2017년 상반기, 일본에서 활발히 활동한 정보탈취 악성코드와 랜섬웨어, 공격특징과 그 대책은?

2017年上期に猛威を振るった情報搾取型マルウェアとランサムウェア、攻撃傾向と対策は?

최근 일본의 캐논 IT 솔루션스는 2017년 상반기 악성코드 동향에 대해 발표 하였습니다. 

2017년 상반기, 일본에서  유포된 악성코드 특징으로 정보탈취형 악성코드 'Ursnif’의 등장, ‘WannaCryptor’ 등의 랜섬웨어의 등장을 들었습니다. 또한 일본의 악성코드 탐지 상황을 월별로 살펴본 결과, 2017년 상반기, 3월부터 6월까지 평균 39%씩 상승하였다고 밝혔습니다. 

2017년 상반기, 일본에서 탐지된 악성코드 Top10을 살펴본 결과, 대부분 이메일 첨부파일을 통한 다운로더에 의한 경우가 많았으며, 상위 10종중 3종은 4월부터 6월에 걸쳐서 공격이 관찰되고 있다고 밝혔습니다. 이들은 모두 스팸메일을 통해 유포되고 있는 것으로 확인되었습니다. 

이번에 일본에서 탐지된 악성코드 상위 10종과 과거의 악성코드들을 비교한 결과, '감염 목적은 동일하지만 작성된 언어 및 파일형식에 차이를 보인다'고 밝혔습니다. 

2017년 상반기 일본국내 검출악성코드 상위 10종

<이미지 출처 : http://news.mynavi.jp/articles/2017/08/16/canonit_marware/>

1. JS/Danger.ScriptAttachment - 다운로더, 주로 랜섬웨어, 정보탈취 악성코드 등을 내려받음

2. JS/TrojanDownloader - 다운로더, 주로 랜섬웨어, 정보탈취 악성코드 등을 내려받음

3. PDF/TrojanDropper.Agent - 다운로더, 주로 랜섬웨어, 정보탈취 악성코드 등을 내려받음

4. VBA/TrojanDownloader - 다운로더, 주로 랜섬웨어, 정보탈취 악성코드 등을 내려받음

5. Win32/Kryptik - 정보탈취 악성코드, 주로 인터넷 뱅킹 등 계정정보를 타겟으로 함

6. Win32/Toolbar 애드웨어로, 주로 툴바에 개인정보를 탈취하는 기능이 포함되어 있음

7. JS/Danger.DoubleExtension - 다운로더

8. Win32/Spy.Ursnif - 정보탈취 악성코드, 주로 인터넷 뱅킹 등 계정정보를 타겟으로 함

9. HTML/FakeAlert - 브라우저 상에서 가짜 경고화면 표시하여 사용자의 금전 지불을 유도

10. PowerShell/TrojanDownloader - 다운로더, 주로 랜섬웨어, 정보탈취 악성코드 등을 내려받음

주로 이메일을 통한 '다운로더'의 감염이 대부분을 차지하고 있습니다. 

일본 상반기 Top10 악성코드 특징

이메일을 통한 공격에 가장 많이 사용된 언어는 JavaScript 입니다. 하지만 Visual Basic과 PowerShell을 통한 악성코드들도 증가한 것을 알 수 있습니다. 

구체적으로, PowerShell을 악용하여 Excel과 Word에 악성 매크로를 삽입한 악성코드가 6월 이후에 증가하고 있으며, 또한 PowerShell을 이용한 악성 스크립트 역시 5월 말부터 증가하고 있습니다. 

악성파일들은 주로 PDF 파일을 위장하고 있으며, 사용자가 이메일에 첨부된 악성 PDF를 실행하면 악성코드가 다운로드 되게됩니다. 

<이미지 출처 : http://news.mynavi.jp/articles/2017/08/16/canonit_marware/>

2017년 상반기에 새로 등장한 정보탈취 악성코드  ‘Ursnif’는, '일본어 이메일을 통한 공격', '정상파일 위장', '사용자 정보 탈취'의 특징을 갖고 있습니다.

‘Ursnif’악성코드는 자연스러운 일본어 본문과 사용할 법한 서명이 포함되어 있는 이메일에 악성 파일을 첨부합니다. 사용자가 해당 파일을 클릭하면 뱅킹악성코드가 다운로드 됩니다. 

최근 기업들이 이메일 첨부파일을 통한 공격을 차단하고자 실행가능한 확장자를 가진 첨부파일들의 수신을 제한하기 시작하였는데, 이러한 점을 우회하고자 악성코드들은 최근 업무에 필요한 데이터파일 형식인 doc, xls, pdf로 위장하고 있는 것입니다. 

<이미지 출처 : http://news.mynavi.jp/articles/2017/08/16/canonit_marware/>

또한 2017년도 상반기에 가장 화제가 된 랜섬웨어는 바로 5월에 전 세계적으로 유포된  ‘워너크립터’(WannaCry, Wcrypt 등으로도 불린다) 입니다. 

<이미지 출처 : http://news.mynavi.jp/articles/2017/08/16/canonit_marware/>

일본에서는 워너크라이 킬스위치가 발견된 후 감소하는 추세를 보였지만, 그 후 6월 후반부터 ‘Eternalblue’와 ‘DoublePulsar’에 의한 공격의 탐지가 증가하고 있는 것으로 확인되었습니다. 

이 밖에, 일본 2017년 상반기 특징으로 가짜 사이트에 의한 피싱 공격도 증가한 것으로 확인되었습니다. 

가짜 경고화면을 HTML에서 표시시키는 ‘HTML/FakeAlert’가 올해 3월부터 증가추세에 있으며 일본어 페이지도 확인되고 있다고 밝혔습니다. 

<이미지 출처 : http://news.mynavi.jp/articles/2017/08/16/canonit_marware/>

출처 :

http://news.mynavi.jp/articles/2017/08/16/canonit_marware/