ASEC REPORT VOL.78 June, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

Security Trend ASEC REPORT VOL.78 June, 2016

ASEC REPORT VOL.78 June, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2016 년 6 월보안동향 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 Table of Contents 4 6 7 2 보안이슈 SECURITY ISSUE 01 크로스플랫폼 (Cross-Platform) 애드웨어등장 02 최신영화파일로위장한 RAT 악성코드발견 10 12 3 악성코드상세분석 ANALYSIS IN-DEPTH 웹사이트광고에숨은랜섬웨어주의 15 2

1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계

보안통계 01 악성코드통계 Statistics ASEC이집계한바에따르면, 2016년 6월한달간탐지된악성코드수는 1,046만 7,643건으로나타났다. 이는전월 1,212만 9,597건에비해 166만 1,954건감소한수치다. 한편 6월에수집된악성코드샘플수는 302만 2,206건이다. 40,000,000 30,000,000 20,000,000 10,000,000 11,564,967 12,129,597 10,467,643 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 3,245,837 2,957,212 3,022,206 탐지건수샘플수집수 4 월 5 월 6 월 [ 그림 1-1] 악성코드추이 (2016 년 4 월 ~ 2016 년 6 월 ) * 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 4

[ 그림 1-2] 는 2016 년 6 월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그 램인 PUP(Potentially Unwanted Program) 가 41.52% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 24.49%, 웜 (Worm) 이 6.96% 의비율로그뒤를이었다. 0.31% 1.1% 6.96% 24.49% 41.52% 25.62% PUP etc Trojan Worm Adware Downloader [ 그림 1-2] 2016 년 6 월주요악성코드유형 [ 표 1-1] 은 6 월한달간탐지된악성코드중 PUP 를제외하고가장빈번하게탐지된 10 건을진단명기준으 로정리한것이다. Trojan/Win32.Starter 가총 21 만 5,746 건으로가장많이탐지되었고, Malware/ Win32.Generic 이 17 만 2,381 건으로그뒤를이었다. [ 표 1-1] 2016년 6월악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 Trojan/Win32.Starter 215,746 2 Malware/Win32.Generic 172,381 3 ASD.Prevention 128,266 4 Unwanted/Win32.HackTool 98,625 5 Trojan/Win32.Agent 73,884 6 Trojan/Win32.Neshta 68,886 7 Trojan/Win32.Banki 68,409 8 Trojan/Win32.CryptXXX 62,640 9 HackTool/Win32.Crack 61,036 10 Unwanted/Win32.Keygen 53,875 5

보안통계 02 웹통계 Statistics 2016 년 6 월에악성코드유포지로악용된도메인은 340 개, URL 은 1,682 개로집계됐다 ([ 그림 1-3]). 또한 6 월의악성도메인및 URL 차단건수는총 503 만 1,326 건이다. 9,000,000 8,000,000 7,000,000 6,000,000 6,373,536 6,109,635 5,000,000 4,000,000 5,031,326 40,000 30,000 20,000 10,000 0 648 4 월 2,216 961 5 월 2,691 340 6 월 1,682 악성도메인 /URL 차단건수 악성코드유포도메인수 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 (2016 년 4 월 ~ 2016 년 6 월 ) * 악성도메인및 URL 차단건수 란 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 6

보안통계 03 모바일통계 Statistics 2016 년 6 월한달간탐지된모바일악성코드는 32 만 1,654 건으로나타났다 ([ 그림 1-4]). 700,000 600,000 500,000 400,000 321,654 300,000 200,000 247,847 208,702 100,000 0 4 월 5 월 6 월 [ 그림 1-4] 모바일악성코드추이 (2016 년 4 월 ~ 2016 년 6 월 ) 7

[ 표 1-2] 는 6 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. Android-PUP/ SmsPay 가가장많이발견되었다. [ 표 1-2] 2016 년 6 월유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/SmsPay 84,728 2 Android-PUP/Zdpay 20,401 3 Android-Trojan/Moavt 19,027 4 Android-PUP/Noico 18,709 5 Android-PUP/Skymobi 18,456 6 Android-PUP/SmsReg 17,203 7 Android-Trojan/Hidap 14,132 8 Android-PUP/Shedun 14,043 9 Android-Trojan/AutoSMS 11,429 10 Android-Trojan/Agent 10,030 8

2 보안이슈 SECURITY ISSUE 01 크로스플랫폼 (Cross-Platform) 애드웨어등장 02 최신영화파일로위장한 RAT 악성코드발견

보안이슈 01 크로스플랫폼 (Cross-Platform) 애드웨어등장 Security Issue 최근 ARM 아키텍처기반프로세서를비롯해 ios, 안드로이드 (Android) 등다양한운영체제를사용하는추세에따라운영체제, 즉플랫폼에관계없이동작하는크로스플랫폼 (Cross-Platform) 소프트웨어가다수개발되고있다. 심지어애드웨어 (Adware) 도크로스플랫폼형태로등장했다. 최근해외보안업체사이버리즌 (Cybereason) 이발견한피릿 (Pirrit) 애드웨어는크로스플랫폼프레임워크를이용해개발됐다. 기존의피릿애드웨어는윈도우 (Windows) 운영체제에서동작하며, 2014 년처음발견된후지속적으로나타나고있다. 다양한프로그램에포함되어함께설치되며, 웹브라우저의프록시설정을변경하고사용자가웹서핑을할때 [ 그림 2-1] 과같이광고팝업창을보여준다. 이번에발견된맥 (Mac) 운영체제용 OS X 피릿애드웨어도다양한유틸리티프로그램에포함되어유포된것으로추정되며, [ 그림 2-2] 와같이크로스플랫폼개발프레임워크인 Qt를이용하여제작되었다. 그림 2-2 Qt 4 크로스플랫폼개발프레임워크사용 애드웨어에포함된문자열을확인한결과, OS X에서실행되는애드웨어임에도불구하고 [ 그림 2-3] 과같이윈도우레지스트리키 (Windows Registry Key) 값을포함하고있다. 그림 2-3 피릿애드웨어문자열에포함된윈도우레지스트리키값 그림 2-1 윈도우기반의피릿 (Pirrit) 애드웨어 (* 출처 : Microsoft.com) 해당악성코드가프록시설정변경을시도한다는점은기존의윈도우용피릿애드웨어와동일하지만, 시스템내의 http 트래픽을라우팅하기위해 http 프 10

록시서버 (Proxy server) 를 9882 포트로실행하 는등방식에는차이가있다. 다. 또한오픈소스와크로스플랫폼개발프레임워크가발전함에따라윈도우외의다른플랫폼을노리는악성코드수가점점증가하고있는추세다. 따라서윈도우운영체제외에맥등다른운영체제를사용하는경우에도프로그램설치시, 또는스팸메일에포함된첨부파일실행시악성코드감염에대한주의가필요하다. 그림 2-4 프록시서버 (Proxy server) 동작 다양한디바이스와운영체제를이용하는사용자들이늘어나면서보안의범위또한넓어지고있다. 여전히맥 (Mac) 운영체제가윈도우 (Windows) 운영체제에비해안전하다는인식이남아있지만, 최근발견되는맥악성코드를살펴보면윈도우악성코드에비해유포수만적을뿐, 기능과방식모두유사하 V3 제품에서는해당악성코드를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > OSX64-Adware/DLNow.141732 (2016.06.03.00) OSX64-Adware/Pirrit.414196 (2016.06.03.00) 11

보안이슈 02 최신영화파일로위장한 RAT 악성코드발견 Security Issue 토렌트를통해꾸준히악성코드를유포하는공격자들은시종일관동일한수법을이용한다. 아이콘과확장자를동영상파일처럼보이도록변경하고, 최신영화나드라마로위장하여사용자를유인하는것이다. 최근발견된 RAT 악성코드도최신개봉영화의동영상파일로위장하여유포되고있어사용자들의각별한주의를요한다. 또한중복실행방지를위한뮤텍스 (Mutex) 생성시 XtremeRAT 라는문자열이존재하는것으로보아해당악성코드는과거부터지속적으로유포되는 Xtreme RAT인것을알수있다. RAT(Remote Administration Tool) 악성코드는감염시스템을원격으로조종하며주로클립보드, 시스템내데이터등을유출하는키로깅기능을갖고있다. 그림 2-5 동영상파일로위장한악성코드 해당 RAT 악성코드는 [ 그림 2-5] 와같이겉으로보기엔동영상파일처럼보인다. 그러나폴더옵션내보기탭에서 [ 알려진파일형식의파일확장명숨기기 ] 를비활성화하면, 해당파일의확장자가화면보호기의확장자인.scr로확인된다. 즉, 이파일은동영상이아닌악성 PE 파일임을알수있다. 그림 2-6 XtremeRAT 뮤텍스생성 해당악성코드는윈도우 (Windows) 의정상프로세스인 svchost.exe와 iexplore.exe( 또는 chrome. exe) 를생성한뒤 CreateRemoteThread() 를통해인젝션된다. 표 2-1 레지스트리등록값 HKLM\Software\Microsoft\ "C:\WINDOWS\ Windows\CurrentVersion\Run\ InstallDir\win31. HKLM exe" HKCU\Software\Microsoft\ "C:\WINDOWS\ Windows\CurrentVersion\Run\ InstallDir\win31. HKCU exe" 이후이악성코드는 C:\WINDOWS\InstallDir\ win31.exe 경로에자가복제하여 [ 표 2-1] 과같은레지스트리등록을통해시스템시작시자동실행되도록한다. 12

C:\DOCUME~1\[ 사용자계정 ]\Application Data\Microsoft\Windows 경로에추가생성되는 --((Mutex))--.dat 파일은 Single Byte XOR(Key : 0x33) 로암호화되어있으며, 키로깅 (key-logging) 한클립보드데이터가저장된다. 그림 2-7 HTML 형식으로저장되는데이터 사용자시스템에서탈취된정보는 [ 그림 2-7] 과같이 HTML 형식으로저장되어공격자서버로전송되는것으로추정된다. 악성코드는시스템데이터탈취이외에도프로세스제어, 화면캡처등의악성행위를수행한다. 시스템을장악한악성코드는사용자가감염사실을인지하지못하도록 [ 그림 2-8] 과같이 C:\ WINDOWS 경로에정상토렌트설치파일을생성한뒤이를실행한다. 토렌트를통해공유되는영화나드라마파일을이용해악성코드를유포하는사례는꾸준히발견되고있다. 구체적인방법으로는다운로드파일중일부에악성코드를첨부하고정상파일로위장하는등여러가지가있다. 사용자는토렌트를통해파일을다운로드할때폴더에있는파일전체를의심없이내려받는경우가많은데, 여기에포함된악성코드가사용자의컴퓨터에서악성행위를하게되는것이다. 이밖에도저작권침해우려가있는만큼, 토렌트이용에대한주의가필요하다. V3 제품에서는해당악성코드를다음과같은진단명으로탐지하고있다. 그림 2-8 정상토렌트설치파일실행 <V3 제품군의진단명 > Trojan/Win32.Injector (2016.06.19.03) 13

3 악성코드상세분석 ANALYSIS-IN-DEPTH 웹사이트광고에숨은랜섬웨어주의

악성코드상세분석 Analysis-In-Depth 웹사이트광고에숨은랜섬웨어주의 2016년이반환점을지났지만, 사용자의파일을인질로삼아비용을요구하는랜섬웨어공격은여전히계속되고있다. 랜섬웨어공격은보통스팸메일과멀버타이징기법을통해이루어진다. 스팸메일을통한유포방법은공격자가불특정다수의사용자에게스크립트로된첨부파일을포함한메일을전송한뒤, 사용자가이첨부파일을실행하면랜섬웨어에감염되는방식이다. 멀버타이징 (Malvertising) 기법은웹사이트에삽입되는광고를이용하여랜섬웨어를유포하는방식이다. 악성코드 (Malware) 와광고 (Advertising) 의합성어인멀버타이징 (Malvertising) 기법은스팸메일을이용한랜섬웨어유포방법보다파급효과가훨씬크다. 웹사이트광고특성상하나의광고서버에서여러웹사이트로광고를전송하고, 짧은시간동안다수의사용자에게노출되기때문이다. 이러한이유로사용자는의심파일을다운로드하거나실행한적이없음에도불구하고랜섬웨어에감염될수있다. 이와같은피해사례가지속적으로증가하고있는만큼, 멀버타이징기법에대해좀더자세히알아보도록하자. 그림 3-1 멀버타이징 (Malvertising) 개념도 광고서버는웹사이트의광고영역에사전에제작된광고를전송하는역할을한다. [ 그림 3-1] 과같이멀버타이징기법을이용하는공격자는공격하고자하는광고서버에악성코드유포도구 (Exploit Kit) 와정상적인광고를전송한다. 사용자가광고가포함된웹페이지방문시, 광고서버는정상적인광고에악성코드유포도구 (Exploit Kit) 를포함하여웹페이지에전송한다. 이렇게전달된웹페이지가사용자의웹브라우저에서실행되면, 보안취약점을이용한드라이브-바이-다운로드 (Drive-by-download) 방식을이용하여사용자의시스템을감염시킨다. 그림 3-2 웹사이트에포함된인터넷광고 15

[ 그림 3-3] 은멀버타이징공격시수집된네트워크 정보다. 여기서사이트 www.livead*********. com 은웹페이지에광고를제공하는광고서버다. 또한 [ 표 3-2] 와같이연결된 tom****.com 사이트는악성코드유포지인 108.**.***.63 으로연결되도록작성되어있다. 표 3-3 vnunfse.***********.top 페이지정보 [vnunfse.***********.top] 그림 3-3 멀버타이징 (Malvertising) 네트워크정보 광고서버는사용자의웹브라우저에서요청받은광고페이지를전송한다. 이때전송된페이지에는사이트 tom****.com 과더불어악성코드유포지인 108.**.***.63 이포함되어있다. 표 3-1 전송받은광고페이지정보 [www.livead*********.com/a/display.php] <html> <head> <title></title> <link rel="dns-prefetch" href="http:\/\/tom****.com\/************************* **************trackurl.php 생략 [ 표 3-1] 에서확인할수있는바와같이전송된광고페이지내부는 tom****.com 사이트로연결되도록작성되어있다. <html> <body> 생략 <param name="bgcolor" value="#ffffff"/> <param value="always" name="allowscriptaccess"/> <embed src="/*****************/likewise- **************-granny-pale-cottage.swf" 생략 width="533" allowscriptaccess="samedomain" quality="high" height="120" loop="false"/> </object> </body> </html> 마지막으로, [ 표 3-3] 과같이최종연결되는페이지에서플래시파일이실행되어드라이브-바이-다운로드 (Drive-by-download) 방식으로랜섬웨어가실행된다. 랜섬웨어가사용자 PC 내에주요파일을암호화한후에는 [ 그림 3-4] 와같이랜섬웨어감염안내메시지가출력된다. 표 3-2 tom****.com 페이지정보 [tom****.com /trackurl.php] <html> <head> <script type="text/javascript" src="http://108.**.***.63/"></script> <meta http-equiv="refresh" content="8;http://www. tom***.com/*******************"> </head> </html> 그림 3-4 랜섬웨어감염안내메시지 최근랜섬웨어공격의범위가점점확대되고있다. 랜 16

섬웨어감염으로인한피해를예방하기위해서는백신프로그램을설치하고, 엔진을최신버전으로유지해야한다. 또운영체제, 웹브라우저및주요애플리케이션에최신보안업데이트를적용해야한다. 발신자가명확하지않은이메일에첨부된의심스러운파일의실행을자제하고, 보안이취약한웹사이트는방문하지않는것이좋다. 업무및기밀문서, 각종이미지등주요파일은주기적으로백업하되특히중요파 일들은 PC 외의외부저장장치를이용해 2차백업을해두는것이바람직하다. V3 제품에서는해당랜섬웨어를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > Win-Trojan/CryptXXX.Gen 17

ASEC REPORT VOL.78 June, 2016 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2016 AhnLab, Inc. All rights reserved.