Security Trend ASEC REPORT VOL.76 April, 2016
ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2016 년 4 월보안동향 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 Table of Contents 4 6 7 2 보안이슈 SECURITY ISSUE 01 리눅스를노리는빌게이츠봇넷 (BillGates botnet) 주의 02 영화 쏘우 (Saw) 를모방한직쏘 (Jigsaw) 랜섬웨어등장 10 12 3 악성코드상세분석 ANALYSIS IN-DEPTH 이동식저장장치로유포되는 VBE 스크립트악성코드 16 2
1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계
보안통계 01 악성코드통계 Statistics ASEC이집계한바에따르면, 2016년 4월한달간탐지된악성코드수는 1,156만 4,967건으로나타났다. 이는전월 1,321만 2,012건에비해 1,64만 7,045건감소한수치다. 한편 4월에수집된악성코드샘플수는 324만 5,837건이다. 40,000,000 30,000,000 20,000,000 13,212,012 10,000,000 11,830,547 11,564,967 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 3,493,468 3,548,581 3,245,837 탐지건수샘플수집수 2 월 3 월 4 월 [ 그림 1-1] 악성코드추이 (2016 년 2 월 ~ 2016 년 4 월 ) * 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 4
[ 그림 1-2] 는 2016 년 4 월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그 램인 PUP(Potentially Unwanted Program) 가 59.48% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 16.8%, 웜 (Worm) 이 3.47% 의비율로그뒤를이었다. 0.14% 0.72% 3.47% 16.8% 59.48% 19.39% PUP etc Trojan Worm Adware Downloader [ 그림 1-2] 2016 년 4 월주요악성코드유형 [ 표 1-1] 은 4 월한달간탐지된악성코드중 PUP 를제외하고가장빈번하게탐지된 10 건을진단명기준 으로정리한것이다. Trojan/Win32.Starter 가총 26 만 913 건으로가장많이탐지되었고, Malware/ Win32.Generic 이 12 만 9,941 건으로그뒤를이었다. [ 표 1-1] 2016년 4월악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 Trojan/Win32.Starter 260,913 2 Malware/Win32.Generic 129,941 3 Trojan/Win32.Agent 126,658 4 ASD.Prevention 105,841 5 Unwanted/Win32.HackTool 97,057 6 Trojan/Win32.Neshta 88,807 7 Trojan/Win32.Banki 82,504 8 Unwanted/Win32.Keygen 66,734 9 HackTool/Win32.Crack 66,495 10 HackTool/Win32.AutoKMS 59,478 5
보안통계 02 웹통계 Statistics 2016 년 4 월에악성코드유포지로악용된도메인은 648 개, URL 은 2,216 개로집계됐다 ([ 그림 1-3]). 또한 4 월의악성도메인및 URL 차단건수는총 637 만 3,536 건이다. 9,000,000 8,000,000 7,157,616 7,000,000 6,355,582 6,373,536 6,000,000 5,000,000 4,000,000 40,000 30,000 20,000 10,000 936 7,900 1,587 8,146 648 2,216 악성도메인 /URL 차단건수 악성코드유포도메인수 0 2 월 3 월 4 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 (2016 년 2 월 ~ 2016 년 4 월 ) * 악성도메인및 URL 차단건수 란 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 6
보안통계 03 모바일통계 Statistics 2016 년 4 월한달간탐지된모바일악성코드는 24 만 7,847 건으로나타났다. 700,000 600,000 500,000 400,000 323,301 300,000 256,512 247,847 200,000 100,000 0 2 월 3 월 4 월 [ 그림 1-4] 모바일악성코드추이 (2016 년 2 월 ~ 2016 년 4 월 ) 7
[ 표 1-2] 는 4 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. Android-PUP/ SmsPay 가가장많이발견되었다. [ 표 1-2] 2016 년 4 월유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/SmsPay 63,488 2 Android-PUP/SmsReg 26,873 3 Android-PUP/Noico 20,396 4 Android-Trojan/SmsSpy 9,567 5 Android-PUP/Dowgin 9,315 6 Android-PUP/Zdpay 8,723 7 Android-Trojan/SmsSend 8,110 8 Android-Trojan/Moavt 6,637 9 Android-Trojan/FakeInst 5,783 10 Android-Trojan/Agent 5,035 8
2 보안이슈 SECURITY ISSUE 01 리눅스를노리는빌게이츠봇넷 (BillGates botnet) 주의 02 영화 쏘우 (Saw) 를모방한직쏘 (Jigsaw) 랜섬웨어등장
보안이슈 01 리눅스를노리는빌게이츠봇넷 (BillGates botnet) 주의 Security Issue 최근리눅스 (Linux) 운영체제에서감염시스템의정보수집, 시스템파일교체, DDoS 공격등을수행하는빌게이츠봇넷 (BillGates botnet) 이발견됐다. 해당악성코드는감염시스템내에서속성이변경되어삭제가불가능해리눅스사용자들의피해가우려된다. 파일별계정권한관리가명확한리눅스운영체제는파일의읽기 / 쓰기 / 실행권한이 [ 소유자 / 그룹 / 그외일반사용자 ] 로각각구분되어있다. 따라서 [ 그림 2-1] 과같이권한이할당되지않은경우, 관리자권한인루트 (root) 계정사용자가파일의권한을변경해주지않으면실행이허용되지않는다. 그림 2-1 루트권한으로생성된파일에대해실행권한 (--x) 이없는경우 이번에발견된빌게이츠봇넷은파일권한정책이아닌파일의속성과관련된사례로, 서버가감염되었을때공격자가파일의속성을변경하여악성코드를삭제할수없도록설정한경우다. 이와관련하여리눅스의감염시스템에서파일속성이변경된경우라도해 당악성파일을삭제할수있도록하는조치방법을자세히살펴보자. 먼저공격자가파일의속성을변경한후, [ 그림 2-2] 와같이삭제시도를하면 실행이허가되지않았다 (Operation not permitted) 라는메시지가출력되며해당파일이삭제되지않는다. 그림 2-2 rm 명령어를통한삭제시도 이때파일이삭제되지않는원인을파일권한문제로판단하고, 파일시스템에기록된정보를이용하여루트계정및 inode를제거하는방법으로다시삭제를시도하면, 마찬가지로동일한메시지가발생하며파일이삭제되지않는다. 그림 2-3 inode 제거를통한삭제시도 [ 그림 2-2], [ 그림 2-3] 의경우처럼파일의삭제가불가한경우, lsattr 명령을통해해당파일의속성 10
을조회하면 [ 그림 2-4] 와같이 i 속성이추가되어있음을확인할수있다. 그림 2-4 파일속성조회 이처럼 i 속성이추가되어있는경우에는 [ 그림 2-5] 와같이루트권한으로 chattr 명령을통해해당파일의속성을변경한후, 다시삭제를시도하면해당파일이정상적으로삭제된다. 그림 2-5 파일속성변경후제거시도 chattr 명령은파일의속성추가시에는 +[ 추가할속성 ], 제거시에는 [ 제거할속성 ] 을통하여수행할수있으며, -R 옵션을추가로부여하는경우에는하위디렉토리까지모두포함되어적용된다. 이는윈도우 (Windows) 운영체제의 attirb 명령과유사하다. 표 2-1 리눅스파일속성및 chattr 명령어예시 이번리눅스악성코드사례와같이파일의속성이변경되어삭제가불가한경우가있어파일의권한뿐만아니라속성에대해서도다시한번확인하는것이필요하다. 단, 중요파일이나로그파일등은 i 나 a 속성을적용하는정상적인경우도있다. 즉, 이러한속성이적용되어있는파일이라고해서모두악성파일은아니므로, 정확히악성으로확인된파일에대해서만삭제를진행할것을권장한다. 최근리눅스운영체제를노리는악성코드가꾸준히증가하고있다. DDoS 공격이나백도어등리눅스악성코드의기능도다양해지고있으며, 앞으로더욱고도화될것으로예상된다. 리눅스시스템을안전하게이용하기위해서는반드시암호를설정해야하며, 최신보안업데이트를적용해야한다. V3 제품에서는해당악성코드를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > Linux/Backdoor.1223123.B [ 명령어예시 (i, S 속성추가 )] chattr +is samples [ 파일속성명중일부 ] [ 설명 ] a (CAP LINUX IMMUTABLE capability) I (CAP LINUX IMMUTABLE capability) S u 추가작성만가능. 삭제불가삭제, 변경, 링크파일생성등파일이변경되면디스크동기화 파일삭제시내용백업 11
보안이슈 02 영화 쏘우 (Saw) 를모방한직쏘 (Jigsaw) 랜섬웨어등장 Security Issue 현재가장이슈가되고있는보안위협은단연랜섬웨어다. 근 2년간수십여종의랜섬웨어가발견되었으며, 지금도새로운변종과다양한공격기법을이용해사용자들을위협하고있다. 최근에는사회공학적기법을적용하여사용자의심리를교묘하게이용하는신종랜섬웨어가등장했다. 영화 쏘우 (Saw) 를모방한직쏘 (Jigsaw) 랜섬웨어를자세히살펴보자. 게임을시작하지 (I want to play a game) 라는메시지를시작으로살인을시작한다. 이번에발견된직쏘랜섬웨어또한 [ 그림 2-7] 과같이영화속직쏘의대사를모방한메시지와이미지를통해사용자에게감염사실을알린다. 그림 2-7 직쏘랜섬웨어의감염화면 그림 2-6 영화 쏘우 (Saw) 를모방한직쏘 (Jigsaw) 이미지 영화속직쏘캐릭터는꼭두각시인형을통해전달한 [ 그림 2-7] 의감염화면에는 사용자의문서, 사진, 비디오등의파일을암호화했으며비트코인을지불하라 는메시지가나타난다. 이와함께매시간마다암호화된파일을삭제할것이라고경고해사용자를심리적으로조급하게만들어지불을유도한다는점이특징이다. 12
그림 2-8 시작프로그램에등록된직쏘랜섬웨어 또한해당랜섬웨어는 [ 그림 2-8] 과같이시작프로그램에등록되어부팅시자동으로실행된다. 따라서 [ 그림 2-7] 의감염화면과함께 60분의카운트다운을지속적으로노출시킴으로써사용자의심리적부담을증가시킨다. 직쏘랜섬웨어에감염되면시스템내에특정확장자를갖는파일들이암호화되며, 암호화되는파일확장자는 [ 표 2-2] 와같다. 암호화이후에는해당파일명끝에.fun이라는확장자가추가된다..wmv,.vob,.m3u8,.dat,.csv,.efx,.sdf,.vcf,.xml,.ses,.Qbw,.QBB,.QBM,.QBI,.QBR,.Cnt,.Des,.v30,.Qbo,.Ini,.Lgb,.Qwc,.Qbp,.Aif,.Qba,.Tlg,.Qbx,.Qby,.1pa,.Qpd,.Txt,.Set,.Iif,.Nd,.Rtp,.Tlg,.Wav,.Qsm,.Qss,.Qst,.Fx0,.Fx1,.Mx0,.FPx,.Fxr,.Fim,.ptb,.Ai,.Pfb,.Cgn,.Vsd,.Cdr,.Cmx,.Cpt,.Csl,.Cur,.Des,.Dsf,.Ds4,,.Drw,.Dwg.Eps,.Ps,.Prn,.Gif,.Pcd,.Pct,.Pcx,.Plt,.Rif,.Svg,.Swf,.Tga,.Tiff,.Psp,.Ttf,.Wpd,.Wpg,.Wi,.Raw,.Wmf,.Txt,.Cal,.Cpx,.Shw,.Clk,.Cdx,.Cdt,.Fpx,.Fmv,.Img,.Gem,.Xcf,.Pic,.Mac,.Met,.PP4,.Pp5,.Ppf,.Xls,.Xlsx,.Xlsm,.Ppt,.Nap,.Pat,.Ps,.Prn,.Sct,.Vsd,.wk3,.wk4,.XPM,.zip,.rar 감염된파일의목록은 C:\Users\[ 사용자명 ]\ AppData\Roaming\System32Work\ 경로에 EncryptedFileList.txt에저장되며, 감염된파일과삭제된파일목록은 [ 그림 2-9] 와같은 UI 형식으로보여준다. 표 2-2 암호화대상파일확장자.jpg,.jpeg,.raw,.tif,.gif,.png,.bmp,.3dm,.max,.accdb,.db,.dbf,.mdb,.pdb,.sql,.dwg,.dxf,.c,.cpp,.cs,.h,.php,.asp,.rb,.java,.jar,.class,.py,.js,.aaf,.aep,.aepx,.plb,.prel,.prproj,.aet,.ppj,.psd,.indd,.indl,.indt,.indb,.inx,.idml,.pmd,.xqx,.xqx,.ai,.eps,.ps,.svg,.swf,.fla,.as3,.as,.txt,.doc,.dot,.docx,.docm,.dotx,.dotm,.docb,.rtf,.wpd,.wps,.msg,.pdf,.xls,.xlt,.xlm,.xlsx,.xlsm,.xltx,.xltm,.xlsb,.xla,.xlam,.xll,.xlw,.ppt,.pot,.pps,.pptx,.pptm,.potx,.potm,.ppam,.ppsx,.ppsm,.sldx,.sldm,.wav,.mp3,.aif,.iff,.m3u,.m4u,.mid,.mpa,.wma,.ra,.avi,.mov,.mp4,.3gp,.mpeg,.3g2,.asf,.asx,.flv,.mpg, 그림 2-9 삭제된파일목록.net framework로개발된직쏘랜섬웨어는꾸준히변종이발견되고있다. 안랩에서수집한직쏘랜섬웨어의변종을확인한결과, 암호화 복호화코드와파일의속성을파이어폭스 (firefox) 로위장하는등의유사점이많은것으로보아동일한제작자가지속적 13
으로변종을유포하고있는것으로추정된다. 위협할전망이다. 랜섬웨어는암호화알고리즘을이용하여파일을암호화하기때문에감염된이후에는사실상복구가어렵다. 따라서랜섬웨어에의한피해를최소화하기위해서는출처를알수없거나의심스러운이메일은가급적즉시삭제하고, 평소중요한데이터를백업해두는등사용자의각별한노력이필요하다. V3 제품에서는직쏘랜섬웨어를다음과같은진단명으로탐지하고있다. 그림 2-10 직쏘랜섬웨어의소스코드일부 이번사례와같이최근발견되고있는사회공학적기법을적용한랜섬웨어는사용자의심리적불안감을극대화하여금전적이익을취하고있다. 또한기술적측면에서도더욱교묘하고고도화된방법을모색하고있다. 지난 2015년을기점으로화두가되고있는랜섬웨어는앞으로도다변화된방법으로사용자를 <V3 제품군의진단명 > Trojan/Win32.Filecoder (2016.04.14.05) Trojan/Win32.Filecoder (2016.04.14.05) Trojan/Win32.Ransom (2016.04.13.09) Trojan/Win32.Agent (2016.04.14.04) Trojan/Win32.Agent (2016.04.14.04) Trojan/Win32.Jigsaw (2016.04.12.03) 14
3 악성코드상세분석 ANALYSIS-IN-DEPTH 이동식저장장치로유포되는 VBE 스크립트악성코드
악성코드상세분석 이동식저장장치로유포되는 VBE 스크립트악성코드 Analysis-In-Depth 최근이동식저장장치의사용이늘어나면서, 이를노리는악성코드가지속적으로등장하고있다. 해당악성코드는장치내파일들의속성을숨김으로변경하고파일의바로가기를생성하고있어, 사용자들의각별한주의가필요하다. [ 그림 3-2] 의더미데이터에서 FF D8 FF E0 xx xx 4A 46 49 46 값은 JPEG 파일구조에서확인할수있는헤더값으로, 실제해당악성스크립트는 [ 그림 3-3] 과같은 jpg 파일을내부에가지고있음을확인했다. 이번에발견된 VBE 스크립트악성코드또한이동식저장장치를통해유포되는악성코드의일종으로, [ 그림 3-1] 과같이스크립트파일형태를띄고있다. 그림 3-1 악성스크립트파일 그림 3-3 악성스크립트가가지고있는 JPG 파일일부 이와같은의미없는더미데이터들을삭제한후실제악성행위를수행하는스크립트만을확인하면 [ 그림 3-4] 와같이파일크기가 272KB로줄어든다. 일반적인악성스크립트파일은 KB 단위의파일인반면, 해당악성 VBE 스크립트파일의크기는약 70MB인것으로미루어볼때, 악성행위와관련이없는더미데이터 (dummy data) 로파일크기를늘린것을확인할수있다. 그림 3-2 악성스크립트의더미데이터 (dummy data) 그림 3-4 악성스크립트 또한해당악성스크립트는암호화되어있으며, 복호화를진행하면 [ 그림 3-6] 과같이악성행위를수행하는스크립트를확인할수있다. 이는앞서확인된바와같이더미데이터를이용하여파일크기를증가시키고, 스크립트를암호화함으로써분석을더욱어렵게하기위한것으로보인다. 16
그림 3-5 암호화된스크립트 또한지속적인감염상태를유지하기위해, [ 그림 3-9] 와같이레지스트리및시작프로그램에등록하여 Windows 시작시악성스크립트가실행될수있도록한다. 그림 3-9 시작프로그램등록 그림 3-6 악성스크립트일부 악성스크립트가실행되면드라이브종류가이동식 (Removable) 인경우, [ 그림 3-7] 과같이해당스크립트가실행된장치내의파일및폴더들의속성을숨김으로변경하고바로가기파일을생성한다. 휴대가편리하여세미나발표자료, 중요문서백업등에많이활용되는이동식저장장치의사용이증가하면서이를노린악성코드또한고도화되고있다. 장치를연결하는것만으로도 PC를쉽게감염시킬수있어학교나도서관등공공장소에서의 2차피해가예상되므로사용자들의더욱각별한주의가필요하다. V3 제품에서는해당악성코드를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > VBS/Encode (2016.04.19.00) 그림 3-7 바로가기로변경된파일및폴더 그림 3-8 바로가기속성 17
ASEC REPORT VOL.76 April, 2016 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2016 AhnLab, Inc. All rights reserved.