Security Trend ASEC Report VOL.52 April, 2014

Transcription

1 Security Trend ASEC Report VOL.52 April, 2014

2 ASEC Report VOL.52 April, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 ( 에서확인하실수있습니다 년 4 월보안동향 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 Table of Contents 보안이슈 SECURITY ISSUE 01 제휴프로그램으로설치되는악성코드 02 전자지갑타깃악성앱 03 악성코드유포경유지로악용되는웹하드 악성코드상세분석 ANALYSIS IN-DEPTH 01 RTF 취약점을이용한제로데이공격분석 19 ASEC REPORT 52 Security Trend 2

3 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 ASEC REPORT 52 Security Trend

4 보안통계 01 악성코드통계 Statistics ASEC 이집계한바에따르면, 2014 년 4 월한달간탐지된악성코드수는 271 만 7,050 건으로나타났다. 이 는전월 435 만 2,551 건에비해 163 만 5,501 건감소한수치다. 한편 4 월에수집된악성코드샘플수는 288 만 4,767 건이다. [ 그림 1-1] 에서 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플 수집수 는안랩이자체적으로수집한전체악성코드샘플수를의미한다. 5,000,000 4,000,000 4,352,551 3,000,000 3,197,274 2,000,000 2,717,050 1,000, ,044,669 2 월 3,077,664 3 월 2,884,767 4 월 탐지건수샘플수집수 [ 그림 1-1] 악성코드추이 ASEC REPORT 52 Security Trend 4

5 [ 그림 1-2] 는 2014 년 4 월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그 램인 PUP(Potentially Unwanted Program) 가 38.8% 로가장높은비중을차지했고, 트로이목마 (Trojan) 가 34.3%, 광고목적의프로그램인애드웨어 (Adware) 가 8.4% 의비율로그뒤를이었다. 8.4% 38.8% 18.5% 34.3% PUP Trojan etc Adware [ 그림 1-2] 주요악성코드유형 [ 표 1-1] 은 4 월한달간가장빈번하게탐지된악성코드 10 건을진단명기준으로정리한것이다. Trojan/Win32.Agent 가총 19 만 5,487 건으로가장많이탐지되었고, Trojan/Win32. OnlineGameHack 이 13 만 1,902 건으로그뒤를이었다. [ 표 1-1] 악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 Trojan/Win32.Agent 195,487 2 Trojan/Win32.OnlineGameHack 131,902 3 ASD.Prevention 104,979 4 Backdoor/Win32.Hupigon 80,892 5 Trojan/Win32.Starter 74,077 6 PUP/Win32.IntClient 54,227 7 PUP/Win32.Helper 35,951 8 Trojan/Win32.Gen 35,046 9 Trojan/Win32.Urelas 34, Trojan/Win32.Depok 33,981 ASEC REPORT 52 Security Trend 5

6 보안통계 02 웹통계 Statistics 2014 년 4 월에악성코드유포지로악용된도메인은 3,186 개, URL 은 1 만 9,644 개로집계됐다. 또한 4 월의 악성도메인및 URL 차단건수는총 456 만 7,453 건이다. 악성도메인및 URL 차단건수는 PC 등시스템 이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 1,000,000 9,990, , ,000 7,497, , ,000 4,567,453 50,000 40,000 38,735 38,547 30,000 20,000 19,644 10,000 2,555 3,136 3,186 악성도메인 /URL 차단건수 악성코드유포도메인수 0 2 월 3 월 4 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 ASEC REPORT 52 Security Trend 6

7 보안통계 03 모바일통계 Statistics 2014 년 4 월한달간탐지된모바일악성코드는 8 만 461 건으로나타났다. 250, , , , , ,892 80,461 50, 월 3 월 4 월 [ 그림 1-4] 모바일악성코드추이 ASEC REPORT 52 Security Trend 7

8 [ 표 1-2] 는 4 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. 애플리케이션설치프 로그램으로위장하여악성코드를설치하는악성앱 (Android-Trojan/FakeInst) 이지속적으로가장많이 탐지되고있다. [ 표 1-2] 유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-Trojan/FakeInst 17,417 2 Android-PUP/Dowgin 15,167 3 Android-Trojan/Opfake 7,174 4 Android-Trojan/Mseg 4,055 5 Android-PUP/Leadbolt 2,990 6 Android-Trojan/SMSAgent 2,987 7 Android-PUP/SmsReg 2,739 8 Android-PUP/Wapsx 2,111 9 Android-PUP/Airpush 1, Android-Trojan/Fujacks 1,348 ASEC REPORT 52 Security Trend 8

9 2 보안이슈 SECURITY ISSUE 01 제휴프로그램으로설치되는악성코드 02 전자지갑타깃악성앱 03 악성코드유포경유지로악용되는웹하드 ASEC REPORT 52 Security Trend

10 보안이슈 Security Issue 01 제휴프로그램으로설치되는악성코드 P2P 사이트에서파일을다운로드받을때다운로더프로그램설치를요구하는경우가많다. 사용자는업체로부터다운로더프로그램설치중사용자약관동의가필요한개인정보수집과제휴프로그램에대한추가설치를요구받는다. [ 그림 2-1] 과같이사용자필수동의항목을제외한나머지항목은대부분광고프로그램이다. 광고프로그램은다운로드프로그램설치시사용자눈에띄지않는곳에위치해있다. 광고프로그램을통해악성코드가설치되는것은아니다. 문제는출처가불분명한곳에서다운로드받아설치되는, 다운로더프로그램내에제휴프로그램을통해악성코드가유포된다는점이다. 따라서정상적인소프트웨어를설치하는과정에서추가로설치된제휴프로그램을통해악성코드가실행되면사용자 PC에피해를줄수있다. 앞으로설명할악성코드는다운로더와함께설치되는제휴프로그램중 그리드 항목을통해설치되고배포된광고프로그램으로위장된악성코드이다. 그림 2-2 mpopup.exe 아이콘 [ 그림 2-2] 와같이 mpopup.exe 파일이실행되면 C&C서버를통해사용자몰래추가로악성코드들을다운로드한다. 아래 [ 표 2 1] 을통해악성파일이특정서버와통신하여추가로악성파일을다운로드받는것을확인할수있다. Process ScrIP DestIP Data 그림 2-1 다운로더프로그램설치시제휴프로그램설치항목 mpopup. exe mpopup. exe mpopup. exe **.**.91:80 Io**80.******net.co.kr/popun[1]. html ***.**.83:80 d**n2.si**h.*iz/update[1].exe **.**.91:80 Io**80.******net.co.kr/log/?mode Act=I test.exe ***.**.83:80 d**n2.si**h.*iz/1.exe ASEC REPORT 52 Security Trend 10

11 test.exe ***.**.83:80 d**n2.si**h.*iz/2.exe test.exe ***.**.83:80 d**n2.si**h.*iz/3.exe test.exe ***.**.83:80 d**n2.si**h.*iz/gg.exe wscript **.**.71:80 win**lp.2**.com/h**p/gt.php?e exe 표 2-1 네트워크모니터정보 Help.exe 파일을임시로생성한다. C:\WINDOWS \system32\windowshelp.exe 에복사된후, 임 시로생성된파일은스스로삭제된다. 악성코드실행시 C&C 서버에서다운로드받은 pop un[1].htm 에는명령을수행할스크립트 (Script) 값과사용자몰래추가로다운로드받을악성코드가등 록되어있다. 그림 2-4 test.exe 가다운받은악성파일과추가다운로드된 WindowsHelp.exe [ 그림 2-5] 와같이 WindowsHelp.exe 는 Wind owshelp 서비스로등록되며시스템시작시자동 그림 2-3 popun[1].htm 실행된다. mpopup.exe 파일을통해특정 IP에접속하여다운로드된 update[1].exe 파일은 C:\DOCUME~1 \[ 사용자계정 ]\LOCALS~1\Temp\test.exe로생성및실행된다. test.exe 는다음 4개의파일을특정 IP로부터다운받는다. Process Operation Path test.exe CREATE C:\DOCUME~1\[ 사용자계정 ]\LOCALS~1\ Temp\ exe test.exe CREATE C:\DOCUME~1\[ 사용자계정 ]\LOCALS~1\ Temp\ exe test.exe CREATE C:\DOCUME~1\[ 사용자계정 ]\LOCALS~1\ Temp\ exe test.exe CREATE C:\DOCUME~1\[ 사용자계정 ]\LOCALS~1\ Temp\Kill.bat 표 2-2 파일프로세스정보 [ 표 2-2] 에서 exe 는 C:\DOCUME~ 1\[ 사용자계정 ]\LOCALS~1\Temp\Windows 그림 2-5 WindowsHelp 서비스 [ 표 2 3] 은 WindowsHelp 라는서비스항목생성및서비스실행경로가악성파일로지정하는레지스트리추가값을나타낸것이다. ASEC REPORT 52 Security Trend 11

12 Key HKLM\SYSTEM\ControlSet001\Services\ WindowsHelp HKLM\SYSTEM\ControlSet001\Services\ WindowsHelp\Start HKLM\SYSTEM\ControlSet001\Services\ WindowsHelp\ImagePath HKLM\SYSTEM\ControlSet001\Services\ WindowsHelp\DisplayName 표 2-3 레지스트리모니터정보 Value Key: 0xE x2 ""C:\WINDOWS\system 32\WindowsHelp.exe"" "WindowsHelp" #-199 "C:\WINDOWS\system32\netsh.exe" 을 ( 를 ) netsh interface ip set dns " 로컬영역연결 " static 명령줄에서실행하는중 #-166 장치설치기능 : DIF_PROPERTYCHANGE. #I292 "ROOT\MS_PSCHEDMP\0001" 장치의속성을변경하는중 #I306 DICS_START: 장치를다시시작했습니다. 표 2-4 setupapi.log C:\WINDOWS\system32\WindowsHelp. exe 악성파일은시스템시작시자동실행되어 C:\DOCUME~1\[ 사용자계정 ]\LOCALS~1\ Temp\finalchangedns.vbs 악성파일을생성한다. 생성된 finalchangedns.vbs 악성파일은변경된 DNS 서버로네트워크가이루어지도록한다. 또한 C:\DOCUME~1\[ 사용자계정 ]\LOCALS~1 \Temp\ exe 악성파일은 \WINDOWS \[6자리랜덤영문자].exe를생성하며 exe 와 [6자리랜덤영문자].exe 악성파일은서비스에등록되어시스템이시작될때마다자동으로특정서버와지속적으로통신한다. 그림 2-6 변조된 DNS 서버주소 이를통해네트워크의 DNS 서버주소를 Google DNS 주소 ( ) 로변경하여인터넷접속시 Google DNS 서버를통해우회한다. C:\ WINDOWS\setupapi.log를통해 DNS가변경되었음을확인할수있다. 그림 2-7 [6 자리랜덤영문자 ].exe 서비스 [ 표 2-5] 를통해 exe 와 [6자리랜덤영문자 ].exe 의자동실행과서비스등록을위해레지스트리에추가되는키값들을알수있다. ASEC REPORT 52 Security Trend 12

13 Key HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\Name_Me_Please HKLM\SYSTEM\ControlSet001\Services\.Net CLR\Start HKLM\SYSTEM\ControlSet001\Services\.Net CLR\ImagePath HKLM\SYSTEM\ControlSet001\Services\.Net CLR\DisplayName HKLM\SYSTEM\ControlSet001\Services\.Net CLR\ObjectName HKLM\SYSTEM\ControlSet001\Services\.Net CLR\Description 표 2-5 레지스트리모니터정보 Value "C:\DOCUME~1\[ 사용자계정 ]\LOCALS~1\ Temp\ exe" 해당악성코드는 Google DNS 서버를통해 C&C 서버와지속적으로통신하며, 사용자로컬 PC 의정 보를유출시킬위험이있다. 사용자는출처가불분명한다운로더프로그램설치를자제하고설치시제휴프로그램이나광고프로그램의설치여부를잘살펴야한다. 0x2 "C:\WINDOWS\[6 자리랜덤영문자 ]exe" "Microsoft.Net Framework COM+ Support" "LocalSystem" "Microsoft.NET COM+ Integration with SOAP" V3 제품에서는관련악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Trojan/Win32.BHO ( ) ASEC REPORT 52 Security Trend 13

14 보안이슈 02 Security Issue 전자지갑타깃악성앱 최근모바일이슈는악성코드제작자가금전적인이득을취하기위해소액결제또는모바일뱅킹앱을이용하는사례가다수발견되었다는점이다. 문제는전자지갑을이용하는악성앱이발견되었고이는 SMS 를통하여유포된것으로추정된다. 국내사례가아닌러시아의사례지만, 이후국내를타깃으로한앱이제작될수있어이슈를공유한다. [ 그림 2-8] 은플래시플레이어 (Flash Player) 로위장한악성앱의아이콘이다. 해당앱을실행하면사용자가메뉴에서확인할수없도록삭제된다. 그림 2-8 악성앱아이콘 악성앱이동작할때패킷을캡처해보면스마트폰의 imei 값을전송하는것을확인할수있다. 그림 2-10 패킷캡처화면 (2) URL : php?imei= IP : 172.**.***.3* gla*************@yandex.ru 표 2-6 도메인관련정보 [ 표 2-6] 에서확인되는도메인과관련된정보를보면프랑스기업으로등록되어있으나, 이메일주소는러시아 (yandex.ru) 와관련되어있다. 코드분석당시해당앱은브로드캐스트리시버와 SMS를이용하여동작하는것으로확인되었고, SMS로수신되는명령으로다운로드및업데이트되었다. 아래와같이 QIWI와관련된정보를탈취하는기능을구사할것으로추정된다 (*QIWI : 러시아에서사용되는전자지갑앱 ). 그림 2-9 패킷캡처화면 (1) 그림 2-11 디컴파일코드일부 ASEC REPORT 52 Security Trend 14

15 위의사례로보면기존의소액결제, 뱅킹앱외에도전자지갑또한악성코드제작자들에의해이용될가능성이높다. 국내에서도각카드사, 통신사등에서전자지갑과관련된앱이출시되고있다. 이는해외뿐만아니라국내에서도위협이될수있다. 해당앱역시 SMS 스팸메시지를통해유포되었던것으로추정되며, 이를예방하기위해사용자들은확인되지않은앱 (apk) 을다운로드하거나실행하지않도록주의해야한다. 추가로 V3 모바일과같은모바일백신을이용해주기적으로검사해볼것을권한다. V3 모바일제품군에서는관련악성앱을다음과같이진단및치료가가능하다. <V3 모바일제품군의진단명 > Android-Trojan/FakeApp.13B48A ( ) ASEC REPORT 52 Security Trend 15

16 보안이슈 03 악성코드유포경유지로악용되는웹하드 Security Issue 웹하드는웹에서자료를공유할수있어편리하지만많은사람들이공유하는만큼악성코드의유포경유지로악용되기도한다. 이번에발견된악성코드는웹하드관련서비스업데이트과정에서악성코드와함께설치및유포되었다. 해당악성코드에감염되면호스트 (hosts) 파일을변조하여파밍 (Pharming) 을유도한다. 그림 2-13 호스트파일내용 해당악성코드는시스템에다음과같은파일을생성한다. 그림 2-12 인터넷뱅킹악성코드에감염된웹사이트 [ 그림 2-12] 는호스트파일변조를통하여정상적인도메인이아닌공격자가유도한사이트로접속해서나타나는증상이다. C:\WINDOWS\system32\dafguanfac\1.exe C:\WINDOWS\system32\dafguanfac\BomulService.exe C:\R217625wabc217625\Gsisa(5 자리영문 ).dll C:\R217625wabc217625\MUpdate.exe C:\Documents and Settings\( 사용자계정 )\Local Settings\ Temporary Internet Files\Content.IE5\KO2UESAO\ plus[1].php C:\ R217625wabc (1자리영문 + 5~6자리숫자 + 4자리영문 + 5~6자리숫자 )\data.mdb C:\WINDOWS\system32\drivers\etc\hosts.ics ASEC REPORT 52 Security Trend 16

17 이다. [ 그림 2-16] 과같이두파일의내용과파일의크기, 수정한날짜가모두동일한것으로정상파일임을확인할수있다. 그림 2-14 생성되는과정 사용자가 hosts.ics 파일을삭제하더라도원인이되는파일을치료하지못하면시스템이시작될때다음과같이 MUpdate.exe가자동실행되도록레지스트리에등록하기때문에, 재부팅시또다시감염증상이나타난다. HKCU\Software\Microsoft\Windows\CurrentVersion\ Run\CTFM0N "c:\r217625wabc217625(1자리영문 + 5~6자리숫자 + 4자리영문 + 5~6자리숫자 )\ MUpdate.exe c:\r217625wabc (1자리영문 + 5~6자리숫자 + 4 자리영문 + 5~6자리숫자 )\Gsisa(5 자리영문 )..dll,alsts_ ExecuteAction" 그림 2-16 rundll32.exe 와생성된 MUpdate.exe 의모습 [ 그림 2-17] 에서생성된 data.mdb 파일은호스트파일을변조한내용과동일하며, 임시파일로만들어진것으로추정된다. MUpdate.exe는 [ 그림 2-15] 와같이악성코드감염시생성된 dll이인젝션되어동작하여실질적인악성행위 ( 호스트파일변조 ) 를한다. 그림 2-15 로드된 dll 의모습 그림 2-17 data.mdb 와 hosts.ics 파일 [ 그림 2-15] 에서생성하는파일중 MUpdate.exe 는정상적인 rundll32.exe를복사하여생성한것 C&C로추정되는 IP(98.1**.***.**7:3202) 에주기적으로 SYN을전송하지만응답이오지않는다. ASEC REPORT 52 Security Trend 17

18 그림 2-18 SYN 전송 현재많이발견되고있는인터넷뱅킹악성코드의경우사용자가조금만관심을갖는다면감염된 PC를확인할수있다. 인터넷뱅킹시접속한사이트의정확한 URL을확인하고, 평소콘텐츠가이상할경우의심해볼수있다. 또한, 금융기관에서는금융정보및개인정보전체를요구하지않기때문에이런경우악성코드감염을의심해야한다. V3 제품에서는관련악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Dropper/Agent ( ) Win-Trojan/Agent ( ) Win-Trojan/Agent ( ) ASEC REPORT 52 Security Trend 18

19 3 악성코드상세분석 ANALYSIS IN-DEPTH RTF 취약점을이용한제로데이공격분석 ASEC REPORT 52 Security Trend

20 악성코드상세분석 01 RTF 취약점을이용한제로데이공격분석 Analysis In-Depth 우리는일상적으로개인또는업무적인목적을위해문서파일이포함된전자메일을종종공유한다. RTF 첨부파일이해당제로데이공격파일로의심되는사례가발견되어관심을모았다. 특히, RTF(Rich Text Format) 는마이크로소프트사가 1987년크로스플랫폼문서교환을위해만들어낸문서파일형식으로, 워드 (doc) 파일과마찬가지로마이크로소프트사의오피스프로그램을통해손쉽게사용이가능하다. 이러한 RTF 문서파일은 MS 워드프로그램이문서파일을읽는과정에서발생하는다수의취약점을통해과거로부터꾸준히공격에활용되어왔다. 지난 3월말, 마이크로소프트사는자사의블로그를통해 MS Word 2010(RTF) 을공격대상으로하는새로운제로데이 (Zero-day) 취약점에대한보안권고문 (MS Security Advisory ) 을게시하였다. 해당블로그에는이미실제공격에이용된 RTF 파일에대한상세한분석정보가함께게시되었지만, 공격파일자체에대한정보는외부로알려지지않았다. 이후 [ 그림 3-1] 과같이다수의스팸 (spam) 메일에 그림 3-1 RTF 첨부파일을포함하는스팸메일 취약한 RTF 파일은본래파일형식이매우복잡하고, 공격파일또한대부분정교하게구성되어있어일반사용자가아닌전문가들도취약점의원인을찾기란쉽지않다. 이로인해앞서알려진스팸메일속 RTF 파일도다수의보안업체로부터해당제로데이취약점파일로오인되면서탐지및진단명이여러번변경되는해프닝이벌어지기도했다. [ 그림 3-1] 의메일속 RTF 파일은 [ 그림 3-2] 와같이 MSCOMCTL.dll 파일이내부의스트림 (stream) 데이터를읽어오는과정에서발생하는과거 CVE 취약점 ( 스택기반의버퍼오버플로우취약점 ) 으로확인되었다. ASEC REPORT 52 Security Trend 20

21 Debugging) 코드와자체 API 후킹 (Hooking) 여부를판단할수있는코드가추가되어있다. 그림 3-2 InvoiceID_... RTF 파일내부 [ 그림 3-3] 은이번제로데이 RTF 취약점을이용한 대표적인공격파일이다. 또한, 취약점이발생한시스템에설치된 Reporting Events.log 정보를참고하여, 이후의정보가존재하지않을때만추가적인악성코드 (svchost.exe) 를시스템 (system) 파일과숨김 (hidden) 파일속성으로생성하여실행한다. 그림 3-3 RTF 파일 (Hombres Mercurio.doc) 내부 해당취약점은과거에이미보고된 CVE RTF 취약점의변형으로알려졌다. 이번취약점은과거취약점과마찬가지로 RTF 요소중 listoverridecount 의값이 RTF 스펙상에서정상적으로허용하는 0, 1, 9 외의값을가질경우발생하는문제점이여전했고, 다만그값에서차이를보인다. 따라서마이크로소프트사에서는해당공격파일을진단명 Exploit:Win32/CVE 로진단하고있다. 그림 3-4 ReportingEvents.log 파일내부 마이크로소프트사는 4월정기보안업데이트 ( technet.microsoft.com/ko-kr/security/ bulletin/ms14-017) 를통해제로데이취약점에대한패치를배포하였다. 해당취약점의위협을해결하기위해사용자들은업데이트를우선적으로적용하기를권고한다. 또한, 다른문서파일위협에노출되지않도록전자메일속첨부파일을열때한번더주의를기울이는보안습관이필요하다. 실제공격에이용된 RTF 파일은운영체제상의보안매커니즘 ASLR(Address Space Layer Randomization) 과 DEP(Data Execution Prevention) 를우회하여취약점을실행할수있도록제작되었다. 취약점이성공한후에실행되는쉘코드 (Shell Code) 에는다양한디버깅방지 (Anti- ASEC REPORT 52 Security Trend 21

22 ASEC REPORT vol.52 April, 2014 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩 UX디자인팀 T F 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다 AhnLab, Inc. All rights reserved.