ASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

Similar documents
ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

Security Trend ASEC REPORT VOL.68 August, 2015

ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

Security Trend ASEC Report VOL.56 August, 2014

ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작

ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며

Security Trend ASEC REPORT VOL.67 July, 2015

ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성

ASEC REPORT VOL.78 June, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

ASEC REPORT VOL.69 September, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

Security Trend ASEC Report VOL.63 March, 2015

Security Trend ASEC REPORT VOL.70 October, 2015

ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

ASEC REPORT VOL.75 March, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

Security Trend ASEC Report VOL.52 April, 2014

Security Trend ASEC Report VOL.55 July, 2014

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

*2008년1월호진짜

ASEC Report VOL.62 February, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.

Security Trend ASEC Report VOL.54 June, 2014

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

Security Trend ASEC Report VOL.57 September, 2014

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

ASEC REPORT VOL.73 January, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

ActFax 4.31 Local Privilege Escalation Exploit

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

월간 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

Security Trend ASEC Report VOL.58 October, 2014

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

Windows 8에서 BioStar 1 설치하기

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

유포지탐지동향

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

Security Trend ASEC Report VOL.51 March, 2014

Security Trend ASEC REPORT VOL.64 April, 2015

08_spam.hwp

Studuino소프트웨어 설치

월간 CONTENTS 3 EXPERT COLUMN 디지털포렌식과영화 소스코드 6 HOT ISSUE 개인정보보호자율점검, 핵심은? 8 SPECIAL REPORT 잔혹한악의화신, 랜섬웨어집중분석 1부 _ 랜섬웨어, 알아야막을수있다 2부 _ 이상적인 vs.

NX1000_Ver1.1

1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나 데이터를암호화해사용할수없도록하고이를인질로금전


AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A

ASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

ASEC REPORT VOL 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

ASEC REPORT VOL

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지

로거 자료실

SBR-100S User Manual

ASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

SIGIL 완벽입문

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

2015 년을뒤흔든보안위협 Top 깨어난랜섬웨어의광풍결국은 돈, 계속되는금융정보위협더정교해진웹익스플로잇툴킷의역습애드웨어, 모바일환경으로영역확장공유기, IoT 등 연결 을노리는위협의대두 년을장악할보안위협 Top 5

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-

Android Master Key Vulnerability

07_alman.hwp

C스토어 사용자 매뉴얼

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Operation-name: 악성행위의종류를말하며, Sending SMS Calling Sending sensitive information Converting data 로분류합니다. Operation-target: 악성행위의목표물을말하며, Premium-rate SM

ASEC Report 2014 Annual Report ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기

슬라이드 1

목차 Part Ⅰ 8 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A

Windows 10 General Announcement v1.0-KO

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

F O C U S 3 홈페이지를통한악성코드유포및대응방안 FOCUS 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아

Microsoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx

Install stm32cubemx and st-link utility

슬라이드 1

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A

Endpoint Protector - Active Directory Deployment Guide

<B1DDC0B6B1E2B0FCB0FAC0CEC5CDB3DDB0B3C0CEC1A4BAB82E687770>

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염

소개 Mac OS X (10.9, 10.10, 10.11, 10.12) 와 OKI 프린터호환성 Mac OS X 를사용하는 PC 에 OKI 프린터및복합기 (MFP) 제품을연결하여사용할때, 최고의성능을발휘할수있도록하는것이 OKI 의목 표입니다. 아래의문서는 OKI 프린터및

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

Secure Programming Lecture1 : Introduction

#WI DNS DDoS 공격악성코드분석

<C0CCC8ADC1F82E687770>

PowerPoint Template

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

Transcription:

Security Trend ASEC REPORT VOL.71 November, 2015

ASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다 2015 년 11 월보안동향 1 보안통계 STATISTICS 2 보안이슈 SECURITY ISSUE 01 악성코드통계 02 웹통계 03 모바일통계 01 테슬라크립트와크립토월비교분석 02 안드로이드 RAT, 드로이드잭 (DroidJack) Table of Contents 4 6 7 10 13 3 악성코드상세분석 ANALYSIS IN-DEPTH 랜섬웨어에감염되는이유와사례 17 2

1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계

보안통계 01 악성코드통계 Statistics ASEC 이집계한바에따르면, 2015 년 11 월한달간탐지된악성코드수는 1,511 만 8,864 건으로나타났다. 이는전월 1,374 만 1,322 건에비해 137 만 7,542 건증가한수치다. 한편 11 월에수집된악성코드샘플수 는 605 만 474 건이다. 40,000,000 30,000,000 20,000,000 10,000,000 15,204,993 13,741,322 15,118,864 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 7,311,086 6,179,297 6,050,474 탐지건수샘플수집수 09 월 10 월 11 월 [ 그림 1-1] 악성코드추이 (2015 년 9 월 ~ 2015 년 11 월 ) * 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 4

[ 그림 1-2] 는 2015 년 11 월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그 램인 PUP(Potentially Unwanted Program) 가 78.69% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 13.43%, 웜 (Worm) 이 1.22% 의비율로그뒤를이었다. 0.13% 0.50% 1.22% 6.04% 78.69% 13.43% PUP Trojan etc Worm Adware Downloader [ 그림 1-2] 주요악성코드유형 [ 표 1-1] 은 11 월한달간탐지된악성코드중 PUP 를제외하고가장빈번하게탐지된 10 건을진단명기준 으로정리한것이다. Trojan/Win32.Starter 가총 16 만 3,725 건으로가장많이탐지되었고, Trojan/ Win32.Agent 가 12 만 3,725 건으로그뒤를이었다. [ 표 1-1] 악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 Trojan/Win32.Starter 163,725 2 Trojan/Win32.Agent 123,725 3 Malware/Win32.Generic 112,866 4 Trojan/Win32.Teslacrypt 80,540 5 Trojan/Win32.Gen 77,381 6 ASD.Prevention 68,510 7 Worm/Win32.IRCBot 58,657 8 Trojan/Win32.Neshta 56,148 9 Unwanted/Win32.Exploit 55,902 10 Trojan/Win32.Banki 53,502 5

보안통계 02 웹통계 Statistics 2015 년 11 월에악성코드유포지로악용된도메인은 1,318 건, URL 은 1 만 29 건으로집계됐다 ([ 그림 1-3]). 또한 11 월의악성도메인및 URL 차단건수는총 439 만 9,439 건이다. 9,000,000 8,000,000 7,000,000 6,000,000 5,000,000 4,127,520 4,399,439 4,000,000 3,991,443 40,000 30,000 20,000 10,457 10,282 10,029 10,000 1,258 1,535 1,318 악성도메인 /URL 차단건수 악성코드유포도메인수 0 09 월 10 월 11 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 (2015 년 9 월 ~ 2015 년 11 월 ) * 악성도메인및 URL 차단건수 란 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 6

보안통계 03 모바일통계 Statistics 2015 년 11 월한달간탐지된모바일악성코드는 51 만 3,058 건으로집계됐다 ([ 그림 1-4]). 700,000 689,063 600,000 500,000 513,058 400,000 300,000 284,092 200,000 100,000 0 09 월 10 월 11 월 [ 그림 1-4] 모바일악성코드추이 (2015 년 9 월 ~ 2015 년 11 월 ) 7

[ 표 1-2] 는 11 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. Android-PUP/ SmsPay 가가장많이발견되었다. [ 표 1-2] 2015 년 11 월유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/SmsPay 127,427 2 Android-PUP/SmsReg 125,621 3 Android-Trojan/FakeInst 66,462 4 Android-PUP/Noico 27,590 5 Android-Trojan/Opfake 19,403 6 Android-Trojan/SMSAgent 13,043 7 Android-PUP/Zdpay 10,381 8 Android-PUP/Dowgin 9,925 9 Android-Trojan/SmsSend 7,727 10 Android-Trojan/SmsSpy 6,687 8

2 보안이슈 SECURITY ISSUE 01 테슬라크립트와크립토월비교분석 02 안드로이드 RAT, 드로이드잭 (DroidJack)

보안이슈 01 테슬라크립트와크립토월비교분석 Security Issue 테슬라크립트 (TeslaCrypt) 와크립토월 (CryptoW all) 은 11월한달동안국내에서가장많은감염을발생시킨것으로확인되는랜섬웨어다. 크립토월은 2013년에등장하여꾸준히업데이트되고있는랜섬웨어로, 지불을유도하는안내메시지에기재되어있는것과같이 RSA Key로파일을암호화한다. 에서 RSA Key로암호화한다 고한것과달리 AES Key를사용하여파일을암호화한다. 초창기테슬라크립트의경우, 크립토락커 (CryptoL ocker) 의감염후메시지를차용하기도했으며, 테슬라크립트 2.0 이후에는크립토월의감염후메시지 (html 파일 ) 를그대로사용하고있는것으로확인된다. 이에따라사용자들은테슬라크립트에감염되었음에도크립토월에감염된것으로착각하는경우가많으며, 해외에서는이를테슬라크립트가크립토월로 위장 (disguise) 하고있다고표현하기도한다. 그림 2-1 크립토월감염후사용자에게노출하는 html 파일 ( 위에서부터 2014 년 11 월 / 2015 년 1 월 / 2015 년 11 월확인 ) 이와비교하여테슬라크립트는 2015년 2~3월경처음등장했는데, 감염후사용자에게노출하는메시지 그림 2-2 테슬라크립트복호화및결제유도안내 html 파일 ( 크립토월버전문자열만제거 ) 최근확인되는테슬라크립트는파일을암호화한후확장자를 *.ccc 로설정하는것으로확인되어, 국내에서는 CCC 랜섬웨어로악명을떨치고있다. 10

그림 2-3 CCC 랜섬웨어 구글검색결과 복호화안내메시지로인해테슬라크립트를크립토월의변종이라고인식하는사용자들이많은데, 크립토월과테슬라크립트에감염되었을때사용자가구분할수있는차이점은다음과같다. 표 2-1 감염후암호화된파일명 그림 2-5 테슬라크립트 ( 왼쪽 ) / 크립토월 3.0( 가운데 ) / 크립토월 4.0( 오른쪽 ) 이미지파일및 html 파일 표 2-3 레지스트리확인 테슬라크립트 2.0 크립토월 3.0 크립토월 4.0 X ( 감염후, 암호화한파일목록을 HKCU\Software\[ PC별특정ID]\[ 랜덤문자열 ] 에저장 X 테슬라크립트 2.0 크립토월 3.0 크립토월 4.0 1.jpg.ccc ( 확장자 :.ecc, exx, ezz, aaa 등 ) 1.jpg ( 암호화한파일을생성한후, 원본파일명으로덮어씌움 ) [ 랜덤문자열 ].[ 랜덤문자열 ] 그림 2-6 크립토월 3.0 감염후레지스트리에저장된암호화파일목록 그림 2-4 테슬라크립트 ( 왼쪽 ) / 크립토월 3.0( 가운데 ) / 크립토월 4.0( 오른쪽 ) 감염후파일명 표 2-2 감염후, 복호화및결제안내파일 테슬라크립트 2.0 크립토월 3.0 크립토월 4.0 howto_recover_file_.txt howto_recover_file_.html howto_recover_file_[ 랜덤문자열 ].bmp 또는 HELP_DECRYPT.HTML HELP_DECRYPT.PNG HELP_DECRYPT.TXT HELP_YOUR_FILES.HTML HELP_YOUR_FILES.PNG HELP_YOUR_FILES.TXT HOWTO_RESTORE_FILES.htm HOWTO_RESTORE_FILES.txt HOWTO_RESTORE_FILES.bmp 테슬라크립트와크립토월이외에도매우다양한종류의랜섬웨어가있지만, 결과적으로파일을암호화하여인질로사용한다는컨셉은같다. 랜섬웨어에감염될경우암호화를수행하는악성코드가제거되더라도이미암호화된파일로인해사용자들의피해가극심한데, 최근나타난랜섬웨어는자기자신의감염흔적을지우기위해파일암호화가완료되면자기스스로를삭제하는경우가많다. 따라서랜섬웨어감염 PC에서실행된랜섬웨어가확인되지않는경우도비일비재하다. 또한, 랜섬웨어가등장한초기에는 Windows의 11

VSC(Volumn Shadow Copy) 기능을통해암호화된파일중일부파일을복구할수있었지만최근랜섬웨어는 VSC 기능을이용한백업파일도 vssadmin.exe delete 명령을통해삭제하여복구가어렵다. 이로인해백업의중요성이그어느때보다도강조되고있다. 한동안랜섬웨어에대한국내유포는끊이지않을것으로보이며, 관련변종도꾸준히등장할것이다. 국내최대이슈였던파밍악성코드가사용자들에게많이알려지면서악성코드에감염되더라도이전처럼쉽게모든개인정보를입력하는사용자는많이줄었기때문에악성코드유포자들이랜섬웨어에눈을돌렸을것으로추정된다. 따라서확인되지않은메일의첨부파일은바로삭제하고, 다운로드실행 (Drive-by-Download) 방식으로유포되는악성코드감염예방을위해항상최신보안패치를적용하고, 사용중인백신을최신엔진버전으로유지해야한다. 또한, 파일공유사이트혹은 P2P를통해다운로드한파일도위험성이있으므로이러한파일의실행은권장하지않는다. 만약불가피하게실행해야한다면, 반드시사용중인백신으로정밀검사한후주의하여실행할수있도록하자. V3 제품에서는해당악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Trojan/Win32.Teslacrypt (2015.11.07.02) Trojan/Win32.CryptoWall (2015.11.11.00) 12

보안이슈 02 안드로이드 RAT, 드로이드잭 (DroidJack) Security Issue 영국경찰은 드로이드잭 (DroidJack) 으로불리는스마트폰악성코드를통해 28세의남자를체포했다. 영국국가범죄수사국 (UK's National Crime Agency) 은유럽의 5개국 ( 독일, 프랑스, 벨기에, 스위스, 영국 ) 과미국에서드로이드잭을통해범죄자를검거한것으로확인됐다. 드로이드잭 (DroidJack) 은원격접속이가능한트로이목마바이러스혹은 랫 (RAT)' 으로, 안드로이드단말만감염시킨다. 또한사용자가전혀모르게스마트폰데이터의트래픽을감시하고대화를도청한다. 카메라에찍힌정보를가로챌수도있다. 다음은드로이드잭검거관련 BBC NEWS의소식이다. 드로이드잭은다음과같은기능을제공하며가격은 $210이다. 온라인구매시 [ 그림 2-8] 과같이사용자정보를요구한다. * 주요기능 - apk 파일빌더 - 스마트폰에저장된파일탈취 - 스마트폰으로파일전송 - 스마트폰의 SMS 탈취 - 스마트폰에서 SMS 보내기 - 통화내역탈취 - 주소록탈취 - 스마트폰의마이크를이용하여도청및녹음 - 스마트폰인터넷방문기록및북마크정보탈취 - 위치정보탈취 - 스마트폰의앱실행, 실행중인앱정보탈취 - IMEI, MAC, 통신사정보탈취및루팅여부확인등 그림 2-7 BBC NEWS 2015.10.30 ( 드로이드잭관련검거소식 ) 13

대표적인기능중통화내역기록, 위치추적, SMS 내역, 브라우저방문정보등을가로채는기능을살펴보면다음과같다. 그림 2-10 통화내역확인기능 그림 2-8 드로이드잭 v2.6 기능및가격 드로이드잭을이용하여 APK 빌드를할수있으며, 감염된사용자에게서정보를탈취하고모니터링할수있다. 모니터링화면구성은 [ 그림 2-9] 와같으며, 다양한기능을제어할수있는것을확인할수있다. 그림 2-11 GPS 위치정보확인기능 그림 2-9 드로이드잭 v2.6 빌더및모니터링콘솔 그림 2-12 SMS 확인기능 14

폰에설치되어있지않은것처럼위장하고있다. 그림 2-13 브라우저방문기록확인기능 안드로이드악성앱은주로구글 (Google) 이나유틸리티, 유명게임등의아이콘을이용하여제작되는경우가많은데이는사용자가의심하지않고설치하도록유도하기위해서다. 안랩에서는드로이드잭과관련된수많은악성앱을진단하고있다. 그중아이콘몇가지를살펴보면 [ 그림 2-14] 와같다. 일부는테스트를위해제작한앱도포함되어있었다. 그림 2-15 권한획득 ( 왼쪽 ) / 설치아이콘 ( 가운데 ) / 설치및실행후아이콘이사라진화면 ( 오른쪽 ) 이러한스파이앱은각종악성앱의악의적인기능의총집합체로스마트폰에저장된거의모든정보를조작하거나탈취할수있기때문에특히주의해야한다. 따라서앱은공식마켓에서다운로드하여설치하는것이상대적으로안전하지만, 공식마켓에도악성앱이등록되어있을수있으므로평판정보를확인하고설치하는습관을가져야한다. 무심코문자에포함된 URL을클릭하다보면악성앱이설치될수도있기때문에안전성이확인되지않은 URL이나앱은설치하지않도록주의해야한다. 또한, 세계 1위의모바일전용보안앱 (V3 모바일등 ) 이나스미싱탐지앱 ( 안랩안전한문자등 ) 을설치하고, 자동업데이트설정으로항상최신엔진을유지하여보다안전한스마트폰환경을만들어야한다. 그림 2-14 드로이드잭악성앱 유명게임인 Agar.io 의아이콘으로위장한악성앱을설치한화면을살펴보면 [ 그림 2-15] 와같다. 설치과정에서필요한권한을획득한다. 설치완료후실행되면자신의아이콘을제거하여사용자스마트 V3 제품에서는해당악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Android-Trojan/Sandrorat 15

3 악성코드상세분석 ANALYSIS-IN-DEPTH 랜섬웨어에감염되는이유와사례

악성코드상세분석 Analysis-In-Depth 랜섬웨어에감염되는이유와사례 최근사용자 PC에있는문서파일과이미지파일들을암호화하고금전을요구하는랜섬웨어에감염되는사례가많아지고있다. 과거 2010년초반에유행했던온라인게임핵악성코드와그이후유행한파밍악성코드에이어이제는랜섬웨어가주요트렌드가된상황이다. 초기에는주로메일의첨부파일을이용한유포방식이대부분이었지만, 최근에는보안이취약한웹사이트를통해악성코드를유포하는다운로드실행 (Drive-by-download) 방식을주로사용하고있다. 이에따라대부분의사용자들은자신도모르는사이에랜섬웨어에감염되어파일들이암호화되는피해를입고있다. 다운로드실행 (Drive-bydownload) 방식을통해악성코드를유포하는방법은다음과같다. 그림 3-1 악성스크립트삽입 2. 사용자가해당웹사이트접속시악성스크립트가동작한다. 3. 사용자의 PC에설치된프로그램의버전을확인하여취약점이존재하는지체크한다. 주로인터넷익스플로러, 자바 (Java), 플래시플레이어프로그램등의취약점이자주악용된다. 1. 보안이취약한웹사이트에악성스크립트를삽입한다. 그림 3-2 Drive-by-download 에자주악용되는프로그램 ( 자바, 인터넷익스플로러, 플래시플레이어 ) 4. 사용자의 PC에해당취약점이존재하는경우, 취약점을유발시키는코드를실행한다. 17

5. 취약점을유발시키는코드를통해악성코드를다운로드하고실행하여사용자 PC를감염시킨다. 그림 3-3 취약점이존재하는경우 이러한악성코드유포방식은굉장히익숙한유포방식이다. 익숙한 이라는표현을쓰는이유는, 앞서언급한온라인게임핵악성코드와파밍악성코드유포에사용된것과동일한방식으로악성코드를유포하고, 최종적으로사용자 PC에다운로드되는악성코드만바뀐형태이기때문이다. 랜섬웨어는주로인터넷익스플로러, 자바, 플래시플레이어프로그램의취약점을악용하기때문에안랩에서는사용자들에게윈도우보안업데이트와인터넷익스플로러, 자바, 플래시플레이어프로그램의최신버전유지등을안내하고있다. 그러나과거온라인게임핵과파밍악성코드가유행할때에도많은사람들이피해를입었고, 최근랜섬웨어악성코드도마찬가지로다수의피해자를양산하고있다. 분명과거와같은방식으로유포하고있는데감염자가줄지않는이유는무엇일까? 가장큰원인은바로사용자의 무분별한인터넷사용 에있다. 특히사용목적과관련이없는 PC 사용은악성코드감염의지름길이다. 즉, 업무 PC에서업무와관련없는무분별한인터넷사용은악성코드감염 으로이어질수있다는것이다. 특히각종소규모쇼핑몰사이트와유명커뮤니티사이트등은보안에취약한경우가많아악성코드유포에자주악용되므로유의해야한다. 지난 4월에유포된한글랜섬웨어악성코드역시유명커뮤니티사이트를통해다수의사용자들이감염되었던것이다. 그리고사용자들이보안업체에서안내하는윈도우보안업데이트, 인터넷익스플로러, 자바, 플래시플레이어프로그램의최신업데이트등을소홀히여기는것도악성코드감염의큰원인중하나다. 그림 3-4 컴퓨터부팅시출력되는플래시플레이어업데이트화면 아크로뱃리더, 플래시플레이어, 자바등의프로그램이설치되어있을경우, 업데이트메시지가출력되는것을볼수있다. 많은사람들이귀찮다혹은시간이없다는이유로 ' 설치안함 ' 을클릭하거나창을닫아버리고지나가는경우가많은데, 설치시간이오래걸리지않으므로업데이트를꼭설치해야한다. 프로그램을최신상태로유지하면취약점들을조치할수있고악성코드감염을사전에예방할가능성이높아진다. 18

사내에서사용하고있는업무인프라가인터넷익스플로러나자바와같은프로그램의특정버전에만동작하도록되어있어최신버전을설치하기어려운경우도있다. 이런경우는더욱간단하게해결할수있다. 그것은바로 업무사이트외에는사용하지않는것 이다. 업무 PC는업무목적으로만사용하고, 개인적인용도로사용하지않으면악성코드감염은상당수예방할수있다. 그리고자주감염되는경로중하나는메일의첨부파일이다. 의심되는메일임에도불구하고발신자나제목, 내용등을확인하지않고첨부파일부터여는경우가있는데이는매우위험한행동이다. 출처를알수없거나의심이되는제목의메일은읽지않고삭제하는것이좋다. 또한발신자를아는경우에도첨부파일은바로실행하지않고 PC에저장후백신으로검사하는습관을가지는것이좋다. 지금까지랜섬웨어에감염되는이유를살펴보았다. 그렇다면실제감염과정은어떤지확인해보자. 최근에는인터넷스트리밍서비스를통해파일을다운로드하지않고대용량미디어파일을이용할수있다. 인터넷만연결되어있으면, 시간과장소에구애받지않고원하는 TV 프로그램, 영화, 음악등을감상할수있어많은사람들이이용하고있다. 그림 3-5 실시간동영상스트리밍서비스제공페이지 인터넷스트리밍서비스를제공하는업체에서는동영상재생할때광고창을삽입하여광고수익을얻는다. 그림 3-6 재생버튼클릭시생성되는광고창 ( 오른쪽 ) 사용자는생성되는광고창을종료하거나무시하고동영상을시청하게되는데, 동영상시청을마치면다음과같이랜섬웨어에감염되었다는알림창을보게된다. 그림 3-7 랜섬웨어에감염되었음을알리는알림창 19

원인은광고사이트내부에삽입되어있는스크립트에있다. [ 그림 3-8] 은광고사이트의내부정보다. 악성코드제작자는악성코드유포도구 (Exploit Kit) 를이용하여내부에악의적인스크립트를삽입했다. 악성스크립트가실행되면보안제품및가상머신설치여부와시스템에존재하는취약점을탐지한후, 악성코드를실행시킨다. 표 3-2 악성코드생성정보 [ 파일정보 ] C:\Windows\[ 랜덤문자 ].exe [ 레지스트리정보 ] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run C:\Windows\[ 랜덤문자 ].exe 그림 3-8 사이트내부에삽입된악성스크립트 악성코드유포도구 (Exploit Kit) 는탐지되는것을피하기위해 URL을 [ 표 3-1] 과같이리다이렉트시킨다. 표 3-1 변조된부분 [ 접속경로 ] 그렇다면광고창이생성되지않는사이트면안전할까? 그렇지않다. 다음은랜섬웨어가유포되는인터넷언론사이트이다. 포털사이트의뉴스기사검색을통해서해당사이트에접속할수있다. http://*********.info/topic.php?forum=48&topic=58526&p otid=1447350054 >http://pb6kq.***********.pw/viewforum.php?f=07b4c&si d=k4c.6661hvg53122q7 최종적으로연결된사이트의내부정보는 [ 그림 3-9] 와같다. 이전과마찬가지로탐지및분석을방지하기위해난독화된코드로구성되어있다. 그림 3-10 연결된인터넷언론사이트 ( 오른쪽 ) 그림 3-9 난독화된악성스크립트 접속된사이트에는별도의광고창이생성되지않는다. 하지만사이트내부에악성스크립트가삽입되어있어뉴스기사를보던중랜섬웨어경고알림창을확인할수있다. 20

하여다운로드실행 (Drive-by-download) 공격 을막고, 백신제품의엔진을최신으로유지하는사용자의올바른습관이필요하다. 그림 3-11 사이트내부에삽입된악성스크립트 이렇게악성코드제작자에의한공격은인터넷사용환경에깊숙이침투해있다. 랜섬웨어감염을예방하기위해서는보안업데이트 ( 운영체제, 인터넷익스플로러, 자바, 플래시플레이어 ) 를최신버전으로설치 V3 제품에서는해당악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Trojan/Win32.Teslacrypt Trojan/Win32.CryptoWall Trojan/Win32.CryptoLocker 21

ASEC REPORT VOL.71 November, 2015 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2016 AhnLab, Inc. All rights reserved.