Security Trend ASEC REPORT VOL.70 October, 2015

Similar documents
ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

Security Trend ASEC REPORT VOL.68 August, 2015

Security Trend ASEC Report VOL.56 August, 2014

ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작

ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

ASEC REPORT VOL.78 June, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성

ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며

ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

Security Trend ASEC Report VOL.63 March, 2015

ASEC REPORT VOL.69 September, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

Security Trend ASEC REPORT VOL.67 July, 2015

Security Trend ASEC Report VOL.52 April, 2014

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

ASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

ASEC REPORT VOL.75 March, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

Security Trend ASEC Report VOL.55 July, 2014

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

Windows 8에서 BioStar 1 설치하기

ActFax 4.31 Local Privilege Escalation Exploit

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

*2008년1월호진짜

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

Windows 10 General Announcement v1.0-KO

Security Trend ASEC Report VOL.54 June, 2014

ASEC Report VOL.62 February, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

Security Trend ASEC Report VOL.58 October, 2014

Security Trend ASEC Report VOL.51 March, 2014

메뉴얼41페이지-2

SIGIL 완벽입문

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

Studuino소프트웨어 설치

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

var answer = confirm(" 확인이나취소를누르세요."); // 확인창은사용자의의사를묻는데사용합니다. if(answer == true){ document.write(" 확인을눌렀습니다."); else { document.write(" 취소를눌렀습니다.");

Install stm32cubemx and st-link utility

SBR-100S User Manual

NTD36HD Manual

Microsoft Word - src.doc

Office 365 사용자 가이드

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-

Security Trend ASEC Report VOL.57 September, 2014

월간 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

ASEC REPORT VOL

JDK이클립스

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

유포지탐지동향

System Recovery 사용자 매뉴얼

기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.

08_spam.hwp

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.

<B1DDC0B6B1E2B0FCB0FAC0CEC5CDB3DDB0B3C0CEC1A4BAB82E687770>

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.


PowerPoint 프레젠테이션

Xcovery 사용설명서

ASEC REPORT VOL.73 January, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A

Splentec V-WORM Quick Installation Guide Version: 1.0 Contact Information 올리브텍 주소 : 경기도성남시분당구구미로 11 ( 포인트타운 701호 ) URL: E-M

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키


고객 카드

C스토어 사용자 매뉴얼

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

PowerPoint Template

ASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

<4D F736F F F696E74202D20C0FCBCBAC7D0202D20B1E2BEF720C1A4BAB820BAB8C8A3B8A620C0A7C7D120BEC7BCBAC4DAB5E520B4EBC0C0205BC8A3C8AF20B8F0B5E55D>

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

ThinkVantage Fingerprint Software

Secure Programming Lecture1 : Introduction

Endpoint Protector - Active Directory Deployment Guide

PowerPoint 프레젠테이션

View Licenses and Services (customer)

vRealize Automation용 VMware Remote Console - VMware

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix spf-filter 년 6 월

대량문자API연동 (with directsend)

로거 자료실

MF3010 MF Driver Installation Guide

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

미디어 및 엔터테인먼트 업계를 위한 Adobe Experience Manager Mobile

FD¾ØÅÍÇÁ¶óÀÌÁî(Àå¹Ù²Þ)-ÀÛ¾÷Áß

Transcription:

Security Trend ASEC REPORT VOL.70 October, 2015

ASEC REPORT VOL.70 October, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2015 년 10 월보안동향 1 보안통계 STATISTICS 2 보안이슈 SECURITY ISSUE 01 악성코드통계 02 웹통계 03 모바일통계 01 인터넷우체국을사칭한스팸메일주의 02 블루스크린 으로위장한피싱사이트 Table of Contents 4 6 7 10 12 3 악성코드상세분석 ANALYSIS IN-DEPTH PDF 파일을악용한악성코드사례 15 2

1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계

보안통계 01 악성코드통계 Statistics ASEC 이집계한바에따르면 2015 년 10 월한달간탐지된악성코드수는 1,374 만 1,322 건으로나타났 다. 이는전월 1,520 만 4,993 건에비해 146 만 3,671 건감소한수치다. 한편 10 월에수집된악성코드샘플 수는 617 만 9,297 건이다. 40,000,000 30,000,000 20,000,000 17,869,127 15,204,993 13,741,322 10,000,000 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 6,437,437 7,311,086 6,179,297 탐지건수샘플수집수 08 월 09 월 10 월 [ 그림 1-1] 악성코드추이 (2015 년 8 월 ~ 2015 년 10 월 ) * 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 4

[ 그림 1-2] 는 2015 년 10 월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그 램인 PUP(Potentially Unwanted Program) 가 77.00% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 13.58%, 웜 (Worm) 이 1.93% 의비율로그뒤를이었다. 0.17% 1.75% 1.93% 5.57% 77.00% 13.58% PUP Trojan etc Worm Adware Downloader [ 그림 1-2] 2015 년 10 월주요악성코드유형 [ 표 1-1] 은 10 월한달간탐지된악성코드중 PUP 를제외하고가장빈번하게탐지된 10 건을진단명기준 으로정리한것이다. Trojan/Win32.Starter 가총 12 만 9,910 건으로가장많이탐지되었고, Trojan/ Win32.Gen 이 11 만 4,801 건으로그뒤를이었다. [ 표 1-1] 2015년 10월악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 Trojan/Win32.Starter 129,910 2 Trojan/Win32.Gen 114,801 3 Trojan/Win32.Agent 103,522 4 Malware/Win32.Generic 98,757 5 Trojan/Win32.Banki 80,456 6 Trojan/Win32.OnlineGameHack 60,435 7 Unwanted/Win32.Exploit 53,141 8 Worm/Win32.IRCBot 46,705 9 Unwanted/Win32.Keygen 46,642 10 Trojan/Win32.Generic 45,917 5

보안통계 02 웹통계 Statistics 2015 년 10 월에악성코드유포지로악용된도메인은 1,535 건, URL 은 1 만 282 건으로집계됐다 ([ 그림 1-3]). 또한 10 월의악성도메인및 URL 차단건수는총 399 만 1,443 건이다. 9,000,000 8,000,000 7,000,000 6,000,000 5,000,000 4,000,000 4,943,679 4,127,520 3,991,443 40,000 30,000 20,000 12,691 10,457 10,282 10,000 1,239 1,258 1,535 악성도메인 /URL 차단건수 악성코드유포도메인수 0 08 월 09 월 10 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 (2015 년 8 월 ~ 2015 년 10 월 ) * 악성도메인및 URL 차단건수 란 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 6

보안통계 03 모바일통계 Statistics 2015 년 10 월한달간탐지된모바일악성코드는 68 만 9,063 건으로집계됐다 ([ 그림 1-4]). 700,000 689,063 600,000 284,092 250,000 200,000 153,547 150,000 100,000 50,000 0 08 월 09 월 10 월 [ 그림 1-4] 모바일악성코드추이 (2015 년 8 월 ~ 2015 년 10 월 ) 7

[ 표 1-2] 는 10 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다.. Android-PUP/ SmsPay 가가장많이발견되었다. [ 표 1-2] 2015 년 10 월유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/SmsPay 330,240 2 Android-Trojan/FakeInst 56,645 3 Android-PUP/SmsReg 34,608 4 Android-PUP/Noico 29,980 5 Android-PUP/Dowgin 21,709 6 Android-PUP/Zdpay 21,324 7 Android-PUP/Downloader 20,501 8 Android-Trojan/Opfake 16,596 9 Android-PUP/Mmsreg 15,523 10 Android-Trojan/SMSAgent 11,645 8

2 보안이슈 SECURITY ISSUE 01 인터넷우체국을사칭한스팸메일주의 02 블루스크린 으로위장한피싱사이트

보안이슈 Security Issue 01 인터넷우체국을사칭한스팸메일주의 최근 인터넷우체국 을사칭하는스팸메일이유포되고있어인터넷사용자들의주의가요구된다. 소포의배송주소가잘못되어있으니확인하라 는내용으로사용자들을유도하여악성코드다운로드를시도한다. 해당악성코드는사용자의키보드입력값을탈취하거나사용하고있는프로그램의정보를외부로전송하는것으로확인됐다. 스팸메일은여전히효과적인악성코드유포수단이다. 물론그간다수의보안침해사례와보안업계의적극적인행보로사용자들의보안의식이높아진것이사실이다. 그러자공격자들은 [ 그림 2-1] 과 [ 그림 2-2] 와같이사람들의호기심이나일상생활에관련이있을법한내용으로사용자들을유도하는사회공학적기법을이용하고있다. 특히이번에발견된우체국사칭메일은최근의스팸메일과달리영어가아닌한국어로작성되어있어스팸공격이나날이고도화되고있음을짐작하게한다. 그림 2-1 허위배송정보스팸메일 그림 2-2 허위영수증스팸메일 [ 그림 2-3] 은최근유포된우체국사칭메일이다. 메일내에우체국로고를사용하고있을뿐만아니라어색한문장이기는하지만한국어로작성되어사용자의관심을유도하고있다. 그림 2-3 우체국사칭스팸메일 만일사용자가이메일의첨부파일을실행하면 <C:\Documents and Settings\[ 사용자계정 ]\Application Data\ 랜덤문자열 \> 경로에 랜덤문자열.exe 파일이자가복제한다. 또한시스템시작시자동실행되도록하기위해레지스트리에등록한다 (HKCU\Software\Microsoft\ Windows\CurrentVersion\Run\). 10

그림 2-4 시스템내실행되는프로그램및입력되는문자열값저장 해당악성코드는.Net Framework로제작된후, 난독화된실행파일이다. 이악성코드는액세스토큰에특권 (SeSecurityPrivilege, SeShutdownPrivilege, SeDebugPrivilege 등 ) 을부여하여시스템권한을획득한후사용자가실행하는프로그램및키보드입력값을탈취하여 <C:\Documents and Settings\[ 사용자계정 ]\Application Data\dclogs\> 경로에 Y( 년 )-M( 월 )-D( 일 )-H( 시간 ).dc 라는로그를저장한다. 그림 2-5 AES in CBC mode 암호화코드 또한특정 IP 주소로접속을시도하는데, 해당서버와통신이이루어지면감염된시스템에서수집한정보를 AES 암호화한후전송하는것으로보인다. 이를통해 C&C 서버로부터추가악성코드를다운받거나 RAT류악성코드를이용해공격자가감염된시스템을원격제어할수도있다. 스팸메일을통한악성코드유포는매우고전적인수법이지만사라지지않고지속적으로발생하는것으로보아여전히유효한수법임이틀림없다. 게다가그수법이나날이지능화되고있으며, 이번사례처럼특정지역의사용자를노리는 맞춤형스팸 으로진화하고있음을알수있다. 번역기로돌린듯매우어색한한국어문장이지만, 보이스피싱의진화처럼조만간정확한한국어스팸으로진화할지도모를일이다. 따라서사용자들은메일이용시아래와같이 메일보안기본수칙 에준수하여더욱주의를기울여야겠다. 아울러백신사용및최신엔진버전유지, 윈도우및각종응용프로그램의최신보안패치적용등기본적인부분도잊지말아야하겠다. [ 메일보안기본수칙 ] 1. 출처가확인되지않은메일의첨부파일을함부로열어보지않는다. 2. 메일본문을꼼꼼히읽어서스팸메일여부를확인한다. 3. 폴더옵션항목중 " 알려진파일형식의파일확장명숨기기 " 기능을해제하여확장명을확인할수있도록한다. 확장명숨기기옵션을이용중인사용자의경우문서파일아이콘등으로위장한공격에노출되기쉽다. V3 제품에서는해당악성코드를다음과같이진단하고있다. <V3 제품군의진단명 > Win-Trojan/FCN.140610 (2015.10.19.06) 11

보안이슈 Security Issue 02 블루스크린 으로위장한피싱사이트 오랫동안 Windows를사용한사용자라면파란바탕화면에하얀색글씨가나타나는블루스크린 (Blue Screen) 을한번도경험하지않은사람은없을것이다. 블루스크린은 Blue Screen of Death 를줄여서부르는용어로앞글자만따서 BSOD 라고도부른다. 최근블루스크린이발생한것처럼위장한악성사이트가발견됐다. 실제로는사용자를속여금품을갈취하기위한피싱사이트이다. 이크로소프트직원을사칭하며복구비용을요구하는것으로알려져있다. 원래블루스크린은윈도우 (Windows) 이용시메모리액세스위반, 하드웨어및소프트웨어오류등치명적인시스템오류가발생하여복구될수없을때나타난다. 오류의원인을알려주는일종의메시지이지만, PC 사용중에갑자기등장하여화면전체를파랗게압도하는탓에누구든당황하게된다. 예컨대한창작업중이던파일을미처저장하지못했을때블루스크린이나타나가슴이철렁했던순간을경험한사용자들이많을것이다. 이번에발견된피싱사이트는바로이러한사용자들의당혹스러움을이용했다. 그림 2-6 블루스크린화면으로위장한악성사이트 [ 그림 2-6] 은최근발견된블루스크린화면으로위장한피싱사이트이다. 윈도우에심각한문제가발생하였으며해결을위해마이크로소프트기술지원센터에문의하라 는내용을담고있다. 또한수신자부담전화번호를제공하고있는데, 이번호로전화를하면마 물론컴퓨터사용에익숙한사용자라면 [ 그림 2-6] 과같은화면이나타났을때정상적인블루스크린이아니라는것을알아차릴수도있다. 그런데이피싱사이트는 [ 그림 2-7] 과같이소스코드일부에사용자가발생시킨이벤트를막는스크립트가삽입돼있어 PC의 Windows 작업관리자 를통해프로세스자체를종료하지않으면인터넷브라우저가종료되지않는다. 그렇기때문에대부분의사용자들은순간당황하여조작된거짓화면과가이드임을눈치채지못할수도있다. 12

그림 2-7 악성사이트 html 소스코드일부 그림 2-10 동일 IP 주소로조회되는 URL 목록 현재구글은관련이슈를보고받고해당피싱사이트링크를삭제한상태다. 그러나공격자들은 URL의단어한두개만살짝바꾸는등의수법을통해지속적으로악성사이트를유포하기때문에사용자들의각별한주의가필요하다. 그림 2-8 Windows 작업관리자 를통한프로세스종료 이피싱사이트는구글의 광고 링크를이용해불특정다수의사용자접속을유도한것으로확인되었다. 사용자들이특정검색어를입력하였을때 [ 그림 2-9] 와같이검색결과링크의상단또는하단에표시되는광고링크를이용한것이다. 그림 2-9 구글의광고링크를이용한사용자클릭유도 동일한 IP 주소로조회해봤을때다음과같이근래에 만다양한 URL 이확인되었음을알수있다. 13

3 악성코드상세분석 ANALYSIS-IN-DEPTH PDF 파일을악용한악성코드사례

악성코드상세분석 Analysis-In-Depth PDF 파일을악용한악성코드사례 # 사례1: PDF를악용한뱅커 (Banker) 류 A씨는거래처영업대표로부터이메일을받았다. 메일제목을보니이번달제품단가에대한업데이트문서를첨부한것같았다. 매달비슷한내용의메일을받기때문에별다른의심없이메일에첨부된 PDF 파일을열었다. 그런데 PDF 문서안에는 dd라는두글자만쓰여있을뿐이고다시첨부파일을열라는팝업창이나타났다. 문서포맷이바뀐건가? 라고생각하며팝업창의 OK 버튼을눌렀다. 그러자 MS 워드파일이열리며문서가표시되는데, 역시아무내용이없다. 그리고는문서상단에 매크로를실행할수없다 는표시가나타났다. 무슨문서를이렇게복잡하게도만들었나싶었지만어쨌든매크로를실행했다. 그런데또다시아무내용도안보인다. 순간짜증이났지만나중에업체에연락해야겠다고생각하며그문서를닫고다른업무를처리했다. 그날오후, 다른거래처에거래대금을송금하기위해 A씨가인터넷뱅킹사이트에접속하자보안카드번호전체를입력하라는팝업창이나타났다. 뭔가느낌이좋지않다. 그림 3-1 내부에다른포맷의문서파일및 EXE 파일을포함하고있는악성 PDF 파일 이와같이최근악성 PDF 파일을이용한공격사례가 잇따르고있다. 특히업무내용으로위장한메일의첨 부파일형태로유포되고있어더욱주의가요구된다. 앞서언급한사례는거래처영업대표의메일계정이 탈취되어주소록에포함된사람들에게악성 PDF 파 일을첨부한메일이전송된사례를재구성한것이다. 그나마위의사례에서는의심징후를찾아볼수있다. 우선 PDF 문서에아무내용이없었던점도이상하 15

지만 PDF 파일에 MS 워드문서가내장되어있다는점 MS 워드파일에도아무내용이없고매크로가포함되어있다는점등은의심해볼필요가있다. 대다수의공격에서는위와같은징후를알아차리기쉽지않다. 위의사례를중심으로 PDF 파일을이용한최신공격방식을상세히살펴보고예방법은없는지알아본다. 공격은어떻게이루어졌나우선메일에첨부된해당 PDF 파일에서문자열을추출하여특정키워드를검색하는툴을이용해분석했다. 그결과, PDF 파일내부에자바스크립트가포함되어있으며, 또다른파일이내장 (embedded) 되어있었다. 그림 3-3 PDF 내장파일의파일헤더 앞서 [ 그림 3-1] 의팝업창에나타난파일명이 4.docm 라는점에서해당 PDF에내장된파일은매크로가포함된 MS 오피스파일형식 (.DOCM) 이라는것을유추할수있다. 그림 3-4 그림 1 의팝업확대 또한해당 PDF 파일내삽입된자바스크립트코드는특정객체를추출하여실행시키는명령으로, PDF 파일에내장된 DOCM 파일을임시폴더에추출하여실행하기위한목적임을알수있다. 그림 3-2 PDF 파일문자열검색결과 파일이내장된부분은의심스러우나자바스크립트코드는정상일수도있다. 삽입된자바스크립트는어떤기능을갖는지, 내장된파일은어떤파일인지확인해보자. [ 그림 3-3] 은 PDF 파일속에내장된파일의헤더인데, 이처럼 PK 혹은 50 4B를헤더로갖는파일의종류는 ZIP, JAR, MS 오피스, Open Document 등이다. 그림 3-5 PDF 파일내자바스크립트코드 이제자바스크립트를통해실행되는 PDF 내의 DOCM 파일이어떤행위를하는지알아보자. [ 그림 3-6] 은 4.docm 파일의 OLE 데이터스트림을문자열로변환한결과다. A3 스트림에서매크로를이용하여 ceece.exe를다운로드하여실행하는것을확인할수있다. 16

그림 3-8 외부응용프로그램열기허용기능사용시 ( 왼쪽 ) 와기능해제시 ( 오른쪽 ) 그림 3-6 매크로에의한 EXE 파일실행 ceece.exe는파밍공격에서주로사용되는뱅커 (Banker) 류의악성코드로확인되었다. A3 스트림을통해확인한이악성코드의다운로드경로는다음과같다. http://kons****au.re****ika.pl/07jhnb4/0kn7b6gf.exe 악성 PDF 파일에의한피해, 어떻게예방할것인가악성 PDF 자체는 Adobe Reader의 신뢰관리자 (Trust Manager) 기능을통해피해를예방할수있다. [ 그림 3-6] 과같이 [ 편집 ] > [ 기본설정 ] > [ 신뢰관리자 ] 경로에서 PDF가아닌첨부파일을외부응용프로그램으로열기허용 기능을해제하면된다. 사용자가많은기업의경우에는 액티브디렉터리 를통해다음과같은레지스트리값을배포하는것도방법이다. [ 레지스트리설정가이드 ] 경로 : HKLM\SOFTWARE\Policies\Adobe\<product name>\<version>\featurelockdown\cdefaultlaunchattachmentperms 레지스트리이름 : tbuiltinpermlist 레지스트리값 : version:1.ade:3.adp:3.app:3.arc:3. arj:3.asp:3.bas:3.bat:3.bz:3.bz2:3.cab:3.chm:3. class:3.cmd:3.com:3.command:3.cpl:3.crt:3. csh:3.desktop:3.dll:3.exe:3.fxp:3.gz:3.hex:3. hlp:3.hqx:3.hta:3.inf:3.ini:3.ins:3.isp:3.its:3. job:3.js:3.jse:3.ksh:3.lnk:3.lzh:3.mad:3.maf:3. mag:3.mam:3.maq:3.mar:3.mas:3.mat:3.mau:3. mav:3.maw:3.mda:3.mdb:3.mde:3.mdt:3. mdw:3.mdz:3.msc:3.msi:3.msp:3.mst:3.ocx:3. ops:3.pcd:3.pi:3.pif:3.prf:3.prg:3.pst:3.rar:3. reg:3.scf:3.scr:3.sct:3.sea:3.shb:3.shs:3.sit:3. tar:3.taz:3.tgz:3.tmp:3.url:3.vb:3.vbe:3.vbs:3. vsmacros:3.vss:3.vst:3.vsw:3.webloc:3.ws:3. wsc:3.wsf:3.wsh:3.z:3.zip:3.zlo:3.zoo:3.pdf:2. fdf:2.jar:3.pkg:3.tool:3.term:3 그림 3-7 Adobe Reader 의신뢰관리자화면 위의기능을선택해제하면 PDF 파일내부에탑재 된파일에대해실행여부를묻지않고 [ 그림 3-8] 과 같이바로실행을차단한다. 그림 3-9 레지스트리설정 17

단, Adobe Reader의메뉴를통해 첨부파일을외부응용프로그램으로열기허용 을해제하면생성되는값이많은파일유형을포함하기때문에주의가필요하다. # 사례2: PDF를악용한피싱 - 배송업체사칭피싱 (Pishing) 이란, private data 와 fishing 의합성어로사용자가신뢰할수있는유명기업이나기관등으로속여사용자스스로개인정보를입력하도록유도하여갈취하는공격방법이다. 이과정에서사용자의신뢰를얻기위해다양한방법을사용하는데 PDF 문서를이용해피싱사이트로유도하는케이스가발견되었다. 그림 3-11 정상사이트 ( 왼쪽 ) 와피싱사이트 ( 오른쪽 ) PDF 내부링크를클릭하면피싱사이트로연결되며메일, 비밀번호, 운송번호를요구한다. 하지만정상적인실제운송조회사이트에서는운송조회에필요한최소한의정보만을요구한다. 따라서과도한정보를요구할경우피싱사이트가아닌지의심해봐야한다. 그림 3-10 PDF 실행화면 그림 3-12 요구정보입력시나타나는화면 해당 PDF는해외유명운송업체로위장하고있으며, 문서가암호화되어있다는메시지와함께피싱사이트로접속을유도한다. 문서가영어로되어있지만, 국내에서도구매대행서비스를이용해해외에서물품을구매하는경우가많기때문에국내이용자들도주의해야한다. 요구정보를모두입력하면 [ 그림 3-12] 와같은화면이나타난다. 입력정보와무관한그림파일이기때문에어떤정보를입력하든동일하게이화면이나타난다. 입력정보는 [ 그림 3-13] 과같이평문형태로배송업체와상관없는서버에전송되는것을확인할수있다. 18

사용자아이디와비밀번호를입력하고 VIEW FILE 버튼을클릭하면정상적인문서를브라우저에보여 주며, 동시에입력된사용자개인정보는유출된다. 그림 3-13 입력정보패킷 # 사례3: PDF를악용한피싱 - 구매내역위장이번사례역시 PDF 파일에피싱사이트로접속을유도하는링크가존재하는경우다. 링크를클릭하면 [ 그림 3-14] 와같이 This PDF is protected 라는문구와함께사용자의메일, 비밀번호정보를요구한다. 그림 3-16 사용자정보입력시나타나는문서 ( 왼쪽 ) 와입력정보패킷 ( 오른쪽 ) 이렇게공격자에게개인정보가유출될경우이를악 용한추가피해가발생할수있기때문에가급적출처 가분명하지않은메일의첨부파일확인이나링크실 행시주의하길권장한다. 또한일반적으로요청하지 않는비밀번호, 금융정보등과같은개인정보를요 청할경우, 해당기관이나사이트에진위여부를확인 해보는습관이필요하다. 그림 3-14 PDF 실행화면 V3 제품에서는해당악성코드를다음과같이진단하 고있다. <V3 제품군의진단명 > PDF/Fakeinvoice (2015.10.15.00) 그림 3-15 피싱사이트 19

ASEC REPORT VOL.70 Octorber, 2015 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는 회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2015 AhnLab, Inc. All rights reserved.