월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부
` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황 11 - 경유지탐지 업종별비율 11 3. 악성코드은닉사례분석 13 - CKVIP 익스플로잇킷버전업그레이드 (4.3 5.26) 를통한악성코드유포 13 - ActiveX를악용한악성코드유포 30 4. 향후전망 48 - 악성코드유포방법및조치방안 48
1. 악성코드은닉동향요약 월간동향요약 악성코드취약점악용현황은 을이용한유형이 로가장높았고 순으로나타났다 취약점을악용한유형이 로가장높게 나타났으며 취약점 순으로나타났다 OLE(Object Linking and Embedding) : MS 社가개발한오브젝트시스템및프로토콜 악성코드유형으로는정보유출 금융정보 이 로가장높았으며 그외에도드롭퍼 다운로더 스미싱등으로나타났다 정보유출 금융정보 중중국블로그 에서파밍 를받아인증서탈취가 미국 사이트 접속하여 를파싱하여인증서탈취가 로나타났다 파밍 로악용되는국가는미국이 로가장높게나타났으며 일본 홍콩순으로나타났으며 및정보유출지등의국가로는미국이 로가장높게나타났다 구분내용상세취약점정보보안업데이트 CVE-2010-0249 http://cve.mitre.org/cgi-bin/cvenam http://technet.microsoft.com/en-us/ CVE-2010-0806 e.cgi?name=cve-2010-0249 security/bulletin/ms10-002 CVE-2010-0249 http://cve.mitre.org/cgi-bin/cvenam http://technet.microsoft.com/ko-kr/ 인터넷 익스플로러 취약점 CVE-2011-1255 CVE-2012-4792 CVE-2012-4969 CVE-2013-1347 CVE-2013-2551 Internet Explorer 를사용하여특수하게조작된웹페이지에접속할경우원격코드실행허용 e.cgi?name=cve-2010-0806 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2010-0249 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2011-1255 security/bulletin/ms10-018 http://technet.microsoft.com/ko-kr/ security/bulletin/ms10-002 http://technet.microsoft.com/ko-kr/ security/bulletin/ms11-050 CVE-2013-3893 http://cve.mitre.org/cgi-bin/cvenam http://technet.microsoft.com/ko-kr/ CVE-2013-3897 e.cgi?name=cve-2012-4792 security/bulletin/ms13-008 CVE-2014-0322 http://cve.mitre.org/cgi-bin/cvenam http://technet.microsoft.com/ko-kr/ 3
e.cgi?name=cve-2012-4969 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2013-1347 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2013-2551 http://www.cve.mitre.org/cgi-bin/cv ename.cgi?name=cve-2013-3893 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2013-3897 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=2014-0322 security/bulletin/ms12-063 http://technet.microsoft.com/ko-kr/ security/bulletin/ms13-038 http://technet.microsoft.com/ko-kr/ security/advisory/2887505 http://technet.microsoft.com/ko-kr/ security/bulletin/ms13-080 http://technet.microsoft.com/en-us/ security/advisory/2934088 http://technet.microsoft.com/securit y/bulletin/ms13-037 CVE-2012-1875 CVE-2008-2551 CVE-2008-0015 동일 ID 속성원격코드실행취약점 ActiveX Exploit 취약점 Microsoft 비디오 ActiveX 컨트롤의취약점으로인해원격코드실행 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2012-1875 http://cve.mitre.org/cgi-bin/cvename.c gi?name=cve-2008-2551 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2008-0015 https://cve.mitre.org/cgi-bin/cven http://technet.microsoft.com/secur ity/bulletin/ms12-037 - http://technet.microsoft.com/ko-kr/ security/bulletin/ms09-032 https://helpx.adobe.com/security/pr ame.cgi?name=cve-2015-3043 oducts/flash-player/apsb15-06.html https://cve.mitre.org/cgi-bin/cven http://helpx.adobe.com/security/pro ame.cgi?name=cve-2014-8439 ducts/flash-player/apsb14-22.html https://cve.mitre.org/cgi-bin/cven https://helpx.adobe.com/security/pr Adobe Flash Player 취약점 CVE-2015-3043 CVE-2014-8439 CVE-2015-0336 CVE-2010-2884 CVE-2011-0611 CVE-2011-2140 CVE-2012-0754 CVE-2012-1535 CVE-2013-0634 CVE-2014-0515 CVE-2014-0569 CVE-2015-0311 메모리손상으로인한코드실행취약점 ame.cgi?name=cve-2015-0336 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2010-2884 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2011-0611 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2011-2140 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2012-0754 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2012-1535 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2013-0634 oducts/flash-player/apsb15-05.html http://www.adobe.com/support/sec urity/advisories/apsa10-03.html http://www.adobe.com/support/sec urity/advisories/apsa11-02.html http://www.adobe.com/support/sec urity/bulletins/apsb11-21.html http://www.adobe.com/support/sec urity/bulletins/apsb12-03.html http://www.adobe.com/support/sec urity/bulletins/apsb12-18.html http://www.adobe.com/support/sec urity/bulletins/apsb13-04.html http://cve.mitre.org/cgi-bin/cvena http://helpx.adobe.com/security/produ me.cgi?name=cve-2014-0515 cts/flash-player/apsb14-13.html http://www.cve.mitre.org/cgi-bin/cve http://helpx.adobe.com/security/produ name.cgi?name=cve-2014-0569 cts/flash-player/apsb14-22.html https://cve.mitre.org/cgi-bin/cvenam https://helpx.adobe.com/security/prod e.cgi?name=cve-2015-0311 ucts/flash-player/apsa15-01.html 4
http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2011-3544 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2012-0507 http://cve.mitre.org/cgi-bin/cvenam CVE-2011-3544 CVE-2012-0507 CVE-2012-1723 e.cgi?name=cve-2012-1723 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2012-4681 CVE-2012-4681 http://cve.mitre.org/cgi-bin/cvenam 드라이브바이다운로드 Java CVE-2012-5076 e.cgi?name=cve-2012-5076 방식, JRE 샌드박스제한애플릿 CVE-2013-0422 http://cve.mitre.org/cgi-bin/cvenam 우회취약점이용취약점 CVE-2013-1493 e.cgi?name=cve-2013-0422 CVE-2013-2423 CVE-2013-2460 CVE-2013-2465 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2013-1493 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2013-2423 https://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2013-2460 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2013-2465 MS OLE 취약점 CVE-2014-6332 Windows OLE 자동화배열 http://www.cve.mitre.org/cgi-bin/cv 원격코드실행취약점 ename.cgi?name=cve-2014-6332 MS Windows Windows Media 의취약점으로 http://cve.mitre.org/cgi-bin/cvenam CVE-2012-0003 Media 취약점인한원격코드실행 e.cgi?name=cve-2012-0003 Adobe reader Adobe Reader 에서비정상종료를 https://cve.mitre.org/cgi-bin/cvenam CVE-2010-0188 (PDF) 취약점유발할수있는취약점 e.cgi?name=cve-2010-0188 MS XML 취약점 CVE-2012-1889 XML Core Services 의취약점 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2012-1889 http://www.oracle.com/technet work/topics/security/javacpufe b2012-366318.html#patchtable http://www.oracle.com/technetwork/topics /security/javacpujun2012-1515912.html http://www.oracle.com/technetwork/topics/ security/alert-cve-2012-4681-1835715.html http://www.oracle.com/technetwork/topics /security/javacpuoct2012-1515924.html http://www.oracle.com/technetwork/topics/ security/alert-cve-2013-0422-1896849.html http://www.oracle.com/ocom/groups/public/ @otn/documents/webcontent/1915099.xml http://www.oracle.com/technetwork/topics /security/javacpuapr2013-1928497.html http://www.oracle.com/technetwork/topics /security/javacpujun2013-1899847.html http://www.oracle.com/technetwork/topics /security/javacpujun2013-1899847.html http://technet.microsoft.com/se curity/bulletin/ms14-064 http://technet.microsoft.com/ko-kr/ security/bulletin/ms12-004 http://www.adobe.com/support/securit y/bulletins/apsb10-07.html http://technet.microsoft.com/ko-kr/se curity/bulletin/ms12-043 5
2. 홈페이지은닉형악성코드통계 Information TIP o 악성코드은닉사이트란? 이용자 PC를악성코드에감염시킬수있는홈페이지로, 해킹을당한후악성코드자체또는악성코드를유포하는주소 (URL) 를숨기고있는것을말한다. 2.1 악성코드유포지현황 유포지탐지현황 년 월에악성코드유포지탐지및조치현황은다음과같다 악성코드유포지탐지는전월대비 건 건 증가하였다 [ 그림 1] 악성코드유포지탐지건수 6
대량경유지가탐지된유포지 년 월에대량경유지가탐지된유포지 은다음과같다 년 월유포지에의해탐지된경유지뿐만아니라기존탐지된유포지도 지속적으로경유지에악용되고있으나 차단 조치되어악성행위는유발시키지않는다 [ 그림 2] 대량경유지가탐지된유포지 Top 10 [ 표1] 대량경유지가탐지된유포지 순위 탐지일 유포지 국가 경유지건수 1 2015-05-01 http://xxxxxx.com/home/com.js 한국 539 2 2015-05-22 http://www.xxxxxx.ne.kr/mall/cc/index.html 한국 446 3 2015-05-08 http://xxxxxxx.kr/diary/index.html 한국 410 4 2014-09-28 http://www.xxxxxxx.co.kr/board/top.js 한국 406 5 2014-02-25 http://friseur-in-berlin.de/php/ttuwmmfc.php 독일 358 6 2015-01-27 http://xxxxxxx.org/admin/event/index.html 한국 273 7 2015-03-28 http://xxxxxx3040.com/include/index.html 한국 257 8 2015-05-30 http://xxxxxx.com/product/index.html 한국 248 9 2015-05-10 http://ponxxx.xxxxshop.com/himg/kcp/ak.gif 한국 200 10 2008-12-22 http://xx.xxxxx.com/jp.js 한국 168 7
악성코드취약점및취약한 악용현황 애플릿취약점 취약점 취약점 취약점 등의취약점과복합적으로사용되었다 취약한 악용유형중 취약점이 의비율로가장높았으며 그이외에도 취약점 취약점등의순으로 를악용하였다 [ 그림 3] 악성코드취약점악용현황 [ 그림 4] 취약한 S/W 악용현황 8
악성코드유형별비율 악성코드유형중정보유출 금융정보 이 의비율로가장높았으며 그이외에도 원격제어 드롭퍼 금융사이트파밍등의악성코드유형이다양하게나타났다 [ 그림 5] 악성코드유형별비율 정보유출 ( 금융정보 ) : 공인인증서, 비밀번호등금융정보를탈취하는악성코드 드롭퍼 : 정상애플리케이션인것처럼배포된뒤실행되면악성코드를설치하는방식 다운로더 : 추가악성코드를인터넷이나네트워크를통하여다운로드하여설치 스미싱 : 문자메시지와인터넷, 이메일등으로개인정보를알아내사기를벌이는피싱의합성어로스마트폰의소액결제방식을악용한신종사기수법 금융사이트파밍 : 운영체제에서제공하는호스트연결기능을악용한것으로정상호스트설정파일을악의적으로변경하여정상금융사이트방문시가짜금융사이트로연결 정보유출 (PC정보) : 이용자의 PC내의컴퓨터이름, MAC정보등을탈취하는악성코드 백도어 : 몰래컴퓨터에접속하여악의적인행위를할수있도록출입통로역할을해주는악성코드 9
위협 및도메인현황 년 월에위협 및도메인현황 은다음과같다 [ 그림 6] 파밍 IP 악용현황 [ 그림 7] C&C 및정보유출지악용현황 [ 표2] 파밍 IP / C&C 및정보유출지악용현황건순위파밍 IP 국가수건수 C&C 및정보유출지 1 121.115.XXX.XXX 일본 10 67.198.XXX.XXX 미국 6 2 67.198.XXX.XXX 미국 10 98.126.XXX.XXX 미국 4 국가 건수 3 67.229.XXX.XXX 미국 9 183.111.XXX.XXX 한국 3 4 104.203.XXX.XXX 미국 9 107.160.XXX.XXX 미국 3 5 43.249.XXX.XXX 홍콩 4 110.34.XXX.XXX 미국 2 6 23.89.XXX.XXX 미국 2 112.168.XXX.XXX 한국 2 7 98.126.XXX.XXX 미국 2 100.43.XXX.XXX 미국 2 8 107.163.XXX.XXX 미국 2 104.203.XXX.XXX 미국 2 9 112.168.XXX.XXX 한국 2 198.1.XXX.XXX 미국 2 10 100.43.XXX.XXX 미국 2 67.229.XXX.XXX 미국 2 10
2.2 악성코드경유지현황 경유지탐지 업종별비율 년 월에악성코드경유지탐지 업종별유형은다음과같다 악성코드경유지탐지는전월대비 건 건 증가하였다 탐지된경유지는해당홈페이지운영자에게통보하여악성코드삭제및보안조치요청을수행 경유지업종별유형중교육학원학교 학회연구소 유학이가장높았고 엔터테인먼트 도서 생활 소셜커머스 게임 쇼핑순으로탐지가되었으며 이에대해삭제및보안조치요청을수행하였다 [ 그림 8] 경유지탐지현황 11
[ 그림 9] 경유지업종별현황 12
3. 악성코드은닉사례분석 익스플로잇킷버전업그레이드 을통한악성코드유포 정보유출 금융정보 http://365xxxx.com/wow/css/index.html 난독화스크립트디코딩후 버전체크및취약점을악용하여악성코드다운로드 중략 13
버전체크 중략 추가 14
취약점 취약점 15
취약점 취약점 취약점 16
취약점 취약점 추가 17
취약점 wow/css/swfobject.js 사용에필요한라이브러리 중략 생략 18
wow/css/jquery-1.4.2.min.js 사용에필요한라이브러리 생략 19
wow/css/index.js 사용에필요한라이브러리 생략 wow/css/ww.html 취약점을악용하여악성코드다운로드 20
중략 취약점 후 21
wow/css/main.html 난독화스크립트디코딩후 취약점을악용하여악성코드다운로드 중략 22
취약점 23
중략 24
25
악성코드파일 상세분석내용 악성코드행위 코드인젝션으로파밍이후 주소 공인인증서탈취를시도하는악성코드 네트워크상의악성행위 도메인 IP 용도상세내용 users.qzone.qq.com 43.249.82.117 파밍 IP 정보유출 ( 금융정보 ) 운영체제상의악성행위 항목 내용 파일 - 악성코드실행시 cmd.exe 에코드인젝션시도 레지스트리 - 악성코드와인젝션된 cmd.exe 의자동실행을위해레지스트리등록 네트워크 26
- 특정사이트에접속해서특정정보를가져온후파밍 IP(43.249.82.117, HK) 를포함한파일이다운로드 * 접속사이트 - 도메인 : users.qzone.qq.com - IP: 104.70.122.57, US - 프로토콜 : HTTP - URL: http://users.qzone.qq.com/fcg-bin/cgi_get_portrait.fcg?uins=2862818521?=20288 27
네트워크 - 특정 IP 에접속을시도하여 PC 정보 (MAC 주소 ) 를탈취 * 접속사이트 - 도메인 : he8858.com - IP: 103.40.160.100, HK - 프로토콜 : HTTP - URL: http://he8858.com/count.asp?ver=001&mac=00-20-18-11-ff-0b 레지스트리 - 인터넷익스플로러시작페이지를네이버 (www.nave.com) 로변경 네트워크 - 공인인증서 (NPKI) 폴더를찾아임시폴더에압축 28
네트워크 - 특정 IP 접속하여공인인증서 (NPKI) 압축파일전송 * 접속사이트 - IP: 43.249.82.117, HK - 프로토콜 : HTTP - URL: http://43.249.82.117/ip.php?=29245 - URL: http://43.249.82.117/upload.php 29
를악용한악성코드유포 정보유출 금융정보 http://www.xxxxxxxbook.co.kr/test_/asdf/xx/index.html 난독화스크립트디코딩후 버전체크및취약점을악용하여악성코드다운로드 중략 30
버전체크 중략 31
취약점 취약점 32
취약점 취약점 취약점 33
취약점 취약점 34
test_/asdf/xx/swfobject.js 사용에필요한라이브러리 중략 생략 35
test_/asdf/xx/jquery-1.4.2.min.js 사용에필요한라이브러리 생략 test_/asdf/xx/ww.html 취약점을악용하여악성코드다운로드 36
중략 취약점 후 37
test_/asdf/xx/b.html 난독화스크립트디코딩후 취약점을악용하여악성코드다운로드 중략 38
취약점 39
40
중략 41
42
test_/asdf/xx/2.html 파일을악용하여악성코드다운로드 43
악성코드파일 상세분석내용 악성코드행위 호스트파일변조를통해파밍 로유도하고 공인인증서탈취를시도하는악성코드 네트워크상의악성행위 도메인 IP 용도상세내용 174.139.66.174 파밍 IP 정보유출 ( 금융정보 ) 운영체제상의악성행위 항목 내용 파일 * 행위유형 : Create * 경로 : C:\nth\Config.ini * 경로 : C:\nth\Setup.exe * 경로 : C:\ 랜덤 \Config.ini * 경로 : C:\ 랜덤 \seting.xml * 경로 : C:\ 랜덤 \ 랜덤.exe 44
레지스트리 - 자동실행을위해레지스트리등록 * 행위유형 : Create * 레지스트리키 : HKCU\Software\Microsoft\Windows\CurrentVersion\Run\TFM0N * 레지스트리값 : c:\ 랜덤 \ 랜덤.exe 행위설명 * 행위유형 : Create * 경로 : C:\WINDOWS\system32\drivers\etc\hosts ( 변조 ) * 경로 : C:\WINDOWS\system32\drivers\etc\hosts.ics ( 생성 ) 45
파일 * 파밍 IP: 174.139.66.174 (US) 파일 - 공인인증서 (NPKI) 폴더를임시폴더에압축 46
네트워크 - 특정 IP 에접속을시도하지만접속이되지않음 * 접속사이트 - IP: 98.126.64.171, US - 프로토콜 : HTTP 네트워크 - 특정 IP 에접속하여공인인증서 (NPKI) 압축파일을보낸다. * 접속사이트 - IP: 98.126.64.172, US - 프로토콜 : HTTP - URL: http://98.126.64.172:805/index.php * 접속사이트 - IP: 98.126.64.172, US - 프로토콜 : HTTP - URL: http://98.126.64.172:805/u.php 47
4. 향후전망 악성코드유포방법 복합취약점을이용한악성코드유포지속 애플릿 취약점 등을복합적으로악용하여악성코드를유포시키는사례가나타나고있다 이용자가많은홈페이지악성코드유포지속 이용자가많은특정커뮤니티홈페이지등이용자수가많은홈페이지를통해악성코드가유포되었다 정보유출 금융정보 악성코드의다양한파밍 파싱기법 정보유출 금융정보 중중국블로그 에서파밍 를받아인증서탈취가 미국 사이트 접속하여 를파싱하여인증서탈취가 로나타났다 악성코드조치방안 개인및기업의조치보안방안 개인및기업은보안점검및보안패치등보안강화를통해금융정보유출및사이버공격에각별한주의를기울여야한다 웹취약점점검신청 : https://www.krcert.or.kr/kor/webprotect/webprotect_01.jsp 홈페이지해킹방지도구 : https://www.krcert.or.kr/kor/webprotect/webprotect_03.jsp 휘슬신청 : https://www.krcert.or.kr/kor/webprotect/webprotect_02.jsp 개발시점의시큐어코딩을통한홈페이지구축권고 기업에서근본적으로홈페이지개발시점부터보안의식및시큐어코딩으로홈페이지를구축하고 주기적인취약점점검및패치를적용하여웹서버가해킹되지않도록사전에방지해야한다 48
최신보안업데이트권고 이용자는 윈도우의보안업데이트를항상최신상태로유지할것을권장하며 및 관련취약점에의해악성코드에감염되지않도록주의하여야한다 또한안티바이러스 백신을이용하여주기적으로점검하여야한다 윈도우최신보안업데이트적용 자동보안업데이트설정권장 MS 업데이트사이트 : http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko ( 윈도우 7) 제어판 - 시스템및보안 - Windows Update 의취약점에대한보안업데이트적용 MS 보안업데이트 : http://technet.microsoft.com/ko-kr/security/bulletin/ms12-043 최신버전업데이트적용 최신버전 : Adobe Flash Player 17.0.0.188 (http://get.adobe.com/kr/flashplayer/) 최신버전업데이트적용 최신버전 : Java SE Runtime Environment 8u45 (http://www.oracle.com/technetwork/java/javase/8u40-relnotes-2389089.html) 49