ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

Security Trend ASEC REPORT VOL.81 September, 2016

ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2016 년 9 월보안동향 Table of Contents 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 4 6 7 2 보안이슈 SECURITY ISSUE 01 HTA(HTML Application) 파일형태의랜섬웨어 다운로더등장 02 윈도우업데이트로위장한랜섬웨어주의 10 12 3 악성코드상세분석 ANALYSIS-IN-DEPTH 01 해킹된업데이트서버통한파밍주의보 16 2

1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계

보안통계 01 악성코드통계 Statistics ASEC이집계한바에따르면, 2016년 9월한달간탐지된악성코드수는 899만 9,000건으로나타났다. 이는전월 879만 3,413건에비해 20만 5,587건증가한수치다. 한편 9월에수집된악성코드샘플수는 506 만 7,805건이다. 11,000,000 10,000,000 9,000,000 8,000,000 9,748,954 8,793,413 8,999,000 7,000,000 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 6,121,096 4,986,496 5,067,805 탐지건수샘플수집수 7 월 8 월 9 월 [ 그림 1-1] 악성코드추이 (2016 년 7 월 ~ 2016 년 9 월 ) * 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 4

[ 그림 1-2] 는 2016 년 9 월한달간유포된악성코드를주요유형별로집계한결과이다. 트로이목마 (Trojan) 계열의악성코드가 41.23% 로가장높은비중을차지했고, 불필요한프로그램인 PUP(Potentially Unwanted Program) 가 21.98%, 웜 (Worm) 이 14.37% 의비율로그뒤를이었다. 3.05% 14.37% 1.69% 41.23% 17.68% 21.98% Trojan PUP etc Worm Adware Downloader [ 그림 1-2] 2016 년 9 월주요악성코드유형 [ 표 1-1] 은 9 월한달간탐지된악성코드중 PUP 를제외하고가장빈번하게탐지된 10 건을진단명기준으 로정리한것이다. Malware/Win32.Generic 이총 36 만 4,620 건으로가장많이탐지되었고, Trojan/ Win32.Starter 가 23 만 7,449 건으로그뒤를이었다. [ 표 1-1] 2016년 9월악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 Malware/Win32.Generic 364,620 2 Trojan/Win32.Starter 237,449 3 Unwanted/Win32.HackTool 136,623 4 Trojan/Win32.Agent 84,673 5 Trojan/Win32.Neshta 80,937 6 HackTool/Win32.Crack 72,632 7 Trojan/Win32.Banki 68,817 8 ASD.Prevention 60,727 9 Unwanted/Win32.Keygen 57,950 10 Trojan/Win32.OnlineGameHack 55,808 5

보안통계 02 웹통계 Statistics 2016 년 9 월에악성코드유포지로악용된도메인은 1,481 개, URL 은 2,926 개로집계됐다 ([ 그림 1-3]). 또 한 9 월의악성도메인및 URL 차단건수는총 392 만 4,516 건이다. 9,000,000 8,000,000 7,000,000 6,000,000 5,424,036 5,880,749 5,000,000 4,000,000 3,924,516 8,000 6,000 5,027 4,000 2,926 2,000 605 1,860 1,656 1,481 악성도메인 /URL 차단건수 악성코드유포도메인수 0 7 월 8 월 9 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 (2016 년 7 월 ~2016 년 9 월 ) * 악성도메인및 URL 차단건수 란 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 6

보안통계 03 모바일통계 Statistics 2016 년 9 월한달간탐지된모바일악성코드는 38 만 9,745 건으로나타났다 ([ 그림 1-4]). 700,000 600,000 500,000 400,000 400,001 432,293 389,745 300,000 200,000 100,000 0 7 월 8 월 9 월 [ 그림 1-4] 모바일악성코드추이 (2016 년 7 월 ~ 2016 년 9 월 ) 7

[ 표 1-2] 는 9 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. Android-PUP/ SmsPay 가가장많이발견되었다. [ 표 1-2] 2016 년 9 월유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/SmsPay 109,366 2 Android-PUP/Shedun 60,317 3 Android-PUP/SmsReg 29,238 4 Android-PUP/Noico 23,426 5 Android-PUP/Zdpay 19,957 6 Android-PUP/Agent 15,889 7 Android-Trojan/AutoSMS 11,700 8 Android-Trojan/Agent 9,802 9 Android-PUP/Dowgin 8,352 10 Android-Trojan/Shedun 7,939 8

2 보안이슈 SECURITY ISSUE 01 HTA(HTML Application) 파일형태의랜섬웨어다운로 더등장 02 윈도우업데이트로위장한랜섬웨어주의

보안이슈 Security Issue 01 HTA(HTML Application) 파일형태의랜섬웨어다운로더등장 랜섬웨어로인한위협이점점고도화되는가운데, 최근랜섬웨어를다운로드하는 *.hta 형태의랜섬웨어다운로더가발견됐다. HTML 애플리케이션 (HTML Application, HTA) 파일을뜻하는 HTA 파일은본래 HTML 파일이시스템내브라우저를통해실행되는것과는달리, 웹브라우저와의연결없이응용프로그램처럼동작하는것이특징이다. 이번에발견된 HTA 랜섬웨어다운로더는이와같은 HTA 파일의특징을악용하여랜섬웨어를유포시켰다. [ 그림 2-1] 과같은 HTA 파일형태의랜섬웨어다운로더는주로스팸메일내첨부파일로유포되었으며, 해당파일은분석이어렵도록모두난독화된스크립트로작성되어있다. 그림 2-2 HTA 파일실행화면 그림 2-1 HTA 파일형태의랜섬웨어다운로더 사용자가악성 HTA 파일을실행하면웹브라우저가아닌 [ 그림 2-2] 와같은프로그램창이나타나며, 해당악성 HTA 파일은윈도우 (Windows) 정상파일인 mshta.exe를이용하여악성스크립트를동작시킨다. 10

표 2-1 네트워크연결정보 207.179.106.94:80 198.46.82.242:80 70.39.235.94:80 이번사례에서확인할수있는바와같이사용자가실행파일인 PE 파일을직접실행하는경우에만랜섬웨어에감염되는것은아니다. HTA 다운로더에의해다운로드된파일이실행될때랜섬웨어에감염될수도있다. 최근랜섬웨어다운로더로다양한확장자의파일들이이용되고있는데, 그중활발히유포되고있는랜섬웨어다운로더는 *.js, *.wsf, *.hta 파일이다. 그림 2-3 mshta.exe 속성 [ 그림 2-3] 과같이실행중인 mshta.exe 파일의속성값에서커맨드라인 (Command line) 을확인하면, 다운로드경로에있는 HTA 파일이실행되고있음을알수있다. 따라서해당확장자를가진파일이첨부된스팸메일을수신한경우에는, 해당메일을가급적열어보지말아야한다. 또한랜섬웨어를다운로드하는악성스크립트파일은주로윈도우정상프로그램인 wscript. exe와 mshta.exe를통해실행되기때문에사용자가의도하지않았음에도불구하고해당프로그램이시스템에서실행중인경우, 악성스크립트파일이존재할가능성이있으므로시스템을점검해보아야한다. 이후악성스크립트는 [ 표 2-1] 의주소로네트워크연결을시도한다. 하지만분석당시에는네트워크연결로인한추가악성행위는이뤄지지않았다. 최종적으로네트워크가연결된후에는케르베르 (Cerber) 랜섬웨어가사용자 PC에다운로드된다. V3 제품에서는해당랜섬웨어를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > JS/Downloader (2016.09.21.00) 11

보안이슈 02 윈도우업데이트로위장한랜섬웨어주의 Security Issue 최근윈도우 (Windows) 운영체제의업데이트로위장한랜섬웨어가발견되어사용자의각별한주의가필요하다. 그동안윈도우등주요운영체제및응용프로그램의보안업데이트를적용하는것이랜섬웨어로인한피해를예방할수있는중요한수칙중하나로널리알려져온만큼, 윈도우업데이트위장랜섬웨어로인한사용자들의잠재적피해가예상된다. 데, 이와같은가짜업데이트가진행되는동안랜섬웨어는사용자몰래시스템내파일을암호화한다. 기존랜섬웨어와동일하게시스템내거의모든포맷의파일을암호화시키며, 암호화가완료되면파일확장자끝에 fantom 이라는문자열을추가한다. 끝으로, 팬텀랜섬웨어는시스템의바탕화면을변경하고 DECRYPT_YOUR_FILES.HTML 파일을생성하여암호화된파일복구와관련된내용을사용자에게안내한다. 또한 [ 그림 2-5] 와같이 VSC(Volume Shadow Copy) 파일을삭제하는 %APPDATA%\delback.bat 를생성하여시스템복원을방해한다. 그림 2-4 윈도우업데이트로위조된화면 먼저영어권사용자를노린것으로추정되는윈도우 10 업데이트로위장한팬텀 (Fantom) 랜섬웨어사례를살펴보자. 해당악성코드는사용자 PC에 WindowsUpdate.exe 라는이름으로파일을생성한뒤실행한다. 이때 [ 그림 2-4] 와같이윈도우중요업데이트로위장한화면을사용자에게보여주는 그림 2-5 VSC 파일을삭제하는 delback.bat 12

팬텀랜섬웨어에이어최근에는러시아사용자를노리는것으로추정되는 RAA 랜섬웨어가발견됐다. RAA 랜섬웨어는앞서살펴본사례와마찬가지로윈도우업데이트를위장한내용으로사용자들을유도하고있다. RAA 랜섬웨어는 DOC 문서파일형태로유포되며, 해당악성파일을실행하면 [ 그림 2-6] 과같이러시아어로 이파일은 MS 오피스워드의최신버전에서만들어진것으로, 문서를보기위해서는공식업데이트패키지를설치하라 는내용이나타난다. 표 2-2 악성행위를수행하는코드정보 1. 내문서폴더에스크립트복제 - dfsdb.js 2. 특정문자열이포함된확장자파일암호화 3. base64로인코딩된데이터 ( 랜섬노트, 실행파일 ) 복호화및생성 4. 특정 URL 접근악성스크립트의내용을분석한결과, [ 그림 2-7] 과같이파일암호화를수행하는코드가있는것이확인됐다. 또한 [ 그림 2-8] 과같이스크립트의일부내용은난독화되어사용자가확인할수없도록했으며, href 태그 (google.com) 가설정된사항이외에접근하는 URL에대한다른내용은확인되지않았다. 그림 2-6 RAA 랜섬웨어가포함된 DOC 문서 또한해당내용의하단에는마이크로소프트 (Microsoft) 사의로고가포함된설치패키지가있어, 사용자가의심하지않고실행하도록유도한다. 설치패키지를실행하면내부에삽입된스크립트가실행되는데, 해당스크립트에는 [ 표 2-2] 와같은내용의악성행위를수행하는코드가존재한다. 그림 2-7 파일수정및암호화를수행하는스크립트일부 13

그림 2-9 RAA 랜섬웨어감염안내메시지 그림 2-8 난독화된스크립트내부및복호화후실행파일을생성하는스크립트 파일암호화진행시, 랜섬웨어는자바스크립트 (JavaScript) 의 indexoff를통해암호화대상파일의확장자를검색한다. [ 표 2-3] 과같은문자열을포함하는확장자를검색하므로 docm, docx, xlsx 등의문서파일도모두암호화대상이다. 표 2-3 암호화대상문자열.doc,.xls,.rtf,.pdf,.dbf,.jpg,.dwg,.cdr,.psd,.cd,.mdb,.png,.lcd,.zip,.rar, csv 이번에발견된두건의윈도우업데이트로위장한랜섬웨어는각각영어와러시아어로제작된것으로보아국내사용자를공격대상으로한랜섬웨어는아닌것으로추정된다. 다만이러한유형의악성코드는변형되어언제든국내로유포될가능성이있으므로이에대한사용자의각별한주의가필요하다. 특히, 사용중인프로그램및운영체제의최신버전업데이트는반드시정품소프트웨어제조사에서제공하는업데이트사이트를통해진행하는것이바람직하다. V3 제품에서는해당랜섬웨어를다음과같은진단명으로탐지하고있다. 악성스크립트를통해생성된실행파일 (ii.exe) 은특정네트워크로연결을시도하지만, 분석당시에는해당 C&C 서버와연결이되지않아추가기능은확인할수없었다. RAA 랜섬웨어의감염안내메시지는 [ 그림 2-9] 와같다. <V3 제품군의진단명 > Trojan/Win32.Tear (2016.08.26.03) DOC/Downloader (2016.09.01.00) JS/Downloader (2016.09.01.00) Trojan/Win32.Upbot (2016.08.30.03) 14

3 악성코드상세분석 ANALYSIS-IN-DEPTH 01 해킹된업데이트서버통한파밍주의보

악성코드상세분석 01 해킹된업데이트서버통한파밍주의보 Analysis-In-Depth 최근국내가상드라이브프로그램의업데이트서버가해킹되어파밍 (Pharming) 악성코드가유포된사례가발견됐다. 공격자는웹사이트나스팸메일내첨부파일을통해악성코드를유포한것이아닌, 정상업데이트서버를이용하여다수의사용자 PC를감염시켰다. 정상적인업데이트파일로위장해사용자 PC에설치된파밍악성코드는공인인증서를탈취하고, 인터넷접속시금융감독원을사칭하는팝업창을통해사용자의개인정보를입력하도록유도하고있어사용자의각별한주의가필요하다. 장한뒤, 실제로는악성코드인 CDSpace8.exe 파일을다운로드한다. 그림 3-2 악성파일인 CDSpace8.exe 의정보 그림 3-1 업데이트를통한악성코드다운로드 이번에발견된악성코드는 [ 그림 3-1] 과같이 CDSpaceUpdate.exe 라는프로그램의업데이트를위해서버로부터정상파일을다운받는것처럼위 사용자가다운로드된 CDSpace8.exe 악성파일을실행하면, [ 표 3-1] 과같이레지스트리값이추가되어해당악성코드가시스템시작시자동실행될수있도록한다. 또한웹브라우저의시작페이지를특정포털사이트로등록시킨다. 16

표 3-1 악성코드가등록시키는레지스트리값 조된위조웹사이트로접속하도록유도한다. 레지스트리키 HKLM\SOFTWARE\ Microsoft\Windows\ CurrentVersion\Run\( 시스템 MAC주소 ) 값 C:\ProgramFiles\ CDSpace\ CDSpace8\ CDSpace8.exe HKCU\Software\Microsoft\ Internet Explorer\Main\ Start Page www.naver.com 또한해당악성코드는특정 URL에접속하여 [ 그림 3-3] 과같이 IP 주소를받아오게되는데, 획득한 IP 주소를통해난독화된스크립트를실행하여사용자 PC에서파밍행위를수행한다. 그림 3-4 난독화된 PAC 스크립트 PAC 스크립트는 [ 그림 3-5] 와같이공격대상사이트를분별하여공격자가지정해놓은특정사이트접속시에만사용자를위조된웹사이트로연결시키며, 그외사이트접속시에는정상웹페이지를출력시킨다. 그림 3-3 특정 URL 접속후 IP 주소획득 이때악성코드는사용자 PC 내호스트 (hosts) 파일의직접적인변조가아닌 [ 그림 3-4] 와같은프록시자동설정 (Proxy Auto-Configuration, PAC) 스크립트를이용하여사용자가포털사이트접속시, 변 그림 3-5 공격대상사이트분별 최종적으로악성코드에감염된시스템에서사용자가해당사이트를접속하면, [ 그림 3-6] 과같이파밍 17

공격사례에서흔히볼수있는금융감독원을사칭한파밍감염화면이출력된다. 존의파밍악성코드와유사하지만, 업데이트서버를이용했다는점에서사용자들의피해가우려된다. 최근에는취약한웹사이트를공격하여시스템내응용프로그램취약점을통해유포되는드라이브바이다운로드 (Drive-by-download) 공격기법이외에도이번사례와같이정상프로그램의업데이트서버를해킹하여악성코드를유포하는방식또한증가하는추세다. 점점더교묘하게진화하고있는파밍공격을예방하기위해서는보안업데이트를설치하여드라이브바이다운로드 (Drive-bydownload) 공격을막고, 프로그램설치시함께설치되는제휴프로그램을주의해야한다. 또한백신제품의엔진을최신버전으로항상유지하는올바른습관도필요하다. 그림 3-6 파밍감염화면 V3 제품에서는해당파밍악성코드를다음과같은진단명으로탐지하고있다. 시스템에저장된금융정보탈취및위조된웹사이트접속등의기능을가진해당파밍악성코드는기 <V3 제품군의진단명 > Trojan/Win32.Banki (2016.09.11.06) 18

ASEC REPORT VOL.81 September, 2016 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2016 AhnLab, Inc. All rights reserved.