ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성

Security Trend ASEC REPORT VOL.85 January, 2017

ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab. com) 에서확인하실수있습니다. 2017 년 1 월보안동향 Table of Contents 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 4 6 7 2 보안이슈 SECURITY ISSUE 01 압축프로그램으로위장한백도어악성코드유포 02 신용카드정보 쏙, 파밍악성코드주의보 10 13 3 악성코드상세분석 ANALYSIS-IN-DEPTH 랜섬웨어, DDoS 기능을더하다 17 2

1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계

보안통계 01 악성코드통계 Statistics ASEC이집계한바에따르면, 2017년 1월한달간탐지된악성코드수는 599만 3,659건으로나타났다. 이는전월 693만 8,034건에비해 94만 4,375건감소한수치다. 한편 1월에수집된악성코드샘플수는 496만 2,372건이다. 11,000,000 10,000,000 9,000,000 8,651,224 8,000,000 7,000,000 6,938,034 6,000,000 5,993,659 5,000,000 4,590,540 4,692,745 4,962,372 4,000,000 3,000,000 2,000,000 1,000,000 0 11 월 12 월 1 월 탐지건수샘플수집수 [ 그림 1-1] 악성코드추이 (2016 년 11 월 ~2017 년 1 월 ) * 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 4

[ 그림 1-2] 는 2017년 1월한달간유포된악성코드를주요유형별로집계한결과이다. 트로이목마 (Trojan) 계열의악성코드가 44.16% 로가장높은비중을차지했고, 불필요한프로그램인 PUP(Potentially Unwanted Program) 가 24.05% 로, 웜 (Worm) 이 8.13% 의비율로그뒤를이었다. Downloader 2.55% Adware 3.67% Worm 8.13% Trojan 44.16% etc 17.44% PUP 24.05% [ 그림 1-2] 2017 년 1 월주요악성코드유형 [ 표 1-1] 은 1월한달간탐지된악성코드중 PUP를제외하고가장빈번하게탐지된 10건을진단명기준으로정리한것이다. Trojan/Win32.Starter 가총 18만 8,236건으로가장많이탐지되었고, Trojan/Win32.Banki가 10만 9,737건으로그뒤를이었다. [ 표 1-1] 2017년 1월악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 Trojan/Win32.Starter 188,236 2 Trojan/Win32.Banki 109,737 3 Malware/Win32.Generic 109,532 4 Unwanted/Win32.HackTool 100,074 5 Trojan/Win32.Cerber 83,796 6 Trojan/Win32.Agent 81,853 7 Trojan/Win32.Downloader 70,037 8 Trojan/Win32.Neshta 62,705 9 HackTool/Win32.AutoKMS 58,664 10 Trojan/Win32.Nitol 50,652 5

보안통계 02 웹통계 Statistics 2017년 1월에악성코드유포지로악용된도메인은 3,041개, URL은 4,169개로집계됐다 ([ 그림 1-3]). 또한 1월의악성도메인및 URL 차단건수는총 362만 7,716건이다. 5,000,000 4,000,000 3,963,654 3,398,158 3,627,716 3,000,000 12,000 11,165 10,000 10,193 8,000 7,661 6,310 6,000 4,000 3,041 4,169 2,000 악성도메인 /URL 차단건수 악성코드유포도메인수 0 11 월 12 월 1 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 (2016 년 11 월 ~2017 년 1 월 ) * 악성도메인및 URL 차단건수 란 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 6

보안통계 03 모바일통계 Statistics 2017 년 1 월한달간탐지된모바일악성코드는 29 만 2,262 건으로나타났다. 500,000 450,000 400,000 368,605 365,145 350,000 300,000 292,262 250,000 200,000 150,000 100,000 50,000 0 11 월 12 월 1 월 모바일악성코드수 [ 그림 1-4] 모바일악성코드추이 7

[ 표 1-2] 는 1월한달간탐지된모바일악성코드유형중상위 10건을정리한것이다. Android-PUP/Shedun이가장많이발견되었다. [ 표 1-2] 2017년 1월유형별모바일악성코드탐지상위 10건 순위 악성코드진단명 탐지건수 1 Android-PUP/Shedun 61,999 2 Android-PUP/SmsPay 41,759 3 Android-PUP/Agent 23,227 4 Android-Trojan/Jimo 18,024 5 Android-Trojan/Slocker 14,999 6 Android-Trojan/SmsSpy 11,249 7 Android-Trojan/Agent 11,037 8 Android-PUP/SmsReg 7,424 9 Android-Trojan/SmsSend 6,389 10 Android-PUP/Baogifter 6,333 8

2 보안이슈 SECURITY ISSUE 01 압축프로그램으로위장한백도어악성코드유포 02 신용카드정보 쏙, 파밍악성코드주의보

보안이슈 01 압축프로그램으로위장한백도어악성코드유포 Security Issue 최근정상프로그램으로위장한백도어 (Backdoor) 악성코드가발견되어사용자들의각별한주의가필요하다. 공격자들은주로사용자들에게익숙하고널리알려진유명유틸리티프로그램이나동영상파일등을이용하여악성코드를유포하는데, 이번에발견된백도어악성코드역시국내유명압축프로그램인것처럼둔갑해사용자들을속이는전통적인공격방식을통해유포됐다. 백도어는본래유사시장애해결이나유지보수등의관리를위해시스템에의도적으로남겨둔일종의보안허점으로, 악의적으로이용되는경우보안상으로치명적인문제를일으킬수있다. 특히정상적인로그인절차를거치지않고트로이목마를침투시켜백도어로이용하는경우시스템침입여부를은폐하고, 추후시스템에재침입하기위한백도어를추가로설치하는등추가악성행위가가능하기때문에위험하다. 그림 2-2 DEP 우회를위한 API 그림 2-1 국내유명압축프로그램으로위장한악성코드 이번에발견된악성코드는 [ 그림 2-2] 와같이윈도우 (Windows) 의 DEP(Data Execution Prevention, 데이터실행방지 ) 를우회하기위해 2개의 API를이용한다. DEP는프로그램이동적으로생성하는코드의실행을막는데, 그 10

대표적인예가악성코드의특정메모리에입력된쉘코드 (Shellcode) 다. 따라서이를우회하여악성행위를수행하기위해 API를이용하는것이다. 그림 2-3 RCDATA 내하드코딩된문자열 그림 2-5 C:\Windows 경로내자가복제 또한 [ 그림 2-5] 와같이 C:\Windows 경로에자가복제한후악성코드를실행시키는데, 해당경로에서복제파일을실행하지못할경우에는추가경로인 C:\Documents and Settings\Administrator\Application Data 에자가복제한후실행된다. 분석결과악성코드는 RCDATA 내특정하드코딩된문자열을읽어들이며, 해당문자열에는악성코드명, 뮤텍스 (Mutex), C&C 서버주소등과같은정보가포함된것이확인됐다. 만일 RCDATA 내데이터가존재하지않으면, [ 그림2-3] 의유니코드 (UNICODE) 값으로정보를설정한다. 그림 2-6 런 (Run) 레지스트리키등록 이후악성코드는 [ 그림 2-6] 과같이런 (Run) 레지스트리키에자기자신을등록하여시스템이시작될때마다자동실행될수있도록한다. 그림 2-4 뮤텍스 (Mutex) 생성 이후악성코드는 RCDATA 내문자열로 [ 그림 2-4] 와같이뮤텍스 (Mutex) 를생성한뒤, 특정값 (0B7) 과비교하여중복실행될경우종료된다. 그림 2-7 특정 URL 접속시도 11

또한악성코드는 [ 그림 2-7] 과같이 125.189. 58.45:1515의 C&C 서버주소로 20초마다통신을시도한것이확인됐다. 분석당시에는해당 C&C 서버에접속이되지않았지만, 해당 C&C 서버로부터추가명령을받아악성행위를수행했을것으로추정된다. 그림 2-8 백도어로부터탈취되는정보들 최종적으로 C&C 서버와접속이이뤄지면, 공격자는명령프롬프트 (cmd.exe) 를이용하여 [ 그림 2-8] 과같이사용자시스템내다양한정보들을탈취할것으로보인다. 례가꾸준히발견되고있다. 특히이번사례와같이대부분의백도어악성코드는의심을피하기위해사용자들에게익숙한정상프로그램으로위장하므로주의해야한다. 악성코드감염을예방하기위해서는공식적인경로로제공되는프로그램이아닌불법공유되는프로그램의이용은지양하는것이바람직하다. 또파일다운로드시백신의정밀검사기능을이용해확인하는습관이필요하다. 또한최신버전이아닌소프트웨어를사용하는경우, 취약점을이용한악성코드에감염될가능성이높기때문에반드시사용하는소프트웨어및백신제품을최신버전으로유지하는등올바른사용습관을가져야한다. V3 제품에서는해당악성코드를다음과같은진단명으로탐지하고있다. 최근불법공유되는유틸리티프로그램이나동영상파일등에악성코드가첨부되어유포된사 <V3 제품군의진단명 > Trojan/Win32.Bezigate (2017.01.03.06) 12

보안이슈 02 신용카드정보 쏙, 파밍악성코드주의보 Security Issue 보다안전한인터넷뱅킹의이용을위하여인터넷뱅킹, 스마트뱅킹, 폰뱅킹, 이모든서비스를이용하시려면 ( 개인, 기업 ) 추가인증후이용이가능합니다. 해당메시지는파밍 (Pharming) 악성코드에감염되었을때, 위조된피싱페이지에서흔히볼수있는팝업메시지다. 파밍악성코드의주목적은사용자의공인인증서와주요금융정보들을탈취하는것이기때문에공격자들은주로은행사이트를사칭한피싱사이트를제작하는데, 최근사용자들의신용카드정보를노려국내유명카드사로위장한피싱사이트가새롭게발견되어각별한주의가필요하다. 파밍악성코드는주로사용자가직접파일을실행하는행위를하지않고, 사이트에접속만해도악성코드에감염되는 드라이브바이다운로드 (Drive-by-download) 방식 을통해유포되거나, 불필요한프로그램 (Potentially Unwanted Program, PUP) 이나정상유틸리티프로그램의업데이트모듈을이용해유포된다. 이번에발견된파밍악성코드또한사용자가인지할수없도록불필요한프로그램을통해다운로드되는데, 해당파밍악성코드가실행되면 [ 표 2-1] 과같이윈도우운영체제파일인 mshta.exe를실행하게한다. 표 2-1 파일정보 C:\windows\system32\mshta.exe mshta.exe 파일은 [ 그림 2-9] 의프로세스정보에서확인할수있는것처럼 HTML Application 을실행하는정상파일이며, 악성코드는해당파일을실행한뒤메모리영역에악성코드를추가로삽입하여악성행위를수행한다. 그림 2-9 프로세스정보 13

이후공격자의 C&C 서버에연결을시도하는데, 해당 C&C 서버의주소정보는 [ 표 2-2] 와같다. 표 2-2 C&C 서버정보 67.229.148.198 사이트로변경한다. 또한, [ 인터넷옵션 > 연결 > 자동구성스크립트 ] 에서항목을수정하여사용자가포털사이트에접속할때위조된카드사페이지로연결될수있도록조작한다. 또한 [ 표 2-3] 과같이시작프로그램에 mshta. exe 파일을등록하여시스템이다시시작될때마다자동으로실행될수있도록하고, 윈도우방화벽예외정책을변경하기위해레지스트리정보를수정한다. 표 2-3 시작프로그램및윈도우방화벽예외정책레지스트리정보 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\000C293298E5 ->"C:\WINDOWS\system32\mshta.exe" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\Gopp ->"%Temp%\[ 랜덤문자열 ].exe" 그림 2-10 피싱페이지정보 여기서눈여겨볼것은포털사이트에나타나는금융감독원을사칭한팝업창이이전과다르게변경된것이다. 가장큰차이점은 [ 그림 2-11] 에표시된것처럼팝업창하단에은행사이트외에카드사사이트가추가된것이다. HKLM\SYSTEM\ControlSet001\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile \GloballyOpenPorts\List\1157:TCP ->"1157:TCP:*:Enabled:System" HKLM\SYSTEM\ControlSet001\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile \AuthorizedApplications\List\C:\WINDOWS\system32\ mshta.exe ->"C:\WINDOWS\system32\mshta.exe:*:Enabled:Microsoft (R) HTML Application host 그림 2-11 이전금융감독원팝업창 ( 좌 ) 카드사가추가된금융감독원팝업창 ( 우 ) 파밍악성코드는 [ 그림 2-10] 과같이사용자를위조된피싱사이트로유도하기위해먼저인터넷익스플로러의시작페이지를국내주요포털 국내주요카드사사이트를사칭한피싱페이지에서는 [ 그림 2-12] 와같이사용자의카드정보및개인정보입력을요구한다. 14

지난수년간지속적으로발생하고있는파밍공격은점점더교묘하게진화하고있다. 이번사례에서확인한바와같이은행사이트이외에도국내주요카드사로위장한피싱사이트의등장으로사용자들의피해가더욱증가할것으로예상되므로각별히주의해야한다. 그림 2-12 카드사사칭피싱사이트 최종적으로사용자가피싱사이트에입력한정보는 [ 그림 2-13] 과같이공격자의 C&C 서버로전송되어각종악성행위에이용된다. 파밍공격을예방하기위해서는기본적으로윈도우운영체제의보안업데이트를최신으로설치하여드라이브바이다운로드유포방식을이용한악성코드에감염되지않도록하며, 출처가불분명한사이트에대해서는접속에특히주의해야한다. 또한 V3 등백신제품의엔진을항상최신버전으로유지하는등의올바른습관이필요하다. V3 제품에서는해당파밍악성코드를다음과같은진단명으로탐지하고있다. 그림 2-13 네트워크정보 <V3 제품군의진단명 > Trojan/Win32.Banki (2017.01.12.04) 15

3 악성코드상세분석 ANALYSIS-IN-DEPTH 랜섬웨어, DDoS 기능을더하다

악성코드상세분석 Analysis-In-Depth 랜섬웨어, DDoS 기능을더하다 2016년에이어 2017년에도랜섬웨어위협은여전히계속되고있다. 랜섬웨어가지난한해동안수많은신 변종형태로등장하여사용자들을위협한가운데, 이번에는 DDoS(Distribute Denial of Service, 분산서비스거부 ) 공격기능이포함된랜섬웨어가발견되어주의가필요하다. 일암호화코드를통해해당리스트에포함된파일들의암호화를진행한다. 감염대상파일확장자는 [ 표 3-2] 와같다. 해당랜섬웨어는닷넷프레임워크 (.NET Framework) 를활용하는악성코드로, 닷넷프레임워크버전이 4.0 미만인경우에는실행되지않고바로종료된다. 하지만버전조건을만족하는경우에는악성코드가실행되어, [ 표 3-1] 과같이시작프로그램에자기자신을복사해시스템이시작될때마다자동으로실행될수있도록한다. 표 3-1 시작프로그램에자가복사 %Programs%\Startup\DjrsqvgahLYXnru.exe %ApplicationData%\SysWin32\files.txt 또한시스템내파일을파악하여감염대상파일리스트를생성하며, [ 그림 3-1] 과같이파 그림 3-1 파일암호화코드 표 3-2 감염대상파일확장자.aep,.asp,.aspx,.csv,.csx,.doc,.docx,.htm,.html,.jpg,.mdb,.mp3,.pdf,.php,.png,.psd,.sln,.sql,.torrent,.txt 랜섬웨어악성코드가실행상태를유지하는경우, 코드내하드코딩된주소 ( 파키스탄통신기관 ) 에지속적인접근을시도한다. 이때해당주소에서받은데이터를임시경로인 Temp를생성하여저장한다. 분석당시에는해당 URL 접근시호스트가확인되지않아파일은확인되지않았지만, 실제패킷을분석해보면 [ 그림 3-2] 와같이특정 URL 주소에대한지속적인접근이확인된다. 17

인지한경우, 작업관리자 (taskmgr) 가아닌명령프롬프트 (cmd.exe), 프로세스관리툴등을이용하여해당악성코드를종료시켜야한다. 그림 3-2 특정 URL 접근패킷 이번에발견된랜섬웨어의특징은 [ 그림 3-3] 과같이다수의스레드 (Thread) 를생성하여지속적인접근을시도하여, 해당악성코드에감염되는사용자가늘어날수록하드코딩된주소를사용하는서버에서많은수의패킷이발생할수있다는점이다. 이와같은기능은 DDoS 공격을유발하여더큰피해를입힐것으로추정된다. [ 그림 3-3] 다수의스레드생성 ( 좌 ) 및특정 URL 접근 ( 우 ) 또한 [ 그림 3-4] 의코드를분석한결과, taskmgr의프로세스정보를확인하고 taskmgr을종료하는코드가존재하는데, 이는작업관리자 (taskmgr) 의실행을방지하여현재실행중인랜섬웨어악성코드를종료하지못하게하기위한것으로추정된다. 따라서랜섬웨어악성코드가실행되고있는것을 [ 그림 3-4] 작업관리자 (taskmgr) 프로세스종료 대부분의랜섬웨어는감염당시악성행위가종료되는순간사용자에게랜섬웨어감염메시지를보여주는경우가많다. 그러나이번에발견된랜섬웨어는시작프로그램에자가복제한파일이있을경우, 랜섬웨어감염메시지를보여주기때문에, 시스템을다시시작했을때랜섬웨어감염메시지를확인할수있다. [ 그림 3-5] 의랜섬웨어감염메시지또한감염대상파일이있는경로전체에생성하는것이아니라, 바탕화면에만생성하는점이일반적인랜섬웨어와의차이점이다. 따라서이번에발견된랜섬웨어는바탕화면에생성된랜섬웨어감염메시지파일을발견하지못하면 PC 내파일이암호화된사실을뒤늦게인식할것이다. 18

포방식이나공격기법이날로교묘해지고있는랜섬웨어의피해를최소화하려면 PC사용자는 스팸메일 ( 첨부파일 ) 실행자제 중요파일별도백업습관화 수상한웹사이트방문자제 OS 및사용프로그램업데이트등의기본보안수칙의실천이필요하다. [ 그림 3-5] 랜섬웨어감염메시지 랜섬웨어는지난수년간 PC 내파일을인질로삼아몸값을요구하며지속적으로사용자들을위협해왔다. 그리고올해 2017년에도다수의신 종랜섬웨어가발생할것으로예측된다. 유 V3 제품에서는해당랜섬웨어를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > Trojan/Win32.Crypmodadv (2017.01.05.05) 19

ASEC REPORT VOL.85 January, 2017 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2017 AhnLab, Inc. All rights reserved.