ASEC REPORT VOL.28 2012.05 안랩월간보안보고서 악성코드분석특집 불필요한옵션사용으로발생할수있는 스마트폰보안위협과대응 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved.
AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. CONTENTS 1. 2012 년 4 월의보안동향 01. 악성코드동향 a. 악성코드통계 05-4 월악성코드최다 20 건 - 악성코드대표진단명감염보고최다 20-4 월신종악성코드 - 4 월악성코드유형별감염보고 - 악성코드유형별감염보고전월비교 - 신종악성코드유형별분포 02. 보안동향 a. 보안통계 31-4 월마이크로소프트보안업데이트현황 b. 보안이슈 32 - 윈도우공용컨트롤취약점 (CVE-2012-0158) 을악용하는문서 b. 악성코드이슈 11 03. 웹보안동향 - 악성 DOC 문서를첨부한스피어피싱메일 - 북한광명성 3 호발사및핵실험을주제로한악성코드 - 4 11 총선이슈에발견된악성코드 - 런던올림픽개최를이용한악성코드 - 핵안보정상회담 PDF 문서로위장한악성코드 - 사회공학기법을이용하여유포되는악성 HWP 파일 - 국내주요금융기관피싱사이트다수발견 - 페이스북을통해유포되는보안제품무력화악성코드 - 보안제품의업데이트를방해하는 Host 파일변경악성코드주의 - 보안제품동작을방해하는온라인게임핵변종 - Mac OS 를대상으로하는보안위협의증가 - 윈도우 Mac OS 를동시에감염시키는악성코드 - 자바, MS 오피스취약점을이용하여유포되는 Mac OS X 악성코드 - 티베트 NGO 를타깃으로하는 Mac 악성코드 - 낚시포털사이트를통해유포되는온라인게임계정탈취악성코드 - 스턱스넷변형으로알려진듀큐악성코드의변형 - 스파이아이공격대상기업들의업종과국가분석 a. 웹보안통계 34 - 웹사이트악성코드동향 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위 b. 웹보안이슈 37-2012 년 4 월침해사이트현황 - 침해사이트를통해서유포된악성코드최다 10 건 c. 모바일악성코드이슈 25 - Another fake Angry birds d. 악성코드분석특집 26 - 불필요한옵션사용으로발생할수있는스마트폰보안위협과대응
Web 5 6 1. 2012 년 4 월의보안동향 01. 악성코드동향 a. 악성코드통계 4 월악성코드최다 20 건 ASEC 이집계한바에따르면, 2012 년 4 월에감염이보고된악성코드는전체 1140 만 9362 건인것으로 나타났다. 이는지난달의 1382 만 206 건에비해 241 만 844 건이감소한수치다 ([ 그림 1-1]). 이중에서 가장많이보고된악성코드는 Trojan/Win32.adh 이었다. Mov/Cve-2012-0754 와 Trojan/Win32.Gen 이 그다음으로많이보고됐으며, 최다 20 건에새로포함된악성코드는총 8 건이었다 ([ 표 1-1]). 20,000,000 18,000,000 16,000,000 14,000,000 12,000,000 0 13,663,774-2.1% +156,432 [ 그림 1-1] 월별악성코드감염보고건수변화추이 13,820,206 +1.1% -2,410,844 11,409,362-17.4% 2012.02 2012.03 2012.04 순위 등락 악성코드명 건수 비율 1 Trojan/Win32.adh 870,167 20.1% 2 NEW Mov/Cve-2012-0754 415,052 9.6% 3 Trojan/Win32.Gen 401,819 9.3% 4 1 Malware/Win32.generic 399,827 9.2% 5 1 Textimage/Autorun 347,538 8.0% 6 NEW Trojan/Win32.bho 267,854 6.2% 7 2 Trojan/Win32.agent 203,137 4.7% 8 2 Adware/Win32.korad 156,582 3.6% 9 7 JS/Agent 143,487 3.3% 10 NEW Downloader/Win32.opentab 129,989 3.0% 11 NEW Als/Bursted 118,022 2.7% 12 5 Downloader/Win32.agent 116,779 2.7% 13 6 Trojan/Win32.hdc 111,681 2.6% 14 1 Java/Agent 108,113 2.5% 15 2 Trojan/Win32.genome 98,377 2.3% 16 6 Trojan/Win32.fakeav 96,753 2.2% 17 NEW Backdoor/Win32.trojan 91,578 2.1% 18 NEW Win-Trojan/Rootkit.28928.D 87,708 2.0% 19 NEW Adware/Win32.bho 84,628 2.0% 20 NEW ASD.PREVENTION 82,889 1.9% 4,331,980 100.0% [ 표 1-1] 2012년 4월악성코드최다 20건 ( 감염보고, 악성코드명기준 )
Web 7 8 악성코드대표진단명감염보고최다 20 4 월신종악성코드 [ 표 1-2] 는악성코드의주요동향을파악하기위하여악성코드별변종을종합한악성코드대표진단명최 다 20 건이다. 2012 년 4 월에는 Trojan/Win32 가총 261 만 1473 건으로최다 20 건중 33.6% 의비율로가 장빈번히보고된것으로조사됐다. Adware/Win32 가 53 만 1968 건, Malware/Win32 가 50 만 1202 건으 [ 표 1-3] 은 4 월에신규로접수된악성코드중고객으로부터감염이보고된최다 20 건이다. 4 월의신 종악성코드는 Win-Trojan/Korad.229376 이 4 만 3537 건으로전체의 11.3% 였으며, Win-Trojan/ Downloader.1273856.C 가 4 만 2271 건으로그다음으로많이보고됐다. 로그뒤를이었다. 순위 등락 악성코드명 건수 비율 1 Trojan/Win32 2,611,473 33.6% 2 Adware/Win32 531,968 6.8% 3 4 Malware/Win32 501,202 6.4% 4 2 Win-Trojan/Agent 452,292 5.8% 5 4 Downloader/Win32 419,032 5.4% 6 NEW Mov/Cve-2012-0754 415,052 5.3% 7 4 Win-Trojan/Downloader 388,041 5.0% 8 2 Win-Trojan/Onlinegamehack 357,080 4.6% 9 1 Textimage/Autorun 347,611 4.5% 10 1 Backdoor/Win32 225,293 2.9% 11 6 Win-Adware/Korad 218,398 2.8% 12 2 Win-Trojan/Rootkit 209,591 2.7% 13 1 Win32/Conficker 166,002 2.1% 14 1 Win32/Virut 164,033 2.1% 15 11 JS/Agent 143,973 1.9% 16 1 Win32/Autorun.worm 134,621 1.8% 17 3 Win-Trojan/Korad 131,524 1.7% 18 2 Win32/Kido 129,835 1.7% 19 NEW Als/Bursted 118,022 1.5% 20 1 Java/Agent 108,113 1.4% 7,773,156 100.0% [ 표 1-2] 악성코드대표진단명최다 20건 순위 악성코드명 건수 비율 1 Win-Trojan/Korad.229376 43,537 11.3% 2 Win-Trojan/Downloader.1273856.C 42,271 10.9% 3 Win-Trojan/Fakealert.183320 39,752 10.3% 4 Win-Trojan/Korad.331776 33,787 8.7% 5 Win-Trojan/Downloader.1448448 28,271 7.3% 6 Win-Trojan/Tearspear.820224 24,221 6.3% 7 Win-Trojan/Agent.1720320.G 22,785 5.9% 8 Win-Adware/KorAd.331776.D 15,958 4.1% 9 Win-Trojan/Avkill.37760 14,577 3.8% 10 Win-Trojan/Onlinegamehack.115712.AB 14,441 3.7% 11 Win-Trojan/Agent.1990420 13,854 3.6% 12 Win-Adware/KorAd.331776.C 13,457 3.5% 13 Win-Trojan/Zapchast.217272 11,102 2.9% 14 Win-Trojan/Rootkit.1385472 10,969 2.8% 15 Win-Trojan/Onlinegamehack.30639 10,667 2.8% 16 Win-Trojan/Onlinegamehack.90112.GE 10,334 2.7% 17 Win-Trojan/Dllbot.133120.B 10,065 2.6% 18 Win-Trojan/Avkiller.38144 9,251 2.4% 19 Win-Trojan/Onlinegamehack.81920.EO 8,712 2.3% 20 Win-Trojan/Agent.1381376 8,558 2.1% 386,569 100.0% [ 표 1-3] 4월신종악성코드최다 20건
Web 9 10 4 월악성코드유형별감염보고 신종악성코드유형별분포 [ 그림 1-2] 는 2012 년 4 월한달동안안랩고객으로부터감염이보고된악성코드의유형별비율을집계한결 과다. 2012 년 4 월의악성코드를유형별로살펴보면., 트로이목마 (Trojan) 가 48.3%, 웜 (Worm) 이 7.3%, 스크립트 4 월의신종악성코드를유형별로보면트로이목마가 88% 로가장많았고, 애드웨어가 6%, 드롭퍼가 3% 였다. (Script) 가 4.9% 인것으로나타났다. 0 10 20 30 40 50% ADWARE APPCARE DOWNLOADER DROPPER ETC SCRIPT SPYWARE TROJAN VIRUS WORM 3.2% 0.2% 0.3% 2.7% 30.0% 4.9% 0.3% 48.3% 2.8% 7.3% TROJAN 48.3% WORM 7.3% SCRIPT 4.9% OTHER 39.5% [ 그림 1-2] 2012 년 4 월악성코드유형별감염비율 악성코드유형별감염보고전월비교 [ 그림 1-4] 신종악성코드유형별분포 [ 그림 1-3] 은악성코드유형별감염비율을전월과비교한것이다. 트로이목마, 웜, 바이러스 (Virus) 가전월에비해증가세를보이고있는반면, 스크립트, 애드웨어 (Adware), 다운로더 (Downloader), 애프케어 (Appcare) 계열들은감소한것을볼수있다. 드롭퍼 (Dropper), 스파이웨어 (Spyware) 계열들은전월수준을유지하였다. [ 그림 1-3] 2012 년 4 월 vs. 3 월악성코드유형별감염비율
Web 11 12 01. 악성코드동향 b. 악성코드이슈 - DOC/Cve-2010-3333(2012.04.25.03) - Backdoor/Win32.Etso(2011.09.05.00) (Win-Trojan/Agent.16224.P) - 'C:\WINDOWS\Tasks\snmp.exe' (Win-Trojan/Agent.16224.P) - Win-Trojan/Etso.54272(2012.04.25.03) - 'C:\ Documents and Settings\[ 사용자계정 ]\ Local Settings\ - Win-Trojan/Etso.73483(2012.04.25.03) Temp\ 박 OO 이력서.doc' ( 정상문서 ) Social Engineering and Malicious Document 정치, 사회, 경제등사회전반에걸쳐사람들의관심을끈이슈들은항상악성코드를유포하는데악용됐다. 최근에발견된사례를보면다음과같다. 악성 DOC의구조는 [ 그림 1-5] 와같으며, 해당문서를실행하면 [ 그림 1-6] 과같이 2012 런던올림픽에관한내용의정상 DOC 문서가열린다. [ 그림 1-6] 정상 DOC 문서 악성 DOC 문서를첨부한스피어피싱메일악성 DOC 문서가첨부된발신인이불분명한스피어피싱메일이발견되었다. 스피어피싱은특정조직이나인물을겨냥해신뢰할만한대상으로속여악성메일을보내는공격이다. ID와비밀번호를입력하게하거나, 악성코드를다운로드하도록가짜사이트로유도하거나, 취약점이담긴문서파일을보내정보를빼낸다. 이런일련의공격은 PC 단위에서보안을철저히하지않으면대규모공격의진원지로악 [ 등록된레지스트리 ] - HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ snmp "C:\WINDOWS\Tasks\snmp.exe" [ 그림1-10] 정상 DOC 파일 1. 티베트봉기기념일 용될수있다. 2. 2012 런던올림픽 3. 북한로켓 ( 광명성 3호 ) 발사 4. 특정지역또는기관, 기업등의이슈를이용한타깃공격 5. 그외다수 이번에발견된메일에는 ' 박XX이력서.doc' (DOC/Dropper) 문서파일이첨부되었다. 이 DOC 파일은 RTF(Rich Text Format) 파일이며 RTF 취약점을이용하여시스템을감염시킨다. 위이슈들을이용한악성코드의공통점은바로사용자들이많이사용 [ 그림 1-8] 악성 DOC 파일 하는응용프로그램 ( 대표적으로 MS 오피스, 플래시플레이어, 어도비 리더등 ) 의취약점을이용하는문서파일로위장했다는점이다. ASEC 에서분석시실제 C&C 서버로연결되지는않았으나, 감염된 악성코드가실행파일확장자 (exe 나 dll 같은 ) 를가졌다면사용자도한 악성 DOC 는 [ 그림 1-6] 과같이정상 DOC 문서를사용자에게보여주지 악성코드를통해 C&C 서버로연결되어정보수집과공경명령을받 번쯤은의심했을테지만, 사회적인이슈를주제로한문서파일형태 만 [ 그림 1-7] 의 MS 워드의취약점 (CVE-2010-3333) 을이용하여악성 아악의적인동작을수행했을것으로추정된다. 라면얘기가달라진다. 어느누가문서파일에악성코드가존재하리라고생각할까? 하지만악성코드제작자들은바로이러한허점을노린다. 코드를생성및실행한다. [ 그림 1-7] 악성 DOC의내부정보 [ 그림 1-9] 취약점을이용한 RTF 파일 스피어피싱메일의감염을예방하기위해서는불분명한발신자가보낸메일과의심스러운첨부파일을주의해야한다. 또한, 최신엔진으로업데이트한보안제품으로파일을검사하여이상이있을경우보 이번에국외에서발견된악성 DOC 파일역시사용자들이관심이있 안업체에신고해야한다. 마지막으로윈도우보안패치를항상최신 을만한 '2012 런던올림픽소식 ' 을포함하였다. 첨부된문서파일을 으로유지하여각종취약점을예방하는것이중요하다. 열어보면 MS 워드의취약점 (CVE-2010-3333) 을통해생성된악성코드에감염된다. - DOC/Dropper [ 그림 1-5] 2012 악성 DOC 문서의구조 - Win-Trojan/Agent.16224.P [ 그림 1-7] 과같은악성 DOC의내부에존재하는취약점코드가암호화된 EXE를복호화한후악성코드파일을생성및실행한다. 그리고악성 EXE가실행되면서 %SYSTEM%\cydll.dll을생성하는데해당 DLL은감염된 PC의하드웨어정보를 C&C(114.***.89.***, CN) 서버로전송한다. 하지만 C&C 서버가동작하지않아추가적인동작은확인하지못했다. DOC 파일을실행하면정상적인 DOC 파일의복사본을생성한다음복사된정상 DOC 파일을사용자에게보여주어악성코드감염을인지하지못하도록위장하고악성코드파일들을생성한다. 또한, 윈도우시작시자동으로동작하도록레지스트리에값을등록한다. [ 생성되는파일 ] - 'C:\ Documents and Settings\[ 사용자계정 ]\ Local Settings\ Temp\msvcrt71.exe' 북한광명성 3호발사및핵실험을주제로한악성코드광명성 3호및핵실험관련악성코드가유포되었다. 이번에발견된악성코드는 'North Korea', 'North Korea satellite launch', 'North Korea nuclear test' 등의키워드를사용하였으며최근국제사회의가장주된관심사였던북한의로켓관련이슈를다뤘기때문에전형적인사회공학기법으로볼수있다.
Web 13 14 이번에발견된악성코드파일의동작구조는그림 [1-11] 과같다. D. 이파일의정보를살펴보면 [ 그림 1-15] 에언급된 javacpl.exe 파 에등록되어부팅때마다실행되며, 특정 IP 로지속적인 TCP 연결 파일확장명숨기기 ' 옵션이설정된경우, 메일에첨부된파일은 [ 그 [ 그림 1-11] DOC 문서를조작한악성코드감염구조도 일로위장하고있다는것을알수있다. [ 그림 1-15] Javacpl.exe 파일로위장한 ZA102498414.jpg 파일 상태확인을시도한다. [ 그림 1-17] 시작프로그램에등록된악성코드프로그램 림 1-19] 의왼쪽과같이아이콘이 PDF 문서파일로보이기때문에메일수신자가별다른의심없이실행할가능성이크다. 숨기기옵션을해제하면 [ 그림 1-19] 의오른쪽과같이 EXE 파일인것을확인 할수있다. [ 그림 1-19] PDF 문서로위장한실행파일 각각의악성코드파일들은다음의구조와기능을수행한다. 1. North Korea.doc A. 문서내부에있는 SWF 플래시스크립트가로딩되면서인터넷익스플로러를통해특정웹페이지 (hxxp://gis.usda.****.com/) 로이동한다. [ 그림 1-11] 에서설명한것과같이해당 DOC 문서의내용을 [ 그림 1-12] 와같이정상적으로사용자에게보여준다. [ 그림 1-12] 정상출력된 DOC 문서파일 E. 해당파일에감염되면키보드, 마우스입력값을후킹하며, 특정 C&C 서버로연결되어명령을수신한다. F. CVE-2012-0507 취약점은 2012년 4월현재보안업데이트없 D. 이파일은 [ 그림 1-18] 과같이 'C:\Documents and Settings\ Administrator\Local Settings\Temp\' 폴더에위치하며, Wor.doc 파일역시같은곳에존재한다. [ 그림 1-18] 동일폴더에있는 Wor.doc와 WORD.exe 파일 '*** 당 + 중앙공약 _[ 보도자료 ].pdf.exe' 파일을실행하면아래와같이파일이생성된다. 이보안취약점만발표된자바의제로데이취약점이다. 해당보안 - C:\Program Files\Windows NT\htrn.dll 업데이트가제공되기까지시간이걸릴것으로예상되므로출처가 - C:\Program Files\Common Files\** 당중앙공약 _[ 보도자료 ].pdf 확인되지않은불확실한문서는함부로열어보지않는것이중요하다. htrn.dll 파일은다음과같은레지스트리값을생성하여시스템시작 2. Sorean intelligence officials say North Korea may be 시자동실행되도록 '6to4' 라는이름으로서비스에등록된다. B. 특정웹페이지로이동하면 [ 그림 1-13] 의코드가실행된다. [ 그림 1-13] 특정웹페이지이동시실행되는 HTML 코드 preparing for nuclear test.doc A. 해당파일은 MS 오피스취약점인 CVE-2010-3333 취약점을이용하여악성코드를감염시키며 wor.doc 파일을생성하여 [ 그림 1-16] 과같이사용자에게정상적인문서내용을보여준다. [ 그림 1-16] 정상적으로열린문서파일 이와같은악성코드대부분은무작위로배포되는스팸메일의첨부파일형태로유포된다. 인터넷으로퍼지는가십거리기사들은비밀정보를중시하는외교, 안보분야종사자는주의하기때문에특정기관에대한 APT로이어질가능성은크지않다. 하지만일반사용자들은가십거리나흥미위주의첨부파일을무심코열어볼가능성이매우크므로항상주의해야한다. - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\6to4\Parameters ServiceDll = C:\Program Files\Windows NT\htrn.dll [ 그림 1-20] htrn.dll 서비스등록또한 'www.kn**.ac.**.**fw.us (67.**.***.19)' 서버에주기적으로연 결을시도하지만, 분석당시에는연결되지않아추가적인동작은확 - Dropper/Agent 인할수없었다. C. CVE-2012-0507 취약점을유발하는코드를호출하고특정경로에있는 JPG 파일을불러온다. 확장자는 JPG이지만실제파일내 - Exploit/Cve-2010-3333 - Exploit/Cve-2012-0507 [ 그림 1-21] 네트워크연결정보 부를살펴보면 [ 그림 1-14] 와같이 PE 파일임을확인할수있다. - HTML/Downloader [ 그림 1-14] 확장자는 JPG 이지만실제로는 PE 파일형태 - RTF/Cve-2010-3333 - Trojan/Win32.Agent 'C:\Program Files\Common Files' 폴더에생성된 '*** 당중앙공 B. 관련취약점에대한보안업데이트가공개된상태이므로 CVE- 2010-3333 보안업데이트를설치하는것이중요하다. 만약보 - Trojan/Win32.Zapchast - Win-Trojan/Downloader.262144.MK 약 _[ 보도자료 ].pdf' 파일은정상 PDF 파일이지만메일본문에암호가걸려있어내용은확인할수없었다. 안업데이트가설치되지않은 PC에서해당문서파일을실행하면 WORD.exe 악성파일과 Wor.doc라는정상적인 DOC 파일이생성및실행된다. C. WORD.exe 파일이실행되면 [ 그림 1-17] 과같이시작프로그램 4 11 총선이슈에발견된악성코드 4 11 총선당시특정정당의중앙당공약이라는보도자료로위장한악성코드가발견되었다. 윈도우탐색기에서 ' 알려진파일형식의 - Win-Trojan/Agent.1991496(V3, 2012.04.03.02) - Win-Trojan/Pcclient.10240.L(V3, 2012.04.03.02)
Web 15 16 [ 그림 1-22] 악성코드가생성한 PDF 파일읽기시도화면 핵안보정상회담 PDF 문서로위장한악성코드 유엔 (UN) 공식홈페이지에는 [ 그림1-24] 와같이 2012년 3월에개최된 2012 서울핵안보정상회담 과관련한 PDF 문서가게재 [ 네트워크연결시도정보 ] - 프로세스 : explorer.exe 프로토콜 : TCP CONNECT IP주소 : 58.**.2**.24:80 [ 그림 1-29] 네트워크연결정보 되어있으며, 정상회담에서논의될의제등에관한내용을담고있다. 해당 PDF 파일 ( 악성파일 ) 은악성 JavaScript 부분 (Winword.js) 과정 [ 그림 1-24] UN 공식홈페이지에게시되어있는핵안보정상회담에관한 PDF 문서 상적인 PDF 문서파일 (Adobe.pdf) 을포함하고있다. '%temp%\ Winword.js' 파일은생성후삭제되어정확한내용은확인할수없었지만, 같은폴더내에생성된 Adobe.pdf( 그림 1-26) 파일이정상 PDF 문서임을확인할수있었다. [ 그림 1-26] 악성파일실행후 %Temp% 폴더내생성된실제정상 PDF 파일 런던올림픽개최를이용한악성코드런던올림픽개최와관련된내용으로 CVE-2010-3333 취약점을이용하는악성코드가발견되었다. 사람들의관심이많을수밖에없는사회적인이슈를이용하여위에언급했던핵안보관련 PDF 문서로위장한악성파일이발견되었다. [ 그림 1-25] PDF 문서로위장한악성파일 - PDF/Exploit-downloader(V3, 2012.04.19.00) - Win-Trojan/Agent.44032.VC(V3, 2012.04.18.03) - Trojan/Win32.Cosmu(AhnLab, 2012.04.16.05) [ 그림 1-23] 런던올림픽관련스팸메일 - ( 출처 : 트렌드마이크로 ) [ 그림 1-24] 와 [ 그림 1-25] 는모두 PDF 문서를나타내는아이콘모 실제사용자에게보이는문서는 %temp% 폴더에생성된 Adobe. pdf 문서파일이다. [ 그림 1-27] 악성파일에포함된정상 PDF 문서실행화면 사회공학기법을이용하여유포되는악성 HWP 파일최근일부기업에서 [ 그림 1-30] 과같은형태의한글문서 (HWP) 가첨부된스팸메일이접수되었다. [ 그림 1-30] 한글문서 (HWP) 가첨부된스팸메일 양을갖고있으며어도비리더로실행했을때에도같은문서파일을 보여준다. PDF 로위장한악성파일을실행하였을때동작하는주요 정보는다음과같다. [ 생성되는주요파일 ] - 'C:\Documents and Settings\Administrator\Local Settings\ Temp\Winword.js' 악성 Script 부분, 악성파일생성후삭제 - 'C:\Documents and Settings\Administrator\Local Settings\ Temp\Adobe.pdf' 정상 PDF 파일 - 'C:\Documents and Settings\Administrator\Local Settings\ 이와같은형태의사회적인이슈를이용한악성코드는계속유포되고있으며 2012년 4월수원에서발생한사건역시악성코드유포에사용되었다. 해당파일을실행하면정상파일인것처럼위장하기위해정상적인한글문서를보여준다. 하지만사용자의시스템에취약점이존재하면그취약점을통해악성코드를감염시킨다. [ 그림 1-31] 정상파일로위장하기위해보여주는한글문서 이러한형태의사회공학기법을이용한악성코드유포는이번올림픽뿐만아니라, 다양한사회적이슈와결합하여과거부터꾸준히발생하였다. 2011년오사마빈라덴사망, 일본대지진등의이슈들을통해서이와같은형태로유포된바있다. Application Data\Microsoft\wininit.dll 생성되는악성파일 - 'C:\Documents and Settings\Administrator\Local Settings\ Application Data\Microsoft\wininit32.exe' 생성되는악성파일 악성 PDF 문서를통해생성되는악성코드는 [ 그림 1-28] 과같다. 특히, wininit.dll 파일은 explorer.exe 프로세스에로드되어특정 IP(58.**.2**.24) 에접속을시도하는백도어다. [ 그림 1-28] 생성되는실제악성코드 - Dropper/Cve-2010-3333 - Trojan/MSOffice.CVE-2010-3333 - 'C:\Documents and Settings\All Users\Application Data\ ntuser32.bin //wininit32.exe' 백업파일 [ 그림 1-29] 의네트워크연결정보를보면특정 IP(58.**.2**.24) 에연결을시도하여특정정보를수집해가는것을확인할수있다.
Web 17 18 호기심을자극하는제목의메일을받았을때는열어보기전에한번더신중하게생각해야한다. 또한꾸준한보안업데이트를통해시스템에존재하는취약점을없애야한다. - HWP/Agent(2012.04.24.00) 아무런서비스가되지않는다. [ 그림 1-34] 는피싱사이트에서요구하는개인정보및보안카드번호입력페이지다. [ 그림 1-34] 은행피싱사이트에서요구하는개인정보및보안카드번호 [ 표 1-4] 페이스북으로전파되는 URL 제목 URL qhahaheq your foto 'http://bit.ly/imvgvl?9za8xxx230d' hahaheq your foto 'http://bit.ly/imvgvl?9za8xxxxxxd' [ 그림 1-39] 악성코드실행구조 - Backdoor/Win32.Cson(2012.04.24.00) qhah ht foto 'http://bit.ly/imioa6?facebook.com-img69xxx78063.jpeg' - Trojan/Win32.Visel(2012.04.24.00) hahaht foto 'http://bit.ly/imioa6?facebook.com-img69xxx806x.jpeg' 국내주요금융기관피싱사이트다수발견 몇달전부터국내주요금융기관을대상으로하는피싱사이트들이크게증가하여온라인뱅킹사용자들의주의가요구된다. 국내은행 얼마전이와같은형태로제작된 KB국민은행피싱사이트가발견되었으며, 유출된정보로예금된자산이인출되거나정기예금을담 [ 그림 1-36] URL 클릭시보이는다운로드창 해당악성코드는카스퍼스키, Avira 등과같은보안제품들을무력화하는기능이있다. 을대상으로제작된피싱사이트는 [ 그림 1-32] 와같은문자메시지 보로큰금액이대출되는등의피해사례가있었다. [ 그림 1-40] 해당악성코드의무력화대상에포함된프로세스명 를발송하여접속을유도하였다. [ 그림 1-32] 은행을사칭한피싱문자메시지들 [ 그림 1-35] KB 국민은행을사칭한피싱사이트의개인정보및보안카드정보입력란 [ 그림 1-37] 압축파일에포함된파일 사용자들은알수없는웹사이트링크나확인되지않는사용자로부 터수신된메일에연결된링크를함부로클릭하지않도록주의해야 한다. 이들은실제은행홈페이지와유사한 URL 주소와웹사이트를만들어개인정보를요구하는수법을사용하였다. 스마트폰의대중화에따라모바일웹페이지를대상으로제작된사이트도발견되고있다. [ 그림 1-33] 은최근발견된농협모바일웹피싱사이트이다. [ 그림 1-33] 농협모바일웹피싱사이트 ( 좌 : 정상사이트, 우 : 피싱사이트 ) 사용자는이러한피싱사이트를통한금전적피해를입지않도록아래의사항에대하여주의해야한다. - 보안사항변경과같이중요한정보는은행창구에서만가능하며, 온라인으로개인정보및보안사항을절대로요구하지않는다. - 사기사이트및피싱사이트를차단하는사이트가드 (SiteGuard) 와 [ 그림 1-37] 의파일명외에도 [ 그림 1-38] 과같이사용자들의호기심을유발하는이름으로다운로드되기도한다. [ 그림1-38] 호기심을유발하는파일명 - Worm/Win32.Stekct(2012.04.30) - Trojan/Win32.Phorpiex(2012.04.29) 보안제품의업데이트를방해하는 Host 파일변경악성코드주의 같은웹브라우저보안소프트웨어를사용하는것이중요하다. hosts 파일을변조해보안프로그램의업데이트를방해하는악성코 - 이메일에존재하는의심스러운웹사이트링크는클릭하지않는다. 드가빈번히출현해이를치료할수있는전용백신을최근한국인 터넷진흥원 (KISA) 에서보급하였다. 정상적인모바일홈페이지와매우유사하지만, 피싱사이트에서는접속한사용자들이 보안강화서비스신청하기 를클릭하도록유도하고있다. 또보안승급이라는특정서비스를완료하기전에는 페이스북을통해유포되는보안제품무력화악성코드최근페이스북을통해유포된보안제품을무력화하는악성코드의감염피해사례가접수되었다. 이악성코드는사용자몰래페이스북친구들에게 [ 표 1-4] 형태의제목과 URL이담긴메시지를보낸다. [ 표 1-4] 의 URL을클릭하면 [ 그림 1-36] 과같이압축파일을다운로드하며해당압축파일은 [ 그림 1-37] 의파일을포함한다. [ 생성되는파일 ] - C:\windows\iqs.exe - C:\Documentsand Settings\Administrator\cookies\ administrator@facebook[1].txt - C:\Documents and Settings\Administrator\Local Settings\ Temporary Internet Files\Content.IE5\3X2QCS5X\lmk[1].exe 해당악성코드는 2012년 1월부터발견됐으나이후변종발견이미미한수준이었고최근에는피해가보고되지않았다. 이악성코드에감염되면 Host 파일이변조되어보안프로그램이업데이트되지않으므로주의해야한다. 주로 Hosts 파일에특정제품이업데이트할때사용하는도메인에대해루프백주소 (127.0.0.1) 를설정하는방법으로업데이트를방해한다.
Web 19 20 [ 그림 1-41] KISA 맞춤형전용백신페이지 2011 년 3 4 DDoS 공격에이용된악성코드도이번에이슈가된악 Mac OS 를대상으로하는보안위협의증가 [ 표 1-5] 는 2012 년 4 월까지애플제품을위협한악성코드를분류한 [ 그림 1-42] 기본 hosts 파일내용, 변조된 hosts 파일내용 성코드와마찬가지로 hosts 파일을변조하는기능이있어보안제품의업데이트를방해하였다. 당시 Redirected Hostfile Entries 진단명으로변조된 Hosts 파일내용을치료하는엔진이배포되었다. - Win-Trojan/Qhost.51200.H(2012.03.04.00) - Redirected Hostfile Entries(2012.01.28.00) 보안제품동작을방해하는온라인게임핵변종최근온라인게임핵악성코드의변종이지속적으로제작및유포되어사용자들의불편을초래하고있다. 이악성코드는감염된시스템에설치된백신제품의동작을방해한다. [ 그림 1-45] 악성코드의보안제품무력화대상프로세스 국내는물론전세계사용자들로부터많은사랑을받고있는애플제품들은그동안보안에강력한것으로알려졌다. 하지만최근자바취약점 (CVE-2012-0507) 을악용한 Flashback 악성코드가유포되어 55만대의 Mac OS 사용자가감염되는등악성코드변종및해킹기법이나날이증가하고있다. [ 그림 1-46] 은스마트폰세계시장점유율로삼성과애플이각각 50% 정도점유하고있다. [ 그림 1-46] 2012 스마트폰세계시장점유율 것이다. [ 표 1-5] 애플 (Mac) OS 를타깃으로하는악성코드 종류 Flashback 악성코드 Sabpab 악성코드 Tsunami Trojan OSX/Imuler-B Trojan - Dropper:OSX.Revir.A 설명 어도비플래시업데이트를가장한트로이목마로 2011 년에최초로발견되었으며 SNS 등을통해유포된다. 최근 55 만대의 Mac 사용자가이악성코드에감염되었다. MS 워드취약점을이용한트로이목마로이메일첨부파일형태로유포된다. 오래전리눅스에서이용되었던백도어프로그램으로 IRC 기반의분산서비스공격클라이언트프로그램이다. 악의적인목적으로제작된파일을유명모델의사진인것처럼속여실행을유도하는트로이목마다. PDF 파일로위장한트로이목마로원격액세스할수있는백도어를포함하고있으며, 이메일첨부파일형태로확산된다. MacDefender Fake AV PDF Bug in Safari Mac OS 를타깃으로한 FakeAV( 허위백신 ) 으로결제를유도하는등의악의적인행위를한다. Safari 웹브라우저에서 PDF 파일을표시할때발생할수있는취약점으로, 공격에성공하면 iphone, ipad, ipod 기기에대한원격제어가가능하다. V3 제품은빠른검사나수동검사를통해변조된 hosts 파일을진 Weyland-Yutani 로봇키트 Mac OS 를겨냥한악성코드키트로블랫마켓을통해유통되고있다. 단 치료하는기능이포함되어있어전용백신을이용한치료가필요 없다. 또한, V3 Internet Security 8.0 제품은 hosts 파일보호기능을옵션으로제공하기때문에 hosts 파일변조를원천차단한다. 애플 (Mac) OS를겨냥한악성코드는계속증가하고있다. 이는 Mac OS의시장점유율이증가하면서공격대상이된것으로판단된다. [ 그림 1-43] V3 진단 치료화면 주요생성파일은아래와같으며 usbinckey.sys, cardctrl.exe 파일은서비스로등록된다. 사용자들은 Mac OS가이제는안전한 OS가아님을인지하고보안패치, MS 워드및플래시플레이어, 자바등의응용프로그램패치 [ 주요생성파일 ] - C:\WINDOWS\system32\drivers\usbinckey.sys - C:\WINDOWS\system32\usbinckey.dll - C:\WINDOWS\system32\cardctrl.exe 드롭퍼에의해생성되어서비스로동작하는루트킷 (usbinckey.sys) 은자신과 usbinckey.dll 파일을보호하며악성코드가생성한서비스 PC의운영체제별점유율은 [ 그림 1-47] 과같이윈도우가 90% 이상을차지하고있다. [ 그림 1-47] 전세계 PC 의운영체제 (OS) 별점유율 를항상최신으로유지하는등의각별한주의가필요하다. 윈도우 Mac OS 를동시에감염시키는악성코드 최근국외에서 Invitation for Tibetan Films 라는제목으로유포된악성스팸메일에서 [ 그림 1-48] 과같이윈도우 Mac OS에서모두동작하는악성코드가발견되었다. 를내리지못하도록방어한다. 또한, 해당악성코드가다운로드하는 [ 그림 1-48] 운영체제비교루틴 [ 그림 1-44] V3 hosts 파일보호기능 파일에의해윈도우시스템정상파일인 imm32.dll 이악성파일로 교체된다. - Dropper/Win32.Rootkit - Win-Trojan/Rootkit.7936.C - Win-Trojan/Agent.75776.GA 애플의스마트폰이나 Mac OS 는, 삼성이나마이크로소프트에뒤지 긴하지만, 상당한시장점유율을보이고있다.
Web 21 22 이악성코드는감염시킨 PC의운영체제에맞춰아래의파일들을다운로드하고, 해당파일들은자바취약점을이용해실행된다. B. 악성코드를지속적으로실행하기위해사용자계정의 LaunchAgents 경로에 com.apple.pubsabagent.plist 파일을생성 A. 자바취약점을이용한 index.jar 파일에의해실행된 file.tmp 파일은자신의복사본을아래의경로에생성한다. File.tmp 또는 낚시포털사이트를통해유포되는온라인게임계정탈취악성코드 - 'file.***.**/v*******l/2*****r/img.jar' <-- 윈도우에사용되는 URL - 'file.***.**/v*******l/2*****r//ref.jar' <-- Mac OS에사용되는 URL 한다. [ 그림 1-52] 생성된 plist AudioServer 파일은 64bit로컴파일된실행파일이다. - /Library/Audio/Plug-Ins/AudioServer 낚시포털사이트로운영되고있는웹사이트에서온라인게임계정을탈취하는악성코드가유포되었다. 이악성코드는사용자의온라 img.jar 파일은윈도우에서실행가능한 PE 파일형태의악성파일을가지고있으며 ref.jar 파일은 Mac OS X에서실행가능한파일포 [ 그림 1-56] File.tmp 의파일타입 인게임계정탈취를목적으로제작되었으며감염된 OS에따라다른파일이생성된다. 맷의악성파일을포함하고있다. [ 그림 1-49] ref.jar 파일의헤더 [ 그림 1-53] com.apple.pubsabagent.plist B. 해당악성코드는시스템시작시자동으로실행되도록아래의경로에 plist 파일을만들어둔다. 생성된 plist 파일을통해사용자가로 [ 그림 1-60] 악성코드가유포된낚시포털웹사이트 그인할때마다 AudioServer 악성코드가자동으로실행된다. - /Library/LaunchAgents/com.apple.dockActions.plist [ 그림 1-57] 자동으로실행되기위해생성되는 plist 과거국내패스트푸드업체를사칭해유포된악성메일에서 OS 를 구분하여감염시키도록작성된코드가발견됐었다. 하지만실제로는 윈도우대상악성파일을다운로드하는 URL 만존재했다. 위두사례에서보듯이자바취약점을이용한악성코드의공격은계속되고있다. 이를예방하기위해서는자바를비활성화상태로설정하거나보안업데이트를통해최신버전으로유지해야한다. C. 해당악성코드는 C&C 서버로부터명령을전달받아악의적인기능을수행한다. 분석당시에는 C&C 서버가유효하지않아접속되지않았다. 해당웹사이트에방문하면홈페이지에삽입된스크립트를따라차례로또다른스크립트가로딩된다. [ 그림 1-54] C&C 서버접속시도 [ 그림 1-61] 최초스크립트가삽입된구문 - Dropper/Agent.25088.CA - MacOS_X/Olyx - EXP/Cve-2011-3544 - JAVA/Cve-2012-0507 자바, MS 오피스취약점을이용하여유포되는 Mac OS X 악성코드 Sabpab 진단명으로불리는악성코드는자바취약점 (CVE-2012-0507) 과 MS 오피스취약점 (CVE-2009-0563) 을이용하여사용자의시스템을감염시킨다. A. 해당악성코드는사용자계정의 Preferences 경로에 com.apple. PubSabAgent.pfile을생성한다. 자바및 MS 오피스취약점을이용한 Mac 악성코드가지속적으로발견되고있으므로최신보안패치의설치가필요하다. 티베트 NGO를타깃으로하는 Mac 악성코드중국과영토권분쟁으로이슈화되고있는티베트와관련하여티베트 NGOs(Non-Governmental Organizations) 를타깃으로하는악성코드가유포되었다. 자바취약점을이용한 (CVE-2011-3544) 이악성코드는 C&C 서버와통신하여외부에서전달된명령을수행한다. Tibet.A는 Mac OS X뿐만아니라윈도우등다수의운영체제를감염시킬수있는 Cross-Platform 형태의악성코드이다. [ 그림 1-55] 감염시 OS를체크하는코드 Mac OS X에서자바보안패치를업데이트하기위해서는상단좌측의애플로고를클릭한후 소프트웨어업데이트 를클릭하여업데이트프로그램을실행한다. [ 그림 1-58] Mac OS X의소프트웨어업데이트 [ 그림 1-59] 업데이트설치 [ 그림 1-62] 스크립트이동경로 1 악성코드제작자는웹사이트에서 CVE-2010-0806 취약점을이용해악성코드를유포하였다. [ 그림 1-63] 스크립트이동경로 2 [ 그림 1-50] 생성된악성코드 악성코드를통해생성된파일은 Mac 실행파일포맷인 Mach-O 형 태의 32bit 파일이다. [ 그림 1-51] Mach-O 파일포맷
Web 23 24 스크립트를따라최종적으로유포되는악성코드경로와파일명은아래와같다. [ 그림 1-66] 듀큐악성코드의전체도식도 ( 출처 : Symantec) 일반적으로스파이아이는악성코드가첨부된이메일또는취약한웹사이트등을통해유포되므로보안제품을사용하지않거나최신 [ 그림 1-70] Spyeye C&C 서버의지리적위치 [ 그림 1-64] 유포지와악성파일 엔진으로업데이트하지않은사용자, 취약점이존재하는윈도우운영체제사용자들이많이감염되었다. 스파이아이가생성하는암호화된설정파일을분석한결과, 악성코 [ 그림 1-65] 유포된악성파일의정보 드제작자의공격대상이되는웹사이트를보유한기업들의지리적 위치는 [ 그림 1-68] 과같이독일, 미국, 그리고캐나다순서로금융 업이발달한국가들에집중되어있었다. [ 그림 1-68] SpyEye 공격대상기업들의지리적위치분포 C&C 서버는대부분미국에집중되어있으며그외에러시아와우크 라이나순서로많이분포되어있다. 이러한 C&C 서버대부분이해 이악성코드에감염되면윈도우 XP는 ws2help.dll 시스템파일이변조되며원본파일은 ws2helpxp.dll로백업된다. Windows 7은 C:\Windows\System32\HIMYM.dll 파일이생성된다. 이러한웹사이트에삽입된스크립트를통해악성코드에감염되지않도록각보안패치를설치해야한다. ASEC에서는 [ 그림 1-67] 파일의 Time Date Stamp를통해해당파일이 2012년 2월 23일생성된것을확인하였다. 이를미루어봤을때듀큐제작자또는제작그룹은지속적으로다른변형들을제작하여유포하고있는것으로추정된다. [ 그림 1-67] 듀큐변형의제작시간이표기된 Time Data Stamp 킹된시스템또는관리가소홀한시스템에설치되는것으로분석되었다. 다행스럽게도스파이아이제작자가탈취를노리는웹사이트들에는한국금융기업들이포함되어있지않다. 이는과거몇년전부터진행되었던보안위협의국지화현상으로해석할수있다. 그러나외국금융기관과온라인뱅킹을통해거래하는사용자들은스파이아이악성코드감염피해에많은주의를기울일필요가있다. [ 표 1-6] 악성코드유포에자주이용되는취약점 제목 URL [ 그림 1-69] 는해당악성코드의공격대상이되는웹사이트를보유한기업들을업종별로분류한것으로대부분온라인뱅킹을지원하 Windows OS CVE-2010-0806 (MS10-018) CVE-2011-1255 (MS11-050) CVE-2012-0003 (MS12-004) 는기업들에집중되었으며, 전자결제서비스, 금융투자등의순서로나타났다. Adobe Flash Player CVE-2012-0754 CVE-2011-2140 CVE-2011-2110 CVE-2011-0611 이러한보안위협에서 SCADA와같은산업기반시스템을보호하기위해서는안티바이러스 (Anti-Virus) 소프트웨어를포함한트러스라인 (TrusLine) 과같은산업용시스템전용보안솔루션을사용하는것이효율적이다. [ 그림 1-69] SpyEye 공격대상기업들의업종별분포 JAVA CVE-2011-3544 - Win-Trojan/Duqu.24320(V3, 2012.03.23.01) 스턱스넷변형으로알려진듀큐악성코드의변형현지시각으로 2012년 3월 20일시만텍에서기업블로그 <New Duqu Sample Found in the Wild> 를통해스턱스넷 (Stuxnet) 의변형으로알려진듀큐 (Duqu) 악성코드의변형이발견되었음을발표했다. 스턱스넷이 SCADA(Supervisory Control And Data Acquisition) 감염으로원자력발전소의운영을방해하려는것과달리, 듀큐는감염된시스템과네트워크에서정보를수집하기위한목적으로제작되었다. 이번에발견된듀큐의변형은시만텍에서공개한 [ 그림 1-66] 과같이붉은색박스로표기된드라이버 (.sys) 파일이다. 스파이아이공격대상기업들의업종과국가분석안랩은 2012년 4월 2일 ' 인터넷뱅킹정보탈취악성코드스파이아이트렌드발표 ' 라는보도자료를배포하고금전적인목적으로인터넷뱅킹정보를탈취하는악성코드인스파이아이 (SpyEye) 에대해경고하였다. 스파이아이는툴킷 (Toolkit) 을통해악성코드를제작할때, 악성코드제작자가어떤웹사이트의사용자정보를탈취할것인지를설정파일을통해구성할수있다. ASEC에서는 2012년 1분기동안확보한스파이아이악성코드샘플들을대상으로스파이아이가어떠한기업의사용자계정정보와암호를노리는지상세분석하였다. 한가지특이한사실은스파이아이제작자의공격대상이되는웹사이트중에는온라인항공권구매서비스를제공하는항공사도포함되어있다는점이다. 안랩에서운영하는패킷센터 (Packet Center) 의구성시스템인 SpyEYE C&C Tracking 시스템을통해분석한결과, 스파이아이가탈취한사용자계정정보와암호를전송하는 C&C(Command and Control) 서버가자리잡고있는국가는 [ 그림 1-70] 의녹색부분과같다.
Web 25 26 01. 악성코드동향 c. 모바일악성코드이슈 01. 악성코드동향 d. 악성코드분석특집 Another fake Angry birds [ 그림 1-73] 악성 ELF 파일이숨겨진 JPG 파일 안드로이드플랫폼이큰인기를끌면서모바일기반의악성코드또한활개치고있다. 악성코드는주로인기있는앱으로위장하여사용자가설치하게끔유도하는데, 그대상으로빠지지않고이용되는인기게임중하나가바로 'Angry Birds' 다. 이번에새롭게발견된악성코드역시유명게임 Angry Birds로위장하고있다. [ 그림1-71] 가짜 Angry Birds 아이콘 [ 그림 1-74] JPG 에포함된 ELF 의 binary 코드 불필요한옵션사용으로발생할수있는스마트폰보안위협과대응이번호에서는사용자에게불필요한설정을한안드로이드스마트폰을 PC에연결할때발생할수있는보안문제를예상하고그에대한예방책을제시한다. 1. 수많은앱과다양한설치방법스마트폰의활성화를주도하는것은다양한앱이라해도과언이아니다. [ 그림 1-77] 은 Distimo에서확인한구글플레이스토어와애플앱스토어에등록된앱의수다. [ 그림 1-77] 앱스토어와구글플레이에등록된앱의수 ( 출처 : Distimo) 이악성코드는중국의서드파티마켓에서처음발견되었으며 [ 그림 1-71] 과같이 Angry Birds 게임으로위장하고있다. 중국의서드파티안드로이드마켓의규모는우리나라보다크고, 정품앱을불법으로다운로드하기위해이용하는경우가많아사용자들이악성앱에노출되기쉽다. [ 그림 1-72] manifest에나타나는악성서비스 [ 그림 1-75] 스마트폰정보탈취코드 해당악성코드는설치시 'com.neworld.demo.updatecheck' 라는악성서비스를실행한다. 이서비스는앱의 assets 폴더에저장된그림파일 (mylogo.jpg) 에몰래숨겨놓은 ELF 포맷의악성파일을추가로실행하여아래와같은악의적인동작을지속적으로수행한다. - 사용자스마트폰정보탈취 - 강제루팅시도 - C&C 서버와통신하며명령수행 ( 예 : 프로그램설치 ) - Android-Exploit/Rootor.TC [ 그림 1-76] C&C 서버통신코드 앱을스마트폰에설치하는방법은 OS별로조금씩다르다. 아이폰은탈옥 (Jail Break) 을제외하면기본적으로앱스토어를통해모든앱을설치한다. 반면안드로이드는서드파티마켓을허용하는정책때문에스마트폰제작사나통신사등에서운영하는마켓을포함하여수많은마켓에서앱을배포하며, 설치하는방법또한다양하다. 안드로이드스마트폰사용자들은앱을설치하기위해주로기본설치돼있는삼성 Apps, 구글 Play 스토어를실행하거나인터넷마켓을이용한다. 또는인터넷이나토렌트등을이용하여필요한앱을다운로드할수있는데, 이경우스마트폰을 PC에연결해야한다.
27 28 PC에스마트폰을연결해앱을설치하는방법은다시두가지로나눌수있다. 첫번째는 USB 드라이버모드로연결해 APK 파일을스마트폰으로직접복사한후스마트폰에서설치하는것이다. USB 드라이버모드로스마트폰을연결하면스마트폰의저장소는 USB 저장소와같은기능을한다. 이렇게복사된설치파일은안드로이드 OS의인스톨매니저를통해설치할수있다. 두번째방법은스마트폰을 PC에연결한후 PC에서 ADB 명령어를이용해설치하는것이다. 4. USB 디버깅 USB 디버깅은안드로이드에서동작하는앱을테스트할때사용하는기능이다. 사용자가 USB 디버깅을선택하면안드로이드스마트폰의 ADB 데몬이활성화된다. ADB를이용해할수있는일은다음과같다. [ 그림 1-79] USB 디버깅 PC 를이용해다운로드한안드로이드용앱은 APK 확장자를가진다. 2. ADB를이용한앱설치이방법은앱을간편하게설치할수있지만, 설치되는앱이스마트폰의어떤기능을활용하는지사용자에게보여주는권한확인프로세스를건너뛰게된다 ( 설치되는앱이동작하는데필요한권한을사용자에게보여주는것은안드로이드의보안기능중하나다 ). 1 ADB 를이용해안드로이드스마트폰에앱을설치하기위해서는안드로이드의설정중 USB 디버깅, 알수없는소스 두항목이허용상태여야한다. 3. 알수없는소스허용인증서는인증된프로그램만설치할수있도록하는안드로이드 OS의또다른보안기능이다. 인증된프로그램이란구글의공식마켓인 Play 스토어에서배포되는앱을말한다. 하지만서드파티마켓을허용하는안드로이드의특성상안드로이드스마트폰사용자는대부분알수없는소스사용을허용하고있다. 각통신사나스마트폰제조사에서제공한앱을설치하기위해서는반드시알수없는소스를허용해야 ADB(Android Debug Bridge) : ADB는다양한명령어를통해안드로이드운영체제를사용하는기기를제어할수있도록해준다. [ 그림 1-80] 은 ADB 1.0.25 버전에서사용가능한옵션중일부다 ( 자세한내용은안드로이드개발자사이트에서확인할수있다 ). 2 [ 그림 1-80] ADB 명령옵션 하기때문이다. [ 그림 1-78] 알수없는소스 1 안드로이드의보안기능 http://www.ibm.com/developerworks/kr/library/x-androidsecurity/ 2 안드로이드개발자사이트 http://developer.android.com/guide/developing/tools/adb.html
29 30 디바이스옵션은 ADB 서버가인식한스마트폰과에뮬레이터의목록을보여주는기능을한다. 셸옵션은지정한스마트폰시스템의셸에연결해프롬프트를띄운다. 이셸은리눅스셸과유사하며안드로이드에서지원하는간단한명령을통해연결된스마트폰을탐색하고수정할수있다. 인스톨, 언인스톨옵션은앱을설치하거나삭제할때이용되는명령이다. 이런 ADB의다양한기능은개발의편의성을제공하기위한안드로이드 OS의도구다. 이렇듯개발자에게유용한기능인 USB 디버깅설정을많은사용자가활성화하는이유는무엇일까? 5. 왜 USB 디버깅의활성화가필요한가? USB 디버깅은스마트폰루팅시필요한기능이다. 루팅 (Rooting) 은 OS나앱에존재하는취약점을이용해관리자권한을획득하는것을의미한다. 일부스마트폰사용자들은바탕화면을바꾸거나통신사나스마 6. USB 디버깅이활성화된경우발생할수있는문제 PC에감염된악성코드가 ADB의기능을악용하는것은어렵지않다. 스마트폰이 PC에연결되는것을감지한후 ADB의옵션중일부를이용한다면손쉽게설치된프로그램목록을확인하고, 필요하다면백신과같은보안앱을삭제할수도있다. 또특정앱을조회후삭제하고악의적인기능을포함하도록리패키징 3 한악성코드를설치할수있어사용자는자신의스마트폰에설치된앱이변조된것을알기어렵다. 7. 가능한위협과대응 PC에연결된스마트폰으로사용자가인지하지못한사이에설치된악성코드는저장된연락처정보를읽어외부로유출하거나사용자의스마트폰을이용해광고 SMS를발송하는등휴대전화와 PC에서행할수있는다양한악의적인행위를할수있다. 트폰제작사에서임의로포함한앱을제거하고싶어한다. 또는아직자신의스마트폰에적용되지않은 최신버전의운영체제로업그레이드하려한다. 이럴때필요한것이관리자권한이다. 이런유형의보안위협에서벗어날수있는방법은간단하다. - USB 디버깅설정은필요한경우에만활성화하고사용이완료됐을때는반드시비활성화한다. 또다른이유는많은사용자가사용하는마켓의 PC 매니저프로그램이나특정앱을설치하기위해서다. 각제작사나통신사는다양한이름으로자사의앱마켓을운영하고있다. 다양한앱마켓에서는사용자편의를위해 PC 매니저프로그램을제공한다. 매니저프로그램은스마트폰사용자의 PC에설치되어스마트폰에저장된데이터를추출하거나자신의마켓에서구매한앱을스마트폰에손쉽게설치하도록도와주는기능을제공한다. 이러한매니저프로그램중일부가 USB 디버깅을활성화할것을권장하기도한다. [ 그림 1-81] PC 매니저프로그램의설정안내 [ 그림 1-82] USB 디버깅해제경고 - 많은사람이사용하는 PC방이나도서관에서는스마트폰을연결하지않는다. - 스마트폰에앱을설치할때는유명한마켓을이용하고, 다운로드한프로그램을설치할때에는반드시권한을확인해비정상적인권한이없는지확인한다. - 비밀번호와같은중요한정보는되도록스마트폰내에저장하지않아야하지만, 꼭저장해야할때는별도의프로그램을이용하여암호화한다. - 모바일백신프로그램과같은보안앱을활용해혹시모르는악성앱의피해를예방한다. [ 그림 1-83] V3 mobile 2.0 의파일암호화 일부안드로이드스마트폰은해당기능의비활성화를시도할때특정앱을사용할수없다는경고메시지를노출해사용자가 USB 디버깅기능을비활성화하지않도록유도한다. 이외에도여러가지이유로안드로이드스마트폰사용자들은알수없는소스를허용하고 USB 디버깅의활성화를유지한다. USB 디버깅이활성화된상태로스마트폰을 PC에연결하면사용자의의도와상관없이 ADB 데몬이활성화되어스마트폰이보안위협에노출될수있다. 3 안드로이드악성코드는어떻게만들어지는가? - ASEC Report 2012 4 월호 http://www.ahnlab.com/kr/site/securityinfo/secunews/secunewsview.do?menu_dist=2&seq=19269
Web 31 32 02. 보안동향 a. 보안통계 02. 보안동향 b. 보안이슈 4월마이크로소프트보안업데이트현황마이크로소프트가발표한보안업데이트는긴급 4건, 중요 2건의총 6건이다. 원격에서코드실행이가능한취약점은 MS12-026을제외한 5건으로, 그중 MS12-027은이미관련공격코드가공개된만큼주의가필요하다. 2011.04-2012.04 4 5 6 7 8 9 10 11 12 1 2 3 4 윈도우공용컨트롤취약점 (CVE-2012-0158) 을악용하는문서 2012년 4월, MS가발표한 6건의보안업데이트가운데윈도우공용컨트롤의취약점 (CVE-2012-0158) 을악용하는 RTF 형식의문서파일이발견되었다. 이번에발견된악성문서파일은 2010년에발표된 MS 워드취약점 (CVE-2010-3333) 과유사하게제작됐으며, 이메일에워드문서가첨부된형태로유포되었다. [ 그림 2-1] Inside Information.doc 문서 [ 그림 2-3] XOR 복호화복호화한워드문서파일에서다음과같은실행파일헤더 (MZ) 가확인된다. [ 그림 2-4] 문서내부에포함된악성파일실행파일 (PE) 과함께생성되는워드문서정보를확인할수있다. [ 그림 2-5] 문서내부에포함된워드문서 [ 그림 2-1] 공격대상기준별 MS 보안업데이트 위험도 취약점 긴급 인터넷익스플로러보안업데이트누적 (MS12-023) 윈도우공용컨트롤 MSCOMCTL ActiveX Control 취약점 (CVE-2012-0158) 을악용하는워드문서에는 ActiveX 오브젝트가포함되어있다. [ 그림 2-2] 워드문서에포함된 ActiveX 오브젝트정보 워드문서에의해생성되는 zl5.exe 악성코드파일은확인당시에유효한디지털서명을사용중이었다. [ 그림 2-6] zl5.exe 등록정보및디지털서명정보 긴급 긴급 윈도우의취약점으로인한원격코드실행문제점 (MS12-024).NET Framework 의취약점으로인한원격코드실행문제점 (MS12-025) 긴급 중요 중요 Windows Common Controls의취약점으로인한원격코드실행문제점 (MS12-027) Forefront Unified Access Gateway (UAG) 의취약점으로인한정보공개허용문제점 (MS12-026) MS 오피스의취약점으로인한원격코드실행문제점 (MS12-028) [ 표 2-1] 2012 년 4 월 MS 주요보안업데이트 분석당시해당워드문서가정상적으로실행되지않아문서내용과생성파일에대한정보를파악하는데어려움이있었지만, 특정 XOR 키로복호화하여문서를통해드롭되는악성코드및워드파일에대한정보를확인할수있었다.
Web 33 34 Web zl5.exe 악성코드가실행되면 windows 폴더에 fxsst.dll 파일을생성한다. [ 그림 2-7] fxsst.dll 파일생성 [ 그림 2-10] CVE-2012-0158 취약점 03. 웹보안동향 a. 웹보안통계 악성코드는특정도메인으로접근을시도하지만 4월현재정상적으로연결되지않는다. - Exploit/Cve-2012-0158(2012.04.21.00) - Win-Trojan/Etchfro.99839(2012.04.21.00) - Win-Trojan/Geddel.11176(2012.04.21.00) 웹사이트악성코드동향안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하면, 2012년 4월악성코드를배포하는웹사이트를차단한건수는총 1만 9925건이었다. 악성코드유형은 556종, 악성코드가발견된도메인은 366개, 악성코드가발견된 URL은 1967개였다. 이는 2012 년 3월과비교할때전반적으로다소감소한수치이다. [ 그림 2-8] 네트워크연결시도 악성코드배포 URL 차단건수 25,873 19,925-23.0% 2012.03 2012.04 악성코드유형악성코드가발견된도메인악성코드가발견된 URL 악성코드가접근을시도하는 IP 주소는미국과중국 IP 로확인된다. 619 556 397 366 2,137 1,967 [ 그림 2-9] 일부접속 IP 정보 [ 표 3-1] 웹사이트악성코드동향 월별악성코드배포 URL 차단건수 2012 년 4 월악성코드배포웹사이트 URL 접근에대한차단건수는지난달 2 만 5873 건에비해 23% 감소한 1 만 9925 건이었다. 100,000 75,000 73,746 +79.1% 악성코드유포에사용된취약점은 MS 오피스, Visual FoxPro, Commerce Server, BizTalk Server, SQL Server와같은윈도우제품에영향을미친다. 또한, 침해된웹사이트로방문을유도하거나 MS 오피스문서파일, RTF 형식으로제작된악성파일을이메일에첨부하는형태로악성코드유포가가능하며, 최신취약점을이용한악성코드유포가계속될것으로예상되므로사용자들은신속히 MS 보안패치를설치해야한다. 50,000 25,000 0-47,873 [ 그림 3-1] 월별악성코드배포 URL 차단건수변화추이 25,873-64.9% 19,925-23.0% -5,948 2012.02 2012.03 2012.04
Web 35 36 월별악성코드유형 악성코드유형별배포수 2012 년 4 월의악성코드유형은전달의 619 건에비해 10% 줄어든 556 종이었다. 악성코드유형별배포수를보면트로이목마가 6388 건 /32.1% 로가장많았고, 애드웨어가 3599 건 /18.1% 인것으로조사됐다. 악성코드배포최다 10 건중에서 Win-Adware/ToolBar. 1,000 800 600 400 200 0 630-6.1% [ 그림 3-2] 월별악성코드유형수변화추이 월별악성코드가발견된도메인 -11 619-1.7% 2012.02 2012.03 2012.04 2012 년 4 월악성코드가발견된도메인은 366 건으로 2012 년 3 월의 397 건에비해 8% 감소했다. -63 556-10.2% Cashon.308224가 1754건으로가장많았고 Downloader/Win32.Korad가 1255건으로그뒤를이었다. 유형 건수 비율 TROJAN 6,388 32.1% ADWARE 3,599 18.1% DOWNLOADER 2,621 13.2% DROPPER 1,766 8.9% Win32/VIRUT 228 1.1% APPCARE 133 0.7% JOKE 93 0.5% SPYWARE 57 0.3% ETC 5,040 25.1% 19,925 100.0% [ 표 3-2] 악성코드유형별배포수 1,000 750 500 250 0 403-41.5% [ 그림 3-3] 월별악성코드가발견된도메인수변화추이 -6 397-1.5% 2012.02 2012.03 2012.04-31 366-7.8% TROJAN 6,388 ETC 5,040 ADWARE 3,599 DOWNLOADER 2,621 DROPPER 1,766 ADWARE 228 APPCARE 133 JOKE 93 SPYWARE 57 8,000 6,000 4,000 2,000 0 월별악성코드가발견된 URL 2012 년 4 월악성코드가발견된 URL 은전월의 2137 건에비해 8% 감소한 1967 건이다. 10,000 7,500 5,000 2,500 0 5,079-55.9% [ 그림 3-4] 월별악성코드가발견된 URL -2,942 2,137-57.9% -170 1,967-8.0% 2012.02 2012.03 2012.04 [ 그림 4-8] 2012년 1분기악성코드유형별배포수 순위 등락 악성코드명 건수 비율 1 Win-Adware/ToolBar.Cashon.308224 1,754 20.6% 2 1 Downloader/Win32.Korad 1,255 14.7% 3 1 Dropper/Small.Gen 961 11.3% 4 1 Downloader/Win32.Totoran 845 9.9% 5 4 Trojan/Win32.HDC 680 8.0% 6 NEW Trojan/Win32.ADH 679 8.0% 7 NEW ALS/Bursted 675 7.9% 8 Unwanted/Win32.WinKeyfinder 574 6.7% 9 3 Adware/Win32.KorAd 570 6.6% 10 3 Unwanted/Win32.WinKeygen 542 6.3% 8,535 100.0% [ 표 3-3] 악성코드배포최다 10건
Web 37 VOL. 28 ASEC REPORT Contributors 03. 웹보안동향 b. 웹보안이슈 집필진선임연구원 강동현 선임연구원 안창용 선임연구원 장영준 주임연구원 문영조 주임연구원 박정우 2012 년 4 월침해사이트현황 [ 표 3-4] 의가장많이유포된 Onlinegamehack.54784.BC 의유포 연구원 김재홍 [ 그림 3-6] 2012 년 4 월악성코드유포목적의침해사이트현황 사이트구성을자세히살펴보면 P2P & 웹하드를통한유포는 3월과거의비슷하지만 4월의경우언론사를통한유포가급감하면서상대적으로 P2P & 웹하드를통한유포가많았던것처럼보일수있다. 단 Onlinegamehack.54784.BC만을기준으로본것으로실제다양 참여연구원 ASEC 연구원 SiteGuard 연구원 한악성코드의종합적인유포비율에서언론사사이트가차지한비 율은 3 월과거의동일하였다. 편집장 선임연구원 안형봉 [ 그림 3-6] 은악성코드유포를목적으로하는침해사고가발생했던사이트의현황이다. 전월보다감소했지만사이트유형별에서는 P2P 편집인 안랩세일즈마케팅팀 사이트를통한악성코드유포가소폭상승하였다. 디자인 안랩 UX 디자인팀 침해사이트를통해서유포된악성코드최다 10 건 [ 표 3-4] 는 4월한달동안가장많은사이트를통해서유포되 었던악성코드최다 10건이다. 가장많이유포된 Win-Trojan/ Onlinegamehack.54784.BC( 이하 Onlinegamehack.54784.BC) 는 20개 의국내웹사이트를통해서유포되었다. [ 표 3-4] 2012년 4월악성코드최다 10건 순위 악성코드명 건수 1 Win-Trojan/Onlinegamehack.54784.BC 20 2 Win-Trojan/Onlinegamehack.102400.DX 20 3 Win-Trojan/Onlinegamehack.212992.S 15 4 Win-Trojan/Onlinegamehack.53248.KA 15 5 Win-Trojan/Onlinegamehack.140493.B 14 6 Win-Trojan/Onlinegamehack.112640.P 12 7 Win-Trojan/Onlinegamehack.38912.BJ 12 8 Win-Trojan/Onlinegamehack.38400.BA 11 9 Win-Trojan/Onlinegamehack.73216.AI 11 10 Win-Trojan/Agent.9344.L 10 3월에 48개의사이트에서유포되었던 Win-Trojan/Patched.64512. B는언론사 > P2P & 웹하드 > 기타순이나, 4월에가장많이유포된 Onlinegamehack.54784.BC의경우언론사를통한유포가대폭감 소하면서 P2P & 웹하드 > 언론사 & 기타순으로바뀌었다. Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. 감수전 무 조시행 발행처 주식회사안랩 경기도성남시분당구 삼평동 673 ( 경기도성남시분당구 판교역로 220) T. 031-722-8000 F. 031-722-8901