트렌드마이크로 2012년 1분기 위협보고서

모빌리티 시대의 보안

"모바일 기술"이란 휴대하여 이동이 가능하게 하는 기술이란 뜻으로, 결코 휴대폰에 한정되는 기술을 의미하는 것은 아닙니다. 노트북, 태블릿, 인공 위성 자동 위치 측정 시스템 (GPS)과 같은 기기도 모바일 기술에 포함 됩니다. 그러나, 다른 어느 기기 또는 기술과 마찬가지로, ‘모바일화’ 된다는 점에도 단점이 있습니다. 예방책을 충분히 준비하여 두지 않았을 경우, 모바일 기기에 의하여 개인 또는 조직의 소중한 데이터가 허가되지 않은 사람들에게 누출 될 수 있다는 점입니다.

트렌드마이크로는 이번 분기에 안드로이드 기반의 스마트 기기 앱에서 대략 5,000여 종류의 악성코드를 발견하였습니다.

내용모바일 기기의 위험성

모바일 기기의 위험성 중의 하나로 예측되었던, 안드로이드 기반의 스마트폰에 대한 사이버 공격의 증가가 현실화 되었습니다.

데이터 누출 및 APTs

이름에서 알 수 있듯이, APTs에 의한 지속적인 공격이 이루어지고 있습니다.

소셜 미디어의 위험성

예측대로, 오늘날의 소셜 네트워킹 세대는 소셜 네트워킹을 통하여 개인의 정보를 타인에게 더 쉽게 노출하고 있습니다.

취약점

악용 될 수 취약점은 모든 IT관리자에게는 여전히 문제점으로 남아있습니다.

사이버 범죄

여러 형태를 혼합하여서 행하는 공격은 사용자들에게 거대한 재앙을 초래할 수 있습니다.

• 스마트 폰과 태블릿 기기, 특히 안드로이드 기반의 기기에 대한 사이버 범죄가 증가할 것입니다.

• 사이버 범법자들은 적법한 모바일 애플리케이션에서 보안 취약점을 발견하여, 더 용이하게 데이터를 취득할 것 입니다.

모바일 기기의 위험성 중의 하나로 예측되었던, 안드로이드 기반의 스마트폰에 대한 사이버 공격의 증가가 현실화 되었습니다. Google/Ipsos에 의하면 스마트폰을 사용하여 웹에 접속하는 이용자의 수가 증가하고 있습니다. 독일을 예로 들면, 39%에서 49%로 증가하여 가장 큰 증가율을 보여주었습니다. 인터넷 접속을 위한 스마트 폰 사용자의 증가와 이러한 스마트 폰 플랫폼에 대한 공격자의 증가는 전혀 놀라운 사실이 아닐 수 도 있습니다.

예측대로…

— Robert McArdle, 트렌드마이크로 연구원

원 클릭 결제 사기

• 성인용 동영상 또는 블로그를 공유하는 사이트에 접속하는 사용자들이 공격 대상이 됨

• 일본의 scareware 또는 FAKEAV라는 사이트에 비해, 9만9천8백 (약 1300 달러)이라는 비싼 수수료를 청구함

• 현재, 안드로이드 기반의 스마트폰 사용자를 공격 대상으로 함

일본 경찰에 의하면, 원 클릭 결제 사기와 연관하여 6명이 체포 되었으며, 피해액은 1200만엔 (약14만8천 달러)에 달함.

전형적인 원-클릭 결제 사기의 코드 실행을 보여주는 그림

위조 "템플 런 (Temple Run)" 과 같은 가짜 안드로이드 앱

• 구글 플레이 (이전의 안드로이드 마켓)사이트에 위조 앱을 올려서, 사용자가 다운로드 받도록 하여 실행하면 알림 기능을 통하여 성가신 광고를 보여 줌

• 위조 템플 런은 감염 된 기기의 홈 스크린에 자동으로 단축키를 생성 함

• 가짜의 러시아 구글 플레이 사이트에서는 사용자를 유인하여, 원치 않는 프리미엄 서비스를 받도록 하여 수수료를 청구함

• 위조 된 안드로이드 또는 심비안 기반의 스마트 폰 최적화 앱이 독일의 서버에 호스팅 된 사례가 발각되었음

• 플랑크톤에서 변형 된 악성코드가 안드로이드 기반의 앱에 내재 된 경우가 다수 발견되고 있음

• 애드웨어로 분류 된 앱을 설치하면, 단축키가 생성되어 클릭하면 광고서버로 자동 연결 됨

스마트폰에 앱을 설치할 때의 주의 점…

• 개인 정보의 일부가 공개 된다는 점을 숙지한다.

• 제 3사가 개인 정보에 접속할 권한을 가진다는 것을 숙지한다

• 앱 개발자의 신용평가에 대하여 미리 알아둔다.

“스마트폰 앱의 인기에 대한 가장 큰 이유는 사용이 편리하다는 점입니다. 휴대폰으로 인터넷을 탐색하는 것은 노트북을 사용하던 것과는 또 다른 경험입니다... 단, 꼭 기억해두어야 할 중요한 점은 귀하의 데이터에 액세스 할 수 있는 권한을 앱에 부여할 것인가 아닌가입니다. 만약에 어떤 점이라도 의심스러운 점이 있다면 앱을 설치하지 않는 것입니다.”

성인용 사이트 방문 동영상 클릭

기기 감염

악성코드 다운로드 사이트로 연결

• 아직도 대부분의 조직이 소비화에 불편함을 느끼고 있지만, 2012년 한 해에 발생한 보안과 데이터 침해 사고는 조직으로 하여금 본인의 기기는 본인 스스로가 보호할 수 있도록 하는 대책을 마련하도록 할 것입니다.

• 2012년에는 악성코드의 감염에 의한 데이터 누출 사고가 더 많아질 것입니다.

이름만으로도 알 수 있듯이, APTs (Advanced Persistent Threat)는 지속적으로 행하여지는 공격입니다. 이러한 공격은 단발성으로 끝나는 형태가 아니고, 목적이 달성 될 때까지 공격 대상의 네트워크의 깊은 곳까지 침투하여 목적을 달성할 때까지 지속적으로 공격하는 캠페인과 같은 것입니다. 오늘날과 같이 소비와 아웃소싱, 그리고 새로운 기술과 플렛폼, 단체들과의 상호 작용에 의존하는 비즈니스 형태가 공격자의 공격 대상이나 범위를 확대하는 효과를 부르고 있는 점도 있습니다.

예측대로…

Linsanity 및 사회정치적인 이벤트를 타겟 공격의 미끼로 이용

• NBA 슈퍼스타 제레미 린의 이름이 최근의 LURID/Enfal 캠페인의 사회공학적인 미끼로 악용 됨

• MS워드의 취약점을 악용한 파일이 첨부 된 이메일이 독일수상을 발신인으로 티벳 활동가들에게 발송 됨

“대상을 특정하여 두고, 고도의 공격 기법으로 일정한 기간을 두고 행하여지는 공격은 성공과 실패의 연속적인 시리즈와 같은 캠페인으로 생각하는 것이 더 유용할 것입니다. 외부에 공개 된 정보나 이전의 공격에서 얻은 데이터를 바탕으로 공격 대상에 관하여 더 자세히 알 수록, 공격은 더 정교한 형태로 이루어 질 것입니다."

—

트렌드마이크로 연구팀

럭키캣 캠페인

• 적어도 2011년 6월부터 활동 시작

• 일본과 인도의 산업기관과 티벳의 활동가를 대상으로 한 90여건의 공격과 연관 됨

• 마이크로오피스, 아도비리더 그리고 플래쉬플레이어의 취약점을 악용하는 파일이 첨부 된 이메일을 발송

•

C&C서버로 무료 웹호스팅 서버를 활용함으로써 공격자를 추적하는 것을 어렵게 함

•

233대의 컴퓨터가 감염되어서, 중요 데이터가 누출 됨 11

11 http://www.tmcs.co.kr/trend/edm/luckycat/luckycat_redux_kr.pdf

2011년, 1억74만건의 공격이 행하여졌으며, 855건의 데이터 침해 사고가 발생하였음

럭키캣 캠페인의 공격 대상

• 항공 산업 • 군사 연구 기관

• 에너지 • 물류

• 공학 • 티벳 활동가

* http://kr.trendmicro.com/kr/support/blog/luckycat-redux-inside-an-apt-campaign/index.html

APT CAMPAIGN TARGET COUNTRIES

오늘날의 소셜 네트워킹 세대는 소셜 네트워킹을 통하여 개인의 정보를 타인에게 더 쉽게 노출하고 있습니다. 다시 말하자면, 범죄자들은 이동성의 개념을 오용하여 악성 코드를 효과적으로 전파하고 있습니다. 이처럼 교활하게 소셜 미디어에서 사회공학적인 미끼로써 이용자의 모바일 폰의 앱을 악용하는 방법으로 정보에 접근하여 개인 뿐만 아니라 기업도 위험에 빠뜨리고 있습니다.

• 새로운 소셜 네트워킹 세대는 프라이버시를 새로이 정의할 것입니다.

예측대로…

소셜 네트워킹 계정은 사이버 범죄자에게 훨씬 더 유용합니다. 그 이유는, 친구의 이메일 주소를 강탈할 수 있을 뿐만 아니라, 악성 링크를 메일로 보내어서 친구의 네트워크 상에서의 신용 또한 강탈하고자 할 것이기 때문입니다. 그렇기 때문에, 훔친 소셜 네트워킹 계정에도 가격이 있는 것입니다.

— David Sancho, 트렌드마이크로 연구원

이메일 속임수와 사기

• iPad 3가 출시 되기도 전에, 무료 iPad 제공이라는 프로모션이 사람들의 관심을 불러일으켜서 시스템을 악성코드로 감염시켰습니다.

• 무료 맥도날드의 기프트 카드라는 트위터 스팸은 사용자를 성인 데이트 사이트로 유인하였습니다.

• 세금신고 기간이라는 점도 악성코드의 전파와 피싱 공격을 위한 사회공학적인 미끼로 악용되었습니다.

• 휘트니 휴스턴의 갑작스런 죽음이 장안의 화제가 되었을 때도, 사이버 범죄자들은 이를 악성코드를 전파하기 위하여 이용하였습니다.

소셜 네트워킹 관련 수치

• 페이스북

• 한 달간 사용자수 8억 4천 5백명

• 1일간 4억 8천 3백명

• 트위터

• 1억 4천명의 사용자

• 하루 트윗 건 수 3억 4천건

• 핀터레스트

• 하루 새로운 방문자 수 1천만 1백 7십만명

• 링크드 인

• 사용자 수 1억 5천만명

• 구글+

• 사용자 수 1억명핀터레스트

• 새로운 소셜 네트워킹 사이트인 핀터레스트는 인기도 대단하지만, 오명도 함께 얻었습니다.

• 사용자들은 스타벅스의 기프트카드를 얻기위하여 리피닝을 하였지만, 결국은 악성코드에 감염되고 말았습니다.

TOP 5 SOCIAL ENGINEERING LURES

* Based on Trend Micro noteworthy incident tracking

악용 될 수 취약점은 여전히 모든 IT관리자에게는

문제점으로 남아있습니다. 현 분기내에 보고 된 취약성

관련 자료에서 알 수 있듯이, 취약점은 확산이 용이하고

모바일 기기까지도 감염시킬 수 있다는 것입니다.

가장 주목할만한 취약점으로 공개 된 MS12-020의 경우,

원격으로 접속이 가능하다면, 언제 어디서나 공격 대상이

되어 공격당할 수 있다는 것을 보여주었습니다.

• 아직도 대부분의 조직이 소비화에 불편함을 느끼고 있지만, 2012년 한 해 동안에 발생한 보안과 데이터 침해 사고는 조직으로 하여금 본인의 기기는 본인 스스로가 보호할 수 있도록 하는 대책을 마련하도록 할 것입니다.

예측대로…

“윈도우 시스템에는 기본적으로 원격 접속 기능을 제공하는 리모트 데스크탑 프로토콜 (RDP)이라과 하는 것이 있습니다. 디폴트 셋팅에서 오프로 되어 있기는 하지만, 활용도가 높아질수록 잠재적으로는 위험성이 큰 기능입니다.

— Pawan Kinger, Trend Micro 트렌드마이크로 MS12-020 취약점 운영 매니저

MS12-020 (CVE-2012-0002)

• 마이크로소프트의 RDP기능의 취약점을 악용하여원격에서 악성코드를 실행합니다.

• 권한이 없는 이용자에게도 원격 접속 권한을 부여하므로위험도가 대단히 높은 것으로 인식되고 있습니다.

• 모든 윈도우 버전을 감염시킬 수 있습니다.

• 지난 3월에 패치가 배포되었습니다.

CVE-2012-0002의 경우, 마이크로소프트의 취약성 등급에서 최고점을 받은 것으로, 공격 대상이 되는 경우 지속적으로 취약점을 악용당할 수 있습니다.

MIDI 원격 코드 실행 취약성(CVE-2012-0003)

• 윈도우 미디어 플레이어에 있는 멀티미디어 라이브러리가 특별하게 고안 된 MIDI파일의 실행시키지 못할 경우에 악용될 수 있는 취약성입니다.

• 공격자가 원격에서 취약성에 노출 된 시스템의 임의의 코드를 실행시킵니다.

• 감염 된 시스템으로부터 필요한 정보를 추출하는 것이 가능합니다.

지난 3월은 보고 된 취약성의 건수가 최대였다는 점 외에도, 애플사에서 배포한 패치의 수도가장 많았던 달이었습니다.

취약성 숫자로 본 상위 10개사

* Shows the vendors of the most vulnerable OS/software from January to March 2012 based on data available in http://cve.mitre.org/

여러 형태를 혼합하여서 행하는 공격은 사용자들에게 거대한 재앙을 초래할 수 있습니다. 랜섬웨어와 같은 악성코드의재출현이나 스팸 캠페인의 확산은 범죄자들로 하여금 훔쳐낸 데이터를 이용하여 이익을 취하도록 합니다. 데스크탑 또는 모바일 기기에 관계없이 여러 형태가 혼합 된 위협은 심각한 문제가 되고 있습니다.

• 사이버 범죄자는 법의 구속을 벗어날 수 있는 여러 방법을 찾아 낼 것입니다

• 2012년에는 악성코드의 감염에 의한 중요 데이터의 손실이 더 많아 질 것으로 예상합니다

예측대로…

“트렌드마이크로의 스마트 프로텍션 네트워크 제품은 8억개 이상의 URL, 5천 만개의 이메일 샘플, 43만개의 파일 샘플 및 20만개의 IP 주소를 매일 분석하고 있으며, 이 때의 처리되는 데이터 용량은 4테라바이트에 이르고 있습니다.”

—

트렌드마이크로

랜섬웨어

• 피해자가 돈을 지불할 때까지 시스템 및, 또는 파일의 실행을 방해하는 악성코드의 일종

•

• 감염 된 시스템은 동작하지 않아 무용지물이 되므로 돈을 지불하여야 하는 상황이 됨

• 이전에는 러시아에 집중되어 있었지만 지금은 유럽에서도 발견되고 있음

폴리스 트로얀이라는 랜섬웨어에 감염 된 시스템은 스크린에 경찰로부터의 안내문으로 보이는 화면이 떠서 성인용 또는 폭력적인 사이트에 접속한 벌금으로 100유로를 요구 함

이번 분기에 트렌드마이크로의 스마트 프로텍션 네트워크 제품이 방어한 공격건 수

• 153억 개의 스팸

• 33만 8천 4백 개의

• 1억 3천개의

악성 코드

악성 URL

랜섬웨어에 의한 감염 건 수가 가장 많은 나라 8개국

* Trend Micro Smart Protection Network data

때로는 감염된 시스템의 하드에 파일을 암호화 함

Sinowal

• 악의적인 iframe으로 구성 된 네델란드의 사이트에 방문하면 SINOWAL 변종에 감염 됨

• 하드 디스크 시리얼 번호, 실행중인 프로세스, 등록된소프트웨어에 관한 정보가 사이버 범죄자의 리스트에 노출 됨

더 주목 할 만한 웹상의 위협

• 악성캠페인에대한주의를주는이메일로꾸민사기성메일을발송하여악성자바스크립트를다운로드시킴

• 인권 보호 단체의 사이트의 시스템이 감염시켜 방문자의 시스템 관련 정보를 백도어를 이용하여 추출 함

• PoisonIvy 백도어의 스텔스 메커니즘의 발견은 악성코드가 지속적으로 존재하고 있음을 증명함

스팸 발송이 가장 많은 10개국

* Trend Micro Smart Protection Network data

악성 첨부 파일이 가장 많이 이용하는 파일 형식 4 가지

* Trend Micro Smart Protection Network data

t op 3 malware

* Exact numbers: WORM_DOWNAD.AD – 740,977; CRCK_KEYGEN – 197,330; and PE_SALITY.RL – 83,916 based on Trend Micro Smart Protection Network data

가장 악명 높은 악성 폐쇄 사이트 10곳

malicious url deScription

antispyware/loadadv.exeDistributes malware, particularly DOWNAD variants

serw.clicksor.com:80/newserving/getkey.php

Associated with the proliferation of pirated applications and other threats

irs01.com:80/irt Downloads malware

serw.myroitracking.com:80/newserving/tracking_id.php

Contacts various servers to download and aggressively display pop-up ads

antispyware/loadadv.exDistributes malware, particularly DOWNAD variants

172.168.6.21:80/c6/jhsoft.web.Downloads malware

install.ticno.com:80/service/friendometer.php

Downloads malware

Distributes malware, particularly DOWNAD variants

Downloads malware

securesignupoffers.net:80/index.php

Downloads malware

* Trend Micro Smart Protection Network data

가장 악성높은 폐쇄 도메인 10곳

malicious ip domain description

Distributes malware, particularly DOWNAD variants

info.ejianlong.com Downloads malware

serw.clicksor.comAssociated with the proliferation of pirated applications and other threats

x-web.in Downloads malware

www.bit89.com Downloads malware

down.game.2366.com Downloads malware

cdn.feeds.videosz.com Downloads malware

install.ticno.com Downloads malware

img001.com Downloads malware

irs01.com Downloads malware

* Trend Micro Smart Protection Network data

TREND MICRO™

글로벌 클라우드 보안 리더로써의 트렌드마이크로 법인은 기업과 소비자를 위한 인터넷 컨텐츠 보안과 위협 관리 솔루션을 제공함으로써 안전하게 디지털 정보의 교환을 실행할 수 있는 세상을 만들어 왔습니다. 20년의 역사를 가진 서버 보안의 개척자로써, 고객과 파트너사의 요구에 부합하는 최상의 클라이언트, 서버 및 클라우드 기반의 보안을 제공하여 왔습니다. 트렌드마이크로의 스마트 프로텍션 네트워크 인프라의 덕택으로, 어느 기업보다 앞선 기술의 클라우드 컴퓨팅 보안 기술과 제품 및 서비스는 인터넷에서 등장한 모든 위협으로부터 시스템을 보호할 수 있도록 세계 각국의 1,000여명의 위협 인텔리전스 전문가로부터의 지원을 받고 있습니다. 자세한 내용은 www.trendmicro.co.kr 을 참조하십시오.

.

TRENDLABSSm

TrendLabs는 다국적 연구, 개발 및 지원 센터로써 연중무휴로 광범위한 지역에 걸쳐 위협 감시, 공격 예방 및 시의 적시에 완벽한 솔루션 제공을 목표로 하고 있습니다. 전세계에 위차하여 랩에 소속 된 1,000 여명의 위협 전문가와 지원 엔지니어가 쉬지 않고 전세계적으로 위협을 감시하여, 실시간으로 데이터를 감지하여 사전조치를 취하고 위협을 제거합니다. 새로운 위협에 대처하기 위해 기술을 분석하고, 연구하며, 피해와 비용을 최소화 할 수 있도록 고객을 도와, 비즈니스 연속성을 보장합니다.

©2012 by Trend Micro, Incorporated. All rights reserved. Trend Micro and the Trend Micro t-ball logo are trademarks or registered trademarks of Trend Micro, Incorporated. All other product or company names may be trademarks or registered trademarks of their owners.