ASEC REPORT VOL.29 2012.06 안랩월간보안보고서 이달의보안동향 모바일악성코드이슈 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved.
AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. CONTENTS 1. 2012 년 5 월의보안동향 01. 악성코드동향 02. 보안동향 a. 악성코드통계 05 a. 보안통계 23-5 월악성코드최다 20 건 - 악성코드대표진단명감염보고최다 20-5 월신종악성코드 - 5 월악성코드유형별감염보고 - 악성코드유형별감염보고전월비교 - 신종악성코드유형별분포 - 5 월마이크로소프트보안업데이트현황 b. 보안이슈 24 - 어도비플래시플레이어 CVE-2012-0779 취약점발견 - 'LOIC' 툴을이용한 DDoS 공격주의! b. 악성코드이슈 11 - 이력서로위장한악성코드 - LinkedIn 스팸메일을위장한악성코드유포 - DHL 운송메일로위장한악성코드 - 런던올림픽개최를이용한악성코드 - ws2help.dll 파일을패치하는온라인게임핵변종악성코드 - AV Kill 기능을가진온라인게임핵악성코드 - 플래시플레이어의제로데이취약점 (CVE-2012-0779) 을이용하는악성코드 - Python 으로제작된맥악성코드 - 프로그램설치화면놓치지마세요 - 어린이날에도쉬지않는악성코드제작자 c. 모바일악성코드이슈 18 - 안드로이드 Notcompatible 악성코드발견 - 어도비플래시플레이어로위장한안드로이드악성앱 - 허위안드로이드모바일백신유포 - 허위유명안드로이드앱배포웹사이트 - Talking Tom Cat 사이트로위장한앱사이트를통해유포되는악성코드 03. 웹보안동향 a. 웹보안통계 26 - 웹사이트악성코드동향 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위 b. 웹보안이슈 29-2012 년 5 월침해사이트현황 - 침해사이트를통해서유포된악성코드최다 10 건 - 꾸준히발견되는농협피싱사이트
5 6 1. 2012 년 5 월의보안동향 01. 악성코드동향 a. 악성코드통계 5 월악성코드최다 20 건 ASEC 이집계한바에따르면, 2012 년 5 월에감염이보고된악성코드는전체 1258 만 9409 건인것으로 나타났다. 이는지난달의 1140 만 9362 건에비해 118 만 47 건이증가한수치다 ([ 그림 1-1]). 이중에서 가장많이보고된악성코드는 Mov/Cve-2011-2140 이었다. Trojan/Win32.Gen 과 Trojan/Win32.adh 이 그다음으로많이보고됐으며, 최다 20 건에새로포함된악성코드는총 7 건이었다 ([ 표 1-1]). 20,000,000 18,000,000 16,000,000 14,000,000 12,000,000 0 [ 그림 1-1] 월별악성코드감염보고건수변화추이 13,820,206 +1.1% 12,589,409 +10.3% -2,410,844 11,409,362-17.4% +1,180,047 2012.03 2012.04 2012.05 순위 등락 악성코드명 건수 비율 1 NEW Mov/Cve-2011-2140 1,651,649 27.1% 2 1 Trojan/Win32.Gen 509,527 8.4% 3 2 Trojan/Win32.adh 449,944 7.4% 4 16 ASD.PREVENTION 365,613 6.0 5 1 Trojan/Win32.bho 355,377 5.8 6 1 Textimage/Autorun 341,125 5.6 7 2 JS/Agent 340,611 5.6% 8 Adware/Win32.korad 288,587 4.7% 9 5 Malware/Win32.generic 263,765 4.3% 10 NEW Trojan/Win32.sasfis 220,051 3.6% 11 NEW Spyware/Win32.keylogger 193,888 3.2% 12 NEW Malware/Win32.suspicious 160,370 2.6% 13 NEW Adware/Win32.winagir 157,828 2.6% 14 3 Als/Bursted 138,792 2.3% 15 NEW JS/Exploit 135,294 2.2% 16 14 Mov/Cve-2012-0754 120,058 2.0% 17 10 Trojan/Win32.agent 109,168 1.9% 18 6 Downloader/Win32.agent 108,127 1.8% 19 4 Trojan/Win32.genome 91,743 1.5% 20 NEW RIPPER 87,147 1.4% 6,088,664 100.0% [ 표 1-1] 2012년 5월악성코드최다 20건 ( 감염보고, 악성코드명기준 )
7 8 악성코드대표진단명감염보고최다 20 5 월신종악성코드 [ 표 1-2] 는악성코드의주요동향을파악하기위하여악성코드별변종을종합한악성코드대표진단명최 다 20 건이다. 2012 년 5 월에는 Trojan/Win32 가총 225 만 2906 건으로최다 20 건중 25.2% 의비율로가 장빈번히보고된것으로조사됐다. Mov/Cve-2011-2140 이 165 만 1649 건, Adware/Win32 가 76 만 [ 표 1-3] 은 5 월에신규로접수된악성코드중고객으로부터감염이보고된최다 20 건이다. 5 월의신 종악성코드는 Win-Trojan/Korad.311296 이 5 만 4464 건으로전체의 18.8% 였으며, Win-Trojan/ Downloader.303104.W 가 1 만 9554 건으로그다음으로많이보고됐다. 5660 건으로그뒤를이었다. 순위 등락 악성코드명 건수 비율 1 Trojan/Win32 2,252,906 25.2% 2 NEW Mov/Cve-2011-2140 1,651,649 18.5% 3 1 Adware/Win32 765,660 8.6% 4 1 Malware/Win32 458,425 5.1% 5 1 Win-Trojan/Agent 380,512 4.3% 6 1 Downloader/Win32 370,945 4.2% 7 NEW ASD 365,613 4.1% 8 7 JS/Agent 343,434 3.8% 9 Textimage/Autorun 341,191 3.8% 10 1 Win-Adware/Korad 263,556 3.0% 11 4 Win-Trojan/Downloader 258,062 2.9% 12 4 Win-Trojan/Onlinegamehack 233,060 2.6% 13 NEW Spyware/Win32 218,524 2.4% 14 1 Win32/Conficker 165,496 1.9% 15 NEW Dropper/Win32 159,248 1.8% 16 1 Win-Trojan/Korad 152,612 1.7% 17 3 Win32/Virut 149,947 1.7% 18 1 Als/Bursted 138,792 1.6% 19 NEW JS/Exploit 135,294 1.5% 20 2 Win32/Kido 128,545 1.3% 8,933,471 100.0% [ 표 1-2] 악성코드대표진단명최다 20건 순위 악성코드명 건수 비율 1 Win-Trojan/Korad.311296 54,464 18.8% 2 Win-Trojan/Downloader.303104.W 19,554 6.7% 3 Win-Trojan/Downloader.307200.V 18,860 6.5% 4 Win-Adware/KorAd.405504 18,727 6.5% 5 Win-Trojan/Korad.309760 18,534 6.4% 6 Win-Trojan/Agent.274432.NE 17,259 5.9% 7 Win-Adware/KorAd.307200.D 14,574 5.0% 8 Win-Trojan/Korad.2120416 14,202 4.9% 9 Win-Trojan/Killav.35456 13,593 4.7% 10 Win-Adware/KorAd.303104.D 12,781 4.4% 11 Win-Adware/KorAd.307200.B 11,049 3.8% 12 Win-Trojan/Zegost.52736 10,478 3.6% 13 Win-Adware/KorAd.311296.D 9,441 3.3% 14 Win-Adware/KorAd.138208 8,741 3.0% 15 Win-Trojan/Dload.229376 8,336 2.9% 16 Win-Adware/KorAd.303104.C 8,267 2.8% 17 JS/Obfus 8,249 2.8% 18 Win-Trojan/Downloader.297056 8,010 2.8% 19 Win-Adware/KorAd.303104.B 7,614 2.6% 20 Win-Adware/BHO.KorAd.622592 7,445 2.6% 290,178 100.0% [ 표 1-3] 5월신종악성코드최다 20건
9 10 5 월악성코드유형별감염보고 신종악성코드유형별분포 [ 그림 1-2] 는 2012 년 5 월한달동안안랩고객으로부터감염이보고된악성코드의유형별비율을집계한결 과다. 2012 년 5 월의악성코드를유형별로살펴보면, 트로이목마 (Trojan) 가 36.6%, 스크립트 (Script) 가 7.8%, 웜 5 월의신종악성코드를유형별로보면트로이목마가 56% 로가장많았고, 애드웨어가 32%, 스크립트가 2% 였다. (worm) 이 6.5% 인것으로나타났다. [ 그림 1-2] 2012 년 5 월악성코드유형별감염비율 악성코드유형별감염보고전월비교 [ 그림 1-4] 신종악성코드유형별분포 [ 그림 1-3] 은악성코드유형별감염비율을전월과비교한것이다. 스크립트가전월에비해증가세를보이고있는반면, 트로이목마, 웜, 애드웨어 (Adware), 바이러스 (Virus), 다운로더 (Downloader), 스파이웨어 (Spyware), 애프케어 (Appcare) 계열들은감소한것을볼수있다. 드롭퍼 (Dropper) 계열은전월수준을유지하였다. [ 그림 1-3] 2012 년 5 월 vs 4 월악성코드유형별감염비율
11 12 01. 악성코드동향 b. 악성코드이슈 [ 그림 1-11] 악성코드가실행될때의네트워크정보 [ 그림 1-14] 는미국의 business-related social networking site 업체인 LinkedIn(www.linkedin.com) 으로위장한메일이다. LinkedIn에서보내는 ' 대기중인메시지가있다 ' 는정상적인알림메시지로꾸며본 문에있는링크를클릭하도록유도한다. 링크를통해연결되는주소는 [ 그림 1-14] 의하단 URL 과같으며정 상적인사이트주소가아닌것을확인할수있다. 해당링크를클릭하 이력서로위장한악성코드특정인의이력서로위장한악성코드가발견되었다. 이악성코드는 MS 워드아이콘을사용하였지만사실은윈도우실행파일이다. [ 그림 1-5] OOO이력서악성코드 B. 문서파일이로딩될때백그라운드로 MTKti.exe 파일이생성된다. MTKti.exe 파일은정상파일로위장하기위해 [ 그림 1-9] 와같이허위로작성된 V3 Lite 프로그램등록정보를가지고있다. 또한, 레지스트리에등록되어윈도우시작시자동으로실행된다. [ 그림 1-8] MTKti.exe 파일생성 C&C 서버로전송되는 271byte 패킷에서 Gh0st 문자열을확인할수가있었다. 이것은감염시스템에서키보드입력정보, 파일업로드, 원격제어등의기능을수행하는 Ghost RAT 계열악성코드로추정된다. [ 그림 1-13] 은키로깅정보가저장된파일이다. [ 그림 1-12] 패킷상세정보 면악성스크립트가포함된사이트로연결되어악성코드에감염된다. 현재해당링크및접속 IP가유효하지는않으나, 이와유사한형태로사용자의 PC를감염시키기위한시도는계속될것으로예상되므로사용자들의주의가요구된다. - Trojan/Win32.Zbot(2012.05.01.00) - Trojan/Win32.Jorik DHL 운송메일로위장한악성코드 [ 그림 1-13] 키로깅정보저장 DHL 운송메일로위장한스팸메일을이용하여허위백신프로그램 A. 해당파일이실행되면정상적인문서파일이열린것처럼 555.doc 문서파일이로딩되며, 이때악성코드가함께설치된다. [ 그림 1-7] 은악성코드실행후로딩되는문서파일이다. 의설치를유도하는악성코드가지속적으로유포되고있다. 메일본문에는수신자에게주소불일치로배송이실패되었다는내용과함께, 첨부된양식을이용해서 DHL에문의하라는내용이포함되어있다. [ 그림 1-6] 555.doc 파일생성 [ 그림 1-9] MTKti.exe 등록정보 [ 그림 1-15] 위장된 DHL 메일 - Win-Trojan/Agent.1462272.R(2011.12.03.00) - Win-Trojan/Agent.641536.F(2011.12.03.00) LinkedIn 스팸메일을위장한악성코드유포 [ 그림 1-7] 555.doc 문서파일 LinkedIn 관련메일로위장하여불특정다수의사람들에게악성코드를유포한스팸메일이발견되었다. 이메일에첨부된 DHL report.zip 압축파일에포함된 DHL report.exe 파일을실행하면자기복제본을랜덤한이름으로생성하고, 윈도우 [ 그림 1-10] 시작레지스트리등록정보 [ 그림 1-14] 악성스팸메일원문 방화벽을우회하기위해해당파일을예외프로그램으로등록한다. [ 파일생성 ] C:\Documents and Settings\All Users\Local Settings\Temp\ mswyyaa.com 또한, 시스템시작시자동실행되도록레지스트리에등록한후아래 C. 악성코드가실행되면 [ 그림 1-11] 과같이 'hh.toxx33.com(1.xxx. XX.212)' 서버에접근을시도한다. URL에접속을시도한다. - 'http://www.update.microsoft.com' - 'http://fro***oro.***/and/image.php' - 'http://fok***ol.***/and/image.php'
13 14 - 'http://uaw***uro2012.***/and/image.php' - 'http://lis***ujik.***/and/image.php' 'http://www.update.microsoft.com' 도메인은악성코드감염후네트워크연결상태를확인하기위해접속하는정상 URL이다. 허위백신프로그램이다운로드되는것으로추정되는 URL로는접속되지않았다. 하지만해당악성코드에감염된시스템에서수집한파일을실행하면 Data Recovery라는허위백신이설치된다. Data Recovery 프로그램이실행되면자동으로시스템을검사하고허위진단내역을보여준다. [ 그림 1-16] 허위백신 Data Recovery ws2help.dll 파일을패치하는온라인게임핵변종악성코드 imm32.dll 파일이아닌 ws2help.dll 파일을패치하는변종온라인게임핵이발견되었다. [ 그림 1-18] 정상 ws2help.dll [ 그림 1-18] 은정상 ws2help.dll 파일의함수호출코드부분으로, 악성코드에감염되어패치된 [ 그림 1-19] 의 ws2help.dl과비교해보면함수호출주소가변경된것을알수있다. [ 그림 1-19] 패치된 ws2help.dll AV Kill 기능을가진온라인게임핵악성코드윈도우시스템파일을패치하는악성파일이외에도 AV Kill 기능을가진다수의파일을생성하는온라인게임핵악성코드가발견되었다. 다음은드롭퍼에의해생성되는파일정보다. - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\A1. zip(ws2help.dll 백업파일 ) - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\B1. zip(wshtcpip.dll 백업파일 ) - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ Ceenieiyw.dll - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\XHtd.dll - C:\WINDOWS\system32\wshtcpDQ.dll(wshtcpip.dll 정상파일 ) 플래시플레이어의제로데이취약점 (CVE-2012-0779) 을이용하는악성코드 어도비플래시플레이어의제로데이취약점 (CVE-2012-0779) 을이용한악성코드가유포되었다. 어도비사는악성코드유포에사용되는보안취약점에대한긴급패치 (Adobe Flash Player 11.2.202.235) 를배포하였다. 최근에알려진공격형태는 DOC 문서내에보안에취약한 SWF 파일이특정 URL을호출하고, 해당사이트에접속하는과정에서실행파일형태의악성코드를감염시키는방식이다. 이와유사한형태의공격이지속적으로보고되고있으며메일에첨부된 DOC 문서파일을실행하도록유도한다. - C:\WINDOWS\system32\wshtcpip.dll( 악성파일 ) 첨부파일을실행하면 [ 그림 1-23] 과같이사용자를속이기위해별 [ 그림 1-19] 의변경된주소에는 [ 그림 1-20] 의코드가삽입되어있으며, 특정모듈 (DLL) 명이명시되어있다. 위의윈도우정상파일을패치하는악성파일이외에도, %temp% 폴더내에다수의 dll 파일을생성한다. 도의문서파일을보여준다. [ 그림 1-23] 사용자를속이기위해보여주는문서내용 [ 그림 1-20] 특정섹션에삽입된코드 [ 그림 1-22] dll 파일에포함된 AV 프로세스리스트 결과창에서 치료 를클릭하면라이선스등록을위한결제를요구 한다. [ 그림 1-17] 결제요구화면 코드상에서확인되는 EfdsWCtrlEx.dll 파일이악의적인기능을수행 하는온라인게임핵악성코드이며, [ 그림 1-21] 과같이특정보안제 품의파일인것처럼조작된등록정보를가지고있다. [ 그림 1-21] EfdsWCtrlEx.dll 파일등록정보 DOC 파일내부에는 [ 그림 1-24] 와같이특정 URL 정보가들어있으 며, 파일실행및공격이성공적으로이루어지면해당사이트에접 속해추가악성코드를다운로드하여실행한다. [ 그림 1-24] 플래시취약점이있는 URL 접속 이허위백신에감염되면윈도우시작메뉴의프로그램이나바탕화 면에등록된바로가기파일을삭제하거나디스크드라이브에저장된 폴더및파일을숨김속성으로변경하여, 사용자는중요한파일이삭제된것으로오해할수있다. 또한, 시스템설정 ( 파일실행방해, 작업관리자및다양한시스템유틸리티실행방해, 인터넷옵션변경방해, 윈도우방화벽비활성화등 ) 을변경하여시스템사용에불편을준다. - Win-Trojan/Patcher.107008(2012.05.06.00) 해당 dll 파일은 AV Kill 기능과특정온라인게임들의사용자계정을탈취하는기능이있다. 이 dll 파일들은 5월 21일이후업데이트된 'v3_gamehackkill' 전용백신에서진단및치료가가능하다. - Win-Trojan/Jorik.49664.K(2012.05.16.00) - Win-Trojan/Fakeav.278016.DJ(2012.05.16.00) - Win-Trojan/Onlinegamehack.3146107(2012.05.06.00) - Win-Trojan/Patched.19968.S(2012.05.06.00) - Trojan/Win32.OnlineGameHack - Trojan/Win32.Magania(2012.05.21.00) - Trojan/Win32.OnlineGameHack(2012.05.21.00) 설치된악성코드는부팅시자동으로실행되기위해서비스에자신을등록하고, C&C 서버로감염정보를전송한후공격자의명령을 기다린다.
15 16 최근의악성코드유포형태를보면 OS 자체에대한공격보다는서 LaunchAgents/ 경로에 'com.apple.adobe.update.agent.plist' 파일을 일반적으로무료로배포되는프로그램의경우프로그램내에광고 2. P2P 파일공유프로그램 u****ent 드파티제품의취약점을이용하는경우가많으며, 어도비플래시플 생성한다. 이 plist 파일은 update.sh 파일을실행한다. 를삽입해제작비용을충당한다. 또는특정기업에서제작비용을 이프로그램은파일공유를위해사용되는 P2P 프로그램중에서가 레이어는악성코드유포에흔히이용되고있다. 이러한제품은보안취약점이자주발견되고업데이트또한빈번하게이루어지므로, 업 [ 그림 1-27] 생성된 plist 파일 지원받는대신, 해당기업의프로그램이추가설치될수있도록해주기도한다. 장광범위하게사용되고있다. 프로그램을설치한후시드 (Seed) 파일을실행시켜파일공유네트워크에참가하는방식으로동작한다. 데이트가자동설치되도록 [ 그림 1-25] 와같이설정할것을권장한다. [ 그림 1-28] com.apple.adobe.update.agent.plist 이러한추가프로그램들은설치과정중에사용자의동의를얻어야 해당프로그램은설치중무료음악파일다운로드프로그램을설치 [ 그림 1-25] 플래시플레이어자동업데이트설정 ( 제어판 시스템및보안 Flash Player) 한다. 하지만대다수의사용자들이설치동의항목을자세히읽어보지도않은채 ' 다음 ' 버튼을클릭한다. 무료프로그램의설치과정만 하도록유도하는화면을보여준다. 이때, 설치동의항목을체크해제하지않으면설치가끝난후해당파일을다운로드한다. B. /Users/Shared/ 경로에 update.sh와 update.py 파일을생성하는데, update.sh 파일에의해 update.py 파일이실행된다. 이파일들은백도어로동작하며파일을유출하거나공격자의명령을실행하는등의악성행위를수행한다. 꼼꼼히살펴봐도추가프로그램의설치를사전에예방할수있다. 몇가지프로그램을통해사례를살펴보도록한다. 1. 디스크조각모음프로그램 Aus****** DiskDefrag 이프로그램은무료로배포되는디스크조각모음프로그램으로, 설치과정을꼼꼼히살펴보면 [ 그림 1-31] 과같은화면을볼수있다. [ 그림 1-33] 설치종료후무료 MP3 파일다운로드여부결정 [ 그림 1-29] /Users/Shared 경로에생성된파일 [ 그림 1-31] 프로그램설치과정중나타난툴바프로그램설치동의화면 [ 그림 1-30] update.py 내부코드 또한사례 1 과같이툴바프로그램과시작페이지를변경하는메뉴가 < 어도비플래시플레이어최신보안패치다운로드 > - http://get.adobe.com/kr/flashplayer/ 나온다. [ 그림 1-34] 프로그램설치과정중나타난툴바프로그램설치동의화면 Python 으로제작된맥악성코드 맥 OS X에기본설치되어있는 Python 기반의악성코드가발견되었다. [ 그림 1-26] 과같이 Python으로작성된악성코드는자바취약점 (CVE-2012-0507) 을이용하며, 맥 OS X 시스템이맞는지검사한후에설정된경로에파일들을생성및실행한다. 자세히읽어보면 2개의체크박스를볼수있는데, 하나는툴바프로그램설치의동의여부이고, 두번째는인터넷시작페이지의변경여부를묻는것이다. 해당내용을읽어보지않고 'Next' 버튼을누르면 [ 그림 1-32] 와같이툴바프로그램이설치되고인터넷시작페이 [ 그림 1-26] Python 기반의드롭퍼 지가변경된다. 이때, 체크박스를해제하면해당툴바는설치되지않고, 시작페이지도변경되지않는다. 최근에발견된맥악성코드들은대부분자바취약점을이용하고있다. 따라서사용하고있는맥시스템의자바를최신버전으로유지할것을권장한다. [ 그림 1-32] 툴바및시작페이지변경결과 해당부분을체크해제하지않고설치를끝마치면툴바프로그램이설치되고시작페이지도변경된다. [ 그림 1-35] 툴바및시작페이지변경결과 프로그램설치화면놓치지마세요 컴퓨터를사용하다보면설치한기억이없는툴바프로그램이설치 되어있거나, 인터넷시작페이지가바뀌고, 바탕화면에쇼핑몰아 이콘이생성되어있는것을볼수있다. 그이유가무엇일까? A. 시스템시작시자동으로실행하기위해 [user]/library/
17 18 이렇듯유명한무료프로그램을통해서합법적으로광고프로그램들이설치될수있다. 이러한광고프로그램들의설치를막기위해서는설치과정중추가프로그램설치에동의하지않는꼼꼼함이 [ 표 1-4] 의 Thread 3은 C&C 서버에접속하여공격대상리스트를다운로드하고하위에다수의 Thread를생성하여다양한 DDoS 공격을수행한다. 이를정리해보면 [ 표 1-5] 와같다. 01. 악성코드동향 c. 모바일악성코드이슈 필요하다. 어린이날에도쉬지않는악성코드제작자 [ 표 1-5] 하위 Thread와 DDoS 공격방법 Thread Thread 1 ~ 3 공격형태 SynF Flood 국내에서발견되는악성코드의상당수는해킹된웹사이트를통해서주말에집중적으로유포된다. 때문에악성코드에대응해야하는 Thread 4 ~ 5 Thread 6 Thread 7 ICMP Flood UDP Flood UDP Small Flood 보안업체나사이트관리자들에게주말은악몽과같다. 올해어린이날에도악성코드제작자들은평소와같이악성코드를유포했다. 특히이중에는 DDoS 공격을수행하는악성코드도있었으나다행히큰피해는보고되지않았다. 1. DDoS 악성코드는주말을겨냥했다. Thread 8 Thread 9 ~ 10 Thread 11 Thread 12 Thread 13 ~ 15 Thread 16 TCP Flood Multi TCP Flood DNS Flood Game2Flood HttpGetFlood CC Attack 안드로이드 Notcompatible 악성코드발견 PC 악성코드와동일한형태로, 해킹된웹사이트를통해유포되는 Android-Trojan/Notcompatible 악성코드가발견되었다. 안드로이드악성코드를유포하는웹사이트는 PC에서접속하면 not found 에러가발생하지만모바일 ( 안드로이드 ) 기기를사용하여접속하면 [ 그림 1-40] 웹페이지리다이렉트및자동다운로드 해당악성코드의분석결과, 타임스탬프가최근임을확인하였다. 이 분석당시에는해당 C&C 서버로접속되지않아어떤데이터를받아 특정페이지로리다이렉트되어악성코드 (Update.apk) 가다운로드 로볼때어린이날과겹친주말에웹사이트의관리가소홀할수있 오는지확인할수없었지만 Thread 12 의 Game2Flood 를수행할것 된다. 다는점을노린것으로추정된다 ( 타임스탬프란파일이제작된시간정보를가진필드를의미하며, 임의조작이가능하다 ). 으로추정되며, 이는아래와같은형태의공격이다. [ 그림 1-37] Game2Flood의공격형태 [ 그림 1-38] 은 Notcompatible 악성코드를유포하는웹사이트로, 웹페이지하단에 [ 그림 1-39] 와같이 iframe 태그가삽입되어있다. 2. 어떤기능이있는가? [ 그림 1-38] 안드로이드악성코드유포사이트 이번에발견된 DDoS 악성코드는기존의악성코드들과같이 C&C 서버에접속하여감염된 PC 의정보를전송하고, 공격대상리스트를 받아와 DDoS 공격을수행하는기능이있다. [ 표 1-4] 메인 Thread 의기능 자동으로다운로드된 Update.apk 파일이설치되면 C&C 서버로접 Thread C&C 기능 근을시도한다. Thread 1 XXXgame.5166.info:8080 감염 PC의정보전송 (PC의 CPU, Memory, [ 그림 1-41] C&C 서버접근시도 Thread 2 XXXXmax6.XXgo.net:8108 OS 버전, System Language) Thread 3 img.xxx7888.com:7066 공격리스트다운로드, DDoS C&C 서버주소와전송되는감염 PC 의정보는아래루틴으로암호 [ 그림 1-39] 웹페이지에삽입된악성스크립트 APK 파일내부의 data 파일에 C&C 서버정보가암호화되어저장되 화되어있다. 어있다. [ 그림 1-36] 감염 PC 정보를암호화하는루틴 [ 그림 1-42] APK 내부에존재하는 data 파일 - Win32/Ircbot.worm.52736(V3, 2012.05.07.00) 해당코드를통해특정 URL 로리다이렉트 (hxxp://xxxroidonlinefix. info/fix1.php) 되며, 이때악성코드가자동으로다운로드된다. 이악 성앱은사용자가수동으로설치해야하며 ' 알수없는앱에대해설 치 ' 항목을허용하지않으면설치되지않는다. 악성코드에감염된단말기는 Proxy 로동작하며연결된 C&C 서버를 통해공격자의명령을수행할것으로추정된다.
19 20 [ 그림 1-43] 디컴파일된코드 웹페이지의다운로드링크를클릭하면악성앱이다운로드되고, 이 [ 그림 1-48] 문자과금관련코드일부 를설치하면 [ 그림 1-46] 과같이 'Install' 이란이름의앱이생성된다. [ 그림 1-46] 악성애플리케이션설치화면 이웹사이트는러시아어로제작되었으며, 'SIM 검사 ', ' 저장소검사 ' 와 ' 시스템파일검사 ' 등의항목을보여줘실제로안드로이드스마트폰의보안검사를수행하는것처럼속이고있다. 각항목의검사가종료되면 [ 그림 1-50] 과같이특정항목을붉은색으로표시해악성코드에감염된것으로위장하여사용자가 VirusScanner.apk 파일을설치하도록유도한다. [ 그림 1-50] 허위로보여주는안드로이드악성코드감염정보들 이악성코드는국내특정웹사이트에서도유포된사례가있다. [ 그 림 1-44] 는국내커뮤니티에올라온해당악성코드와관련된글이다. [ 그림 1-44] 국내웹사이트악성코드유포발견 이악성앱은다수의권한을요구하는데 [ 그림 1-47] 과같이 ' 문자관 련권한 ' 과 ' 과금서비스 (Services that cost you money)' 가있다는것에주의해야한다. - Android-Trojan/Boxer 이번과같이해킹된웹사이트를통해안드로이드악성코드가계속해서유포될것으로예상되므로모바일기기를사용하여웹사이트를방문하는사용자들의각별한주의가요구된다. [ 그림 1-47] 악성앱의권한 허위안드로이드모바일백신유포윈도우운영체제기반의 PC에감염되었던허위백신들과유사한형 다운로드된 VirusScanner.apk를설치하면 [ 그림 1-51] 과같이러시아보안업체카스퍼스키 (Kaspersky) 의보안제품과동일한아이콘이생성된다. - Android-Trojan/Notcompatible 태로허위안드로이드모바일백신을유포하는사례가발견되었다. 이러한허위백신형태의악성코드는최근애플맥운영체제사용자들이증가함에따라맥운영체제에서동작하도록제작되기도한다. [ 그림 1-51] 러시아보안제품과동일한아이콘생성 어도비플래시플레이어로위장한안드로이드악성앱 이번에발견된안드로이드용허위백신은 [ 그림 1-49] 와같이정상적인보안관련웹사이트로위장하고있다. 어도비에서제공하는안드로이드용어도비플래시플레이어는안드로이드에서플래시 (.swf) 를보기위해반드시설치해야하므로사용자에게꼭필요한앱중하나이다. [ 그림 1-49] 허위안드로이드악성코드스캐닝웹사이트 설치과정에서해당허위백신은 [ 그림 1-52] 의권한들이사용됨을사용자에게보여준다. 이러한점을이용한가짜플래시플레이어가러시아에서발견되었 [ 그림 1-52] 허위안드로이드백신이사용하는권한들 다. 해당악성앱제작자는 [ 그림 1-45] 와같이플래시플레이어의 모든버전을다운로드할수있다고광고하며악성앱을유포하고있다. 이처럼해당앱은유료서비스 (premium call) 문자를발송하여과금 [ 그림 1-45] 한국어로번역된악성앱유포사이트 하는것을목적으로제작되었다. 악성코드제작자는이러한방법으로이득을취한다. 문자과금과관련된코드를보면각국가별로문자서비스번호가 다르게구분되어있어국가가다르더라도문자과금이가능하다.
21 22 설치된허위백신은사용을위해요금을지불해야하는, 금전적인목적으로제작된안드로이드악성코드이다. 향후이러한허위백신 Talking Tom Cat 사이트로위장한앱사이트를통해유포되는악성코드 [ 그림 1-56] 권한정보 Google Play 마켓으로연결된링크를클릭하면말하는고양이페이지로이동한다. 연결된화면에서알수있지만정식버전은마켓에 형태의안드로이드악성코드가지속적으로등장할것으로예상된다. 러시아에서운영중인허위 ' 말하는고양이 (Talking Tom Cat)' 사이트 서무료로사용할수있으며, 아이콘에 FREE 문구가표시된다. - Android-Trojan/FakeAV 에서유료서비스문자를발송하여금전적인피해를발생시키는안드로이드악성코드가발견되었다. [ 그림 1-59] Google Play 마켓연결화면 - Android-Trojan/FakeAV.B [ 그림 1-54] 악성코드유포사이트 허위유명안드로이드앱배포웹사이트 안드로이드운영체제에서동작하는유명게임들을배포하는것처럼 위장하여악성코드를유포하는웹사이트를발견했다. [ 그림 1-53] 유명게임을배포하는것으로위장한웹사이트 해당앱이설치되면정상적으로실행되는것처럼사용자에게보여 주며내부적으로는유료서비스문자를발송한다. [ 그림 1-57] 앱실행화면 앱을불법으로받기위해사용하는가짜앱마켓 ( 서드파티마켓 ) 에 서악성코드를유포하는사례가계속해서보고되고있다. 사용자들 은애플리케이션설치시구글앱스토어나통신사에서운영하는앱 스토어와같이신뢰할수있는마켓을이용하고권한정보를자세히 확인하는등의주의가필요하다. 이웹사이트는러시아어로제작되었으며연결된앱설치버튼을누르면 talking_tom_cat_android.apk 파일이다운로드된다. - Android-Trojan/ DJY(2012.05.23) [ 그림 1-55] 악성 Talking Tom Cat 안드로이드앱다운로드 이웹사이트들은모두러시아어로제작되었으며, 안드로이드운영 체제에서설치가능한 APK 파일들을다운로드하도록유도한다. 구글은안드로이드앱스토어에서악성코드가유포되는것을막기위해사전심사를강화하였고, 많은사람들이방문하는서드파티앱스토어에는사용자의평판이존재한다. 악성코드제작자는이를회 앱설치화면이지나간뒤화면에나타난버튼을누르면 Google Play 마켓링크가있는페이지로이동한다. [ 그림 1-58] 설치후나타나는 Google Play 마켓으로이동하는버튼 피하기위하여별도의허위웹사이트를제작한것으로보인다. 이처럼허위로제작된안드로이드마켓은 2012 년 3 월에발견사례 가있었다. 안드로이드사용자들은구글에서직접운영하는앱스토 어나통신사에서운영하는신뢰할수있는앱스토어에서만앱을다 운로드하여설치하는것이바람직하다. 악성앱의설치화면을보면 [ 그림 1-56] 과같이 SMS 수신, 발신권 한을요구한다. - Android-Trojan/Boxer.KX
23 24 02. 보안동향 a. 보안통계 02. 보안동향 b. 보안이슈 5월마이크로소프트보안업데이트현황마이크로소프트가발표한보안업데이트는긴급 3건, 중요 4건이다. 2011.05-2012.05 5 6 7 8 9 10 11 12 1 2 3 4 5 [ 그림 2-1] 공격대상기준별 MS 보안업데이트 위험도 취약점 긴급 MS12-029 Microsoft Word의취약점으로인한원격코드실행문제점 긴급 MS12-030 Microsoft Excel의취약점으로인한원격코드실행문제점 긴급 MS12-031 Microsoft Visio Viewer의취약점으로인한원격코드실행문제점 중요 MS12-032 TCP/IP의취약점으로인한권한상승문제점 중요 MS12-033 Windows Partition Manager의취약점으로인한권한상승문제점 중요 MS12-034 Microsoft Office, Windows,.NET Framework, Silverlight 대상통합보안업데이트 중요 MS12-035.NET Framework의취약점으로인한원격코드실행문제점 [ 표 2-1] 2012년 5월주요 MS 보안업데이트 어도비플래시플레이어 CvVE-2012-0779 취약점발견 5월초어도비사는플래시플레이어취약점인 CVE-2012-0779에대한보안업데이트를공지하였고, 다수의블로그에서실제취약점을이용한공격사례들이보고되기도하였다. 이번취약점은 RTMP(Real Time Messaging Protocol) 프로토콜을처리하는과정에서발생하는취약점으로, RTMP는오디오, 비디오및기타데이터를플래시플레이어와서버사이에서스트리밍할때사용하기위한어도비의독자적인통신규약이다. [ 그림 2-2] 취약점발생코드 (AC) 이번에보고된실제취약점악용사례는기존과동일하게단독플래시파일이아닌 MS 오피스 ( 워드 ) 파일을공격의매체로삼았다. 다만워드파일을악용하는방법의차이가있으며플래시파일 (swf) 을직접문서에삽입하는방식이아닌, 다음과같이스크립트객체를삽입하여간접적으로플래시파일을호출하는방식을사용하였다. [ 그림 2-3] 워드파일일부 최근악성플래시파일들에대한탐지 진단기술이발달하면서, 이를우회하려는공격자들의기술또한다양해지고있다. 이번사례에서도다음과같은다수의우회방법들이발견되었다. - doswf 툴을사용한파일암호화 - Class/Variable/Function 이름난독화 ( 한자사용 ) - 외부파라미터를통한정보전달 (info=, infosize=) [ 그림 2-4] 난독화함수과거 CVE-2012-0754 MP4 파일취약점을비롯하여, 최근집중타깃 (Target) 이되고있는플래시플레이어내부엔진과관련된다양한취약점들이연이어발견되고있다. 따라서, MS 제품군뿐만아니라어도비제품을비롯한서드파티제품군의보안업데이트도잊지말아야할것이다. 'LOIC' 툴을이용한 DDoS 공격주의! 5월 25일을기점으로 'WikiBoat' 라는새로운핵티비스트그룹에의해, Apple, Bank of America, British Telecom, Bank of China 등세계적인대형기관에대한 DDoS 공격이계획중이라는사실이알려졌다. 수많은공격자들이 LOIC(Low Orbit Ion Canon) 라는공격툴을내려받아공격에참여할것이라고밝혔으며, 해당툴은 SANS가예
25 26 고한 6월 16일 이란 (Iran) 웹사이트 DDoS 공격에도이용될예정이다. Low Orbit Ion Canon(LOIC) 는최초로 Praetox Technologies에의해서개발되어지금은오픈소스인네트워크부하 (stress) 테스트및 DoS 공격에쓰이고있는툴이다. 03. 웹보안동향 a. 웹보안통계 [ 그림 2-5] LOIC UI 화면 웹사이트악성코드동향안랩의웹브라우저보안서비스인사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료에의하면, 2012년 5월악성코드를배포하는웹사이트를차단한건수는총 1만 2727건이었다. 악성코드유형은 471종, 악성코드가발견된도메인은 313개, 악성코드가발견된 URL은 1430개였다. 이는 2012 년 4월과비교할때전반적으로다소감소한수치이다. 해당툴은 TCP, UDP, HTTP flooding 종류를선택하고, 타겟경로 (subsite), 포트, 스레드, 속도 (speed) 등을조절할수있는별도의옵션을제공한다. UDP/TCP flooding 공격은, 디폴트로 TCP/UDP message( 사용자변경가능 ) 문자열을페이로드데이터로사용하여대량의패킷을발생한다. HTTP flooding 공격은, 다음과같이일반적인 HTTP 헤더와구별되는 3개의연속적인뉴라인 (NewLine) 문자를포함하는 HTTP GET 패킷을대량으로발생한다. [ 그림 2-6] HTTP Flooding 패킷 악성코드배포 URL 차단건수 19,925 12,727 악성코드유형악성코드가발견된도메인악성코드가발견된 URL 556 471-36.1% 366 313 1,967 1,430 2012.04 2012.05 [ 표 3-1] 웹사이트악성코드동향 월별악성코드배포 URL 차단건수 2012 년 5 월악성코드배포웹사이트 URL 접근에대한차단건수는지난달 1 만 9925 건에비해 36% 특히, 상위버전의 LOIC(V 1.1) 에서는 Internet Relay Chat(IRC) 모드가존재하여, 원격으로 IRC 채널에접속하여대상 (target) 정보및설정들을전달받아수행할수있는, 더욱진화된기능도지원한다. [ 그림 2-7] IRC 모드기능 LOIC 툴에서발생되는트래픽들은일반적인 DDoS 방어장비에서제공하는 threshold 기반이나디폴트설정의경우콘텐츠기반차단방식으로도어느정도의차단이가능하다. 그러나, 공격은하나의공격클라이언트가아닌수많은클라이언트를통해대량의 DDoS 트래픽이발생하는만큼 DDoS 모니터링에더주의를기울일필요가있다. 감소한 1 만 2727 건이었다. 40,000 30,000 20,000 10,000 0 25,873-64.9% -5,948 [ 그림 3-1] 월별악성코드배포 URL 차단건수변화추이 19,925-23.0% -7,198 12,727-36.1% 2012.03 2012.04 2012.05
27 28 월별악성코드유형 악성코드유형별배포수 2012 년 5 월의악성코드유형은전달의 556 건에비해 15% 줄어든 471 건이었다. 악성코드유형별배포수를보면트로이목마가 5461 건 /42.9% 로가장많았고, 다운로더가 1377 건 /10.8% 인것으로조사됐다. 악성코드배포최다 10 건중에서 Trojan/Win32.HDC 가 996 건으로가 1,000 800 600 400 200 0 [ 그림 3-2] 월별악성코드유형수변화추이 월별악성코드가발견된도메인 619-1.7% 556-10.2% -63 2012.03 2012.04 2012.05 2012 년 5 월악성코드가발견된도메인은 313 건으로 2012 년 4 월의 366 건에비해 14% 감소했다. -85 471-15.3% 장많았고 Downloader.Win32.Korad가 755건으로그뒤를이었다. 유형 건수 비율 TROJAN 5,461 42.9% DOWNLOADER 1,377 10.8% ADWARE 917 7.2% DROPPER 816 6.4% Win32/VIRUT 235 1.8% SPYWARE 169 1.3% JOKE 46 0.4% APPCARE 34 0.3% ETC 3,672 28.9% 12,727 100.0% [ 표 3-2] 악성코드유형별배포수 500 375 397-1.5% 366-31 -7.8% 313-53 -14.5% TROJAN 5,461 ETC 3,672 6,000 250 125 DOWNLOADER 1,377 ADWARE 917 4,000 0 [ 그림 3-3] 월별악성코드가발견된도메인수변화추이 2012.03 2012.04 2012.05 DROPPER 816 Win32/VIRUT 235 SPYWARE 169 JOKE 46 APPCARE 34 2,000 0 월별악성코드가발견된 URL 2012년 5월악성코드가발견된 URL은전월의 1967건에비해 27% 감소한 1430건이었다. 5,000 3,750 2,500 1,250 0 2,137 [ 그림 3-4] 월별악성코드가발견된 URL 1,967-57.9% -2,942-8.0% 1,430-537 -27.3% 2012.03 2012.04 2012.05 [ 그림 3-5] 악성코드유형별배포수 순위 등락 악성코드명 건수 비율 1 4 Trojan/Win32.HDC 996 18.7% 2 Downloader/Win32.Korad 755 14.2% 3 4 ALS/Bursted 630 11.8% 4 NEW ALS/Qfas 458 8.6% 5 1 Downloader/Win32.Totoran 454 8.5% 6 NEW Trojan/Win32.SendMail 449 8.4% 7 1 Unwanted/Win32.WinKeyfinder 434 8.2% 8 2 Trojan/Win32.ADH 430 8.1% 9 1 Unwanted/Win32.WinKeygen 400 7.5% 10 7 Dropper/Small.Gen 319 6.0% 5,325 100.0% [ 표 3-3] 악성코드배포최다 10건
29 30 03. 웹보안동향 b. 웹보안이슈 [ 그림 3-9] 복호화전 / 후의악성코드 이러한피싱사이트가꾸준히발견되는이유는실제로많은피해자가피싱사이트에현혹되기때문이다. 보이스피싱과연계한신종사례도발견되었다. 암호화된 소중한정보를보호하기위해서는수신된문자메시지를통해금융 기관접속을유도하거나보안카드와같은금융정보입력을요구할 때각별히조심해야한다. 2012 년 5 월침해사이트현황 특정언론사의경우상위도메인을기준으로서비스별로여러개의하 복호화된 [ 그림 3-12] 피싱사이트개인정보및보안카드정보입력란 [ 그림 3-6] 2012 년 4 월악성코드유포목적의침해사이트현황 위도메인이존재하였고, 각하위도메인별로각각다른페이지에악성코드를다운로드하는주소가삽입되어있었다. 각서브도메인의페이지에삽입된악성스크립트코드는 [ 그림 3-7] 과같이 스페이스와 꾸준히발견되는농협피싱사이트 탭을이용한자바스크립트난독화 에서다뤘던형태이다. 국내주요금융기관을대상으로하는피싱사이트들이크게증가하고 스페이스와탭을이용한자바스크립트난독화출현 : http://asec.ahnlab. com/767 [ 그림 3-7] 스페이스와탭을이용해난독화된악성코드 있는가운데농협피싱사이트가발견되었다. 실제사이트와유사하게제작되었으며, 문자메시지를발송하여접속을유도하고있어사용자들의주의가요구된다. [ 그림 3-1-] 은농협피싱사이트의화면이다. 금전적이유를목적으로 [ 그림 3-6] 은악성코드유포를목적으로하는침해사고가발생했던사이트들의월별현황이다. 3월이후로계속감소하고있는데, 이는기존에악성코드를유포했던 P2P 사이트들에서악성코드유포가감소했 제작된피싱사이트는실제농협사이트와구분할수없을정도로정교하게제작되었다. [ 그림 3-10] 농협피싱사이트 기때문인것으로분석된다. 침해사이트를통해서유포된악성코드최다 10 건 하지만최종적으로다운로드되는악성코드의주소는 [ 그림 3-8] 과같이모두동일하였다. [ 표 3-4] 2012년 4월악성코드최다 10건순위악성코드명건수 [ 그림 3-8] 침해된사이트의구조와삽입된악성코드의다운로드주소 1 Win-Trojan/Onlinegamehack.45568.AB 25 2 Dropper/Onlinegamehack.128845 21 3 Win-Trojan/Onlinegamehack.102912.AY 19 4 Dropper/Onlinegamehack.36965 19 5 Win-Trojan/Patched.102912 18 6 Dropper/Win32.OnlineGameHack 18 이사이트는 보안강화서비스신청하기 이외의부분은클릭할수없도록만들어졌다. 이를통해개인정보수집페이지로사용자들의접속을유도하여개인정보및보안카드정보를요구한다. 7 Win-Trojan/Patched.102912 18 8 Win-Trojan/Onlinegamehack.102912.AY 18 [ 그림 3-11] 실제농협사이트 9 Win-Trojan/Onlinegamehack.101888.AY 18 10 Win-Trojan/Onlinegamehack.92672.DK 17 [ 표 3-4] 는 5월한달동안가장많은사이트를통해서유포되 었던악성코드최다 10건이다. 가장많이유포된 Win-Trojan/ 일반적으로최종다운로드되는파일은 [ 그림 3-9] 와같이백신의진단을회피하도록실행불가파일형태로유포된다. 이후셸코드에의해서복호화되어온라인게임핵악성코드가실행된다. Onlinegamehack.45568.AB( 이하 Onlinegamehack.54784.BC) 는 25 개 의국내웹사이트 ( 언론사 21, 취업포털 2, 종교 1, 기타 1) 를통해유 포되었다.
VOL. 29 ASEC REPORT Contributors 집필진책임연구원선임연구원선임연구원선임연구원주임연구원 심선영안창용이도현장영준문영조 참여연구원 ASEC 연구원 SiteGuard 연구원 편집장선임연구원 안형봉 편집인 안랩세일즈마케팅팀 디자인 안랩 UX 디자인팀 감수 전 무 조시행 발행처 주식회사안랩경기도성남시분당구삼평동 673 ( 경기도성남시분당구판교역로 220) T. 031-722-8000 F. 031-722-8901 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved.