ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

Similar documents
ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작

Security Trend ASEC REPORT VOL.68 August, 2015

ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성

Security Trend ASEC Report VOL.56 August, 2014

ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

ASEC REPORT VOL.78 June, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

Security Trend ASEC REPORT VOL.67 July, 2015

Security Trend ASEC Report VOL.63 March, 2015

ASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

Security Trend ASEC REPORT VOL.70 October, 2015

ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

Security Trend ASEC Report VOL.52 April, 2014

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

ASEC REPORT VOL.69 September, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

ASEC REPORT VOL.75 March, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

Security Trend ASEC Report VOL.55 July, 2014

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

ActFax 4.31 Local Privilege Escalation Exploit

Security Trend ASEC Report VOL.54 June, 2014

Windows 8에서 BioStar 1 설치하기

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

ASEC Report VOL.62 February, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

#WI DNS DDoS 공격악성코드분석

월간 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜

*2008년1월호진짜

Windows 10 General Announcement v1.0-KO

ASEC REPORT VOL.73 January, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

Security Trend ASEC Report VOL.58 October, 2014

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

Security Trend ASEC Report VOL.51 March, 2014

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

ASEC Report 2014 Annual Report ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

Security Trend ASEC Report VOL.57 September, 2014

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

유포지탐지동향

목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-

ASEC REPORT VOL 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

Studuino소프트웨어 설치

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

Microsoft Word - src.doc

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

SBR-100S User Manual

ASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix spf-filter 년 6 월

08_spam.hwp

NTD36HD Manual

ASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

Install stm32cubemx and st-link utility

FD¾ØÅÍÇÁ¶óÀÌÁî(Àå¹Ù²Þ)-ÀÛ¾÷Áß

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월

Red Alert Malware Report

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

ASEC REPORT VOL

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

메뉴얼41페이지-2

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A

untitled

한국에너지기술연구원 통합정보시스템설치방법설명서 한국에너지기술연구원 지식정보실 - 1 -

BEA_WebLogic.hwp

2015 년을뒤흔든보안위협 Top 깨어난랜섬웨어의광풍결국은 돈, 계속되는금융정보위협더정교해진웹익스플로잇툴킷의역습애드웨어, 모바일환경으로영역확장공유기, IoT 등 연결 을노리는위협의대두 년을장악할보안위협 Top 5

#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리

Security Trend ASEC REPORT VOL.64 April, 2015

untitled

PowerPoint 프레젠테이션

1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나 데이터를암호화해사용할수없도록하고이를인질로금전

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707

고객 카드

PowerPoint Presentation

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

<4D F736F F D D31312D30312D53572D30312DBBE7BFEBC0DABCB3B8EDBCAD5FBFDCBACEB9E8C6F7BFEB2E646F63>

Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

Transcription:

Security Trend ASEC REPORT VOL.82 October, 2016

ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2016 년 10 월보안동향 1 보안통계 STATISTICS 2 보안이슈 SECURITY ISSUE 01 악성코드통계 02 웹통계 03 모바일통계 01 파밍공격으로이어지는 ActiveX 주의보 02 진화하는 피싱 메일, 금융정보노린다 Table of Contents 4 6 7 10 13 3 악성코드상세분석 ANALYSIS-IN-DEPTH 01 PC 부팅방해하는페트야 (PETYA) 랜섬웨어주의! 16 2

1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계

보안통계 01 악성코드통계 Statistics ASEC이집계한바에따르면, 2016년 10월한달간탐지된악성코드수는 970만 118건으로나타났다. 이는전월 899만 9,000건에비해 70만 1,118건증가한수치다. 한편 10월에수집된악성코드샘플수는 434 만 8,813건이다 30,000,000 20,000,000 10,000,000 9,000,000 8,793,413 8,999,000 9,700,118 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 4,986,496 5,067,805 4,348,813 8 월 9 월 10 월 [ 그림 1-1] 악성코드추이 (2016 년 8 월 ~ 2016 년 10 월 ) * 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 4

[ 그림 1-2] 는 2016 년 10 월한달간유포된악성코드를주요유형별로집계한결과이다. 트로이 목마 (Trojan) 계열의악성코드가 39.45% 로가장높은비중을차지했고, 불필요한프로그램인 PUP(Potentially Unwanted Program) 가 21.49%, 웜 (Worm) 이 8.18% 의비율로그뒤를이었다. 3.91% 8.18% 2.36% 39.45% 21.49% 24.61% Trojan etc PUP Worm Adware Downloader [ 그림 1-2] 2016 년 10 월주요악성코드유형 [ 표 1-1] 은 10 월한달간탐지된악성코드중 PUP 를제외하고가장빈번하게탐지된 10 건을진단명기 준으로정리한것이다. Malware/Win32.Generic 이총 26 만 9,368 로가장많이탐지되었고, Trojan/ Win32.Starter 가 20 만 7,927 건으로그뒤를이었다. [ 표 1-1] 2016년 10월악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 Malware/Win32.Generic 269,368 2 Trojan/Win32.Starter 207,927 3 HackTool/Win32.KMSAuto 144,305 4 Trojan/Win32.Banki 141,351 5 Unwanted/Win32.HackTool 129,318 6 Unwanted/Win32.KMS 123,049 7 Worm/Win32.IRCBot 96,306 8 Trojan/Win32.Agent 90,254 9 Trojan/Win32.Neshta 86,531 10 HackTool/Win32.Crack 62,890 5

보안통계 02 웹통계 Statistics 2016 년 10 월에악성코드유포지로악용된도메인은 1,464 개, URL 은 3,294 개로집계됐다 ([ 그림 1-3]). 또한 10 월의악성도메인및 URL 차단건수는총 460 만 5,999 건이다. 7,000,000 6,000,000 5,880,749 5,000,000 4,605,999 4,000,000 3,924,516 3,000,000 50,000 40,000 30,000 20,000 10,000 1,656 5,027 1,481 2,926 1,464 3,294 악성도메인 /URL 차단건수 악성코드유포도메인수 0 8 월 9 월 10 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 (2016 년 8 월 ~2016 년 10 월 ) * 악성도메인및 URL 차단건수 란 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 6

보안통계 03 모바일통계 Statistics 2016 년 10 월한달간탐지된모바일악성코드는 39 만 3,374 건으로나타났다. 700,000 600,000 500,000 400,000 432,293 389,745 393,374 300,000 200,000 100,000 0 [ 그림 1-4] 모바일악성코드추이 8 월 9 월 10 월 7

[ 표 1-2] 는 9 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. Android-PUP/ SmsPay 가가장많이발견되었다. [ 표 1-2] 2016 년 10 월유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/SmsPay 55,675 2 Android-PUP/Shedun 37,948 3 Android-PUP/Baogifter 31,087 4 Android-PUP/SmsReg 28,336 5 Android-PUP/Agent 27,592 6 Android-Trojan/FakeInst 26,767 7 Android-Trojan/SmsSend 12,471 8 Android-Trojan/Shedun 10,045 9 Android-PUP/Noico 9,590 10 Android-Trojan/AutoSMS 9,012 8

2 보안이슈 SECURITY ISSUE 01 파밍공격으로이어지는 ActiveX 주의보 02 진화하는 피싱 메일, 금융정보노린다

보안이슈 01 파밍공격으로이어지는 ActiveX 주의보 Security Issue 지난 2015년마이크로소프트 (Microsoft) 사가웹브라우저의비표준기술인액티브X(ActiveX) 에대한공식적인지원중단을발표했다. 하지만국내의경우상당수의웹사이트에서는여전히액티브X를사용중인가운데, 최근액티브X 의보안취약점을노린파밍 (Pharming) 악성코드가발견됐다. 주로드라이브바이다운로드 (Drive-by-download) 방식으로유포된기존과달리, 이번에발견된파밍악성코드는액티브X를통해설치된불필요한프로그램 ( 이하 PUP, Potentially Unwanted Program) 을이용해유포되어국내사용자들의주의가필요하다. 사용자가액티브X 의설치를실행하면셋업 (Setup) 파일을통해 PUP가다운로드되는데, 이때함께다운로드되는 version.txt 파일이 [ 표 2-1] 과같이변조되어파밍악성코드유포에이용된다. 표 2-1 version.txt 정상 ( 왼쪽 ) / 변조 ( 오른쪽 ) [version.txt 정보 ] /salesup_up/ /salesup_up/ SalesUpMon.exe SalesUpMon.exe /salesup_up/ /salesup_up/salesup_ SalesupUpdate.exe Update.exe 사용자가악성사이트에접속하면 [ 그림 2-1] 과같이 PUP 사용을위해액티브X를설치하도록유도한다. 설치과정에서사용자의동의를받는것처럼보이지만실제로는해당 PUP의이용약관을제공하지않는다. /salesup_up/ SalesupUninstall.exe /salesup_up/salesup. exe /salesup_up/ SalesupUninstall.exe /salesup_up/salesup. exe 그림 2-1 액티브 X 설치화면 파밍악성코드는 [ 그림 2-2] 와같이변조된 version.txt 파일을기반으로공격자가 PUP 서버에생성해둔악성업데이트파일을사용자 PC에다운로드한다. 10

그림 2-2 다운로드된악성업데이트파일 ( 왼쪽 ) / 정상업데이트파일 ( 오른쪽 ) 악성업데이트파일이실행되면파밍악성코드는기존방식과동일하게 [ 표 2-2] 와같이레지스트리등록을통해웹브라우저의메인페이지를국내유명포털사이트로변경시키고, 방화벽에자기자신을예외로등록한다. 또한시작프로그램에추가하여시스템이다시시작될때마다악성코드가자동으로실행될수있도록설정한다. 표 2-2 레지스트리등록 그림 2-3 설치안내및광고노출 이후사용자가웹사이트에접속하면 [ 그림 2-4] 와같이파밍페이지가노출된다. 금융감독원등을사칭하는허위팝업창을노출해사용자로하여금주민등록번호, 계좌번호, 비밀번호등중요한개인정보를입력하도록유도한다. HKLM\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run 실행된경로 HKLM\SYSTEM\ControlSet001\Services\ SharedAccess\Parameters\FirewallPolicy\ StandardProfile\AuthorizedApplications\List\[ 실행된경로 ] Disabled 그림 2-4 파밍페이지 HKCU\Software\Microsoft\Internet Explorer\Main\ Start Page "www.***.com" 최종적으로 PUP 설치가완료되면 [ 그림 2-3] 과같이사용자에게설치완료페이지를보여준다. 또한사용자가웹브라우저를통해포털사이트메인화면을접속하면해당사이트와관련된광고를노출한다. 액티브X는인터넷익스플로러 (Internet Explorer) 에서멀티미디어구동, 결제등다양한웹서비스이용을위해관련프로그램을사용자 PC에직접설치하는방식이다. 그러나호환성문제, 무분별한 PUP 설치로인한 PC 성능저하, 그리고악성코드유포수단으로악용되면서보안상의이유로지원이중단됐다. 11

국내에서도금융권을중심으로여러규제를완화시키며액티브X 퇴출을선언했지만, 여전히일부웹사이트는액티브X를이용하고있다. 액티브X를통한악성코드감염을방지하기위해서는확인되지않은프로그램은설치하지않도록해야하며, 웹에서프로그램을다운로드할경우에도반드시정식배포사이트를이용하는것이중요하다. V3 제품에서는해당파밍악성코드를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > Trojan/Win32.banki (2016.10.12.03) Trojan/Win32.Zegost (2016.10.13.00) PUP/Win32.ShopAdvance (2016.10.13.05) 12

보안이슈 02 진화하는 피싱 메일, 금융정보노린다 Security Issue 사용자의금융정보를노리는파밍 (Pharming) 공격기법이나날이다변화하고있다. 파밍은 PC에악성코드를감염시켜사용자가피싱사이트에접속하도록유도한뒤입력한금융정보를탈취하는공격기법이다. 파밍악성코드는주로웹사이트에접속만해도감염되는드라이브바이다운로드 (Drive-bydownload) 방식이나정상유틸리티프로그램의업데이트모듈을이용하는방식등으로유포된다. 그런데최근기존유포방식과달리 피싱 (Phishing) 메일 을이용한파밍악성코드유포사례가발견되어사용자들의피해가우려된다. 이번에발견된파밍악성코드는 [ 그림 2-5] 와같이상품배송관련메일로위장한피싱메일을통해유포되었다. 공격자는대량메일발송서비스를이용하여불특정다수의사용자에게해당피싱메일을발송한것으로추정된다. 발송된메일은국내의한오픈마켓웹사이트로사칭하고있으며, 주문한상품의배송조회를미끼로메일수신자에게상세내용조회를위한하이퍼링크를클릭하도록유도한다. 사용자가메일본문의해당하이퍼링크를클릭하면, [ 표 2-3] 과같이공격자가사전에제작한악성코드유포사이트로연결된다. 표 2-3 악성코드유포사이트정보 174.***.1**.***/index.html 해당악성코드유포사이트는드라이브바이다운로드 (Drive-by-download) 방식을이용한다. 따라서시스템에보안취약점이존재하는경우, 해당웹사이트에접속만해도사용자가모르는사이 PC에악성코드가다운로드된다. 그림 2-5 상품배송정보로위장한피싱메일 다운로드된악성코드가실행되면동적링크라이브러리 (DLL) 파일을생성한뒤, 자가삭제된다. 이 13

때윈도우 (Windows) 운영체제의정상파일인 Rundll32.exe 는 [ 표 2-4] 와같은명령어를통해생성된 DLL 파일을실행시킨다. 표 2-4 DLL 파일실행명령어 C:\Windows\System32\Rundll32.exe C:\ \...\[ 랜덤문자열 ]\[ 랜덤문자열 ].dll, gpack 실행된악성코드는 [ 표 2-5] 의 C&C 서버에연결하여파밍공격을위한악성행위를수행한다. 표 2-5 C&C 서버정보 174.1**.1**.** 또한해당악성코드는인터넷익스플로러 (Internet Explorer) 의시작페이지를국내유명포털사이트로변경한뒤, 자동구성스크립트를수정하여사용자를 [ 그림 2-6] 과같은피싱페이지로유도한다. 전자금융거래가확대됨에따라, 지난수년간파밍공격은지속적으로증가하고있는보안위협중하나다. 뿐만아니라피싱메일과결합한이번사례와같이파밍공격은점점더교묘하게진화하고있다. 진화한파밍공격의피해를예방하기위해서는기본적으로출처가불분명한메일열람에주의해야하며, 드라이브바이다운로드 (Drive-by-download) 방식을이용하는교묘한파밍사이트를통해악성코드에감염되지않도록평소주요프로그램의보안업데이트를설치해야한다. 또한 V3 등백신제품의엔진을항상최신버전으로유지하는등의올바른습관이필요하다. V3 제품에서는해당파밍악성코드를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > Trojan/Win32.Banki (2016.09.15.06) 그림 2-6 피싱페이지 14

3 악성코드상세분석 ANALYSIS-IN-DEPTH 01 PC 부팅방해하는페트야 (PETYA) 랜섬웨어주의!

악성코드상세분석 01 PC 부팅방해하는페트야 (PETYA) 랜섬웨어주의! Analysis-In-Depth 최근사용자 PC의정상적인부팅을불가능하게만드는페트야 (PETYA) 랜섬웨어가 스피어피싱 (Spear Phishing) 메일을통해유포됐다. 페트야랜섬웨어는파일을암호화대상으로삼는기존의랜섬웨어와달리사용자 PC의 MBR(Master Boot Record) 영역코드자체를변조하여감염된이후에는정상적인 PC 부팅을불가능하게하는것으로알려져있다. [ 그림 3-1] 과같이페트야랜섬웨어를유포한스피어피싱메일은홍보영상에대한의견을구하는내용으로위장했다. 그럴듯한내용의메일로자연스럽게위장하여수신자의관심을끌고첨부한파일을열어보도록유도하고있다. 한편 스피어피싱 (Spear Phishing) 은 창 이라는뜻의영어단어스피어 (Spear) 와 사용자를속이는행위 를의미하는용어인피싱 (Phishing) 의합성어다. 악성첨부파일을이용해수신자의 PC를감염시킨다는점은동일하지만불특정다수가아닌특정인또는특정조직을노린다는점에서더욱주의해야한다. 그림 3-2 메일내첨부파일 그림 3-1 스피어피싱메일정보 사용자가메일에첨부된파일을압축해제하면 [ 그림 3-2] 와같이 *.mp4 형태의동영상파일 4개와 *.doc 형태의문서파일 1개가나타난다. 16

페트야랜섬웨어에감염되면 [ 그림 3-4] 와같은부팅불가메시지화면이나타나며, MBR(Master Boot Record) 과 MFT(Master File Table) 영역을암호화하여 PC의정상적인부팅을불가능하게한다. 또한사용자에게익명통신시스템인토르브라우저 (Tor Browser) 를이용한링크접속을통해, 시스템복구를위한금전을지불할것을요구한다. 그림 3-3 문서파일로위장한 샘플영상설명서.doc 파일속성 [ 그림 3-3] 와같이첨부파일의속성을확인하면, 샘플영상설명서.doc 파일이실제로는문서파일로위장한 '*.LNK' 형태의바로가기파일임을알수있다. 명령프롬프트를이용하여파일 'Sample_4. mp4' 파일을실행하도록설정되어있다. 마찬가지로 Sample_4.mp4 파일또한영상파일로위장한 *.exe 형태의실행파일이다. 최종적으로실행된악성파일은메모리내에 DLL 파일을생성한다. 이때시스템경로인 Program Files (x86) 및 Program Files 폴더의내부를탐색하여사용자 PC 내백신프로그램의설치여부도함께확인한다. 그림 3-4 부팅불가메시지화면 랜섬웨어를이용한보안위협은점점고도화되고있다. 랜섬웨어에감염되면치료및복구가어렵기때문에예방이무엇보다중요하며, 랜섬웨어로인한피해를최소화하기위한랜섬웨어감염예방법은 [ 표 3-1] 과같다. 표 3-1 랜섬웨어감염예방법 - 의심스러운메일의첨부파일열람금지 - 문서 (*.doc, *.ppt, *.pdf, *.hwp), 사진파일등중요파일의백업 - 소프트웨어및보안업데이트수시적용 : 랜섬웨어는소프트웨어취약점을이용한드라이브바이다운로드 (Driveby-download) 방식으로유포되는경우가많음 이번사례를통해알수있는것처럼최근공격자들은불특정다수가아닌특정대상을목적으로하는스피어피싱기법을이용하여좀더신뢰할만한내용으로사용자의의심을피한다. 따라서사용자의개인정보에관련된내용이나호기심을자극하는제목을이용한피싱메일의피해를예방하기위해서는조금이라도수상하거나출처가불분명한메일을수신했을경 17

우, 첨부된파일을실행하지않아야한다. 또한주요프로그램의보안업데이트및백신제품의엔진을최신버전으로유지하는등기본적인보안수칙을준수하는습관이필요하다. <V3 제품군의진단명 > Trojan/Win32.DiskWriter (2016.10.04.08) Trojan/Win32.Mischa (2016.10.06.07) V3 제품에서는페트야랜섬웨어를다음과같은진단명으로탐지하고있다. 18

ASEC REPORT VOL.82 October, 2016 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2016 AhnLab, Inc. All rights reserved.