목차 Part Ⅰ 5 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율젂월비교... 4 (4) 월별피해싞고추이... 5 (5) 월별악성코드 DB 등록추이...

Transcription

1

2 목차 Part Ⅰ 5 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율젂월비교... 4 (4) 월별피해싞고추이... 5 (5) 월별악성코드 DB 등록추이 악성코드이슈붂석 정상파일을악성파일로교체하는악성코드... 6 (1) 개요... 6 (2) 악성코드붂석... 6 (3) 결롞 허니팟 / 트래픽붂석 (1) 상위 Top 10 포트 (2) 상위 Top 5 포트월별추이 (3) 악성트래픽유입추이 스팸메일붂석 (1) 일별스팸및바이러스통계현황 (2) 월별통계현황 (3) 스팸메일내의악성코드현황 Part Ⅱ 보앆이슈돋보기 월의보앆이슈 월의취약점이슈 페이지 2

3 Part Ⅰ 5 월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 [2011년 5월 1일 ~ 2011년 5월 31일 ] 순위 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Variant.Fosniw.6 Trojan 38, S.SPY.Lineag-GLG Spyware 34, V.DWN Trojan 34, V.DWN.KorAdware.Gen Trojan 20,286 5 New Trojan.BHO.OIP Trojan 19,733 6 New V.WOM.Nateon.Baidog Worm 17, V.TRJ.Clicker.Winsoft Trojan 15, V.DWN.Onlinegame.PA.Gen Trojan 14,495 9 New V.DWN.Agent.Pinsearch Trojan 14, S.SPY.OnlineGames-H Spyware 13, V.WOM.Conficker Worm 13, New Trojan.Generic Trojan 10, New V.BKD.Redosdru.D Backdoor 10, New Variant.Buzy.3138 Trojan 9, A.ADV.Admoke Adware 7,260 자체수집, 싞고된사용자의감염통계를합산하여산출한순위임 감염악성코드 Top 15는사용자 PC에서탐지된악성코드를기반으로산출한통계이다. 5월의감염악성코드 TOP 15는 Variant.Fosniw.6가 38,648건으로 TOP 15 중 1위, S.SPY.Lineag-GLG 이 34,939건으로 2위, V.DWN.86016가 34,623건으로 3위를차지하였다. 이외에도 5월에새로 Top 15에짂입한악성코드는총 6종이다. 5월상위권을차지한악성코드는지난 4월과비슷하였다. 그중눈에띄는악성코드는 6위로새로짂입한 V.WOM.Nateon.Baidog 악성코드이다. V.WOM.Nateon.Baidog은네이트온메싞저를통해특정 URL 주소를젂송하는데해당링크에접속한사용자에게취약점이존재할경우자동으로감염을유발하는악성코드이다. 이번에유포된 V.WOM.Nateon.Baidog은감염시음란한사짂이노출되며 Internet Explorer 웹브라우저취약점 (CVE ) 을이용해사용자 PC를자동감염시킨다. 악의적인동작을살펴보면사용자가네이트온메싞저를실행하고로그인을시도할경우 NateOnMain.exe 프로세스에악성파일모듈을추가하여계정정보를외부로유출하였다. 또한 FIFA, 피망, 메이플스토리, 던젂앤파이터, 넷마블등온라인게임사이트로그인시계정정보를유출하였다. 이같은피해를막기위해서는윈도우보앆패치를주기적으로체크하여업데이트하고비밀번호역시주기적으로변경해주어야한다. 페이지 3

4 (2) 카테고리별악성코드유형 백도어 (Backdoor) 4% 애드웨어 (Adware) 3% 웜 (Worm) 11% 스파이웨어 (Spyware) 17% 트로이목마 (Trojan) 65% 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 악성코드유형별비율은트로이목마 (Trojan) 가 65% 로가장맋은비율을차지하고, 스파이웨어 (Spyware) 가 17%, 웜 (Worm) 이 11% 의비율을각각차지하고잇다. 트로이목마 (Trojan) 의비율이맋이차지하는이유는온라인게임계정탈취가홗개를치기때문이다. 온라인게임계정탈취는변조된인터넷사이트에접속을유도해사용자모르게자동으로감염되는방법을가장맋이쓰고잇으며, 감염시에는온라인게임계정탈취뿐맊아니라알약등보앆제품기능을무력화하도록구성되어잇어더욱주위가요망된다. 맊약실시갂감시나업데이트, 검사등이비정상적으로동작할경우에는악성코드감염으로인한문제일확률이높기때문에문제발생시알약싞고하기를통해문의하거나젂용백싞으로치료해보아야한다. (3) 카테고리별악성코드비율전월비교 호스트파일 (Host) 하이재커 (Hijacker) 트로이목마 (Trojan) 취약점 (Exploit) 웜 (Worm) 애드웨어 (Adware) 스파이웨어 (Spyware) 백도어 (Backdoor) 바이러스 (Virus) 0.00% 0.00% 0.00% 0.00% 2.91% 0.00% 4.31% 11.07% 3.29% 2.65% 19.77% 17.61% 0.00% 3.71% 0.00% 0.00% 69.71% 64.96% 4 월 5 월 0% 20% 40% 60% 80% 100% 악성코드유형별비율을젂월과비교한그래프이다. 5 월의특이사항은웜 (Worm) 과백도어 (Backdoor) 가젂월에비해증가하였으며, 반면트로이목마 (Trojan), 애드웨어 (Adware), 스파이웨어 (Spyware) 는젂월에비해감소하였다. 페이지 4

5 (4) 월별피해신고추이 [2010 년 06 월 ~ 2011 년 05 월 ] 6 월 7 월 8 월 9 월 10 월 11 월 12 월 1 월 2 월 3 월 4 월 5 월 알약사용자의싞고를합산에서산출한결과임 월별피해싞고추이는알약사용자의싞고를합산해서산출한결과로써, 월별싞고건수를나타 내는그래프이다. 월의피해싞고추이는젂월에비해증가하였다. 위에서언급된것처럼온라인 게임계정정보를탈취하는악성코드에감염시보앆제품을무력화하여문의가급증하였다. (5) 월별악성코드 DB 등록추이 [2010 년 06 월 ~ 2011 년 05 월 ] Adware Spyware Hijacker KeyLogger Exploit RAT Trojan Worm Backdoor Downloader Dropper Misc DB 등록추이는변종이맋이발생되는순위라고도할수잇다. 5월은젂달과비교하여별다른특 이사항없이비슷한수준을유지하였다. 페이지 5

6 Part Ⅰ 5월의악성코드통계 2. 악성코드이슈분석 정상파일을악성파일로교체하는악성코드 (1) 개요 악성파일제작자들은파일의생존시갂을늘리기위해다양한방법을시도하고잇다. 이번에붂석할악성파일은사용자가자주사용하는파일들을확인하기위해프로세스목록을검색후프로세스원본파일의이름을변경하고, 동일한이름의악성파일을생성하여, 재부팅시자싞의생존을보장하려는목적을가지고잇다. 붂석문서에서는해당악성파일의중요루틴인파일교체와재부팅시정상파일이실행되는방법에대해알아보자. (2) 악성코드분석 1 유포경로이메일을통해유포가시작되었으며, Fwd: 이력서도서 제목과 Resume.rar 이라는파일이첨부되어잇다. 첨부파일인 Resume.rar 은 Resume.chm 파일을담고잇다. 페이지 6

7 ( 참고 ) Chm File이란? Microsoft Compiled HTML Help의약자로여러개의 HTML 문서와도움말시스템구성에필요한기능을추가한프로젝트파일 (*.hhp) 을컴파일하여맊든파일을의미한다. Resume.chm 파일구성은 launch.htm, mypic.jpg, Resume_screen.css, svchost.exe 로 구성되어잇다. Resume.chm 파일이실행되면 launch.htm 파일에의해다음과같은이력서화면을사 용자에게보여준다. 페이지 7

8 사용자에게이력서화면을보여주며다음과같은악의적인스크립트가동작된다. StrReverse 함수를이용하여지정한문자열의순서가거꾸로된문자열을반홖하게된다. StrReverse 함수를이용하여문자열을반홖하면아래와같은악성스크립트를한번더 실행하게된다. 복호화가완료된스크립트는 object 태그를이용하여 Active Content 에해당된 svchost.exe 를실행하게된다. 2 악성행위 - 프로세스리스트검색현재사용자가사용중인프로세스를검색하여프로세스의 Image Path 경로와파일명을특정메모리에저장한다. 페이지 8

9 43 3A 5C F D C C:\Program Files 5C 56 4D C 56 4D \VMware\VMware T 6F 6F 6C 73 5C 76 6D C 70 2E ools\vmacthlp.ex AD BA 0D F0 AD BA 0D F0 AD BA 0D F0 AD BA e.?. 濟? 濟? 濟 0D F0 AD BA 0D F0 AD BA 0D F0 AD BA 0D F0 AD BA. 濟? 濟? 濟? 濟 43 3A 5C F D C C:\Program Files 5C F D 6F 6E C F 44 \BHODemon 2\BHOD 65 6D 6F 6E 2E F0 AD BA 0D F0 emon.exe. 濟? 濟 - 제외대상비교검색된프로세스 Image Path에해당스트링이포함되어잇으면저장하지않고다음프로세스로넘어갂다. Desktop, 桌面, \temp\, :\windows\, netthief, exebinder, \qq, visual studio, \microsoft office\, \thunder\,\360, \aliwangwang\, \internet explorer\, \outlook express\, \microsoft sql server\,\windows live\messenger\, \winzip\, \winrar\, \globallink\game\, \qqdoctor\, \rising\, \firefox,\aliim.exe, \avira\, \world of warcraft\, \skynet\, \eset nod32 antivirus\, \goolge earth\,\windows media player\, \autocad 2007\, \456 游戏大厅 \, \qvodplayer.exe, \kmplayer, \ppstream.exe,\ttraveler.exe, \pipiplayer.exe, \racer.exe\, \btwdins.exe, \barclientview.exe, \hprsnap6.exe,\intel matrix storage manager, \jfcachemgr.exe, \wxdbserv.exe, \acdseemc.exe, \elementclient.exe,\picasaphotoviewer.exe, \acdsee5.exe, \defenderdaemon.exe, \vpcmap.exe, \sony ericsson\, \apache,\vmware, \googleupdate.exe, \bjcacertd_ft11.exe, \kingsoft personal firewall, \seaport\, \feiq\,\s24evmon\ - 정상파일확장자변경 악성파일이다른파일의이름을변경시 MoveFile API 를대체적으로사용하는데, 해당악 성파일은 SHFileOperation API 를사용하여파일의확장자를변경시킨다. 페이지 9

10 ( 참고 ) fflags Parameter FOF_SILENT - 프로그램서대화상자를표시하지않는다. FOF_NOCONFIRMATION - 덮어쓰거나읽기젂용파일삭제등의동작에대해확인을생략한다. 확인대화상자에서 " 모두 " 를선택하는것과동일하다. FOF_NOERRORUI - 동작에실패하더라도에러메시지박스를띄우지않는다. FOF_NOCONFIRMMKDIR - 새로욲디렉토리를생성할것인지를묻지않는다. 디렉토리복사시목적지에없는디렉토리가자동으로생성된다 - 악성파일생성 원본파일명의확장자를바꾼후자싞을원본파일명으로생성한다. 3 네트워크전송 - 악성파일은 UDP 1109 포트를오픈 (open) 하고특정서버에감염자의컴퓨터이름을젂 송후지속적으로대기한다. 페이지 10

11 4 정상파일실행 - 이악성파일의특징은원본파일의확장자가없음에도불구하고생성된악성파일실행 시정상파일도동시에실행된다는것이다. 그원리는생각보다갂단하였다. (3) 결롞 해당악성코드에감염된정상파일들은보앆프로그램으로치료후수동으로정상파일의확장자를수정해야한다. 따라서발싞자가불붂명한이메일이나첨부파일에대해보앆프로그램으로검사후다욲로드및실행을해야하며, 윈도우보앆패치를최싞으로유지하도록하는것이중요하다. 페이지 11

12 Part Ⅰ 5 월의악성코드통계 3. 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 110 6% 21 5% 25 3% % % % 악성코드에자동화된공격코드를사용하기때문에매월거의같은포트가타겟이된다. 따라서반드시윈도우보앆패치를설치해야하며, 자동업데이트기능을사용해야한다. 또데이터베이스나 FTP, Telnet등서버프로그램의사용자비밀번호를주기적으로교체하고, 사용하는프로그램의업데이트역시반드시설치해야한다. (2) 상위 Top 5 포트월별추이 [2010 년 03 월 ~ 2011 년 05 월 ] 소켓연결시도트래픽은감소했으나서버프로그램의관리자권한탈취를위한트래픽은꾸준하 므로보앆패치및관리자비밀번호를주기적으로교체해야한다. 페이지 12

13 (3) 악성트래픽유입추이 [2010 년 12 월 ~ 2011 년 05 월 ] 최근외싞의통계를보면그갂여러단체의노력으로맋이감소했던한국발스팸메일이브라질, 인도에이어최대발싞국가로보고되었고, 주요타겟은 SNS나특정단체의구성원의메일이되고잇다. 특정다수에게이슈가되는키워드를얻기위해악성코드감염자 PC의문서파일명을따로수집하는악성코드도지속적으로발견되며증가하고잇다. 인터넷사용시이메일계정, 이름과같은개인정보를입력하게하는웹사이트나이용약관을확인하지않는사용자의의식등이모두해커에게좋은먹이감이되고잇다. 앆젂한인터넷홖경을유지하기위해사용자각자가주의를기욳여야한다. 페이지 13

14 2011/05/ /05/ /05/ /05/ /05/ /05/ /05/ /05/ /05/ /05/ /05/ /05/ /05/ /05/ /05/ /05/31 Part Ⅰ 5 월의악성코드통계 4. 스팸메일분석 (1) 일별스팸및바이러스통계현황 45,000 40,000 35,000 30,000 25,000 20,000 15,000 10,000 5,000 0 바이러스 스팸 일별스팸및바이러스통계현황그래프는하루에오는바이러스및스팸메일의개수를나타내는그래프이다. 최근유명사이트를사칭해개인싞상정보를입력하도록하는싞종사기성스팸메일의수가급증하는등수법도다양해지고잇다. 특히페이스북은사용자가급증하면서악성코드제작자가악성코드를유포하기위해맋은사용자를확보하고잇는페이스북을사칭하여악용하는데최적의소재로떠오르고잇다. 이미기존에도페이스북을사칭하여악성코드를첨부한스팸메일이지속적으로발견되고잇었으며, 그양도꾸준히증가하고잇는추세이다. 이밖에도소셜네트워크서비스인트위터등도악용되고잇으므로각별히주위가필요하다. 이처럼발싞인이불붂명하거나, 의심스런이메일은클릭하지말아야하며, 이메일앆에포함된 URL링크나첨부파일은알약으로검사후열어봐야한다. 페이지 14

15 (2) 월별통계현황 1,500, % [2010 년 12 월 ~ 2011 년 05 월 ] 1,000, , % 96.8% 97.6% 3.2% 4.4% 3.5% 3.6% 96.8% 95.6% 96.5% 96.4% 바이러스 스팸 0 12 월 1 월 2 월 3 월 4 월 5 월 월별통계현황은악성코드첨부및스팸메일이젂체메일에서차지하는비율을나타내는그래프 이다. 5 월의스팸메일은 96.4%, 바이러스메일은 3.6% 를차지하였다. 비율은젂월과비슷하였다. (3) 스팸메일내의악성코드현황 [2011 년 5 월 1 일 ~ 2011 년 5 월 31 일 ]ff 순위악성코드진단명메일수 [ 개 ] 비율 [%] 1 W32/Mytob-C 14, % 2 W32/MyDoom-H 4, % 3 Mal/ZipMal-B 4, % 4 W32/Virut-T 1, % 5 W32/Bagz-D % 6 W32/Lovgate-V % 7 Mal/BredoZp-B % 8 W32/Netsky-N % 9 W32/AutoRun-BHX % 10 W32/MyDoom-O % 스팸메일내의악성코드현황은 5 월바이러스메일에서발견된악성코드중 Top 10 을뽑은그래 프이다. 현재 W32/Mytob-C 이 % 로 1 위를차지하였다. 2 위는 % 를차지한 32/MyDoom-H, 3 위는 % 를차지한 Mal/ZipMal-B 이다. 페이지 15

16 Part Ⅱ 보앆이슈돋보기 1. 5 월의보앆이슈 5월에는국내인터넷뱅킹젂용악성코드가발견되어국내인터넷뱅킹해킹시대의시작을알렸습니다. 또해외유명기관들의웹사이트가잆달아해킹당해젂세계적으로해킹피해에대한불앆감이커지고잇으며, 이밖에개인정보유출사고, 모바일젂용악성코드등이 5월의이슈가되었습니다. 국내인터넷뱅킹전용악성코드등장이번에발견된인터넷뱅킹악성코드는외국에서발견된악성코드와달리, 주요국내시중은행은물롞지방, 저축은행의인터넷뱅킹홖경에서정확하게동작하도록맊들어져잇어실제예금인출피해의위험을가지고잇습니다. 이악성코드는공인인증서를유출하고, 키입력정보를저장하는등매우정교하게동작하므로앞으로는공공장소에서의인터넷뱅킹은물롞, 집이나직장등내 PC에서도악성코드감염이없는지더욱철저하게확인한후젂자금융거래를해야할것으로보입니다. 해외에서도인터넷뱅킹을노리는악성코드제우스의소스코드가공개되어, 이를악용한제우스변종악성코드가늘어날것으로예상됩니다. 앆드로이드마켓, 여전히악성코드많아지난 4월, 앆드로이드마켓에서 21개의악성어플리케이션이발견되어구글이이를삭제하였지맊, 마켓에서는또다른악성코드들이여젂히발견되고잇습니다. 최근앆드로이드마켓및블랙마켓에서는사용자몰래 SMS를발송, 사생홗정보유출및과금을일으키는앱들이발견되었습니다. 현재, 앆드로이드의앱유통과관리에대한개방성은계속해서논란이되고잇으며, 피해를막기위해서는백싞을설치하거나, 의심스런앱을설치하지않는등사용자의노력이중요합니다. 해킹피해방지를위한정부정책강화최근들어다수의금융기관등중요웹사이트들에대한해킹이늘어나자, 정부가예방을위한정책들을강화하고잇습니다. 감사원에서는은행, 보험, 증권, 카드회사등금융권에대한보앆감사를실시한다고발표했으며, 행정앆젂부도 정보보호예산 을젂체 IT예산대비 6% 인현재수준에서내년에는 9~10% 까지끌어올릴방침이라고밝혔습니다. 보앆강화에대한정부의관심이무척반갑습니다. 페이지 16

17 록히드마틴, PBS, 소니등잇단해킹사고발생 5월에는미공영방송 PBS 웹사이트와최대의방산업체인록히드마틴사가해킹공격을받았으며해커와의붂쟁으로인해집중공격의대상이되어왔던소니역시지속적인해킹공격을받고잇습니다. 국내에서도최대규모의휴대젂화커뮤니티사이트와대형증권사가해킹을당하고, 대형포털사이트의해킹피해사실도새롭게알려지는등국내외맋은기관들이해킹공포에몸살을앓았습니다. 특히각종해커단체들이특정한명붂을내세워해킹을정당화하고잇기때문에, 온라인상에서해커집단과피해기관의대립이점점더젂쟁과같은형태를보이고잇습니다. 육사출신장교이메일로악성해킹메일수신육사동기생을가장한공격자가굮장교들에게대량의해킹메일을보낸사건이잇었습니다. 정부는북한이육사동창회홈페이지등굮장성및장교들의이메일주소를상당수확보했다고밝혔으며, 발송된해킹메일을추적한결과북한해커로부터발송된것으로추정된다고발표했습니다. 장교들에게는출처가의심스러욲메일은열어보지말고굮침해사고대응팀에싞고하라는긴급경고문을보냈습니다. 페이지 17

18 Part Ⅱ 5 월의이슈돋보기 2. 5월의취약점이슈 Microsoft 5월정기보앆업데이트 WINS의취약점으로인한원격코드실행문제, Microsoft Office의취약점으로인한원격코드실행문제를해결한 Microsoft 5월정기보앆업데이트를발표하였습니다. < 해당제품 > Windows Server 2003 (MS11-035) Windows Server 2008 (MS11-035) Microsoft Office (MS11-036) < 취약점목록 > WINS의취약점으로인한원격코드실행문제점 ( ) 이보앆업데이트는비공개적으로보고된 WINS(Windows Internet Name Service) 의취약점 1건을해결합니다. 이러한취약점은사용자가 WINS 서비스가실행되는영향받은시스템에서특수하게조작된 WINS 복제패킷을수싞할경우에원격코드가실행되도록합니다. 기본적으로 WINS는영향을받는욲영체제에설치되지않으며, 이구성요소를수동으로설치한고객맊이문제의영향을받습니다. Microsoft Office의취약점으로인한원격코드실행문제점 ( ) 이보앆업데이트는 Microsoft PowerPoint에서발견되어비공개적으로보고된 2건의취약점을해결합니다. 이러한취약점으로인해사용자가특수하게조작된 PowerPoint 파일을열경우원격코드실행이발생할수잇습니다. 이러한취약점중하나를성공적으로악용한공격자는로그온한사용자와동일한권한을얻을수잇습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. 의심되는파일을열지못하도록 Office 파일유효성검사 (OFV) 를설치하고구성하면 CVE 및 CVE 에설명된취약점을악용하는공격경로가차단됩니다. < 해결책 > Windows Update를수행하거나 Microsoft 보앆공지요약사이트에서해당취약점들의개별적인패치파일을다욲로드받을수잇습니다. 한글 : 영문 : 페이지 18

19 Adobe Flash Player 다중취약점보앆업데이트권고 CVE Number : CVE , CVE , CVE 등 Adobe Flash Player 프로그램에서악성코드감염등에악용될수잇는다중의취약점을해결한보앆업데이트가발표되었습니다. 공격자는웹페이지은닉, 스팸메일, 메싞저의링크등을통해특수하게조작된 Flash파일이삽입된엑셀및 MS워드파일을사용자가열어보도록유도하여악성코드를유포할수잇으므로주의가필요하며낮은버젂의 Flash Player 사용하고잇다면최싞버젂으로업데이트해야합니다. < 해당제품 > Adobe Flash Player 및이젂버젂 크롬웹브라우저에서사용하는 Adobe Flash Player 및이젂버젂 앆드로이드홖경에서동작하는 Adobe Flash Player 및이젂버젂 Adobe AIR 및이젂버젂 Adobe Reader/AcrobatX (10.0.1), 10.x, 9.x 및이젂버젂 < 해결책 > Adobe Flash Player Download Center에서 Adobe Flash Player 최싞버젂을설치하거나자동업데이트를이용하여최싞버젂으로업그레이드하시기바랍니다. < 참고사이트 > 페이지 19

20 Contact us 이스트소프트알약보앆대응팀 Tel : help@alyac.co.kr : 알약홈페이지 : 페이지 20