<4D F736F F D2031BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

Size: px

Start display at page:

Download "<4D F736F F D2031BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>"

경선 방
5 years ago
Views:

목차 Part Ⅰ. 12 월의악성코드통계 1. 악성코드통계... 2 (1) 감염악성코드 Top 15... 2 (2) 카테고리별악성코드유형... 3 (3) 카테고리별악성코드비율전월비교... 3 (4) 월별피해신고추이... 4 (5) 월별악성코드 DB 등록추이... 4 2. 악성코드이슈분석 PC 사용자에게금품을요구하는랜섬웨어... 5 3.

2 목차 Part Ⅰ. 12 월의악성코드통계 1. 악성코드통계... 2 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 3 (3) 카테고리별악성코드비율전월비교... 3 (4) 월별피해신고추이... 4 (5) 월별악성코드 DB 등록추이 악성코드이슈분석 PC 사용자에게금품을요구하는랜섬웨어 허니팟 / 트래픽분석... 9 (1) 상위 Top 10 포트... 9 (2) 상위 Top 5 포트월별추이... 9 (3) 악성트래픽유입추이 스팸메일분석...11 (1) 일별스팸및바이러스통계현황...11 (2) 월별통계현황...11 (3) 스팸메일내의악성코드현황...12 Part Ⅱ. 보안이슈돋보기 년보안위협전망보고서 월의취약점이슈...20 페이지 1

Part Ⅰ 12월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 순위악성코드진단명카테고리 [2010 년 12 월 1 일 ~ 2010 년 12 월 31 일 ] 합계 ( 감염자수 ) 1 New Trojan.Downloader.JNSD Trojan 117,855 2 New Trojan.Script.

3 Part Ⅰ 12월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 순위악성코드진단명카테고리 [2010 년 12 월 1 일 ~ 2010 년 12 월 31 일 ] 합계 ( 감염자수 ) 1 New Trojan.Downloader.JNSD Trojan 117,855 2 New Trojan.Script Trojan 92,446 3 New Variant.Downloader.73 Trojan 66, S.SPY.Lineag-GLG Spyware 40, V.TRJ.Patched.imm Trojan 35, Variant.Kazy.5867 Trojan 35,080 7 New Exploit.CVE C Exploit 28,952 8 New S.SPY.OnlineGames.imm Spyware 28, Trojan.Generic Trojan 28, New V.TRJ.Clicker.Winsoft Trojan 28, New Trojan.Script Trojan 27, New V.DWN.el.39xxxx Trojan 25, Trojan.Generic Trojan 23, New A.ADV.Admoke Adware 22, New Variant.Kazy.6420 Trojan 20,109 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 감염악성코드 Top 15는사용자 PC에서탐지된악성코드를기반으로산출한통계이다. 12월의감염악성코드 TOP 15는 Trojan.Downloader.JNSD가 117,855건으로 TOP 15 중 1위를차지하였으며, Trojan.Script 이 92,446건으로 2위, Variant.Downloader.73가 66,185건으로 3위를차지하였다. 이외에도 12월에새로 Top 15에진입한악성코드는 10종이다. 12월에는 MS Internet Explorer의보안취약점 (CVE ) 를이용한악성코드유포사례가가장많이보고되었다. 또한 IT 관리자의대응이어려운주말기간동안주로언론사및보안이취약한인터넷사이트에악성스크립트를삽입해유포하는경우가많았다. 페이지 2

(2) 카테고리별악성코드유형 애드웨어 (Adware) 취약점 (Exploit) 5% 3% 스파이웨어 (Spyware) 11% 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 트로이목마 (Trojan) 81% 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어

또한악성코드설치를위하여 PC의보안취약점을이용하기때문에취약점 (Exploit) 의비율또한함께증가하였다. (3) 카테고리별악성코드비율전월비교 하이재커 (Hijacker) 트로이목마 (Trojan) 취약점 (Exploit) 웜 (Worm) 애드웨어 (Adware) 스파이웨어 (Spyware) 백도어 (Backdoor) 0.00% 0.00% 0.00% 4.

4 (2) 카테고리별악성코드유형 애드웨어 (Adware) 취약점 (Exploit) 5% 3% 스파이웨어 (Spyware) 11% 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 트로이목마 (Trojan) 81% 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 악성코드유형별비율은이번달에도트로이목마 (Trojan) 가 81% 로가장많은비율을차지하였고, 전달에비해트로이목마 (Trojan) 비율이 2배이상증가하였다. (41% 비율 ) 12월에는보안이취약한홈페이지를통한악성코드유포때문에 Trojan의비율이크게증가하였다. 또한악성코드설치를위하여 PC의보안취약점을이용하기때문에취약점 (Exploit) 의비율또한함께증가하였다. (3) 카테고리별악성코드비율전월비교 하이재커 (Hijacker) 트로이목마 (Trojan) 취약점 (Exploit) 웜 (Worm) 애드웨어 (Adware) 스파이웨어 (Spyware) 백도어 (Backdoor) 0.00% 0.00% 0.00% 4.62% 9.76% 0.00% 15.91% 3.56% 20.41% 11.06% 7.66% 0.00% 40.42% 80.76% 11 월 12 월 바이러스 (Virus) 5.85% 0.00% 0% 20% 40% 60% 80% 100% 카테고리별악성코드비율을전월과비교하면, 트로이목마 (Trojan) 와취약점 (Exploit) 가전달에비해크게증가였으며, 대부분의다른악성코드는비율이감소했음을알수있다. ( 바이러스, 취약점등의경우 Top15를기준으로했을때차지하는비율이없다는것이다.) 페이지 3

5 (4) 월별피해신고추이 [2010 년 1 월 ~ 2010 년 12 월 ] 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 알약사용자의신고를합산에서산출한결과임 월별피해신고추이는알약사용자의신고를합산해서산출한결과로써, 월별신고건수를나타내는그래프이다. 12월의경우전달 (11월) 보다신고건수가다시증가하였다. (5) 월별악성코드 DB 등록추이 [2010 년 1 월 ~ 2010 년 12 월 ] Adware Spyware Hijacker KeyLogger Exploit RAT Trojan Worm Backdoor Downloader Dropper Misc 12월은스파이웨어 (Spyware) 계열의악성코드변종이가장많이등록되었지만전달에비해서는크게감소되었다. 다음으로트로이목마악성코드 (Trojan) 가많이등록되었다. 이번달스파이웨어 (Spyware) 는 MS Internet Explorer 취약점을이용하는악성코드의 DB 등록이급증하였다. 페이지 4

인터넷사용자의컴퓨터에잠입해내부문서나스프레이시트, 그림파일등을제멋대로암호화해열지못하도록만들거나첨부된이메일주소로접촉해돈을보내주면해독용열쇠프로그램을전송해준다며금품을요구하는프로그램을뜻한다.

6 Part Ⅰ 12 월의악성코드통계 2. 악성코드이슈분석 PC 사용자에게금품을요구하는랜섬웨어 (Ransomware) 이번에분석내용은 PC 사용자에게금품을요구하는악성코드인랜섬웨어 (Ransomware) 에대해알아본다. 우선랜섬웨어 (ransomware) 의정의는 미국에서발견된스파이웨어등의신종악성프로그램. 컴퓨터사용자의문서를볼모로잡고금품을요구한다고해서 랜섬 (ransom) 이란수식어가붙었다. 인터넷사용자의컴퓨터에잠입해내부문서나스프레이시트, 그림파일등을제멋대로암호화해열지못하도록만들거나첨부된이메일주소로접촉해돈을보내주면해독용열쇠프로그램을전송해준다며금품을요구하는프로그램을뜻한다. 1) 유포경로현재까지이메일을통해전파된것으로확인되며, 첨부파일로삽입된악성 PDF를실행하면 Zbot이실행되어특정서버에서랜섬웨어파일을다운로드한다. < 랜섬웨어악성코드실행단계 > 2) 파일분석 V.TRJ.Ransom 리소스로드파일이가지고있는리소스중 cfg 데이터를복호화하여, 차후사용자에게보여줄텍스트파일 (HOW TO DECRYPT FILES.txt ) 의내용을만든다. 페이지 5

$( 악성코드는일반적으로 C:\ 를먼저스캔하는경우가많은데해당악성코드는사용자들이문서및백업파일을 D드라이브에저장하는습관을잘알고있다.) 4 확장자검색 *.jpg, *.jpeg, *.psd, *.cdr, *.dwg, *.max, *.mov, *.m2v, *.3gp, *.doc, *.$

7 2 뮤텍스 (Mutex) 확인 Mutex( ilold ) 확인후존재하면 ntfs_system.bat 파일을생성하여실행된파일을삭제하고프로그램을종료한다. 동일한 Mutex가없으면스레드를생성한다. <Nftf_system.bat 파일의내용 > 3 드라이브찾기감염된시스템에서논리드라이브로이루어진 D드라이브를찾는다. D드라이브에서폴더와파일을검색하여자신이찾는확장자가없는경우또는 D드라이브가없는경우에 C드라이브로타겟을변경하여검색한다. ( 악성코드는일반적으로 C:\ 를먼저스캔하는경우가많은데해당악성코드는사용자들이문서및백업파일을 D드라이브에저장하는습관을잘알고있다.) 4 확장자검색 *.jpg, *.jpeg, *.psd, *.cdr, *.dwg, *.max, *.mov, *.m2v, *.3gp, *.doc, *.docx, *.xls, *.xlsx, *.ppt, *.pptx, *.rar, *.zip, *.mdb, *.mp3, *.cer, *.p12, *.pfx, *.kwm, *.pwm, *.txt, *.pdf, *.avi, *.flv, *.lnk, *.bmp, *.1cd, *.md, *.mdf, *.dbf, *.mdb, *.odt, *.vob, *.ifo, *.mpeg, *.mpg, *.doc, *.docx, *.xls, *.xlsx 페이지 6

8 검색중자신이찾는확장자존재시원본파일을암호화시키고확장자뒤에.ENCODED 문자열을추가시킨다. < 악성파일이정상적인파일을암호화및파일명을변경하는순서도 > 위순서도에따라바뀌어진파일들은다음과같은모습으로바뀐다. < 감염된파일의모습 > 페이지 7

9 5 스레드생성시스템바탕화면에 HOW TO DECRYPT FILES.txt 파일을생성하고, 처음에실행되었던 cfg 리소스에서가져온복호화데이터를 txt파일에삽입후사용자에게보여준다. < 파일들은 RSA-1024 로암호화가되어있으며, $120 를송금하라는텍스트파일화면 > 파일리소스중 Wall 에저장된데이터를바탕으로랜덤 (16자리) 의 BMP파일을사용자 %TEMP% 폴더에생성한다. 생성된 BMP파일은시스템의바탕화면으로사용된다. 3) 유포경로이번랜섬웨어에감염시업무에지장이될수있는문서파일과그림파일, 압축파일등이암호화되어사용자의불편을일으키기때문에기업의경우막대한손해가발생될수있다. 따라서사용자는확인되지않은메일에첨부된파일을실행해서는안되며, 운영체제의보안업데이트및취약점이존재하는소프트웨어의업데이트를생활화해야한다. 특히중요한문서및자료들을항상백업하는습관을가져야하겠다. 페이지 8

TCP 21 2% TCP 135 74% 135 1080 3306 1433 21 25 3389 67 68 9415

TCP 1080 포트는대표적으로 MyDoom, Proxmeg, Bugbear, Hagbard, Daemoni, Lixy

지난달과비교했을경우에는 TCP 135번포트에대한비율변동이거의없었다 ( 약 1% 감소 ) (2) 상위 Top 5 포트월별추이

10 Part Ⅰ 12월의악성코드통계 3. 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 TCP % TCP % TCP % TCP 21 2% TCP % 월초부터 TCP 1080 포트를통한트래픽유입이크게증가했다. TCP 1080 포트는대표적으로 MyDoom, Proxmeg, Bugbear, Hagbard, Daemoni, Lixy 악성코드가사용한포트이다. 지난달과비교했을경우에는 TCP 135번포트에대한비율변동이거의없었다 ( 약 1% 감소 ) (2) 상위 Top 5 포트월별추이 [2010 년 10 월 ~ 2010 년 12 월 ] TCP 135번포트에대한비율변동은거의없었지만전체적인유입은전달에비해크게증가하였다. 이외에도 TCP 1080 포트의트래픽유입이크게증가한것이주목할만하다. 유해트래픽유입에대비하기위해서개인사용자들은항상방화벽을켜두고, 기업의네트워크관리자는사용하지않는포트가열려있는지확인후차단해야한다. 페이지 9

11 (3) 악성트래픽유입추이 [2010 년 7 월 ~ 2010 년 12 월 ] 전체적인악성트래픽의유입양은전달에비해증가하였다. 최근보안이취약한언론사홈페이지나인터넷커뮤니티에웹해킹으로악성스크립트를삽입한후웹사이트에접속한사용자들에게악성코드를유포시키는사례가자주발견되고있다. 한가지주목할점은현재악성코드제작자들이홈페이지관리자의대응이어려운주말기간을집중적으로노리고있으며, 주말기간동안에도모니터링이이루어지지않은홈페이지는사실상방치상태에놓이게된다. 홈페이지관리자의대응도이루어지지않고주말에는인터넷커뮤니티의활동이늘어나기때문에악성코드유포에주말이최적의시간으로자리잡게되었다. 페이지 10

12 Part Ⅰ 12월의악성코드통계 3. 스팸메일분석 (1) 일별스팸및바이러스통계현황 50,000 45,000 40,000 35,000 30,000 25,000 20,000 15,000 10,000 5,000 0 바이러스 스팸 2010/12/ /12/ /12/ /12/ /12/ /12/ /12/ /12/ /12/ /12/ /12/ /12/ /12/ /12/ /12/ /12/31 일별스팸및바이러스통계현황그래프는하루에수신된악성코드첨부, 스팸메일의개수를나타낸그래프이다. 12월에는크리스마스연하장을위장한악성코드메일이많이발견되었다. 이번에발견된 1st Christmas Card 라는제목의메일은 SnowFairy.zip라는첨부파일을포함하고있으며, 이파일을실행했을때시스템설정정보와개인정보를수집해외부로유출시킨다. 또한 PC에서이메일주소를수집한후웜 (Worm) 이첨부된메일을발송한다. (2) 월별통계현황 [2010 년 7 월 ~ 2010 년 12 월 ] 2,000,000 1,800,000 1,600,000 1,400,000 1,200,000 1,000, , , , , % % % % % % 96.8 바이러스 스팸 0 7 월 8 월 9 월 10 월 11 월 12 월 페이지 11

월별통계현황은악성코드첨부및스팸메일이전체메일에서차지하는비율을나타내는그래프이다. 12월의스팸메일은 96.8%, 바이러스메일은 3.1% 를차지하였다. 12월에비해서는바이러스메일비율이약간증가하였고, 스팸메일은소폭줄어들었다. 또한전체적인메일수신양은감소하였다.

13 월별통계현황은악성코드첨부및스팸메일이전체메일에서차지하는비율을나타내는그래프이다. 12월의스팸메일은 96.8%, 바이러스메일은 3.1% 를차지하였다. 12월에비해서는바이러스메일비율이약간증가하였고, 스팸메일은소폭줄어들었다. 또한전체적인메일수신양은감소하였다. (3) 스팸메일내의악성코드현황 [2010 년 12 월 1 일 ~ 2010 년 12 월 31 일 ]ff 순위악성코드진단명메일수 [ 개 ] 비율 [%] 1 W32/Mytob-C 14, % 2 W32/MyDoom-H 5, % 3 Mal/ZipMal-B 5, % 4 W32/Virut-T 3, % 5 W32/Bagz-D 2, % 6 W32/AutoRun-BHX % 7 W32/MyDoom-Gen % 8 W32/Bagle-CF % 9 W32/Netsky-N % 10 Troj/CryptBx-ZP % 스팸메일내의악성코드현황은 12월바이러스메일에서발견된악성코드중 Top 10을뽑은그래프이다. 현재 W32/Mytob-C가 39.54% 로 1위를차지하였다. 2위는 16.34% 를차지한 W32/MyDoom-H, 3위는 13.95% 를차지한 Mal/ZipMal-B이다. 12월에는 W32/Netsky-N와 Troj/CryptBx-ZP 악성코드가새롭게순위에등장하였으며, 1~5위까지는전달과비교해변동이없다. 페이지 12

Part Ⅱ 보안이슈돋보기 1. 2011년보안위협전망보고서 1 대중화된스마트폰서비스를이용한보안위협 국내스마트폰사용자가올해말 600만을돌파하였으며, 내년에는 1,500~1,800만명의스마트폰사용자가생겨날것으로예측되고있다. 가히 우리나라국민절반이스마트폰을들고다닌다. 고말할수있을만큼스마트폰대중화속도가매우빠른상황이다.

14 Part Ⅱ 보안이슈돋보기 년보안위협전망보고서 1 대중화된스마트폰서비스를이용한보안위협 국내스마트폰사용자가올해말 600만을돌파하였으며, 내년에는 1,500~1,800만명의스마트폰사용자가생겨날것으로예측되고있다. 가히 우리나라국민절반이스마트폰을들고다닌다. 고말할수있을만큼스마트폰대중화속도가매우빠른상황이다. 국내스마트폰사용자추이 ,500~1,800 만 만 200 만 350 만 600 만 년 2 월 2010 년 5 월 2010 년 9 월 2010 년 12 월 2011 년 12 월 특히국내스마트폰 OS 중에서구글안드로이드의점유율 (58.6%, 353만명 ) 이절대적으로높게나타난가운데안드로이드를기반으로한악성코드가올해최초로발견되었고, 국내백신회사들을중심으로안드로이드백신출시가연이어있었다. Windows Mobile 10.8% 기타 3.70% Apple ios 26.9% Google Andorid 58.6% 구글안드로이드애플 ios 윈도우모바일기타 출처 : 국내이동통신3사집계데이터 < 참고 > 국내스마트폰총사용자 : 602만스마트폰 OS 점유율 : 안드로이드 (353만), Apple ios (162만), 윈도우모바일 (65만), 기타 (22만) 페이지 13

내년에는스마트폰대중화추세와국내에독보적인안드로이드 OS의점유율, 안드로이드의앱 (App) 설치및배포특성을고려했을때안드로이드

< 스마트폰악성코드에대비하기위한이스트소프트의알약안드로이드백신 > 2 무선랜의대량보급으로새로운위협발생국내 495만대에 Access Point

대다수사설무선 AP는상용 AP에비해상대적으로보안이취약한상태로운영되고있으며, AP 패스워드가아예없거나공장초기값, 취약한암호화알고리즘을사용 (WEP)

15 내년에는스마트폰대중화추세와국내에독보적인안드로이드 OS의점유율, 안드로이드의앱 (App) 설치및배포특성을고려했을때안드로이드 OS에대한악성코드유포가크게늘어날것으로예측되며, 안드로이드 OS 기반의태블릿 PC, 구글TV 같은셋톱박스등으로악성코드의활동범위가늘어날수있다. < 스마트폰악성코드에대비하기위한이스트소프트의알약안드로이드백신 > 2 무선랜의대량보급으로새로운위협발생국내 495만대에 Access Point 중일반개인이나기업이설치한사설무선 AP가절반에가깝다는통계가발표되었다. 대다수사설무선 AP는상용 AP에비해상대적으로보안이취약한상태로운영되고있으며, AP 패스워드가아예없거나공장초기값, 취약한암호화알고리즘을사용 (WEP) 하는경우가많다. 국내무선 AP 설치대수 사설무선 AP 46% 상용 AP (NETSPOT 등 ) 54% 상용 AP (NETSPOT 등 ) 사설무선 AP 출처 : 한국인터넷진흥원 (2010년 4월사업자문의를통해간접파악 ) 전체 : 495만대 ( 사설무선AP 233만대, 상용AP : 262만대 ) 페이지 14

SNS ( 트위터, 페이스북등 ) 의단축 URL 서비스를통한악성코드유포방식이대세를이룰것으로예측되고있다.

16 취약한무선 AP를통한예상공격방법으로는무선 AP의직접적인취약점을이용하여해킹이나 DDoS 수행, 무선 AP에연결된클라이언트들의공격및악성코드감염등을대표적으로꼽을수있다. 3 고도화된악성코드의공격지속 2011년에도주로 MS Internet Explorer와 Adobe Acrobat 제품을대상으로한제로데이 (Zeroday) 취약점공격이계속이어질것으로보여지며, 홈페이지해킹과변조이외에도 SNS ( 트위터, 페이스북등 ) 의단축 URL 서비스를통한악성코드유포방식이대세를이룰것으로예측되고있다. <SNS의단축URL 서비스를통한악성코드유포개념도 > 또한, 악성코드가 PC에설치된백신과보안제품을무력화시키고, 백신으로부터탐지와제거를회피하기위해악성코드의자가보호나루트킷 (Rootkit) 기법을이용한은폐기법, 바이러스분석가들의분석을방해하는기술 ( 가상 PC에서의동작여부확인이나, 분석도구의강제종료등 ) 또한계속발전할것이다. < 악성코드의 VMWare 가상 PC 실행탐지기법의예 > 페이지 15

17 악성코드의백신무력화기법의하나로최신엔진업데이트의방해 (hosts 파일변조, 백신업데이트프로세스의실행차단, 보안회사홈페이지의해킹및변조혹은업데이트서버에대한 DDoS 공격 ) 가주로사용되고있으며, 2011년에이기술이중국의악성코드제작자들을중심으로더욱일반화될것이다. < 백신업데이트파일의실행차단사례 > 최근에는바이러스토탈 (VirusTotal) 이나 VirScan 같은멀티스캐너사이트를통해미리악성코드가백신에진단되는지확인하고, 진단되지않는경우에최종적으로악성코드를유포하는사례들이나타나고있으며 ( 심지어전문악성코드제작자를대상으로한백신진단유료서비스도존재한다 ) 앞으로사전방역기능이지원되지않는백신은신종악성코드에대한진단과대응이더욱어려울것으로전망된다. < 대표적인멀티백신스캐너사이트 VirusTotal, VirScan> 페이지 16

4 윈도우 7의보급확대로인한 64비트악성코드의전환점 64bit CPU 보급과함께대표적인 64bit PC OS인윈도우7의도입속도가빠르게증가하면서본격적인 64bit 컴퓨팅시대로옮겨가고있으며, 이에악성코드도

Microsoft의자료에의하면 2010년전세계 Windows 7 OS 시장에서 64bit 모드 (64bit mode) 가차지하는비율이 46% 에달하는것으로나타났으며, 이전버전인 Windows

100% 64bit 1% 32bit 11% 80% 64bit 46% 60% 40% 32bit 99% 32bit 89% 32bit 20% 54% 0% Windows XP Windows Vista

18 4 윈도우 7의보급확대로인한 64비트악성코드의전환점 64bit CPU 보급과함께대표적인 64bit PC OS인윈도우7의도입속도가빠르게증가하면서본격적인 64bit 컴퓨팅시대로옮겨가고있으며, 이에악성코드도 64bit 환경에서동작하도록진화하고있다. Microsoft의자료에의하면 2010년전세계 Windows 7 OS 시장에서 64bit 모드 (64bit mode) 가차지하는비율이 46% 에달하는것으로나타났으며, 이전버전인 Windows Vista와비교했을때 4배이상급성장하였다. 100% 64bit 1% 32bit 11% 80% 64bit 46% 60% 40% 32bit 99% 32bit 89% 32bit 20% 54% 0% Windows XP Windows Vista Windows 7 < 전세계 Windows 운영모드현황 - 출처 : Microsoft> 2010년에하드디스크 MBR까지감염되는 Alureon 악성코드가 64bit CPU 및 OS 환경에서작동하도록새롭게업그레이드되었으며, Shruggle, Rugrat도 64bit 환경에서동작하는대표적인악성코드로유명하다. Microsoft는이미 Windows 2008 Server R2 버전부터 64bit 전용 OS만출시하고있으며, 앞으로 32bit OS의비중을점진적으로감소시킬것으로예측되는만큼 64bit 환경에완전히적응한악성코드들이내년에점차늘어날것으로전망된다. 페이지 17

5 사이버범죄그룹의표적화공격증가 주로해외의인터넷뱅킹계정정보를빼내는제우스 (Zeus or Zbot)

제우스의경우새로운 C&C(Command & Control) 서버와전파목적의스팸메일, 변종악성코드샘플이계속발견되고있으며,

대량의감염 PC들을중앙에서관리할수있는 C&C 역할의컨트롤패널 (Control Panel)

19 5 사이버범죄그룹의표적화공격증가 주로해외의인터넷뱅킹계정정보를빼내는제우스 (Zeus or Zbot) 계열악성코드나온라인게임계정해킹같은형태로금전적이득을얻는사이버범죄집단이계속성장할것이다. 제우스의경우새로운 C&C(Command & Control) 서버와전파목적의스팸메일, 변종악성코드샘플이계속발견되고있으며, 제우스봇넷 (Botnet) 을구성할수있는종합툴킷 (Tool Kit) 들이지하경제에서 $3,000~$5,000 사이의가격대로거래되고있다. 또한, 간단한설정으로다양한변종을만들수있는빌더 (Builder) 와감염 ( 좀비 ) PC에서실행되는봇 (bot), 대량의감염 PC들을중앙에서관리할수있는 C&C 역할의컨트롤패널 (Control Panel) 으로각자의영역이세분화되어있어해커는쉽게제우스변종을유포하고좀비 PC들을중앙에서편안하게관리할수있다. 게다가덤으로인터넷뱅킹의계정정보를빼내불법적인계좌이체까지가능하다. <Zeus 악성코드유포서버주소 유포서버주소는부득이모자이크처리 > <Zeus Builder( 좌 ), Zeus Control Panel( 우 )> 페이지 18

최근중국에서제작되는대부분의악성코드들은국내온라인게임들을목표로하고있으며, PC에감염되면온라인게임에접속할때계정정보를유출시키는역할을한다. 2010년에크게유행했던 ARP Spoofing 공격관련악성코드는사실국내온라인게임의계정유출을주된목적으로제작된것이특징이다.

20 최근중국에서제작되는대부분의악성코드들은국내온라인게임들을목표로하고있으며, PC에감염되면온라인게임에접속할때계정정보를유출시키는역할을한다. 2010년에크게유행했던 ARP Spoofing 공격관련악성코드는사실국내온라인게임의계정유출을주된목적으로제작된것이특징이다. 국내온라인게임의아이템들은게임유저들간의매매를통해이미현금화할수있는좋은수단으로잘알려져있으며, 중국해커들도게임아이템거래로금전적이득을얻기위해더욱조직화되고전문화되는양상을보이고있다. < 국내온라인게임을대상으로한악성코드분석화면일부 > 중국이외의러시아에서제작된악성코드들의경우상당수가금전적목적을위해활동하고있지만다행히현재까지국내에별다른영향을끼치지않았다. 러시아악성코드제작자들은중국이상으로세련된 (?) 악성코드제작기술을선보이고있지만, 아직까지우리나라를주된목표로생각하지않는것으로보인다. 하지만이들이국내인터넷환경을주목한다면강력한악성코드들을무기로중국에못지않은피해를발생시킬수있다고생각된다. 페이지 19

21 Part Ⅱ 12 월의이슈돋보기 2 12 월의취약점이슈 Microsoft 12월정기보안업데이트 Internet Explorer 누적보안업데이트, Exchange 와 SharePoint 서버의원격코드실행, 커널모드드라이버취약점으로인한권한상승, 윈도우의취약점으로인한원격코드실행문제점등을해결한 Microsoft 12월정기보안업데이트를발표하였습니다. < 해당제품 > Internet Explorer 6~8 Windows XP Service Pack 3 Windows Server 2003, 2008 Windows Vista, 7 Microsoft Office XP~2010 Microsoft Office SharePoint Server 2007 Microsoft Exchange Server 2007 SP2 < 취약점목록 > Internet Explorer 누적보안업데이트 ( ) 이보안업데이트는 Internet Explorer의비공개적으로보고된취약점 4건과일반에공개된취약점 3건을해결합니다. 가장위험한취약점으로인해사용자가 Internet Explorer를사용하여특수하게조작된웹페이지를볼경우원격코드실행이허용될수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. OTF(OpenType 글꼴 ) 드라이버의취약점으로인한원격코드실행문제점 ( ) 이보안업데이트는원격코드실행을허용할수있는비공개적으로보고된여러건의 Windows OTF(Open Type Font) 드라이버취약점을해결합니다. 공격자는네트워크공유위치에특수하게조작된 OpenType 글꼴을호스팅할수있습니다. 그러면사용자가 Windows 탐색기에서공유위치로이동할때영향을받는제어경로가트리거되어특수하게조작된글꼴이영향을받는시스템을완전히제어할수있습니다. 이렇게되면공격자가프로그램을설치할수있을뿐아니라데이터를보거나변경하거나삭제할수있고모든사용자권한이있는새계정을만들수도있습니다. 작업스케줄러의취약점으로인한권한상승문제점 ( ) 이보안업데이트는 Windows 작업스케줄러의공개된취약점을해결합니다. 이취약점으로인해공격자가영향을받는시스템에로그온한후특수하게조작한응용프로그램을실행할경우권한상승이허용될수있습니다. 이취약점을악용하려면공격자가유효한로그온자격증명을가지고로컬로로그온할수있어야합니다. 익명의사용자에의해서나원격으로는이취약점을악용할수없습니다. 페이지 20

22 Windows Movie Maker의취약점으로인한원격코드실행문제점 ( ) 이보안업데이트는 Windows Movie Maker의공개된취약점을해결합니다. 이취약점으로인해공격자가사용자로하여금특수하게조작된라이브러리파일과동일한네트워크디렉터리에있는합법적인 Windows Movie Maker 파일을열도록유도할경우원격코드실행이허용될수있습니다. 공격에성공하려면, 사용자가신뢰할수없는원격파일시스템위치또는 WebDAV 공유를방문하거나이러한위치에서취약한응용프로그램이로드되는문서를열어야합니다. Windows Media Encoder의취약점으로인한원격코드실행문제점 ( ) 이보안업데이트는 Windows Media Encoder의공개된취약점을해결합니다. 이취약점으로인해사용자가특수하게조작된라이브러리파일과동일한네트워크디렉터리에있는합법적인 Windows Media 프로필 (.prx) 파일을열도록유도할경우원격코드실행이허용될수있습니다. 공격에성공하려면, 사용자가신뢰할수없는원격파일시스템위치또는 WebDAV 공유를방문하거나이러한위치에서취약한응용프로그램이로드되는문서를열어야합니다. Microsoft Windows의취약점으로인한원격코드실행문제점 ( ) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 이취약점으로인해사용자가특수하게조작된라이브러리파일과동일한네트워크폴더에있는.eml 및.rss(Windows Live 메일 ) 또는.wpost(Microsoft Live Writer) 와같은파일형식을열경우원격코드실행이허용될수있습니다. 공격에성공하려면, 사용자가신뢰할수없는원격파일시스템위치또는 WebDAV 공유를방문하거나이러한위치에서취약한응용프로그램이로드되는문서를열어야합니다. Windows 주소록의취약점으로인한원격코드실행문제점 ( ) 이보안업데이트는 Windows 주소록의공개된취약점을해결합니다. 이취약점으로인해사용자가특수하게조작된라이브러리파일과동일한네트워크폴더에있는 Windows 주소록파일을열경우원격코드실행이허용될수있습니다. 공격에성공하려면, 사용자가신뢰할수없는원격파일시스템위치또는 WebDAV 공유를방문하거나이러한위치에서취약한응용프로그램이로드되는문서를열어야합니다. 인터넷연결등록마법사의안전하지않은라이브러리로드로인한원격코드실행문제점 ( ) 이보안업데이트는 Microsoft Windows 인터넷연결등록마법사의공개된취약점을해결합니다. 이보안업데이트의심각도는지원대상인모든 Windows XP 및 Windows Server 2003 에디션에대해중요입니다. 지원대상인모든 Windows Vista, Windows Server 2008, Windows 7 및 Windows Server 2008 R2 에디션은이취약점의영향을받지않습니다. 이취약점으로인해사용자가특수하게조작된라이브러리파일과동일한네트워크폴더에있는.ins 또는.isp 파일을열경우원격코드실행이허용될수있습니다. 공격에성공하려면, 사용자가신뢰할수없는원격파일시스템위치또는 WebDAV 공유를방문 페이지 21

23 하거나이러한위치에서취약한응용프로그램이로드되는문서를열어야합니다. Windows 커널모드드라이버의취약점으로인한권한상승문제점 ( ) 이보안업데이트는 Microsoft Windows의공개된취약점 1건과비공개적으로보고된여러취약점을해결합니다. 이취약점으로인해공격자가시스템에로컬로특수하게조작한응용프로그램을실행할경우권한상승이허용될수있습니다. 이취약점을악용하려면공격자가유효한로그온자격증명을가지고로컬로로그온할수있어야합니다. 익명의사용자에의해서나원격으로는이취약점을악용할수없습니다. 라우팅및원격액세스의취약점으로인한권한상승문제점 ( ) 이보안업데이트는비공개로보고된 Microsoft Windows의라우팅및원격액세스 NDProxy 구성요소의취약점을해결합니다. 이보안업데이트의심각도는지원대상인모든 Windows XP 및 Windows Server 2003 에디션에대해중요입니다. 지원대상인모든 Windows Vista, Windows Server 2008, Windows 7 및 Windows Server 2008 R2 에디션은이취약점의영향을받지않습니다. 이취약점으로인해공격자가영향을받는시스템에로그온한후특수하게조작한응용프로그램을실행할경우권한상승이허용될수있습니다. 이취약점을악용하려면공격자가유효한로그온자격증명을가지고로컬로로그온할수있어야합니다. 익명의사용자에의해서나원격으로는이취약점을악용할수없습니다. 동의사용자인터페이스의취약점으로인한권한상승문제점 ( ) 이보안업데이트는동의사용자인터페이스 (UI) 의비공개적으로보고된취약점을해결합니다. 이취약점으로인해공격자가영향을받는시스템에서특수조작된응용프로그램을실행하면권한상승이허용될수있습니다. 이취약점을악용하려면공격자가유효한로그온자격증명및 SeImpersonatePrivilege를가지고로컬로로그온할수있어야합니다. 익명의사용자에의해서나원격으로는이취약점을악용할수없습니다. Windows Netlogon 서비스의취약점으로인한서비스거부문제점 ( ) 이보안업데이트는도메인컨트롤러로작동하도록구성된영향을받는 Windows Server 버전에서 Netlogon RPC 서비스의비공개적으로보고된취약점을해결합니다. 이취약점으로인해공격자가특수하게조작된 RPC 패킷을영향을받는시스템의 Netlogon RPC 서비스인터페이스로보낼경우서비스거부가발생할수있습니다. 공격자는이러한취약점을이용하기위해영향받는도메인컨트롤러와동일한도메인에가입된시스템에대한관리자권한이있어야합니다. Hyper-V의취약점으로인한서비스거부문제점 ( ) 이보안업데이트는 Windows Server 2008 Hyper-V 및 Windows Server 2008 R2 Hyper-V 에서발견되어비공개적으로보고된취약점을해결합니다. 이취약점으로인해 Hyper-V 서버에서호스팅하는게스트가상컴퓨터중하나의인증된사용자가특수하게조작된패킷을 VMBus로보낼경우서비스거부가발생할수있습니다. 공격자는이취약점을악용하기위해유효한로그온자격증명이있어야하며특수하게조작된콘텐츠를게스 페이지 22

24 트가상시스템에서전송할수있어야합니다. 익명의사용자에의해서나원격으로는이취약점을악용할수없습니다. Microsoft Publisher의취약점으로인한원격코드실행문제점 ( ) 이보안업데이트는비공개적으로보고된취약점 5건을해결합니다. 사용자가특수하게조작된 Publisher 파일을열면이 Microsoft Publisher 취약점을통해원격코드실행이허용될수있습니다. 이러한취약점중어느것이든성공적으로악용한경우공격자는영향을받는시스템을완전히제어할수있습니다. 이렇게되면공격자가프로그램을설치할수있을뿐아니라데이터를보거나변경하거나삭제할수있고모든사용자권한이있는새계정을만들수도있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Microsoft SharePoint의취약점으로인한원격코드실행문제점 ( ) 이보안업데이트는비공개적으로보고된 Microsoft SharePoint의취약점을해결합니다. 이취약점으로인해문서변환부하분산서비스를사용하는 SharePoint 서버환경에서공격자가특수하게조작된 SOAP 요청을문서변환시작관리자서비스에보낼경우게스트사용자의보안컨텍스트에서원격코드실행이허용될수있습니다. 기본적으로문서변환부하분산서비스및문서변환시작관리자서비스는 Microsoft Office SharePoint Server 2007에서사용되지않습니다. Microsoft Office 그래픽필터의취약점으로인한원격코드실행문제점 (968095) 이보안업데이트는 Microsoft Office에서발견되어비공개적으로보고된취약점 7건을해결합니다. 이러한취약점은사용자가 Microsoft Office를사용하여특수하게조작된이미지파일을볼경우원격코드실행이허용될수있습니다. 이러한취약점중하나를성공적으로악용한공격자는로컬사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Microsoft Exchange Server의취약점으로인한서비스거부문제점 ( ) 이보안업데이트는비공개적으로보고된 Microsoft Exchange Server의취약점을해결합니다. 이취약점으로인해인증된공격자가 Exchange 서비스를실행하는컴퓨터에특수하게조작된네트워크메시지를보낼경우서비스거부가발생할수있습니다. 최선의방화벽구성방법과표준기본방화벽구성을이용하면기업경계외부에서들어오는공격으로부터네트워크를보호할수있습니다. 인터넷과연결되는시스템의경우, 필요한포트만최소한으로열어두는것이안전합니다. < 해결책 > Windows Update를수행하거나 Microsoft 보안공지요약사이트에서해당취약점들의개별적인패치파일을다운로드받을수있습니다. 한글 : 영문 : 페이지 23

25 MS Internet Explorer 원격코드실행취약점주의 CVE Number : CVE MS Internet Explorer에서 mshtml.dll 라이브러리가재귀적으로 규칙을포함하는웹페이지를처리할때원격코드실행되는문제가발견되었습니다. 현재 Microsoft에서패치가되지않은제로데이 (Zeroday) 상태이므로주의가필요합니다. < 해당제품 > Internet Explorer 6/7/8 (Internet Explorer 9는이번취약점에해당하지않음 ) < 임시해결책 > EMET((Enhanced Mitigation Experience Toolkit) 설치한후 Internet Explorer를 EMET 설정에추가합니다. 또한인터넷및로컬인트라넷보안영역을높음으로설정합니다. ( 이설정으로 ActiveX 컨트롤과 Active Scripting 사용이비활성되어일부사이트에서정상적인접속이어려울수있습니다.) < 참고사이트 > acd fd2f04 MS WMI 관리도구원격코드실행취약점주의 CVE Number : CVE MS WMI 관리도구에서 WBEMSingleView.ocx ActiveX 컨트롤이메모리오류로인한원격코드실행되는문제가발견되었습니다. 현재 Microsoft에서패치가되지않은제로데이 (Zeroday) 상태이므로주의가필요합니다. < 해당제품 > MS WMI Administrative Tools 1.1 및이전버전 < 임시해결책 > 다음 CLSID에대해 "kill bit 를적용하여취약점이존재하는 ActiveX 실행차단을설정합니다. CLSID : {2745E5F5-D234-11D0-847A-00C04FD7BB08} < 참고사이트 > 애플퀵타임플레이어및 ios 4.2 최신보안업데이트권고애플 (Apple) 사의퀵타임플레이어 (Quicktime) 및 ios 4.2에대한최신보안업데이트가발표되었습니다. 페이지 24

Contact us 이스트소프트알약보안대응팀 Tel : 02-881-2364 E-mail

26 Contact us 이스트소프트알약보안대응팀 Tel : help@alyac.co.kr : 알약사이트 : 페이지 25

목차 Part Ⅰ 3 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 3 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이... 목차 Part Ⅰ 3 월의악성코드통계... 3 1. 악성코드통계... 3 (1) 감염악성코드 Top 15... 3 (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이... 5 2. 악성코드이슈분석 Trojan.Rootkit.LoaderA... 6 (1) 개요...