Security Trend ASEC Report VOL.51 March, PDF Free Download

Security Trend ASEC Report VOL.51 March, 2014

ASEC Report VOL.51 March, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2014 년 3 월보안동향 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 Table of Contents 4 6 7 2 보안이슈 SECURITY ISSUE 01 검색포털사이트를악용한악성코드유포... 주의! 02 PDF 문서로위장한악성코드유포 03 사내메일주소로온메일에악성코드가? 10 12 14 3 악성코드상세분석 ANALYSIS IN-DEPTH 01 APT 악성코드, 새로운 KIMSUKY 등장 17 ASEC REPORT 51 Security Trend 2

1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 ASEC REPORT 51 Security Trend

보안통계 01 악성코드통계 Statistics ASEC 이집계한바에따르면, 2014 년 3 월한달간탐지된악성코드수는 435 만 2551 건으로나타났다. 이 는전월 319 만 7274 건에비해 115 만 5277 건증가한수치다. 한편 3 월에수집된악성코드샘플수는 307 만 7664 건이다. 7,000,000 6,000,000 5,000,000 5,404,470 4,000,000 4,352,551 3,000,000 3,197,274 2,000,000 1,000,000 5,753,051 3,044,669 탐지건수 0 샘플수집수 3,077,664 1 월 2 월 3 월 [ 그림 1-1] 악성코드추이 [ 그림 1-1] 의악성코드추이건수와관련해 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성 코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드샘플수를의미한다. ASEC REPORT 51 Security Trend 4

[ 그림 1-2] 는 2014 년 3 월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그램인 PUP(Potentially Unwanted Program) 가 47% 로가장높은비중을차지했고, 트로이목마 (Trojan) 가 37.4%, 광고목적의프로그램인애드웨어 (Adware) 가 10.1% 의비율로그뒤를이었다. 47% 959,322 5.5% 110,948 37.4% 762,239 10.1% 206,769 PUP Trojan Addware Malware [ 그림 1-2] 주요악성코드유형 [ 표 1-1] 은 3 월한달간가장빈번하게탐지된악성코드 10 건을진단명기준으로정리한것이다. Trojan/Win32.Agent 가총 23 만 833 건으로가장많이탐지되었고, Trojan/Win32.OnlineGameHa ck 이 22 만 9992 건으로그뒤를이었다. [ 표 1-1] 악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드명 건수 1 Trojan/Win32.Agent 230,833 2 Trojan/Win32.OnlineGameHack 229,992 3 ASD.Prevention 210,726 4 Trojan/Win32.Starter 92,215 5 PUP/Win32.SearchKey 82,651 6 Trojan/Win32.TopTool 76,627 7 Adware/Win32.KorAd 73,982 8 Trojan/Win32.Downloader 64,322 9 Trojan/Win32.Depok 62,944 10 Unwanted/Win32.Webcompass 58,598 ASEC REPORT 51 Security Trend 5

보안통계 02 웹통계 Statistics 2014년 3월에악성코드유포지로악용된도메인은 3136개, URL은 3만 8547개로집계됐다. 또한 3월의악성도메인및 URL 차단건수는총 999만 451건이다. 악성도메인및 URL 차단건수는 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 지난달보다웹사이트를통한악성코드유포가확산되고있어인터넷이용자의주의가요구된다. 1,000,000 9,422,446 9,990,451 800,000 600,000 7,497,960 50,000 40,000 41,006 38,735 38,547 30,000 20,000 10,000 3,112 2,555 3,136 악성도메인 /URL 차단건수 악성코드유포 URL 수 0 1 월 2 월 3 월 악성코드유포도메인수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 ASEC REPORT 51 Security Trend 6

보안통계 03 모바일통계 Statistics 2014 년 3 월한달간탐지된모바일악성코드는 10 만 3892 건으로나타났다. 250,000 234,986 200,000 150,000 100,000 100,895 103,892 50,000 0 1 월 2 월 3 월 [ 그림 1-4] 모바일악성코드추이 ASEC REPORT 51 Security Trend 7

[ 표 1-2] 는 3월한달간탐지된모바일악성코드유형중상위 10건을정리한것이다. 애플리케이션설치프로그램으로위장하여문자전송등을통해수익을도모하거나실제악성코드를설치하는악성앱 (Android- Trojan/FakeInst, Android-Trojan/OpFake 등 ) 이여전히높게나타나고있어사용자들의지속적인주의가필요하다. 또한 PUP 유형도꾸준히상위권을유지하고있다. [ 표 1-2] 유형별모바일악성코드탐지상위 10 건 순위악성코드명건수 1 Android-Trojan/FakeInst 29,779 2 Android-Trojan/Opfake 9,363 3 Android-PUP/Dowgin 8,912 4 Android-PUP/Wapsx 5,324 5 Android-Axen/Prevention 5,224 6 Android-PUP/Airpush 4,301 7 Android-Trojan/Mseg 3,474 8 Android-Trojan/SMSAgent 3,164 9 Android-Trojan/GinMaster 2,084 10 Android-PUP/Leadbolt 1,811 ASEC REPORT 51 Security Trend 8

2 보안이슈 SECURITY ISSUE 01 검색포털사이트를악용한악성코드유포... 주의! 02 PDF 문서로위장한악성코드유포 03 사내메일주소로온메일에악성코드가? ASEC REPORT 51 Security Trend

보안이슈 01 검색포털사이트를악용한악성코드유포... 주의! Security Issue 인터넷이용자들의개인정보를노리는다양한악성코드가지속적으로제작및유포되는가운데, 지난 3 월에는특정검색포털사이트접속시악성코드유포증상이탐지되었다. 트가나타나도록하였다. 그림 2-3 main.js 에삽입된악성 iframe 그림 2-1 검색포털사이트접속시발생한패킷 [ 그림 2-1] 의 1, 2는정상적인흐름이지만 3과 4 는비정상적인흐름이다. 한편검색포털사이트의메인페이지인 1에는주요기능의자바스크립트를가지고있는 main.js를포함하고있다 ([ 그림 2-2]). 그림 2-2 메인페이지에포함된 main.js 공격자는메인페이지접속시자동으로호출되는이 main.js에악성 iframe을삽입하여해당검색포털사이트에접속하는모든사용자에게악성스크립 삽입된악성페이지 http://1**.1*9.1*7.116/ css /index.html은 Gongda Exploit Kit으로난독화되어있다. 그림 2-4 Gongda 패킹이되어있는 index.html 난독화되어있는해당페이지는두번의복호화과정을거친다. 최종적으로인터넷익스플로러 (IE), 자바 (Java), 플래시플레이어 (Flash player) 의취약점확인후취약점이발견되면아래와같은추가익스플로잇 (Exploit) 을다운로드및실행한다. ASEC REPORT 51 Security Trend 10

응용프로그램 자바 취약점 CVE-2011-3544, CVE-2012-0507, CVE-2012-1723, CVE-2012-4681, CVE-2012-5076, CVE-2013-0422 CVE-2013-2465 3. QQ 서비스접속후파밍서버 IP 를받아옴 - QQ 서비스를이용하여파밍서버 IP 를관리하기 때문에쉽게변경할수있다. 플래시플레이어 CVE-2013-0634 인터넷익스플로러 CVE-2012-1889 표 2-1 index.html이사용하는취약점리스트 위의 [ 표 2-1] 과같이총 9 개의취약점이준비되어있다. 그림 2-8 중국블로그서비스로파밍서버 IP 관리 4. 호스트 (hosts) 파일변조 - 변조된호스트파일을확인해보면 null 값을대량으로입력하여빈줄을추가하기때문에변경된것이없는것처럼보인다. 그림 2-5 자바취약점 CVE-2012-1723 의예시 위와같은취약점을이용하여 PC에다운로드및실행되는 xx.exe는아래와같은기능을수행한다. 1. xx.exe를특정폴더에복사후자기자신을삭제 (C:\Program Files\Common, Files\ 와C:\D OCUME~1\ADMINI~1\LOCALS~1\Temp\1 5193187\...\) 그림 2-6 xx.exe 의생성및삭제파일 2. 시스템재시작시자동실행을위한레지스트리등록 그림 2-9 변조된호스트파일 5. 백그라운드로동작하며 QQ 서비스에지속적으로접속및호스트파일갱신위의과정을통해감염된컴퓨터에서사용자가해당 URL로접속을시도하면변조된 IP로연결된다. 현재는해당 IP에정상적으로접속이되지않기때문에확인해볼수없지만해당 IP를통해보안카드번호와계정탈취가이루어졌을것으로추정된다. V3 제품에서는관련악성코드를다음과같이진단한다. 그림 2-7 레지스트리등록 <V3 제품군의진단명 > Trojan/Win32.Potukorp(2014.03.06.05) Java/Cve-2012-1723 (2014.03.11.00) JS/Exploit (2014.03.11.00) ASEC REPORT 51 Security Trend 11

보안이슈 02 PDF 문서로위장한악성코드유포 Security Issue 최근 PDF 파일로위장한악성코드가스팸메일을통해전파되고있어사용자들의주의가요구되고있다. 지난 3월, 특정기업에서수신한해당스팸메일의내용은아래와같다. 사용자가해당파일을 PDF 파일로착각하여실행하면악성코드는자기자신을무작위문자열폴더및파일이름으로복제한다. 생성되는모든파일명또한무작위문자열로이루어진다. C:\Documents and Settings\Administrator\Local Settings\Temp\Rawui\etupeb.exe C:\WINDOWS\system32\drivers\5bec78.sys C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ QBL7133.bat 그림 2-10 허위 PDF 파일이첨부된스팸메일 해당메일은 벌금을확인하라 는내용으로, 첨부된파일을열어볼것을유도하고있다. 첨부된파일은아이콘모양이나 [ 폴더옵션 ]>[ 알려진파일형식의확장자명숨기기 ] 옵션이체크된상태에서는확장자명이드러나지않아 PDF 파일처럼보인다. 그러나해당파일의확장자명은윈도화면보호기파일인.scr 로위장하고있다. 그림 2-11 스팸메일에첨부된악성코드 그림 2-12 파일생성 악성코드는레지스트리에키값을생성하여부팅시마다자동실행및생성된드라이버파일을서비스로동작하도록설정한다. 또한방화벽에예외처리된특정포트를오픈한다. HKCU\Software\Microsoft\Windows\CurrentVers ion\run\etupeb HKLM\SYSTEM\ControlSet001\Services\5bec78\ ImagePath "\??\C:\WINDOWS\system3 2\drivers\5bec78.sys" HKLM\SYSTEM\ControlSet001\Services\Shared ASEC REPORT 51 Security Trend 12

Access\Parameters\FirewallPolicy\StandardProf ile\disablenotifications HKLM\SYSTEM\ControlSet001\Services\Shared Access\Parameters\FirewallPolicy\StandardProf ile\globallyopenports\list\4876:udp HKLM\SYSTEM\ControlSet001\Services\Shared Access\Parameters\FirewallPolicy\StandardProf ile\globallyopenports\list\8684:tcp 그림 2-13 레지스트리등록 C:\Documents and Settings\Administrator\ Application Data\Microsoft\AddressBook\ Administrator.wab C:\Documents and Settings\Administrator\Local Settings\Application Data\Identities\ {3F749BE0-B4EC-4137-97CE-AB5390613690}\ Microsoft\Outlook Express\ 받은편지함.dbx 그림 2-16 접근경로 서비스에등록된드라이버파일은자신을숨기기위해다른무작위문자열파일명의드라이버파일을같은경로에생성하여로드하고자기자신은삭제한다. 그림 2-17 악성코드가접근을시도하는파일 그림 2-14 드라이버파일삭제및로드 추가로, 아래 [ 그림 2-15] 와같이네트워크연결시도 또한확인되었다. 이러한악성코드감염을예방하기위해서는출처를알수없는메일에첨부된파일은실행하지않는것이바람직하며, 불가피하게실행해야할경우에는백신제품으로검사한후에실행하는것이좋다. V3 제품에서는관련악성코드를다음과같이진단한다. 그림 2-15 네트워크연결시도 이외에도 AddressBook 폴더에사용자주소록을저장하는 Administrator.wab 파일과아웃룩 (Outlook) 폴더의편지함파일들에접근한다. 이는아웃룩을이용하는사용자정보나저장된메일의주소정보에접근하려는시도로보인다. <V3 제품군의진단명 > Trojan/Win32.Zbot(2014.03.12.03) Backdoor/Win32.Necurs(2014.03.15.00) ASEC REPORT 51 Security Trend 13

보안이슈 03 사내메일주소로온메일에악성코드가? Security Issue 악성파일을첨부한스팸메일중에서특정한공격목표를정해사회공학기법을이용하여공격하는사례가종종발견되어왔다. 최근에발견된사례에서는영국의주요은행중하나인 NatWest(National Westminster Bank) 가공격목표가된것으로보인다. 의압축파일형태로되어있으며, 압축을해제하면 [ 그림 2-19] 와같이 PDF 아이콘모양의실행파일 (exe) 이나타난다. [ 그림 2-18] 을보면발신자와수신자의메일주소가 natwest.com 로, 회사메일주소와동일한것을확인할수있다. 회사메일주소로위장함으로써사용자로하여금별다른의심없이파일을실행하도록유도한것이다. 그림 2-19 첨부된악성파일 해당악성파일에감염되면 [ 그림 2-20] 과같은파일및프로세스정보가생성된다. 그림 2-18 악성파일이첨부된메일전문 해당메일은 SecureMessage 라는보안관련제 목으로위장하였다. 메일에첨부된파일은 ZIP 형식 SecureMessage.exe Create ProcessC:\DOCUME~1\ADMINI~1\LOCALS~1\ Temp\ccpin.exe SecureMessage.exe Process Start 그림 2-20 파일및프로세스정보생성 ASEC REPORT 51 Security Trend 14

해당악성코드는자기자신을 %Temp% 폴더에 ccpin.exe 라는이름의파일을생성한후실행한다. SecureMessage.exe Global Hook(WH_KEYBOARD) SetWindowsHookExA SecureMessage.exe Global Hook(WH_MOUSE) SetWindowsHookExA 그림 2-22 SetWindowsHookExA 의정보 그러나 C&C 에대한정보는확인되지않았다. 그림 2-21 생성되는프로세스 이렇게실행된해당악성파일은 SetWindowsHookExA를통해키보드및마우스정보를후킹하는것으로확인되었다. 한편 V3 제품에서는관련악성코드를다음과같이진단한다. <V3 제품군의진단명 > Spyware/Win32.Zbot (2014.03.28.00) ASEC REPORT 51 Security Trend 15

3 악성코드상세분석 ANALYSIS IN-DEPTH APT 악성코드, 새로운 KIMSUKY 등장 ASEC REPORT 51 Security Trend

악성코드상세분석 01 APT 악성코드, 새로운 KIMSUKY 등장 Analysis In-Depth 지난 2013년 9월 The Kimsuky Operation: A North Korean APT? 라는제목으로국내주요기관을대상으로한 APT 공격에대해소개된적이있다 (Kaspersky Lab, 2013.09.11). 해당공격에사용된악성코드는 한글취약점악용문서파일 원격제어툴 (TeamViewer) 키로깅 (Key logging) 웹메일계정을통한공격자와의통신등의특징을갖고있다. 2014년 2월 25일, 당시공격에사용된악성코드와동일한유형의파일들이확인되었으며, 이는 2차공격을위한것으로추정된다. 지난해와동일하게이번에발견된악성코드도취약한한글문서파일을통해최초로감염되었다. 지난 2월부터시작된이러한유형의공격이 3월과 4월에도지속적으로이루어지고있음을알수있다. 본문서를통해이공격의주요특징에대해알아보자. 이이루어지고있음을의미한다. (1) 소위자료 (2014.2.25)_ 수석전문위원소관.hwp - (2014년 2월 25일발견 ) (2) 4.2심포기획안.hwp - (2014년 3월 19일발견 ) 2개의한글문서에서사용된취약점은문단의레이아웃 ( HWPTAG_PARA_LINE_SEG ) 을담당하는구조체에서발생했으며, 본문의내용만다를뿐동일한취약점이사용되었다. 단, 최신버전의한글프로그램에서는해당취약점이동작하지않는다. [ 그림 3-1] 은 2개의한글문서에서취약점이발생하는위치와쉘코드 (Shell Code) 부분을나타낸다. 1. 한글문서취약점악용국내기관에서아래 2개의한글문서파일이발견되었다. 두문서파일은각각 2014년 2월 25일과 2014년 3월 19일에발견된것으로, 지속적인공격 그림 3-1 한글문서의취약점이발생하는부분 ASEC REPORT 51 Security Trend 17

이파일이생성되는위치는 %TEMP% 폴더와 %SYSTEM% 폴더이며, %TEMP% 폴더의경우, ~tmp.dll 이름으로생성되는특징을갖는다. %SYSTEM% 폴더에생성된 DLL 파일이서비스로등록및구동된다. 단, 변종마다등록되는서비스의이름과파일명은다르다. [ 그림 3-2] 는취약점이있는한글문서를통해생성되는파일및서비스등록의예를나타낸것이다. (1) c:\documents and Settings\ 사용자계정 \Local Settings\Temp > ~tmp.dll (2) c:\windows\system32 > telnet.dll(~tmp.dll 과동일파일 ) 그림 3-2 취약점이있는한글문서를통해생성되는파일의예 이렇게생성된파일들은 %SYSTEM% 폴더의정상 calc.exe 파일의생성시간과동일하게변경하는특징을갖는다. 이는과거다른 APT 형태의악성코드에서도공통적으로사용되었던방식이다. - [HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\TelnetManagement] > "DisplayName"="TelnetManagement" > "ObjectName"="LocalSystem" > "Description"="Provides the access and management WebClients." - [HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\TelnetManagement\ Parameters] > "ServiceDll" = %SystemRoot%\System32\telnet.dll 그림 3-3 서비스로동작하기위해생성하는레지스트리의예 2. 공격에악용된백도어의주요기능앞서설명했듯이취약한한글문서파일을통해설치된백도어 (Backdoor) 파일은지난해 Kimsuky 샘플과동일한기능을갖고있으며, 그내용은다음과같다. (1) 특정레지스트리값변경 백신및윈도방화벽관련 : 이백도어는 V3 제품의방화벽과윈도기본방화벽의무력화를시도한다. 그러나 V3 제품의관련레지스트리값들은자체보호되어실제로는수정되지않는다. [HKEY_LOCAL_MACHINE\SOFTWARE\AhnLab\ V3IS80\is] - fwmode = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\AhnLab\ V3IS2007\InternetSec] - FWRunMode = 0 [HKLM\SYSTEM\CurrentControlSet\services\ SharedAccess \Parameters\FirewallPolicy\PublicProfile] - EnableFirewall = 0 [HKLM\SYSTEM\CurrentControlSet\services\ SharedAccess \Parameters\FirewallPolicy\StandardProfile] - EnableFirewall = 0 그림 3-4 방화벽기능무력화를위해변경하는레지스트리값 윈도보안센터관련이백도어는윈도보안센터서비스를사용하지못하도록레지스트리값을변경한다. [HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\wscsvc] - Start = 4 그림 3-5 윈도보안센터무력화를위해변경하는레지스트리값 ASEC REPORT 51 Security Trend 18

3. 웹메일계정을통한공격자의통신 Kimsuky 악성코드는웹메일을사용해정보를유출하고공격자와통신하며, 각메일계정별인증에필요한정보도함께존재한다. 웹메일계정별로그인시필요한정보 ( 계정및패스워드 ) 를통해메일서버에접속하고, 이후 마스터 메일주소로유출한정보를첨부파일형태로전송하는기능을갖는다. 현재까지확인된웹메일계정은아래와같다. - lucky000@mail.bg - lovelove333@mail.bg - helpyou@mail.bg - monkeyone@mail.bg - AnnaLove1989@mail.com - skagh1961@mail.com - karena1989@mail.com - jhonin333@india.com - qwpejfe234@zoho.com - s24yt@opera.com - d24tf@opera.com - 3wrasd@opera.com - tilmb17.indiatimes.com - jsso.indiatimes.com - voice9911@indiatimes.com - fdjjy456@zoho.com 표 3-1 Kimsuky 악성코드에이용된웹메일계정 [ 그림 3-6] 과 [ 그림 3-7] 은각각웹메일계정에로그인과메일전송 ( 파일첨부기능사용 ) 을위해사용되는데이터중일부를나타낸것이다. &pass= urlhash=&rememberme=0&longsession=0&ht tpssession=0&jan_offset=-28800&jun_offset=- 25200&cors_capable=0&user= Referer: http://mail.bg/ Cache-Control: no-cache /auth/login 그림 3-6 메일전송시사용하는정보 ( 로그인 ) var msgs = {"inbox":{" attachment\":true "subject":" inbox":{"all /message/downloadattachment http://mail.bg /upload/xhrupload.php tmpfile":" token" value=" /message/send 그림 3-7 메일전송시사용하는정보 ( 파일첨부 ) [ 표 3-1] 의메일계정가운데 mail.bg, zoho.com 은 1차공격 (2013년 9월 ) 에서도사용되었으며, mail.com, india.com, opera.com, indiatimes.com 은이번에새롭게확인된사이트이다. [ 표 3-1] 의메일계정이외에 마스터 (master) 로불리는메일주소중일부는 [ 표 3-2] 와같다. - tgb110117@hotmail.com - nuttumcg@hotmail.com - qet11@hotmail.com - schyong1213@hotmail.com - mysun1968@hotmail.com - ytkr2013@hotmail.com - jkl110112@hotmail.com - rsh1213@hotmail.com - suhopack@aol.com [ 표그림 3-23-8] 마스터은메일 [ 주소표3-1] 에서언급된메일주소중 ASEC REPORT 51 Security Trend 19

lovelove333@mail.bg 에서마스터 (master) 메일주소인 jkl110112@hotmail.com 과 schyong1213@hotmail.com 으로첨부파일을포함하여메일이발송된것을나타낸다. 메일이발송된시기는 2014.03.11, 2014.03.12, 2014.03.17 로총 3번에걸쳐진행되었음을알수있다. Chrome/21.0.1180.89 Safari/537.1 그림 3-9 웹페이지접속시사용하는정보 [ 그림 3-10] 은실제해당 PHP 사이트접속시보이는화면으로, 특정파일에대한업로드가가능한구조를갖고있다. 그림 3-10 파일전송을위한웹페이지 그림 3-8 웹메일을통한정보유출 4. 공격자웹서버주소 ( 새로운유형 ) (1) www.bugs3.com 이용 ( 웹서버 ) 지난 2월 24일제작된백도어파일 ( telmgr.dll ) 은기존에알려진웹메일기반이아닌, 무료웹호스팅사이트 (www.bugs3.com) 를이용해정보유출을시도하고있다. [ 그림 3-9] 는실제해당악성코드내부에존재하는문자열정보중일부를나타낸것이다. Referer: http://ftp-com.bugs3.com/upload.php UserId = Origin: http://ftp-com.bugs3.com Host: ftp-com.bugs3.com ftp-com.bugs3.com Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3 Accept-Encoding: gzip,deflate,sdch HTTP/1.1 Accept-Language: en-us,en;q=0.8 User-Agent: Mozilla/5.0 (Windows NT 5.2) AppleWebKit/537.1 (KHTML, like Gecko) (2) www.dothome.co.kr 이용 (FTP 서버 ) 3월 22일제작된백도어파일 ( olethk64.dll ) 은웹호스팅업체 (www.dothome.co.kr) 에서제공하는 FTP 서버를이용하여유출한정보들을업로드한다. 악성코드내부에공격자가설정한계정및패스워드정보가존재한다. [ 그림 3-11] 은실제해당 FTP 서버에접속했을때보이는화면이다. 그림 3-11 파일전송을위한 FTP 서버 5. 정보유출 Kimsuky 유형의악성코드에의해유출되는정보는다음과같으며, 이는최근에발견된유형과도동일하다. (1) 시스템정보 cmd.exe 에서아래와같은명령을통해감염시스템의정보를파일로저장한후공격자가지정웹메일주소로업로드를시도한다. ASEC REPORT 51 Security Trend 20

- /c systeminfo > %s (2) 사용자이름및컴퓨터이름 - User name: %s - Computer name: %s (3) 파일목록정보유출 : cmd.exe 에서아래와같은명령을통해감염시스템의폴더및파일들에대한목록정보를유출한다. 이러한정보수집을통해감염시스템에존재하는문서파일 / 실행파일 / 이미지파일등의정보를확인할수있으며, 2차공격에사용되는원격제어툴을통해추가적인정보유출이가능하다. - Elevation:Administrator!new:{3ad05575-8857- 4850-9277-11b85bdb8e09} 7. 원격제어툴 (TeamViewer) 2013년공격에사용된원격제어모듈과동일한팀뷰어버전 (5.0.9104) 이사용되었다. 드롭퍼역할을하는파일은 spl.exe 이며, browsesc.dll 파일내부에저장된공격자웹메일서버와의통신 ( ieup_8, iedown_8 ) 을통해다운로드및실행된다. spl.exe 파일의리소스영역에는 [ 그림 3-12] 와같이총 3개의실행파일을포함하고있다. - dir C:\ /s /a /t (4) 프로세스목록정보유출 : cmd.exe 에서아래와같은명령을통해감염시스템에서실행중인프로세스들에대한정보를유출한다. - tasklist /v (5) 키로깅 (Key logging) : 사용자입력키보드값에대한정보유출을시도하며, 로깅한정보는 ~msgsocm.log, c_38649. nls 등의이름으로저장한다. 6. UAC(User Account Control) 우회 2014년 2월과 3월에발견된 kimsuky 악성코드는 2013년 9월발견된악성코드와동일하게 UAC 를우회한다. - C:\Windows\System32\sysprep\cryptbase.dll - C:\Windows\System32\sysprep\sysprep.exe 그림 3-12 원격제어툴드롭퍼 (Dropper) 구조 리소스영역의 COM, KHK, WAVE 라는 3개의실행파일은모두파일의시작부터 0x100 크기만큼 1바이트키값으로 XOR된형태의특징을갖고있으며, 리소스에대한언어정보는한국어 (Korean) 로설정되어있다. (1) C:\Windows\System32\xpsp2.exe (TeamViewer Client) (2) C:\Windows\System32\pmspl.exe (xpsp2.exe - Install & Start) (3) C:\Program Files\Internet Explorer\ ASEC REPORT 51 Security Trend 21

iexplore_ko.dll (TeamViewer Client Resource DLL) spl.exe 와 xpsp2.exe 파일의제작시기는 2014 년 1월 23일이며, pmspl.exe 파일은 2014년 1월 13일에제작된것으로확인되었다. 함하는드롭퍼파일은 A0140849.exe 파일이며, [ 그림 3-15] 와같은구조이다. 이는 2014년 2월발견된파일과유사한구조를갖고있으며, 실행시 shsvcs.exe, signdrv.exe, iexplore_ko.dll 3개의파일이생성된다. [ 그림 3-13] 은과거발견파일과동일버전의팀뷰어클라이이언트모듈이사용되었으나, 실제정보유출시에는저장하는파일의경로와이름이변경되었다. 그림 3-14 ] 팀뷰어원격제어툴감염시스템 그림 3-13 과거팀뷰어모듈과의차이점 2014년 2월에수집된해당원격제어툴은 ASD(Ah nlab Smart Defense) 시스템을통해수집된파일로, 실제고객에게감염이이루어지기전에테스트를위해제작된것으로추정된다. 하지만 2014년 2월 25일 Kimsuky 악성코드에최초감염된시스템에서 4월 8일에팀뷰어원격제어툴이설치됨을확인하였다. 이감염시스템은국내특정대학의관리자시스템으로추정되며, 공격자에의해 1차로유출된 키로깅정보 및 시스템정보 등을바탕으로 2차공격대상이되었음을알수있다. [ 그림 3-14] 에서접수된팀뷰어원격제어툴을포 그림 3-15 팀뷰어원격제어툴의 PE 구조 ASEC REPORT 51 Security Trend 22

8. PDB(Program DataBase) 정보의변화 2013년 9월 Kimsuky Operation 에사용된악성코드내부에존재하는 PDB 정보와 2014년 2월발견된샘플을통해확인한 PDB 정보의변화는다음과같다. - E:\WORK\Attack\02_jin\TeamViwer\ie_moth\ Release\ie_moth.pdb - E:\WORK\Attack\03_kinu\TeamViwer_IE\ie_ moth\release\ie_moth.pdb - G:\work (d)\work\teamview_test\new\ie_moth\ Release\ie_moth.pdb - F:\Work\Tool\Timeviewer\20140113\ie_moth\ Release\ie_moth.pdb - E:\pmch\0207\TeamViewer\ie_moth\Release\ ie_moth.pdb 공격자는 2013년 9월이후새로운형태의변종을제작 (2014년 1월 /2월/3월) 하고있으며, 실제국내주요기관으로부터해당악성코드에감염된시스템이확인되어주의가필요하다. 9. 공격자 (?) 2013년 9월처음소개된해당악성코드는당시발견된공격자웹메일계정 (iop110112@hotmail. com, rsh1213@hotmail.com) 에서획득한 kimsukyang, Kim asdfa 정보를통해 Kimsuky 라는이름으로명명되었다. 으로추정된다. 해당공격자의메일계정에대한암호 ( dkdlfkqmdb??? ) 는한국어로 아이라브유 로변환되며, 메일사용자가등록한국적은 China 임을알수있다. 그림 3-16 공격자메일계정정보 (1) (2) jhonin333@india.com [ 그림 3-17] 은인도웹메일계정 (jhonin333@ india.com) 을통해확인한사항이다. 보낸메일제목에는 jinmyung( 한국이름 : 진명 ) 으로명시되어있으며, 정보유출시첨부파일로 1.pdf 형태를사용했음을알수있다. 또한공격자는서울출생의여성으로추정되며, 과거 kimsukyang 으로언급된마스터웹메일주소인 iop110112@hotmail. com 을 2차메일주소로등록했음을알수있다. (1) karena1989@mail.com [ 그림 3-16] 은 2014년 2월새롭게발견된변형샘플에서확인한공격자메일계정 (karena1989@ mail.com) 이다. 공격자메일계정을사용한악성코드제작자는중국국적의한국어를구사하는사람 그림 3-17 공격자메일계정정보 (2) ASEC REPORT 51 Security Trend 23

10. 관련샘플들 (1) %windir%\program Files\Internet Explorer - iexplore_ko.dll (2) %windir%\system32\ < 참고사이트 > - http://www.securelist.com/en/analysis/2 04792305/The_Kimsuky_Operation_A_ North_Korean_APT - http://asec.ahnlab.com/968 - pdvi.dll - telnet.dll - Ahv3.exe - pmspl.exe - spl.exe - xpsp2.exe - winhelp128.exe - browsesc.dll - telmgr.dll - usermon.dll - EN.DLL - ko.dll - nmails.dll - ctfmon.exe - olethk64.dll - signdrv.exe - shsvcs.exe - chksvc.exe - hostsrv.exe... (3) %temp% - ~tmp.dll - ~df.tmp ASEC REPORT 51 Security Trend 24

ASEC REPORT 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩 UX디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2014 AhnLab, Inc. All rights reserved.