ASEC REPORT VOL 안랩월간보안보고서 2012년 10월의보안동향악성코드분석특집

ASEC REPORT VOL.34 2012.11 안랩월간보안보고서 2012년 10월의보안동향악성코드분석특집

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. I. 2012 년 10 월의보안동향 악성코드동향 01. 악성코드통계 03-10월악성코드, 180만건 18.4% 감소 - 악성코드대표진단명감염보고최다 20-10월최다신종악성코드 Win-Trojan/Onlinegamehack.118784.EG - 10월악성코드유형, 트로이목마 과반가까이기록 - 악성코드유형별감염보고전월비교 - 신종악성코드유형별분포 보안동향 01. 보안통계 28-10월마이크로소프트보안업데이트현황 02. 보안이슈 29 - Adobe사의유출된 code signing 악용사례발생 - 미국금융기업 DDoS 공격 - 개인금융정보탈취를노리는 Banki 트로이목마변형 02. 악성코드이슈 07-10월에발견된취약한한글문서파일 - MS 워드, PDF 문서들의취약점을악용하는악성코드다수발견 - 한글소프트웨어의제로데이취약점악용악성코드 - 미국대선뉴스로위장한스팸메일과결합된블랙홀웹익스플로잇툴킷 - 플레임악성코드변형 miniflame 변형발견 - 윈도우도움말파일을이용한악성코드유포 - 국방관련내용을담은취약한한글파일 - 연봉계약서로위장한취약한한글파일발견 - 한반도정황관련내용의취약한한글파일발견 - 대만기상청을대상으로한타깃공격발견 - 이스라엘정부기관대상의타깃공격발생 - 국내 PC 사용자를대상으로유포된아두스카부트킷 - usp10.dll 파일을이용한온라인게임악성코드 웹보안동향 01. 웹보안통계 31 - 웹사이트악성코드동향 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위 02. 웹보안이슈 34-2012년 10월침해사이트현황 - 침해사이트를통해서유포된악성코드최다 10건 03. 모바일악성코드이슈 18 - NH 모바일웹피싱사이트 - 방통위사칭악성애플리케이션 04. 악성코드분석특집 22 - 패치드 (Patched) 형태의악성코드변천사 - ZeroAccess로도알려진 Smiscer 변형 - IFEO 를이용하는악성코드 - Bootkit Story Part 1. 모체를찾아라!

3 01 악성코드동향 악성코드통계 10월악성코드, 180만건 18.4% 감소 ASEC이집계한바에따르면 2012 년 10월에감염이보고된악성코드는 15,000,000 10,000,000 9,509,563 2.37% +357,297 9,866,860 3.76% -1,807,338 8,059,522 18.3% 전체 805만 9522건인것으로나타났다. 이는지난달의 986만 6860건 5,000,000 에비해 180만 7338건이감소한수치다 ([ 그림 1-1]). 이중가장많이보고된악성코드는 ASD.PREVENTION 이었으며, Trojan/Win32.Gen과 Textimage/Autorun이그뒤를이었다. 또한 Win-Trojan/Downloader.566256, Win-Trojan/Agent.1070080.G, Win- Trojan/Avkiller.83909504, Als/Bursted, Win-Trojan/Avkiller.83910016, Win- Trojan/Onlinegamehack128.Gen등모두 6건의악성코드가 최다 20건 목록에새로이름을올렸다 ([ 표 1]). 0 8 9 10 그림 1-1 월별악성코드감염보고건수변화추이 순위 등락 악성코드명 건수 비율 1 ASD.PREVENTION 871,558 25.2 % 2 1 Trojan/Win32.Gen 273,151 7.9 % 3 3 Textimage/Autorun 255,424 7.4 % 4 NEW Win-Trojan/Downloader.566256 209,851 6.1 % 5 14 Malware/Win32.suspicious 189,975 5.5 % 6 NEW Win-Trojan/Agent.1070080.G 151,219 4.4 % 7 3 Trojan/Win32.adh 142,299 4.1 % 8 NEW Win-Trojan/Avkiller.83909504 132,832 3.8 % 9 2 Trojan/Win32.pbbot 126,304 3.7 % 10 4 Malware/Win32.generic 124,279 3.6 % 11 4 Dropper/Win32.onlinegamehack 119,010 3.4 % 12 5 Trojan/Win32.spnr 118,675 3.4 % 13 1 Adware/Win32.winagir 115,334 3.3 % 14 1 Trojan/Win32.agent 113,626 3.3 % 15 7 JS/Agent 113,486 3.3 % 16 RIPPER 88,173 2.6 % 17 NEW Als/Bursted 83,231 2.4 % 18 NEW Win-Trojan/Avkiller.83910016 78,522 2.3 % 19 NEW Win-Trojan/Onlinegamehack128.Gen 76,551 2.2 % 20 Downloader/Win32.genome 71,641 2.1 % TOTAL 3,455,141 100.0 % 표 1-1 2012년 10월악성코드최다 20건 ( 감염보고, 악성코드명기준 )

4 악성코드대표진단명감염보고최다 20 [ 표 1-2] 는악성코드별변종을종합한악성코드대표진단명중가장많이보고된 20건을추린것이다. 2012년 10월에는 Trojan/Win32가총 135만 656건으로가장빈번히보고된것으로조사됐다. ASD Prevention 이 87만 1558건, Win-Trojan/Agent 이 50만 5978건으로그뒤를이었다. 순위 등락 악성코드명 건수 비율 1 Trojan/Win32 1,350,656 23.5 % 2 ASD 871,558 15.2 % 3 Win-Trojan/Agent 505,978 8.8 % 4 7 Win-Trojan/Downloader 462,636 8.0 % 5 7 Malware/Win32 354,652 6.2 % 6 1 Adware/Win32 258,101 4.5 % 7 Textimage/Autorun 255,451 4.4 % 8 4 Downloader/Win32 223,500 3.9 % 9 NEW Win-Trojan/Avkiller 218,976 3.8 % 10 2 Win-Trojan/Onlinegamehack 151,518 2.6 % 11 5 Dropper/Win32 148,551 2.6 % 12 2 Win32/Conficker 136,362 2.4 % 13 Win-Trojan/Korad 121,520 2.1 % 14 1 Win32/Virut 114,453 2.0 % 15 6 JS/Agent 114,347 2.0 % 16 Win-Adware/Korad 105,906 1.8 % 17 1 Win32/Kido 102,350 1.8 % 18 1 RIPPER 88,173 1.5 % 19 2 Backdoor/Win32 83,917 1.5 % 20 NEW Als/Bursted 83,231 1.4 % TOTAL 5,751,836 100.0 % 표 1-2 악성코드대표진단명최다 20건 10월최다신종악성코드 [ 표 1-3] 은 10월에신규로접수된악성코드중고객으로부터감염보고가가장많았던 20건을꼽은것이다. 10 월의신종악성코드는 Win-Trojan/ Downloader.566256이 20만 9851 건으로전체의 27% 를차지했으며, Win-Trojan/Agent.1070080.G은 15 만 1219건이보고됐다. 순위 악성코드명 건수 비율 1 Win-Trojan/Downloader.566256 209,851 27.0 % 2 Win-Trojan/Agent.1070080.G 151,219 19.4 % 3 Win-Trojan/Avkiller.83909504 132,832 17.1 % 4 Win-Trojan/Avkiller.83910016 78,522 10.1 % 5 Win-Trojan/Downloader.196712 61,629 7.9 % 6 Win-Trojan/Downloader.1288704 17,634 2.3 % 7 Win-Trojan/Downloader.224232 16,370 2.1 % 8 Win-Trojan/Downloader.25600.JI 15,156 1.9 % 9 Win-Trojan/Korad.97280 10,685 1.4 % 10 Win-Trojan/Agent.86016.AKX 9,533 1.2 % 11 Win-Trojan/Korad.104960.C 8,898 1.1 % 12 Win-Trojan/Korad.104448.C 8,414 1.1 % 13 Win-Trojan/Korad.104960 8,231 1.1 % 14 Win-Trojan/Agent.209062 8,146 1.0 % 15 Win-Trojan/Agent.40960.BXP 7,730 1.0 % 16 Win-Adware/KorAd.104960.B 7,547 1.0 % 17 Win-Trojan/Onlinegamehack.127790 6,855 0.9 % 18 Win-Trojan/Urelas.1664512 6,347 0.8 % 19 Win-Trojan/Vobfus.204982 6,120 0.8 % 20 Win-Trojan/Windam.215040 6,111 0.8 % TOTAL 777,830 100.0 % 표 1-3 10월신종악성코드최다 20건

5 악성코드 트로이목마 과반가까이기록악성코드를유형별로살펴보면, 트로이목마 (Trojan) 가 46.5% 로가장높은비율을나타냈고, 웜 (Worm) 6.3%, 스크립트 (Script) 4% 가뒤를이었다. [ 그림 1-2] 는 10월한달동안안랩의고객들로부터감염이보고된악성코드를유형별로집계한결과다. 그림 1-2 악성코드유형별비율 악성코드유형별감염보고전월비교 [ 그림 1-3] 은악성코드유형별감염비율을전월과비교한것이다. 트로이목마 (Trojan), 웜이전월에비해증가세를보였으며스크립트, 드롭퍼 (Dropper) 는전월에비해감소세를보였다. 애드웨어, 스파이웨어는전월과유사한수준을유지했다. 그림 1-3 2012 년 9 월 vs. 10 월악성코드유형별비율

6 신종악성코드유형별분포 10월의신종악성코드를유형별로보면트로이목마가 92% 로가장많았고, 애드웨어 3%, 드로퍼 2% 가각각그뒤를이었다. 그림 1-4 신종악성코드유형별분포

7 02 악성코드동향 악성코드이슈 10월에발견된취약한한글문서파일 ASEC에서는그동안 한글과컴퓨터 에서개발하는한글소프트웨어존재하는취약점을악용하여악성코드감염을시도한공격사례들에대해여러차례공유한바있다. 특히최근한달사이만을살펴보더라도아래와같이다수의공격사례들이있어, 외부에서유입되는이메일에첨부된한글파일을확인할경우에는각별한주의가필요하다. - 2012년 10월 19일 : 국방관련내용을담은취약한한글파일발견 - 2012 년 10월 10일 : 한글소프트웨어의제로데이취약점악용악성코드 - 2012 년 10월 09일 : 전자문서들의취약점을악용하는악성코드들다수발견 - 2012년 09월 21일 : 다양한전자문서들의취약점을악용한악성코드 - 2012년 10월 25일 : 일반기업의연봉계약서내용으로위장한악성코드 2012년 10월 24일, 한글소프트웨어에존재하는알려진취약점을악용하는취약한한글파일 2건이발견되었다. 국내유명포털웹사이트에서제공하는메일서비스의이메일주소로발송한메일에취약한한글파일이첨부되어있었다. 그림 1-6 대통령선거관련내용으로위장한취약한한글파일 2. 두번째메일은 [ 그림 1-7] 과같이 현안대응 이라는메일제목에 현안대응.hwp 이라는한글파일이첨부되어있다. 1. 첫번째메일은 [ 그림 1-5] 와같이 핵심공약 이라는메일제목에 핵심공약.hwp 라는한글파일이첨부된형태다. 첨부된 핵심공약.hwp (164,629 바이트 ) 파일을열면 [ 그림 1-6] 의대통령선거공약관련내용이나타난다. 그림 1-7 취약한한글파일을첨부한타깃공격이메일 현안대응.hwp (168,725 바이트 ) 파일을열면 [ 그림 1-8] 의한국의 그림 1-5 취약한한글파일을첨부한타깃공격이메일 정치적인상황들과관련된내용이나타난다.

8 - 파일다운로드및업로드 - cmd.exe를이용한콘솔명령실행 - 실행중인프로세스리스트수집 - 감염된시스템컴퓨터명수집 - 감염된시스템 IP와프록시 (Proxy) 서버주소수집 - 윈도우사용자계정명수집 - 감염된시스템의윈도우버전과언어정보수집감염된시스템에서수집한정보들은 HTTP를이용해한국내특정시스템으로전송된다. 그림 1-8 한국정치관련내용으로위장한취약한한글파일이들한글파일들은일반적인 OLE 포맷을따르지않고 [ 그림 1-9] 와같이 한글 Version 2 포맷 이라는별도의파일포맷형식으로되어있다. 그림 1-9 일반 OLE 포맷이아닌한글자체포맷그리고해당취약한한글파일들내부에는 [ 그림 1-10] 과같이별도의 PE 파일이임베디드 (Embedded) 되어있다. <V3 제품군의진단명 > HWP/Exploit Trojan/Win32.Npkon Trojan/Win32.Dllbot <TrusWatcher 탐지명 > Exploit/HWP.AccessViolation-SEH <ASD 2.0 MDP 엔진진단명 > Suspicious/MDP.Document Dropper/MDP.Exploit Suspicious/ MDP.Exploit Suspicious/MDP.Behavior MS 워드, PDF 문서들의취약점을악용하는악성코드다수발견 마이크로소프트워드 (Microsoft Word, 이하 MS워드 ), 한글소프트웨어, 어도비리더 (Adobe Reader) PDF에존재하는알려진취약점을악용하는악성코드가동시에발견되었다. 그림 1-10 취약한한글파일에포함되어있는악성코드이들한글파일들은공통적으로파일을열면사용자모르게백그라운드로 svc.exe (126,976 바이트 ) 파일을생성한다. - C:\Documents and Settings\Tester\Local Settings\Temp\ svc.exe 한글소프트웨어와관련된악성코드는크게 3가지형태로, 기존에알려진취약점을악용하는형태와특이하게내부에악의적인목적으로제작된자바스크립트 (Java Script) 가포함된형태, 한글문서자체가특이한 OLE 포맷을가지고있는형태다. 기존에알려진한글취약점을악용하는취약한한글파일은 [ 그림 1-11] 과같이 붙임1_XX기술정보위원명단 _[2].hwp (1,061,892 바이트 ) 이라는제목으로유포되었다. 생성된 svc.exe는다시 DLL 형태의파일인 wdmaud.drv (78,336 바이트 ) 를다음의경로에생성한다. - C:\WINDOWS\wdmaud.drv wdmaud.drv는윈도우시스템프로세스인 explorer.exe 와 winlogin.exe 의스레드 (Thread) 로인젝션을시도하여시스템을감염시킨후다음의악의적인기능들을수행한다. 그림 1-11 XX 기술정보관련내용의취약한한글파일

9 해당취약한한글파일은 HncApp.dl l에존재하는, 문단정보를파싱하는과정에서발생하는버퍼오버플로우로인한임의의코드실행취약점을악용하고있다. 이는기존에알려진취약점으로, 한글과컴퓨터에서관련보안패치를배포했다. 두번째발견된취약한한글파일은 [ 그림 1-12] 와같이문서암호가설정되어있는 122601.hwp (213,133 바이트 ) 로, 동일한파일명에파일크기만다른 (217,231 바이트 ) 두종류의파일이있다. 그림 1-12 취약한한글파일에설정된암호 해당한글파일들의내부에는 [ 그림 1-13] 과같은특이한자바스크립트 (Java Script) 가포함되어있다. 그림 1-15 특이한형태의 OLE 포맷섹션명어도비아크로뱃 (Adobe Acrobat) 에존재하는알려진취약점을악용하는 PDF 파일은 [ 그림1-16] 과같이 XX현안분석.pdf (679,753 바이트 ) 라는파일명으로유포되었다. 그림 1-13 취약한한글파일내부에포함된자바스크립트 해당자바스크립트를디코딩하면특정시스템에서 ie67.exe (99,328 바이트 ) 의악성코드를다운로드하여실행하도록되어있다. 또한 [ 그림 1-14] 와같은 실험리포트.hwp (7,887,360 바이트 ) 라는파일이유포되었으나, 해당문서를여는것만으로는악성코드에감염되지는않는다. 그림 1-16 XX현안분석관련내용을취약한 PDF 파일해당 PDF 파일은기존에알려진 CVE-2009-0927 취약점을이용하고있으며, 어도비는이미지난 2009 년 3월보안권고문 APSB09-04 Security Updates available for Adobe Reader and Acrobat 을통해보안패치를배포한바있다. 마지막으로 MS워드에존재하는취약점을이용한파일은유포당시의정확한파일명은확인되지않지만, 265,395 바이트 의크기를가지고있다. 그림 1-14 실험리포트내용으로위장한취약한한글파일 해당한글파일의 OLE 포맷을보면 [ 그림 1-15] 와같이앞서발견된특이한형태의섹션명이포함된형태와유사하다. 해당 MS워드파일은 CVE-2012-0158 취약점 을이용하고있으며, MS는보안권고문 Microsoft Security Bulletin MS12-027 - 긴급 Windows 공용컨트롤의취약점으로인한원격코드실행문제점 (2664258) 을통해보안패치를배포했다.

10 <V3 제품군의진단명 > HWP/Exploit Dropper/Exploit-HWP Dropper/Cve-2012-0158 PDF/Exploit Backdoor/Win32.PcClient Dropper/Win32.OnlineGameHack Win-Trojan/Infostealer.28672.K Win-Trojan/Infostealer.81920.B <TrusWatcher 탐지명 > Exploit/HWP.AccessViolation-SEH Exploit/DOC.AccessViolation-DE <ASD 2.0 MDP 엔진진단명 > Dropper/MDP.Document 앞서언급한바와같이이번에발견된취약한문서파일들은모두기존에알려진취약점들을악용하고있으며, 마이크로소프트, 한글과컴퓨터, 어도비는각각해당보안패치를배포했다. 향후유사한보안위협으로인한피해를예방하기위해서는관련보안패치를설치하는것이중요하다. 한글소프트웨어의제로데이취약점악용악성코드 2012년 10월 8일한글소프트웨어의알려지지않은제로데이취약점을악용하여악성코드유포를시도한사례가또다시발견되었다. 이번에발견된제로데이취약점을악용한한글파일은 [ 그림 1-17] 과같이 XXXXX대토론회-120928.hwp (225,792 바이트 ) 라는파일명으로유포되었다. Overflow) 로인한코드실행취약점 이다. 이번에유포된취약한한글파일을열면 [ 그림1-18] 과같은순서로악성코드에감염된다. 그림 1-18 HwpApp.dll 의취약점을이용한악성코드감염구조도두번째로발견된취약한한글파일의유포당시파일명은 2. 기술료지급대상자명단 (12.09.06 현재 ).hwp(1,019,908 바이트 ) 다. 1. 해당한글파일을열면 kbs.dll(115,200 바이트 ) 이다음경로에생성된다. - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\ Temp\kbs.dll 생성된 kbs.dll은다시동일한경로에 kbs.exe(90,112 바이트 ) 를생성하고, kbs.exe는순차적으로자신의복사본인 svchost.exe (90,112 바이트 ) 와함께 p_mail.def (10 바이트 ) 와 com.dat (40,960 바이트 ) 를다음경로에생성한다. - C:\WINDOWS\system32\2065\p_mail.def - C:\WINDOWS\system32\2065\svchost.exe - C:\WINDOWS\system32\2065\com.dat 2. 레지스트리 (Registry) 에다음의키값을생성하여시스템재부팅시복사본인 svchost.exe가 SMS Loader 라는윈도우서비스로자동실행되도록구성한다. - HKLM\SYSTEM\ControlSet001\Services\SMS Loader ImagePath = "C:\WINDOWS\system32\2065\svchost.exe" 그림 1-17 정치적인내용을담고있는취약한한글파일해당한글파일이이용한제로데이취약점에대해 10월현재한글과컴퓨터에서관련보안패치를제공하지않고있다. 해당취약점은한글소프트웨어에서사용되는 HwpApp.dll 에존재하는, 한글문서내용을파싱할때발생하는 힙스프레이오버플로우 (Heap-spray 3. kbs.exe가생성한 p_mail.def 는악성코드가시스템에서최초실행된시각을기록한로그파일이며, kbs.exe에의해생성된자신의복사본인 svchost.exe를통해다음과같은악의적인기능들을수행한다. - 윈도우내장방화벽무력화 - AhnLab V3 Internet Security 8.0 및 2007 방화벽무력화 - 윈도우사용자정보수집 - 감염시스템 IP, 운영체제및하드웨어정보수집 - 키보드입력가로채기

11 4. 감염된시스템에서수집한키보드입력데이터와시스템및하드웨어정보는다음과같은경로에 key.dat 와 log.dat 파일을생성하고, 악성코드에감염된시각을 jpg 파일로생성한다. - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\ Temp\key.dat - C:\WINDOWS\system32\2065\log.dat - C:\WINDOWS\system32\2065\[ 월일시분초10자리 ].jpg 그림 1-19 key.dat 파일내용 ( 키로깅데이터 ) 그림 1-20 log.dat 파일내용 ( 시스템정보 ) 5. 감염된시스템에서수집된정보가기록된 key.dat 와 log. dat 파일은 com.dat 에의해한국에서운영되는특정웹하드사이트의지정된공유폴더에업로드된다. Suspicious/MDP.DropExecutable Suspicious/MDP.DropMalware Suspicious/MDP.Behavior 미국대선뉴스로위장한스팸메일과결합된블랙홀웹익스플로잇툴킷 ASEC에서는 2009년부터웹을기반으로하여웹브라우저 (Web Browser) 나웹기반애플리케이션 (Web Application) 들에존재하는취약점들을자동으로이용하도록제작된웹익스플로잇툴킷 (Web Exploit Toolkit) 의위험성에대해언급하였다. 그리고웹익스플로잇툴킷의하나인블랙홀 (Blackhole) 웹익스플로잇툴킷을이용하여사회적인이슈나대중이관심을가질만한내용을포함한스팸메일 (Spam Mail) 이나소셜네트워크서비스 (Social Network Service) 를이용하여악성코드유포를시도한사례들이다수존재한다. - 2012년 6월 - 스팸메일과결합된웹익스플로잇툴킷 - 2012년 7월 - 링크드인스팸메일과결합된블랙홀웹익스플로잇툴킷 - 2012년 8월 - 페이팔스팸메일과결합된블랙홀웹익스플로잇툴킷 특히올해 2012년 4분기에는미국과한국에대통령선거라는중요한이슈가있다. 이러한이슈를이용하여스팸메일에포함된악의적인웹사이트링크로유도하는사례가발견되었다. 이번에발견된스팸메일사례에는 [ 그림 1-22] 와같이미국대통령선거의후보중한명인미트롬니 (Mitt Romney) 가 60% 차이로앞서고있다는허위사실과함께 Full Story 링크를클릭하도록유도한다. 그림 1-21 웹하드업로드폴더화면 <V3 제품군의진단명 > HWP/Exploit Trojan/Win32.Npkon Trojan/Win32.Dllbot <TrusWatcher 탐지명 > Exploit/HWP.AccessViolation-DE <ASD 2.0 MDP 엔진진단명 > Dropper/MDP.Exploit 그림 1-22 미국대통령선거관련내용으로작성된허위이메일해당링크를클릭하면블랙홀웹익스플로잇툴킷의악의적인웹사이트로연결되며, 사용자의시스템웹브라우저와웹애플리케이션취약점이존재하면이를이용하여악성코드감염을시도한다.

12 10월현재웹익스플로잇툴킷을이용하여다양한악성코드가유포중이며향후에도미국과한국의대통령선거와관련된사회적중요이슈들을악용한보안위협이발생할가능성이높아주의가필요하다. 이번에발견된미국대통령선거뉴스로위장한스팸메일을통해유포된악성코드들은 V3 제품군에서다음과같이진단한다. <V3 제품군의진단명 > PDF/Exploit Java/Cve-2012-1723 Trojan/Win32.Pakes <V3 제품군의진단명 > Win-Trojan/MiniFlame.75264 Win-Trojan/MiniFlame.89680 Win-Trojan/MiniFlame.76288 Win-Trojan/MiniFlame.108544 Win-Trojan/MiniFlame.97280 Win-Trojan/MiniFlame.113152 Win-Trojan/MiniFlame.96768 Win-Trojan/MiniFlame.112128 Win-Trojan/MiniFlame.104448 Win-Trojan/MiniFlame.13312 플레임악성코드변형 miniflame 변형발견해외시각으로 10월 15일카스퍼스키랩 (Kaspersky) 사는블로그 ("miniflame aka SPE: "Elvis and his friends"") 를통해플레임 (Flame) 의새로운변형인미니플레임 (miniflame) 이발견되었다고전했다. 이번에발견된플레임의변형인미니플레임은 2012년 8월에공개된가우스 (Gauss) 와매우유사하며, 플레임악성코드와마찬가지로정보수집의목적으로제작되었다. 10월현재까지카스퍼스키랩에서밝힌스턱스넷 (Stuxnet) 과미니플레임등에감염된시스템의수치는 [ 표 1-4] 와같다. 윈도우도움말파일을이용한악성코드유포 10월 17일 ASEC에서는윈도우도움말 (HLP) 파일을이용해내부정보탈취를목적으로제작된악성코드가국내에유포된것을발견하였다. 이번에발견된윈도우도움말파일을이용한악성코드는 [ 그림 1-24] 와같이이메일첨부파일형태로유포되었다. 그림 1-24 악의적인윈도우도움말파일이첨부된타깃공격이메일 표 1-4 각악성코드별감염된시스템수치 ( 출처 : Kaspersky Lab) 해당미니플레임악성코드는모듈화된형태이며전체적인구조는 [ 그림 1-23] 과같다. 유포된이메일은 쟁점 Q&A XX외교 와 전략보고서 라는 2가지제목의형태로, 공통적으로메일본문에는아무내용도없다. 메일발신인은국내유명포털웹사이트에서제공하는메일주소를사용하고있다. 첨부파일에는 쟁점Q&A XX외교.hlp (129,883 바이트 ) 와 전략보고서.hlp (129,375 바이트 ) 가압축되어있다. 해당 HLP 파일들을실행하면 [ 그림 1-25] 의내용이보여진다. 그림 1-23 미니플레임악성코드의전체적인구조도 ( 출처 :Kaspersky Lab) 이번에발견된미니플레임은스턱스넷등과마찬가지로이동형저장장치인 USB를이용하여유포된다. 또한파일읽기및쓰기, 특정파일 C&C 서버로전송, 특정프로세스실행시화면캡쳐등의악의적인기능을수행한다. 그림 1-25 정치적인내용으로위장한윈도우도움말파일

13 1. 해당 HLP 파일들은아래의경로에동일한 winnetsvr.exe (114,688 바이트 ) 파일을생성및실행한다. - C:\WINDOWS\Temp\winnetsvr.exe 생성된 winnetsvr.exe 파일은다음의윈도우레지스트리키를생성하여 Windows Kernel Srv 라는윈도우서비스로실행되도록구성한다. - HKLM\SYSTEM\ControlSet001\Services\Windows Kernel Srv\ ImagePath = "C:\WINDOWS\Temp\winnetsvr.exe" 2. 감염된시스템에서다음의정보들을수집하여외부에있는특정시스템으로전송한다. - 감염된시스템의 IP - 감염된시스템의프록시 (Proxy) IP - 사용자계정명 - 감염된시스템의운영체제정보 - HTTP를이용한파일업로드및다운로드 - CMD.exe를이용한콘솔명령실행 <V3 제품군의진단명 > HLP/Exploit Trojan/Win32.Agent <ASD 2.0 MDP 엔진진단명 > Dropper/MDP.Exploit Suspicious/MDP.Exploit 국방관련내용을담은취약한한글파일 10월 15일과 16일국내에서국방관련내용으로위장한취약한한글파일들이발견되었다. 해당한글파일은총 2개로 XXX교육계획 (2012).hwp (1,044,996 바이트 ) 와 우리도 XXXX을갖자.hwp (240,285 바이트 ) 의파일명으로유포되었다. 취약한한글소프트웨어를사용하는시스템에서해당취약한한글파일들을열면 [ 그림 1-26] 의내용이나타난다. 한다. 첫번째한글파일인 군XX교육계획 (2012).hwp 를열면, 백그라운드에서 system32.dll (65,536 바이트 ) 이다음경로에생성된다. - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\ Temp\system32.dll 1. taskmon.exe (15,048 바이트 ) 를아래경로에추가적으로생성하여, 시스템을재부팅하더라도자동실행되도록구성한다. - C:\Documents and Settings\[ 사용자계정명 ]\ 시작메뉴 \ 프로그램 \ 시작프로그램 \taskmon.exe 2. taskmon.exe는외부에있는시스템으로역접속을시도했으나분석당시에는정상적인접속이이루어지지않았다. 그밖에다음의악의적인기능들을수행한다. - CMD.EXE 실행후콘솔명령실행 - 감염된시스템의윈도우운영체제정보수집 - 원격에서공격자가지정한명령수행두번째한글파일인 우리도 XXXX을갖자.hwp 를열면 hncctrl. exe (164,352 바이트 ) 가다음경로에생성된다. - c:\documents and settings\tester\local settings\temp\ hncctrl.exe 1. svchost.exe (131,584 바이트 ) 를아래경로에추가적으로생성한다. - C:\Documents and Settings\[ 사용자계정명 ]\Application Data\svchost.exe 2. svchost.exe 는윈도우레지스트리에다음키값을생성하여시스템을재부팅하더라도자동실행되도록구성한다. - HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run Network = C:\Documents and Settings\[ 사용자계정명 ]\ Application Data\svchost.exe 3. svchost.exe 는외부에있는시스템으로역접속을시도했으나분석당시에는정상적인접속이이루어지지않았다. 감염된시스템에서다음과같은보안프로그램들이실행중이면강제종료를시도한다. 그림 1-26 국방관련내용으로위장한취약한한글파일 이들파일은기존에알려진 HncTextArt_hplg 또는 HncApp.dll 관련버퍼오버플로우 (Buffer Overflow) 로인한코드실행취약점을이용 - DaumCleaner.exe, hcontain.exe, vrmonnt.exe, ALYac.exe, AYAgent. exe, ALYac.aye, AYAgent.aye

14 4. 이외에감염된시스템의운영체제로그인을위한사용자계정명과암호를수집하여, 국내유명포털웹사이트에서제공하는이메일서비스를이용하여해당정보를유출한다. <V3 제품군의진단명 > HWP/Exploit Win-Trojan/Locker.65536 Trojan/Win32.Agent Win-Trojan/Backdoor.15048 <TrusWatcher 탐지명 > Exploit/HWP.AccessViolation-DE <ASD 2.0 MDP 엔진진단명 > Dropper/MDP.Exploit Dropper/MDP.Document Suspicious/MDP.Document Suspicious/MDP.DropMalware Suspicious/MDP.Behavior 연봉계약서로위장한취약한한글파일발견 10월 25일연봉계약서내용으로위장하여유포된취약한한글파일이발견되었다. 해당한글파일은 연봉계약서.hwp (1,015,812 바이트 ) 라는파일명을갖고있으며, 이를열면 [ 그림 1-27] 의내용이보인다. - C:\Documents and Settings\Tester\Local Settings\Temp\ system32.dll 2. 생성된 system32.dll 은다시 AppleSyncNotifier.exe (81,920 바이트 ) 라는파일을다음경로에생성한다. - C:\Documents and Settings\Tester\ 시작메뉴 \ 프로그램 \ 시작프로그램 \AppleSyncNotifier.exe 생성된 AppleSyncNotifier.exe 는다음과같은악의적인기능들을수행한다. - 실행중인프로세스리스트수집 - 파일다운로드및업로드실행 - 프로세스강제종료감염된시스템에서수집한정보들은 HTTP를이용해미국에있는특정시스템으로전송된다. <V3 제품군의진단명 > HWP/Exploit Win-Trojan/Symmi.81920 <TrusWatcher 탐지명 > Exploit/HWP.AccessViolation-DE <ASD 2.0 MDP 엔진진단명 > Dropper/MDP.Exploit Dropper/MDP.Document Suspicious/MDP.Document 한반도정황관련내용의취약한한글파일발견 10월 31일한반도정황관련내용으로위장한취약한한글파일이발견되었다. 해당한글파일은 한반도 XX프로세스.hwp (309,612 바이트 ) 라는파일명으로, 파일을열면 [ 그림 1-28] 의 한반도 XX 프로세스 (KOREA XXXX PROCESS) 라는내용이나타난다. 그림 1-27 연봉계약서내용을가지고있는취약한한글파일 해당파일은 HwpApp.dll 에존재하는문단정보를파싱하는과정에서발생하는버퍼오버플로우로인한코드실행취약점이다. 해당취약점은 2012년 6월에제로데이취약점으로발견됐다. 1. 해당파일을열면 system32.dll (81,920 바이트 ) 을다음경로에생성한다. 그림 1-28 한반도정황을가지고있는취약한한글파일

15 해당한글파일을열면 ~ZZ.tmp(102,400 바이트 ) 를다음경로에생성한다. - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\ Temp\~ZZ.tmp 대만기상청을대상으로한타깃공격발견 10월 17일 ASEC에서는대만의기상청내부직원을대상으로한타깃공격 (Targeted Attack) 을발견하였다. 대만기상청의내부직원을대상으로한타깃공격은 [ 그림 1-29] 의이메일을통해진행되었다. 1. 해당 ~ZZ.tmp(102,400 바이트 ) 가정상적으로생성되면자신의복사본인 ms[ 임의의문자열 5자리 ].dll(102,400 바이트 ) 을다음경로에생성한다. - C:\WINDOWS\system32\ms[ 임의문자열 5자리 ].dll 2. 악의적기능을수행하는 [6자리임의의문자열 ].tmp(110,592 바이트 ) 를다음경로에생성한다. - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\ Temp\[6자리임의의문자열 ].tmp 3. 생성된 [6자리임의의문자열 ].tmp(110,592 바이트 ) 는 rundll32.exe 를이용해실행되며 windows_sru.chq' 파일을다음경로에생성한다. - C:\WINDOWS\Help\windows_sru.chq 생성된 windows_sru.chq' 에감염된시스템에서다음정보들을수집한다. - 시스템하드웨어정보 - 윈도우사용자계정명 - 다음의확장자를가진파일명을수집하여기록한다. EXE, DLL, CHM. AVI, MPG, ASPX, LOG, DAT, PDF, TXT, DOCX, HWP, RAR, ZIP, ALZ, CAB, HTML, GZ, XML, EML, JPG, BMP, ISO, VC4 백그라운드로인터넷익스플로러 (iexplore.exe) 를실행시켜국내유명포털웹사이트의이메일서비스를통해감염된시스템에서수집된정보들이기록된 windows_sru.chq' 를첨부하여이메일을발송한다. <V3 제품군의진단명 > HWP/Exploit Win-Trojan/Dllbot.110592 Win-Trojan/Xema.102400.S <TrusWatcher 탐지명 > Exploit/HWP.AccessViolation-DE <ASD 2.0 MDP 엔진진단명 > Dropper/MDP.Exploit Suspicious/MDP.Document 그림 1-29 대만기상청을대상으로유포된타깃공격이메일해당이메일들에첨부된문서는 個人資料同意申請書.doc (247,200 바이트 ), 中央氣象局颱風資料庫? 究用帳號申請表.doc (248,224 바이트 ) 그리고 國立中央大學大氣科學系通訊錄.xls (146,432 바이트 ) 다. 첨부된문서파일들은개인정보동의신청서와기상관련자료들로위장하여수신인이문서를열어보도록유도한다. 해당파일들이이용한 CVE-2012-0158 취약점 은보안권고문 Microsoft Security Bulletin MS12-027 - 긴급 Windows 공용컨트롤의취약점으로인한원격코드실행문제점 (2664258) 을통해보안패치가배포중인알려진취약점이다. 취약한문서파일들이모두원격제어가가능한백도어형태의악성코드감염을시도하는것으로미루어내부정보탈취를목적으로유포된것으로추정된다. <V3 제품군의진단명 > Dropper/Cve-2012-0158 Dropper/Mdroppr Trojan/Win32.Scar Win-Trojan/Ghost.98304 Win-Trojan/Downloader.66048.AU Win-Trojan/Agentbypass.184320 <TrusWatcher 탐지명 > Exploit/DOC.AccessViolation-DE 이스라엘정부기관대상의타깃공격발생이스라엘언론인 The Times of Israel은 "How Israel Police computers were hacked: The inside story" 를통해이스라엘정부기관을대상으로한타깃공격 (Targeted Attack) 이발생했다고전했다. 이러한정부기관을대상으로한타깃공격사례로는앞서설명한 10 월 18일대만기상청을대상으로공격이있다. 특히이번에발견된이스라엘정부기관을대상으로한타깃공격은대만기상청을대상으로

16 한타깃공격과유사한형태로이메일을통해시작되었다. 트랜드마이크로 (Trend Micro) 는블로그 ("Xtreme RAT Targets Israeli Government") 를통해다음의메일형식을갖고있다고밝혔다. - 발신인 - bennygantz59.gmail.com 이메일제목 - IDF strikes militants in Gaza Strip following rocket barrage 첨부파일명 - Report & Photos.rar 1. 첨부된 Report & Photos.rar의압축을풀면 IDF strikes militants in Gaza Strip following rocket barrage.doc[ 다수의공백 ].scr(999,808 바이트 ) 이생성된다. 해당파일은 RARSfx 로실행가능한형태로압축된파일로파일내부에는 [ 그림 1-30] 과같이 2.ico(318 바이트 ), barrage.doc(85,504 바이트 ) 와 Word.exe(827,120 바이트 ) 가포함되어있다. 3. 사용자모르게다음의경로에내부에포함하고있던파일들을생성한다. - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\ Temp\2.ico - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\ Temp\\barrage.doc - C:\Documents and Settings\[ 사용자계정명 ]\Local Settings\ Temp\Word.exe 4. 생성된파일중 Word.exe(827,120 바이트 ) 를실행시켜.exe(4 바이트 ) 파일을생성하고, 정상적인윈도우시스템파일인 sethc. exe 를로드한후해당프로세스의메모리영역에자신의코드전체를삽입한다. 코드가정상적으로삽입되면해당 sethc.exe 의프로세스를이용하여다음의시스템으로역접속을시도하지만, 분석당시에는정상적으로접속되지않았다. - loading.myftp.org:1500 정상적으로접속이성공할경우, 공격자의명령에따라다음의악의적인기능을수행할것으로추정된다. 그림 1-30 타깃공격메일에첨부된 RARSfx 파일내부에포함된파일들 2. 해당 IDF strikes militants in Gaza Strip following rocket barrage. doc[ 다수의공백 ].scr(999,808 바이트 ) 을실행하면 [ 그림 1-31] 과같이파일내부에포함된 barrage.doc(85,504 바이트 ) 를보여준다. - 원격제어 - 화면캡쳐 - 실행중인프로세스리스트 - 파일생성, 실행및삭제 - 레지스트리키생성및삭제 - 파일업로드및다운로드 - 키보드입력값을후킹하는키로깅앞서언급한바와대만기상청타깃공격과이번이스라엘정부기관을대상으로한타깃공격은모두이메일의첨부파일을이용하여내부직원들의감염을유도하였다. 그러므로외부에서이메일이전달될경우에는발신인이잘아는사람인지그리고메일주소가자주쓰거나정확한메일주소인지를확인하고, 첨부파일이존재할경우에는실행하기전에백신으로미리검사하는것이필요하다. <V3 제품군의진단명 > Dropper/Xtrat.999808 Win-Trojan/Xtrat.827120 <ASD 2.0 MDP 엔진진단명 > Suspicious/MDP.DropMalware Malware/MDP.Injector 국내 PC 사용자를대상으로유포된아두스카부트킷 그림 1-31 RARSfx 실행시나타나는정상워드문서 현재까지 PC의 MBR(Master Boot Record) 을변조하여악의적인기능을수행하는부트킷 (Bootkit) 은주로러시아와루마니아를포함한동유

17 럽지역에서제작되어유포되었다. ASEC에서는이들부트킷관련정보들을 ASEC 블로그 <2011년 10월 - MBR을변조하는 Halcbot 부트킷상세분석 > 을통해공유한바있다. 10월 12일국내사용자를노린부트킷기능이포함된온라인게임관련개인정보를탈취하는악성코드가발견되었다. 해당악성코드는 해피투게더.exe (230,349,368 바이트 ) 라는파일명으로 200 MB가넘는크기를갖고있다. [ 그림 1-32] 는해당악성코드가동작하는전체적인구조다. [ 그림 1-33] 의각섹터는언파티션 (Unpartition) 영역에서의오프셋 (Offset) 이며언파티션 (Unpartition) 영역의첫번째섹터가해당데이터를갖고있다. [ 그림 1-34] 는실제감염된시스템의언파티션 (Unpartition) 영역의첫번째섹터다. 그림 1-34 아두스카부트킷에감염된언파티션영역 해당아두스카 (Aduska) 부트킷에감염된시스템이재부팅되어감염된 MBR이실행되면, bootkit.sys 가로드된다. 로드된 bootkit. sys 는 PsSetLoadImageNotiftRoutine 을호출하여이미지 (Image) 가생성될때마다호출되는콜백함수를등록한다. 그림 1-32 아두스카부트킷의전체적인구조유포된 해피투게더.exe 는실제로는인스톨기능을가진인스톨러 (Installer) 파일로해당악성코드에감염이되면 crvsv.exe 가실행된다. 이 crvsv.exe 가 MBR 감염과함께온라인게임관련악성코드를감염시키는드로퍼 (Dropper) 다. 해당 crvsv.exe 악성코드는다음의악의적인기능을수행한다. - 국내호스팅서비스로운영되는웹사이트로감염된시스템의 MAC 주소및운영체제버전정보전송또한 DrvInstallDemo.sys 라는드라이버파일을생성하고실행한다. 해당드라이버파일이윈도우시스템의언파티션 (Unpartition) 영역에파일을쓸수있도록 crvsv.exe 드라이버파일에컨트롤코드 (Control Code) 를전송한다. DrvInstallDemo.sys 는 crvsv.exe 로부터컨트롤코드 (Control Code) 를받아언파티션 (Unpartition) 영역에데이터를쓴다. 해당부트킷은언파티션 (Unpartition) 영역에 [ 그림 1-33] 과같은간단한파일시스템을설정한다. 해당콜백함수는 userinit.exe가로드될때언파티션 (Unpartition) 영역에서이를읽고 DownDll.DLL 을생성한다. 생성된 DownDll. DLL 은아래와같은온라인게임프로세스가로드될때인젝션 (Injection) 을수행한다. - HIGHLOW2.EXE - POKER7.EXE - LASPOKER.EXE - BADUKI.EXE - DUALPOCKER.EXE 안랩에서는아두스카부트킷대한정확한진단및치료를위해별도의전용백신을제작하여배포했다. usp10.dll 파일을이용한온라인게임악성코드최근 usp10.dll 파일을악용하여보안소프트웨어무력화기능까지포함된온라인게임악성코드가발견되었다. 이번에발견된온라인게임관련악성코드는크게 3가지부분으로구분할수있으며, 각각다음과같은기능을갖고있다. - 드로퍼 (Dropper) : TeminateProcess를호출하여보안소프트웨어강제종료시도 - usp10.dll : 로드후자신의부모프로세스가보안소프트웨어프로세스중하나라면 UnmapViewOfSection 또는 ExitProcess 호출 - AVKill 루트킷 : NtOpenProcess 와 NtTerminateProcess 후킹해제하여보안프로그램강제종료시도 그림 1-33 아두스카부트킷에생성되는언파티션영역

18 해당온라인게임관련악성코드의드로퍼는 [ 표 1-5] 의보안소프트웨어와시스템모니터링툴의프로세스가실행중이면강제종료를시도한다. 03 악성코드동향 모바일악성코드이슈 표 1-5 악성코드에의해강제종료되는보안폐품리스트 그리고윈도우레지스트리 (Registry) 를편집하여다음과같은기능을활성화한다. - 숨김파일및폴더를표시안함 설정, 알려진파일형식의파일확장명숨기기 설정이와함께 2개의스레드 (Thread) 를생성하여다음의기능들을수행한다. NH모바일웹피싱사이트금융권을대상으로하는피싱사이트가계속해서발견되고있는가운데, NH모바일웹을위장한피싱사이트 (nongyup.com) 가발견되었다. 이번에발견된피싱사이트는 NH모바일웹사이트 (m.nonghyup.com) 와유사한도메인주소 (nongyup.com) 를사용한다. 1) usp10.dll 생성드로퍼는두개의 PE 파일을포함하고있으며, 첫번째스레드는 C 드라이브를제외한모든드라이브의모든폴더에 exe 파일이존재하는지확인후악의적인 usp10.dll 을생성한다. 그후해당 exe 파일들이실행되면, 윈도두시스템폴더 (System32) 에존재하는정상 DLL 파일대신악의적인 usp10.dll 이먼저로드되게된다. 2) 다른악성코드다운로드및정보유출두번째스레드는미국에있는특정시스템에서또다른악성코드를다운로드및실행한다. 그리고미국에위치한또다른특정시스템에감염된시스템의 MAC 주소와운영체제정보를전송한다. 드로퍼가생성한 usp10.dll 은윈도우시스템폴더 (System32) 에존재하는정상 usp10.dll을로드후정상 usp10.dll의익스포트 (Export) 함수들을리다이렉트 (Redirect) 시킨다. 그리고다른악성코드의다운로드및실행을시도하도록되어있으나, 분석당시에는정상적으로다운로드되지않았다. 이와함께 UnmapViewOfSection 이나 ExitProcess 를호출하여보안소프트웨어의강제종료를시도한다. <V3 제품군의진단명 > Dropper/Win32.OnlineGameHack Trojan/Win32.OnlineGameHack Dropper/Win32.OnlineGameHack <ASD 2.0 MDP 엔진진단명 > Suspicious/MDP.DropMalware 그림 1-35 농협피싱사이트 NH모바일피싱사이트는사용자에게 보안강화서비스신청하기 를클릭하도록유도해금융거래에필요한개인정보와출금계좌번호, 출금계좌비밀번호, 자금이체비밀번호를입력하도록한다. 사용자가금융정보를입력하는과정에서이체비밀번호에영문과숫자를조합하여사용하지않으면 [ 그림 1-36] 의오류메시지가발생한다. 오류메시지의내용을살펴보면적색원과같은오타가발견된다.

19 모든정보를입력한후에는 보안강화서비스가정상적으로접수되었습니다. 1~2시간이후부터정상으로사용가능합니다. 라는메시지창이뜬다. 그림 1-36 농협피싱사이트 위의정보를입력하면안심보안카드번호를입력받는페이지로이동한다. 그림 1-39 농협피싱사이트 금융권을타겟으로피싱과파밍공격이지속적으로발견되고있다. 피싱사이트는보안승급과관련된문자를사용자에게유포하고피싱사이트로접근을유도하므로이와같은방법으로피해가발생하지않도록주의가요구된다. 다음은스마트폰으로접속한정상 NH모바일웹사이트 (m.nonghyup. com) 이다. 그림 1-37 농협피싱사이트 사용자가입력한정보는아래와같은형태로피싱사이트로전송된다. 그림 1-40 정상 NH 모바일웹사이트 ( http://m.nonghyup.com ) 방통위사칭악성애플리케이션방송통신위원회를사칭해스팸문자차단애플리케이션을무료로배포하는것처럼위장한악성안드로이드애플리케이션이발견되었다. 확인된스팸문자는아래와같다. 그림 1-38 패킷캡쳐화면

20 - [ 방통위 ] 통신사합동스팸문자차단어플백신무료배포 Play 스토어 어플 http://bit.ly/qqylxx 주소를클릭해주십시오. [ 그림 1-44] 를보면애플리케이션의행위를추정할수있는퍼미션이세개모두동일하다. 해당링크를따라가면구글 Play 스토어로접속해 Stech 개발자가제작한 Spam Blocker 애플리케이션을다운로드하는페이지로연결된다. Stech 개발자가 Play 스토어에등록한애플리케이션은 Spam Blocker 이외에도 Spam Guard, Stop Phishing!! 이발견되었다. 그림 1-41 구글 Play 스토어에 Stech 개발자로등록된애플리케이션 세개의애플리케이션모두스팸차단기능은포함하지않고있으며, 설치시스마트폰의정보를외부로유출하는악의적기능이포함되어있다. [ 그림 1-42] 는해당악성애플리케이션을설치한화면이다. 그림 1-44 AndroidManifest.xml 정보 Dex 파일의소스코드를확인해보면, 전화번호와통신망사업자정보를수집하여특정서버로전송하는코드가존재한다. 그림 1-42 Spam Blocker 아이콘 / 실행화면 그림 1-45 전화번호, 통신망사업자정보를수집하는코드중일부 SMSService 클래스에는아래와같은미리정의된번호로수신될경우, 해당 SMS를외부서버 (50.18.59.8) 로유출하는코드가존재한다. 애플리케이션에따라외부서버의주소는각기다르다. - Spam Guard : 54.243.187.198 - Stop phishing : 50.18.59.185 그림 1-43 악성애플리케이션권한정보

21 그림 1-46 미리정의된 SMS 수신번호위세개의악성애플리케이션내부에는자사의상징적인이미지와통신사 (KT, SK), 그리고골프와관련된아이콘이포함되어있다. 향후악성애플리케이션을추가제작하려는의도가있었던것으로추정된다. 그림 1-47 애플리케이션내부에포함된아이콘이미지파일 <V3 mobile 제품군의진단명 > Android-Trojan/Chest

22 04 악성코드동향 악성코드분석특집 패치드 (Patched) 형태의악성코드변천사 ASEC에서는그동안악성코드에의해정상윈도우 (Windows) 시스템파일을변조시켜악의적인기능을수행하는패치드 (Patched) 형태의악성코드에대한정보들을공개했다. 특히최근다양한온라인게임의사용자정보들을탈취하는온라인게임관련트로이목마 (OnlineGameHack) 의경우온라인게임의메인실행프로세스의주소공간에악성코드인 DLL 파일을안정적으로실행시키기위해윈도우시스템의정상 DLL 파일들을감염시키는형태가자주발견되고있다. 이러한형태의악성코드들을일반적으로 패치드 (Patched) 형태의악성코드 로부르며, 현재까지발견된악성코드에의해사용되는패치드기법들을정리하면다음과같다. 1. DLL 파일에악의적인 DLL 파일을로드하는코드를삽입한후이코드로분기하도록패치하는형태 그림 1-49 LoadLibraryA로로드되는악성코드 DLL 파일 2. 윈도우정상 DLL 파일을악의적인 DLL 파일로교체한뒤, 정상의 Export 함수들을리다이렉트 (Redirect) 시키는형태직접적으로윈도우정상 DLL 파일을악의적인 DLL 파일로교체하는형태다. 이렇게정상 DLL 파일을감염시키면원래정상 DLL 파일의익스포트 (Export) 함수들이정상적으로호출이되어야하므로, 익스포트네임테이블 (Export Name Table) 에서이함수들로리다이렉트 (Redirect) 를시키게된다. 대상이되는윈도우정상 DLL 파일들은 ws2help.dll 이나 wshtcpip.dll 이다. 일반적인패치드형태로, 지난 3년전부터발견되기시작하였다. 주로패치의대상이되었던윈도우정상 DLL들은 imm32.dll, olepro32.dll, dsound.dll이다. 패치가된 DLL 파일은 [ 그림 1-48] 과같이파일의섹션끝부분에셸코드 (Shellcode) 가삽입되어있다. 그림 1-50 리다이렉트되는익스포트함수들 그림 1-48 정상파일에삽입된패치드코드엔트리포인트 (EntryPoint) 로변경된후콜패치 (Call Patch) 등의방법으로삽입된코드가실행이되며 [ 그림 1-49] 와같이 LoadLibraryA의호출을통해악의적인 DLL 파일이로드된다. 3. AppInit_DLL 레지스트리를이용한악의적인 DLL 파일로드윈도우정상 DLL 파일들을직접적으로감염시키는형태는아니지만, 온라인게임프로세스에악의적인 DLL을로드하기위해 AppInit_ DLL 레지스트리를이용하는형태다. 해당레지스트리에악의적인 DLL 파일의파일명이삽입되면프로세스가생성이될때, 레지스트리에

23 등록된악의적인 DLL 파일이로드되는형태다. 4. 온라인게임프로세스와동일한경로에윈도우정상 DLL 파일과같은파일명의악의적인 DLL 파일생성 전통적인 DLL 인젝션 (Injection) 기법중하나로, 2012년상반기에발견되기시작하여최근자주발견되고있는온라인게임관련악성코드기법이다. 주요대상이되는윈도우정상 DLL 파일로는 usp10.dll 을들수있다. 그림 1-52 널로채워진익스포트함수 최근에는 [ 그림 1-53] 과같이문자열이바로보이지않게되어있기도하다. 온라인게임관련트로이목마드로퍼 (Dropper) 가온라인게임프로세스와같은경로에악의적인 usp10.dll 파일을생성한다. 이후온라인게임프로세스가생성이될때윈도우시스템폴더 (system32) 에존재하는정상 usp10.dll 파일보다우선순위가높은 CurrentPath 에존재하는악의적인 usp10.dll 을먼저로드하게된다. 그후악의적인 usp10.dll 파일이악의적인행위를수행한뒤에정상 usp10.dll 로로드하여정상적인기능도제공하는형태로동작한다. 5. 리다이렉트 (Redirect) 대신 LoadLibrary로직접정상 DLL 파일을로드한뒤, 해당익스포트 (Export) 함수를호출하는형태각각의익스포트 (Export) 함수에서정상 DLL 파일을로드한후, GetProcAddress 함수를이용해정상 DLL 파일의익스포트 (Export) 함수주소를얻은후호출하여정상적인기능을제공한다. 이러한형태로각각의익스포트 (Export) 함수들을분석을해보면 [ 그림 1-51] 과같이백업된정상 DLL 파일의파일명인 ws2helpxp.dll 을확인할수있다. 그림 1-53 문자열은닉형태윈도우시스템정상 DLL 파일들을변조하는패치드형태악성코드들의다양한기법들을살펴보았다. 이러한패치드형태의악성코드들이자주발견되고있는이유는, 온라인게임사용자개인정보탈취하려는목적으로, 최근에는보안소프트웨어를무력화하는기능도포함되기시작했다. 특히몇년전부터온라인게임관련악성코드들은 유저모드 (User Mode) 와 커널모드 (Kernel Mode) 에걸쳐다양한기법들을이용해보안소프트웨어를무력화하는시도를하고있다. 최근에는직접보안소프트웨어를공격하기보다좀더취약하고방어하기어려운윈도우정상 DLL 파일을감염시켜보안소프트웨어를무력화하는방법을사용하고있다. 이렇듯보안소프트웨어의발전과함께, 악성코드역시다양한기법들을동원해진단및치료를어렵게하고있으며동시에직접적으로보안소프트웨어를무력화하기위한다양한기법들을사용하고있다. ZeroAccess 로도알려진 Smiscer 변형 그림 1-51 백업된정상 ws2helpxp.dll 파일 6. 각각의익스포트 (Export) 함수가널 (Null) 로채워져있거나, 인코딩 (Encoding) 되어있는형태정상 DLL 파일명을확인하기어렵도록하기위하여각각의익스포트 (Export) 함수가 [ 그림 1-52] 와같이널 (Null) 로채워져있거나인코딩 (Encoding) 되어있는형태다. 제로엑세스 (ZeroAccess) 로도알려진스미서 (Smiscer) 변형은얼마전국내언론의 " 악성코드 제로액세스, 전세계 900만대감염시켜 " 기사를통해전세계에많은감염피해를유발하고있는것으로알려졌다. ASEC에서는 9월초에발견된스미서의변형에대한상세한분석을통해이번에발견된스미서변형이어떠한방식으로동작하는지확인했다. 우선스미서변형의감염기법을이해하기위해서는 EA(Extended Attributes) 에대한이해가선행되어야한다.

24 EA(Extended Attributes) 는 HPFS(High Performance File System) 에있는기능을 NTFS에서구현해놓은것을말하며, 파일의추가적인속성을 Name=Value 처럼환경변수형태로파일에붙이는것을뜻한다. 윈도우시스템의 EA는 ZwSetEaFile 과 ZwQueryEaFile 두개의 API로해당값들을 Set 또는 Query 할수있게되며 FILE_FULL_ EA_INFORMATION 이라는구조체의링크드리스트 (Linked List) 다. EaValueLength 는 2 Byte 변수로최대 64K 바이트 (Byte) 까지값을쓸수있다. 2. Explorer.exe에코드삽입 1. 윈도우시스템정상시스템파일인 explorer.exe 에 0x430 Byte의코드를삽입하고이를실행시킨다. 이때스레드 (Thread) 를새로생성하지않고 explorer.exe의스레드 (Thread) 중에서 WaitReason 이 DelayExecution인스레드 (Thread) 를찾아이스레드 (Thread) 가삽입된코드를수행하게끔 Context에서 EIP를변조한다. 2. 삽입된코드는 Explorer.exe 프로세스에로드된 ActionCenter와 Wscntfy 모듈을언로드시키는기능을수행한다. 3. 페이로드 (Payload) 에의한 DLL 파일생성 그림 1-54 윈도우시스템의 EA(Extended Attributes) 구조 [ 그림 1-54] 와같은구조체가 [ 그림 1-55] 의형태로파일마다확장속성이부여될수있다. 예전에 ADS(Alternate Data Steam) 에데이터 (Data) 를숨겨놓았던것처럼여기에도악성코드의코드혹은데이터를저장할수있는익스플로잇 (Exploit) 이존재하며이번에발견된스미서제작자역시이를이용하였다. 1. 윈도우시스템의아래경로에접근및특정파일들을생성한다. - \??\C:\Documents and Settings\<User Name>\Local Settings\Applicatuin Data\{043A...}\ 4. 윈도우 (Windows) 보안무력화를위한스레드 (Thread) 생성 스미서는윈도우에포함되어있는보안기능들을무력화시키는데사용되는스레드 (Thread) 를하나생성한다. - 특정서비스들제거 MsMpSvc, windefend, SharedAccess, iphlpsvc, wscsvc, mpssvc, bfe - 특정프로세스강제종료 wscntfy.exe, MSASUci.exe, MpCmdRun.exe, NisSrv.exe, msseces.exe 그림 1-55 윈도우시스템에서파일쓰기 이번에발견된스미서변형은다음과같은기능들을가지고있다. 1. 윈도우 (Windows) 보안프로세스들의스레드 (Thread) 중지스미서변형에감염되면 [ 표 1-6] 의윈도우시스템의보안프로세스들의스레드 (Thread) 를중지한다. 5. CMD 프로세스를생성하여코드삽입스미서는 CMD 프로세스를생성하여, 해당프로세스의스택 (Stack) 에데이터를삽입한다. 아래와같은특정 API들의파라미터를차례로스택 (Stack) 에넣어별도의코드없이 API 만으로스미서자신의프로세스가종료된이후에는 Cmd가자신파일을삭제할수있게끔조작한다. - ZwClose -> ZwDelayExecution -> ZwSetInformation -> ZwClose 6. 외부네트워크에존재하는시스템으로접속시도 표 1-6 스미서의강제종료대상프로세스 스미서에감염된시스템은외부네트워크에있는 promos.fling. com 도메인을가진시스템에역접속하여감염시스템의운영체제정보및스미서의동작진행상황들을전송한다.

25 7. 자신의복제본및허위 InstallFlashPlayer 생성스미서는자신의복제본을 DLL 파일의속성만부여한후에 msimg32.dll 이라는파일명으로생성한다. 이후 Explorer.exe 프로세스에의해로드되며허위 InstallFlashPlayer 를생성한다. 8. ExitProcess의후킹 (Hooknig) 스미서는수집된정보들을제작자에게전송하기전에프로세스가강제로종료되는것을막기위해 ExitProcess를후킹한다. 9. Services.exe를감염스미서가 EA(Extended Attributes) 를이용하는부분은 Services.exe 를감염시킬때로 Services.exe의중간에 0x300 바이트 (Byte) 를자신의코드로덮어쓴다. 여기서덮어쓰여진코드는자신파일 (Services. exe) 에서스미서드로퍼 (Dropper) 가생성해놓은 EA(Extended Attributes) 데이터를읽는역할을수행한다. 이 EA(Extended Attributes) 데이터에는페이로드 (Payload) 를수행하는코드와패치 (Patch) 한 0x300 바이트 (Byte) 의원본코드를포함하고있다. 따라서정확한치료를위해서는 EA(Extended Attributes) 를읽어이 0x300 바이트 (Byte) 를찾아원래위치로복구해주어야한다. [ 그림 1-56] 은이부분의동작에대한간단한도식이다. IFEO(Image File Execution Options) 의원래목적은 Debugging 등의용도로사용하기위한기능이다. 좀더자세하게살펴보면, 일반적으로윈도우에서프로세스를시작시키는 CreateProcess 함수는실행파일의이미지를먼저찾은후아래 IFEO 레지스트리에경로를확인한다. 확인후, 서브키값중에실행파일의이미지와 IFEO에등록된실행파일이미지가같은경우, 해당키값의디버거의이미지로교체하고다시실행했던실행파일의이미지를찾는다. 이런특징을이용하면서비스를디버깅할때, 서비스가처음시작되는시점에디버거를붙일수있다. [ 레지스트리경로 ] - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\Image File Execution Options 이는간단한테스트를통해쉽게파악할수있다. [ 그림 1-57] 은 IFEO 레지스트리경로에 notepad.exe 를등록한화면으로이와같이등록을해놓으면노트패드가실행이되지않는것을확인할수있다. 그림 1-57 노트패드가실행되지않도록값설정 실제악성코드에서도 [ 그림 1-58] 과같이레지스트리값을변경하여백신제품의실행을방해하는사례들이있다. 그림 1-56 스미서에의한 services.exe 감염과동작구조앞서언급한바와같이제로엑세스 (ZeroAccess) 로도알려진스미서 (Smiscer) 변형은윈도우시스템에존재하는정상파일인 services. exe 를감염및외부에존재하는시스템에접속하여제작자가내리는악의적인명령들을수행하게된다. 그리고 EA(Extended Attributes) 를이용함으로써치료가어렵도록제작되어있다. 안랩에서는스미서변형에대한정확한진단및치료를위해 Win-Trojan/Smiscer 전용백신을제작하여배포하고있다. 그림 1-58 V3가실행되지못하도록설정된레지스트리위와같이레지스트리값이변경되어정상적인프로그램을사용할수없을때레지스트리값을수동으로삭제해도된다. 하지만 RegFix Tool 을이용한해결방법을권장한다. [RegFix Tool] - 다운로드 URL : http://www.ahnlab.com/kr/site/download/ vacc/vaccview.do?seq=83 참고로 RegFix Tool 은 관리자권한 으로실행해야하며실행후 [ 그림 1-59] 와같은 치료성공 또는 실패 메시지만출력된다. IFEO 를이용하는악성코드 온라인게임핵악성코드들은백신제품을무력화시키기위해많은방법을사용하고있다. 그중하나로, 백신제품의무력화는것은아니지만실행을방해하기위해악성코드들은 IFEO(Image File Execution Options) 를이용한다. 그림 1-59 치료완료화면

26 해당프로그램은 IFEO 의값치료뿐아니라, 다음과같은경우에도사용할수있다. - taskmgr 사용금지해제 - regedit 사용금지해제 - 폴더옵션변경사용금지해제 - 시작 -> 실행사용금지해제 - CMD 사용금지옵션해제 - 시스템복원설정변경금지해제 - 시스템복원사용금지해제 [2] 레지스트리의 Image File Execution Options 조작 [3] 보안제품의 UnInstall 파일을이용한실시간감시비활성화이벤트전송 [3] 항목은 [ 그림 1-62] 와같이생성된특정윈도우 ( 보안제품의실시간감시관련 ) 가실행중인지체크하고존재하면해당윈도우에 (Y) 클릭 이벤트를전송한다. 그림 1-62 특정윈도우찾기 그림 1-60 치료된레지스트리 Bootkit Story Part 1. 모체를찾아라! mgr.exe(backdoor/win32.nbdd) 의재감염증상은 Bootkit에의해서발생한다. Bootkit은감염된 PC의 MBR(Master Boot Record, OS 부팅에필요한정보들이저장 ) 영역을변조, 부팅할때마다 OS가악성코드를생성하게하므로재감염증상이발생하게된다. 악성코드모체가보안제품을무력화하기위해서사용한 1과 3) 의방법은보안제품들에서방어가가능하며, 2는보안제품자체를공격하는것이아니라감염된 PC의윈도우레지스트리를조작하는경우다. 2와같은경우는아래페이지의 Registry Fix Tool을이용하면해결이가능하다. - http://www.ahnlab.com/kr/site/download/vacc/vaccview. do?seq=83 2. 온라인게임핵다운로드모체도다른악성코드들처럼중요코드 ( 다운로드주소 ) 등이암호화되어있으며, [ 그림 1-63] 의코드를통해복호화된다. 감염된 PC의 MBR영역을변조하여 mgr.exe를지속적으로생성하는모체의기능은 5가지로요약해볼수있다. 1. 보안제품을무력화하는 Thread 생성 2. 온라인게임핵다운로드 3. MBR(Master Boot Record) 변조 4. 드라이버생성및실행 5. 감염된 PC의정보전송 1. 보안제품을무력화하는 Thread 생성 그림 1-63 복호화루틴 [ 그림 1-63] 에서복호화된주소는다음과같으며해당텍스트에는다른악성코드를다운로드하는주소등여러가지정보가저장되어있다. - http://dgjnd******.info/down.txt 그림 1-61 보안제품무력화를위한 Thread 생성 생성된 Thread는 V3Lite와다른보안제품등을무력화하기위하여다음의 3가지방법을사용한다. [1] Taskkill 명령어를이용한보안제품프로세스강제종료 그림 1-64 down.txt 에포함된내용

27 3. 감염된 PC의 MBR영역변조악성코드모체의핵심기능은감염된 PC의 MBR 영역을변조하여부팅시마다악성코드를계속생성하는것이다. 모체는 MBR 영역을조작하기위해서 CreateFileA() 함수를이용하여 MBR 영역이존재하는물리적인디스크 (PHYSICALDRIVE0) 에접근한다. 4. 드라이버생성및서비스실행 악성코드의드라이버생성목적은조작된 MBR 영역보호및디버깅방지등이다. 그림 1-69 드라이버생성 그림 1-65 PHYSICALDRIVE0 에접근하기위한 CreateFileA() 호출 그리고 [ 그림 1-66] 과같이 WriteFile() 함수를사용하여물리적인디스크 (PHYSICALDRIVE0) 에코드를덮어쓴다. 5. 감염된 PC 의시스템정보전송 악성코드는동작을수행한후감염된 PC의 MAC주소와악성코드의버전정보를조합하여특정사이트에전송한다. 그림 1-66 WriteFile() 를호출하여 MBR 영역덮어쓰기 감염된 PC의 MBR 영역조작시사용한코드의사이즈는 0x7800h이며, 조작된 MBR영역의구조는 [ 그림 1-67] 과같다. 그림 1-70 감염된 PC의 NIC정보얻기아래는정보전송의예다. - http://dgjnd*****.info/clcount/count.asp?mac=00c031298733 20&ver=2011112601] <V3 제품군의진단명 > Win-Trojan/Agent.50841 (2012.08.09.04) Backdoor/Win32.Nbdd (2012.07.29.00) 그림 1-67 변조된후 MBR 영역을포함한구조 [ 그림 1-67] 에서감염된 PC의원본 MBR은 58번섹터에암호화되어백업된다. 그림 1-68 58 번섹터에백업된원본 MBR

SECURITY TREND 28 01 보안동향 보안통계 10 월마이크로소프트보안업데이트현황 11 12 01 02 03 04 05 06 07 08 09 10 2012년 10월 MS에서발표한보안업데이트는총 8건으로긴급 1건, 중요 7건이다. 이번취약점들을이용한공격이보고된적은없으며, 위험도긴급인 MS Word 취약점 (MS12-064) 은악의적으로사용될가능성이높으므로신속한업데이트가필요하다. 5 4 3 2 1 0 5 4 3 2 1 0 긴급 MS12-064 Word의취약점으로인한원격코드실행문제점 2건중요 MS12-065 Works의취약점으로인한원격코드실행문제점 MS12-066 HTML 삭제구성요소의취약점으로인한권한상승문제점 MS12-067 FAST Search Server 2010 for SharePoint의구문분석취약점으로인한원격코드실행 MS12-068 커널의취약점으로인한권한상승문제점 MS12-069 Kerberos의취약점으로인한서비스거부문제점 MS12-070 SQL Server의취약점으로인한권한상승문제점 5 4 3 2 1 0 5 4 3 2 1 0 5 4 3 2 1 0 표 2-1 2012 년 10 월주요 MS 보안업데이트 그림 2-1 공격대상기준별 MS 보안업데이트 (2011.11-2012.10)

SECURITY TREND 29 02 보안동향 보안이슈 Adobe 사의유출된 code signing 악용사례발생 2012월 9월 27일경 Adobe사는자사의제품에사용하는 code signing certificate가외부의공격으로유출되어총 3개의악성코드를 code signing하는데악용되었다는보안권고문을발표했다. - Security Advisory: Revocation of Adobe code signing certificate - http://www.adobe.com/support/security/advisories/apsa12-01. html 그림 2-3 PwDump7의옵션아래경로에존재하는파일들로부터 Windows OS 시스템의로그인계정정보 ( 암호화된형태 ) 를추출한다. - 000119C0 004119C0 0 %s\system32\config\ SYSTEM - 000119DC 004119DC 0 %s\system32\config\ SAM 그림 2-4 PwDump7 의실행화면 2. libeay32.dll - 파일크기 : 999 KB (1,023,168 bytes) - 파일기능 : 애초 libeay32.dll 은 http://www.openssl.org에서배포한파일로범용으로사용되나 Adobe사의 code signing certificate 로사이닝된 libeay32.dll은 PwDump7.exe를실행하기위해서커스텀된 DLL이다. 그림 2-2 유출된 Adobe 인증서로 Signing된악성코드이번이슈와관련된세개의악성코드파일정보는아래와같다. 1. PwDump7.exe: - 파일크기 : 81.6 KB (83,648 bytes) - 파일기능 : PwDump7.exe은 Windows OS 시스템의로그인계정정보를탈취하기위한일종의해킹도구로해당파일을실행하면 [ 그림 2-3] 과같은옵션을사용한다. 3. mygeeksmail.dll - 파일크기 : 80.6 KB (82,624 bytes) - 파일기능 : mygeeksmail.dll는 IIS 서비스의모듈로동작하며 HttpExtensionProc() 를통해해당서버로전송되는클라이언트요구를분석하여특정작업을수행하는역할을한다. <V3 제품군의진단명 > Win-Trojan/Pwdump.83648 (V3, 2012.10.04.04) Win-Trojan/Adbposer.1023168 (V3, 2012.10.05.03)

SECURITY TREND 30 Win-Trojan/Agent.82624 (V3, 2012.10.04.04) 미국금융기업 DDoS 공격 2012년 9월에미국금융기업들을타깃으로하는 DDoS 공격이있었다. 9월 19일 Bank of America과 JPMorgan Chase 웹사이트공격을시작으로 9월 25일 Wells Fargo, 9월 26일 U.S. Bank, 9월 27일 PNC 웹사이트공격이차례로시도됐다. 해당 DDoS 공격에는악성코드에감염된좀비시스템이동원되었다고알려져있으며, V3는 Spyware/Win32.Zbot, Trojan/Win32.Zbot 이라는진단명으로진단한다. 또한이들의공격에는 DDoS 방어장비의탐지를우회하기위하여정상적으로암호화된 request 패킷을사용하였으며, 공격받은웹사이트들은평상시보다 10배에서 20배정도의패킷요청을받은것으로알려졌다. 종교를모욕하는영화인 이슬람교도들의무지 에대한보복으로이란또는이슬람국가들이미국을상징하는금융기업들을대상으로공격했다는의견이있었으나, 이란은이러한주장을부인하고있다. 우리나라도 2009년 7월 7일과 2011년 3월 4일정부기관과금융기업을대상으로한 DDoS가발생했으며, 매년삼일절과광복절에특정국가로부터반복적인 DDoS 공격을받고있다. 이러한경향으로미뤄, 앞으로정치적인이유로인해발생하는사이버공격이점차증가할것으로보인다. 그림 2-6 대상 URL과피싱사이트 URL 리스트그림 2-6] 은피싱사이트에서도용한국내주요금융기업들의로고들로, 허위공인인증서에삽입되어있어사용자가정상적인사이트에로그인하는것으로속기쉬우며악성코드설치시함께생성이된다. 그림 2-7 허위공인인증서에사용이되는금융기업로고이미지들 개인금융정보탈취를노리는 Banki 트로이목마변형국내사용자의개인금융정보탈취를위해제작된악성코드 Banki의변형이지속적으로발견되고있다. 이번변형은 hosts 파일을수정한뒤사용자가지정된인터넷뱅킹사이트에접속하기를기다리는것이아닌, 능동적으로사용자가접속하도록유도한다는점에서방법이더욱지능화됐다. [ 그림 2-5] 는사용자가은행사이트에접속하도록유도하는팝업메시지다. 악성코드는정상적인 tbw-42.gnway.net 사이트에서악성코드배포되기시작했으며, 설치되는파일은 Sad.exe, capiom.dll, Demos. exe, MyKB.exe등네개의파일이다. 10월현재모든파일은 V3에서 Trojan/Win32.Banki 로진단된다. 그림 2-5 사용자의접속을유도하는팝업메시지 피해시스템의사용자가은행에접속할때악성코드는임의로구성해놓은악의적인피싱사이트로접속을유도하여, 사용자의금융정보를탈취한다. [ 그림 2-6] 은유도되는사이트목록이다. 그림 2-8 Banki 트로이목마설치흐름및구성도 위사항들로볼때, 악성코드제작자는금융정보탈취를목적으로변형을만들고있으며, 갈수록지능화될것으로보인다.

WEB SECURITY TREND 31 01 웹보안동향 웹보안통계 악성코드유포웹사이트는감소추세안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하면, 2012년 10월에악성코드를배포하는웹사이트를차단한건수는총 1만 4862건이었다. 악성코드유형은 282종, 악성코드가발견된도메인은 163개, 악성코드가발견된 URL은 608개였다. 이는 2012년 9월과비교해서전반적으로감소한수치다. 악성코드배포 URL 차단건수 9,331 14,862 09 10 +59.3% 악성코드유형악성코드가발견된도메인악성코드가발견된 URL Graph 308 181 637 308 282 282 163 608 181 163 637 608 표 3-1 2012 년 10 월웹사이트보안현황 월별악성코드배포 URL 차단건수 2012년 10월악성코드배포웹사이트 URL 접근에대한차단건수는지난달 9331건에비해 59% 증가한 1만 4862건이었다. 15,000 10,000 5,000 6,998 11.9% +2,333 9,331 33.3% +5,531 14,862 59.3% 0 8 9 10 그림 3-1 월별악성코드배포 URL 차단건수변화추이

WEB SECURITY TREND 32 월별악성코드유형 2012년 10월의악성코드유형은전달의 308건에비해 8% 감소한 282건이었다. 500 250 328 17.6% -20 308 282 6.1% 8.4% -26 0 8 9 10 그림 3-2 월별악성코드유형수변화추이 월별악성코드가발견된도메인 400 2012년 10월악성코드가발견된도메인은 163건으로 2012년 9월의 181건에비해 10% 감소 300 200 170 19.4% 181 163 6.5% 9.9% +11-18 했다. 100 0 8 9 10 그림 3-3 월별악성코드가발견된도메인수변화추이 월별악성코드가발견된 URL 2012년 10월악성코드가발견된 URL은전월의 637건에비해 5% 감소한 608건이었다. 1,000 500 795 4.3% -158 637 608 19.9% 4.6% -29 0 8 9 10 그림 3-4 월별악성코드가발견된 URL 수변화추이

WEB SECURITY TREND 33 악성코드유형별배포수악성코드유형별배포수를보면트로이목마가 1만 665 건 /71.8% 로가장많았고, 애드웨어가 2008건 /13.5% 인것으로조사됐다. 유형 건수 비율 TROJAN 10,665 71.8 % ADWARE 2,008 13.5 % DROPPER 544 3.7 % DOWNLOADER 224 1.5 % APPCARE 77 0.5 % Win32/VIRUT 46 0.3 % SPYWARE 15 0.1 % JOKE 6 0.1 % ETC 1,277 8.5 % TOTAL 14,862 100 % 표 3-2 악성코드유형별배포수 TROJAN 10,665 5,000 ADWARE 2,008 ETC 1,277 2,500 DROPPER 544 DOWNLOADER 224 APPCARE 77 Win32/VIRUT 46 SPYWARE 15 JOKE 6 0 그림 3-5 악성코드유형별배포수 악성코드최다배포수악성코드배포최다 10건중에서 Trojan/Win32.ADH가 6664건으로가장많았고 Win- Adware/KorAd.863335등 4건이새로등장했다. 순위 등락 악성코드명 건수 비율 1 2 Trojan/Win32.ADH 6,664 54.6 % 2 NEW Win-Adware/KorAd.863335 1,812 14.8 % 3 1 Win-Trojan/Shortcut.631074 1,806 14.8 % 4 NEW Dropper/Win32.Mudrop 414 3.4 % 5 NEW Win-Trojan/Agent.209062 339 2.8 % 6 2 ALS/Qfas 265 2.2 % 7 1 ALS/Bursted 234 1.9 % 8 4 Trojan/Win32.Agent 233 1.9 % 8 7 Trojan/Win32.Spreader 233 1.9 % 10 NEW Win-Trojan/Agent.158168 206 1.7 % TOTAL 12,206 100 % 표 3-3 악성코드대표진단명최다 20 건

WEB SECURITY TREND 34 02 웹보안동향 웹보안이슈 2012년 10월침해사이트현황표 3-4 2012년월별침해사이트현황 [ 표 3-4] 는악성코드유포를목적으로하는침해사고가발생했던사이트들의월별현황으로, 10월의경우전월에비해대폭감소하였으며원인은아래두가지로추정해볼수있다. [1] 10월에는명절이있어악성코드유포주춤 [2] 주말마다악성코드를유포했던특정언론사의유포멈춤 트의수가전월에비해서대폭감소했다. 1위를차지한 Trojan/Win32.Rootkit ( 이하 Rootkit) 은 9개사이트 ( 주로방송 & 언론사등 ) 를통해유포되었다. Rootkit으로진단되는파일명은 ahnurl.sys파일이며일부백신의동작을방해하기위한목적을가진드라이버다. 일반적으로주말에해킹된사이트를통해서유포된악성코드는주로특정온라인게임사용자의계정정보를탈취한목적을가진트로이목마와백신의동작을방해하는드라이버가한세트였다. 그러나 [ 표 3-5] 를보면트로이목마인Win-Trojan/Xyligan.51778가 10 위에랭크되어있는데해당트로이목마는아래와같은기능을가지고있다. 1. svchost.exe를사용하는서비스 Parameter로실행되도록레지스트리에추가 [2] 의경우일시적인현상인지아니면보안문제등을해결하여외부공격을차단한것인지는확실치않으며조금더주시하는것이필요하다. 침해사이트를통해서유포된악성코드최다 10 건 그림 3-6 svchost.exe 를사용하는서비스로등록하는레지스트리키 순위 악성코드명 건수 1 Trojan/Win32.Rootkit 9 2 Trojan/Win32.OnlineGameHack 6 3 Trojan/Win32.OnlineGameHack 6 4 Win-Trojan/Malpacked3.Gen 6 5 Dropper/Onlinegamehack.210432 6 6 Trojan/Win32.OnlineGameHack 5 7 Win-Trojan/Malpacked3.Gen 5 8 Trojan/Win32.OnlineGameHack 5 9 Win-Trojan/Genome.43802 4 10 Win-Trojan/Xyligan.51778 4 표 3-4 침해사이트를통해서유포된악성코드최다 10건 [ 표 3-5] 는 10월 1개월동안유포되었던악성코드최다 10건으로위 에서언급한두가지이유때문에각악성코드를유포했던침해사이 2. 아래경로에존재하는파일로부터 PhoneNumber, DialParamsUID, Device등의정보를탈취 - Microsoft\Network\Connections\pbk\rasphone.pbk - Application Data\Microsoft\Network\Connections\pbk\ rasphone.pbk 3. 특정사이트에접속 - http://downer.*******.com/count.asp?mac=[ 맥주소 ] ver=fuck : 시스템정보전송 - http://downer. *******.com/rmt.exe : 파일다운로드 4. 보안프로그램종료시도 - 국내백신을포함한일부보안프로그램의동작을방해시도

ASEC REPORT CONTRIBUTORS 집필진 선임연구원 안창용 선임연구원 이도현 선임연구원 장영준 주임연구원 이주석 주임연구원 문영조 연구원 강민철 연구원 김승훈 연구원 김재홍 연구원 김혜선 참여연구원 ASEC 연구원 SiteGuard 연구원 편집장선임연구원안형봉 편집인 안랩세일즈마케팅팀 디자인 안랩 UX 디자인팀 감수전무조시행 발행처 주식회사안랩경기도성남시분당구삼평동 673 ( 경기도성남시분당구판교역로 220) T. 031-722-8000 F. 031-722-8901 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved.