Security Trend ASEC REPORT VOL.71 November, 2015
ASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다 2015 년 11 월보안동향 1 보안통계 STATISTICS 2 보안이슈 SECURITY ISSUE 01 악성코드통계 02 웹통계 03 모바일통계 01 테슬라크립트와크립토월비교분석 02 안드로이드 RAT, 드로이드잭 (DroidJack) Table of Contents 4 6 7 10 13 3 악성코드상세분석 ANALYSIS IN-DEPTH 랜섬웨어에감염되는이유와사례 17 2
1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계
보안통계 01 악성코드통계 Statistics ASEC 이집계한바에따르면, 2015 년 11 월한달간탐지된악성코드수는 1,511 만 8,864 건으로나타났다. 이는전월 1,374 만 1,322 건에비해 137 만 7,542 건증가한수치다. 한편 11 월에수집된악성코드샘플수 는 605 만 474 건이다. 40,000,000 30,000,000 20,000,000 10,000,000 15,204,993 13,741,322 15,118,864 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 7,311,086 6,179,297 6,050,474 탐지건수샘플수집수 09 월 10 월 11 월 [ 그림 1-1] 악성코드추이 (2015 년 9 월 ~ 2015 년 11 월 ) * 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 4
[ 그림 1-2] 는 2015 년 11 월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그 램인 PUP(Potentially Unwanted Program) 가 78.69% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 13.43%, 웜 (Worm) 이 1.22% 의비율로그뒤를이었다. 0.13% 0.50% 1.22% 6.04% 78.69% 13.43% PUP Trojan etc Worm Adware Downloader [ 그림 1-2] 주요악성코드유형 [ 표 1-1] 은 11 월한달간탐지된악성코드중 PUP 를제외하고가장빈번하게탐지된 10 건을진단명기준 으로정리한것이다. Trojan/Win32.Starter 가총 16 만 3,725 건으로가장많이탐지되었고, Trojan/ Win32.Agent 가 12 만 3,725 건으로그뒤를이었다. [ 표 1-1] 악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 Trojan/Win32.Starter 163,725 2 Trojan/Win32.Agent 123,725 3 Malware/Win32.Generic 112,866 4 Trojan/Win32.Teslacrypt 80,540 5 Trojan/Win32.Gen 77,381 6 ASD.Prevention 68,510 7 Worm/Win32.IRCBot 58,657 8 Trojan/Win32.Neshta 56,148 9 Unwanted/Win32.Exploit 55,902 10 Trojan/Win32.Banki 53,502 5
보안통계 02 웹통계 Statistics 2015 년 11 월에악성코드유포지로악용된도메인은 1,318 건, URL 은 1 만 29 건으로집계됐다 ([ 그림 1-3]). 또한 11 월의악성도메인및 URL 차단건수는총 439 만 9,439 건이다. 9,000,000 8,000,000 7,000,000 6,000,000 5,000,000 4,127,520 4,399,439 4,000,000 3,991,443 40,000 30,000 20,000 10,457 10,282 10,029 10,000 1,258 1,535 1,318 악성도메인 /URL 차단건수 악성코드유포도메인수 0 09 월 10 월 11 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 (2015 년 9 월 ~ 2015 년 11 월 ) * 악성도메인및 URL 차단건수 란 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 6
보안통계 03 모바일통계 Statistics 2015 년 11 월한달간탐지된모바일악성코드는 51 만 3,058 건으로집계됐다 ([ 그림 1-4]). 700,000 689,063 600,000 500,000 513,058 400,000 300,000 284,092 200,000 100,000 0 09 월 10 월 11 월 [ 그림 1-4] 모바일악성코드추이 (2015 년 9 월 ~ 2015 년 11 월 ) 7
[ 표 1-2] 는 11 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. Android-PUP/ SmsPay 가가장많이발견되었다. [ 표 1-2] 2015 년 11 월유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/SmsPay 127,427 2 Android-PUP/SmsReg 125,621 3 Android-Trojan/FakeInst 66,462 4 Android-PUP/Noico 27,590 5 Android-Trojan/Opfake 19,403 6 Android-Trojan/SMSAgent 13,043 7 Android-PUP/Zdpay 10,381 8 Android-PUP/Dowgin 9,925 9 Android-Trojan/SmsSend 7,727 10 Android-Trojan/SmsSpy 6,687 8
2 보안이슈 SECURITY ISSUE 01 테슬라크립트와크립토월비교분석 02 안드로이드 RAT, 드로이드잭 (DroidJack)
보안이슈 01 테슬라크립트와크립토월비교분석 Security Issue 테슬라크립트 (TeslaCrypt) 와크립토월 (CryptoW all) 은 11월한달동안국내에서가장많은감염을발생시킨것으로확인되는랜섬웨어다. 크립토월은 2013년에등장하여꾸준히업데이트되고있는랜섬웨어로, 지불을유도하는안내메시지에기재되어있는것과같이 RSA Key로파일을암호화한다. 에서 RSA Key로암호화한다 고한것과달리 AES Key를사용하여파일을암호화한다. 초창기테슬라크립트의경우, 크립토락커 (CryptoL ocker) 의감염후메시지를차용하기도했으며, 테슬라크립트 2.0 이후에는크립토월의감염후메시지 (html 파일 ) 를그대로사용하고있는것으로확인된다. 이에따라사용자들은테슬라크립트에감염되었음에도크립토월에감염된것으로착각하는경우가많으며, 해외에서는이를테슬라크립트가크립토월로 위장 (disguise) 하고있다고표현하기도한다. 그림 2-1 크립토월감염후사용자에게노출하는 html 파일 ( 위에서부터 2014 년 11 월 / 2015 년 1 월 / 2015 년 11 월확인 ) 이와비교하여테슬라크립트는 2015년 2~3월경처음등장했는데, 감염후사용자에게노출하는메시지 그림 2-2 테슬라크립트복호화및결제유도안내 html 파일 ( 크립토월버전문자열만제거 ) 최근확인되는테슬라크립트는파일을암호화한후확장자를 *.ccc 로설정하는것으로확인되어, 국내에서는 CCC 랜섬웨어로악명을떨치고있다. 10
그림 2-3 CCC 랜섬웨어 구글검색결과 복호화안내메시지로인해테슬라크립트를크립토월의변종이라고인식하는사용자들이많은데, 크립토월과테슬라크립트에감염되었을때사용자가구분할수있는차이점은다음과같다. 표 2-1 감염후암호화된파일명 그림 2-5 테슬라크립트 ( 왼쪽 ) / 크립토월 3.0( 가운데 ) / 크립토월 4.0( 오른쪽 ) 이미지파일및 html 파일 표 2-3 레지스트리확인 테슬라크립트 2.0 크립토월 3.0 크립토월 4.0 X ( 감염후, 암호화한파일목록을 HKCU\Software\[ PC별특정ID]\[ 랜덤문자열 ] 에저장 X 테슬라크립트 2.0 크립토월 3.0 크립토월 4.0 1.jpg.ccc ( 확장자 :.ecc, exx, ezz, aaa 등 ) 1.jpg ( 암호화한파일을생성한후, 원본파일명으로덮어씌움 ) [ 랜덤문자열 ].[ 랜덤문자열 ] 그림 2-6 크립토월 3.0 감염후레지스트리에저장된암호화파일목록 그림 2-4 테슬라크립트 ( 왼쪽 ) / 크립토월 3.0( 가운데 ) / 크립토월 4.0( 오른쪽 ) 감염후파일명 표 2-2 감염후, 복호화및결제안내파일 테슬라크립트 2.0 크립토월 3.0 크립토월 4.0 howto_recover_file_.txt howto_recover_file_.html howto_recover_file_[ 랜덤문자열 ].bmp 또는 HELP_DECRYPT.HTML HELP_DECRYPT.PNG HELP_DECRYPT.TXT HELP_YOUR_FILES.HTML HELP_YOUR_FILES.PNG HELP_YOUR_FILES.TXT HOWTO_RESTORE_FILES.htm HOWTO_RESTORE_FILES.txt HOWTO_RESTORE_FILES.bmp 테슬라크립트와크립토월이외에도매우다양한종류의랜섬웨어가있지만, 결과적으로파일을암호화하여인질로사용한다는컨셉은같다. 랜섬웨어에감염될경우암호화를수행하는악성코드가제거되더라도이미암호화된파일로인해사용자들의피해가극심한데, 최근나타난랜섬웨어는자기자신의감염흔적을지우기위해파일암호화가완료되면자기스스로를삭제하는경우가많다. 따라서랜섬웨어감염 PC에서실행된랜섬웨어가확인되지않는경우도비일비재하다. 또한, 랜섬웨어가등장한초기에는 Windows의 11
VSC(Volumn Shadow Copy) 기능을통해암호화된파일중일부파일을복구할수있었지만최근랜섬웨어는 VSC 기능을이용한백업파일도 vssadmin.exe delete 명령을통해삭제하여복구가어렵다. 이로인해백업의중요성이그어느때보다도강조되고있다. 한동안랜섬웨어에대한국내유포는끊이지않을것으로보이며, 관련변종도꾸준히등장할것이다. 국내최대이슈였던파밍악성코드가사용자들에게많이알려지면서악성코드에감염되더라도이전처럼쉽게모든개인정보를입력하는사용자는많이줄었기때문에악성코드유포자들이랜섬웨어에눈을돌렸을것으로추정된다. 따라서확인되지않은메일의첨부파일은바로삭제하고, 다운로드실행 (Drive-by-Download) 방식으로유포되는악성코드감염예방을위해항상최신보안패치를적용하고, 사용중인백신을최신엔진버전으로유지해야한다. 또한, 파일공유사이트혹은 P2P를통해다운로드한파일도위험성이있으므로이러한파일의실행은권장하지않는다. 만약불가피하게실행해야한다면, 반드시사용중인백신으로정밀검사한후주의하여실행할수있도록하자. V3 제품에서는해당악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Trojan/Win32.Teslacrypt (2015.11.07.02) Trojan/Win32.CryptoWall (2015.11.11.00) 12
보안이슈 02 안드로이드 RAT, 드로이드잭 (DroidJack) Security Issue 영국경찰은 드로이드잭 (DroidJack) 으로불리는스마트폰악성코드를통해 28세의남자를체포했다. 영국국가범죄수사국 (UK's National Crime Agency) 은유럽의 5개국 ( 독일, 프랑스, 벨기에, 스위스, 영국 ) 과미국에서드로이드잭을통해범죄자를검거한것으로확인됐다. 드로이드잭 (DroidJack) 은원격접속이가능한트로이목마바이러스혹은 랫 (RAT)' 으로, 안드로이드단말만감염시킨다. 또한사용자가전혀모르게스마트폰데이터의트래픽을감시하고대화를도청한다. 카메라에찍힌정보를가로챌수도있다. 다음은드로이드잭검거관련 BBC NEWS의소식이다. 드로이드잭은다음과같은기능을제공하며가격은 $210이다. 온라인구매시 [ 그림 2-8] 과같이사용자정보를요구한다. * 주요기능 - apk 파일빌더 - 스마트폰에저장된파일탈취 - 스마트폰으로파일전송 - 스마트폰의 SMS 탈취 - 스마트폰에서 SMS 보내기 - 통화내역탈취 - 주소록탈취 - 스마트폰의마이크를이용하여도청및녹음 - 스마트폰인터넷방문기록및북마크정보탈취 - 위치정보탈취 - 스마트폰의앱실행, 실행중인앱정보탈취 - IMEI, MAC, 통신사정보탈취및루팅여부확인등 그림 2-7 BBC NEWS 2015.10.30 ( 드로이드잭관련검거소식 ) 13
대표적인기능중통화내역기록, 위치추적, SMS 내역, 브라우저방문정보등을가로채는기능을살펴보면다음과같다. 그림 2-10 통화내역확인기능 그림 2-8 드로이드잭 v2.6 기능및가격 드로이드잭을이용하여 APK 빌드를할수있으며, 감염된사용자에게서정보를탈취하고모니터링할수있다. 모니터링화면구성은 [ 그림 2-9] 와같으며, 다양한기능을제어할수있는것을확인할수있다. 그림 2-11 GPS 위치정보확인기능 그림 2-9 드로이드잭 v2.6 빌더및모니터링콘솔 그림 2-12 SMS 확인기능 14
폰에설치되어있지않은것처럼위장하고있다. 그림 2-13 브라우저방문기록확인기능 안드로이드악성앱은주로구글 (Google) 이나유틸리티, 유명게임등의아이콘을이용하여제작되는경우가많은데이는사용자가의심하지않고설치하도록유도하기위해서다. 안랩에서는드로이드잭과관련된수많은악성앱을진단하고있다. 그중아이콘몇가지를살펴보면 [ 그림 2-14] 와같다. 일부는테스트를위해제작한앱도포함되어있었다. 그림 2-15 권한획득 ( 왼쪽 ) / 설치아이콘 ( 가운데 ) / 설치및실행후아이콘이사라진화면 ( 오른쪽 ) 이러한스파이앱은각종악성앱의악의적인기능의총집합체로스마트폰에저장된거의모든정보를조작하거나탈취할수있기때문에특히주의해야한다. 따라서앱은공식마켓에서다운로드하여설치하는것이상대적으로안전하지만, 공식마켓에도악성앱이등록되어있을수있으므로평판정보를확인하고설치하는습관을가져야한다. 무심코문자에포함된 URL을클릭하다보면악성앱이설치될수도있기때문에안전성이확인되지않은 URL이나앱은설치하지않도록주의해야한다. 또한, 세계 1위의모바일전용보안앱 (V3 모바일등 ) 이나스미싱탐지앱 ( 안랩안전한문자등 ) 을설치하고, 자동업데이트설정으로항상최신엔진을유지하여보다안전한스마트폰환경을만들어야한다. 그림 2-14 드로이드잭악성앱 유명게임인 Agar.io 의아이콘으로위장한악성앱을설치한화면을살펴보면 [ 그림 2-15] 와같다. 설치과정에서필요한권한을획득한다. 설치완료후실행되면자신의아이콘을제거하여사용자스마트 V3 제품에서는해당악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Android-Trojan/Sandrorat 15
3 악성코드상세분석 ANALYSIS-IN-DEPTH 랜섬웨어에감염되는이유와사례
악성코드상세분석 Analysis-In-Depth 랜섬웨어에감염되는이유와사례 최근사용자 PC에있는문서파일과이미지파일들을암호화하고금전을요구하는랜섬웨어에감염되는사례가많아지고있다. 과거 2010년초반에유행했던온라인게임핵악성코드와그이후유행한파밍악성코드에이어이제는랜섬웨어가주요트렌드가된상황이다. 초기에는주로메일의첨부파일을이용한유포방식이대부분이었지만, 최근에는보안이취약한웹사이트를통해악성코드를유포하는다운로드실행 (Drive-by-download) 방식을주로사용하고있다. 이에따라대부분의사용자들은자신도모르는사이에랜섬웨어에감염되어파일들이암호화되는피해를입고있다. 다운로드실행 (Drive-bydownload) 방식을통해악성코드를유포하는방법은다음과같다. 그림 3-1 악성스크립트삽입 2. 사용자가해당웹사이트접속시악성스크립트가동작한다. 3. 사용자의 PC에설치된프로그램의버전을확인하여취약점이존재하는지체크한다. 주로인터넷익스플로러, 자바 (Java), 플래시플레이어프로그램등의취약점이자주악용된다. 1. 보안이취약한웹사이트에악성스크립트를삽입한다. 그림 3-2 Drive-by-download 에자주악용되는프로그램 ( 자바, 인터넷익스플로러, 플래시플레이어 ) 4. 사용자의 PC에해당취약점이존재하는경우, 취약점을유발시키는코드를실행한다. 17
5. 취약점을유발시키는코드를통해악성코드를다운로드하고실행하여사용자 PC를감염시킨다. 그림 3-3 취약점이존재하는경우 이러한악성코드유포방식은굉장히익숙한유포방식이다. 익숙한 이라는표현을쓰는이유는, 앞서언급한온라인게임핵악성코드와파밍악성코드유포에사용된것과동일한방식으로악성코드를유포하고, 최종적으로사용자 PC에다운로드되는악성코드만바뀐형태이기때문이다. 랜섬웨어는주로인터넷익스플로러, 자바, 플래시플레이어프로그램의취약점을악용하기때문에안랩에서는사용자들에게윈도우보안업데이트와인터넷익스플로러, 자바, 플래시플레이어프로그램의최신버전유지등을안내하고있다. 그러나과거온라인게임핵과파밍악성코드가유행할때에도많은사람들이피해를입었고, 최근랜섬웨어악성코드도마찬가지로다수의피해자를양산하고있다. 분명과거와같은방식으로유포하고있는데감염자가줄지않는이유는무엇일까? 가장큰원인은바로사용자의 무분별한인터넷사용 에있다. 특히사용목적과관련이없는 PC 사용은악성코드감염의지름길이다. 즉, 업무 PC에서업무와관련없는무분별한인터넷사용은악성코드감염 으로이어질수있다는것이다. 특히각종소규모쇼핑몰사이트와유명커뮤니티사이트등은보안에취약한경우가많아악성코드유포에자주악용되므로유의해야한다. 지난 4월에유포된한글랜섬웨어악성코드역시유명커뮤니티사이트를통해다수의사용자들이감염되었던것이다. 그리고사용자들이보안업체에서안내하는윈도우보안업데이트, 인터넷익스플로러, 자바, 플래시플레이어프로그램의최신업데이트등을소홀히여기는것도악성코드감염의큰원인중하나다. 그림 3-4 컴퓨터부팅시출력되는플래시플레이어업데이트화면 아크로뱃리더, 플래시플레이어, 자바등의프로그램이설치되어있을경우, 업데이트메시지가출력되는것을볼수있다. 많은사람들이귀찮다혹은시간이없다는이유로 ' 설치안함 ' 을클릭하거나창을닫아버리고지나가는경우가많은데, 설치시간이오래걸리지않으므로업데이트를꼭설치해야한다. 프로그램을최신상태로유지하면취약점들을조치할수있고악성코드감염을사전에예방할가능성이높아진다. 18
사내에서사용하고있는업무인프라가인터넷익스플로러나자바와같은프로그램의특정버전에만동작하도록되어있어최신버전을설치하기어려운경우도있다. 이런경우는더욱간단하게해결할수있다. 그것은바로 업무사이트외에는사용하지않는것 이다. 업무 PC는업무목적으로만사용하고, 개인적인용도로사용하지않으면악성코드감염은상당수예방할수있다. 그리고자주감염되는경로중하나는메일의첨부파일이다. 의심되는메일임에도불구하고발신자나제목, 내용등을확인하지않고첨부파일부터여는경우가있는데이는매우위험한행동이다. 출처를알수없거나의심이되는제목의메일은읽지않고삭제하는것이좋다. 또한발신자를아는경우에도첨부파일은바로실행하지않고 PC에저장후백신으로검사하는습관을가지는것이좋다. 지금까지랜섬웨어에감염되는이유를살펴보았다. 그렇다면실제감염과정은어떤지확인해보자. 최근에는인터넷스트리밍서비스를통해파일을다운로드하지않고대용량미디어파일을이용할수있다. 인터넷만연결되어있으면, 시간과장소에구애받지않고원하는 TV 프로그램, 영화, 음악등을감상할수있어많은사람들이이용하고있다. 그림 3-5 실시간동영상스트리밍서비스제공페이지 인터넷스트리밍서비스를제공하는업체에서는동영상재생할때광고창을삽입하여광고수익을얻는다. 그림 3-6 재생버튼클릭시생성되는광고창 ( 오른쪽 ) 사용자는생성되는광고창을종료하거나무시하고동영상을시청하게되는데, 동영상시청을마치면다음과같이랜섬웨어에감염되었다는알림창을보게된다. 그림 3-7 랜섬웨어에감염되었음을알리는알림창 19
원인은광고사이트내부에삽입되어있는스크립트에있다. [ 그림 3-8] 은광고사이트의내부정보다. 악성코드제작자는악성코드유포도구 (Exploit Kit) 를이용하여내부에악의적인스크립트를삽입했다. 악성스크립트가실행되면보안제품및가상머신설치여부와시스템에존재하는취약점을탐지한후, 악성코드를실행시킨다. 표 3-2 악성코드생성정보 [ 파일정보 ] C:\Windows\[ 랜덤문자 ].exe [ 레지스트리정보 ] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run C:\Windows\[ 랜덤문자 ].exe 그림 3-8 사이트내부에삽입된악성스크립트 악성코드유포도구 (Exploit Kit) 는탐지되는것을피하기위해 URL을 [ 표 3-1] 과같이리다이렉트시킨다. 표 3-1 변조된부분 [ 접속경로 ] 그렇다면광고창이생성되지않는사이트면안전할까? 그렇지않다. 다음은랜섬웨어가유포되는인터넷언론사이트이다. 포털사이트의뉴스기사검색을통해서해당사이트에접속할수있다. http://*********.info/topic.php?forum=48&topic=58526&p otid=1447350054 >http://pb6kq.***********.pw/viewforum.php?f=07b4c&si d=k4c.6661hvg53122q7 최종적으로연결된사이트의내부정보는 [ 그림 3-9] 와같다. 이전과마찬가지로탐지및분석을방지하기위해난독화된코드로구성되어있다. 그림 3-10 연결된인터넷언론사이트 ( 오른쪽 ) 그림 3-9 난독화된악성스크립트 접속된사이트에는별도의광고창이생성되지않는다. 하지만사이트내부에악성스크립트가삽입되어있어뉴스기사를보던중랜섬웨어경고알림창을확인할수있다. 20
하여다운로드실행 (Drive-by-download) 공격 을막고, 백신제품의엔진을최신으로유지하는사용자의올바른습관이필요하다. 그림 3-11 사이트내부에삽입된악성스크립트 이렇게악성코드제작자에의한공격은인터넷사용환경에깊숙이침투해있다. 랜섬웨어감염을예방하기위해서는보안업데이트 ( 운영체제, 인터넷익스플로러, 자바, 플래시플레이어 ) 를최신버전으로설치 V3 제품에서는해당악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Trojan/Win32.Teslacrypt Trojan/Win32.CryptoWall Trojan/Win32.CryptoLocker 21
ASEC REPORT VOL.71 November, 2015 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2016 AhnLab, Inc. All rights reserved.