ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작

Security Trend ASEC REPORT VOL.80 August, 2016

ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2016 년 8 월보안동향 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 Table of Contents 4 6 7 2 보안이슈 SECURITY ISSUE 01 아이폰 7 관련문서로위장한악성코드주의 02 포켓몬고 (Pokemon Go) 위장랜섬웨어등장 10 13 3 악성코드상세분석 ANALYSIS-IN-DEPTH 01 DLL 형태로돌아온록키 (Locky) 랜섬웨어 17 2

1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계

보안통계 01 악성코드통계 Statistics ASEC이집계한바에따르면, 2016년 8월한달간탐지된악성코드수는 879만 3,413건으로나타났다. 이는전월 974만 8,954건에비해 95만 5,541건감소한수치다. 한편 8월에수집된악성코드샘플수는 498 만 6,496건이다. 11,000,000 10,000,000 9,000,000 10,467,643 9,748,954 8,000,000 8,793,413 7,000,000 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 3,022,206 6,121,096 4,986,496 탐지건수샘플수집수 6 월 7 월 8 월 [ 그림 1-1] 악성코드추이 (2016 년 6 월 ~ 2016 년 8 월 ) * 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 4

[ 그림 1-2] 는 2016 년 8 월한달간유포된악성코드를주요유형별로집계한결과이다. 트로이목마 (Trojan) 계열의악성코드가 38.61% 로가장높은비중을차지했고, 불필요한프로그램인 PUP(Potentially Unwanted Program) 가 25.53%, 웜 (Worm) 이 13.97% 의비율로그뒤를이었다. 3.73% 13.97% 1.18% 38.61% 16.97% 25.53% Trojan PUP etc Worm Adware Downloader [ 그림 1-2] 2016 년 8 월주요악성코드유형 [ 표 1-1] 은 8 월한달간탐지된악성코드중 PUP 를제외하고가장빈번하게탐지된 10 건을진단명기준으 로정리한것이다. Malware/Win32.Generic 이총 21 만 8,089 건으로가장많이탐지되었고, Trojan/ Win32.Starter 가 18 만 3,507 건으로그뒤를이었다. [ 표 1-1] 2016년 8월악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 Malware/Win32.Generic 218,089 2 Trojan/Win32.Starter 183,507 3 Unwanted/Win32.HackTool 102,854 4 Trojan/Win32.Neshta 87,818 5 Trojan/Win32.CryptXXX 81,227 6 Trojan/Win32.Banki 80,766 7 Trojan/Win32.Agent 74,148 8 HackTool/Win32.Crack 58,715 9 Adware/Win32.BrowseFox 54,485 10 ASD.Prevention 52,818 5

보안통계 02 웹통계 Statistics 2016 년 8 월에악성코드유포지로악용된도메인은 1,656 개, URL 은 5,027 개로집계됐다 ([ 그림 1-3]). 또 한 8 월의악성도메인및 URL 차단건수는총 588 만 749 건이다. 9,000,000 8,000,000 7,000,000 6,000,000 5,000,000 5,031,326 5,424,036 5,880,749 4,000,000 8,000 6,000 5,027 4,000 2,000 340 1,860 1,682 1,656 605 악성도메인 /URL 차단건수 악성코드유포도메인수 0 6 월 7 월 8 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 (2016 년 6 월 ~2016 년 8 월 ) * 악성도메인및 URL 차단건수 란 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 6

보안통계 03 모바일통계 Statistics 2016 년 8 월한달간탐지된모바일악성코드는 43 만 2,293 건으로나타났다 ([ 그림 1-4]). 700,000 600,000 500,000 400,000 300,000 321,654 400,001 432,293 200,000 100,000 0 6 월 7 월 8 월 [ 그림 1-4] 모바일악성코드추이 (2016 년 6 월 ~ 2016 년 8 월 ) 7

[ 표 1-2] 는 8 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. Android-PUP/ SmsPay 가가장많이발견되었다. [ 표 1-2] 2016 년 8 월유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/SmsPay 154,907 2 Android-PUP/Shedun 76,665 3 Android-PUP/SmsReg 27,492 4 Android-Trojan/AutoSMS 26,924 5 Android-PUP/Noico 20,143 6 Android-PUP/Zdpay 10,664 7 Android-Trojan/Agent 7,728 8 Android-Trojan/Shedun 7,573 9 Android-Trojan/Hidap 6,006 10 Android-AppCare/Agent 5,030 8

2 보안이슈 SECURITY ISSUE 01 아이폰 7 관련문서로위장한악성코드주의 02 포켓몬고 (Pokemon Go) 위장랜섬웨어등장

보안이슈 01 아이폰 7 관련문서로위장한악성코드주의 Security Issue 최근아이폰 7 출시와함께관련정보를담은문서로위장하여사용자를현혹하는악성코드가발견됐다. 악성코드제작자는사회적이슈를활용하는전형적인사회공학기법 (Social Engineering) 을이용하여제품사양, 디자인등출시전부터사용자들의많은관심을받은아이폰 7의서비스문서파일로위장해악성코드를유포시키는수법을사용했다. 자를속여동의하도록유도했다. 그림 2-2 경고문구이미지로차단된문서 그림 2-1 악성문서파일 엑셀파일로위장한해당악성코드는 [ 그림 2-1] 과같이사용자들의호기심을자극하는파일명을사용하고있다. 해당파일을열면경고문구와함께문서의일부내용이보이지않는다. 매크로실행을동의해야만문서의전체내용을확인할수있는것처럼사용 [ 그림 2-2] 의경고문구는이미지로제작되어있으며, 해당이미지를드래그하면뒤에있는문서내용을확인할수있다. 따라서사용자가매크로실행동의를하지않아도실제로는내용확인이가능하다. 악성코드제작자는문서내용위에내용이제한되었다는경고이미지를덮어쓰는방법으로사용자가매크로실행을동의하도록유도한셈이다. 10

표 2-1 네트워크연결정보 표 2-3 변경된레지스트리항목 hxxp://217.65.97.52/get/0/9854596/gsx.exe 악성매크로가실행되면 [ 표 2-1] 의 URL 주소에연결되며, 네트워크연결이이뤄지면해당주소에서악성코드를다운로드한다. HKCU\Software\Microsoft\Windows NT\ CurrentVersion\Windows\Load "C:\Documents and Settings\administrator\Local Settings\Temp\FolderN\name.exe" 그림 2-3 다운로드된악성파일 시스템에다운로드된악성 exe 파일은사용자의의심을피하기위해 [ 그림 2-3] 과같이애플사의로고와유사한이미지를사용하고있다. 이악성파일을실행하면 [ 표 2-2] 와같은추가파일이생성된다. 표 2-2 파일생성정보 C:\Documents and Settings\administrator\Local Settings\Temp\svhost.exe C:\Documents and Settings\administrator\Local Settings\Temp\FolderN\name.exe 변경된레지스트리항목은시스템이시작될때마다레지스트리값에해당하는경로의악성파일이자동으로실행될수있도록한다. 이번사례와같이많은사람들이관심을갖는사회적이슈나사용자들의호기심을이용한사회공학기법 (Social Engineering) 은공격자들이선호하는기법중하나다. 앞으로도이를이용한악성메일, 악성 URL 링크, 악성동영상등이꾸준히유포될가능성이있어사용자들의주의가필요하다. 또한정상문서파일로위장한악성파일은주로메일을통해유포되므로발신자가불분명한메일은가급적열어보지않는것을권장한다. 메일혹은웹에의심스러운문서파일이첨부되어있는경우에는해당첨부파일을실행하기전한번더확인하는등각별히주의해야한다. 악성파일이생성된이후에는 [ 표 2-3] 과같이레지스트리를변경한다. 11

V3 제품에서는해당악성코드를다음과같은진단명 으로탐지하고있다. <V3 제품군의진단명 > X97M/Downloader (2016.07.27.00) Trojan/Win32.Injector (2016.08.02.04) 12

보안이슈 02 포켓몬고 (Pokemon Go) 위장랜섬웨어등장 Security Issue 랜섬웨어유포방식이점점고도화되고있는가운데, 최근증강현실 (Augmented Reality, AR) 기술을접목하여전세계적으로인기를끌었던모바일게임 포켓몬고 (Pokemon Go) 로위장한랜섬웨어가등장하여사용자들을위협하고있다. 표 2-4 파일생성정보 C:\Documents and Settings\Administrator\ 시작메뉴 \ 프로그램 \ 시작프로그램 \87121.exe Drive Root:\PokemonGo.exe 파일이실행되면 [ 표 2-4] 와같이시작프로그램경로에추가악성파일을생성하고, 감염시스템내모든드라이브루트에자기자신을복사한랜섬웨어실행파일을생성한다. 그림 2-4 포켓몬고로위장한랜섬웨어 이번에발견된랜섬웨어는 [ 그림 2-4] 와같이게임의대표캐릭터를아이콘으로사용하여사용자가정상적인게임을실행하는것처럼인식하도록위장했다. 그러나실제로는시스템내문서파일을암호화하는랜섬웨어다. 그림 2-5 자동실행프로그램 이때생성된악성파일은시스템이다시시작될때마다자동실행되며, [ 표 2-5] 와같이시스템의레지스트리항목을변경한다. UserList 항목에 Hack3r 레지스트리를추가하여시스템에 Hack3r 의이름 13

으로관리자계정을생성한다. 표 2-6 네트워크연결정보 표 2-5 변경된관리자계정레지스트리항목 10.25.0.169:80 HKLM\Software\Microsoft\Windows NT\ CurrentVersion\Winlogon\SpecialAccounts\ UserList Hack3r = 0 또한레지스트리추가시, 값을 0으로설정해사용자에게해당계정이보이지않게했다. 실제로는 [ 그림 2-6] 과같이 Hack3r 의이름으로관리자계정이생성되어있다. 그림 2-7 랜섬웨어감염시화면 랜섬웨어에감염된시스템의화면은 [ 그림 2-7] 과같이변경된다. 게임캐릭터와함께보이는아랍어메시지로보아, 아랍어사용자를공격대상으로했음을알수있다. 해당메시지는 PC 내파일들이암호화되었으며, 암호화된파일을복구하려면메일로연락하라는내용이다. 랜섬웨어가암호화한대상파일의확장자는 [ 표 2-7] 과같다. 그림 2-6 Hack3r 관리자계정 이후악성코드는 [ 표 2-6] 의주소로네트워크연결을 시도한다. 분석당시에는네트워크연결로인한추가악성행위는이뤄지지않았다. 표 2-7 암호화대상파일확장자 *.txt, *.rtf, *.doc, *.pdf, *.mht, *.docx, *.xls, *.xlsx, *.ppt, *.pptx, *.png, *.odt, *.jpg, *.png, *.csv, *.sql, *.mdb, *.sln, *.php, *.asp, *.aspx, *.html, *.xml, *.psd, *.htm, *.gif 14

이번에발견된랜섬웨어는교육용으로제작된히든티어 (Hidden-Tear) 랜섬웨어의소스코드를활용하여제작된랜섬웨어로밝혀졌다. 교육용으로공개된소스코드까지악성행위에이용되어사용자들에게피해를주는만큼, [ 표 2-8] 의랜섬웨어예방법을참고하여랜섬웨어에감염되지않도록각별히주의하자. V3 제품에서는해당랜섬웨어를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > Trojan/Win32.Ryzerlo (2016.08.17.00) Trojan/Win32.Ransom (2016.08.18.04) 표 2-8 랜섬웨어예방법 - 의심스러운메일의첨부파일열람금지 - 콘텐츠불법다운로드금지 - 문서 (doc, ppt, pdf, hwp), 사진파일등중요파일의백업 - 운영체제및응용프로그램의보안업데이트수시적용 : 상당수의랜섬웨어는응용프로그램의취약점을통해드라이브바이다운로드 (Drive-by-download) 방식으로유포됨 15

3 악성코드상세분석 ANALYSIS-IN-DEPTH 01 DLL 형태로돌아온록키 (Locky) 랜섬웨어

악성코드상세분석 01 DLL 형태로돌아온록키 (Locky) 랜섬웨어 Analysis-In-Depth 지난 2016년 2월처음발견된록키 (Locky) 랜섬웨어는시스템에심각한피해를입히며이슈가됐다. 발견당시암호화된파일의확장자뒤에.locky 를붙이는것으로알려졌지만, 이후에는확장자를.zepto 로변경하는록키랜섬웨어도발견됐다. 더나아가유포방식또한문서파일로유포하던방식에서스크립트파일로유포하는방식으로발전했다. 그런데이번에는기존의 EXE 형태가아닌 DLL 형태의록키랜섬웨어가새롭게발견되어사용자들의주의가요구된다. 지속적으로변종을유포하며사용자들을위협하는록키랜섬웨어를면밀히살펴보자. 그림 3-1 드라이브바이다운로드 (Drive-by-Download) 유포방식 록키랜섬웨어이전에 DLL 파일유포방식을최초로적용한랜섬웨어는 크립트XXX(CryptXXX) 다. [ 그림 3-1] 과같이보안이취약한웹사이트에삽입된광고모듈의취약점을이용한멀버타이징 (Malvertising) 기법을사용하여, 드라이브바이다운로드 (Driveby-download) 형태로 DLL 파일을유포해많은사용자들에게큰피해를입힌바있다. 이번에발견된 DLL 파일을이용한록키랜섬웨어는스팸메일내에자바스크립트 (.js) 형태의다운로더파일을첨부하는방식으로, 악성코드를유포하는방식은이전과같다. 달라진점은다운로더악성코드실행시 DLL 파일이임시폴더에다운로드되고, [ 그림 3-2] 와같이 rundll32.exe를통해실행된다는점이다. 17

그림 3-2 rundll32 를통한랜섬웨어감염 (* 출처 : malware-traffic-analysis.net) 스팸메일을통해유입된 JS 파일을실행하면, 유포지인 [ 표 3-1] 의 URL 주소를통해파일이다운로드된다. 표 3-1 유포지 URL 정보 그림 3-3 록키랜섬웨어의감염메시지 록키랜섬웨어에감염된후변경된파일의이름과확장자는 [ 표3-3] 과같다. sopranolady7.wang/1cntwk5 ihvr.org/txb1n2bm da-fortunato.de/fqjold5 spir.50webs.com/52sc0 이때 [ 표 3-2] 와같이 DLL 파일형태의랜섬웨어가임시폴더인 %Temp% 경로에다운로드된다. 표 3-2 다운로드된 DLL 파일경로 %Temp%\1o0cGXH9d.dll 다운로드된 DLL파일을실행하면 [ 그림 3-3] 과같이바탕화면이록키랜섬웨어의감염안내메시지로변경된다. 표 3-3 변경된파일명및확장자 C:\Documents and Settings\Administrator\ Templates\F4D5F460-96E9-FAC1-8E79- B65E2228C978.zepto C:\Documents and Settings\Administrator\ Templates\F4D5F460-96E9-FAC1-C81F- 576C3AC8C83A.zepto C:\Documents and Settings\Default User\ Templates\F4D5F460-96E9-FAC1-8CE8- B5606E7172D3.zepto C:\Documents and Settings\Administrator\ Templates\F4D5F460-96E9-FAC1-3DFD- 709222A3B9BD.zepto C:\Documents and Settings\Administrator\ Templates\F4D5F460-96E9-FAC1-8CCB- 7E954797747B.zepto 18

나날이진화하는신 변종랜섬웨어의위협이계속되고있다. 한번랜섬웨어에감염되면암호화된파일을복구하는것은거의불가능하다. 따라서랜섬웨어는다른어떤악성코드보다사전예방이중요하다. 랜섬웨어피해예방을위해서는평소운영체제및주요프로그램의최신보안업데이트를적용하고, 중요한데이터는미리백업해두는것이중요하다. 백업은랜섬웨어감염에대한사전예방뿐만아니라하드디스크손상, 운영체제오류등으로인해시스템을포맷하게 될경우에도유연하게대처할수있는수단이될수있으므로주기적으로해두는것이바람직하다. V3 제품에서는록키랜섬웨어를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > Trojan/Win32.Locky (2016.08.24.05) JS/Obfus.S111 (2016.08.25.00) 19

ASEC REPORT VOL.80 August, 2016 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2016 AhnLab, Inc. All rights reserved.