< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

월간악성코드은닉사이트탐지 동향보고서 (1 월 ) 2015. 02. 침해사고대응단 인터넷침해대응본부

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 3 2.1 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP10 4 - 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2.2 악성코드경유지현황 8 - 경유지탐지 업종별비율 8 3. 악성코드은닉사례분석 9 - 특정 IP대역을악용하여홈페이지를통한대량악성코드유포 정보유출 ( 금융정보 ) 9 - 콘텐츠전송네트워크 (CDN) 서비스를매개체로리다이렉션방식을이용하여악성코드유포 정보유출 (PC정보) 20 4. 향후전망 29 - 악성코드유포방법및조치방안 29

악성코드은닉동향요약 월간동향요약 악성코드취약점악용현황은 유형이 로가장높았고 순으로나타났다 자바애플릿취약점을악용한유형이 로가장높게나타났으며 어도비플래시플레이어취약점 순으로나타났다 OLE(Object Linking and Embedding) : MS 社가개발한오브젝트시스템및프로토콜 또한 과 자동화공격도구를결합하여금융정보탈취악성코드가유포되었으며 특정홈페이지를통해콘텐츠전송네트워크 서비스를매개체로리다이렉션방식으로악성코드가유포되었다 악성코드유형으로는정보유출 금융정보 가 로가장높았으며 그외에도원격제어 금융사이트파밍 정보유출 정보 등으로나타났다 이용자가많은 개의웹하드및특정 대역을악용하여홈페이지를통한대량금융정보탈취의악성코드가유포되었다 구분내용상세취약점정보보안업데이트 인터넷 익스플로러 취약점 CVE-2010-0249 CVE-2010-0806 CVE-2010-0249 CVE-2011-1255 CVE-2012-4792 CVE-2012-4969 CVE-2013-1347 CVE-2013-3893 CVE-2013-3897 CVE-2014-0322 CVE-2013-2551 Internet Explorer를사용하여특수하게조작된웹페이지에접속할경우원격코드실행허용 e.cgi?name=cve-2010-0249 e.cgi?name=cve-2010-0806 e.cgi?name=cve-2010-0249 e.cgi?name=cve-2011-1255 e.cgi?name=cve-2012-4792 e.cgi?name=cve-2012-4969 e.cgi?name=cve-2013-1347 http://www.cve.mitre.org/cgi-bin/cv ename.cgi?name=cve-2013-3893 e.cgi?name=cve-2013-3897 e.cgi?name=2014-0322 http://technet.microsoft.com/en-us/ security/bulletin/ms10-002 http://technet.microsoft.com/ko-kr/ security/bulletin/ms10-018 http://technet.microsoft.com/ko-kr/ security/bulletin/ms10-002 http://technet.microsoft.com/ko-kr/ security/bulletin/ms11-050 http://technet.microsoft.com/ko-kr/ security/bulletin/ms13-008 http://technet.microsoft.com/ko-kr/ security/bulletin/ms12-063 http://technet.microsoft.com/ko-kr/ security/bulletin/ms13-038 http://technet.microsoft.com/ko-kr/ security/advisory/2887505 http://technet.microsoft.com/ko-kr/ security/bulletin/ms13-080 http://technet.microsoft.com/en-us/ security/advisory/2934088 http://technet.microsoft.com/securit - 1 -

Adobe Flash Player 취약점 Java 애플릿 취약점 CVE-2012-1875 CVE-2008-2551 CVE-2008-0015 CVE-2011-0611 CVE-2011-2140 CVE-2012-0754 CVE-2012-1535 CVE-2013-0634 CVE-2014-0515 CVE-2014-0569 CVE-2011-3544 CVE-2012-0507 CVE-2012-1723 CVE-2012-4681 CVE-2012-5076 CVE-2013-0422 CVE-2013-1493 CVE-2013-2423 CVE-2013-2460 CVE-2013-2465 동일 ID 속성원격코드실 행취약점 ActiveX Exploit 취약점 Microsoft 비디오 ActiveX 컨트롤의 취약점으로인해원격코드실행 메모리손상으로인한 코드실행취약점 드라이브바이다운로드 방식, JRE 샌드박스제 한우회취약점이용 e.cgi?name=cve-2013-2551 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2012-1875 e.c gi?name=cve-2008-2551 e.cgi?name=cve-2008-0015 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2011-0611 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2011-2140 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2012-0754 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2012-1535 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2013-0634 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2014-0515 http://www.cve.mitre.org/cgi-bin/cve name.cgi?name=cve-2014-0569 e.cgi?name=cve-2011-3544 e.cgi?name=cve-2012-0507 e.cgi?name=cve-2012-1723 e.cgi?name=cve-2012-4681 e.cgi?name=cve-2012-5076 e.cgi?name=cve-2013-0422 e.cgi?name=cve-2013-1493 e.cgi?name=cve-2013-2423 https://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2013-2460 e.cgi?name=cve-2013-2465 MS OLE 취약점 CVE-2014-6332 Windows OLE 자동화배 http://www.cve.mitre.org/cgi-bin/cv 열원격코드실행취약점 ename.cgi?name=cve-2014-6332 MS Windows Windows Media 의취약점으 CVE-2012-0003 Media 취약점로인한원격코드실행 e.cgi?name=cve-2012-0003 Adobe reader Adobe Reader 에서비정상종료를 https://cve.mitre.org/cgi-bin/cvenam CVE-2010-0188 (PDF) 취약점유발할수있는취약점 e.cgi?name=cve-2010-0188 MS XML 취약점 CVE-2012-1889 XML Core Services 의취약점 http://cve.mitre.org/cgi-bin/cven ame.cgi?name=cve-2012-1889 y/bulletin/ms13-037 http://technet.microsoft.com/secur ity/bulletin/ms12-037 - http://technet.microsoft.com/ko-kr/ security/bulletin/ms09-032 http://www.adobe.com/support/sec urity/advisories/apsa11-02.html http://www.adobe.com/support/sec urity/bulletins/apsb11-21.html http://www.adobe.com/support/sec urity/bulletins/apsb12-03.html http://www.adobe.com/support/sec urity/bulletins/apsb12-18.html http://www.adobe.com/support/sec urity/bulletins/apsb13-04.html http://helpx.adobe.com/security/produ cts/flash-player/apsb14-13.html http://helpx.adobe.com/security/produ cts/flash-player/apsb14-22.html http://www.oracle.com/technet work/topics/security/javacpufe b2012-366318.html#patchtable http://www.oracle.com/technetwork/topics /security/javacpujun2012-1515912.html http://www.oracle.com/technetwork/topics/ security/alert-cve-2012-4681-1835715.html http://www.oracle.com/technetwork/topics /security/javacpuoct2012-1515924.html http://www.oracle.com/technetwork/topics/ security/alert-cve-2013-0422-1896849.html http://www.oracle.com/ocom/groups/public/ @otn/documents/webcontent/1915099.xml http://www.oracle.com/technetwork/topics /security/javacpuapr2013-1928497.html http://www.oracle.com/technetwork/topics /security/javacpujun2013-1899847.html http://www.oracle.com/technetwork/topics /security/javacpujun2013-1899847.html http://technet.microsoft.com/se curity/bulletin/ms14-064 http://technet.microsoft.com/ko-kr/ security/bulletin/ms12-004 http://www.adobe.com/support/securit y/bulletins/apsb10-07.html http://technet.microsoft.com/ko-kr/se curity/bulletin/ms12-043 - 2 -

홈페이지은닉형악성코드통계 Information TIP o 악성코드은닉사이트란? 이용자 PC 를악성코드에감염시킬수있는홈페이지로, 해킹을당한후악성코드 자체또는악성코드를유포하는주소 (URL) 를숨기고있는것을말한다. o 악성코드은닉사이트는크게유포지와경유지로구분된다. 유포지 : 홈페이지이용자에게악성코드를직접유포하는홈페이지 경유지 : 홈페이지방문자를유포지로자동연결하여악성코드를간접유포하는홈페이지 2.1 악성코드유포지현황 유포지탐지현황 년 월에악성코드유포지탐지및조치현황은다음과같다 악성코드유포지탐지는전월대비 건 건 증가하였다 [ 그림 1] 악성코드유포지탐지건수 - 3 -

대량경유지가탐지된유포지 년 월에대량경유지가탐지된유포지 은다음과같다 [ 그림 2] 대량경유지가탐지된유포지 TOP 10 [ 표 1] 대량경유지가탐지된유포지현황 순위탐지일유포지국가경유지건수 1 2010-12-19 http://h.nexprice.com/css/x.htm 미국 4,531 2 2015-01-27 http://xxxxxxx.org/admin/event/index.html 한국 2,253 3 2015-01-05 http://xxxxxxxxx.com/error/index.html 한국 757 4 2014-09-28 http://www.xxxxxxx.co.kr/board/top.js 한국 595 5 2015-01-16 http://202.xx.xxx.178/a/d/s.gif 한국 241 6 2014-12-13 http://121.xxx.xxx.231/ttt/sty.htm 한국 222 7 2012-08-25 http://web.nba1001.net:8888/tj/tongji.js 미국 198 8 2008-12-22 http://s1.cawjb.com/jp.js 중국 191 9 2014-12-04 http://xxxxxxx.co.kr/board/upload/right.js 한국 188 10 2014-11-24 http://www.xxxxx.com/data/index.html 한국 178-4 -

악성코드취약점및취약한 악용현황 애플릿취약점 취약점 취약점 취약점 등의취약점을복합적으로악용하였다 취약한 악용유형중 취약점이 의비율로가장높았으며 그이외에도 취약점 취약점 취약점등의순으로 를악용하였다 [ 그림 3] 악성코드취약점악용현황 [ 그림 4] 취약한 S/W 악용현황 - 5 -

악성코드유형별비율 악성코드유형중정보유출 금융정보 이 의비율로가장높았으며 그이외에도원격제어 금융사이트파밍 정보유출 정보 등으로나타났다 [ 그림 5] 악성코드유형별비율 정보유출 ( 금융정보 ) : 공인인증서, 비밀번호등금융정보를탈취하는악성코드 금융사이트파밍 : 운영체제에서제공하는호스트연결기능을악용한것으로정상호스트설정파일을악의적으로변경하여정상금융사이트방문시가짜금융사이트로연결 정보유출 (PC정보) : 이용자의 PC내의컴퓨터이름, MAC정보등을탈취하는악성코드 애드웨어 : 특정소프트웨어를실행할때또는설치후자동적으로광고가표시되는프로그램 드롭퍼 : 정상애플리케이션인것처럼배포된뒤실행되면악성코드를설치하는방식 백도어 : 몰래컴퓨터에접속하여악의적인행위를할수있도록출입통로역할을해주는악성코드 - 6 -

위협 및도메인현황 년 월에위협 및도메인현황 은다음과같다 [ 그림 6] 파밍 IP 악용현황 [ 그림 7] C&C 악용현황 [ 표 2] 파밍 IP 와 C&C 현황 순위파밍 IP 국가건수 C&C 국가건수 1 67.229.XXX.XXX 미국 19 98.126.XXX.XXX 미국 12 2 202.59.XXX.XXX 홍콩 11 59.13.XXX.XXX 한국 9 3 174.139.XXX.XXX 미국 12 115.126.XXX.XXX 홍콩 8 4 118.99.XXX.XXX 홍콩 8 67.229.XXX.XXX 미국 8 5 180.178.XXX.XXX 홍콩 7 104.151.XXX.XXX 미국 6 6 104.149.XXX.XXX 미국 7 192.74.XXX.XXX 미국 6 7 107.160.XXX.XXX 미국 7 174.139.XXX.XXX 미국 5 8 218.188.XXX.XXX 홍콩 6 175.45.XXX.XXX 한국 4 9 23.228.XXX.XXX 미국 5 103.251.XXX.XXX 홍콩 4 10 218.189.XXX.XXX 홍콩 5 121.115.XXX.XXX 일본 4-7 -

2.2 악성코드경유지현황 경유지탐지 업종별비율 년 월에악성코드경유지탐지 업종별유형은다음과같다 악성코드경유지탐지는전월대비 건 건 감소하였다 탐지된경유지는해당홈페이지운영자에게통보하여악성코드삭제및보안조치요청을수행 경유지업종별유형중교육 학원 학교 학회 연구소 유학이가장높았고 조합 협회 단체 종교 비영리 영세 중소기업 여행 음식 숙박 법인 부동산 결혼 사진 미용 취업 채용 광고 마케팅 순으로탐지가되었으며 이에대해삭제및보안조치요청을수행하였다 [ 그림 8] 경유지탐지현황 [ 그림 9] 경유지업종별현황 - 8 -

악성코드은닉사례분석 특정 대역을악용하는홈페이지를통한대량악성코드유포 정보유출 금융정보 http://xxxxxxxxx.com/error/index.html 난독화스크립트디코딩후 버전체크및취약점을악용하여악성코드다운로드 중략 버전체크 중략 - 9 -

취약점 - 10 -

취약점 취약점 취약점 취약점 - 11 -

/error/swfobject.js 사용에필요한라이브러리 중략 생략 /error/jquery-1.4.2.min.js 사용에필요한라이브러리 - 12 -

생략 /error/ww.html 취약점을악용하여악성코드다운로드 중략 취약점 후 - 13 -

/error/main.html 난독화스크립트디코딩후 취약점을악용하여악성코드다운로드 중략 취약점 - 14 -

- 15 -

중략 - 16 -

- 17 -

악성코드파일 상세분석내용 악성코드행위 중국블로그로부터 를파싱해와파밍사이트로연결하고공인인증서를탈취하는악성코드 네트워크상의악성행위 도메인 용도 상세내용 - 180.178.42.166 C&C 정보유출 ( 금융정보 ) 운영체제상의악성행위 항목 내용 - 해당중국블로그로접속하여파밍 IP 를파싱 행위설명 행위설명 정보는 로전송하고공인인증서는 로전송하는것으로추정 - 18 -

Visual Basic Script 를사용하여 DNS 서버와보조 DNS 서버를 127.0.0.1 로수정 행위설명 자신의서버역할인소켓을만들어대기하고있다가요청이들어오면복호화한다음 URL 과파싱한 IP 를사용하여파밍공격을시도하는것으로추정 행위설명 행위설명 DNS 캐시삭제 네트워크 네트워크 * 접속사이트 - IP: 180.178.42.166 * 접속사이트 - URL: http://r.qzone.qq.com/cgi-bin/user/cgi_personal_card?uin=1958039481-19 -

콘텐츠전송네트워크 서비스를매개체로리다이렉션방식을이용 하여악성코드유포 정보유출 정보 http://www.xxxxxxxx.com/comm.js 난독화디코딩후 취약점을악용하여악성코드다운로드 - 20 -

중략 - 21 -

- 22 -

중략 - 23 -

악성코드파일 상세분석내용 악성코드행위 특정주소로 주소 버전 버전을전송하고 서버의특정파일들을통해추가악성코드다운을시도하는악성코드 네트워크상의악성행위 도메인 용도 상세내용 ftp.xxxxxxxx.com - xxxxxx.or.kr 210.205.6.203 정보유출 MAC주소, OS버전, IE버전전송 운영체제상의악성행위 항목내용 dll파일을생성하여서비스로등록하고실행 행위설명 - 24 -

이라는이름으로 를생성하여중복체크를함 행위설명 MseUpdate 라는이름으로자동실행레지스트리에등록 행위설명 레지스트리를조사하여 V3 Lite, V3 365 Clinic, 알약, 네이버백신, Trend Micro AMSP, ESET Security 등백신을탐지하여제거 행위설명 - 25 -

hxxp://www.xxxxxx.or.kr/movie/img/view.php 사이트에쿼리로 MAC 주소, OS 버전, 행위설명, IE 버전을전송한후, 데이터를받아와 C:\a.dat 으로생성 행위설명 행위설명 특정문자열들을디코딩하여 을추출한뒤 경로를추가하여현재 을쿼리로전송하고데이터를받아와 로생성 - 26 -

1단계로 image.jpg를성공적으로다운받으면해당파일을읽어와추가문자열을얻어 decoding 하여나온 URL에더해 setupviewtmp.exe라는추가악성코드다운로드후, 첫 2byte에 "MZ" 라는문자열을덮어씌우고 setupviewtmpxxx.exe로복사하여실행 행위설명 현재는 hxxp://ftp.xxxxxxxx.com/chagesat.jpg 에만접속이가능하며데이터디코딩시 hxxp://ftp.xxxxxxxx.com/menuw.gif 로연결되지만현재는데이터가남아있지않은것으로 행위설명 추정 - 27 -

1 차 URLs * 접속사이트 네트워크 - URL: hxxp://ftp.cessedsd.com/chagesat.jpg - URL: hxxp://www.srsr.co.kr/bb2/data/prize/chagesat.jpg - URL: hxxp://www.pluspoint.jp/member/img/chagesat.jpg - URL: hxxp://www.myjeje.net/chagesat.jpg - URL: hxxp://www.snsdate.gndot.com/chagesat.jpg - URL: hxxp://www.smartrank.co.kr/images/common/chagesat.jpg - URL: hxxp://www.yahoo.co.jp/chagesat.jpg - URL: hxxp://www.nate.com/chagesat.jpg - URL: hxxp://www.srhan.co.kr/bbs/data/free/chagesat.jpg - URL: hxxp://www.yokoking.jp/chagesat.jpg - URL: hxxp://www.naver.jp/chagesat.jpg - URL: hxxp://www.msn.com/chagesat.jpg - URL: hxxp://www.hangame.com/chagesat.jpg - URL: hxxp://www.gizmodo.jp/chagesat.jpg - URL: hxxp://www,joinsmsn.com/chagesat.jpg - URL: hxxp://www.plaync.jp/chagesat.jpg - URL: hxxp://www.tistory.com/start/chagesat.jpg - URL: hxxp://www.nexon.com/chagesat.jpg - URL: hxxp://www.netmarble.net/chagesat.jpg 2 차 URL 네트워크 * 접속사이트 - URL: hxxp://ftp.xxxxxxxx.com/menuw.gif PC 정보전송 네트워크 * 접속사이트 - URL: hxxp://www.xxxxxx.or.kr/movie/img/view.php - 28 -

향후전망 악성코드유포방법 복합취약점을악용한악성코드유포지속 애플릿취약점등을복합적으로악용하여악성코드를유포시키는사례가지속적으로나타나고있다 복합적인자동화공격도구결합하여악성코드유포 과 자동화공격도구를결합하여지속적으로금융정보탈취의악성코드가유포될것으로전망된다 악성코드유포방식의다양성 특정 대역을악용하여대량으로금융정보탈취의악성코드유포및애드웨어를악용한메모리해킹악성코드가지속적으로유포되었다 악성코드실행후파밍사이트를통해다른웹사이트로이동시키는 태그가삽입되어있고 이동된웹사이트에서 자동화공격도구툴킷이유포되었다 이용자가많은웹하드사이트를통한악성코드유포가지속적으로나타 날것으로예상된다 악성코드조치방안 개인및기업의조치보안방안 개인및기업은보안점검및보안패치등보안강화를통해금융정보유출및사이버공격에각별한주의를기울여야한다 웹취약점점검바로가기 : http://toolbox.krcert.or.kr/mmvf/mmvfview_v.aspx?menu_code=2&page_number=17 홈페이지해킹방지도구 : http://toolbox.krcert.or.kr/mmvf/mmvfview_v.aspx?menu_code=7&page_number=16 휘슬바로가기 : http://toolbox.krcert.or.kr/mmvf/mmvfview_v.aspx?menu_code=6&page_number=16 개발시점의시큐어코딩을통한홈페이지구축권고 - 29 -

기업에서근본적으로홈페이지개발시점부터보안의식및시큐어코딩으로홈페이지를구축하고 주기적인취약점점검및패치를적용하여웹서버가해킹되지않도록사전에방지해야한다 웹취약점점검서비스및웹보안강화도구 ( 휘슬 / 캐슬 ) 사용안내 : http://krcert.or.kr 최신보안업데이트권고 이용자는 윈도우의보안업데이트를항상최신상태로유지할것을권장하며 및 관련취약점에의해악성코드에감염되지않도록주의하여야한다 또한안티바이러스 백신 을이용하여주기적으로점검하여야한다 윈도우최신보안업데이트적용 자동보안업데이트설정권장 MS 업데이트사이트 : http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko ( 윈도우7) 제어판 - 시스템및보안 - Windows Update 의취약점에대한보안업데이트적용 MS 보안업데이트 : http://technet.microsoft.com/ko-kr/security/bulletin/ms12-043 최신버전업데이트적용 최신버전 : Adobe Flash Player 16.0.0.305 (http://get.adobe.com/kr/flashplayer/) 최신버전업데이트적용 최신버전 : Java SE Runtime Environment 8u31 (http://www.oracle.com/technetwork/java/javase/8u31-relnotes-2389094.html) - 30 -