악성코드은닉사이트탐지 동향보고서 17 년상반기 1
` 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 4 2.1 악성코드유포지현황 4 - 유포지탐지현황 4 - 대량경유지가탐지된유포지 TOP10 5 - 악성코드취약점및취약한 S/W 악용현황 6 - 악성코드유형별비율 7 - 위협 IP 및도메인현황 8 2.2 악성코드경유지현황 9 - 경유지탐지 업종별비율 9 3. 악성코드은닉사례분석 11 - MS Edge 취약점을이용한금융정보탈취형악성코드유포 11 - 온라인가상화폐를채굴하는악성코드유포 39 - 파일을암호화하고금전을요구하는랜섬웨어악성코드유포 44 4. 향후전망 49 - 악성코드유포방법및조치방안 49 [ 붙임 ] 악성코드 S/W 취약점정보 51 침해대응단 사이버침해대응본부
1. 악성코드은닉동향요약 악성코드은닉사이트탐지현황 상반기동향요약 유포지 전년하반기대비 건 건 감소 전년동기대비 건 건 감소 경유지 전년하반기대비 건 건 증가 전년동기대비 경유지업종별현황 건 건 증가 건강 의학 쇼핑 제조 커뮤니티 비즈니스 경제 등 전년하반기경유지업종별현황 : 제조 (48%), 여행 (10%), 커뮤니티 (9%), 쇼핑 (7%), 사회 / 문화 / 종교 (7%) 취약한 악용현황 취약점 취약점 취약점 취약점 OLE(Object Linking and Embedding) : MS 社가개발한오브젝트시스템및프로토콜 전년하반기취약점 S/W 악용현황 : Adobe Flash Player 취약점 (43%), Java Applet 취약점 (33%), MS IE 취약점 (21%), MS OLE 취약점 (3%) 악성코드유형 파밍및금융정보탈취 다운로더 드롭퍼 랜섬웨어 백도어 전년하반기악성코드유형 : 파밍및금융정보탈취 (75%), 애드웨어 / 기타 (7%), 랜섬웨어 (5%), 다운로더 (5%), 원격제어 (3%) 3
2. 홈페이지은닉형악성코드통계 Information TIP o 악성코드은닉사이트란? 이용자 PC를악성코드에감염시킬수있는홈페이지로, 해킹을당한후악성코드자체또는악성코드를유포하는주소 (URL) 를숨기고있는것을말한다. 2.1 악성코드유포지현황 유포지탐지현황 년상반기에악성코드유포지탐지및조치현황은다음과같다 악성코드유포지탐지는전년동기대비 건 건 감소 [ 그림 1] 악성코드유포지탐지건수 4
대량경유지가탐지된유포지 년상반기에대량경유지가탐지된유포지 은다음과같다 년상반기유포지에의해탐지된경유지뿐만아니라기존탐지된유포지도지속적으로경유지에악용되고있으나 차단 조치되어악성행위는없음 [ 그림 2] 대량경유지가탐지된유포지 Top 10 [ 표1] 대량경유지가탐지된유포지 순위 탐지일 유포지 국가 경유지건수 1 http://101.110.136.15/dtd.php JP 4,304 2 램닛 (Ramnit) 악성코드 -- 1,729 3 http://www.haofbi.com/js/w.js -- 99 4 http://ecolimit.ru/cnt.php RU 97 5 http://eiweimiupeiviadi.in:3129/js -- 67 6 http://222.xxxxx.123/auctionsid/js/set.js KR 55 7 http://oliviarosechildrensboutique.com/media/clicker.php US 42 8 http://alicdn.re.kr/re.kr US 39 9 http://www.ro521.com/test.htm US 33 10 http://lecoeur.sakura.ne.jp/lecoeur-old/clik.php JP 25 5
악성코드취약점및취약한 악용현황 취약점 애플릿취약점 취약점 취약점 등의취약점이복합적으로사용되었다 취약한 악용유형중 취약점이 의비율로 가장높았으며 그이외에도 취약점 순으로 악용하였다 [ 그림 3] 취약점악용현황 [ 그림 4] 취약한 S/W 악용현황 6
악성코드유형별비율 악성코드유형중파밍및금융정보탈취가 의비율로가장높았으며 그이외에도다운로더 드롭퍼 랜섬웨어 백도어 원격제어등의악성코드 유형이다양하게나타났다 [ 그림5] 악성코드유형별비율 파밍및금융정보탈취 : 운영체제에서제공하는호스트연결기능을악용한것으로정상호스트설정파일을악의적으로변경하여정상금융사이트방문시가짜금융사이트로연결및공인인증서등의금융정보탈취하는악성코드 파일생성 ( 드롭퍼 / 다운로더 ) : 추가악성코드를인터넷이나네트워크를통하여다운로드하여설치하거나정상애플리케이션인것처럼배포된뒤실행되면악성코드를설치하는방식 랜섬웨어 : PC의중요파일 ( 문서, 사진등 ) 을암호화하고금전을요구하는악성코드 백도어 : 사용자가인지하지못하는상황에서공격자가컴퓨터에접속하여악의적인행위를할수있도록통로역할을하는악성코드 원격제어 : 해커가원격지에서악성코드에감염된좀비PC들을제어하는목적으로이용하는악성코드 DDoS : 다수의좀비PC를이용하여대량의유해트래픽을특정시스템으로전송해시스템의정상적인서비스를방해하는사이버공격 정보유출 ( 모바일기기정보 /PC 정보 ) : 이용자의 PC 또는모바일기기내의기기이름, MAC 정보등을탈취하는악성코드 키로깅 : 사용자가키보드로 PC에입력하는내용을몰래탈취하기위한악성코드 비트코인 : 디지털단위인비트 (bit) 와코인 (coin) 의합성어로온라인가상화폐를탈취하거나채굴하기위한악성코드 7
위협 및도메인현황 년상반기에위협 및도메인현황 은다음과같다 [ 그림 6] 파밍 IP 악용현황 [ 그림 7] C&C 및정보유출지악용현황 [ 표2] 파밍 IP / C&C 및정보유출지악용현황 건 순위 파밍 IP 국가 수 건수 C&C 및정보유출지 국가 건수 1 100.43.XXX.XXX US 23 100.43.XXX.XXX US 17 2 67.229.XXX.XXX US 14 67.229.XXX.XXX US 13 3 104.221.XXX.XXX US 9 198.15.XXX.XXX CN 10 4 198.15.XXX.XXX CN 9 104.221.XXX.XXX US 8 5 115.126.XXX.XXX HK 6 115.126.XXX.XXX HK 6 6 198.1.XXX.XXX CN 4 198.1.XXX.XXX CN 4 7 1.163.XXX.XXX TW 3 1.163.XXX.XXX TW 3 8 107.151.XXX.XXX CN 3 107.151.XXX.XXX CN 3 9 174.139.XXX.XXX US 3 174.139.XXX.XXX US 3 10 184.83.XXX.XXX US 3 184.83.XXX.XXX US 3 8
2.2 악성코드경유지현황 경유지탐지업종별비율 년상반기에악성코드경유지탐지업종별유형은다음과같다 악성코드경유지탐지는전년동기대비 건 건 증가 탐지된경유지는해당홈페이지운영자에게통보하여악성코드삭제및보안조치요청을수행 특정유포지에대한동일도메인대량탐지 (4,304건, 6월 ) 경유지업종별유형중건강의학이가장높았고 쇼핑 제조 커뮤니티 비즈니스경제순으로탐지가되었으며 이에대해삭제및보안조치요청 [ 그림 8] 경유지탐지현황 9
[ 그림 9] 탐지된경유지기준업종별 TOP 10 [ 그림 10] 탐지된경유지의도메인기준업종별 TOP 10 10
3. 악성코드은닉사례분석 취약점 을이용한악성코드유포 정보유출 금융정보 11
http://www.sxxxx.com/smarteditor/userpage/index.html 버전체크및취약점을악용하여악성코드다운로드 취약점 12
취약점 13
취약점 14
/jquery.js 사용에필요한라이브러리 생략 15
/CgWlLv.html 난독화스크립트디코딩후 버전체크및취약점을악용하여악성코드다운로드 버전체크 16
중략 17
취약점 취약점 취약점 취약점 취약점 취약점 취약점 18
/swfobject.js 사용에필요한라이브러리 중략 생략 /ww.html 취약점을악용하여악성코드다운로드 중략 19
취약점 후 /ZvCgTu.html 취약점을악용하여악성코드다운로드 20
21
취약점 22
23
24
/VlZtIt.html 난독화스크립트디코딩후 25
26
27
취약점 28
29
30
/MdUjHx.html 취약점을악용하여악성코드다운로드 취약점 31
32
33
34
악성코드파일 상세분석내용 악성코드행위 공인인증서폴더를압축하여특정로유출하며 특정사이트 접속시자동구성스크립트 을악용하여파밍로연결되는악성코드 네트워크상의악성행위 도메인 IP 용도상세내용 - 104.221.152.52( 미국 ) 파밍 IP - 104.221.152.52( 미국 ) 정보유출지 정보유출 ( 금융정보 ) 운영체제상의악성행위 항목 내용 파일 css.exe 실행시 cmd.exe 을실행및코드인젝션 레지스트리 인터넷익스플로러시작페이지를변경 35
네트워크 특정도메인에접속하여특정정보를받아옴 - 도메인 : r.pengyou.com - IP: 1xx.xxx.xxx.171, KR - 프로토콜 : HTTP - URL: http://r.pengyou.com/fcg-bin/cgi_get_portrait.fcg?uins=2895703381 레지스트리 36
cmd.exe 와 Port 1171 을방화벽예외설정 네트워크 TCP 포트 (1171) 를열어놓고대기 레지스트리 자동구성스크립트설정 37
파일 도메인해쉬를비교하여특정도메인접속시파밍 IP 로접속유도 38
특정사이트접속시파밍 IP 로접속 - 파밍 IP: 104.221.151.52, US 파일 공인인증서파일 (*.cer, *.der 등 ) 을복사및압축 특정사이트접속시파밍 IP 로접속하여공인인증서 (NPKI) 를유출 네트워크 * 접속사이트 - 도메인 : - IP: 104.221.151.52, US - 프로토콜 : HTTP - URL: http://104.221.151.52/ca.php?m=4d4467744d4441744d6a63744e3059744d4459744e7a453d&h=949 - URL: http://104.221.151.52/ca.php?p 39
온라인가상화폐를채굴하는비트코인악성코드유포 악성코드파일 상세분석내용 악성코드행위 디지털단위인비트 와코인 의합성어로온라인 가상화폐를탈취하거나채굴하기위한악성코드 네트워크상의악성행위 도메인 IP 용도 상세내용 mine.moneropool.com 정보유출지 비트코인채굴 hrtests.ru 정보유출지 운영체제상의악성행위 항목 내용 파일 채굴에필요한파일을생성 파일 40
원격접속을위한 pbk 파일을생성 네트워크 41
특정도메인에접속하여특정정보를가져옴 * 접속사이트 - 도메인 : hrtests.ru - IP : 176.126.85.92, NL - 프로토콜 : TCP - URL : http://hrtests.ru/test.html?1 파일 42
받아온텍스트검증후변환 네트워크 명령어를사용하여생성된파일에텍스트에서받아온위치값과특정인자값을넣어실행 * 접속사이트 - 도메인 : mine.moneropool.com - IP : 138.201.31.13, DE - 프로토콜 : TCP - URL : http://mine.moneropool.com:3333 43
파일 생성한텍스트파일을활용. 특정사이트에접속, 비트코인채굴 레지스트리 악성코드자동실행을위하여레지스트리에등록 44
파일을암호화하고금전을요구하는랜섬웨어악성코드유포 악성코드파일 상세분석내용 악성코드행위 의중요파일 문서 사진등 을암호화하고금전을 요구하는악성코드 네트워크상의악성행위 도메인 IP 용도 상세내용 - - - - - - - 운영체제상의악성행위 항목 내용 파일 특정파일을생성 파일 45
base64 인코딩된 RSA 공개키와 blacklist extensions( 암호화하지않을확장자 ), 암호화대상확장자그리고사이트정보 네트워크 46
감염시스템에대한통계를목적으로해당시스템의 ID 값을 UDP 로전송서버 IP : 178.33.158.1 ~ 178.33.163.255 파일 47
48
암호화진행후같은위치에랜섬노트생성 네트워크 랜섬노트에기재된 payment site 에접속 * 접속사이트 - 도메인 : hjhqmbxyinislkkt.1gqrpq.top - IP: 104.200.67.166, US - 프로토콜 : HTTP - URL:http://hjhqmbxyinislkkt.1gqrpq.top/EAAD-A311-59EB-05C3-AEA6?iframe&_=1497520971619 49
4. 향후전망 악성코드유포방법 복합취약점을이용한악성코드유포지속 애플릿취약점등을복합적으로악용하여악성코드를유포시키는사례가나타나고있다 이용자가많은홈페이지를통한악성코드유포지속 이용자가많은특정커뮤니티홈페이지등이용자수가많은홈페이지를통해악성코드가유포되었다 를이용한램닛 악성코드유포지속 스크립트실행만으로악성코드를유포하는사례가지속적으로나타나고있다 악성코드조치방안 개인및기업의조치보안방안 개인및기업은보안점검및보안패치등보안강화를통해금융정보유출및사이버공격에각별한주의를기울여야한다 웹취약점점검신청 : http://www.boho.or.kr/webprotect/webvulnerability.do 홈페이지해킹방지도구 : http://www.boho.or.kr/download/whistlcastle/castle.do 휘슬신청 : http://www.boho.or.kr/download/whistlcastle/whistl.do 개발시점의시큐어코딩을통한홈페이지구축권고 기업에서근본적으로홈페이지개발시점부터보안의식및시큐어 코딩으로홈페이지를구축하고 주기적인취약점점검및패치를적용하여웹서버가해킹되지않도록사전에방지해야한다 50
최신보안업데이트권고 이용자는 윈도우의보안업데이트를항상최신상태로유지할것을 권장하며 관련취약점에의해악성코드에 감염되지않도록주의하여야한다 또한안티바이러스 백신 을이용하여주기적으로점검하여야한다 윈도우최신보안업데이트적용 자동보안업데이트설정권장 MS 업데이트사이트 : http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko ( 윈도우 7) 제어판 - 시스템및보안 - Windows Update 의취약점에대한보안업데이트적용 MS 보안업데이트 : http://technet.microsoft.com/ko-kr/security/bulletin/ms12-043 최신버전업데이트적용 최신버전 : Adobe Flash Player 26.0.0.131 (http://get.adobe.com/kr/flashplayer/) 최신버전업데이트적용 최신버전 : Java SE Runtime Environment 8u131 (http://www.oracle.com/technetwork/java/javase/8u131-relnotes-3565278.html) 최신버전업데이트적용 MS 보안업데이트 : https://technet.microsoft.com/ko-kr/library/security/ms17-007.aspx 51
[ 붙임 ] 악성코드 S/W 취약점정보 구분내용상세취약점정보보안업데이트 인터넷 익스플로러 CVE-2010-0249 CVE-2011-1255 CVE-2012-4792 CVE-2013-1347 CVE-2013-2551 CVE-2013-3897 CVE-2014-0322 CVE-2014-1770 CVE-2014-1776 Internet Explorer 를사용하여특수하게조작된웹페이지에접속할경우원격코드실행허용 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2010-0249 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2011-1255 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2012-4792 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2013-1347 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2013-2551 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2013-3897 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2014-0322 http://www.cve.mitre.org/cgi-bin/cve name.cgi?name=cve-2014-1770 http://www.cve.mitre.org/cgi-bin/cve name.cgi?name=cve-2014-1776 http://technet.microsoft.com/en-us/ security/bulletin/ms10-002 http://technet.microsoft.com/ko-kr/ security/bulletin/ms11-050 http://technet.microsoft.com/ko-kr/ security/bulletin/ms13-008 http://technet.microsoft.com/ko-kr/ security/bulletin/ms13-038 http://technet.microsoft.com/securit y/bulletin/ms13-037 http://technet.microsoft.com/ko-kr/l ibrary/security/ms13-080.aspx http://technet.microsoft.com/en-us/ security/advisory/2934088 http://technet.microsoft.com/ko-kr/l ibrary/security/ms14-035.aspx https://technet.microsoft.com/ko-kr /library/security/2963983.aspx 취약점 CVE-2008-2551 Icona SpA C6 Messenger 1.0.0.1 ActiveX 취약점 http://cve.mitre.org/cgi-bin/cvename.c gi?name=cve-2008-2551 - CVE-2014-3212 KMPlayer 버퍼오버플로우 취약점 http://cve.mitre.org/cgi-bin/cvename.c gi?name=cve-2014-3212 http://cdn.kmplayer.com/kmp/do wnload/release/chrome/4.1.5.8/k MPlayer_4.1.5.8.exe CVE-2015-2419 MS Internet Explorer 10 과 11 에서 JScript 취약점으로인한원격 코드실행 http://www.cve.mitre.org/cgi-bin/cv ename.cgi?name=cve-2015-2419 http://technet.microsoft.com/security/ bulletin/ms15-065 CVE-2016-0189 MS Internet Explorer 9 과 11 에서 Script Engine 취약점으로인한 원격코드실행 https://www.cve.mitre.org/cgi-bin/cv ename.cgi?name=cve-2016-0189 https://technet.microsoft.com/library/ security/ms16-051 52
http://cve.mitre.org/cgi-bin/cvena http://www.adobe.com/support/sec me.cgi?name=cve-2010-2884 urity/advisories/apsa10-03.html http://cve.mitre.org/cgi-bin/cvena http://www.adobe.com/support/sec me.cgi?name=cve-2011-2140 urity/bulletins/apsb11-21.html http://cve.mitre.org/cgi-bin/cvena http://www.adobe.com/support/sec me.cgi?name=cve-2012-0754 urity/bulletins/apsb12-03.html http://cve.mitre.org/cgi-bin/cvena http://www.adobe.com/support/sec me.cgi?name=cve-2013-0634 urity/bulletins/apsb13-04.html https://cve.mitre.org/cgi-bin/cven http://helpx.adobe.com/security/pro CVE-2010-2884 ame.cgi?name=cve-2014-0497 ducts/flash-player/apsb14-04.html CVE-2011-2140 http://cve.mitre.org/cgi-bin/cvena http://helpx.adobe.com/security/produ CVE-2012-0754 me.cgi?name=cve-2014-0515 cts/flash-player/apsb14-13.html CVE-2013-0634 http://cve.mitre.org/cgi-bin/cvena http://helpx.adobe.com/security/produ CVE-2014-0497 me.cgi?name=cve-2014-0556 cts/flash-player/apsb14-21.html CVE-2014-0515 http://www.cve.mitre.org/cgi-bin/cve http://helpx.adobe.com/security/produ CVE-2014-0556 name.cgi?name=cve-2014-0569 cts/flash-player/apsb14-22.html Adobe Flash Player 취약점 CVE-2014-0569 CVE-2014-8439 CVE-2015-0311 CVE-2015-0313 메모리손상으로인한코드 실행취약점 https://cve.mitre.org/cgi-bin/cven ame.cgi?name=cve-2014-8439 https://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2015-0311 http://helpx.adobe.com/security/pro ducts/flash-player/apsb14-22.html https://helpx.adobe.com/security/prod ucts/flash-player/apsa15-01.html CVE-2015-3043 https://cve.mitre.org/cgi-bin/cvenam https://helpx.adobe.com/security/prod CVE-2015-0336 e.cgi?name=cve-2015-0313 ucts/flash-player/apsa15-02.html CVE-2015-3113 https://cve.mitre.org/cgi-bin/cven https://helpx.adobe.com/security/pr CVE-2015-3133 ame.cgi?name=cve-2015-3043 oducts/flash-player/apsb15-06.html CVE-2015-5119 https://cve.mitre.org/cgi-bin/cven https://helpx.adobe.com/security/pr CVE-2015-5122 ame.cgi?name=cve-2015-0336 oducts/flash-player/apsb15-05.html CVE-2016-1019 https://cve.mitre.org/cgi-bin/cven https://helpx.adobe.com/security/pr ame.cgi?name=cve-2015-3113 oducts/flash-player/apsb15-14.html http://cve.mitre.org/cgi-bin/cvena https://helpx.adobe.com/security/pr me.cgi?name=cve-2015-3133 oducts/flash-player/apsb15-16.html https://cve.mitre.org/cgi-bin/cven https://helpx.adobe.com/security/pr ame.cgi?name=cve-2015-5119 oducts/flash-player/apsa15-03.html https://cve.mitre.org/cgi-bin/cven https://helpx.adobe.com/security/pr ame.cgi?name=cve-2015-5122 oducts/flash-player/apsa15-04.html https://cve.mitre.org/cgi-bin/cven https://helpx.adobe.com/security/pr ame.cgi?name=cve-2016-1019 oducts/flash-player/apsa16-01.html 53
Java 애플릿취약점 CVE-2011-3544 CVE-2012-0507 CVE-2012-1723 CVE-2012-4681 CVE-2012-5076 CVE-2013-0422 CVE-2013-2460 CVE-2013-2465 드라이브바이다운로드방식, JRE 샌드박스제한우회취약점이용 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2011-3544 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2012-0507 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2012-1723 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2012-4681 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2012-5076 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2013-0422 https://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2013-2460 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2013-2465 http://www.oracle.com/technet work/topics/security/javacpufe b2012-366318.html#patchtable http://www.oracle.com/technetwork/topics /security/javacpujun2012-1515912.html http://www.oracle.com/technetwork/topics/ security/alert-cve-2012-4681-1835715.html http://www.oracle.com/technetwork/topics /security/javacpuoct2012-1515924.html http://www.oracle.com/technetwork/topics/ security/alert-cve-2013-0422-1896849.html http://www.oracle.com/technetwork/topics /security/javacpujun2013-1899847.html http://www.oracle.com/technetwork/topics /security/javacpujun2013-1899847.html MS OLE 취약점 CVE-2014-6332 CVE-2014-6352 CVE-2017-0199 Windows OLE 자동화배열원격코드실행취약점 http://www.cve.mitre.org/cgi-bin/cv ename.cgi?name=cve-2014-6332 https://www.cve.mitre.org/cgi-bin/c vename.cgi?name=cve-2014-6352 https://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2017-0199 http://technet.microsoft.com/se curity/bulletin/ms14-064 https://technet.microsoft.com/ko -kr/library/security/3010060.aspx http://www.catalog.update.micro soft.com/search.aspx?q=kb2589 382 MS XML 취약점 CVE-2012-1889 XML Core Services 의취약점 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2012-1889 http://technet.microsoft.com/ko-kr/se curity/bulletin/ms12-043 MS Silverlight 취약점 CVE-2013-0074 Silverlight 의취약점으로인한 원격코드실행 http://www.cve.mitre.org/cgi-bin/cv ename.cgi?name=cve-2013-0074 https://technet.microsoft.com/library/ security/ms13-022 http://www.cve.mitre.org/cgi-bin/cv MS Edge CVE-2016-7200 스크립팅엔진메모리손상 ename.cgi?name=cve-2016-7200 https://technet.microsoft.com/ko-kr/li 취약점 CVE-2016-7201 취약점 http://www.cve.mitre.org/cgi-bin/cv brary/security/ms16-129.aspx ename.cgi?name=cve-2016-7201 54