Security Trend ASEC REPORT VOL.68 August, 2015
ASEC REPORT VOL.68 August, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2015 년 8 월보안동향 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 Table of Contents 4 6 7 2 보안이슈 SECURITY ISSUE 01 중고나라안전거래사이트를모방한피싱사이트주의 02 사회적이슈로클릭유도하는 PUP 주의 10 12 3 악성코드상세분석 ANALYSIS IN-DEPTH Windows 10 업데이트로위장한랜섬웨어 16 2
1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계
보안통계 01 악성코드통계 Statistics ASEC 이집계한바에따르면, 2015 년 8 월한달간탐지된악성코드수는 1,786 만 9,127 건으로나타났다. 이는전월 1,936 만 1,841 건에비해 149 만 2,714 건감소한수치다. 한편 8 월에수집된악성코드샘플수는 643 만 7,437 건이다. 40,000,000 30,000,000 20,000,000 10,000,000 16,053,772 19,361,841 17,869,127 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 5,967,561 6,050,305 6,437,437 탐지건수샘플수집수 06 월 07 월 08 월 [ 그림 1-1] 악성코드추이 (2015 년 6 월 ~ 2015 년 8 월 ) * 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 4
[ 그림 1-2] 는 2015 년 8 월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그 램인 PUP(Potentially Unwanted Program) 가 78.16% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 10.21%, 애드웨어 (Adware) 가 4.18% 의비율로그뒤를이었다. 0.16% 0.86% 4.18% 6.43% 78.16% 10.21% PUP Trojan etc Adware Worm Downloader [ 그림 1-2] 2015 년 8 월주요악성코드유형 [ 표 1-1] 은 8 월한달간탐지된악성코드중 PUP 를제외하고가장빈번하게탐지된 10 건을진단명기준으 로정리한것이다. Trojan/Win32.Gen 이총 25 만 4,208 건으로가장많이탐지되었고, Trojan/Win32. Starter 가 13 만 4,632 건으로그뒤를이었다. [ 표 1-1] 2015년 8월악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 Trojan/Win32.Gen 254,208 2 Trojan/Win32.Starter 134,632 3 Malware/Win32.Generic 126,479 4 Trojan/Win32.Agent 92,959 5 Malware/Win32.SAPE 92,643 6 Unwanted/Win32.Exploit 73,052 7 Trojan/Win32.Banki 53,313 8 Adware/Win32.Agent 49,843 9 Trojan/Win32.Buzus 42,509 10 HackTool/Win32.Crack 42,505 5
보안통계 02 웹통계 Statistics 2015 년 8 월에악성코드유포지로악용된도메인은 1,239 건, URL 은 1 만 2,690 건으로집계됐다 ([ 그림 1-3]). 또한 8 월의악성도메인및 URL 차단건수는총 494 만 3,679 건이다. 9,000,000 8,000,000 7,000,000 6,000,000 5,000,000 5,791,463 4,943,679 4,000,000 4,037,996 40,000 30,000 20,000 13,047 16,578 12,691 10,000 1,459 1,476 1,239 악성도메인 /URL 차단건수 악성코드유포도메인수 0 06 월 07 월 08 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 (2015 년 6 월 ~ 2015 년 8 월 ) * 악성도메인및 URL 차단건수 란 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 6
보안통계 03 모바일통계 Statistics 2015 년 8 월한달간탐지된모바일악성코드는 15 만 3,547 건으로집계됐다 ([ 그림 1-4]). 300,000 277,313 250,000 229,644 200,000 153,547 150,000 100,000 50,000 0 06 월 07 월 08 월 [ 그림 1-4] 모바일악성코드추이 (2015 년 6 월 ~ 2015 년 8 월 ) 7
[ 표 1-2] 는 8 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. Android-PUP/ SmsPay 가가장많이발견되었다. [ 표 1-2] 2015 년 8 월유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/SmsPay 47,217 2 Android-PUP/SmsReg 19,437 3 Android-PUP/Zdpay 8,579 4 Android-PUP/Dowgin 7,259 5 Android-Trojan/FakeInst 7,019 6 Android-Trojan/Slocker 6,007 7 Android-PUP/Noico 5,952 8 Android-Trojan/SmsSpy 3,843 9 Android-PUP/Chepa 3,240 10 Android-Trojan/SMSAgent 3,205 8
2 보안이슈 SECURITY ISSUE 01 중고나라안전거래사이트를모방한피싱사이트주의 02 사회적이슈로클릭유도하는 PUP 주의
보안이슈 01 중고나라안전거래사이트를모방한피싱사이트주의 Security Issue 국내최대규모의온라인직거래장터인 중고나라. 그규모만큼이나사기사건피해가끊이지않고발생한다. 대부분의사기피해사례들은판매자와구매자간직접물품을매매하는직거래방식에서많이일어나고있으며, 판매자가물품대금을받는순간잠적해버리는경우가가장많았다. 판매자와구매자간의직거래중발생할수있는사기피해를방지하기위한대안으로는안전거래방식이있다. 안전거래란, 제3자가개입하여구매자의결제대금을예치하고있다가상품배송이완료된후대금을판매자에게지급하는시스템이다. 그러나이러한안전거래사이트를교묘하게모방한피싱사이트가지속적으로발견되고있어이용자들의주의가필요하다. 그림 2-1 중고나라가짜상품판매게시글 다음 [ 그림 2-1] 은안전거래피싱사이트제작자가중고나라에올린가짜상품판매게시글이다. 보통상품권이나인기있는스마트폰, 노트북과같은전자제품을판매대상으로하고있다. 그림 2-2 사기거래대화내용 판매자로위장한피싱사이트제작자는직거래가불가능하다는여러가지이유를들며안전거래방식으로거래하기를유도한다. 10
안전거래업체사이트를모방한피싱사이트는물품배송을이유로이름, 주민등록번호, 주소등의개인정보를요구한다. 주민등록번호의경우에는정상적인주민등록번호를입력했는지유효성까지확인한다. 그림 2-3 안전거래피싱사이트링크가걸려있는중고나라게시글 이후안전거래 URL을포함한게시글을다시중고나라에게시하는데, 확인해보면안전거래사이트를모방한피싱사이트로연결된다. 그림 2-6 주민등록번호유효성확인 이렇게입력된정보는홍콩소재의서버 [113.**. ***.196] 로전송한다. 그림 2-4 특정안전거래사이트를모방한피싱사이트 그림 2-9 홍콩소재서버로전송되는정보 현재는해당도메인이유효하지않아더이상접근이되지않는다. 그러나이러한피싱사이트는동일한수법으로 URL 주소만을변형하여계속생성할수있으므로이용자들의절대적인주의가필요하다. 그림 2-5 안전거래피싱사이트내에서요구하는개인정보 11
보안이슈 02 사회적이슈로클릭유도하는 PUP 주의 Security Issue 최근연예인관련동영상이나사회적이슈와관련된동영상을이용해불필요한파일, PUP(Potentially Unwanted Program) 를유포한사례가발견됐다. 사용자가삭제하기어렵게제작된 PUP가유포된데이어주로악성코드유포시에이용되던사회공학적기법까지이용하는 PUP가나타남에따라 PUP가나날이교묘해지고있음을알수있다. PUP는악성코드는아니지만 PC를느려지게하거나광고창을반복적으로노출하는등사용자에게는악성코드못지않게달갑지않은존재임이틀림없다. 이번에발견된 PUP는다음표와그림과같이연예인동영상또는폭탄테러등사회적인이슈와관련된동영상을이용해유포되었다. 일자는해당이슈가발생한시기와일치한다. 이시기는관련이슈의뉴스기사가집중적으로확산되며사회적인관심이고조되는때이다. 표 2-1 PUP 파일생성일자 [PUP 파일정보 ] 파일명 파일생성일자 ( 연예인A)_ 태도논란 _ 동영상.exe 2015.08.11 14시 ( 연예인B)_ 티저영상.exe 2015.08.11 15시 ( 방송인A)_ 동영상.exe 2015.08.18 16시 방콕폭탄테러 _ 동영상.exe 2015.08.18 12시 사회적이슈로위장한파일을실행할경우, 다음과같이경로 C:\Windows 에파일 snbsetup.exe 를생성한후실행한다. 그림 2-8 사회적이슈로위장한파일명 다음 [ 표 2-1] 의파일생성일자에서알수있는것처 럼 PUP 파일제작자는파일제작당시뉴스에자주 보도되는이슈를이용했다. 파일의생성일자와유포 그림 2-8 파일 snbsetup.exe 파일 snbsetupe.exe 가실행되면, 다음경로에불 필요한프로그램이설치된후실행된다. 12
표 2-2 생성파일정보 [ 생성파일정보 ] C:\Program Files\SearchNet\searchnet.exe C:\Program Files\SearchNet\usearchnet.exe C:\Program Files\SearchNet\Uninstall.exe C:\Program Files\SearchNet\utildownload.exe 또한, [ 표 2-3] 과같이시작프로그램영역에등록되어시스템시작시불필요한프로그램을자동으로실행하게한다. 사용자가파일열기버튼을클릭할경우, 파일 UtilDownLoad.exe 가인터넷익스플로러를실행하여해당이슈의동영상페이지를연결한다. 다음동영상페이지는정상페이지이며이슈와관련된내용을담고있으므로사용자는시스템에불필요한프로그램이설치된사실을인지하기어렵다. 표 2-3 시작프로그램정보 [ 생성파일정보 ] HKCU\Software\Microsoft\Windows\Current Version\Run\searchnet -> "C:\Program Files\SearchNet\searchnet.exe" HKCU\Software\Microsoft\Windows\Current Version\Run\usearchnet -> "C:\Program Files\SearchNet\usearchnet.exe" 그림 2-11 관련이슈의동영상페이지 이후생성된파일 utildownload.exe 가실행되어다음과같은화면을출력한다. 프로그램의좌측하단에는불필요한프로그램의이용약관이표시되며, 우측하단에는파일열기버튼이표시된다. 이렇게설치된불필요한프로그램의주목적은광고를통한금전적이득이다. 불필요한프로그램은사용자가방문하는페이지주소를감시하고있다가사용자가 [ 표 2-4] 와같은페이지에연결할경우, 광고를삽입한다. 표 2-4 감시되는페이지정보 [ 페이지주소 ] 그림 2-10 파일 UtilDownLoad 실행화면 http://search.*****.net/search http://www.google.co.kr/search http://search.*****.net/***** http://search.*****.com/search http://search.*****.co.kr/search http://search.*****.co.kr/search/search http://search.*****.co.kr/searchprdaction 13
이러한불필요한프로그램의주목적은배포자체에있으므로프로그램이제작된후에는관리가이루어지지않는다. 즉, 이렇게탄생한불필요한프로그램들이러한불필요한프로그램의주목적은배포자체에있으므로프로그램이제작된후에는관리가이루어지지않는다. 즉, 이렇게탄생한불필요한프로그램들은다수의사용자에게배포되며, 이후에는보안관리가전혀이루어지지않는다. 따라서악성코드제작자로하여금훌륭한악성코드유포지로표적이될수있으므로주의해야한다. V3 제품에서는해당악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > PUP/Win32.Toolbar (2015.08.18.05) Trojan/Win32.Infostealer (2015.08.20.08) 14
3 악성코드상세분석 ANALYSIS-IN-DEPTH Windows 10 업데이트로위장한랜섬웨어
악성코드상세분석 Analysis-In-Depth Windows 10 업데이트로위장한랜섬웨어 마이크로소프트사 ( 이하 MS) 의마지막 OS가될 Windows 10이 8월 29일출시됐다. 출시후며칠이지나지않아 Windows 10 업데이트파일로위장한랜섬웨어가메일로유포된것으로볼때, Windows 10의출시는일반사용자뿐만아니라악성코드제작자들의흥미또한유발한것으로보인다. 그림 3-2 Windows 10 파일로위장한악성코드 악성코드를실행하면기대하던 Windows 10 업데이트가아닌랜섬웨어가실행되어사용자시스템내파일을암호화한다. 실행된랜섬웨어악성코드는 <C: DOCUME~1 [ 사용자계정 ] LOCALS~ 1 Temp > 경로에파일명 lrxjxii.exe 로자가복제하고, 레지스트리를통해서비스에등록되어시스템이시작할때마다실행된다. 그림 3-1 악성코드가첨부된메일본문 ( 출처 : Cisco Blogs) 공격자는발신인, 본문내용과더불어 악성코드스캔후이상없다 는마지막문장을 [ 그림 3-1] 과같이첨부하여, 수신자가해당메일을읽은후아무의심없이첨부파일을다운로드하고실행하도록유도했다. 심지어메일내첨부된악성파일의아이콘이 [ 그림 3-2] 와같이 Windows 로고를사용함으로써, 평소보안의식이강한사용자가아니라면분명거부감없이해당파일로마우스포인터를옮길것이다. 그림 3-3 랜섬웨어에감염된후바탕화면 랜섬웨어악성코드는시스템내파일을암호화한뒤 16
[ 그림 3-3] 과같이파일복호화안내를바탕화면에표시한다. 기존의다른랜섬웨어들과크게다른특징은없지만, 이번사례에서이용된사회공학기법은악성코드유포방법이점차지능화되고있으며결국사람이가장큰취약점이란것을새삼느끼게해준다. 을악성코드의노크에직접문을열어주는것은사용자의판단부재에따른것이다. 절대로메일내첨부파일을함부로다운로드하거나실행해서는안된다 는가장기초적이고중요한안전수칙을수없이강조하게되는이유가바로이때문이기도하다. 지난 4월국내대형커뮤니티웹사이트를통해드라이브바이다운로드 (Drive-by Download) 로유포되었던랜섬웨어의경우, 시스템의취약점을노린공격이었으므로평소 Windows 보안패치및응용프로그램 (Adobe, java 등 ) 의업데이트를성실히수행해온사용자라면악성코드감염을피할수있었을것이다. V3 제품에서는해당악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Trojan/Win32.CTBLocker (2015.08.03.03) 하지만이번사례와같이메일로유포된악성코드를다운로드하여실행하는것은사용자스스로의판단에따른행동이다. 보안패치로굳게닫혀있는시스템 17
ASEC REPORT VOL.68 August, 2015 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2015 AhnLab, Inc. All rights reserved.