ASEC REPORT VOL.47 2013.11
CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2013 년 11 월보안동향 악성코드동향 01. 악성코드통계 03 02. 악성코드이슈 07 - PC 내파일을암호화하는랜섬웨어 CryptoLocker - 악성매크로를포함한엑셀파일 - USB에생성되는 바로가기 파일 - MS 오피스제로데이취약점 (CVE-2013-3906) 주의 - 새터민자기소개서로위장한악성한글파일출현 - 신용카드명세서로위장한악성코드변종유포 - 가짜음성메시지가첨부된악성스팸메일등장 - 동영상파일로위장한악성코드 - 이력서문서파일로위장한실행파일 보안동향 01. 보안통계 20-11월마이크로소프트보안업데이트현황 02. 보안이슈 21 - 비트코인지갑저장소를노린공격발생 - Apache Struts 2 취약점업데이트권고웹보안동향 01. 웹보안통계 22 03. 모바일악성코드이슈 17 - 정상앱을가장한광고앱주의 - 신뢰할수있는기업의웹사이트로위장한모바일사이트 - 음란페이지로가장해모바일악성앱배포 - 웹서핑중자동으로다운로드되는앱
3 악성코드동향 01. 악성코드통계 신종악성코드기승 ASEC 이집계한바에따르면, 2013 년 11 월에감염이보고된악성코드는 206 만 6944 건으로나타났 다. 이는전월 233 만 9014 건에비해 27 만 2070 건이감소한수치다 ([ 그림 1-1]). 이중가장많이보 고된악성코드는 Win-Trojan/Patched.kg 이었으며, 지난달과마찬가지로 Textimage/Autorun 과 Als/ Bursted 가다음으로많았다. 또한총 8 건의악성코드가최다 20 건목록에새로이름을올렸다 ([ 표 1-1]). 그림 1-1 월별악성코드감염보고건수변화추이 10,000,000 5,000,000 0 2,359,753 2,339,014 2,066,944 14.6% 0.88% 11.6% 09 10 11 표 1-1 2013년 11월악성코드최다 20건 ( 감염보고, 악성코드명기준 ) 순위 등락 악성코드명 건수 비율 1 Win-Trojan/Patched.kg 308,683 35.5 % 2 Textimage/Autorun 85,500 9.8 % 3 Als/Bursted 76,855 8.8 % 4 1 RIPPER 38,561 4.4 % 5 NEW Trojan/Win32.fraudl 35,643 4.1 % 6 NEW JS/Agent 32,586 3.8 % 7 NEW Trojan/Win32.adh 28,259 3.3 % 8 1 Win-Trojan/Wgames.Gen 26,399 3.0 % 9 1 Win32/Autorun.worm.307200.F 24,718 2.8 % 10 4 Trojan/Win32.onescan 23,864 2.7 % 11 3 Trojan/Win32.agent 23,549 2.7 % 12 3 Win-Trojan/Agent.21734801 22,165 2.6 % 13 NEW Trojan/Win32.keygen 20,281 2.3 % 14 NEW Gif/Iframe 20,038 2.3 % 15 NEW BinImage/Host 19,553 2.3 % 16 NEW JS/Decode 19,104 2.2 % 17 6 ASD.PREVENTION 16,927 2.0 % 18 5 Trojan/Win32.Gen 15,993 1.8 % 19 NEW Trojan/Win32.wecod 15,855 1.8 % 20 4 Win-Trojan/Malpacked5.Gen 15,742 1.8 % TOTAL 870,275 100.0 %
4 악성코드대표진단명감염보고최다 20 [ 표 1-2] 는악성코드별변종을종합한악성코드대표진단명중가장많이보고된 20 건을추린것이다. 이중 Win-Trojan/Patched 가총 32 만 5335 건으로가장빈번히보고된것으로조사됐다. Trojan/Win32 는 25 만 8325 건, Win-Trojan/Agent 는 11 만 3563 건을각각기록해그뒤를이었다. 표 1-2 악성코드대표진단명최다 20건 순위 등락 악성코드명 건수 비율 1 Win-Trojan/Patched 325,335 24.4 % 2 Trojan/Win32 258,325 19.4 % 3 Win-Trojan/Agent 113,563 8.5 % 4 Textimage/Autorun 85,515 6.4 % 5 Als/Bursted 76,855 5.8 % 6 Win-Trojan/Onlinegamehack 47,760 3.6 % 7 1 Win32/Conficker 44,956 3.4 % 8 2 Win32/Autorun.worm 43,334 3.2 % 9 3 RIPPER 38,561 2.9 % 10 1 Win-Trojan/Downloader 37,781 2.8 % 11 2 Adware/Win32 35,782 2.7 % 12 2 Win32/Kido 33,663 2.5 % 13 NEW JS/Agent 32,665 2.4 % 14 1 Win32/Virut 32,481 2.4 % 15 Win-Trojan/Wgames 26,399 2.0 % 16 Backdoor/Win32 22,669 1.7 % 17 NEW Gif/Iframe 20,038 1.5 % 18 NEW BinImage/Host 19,553 1.5 % 19 2 Win-Trojan/Avkiller 19,396 1.5 % 20 NEW JS/Decode 19,104 1.4 % TOTAL 1,333,735 100.0 % 신종악성코드, 트로이목마가 96% [ 표 1-3] 은 11 월에신규로접수된악성코드중감염보고가가장많았던 20 건을꼽은것이다. 11 월 의신종악성코드중최다는트로이목마류로, Win-Trojan/Agent.704 가 5024 건으로전체의 26.2%, 그뒤를이어 Win-Trojan/Agent.704.B 가 5168 건으로 26.0% 를차지했다. 표 1-3 11월신종악성코드최다 20건 순위 악성코드명 건수 비율 1 Win-Trojan/Agent.704 5,204 26.2 % 2 Win-Trojan/Agent.704.B 5,168 26.0 % 3 Win-Trojan/Clicker.338896 2,807 14.1 % 4 Win-Trojan/Urelas.426595 1,087 5.5 % 5 Win-Trojan/Agent.71745536 814 4.1 % 6 Win-Trojan/Agent.82610 788 4.0 % 7 Win-Trojan/Stealer.320676 683 3.4 % 8 Win-Trojan/Agent.24576.JPN 483 2.4 % 9 Win-Trojan/Avkiller.65503232 469 2.4 % 10 Win-Trojan/Avkiller.70270976 374 1.9 % 11 Dropper/Onlinegamehack.183700 309 1.6 % 11 Win-Adware/Speedbster.813720 309 1.6 % 13 Win-Trojan/Agent.37888.SP 253 1.3 % 14 Win-Trojan/Vb.253048 223 1.1 % 15 Win-Trojan/Agent.75710464 190 1.0 % 16 Win-Trojan/Clicker.702616 168 0.8 % 17 Dropper/Agent.140759 143 0.7 % 18 Win-Trojan/Morix.86082560 134 0.7 % 19 Win-Trojan/Agent.393728.BM 130 0.6 % 20 Win-Trojan/Agent.704183 128 0.6 % TOTAL 19,864 100.0 %
5 여전히 트로이목마 가강세 [ 그림 1-2] 는 2013 년 11 월한달간안랩고객으로부터감염이보고된악성코드의유형별비율을 집계한결과다. 트로이목마가 56.1% 로가장높은비율을나타냈고웜은 8.4%, 스크립트는 7.6% 의 비율을각각차지했다. 그림 1-2 악성코드유형별비율 악성코드유형별감염보고전월비교 [ 그림 1-3] 은악성코드유형별감염비율을전월과비교한것이다. 스크립트, 다운로더는전월에비 해증가세를보인반면트로이목마, 웜, 바이러스, 애드웨어, 익스플로이트, 드롭퍼는감소했다. 스파 이웨어, 애프케어계열은전월수준을유지했다. 그림 1-3 2013 년 10 월 vs. 2013 년 11 월악성코드유형별비율
6 신종악성코드유형별분포 11 월의신종악성코드를유형별로살펴보면트로이목마가 96% 로가장많았고애드웨어가 2%, 드 롭퍼가 2% 로각각집계됐다. 그림 1-4 신종악성코드유형별분포
7 악성코드동향 02. 악성코드이슈 PC 내파일을암호화하는랜섬웨어 CryptoLocker 최근시스템에저장된문서, 이미지파일등을암호화하여금전적대가를요구하는 CryptoLocker 랜섬웨어가발견돼사용자들의주의가요구된다. 이번에발견된 CryptoLocker 랜섬웨어는이메일의첨부파일을통해유포되었으며, 일정시간이지나면암호화키가삭제되어복구할수없다는메시지를사용자에게보여준다. 파일복구비용으로 300달러를결제하는방법이외에비트코인으로결제하는메뉴도제공한다 ([ 그림 1-6]). [ 그림 1-5] 는악성코드감염후사용자에게나타나는화면이다. 암호화된파일리스트를확인하는메뉴와파일복구를위해 300달러를요구하는내용을확인할수있다. 그림 1-6 CryptoLocker 감염화면 랜섬웨어에감염되면다음과같은경로에악성파일이생성된다. 해당파일은윈도우시작레지스트리키에등록되어부팅시자동으로실행된다. 그림 1-5 CryptoLocker 감염화면 CryptoLocker 랜섬웨어는시스템에저장된워드 (Word), 엑셀 (Excel), 파워포인트 (PowerPoint), 이미지파일등다양한파일을암호화한다. 그림 1-7 파일생성정보 3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx [ 그림 1-8] 은시스템에서암호화된파일을나타내는화면이다. 파일은공개키방식으로암호화되어있어제작자서버에저장된개인키가없으면파일을복구하는것이불가능하다. 악의적인목적으로제작된랜섬웨어는사용자가복구비용을지불하더라도파일이정상적으로복구되지않을수있다.
8 V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > Trojan/Win32.Blocker (AhnLab, 2013.09.23.04) 악성매크로를포함한엑셀파일 그림 1-8 암호화된파일들 실제로, 암호화된문서파일 (PPT) 을실행하면파일이열리지않는것을확인할수있다 ([ 그림 1-9]). 악성코드를감염시키는가장손쉬운방법은사회공학적인기법을사용하는것이다. 악성코드를불법소프트웨어, MP3, 영화자료로속여서배포하거나공신력있는기관 업체로위장해악의적인코드가담긴문서를배포하기도한다. 이번에발견된것은엑셀파일로된악성코드인데, 악성매크로가포함되어있어문서를열어볼경우악성코드에감염된다. 파일이름은 payment Pending List.xls 이며파일내부에서추가로악성코드를다운로드및저장하는경로가확인됐다. 그림 1-12 하드코딩된악성코드유포 URL 그림 1-9 암호화된파일실행 CryptoLocker 랜섬웨어에감염되면특정서버 (212.**.***.4) 로접속을시도한다. 악성엑셀파일을열면보안알림창이뜨며매크로를사용할것인지선택하게한다. 매크로를포함하여엑셀파일을열면 url.exe 파일을다운로드하기위해악성코드유포지로연결을시도하지만현재해당파일은존재하지않는다. 그림 1-13 악성코드유포사이트연결시도 그림 1-10 네트워크연결정보 최근랜섬웨어제작자가운영하는것으로추정되는 CryptoLocker Decryption Service 웹사이트가확인되었다. 파일복구를위해 10BTC( 비트코인 ) 을요구하며, 파일이정상복구되는지테스트할수없었다. 그림 1-14 악성엑셀파일실행화면 그림 1-11 CryptoLocker Decryption Service 악성코드유포사이트는라트비아에위치한것으로확인된다. 현재악성코드유포사이트경로가존재하지않지만해당도메인을통해지속적인악성코드유포가시도되고있는것으로보인다. 따라서해당도메인을차단해야하며급여나택배, 우편또는이력서와같은사회공학적기법에자주활용되는유형의문서들에대해서좀더각별한주의가필요하다.
9 그림 1-17 폴더속성변경후폴더내용 그림 1-15 악성코드유포지 생성된바로가기파일속성을확인해보면, [ 그림 1-18] 과같이숨김파일속성으로생성된 VBS 파일이실행되도록연결된다. 이러한파일들은보통이메일의첨부파일로많이유포되므로의심스러운첨부파일은실행하지말고안티바이러스검사를하고취약점이발견된소프트웨어는반드시최신패치를설치하여야한다. V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > XLS/Downloader (V3, 2013.10.31.00) USB 에생성되는 바로가기 파일 USB에바로가기아이콘이생성된다는고객들의문의가종종접수되고있다. USB 바로가기아이콘을생성하는것은 Autorun, VBS 등의악성코드류인데, 꾸준하게감염피해가보고되고있다. 가장흔하게 (?) 발견되는악성코드중하나라할수있다. 감염증상은주로 USB에바로가기재생성, 바로가기바이러스 등이다. 악성코드에감염되면 [ 그림 1-16] 과같이 바로가기 파일이생성된다. 그림 1-18 바로가기파일속성 VBS 스크립트에감염되면, 시작프로그램에악성 VBS 파일을생성하고연결된외장저장매체에바로가기파일을지속적으로생성한다. 그림 1-16 바로가기파일생성증상 그림 1-19 파일변화 이처럼, 윈도우기본폴더속성으로는바로가기파일만보인다. 그렇지만, [ 그림 1-17] 과같이폴더속성을변경할경우, 원래의 ( 정상의 ) 폴더들과 USB 저장매체를통한감염체 ( 여기서는 tehwgbroif.vbs) 모두숨김속성으로설정되는것을볼수있다. 그리고레지스트리 "HKCU\Software\\Microsoft\\Windows\\ CurrentVersion\\Run" Key 에등록하여시스템재시작시자동으로실행되며폴더속성을변경한다.
10 따라서, 치료를수행한이후에는파일의종류가 바로가기 인파일을수동으로삭제하고, 숨김속성으로설정된폴더및파일은 ASEC 블로그내용 ( http://asec.ahnlab.com/171 4. 치료후폴더복원방법 ) 을참고하여조치해야한다. 그림 1-20 레지스트리변화 또한, 이라크 (iq) 에존재하는특정서버로연결을계속시도하나, 확인당시에는연결되지않았다. V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > VBS/Agent (2013.11.13.00) MS 오피스제로데이취약점 (CVE-2013-3906) 주의 그림 1-21 네트워크연결 디코딩된스크립트코드를보면, [ 그림 1-22] 와같이특정서버로연결하기위한네트워크설정정보가확인된다. 지난 11월 5일 MS는윈도우오피스, 링크제품에영향을미치는제로데이취약점 (CVE-2013-3906) 에대한보안권고문을발표하였다. 악성 TIFF 이미지파일이삽입된오피스파일, 이메일, 웹페이지등을사용자가실행할경우악성코드에감염될수있다. 현재 MS에서 CVE- 2013-3906 취약점에대한보안패치를제공하고있다. 그림 1-22 네트워크설정정보 그림 1-24 Microsoft 보안권고 그리고내부에는 [ 그림 1-23] 과같이관련스크립트가동작할것으로보이는다양한실행명령들이보인다. 실제로 CVE-2013-3906 취약점을이용한공격사례가보고되었으며변종악성코드가유포되고있다. [ 그림 1-25] 는악성코드유포에사용된메일을나타내는화면이다. 이메일의첨부파일에는 2가지취약점 (CVE-2013-3906, CVE-2012-0158) 을이용하는악성코드가각각첨부되어있다. 그림 1-23 실행명령으로보이는일부코드정보 참고로, 이러한부류의악성코드는진단 치료를수행하더라도, 생성된바로가기파일삭제및숨겨진파일에대한설정은변경되지않는다. 그림 1-25 악성이메일
11 CVE-2013-3906 취약점을이용하는워드문서를분석해보면다수의 ActiveX 와공격코드에존재하는악성코드다운로드 URL 정보를확인할수있다. 워드문서파일 (ISI.doc) 이로딩되는동안백도어악성코드 (Updates. exe) 가함께실행되며윈도우시작시자동실행되도록시작프로그램에등록된다. 그림 1-26 워드파일내부의공격코드 그림 1-29 파일생성정보 취약점을통해실행되는악성코드 (winword.exe) 는 WINRAR SFX 파일로 ISI.doc 워드문서와 Updates.exe 악성코드를내부에포함하고있다. V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > Exploit/Cve-2013-3906 (2013.11.07.02) RTF/Cve-2012-0158 (2013.11.09.00) DOC/Agent (V3, 2013.11.13.00) Trojan/Win32.Agentb (2013.11.12.00) 새터민자기소개서로위장한악성한글파일출현 그림 1-27 winword.exe 악성코드 새터민의자기소개서로위장한악성한글파일이발견되었다. 이러한파일들은스피어피싱으로사용하려고제작되었을것으로판단된다. 해당악성한글파일이실행되면아래경로에 dll 파일이생성된다. 또한, 정상한글파일을만들어보여주어사용자가감염사실을깨닫지못하도록한다. 해당악성코드 (winword.exe) 가실행되면사용자가악성코드에감염된것을인지할수없도록정상워드문서 (ISI.doc) 가실행된다. [ 생성되는파일 ] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\V3l.kor 그림 1-28 워드문서실행화면 그림 1-30 새터민자기소개서로위장한악성한글파일
12 C:\HNC\Hwp70 경로에랜덤한 8자리숫자와영문조합의 gif 파일이생성된다. 해당파일은이미지파일이아니며탈취할정보를저장하기위해생성한파일이다. 탈취한정보는아래와같다. - 프로세스목록 - 사용자네트워크구성정보 - 환경변수또한 '*.hwp, *.doc, *.docx, *.xls, *.xlsx' 와같은문서파일들을수집해외부로유출하는기능도있다. 수집된 gif 파일은일본에위치한시스템으로전송한다. 수집된시스템정보를통해추가공격이이루어질것으로예상된다. 이러한공격과감염을예방하기위해서는출처가불분명한메일의첨부파일은안티바이러스제품으로검사하거나사전에분석을의뢰해야한다. 또한, 실제발신자에게확인요청을한후열람해야한다. 운영체제뿐만아니라애플리케이션취약점도공격에자주이용되므로애플리케이션보안패치도최신으로유지하는것이좋다. 그림 1-32 압축해제된파일 파일이름과확장자사이에공백과점 (period) 문자를다수포함해실제카드명세서파일인 html 파일로오인해서실행하도록유도한다. [ 파일명 ] *******card_20131115_53430.html......html.exe 또한, 해당파일실행시 [ 그림 1-33] 과같이실제카드명세서페이지가나타나게하여사용자가악성코드감염을알지못하도록한다. 그림 1-33 가짜신용카드명세서 그림 1-31 정보유출시도 파일을실행하면아래와같은파일을생성하고, 시스템을시작할때자동실행되도록레지스트리에등록한다. V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > HWP/Exploit (2013.11.14.00) Trojan/Win32.XwDoor (2013.10.07.04) 신용카드명세서로위장한악성코드변종유포신용카드명세서로위장한악성코드변형이이메일을통해유포되었다. 지난 4월에보고된후 10월 30일에악성코드변형이 ASD 클라우드서버에수집되었다. 이후파일이름만변경되어 11월 15일에도이메일로유포된것으로보고되었다. *******20131115_04922.zip 압축파일이메일에첨부되었으며, 압축파일을풀면 [ 그림 1-32] 와같이 html 파일로위장한 exe 파일을볼수있다. [ 파일생성 ] C:\Windows\System32\mshelp.htm ( 정상 ) C:\Windows\System32\msimbc.dll C:\Windows\System32\ruby.exe C:\Windows\System32\csdujwsxo.dll ( 랜덤파일명 ) C:\Windows\System32\mshytvjiil.ocx C:\Windows\System32\mstedgakl.dll C:\Windows\System32\yqixm.dll ( 랜덤파일명 ) C:\Windows\System32\anotggnk.dll [ 레지스트리등록 ] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\GomPlaySvr\Parameters] ServiceDll="%SystemRoot%\System32\csdujwsxo.dll" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\VbSecurity\Parameters] ServiceDll="%SystemRoot%\System32\yqixm.dll"
13 위와같이서비스로등록된레지스트리는은폐되어레지스트리편집기에서는보이지않으며, [ 그림 1-34], [ 그림 1-35] 와같이루트킷탐지툴인 Gmer에서확인이가능하다. arp-ping.exe 파일은공격자가내부네트워크에위치한시스템상태확인등에악용할수있다. [ 그림 1-37] 같이 setup_482.exe 파일은중국에서제작된인터넷검색, 스크린샷, 알림및 PC 종료타이머기능등을제공하는 PUP와같은프로그램설치파일이다. 다만이설치파일은악성코드감염시설치되지는않는다. 그림 1-34 은폐된레지스트리내용 (GomPlaySvr) 그림 1-37 www.fuchengyule.com에서배포하는프로그램 yqixm.dll 파일은윈도우방화벽에 UDP:135, TCP:3306 포트에대해서예외설정을한다. 생성된파일중 [ 그림 1-38] 과같이 4개의파일은윈도우정상파일인 svchost.exe 프로세스에로드되어동작하면서아래국내 IP로끊임없이접속을시도한다. 그림 1-35 은폐된레지스트리내용 생성된파일중 mshelp.htm 파일은신용카드명세서이고, msimbc.dll 파일은 mshytvjiil.ocx 파일과동일하며, mstedgakl.dll, anotggnk.dll 또한같은파일이다. 각각의 mshytvjiil.ocx, anotggnk.dll 파일은 *******card_20131115 _53430..{ 생략 }.exe 파일실행시아래 URL에서다운로드되는 arpping.exe 파일과 setup_482.exe 파일이다. hxxp://www.eli******son.com/p******s/downloads/arpping-0.3/arp-ping.exe hxxp://neir***.fuzh****ng.com/setup_482.exe arp-ping 파일은 [ 그림 1-36] 과같은옵션으로구성되어있다. 그림 1-38 svchost.exe 프로세스에로드된모듈 211.2**.2**.1**:25 (KR) 221.**4.8.***:443 (KR) 218.1**.1**.1**:137 (KR) 175.**3.3*.2**:137 (KR) 61.**.84.**:23 (KR) 61.**.84.**:8998 (KR) 61.**.84.**:303 (KR) 이외다수의 GIF, JPEG 포맷의이미지파일을다운로드하지만, 대부분정상파일이고일부손상된파일이포함되어있었다. 이후해당사이트에서악성파일로변경될수있을것으로추정된다. 신용카드명세서는국내실정에맞춰정상파일과구분하기어렵도록정교하게제작되기때문에메일에첨부된파일을실행할때는각별히주의해야한다. V3 제품에서는아래와같은진단이가능하다. 그림 1-36 arp-ping.exe 옵션
14 <V3 제품군의진단명 > Trojan/Win32.Downloader (2013.11.20.03) Unwanted/Win32.Arptool (2013.11.20.03) Trojan/Win32.Iroffer (2013.02.27.05) Trojan/Win32.Downloader (2013.11.20.05) Win-Trojan/Agent.464168 (2013.11.20.04) Trojan/Win32.Agent (2013.11.20.05) 그림 1-41 압축해제한첨부파일 파일을실행하면아래와같은파일을생성하고, 시스템시작시자동실행되도록레지스트리에등록한다. 가짜음성메시지가첨부된악성스팸메일등장많은회사가비용절감을위해인터넷전화를도입하고, 협업강화를위해음성통화, 영상통화, 인스턴스메시지, 메일, 음성사서함등다양한커뮤니케이션도구가제공되는 UC 솔루션을활용하고있다. UC 솔루션의음성사서함기능을악용한것으로보이는가짜음성메시지, 즉악성코드가이메일에첨부돼유포되고있는것이최근확인되었다. [ 파일생성 ] C:\Documents and Settings\Administrator\Local Settings\ Temp\budha.exe C:\Documents and Settings\Administrator\Local Settings\ Temp\kilf.exe C:\Documents and Settings\Administrator\Application Data\Isoq\zuryyw.exe [ 레지스트리등록 ] [HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run] "Zuryyw"="C:\Documents and Settings\Administrator\\ Application Data\Isoq\zuryyw.exe" 각파일에대한생성과정은다음과같다. 그림 1-39 가짜음성메시지가첨부된메일원문 - VoiceMail.exe 파일이 budha.exe 파일생성 - Budha.exe 파일이아래파일다운로드 hxxps://twitter****links.com/wp-con***t/uploads/2011/01/****u SA-dt.exe - 다운로드된 ml06usa-dt.exe 파일이자기자신을 kilf.exe 파일로생성 - kilf.exe 파일이 zuryyw.exe ( 랜덤파일명 ) 파일생성 메일제목은 Voice Messae from Unknown ( 전화번호 ) 형태로발송되는데, 발신인과수신인의메일도메인이동일하기때문에내부메일로오인할수있다. 메일서버 IP를사설 IP로메일헤더를조작하여내부에서발송된메일로보이도록했다. 그림 1-40 조작된메일헤더정보해외보안블로그 (http://blog.dynamoo.com) 에따르면이러한가짜음성메시지가첨부된메일이지난 10월 23일부터유포되고있다. 이후에도이같은형태로유포되는다양한메일이발견되고있다. zuryyw.exe 파일은백도어로동작하기위해윈도우방화벽에 UDP:6505, TCP:3172 포트에대해서예외설정을하고, 정상윈도우시스템파일인 explorer.exe 프로세스에인젝션되어아래 C&C 서버로추정되는 IP로계속접속을시도한다. 217.**.80.**:3521 94.2**.1**.74:9386 31.**.84.1**:9966 46.*.1**.89:14631 195.1**.76.1**:4092 69.1**.162.**:8573 195.2**.149.**0:3642 81.**.213.**:3250 88.1**.4.**:5911 82.2**.169.**8:9129 203.**3.**.34:80 분석당시해당 C&C 서버에정상적으로접속되지는않았지만, 해당
15 악성코드에감염된고객피해시스템에서추가악성코드가감염된정황을확인하였다. 추가로발견된악성코드는 FTP 클라이언트및메일클라이언트등에저장된계정정보를탈취하는악성코드와특정사이트접속을위한다수의 DNS 쿼리와메일서버접속에따른 SMTP 트래픽을유발하는증상이나타났다. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run XXXXXX18F60802 = "C:\WINDOWS\XXXXXX18F60802.exe" 또한, 지속해서특정도메인으로접속을시도하며, 추가파일을다운로드하여실행한다. 음성메시지로위장한악성코드가첨부된메일은내부에서발송된메일인것처럼메일헤더를조작하기때문에더욱주의가필요하다. <V3 제품군의진단명 > Downloader/Win32.Agent (2013.11.08.00) Win-Trojan/Agent.409600.FE (2013.11.08.00) 그림 1-43 네트워크연결로그 이같이불건전한동영상파일로위장한악성코드는지속적으로유포 동영상파일로위장한악성코드최근국내한기관에서특정동영상파일로위장한악성코드가접수되었다. 사용자가다운로드한특정파일이유명동영상재생프로그램에서실행가능한 ASF 형태의파일아이콘으로위장하고있었다. 이에사용자는별다른의심없이동영상파일로판단하고실행한것이다. 하지만, 숨겨진확장자설정을변경하여확인해보면 ASF 확장자가아닌윈도우실행파일형태인 EXE 파일임을알수있다. 되고있으며, 악성코드의감염경로로이용되고있다. 개인과회사의자산을안전하게보호하기위해서보안의식을가지고조금더주의할필요가있겠다. V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > Downloader/Win32.Generic (2013.11.19.01) Trojan/Win32.Agent (2013.11.21.04) Win-Trojan/Cson.179181 (2013.11.25.03) 이력서문서파일로위장한실행파일 이력서파일로위장한악성코드가발견되었다. 이번에발견된악성코드는 MS 오피스워드문서아이콘을사용하지만확장자가 EXE이다. 그림 1-44 MS 워드문서파일로위장한실행파일 그림 1-42 숨겨진파일확장자확인 파일실행시아래와같이파일들이생성되고실행된다. 악성코드를실행하면정상적인문서 (XXX_XXX_XXX.doc) 가나타나기때문에악성코드에감염된것을사용자가인지하기어렵다. C:\ 서든어택월핵.exe C:\ 도곡동연하녀유출본.avi C:\WINDOWS\XXXXXX18F60802.exe 생성되는파일중진짜동영상파일 ( 도곡동연하녀유출본.avi) 도포함하고있으며, 파일실행시해당동영상파일도함께실행되므로사용 자는악성코드감염에대해의심하지않을것이다. 그림 1-45 이력서문서파일내용
16 워드문서가실행되는동안악성코드 (Pack_87server.exe) 가함께생성되며윈도우시작시자동실행되도록시작레지스트리에등록된다. 그림 1-50 네트워크연결정보 V3 제품에서는아래와같이진단이가능하다. 그림 1-46 파일생성정보 [ 그림 1-47] 은윈도우시작레지스트리에등록된악성코드 (svchsot. exe) 를나타내는화면이다. <V3 제품군의진단명 > Trojan/Win32.QQPass (AhnLab, 2013.11.21.00) 그림 1-47 시작레지스트리에등록된악성코드 또한, 매시간동작하도록윈도우예약작업에도등록된다. 그림 1-48 예약작업에등록된악성코드 해당악성코드는사용자의키보드입력정보를수집하여 system32 폴더하위의특정파일에저장한다. 그림 1-49 파일생성정보 해당악성코드는주기적으로특정 C&C 서버에연결을시도하며이를통해정진옥보유출및추가위협이발생할수있다.
17 악성코드동향 03. 모바일악성코드이슈 무심코광고를클릭하면 apk( 앱 ) 파일이다운로드되어원하지않는데이터비용이발생할수도있다. 정상앱을가장한광고앱주의 요즈음 스미싱 형태의악성앱이다수발견되고있다. 특히서드파티마켓에업로드된악성앱을조심해야한다. 그림 1-53 광고클릭후 apk 다운로드 사용자가원하지않는바로가기를생성하기도한다. 최근인기있는앱으로둔갑한악의적앱이적지않다. 이러한앱들중에한가지를살펴보면다음과같다. 그림 1-51 정상앱을가장한광고성앱 그림 1-54 바로가기생성 [ 그림 1-51] 은게임앱으로가장하였지만, 정상앱과다르게광고가포함되어있다. 1 은앱의아이콘이며 2 는앱을설치한다음수시로팝업되어나타나는아이콘이다. 이러한앱은대부분정상앱과비교하여다수의권한을요구한다. 해당앱설치시에광고에대한안내는찾아볼수없었다. 하지만앱을사용하고있지않고다른작업을하는중에도광고가나타난다. 그림 1-52 광고팝업화면 그림 1-55 악성앱 ( 왼쪽 ) / 정상앱 ( 오른쪽 )
18 스마트폰사용자는안정성이확인되지않은 apk( 앱 ) 을다운로드하지않아야한다. 앱설치는반드시공식마켓을이용하고, 제작사및사용자평판을확인하고설치하는습관이중요하다. 을이용해악성코드를배포할수도있기때문에스마트폰사용시주의가필요하다. 신뢰할수있는기업의웹사이트로위장한모바일사이트초기스미싱을이용해전파하는악성앱은문자의내용으로 URL을클릭하게해자동으로파일이다운로드되는것을유도했지만, 최근에는정상으로보이는웹페이지를구축해사용자들을안심시킨후악성앱을배포하는기법도함께사용되고있다. 지난 11월 AhnLab V3 Plus 모바일사이트로꾸민 URL을포함하는스미싱메시지가전파되었다. 강남한복판칼부림 20대여성 4명사망설치후열기 http://ahn**ab.kr 라는스미싱메시지에포함된 URL을클릭하면악성앱 App.apk 가다운로드되고, AhnLab V3 모바일안티바이러스배포사이트로가장한웹페이지가나타난다. 안랩에서제공하고있는모바일트랜잭션보안솔루션은 AhnLab V3 Plus 인데, 악성웹페이지는 AhnLab V3+ Plus Mobile 이라는제품명으로사용자를교묘하게속였다. 가짜 AhnLab V3 Plus 모바일사이트는 2개의페이지로이루어져있으며, 설명서보기라는버튼을누르면 11월공지사항과함께모바일백신설치매뉴얼을보여주면서악성앱설치를유도한다. 그림 1-57 안티바이러스앱으로위장한악성앱음란페이지로가장해모바일악성앱배포스미싱메시지에포함된 URL이통해음란사이트를가장한웹페이지로접속을유도해모바일악성앱을배포하는사례가확인되었다. [ 그림 1-58] 처럼내용이확인되지않은스미싱메시지에포함된 URL을클릭하면좌측화면의웹사이트가실행되고, 곧중앙의신규가입페이지가출력된다. 사용자이름, 주민등록번호, 휴대폰번호를입력하고실명인증을진행하면우측다운로드페이지로연결되면서악성앱이다운로드된다. 그림 1-58 스미싱메시지를통해유포된음란사이트에서배포한악성앱 그림 1-56 AhnLab V3 Plus 모바일사이트로위장한허위사이트 [ 그림 1-59] 는악성앱을배포하는사이트의소스코드이다. 입력된데이터를체크해데이터가존재하면특정사이트로전달하고파일을다운로드한다. 분석시점에파일다운로드는되지않도록변경되어있었다. 한편, 과거 PC에서유행하던것과마찬가지로가짜안티바이러스사이트를통해앱을배포하는형태도확인되었다. 스마트폰을이용해웹서핑중광고나피싱 URL을클릭해가짜안티바이러스사이트로접속되면, 허위감염메시지를보여주면서사용자에게불안감을조성해앱설치를유도하는것이다. 테스트시확인된최종다운로드앱은악의적인기능을포함하지않았다. 하지만, 악성코드제작자가동일한방법 그림 1-59 악성사이트의소스코드
19 웹서핑중자동으로다운로드되는앱지난 11월, 알수없는앱이안드로이드스마트폰을이용해웹서핑중자동으로다운로드되는일이있었다. 안랩에서서비스하고있는 안전한문자 로수집한앱배포 URL을분석한결과, 5일간 96개의 URL 을통해 mobogenie_1501.apk이다운로드된것이확인되었다. 포털사이트에 mobogenie_1501.apk 라는파일명으로검색하면수많은사람들이웹서핑중앱이자동으로다운로드되는것을경험했음을알수있다. [ 그림 1-60] 은안전한문자에의해수집된 mobogenie_1501.apk 배포 URL과국내포털사이트에서파일명으로검색한결과이다. 그림 1-62 Mobogenie 제작사의공식사과문 다운로드된앱이사용자의스마트폰에문제를일으키지는않았지만, 웹사이트를방문하는것만으로도앱이다운로드될수있다는것이확인된것이다. 이방법을악성코드제작자가이용할수도있다. 안드로이드의특성상다운로드된앱이자동으로설치되지는않지만사용자의실수에의해설치될가능성은있다. 많은개인정보를저장하고있는스마트폰을안전하게이용하기위해 알수없는소스 를해제한다면악성앱이자동으로다운로드되더라도스마트폰에설치되는것을방지할수있다. 그림 1-60 포털사이트검색결과 그림 1-61 안랩안전한문자에의해수집된 Mobogenie 배포사이트목록 이것은 Mobogenie에서의뢰한마케팅파트너사에의해행해진일이다. 마케팅파트너사는제작사의앱홍보를위해다양한사이트에서앱이자동으로다운로드되도록했다. 이로인해수많은사람들이웹사이트서핑중 Mobogenie 앱을다운로드하게되었다. 이사건으로 Mobogenie 제작사는웹사이트에사과문을게재하고공식마켓을통해서만앱을다운로드할것을공지했다.
ASEC REPORT 47 SECURITY TREND 20 보안동향 01. 보안통계 11월마이크로소프트보안업데이트현황 2013 년 11 월마이크로소프트사에서발표한보안업데이트는총 8 건으로긴급 3 건, 중요 5 건이다. 긴급업데이트에는인터넷익스플로러 (Internet Explorer) 누적보안업데이트와시스템관련업데이 트가 2 건포함되어있으며, 중요업데이트에는시스템관련업데이트 3 건과 Office 관련업데이트가 2 건포함되어있다. 시스템관련취약점과인터넷익스플로러관련취약점은공격자들에게자주악 용되므로, 보안패치를신속하게적용하는것이권장된다. 그림 2-1 공격대상기준별 MS 보안업데이트 긴급 MS13-088 Internet Explorer 누적보안업데이트 MS13-089 Windows 그래픽장치인터페이스의취약점으로인한원격코드실행문제점 MS13-090 ActiveX 킬 (Kill) 비트누적보안업데이트중요 MS13-091 Microsoft Office의취약점으로인한원격코드실행문제점 MS13-092 Hyper-V의취약점으로인한권한상승문제점 MS13-093 Windows Ancillary Function Driver의취약점으로인한정보유출문제점 MS13-094 Microsoft Outlook의취약점으로인한정보유출문제점 MS13-095 디지털서명의취약점으로인한서비스거부문제점표 2-1 2013년 11월주요 MS 보안업데이트
ASEC REPORT 47 SECURITY TREND 21 보안동향 02. 보안이슈 비트코인지갑저장소를노린공격발생비트코인 (Bitcoin) 은컴퓨터를통해복잡한수학연산을수행하는대가로지급받는가상화폐이다. 비트코인은거래시익명성이보장되기때문에인터넷암시장에서사용되기도하여많은논란을낳고있다. 최근에는다른사용자의 PC를감염시켜비트코인채굴에사용하는것을목적으로하는악성코드도다수보고되고있다. 채굴하여얻은비트코인은 지갑 에보관되는데, 이러한지갑을온라인상에안전하게보관하는서비스를제공하던 Inputs.io가해커들로부터공격당한것으로알려졌다. Apache Struts 2 취약점업데이트권고지난 7월공개된바있는 Apache Struts 2 취약점 (CVE-2013-2248, CVE-2013-2251) 방어방법을우회하는공격이발견되면서업데이트적용이재차권고되었다. 이취약점은 Apache Struts 2.0.0 버전부터 2.3.15 버전까지영향을받으며, 공격자가원격서버로 URL 요청시에 action, redirect, redirectaction 파라미터로전달되는인자값을조작하여원하는명령을실행할수있다. 그림 2-4 Apache Struts 2 취약점공격예 그림 2-2 최근 1년간비트코인화폐가치변화추이 ( 출처 : www.coindesk.com) Inputs.io의개발자로알려진 Tradefortress는두번의해킹공격으로인하여 4100BTC( 비트코인의화폐단위 ) 가도난당했다는사실을홈페이지에공지하였다. 이것은당시비트코인화폐가치로환산했을때약 120만달러에해당한다. Inputs.io와비슷한서비스를제공하던 Bitfloor 도지난 9월해커들로부터공격을받아약 24000BTC를도난당한뒤서비스를종료한바있다. 비트코인이더욱대중화되고, 그화폐적가치를인정받을수록비트코인서비스를대상으로한해커들의공격도한층증가할것으로예상된다. 만약해당공격에노출되면공격자에의해서버가장악되는것은물론, 시스템파괴나내부데이터유출까지이어질수있으므로 2.3.15 버전이상으로반드시업데이트해야한다. 이취약점과관련한정보는다음경로에서확인가능하다. - http://struts.apache.org/release/2.3.x/docs/s2-016.html - http://struts.apache.org/release/2.3.x/docs/s2-017.html 그림 2-3 해킹에대해언급하고있는 Inputs.io 의웹페이지
ASEC REPORT 47 WEB SECURITY TREND 22 웹보안동향 01. 웹보안통계 웹사이트악성코드동향 안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의 하면, 2013 년 11 월웹을통한악성코드발견건수는모두 1290 건이었다. 악성코드유형은총 101 종, 악성코드가발견된도메인은 71 개, 악성코드가발견된 URL 은 154 개로각각집계됐다. 전월과비 교해웹을통한악성코드발견건수, 악성코드유형, 악성코드가발견된도메인, 악성코드가발견된 URL 수는감소한것으로나타났다. 표 3-1 2013 년 11 월웹사이트보안현황 악성코드발견건수 4,228 11 월 10 월 1,290-69.4% 악성코드유형 101 179 악성코드가발견된도메인 71 121 악성코드가발견된 URL 154 432 월별악성코드배포 URL 차단건수 2013 년 11 월웹을통한악성코드발견건수는전월의 4228 건의 31% 수준인 1290 건이었다. 그림 3-1 월별웹을통한악성코드발견건수변화추이 10,000 5,000 4,015 22.2% 4,228 5.3% 1,290 69.4% 0 09 10 11
ASEC REPORT 47 WEB SECURITY TREND 23 월별악성코드유형 2013 년 11 월악성코드유형은전달 179 건의 56% 수준인 101 건이다. 그림 3-2 월별악성코드유형수변화추이 500 250 191 179 12.4% 6.3% 101 43.6% 0 09 10 11 월별악성코드가발견된도메인 2013 년 11 월악성코드가발견된도메인은 71 건으로, 전월의 121 건과비교해 59% 수준이었다. 그림 3-3 악성코드가발견된도메인수변화추이 300 200 100 153 35.2% 121 20.9% 71 41.3% 0 09 10 11 월별악성코드가발견된 URL 2013 년 11 월악성코드가발견된 URL 은전월 432 건과비교해 36% 수준인 154 건이다. 그림 3-4 월별악성코드가발견된 URL 수변화추이 1,000 750 500 250 466 26.7% 432 7.3% 154 64.4% 0 09 10 11
ASEC REPORT 47 WEB SECURITY TREND 24 월별악성코드유형 악성코드유형별배포수를보면트로이목마가 812 건 (62.9%) 으로 2/3 정도를차지했고, 애드웨어는 230 건 (17.8%), 스파이웨어는 136 건 (10.5%) 인것으로조사됐다. 유형 건수 비율 TROJAN 812 62.9 % ADWARE 230 17.8 % SPYWARE 136 10.6 % DROPPER 16 1.3 % Win32/VIRUT 7 0.5 % DOWNLOADER 5 0.4 % ETC 84 6.5 % 1,290 100.0 % 표 3-2 악성코드유형별배포수 1,000 812 5,00 230 0 TROJAN ADWARE 136 SPYWARE 16 7 5 DROPPER Win32/VIRUT DOWNLOADER 84 ETC 그림 3-5 악성코드유형별배포수 악성코드최다배포수 악성코드배포최다 10 건중에서는 Trojan/Win32.Agent 가 254 건 (28.6%) 으로가장많았으며, Trojan/Win32.Agent 를포함해 4 건이새로나타났다. 순위 등락 악성코드명 건수 비율 1 NEW Trojan/Win32.Agent 254 28.6 % 2 4 Spyware/Win32.Gajai 136 15.3 % 3 1 Adware/Win32.DelBar 131 14.7 % 4 3 Win-Trojan/Downloader.12800.LU 88 9.9 % 5 NEW Trojan/Win32.Starter 66 7.4 % 6 NEW Adware/Win32.Clicker 48 5.4 % 7 NEW Trojan/Win32.Jorik 45 5.1 % 8 2 Trojan/Win32.ADH 43 4.8 % 9 Trojan/Win32.KorAd 42 4.7 % 10 2 Win32/Induc 36 4.1 % TOTAL 889 100.0 % 표 3-3 악성코드배포최다 10건
ASEC REPORT CONTRIBUTORS 집필진 선임연구원 박종석 선임연구원 강동현 주임연구원 김재홍 주임연구원 문영조 연구원 김혜선 참여연구원 ASEC 연구원 편집 안랩세일즈마케팅팀 디자인 안랩 UX 디자인팀 감수전무조시행 발행처 주식회사안랩경기도성남시분당구삼평동 673 ( 경기도성남시분당구판교역로 220) T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2013 AhnLab, Inc. All rights reserved.