Security Trend ASEC Report VOL.56 August, 2014

Transcription

1 Security Trend ASEC Report VOL.56 August, 2014

2 ASEC Report VOL.56 August, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 ( 에서확인하실수있습니다 년 8 월보안동향 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 Table of Contents 보안이슈 SECURITY ISSUE 01 사용자 PC 정보를통계사이트로전송하는악성코드 02 정상시스템파일을변조하는온라인게임핵 악성코드상세분석 Analysis-In-Depth 01 프로그램 (PUP) 변조를통한악성코드유포 10 ASEC REPORT 56 Security Trend 2

3 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 ASEC REPORT 56 Security Trend

4 보안통계 01 악성코드통계 Statistics ASEC 이집계한바에따르면, 2014 년 8 월한달간탐지된악성코드수는 289 만 7,479 건으로나타났다. 이 는전월 225 만 7,733 건에비해 63 만 9,746 건증가한수치다. 한편 8 월에수집된악성코드샘플수는 359 만 6,157 건으로집계됐다. [ 그림 1-1] 에서 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플 수집수 는안랩이자체적으로수집한전체악성코드샘플수를의미한다. 5,000,000 4,000,000 3,000,000 2,000,000 2,257,733 2,897,479 1,705,345 1,000, ,611,553 6 월 3,519,765 7 월 3,596,157 8 월 탐지건수샘플수집수 [ 그림 1-1] 악성코드추이 ASEC REPORT 56 Security Trend 4

5 [ 그림 1-2] 는 2014 년 8 월한달간유포된악성코드를주요유형별로집계한결과이다. 트로이목마 (Trojan) 계열의악성코드가 47.58% 로가장높은비중을차지했고, 불필요한프로그램인 PUP(Potentially Unwanted Program) 가 30.42%, 애드웨어 (Adware) 가 6.85% 로그뒤를이었다. 2.03% 2.54% 6.85% 47.58% 10.58% 30.42% Trojan PUP etc Adware Worm Downloader [ 그림 1-2] 주요악성코드유형 [ 표 1-1] 은 8 월한달간가장빈번하게탐지된악성코드 10 건을진단명기준으로정리한것이다. Trojan/Win32.ADH 가총 14 만 5,727 건으로가장많이탐지되었고, Trojan/Win32. OnlineGameHack 이 11 만 6,110 건으로그뒤를이었다. [ 표 1-1] 악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 Trojan/Win32.ADH 145,727 2 Malware/Win32.OnlineGameHack 116,110 3 Adware/Win32.SwiftBrowse 108,520 4 Adware/Win32.SearchSuite 106,428 5 Trojan/Win32.Gen 100,588 6 Trojan/Win32.Agent 84,520 7 ASD.Prevention 76,275 8 PUP/Win32.IntClient 69,847 9 Trojan/Win32.Generic 61, Trojan/Win32. Agent 60,958 ASEC REPORT 56 Security Trend 5

6 보안통계 02 웹통계 Statistics 2014 년 8 월악성코드유포지로악용된도메인은 1,902 개, URL 은 3 만 918 개로집계됐다. 또한 8 월의악 성도메인및 URL 차단건수는총 534 만 3,498 건이다. 악성도메인및 URL 차단건수는 PC 등시스템이 악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 6,000,000 5,343,498 5,000,000 4,000,000 3,928,542 3,000,000 2,147,161 2,000,000 1,000,000 40,000 30,000 30,918 20,000 10,218 12,241 10,000 1,406 1,718 1,902 악성도메인 /URL 차단건수 악성코드유포도메인수 0 6 월 7 월 8 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 ASEC REPORT 56 Security Trend 6

7 보안통계 03 모바일통계 Statistics 2014 년 8 월한달간탐지된모바일악성코드는 7 만 4,413 건으로나타났다. 263, , , , ,000 74,678 74,413 50, 월 7 월 8 월 [ 그림 1-4] 모바일악성코드추이 ASEC REPORT 56 Security Trend 7

8 [ 표 1-2] 는 8 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. 안드로이드애플리케 이션에번들로설치되어광고를노출하는 Android/PUP/Dowgin 이가장많이탐지되었다. [ 표 1-2] 유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/Dowgin 17,160 2 Android-Trojan/FakeInst 15,253 3 Android-Trojan/Opfake 3,889 4 Android-PUP /SMSReg 3,419 5 Android-PUP/ Wapsx 2,408 6 Android-Trojan/ SMSAgent 1,875 7 Android-PUP/ Youmi 1,783 8 Android-Trojan/SMSSend 1,694 9 Android-Trojan/Mseg 1, Android-PUP/SMSPay 1,078 ASEC REPORT 56 Security Trend 8

9 2 보안이슈 SECURITY ISSUE 01 사용자 PC 정보를통계사이트로전송하는악성코드 02 정상시스템파일을변조하는온라인게임핵 ASEC REPORT 56 Security Trend

10 보안이슈 01 사용자 PC 정보를통계사이트로전송하는악성코드 Security Issue 요즘개인정보유출과관련된사건사고가증가하고있는가운데개인의 PC 정보를노린악성코드가발견돼주의가요구된다. 해당악성코드는사용자의 PC 정보를수집하여통계사이트로전송하고백신을무력화시킨다. 통계사이트로전송한정보는 [ 그림 2-1] 과같이감염된 PC의 IP 주소와국적, 감염일자, 운영체제, 보안소프트웨어상태등이다. 그리고 [ 표 2-1] 에서생성된 6to432.dll과 Vag.tbl 파일을서비스에등록한다. 표 2-2 레지스트리생성정보 HKLM SYSTEM ControlSet001 Services 6to4 ImagePath "%SystemRoot% System32 svchost.exe -k netsvcs" HKLM SYSTEM ControlSet001 Services 6to4 Start 0x2 Auto Load HKLM SYSTEM ControlSet001 Services 6to4 Parameters ServiceDll "C: WINDOWS system32 6to432.dll" HKLM SYSTEM ControlSet001 Services 6to4 Start 0x2 그림 2-1 감염 PC 통계사이트 악성코드가실행되면 [ 표 2-1] 과같이파일이생성된다. 표 2-1 파일생성정보 C: WINDOWS system32 6to432.dll C: WINDOWS system32 102A(3~4자리숫자 + 1자리영문자 ).tmp C: WINDOWS system32 102B(3~4자리숫자 + 1자리영문자 ).tmp C: WINDOWS system32 6to432 C: WINDOWS system32 Vag.tbl C: WINDOWS system32 apci.sep C: WINDOWS system32 ias sysprtj.prd HKLM SYSTEM ControlSet001 Services net81390 ImagePath "?? C: WINDOWS system32 Vag.tbl" HKLM SYSTEM ControlSet001 Services net81390 Start 0x2 dll 파일은프로세스에로드되어실행된다. [ 그림 2-2] 와같이 svchost.exe에로드되었음을확인할수있다. 로드된 dll 파일은특정사이트에접근하여파일을생성한다. ASEC REPORT 56 Security Trend 10

11 그림 2-2 svchost.exe 에로드된 6to432.dll 파일 그림 2-4 특정사이트에서받은파일 _m.exe( 좌 ) 와 102B.tmp 파일 ( 우 ) B.tmp 파일은 [ 그림 2-5] 와같이사용자의 PC 정보를탈취하는파일 (Vag.tbl) 을생성한다. 그림 2-3 특정사이트에서다운로드한파일 _ b.exe( 좌 ) 와 m.exe( 우 ) [ 그림 2-3] 과같이 m.exe 와 b.exe 파일을다운로 드할때 tmp 파일이생성된다. 생성된파일은 [ 그림 2-4] 1, 2 와같다. 그림 2-5 사용자의 PC 정보를탈취하는파일생성 생성된 Vag.tbl 파일의확장자는 tbl이지만, PE(Portable Executable) 헤더를확인하면시스템드라이버파일이다. 옵셔널헤더 (Optional Header) 의서브시스템 (Subsystem) 값을통해파일의종류 ( 드라이버파일 / GUI 파일 / CUI 파일 ) 를확인할수있다. 그림 2-4 특정사이트에서받은파일 _b.exe( 좌 ) 와 102A.tmp 파일 ( 우 ) - 1 그림 2-6 Vag.tbl 의파일종류 ASEC REPORT 56 Security Trend 11

12 Vag.tbl 파일은서비스에등록및실행되면서 [ 그림 2-7] 과같이감염된 PC의정보를후킹 (hooking) 한다. 후킹은일반적으로운영체제나응용소프트웨어등의각종 PC 프로그램에서소프트웨어구성요소간에발생하는함수호출, 메시지, 이벤트등을중간에바꾸거나가로채는명령, 방법, 기술이나행위를뜻한다. 공격대상의 PC 메모리정보, 키보드입력정보등의유출시에도사용된다. 그림 2-7 후킹되는모습 그림 2-8 수집된정보를전송하는과정 유출된감염 PC의정보는 [ 그림 2-8] 과같이 UDP(User Datagram Protocol) 를통해통계사이트로전송된다. 이러한정보는추후악성코드배포에악용될가능성이높아주의가필요하다. V3 제품에서는관련악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Trojan/Win32.OnlineGameHack ( ) Backdoor/Win32.Trojan ( ) Trojan/Win32.Hooker ( ) Trojan/Win32.Agent ( ) ASEC REPORT 56 Security Trend 12

13 보안이슈 02 정상시스템파일을변조하는온라인게임핵 Security Issue 온라인게임핵 (OnlineGameHack) 악성코드는온라인게임계정을탈취하여금전취득을목적으로제작된다. 이때문에대부분의온라인게임업체는계정탈취를막기위해게임실행시별도의보안모듈이나백신으로보안사고를방지한다. 이러한보안기술을회피하기위해악성코드제작자들은특정서비스의로드나백신의동작을방해한다. 이번에발견된악성코드도백신의동작을방해하고윈도정상시스템파일을변조하여정상파일로위장하였다. [ 그림 2-11] 과같이 C: Windows System32 drivers 경로에생성된 [ 랜덤문자열 ].sys는레지스트리에등록되어부팅시서비스로자동실행된다. 이때드라이버로드를방해하여백신이정상적으로동작하지못하게한다. 그림 2-9 악성코드아이콘 해당악성코드를실행하면온라인게임계정을탈취하는악성코드와백신의동작을방해하는악성코드가생성된다 ([ 그림 2-10]). 그림 2-11 서비스에등록된악성코드 해당악성파일이실행되면서비스로드를방해하여백신이원활하게동작하지않는다. 따라서백신을정상적으로실행시키려면해당파일을직접삭제하거나전용백신으로치료해야한다. 그림 2-10 생성된악성코드 악성코드에의해생성된 wshtcpip.dll 은윈도정상 시스템파일로보이지만, 정상파일을패치 (patch) 한악성파일이다. 파일의속성정보를보면두파일 ASEC REPORT 56 Security Trend 13

14 이다르다. 해당악성파일은정상프로세스에로드되어 [ 그림 2-12] 와같이온라인게임의계정탈취를시도한다. 해당악성코드는안랩에서제공하는온라인게임핵전용백신으로변종에대한치료도가능하다. 그림 2-12 계정이유출된온라인게임 그림 2-15 온라인게임핵전용백신실행화면 그림 2-13 정상 wshtcpip.dll( 좌 ), 변조된 wshtcpip.dll( 우 ) 해당파일은윈도시스템파일로, 삭제하면인터넷을사용할수없거나블루스크린 (BSOD) 현상이나타날수있다. Qbridge.exe 파일은 wshtcpip.dll 파일을변조시키기위해해당파일을 C: Windows System32 경로에 ws2tcpip. dll이라는이름으로복사한다. 그리고 ws2tcpip. dll 파일을이용하여정상파일을패치한악성파일 (wshtcpip.dll) 을생성한다. 패치된악성파일은정상파일의기능을그대로복사하여시스템파일의변조로인한오류가발생하지않도록하였다.([ 그림 2-14]). 전용백신을사용할수없을경우해당악성코드를정상파일로바꿔주면치료할수있다. C: Windows winsxs 폴더는애플리케이션이필요한 dll 파일의상세정보를별도의파일로보관한후필요할때해당 dll 파일을선택하여사용할수있는용도로쓰인다. 같은 dll 파일이라도여러버전이있다. 프로그램마다요구버전이달라호환성유지를위해각버전별 dll 파일을 C:\Windows\winsxs 폴더에보관하고있다. 파일을수동으로관리하려면 winsxs 폴더에서정상 wshtcpip.dll 파일과 midmap.dll 파일을복사하여기존경로 (C: Windows System32) 에복사해주면된다. 그림 2-16 winsxs 폴더에위치한 wshtcpip.dll 파일 그림 2-14 변경된이름으로저장된정상 wshtcpip.dll 파일 온라인게임의계정유출은금전적인피해로이어질수있어사용자들의각별한주의가필요하다. 백신을포함한응용프로그램을항상최신버전으로유지하 ASEC REPORT 56 Security Trend 14

15 여언제어떻게일어날지모르는보안위협에대비해야한다. V3 제품에서는관련악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Win-Trojan/Onlinegamehack ( ) Win-Trojan/Onlinegames ( ) Win-Trojan/Onlinegamehack ( ) Trojan/Win32.Agent ( )

16 3 악성코드상세분석 Analysis-In-Depth 01 프로그램 (PUP) 변조를통한악성코드유포 ASEC REPORT 56 Security Trend

17 악성코드상세분석 01 프로그램 (PUP) 변조를통한악성코드유포 Analysis-In-Depth 공격자의목적은특정시스템을악성코드에감염시켜원하는정보를탈취하는것이다. 이때중요한것은 감염대상시스템의사용자가인지할수없도록악성코드를감염시킬수있는가? 이다. 이를위해공격자가사용할수있는방법은현재악성코드의유포패턴을볼때 [ 표 3-1] 과같이정리할수있다. 표 3-1 악성코드유포패턴 1. 해킹된웹사이트 + IE, 플래시플레이어, 자바의취약점결함 2. 이메일과문서프로그램 (MS 오피스, 한글, PDF) 의취약점결함 3. 정상응용프로그램변조이번에살펴볼사례는 [ 표 3-1] 의 3번으로, 정상적으로사용하는응용프로그램변조 이다. 분석한프로그램은 PUP이다. PUP(Potentially Unwanted Program) 란? 공개용프로그램의번들이나블로그, 카페등을통해정상프로그램처럼위장하여배포된다. 하지만막상사용자가무의식적으로동의를클릭하면해당프로그램설치과정에서광고프로그램등이함께설치된다. 사용자의의도와다르게주기적으로광고를출력하는등의불편을일으키는프로그램이다. PUP 업데이트서버는외부공격을받아 PUP 업데이트파일은악성코드로변조되었고사용자의 PC에이미설치된 PUP는업데이트서버로부터업데이트파일을다운로드한후실행된다. 이때다운로드한파일은악성코드로변조되어사용자의 PC는악성코드에감염된다. 위와같은방법은오래전부터사용되어왔다. 지난해한창이슈가되었던금융권을대상으로한메모리해킹악성코드는변조된 PUP로사용자의 PC를감염시키고금융정보를유출하여금전적인피해를일으켰다. 이는사용자들이다양한경로를통해프로그램을다운로드하고설치하는과정에서설치약관등을꼼꼼하게읽지않아서이다. 이로인해다수의 PUP 가설치되고설치된 PUP는자신의업데이트서버로부터업데이트를다운로드하고설치하는과정에서악성코드에감염된다. 이번사례역시위에서언급한내용과동일하다. 상당수의고객이동일한악성코드에감염되었고수집된정보를분석하는과정에서해당 PC에동일한 PUP 가설치되어실행중임이발견되었다. ASEC REPORT 56 Security Trend 17

18 그림 3-1 실행중인 PUP 프로세스 q****ge.exe 파일이실행되면 [ 그림 3-2] 와같이주기적으로업데이트서버와통신하여버전정보를획득한다. 이후사용자의 PC에설치된 PUP의버전보다상위버전일경우다운로드받도록되어있다. 그림 3-4 복호화코드부분 [ 그림 3-5] 와같이 %TEMP% 에생성된악성코드는자신의감염, 유포경로등을추적할수없도록인터넷접속기록, 레지스트리흔적등을삭제한다. 그림 3-5 삭제된기록정보 그림 3-2 업데이트서버와통신기록 이때사용자의 PC에다운로드된버전의 PUP에악성코드가포함되어있다. 악성코드가포함된 PUP는 PUP + 악성코드가하나의파일에묶여있는구조이다 ([ 그림 3-3]). [ 그림 3-6] 과같이악성코드실행시자신의흔적을 지우는기능때문에악성코드파일의다운로드기록을수집하기어렵다. 그림 3-6 다운로드기록을삭제하는부분 그림 3-3 묶여있는 PUP 파일과악성코드파일 [ 그림 3-3] 은 PUP 와 악성코드 로표시된영역이다. 악성코드영역은암호화되어있다. 암호화된영역은 [ 그림 3-4] 와같이복호화코드를통해실행가능한파일로변환된다. 당시유포되었던 q****ge.exe 파일을실행하면복호화를거친후 %TEMP% 에악성코드를생성하고실행한다. [ 그림 3-7] 은 %TEMP% 에생성된악성코드가실행되면서생성한또다른악성코드내에있는문자열이다. 지난해이슈가되었던메모리해킹은특정은행의인터넷뱅킹접속시사용자의금융정보를탈취하기위해사용한자바스크립트패턴과유사하다. 지난해에는동일한기능을가진악성코드의목적은사용자의금융정보탈취였다. 그러나은행권에서보안을강화하면서사용자의금융정보탈취가어려워지자유사한기능을이용하여특정온라인게임사용자의계정정보추출을시도한것으로보인다. ASEC REPORT 56 Security Trend 18

19 표 3-2 네트워크연결정보 c****t.q*****e.c*.*r : 2**.1*1.3.*6 n**.ou***b.c*m : 2**.1**.2*.1*0 그림 3-7 계정정보를추출하는자바스크립트정보 [ 그림 3-8] 과같이인터넷익스플로러가실행될때마다특정사이트로접속하여변종악성코드를다운로드하도록시도한다. 그림 3-8 변종악성코드다운로드 V3 제품에서는관련악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Trojan/Win32.Agent ( ) Trojan/Win32.Banki ( ) ASEC REPORT 56 Security Trend 19

20 ASEC REPORT vol.56 August, 2014 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩 UX디자인팀 T F 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다 AhnLab, Inc. All rights reserved.