Security Trend ASEC REPORT VOL.70 October, 2015
ASEC REPORT VOL.70 October, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2015 년 10 월보안동향 1 보안통계 STATISTICS 2 보안이슈 SECURITY ISSUE 01 악성코드통계 02 웹통계 03 모바일통계 01 인터넷우체국을사칭한스팸메일주의 02 블루스크린 으로위장한피싱사이트 Table of Contents 4 6 7 10 12 3 악성코드상세분석 ANALYSIS IN-DEPTH PDF 파일을악용한악성코드사례 15 2
1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계
보안통계 01 악성코드통계 Statistics ASEC 이집계한바에따르면 2015 년 10 월한달간탐지된악성코드수는 1,374 만 1,322 건으로나타났 다. 이는전월 1,520 만 4,993 건에비해 146 만 3,671 건감소한수치다. 한편 10 월에수집된악성코드샘플 수는 617 만 9,297 건이다. 40,000,000 30,000,000 20,000,000 17,869,127 15,204,993 13,741,322 10,000,000 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 6,437,437 7,311,086 6,179,297 탐지건수샘플수집수 08 월 09 월 10 월 [ 그림 1-1] 악성코드추이 (2015 년 8 월 ~ 2015 년 10 월 ) * 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 4
[ 그림 1-2] 는 2015 년 10 월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그 램인 PUP(Potentially Unwanted Program) 가 77.00% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 13.58%, 웜 (Worm) 이 1.93% 의비율로그뒤를이었다. 0.17% 1.75% 1.93% 5.57% 77.00% 13.58% PUP Trojan etc Worm Adware Downloader [ 그림 1-2] 2015 년 10 월주요악성코드유형 [ 표 1-1] 은 10 월한달간탐지된악성코드중 PUP 를제외하고가장빈번하게탐지된 10 건을진단명기준 으로정리한것이다. Trojan/Win32.Starter 가총 12 만 9,910 건으로가장많이탐지되었고, Trojan/ Win32.Gen 이 11 만 4,801 건으로그뒤를이었다. [ 표 1-1] 2015년 10월악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 Trojan/Win32.Starter 129,910 2 Trojan/Win32.Gen 114,801 3 Trojan/Win32.Agent 103,522 4 Malware/Win32.Generic 98,757 5 Trojan/Win32.Banki 80,456 6 Trojan/Win32.OnlineGameHack 60,435 7 Unwanted/Win32.Exploit 53,141 8 Worm/Win32.IRCBot 46,705 9 Unwanted/Win32.Keygen 46,642 10 Trojan/Win32.Generic 45,917 5
보안통계 02 웹통계 Statistics 2015 년 10 월에악성코드유포지로악용된도메인은 1,535 건, URL 은 1 만 282 건으로집계됐다 ([ 그림 1-3]). 또한 10 월의악성도메인및 URL 차단건수는총 399 만 1,443 건이다. 9,000,000 8,000,000 7,000,000 6,000,000 5,000,000 4,000,000 4,943,679 4,127,520 3,991,443 40,000 30,000 20,000 12,691 10,457 10,282 10,000 1,239 1,258 1,535 악성도메인 /URL 차단건수 악성코드유포도메인수 0 08 월 09 월 10 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 (2015 년 8 월 ~ 2015 년 10 월 ) * 악성도메인및 URL 차단건수 란 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 6
보안통계 03 모바일통계 Statistics 2015 년 10 월한달간탐지된모바일악성코드는 68 만 9,063 건으로집계됐다 ([ 그림 1-4]). 700,000 689,063 600,000 284,092 250,000 200,000 153,547 150,000 100,000 50,000 0 08 월 09 월 10 월 [ 그림 1-4] 모바일악성코드추이 (2015 년 8 월 ~ 2015 년 10 월 ) 7
[ 표 1-2] 는 10 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다.. Android-PUP/ SmsPay 가가장많이발견되었다. [ 표 1-2] 2015 년 10 월유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/SmsPay 330,240 2 Android-Trojan/FakeInst 56,645 3 Android-PUP/SmsReg 34,608 4 Android-PUP/Noico 29,980 5 Android-PUP/Dowgin 21,709 6 Android-PUP/Zdpay 21,324 7 Android-PUP/Downloader 20,501 8 Android-Trojan/Opfake 16,596 9 Android-PUP/Mmsreg 15,523 10 Android-Trojan/SMSAgent 11,645 8
2 보안이슈 SECURITY ISSUE 01 인터넷우체국을사칭한스팸메일주의 02 블루스크린 으로위장한피싱사이트
보안이슈 Security Issue 01 인터넷우체국을사칭한스팸메일주의 최근 인터넷우체국 을사칭하는스팸메일이유포되고있어인터넷사용자들의주의가요구된다. 소포의배송주소가잘못되어있으니확인하라 는내용으로사용자들을유도하여악성코드다운로드를시도한다. 해당악성코드는사용자의키보드입력값을탈취하거나사용하고있는프로그램의정보를외부로전송하는것으로확인됐다. 스팸메일은여전히효과적인악성코드유포수단이다. 물론그간다수의보안침해사례와보안업계의적극적인행보로사용자들의보안의식이높아진것이사실이다. 그러자공격자들은 [ 그림 2-1] 과 [ 그림 2-2] 와같이사람들의호기심이나일상생활에관련이있을법한내용으로사용자들을유도하는사회공학적기법을이용하고있다. 특히이번에발견된우체국사칭메일은최근의스팸메일과달리영어가아닌한국어로작성되어있어스팸공격이나날이고도화되고있음을짐작하게한다. 그림 2-1 허위배송정보스팸메일 그림 2-2 허위영수증스팸메일 [ 그림 2-3] 은최근유포된우체국사칭메일이다. 메일내에우체국로고를사용하고있을뿐만아니라어색한문장이기는하지만한국어로작성되어사용자의관심을유도하고있다. 그림 2-3 우체국사칭스팸메일 만일사용자가이메일의첨부파일을실행하면 <C:\Documents and Settings\[ 사용자계정 ]\Application Data\ 랜덤문자열 \> 경로에 랜덤문자열.exe 파일이자가복제한다. 또한시스템시작시자동실행되도록하기위해레지스트리에등록한다 (HKCU\Software\Microsoft\ Windows\CurrentVersion\Run\). 10
그림 2-4 시스템내실행되는프로그램및입력되는문자열값저장 해당악성코드는.Net Framework로제작된후, 난독화된실행파일이다. 이악성코드는액세스토큰에특권 (SeSecurityPrivilege, SeShutdownPrivilege, SeDebugPrivilege 등 ) 을부여하여시스템권한을획득한후사용자가실행하는프로그램및키보드입력값을탈취하여 <C:\Documents and Settings\[ 사용자계정 ]\Application Data\dclogs\> 경로에 Y( 년 )-M( 월 )-D( 일 )-H( 시간 ).dc 라는로그를저장한다. 그림 2-5 AES in CBC mode 암호화코드 또한특정 IP 주소로접속을시도하는데, 해당서버와통신이이루어지면감염된시스템에서수집한정보를 AES 암호화한후전송하는것으로보인다. 이를통해 C&C 서버로부터추가악성코드를다운받거나 RAT류악성코드를이용해공격자가감염된시스템을원격제어할수도있다. 스팸메일을통한악성코드유포는매우고전적인수법이지만사라지지않고지속적으로발생하는것으로보아여전히유효한수법임이틀림없다. 게다가그수법이나날이지능화되고있으며, 이번사례처럼특정지역의사용자를노리는 맞춤형스팸 으로진화하고있음을알수있다. 번역기로돌린듯매우어색한한국어문장이지만, 보이스피싱의진화처럼조만간정확한한국어스팸으로진화할지도모를일이다. 따라서사용자들은메일이용시아래와같이 메일보안기본수칙 에준수하여더욱주의를기울여야겠다. 아울러백신사용및최신엔진버전유지, 윈도우및각종응용프로그램의최신보안패치적용등기본적인부분도잊지말아야하겠다. [ 메일보안기본수칙 ] 1. 출처가확인되지않은메일의첨부파일을함부로열어보지않는다. 2. 메일본문을꼼꼼히읽어서스팸메일여부를확인한다. 3. 폴더옵션항목중 " 알려진파일형식의파일확장명숨기기 " 기능을해제하여확장명을확인할수있도록한다. 확장명숨기기옵션을이용중인사용자의경우문서파일아이콘등으로위장한공격에노출되기쉽다. V3 제품에서는해당악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Win-Trojan/FCN.140610 (2015.10.19.06) 11
보안이슈 Security Issue 02 블루스크린 으로위장한피싱사이트 오랫동안 Windows를사용한사용자라면파란바탕화면에하얀색글씨가나타나는블루스크린 (Blue Screen) 을한번도경험하지않은사람은없을것이다. 블루스크린은 Blue Screen of Death 를줄여서부르는용어로앞글자만따서 BSOD 라고도부른다. 최근블루스크린이발생한것처럼위장한악성사이트가발견됐다. 실제로는사용자를속여금품을갈취하기위한피싱사이트이다. 이크로소프트직원을사칭하며복구비용을요구하는것으로알려져있다. 원래블루스크린은윈도우 (Windows) 이용시메모리액세스위반, 하드웨어및소프트웨어오류등치명적인시스템오류가발생하여복구될수없을때나타난다. 오류의원인을알려주는일종의메시지이지만, PC 사용중에갑자기등장하여화면전체를파랗게압도하는탓에누구든당황하게된다. 예컨대한창작업중이던파일을미처저장하지못했을때블루스크린이나타나가슴이철렁했던순간을경험한사용자들이많을것이다. 이번에발견된피싱사이트는바로이러한사용자들의당혹스러움을이용했다. 그림 2-6 블루스크린화면으로위장한악성사이트 [ 그림 2-6] 은최근발견된블루스크린화면으로위장한피싱사이트이다. 윈도우에심각한문제가발생하였으며해결을위해마이크로소프트기술지원센터에문의하라 는내용을담고있다. 또한수신자부담전화번호를제공하고있는데, 이번호로전화를하면마 물론컴퓨터사용에익숙한사용자라면 [ 그림 2-6] 과같은화면이나타났을때정상적인블루스크린이아니라는것을알아차릴수도있다. 그런데이피싱사이트는 [ 그림 2-7] 과같이소스코드일부에사용자가발생시킨이벤트를막는스크립트가삽입돼있어 PC의 Windows 작업관리자 를통해프로세스자체를종료하지않으면인터넷브라우저가종료되지않는다. 그렇기때문에대부분의사용자들은순간당황하여조작된거짓화면과가이드임을눈치채지못할수도있다. 12
그림 2-7 악성사이트 html 소스코드일부 그림 2-10 동일 IP 주소로조회되는 URL 목록 현재구글은관련이슈를보고받고해당피싱사이트링크를삭제한상태다. 그러나공격자들은 URL의단어한두개만살짝바꾸는등의수법을통해지속적으로악성사이트를유포하기때문에사용자들의각별한주의가필요하다. 그림 2-8 Windows 작업관리자 를통한프로세스종료 이피싱사이트는구글의 광고 링크를이용해불특정다수의사용자접속을유도한것으로확인되었다. 사용자들이특정검색어를입력하였을때 [ 그림 2-9] 와같이검색결과링크의상단또는하단에표시되는광고링크를이용한것이다. 그림 2-9 구글의광고링크를이용한사용자클릭유도 동일한 IP 주소로조회해봤을때다음과같이근래에 만다양한 URL 이확인되었음을알수있다. 13
3 악성코드상세분석 ANALYSIS-IN-DEPTH PDF 파일을악용한악성코드사례
악성코드상세분석 Analysis-In-Depth PDF 파일을악용한악성코드사례 # 사례1: PDF를악용한뱅커 (Banker) 류 A씨는거래처영업대표로부터이메일을받았다. 메일제목을보니이번달제품단가에대한업데이트문서를첨부한것같았다. 매달비슷한내용의메일을받기때문에별다른의심없이메일에첨부된 PDF 파일을열었다. 그런데 PDF 문서안에는 dd라는두글자만쓰여있을뿐이고다시첨부파일을열라는팝업창이나타났다. 문서포맷이바뀐건가? 라고생각하며팝업창의 OK 버튼을눌렀다. 그러자 MS 워드파일이열리며문서가표시되는데, 역시아무내용이없다. 그리고는문서상단에 매크로를실행할수없다 는표시가나타났다. 무슨문서를이렇게복잡하게도만들었나싶었지만어쨌든매크로를실행했다. 그런데또다시아무내용도안보인다. 순간짜증이났지만나중에업체에연락해야겠다고생각하며그문서를닫고다른업무를처리했다. 그날오후, 다른거래처에거래대금을송금하기위해 A씨가인터넷뱅킹사이트에접속하자보안카드번호전체를입력하라는팝업창이나타났다. 뭔가느낌이좋지않다. 그림 3-1 내부에다른포맷의문서파일및 EXE 파일을포함하고있는악성 PDF 파일 이와같이최근악성 PDF 파일을이용한공격사례가 잇따르고있다. 특히업무내용으로위장한메일의첨 부파일형태로유포되고있어더욱주의가요구된다. 앞서언급한사례는거래처영업대표의메일계정이 탈취되어주소록에포함된사람들에게악성 PDF 파 일을첨부한메일이전송된사례를재구성한것이다. 그나마위의사례에서는의심징후를찾아볼수있다. 우선 PDF 문서에아무내용이없었던점도이상하 15
지만 PDF 파일에 MS 워드문서가내장되어있다는점 MS 워드파일에도아무내용이없고매크로가포함되어있다는점등은의심해볼필요가있다. 대다수의공격에서는위와같은징후를알아차리기쉽지않다. 위의사례를중심으로 PDF 파일을이용한최신공격방식을상세히살펴보고예방법은없는지알아본다. 공격은어떻게이루어졌나우선메일에첨부된해당 PDF 파일에서문자열을추출하여특정키워드를검색하는툴을이용해분석했다. 그결과, PDF 파일내부에자바스크립트가포함되어있으며, 또다른파일이내장 (embedded) 되어있었다. 그림 3-3 PDF 내장파일의파일헤더 앞서 [ 그림 3-1] 의팝업창에나타난파일명이 4.docm 라는점에서해당 PDF에내장된파일은매크로가포함된 MS 오피스파일형식 (.DOCM) 이라는것을유추할수있다. 그림 3-4 그림 1 의팝업확대 또한해당 PDF 파일내삽입된자바스크립트코드는특정객체를추출하여실행시키는명령으로, PDF 파일에내장된 DOCM 파일을임시폴더에추출하여실행하기위한목적임을알수있다. 그림 3-2 PDF 파일문자열검색결과 파일이내장된부분은의심스러우나자바스크립트코드는정상일수도있다. 삽입된자바스크립트는어떤기능을갖는지, 내장된파일은어떤파일인지확인해보자. [ 그림 3-3] 은 PDF 파일속에내장된파일의헤더인데, 이처럼 PK 혹은 50 4B를헤더로갖는파일의종류는 ZIP, JAR, MS 오피스, Open Document 등이다. 그림 3-5 PDF 파일내자바스크립트코드 이제자바스크립트를통해실행되는 PDF 내의 DOCM 파일이어떤행위를하는지알아보자. [ 그림 3-6] 은 4.docm 파일의 OLE 데이터스트림을문자열로변환한결과다. A3 스트림에서매크로를이용하여 ceece.exe를다운로드하여실행하는것을확인할수있다. 16
그림 3-8 외부응용프로그램열기허용기능사용시 ( 왼쪽 ) 와기능해제시 ( 오른쪽 ) 그림 3-6 매크로에의한 EXE 파일실행 ceece.exe는파밍공격에서주로사용되는뱅커 (Banker) 류의악성코드로확인되었다. A3 스트림을통해확인한이악성코드의다운로드경로는다음과같다. http://kons****au.re****ika.pl/07jhnb4/0kn7b6gf.exe 악성 PDF 파일에의한피해, 어떻게예방할것인가악성 PDF 자체는 Adobe Reader의 신뢰관리자 (Trust Manager) 기능을통해피해를예방할수있다. [ 그림 3-6] 과같이 [ 편집 ] > [ 기본설정 ] > [ 신뢰관리자 ] 경로에서 PDF가아닌첨부파일을외부응용프로그램으로열기허용 기능을해제하면된다. 사용자가많은기업의경우에는 액티브디렉터리 를통해다음과같은레지스트리값을배포하는것도방법이다. [ 레지스트리설정가이드 ] 경로 : HKLM\SOFTWARE\Policies\Adobe\<product name>\<version>\featurelockdown\cdefaultlaunchattachmentperms 레지스트리이름 : tbuiltinpermlist 레지스트리값 : version:1.ade:3.adp:3.app:3.arc:3. arj:3.asp:3.bas:3.bat:3.bz:3.bz2:3.cab:3.chm:3. class:3.cmd:3.com:3.command:3.cpl:3.crt:3. csh:3.desktop:3.dll:3.exe:3.fxp:3.gz:3.hex:3. hlp:3.hqx:3.hta:3.inf:3.ini:3.ins:3.isp:3.its:3. job:3.js:3.jse:3.ksh:3.lnk:3.lzh:3.mad:3.maf:3. mag:3.mam:3.maq:3.mar:3.mas:3.mat:3.mau:3. mav:3.maw:3.mda:3.mdb:3.mde:3.mdt:3. mdw:3.mdz:3.msc:3.msi:3.msp:3.mst:3.ocx:3. ops:3.pcd:3.pi:3.pif:3.prf:3.prg:3.pst:3.rar:3. reg:3.scf:3.scr:3.sct:3.sea:3.shb:3.shs:3.sit:3. tar:3.taz:3.tgz:3.tmp:3.url:3.vb:3.vbe:3.vbs:3. vsmacros:3.vss:3.vst:3.vsw:3.webloc:3.ws:3. wsc:3.wsf:3.wsh:3.z:3.zip:3.zlo:3.zoo:3.pdf:2. fdf:2.jar:3.pkg:3.tool:3.term:3 그림 3-7 Adobe Reader 의신뢰관리자화면 위의기능을선택해제하면 PDF 파일내부에탑재 된파일에대해실행여부를묻지않고 [ 그림 3-8] 과 같이바로실행을차단한다. 그림 3-9 레지스트리설정 17
단, Adobe Reader의메뉴를통해 첨부파일을외부응용프로그램으로열기허용 을해제하면생성되는값이많은파일유형을포함하기때문에주의가필요하다. # 사례2: PDF를악용한피싱 - 배송업체사칭피싱 (Pishing) 이란, private data 와 fishing 의합성어로사용자가신뢰할수있는유명기업이나기관등으로속여사용자스스로개인정보를입력하도록유도하여갈취하는공격방법이다. 이과정에서사용자의신뢰를얻기위해다양한방법을사용하는데 PDF 문서를이용해피싱사이트로유도하는케이스가발견되었다. 그림 3-11 정상사이트 ( 왼쪽 ) 와피싱사이트 ( 오른쪽 ) PDF 내부링크를클릭하면피싱사이트로연결되며메일, 비밀번호, 운송번호를요구한다. 하지만정상적인실제운송조회사이트에서는운송조회에필요한최소한의정보만을요구한다. 따라서과도한정보를요구할경우피싱사이트가아닌지의심해봐야한다. 그림 3-10 PDF 실행화면 그림 3-12 요구정보입력시나타나는화면 해당 PDF는해외유명운송업체로위장하고있으며, 문서가암호화되어있다는메시지와함께피싱사이트로접속을유도한다. 문서가영어로되어있지만, 국내에서도구매대행서비스를이용해해외에서물품을구매하는경우가많기때문에국내이용자들도주의해야한다. 요구정보를모두입력하면 [ 그림 3-12] 와같은화면이나타난다. 입력정보와무관한그림파일이기때문에어떤정보를입력하든동일하게이화면이나타난다. 입력정보는 [ 그림 3-13] 과같이평문형태로배송업체와상관없는서버에전송되는것을확인할수있다. 18
사용자아이디와비밀번호를입력하고 VIEW FILE 버튼을클릭하면정상적인문서를브라우저에보여 주며, 동시에입력된사용자개인정보는유출된다. 그림 3-13 입력정보패킷 # 사례3: PDF를악용한피싱 - 구매내역위장이번사례역시 PDF 파일에피싱사이트로접속을유도하는링크가존재하는경우다. 링크를클릭하면 [ 그림 3-14] 와같이 This PDF is protected 라는문구와함께사용자의메일, 비밀번호정보를요구한다. 그림 3-16 사용자정보입력시나타나는문서 ( 왼쪽 ) 와입력정보패킷 ( 오른쪽 ) 이렇게공격자에게개인정보가유출될경우이를악 용한추가피해가발생할수있기때문에가급적출처 가분명하지않은메일의첨부파일확인이나링크실 행시주의하길권장한다. 또한일반적으로요청하지 않는비밀번호, 금융정보등과같은개인정보를요 청할경우, 해당기관이나사이트에진위여부를확인 해보는습관이필요하다. 그림 3-14 PDF 실행화면 V3 제품에서는해당악성코드를다음과같이진단하 고있다. <V3 제품군의진단명 > PDF/Fakeinvoice (2015.10.15.00) 그림 3-15 피싱사이트 19
ASEC REPORT VOL.70 Octorber, 2015 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는 회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2015 AhnLab, Inc. All rights reserved.