AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구

ASEC REPORT VOL.25 2012.02 안철수연구소월간보안보고서 이달의보안동향 모바일악성코드이슈 악성코드분석특집 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved.

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구소의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. CONTENTS 01. 악성코드동향 a. 악성코드통계 05 02. 보안동향 a. 보안통계 39 - 악성코드월별감염보고건수 - 1 월최다악성코드 20 건 - 악성코드대표진단명감염보고최다 20-1 월신종악성코드 - 악성코드유형별감염보고비율 - 악성코드유형별감염보고전월비교 - 신종악성코드유형별분포 - 1 월마이크로소프트보안업데이트현황 b. 보안이슈 40 - Hash Collision 공격을통한웹서버서비스거부공격 (DoS) - HP LaserJet 펌웨어관련치명적보안취약점발견 b. 악성코드이슈 10 - MS12-004 윈도우미디어취약점을악용한악성코드유포 - 스페이스와탭을이용한자바스크립트난독화소스출현 - 보안제품의업데이트를방해하는 Hosts 파일변경악성코드주의 - 내하드디스크가타버린다고? 불안심리를자극하는 Hoax 악성코드 - 단축 URL 을이용해트위터로유포중인피싱웹사이트 - 악성코드버그로인한 응용프로그램초기화오류 와 BSOD(Hard Disk) 발생 c. 모바일악성코드이슈 17 - MADDEN NFL 12 로위장한악성애플리케이션 - 일본성인사이트에서유포되는악성애플리케이션 d. 악성코드분석특집 22 03. 웹보안동향 a. 웹보안통계 42 - 웹사이트악성코드동향 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위 b. 웹보안이슈 45-2012 년 1 월침해사이트현황 - 침해사이트를통해서유포된악성코드최다 10 건 - 모바일악성코드동향

5 6 1. 이달의보안동향 01. 악성코드동향 a. 악성코드통계 악성코드월별감염보고건수 1 월최다악성코드 20 건 2012 년 1 월에감염이보고된악성코드는전체 1395 만 901 건인것으로나타났다. 이는 2011 년 12 월의 1465 만 7593 건에비해 70 만 6692 건이감소한결과다 ([ 그림 1-1]). 이중에서가장많이보고된악성코 드는지난달과마찬가지로 JS/Agent 였다. Trojan/Win32.hdc 와 Trojan/Win32.adh 가그다음으로많이 보고됐으며새로발견된악성코드는최다 20 건중총 15 건이었다 ( 표 1-1). 20,000,000 18,000,000 16,000,000 14,000,000 12,000,000 0 12,559,154 +19.6% [ 그림 1-1] 월별악성코드감염보고건수 +2,098,439 14,657,593 +16.7% -706,692 13,950,901-4.8% 2011.11 2011.12 2012.01 순위 등락 악성코드명 건수 비율 1 JS/Agent 879,105 15.7 % 2 NEW Trojan/Win32.hdc 733,670 13.1 % 3 NEW Trojan/Win32.adh 504,336 9.0 % 4 NEW Trojan/Win32.Gen 405,030 7.2 % 5 1 Textimage/Autorun 403,129 7.1 % 6 NEW Malware/Win32.generic 334,025 6.0 % 7 NEW Trojan/Win32.fakeav 300,216 5.4 % 8 NEW Adware/Win32.korad 273,647 4.9 % 9 NEW Adware/Win32.sidetab 226,383 4.0 % 10 NEW Trojan/Win32.agent 185,035 3.3 % 11 3 Win-Trojan/Agent.465408.T 172,824 3.1 % 12 NEW Trojan/Win32.genome 151,291 2.7 % 13 NEW Downloader/Win32.adload 150,312 2.7 % 14 NEW JS/Iframe 149,981 2.6 % 15 NEW ASD.PREVENTION 142,446 2.5 % 16 6 Html/Iframe 140,521 2.4 % 17 15 Exploit/Cve-2011-2140 122,256 2.2 % 18 NEW Trojan/Win32.bho 115,849 2.1 % 19 NEW Packed/Win32.morphine 109,641 2.0 % 20 NEW Backdoor/Win32.asper 109,628 2.0 % 5,609,325 100.0 % [ 표 1-1] 2012년 1월최다악성코드 20건 ( 감염보고, 악성코드명기준 )

7 8 악성코드대표진단명감염보고최다 20 1 월신종악성코드 [ 표 1-2] 는악성코드의주요동향을파악하기위하여, 악성코드별변종을종합한 1 월최다악성코드대 표진단명 20 건이다. [ 표 1-3] 은 1 월에신규로접수된악성코드중고객으로부터감염이보고된악성코드최다 20 건이다. 1 월 에감염보고된신종악성코드는 Exploit/Cve-2011-3544 가 7 만 8836 건으로전체의 17.3% 로가장많 았으며, Win-Trojan/Downloader.1947648 은 7 만 663 건으로그다음으로많이보고됐다. 순위 등락 악성코드명 건수 비율 1 NEW Trojan/Win32 2,837,555 31.3 % 2 1 JS/Agent 881,819 9.7 % 3 NEW Adware/Win32 821,654 9.1 % 4 2 Win-Trojan/Agent 633,671 7.0 % 5 NEW Downloader/Win32 460,205 5.0 % 6 NEW Malware/Win32 405,078 4.5 % 7 1 Textimage/Autorun 403,214 4.5 % 8 5 Win-Adware/Korad 359,617 4.0 % 9 2 Win-Trojan/Downloader 307,299 3.4 % 10 1 Win-Trojan/Onlinegamehack 306,394 3.3 % 11 NEW Backdoor/Win32 205,718 2.3 % 12 2 Win32/Virut 195,766 2.2 % 13 Win32/Conficker 189,242 2.1 % 14 NEW Dropper/Win32 175,506 1.9 % 15 Win32/Autorun.worm 153,597 1.7 % 16 NEW JS/Iframe 149,981 1.7 % 17 1 Win32/Kido 144,220 1.6 % 18 NEW Packed/Win32 144,014 1.6 % 19 NEW ASD 142,446 1.6 % 20 1 Html/Iframe 140,521 1.5 % 9,057,517 100.0 % [ 표 1-1] 2012년 1월최다악성코드 20건 ( 감염보고, 악성코드명기준 ) 순위 악성코드명 건수 비율 1 Exploit/Cve-2011-3544 78,836 17.3 % 2 Win-Trojan/Downloader.1947648 70,663 15.5 % 3 Win-Trojan/Fakeav.232472 34,581 7.6 % 4 Win-Adware/KorAd.20480.H 30,903 6.8 % 5 SWF/Sve-2011-0611 29,163 6.4 % 6 Dropper/Agent.454656.DW 25,441 5.6 % 7 Win-Adware/KorAd.114688.B 23,291 5.1 % 8 Win-Trojan/Agent.900608.B 21,284 4.7 % 9 Win-Trojan/Backdoor.1761280 18,629 4.1 % 10 Win-Trojan/Asper.1319424 18,237 4.0 % 11 Win-Trojan/Downloader.45056.ABV 15,197 3.2 % 12 Win-Downloader/OneStep.672336 11,338 2.5 % 13 Win-Adware/Geezon.875520 11,307 2.5 % 14 Win-Trojan/Downloader.181824 10,614 2.3 % 15 Win-Trojan/Agent.36864.CCF 10,154 2.2 % 16 Win-Adware/KorAd.1253376 9,766 2.1 % 17 Dropper/Agent.216921 9,479 2.1 % 18 Win-Trojan/Downloader.704512.B 9,440 2.1 % 19 Win-Trojan/Onlinegamehack.82944.BB 9,428 2.0 % 20 Win-Adware/KorAd.241664.K 9,185 1.9 % 456,936 100.0 % [ 표 1-3] 1월신종악성코드최다 20건

9 10 악성코드유형별감염보고비율 신종악성코드유형별분포 2012 년 1 월의악성코드를유형별로살펴보면, 트로이목마 (Trojan) 가 40.8%, 스크립트 (Script) 가 14.6%, 웜 (Worm) 이 7% 보고된것으로나타났다. 1 월의신종악성코드유형을보면트로이목마가 48% 로가장많았고, 애드웨어가 22%, 드롭퍼가 10% 였 다. [ 그림 1-2] 1 월악성코드유형별비율 악성코드유형별감염보고전월비교 [ 그림 1-4] 신종악성코드유형별분포 [ 그림 1-3] 는악성코드유형별감염보고비율을전월과비교한것이다. 트로이목마, 드로퍼 (Dropper) 가전월에비해증가세를보이고있는반면, 스크립트, 웜, 애드웨어 (Adware), 다운로더 (Downloader), 스파이웨어 (Spyware), 애프케어 (Appcare) 계열들은전월에비해감소한것을볼수있다. 바이러스 (Virus) 계열들은전월수준을유지했다. [ 그림 1-3] 2012 년 1 월 vs. 2011 년 12 월악성코드유형별감염보고전월비교

11 12 01. 악성코드동향 b. 악성코드이슈 mp.html 스크립트악성코드에포함된셸코드는미국내특정시스템에서인코딩 (Encoding) 된파일인 tdc.exe(73,728바이트 ) 를다운로드한후에디코딩 (Decoding) 과정을거쳐정상적인 PE 파일형태가된다. [ 그림 1-8] 인코딩된파일을디코딩하여정상 PE 파일을생성 [ 그림 1-10] 과같이특정시스템으로접속을시도하여 20120120. exe(89,088바이트 ) 를다운로드한다. [ 그림 1-10] 특정시스템에서다운로드되는다른악성코드스 MS12-004 윈도우미디어취약점을악용한악성코드유포 [ 그림 1-6] MS12-004 취약점을악용하는스크립트악성코드구조 2012 년 1 월 27 일트렌드마이크로 (Trend Micro) 의블로그 <Malware Leveraging MIDI Remote Code Execution Vulnerability Found> 를 다운로드된 20120120.exe 는감염된시스템에존재하는정상윈도 통해마이크로소프트 (Microsoft) 가 1 월 11 일배포하였던보안패치 우시스템파일인 imm32.dll 파일을랜덤한파일명으로백업하고국 "MS12-004 Windows Media 의취약점으로인한원격코드실행문 내에서제작된온라인게임들의사용자계정과암호를탈취한다. 제점 (2636391)" 과관련된취약점 (CVE-2012-0003) 을악용하여유포된악성코드가발견되었다 ASEC에서추가조사를진행한결과, 해당악성코드는 [ 그림 1-5] 와같은구조를가지고있는것으로파악되었다. [ 그림 1-5] MS12-004 취약점을악용하는스크립트와관련한악성코드구조 MIDI 파일인 baby.mid 는 [ 그림 1-7] 과같이 MS12-004 취약점을 - 정상적인 PE 파일형태가된 tdc.exe 파일이실행되면다음의파일들이생성된다. C:\WINDOWS\system32\drivers\com32.sys(11,648바이트 ) C:\WINDOWS\system32\com32.dll(57,344바이트 ) - 레지스트리 (Registry) 에아래의키값을생성하여윈도우 (Windows) 가재시작될때해당드라이버파일이 Com32 라는서비스명으로자동구동되도록설정한다. 현재까지확인된상황을종합해보면, 이번악성코드는윈도우보안패치가설치되지않은시스템에서온라인게임사용자정보를탈취하기위한것으로볼수있다. 또한발견된악성코드의제작기법과국내보안프로그램의강제종료수법들로볼때중국에서제작된온라인게임관련악성코드와유사한것으로보인다. 해당 MS12-004 취약점은다른악성코드에서도악용될소지가크므로윈도우시스템에최신보안패치를설치하는것이최선의예방책이다. 악용하고있으며, 해당취약점을통해 ASLR/DEP를모두우회하여공격자가지정한특정코드를실행한다. 일반적인 MIDI 파일포맷은 Header Chunk와 Track Chunks로구성 HKLM\SYSTEM\ControlSet001\Services\Com32\ImagePath "System32\drivers\com32.sys" <V3 제품군의진단명 > - JS/Cve-2009-0075 - JS/Agent 악성코드감염의시작이된 mp.html(16,453바이트 ) 파일은 1월 21일설날연휴가시작된토요일에국내에서최초로발견되었으며, 해당스크립트악성코드가존재하는시스템은미국에있다. 또한공격자는한국과중국을포함한극동아시아권을주된대상으로해당악성코드를유포한것으로 ASEC에서는추정하고있다. mp.html 스크립트악성코드를텍스트에디터 (editor) 로분석해보면 [ 그림 1-6] 과같은구조로되어있으며, 파일중간에는실질적인 되며, Note On/OFF( 소리내기 / 끄기 ) 명령어인해당 Track Event 중첫째파라미터인 'Note Number' 값은최대 127까지표현할수있다. 악의적으로조작된 MIDI 파일은 [ 그림 1-7] 과같이 B2(>128) 값으로설정하여오프셋 (Offset) 계산시경계범위를넘게되어잘못된메모리번지를참조하게되는오류를이용했다. [ 그림 1-7] 악의적으로조작된 MIDI 파일 - 생성된드라이버파일인 com32.sys는 tdc.exe가생성한 com32. sys와 com32.dll 파일들을보호하기위해 IEXPLORER.EXE, explorer.exe, rundll32.exe 프로세스이외의접근을방해한다. - com32.sys는 \FileSystem\FastFat과 \FileSystem\Ntfs의 DriverObject의 IRP_MJ_CREATE 핸들러주소를후킹한코드주소로변경한다. - 생성된 com32.dll은감염된시스템에국내에서제작된보안제품이실행중이면해당보안제품의강제종료를시도한다. [ 그림 1-9] com32.dll 내부코드에포함된종료대상보안제품프로세스 - Exploit/Ms12-004 - Win-Trojan/Rootkit.7808.H - Dropper/Win32.OnlineGameHack - Win-Trojan/Meredrop.73728.C - Win-Trojan/Rootkit.11648.B - Win-Trojan/Waltrodock.57344 - Win-Trojan/Meredrop <TrusGuard 네트워크보안장비의해당취약점탐지 / 차단명 > - malicious_url_20120127_1459(http)-1 - ms_ie_mid_file_exploit-t(cve-2012-0003/http) MS12-004 취약점을악용하는 MIDI 파일인 baby.mid(38,068바이트 ) 파일, 자바스크립트 (JavaScript) 인 i.js, 셸코드 (Shallcode) 가포함되어있다. 스페이스와탭을이용한자바스크립트난독화소스출현사용자모르게악성코드의다운로드를유발하는자바스크립트를웹서버에삽입하는방식은일반화된지오래다. 악성코드제작자들 은보안제품의엔진에반영하기어렵게하려고자바스크립트소스 를분석하기어렵게만든다. 최근까지는주로 ASCII 코드가아닌다

13 14 른문자열인코딩방식을이용하여알아보기어렵게했지만, 이번에등장한방식은화면에난독화코드로보이는부분이존재하지않고, 다만커다란공간이많이보인다는특징이있다. [ 그림 1-11] 최근한언론사홈페이지에삽입되었던소스코드 위의자료를보면스페이스는 1, 탭은 0을의미한다. 탭과스페이스로구성된코드는다양한방법으로난독화를해제할수있다. 스페이스와탭을각각 1과 0으로고쳐서직접계산하고표에서찾는방법이있고, 간단한프로그램을작성하여분석하는방법도있다. 또한, 별도의도구를이용하지않고브라우저만이용하여분석하는방법이있다. 1. 먼저소스코드를보기좋게정렬한다. [ 그림 1-16] 최종호출하는파일의주소 [ 그림 1-18] Hosts 파일동작원리악성코드배포 URL은일반적으로최초배포시기로부터 24~48시간정도만작동하고폐쇄되는특징을보이는데, 현재해당 URL은접속되지않는것으로보아제작자에의해폐쇄된것으로추정된다. 2. 복호화함수를찾는다. 화면에스페이스와탭만출력되어서는악성페이지를불러올수없다. 분명스페이스와탭을복호화하는코드가포함되어있을것이다. 이러한악성코드에감염되는것을예방하기위해다음과같은조치를취해야한다. 스페이스와탭코드바로윗부분에, 빌리호프만의발표자료에있던복호화코드와같은소스가있는것을볼수있다. 1. 보안프로그램은항상최신버전의엔진을사용한다. 2. 윈도우 XP는최신버전의서비스팩을설치하고, 미설치된보안 얼핏보기에는공백으로보이지만실제로커서를위치시키면스페이스와탭이섞여있는것을볼수있는데, 더정확한확인을위해 HEX 값을살펴보면 [ 그림 1-12] 와같다. [ 그림 1-14] 디코딩함수정의, 호출부분, 호출할때전달인자는난독화된코드다 업데이트가있으면모두설치한다. 3. IE 8.0 이상의브라우저를사용하거나 Firefox, Chrome, Safari 등의브라우저를사용한다. 4. Flash Player를비롯한 Active X 프로그램들은최신버전을설치 [ 그림 1-12] 해당소스코드의 HEX 값확인결과 한다. 5. 최근에많이이용되는 Java 취약점을보완하기위해최신버전의 Java 프로그램을설치한다. 일반적으로 IP 주소보다는 URL이많이사용되기때문에 Hosts 파일의동작원리를이용해미리설정한 IP로직접연결이가능하다. 이번 에유포된 Hosts 변경악성코드는이러한특성을이용한것이다. 보안제품의업데이트를방해하는 Hosts 파일변경악성코드주의 해당악성코드에감염된 PC의 Hosts 파일을열어보면 [ 그림 1-19] 와같이 Hosts 파일이변경되어있는데, 보안업체 2곳의업데이트 스페이스와탭의 ASCII 코드값은 16진수로각각 20과 09이다. 따라서 [ 그림 1-12] 와같은코드는스페이스와탭을 2진수로표현한것으로추론할수있다. 이러한방법은빌리호프만 (Billy Hoffman) 1 [ 그림 1-14] 는난독화된부분과복호화코드만남겨두고정상인부분은제거한것이다. 윈도우의 Hosts 파일을변경하여보안제품의업데이트를방해하는악성코드가다시출현했다. 해당악성코드에감염되면 [ 그림 1-17] 과같은업데이트오류메시지 ( 오류코드 -492) 가발생한다. [ 그림 1-17] 업데이트실패메시지 URL이 127.0.0.1로지정되어있다. 127.0.0.1이란사용자가현재사용하고있는 PC 자체를나타내는 Loopback 주소다. 즉, 엔진업데이트를실행하면사용자의 PC가업데이트서버주소로지정되어제품업데이트를방해한다. [ 그림 1-19] 악성코드에감염되어 Hosts가변경된상태 이 2008 Blackhat 보안컨퍼런스에서 Circumventing Automated JavaScript Analysis 라는주제로발표하면서언급한적이있다. 다만, 발표당시에는 Crazy Idea( 현실적으로불가능한아이디어 라는의미 ) 로소개되었으나이번에그실제사례가발견되었다. [ 그림 1-13] 2008 Blackhat 컨퍼런스의발표자료 3. 복호화함수를이용하여복호화한다. 난독화된문자열을복호화함수로전달하여복호화한다. 실제복호화된코드를출력해보면 [ 그림 1-15] 와같다. [ 그림 1-15] 복호화시출력결과 Hosts 파일이란윈도우기본구성파일로서, DNS 서버에연결하 4. 출력결과의일부를 ASCII 코드로변환한다. 출력결과에서알수있듯이일부메시지는 HEX 값으로되어있으며, 다시난독화를해제하면 [ 그림 1-16] 과같이악성코드유포페이지로유도하는주소와코드를볼수있다. 기전에 URL과 IP 주소를연결해주는역할을한다. [ 그림 1-18] 은 Hosts 파일의역할에대해설명한것이다. 이러한방법은오래전부터존재해왔으며, 엔진업데이트를방해하여최신악성코드를사용자 PC에서진단하지못하게하는것이목적이다. 1 Acidus 라는닉네임으로잘알려진미국해커. 前 SPI Dynamics 연구원 ( 웹보안연구기업 ). 前 HP 웹보안연구그룹연구원. 현 Zoompf 설립자겸대표 ( 웹보안컨설팅기업 )

15 16 해당악성코드에감염된것이확인되면우선변경된 hosts 파일을 asec.ahnlab.com/658) 이전글참고 : 안철수연구소소장발표사칭글사실무근입니다. (http:// 시지를전달한다. 그로인해사람들은무의미한 SMS 메시지비용을 원상태로수정한다. 또한, 업데이트가방해되는동안최신악성코드에감염되었을수있기때문에최신엔진으로업데이트하여정밀검사를진행한다. 자세한조치방법은다음과같다. 이전에는영어로작성된원문메시지가주로유포되었지만, 이번에는원문메시지와함께한글로번역된메시지도같이유포되었다. 두메시지모두 Postcard from Hallmark 라는내용이언급되어 blog.ahnlab.com/ahnlab/1246) 특이한점은이러한메시지의전파정도에비해, 실제로감염된사례는찾기힘들다는것이다. 마치얼마전유명스마트폰메신저를 부담해야하며, 불필요한스팸메시지로인해네트워크트래픽또한증가한다. 이는초창기해커들이전화회사에장난치던것에서그기원을찾을수있겠으나, 허위사실유포는엄연히잘못된행위다. 1. V3 를이미설치하여사용중인 PC 있는데, 특정메일을열어첨부파일을실행하면하드디스크가파괴 통해유포되었던살해괴담메시지나마취제를이용한납치 / 장기매 3. 언론사, 보안회사의공신력저하목적 V3 정밀검사를진행하면 [ 그림 1-20] 과같이진단된다. V3 에서 된다는내용이다. 특히메일서두에치명적인컴퓨터바이러스임을 매메시지와비슷한느낌을준다. 조심하라는메시지는많이퍼졌지 처음에는놀라고불안하더라도같은자극에지속적으로노출되면 는 Hosts 파일이비정상적으로변경된경우 Redirected Hostfile 알리고, 마이크로소프트에서근무하는전문가의글이라사칭하고있다. 만실제로피해를당한사람은확인되지않은유언비어로밝혀졌다. 무뎌지기마련이다. 악성코드제작자들이진짜원하는것은사람들 Entries 라는진단명으로진단하고있으며, 치료하면정상적인업데이트가가능하다. [ 그림 1] 한글로번역된메시지 [ 그림 1-22] 유언비어로밝혀진인신매매 / 장기매매주의메시지 이이러한메시지에지속적으로노출되어불안감이무뎌지는것이다. 보안불감증이만연하면보안회사나언론사에서실제악성코드 [ 그림 1-20] 비정상적으로변경된 Hosts 파일진단 주의경보를내보내더라도사람들은믿지않게된다. Hoax 악성코 드제작자들은이러한것을노리는것일수있다. 이러한허위메시지에속지않기위해서는다음과같은자세가필요 하다. 1. 메시지를전달하기전에사실관계를파악한다. 사실관계가확인되기전까지는관련메시지를전달하지않는다. 2. 불안한마음을갖지않는다. 이번에이슈가된 Postcard from Hallmark 메시지도실제악성 불안해하지않고차분한마음으로관련내용을확인한다. 코드샘플은발견되지않았다. 이렇듯사람들의불안심리를자극하 3. 실제언론기사확인 2. 새로 V3 를설치하는 PC 는가짜악성코드를 Hoax( 훅스 ) 라고한다. 화면에는컴퓨터가파괴 포털사이트에접속하여해당메시지의내용으로보도된기사가있는지검색 새로 V3 를설치하는 PC 는 hosts 파일이변경되면최초엔진업데 된다는협박성메시지를출력하지만, 실제컴퓨터에는아무런영향 한다. 일반적으로이정도의자극적인내용은언론에보도되기마련이다. 이트를할수없으므로 V3를정상적으로사용할수없다. 이럴때는직접 hosts 파일을확인해야한다. 조치방법은아래의글을참고하기바란다. 이전글참고 : Redirected Hostfile Entries 진단명해결방법 (http://asec. ahnlab.com/25) <V3 제품군의진단명 > - Win-Trojan/Agent.50688.BNG - Win-Trojan/Onlinegamehack.47373 을끼치지않는경우부여되는진단명이다. 그러나이번사례는실제로악성코드가존재하지않기때문에 V3에서는진단하지않는다. Hoax 악성코드는대체로다음과같은특징을가지고있다. 1. 언론사, 마이크로소프트및보안회사처럼공신력있는기관과회사에서경고한것으로위장 2. 메일을여는것만으로시스템이모두파괴된다는내용 3. 어떤보안프로그램으로도치료할수없다는내용 4. 보안회사홈페이지, 블로그확인공신력있는보안회사홈페이지나블로그에접속하여최근유포되고있는메시지와관련된내용이있는지확인한다. 여러가지단축 URL을이용해트위터로유포중인피싱웹사이트 2012년 1월 26일국외를중심으로트위터 (Twitter) 메시지를통해트위터사용자계정과암호를수집하려는피싱 (Phishing) 시도가발견되었다. 내하드디스크가타버린다고? 불안심리를자극하는 Hoax 악성코드 메일의첨부파일을열어볼경우하드디스크가타버린다 는내용의메일에대한문의가 1월초에다수접수되었다. 이는예전에 ASEC 블로그에서다뤘던가짜바이러스 (Hoax 계열 ) 관련문의가최근에다시접수된것으로파악된다. 주요유포경로는메일이며, 메일을전달하거나게시판에옮기면서광범위하게퍼지는특징이있다. 이전글참고 : "Postcard from Hallmark" 제목의가짜바이러스 (http:// 2011년 8월에도내용은다르지만비슷한유형의메시지가유포된적이있다. 이번에유포된메시지의키워드가 Postcard from Hallmark 였다면, 2011년 8월에는 Black in the White House 라는키워드를사용했다. 첨부된올림픽성화이미지를클릭하면하드디스크가파괴된다는내용으로, 특히 안철수연구소소장 이라는직함을사용하여안철수연구소에서공식발표한것처럼위장하였다. 4. 사본을만들어여러친구에게알리도록권고이러한 Hoax 악성코드나유언비어메시지를유포하는사람들의목적은크게 3가지정도로추정된다. 1. 거짓말을통한자기만족거짓말을수시로하는사람들이있는것처럼허위사실을유포하는것에희열을느끼는사람이존재한다. 그들의욕구충족이가장큰목적일가능성이있다. 2. 자생적인스팸트래픽생성목적허위사실이유포되면사람들은불안한마음에주변지인들에게메 이런종류의피싱시도는트위터에서처음있는일은아니다. 2010 년 2월 24일트위터의다이렉트메시지 (Direct Message) 의단축 URL(URL Shortening) 을이용해피싱웹사이트로접속을유도한사례가있었다. 단축 URL을이용하여사용자가호기심을가질만한내용으로위장한기존의방식과같았다. 해당트위터메시지에포함된단축 URL을클릭하면 [ 그림 1-24] 와같이트위터사용자로그인페이지와유사한웹사이트로연결된다.

17 18 [ 그림 1-23] 피싱웹사이트로접속을유도하는트위터메시지 악성코드버그로인한 응용프로그램초기화오류 와 BSOD(Hard Disk) 발생 imm32.dll 파일을패치하는 Dropper/Win32.OnlineGameHack이윈도우 XP 서비스팩 2에서실행되어 imm32.dll을패치하는과정에서발생한버그로 ' 응용프로그램초기화오류 ' 를발생시켰다. 패치된 XP 서비스팩 2의 imm32.dll을분석해보면 [ 그림 1-25] 부분에서문제가발생한다. [ 그림 1-25] 응용프로그램초기화오류를유발한코드 그러나실제해당웹사이트는트위터사용자계정과로그인암호를수집하기위해정교하게제작된피싱웹페이지이다. 입력된사용자계정과로그인암호는중국에있는특정시스템으로전송되어다른보안위협유포에악용될것으로추정된다. 붉은색으로표시된부분을보면 jmp ecx, 즉 ecx에저장된주소로분기하는데 imm32.dll의주소가아닌로딩된다른정상 DLL의주소로분기하여응용프로그램실행시초기화오류가발생하였고, 이때문에감염된 PC를재부팅할경우 BSOD(Unknown Hard Disk) 가발생하여 PC 부팅이불가능하였다. [ 그림 1-24] 트위터로그인페이지로위장한피싱웹사이트 2011년 1월 21일허위백신감염시도, 2011년 5월 15일맥 (Mac) OS에감염되는허위백신유포, 2011년 8월 9일신용카드결제를유도하는스팸메시지유포등단축 URL을이용하여보안위협을유포한사례가적지않다. 따라서단축 URL 클릭시에는각별한주의가필요하다. 특히트위터를통해잘모르는사람에게받은메시지에포함된단축 URL 클릭시에는주의를기울여야한다.

19 20 01. 악성코드동향 c. 모바일악성코드이슈 1. 애플리케이션상세정보아래는악성애플리케이션 APK 파일의내부 assets 파일구성이다. png 확장자로위장한파일이지만파일형태를보면추가설치되는 apk 파일임을알수있으며, 각파일의기능은아래와같다. - header01.png : root exploit - footer01.png : IRC Bot - border01.png : SMS Send 2. 코드분석 (1): 사용자가설치한애플리케이션 (Dropper) Android OS 2.2 버전이상에서설치가능하여, 사용권한정보를알수있다. [ 그림 1-34] 사용자가설치한애플리케이션의 MANIFEST 정보 MADDEN NFL 12로위장한악성애플리케이션해당악성코드는 IRC 채널에접속하여원격제어가가능한 Bot 기능을수행하며, 해당애플리케이션을통해추가로생성된애플리케이션이동작하면, 과금을유발하는 SMS를발송한다. [ 그림 1-28] 설치이후, 사용자모르게추가설치되는악성애플리케이션 [ 그림 1-31] assets 파일구성 [ 그림 1-26] MADDEN NFL 12 게임으로위장한 Foncy 악성코드 [ 그림 1-29] 사용자가설치한애플리케이션의권한정보 [ 그림 1-32] border01.png 파일형태 - 드롭퍼기능 ( 악성애플리케이션이또다른추가애플리케이션을설치할수있는기능 ) - /data/data/com.android.bot/files 디렉터리를만들고, 읽기 / 쓰기 / 실행할수있는모든권한 (777) 을부여한다. - header01.png, footer01.png, border01.png 파일을해당디렉터리에추출하고실행한다. - [ 그림1-35] 의마지막라인 "Not registred application on the screen." 코드는애플리케이션이실행되었을때나타나는문구다. [ 그림 1-35] AndroidBotAcitivity 클래스코드일부 [ 그림 1-27] MADDEN NFL12 게임으로위장한악성애플리케이션아이콘 / 실행화면 - border01.png 파일구성을보면추가설치되는 apk 파일임을알수있다. [ 그림 1-30] 사용자모르게추가설치된애플리케이션의권한정보 [ 그림 1-33] border01.png 파일구성 3. 코드분석 (2): 사용자모르게추가설치된애플리케이션 (Background install) Android OS 2.2 버전이상에서설치가능하며사용권한정보를알수있다. - 사용자가알수없게하려고 81083, 3075, 64747 등의프리미엄번호로수신되는 SMS를숨긴다. - 프리미엄요금번호로수신되는모든메시지와번호를특정서버 (http://46.166.x.x) 로보낸다.

ASEC REPORT 21 [그림 1-36] 추가 설치된 악성 애플리케이션의 MANIFEST 정보 참고 페이지: 과거 변종 악성 애플리케이션 정보(http://asec.ahnlab. com/744) - footer01.png 파일의 IRC 봇 기능 (ELF 형태의 파일로 구성되어 있다). [그림 1-39] AndroidMeActivity 클래스 코드 일부 22 일본 성인 사이트에서 유포되는 악성 애플리케이션 [그림 1-43] 악성 애플리케이션 아이콘/서비스 등록 화면 일본 사용자를 대상으로 사용자 정보를 유출하는 안드로이드 악성 애플리케이션이 발견되었다. 1. 유포 경로 - 악성 애플리케이션을 유포하는 일본 성인 사이트 버튼을 클릭하면 악성 애플리케이션이 다운로드 된다. [그림 1-41] 일본 성인사이트/악성 애플리케이션 다운로드 페이지 [그림 1-37] SMSReceiver 클래스 코드 일부 [그림 1-44] 악성 애플리케이션 실행 화면(웹 사이트 이동) - 감염된 안드로이드 스마트폰은 199.68.x,x의 #andros 채널로부터 명령을 받을 수 있다 (변종에 따라 IRC 서버주소는 다르게 구성되어 있다). - 국가별 프리미엄 번호가 존재한다. [그림 1-40] footer01.png 파일 정보 [표 1-4] AndroidMeActivity 클래스에 코딩된 국가별 코드 및 프리미엄 SMS 번호 번호 국가코드 국가명 81083 FR 프랑스 France 3075 BE 벨기에 Belgium 543 CH 스위스 Switzerland 64747 LU 룩셈부르크 Luxembourg 60999 CA 캐나다 Canad 63000 DE 독일 Germany 치가 진행되고, 설치가 완료되면 [그림 1-43]의 아이콘 생성 및 서 35024 ES 스페인 Spain 비스가 등록되면서 실행된다. 60999 GB 영국 United Kingdom 2052 2. 상세 정보 - 다운로드한 악성 애플리케이션 Install 버튼을 클릭하면 [그림 1-42]와 같은 화면으로 전환되면서 설 [그림 1-42] 다운로드 화면/Install 화면 MA 모로코Morocco 7604 SL 시에라 리온 Sierra Leone <V3 제품군의 진단명> 1339 RO 루마니아 Romania 2227 NO 노르웨이 Norway - Android-Trojan/Foncy 72225 SE 스웨덴 Sweden 23333 US 미국 United States of America [그림 1-41] IRC 서버 및 채널 접속 정보 - 과거 버전과 비교하여 국가가 늘어났으며, 캐나다의 str 코딩 실수 가 바로 잡혔다. [그림 1-38] AndroidMeActivity 클래스 코드 일부 악성 애플리케이션의 아이콘을 실행하면 제작자가 의도한 사이트로 이동되며, 사용자 정보가 유출된다. 3. 상세 분석 스마트폰 단말기에V 저장된 정보를 읽고 전송하는 코드가 존재한 다. [그림 1-45]의 코드는 전화번호, IMEI, 첫 번째 계정정보(구글 계 정), GPS 정보를 수집한다. [그림 1-45] 스마트폰 단말기 정보 수집

23 24 [ 그림 1-46] 스마트폰단말기에저장된정보가전송되는과정 ( 로그 ) 01. 악성코드동향 d. 악성코드분석특집 [ 그림 1-47] 악성애플리케이션변종정보 ( 아이콘 / 권한 ) - Main 클래스에특정서버로사용자의정보를전송하는코드를확인할수있다. <V3 제품군의진단명 > - Android-Trojan/FakeTimer ASEC Report에서는 2011년부터급증하기시작한모바일악성코드에대하여 2회에걸쳐분석한다. 모바일악성코드동향 2009년말아이폰이보급되면서우리나라에스마트폰열풍이불기시작했다. 버스, 지하철, 도로곳곳에서고개를숙인채무언가에몰두하는사람들을흔하게볼수있다. 이제더는버스시간을외울필요도, 길을묻기위해착한인상의소유자를찾을필요도없다. 손안에서손가락의움직임에맞춰원하는정보 들이쏟아져나오기때문이다. 스마트폰으로인해우리의삶은좀더편리해졌다. 하지만아무리좋은것 이라도약점은있는법이다. 어떤사람들은그약점을노려특정이익을취하기위해악성코드를제작하 고있다. 이번호에서는이런모바일악성코드의동향에대해살펴보겠다. 1. 안드로이드의보급과새롭게주목받는모바일악성코드 [ 그림 1-48] 은 2009 년이후, 국내의모바일과데스크톱기기의비율을조사한그래프다. [ 그림 1-48] 국내데스크톱 vs. 모바일기기비율 (2009~2011)

25 26 2009년에는데스크톱의비율이압도적으로높았던데에비해 2010년이후로데스크톱의수는서서히감소하고모바일기기의수가급격히증가하는것을볼수있다. 이러한추세의원인은다음과같다. - 데스크톱은크기가크고사용자들간에공유할수있어일정수이상으로늘어나기어려운데비해, 모바일기기는개인에특화된기능이있어사용자마다하나이상의장비를소유하게된다. 모바일관련서비스가증가할수록이러한추세는더욱가속화될것이다. 그렇다면, 모바일기기들이이용하고있는 OS에는어떤것들이있으며, 그이용비율은어떻게되는지알아보도록하자. [ 그림 1-49] 국내모바일 OS의비율 (2009~2011) 안드로이드는리눅스 OS 위에서동작되며주요소스들이공개된오픈소스로배포되고있다. 개발언어도자바나 C(++) 등의익숙한언어로되어있어개발자들의진입이쉽다. 공식마켓이외의마켓을지원하고있는점도안드로이드시장활성화에영향을주었을것이다. 하지만이런개방적인특성은보안의측면에서좋지않은영향을끼친다. 우선, 검증되지않은프로그램의무분별한배포때문에사용자들의안전이보장되지않는다. 안드로이드마켓에는보안상문제가있는애플리케이션들이올라와있거나, 광고나수익을목적으로하는애드웨어들이무료사용을미끼로사용자들을유혹하고있다. 또한, 공식마켓에는애플리케이션에문제가있으면사용자기기에서강제로제거해주는사후처리기능이있지만, 서드파티마켓 (Third-party Market) 은사후검증및사후처리가되지않는문제가있다. 다음으로, 리버싱과리패키징으로인해애플리케이션제작자나사용자들에게피해가갈수있다. 안드로이드에서배포하는 APK 파일은 DEX와 Manifest 파일, 그리고다수의리소스파일등으로이루어져있는데, 시중에는이러한파일들을원본소스와근접할정도로복구해주는다양한프로그램들이있다. 악성코드제작자들은리패키징 2 방법을통해정상적인애플리케이션으로위장한악성코드를배포한다. 이경우비공식마켓을이용하는사용자들이보안위협에노출될수있다. 마지막으로, 취약점이다수에게노출되기쉬워이를이용한악성코드가더욱기승을부릴수있다. 실제로취약점을이용한루팅기술은인터넷에서쉽게찾아볼수있고, 그중일부를이용한루팅라이브러리는공공연하게이용되고있다 ( 예 : exploid, asroot, rageagainstthecage). [ 그림 1-51] 웹에공개된일부 Rooting Exploit 소스코드 [ 그림 1-49] 는 2009년이후의모바일 OS 비율을조사한그래프다. 안드로이드 ios 심비안등다양한모바일 OS가있는것을볼수있다. 국내에스마트폰이본격적으로보급되기시작한 2010년중반에는안드로이드와 ios의대결구도였지만그이후로는안드로이드의비율이압도적으로증가했다. 물론국내대형업체의영향도무시할수는없지만안드로이드가가진개방성이가장큰이유일것이다. [ 그림 1-50] 안드로이드 OS 로고와모바일기기 루팅을하게되면해당애플리케이션은안드로이드기기에대한모든제어권한을갖게되어사용자몰 래정보를빼가거나, 특정애플리케이션에대한설치 / 삭제, 녹음, 스크린샷, 문자발송등의여러작업이 가능하다. 2 리패키징 : APK 에서추출한파일들을수정하여다시 APK 로묶는작업

27 28 이와같은보안문제들은실제통계를통해서확인할수있다. [ 그림 1-52] 의통계는 2010 년하반기이 후의안드로이드악성샘플접수량이다. [ 그림 1-52] 기간별안드로이드악성샘플접수량 (2010~2011) 2. 안드로이드악성코드의특징및이슈 [ 그림 1-53] 은최근안드로이드를대상으로하는악성코드최다 15 건을나타낸통계이다. [ 그림 1-53] 모바일악성코드최다 15 건 (2010~2011) 위그래프를보면 2010년엔극히미미하게접수되던악성코드들이 2011년에접어들면서기하급수적으로증가하였다. 2010년과 2011년동일기간 (8월 ~12월 ) 에접수된샘플의수를비교하면약 200배가까이증가했다. 이를통해악성코드의증가추세가앞서살펴본통계 3 에서의안드로이드이용자급증추세와같다는것을알수있다. 즉, 사람들이많이이용하고있는모바일 OS를대상으로악성코드제작이이뤄지고있는것이다. 이렇게안드로이드악성코드가폭발적으로증가하는이유는분명하다. 불법적으로돈을벌려는악성코드제작자들이안드로이드플랫폼에매력을느끼기때문이다. [ 표 1-5] 를보자. 순서대로살펴보면, 아래와같다. 1) Android-Trojan/SmsSend 이진단명은사용자를속이거나사용자몰래문자를전송하는프로그램을말한다. 이러한프로그램들은기본적으로 [ 그림 1-54] 와같은퍼미션 (Permission) 정보를갖고있다. [ 그림 1-54] AndroidManifest.xml 정보 [ 표 1-5] 악성코드제작자측면에서본안드로이드의매력 매력 설명 수익성 스마트폰자체의 SMS, CALL 기능으로돈을벌기가쉽다. 개인정보 고급개인정보가가득담겨있다. 연속성 하루 24시간켜져있다. 네트워크 언제나네트워크 (3G, 4G, Wi-Fi) 에연결되어있다. 편리한전파방법 다양한마켓을이용하여악성코드를배포할수있다. 우수한하드웨어 악성행위에필요한충분한성능의하드웨어 안드로이드의짧은역사 잘알려지지않은다양한형태의보안위협이존재한다. 넓은사용자층 남녀노소, IT 초보자 / 전문가누구나사용한다. 위그림에서나오는퍼미션정보는 ' 문자전송가능 ' 과 ' 문자수신가능 ' 이다. 일반적으로 SmsSend 프로 그램들은수신되는문자를확인하여, 특정형식의문자전송, 수신되는문자를조작또는차단, 단순문자 전송기능등을한다. 사용자의보안의식부족아직스마트폰보안에대한의식수준이낮다. 앞으로안드로이드악성코드는더욱더증가할것이다. 따라서현시점에서우리는안드로이드를대상으로 하는악성코드에대해살펴보고적극적으로대응할필요가있다. 3 [ 한국에서의모바일 OS의비율 2009~2011]

29 30 [ 그림 1-55] 사용자에게보여지는권한정보 [ 그림 1-57] FakeInst 계열의악성코드샘플 이러한프로그램들은설치될때위와같은권한메시지를사용자에게보여준다. 즉, 사용자의 'SMS 또는 MMS 읽기, WAP 수신 ', 그리고 ' 요금이부과되는서비스 ' 에대한권한을사용자가동의하도록요청한다. 만약, 전혀필요한기능이아닌데이러한권한을요청한다면사용자는반드시다시한번확인해야한다. [ 그림 1-58] FakeIM 계열의악성코드샘플 [ 그림 1-56] 악성코드의문자전송코드 [ 그림 1-58] 은 FakeIM 계열의악성코드샘플을실행한화면이다. 핵심은오른쪽화면의메시지창인데, 2) Android-Trojan/FakeInst ( 유사진단명, FakeIM, Opfake 등 ) 콘텐츠를다운로드하기위해서 1899 번으로 SMS 하나를보내는데, 대략 80 루블정도의금액이결제된다 는내용을담고있다. 이진단명은임의의애플리케이션설치프로그램으로위장하여문자전송등으로수익을도모하거나, 실 제악성코드를설치하는프로그램들을말한다. [ 그림 1-57] 은 FakeInst 계열의악성코드샘플을실행한화면이다. 왼쪽그림은특정애플리케이션을다 운로드할때동의할것인지를사용자에게묻고있다. 이때설치되는프로그램은악성코드변형에따라다르다. 이샘플에서는 'Go Launcher iphone Theme' 애플리케이션 ( 오른쪽 ) 을설치한다. 가운데그림은 'Rules' 라는버튼을누를때나타나는프로그램설명이다. 내용을보면, 설치를위해서과금이이뤄지는 3 개의문자를전송해야한다고나와있으며, 자신들은아무런책임도지지않는다고명시하고있다. [ 그림 1-59] 는 Opfake 계열의악성코드샘플을실행한화면이다. 이악성코드는왼쪽의그림과같이 Opera 웹브라우저로위장하여설치된다. 악성코드를실행하면오른쪽화면의메시지창에나오는약관 과같이유료결제 SMS 가발송된다.

31 32 [ 그림 1-59] Opfake 계열의악성코드샘플 [ 그림 1-61] 는 Geimini 악성코드의 AndroidManifest 정보이다. 'C' 라는서비스와함께, 다수의사용자권 한이있는것을볼수있다. [ 그림 1-61] AndroidManifest.xml 정보를통해살펴본악성코드 위에서살펴본세가지사례와같이 FakeInst, FakeIM, Opfake 등과같은악성코드는사용자를속여서설 치되며, 설치중또는최초실행시과금 SMS 를발송하는형태가많다. 3) Android-Spyware/Geimini 이진단명은정상애플리케이션의리패키징을통해사용자를속여서설치되고, 백그라운드서비스로개 인정보를탈취해가는스파이웨어악성코드종류를말한다. [ 그림 1-62] 는 'C' 서비스에서의 a() 메소드의구현내용인데사용자의주소록을얻어와문자열을조합하 는것을확인할수있다. 이외의다른코드에서도사용자의위치정보, 모바일기기정보등을추출한다. [ 그림 1-62] 사용자의주소록정보를추출해내는서비스코드 'Monkey Jump 2' 애플리케이션을리패키징하여배포되었던악성코드를사례로들어설명하면다음과같다. [ 그림 1-60] Geimini 계열의악성코드가수정하는권한비교 [ 그림 1-60] 은정상애플리케이션과악성코드의권한정보를비교한그림이다. 왼쪽은정상애플리케이션의실행권한으로, 게임의실행과관련된최소한의권한만을가지고있다. 그에반해오른쪽의리패키징된애플리케이션은개인정보에대한접근권한, SMS 발송권한, 위치정보, SD 카드권한, 전화기정보, 시스템파일시스템관련권한등시스템에대한많은권한을가지고있다.

33 34 4) Android-Exploit/Rootor 5) Android-Trojan/LightDD 이진단명은애플리케이션실행시취약점을이용하여시스템권한을취득하는악성코드종류를말한다. 원래루팅은 PC 환경에서의해킹기법이다. 해커가특정시스템에서의루트권한을획득하기위해취약점또는프로그램버그를이용하던데에서유래됐다. PC 환경에서는시스템에대한불법침입을위해서이용되는기법이기때문에법에어긋나는행위이나, 안드로이드환경에서는일부인정되고있다. 4 일반적으로안드로이드에서루팅은아래와같은목적으로이용되고있다. - 제한된자원의활용을위해 - 더최적화된환경을구축하기위해 (Custom Rom 등 ) - 성능을더높이기위해 - 기본안드로이드의기능을확장하기위해 ( 작업관리, 메모리관리등 ) - 운영체제하위단으로접근하기위해 ( 데이터복구, SD 카드관리, 전화-메시지필터링등 ) - 기본적으로지원되지않는마켓을이용하기위해 이진단명은성인애플리케이션으로위장하여백그라운드에서사용자스마트폰정보를유출하는악성코드를말한다. 애플리케이션의이름은 Hot Girls, Sexy Girls, Sexy Legs, Beauty Breasts 등다양한변종이있다. 주로중국에서제작되어비공식마켓을통해서설치된다. [ 그림 1-64] 와같은아이콘 ( 또는유사한 ) 을사용하는애플리케이션을설치할때각별한주의가필요하다. [ 그림 1-64] LightDD 애플리케이션의아이콘 물론위와같이사용자에의해양성적으로이용될수있지만, 악성코드에의해서악용이될경우, 큰보안위협이될수있다. 예를들면, 사용자의적절한동의나인지가없이특정프로그램을설치하거나, 카메라영상 통화 SMS에접근하거나, 유료통화나 SMS를전송하는등의행위를할수있다. 때문에대부분의안티바이러스업체들은루팅기능이있는애플리케이션들에대해서악성코드로진단하는방향으로가고있다. 6) Android-Dropper/Anserver 이진단명은정상애플리케이션을리패키징하여다른악성코드 (Android-Trojan/Anserver) 를설치하는형태의악성코드를말한다. [ 그림 1-65] Anserver 애플리케이션의구조 아래는안철수연구소에접수되었던루팅프로그램들의사례이다. 루팅을수행하는모듈은대부분라이브 러리형태로외부에서불러쓰고있는데, 이런파일들은 /assets/ 폴더의하위에서확인할수있다. [ 그림 1-63] 다양한형태의루팅프로그램구조 [ 그림 1-65] 와같이 /assets/ 폴더에 'anservera.db' 의이름으로악성애플리케이션을설치한다. 이애플 리케이션이설치되면사용자의스마트폰정보를유출하거나, 다른악성코드의다운로드및설치등의악 성행위를수행한다. 4 2010년 7월 26일미저작권사무국에서는 ' 기기의최상위권한획득, 비공식서드파티프로그램설치, 복수의통신서비스의이용을목적으로하는잠금해제는합법이다 ' 라고인정함.

35 36 [ 그림 1-66] anservera.db 애플리케이션의설치화면 또한애플리케이션설치시 [ 그림 1-68] 과같이일반적인게임, 만화 ( 화보 ) 에서는볼수없는과도한권 한을요구한다. [ 그림 1-68] Gdream 애플리케이션의권한요청명세 매우다양한형태의변종이있으며, 사용자가아이콘이나애플리케이션의이름으로악성여부를식별하 기는어려우므로각별한주의가필요하다. 7) Android-Trojan/Gdream 이진단명은게임, 만화 ( 화보 ) 를리패키징하여악성코드를추가시킨형태의악성코드종류이다. 일반적으 로 GoldDream 이라는이름으로잘알려져있다. 휴대전화정보, 위치정보, 문자 / 전화송수신정보등을유출하는등의악의적인행위를한다. 그리고네 [ 그림 1-69] Gdream 애플리케이션의아이콘 트워크에접속하여새로운명령 ( 다른악성코드다운로드, 문자발송 ) 을받아실행한다. 주로중국에서제 작되어비공식마켓을통해서설치된다. Android-Trojan/Gdream 애플리케이션은공통적으로 [ 그림 1-67] 과같이 zjreceiver 이름의리시버를 등록한다. [ 그림 1-67] 다양한이벤트를받기위한리시버등록 8) Android-Spyware/BgService (Android-Spyware/Pjapps) 이진단명은정상애플리케이션을리패키징해서악성코드를삽입한형태의악성코드종류를말한다. 백도어설치, 문자모니터링, 유료문자전송, 웹사이트방문기록및북마크수집, 스마트폰정보수집 등의악의적인행위를한다. 애플리케이션설치시 [ 그림 1-70] 과같이원래애플리케이션에서제공되는 기능과관련없는과도한권한을요구한다.

37 38 [ 그림 1-70] BgService 애플리케이션의권한요청명세 [ 그림 1-73] Boxer 애플리케이션의아이콘 10) Android-Spyware/Adrd 이진단명은정상적인유틸리티를리패키징하여다양한악의적인기능을수행하는애플리케이션을말한다. 주요기능으로는스마트폰정보유출, 북마크유출, 문자 / 전화정보유출, 유료문자발송, 다른악성코드설치등이있다. 다양한형태의변종이있기때문에사용자가악성코드를알아보기쉽지않다. 중국에서제작되었으며비공식마켓을이용하여전파된다. [ 그림 1-71] BgService 애플리케이션의아이콘 [ 그림 1-74] Adrd 애플리케이션의실행화면 9) Android-Trojan/Boxer 이진단명은임의의애플리케이션설치프로그램으로위장하고실제로는유료문자를발송하는악성애 플리케이션을말한다. 러시아에서제작되어유포되었다. 애플리케이션설치시 [ 그림 1-72] 와같은권한을요청하며문자를발송하는권한이포함되어있다. [ 그림 1-72] Boxer 애플리케이션의권한요청명세 실행하려는애플리케이션의기능과실제로요청하는권한의차이를잘고려해서과도하거나위험한권 한을요청하는애플리케이션은되도록설치하지않는것이좋다.

39 40 애플리케이션설치시 [ 그림 1-75] 와같이원래애플리케이션이필요한것이상으로과도한권한을요청한다. [ 그림 1-77] Kmin 애플리케이션의권한요청명세 [ 그림 1-75] Adrd 애플리케이션의권한요청명세 [ 그림 1-78] Kmin 애플리케이션의아이콘 [ 그림 1-76] Adrd 애플리케이션의아이콘 3. 마무리 11) Android-Spyware/Kmin 이진단명은월페이퍼변경애플리케이션으로위장하여백그라운드로다양한악성기능을수행하는애플리케이션을말한다. 애플리케이션이름은 KMHome이며주요기능으로는문자 / 전화감시, 유료문자발송, 스마트폰정보유출, 주소록유출등이있다. 애플리케이션설치시 [ 그림 1-77] 과같이월페이퍼변경에필요한것이상으로과도한권한을요청한다. 지금까지안드로이드악성코드의증가추세와이유, 대표적인안드로이드샘플의형태와특징에대해서간단히살펴보았다. 현재까지는대부분의악성코드가중국과러시아에서제작 / 유포되었기때문에국내피해사례는거의없다. 그러나안드로이드스마트폰의폭발적인성장과악성코드제작자들의선호도를봤을때국내에서도피해가발생하지않는다는보장은할수없다. 이러한스마트폰악성코드에현명하게대처하기위해서는스스로보안의식을가지고스마트폰을사용하는것이가장중요하다. 악성코드들이대부분그럴듯한게임, 유틸리티로위장하고있기때문에설치전반드시애플리케이션의허용권한, 출처, 제조업체, 사용자리뷰등을꼼꼼하게확인해야한다.

41 42 02. 보안동향 a. 보안통계 02. 시큐리티동향 b. 시큐리티이슈 1월마이크로소프트보안업데이트현황마이크로소프트가발표한보안업데이트는긴급 1건, 중요 6건으로총 7건이다. 이달에발표된보안업데이트는기존에많은비중을차지했던인터넷익스플로러 (IE), 오피스관련패치이외에윈도우시스템관련취약점들이대부분을차지하였다. 2011.01-2012.01 1 2 3 4 5 6 7 8 9 10 11 12 1 Hash Collision 공격을통한웹서버서비스거부공격 (DoS) 이번달에는일명 Hash Collision Attack 이라고불리는서비스거부취약점 (DoS) 이발표되었으며마이크로소프트사는긴급하게 ASP. NET상에서발생하는해당제로데이취약점을위한긴급보안패치 (MS11-100: Out-of-Band) 를발표하였다. 해당취약점은비단 ASP. NET로구현된사이트뿐만아니라, PHP, Java, Python, Ruby, V8이지원하는 Hash 함수에모두영향을줄수있다. 해시테이블은 Key 와 Value의쌍을저장하는자료구조로, 대부분의프로그래밍언어에서빈번하게사용되는구조체이다. 웹애플리케이션서버들은 POST 폼데이터를파싱해서이러한해시테이블을만들어저장한다. 이때, 입력된데이터가키 (Key) 충돌을많이발생시킬경우, 해시테이블에아이템을입력하는데소요되는연산의복잡도가 O(n**2) 이되어과도하게 CPU를소모하게된다. 실제공격자는 [ 그림 2-2] 와같이다수의요청파라미터를갖는대량의 POST 메시지를서버에전달한다. [ 그림 2-2] 공격 POST 패킷예제 - CPU time을제한한다. - 최대 POST 메시지크기를제한한다. - 최대요청파라미터의수를제한한다. HP LaserJet 펌웨어관련치명적보안취약점발견네트워크프린터는이제일반사용자및기업체, 공공기관등에없어서는안될필수품으로자리잡았다. 하지만지난 2011년 12월말에열린 28th Chaos Communication Congress에서이런프린터또한이제는안전하지않다는것을확인시켜준발표가있었다. 발표이후 2012년 1월 HP사는자사의 LaserJet 프린터의치명적인결함을해결하기위한펌웨어 (Firmware) 업데이트를발표했다. HP 프린터는 'Remote Firmware Update' 라는절차를통해서원격에서펌웨어를업그레이드하는것이가능하다. [ 그림 2-3] HP RFU(Retemo Firmware Update) FILE 예제 ( 출처 : Print Me If You Dare) [ 그림 2-1] 공격대상기준별 MS 보안업데이트 위험도 긴급 Windows Media 의취약점으로인한원격코드실행문제점 (2636391) 중요 Windows 개체포장기의취약점으로인한원격코드실행문제점 (2603381) 중요 Windows CSRSS(Client/Server Runtime Subsystem) 의취약점으로인한권한상승문제점 (2646524) 중요 Windows 커널취약점으로인한 Kernel 보안기능우회 (2644615) 중요 Microsoft Windows 의취약점으로인한원격코드실행문제점 (2584146) ) 중요 SSL/TLS 의취약점으로인한정보유출문제점 (2643584) 중요 AntiXSS 라이브러리의취약점으로인한정보유출문제점 (2607664) [ 표 2-1] 2011 년 12 월주요 MS 보안업데이트 취약점 실제테스트결과, 일반적인 DoS 트래픽과같이다수의요청을보내지않아도웹서버의 CPU 점유율에상당한영향을주어해당서버가올바른웹서비스를제공하지못하는것으로확인되었다. 해당제로데이취약점들에대한패치가제공될때도있지만, 그렇지못한경우다음과같은서버설정을통해임시조치를취할수있다. 하지만, 업그레이드과정에서적절한인증절차를수행하고있지않기때문에임의의공격자에의해펌웨어를삭제하거나악의적인버전을설치할수있다. 이를통해공격자는개인정보를훔치거나나아가보안이강화된네트워크를추가로공격할수있는잠재적위험성을가진다. 해당제품은일반사용자및기업체, 공공기관등에서폭넓게사용되고있기때문에수많은사용자가위험에노출되는심각한결과를낳을수있다. 이러한펌웨어관련이슈는이번 HP 프린터뿐만아니라특정목적의수행을위해인터넷에연결되어통신할수있는장비,

43 44 즉, 펌웨어를내장한 임베디드시스템 (embedded system) 상에서공통적으로발견될수있는결함이다. 실제펌웨어업데이트에대한보안성개선이근본적인대책이지만, 자사의프린터보호를위해가능하다면 RFU 업데이트를금지하거나패스워드및기타 ACL을통해보안을강화할필요가있다. 03. 웹보안동향 a. 웹보안통계 웹사이트악성코드동향안철수연구소의웹브라우저보안서비스사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하면, 2012년 1월악성코드를배포하는웹사이트의차단건수는총 4만 1181건이다. 또한, 악성코드유형은 671종이며, 악성코드가발견된도메인은 689개, 악성코드가발견된 URL은 1만 1524 개이다. 이를 2011년 12월과비교해보면악성코드발견건수, 악성코드유형은다소감소했으나악성코드가발견된도메인, 악성코드가발견된 URL은증가하였다. 악성코드배포 URL 차단건수 42,769 41,181-3.7% 2011.12 2012.01 악성코드유형악성코드가발견된도메인악성코드가발견된 URL 680 671 [ 표 3-1] 웹사이트악성코드동향 477 689 10,406 11,524 월별악성코드배포 URL 차단건수 2012 년 1 월악성코드배포웹사이트 URL 접근에따른차단건수는지난달 4 만 2769 건에비해 4% 감소한 4 만 1181 건이었다. 150,000 125,000 100,000 75,000 50,000 25,000 39,875 + 54.8% 42,769 +7.3% 41,181-3.7% + 2,894-1,588 0 [ 그림 3-1] 월별악성코드발견건수 2011.11 2011.12 2012.01

45 46 월별악성코드유형 2012 년 1 월의악성코드유형은전달의 680 종에비해 1% 줄어든 671 종이었다. 악성코드유형별배포수 악성코드유형별배포수를보면트로이목마가 1 만 6505 건 /40.1% 로가장많았고, 다운로더가 1,000 800 600 400 200 0 [ 그림 3-2] 월별악성코드유형 707 +3.2% 월별악성코드가발견된도메인 2012 년 1 월악성코드가발견된도메인은 2011 년 1 월의 477 건에비해 44% 증가한 689 건이었다. 680-3.8% -35-9 671-1.3% 2011.11 2011.12 2012.01 8883/21.6% 인것으로조사됐다. 유형 건수 비율 TROJAN 16,505 40.1 % DOWNLOADER 8,883 21.6 % ADWARE 4,444 10.8 % DROPPER 2,481 6.0 % APPCARE 1,781 4.3 % Win32/VIRUT 637 1.5 % WIN-CLICKER 373 0.9 % JOKE 237 0.6 % SPYWARE 148 0.4 % ETC 5,692 13.8 % 41,181 100 % [ 표 3-2] 악성코드유형별배포수 TROJAN 16,505 15,000 1,000 800 600 400 200 0 [ 그림 3-3] 월별악성코드가발견된도메인 월별악성코드가발견된 URL 2012 년 1 월악성코드가발견된 URL 은전달의 1 만 406 건에비해 11% 늘어난 1 만 1524 건이다. 12,000 10,000 8,000 6,000 4,000 2,000 0 452 +13.9% [ 그림 3-4] 월별악성코드가발견된 URL 2011.11 2011.12 2012.01 5,026 +86.3% +25 +5,380 477 +5.5% 10,406 +107% +212 +1,118 689 +44.4% 2011.11 2011.12 2012.01 11,524 +10.7% DOWNLOADER ETC ADWARE 8,883 5,692 4,444 DROPPER 2,481 APPCARE 1,781 Win32/VIRUT 637 WIN-CLICKER 373 JOKE SPYWARE 237 148 [ 그림 3-5] 악성코드유형별배포수 악성코드배포순위 악성코드배포건수는 Win-Trojan/Agent.848000 이 7650 건으로가장많았다. 또 Win-Trojan/ Agent.848000 등 4 건이새로등장했다. 10,000 5,000 순위등락악성코드명건수비율 1 NEW Win-Trojan/Agent.848000 7,650 34.3 % 2 1 Downloader/Win32.Genome 3,236 14.5 % 3 1 Downloader/Win32.Korad 2,900 13.1% 4 1 Downloader/Win32.Totoran 2,290 10.3 % 5 NEW Win-AppCare/WinKeyfinder.973512 1,458 6.5 % 6 3 Adware/Win32.KorAd 1,208 5.4 % 7 3 Unwanted/Win32.WinKeygen 998 4.5 % 8 NEW Win-Trojan/Buzus.430080.J 925 4.1 % 9 1 Unwanted/Win32.WinKeyfinder 819 3.7 % 10 NEW Win-Trojan/Agent.36548 810 3.6 % 22,294 100 % [ 표 3-3] 악성코드배포최다 10 0

47 VOL. 25 ASEC REPORT Contributors 03. 웹보안동향 b. 웹보안이슈 2012 년 1 월침해사이트현황 집필진책임연구선임연구원선임연구원선임연구원주임연구원연구원 이승원심선영안창용장영준이도현심상우 [ 그림 3-6] 2012 년 1 월악성코드유포목적의침해사이트현황 [ 그림 3-7] Win-Trojan/Onlinegamehack.83968.BO 유포사이트 참여연구원 ASEC 연구원 SiteGuard 연구원 편집장선임연구원 안형봉 [ 그림 3-6] 은악성코드유포를목적으로하는침해사고가발생했던사이트의현황이다. 2012년 1월에는 142개의사이트에서특정온라인게임계정정보를탈취하기위한악성코드를유포하였다. 침해사이트를통해서유포된악성코드최다 10건 편집인 디자인 안철수연구소세일즈마케팅팀안철수연구소 UX디자인팀 [ 표 3-4] 는한달간침해사이트를통해서가장많이유포된악성코 [ 표 3-4] 2012년 1월악성코드최다 10건 순위 악성코드명 건수 1 Win-Trojan/Onlinegamehack.83968.BO 60 2 Win-Trojan/Onlinegamehack.89088.AO 56 3 Win-Trojan/Onlinegamehack.84480.CG 54 4 Trojan/Win32.OnlineGameHack 49 5 Dropper/Onlinegamehack.145450 45 6 Dropper/Win32.OnlineGameHack 42 7 Dropper/Win32.OnlineGameHack 33 8 Win-Trojan/Onlinegamehack.81920.EM 32 9 Trojan/Win32.OnlineGameHack 27 10 Trojan/Win32.OnlineGameHack 25 드 10건이다. 전년과마찬가지로 2012년 1월에도온라인게임핵계열 의트로이목마가가장많이유포되었다. 특히가장많은건수를차지한 Win-Trojan/Onlinegamehack.83968.BO는 60개의사이트에서유포되 었는데카테고리별로분류해보면 [ 그림 3-7] 과같이언론, 방송사사 이트를통한유포가가장많았고, P2P, 웹하드, 기타순이었다. Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. 감수상 무 조시행 발행처 ( 주 ) 안철수연구소 경기도성남시분당구 삼평동 673 ( 경기도성남시분당구 판교역로 220) T. 031-722-8000 F. 031-722-8901