ASEC REPORT VOL.69 September, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

Security Trend ASEC REPORT VOL.69 September, 2015

ASEC REPORT VOL.69 September, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2015 년 9 월보안동향 1 보안통계 STATISTICS 2 보안이슈 SECURITY ISSUE 01 악성코드통계 02 웹통계 03 모바일통계 01 게임관련불법프로그램속악성코드 02 금융은튼튼하게소비자는행복하게 Table of Contents 4 6 7 10 12 3 악성코드상세분석 ANALYSIS IN-DEPTH 성인음란물을이용한악성앱 15 2

1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계

보안통계 01 악성코드통계 Statistics ASEC 이집계한바에따르면, 2015 년 9 월한달간탐지된악성코드수는 1,520 만 4,993 건으로나타났다. 이는전월 1,786 만 9,127 건에비해 266 만 4,134 건감소한수치다. 한편 9 월에수집된악성코드샘플수는 731 만 1,086 건이다. 40,000,000 30,000,000 20,000,000 19,361,841 17,869,127 15,204,993 10,000,000 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 6,050,305 6,437,437 7,311,086 탐지건수샘플수집수 07 월 08 월 09 월 [ 그림 1-1] 악성코드추이 (2015 년 7 월 ~ 2015 년 9 월 ) * 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 4

[ 그림 1-2] 는 2015 년 9 월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그 램인 PUP(Potentially Unwanted Program) 가 64.12% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 23.61%, 애드웨어 (Adware) 가 3.83% 의비율로그뒤를이었다. 0.16% 1.49% 3.83% 6.79% 64.12% 23.61% PUP Trojan etc Adware Worm Downloader [ 그림 1-2] 2015 년 9 월주요악성코드유형 [ 표 1-1] 은 9 월한달간탐지된악성코드중 PUP 를제외하고가장빈번하게탐지된 10 건을진단명기준으 로정리한것이다. Trojan/Win32.Gen 이총 22 만 4,589 건으로가장많이탐지되었고, Trojan/Win32. Starter 가 15 만 2,154 건으로그뒤를이었다. [ 표 1-1] 2015년 9월악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 Trojan/Win32.Gen 224,589 2 Trojan/Win32.Starter 152,154 3 Trojan/Win32.Agent 95,593 4 Trojan/Win32.Banki 62,699 5 Unwanted/Win32.Exploit 60,256 6 Worm/Win32.IRCBot 50,232 7 Malware/Win32.Generic 44,228 8 Unwanted/Win32.Keygen 41,269 9 Trojan/Win32.Generic 40,447 10 HackTool/Win32.Crack 40,339 5

보안통계 02 웹통계 Statistics 2015 년 9 월에악성코드유포지로악용된도메인은 1,258 건, URL 은 1 만 457 건으로집계됐다 ([ 그림 1-3]). 또한 9 월의악성도메인및 URL 차단건수는총 412 만 7,520 건이다. 9,000,000 8,000,000 7,000,000 6,000,000 5,791,463 5,000,000 4,000,000 4,943,679 4,127,520 40,000 30,000 20,000 16,578 12,691 10,457 10,000 1,476 1,239 1,258 악성도메인 /URL 차단건수 악성코드유포도메인수 0 07 월 08 월 09 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 (2015 년 7 월 ~ 2015 년 9 월 ) * 악성도메인및 URL 차단건수 란 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 6

보안통계 03 모바일통계 Statistics 2015 년 9 월한달간탐지된모바일악성코드는 28 만 4,092 건으로나타났다. 300,000 284,092 250,000 229,644 200,000 153,547 150,000 100,000 50,000 0 07 월 08 월 09 월 [ 그림 1-4] 모바일악성코드추이 (2015 년 7 월 ~ 2015 년 9 월 ) 7

[ 표 1-2] 는 9 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. Android-PUP/ SmsPay 가가장많이발견되었다. [ 표 1-2] 2015 년 9 월유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/SmsPay 98,592 2 Android-PUP/Noico 27,320 3 Android-PUP/SmsReg 22,747 4 Android-PUP/Chepa 16,922 5 Android-Trojan/FakeInst 16,527 6 Android-PUP/Dowgin 9,610 7 Android-Trojan/SmsSpy 6,874 8 Android-Trojan/SMSAgent 6,818 9 Android-PUP/Zdpay 6,316 10 Android-Trojan/Opfake 4,720 8

2 보안이슈 SECURITY ISSUE 01 게임관련불법프로그램속악성코드 02 금융은튼튼하게소비자는행복하게

보안이슈 Security Issue 01 게임관련불법프로그램속악성코드 문화체육관광부와한국콘텐츠진흥원에서진행한설문조사에따르면한국인 10명중 7명이게임을한적이있다고답했다. 플랫폼별이용률은모바일게임이 1위로나타났으며온라인게임, PC용패키지게임이그뒤를이었다. 설문조사결과로보아우리나라국민대부분이게임을즐긴다는사실을알수있다. 이번에소개할악성코드는게임관련불법프로그램으로위장하여유포된악성코드이다. 그림 2-1 게임관련불법프로그램으로위장한악성파일 많은게임이용자들은게임의재미를배가시키기위해게임핵, 치트키, 매크로, 트레이너프로그램과같은불법프로그램을설치한다. [ 그림 2-1] 은인기게임인 Grand Theft Auto( 이하 GTA) 의불법프로그램이다. 해당프로그램은인터넷, 파일공유사이트에서쉽게다운로드할수있다. 사용자가실행한불법프로그램으로위장한악성파일은실제로해당게임의불법프로그램을생성하고실행시켜사용자의의심을피한다. 악성파일은파일생성, 레지스트리값수정, 네트워크연결을시도한다. 표 2-1 파일생성정보 [ 파일생성정보 ] C:\Documents and ettings\administrator\application Data\0.exe C:\Documents and Settings\Administrator\Application Data\1.exe C:\WINDOWS\system32\huppug( 랜덤명 ).exe 불법프로그램으로위장한파일은 0.exe, 1.exe를생성한다. 0.exe는자가복제하여 %system32% 경로에악성파일을생성한다. 1.exe는 [ 그림 2-2] 에서소개한게임핵프로그램이다. 표 2-2 레지스트리등록 [ 레지스트리등록 ] HKLM\SYSTEM\ControlSet001\Services\Nationaling ImagePath = C:\WINDOWS\system32\huppug.exe DisplayName = Nationalbjf Instruments Domain Service 그림 2-2 게임관련불법프로그램 ObjectName = LocalSystem 10

이렇게생성된악성파일이시스템을다시시작해도반복실행될수있도록레지스트리값을수정하여 Nationaling이라는이름의서비스를등록한다. 자극하는콘텐츠는악성코드유포에사용되는단골소재인만큼사용자는불법콘텐츠및유료콘텐츠의불법다운로드를자제해야한다. V3 제품에서는해당악성코드를다음과같이진단하고있다. 그림 2-3 등록된서비스정보 <V3 제품군의진단명 > Win-Trojan/Malpacked5.Gen (2015.09.19.00) Dropper/Win32.Agent (2015.09.24.09) 악성코드는다음 IP 주소와네트워크연결을시도한다. 표 2-3 네트워크연결 [ 네트워크연결 ] 2*1.2**.1*8.**5:1**6 2*1.2**.1*8.**5:5**0 분석당시에는사이트로연결되지않았으나연결된후에는악성파일다운로드, 개인정보탈취와같은추가악성행위가이뤄질수있다. 이번사례에소개한악성파일은인기게임의불법프로그램으로위장하여유포됐다. 실제로정상파일을생성하여실행시키기때문에사용자들은다운로드한파일이악성파일이라는사실을인지하기어렵다. 최근불법소프트웨어크랙, 제품번호생성프로그램으로위장하여실제프로그램과악성파일을동시에유포하는사례가부쩍증가했다. 사용자의호기심을 11

보안이슈 02 금융은튼튼하게소비자는행복하게 Security Issue 금융은튼튼하게, 소비자는행복하게금융감독원이약속합니다. 라는메시지는금융감독원을위장한악성코드의거짓말이다. 악성코드는 전자금융사기예방서비스 를가입하도록권하여이를통해사용자의금융정보를탈취한다. 이러한파밍악성코드는 3년새 50배가늘었으며 2014년에는그피해금액이 256억원이라고하니, 사용자의각별한주의가필요하다. 이번에소개할파밍악성코드는갓모드 (GodMode, CVE-2014-6332) 취약점을통해유포되었다. 를변경하여 VBScirpt를수행하는취약점이다. 따라서해당취약점이패치되지않은웹브라우저에서악성스크립트가삽입된사이트에접속하면즉시악성코드에감염된다. 그림 2-5 갓모드 (CVE-2014-6332) 취약점을이용한스크립트 그림 2-4 금융감독원을위장한팝업창 일반적으로는보안상의이유로웹브라우저가 VBScript를사용하지못하도록행위를제한한다. 이러한제한은내부의 safemode 플래그를통해구현되어있다. 갓모드는바로이 safemode 플래그 [ 그림 2-5] 의스크립트를보면갓모드 (CVE-2014-6332) 취약점이사용된것을확인할수있다. 이취약점을통해악성 VBScript를수행하여악성행위를한다. 표 2-4 파일생성정보 [ 파일생성정보 ] create C:\WINDOWS\TEMP\text.vbs 12

VBS 파일을생성한다음이를실행하여네트워크연결을통해악성파일을다운로드한다. 표 2-5 네트워크연결 [ 네트워크연결 ] 110.45.146.68 (http://d****t.co.kr/board/8989.exe) 위네트워크연결을통해다운로드한악성파일은 %temp% 경로에 putty.exe 라는이름으로변경된다. 악성코드에감염된 PC로포털사이트에접속하면 [ 그림 2-4] 에서보았던팝업창이나타난다. 그다음전자금융사기예방서비스가입절차로위장하여사용자에게개인정보및계좌번호, 보안카드일련번호, OTP 번호등을입력하도록유도한다. 입력받은정보를이용하여사용자의계좌에있는돈을탈취하는것이파밍악성코드의목적이다. 이번에소개한파밍악성코드는이미보안패치로해결된갓모드취약점을통해다운로드됐다. 따라서보안패치가된인터넷익스플로러에서는악성스크립트가삽입된사이트에방문하더라도악성코드에감염되지않는다. 악성코드로인한금전적피해를예방하려면소프트웨어를최신으로업데이트하고, 출처가불분명한페이지방문을자제해야한다. 그림 2-6 악성파일속성화면 텔넷접속프로그램인 PuTTY 로위장하기위해악성파일의이름을 putty.exe 로수정한것으로추정된다. 해당악성파일은사용자에게금융정보를요구하는파밍악성코드이다. 사용자가해당프로그램을실행하면추가악성파일생성, 호스트파일변조등의악성행위를한다. V3 제품에서는해당악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > VBS/Downloader (2015.09.08.00) Trojan/Win32.Banki (2015.09.08.01) Trojan/Win32.Qhost (2015.09.10.00) 그림 2-7 변경된호스트파일 13

3 악성코드상세분석 ANALYSIS-IN-DEPTH 성인음란물을이용한악성앱

악성코드상세분석 Analysis-In-Depth 성인음란물을이용한악성앱 최근불륜조장성인사이트애슐리매디슨이해킹되어자료가공개되면서, 관련사이트에대한관심이높아지고있다. 이처럼성인사이트를통해개인정보, 금융정보를수집하고, 스마트폰에저장되어있는공인인증서를탈취한사례와음란물을이용한랜섬웨어앱을소개하고자한다. 그림 3-1 ASHLEY MADISON 사이트메인화면 ( 출처 : www.ashleymadison.com) 사례1) 성인사이트를통한금융정보및공인인증서탈취우선문제가있는성인사이트를살펴보겠다. 성인사이트에접근하면회사소개와공지사항및대표이사사진등을통하여사이트가정상적으로운영중인것처럼보이도록위장하고있다. 해킹된자료는가입자와관련된여러가지정보가담겨있을것으로추정된다. 그중일부를살펴보면국내메일주소도포함되어있었다. 하지만이자료는가입자의실제자료만존재하는것처럼보이지는않았다. 임의로생성한메일주소도포함된것으로추정되는자료들도존재한다. 그림 3-3 성인사이트소개화면 그림 3-2 ASHLEY MADISON 해킹자료일부 이렇듯신뢰감을바탕으로회원가입을유도하고있지만, 게시된대표이사사진등은인터넷에서도용한것이다. 15

회원가입과정은다음과같은정보를요구하고있다. 그림 3-6 성인사이트에서배포중인악성앱 그림 3-4 성인사이트회원가입화면 주목할만한점은회원가입과정에서 인증코드 를요구하고있는데, 이인증코드를발급받기위해서는해당사이트에서제공하는앱을설치해야한다는점이다. 앱다운로드는다음페이지에서제공하고있다. 겉으로보기에는단순히인증코드만발급되는것처럼보이지만, 악성앱은사용자모르게사용자정보를탈취하고있다. 이악성앱은 MainActivity 클래스와 UploadService 클래스를통하여다음정보를홍콩에위치한서버로전송한다. - 스마트폰전화번호 - 악성앱설치이후수신되는문자메시지 ( 사용자가탈취당한메시지는메시지함에서확인이불가능하며, 메시지를탈취당한사실을사용자가인지할수없음 ) - 공인인증서 그림 3-5 인증코드발급을위한앱다운로드유도 성인사이트에서는인증코드발급을위해앱을다운로드받을수있도록링크와 QR 코드를제공하고있다. 해당악성앱을다운로드받아스마트폰에설치하면 [ 그림 3-6] 에서보이는것처럼하트형아이콘이생성되며, 홈페이지에서요구하는인증코드를발급받을수있다. 그림 3-7 스마트폰정보전송코드 실제전송되는네트워크패킷을모니터링하면다음과같은과정으로전송되는것을확인할수있다. 16

그림 3-8 스마트폰정보탈취 ( 전화번호, 공인인증서 ) 이렇게단순히스마트폰전화번호와공인인증서만탈취해서는금전적이득을얻기는어렵기때문에악성코드제작자는홈페이지를통해추가로사용자의개인정보및금융정보와공인인증서비밀번호를수집한다. 한가지특이한점은, 공인인증서비밀번호를탈취하는과정에서는존재하지않는인증서를마치존재하는것처럼보여준다는점이다. 이는사용자가입력한내용을참조하여공인인증서가존재하는것처럼보여줌으로써의심을피하려고한것으로추정된다. 하지만모든정보를입력하고 확인 버튼을누르면 로딩중 화면이나타나며더이상진행은되지않는다. 홈페이지를통해비용을결제하는과정에서사용자가입력한정보를수집한다. 수집한정보는스마트폰에서탈취한정보와마찬가지로홍콩에위치한서버로전송된다. 수집하는정보는다음과같다. - 은행이름 - 계좌번호 - 비밀번호 - 예금주 - 주민등록번호 - 계정정보 ( 아이디 / 비밀번호 ) - 공인인증서비밀번호 그림 3-10 공인인증서비밀번호탈취 네트워크패킷을통해전송되는과정을살펴보면다음과같이구분자를통해사용자의개인정보및금융정보와공인인증서비밀번호를전송하고있다는사실을확인할수있다. 그림 3-11 개인정보, 금융정보, 공인인증서비밀번호전송패킷 그림 3-9 스마트폰정보탈취 ( 전화번호, 공인인증서 ) 이렇게탈취한정보들은모두홍콩에위치한서버로전송된다. 17

마트폰제어를불가능하게만든다. 악성랜섬웨어앱을제거하기위해서공격자는일정금액을요구한다. 그림 3-12 탈취한정보가전송되는서버의위치 성인사이트를사칭해악성코드를유포한이번사례는전체적으로발전된형태이나세부적으로는여전히허술한면도보인다. 홈페이지회원가입과정에서스마트폰앱의설치를통한인증과정과공인인증서탈취과정은자연스럽게유도했지만, 전체적인결제진행과정을보면다른악성코드에비해정보수집방식이다소비효율적이고일부설정들은면밀하지못했다. 그러나사용자가주의를기울이지않는다면이러한과정에의해서도금전적피해를입을수있다는점을유의하자. 사례2) 음란물을이용한악성랜섬웨어앱 그림 3-13 악성랜섬웨어앱아이콘 악성랜섬웨어앱은 [ 그림3-13] 과같이음란물앱으로위장한다. 이앱은일반적인악성랜섬웨어앱과는달리스마트폰내부파일을암호화하지는않는다. 대신사용자의스마트폰사용에제약을준다. 설치된앱은스마트폰시작시자동으로실행되며, 악성랜섬웨어앱이실행하는화면만을출력하여사용자의스 그림 3-14 애플리케이션설치권한목록 해당앱은 [ 그림 3-14] 와같은권한을요구한다. 일반적인동영상시청앱에필요하지않은버튼잠금, 배경에서실행중인앱제어, 전체시스템설정변경과같은권한을획득하고자한다. 추가로스마트폰의저장된개인정보와시스템정보를이용하는권한도요구한다. 요구하는권한을악성랜섬웨어앱의내부설정파일을통해자세히확인해보면다음과같다. 표 3-1 Androidmanifest.xml <uses-permission android:name="android.permission.disable_keyguard"/> <uses-permission android:name ="com.android.browser.permission.read_history_ BOOKMARKS"/> <uses-permission android:name ="com.sec.android.app.sbrowser.operatorbookmarks. permission.read_history_bookmarks"/> <uses-permission android:name ="android.permission.restart_packages"/> <uses-permission android:name ="android.permission.camera"/> <uses-permission android:name ="android.permission.get_tasks"/> <uses-permission android:name ="android.permission.get_accounts"/> <uses-permission android:name ="android.permission.system_alert_window"/> <uses-permission android:name ="android.permission.access_wifi_state"/> <uses-permission android:name ="android.permission.change_network_state"/> <uses-permission android:name ="android.permission.change_wifi_state"/> <uses-permission android:name ="android.permission.write_settings"/> <uses-permission android:name ="android.permission.kill_background_ PROCESSES"/> <uses-permission android:name ="android.permission.read_contacts"/> <uses-permission android:name ="android.permission.receive_boot_ COMPLETED"/> <uses-permission android:name ="android.permission.read_phone_state"/> <uses-permission android:name ="android.permission.internet"/> <uses-permission android:name ="android.permission.wake_lock"/> <uses-permission android:name ="android.permission.access_network_state"/> 18

요구하는권한에는 android.permission. SYSTEM_ALERT_WINDOW 가존재한다. 해당권한은스마트폰의잠금화면을포함한모든화면을무시하고자신이출력한화면을표시할수있게하는권한이다. 따라서악성랜섬웨어앱이이권한을획득할경우, 사용자의스마트폰에는악성앱이의도하는화면만보이게된다. 그림 3-16 악성랜섬웨어앱실행화면 악성랜섬웨어앱의설치버튼을클릭하면 [ 그림 3-15] 와같이앱설치과정이출력된다. 이는실제앱 설치과정이아니라악성랜섬웨어앱의실행화면이다. 그림 3-17 악성앱실행화면 악성랜섬웨어앱이실행되면, [ 그림 3-17] 과같은화 면이출력된다. FBI 를사칭하며, 아동음란물시청과 스마트폰잠금해제를빌미로돈을요구한다. 그림 3-15 설치과정으로위장한악성앱실행화면 위조된설치과정화면에는구글아이콘과화면우측하단에 Powered by Google 문구를삽입하여사용자를속이려한다. 이를인지하지못한사용자가화면하단의 Continue 버튼을클릭할경우악성랜섬웨어앱은 안드로이드기기관리자권한 (Android Device Manager) 을획득한다. 기기관리자권한을획득하게되면, 해당권한을제거하기전에는악성랜섬웨어앱의삭제가불가능하다. 그림 3-18 카메라촬영코드 또한, 악성랜섬웨어앱은스마트폰의전면카메라기능을이용하여스마트폰이용자의모습을촬영한다. 촬영된사진은사용자를협박하기위해앱화면에함께출력시킨다. 스마트폰화면조작을할수없기때문에사용자가스마트폰을다시시작하면더욱난감한상황이발생한다. [ 그림3-19] 와같이스마트폰의 PIN 번호를변경 19

하여스마트폰을잠금상태로만드는것이다. 그림 3-19 잠금화면으로전환된스마트폰 이전의악성랜섬웨어앱은스마트폰안전모드로다시시작할경우, 해당앱을삭제할수있었다. 하지만이번악성랜섬웨어앱의경우시스템에서사용하는 PIN 번호를이용하여스마트폰을잠그기때문에해당 PIN 번호를풀지못할경우스마트폰제어가불가능하다. 만약스마트폰이루팅되지않았으면유일한해결방법은스마트폰공장초기화뿐이다. 공장초기화를진행할경우 PIN 번호뿐만아니라스마트폰의모든자료가삭제된다. 따라서소중한개인정보를지키려면출처가정확하지않은앱설치에대해주의해야한다. 요즘은 PC보다스마트폰을이용하는경우가많아졌다. 스마트폰가입자의증가와더불어악성앱역시증가했다. 따라서앱은공식마켓에서다운로드하여설치하는것이상대적으로안전하지만, 공식마켓에도악성앱이등록되어있을수있으므로평판정보를확인하고설치하는습관을가져야한다. 무심코문자에포함된 URL을클릭하다보면악성앱이설치될수도있기때문에안전성이확인되지않은 URL 및앱은설치하지않도록주의해야한다. 또한, 모바일전용보안앱 (V3 모바일등 ) 이나스미싱탐지앱 ( 안랩안전한문자등 ) 을설치하고, 자동업데이트설정으로항상최신엔진을설치하여스마트폰환경을안전하게유지해야한다. V3 제품에서는해당악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Android-Trojan/Lovet Android-Trojan/Koler 20

ASEC REPORT VOL.69 September, 2015 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2015 AhnLab, Inc. All rights reserved.