ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

Similar documents
ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작

Security Trend ASEC REPORT VOL.68 August, 2015

ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

Security Trend ASEC Report VOL.56 August, 2014

ASEC REPORT VOL.78 June, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성

ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

Security Trend ASEC Report VOL.63 March, 2015

Security Trend ASEC REPORT VOL.70 October, 2015

ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며

ASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

Security Trend ASEC REPORT VOL.67 July, 2015

ASEC REPORT VOL.75 March, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

ASEC REPORT VOL.69 September, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

Security Trend ASEC Report VOL.52 April, 2014

*2008년1월호진짜

Security Trend ASEC Report VOL.55 July, 2014

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

ActFax 4.31 Local Privilege Escalation Exploit

Security Trend ASEC Report VOL.54 June, 2014

ASEC Report VOL.62 February, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.

ASEC REPORT VOL.73 January, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

ASEC REPORT VOL 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

Security Trend ASEC Report VOL.58 October, 2014

슬라이드 1

Security Trend ASEC Report VOL.51 March, 2014

월간 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜

Security Trend ASEC Report VOL.57 September, 2014

Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염

늘푸른세상4월-136호

악성코드분석보고서 학번 작성자김진홍작성일 2015 년 5 월 14 일 Keyword Downloader, Mouse cursor modification, Registry modification 1. 개요 1.1 요약 해당악성코드는악성코드를다운로드하는역할

Table of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

FD¾ØÅÍÇÁ¶óÀÌÁî(Àå¹Ù²Þ)-ÀÛ¾÷Áß

ASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

신종파밍악성코드분석 Bolaven

1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나 데이터를암호화해사용할수없도록하고이를인질로금전

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

PowerPoint 프레젠테이션

#WI DNS DDoS 공격악성코드분석

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구

2017 년보안위협동향 기억해야할 2017 년보안위협 Top 랜섬웨어패러다임의변화 : 규모, 감염경로, 세대교체정상적인경로를이용한대범함, 공급망공격 돈이되는것을노린다? 돈 자체를노리다! 익스플로잇킷의숨고르기, 취약점공격은다변화모바일위협의고

TGDPX white paper

유포지탐지동향

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

ASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

1

월간 CONTENTS 3 EXPERT COLUMN 영화 감기 의충고, 최초감염자를찾아라! 5 SPECIAL REPORT 2016 상반기위협동향및하반기전망 2016 년상반기키워드는랜섬웨어 표적공격! 하반기는? 8 PRODUCT ISSUE AhnLab MD

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

Chapter 05. 파일접근권한관리하기

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

로거 자료실

Windows 8에서 BioStar 1 설치하기

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A

PowerPoint 프레젠테이션

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

07_alman.hwp

ASEC REPORT VOL

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요? 3 Q5. 보안패치가됐는지어떻게확인하나요? 5 Q6. 스마트폰도랜섬웨

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

untitled

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-

[ 컴퓨터시스템 ] 3 주차 1 차시. 디렉토리사이의이동 3 주차 1 차시디렉토리사이의이동 학습목표 1. pwd 명령을사용하여현재디렉토리를확인할수있다. 2. cd 명령을사용하여다른디렉토리로이동할수있다. 3. ls 명령을사용하여디렉토리내의파일목록을옵션에따라다양하게확인할수

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

Security Trend ASEC REPORT VOL.64 April, 2015

1

ASEC Report 2014 Annual Report ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

ASEC REPORT VOL.72 December, 2015 ASEC(AhnLab Security Emergency response Center)은 악성코드 및 보안 위협으로부터 고객을 안전하게 지키기 위하여 보안 전문가로 구성된 글로벌 보안 조직입니다. 이 리포트는

슬라이드 1

CONTENTS ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안

*****

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

네트워크안정성을지켜줄최고의기술과성능 TrusGuard는국내최고의방화벽솔루션인 수호신 Absolute 기반기술위에설계되었습니다. 수호신 Absolute는국내최초의상용방화벽으로써지난 10년간약 3,000여고객 References를확보하면서기술의안정성과성능면에서철저한시장검증

작성자 : 기술지원부 김 삼 수

#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 운영체제의버전확인은어떻게확인하나요? 3 Q5. 보안패치는어떻게하나요? 4 Q6. 보안패치가됐

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

Xcovery 사용설명서

Red Eyes Hacking Group 상세분석 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : AhnL

차세대 방화벽 기능 애플리케이션 컨트롤 는 차세대 보안 기술인 애플리케이션 컨트롤(Application Control) 기능을 탑재해 P2P / 웹하드 / 메신저(Instant Messenger) / SNS 등 수 천 개의 글로벌 / 국내 애플리케이션에 대해 실시간 분

204

2009 April

종합물가정보 2016년 4월호

005- 4¿ùc03ÖÁ¾š

국가정보보호백서 제1장 정보환경 변화와 정보보호 정보통신기술은 우리에게 보다 나은 미래를 제공해주는 원동력이자 현대사회에서 없어서는 안 될 필수불가결한 사회기반으로 여겨지고 있다. 또한 정보통신기술은 경제 성장의 원천이 되고 있으 며 사회 시스템의 효율성을

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

EQST Insight_201910

<31305FBEC6C0CCC5DB2E687770>

08_spam.hwp

Transcription:

Security Trend ASEC REPORT VOL.76 April, 2016

ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정 보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. 2016 년 4 월보안동향 1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계 Table of Contents 4 6 7 2 보안이슈 SECURITY ISSUE 01 리눅스를노리는빌게이츠봇넷 (BillGates botnet) 주의 02 영화 쏘우 (Saw) 를모방한직쏘 (Jigsaw) 랜섬웨어등장 10 12 3 악성코드상세분석 ANALYSIS IN-DEPTH 이동식저장장치로유포되는 VBE 스크립트악성코드 16 2

1 보안통계 STATISTICS 01 악성코드통계 02 웹통계 03 모바일통계

보안통계 01 악성코드통계 Statistics ASEC이집계한바에따르면, 2016년 4월한달간탐지된악성코드수는 1,156만 4,967건으로나타났다. 이는전월 1,321만 2,012건에비해 1,64만 7,045건감소한수치다. 한편 4월에수집된악성코드샘플수는 324만 5,837건이다. 40,000,000 30,000,000 20,000,000 13,212,012 10,000,000 11,830,547 11,564,967 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 3,493,468 3,548,581 3,245,837 탐지건수샘플수집수 2 월 3 월 4 월 [ 그림 1-1] 악성코드추이 (2016 년 2 월 ~ 2016 년 4 월 ) * 탐지건수 란고객이사용중인 V3 등안랩의제품이탐지한악성코드의수를의미하며, 샘플수집수 는안랩이자체적으로수집한전체악성코드의샘플수를의미한다. 4

[ 그림 1-2] 는 2016 년 4 월한달간유포된악성코드를주요유형별로집계한결과이다. 불필요한프로그 램인 PUP(Potentially Unwanted Program) 가 59.48% 로가장높은비중을차지했고, 트로이목마 (Trojan) 계열의악성코드가 16.8%, 웜 (Worm) 이 3.47% 의비율로그뒤를이었다. 0.14% 0.72% 3.47% 16.8% 59.48% 19.39% PUP etc Trojan Worm Adware Downloader [ 그림 1-2] 2016 년 4 월주요악성코드유형 [ 표 1-1] 은 4 월한달간탐지된악성코드중 PUP 를제외하고가장빈번하게탐지된 10 건을진단명기준 으로정리한것이다. Trojan/Win32.Starter 가총 26 만 913 건으로가장많이탐지되었고, Malware/ Win32.Generic 이 12 만 9,941 건으로그뒤를이었다. [ 표 1-1] 2016년 4월악성코드탐지최다 10건 ( 진단명기준 ) 순위 악성코드진단명 탐지건수 1 Trojan/Win32.Starter 260,913 2 Malware/Win32.Generic 129,941 3 Trojan/Win32.Agent 126,658 4 ASD.Prevention 105,841 5 Unwanted/Win32.HackTool 97,057 6 Trojan/Win32.Neshta 88,807 7 Trojan/Win32.Banki 82,504 8 Unwanted/Win32.Keygen 66,734 9 HackTool/Win32.Crack 66,495 10 HackTool/Win32.AutoKMS 59,478 5

보안통계 02 웹통계 Statistics 2016 년 4 월에악성코드유포지로악용된도메인은 648 개, URL 은 2,216 개로집계됐다 ([ 그림 1-3]). 또한 4 월의악성도메인및 URL 차단건수는총 637 만 3,536 건이다. 9,000,000 8,000,000 7,157,616 7,000,000 6,355,582 6,373,536 6,000,000 5,000,000 4,000,000 40,000 30,000 20,000 10,000 936 7,900 1,587 8,146 648 2,216 악성도메인 /URL 차단건수 악성코드유포도메인수 0 2 월 3 월 4 월 악성코드유포 URL 수 [ 그림 1-3] 악성코드유포도메인 /URL 탐지및차단건수 (2016 년 2 월 ~ 2016 년 4 월 ) * 악성도메인및 URL 차단건수 란 PC 등시스템이악성코드유포지로악용된웹사이트에접속하는것을차단한수이다. 6

보안통계 03 모바일통계 Statistics 2016 년 4 월한달간탐지된모바일악성코드는 24 만 7,847 건으로나타났다. 700,000 600,000 500,000 400,000 323,301 300,000 256,512 247,847 200,000 100,000 0 2 월 3 월 4 월 [ 그림 1-4] 모바일악성코드추이 (2016 년 2 월 ~ 2016 년 4 월 ) 7

[ 표 1-2] 는 4 월한달간탐지된모바일악성코드유형중상위 10 건을정리한것이다. Android-PUP/ SmsPay 가가장많이발견되었다. [ 표 1-2] 2016 년 4 월유형별모바일악성코드탐지상위 10 건 순위악성코드진단명탐지건수 1 Android-PUP/SmsPay 63,488 2 Android-PUP/SmsReg 26,873 3 Android-PUP/Noico 20,396 4 Android-Trojan/SmsSpy 9,567 5 Android-PUP/Dowgin 9,315 6 Android-PUP/Zdpay 8,723 7 Android-Trojan/SmsSend 8,110 8 Android-Trojan/Moavt 6,637 9 Android-Trojan/FakeInst 5,783 10 Android-Trojan/Agent 5,035 8

2 보안이슈 SECURITY ISSUE 01 리눅스를노리는빌게이츠봇넷 (BillGates botnet) 주의 02 영화 쏘우 (Saw) 를모방한직쏘 (Jigsaw) 랜섬웨어등장

보안이슈 01 리눅스를노리는빌게이츠봇넷 (BillGates botnet) 주의 Security Issue 최근리눅스 (Linux) 운영체제에서감염시스템의정보수집, 시스템파일교체, DDoS 공격등을수행하는빌게이츠봇넷 (BillGates botnet) 이발견됐다. 해당악성코드는감염시스템내에서속성이변경되어삭제가불가능해리눅스사용자들의피해가우려된다. 파일별계정권한관리가명확한리눅스운영체제는파일의읽기 / 쓰기 / 실행권한이 [ 소유자 / 그룹 / 그외일반사용자 ] 로각각구분되어있다. 따라서 [ 그림 2-1] 과같이권한이할당되지않은경우, 관리자권한인루트 (root) 계정사용자가파일의권한을변경해주지않으면실행이허용되지않는다. 그림 2-1 루트권한으로생성된파일에대해실행권한 (--x) 이없는경우 이번에발견된빌게이츠봇넷은파일권한정책이아닌파일의속성과관련된사례로, 서버가감염되었을때공격자가파일의속성을변경하여악성코드를삭제할수없도록설정한경우다. 이와관련하여리눅스의감염시스템에서파일속성이변경된경우라도해 당악성파일을삭제할수있도록하는조치방법을자세히살펴보자. 먼저공격자가파일의속성을변경한후, [ 그림 2-2] 와같이삭제시도를하면 실행이허가되지않았다 (Operation not permitted) 라는메시지가출력되며해당파일이삭제되지않는다. 그림 2-2 rm 명령어를통한삭제시도 이때파일이삭제되지않는원인을파일권한문제로판단하고, 파일시스템에기록된정보를이용하여루트계정및 inode를제거하는방법으로다시삭제를시도하면, 마찬가지로동일한메시지가발생하며파일이삭제되지않는다. 그림 2-3 inode 제거를통한삭제시도 [ 그림 2-2], [ 그림 2-3] 의경우처럼파일의삭제가불가한경우, lsattr 명령을통해해당파일의속성 10

을조회하면 [ 그림 2-4] 와같이 i 속성이추가되어있음을확인할수있다. 그림 2-4 파일속성조회 이처럼 i 속성이추가되어있는경우에는 [ 그림 2-5] 와같이루트권한으로 chattr 명령을통해해당파일의속성을변경한후, 다시삭제를시도하면해당파일이정상적으로삭제된다. 그림 2-5 파일속성변경후제거시도 chattr 명령은파일의속성추가시에는 +[ 추가할속성 ], 제거시에는 [ 제거할속성 ] 을통하여수행할수있으며, -R 옵션을추가로부여하는경우에는하위디렉토리까지모두포함되어적용된다. 이는윈도우 (Windows) 운영체제의 attirb 명령과유사하다. 표 2-1 리눅스파일속성및 chattr 명령어예시 이번리눅스악성코드사례와같이파일의속성이변경되어삭제가불가한경우가있어파일의권한뿐만아니라속성에대해서도다시한번확인하는것이필요하다. 단, 중요파일이나로그파일등은 i 나 a 속성을적용하는정상적인경우도있다. 즉, 이러한속성이적용되어있는파일이라고해서모두악성파일은아니므로, 정확히악성으로확인된파일에대해서만삭제를진행할것을권장한다. 최근리눅스운영체제를노리는악성코드가꾸준히증가하고있다. DDoS 공격이나백도어등리눅스악성코드의기능도다양해지고있으며, 앞으로더욱고도화될것으로예상된다. 리눅스시스템을안전하게이용하기위해서는반드시암호를설정해야하며, 최신보안업데이트를적용해야한다. V3 제품에서는해당악성코드를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > Linux/Backdoor.1223123.B [ 명령어예시 (i, S 속성추가 )] chattr +is samples [ 파일속성명중일부 ] [ 설명 ] a (CAP LINUX IMMUTABLE capability) I (CAP LINUX IMMUTABLE capability) S u 추가작성만가능. 삭제불가삭제, 변경, 링크파일생성등파일이변경되면디스크동기화 파일삭제시내용백업 11

보안이슈 02 영화 쏘우 (Saw) 를모방한직쏘 (Jigsaw) 랜섬웨어등장 Security Issue 현재가장이슈가되고있는보안위협은단연랜섬웨어다. 근 2년간수십여종의랜섬웨어가발견되었으며, 지금도새로운변종과다양한공격기법을이용해사용자들을위협하고있다. 최근에는사회공학적기법을적용하여사용자의심리를교묘하게이용하는신종랜섬웨어가등장했다. 영화 쏘우 (Saw) 를모방한직쏘 (Jigsaw) 랜섬웨어를자세히살펴보자. 게임을시작하지 (I want to play a game) 라는메시지를시작으로살인을시작한다. 이번에발견된직쏘랜섬웨어또한 [ 그림 2-7] 과같이영화속직쏘의대사를모방한메시지와이미지를통해사용자에게감염사실을알린다. 그림 2-7 직쏘랜섬웨어의감염화면 그림 2-6 영화 쏘우 (Saw) 를모방한직쏘 (Jigsaw) 이미지 영화속직쏘캐릭터는꼭두각시인형을통해전달한 [ 그림 2-7] 의감염화면에는 사용자의문서, 사진, 비디오등의파일을암호화했으며비트코인을지불하라 는메시지가나타난다. 이와함께매시간마다암호화된파일을삭제할것이라고경고해사용자를심리적으로조급하게만들어지불을유도한다는점이특징이다. 12

그림 2-8 시작프로그램에등록된직쏘랜섬웨어 또한해당랜섬웨어는 [ 그림 2-8] 과같이시작프로그램에등록되어부팅시자동으로실행된다. 따라서 [ 그림 2-7] 의감염화면과함께 60분의카운트다운을지속적으로노출시킴으로써사용자의심리적부담을증가시킨다. 직쏘랜섬웨어에감염되면시스템내에특정확장자를갖는파일들이암호화되며, 암호화되는파일확장자는 [ 표 2-2] 와같다. 암호화이후에는해당파일명끝에.fun이라는확장자가추가된다..wmv,.vob,.m3u8,.dat,.csv,.efx,.sdf,.vcf,.xml,.ses,.Qbw,.QBB,.QBM,.QBI,.QBR,.Cnt,.Des,.v30,.Qbo,.Ini,.Lgb,.Qwc,.Qbp,.Aif,.Qba,.Tlg,.Qbx,.Qby,.1pa,.Qpd,.Txt,.Set,.Iif,.Nd,.Rtp,.Tlg,.Wav,.Qsm,.Qss,.Qst,.Fx0,.Fx1,.Mx0,.FPx,.Fxr,.Fim,.ptb,.Ai,.Pfb,.Cgn,.Vsd,.Cdr,.Cmx,.Cpt,.Csl,.Cur,.Des,.Dsf,.Ds4,,.Drw,.Dwg.Eps,.Ps,.Prn,.Gif,.Pcd,.Pct,.Pcx,.Plt,.Rif,.Svg,.Swf,.Tga,.Tiff,.Psp,.Ttf,.Wpd,.Wpg,.Wi,.Raw,.Wmf,.Txt,.Cal,.Cpx,.Shw,.Clk,.Cdx,.Cdt,.Fpx,.Fmv,.Img,.Gem,.Xcf,.Pic,.Mac,.Met,.PP4,.Pp5,.Ppf,.Xls,.Xlsx,.Xlsm,.Ppt,.Nap,.Pat,.Ps,.Prn,.Sct,.Vsd,.wk3,.wk4,.XPM,.zip,.rar 감염된파일의목록은 C:\Users\[ 사용자명 ]\ AppData\Roaming\System32Work\ 경로에 EncryptedFileList.txt에저장되며, 감염된파일과삭제된파일목록은 [ 그림 2-9] 와같은 UI 형식으로보여준다. 표 2-2 암호화대상파일확장자.jpg,.jpeg,.raw,.tif,.gif,.png,.bmp,.3dm,.max,.accdb,.db,.dbf,.mdb,.pdb,.sql,.dwg,.dxf,.c,.cpp,.cs,.h,.php,.asp,.rb,.java,.jar,.class,.py,.js,.aaf,.aep,.aepx,.plb,.prel,.prproj,.aet,.ppj,.psd,.indd,.indl,.indt,.indb,.inx,.idml,.pmd,.xqx,.xqx,.ai,.eps,.ps,.svg,.swf,.fla,.as3,.as,.txt,.doc,.dot,.docx,.docm,.dotx,.dotm,.docb,.rtf,.wpd,.wps,.msg,.pdf,.xls,.xlt,.xlm,.xlsx,.xlsm,.xltx,.xltm,.xlsb,.xla,.xlam,.xll,.xlw,.ppt,.pot,.pps,.pptx,.pptm,.potx,.potm,.ppam,.ppsx,.ppsm,.sldx,.sldm,.wav,.mp3,.aif,.iff,.m3u,.m4u,.mid,.mpa,.wma,.ra,.avi,.mov,.mp4,.3gp,.mpeg,.3g2,.asf,.asx,.flv,.mpg, 그림 2-9 삭제된파일목록.net framework로개발된직쏘랜섬웨어는꾸준히변종이발견되고있다. 안랩에서수집한직쏘랜섬웨어의변종을확인한결과, 암호화 복호화코드와파일의속성을파이어폭스 (firefox) 로위장하는등의유사점이많은것으로보아동일한제작자가지속적 13

으로변종을유포하고있는것으로추정된다. 위협할전망이다. 랜섬웨어는암호화알고리즘을이용하여파일을암호화하기때문에감염된이후에는사실상복구가어렵다. 따라서랜섬웨어에의한피해를최소화하기위해서는출처를알수없거나의심스러운이메일은가급적즉시삭제하고, 평소중요한데이터를백업해두는등사용자의각별한노력이필요하다. V3 제품에서는직쏘랜섬웨어를다음과같은진단명으로탐지하고있다. 그림 2-10 직쏘랜섬웨어의소스코드일부 이번사례와같이최근발견되고있는사회공학적기법을적용한랜섬웨어는사용자의심리적불안감을극대화하여금전적이익을취하고있다. 또한기술적측면에서도더욱교묘하고고도화된방법을모색하고있다. 지난 2015년을기점으로화두가되고있는랜섬웨어는앞으로도다변화된방법으로사용자를 <V3 제품군의진단명 > Trojan/Win32.Filecoder (2016.04.14.05) Trojan/Win32.Filecoder (2016.04.14.05) Trojan/Win32.Ransom (2016.04.13.09) Trojan/Win32.Agent (2016.04.14.04) Trojan/Win32.Agent (2016.04.14.04) Trojan/Win32.Jigsaw (2016.04.12.03) 14

3 악성코드상세분석 ANALYSIS-IN-DEPTH 이동식저장장치로유포되는 VBE 스크립트악성코드

악성코드상세분석 이동식저장장치로유포되는 VBE 스크립트악성코드 Analysis-In-Depth 최근이동식저장장치의사용이늘어나면서, 이를노리는악성코드가지속적으로등장하고있다. 해당악성코드는장치내파일들의속성을숨김으로변경하고파일의바로가기를생성하고있어, 사용자들의각별한주의가필요하다. [ 그림 3-2] 의더미데이터에서 FF D8 FF E0 xx xx 4A 46 49 46 값은 JPEG 파일구조에서확인할수있는헤더값으로, 실제해당악성스크립트는 [ 그림 3-3] 과같은 jpg 파일을내부에가지고있음을확인했다. 이번에발견된 VBE 스크립트악성코드또한이동식저장장치를통해유포되는악성코드의일종으로, [ 그림 3-1] 과같이스크립트파일형태를띄고있다. 그림 3-1 악성스크립트파일 그림 3-3 악성스크립트가가지고있는 JPG 파일일부 이와같은의미없는더미데이터들을삭제한후실제악성행위를수행하는스크립트만을확인하면 [ 그림 3-4] 와같이파일크기가 272KB로줄어든다. 일반적인악성스크립트파일은 KB 단위의파일인반면, 해당악성 VBE 스크립트파일의크기는약 70MB인것으로미루어볼때, 악성행위와관련이없는더미데이터 (dummy data) 로파일크기를늘린것을확인할수있다. 그림 3-2 악성스크립트의더미데이터 (dummy data) 그림 3-4 악성스크립트 또한해당악성스크립트는암호화되어있으며, 복호화를진행하면 [ 그림 3-6] 과같이악성행위를수행하는스크립트를확인할수있다. 이는앞서확인된바와같이더미데이터를이용하여파일크기를증가시키고, 스크립트를암호화함으로써분석을더욱어렵게하기위한것으로보인다. 16

그림 3-5 암호화된스크립트 또한지속적인감염상태를유지하기위해, [ 그림 3-9] 와같이레지스트리및시작프로그램에등록하여 Windows 시작시악성스크립트가실행될수있도록한다. 그림 3-9 시작프로그램등록 그림 3-6 악성스크립트일부 악성스크립트가실행되면드라이브종류가이동식 (Removable) 인경우, [ 그림 3-7] 과같이해당스크립트가실행된장치내의파일및폴더들의속성을숨김으로변경하고바로가기파일을생성한다. 휴대가편리하여세미나발표자료, 중요문서백업등에많이활용되는이동식저장장치의사용이증가하면서이를노린악성코드또한고도화되고있다. 장치를연결하는것만으로도 PC를쉽게감염시킬수있어학교나도서관등공공장소에서의 2차피해가예상되므로사용자들의더욱각별한주의가필요하다. V3 제품에서는해당악성코드를다음과같은진단명으로탐지하고있다. <V3 제품군의진단명 > VBS/Encode (2016.04.19.00) 그림 3-7 바로가기로변경된파일및폴더 그림 3-8 바로가기속성 17

ASEC REPORT VOL.76 April, 2016 집필 안랩시큐리티대응센터 (ASEC) 발행처 주식회사안랩 편집 안랩콘텐츠기획팀 경기도성남시분당구판교역로 220 디자인 안랩디자인팀 T. 031-722-8000 F. 031-722-8901 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 2016 AhnLab, Inc. All rights reserved.