CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

ASEC REPORT VOL.37 2013.02 안랩월간보안보고서 2013 년 1 월의보안동향

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. I. 2013년 1월의보안동향악성코드동향 01. 악성코드통계 03-1월악성코드, 전월대비 33만여건감소 - 악성코드대표진단명감염보고최다 20-1월최다신종악성코드 Win-Trojan/Onlinegamehack.205350-1월악성코드유형트로이목마가최다 - 악성코드유형별감염보고전월비교 - 신종악성코드유형별분포 02. 악성코드이슈 07 - 신규 Java 제로데이공격, 국내감염사례발견 - 국내방산업체 APT 공격포착 - 특정기업을타깃으로하는 PlugX 트로이목마 - 피싱 파밍공격및인증서유출위협증가 - 윈도우와안드로이드에서인터넷뱅킹정보를탈취하는악성코드 - YES24(www.yes24.com) 홈페이지를통한악성코드유포 - https를사용한악성코드유포 - 호기심에받은파일에담긴악성코드 - 최신영화토렌트파일을이용한악성코드유포 - 스팸메일발송악성코드주의! - 연말정산시즌, 세금관련스팸메일주의! - 신규채용메일로위장한악성코드 - 한글문서파일을위장한악성코드발견 - 한글파일제로데이취약점악용공격 - Open IOC 도구를이용하여붉은 10월악성코드점검하기 보안동향 01. 보안통계 21-1월마이크로소프트보안업데이트현황 02. 보안이슈 22 - 인터넷익스플로러제로데이취약점 (CVE-2012-4792) 악용 - Java 제로데이공격의꾸준한증가 CVE-2013-0422 웹보안동향 01. 웹보안통계 24 - 웹사이트악성코드동향 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위 03. 모바일악성코드이슈 18 - 구글플레이스토어 100 만다운로드 ADULTS ONLY

3 01 악성코드동향 악성코드통계 1월악성코드, 전월대비 33만여건감소 ASEC이집계한바에따르면, 2013 년 1월에감염이보고된악성코드는 15,000,000 10,000,000 9,976,829 23.8% 9,602,029 9,938,154 0.4% 3.4% -38,675-336,125 전체 960만 2029건인것으로나타났다. 이는전월 993만 8154건에비해 5,000,000 33만 6125건이감소한수치다 ([ 그림 1-1]). 이중에서가장많이보고된악성코드는 ASD.PREVENTION이었으며, Malware/Win32.suspicious와 JS/Agent가다음으로많았다. 또한총 8건의악성코드가최다 20건목록에새로이름을올렸다 ([ 표 1-1]). 0 11 12 01 그림 1-1 월별악성코드감염보고건수변화추이 순위 등락 악성코드명 건수 비율 1 ASD.PREVENTION 726,032 21.4 % 2 Malware/Win32.suspicious 386,249 11.3 % 3 6 JS/Agent 266,533 7.8 % 4 Textimage/Autorun 224,876 6.6 % 5 2 Trojan/Win32.adh 220,423 6.5 % 6 1 Trojan/Win32.Gen 196,609 5.8 % 7 3 Trojan/Win32.agent 169,686 5.0 % 8 5 Trojan/Win32.onlinegames 164,451 4.8 % 9 3 Trojan/Win32.onlinegamehack 154,451 4.5 % 10 NEW Win-Trojan/Onlinegamehack.205350 121,154 3.6 % 11 NEW Win-Trojan/Onlinegamehack.208896.W 103,594 3.0 % 12 2 Adware/Win32.korad 97,687 2.9 % 13 2 RIPPER 87,306 2.6 % 14 NEW Win-Trojan/Agent.204208 86,584 2.5 % 15 NEW Win-Trojan/Rootkit.83909376 79,587 2.3 % 16 NEW Win-Trojan/Agent.204692 70,640 2.1 % 17 NEW Html/Shellcode 68,148 2.0 % 18 NEW Win-Trojan/Patcher.155648 65,155 1.9 % 19 NEW Trojan/Win32.sasfis 58,679 1.7 % 20 7 Malware/Win32.generic 57,810 1.7 % TOTAL 3,405,654 100.0 % 표 1-1 2013년 01월악성코드최다 20건 ( 감염보고, 악성코드명기준 )

4 악성코드대표진단명감염보고최다 20 [ 표 1-2] 는악성코드별변종을종합한악성코드대표진단명중가장많이보고된 20건을추린것이다. 2013 년 1월에는 Trojan/Win32가총 142 만 9566건으로가장빈번히보고된것으로조사됐다. Win-Trojan/ Agent가 85만 329건, Win-Trojan/ Onlinegamehack이 76만 6762건으로그뒤를이었다. 순위 등락 악성코드명 건수 비율 1 Trojan/Win32 1,429,566 21.3 % 2 2 Win-Trojan/Agent 850,329 12.6 % 3 2 Win-Trojan/Onlinegamehack 766,762 11.4 % 4 2 ASD 726,032 10.8 % 5 2 Malware/Win32 455,694 6.8 % 6 6 Win-Trojan/Urelas 304,573 4.5 % 7 8 JS/Agent 267,101 4.0 % 8 2 Adware/Win32 235,382 3.5 % 9 Textimage/Autorun 224,902 3.3 % 10 3 Win-Trojan/Downloader 224,504 3.3 % 11 1 Win-Trojan/Korad 198,154 2.9 % 12 7 Win-Trojan/Avkiller 152,098 2.3 % 13 2 Win-Adware/Korad 143,427 2.1 % 14 3 Win32/Virut 129,856 1.9 % 15 7 Downloader/Win32 126,430 1.9 % 16 2 Win32/Conficker 118,740 1.8 % 17 NEW Win-Trojan/Rootkit 105,143 1.6 % 18 2 Win-Dropper/Korad 91,542 1.4 % 19 1 Win32/Kido 89,767 1.3 % 20 NEW RIPPER 87,306 1.3 % TOTAL 6,727,308 100.0 % 표 1-2 악성코드대표진단명최다 20건 1월최다신종악성코드 Win-Trojan/ Onlinegamehack.205350 [ 표 1-3] 은 1월에신규로접수된악성코드중감염보고가많았던 20건을꼽은것이다. [ 표 1-3] 은 1월에신규로접수된악성코드중감염보고가가장많았던 20건을꼽은것이다. 1월의신종악성코드는 Win-Trojan/ Onlinegamehack.205350이 12만 1154건으로전체의 14.9% 를차지했으며, Trojan/Onlinegamehack.20 8896.W이 10만 3594건이보고돼 12.9% 를차지했다. 순위 악성코드명 건수 비율 1 Win-Trojan/Onlinegamehack.205350 121,154 14.9 % 2 Win-Trojan/Onlinegamehack.208896.W 103,594 12.9 % 3 Win-Trojan/Rootkit.83909376 79,587 9.8 % 4 Win-Trojan/Patcher.155648 65,155 8.0 % 5 Win-Trojan/Avkiller.23488 44,025 5.4 % 6 Dropper/Onlinegamehack.132391 35,956 4.4 % 7 Win-Trojan/Avkiller.83912064 35,183 4.3 % 8 Win-Trojan/Agent.656600 35,146 4.3 % 9 Win-Trojan/Onlinegamehack.135505 31,756 3.9 % 10 JS/Donxref 31,560 3.9 % 11 Win-Trojan/Onlinegamehack.105984.O 29,910 3.7 % 12 Win-Adware/KorAd.657472 29,263 3.6 % 13 Win-Trojan/Agent.204768 26,210 3.2 % 14 Win-Trojan/Downloader.208475 23,649 2.9 % 15 Win-Trojan/Agent.65024.JS 22,624 2.8 % 16 Win-Trojan/Onlinegamehack.79138304 22,091 2.7 % 17 Win-Trojan/Korad.100352 21,941 2.7 % 18 Win-Trojan/Modifiedupx.130853 19,700 2.4 % 19 Win-Trojan/Urelas.513536 17,250 2.1 % 20 Win-Trojan/Agent.400384.BI 16,889 2.1 % TOTAL 812,643 100.0 % 표 1-3 1월신종악성코드최다 20건

5 1월악성코드유형트로이목마가최다 [ 그림 1-2] 는 2013년 1월 1개월간안랩고객으로부터감염이보고된악성코드의유형별비율을집계한결과다. 트로이목마 (Trojan) 가 53.2% 로가장높은비율을나타냈고스크립트 (Script) 가 7.4%, 웜 (Worm) 이 4.7% 로집계됐다. 그림 1-2 악성코드유형별비율 악성코드유형별감염보고전월비교 [ 그림 1-3] 은악성코드유형별감염비율을전월과비교한것이다. 트로이목마, 스크립트, 바이러스, 다운로더가전월에비해증가세를보였으며드롭퍼, 애드웨어, 스파이웨어는감소했다. 웜, 애프케어계열들은전월수준을유지했다. 그림 1-3 2012 년 12 월 vs. 2013 년 1 월악성코드유형별비율

6 신종악성코드유형별분포 1월의신종악성코드를유형별로살펴보면트로이목마가 85% 로가장많았고, 드롭퍼가 5%, 애드웨어가 3% 로집계됐다. 그림 1-4 신종악성코드유형별분포

7 02 악성코드동향 악성코드이슈 신규 Java 제로데이공격, 국내감염사례발견최근발견된 Java 제로데이취약점 (CVE-2013-0422) 은 Blackhole Exploit Kit, Cool Exploit Kit, Nuclear Exploit Kit 등의자동화된공격도구를통해악용되고있으며, 빠른속도로전세계로확산하고있다. 2013 년 1월 10일국내에서도 [ 그림 1-5] 와같이 e-mail에악성링크를포함해클릭을유도하거나 SEO poisoning 기법을이용해검색사이트의상위에노출시켜접근을유도하는감염사례가발견됐다. 위의사례외에도국내에서서비스하고있는웹하드업체의홈페이지를통해악성코드를유포하는사례가발견됐다. 특히사용자들의시스템에취약점이존재할경우홈페이지에접근하는것만으로악성코드에감염될수있어사용자들의주의가필요하다. 그림 1-8 악의적인스크립트가삽입된홈페이지 그림 1-5 Java 취약점을이용한악성 e-mail 그림 1-9 삽입된스크립트중일부 해당사이트로부터악성코드가유포되는방식은 Gongda Exploit Kit을이용했으며최종적으로유포및실행되는악성코드를확인해본결과, Host 파일을변조하는 Banki류의악성코드로확인됐다. 해당악성코드에대해살펴보면, 아래와같다. 그림 1-6 Java 취약점을이용한스크립트코드 [W1.******.net/cctv.exe] 1. 악성코드가취약점을통해실행되면아래의파일이생성된다. 그림 1-7 다운되는악성 Jar 파일구조 해당 Exploit 이포함된악성스크립트에노출되면시스템이감염된다. - C:\WINDOWS\temp\cct.exe - C:\WINDOWS\temp\host.exe

8 2. 아래와같이시스템재시작시에도실행될수있도록레지스트리에값을등록한다. - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\360 寮땡렝徒 "C:WINDOWS\SHELLNEW\sever.exe" (sever.exe 파일의경우, 실제생성되는것이확인되지는않았다.) - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\(Default) "C:\WINDOWS\temp\cct.exe" 3. 생성된 cct.exe 파일은실행되면서아래의서버에접속을시도한다. - 121.***.***.204:14465 해당파일의내부에는아래의파일로부터 DialParamsUID, PhoneNumber, Device 등의정보를탈취할것으로보이는일부문자열정보가확인된다. <V3 제품군의진단명 > JAVA/Cve-2013-0422 (2013.01.11.05) Trojan/JAVA.Agent (2013.01.11.05) JS/Agent (2013.01.11.05) Win-Trojan/Hosts.51200 (2013.01.15.00) Win-Trojan/Farfli.142260 (2013.01.15.00) Spyware/Win32.Agent (2013.01.15.00) 국내방산업체 APT 공격포착최근국내방산업체직원을사칭해내부직원을대상으로보안에취약한 PDF 파일을첨부한이메일을유포한사례가발생했다. 해당파일은사회공학적기법을이용해업무협조문서를발송한것처럼위장하고있다. 그림 1-10 문자열정보 4. 함께생성및실행되는 host.exe 파일에의해감염시스템의 hosts 파일이변조된다. 그림 1-11 변조된 hosts 파일 1월현재관련사이트로의연결은이루어지지않았다. 하지만해당악성코드는 hosts 파일을변조해일부금융권사이트접속시, 사용자의금융정보를탈취할목적의악의적인피싱페이지로연결을시도할것으로보인다. 지속적으로발견되는보안위협에대한피해를최소화하기위해서는윈도우보안업데이트및주요응용프로그램 (Java, Adobe Flash Player 등 ) 에대한업데이트의적용을권고한다. 해당취약점은보안업데이트가제공중이며, 보안업데이트만으로도악성코드감염을예방할수있으므로반드시보안업데이트를수행하기바란다. 그림 1-12 PDF 파일내용해당 PDF 파일은지난 2012년 8월에 ASEC 블로그의 이메일을이용한어도비 CVE-2009-0927 취약점악성코드유포 와유사한형태로, 공격자는방산업체로수신되는문서를이용해꾸준히 APT 공격을하는것으로보인다. 이러한공격은내부기밀정보가외부공격자에게유출되는피해가발생할수있기때문에국가기관및방산업체에서는 APT 공격을심각하게받아들이고있다. 따라서이와같은보안위협에대한대응이필요하다. 방산업체직원으로사칭해유포된이메일의첨부파일은다음과같다. 그림 1-13 이메일첨부파일업무연락근무시간관련업계현황조사협조요청 _20130130.pdf 파일을실행하면아래와같이파일과레지스트리키를생성해 webios. dll 파일이 6to4 Manager 이름으로서비스에등록되며, 시스템을시작할때마다자동실행된다.

9 [ 파일생성 ] - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\Temp\AdobeARM.dll - C:\WINDOWS\system32\webios.dll - C:\WINDOWS\system32\wdiguest.dll [ 레지스트리등록 ] - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\6to4\Parameters\ServiceDll "C:\WINDOWS\ system32\webios.dll" 취할목적으로 E-mail의첨부파일이나정상프로그램의업데이트서버정보를변조해유포를시도하는악성코드다. 최근에발견된 PlugX는특정대상을목적으로 E-mail 첨부파일을이용해유포됐을가능성이크다. 또한사용자가 DOC파일로인식하도록 [ 그림 1-16] 처럼 DOC 아이콘을사용하고있다. 그림 1-16 Doc 아이콘으로위장한 PlugX DOC 아이콘을사용하고있지만실행파일 (SFX, 자동압축풀림 ) 이며, 해당파일의내부에는 1.exe와 1.doc 파일이존재한다. 사용자가 DOC 파일로착각해실행할경우악성코드로인지할수없도록빈문서파일인 1.doc를보여준다. 그림 1-14 6to4 Manager 서비스등록상태 webios.dll 파일과 wdiguest.dll 파일은동일한파일이며, webios.dll 파일은 svchost.exe 프로세스에로드되어동작하며, 미국에위치하는 C&C 서버로주기적으로접속을시도하는것으로확인됐다. - hxxp://yy**.**.nu (173.2**.***.202, US) 그림 1-17 PlugX 실행시빈 Doc 문서출력 그림 1-15 173.2**.***.202 접속시도패킷 C&C 서버와정상적인통신에성공하게된다면공격자의명령에따라키보드입력을가로채는키로깅과원격제어등의기능을수행하게된다. 그리고백그라운드에서는실제악성코드인 1.exe가실행되고특정폴더에 3개의파일을생성한다. (1) %USERPROFILE%\TEMP\hhx\hhc.exe <V3 제품군의진단명 > PDF/Exploit Trojan/Win32.Dllbot Win-Trojan/Dllbot.8704.E 특정기업을타깃으로하는 PlugX 트로이목마언론을통해보도된보안사고들의공통점은악성코드를사용해특정대상기업, 기관등의민감한자료 ( 기밀자료, 고객DB 등 ) 를탈취했다는것이다. Trojan/Win32.PlugX( 이하 PlugX) 역시특정대상의민감한자료를탈 그림 1-18 정상파일 Microsoft HTML Help Compiler 해당파일은서비스로실행되며실행시 hha.dll을로딩하는기능수행 - 서비스명 : Credential Manager Command Line Utility (2) %USERPROFILE%\TEMP\hhx\hha.dll hha.dll.bak파일을특정바이트만큼읽어온후복호화

10 복호화된코드에는악의적인기능 ( 키로깅, 특정사이트접속등 ) 이포함 (3) %USERPROFILE%\TEMP\hhx\hha.dll.bak 1.exe가실행되면서생성한파일 hha.dll가실행되는데필요한코드가암호화되어있음 hha.dll에의해서복호화되는 hha.dll.bak의일부코드를살펴보면아 래처럼감염된 PC에서키보드로입력된내용을키로깅하여 NvSmart. hlp에저장하기위한 API들이존재한다. - 00022B2C 00022B2C 0 SetWindowsHookExW - 00022B82 00022B82 0 UnhookWindowsHookEx - 00022B98 00022B98 0 CallNextHookEx - 00022C22 00022C22 0 GetAsyncKeyState - 00022C36 00022C36 0 GetKeyState 그림 1-21 NH 농협을가장한피싱사이트모바일 SMS 피싱공격뿐만아니라파밍공격또한늘어나고있다. 파밍은 hosts 파일을변조해사용자가정상적인금융권사이트에접속해도공격자의조작된은행페이지에접속되도록한다. 공인인증서가 PC에저장된경우에는파밍공격과더불어공인인증서까지탈취당할위험이있다. (4) 키로깅파일의위치 : %All Users%\cmdkey\NvSmart.hlp 그림 1-22 hosts 파일변조파밍공격 그림 1-19 NvSmart.hlp 에저장된내용 감염된 PC는 [ 그림 1-20] 처럼홍콩에위치한 C&C서버와통신을시도한다. 일반적으로공격자는금융권에서제공한보안카드번호를획득하기위해아래와같은보안카드입력화면을보여주며보안카드정보를확보하려는시도를한다. 그림 1-20 홍콩에위치한 C&C 와통신 <V3 제품군의진단명 > Dropper/Win32.Backdoor (AhnLab, 2013.01.15.03) 피싱 파밍공격및인증서유출위협증가인터넷뱅킹피싱및파밍위협이더욱커지고있다. 사회공학적기법을이용할뿐아니라, 노출된개인정보를결합한공격까지발생하고있어사용자들의각별한주의가필요하다. 최근에는모바일 SMS를이용한무차별피싱공격도증가하는추세다. 그림 1-23 보안카드번호입력유도화면금융권및은행사이트에서는보안카드번호전체를입력하라고요구하지않는다. 인터넷웹브라우저에서정상적인사이트 URL 이더라도위와같은보안카드번호전체입력화면이나타나는경우는피싱 파밍공격임으로주의가필요하다.

11 이러한피싱 파밍공격에대한방어및공인인증서보안을위해서는아래와같은인터넷뱅킹보안수칙을참고해인터넷뱅킹을이용하도록한다. 1. 공인인증서, 보안카드, 비밀번호등을스캔해서사진파일이나엑셀파일형태로개인이메일계정또는웹하드에저장하지않는다. 2. 가급적공인인증서는 PC보다 USB나외장하드등이동저장매체에보관하고인터넷뱅킹사용시에만 PC에연결해서사용한다. 3. 보안카드보다 OTP(One Time Password) 나 MOTP(Mobile One Time Password) 등을사용한다. 4. 은행인터넷뱅킹계정이나포털사이트메일계정의비밀번호는주기적으로변경및관리한다. 5. 인터넷금융거래계정 ID와비밀번호는포탈메일계정 ID비밀번호와다르 그림 1-24 Hosts 파일변조 사용자가주의깊게살펴보지않으면정상사이트와구분하기어렵다. 게사용하고절대타인에게알려주지않는다. 6. PC방등공공장소에서는인터넷뱅킹을사용하지않음은물론이고, 가급적각종사이트에도로그인을하지않는다. 7. MS 윈도우보안패치및백신을설치하여주기적인백신업데이트를해늘최신으로유지한다. 8. 업데이트한백신의실시간검사를이용하고주기적으로수동검사를한다. 9. 계좌이체, 공인인증서재발급등이용내역을알려주는휴대전화문자 (SMS) 서비스이용한다. 그림 1-25 정상사이트 ( 왼쪽 ) / 피싱사이트 ( 오른쪽 ) 윈도우와안드로이드에서인터넷뱅킹정보를탈취하는악성코드 취약점을이용해 PC 사용자가감염사실을인지할수없도록동작하는국내인터넷뱅킹정보탈취악성코드가끊임없이발견되고있다. 과거국내를대상으로제작된정보탈취형악성코드는주로주말에취약점을통해서유포 / 확산됐지만, 모니터링결과주중에도변형을제작해유포되고있었다. 그림 1-26 피싱사이트 국내인터넷뱅킹정보탈취악성코드는 Windows뿐만아니라, Android 기반의스마트폰앱으로도유포됐으며, 변종이계속발견되고있다. 더욱이구글공식마켓인 Play Store에도등록돼있어그영향이적지않을것으로보인다. 해킹된웹사이트에삽입된악성스크립트를통해유포되는, 즉취약점을통해감염되는흐름은이전에다루었으므로생략한다. 취약점을통해 PC에다운로드및실행되는악성파일은아래와같다. - hxxp://121.***.**.229:280/goutou.exe 해당파일이실행되면아래와같은명령으로시스템의 Hosts 파일이변조된다. 이후 PC 사용자는인터넷뱅킹을위해정상적인방법으로은행사이트를방문하지만, 실제로는제작자에의해의도된피싱사이트에접속하게된다. 그림 1-27 이름과주민번호입력을요구하는피싱사이트피싱사이트에서요구하는 [ 인증절차 ] 를확인해보면아래와같다. 1. 위페이지의소스를살펴보면 name_info1, 2, 3 사용자이름과주민번호를인자값으로받아서특정서버에전송할것으로추정된다.

12 5개은행의이용자를타깃으로제작됐으며, 하루간격으로변종이유포됐다. 1월 15일에는 LEAD TEAM, 16일에는 ZHANG MENG, waleriakowalczyk, 17일에는 Kyle Desjardins 의제작자명으로등록되어유포됐다. 위악성앱중에하나를살펴보자. 그림 1-28 페이지소스 2. 이름과주민번호정보를수집한후에는보안카드비밀번호와같은추가정보를수집하기위한페이지로이동한다. 그림 1-32 설치화면 ( 좌 ) / 실행화면 ( 우 ) 그림 1-29 추가정보수집페이지 3. 실제사용자에의해입력된정보가특정서버로전송되는과정은 [ 그림 1-30] 과같다. 그림 1-33 피싱사이트접속유도화면 그림 1-30 사용자에의해입력된정보가전송되는과정 이러한 Windows 기반의악성코드가 Android 기반의스마트폰에서도발견됐다. [ 그림 1-31] 의페이지는구글마켓에등록된인터넷뱅킹정보탈취형악성앱이다. 그림 1-34 은행 ( 피싱 ) 사이트접속화면 위화면에서볼수있듯이피싱사이트는사용자의개인정보및인터넷뱅킹정보를입력하도록유도하고있다. 그림 1-31 구글 Play Store 에등록된악성앱 해당부분의코드를살펴보면피싱사이트로접속을유도하는부분을확인할수있다.

13 wlo.js 스크립트하단에는 [ 그림 1-39] 의인코딩된형태의코드가존재한다. 그림 1-35 피싱사이트접속유도의일부코드 그림 1-39 wlo.js 스크립트에삽입된 iframe 태그 그림 1-36 인터넷뱅킹정보탈취사이트의일부코드 Windows 기반의악성코드감염을최소화하기위해선보안패치를항상최신으로유지하고, 안전성이확인되지않은파일공유사이트 (P2P, 토렌트 ) 는이용하지않는것이좋다. Android 기반의금융관련앱을설치할떄는해당금융사가등록한것인지, 제작자가올바른지등을확인하는습관이필요하다. <V3 제품군의진단명 > Trojan/Win32.Banki Android-Trojan/Yaps 위의인코딩된스크립트를풀어보면 [ 그림 1-40] 의주소를확인할수있다. 그림 1-40 디코딩된스크립트에존재하는 URL 분석당시에는연결이되지않아확인할수없었지만, 당시접속로그를확인해보면위의페이지로연결된이후 Gongda Exploit Kit을통해악성코드가유포된것으로보인다. 다음은 AkVnQn8.jpg 파일을디컴파일프로그램으로열어본화면이다. YES24(www.yes24.com) 홈페이지를통한악성코드유포 2013년 1월 5일국내인터넷서점 YES24 (www.yes24.com) 사이트에서악성코드가유포됐다. 해당웹사이트의특정 Java 스크립트파일에는 iframe이삽입되어있으며, 이악성코드는 Gongda Exploit Kit을통해유포된것으로확인됐다. 국내의많은사용자가방문하는웹사이트에서반복적으로악성코드가유포되고있다는점에서주의가필요하다. 그림 1-41 AkVnQn8.jpg 파일정보 악성코드는 www.short***.com 사이트에서 x2.exe 파일을다운로드해서실행된다. 해당악성코드 (x2.exe) 는 V3, 알약과같은백신프로그램이실행되는것을방해하고게임계정을탈취하는 OnlineGameHack 악성코드다. 그림 1-37 YES24 홈페이지 악성스크립트가삽입된 Java 스크립트파일 (wlo.js) 은다음과같다. 그림 1-42 파일생성정보 <V3 제품군의진단명 > Dropper/Onlinegamehack22.Gen (V3, 2013.01.07.05) Trojan/Win32.OnlineGameHack (V3, 2013.01.07.05) Win-Trojan/Onlinegamehack.105984.O (V3, 2013.01.07.05) Win-Trojan/Onlinegamehack.52736.ZI (V3, 2013.01.06.00) 그림 1-38 악성스크립트가삽입된 Java 스크립트파일

14 https를사용한악성코드유포악성코드제작자들의악성코드및스크립트배포방법에변화가생겼다. 악성코드를유포하는웹사이트는다양하지만, 이번에는낚시사이트를이용하는방법이발견된것이다. 호기심에받은파일에담긴악성코드다수의감염이보고된악성코드 (Trojan/Win32.Urelas) 의상위드롭퍼를확인해본결과, [ 그림 1-46] 과같이특정자료의폴더내에서수집된내용이었다. 그림 1-46 악성파일실행경로 그림 1-43 악성코드가유포된낚시사이트 해당파일은파일공유사이트의다운로드프로그램을통해다운로드된것으로이는사용자가원했던자료에함께포함돼있었던것으로보인다. 위의사이트에서악성코드가유포될당시삽입된스크립트는 [ 그림 1-44] 와같다. 그림 1-44 악성스크립트 해당악성스크립트에서연결하는사이트는키워드툴바업체다. 특이한점은악성코드제작자가해당악성스크립트를배포하기위해 http 가아닌 https를사용했다는점이다. https로통신을하면암호화통신을하기때문에스크립트파일을추출할수없다. 물론툴을이용해수동으로파일을추출할수는있다. 악성코드제작자가 https 통신을사용한이유를추측해보면악성코드의탐지를조금이나마우회하기위한것으로보인다. 최종적으로 [ 그림 1-45] 의파일이드롭되어실행되며, 실행된악성코드의파일정보를살펴보면아이콘및파일정보등이 V3와알약으로위장한것을확인할수있다. 그림 1-47 파일공유사이트일부리스트파일은이미지와관련된 JPG 확장자를가지고있지만실제로는윈도우실행파일의형태였다. 그림 1-48 파일형태확인또한 MS의파일정보로위장하고있었다. 그림 1-49 파일정보확인 악성코드가실행되면, 아래와같은파일이생성된다. 그림 1-45 PE 파일정보 <V3제품군의진단명 > Trojan/Win32.Jorik (2013.01.07.05) 그림 1-50 악성코드가생성하는파일

15 생성된일부파일 (AyUp%X.tmp) 이실행되어아래의서버에접속한뒤추가적인악성파일 (Nate%X.exe) 을다운로드한다. - 218.***.***.146:80 다운로드된악성파일은, 시스템을재시작해도실행될수있도록레지스트리에값을등록한다. Win-Trojan/Urelas.47311 (2012.12.27.00) Trojan/Win32.Urelas (2012.12.27.00) Win-Trojan/Agent.309721 (2013.01.05.00) Win-Trojan/Urelas.513536 (2013.01.05.00) Win-Trojan/Urelas.659968.C (2013.01.05.00) 그림 1-51 악성코드가등록하는레지스트리값시스템재시작시시작프로그램에등록된 Nate%X.exe 파일에의해또다시추가적인악성파일이다운로드및실행된다. - 103.***.***.164:11140 추가로다운로드된일부악성파일은아래와같은내용을포함하고있다. 이악성파일은도박성온라인게임관련프로세스를모니터링하고, 관련정보를탈취하기위한기능을포함하고있을것으로보인다. - Highlow2.exe, LASPOKER.exe, poker7.exe, Baduki.exe, HOOLA3.exe, DuelPoker.exe, FRN.exe 최신영화토렌트파일을이용한악성코드유포많은인터넷사용자들은최신영화, 게임, 유틸리티프로그램등을공유하거나자신이원하는자료를다운로드하기위해파일공유사이트 (P2P) 나토렌트 (torrent) 프로그램을이용한다. 최근토렌트에서공유된영화파일에코덱파일을위장한악성코드가발견돼사용자들의주의가요구된다. 악성코드가포함된토렌트파일은지난해개봉해 1000만관객을동원한영화 광해 ( 광해.The king.hdtv.720p.royal.torrent) 와관련된것으로 2012년 11월부터약 10만명의사용자가해당게시물을클릭한것으로확인됐다. 또한 MBR(Master Boot Record) 을감염시키는 Boot Virus 기능을가진악성코드생성도확인된다. 그림 1-54 토렌트공유사이트 그림 1-52 감염된 MBR 정보 다음은토렌트를이용해공유된파일을다운로드받는화면이다. MBR 이감염된경우전용백신으로진단및치료가가능하다. - 전용백신다운로드경로 : http://asec001.v3webhard.com/vaccine/v3_plite.exe 그림 1-55 공유파일다운로드 다운로드가완료되면 [ 그림 1-56] 과같은파일을확인할수있다. 그림 1-53 MBR 전용백신을통한치료 <V3 제품군의진단명 > 그림 1-56 다운로드된파일

16 텍스트파일에는 소리혹은영상이끊어지면코덱파일 (LOL codec1.2.exe) 을설치하라 는내용의글이작성되어있다. 분석당시아래와같은서버 (118.***.**.181:81) 에접근을시도하지만정상적으로연결되지않았다. 그림 1-57 코덱파일설치유도 토렌트에서다운로드된동영상파일 ( 광해.The king.hdtv.720p.royal. avi) 은 avi확장자를가지고있지만, 실제로는 WinRAR SFX 실행압축파일이다. 그림 1-62 네트워크패킷정보 위의토렌트파일은구글검색결과다수의토렌트사이트에서배포되고있는것으로확인됐다. 그림 1-58 동영상파일정보 사용자가 LOL codec1.2.exe 파일을실행하면다음과같은악성코드 (r.exe) 가시스템에생성된다. 그림 1-59 파일생성정보 또한, 레지스트리에 [ 그림 1-60] 과같은값을추가해윈도우시작시자동으로실행된다. 그림 1-63 구글검색정보이처럼토렌트프로그램으로배포되는다양한영화파일및프로그램을통해광고성프로그램설치및악성코드의감염으로인한정보유출등의피해가발생할수있다. 따라서파일공유및토렌트사이트에서불법으로공유하는파일에대해사용자들은각별한주의를기울일필요가있다. <V3 제품군의진단명 > Trojan/Win32.Injector (AhnLab, 2012.10.28.00) 그림 1-60 레지스트리등록정보 해당악성코드는 XtreamRAT류로사용자의개인정보를전송하거나사용자가입력하는키보드값을가로채전송할것으로추정된다. 그림 1-61 악성코드의문자열정보 스팸메일발송악성코드주의! 악성코드에감염되어특정링크가포함된스팸메일을발송하는악성코드가발견됐다. 분석당시정확한감염경로는확인되지않았으나확인가능한일부정보로보아스팸메일또는특정웹사이트를통한유포, 그리고 Java 및 PDF 등의취약점을통해감염이이루어진것으로보인다. 해당악성코드는과거부터지속적으로유포된것으로보이며, 수집된드롭퍼를살펴보면 [ 표 1-4] 와같이최근까지도감염피해가발생하고있는것으로확인된다.

17 Date File 2013-01-26 about[1].exe 2013-01-26 about[1].exe 2013-01-25 info[1].exe 2013-01-25 calc[1].exe 2013-01-25 wgsdgsdgdsgsd.exe 2013-01-25 wgsdgsdgdsgsd.exe 2013-01-25 wgsdgsdgdsgsd.exe 2013-01-25 info[1].exe 2013-01-24 info[1].exe 2013-01-24 info[1].exe 표 1-4 최근유포된파일정보 - www.rldaily****.com/?dxbhdzub3gj7nrinhmywghjo8 연결된페이지에는특정다이어트식품관련홍보를위한내용이포함돼있으며, 추가적인악성코드유포는확인되지않았다. 일부드롭퍼를통해감염될경우특정 URL로접속해추가적인악성코드파일을다운로드한다. - 4387a7b5506e0663.doc*********emala.com - 704bf4490382558f.2xc*****dry.com 드롭퍼에의해다운로드된악성코드는아래와같이생성및실행된다. - %TEMP%\{ 문자열 }\20130120153418.exe 그리고아래와같이주요파일을생성하며, 자신의복사본을생성한뒤레지스트리에등록해시스템재시작시에도실행되도록한다. - %systemroot%\system32\ohyhduearanf.exe ( 복사본 ) - %temp%\cnsddr0343433f.tmp 생성된 { 문자열 }.tmp 파일에의해서스팸메일이발송되며, 이에다수의 SMTP 트래픽이발생되게한다. 그림 1-66 스팸메일내링크연결페이지다만악성코드유포에언제든지이용될수있으므로, 확인되지않거나불분명한메일을수신할경우주의가필요하다. 또한주요응용프로그램을항상최신버전으로업데이트해주위의보안위협으로부터더욱안전한환경을만들도록해야한다. 1. 출처가불분명하거나의심이가는제목일때는메일을열지말고삭제한다. 또는발신자와제목을비교해정상메일이아닐확률이높으면삭제한다. 2. 사용중인보안프로그램은최신버전으로업데이트하고실시간감시기능을사용한다. 3. 메일에첨부된파일은바로실행하지않고저장한다음보안프로그램으로검사한후실행한다. 4. 본문의의심가거나확인되지않은링크는클릭하지않는다. 5. 포털사이트메일계정을이용할경우스팸메일차단기능을적극활용한다. <V3 제품군의진단명 > Trojan/Win32.Spamailer (2013.01.24.01) Dropper/Win32.Daws (2013.01.24.01) 그림 1-64 SMTP 발생패킷캡처 감염된악성코드에의해발송되는일부스팸메일을확인해보면 [ 그림 1-65] 와같이특정링크를전달하는내용이확인된다. 연말정산시즌, 세금관련스팸메일주의! 연초에는근로자가세금환급을통해 제2의보너스 를챙길수있는연말정산이진행된다. 악성코드제작자에게이런 연말정산 은매력적인키워드일것이다. 악성코드제작자가연말정산시즌을악용하여악성코드를유포를할우려가있어, 이에사용자들의주의를환기하고자최근발견된호주국세청을위장한악성스팸메일을살펴보기로한다. 그림 1-65 감염시발생되는스팸메일 메일내에작성된링크를클릭하면아래의주소로 Redirection 된다. 그림 1-67 세금관련악성스펨메일사례 1

18 [ 네트워크정보 ] - wuauclt.exe HTTP CONNECT 127.0.0.1 => 213.XXX.XX.19:80 XXXX.net//profiles/XXXX/translations/prx.exe 그림 1-70 wuauclt 프로세스에핸들로동작하는악성코드 그림 1-68 세금관련악성스팸사례 2 해당메일은호주국세청 (Australian Taxation Office) 에서발송한것으로위장한뒤메일에 Tax Report.zip 파일을첨부해유포한형태로, 메일본문은첨부된파일을참고하도록유도하고있다. 첨부된파일은압축을해제하면엑셀파일로보이지만실제로는실행가능한 exe 파일임을확인할수있다. <V3 제품군의진단명 > Trojan/Win32.Jorik 신규채용메일로위장한악성코드사회공학 (Social Engineering) 기법은사회적인이슈나사람들의관심을끌수있는심리를악용하거나신회할만한사람또는기관으로속여공격하는것을말한다. 이번에발견된스팸메일은채용과관련한것이었다. 해당메일은 [ 그림 1-71] 과같이발신자와수신자의이메일도메인이서로일치했다. 그림 1-71 신규채용스팸메일 그림 1-69 호주국세청을위장한악성스팸메일 첨부된파일이실행되면 msrkuoi.com 파일이생성이된다. msrkuoi.com 파일은 wuauclt 프로세스에핸들로등록되어동작하게된다. 프랑스에위치한시스템에접속을시도하고추가적인파일다운로드를시도한다. [ 파일생성 ] - C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msrkuoi. com [ 레지스트리등록 ] - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion \policies\explorer\run\62998 "C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ msrkuoi.com" 그림 1-72 스팸메일발신자 PDF 파일로위장한악성코드가실행되면아래와같은파일과레지스트리가생성되며부팅시자동으로실행된다. 생성되는파일경로는 %APPDATA% 로같지만폴더명은 4자리의랜덤한알파벳으로생성되며파일은다양한길이의랜덤한알파벳으로만들어진다. [ 생성된파일 ] - C:\DOCUME~1\ADMINI~1\LOCALS~1\ Temp\13978843.exe - C:\Documents and Settings\Administrator\Application Data\Pybi\puvyw.exe

19 [ 생성된레지스트리 ] - HKCU\Software\Microsoft\Windows\CurrentVersion\ R u n \ { 4 C 0 7 D B 3 F - F E 5 0 - A D 7 D - 9 3 8 3 - D 2 5 FA 5 2 E F 1 4 D } ""C:\Documents and Settings\Administrator\ Application Data\Pybi\puvyw.exe"" 또한아래와같은사이트로접속해파일을다운로드하거나암호화된데이터를전송한다. [ 접속하는사이트 ] - 00014762 : http://www1.gexxxxx.com:8080/ponyb/ gate.php - 00014791 : http://gexxxxxx.com:8080/ponyb/gate.php - 000147bb : http://91.xxx.xx.54:8080/ponyb/gate.php - 000147e2 : http://sms.xxxxx.com:8080/ponyb/gate.php - 00014811 : http://nro.xxxx/hqjm1k.exe - 0001482e : http://luhmann.xxxxx.de/yzx53.exe - 00014850 : http://www.spec02.xxxxx.co.uk/s184dry.exe 그림 1-73 스팸메일발신자 <V3 제품군의진단명 > Spyware/Win32.Zbot (AhnLab, 2013.01.09.00) 그림 1-75 한글문서파일실행화면한글파일이실행되면아래와같은악성코드가함께생성된다. - C:\Documents and Settings\All Users\SxS\xxx.xxx ( 악성 ) - C:\Documents and Settings\All Users\SxS\NvSmart.exe ( 정상 ) - C:\Documents and Settings\All Users\SxS\NvSmartMax.dll ( 악성 ) - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hwp.exe ( 악성 ) - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hwp.hwp ( 정상 ) 그리고아래와같은레지스트리값을생성해서비스로동작하도록구성돼있다. 한글문서파일을위장한악성코드발견 최근특정대상을목적으로제작해유포된것으로추정되는한글문서파일을위장한악성코드가발견됐다. 그림 1-76 레지스트리생성정보 악성코드에감염되면키보드에입력된정보가 kl.log 파일에저장된다. 또한 bug.log 파일에에러로그가저장되는것으로추정된다. 그림 1-74 한글문서로위장한악성코드 해당악성코드는한글문서아이콘을사용하지만, 실행파일 (SFX 압축파일 ) 로확인된다. 사용자가한글문서로착각해실행하면악성코드에감염된것을인지할수없도록 [ 그림 1-75] 와같은한글문서 (hwp. hwp) 가실행된다. 그림 1-77 kl.log 키로깅파일 다음은 bug.log 파일을메모장으로열어본화면이다. 그림 1-78 bug.log 파일정보

20 kl.log 파일을열어보면사용자가키보드로입력한키로깅정보가저장된것을확인할수있다. 이후특정서버로접속을시도하며키로깅정보를전송할것으로추정되나, 분석시점에는확인되지않았다. 해당한글파일은 [ 그림 1-81] 의구조를갖고있으며, 이중 BinData 항목의 BIN0001.bmp 라는비정상적인이미지를파싱하는과정에서취약점이발생한다. 그림 1-79 kl.log 파일에저장된키로깅정보 <V3 제품군의진단명 > Win-Trojan/Agent.261705 (V3, 2013.01.28.00) Dropper/Agent.232173 (V3, 2013.01.28.03) Backdoor/Win32.Etso (V3, 2012.07.05.00) Win-Trojan/Agent (V3, 2013.01.28.03) 한글파일제로데이취약점악용공격 2012년도에는한글과컴퓨터에서개발하는한글소프트웨어에존재하는취약점을악용한타깃공격 (Target Attack) 이예년에비해비교적크게증가하였다. 이중에는기존에알려지지않은제로데이 (Zero Day, 0-Day) 을악용한공격형태도 2012년 6월과 11월에발견될정도로한글소프트웨어취약점을악용한공격의위험성이증가하고있다. 그림 1-81 비정상적인이미지가포함된취약한한글파일구조이로인해영향을받게되는한글소프트웨어의모듈은 HncTiff10.flt' 에서 TIFF 형식의이미지를파싱하는과정에서발생하는코드실행취약점이다. 해당제로데이취약점으로인해영향을받는한글소프트웨어는 ASEC의내부적인테스트결과로는다음버전에서동작하게된다. - 한글및한컴오피스 2007, 2010 최신보안패치가모두적용된한글 2007과 2010 버전에서는해당취약한문서를여는과정에서바로취약점이동작한다. 하지만최신패치가적용되지않은한글 2010 버전에서는아래이미지와같은오류메시지가발생하며, 해당오류메시지를종료하는순간취약점이동작한다. - 2012년 6월 - 한글제로데이취약점을악용한악성코드유포 - 2012년 11월 - 국방관련내용의 0-Day 취약점악용한글파일이러한한글소프트웨어에존재하는기존에알려지지않은제로데이취약점을악용한공격이 1월 25일경다시발견되었다. 이번에발견된한글소프트웨어의제로데이취약점을악용하는취약한한글파일은아래이미지와같이다수의개인정보를포함한형태로발견되었다. 그림 1-82 최신패치가적용되지않은한글 2010에서발생하는오류해당제로데이취약점을포함하고있는한글파일이정상적으로열리게되면아래이미지와같은전체적인구조를가진다른악성코드들이생성된다. 그림 1-80 다수의개인정보를포함한취약한한글파일 그림 1-83 취약한한글파일을악용한공격의전체구조도

21 취약한한글파일이열면아래경로에 HncUpdate.exe (641,024 바이트 ) 가생성된다. - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\ Temp\HncUpdate.exe 생성된 HncUpdate.exe (641,024 바이트 ) 은 GetTempFileName 함수를이용하여임의의문자열을파일명으로가지는 tmp 파일 3개를다음과같은경로에생성한다. - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\ Temp\[ 임의의문자열 ].tmp (187,904 바이트 ) - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\ Temp\[ 임의의문자열 ].tmp (181,760 바이트 ) - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\ Temp\[ 임의의문자열 ].tmp (219,136 바이트 ) HncUpdate.exe (641,024 바이트 ) 가생성한 tmp 파일중 187,904 바이트크기를가지는 tmp 파일을다시아래경로에 w32time.exe (187,904 바이트 ) 파일명으로다시복사한다. - C:\WINDOWS\system32\w32time.exe 그리고생성된 w32time.exe (187,904 바이트 ) 을윈도우서비스로실행하기위해윈도우레지스트리다음경로에 "Windows Time" 라는윈도우서비스명으로아래와같은키값을생성한다. - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\w32time ImagePath = C:\WINDOWS\system32\w32time.exe w32time.exe (187,904 바이트 ) 은파일다운로드기능만가지고있는파일이며, 다른악의적인기능은존재하지않는다. 해당 w32time.exe (187,904 바이트 ) 이실행이되면파일내부에하드코딩되어있는웹사이트주소 3곳에존재하는 GIF 또는 JPG 확장자를가진파일을다운로드한다. 분석당시다운로드된파일들은 [ 그림 1-84] 와같이 GIF와 JPG 파일시그니처만남아있는손상된파일이었다. 그리고생성된다른임의의문자열을파일명으로가지는 tmp 파일 2 개는윈도우비스타 (Windows VISITA) 와윈도우 7(Windows 7) 에존재하는 UAC(User Access Control) 기능을무력화하여생성한악성코드를정상적으로실행하기위한기능을수행한다. <V3 제품군의진단명 > HWP/Exploit Trojan/Win32.Agent Win-Trojan/Agent.219136.DC Dropper/Agent.641024.G Win-Trojan/Agent.181760.HT <TrusWatcher 탐지명 > Exploit/HWP.AccessViolation-DE <ASD 2.0 MDP 엔진진단명 > Dropper/MDP.Exploit Suspicious/MDP.Exploit Suspicious/MDP.Behavior Suspicious/MPD.DropExecutable Open IOC 도구를이용하여붉은 10월악성코드점검하기최근외국의보안업체가발표한 붉은 10월 (red October) 이라는정보탈취형악성코드가세계를떠들썩하게만들고있다. 이악성코드는각국의정부기관, 기반시설, 연구기관등의주요부서를타깃으로피싱이메일을보내악성코드감염을유도한뒤주요기밀문서를탈취하는것이주요목적으로밝혀졌다. 이에관련기관들은악성코드감염여부에대한정밀한점검이필요하다. 붉은 10월 악성코드는 2007년에처음발견되어전세계에걸쳐광범위하게확산됐다. 특히현재는동유럽, 중앙아시아등에서집중배포되고있다. 참고링크 보안뉴스붉은 10월 의사이버스파이활동분석결과는? http://www.boannews.com/media/view.asp?idx=34486&kind= 이에자체적으로운영중인시스템들을점검할수있도록 OpenIOC ( http://www.openioc.org ) 에서제공하는침해사고분석공개도구를이용하여 붉은 10월 악성코드를점검하는방법을공유한다. 그림 1-84 다운로드되는이미지파일 해당악성코드제작자는 1월현재까지손상된 GIF와 JPG 파일을사용하고있으나, 적절한시기에는이를다른악성코드로변경하여동시에다수의악성코드를유포하기위한것으로추정된다. 그림 1-85 OpenIOC

22 1. 준비하기 - 시스템정보수집과정보분석을위해 IOC finder 와붉은 10월악성코드정보가담긴 IOC 파일이필요하다. 아래의링크를통해다운로드할수있다. - http://www.mandiant.com/resources/download/ioc-finder/ - https://github.com/jaimeblasco/alienvaultlabs/blob/master/ malware_analysis/redoctober/48290d24-834c-4097-abc5-4f22d3bd8f3c.ioc -. IOC finder의압축을해제하고 IOC 파일과함께점검할 PC에 iocfinder를실행할수있도록 USB나공유폴더에복사해둔다. 2. 시스템정보수집 -. 아래의명령어를통해 IOC finder 로시스템정보를수집한다. $ mandiant_ioc_finder collect o c:\collect 정보수집에소요되는시간은대략 1시간정도이며시스템상태에따라다를수있다. 완료시 c:\collect 폴더에각종정보가 xml파일로저장되며, 이정보파일들을분석할 PC에적절히이동시킨다. 그림 1-87 수집된정보에서붉은 10 월검사 만일수집한정보에서 붉은 10월 악성코드가존재하면 [ 그림 1-88] 과같이해당파일의경로, md5 hash 및기타파일정보가저장된다. 그림 1-88 분석된리포트 리포트는 html 양식으로저장할수도있으나, 필자의경우버그가발생하여 DOC를이용했다. -t 옵션에 html을넣으면 html 형태로저장된다. 그림 1-86 Ioc finder로정보수집하기 3. 수집된정보에서 붉은 10월 분석 - 시스템에서수집된정보파일들을모은후, 아래의명령어를통해 붉은 10월 감염여부를점검할수있다. $ mandiant_ioc_finder report -i[ 저장한 ioc파일 ] -s [ 정보파일경로 ] -t doc -o [ 저장할리포트경로 ] 분석에는대략 3분정도가소요되며, 분석완료시 doc 형태로결과가저장된다. 4. 마치며지금까지 OpenIOC 도구를사용하여 붉은 10월 악성코드를점검하는방법을알아봤다. OpenIOC 도구는정보수집에 1시간이라는생각보다긴시간이걸리므로단순히악성코드점검만으로활용할땐백신으로점검하는것이시간상이득이다. 백신을사용할수없는시스템이거나, 단순백신으로검사하는것이상의타이트한점검이필요한경우, 또는명확하게침해사고가의심되어기타다른정보 ( 네트워크정보등 ) 를시스템에서같이수집하여분석할필요가있을때에활용하길권장한다.

23 03 악성코드동향 모바일악성코드이슈 구글플레이스토어 100 만다운로드 ADULTS ONLY 구글플레이스토어에사용자스마트폰의정보를수집하는애플리케이션이등록돼있던것으로확인됐다. 이애플리케이션을만든 DG- NET 제작자에의하여플레이스토어에등록된 3개의애플리케이션은모두같은기능이며총 100만건이상의다운로드를기록했다. 그림 1-91 서드파티마켓 (3rd Party) 에등록된애플리케이션 이외에도같은종류의애플리케이션이존재한다. 그림 1-89 스마트폰의정보를수집하는애플리케이션 ( 구글플레이스토어 ) 그림 1-92 추가적으로발견된애플리케이션 해당애플리케이션을설치하면 [ 그림 1-93] 과같은아이콘이생성된다. 그림 1-90 같은제작자가등록한애플리케이션 1월현재이 3개의애플리케이션은구글플레이스토어에서삭제됐지만서드파티마켓 (3rd Party) 에서는다운로드가가능하다. 그림 1-93 애플리케이션아이콘

24 애플리케이션을실행하면 [ 그림 1-94] 와같은화면을볼수있다. 그림 1-96 수집된정보를특정서버로전송하는과정 그림 1-94 애플리케이션설치후실행화면안드로이드기반의애플리케이션은권한정보를확인함으로써, 행위를예측할수있다. 해당애플리케이션의권한정보를살펴보면 [ 그림 1-95] 와같다. 스마트폰사용자는구글플레이스토어에서애플리케이션을다운로드받아설치할때도다른사용자의평판과애플리케이션의권한정보를확인해볼필요가있다. 또한, 이와유사한기능을하는애플리케이션이많으므로 V3 Mobile 과같은백신으로주기적인검사를하는습관도필요하다. 이러한애플리케이션은 V3 모바일제품에서 GWalls 또는 Airpush와같은형태로진단하고있다. 그림 1-95 애플리케이션의권한정보 애플이케이션이실행되면아래의정보를수집헤특정서버로전송한다. - 사용자의이메일 ( 구글 ) 주소 - IMEI 정보 - 위치정보 - 패키지명정보 - 이동통신사망 APN(Access Point Name) 정보실제네트워크전송과정은 [ 그림 1-96] 과같다.

SECURITY TREND 25 01 보안동향 보안통계 1 월마이크로소프트보안업데이트현황 02 03 04 05 06 07 08 09 10 11 12 01 2013년 1월마이크로소프트사에서발표한보안업데이트는총 8건으로긴급 3건, 중요 5건이다. 이번보안업데이트에서는정기보안패치이후에 CVE-2012-4792 인터넷익스플로러제로데이공격에대한보안패치인 MS01-008 이포함돼있다. IE 사용자들은보안패치를반드시적용해안전하게 PC를사용하기바란다. 5 4 3 2 1 0 5 4 3 2 1 0 긴급 MS13-001 Windows 인쇄스풀러구성요소의취약점으로인한원격코드실행문제점 (2769369) MS13-002 Microsoft XML Core Services의취약점으로인한원격코드실행문제점 ((2756145) MS13-008 Internet Explorer 보안업데이트 (2799329) 중요 MS12-003 System Center Operations Manager의취약점으로인한권한상승문제점 (2748552) MS13-004.NET Framework의취약점으로인한권한상승문제점 (2769324) MS13-005 Windows 커널모드드라이버의취약점으로인한권한상승문제점 (2778930) MS13-006 Microsoft Windows의취약점으로인한보안기능우회 (2785220) MS13-007 Open Data Protocol의취약성으로인한서비스거부문제점 (2769327) 5 4 3 2 1 0 5 4 3 2 1 0 5 4 3 2 1 0 표 2-1 2013 년 01 월주요 MS 보안업데이트 그림 2-1 공격대상기준별 MS 보안업데이트 (2012.02-2013.01)

SECURITY TREND 26 02 보안동향 보안이슈 인터넷익스플로러제로데이취약점 (CVE-2012-4792) 악용마이크로소프트 (MS) 에서개발하는인터넷익스플로러 (IE) 웹브라우저의알려지지않은제로데이 (Zero Day, 0-Day) 취약점을악용한공격이공개됐다. 이번에발견된 IE의제로데이취약점을악용한공격은미국언론사인 The Washington Free Beacon이보도한기사 (Chinese Hackers Suspected in Cyber Attack on Council on Foreign Relations) 를통해미국외교협의회 (Council on Foreign Relations, CFR) 웹사이트가해킹되었다는소식이공개됐다. 이와관련해마이크로소프트에서도보안권고문 Microsoft Security Advisory (2794220) Vulnerability in Internet Explorer Could Allow Remote Code Execution 을통해 IE에존재하는제로데이취약점 (CVE-2012-4792) 관련정보를공개했다. IE 제로데이취약점을악용한공격에사용된 help.html(4,389 바이트 ) 의코드를살펴보면 [ 그림 2-3] 과같이운영체제에설정되어있는언어코드가중국어, 영어, 대만중국어, 일본어, 러시아어그리고한국어일경우에만해당취약점이동작하도록제작됐다. 그림 2-3 운영체제설정언어코드그리고어도비플래쉬파일인 today.swf(4,057 바이트 ) 와 news. html(849 바이트 ) 를호출하도록코드가제작되어있다. 해당제로데이취약점에영향을받는 IE 버전은다음과같다. - Internet Explorer 6 - Internet Explorer 7 - Internet Explorer 8 이번미국외교협의회웹사이트해킹을통해공개된 IE의제로데이취약점을악용한공격에는다수의 Java 스크립트파일과어도비플래쉬 (Adobe Flash) 파일이사용됐다. 이번공격의전체적인구조를도식화하면다음과같다. 그림 2-4 취약한플래쉬플레이어파일호출해킹된시스템의동일한경로에존재했을것으로추정되는 today. swf(4,057 바이트 ) 는 [ 그림 2-5] 와같이힙스프레이오버플로우 (heap-spreay overflow) 코드와함께셸코드 (Shellcode) 가포함돼있다. 그림 2-5 취약한플래쉬플레이어파일에포함된쉘코드 그림 2-2 제로데이취약점악용하는공격의전체적인구조 해당쉘코드로인해다운로드되는 xsainfo.jpg(509,440 바이트 ) 아래이미지와같이 XOR로인코딩 (Encoding) 되어있으며, 이를디코딩 (Decoding) 하게되면 flowertep.jpg(509,440 바이트 ) 가생성된다.

SECURITY TREND 27 Binimage/Cve-2012-4792 BinImage/Diofopi Downloader/Win32.Agent <TrusGuard 탐지명 > ms_ie_button_memory_corruption(cve-2012-4792) ms_ie_button_memory_exploit(cve-2012-4792) Java 제로데이공격의꾸준한증가 CVE-2013-0422 그림 2-6 다운로드파일을디코딩한결과디코딩된 flowertep.jpg(509,440 바이트 ) 가정상적으로실행되면미국에위치한 web.vipreclod.com이라는도메인을가진시스템으로접속을시도하게되나, 분석당시에는정상적인접속이이루어지지않았다. 작년에이어올해에도 Java( 자바 ) 제로데이취약점을악용한공격은꾸준하게증가하고있다. 자바취약점은운영체제의독립적인취약점으로주로 Windows 및 Mac 시스템을공격대상으로하여악성코드감염에이용되고있고있다. 1월초에나온 Java CVE-2013-0422 취약점은제로데이공격으로 JMX( Java Management Extensions ) 의취약점을악용해 JVM 의샌드박스기능을우회하게된다. JMX는 JVM 에클라이언트의원격접속이용에사용하는패키지로, JMX 패키지 com.sun.jmx.mbeanserver.mbeaninstantiator 클래스의 findclass 메소드등에취약점이존재한다. 해당취약점을악용한악성코드 Jar 파일의클래스구조는 [ 그림 2-8] 과같다. 그림 2-7 특정시스템으로접속시도 정상적으로접속이성공하게될경우에는특정 jpg 파일을다운로드하여공격자가지정한다른명령들을수행할것으로추정되며, 다음과같은악의적인기능들을수행할수있는코드들이포함되어있다. - 키보드입력후킹 - 운영체제정보 - IP 정보 - 커맨드라인 (CommandLine) 명령수행 그림 2-8 Java 제로데이공격 Jar 파일 해당 Jar 파일을해제하면내부에악성클래스가존재하는데, 이는 jmx.mbeanserver 를이용한다. 현재 MS에서는해당제로데이취약점 (CVE-2012-4792) 을제거하기위한보안패치를미국현지시각으로 1월 8일배포했다. 보안패치를적용하기전에는해당취약점에영향을받지않는IE 9와 10버전을사용하거나, 다른웹브라우저의사용을권고하고있다. 만약, 해당제로데이취약점의영향을받는버전의 IE를사용해야될경우에는 MS에서제공하는별도의 FixIT Microsoft "Fix it" available for Internet Explorer 6, 7, and 8 을설치해야한다. 그림 2-9 Java 제로데이공격악성클래스내부 <V3 제품군의진단명 > JS/Agent SWF/Cve-2012-4792 CVE-2013-0422 취약점을비롯해기존 Java 취약점들이악성코드유포등에꾸준히이용되고있어사용자들의주의가필요하다. 아래와같은방법으로현재시스템에설치된 Java 버전을확인한후

SECURITY TREND 28 Java 7 Update 11 버전보다낮으면업데이트를반드시적용해야해당제로데이공격의위협을막을수있다. 해당보안패치는현재오라클사이트서이용할수있다. 그림 2-10 Java 현재버전확인 또한웹브라우저에서 Java 플러그인을사용해제해보안을강화하는방법도고려할수있다.

WEB SECURITY TREND 29 01 웹보안동향 웹보안통계 악성코드유포웹사이트는감소추세 악성코드배포 URL 차단건수 안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하면, 2013년 1월악성코드를배포하는웹사이트를차단한건수는모두 8900건이었다. 악성코 16,641 12 11 드유형은총 353종, 악성코드가발견된도메인은 199개, 악성코드가발견된 URL은 818개로각각집계됐다. 이는전월과비교할때악성코드발견건수는다소감소하였으나악성코드유형, 악성코드 8,900-46.5% 가발견된도메인, 악성코드가발견된 URL 은소폭증가한수치다. 악성코드유형악성코드가발견된도메인악성코드가발견된 URL Graph 337 187 692 353 199 818 353 337 199 187 692 818 표 3-1 2012 년 1 월웹사이트보안현황 월별악성코드배포 URL 차단건수 2013년 1월악성코드배포웹사이트의 URL 접근에대한차단건수는전월 1만 6641건과비교해약 47% 감소한 8900건으로조사 15,000 10,000 5,000 4,915 59.3% +11,726 16,641 238.6% -7,741 8,900 46.5% 됐다. 0 11 12 01 그림 3-1 월별악성코드배포 URL 차단건수변화추이

WEB SECURITY TREND 30 월별악성코드유형 2013년 1월악성코드유형은전월의 337건에비해소폭증가한 353건을기록했다. 500 250 240 14.9% +97 337 353 40.4% 4.7% +16 0 11 12 01 그림 3-2 월별악성코드유형수변화추이 월별악성코드가발견된도메인 2013년 1월악성코드가발견된도메인은 199건으로지난 12월의 187건에비해소폭증가했다. 400 300 200 100 134 17.8% +53 187 199 17.8% 6.4% +12 0 11 12 01 그림 3-3 월별악성코드가발견된도메인수변화추이 월별악성코드가발견된 URL 2013년 1월악성코드가발견된 URL은전월의 692건에비해 18% 증가한 818건을나타냈다. 1,000 500 460 24.3% +232 692 50.4% +126 818 18.2% 0 11 12 01 그림 3-4 월별악성코드가발견된 URL 수변화추이

WEB SECURITY TREND 31 악성코드유형별배포수악성코드유형별배포수를보면트로이목마가 3934건 (44.2%) 으로가장많았고, 애드웨어가 1145건 (12.9%) 으로그다음을이었다. 유형 건수 비율 TROJAN 3,934 44.2 % ADWARE 1,145 12.9 % DROPPER 517 5.8 % DOWNLOADER 301 3.4 % Win32/VIRUT 212 2.4 % APPCARE 171 1.9 % JOKE 15 0.2 % SPYWARE 2 0.0 % ETC 2,603 29.2 % TOTAL 8,900 100% 표 3-2 악성코드유형별배포수 TROJAN 3,934 ETC 2,603 4,000 ADWARE 1,145 DROPPER 517 2,500 DOWNLOADER 301 Win32/VIRUT 212 APPCARE 171 JOKE 15 SPYWARE 2 0 그림 3-5 악성코드유형별배포수 악성코드최다배포수악성코드배포최다 10건중에서는 Win-Trojan/Installiq.16355 20가 914건으로가장많았고 Adware/Win32.Clicker 등 4건이새롭게등장했다. 순위 등락 악성코드명 건수 비율 1 2 Win-Trojan/Installiq.1635520 914 27.2 % 2 4 ALS/Bursted 366 10.9 % 3 NEW Adware/Win32.Clicker 355 10.5 % 4 NEW Adware/Win32.Downloader 301 8.9 % 5 4 ALS/Qfas 280 8.3 % 6 4 Packed/Win32.Vmpbad 253 7.5 % 7 NEW Trojan/Win32.Starter 239 7.1 % 8 4 Trojan/Win32.Agent 238 7.1 % 9 NEW Win-Trojan/Zegost.406016 220 6.5 % 10 2 Trojan/Win32.HDC 203 6.0 % TOTAL 3,369 100 % 표 3-3 악성코드대표진단명최다 20 건

ASEC REPORT CONTRIBUTORS 집필진 책임연구원 이정형 선임연구원 강동현 선임연구원 안창용 선임연구원 이도현 선임연구원 장영준 주임연구원 문영조 주임연구원 김재홍 연구원 강민철 참여연구원 ASEC 연구원 SiteGuard 연구원 편집장책임연구원안형봉 편집인 안랩세일즈마케팅팀 디자인 안랩 UX 디자인팀 감수전무조시행 발행처 주식회사안랩경기도성남시분당구삼평동 673 ( 경기도성남시분당구판교역로 220) T. 031-722-8000 F. 031-722-8901 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved.