Security Trend ASEC REPORT VOL.82 October, 2016
ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2016 년 10 월보안동향 1 보안통계 STATISTICS 2 보안이슈 SECURITY ISSUE 01 악성코드통계 02 웹통계 03 모바일통계 01 파밍공격으로이어지는 ActiveX 주의보 02 진화하는 피싱 메일, 금융정보노린다 Table of Contents 4 6 7 10 13 3 악성코드상세분석 ANALYSIS-IN-DEPTH 01 PC 부팅방해하는페트야 (PETYA) 랜섬웨어주의! 16 2
1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계
보안통계 01 악성코드통계 Statistics ASEC이집계한바에따르면, 2016년 10월한달간탐지된악성코드수는 970만 118건으로나타났다. 이는전월 899만 9,000건에비해 70만 1,118건증가한수치다. 한편 10월에수집된악성코드샘플수는 434 만 8,813건이다 30,000,000 20,000,000 10,000,000 9,000,000 8,793,413 8,999,000 9,700,118 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 4,986,496 5,067,805 4,348,813 8 월 9 월 10 월 [ 그림 1-1] 악성코드추이 (2016 년 8 월 ~ 2016 년 10 월 ) * 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 4
[ 그림 1-2] 는 2016 년 10 월한달간유포된악성코드를주요유형별로집계한결과이다. 트로이 목마 (Trojan) 계열의악성코드가 39.45% 로가장높은비중을차지했고, 불필요한프로그램인 PUP(Potentially Unwanted Program) 가 21.49%, 웜 (Worm) 이 8.18% 의비율로그뒤를이었다. 3.91% 8.18% 2.36% 39.45% 21.49% 24.61% Trojan etc PUP Worm Adware Downloader [ 그림 1-2] 2016 년 10 월주요악성코드유형 [ 표 1-1] 은 10 월한달간탐지된악성코드중 PUP 를제외하고가장빈번하게탐지된 10 건을진단명기 준으로정리한것이다. Malware/Win32.Generic 이총 26 만 9,368 로가장많이탐지되었고, Trojan/ Win32.Starter 가 20 만 7,927 건으로그뒤를이었다. [ 표 1-1] 2016년 10월악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 Malware/Win32.Generic 269,368 2 Trojan/Win32.Starter 207,927 3 HackTool/Win32.KMSAuto 144,305 4 Trojan/Win32.Banki 141,351 5 Unwanted/Win32.HackTool 129,318 6 Unwanted/Win32.KMS 123,049 7 Worm/Win32.IRCBot 96,306 8 Trojan/Win32.Agent 90,254 9 Trojan/Win32.Neshta 86,531 10 HackTool/Win32.Crack 62,890 5
보안통계 02 웹통계 Statistics 2016 년 10 월에악성코드유포지로악용된도메인은 1,464 개, URL 은 3,294 개로집계됐다 ([ 그림 1-3]). 또한 10 월의악성도메인및 URL 차단건수는총 460 만 5,999 건이다. 7,000,000 6,000,000 5,880,749 5,000,000 4,605,999 4,000,000 3,924,516 3,000,000 50,000 40,000 30,000 20,000 10,000 1,656 5,027 1,481 2,926 1,464 3,294 악성도메인 /URL 차단건수 악성코드유포도메인수 0 8 월 9 월 10 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 (2016 년 8 월 ~2016 년 10 월 ) * 악성도메인및 URL 차단건수 란 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 6
보안통계 03 모바일통계 Statistics 2016 년 10 월한달간탐지된모바일악성코드는 39 만 3,374 건으로나타났다. 700,000 600,000 500,000 400,000 432,293 389,745 393,374 300,000 200,000 100,000 0 [ 그림 1-4] 모바일악성코드추이 8 월 9 월 10 월 7
[ 표 1-2] 는 9 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. Android-PUP/ SmsPay 가가장많이발견되었다. [ 표 1-2] 2016 년 10 월유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/SmsPay 55,675 2 Android-PUP/Shedun 37,948 3 Android-PUP/Baogifter 31,087 4 Android-PUP/SmsReg 28,336 5 Android-PUP/Agent 27,592 6 Android-Trojan/FakeInst 26,767 7 Android-Trojan/SmsSend 12,471 8 Android-Trojan/Shedun 10,045 9 Android-PUP/Noico 9,590 10 Android-Trojan/AutoSMS 9,012 8
2 보안이슈 SECURITY ISSUE 01 파밍공격으로이어지는 ActiveX 주의보 02 진화하는 피싱 메일, 금융정보노린다
보안이슈 01 파밍공격으로이어지는 ActiveX 주의보 Security Issue 지난 2015년마이크로소프트 (Microsoft) 사가웹브라우저의비표준기술인액티브X(ActiveX) 에대한공식적인지원중단을발표했다. 하지만국내의경우상당수의웹사이트에서는여전히액티브X를사용중인가운데, 최근액티브X 의보안취약점을노린파밍 (Pharming) 악성코드가발견됐다. 주로드라이브바이다운로드 (Drive-by-download) 방식으로유포된기존과달리, 이번에발견된파밍악성코드는액티브X를통해설치된불필요한프로그램 ( 이하 PUP, Potentially Unwanted Program) 을이용해유포되어국내사용자들의주의가필요하다. 사용자가액티브X 의설치를실행하면셋업 (Setup) 파일을통해 PUP가다운로드되는데, 이때함께다운로드되는 version.txt 파일이 [ 표 2-1] 과같이변조되어파밍악성코드유포에이용된다. 표 2-1 version.txt 정상 ( 왼쪽 ) / 변조 ( 오른쪽 ) [version.txt 정보 ] /salesup_up/ /salesup_up/ SalesUpMon.exe SalesUpMon.exe /salesup_up/ /salesup_up/salesup_ SalesupUpdate.exe Update.exe 사용자가악성사이트에접속하면 [ 그림 2-1] 과같이 PUP 사용을위해액티브X를설치하도록유도한다. 설치과정에서사용자의동의를받는것처럼보이지만실제로는해당 PUP의이용약관을제공하지않는다. /salesup_up/ SalesupUninstall.exe /salesup_up/salesup. exe /salesup_up/ SalesupUninstall.exe /salesup_up/salesup. exe 그림 2-1 액티브 X 설치화면 파밍악성코드는 [ 그림 2-2] 와같이변조된 version.txt 파일을기반으로공격자가 PUP 서버에생성해둔악성업데이트파일을사용자 PC에다운로드한다. 10
그림 2-2 다운로드된악성업데이트파일 ( 왼쪽 ) / 정상업데이트파일 ( 오른쪽 ) 악성업데이트파일이실행되면파밍악성코드는기존방식과동일하게 [ 표 2-2] 와같이레지스트리등록을통해웹브라우저의메인페이지를국내유명포털사이트로변경시키고, 방화벽에자기자신을예외로등록한다. 또한시작프로그램에추가하여시스템이다시시작될때마다악성코드가자동으로실행될수있도록설정한다. 표 2-2 레지스트리등록 그림 2-3 설치안내및광고노출 이후사용자가웹사이트에접속하면 [ 그림 2-4] 와같이파밍페이지가노출된다. 금융감독원등을사칭하는허위팝업창을노출해사용자로하여금주민등록번호, 계좌번호, 비밀번호등중요한개인정보를입력하도록유도한다. HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run 실행된경로 HKLM\SYSTEM\ControlSet001\Services\ SharedAccess\Parameters\FirewallPolicy\ StandardProfile\AuthorizedApplications\List\[ 실행된경로 ] Disabled 그림 2-4 파밍페이지 HKCU\Software\Microsoft\Internet Explorer\Main\ Start Page "www.***.com" 최종적으로 PUP 설치가완료되면 [ 그림 2-3] 과같이사용자에게설치완료페이지를보여준다. 또한사용자가웹브라우저를통해포털사이트메인화면을접속하면해당사이트와관련된광고를노출한다. 액티브X는인터넷익스플로러 (Internet Explorer) 에서멀티미디어구동, 결제등다양한웹서비스이용을위해관련프로그램을사용자 PC에직접설치하는방식이다. 그러나호환성문제, 무분별한 PUP 설치로인한 PC 성능저하, 그리고악성코드유포수단으로악용되면서보안상의이유로지원이중단됐다. 11
국내에서도금융권을중심으로여러규제를완화시키며액티브X 퇴출을선언했지만, 여전히일부웹사이트는액티브X를이용하고있다. 액티브X를통한악성코드감염을방지하기위해서는확인되지않은프로그램은설치하지않도록해야하며, 웹에서프로그램을다운로드할경우에도반드시정식배포사이트를이용하는것이중요하다. V3 제품에서는해당파밍악성코드를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > Trojan/Win32.banki (2016.10.12.03) Trojan/Win32.Zegost (2016.10.13.00) PUP/Win32.ShopAdvance (2016.10.13.05) 12
보안이슈 02 진화하는 피싱 메일, 금융정보노린다 Security Issue 사용자의금융정보를노리는파밍 (Pharming) 공격기법이나날이다변화하고있다. 파밍은 PC에악성코드를감염시켜사용자가피싱사이트에접속하도록유도한뒤입력한금융정보를탈취하는공격기법이다. 파밍악성코드는주로웹사이트에접속만해도감염되는드라이브바이다운로드 (Drive-bydownload) 방식이나정상유틸리티프로그램의업데이트모듈을이용하는방식등으로유포된다. 그런데최근기존유포방식과달리 피싱 (Phishing) 메일 을이용한파밍악성코드유포사례가발견되어사용자들의피해가우려된다. 이번에발견된파밍악성코드는 [ 그림 2-5] 와같이상품배송관련메일로위장한피싱메일을통해유포되었다. 공격자는대량메일발송서비스를이용하여불특정다수의사용자에게해당피싱메일을발송한것으로추정된다. 발송된메일은국내의한오픈마켓웹사이트로사칭하고있으며, 주문한상품의배송조회를미끼로메일수신자에게상세내용조회를위한하이퍼링크를클릭하도록유도한다. 사용자가메일본문의해당하이퍼링크를클릭하면, [ 표 2-3] 과같이공격자가사전에제작한악성코드유포사이트로연결된다. 표 2-3 악성코드유포사이트정보 174.***.1**.***/index.html 해당악성코드유포사이트는드라이브바이다운로드 (Drive-by-download) 방식을이용한다. 따라서시스템에보안취약점이존재하는경우, 해당웹사이트에접속만해도사용자가모르는사이 PC에악성코드가다운로드된다. 그림 2-5 상품배송정보로위장한피싱메일 다운로드된악성코드가실행되면동적링크라이브러리 (DLL) 파일을생성한뒤, 자가삭제된다. 이 13
때윈도우 (Windows) 운영체제의정상파일인 Rundll32.exe 는 [ 표 2-4] 와같은명령어를통해생성된 DLL 파일을실행시킨다. 표 2-4 DLL 파일실행명령어 C:\Windows\System32\Rundll32.exe C:\ \...\[ 랜덤문자열 ]\[ 랜덤문자열 ].dll, gpack 실행된악성코드는 [ 표 2-5] 의 C&C 서버에연결하여파밍공격을위한악성행위를수행한다. 표 2-5 C&C 서버정보 174.1**.1**.** 또한해당악성코드는인터넷익스플로러 (Internet Explorer) 의시작페이지를국내유명포털사이트로변경한뒤, 자동구성스크립트를수정하여사용자를 [ 그림 2-6] 과같은피싱페이지로유도한다. 전자금융거래가확대됨에따라, 지난수년간파밍공격은지속적으로증가하고있는보안위협중하나다. 뿐만아니라피싱메일과결합한이번사례와같이파밍공격은점점더교묘하게진화하고있다. 진화한파밍공격의피해를예방하기위해서는기본적으로출처가불분명한메일열람에주의해야하며, 드라이브바이다운로드 (Drive-by-download) 방식을이용하는교묘한파밍사이트를통해악성코드에감염되지않도록평소주요프로그램의보안업데이트를설치해야한다. 또한 V3 등백신제품의엔진을항상최신버전으로유지하는등의올바른습관이필요하다. V3 제품에서는해당파밍악성코드를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > Trojan/Win32.Banki (2016.09.15.06) 그림 2-6 피싱페이지 14
3 악성코드상세분석 ANALYSIS-IN-DEPTH 01 PC 부팅방해하는페트야 (PETYA) 랜섬웨어주의!
악성코드상세분석 01 PC 부팅방해하는페트야 (PETYA) 랜섬웨어주의! Analysis-In-Depth 최근사용자 PC의정상적인부팅을불가능하게만드는페트야 (PETYA) 랜섬웨어가 스피어피싱 (Spear Phishing) 메일을통해유포됐다. 페트야랜섬웨어는파일을암호화대상으로삼는기존의랜섬웨어와달리사용자 PC의 MBR(Master Boot Record) 영역코드자체를변조하여감염된이후에는정상적인 PC 부팅을불가능하게하는것으로알려져있다. [ 그림 3-1] 과같이페트야랜섬웨어를유포한스피어피싱메일은홍보영상에대한의견을구하는내용으로위장했다. 그럴듯한내용의메일로자연스럽게위장하여수신자의관심을끌고첨부한파일을열어보도록유도하고있다. 한편 스피어피싱 (Spear Phishing) 은 창 이라는뜻의영어단어스피어 (Spear) 와 사용자를속이는행위 를의미하는용어인피싱 (Phishing) 의합성어다. 악성첨부파일을이용해수신자의 PC를감염시킨다는점은동일하지만불특정다수가아닌특정인또는특정조직을노린다는점에서더욱주의해야한다. 그림 3-2 메일내첨부파일 그림 3-1 스피어피싱메일정보 사용자가메일에첨부된파일을압축해제하면 [ 그림 3-2] 와같이 *.mp4 형태의동영상파일 4개와 *.doc 형태의문서파일 1개가나타난다. 16
페트야랜섬웨어에감염되면 [ 그림 3-4] 와같은부팅불가메시지화면이나타나며, MBR(Master Boot Record) 과 MFT(Master File Table) 영역을암호화하여 PC의정상적인부팅을불가능하게한다. 또한사용자에게익명통신시스템인토르브라우저 (Tor Browser) 를이용한링크접속을통해, 시스템복구를위한금전을지불할것을요구한다. 그림 3-3 문서파일로위장한 샘플영상설명서.doc 파일속성 [ 그림 3-3] 와같이첨부파일의속성을확인하면, 샘플영상설명서.doc 파일이실제로는문서파일로위장한 '*.LNK' 형태의바로가기파일임을알수있다. 명령프롬프트를이용하여파일 'Sample_4. mp4' 파일을실행하도록설정되어있다. 마찬가지로 Sample_4.mp4 파일또한영상파일로위장한 *.exe 형태의실행파일이다. 최종적으로실행된악성파일은메모리내에 DLL 파일을생성한다. 이때시스템경로인 Program Files (x86) 및 Program Files 폴더의내부를탐색하여사용자 PC 내백신프로그램의설치여부도함께확인한다. 그림 3-4 부팅불가메시지화면 랜섬웨어를이용한보안위협은점점고도화되고있다. 랜섬웨어에감염되면치료및복구가어렵기때문에예방이무엇보다중요하며, 랜섬웨어로인한피해를최소화하기위한랜섬웨어감염예방법은 [ 표 3-1] 과같다. 표 3-1 랜섬웨어감염예방법 - 의심스러운메일의첨부파일열람금지 - 문서 (*.doc, *.ppt, *.pdf, *.hwp), 사진파일등중요파일의백업 - 소프트웨어및보안업데이트수시적용 : 랜섬웨어는소프트웨어취약점을이용한드라이브바이다운로드 (Driveby-download) 방식으로유포되는경우가많음 이번사례를통해알수있는것처럼최근공격자들은불특정다수가아닌특정대상을목적으로하는스피어피싱기법을이용하여좀더신뢰할만한내용으로사용자의의심을피한다. 따라서사용자의개인정보에관련된내용이나호기심을자극하는제목을이용한피싱메일의피해를예방하기위해서는조금이라도수상하거나출처가불분명한메일을수신했을경 17
우, 첨부된파일을실행하지않아야한다. 또한주요프로그램의보안업데이트및백신제품의엔진을최신버전으로유지하는등기본적인보안수칙을준수하는습관이필요하다. <V3 제품군의진단명 > Trojan/Win32.DiskWriter (2016.10.04.08) Trojan/Win32.Mischa (2016.10.06.07) V3 제품에서는페트야랜섬웨어를다음과같은진단명으로탐지하고있다. 18
ASEC REPORT VOL.82 October, 2016 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2016 AhnLab, Inc. All rights reserved.