ASEC REPORT VOL.73 January, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

Security Trend ASEC REPORT VOL.73 January, 2016

ASEC REPORT VOL.73 January, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2016 년 1 월보안동향 1 보안통계 STATISTICS 2 보안이슈 SECURITY ISSUE 01 악성코드통계 02 웹통계 03 모바일통계 01 한국이어일본까지, 파밍악성코드확산 02 착신전환노리는안드로이드악성앱 Table of Contents 4 6 7 10 12 3 악성코드상세분석 ANALYSIS IN-DEPTH 랜섬웨어공격기법의다변화 : 멀버타이징과자바스크립트 16 2

1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계

보안통계 01 악성코드통계 Statistics ASEC 이집계한바에따르면, 2016 년 1 월한달간탐지된악성코드수는 1,506 만 1,417 건으로나타났다. 이는전월 1,472 만 4,459 건에비해 33 만 6,958 건증가한수치다. 한편 1 월에수집된악성코드샘플수는 516 만 7,710 건이다. 40,000,000 30,000,000 20,000,000 10,000,000 15,118,864 14,724,459 15,061,417 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 6,050,474 6,684,002 5,167,710 탐지건수샘플수집수 11 월 12 월 1 월 [ 그림 1-1] 악성코드추이 (2015 년 11 월 ~ 2016 년 1 월 ) * 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 4

[ 그림 1-2] 는 2016 년 1 월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그 램인 PUP(Potentially Unwanted Program) 가 72.91% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 11.21%, 웜 (Worm) 이 6.37% 의비율로그뒤를이었다. 0.15% 0.61% 6.37% 8.74% 72.91% 11.21% PUP Trojan etc Worm Adware Downloader [ 그림 1-2] 2016 년 1 월주요악성코드유형 [ 표 1-1] 은 1 월한달간탐지된악성코드중 PUP 를제외하고가장빈번하게탐지된 10 건을진단명기준 으로정리한것이다. Trojan/Win32.Starter 이총 26 만 6,240 건으로가장많이탐지되었고, Worm/ Win32.IRCBot 이 18 만 5,225 건으로그뒤를이었다. [ 표 1-1] 2016년 1월악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 Trojan/Win32.Starter 266,240 2 Worm/Win32.IRCBot 185,225 3 Malware/Win32.Generic 153,127 4 Trojan/Win32.Agent 142,804 5 Trojan/Win32.Neshta 108,677 6 Trojan/Win32.Banki 96,843 7 Trojan/Win32.Gen 86,134 8 Unwanted/Win32.HackTool 85,740 9 HackTool/Win32.Crack 71,105 10 Unwanted/Win32.Keygen 65,889 5

보안통계 02 웹통계 Statistics 2016 년 1 월에악성코드유포지로악용된도메인은 1,093 개, URL 은 9,911 개로집계됐다 ([ 그림 1-3]). 또 한 1 월의악성도메인및 URL 차단건수는총 608 만 4,376 건이다. 9,000,000 8,000,000 7,000,000 6,000,000 5,212,011 6,084,376 5,000,000 4,399,439 4,000,000 40,000 30,000 20,000 10,000 1,318 10,029 996 9,924 1,093 9,911 악성도메인 /URL 차단건수 악성코드유포도메인수 0 11 월 12 월 1 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 (2015 년 11 월 ~ 2016 년 1 월 ) * 악성도메인및 URL 차단건수 란 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 6

보안통계 03 모바일통계 Statistics 2016 년 1 월한달간탐지된모바일악성코드는 27 만 5,885 건으로나타났다. 700,000 600,000 500,000 513,058 400,000 300,000 275,885 200,000 178,464 100,000 0 11 월 12 월 1 월 [ 그림 1-4] 모바일악성코드추이 (2015 년 11 월 ~ 2016 년 1 월 ) 7

[ 표 1-2] 는 1 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. Android-PUP/ SmsReg 가가장많이발견되었다. [ 표 1-2] 2016 년 1 월유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/SmsReg 40,384 2 Android-PUP/SmsPay 35,866 3 Android-PUP/Noico 31,226 4 Android-Trojan/FakeInst 29,603 5 Android-Trojan/SmsSpy 9,151 6 Android-PUP/Chepa 8,621 7 Android-Trojan/Opfake 8,456 8 Android-PUP/Dowgin 7,519 9 Android-Trojan/Slocker 6,054 10 Android-Trojan/SmsSend 6,003 8

2 보안이슈 SECURITY ISSUE 01 한국이어일본까지, 파밍악성코드확산 02 착신전환노리는안드로이드악성앱

보안이슈 01 한국이어일본까지, 파밍악성코드확산 최근일본의주요포털사이트를통해일본은행을대상으로하는파밍악성코드가유포되었다. 일본에서파밍악성코드는이미보고된바있지만, 이번에발견된악성코드는기존에국내에서유포된파밍악성코드와연관성이있는것으로확인됐다. 이로써특정그룹이공격대상으로국내와일본을가리지않고악성코드를제작하고있는것으로추측된다. 관련내용을살펴보자. 金融監督庁금융감독청 Security Issue 金融犯罪を予防するためにダイレクトのセキュリティの強化を行っています 금융범죄를예방하기위해서다이렉트 ( 일본에서는인터넷뱅킹을다이렉트라고지칭 ) 보안강화를시행하고있습니다. インターネットバンキングをご利用していますか? 인터넷뱅킹을이용하고계십니까? * インターネットバンキングをご利用しているお客様には下の内容をご参照し 인터넷뱅킹을이용하시는고객님들은아래의내용을참조하셔서 振り込み詐欺 の予防をお願いします [ 입금사기 ] 예방을부탁드립니다. * 最も安全的なインターネットバンキングのご利用ができます 가장안전한인터넷뱅킹이용이가능합니다. * ご利用している銀行名をクリックしてセキュリティ強化を進んでください 이용하고계시는은행명을클릭하셔서보안강화를진행해주세요. 그림 2-2 팝업창상세내용 그림 2-1 포털사이트접속시팝업창발생화면 해당파밍악성코드에감염되면 [ 그림 2-1] 과같이일본어로된팝업창이발생하며, 상세내용은 [ 그림 2-2] 와같다. 팝업창의내용을보면, 은행사칭사이트로연결을유도하는국내에서의파밍기법과유사한것을확인할수있다. 상단의로고또한금융감독원의로고를그대로사용하고있다. 팝업창에연결되어있는은행사칭사이트로접속하면, [ 그림 2-3] 과같이각사이트별로비밀번호, 사용자계정정보, 인증값등의금융정보입력을요구하는화면이나타난다. 10

그림 2-3 은행사이트별금융정보입력화면 이때사용자가금융정보를입력하면 [ 그림 2-4] 와같이패킷을통해입력한정보를전송하는것을확인할수있다. 이번사례에서발견된일본의파밍악성코드는국내에서발견된파밍악성코드와매우유사하다. 유명포털사이트를통해은행사칭사이트로연결을유도하는국내의파밍기법처럼일본에서도가장많이접속하는포털사이트를통해서은행사칭사이트로접속하도록하는기법이이용됐다. 현재해당악성코드를유포한유포지에서는국내은행을대상으로한파밍악성코드를또다시유포하고있다. 또한해당도메인은과거에 PUP를통한악성코드유포에이용된적이있는것으로확인됐으므로이에따른국내사용자들의각별한주의가필요하다. V3 제품에서는해당악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Trojan/Win32.Agent (2015.12.25.08) 그림 2-4 입력한정보를전송하는패킷 11

보안이슈 02 착신전환노리는안드로이드악성앱 Security Issue 안드로이드폰을겨냥한해커들의공격이계속되면서그수법이점점고도화되고있다. 이번에발견된안드로이드악성코드는사용자들이모르는사이에스마트폰에걸려온전화가다른번호로착신전환되도록조작하고있어이에따른사용자들의주의가필요하다. 다음사례는안드로이드악성앱이플래시플레이어프로그램 ( ) 으로위장하고있는경우다. 설치과정부터면밀히살펴보자. 해당앱은 [ 그림 2-5] 에서보이는것과같이설치시에메시지접근및전송, 전화번호자동연결등을수행할권한을부여받는다. 제된다. 이때겉으로는아이콘이삭제되어앱이삭제된것처럼보이지만, 실제로는스마트폰내부적으로동작하고있다. 이후악성앱은휴대폰관리자권한을획득하기위하여 [ 그림 2-6] 과같이사용자에게활성화를요구한다. 최근발견되는대다수의악성안드로이드앱은이처럼휴대폰관리자권한을요구한다. 하지만사용자가이를한번활성화한이후다시원래상태로돌아가는것은어렵다. 그이유는악성앱이스스로를보호하기위해활성화를해제하지못하도록방해하기때문이다. 사용자가활성화해제를시도하면, 스마트폰이다른화면으로넘어가지않고활성화화면만팝업되도록설계되어있다. 그림 2-5 악성앱설치과정 (1) 악성앱설치가완료되면플래시플레이어와동일한아이콘이생성되며, 해당앱을실행하면아이콘은삭 그림 2-6 악성앱설치과정 (2) 12

휴대폰관리자활성화까지마친악성앱이동작하면, 스마트폰의여러가지정보를우선수집하여특정서버로전송한다. - 스마트폰전화번호 - 국가정보 - IMEI( 국제단말기식별번호 ) - 스마트폰모델명 - 설치되어있는앱의패키지명 - 스마트폰운영체제버전정보 - 스마트폰에저장된메시지내용 ( 받은날짜, 받은내용, 보낸사람전화번호 ) 악성앱의 APK 파일을디컴파일하여내부코드를살펴보면 [ 그림 2-7] 과같이스마트폰정보를탈취하고이를전송하도록설계되어있는것을확인할수있다. Sender 및 MessagesContentSender 등의클래스를이용하여스마트폰정보를수집한다음 hxxp://5ynxwc4k4gw44an.biz:8448 서버로전송한다. - *21* 전환대상번호 # // 착신전환설정 - #21# // 착신전환해제 그림 2-8 착신전환코드일부 이러한서비스코드는아시아태평양지역에서사용되고있는것으로알려져있다. 하지만국내에서는착신전환서비스가유료서비스로차단돼있으므로, 악성앱에서사용하는서비스코드가동작할수없다. 또한국내에서는 *21 이아닌 *71 서비스코드를주로이용하고있다. 실제로악성앱에서하드코딩된서비스코드 *21 을 사용하면국내스마트폰에서는 [ 그림 2-9] 와같은오 류가발생한다. 그림 2-7 스마트폰정보를탈취하고전송하는코드일부 탈취한정보를서버로전송하는것이외에도해당악성앱에는명령을받아착신전환서비스를실행하는코드가존재한다. 서비스코드의명령은다음과같다. 그림 2-9 국내스마트폰의서비스코드오류화면 13

한편, 해외스마트폰에서서비스코드를입력하면 [ 그림 2-10] 과같이착신전환성공메시지를확인할수있다. 다는점이다. 착신전환된전화로인증서를발급하거나, OTP 인증등금융거래에필요한인증절차를우회하여추가피해를발생시킬것으로추정되므로사용자의각별한주의가필요하다. 그림 2-10 해외스마트폰에서서비스코드입력성공화면 이와같은피해를예방하기위해서앱은공식마켓에서다운로드받아설치하는것이상대적으로안전하지만, 공식마켓에도악성앱이등록되어있을수있어평판정보를확인하고설치하는습관을가져야한다. 무심코문자에포함된 URL을클릭하다보면악성앱이설치될수도있기때문에안전성이확인되지않은 URL 및앱은설치는하지않도록주의해야한다. 또한세계 1위의모바일전용보안앱 (V3 모바일등 ) 이나스미싱탐지앱 ( 안랩안전한문자등 ) 을설치하고, 자동업데이트설정으로항상최신엔진을유지하여보다안전한스마트폰환경을만들어야한다. 위사례에서볼수있듯사용자가다운로드한악성안드로이드앱은사용자모르게스마트폰을다른번호로착신전환시킬수있다. 문제는이와같은악성행위가착신전환에서끝나는것이아니라, 더나아가착신전환기능을악용한각종금융범죄로발전될수있 V3 제품에서는해당악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Android-Trojan/Slocker 14

3 악성코드상세분석 ANALYSIS-IN-DEPTH 랜섬웨어공격기법의다변화 : 멀버타이징과자바스크립트

악성코드상세분석 랜섬웨어공격기법의다변화 : 멀버타이징과자바스크립트 Analysis-In-Depth 사례 1) 멀버타이징을이용한랜섬웨어 2016년에도랜섬웨어유포는계속되고있다. 랜섬웨어는사용자컴퓨터의문서, 그림파일등을암호화하여돈을요구하는악성코드다. 최근에는애드웨어를이용한멀버타이징 (Malvertising) 기법, 스팸메일을이용한기법등랜섬웨어의유포방식이점차다양해지고있다. 불필요한프로그램 ( 이하 PUP) 은유틸리티소프트웨어나불법인증프로그램을설치할경우함께설치되는데, [ 그림 3-1] 에서는날씨정보제공프로그램으로위장한것을확인할수있다. 먼저멀버타이징을이용한공격기법을살펴보자. 멀버타이징 (Malvertising) 이란악성코드 (Malware) 와광고 (Advertising) 의합성어다. 즉, 멀버타이징공격기법은인터넷사이트에삽입되는광고를이용하여악성코드를유포하는방법을뜻한다. 이러한랜섬웨어유포방법은짧은시간동안다수의사용자에게악성코드를유포할수있으며, 광고서비스에삽입되어있어백신으로부터의탐지회피에도용이하다는점이특징이다. 이번에소개할멀버타이징사례에서는불필요한프로그램 (Potentially Unwanted Program, PUP) 에의해접속한광고서비스사이트에악성코드가삽입되어있는형태다. 그림 3-1 날씨정보프로그램으로위장한불필요한프로그램 (PUP) 날씨정보프로그램으로위장한 PUP 는다음 [ 표 3-1] 과같이레지스트리정보를등록한다. 표 3-1 레지스트리정보 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\WindoWeather -> "C:\Program Files\WindoWeather\WindoWeather.exe" ( 시작프로그램등록 ) 이후 [ 그림 3-2] 에서확인된바와같이 C&C 서버에 시스템의정보 ( 운영체제정보, 네트워크정보, 시스템 16

에설치된백신제품정보 ) 를전송한다. 이후사용자의인터넷브라우저사용여부를확인하고, [ 표 3-2] 의명령어를실행하여해당브라우저를이용한광고팝업창을생성한다. 표 3-2 광고팝업창생성명령어 그림 3-2 C&C 서버에전송되는정보 C&C 서버와통신이완료되면, [ 그림 3-3] 에서처럼 PUP가명령프롬프트를통해백그라운드상태로실행된다. 따라서사용자는 PUP가실행중인상태를인지하기어렵다. cmd /c start iexplore.exe 광고사이트 Redirect URL cmd /c start iexplore.exe noframemerging 광고사이트 Redirect URL 명령어가실행되면 [ 그림 3-5] 와같이다수의팝업창 이동시에생성되며, 이렇게연결된사이트에서는또다른프로그램의설치를유도한다. 그림 3-3 명령프롬프트명령을통해서실행된 PUP 백그라운드상태로실행된 PUP 는다시 C&C 서버 와통신하여광고서비스를위한데이터정보를수신한다. 그림 3-5 생성된광고팝업창 그림 3-6 브라우저프레임이제거된광고팝업창 그림 3-4 광고팝업창을생성하기위한스크립트정보 연결된광고사이트에는다음 [ 표 3-3] 과같이악성 코드를유포하는사이트가존재하는것을확인할수있다. 17

표 3-3 네트워크연결정보 www.adnet****per********.com/****cpm.php -sa*****buy.com/l****r.html -dsf.*********.net/?w3akdrizjrngc4a=l3skfprfjxzfgms Ub-nJDa9BMEXCRQLPh4SGhKrXCJ (Exploit Kit) 또한 [ 그림 3-7] 과같이접속한사이트내부에는악성스크립트가삽입되어있어, 만약사용자의시스템에취약점이존재할경우악성코드에감염되게된다. 그림 3-7 사이트내부에삽입된악성스크립트 과같은경고창을확인할수있다. 이번사례에서확인한 PUP와광고서비스사이트를이용한멀버타이징기법은사용자의인터넷환경에깊숙히침투해있음을알수있다. 또한해당기법은악성코드가광고서비스에삽입되어있기때문에백신으로부터의탐지를회피할수있어사용자의각별한주의가필요하다. 따라서평소랜섬웨어감염을예방하기위해서는보안업데이트 ( 운영체제, 웹브라우저, 자바, 플래시플레이어 ) 를최신버전으로설치하여드라이브-바이- 다운로드 (Drive-by-download) 공격을방어하고, 불필요한프로그램은설치하지않는것을권장한다. 또한백신제품의엔진을항상최신으로유지하는사용자의올바른습관이필요하다. V3 제품에서는해당악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Trojan/Win32.Teslacrypt Trojan/Win32.CryptoWall Trojan/Win32.CryptoLocker PUP/Win32.Amonetiz 사례 2) 자바스크립트를이용한랜섬웨어 그림 3-8 랜섬웨어 (TeslaCrypt 3.0) 경고창 랜섬웨어에감염된사용자의 PC 에서는 [ 그림 3-8] 랜섬웨어는사용자시스템의파일을암호화해서정상적으로사용하지못하도록하고이를빌미로추적이어려운전자화폐를통한금액지불을요구하는악성코드다. 개인및기업을막론하고중요한문서나파 18

일이암호화되었을경우치명적인피해를입을수있기때문에각별한주의가필요하다. 초창기랜섬웨어는스팸메일에실행파일을첨부한형식으로많이유포되었으나, 최근에는취약한웹사이트를이용하거나첨부파일의형식을바꾸는등다양한방법을통해유포가이루어지고있다. 이번에는자바스크립트를이용한사례를살펴보자. [ 그림 3-10] 과같이스팸메일에첨부된자바스크립트는난독화되어있다. 파일에따라유형은조금씩다르지만해당스크립트를실행하면추가유포지에서랜섬웨어를다운로드하고사용자 PC를감염시켜 [ 그림 3-11] 과같은화면을출력한다. 1. 스팸메일의첨부파일에포함된자바스크립트 그림 3-11 Teslacrypt 감염화면 그림 3-9 스팸메일에첨부된자바스크립트 스팸메일을통한악성코드유포가빈번하게이뤄짐에따라메일에실행파일이첨부되어있을경우, 보안장비나애플리케이션에서이를사전에경고하고차단하는시스템들이많이도입되었다. 이에따라랜섬웨어는실행파일을스팸메일에첨부하는방식을벗어나자바스크립트파일을통해악성코드를다운로드하도록유포방식을변화했다. 2. 자바스크립트코드로작성된 Ransom32 EMSISOFT에의해자바스크립트로작성된랜섬웨어, Ransom32가공개되었다. 해당악성코드는윈도우실행파일 (exe) 로보이나사실은 [ 그림 3-12] 와같이 SFX(Self-extracting archive) 기능을이용한압축파일이며, 실행시 TEMP 경로에자동으로압축이풀리고내부 chrome.exe가실행된다. 그림 3-10 난독화스크립트 그림 3-12 SFX 로압축된랜섬웨어 19

chrome.exe는 NW.js를이용하였으며, 내부에는악성행위에필요한파일들이패키징되어있다. NW.js는 HTML과 JavaScript를이용한애플리케이션개발프레임워크로, [ 그림 3-13] 과같이 index.html 파일을통해자바스크립트로작성된바이너리를실행한다. Ransom32 에감염된사용자 PC 에서는 [ 그림 3-14] 와같은화면을확인할수있다. 그림 3-14 Ransom32 감염화면 그림 3-13 자바스크립트바이너리실행 Ransom32가암호화하는데이터의확장자는 [ 표 3-4] 와같다. 표 3-4 감염확장자 jpg jpeg raw tif gif png bmp 3dm max accdb db dbf mdb pdb sql *sav* *spv* *grle* *mlx* *sv5* *game* *slot* d wg dxf c cpp cs h php asp rb java jar class aaf aep aepx plb prel prproj aet ppj psd indd indl indt indb inx idml p md xqx xqx ai eps ps svg swf fla as3 as txt doc dot docx docm dotx dotm docb rtf wpd wps msg pdf xls xlt xlm xl sx xlsm xltx xltm xlsb xla xlam xll xlw ppt pot pps pptx p ptm potx potm ppam ppsx ppsm sldx sldm wav mp3 aif i ff m3u m4u mid mpa wma ra avi mov mp4 3gp mpeg 3g 2 asf asx flv mpg wmv vob m3u8 csv efx sdf vcf xml ses dat 이처럼불특정다수를대상으로한랜섬웨어의공격은 2016년에도지속될것으로보이며, 더욱고도화될것으로예측된다. 더나아가랜섬웨어의공격범위는 PC를넘어스마트폰, 웨어러블기기등으로점차확대되어사용자들을위협할전망이다. 또한암호화알고리즘을사용하여데이터를암호화하기때문에복구키를알지못하면사실상데이터복구가불가능하다. 따라서랜섬웨어에대한위협을완전히벗어나기위해서는최신백신을유지하는것이외에도보안의식강화를통한중요데이터의백업이중요하다. V3 제품에서는해당악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > JS/Downloader (2015.12.31.08) JS/Downloader (2015.12.31.08) JS/Downloader (2015.11.06.06) Trojan/Win32.Teslacrypt (2015.12.18.03) Trojan/Win32.Ransom32 (2016.01.06.01) Dropper/Win32.Ransom32 (2016.01.06.00) 20

ASEC REPORT VOL.73 January, 2016 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2016 AhnLab, Inc. All rights reserved.