Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights res

Transcription

1 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. ASEC REPORT VOL 안철수연구소월간보안보고서 악성코드분석특집 디스크볼륨 Open 후직접 Write 하는 루트킷분석정보

2 AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구소의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 ( 에서확인하실수있습니다. CONTENTS 01. 악성코드동향 a. 악성코드통계 시큐리티동향 a. 시큐리티통계 28 - 악성코드감염보고 Top 20 - 악성코드대표진단명감염보고 Top 20 - 악성코드유형별감염보고비율 - 악성코드유형별감염보고전월비교 - 악성코드월별감염보고건수 - 신종악성코드감염보고 Top 20 - 신종악성코드유형별분포 - 5월마이크로소프트보안업데이트현황 b. 시큐리티이슈 29 - 국외인터넷뱅킹을노리는 Zeus 소스유출과 SpyEye 동향 - 뱅킹트로잔 CoreFlood - 국내금융권사이트해킹, 인터넷뱅킹악성파일 b. 악성코드이슈 웹보안동향 - 페이스북을도배하는스팸광고주의 - 스팸메일을통해유포되는 AntiVirus AntiSpyware 2011 허위백신 - 주문확인메일로위장한악성코드유포 - 사진메일로위장한악성코드다시유포 - 오사마빈라덴사망소식으로위장한악성코드유포 c. 악성코드분석특집 17 - 디스크볼륨 Open 후직접 Write 하는루트킷분석정보 a. 웹보안통계 32 - 웹사이트보안요약 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위 b. 웹보안이슈 년 5 월침해사이트현황

3 Web 악성코드동향 a. 악성코드통계 악성코드감염보고 Top 20 악성코드대표진단명감염보고 Top 년 5 월악성코드통계현황은다음과같다 년 5 월의악성코드감염보고는 Textimage/Autorun 이 1 위를차지하고있으며, Swf/Downloader 와 JS/Redirect 가각각 2 위와 3 위를차지하였다. 신규로 Top20 에진입한악성코드는총 8 건이다. 아래표는악성코드별변종종합감염보고순위를악성코드대표진단명에따라정리한것이다. 이를통 해악성코드의동향을파악할수있다 년 5 월의감염보고건수는 Win-Trojan/Onlinegamehack 이 총 1,224,743 건으로 Top20 중 15.7% 의비율로 1 위에올랐으며, Textimage/Autorun 이 830,553 건으로 2 위, Win-Trojan/Downloader 가 723,193 건으로 3 위를차지하였다. 순위등락악성코드명건수비율 순위등락악성코드명건수비율 1 Textimage/Autorun 830, % 1 Win-Trojan/Onlinegamehack 1,224, % 2 NEW Swf/Downloader 458, % 2 1 Textimage/Autorun 830, % 3 JS/Redirect 360, % 3 1 Win-Trojan/Downloader 723, % 4 4 Win-Trojan/Winsoft CIB 274, % 4 2 Win-Trojan/Winsoft 700, % 5 NEW JS/Downloader 217, % 5 Win-Trojan/Agent 636, % 6 10 JS/Exploit 202, % 6 NEW Swf/Downloader 458, % 7 2 Win32/Induc 188, % 7 3 Win32/Conficker 367, % 8 6 Win-Trojan/Overtls27.Gen 141, % 8 1 JS/Redirect 360, % 9 NEW Win-Trojan/Downloader , % 9 2 Win32/Autorun.worm 355, % 10 3 Win32/Palevo1.worm.Gen 128, % 10 2 Win32/Virut 286, % 11 NEW JS/Cve , % 11 3 Dropper/Malware 234, % 12 3 Win32/Conficker.worm.Gen 111, % 12 2 Win32/Kido 233, % 13 NEW JS/Exploit-down 106, % 13 NEW JS/Downloader 217, % JS/Agent 101, % 14 NEW JS/Exploit 202, % 15 5 Win32/Olala.worm 98, % 15 Win-Adware/Koradware 192, % 16 3 Win32/Virut.f 91, % 16 Win32/Induc 188, % 17 NEW Als/Pasdoc 88, % 17 1 VBS/Solow 155, % 18 7 Win32/Parite 86, % 18 1 Win32/Palevo 154, % 19 NEW JS/Exploit-download 85, % Win-Trojan/Overtls27 141, % 20 NEW Dropper/Onlinegamehack5.Gen 80, % 20 Win32/Palevo1 128, % 3,901, % 7,792, % [ 표 1-1] 악성코드감염보고 Top 20 [ 표 1-2] 악성코드대표진단명감염보고 Top 20

4 Web 7 8 악성코드유형별감염보고비율 악성코드월별감염보고건수 아래차트는 2011 년 5 월한달동안안철수연구소가집계한악성코드의유형별감염비율을분석한결과다 년 5 월의감염보고건수중악성코드를유형별로살펴보면, 감염보고건수비율은트로잔 (TROJAN) 류가 43.7% 로가장많이차지하였으며, 스크립트 (SCRIPT) 가 16.4%, 웜 (WORM) 이 13% 로각각그뒤를잇고있다. 5 월의악성코드월별감염보고건수는 14,499,855 건으로, 4 월의악성코드월별감염보고건수 17,531,396 건에비해 3,031,541 건이감소하였다. 5 월의악성코드월별감염보고건수는 14,499,855 건 으로, 4 월의악성코드월별감염보고건수 17,531,396 건에비해 3,031,541 건이감소하였다. Trojan Script Worm 43.7% 16.4% 43.7% 13% 16.4% 20,000,000 18,626, % 17,531, % 14,499, % 13% ETC 9.8% 9.8% Adware 5.3% 5.3% Dropper 4.9% 4.9% Virus 4.8% 4.8% Downloader 1% 1% Spyware 0.5% 0.5% Appcare 0.5% 0.5% Clicker 0% 0% Other 29.6% Worm 13% Script 16.4% Trojan 43.7% 16,000,000 12,000, ,000,000 16,000,000 20,000, [ 그림 1-1] 악성코드유형별감염보고비율 [ 그림 1-3] 악성코드월별감염보고건수 악성코드유형별감염보고전월비교악성코드유형별감염보고비율을전월과비교하면, 스크립트, 웜, 애드웨어 (ADWARE), 바이러스 (VIRUS) 가전월에비 신종악성코드유형별분포 5 월의신종악성코드유형별분포는트로잔이 61% 로 1 위를차지하였다. 그뒤를이어스크립트가 14%, 애드웨어가 13% 를점유하였다. 해증가세를보이고있는반면트로잔, 드 롭퍼 (DROPPER), 스파이웨어 (SPYWARE) 는 전월에비해감소한것을볼수있다. 다운 로더 (DOWNLOADER), 애프케어 (APPCARE) 계열들은전월수준을유지하였다. Trojan 61% Worm 1% Downloader 3% Dropper 7% Adware 13% Script 14% [ 그림 1-2] 악성코드유형별감염보고전월비교 [ 그림 1-4] 신종악성코드유형별분포

5 Web 9 10 신종악성코드감염보고 Top 20 아래표는 5 월에신규로접수된악성코드중고객으로부터감염이보고된악성코드 Top20 이다. 5 월의신 종악성코드감염보고의 Top 20 은 JS/Exploit-down 가 106,908 건으로전체 15% 를차지하여 1 위를차 01. 악성코드동향 b. 악성코드이슈 지하였으며, JS/Exploit-download 가 85,272 건으로 2 위를차지하였다. 순위 악성코드명 건수 비율 1 JS/Exploit-down 106, % 2 JS/Exploit-download 85, % 3 Win-Trojan/Downloader Z 69, % 4 HTML/Exploit-down 63, % 5 Win-Adware/WindowSmart , % 6 Win-Trojan/Agent BY 35, % 7 Win-Trojan/Exploit-swf 34, % 8 Win-Trojan/Onlinegamehack HA 31, % 9 Win-Trojan/Onlinegamehack B 24, % 10 Win-Trojan/Onlinegamehack AJ 24, % 11 Dropper/Agent , % 12 Win-Adware/WindowSmart , % 13 Win-Trojan/Adload B 20, % 14 Win-Adware/Shortcut.SayPoint , % 15 Win-Trojan/Downloader B 19, % 16 Win-Trojan/Downloader , % 17 Win-Adware/KorAdware , % 18 Win-Trojan/Downloader C 17, % 19 Win-Trojan/Onlinegamehack B 15, % 20 Win-Downloader/Totoran , % 710, % [ 표 1-3] 신종악성코드감염보고 Top 20 페이스북을도배하는스팸광고주의페이스북 (Facebook) 은전세계적으로수억명이상의사용자를보유하고있으며, 국내에서도 300만명에가까운사용자수를보이고있다. 하지만많은사용자가이용하는만큼스팸성광고가기승을부리고있으며, 5월12일경에는 [ 그림1-5] 와같이 'VERIFY MY ACCOUNT' 라는링크된스팸메시지가눈에띄었다. [ 그림1-5] 'VERIFY MY ACCOUNT' 클릭시전파되는스팸메시지스팸메시지임에도 ' 계정을확인해달라 ' 는등뭔가스팸광고를차단하기위한페이스북자체서비스로오인하기쉽게메시지가작성되어있다. 해당메시지를클릭하면친구로맺어진사용자자신의모든친구에게똑같은스팸메시지를발송한다. 해당스팸메시지는발생몇시간만에페이스북에서일괄삭제하여확산을방지하였지만, 전세계적으로수억명이이용하는만큼페이스북에는이와같은스팸메시지의재발위험이도사리고있다고하여도과언은아닐것이다. 실제로며칠후에 [ 그림1-6] 과같이 ' 좋아요 (like)' 버튼에상반되는 ' 싫어요 (dislike)' 버튼을생성되었다는글이담벼락에기재되었다. 이또한 'VERIFY MY ACCOUNT' 이슈와동일시되는스팸메시지로확인되었으며, 한국에서는이슈가되지않고잠잠해진것으로확인되었다. [ 그림1-6] ' 싫어요 (dislike)' 버튼이생성되었다는스팸메시지이처럼아직은페이스북을도배하는스팸광고는단순한스팸성메시지및앱설치등을유도하고있지만, 앞으로는악성코드가삽입된메시지의기재가가능할수있으므로스팸메시지나앱등의심되는메시지클릭시주의가필요하다. 스팸메일을통해유포되는 AntiVirus AntiSpyware 2011 허위백신 [ 그림 1-7] 스팸메일의내용과첨부된 'mypicture.scr' 악성코드 제목이 "my naked pic is attached" 로되어있는허위백신파일을첨부한스팸메일이발견되었다. AntiVirus AntiSpyware라는이름의허위백신은몇해전부터꾸준히발견되고있으며, 4~5월에는 [ 그림 1-7] 과같은스팸메일이불특정다수에게발송되었으므로허위백신감염에사용자들의주의가요구되고있다. 해당악성코드에감염되면 [ 그림1-8] 과같이 'AntiVirus AntiSpyware 2011' 라는허위백신 (FakeAV) 이시스템에설치되게된다. 또한 [ 그림 1-9] 와같이시스템에다수악성코드가감염된것처럼진단목록을보여줌으로써결재를유도한다. 또한, 허위경고를지속적으로보여주며, 해당허위백신이실행되는동안다른응용프로그램실행이제한적일수도있다. 국내에서발견되는허위백신악성코드는 V3에서 Win-Trojan/ Fakeav라는대표진단명으로진단및빠른치료가이루어지도록하고있지만, 허위백신의수가계속해서늘어나고웹페이지를통한유포도이루어지고있어사용자들의주의가필요하다.

6 Web [ 그림 1-8] AntiVirus AntiSpyware 2011 [ 표 1-4] 주문확인메일로위장한스팸메일구성 에서제작된허위백신이실행되며시스템전체를검사한다. [ 표 1-5]UPS 운송메일로위장한악성코드의메일 2 형 [ 그림 1-9] 결재를유도하기위한허위경고 메일제목 Successful Order [6 자리임의의숫자들 ] 메일본문 Thank you for ordering from Bobijou Inc. This message is to inform you that your order has been received and is currently being processed. Your order reference is [6 자리임의의숫자들 ]. You will need this in all correspondence. This receipt is NOT proof of purchase. We will send a printed invoice by mail to your billing address. You have chosen to pay by credit card. Your card will be charged for the amount of USD and Bobijou Inc. will appear next to the charge on your statement. You will receive a separate confirming your order has been dispatched. Your purchase and delivery information appears below in attached file. Thanks again for shopping at Bobijou Inc. 검사가완료되면다수정상파일들을악성코드로진단하고 [ 그림 1-11] 과같이다수악성코드가시스템에서발견되었다는허위경고문구를보여준다. 그리고치료를위해프로그램사용을위한등록 (Register) 을클릭하게되면아래 [ 그림 1-12] 와같이금전적인비용을지급하라고요구한다. [ 그림 1-12] 금전결제를유도하는웹페이지 메일제목 ( 다음중하나 ) 메일본문 my naked picture my naked pic :) naked picture of me sending you my nude pic my hot pic :) sending you my nude pic for a good day :) my naked pic is attached hi sweetie... sending you my naked pictures i made today, hope you like em :) kisses.. hi sweetie sending you my naked pictures i made today, hope you like em :) c ya tommorow kisses 첨부파일 - Order details.zip(7,345 바이트 ) [ 그림 1-10] 허위백신의허위감염검사결과 I love wild sex and looking for a discreet partner. I have my picture attached to this . Take a look at it and get back if you like what you see. 이번에발견된허위주문확인메일과관련된악성코드는 V3 제품군에서다음과같이진단한다. 첨부파일 ( 다음중하나 ) - pictures.zip(45,003 바이트 ) - mypicture.scr(54,784 바이트 ) - Win-Trojan/Chepvil E - Win-Trojan/Chepvil F - Win-Trojan/Zbot D - Win-Trojan/Kazy 례를보았을때허위백신을설치하는다른악성코드를내려받을것으로추정된다. 그리고시스템에서실행중인프로세스에서 kav.exe 와 navapsvc.exe 같은보안프로그램들의프로세스를확인한후강제종료를시도하고, 레지스트리 (Registry) 를조작하여윈도보안센터의서비스를강제종료한다. 지속적으로발견되고있는사진파일 주문확인메일로위장한악성코드유포 4월 26일새벽부터국외쇼핑몰에서주문한물건에대한주문확인메일로위장한스팸메일 (Spam Mail) 에악성코드가첨부되어지속적으로유포되고있다. 이번에발견된악성코드가첨부된허위주문확인메일은 [ 표1-4] 와같은메일형태를보이고있다. 허위주문확인메일에첨부된 'Order details.zip'(7,345바이트 ) 의압축을풀게되면 'Order details.exe'(17,920바이트 ) 가생성된다. 생성된 'Order details.exe'(17,920 바이트 ) 를실행하게되면윈도시스템에존재하는정상 svchost.exe를강제로실행후해당정상파일의메모리영역에자신의코드일부를강제로덮어쓴다. 메모리영역일부가덮어쓰인정상 svchost.exe의프로세스는러시아에있는특정시스템으로접속을시도하며, 접속이성공하면 pusk. exe(352,256바이트 ) 를내려받는다. 내려받은 pusk.exe(352,256바이트 ) 파일이실행되면 [ 그림 1-10] 과같이기존에발견되었던국외 [ 그림 1-11] 심각한악성코드에감염되었다는허위경고문구 사진메일로위장한악성코드다시유포 ASEC에서는 2011년 2월에최초발견되었고 3월 18일다시사진파일이첨부된메일로위장하여허위백신이유포된사례가발견되었으므로이러한메일을수신할때첨부파일을실행하지않도록주의가필요하다는사실을전한바있다. 해당사진메일로위장한악성코드가 4월 27일경부터다시유포되기시작하여 5월까지지속적으로발견되고있으므로컴퓨터사용자의주의가필요하다. 이번에발견된허위사진메일로위장한악성코드가첨부된메일형태는 [ 표1-5] 와같다. 이와같은형식을가진메일에첨부된파일은파일명은조금씩다르지만실행되면 pool.ntp.org와 microsoft. com 등으로접속을시도하여실행된시스템이네트워크에연결되어있는지확인한다. 실행된시스템이네트워크에연결된것이확인되면미국에있는특정시스템에서특정파일을내려받으려고하나테스트당시에는정상적으로내려받아지지않았다. 그러나과거사 이첨부된메일로위장한허위백신은 V3 제품군에서다음과같이진단하고있다. 그러나변형들이지속적으로발견되고있으므로주의가필요하다. - Win-Trojan/Zbot F - Win-Trojan/Kazy B - Win-Trojan/Downloader AY 오사마빈라덴사망소식으로위장한악성코드유포 한국시각으로 5월 2일테러조직인알카에다의지도자인오사마빈라덴 (Osama Bin Laden) 이사망하였다는소식이국내외언론을통해공개되었다. 오사마빈라덴의사망소식이있던후 ASEC에서는소셜네트워크서비스 (Social Network Service) 인트위터 (Twitter) 를통해그의사망소식을악용한악성코드가다양한형태로유포될가능성이크므로주의가필요하다고언급하였다. 이렇게세계적으로이슈가되

7 Web 는사항들과관련하여다양한형태의보안위협이발생하는것은이번이처음은아니며 2009년 6월팝가수마이클잭슨의사망시에도이를악용한악성코드가유포된사례가있다. 오사마빈라덴의사망소식을악용한악성코드는다음의경로들로유포되었다. - 소셜네트워크서비스중하나인페이스북 (Facebook) 으로 [ 그림 1-13] 과같이오사마빈라덴사망동영상으로위장하여허위백신이나애드웨어들이설치되는사례 [ 그림 1-13] 페이스북에서발견된허위오사마빈라덴사망동영상페이지 워크서비스, 악의적인스팸메일과웹사이트등의다양한경로로유포중이므로각별한주의가필요하다. 오사마빈라덴사망소식을악용해유포된악성코드는 V3 제품군에서다음과같이진단한다. - Win-Trojan/Downloader P - Win-Trojan/Fakeav Win-Trojan/Agent BE - Win-Trojan/Banload Dropper/Cve Win-Trojan/Dingu 악성코드동향 C. 악성코드분석특집 디스크볼륨 Open 후직접 Write 하는루트킷분석정보 악성코드제작자는악성코드의생존성을높이기위해, Anti-Virus System 및 Analysis System의감지기법을무력화하거나, 우회하는방법을이용한다. 최근탐지우회기법또한다양해지고, 지능화되고있어분석가의입장에서악성코드에대한더욱세밀한분석을요구하고있다. 일부모니터링툴및백신프로그램은 DISK의 I/O를감지하여악의적인행위를탐지하는데, 일부의악성코드는하위필터드라이버로직접통신하여 I/O 감지를우회하여자신의행위를감추는기능을탑재하고있다. 이런행위는악성코드분석가에게더욱세밀한분석을요구한다. 이에따라 I/O 감지를우회하는악성코드를분석하여, 향후비슷한기능을탑재한악성코드에대응하고자한다. - 오사마빈라덴관련메일내용으로위장한악의적인스팸메일들이유포되었으며첨부파일또는특정웹사이트에서악성코드감염을시도하는사례 [ 그림 1-14] 오사마빈라덴사망을악용하여유포된악성코드들 - 특정악성스팸메일에서는 [ 그림 1-14] 와같은 Laden s Death.doc(163,065바이트 ) 라는기존에알려진 'MS 긴급 Microsoft Office의취약점을이용한원격코드실행문제점 ( )' 을악용한악성코드감염시도. 특히해당취약점은 2011 년 3월일본쓰나미와대지진재해를악용하여유포되었던악성코드에서도발견된사례가있는만큼각별한주의가필요하다. - 검색엔진의결과를조작하는블랙햇 (BlackHat) SEO 기법을악용하여악의적인웹사이트로접속을유도하거나, 취약한웹사이트를통해웹브라우저의취약점을악용해악성코드감염을시도하는사례 - 이처럼오사마빈라데사망소식을악용한악성코드는소셜네트 디스크볼륨 Open 후직접 Write하는루트킷의특징 - 기존모니터링툴로감지되지않아감염여부파악어려움 - 물리적디스크에서직접내용을읽고쓰는루트킷등장 - 섹터계산후원본정상파일을백업없이감염시킴일반적으로파일을저장하기위해많이사용하는 API는 CreateFile(), WriteFile() 등이있다. 이것은 Ring 3 레벨의 API로 Ring 0으로전달되어실제동작은 NtCreateFile(), NtWriteFile() 과같은 Ring 0 레벨의 API가호출된다. 중간에 Sysenter 호출등의작업을하지만, 따로설명하지는않겠다. 실제로파일이입출력될때시스템드라이버를호출하여읽기, 쓰기작업을진행한다. 파일시스템드라이버는일반적으로디스크에저장되는파일에대한오픈, 생성, 읽기, 쓰기, 클로즈와같은요청을받는다. 이러한요청은일반적으로사용자프로세스에의해생성되고, 입출력서브시스템매니저 (I/O subsystem manager) 를통하여파일시스템에게디스패치 (Dispatch) 된다. NtCreateFile 호출에의해 I/O 매니저가처음디스패치되면서가장먼저하는것은유저가 NT 오브젝트매니저를호출했을당시파라미터로넘겼던파일의이름을파싱하여논리적볼륨을관리하는파일시스템드라이버를확인하는것이다. 해당볼륨에대한파일시스템드라이버가확인되고나면 I/O 매니저는사용자의입출력요청을수행하기위해 Create/Open 진입부를디스패치한다. 마지막으로파일시스템드라이버는 Create/Open 동작에적절한처리를한후, 그에대한결과를 I/O매니저에게반환한다. I/O 매니저는유저모드레벨로작업권한을되돌리면서이렇게받은결과를 Win32 서브시스템에게전달하고, 서브시스템은요청을한프로세스로결과를돌려보낸다.

8 Web [ 그림 1-15] System Service dispatching [ 그림 1-17] OutputDebugString 를이용한 Anti-Debugging 또한특정알고리즘을이용하여문자열을복호화한다. [ 그림 1-18] 복호화한문자열 [ 그림 1-15] 는파일쓰기동작시파일시스템드라이버의동작을나타낸것이다. 해당악성코드는위의일 부기능 ( 그림 1-15 에서 4~7) 을자체적으로구현하여직접적으로볼륨으로접근하여저장하는기능을 가지고있다. 또한시스템파일 (Explorer.exe) 변조를위해 Sfc.dll 을호출하여 1 분간 Windows WFP 를무력화한다. [ 그림 1-19] WFP 무력화 1. Dropper/Autorun.worm 해당악성코드는 Dropper와 Rootkit으로나뉘어있다. Dropper는 Anti-Debugging 기법과 WPF 무력화, Rookit을드롭하고, DeviceIoControl() 로드라이버를실행시킨다. 해당악성코드의주요기능중하나는 USB를통해자기자신을복제하는 Worm 형태의악성코드이며, 온라인게임의계정및패스워드절취를목적으로중국에서제작된악성코드이다. 또한, Rootkit을드롭하여특정기능을수행하는데, 그부분은밑에서자세하게살펴보도록하겠다. 아래 [ 그림 1-16] 의코드와같이해당악성코드는저장된 Function Address를반복적으로불러들여자신의코드를실행한다. [ 그림 1-16] Call EAX 을통한각각의 Function 을호출 특정연산으로 Rootkit 의이름을설정하고, FindResource() 를이용하여 Rootkit 을드롭하고해당 Rootkit 을 Service 로등록하여동작시킨다. UserMode Application 과드라이버와통신하기위해서는 DeviceIoControl 을이용한다. [ 그림 6] DeviceIoContorl() 호출 Debugging 중일때 OutputDebugString() 함수로 String을출력하면, 에러가발생하지않아 Return 값이 0이된다. 이를응용하여 GetLastError() 함수를이용하여 Return 값을비교하면, Debugging 상태여부를확인할수있다. 해당악성코드는이러한기법을 Anti-Debugging으로이용하며, 코드는 [ 그림 1-17] 과같다.

9 Web 주목해야할점은 IoControlCode 는 Explorer.exe 를변조하는루틴 ( 악성코드에서정의해둔 0x22001C) 을 실행한다. InBuffer 는악성코드자신을가상메모리에읽어저장해둔주소이다. [ 그림 1-21] Input Buffer 에저장된악성코드 Atapi.sys 의 DEVICE_IO_CONTROL LowPart 주소는다음의과정을통해얻어낸다. 1. Atapi.sys 를가상메모리로로드및검증한다. 2. IRP_MJ_INTERNAL_ DEVICE_ CONTROL 와 IRP_MJ_DEVICE_CONTROL 의주소를얻어온다. 3. IoCreateFile() 함수로 Atapi.sys 의 handle 을얻어온다. [ 그림 1-24] IoCreateFile() 함수로 Atapi.sys 의 Handle 을얻어온다. 2. Entry Rootkit 드롭된드라이버파일을 Service 로등록하여실행할때, Kernel Mode 의 Anti-Debugging 기법이포함되 어있는해당 Rootkit 의 Entry 가동작한다. - 물리적메모리로접근하기위해 Atapi.sys 의 IRP_MJ_INTERNAL_ DEVICE_CONTROL 의주소를획득 하는 Funtion 과 Explorer.exe 의 LCN 과 MBR 을통해파일시스템정보를얻는다. - Sector Size 를얻어온후 Explorer.exe 물리적메모리의주소를얻어온다. - KdDisableDebugger() 를이용한 Anti-Debugging 기법을우회하기위해해당함수의첫번째바이트를 C3(Retn) 로수정한다. 그후, ZwReadFile() 함수로 Atapi.sys 의전체데이터를읽어온다. [ 그림 1-25] ZwReadFile() 함수로 Atapi.sys 의전체데이터를할당된주소 (0x81a1a000) 로읽어옴 - IoCreateDevice() 함수를이용하여 DevieName 과 SymbolicLinkName 을생성한다. [ 그림 1-22] DeviceName 과 SymbolicLinkName 생성 Major Function 함수를등록한다. [ 그림 1-23] Major Function 함수등록 메모리에로드된 Atapi.sys 의 PE 구조를검증하고,.INIT 섹션을찾는다. 이는.INIT 섹션에악성코 드가필요로하는 Major Function 의주소가존재하기때문이다. 이를통해악성코드는데이터를반 복적으로비교하여 IRP_MJ_DEVICE_CONTROL, IRP_MJ_INTERNAL_DEVICE_CONTROL Major Function을찾게된다. 여기에서 IRP_MJ_INTERNAL_DEVICE_CONTROL은매우중요한역할을하는데, Disk.sys 와통신하는 Major Function 이기때문이다. Atapi.sys 의 IRP_MJ_INTERNAL_ DEVICE_ CONTROL과 IRP_MJ_DEVICE_CONTROL의주소를얻어오는루틴을코드로작성하면다음페이지의 [ 그림 1-26] 과같다.

10 Web [ 그림 1-26] Atapi.sys 의 Major Function 를검색하는코드 FSCTL_GET_RETRIEVAL_POINTERS 는 Input 으로 STARTING_VCN_INPUT_BUFFER 인데 아래와같은구조체로구성되어있다. typedef struct { LARGE_INTEGER StartingVcn; } STARTING_VCN_INPUT_BUFFER, *PSTARTING_VCN_INPUT_BUFFER; 아래다이어그램을보면 3 단계로나눠져있으며, File Offset 에서 Virtual Cluster Block 그리고, Volume Logical Cluster Block 까지나타난다. File Byte Offset과 File System Virtual Cluster Size, File Byte Offset 이포함된 File Virtual Cluster는쉽게계산된다. Volume Logical Cluster는 File Byte Offset으로계산된 File Virtual Cluster과일치하다. [ 그림 1-27] Volume 다이어그램 StartingVcn 필드는파일의 Byte Offset이아닌, 파일의 Virtual Cluster Number 이다. Mark Roddy가저술한 'Finding Disk Sectors Associated with File Records' 를보면, 어떻게 Byte Offset을 Virtual Cluster Number로변환하는지설명되어있다. File Byte Offset 주소공간은 Virtual Clusters로불리는세그먼트들이같은크기로나눠져있으며, 첫번째 Virtual Cluster의 Cluster Number는 0 이다. 만약파일의첫번째 Virtual Cluster 를얻고싶으면 0 값을이용하면된다. 3. Explorer.exe Logical Cluster Number 얻기 다음은 FSCTL_GET_RETRIEVAL_POINTERS 의 Output 인 RETRIEVAL_POINTERS_BUFFERS 이며다음 \\Filesystem\Ntfs 의 IRP_MJ_FILESYSTEM_CONTROL 을이용하여 FSCTL_GET_RETRIEVAL_ POINTERS Major Function 으로설정하여전달하면 File Object 에설정된파일의 Logical Clusters Number 를얻어올수있다. FSCTL_GET_RETRIEVAL_POINTERS 는다음 3 가지정보를얻을수있다. 1. Given a file offset in bytes, the corresponding Virtual Cluster offset. 2. The Logical Cluster that corresponds to this Virtual Cluster. 3. The next Virtual Cluster offset. 과같이정의되어있다. typedef struct RETRIEVAL_POINTERS_BUFFER { DWORD ExtentCount; LARGE_INTEGER StartingVcn; struct { LARGE_INTEGER NextVcn; LARGE_INTEGER Lcn; } Extents[1]; } RETRIEVAL_POINTERS_BUFFER, *PRETRIEVAL_POINTERS_BUFFER;

11 Web 파일의위치를얻기위해필요한것은 LCN(Logical Cluster Number) 이다. 해당값을얻게되면 MBR 를 통해파티션정보를구할수있고, Sector 의 Size 를통해원하는파일의물리적메모리주소를얻을수있다. [ 그림 1-28] IO_STACK_LOCATION 구조체 여기까지언급된용어에대해간단하게설명하도록하겠다. Sectors 저장매체에서하드웨어적인주소를갖는블록들을의미 Volumes 디스크에서하나의논리적파티션을의미하며, 디스크또는그일부를포맷할때생성 악성코드제작자는임의의코드를이용하여 IoCaller() 를호출하며 \\FILESYSTE\NFTS 의 IRP_MJ_ FILE_SYSTEM_CONTROL 을호출하여 Explorer.exe 의 LCN 를구할수있다. Clusters 주소할당이가능한블록으로, 클러스터의크기는항상섹터크기의곱이다. 파일시스템은디스크공간을좀더효율적으로관리하기위해 Cluster를사용한다. Sector 단위보다큰크기로디스크를분할함으로써보다관리가용이한반면, Cluster 크기가커지면디스크공간의낭비로이어진다. [ 그림 1-29] Major Function 호출에따른 RETRIEVAL_POINTERS_BUFFERS 구조체의 LCN NTFS 의 특징 NTFS는디스크에서물리적인위치를참조하기위해 Logical Cluster Numbers(LCNs) 를이용한다. LCN은단순히시작부터끝까지 Cluster에번호를부여해놓은것이다. LCN을통해물리적인바이트단위오프셋을구하고, 이것을디스크드라이버인터페이스에서사용한다. NTFS는 Virtual Cluster Numbers(VCNs) 를이용하여파일내의데이터를참조한다. VCN은특정파일에속해있는 Cluster들에 0에서 n까지번호를부여한다. 하지만, VCN 번호들은물리적으로연속적일필요는없으며볼륨에서임의의 LCN 에할당할수있다. [ 그림 1-30] Explorer.exe LCN 구하는 Code 물리적 메모리위치 물리적메모리의위치는 (LCN(Logical Cluster Number) * Sector Size + Offset(PARTITION_ENTRY->StartLBA + BBR_SECTOR->ReservedSectors)) >> 9로계산할수있다. RoL 전의값은 Aptapi.sys의 IRP_MJ_INTERNAL_DEVICE_CONTROL 을통해물리적메모리로통신하여읽고쓰기가가능하다. 다시악성코드분석으로돌아가보자. 해당악성코드는 Explorer.exe의물리적메모리에악성코드를덮어쓰려고한다. 이때 IoCreateFile() 과ZwReadFile() 함수를통해할당된메모리에 Explorer.exe를읽어온다. 약간의설명을덧붙이면, Windows Driver 모델은 I/O 서브시스템패킷에기반을둔모델이다. 대부분의커널모드드라이버는요청된동작에대해자세한내용을포함하는 IRP를받아처리한다. 그래서 I/O 요청을위해 IRP 구조체와 IO STACK Location 구조체에정보를구성한다.

12 Web MBR, Partition 을통해 Sector 크기얻기 LogicalSector 의값을 0x3F(64) 로설정한다. 위에서설명한그림처럼 MBR 은 63Byte 이기때문에첫번째 Atapi.sys 의 IRP_MJ_INTERNAL_ DEVICE_ CONTROL Function 을이용하면물리적인디스크를읽거나쓸수있다. 그러기위해서는 Logical Cluster가필요한데, 우리는이미 Explorer.exe의 LCN 을구하는것을알아보았다. 이제 FileSystem에의해결정되는 Sector Size와 Partition 정보로 PARTITION_ENTRY->StartLBA + BBR_ SECTOR -> ReservedSectors의값을통해 Explorer.exe의물리디스크위치를계산할수있다. 그러기위해서는 MBR을통해 Partition 정보를얻고, Partition 구조체정보를알아야한다. 간단히설명하면 MBR 은저장매체의첫번째섹터 (LBA 0) 는 512Byte 크기의영역이다. 처음 446Byte는부트코드 (boot code) 영역, 64Byte는파티션테이블 (Partition table), 마지막 2Byte는시그니쳐 (Signature) 로되어있다. 운영체제가 POST를마친후첫번째섹터를호출하는데이때부트코드가실행된다. 부트코드의주역할은파티션테이블에부팅가능한파티션을찾아해당파티션의부트섹터 (Boot Sector) 를호출해주는역할을한다. Partition 정보를얻기위해 0x3F부터읽어오며, 다시 PhiscalReadWrite() 함수를실행하여첫번째 Partition 정보를읽어온다. BIOS Parameter Block 구조체에서는 BBR_SECTOR->ReservedSectors 값을저장한다. 그이유는앞에서설명했다시피, 첫번째 Disk Sector 는 MBR이고, Partition에서얻은 LCN의첫번째 Sector는파티션의처음이기때문에 MBR 크기와두번째또는세번째파티션인지불확실하기때문에해당값을계산해주어야한다. 위의분석결과를코드로작성하면아래와같다. [ 그림1-33] MBR과 Partition 정보 Read code Finding Disk Sectors Associated with File Records( /luserland.htm) 를보면자세한설명이나와있다. MBR의처음은 Sector Number 0 이고, 각파티션별로 Start Sector Number, Cluster Number가존재한다. [ 그림1-31] 파일시스템구조 이와같은동작을한후 UserMode Application 에서 DeviceIoControl() 함수의호출시까지대기한다. 해당악성코드는자체에구현된볼륨 OPEN Read & Write 함수를통해감염시스템의 MBR 를읽어온다. 관련함수에대해서는뒤에서설명하도록하겠다. [ 그림 1-32] MBR Partition Entry 의 StartLBA 저장 5. Explorer.exe Disk Sector 에덮어쓰기 Explorer.exe를악성코드로덮어쓰기위해 Atapi.sys의 Major function 중 IRP_MJ_INTERNAL_ DEVICE_ CONTROL Function를이용한다. 이를이해하기위해서는 MDL에대한내용과 SCSI_REQUEST_BLOCK 구조체에대해알아보아야한다. Windows Driver에서는 I/O 요청과관련된스레드또는프로세스의데이 터버퍼를설명하기위한세가지서로다른방법을제공한다. 그중하나가 Direct I/O 방식으로, I/O를요청한스레드가정의한데이터버퍼사이에서메모리할당과데이터복사에대한오버헤드를피하고자할때사용되는방식이다. 드라이버가 Direct I/O 방식을선택하면 I/O관리자는데이터를읽고저장하기위한 I/O요청과관련된데이터버퍼를 MDL 구조체를사용하여나타낸다. MDL은물리적으로연속되어있지는않지만, 논리적으로는연속된하나의데이터버퍼를수용할수있다. 또한 MDL은데이터버퍼를구성하는조작들의물리주소와길이를좀더빠르고쉽게얻을수있도록설계되었다. 해당악성코드는 SCSI_REQUEST_BLOCK 구조체의정보를채워, IO_STACK_LOCATION 의 Parameter 로설정하고 Atapi.sys 로전달하여물리적메모리를읽고쓰기를할수있게된다. 주요정보는 SCSI_

13 Web REQUEST_BLOCK->DataBuffer, SCSI_REQUEST_BLOCK->QueueSortKey, SCSI_REQUEST_BLOCK- >Cdb10 등이있다. (SCSI_REQUEST_BLOCK 관련자료가부족하여해당악성코드가동작하는것에초점을두고분석하였다.) 되었다. 악성코드는 SCSI_REQUEST_BLOCK 구조체정보를아래와같이채우게된다. [ 그림 1-34] SCSI_REQUEST_BLOCK 구조체 1 디스크섹터에덮어쓰기위해 IO_STACK_LOCATION 구조체를구성하고 Parmeters.Scsi.Srb에위에서구성한 SCSI_REQUEST_BLOCK 구조체 Pointer를설정한다. 또한악성코드제작자가임의로만든 IoCaller() Function을호출하여위에서구성한 IRP 구조체의 Address Pointer를인자값으로 IRP_MJ_INTERNAL_ DEVICE_CONTROL 호출한다. 이작업까지끝나면악성코드는 Explorer.exe에덮어쓰게된다. 이후의나머지메모리해제및파일핸들해제는생략하도록하겠다. [ 그림1-36] 덮어쓰는코드 SCSI_REQUEST_BLOCK->DataBuffer에는 PhysicalReadWriteDisk() 함수에서세번째인자값이저장된다. 이것이 Dropper 악성코드의메모리주소이며, 해당 DataBuffer를물리메모리에 Write하는것이다. IRP_MJ_READ 인지 IRP_MJ_WRITE 인지확인하여 SCSI_REQUEST_BLOCK.SrbFlags constants를설정한다. [ 그림1-35] SCSI_REQUEST_BLOCK 구조체 2

14 Web WinHex 로덮어쓰기전의 Explorer.exe 와후를비교해보자. 물리메모리 Offset 이같지만, 바이너리는다른것을알수있다. [ 그림 1-37] 덮어쓰기전의 Explorer.exe 의데이터 [ 그림 1-38] 덮어쓰인후의 Explorer.exe 의데이터 해당악성코드의특징은물리메모리로직접쓰여진다는것이다. 이에따라기존의필터드라이버의후킹 을이용한감지기법으로는변조여부를확인할수없다. 또한 Windows Cache 때문에일반적인비교로는 변조여부를확인할수없다. 단, 재부팅후비교하면확인가능하다. 위와같은악성코드를분석함으로써, 디스크에직접 Write 하는기법에대해알수있다. 이와같은기법 으로 Rootkit 이제작될것이다. 실례로 TDL3 같은경우 Unpartition 영역에서 data 를읽어올때, 위와같이 Sector 를계산하여읽어왔다. 위와같은기법에대한이해및방어기법에대해고민해야할것이다.

15 Web 시큐리티동향 a. 시큐리티통계 02. 시큐리티동향 b. 시큐리티이슈 5 월 MS 보안업데이트현황 국외인터넷뱅킹을노리는 Zeus 소스유출과 SpyEye 동향 뱅킹트로잔 CoreFlood 마이크로소프트사가발표한이번달보안업데이트는 2 건이다. 국외인터넷뱅킹악성코드로유명한 Zeus 버전소스가유출됨에따라국내인터넷뱅킹에도적신호가켜졌다. 물론유출된소스 2002년처음등장한 CoreFlood는 Banking Trojan으로은행계좌를탈취하여금전적인이익을보려는러시아갱들이연루된사건과관 패치 1 개 는최신버전이아니며국외에특화되어있지만어떤식으로든악용될소지가있기때문에주의가필요하다. 련이있다. 최근 2011년 4월미국내 200만명의금융정보유출과관련하여미법무부와미연방수사국이수사에착수했다. 이트로 [ 그림 2-2] Zeus C&C 서버맵 잔은트러스가드에서 Win32/CoreFlood.gen으로, V3에서는 Win- Trojan/Afcore.x로진단하며네트워크특징은다음과같다. [ 그림 2-3] 해킹된웹사이트들의재연결을통해최종적으로허위백신설치유도 System IE Office Sever Application [ 그림 2-1] 공격대상기준별 MS 보안업데이트 이번 Lizamoon 인젝션공격에사용된악의적인웹페이지주소는총 11개이며아래와같은기본적인형식을가지고있다. [ 그림 2-3] SpyEye C&C 서버의국가정보분포현황 이를상세화하면세가지네트워크호출형태를보이고있다. - POST 방식으로봇넷정보를세팅하여 C&C 서버로보내면각종명령어와함께 2차로내려받을파일정보를가져오며그형태는 2010년도와 2011년으로구분지어볼수있다. [ 그림 2-5] POST 요청으로봇넷정보셋팅 위험도취약점 Poc 긴급 WINS의취약점으로인한원격코드실행문제점 (MS11-035) 무 중요 Microsoft Office의취약점으로인한원격코드실행문제점 (MS11-036) 무 [ 표 2-1] 2011 년 5 월주요 MS 보안업데이트 이번달에는 2 건의패치가발표되었다. MS 는윈도서버에 WINS 를수동으로설치한사용자에한 해서, 특수하게조작된 WINS 복제패킷을수신할경우원격코드가실행되는취약점이다. MS 은 Microsoft PowerPoint 관련비공개로보고된취약점패치이며파일을열었을때원격코드가실행되어공 격자는사용자의권한을얻을수있다. 윈도서버와 PowerPoint 사용자는해당취약점패치를적용할것 을권고한다. SpyEye는작년 12월이후접수되는샘플은감소하는추세이나꾸준히새로운 C&C 서버가등장하며여전히활발히활동하고있는것으로보인다. 확보된샘플에서 SpyEye C&C 서버의국가정보를보면미국이 34% 로가장많은비중을차지하고있고이어우크라이나가 16%, 러시아가 15% 이며한국도 12% 를차지하고있다. [ 그림 2-6] 2 차악성코드다운로드

16 Web Web - 네트워크상태를확인하기위해 default.aspx에접속한다. [ 그림 2-7] Microsoft 접속 03. 웹보안동향 a. 웹보안통계 웹사이트보안요약 안철수연구소의웹브라우저보안서비스사이트가드 (SiteGuard) 를통해산출된 2011 년 5 월웹사이 국내금융권사이트해킹, 인터넷뱅킹악성파일최근몇개월동안주요국내금융권사이트들이해킹되면서개인정보유출뿐만아니라, 금융전산망이마비되거나서버의주요데이터가삭제되는심각한사건들이발생하였다. 유출된개인정보는광고성스팸메일 / 문자 (SMS), 피싱뿐만아니라제2의피해를일으킬수있다. 농협사건을제외한금융피해는크게확대되지않은가운데국내인터넷뱅킹을타겟으로한공인인증서의패스워드를획득하는공격기법이나와또다른금융사고가우려되는상황이다. 이공격은인터넷뱅킹사용시가짜인증서화면으로유도하여인증서의패스워드를획득하는방식으로사용자는백신을설치하여피해를방지할것을적극적으로권장한다. 트보안통계자료를보면악성코드를배포하는웹사이트의차단건수는 32,918건이다. 또한, 악성코드유형은 677건이며, 악성코드가발견된도메인은 716건, 악성코드가발견된 URL은 2,684건이다. 2011년 5월은 2011년 4월보다악성코드발견건수, 악성코드유형, 악성코드가발견된도메인은다소감소하였으나, 악성코드가발견된 URL은증가하였다. [ 표 3-1] 웹사이트보안요약 월별악성코드배포 URL 차단건수 2011 년 5 월악성코드배포웹사이트 URL 접근에따른차단건수는지난달의 107,713 건에비해 31% 수준인 32,918 건이다. 100,000 99, % 107, % 32, % 50, , , [ 그림 3-1] 월별악성코드발견건수

17 Web 월별악성코드유형 악성코드유형별배포수 2011 년 5 월악성코드유형은지난달의 704 건에비해 96% 수준인 677 건이다. 악성코드유형별배포수는애드웨어류가 12,363 건으로전체의 37.6% 의비율을보이며 1 위를차지 1, % % % 하였고, 트로잔류가 8,480 건으로전체의 25.8% 로 2 위를차지하였다. 구분건수비율 , [ 그림 3-2] 월별악성코드유형 ADWARE 12, % TROJAN 8, % DROPPER 3, % DOWNLOADER 2, % Win32/VIRUT 1, % JOKE % APPCARE % SPYWARE % ETC 13.2 % Total 32, % [ 표 3-2] 악성코드유형별배포수 월별악성코드가발견된도메인 2011 년 5 월악성코드가발견된도메인은지난달의 720 건에비해 99% 수준인 716 건이다. 1, % % 716-1% 12,363 8,480 2,445 10,000 Adware Trojan Downloader 3,305 4, ,006 Dropper Spyware Joke ETC [ 그림 3-5] 악성코드유형별배포수 Win32/VIRUS Appcare 500 1, [ 그림 3-3] 월별악성코드가발견된도메인월별악성코드가발견된 URL 악성코드배포순위악성코드배포순위는 [ 표 3-3] 에서볼수있듯이 Win-Adware/Shortcut.InlivePlayerActiveX.234이 2,029건으로 1위를차지했으며, Top10에 Win-Adware/KorAd 등 5건이새로등장하였다 년 5 월악성코드가발견된 URL 은전달의 2,605 건에비해 103% 수준인 2,684 건이다. 순위등락악성코드명건수비율 5,000 2, ,500 5,000 4, % [ 그림 3-4] 월별악성코드가발견된 URL 2, % 2,684 +3% Win-Adware/Shortcut.InlivePlayerActiveX.234 2, % 2 4 Win-Adware/ToolBar.Cashon , % 3 1 Win-Adware/Shortcut.Unni , % 4 NEW Win-Adware/KorAd , % 5 4 Adware/Win32.ToolBar 1, % 6 NEW Win-Dropper/PWS.Infostealer , % 7 NEW Win-Trojan/Downloader ANB 1, % 8 3 Win-Adware/Shortcut.Bestcode , % 9 NEW Win-Trojan/Downloader AEE 1, % 10 NEW Win-Downloader/KorAd % 15, % [ 표 3-3] 악성코드배포 Top 10

18 Web 35 VOL. 17 Contributors 03. 웹보안동향 b. 웹보안이슈 편집장선임연구원 안형봉 집필진 선임연구원 안창용 선임연구원 장영준 연구원 박정우 2011 년 5 월침해사이트현황 [ 그림 3-6] 은악성코드유포목적으로이용된침해사이트에대한통계로 2월이후로꾸준히증가하다가 5월에주춤하였다 [ 그림 3-6] 2011 년 4 월악성코드유포목적의침해사이트현황 200 감염되었다면부가기능으로사용되는 Adobe Flash Player의취약점을패치를했는지점검해볼필요가있다. * Adobe Flash Player 최신버전다운로드 : kr/flashplayer/ [ 그림 3-7] Adobe Flash Player 최신버전업데이트 연구원연구원감수상무 이도한조보화조시행 참여연구원 ASEC 연구원 SiteGuard 연구원 [ 표 3-4] 는다수의침해사이트에서유포된악성코드 Top 10 을산출 한것으로대부분윈도정상파일을패치하거나악성코드자신으로교 체하여실행되는경우가많았고이때유포된악성코드들이 PC 를감염 [ 그림 3-8] Win-Trojan/Patched.Gen 전용백신 시키기위해서가장많이사용했던취약점은 MS10-018, MS10-090, CVE , CVE 이다. 언급된취약점중에 3, 4 번 째는 Adobe Flash Player 에존재하는취약점을사용한것으로 5 월에 는이들취약점을이용한악성코드유포사례도증가했다. 만약자신이 Disclosure to or reproduction 사용하는브라우저의보안업데이트를꾸준히했음에도악성코드에 for others without the specific written authorization of AhnLab is [ 표 3-4] 해킹된웹사이트를통해서유포된악성코드 Top 10 prohibited. 순위진단명 URL Copyright (c) AhnLab, Inc. 1 Win-Trojan/Patched.DE 44 All rights reserved. 2 Win-Trojan/Onlinegamehack FI 24 3 Win-Trojan/PatchedImm.Gen 24 4 Win-Trojan/Downloader VY 21 5 Win-Trojan/PatchedImm.Gen 17 6 Dropper/Xema P 16 위에서언급된윈도정상파일을패치하는악성코드에감염되면백신의동작과업데이트및프로그램실행이방해되므로안철수연구소에서는전용백신을제작하여배포하고있다. 7 Dropper/Onlinegamehack Win-Trojan/Downloader VX 14 9 Dropper/Onlinegamehack B 14 * 전용백신다운로드 : v3removaltool_patched.exe 10 Win-Trojan/Killav N 13