< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2014. 03. 침해사고대응단 인터넷침해대응본부

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 15 3. 악성코드은닉사례분석 16 - 포털블로그게시글에어뷰징행위를통한악성코드유포 금융정보탈취 16 - 신규 IE 취약점 (CVE-2014-0322) 을악용한악성코드유포 금융사이트파밍 23 4. 향후전망 36 - 악성코드유포방법및조치방안 36

월간동향요약 월홈페이지를통해유포된악성코드는 가금융사이트파밍이며 그외금융정보탈취 공인인증서탈취 감염 정보탈취등으로파악되었다 또한 애플릿 취약점을복합적으로이용하여악성코드를유포하는것으로분석되었다 인터넷익스플로러취약점 Adobe Flash Player 취약점 Java 애플릿취약점 악성코드은닉동향요약 CVE-2012-1875 CVE-2008-2551 CVE-2008-0015 CVE-2011-0611 CVE-2011-2140 CVE-2012-0754 CVE-2012-1535 CVE-2013-1493 CVE-2013-2423 동일 ID 속성원격코드실행취약점 ActiveX Exploit 취약점 Microsoft 비디오 ActiveX 컨트롤의취약점으로인해원격코드실행 메모리손상으로인한코드실행취약점 드라이브바이다운로드방식, JRE 샌드박스제한우회취약점이용 MS Windows Media 취약점 CVE-2012-0003 Windows Media 의취약점으로인한원격코드실행 Adobe reader (PDF) 취약점 CVE-2010-0188 Adobe Reader 에서비정상종료를유발할수있는취약점 MS XML 취약점 XML Core 취약점 Services 의 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2012-1875 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2008-2551 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2008-0015 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2011-0611 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2011-2140 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2012-0754 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2012-1535 http://cve.mitre.org/cgi-bin/cvena me.cgi?name= http://cve.mitre.org/cgi-bin/cvena me.cgi?name= http://cve.mitre.org/cgi-bin/cvena me.cgi?name= http://cve.mitre.org/cgi-bin/cvena me.cgi?name= http://cve.mitre.org/cgi-bin/cvena me.cgi?name= http://cve.mitre.org/cgi-bin/cvena me.cgi?name= http://cve.mitre.org/cgi-bin/cvena me.cgi?name= http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2013-1493 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2013-2423 http://cve.mitre.org/cgi-bin/cvena me.cgi?name= http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2012-0003 https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2010-0188 http://cve.mitre.org/cgi-bin/cvena me.cgi?name= http://technet.microsoft.com/se curity/bulletin/ms12-037 - http://www.oracle.com/technetwork/t opics/security/javacpufeb2012-36631 8.html#PatchTable http://www.oracle.com/technetwork/topics/ security/javacpujun2012-1515912.html http://www.oracle.com/technetwork/topics/s ecurity/alert-cve-2012-4681-1835715.html http://www.oracle.com/technetwork/topics/ security/javacpuoct2012-1515924.html http://www.oracle.com/technetwork/topics/s ecurity/alert-cve-2013-0422-1896849.html http://www.oracle.com/ocom/groups/public/ @otn/documents/webcontent/1915099.xml http://www.oracle.com/technetwork/topics/ security/javacpuapr2013-1928497.html http://www.oracle.com/technetwork/topics/ security/javacpujun2013-1899847.html 구분내용상세취약점정보보안업데이트 http://www.cve.mitre.org/cgi-bin/cve http://technet.microsoft.com/enus/security/bulletin/ms10-002 name.cgi?name=cve-2010-0249 http://cve.mitre.org/cgi-bin/cvenam http://technet.microsoft.com/kokr/security/bulletin/ms10-018 e.cgi?name=cve-2010-0806 http://cve.mitre.org/cgi-bin/cvenam CVE-2010-0249 http://technet.microsoft.com/kokr/security/bulletin/ms10-002 e.cgi?name=cve-2010-0249 CVE-2010-0806 http://cve.mitre.org/cgi-bin/cvenam CVE-2010-0249 http://technet.microsoft.com/kokr/security/bulletin/ms11-050 e.cgi?name=cve-2011-1255 CVE-2011-1255 CVE-2012-4792 Internet Explorer 를사용 http://cve.mitre.org/cgi-bin/cvenam http://technet.microsoft.com/kokr/security/bulletin/ms13-008 CVE-2012-4969 하여특수하게조작된 e.cgi?name=cve-2012-4792 CVE-2013-1347 웹페이지에접속할경우 http://cve.mitre.org/cgi-bin/cvenam http://technet.microsoft.com/kokr/security/bulletin/ms12-063 CVE-2013-3893 원격코드실행허용 e.cgi?name=cve-2012-4969 http://cve.mitre.org/cgi-bin/cvenam CVE-2013-3897 http://technet.microsoft.com/kokr/security/bulletin/ms13-038 e.cgi?name=cve-2013-1347 CVE-2014-0322 http://www.cve.mitre.org/cgi-bin/cve http://technet.microsoft.com/kokr/security/advisory/2887505 name.cgi?name=cve-2013-3893 http://www.cve.mitre.org/cgi-bin/cve http://technet.microsoft.com/kokr/security/bulletin/ms13-080 name.cgi?name=cve-2013-3897 http://www.cve.mitre.org/cgi-bin/cve http://technet.microsoft.com/enus/security/advisory/2934088 name.cgi?name=2014-0322 http://technet.microsoft.com/kokr/security/bulletin/ms09-032 http://www.adobe.com/support/securi ty/advisories/apsa11-02.html http://www.adobe.com/support/securi ty/bulletins/apsb11-21.html http://www.adobe.com/support/securi ty/bulletins/apsb12-03.html http://www.adobe.com/support/securi ty/bulletins/apsb12-18.html http://www.adobe.com/support/securi ty/bulletins/apsb13-04.html http://technet.microsoft.com/kokr/security/bulletin/ms12-004 http://www.adobe.com/support/sec urity/bulletins/apsb10-07.html http://technet.microsoft.com/ko-kr /security/bulletin/ms12-043 - 1 -

홈페이지은닉형악성코드통계 Information TIP o 악성코드은닉사이트란? 이용자 PC 를악성코드에감염시킬수있는홈페이지로, 해킹을당한후악성코드 자체또는악성코드를유포하는주소 (URL) 를숨기고있는것을말한다. o 악성코드은닉사이트는크게유포지와경유지로구분된다. 유포지 : 홈페이지이용자에게악성코드를직접유포하는홈페이지 경유지 : 홈페이지방문자를유포지로자동연결하여악성코드를간접유포하는홈페이지 유포지탐지현황 년 월에악성코드유포지탐지및조치현황은다음과같다 악성코드유포지탐지는전월대비 건 건 감소하였다 유포지탐지 - 2 -

대량경유지가탐지된유포지 년 월에대량경유지가탐지된유포지 은다음과같다 순위탐지일유포지국가경유지건수 1 2014.02.25 http://125.214.195.113/style.jpg 홍콩 99 2 2014.02.28 http://xxxxxxx.net/diary/pop.js 한국 67 3 2013.10.30 http://web.5dfgy.cn/12.js 미국 35 4 2013.03.05 http://as.casalemedia.com/sd?s= 미국 22 5 2014.01.07 http://www.xxxxx.com/css/w.html 한국 11 6 2014.02.22 http://xxxxxxxxxxx.com/pop/index.html 한국 8 7 2010.12.27 http://www.ro521.com/test.htm 중국 7 8 2012.08.25 http://web.nba1001.net:8888/tj/tongji.js 중국 6 9 2014.01.22 http://www.xxxxxxx.net/data/event_banners/pop/1.html 한국 5 10 2014.02.26 http://xxxxxxx.co.kr/pop/index.html 한국 5-3 -

악성코드유형별비율 악성코드유형중금융사이트파밍이 의비율로가장높았으며 그 이외에도금융정보탈취 공인인증서탈취 감염 정보탈취등의악성코드 유형이다양하게나타났다 드롭퍼 : 자체적인확산기능은가지고있지않으나, 취약점을이용하여유포된뒤실행되는악성코드 금융사이트파밍 : 운영체제에서제공하는호스트연결기능을악용한것으로정상호스트설정파일을악의적으로변경하여정상금융사이트방문시가짜금융사이트로연결 비트코인 : 디지털단위인비트 (bit) 와코인 (coin) 의합성어로온라인가상화폐 악성앱 : 스마트폰에저장된개인정보등을탈취하는악의적활동을수행하는앱 악성코드취약점유형별비율 애플릿취약점 취약점 취약점 취약점 등의취약점과복합적으로사용되었다 - 4 -

악성코드수집및분석결과 년 월에악성코드수집내역과분석결과는다음과같다 악용되는취약점은 취약점 애플릿취약점 취약점 취약점 취약점의 가지형태로구성되어있다 No 탐지일유포지국가취약점악성코드유형 1 02.03 http://test.xxxxxxx.co.kr/bbs2/nows.gif 한국직접다운로드비트코인정보탈취 2 02.05 http://test.xxxxxxx.co.kr/bbs2/brow.gif 한국직접다운로드비트코인정보탈취 3 02.05 http://dmstkd01.xxxxxxx.kr/winagent.jpg http://dmstkd01.xxxxxxx.kr/winagent.jpg 한국직접다운로드백도어 4 02.05 http://www.wk1888.com/ 미국직접다운로드드롭퍼 - 5 -

5 02.06 http://vip1.zyns.com/index.html 홍콩 6 02.07 http://custom.xxxxx.net/_cpl/or/main.html 한국 CVE-2011-2140 CVE-2013-3897 드롭퍼 금융사이트파밍 7 02.07 http://182.16.30.254/nprotect_keycrypt60_setup.exe 홍콩직접다운로드감염 PC 정보탈취 8 02.07 http://www.xxxxxxx.com/pic/vpm.exe 한국직접다운로드금융사이트파밍 9 02.07 http://xxxxxxxxxx.com/pop/index.html 한국 10 02.07 http://xxxxxxxx.com/kcp/log/6c2c074d/40 4.html 한국 11 02.07 http://www.xxxxxxxx.co.kr/upload/a/main.h tml 한국 12 02.08 http://itopedu.xxxxxxx.kr/new/bbs_sun/files /board6/c53de7ef/404.html 한국 공인인증서탈취금융사이트파밍금융사이트파밍금융사이트파밍 - 6 -

13 02.09 http://103.253.96.226/index.html 홍콩 14 02.09 http://xxxxxxx.com/pop/index.html 한국 CVE-2011-2140 CVE-2013-3897 원격제어 원격제어 15 02.09 http://www.xxxxxx.or.kr/web/view.html 한국 CVE-2013-3897 다운로더 16 02.09 http://xxxxxxx.co.kr/editor/uploads/2ef53b 59/404.html 한국 17 02.10 http://xxxxx.com/bbs_sun/files/humor/311 45B63/404.html 한국 18 02.11 http://mmarket.xxxxx.net/nalog/d/main.ht ml 한국 19 02.11 http://103.253.96.102/index.html 홍콩 금융정보탈취감염PC 정보탈취금융사이트파밍금융정보탈취 - 7 -

20 02.11 http://www.xxxxxxxxt.co.kr/best/vt/main.ht ml 한국 21 02.11 http://xxxxxxxxx.co.kr/pop/index.html 한국 22 02.12 http://72.8.179.158/index.html 미국 CVE-2011-2140 CVE-2013-3897 금융정보탈취 드롭퍼 감염 PC 정보탈취 23 02.12 http://xxxxxxxxx.com/event/main.html 한국직접다운로드금융정보탈취 24 02.12 http://tommeetippee.xxxx.com/customer_c enter/privacyfamily.html 한국 25 02.12 http://103.253.96.104/index.html 홍콩 금융정보탈취 금융정보탈취 26 02.12 http://xxxxxx.co.kr/zb.exe 한국직접다운로드음성내용녹음및탈취 27 02.12 http://xxxxxxx.pe.kr/doc/mooc.co 한국직접다운로드공인인증서탈취 28 02.12 http://xxxxxxx.com/css/wuming.co 한국직접다운로드공인인증서탈취 29 02.12 http://www.xxxxxxxxx.com/365/main.html 한국직접다운로드금융정보탈취악성앱 - 8 -

30 02.13 http://xxxxxxxx.com/pop/index.html 한국 CVE-2011-2140 CVE-2013-3897 공인인증서탈취 31 02.14 http://gifas.assso.net/include.html 미국 CVE-2014-0322 금융사이트파밍 32 02.14 http://www.xxxx.co.kr/uploads/info/click.exe 한국직접다운로드금융사이트파밍 33 02.14 34 02.14 35 02.14 36 02.15 http://xxxxxxxx.com/bbs_sun/files/album/7 E16E371/404.html http://xxxxxxx.co.kr/new/bbs_sun/zmspam Free/9341497D/404.html http://xxxxx-xxxxx.net/pro_img/fea8d6d3/ 404.html http://xxxxxxxxx.com/easy_editor/user_img /927724DF/ad.html 한국한국한국한국 금융사이트파밍금융정보탈취감염PC 정보탈취금융사이트파밍 37 02.15 http://www.xxxxxx.com/click/click.exe 한국직접다운로드금융사이트파밍 38 02.15 http://xxxxxxx.co.kr/jnc1/de0b7a9b/ad.html 한국 금융사이트파밍 - 9 -

39 02.15 http://xxxxxxxxx.co.kr/wys2/swf_upload/20 14/02/11/view.html 한국 CVE-2013-3897 다운로더 40 02.17 http://164.40.155.171/a1.exe 네델란드직접다운로드원격제어 41 02.17 http://ww2.aoi98.com/css/m0207.txt 홍콩직접다운로드비트코인채굴악성코드 42 02.17 http://110.34.198.36:806/index.html 태국 43 02.19 http://xxxxxxxx.com/pop/index.html 한국 CVE-2011-2140 CVE-2013-3897 CVE-2011-2140 CVE-2013-3897 드롭퍼 다운로더 44 02.19 http://rnt37100.xxxxxxxxxxxx.co.kr/web_ftp /winagent.jpg 한국직접다운로드해킹툴 45 02.19 http://www.discoverylaos.com/images/5ise.exe 태국직접다운로드 가상환경확인용 악성코드 46 02.19 http://182.16.30.251/nprotect_keycrypt60_setup.exe 홍콩직접다운로드 DDoS 공격 47 02.19 http://xxxxxx.co.kr/pop/index.html 한국 CVE-2013-3897 공인인증서탈취 48 02.19 http://ho-kgb.com/list/vc/index.html 일본 49 02.20 http://woori2012.com/usdpngkr/css/index. html 일본 공인인증서탈취 금융사이트파밍 - 10 -

50 02.20 http://xxxxxxxxxx.co.kr/pop/index.html 한국 51 02.20 http://xxxxxxxxx.com/pop/index.html 한국 CVE-2011-2140 CVE-2013-3897 공인인증서탈취 공인인증서탈취 52 02.21 http://softcdn.org/pcdataapp.exe 미국직접다운로드드롭퍼 53 02.21 http://xxxxxxxxx.co.kr/xml/wins.exe 한국직접다운로드금융사이트파밍 54 02.21 http://xxxxxxx.co.kr/pop/index.html 한국 55 02.21 http://data.xxxxx.net/data/tax/sty/main.ht ml 한국 56 02.21 http://www.xxxxxxxx.com/.../e469429d/ad. html 한국 57 02.22 http://xxxxxxxxxxx.kr/pop/index.html 한국 공인인증서탈취금융정보탈취금융사이트파밍금융정보탈취 - 11 -

58 02.23 http://www.xxxxxxx.co.kr/bbs/skin/w/main. html 한국 59 02.23 http://ipomon.com/index.html 미국 60 02.23 http://xxxxxxxxx.com/pop/index.html 한국 61 02.23 http://www.xxxxxxxc-xxxxx.or.kr/cat/config/ F752E4CB/ad.html 한국 62 02.24 http://xxxxxxxxx.co.kr/pop/index.html 한국 63 02.25 http://xxx.co.kr/a/index.html 한국 CVE-2011-2140 CVE-2013-3897 원격제어다운로더금융정보탈취금융사이트파밍원격제어감염PC 정보탈취 - 12 -

64 02.25 http://xxxxxx.com/pop/index.html 한국 CVE-2011-2140 CVE-2013-3897 비정상파일 65 02.25 http://xxxxxx.xx.co.kr/help/ie.html 한국 CVE-2014-0322 드롭퍼 66 02.25 http://xxx.xxx.xxx.xx/style.jpg 한국 직접다운로드 67 02.26 http://xxxxxxx.co.kr/pop/index.html 한국 스마트폰정보탈취및 원격제어 드롭퍼 68 02.26 http://xxxxxxx.com/css/pengyou.co 한국직접다운로드공인인증서탈취 69 02.26 http://xxxxxxx.xxxx.net/index.html 한국 감염 PC 정보탈취 70 02.26 http://xxxxxx.com//bbs/cool/cool.exe 한국직접다운로드금융사이트파밍 71 02.27 http://xxxxxxxxxx.com/pop/index.html 한국 72 02.27 http://host.host.xxxxxxxxxxxx.com:800/inde x.html 한국 CVE-2011-2140 CVE-2013-3897 비정상파일 감염 PC 정보탈취 - 13 -

73 02.27 http://api1.wipmania.com.wipmsc.ru/api1.gif 네델란드직접다운로드다운로더 74 02.27 http://xxxxxxxxxxxxxxxx.co.kr/pop/index.ht ml 한국 75 02.28 http://sd.googlay.org/index.html 홍콩 76 02.28 http://xxxxxxx.co.kr/pop/index.html 한국 77 02.28 http://xxxxx.co.kr/homepage/img/0309240 A/modal_layer.html 한국 78 02.28 http://www.uniqlets.com/resources/file/fi/i ndex.html 미국 CVE-2011-2140 CVE-2013-3897 CVE-2011-2140 CVE-2013-3897 드롭퍼금융정보탈취공인인증서탈취금융사이트파밍금융사이트파밍 - 14 -

경유지탐지 업종별비율 년 월에악성코드경유지탐지 업종별유형은다음과같다 악성코드경유지탐지는전월대비 건 건 감소하였다 탐지된경유지는해당홈페이지운영자에게전화 메일을통해악성코드삭제및보안조치요청을수행 경유지업종별유형중일반기업이가장높게나왔으며 음식 숙박 관광 교육 학원 쇼핑 웹하드등의순으로탐지가되었으며 이에대해삭제및보안조치요청을수행하였다 경유지탐지 경유지업종별유형 - 15 -

악성코드은닉사례분석 2월악성코드이슈 년 월수집된악성코드샘플을분석한결과 애플릿취약점 종 취약점 종 취약점 종 을복합적으로악용하여악성코드를유포하는형태가 로가장높게나타났다 신규 취약점 을이용하는악성코드가언론사홈페이지를통해유포되었으며 악성코드대량유포가가능한웹하드 웹호스팅 언론 배너광고 날씨정보사이트등을통한금융사이트파밍악성코드가지속유포되었다 또한파급도가높은포털업체에서제공하는블로그게시글링크및유명쇼핑몰사이트에링크되는배송관련홈페이지를통해금융정보탈취악성코드가유포되었다 이에이용자들은금융정보유출에각별한주의를기울여야한다 악성코드유형으로는금융사이트파밍이 로가장높았으며 그외에도금융정보탈취 공인인증서탈취 감염 정보탈취등으로나타났다 포털블로그게시글에어뷰징행위를통한악성코드유포 금융정보탈취 - 16 -

http://103.253.96.104/index.html 난독화스크립트디코딩후 버전체크및취약점을악용하여악성코드다운로드 중략 취약점 중략 취약점 중략 취약점 중략 취약점 중략 취약점 중략 취약점 중략 - 17 -

취약점 중략 취약점 중략 버전체크 중략 /swfobject.js 사용에필요한라이브러리 중략 생략 - 18 -

/jpg.js 사용에필요한라이브러리 생략 /wjam6.html 난독화스크립트디코딩후 코어취약점을악용하여악성코드다운로드 코어취약점 - 19 -

중략 중략 - 20 -

/IKXdv8.html 난독화스크립트디코딩후 코어취약점을악용하여악성코드다운로드 코어취약점 중략 중략 중략 - 21 -

악성코드파일 상세분석내용 개요 감염 정보 금융관련정보및사용자입력키정보 탈취 네트워크상의악성행위 도메인 용도 상세내용 정보탈취 키로깅정보및수집된금융정보를전송 운영체제상의악성행위 항목 내용 자기자신복제 감염 정보수집및사용자키입력정보수집 변조시킬목록은원격지로부터전달받음 상세설명 특정은행접속시금융정보를유출시키는것으로추정 파일 행위유형 경로 행위유형 경로 - 22 -

신규 취약점 을악용한악성코드유포 드롭퍼 http://xxxxxx.xx.co.kr/help/ie.html 버전체크및취약점을악용하여악성코드다운로드 - 23 -

에서 호출 를이용하여 파일존재체크 악성파일추가다운로드 /help/tope.swf 악성파일추가다운로드 - 24 -

파일다운로드 중략 - 25 -

호출하여쉘코드실행 중략 - 26 -

쉘코드 중략 // Erido.jpg파일을 Endian.LITTLE_ENDIAN 형태로 읽어들인후 offset 36321 위치부터메모리에올림 중략 /help/erido.jpg 로 후 구조 일본은행사이트및정보유출관련소스 중략 - 27 -

악성코드파일 상세분석내용 개요 악성코드를생성하는드랍퍼 종 악성코드를다운로드하는다운로더 종 악성코드를삭제하는배치파일 종 금융정보를탈취하는악성코드 종 네트워크상의악성행위 도메인 용도 상세내용 파일다운로드 정보탈취 운영체제상의악성행위 분석결과상세내용 개요 - 악성코드를생성하는드랍퍼 (2번 clbviar.dll 파일생성 ) 네트워크상의악성행위 - 해당사항없음 운영체제상의악성행위 악성행위 아래경로에추가악성코드 생성및실행 사용자계정 랜덤 자리문자 분석내용 악성코드생성 - 28 -

생성된악성코드 실행 사용자계정 랜덤 자리문자 악성코드실행 - 29 -

분석결과 개요 상세내용 - 악성코드를다운로드하는다운로더 (4 번 ujqnblb.exe 파일다운로드 ) 네트워크상의악성행위 도메인 용도상세내용비고파일 다운로드 정보유출 운영체제상의악성행위 악성행위 특정사이트에접속하여암호화된 파일을다운받아로컬파일에저장 파일다운로드 파일저장경로 분석내용 configuration 파일다운로드 - 30 -

파일확인하여추가악성코드를다운로드하여실행 악성코드유포지 계속변경됨 추가악성코드 다운로드및실행 아래 로감염 정보탈취 버전 PC 정보탈취 - 31 -

분석결과상세내용 개요 - 악성코드를삭제하는배치파일 1종 (2번 clbviar.dll 파일및자가삭제 ) 네트워크상의악성행위 - 해당사항없음 운영체제상의악성행위 악성행위 다음과같이악성코드삭제 파일및자가삭제 분석내용 악성코드삭제 - 32 -

분석결과상세내용 개요 - 악성코드를생성하는드랍퍼 (5번 dhslate.dll 파일생성 ) 네트워크상의악성행위 - 해당사항없음 운영체제상의악성행위 악성행위 아래경로에추가악성코드생성 및실행 사용자계정 랜덤 자리문자 분석내용 악성코드생성 배치파일을이용하여자가삭제및추가생성된악성코드실행 자가삭제및 악성코드실행 - 33 -

분석결과상세내용 개요 - 특정일본은행사이트접속시금융정보를유출추정 (Japan Post Bank, Mizuho Bank) 네트워크상의악성행위 - 해당사항없음 운영체제상의악성행위 악성행위 정적분석시특정일본은행사이트접속시정보유출관련코드존재 분석내용 금융정보 탈취추정 - 34 -

레지스트리를변경하여시작프로그램에등록 이름 데이터 시작프로그램 등록 - 35 -

향후전망 악성코드유포방법및조치방안 애플릿취약점등을복합적으로악용하여악성코드를유포시키는사례가지속적으로나타나고있다 버전의 제로데이취약점 을이용한악성코드가언론사홈페이지를통해유포되었으며 웹하드 웹호스팅 언론사 제휴관계사 배너광고 날씨정보홈페이지등을통한금융사이트파밍악성코드가지속적으로유포되었다 또한파급도가높은포털블로그게시글에어뷰징행위및유명쇼핑몰홈페이지에링크되는배송관련홈페이지를통해금융정보탈취악성코드가유포되었다 개인및기업은보안점검및보안패치등각별한주의를기울여야한다 웹취약점점검바로가기 : http://toolbox.krcert.or.kr/mmvf/mmvfview_v.aspx?menu_code=2&page_number=17 홈페이지해킹방지도구 : http://toolbox.krcert.or.kr/mmvf/mmvfview_v.aspx?menu_code=7&page_number=16 휘슬바로가기 : http://toolbox.krcert.or.kr/mmvf/mmvfview_v.aspx?menu_code=6&page_number=16 보호나라바로가기 : http://www.boho.or.kr/ 마이크로소프트 윈도우 서비스종료 월 일 에따라윈도우 를사용하는개인및기업의경우해킹등보안위협에쉽게노출되어피해를입을수있으므로윈도우 등상위버전의운영체제로업그레이드등관련대비를권고한다 기업및개인이용자는악성코드에감염되어개인정보유출 좀비 로의전락등의피해를입지않도록주의하여야한다 기업에서근본적으로홈페이지개발시점부터보안의식및시큐어코딩으로홈페이지를구축하고 주기적인취약점점검및패치를적용하여웹서버가해킹되지않도록사전에방지해야한다 웹취약점점검서비스및웹보안강화도구 ( 휘슬 / 캐슬 ) 사용안내 : http://krcert.or.kr 이용자는 윈도우의보안업데이트를항상최신상태로유지할것을권장하며 및 관련취약점에의해악성코드에 - 36 -

감염되지않도록주의하여야한다 또한안티바이러스 백신 을이용하여주기적으로점검하여야한다 윈도우최신보안업데이트적용 자동보안업데이트설정권장 MS 업데이트사이트 : http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko ( 윈도우7) 제어판 - 시스템및보안 - Windows Update 의취약점에대한보안업데이트적용 MS 보안업데이트 : http://technet.microsoft.com/ko-kr/security/bulletin/ms12-043 최신버전업데이트적용 최신버전 : Adobe Flash Player 12.0.0.77 (http://get.adobe.com/kr/flashplayer/) 최신버전업데이트적용 최신버전 : Java SE Runtime Environment 7u51 (http://www.oracle.com/technetwork/java/javase/7u51-relnotes-2085002.html) - 37 -