ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

Security Trend ASEC REPORT VOL.79 July, 2016

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2016 년 7 월보안동향 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 Table of Contents 4 6 7 2 보안이슈 SECURITY ISSUE 01 포켓몬고 (Pokemon Go) 열풍속악성코드확산주의보 02 PC 방관리프로그램노린악성코드유포주의 10 12 3 악성코드상세분석 ANALYSIS IN-DEPTH 01 바로가기파일 (.LNK) 형태로위장한랜섬웨어등장 15 2

1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계

보안통계 01 악성코드통계 Statistics ASEC이집계한바에따르면, 2016년 7월한달간탐지된악성코드수는 974만 8,954건으로나타났다. 이는전월 1,046만 7,643건에비해 71만 8,689건감소한수치다. 한편 7월에수집된악성코드샘플수는 612만 1,096건이다. 40,000,000 30,000,000 20,000,000 10,000,000 12,129,597 10,467,643 9,748,954 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 2,957,212 3,022,206 6,121,096 탐지건수샘플수집수 5 월 6 월 7 월 [ 그림 1-1] 악성코드추이 (2016 년 5 월 ~ 2016 년 7 월 ) * 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 4

[ 그림 1-2] 는 2016 년 7 월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그 램인 PUP(Potentially Unwanted Program) 가 28.76% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 25.69%, 애드웨어 (Adware) 가 11.8% 의비율로그뒤를이었다. 2.19% 11.8% 1.67% 29.89% 25.69% 28.76% etc PUP Trojan Adware Worm Downloader [ 그림 1-2] 2016 년 7 월주요악성코드유형 [ 표 1-1] 은 7 월한달간탐지된악성코드중 PUP 를제외하고가장빈번하게탐지된 10 건을진단명기준 으로정리한것이다. Malware/Win32.Generic 이총 36 만 4,815 로가장많이탐지되었고, Trojan/ Win32.Starter 가 17 만 9,373 건으로그뒤를이었다. [ 표 1-1] 2016년 7월악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 Malware/Win32.Generic 364,815 2 Trojan/Win32.Starter 179,373 3 Unwanted/Win32.HackTool 110,173 4 Trojan/Win32.Agent 78,755 5 Trojan/Win32.Neshta 70,323 6 HackTool/Win32.Crack 68,710 7 Trojan/Win32.CryptXXX 65,758 8 Trojan/Win32.Cerber 57,281 9 ASD.Prevention 54,878 10 Unwanted/Win32.Keygen 53,390 5

보안통계 02 웹통계 Statistics 2016 년 7 월에악성코드유포지로악용된도메인은 605 개, URL 은 1,860 개로집계됐다 ([ 그림 1-3]). 또한 7 월의악성도메인및 URL 차단건수는총 542 만 4,036 건이다. 9,000,000 8,000,000 7,000,000 6,000,000 6,109,635 5,424,036 5,000,000 4,000,000 5,031,326 40,000 30,000 20,000 10,000 961 2,691 340 1,682 605 1,860 악성도메인 /URL 차단건수 악성코드유포도메인수 0 5 월 6 월 7 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 (2016 년 5 월 ~2016 년 7 월 ) * 악성도메인및 URL 차단건수 란 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 6

보안통계 03 모바일통계 Statistics 2016 년 7 월한달간탐지된모바일악성코드는 40 만 1 건으로나타났다 ([ 그림 1-4]). 700,000 600,000 500,000 400,000 321,654 400,001 300,000 200,000 208,702 100,000 0 5 월 6 월 7 월 [ 그림 1-4] 모바일악성코드추이 (2016 년 5 월 ~ 2016 년 7 월 ) 7

[ 표 1-2] 는 7 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. Android-PUP/ SmsPay 가가장많이발견되었다. [ 표 1-2] 2016 년 7 월유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/SmsPay 81,588 2 Android-PUP/Shedun 58,123 3 Android-PUP/SmsReg 33,097 4 Android-PUP/Zdpay 26,288 5 Android-PUP/Noico 20,338 6 Android-PUP/Dowgin 17,879 7 Android-Trojan/Hidap 12,051 8 Android-Trojan/Agent 11,063 9 Android-Trojan/Moavt 10,598 10 Android-Trojan/AutoSMS 8,752 8

2 보안이슈 SECURITY ISSUE 01 포켓몬고 (Pokemon Go) 열풍속악성코드확산주의보 02 PC 방관리프로그램노린악성코드유포주의

보안이슈 01 포켓몬고 (Pokemon Go) 열풍속악성코드확산주의보 Security Issue 2016년 7월초미국과오스트리아를시작으로현재까지총 35개국에정식출시된 포켓몬고 (Pokemon Go) 는증강현실 (Augmented Reality, AR) 을이용한스마트폰게임으로, 전세계적인열풍을일으키고있다. 아직국내에서는공식서비스가제공되지않음에도불구하고이미사용자수가 100만명을넘어섰으며, 이들중상당수는해외스토어를이용하거나웹사이트등을통해 APK 파일을직접다운받아설치한것으로추정된다. 그림 2-2 정상 APK 파일에추가된클래스 이처럼공식스토어가아닌다른경로로게임을설치하는사용자들이증가하고있는가운데, 최근포켓몬고 (Pokemon Go) 의설치파일내부에악성코드가삽입된악성 APK 파일이발견되어사용자들의각별한주의가필요하다. 최근발견된악성 APK 파일은포켓몬고게임을정상적으로설치하지만, [ 그림 2-2] 와같이스마트폰의정보를유출하는악성기능이포함된클래스가존재한다. 내부패키지명을확인한결과, 드로이드잭 (DroidJack) 이라고불리는안드로이드 RAT(Remote Access Trojans) 임을알수있었다. 드로이드잭은감염된안드로이드스마트폰을공격자가원격으로제어할수있는해킹툴이다. 그림 2-1 포켓몬고 (Pokemon Go) 공식홈페이지 ( 출처 : http://www.pokemongo.com) 10

그림 2-3 악성 APK 설치시특정권한요구 그림 2-4 데이터암호화부분 안드로이드운영체제는사용자가앱을설치할때해당앱이사용하는특정권한에대한동의여부를확인한다. 포켓몬고의악성 APK 파일은 [ 그림 2-3] 과같이 SMS, 전화, 녹음등게임과관련없는권한을요구하여스마트폰내사용자정보에접근한다. 탈취된스마트폰내주요정보들은 [ 그림 2-4] 와같이데이터암호화를거쳐 C&C 서버로전송된다. 최종적으로공격자는감염된시스템을제어하는드로이드잭콘솔을통해해당정보들을손쉽게획득할수있다. 표 2-1 포켓몬고악성코드가탈취하는사용자정보 - SMS - 주소록 - 통화내역 - GPS 정보 - 단말기내파일 - 애플리케이션실행및제어 - 마이크를이용한도청및녹음 공격자는 [ 표 2-1] 과같이포켓몬고악성코드에감염된스마트폰에서사용자정보를탈취하고, 스마트폰의시스템을원격으로제어한다. 그림 2-5 악성포켓몬고가연결하는 C&C 서버주소 아직국내에는정식출시되지않은포켓몬고게임을설치하고싶어하는사용자들이늘어남에따라이러한심리를이용한사이버범죄및악성 APK 파일관련피해사례가증가하고있다. 스마트폰이용자는앱을다운받아설치할때반드시공식스토어를이용해야하며, 출처가불분명하고안전성이검증되지않은 APK 파일의무분별한설치는삼가해야한다. V3 제품에서는해당악성코드를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > Android-Trojan/Sandrorat (2015.01.17.01) 11

보안이슈 02 PC방관리프로그램노린악성코드유포주의 Security Issue PC방을노리는악성코드가꾸준히발견되고있다. 공격자들이 PC방을노리는이유는온라인게임, 티켓예매, 수강신청등을위해많은사용자들이밀집되어있어악성코드유포가용이하기때문이다. 이처럼많은사용자가이용하는만큼 PC방의보안관리는더욱철저히이루어져야하는데, 최근 PC방관리프로그램을악용한악성코드가발견되어각별한주의가필요하다. 표 2-2 악성파일설치경로 %SystemRoot%\syswow64\ime\ping\compts.exe 설치경로에있는 compts.exe가실행되면 [ 표 2-3] 과같은악성파일들이생성된다. 이때생성된 atiamelljhkh.dll은악성 DLL 파일로, rundll. exe에로드되어악성행위를수행한다. 표 2-3 파일생성정보 C:\Windows\atiamellJhKh.dll C:\Windows\Win.log ( 생성파일경로정보 ) C:\Winlog.ini ( 레지스트리설정정보 ) 그림 2-6 PC 방관리프로그램 [ 그림 2-6] 의프로그램은 PC방에서사용하는관리프로그램으로, PC의바탕화면을관리하는응용프로그램이다. 악성코드제작자는해당프로그램이접근하는업데이트서버를변조하여 PC방의 PC가악성파일을다운로드하도록유도했다. 변조된서버를통해다운로드된악성파일은 [ 표 2-2] 와같은경로에설치된다. 또한 [ 표 2-4] 경로에생성된 Sgfwlxjjf.gif 파일은 atiamelljhkh.dll과동일한파일로, 악성 DLL 파일이자기자신을복사한파일을이용하여 [ 그림 2-7] 과같이 *.gif 확장자형태의이미지파일로위장한것이다. 표 2-4 파일생성정보 C:\Program Files\Llrr\Sgfwlxjjf.gif 12

드되어지속적으로네트워크접속을시도하는것으로확인됐다. 발견된 C&C 서버는국내 CDN 서버이며, 분석당시에는통신이이루어지지않았다. 그림 2-7.gif 파일로위장한악성 DLL 파일 이후악성파일은 [ 표 2-5] 와같이서비스항목의레지스트리를변경하여, 해당악성파일이자동실행되도록한다. 표 2-5 변경된레지스트리 HKLM\SYSTEM\ControlSet001\Services\Team viewer\imagepath "%SystemRoot%\System32\svchost.exe -k imgsvc" HKLM\SYSTEM\ControlSet001\Services\Team viewer\displayname "Vdittd Smwactxm Wjwwamwk Bwjw" 분석결과, Sgfwlxjjf.gif 파일은악성행위를위해정상 %system32%\svchost.exe 프로세스에로 많은사용자들이 PC방을이용하는만큼더욱철저한보안관리가필요하다. 하지만대부분의 PC방은여전히보안에취약한운영체제와구버전웹브라우저를사용하고있어공격자들의표적이되고있다. 따라서정기적인보안점검을시행하는등 PC방에설치된악성코드로인한사용자의피해가발생하지않도록각별한노력이필요하다. V3 제품에서는해당악성코드를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > Trojan/Win32.Redosdru (2016.07.22.00) Trojan/Win32.PcClient (2016.07.22.00) 13

3 악성코드상세분석 ANALYSIS-IN-DEPTH 01 바로가기파일 (.LNK) 형태로위장한랜섬웨어등장

악성코드상세분석 Analysis-In-Depth 01 바로가기파일 (.LNK) 형태로위장한랜섬웨어등장 랜섬웨어위협이연일계속되고있는가운데, 최근바로가기파일 (.LNK) 의확장자로위장하여유포되는신종랜섬웨어가발견됐다. 윈도우의바로가기파일은특정파일의대상위치를가지고있는파일로, 실행을위해매개변수의사용이가능한형태로되어있다. 매개변수에특정문자열을추가해의도한동작을수행하도록할수있는데, 최근이를악용한악성코드가늘어나고있다. 이번에발견된랜섬웨어또한이와같은바로가기파일 (.LNK) 의특성을악용하고있다. 최근발견된랜섬웨어는 [ 그림 3-1] 과같이바로가기파일형태로유포되었으며, 명령프롬프트 (cmd. exe) 에자바스크립트 (JavaScript) 소스를입력하여악성스크립트를실행한다. 해당악성스크립트가실행되면특정 URL로연결하여문자열정보를수신한다. 그림 3-2 수신된문자열정보 수신된문자열정보는 [ 그림 3-2] 와같으며, 자바스크립트형태로작성된랜섬웨어악성코드임을알수있다. 해당악성스크립트파일은윈도우응용프로그램인 wscript.exe를통해실행된다. 그림 3-1 바로가기파일의매개변수에포함된문자열 15

최종적으로악성스크립트가실행되면, 랜섬웨어는사용자파일을암호화한뒤 [ 그림 3-3] 과같은감염안내메시지를통해돈을지불해야암호화된파일을복구시켜준다는내용을사용자에게보여준다. 여파일을암호화한다. 암호화대상파일의확장자는 [ 표 3-1] 과같다. 표 3-1 암호화대상파일확장자.doc,.xls,.rtf,.pdf,.dbf,.jpg,.dwg,.cdr,.psd,.cd,.mdb,.png,.lcd,.zip,.rar,.csv 그림 3-3 랜섬웨어감염안내메시지 지금까지발견된랜섬웨어는 *.js, *.vbs, *.wsf 형태의악성스크립트파일이나악성매크로가삽입된문서파일을사용했지만, 이번에발견된랜섬웨어는바로가기파일 (.LNK) 의취약점을이용하여악성스크립트를다운로드한뒤실행하는것이특징이다. 이는곧서버에업로드된해당악성코드를랜섬웨어가아닌다른종류의악성코드로변경할경우시스템유출등의추가적인피해가발생할수있다는것을의미하므로주의해야한다. 공격자들은점점다양한방법을통해고도화된랜섬웨어를지속적하고유포하고있다. 랜섬웨어에의한피해를방지하기위해서는보안업데이트를설치하여드라이브- 바이- 다운로드 (Drive-by-download) 공격을방지하는한편, 백신프로그램의엔진을최신으로유지하는것이필요하다. 또한평소중요한파일은별도로백업해두는것이바람직하다. 그림 3-4 난독화된악성스크립트 또한다운로드된악성스크립트는 [ 그림 3-4] 와같이분석을어렵게하도록난독화되어있으며, 암호화라이브러리인 CryptoJS의 AES 알고리즘을이용하 V3 제품에서는해당악성코드를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > VBS/Raalocker (2016.07.07.04) LNK/Downloader (2016.07.07.09) 16

ASEC REPORT VOL.79 July, 2016 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2016 AhnLab, Inc. All rights reserved.