ASEC REPORT VOL 안랩월간보안보고서 2012년 12월의보안동향 2012년보안동향분석

Transcription

1 ASEC REPORT VOL 안랩월간보안보고서 2012년 12월의보안동향 2012년보안동향분석

2 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 ( 에서확인하실수있습니다. I. 2012년 12월의보안동향악성코드동향 01. 악성코드통계 03-12월악성코드, 전월대비 3만 8천여건감소 - 악성코드대표진단명감염보고최다 20-12월최다신종악성코드 Win-Trojan/Onlinegamehack BM - 12월악성코드유형트로이목마가최다 - 악성코드유형별감염보고전월비교 - 신종악성코드유형별분포 02. 악성코드이슈 07 - 온라인뱅킹트로이목마 Banki(1) - 온라인뱅킹트로이목마 Banki(2) - 패스워드를노리는악성코드 - 악성코드의 3단콤보공격 - 온라인게임핵변종악성코드 - 특정후보의정책관련한글문서위장악성코드 - 부킹닷컴을사칭한악성코드 - 과다트래픽을발생시키는악성코드 - 상품권번호탈취하는온라인게임핵악성코드 - Xerox WorkCentre를사칭한악성메일 - Facebook을사칭한악성 주의 03. 모바일악성코드이슈 18 - 국내스마트폰사용자를노린 Win-Android/Chest 악성코드 - PUP 앱의폭발적인증가보안동향 01. 보안통계 21-12월마이크로소프트보안업데이트현황 02. 보안이슈 22 - Stuxnet 기술을이용하는 MySQL 취약점 - 지속적으로보고되는인터넷익스플로러 use-after-free 취약점웹보안동향 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위 02. 웹보안이슈 년 12월침해사이트현황 - 침해사이트를통해서유포된악성코드최다 10건 - 소셜커머스사이트해킹과악성코드유포 - Win32/Induc에감염된 Banki - 삽입된악성링크의지능화 II. 2012년보안동향분석악성코드동향 01. 악성코드통계 년악성코드, 1억3353만1120 건 - 악성코드대표진단명감염보고최다 년악성코드유형 트로이목마 가최다 02. 모바일악성코드이슈 32 - 월간모바일악성코드접수량 - 모바일악성코드유형 - 모바일악성코드진단명감염보고최다 10 보안동향 01. 보안통계 년 4분기마이크로소프트보안업데이트현황웹보안동향 01. 웹보안통계 34 - 웹사이트악성코드동향 02. 웹보안이슈 웹보안통계 24 - 웹사이트악성코드동향

3 I 년 12 월의보안동향 3 01 악성코드동향 악성코드통계 12월악성코드, 전월대비 3 만 8천여건감소 ASEC이집계한바에따르면, 2012 년 12월에감염이보고된악성코드는 15,000,000 10,000,000 8,059, % +1,917,307 9,938,154 9,976, % 0.4% -38,675 전체 993만 8154건인것으로나타났다. 이는전월 997만 6829건에비해 5,000,000 3만 8675건이감소한수치다 ([ 그림 1-1]). 이중에서가장많이보고된악성코드는 ASD.PREVENTION이었으며, Malware/Win32.suspicious와 Trojan/Win32.onlinegames이다음으로많았다. 또한총 7건의악성코드가최다 20건목록에새로이름을올렸다 ([ 표 1-1]) 그림 1-1 월별악성코드감염보고건수변화추이 순위 등락 악성코드명 건수 비율 1 ASD.PREVENTION 779, % 2 Malware/Win32.suspicious 653, % 3 9 Trojan/Win32.onlinegames 250, % 4 1 Textimage/Autorun 226, % 5 1 Trojan/Win32.Gen 224, % 6 NEW Win-Trojan/Onlinegamehack BM 216, % 7 1 Trojan/Win32.adh 209, % 8 NEW Win-Trojan/Onlinegamehack138.Gen 165, % 9 6 JS/Agent 135, % Trojan/Win32.agent 113, % 11 6 Adware/Win32.winagir 111, % 12 NEW Trojan/Win32.onlinegamehack 111, % 13 2 Malware/Win32.generic 110, % 14 1 Adware/Win32.korad 91, % 15 1 RIPPER 89, % 16 NEW Trojan/Win32.alyak 86, % 17 NEW Dropper/Win32.onlinegamehack 80, % 18 NEW Downloader/Win32.banload 68, % 19 NEW Win-Spyware/Pbbot , % 20 1 Als/Bursted 59, % TOTAL 3,848, % 표 년 12월악성코드최다 20건 ( 감염보고, 악성코드명기준 )

4 4 악성코드대표진단명감염보고최다 20 [ 표 1-2] 는악성코드별변종을종합한악성코드대표진단명중가장많이보고된 20건을추린것이다 년 12월에는 Trojan/Win32가총 156 만 2549건으로가장빈번히보고된것으로조사됐다. ASD.PREVENTION 이 77만 9165건, Malware/Win32가 77만 6471건으로그뒤를이었다. 순위 등락 악성코드명 건수 비율 1 Trojan/Win32 1,562, % 2 ASD 779, % 3 Malware/Win32 776, % 4 Win-Trojan/Agent 639, % 5 3 Win-Trojan/Onlinegamehack 534, % 6 1 Adware/Win32 327, % 7 1 Win-Trojan/Downloader 294, % 8 1 Downloader/Win32 232, % 9 1 Textimage/Autorun 226, % 10 2 Win-Trojan/Korad 221, % 11 Win-Adware/Korad 203, % 12 3 Win-Trojan/Urelas 180, % 13 NEW Win-Trojan/Onlinegamehack , % 14 NEW Dropper/Win32 149, % 15 4 JS/Agent 135, % 16 NEW Win-Dropper/Korad 131, % 17 1 Win32/Virut 131, % 18 4 Win32/Conficker 121, % Win-Trojan/Avkiller 104, % 20 3 Win32/Kido 91, % TOTAL 7,010, % 표 1-2 악성코드대표진단명최다 20건 12월최다신종악성코드 Win-Trojan/ Onlinegamehack BM [ 표 1-3] 은 11월에신규로접수된악성코드중감염보고가가장많았던 20건을꼽은것이다. 12월의신종악성코드는 Win- Trojan/Onlinegamehack BM이 21만 6167건으로전체의 29.2% 를차지했으며, Win-Spyware/ PbBot 가 6만 3899건이보고돼 8.6% 를차지했다. 순위 악성코드명 건수 비율 1 Win-Trojan/Onlinegamehack BM 216, % 2 Win-Spyware/PbBot , % 3 Win-Adware/KorAd C 41, % 4 Win-Trojan/Agent VM 31, % 5 Win-Trojan/Korad B 31, % 6 Win-Trojan/Agent ZK 30, % 7 Win-Trojan/Agent B 30, % 8 Win-Spyware/PdBot , % 9 Win-Trojan/Onlinegamehack , % 10 Win-Trojan/Korad B 27, % 11 Win-Trojan/Downloader MN 26, % 12 Win-Trojan/Strictor , % 13 Win-Adware/Korad , % 14 Win-Trojan/Navattle , % 15 Win-Trojan/Korad C 22, % 16 Dropper/Win32.OnlineGameHack , % 17 Dropper/Onlinegamehack , % 18 Win-Trojan/Startpage , % 19 Win-Adware/KorAd , % 20 Win-Adware/KorAd , % TOTAL 777, % 표 월신종악성코드최다 20건

5 5 12월악성코드유형트로이목마가최다 [ 그림 1-2] 는 2012년 12월 1개월간안랩고객으로부터감염이보고된악성코드의유형별비율을집계한결과다. 트로이목마 (Trojan) 가 43.2% 로가장높은비율을나타냈고, 스크립트 (Script) 가 8.8%, 웜 (Worm) 이 6.3% 로집계됐다. 그림 1-2 악성코드유형별비율 악성코드유형별감염보고전월비교 [ 그림 1-3] 은악성코드유형별감염비율을전월과비교한것이다. 트로이목마, 드롭퍼, 스파이웨어, 다운로더가전월에비해증가세를보였으며웜, 스크립트, 애드웨어는감소했다. 바이러스, 애프케어계열들은전월수준을유지했다. 그림 년 11 월 vs. 12 월악성코드유형별비율

6 6 신종악성코드유형별분포 12월의신종악성코드를유형별로살펴보면트로이목마가 70% 로가장많았고, 애드웨어와스파이웨어가각각 8%, 드롭퍼가 6% 로집계됐다. 그림 1-4 신종악성코드유형별분포

7 7 02 악성코드동향 악성코드이슈 온라인뱅킹트로이목마 Banki(1) Boland사에서개발한프로그래밍언어인 Delphi에는일부버전 (Delphi4 ~ 7) 에서사용하는 Sysconst 라이브러리가있다. Win32/Induc 바이러스는이라이브러리를감염시킨후컴파일과정에서생성되는 EXE, DLL 등에바이러스코드를삽입한다. Win32/Induc은 2009년 8월경에발견됐다. 그당시국내에서제작및배포되고있었던 Delphi 기반의프로그램들도해당바이러스에감염된사례가다수있었다. 그러나불행중다행은위에서언급한것처럼 Win32/Induc은 Delphi소스에자신의코드를삽입하는기능만있을뿐감염된소스가컴파일되어생성된 EXE, DLL을일반 PC에서실행해도아무런피해를주지않았다. 만약 Win32/Induc이 Win32/Virut와동일한기능 ( 파일감염, IRC채널접속, 보안사이트접속방해등 ) 을가지고있었다면다수의일반 PC들에서피해가발생했을것이다. * Win32/Induc 바이러스조치가이드 : 2. UCC동영상사이트 : cp.js파일에저장된코드는아래와같으며특정게임사이트에서또다른악성스크립트를다운로드하도록돼있다. 그림 1-6 악성스크립트를다운로드하는코드 adsi.html 역시동일한사이트에서 index.html파일을다운로드하며, 해당스크립트는아래그림처럼공다팩 (Gongda Pack) 으로난독화돼있다. 그림 1-7 Gongda Pack으로난독화된 index.html do?webasecissuevo.seq=57 하지만 2012년 12월말경, Delphi로제작된 Win32/Induc에감염된온라인뱅킹트로이목마가국내웹하드사이트해킹을통해유포된사례가발견됐다. 1. 웹하드사이트 : action2.js파일의내부에는아래와같이자바스크립트코드가삽입돼있었고국내 UCC 동영상관련사이트로부터 cp.js파일을다운로드하도록돼있었다. 3. UCC동영상사이트 : 위 [ 그림 1-7] 에서처럼 index.html은 Gongda Pack 툴킷으로난독화되어있다. 국내의해킹된사이트를통해서유포된악성스크립트의대부분이해당툴킷을통해서난독화돼있다. ( 아래는 index.html이 Gongda Pack으로난독화돼있음을알수있는부분이다.) 그림 1-8 Gongda Pack 난독화표기 그림 1-5 cp.js 파일을다운로드하는 action2.js 코드 난독화된 index.html파일을풀어보면아래처럼우리가흔히사용하는 Java와 Internet Explorer에존재하는취약점을이용해실행파일을다운로드함을알수있다.

8 8 이를근거로판단해볼때악성코드제작자는악성코드제작시인터넷에공개된 Win32/Induc가포함된 Delphi소스를사용한것으로추정된다. <V3 제품군의진단명 > Win-Trojan/Prosti ( ) Trojan/Win32.Banki ( ) 온라인뱅킹트로이목마 Banki(2) 그림 1-9 난독화해제된 index.html [ 그림 1-9] 와같이 qq.exe를다운로드및실행하기위해서사용한취약점은아래 JAVA 5개, Internet Explorer 1개등총 6개를사용한다. - Java : CVE , CVE , CVE , CVE , CVE IE : CVE 위취약점이존재할경우, 다운로드되는 qq.exe의내부코드를살펴보면 Delphi로제작됐으며, 아래그림처럼 Win32/Induc 바이러스코드가존재함을확인할수있다. 국내인터넷뱅킹사용자를타깃으로한악성코드 (Banki) 에서는특정시스템날짜가되면윈도우시스템파일을삭제하는기능이추가로발견됐다. 과거에발견된 Banki 정보는아래의주소에서확인이가능하다. - 이번에발견된 Banki 변종은 Induc 바이러스에감염된악성코드로, 를통해유포되는것으로확인됐다. ( 유포과정은온라인뱅킹트로이목마 Banki(1) 참조.) 위파일이실행돼악성코드에감염될경우아래의경로에파일이생성된다. - C:\Windows\system32\muis\tempblogs.\tempblogs..\ 1216, Winlogones.exe, csrsses.exe SOFTWARE\Borland\Delphi\RTL Software\Borland\Locales Software\Borland\Delphi\Locales 그림 1-12 악성코드에감염돼생성된파일 감염된뒤에는아래 [ 그림 1-13] 과같이레지스트리에서비스로등록되어, 부팅시실행된다. 그림 1-10 Win32/Induc 바이러스코드가포함된 qq.exe qq.exe에의해서다운로드되는 2.mp3파일도마찬가지로 [ 그림 1-11] 과같이 Win32/Induc 바이러스가존재한다. 그림 1-11 qq.exe 에의해서다운로드되는 2.mp3 그림 1-13 서비스등록

9 9 실행된환경에따라다르게나타날수있지만, 악성프로세스 winlogones.exe 는정상프로세스인 winlogon.exe 에자신을인젝션하여프로세스목록에 winlogones.exe 가보이지않게한다. 동시에또다른악성프로세스인 csrsses.exe 도계산기프로세스이름인 calc.exe 에자신을인젝션하여실행한다. 그림 1-17 시스템파괴후재부팅시화면 <V3 제품군의진단명 > Trojan/Win32.Banki ( ) 그림 1-14 정상적인프로세스만동작하는것으로위장 다운로드주소 표 1-4 다운로드파일 생성된파일명 ChilkatCert.dll qserver.exe iexplores.exe termsrv.dll count.txt 패스워드를노리는악성코드조직내에서도큐사인서비스를이용중이라면각별한주의가필요할것으로보인다. 글로벌전자서명표준업체로알려진도큐사인으로위장한메일을통해악성코드가유포되고있기때문이다. 확인된메일은도큐사인을통해전자서명된문서인것처럼속이고일본특정기업과학교직원을대상으로발송됐다. 다운로드받은파일은아래의경로에생성된다. - C:\Windows\system32\muis\tempblogs.\tempblogs..\ 이번변종의가장큰특징은특정날짜 (2013년 1월 16일 ) 가되면시스템파괴기능이동작하도록제작돼있다는점이다. 해당날짜가되면아래와같은배치파일을 c:\ 에생성하며실행된다. 그림 1-18 도큐사인으로위장한메일원본 그림 1-15 system32 폴더에복사된악성코드 첨부된파일의압축을해제하면 알려진파일형식의파일확장명숨기기 옵션에따라아래 [ 그림 1-19] 와같이 PDF 파일로보이지만, 해당파일은확장자가 EXE인실행파일 (Employment 2013.pdf.exe) 이다. 배치파일에의해 ALG(Application Layer Gate) 서비스를중지하고 hal. dll 파일과 System32 내의파일을삭제하게되는것이다. 배치파일이실행되면아래와같은메시지가나타난다. 그림 1-19 압축해제된파일 그림 1-16 시스템파괴기능동작 만약시스템을재부팅하면아래와같은메시지가나타나며, 정상적인부팅이불가능하다. Employment 2013.pdf.exe 파일을실행하면아래 URL에접속을시도한다. - hxxp://89.***.**.40:8080/ponyb/gate.php - hxxp://6.loveis**the***.com/ponyb/gate.php - hxxp://4.pro******.com/ponyb/gate.php - hxxp://4.pro****vst.com/ponyb/gate.php - hxxp://wolfgang.br****.de/dfj.exe

10 10 - hxxp://kredi*****emitkredit******.de/7mt.exe - hxxp://1s*****.com/wtq.exe 분석당시위 URL 중에서 hxxp://1s*****.com/wtq.exe URL만접속이가능하고나머지 URL은 403, 404 에러가발생해접속이되지않았다. 다운로드받은 WtQ.exe 파일은 %TEMP% 폴더에자기복제본을 exe ( 랜덤숫자 ) 파일로생성하고실행된다 exe 파일은자기복제본을랜덤한파일이름으로생성하고레지스트리값에등록하여부팅시자동실행이되도록한다. 단해당파일은 Anti_VM 기능이있어 VMWARE 환경에서는정상적으로동작하지않는다. [ 파일생성 ] %ALLUSERSPROFILE%\Application Data\E046B129AF1F64AA00 00E045D0E96A36\E046B129AF1F64AA0000E045D0E96A36.exe [ 레지스트리등록 ] [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce] "E046B129AF1F64AA0000E045D0E96A36"="C:\Documents and Settings\\All Users\Application Data\E046B129AF1F64AA0000E 045D0E96A36\E046B129AF1F64AA0000E045D0E96A36.exe" <V3 제품군의진단명 > Win-Trojan/Fareit B ( ) Trojan/Win32.Tepfer ( ) 악성코드의 3단콤보공격국내사이트가해킹돼악성코드가유포되는경우는흔히발생한다. 하지만이번처럼악성코드가복잡다단한구조로유포되는경우는흔치않다. 이번에발견된사례는과거와비교했을때아래와같은특징을가지고있다. - [1] 다단계유포방식 - [2] 악성코드의콤보공격 [1] 다단계유포방식일반적으로해킹된웹사이트를통해악성코드가유포될때에는 [ 웹사이트해킹 1~2개의경유지 ( 악성스크립트포함 ) 악성코드유포지 ] 등의구성을보이지만, 이번에발견된경우는 [ 그림 1-21] 처럼유포단계에서여러사이트를거치게돼있었다. E046B129AF1F64AA0000E045D0E96A36.exe 파일은 [ 그림 1-20] 과같이시스템사용을제한하고악성코드치료를위해사용자결제를유도하는허위백신이다. 그림 1-21 악성코드유포구조 [2] 악성코드의 3단콤보공격위 [ 그림 1-21] 과같이만약 PC가악성코드에감염되면 tsf.css, eexplorel.exe가실행되며해당파일들로인해서추가로다수의파일이생성되고외부로부터다른악성코드를다운로드한다. 그림 1-20 System Progressive Protection 허위백신 Employment 2013.pdf.exe 파일은아래와같은정보를수집한다. - 윈도우 Protected Storage cache에저장된패스워드정보 - 이메일클라이언트프로그램의메일서버정보 (POP3 및 IMAP 서버정보, 사용자계정, 패스워드 ) - FTP 클라이언트프로그램레지스트리값에저장된 FTP 정보 ( 호스트, 사용자계정, 패스워드 ) (1) tsf.css tsf.css는 Dropper로, 다수의악성파일을생성하며주요기능은아래와같다. A. 특정윈도우시스템파일 (wshtcpip.dll) 을악성 DLL로교체 B. 백신무력화기능 C. 온라인게임사용자의계정정보탈취 ( 유명온라인게임다수 ) (2) eexplorel.exe

11 11 A. DLL생성 : %windir%\xinstall dll %programfiles%\xrrx\bmmoegeqq.dll B. 서비스로실행 : Oopvnv Xkwmmvangt Fed C. 키보드입력데이터키로깅 : xhjmjj.dat D. RASPHONE.PBK에서 DialParamsUID, PhoneNumber, Device 정보추출 E. 감염된 PC의파일목록추출 F. C&C서버접속시도 : asd.jin*****yu.com(110.***.235.***, 4346) <V3 제품군의진단명 > Trojan/Win32.Xema ( ) Trojan/Win32.OnlineGameHack ( ) Trojan/Win32.Agent ( ) 온라인게임핵변종악성코드온라인게임핵악성코드의변종버전이유포되고있어사용자들의주의가요구된다. 이미여러차례발생해많은감염피해를일으킨온라인게임핵악성코드는현재까지도그수가줄지않고있다. 이는국내게임산업의발전으로게임관련거래가활성화돼있는데기인하는것으로풀이된다. 악성코드유포자들이많은수익을올릴수있는적절한환경이유지되고있다는얘기다. 먼저윈도우 XP 시스템에서감염되던게임핵악성코드가윈도우 Vista, 7 버전도감염시킨예는올해초발행된 ASEC 블로그에서확인할수있다. - 이후한동안 Windows Vista, 7 시스템의감염형태는동일하게지속됐다. 그러나최근감염형태가변경된것이확인됐다. 해당게임핵악성코드의 Dropper를통해확인한결과, 윈도우 XP시스템에서는기존과같이윈도우시스템파일인 ws2help.dll을동일하게변경했다. - C:\WINDOWS\system32\drivers\etc\hosts - C:\DOCUME~1\{ 사용자계정 }\LOCALS~1\Temp\ ruyuhe851.exe - C:\WINDOWS\system32\drivers\kfuck3.sys - C:\WINDOWS\system32\ws2helpXP.dll - C:\WINDOWS\system32\ws2help.dll.MX2.tmp - C:\WINDOWS\IRIMGV3.bmp - C:\WINDOWS\system32\ws2help.dll - C:\WINDOWS\system32\drivers\etc\hosts - C:\Windows\system32\drivers\etc\hosts - C:\Users\{ 사용자계정 }\AppData\Local\Temp\ ruyuhe851.exe - C:\Users\{ 사용자계정 }\AppData\Local\Temp\ txt - C:\Users\{ 사용자계정 }\AppData\Local\Temp\ bat 아래의두파일은윈도우OS 버전에따라다른형태로감염되지만, 파일자체는동일하다. - C:\WINDOWS\system32\ws2help.dll (Windows XP, 교체된악성파일 ) - C:\Users\{ 사용자계정 }\AppData\Local\Temp\ txt (Windows 7) 윈도우 Vista 이상의시스템에서는 XP와같이윈도우시스템파일을교체하거나변경하지않고 dll 파일을생성하여로드하는형태가그대로유지됐다. 다만악성코드의탐지를우회하기위해일부파일생성경로와파일명이변경됐다. - 기존 : C:\Windows\System32\himym.dll - 최근 : C:\Users\{ 사용자계정 }\AppData\Local\Temp\{ 임의의숫자 }.txt 또한시스템이다시시작할때자동실행하도록아래와같이레지스트리에등록한다. - HKCU\Software\Microsoft\Windows\CurrentVersion\ Run\Configuring "rundll32.exe C:\Users\kimgooon\AppData\ Local\Temp\ txt,M" 앞서동일하게생성된 hosts 파일의경우, V3 제품의일부진단을우회하기위해특정도메인에대한 hosts 정보를변경한다. 그림 1-22 변경된 hosts 파일의내용국내백신제품의동작을방해하는기능을수행하기도한다. 그러나윈도우 7 시스템이감염되면아래와같은감염형태가확인된다. 그림 1-23 백신동작을방해하기위한리스트

12 12 해당악성코드에감염돼 V3 제품이정상적으로동작하지않거나업데이트가되지않을경우아래의링크에서전용백신을다운로드해조치할수있다. - do?seq=105 전용백신으로조치한이후에는반드시시스템을재부팅해야하며, V3 최신엔진업데이트를통한진단및치료가필요하다. <V3 제품군의진단명 > Trojan/Win32.OnlineGameHack ( ) Win-Trojan/Onlinegamehack BM ( ) 따라서 SQL 데이터베이스를사용하고있는기업들은해당악성코드에감염되면데이터베이스를복구하기위해대규모의작업을중단하거나재정적손실을입을수있으므로각별히주의해야한다. <V3 제품군의진단명 > Trojan/Win32.Scar ( ) 특정후보의정책관련한글문서위장악성코드사회적인이슈를소재로한문서파일을가장한악성코드는꾸준히발견되고있다. 2012년우리나라의가장큰관심사는 18대대선이었다. 이러한사회적관심과맞물려특정대선후보의이름을거론한한글문서위장악성코드가확인됐다. 얼핏보면한글문서의아이콘을가지고있지만실제한글문서파일의아이콘과는선명도등에서차이가있으며, exe확장자인실행파일이다. 등을수행할것으로추정된다. 그림 1-25 한글문서를위장한악성코드의실행화면 해당파일을열면아래와같이정상문서실행과동시에악성코드도생성되어실행된다. [ 생성되는파일 ] - %Temp%\1.hwp - %Temp%hccutils.dll - %Temp%hccutils.dll.res - %Temp%hkcmd.exe 생성된 hkcmd.exe 파일은시스템시작시자동으로실행되도록서비스에등록된다. 해당악성파일은또 svchost서비스에로드되어특정 IP에접속을시도하는것으로확인됐다. [Network Monitor Information] svchost.exe TCP CONNECT => 1**.**.**.13:80 <V3 제품군의진단명 > Win-Trojan/Agent (V3, ) 부킹닷컴을사칭한악성코드 전세계 25만 8520개의숙박업체에대한예약서비스를제공하는 Booking.com( 부킹닷컴 ) 을사칭한메일을통해악성코드가유포되고있어주의가필요하다. 그림 1-24 특정후보의이름이거론된한글문서를위장한악성코드 ( 위 ), 정상한글문서 ( 아래 ) 해당한글문서위장실행파일을실행하면아래와같이파일제목과관련된정상문서가출력되기때문에사용자들은감염사실을인지하기어렵다. 그림 1-26 부킹닷컴을사칭한악성코드첨부메일원본

13 13 해당악성코드는메일을통해유포된다. 악성메일의위협은앞서 WIL Vol. 12에서도한차례다룬바있다. 2012년 10월에는시스코사의위협발생경보를통해서도아래와같이허위호텔예약확인메일이공개된바있다. svchost.exe 파일이실행되면아래 [ 그림 1-28] 과같이 TCP 8000 포트를오픈해대기상태인것을확인할수있다. 그림 1-28 svchost.exe 의네트워크연결정보 <V3 제품군의진단명 > Win-Trojan/Jorik F ( ) 과다트래픽을발생시키는악성코드네트워크에과다한트래픽을유발하는악성코드가발견됐다. 해당악성코드에감염되면네트워크트래픽이폭발적으로증가하고감염된 PC의속도가눈에띄게느려지며인터넷이작동하지않는증상이발생할수있다. 특히사무실과같이 LAN으로구성된환경에서네트워크트래픽이과도하게발생하면, 네트워크에연결된모든 PC들의네트워크가마비되는증상이발생하기도한다. 그림 1-27 Cisco - Threat Outbreak Alerts: Fake Hotel Reservation Confirmation Messages 해당악성코드는사회공학적기법을이용해휴가시즌에주로메일을통해유포되는것으로보인다. 또예약내용을확인하기위해메일에첨부한파일을실행하도록유도하고있다. 메일에첨부된압축파일을해제하면 Booking Summary Details. pdf.exe 라는이름의파일이나온다. 이파일을실행하면아래와같이 svchost.exe라는이름의복제본을생성하고, 레지스트리값에등록해부팅시마다자동실행되도록한다. [ 파일생성 ] %ALLUSERSPROFILE%\svchost.exe [ 레지스트리등록 ] [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="%ALLUSERSPROFILE%\svchost.exe" 해당악성코드에감염되면다음경로에자신을스스로복사하고, 시작프로그램과 WinLogon 프로세스에등록해부팅시에도자동으로실행되도록한다. 특히 Windows의시스템파일보호기능을무력화하는기능도포함돼있다. [ 파일복사경로 ] C:\Documents and Settings\ 사용자계정 \Application Data\ update.exe C:\Windows\Temp\service616f31.exe 그림 1-29 service616f31.exe 이름으로실행중인악성코드그림 1-30 시작프로그램에등록된악성코드해당악성코드는보안제품의탐지를피하기위해 Themida라는패킹툴로패킹돼있다. 또한가상환경에서는실행하지않도록돼있다. 악성코드감염대상에서가상환경의 PC를제외하기위한것이거나, 보

14 14 안제품에반영하기위한테스트를방해하기위한것으로추정된다. 상품권번호탈취하는온라인게임핵악성코드 주말마다온라인게임핵류의악성코드가기승을부리는가운데, 최근게임계정정보외에도상품권번호가유출돼실제피해를입은사례가발견됐다. 이에사용자들의각별한주의가요구된다. 해당악성코드의 Dropper 실행시파일생성정보와네트워크정보는아래와같다. 네트워크연결로그를보면 PC의 MAC, OS, 사용하는 AV 정보들을전송하는것을확인할수있다. 그림 1-31 가상환경에서실행불가메시지출력 또한해당악성코드에감염되면 C&C 서버로보이는특정 IP로접속한다음, 공격대상 IP를향해과다한패킷을발송하여트래픽을발생시킨다. [C&C 서버로추정되는 IP] - 17*.2**.1**.**9:5882 그림 1-32 File Monitor Information 디도스 (DDoS 분산서비스공격거부 ) 공격을목적으로제작된것으로보이며, UDP Flooding, IP Fragment Flooding, TCP SYN Flooding, ICMP Flooding 등대부분의 Flooding 기법을사용하는것이특징이다. 해당악성코드는 DDoS 악성코드제작툴에의해만들어진것으로보인다. DDoS 악성코드제작툴은다양한 DDoS 공격기법을지원하고, 악성코드파일을 Themida로패킹하거나, 가상환경에서실행되지않도록방해하는기능을지원한다. 또한생성되는파일의이름을지정할수있는데초기값으로설정된파일이름이 update.exe로되어있는경우가많다. 악성코드는아래 URL에서배포된것으로확인되지만, 현재는접속되지않는다. 그림 1-33 Network Monitor Information 감염된상태에서북앤라이프닷컴 (booknlife.com) 사이트를테스트해보았다. [ 배포 URL] - 이러한악성코드에감염되면악성코드제작자가특정사이트에 DDoS 공격을할때사용하는좀비PC가될수있다. 이를사전에예방하기위한방법은다음과같다. 첫째 Windows 운영체제의최신서비스팩과보안업데이트를설치한다. 둘째 Internet Explorer, Flash Player, Acrobat Reader, Java 등의프로그램들을꾸준히업데이트해최신버전을유지한다. 그림 1-34 북앤라이프닷컴로그인화면 [ 그림 1-34] 은북앤라이프닷컴사이트의로그인화면이다. 로그인을하게되면아래와같은패킷이확인된다. 셋째 V3 를최신엔진으로업데이트하고, 실시간감시를사용한다. 넷째정기적인정밀검사를통해 PC 에감염된악성코드가있는지확인하는습 관을가진다. <V3 제품군의진단명 > Win-Trojan/Jorik B ( ) 그림 1-35 로그인시, 패킷덤프

15 15 [ 그림1-35] 는패킷을캡쳐한화면으로 GET 방식으로 2xx.2xx.xxx.xxx IP로 ID와 Password 가전송되는것을확인할수있다. <V3 제품군의진단명 > Win-Trojan/Onlinegamehack B ( ) Trojan/Win32.OnlineGameHack ( ) 광명성 3 호발사성공 PC 위험경보 그림 1-36 북앤라이프닷컴상품권입력화면 그림 1-37 상품권번호입력시, 패킷덤프 사회적이슈를악용해악성코드를유포하는형태는악성코드제작자들이즐겨쓰는방법중에하나다. 이번에발견된악성코드역시이러한사회공학적기법을이용해악성코드를유포했다. 우리가흔히사용하는문서파일 ( 워드, 엑셀, 파워포인트등 ) 에악의적인매크로 (macro) 코드를삽입해특정기능을수행하도록제작된매크로바이러스의일종이었다. 발견된악성코드는 북한의로켓 ( 광명성 3호 ) 발사 를테마로제작된파워포인트문서로위장한형태다. 해당악성코드에감염되면시스템변경, 사용자정보유출등의악의적인기능을수행할수있으므로사용자의각별한주의가요구된다. 로그인후상품권번호를입력을하면로그인계정과마찬가지로상품권정보를탈취하는패킷을확인할수있다. 이역시같은 IP로상품권정보를전송한다. 또한테스트로살펴본북앤라이프닷컴외에도악성코드가생성한모듈이메모리에로드되어있을때아래의사이트 String 정보들도확인됐다. 해당 String 으로보아기존에있었던게임사이트계정뿐만아니라해피머니, 컬쳐랜드등의다른상품권사이트들의정보도탈취한다는것을확인할수있다. 그림 1-39 북한로켓발사관련문서로위장한악성파일 해당응용프로그램을실행하면버전이나보안옵션에따른허용여부를확인하는알림창이 [ 그림 1-40] 과같이발생한다. 이과정에서사용자가매크로기능을허용해실행할경우악성코드에감염된다. 그림 1-38 피해대상이되는추가적인사이트들 실제로유출사례가발견됐다. 꾸준하게문제가되고있는악성코드인만큼사용자들의각별한주의가요구된다. 그림 1-40 보안경고알림창

16 16 삽입된매크로코드는아래와같으며, 프레젠테이션에삽입된악의적인코드에의해 VBA[ 변수 ].exe 라는파일명의악성코드가시스템에생성된다. [ 등록된레지스트리 ] - HKCR\Applications\POWERPNT.EXE\shell\New\command Key: 0xE22352D8 - HKCR\Applications\POWERPNT.EXE\shell\New\command\(Default) "C:\Program Files\Microsoft Office\Office12\POWERPNT.EXE" /n "%1" - HKCR\Applications\POWERPNT.EXE\shell\New\command\command "vupav5!!!!!!!!!mkkskpptfiles>tw{~$4q]c@y*gx7xato5 /n "%1" - HKCR\Applications\POWERPNT.EXE\shell\Open\command Key: 0xE22352D8 - HKCR\Applications\POWERPNT.EXE\shell\Open\command\(Default) "C:\Program Files\Microsoft Office\Office12\POWERPNT.EXE" /s "%1" - HKCR\Applications\POWERPNT.EXE\shell\Op en\c ommand\c ommand "vupav5!!!!!!!!!mkkskpptfiles>tw{~$4q]c@y*gx7xato5 /s "%1" - HKCR\Applications\POWERPNT.EXE\shell\Print\command Key: 0xE22352D8 - HKCR\Applications\POWERPNT.EXE\shell\Print\command\(Default) "C:\Program Files\Microsoft Office\Office12\POWERPNT.EXE" /p "%1" 그림 1-41 삽입된악성매크로코드 [ 생성된파일정보 ] - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\VBA1.exe - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Adupdate. exe 생성된 PE 파일 (Adupdate.exe) 은미국의특정서버로접속해이미지파일을다운로드한다. 그뒤추가적인기능수행을수행하는한편, 윈도우부팅시자동으로시작되도록레지스트리에자신을등록한다. [ 서버연결 ] - Adupdate.exe TCP CONNECT => xx.x.xx.xx:80 - Adupdate.exe HTTP CONNECT => xxx.x.xx.xx:80 xxxxxxxxxxxxx.com/wp-content/uploads/2010/05/layer_41.jpg - HKCR\Applications\POWERPNT.EXE\shell\Print\command\command "vupav5!!!!!!!!!mkkskpptfiles>tw{~$4q]c@y*gx7xato5 /p "%1"" - HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Adupdate "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Adupdate.exe" 북한의로켓발사관련이슈외에도각종사회적이슈를이용해악성코드가유포되는형태가꾸준히발견되고있어사용자들이각별한주의가필요하다. 사회공학기법을이용한악성코드의유포는다음과같은사항에주의하도록한다. 1. 출처가불분명하거나의심이가는제목일때는메일을열지않는다. 또는발신자와제목을비교해정상메일이아닐확률이높으면삭제한다. 2. 사용중인보안프로그램은최신버전으로업데이트하고실시간감시기능을사용한다. 3. 메일에첨부된파일은바로실행하지않고, 저장한다음보안프로그램으로검사한후실행한다. 4. 본문에서의심이가거나확인되지않은링크는클릭하지않는다. 5. 포털사이트메일계정을이용할경우스팸메일차단기능을적극활용한다. 그림 1-42 서버연결 <V3 제품군의진단명 > VBS/Agent ( ) Win-Trojan/Downloader U ( ) Dropper/Win32.Agent ( ) Xerox WorkCentre 를사칭한악성메일 그림 1-43 다운로드된이미지파일 Xerox WorkCentre를사칭한악성메일이인터넷을통해확산되고있다. 이메일의제목은 Scanned Image from a Xerox WorkCentre 로악성첨부파일을포함하고있다. 이전에발견된 Xerox WorkCentre 사칭메일과비교해보면, 본문내용과제목이조금씩변경됐으나형태는거의동일하다.

17 17 Facebook 을사칭한악성 주의 소셜네트워크서비스 (SNS) 가확산되면서, 유명소셜네트워크플랫폼인 Facebook을사칭해악성프로그램을유포하는행위가끊이지않고있다. 최근발견된사례역시예전과마찬가지로아래와같이 Facebook의알림메일을사칭해악성코드를실행시키도록유도하는형태를띄고있다. 그림 1-44 Xerox 를사칭한스팸메일 그림 1-45 스팸메일발신자 첨부된파일이실행되면또다른특정 IP로접속을시도하며레지스트리 Run키에새로생성된파일을등록시켜 Windows를부팅할때자동으로시작되도록한다. 그림 1-48 Facebook 사칭악성 (1) - HKCU\Software\Microsoft\Windows\CurrentVersion\ Run\{4C07DB3F-FE50-AD7D-9383-D25FA52EF14D} ""C:\Documents and Settings\Administrator\Application Data\ Nyulyq\dyoxc.exe"" 파일다운로드시도후미국 Kansas에위치한시스템으로접속을시도하며, 해당시스템에연결하기위해지속적으로 SYN 패킷을발송한다. 그림 1-46 연결접속시도 그림 1-49 Facebook 사칭악성 (2) 위 [ 그림 1-48] 과같이악성스팸메일은발신자가 Facebook 으로돼있으며 새로운사진이앨범에등록되었으니확인하려면첨부된파일을확인하라 는내용이적혀있어첨부파일을열도록유도한다. 첨부된 zip파일을풀면아래와같이 NewPhoto-in_albumPhto_. jpeg.exe 파일이나온다. 해당파일은그림파일이아닌실행파일구조로돼있다. 그림 1-47 접속시도하는 IP 의위치 <V3 제품군의진단명 > Win-Trojan/Fareit C (V3, ) 그림 1-50 실행파일인첨부된 zip 파일

18 18 해당파일은실행시, 자기복제본을 C:\Documents and Settings\All Users\svchost.exe 로복사하고레지스트리에아래와같이등록해부팅시에자동으로실행되도록한다. - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\SunJavaUpdateSched "C:\Documents and Settings\All Users\svchost.exe" 피싱차단등의내용이었으나, 최근에는유명프렌차이즈의무료쿠폰을가장하는것으로확인되었다. 1. 국내소액결제방식의취약점체스트가노린소액결제는많은온라인결제사이트에서지원하고있다. 소액결제는두가지인증을거친다. 먼저스마트폰가입자의주민번호, 통신사정보, 전화번호를이용해 1 차사용자인증을한다. 두번째인증은소액결제를신청한스마트폰으로발송된인증문자다. 이인증문자를결제창에입력하면결제가완료된다. 기존피처폰에서는문제가없던이러한소액결제방식은스마트폰을사용하는경우문제가될수있다. 스마트폰사용자는임의의앱을스마트폰에설치할수있으며설치된앱이 SMS의내용에접근할수있는취약점이발생하기때문이다. 그림 1-51 레지스트리에등록된복제본 2. 체스트동작개요 <V3 제품군의진단명 > Trojan/Win32.Foreign 03 악성코드동향 모바일악성코드이슈 국내스마트폰사용자를노린 Win-Android/Chest 악성코드 Win-Android/Chest( 이하체스트 ) 는국내스마트폰사용자를대상으로배포된최초의안드로이드용악성코드다. 체스트는 2012년 10월처음발견된이후지속적으로변형이보고되고있으며, 피해신고도증가하고있다. 체스트는과거에발생한다양한해킹사고로유출된개인정보를이용해공격대상을정한다는점에서불특정다수를대상으로배포되던기존악성코드와는다른형태다. 체스트제작자는과거유출된개인정보중주민번호와전화번호의조합을이용해공격대상을정하고사용자를현혹할수있는내용의 SMS 를발송한다. 초기보고된악성 SMS의내용은과다청구요금조회나 그림 1-52 체스트동작개요 순서 동작설명 전달정보 공격자는사전에입수한개인정보목록에있는공 1 격대상에게 Chest설치를유도하는 SMS를발송한 다 일부사용자는 SMS에링크형식으로포함된악성코드를설치한다. 스마트폰이감염되면전화번호와통신사정보를공전화번호, 통신사정보격자에게전달하고좀비스마트폰상태가된다. 공격자는확보한개인정보중주민번호와감염된스마트폰사용자의전화번호를이용해결제사이트전화번화, 통신사정보, 주민번호에입력한다. 소액결제사이트는인증번호를감염된스마트폰으소액결제에필요한인증번호로전달한다. 감염된스마트폰은 SMS가수신되면결제사이트의발신번호인경우사용자에게 SMS를보여주지않소액결제에필요한인증번호고공격자에게다시전달한다. 7 공격자는전달받은인증번호를입력한다. 소액결제에필요한인증번호 8 소액결제가가능한사이트에서정상적인결제절차를완료하고공격자는현금화가가능한물품구매를완료한다. 표 1-5 체스트동작개요순서

19 19 3. 배포방법체스트는사용자의악성앱설치를유도하는내용과앱설치링크가포함된형태의 SMS로배포됐다. 초기에는방통위스팸필터설치, 이동통신과다청구금조회등으로이후에는무료쿠폰등의형식으로배포되고있다. [ 표 1-6] 은체스트악성코드를설치하는것으로보고된 SMS의내용이다. 순서문자내용고객님! 요금과다청구환급금조회 1 고객님! 요금과다청구환급금조회 2 *** 고객님이번달사용내역입니다. 3 클릭 [caffexxxx]xxxx어플설치하고 X-mas 무료커피받자 4 (2013년 XXX피자첫행사 ) 2만원할인쿠폰-무료발송-어플 5 [XXXX] 한우연인팩셋트교환권1매도착!( 전지점이용가 ) 6 XX바게뜨어플이벤트 XX바게뜨어플을다운받으시고 7 케익제품교환쿠폰받으세요. (2013년 XXX치킨첫행사 )-만원할인쿠폰-어플다운받으시고경품도받아가세요 월XXX빈스 31기프트콘무료-발송행운의2만원건-어플 9 표 1-6 체스트악성코드를설치하는주요 SMS 내용유형 SMS 메시지의내용은시기적특징을반영해다양한내용으로변경될수있다. [ 그림 1-53] 은현재까지확인된체스트가포함하고있는리소스파일이다. 현재까지활용된아이콘이외에도많은프렌차이즈의아이콘을포함하는것으로볼때제작자는또다른변형제작을염두하고있는것으로보인다. 피해사실을알게되는시점은피해가발생한시점을한참지나고난후다. 체스트제작자는소액결제를통해구매한아이템등의물품을현금화할수있는충분한시간을확보할수있는것이다. 체스트의내부 API 흐름은중국에서제작된악성코드와유사하다. 또체스트는 PC에서동작하는온라인게임핵 (Online GameHack) 과동일한방법으로아이템을통해금전적이득을취한다. 국내에배포되는온라인게임핵은중국에서제작되는것으로보이는데다, 체스트의공격에활용되는개인정보를중국에서어렵지않게구할수있다는점에서체스트의제작지는중국으로판단된다. PUP 앱의폭발적인증가 PUP는사용자에게불편을유발할수있는유형을진단하는카테고리다. 스마트폰사용이사람들의인터넷사용패턴이변하면서광고도모바일시장을주목하게됐다. 무료로앱을제작해배포하는개발자들에게도수익은필요하다. 개발자들은제작한앱에쉽게광고를등록할수있는 SDK를이용해수익을얻고있다. 이런 SDK의대부분은탑재된앱이실행될경우에만광고를노출한다. 그러나일부 SDK의경우광고를탑재한앱이실행되지않았음에도백그라운드서비스로동작하면서푸시광고를노출한다. 또브라우저의시작페이지를고정하거나바로가기를생성하기도한다. 스마트폰사용자는이러한방식으로노출되는광고물을접한다해도그광고가어떤앱에의해동작하는지는확인이어렵다. 이떄문에이런앱은삭제가쉽지않다. 또이같은유형의광고 SDK를내장한앱을 V3는 PUP 카테고리로진단하고있다. 대표적인광고 SDK는 Airpush, Leadbolt, Plankton등이다. Android-PUP/ Plankton Plankton은웹에서명령을받아광고를노출한다. 프로그램이실행되면 SDK 버전에따라 IMEI나 Device ID값을이용해설치를식별하기위한유니크한값과, SDK를이용하는프로그램에대한정보, 브랜드, 제조사, 제품모델, Android OS Version, Display metrics( 스크린크기 ), 언어설정, Browser 정보를수집해 ProtocolGW/protocol/commands로전송한다. 그림 1-54 정보를유출하는코드의일부 그림 1-53 체스트가포함하고있는리소스파일 체스트는 2012년 10월말처음발견된후 11월말에다른변종이확인됐다. 전화요금고지서가 1개월단위로제작되기때문에피해자가 서버로정보를전송한후서버의명령을받아관련된동작을수행한다.

20 20 그림 1-55 서버명령관련코드의일부 광고 SDK에의해수행할수있는명령은다음과같다. - Activation - 사용자동의창을실행시키는웹페이지를노출 - Homepage - 사용자홈페이지설정 - Bookmarks - 북마크를설정하거나외부로북마크정보를전송 - Shortcut - 바로가기를생성 - Notification - Notification 광고요청또는광고노출생성되는바로가기나홈페이지는 search?sourceid=1&app= 로연결되어불특정빈도로광고를노출한다. 그림 1-56 유출되는정보의일부 위의명령외 SDK 버전에따라다양한명령이존재한다. 해당 SDK의내용은앱에따라선택적으로구현할수있을것으로판단된다.

21 SECURITY TREND 보안동향 보안통계 12 월마이크로소프트보안업데이트현황 년 12 월마이크로소프트사에서발표한보안업데이트는총 7 건 으로긴급 5 건, 중요 1 건이다 긴급 MS Internet Explorer 누적보안업데이트 ( ) MS Windows 커널모드드라이버의취약점으로인한원격코드실행문제점 ( ) MS Microsoft Word의취약점으로인한원격코드실행문제점 ( ) MS Microsoft Exchange Server의취약점으로인한원격코드실행문제점 ( ) MS Windows 파일처리구성요소의취약점으로인한원격코드실행문제점 ( ) 중요 MS DirectPlay의취약점으로인한원격코드실행문제점 ( ) MS IP-HTTPS 구성요소의취약점으로인한보안기능우회 ( ) 표 년 12 월주요 MS 보안업데이트 그림 2-1 공격대상기준별 MS 보안업데이트 ( )

22 SECURITY TREND 보안동향 보안이슈 Stuxnet 기술을이용하는 MySQL 취약점이달초에는대표적인취약점 Exploit 데이터베이스인 exploit-db.com 사이트를통해다수의 MySQL 취약점에관한정보가발표됐다. 특히이중 MySQL Windows Remote System Level Exploit (Stuxnet technique) 0day 는 Stuxnet technique 이라는문구로사람들의관심을끌었다. 해당공격방식은 MySQL 서버에원격으로접근이가능하고 file access 권한을가진사용자계정을통해악성코드를 DB테이블안에데이터로생성한후, 백업용으로많이사용하는 DUMPFILE 기능을이용해원격지시스템에드롭 (Drop) 하는방식을사용한다. 악성코드파일을드롭 (Drop) 하더라도바로실행할수는없기때문에 MS에서제공하는관리 (Management) 정보에접근할수있는 WMI(Windows management Instrumentation) 기술을이용한다. 이때생성하는 MOF 파일 (nullevt.mof) 은다음과같은위치에파일이생성되면자동으로컴파일되어리포지토리 (repository) 에등록되고그안에작성된공격자의코드를실행한다. * 디폴트 MOF Self-Install 디렉토리정보 : %SystemRoot%\System32\wbem\ HKLM\Software\Microsoft\WBEM\MOF 실제전체적인취약점공격은다음과같이이루어진다. 그림 2-3 공격에이용되는 MOF 파일형태과거스턱스넷 (Stuxnet) 의경우, 웜의전파를목적으로프린트스풀러취약점 (MS10-061, CVE ) 을이용해주변의다른시스템들을공략했다. 이과정에서위와같은 MOF 파일이사용됐다. 이처럼 MOF 파일은악성코드를생성하거나복사할수있어도이를실행할수없는경우자동으로악성코드를실행하기위해활용된다. 실제 metasploit와같은점검을위한 Penetration Test 툴에서도활용되고있다. 지속적으로보고되는인터넷익스플로러 use-after-free 취약점 12월보안업데이트목록에는 MS Internet Explorer 누적보안업데이트 (CVE ) 패치가포함돼있다. 해당보안업데이트는인터넷익스플로러상에서발생하는 Use- After-Free 취약점을해결하기위한패치다. 최근인터넷익스플로러상에서아래와유사한취약점들이지속적으로보고됐기때문이다 MS12-063(CVE ) MS Security Bulletin( 긴급 ) - Internet Explorer 누적보안업데이트 ( ) IE CMshtmlEd::Exec use-after-free 취약점 그림 2-2 MySQL 취약점공격과정 또한공격에이용되는 MOF 파일은다음과같은형태다 MS12-071(CVE ) MS Security Bulletin( 긴급 ) - Internet Explorer 누적보안업데이트 ( )

23 SECURITY TREND 23 IE CTreeNode use-after-free 취약점 MS12-077(CVE ) MS Security Bulletin( 긴급 ) - Internet Explorer 누적보안업데이트 ( ) IE improper Ref Counting use-after-free 취약점 KB (CVE ) MS Security Advisories( 긴급 ) - Internet Explorer 원격코드실행문제점 ( ) IE CButton use-after-free 취약점이러한인터넷익스플로러상의 Use-After-Free 취약점은모든 HTML 태그및그들의 Attribute 들이트리구조로저장돼있는 DOM(Document Object Model) 상에서오브젝트가이미해제된상태임에도불구하고, 이를재참조하는오류로인해발생한다. 실제이러한취약점발생은다음과같은복잡한태그들의논리적배치로인해발생한다. 그림 2-4 취약점발생 PoC 코드스크립트를사용하는공격은난독화기술을통해보호되기때문에탐지가매우어렵다. 또한이와같은논리적오류로발생하는취약점들은더욱정교한탐지기술을필요로한다. 따라서사용자들이시스템상에서발생할수있는위협을차단하기위해우선취해야할방법은보안업데이트를적용하는것이다.

24 WEB SECURITY TREND 웹보안동향 웹보안통계 악성코드유포웹사이트는감소추세안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하면, 2012 년 12월악성코드를배포하는웹사이트를차단한건수는모두 1만 6641건이었다. 악성코드유형은총 337종, 악성코드가발견된도메인은 187개, 악성코드가발견된 URL은 692개였다. 이는전월과비교할때전반적으로증가한수치이다. 악성코드배포 URL 차단건수 4, , % 악성코드유형악성코드가발견된도메인악성코드가발견된 URL Graph 표 년 12 월웹사이트보안현황 월별악성코드배포 URL 차단건수 15,000 14, % 16, % 2012년 12월악성코드배포웹사이트의 URL 접근에대한차단건수는전월 4915건과비교해약 3.4% 증가한 1만 6641건으로조 10,000 5,000-9,947 4, % +11,726 사됐다 그림 3-1 월별악성코드배포 URL 차단건수변화추이

25 WEB SECURITY TREND 25 월별악성코드유형 2012년 12월악성코드유형은전월의 240건에비해증가한 337건을기록했다 % % % 그림 3-2 월별악성코드유형수변화추이 월별악성코드가발견된도메인 2012년 12월악성코드가발견된도메인은 187건으로지난 11월의 134건에비해소폭증가했다 % % % 그림 3-3 월별악성코드가발견된도메인수변화추이 월별악성코드가발견된 URL 2012년 12월악성코드가발견된 URL은전월의 460건에비해증가한 692건을나타냈다. 1, % % % 그림 3-4 월별악성코드가발견된 URL 수변화추이

26 WEB SECURITY TREND 26 악성코드유형별배포수악성코드의유형별배포수를보면트로이목마가 1만 1283건 (67.8%) 으로가장많았고, 드롭퍼가 2442(14.7%) 로그다음을이었다. 유형 건수 비율 TROJAN 11, % DROPPER 2, % ADWARE % APPCARE % DOWNLOADER % Win32/VIRUT % SPYWARE % JOKE % ETC 1, % TOTAL 16, % 표 3-2 악성코드유형별배포수 TROJAN 11,283 10,000 DROPPER 2,442 ETC 1,719 ADWARE 304 APPCARE 313 DOWNLOADER 270 Win32/VIRUT 123 SPYWARE 29 JOKE 그림 3-5 악성코드유형별배포수 악성코드최다배포수악성코드배포최다 10건중에서는 Trojan/Win32.KorAd 가 7140건으로가장많았고 Trojan/Win32.KorAd 등 4건이새롭게등장했다. 순위 등락 악성코드명 건수 비율 1 NEW Trojan/Win32.KorAd 7, % 2 NEW Dropper/Downloader G 1, % 3 2 Win-Trojan/Installiq % 4 5 Trojan/Win32.Agent % 5 1 Dropper/Win32.Mudrop % 6 1 ALS/Bursted % 7 5 Win-AppCare/WinKeyfinder % 8 NEW Trojan/Win32.HDC % 9 6 ALS/Qfas % 10 NEW Packed/Win32.Vmpbad % TOTAL 3, % 표 3-3 악성코드대표진단명최다 20 건

27 WEB SECURITY TREND 웹보안동향 웹보안이슈 2012 년 12 월침해사이트현황 Banki에이르기까지다양한형태의악성코드가분포해있는것으로조사됐다. 유포 URL을비교해보면 12월의경우 11월에비해절반수준이다. 그러나최다 10건악성코드의 1~9위에링크된악성코드들은동일한사이트에서유포됐다. 이는온라인게임핵뿐만아니라백도어, DDoS 기능을가진다수의악성코드도동일한사이트에서동시에유포됐음을의미한다. 소셜커머스사이트해킹과악성코드유포 표 년월별침해사이트현황 [ 표 3-4] 는악성코드유포목적으로침해사고가발생했던사이트들에대한월별통계다. 하반기 (7 ~ 12월 ) 현황을살펴보면 10월을제외한모든월에서지속적으로상승하는모습을보였다. 12월은 2012년의다른월보다상대적으로높은수치를보이는데연말분위기상사이트관리가소홀해졌기때문인것으로추측된다. 침해사이트를통해서유포된악성코드최다 10건 12월넷째주주말한소셜커머스사이트가해킹돼특정온라인게임사용자의계정정보가탈취당하는사례가발생했다. 그림 3-6 특정페이지에삽입된악성스크립트링크삽입된악성스크립트는 GongDa pack으로난독화돼있으며해제후코드를살펴보면아래처럼자바에존재하는취약점 5개와 Internet Explorer에존재하는취약점 1개를사용해특정악성코드를다운로드및실행하도록돼있었다. - Java 취약점 : CVE , CVE , CVE , CVE , CVE IE 취약점 : CVE 표 3-5 침해사이트를통해서유포된악성코드최다 10 건 ( 왼쪽 : 11 월, 오른쪽 : 12 월 ) [ 표 3-5] 는침해사이트를통해유포된악성코드최대 10건에대한통계다. 왼쪽은지난 11월오른쪽은 12월현황으로두월을비교해보면다소차이가있음을알수있다. 11월의경우온라인게임핵과해당악성코드감염시생성한루트킷드라이버가최다 10건에포진해있는반면 12월의경우온라인게임핵뿐만아니라백도어기능을가진 Win-Trojan/Jukbot, 온라인뱅킹정보를탈취하는 Trojan/Win32. 그림 3-7 난독화해제된악성스크립트의일부코드 위그림에서언급된 wow.exe 는특정사이트로부터온라인게임핵을

28 WEB SECURITY TREND 28 다운로드하는다운로더다. 해당악성코드에의해다운로드되는온라인게임핵은윈도우시스템의정상파일인 ws2help.dll(windows XP 기준 ) 을악성으로교체하는기능을갖고있다. 그러나당시유포됐던온라인게임핵의경우악성 DLL에버그가존재해 Internet Explorer 실행시정상실행되지않고종료됐다. 그림 3-10 Function 형태로삽입된악성스크립트코드 (1) 그림 3-8 감염후악성 DLL 의버그 Win32/Induc 에감염된 Banki 델파이바이러스라불리는 Win32/Induc은델파이개발자를중심으로은밀하게퍼진것으로보인다. 다른악성코드에비해발견시기가늦어진것은일반사용자의컴퓨터에서는별다른증상없이델파이개발자만을대상으로활동하기때문이다. Win32/Induc 바이러스는델파이가설치돼있으면 sysconst.pas에바이러스소스코드를삽입하고 dcc32.exe를이용해라이브러리파일을생성해서컴파일되는모든파일에바이러스코드를포함하게하는방법을이용한다. 쉽게말하면 Win32/Induc은델파이소스에자신의바이러스코드를삽입한다는의미이다. 그림 3-11 Function형태로삽입된악성스크립트코드 (2) 위의경우는탭 (0x20) 과스페이스키 (0x09) 로구성된악성 Function 형태보다좀더정상적인 Function으로보이도록위장하고있다. 변수 M에는한문자씩조각난형태로저장돼있지만조합하면악성코드 URL이존재함을알수있다. 델파이로제작된 Banki의일부변종에서아래 [ 그림 3-9] 와같이 Win32/Induc에감염된사례도발견됐다. 그림 3-9 Banki 의내부코드 : Win32/Induc 에감염된부분 삽입된악성링크의지능화 해킹된웹사이트에삽입된악성스크립트링크중에는웹사이트관리자의조치를어렵게하기위해 Function형태로돼있거나스크립트링크를조각낸경우도있었다. 아래그림은특정언론사의광고페이지에삽입된악성스크립트코드인데 iframe이나 Script 태그가아닌 Function형태로돼있으며코드중간은빈공간처럼보이지만사실은탭 (0x20) 과스페이스키 (0x09) 로난독화된코드가존재한다.

29 II 년보안동향분석 악성코드동향 악성코드통계 2012년악성코드, 1억3353 만1120 건 ASEC이집계한바에따르면, 2012 년감염이보고된악성코드는전체 1 15,000,000 10,000,000 13,950,901 13,663,774 13,820,206 11,409,362 12,589,409 11,006,597 9,739,943 9,509,563 9,866,860 8,059,522 9,976,829 9,938,154 억3353만1120건인것으로나타났다. 이는지난해 1억 7747만 3697건 5,000,000 에비해 4394만 2577건이감소한수치다 ([ 그림 4-1]). 이가운데가장많이보고된악성코드는 ASD.PREVENTION이었으며, Trojan/Win32.adh와 Trojan/Win32. Gen이그다음으로많았다. 또한총 16건의악성코드가최다 20건목록에새로이름을올렸다 ([ 표 4-1]) 그림 4-1 월별악성코드감염보고건수변화추이 순위 등락 악성코드명 건수 비율 1 NEW ASD.PREVENTION 5,665, % 2 NEW Trojan/Win32.adh 5,045, % 3 NEW Trojan/Win32.Gen 4,293, % 4 2 JS/Agent 3,950, % 5 4 Textimage/Autorun 3,718, % 6 NEW Malware/Win32.generic 2,807, % 7 NEW Malware/Win32.suspicious 2,361, % 8 NEW Adware/Win32.korad 1,844, % 9 NEW Downloader/Win32.agent 1,818, % 10 NEW Mov/Cve ,782, % 11 NEW Trojan/Win32.hdc 1,638, % 12 NEW Trojan/Win32.agent 1,526, % 13 NEW Trojan/Win32.bho 1,322, % 14 NEW Trojan/Win32.fakeav 1,149, % 15 NEW Trojan/Win32.onlinegamehack 1,094, % 16 NEW Adware/Win32.winagir 1,032, % 17 NEW RIPPER 1,031, % 18 2 Als/Bursted 1,024, % 19 NEW Dropper/Win32.onlinegamehack 970, % JS/Iframe 961, % TOTAL 45,037, % 표 년악성코드감염보고최다 20건 ( 감염보고, 악성코드명기준 )

30 30 악성코드대표진단명감염보고최다 20 [ 표 4-2] 는악성코드별변종을종합한악성코드대표진단명중가장많이보고된 20건을추린것이다 년에는 Trojan/Win32가총 2422만 7655건으로가장빈번히보고됐다. Win-Trojan/Agent 가 670만 2769건, Adware/Win32가 640만 824건으로그뒤를이었다. 순위 등락 악성코드명 건수 비율 1 NEW Trojan/Win32 24,227, % 2 Win-Trojan/Agent 6,702, % 3 NEW Adware/Win32 6,400, % 4 NEW ASD 5,665, % 5 NEW Malware/Win32 5,455, % 6 NEW Downloader/Win32 4,717, % 7 3 Win-Trojan/Downloader 4,309, % 8 3 JS/Agent 3,988, % 9 2 Win-Adware/Korad 3,879, % 10 7 Textimage/Autorun 3,718, % Win-Trojan/Onlinegamehack 3,516, % 12 NEW Win-Trojan/Korad 2,215, % 13 NEW Dropper/Win32 1,883, % 14 6 Win32/Conficker 1,843, % 15 NEW Mov/Cve ,782, % 16 6 Win32/Virut 1,760, % 17 NEW Backdoor/Win32 1,658, % 18 5 Win32/Kido 1,417, % Win32/Autorun.worm 1,179, % 20 NEW Win-Dropper/Korad 1,038, % TOTAL 87,365, % 표 4-2 악성코드대표진단명최다 20건 2012년최다신종악성코드 Exploit/Cve [ 표 4-3] 은 11월에신규로접수된악성코드중고객으로부터감염보고가가장많았던 20건을꼽은것이다.2012년의신종악성코드는 Exploit/Cve 가 39만 626건으로전체 31.9% 를차지했으며, Win-Trojan/ Downloader 은 10만 7974 건이보고됐다. 순위 악성코드명 건수 비율 1 Exploit/Cve , % 2 Win-Trojan/Downloader , % 3 Win-Trojan/Agent F 96, % 4 Win-Adware/KorAd , % 5 Java/Cve , % 6 Win-Adware/StartPage , % 7 Win-Adware/KorAd H 44, % 8 Win-Trojan/Fakeav , % 9 Win-Trojan/Agent B 38, % 10 Win-Adware/KorAd , % 11 Dropper/Agent DW 35, % 12 Win-Adware/KorAd , % 13 Win-Trojan/Asper , % 14 Win-Adware/Geezon , % 15 SWF/Sve , % 16 Win-Trojan/Onlinegamehack B 28, % 17 Win-Adware/KorAd B 27, % 18 Dropper/Agent , % 19 Win-Trojan/Korad , % 20 Win-Trojan/Korad , % TOTAL 1,224, % 표 4-3 신종악성코드악성코드최다 20건

31 년악성코드유형트로이목마가최다 [ 그림 4-2] 는 2012년안랩고객으로부터감염이보고된악성코드의유형별비율을집계한결과다. 트로이목마 (Trojan) 가 43.2% 로가장높은비율을나타냈고스크립트가 8.8%, 웜이 6.3% 로집계됐다. 그림 4-2 악성코드유형별비율 신종악성코드유형별분포 2012년신종악성코드를유형별로보면트로이목마가 67% 로가장많았고, 애드웨어가 15%, 드롭퍼가 5% 였다. 그림 4-4 신종악성코드유형별분포

32 32 02 악성코드동향 모바일악성코드통계 월간모바일악성코드접수량 [ 표 4-4] 는 2012년한해동안접수된모바일샘플중 V3 모바일에진단이추가된악성샘플의접수량추이다. ASEC이집계한바에따르면, 2012년 1년간 26만 2718건의안드로이드악성코드가진단추가됐다. 집계를시작한 2011년이후꾸준히증가해온모바일악성코드는지난 7월처음으로월간접수량이만단위를돌파하며폭발적인증가량을기록했다. 80,000 60,000 40,000 20, 표 4-4 월별모바일악성샘플접수량 월간모바일악성코드접수량 [ 그림 4-5] 는 2012년한해동안접수된악성코드의유형이다. PUP(Potentially Unwanted Program) 가 54.7% 로가장많은비율을차지했으며, Trojan이 40% 로그뒤를이었다. PUP와 Trojan이접수된악성코드의대부분을차지하고있다. PUP로진단되는앱은광고모듈을탑재한앱이실행되지않아도 Notification Bar에광고를노출하는기능을가진다. 이러한유형의광고모듈은사용자가어떤프로그램에의해 노출된광고인지알수없기때문에삭제가어렵다. 그림 년에접수된악성코드의유형 모바일악성코드진단명감염보고최다 10 [ 표 4-5] 는 2012년접수된악성코드중접수량이가장많았던진단명 10건을꼽은것이다. 가장많이접수된 Android-Trojan/FakeInst는러시아에서유행하는악성코드로 Flash player, Adobe Air등을가장해사용자의단말기에설치되며, 이후프리미엄 SMS로문자를발송해이득을취하는유형의악성코드이다. 순위 악성코드명 건수 비율 1 Android-Trojan/FakeInst % 2 Android-PUP/Airpush % 3 Android-PUP/Leadbolt % 4 Android-PUP/Adwo % 5 Android-PUP/Wooboo % 6 Android-PUP/Wapsx % 7 Android-Trojan/Opfake % 8 Android-Trojan/GinMaster % 9 Android-PUP/Kuguo % 10 Android-PUP/Plankton % 표 년모바일악성코드접수량최다 10건

33 SECURITY TREND 보안동향 보안통계 2012년 4분기마이크로소프트보안업데이트현황 2012년 4분기에마이크로소프트사는총 21건의보안업데이트를발표했다. 4분기에발표된보안패치중에는윈도우시스템상의취약점을해결하는패치가 48% 로가장큰비중을차지했다. 지난 2011년동기에비해서는보안업데이트의수가감소했다. 기존과마찬가지로웹을통해공격이이루어지는인터넷익스플로러상의취약점과사회공학적인공격에활용되는오피스상의취약점들이지속적으로발표되고있어서이를해결하는보안업데이트또한매월꾸준히발표되고있다. 이에대한주의및보안업데이트적용이반드시필요하다. 그림 5-1 공격대상기준별 MS 보안업데이트분류

34 WEB SECURITY TREND 웹보안동향 웹보안통계 웹사이트악성코드동향안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하면, 2012년악성코드를배포하는웹사이트를차단한건수는모두 24만 3989건이었다. 악성코드유형은 5249종, 악성코드가발견된도메인은 3455개, 악성코드가발견된 URL은 2만 6952개로각각집계됐다. 이는 2011년과비교할때전반적으로감소한수치다. 악성코드배포 URL 차단건수 791, , % 악성코드유형악성코드가발견된도메인악성코드가발견된 URL Graph 49,196 8,846 7,764 49,196 5,249 3,455 26,952 8,846 7,764 5,249 3,455 26,952 표 년웹사이트보안현황 월별악성코드발견건수 2012 년악성코드발견건수는전 80,000 73,746 년도의 791,728 건에비해 31% 60,000 수준인 243,989 건이다. 40,000 20,000 41,181 25,873 19,925 12,727 9,850 7,940 6,998 9,331 14,862 4,915 16, 그림 년월별악성코드발견건수

35 WEB SECURITY TREND 년월별악성코드유형 2012년 12월악성코드유형은 전년도의 8846건에비해 41% 감소한 5249건이었다 그림 년월별악성코드유형 2012년월별악성코드가발견된도메인 년악성코드가발견된도 메인은 3455 건으로전년도의 7764 건에비해 55% 감소했다 그림 년월별악성코드가발견된도메인수변화추이 2012년월별악성코드가발견된 URL 2012 년악성코드가발견된 URL 12,000 11,524 은전년도 4 만 9196 건에비해 45% 감소한 2 만 6952 건으로조 ,079 사됐다. 2,137 1,967 1, 그림 년월별악성코드가발견된 URL 수변화추이

36 WEB SECURITY TREND 년악성코드유형별배포수악성코드유형별배포수를보면트로이목마가 8만7082건 (35.7%) 로가장많았고, 드롭퍼가 6만 680(24.9%) 로그다음을이었다. 유형 건수 비율 TROJAN 87, % DROPPER 60, % ADWARE 24, % DOWNLOADER 23, % APPCARE 7, % Win32/VIRUT 2, % WIN-CLICKER 1, % SPYWARE % JOKE % ETC 35, % TOTAL 243, % 표 년악성코드유형별배포수 TROJAN 87,082 90,000 DROPPER 60,680 ETC 35,293 ADWARE 24,679 DOWNLOADER 23,684 APPCARE 7,191 Win32/VIRUT 2,146 WIN-CLICKER 1,672 SPYWARE 845 JOKE ,000 0 그림 년악성코드유형별배포수 2012년악성코드배포최다 10건악성코드배포최다 10건중에서는 Win-Dropper/KorAd 이 4만 4877건으로가장많았고 Downloader/Win32.Korad 등 9건이새로등장했다. 순위 등락 악성코드명 건수 비율 1 NEW Win-Dropper/KorAd , % 2 NEW Downloader/Win32.Korad 10, % 3 NEW Trojan/Win32.ADH 9, % 4 NEW Win-Trojan/Agent , % 5 NEW Trojan/Win32.KorAd 7, % 6 NEW Downloader/Win32.Totoran 6, % 7 Win-Adware/ToolBar.Cashon , % 8 NEW Win-AppCare/WinKeyfinder , % 9 NEW Adware/Win32.KorAd 5, % 10 NEW Trojan/Win32.HDC 5, % TOTAL 108, % 표 년악성코드배포최다 10건

37 WEB SECURITY TREND 웹보안동향 웹보안이슈 악성코드제작자의물량공세일반적으로해킹된웹사이트를통해서유포되는악성코드는지금까지여러차례언급했듯이특정온라인게임사용자의계정정보를탈취하기위한온라인게임핵을유포하는사례가대부분이었다. 하지만 12월에는침해사이트를통해서유포된악성코드최다 10건에서언급했듯이해킹된해당사이트를통해서유포된악성코드역시온라인게임핵, 백도어, 온라인뱅킹정보를탈취하는 Banki 등이다수가존재했다. URL ***.72. ***:8080/mk2000.EXE ***.72. ***:8080/11.28.exe ***189. ***/temp/q/2.mp3 ***.net/11.28.exe ***.189. ***/temp/q/q.mp3 ***.net/m500.exe ***.72. ***:8080/m500.exe ***.net/m2000.exe ***.net/net.exe 표 5-4 악성코드유포 URL과 V3 진단명 진단명 Win-Trojan/Hupigon.Gen Dropper/Banki Trojan/Win32.Downloader Trojan/Win32.Agent2 Win-Trojan/Pcclinet Trojan/Win32.Agent Trojan/Win32.Banki Trojan/Win32.Agent Trojan/Win32.Magania Win-Trojan/Malpacked3.Gen Win-Trojan/Morix.99328(V3, Win-Trojan/Hupigon6.Gen Trojan/Win32.Llac

38 ASEC REPORT CONTRIBUTORS 집필진 책임연구원 심선영 선임연구원 강동현 선임연구원 안창용 선임연구원 이도현 선임연구원 장영준 주임연구원 문영조 연구원 강민철 연구원 김재홍 참여연구원 ASEC 연구원 SiteGuard 연구원 편집장선임연구원안형봉 편집인 안랩세일즈마케팅팀 디자인 안랩 UX 디자인팀 감수전무조시행 발행처 주식회사안랩경기도성남시분당구삼평동 673 ( 경기도성남시분당구판교역로 220) T F Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved.