목차 Part Ⅰ 10 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

Size: px

Start display at page:

Download "목차 Part Ⅰ 10 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이..."

서민 표
5 years ago
Views:

2 목차 Part Ⅰ 10 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이 악성코드이슈분석 프로그램의업데이트기능을이용한악성코드유포... 6 (1) 개요... 6 (2) 행위분석... 6 (3) 결론 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 (2) 상위 Top 5 포트월별추이 (3) 악성트래픽유입추이 스팸메일분석 (1) 일별스팸및바이러스통계현황 (2) 월별통계현황 (3) 스팸메일내의악성코드현황 Part Ⅱ 보안이슈돋보기 월의보안이슈 월의취약점이슈 페이지 2

3 Part Ⅰ 10 월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 [2012년 10월 1일 ~ 2012년 10월 31일 ] 순위 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 ㅡ Spyware.OnlineGames.wsxp Spyware 6,390 2 New Gen:Variant.Zusy.4661 Etc 6,060 3 New Gen:Trojan.Heur.VP2.sm0@aun5tFei Trojan 3,660 4 New Trojan.Downloader Trojan 3,130 5 New Adware.Downloader.F Adware 3,004 6 New Trojan.Downloader.ATGG Trojan 2,973 7 New Gen:Trojan.Heur.lK1@rms65Kj0 Trojan 2,916 8 New Hosts.gms.ahnlab.com Host 2,556 9 New Adware.Generic Adware 2, New Trojan.JS.Agent.HFM Trojan 2, New Gen:Trojan.Heur.DP.3GW@aKh3lrf0 Trojan 2, New Trojan.Generic Trojan 1, New Trojan.Generic Trojan 1, New Trojan.Downloader.KorAddware.Dat Trojan 1, New Trojan.Patched.lpk Trojan 1,607 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 감염악성코드 Top 15는사용자 PC에서탐지된악성코드를기반으로산출한통계입니다. 10월의감염악성코드 TOP 15에서는 9월에이어이번 10월에도온라인게임계정탈취악성코드인 Spyware.OnlineGames.wsxp가 1위를차지하였습니다. 아울러 2위를차지한 Gen:Variant.Zusy.4661 의경우 1위와마찬가지로온라인게임또는특정사이트의계정탈취를위해윈도우시스템파일인 ws2help.dll을감염시키는악성코드입니다. 1,2위를차지한악성코드들이각각별개로동작하는것 이아닌함께유포되는케이스가대부분임을봤을때, 온라인게임계정탈취악성코드가현상황 에서가장만연하고있는악성코드이며사용자입장에서는주의를기울여야하는악성코드라할 수있겠습니다. 페이지 3

4 (2) 카테고리별악성코드유형 호스트파일 (Host) 6% 트로이목마 (Trojan) 기타 (Etc) 14% 스파이웨어 (Spyware) 애드웨어 (Adware) 취약점 (Exploit) 애드웨어웜 (Worm) (Adware) 트로이목마 12% (Trojan) 기타 (Etc) 스파이웨어 (Spyware) 14% 54% 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 54% 를차지했으며, 스파이웨어 (Spyware) 유형과기타 (ETC) 유형이 14% 로공동 2 위를차지했습니다. 3 위는애드웨어 (Adware) 유형으로 12% 로 4 위를차지했습니다. (3) 카테고리별악성코드비율전월비교 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 호스트파일 (Host) 기타 (Etc) 17% 14% 16% 12% 0% 0% 3% 0% 0% 0% 0% 0% 0% 0% 0% 6% 14% 14% 50% 54% 9 월 10 월 0% 20% 40% 60% 80% 100% 10월에는 9월과비교하여트로이목마 (Trojan) 유형의악성코드비중이소폭상승하였습니다. 스파이웨어 (Spyware) 유형과애드웨어유형은모두 9월에비해소폭감소하였으며 Host 파일변조악성코드가새롭게급증한것을확인할수있습니다. 페이지 4

5 (4) 월별피해신고추이 [2011 년 11 월 ~ 2012 년 10 월 ] 11 월 12 월 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 알약사용자의신고를합산에서산출한결과임월별피해신고추이는알약사용자의신고를합산해서산출한결과로써, 월별신고건수를나타내는그래프입니다. 알약 2.0의신고기능에의해접수된피해문의신고는 10월에는 9월에비해신고건수가무려 30% 가까이줄어들며 2012년초의신고급증이전추세로돌아갔습니다. (5) 월별악성코드 DB 등록추이 [2011 년 11 월 ~ 2012 년 10 월 ] Adware Spyware Hijacker KeyLogger Exploit RAT Trojan Worm Backdoor Downloader Dropper Misc 페이지 5

Part Ⅰ 10 월의악성코드통계 2. 악성코드이슈분석 프로그램의업데이트기능을이용한악성코드유포 (1) 개요 국내에서제작된일부프로그램들이자신의업데이트기능을이용하여악성코드를유포하고있다. 이들프로그램자체에는악성행위가없지만, 프로그램업데이트에사용될파일다운로드목록을온라인으로운영하면서특정시간에만이 version.dat 파일에악성파일의경로정보를추가하는수법을사용하고있다.

6 Part Ⅰ 10 월의악성코드통계 2. 악성코드이슈분석 프로그램의업데이트기능을이용한악성코드유포 (1) 개요 국내에서제작된일부프로그램들이자신의업데이트기능을이용하여악성코드를유포하고있다. 이들프로그램자체에는악성행위가없지만, 프로그램업데이트에사용될파일다운로드목록을온라인으로운영하면서특정시간에만이 version.dat 파일에악성파일의경로정보를추가하는수법을사용하고있다. 해커에의해프로그램전체가변조되어서악성코드유포가발생하는것인지, 해당업체의고의에의한것인지파악하기도어려우며, 정상적인설치시에는사용자PC에악성파일을다운로드시키지않기때문에, 이러한악성코드유포방식은앞으로보안업체들의악성코드진단정책에도영향을줄것으로보인다. 이번분석문서에서는프로그램이업데이트기능을이용하여사용자몰래악성파일을다운로드하는방식에대해알아본다. (2) 행위분석 1 유포경로유포경로해당악성파일의유포는여러종류의프로그램에서이루어진다. 코덱설치프로그램, 다운로드도우미프로그램, 검색도우미프로그램, 유해차단프로그램, 윈도우보안패치프로그램, 제휴마키팅프로그램, 툴바설치프로그램등등상당히많은프로그램을통해유포된다. 이번분석보고서에서분석할프로그램은다운로드도우미프로그램이다. 다운로드도우미프로그램의전체적인유포구조를도식화한이미지는아래와같다. ( 그림 1. 유포구조 ) 다운로드도우미프로그램의설치폴더와생성파일의이름은아래와같다. C:\Documents and Settings\[ 계정 ]\Application Data\xxxx\OOOOGetUpgrade.exe 페이지 6

2 악성파일 (OOOOGetUpgrade.exe) - 파일정보 Detection Name File Name Size(Byte) Adware.Generic.

dat 파일을읽어온다. ( 그림 2. version.dat 파일을다운로드하는화면 ) 서버에저장되어있는 Version.

- Base64 암호화방식 64 개의문자를이용하여바이너리데이터를아스키텍스트데이터로표현하는방식 ( 그림 3. 암호화된 version.

7 2 악성파일 (OOOOGetUpgrade.exe) - 파일정보 Detection Name File Name Size(Byte) Adware.Generic OOOGetUpgrade.exe 210,000 - 파일다운로드 OOOOGetUpgrade.exe 파일은자사의서버에접속하여 version.dat 파일을읽어온다. ( 그림 2. version.dat 파일을다운로드하는화면 ) 서버에저장되어있는 Version.dat 파일은변형된 Base64 방식으로암호화가되어있다. - Base64 암호화방식 64 개의문자를이용하여바이너리데이터를아스키텍스트데이터로표현하는방식 ( 그림 3. 암호화된 version.dat 파일내부화면 ) 암호화된파일을복호화시키면다운로드할목록을볼수있으며, 특정시간이되면 version.dat 파일이변경되어정상파일외악성파일을추가로다운로드한다. 다운로드목 록에 usp10.dll 파일이추가되어있는것을볼수있다. ( 그림 4. 악성파일이추가되어복호화된 version.dat 파일내부화면 ) 페이지 7

$C:\WINDOWS\system32 폴더에서 vmtoolsd.exe 파일을삭제시킨다. 해당파일들이삭제되지않을경우, MOVEFILE_DELAY_UNTIL_REBOOT 플래그값을주어 리부팅시삭제되도록설정한다.$

8 3 악성파일 (usp10.dll) - 파일정보 Detection Name File Name Size(Byte) Trojan.Patched.usp10 Usp10.dll 118,784 - 파일삭제 자신이로드된폴더에서 lpk.dll, lpk.dll.bak, usp10.dll, usp10.dll.bak 파일을삭제시도한다. C:\WINDOWS\system32 폴더에서 vmtoolsd.exe 파일을삭제시킨다. 해당파일들이삭제되지않을경우, MOVEFILE_DELAY_UNTIL_REBOOT 플래그값을주어 리부팅시삭제되도록설정한다. 해당플래그값은 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager 레지스트리에서 PendingFileRenameOperations 값에파일정보를리턴한다. 이후시스템이재부팅되고나면응용프로그램들이실행되기전운영체제에서레지스트 리를확인후파일정보를찾아삭제를시작한다. ( 그림 5. 재부팅시삭제될파일목록화면 ) - 파일생성자신의실행이처음인지구분하기위해 C:\WINDOWS\system32 위치에 lflag.log 파일을생성한다. lflag.log 파일이존재한다면프로그램은종료된다. lflag.log 파일생성이후리소스에담고있는 EXE 리소스를 C:\WINDOWS 폴더에 calc1.exe로생성후실행시킨다. 페이지 8

$( 그림 6. 리소스에담고있는악성파일화면 ) ( 그림 7. 리소스에서악성파일을생성시키는코드화면 ) - 파일로드 C:\WINDOWS\system32폴더에서정상 usp10.$

9 ( 그림 6. 리소스에담고있는악성파일화면 ) ( 그림 7. 리소스에서악성파일을생성시키는코드화면 ) - 파일로드 C:\WINDOWS\system32폴더에서정상 usp10.dll 파일을로드한다. 추가적으로정상 usp10.dll을로드하는이유는일반적인어플리케이션에서특정 dll 파일을사용해야할경우, 해당 dll 파일이어플리케이션의절대경로에존재한다면시스템디렉 페이지 9

$토리 (C:\WINDOWS\system32) 가아닌자신의절대경로에있는 dll 파일을먼저호출하게된다. 따라서이번 usp10.dll도자신이존재하는절대경로에서 usp10.dll을로드후, 정상적인 usp10.dll을사용하기위해정상위치에있는 usp10.dll 파일을추가적으로로드시킨다. 해당 usp10.dll 파일은이러한점을악용하여유포되고있다.$

10 토리 (C:\WINDOWS\system32) 가아닌자신의절대경로에있는 dll 파일을먼저호출하게된다. 따라서이번 usp10.dll도자신이존재하는절대경로에서 usp10.dll을로드후, 정상적인 usp10.dll을사용하기위해정상위치에있는 usp10.dll 파일을추가적으로로드시킨다. 해당 usp10.dll 파일은이러한점을악용하여유포되고있다. 4 악성파일 (calc1.exe) - 파일정보 Detection Name File Name Size(Byte) Trojan.Downloader.ATGG Calc1.exe 54,801 - 파일복사 C:\WINDOWS\calc1.exe 파일을 C:\WINDOWS\system32\GoogleUpdate.exe 파일로복사한다. 시그니처로탐지하는보안제품을우회하기위해파일마지막에랜덤한값을추가한다. ( 랜덤값이지만일정의규칙은존재한다. 임의로랜덤값으로표기 ) ( 그림 8. 복사된파일내추가된데이터화면 ) 페이지 10

$HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{BA7E1521-E8BB-8A2F-8732-6601492E2CE5} stubpath = %SystemRoot%\system32\GoogleUpdate.exe ( 그림 9.$

11 - 레지스트리생성재부팅시자동시작을위해 Installed Components 레지스트리에등록시킨다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{BA7E1521-E8BB-8A2F E2CE5} stubpath = %SystemRoot%\system32\GoogleUpdate.exe ( 그림 9. 생성된레지스트리화면 ) - 파일다운로드 특정서버에접속하여또다른악성코드리스트가적혀있는 txt 파일을다운로드한다 다운로드파일 : hxxp:// 다운로드된 list.txt 파일은특정방식의암호화방식으로저장되어있다. 암호화방식은 Itoa(10 진법정수를문자열로변환 ) 으로복호화가가능하다. ( 그림 10. 암호화된텍스트화면 ) 암호화된내용을복호화시키면아래와같이추가적으로다운로드할 URL 을알수있다. ( 그림 11. 복호화된텍스트화면 ) 페이지 11

$다운로드할 008.gif 파일은사용자 %TEMP% 폴더에랜덤한이름으로저장된다. %TEMP% = C:\Documents and Settings\[ 사용자계정 ]\Local Settings\Temp ( 그림 12. 다운로드된악성파일화면 ) - 레지스트리삭제 HKEY_CURRENT_USER\Software\Blizzard Entertainment\Battle.$

12 다운로드할 008.gif 파일은사용자 %TEMP% 폴더에랜덤한이름으로저장된다. %TEMP% = C:\Documents and Settings\[ 사용자계정 ]\Local Settings\Temp ( 그림 12. 다운로드된악성파일화면 ) - 레지스트리삭제 HKEY_CURRENT_USER\Software\Blizzard Entertainment\Battle.net Identity 값을삭제한 다. - 자가삭제 모든악성행위를마치고 cmd.exe 프로세스를생성하여자기자신을삭제한다. ( 그림 13. 자가삭제코드화면 ) 5 악성파일 (008.gif) - 파일정보 Detection Name File Name Size(Byte) Trojan.Dropper.OnlineGames.wsxp 008.gif 127,215 다운로드된 008.gif 파일은기존에많이보여지는온라인게임스파이웨어파일이다. 기존분석내용들이있기때문에 008.gif 파일에대한상세분석보다는악성행위에대해서 만간략하게설명한다. - Hosts 파일변조 gms.ahnlab.com <AhnLab V3 백신 ASD 서버 > 페이지 12

$( 그림 14. 변조된 Hosts 화면 ) - 파일생성 C:\Documents and Settings\[ 사용자계정 ]\Local Settings\Temp\heshang.exe C:\WINDOWS\system32\drivers\kfuck3.sys - 파일변조 C:\WINDOWS\system32\ws2help.$

13 ( 그림 14. 변조된 Hosts 화면 ) - 파일생성 C:\Documents and Settings\[ 사용자계정 ]\Local Settings\Temp\heshang.exe C:\WINDOWS\system32\drivers\kfuck3.sys - 파일변조 C:\WINDOWS\system32\ws2help.dll C:\WINDOWS\system32\ws2help.dll.C5l.tmp ( 정상파일의백업파일 ) C:\WINDOWS\system32\ws2helpXP.dll ( 정상파일의백업파일 ) 6 악성파일 (kfuck3.sys) - 파일정보 Detection Name File Name Size(Byte) Trojan.Rootkit.killav kfuck3.sys 83,898,368 - 보안프로그램종료국내보안제품의프로세스를종료시킨다. 1) Naver Vaccine : naveragent.exe, nsavsvc.npc, nsvmon.npc, nvcagent.npc, nvc.npc, nvcopt.npc, nvcsvcmgr.npc, nvcupgrader.exe 2) Ahnlab V3 : v3lsvc.exe, v3ltray.exe, v3light.exe, v3medic.exe, sgsvc.exe 3) ESTsoft ALYac : syrtsry.aye, ayagent.aye, alyac.aye, ayupdsrv.aye, aytask.aye, AYTask.aye, ayrtsrv.aye 7 악성파일 (ws2help.dll) - 파일정보 Detection Name File Name Size(Byte) Spyware.OnlineGames.wsxp ws2help.dll 94,208 페이지 13

14 변조된 ws2help.dll 파일은온라인게임을대상으로정보수집후특정서버로전송하는 행위를한다. - 프로세스감시 iexplore.exe (df.nexon.com, pmang.com, hangame.com, ns.plaync.com) dnf.exe, PCOTP.exe, MapleStory.exe, lin.bin, ff2client.exe, wow.exe, WinBaram.exe, heroes.exe, Raycity.exe - 보안프로그램종료 1) Naver Vaccine : NaverAgent.exe, Nsavsvc.npc, nsvmon.npc, NVCAgent.npc 2) Ahnlab V3 : V3LTray.exe, V3Light.exe, SgSvc.exe, MUpdate2.exe, V3LRun.exe 3) ESTsoft ALYac : AyAgent.aye, AYupdate.aye, AYServiceNT.aye, AYRTSrv.aye, AYUpdSrv.aye 4) Virus Chaser : vcsvc.exe, vcsvcc.exe, sgbider.exe] 5) ETC : SystemMon.exe, SkyMon.exe - API Hook 1) Kernel32.dll - MultiByteToWideChar - ReadFile 2) Wininet.dll (iexplore.exe 프로세스가확인될시 ) - HttpSendRequestA - HttpSendRequestW - InternetReadFile 3) Ws2_32.dll (iexplore.exe 프로세스가확인될시 ) - Send (3) 결론 평상시에는정상파일을다운로드하다가, 특정시간이되면악성파일을다운로드시키는프로그램들의경우, 먼저유포방식을잘파악하고합리적인진단정책을적용하는것이중요하다. 특히프로그램이악성코드를유포했다는증거를신속히확보해둘필요가있으며국내법과관련규정을잘파악하여적절히적용할수있다. 페이지 14

15 Part Ⅰ 10 월의악성코드통계 3. 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 % % 25 1% 21 5% 23 1% % (2) 상위 Top 5 포트월별추이 [2012 년 08 월 ~ 2012 년 10 월 ] 2012 년 10 월 2012 년 9 월 2012 년 8 월 페이지 15

16 (3) 악성트래픽유입추이 [2012 년 05 월 ~ 2012 년 10 월 ] 2012 년 5 월 2012 년 6 월 2012 년 7 월 2012 년 8 월 2012 년 9 월 2012 년 10 월 페이지 16

17 Part Ⅰ 10 월의악성코드통계 4. 스팸메일분석 (1) 일별스팸및바이러스통계현황 40,000 35,000 30,000 25,000 20,000 15,000 바이러스 10,000 5,000 스팸 0 일별스팸및바이러스통계현황그래프는하루에유입되는바이러스및스팸메일의개수를나타내는그래프입니다. 10월의경우 9월에비해바이러스가포함된메일통계수치는약 10% 가량증가하였습니다. 수집된스팸메일의통계수치의경우는 9월에비해 10월통계가약 5% 가량소폭감소하였습니다. (2) 월별통계현황 [2012 년 05 월 ~ 2012 년 10 월 ] 500, % 400, , , , % % % 2.6% 3.4% 바이러스 스팸 0 5 월 6 월 7 월 8 월 9 월 10 월 월별통계현황은전체악성메일중단순스팸메일과악성코드첨부메일의각비율을나타내는 그래프입니다. 10 월에는스팸메일이 96.6%, 바이러스첨부메일이 3.4% 의비율로수신된것으로 확인되었습니다. 페이지 17

(3) 스팸메일내의악성코드현황 [2012 년 10 월 1 일 ~ 2012 년 10 월 31 일 ]ff 순위 악성코드진단명 메일수 [ 개 ] 비율 [%] 1 W32/Mytob-C 2,077 21.11% 2 W32/MyDoom-H 998 10.14% 3 Mal/BredoZp-B 967 9.83% 4 Troj/Invo-Zip 895 9.

18 (3) 스팸메일내의악성코드현황 [2012 년 10 월 1 일 ~ 2012 년 10 월 31 일 ]ff 순위 악성코드진단명 메일수 [ 개 ] 비율 [%] 1 W32/Mytob-C 2, % 2 W32/MyDoom-H % 3 Mal/BredoZp-B % 4 Troj/Invo-Zip % 5 Mal/ZipMal-B % 6 W32/MyDoom-BZ % 7 W32/MyDoom-N % 8 W32/Virut-T % 9 Troj/BredoZp-S % 10 W32/Netsky-P % 스팸메일내의악성코드현황은 9월한달동안수신된메일에서발견된악성코드중 Top 10을뽑은그래프입니다. 현재 W32/Mytob-C가 21.11% 로비율이계속적인감소또는유지추세를보이고있긴하지만 6달연속으로 1위를차지하고있으며, 2위는 10.14% 를차지한 W32/MyDoom-H, 3위는 9.83% 를차지한 Mal/BredoZp-B입니다. 3위를차지한 Mal/BredoZp-B의경우 4-5달동안계속적으로 3위자리를차지하던 Mal/ZipMal-B를끌어내리고새롭게상승하였습니다. Mal/BredoZp-B 악성코드가포함된스팸메일이급증한이유로는아이튠즈스토어를사칭하여 50달러쿠폰을증정한다고사용자를첨부파일의인증코드를온라인으로입력하라고속이고사용자로하여금개인정보를입력하게하거나또는사용자가입력하는키값을수집하는역할등을수행하는트로이목마를설치합니다. 페이지 18

19 Part Ⅱ 보안이슈돋보기 월의보안이슈 MS의새로운클라이언트용 OS인 Windows8 이출시되었습니다. 정부는보안취약점신고자에게최대 500만원포상금을지급하기로하였으며, 그외에 EU, 구글 개인정보정책 에철퇴, 중동에서 미니프레임 악성코드발견, 구글플레이의악성코드탐지기능추가건등이 10월의이슈가되었습니다. MS Windows 8 전세계동시출시 UI 전면개편마이크로소프트의새로운운영체제 윈도8 이 10월 16일날자정을기해전세계에동시출시되었습니다. 윈도우8은기존과많이달라진사용자환경을제공하며, 모바일기기확산에맞춰첫화면을타일모양의아이콘으로구성, 윈도우폰에적용한메트로 UI를옮겨온형태로터치에최적화되었습니다. 기본브라우저인인터넷익스플로러 10은클라우드서비스인 스카이드라이브 를기본적으로제공합니다. PC,SW 보안취약점신고 최대 500만원포상금지급 10월 8일, 방송통신위원회와한국인터넷진흥원은 PC와소프트웨어의보안취약점을신고하는사람에게최대 500만원의포상금을지급하는제도를도입했습니다. 인터넷진흥원은분기별로평가위원회를열고우수신고자를선정해최대 500만원까지포상금을지급할예정입니다. EU, 구글 개인정보정책 에철퇴유럽연합 (EU) 이구글의개인정보정책에대해경고하고, 4개월내에문제가된정책을수정하지않을경우제재를가하기로했습니다. 구글은지난 3개월 60개에이르는개인정보정책을하나로통합했으며, 이러한정책의변경에대하여이용자들에게선택권을부여하지않고유투브, 지메일, 구글플러스등구글의여러서비스에서취합한정보를통합관리하기시작했습니다. 또한정보를어떤경로로수집하여활용하는지에대해서도설명하지않은점도문제로지적되었습니다. 중동겨냥한또다른악성코드 미니프레임 중동을겨냥한악성코드 미니프레임 이등장하였습니다. 500여대의 PC를공격한것으로알려진미니프레임은비록공격규모는작지만, 정교하게제작되었으며, 레바논, 팔레스타인, 이란, 쿠웨이트, 카타르등중동국가에서금융거래내역을추적하기위한목적으로제작된것으로추정됩니다. 지난 2010년부터올해까지중동국가들을겨냥한악성코드들이잇따라발견되었고, 이번의미니프레임의등장으로미국과이란의갈등이더욱증폭될것으로예상됩니다. 구글플레이, 악성코드탐지기능추가 구글플레이가기하급수적으로늘어나는모바일악성코드에대응하기위하여, 버전을 페이지 19

20 으로판올림하면서악성코드를탐지할수있는기능을포함시켰습니다. 이기능을 활성화하면, 해로울것으로추정되는앱을사용자가설치하는것을막을수있습니다. 새 로운구글플레이는현재정식배포를마친상태입니다 카스퍼스키랩, 스턱스넷막으려 OS 개발카스퍼스키랩이스턱스넷, 듀쿠, 가우스등기간시설을노린악성코드공격에대응하기위해, 아예새로운운영체제를만들예정입니다. 이는스턱스넷과같은지속가능위협 (APT) 으로부터산업제어시스템 (ICS) 를보호하기위한목적으로, 내달 11일공식적으로프로젝트를시작한다는점에서 이라고명명했습니다. 안드로이드폰악성코드, 집구조도 염탐 안드로이드스마트폰에심어놓은악성코드로감염대상의침실과방구조를알아내는일까지가능해졌습니다. 미국에서개발한 플레이스레이더 라는트로이목마는스마트폰에탑재된카메라와자이로센서, 가속도센서등여러개의센서를활용해사진과위치정보를기반으로대상의방이나사무실구조를그립니다. 이악성코드는안드로이드 2.3 운영체제이상의버전에서실행되며, 이는사진촬영용앱에몰래숨어서스마트폰카메라에접근원한을얻고, 스마트폰이위치한시간, 장소등을고려하여무작위로무음촬영을하며, 이러한사진들을공격자의서버로전송합니다. 페이지 20

21 2. 10월의취약점이슈 Microsoft 10월정기보안업데이트 Microsoft Word의취약점으로인한원격코드실행문제, Microsoft Works의취약점으로인한원격코드실행문제, HTML 삭제구성요소의취약점으로인한권한상승문제, FAST Search Server 2010 for SharePoint의구문분석취약점으로인한원격코드실행, Windows 커널의취약점으로인한권한상승문제해결등을포함한 Microsoft 10월정기보안업데이트가발표되었습니다. < 해당제품 > Windows XP Windows Vista Windows 7 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Microsoft Word의취약점으로인한원격코드실행문제점 ( ) 이보안업데이트는 Microsoft Office에서발견되어비공개적으로보고된취약점 2건을해결합니다. 가장위험한취약점으로인해사용자가특수하게조작된 RTF 파일을열거나미리볼경우원격코드실행이허용될수있습니다. 취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Microsoft Works의취약점으로인한원격코드실행문제점 ( ) 이보안업데이트는비공개적으로보고된 Microsoft Works의취약점을해결합니다. Microsoft Works를사용하여특수하게조작된 Microsoft Word 파일을사용자가열면이취약점으로인해원격코드실행이허용됩니다. 취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. HTML 삭제구성요소의취약점으로인한권한상승문제점 ( ) 이보안업데이트는 Microsoft Office, Microsoft Communications Platforms, Microsoft Server 소프트웨어및 Microsoft Office Web Apps의공개된취약점을해결합니다. 이취약점은공격자가특수하게조작된콘텐츠를사용자에게보냈을때권한이상승되도록할수있습니다. FAST Search Server 2010 for SharePoint 의구문분석취약점으로인한원격코드실행 ( ) 페이지 21

22 이보안업데이트는 Microsoft FAST Search Server 2010 for SharePoint의공개된취약점을해결합니다. 이취약점은사용자계정의보안컨텍스트에서제한된토큰으로원격코드를실행하도록허용할수있습니다. FAST Search Server for SharePoint는 Advanced Filter Pack 을사용하는경우에만이문제의영향을받습니다. 기본적으로 Advanced Filter Pack은사용되지않습니다. Windows 커널의취약점으로인한권한상승문제점 ( ) 이보안업데이트는 Windows 8 및 Windows Server 2012를제외하고지원대상인모든 Microsoft Windows 릴리스에서비공개적으로보고된취약점을해결합니다. 이보안업데이트의심각도는지원대상인모든 Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 및 Windows Server 2008 R2 에디션에대해중요입니다. 공격자가시스템에로그온하고특수하게조작된응용프로그램을실행할경우이취약점으로인해권한상승이허용될수있습니다. 이취약점을악용하려면공격자가유효한로그온자격증명을가지고로컬로로그온할수있어야합니다. Kerberos의취약점으로인한서비스거부문제점 ( ) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 이취약점으로인해원격공격자가특수하게조작된세션요청을 Kerberos 서버에보낼경우서비스거부가발생할수있습니다. 최선의방화벽구성방법과표준기본방화벽구성을이용하면기업경계외부에서들어오는공격으로부터네트워크를보호할수있습니다. 인터넷과연결되는시스템의경우, 필요한포트만최소한으로열어두는것이안전합니다. SQL Server의취약점으로인한권한상승문제점 ( ) 이보안업데이트는비공개적으로보고된 SSRS(SQL Server Reporting Services) 실행 Microsoft SQL Server의취약점을해결합니다. 이취약점은권한상승을허용하여공격자가대상사용자의컨텍스트에서 SSRS 사이트에대해임의의명령을실행할수있는 XSS( 사이트간스크립팅 ) 취약점입니다. 공격자는특수하게조작된링크를사용자에게보내고링크를클릭하도록유도하는방식으로이취약점을악용할수있습니다. 또한공격자는이취약점을악용하는웹페이지를포함하는웹사이트를호스팅할수있습니다. 또한사용자가제공한콘텐츠나광고를허용하거나호스팅하는공격당한웹사이트에는이취약점을악용할수있는특수하게조작된콘텐츠가포함되어있을수있습니다. < 해결방법 > Windows Update를수행하거나 Microsoft 보안공지요약사이트에서해당취약점들의개별적인패치파일을다운로드받을수있습니다. 한글 : 영문 : 페이지 22

23 Oracle Java SE 보안업데이트권고 Oracle사는자사보안업데이트발표체계인 Critical Patch Update(CPU) 를통해자사의 Java SE 제품에대한보안업데이트를발표했습니다. 보안업데이트발표이후, 관련공격코드의출현으로인한피해가발생할수있으므로 Oracle Java 제품의취약점에대한보안업데이트를설치하시기바랍니다. 2012년 10월 Oracle CPU에서는 Oracle Java SE 제품의보안취약점 30개에대한패치를발표했습니다.30개취약점중 29개는계정과패스워드없이인증를우회하여원격에서접속할수있는위험에노출되어있습니다 < 해당제품 > JDK and JRE 7 Update 7 및이전버전 JDK and JRE 6 Update 35 및이전버전 JDK and JRE 5.0 Update 36 및이전버전 SDK and JRE 1.4.2_38 및이전버전 JavaFX 2.2 및이전버전 < 해결방법 > 개인사용자경우, 설치된제품의최신업데이트를다운로드받아설치하거나 Java 자동업 데이트를설정하시기바랍니다. Java SE 다운로드 : < 참고사이트 > Adobe Flash Player 취약점보안업데이트권고 Adobe 社는 Adobe Flash Player에발생하는취약점을해결한보안업데이트를발표했습니다. 공격자는취약점을이용하여시스템을멈추거나시스템의제어권한을획득할수있으므로제품을최신버전으로업데이트하시기바랍니다. < 해당제품 > Adobe Flash Player 및이전버전 < 해결방법 > 윈도우, 매킨토시환경의 Adobe Flash Player 및이전버전사용자 : Adobe Flash Player Download Center( 에방문하여 Adobe Flash Player 버전을설치하거나자동업데이트를이용하여업그레이드 페이지 23

24 안드로이드및 IOS 환경의 Adobe Flash Player 사용자 : 앱마켓에서최신버전의 Adobe Flash Player 를다운로드하여설치 < 참고사이트 > 한글임의코드실행취약점보안업데이트권고한글과컴퓨터사의워드프로세서 한글 에서임의코드실행취약점을보완한보안업데이트가발표되었습니다. 낮은버전의아래한글사용자는악성코드감염에취약할수있으므로해결방안에따라보안업데이트를하시기바랍니다. < 해당제품 > 한글 및이전버전 한글 및이전버전 한글 및이전버전 한글 및이전버전 한글 및이전버전 < 해결방법 > 홈페이지를방문하여보안업데이트파일을다운받아설치하거나, 자동업데이트를통해한글최신버전으로업데이트하시기바랍니다. 업데이트다운로드페이지 : 자동업데이트 : 시작 모든프로그램 한글과컴퓨터 한컴자동업데이트 < 참고사이트 > Adobe Shockwave Player 보안업데이트권고 Adobe 社는 Shockwave Player에발생하는코드실행취약점을해결한보안업데이트발표했습니다. 낮은버전의 Adobe Shockwave Player 사용자는악성코드감염에취약할수있으므로해결방안에따라최신버전으로업데이트하시기바랍니다. 이번업데이트를통해 Adobe 社는 Adobe Shockwave Player의 6개취약점이해결되었습니다. 코드실행으로이어질수있는버퍼오버플로우취약점 (CVE , CVE , CVE , CVE , CVE ) 페이지 24

25 코드실행으로이어질수있는배열범위오류 (Array out of Bounds) 취약점 (CVE ) < 해당제품 > 윈도우, 매킨토시환경에서동작하는 Adobe Shockwave Player 및이하버전 < 해결방법 > Adobe Shockwave Player 이하버전사용자 : Adobe Download Center( 에방문하여 버전을설치하거나자동업데이트를이용하여업그레이드하시기바랍니다. < 참고사이트 > 페이지 25

Contact us 이스트소프트알약대응팀 Tel : 02-3470-2999 E-mail : help@alyac.co.

26 Contact us 이스트소프트알약대응팀 Tel : help@alyac.co.kr : 알약홈페이지 : 페이지 26

목차 Part Ⅰ 3 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 3 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이... 목차 Part Ⅰ 3 월의악성코드통계... 3 1. 악성코드통계... 3 (1) 감염악성코드 Top 15... 3 (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이... 5 2. 악성코드이슈분석 Trojan.Rootkit.LoaderA... 6 (1) 개요...