목차 Part Ⅰ 11 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

Size: px

Start display at page:

Download "목차 Part Ⅰ 11 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이..."

덕현 임
5 years ago
Views:

2 목차 Part Ⅰ 11 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이 악성코드이슈분석 PC 와스마트폰을동시에감염시키는악성코드... 6 (1) 개요... 6 (2) 악성코드분석... 6 (3) 결론 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 (2) 상위 Top 5 포트월별추이 (3) 악성트래픽유입추이 스팸메일및악성코드가포함된메일분석 (1) 일별스팸메일및악성코드포함메일통계현황 Part Ⅱ 보안이슈돋보기 월의보안이슈 월, 12 월의취약점이슈 페이지 2

Part Ⅰ 11 월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 [2013년 11월 01일 ~ 2013년 11월 30일 ] 순위 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Variant.Graftor.8654 Etc 4,895 2 13 Trojan.Downloader.KorAdware.

3 Part Ⅰ 11 월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 [2013년 11월 01일 ~ 2013년 11월 30일 ] 순위 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Variant.Graftor.8654 Etc 4, Trojan.Downloader.KorAdware.Gen Trojan 3, Gen:Trojan.Heur.GM Etc 2,314 4 New Adware.Agent.NSR Adware 1,569 5 New Gen:Trojan.Heur.JP.gu1@aCxzyKfO Trojan 1,516 6 New Gen:Variant.Graftor Etc 1,473 7 New Gen:Variant.Graftor Etc 1,428 8 New Gen:Variant.Adware.Kazy Adware 1, Gen:Variant.Adware.Graftor Adware 1, New Trojan.GenericKDV Trojan 1, Gen:Variant.Adware.Strictor.6097 Adware 1, JS:Exploit.BlackHole.PL Exploit 1, New Gen:Trojan.Heur.1yXa4WvQ3@nG Trojan 1, New Adware.Generic Adware New Adware.Agent.NSS Adware 898 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 감염악성코드 Top 15는사용자 PC에서탐지된악성코드를기반으로산출한통계입니다. 11월의감염악성코드 TOP 15에서는지난달각각 1위와 3위를차지했던 Variant.Graftor.8654 악 성코드와 Gen:Trojan.Heur.GM 이이번달에도동일한순위를기록하였습니다. 특이사항은지난달 15위를차지했던 Trojan.Downloader.KorAdware.Gen이무려 13계단을뛰어올 라새롭게 2위를차지했다는것입니다. Trojan.Downloader.KorAdware.Gen는주로정상프로그램으 로가장하여사용자를속이고추가애드웨어를설치하는다운로더를통칭합니다. 10월에비해 11월에는악성코드감염자수가 10% 이상감소하였으며, 전반적으로애드웨어가지난 달에비해크게증가한시기였습니다. 페이지 3

4 (2) 카테고리별악성코드유형 기타 (Etc) 39% 취약점 (Exploit) 5% 트로이목마 (Trojan) 27% 애드웨어 (Adware) 29% 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 취약점 (Exploit) 웜 (Worm) 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 악성코드유형별비율에서기타 (Etc) 유형이가장많은 39% 를차지했으며, 애드웨어 (Adware) 유형 이 29% 로 2 위를차지했습니다. 이어트로이목마 (Trojan) 유형이그뒤를이었습니다. (3) 카테고리별악성코드비율전월비교 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 호스트파일 (Host) 기타 (Etc) 0% 0% 4% 0% 0% 0% 0% 0% 5% 0% 0% 5% 0% 0% 0% 37% 27% 29% 39% 54% 10 월 11 월 0% 20% 40% 60% 80% 100% 11월에는지난 10월과비교하여기타 (Etc) 유형악성코드비율이크게감소하였으며트로이목마 (Trojan) 유형악성코드도함께감소하였습니다. 다만, 애드웨어 (Adware) 유형의악성코드들은 7 배넘게큰폭으로증가하였습니다. 페이지 4

5 (4) 월별피해신고추이 [2012 년 12 월 ~ 2013 년 11 월 ] 12 월 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 알약사용자의신고를합산에서산출한결과임 월별피해신고추이는알약사용자의신고를합산해서산출한결과로써, 월별신고건수를나타 내는그래프입니다. (5) 월별악성코드 DB 등록추이 [2012 년 12 월 ~ 2013 년 11 월 ] Adware Spyware Hijacker KeyLogger Exploit RAT Trojan Worm Backdoor Downloader Dropper Misc 페이지 5

6 Part Ⅰ 11 월의악성코드통계 2. 악성코드이슈분석 PC와스마트폰을동시에감염시키는악성코드 (1) 개요 OS 취약점을통해 PC 감염후, PC에연결된안드로이드스마트폰까지감염시키는신종유포수법이발견되었다. USB 디버깅모드 가설정된안드로이드스마트폰사용자를타겟으로하며기존에발견되었던공격유형에서크게벗어나, 향후안드로이드악성코드감염방식의다양화를짐작하게한다. (2) 악성코드분석 1유포경로 최초유포경로는 12월 22일오후 5시경부터변조된사이트에서드라이브바이다운로드 (Drvie-by-download) 방식을이용하여생성된파일로인해유포된내역이확인되었다. 유포에사용된경유 URL 과유포 URL 리스트는아래와같다. 일시경유 URL 유포메인 URL 유포파일 URL :07 hxxp:// hxxp://yy.com/index.html hxxp://zz.com/svchas.exe 유포메인 URL 은 Dadong Exploit Kit 을사용하였으며, Java Exploit(CVE , CVE , CVE , CVE , CVE , CVE ), IE Exploit(CVE ), Flash Exploit(CVE ) 취약점이사용되었다. 2 악성파일분석 현재까지확인된사항을토대로보고서작성 분석파일은가장최근에발견된변종파일로분석되었음 Detection Name File Name 악성행위 Trojan.Downloader.Agent svchas.exe 메인드롭퍼 Trojan.Downloader.Agent flashmx32.xtl 다운로드및실행 (Alyac Mobile) 인터넷뱅킹용 AV-cdk.apk Trojan.Android.SMS.Stech.Gen 악성파일 a. svchas.exe - 파일생성해당파일이실행되면 C:\WINDOWS\system32 폴더에 flashmx32.xtl 파일을생성시키고, 서비스레지스트리를생성하여동작시킨다. 페이지 6

$- 생성된레지스트리 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\flashmx$ $xtl - 파일다운로드해당파일이실행되면 C:\WINDOWS\CrainingApkConfig 폴더를생성후특정서버에접속하여$

7 - 생성된레지스트리 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\flashmx ( 그림. 생성된레지스트리화면 ) b. flashmx32.xtl - 파일다운로드해당파일이실행되면 C:\WINDOWS\CrainingApkConfig 폴더를생성후특정서버에접속하여 iconfig.txt 파일을다운로드받는다. iconfig.txt 파일은 hxxp://xia2.dyndns-web.com 서버에서다운로드가시도되며, 파일내용은아래 와같다. ( 그림. 다운로드할파일목록리스트 ) 페이지 7

iconfig.txt 파일에적혀있는파일명들은모두다운로드되는파일로써자세한정보는아래에기재해두었다. SAMSUNG.exe SAMSUNG USB Driver for Mobile Phones LG.exe LG United Mobile Driver InstallShield Wizard aapt.exe Android Asset Packaing Tool adb.

8 iconfig.txt 파일에적혀있는파일명들은모두다운로드되는파일로써자세한정보는아래에기재해두었다. SAMSUNG.exe SAMSUNG USB Driver for Mobile Phones LG.exe LG United Mobile Driver InstallShield Wizard aapt.exe Android Asset Packaing Tool adb.exe - Android Debug Bridge AdbWinApi.dll - Android ADB API Module AdbWinUsbApi.dll - Android ADB API (WinUsb) Module AV-cdk.apk Android Malware (Alyac Mobile Detection : Trojan.Android.SMS.Stech.Gen) ok.bat Setup Install Batch File - 어플리케이션설치 파일다운로드가완료되면, adb.exe 파일을이용하여 AV-cdk.apk 파일을 USB 에연결된사용자 모바일단말기에설치를시도한다. ( 그림. 악성어플리케이션실행코드화면 ) adb.exe 로설치할경우, 사용자단말기에서 USB 디버깅 이설정되어있어야하며, 기본적인 어플리케이션설치시보여지는퍼미션정보화면이보여지지않고바로설치됨으로주의해야 한다. c. AV-cdk.apk - 사용자정보유출및감시단말기의버전정보, 폰번호, imsi, issms, 통신사정보를외부로유출시키며, 전화및문자내용을감시한다. - 악성어플리케이션파일다운로드 국내인터넷뱅킹어플리케이션 (NH 뱅킹, 신한 S 뱅크, 하나 N Bank, 원터치개인 ) 을악성으로대체할 파일들을특정서버에서다운로드받을수있다. 페이지 8

hxxp://www.slmoney.co.kr/apk/kr_nhbank.apk ( 농협위장 ) hxxp://www.slmoney.co.kr/apk/kr_shbank.

9 hxxp:// ( 농협위장 ) hxxp:// ( 신한은행위장 ) hxxp:// ( 하나은행위장 ) hxxp:// ( 우리은행위장 ) - 기기관리자등록디바이스어드민권한을이용하여기기관리자에등록해, 사용자가삭제하기어렵도록설치한다. - 파일탐지 알약안드로이드에서는해당어플리케이션을 Trojan.Android.SMS.Stech.Gen 으로탐지중이다. 페이지 9

10 (3) 결론 안드로이드 OS 버전에따라 USB디버깅상태를확인하는경로나방식이약간씩다를수있으므로, 환경설정메뉴에서각자의 OS 상황에맞게 USB디버깅모드메뉴를찾아서디버깅모드상태가비활성화되어있는지확인하는것이안전하다. 페이지 10

11 Part Ⅰ 11 월의악성코드통계 3. 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 25 5% 143 6% % % % % (2) 상위 Top 5 포트월별추이 [2013 년 09 월 ~ 2013 년 11 월 ] 2013 년 9 월 2013 년 10 월 2013 년 11 월 (3) 악성트래픽유입추이 페이지 11

12 [2013 년 06 월 ~ 2013 년 11 월 ] 2013 년 6 월 2013 년 7 월 2013 년 8 월 2013 년 9 월 2013 년 10 월 2013 년 11 월 페이지 12

2013-11-1 2013-11-3 2013-11-5 2013-11-7 2013-11-9 2013-11-11 2013-11-13 2013-11-15 2013-11-17 2013-11-19 2013-11-21 2013-11-23 2013-11-25 2013-11-27 2013-11-29 Part Ⅰ 11 월의악성코드통계 4.

13 Part Ⅰ 11 월의악성코드통계 4. 스팸메일및악성코드가포함된메일분석 (1) 일별스팸메일및악성코드포함메일통계현황 바이러스 스팸 일별스팸및악성코드통계현황그래프는하루에허니팟및정보수집용메일서버를통해유입되는악성코드및스팸메일의개수를나타내는그래프입니다. 11월의경우메일서버및스팸솔루션교체이후처음집계하는통계입니다. 전체메일대비약 10% 가살짝밑도는수준의스팸메일이접수되고있으며악성코드가포함된메일의경우는약 5% 가살짝넘는수준을보이고있습니다. 페이지 13

14 Part Ⅱ 보안이슈돋보기 월의보안이슈 RSA가돈을받고암호화 SW에백도어를심었다고합니다. 한국은행은비트코인을화폐로인정할수없다고했습니다. 그밖에 SC, 씨티은행고객대출정보 13만여건유출, MS가노키아인수의최종관문을통과한것등이 11월의이슈가되었습니다. 한국정보화진흥원, 개인정보보호인증 (PIPL) 본격시행한국정보화진흥원은개인정보보호인증제도 (PIPL) 를 1일부터본격시행하였습니다. 개인정보보호인증은정부가개인정보보호법준수기관을인증해주는제도로서, 공공기관뿐만아니라대기업, 중소기업, 소상공인까지모든개인정보처리자가해당기관의특성에맞게유형별로신청할수있다. 인증절차는공공기관과민간기업이기관별로사전에인증심사기준에대한준비를마친후인증을신청하면기관의유형에따라심사가실시됩니다. 한국은행, 비트코인, 화폐로인정할수없다. 새로운전자화폐인 비트코인 을두고기획재정부, 한국은행, 금융위원회, 금융감독원이논의를한결과, 국내이용자가극소수에불과하고, 발행주세부재, P2P를통한보안금융사고의위험성이높기때문에, 비트코인을금융수단으로인정하기에는무리가있다는결론을내렸습니다. MS 노키아인수, 최종관문통과미국정부와유럽연합은 MS와노키아의사업영역이겹치치않아시장이불공정한경쟁을유발하지않는다고판단하여마이크로소프트 (MS) 의노키아휴대폰사업인수를승인하였습니다. 이에따라, 마이크로소프트 (MS) 가노키아휴대폰사업을인수하게되었습니다. MS 는지난 9월초, 72억달러에노키아단말기및서비스사업을인수하고노키아특허에대한 10년라이선스를체결했으며, 이계약은내년 1분기마무리될전망입니다. NSA 감청맞서 MS - 애플 - 구글 - 페북뭉쳤다마이크로소프트, 애플, 구글, 페이스북등미국 8개주요 IT기업들이국가안보국등감시기관의정보수집논란과관련해전면적인개혁을촉구하였습니다. 정부감시활동개혁그룹은웹사이트에버락오바마미국대통령과의회앞으로보내는서한을공개하였으며, 정부의정보수집과관련하여 5가지의원칙을제시했습니다. SC, 씨티은행고객대출정보 13만여건유출한국스탠다드차타드은행과씨티은행의고객대출정보 13여건이유출되는사건이발생하였습니다. 이번사건은은행권의개인정보유출로는사상최대규모로서, SC은행은 10여만건, 씨티은행은 3만여건의개인정보가유출된것으로확인되었습니다. 이번사고로유출된개인정보들은향후금융사기에이용될가능성이있어사용자들의각별한주의가필 페이지 14

15 요합니다. 내년 8월부터주민번호수집금지개인정보보호법이개정되면서, 2014년 8월부터기업의주민번호수집이전면금지됩니다. 이전에수집해놓았던주민번호도 2년내모두삭제해야합니다. 이에따라기업들은법령에명시된예외적인경우에만주민번호를수집하거나이용할수있으며, 법시행이후 2년이내인 2016년 8월까지수집해놓은주민번호도모두삭제해야합니다. RSA, 암호화 SW에 백도어 심고 뒷돈 챙겨미국보안솔루션업체 EMC RSA가미국국가안보국으로 1천만달러를받고전산시스템에몰래접근할수있는우회통로 ( 백도어 ) 를미리심어둔것으로나타났습니다. 암호화기술은원래무작위로숫자를생성해야하지만, RSA B세이프는고정된동일한숫자들을다수알고리즘에내장하여, 이숫자를알고있는사람이라면누구나암호문을해독할수있습니다. 이에따라, 민간보안기술전문업체가정부기관과뒷거래를통해사찰을도왔다는사실이드러남에따라보안업체에대한신뢰도가추락할것으로예상됩니다. 페이지 15

16 2. 11 월, 12 월의취약점이슈 Microsoft 11월정기보안업데이트 Internet Explorer 누적보안업데이트, Windows 그래픽장치인터페이스의취약점으로인한원격코드실행문제, ActiveX 킬 (Kill) 비트누적보안업데이트, Microsoft Office의취약점으로인한원격코드실행문제해결등을포함한 Microsoft 11월정기보안업데이트가발표되었습니다. < 해당제품 > Windows XP Windows Vista Windows 7 Windows 8 Windows 8.1 Windows RT Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Internet Explorer 누적보안업데이트 ( ) 이보안업데이트는 Internet Explorer에서발견되어비공개적으로보고된취약점 10건을해결합니다. 가장위험한취약점으로인해사용자가 Internet Explorer를사용하여특수하게조작된웹페이지를볼경우원격코드실행이허용될수있습니다. 가장위험한취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Windows 그래픽장치인터페이스의취약점으로인한원격코드실행문제점 ( ) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 이취약점으로인해사용자가 WordPad에서특수하게조작된 Windows Write 파일을보거나열경우원격코드실행이발생할수있습니다. 취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. ActiveX 킬 (Kill) 비트누적보안업데이트 ( ) 이보안업데이트는현재악용되고있는비공개적으로보고된취약점 1 건을해결합니다. InformationCardSigninHelper Class ActiveX 컨트롤에취약점이존재합니다. 이취약점으로 페이지 16

17 인해사용자가 Internet Explorer를사용하여 ActiveX 컨트롤의인스턴스를만드는특수하게조작된웹페이지를볼경우원격코드실행이발생할수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Microsoft Office의취약점으로인한원격코드실행문제점 ( ) 이보안업데이트는 Microsoft Office에서발견되어비공개적으로보고된취약점 3건을해결합니다. 취약점으로인해영향을받는 Microsoft Office 소프트웨어버전에서특수하게조작된 WordPerfect 문서파일을열경우원격코드실행이허용될수있습니다. 가장위험한취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Hyper-V의취약점으로인한권한상승문제점 ( ) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 이취약점으로인해공격자가기존의실행중인가상컴퓨터에서하이퍼바이저로 Hypercall 의특수하게조작된함수매개변수를전달할경우권한상승이허용될수있습니다. 또한이취약점으로인해공격자가기존의실행중인가상컴퓨터에서하이퍼바이저로 Hypercall의특수하게조작된함수매개변수를전달할경우 Hyper-V 호스트에서서비스거부가발생할수있습니다. Windows Ancillary Function Driver의취약점으로인한정보유출문제점 ( ) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 이취약점으로인해공격자가영향을받는시스템에로컬사용자로로그온하고시스템에서더높은권한을가진계정으로부터정보를얻을수있도록설계된특수하게조작된응용프로그램을실행할경우정보유출이발생할수있습니다. 이취약점을악용하려면공격자가유효한로그온자격증명을가지고로컬로로그온할수있어야합니다. Microsoft Outlook의취약점으로인한정보유출문제점 ( ) 이보안업데이트는 Microsoft Outlook의공개된취약점을해결합니다. 이취약점으로인해사용자가영향을받는 Microsoft Outlook 에디션에서특수하게조작된전자메일메시지를열거나미리볼때정보가유출될수있습니다. 이취약점악용에성공한공격자는대상시스템및대상시스템과네트워크를공유하는다른시스템에서 IP 주소및열린 TCP 포트와같은시스템정보를확인할수있습니다. 디지털서명의취약점으로인한서비스거부문제점 ( ) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 이취약점으로인해영향을받는웹서비스가특수하게조작된 X.509 인증서를처리할때서비스거부가발생할수있습니다. 페이지 17

18 < 해결방법 > Windows Update 를수행하거나 Microsoft 보안공지요약사이트에서해당취약점들의개 별적인패치파일을다운로드받을수있습니다. 한글 : 영문 : Microsoft 12월정기보안업데이트 Microsoft Graphics Component의취약점으로인한원격코드실행문제, Internet Explorer 누적보안업데이트, Microsoft Scripting Runtime 개체라이브러리의취약점으로인한원격코드실행문제해결등을포함한 Microsoft 12월정기보안업데이트가발표되었습니다. < 해당제품 > Windows XP Windows Vista Windows 7 Windows 8 Windows 8.1 Windows RT Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Microsoft Graphics Component의취약점으로인한원격코드실행문제점 ( ) 이보안업데이트는 Microsoft Windows, Microsoft Office, Microsoft Lync의공개된취약점을해결합니다. 취약점으로인해사용자가특수하게조작된 TIFF 파일이포함된공유콘텐츠를볼경우원격코드실행이허용될수있습니다. Internet Explorer 누적보안업데이트 ( ) 이보안업데이트는 Internet Explorer에서발견되어비공개적으로보고된취약점 7건을해결합니다. 가장위험한취약점으로인해사용자가 Internet Explorer를사용하여특수하게조작된웹페이지를볼경우원격코드실행이허용될수있습니다. 가장위험한취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. 페이지 18

19 Windows의취약점으로인한원격코드실행문제점 ( ) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 이취약점으로인해사용자나응용프로그램이영향을받는시스템에서특수하게조작되고서명된이식가능한실행 (PE) 파일을실행또는설치할경우원격코드실행이허용될수있습니다. Microsoft Scripting Runtime 개체라이브러리의취약점으로인한원격코드실행문제점 ( ) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 이취약점으로인해공격자가사용자를특수하게조작된웹사이트나특수하게조작된콘텐츠를호스팅하는웹사이트를방문하도록유도할경우원격코드실행이허용될수있습니다. 취약점악용에성공한공격자는로컬사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Microsoft Exchange Server의취약점으로인한원격코드실행문제점 ( ) 이보안업데이트는 Microsoft Exchange Server의공개된취약점 3건과비공개적으로보고된취약점 1건을해결합니다. Microsoft Exchange Server의 WebReady 문서보기및데이터손실방지기능에이중가장심각한취약점이있습니다. 공격자가영향을받는 Exchange 서버사용자에게특수하게조작된파일이포함된전자메일메시지를보낸경우이러한취약점은 LocalService 계정의보안컨텍스트에서원격코드실행을허용할수있습니다. LocalService 계정에는로컬시스템의최소권한이있으며네트워크에서익명자격증명을제시합니다. Microsoft SharePoint Server의취약점으로인한원격코드실행문제점 ( ) 이보안업데이트는 Microsoft Office 서버소프트웨어에서발견되어비공개적으로보고된여러취약점을해결합니다. 인증된공격자가 SharePoint 서버에특수하게조작된페이지를보내는경우이러한취약점으로인해원격코드실행이허용될수있습니다. 이취약점을성공적으로악용한공격자는대상 SharePoint 사이트의 W3WP 서비스계정의보안컨텍스트에서임의의코드를실행할수있습니다. Windows 커널모드드라이버의취약점으로인한권한상승문제점 ( ) 이보안업데이트는 Microsoft Windows에서발견되어비공개적으로보고된취약점 5건을해결합니다. 가장위험한취약점으로인해공격자가시스템에로그온하고특수하게조작된응용프로그램을실행할경우권한상승이허용될수있습니다. 이취약점을악용하려면공격자가유효한로그온자격증명을가지고로컬로로그온할수있어야합니다. LRPC 클라이언트의취약점으로인한권한상승문제점 ( ) 페이지 19

20 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 공격자가 LRPC 서버를스푸핑하여특수하게조작된 LPC 포트메시지를 LRPC 클라이언트로보내는경우이취약점으로인해권한상승이허용될수있습니다. 취약점악용에성공한공격자는프로그램을설치하거나데이터를보고변경하거나삭제하고모든관리자권한이있는새계정을만들수있습니다. 이취약점을악용하려면공격자가유효한로그온자격증명을가지고로컬로로그온할수있어야합니다. ASP.NET SignalR의취약점으로인한권한상승문제점 ( ) 이보안업데이트는비공개적으로보고된 ASP.NET SignalR의취약점을해결합니다. 이취약점으로인해공격자가특수하게조작된 JavaScript를대상사용자의브라우저에리플렉션할경우권한을상승시킬수있습니다. Microsoft Office의취약점으로인한정보유출문제점 ( ) 이보안업데이트는비공개적으로보고된Microsoft Office의취약점을해결합니다. 이취약점으로인해사용자가악의적인웹사이트에서호스팅되는 Office 파일을열경우정보유출이허용될수있습니다. 이취약점악용에성공한공격자는대상 SharePoint 사이트또는다른 Microsoft Office 서버사이트에서현재사용자인증에사용되는액세스토큰을확인할수있습니다. Microsoft Office 공유구성요소의취약점으로인한보안기능우회 ( ) 이보안업데이트는현재악용되고있는 Microsoft Office의공유구성요소의공개된취약점을해결합니다. 이취약점으로인해사용자가 Internet Explorer와같이 COM 구성요소를인스턴스화할수있는웹브라우저에서특수하게조작된웹페이지를볼경우보안기능우회가허용될수있습니다. 웹검색을통한공격의경우, 이취약점악용에성공한공격자는다양한취약점클래스로부터사용자를보호해주는 ASLR(Address Space Layout Randomization) 보안기능을우회할수있습니다. 보안기능을우회하는것만으로는임의의코드실행이허용되지않지만공격자는이 ASLR 우회취약점을다른취약점즉, ASLR 우회를통해임의의코드를실행할수있는원격코드실행취약점등과함께사용할수있습니다. < 해결방법 > Windows Update 를수행하거나 Microsoft 보안공지요약사이트에서해당취약점들의개 별적인패치파일을다운로드받을수있습니다. 한글 : 영문 : 페이지 20

토크온원격코드실행취약점보안업데이트권고 < 해당제품 > 토크온 1.0.8.

21 토크온원격코드실행취약점보안업데이트권고 < 해당제품 > 토크온 및이전버전 SK 커뮤니케이션즈社의음성채팅프로그램인토크온에서원격코드실행이가능한취약점이 발견됨 공격자가특수하게제작한문자열을대화방을통해상대방에게전송할경우, 악성코드에감염될수있음낮은버전의토크온사용자는악성코드감염으로인한정보유출, 시스템파괴등의피해를입을수있으므로해결방안에따라최신버전으로업데이트권고 < 해결방법 > 취약한토크온버전사용자 - 토크온홈페이지에방문하여최신버전을설치하거나자동업데이트기능을이용하여업그레이드 구버전토크온실행시자동업그레이드수행 < 참고사이트 > 한국모바일인증인포스캔원격코드실행취약점 < 해당제품 > 한국모바일인증인포스캔 및이전버전 페이지 21

22 한국모바일인증社의개인정보보호프로그램인인포스캔설치에관련된 KMC WebManager(ActiveX 방식 ) 에원격코드실행이가능한취약점이발견됨. 취약한버전의인포스캔사용자가해커가특수하게제작한웹페이지를방문할경우, 악성 코드에감염될수있음 < 해결방법 > 인포스캔프로그램업데이트하거나취약한버전의 KMC WebManager 삭제 - 인포스캔을 이상버전으로업데이트 - KMC WebManager 삭제 : 모바일인증社에서제공하는삭제프로그램실행 아래한글임의코드실행취약점보안업데이트권고 한글과컴퓨터社에서개발한워드프로세서인아래한글에서임의코드실행이가능한취약점 이발견됨 아래한글보안취약점을악용하여문서파일로위장한악성코드가발견되어, 낮은버전의 사용자는악성코드감염에취약할수있으므로해결방안에따라보안업데이트권고 공격자는웹게시물, 메일, 메신저의링크등을통해특수하게조작된한글문서 (HWP) 를 열어보도록유도하여임의코드를실행시킬수있음 < 해결방법 > 한글과컴퓨터홈페이지에서보안업데이트파일을직접다운로드받아설치하여아래버전으로업데이트 - 다운로드경로 : < 한컴오피스 2010 SE+> 한컴오피스 2010 SE+ 공통요소 및이상버전한글 2010 SE 및이상버전한쇼 2010 SE 및이상버전한셀 2010 SE 및이상버전 < 한글과컴퓨터오피스 2007> 한글과컴퓨터오피스공통요소 : 및이상버전한 / 글 2007 : 및이상버전슬라이드 : 및이상버전 페이지 22

23 넥셀 : 및이상버전 한글과컴퓨터자동업데이트를통해한글최신버전으로업데이트 - 시작 모든프로그램 한글과컴퓨터 한글과컴퓨터자동업데이트 < 참고사이트 > MS 그래픽컴포넌트원격코드실행취약점주의권고 < 해당제품 > - Windows Vista 서비스팩 - Windows Vista x64 Edition 서비스팩 2 - Windows Server 2008 for 32-bit Systems 서비스팩 2 - Windows Server 2008 for x64-based Systems 서비스팩 2 - Windows Server 2008 for Itanium-based Systems 서비스팩 2 - Microsoft Office 2003 서비스팩 3 - Microsoft Office 2007 서비스팩 3 - Microsoft Office 2010 서비스팩 1 (32-bit editions) - Microsoft Office 2010 서비스팩 2 (32-bit editions) - Microsoft Office 2010 서비스팩 1 (64-bit editions) - Microsoft Office 2010 서비스팩 2 (64-bit editions) - Microsoft Office Compatibility Pack 서비스팩 3 - Microsoft Lync 2010 (32-bit) - Microsoft Lync 2010 (64-bit) - Microsoft Lync 2010 Attendee - Microsoft Lync 2013 (32-bit) - Microsoft Lync Basic 2013 (32-bit) - Microsoft Lync 2013 (64-bit) - Microsoft Lync Basic 2013 (64-bit) 마이크로소프트社의윈도우, 오피스, 링크제품에서원격코드실행이가능한신규취약점이발견됨사용자는공격자가특수하게제작한 TIFF 이미지파일이삽입된오피스문서, 이메일, 웹페이지등을열람할경우, 악성코드에감염될수있음해당취약점에대한보안업데이트는아직발표되지않았으며, 취약점을악용한공격시도가확인되어사용자의주의가특히요구됨 TIFF(Tagged Image File Format) : 앨더스社와마이크로소프트社가공동개발한래스터화상파일형식 페이지 23

24 < 해결방법 > 취약점으로인한위협을경감시키기위해다음의조치를취할수있음 - 마이크로소프트社에서제공하는 Fix it 51004( 좌측아이콘 ) 를다운로드후실행 Enable this Fix it Disable this Fix it Microsoft Fix it Fix this problem Microsoft Fix it Fix this problem 취약점으로인한위협을경감시키기위해다음의조치를취할수있음 해당 Fix it은보안업데이트를대체할수는없으며, 보안업데이트발표시반드시보안업데이트를적용해야함 Fix it 적용을해제하기위해서는 Microsoft Fix it 51005( 우측아이콘 ) 을다운로드후실행 - 출처가불분명한문서파일, 이메일등을열어보지않음 - 사용하고있는백신프로그램의최신업데이트를유지하고, 실시간감시기능을활성화 < 참고사이트 > 알씨임의코드실행취약점보안업데이트권고 < 해당제품 > 알씨 v7.0 및이전버전 이스트소프트社의알씨프로그램에서외부라이브러리 LEADTOOL에의한임의코드실행취약점이발견되었습니다. 낮은버전의알씨사용자는악성코드감염으로인해정보유출, 시스템파괴등의피해를입을수있으므로해결방안에따라최신버전으로업데이트하시기바랍니다. 알씨에서사용하는외부이미지라이브러리인 LEADTOOL에서발생하는취약점. 공격자가특수하게제작한 TIF포맷이미지파일 (.TIF) 을취약한버전의알씨사용자가열람할경우, 악성코드에감염될수있습니다. LEADTOOL 라이브러리를사용하는다른이미지뷰어에서도동일한취약점이발생하므로주의가요구되며, 알씨에서는해당라이브러리의취약점을해결하는패치를자체적용하였습니다. 페이지 24

25 < 해결방법 > 취약한알씨버전사용자알툴즈홈페이지에방문하여알씨 7.01 이상버전을설치하거나자동업데이트기능을이용하여업그레이드 자동업데이트 : 메뉴 파일 온라인업데이트 < 참고사이트 > Adobe 12 월정기보안업데이트권고 Adobe 社는 Adobe Flash Player 및 Shockwave Player에영향을주는취약점을해결한보안업데이트를발표낮은버전사용자는악성코드감염에취약할수있으므로해결방안에따라최신버전으로업데이트권고 Adobe Flash Player 에서발생하는 2 개의취약점을해결하는보안업데이트를발표 - 임의코드실행으로이어질수있는타입컨퓨전 (Type Confusion) 취약점 (CVE ) - 임의코드실행으로이어질수있는메모리손상취약점 (CVE ) Adobe Shockwave Player 에서발생하는 2 개의취약점을해결하는보안업데이트를발표 - 임의코드실행으로이어질수있는메모리손상취약점 (CVE , CVE ) < 해당제품 > - Adobe Flash Player( 윈도우즈및맥 ) 및이전버전 - Adobe Flash Player( 리눅스 ) 및이전버전 - Adobe AIR( 윈도우즈및맥 ) 및이전버전 - Adobe AIR( 안드로이드 ) 및이전버전 - Adobe AIR SDK 및이전버전 - Adobe AIR SDK&Compiler 및이전버전 - Adobe Shockwave Player( 윈도우즈및맥 ) 및이전버전 < 해결방법 > 윈도우, 맥, 리눅스환경의 Adobe Flash Player 사용자 - Adobe Flash Player Download Center( 에방문하여최신버전을설치하거나, 자동업데이트를이용하여업그레이드 윈도우, 맥환경의 Adobe AIR 사용자 페이지 25

26 - Adobe AIR Download Center( 에방문하여 Adobe AIR 최신 버전을설치하거나, 자동업데이트를이용하여업그레이드 안드로이드환경의 Adobe AIR 사용자 - Adobe AIR가설치된안드로이드폰에서 구글플레이스토어 접속 메뉴선택 내애플리케이션선택 Adobe AIR 안드로이드최신버전으로업데이트하거나자동업데이트를허용하여업그레이드 Adobe AIR SDK 사용자 - 에방문하여 Adobe AIR SDK 최신버전을설치 윈도우, 맥환경의 Adobe Shockwave Player 사용자 - Adobe Download Center( 에방문하여최신버전을설 치하거나자동업데이트를이용하여업그레이드 < 참고사이트 > 페이지 26

27 Contact us 이스트소프트알약대응팀 Tel : help@alyac.co.kr : 알약홈페이지 : 페이지 27

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B 월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10