Security Trend ASEC REPORT VOL.67 July, 2015

Transcription

1 Security Trend ASEC REPORT VOL.67 July, 2015

2 ASEC REPORT VOL.67 July, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 ( 에서확인하실수있습니다 2015 년 7 월보안동향 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 Table of Contents 보안이슈 SECURITY ISSUE 01 파밍악성코드의진화 ( 즐겨찾기변조 ) 02 국내주요포털사이트를가장한유해사이트주의 악성코드상세분석 ANALYSIS IN-DEPTH 스마트폰까지노리는랜섬웨어 크립토락커 (Cryptolocker) 18 2

3 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계

4 보안통계 01 악성코드통계 Statistics ASEC 이집계한바에따르면 2015 년 7 월한달간탐지된악성코드수는 1,936 만 1,841 건이다. 이는전 월 1,605 만 3,772 건에비해 330 만 8,069 건증가한수치다. 한편 7 월에수집된악성코드샘플수는 605 만 305 건이다. 40,000,000 30,000,000 20,000,000 18,144,414 19,361,841 10,000,000 16,053,772 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 4,832,464 5,967,561 6,050,305 탐지건수샘플수집수 05 월 06 월 07 월 [ 그림 1-1] 악성코드추이 (2015 년 5 월 ~ 2015 년 7 월 ) * 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 4

5 [ 그림 1-2] 는 2015 년 7 월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그 램인 PUP(Potentially Unwanted Program) 가 69.27% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 19.44%, 애드웨어 (Adware) 가 4.62% 로그뒤를이었다. 1.48% 4.62% 0.2% 69.27% 5.06% 19.44% PUP Trojan etc Adware Worm Downloader [ 그림 1-2] 2015 년 7 월주요악성코드유형 [ 표 1-1] 은 7 월한달간가장빈번하게탐지된악성코드 10 건을진단명기준으로정리한것이다. PUP/ Win32.BrowseFox 가총 405 만 2,984 건으로가장많이탐지되었고, PUP/ Win32.MicroLab 이 131 만 818 건으로뒤를이었다. [ 표 1-1] 2015년 7월악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 PUP/Win32.BrowseFox 4,052,984 2 PUP/Win32.MicroLab 1,310,818 3 PUP/Win32.Helper 764,824 4 PUP/Win32.Enumerate 567,644 5 PUP/Win32.Winexpand 520,237 6 PUP/Win32.SubShop 512,323 7 PUP/Win32.MyWebSearch 481,955 8 PUP/Win32.CrossRider 436,116 9 PUP/Win32.WindowsTap 388, PUP/Win32.SearchProtect 350,761 5

6 보안통계 02 웹통계 Statistics 2015 년 7 월악성코드유포지로악용된도메인은 1,476 개, URL 은 1 만 6,578 개로집계됐다 ([ 그림 1-3]). 또한 7 월의악성도메인및 URL 차단건수는총 579 만 1, 463 건이다 ([ 그림 1-3]). 9,000,000 8,000,000 7,000,000 6,000,000 5,724,598 5,791,463 5,000,000 4,000,000 4,037,996 40,000 30,000 20,000 13,887 13,047 16,578 10,000 1,504 1,459 1,476 악성도메인 /URL 차단건수 악성코드유포도메인수 0 05 월 06 월 07 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 (2015 년 5 월 ~ 2015 년 7 월 ) * 악성도메인및 URL 차단건수 란 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 6

7 보안통계 03 모바일통계 Statistics 2015 년 7 월한달간탐지된모바일악성코드는 22 만 9,644 건으로집계됐다. 300, , , , , , , ,000 50, 월 06 월 07 월 [ 그림 1-4] 모바일악성코드추이 (2015 년 5 월 ~ 2015 년 7 월 ) 7

8 [ 표 1-2] 는 7 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. Android-PUP/ Zdpay 가가장많이발견되었다. [ 표 1-2] 2015 년 7 월유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/Zdpay 32,536 2 Android-PUP/Mulad 32,261 3 Android-PUP/SmsPay 24,041 4 Android-PUP/SmsReg 21,903 5 Android-Trojan/FakeInst 17,260 6 Android-Trojan/Opfake 10,790 7 Android-PUP/Noico 8,767 8 Android-Trojan/AutoSMS 8,338 9 Android-Trojan/SmsSpy 7, Android-Trojan/SmsSend 4,578 8

9 2 보안이슈 SECURITY ISSUE 01 파밍악성코드의진화 ( 즐겨찾기변조 ) 02 국내주요포털사이트를가장한유해사이트주의

10 보안이슈 Security Issue 01 파밍악성코드의진화 ( 즐겨찾기변조 ) 파밍 (Pharming) 이란? 사용자의컴퓨터에악성코드를감염시킨후, 사용자가은행사이트에접속할경우가짜사이트로연결되도록조작해금융정보를탈취하는공격방법이다. 이러한파밍공격은매우오래전에시작됐지만본격적인피해보고는 2011년도이후에급증했다. 파밍악성코드는지금까지도발견되고있으며, 백신제품으로부터의탐지를피하고사용자를속이기위한새로운형태로지속적으로발전하고있다. 인터넷사용자라면자주가는사이트를즐겨찾기에추가함으로써인터넷사용환경을편리하게설정해놓을수있다. 이렇듯즐겨찾기에포털사이트, 금융사이트등을등록하는사용자가많다. 이번에발견된파밍악성코드는이러한점을노리고제작되었다. 악성코드는다음 [ 그림 2-2] 와같이실행파일로제작되어있다. 최근에는웹브라우저의즐겨찾기주소를변경하여사용자를가짜웹페이지로연결하는파밍악성코드를확인했다. 즐겨찾기는사용자가자주방문하는웹사이트를저장한링크이며, 링크이름을클릭하여해당사이트로간단히이동할수있다. 그림 2-2 파일 exp.exe 파일 exp.exe 를실행할경우, 다음과같이파일 4.exe, 5.exe 가같은경로에생성된후실행된다. 그림 2-3 파일 4.exe, 5.exe 그림 2-1 인터넷익스플로러의즐겨찾기 파일 4.exe 가실행되면다음과같이사이트 user. 10

11 qzone.qq.com 에접속하여가짜웹페이지주소 와카운터페이지주소를가져온다. 이후, 즐겨찾기주소를변조하기위해웹브라우저의즐겨찾기파일이저장된경로를확인한다. 표 2-1 사이트 user.qzone.qq.com/3********4 정보 [ 가짜웹페이지주소정보 ] 생략 <title>my********.com [ qq.com]</title> 이하생략표 2-2 사이트 user.qzone.qq.com/5******2 정보 [ 카운터페이지주소정보 ] 생략 <title>s********1.com [ qq.com]</title> 이하생략 표 2-4 웹브라우저즐겨찾기경로 [ 웹브라우저 크롬 (Chrome) 즐겨찾기경로 ] [Windows 7, Windows 8] C:\User\( 사용자계정명 )\AppData\Local\Google\Chrome\ User Data\Default\Bookmarks [Windows XP] C:\Documents and Settings\( 사용자계정명 )\Local Settings\Application Data\Google\ Chorme\User Data\Default\Bookmarks [ 웹브라우저 인터넷익스플로러 (IE) 즐겨찾기경로 ] [Windows 7, Windows 8] C:\User\( 사용자계정명 )\Favorites\ [Windows XP] C:\Documents and Settings\( 사용자계정명 )\Favorites\ 추가적으로사용자의 IP 주소를수집하기위해사이트 에접속하며, 시스템의운영체제정보를수집한다. 표 2-3 사이트 정보 [ 웹페이지정보 ] 생략 <p>your pubblic IP address is:</p><h2>1**.***.***.164</ h2> 이하생략 이렇게수집된가짜웹페이지주소는사용자의즐겨찾기주소변조에이용된다. 다음과같이즐겨찾기의 URL 주소중특정단어가포함된경우, 가짜웹페이지주소로변경한다. 표 2-5 변조되는금융사이트목록 [ 변조되는금융사이트 ] 금융사이트단어 (Keyword) A은행 *****r B은행 *****bank 그림 2-4 운영체제정보수집 C은행 D은행 E은행 F은행 G은행 H은행 I은행 ******n **k ******p *****bank ****bank **bank **b 11

12 J 은행 K 은행 ***c ****************d 즐겨찾기의 URL 주소가변조된금융사이트에접속할경우, 다음의 [ 그림 2-8] 과같이실제금융사이트를복사하여만든가짜웹페이지로연결된다. 그림 2-5 정상 URL 주소 ( 왼쪽 ) / 변조된 URL 주소 ( 오른쪽 ) 또한, IP 주소와운영체제정보는카운터페이지로전송된다. 악성코드제작자는이러한카운터페이지를통해서감염된시스템의수를측정한다. 표 2-6 전송되는네트워크정보 [ 전송되는정보 ] sjrjaakek1.com/count/i/addinstall.action?params= {"systemtype": 운영체제명 ","projecttype":" 변조된금융사이트 ", "browsertype":" 웹브라우저명 ","ip":" 감염된시스템 IP주소 "} 그림 2-6 전송되는네트워크정보 다음으로파일 5.exe 가실행되면, 시스템의공인인증서경로를탐색한다. 만약해당경로에공인인증서폴더가존재할경우, 압축한다음 FTP를이용하여전송한다. 그림 2-8 B 은행의가짜웹페이지 가짜웹페이지내부에는다음과같은코드가삽입되어있어, 페이지내의어떠한버튼을클릭한경우라도경고창을표시한다. 표시된경고창의확인버튼을클릭하면사용자의개인정보및금융정보탈취를위한페이지로이동하게된다. 표 2-7 가짜웹페이지정보 [ 가짜웹페이지정보 ] $("a").bind("click",function() {alert(" 보다안전한인터넷뱅킹의이용을위하여 ( 월 ) 인터넷뱅킹, 스마트뱅킹, 폰뱅킹. 이모든서비스를이용하시려면 ( 개인. 기업 ) 추가인증후이용이가능합니다. "); location.href='pa_ge.jsp';return false;}); 그림 2-7 외부서버 FTP 주소, 아이디, 암호 그림 2-9 경고메시지 12

13 파밍공격은점점더교묘하게진화하고있다. 이번에발견된파밍악성코드는기존의악성코드와달리시작프로그램이나서비스영역에악성파일을등록하지않는다. 따라서악성파일이최초실행된후다시실행되지않으므로악성코드감염여부확인이어렵다. 이러한파밍공격을예방하려면보안업데이트를설치하여드라이브-바이-다운로드 (Drive-By- Download) 공격을막고, 불필요한프로그램설치를사전에방지해야한다. 백신제품의엔진을최신버전으로유지하는올바른사용습관도필요하다. 그림 2-10 개인정보및금융정보탈취페이지 개인정보는이름, 주민등록번호, 핸드폰번호를요구하며, 금융정보는계좌번호, 계좌비밀번호, 사용자아이디, 사용자비밀번호, 공인인증서비밀번호, 보안카드일련번호, 보안카드번호등을요구한다. 사용자가입력한정보는악성코드제작자에게전송된다. V3 제품에서는다음과같이진단하고있다. <V3 제품군의진단명 > Trojan/Win32.Banki ( ) 그림 2-11 개인정보및금융정보탈취페이지 13

14 보안이슈 02 국내주요포털사이트를가장한유해사이트주의 Security Issue 최근국내주요포털사이트를사칭한피싱페이지가다수발견되고있다. 국내주요포털사이트를사칭하는이유는사용자가평상시에보는친숙한페이지를보여줌으로써의심을피하기위해서다. 최근발견된사례들을살펴보면서자신의계정정보가유출되지않도록각별히주의하자. 사례 1) 국내주요포털사이트를사칭한경우이사례는스팸메일의첨부파일로유포되는 html 파일내에악성코드가삽입된경우다. 해당 html 파일을실행하면정상적인포털사이트처럼보이지만, 해당 html 파일의코드를직접확인해보면실제해당포털사이트페이지의코드를그대로차용한피싱페이지임을알수있다. 그림 2-12 정상포털사이트코드 ( 위 ) / ADVICE OF REMITTANCE.html 악성코드 ( 아래 ) 이로인해사용자가아이디와비밀번호를입력하여로그인버튼을클릭하면계정정보 ( 아이디, 비밀번호 ) 를전송한후에본래의정상포털사이트로연결시킨다. 다음과같이피싱페이지와정상페이지의코드를비교해보면, 로그인정보를전송하는주소만다르다. 그림 2-13 계정정보 ( 아이디, 비밀번호 ) 전송패킷 이처럼국내주요포털사이트를사칭한피싱사이트가지속적으로발견되고있지만, 주소표시줄을자세히확인하지않으면정상페이지와구분이어렵다. 따 14

15 라서사용자는자신이접속한사이트의주소가정확한지확인하고로그인을해야한다. 최근스팸메일내첨부파일에대한사용자들의경각심이높아졌지만, 여전히습관적으로파일을실행하는경우가있다. 의심이가는메일에첨부된파일을다운받아실행하거나, URL을클릭하여연결하지않도록주의가필요하다. 혹연결했더라도부가정보를입력하지않도록해야한다. 표 2-8 정상포털사이트주소와유사한피싱사이트의 URL [ 가짜웹사이트 URL] 가짜웹사이트는다음과같이변조된붉은색영역과정상웹페이지인파란색영역으로구별되어있다. 스팸메일을받았다면반드시사용중인백신제품으로첨부파일을검사해보고, 확인되지않은송신자의메일은바로삭제할것을권장한다. 그림 2-15 가짜웹사이트 사례 2) 주요포털사이트 + 쇼핑사이트두번째사례는주요포털사이트 + 쇼핑사이트다. 이번사례도첫번째사례와마찬가지로주요포털사이트의인지도를악용한사례다. 특히, 무더운여름철오프라인쇼핑보다는온라인쇼핑이많을것을예상하여제작한것으로추정된다. 파란색영역은정상적인쇼핑사이트이므로사용자는사이트의위조여부를구별하기어렵다. 하지만붉은색영역은악성파일이삽입된페이지 (a******me.h****eb.net/g*****s)/d***. htm) 다. 가짜웹사이트는아래 [ 그림 2-14] 과같이포털사이트와쇼핑사이트가결합된정상홈페이지를위조하여제작되었다. 그림 2-16 가짜웹사이트코드정보 위의악성페이지소스를보면 [ 그림 2-17] 의소스코드를확인할수있다. 그림 2-17 악성페이지소스코드 그림 2-14 가짜웹사이트 해당사이트를통해악성파일을다운로드받을수있 15

16 도록되어있으며, 다운로드받은파일을실행하면추가파일생성, 레지스트리등록, 네트워크연결등악성행위를한다. 지확인할것을권장한다. V3 제품에서는다음과같이진단하고있다. 표 2-9 파일생성정보 [ 파일생성정보 ] Total0.exe create C:\WINDOWS\system32\ rvmsv.exe <V3 제품군의진단명 > HTML/Accountstealer ( ) Trojan/Win32.Downloader ( ) Total0.exe create C:\WINDOWS\system32\ winnetsc.exe 표 2-10 레지스트리등록 [ 레지스트리등록 ] HKLM\SYSTEM\ControlSet001\Services\NetStateCheck DisplayName ImagePath Network State Protection Check C:\WINDOWS\system32\winNetSc. exe 생성된악성파일은특정주소로네트워크연결을시도한다. 표 2-11 네트워크연결 [ 네트워크연결 ] rvmsv.exe 2*1.**1.2.9 악성코드제작자는사용자의호기심을자극하는문구로사용자가피싱사이트에접속하도록유도한다. 사용자는 이벤트당첨, 고지서확인 등의문구로사이트접속을유도하는메시지에속지않도록주의해야한다. 이러한메시지를보고해당사이트에접속했다면, 주소표시줄을보고정상사이트 URL이맞는 16

17 3 악성코드상세분석 ANALYSIS-IN-DEPTH 스마트폰까지노리는랜섬웨어 크립토락커 (Cryptolocker)

18 악성코드상세분석 Analysis-In-Depth 스마트폰까지노리는랜섬웨어 크립토락커 (Cryptolocker) 2015년상반기에는 Windows 랜섬웨어에의한사용자피해가컸다. 특히한국을겨냥한, 한국어를지원하는랜섬웨어가발견되면서더욱큰위협이되고있다. 랜섬웨어는 Windows 뿐만아니라안드로이드에서도꾸준히발견되고있는위협중하나다. 최근에발견되고있는랜섬웨어를살펴보겠다. 악성앱의이름은 Addobe Flash 이다. Adobe Flash Player 를위장하여유포하고있다는것을짐작할수있다. 그림 3-2 Android Manifest.xml 정보 Manifest 정보는앱을설치할때권한정보를보여주게되어있다. 설치과정을통해확인해보겠다. 다음과같이해당권한과함께휴대폰관리자 ( 기기관리자 ) 권한을추가로요구한다. 그림 3-1 악성앱 ( 왼쪽 ) / 앱설치목록 ( 오른쪽 ) 의악성앱 ( 위 ) 정상앱 ( 아래 ) 그림 3-3 악성앱설치과정중확인가능한요구권한과휴대폰관리자권한요구 악성앱이요구하는권한은다음과같다. 이악성앱은 Resources 영역에존재하는서버주 18

19 소와 com.lock.a.f class 에존재하는코드를조합 하여다음정보를해커에게전송한다. 표 3-1 전송정보 - 운영체제버전 - 스마트폰모델명 -IMEI( 국제이동단말기식별번호 ) - 국가정보 그림 3-6 악성앱감염화면 그림 3-4 정보수집 & 정보전송 ( 서버주소 ) 실제전송되는네트워크패킷을모니터링하면다음과같은과정으로전송되는것을확인할수있다. 이렇게악성앱에감염되면스마트폰이잠기는증상이발생하는데, 다른화면으로조작이불가능하기때문에스마트폰을사용하기어렵게된다. 추가적으로이악성앱의흥미로운점이한가지있다. 바로국가정보가러시아인경우에는동작하지않도록설계했다는것이다. 그림 3-5 스마트폰정보전송 이때스마트폰에는다음과같은화면이나타난다. 랜섬웨어의전형적인특징대로금전을요구하고있다. 요약하자면미화 100달러를 5일안에지불하라는내용이다. 그림 3-7 국가정보확인코드 랜섬웨어에감염된대부분의스마트폰은사용자제 19

20 어가불가능하다. 다른앱의실행은물론악성앱삭제도불가능하다. 이런경우에는스마트폰을 안전모드 로부팅한다음 기기관리자 ( 휴대폰관리자 ) 를비활성화하여삭제하면된다. 각제조사별로안전모드에접근하는방법은다양하다. 사용자가많은 2개제조사의안전모드부팅방법은다음과같다. 표 3-2 부팅방법 [LG 스마트폰 ] 전원버튼 -> 전원끄기 메뉴를길게누르고있으면안전모드부팅메시지가보인다. [ 삼성스마트폰 ] 재부팅시통신사로고가나올때 메뉴 버튼에불이들어오는데이때 메뉴 버튼을누르고있으면안전모드로부팅된다. 기기관리자권한을획득한악성앱을삭제하려면다음순서로조치하면된다. 안전모드로부팅후, [ 설정 ] [ 기기관리자 ( 휴대폰관리자 )] 메뉴에서악성앱을비활성화 ( 체크해제 ) 한다. 그런다음애플리케이션목록에서해당앱을제거하면된다. 요즘은 PC보다스마트폰을이용하는경우가많아졌다. 가입자의증가와더불어악성앱역시증가했다. 따라서앱은공식마켓에서다운로드하여설치하는것이상대적으로안전하지만, 공식마켓에도악성앱이등록되어있을수있어평판정보를확인하고설치하는습관을가져야한다. 무심코문자에포함된 URL 을클릭하다보면악성앱이설치될수있으므로안전성이확인되지않은 URL을클릭하거나앱을설치하지않도록주의해야한다. 또한, 모바일전용보안앱 (V3 Mobile 등 ) 이나스미싱탐지앱 ( 안랩안전한문자등 ) 을설치하고, 자동업데이트를설정하여엔진을항상최신버전으로유지하여더욱안전한스마트폰환경을만들어야한다. V3 제품에서는다음과같이진단하고있다. <V3 제품군의진단명 > Android-Trojan/Slocker 그림 3-8 기기관리자 ( 휴대폰관리자 ) 악성앱의권한 ( 체크해제 ) 및제거 20

21 ASEC REPORT VOL.67 July, 2015 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩디자인팀 T F 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다 AhnLab, Inc. All rights reserved.