Security Trend ASEC Report VOL.63 March, PDF Free Download

Security Trend ASEC Report VOL.63 March, 2015

ASEC Report VOL.63 March, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2015 년 3 월보안동향 1 보안통계 STATISTICS 2 보안이슈 SECURITY ISSUE 01 악성코드통계 02 웹통계 03 모바일통계 01 다시돌아온 LSP 변조, 파밍공격 02 주요기관노리는 CHM 악성코드 Table of Contents 4 6 7 10 15 3 악성코드상세분석 ANALYSIS IN-DEPTH 오토캐드악성코드감염증상과예방법 18 ASEC REPORT 63 Security Trend 2

1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 ASEC REPORT 63 Security Trend

보안통계 01 악성코드통계 Statistics ASEC 이집계한바에따르면 2015 년 3 월한달간탐지된악성코드수는 2,131 만 7,813 건이다. 이는전 월 2,206 만 3,090 건에비해 74 만 5,277 건감소한수치다. 한편 3 월에수집된악성코드샘플수는 421 만 7,293 건이다. [ 그림 1-1] 에서 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플 수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 40,000,000 36,895,683 30,000,000 20,000,000 22,063,090 21,317,813 10,000,000 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 3,549,667 3,781,333 4,217,293 탐지건수샘플수집수 01 월 02 월 03 월 [ 그림 1-1] 악성코드추이 (2015 년 1 월 ~ 2015 년 3 월 ) ASEC REPORT 63 Security Trend 4

[ 그림 1-2] 는 2015 년 3 월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그램 인 PUP(Potentially Unwanted Program) 가 50.45% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 28.03%, 애드웨어 (Adware) 가 6.85% 로그뒤를이었다. 0.46% 5.54% 6.85% 8.67% 50.45% 28.03% PUP Trojan etc Adware Worm Downloader [ 그림 1-2] 2015 년 3 월주요악성코드유형 [ 표 1-1] 은 3 월한달간가장빈번하게탐지된악성코드 10 건을진단명기준으로정리한것이다. PUP/ Win32.MyWebSearch 가총 208 만 6,933 건으로가장많이탐지되었고, PUP/Win32. MicroLab 이 163 만 2,730 건으로그뒤를이었다. [ 표 1-1] 2015년 3월악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 PUP/Win32.MyWebSearch 2,086,933 2 PUP/Win32.MicroLab 1,632,730 3 PUP/Win32.BrowseFox 1,423,302 4 PUP/Win32.Helper 896,322 5 PUP/Win32.Enumerate 772,126 6 PUP/Win32.SubShop 541,662 7 PUP/Win32.IntClient 516,121 8 PUP/Win32.Generic 514,346 9 PUP/Win32.Gen 405,807 10 PUP/Win32.CloverPlus 398,999 ASEC REPORT 63 Security Trend 5

보안통계 02 웹통계 Statistics 2015 년 3 월악성코드유포지로악용된도메인은 1,563 개, URL 은 3 만 3,588 개로집계됐다. 또한 3 월의 악성도메인및 URL 차단건수는총 535 만 4,893 건이다. 악성도메인및 URL 차단건수는 PC 등시스템 이악성코드유포지로악용된웹사이트의접속을차단한수이다. 9,000,000 8,104,699 8,000,000 7,000,000 6,000,000 5,354,893 5,000,000 4,000,000 4,860,868 40,000 33,588 30,000 20,000 24,254 19,790 10,000 1,917 1,594 1,563 악성도메인 /URL 차단건수 악성코드유포도메인수 0 01 월 02 월 03 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 (2015 년 1 월 ~ 2015 년 3 월 ) ASEC REPORT 63 Security Trend 6

보안통계 03 모바일통계 Statistics 2015 년 3 월한달간탐지된모바일악성코드는 24 만 7,243 건으로집계됐다. 250,000 200,000 221,188 247,243 150,000 108,607 100,000 50,000 0 01 월 02 월 03 월 [ 그림 1-4] 모바일악성코드추이 (2015 년 1 월 ~ 2015 년 3 월 ) ASEC REPORT 63 Security Trend 7

[ 표 1-2] 는 3 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. Android-PUP/ SmsReg 가지난 2 월보다 3 만 2,346 건증가한 15 만 2,962 건으로집계됐다. [ 표 1-2] 2015 년 3 월유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/SMSReg 152,962 2 Android-PUP/Noico 14,083 3 Android-Trojan/FakeInst 12,319 4 Android-PUP/Dowgin 9,480 5 Android-Trojan/AutoSMS 6,176 6 Android-PUP/Airpush 4,041 7 Android-Trojan/Opfake 3,723 8 Android-PUP/Wapx 2,738 9 Android-Trojan/SMSAgent 2,641 10 Android-Trojan/SmsSend 2,152 ASEC REPORT 63 Security Trend 8

2 보안이슈 SECURITY ISSUE 01 다시돌아온 LSP 변조, 파밍공격 02 주요기관노리는 CHM 악성코드 ASEC REPORT 63 Security Trend

보안이슈 01 다시돌아온 LSP 변조, 파밍공격 Security Issue 오래전 온라인게임핵, 파밍 악성코드에사용된공격방법이최근다시발견되었다. 이번에발견된공격방법은 LSP(Layered Service Provider) 변조를이용한방식과정상파일을악용한방식이다. 두가지방식에대해알아보자. 1. LSP 변조방법관련악성코드를다루기전에 LSP에대해알아보면 [ 그림 2-1] 과같다. 그림 2-2 LSP(Layered Service Provider) 구조 이러한통신과정, LSP는모든데이터를여과없이통과하므로송수신되는데이터를모두감시할수있다. LSP를임의로삭제할경우네트워크가정상적으로동작하지않는다. 또한레지스트리에등록및설치되므로 LSP의변조여부를인지하기어렵다. 그림 2-1 Winsock 2 & Winsock 2 Transport SPI 구조 Winsock(Windows Socket API) 은윈도운영체제내에서인터넷응용프로그램의입출력요청을처리하는인터페이스이다. 웹브라우저와같은응용프로그램의명령을받아 Winsock 2 DLL 을거쳐최종적으로 Base Provider 와통신한다. 이번에발견된악성코드는기존의공격방법인 LSP 변조 와 VPN 터널링 기법을사용했다. 악성코드에감염되면 [ 표 2-1] 과같이파일을생성한다. 표 2-1 생성된파일경로 [ 생성파일 ] C: WINDOWs system32 v2bsxerv.dll C: WINDOWs system32 twlsp.dll ASEC REPORT 63 Security Trend 10

생성된파일은 [ 표 2-2] 와같이레지스트리에등록 되어시스템시작시자동으로실행된다. 표 2-2 레지스트리등록 악성코드는사용자가감염여부를인지하지못하도록자가삭제한다. 그리고 svchost.exe 파일을통해실행된 v2bsxerv.dll 파일로 VPN 정보를수신하여연결을시도한다. HKLM SYSTEM ControlSet001 Services BSXerv DisplayName BS Server HKLM SYSTEM ControlSet001 Services BSXerv ImagePath %SystemRoot% system32 svchost -k BSXerv" HKLM SYSTEM ControlSet001 Services BSXerv Parameters ServiceDll "C: WINDOWS system32 v2bsxerv.dll" 이후시스템의 LSP를변조한다. 악성코드는시스템에저장된 LSP 프로토콜정보목록을모두삭제한후 twlsp.dll 파일을추가한다. 그다음기존에저장되어있는 LSP 프로토콜정보를복원시킨다. 그림 2-4 실행중인 v2bsxerv.dll 파일 표 2-3 변조된 LSP 경로 HKLM SYSTEM ControlSet001 Services WinSock2 Parameters Protocol_Catalog9 Catalog_Entries [ 숫자 ] PackedCatalogItem 43 3A 5C 57 49 4E 44 4F 57 53 5c 73 79 73 74 65 6d 33 32 5c 74 77 6c 73 70 2e ( 생략 ) 그림 2-5 VPN 정보수신 그림 2-6 VPN 연결시도 VPN 연결이완료되면악성코드는감염된시스템 그림 2-3 추가된 twlsp.dll 파일 에서사용자가주요포털과은행사이트에연결하는지감시한다. 사용자가사이트접속을시도하면감염된악성코드에의해파밍사이트로연결된다. ASEC REPORT 63 Security Trend 11

이번에발견된악성코드는 카이홍갓모드 (Caihong, God Mode) 를이용한악성코드와유포방법이유사하다. 공격자는취약한사이트에아이프레임 (iframe) 을삽입했으며, 여러경유지를거쳐최종적으로파밍악성코드를내려받도록유도한다. 그림 2-7 파밍사이트화면 [ 그림 2-7] 과같이사용자가파밍사이트에접근하면금융정보가탈취된다. 이런종류의악성코드는보안취약점이있는 PC에서웹사이트에방문만해도감염될수있다. 따라서사용자는악성코드감염예방을위해응용프로그램의보안업데이트를꼼꼼히하고안전한사이트인지확인한후방문해야한다. 2. 정상파일 (UTIL) 을악용한파밍공격다수의국내사이트가파밍악성코드유포에악용되었다. 악성코드유포에이용된사이트대부분은최종적으로동일한악성파일을내려받도록조작되어있었으며, 침해된사이트중일부는 [ 그림 2-8] 과같다. 그림 2-9 악성코드유포과정 삽입된스크립트들은분석이어렵게난독화되어있었으며, 스크립트동작이눈에보이지않기때문에일반사용자는악성코드에감염된사실을인지하기어렵다. 그림 2-8 침해된일부사이트 그림 2-10 정상 악성 DLL 비교 ASEC REPORT 63 Security Trend 12

이번에발견된파밍악성코드의특징은악성코드를실행시키는과정에서정상유틸리티파일을이용했다는점이다. 정상파일이악성코드실행에이용된것이이번이처음은아니다. 2014년에도국내에서잘알려진프로그램의정상파일도악성코드실행에사용되었다. 그림 2-11 DLL 로드 해당악성코드는마우스로볼륨을조절하는유틸리티인 볼류마우스 (Volumouse Utility) 를통해악성행위를한다. 이는정상파일이 DLL을로드하는과정에서 DLL을검증하지않는설계상의문제점을이용한것이다. Volumouse.exe는위치기반으로 vlmshlp.dll을로드하여실행한다. DLL을로드하는과정에서로드될파일의사실여부를검증하지않는다. 따라서로드될 DLL과이름만같다면설계시의도한파일이아니어도문제없이실행된다. 그림 2-13 변조된 svchost.exe 실행 또한, 메모리영역의데이터만변조했기때문에파일자체는정상파일이지만실제행위는악성 vlmshlp. dll이변조한다. 따라서일반사용자는 vlmshlp.dll 이악성인지정상인지판단하기어렵다. 최종적으로변조된 svcshost.exe는공인인증서유출, DNS 변조, 맥주소 (Mac Address) 유출등을통해파밍사이트로접속을유도하여사용자정보를탈취한다. 그림 2-14 파밍사이트 그림 2-12 악성 vlmshlp.dll 로드 [ 그림 2-13] 과같이로드된악성 vlmshlp.dll은 svchost.exe를실행시키고메모리변조를통해악성행위를하는프로세스로둔갑시킨다. 정상사이트를침해한악성코드유포는사이트에접속하는모든사용자를대상으로한다. 이러한공격은특정응용프로그램과운영체제의취약점을이용하여사용자모르게악성코드를감염시킨다. 감염사실또한인지하기어렵기때문에보안업데이 ASEC REPORT 63 Security Trend 13

트나백신을사용하지않으면무방비상태로악성코드에노출될수있다. 따라서악성코드를예방하려면보안업데이트와백신을항상최신버전으로유지해야한다. V3 제품군에서는관련악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Trojan/Win32.Kryptik (2015.03.04.00) Trojan/Win32.Injector(2015.03.09.03) Trojan/Win32.Banki(2015.03.10.04) JS/Redirect(2015.03.10.02) JS/Exploitkit(2015.03.09.02) ASEC REPORT 63 Security Trend 14

보안이슈 02 주요기관노리는 CHM 악성코드 Security Issue 기관을노린것으로추정되는악성 CHM(Microsoft Compiled HTML Help) 파일이지속적으로발견되고있다. 특히과거부터발견된몇몇파일들이서로비슷한특징을가지고있어그연관성을확인해볼필요가있다. [ 그림 2-15] 와같이악성파일을실행하면마이크로소프트도움말 (CHM) 파일과 PDF 파일로된청첩장을확인할수있다. 해당악성코드는여러스레드 (thread) 와이벤트로동작한다. 각스레드는 C&C와의송수신, 악성코드다운로드, 파일실행기능을갖고있다. 특히하드코딩되어있는값들로 HTTP 헤더 (header) 를랜덤하게구성하는코드가확인되었다. 하지만현재 C&C(www.wi****m.com, 17*.**.***. *53:3680) 가정상으로동작하지않아자세한확인은이루어지지않았다. [ 표 2-4] 와같이랜덤하게구성되는 HTTP 헤더의 URL은존재하지않는주소로확인된다. 표 2-4 랜덤하게구성되는각헤더요소들 그림 2-15 CHM 파일 ( 좌 ) 과 PDF 파일 ( 우 ) 실행시나타나는화면 CHM 파일을클릭하면악성파일이바로실행된다. 이는 index.htm에있는오브젝트 (object) 태그를이용하여악성코드를로드하기때문이다 ([ 그림 2-16]). 그림 2-17 구성된헤더 ( 요청페이지는존재하지않음 ) 이러한형태, 행위와 C&C는 [ 그림 2-18] 과같이과거수집된몇몇 CHM 악성코드에서도확인된바있다. 그림 2-16 오브젝트태그를이용한악성파일 (wuacted.exe) 실행 ASEC REPORT 63 Security Trend 15

[ 표 2-5] 와같이로드방식이나 C&C 도메인의유사성, 바이너리문자열그리고랜덤 HTTP 헤더조합코드의존재여부를비교했을때파일간에는어느정도유사성이있는것으로추정된다. 적당한시간간격으로꾸준히접수되고있고최근까지도관련테스트파일이수집되었기때문이다. 그림 2-18 파일별바이너리문자열비교 ( 왼쪽부터 2012 년 5 월, 2013 년 4 월, 2015 년 3 월, 2015 년 3 월 ) 안랩은청첩장, 이력서를비롯하여 3.20 전용백 신, 국방표준종합정보시스템공지 등으로위장한 CHM 을소개한바있다. [ 표 2-5] 는각파일의특 징을간단히비교한것이다. 표 2-5 파일비교 이처럼 CHM을이용한해킹시도는계속되고있다. 공격대상또한보안, 국방, 외교등중요도가높은국가기관일가능성이높다. 해당악성코드가실행되면 C&C 서버에서원격명령을그대로실행할수있어감염시 2차피해가우려된다. 이에사용자의각별한주의가요구된다. V3 제품군에서는관련악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Dropper/Rctl (2015.03.17.00) Trojan/Win32.RCtl (2015.03.20.05) ASEC REPORT 63 Security Trend 16

3 악성코드상세분석 Analysis-In-Depth 오토캐드악성코드감염증상과예방법 ASEC REPORT 63 Security Trend

악성코드상세분석 Analysis-In-Depth 오토캐드악성코드감염증상과예방법 안랩의 바이러스신고센터 에는간혹오토캐드 (AUTOCAD) 악성코드와관련된문의가접수되고있다. 오토캐드를사용하는기업에서는악성코드감염사실을바로알아차리지못하는경우가많다. 이는오토캐드악성코드로자주발견되는 LISP(List Processor) 파일이다른프로그램에는영향을주지않고도면파일 (*.dwg) 이실행될때자동으로로드되어실행되기때문이다. 악성코드제작자는도면파일의명령어실행을방해하거나 LISP 파일유포가목적인만큼일반 PC 사용자는감염여부확인이어렵다. 이로인해어느정도시간이지난후다수의오토캐드사용자에게문제가생긴후접수되는경우가많다. 이에오토캐드악성코드의감염증상과예방법에대해알아본다. 오토캐드악성코드로발견되는파일명은많지만주로사용되는파일명은 [ 표 3-1] 과같다. 나타나는증상은 [ 표 3-2] 와같다. 표 3-2 오토캐드악성코드감염시나타나는주요증상 1 모든도면폴더경로에 LISP 파일생성 2 일부 Command 명령어사용불가 (EXPLODE, XREF, XBIND 등 ) 3 알수없는오류문자열과알림창 4 시스템변수변경 (ACADLSPASDOC, FILLMODE 등 ) 5 LOAD 실패메시지 (acaddoc, acadapp, acadapq) 6 VBA 시스템초기화중 실행오류알림발생 (VBA 를로드하는중자동화오류발생 ) 7 오류 : stringp nil 8 도면파일실행시프로그램응답없음또는지연 (Delay) [ 표 3-2] 의오토캐드악성코드감염시나타나는주요증상중일부를살펴보자. 오토캐드악성코드에감염되면 [ 표 3-2] 의 1과같이모든도면폴더경로에 LISP 파일이생성된다. 표 3-1 오토캐드악성코드에주로사용되는파일명 acad.lsp, acaddoc.lsp, acadapp.lsp, acadapq.lsp, acadiso.lsp, acad.dvb acad.fas, acaddoc.fas, acad.vlx, acadiso.lsp, acad.mnl 악성파일이있는폴더의도면파일을실행했을때 그림 3-1 생성되는 LISP 파일 ASEC REPORT 63 Security Trend 18

해당악성파일은 [AutoCAD폴더\Support\ acadapp.lsp] 경로에자기자신을복제한후 [AutoCAD폴더\Support\acad.lsp] 경로의파일을 [ 그림 3-3] 과같이수정한다. [AutoCAD폴더\Support\acadapp.lsp] 파일및다른폴더의 acad.lsp 파일을삭제하더라도 [AutoCAD폴더\Support\acad.lsp] 파일의내용이수정되지않으면 [ 그림 3-6] 과같이 LOAD 실패 ([ 표 3-2] 의 5) 가발생할수있다. 그림 3-2 acadapp.lsp 파일내용중일부 그림 3-6 로드실패 위의샘플과비교하여또다른악성파일인 acad. fas 에서는 [ 그림 3-7] 과같은증상을확인할수있다. 그림 3-3 acad.lsp 파일내용 이후도면파일실행시 [ 표 3-2] 의 7 과같이 오류 : stringp nil 이라는메시지가나타난다. 그림 3-7 해당파일과동일한폴더에있는도면파일실행시오류문자열출력발생 ([ 표 3-2] 의 3) 그림 3-4 stringp nil 오류 또한 [ 표 3-2] 의 3 과같이 ACADLSPASDOC 의 변수값이 0 에서 1 로변경된다. 또는 [ 표 3-2] 의 6 과같이 VBA 시스템초기화 중 실행오류알림 이라는메시지를출력한다. 그림 3-5 VBA 시스템초기화중 실행오류 그림 3-8 시스템변수변경 ASEC REPORT 63 Security Trend 19

위와같이오토캐드악성코드에감염되면도면파일이정상으로실행되지않거나특정명령어가동작하지않아사용자는불편을느낀다. 따라서오토캐드사용자는오토캐드프로그램실행시확인되지않은 VBA(Visual Basic for Application) 스크립트실행을자제하고, 공유폴더를사용하지않는것이안전하다. 다수의기업에서는업무편의를위해도면폴더를공유폴더로설정하여사용하는경우가많다. 이는모든사용자가악성코드에감염될수있으므로공유폴더를사용하지않는것만으로도추가악성코드감염을예방할수있다. [ 오토캐드악성코드예방법 ] 1. 직접작성하지않은 LISP 파일이폴더에있을경우, 도면파일을실행하기전파일내용을확인한다 ( 오토캐드실행시자동으로로드하는 LISP 파일 : acad.lsp, acad.fas, acaddoc.lsp acad. dvb, acaddoc.vlx, acaddoc.fas 등 ). 4. ACADLSPASDOC 시스템변수의값을 0으로설정한다. - Command : setvar? * 로확인가능 5. *.mnl 파일또는사용중인 *.lsp 파일은읽기전용속성으로사용한다. 6. 오토캐드악성코드는바이러스처럼전파기능이있으므로공유폴더사용을자제한다. 한편, V3 제품군에서는관련악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > ALS/Bursted 2. 악성코드가자주사용하는파일명에대해빈 LISP 파일은 읽기전용 속성으로생성한다. 3. 오토캐드옵션을조정한다. [ 모든도면에 acad. lsp 로드 ] 체크박스를해제한다. ASEC REPORT 63 Security Trend 20

ASEC REPORT vol.63 March, 2015 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩 UX디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2015 AhnLab, Inc. All rights reserved.