Security Trend ASEC Report VOL.53 May, 2014
ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2014 년 5 월보안동향 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 Table of Contents 4 6 7 2 보안이슈 SECURITY ISSUE 01 국가재난을악용한스미싱과피싱 02 공유기 DNS 변조주의! 03 돈벌이수단으로이용되는랜섬웨어 10 14 16 ASEC REPORT 53 Security Trend 2
1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 ASEC REPORT 53 Security Trend
보안통계 01 악성코드통계 Statistics ASEC 이집계한바에따르면, 2014 년 5 월한달간탐지된악성코드수는 171 만 87 건으로나타났다. 이는 전월 271 만 7,050 건에비해 100 만 6,963 건감소한수치다. 한편 5 월에수집된악성코드샘플수는 269 만 7,234 건이다. [ 그림 1-1] 에서 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플 수집수 는안랩이자체적으로수집한전체악성코드샘플수를의미한다. 5,000,000 4,000,000 4,352,551 3,000,000 2,717,050 2,000,000 1,710,087 1,000,000 0 3,077,664 3 월 2,884,767 4 월 2,697,234 5 월 탐지건수샘플수집수 [ 그림 1-1] 악성코드추이 ASEC REPORT 53 Security Trend 4
[ 그림 1-2] 는 2014 년 5 월한달간유포된악성코드를주요유형별로집계한결과이다. 트로이목마 (Trojan) 계열의악성코드가 36.8% 로가장높은비중을차지했고, 불필요한프로그램인 PUP(Potentially Unwanted Program) 가 30.2%, 웜 (Worm) 이 12.6% 의비율로그뒤를이었다. 12.6% 36.8% 20.4% 30.2% Trojan PUP etc Worm [ 그림 1-2] 주요악성코드유형 [ 표 1-1] 은 5 월한달간가장빈번하게탐지된악성코드 10 건을진단명기준으로정리한것이다. PUP/Win32.IntClient 가총 14 만 8,164 건으로가장많이탐지되었고, Trojan/Win32.Agent 가 8 만 7,720 건으로그뒤를이었다. [ 표 1-1] 악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 PUP/Win32.IntClient 148,164 2 Trojan/Win32.Agent 87,720 3 PUP/Win32.GearExt 56,913 4 PUP/Win32.Kraddare 46,728 5 Trojan/Win32.Hupe 42,543 6 Trojan/Win32.OnlineGameHack 41,662 7 Trojan/Win32.Gen 38,430 8 ASD.Prevention 37,111 9 Unwanted/Win32.Agent 35,405 10 Trojan/Win32.Downloader 34,071 ASEC REPORT 53 Security Trend 5
보안통계 02 웹통계 Statistics 2014 년 5 월악성코드유포지로악용된도메인은 1,257 개, URL 은 7,575 개로집계됐다. 또한 5 월의악성 도메인및 URL 차단건수는총 177 만 6,498 건이다. 악성도메인및 URL 차단건수는 PC 등시스템이악 성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 10,000,000 9,990,451 8,000,000 4,567,453 6,000,000 4,000,000 2,000,000 1,776,498 50,000 40,000 38,547 30,000 20,000 19,644 10,000 3,136 3,186 1,257 7,575 악성도메인 /URL 차단건수 악성코드유포도메인수 0 3 월 4 월 5 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 ASEC REPORT 53 Security Trend 6
보안통계 03 모바일통계 Statistics 2014 년 5 월한달간탐지된모바일악성코드는 7 만 5,853 건으로나타났다. 250,000 200,000 150,000 100,000 103,892 80,461 75,853 50,000 0 3 월 4 월 5 월 [ 그림 1-4] 모바일악성코드추이 ASEC REPORT 53 Security Trend 7
[ 표 1-2] 는 5 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. 애플리케이션설치프 로그램으로위장하여악성코드를설치하는악성앱 (Android-Trojan/FakeInst) 이지난달에이어가장 많이탐지되었다. [ 표 1-2] 유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-Trojan/FakeInst 18,801 2 Android-PUP/Dowgin 16,830 3 Android-PUP/Wapsx 4,625 4 Android-Trojan/Opfake 3,713 5 Android-Trojan/SMSAgent 1,685 6 Android-Trojan/Mseg 1,233 7 Android-Trojan/SmsSend 1,129 8 Android-PUP/SMSreg 1,094 9 Android-PUP/Kuguo 1,074 10 Android-PUP/Admogo 1,060 ASEC REPORT 53 Security Trend 8
2 보안이슈 SECURITY ISSUE 01 국가재난을악용한스미싱과피싱 02 공유기 DNS 변조주의! 03 돈벌이수단으로이용되는랜섬웨어 ASEC REPORT 53 Security Trend
보안이슈 01 Security Issue 국가재난을악용한스미싱과피싱 최근발견된스미싱은세월호와같은사회적이슈를악용한사례가많다. 이는악성코드제작자가단기간에사람들의관심을유도하여많은감염자를확보하기위해서이다. 세월호관련스미싱문자는 실시간속보, 침몰그진실.., 생존자확인 등과같은문구를사용했다. 또 세월호사칭스미싱대처방법 처럼사람들의심리를이용하여관심을끌기위한어휘를사용하기도했다. [ 표 2-1] 은실제원문으로, 다양한문구를확인할수있다. 스미싱발송날짜 원문 5월 01일목요일 세월호기부상황조회 3**.net/y7A 4월 23일수요일 23일 9시경실종자6명구조성공이다. ㅊㅋㅊㅋ http://goo.gl/**mmvx 4월 22일화요일 [ 속보 ] 세월호 3호창생존자 2명발견 http://goo.gl/**wgnd 4월 21일월요일 단원고학생 교사 78명생존확인 http://ww.tl/**m 4월 21일월요일 세월호사칭스미싱문자추가발견.. 주의당부스미싱대처방법 t.**t99.info 4월 20일일요일 세월호침몰그진실은... http://ww.tl/**so 4 월 20 일일요일 믿기어려운세월호침물관련충격영상공개!! http://goo.gl/**kuii 4 월 20 일일요일세월호침몰그진실... http://goo.gl/**ux6d[fw] 4 월 19 일토요일 세월호사칭스미싱문자추가발견 주의당부스미싱대처방법 http://goo.gl/**x4r1 4 월 19 일토요일 4 월 19 일토요일 4 월 18 일금요일 [GO! 현장 ] 세월호구조된 6살어린이 http://126.107.**.204/ * 실시간속보 [ 세월호 ] 침몰사망자55명더늘어 * 동영상보기 hosisting.**fo [ 여객선침몰 ] 청해진해운 " 승선자명단없는사망자명단 kowa.**rtit.com 4 월 18 일금요일세월호침몰그진실은...~http://ztc.me/**d 4 월 18 일금요일세월호침몰그진실은...http://ww.tl/**ws 4 월 18 일금요일 4 월 18 일금요일 4 월 18 일금요일 표 2-1 세월호관련스미싱 [ 연합뉴스 ] 여객선 ( 세월호 ) 침몰사고구조현황동영상 http://goo.gl/**burb *( 실시간속보 ) 세월호침몰사망자 25명으로늘어.. 검색더보기 www.sto**paint**.net * 실시간속보세월호침몰사망자 25명늘어더보기 http://psm8060.h**web.net/adt.apk 스미싱은문자메시지에포함된인터넷주소를클릭하면악성앱 (apk) 이다운로드된다. 이앱을스마트폰사용자가설치및실행하면, 사용자의개인정보와금융정보가유출된다. 악성앱의아이콘은구글마켓과세월호사진등이이용됐다 ([ 그림 2-1]). 그림 2-1 악성앱이사용한아이콘 ASEC REPORT 53 Security Trend 10
이러한세월호관련스미싱악성앱은사용자의연락처정보, 디바이스정보, 금융정보를탈취하여외부서버로전송한다. 이번세월호사건을악용한스미싱제작자는지난 2014년 1월카드사정보유출사건을악용하기도했다. 당시사용된메시지와아이콘은 [ 그림 2-2] 와같다. 스미싱피해를예방하려면의심스러운문자메시지의 URL 클릭을자제하고, 스마트폰의백신앱은항상최신버전으로유지해야한다. 또한 안전한문자 와같은스미싱예방에도움이되는앱을설치하면좀더안전하게스마트폰을사용할수있다. 안전한문자는구글플레이 (https://play.google. com/store/apps/details?id=com.ahnlab. safemessage) 에서무료로다운로드받아이용할수있다. 그림 2-2 카드사정보유출스미싱 ( 좌 ) 과악성앱아이콘 ( 우 ) 한편, 스미싱뿐만아니라세월호사건을악용한피싱사이트도발견되었다. [ 그림 2-4] 와같이 SNS에수많은사용자의이름으로해당내용이게시된것을확인할수있다. 악성앱은스마트폰에서사용중인은행앱을체크하여해당은행앱으로위장한악성앱을다운로드받는다 ( 카드사정보유출사건 ). 대상이되는패키지명 ( 은행앱 ) 은동일하며정보를탈취및전송하는서버주소의매개변수값도동일하게구성되어있다. 또한 C&C 서버를통해명령을수행하도록설계되어있다. 그림 2-4 세월호사건의허위 SNS 내용 그림 2-3 대상패키지및정보탈취서버정보의일부코드, 카드사정보유출사건 ( 좌 ) / 세월호사건 ( 우 ) 해당피싱사이트는유명커뮤니티에서도발견되었다 ([ 그림 2-5]). ASEC REPORT 53 Security Trend 11
[ 그림 2-8] 과같이사용자가입력한아이디와패스워드는대만에위치한서버 ( 피싱사이트 ) 로전송한후정상적인포털사이트페이지에접속한다. 그림 2-5 세월호사건을악용한피싱사이트 작성자의다른글도 [ 그림 2-6] 과같이세월호사건 을언급하고있다. 그림 2-8 사용자가입력한 ID/PW 를피싱사이트로전송하는페이지소스코드 해당데이터패킷을보면 [ 그림 2-9] 와같이아이디 와패스워드가전송되는것을확인할수있다. 그림 2-6 5 월 8 일동일작성자에의해게시된글 해당피싱사이트는포털사이트로그인페이지로위장되었으나, 확인한결과로그인형식 (FORM) 과위치가맞지않았다. 그림 2-9 사용자의계정정보가전송되는네트워크패킷 그림 2-7 정상적인로그인페이지 ( 좌 ) / 악의적인피싱사이트 ( 우 ) 한편, 스미싱범죄는 정보통신망이용촉진및정보보호등에관한법률 에의거하여처벌받을수있으며, 개인정보무단수집의경우 5년이하의징역또는 5,000만원이하의벌금형에처할수있다. ASEC REPORT 53 Security Trend 12
보안이슈 02 Security Issue 공유기 DNS 변조주의! DNS 변조를통해금융정보를탈취하는악성코드가꾸준히발견되고있다. [ 그림 2-10] 은악성 DNS 주소가설정된공유기를통하여정상적인사이트에접근한화면이다. 그림 2-10 DNS 변조를통한악성앱다운로드유도 이처럼 DNS가변조된공유기를통하여접속할경우악성앱을다운로드받게된다. 어떤과정을통하여악성앱을다운로드받게되는지살펴보자. [ 그림 2-11] 은악성행위의흐름을나타낸것이다. 1 공유기 DNS 변조 A. 악의적인 DNS 주소로접근하도록변조한다. 2 DNS 서버구성 A. 사용자가접근할정상사이트에매핑되는악성사이트가설정되어있다. 3 악성스크립트배포 A. 변조된 DNS 정보로악성사이트에접속하게된다. B. 개인정보를탈취당하거나, 악성코드가다운로드될수있다. [ 그림 2-12] 와같이 PC(Windows) 사용자가접속하면금융감독원을사칭한팝업화면을볼수있다. 그림 2-11 악성행위흐름도 그림 2-12 금융감독원을사칭한피싱 ( 가짜 ) 사이트 ASEC REPORT 53 Security Trend 13
[ 그림 2-12] 의팝업화면에서특정은행을선택하면악성코드제작자는 [ 그림 2-13] 과같이 전자금융사기예방시스템 관련공지에대한글을보여주고사용자에게정상사이트로인식시킨후금융정보탈취를시도한다. 그림 2-16 악성앱의권한정보 ( 좌 ) / 정상앱과악성앱의아이콘 ( 우 ) 그림 2-13 금융정보를탈취하려는악성사이트 스마트폰에서살펴보면사용자는정상사이트에접속했지만 [ 그림 2-14] 와같은스크립트에의해 126..xx.xx.235 주소로연결되며악성앱을다운로드받게된다. 악성앱을실행하면정상적인포털사이트페이지가열리고악성앱의아이콘은삭제된다. 사용자는악성앱이설치되어있는지인지하기어렵다. 이런경우에는 [ 환경설정 ] - [ 애플리케이션 ] 항목에서설치된앱을확인하고삭제할수있다. 해당악성앱은금융정보탈취를목적으로제작되었다. 다음과같은정보를탈취하여특정서버 (vvcn9. xxxx.cc) 로전송한다. 그림 2-14 악성앱다운로드스크립트그림 2-15 스마트폰에서접속한화면 ( 좌 ) / 악성앱다운로드 ( 우 ) 다운로드받은악성앱을설치하면 [ 그림 2-16] 의 ( 좌 ) 처럼권한을요청한다. 정상앱과악성앱의아이콘은동일하며앱이름만다르게나타난다 ( 우 ). 1 IMEI ( 국제모바일기기식별코드 [international mobile equipment identity]) 2 전화번호 3 통신사 4 사용중인은행앱 5 주소록의전화번호 6 문자메시지 ( 송신자번호, 수신일시, 문자내용 ) 7 추가악성앱다운로드악성앱설치후네트워크패킷을살펴보면 [ 그림 2-17] 과같이스마트폰의정보를탈취하는것을확인할수있다. ASEC REPORT 53 Security Trend 14
그림 2-17 악성앱에의한네트워크패킷 ( 정보탈취부분의일부패킷 ) 또한악성앱에는 10 개의금융사를사칭한악성앱을 다운로드받는코드가존재한다. 공유기는 DNS 주소가변경되는취약점이발생될수있다. DNS 변조가의심되면공유기의 DNS 및 PC 의 DNS 설정이정상적으로되어있는지확인하면된다. 또한이같은취약점을예방하려면반드시공유기제조사를통해최신버전의펌웨어로업그레이드해야한다. 그림 2-18 10 개금융사사칭앱리스트 추가로다운로드받는악성앱에는공인인증서를탈취하는코드가존재한다. 그림 2-21 공유기 DNS 설정화면 그림 2-22 PC DNS 설정화면 그림 2-19 공인인증서탈취코드일부 지금까지 DNS 변조로인하여감염될수있는악성코드에대해서살펴봤다. 그외에도변조된 DNS가발견되고있다. [ 그림 2-20] 과같이 ahnlab.com 으로접근할때 1.1.1.1로연결되도록설정하여실제안랩접속을차단하고있는사례도발견되었다. 공유기또는 PC의 DNS 주소가변경되었다면다음과같이변경하거나자동으로설정하면된다. 참고로기본 DNS 서버주소는아래와같다. KT : ( 기본 DNS 서버 ) 168.126.63.1 ( 보조 DNS 서버 ) 168.126.63.2 SK 브로드밴드 : ( 기본 DNS 서버 ) 210.220.163.82 ( 보조 DNS 서버 ) 219.250.36.130 LG U+ : ( 기본 DNS 서버 ) 164.124.101.2 ( 보조 DNS 서버 ) 203.248.252.2 V3 제품에서는관련악성코드를다음과같이진단하고있다. 그림 2-20 변조된 DNS 로인하여 ahnlab.com 접속차단 <V3 제품군의진단명 > Trojan/Win32.Banki (2014.05.29.00) Android-Trojan/Bankun (2014.05.28.04) ASEC REPORT 53 Security Trend 15
보안이슈 03 Security Issue 돈벌이수단으로이용되는랜섬웨어 랜섬웨어 (Ransomware) 는 PC나휴대전화등사용자기기의가용성을다양한방법으로제한하여사용자스스로금전을지불하게만드는악성코드이다. 이번에발견된랜섬웨어 크립토월 (CryptoWall) 은이메일로전파되어지금도많은사용자의파일을암호화한후금전을요구하고있다. 기위해어떻게해야하는지에대해자세히설명해준후그대가로사용자에게금전을요구한다. 기업이나개인이중요문서를저장하고있는 PC가크립토월에감염되었을경우심각한피해가우려된다. 이때문에악성코드제작자는금전을지불하면서까지파일을복구하려는사람들의심리를교묘하게이용하고있다. 크립토월에감염되면암호화된파일이있는모든경로에 [ 그림 2-24] 와같이 3개의파일이공통으로생성된다. 그림 2-23 크립토월감염시나타나는창 해당악성코드는감염시다양한확장자파일 (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) 을 RSA-2048 알고리즘을이용하여암호화하고 [ 그림 2-23] 과같은창을사용자에게보여준다. 해당문서에는 RSA-2048 알고리즘이무엇인지, 복구방법은무엇인지, 파일을정상화하 그림 2-24 생성되는파일 생성된 3 개의파일은 [ 그림 2-23] 과같이감염시나 타나는창과동일한내용이다. ASEC REPORT 53 Security Trend 16
그림 2-25 암호화된파일 악성코드가실행되면암호화된파일은 [ 그림 2-25] 와같이파일이손상되었다는메시지가팝업되거나파일이열리더라도알수없는내용으로가득차있다. 크립토월은여느랜섬웨어처럼제한시간을정해두고시간내에돈을지불하지않으면요구금액을인상한다. 그리고복호화키를삭제하여아예복구할수없게만든다는메시지를사용자에게보여준다. 이를통해사용자의판단을흐리게하고결제를유도한다. 금전취득을위해시간을제한함으로써사용자의불안한심리를이용하고있는것이다. 또한샘플로파일 1개를통해복호화가가능하다는것을보여주고 500달러만지불하면모든파일을복호화할수있는것처럼사용자들을유혹하고있다. 그림 2-26 암호화된 PDF 파일 ( 좌 ) / 정상 PDF 파일 ( 우 ) 파일의내부를살펴보면정상적인 PDF 파일구조와는전혀다르게모든데이터가 RSA 알고리즘에의해암호화되어있다. 따라서암호화키를알지못하면파일만으로는해독이불가능하다. 그림 2-28 샘플로파일하나를복호화해주는창 ( 상 ) / Support ( 하 ) [ 그림 2-28] 을보면크립토월은고객지원창 (Support) 이있어마치판매자와구매자의관계처럼대화할수있는페이지가마련되어있다 ( 하 ). 악성코드제작자는복호화창 ( 상 ) 을통해상세한내용을설명해주고암호화된파일한개를복호화해준다. 사용자에게신뢰를얻음으로써금전적인이득을취하기위해서이다. 그림 2-27 비트코인을요구하는페이지 ASEC 대응팀은이방법으로악성코드제작자와접촉을시도했으나응답이오지않았다. ASEC REPORT 53 Security Trend 17
랜섬웨어는중요한문서를암호화한후복구대가를요구하지만한번암호화되면대가를제공하지않고서는복구가능성이매우희박하다. 또대가를지불한다고해도모든파일을복구할수있다는보장도없다. 파일복원을진행하면사용자가백업을설정한파일을원본파일에덮어씌워복원하거나기존경로외에다른경로에저장할수있다. 하지만대가를지불하지않고도암호화된파일을복구할수있는방법이전혀없는것은아니다. 평소중요한문서나파일에대해백업해두는습관을들이면피해를예방할수있다. 윈도의사용자파일백업기능을이용하면된다. 복원지점을설정해두었거나사용자파일을백업해두었다면해당악성코드에감염되더라도감염전으로돌아가복구할수있다. 그림 2-31 복원후파일 [ 그림 2-31] 과같이지정된경로에백업했던파일이 복원되고정상적으로실행되는것을확인할수있다. 그림 2-29 사용자파일백업 이때사용자는반드시윈도가설치된로컬디스크가아닌다른저장매체에저장해야백업이가능하다. 로컬디스크는백업파일이저장될경로에표시되지않으며로컬디스크에서백업할파일이나폴더를사용자가지정할수있다. 악성코드감염에있어가장중요한것은대처가아닌예방이다. 의심되는메일이나첨부파일은열어보지않고중요한파일은백업해두는습관만으로도악성코드로부터 PC를지킬수있다. V3 제품에서는관련악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Trojan/Win32.Agent (2014.05.27.00) 그림 2-30 파일복원 ASEC REPORT 53 Security Trend 18
ASEC REPORT vol.53 May, 2014 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩 UX디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2014 AhnLab, Inc. All rights reserved.