CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

ASEC REPORT VOL.39 2013.04 안랩월간보안보고서 2013 년 3 월의보안동향

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. I. 2013 년 3 월의보안동향 악성코드동향 01. 악성코드통계 03-3월악성코드, 전월대비 97만여건증가 - 악성코드대표진단명감염보고최다 20-3월최다신종악성코드 Dropper/Agent.203880-3월악성코드유형트로이목마가최다 - 악성코드유형별감염보고전월비교 - 신종악성코드유형별분포 02. 악성코드이슈 07 - FTP 클라이언트사용주의 - 윈도우로고만보이고부팅이안되는경우 - 특정프로그램의업데이트서버, 온라인게임핵유포 - 변조된광고프로그램설치시온라인게임핵감염 - 특정금융사카드거래내역으로유포되는악성코드 - 주민번호까지체크하는파밍사이트변종발견 - 남미은행을타깃으로한봇넷 - 호주커먼웰스은행위장악성메일 - Bank Of America 위장스팸메일 - 특정타깃을대상으로유포된 PDF 악성코드 - 끝나지않은랜섬웨어와의전쟁 보안동향 01. 보안통계 25-3월마이크로소프트보안업데이트현황 02. 보안이슈 26 - Mongo DB 원격코드실행취약점 CVE-2013-1892 웹보안동향 01. 웹보안통계 28 - 웹사이트악성코드동향 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위 02. 웹보안이슈 31-2013년 3월침해사이트현황 - 침해사이트를통해서유포된악성코드최다 10건

3 01 악성코드동향 악성코드통계 3월악성코드, 전월대비 97만여건증가 ASEC이집계한바에따르면, 2013 년 3월에감염이보고된악성코드는 768만 5579건인것으로나타났다. 이는전월 670만 8830건에비 15,000,000 10,000,000 5,000,000 9,602,029 3.4% -2,893,199 6,708,830 30.1% +976,749 7,685,579 14.6% 해 97만 6749건이증가한수치다 ([ 그림 1-1]). 이중에서가장많이보고된악성코드는 Win-Trojan/ Onlinegamehack140.Gen이었으며, ASD.PREVENTION과 Adware/ Win32.winagir가다음으로많았다. 또한총 7건의악성코드가최다 20 건목록에새로이름을올렸다 ([ 표 1-1]). 0 01 02 03 그림 1-1 월별악성코드감염보고건수변화추이 순위 등락 악성코드명 건수 비율 1 NEW Win-Trojan/Onlinegamehack140.Gen 282,141 10.4 % 2 1 ASD.PREVENTION 267,189 10.0 % 3 4 Adware/Win32.winagir 215,992 8.1 % 4 9 Trojan/Win32.urelas 212,006 7.9 % 5 2 Textimage/Autorun 209,457 7.8 % 6 3 Trojan/Win32.onlinegamehack 185,487 6.9 % 7 3 Trojan/Win32.adh 165,576 6.2 % 8 2 Trojan/Win32.Gen 143,689 5.4 % 9 7 Malware/Win32.suspicious 129,769 4.8 % 10 NEW Dropper/Agent.203880 105,959 4.0 % 11 NEW Packed/Win32.morphine 100,217 3.7 % 12 6 Malware/Win32.generic 97,734 3.7 % 13 8 Trojan/Win32.agent 85,700 3.2 % 14 3 RIPPER 79,778 3.0 % 15 NEW Win-Adware/Korad.974232 79,234 3.0 % 16 3 JS/Agent 69,374 2.6 % 17 NEW Win-Trojan/Downloader.969624 68,339 2.6 % 18 NEW JS/Downloader 67,038 2.5 % 19 5 Adware/Win32.korad 58,658 2.2 % 20 NEW Trojan/Win32.scar 53,937 2.0 % TOTAL 2,677,274 100.0 % 표 1-1 2013년 3월악성코드최다 20건 ( 감염보고, 악성코드명기준 )

4 악성코드대표진단명감염보고최다 20 [ 표 1-2] 는악성코드별변종을종합한악성코드대표진단명중가장많이보고된 20건을추린것이다. 2013 년 3월에는 Trojan/Win32가총 130 만 7482건으로가장빈번히보고된것으로조사됐다. Win-Trojan/ Onlinegamehack이 43만 698건, Win-Trojan/Agent가 42만 7840건으로그뒤를이었다. 순위 등락 악성코드명 건수 비율 1 1 Trojan/Win32 1,307,482 25.8 % 2 1 Win-Trojan/Onlinegamehack 430,698 8.5 % 3 2 Win-Trojan/Agent 427,840 8.4 % 4 4 Adware/Win32 345,503 6.8 % 5 NEW Win-Trojan/Onlinegamehack140 282,141 5.6 % 6 2 ASD 267,189 5.3 % 7 1 Malware/Win32 242,370 4.8 % 8 1 Win-Trojan/Downloader 237,843 4.7 % 9 1 Win-Adware/Korad 210,829 4.2 % 10 1 Textimage/Autorun 209,494 4.1 % 11 NEW Dropper/Agent 147,245 2.9 % 12 7 Win-Trojan/Korad 138,200 2.7 % 13 NEW Packed/Win32 120,223 2.4 % 14 2 Win32/Virut 112,713 2.2 % 15 1 Downloader/Win32 110,955 2.2 % 16 2 Win32/Conficker 107,161 2.1 % 17 4 Win-Trojan/Urelas 99,687 2.0 % 18 7 Win-Trojan/Avkiller 94,547 1.9 % 19 2 Win32/Autorun.worm 91,849 1.8 % 20 1 Win32/Kido 80,210 1.6 % TOTAL 5,064,179 100.0 % 표 1-2 악성코드대표진단명최다 20건 3월최다신종악성코드 Dropper/Agent.203880 [ 표 1-3] 은 3월에신규로접수된악성코드중감염보고가가장많았던 20건을꼽은것이다. 3월의신종악성코드는 Dropper/Agent.203880 이 10만 5959건으로전체의 24% 를차지했으며, Win-Trojan/ Downloader.969624 가 6만 8339건이보고돼 15.5% 를차지했다. 순위 악성코드명 건수 비율 1 Dropper/Agent.203880 105,959 24.0 % 2 Win-Trojan/Downloader.969624 68,339 15.5 % 3 Win-Trojan/Banload.205076 45,495 10.3 % 4 Win-Trojan/Onlinegamehack.111616.AM 41,654 9.4 % 5 Win-PUP/Korad.574976 30,008 6.8 % 6 Win-Trojan/Downloader.40960.YB 18,638 4.2 % 7 Win-Spyware/Agent.286208.D 13,732 3.1 % 8 Win-Adware/Urelas.107041 12,321 2.8 % 9 Win-Spyware/Agent.286208.C 11,739 2.7 % 10 Win-Trojan/Urelas.1391104 10,694 2.4 % 11 Win-Adware/WinAgir.74680 9,588 2.2 % 12 Win-Trojan/Downloader.37654 9,543 2.2 % 13 Win-Adware/WinAgir.86968 9,016 2.0 % 14 Win-Trojan/Xyligan.2131296 8,345 1.9 % 15 Win-Trojan/Urelas.647677 8,273 1.9 % 16 Win-Trojan/Onlinegamehack.188416.AY 8,075 1.8 % 17 Win-Adware/KorAd.241664.O 8,017 1.8 % 18 Win-Trojan/Onlinegamehack.622195 7,966 1.8 % 19 Win-Trojan/Wecod.1069568 7,287 1.6 % 20 Win-Trojan/Onlinegamehack.15360.CU 7,223 1.6 % TOTAL 441,912 100.0 % 표 1-3 3월신종악성코드최다 20건

5 3월악성코드유형트로이목마가최다 [ 그림 1-2] 는 2013년 3월 1개월간안랩고객으로부터감염이보고된악성코드의유형별비율을집계한결과다. 트로이목마 (Trojan) 가 52.9% 로가장높은비율을나타냈고스크립트 (Script) 가 6.0%, 웜 (Worm) 이 5.4% 로집계됐다. 그림 1-2 악성코드유형별비율 악성코드유형별감염보고전월비교 [ 그림 1-3] 은악성코드유형별감염비율을전월과비교한것이다. 스크립트, 드롭퍼, 애드웨어, 스파이웨어는전월에비해증가세를보였으며트로이목마, 바이러스, 다운로더는감소했다. 웜, 애프케어계열들은전월수준을유지했다. 그림 1-3 2013 년 2 월 vs. 2013 년 3 월악성코드유형별비율

6 신종악성코드유형별분포 3월의신종악성코드를유형별로살펴보면트로이목마가 67% 로가장많았고, 드롭퍼가 16%, 애드웨어가 9% 로집계됐다. 그림 1-4 신종악성코드유형별분포

7 02 악성코드동향 악성코드이슈 FTP 클라이언트사용주의 3 20 APT 공격에서일부흥미로운점이발견됐다. 악성코드드롭퍼중 mremote와 SecureCRT 의설정파일을이용하는악성코드가발견됐기때문이다. 이드롭퍼들은악성행위를하기보다설정파일을읽어서버에접근하기위한목적이다. 예를들어, mremote가설치되면설정파일의정보를추출해암호취약점을이용, 서버에접속하는 bash 파일을생성한다. 해당취약점은메타스플로잇등에이미알려져있다. SecureCRT 역시비슷한작업을수행하는데, 이취약점은알려져있지않으며최신버전에서는제대로동작하지않는다. 다시요약하면공격자는 *NIX 서버를공격하기위해 mremote와 SecureCRT의오래된취약점을이용한것이다. 이처럼서버에편리하게접속하기위해사용하는툴들의취약점을악용해공격하는사례가발생할수있다. 사용빈도가높은무료 FTP 클라이언트가운데굳이암호알고리즘취약성이아니더라도비밀번호자체를암호화하지않고저장하는경우도있다. 따라서 FTP 클라이언트에서비밀번호를로컬에저장하여자동, 로그인해사용하는것은되도록지양해야하며, FTP 클라이언트의최신업데이트를항상신경써야한다. 윈도우로고만보이고부팅이안되는경우평소잘쓰던컴퓨터가갑자기부팅이되지않는다면굉장히당황스러울것이다. 부팅이되지않는원인은여러가지가있다. 부팅정보를담고있는 MBR (Master Boot Record) 영역의손상, 운영체제파일의손상등이부팅장애로이어질수있는데, 이러한손상은하드디스크의물리적인손상이나악성코드감염등이원인이될수있다. 그림 1-5 mremote 콘솔 그림 1-7 정상적인부팅로고화면 [ 그림 1-7] 과같이윈도우부팅로고가나타난다면물리적인손상이나, MBR 영역이손상된것은아니다. 물리적인손상이나 MBR 영역이손상되었을경우 [ 그림 1-7] 과같은 OS 화면은나타나지않으며, 부트영역을읽을수없다는메시지가출력된다. 그림 1-6 SecureCRT 접속콘솔

8 [ 그림 1-7] 과같이정상적으로로고를확인했는데, 그다음윈도우로그온화면이나배경화면이나타나지않고 [ 그림 1-8] 과같이나타나는경우라면운영체제파일의손상을의심해야한다. 그림 1-11 중복감염될때정상파일을백업하지않고악성파일로교체하는경우 이러한경우 ws2help.dll 파일자체는존재하기때문에블루스크린은발생하지않지만, 정상 ws2help.dll 파일을찾을수없기때문에윈도우는정상부팅하지못하고 [ 그림 1-8] 과같은증상이발생하게된다. 그림 1-8 부팅로고출력후진행되지않는부팅과정운영체제파일에손상을주는원인은매우다양하다. 하드웨어드라이버를설치하다나타나는오류로인해발생할수도있고, 특정프로그램을설치하다오류가있어도발생할수있다. 이번에는실제로고객에게발생했던사례를중심으로악성코드에감염된특별한케이스를살펴보고자한다. 일반적으로 ws2help.dll 파일이손상되면안전모드로부팅해정상 ws2help.dll 파일을복구해주거나, 윈도우설치 CD를이용하여정상파일을복구하는방법을사용한다. 그러나이번케이스의경우안전모드로부팅할경우 [ 그림 1-12] 에서멈춰더이상진행되지않았고, 설치 CD를이용한복구방법도정상적으로진행되지않았다. 일반적으로온라인게임핵악성코드에감염되면 [ 그림 1-9] 와같이윈도우의정상시스템파일을백업하고악성코드로바꿔치기하는형태를보인다. 그림 1-12 안전모드로부팅해도정상적으로진행되지않음 이러한경우바로포맷을진행하기보다는, 정상적인 PC에증상이발생하는하드디스크를연결해확인할필요가있다. [ 그림 1-13] 과같이하위폴더가인식되면데이터는살아있는것으로추정된다. 그림 1-9 정상파일은 ws2helpxp.dll 로백업되고 ws2help.dll 파일은악성으로교체 이러한악성코드에한번더감염되면 [ 그림 1-10] 과같은형태로감염되며, 이를중복감염이라표현한다. 그림 1-10 감염된상태에서다시감염될경우일반적인형태그러나일부악성코드의경우이러한정상파일백업알고리즘이제대로구현되지않아중복감염될경우정상파일을백업하지않고 [ 그림 1-11] 과같이무조건악성으로덮어쓰는경우가있다. 그림 1-13 증상이발생하는하드디스크를정상 PC에연결 (E드라이브) 정상 PC의백신프로그램엔진을최신버전으로업데이트하고, 증상이발생하는하드디스크에대해정밀검사를진행하면 [ 그림 1-14] 와같이악성코드를진단하는것이확인된다.

9 이러한케이스는온라인게임핵악성코드에감염된상태에서동일한악성코드에중복감염된사례로흔히발생하지는않는다. 그러나이러한악성코드에중복감염되는경우는본인이온라인게임핵에감염되었는지모르고 PC를사용하다가많이발생한다. 다시말하면, 조금이라도관심이소홀하거나보안에취약한상태로 PC를지속적으로사용하게되면충분히발생가능한경우라는점에서특별한주의가요구된다. 그림 1-14 정상 PC에서증상이발생한하드디스크 (E드라이브) 정밀검사여기에서 [ 치료하기 ] 버튼을누르면악성코드가치료된다. 그러나트로이목마이기때문에악성코드가삭제되도정상적인 ws2help.dll 파일은존재하지않는다. 따라서부팅하게되면 [ 그림 1-15] 와같은블루스크린이나타나면서무한재부팅을하는증상이나타난다. <V3 제품군의진단명 > Dropper/Win32.Agent (2013.03.25.00) Win-Trojan/Avkiller4.Gen (2013.03.22.00) Win-Trojan/Onlinegamehack140.Gen (2013.03.22.00) Win-Trojan/Onlinegamehack140.Gen (2013.03.22.00) Win-Trojan/Onlinegamehack140.Gen (2013.03.22.00) Trojan/Win32.KillAV (2013.03.27.00) 특정프로그램의업데이트서버가온라인게임핵유포 그림 1-15 ws2help.dll 파일이없을경우나타나는블루스크린이러한이유때문에 [ 그림 1-14] 와같이치료를마친다음에는 [ 그림 1-16] 과같이정상 ws2help.dll 파일을복구해야한다. 정상 ws2helpl. dll 파일은보통 19,968 Kbyte ( 윈도우 XP SP3) 크기로, 정상파일을확인해 C:\WINDOWS\system32\ 폴더에 ws2help.dll 파일이름으로복사해준다. 특정무료화면캡쳐프로그램이업데이트되면서백신프로그램이정상작동을하지않는다는보고가있었다. 국내주요기관으로부터해당제품의긴급업데이트를적용할경우 BSOD가발생한다는보고가접수되기도했지만, 업데이트파일을테스트했을때에는 BSOD 증상이발생하지않았다. 해당제품이설치된경우에는 XXcameraup.exe 파일이시작프로그램에등록돼시스템시작시업데이트받을파일이있는지체크한다. 사용자피해보고에따라시스템부팅후해당프로그램긴급업데이트화면이나오면서시스템이상증상이발생했다는것과당시공지사항에 [ 그림 1-18] 과같이업데이트서버이상현상으로인한점검안내가등록된것으로보아, 정황상업데이트서버가해킹되어업데이트파일변조로인해온라인게임핵이유포된것으로추정된다. 그림 1-16 백업된정상파일을이용해 ws2help.dll 파일복구 [ 그림 1-16] 과같이조치를취하고, 하드디스크를원래 PC에연결해부팅하면 [ 그림 1-17] 과같이정상적으로부팅되는것을확인할수있다. 그림 1-18 업데이트서버오류공지 그림 1-17 정상부팅된 PC 국내보안블로거제보로수집된파일을확인해보니, [ 그림 1-19] 와같이정상파일은버전정보가있는반면악성파일은버전정보가없고파일크기가다른것을확인할수있었다.

10 그림 1-19 해당제품의업데이트파일 ( 좌-정상, 우-악성 ) 그림 1-20 정상 / 악성업데이트파일크기업데이트파일이실행될경우 [ 그림 1-21] 과같이제품긴급업데이트안내화면이나타나면서곧바로온라인게임핵악성코드가설치되고, 업데이트시작버튼을클릭하면정상프로그램과국내쇼핑몰바로가기파일이바탕화면및즐겨찾기에등록된다. 탈취된계정정보는아래 URL과메일주소로전송된다. - hxxp://banana.****ker.com/xin87842647df/lin.asp - hxxp://banana.****ker.com/838483dfotp/lin.asp - hxxp://green.****ker.com/po23924898df/lin.asp - hxxp://banana.****ker.com/xin09923929mxd/lin.asp - hxxp://green.****ker.com/po9819219mxd/lin.asp - kei****ou@hotmail.com <V3 제품군의진단명 > Backdoor/Win32.Cidox (2013.03.24.02) Dropper/Win32.OnlineGameHack (2013.03.24.04) Trojan/Win32.OnlineGameHack (2013.03.25.02) Trojan/Win32.KillAV (2013.03.24.02) 변조된광고프로그램설치시온라인게임핵감염 그림 1-21 위조된해당제품안내화면온라인게임핵감염시최종생성되는파일은다음과같으며, [ 그림 1-22] 에해당하는사이트의계정정보를탈취한다. - C:\WINDOWS\system32\kakutk.dll - C:\WINDOWS\system32\wshtcpip.dll - C:\WINDOWS\system32\drivers\26fc0831.sys ( 랜덤영숫자.sys) 국내에서배포되고있는광고프로그램은대개웹사이트방문시 Active X나블로그, 카페등에공개용프로그램의번들로함께설치된다. 이들광고프로그램은설치될때사용자의암묵적인동의 ( 예를들면프로그램설치시약관을작게표시하거나, 보이지않게한쪽에배치함으로써사용자가인지하기어렵게하여무심코확인을누르도록유도 ) 를받으므로법적으로는문제가없다. 하지만실제사용자들사이에서문제가되고있는이유는앞서언급한것처럼설치시사용자의동의를받는부분에서꼼수를부리거나, 설치후에도사용자가원치않는광고창을자꾸띄워불편을초래하기때문이다. 더큰문제는이러한광고프로그램들을배포하는서버가관리부실인것이많다는점이다. 이로인한서버해킹으로광고프로그램과함께실제악성코드가유포되는경우가종종발생하고있는것이다. 이번에발견된사례역시설치된광고프로그램이자신의업데이트서버로부터광고프로그램을다운로드한후실행되는과정에서온라인게임핵악성코드를감염시킨경우다. 그림 1-23 업데이트파일실행시다운로드하는파일 그림 1-22 계정정보탈취사이트 업데이트파일이실행될때 [ 그림 1-23] 의 URL로부터다운로드되는파일은악성파일 (Binder.exe) 과정상광고프로그램 (Updater.exe) 으로이루어져있으며실행되면 %TEMP%\Binder.exe를생성하고실행한다.

11 그림 1-28 Script Control 메시지창 Binder.exe에의해다운로드되는온라인게임핵악성코드는지금까지발견된변종들과마찬가지로동일한대상과기법을사용해사용자의계정정보탈취를시도한다. 그림 1-24 다운로드된파일의구조 주목할파일은 %Temp%\Binder.exe다. 해당파일이실행되면특정사이트로부터특정온라인게임사용자의계정정보를탈취하는온라인게임핵을비롯해여러악성코드및그와연관된파일들을다운로드해실행한다. 그림 1-29 온라인게임핵에관련된내부문자열 그림 1-25 Binder.exe에의해다운로드되는파일위 [ 그림 1-25] 에서 3번째파일인 get.asp( 이하생략 ) 는감염된 PC에서사용하는랜카드의맥주소와운영체제버전등을 Parameter 데이터로조합해특정사이트로전송한다. 주요악성코드들의다운로드및실행과정에서생성된악성드라이버에의해서감염된 PC에서는간헐적으로 [ 그림 1-30] 과같이블루스크린 (BSOD) 이발생한다. ( 참고로 PC 사용시 BSOD가발생한다고해서무조건악성코드감염으로판단해서는안된다.) 그림 1-26 특정사이트로전송되는감염된 PC 의시스템정보 [ 그림 1-25] 에서보는것처럼다운로드된파일중에그림파일이존재한다. 해당파일의내부코드를살펴보면아래그림처럼 JPG파일의헤더가존재하는데좀더살펴보면, 오프셋 0x280h 지점부터실행가능한파일이존재함을알수있다. 이는악성코드가다운로드한파일이백신에탐지되지않도록하기위해서마치그림파일인것처럼위장하고있는것으로보인다. 그림 1-30 악성코드감염시발생한 BSOD 그림 1-31 감염시부작용 : Internet Explorer(IE) 오류발생 그림 1-27 그림파일로위장한악성코드 감염된 PC가재부팅할때마다아래그림과같이영문으로된 Script Control 메시지창이출력된다. Binder.exe가다운로드하는온라인게임핵은윈도우정상파일인 ws2help.dll을교체하는형태로실행되는데감염된상태에서 IE를실행하면위 [ 그림 1-31] 처럼오류가발생하면서웹서핑이불가능해진

12 다. 그원인에대해좀더자세히살펴보면다음과같다. 수신된이메일은정상적인거래내역을안내하는메일처럼보이지만, 실제로는해당금융사를가장한악성스팸메일이다. 해당메일에첨부된파일중.rar 파일을다운로드해압축을해제하면아래와같은 html파일로보이지만실제확장자는.scr인파일을확인할수있다. 그림 1-32 IE 실행시오류발생지점 위 [ 그림 32] 를보면, IE 실행시악성으로교체된 ws2help.dll을로딩하는과정에서문제가발생했고이로인해 IE가정상적으로실행되지못하고종료됐다. 그림 1-34 html 파일로위장한악성코드 국내에서유포되는악성코드의상당수는해킹된웹사이트 + 응용프로그램취약점, 이두가지가결합된형태를사용해감염된다. 하지만지금까지살펴본바와같이사용자의무관심속에무분별하게설치되는프로그램에의해서도악성코드에감염될수있으며이로인해피해를입을수도있음을명심해야한다. <V3 제품군의진단명 > Win-Trojan/Downloader.25927 (2013.03.27.00) Trojan/Win32.Scar (2013.03.23.00) Win-Trojan/Onlinegamehack140.Gen (2013.03.23.00) Win-Trojan/Agent.543232.V (2013.03.27.00) 특정금융사카드거래내역으로유포되는악성코드최근금융권및이동통신사를사칭한악성스팸메일이지속적으로발견되고있어사용자들의각별한주의가요구된다. 그림 1-35.scr 파일헤더정보이번경우의특이한점은정상보안프로그램과함께악성코드가실행된다는점인데, html 파일로가장한.scr 파일을실행하면특정보안프로그램과함께악성코드가실행된다. 이번에발견된경우는특정금융사의카드거래내역으로위장한형태였으며, 해당이메일에첨부된악성코드를실행하면개인정보유출등의악의적인행위가이루어질수있다. 그림 1-36 특정보안프로그램설치및악성코드실행코드중일부 IE에서 1차적으로악성행위를차단하지만, 사용자가차단된콘텐츠를허용해설치하면특정보안프로그램과함께악성코드가시스템에실행된다. 그림 1-37 특정보안프로그램설치페이지 (1) 그림 1-33 금융사카드거래내역안내메일로위장한스팸메일 그림 1-38 특정보안프로그램설치페이지 (2)

13 해당보안프로그램의설치가완료되면, [ 그림 1-39] 와같이사용자로하여금개인정보를입력하도록유도하는창이나타난다. 이때입력창에개인정보를입력하면해당정보는해커에게전송될수있다. Win-Trojan/Agentbypass.36864.C (2013.03.27.00) Win-Trojan/Agent.100747 (2013.03.28.00) 주민번호까지체크하는파밍사이트변종발견 국내온라인뱅킹사용자를타깃으로보안카드등의금융정보를노리는악성코드 (Banki) 변종이지속적으로발견되고있는가운데, 최근이름과주민등록번호를체크하는루틴까지추가된변종이발견됐다. 그수법이점차고도화되고있다는점에서사용자의주의가요구된다. 그림 1-39 악의적인목적의개인정보입력창악성코드의추가적인행위정보는 [ 그림 1-40] 과같으며, 생성된파일을레지스트리에등록시켜악의적인행위를지속할수있도록한다. 그림 1-40 악의적인목적으로등록된레지스트리값 (1) 그림 1-41 악의적인목적으로등록된레지스트리값 (2) 추가로, 중국에위치한특정서버와연결돼특정파일을다운로드한다. 일명 파밍 이라고도부르는해당악성코드는가짜뱅킹사이트에연결되도록조작해금융정보를빼내는신종사기수법으로, 최근거액의사기사건이잇따라보고되면서사회적인이슈로부각되고있는실정이다. 보통악성스크립트가삽입된취약한웹사이트를통해감염되며, 감염시 hosts 파일을변조해악성코드제작자가만든가짜뱅킹사이트로유도, 사용자의금융정보를입력하도록하고있다. 이번에발견된변종의유포지와 [9090.exe] 다운로더에의해생성되는파일은아래와같다. [Download URL] - http://125.***.***.5/9090.exe (Downloder) - http://sk*******3.g****.net/asd.txt ( 다운로드되는파일목록 ) - http://125.***.***.4:8080/26.exe (hosts 파일변조 ) - http://125.***.***.5/8888.exe (021F0552\svchsot.exe 생성 ) - http://125.***.***.5/23.exe (hosts 파일변조 ) 그림 1-42 중국의특정서버로연결된정보 (1) 다운로드된 [26.exe], [23.exe] 악성파일에의해 hosts 파일이아래와같이변조된것을확인할수있다. 이렇게변조된 hosts파일에의해서사용자가정상적인뱅킹사이트에접속해도가짜사이트로리다이렉트 (redirect) 되어피싱사이트에접속되는것이다. 그림 1-43 중국의특정서버로연결된정보 (2) 이와같이특정사용자를대상으로제작된스팸메일의경우정상적인메일과매우흡사하게제작되어, 일반사용자들이별의심없이해당파일을실행하도록유혹한다. 하지만아무리정교한형태로제작됐다해도발신인이명확하지않거나, 확인되지않는메일내용또는파일이첨부된이메일에대해서는사용자스스로주의를기울일필요가있다. <V3 제품군의진단명 > Trojan/Win32.Dropper (2013.03.27.00) 그림 1-44 악성파일에의해변조된 hosts 파일

14 [ 그림 1-45] 는감염된 PC에서뱅킹사이트에접속한모습으로, 정상적인방법으로뱅킹사이트에접속했지만피싱사이트로리다이렉트됐다. 이들사이트는하나같이보안관련인증절차를요구하며사용자로하여금금융정보를입력하도록하고있다. - svchost.execreatec:\windows\tasks\at1.job - svchost.execreatec:\windows\tasks\at2.job - svchost.execreatec:\windows\tasks\at3.job 그림 1-47 악성코드에의해생성된예약작업들 그림 1-45 뱅킹관련피싱사이트들다른피싱사이트와마찬가지로, 사용자의이름, 주민등록번호, 보안카드정보등을요구하고있다. 기존에는임의의문자와랜덤한숫자로주민등록번호를입력하면다음단계로넘어갔지만, 이번변종은사용자의이름과주민등록번호가정상적으로입력되었는지체크하는루틴이추가됐다. 이러한피해를막기위해서는무리한개인정보를요구할경우일단파밍을의심해야한다. 무엇보다보안카드번호전체를요구한다면 100% 파밍사기라고보면된다. 파밍으로인한금융사기피해를막으려면백신프로그램을최신버전으로업데이트하고, 주기적으로정밀검사를하는것이좋다. <V3 제품군의진단명 > Win-Trojan/Prosti.132540 (2012.12.18.00) Trojan/Win32.Banki (2012.12.19.00) 남미은행을타깃으로한봇넷 국내에서온라인뱅킹사용자를타깃으로한악성코드가증가하고있는가운데, 해외에서도피싱이나파밍과같은온라인사기나인터넷뱅킹관련정보수집을목적으로하는악성코드를이용한공격으로인한피해가발생하고있다. 최근해외기사에서보고된 AlbaBotnet 1 은인터넷뱅킹정보를탈취하기위한목적으로제작된악성코드의좋은예다. 이봇넷은칠레은행의온라인뱅킹을이용하는사용자를타깃으로제작된악성코드로이메일등다양한경로를통해유포된것으로보인다. 그림 1-46 이름과주민등록번호를체크하는소스부분또한, 다운로드된다른 [8888.exe] 파일은아래와같은경로에 [svchost.exe] 을생성하며, 자기자신이자동실행될수있게 tasks( 예약작업 ) 에등록한다. - 8888.exeCREATEC:\WINDOWS\021F0552\svchsot.exe (Tasks 작업생성파일 ) 이봇넷의한변형을분석한결과, 다음과같은감염행위가이루어지는것을확인할수있었다. - system32폴더에wincal.exe 이름으로자신을복사한후실행 - 레지스트리에아래의데이터를추가해부팅시실행 - HKCU\Software\Microsoft\Windows NT\CurrentVersion\ Windows\load - "C:\WINDOWS\system\wincal.exe" - hosts 파일을변조하기위한정보가있는 111.90.159.208 IP에접속 1 http://s1.securityweek.com/kaspersky-lab-discovers-albabotnet-emergingbotnet-targeting-chilean-banks

15 - 서버에서받아온정보를참조하여 Hosts 파일을변조 - 웹브라우저로은행사이트접속시위장된피싱사이트로이동 <V3 제품군의진단명 > Trojan/Win32.Xema (2013.03.05.00) 변조되는 host파일에등록된은행사이트들의목록은아래와같다. 공격자가타깃으로하는사이트들은칠레의금융기관들이었다. 호주커먼웰스은행위장악성메일 - 111.***.159.2*www.santander.cl - 111.***.159.2*santander.cl - 111.***.159.2* www.bci.cl - 111.***.159.2*bci.cl 감염된악성코드는 hosts 파일의변경이이루어졌는지주기적으로접속을하고, 감염된사용자가 hosts 파일에등록된웹사이트에접속시피싱사이트로접속해사용자의금융관련정보탈취를시도한다. 호주의커먼웰스은행 (Commonwealth Bank of Australia) 을사칭해악성코드를유포하는스팸메일이발견됐다. 호주는한국에서유학이나어학연수를많이가는나라중하나로, 한국학생의비율이다소높은것으로알려져있다. 호주은행을사칭하는악성코드가발견된만큼호주유학이나어학연수등을준비하거나해당은행계좌를사용하는고객의각별한주의가요구된다. First NetBank Third Party Payment 제목으로수신된메일에는 [ 그림 1-49] 와같이타계좌로송금한내역과함께첨부된문서의확인을요청하는내용이포함돼있다. 그림 1-48 피싱사이트접속정보남미에서는이러한유형의인터넷뱅킹관련악성코드들을지속적으로유포하는봇넷이다수등장하고있는것으로보인다. KAV 의보고서에의하면 PiceBOT, S.A.P.Z (Sistema de Administración de PCs Zombi - Zombie PCs Administration System) 등비슷한유형의악성코드들이지속적으로유포되고있고피해또한증가하고있다고한다. 이러한봇넷샘플들또한 Albabotnet 관련악성코드와비슷하게 hosts 파일을변조하는방식으로악성사이트로사용자를유도하는것으로보인다. 그림 1-49 수신된메일내용첨부된파일을다운로드하면, [ 그림 1-50] 과같이 PDF 문서의아이콘의모습을하고있으나실제로는문서파일이아닌윈도우실행파일을확인할수있다. 그림 1-50 문서파일 (PDF) 아이콘가진첨부파일 이와같은남미국가들의인터넷뱅킹악성코드의급격한증가상황과악성코드의동작방식등은국내상황과유사한면이많다. 최근국내에서유행하는악성코드들은대부분 hosts 파일을변조해사용자를피싱사이트로유도해개인정보를노리고있다. 비슷한악성코드의변형들을지속적으로유포해다수의사용자 PC를감염시키고웹사이트에서 hosts 파일의정보를받아업데이트해줌으로써사용자가계속피해에노출될수있도록유지하는것이다. 이파일은파일명뒤에 exe의확장자가확인되지만, 윈도우기본설정에서는알려진확장자 (EXE, DLL 등 ) 를표시하도록되어있지않다. 이에확장자가표시되지않는경우에는사용자가문서파일 (PDF) 로인지하고실행할수있어악성코드에감염될위험이높다. 첨부된악성파일이실행되면, [ 그림 1-51] 과같이미국 (US) 과영국 (UK) 에위치한특정서버로접속을시도한다. 이러한악성코드로부터고객의정보를보호하고정보유출로인한피해를예방하기위해서는기업들도다양한방식으로보안강화를위한노력을해야한다. PC 사용자또한백신프로그램및 OTP 사용등개인정보를안전한상태로유지하기위한노력을지속해야할것이다. 그림 1-51 DNS 쿼리정보 연결되는일부서버를통해추가적인악성파일들을다운로드해실행한다.

16 미시간주에위치한특정시스템으로의연결을지속적으로시도하며, 일부시스템에서는악성코드를다운로드한다. 그림 1-52 추가적인파일다운로드로그 다운로드된악성코드가실행될때생성된파일은시스템재시작시에도동작할수있도록레지스트리에등록된다 ( 최종생성되는폴더및파일명은감염시마다변경됨 ). - HKCU\Software\Microsoft\Windows\CurrentVersion\ Run\{1593167F-6E50-AD40-5B87-53325B9F7020} ""C:\Documents and Settings\Administrator\Application Data\Epazh\fysok.exe"" 스팸메일을통한보안위협은사회적관심사를다루거나특정타깃층의호기심을자극할만한다양한내용을포함하는등의방법으로꾸준히발생하고있다. 이에발신인이명확하지않거나, 확인되지않는메일내용을포함하고있는경우, 파일이첨부된이메일을수신할경우각별한주의가필요하다 그림 1-54 첨부된악성코드 - HKCU\Software\Microsoft\Windows\CurrentVersion\ Run\{1AB56A25-B9D0-AD41-CED2-B7C5F89F94D7} ""C:\ Documents and Settings\Administrator\Application Data\Polo\ atnuru.exe"" <V3 제품군의진단명 > Win-Trojan/Tepfer.158720 (2013.03.06.00) Trojan/Win32.Tepfer (2013.03.06.00) Win-Trojan/Tepfer.314368 (2013.03.06.00) 그림 1-55 특정시스템으로의접속시도 Bank Of America 위장스팸메일 미국의뱅크오브아메리카 (Bank of America) 은행을사칭해악성코드를유포하는스팸메일이발견됐다. 이스팸메일은 cashproonline_notification@bankofamerica.com 의메일주소로발송됐으며, Online Digital Certificate 라는제목을사용했다. 발신자의메일주소를검색해보면이전부터해당주소와유사한형태의스팸메일들이유포되고있었다. 그림 1-56 접속을시도하는시스템의위치은행이나택배회사등을사칭한스팸메일을통해악성코드를유포하는보안위협은지속적으로발견되고있다. 발신자가불분명하거나첨부된파일이의심스러울경우각별히주의해야하며, 첨부파일을열기전에는백신으로파일검사를해보는것이좋다. <V3 제품군의진단명 > Win-Trojan/Fareit.115712.B (2013.03.08.00) 특정타깃을대상으로유포된 PDF 악성코드 그림 1-53 악성코드가첨부된이메일본문 첨부된악성코드에감염되면시스템부팅시마다실행하기위해레지스트리에등록을한다. 또한포트번호를하나씩증가시키면서미국 특정대상을타깃으로제작된악의적인 PDF 파일 ( 초X.pdf) 이최근이메일의첨부파일형태로발견됐다. 악성코드제작자는사용자가첨부파일을실행하도록해악성코드감염을유도하고, 감염된악성코드를통해키보드입력정보와시스템정보등을탈취한다. 악성코드유포에사용된이메일은정상적인메일이나업무와관련된것으로위장하기때문에악성으로의심하기가어렵다.

17 사용자가첨부파일 ( 초X.pdf) 을실행할경우정상 PDF(Adobe.pdf) 파일이실행된다. 악성코드감염을인지할수없도록하기위한것으로보이며, 본문은러시아어로작성돼있다. CommFunc.dll 파일은 CamMute.exe 파일 ( 정상파일 ) 에로드되어동작한다. 그림 1-61 레지스트리생성정보 감염된악성코드는사용자의키보드입력정보를 NvSmart.hlp 파일에저장한다. 그림 1-57 초 X.pdf 실행화면 그림 1-62 NvSmart.hlp 키로깅파일 악성 PDF 파일이실행되면 Adobe Reader 취약점 (CVE-2011-0611) 을통해다음과같은파일이생성된다. NvSmart.hlp 파일을열어보면사용자의키보드입력정보가저장된것을확인할수있다. 그림 1-63 NvSmart.hlp 파일에저장된키로깅정보 그림 1-58 생성되는파일정보 Winword.js 파일은난독화된 VBS 파일이며실행파일 (PE) 을생성하는기능을수행한다. 이후키로깅정보와시스템정보등을탈취해특정서버로전송할것으로추정되지만, 분석시점에는연결되지않았다. 그림 1-64 네트워크연결정보 그림 1-59 Winword.js 파일정보 Winword.js 파일이실행되면 Temp 폴더하위에 SWF 폴더가생성되며, 해당폴더에 CamMute.exe 파일과악성 CommFunc.dll 파일이생성된다. <V3 제품군의진단명 > PDF/Cve-2011-0611 (2013.03.06.00) VBS/Dropper (2013.03.06.05) Win-Trojan/Infostealer.41472 (2013.03.06.00) Win-Trojan/Infostealer.227840 (2013.03.06.00) 끝나지않은랜섬웨어와의전쟁랜섬웨어 (Ransom ware) 란사용자컴퓨터의시스템이나파일을장악한뒤이를인질로삼아금품을요구하는악성프로그램을말한다. 랜섬웨어는최근까지도변종이계속등장하고있는데, 국내에서는아직크게피해가확산되지는않았지만종종사례가보고되고있다는점에서사용자들의주의가필요하다. 그림 1-60 Temp 폴더생성파일

18 과거에발견된랜섬웨어의사례는다음두가지다. 2010년발견된첫번째사례는 MBR을덮어써패스워드를입력하지않으면부팅이제대로이뤄지지않았다. 이는제우스 Zbot 변형이다운로드된것이었다. 두번째사례는한글로표기된가짜윈도우라이선스를요구하는것으로지난 2011년에발견됐다. 그림 1-65 2010 년 MBR 을덮어써부팅이제대로되지않는랜섬웨어발견사례 그림 1-68 무작위성인사이트접속시도쿼리 <V3 제품군의진단명 > Win-Trojan/Kovter.121872 그림 1-66 2010년 MBR을덮어써부팅이제대로되지않는랜섬웨어발견사례가장최근에발견된랜섬웨어는 FBI를사칭해금품을요구했다. 이랜섬웨어는사용자가접속하지도않은불법성인물사이트에접속한것처럼브라우저히스토리에내용을남기고, FBI가보낸메시지로위장, 불법사이트에접속해 PC 이용이차단됐다. 돈을내면잠금을풀어주겠다 며사용자를위협했다. 그림 1-67 2013 년브라우저히스토리를악용한랜섬웨어사례 악성코드가실행되면 [ 그림 1-68] 과같이무작위로성인물사이트에접속을시도한다.

SECURITY TREND 19 01 보안동향 보안통계 3 월마이크로소프트보안업데이트현황 04 05 06 07 08 09 10 11 12 01 02 03 2013 년 3 월마이크로소프트사에서발표한보안업데이트는총 7 건으 로긴급 4 건, 중요 3 건이다. 지난달에이어많은부분을차지하는것은 Internet Explorer 누적보안업데이트이며, 비공개적으로보고된 9 개의 취약점을가지고있다. 아직악용된사례나공격코드가공개되진않았 으나, 이용자들대부분이해당브라우저로인터넷사용을많이하기때 문에최신취약점에의한공격을막기위해선보안업데이트가필수적 이다. 긴급 MS13-021 Internet Explorer 누적보안업데이트 MS13-022 Silverlight 의취약점으로인한원격코드실행문제 MS13-023 Microsoft Visio Viewer 2010 의취약점으로인한원격코드실행문제 MS13-024 SharePoint 의취약점으로인한권한상승문제 MS13-012 Microsoft Exchange Server 의취약점으로인한원격코드실행문제점 중요 MS13-025 Microsoft OneNote의취약점으로인한정보유출문제 MS13-026 Office Outlook for Mac의취약점으로인한정보유출문제 MS13-027 커널모드드라이버의취약점으로인한권한상승문제 5 4 3 2 1 0 5 4 3 2 1 0 5 4 3 2 1 0 5 4 3 2 1 0 5 4 3 2 1 0 표 2-1 2013 년 03 월주요 MS 보안업데이트 그림 2-1 공격대상기준별 MS 보안업데이트

SECURITY TREND 20 02 보안동향 보안이슈 Mongo DB 원격코드실행취약점 CVE-2013-1892 NoSQL을대표하는오픈소스로유명한 MongoDB 2.2.3 이하버전의 nativehelper에취약점이존재하는것으로확인됐다. 공격자는이취약점을악용, 원격으로코드를실행할수있다. 일부매체에서는데이터처리에여러불편함이있다는점과불안정성등을이유로 MongoDB 사용자제를권하고있다. 하지만개발자들이가장쉽게접할수있는것이 MongoDB라는점에서사용자들의각별한주의가필요할것으로보인다. 어떤 NoSQL을사용하느냐는사용자의몫이지만, 이런오픈소스를사용할때는취약점에쉽게노출될수있는만큼보안업데이트에각별히신경써야한다. MongoDB의최신버전은 2.4.1이므로최신버전으로업데이트해사용하길권장한다. 그림 2-2 공개된공격코드실행동영상

WEB SECURITY TREND 21 01 웹보안동향 웹보안통계 악성코드유포웹사이트는감소추세안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하면, 2013년 3월악성코드를배포하는웹사이트를차단한건수는모두 7861건이었다. 악성코드유형은총 328종, 악성코드가발견된도메인은 181개, 악성코드가발견된 URL은 783개로각각집계됐다. 이는 2013년 2월과비교해서전반적으로감소한수치다. 악성코드배포 URL 차단건수 8,267 7,861 03 02-4.9% 악성코드유형악성코드가발견된도메인악성코드가발견된 URL Graph 333 271 909 328 181 783 333 328 271 181 909 783 표 3-1 2013 년 3 월웹사이트보안현황 월별악성코드배포 URL 차단건수 2013년 3월악성코드배포웹사이트 URL 접근에대한차단건수는지난달 8267건에비해 5% 감소한 7861건이었다. 15,000 10,000 5,000 8,900 8,267 7,861 46.5% 7.1% 4.9% -633-406 0 01 02 03 그림 3-1 월별악성코드배포 URL 차단건수변화추이

WEB SECURITY TREND 22 월별악성코드유형 2013년 3월의악성코드유형은전달의 333건에비해 2% 감소한 328건이다. 500 250 353 4.7% -20 333 328 5.7% 1.5% -5 0 01 02 03 그림 3-2 월별악성코드유형수변화추이 월별악성코드가발견된도메인 2013년 3월악성코드가발견된도메인은 181건으로 2013년 2 월의 271건에비해 33% 감소했 400 300 200 199 6.4% 271 36.1% +72-90 181 33.2% 다. 100 0 01 02 03 그림 3-3 월별악성코드가발견된도메인수변화추이 월별악성코드가발견된 URL 2013년 3월악성코드가발견 1,000 818 18.2% 909 18.2% 783 13.9% +91-126 된 URL은전월의 909건에비해 14% 감소한 783건이었다. 500 0 01 02 03 그림 3-4 월별악성코드가발견된 URL 수변화추이

WEB SECURITY TREND 23 악성코드유형별배포수악성코드유형별배포수를보면트로이목마가 3801건 (48.4%) 으로가장많았고, 애드웨어가 1361건 /17.3% 인것으로조사됐다. 유형 건수 비율 TROJAN 3,801 48.4 % ADWARE 1,361 17.3 % DROPPER 525 6.7 % DOWNLOADER 175 2.2 % Win32/VIRUT 66 0.8 % SPYWARE 57 0.7 % JOKE 11 0.1 % APPCARE 7 0.1 % ETC 1,858 23.7 % TOTAL 7,861 100% 표 3-2 악성코드유형별배포수 TROJAN 3,801 4,000 ETC 1,858 ADWARE 1,361 DROPPER 525 2,500 DOWNLOADER 175 Win32/VIRUT 66 SPYWARE 57 JOKE 11 APPCARE 7 0 그림 3-5 악성코드유형별배포수 악성코드최다배포수악성코드배포최다 10건중에서 Trojan/Win32.KorAd가 1095건으로가장많았고 Win- Trojan/Wecod.1069568 등 4건이새로등장했다. 순위 등락 악성코드명 건수 비율 1 1 Trojan/Win32.KorAd 1,095 24.8 % 2 1 Adware/Win32.Clicker 1,093 24.7 % 3 NEW Win-Trojan/Wecod.1069568 545 12.2 % 4 NEW Dropper/Win32.KorAd 357 8.1 % 5 1 ALS/Qfas 273 6.2 % 6 1 ALS/Bursted 268 6.1 % 7 1 Win32/Induc 222 5.0 % 8 NEW Trojan/Win32.Downloader 195 4.4 % 9 NEW Trojan/Win32.HDC 190 4.3 % 10 1 Packed/Win32.Vmpbad 186 4.2 % TOTAL 4,424 100 % 표 3-3 악성코드배포최다 10 건

WEB SECURITY TREND 24 02 웹보안동향 웹보안이슈 2013년 3월침해사이트현황 [ 그림 3-6] 은악성코드를유포했던침해사이트들에대한월별통계다. 전체통계의증감부분에서는주목할만한요소는없었다. 단지 2월에는명절등이포함돼있어잠시주춤했던것으로추정되는데이수치는 3월들어다시증가했다. 그림 3-6 2013 년월별침해사이트현황 침해사이트를통해서유포된악성코드최다 10 건 순위 악성코드명 건수 1 Trojan/Win32.Banki 11 2 Win-Trojan/Banki.22016.E 10 3 Win-Trojan/Malpacked5.Gen 9 4 Win-Trojan/Agent.23001.B 9 5 Dropper/Win32.Small 8 6 Win-Trojan/Malpacked5.Gen 8 7 Dropper/Xema.22016.AM 7 8 Win32/Morix.worm.118459 7 9 Win-Trojan/Hupigon.109829 7 10 Dropper/Xema.22016.AM 7 표 3-4 침해사이트를통해서유포된악성코드최다 10건 [ 표 3-4] 는 3월한달동안가장많은사이트를통해서유포됐던악성코드최다 10건을산출한것이다. 3월의경우에는온라인게임핵트로이목마가최대 10건순위내에들지못했고, 순위대부분을인터넷뱅킹정보를탈취하는 Banki와그와관련된악성코드들이랭크됐다.

ASEC REPORT CONTRIBUTORS 집필진 책임연구원 정관진 선임연구원 강동현 선임연구원 안창용 선임연구원 이도현 선임연구원 장영준 주임연구원 김재홍 주임연구원 문영조 주임연구원 박정우 연구원 강민철 참여연구원 ASEC 연구원 SiteGuard 연구원 편집장책임연구원안형봉 편집인 안랩세일즈마케팅팀 디자인 안랩 UX 디자인팀 감수전무조시행 발행처 주식회사안랩경기도성남시분당구삼평동 673 ( 경기도성남시분당구판교역로 220) T. 031-722-8000 F. 031-722-8901 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved.