ASEC Report

Size: px

Start display at page:

Download "ASEC Report"

성령 해
4 years ago
Views:

1. 악성코드 Win32/Induc 바이러스허위 UPS 메일관련악성코드... 2 2.

중국보안이슈 - 중국의범죄자양성교육... 14 Win32/Induc 바이러스가남긴과제... 16 1.

1 1. 악성코드 Win32/Induc 바이러스허위 UPS 메일관련악성코드 스파이웨어 카페에글을도배하는스파이웨어 시큐리티 7.7 DDoS 패킷분석 중국보안이슈 - 중국의범죄자양성교육 Win32/Induc 바이러스가남긴과제 악성코드통계 스파이웨어통계 시큐리티통계 사이트가드통계... 33

I. 이달의보안이슈 1. 악성코드 Win32/Induc 바이러스허위 UPS 메일관련악성코드 Win32/Induc 바이러스는개발자를노리는바이러스로알려졌다. 이바이러스는백신업체나사용자들이인지하기훨씬전부터감염되고있었던것으로보인다. 일반사용자보다는델파이프로그래머를타겟으로하는바이러스로알려졌다.

2 I. 이달의보안이슈 1. 악성코드 Win32/Induc 바이러스허위 UPS 메일관련악성코드 Win32/Induc 바이러스는개발자를노리는바이러스로알려졌다. 이바이러스는백신업체나사용자들이인지하기훨씬전부터감염되고있었던것으로보인다. 일반사용자보다는델파이프로그래머를타겟으로하는바이러스로알려졌다. 사회공학기법은여전히악성코드제작자들로부터사용되고있는데 8월에는허위 UPS 운송메일을가장하여악성코드가링크된메일이다수발견되고있다. (1) 개발자를노리는 Win32/Induc 바이러스 Win32/Induc 바이러스는매우은밀하게전파된것으로보인다. 안철수연구소를비롯한일부안티바이러스업체는이바이러스의최초활동은 6월로추정하고있다. 이바이러스는일반인이확인할수있는뚜렷한감염증상이없다. 감염된파일을실행하면델파이가설치되어있는지확인후특정한소스파일 (SysConst.pas) 을감염시킨다. 2 [ 그림 1-1] SysConst.dcu 에감염된 Win32/Induc 바이러스일부 따라서델파이프로그래머가아닌일반사용자는별다른증상이없다. 만약델파이가설치되어있는경우특정소스파일을감염시키고프로그래머가컴파일을할경우특정한파일이 (SysConst.dcu) 생성된다. 해당파일은정상적인파일이나 Win32/Induc 에감염되어있다. 이후프로그래머가새로운파일을컴파일할때마다바이러스도함께감염된채로만들어진다. 해당바이러스는일반사용자의치료도중요하지만무엇보다도델파이를이용하여개발을하는개발자들의치료가무엇보다중요하다. V3는감염된 SysConst.dcu 파일과실행파일을진단 / 치료하고있다. 따라서자신이델파이개발자고감염이의심된다면 V3 를이용하여감염된시스템을검사하도록한다.

3 UPS 운송메일로가장한악성코드 사회공학기법을이용한악성코드는어제, 오늘의일이아니다. 그럴듯한내용으로사용자를속여메일에첨부파일이나링크를클릭하게유도한다. 대부분의사용자가속지않을것이라고생각되지만근래의메일로확산되는악성코드는대부분사회공학기법을이용한다. 국내의경우영어로되어있는이런메일에좀처럼속지않을수도있지만공격자는자동으로그리고대량으로이러한메일을보냄으로어느날호기심으로클릭한다면악성코드에감염되는경우가발생할수있다. 3 [ 그림 1-2] 악성코드가첨부된허위 UPS 운송메일 첨부된악성코드는 Win-Trojan/Bredolab 라는진단명을가지고있다. 다음과같은증상이있다. 사용자가압축을풀어실행하면 dummy 로 svchost.exe 를실행후악성코드를 Injection한다. 해당악성코드는다운로더증상을가지고있다. 시스템이나실행된조건에따라 Sleep 타임이 8분여가되면특정한호스트로부터파일을다운로드하는데크게 2가지로나뉜다. - 특정윈도우시스템파일 (AGP440.SYS) 을감염시키는파일 - 가짜백신을설치하는다운로더 감염된윈도우시스템파일은지금까지 NDIS.SYS, NTFS.SYS 가있었다. 이후다른어떤시스템파일도감염대상이될수있다. 감염된파일은삭제가아닌치료를해야한다. 정상파일을내부에가지고있기때문이다. V3 는이렇게감염된형태는 Win32/Ntfs로진단 / 치료하고있다. 감염된파일은스팸메일을보내는증상을갖는다. 보내는스팸은특정호스트로부터받아오는내용에따라서달라질수있다. 다음은악성코드실행후시간순서에따른생성및변경된파일리스트이다.

$svchost.exe CREATE C:\WINDOWS\Temp\wpv061251705172.exe ; 다운로드된파일 wpv061251705172 CREATE C:\WINDOWS\system32\sys32_nov.exe ; 파일명변경 wpv061251705172 CREATE C:\Documents and Settings\ 사용자계정명 \sys32_nov.$

4 svchost.exe CREATE C:\WINDOWS\Temp\wpv exe ; 다운로드된파일 wpv CREATE C:\WINDOWS\system32\sys32_nov.exe ; 파일명변경 wpv CREATE C:\Documents and Settings\ 사용자계정명 \sys32_nov.exe ; 자동실행 svchost.exe svchost.exe svchost.exe BN8.tmp BN8.tmp BN8.tmp BN8.tmp CREATE C:\DOCUME~1\GAME-007\LOCALS~1\Temp\BN8.tmp ; 다운로드 CREATE C:\WINDOWS\system32\drivers\agp440.sys ; 감염 CREATE C:\WINDOWS\system32\dllcache\agp440.sys ; 감염 CREATE C:\WINDOWS\system32\dllcache\figaro.sys ; 생성 CREATE C:\WINDOWS\system32\dllcache\beep.sys ; 원본파일과교체 CREATE C:\WINDOWS\system32\drivers\beep.sys ; 원본파일과교체 CREATE C:\WINDOWS\system32\braviax.exe ; 가짜백신다운로더 [ 표 1-1] Win-Trojan/Bredolab 악성코드실행후대략적인타임라인별실행파일 이후시스템은가짜백신이설치되는데요즘문제가많이되고있는 PC Antispyware 2010 이다. 해당가짜백신은허위로진단을하고치료를위해과금을하도록유도하므로절대로속아서는안된다. 4 [ 그림 1-3] 가짜백신 PC Antispyware 2010 이처럼가볍게넘겨호기심으로실행한파일이스팸메일을발송하는좀비시스템이되거나가짜백신이설치되어제대로시스템을사용하기어려운상황에처하는만큼그럴듯하게만들어져실행을해볼만큼호기심을자극하여도실행하는우를범해서는안된다.

2. 스파이웨어 카페에글을도배하는스파이웨어 (1) 네이버카페에글을도배하는스파이웨어 최근국내에서제작된스파이웨어로써유명포털사이트 ( 네이버 ) 카페에글을도배하는일명 네이버매시버 (Naver Massiver) 라는프로그램이유행하고있다. 이프로그램은수많은 도배프로그램 의일종이다.

5 2. 스파이웨어 카페에글을도배하는스파이웨어 (1) 네이버카페에글을도배하는스파이웨어 최근국내에서제작된스파이웨어로써유명포털사이트 ( 네이버 ) 카페에글을도배하는일명 네이버매시버 (Naver Massiver) 라는프로그램이유행하고있다. 이프로그램은수많은 도배프로그램 의일종이다. 도배프로그램이란일정주기로게시판, 또는채팅창에글을올리는프로그램들을말하는데, 주로광고또는단순도배행위를위해이용된다. [ 그림 1-4] 네이버매시버 (Naver Massiver) 를통해등록된글 5 이번에발견된네이버매시버의경우기존의도배프로그램과는많이차별된특징을갖고 있다. 이들은해외스파이웨어에서나볼수있었던기능을새롭게도입하였다. 구체적으로는 아래와같다. - DNS 초기화 ( ipconfig /displaydns ) - 방화벽비활성화 - beep.sys 드라이버수정 - netstat.exe, rstrui.exe 교체 ( sp2 버전으로교체됨 ) - CCProxy 설정 - 보안제품강제종료 ( AY*, AL*, bs*, V3* 로시작되는프로세스들을강제종료함 ) 이러한행위는네이버매시버의초기화과정에서수행된다. 보안제품및방화벽에의한차단을막기위한 AV-Kill 기능및보안설정변경, 그리고주요시스템파일의교체등기존국내스파이웨어에서는볼수없었던행위들이확인되었다. 더불어이프로그램에는네이버계정수집기능도함께들어가있다. [ 그림 1-5] 네이버매시버로그인화면

프로그램이구동되면 [ 그림 1-5] 와같이로그인을위한계정입력화면이뜬다. 사용자가계정정보를입력하게되면네이버로쿼리를통해유효성여부를확인한다. [ 그림 1-6] 사용자의계정정보를수집하는모습 사용자계정이유효할경우위 [ 그림 1-6] 와같이사용자의아이디, 암호, IP, 컴퓨터이름등을서버로전달한다.

6 프로그램이구동되면 [ 그림 1-5] 와같이로그인을위한계정입력화면이뜬다. 사용자가계정정보를입력하게되면네이버로쿼리를통해유효성여부를확인한다. [ 그림 1-6] 사용자의계정정보를수집하는모습 사용자계정이유효할경우위 [ 그림 1-6] 와같이사용자의아이디, 암호, IP, 컴퓨터이름등을서버로전달한다. 이렇게수집된정보가어떻게이용되는지현재로서는알수없으나 개인정보의노출가능성 은매우높다고볼수있다. 암호자체가평문 (Plain Text) 으로수집되기때문에위서버에접근할수있는악성코드제작자라면임의의사용자계정으로로그인할수있으며, 개인정보를빼내갈수도있다. 중국에서한국인개인정보가고액으로거래된다는것을보면충분히가능성이있다. 그러므로호기심으로네이버매시버를이용했던사용자가있다면바로암호를변경할것을권장한다. 6 이번이슈로소개한네이버매시버는특정포털사이트를대상으로만들어진극히제한적인악성프로그램이다. 그래서, 개인이단순취미로제작한프로그램으로생각될수있다. 더구나아직별다른피해도보고되고있지않아대수롭지않게넘어가도될것같다. 하지만, 국내에서이용된적이거의없는스파이웨어기법들을이용해제작되었다는점과, 사용자계정을수집하기위한목적이다분하다는점에서그잠재적인위험성은매우크다고볼수있다. (2) 다양한방법으로시작페이지를변경하는중국스파이웨어 최근에중국악성코드에의한시작페이지변경문제가자주등장하고있다. 전에는단순히 인터넷등록정보 의홈페이지주소를변경하는것들만문제가되었으나, 최근에는등록정보에어떤시작주소가설정되더라도중국포털사이트로이동하는경우가종종있다. 이번이슈에서는가볍게그사례들을살펴보도록한다.

[ 그림 1-7] Mac OS 의 Dock 방식 [ 그림 1-7] 은최근에발견된

[ 그림 1-8] Dock 설정파일 7 Dock 은 Mac OS 에서윈도우의 빠른실행

이프로그램은설정파일을 [ 그림 1-8] 처럼작성하는것만으로도시작페이지를변경할수있는데,

7 [ 그림 1-7] Mac OS 의 Dock 방식 [ 그림 1-7] 은최근에발견된 Win-Dropper/Macjie 에의해서설치되는 Acua Dock 프로그램으로간편한단축아이콘을제공하는기능을이용해시작페이지를변경하는사례이다. [ 그림 1-8] Dock 설정파일 7 Dock 은 Mac OS 에서윈도우의 빠른실행 처럼간편한실행이가능하다는장점때문에여러사용자들이이용하고있다. 이프로그램은설정파일을 [ 그림 1-8] 처럼작성하는것만으로도시작페이지를변경할수있는데, 설정파일의존재를잘모르는경우지속적인피해를입을수있다. 다음으로, 고전적인방법으로 인터넷등록정보 의홈페이지주소를변경하는방식과 인터넷바로가기 의 대상 항목에 URL을입력으로주는사례가있다. [ 그림 1-9] 고전적인시작페이지변경

[ 그림 1-10] 홈페이지열기 를변경하는경우 이사례는윈도우의 이전시작메뉴 설정의경우에한해서해당되기때문에일부사용자들에게는해당되지않는다.

8 이경우속성페이지를열어보는것만으로도원인파악및해결이가능하기때문에큰문제가되지않는다. 다만, 악성프로그램이제대로치료되지않는경우주기적으로변경되는문제가있을수있다. 다음으로는 [ 그림 1-10] 과같이바탕화면에다중 IE 아이콘을생성하는경우와컨텍스트메뉴로제공하는 홈페이지열기 기능을이용한시작페이지변경사례가있다. [ 그림 1-10] 홈페이지열기 를변경하는경우 이사례는윈도우의 이전시작메뉴 설정의경우에한해서해당되기때문에일부사용자들에게는해당되지않는다. 최근발견된중국산스파이웨어들은대부분시작페이지를변경하는특징을갖고있는데, 위에소개한한가지사례만이용하는것이아니라, 모든시작페이지변경방식을동시에이용한다. 추후새로운방식이발견될경우기존방식에추가될것으로예상된다. 8

9 3. 시큐리티 7.7 DDoS 패킷분석 (1) 트위터를이용하는봇넷 미국시각 8월 13일미국의네트워크보안업체인아르보 (Arbor) 는, 소셜네트워크서비스 (Social Network Service) 인트위터 (Twitter) 를이용하여악성코드에감염된좀비 (Zombie) 시스템들의네트워크인봇넷 (Botnet) 을컨트롤하는명령어를송신하는것이발견되었다고알렸다. 9 [ 그림 1-11] 봇넷컨트롤에사용된트위터계정 ( 아르보제공 ) 공격자는명령어들을베이스64(Base64) 로인코딩하여자신이생성한트위터계정에올려두고, 악성코드에감염된좀비시스템들은해당트위터계정에 RSS(Really Simple Syndication) 형태로접근하여명령어를전달받도록되어있다.

104960 Win-Trojan/Banc.103936 Win-Trojan/Banc.33792 Win-Trojan/Banc.34304 Win-Trojan/Banc.71680 Win-Trojan/Banc.

10 [ 그림 1-12] 해당트위터계정의 RSS 형태 ASEC에서분석당시송신한명령으로는특정도메인에서다수의특정파일을다운로드하는명령이존재하였다. 해당파일들을다운로드하여확인한결과아래이미지와같은베이스64로인코딩되어있는 ZIP 압축파일이었다. [ 그림 1-13] base64 로인코딩되어있는 ZIP 파일 10 해당파일들을디코딩하여압축을풀면 UPX로실행압축되어있는 gbpm.exe 파일이생성된다. 생성된실행파일들은모두악성코드들로 V3 제품군에서다음과같이진단한다. Win-Trojan/Banc Win-Trojan/Banc Win-Trojan/Banc Win-Trojan/Banc Win-Trojan/Banc Win-Trojan/Banc 해당악성코드가실행되면 DLL 파일 1개를생성해서웹브라우저인인터넷익스플로러 (Internet Explorer) 와파이어폭스 (Firefox) 가특정금융관련웹사이트에접속이이루어지면사용자가입력하는키보드입력값을후킹하는기능을수행한다. ASEC에서현재까지분석한사항들을종합해보면해당악성코드제작자는트위터의 RSS 기능을이용해좀비시스템에다른악성코드를다운로드하도록하여감염을시도한것으로분석된다. 이러한봇넷컨트롤방식은기존의 HTTP C&C 봇넷과유사한형태지만, 봇넷

컨트롤을위한웹서버를구축하기위해다른서버를해킹하지않고온라인에서합법적으로손쉽게만들수있는트위터계정을이용하였다. 따라서, 앞으로는트위터뿐만아니라 RSS 등과같이손쉽게메시지를전달받을수있는형태를제공하는다른 SNS 서비스나블로그등온라인상에서손쉽게개설할수있는서비스들을이용한봇넷컨트롤방식이나타날수있을것같다. 관련링크 1. http://asert.arbornetworks.

11 컨트롤을위한웹서버를구축하기위해다른서버를해킹하지않고온라인에서합법적으로손쉽게만들수있는트위터계정을이용하였다. 따라서, 앞으로는트위터뿐만아니라 RSS 등과같이손쉽게메시지를전달받을수있는형태를제공하는다른 SNS 서비스나블로그등온라인상에서손쉽게개설할수있는서비스들을이용한봇넷컨트롤방식이나타날수있을것같다. 관련링크 1. (2) 리눅스커널 'sock_sendpage()' NULL Pointer Dereference 취약점 11 지난 8월 13일대부분의리눅스커널 ( 이전, rc6 이전 ) 에적용가능한심각한취약점이발표되었다. 해당취약점은 sock_sendpage() 함수에서사용하는 proto_ops 구조체의초기화가제대로진행되지않은상태에서널포인터를참조함으로써발생한다. proto_ops 구조체는시스템에영향을줄수있는여러가지함수들의포인터를가지고있기때문에해당취약점을이용하여시스템을재부팅시킨다거나특정한명령을실행시킬수있으며일반사용자가 root 권한을획득하는것이가능하다. [ 그림 1-14] 공격코드일부 현재, 인터넷상에해당취약점을이용하여공격을수행하는코드 ( 익스플로잇 ) 가공개되어있어누구든지손쉽게다운로드가능한상태이며, 이취약점문제를해결할수있는패치를제공하는운영체제들이많지않기때문에심각한문제가될수있다.

[ 그림 1-15] 공개된익스플로잇테스트 다행히도이번취약점은원격에서수행할수없는로컬취약점이지만, 로컬상에서는위와같이몇가지간단한명령어를입력하는것만으로도손쉽게 root 권한을획득하는등의공격을수행할수있다. 이러한로컬취약점들은시스템을사용하는일반사용자가수행할수도있지만다른취약점들과함께사용한다면원격에서임의의공격자가사용할수도있다.

12 [ 그림 1-15] 공개된익스플로잇테스트 다행히도이번취약점은원격에서수행할수없는로컬취약점이지만, 로컬상에서는위와같이몇가지간단한명령어를입력하는것만으로도손쉽게 root 권한을획득하는등의공격을수행할수있다. 이러한로컬취약점들은시스템을사용하는일반사용자가수행할수도있지만다른취약점들과함께사용한다면원격에서임의의공격자가사용할수도있다. 예를들면, 웹서버일경우웹페이지에서 sql injection, 파일업로드-실행등의취약점이존재한다면이를이용하여웹서버데몬의실행권한을획득한뒤해당취약점의익스플로잇을이용하여 root 권한을획득할수있다. SSH나 TELNET 등의서비스도공격에사용될수있다. 만약시스템에취약한비밀번호를사용하고있는사용자가있다면브루트포스공격 ( 무작위-순차적대입 ) 에의해비밀번호가확인될수있고, 이러한계정으로로그인한뒤에로컬취약점을공격하는익스플로잇을이용할수도있다. 게다가, 인증서를이용하여로그인하는 SSH 방식을사용하는경우에도취약한인증서를사용함으로써원격의공격자에게로그인을허용하게하는경우 ( 최근 apache.org 홈페이지도취약한인증서를사용하는 SSH 서비스에의해공격당했음 ) 도있기때문에주의를해야한다. 12 이러한공격에대비하기위해서는운영체제커널의최신패치와관련된서비스들의취약점제거, 사용자계정들의안전한패스워드사용등의꾸준한노력이필요하다. 관련링크

13 (3) 꾸준히발생하는인터넷뱅킹해킹사건 예전부터끊이지않고발생하고있는인터넷뱅킹해킹사건이얼마전에도발생하였다. 하지만이번사건은보안프로그램의문제점도있었겠지만피해자들의안전불감증도한몫했다. 대부분의피해자들은인터넷뱅킹을편하게이용하려고계좌번호, 보안카드등의중요한정보들을자신들의이메일, 웹하드등에올려두었다고한다. 공격자는, 이메일서버를해킹하거나이메일계정의허술한비밀번호를추측또는해당이메일로악성코드를전송하여저장되어있는중요정보들을획득하여인터넷뱅킹해킹에사용하였다한다. 이러한인터넷뱅킹문제점들을예방하기위해서안철수연구소는다음과같은보안수칙을제안하고있다. 인터넷뱅킹보안수칙 1. 공인인증서, 보안카드, 비밀번호등을스캔해서사진파일이나엑셀파일형태로개인이메일계정또는인터넷하드에저장하지않는다. 2. 가급적공인인증서는 PC보다 USB나외장하드등이동저장매체에보관해서인터넷뱅킹사용시에만 PC에연결해서사용한다 보안카드보다 OTP(One Time Password) 나 MOTP(Mobile One Time Password) 등을사용한다. 4. 은행인터넷뱅킹계정이나포탈메일계정비밀번호주기적변경및관리한다. 5. 인터넷금융거래계정 ID 와비밀번호는포탈메일계정 ID 비밀번호와다르게사용하고절대타인에게알려주지 않는다.

4. 중국보안이슈 - 중국의범죄자양성교육 (1) 중국의잘못된컴퓨터보안기술교육 2월 28일중국에서는제 11회중화인민공화국전국인민대표회의상무의원회의개최를통해서중국내에서현재발생하는다양한컴퓨터관련범죄에대해강력한처벌을위한형법들이추가및개정되었다. 이렇게중국정부에서는형법개정들을통해컴퓨터관련범죄에대해강력한대응을하기위해노력하고있다.

14 4. 중국보안이슈 - 중국의범죄자양성교육 (1) 중국의잘못된컴퓨터보안기술교육 2월 28일중국에서는제 11회중화인민공화국전국인민대표회의상무의원회의개최를통해서중국내에서현재발생하는다양한컴퓨터관련범죄에대해강력한처벌을위한형법들이추가및개정되었다. 이렇게중국정부에서는형법개정들을통해컴퓨터관련범죄에대해강력한대응을하기위해노력하고있다. 하지만 8월 4일중국일보 (China daily) 의기사에따르면아직도중국사회에서는컴퓨터해킹기술을통해금전적인이득만을노리는잘못된컴퓨터보안기술교육들이이루어지고있다한다. 14 [ 그림 1-16] 사설컴퓨터학원의수강생모집간판 위이미지는중국귀주성귀주시 Wang Chuan Chang 버스정류장에설치되어있는해커양성교육생을모집한다는광고판이다. 이러한해커양성교육을위한사설학원대부분이북경에집중되어있으며중국전체에서발생하는매출이 2억 3천 8백만위엔 ( 한화약 428억 ) 에달한다고한다. 해당기사에따르면해커를양성한다는사설보안기술교육과정들대부분이취약한컴퓨터시스템에대한공격기법과기술들만가르치고있으며이를배우는학생들대부분이악용하고있다고한다. 해당언론과인터뷰를한상해에서북경으로상경한 25세의 Wang은해당보안기술교육을배우는학생들의목적대부분이다른사람들의컴퓨터를몰래훔쳐보기위해서거나컴퓨터해킹실력을과시하기위해그리고다른사람들의개인정보를금전적인목적으로도용하기위해서라고한다. 보안기술교육을배우는학생들

이그기술을잘못된방법으로사용한다는점에서보안기술교육을강의하는사설학원입 장에서는돈벌이에만집중하기보다는컴퓨터시스템및보안기술에대한건전한사용과 관련한보안윤리의식교육이먼저선행되어야할것으로보여진다. (2) 중국 7 월웹사이트위, 변조보안사고동향 중국대륙의보안위협과사고를총괄하는 CNCERT/CC에서 8월 18일, 7월웹사이트위변조보안사고동향보고서를발표하였다.

15 이그기술을잘못된방법으로사용한다는점에서보안기술교육을강의하는사설학원입 장에서는돈벌이에만집중하기보다는컴퓨터시스템및보안기술에대한건전한사용과 관련한보안윤리의식교육이먼저선행되어야할것으로보여진다. (2) 중국 7 월웹사이트위, 변조보안사고동향 중국대륙의보안위협과사고를총괄하는 CNCERT/CC에서 8월 18일, 7월웹사이트위변조보안사고동향보고서를발표하였다. 15 [ 그림 1-17] 2009 년 7 월중국웹사이트위변조통계 CNCERT/CC에서이번에발표한보고서에따르면 7월한달동안중국대륙, 홍콩및대만모두큰폭으로웹사이트위변조사고가증가하였다고한다. 특히중국대륙의경우에는총 5087건의웹사이트위, 변조사고가발생하여지난 6월과비교하여 1632건이증가한수치를보였다. 그외홍콩의경우 7월 48건이발생하여지난 6 월과비교하여 24건이증가한수치이며대만의경우지난 7월과비교하여 28건이증가한 31건이발생하였다고한다.

II. ASEC 칼럼 Win32/Induc 바이러스가남긴과제 2009년 8월중순델파이라이브러리파일을변조해컴파일되는파일에바이러스를포함되는 Win32/Induc 바이러스가발견되었다. 백신에이바이러스탐지기능이추가되면서지금까지잘사용하던프로그램이진단되어오진아니냐는문의가쏟아졌고일부백신에서는치료대신삭제해버렸다.

16 II. ASEC 칼럼 Win32/Induc 바이러스가남긴과제 2009년 8월중순델파이라이브러리파일을변조해컴파일되는파일에바이러스를포함되는 Win32/Induc 바이러스가발견되었다. 백신에이바이러스탐지기능이추가되면서지금까지잘사용하던프로그램이진단되어오진아니냐는문의가쏟아졌고일부백신에서는치료대신삭제해버렸다. 또, 감염된파일을치료하는백신도실행압축된파일의경우진단후삭제해버려사람들이혼란이발생한다. Win32/Induc 바이러스에대해알아보고이바이러스로인한과제를알아보자. (1) Win32/Induc 바이러스 2009년 8월 19일흔히델파이바이러스로도불리는 Win32/Induc 바이러스가발견되었다. 발견은늦게되었지만 2009년 2월에제작된프로그램에서도발견되어 2009년초혹은그이전부터델파이개발자를중심으로은밀하게퍼진것으로보인다. 다른악성코드에비해발견시기가늦어진건일반컴퓨터에서는별다른증상이없고델파이개발자만을대상으로만활동하기때문이다. Win32/Induc 바이러스는델파이가설치되어있으면 sysconst.pas에바이러스소스코드를삽입하고 dcc32.exe를이용해라이브러리파일을생성해서컴파일되는모든파일에바이러스코드를포함하게하는방법을이용한다. 16 [ 그림 2-1] Win32/Induc 바이러스에감염된파일

(2) 개발자를노린바이러스들 개발자를노린바이러스는예전에도과거에도존재했다. 1994 년발견된 ShiftObj 바이러스는 소스코드와실행코드의중간형태인 OBJ 파일을감염시키는바이러스이다. [ 그림 2-2] ShiftObj 바이러스에감염된파일 C 나파스칼 (Pascal) 의소스코드에바이러스소스코드를포함시키는바이러스도존재한다.

17 (2) 개발자를노린바이러스들 개발자를노린바이러스는예전에도과거에도존재했다 년발견된 ShiftObj 바이러스는 소스코드와실행코드의중간형태인 OBJ 파일을감염시키는바이러스이다. [ 그림 2-2] ShiftObj 바이러스에감염된파일 C 나파스칼 (Pascal) 의소스코드에바이러스소스코드를포함시키는바이러스도존재한다. 17 Main() { Printf( Hello world! ); } [ 그림 2-3] 원래소스코드 #include virus.h Main() { Printf( Hello world! ); Virus(); } [ 그림 2-4] 감염된소스코드 소스코드를직접변조하는바이러스는개발자에의해쉽게발견되는단점이있다. Win32/Apparition 바이러스는바이러스내에소스코드를포함하고있고컴파일러가설치된시스템에서그소스코드를일부변조해컴파일해새로운변종을만들어내는방식을이용한다.

18 이런개발자를목표로한바이러스는개념증명수준으로일반에퍼진경우는드물어그동안큰문제가되지않았다. (3) 치료문제 Win32/Induc 바이러스는 6개월이상발견되지않고개발자들사이에퍼졌고컴파일되는파일들이바이러스를포함되어배포되었다. 감염된파일을치료하는백신도있었지만일부백신은치료대신삭제를했으며개발사에서실행압축된형태로배포한경우치료할수없어감염된파일을삭제해문제가발생했다. 이에백신업체가과잉대응한게아닌가하는논란도발생한다. - 델파이바이러스 백신 과잉대응논란 ( 디지털데일리, 2009년 8월 23일 ) - 보안뉴스 : 변형된델파이바이러스대응책마련시급! 백신업체에서해당바이러스를진단에서제외한것으로오해할수있지만안철수연구소의경우백신에서해당바이러스진단기능을제외하지않았다. V3의경우감염된파일의치료를기본정책으로진행하지만실행압축파일의경우치료를못해삭제하는문제가있어실행압축되어있을때만진단을제외했으며향후적절한정책을진행할예정이다. 이전에도실행압축안에바이러스가감염된경우가있었지만감염된프로그램의배포는제작자의잘못이고그수가적었기때문에삭제를기본정책으로했다. 18 (4) 백신업체정책 델파이개발자들과언론을통해이런문제가제기되었지만이런문제는기존백신업체의정책이해도필요하다. 첫째, 악성코드는악성코드 예전에해가없는바이러스에대해 양성바이러스 라는표현을사용했다. 하지만, 양성바이러스는표현은자칫해가없는바이러스제작은괜찮다고오해할수있어최근에는잘사용되지않는다. 보안업체입장에서는위험도가떨어지거나특정환경에서만활동해도자기복제프로그램은바이러스로분류해서악성코드로진단하고있다.

19 둘째, 감염파일의치료혹은삭제 국내제품의경우바이러스감염파일에대해치료라는복구개념을사용하고있지만일부해외제품의경우감염된파일을삭제하고재설치를권장하고있다. 게다가이번바이러스의경우정상파일에바이러스가감염된게아니라개발자가컴파일러하면서생성되므로감염된파일을치료해도비정상적인행동을할수있다는이유로감염된파일을삭제하고재컴파일을권장하는업체도존재한다. 다만, 백신업체가예측하지못한점이라면델파이로제작하고실행압축프로그램을이용해압축후고객에게제공하는경우가많았다는점이다. 이에치료기능을제공하는업체도감염된파일을삭제해그동안정상적으로 (?) 이용하던프로그램을진단하고삭제해오진이아니냐는문의를받았다. 국내업체는이런고객들의불편을인식하고실행압축된파일은진단하지않는형태로문제를해결했지만바이러스에감염된파일의치료보다는삭제라는다른문화를가진제품도반영될지는현재까지알수없다. 19 (5) 남긴교훈과과제 이번악성코드로백신업체와개발자들간에몇가지교훈과과제를안겨주었다. 악성코드의 90% 이상이단순히삭제하면해결되는트로이목마나웜이차지하고있지만바이러스에의한문제는계속발생하고있어백신업체는바이러스감염파일에대해삭제에대해더고민할필요가생겼다. 특히이번바이러스처럼사용중에감염된파일이아닌처음부터바이러스를포함한파일이라면사용자입장에서잘사용하던파일이삭제되어버려당혹스러울수있다. 감염된파일을치료할수없을때그냥삭제하는정책이아닌사용자에게어떤행동을할지물어보는기능이요구되는것이다. 또, 실행압축파일내에바이러스를포함한경우어떻게처리해야하는가하는문제도고민할필요가있다. 개발업체는개발자시스템과빌드시스템을분리할필요가있다. 백신에서탐지되지않던새로운기법을사용하는바이러스라고해도결국개발자시스템에바이러스가감염되어전파되었기때문에근본적으로개발업체의책임이존재하며이는외부와차단된빌드시스템구축으로이어진다. 새로운기법을사용하는악성코드가등장할때마다백신업체에서는기존정책이나제품의한계로어려움을겪게되고이번 Win32/Induc 바이러스도유사한경우였지만고민해문제

20 를해결해야할것이다. (6) 참고자료 [1] 델파이개발자를노린 Induc 바이러스 ( [2] Induc 바이러스감염파일삭제소동과고민할문제 ( [3] 델파이사태, 새로운보안위협의발견 ( 디지털데일리, 2009년 8월 24일, [4] Eugene Kaspersky, Shifting Objectives, Virus Bulletin, March 1994, pp [5] Eugene Kaspersky, Lock up your Source Code!, Virus Bulletin, June 1994, pp

21 III. 이달의통계 1. 악성코드통계 (1) 8월악성코드통계순위 악성코드명 건수 비율 1 - Win-Trojan/Banker D % 2 NEW Win-Trojan/Downloader.9216.OJ % 3 NEW Win32/Induc % 4 NEW Win-Appcare/RemoveWGA % 4 NEW Win-Trojan/Agent % 4 NEW Win-Trojan/Agent.6144.HK % 4 NEW Win-Trojan/Fraudload % 4 NEW Win-Trojan/Reboot % 9 NEW Win-Trojan/Fakeav % 9 NEW Win-Trojan/Spambot % 합계 % 21 [ 표 3-1] 2009 년 8 월악성코드피해 Top 10 현재짧은시간내에수많은신종또는변종악성코드의생성및소멸등이반복되면서악성코드의라이프사이클이매우짧아졌고이로인해매월악성코드피해 Top 10은새로운악성코드진단명으로갱신되어왔다. 그러나 6 / 7 / 8월 3달동안 Win- Trojan/Banker D가 1위를고수했다는것은앞에서언급한현악성코드트렌드에비춰볼때특이하다고할수있지만이현상이현악성코드트렌드에큰변화는주지않을것으로보이며일시적인것인지아니면지속될것인지에대해서는좀더모니터링할필요가있다. 바이러스는타시스템으로자체확산기능은없기때문에 Win/Virut을제외하고는바이러스류의악성코드가월악성코드 Top 10에진입하는것은매우드문일인데 Win32/Induc 바이러스가 8월악성코드피해 Top 10에서 3위에랭크될수있었던원인을살펴보면델파이개발자의 PC가 Win32/Induc에감염된상태에서델파이로작성된소스에 Win32/Induc의바이러스코드를삽입했다. 그리고감염된델파이소스가컴파일된후인터넷을통해서사용자들에게배포되었기때문으로해석될수있다. 그나마다행인것은이번 Win32/Induc은델파이개발자 PC에존재하는델파이소스에자신의바이러스코드를삽입할뿐일반사용자의 PC에서 Win32/Induc 바이러스에감염된실행파일을실행하더라도악의적인행위는발생하지않는다는점이다.

22 8월악성코드피해 Top 10에서주목할것은 4위에랭크된 Win- AppCare/RemoveWGA.49664이다. 보통 Win-AppCare는파일이정상이면서악의적인목적에사용될가능성이있기때문에명명된것으로전체진단명을보면윈도우의정품인증을우회하는데사용되는일종의크랙이나키젠으로보여진다. 그리고 Win-AppCare가 4위에랭크될수있었던것은일부사용자들이해당진단명을가진파일을사용해서정품윈도우를불법으로사용하고있기때문인것으로추정되며특정웹사이트나 P2P공유프로그램을통해서공유되는크랙이나키젠은본래목적을위한파일도존재하지만대부분악성코드가상용프로그램의크랙또는키젠으로위장한후사용자를현혹하여악성코드자신을다운로드하여실행하도록하기때문에절대로다운로드해서는안되며정품프로그램을사용해야한다. Win-Trojan/Spambot.11264가 8월악성코드피해 Top 10에신규로진입했고 Win- Trojan/Spambot계열의악성코드는악성코드피해통계에서그다지큰비중은차지하고있지않으나꾸준히피해신고가접수되고있다. 그리고 Win-Trojan/Spambot계열의악성코드는감염된시스템을좀비 PC로만든후불특정다수의사용자에게스팸메일을발송하는데이역시악성코드제작자또는스패너에게돈벌이수단으로써효과적이기때문이며이런현상은계속될것이다. 그외에는새로운진단명의악성코드들이 8 월악성코드피해 Top 10 에진입하였다. 22 순위 악성코드명 건수 비율 1 1 Win-Trojan/OnlineGameHack % 2 1 Win32/Virut % 3-2 Win-Trojan/Agent % 4 NEW Win32/IRCBot % 5-1 Win-Trojan/Downloader % 6 NEW Dropper/Bobax % 7 NEW Win-Trojan/Banker % 8 2 Dropper/Agent % 9 NEW Win-Trojan/Hupigon % 10-3 Win-Trojan/Magania % 합계 2, % [ 표 3-2] 월악성코드대표진단명 Top 10 [ 표 3-2] 는대표진단명을기준으로유사변형들을묶어통계를뽑은것으로개별악성코드에대한피해현황을설명하고있는 [ 표 3-1] 보다좀더포괄적인악성코드감염현황을파

23 악하는데목적이있다. 8월에는 Win32/IRCBot, Dropper/Bobax, Win-Trojan/Banker, Win-Trojan/Banker계열의악성코드가악성코드대표진단명 Top 10에신규로진입하였고나머지악성코드들은전월대비소폭상승하거나하락등변동이있었지만대표진단명의전체적인분위기에서큰변화는없었다. Win32/Virut은 440건의피해신고가접수되면서 8월악성코드대표진단명 Top 10에서 17.2% 를점유했으며이로인해전월대비 1 단계상승으로 2위를차지했다. 전월과비교해볼때약 1.7% 의피해신고가증가한수치인데 7월에는기존의 Win32/Virut에의한꾸준한피해신고와일부변종이접수되면서악성코드대표진단명 Top 10에신규로진입하면서 3위에랭크되었지만 8월에는추가변종이발견되지않았으며기존의 Win32/Virut에의한피해신고가꾸준히접수되었기때문이다. 현재 Win32/Virut의전체적인확산분위기는잠시소강상태이지만변종의발견가능성이존재하고기존의 Win32/Virut에의한꾸준한피해신고가증가할것인지하락할것인지는좀더지켜볼필요가있다. 23 8월에는 Win-Trojan/OnlineGameHack이 1 단계상승으로 1위를, Win-Trojan/Magania가 3 단계하락한 10위를그리고 Dropper/OnlineGameHack이전월대비순위권밖으로밀려나긴했지만해당악성코드들은진단명에차이가있을뿐동일한목적을가지고있다. 8월에게임핵악성코드류가 1위를차지한이유는잠시소강상태를보였던 ARP Spoofing을통한게임핵악성코드유포사례가일부접수됐으며자체적으로운영하고있는 Active Honeypot 을통해서해킹된웹사이트를경유하여유포되는게임핵악성코드를수시로수집및엔진에반영한것도영향을준것으로보인다. Win32/IRCBot이 13.9% 를점유하면서 4위에랭크되었는데현악성코드트렌드가국지성, 금전적인이득목적을지향하고있다는것을감안할때기존의악성코드피해건수집계에서 Win32/IRCBot의피해건수가주는의미는크지않았으나 8월악성코드대표진단명 Top 10 에신규진입및 4위에랭크되었다는것은특이하다고할수있다. 이현상 Win32/Virut과더불어일시적인것인지아니면다음달에도 Top 10에랭크될것인지에대해서는좀더지켜볼필요가있다.

24 [ 그림 3-1] 2009 년 8 월악성코드유형별피해신고비율 [ 그림 3-2] 는 2009년 8월전체악성코드유형별피해신고건수를나타내고있는그래프인데전월과동일하게트로이목마 > 바이러스, 드롭퍼 > 웜 > 스크립트 > 유해가능프로그램 > 기타순으로정리해볼수있다. 24 [ 그림 3-2] 2009 년 7/8 월악성코드유형별피해신고비율전월비교 8월악성코드유형별피해신고비율도전월과유사하게특정악성코드유형에서눈에띄게큰폭으로증가했거나감소한현상은없었으며최대 8% 이내에서상승이나감소가있었다. 7 월까지악성코드유형별피해신고에서바이러스의경우최대약 10% 를넘지는않았지만 8 월에약 1.8% 소폭상승하면서처음으로 10% 를넘어서 12.3% 를점유했는데원인은앞에서언급한것처럼꾸준한 Win32/Virut계열의바이러스에의한피해신고접수와 Win32/Induc의피해신고가겹친것으로볼수있다. 또한웜의경우도마찬가지로 8월에약 5% 가증가한 12.3% 의점유율을보이고있는데정확한원인은파악이불가능하다. 그외악성코드유형에서별다른특이사항은발견되지않았다.

25 [ 그림 3-3] 월별피해신고건수 월별피해건수는 8 월에다시증가했는데증가원인은앞에서여러번언급했기때문에생략 하도록한다. 25 이번 Win32/Induc과관련해서한가지짚고넘어가야할것이있다. Win32/Induc에대해서아무런증상이없는데백신업체에서과잉대응한것이아니냐는논란이있었다. 백신업체에서는파일의원래제작목적과상반되는코드가존재하고해당코드가실행되어악의적인행위를한다면당연히진단해야하며설사아무런증상이발생하지않더라도분석후악성으로판단되면진단및치료하는것이원칙이라는것을알아야한다. 이번 Win32/Induc이단순히델파이소스에자신의코드를삽입하는것외에는별다른증상은없어서그나마다행이었지만만약 Win32/Virut처럼순수악의적인목적을가진바이러스였다는가정하에컴파일된파일이감염된채로인터넷을통해서일반사용자들의 PC에배포되었을것이고해당파일이실행되면서저번 7.7 DDoS 악성코드와유사한악성코드를추가로일반사용자들 PC에다운로드하여실행되었다면피해는상당히켰을것이고이로인해다시한번혼란에빠질수도있었다. 이번 Win32/Induc의경우를볼때개발자입장에서코딩하는것도중요하지만어떻게하면좀더안전하게코딩하고배포할수있는지에대해서진지하게생각해볼필요가있다. (2) 국내신종 ( 변형 ) 악성코드발견피해통계 8 월한달동안접수된신종 ( 변형 ) 악성코드의건수및유형은 [ 표 3-3] 과같다. [ 표 3-3] 2009 년최근 3 개월간유형별신종 ( 변형 ) 악성코드발견현황

이번달악성코드는전월대비 18% 감소하였다. 전월과마찬가지로대부분의악성코드유형에서감소추세가있었다. 트로이목마는전월대비 10% 감소가있었다. 대부분의악성코드가 3개월연속감소추세에있지만감소추세임을간과해서는안된다. 여전히작년동기와비교하면악성코드는왕성한활동을보이고있다. 다음은이번달악성코드유형을분류하였다.

26 이번달악성코드는전월대비 18% 감소하였다. 전월과마찬가지로대부분의악성코드유형에서감소추세가있었다. 트로이목마는전월대비 10% 감소가있었다. 대부분의악성코드가 3개월연속감소추세에있지만감소추세임을간과해서는안된다. 여전히작년동기와비교하면악성코드는왕성한활동을보이고있다. 다음은이번달악성코드유형을분류하였다. 트로이목마가전체의 60.7% 를차지하고이어서드롭퍼및스크립트악성코드유형으로분포되어있다. 26 [ 그림 3-4] 2009 년 08 월신종및변형악성코드유형 [ 그림 3-5] 최근 3 개월간신종및변형악성코드분포 가장많은유형을차지하는트로이목마유형은최근감소추세가뚜렷한것을알수가있다. 감소의원인은명확하지않지만다음날이러한원인에대해서다각도로검토해볼수있는

27 자료가나올것으로기대해본다. 최근안철수연구소는개인사용자상용제품에클라우드기반기술의안랩스마트디펜스엔진을탑재했다. 이러한노력의일환으로안철수연구소로접수되는신규악성코드가감소할수도있는데이러한부분은다음달에조사하여정리하도록하겠다. 27

2. 스파이웨어통계 (1) 8 월스파이웨어피해현황 순위 스파이웨어명 건수 비율 1 NEW Win-Adware/WiseBar.36864 17 25.4 % 2 NEW Win-Downloader/Rogue.HomeAntiVirus2010.184393 8 11.9 % 3 NEW Win-Adware/Overtls.

28 2. 스파이웨어통계 (1) 8 월스파이웨어피해현황 순위 스파이웨어명 건수 비율 1 NEW Win-Adware/WiseBar % 2 NEW Win-Downloader/Rogue.HomeAntiVirus % 3 NEW Win-Adware/Overtls % 4 NEW Win-Downloader/Asdfware % 4 NEW Win-Downloader/SBrowser % 4 NEW Win-Spyware/NetHack % 4 NEW Win-Downloader/KorAdware B % 4 NEW Win-Downloader/QNums B % 4 NEW Win-Adware/IEShow AB 4 6 % 10 NEW Win-Downloader/Loa % 합계 % [ 표 3-4] 2009년 8월스파이웨어피해 Top [ 그림 3-6] 2009 년 8 월스파이웨어피해 Top 년 8월에는애드웨어와이즈바 (Win-Adware/WiseBar.36864) 가가장많은피해를입힌것으로나타났다. 애드웨어와이즈바는국내에서제작된키워드검색프로그램으로 IE의플러그인형태로동작하며사용자의검색키보드입력에대한광고를노출하는애드웨어다. 사용자동의없이여러가지광고성프로그램을설치하는것으로알려진다운로더에이디에스에프웨어 (Win-Downloader/Asdfware ) 가피해 Top10에등록되었다. 다운로더에

29 이디에스에프웨어는주로국내고전게임사이트를통해배포되고있다. 순위 대표진단명 건수 비율 1 7 Win-Downloader/Rogue.FakeAV % 2 - Win-Dropper/Rogue.FakeAV % 3-2 Win-Downloader/Zlob % 4 NEW Win-Spyware/Crypter % 5 NEW Win-Dropper/Rogue.SystemSecurity % 5 NEW Win-Dropper/Rogue.TotalSecurity % 7-3 Win-Adware/IEShow % 8 NEW Win-Adware/WiseBar % 9 NEW Win-Downloader/Asdfware % 10 NEW Win-Adware/Overtls % 합계 % [ 표 3-5] 8월대표진단명에의한스파이웨어피해 Top10 29 [ 표 3-5] 은변형을고려하지않은대표진단명을기준으로한피해건수이다. 외산가짜백신을설치하는다운로더즐롭 (Win-Downloader/Zlob) 과스파이웨어크립터 (Win-Spyware /Crypter) 에의한피해가계속해서큰비중을차지하고있으며, 이들스파이웨어가설치하는것으로알려진외산가짜백신인시스템시큐리티와 (Win-Dropper/Rogue.SystemSecurity) 토탈시큐리티2009(WinDropper/Rogue.TotalSecurity2009) 이그뒤를이었다. 7위부터 10위까지의애드웨어는국내에서제작된애드웨어로확인되었다 년 8 월유형별스파이웨어피해현황은 [ 표 3-6] 과같다. 구분 스파이 웨어류 애드 웨어 드롭퍼 다운 로더 다이 얼러 클리커 익스 플로잇 AppCare Joke 합계 6월 , ,260 7월 ,200 8월 ,330 [ 표 3-6] 2009 년 8 월유형별스파이웨어피해건수 상반기계속해서변형을생산하며스파이웨어감염피해의대부분을차지하던다운로더류의피해건수는 7월을기점으로대폭감소했다. 다운로더류의피해는지난달에비해소폭증가했으나, 애드웨어의피해건수는감소했다.

30 (2) 8 월스파이웨어발견현황 8 월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 3-7], [ 그림 3-7] 와같다. 구분 스파이 웨어류 애드 웨어 드롭퍼 다운 로더 다이 얼러 클리커 익스 플로잇 AppCare Joke 합계 6월 , ,979 7월 월 [ 표 3-7] 2009 년 8 월유형별신종 ( 변형 ) 스파이웨어발견현황 30 [ 그림 3-7] 2009 년 8 월발견된스파이웨어프로그램비율 상반기가장많은피해신고가접수된다운로더류는 7월부터피해신고가감소하기시작했다. 8월에는소폭증가했으나그수는상반기에비해미미하다. 8월에는드로퍼류가많이발견되었다. 8월에진단추가된드로퍼류중대부분이외산가짜백신을설치하는기능을하는스파이웨어였다. 하반기에는가짜백신을설치하는드로퍼류의증가와함께외산가짜백신의피해증가가우려된다.

31 3. 시큐리티통계 (1) 8 월마이크로소프트보안업데이트현황 마이크로소프트사로부터발표된이달보안업데이트는총 9 건으로긴급 (Critical) 5 건, 중요 (Important) 4 건이다. [ 그림 3-8] 8 월 MS 보안업데이트현황 31 위험도 취약점 PoC 긴급 (MS09-039) MS WINS 취약점으로인한원격코드실행문제점 유 긴급 (MS09-043) MS Office Web Component 취약점으로인한원격코드실행문제점 유 긴급 (MS09-044) MS Remote Desktop Connection 취약점으로인한원격코드실행문제점 유 [ 표 3-8] 2009년 08월주요 MS 보안업데이트 이달에는지난 7월에발표된 Microsoft Office Web Component 취약점에관련된패치가발표되었으므로반드시해당보안패치를진행하여야한다. 또한, MS WINS와 MS Remote Desktop Connection 취약점은원격으로코드를실행할수있는문제를가지고있기때문에패치가적용되지않았을경우심각한문제를일으킬수있다.

(2) 2009 년 8 월웹침해사고및악성코드배포현황 2009 년 8 월웹침해사고및악성코드배포현황 [ 그림 3-9] 악성코드배포를위해침해된사이트수 / 배포지수 2009년 8월악성코드를위해침해된웹사이트의수와악성코드유포지의수는 127/7 2009년 7월의 67/15와비교하여유포지의수는소폭감소하였고침해지의수는큰폭으로증가하였다.

32 (2) 2009 년 8 월웹침해사고및악성코드배포현황 2009 년 8 월웹침해사고및악성코드배포현황 [ 그림 3-9] 악성코드배포를위해침해된사이트수 / 배포지수 2009년 8월악성코드를위해침해된웹사이트의수와악성코드유포지의수는 127/7 2009년 7월의 67/15와비교하여유포지의수는소폭감소하였고침해지의수는큰폭으로증가하였다. 예전에는침해된사이트의 HTML 코드내에쉘코드등을삽입하여배포하였으나, 요즈음에는쿠키정보를공격자에게전송하는코드역시삽입되어있다. 다음코드는실제공격코드의일부이다. 32 {var endstr=document.cookie.indexof(";",iz);if(endstr==-1). {var arg=name+"=";var alen=arg.length;var clen=document.cookie.length;var i=0;var [ 그림 3-10] 쿠키를전송하는공격코드 위와같은코드가실행되면 asp&location=http%3a//203.,,,, 20windows%20nt%205.1% 3b%20sv1%29와같은정보가전송된다. 이러한공격으로부터사용자의시스템을방어하기위해서는항상사용제품의보안상태를최신으로유지하고, 최신상태의안티바이러스제품을사용해야한다.

33 4. 사이트가드통계 (1) 2009 년 8 월웹사이트보안요약 구분 건수 악성코드발견건수 302,814 악성코드유형 926 악성코드가발견된도메인 853 악성코드가발견된 URL 6,381 [ 표 3-9] 8 월웹사이트보안요약 웹사이트를통한사용자의피해를막기위해안철수연구소가제공하는인터넷보안무료서비스인 사이트가드 1 의통계를기반으로본자료는작성되었다. [ 표 3-9] 는 2009년 8월한달동안웹사이트를통해발견된악성코드동향을요약해서보여주고있다. 33 사이트가드의집계에따르면 8월한달동안악성코드는 926종 302,814건발견되었으며, 악성코드가발견된도메인은 853건, 악성코드가발견된 URL은 6,381건으로발견된 URL 건수만제외하고모두지난 6월보다증가하였다. 악성코드발견건수 302,814건은 6월 302,814건에비해 38% 수준증가한수치이다. 또한, 악성코드유형은지난달보다 12% 증가하였으며, 악성코드가발견된도메인은 10% 가증가하였다. 하지만, 악성코드가발견된 URL은지난달보다 28% 가감소하였다. 이는웹사이트를이용하여악성코드를배포하는방식이하나의도메인에여러 URL을이용하였던추세에서, 이제는여러도메인을사용하는추세로변화고있는것으로추정된다. 8 월사이트가드통계를기반으로한분석결과는다음과같다. 1

34 (2) 악성코드월간통계 가 ) 악성코드발견건수 [ 그림 3-11] 월별악성코드발견건수 [ 그림 3-11] 은최근 3개월인, 2009년 6월부터 2009년 8월까지의악성코드발견건수의추이를나타내는그래프로 8월악성코드발견건수는 302,814건으로지난달의급격한감소세를벗어나 38% 증가하였다. 34 나 ) 악성코드유형 [ 그림 3-12] 월별악성코드유형

35 [ 그림 3-12] 은최근 3 개월간발견된악성코드의유형을나타내는그래프로 8 월에는 926 종 으로지난 7 월에비해소폭증가하였다. 다 ) 악성코드가발견된도메인 [ 그림 3-13] 월별악성코드가발견된도메인 35 [ 그림 3-13] 은최근 3 개월간악성코드가발견된도메인수의변화추이를나타내는그래프 로 8 월악성코드가발견된도메인은 853 개로전월에비해소폭증가하였다. 라 ) 악성코드가발견된 URL [ 그림 3-14] 월별악성코드가발견된 URL [ 그림 3-14] 는최근 3 개월간악성코드가발견된 URL 수의변화추이를나타내는그래프로 8 월악성코드가발견된 URL 수는 6,381 개로전월에비해 28% 감소하였다.

(3) 유형별악성코드배포수 유형 건수 비율 Adware 92,345 30.5 % Trojan 85,122 28.

9 % AppCare 952 0.3 % Win-Clicker 2,930 1 % Spyware 2,748 0.

3 % 합계 302,814 100 % [ 표 3-10] 유형별악성코드배포수 36 [ 그림 3-15] 유형별악성코드분포 [ 표 3-10] 과 [

36 (3) 유형별악성코드배포수 유형 건수 비율 Adware 92, % Trojan 85, % Downloader 5,989 2 % Win32/Virut 3,062 1 % Dropper 20, % AppCare % Win-Clicker 2,930 1 % Spyware 2, % 조크 % 기타 88, % 합계 302, % [ 표 3-10] 유형별악성코드배포수 36 [ 그림 3-15] 유형별악성코드분포 [ 표 3-10] 과 [ 그림 3-15] 은 8 한달동안발견된악성코드를유형별로구분하여발견건수 와해당비율 (%) 를보여주고있다. 8월한달동안총 302,814개의악성코드가발견되었으며이중 Adware류가 92,345개로 7 월에이어서 1위를고수하였다. Trojan류는 85,122개로 2위를차지하였으며, 3위는 Dropper 류가 20,934개로 3위를차지하였다.

37 (4) 악성코드배포순위 순위 악성코드명 건수 비율 1 NEW Win32/Induc 76, % 2 - Win-Adware/Shortcut.InlivePlayerActiveX , % 3-2 Win-Trojan/Xema.variant 45, % 4 NEW Win-Trojan/Hupigon AA 16, % 5 NEW Win-Dropper/KorZlob , % 6-2 Win-Adware/Shortcut.IconJoy , % 7-2 Win-Adware/Shortcut.INBEE.iomeet ,025 3 % 8-1 Win-Adware/BHO.HiMyCar ,912 3 % 9-3 Win-Trojan/StartPage , % 10 - Win32/Parite 4, % 합계 231, % [ 표 3-11] 유형별악성코드배포 Top [ 표 3-11] 는 8월한달동안웹사이트에서사이트가드를통해확인된악성코드배포 Top 10을보여주고있다. Top 10에포함된악성코드들의총배포건수는 231,287건으로 8월한달총배포건수 302,814건의약 76% 에해당된다. [ 표3-11] 유형별악성코드배포 Top10 에서알수있듯이 Top10의대부분은 Adware류와 Trojan류가차지하였다. 특이한점은델파이개발자를타겟으로제작된 Win32/Induc이악성코드 Top1에올랐다는것이다. 이점은개발단계에서부터악성코드검사확인이얼마나중요한지를알리는좋은사례이며, 앞으로개발자부터악성코드의위협에대한인식과예방조치가앞장서는계기가되길바란다. 요컨대, 2009년 4월부터시작된악성코드의증가세는 6월에정점을찍고 7월에는감소하였으나, 다시 8월부터증가추세를보이고있다. 앞으로도매월악성코드배포건수는증가세와감소세가반복되겠지만, 전반적으로는지속적으로악성코드는증가할것이다. 특히웹사이트를통한악성코드배포가효과적인측면에서여타의배포방식보다높기때문에, 기업보안관리자는사이트가드와같은웹보안서비스를이용하여계속적인자사사이트에대한관리가필요할것이다.

38 ASEC REPORT 작성을위하여다음과같은분들께서수고하셨습니다 년 8 월호 편집장선임연구원허종오 집필진 선임연구원 정진성 선임연구원 차민석 선임연구원 허종오 주임연구원 장영준 주임연구원 강동현 주임연구원 안창용 주임연구원 김민성 연 구 원 김용구 연 구 원 하동주 감수상무조시행 참여연구원 ASEC 연구원분들 SiteGuard 연구원분들 38

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B 월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10