(Microsoft Word - ASEC Report 2007\263\3426\277\371\310\243.doc)

Transcription

1 ASEC Report 6월 ASEC Report I. ASEC 월간통계 2 (1) 6월악성코드통계 2 (2) 6월스파이웨어통계 10 (3) 6월시큐리티통계 13 II. ASEC Monthly Trend & Issue 16 (1) 악성코드 Win32/Alman.C 바이러스국내발견, 보고 16 (2) 스파이웨어 스파이웨어의새로운시도 22 (3) 시큐리티 공격자를위한종합선물세트 MPACK 25 III 년상반기동향 31 (1) 2007 년상반기악성코드동향 31 (2) 2007 년상반기스파이웨어동향 38 (3) 2007 년상반기시큐리티동향 40 (4) 2007 년상반기일본악성코드동향 45 (5) 2007 년상반기중국악성코드동향 49 (6) 2007 년상반기세계악성코드동향 54 IV. ASEC 컬럼 55 (1) ARP spoofing 의습격 55 안철수연구소의시큐리티대응센터 (AhnLab Security Emergency response Center) 는악성코드및보안위협으로부터고객을안전하게지키기위하여바이러스분석및보안전문가들로구성되어있는조직이다. 이리포트는 안철수연구소의 ASEC에서국내인터넷보안과관련하여보다다양한정보를고객에게제공하기위하여바이러스와시큐리티의종합된정보를매월요약하여리포트형태로제공하고있다.

2 I. ASEC 월간통계 (1) 6월악성코드통계 순위 악성코드명 건수 % 1 - Win-Trojan/Xema.variant % 2 new Win32/IRCBot.worm % 3 new Win32/IRCBot.worm.variant % 4 new Win32/IRCBot.worm % 5 new Win32/IRCBot.worm % 6 new Win-Trojan/KorGameHack % 7 3 Win32/Virut % 8 new Win-Trojan/OnLineGameHack B % 9 new Dropper/OnlineGameHack % 9 new Win-Trojan/Backdoor % 합계 % [ 표 1-1] 2007 년 6 월악성코드피해 Top 10 월악성코드피해동향 2007년 6월악성코드Top10에는전월 1위였던 Win-Trojan/Xema.variant 가 1위를유지하였으며, 전월 3위였던바이럿 (Win32/Virut) 은 7위로순위가 4계단하락하였다. Win- Trojan/Xema.variant와바이럿 (Win32/Virut) 을제외하고는모두새로이 Top10에진입하였다. 이는다양한악성코드들이새로이나타나고있음을단적을보여주고있다. 하지만, 여전히트로이목마류는드롭퍼까지포함하여 5종이포함되어고객정보탈취를통한금전적이득을목적으로악성코드개발이진행되고있음을알수있다. 또한, 전월에 Top10에 3종이포함되었던아이알씨봇 (IRCBOT) 은 6월에는강세를보이며모두 5위권내에 4종이포함되었다. 6 월의악성코드피해 Top 10 을도표로나타내면 [ 그림 1-1] 과같다. Copyright AhnLab Inc,. All Rights Reserved. 2

3 6 월악성코드피해 Top % 1.7% 2.5% 2.7% 4.1% 4.6% 4.8% 1.7% Win-Trojan/Xema.variant Win32/IRCBot.worm Win32/IRCBot.worm.variant Win32/IRCBot.worm Win32/IRCBot.worm Win-Trojan/KorGameHack Win32/Virut Win-Trojan/OnLineGameHack B Dropper/OnlineGameHack Win-Trojan/Backdoor % 63.0% [ 그림 1-1] 2007 년 6 월악성코드피해 Top 10 [ 그림 1-2] 에서와같이 1 월부터월별피해신고건수는꾸준히감소세를보이다가 6 월에는 전월보다 1000 건이상증가하였다. 이는확산력이강한아이알씨봇 (IRCBOT) 의증가와함께 새로운악성코드로인한피해신고증가의영향을받은것으로보인다. 2, 년월별피해신고건수 2,321 2,000 2,057 1,500 1,558 1,617 1,000 1,111 1, 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 1-2] 2007 년월별피해신고건수 Copyright AhnLab Inc,. All Rights Reserved. 3

4 6월악성코드 Top 10 전파방법별현황 [ 표 1-1] 의악성코드피해 Top 10 에서확인된악성코드의전파방법은아래 [ 그림 1-3] 과 같다. 6 월악성코드 Top10 의전파방법별현황 스크립트 2% 웜 17% 트로이목마바이러스스크립트웜 바이러스 5% 트로이목마 76% [ 그림 1-3] 2007 년 6 월악성코드 Top 10 의전파방법별현황 6 월에도변함없이트로이목마류가가장많은피해를발생시켰으며, 점유률은 76% 로전월 (73%) 에비해소폭증가하였으며, 웜역시전월 (16%) 에비해소폭증가하였다. 바이러스는 바이럿 (Win32/Virut) 의순위하락으로전월 (7%) 에비해점유율이하락하였다. 피해신고된악성코드유형현황 2006 년 6 월에피해신고된악성코드의유형별현황은 [ 그림 1-4] 와같다. Copyright AhnLab Inc,. All Rights Reserved. 4

5 2007 년 6 월악성코드유형별현황 드롭퍼 10.6% 바이러스 1.5% 유해가능 1.2% 스크립트 1.9% 웜 12.9% 웜 트로이목마바이러스 드롭퍼유해가능 스크립트 트로이목마 72.1% [ 그림 1-4] 2007 년 6 월피해신고된악성코드유형별현황 전체피해신고에서의악성코드유형을확인해보면, Top10의악성코드유형과동일한양상을띠고있다. 트로이목마가 72.1% 로가장많았으며 5월까지 2위를차지하던드롭퍼 (10.6%) 는 3위로밀려나면서그자리를웜 (12.9%) 이차지하였다. 그외유해가능프로그램이 1.2%, 뒤를이어스크립트가 1.9%, 바이러스는 1.5% 였다. 이중주요악성코드유형인트로이목마, 바이러스, 웜에대한피해신고비율을따져보면 [ 그림 1-5] 와같다. 90% 80% 07 년 6 월웜, 트로이목마, 바이러스피해신고비율 83.40% 70% 60% 50% 40% 30% 20% 10% 0% 14.91% 1.69% 웜 트로이목마 바이러스 [ 그림 1-5] 2007 년 6 월웜, 트로이목마피해신고비율 Copyright AhnLab Inc,. All Rights Reserved. 5

6 월별피해신고된악성코드종류현황악성종류현황은국내에서발견된변종및신종악성코드증감을나타내며, [ 그림 1-6] 에서와같이 2007년에는 2월에급격한감소세를보인이후에다시증가추세를보이고있다 년월별피해신고악성코드종류 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 1-6] 2007 년월별피해신고악성코드종류개수 Copyright AhnLab Inc,. All Rights Reserved. 6

7 국내신종 ( 변형 ) 악성코드발견피해통계 6 월한달동안접수된신종 ( 변형 ) 악성코드의건수및유형은 [ 표 1], [ 그림 1] 와같다. 웜 트로이 드롭퍼 스크립트 파일 매크로 부트 부트 / 파일 유해가능 비윈도우 합계 4 월 월 월 [ 표 1-2] 2007년최근 3개월간유형별신종 ( 변형 ) 악성코드발견현황 이번달은전월대비 22% 정도악성코드수가증가하였다. 다음의악성코드유형이증가 했지만그원인에대해서는명확하지는않다. - Win32/IRCBot.worm 변형 지난달과비교하여 28% 증가 - 온라인게임의사용자정보탈취트로이목마 지난달과비교하여 26% 증가 - Win-Trojan/Zlob 변형 지난달과비교하여 163% 증가 악성 IRCBot 웜경우 4월달에알려진 DNS 관련취약점때문에소폭증가하였다가 5월에다시감소하였으나, 다시 6월에대폭증가하였다. 또한온라인게임의사용자정보를탈취하는트로이목마류경우국내온라인게임을타켓으로하는것보다는중국이나대만등에서제작된게임을타켓으로하는유형이올해급속히증가하고있다. Win-Trojan/Zlob ( 이하지롭트로이목마 ) 은다운로더증상을가지며 Clicker 또는허위안티스파이웨어프로그램을설치한다. 전월경우워낙적은수가보고되었다가이번달에무려 21개의변형이보고되어그증가율이높은이유라하겠다. 6 월신종 ( 변형 ) 악성코드유형 9% 7% 5% 3% 0% 트로이목마드롭퍼웜 (IRC) 웜 (Mail) 유해가능파일 ( 바이러스 ) 76% Copyright AhnLab Inc,. All Rights Reserved. 7

8 [ 그림 1-7] 2007 년 6 월신종및변형악성코드유형 다음 [ 그림 1-8] 은대표적인악성코드의증감내역이다. 트로이목마는온라인게임의사용 자정보탈취트로이목마의증가를포함하여전체적으로전월대비 30% 가량증가하였다. 2007년 6월증가및감소악성코드유형 월 6 월 트로이목마웜드롭퍼유해가능 [ 그림 1-8] 2007 년 6 월감소및증가악성코드유형 웜유형의경우크게악성 IRCBot 웜과 웜으로나눌수있는데, 이중악성 IRCBot 웜이전월대비 28% 가량증가하였고, 웜은큰변동이없으나 Starman 또는 Win32/Allaple.worm 이라고명명된악성코드변형이다수출현하면서통계수치는소폭증가하였다. 이악성코드는자신이실행될때마다다른코드를가진변형을만들어내므로시그니쳐기반의안티바이러스에서는이를모두다른변형으로간주로하므로수치가증가될수있다. 해당악성코드에대해서는이미 Generic 한진단이엔진에포함되었지만이번에알려진변형은기존진단방법에서진단되지않는형태이였다. 드롭퍼는큰변화가없었고, 실행파일을감염시키는바이러스의경우이번달은 Win32/Viking 바이러스변형으로기존에알려진변형들과유사한 1종만보고되었다. 유해가능프로그램유형은지난달과비교하여 50% 감소하였다. 주된감소의원인은지난달에 Win-AppCare/Virtumonde ( 이하버추몬드 ) 변형이다수엔진에반영됨으로써이번달에는접수가대폭줄었다. 버추몬드의경우스파이제로제품에서대응하기때문에 V3 통계수치와차이가발생할수있다. 다음 [ 그림 1-9] 는트로이목마및드롭퍼의전체비중에서상당한비율을차지하는온라인 게임의사용자계정을탈취하는트로이목마의추세를살펴보았다. Copyright AhnLab Inc,. All Rights Reserved. 8

9 년온라인게임사용자계정탈취악성코드추세 년01월 2월 3월 4월 5월 6월 [ 그림 1-9] 온라인게임사용자계정탈취트로이목마현황 1 위에서언급한대로전월대비 26% 가량증가하였다. 올해들어서는 2번째로가장많은수가발견된것으로이전보고서에서도밝혔듯이국내온라인게임을타켓으로하는트로이목마유형은감소추세에있다. 그러나국내에서는서비스되고있지않는중국이나대만현지의온라인게임의데이터를노리는형태가계속적으로증가하고있는추세라할수있다. 또한이들은다양한온라인게임의정보를동시다발적으로획득하려고하는것역시추세라고하겠다. Copyright AhnLab Inc,. All Rights Reserved. 9

10 (2) 6월스파이웨어통계 6월스파이웨어피해현황순위 스파이웨어명 건수 비율 1 New Win-Spyware/Favadd % 2 New Win-Downloader/Wux % 3 New Win-Downloader/IClick % 4 New Win-Spyware/Xema B 6 1% 5 New Win-Spyware/PWS.Gamania % 6 New Win-Downloader/SearchGuide % 7 New Win-Adware/MokeAd % 8 New Win-Adware/MokeAd % 9 New Win-Spyware/PWS.Wsgame % 10 New Win-Spyware/Agent.9728.I 5 1% 기타 % 합계 % [ 표 1-3] 2007년 6월스파이웨어피해 Top 10 90% 2007 년 5 월스파이웨어피해 Top 10 1% 1%1%1% 1% 1%1% 1% 1% 1% Win-Spyware/Favadd Win-Downloader/Wux Win-Downloader/IClick Win-Spyware/Xema B Win-Spyware/PWS.Gamania Win-Downloader/SearchGuide Win-Adware/MokeAd Win-Adware/MokeAd Win-Spyware/PWS.Wsgame Win-Spyware/Agent.9728.I 기타 [ 그림 1-10] 2007 년 6 월스파이웨어피해 Top 년 6 월스파이웨어피해통계의가장많은피해를입힌스파이웨어는스파이웨어파 브애드 (Win-Spyware/Favadd ) 이다. 파브애드는사용자동의없이국내유명쇼핑몰 로 Redirection 되는광고서버의즐겨찾기를추가하는스파이웨어로서국내에서제작된허 Copyright AhnLab Inc,. All Rights Reserved. 10

11 위안티 - 스파이웨어프로그램이나애드웨어가다운로드하여설치하는것으로추정된다. 6 월스파이웨어피해통계에서도국내에서제작된스파이웨어의피해가많은것으로나타나 고있으며, 애드웨어모크애드 (Win-Adware/MokeAd) 와같은중국에서제작된애드웨어로 인한피해가눈에띤다 년 6 월유형별스파이웨어피해현황은 [ 표 1-] 와같다. 스파이 애드 드롭퍼 다운로 다이얼 클리 익스플 AppCare Joke 합계 웨어류 웨어 더 러 커 로잇 4월 월 월 [ 표 1-4] 2007년 6월유형별스파이웨어피해건수 2007년 6월에는 5월보다약 10% 증가한 655건의피해신고가접수되었다. 스파이웨어의피해신고는다소감소한반면애드웨어의피해는크게증가하였으며, 애드웨어설치나다운로드와관련된드롭퍼의피해가다소증가하였으며, 위에서언급한국내제작애드웨어나허위안티-스파이웨어피해증가가원인으로생각된다. Copyright AhnLab Inc,. All Rights Reserved. 11

12 6월스파이웨어신종 / 변종발견현황 6 월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 3], [ 그림 2] 와같다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리 익스플 AppCare Joke 합계 웨어류 어 더 러 커 로잇 4월 월 월 [ 표 1-5] 2007년 6월유형별신종 ( 변형 ) 스파이웨어발견현황 2007 년 6 월발견된스파이웨어 9% 18% 0% 0% 1% 1% 0% 스파이웨어류애드웨어드롭퍼다운로더다이얼러클리커익스플로잇 50% AppCare 조크 21% [ 그림 1-11] 2007 년 6 월발견된스파이웨어비율 [ 표 1-5] 와 [ 그림 1-11] 은 2007 년 6 월에발견된신종및변형스파이웨어통계를보여준 다. 5 월에비하여신종및변형스파이웨어발견건수는다소감소하였으나, 신종및변형 애드웨어의발견건수가 5 월의 29 건에서 6 월 46 건으로크게증가하였다. Copyright AhnLab Inc,. All Rights Reserved. 12

13 (3) 6월시큐리티통계 2007년 6월에는마이크로소프트사에서총 6개의보안업데이트를발표하였으며, 긴급 (Critical) 4개, 중요 1개, 보통 1개였다. 이중에서인터넷익스플로러공격에사용될수있는 (MS07-031, MS07-033) 에대한패치가포함되었으며, 윈도우비스타의 Windows Mail 에관련취약점 MS 가포함되어있다 최근 1 년 MS 보안패치분류현황 시스템 IE 오피스어플리케이션서버총수 패치갯수 월 7 월 8 월 9 월 10 월 11 월 12 월 1 월 2 월 4 월 5 월 6 월 [ 그림 1-12] 최근 1 년공격대상기준 MS 보안패치현황 [ 그림 1-12] 을보면, 전반적으로 2007년에들어와서, 오피스및 IE 취약점이증가추세에있는것을알수있다. 그러나 6월달에는 Visio를제외한오피스관련취약점이발표되지않았다. Visio 관련취약점 (MS07-030) 은중요등급으로, 긴급에해당하지않으며, 엑셀, 워드, 파워포인트등의다른오피스프로그램보다사용률이높지않다. csoonline.com에서최근 6개월동안 OS 들의취약점레포트를조사한것을발표하였는데, 아래 [ 그림 1-13] 을보면, Windows XP SP2와 Windows Vista 의취약점발표개수가다른 OS 보다상대적으로많지않음을확인할수있다. 특히 Windows Vista 는 10개미만의숫자를보여주고있는데, 이는 Windows Vista 에도입된보안기능들이효과적으로동작하는것으로볼수있다. Copyright AhnLab Inc,. All Rights Reserved. 13

14 [ 그림 1-13] OS 별취약점발견건수 년 6월웹침해사고현황 웹사이트침해사고현황 경유지유포지 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 0 [ 그림 1-14] 웹사이트침해사고현황 1 출처 ] Copyright AhnLab Inc,. All Rights Reserved. 14

15 2007 년 6 월의웹침해사고현황을살펴보면 5 월과비교하여큰차이가없다. 이는 MS 취약점발표이후에 Internet Explorer 과관련하여새롭게발표된위협적인취약점이 없기때문이다. 2007년 6월의침해 / 악성코드유포사이트의수는 91/52이다. 2007년 5월과비교하여침해사이트의수는변화가없으며유포사이트의수가 16개감소하였다. 악성코드배포유형을살펴보면 MS 취약점을이용한것이전체의 48% 로가장큰비중을차지하고있다. 이는앞에서언급한바와같이 MS 취약점발표이후에 Internet Explorer과관련하여대중적으로사용이가능한취약점이없기때문으로분석되며, 새로운취약점이발표되기전까지는이러한경향이계속유지되거나사용자 PC의보안패치적용이늘어나면서악성코드유포수가반비례하여소폭으로감소할것으로예측된다. Copyright AhnLab Inc,. All Rights Reserved. 15

16 II. ASEC Monthly Trend & Issue (1) 악성코드 Win32/Alman.C 바이러스국내발견, 보고 이번달에는공학용계산기에서동작하는바이러스와유명한 Hex 에디터의스크립트로만들어진 PoC (Poof of concept = 개념증명 ) 형태의악성코드가발견, 보고되었다. 올해들어서자주변형이보고되는 MSN 메신저웜 (Win32/ShadoBot.worm) 변형이또다시출현하였고, 올해국내발견된바이러스중분석이쉽지않은 Win32/Alman.C 바이러스에의한고객피해가심각하게발생하였다. 마지막으로지난보고서에서도언급된 AutoRun.inf 를생성하는악성코드에대해서좀더자세히그리고위험성을정리하였다. TI89, WinHEX 와관련된개념증명형태의악성코드 TI89 는공학도들에게있어서는없어서안될아주중요하고유명한계산기이다. 해당계산기는사용자가프로그래밍을하여수식계산이나간단한게임등도제작하여서로공유하여사용할수있도록되어있다. 이렇듯 Homebrew가가능했기에악성코드제작도충분히가능한환경으로보인다. TI89용악성코드는바이러스로서해당계산기에동작하는응용프로그램을감염시킨다. 그리고화면을초기화하여 t89 GAARA 라는특정메시지를출력한다. [ 그림 2-1] TI89 계산기 WinHEX 는유명한 Hex 에디터로바이너리에디팅이라는기본기능뿐만아니라포렌식에사용될수있어분석툴로더잘알려져있다. 이악성코드는해당응용프로그램이사용하는스크립트로제작되었으며감염활동도해당 WinHEX 에서사용되는스크립트를감염시키도록되어있다. Copyright AhnLab Inc,. All Rights Reserved. 16

17 [ 그림 2-2] WinHEX 실행화면 ( 출처 이두개의 PoC 악성코드는개념증명이라는용어에맞게일반사용자가감염될위험성은낮다. 하지만이처럼어떤환경이든자유도및개방성이있어 (SDK 제공및사용자증가그리고불법적인내부구조해킹등 ) Homebrew 활동이증가하면얼마든지각종기기에서동작할수있는악성코드도충분히나타날수있다. 대표적인사례로 2년전에비디오게임기 (PSP와닌텐도 DS) 악성코드사례가있다. 메신저로전파되는 Win32/ShadoBot.worm 변형 메신저의보안기능강화 ( 실행가능한확장자전송불가 ), 안티바이러스제품에서의빠른대응등의복합적인이유로메신저웜이더이상위협적이아니라는것은이제는분명해졌다. 그러나, 이러한상황에서도악성코드의전파에메신저가자주사용되고있다. Win32/ShadoBot.worm ( 이하쉐도우봇웜 ) 이라고알려진이악성코드의변형은자신을 ZIP 파일형태로보내며메시지도마치사진파일이들어있는것처럼위장하여메신저에온라인된사용자에게발송한다. 다음과같다. Copyright AhnLab Inc,. All Rights Reserved. 17

18 - Here are my very secret pictures for you. - Here are my pictures from my vacation - hmm is this you on the photo? - Check out my pics from my workplace. - Nice new photos of me and my friends and stuff... - ahh look this is my greatest picture made on vacation 2007, take a look - Check out my nice photo album. :D - hey regarde les tof de notre bande de fous. :p - hey c'est toi dans ces tof!!??? - hey regarde les tof, c'est moi et mes copains entrain de... :D - j'ai fais pour toi cet album de photos tu dois le voire :p - stp regarde cet album de photos je lai fais specialement pour toi et mes amis... - mes photos chaudes :D - t'as pas encore vu ces tof??? - hey kijk eens naar mijn nieuwe foto album - hey bekijk eens mijn nieuwe foto album - hmm ben jij dit op de foto? - hey kijk! dit is een lijst van mijn nieuwste fotos!! - ahh kijk mijn mooiste foto album van vakantie 2007 bekijk ze eens :p - kijk dit zijn fotos van mij werkplek! :) - hmm ben jij dit op de foto? - 이하생략 [ 표 2-1] Win32/ShadoBot.worm 이보내는메시지중일부 해당악성코드는영어를비롯한여러나라의언어로된메시지를내부에포함하고있고, 이러한메시지는사용자에게호기심을자극하고첨부파일을실행하도록유도한다. 이악성코드가실행되면 DLL 파일하나를드롭하여 Explorer.exe에인젝션한후특정 IRC 서버로접속을시도한다. IRC를이용한원격제어의기능이주목적이고 MSN 메신저를이용한것은단지자신을전파시키려는하나의수단에불과하다. 분석이난해했던 - Win32/Alman.C 바이러스 올해국내발견보고된실행파일을감염시키는바이러스중가장난이도가높은것을꼽으라면 Win32/Virut.C, D 형그리고 Win32/Alman.C ( 이하알만씨형바이러스 ) 바이러스이다. 이들은모두분석을지연시키기위해서복잡한암호화또는시작실행시점불명확화기법을사용했다. 특히알만씨형바이러스는바이러스본체와백업된원본파일을일종의데이터압축형태의알고리즘을이용하여압축하여해당알고리즘을분석하는데많은시간이소요되었다. Copyright AhnLab Inc,. All Rights Reserved. 18

19 [ 그림 2-3] Win32/Alman.C 감염형태 또한이알만변형바이러스는지난달보고서에도언급된바와같이기존안티루트킷프로그램을우회하는기법이적용된커널드라이버를가지고있기도하다. 그리고국내발견되는악성코드에유행처럼사용되고있는 AutoRun.inf 파일과백도어를이동식저장장치에생성하는증상또한포함하고있다. AutoRun.inf 파일을생성하는악성코드의위험성 지난보고서에서국내발견되는악성코드중에전파목적으로이동식저장장치를노리고있다는것을언급했었다. 마치도스시절플로피디스켓이부트바이러스의목표가되었던것과동일하다고할수있다. 이번달에는 Win32/Shlnom으로명명된간단한형태의전위형바이러스의코드일부분을분석하여 AutoRun.inf 파일이어떤방법으로이동식저장장치에생성및실행되는지확인해보기로한다. 다음은 Win32/Shlnom 바이러스가 AutoRun.inf 를생성할대상을선택하는부분이다. PE 형태로된대부분의악성코드가아래와같이 GetDriveTypeA API 를호출하여 EAX 의리턴값을확인하여그대상이이동식드라이브인지그리고리모트드라이브인지확인하여 AutoRun.inf 파일을생성한다. [ 그림 2-4] Win32/Shlnom 바이러스코드일부 AutoRun.inf 가각드라이브루트폴더에만들어지면윈도우는이파일이존재할경우자동 으로인식하여 AutoRun.inf 에지정된파일을자동실행하기위해서레지스트리에기록해둔다. 즉, 다음과같은서비스에의해서이동식저장장치의루트폴더에있는 AutoRun.inf 가읽혀 Copyright AhnLab Inc,. All Rights Reserved. 19

20 진다. [ 그림 2-5] 윈도우 Shell Hardware Detection 서비스 읽혀진내용은 OS 에따라서차이가있지만윈도우 XP 인경우다음경로에기록된다. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ex plorer\mountpoints2\( 일련의클래스 ID)\shll\AutoRun 이후윈도우는위레지스트리에기록된정보를참고하여 AutoRun.inf에지정된파일을내컴퓨터 -> 드라이브진입시자동실행되도록해둔다. 따라서 AutoRun.inf에의한자동실행을차단하기위해서는 [ 그림 2-5] 의윈도우서비스를 중지 하면된다. 하지만이방법은해당서비스가자동재생에대한이벤트알림이외에다른기능이있는지파악되지않기때문에권장하지는않는다 ARP Spoofing 공격은새로운중국발해킹 ARP Spoofing 공격을이용하여악성코드를설치하는형태는올해 3월처음알려졌다. 악성코드는 Dropper 형태로되어있었고중국의일련의해커로부터만들어진자동화공격도구와패킷스니핑모듈과드라이버등으로이루어진형태로 Dropper/MulDrop이라고명명되었다. 물론이는 ARP Spoofing 공격툴이포함된악성코드를일반적으로지칭하는것은아니며, 다수의파일을 Drop 한형태의악성코드일컫는일반적인진단명이다. 작년말부터 WinPCap 기반의패킷캡쳐라이브러리를가지고있는악성코드를종종발견되었으나, 이파일들은모두정상적인파일이므로일반적인패킷캡쳐프로그램에서도사용될수있어악성코드로간주하여엔진에추가할수도없었다. 또한이파일을 Drop 하는 Dropper 는접수가되지않아서해당의용도를정확히알지못할때도있었다. 6 월에악성코드의감염이매우심각한고객으로부터상당수의악성코드샘플을접수받아 분석하는과정중에 Win-Trojan/MulDrop 이라는악성코드에서패킷캡쳐라이브러리와 Copyright AhnLab Inc,. All Rights Reserved. 20

21 ARP Spoofing을하는툴이발견되었다. ARP Spoofing 공격이새로운중국발해킹의형태라는것은인지하고있었지만, 실제로기업사용자에게심각한피해를입히는형태로발전된것을알게되었다. 참고로이번달테크니컬컬럼에서 ARP Spoofing 공격에대해서깊게다루기로하겠다. ARP Spoofing 공격은기존의중국발웹해킹과다르게사용자가해킹당한사이트를방문하지않아도악성코드를설치하게할수있다. 보통은클래스가동일한서브넷에 Win- Trojan/MulDrop를실행후 ARP Spoofng 공격툴의약간의세팅만으로악성코드를감염시킬수있다. 기업들이대부분웹기반의그룹웨어를사용하므로해당클라이언트에서해당그룹웨어서버로연결시 ARP Spoofing 툴을이용하여 80/TCP HTTP 패킷에 iframe 태그를삽입해둔다. 해당 iframe에명시된호스트는인터넷익스플로러취약점이존재하는외부 HTTP 호스트 URL 이다. 따라서자신은정상적으로웹서버메인페이지접속했지만실제패킷을덤프해보면메인페이지이외에 iframe 태그가삽입되어있음을알수가있다. 이러한공격방법은굳이웹서버를해킹하지않아도더많은사용자들을위험에노출시킬수있어주의가필요하다. 따라서다시금인터넷익스플로러뿐만아니라윈도우에대한보안패치적용이중요성을더한다고하겠다. Copyright AhnLab Inc,. All Rights Reserved. 21

22 (2) 스파이웨어 스파이웨어의새로운시도 배포방식의변화 금전적이득을노리는스파이웨어와보안업체간의숨바꼭질은끝이없는것으로보인다. 스파이웨어제작자는자신이배포하는파일이보안업체의분석이완료되어진단이시작되기전에최대한으로전파되어최고의수익을얻고자한다. 이들은효과적인스파이웨어배포를위해대형포털사이트의검색순위에상위랭크된단어나사회적인이슈를일으키는검색어를이용해끊임없는낚시글을등록하고, 이를보고클릭한사용자들을대상으로원하는컨텐츠를보기위하여특정 ActiveX를설치하여야한다는방법으로스파이웨어설치를유도하는방법으로배포하고있다. 최근에발견된다운로더까만 (Win-Downloader/Ggamans.21552) 은기존의배포방식과는달리서버에서필요한목록을다운로드하고사용자 PC에다운로드된목록에포함된스파이웨어를능동적으로다운로드하여설치하는형태로스파이웨어를유포하는것이발견되었다. 기존에접수된다운로더류의경우설치하는파일에대한정보가파일내에하드코딩되어항상동일한스파이웨어와그변형만을설치하는업데이터의성격이강했다. 그러나, 2007년초부터꾸준히보고가되고있는다운로더까만과같은새로운형태의다운로더는웹에서설치목록과다운로드경로모두를전달받아사용자의시스템에다수의스파이웨어를설치한다. 새로운형태로스파이웨어를유포하는다운로더까만의경우다운로더까만자체는기존스파이웨어의배포방법과동일하게낚시글을이용하거나, P2P프로그램의번들형식으로사용자동의없이설치된다. 일반적인다운로더의경우시스템에설치가되면즉시툴바나허위안티-스파이웨어와같은스파이웨어의설치를유도하는등의동작을시작한다. 이를통하여사용자는, 설치된스파이웨어를제거하는것이쉽지않을수도있으나, 설치사실을즉시인지할수있기때문에동일한방법을통해재배포하는것은쉽지않다. 그러나, 다운로더까만의경우설치후다운로드목록을바로서버에서받아와서목록에등록된스파이웨어설치를시작하지않는다면증상이전혀없기때문에사용자가스파이웨어설치사실을인지하기어렵다. 따라서스파이웨어배포자는충분한기간동안다운로더까만과같은류의스파이웨어를배포하며, 스파이웨어설치를유도하기위한낚시글배포와같은더이상의노력없이효과적이고신속하게다수의스파이웨어 / 애드웨어를배포함으로써수익의극대화를추구할수있다. 단순하게다운로더까만류에의하여설치된스파이웨어 / 애드웨어를제거한다고하더라도본체가제거되지않기때문에, 서버에새로운다운로드목록이등록되면새로운스파이웨어 / 애드웨어가사용자동의없이설치될수있다. Copyright AhnLab Inc,. All Rights Reserved. 22

23 [ 그림 2-6] 새로운스파이웨어배포방법 [ 그림 2-7] 좌 ) 다운로드목록이존재하는경우우 ) 다운로드목록이없는경우 다운로더까만와같은형식의다운로더는 2006년최초확인된이후계속해서발견되어오고있으며 2007년 6월에는 11건의변형이보고되었다. 이모든다운로더들은웹에서설치목록에대한정보를메모리상에서읽는방법을선택하고있으며이것은웹에서흔히구할수있는오픈소스를이용한것이다. [ 그림 2-7] 에서좌측그림은다운로드목록이있는경우로주소표시줄검색결과를변경하 는스파이웨어를설치하게되며, 우측과같이 [FILEPATH] 에값이없는경우는아무런동 작을하지않는다. 스파이웨어제작 Vs 스파이웨어분석 스파이웨어임을알면서프로그램을제작한경우라도애써제작한프로그램이스파이웨어로 분류되는경우개발자들은기분이좋지않을것이다. 최근배포되는스파이웨어배포업체 Copyright AhnLab Inc,. All Rights Reserved. 23

24 중 1곳은 Ahnlab. Babo 라는문구를프로그램에삽입하여자신들이제작한프로그램을분석하는이들에게불편한심기를그대로드러내고있다. 외국에서제작한악성코드의경우내부에특정 AV업체를비방하는문구를삽입해자신의메시지를전달하는사례가종종있으나, 국내의경우는흔치않다. 이렇게내부에특정백신업체를비방하는문구를프로그램내에삽입하는것은자신을진단하는것에대한의사표현일수있으나, 스스로가제작한프로그램이스파이웨어라고인정하는것으로해석할수도있다. [ 그림 2-8] 스파이웨어내부 Text 정보 Copyright AhnLab Inc,. All Rights Reserved. 24

25 (3) 시큐리티 공격자를위한종합선물세트 MPACK 2007년 6월에발표된마이크로소프트사보안업데이트는총 6건으로각각긴급 4건, 중요 1건, 보통 1건의보안수준을갖는다. 과거, 해당취약점에대한공격시도가보안업데이트발표시점을시작으로활발히증가하였던것과는다르게, 최근에는별다른이슈없이지나가고있다. 그러나, 과거의취약점을종합적으로활용하는공격툴이등장하는것을보면, 시스템보안패치를간과하는사용자들은언제든지피해를입을수있다는것을인지하여야한다. 다음은 2007년 6월에발표된취약점중에서악의적인공격에이용될수있는주요취약점들에대한목록이다. 위험등급 취약점 PoC 긴급 Windows Schannel 보안패키지의취약점으로인한원격코드실행문제점 (MS07-031) 무 긴급 Microsoft Speech API 4.0 ActiveX Controls 버퍼오버플로우 (MS07-033) 유 긴급 Outlook Express 및 Windows Mail 누적보안업데이트 (MS07-034) 유 긴급 Microsoft Win32 API 취약점으로인한원격코드실행문제점 (MS07-035) 유 기존의다수를차지하던 Office 관련취약점과 Internet Explorer 취약점뿐만아니라 6월에는다양한서비스와애플리케이션을대상으로하는취약점이포함되어있다. 그러나, 공격에이용되는취약점은특정운영체제나서비스에서벗어나가장대중적이고쉽게취약점을찾아공격할수있는 Internet Explorer 및오피스에집중되고있다. 6 월의동향으로 Internet Explorer 를통해공격가능한일부취약점들 (MS Speech API 4.0 ActiveX Controls 버퍼오버플로우 (MS07-033) 문제점, MS Win32 API 취약점 (MS07-035) 과최근이슈가되고있는 MPack 툴에대해서살펴보도록하자. 변함없이등장하는다수의 IE 도용취약점들 이달에발표된 MS Speech API 4.0 ActiveX 컨트롤취약점은 IE 가 MS Speech 관련 ActiveX 개체를처리하는과정에서발생하는스택기반의버퍼오버플로우취약점이다. MS Speech 는음성으로시스템을운영할수있도록 MS 에서제공하는기능으로, Windows 2000 시스템에는디폴트로설치되어있다. 이를악용하는 Exploit 은기존과동일한방식으로해당 ActiveX 컨트롤을로드하여취약한 Method 를호출하고, 자바스크립트를통해적절한쉘코 드를배치하는방식으로구성되어있다. Copyright AhnLab Inc,. All Rights Reserved. 25

26 ActiveX Load <object id=xlisten classid="clsid:4e3d9d1f-0c63-11d1-8bfb de"></object> Shellcode nop1 = unescape("%01%6e%40%6e%40%6e%40%6e%40%6e%40%6e%40%6e%40") c1 = unescape("%6e") : REM add byte ptr esi, ch (as nop) Function Call xlisten.find(strlong); 취약한 ActiveX 컨트롤은아래두가지이며, 본문서에서는 Xlisten.dll 에초점을맞춘다. ProgID DirectSR.DirectSR DirectSS.DirectSS CLSID 4E3D9D1F-0C63-11D1-8BFB DE EEE78591-FE22-11D0-8BEF DE DLL Xlisten.dll Xvoice.dll Xlisten.dll, Xvoice.dll을통해오브젝트가처리되는과정을살펴보면, FindEngine(), Find() 메쏘드에넘겨지는파라미터에대한적절한유효성체크코드가존재하지않는다. Find() 메쏘드는로컬데이터를위해 0x278 크기의스택공간을확보한후실제문제의데이터를복사하는 GetNextWord() 함수를호출한다. GetNextWord() 함수는입력된파라미터의문자열을 2바이트씩스택의 [ebp-0x278] 지점으로부터복사한다. 이과정에서입력에대한어떠한검증코드도수행하지않기때문에입력으로넘겨진긴문자열은정해진스택의크기를넘어서다른메모리공간을침범 (Overwrite) 하게된다. Copyright AhnLab Inc,. All Rights Reserved. 26

27 이렇게 Overwrite된지점이후에다른코드에의해참조되는과정에서오류를발생하게된다. 이때, 입력되는문자열의크기를조절하여 Call 코드의참조지점에매핑시키고, 쉘코드로점프하도록처리함으로써단순크래쉬 (Crash) 뿐만아니라공격자가원하는코드를실행할수있다. 또다른취약점 MS Win32 API 취약점은 IE가 Resource scheme (res://) 를사용하여로컬시스템에존재하는 DLL 파일을참조하는과정에서발생하는 Integer Overflow 메모리참조오류이다. 보통 Resource scheme의사용은다음과같은형태로이루어진다. res://sfile 1 [/stype]/sid 2 (EX) res://kernel32.dll/#xxx 그러나, 이를처리하는 FindResourceW() 함수가적절한파라미터검사를수행하지않기때문에, (0xFFFF) 이상의 stype, sid 값이입력되는경우, 잘못된메모리참조로인하여오류가발생한다. 해당취약점또한적절히입력을조정하고쉘코드삽입하여임의의코드를실행할수있다. Internet Explorer 는가장대중적인애플리케이션이며, 이같이수많은취약점들을내포하고 있기때문에언제든지공격의매체로써손쉽게악용될수있다. 따라서, 꾸준한패치업데이 트만이사용자의시스템을위협으로부터방어하는최선의방법이다. 1 resource 를내장하고있는모듈의경로및이름 2 resource 구분자또는구분문자열 Copyright AhnLab Inc,. All Rights Reserved. 27

28 공격자를위한종합선물세트 MPACK 지난 6월중순. 많은보안전문가들의관심이이탈리아에쏠리기시작했다. 10,000대이상의이탈리아웹서버가해킹되었고, 그위협이점점전유럽으로퍼져나가고있다는소식이전해졌기때문이다. 일명, Italian Job 이라고불리는이공격뒤에는다양한공격 Exploit을내포하고있어전문가들사이에서 종합선물세트, 맥가이버칼 이라평을받는 MPACK툴이있었다. MPACK 은다음과같은공격시나리오를통해사용자를공격한다. [ 그림 2-9] Mpack 을이용한공격시나리오 1. 웹서버를해킹한후공격자의웹서버주소가포함된 <iframe> 태그를삽입한다. 2. 사용자가해킹된웹서버에접속한다. 3. <iframe> 태그가삽입된웹페이지가사용자의브라우저를통해로딩된다. 4. 공격자서버 (MPACK이설치된 ) 로 redirection 된다. 5. 공격자서버에설치된 MPACK이사용자시스템을분석한다. 6. 분석된시스템정보를기반으로알맞은 Exploit 공격을찾아사용자시스템을공격한다. MPACK은 PHP로구성되어있으며, MySQL 서버가설치된웹서버에서운영된다. Redirection에의해사용자가처음으로접속하게되는 MPACK의메인페이지 index.php 는다음과같은절차를통해사용자시스템을공격한다. 우선 index.php 파일에존재하는 detect_browser(), GetCountryInfo() 등의함수가접속한사용자의시스템정보들을분석한다. 분석정보분석대상내용 Copyright AhnLab Inc,. All Rights Reserved. 28

29 (HTTP_HEADER) 웹브라우저 User-Agent opera, conqueror, lynx, msie, links, netscape 구별 OS User-Agent Linux, Windows, Macintosh, FreeBSD 구별 국가 IP GeoIP.dat 데이터활용 분석된정보는 MySQL 서버에저장되고, 이데이터를기반으로국가별, 브라우저별, 운영체 제별형태로조회도가능하다. 다양한 Exploit 은각각의 PHP 파일로되어있고, 분석된웹브라우저와 OS 정보를기반으 로해당하는 Exploit PHP 파일들을 index.php 파일에 include 한다. * mdac4.php : MS Microsoft Windows MDAC 취약점 * ms06-044_w2k.php : - MS Microsoft Windows MDAC 취약점 - MS Microsoft 관리콘솔취약점 * ani2.php, anifile.php : MS Windows 애니메이션커서취약점 * ff.php,o7.php : MS 타사인터넷브라우저용 Windows Media Player 플러그인취약점 * qt.php : QuickTime 힙기반 (Heap-based) 오버플로우취약점 * xml.php : MS Microsoft XML Core Services 취약점 * megapack1.php : - startwvf() : MS Windows Explorer WebViewFolderIcon ActiveX 취약점 - startwinzip() : WinZip CreateNewFolderFromName ActiveX 오버플로우취약점 MPACK 은자체 Encrypt 모듈인 cryptor.php, crypt.php 파일을사용하여 index.php 파일을 통해로딩되는취약점 Exploit 코드를복잡한문자열로인코딩한다. Copyright AhnLab Inc,. All Rights Reserved. 29

30 <Encoding 된 index.php 파일소스 > 위의분석은 MPACK v0.86 버전을기준으로이루어졌기때문에, 그이후최신버전에는보다많은 Exploit 파일이존재할수있다. MPACK을분석하는과정에서필자는내장된 Exploit PHP 파일이공개된 Exploit 코드와거의동일하다는점과마치플러그인방식처럼필요한취약점코드를자유롭게 PHP 파일형태로만끼워넣어사용할수있다는점에주목하였다. 이는일반적인스크립트키드수준의사용자들도얼마든지새로운공개 Exploit 코드를사용하여또다른버전의 MPACK을제작할수있는가능성을암시하기때문이다. MPACK이사용하는 Exploit 코드들은대부분이미패치가릴리즈된취약점들이였다. 항상강조해도지나치지않는보안업데이트만충실히수행하였다면 Italian Job 과같은대형사고는발생하지않았을것이다. Copyright AhnLab Inc,. All Rights Reserved. 30

31 III 년상반기동향 (1) 2007 년상반기악성코드동향 올상반기는악성코드의국지적인발생과피해그리고그비율이뚜렷했다. 물론이러한현상은오래전부터시작되었고우리나라를비롯한아시아지역 ( 주로중국, 대만, 일본 ) 은올해들어다른나라와더욱뚜렷하게구분되고있다. 악성코드가노리는대상역시클라이언트시스템이며우리나라를비롯한아시아지역에서발생하는악성코드가노리는것은개인정보이다. 여기서말하는구체적인개인정보는여러가지로서서버시스템을공격한경우라면어떠한 DB 형태로저장된개인정보일것이며클라이언트를공격했다면익히알고있는온라인게임의사용자정보 ( 데이터 ) 를훔쳐내는형태일것이다. 매크로 2007년신종악성코드유형 0% 부트 / 파일 파일 1% 부트 0% 유해가능 3% 0% 스크립트 0% 드롭퍼 13% 웜 13% 웜트로이목마드롭퍼스크립트파일매크로부트부트 / 파일유해가능 트로이목마 70% [ 그림 3-1] 2007 년국내발견신종및변형악성코드유형 [ 그림 3-1] 에서와같이올상반기악성코드유형중트로이목마는전체의 70% 를차지할 정도로비율이높다. Copyright AhnLab Inc,. All Rights Reserved. 31

32 2006, 2007년상반기온라인게임의사용자데이타탈취트로이목마현황 년 년 월 2월 3월 4월 5월 6월 [ 그림 3-2] 2006, 2007 상반기온라인게임트로이목마현황 [ 그림 3-2] 에서와같이 2007 년상반기는전년도동기대비무려 276% 나증가하였다. 아울 러올해들어다른특징이라면작년은국내온라인게임을타켓으로정보를훔쳐냈다면올 해들어중국및대만의온라인게임이직접타켓이되고있다는것이다. 국내유명온라인게임업체들은보안에매우신경을쓰고있고, 이에따라서다양한보안로그인방법및보안을강화하고있어특정온라인게임을대상으로하는악성코드의수가차츰줄고있는것으로보인다. 그리고중국그리고대만등자국내온라인게임의자체개발및상용화가되므로제작자들은보안솔루션이갖춰진국내온라인게임에서조금씩멀어진것으로보인다. 이역시국내온라인게임을노리는악성코드가한순간없어졌다라는것은아니고작년후반기상황과비교하면약간씩감소추세에놓여있다고하겠다. 분명히할것은이것은특정국내온라인게임만을대상으로하는악성코드에대하여이러한현상이나타나고있다는것으로국내온라인게임의전부를대상으로하는것은아니다. 그러나국내에서타국의온라인게임을훔쳐내는악성코드의수가증가하는지원인에대해서명확하지않다. 아마도이것은국내취약한시스템을악성코드유포의중간숙주로사용하고있는것으로추정될뿐이다. 반면 Win32/Zhelatin.worm 그리고 Win32/Stration.worm 과같은악성코드들은주로위에 Copyright AhnLab Inc,. All Rights Reserved. 32

33 서언급되지않는지역에서주로발생하여피해를입혔다. 물론이악성코드의피해가우리나라를비롯한아시아지역에전혀없다는것은아니지만, 해당악성코드들은수많은변종이올상반기에보고되었다. 이들악성코드는사용자들의호기심을자극할만한국제적인이슈등을제목또는내용으로사용하여메일로전파되었다. 국내를비롯한아시아지역은단지그수가상대적으로적다고추정하고있다. 해당악성코드들역시주감염대상은클라이언트시스템이다. 이들의주요증상은주로자신의복사본또는다운로더형태를이메일에첨부하여확산하거나, 스팸메일발송에사용된다. 특히 Win32/Zhelatin.worm은사용자들및일부보안프로그램을우회하도록설계되어감염되어도이를인지하거나발견할수없다. 또한변형을진단하지못하도록프로세스및파일을은폐하는스텔스기법과일부안티바이러스의에뮬레이터를우회하도록설계되어안티바이러스의진단기법을회피하기도한다. 이들은복잡한다형성코드와커스텀형태의실행압축을사용한유형이많았으며, 악성코드내에불필요한쓰레기코드를삽입한형태가많이발견되고있는데, 이를 Win-Trojan/Obfuscated이라고명명하고있다. 즉, 이들지역에서발견된악성코드는감염시스템을스팸프록시나백도어등으로사용하면서상당히지능적으로안티바이러스및보안프로그램을우회하는자기방어적기능에초점이맞춰져있다. 국내에서발견되는악성의특징을본다면위에서언급했듯이개인사용자정보를훔쳐내는악성코드의양상이뚜렷하다. 그러나올해나타난현상으로개인정보를훔쳐낼대상의온라인게임의종류가많아졌고, 또한국내보다는이러한악성코드를만들어내고있는중국내온라인게임을대상으로데이터를훔쳐내는형태가많아졌다는것이다. 다음은작년동기와비교한상반기신종및변형악성코드현황이다. Copyright AhnLab Inc,. All Rights Reserved. 33

34 , 2007 상반기악성코드현황 년 2007 년 웜 트로이목마 드롭퍼 스크립트 파일 매크로 부트 부트 / 파일 유해가능 비윈도우 [ 그림 3-3] 2006, 2007 상반기악성코드현황 작년동기대비악성코드는 116% 증가하였다. 가장많이증가한악성코드는단연트로이 목마로작년동기대비 137% 증가하였다. 2006, 2007년상반기신종및변형트로이목마현황 년 2007 년 월 2 월 3 월 4 월 5 월 6 월 [ 그림 3-4] 2006, 2007 상반기신종및변형트로이목마현황 Copyright AhnLab Inc,. All Rights Reserved. 34

35 최근 4 개월간트로이목마유형은별다른증가추세를보이고있지않다가 6 월에전월대비 30% 가량증가하고있다. 올해는중국발해킹과악성코드전파의패러다임에있어앞의 6 월악성코드트렌드및이 슈에서언급한바와같이 ARP Spoofing 을이용하여악성코드를전파할수있는방법이사 용되기시작하였다. 또하나상반기악성코드의주요패러다임의변화는이동식저장장치를노리는악성코드이다. ASEC 리포트보고서를통해서도작년에 Win32/Viking과 Win32/DellBoy 등의실행파일감염바이러스로인한로컬네트워크침투사례를언급한바있다. 즉, 바이러스의부활과기승으로인하여로컬네트워크의자원을손쉽게감염시킬수있다는것이다. 이제는작은 USB 메모리스틱이나윈도우가인식하는모든이동식저장장치가악성코드감염대상이되었고, 이들이감염되지않은다른시스템을감염시킬수있게되었다. 마치도스시절에플로피디스켓에부트바이러스가감염되었던사례와비슷하다고하겠다. 굳이웜이아니더라도요즘중국산악성코드대부분은자신의복사본을이동식저장디스크또는네트워크드라이브에만든다. 그리고이것이사용자개입없이자동으로실행되도록하기위해서 AutoRun.inf 파일을만든다. 이파일은윈도우에서자동으로인식되어사용자가특정드라이브를클릭하는순간 AutoRun.inf 파일에지정된실행파일이자동실행되는것이다. 이것은작년상반기에는없었던유형이며단순해보이는이방법은효과적으로자신을이동식저장매체에증식하며사용자를괴롭히고있다. 다음으로올해발견된 PoC (Poof of concept = 개념증명 ) 형태의악성코드로크게 3가지유형이있었다. 하나는잘알려진 MP3 플레이어를대상으로한악성코드감염시도였다. 이것은윈도우이외의 OS에서만실행될수있었고사용자가개입되어야만했다. 다음에알려진것은유명한공학용계산기에서동작되는악성코드로이계산기는유저가만든게임이나응용프로그램을구동시킬수있었고따라서악의적인코드도제작이가능했을것으로추정된다. 끝으로는분석가나응용프로그램개발자들이잘이용하는 HEX 편집기에대한악성코드이다. 이악성코드는해당편집기가사용하는스크립트로만들어졌으며, 이편집기는스크립트를이용하여자동화된처리를할수있도록되어있는데이것을악용한사례라할수있다. 다음은위내용에나오는올해이슈가된악성코드에대하여간단히정리해보았다. 바이러스의위험한도전 작년에 Win32/Viking 바이러스가국내외적으로심각한피해를입혔습니다. 단기간에폭발적 Copyright AhnLab Inc,. All Rights Reserved. 35

36 인변형이보고된바이러스로선정할수있을정도였습니다. 올초에는이와비슷하게 Win32/DellBoy 바이러스변형이빠르게증가하였습니다. 그러나이바이러스제작자가중국당국에붙잡힌이후로심각하게피해를주는변형은더이상보고되고있지않습니다. Win32/DellBoy 바이러스이외에 Win32/Virut 변형과 Win32/Alman.C 바이러스가사용자에게심각한위협을끼쳤습니다. 먼저이들은분석및백신제작을지연시킬목적으로은폐 / 암호화되어이전변형과비교하여한단계업그레이드된형태입니다. 국내첫파밍공격의시도 Win-Trojan/Banki 로명명된악성코드는국내최초로호스트파일을변조하여위장된금융 권웹사이트로사용자를유도하는파밍공격을시도하였습니다. 이악성코드로인하여일부 금융권사용자가개인정보는물론공인인증서까지탈취당하는피해를입었습니다. ANI 취약점을이용하는제로데이공격발생 ANI 취약점은매우심각한제로데이공격에사용된취약점으로윈도우비스타와인터넷익스플로러 7 에서도동작하였습니다. 윈도우애니메이션커서와아이콘파일에존재하는취약점으로이취약점공격코드가알려지자마자기존중국발웹해킹으로공격당한국내웹사이트에서악성코드를전파하는데이용하는방법으로이취약점을이용하는사례가급증하였습니다. ARP Spoofing 공격으로인한악성코드유포 2007년상반기에 ARP Spoofing 공격을이용한악성코드유포라는새로운형태의공격이나타났습니다. 웹서버보안에대한인식이증대되고보안성이강화되면서, 인지도가높은웹서버자체를공격하여악성코드경유지로활용하던과거의공격패턴과는달리, 악성코드감염대상인특정네트워크서브넷내에침투하여 ARP Spoofing을통해해당서브넷내의 PC들을감염시켰다는점에서주목할만한사건이라할수있습니다. 임의의시스템에 ARP Spoofing 기능을가지고있는일부 Win-Trojan/MulDrop과같은악성코드가설치되고약간의세팅만으로동일클래스내의다른시스템에쉽게악성코드가설치될수있습니다. 물론보안패치가적용되지않은인터넷익스플로러를대상으로하지만, 이전과달리사용자가이상한 ( 해킹된 ) 웹사이트를방문하지않더라도악성코드가설치될수있습니다. AutoRun.inf 를이용한자동실행급증 AutoRun.inf 파일은그자체로는악의적이지않지만, 이파일에명시된파일들이자동실행 되기때문에그위험성을인지해야합니다. AutoRun.inf 와여기에자동실행되도록명시된 Copyright AhnLab Inc,. All Rights Reserved. 36

37 파일 ( 악성코드 ) 을 DOS 시절플로피디스켓에부트바이러스가감염되는것처럼컴퓨터에연결되는모든이동식저장장치에생성하는악성코드의수가급격히증가하고있습니다. 이는 AutoRun.inf를이용하여사용자개입없이이동식저장장치연결후단지해당이동식드라이브를클릭하는것만으로자동실행되기때문에악성코드제작자들이악성코드를전파및실행시키는데악용하고있습니다. 이메일웜. 끝나지않는전쟁 올상반기기억될최악의악성코드중하나로 Win32/Zhelatin.worm. Win32/Stration.worm 을들수있습니다. 비록국내에큰피해를주지않았지만국외에서는보도자료를통해서자주소개되었습니다. 전용진단함수를추가하기전까지 V3에반영된변형이 16천여개가반영될정도로많은변형이발견되었습니다. 특히메일로전파되기때문에호기심을자극할국제적인이슈를가진메일제목과내용을사용하여사용자로하여금첨부파일을실행하도록유도하였습니다. 두웜은분명히다른형태이지만, 목적은감염숙주를더많이확보하여스팸메일발송과같이악의적인목적을가지고있으며서로경쟁적으로만들어지고있는것으로보입니다. LSP (Layered Service Providers) 후킹을이용한정보탈취 국내온라인게임의사용자계정을탈취하는악성코드들에서 LSP 를이용하여 TCP/IP 핸들러를삽입하고, winsock2의연결을변경하여자신을실행하고정보를훔쳐내는형태가단기간증가하였습니다. LSP를이용한정보탈취및악성코드실행은마치유행처럼번졌다가삽시간사라졌습니다. 그러나지금도간혹이방법을이용한악성코드가보고되고있습니다. 오피스문서취약점을노린검은속셈 오피스문서의취약점은어제, 오늘의일은아니다. 취약점을악용하여오피스문서를오픈 할때내부에포함된트로이목마 ( 주로백도어 ) 를실행하는형태이다. 이취약점은제로데 이성격보다는작년에보고된오피스취약점을이용한형태가부쩍많았다. 메신저웜다시기승 Win32/ShadoBot.worm 이라고명명된 MSN 으로전파되는악성코드가올상반기보고되었다. 이것은마치사진이들어있는압축파일로자신을위장하여사용자로하여금압축을풀고첨부된파일을실행하도록유도한다. 이악성코드는특정 IRC 서버에접속하여시스템의제어권을탈취하도록설계되었다. Copyright AhnLab Inc,. All Rights Reserved. 37

38 (2) 2007 년상반기스파이웨어동향 2007 년상반기신종및변형스파이웨어발견현황 스파이 애드 드롭 다운 다이 클리 익스플로 AppCare Joke 합계 웨어류 웨어 퍼 로더 얼러 커 잇 1월 월 월 월 월 월 [ 표 3-1] 2007년상반기신종및변형스파이웨어발견현황 온라인게임계정유출스파이웨어의피해 2006년하반기부터증가하기시작한온라인게임계정유출스파이웨어의피해는최근까지이어지고있으며, 2007년 1월에최고조에달했다. 주로중국발해킹에의한웹사이트변조로시작되는스파이웨어감염은취약점패치를설치하지않은 IE 브라우저사용자가공격코드가삽입된웹사이트에방문하는것만으로도쉽게감염되기때문에국내여러사용자에게피해를입혔다. 온라인게임계정유출스파이웨어설치에는 MS 취약점이가장많이사용되었으며스파이웨어마토리 (Win-Spyware/Matory) 의일부변형은웜의기능이추가되어네트워크상의취약한시스템을공격하고스스로전파되기도하였다. 스파이웨어는주로국내주요온라인게임의계정을공격자에게이메일로전송하는목적으로만들어졌다. 이들공격의대부분이중국으로부터시작된다는사실은 2007년초부터만연하고있는 DDoS 공격에이은웹사이트인질극이나보이스피싱과맥락을같이한다. UCC 를이용한스파이웨어감염 UCC 열풍과함께 UCC 를이용한스파이웨어배포가증가하였다. 이미 2005 년에동영상파 일또는플래쉬 (Flash) 파일에스파이웨어설치를유도하는스크립트가삽입된형태의 UCC 가발견된바있으나, UCC 라는단어가대중화되기시작한올해부터는더욱다양한형태의 UCC 를이용한스파이웨어배포가시도되고있다. 가짜코덱으로알려진비디오코덱 (Video ActiveX Codec, 진단명 Win-Adware/Rogue.Codec.gen) 의경우성인동영상을미끼로동 영상을보려면코덱설치가필요하다는메시지를보여주고설치를유도한다. 그러나실제로 는동영상코덱과관련된어떠한구성요소도설치하지않으며, 스파이웨어훼이크얼럿 (Win- Copyright AhnLab Inc,. All Rights Reserved. 38

39 Spyware/FakeAlert), 애드웨어툴바프로텍션바 (Win-Adware/ToolBar.ProtectionBar) 등 의스파이웨어를설치한다. 국내에서도동영상을미끼로허위안티-스파이웨어및애드웨어의 ActiveX 컨트롤설치를유도하는웹사이트가여럿발견되었다. 이들웹사이트의대부분은실제로는동영상을제공하지않으며, 스파이웨어배포를목적으로제작된것으로예상된다. 유명포탈사이트의상위에랭크된검색어를이용하여카페나블로그의이른바 낚시게시물 을작성하고방문을유도하는방법을사용하기도한다. 국내애드웨어, 허위안티 - 스파이웨어프로그램의피해증가 국외에서제작된스파이웨어의피해가상대적으로감소한반면국내제작애드웨어및허위안티-스파이웨어프로그램으로인하여많은사용자에게피해가발생하였다. 제휴마케팅사이트를중심으로애드웨어제작사와이를배포하는배포자 ( 파트너 ) 가증가하면서국내애드웨어및허위안티-스파이웨어프로그램의제작배포가늘었으며이들의활동은모두금전적인이익을목적으로한다. 광고와유료사용자확보를목적으로하는제작사와배포당배당금이지급되는배포자 ( 파트너 ) 모두많은사용자에게배포할수록이익이발생할확률이높아지므로위에서언급한 UCC 동영상을이용하거나유용한프로그램으로속여배포한다. 최근에는백그라운드로동작하는다운로더를사용자몰래설치하고이를이용하여배포당배당금을지급하는애드웨어를설치하는사례도늘고있어사용자의각별한주의가필요하다. 허위안티-스파이웨어프로그램인로그씨씨 (Win-Adware/Rogue.CC) 의경우루트킷을설치하여구성요소를은폐하고실행중인사실을숨기는등프로그램동작측면에서도악성코드화되어가고있으며, 예상하지못한오류로시스템가용성을크게위협한다. 특히애드웨어네마리 (Win-Adware/Nemari) 등의몇몇스파이웨어의경우바이럿 (Win32/Virut) 바이러스에감염된채로배포되어뜻하지않게컴퓨터바이러스감염의매개체가되기도하였다. 또한애드웨어어도드 (Win-Adware/Adod) 의경우프로그램자체의버그로인하여 IE를실행시키자마자 IE가종료되는문제를유발하였다. Copyright AhnLab Inc,. All Rights Reserved. 39

40 (3) 2007 년상반기시큐리티동향 2007 년상반기주요시큐리티이슈는아래와같다. MS VML 취약점 VML 취약점은 1 월 9 일 MS 취약점패치가발표되었고얼마지나지않아 1 월 16 일, 17 일에각각공격코드가공개되었다. 해당취약점은마이크로소프트사가지원하는 VML(Vector Markup Language) 컴포넌트상에서발생하는 Integer Overflow 취약점이다 [ 그림 3-5] MS 취약점을웹사이트에악용한사례 Sun Solaris 텔넷인증우회취약점 지난 2월 12일 Sun 마이크로시스템사의새로운취약점발표소식을듣고많은사용자들은허탈함을금치못했을것이다. 그이유는해당취약점이별다른공격기술이나공격도구없이단지특정옵션을사용하는것만으로매우치명적인결과를초래할수있는단순한취약점이었기때문이다. 이취약점은 1990년대중반에발표된 rsh 취약점과매우유사하다 SECURE# telnet l -froot froot <telnet server ip> Trying <client < client_ip>... ip>... Connected to <client_ < client_ip>. ip>. Escape character is '^]: # Copyright AhnLab Inc,. All Rights Reserved. 40

41 MS07 S Animated Cursor Handling(ANI 파일 ) 취약점 2007 년 3 월 user32.dll 파일의취약점을이용한제로데이공격이출현하였다. 이취약점은 2005 년에발견된취약점 (MS05-002) 과동일한곳에서발견되어결과적으로과거 MS 사의 패치가잘못되었다는것을보여주었다. MS05-002는힙오버플로우인반면에, MS07-017은사용자가조작된 Animated Cursor 파일을특정어플리케이션에로드할경우취약점이존재하는곳에서버퍼오버플로우가발생하며그결과로공격자는임의의코드를사용자의시스템에서실행할수있다. 취약점이존재하는곳은 User32.dll의 LoadAniIcon 함수로이함수의역할은 Animated Cursor 파일의헤더를파싱하고해당데이터를처리하는것이며이함수는 Animated File 을로드할때실행된다. 정상 anih 헤더의크기 비정상 anih 헤더의크기 스택에저장할 return address [ 그림 3-6] 조작된 animated cursor 파일덤프 MS MS DNS SRV 취약점의악성코드화 MS 취약점은원격에서코드를실행할수있는취약점이존재하는것으로, 관리자권한으로로그인되어있는경우공격자는시스템을제어할수있는모든권한을얻을수있게된다. 이취약점은 DNS 서버서비스에바인딩되어있는 RPC 에조작된공격패킷을보내임의의코드를실행할수있다. RPC 의 UUID "50abc2a4-574d-40b3-9d66-ee4fd5fba076" 의 DnssrvQuery 값 (0x01 DnssrvQuery) 을설정하여악용하는것이다. 공개된개념증명코드 (Proof of Concept) 에서는포트바인딩쉘코드 (PortBind Shellcode) 를사용하여 MS DNS RPC서비스취약점을이용한시스템권한획득이가능함을보여주었다. 또한, Windows 2000 서버의 DNS 서비스를공격하는악성코드가발견되기도하여그위협의심각성을짐작케하였다. (V3진단명: Win32/IRCBot.worm I) Copyright AhnLab Inc,. All Rights Reserved. 41

42 마이크로소프트오피스취약점의꾸준한증가 오피스프로그램은대다수사용자가이용하는응용프로그램으로스프레드시트프로그램인엑셀 (Excel), 문서작성 / 편집프로그램인워드 (Word), 프리젠테이션관련프로그램인파워포인트 (PowerPoint), 데이터베이스관련프로그램인 (Access), 이메일프로그램인아웃룩 (OutLook) 등으로구성되어져있다. MS 오피스취약점은이러한오피스프로그램및오피스라이브러리에버그 (Bug) 가존재하는것을말한다. 사용자가악의적으로조작된오피스파일 (File) 을읽는과정에서, 사용자가관리자권한으로로그인되어있는경우취약점을악용한공격자는프로그램의설치, 보기, 변경, 데이터삭제등과같은권한을얻게되어시스템을완전히제어할수있게된다. 하지만, 취약점을이용한공격에성공하기위해서는사용자의개입이필요하다. MS 오피스프로그램이기업의많은컴퓨터에설치되어있기때문에, 위험의심각도가있다고볼수있다. MS Office는다수의애플리케이션으로부터생성된데이터를하나의파일에포함시킬수있는 Compound Document File Format 을갖는다. Compound Document file 은실제파일시스템과유사한데, 데이터를다수의 Stream( 파일개념 ) 으로분할하여 Storage( 디렉토리개념 ) 속에나누어저장한다. 다시 Stream은작은데이터블록단위인 Sector로구분되는데반드시연속되는 Sector들이하나의 Stream을이루는것은아니며 Stream의구성은 Sector들의연결 Chain(SID chain) 으로표현된다. Compound Document File Format 1 은일반적으로다음과같이메타데이터를저장하고있 는 Header 와고정된사이즈의 Sector 들로구성되어있다. 일반적으로 MS 오피스의취약점은특정오브젝트의특정필드에서 Overflow 버그가발생하 거나, 오피스공통라이브러리에서취약점이발견되는경우도존재한다 년상반기에발 표된 MS 오피스취약점은아래와같다. 1 Microsoft Compound Document File Format ( Copyright AhnLab Inc,. All Rights Reserved. 42

43 MS Microsoft Excel의취약점으로인한원격코드실행문제점 (927198) MS Microsoft Outlook의취약점으로인한원격코드실행문제점 (925938) MS Microsoft Word의취약점으로인한원격코드실행문제점 (929434) MS Microsoft Office의취약점으로인한원격코드실행문제점 (932554) MS Microsoft Excel의취약점으로인한원격코드실행문제점 (934233) MS Microsoft Word의취약점으로인한원격코드실행문제점 (934232) MS Microsoft Office의취약점으로인한원격코드실행문제점 (934873) MS Microsoft Visio의취약점으로인한원격코드실행문제점 (927051) MS 오피스취약점은 2006년상반기부터본격적으로나타나기시작하였다. MS 사의보안패치중에 2006년과 2007년 6월까지 MS 오피스공격에이용될수있는취약점은총 22 건이다. 이것은같은기간동안의전체보안패치중에약 19.4% 정도를차지하고있다. 취약점을이용한공격에는조작된파일을특정 / 불특정사용자에게메일또는웹으로전달하 여사용자가해당오피스파일 (File) 읽는경우임의의코드또는악성코드를실행할수있 게된다. 악성코드는 V3 진단명으로 PP97M/Exploit-PPDropper, X97M/Exploit.Excel, X97M/Exploit.ControlExcel, W97M/Exploit-OleData등이존재하고, 오피스문서내부코드에트루잔 (Trojan) 및다운로더 (Downloader) 등이포함되어져있기도하며, 최근에는특정오피스취약점을공격하는자동제작기가중국에서발견되기도하였다. 외국뿐만아니라국내에서도 MS 오피스취약점을이용한공격이발생하고있는데, 이러한공격은주로특정목적을가지고수행되는것으로보이며, 개인및기업등의민감한정보를노리는것으로파악된다. MS 오피스취약점은제로데이 (Zero-Day) 공격에도자주사용이되고있기때문에, 주의가필요하다. 오피스사용자가주의해야할점은아래와같다 1. 오피스프로그램의보안패치를주기적으로해야한다. 2. 오피스파일을메일또는웹으로받은경우에는신뢰되지않은사용자이거나신뢰되지않은웹 사이트인경우에주의가필요하다. 3. Anti-Virus 제품및개인방화벽을사용한다. 4. 네트워크관리자는네트워크보안제품의사용을고려한다. 5. 네트워크관리자는메일서버에서오피스파일이첨부된이메일 ( ) 을필터링 (Filtering) 하는 것을고려할수도있다. Copyright AhnLab Inc,. All Rights Reserved. 43

44 사회공학기법인전화사기 ( 보이스피싱 ) 극성 인간의행동은예측가능하지않기때문에사회의절차나제도, 사람의심리등을악용하여, 필요한정보를구하는기법이사회공학이다. 이러한사회공학기법을이용한보이스피싱 / 전화사기가극성을보이고있다. 보이스피싱 / 전화사기는 2006년부터꾸준하게일어나고있으나, 2007년에들어서는보다교묘한방법으로, 정부기관및기타단체, 개인등을사칭하여, 금품을노리고있다. 보이스피싱 / 전화시기를예방하기위해서는 2007 년상반기에금융감독원에서발표한 전화 금융사기피해를막을수있는 8 가지수칙 을참고하도록하자. - 전화로개인정보요구시응하지말것 - " 현금지급기로세금환급 " 도사기 - 속아서계좌이체했다면은행에지급정지신청 - 개인정보알려줬다면은행에신고 - " 나, 동창생인데.." 입금요구시사실관계확인 - 발신자전화번호확인해야 - ARS 사기전화주의 - SMS 서비스적극이용 Copyright AhnLab Inc,. All Rights Reserved. 44

45 (4) 2007 년상반기일본악성코드동향 2007 년상반기일본의악성코드동향과관련하여특이할만한사항은새롭게발견된이메일 웜들이많은감염피해를발생시킨것과실행파일을변조하고악성코드를다운로드하여설 치하는악성코드인바이럿바이러스의감염이증가한점을들수있다. 최근의악성코드와관련한주요변화로는금전적인이익을취하기위한트로이목마가전체악성코드에서차지하는비율이높아지고몇년전부터기승을부리던이메일웜의감염피해가낮아지고있는점이다. 그러나일본의경우 2007년상반기에도이메일웜에의한피해가여전히높게나타나고있고타지역에서감염피해가높지않은악성코드에의한피해또한높게보고되고있다. 또한실행파일을감염시키는바이러스인바이럿의급격한피해증가또한눈에띤다. 바이럿의경우감염후다른악성코드를다운로드하여설치함으로써추가감염의위험성이매우높은상태이고제작목적이사용자정보를취득하기위한것이므로 PC 사용자의주의가필요하다. 악성코드피해동향 2007년상반기에일본에서가장많은감염피해가발생한악성코드는넷스카이웜 (Win32/Netsky.worm) 이다. 넷스카이웜이외에도베이글웜 (Win32/Bagle.worm) 과마이탑웜 (Win32/Mytob.worm) 등의메스메일러의피해가여전히많이발생하고있으며이러한상황은전년과비교해서크게달라지지않았다. [ 그림 3-7] 2007 년상반기악성코드탐지통계 ( 일본 ) 1 1 자료출처 : 일본 IPA Copyright AhnLab Inc,. All Rights Reserved. 45

46 [ 그림 3-7] 은일본의 IPA에서발표한월별악성코드검출개수에대한통계를그래프로나타낸것이다. 넷스카이웜의탐지개수가다른악성코드들에비해서월등하게많은것을볼수있다. 이러한현상은전년에비해서크게다르지않으나전체적인검출양은올해에들어와서점진적으로감소하고있는것을볼수있다. 넷스카이웜뿐아니라다른악성코드들의경우에도미세하지만점차탐지양이감소하는것을볼수있다. 위의통계에서특이한점은 2007년 5월에전체검출양이전월에비해갑자기증가한것인데이는해당월에소버웜 (Win32/Sober.worm) 의탐지수가갑자기늘어난것이원인이다. [ 그림 3-8] 2007 년상반기악성코드감염신고통계 1 [ 그림 3-8] 은 2007년상반기일본에서사용자들에게서감염피해가발생한신고통계를그래프화한것이다. 위의그래프에서핍스웜 (Win32/Feebs.worm) 와살리티웜 (Win32/Sality.worm) 의감염피해가매우많은것에주목할필요가있다. 두악성코드들의경우다른지역에서는그다지많은피해보고가되고있지않으나일본에서는상대적으로많은양의피해가발생하고있다. 1 자료출처 : 일본 IPA Copyright AhnLab Inc,. All Rights Reserved. 46

47 [ 그림 3-9] 월별악성코드피해통계 1 [ 그림 3-9] 는일본에서많은감염피해가발생하고있는주요악성코드들의월별피해통계를그래프로나타낸것이다. 살리티웜의경우 2007년 1월에갑자기피해양이증가한후현재까지도많은피해를입히고있는것을확인할수있고, 핍스웜또한비슷한시기에감염피해가증가한것을알수있다. 전반적으로다른이메일웜들의감염피해가감소하고있는현추세에서이러한현상은지속적인관심을가질필요가있을것으로보인다. 트로이목마유포를목적으로하는바이러스감염증가 바이럿 (Win32/Virut) 바이러스는윈도우실행파일을감염시키고감염된파일이실행될때특정 URL에서악성코드샘플을다운로드하여설치하는악성코드로써 2006년 5월경최초로발견된이후현재까지도많은사용자들에게피해를입히고있다. 바이럿바이러스가다운로드하는파일의대부분은악성의동작을하는파일을다운로드하여설치하는다운로더나드로퍼이고이러한악성코드들이궁극적으로설치하고자하는것은온라인게임의계정정보를탈취하기위한트로이목마이다. 한국의경우처음바이럿바이러스가유포되었을때많은사용자들의피해가발생했으나일본에서는작년까지바이럿바이러스로인한피해가보고된사례가많지않았던것으로보인다. IPA의자료에의하면일본에서최초로바이럿이발견된시기는 2006년 7월로추측되고이는 2006년 5월에최초악성코드가발견된후급속하게감염피해가발생했던한국의상 1 자료출처 : 일본 IPA Copyright AhnLab Inc,. All Rights Reserved. 47

48 황과비교된다. 그러나올해에들어오면서바이럿으로인한감염피해가급격하게증가하고 있다. [ 그림 3-11] 바이럿바이러스감염피해현황 - 일본 [ 그림 3-11] 은월별로발생한바이럿바이러스감염피해신고현황을그래프로나타낸것 이다 년 8 월최초로발견된이후올해 3 월까지점진적인증가추세를보이던감염피 해건수가 4 월이후급격하게늘어난것을알수있다. 바이럿의경우감염으로인해시스템에미치는직접적인피해도문제가되고있지만그보다는사용자정보를빼가기위한악성코드를설치하는용도로사용되는점이사용자에게는더위협이다. 게다가파일바이러스의특성상사용자가감염초기에감염사실을쉽게인지하지못하는경우가대부분이므로백신프로그램을이용하여주기적인검사를실시해주는것이감염으로인한피해예방을위해중요하다. Copyright AhnLab Inc,. All Rights Reserved. 48

49 (5) 2007 년상반기중국악성코드동향 중국산트로이목마의강세가전반적인대세를이루고있는한국의상황과유사하게중국악성코드동향도 2007년상반기에트로이목마가큰축을이루고있다. 이러한트로이목마의대세는근본적으로온라인머니에서현실의리얼머니까지금전적인탈취가가장큰목적을이루고있다. 이러한목적으로인해악성코드제작자는예전과달리아마추어가아니라전문적인프로그래밍실력을가지고있는집단으로변화하고있는것으로보인다. 그리고이러한악성코드제작자들은안티바이러스소프트웨어에대해다양한테스트를통해서탐지회피와함께직접적인공격을가할수있는새로운방법들을지속적으로개발하고있는실정이다. 이러한사항들을바탕으로중국의악성코드동향을중국보안업체인라이징 (Rising) 과지앙민 (JiangMin) 의자료를통해서살펴보도록하자. 악성코드 TOP 10 순위변화 순위 Rising New 1 Trojan.PSW.OnlineGames New 2 Trojan.Mnless New 3 Trojan.DL.MnLess 3 4 Trojan.DL.Agent New 5 Hack.SuspiciousAni - 6 Worm.Viking New 7 RootKit.Agent New 8 Trojan.DL.JS.Agent New 9 Trojan.PSW.QQPass New 10 Trojan.PSW.RocOnline [ 표 3-2] 2007년 2/4 분기중국라이징 (Rising) 악성코드 TOP 순위변동없음, New 순위에새로진입, - 순위상승, - 순위하락 먼저라이징의악성코드 TOP 10인 [ 표 3-2] 부터살펴보면, 2분기에도지난 1분기와마찬가지로트로이목마가대세인것을확인할수있다. 그리고트로이목마의대세속에서도가장큰변화는온라인게임의사용자정보를외부로유출하는형태의트로이목마가대거순위에진입한것이다. 이러한변화는대부분의공격대상이되는온라인게임들이한국에서개발된것들이었으나, 이제는대만또는중국내에서제작된온라인게임들로공격대상이변화되고있기때문이다. 이는중국어권내의온라인게임이다양하게출시되어공격의타켓이다양화된측면도있지만, 한국내의온라인게임개발업체들이중국산악성코드의공격으로부터고 Copyright AhnLab Inc,. All Rights Reserved. 49

50 객을보호하기위해다양한보안제품과정책들을적용한것도한몫하고있는것으로분석 된다. 지난 1 분기에도순위에포함되었던악성코드로는유일하게바이킹 (Win32/Viking) 변형이차 지하고있다. 한국에서는바이킹바이러스보다는델보이 (Win32/Dellboy) 바이러스변형이 많이발견된것과는차이를보이고있다. 2007년상반기의중국내악성코드의큰축을이루고있는다양한형태의트로이목마들이어떻게전파되는지를잘보여주는취약점이순위에포함되어있는데, 바로 MS ANI 취약점을이용하는 Hack.SuspiciousAni(Win-Trojan/Exploit-ANI) 이다. 해당취약점이 5위에포함되었다는것은이취약점이다양한트로이목마의감염수단으로이용하고있다는것을명확히확인시켜주는것이라고할수있다. 순위변화 순위 JiangMin New 1 Checker/Autorun New 2 Exploit.ANIfile.b New 3 Trojan/PSW.GamePass.hwd New 4 TrojanDownloader.Adload.lp New 5 Trojan/PSW.GamePass.ify New 6 Trojan/PSW.GamePass.kwr New 7 Trojan/PSW.GamePass.gdt New 8 Backdoor/Agent.mkp New 9 Worm/Viking.ahj New 10 Trojan/PSW.GamePass.lpb [ 표 3-3] 2007년 2/4 분기중국지앙민 (JiangMin) 악성코드 TOP 순위변동없음, New 순위에새로진입, - 순위상승, - 순위하락 [ 표 3-3] 은지앙민의악성코드 TOP 10 순위를나타낸것으로, 라이징과유사하게온라인게임관련트로이목마가순위에대거포함된점과바이킹바이러스역시순위에포함되어있다. 그러나, 특이할만한점은 1위를차지하고있는 Checker/Autorun으로최근중국산악성코드에서는새로운감염기법으로 Autorun.inf 파일을사용하고있다. Autorun.inf을이용하여 USB와같은외장형저장장치를통해서다른시스템으로감염을시도하고있는데, 이 Autorun.inf 파일을지앙민에서는 Checker/Autorun 라는진단명으로진단하고있다. 이진단명이 1위를차지하고있다는점을통해서중국내에서는이미 Autorun.inf 파일을이용한악성코드가상당수를차지하고있다는것을알수있다. Copyright AhnLab Inc,. All Rights Reserved. 50

51 [ 그림 3-12] 는지앙민에서 2 사분기동안발견된악성코드형태별로분류한분포도이다. 해 당분포도를참고하면한국과유사하게트로이목마와백도어가 81.14% 와 5.72% 을차지하 며전체의절대다수를차지하고있다는것을잘알수있다. 07 년상반기 JiangMin 악성코드형태별분포 3.03% 4.63% 0.25% 0.10% 트로이목마 5.13% 백도어웜 5.72% 기타취약점공격 스크립트 매크로 81.14% [ 그림 3-12] 2007 년상반기중국지앙민 (JiangMin) 악성코드형태별분포 악성코드 TOP 10 분포 2007 년상반기 Rising 악성코드 TOP % 16.29% 6.31% 5.09% Trojan.PSW.OnlineGames Trojan.Mnless Trojan.DL.MnLess Trojan.DL.Agent Hack.SuspiciousAni Worm.Viking RootKit.Agent Trojan.DL.JS.Agent Trojan.PSW.QQPass Trojan.PSW.RocOnline 기타 5.02% 1.19% 1.27% 1.37% 3.15% 3.38% 4.86% [ 그림 3-13] 2007 년상반기중국라이징 (Rising) 악성코드 TOP 10 과분포 [ 그림 3-13] 은라이징의악성코드 TOP 10 에따른전체악성코드분포도이다. 악성코드 TOP 10 의순위에포함된악성코드는전체의과반수를겨우넘길정도인것으로미루어다 양한형태의악성코드가중국현지에서발견되고있는것으로분석된다. Copyright AhnLab Inc,. All Rights Reserved. 51

52 2.89% 2007 년상반기 JiangMin 악성코드 TOP % 1.58% 1.57% 0.87% 0.84% Checker/Autorun 0.83% Exploit.ANIfile.b 0.82% 0.70% 0.68% Trojan/PSW.GamePass.hwd TrojanDownloader.Adload.lp Trojan/PSW.GamePass.ify Trojan/PSW.GamePass.kwr Trojan/PSW.GamePass.gdt Backdoor/Agent.mkp Worm/Viking.ahj Trojan/PSW.GamePass.lpb 기타 87.08% [ 그림 3-14] 2007 년상반기중국지앙민 (JiangMin) 악성코드 TOP 10 과분포 지앙민의악성코드 TOP 10 의분포를나타낸 [ 그림 3-14] 역시라이징과유사하게 TOP 10 의악성코드가전체의과반수를차지하지못하고있으며기타에포함된다양한악성코드가 87.08% 로절대다수를차지하고있는것을잘알수있다. 라이징과지앙민의악성코드피해분포도를분석한결과피해순위를집계하는것이무의미할정도로악의적인목적에따라서제작되는악성코드가점점다양해지고있는것으로보여지고이러한변화는악성코드에의해발생할수있는보안사고도점점다양해질수있다는것을염두에두어야할것이다. 그리고이에따른대비책도복합적인공격형태에초점을맞춘보안정책과대응책이마련되어야할것으로보여진다. 자동화된악성코드생성 과거부터악성코드제작자들은악성코드의변형을조금더쉬운방식으로제작하기위해다양한악성코드제작툴 (Constructor) 들을제작하였으며, 이를이용하여안티바이러스소프트웨어에탐지되지않는변형들을단시간내에많이양산하고있다. 최근에는실행압축을이용하여악성코드에대한변종생성이더욱간편해지면서이러한제작툴들이점차줄어드는듯한추세를보였다. 그러나 2007년들어중국언더그라운드에서는단순히변형된트로이목마생성보다는취약점을공격하는익스플로잇 (Exploit) 이포함된스크립트를생성해주는제작툴들이자주발견되고있다. Copyright AhnLab Inc,. All Rights Reserved. 52

53 [ 그림 3-15] MS 취약점을공격트로이목마생성도구 앞서라이징과지앙민의악성코드 TOP 10을살펴보면서악성코드확산에악용되고있는 MS ANI 취약점에대해서언급하였는데악성코드제작자들은이러한보안취약점을공격하는스크립트를쉽게제작하기위해 [ 그림 3-15] 와같이 MS 취약점을공격하는스크립트제작툴들을제작하여공유하고있다. 취약점을공격하는스크립트생성툴들은 [ 그림 3-15] 와같이트로이목마를다운로드할주소만변경해주고생성버튼만클릭해주면새로운스크립트를생성할수가있게된다. 그리고경우에따라서는안티바이러스분석가들의분석을지연시키기위해인코딩 (Encoding) 또는암호화를적절하게가미시킬수도있다. [ 그림 3-16] 다양한취약점을공격하는트로이목마생성도구 [ 그림 3-15] 와같이특정취약점만포함된스크립트를생성할수있는제작툴이있는반면 [ 그림 3-16] 와같이 MS ANI 취약점을비롯하여 MS 와 MS 취약점 모두를공격할수있는스크립트도생성할수있는제작툴도발견되었다. 과거특정취약점이발견될경우에는일부언더그라운드그룹에서만해당취약점을공격하 는익스플로잇코드를제작하고사용해왔으나, 최근에는이러한제작툴을인터넷을통하여 쉽게공유함으로써익스플로잇코드는순식간에많은사람들에의해악용될수있다. 이러한 점들을생각한다면운영체제에대한보안패치적용이얼마나중요한지새삼강조하지않을 수없다. Copyright AhnLab Inc,. All Rights Reserved. 53

54 (6) 2007 년상반기세계악성코드동향 2007년에도악성코드의지역화, 단기공격화가지속되고있으며바이러스나웜보다트로이목마가많이발견되고있다. 이에여러보안업체에서는현실과다소거리가먼악성코드피해집계방식을변경하고있다. 그동안집계방식은고객신고와메일에첨부된악성코드수에대한집계방식이었는데이는일반사용자들의체감과달랐다. 소포스의 2007년 2/4분기웹사이트기반의악성코드피해통계는 Mal/Iframe이 64.0% 로 1위를차지했다. 우리나라의경우 2005년부터웹사이트해킹후취약점을이용한코드를심어두고패치가안된시스템이접속하면악성코드가자동으로설치되는형태의공격이유행하고있다. 유럽등에서는이러한형태의공격이최근에본격적으로문제가부각되고있는것으로보인다. 특히 2007년 6월초이탈리아에서수천개의웹사이트에악성코드를다운로드를코드가숨겨진사건이발생했으며여기에는 $500~ $1,000 정도로판매되는 MPack 이라는툴이사용되었다. 몇년전만해도악성코드주발생지역은미국, 러시아, 유럽이었지만최근몇년동안중국이악성코드대국으로급격히부상하고있다. 중국에서만한달에대략 2만개정도의신종악성코드가제작되는것으로추정되고있으며, 이들중상당수는악성코드로돈을벌려는사람들이적극가담하고있는것으로보인다. 1990년대초반까지주요바이러스제작국은구소련과동유럽이었는데, 당시에는프로그래밍기술은높지만, 높은실업률로취업이힘들어바이러스를제작 / 유포하는경우가있었다. 그러나, 현재중국와러시아의상황은금전적인이득을위하여악성코드와스팸을제작하고배포하고있다. 이런악성코드제작자들의공격에는국가적자존심도반영되는경우도있다. 5월에는러시아쪽에서에스토니아 (Estonia) 서버에대한공격이있었다. 이는구소련에서독립한에스토니아가과거구소련의잔재를없애기위해구소련시절조각들을해체하면서촉발했다. 에스토니아사이트에대한대규모해킹이발생했고에스토니아사이트를전문적으로공격하는 DDoS 툴이배포되었다. 이에에스토니아사람들은러시아사이트를해킹해자신들의정치적메시지를담기도했다. 흡사과거발생한미국-중국간, 중국-일본간사이버분쟁과흡사한일이었다. 실제테러에비교할수는없겠지만종종악성코드제작자나해커들은정치적사건에도자신들의기술을이용하기도한다. Copyright AhnLab Inc,. All Rights Reserved. 54

55 IV. ASEC 컬럼 (1) ARP spoofing 의습격 최근 ARP Spoofing을이용한공격기능이탑재된악성코드가발견되고있다. 공격자는이 ARP Spoofing 공격기능을이용하여기업내부네트워크를마비시키거나, HTTP 사용자인증정보, VoIP 음성데이터등의중요정보를가로챌수있으며, 최근에는웹서버와클라이언트간의웹트래픽정보를변조하여악성코드를감염시키는데활용되기도하였다. 이미오래전부터 ARP Spoofing 공격에대해서는많은연구들이진행되어왔지만정상적인 ARP 응답 / 요청메시지와크게구별되지못하는등의문제로인해아직까지이러할만한대응체계가마련되지못하고있는실정이다. 본칼럼을통해 ARP Spoofing 과이를이용한공격등을살펴봄으로써, 기업내보안위협으 로다시금부가되고있는 ARP Spoofing 을방어하는최선의전략에대해공유하도록한다. 1. ARP Spoofing과 MITM 공격의이해 먼저, ARP(Address Resolution Protocol) 이살펴보고, ARP 의취약점이무엇이고, 이를이용 한 ARP Spoofing 과 MITM (Man-In-The-Middle) 공격이무엇인지에대해알아보기로한다. (1) ARP(Address Resolution Protocol) 동일한 LAN 환경에서, 특정시스템과통신하기위해서는해당시스템의논리적인 IP 주소와매칭되는물리적인 MAC주소를알아내야한다. 이때사용되는프로토콜이 ARP/RARP이다. ARP는 IP-to-MAC주소를얻기위한프로토콜이고, RARP는그와는반대로 MAC-to-IP주소를얻기위한프로토콜이다. 시스템 A가동일 LAN 상의시스템 B와통신하기위해서는다음과같은절차를거치게된다. [ 그림 4-1] 동일 LAN 상에서 ARP 통신 Copyright AhnLab Inc,. All Rights Reserved. 55

56 1 시스템 A는통신하고자시스템 B의실제 MAC주소를얻어내기위해시스템 B의 IP 주소를포함한 ARP 요청메시지를동일 LAN상에 Broadcast한다. 2 시스템 A의 ARP 요청메시지는동일 LAN상의모든시스템 ( 시스템 B 포함 ) 에게전달되고, ARP 요청메시지에포함된 IP주소를보고자신의 IP주소와일치하는경우요청자에게 ARP 응답메시지를보낸다. 자신의 IP주소가아닐경우 ARP 요청메시지를무시하게된다. 시스템 A의요청메시지에는시스템 B가응답시에사용할수있도록자신의 IP/MAC pair 정보가담겨있다. 3 시스템 B의응답메시지를수신한시스템 A는자신의 ARP Cache 테이블에시스템 B 의 IP/MAC pair 정보를일정시간동안저장한후재사용하게된다. ARP Cache Expired Time 이지나면, 해당엔트리는자동적으로삭제된다 (ARP Cache 만료시간은 OS마다캐쉬정보사용여부에따라다를수있다 ) (2) ARP Spoofing 공격 ARP 프로토콜의취약점은 ARP 요청 / 응답메시지에대한확실한인증메커니즘이없다는데발생하게된다. 공격자 (attacker) 는실제존재하지않는 MAC주소나자신의 MAC주소를이용하여 ARP 응답메시지를조작하여공격대상인피해시스템 (victim) 에게전송하게된다. APR 응답메시지를수신한시스템은 ARP 응답메시지만으로실제시스템에서온것인지공격자가조작하여보낸것인지판단할수가없다. 따라서, 자신에게도착한모든 ARP 응답메시지대해어떠한확인과정을거치지못한체무조건받아들이게되어 ARP Cache Poison 현상이발생하게된다. ARP Spoofing 공격절차는다음과같다. [ 그림 4-2] ARP spoofing 과정. 1 공격자 C 는시스템 A 에게유입되는모든데이터정보를알고싶어한다. 2 공격자 C 는시스템 A 에대한 ARP 응답요청이있는경우요청자에게시스템 A 를대 신하여시스템 A 의주소와공격자 C 의 MAC 주소를이용하여동일 LAN 상의모든시 Copyright AhnLab Inc,. All Rights Reserved. 56

57 스템에게 ARP Reply 응답한다. ( 공격자는시스템 A가원활하게 ARP 응답을하지못하도록 DoS 공격을수행하기도한다 ) 3 동일 LAN상의모든다른시스템의 ARP Cache 테이블에는시스템 A에대해공격자 C의 MAC주소가매핑되어향후시스템 A로유입되는모든데이터정보는공격자 C에게전달된다. 4 공격자 C는주기적으로자신의조작된 ARP 응답메시지를보내어시스템들의변조된 ARP Cache 테이블이계속적으로유지될수있도록한다. Gratuitous ARP ARP에는 Gratuitous ARP라는기능이있다. ARP 요청메시지없이도 ARP 응답메시지형태를보낼수있고, 일반적인 ARP 응답메시지와는다르게 ARP 응답메시지를 Broadcast하게된다. 이 Gratuitous ARP 메시지를수신한동일 LAN 상의모든다른시스템은자신의 ARP 테이블에해당 IP/MAC pair 정보를저장하게된다. 이러한기능은본래자신의 IP/MAC정보를동일 LAN 상의시스템에알리기위한용도로도사용되고있으나, 동일 LAN 상의모든시스템에거짓된 APR Cache Poison을위해서활용되기도한다. [ 그림 4-3] Gratuituos ARP 공격과정 이러한 ARP Spoofing 공격패킷의특징은주기적으로반복된다는데에있다. Ethereal 등을 이용한네트워크패킷모니터링시, ARP 요청없이반복되는 ARP 응답메시지에대해서는 한번쯤은의심할필요가있다. (3) Man-In-The-Middle 공격 ARP Spoofing 기법은일반적으로 MITM(Man-In-The-Middle) 공격을수반하여동일 LAN 상에서공격대상시스템에오고가는통신내용을스니핑하기위한목적으로악용되는것이 가장일반적이다. MITM 공격을이용해서스니핑뿐만아니라데이터변조과정이충분히가 Copyright AhnLab Inc,. All Rights Reserved. 57

58 능하고, 암호화통신사이에서위치하여평문화된내용의정보를가로챌수도있다. [ 그림 4-4] 공격자 C 가 MITM 공격을수행하는과정 ARP Spoofing을이용한 MITM 공격절차는다음과같다. 1 공격자 C는시스템 A와시스템 B의 IP/MAC pair를확보한다. 공격자는시스템 A와 B사이에서정상적인통신을수행하게된다. 2 ARP Spoofing을이용한 MITM 공격을수행한다. ( 시스템A 공격자C 시스템B) - 시스템 A에게는시스템 B의 IP주소와공격자자신의 MAC주소로위조하여전달 - 시스템 B에게는시스템 A의 IP주소와공격자자신의 MAC주소로위조하여전달 3 시스템 A, B의 ARP Cache 테이블에는시스템 A, B의 IP주소와함께공격자의 MAC 정보가저장된다. 4 공격자 C는 2의과정을일정시간마다반복적으로수행하여시스템 A, B의변조된 ARP 정보를유지한다. 5 공격자 C는시스템 A와 B의사이에위치하여해당시스템간의모든네트워크트래픽을스니핑및변조를통해 2차공격을감행한다. - VoIP 도청 : 데이터스니핑후음성트래픽재생 - 파밍 (Pharming) 공격 : DNS 요청 / 응답변조 - 개인정보탈취 : 데이터스니핑후로그분석 - 악성코드유포 : http redirection 혹은 iframe injection 수행 최근에는이러한 MITM 공격기법이악의적인목적이아닌 NAC(Network Access Control) 솔루션구현이나호텔룸에서의인터넷환경제공시사용되기도한다. 2. ARP Spoofing을이용한공격사례 본장에서는앞서설명한 ARP Spoofing 과 MITM 공격이실제필드에서어떻게활용되고 Copyright AhnLab Inc,. All Rights Reserved. 58

59 있는지사례를통해살펴보도록한다. (1) ARP Spoofing을이용한 VoIP 도청가능성 VoIP 서비스가아직국내시장에서는크게활성화되고있지는못하지만, 내년번호이동제도의도입등으로인해활성화가기대되고있다. 기존 PSTN에서는공격자가전화내용을도청하기위해서는교환기등에물리적으로접근하여야하는제약사항이있어쉽지않았던것이사실이다. 하지만 IP기반의 VoIP 인터넷전화시대에는이미존재하는 IP 환경에서의데이터스니핑도구를통해전화내용에보다쉽게접근할수있기때문에과거에비해그위험성이높다고할수있다. VoIP 데이터를가로채기위한방법으로는동일네트워크서브넷상에서 VoIP 데이터를스니핑하는방법과 VoIP 소프트폰이동작하고있는시스템을해킹하여데이터를가로채는방법등이가능하다. 본문서에서는 ARP Spoofing을이용한 VoIP 데이터스니핑공격에대해서언급하고자한다. VoIP 도청을위해서반드시 VoIP 전용공격도구가필요한것이아니고, Ethereal 등의 IP 기반의데이터스니핑도구들을이용해서도충분히가능하다. ( 하지만 VoIP 도청을위해서는스니핑하고자하는대상의동일네트워크서브넷에침투하는것이필요하지만, 서브넷침투가그리쉬운일은아니다 ) Ethereal을이용한 VoIP 도청 Ethereal 은 Network Protocol Analyzer 로서 Packet Sniffing/Analyzer 기능을가진공개 소프트웨어다. 이 Ethereal 를이용하여 RTP Packet 을 Sniffing 하고 Packet 을분석할수있 다. 또한분석한정보의 Payload 를저장하여실제통화내용을도청할수있다. [ 그림 4-5] RTP Packet 을 Sniffing 한결과 Copyright AhnLab Inc,. All Rights Reserved. 59

60 [ 그림 4-6] RTP Packet 을분석하여 VoIP 미디어내용을저장하는과정 [ 그림 4-6] 에서와같이저장된미디어데이터는미디어플레이어로재생하여들을수있다. Cain & Abel을이용한 VoIP 도청 Ethereal와달리, Cain & Abel은 ARP Poison Attack 을통하여 Mac 주소를 Spoofing 하여, 스위치환경의네트워크망에서도네트워크패킷스니핑을가능하게해주어 MITM(Man-In- The-Middle) 공격을통해다양한정보수집에악용될수있다. Cain & Albel 도구에는손쉽게 VoIP 음성대화를레코딩해주는기능이있다. VoIP 서비스를이용한중요한음성대화시, 사용자의사적내용이나주요기업정보들이노출될가능성도존재한다. Cain & Albel 의주요기능은아래와같다. - 아웃룩, IE, MSN, Dialup, Cisco VPN Client/VNC Client 패스워드디코더 - LSA Secrets 덤프 Copyright AhnLab Inc,. All Rights Reserved. 60

61 - APR(ARP Poison Routing) - SID Scanner - Network 정보수집 - 스니퍼 패스워드, hash 값캡쳐, VoIP SIP/RTP 프로토콜음성대화캡쳐 - 라우팅프로토콜모니터 - Mac Address 스캐너 - 무선 (Wiresless) 스캐너, WEP 크래커 - 패스워드크래커 사전대입방식 - TCP/UDP 테이블뷰어 우리가주목해야할 ARP Spoofing 과스니핑기능 (SIP/RTP 프로토콜음성대화캡쳐 ) 을살펴 보도록하자. [ 그림 4-7] Cain & Abel 을통해두시스템사이에서 MITM 공격 [ 그림 4-8] Cain & Abel 은 VoIP 데이터를레코딩 이러한 VoIP 데이터등의중요정보가유출되는것을방지하기위해서는 VoIP 상에서암호 화통신을이용하는방법등이필요하다. (2) ARP Spoofing의악성코드화 ( 공격도구 zxarps) 2007 년상반기에보고된공격도구 zxarps 에는다양한기능이포함되어있다. 최근발생되고 있는주요보안공격등을한자리에모아놓았다고할수있을만큼, 원하는공격도구를제 Copyright AhnLab Inc,. All Rights Reserved. 61

62 대로모은종합세트에비유할만하다. 공격도구 zxarps 에포함된주요공격기능을살펴보 자. ( 공격도구 zxarps 는 Win-Trojan/Snif 로진단됨 ) 파밍 (Pharming) 공격 : DNS 응답변조 공격자는 DNS 요청에대한응답결과를쉽게조작하여피해자를자신이만들어둔위조된 금융사이트로유도할수있다. 자신도모르게입력된피해자의금융정보는고스란히공격자 의손에쥐게된다. DNS 응답변조 [ 그림 4-9] 는공격도구 zxarps를이용한웹사이트도메인 DNS 응답결과를변조하는과정을보여준다. 공격자 (103번 PC, 00-0c d-62) 가피해시스템 (87번 PC) 에서 웹사이트도메인에대해 DNS쿼리요청 / 응답을수행한결과이다. 공격도구 zxarps를통해공격자가원하는대로 DNS 응답정보인 IP주소가 변경되었음을확인할수있다. 또한, 이과정에서 ARP Spoofing을이용하여피해시스템의게이트웨이의 MAC주소가공격자시스템의 MAC주소로변경되었음을확인할수있다. 피해시스템의모든네트워크패킷은공격자시스템을경유하여전달되는 MITM(Man-In-The-Middle) 상태가된다. [ 그림 4-9] 공격도구 zxarps 를이용한 DNS 응답결과변조과정 Copyright AhnLab Inc,. All Rights Reserved. 62

63 [ 그림 4-10] MITM 공격의결과 MITM 공격으로인해 DNS 서버 ( ) 피해시스템 (87 번 ) 으로의 DNS 응답패킷 이공격시스템 (103 번, MAC: 00-0c d-62) 을경유하는것을알수있다. 개인정보가로채기 스니핑하고있는피해시스템의네트워크트래픽내부의페이로드에대해가로채고자하는특정문자열을이용하여스트링매칭되는트래픽내용만을추출한후그결과를로그파일로저장하는기능이있다. 따라서, 암호화되지않은 TELNET, FTP, Web 서비스의사용자로그인계정정보등을쉽게가로챌수있다. 아래 [ 그림 4-11] 에서와같이암호화하지않은 HTTP 프로토콜과취약한인증메카니즘으로인해사용자정보가그대로노출되었다. [ 그림 4-11] 공격도구 zxargs 를이용하여로그인사용자정보를가로채는과정. 따라서, 인터넷서비스제공자는반드시암호화프로토콜 (SSH, HTTPS 등 ) 을지원하고, 강력 한인증메커니즘을적용하여단순한스니핑공격을통해서는고객의중요정보가노출되지 않도록노력해야한다. 악성코드유포를위한웹트래픽변조 : Iframe Injection 지금까지의중국발웹해킹은자동화된공격도구를이용하여 SQL Injection 기법등을통해 Copyright AhnLab Inc,. All Rights Reserved. 63

64 인지도가높지만 ( 방문자수가많은 ) 보안에취약한웹서버를공격하여악성코드가유포되는사이트로유도하는 IFrame 코드를삽입하는공격방식이주류를이루어왔다. 따라서, 웹서비스제공자는이러한웹서버공격을효과적으로차단할목적으로웹방화벽등을도입하기도한다 년상반기, 웹플랫폼을이용한악성코드유포방식에새로운변화가감지되었다. 다양 한보안장비로무장하고있는웹서버자체를공격하기가어려워짐에따라, 웹서버와웹클 라이언트사이에발생되는웹트래픽을대상으로한새로운공격이시도되었다. 공격자는피해시스템의 GET 요청에대한응답메시지에더하여악성코드를유포지로유도하는 IFRAME 코드를삽입하여웹클라이언트에게전달한다. 웹클라이언트는 IFRAME 코드에의해악성코드유포지로유도되고, 해당사이트에존재하는웹클라이언트취약점공격코드 (ANI 취약점, MS06-14 RDS 취약점등 ) 에의해감염되어 2차적인공격증상으로이어지게된다. [ 그림 4-12] 는공격자 C 가동일 LAN 상의피해시스템 A(87-IP PC) 와게이트웨이 (254- IP G/W) 에위치하여피해시스템의 GET 요청패킷의응답메시지에악성코드유포지로유도 하는 IFRAME 코드를삽입하여피해시스템 A 에전달하는과정을보여준다. [ 그림 4-12] 트래픽에 Iframe 삽입 이는악성코드유포와악성코드감염에활용되는공격패턴이빠르게진화하고있음을실감하게해주는좋은사례라고할수있다. 악성코드감염에사용되는주요웹클라이언트취약점은제로데이공격 (0-day) 보다는아주오래전에패치파일이제공되는것이많으므로, 본인이관리하는시스템을항상최신의보안패치로유지하는것이가장중요하고, 데스크톱보안솔루션을항상최신의것으로업데이트하여야한다. Copyright AhnLab Inc,. All Rights Reserved. 64

65 (3) ARP Spoofing 공격대응기술 아직까지완벽한 ARP Spoofing 대응기술은존재하지않는것으로알려져있다. 아래에소 개된여러가지기술을혼합하여 ARP Spoofing 공격의피해로부터벗어날수있도록적용 하여야한다. Static ARP 정보관리 변경주기가잦지않은주요네트워크 ( 게이트웨이 ) 및시스템 ( 서버 ) 등에대한 IP/MAC주소 pair 정보에대해서는 ARP 정보를 Static 하게관리하여 ARP Spoofing에의한 ARP Cache 테이블의주요정보의변조를미연에방지한다. ARP Spoofing을이용한 ARP Cache 테이블변경에가장효과적인대응방법이면서, 네트워크구조변경이잦은기업에게는일반적인 Dynamic 모드에비해유연하지못하므로적용시주의가필요하다. 각각의시스템이부팅할때마다, 미리정의된 static ARP table을구성하도록한다. 동일한 LAN상의중요시스템 ( 스위치, 게이트웨이등 ) 에대한 static ARP을목록화하여관리한다. 시스템의수가적고변화가크지않은소규모기업에적당한대응기술로서시스템의정상적인 IP/MAC주소 pair 정보의추가 / 변경 / 삭제에대한 static ARP table 세심한관리가요구된다. 다음과같이시스템의 arp 명령어의 -s 옵션을사용하여, static ARP 정보를등록할수있 다. C:\>arp -a Internet Address Physical Address Type xxx.xxx.xxx xx-6d-xx-17-xx dynamic C:\>arp -s xxx.xxx.xxx xx-6d-xx-17-xx C:\>arp -a Internet Address Physical Address Type xxx.xxx.xxx xx-6d-xx-17-xx static Switch Port Security 스위치에서 Port Security 기능이제공될경우, Mac Flooding 이나 MAC Spoofing 등의공격 을최소화할수있다. 스위치포트마다최대허용가능한 MAC 주소설정할수있다. 스위치 포트에하나이상의 MAC 정보가매핑되는경우해당포트의기능을차단할수도있게된다. Copyright AhnLab Inc,. All Rights Reserved. 65

66 또한, 특정스위치포트마다접속을허용하거나차단할 static MAC 주소를미리설정해둔다. 이러한기능을통해공격자가피해시스템 (victim) 의 IP 주소를이용하여자신의 MAC 주소가 스위치의 CAM(Content Addressable Memory) table 에등록되는것을방지할수있다. 예. Cisco Switch 설정의예 Switch(config)# interface fastethernet 5/12 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security maximum 5 -> 최대허용 MAC 주소 Switch(config-if)# switchport port-security mac-address > 허용 MAC 주소 Switch(config-if)# switchport port-security violation [protect/restrict/shutdown] -> 규칙위반시 Action ARP 모니터링도구도입 ARP Spoofing 공격을직접적으로차단할수있는방법은아니지만, ARP 모니터링을통해공격에대한탐지가가능하다. 일반적으로 ARP 모니터링도구들은 LAN상의 ARP 패킷들을수집하여 IP/MAC pair 정보를데이터베이스화한다. 모니터링과정에서, ARP Cache 정보의변경이탐지되면, 시스템화면하단의트레이아이콘에탐지솔루션의아이콘이껌벅거리게되거나 (WinARPWatch), 관리자에게 notify가가능하여사후조치가가능할수도있다. 현재많이활용되고있는 ARP 모니터링도구는다음과같다. - WinARPWatch 정보 arpwatch, - ettercap의 arpcop plug-in [ 그림 4-13] 은 WinARPWatch 를이용하여 ARP Spoofing 공격을탐지하는과정으로게이트 웨이 (254 번 IP) MAC 주소가변경 (HAS CHANGED!) 되었음을탐지해냈고, 새롭게추가된공 격시스템 (103 번 IP) 와일치하는 MAC 주소 (00:0c:29:40:0d:62) 임을알수있다. [ 그림 4-13] WinARPWatch 를이용하여 ARP Spoofing 공격을탐지하는과정. Copyright AhnLab Inc,. All Rights Reserved. 66