Security Trend ASEC Report VOL.55 July, 2014

Transcription

1 Security Trend ASEC Report VOL.55 July, 2014

2 ASEC Report VOL.55 July, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 ( 에서확인하실수있습니다 년 7 월보안동향 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 Table of Contents 보안이슈 SECURITY ISSUE 01 여행사사이트를이용한악성코드배포기승 02 V3 클리닉사칭페이지로유도하는악성코드 03 오토캐드확장언어노린악성코드 악성코드상세분석 Analysis-In-Depth 01 악성스크립트삽입및악성코드유포동향 10 ASEC REPORT 55 Security Trend 2

3 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 ASEC REPORT 55 Security Trend

4 보안통계 01 악성코드통계 Statistics ASEC 이집계한바에따르면, 2014 년 7 월한달간탐지된악성코드수는 225 만 7,733 건으로나타났다. 이 는전월 170 만 5,345 건에비해 55 만 2,388 건증가한수치다. 한편 7 월에수집된악성코드샘플수는 351 만 9,765 건으로집계됐다. [ 그림 1-1] 에서 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플 수집수 는안랩이자체적으로수집한전체악성코드샘플수를의미한다. 5,000,000 4,000,000 3,000,000 2,000,000 1,000, ,697,234 5 월 1,710,087 2,611,553 6 월 1,705,345 3,519,765 7 월 2,257,733 탐지건수샘플수집수 [ 그림 1-1] 악성코드추이 ASEC REPORT 55 Security Trend 4

5 [ 그림 1-2] 는 2014 년 7 월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그램 인 PUP(Potentially Unwanted Program) 가 43.61% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 29.81%, 애드웨어 (Adware) 가 5.88% 로그뒤를이었다. 4.15% 4.4% 5.88% 43.61% 12.15% 29.81% PUP Trojan etc Adware Downloader Worm [ 그림 1-2] 주요악성코드유형 [ 표 1-1] 은 7 월한달간가장빈번하게탐지된악성코드 10 건을진단명기준으로정리한것이다. Trojan/Win32.Gen 이총 15 만 8,179 건으로가장많이탐지되었고, Malware/Win32.Generic 이 13 만 816 건으로그뒤를이었다. [ 표 1-1] 악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 Trojan/Win32.Gen 158,179 2 Malware/Win32.Generic 130,816 3 Trojan/Win32.ADH 104,224 4 PUP/Win32.IntClient 97,865 5 Trojan/Win32.Agent 63,076 6 Trojan/Win32.Starter 54,842 7 Trojan/Win32.Downloader 44,358 8 ASD.Prevention 42,582 9 Adware/Win32.Agent 40, Trojan/Win32.OnlineGameHack 38,912 ASEC REPORT 55 Security Trend 5

6 보안통계 02 웹통계 Statistics 2014년 7월악성코드유포지로악용된도메인은 1,718개, URL은 1만 2,241개로집계됐다. 또한 7월의악성도메인및 URL 차단건수는총 392만 8,542건이다. 악성도메인및 URL 차단건수는 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 5,000,000 4,000,000 3,928,542 3,000,000 2,000,000 1,776,498 2,147,161 1,000,000 50,000 40,000 30,000 20,000 10,000 1,257 7,575 1,406 10,218 1,718 12,241 악성도메인 /URL 차단건수 악성코드유포도메인수 0 5 월 6 월 7 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 ASEC REPORT 55 Security Trend 6

7 보안통계 03 모바일통계 Statistics 2014 년 7 월한달간탐지된모바일악성코드는 7 만 4,678 건으로나타났다. 263, , , , ,000 75,853 74,678 50, 월 6 월 7 월 [ 그림 1-4] 모바일악성코드추이 ASEC REPORT 55 Security Trend 7

8 [ 표 1-2] 는 7 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. 안드로이드애플리케 이션에번들로설치되어광고를노출하는 Android/PUP/Dowgin 이가장많이탐지되었다. [ 표 1-2] 유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/Dowgin 16,629 2 Android-Trojan/FakeInst 15,846 3 Android-PUP/Wapsx 5,909 4 Android-Trojan/Opfake 2,626 5 Android-PUP/SMSReg 2,053 6 Android-PUP/Chitu 1,526 7 Android-Trojan/GinMaster 1,515 8 Android-PUP/Youmi 1,400 9 Android-PUP/Mseg 1, Android-Trojan/SMSAgent 1,269 ASEC REPORT 55 Security Trend 8

9 2 보안이슈 SECURITY ISSUE 01 여행사사이트를이용한악성코드배포기승 02 V3 클리닉사칭페이지로유도하는악성코드 03 오토캐드확장언어노린악성코드 ASEC REPORT 55 Security Trend

10 보안이슈 01 여행사사이트를이용한악성코드배포기승 Security Issue 국내온라인사이트들이악성코드배포를위해이용된다는사실은이미많은언론을통해서알려져있다. 특히, 최근휴가시즌과맞물려유명여행사사이트들도침해사이트로탐지되고있어사용자들의각별한주의가요구된다. 그림 2-3 CK 웹공격툴킷 그림 2-1 침해된여행사온라인사이트 ( 일부 ) 안랩웹분석시스템에의하면침해된사이트내에정상적으로사용중인스크립트 (js) 파일에서악성스크립트가발견되었다. 이후여러단계의리다이렉션 (redirection) 을거쳐웹공격툴킷이설치되어있는메인페이지로연결된다. 그림 2-2 악성스크립트삽입 이러한웹공격툴킷에서악성코드배포를위해주로사용하는취약점은 [ 표 2-1] 과같다. 표 2-1 웹공격툴킷에서주로사용하는취약점 대상 Internet Explorer 6.0 Internet Explorer 7.0 Internet Explorer 8.0 JAVA (JRE) Flash Player(SWF) 취약점 CVE 번호 CVE CVE CVE CVE , CVE , CVE CVE 취약점은지난해와비교하여크게변화되지않았으며, 대부분과거에이미보고되어업체로부터정식패치 (Patch) 가제공되고있다. 따라서해당취약점에대한업데이트를확인하여반영하는것만으로도알려진취약점공격으로부터시스템을안전하게보호 ASEC REPORT 55 Security Trend 10

11 할수있다. 국내침해사이트에서발견되는웹공격툴킷들의전체프레임의변화는크지않아보인다. 하지만알려진취약점뿐만아니라제로데이취약점을반영하고, 공격에이용되는스크립트링크및배포되는악성코드를주기적으로다양하게변형시키고있다. 그림 2-4 CVE 인터넷익스플로러 Use-After-Free 취약점 취약점을통해배포되는악성코드는주로감염된시스템의일반적인정보및금융정보탈취와백도어 (Backdoor) 설치등다양한악성행위를수행한다. 안랩은이와관련된악성코드를 Trojan/Win32. Zegost, Trojan/Win32.Banki 등과같이진단하고 V3를통해탐지및치료기능을제공하고있다. 여름휴가철에이어추석연휴까지는여행객이증가하는시기다. 여행준비의첫번째단계인호텔, 항공권, 여행패키지등의정보수집을위해누구나한번쯤은여행사사이트를방문한다. 이때사이트검색전시스템에최신패치가적용되어있는지, 보안제품의실시간감지기능은켜져 (ON) 있는지확인해보자. 또한시스템의안전을위해기본적으로알려진취약점에대한보안업데이트는반드시적용해야한다. ASEC REPORT 55 Security Trend 11

12 보안이슈 02 V3클리닉사칭페이지로유도하는악성코드 Security Issue 악성코드에의한 V3 사칭페이지가지속적으로발견되어사용자의주의가요구된다. 사칭페이지의시작은웹을통해유포되는뱅키류 (Banki) 악성코드이다. 해당악성코드에감염되면인증서가탈취당하고특정은행사이트접속시금융감독원으로가장한페이지가뜬다. 이때사용되는파밍 IP는특정 SNS의댓글에서 10분에한번씩가져온다. 뱅키류악성코드에의한일반적인파밍절차가끝나면 [ 그림 2-7] 과같은페이지가나타난다. QR코드와 IP 주소를브라우저에입력하는방식으로스마트폰에영향을준다. 이때 V3클리닉사칭페이지가사용된다. 그림 2-7 IP 주소를입력하는브라우저 그림 2-5 악성코드에등록된각종문자열 그림 2-6 SNS 댓글로등록된 IP 정보 ( 맨마지막자리의 A, B, C, D 를각각. 으로바꾸면 IP 가된다 ) 사이트안내에따라 PC에서 IP나 V3clinic. ahnlab.com에접속하면 [ 그림 2-8] 과같이 V3 사칭페이지가나타나며스마트폰으로연결하도록지속적으로유도한다. 이는 V3에대한고객신뢰를이용하여피해자가의심없이해당 IP로접속하도록하기위한것이다. ASEC REPORT 55 Security Trend 12

13 해당앱은 SMS로명령어를받아알림메시지나알림창을띄우고휴대전화번호, 모델명, 통신사명, 단말기 ID, 설치된은행앱등의정보를유출하여관련정보를기반으로스미싱은행앱을추가로설치하는치밀함을보인다. 악성앱설치를차단하려면 V3 를최신버전으로유 지하고보안카드정보입력, 금융감독원페이지, 금융보안관련앱설치창을주의해야한다. 그림 2-8 V3 사칭사이트로연결유도 모바일로접속하면 [ 그림 2-9] 와같은페이지로악성앱 (apk) 파일의다운로드를유도하고 QR코드를이용하면바로다운로드된다. V3 제품에서는관련악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Trojan/Win32.Banki ( ) Android-Trojan/Bankun.17DE48 ( ) 그림 2-9 모바일에서해당 IP 접속 & 설치화면 ASEC REPORT 55 Security Trend 13

14 보안이슈 03 Security Issue 오토캐드확장언어노린악성코드 오토캐드 (AutoCAD) 는오토데스크 (AutoDesk) 사에서개발한캐드 (CAD) 프로그램으로, 캐드소프트웨어업계의표준이다. 국내에서도인테리어, 기계설비, 자동차, 건축등다양한분야에서활용되고있다. 오토캐드는자동화또는기능확장을위해비주얼베이직언어, LISP(LIST Processing) 라는스크립트언어뿐아니라 DLL 등을지원한다. 문제는악성코드제작자들이이점을이용해오토캐드악성코드를제작한다는것이다. 현재이중에는 LISP 스크립트언어로만든형태가가장많이발견되고있다. 먼저악성코드가오토캐드를어떤방식으로이용하는지이해하기위해과거에발견된샘플에서간략한행위정보를통해살펴보자. [ 그림 2-10] 에서첫번째샘플악성코드는 RAR을이용한 SFX 실행압축형태로되어있으며, 실행시에는 C 드라이브폴더에 Acad.fas, Acad.lsp, acaddoc.fas, Acaddoc.lsp 파일과도면파일 (*.dwg), 다수의 fas 파일을생성한다. LISP 란? 자바스크립트와같이별도의컴파일이필요없이오토캐드가있을경우실행이가능한스크립트언어로, 반복작업을단순화시켜생산성을높여주는용도로많이사용된다. 오토캐드악성코드는최근이슈가되고있는뱅키, 랜섬웨어등과같은악성코드에비해위험도가낮은편이다. 하지만 2003년경악성코드가발견된이후현재까지변형이발견되고있고오토캐드가기업에게설계도면등중요한자산인만큼사용자주의차원에서공유하고자한다. 그림 2-10 악성코드실행시루트드라이브에생성되는파일표 2-2 생성되는 *.lsp와 *.fas에대한설명 *.lsp : LISP 언어로만들어진스크립트파일 *.fas : *.lsp 파일을바이너리파일로컴파일한파일이때악성코드는동시에생성된 dwg 도면파일을실행시키고만일 PC에오토캐드가설치되어있지 ASEC REPORT 55 Security Trend 14

15 않으면파일을열수없다는에러메시지창을띄운다. 기본적으로오토캐드는 acad.lsp, acad.fas, acaddoc.lsp, acaddoc.fas 파일이 dwg 파일과동일한폴더에있으면먼저해당파일들을로드한다. [ 그림 2-11] 의 ( 좌 ) 와같이악성스크립트가로드된것을확인할수있다. 더 \Support} 폴더에있는 mnl 파일을먼저로드하는점을이용하여자신의코드를실행한다. 실제로감염된사용자들의 PC에서도면파일 (*.dwg) 이있는폴더마다 lsp 파일이발견되는경우도이때문이다. 첫번째살펴본샘플에비해비교적최근에발견된샘플은위의특징을이용하여 [ 표 2-3] 과같이 VBS 파일을생성하고감염된 PC의도면파일을탈취한다. 표 2-3 생성되는파일정보 acad.exe CREATE C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\$VL~~001.vbs acad.exe CREATE C:\WINDOWS\System32\! 혹瓘샙筠齡暠 \ 혹瓘샙筠齡暠.dxf 그림 2-11 오토캐드에로드된스크립트파일정보 로드된 acad.fas 악성스크립트는 {AutoCAD 설치폴더 \Support} 폴더아래 16-Acad. sihanoukville.fas 파일명으로자가복제한다. 오토캐드프로그램을실행하면항상로드되는 acad. mnl 파일내에 [ 그림 2-12] 와같이등록한다 (acad.mnl 파일에의해악성코드가로드된화면은 [ 그림 2-11] ( 우 ) 참조 ). 그림 2-12 acad.mnl 파일 위의악성코드샘플의행위정보에서확인했듯이, 오토캐드프로그램이현재폴더에있는 acad. lsp, acad.fas 파일또는 {AutoCAD설치폴 그림 2-13 생성된 VBS 파일정보 일부기업에서는업무효율을위해네트워크폴더또는공유폴더, USB를통해도면등을공유한다. 악성 LISP 스크립트에서별도로전파기능이없더라도오토캐드구조특성상, 악성스크립트들은전파될가능성이있다. ASEC에서는오토캐드악성코드감염증상이의심되면 PC 내에있는 *.lsp, *.mnl 파일을수집하여악성일경우엔진에반영하고있으며, 파일수집후모든드라이브검사를권하고있다. 오토캐드악성코드의감염을예방하려면도면파일을열때는동일폴더에의심스러운 lsp 파일이있는 ASEC REPORT 55 Security Trend 15

16 지확인해야한다. 최신버전의오토캐드는옵션에따라 LISP 프로그램이로드되는것을제한할수있으므로가급적최신버전의오토캐드프로그램을사용하는것도악성코드예방방법이다. V3 제품에서는관련악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > ALS/Bursted ALS/Kenilfe ASEC REPORT 55 Security Trend 16

17 3 악성코드상세분석 Analysis-In-Depth 01 악성스크립트삽입및악성코드유포동향 ASEC REPORT 55 Security Trend

18 악성코드상세분석 01 악성스크립트삽입및악성코드유포동향 Analysis-In-Depth 많은악성코드가대부분주말이나휴일에침해당한사이트를통해유포되고있다. 특히지난 7월에는주중에도다수의사이트가침해되고악성코드가유포돼사용자의주의가요구된다. 그림 3-1 삽입된악성 iframe 최근의악성스크립트도과거에삽입되었던형태에서크게다르지않다. 악성스크립트는주로악성 iframe, eval을사용한인코딩 (encoding), Space&Tab, URL 인코딩을비롯한 hex(16진수 ), decimal(10진수 ) 형태의인코딩으로시작되어 CK 팩과같은최종취약점동작페이지로유도한다. 최종적으로생성되는악성코드의간단한행위분석을통해최근의동향을살펴보고자한다. 아래사용된모든스크립트는 2014년 7월 6일부터 7월 16일사이에수집된코드들이다. 악성스크립트형식삽입된악성스크립트의형식은다양하다. 먼저악성스크립트중일부를살펴보도록하겠다. 1) 악성 iframe 형태 악성스크립트의가장간단한방법은 [ 그림 3-1] 과같이악성 iframe 삽입이다. 많은경우 <html></ html> 태그밖에삽입되어있었으며일반적으로다른패킹형식을두단계정도거쳐최종취약점페이지로이동한다. 2) Eval & Document.write를이용한다양한인코딩자바스크립트 (javascript) 코드를동적으로실행하는 eval, Unescape 함수와 Document.write 메소드는자바스크립트난독화의친한친구다. 해당함수와메소드는 hex, decimal 인코딩부터문자열을자르고붙이는난독화코드등다양한인코딩분야에사용된다. 첫번째로살펴볼형태는 hex 인코딩이다. ASEC REPORT 55 Security Trend 18

19 표 3-2 decimal to ascii 변환전 ( 좌 ), 변환후 ( 우 ) 118,97,114,32,120,101,119,61,5 2,53,51,56,48,48,53,52,51,59,11 varxew= ;var 8,97,114,32,103,104,103,52,53, ghg45="nuot ( 생략 ) 61,34,110,117,111,116,34( 생략 ) 그림 3-2 Document.write 메소드를이용한 hex 인코딩 [ 그림 3-2] 는단순문자열을 hex로변환해놓고아스키 (ascii) 문자열로변환하여출력해주는간단한형태이다. \x 대신 % 를이용한 URL encoding + Unescape 형태도동일하게사용된다. 변형형태로는문자열조합과 decimal 조작을통한 인코딩이있다. 표 3-1 hex to ascii 변환전 ( 좌 ), 변환후 ( 우 ) \x3c\x69\x66\x72\x61\ x6d\x65\x20\x73\x72\ x63\x3d\x68\x74\x74\ <iframesrc= 생략 ) x70\x3a\x2f\x2f\x77\ x77\x77 ( 생략 ) 비슷한형태로는 fromcharcode를이용한 decimal 인코딩이있다 ([ 그림 3-3]). 그림 3-3 eval + fromcharcode 형태의 Decimal 인코딩 (1) [ 그림 3-3] 은 hex 형태와마찬가지로아스키문자열로변환하여실행한다. 동일하게변환하면 [ 표 3-2] 와같이자바스크립트로변환되어 eval을통해소스가실행된다. 그림 3-4 eval + fromcharcode 형태의 Decimal 인코딩 (2) 해당코드의형태는 w 인자에숫자를넣고 decimal 로해당숫자를나누어아스키로변환한다. 표 3-3 decimal to ascii 변환전 ( 좌 ), 변환후 ( 우 ) 18/w,18/w,210/w,204/w,64/ w,80/w,200/w,222/w,198/ w,234/w,218/w,202/w,220/ if (document.getelementsb w,232/w,92/w,206/w,202/ ( 생략 ) w,232/w,138/w,216/w,202/ w,218/w,202/w,220/w,232/ w,230/w,132/w,( 생략 ) 위와같은형태는단순 hex, decimal 인코딩이아닌문자를재조합하여실행한다. 문자재조합 + eval 형태는 [ 그림 3-5] 와같은단순인코딩뿐만아니라카이홍공격도구 (Caihong Exploit kit) 등다양하게사용되고있다. ASEC REPORT 55 Security Trend 19

20 스페이스와탭의연속인이문자열을상단에있는복호화함수를통해눈에보이는정상코드로복호화한다. 표 3-5 치환전 ( 좌 ), 치환후 ( 우 ) 그림 3-5 split 메소드를이용한코드재조합과실행 [ 그림 3-5] 와같은난독화는문자열을 로쪼개어 (split) 숫자로나열하고해당배열에맞는숫자로치환한다. 표 3-4 치환전 ( 좌 ), 치환후 ( 우 ) <iframesrc= <7 l=k://j.o.n/m.t p=0 a=0></7> com/index1.html width=0 height=0></iframe> 3) Space & Tab 난독화치환을이용한난독화는 [ 그림 3-5] 와같은문자열치환이있고그번외로 Space & Tab 난독화가있다 ([ 그림 3-6]). document.write(unescape("<sc...( 공백과탭의연속 ) ript>... ( 생략 ) 이렇게복호화된소스는악성페이지로다시연결하거나악성파일을다운로드하고악성 swf(shockwave Flash Object) 파일을로드한다. 이사이트는 [ 그림 3-8] 과같이 CVE 의 swf 파일을로드했다. 그림 3-8 CVE 파일로드 4) 카이홍익스플로잇킷마지막으로살펴볼난독화는카이홍 (Caihong) 과 vip로, 몇년전부터현재까지많이사용되는공격도구 (Exploit kit) 이며본지에서도여러번다룬내용이다 ([ 그림 3-9], [ 그림 3-10]). 그림 3-6 Space & Tab 난독화 [ 그림 3-6] 은문자열로봤을때정상문자열로보인 다. 하지만해당파일을 hex 에디터로열어보면 [ 그 림 3-7] 과같이수많은공백과탭으로이루어져있다. 그림 3-9 카이홍난독화구조 그림 3-7 hex 에디터로본 Space & Tab 난독화 그림 3-10 CVE 별카이홍구조, 복호화전 ( 좌 ), 복호화후 ( 우 ) ASEC REPORT 55 Security Trend 20

21 그림 3-11 복호화된악성코드의다운로드주소 다운로드된파일은 Trojan/Banki로호스트 (hosts) 파일을수정하여파밍증상을보인다. 그림 3-12 호스트파일에등록하는도메인정보 지금까지설명한다양한악성스크립트기법들은지난 7월, 2주동안수집된파일들을기준으로살펴본것이다. 이난독화기법들은 7월에만활동한것은아니며과거부터현재, 그리고앞으로도계속사용될스크립트이다. 물론악성스크립트들이 exe 파일의다운로드에만 사용되는것은아니다. 웹사이트인증페이지사칭, 앱 (apk) 다운로드등목적은금전이지만그용도는점차진화하고있다. 최근주요악성스크립트삽입및악성코드 Seed 유포지에대한몇개의도메인을뽑아보면 [ 표 3-6] 과같다. 표 3-6 악성스크립트삽입및악성코드 Seed 유포지도메인 hxxp://se*****ts.com/index.html hxxp:// ~ re*****es/im**es/vin/vo***s_ro.js hxxp://198.***.40.** ~ hxxp:// html ~ hxxp://ju****na.com.ne.kr/main.htm ~ hxxp://chei****o.co.kr hxxp:// html ~ hxxp://in*****.co.kr/shop/upf**es/cs/index. html hxxp://g***pan.co.kr/data/index.html 해당주소는일부만나열했으며최근 2주간은침해사이트와악성코드유포사이트가평상시보다눈에띄게증가했다. ASEC REPORT 55 Security Trend 21

22 ASEC REPORT vol.55 July, 2014 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩 UX디자인팀 T F 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다 AhnLab, Inc. All rights reserved.