ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작

Similar documents
ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

Security Trend ASEC REPORT VOL.68 August, 2015

ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

ASEC REPORT VOL.78 June, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

Security Trend ASEC Report VOL.56 August, 2014

ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성

Security Trend ASEC REPORT VOL.70 October, 2015

ASEC REPORT VOL.75 March, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며

Security Trend ASEC Report VOL.63 March, 2015

ASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

Security Trend ASEC REPORT VOL.67 July, 2015

월간 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜

Security Trend ASEC Report VOL.52 April, 2014

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

ASEC REPORT VOL.69 September, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

*2008년1월호진짜

Security Trend ASEC Report VOL.54 June, 2014

Security Trend ASEC Report VOL.55 July, 2014

Security Trend ASEC Report VOL.51 March, 2014

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

ASEC REPORT VOL.73 January, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

ActFax 4.31 Local Privilege Escalation Exploit

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.

08_spam.hwp

Security Trend ASEC Report VOL.58 October, 2014

ASEC Report VOL.62 February, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

ASEC REPORT VOL 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

uFOCS

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

로거 자료실

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

#WI DNS DDoS 공격악성코드분석

1

untitled

유포지탐지동향

1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나 데이터를암호화해사용할수없도록하고이를인질로금전

ASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

ASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

EQST Insight_201910

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

ezpdf WorkBoard 2.0 사용 안내서 c 2009 유니닥스(주) ezpdf WorkBoard 2.0 사용 안내서의 내용과 ezpdf WorkBoard 2.0 프로그램은 저작권법과 컴퓨터 프로그램 보호법으로 보호 받습니다. 발 행 일 2009년 9월 1일 1판

Security Trend ASEC Report VOL.57 September, 2014

월간 CONTENTS 3 EXPERT COLUMN 영화 감기 의충고, 최초감염자를찾아라! 5 SPECIAL REPORT 2016 상반기위협동향및하반기전망 2016 년상반기키워드는랜섬웨어 표적공격! 하반기는? 8 PRODUCT ISSUE AhnLab MD

1

ASEC REPORT VOL.72 December, 2015 ASEC(AhnLab Security Emergency response Center)은 악성코드 및 보안 위협으로부터 고객을 안전하게 지키기 위하여 보안 전문가로 구성된 글로벌 보안 조직입니다. 이 리포트는

Security Trend ASEC REPORT VOL.64 April, 2015

07_alman.hwp

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

5th-KOR-SANGFOR NGAF(CC)

ASEC REPORT VOL

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

ASEC REPORT VOL 년 2 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

Microsoft Word - eClipse_사용자가이드_

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A

<property name="configlocation" value="classpath:/egovframework/sqlmap/example/sql-map-config.xml"/> <property name="datasource" ref="datasource2"/> *

2017 년보안위협동향 기억해야할 2017 년보안위협 Top 랜섬웨어패러다임의변화 : 규모, 감염경로, 세대교체정상적인경로를이용한대범함, 공급망공격 돈이되는것을노린다? 돈 자체를노리다! 익스플로잇킷의숨고르기, 취약점공격은다변화모바일위협의고

월간 CONTENTS 3 EXPERT COLUMN 영화 제이슨본, 현실과얼마나닮았나 6 SPECIAL REPORT IoT 보안위협과대응방안 IoT 플랫폼에서의보안해결책은? 12 PRODUCT ISSUE 안랩, V3 제품군랜섬웨어대응기능업그레이드 V3,

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [

슬라이드 1

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리

Operation Kabar Cobra Kimsuky 공격그룹의최신타깃공격사례분석 안랩시큐리티대응센터 (ASEC) 대응팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : w


< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구

ASEC REPORT VOL 년 3 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

목차 Part Ⅰ 7 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

명세서청구범위청구항 1 문서에포함된악성공격코드를탐지하는시스템에있어서, 상기악성공격코드를탐지하는프로그램이저장된메모리, 기수집된악성공격코드에기초하여분류된행위시그너처가저장된데이터베이스및상기프로그램을실행시키는프로세서를포함하되, 상기프로세서는상기악성공격코드를탐지하는프로그램이실행

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

Red Eyes Hacking Group 상세분석 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : AhnL

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A

ISP and CodeVisionAVR C Compiler.hwp

pdf

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

ASEC Report 2014 Annual Report ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

WiseNet SmartCam 제품사용설명서 Copyright 2017 Hanwha Techwin Co., Ltd. All rights reserved. Trademark 여기에기재된상표는모두등록된것으로이매뉴얼에기재된이상품의이름과다른상표는각회사로부터등록된상표입니다. R

차세대 방화벽 기능 애플리케이션 컨트롤 는 차세대 보안 기술인 애플리케이션 컨트롤(Application Control) 기능을 탑재해 P2P / 웹하드 / 메신저(Instant Messenger) / SNS 등 수 천 개의 글로벌 / 국내 애플리케이션에 대해 실시간 분

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

Windows 8에서 BioStar 1 설치하기

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

<4D F736F F D2031BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

1

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

신종파밍악성코드분석 Bolaven

Transcription:

Security Trend ASEC REPORT VOL.80 August, 2016

ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2016 년 8 월보안동향 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 Table of Contents 4 6 7 2 보안이슈 SECURITY ISSUE 01 아이폰 7 관련문서로위장한악성코드주의 02 포켓몬고 (Pokemon Go) 위장랜섬웨어등장 10 13 3 악성코드상세분석 ANALYSIS-IN-DEPTH 01 DLL 형태로돌아온록키 (Locky) 랜섬웨어 17 2

1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계

보안통계 01 악성코드통계 Statistics ASEC이집계한바에따르면, 2016년 8월한달간탐지된악성코드수는 879만 3,413건으로나타났다. 이는전월 974만 8,954건에비해 95만 5,541건감소한수치다. 한편 8월에수집된악성코드샘플수는 498 만 6,496건이다. 11,000,000 10,000,000 9,000,000 10,467,643 9,748,954 8,000,000 8,793,413 7,000,000 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 3,022,206 6,121,096 4,986,496 탐지건수샘플수집수 6 월 7 월 8 월 [ 그림 1-1] 악성코드추이 (2016 년 6 월 ~ 2016 년 8 월 ) * 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 4

[ 그림 1-2] 는 2016 년 8 월한달간유포된악성코드를주요유형별로집계한결과이다. 트로이목마 (Trojan) 계열의악성코드가 38.61% 로가장높은비중을차지했고, 불필요한프로그램인 PUP(Potentially Unwanted Program) 가 25.53%, 웜 (Worm) 이 13.97% 의비율로그뒤를이었다. 3.73% 13.97% 1.18% 38.61% 16.97% 25.53% Trojan PUP etc Worm Adware Downloader [ 그림 1-2] 2016 년 8 월주요악성코드유형 [ 표 1-1] 은 8 월한달간탐지된악성코드중 PUP 를제외하고가장빈번하게탐지된 10 건을진단명기준으 로정리한것이다. Malware/Win32.Generic 이총 21 만 8,089 건으로가장많이탐지되었고, Trojan/ Win32.Starter 가 18 만 3,507 건으로그뒤를이었다. [ 표 1-1] 2016년 8월악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 Malware/Win32.Generic 218,089 2 Trojan/Win32.Starter 183,507 3 Unwanted/Win32.HackTool 102,854 4 Trojan/Win32.Neshta 87,818 5 Trojan/Win32.CryptXXX 81,227 6 Trojan/Win32.Banki 80,766 7 Trojan/Win32.Agent 74,148 8 HackTool/Win32.Crack 58,715 9 Adware/Win32.BrowseFox 54,485 10 ASD.Prevention 52,818 5

보안통계 02 웹통계 Statistics 2016 년 8 월에악성코드유포지로악용된도메인은 1,656 개, URL 은 5,027 개로집계됐다 ([ 그림 1-3]). 또 한 8 월의악성도메인및 URL 차단건수는총 588 만 749 건이다. 9,000,000 8,000,000 7,000,000 6,000,000 5,000,000 5,031,326 5,424,036 5,880,749 4,000,000 8,000 6,000 5,027 4,000 2,000 340 1,860 1,682 1,656 605 악성도메인 /URL 차단건수 악성코드유포도메인수 0 6 월 7 월 8 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 (2016 년 6 월 ~2016 년 8 월 ) * 악성도메인및 URL 차단건수 란 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 6

보안통계 03 모바일통계 Statistics 2016 년 8 월한달간탐지된모바일악성코드는 43 만 2,293 건으로나타났다 ([ 그림 1-4]). 700,000 600,000 500,000 400,000 300,000 321,654 400,001 432,293 200,000 100,000 0 6 월 7 월 8 월 [ 그림 1-4] 모바일악성코드추이 (2016 년 6 월 ~ 2016 년 8 월 ) 7

[ 표 1-2] 는 8 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. Android-PUP/ SmsPay 가가장많이발견되었다. [ 표 1-2] 2016 년 8 월유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/SmsPay 154,907 2 Android-PUP/Shedun 76,665 3 Android-PUP/SmsReg 27,492 4 Android-Trojan/AutoSMS 26,924 5 Android-PUP/Noico 20,143 6 Android-PUP/Zdpay 10,664 7 Android-Trojan/Agent 7,728 8 Android-Trojan/Shedun 7,573 9 Android-Trojan/Hidap 6,006 10 Android-AppCare/Agent 5,030 8

2 보안이슈 SECURITY ISSUE 01 아이폰 7 관련문서로위장한악성코드주의 02 포켓몬고 (Pokemon Go) 위장랜섬웨어등장

보안이슈 01 아이폰 7 관련문서로위장한악성코드주의 Security Issue 최근아이폰 7 출시와함께관련정보를담은문서로위장하여사용자를현혹하는악성코드가발견됐다. 악성코드제작자는사회적이슈를활용하는전형적인사회공학기법 (Social Engineering) 을이용하여제품사양, 디자인등출시전부터사용자들의많은관심을받은아이폰 7의서비스문서파일로위장해악성코드를유포시키는수법을사용했다. 자를속여동의하도록유도했다. 그림 2-2 경고문구이미지로차단된문서 그림 2-1 악성문서파일 엑셀파일로위장한해당악성코드는 [ 그림 2-1] 과같이사용자들의호기심을자극하는파일명을사용하고있다. 해당파일을열면경고문구와함께문서의일부내용이보이지않는다. 매크로실행을동의해야만문서의전체내용을확인할수있는것처럼사용 [ 그림 2-2] 의경고문구는이미지로제작되어있으며, 해당이미지를드래그하면뒤에있는문서내용을확인할수있다. 따라서사용자가매크로실행동의를하지않아도실제로는내용확인이가능하다. 악성코드제작자는문서내용위에내용이제한되었다는경고이미지를덮어쓰는방법으로사용자가매크로실행을동의하도록유도한셈이다. 10

표 2-1 네트워크연결정보 표 2-3 변경된레지스트리항목 hxxp://217.65.97.52/get/0/9854596/gsx.exe 악성매크로가실행되면 [ 표 2-1] 의 URL 주소에연결되며, 네트워크연결이이뤄지면해당주소에서악성코드를다운로드한다. HKCU\Software\Microsoft\Windows NT\ CurrentVersion\Windows\Load "C:\Documents and Settings\administrator\Local Settings\Temp\FolderN\name.exe" 그림 2-3 다운로드된악성파일 시스템에다운로드된악성 exe 파일은사용자의의심을피하기위해 [ 그림 2-3] 과같이애플사의로고와유사한이미지를사용하고있다. 이악성파일을실행하면 [ 표 2-2] 와같은추가파일이생성된다. 표 2-2 파일생성정보 C:\Documents and Settings\administrator\Local Settings\Temp\svhost.exe C:\Documents and Settings\administrator\Local Settings\Temp\FolderN\name.exe 변경된레지스트리항목은시스템이시작될때마다레지스트리값에해당하는경로의악성파일이자동으로실행될수있도록한다. 이번사례와같이많은사람들이관심을갖는사회적이슈나사용자들의호기심을이용한사회공학기법 (Social Engineering) 은공격자들이선호하는기법중하나다. 앞으로도이를이용한악성메일, 악성 URL 링크, 악성동영상등이꾸준히유포될가능성이있어사용자들의주의가필요하다. 또한정상문서파일로위장한악성파일은주로메일을통해유포되므로발신자가불분명한메일은가급적열어보지않는것을권장한다. 메일혹은웹에의심스러운문서파일이첨부되어있는경우에는해당첨부파일을실행하기전한번더확인하는등각별히주의해야한다. 악성파일이생성된이후에는 [ 표 2-3] 과같이레지스트리를변경한다. 11

V3 제품에서는해당악성코드를다음과같은진단명 으로탐지하고있다. <V3 제품군의진단명 > X97M/Downloader (2016.07.27.00) Trojan/Win32.Injector (2016.08.02.04) 12

보안이슈 02 포켓몬고 (Pokemon Go) 위장랜섬웨어등장 Security Issue 랜섬웨어유포방식이점점고도화되고있는가운데, 최근증강현실 (Augmented Reality, AR) 기술을접목하여전세계적으로인기를끌었던모바일게임 포켓몬고 (Pokemon Go) 로위장한랜섬웨어가등장하여사용자들을위협하고있다. 표 2-4 파일생성정보 C:\Documents and Settings\Administrator\ 시작메뉴 \ 프로그램 \ 시작프로그램 \87121.exe Drive Root:\PokemonGo.exe 파일이실행되면 [ 표 2-4] 와같이시작프로그램경로에추가악성파일을생성하고, 감염시스템내모든드라이브루트에자기자신을복사한랜섬웨어실행파일을생성한다. 그림 2-4 포켓몬고로위장한랜섬웨어 이번에발견된랜섬웨어는 [ 그림 2-4] 와같이게임의대표캐릭터를아이콘으로사용하여사용자가정상적인게임을실행하는것처럼인식하도록위장했다. 그러나실제로는시스템내문서파일을암호화하는랜섬웨어다. 그림 2-5 자동실행프로그램 이때생성된악성파일은시스템이다시시작될때마다자동실행되며, [ 표 2-5] 와같이시스템의레지스트리항목을변경한다. UserList 항목에 Hack3r 레지스트리를추가하여시스템에 Hack3r 의이름 13

으로관리자계정을생성한다. 표 2-6 네트워크연결정보 표 2-5 변경된관리자계정레지스트리항목 10.25.0.169:80 HKLM\Software\Microsoft\Windows NT\ CurrentVersion\Winlogon\SpecialAccounts\ UserList Hack3r = 0 또한레지스트리추가시, 값을 0으로설정해사용자에게해당계정이보이지않게했다. 실제로는 [ 그림 2-6] 과같이 Hack3r 의이름으로관리자계정이생성되어있다. 그림 2-7 랜섬웨어감염시화면 랜섬웨어에감염된시스템의화면은 [ 그림 2-7] 과같이변경된다. 게임캐릭터와함께보이는아랍어메시지로보아, 아랍어사용자를공격대상으로했음을알수있다. 해당메시지는 PC 내파일들이암호화되었으며, 암호화된파일을복구하려면메일로연락하라는내용이다. 랜섬웨어가암호화한대상파일의확장자는 [ 표 2-7] 과같다. 그림 2-6 Hack3r 관리자계정 이후악성코드는 [ 표 2-6] 의주소로네트워크연결을 시도한다. 분석당시에는네트워크연결로인한추가악성행위는이뤄지지않았다. 표 2-7 암호화대상파일확장자 *.txt, *.rtf, *.doc, *.pdf, *.mht, *.docx, *.xls, *.xlsx, *.ppt, *.pptx, *.png, *.odt, *.jpg, *.png, *.csv, *.sql, *.mdb, *.sln, *.php, *.asp, *.aspx, *.html, *.xml, *.psd, *.htm, *.gif 14

이번에발견된랜섬웨어는교육용으로제작된히든티어 (Hidden-Tear) 랜섬웨어의소스코드를활용하여제작된랜섬웨어로밝혀졌다. 교육용으로공개된소스코드까지악성행위에이용되어사용자들에게피해를주는만큼, [ 표 2-8] 의랜섬웨어예방법을참고하여랜섬웨어에감염되지않도록각별히주의하자. V3 제품에서는해당랜섬웨어를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > Trojan/Win32.Ryzerlo (2016.08.17.00) Trojan/Win32.Ransom (2016.08.18.04) 표 2-8 랜섬웨어예방법 - 의심스러운메일의첨부파일열람금지 - 콘텐츠불법다운로드금지 - 문서 (doc, ppt, pdf, hwp), 사진파일등중요파일의백업 - 운영체제및응용프로그램의보안업데이트수시적용 : 상당수의랜섬웨어는응용프로그램의취약점을통해드라이브바이다운로드 (Drive-by-download) 방식으로유포됨 15

3 악성코드상세분석 ANALYSIS-IN-DEPTH 01 DLL 형태로돌아온록키 (Locky) 랜섬웨어

악성코드상세분석 01 DLL 형태로돌아온록키 (Locky) 랜섬웨어 Analysis-In-Depth 지난 2016년 2월처음발견된록키 (Locky) 랜섬웨어는시스템에심각한피해를입히며이슈가됐다. 발견당시암호화된파일의확장자뒤에.locky 를붙이는것으로알려졌지만, 이후에는확장자를.zepto 로변경하는록키랜섬웨어도발견됐다. 더나아가유포방식또한문서파일로유포하던방식에서스크립트파일로유포하는방식으로발전했다. 그런데이번에는기존의 EXE 형태가아닌 DLL 형태의록키랜섬웨어가새롭게발견되어사용자들의주의가요구된다. 지속적으로변종을유포하며사용자들을위협하는록키랜섬웨어를면밀히살펴보자. 그림 3-1 드라이브바이다운로드 (Drive-by-Download) 유포방식 록키랜섬웨어이전에 DLL 파일유포방식을최초로적용한랜섬웨어는 크립트XXX(CryptXXX) 다. [ 그림 3-1] 과같이보안이취약한웹사이트에삽입된광고모듈의취약점을이용한멀버타이징 (Malvertising) 기법을사용하여, 드라이브바이다운로드 (Driveby-download) 형태로 DLL 파일을유포해많은사용자들에게큰피해를입힌바있다. 이번에발견된 DLL 파일을이용한록키랜섬웨어는스팸메일내에자바스크립트 (.js) 형태의다운로더파일을첨부하는방식으로, 악성코드를유포하는방식은이전과같다. 달라진점은다운로더악성코드실행시 DLL 파일이임시폴더에다운로드되고, [ 그림 3-2] 와같이 rundll32.exe를통해실행된다는점이다. 17

그림 3-2 rundll32 를통한랜섬웨어감염 (* 출처 : malware-traffic-analysis.net) 스팸메일을통해유입된 JS 파일을실행하면, 유포지인 [ 표 3-1] 의 URL 주소를통해파일이다운로드된다. 표 3-1 유포지 URL 정보 그림 3-3 록키랜섬웨어의감염메시지 록키랜섬웨어에감염된후변경된파일의이름과확장자는 [ 표3-3] 과같다. sopranolady7.wang/1cntwk5 ihvr.org/txb1n2bm da-fortunato.de/fqjold5 spir.50webs.com/52sc0 이때 [ 표 3-2] 와같이 DLL 파일형태의랜섬웨어가임시폴더인 %Temp% 경로에다운로드된다. 표 3-2 다운로드된 DLL 파일경로 %Temp%\1o0cGXH9d.dll 다운로드된 DLL파일을실행하면 [ 그림 3-3] 과같이바탕화면이록키랜섬웨어의감염안내메시지로변경된다. 표 3-3 변경된파일명및확장자 C:\Documents and Settings\Administrator\ Templates\F4D5F460-96E9-FAC1-8E79- B65E2228C978.zepto C:\Documents and Settings\Administrator\ Templates\F4D5F460-96E9-FAC1-C81F- 576C3AC8C83A.zepto C:\Documents and Settings\Default User\ Templates\F4D5F460-96E9-FAC1-8CE8- B5606E7172D3.zepto C:\Documents and Settings\Administrator\ Templates\F4D5F460-96E9-FAC1-3DFD- 709222A3B9BD.zepto C:\Documents and Settings\Administrator\ Templates\F4D5F460-96E9-FAC1-8CCB- 7E954797747B.zepto 18

나날이진화하는신 변종랜섬웨어의위협이계속되고있다. 한번랜섬웨어에감염되면암호화된파일을복구하는것은거의불가능하다. 따라서랜섬웨어는다른어떤악성코드보다사전예방이중요하다. 랜섬웨어피해예방을위해서는평소운영체제및주요프로그램의최신보안업데이트를적용하고, 중요한데이터는미리백업해두는것이중요하다. 백업은랜섬웨어감염에대한사전예방뿐만아니라하드디스크손상, 운영체제오류등으로인해시스템을포맷하게 될경우에도유연하게대처할수있는수단이될수있으므로주기적으로해두는것이바람직하다. V3 제품에서는록키랜섬웨어를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > Trojan/Win32.Locky (2016.08.24.05) JS/Obfus.S111 (2016.08.25.00) 19

ASEC REPORT VOL.80 August, 2016 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2016 AhnLab, Inc. All rights reserved.