스크립트악성코드의지속발견 - 사우디아라비아정유업체를공격한 Disttrack 악성코드 - 악성코드감염으로알려진일본재무성침해사고 - usp10.dll 파일을생성하는악성코드의버그발견 - 스크랩된기사내용을이용하는악성한글파일 - 또다시발견된한글취약점을악용한취약한문서파일 03. 모바일악성코드이슈 런던올림픽게임으로위장한안드로이드악성코드 - SMS를유출하는 ZitMo 안드로이드악성코드의변형보안동향 01. 보안통계 24-8월마이크로소프트보안업데이트현황 02. 보안이슈 25 - 지속적인서드파티취약점악용에따른보안업데이트의중요성 - 어도비플래시플레이어취약점악용 (CVE ) - Oracle Java JRE 7 제로데이취약점악용 (CVE ) - 윈도우공용컨트롤의취약점으로인한원격코드실행문제점 MS12-060(CVE ) 웹보안동향 01. 웹보안통계 28 - 웹사이트악성코드동향 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위 02. 웹보안이슈 년 8월침해사이트현황 - 침해사이트를통해서유포된악성코드최다 10건 - 자바제로데이취약점의등장

3 3 01 악성코드동향 악성코드통계 8월악성코드, 23만건 11.5% 감소 ASEC이집계한바에따르면, 2012 년 8월에감염이보고된악성코드는 15,000,000 10,000,000 11,006, % -1,266,654 9,739,943 9,509, % 2.37% -230,350 전체 950만 9563건인것으로나타났다. 이는지난달의 973만 9943건에 5,000,000 비해 23만 380건이감소한수치다 ([ 그림 1-1]). 이중가장많이보고된악성코드는 ASD.PREVENTION이었으며, JS/Iframe과 Trojan/Win32.Gen 이그다음으로많이보고됐다. 또한 Win-Trojan/Starter C, Trojan/Win32.banbra, Trojan/Win32. onlinegamehack, Win-Trojan/ Korad.82800, Adware/Win32.bho, Win-Trojan/Agent AEE, JS/ Aent, JS/Downloader 등총 8건의악성코드가최다 20건목록에새로나타났다 ([ 표 1-1]) 그림 1-1 ] 월별악성코드감염보고건수변화추이 순위 등락 악성코드명 건수 비율 1 ASD.PREVENTION 518, % 2 14 JS/Iframe 374, % 3 2 Trojan/Win32.Gen 332, % 4 1 Textimage/Autorun 261, % 5 1 Downloader/Win32.agent 254, % 6 9 Dropper/Win32.onlinegamehack 204, % 7 3 Trojan/Win32.adh 165, % 8 NEW Win-Trojan/Starter C 147, % 9 3 Trojan/Win32.pbbot 135, % 10 NEW Trojan/Win32.banbra 131, % 11 NEW Trojan/Win32.onlinegamehack 130, % 12 NEW Win-Trojan/Korad , % 13 NEW Adware/Win32.bho 113, % 14 6 Trojan/Win32.bho 111, % 15 4 Trojan/Win32.agent 110, % 16 7 Adware/Win32.korad 98, % 17 NEW Win-Trojan/Agent AEE 97, % 18 NEW JS/Aent 93, % 19 NEW JS/Downloader 91, % 20 3 RIPPER 88, % TOTAL 3,586, % 표 년 8월악성코드최다 20건 ( 감염보고, 악성코드명기준 )

4 4 악성코드대표진단명감염보고최다 20 [ 표 1-2] 는악성코드별변종을종합한악성코드대표진단명중가장많이보고된 20건을추린것이다. 2012년 8월에는 Trojan/Win32가총 167만 9526건으로가장빈번히보고된것으로조사됐다. ASD Prevention 이 51만 8521건, Adware/Win32이 49만 8328건으로그뒤를이었다. 순위 등락 악성코드명 건수 비율 1 Trojan/Win32 1,679, % 2 ASD 518, % 3 1 Adware/Win32 498, % 4 1 Win-Trojan/Agent 480, % 5 1 Downloader/Win32 388, % 6 14 JS/Iframe 374, % 7 Win-Trojan/Downloader 313, % 8 3 Win-Trojan/Korad 300, % 9 4 Dropper/Win32 286, % 10 Textimage/Autorun 261, % 11 1 Win-Trojan/Onlinegamehack 250, % 12 7 Win-Adware/Korad 182, % 13 NEW Win-Trojan/Starter 147, % 14 6 Malware/Win32 138, % 15 1 Win32/Virut 134, % 16 1 Win32/Conficker 130, % 17 NEW Dropper/Korad 129, % 18 NEW Dropper/Onlinegamehack 104, % 19 1 Win32/Kido 99, % 20 NEW JS/Aent 93, % TOTAL 6,513, % 표 1-2 악성코드대표진단명최다 20건 8월신종악성코드 [ 표 1-3] 은 8월에신규로접수된악성코드중고객으로부터감염보고가가장많았던 20건을꼽은것이다. 8 월의신종악성코드는 Win-Trojan/ Starter C가 14만 7376건으로전체의 19.5% 를차지했으며, Win-Trojan/Agent AEE가 9 만 7506건이보고됐다. 순위 악성코드명 건수 비율 1 Win-Trojan/Starter C 147, % 2 Win-Trojan/Agent AEE 97, % 3 JS/Aent 93, % 4 Win-Trojan/Onlinegamehack AU 77, % 5 Win-Trojan/Downloader , % 6 Dropper/Onlinegamehack D 43, % 7 Win-Trojan/Agent , % 8 Win-Trojan/Adload , % 9 Html/Shellcode 26, % 10 HTML/Donwloader 25, % 11 Win-Adware/Shortcut.KorAd , % 12 Win-Trojan/Downloader , % 13 Dropper/Onlinegamehack , % 14 Win-Trojan/Korad , % 15 Win-Trojan/Korad B 11, % 16 Win-Trojan/Downloader GG 11, % 17 Dropper/Onlinegamehack B 11, % 18 Win-Trojan/Startpage E 10, % 19 Dropper/Onlinegamehack , % 20 Win-Trojan/Korad , % TOTAL 755, % 표 1-3 8월신종악성코드최다 20건

5 5 8월악성코드유형, 트로이목마가최다 [ 그림 1-2] 는 2012년 8월한달동안안랩고객으로부터감염이보고된악성코드의유형별비율을집계한결과다. 트로이목마 (Trojan) 가 42.1% 로가장높은비율을나타냈고, 스크립트 (Script) 가 10.1%, 드롭퍼 (Dropper) 가 3.6% 인것으로집계됐다. 그림 1-2 악성코드유형별비율 악성코드유형별감염보고전월비교 [ 그림 1-3] 은악성코드유형별감염비율을전월과비교한것이다. 트로이목마, 드롭퍼, 바이러스가전월에비해증가세를보였으며스크립트, 웜, 애드웨어, 스파이웨어는감소세를보였다. 다운로더, 애프케어계열은전월과동일한수준을유지하였다. 그림 년 7 월 vs. 8 월악성코드유형별비율

6 6 신종악성코드유형별분포 8월의신종악성코드를유형별로보면트로이목마가 65% 로가장많았고, 드롭퍼가 15%, 스크립트가 14% 였다. 그림 1-4 신종악성코드유형별분포

7 7 02 악성코드동향 악성코드이슈 보안프로그램으로위장한악성코드 2011년 1월부터이메일형태로유포됐던, 윈도우보안패치프로그램으로위장한악성코드가최근에도유포된것으로확인됐다. 이번에발견된이메일은이전과마찬가지로, 해킹공격에대비해보안프로그램으로검사하라는내용을담고있다. 국내보안업체와유사한도메인을이용하여유포됐으며, 현재다운로드링크로는접속되지않는다. 최근까지이메일로유포된주요유형은 [ 그림 1-5] 부터 [ 그림 1-7] 과같다. 그림 년 5 월에발견된이메일 [ 그림 1-6] 의이메일에첨부된 TurboPatchSetup.exe 파일을다운로드한후실행하면 [ 그림 1-8] 과같이국내보안업체의 윈도우보안패치 프로그램과악성 PatchUpdate.exe 파일을같이설치한다. 그림 년 1 월에발견된이메일 그림 1-8 정상윈도우보안패치프로그램실행화면 그림 년 8 월 7 일에발견된이메일 그림 1-9 악성 PatchUpdate.exe 파일 PatchUpdate.exe 파일은 C&C 서버로추정되는 174.1**.7.*2( 미국 ) IP 로주기적인접속을시도한다.

8 8 로그램및서버에대한변조여부를주기적으로점검할필요가있다. 그림 1-10 감염후네트워크연결정보 2011년 5월에브리존이게시한공지인 [ 그림 1-6] 을보면악성코드가유포된 everyzone.net 도메인의등록자는에브리존이아닌중국인인것으로확인됐다. 그림 1-12 악성코드유포구조보통홈페이지를통해서다운로드한프로그램을설치할때업데이트파일이실행되면서업데이트서버로부터최신버전의프로그램파일들을다운로드한후 [ 그림 1-12] 와같이새로운버전으로업데이트된다. 공격자는바로이과정을이용했다. 그림 1-11 everyzon.net 도메인조회결과 [ 그림 1-12] 에서자세한감염과정은생략했지만업데이트된일부파일이실행될경우다운로더기능을가진트로이목마 (calc.exe) 를생성하고실행한다. 웹사이트에접속하면정상에브리존웹사이트인 으로리다이렉트된다. 이는악성도메인을실제에브리존도메인처럼위장하기위한속임수다. - Backdoor/Win32.Etso( ) 그림 1-13 업데이트된파일에의한악성코드생성 [ 그림 1-13] 에서생성된 calc.exe의주요코드는 [ 그림 1-14] 와같이암호화됐며, 해당코드는 [ 그림 1-15] 와같이특정블로그에접속해게임핵악성코드를다운로드하도록암호화된 URL 정보를받아온다. 변조된프로그램을이용한게임핵유포 온라인게임핵악성코드는대부분웹사이트를해킹한후응용프로그램의보안취약점을공격하는악성코드를삽입해유포되어왔다. 하지만이번에발견된온라인게임핵악성코드는정상프로그램을변조한형태다. 그림 1-14 암호화된주요코드 기존의악성코드유포방식은사용자들이보안업데이트를하면감염확률이떨어진다는한계가있었다. 때문에정상프로그램을변조함으로써사용자들이감염사실을인지하지못하도록한것으로보인다. 이번에발견된사례를정리해보면 [ 그림 1-12] 와같다. * 이번이슈와관련된프로그램은유해차단목적을가지고있지만정확한프로그램이름은밝힐수없다. 최근정상프로그램의변조를통한악성코드유포사례가심심치않게발견되고있는만큼관리자라면프 그림 1-15 게임핵다운로드 URL - Dropper/Onlinegamehack.40998(AhnLab, ) - Trojan/Win32.OnlineGameHack(AhnLab, ) - Win-Trojan/Malpacked3.Gen(AhnLab, )

9 9 ActiveX라는이름의악성코드인터넷상에서미디어등의응용프로그램을실행하기위해서는 ActiveX가필요하다. 이런 ActiveX로위장해사용자들의실행을유도하는악성코드가발견됐다. 이악성코드는특정멤버왕따사건으로이슈화되고있는걸그룹관련영상으로위장해악성 URL로연결을유도했다.. 게임부스터패스트핑으로위장한악성코드 MMORPG 게임사용자들이인터넷속도및게임반응속도를향상하기위해사용하는패스트핑 (FastPing) 프로그램으로위장한악성코드가발견되어주의가요구된다. 이악성코드는 [ 그림 1-20] 과같이신뢰할수없는다운로드사이트나블로그의게시글을통해유포되며정상패스트핑프로그램이설치되는것으로위장한다. 그림 1-16 안전한사이트실행을위한 activex 이름의악성코드 악성코드유포자는 [ 그림 1-17] 과같이화면상단에뜨는노란색의알림바 (ActiveX) 를사용자들이의심없이설치한다는점을노렸다. 현재악성코드유포지로사용됐던블로그는문을닫았다. 그림 1-20 패스트핑설치화면 해당프로그램이설치될때아래와같은파일이추가로생성된다. 그림 1-17 정상적인 ActiveX 설치화면 1. [ 그림 1-17] 의파일을실행하면시스템폴더 (system32) 하위경로에 [ 그림 1-18] 과같은 [ 영문6자리 ].exe 파일이랜덤하게생성된다 (c:\windows\system32\wjqeux.exe). 그림 1-18 생성되는파일및자동등록되는서비스 2. [ 그림 1-19] 의특정서버 (121.*.***.204) 에지속적으로접속을시도하지만분석시점에는연결되지않았다. [ 생성파일 ] - C:\Program Files\Company\fastpingsetup \Installer2.exe ( 악성 ) - C:\Program Files\Company\fastpingsetup \fastpingsetup.exe ( 정상 ) - C:\Program Files\Company\fastpingsetup\Uninstall.exe ( 정상 ) - C:\WINDOWS\SYSTEM32\Macromed\Flash \FlashUpdater.exe ( 악성 ) Installer2.exe 파일은 [ 그림 1-21] 과같이특정 URL에서 FlashUpdater.exe 파일을다운로드한다. 패킷캡쳐화면에서보이는 btn2.gif가 FlashUpdater.exe파일이며해당파일은플래시플레이어가설치되는경로에생성되어정상파일인것처럼위장한다. 그림 1-19 악성코드생성되는파일 이와같이특정기능ㆍ서비스등을이용하기위해필요한 ActiveX, 코덱설치파일등으로위장하여악성코드가유포될수있으므로, 사용자들은신뢰할수없는블로그나사이트를통해유포되는파일및설치되는프로그램에대해각별한주의가필요하다. Trojan/Wind32.Scar(AhnLab, ) 그림 1-21 악성파일 FlashUpdater.exe 다운로드및생성경로

10 10 실행파일이다. 그림 1-24 압축된파일 첨부파일 압축을해제하면 [ 그림 1-25] 의파일이생성되며사용자는정상폴더및문서파일로착각해실행하게된다. 그림 1-21 악성파일 FlashUpdater.exe 다운로드및생성경로 FlashUpdater.exe 파일은스스로를자동실행서비스에등록해 [ 그림 1-22] 와같이주기적으로특정 IP에접속을시도한다. FlashUpdater. exe 파일내부의문자열등을확인해본결과시스템정보등을탈취하는백도어로추정된다. 그림 1-22 특정서버와접속시도 Dropper/Win32.Mudrop(AhnLab, ) Trojan/Win32.Siggen(AhnLab, ) Win-Trojan/Agent GC(V3, ) 그림 1-25 압축해제후생성파일 ( 알려진확장자보기해제 ) 1. 첨부된악성파일을실행하면정상파일로위장하기위해 NVIDIA 의이름을가진폴더와파일을생성한다. - C:\Documents and Settings\All Users\NVIDIASmart \nvsmartmaxapp.exe ( 정상 ) - C:\Documents and Settings\All Users\NVIDIASmart \nvsmartmax.dll ( 악성 ) - C:\Documents and Settings\All Users \EFS\NvSmart.exe ( 정상 ) - C:\Documents and Settings\All Users\EFS \NvSmartMax.dll ( 악성 ) ( 생성되는일부파일만표기 ) 국내업체를대상으로유포된악성스팸메일국내특정업체를대상으로악성스팸메일이유포된사례가발견됐다. 인터넷을통해수집했을것으로추정되는업체담당자의이메일주소와 [ 그림 1-23과같이 협력요청및상세계획에대해서첨부파일을확인하고회신을달라 는내용으로구성돼있다. 2. 생성된 EXE 파일은시스템재시작시에다시실행될수있도록서비스에등록된다. 서비스에등록되는두개의 exe 파일 (nvsmartmaxapp.exe, NvSmart.exe) 은정상파일이며로드되는 dll 파일 (nvsmartmax.dll, NvSmartMax.dll) 은악성파일이다. 이는정상서비스및파일로위장하기위한것으로, 정상파일을생성한후로드되는 dll 파일을악성파일로변경해실행한다. 3. 악성코드는감염시키로깅및에러정보를로깅하여파일에저장한다. 이후미국에위치한특정서버 (uscom.ws******in.com, uscom.******l.com - 67.**.***.228) 로접속을시도하며키로깅정보및로깅된에러정보를전송할것으로추정되나분석시점에는연결되지않았다. 그림 1-23 유포된메일의원문 이메일에첨부된파일은 [ 그림 1-24] 와같이 scr 확장자를가진윈도우 Backdoor/Win32.Etso( ) Win-Trojan/Plugx ( )

11 11 이메일을이용한어도비 CVE 취약점악성코드유포 2012년 8월 21일 CVE 취약점을악용한어도비리더 (Adobe Reader) 파일이이메일에첨부되어국내에유포된사실을확인했다. 해당 CVE 취약점은 2009년 3월어도비에서보안권고문 "APSB09-04 Security Updates available for Adobe Reader and Acrobat" 을통해이미보안패치를배포했다. 이취약점을악용한공격형태는 2009년 10월부터지속적으로발견됐다 년 10월 9일 - 어도비 PDF 제로데이취약점공격악성코드발견 년 10월 16일 - 새로운어도비취약점웹사이트를통해유포 년 11월 10일 - 타깃공격에악용된취약한 PDF 악성코드 년 11월 25일 - 이메일로유포된랜섬웨어를다운로드하는제우스이번에발견된취약한 PDF 파일은이메일에첨부된형태로, 파일명과문서내용만을변경하여유포됐다. 현재확인된파일은 [ 그림 1-26] 과 [ 그림 1-27] 이다. - 공문국방무기체계사업관리교육9월교육과정입교희망자파악.pdf(408,766바이트) 그림 1-27 취약한 PDF 파일 2 1. 보안패치를설치하지않은버전의어도비리더를사용하는시스템에서해당문서를열면 AdobeARM.dll(32,768바이트 ), webios. dll(8,704바이트 ) 파일이생성된다. - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\Temp\AdobeARM.dll - C:\WINDOWS\system32\webios.dll 2. 다음의레지스트리키를생성하여 webios.dll 파일을윈도우서비스로등록해재부팅시에도자동실행되도록구성한다. - HKLM\SYSTEM\ControlSet001\Services\6to4\ Parameters\ServiceDll = "C:\WINDOWS\system32\webios.dll" 3. 감염된시스템에존재하는정상 svchost.exe 파일을로드하여 webios.dll 파일을정상 svchost.exe 파일의프로세스에인젝션한다. 스레드인젝션이성공하면미국에위치한특정시스템으로접속을시도한다. 통신에성공하면공격자의명령에따라키보드입력을가로채는키로깅 (Keylogging) 과원격제어등의기능을수행한다. 그림 1-26 취약한 PDF 파일 1 어도비에서배포하는보안패치를설치해해당어도비관련취약점을악용하는악성코드들의감염을예방하길권장한다. 또한 APT 전문대응솔루션인트러스와쳐 (TrusWatcher) 에포함된 DICA(Dynamic Intelligent Content Analysis) 에의해시그니처없이탐지가가능하다. - 공문과학적사업관리기법확대적용및 EVMTool 소개교육안 내.pdf(458,902 바이트 ) PDF/Exploit Trojan/Win32.Dllbot Win-Trojan/Dllbot.8704 <ASD 2.0 MDP 엔진진단명 > Dropper/MDP.Exploit (6)

12 12 오라클자바 JRE 7 제로데이취약점을악용한악성코드유포미국현지시각으로 8월 26일보안업체 FireEye에서블로그 "ZERO- DAY SEASON IS NOT OVER YET" 를통해오라클 (Orcle) 자바 JRE(Java Runtime Environment) 7에서임의의코드를실행할수있는코드실행취약점 (CVE ) 을공개했다. 이취약점은 8월현재개발업체인오라클에서관련보안패치를제공하지않고있는제로데이 (Zero-Day, 0-Day) 취약점으로다음버전의소프트웨어에서악용될위험성이크다. - Oracle Java 7(1.7, 1.7.0) - Java Platform Standard Edition 7(Java SE 7) - Java SE Development Kit(JDK 7) - Java SE Runtime Environment(JRE 7) 이취약점은 [ 그림 1-28] 과같이중국에서제작된공다팩 (GongDa Pack) 이라불리는웹익스플로잇툴킷 (Web Exploit Toolkit) 에서사용되는스크립트악성코드를통해최초유포됐으며, 유포지는대만에위치한특정시스템이다. 그림 1-28 자바취약점을악용한공다팩자바스크립트악성코드해당악성스크립트를디코딩하면유포시스템에존재하는 Appelt. jar(7,855바이트 ), hi.exe(16,896바이트 ) 파일이다운로드된다. 파일내부에는 [ 그림 1-29] 와같이 CVE 취약점을직접적으로악용하도록제작된 App.class(7,231바이트 ) 파일이포함되어있다. 그림 1-29 CVE 취약점을악용하는자바클래스파일취약점으로인해실행되는 hi.exe 파일은최초실행되면윈도우시스템폴더 (C:\WINDOWS\system32\) 에 mspmsnsv.dll(10,240바이트 ) 파일을생성한다. 그리고윈도우시스템에존재하는정상프로세스인 svchost.exe 파일을실행해해당프로세스의스레드로생성한 mspmsnsv.dll 파일을인젝션한다. 인젝션이성공하면특정 C&C 서버와통신을시도해원격제어등공격자가의도하는백도어기능을수행한다. 하지만분석당시에는정상적으로접속되지않았다. 추가적으로핀란드보안업체 F-Secure는블로그 "Blackhole: Faster than the speed of patch" 를통해블랙홀웹익스플로잇툴킷 (Blackhole Web Exploit Toolkit) 또한 CVE 취약점을악용한다고밝혔다. ASEC에서이와관련한추가정보를확인한결과최소약 300개의도메인을통해유포중인것으로파악됐다. 8월현재 Pre.jar(31,044바이트 ) 과 Leh.jar (31,044바이트) 이란 2개의파일명으로유포중이나사실은동일한파일이다. 현재언더그라운드에서해당취약점을악용가능한 PoC(Proof of Concept) 가공개되어다양한변형들이지속적으로유포될것으로예측된다. JS/Downloader JAVA/CVE JS/Blacole Win-Trojan/Poison Win-Trojan/Buzus Trojan/Win32.Npkon <TrusGuard 탐지 / 차단명 > javascript_malicious_gongda-2(http) java_malicious_jar-8(http) java_malicious_jar-gd(http) MS12-060(CVE ) 취약점을악용한타깃공격 MS에서는 8월 15일, 7월한달간발견된보안취약점들을제거하는보안패치를배포했다. 이중 MS Windows 공용컨트롤의취약점으로인한원격코드실행문제점 ( ) 은 MS 오피스제품과관련된취약점이다. MS는별도의블로그 MS12-060: Addressing a vulnerability in MSCOMCTL.OCX's TabStrip control 을통해 CVE 취약점을악용한타깃공격이발견됐음을함께공개했다. 해당타깃공격은 [ 그림 1-30] 의 RTF(Rich Text Format) 파일을첨부해이뤄졌다. RTF 파일내부에포함된 ActiveX 오브젝트에의해그처리와관련된 MSCOMCTL.OCX 파일의메모리엑세스오류 (Memory Access Error) 가발생되며, 이로인해임의의코드실행이가능해진다. 그림 1-30 CVE 취약점을악용한 RTF 파일

13 13 8월현재관련공격기법에대한자세한정보는공개되지않았으나실제공격사례가존재하는만큼 MS에서제공하는보안패치 MS12-060을설치하여보안위협에대비해야한다. Dropper/CVE <TrusWatcher 탐지명 > Exploit/DOC.AccessViolation-DE 플래시플레이어의 CVE 취약점악용악성코드어도비는 8월 15일보안권고문 APSB12-18 Security update available for Adobe Flash Player 을통해플래시플레이어에존재하는 CVE 취약점을제거하기위한보안패치를배포했다고발표했다. 또한 CVE 취약점은버전 이하버전에발생하며제한적인타깃공격에악용되었음을함께공개했다. 해당타깃공격은 MS 워드에임베디드 (Embedded) 된워드파일형태로유포됐으며, 유포당시 Running Mate.doc 와 iphone 5 Battery.doc 라는파일명이사용된것으로보인다. CVE 취약점을악용하는악성코드는 [ 그림 1-31] 과같은워드파일구조를가지고있으며파일내부에는 XOR로인코딩된백도어파일이포함되어있다. Data\taskman.dll 이후시스템에존재하는정상 rundll32.exe 파일을이용하여 taskman. dll 파일을실행해미국에위치한특정시스템으로접속을시도하나분석당시에는정상적으로접속되지않았다. 정상적으로접속이이뤄졌을경우하드웨어및운영체제정보와실행중인프로세스리스트등의정보를수집하는백도어기능을수행하고그정보들을전송한다. CVE 취약점은워드파일에취약한 SWF 파일이포함된형태외에도향후에는어도비리더에취약한 SWF 파일이포함되거나취약한웹사이트를통해 SWF 파일단독으로유포될가능성이높다. Dropper/Cve Win-Trojan/Briba SWF/Cve <TrusWatcher 탐지명 > Exploit/DOC.AccessViolation-DE <ASD 2.0 MDP 엔진진단명 > Dropper/MDP.Exploit(6) 페이팔스팸메일과결합된블랙홀웹익스플로잇툴킷 최근들어블랙홀웹익스플로잇툴킷이스팸메일과결합되어유포되는현상들이자주발견되고있다 년 6월 - 스팸메일과결합된웹익스플로잇툴킷 년 7월 - 링크드인스팸메일과결합된블랙홀웹익스플로잇툴킷 그림 1-31 취약한플래시파일이임베디드된워드파일 취약한버전의플래시플레이어를사용하는시스템에서해당워드파일을열면내부에포함된취약한 SWF 파일도함께실행되면서힙스프레이오버플로우 (Heap spray overflow) 가발생한다. 또한워드파일내부에포함된 PE 파일을 taskman.dll(61,440바이트 ) 이라는파일명으로다음의경로에생성한다. - C:\Documents and Settings\[ 사용자계정명 ]\Application 그림 1-32 페이팔스팸메일과결합된블랙홀웹익스플로잇툴킷 해당메일은 [ 그림 1-33] 과같으며, [Accept] 를클릭하면페이팔웹

14 14 페이지가아닌미국에위치한특정시스템으로연결되도록구성됐다. and Acrobat(CVE ) - MS 도움말및지원센터의취약점으로인한원격코드실행문제점 ( )(CVE ) - MS MDAC(Microsoft Data Access Components) 원격코드실행취약점 (CVE ) 2. 해당취약점이성공적으로적용되면동일한시스템에존재하는 64b3bcf.exe(84,480바이트 ) 파일을다운로드하여 wpbt0.dll(84,480바이트 ) 이란명칭으로생성한다. - C:\Documents and Settings\[ 사용자계정 ]\Local Settings\ Temp\wpbt0.dll 3. 생성된 wpbt0.dll 파일은다시자신의복사본을아래경로에 KB exe(84,480바이트 ) 명칭으로복사한다. - C:\Documents and Settings\[ 사용자계정 ]\Application Data\KB exe 4. 감염된 PC의레지스트리에다음키값을생성하여재부팅시자동실행되도록구성한다. 그림 1-33 페이팔로위장한악성스팸메일 1. [ 그림 1-33] 의 [Accept] 부분을클릭하면미국에위치한특정시스템으로접속하며사용자에게는 [ 그림 1-34] 의화면을보여준다. - HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\ - KB exe = C:\Documents and Settings\[ 사용자계정 ]\Application Data\KB exe 그림 1-34 실제웹페이지에접속되는것처럼위장한웹페이지 해당웹페이지하단에는 [ 그림 1-35] 와같이말레이시아에위치한시스템으로연결되는자바스크립트코드가인코딩돼있다. 5. 감염된 PC에서실행중인 explorer.exe 정상프로세스의스레드로자신의코드를삽입한후다음의정보들을후킹한다. - 웹사이트접속정보 - FTP 시스템접속사용자계정과비밀번호정보 - POP3 이용프로그램사용자계정과비밀번호정보 - 웹폼변조 (Formgrabber) 및웹폼인젝션 (httpinjects) 으로웹사이트사용자계정과암호정보 6. 사용자에게는구글메인웹페이지로연결하여정상적인접속이실패한것으로위장한다. 그림 1-35 블랙홀웹익스플로잇툴킷으로연결하는자바스크립트코드자바스크립트코드를디코딩하면기존블랙홀웹익스플로잇툴킷과동일한포맷의 iframe으로처리된코드가나타난다. 해당블랙홀웹익스플로잇툴킷은아래의취약점들중하나를이용한다. - APSB Security updates available for Adobe Reader 해당악성코드는기존에발견된온라인뱅킹정보탈취를목적으로하는제우스 (Zeus) 또는스파이아이 (SpyEye) 와유사한웹폼변조및웹폼인젝션기능으로, 웹사이트사용자계정과암호정보를탈취한다. 이와같이악성코드유포자가연결을유도하는대부분의웹사이트들에서사용자계정과비밀번호정보를탈취할수있다. 따라서단순스팸메일로생각되더라도송신자가불명확한메일에포함된웹사이트연결링크를클릭하지않는것이중요하다. JS/Iframe

15 15 - JS/Redirect - PDF/Cve Win-Trojan/Agent HA 습관적으로확인버튼을클릭해악성코드에감염된다. 런던올림픽악성스팸메일지난 8월은전세계의축제인런던올림픽에세계인들의관심이집중됐었다. 한국역시이번올림픽에서좋은성과를거두면서많은사람들이관심을가지고즐길수있었다. 그러나이러한관심은악성코드제작자가악성코드를유포할좋은기회이기도하다. 2010년광저우아시안게임이개최됐을때에도관련문서로 (PDF) 가장한악성코드가발견됐었다. - ( 16th 아시안게임 관련문서로위장한악성코드주의!) 이번에발견된악성코드는 Huge scandal with the USA Women's Gymnastics Team on the 2012 London Olympics 라는제목으로발송됐으며메일내링크를클릭하면 [ 그림 1-36] 과같은악성코드유포사이트로연결된다. 그림 1-38 플래시플레이어로가장한파일다운로드창그림 1-39 플래시플레이어로가장한악성코드 adobe-flashplayer-update.exe 파일을실행하면아래와같은파일이생성된다. 레지스트리에는 Run에 femokybhawam 키값을등록해시스템부팅시자동시작되도록설정한다. 또한스위스와독일에위치한시스템과통신을시도하며, 대량의이메일이무작위로발송된다. [ 생성되는파일 ] - C:\Documents and Settings\[ 사용자계정 ] \femokybhawam.exe [ 생성되는레지스트리 ] - HKCU\Software\Microsoft\Windows\CurrentVersion \Run\femokybhawam "C:\Documents and Settings \[ 사용자계정 ]\femokybhawam.exe" 그림 1-36 미국체조팀약물복용오보스팸메일 그림 1-40 대량의이메일발송 그림 1-41 악의적인통신 악의적인메일로인한피해를방지하기위해아래사항들을준수해야한다. 그림 1-37 유투브사이트로위장한악성코드유포사이트해당사이트는실제유투브사이트와구별이되지않을정도로유사해사용자들이현혹되기쉽다. 동영상을재생하기위해서는최신버전의플래시플레이어를설치하라는내용의팝업창을띄우며, 확인버튼을클릭하면 [ 그림 1-38] 의파일다운로드창이나타난다. 위장된사이트가실제유투브사이트라고착각한사용자는동영상을재생하기위해 1. 출처가불분명하거나의심되는제목의메일은열지말고삭제한다. 또는발신자와제목을비교해정상메일이아닐확률이높으면삭제한다. 2. 사용중인보안프로그램은최신버전으로업데이트하고실시간감시기능을사용한다. 3. 메일에첨부된파일은바로실행하지말고, 저장한후보안프로그램으로검사해실행한다. 4. 본문내의의심되거나확인되지않은링크는클릭하지않는다.

16 16 5. 포털사이트메일계정을이용할경우스팸메일차단기능을적극 활용한다. MS, 어도비취약점을통해악성코드에감염된다. Win-Trojan/Jorik F (V3, ) Xanga 초대장을위장한악성스팸메일해외블로그서비스인 Xanga 초대장으로위장한악성스팸메일이발견됐다. 이스팸메일은 Cecelia(Washington) would like to be friends with you! 라는제목으로발송됐으며 [ 그림 1-42] 와같은링크가첨부됐다. 메일에첨부된링크를클릭하면블랙홀웹익스프롤잇툴킷이설치된페이지로연결된다. 그림 1-45 네트워크패킷정보 악성코드 (KB exe) 는최종적으로 [ 그림 1-46] 의경로에생성되어동작한다. 그림 1-46 KB exe 악성코드 이악성코드는웹사이트, FTP 접속정보등을탈취하는악성코드로, 윈도우시작시자동실행되도록레지스트리키값을생성한다. 그림 1-47 시작레지스트리 그림 1-42 Xanga 초대장을위장한스팸메일 링크를통해연결된페이지에는 [ 그림 1-43] 과같은악성스크립트가난독화되어포함됐다. 위의사례처럼스팸메일내의악성링크를사용하여웹익스플로잇툴킷이설치된페이지로연결하는악성코드공격이계속해서증가할것으로예상되므로사용자들은각별히주의해야한다. JS/Iframe JS/Redirect JAVA/Agent (V3, ) PDF/Cve (V3, ) Win-Trojan/Agent HA (V3, ) 그림 1-43 난독화된악성스크립트 난독화된스크립트를복호화하면블랙홀웹익스플로잇툴킷이설치되어있는사이트 (spb-xxxxxxia.ru:8080) 주소를확인할수있다. 그림 1-44 스크립트복호화해당스크립트를통해블랙홀웹익스프롤잇툴킷페이지로이동되며 Flame 변형으로알려진 Gauss 악성코드 2012년 8월 9일해외보안업체카스퍼스키 (Kaspersky) 에서블로그 Gauss: Nation-state cyber-surveillance meets banking Trojan 와함께분석보고서인 Gauss:Abnormal Distribution 을공개했다. 이번에공개한분석보고서에서 Gauss로명명된악성코드가발견됐으며해당악성코드들이기존에발견됐던 Duqu와 Stuxnet의변형으로알려진 Flame과높은유사도를가진것으로밝혔다. [ 그림 1-48] 은카스퍼스키에서공개한 Gauss 악성코드의전체적인구조로, Duqu, Stuxnet, Flame과유사한모듈화된형태를가졌다.

17 17 - Win-Trojan/Gauss Win-Trojan/Gauss Win-Trojan/Gauss Win-Trojan/Gauss Win-Trojan/Gauss Win-Trojan/Gauss YSZZ 스크립트악성코드의지속발견 그림 1-48 Gauss 악성코드의전체적인구조해당악성코드의특징은아래와같으며 Flame과유사한특징들이발견됐다. 1) 2011년 9월에서 10월사이에제작및유포된것으로추정되며제작이후수차례모듈업데이트및 C&C 서버주소가변경됨. 2) 웹브라우저인젝션이후사용자세션을가로채는기법으로사용자암호, 브라우저쿠키및히스토리수집 3) 감염된 PC에서네트워크정보, 프로세스, 폴더, BIOS와 CMOS 정보들수집 4) USB를통해다른 PC로전파되며사용된취약점은 Stuxnet에서최초악용됐던 MS10-046: Windows 셸의취약성으로인한원격코드실행문제 사용 5) Palida Narrow 폰트설치 6) C&C 서버와통신후수집한정보들모두전송하고다른모듈들을다운로드악성코드가수집하는정보들은아래와같으며 Stuxnet과같이시스템파괴등의목적보다는정보수집을주된목적으로한다. 1) 컴퓨터명, 윈도우버전, 실행중인프로세스리스트 2) Program Files 폴더의디렉토리리스트 3) 감염된 PC의인터넷익스플로러버전 4) 네트워크및 DNS 정보 5) 쿠키를검색해서다음문자열이있는지검색한후웹페이지접속시사용자암호추출 ( 대상 : paypal, mastercard, eurocard, visa, americanexpress, bankofbeirut, eblf, blombank, byblosbank, citibank, fransabank, yahoo, creditlibanais, amazon, facebook, gmail, hotmail, ebay, maktoob) 분석보고서에따르면 Gauss 악성코드는특정금융정보나개인정보를탈취하기보다는 Flame 악성코드와같이특정조직의금융정보를포함한다양한정보들을수집하기위해제작된것으로추정된다. - Trojan/Win32.Mediyes - JS/Gauss ASEC에서는중국에서제작된것으로추정되는공다팩으로명명된스크립트형태의악성코드가지속적으로발견되고있다고발표한바있다. - 7월 30일 - 공다팩의스크립트악성코드증가그런데최근들어공다팩이외에 YSZZ로명명된스크립트악성코드가버전을계속변경하면서유포되고있는것이발견됐다. 7월 3일발견된스크립트악성코드는 [ 그림 1-49] 와같이올해상반기부터발견되기시작한다른 YSZZ 스크립트악성코드변형들과동일한 0.3 버전의스크립트였다. 그림 버전의 YSZZ 스크립트이후 8월 3일발견된 YSZZ 스크립트악성코드는 [ 그림 1-50] 과같이 0.8 VIP 버전으로업데이트됐다. 그림 VIP 버전의 YSZZ 스크립트마지막으로 8월 11일주말에발견된 YSZZ 스크립트악성코드는 [ 그림 1-51] 과같이 0.9 VIP 버전으로다시업데이트됐다. 그림 VIP 버전의 YSZZ 스크립트공다팩과 YSZZ 스크립트악성코드모두플래시플레이어나자바같은일반애플리케이션 ( 이하앱 ) 들의취약점을악용해다른온라인게임관련악성코드나원격제어가가능한백도어형태의악성코드들의감

18 18 염을시도하는특징이있다. 그러므로운영체제와자주사용하는앱의취약점을제거하는보안패치들을주기적으로설치하는것이중요하다. HTML/Downloader JS/Downloader JS/Agent <TrusGuard 탐지 / 차단명 > javascript_malicious_yszz(http) javascript_malicious_yszz-2(http) 사우디아라비아정유업체를공격한 Disttrack 악성코드 8월 17일 ASEC에서는 8월 15일공개된외국언론 Saudi Aramco says virus shuts down its computer network 을통해사우디아라비아의정유업체인 Saudi Aramco에특정악성코드에의한피해가발생한것을확인했다. ASEC에서추가적으로관련정보를수집하는과정에서시만텍 (Symantec) 에서 The Shamoon Attacks 로명명한보안위협과관련됐음을파악했다. Shamoon 보안위협과관련된악성코드는 Disttrack로명명됐으며, 크게 3가지기능을가진악성코드들이모듈형태로동작하도록설계됐다. ㆍ드롭퍼 (Dropper) - 다른기능을수행하는악성코드들을생성하는메인악성코드ㆍ와이퍼 (Wiper) - 실질적인 MBR(Master Boot Record) 를파괴하는악성코드ㆍ리포터 (Reporter) - 공격자에게감염된시스템의현황을보고하는악성코드이악성코드는관리목적의공유폴더인 ADMIN$, C$, D$ 와 E$ 를통해네트워크에이웃한시스템으로자신의복사본을전송하여생성한다. 그리고감염된시스템에존재하는 JPEG 파일을임의의데이터로덮어씀으로써이미지파일을정상적으로사용하지못하게하며감염된시스템의 MBR을파괴해시스템의정상적인부팅과사용을방해한다. 8월현재 Disttrack 악성코드가계획적으로정유업체들을공격했는지에대해서는명확하게알수없는상황이다. 그러나일반적인타깃공격과다르게내부정보유출없이시스템파괴기능만가지고있다는점은특이사항으로볼수있다. Shamoon 보안위협과관련해 Disttrack로명명된악성코드는 V3 제품군에서모두다음과같이진단한다. Win-Trojan/Disttrack Win-Trojan/Disttrack Win-Trojan/Disttrack Win-Trojan/Disttrack B Win-Trojan/Disttrack Win-Trojan/Disttrack Win-Trojan/Disttrack Win-Trojan/Disttrack Win-Trojan/Disttrack 악성코드감염으로알려진일본재무성침해사고 2012년 7월 21일일본언론을통해일본재무성이 2010년에서 2011 년 2년사이에악성코드에감염됐으며이로인해내부정보가유출됐을것으로추정된다는기사가발표됐다. ASEC에서는해당침해사고와관련한추가적인정보를확인하는과정에서관련악성코드를확보했다. 이악성코드는약 1년전인 2011년 9 월경에발견된것으로파악된다. 해당악성코드를실행하면파일이실행된동일한경로에아래의파일을생성하고정상시스템프로세스인 explorer.exe에스레드로인젝션된다. - C::\[ 악성코드실행경로 ]\tabcteng.dll(114,688바이트) 그리고아래의레지스트리경로에키값을생성하여재부팅시에도자동실행되도록구성한다. - HKLM\SYSTEM\ControlSet001\Services\Netman\ Parameters\ServiceDll "C:\[ 악성코드실행경로 ]\tabcteng.dll" 또한감염된시스템에존재하는인터넷익스플로러의실행파일 iexplorer.exe를실행해 HTTP로외부에존재하는시스템으로접속을시도하나테스트당시에는접속되지않았다. 해당악성코드는전형적인백도어로, 생성된 tabcteng.dll(114,688바이트 ) 파일이실질적으로악의적인기능을수행한다. - 키보드입력을가로채는키로깅 (Keylogging) - 파일생성및삭제 - 폴더생성및삭제 - 운영체제정보전송이를미루어봤을때해당악성코드는감염된시스템을거점으로내부네트워크의다양한정보들을수집하기위해제작된것으로추정된다. 이번에발견된일본재무성침해사고관련악성코드는 V3 제품군에서다음과같이진단한다. Dropper/Win32.Agent Trojan/Win32.Agent.

19 19 usp10.dll 파일을생성하는악성코드의버그발견 8월 17일늦은밤해킹된사이트를통해서유포됐던, usp10.dll 파일을생성하는악성코드에버그가존재했다. 이는악성코드제작자의실수로보여지며이후수정해서재배포한것으로확인됐다. 이악성코드는윈도우시스템파일인 ws2help.dll 파일을변경하고, 손상된 PE구조를가진 usp10.dll 파일을생성해서윈도우시작시 [ 그림 1-52] 와같은오류를발생시킨다. 악성코드감염시다른악성코드를다운로드한후시스템정보 (MAC, OS 정보등 ) 를전송한다. 그림 1-52 윈도우시작시손상된 usp10.dll 파일을로딩하면서나타나는오류 정상 usp10.dll 파일은윈도우시스템폴더와일부응용프로그램 (MS 오피스등 ) 이설치된폴더에위치한다. 하지만악성코드에감염되면 [ 그림 1-53] 과같이시스템드라이브대부분의폴더에손상된 usp10.dll 파일을생성해해당경로의응용프로그램실행시 usp10.dll 파일을로딩하면서오류를발생시킨다. 단, 응용프로그램은정상적으로실행된다. 그림 exe.txt 악성파일다운로드패킷 그림 1-57 시스템정보전송패킷생성된 usp10.dll 파일은정상 PE 파일이아니기때문에일반적으로백신제품에서진단되지않는다. 따라서파일검색을통한수동삭제가필요한데, 시스템파일및숨김속성으로변경되어있어윈도우탐색기에서확인은가능하나검색은되지않는다. 그림 1-53 감염후 usp10.dll 파일이생성되는경로 그림 1-54 인터넷익스플로러실행시손상된 usp10.dll 에의해서발생한오류 생성된 usp10.dll 파일의 PE 헤더를보면 [ 그림 1-55] 와같이 MZ 값이중복되게쓰여져서로딩시오류가발생하는것이다. 그림 1-58 usp10.dll 파일속성 이런경우 [ 그림 1-59] 와같이 attrib 명령을이용하여시스템파일및숨김속성을해제하면검색이가능하다. 그림 1-55 usp10.dll 헤더정보 그림 1-59 attrib 명령을이용한파일속성해제

20 20 이후파일이름과크기를지정해검색된 usp10.dll 파일을찾아삭제하면된다. 그림 1-62 기사스크랩으로위장한악성코드 그림 1-60 usp10.dll 파일검색조건및결과 Dropper/Win32.OnlineGameHack ( ) Win-Trojan/Onlinegamehack BE ( ) Trojan/Win32.OnlineGameHack ( ) Win-Trojan/Agent G ( ) 악성코드제작자가원하는것은감염된 PC를지속적으로모니터링하고정보를가져오는것이다. 두악성코드는공통적으로 [ 그림 1-63] 과같이소프트웨어취약점을공격해악성코드를실행한다. 이후감염원인악성한글파일을삭제하고정상한글파일을생성해사용자가감염된원인을알수없게한다. 스크랩된기사내용을이용하는악성한글파일악성코드유포 1주일이내에등록된특정언론사의기사내용을그대로복사하거나해외뉴스를스크랩한형태의악성한글 (hwp) 파일이발견됐다. 그림 1-61 언론기사내용으로위장한악성코드언론사의기사로위장한악성코드는아래의파일을생성한후부팅시자동실행하기위해생성된파일을서비스로등록한다. 해당파일은키로거등다양한정보유출기능을가지고있는백도어다. - C:\Documents and Settings\All Users\Application Data \SxS.DLL 이악성코드는다음의파일에키로깅데이터를저장하고제작자가원하는시점에저장된파일을수집한다. - C:\Documents and Settings\All Users\Application Data \SSK.LOG 8월 13일유포가확인된악성코드가 8월 9일에등록된기사를단시간내에도용했다는점이흥미롭다. 그림 1-63 악성코드감염프로세스악성코드로인해생성되는파일들의공통점은없지만, 동일한감염프로세스를가지고있고악성코드에감염된후사용자를속이기위해생성되는정상한글파일의파일명이 AAAA로일정하다. 따라서같은악성코드생성툴을사용했거나동일한제작자일가능성이있다. 최근국내에서유포되는악성코드중 MS나어도비와같이전세계적으로널리사용되는소프트웨어가아닌국내에서사용되는프로그램의취약점을악용한형태가자주발견되고있다. 이와같이특정국가나조직을대상으로국지적으로발견되는악성코드들은상대적으로보안업체에서파악하기어렵기때문에감염으로인한피해가클가능성이있다. 이러한악성코드들은대부분개인정보탈취를목적으로하기때문에자동업데이트를설정하는등피해예방을위한조치가필요하다. Exploit/Hwp.AccessViolation-SEH Backdoor/Win32.Etso HWP/Agent Win-Trojan/Agent 또다시발견된한글취약점을악용한문서파일 ASEC에서는그동안지속적으로한글에존재하는취약점을악용한악성코드유포사례를발표했다.

21 21-6월 15일 - 한글제로데이취약점을악용한악성코드유포 - 6월 26일 - 알려진한글취약점을악용한악성코드유포 - 7월 5일 - 지속적으로발견되는취약한한글파일유포 - 7월 25 - 한글취약점을악용한취약한한글파일추가발견 2012년 8월 13일, 또다시알려진한글취약점을악용한문서파일이발견됐으며, 그내용은 [ 그림 1-64] 와같다. 레드로인젝션된다. 동일한위치에생성된 SS.LOG는감염된시스템에서입력된키로깅과웹사이트접속기록들을보관하는로그파일이다. - C:\Documents and Settings\All Users\Application Data\ SxS.DLL - C:\Documents and Settings\All Users\Application Data\SS. LOG 3. 생성된 SxS.DLL 파일을시스템재부팅시에도자동실행하기위해레지스트리에아래의키를생성해 "Windows SxS Services" 라는명칭의윈도우서비스로등록한다. - HKLM\SYSTEM\ControlSet001\Services\SxS\ Parameters\ServiceDll - "C:\Documents and Settings\All Users\Application Data\ SxS.DLL" 그림 1-64 취약한한글파일 이한글파일의구조는 [ 그림 1-65] 와같으며새로운제로데이취약점은아니다. 4. 레지스트리키생성이완료되면취약한한글파일에의해최초생성됐던 SUCHOST.EXE 파일을삭제한다. SxS.DLL 파일에의해스레드인젝션된정상 svchost.exe 파일을통해홍콩에위치한특정시스템으로접속을시도한다. 이후감염된시스템에서입력되는키보드입력값을가로채고웹사이트접근을모니터링등하는일반적인백도어기능을수행한다. 하지만분석당시에는정상적으로접속되지않았다. 이번에발견된알려진한글취약점을악용한악성코드들은 V3 제품군에서다음과같이진단한다. Exploit/Hwp.AccessViolation-SEH Backdoor/Win32.Etso 그림 1-65 취약한한글파일의구조해당취약점은 HncTextArt_hplg에존재하는스택 (Stack) 의경계를체크하지않아발생하는버퍼오버플로우 (Buffer Overflow) 로, 2010년부터지속적으로악용돼왔던한글취약점들중하나이다. 또한한글과컴퓨터에서관련취약점에대한보안패치를제공중에있다. <TrusWatcher 탐지명 > Exploit/HWP.AccessViolation-SEH <ASD 2.0 MDP 엔진진단명 > Dropper/MDP.Document(6)APT 공격과관련된안드로이드악성코드발견 1. 해당취약점이존재하는버전의한글을사용하는시스템에서취약한한글파일이실행되면사용자계정의임시폴더에 SUCHOST. EXE(296,448바이트 ) 파일이생성된다. - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\Temp\SUCHOST.EXE 2. 생성된 SUCHOST.EXE 파일은다시 SxS.DLL(296,448바이트 ) DLL 파일 1개를생성해감염된시스템에서실행중인모든프로세스에스

22 22 03 악성코드동향 그리고 [ 그림 1-68] 과같이바탕화면영역에광고성의바로가기링크 ( ) 를생성한다. 모바일악성코드이슈 2012 런던올림픽게임으로위장한안드로이드악성코드 그림 1-68 악성코드가생성한바로가기 최근 London 2012 공식게임 이라는타이틀로위장한악성코드가발견됐다. 이악성코드는러시아의구글정식마켓이아닌사설마켓에서발견됐다. 바로가기링크를실행하면또다른악의적인악성앱의다운로드를유도한다. 추가로설치된앱의아이콘은 [ 그림 1-69] 와같으며실행시아무화면도나오지않은채종료된다. 해당악성코드는런던올림픽에대한사람들의관심을이용해사용자들을감염시키기위한것으로, 악성코드가설치되면사용자의스마트폰정보를무단으로전송하며 [ 그림 1-66] 의지정번호로 SMS를발송한다. 그림 1-69 악성앱속성 SMS를유출하는 ZitMo 안드로이드악성코드의변형 ASEC에서는지난 6월금융정보탈취를목적으로하는안드로이드악성코드 ZitMo(Zeus in the Mobile) 가발견됐음을발표한바있다 년 6월 - Zitmo 변형으로알려진안드로이드악성코드 그림 1-66 디컴파일코드 그림 1-67 SMS 전송에사용되는번호 2012년 8월 7일해외보안업체인카스퍼스키 (Kaspersky) 에서블로그 New ZitMo for Android and Blackberry 를통해 ZitMo 안드로이드악성코드의변형이발견됐음을공개했으며 ASEC에서는해당악성코드를확보해자세한분석을진행했다. 이번에발견된 ZitMo 안드로이드악성코드의변형을안드로이드스마트폰에설치하면 [ 그림 1-70] 과같이 SMS(Short 그림 1-70 SMS 송수신권한을요구하는 ZitMo 안드로이드악성코드

23 23 Message Service) 송수신권한 을설치시요구한다. 해당악성앱을설치하면 [ 그림 1-71] 과같이 Zertifikat 라는아이콘이생성된다. Zertifikat 는독일어로증명서또는인증서를의미한다. 설치된악성앱을실행하면 [ 그림 1-72] 의독일어메시지가나타나며, 이는 설치성공, 정품인증코드는 입니다 를의미한다. 그림 1-71 인증서프로그램아이콘으로위장 ZitMo 안드로이드악성코드는스마트폰이재부팅되면자신의아이콘을숨긴채감염된스마트폰으로송수신되는모든 SMS들을특정휴대전화번호로전송한다. 그림 1-72 독일어로표기된설치완료메시지 이런동작기법으로미루어해당악성코드는유럽지역에서스마트폰을이용한뱅킹서비스이용시사용자인증을위해인증번호를 SMS로전송한다는점을악용해감염된안드로이드폰에서송수신한인증번호를다른휴대전화로유출하는것으로추정된다. <V3 모바일제품군진단명 > Android-Trojan/Zitmo.M

24 SECURITY TREND 보안동향 보안통계 8 월마이크로소프트보안업데이트현황 년 8 월 MS 에서발표한보안업데이트는총 9 건으로긴급 5 건, 중 요 4 건이다. 이중취약점을통해코드실행이가능한것이 8 건이다. 특히 MS12-060(CVE ) 은이미표적공격에사용된것이 확인돼사용자들의신속한보안업데이트가요구된다. 긴급 MS 인터넷익스플로러누적보안업데이트 MS 원격데스크톱의취약점으로인한원격코드실행 MS 윈도우네트워킹구성요소의취약점으로인한원격코드실행 MS Microsoft Exchange Server WebReady 문서보기취약점으로인한원격코드실행 MS 윈도우공용컨트롤의취약점으로인한원격코드실행 중요 MS 윈도우 Kernel Mode Driver취약점으로인한권한상승 MS Jscript와 VBScript Engine 취약점으로인한원격코드실행 MS Microsoft Office 취약점으로인한원격코드실행 MS Microsoft Visio 취약점으로인한원격코드실행 표 년 7 월주요 MS 보안업데이트 그림 2-1 공격대상기준별 MS 보안업데이트 ( )

25 SECURITY TREND 보안동향 보안이슈 지속적인서드파티취약점악용에따른보안업데이트의중요성 웹침해사고에서플래시플레이어, 자바등서드파티취약점을악용하는사례가꾸준히발견되고있으며제로데이공격도종종등장하고있다. 어도비에서는이와관련해 8월 5차례의보안권고문및패치를제공했다. 이중빠른패치적용을요구하는 1등급 (Critical) 취약점도다수존재한다. 이런서드파티취약점은플랫폼을가리지않는경우가많기에그피해가더크다. 따라서관련소프트웨어사용자는반드시주기적으로업데이트할것을권장한다. 보안권고문관련제품및 CVE 플랫폼 APSB12-16 ( ) APSB12-17 ( ) APSB12-18 ( ) Reader and Acrobat CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE Shockwave Player CVE , CVE , CVE , CVE , CVE Flash Player CVE 윈도우, 맥킨토시 윈도우, 맥킨토시 윈도우, 맥킨토시, 리눅스 또한자바와관련하여 2건의업데이트가있었다. 이중 CVE 취약점은실제로웹브라우저를통한제로데이공격에악용된만큼빠른보안업데이트가필요하다. 보안권고문 Oracle Security Alert for CVE ( ) Oracle Security Alert for CVE ( ) 내용 최근블랙햇 USA 2012브리핑에서발표된오라클데이터베이스서버에권한상승취약점이다. 이취약점은인증없이원격에서코드실행이불가능하다. 다시말해사용자이름과비밀번호없이는네트워크상에서공격이불가능하다. 원격으로인가된사용자는이취약점을통해 SYS 권한을얻어패치되지않은시스템의비밀성, 무결성, 가용성에영향을준다. 데스크톱의웹브라우저에서실행되는자바관련취약점으로, 서버나독립적으로실행되는자바데스크톱앱에는직접영향을끼치지않는다. 또한오라클서버기반소프트웨어와는관련이없다. 이취약점은인증없이원격으로네트워크를통해공격이가능하다. 공격이성공하려면사용자가해당취약점과관련있는악성웹페이지에접속해야한다. 공격코드가성공적으로실행되면사용자시스템의기밀성, 무결성, 가용성이깨진다. 추가적으로, 이보안권고는 JRE의하위컴포넌트 AWT 관련 6개의패치를포함한다 (CVE , CVE , CVE , CVE ). 표 년 8 월자바관련보안권고문 플래시플레이어의버전은다음과같이확인가능하다. windows 7 사용자는 제어판 프로그램및기능 에서버전을확인할수있다. 또한아래의링크에접속하여업데이트할수있다. APSB12-19 ( ) APSB12-20 ( ) Flash Player CVE , CVE , CVE , CVE , CVE , CVE , CVE Photoshop CS6 CVE , CVE 모든플랫폼윈도우, 맥킨토시 - 표 년 8 월어도비제품관련보안권고문 그림 2-2 플래시플레이어버전확인

26 SECURITY TREND 26 크롬브라우저사용자는내장플래시플레이어를사용할수도있으므로자세한버전은 chrome://plugins 를통해확인가능하다. 어도비플래시플레이어취약점 (CVE ) CVE 취약점을악용하여문서파일내에악성 SWF를내장해유포한사례가발견됐다. 해당취약점은윈도우플래시플레이어 이하버전에서발생한다. 보안권고문에서는이취약점이이미표적공격에사용됐다고언급했다. CVE 취약점은과거 PDF에서발견된폰트관련취약점과유사한플래시상에서의폰트파일취약점이다. 이취약점은플래시내부에폰트파일을가지고있는경우에발생한다. 그림 2-3 크롬브라우저에서내장플래시플레이어버전확인 자바는각브라우저마다설정을변경하는방법이조금씩다르다. 간단히버전만확인하려면아래의링크에접속하면된다. - 그림 2-6 악성 DefineFont4 레코드일부 그림 2-7 추출한 SWF 파일내셸코드일부 그림 2-4 웹브라우저에서자바버전확인또한브라우저를통해쉽게업데이트할수있다. 다음의링크에접속했을때최신버전이아닐경우업데이트알림창이뜬다. - 자바는브라우저와시스템의버전이각기다를수있다. 예를들어 64 비트윈도우 7 시스템에서 32비트용브라우저를사용한다면자바를사용하고있지않은것으로표시될수있다. 브라우저가아닌시스템에서사용하고있는자바버전은 [ 그림 2-5] 와같이확인할수있다. 웹을통해다양한공격코드가유포되고있는만큼시스템뿐만아니라각브라우저별로자바사이트에접속하여버전확인및업데이트가필요하다. 오라클자바 JRE 7 제로데이취약점 (CVE ) 8월말, 최근유행하고있는웹익스플로잇툴킷공다팩으로추정되는악성스크립트를통해악성코드가유포된흔적이발견됐다. 이악성스크립트는보안패치가제공되지않는자바제로데이취약점을악용했다. 수집된악성스크립트는 [ 그림 2-8] 로, 공다팩에서주로사용하는난독화기법인 Dadong 시그니처를확인할수있다. 그림 2-5 사용자시스템에서자바버전확인 그림 2-8 난독화된악성스크립트

27 SECURITY TREND 27 난독화된스크립트를해제하면 [ 그림 2-9] 와같으며자바취약점을이용해 Flash_update.exe라는이름의악성코드를유포한것으로확인됐다. 공다팩에서최신취약점을이용한다는사실은이미밝혀졌지만제로데이취약점을사용한것은이번이처음이다. 그림 2-9 난독화해제후악성스크립트 향후몇년간자주보안위협에사용될가능성이높다. 윈도우공용컨트롤의취약점으로인한원격코드실행문제점 (CVE ) 윈도우공용컨트롤취약점을통한원격코드실행문제점이제기됐다. 해당취약점을악용한콘텐츠가삽입된웹사이트를사용자가방문할때악성코드가실행될수있다. 이취약점은실제로표적공격에사용된사실이보고됐다. 취약한 jar 파일구성은 [ 그림 2-10] 과같으며공다팩에서주로사용하는변수이름인 Gond~ 를사용하고있다. 그림 2-10 취약한 jar 파일 그림 2-12 CVE 을악용한악성문서파일의일부 취약점이발생한 com.sun.beans.finder.methodfinder와 com.sun. beans.finder.classfinder 클래스는 JDK 7 이후에서만사용가능하다. 취약점이발생하는구조는다음과같다. 1. Statement 객체를생성할때 System.setSecurityManager(null) 를인자로주어이함수가호출된다. 2. 전체권한을가진사용자정의 AccessControlContext를생성한다. 여기에는두가지버그가존재한다. 첫번째로애플릿에서만사용가능한 sun.awt.suntoolkit 클래스를참조하는것이다. 두번째는보안검증을우회하기위해신뢰받는직접적인호출자로써 sun.awt. SunToolkit에서 getfield public static 함수를부르는것이다. 3. getfield 함수로 Statement.acc private field를참조하고정의된 AccessControlContext의값을설정한다. 4. 마지막으로 Statement를실행하면 Security Manager가비활성화돼모든보안검증을우회한다. AccessControlContext에모든권한이부여됐기때문이다. 그림 2-11 취약점이발생하는코드구조 버그가있는해당클래스는모든플랫폼에서동작가능하다. 따라서

28 WEB SECURITY TREND 웹보안동향 웹보안통계 웹사이트악성코드동향안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하면, 2012년 8월악성코드를배포하는웹사이트를차단한건수는총 6998건이었다. 악성코드유형은총 328종, 악성코드가발견된도메인은 170개, 악성코드가발견된 URL은 795개였다. 이는 2012년 7월과비교할때전반적으로감소한수치이다. 악성코드배포 URL 차단건수 7,940 6, % 악성코드유형악성코드가발견된도메인악성코드가발견된 URL Graph 표 년 8 월웹사이트보안현황 월별악성코드배포 URL 차단건수 2012년 8월악성코드배포웹사이트 URL 접근에대한차단건수는지난달 7940건에비해 12% 감소한 6998건이었다. 15,000 10,000 5,000 9, % -1,910 7, % , % 그림 3-1 월별악성코드배포 URL 차단건수변화추이

29 WEB SECURITY TREND 29 월별악성코드유형 2012년 8월의악성코드유형은전달의 398건에비해 18% 줄어 % % % 든 328 건이었다 그림 3-2 월별악성코드유형수변화추이 월별악성코드가발견된도메인 2012년 8월악성코드가발견된도메인은 170건으로 2012년 7 월의 211건에비해 19% 감소했 % % 19.4% -41 다 그림 3-3 월별악성코드가발견된도메인수변화추이 월별악성코드가발견된 URL 2012년 8월악성코드가발견 1, % % 4.3% 된 URL은전월의 831건에비해 4% 감소한 795건이었다 그림 3-4 월별악성코드가발견된 URL 수변화추이

30 WEB SECURITY TREND 30 악성코드유형별배포수악성코드유형별배포수를보면트로이목마가 3562 건 /50.9% 로가장많았고, 애드웨어가 1085건 /15.5% 인것으로조사됐다. 유형 건수 비율 TROJAN 3, % ADWARE 1, % DROPPER % DOWNLOADER % Win32/VIRUT % APPCARE % SPYWARE % JOKE % ETC 1, % TOTAL 6, % 표 3-2 악성코드유형별배포수 5,000 TROJAN 3,562 ETC 1,195 ADWARE 1,085 DROPPER 618 2,500 DOWNLOADER 340 Win32/VIRUT 107 APPCARE 58 SPYWARE 19 JOKE 14 0 그림 3-5 악성코드유형별배포수 악성코드최다배포수악성코드배포최다 10건중에서 Trojan/Win32.Agent가 1320 건으로가장많았고 Adware/ Win32.BundleInstaller등 3건이새로등장하였다. 순위 등락 악성코드명 건수 비율 1 Trojan/Win32.Agent 1, % 2 NEW Adware/Win32.BundleInstaller % 3 7 Dropper/Win32.Mudrop % 4 1 Downloader/Win32.Korad % 5 3 ALS/Qfas % 6 NEW Trojan/Win32.PbBot % 7 1 Trojan/Win32.HDC % 8 1 ALS/Bursted % 9 NEW Adware/Win32.Softonic % 10 1 Win-Adware/Shortcut.INBEE.sungindang % TOTAL 3, % 표 3-3 악성코드대표진단명최다 20 건

31 WEB SECURITY TREND 웹보안동향 웹보안이슈 2012 년 8 월침해사이트현황 [ 표 3-4] 를보면 Win-Trojan/Malpacked3.Gen이라는진단명이다수존재한다. 이는악성코드의실행압축시사용된 Packer의공통점을엔진에반영했기때문으로, 유포된악성코드의상당수가해당진단명으로진단됐다. 자바제로데이취약점의등장 표 년월별침해사이트현황 8월 24일경부터해킹된사이트를통해유포된악성코드들중일부는당시자바제로데이취약점이었던 CVE 을사용했다. [ 표 3-3] 은악성코드유포를목적으로하는침해사고가발생했던사이트들의월별현황으로, 8월은 7월에비해상승했다. 침해사이트를통해서유포된악성코드최다 10건 [ 표 3-4] 는 8월한달동안가장많은사이트를통해서유포되었던악성코드최다 10건을설명한것으로 1위를차지한 Trojan/Win32. Rootkit( 이하 Rootkit) 은 28개의국내사이트 ( 언론사, 블로그등 ) 를통해유포되었다. 그림 3-6 CVE 취약점을이용한자바코드 현재해당취약점에대한보안패치가배포중이므로자바를설치한사용자는업데이트할것을권장한다. 순위 악성코드명 건수 1 Trojan/Win32.Rootkit 27 2 Win-Trojan/Malpacked3.Gen 24 3 Win-Trojan/Malpacked3.Gen 22 4 Win-Trojan/Malpacked3.Gen 20 5 Dropper/Onlinegamehack Win-Trojan/Malpacked3.Gen 19 7 Win-Trojan/Malpacked3.Gen 19 8 Win-Trojan/Malpacked3.Gen 19 9 Win-Trojan/Onlinegamehack135.Gen Win-Trojan/Malpacked3.Gen 19 표 3-4 침해사이트를통해서유포된악성코드최다 10건

32 ASEC REPORT CONTRIBUTORS 집필진 선임연구원 안창용 선임연구원 이도현 선임연구원 장영준 주임연구원 문영조 주임연구원 박정우 연구원 강민철 연구원 김재홍 참여연구원 ASEC 연구원 SiteGuard 연구원 편집장선임연구원안형봉 편집인 안랩세일즈마케팅팀 디자인 안랩 UX 디자인팀 감수전무조시행 발행처 주식회사안랩경기도성남시분당구삼평동 673 ( 경기도성남시분당구판교역로 220) T F Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved.