Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [

Size: px

Start display at page:

Download "Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 ["

태경 간
5 years ago
Views:

[ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2011년 1월의악성코드감염보고는

뒤를이어 JS/Exploit와 Win32/Induc이각각 373,502건과 361,335건으로 2위와 3위를차지하였다.

AK는 2010년 12월말에들어새롭게나타난악성코드로, 신종임에도빠른증가율을보였다.

3 Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 년 1월의악성코드감염보고는 TextImage/Autorun이 1위를차지했다. 뒤를이어 JS/Exploit와 Win32/Induc이각각 373,502건과 361,335건으로 2위와 3위를차지하였다. 신규로 Top20에진입한악성코드는총 6건이며, 특히 4위를차지한 Win-Trojan/Downloader AK는 2010년 12월말에들어새롭게나타난악성코드로, 신종임에도빠른증가율을보였다. 2011년 1월의감염보고건수는 TextImage/Autorun이총 1,234,816 건으로 Top20중 12.9% 를차지하여 1위에올랐으며, Win-Trojan/Onlinegamehack이 1,196,089건으로 2위, Win-Trojan/Downloader가 799,998건으로 3위를차지하였다. 아래차트는 2011년 1월한달동안안철수연구소가집계한악성코드의유형별감염비율을분석한결과다. [ 그림 1-1] 악성코드유형별감염보고비율 AhnLab Policy Center 4.0 세상에서가장안전한이름안철수연구소 01

2011년 1 월의감염보고건수중악성코드를유형별로살펴보면, 감염보고건수비율은트로잔 (TROJAN) 류가 50.3% 로가장많은비율을차지하였으며, 웜 (WORM) 이 14.2%, 스크립트 (SCRIPT) 가 8.7% 의비율을차지하고있다.

[ 그림 1-2] 악성코드유형별감염보고전월비교 악성코드유형별감염보고비율을전월과비교하면, 트로잔, 스파이웨어 (SPYWARE) 가전월에비해증가세를보이고있는반면웜 (WORM), 스크립트 (SCRIPT), 바이러스 (VIRUS), 애드웨어 (ADWARE), 드롭퍼

AK가 272,897건으로전체 19.9% 로 1위를차지하였으며, Win-Trojan/Overtls11.Gen가 186,291건으로 2위를차지하였다.

4 2011년 1 월의감염보고건수중악성코드를유형별로살펴보면, 감염보고건수비율은트로잔 (TROJAN) 류가 50.3% 로가장많은비율을차지하였으며, 웜 (WORM) 이 14.2%, 스크립트 (SCRIPT) 가 8.7% 의비율을차지하고있다. 아래표는 1 월에신규로접수된악성코드중고객으로부터감염이보고 된악성코드 Top20 이다. [ 그림 1-2] 악성코드유형별감염보고전월비교 악성코드유형별감염보고비율을전월과비교하면, 트로잔, 스파이웨어 (SPYWARE) 가전월에비해증가세를보이고있는반면웜 (WORM), 스크립트 (SCRIPT), 바이러스 (VIRUS), 애드웨어 (ADWARE), 드롭퍼 (DROP- PER), 다운로더 (DOWNLOADER), 애프케어 (APPCARE) 는전월에비해감소한것을볼수있다. [ 표 1-3] 신종악성코드감염보고 Top 20 1월의신종악성코드감염보고의 Top20은 Win-Trojan/Downloader AK가 272,897건으로전체 19.9% 로 1위를차지하였으며, Win-Trojan/Overtls11.Gen가 186,291건으로 2위를차지하였다. [ 그림 1-3] 악성코드월별감염보고건수 1 월의악성코드월별감염보고건수는 17,304,230 건으로, 12 월의악성 코드월별감염보고건수 18,404,101 건에비해 1,099,871 건이감소하 였다. [ 그림 1-4] 신종악성코드유형별분포 1월의신종악성코드유형별분포는트로잔이 92% 로 1위를차지하였다. 그뒤를이어애드웨어가 4%, 드롭퍼가 3% 를점유하였다. 악성코드이슈 DDoS 공격악성코드 AhnLab V3 MSS 분산서비스공격 (Distribute Denial of Service, 이하 DDoS) 을수행하는 악성코드가 1 월에다수발견및보고되었으며, 국내유명커뮤니티, 인 02 ASEC Report _ Vol.13

터넷방송, 포털및채팅사이트에피해가있었던것으로확인되었다. 이중국내유명커뮤니티, 인터넷방송사이트를공격하는악성코드는네티즌의관심을끌기위해서 10대남성이저지른것으로이미언론을통해밝혀졌다. 이번에발견된 DDoS 공격악성코드는주로동영상파일이나국내유명업체의유틸리티자동업데이트프로그램파일등으로가장하여 P2P, 카페및블로그등에서유포되었다.

$메일헤더정보를분석한결과실제중국유명포털사이트메일계정을이용하여중국 IP에해당하는서버에서발송된것으로확인되었다. 링크된파일은당시국내모백신업체의서버에변조된파일이업로드되었고, 해당파일을설치하면백신업체의윈도보안패치검사프로그램과함께아래악성파일이설치된다. - %PROGRAMFILES%\NVIDIA\[ 랜덤영문자 2 바이트 ]ntex.$

5 터넷방송, 포털및채팅사이트에피해가있었던것으로확인되었다. 이중국내유명커뮤니티, 인터넷방송사이트를공격하는악성코드는네티즌의관심을끌기위해서 10대남성이저지른것으로이미언론을통해밝혀졌다. 이번에발견된 DDoS 공격악성코드는주로동영상파일이나국내유명업체의유틸리티자동업데이트프로그램파일등으로가장하여 P2P, 카페및블로그등에서유포되었다. 해당악성코드에감염되면초당약 100회이상의패킷을공격대상사이트에발생시켜 DDoS 공격을수행한다. 메일본문에는 북한의네트워크바이러스공격으로피해를받을수있으니메일에링크된파일을내려받아설치하여피해를예방하라 는내용을포함하여사회적이슈를이용하는사회공학적방법을통한악성코드를유포방식을이용하고있다. 메일헤더정보를분석한결과실제중국유명포털사이트메일계정을이용하여중국 IP에해당하는서버에서발송된것으로확인되었다. 링크된파일은당시국내모백신업체의서버에변조된파일이업로드되었고, 해당파일을설치하면백신업체의윈도보안패치검사프로그램과함께아래악성파일이설치된다. - %PROGRAMFILES%\NVIDIA\[ 랜덤영문자 2 바이트 ]ntex.dll - %PROGRAMFILES%\NVIDIA\[ 랜덤영문자 2 바이트 ]ntex.ole [ 그림1-5] DDoS 공격패킷정보해당 DDoS 공격방법은 [ 그림1-5] 와같이공격대상사이트에 Cache- Control: no-store, must-revalidate 옵션을추가하여대상서버의시스템자원을고갈하는방법을사용하였다. 이와같은악성코드에감염되지않기위해서는자극적이거나호기심을유발하는파일, 신뢰할수없는사이트나프로그램제작사사이트가아닌다른곳에서배포되는파일을내려받아설치할때신중하게확인해야한다. 국내포털보안담당자로위장한악성코드유포메일디시인사이드 연평도북괴도발갤러리 DDoS 공격과북한의대남선전매체인 우리민족끼리 홈페이지해킹사건직후인 1월 14일에발신인을국내포털보안담당자메일계정으로위장한악성코드유포메일이발견되었다. - %USERPROFILE%\Local Settings\Temp\[ 랜덤영문자 2바이트 ]32.LOG 감염시 매니아바다 라는잭팟사이트로알려진 IP에 6380 포트로접속을시도하지만접속이되지않아추가감염증상은확인되지않았다. 포털보안담당자메일계정과백신업체의업데이트파일로위장해서피해가확산될수있었는데, 메일수신인이불특정다수가아니었던것으로추정되며실제피해는미미하였다. 네이트온을통해유포되는악성코드의변화기존에네이트온을통해유포되는악성코드는쪽지나대화창을통해 URL 을전송하여파일을내려받게한후실행을유도하는형태다. 그런데최근에악성스크립트가삽입된사이트로접속을유도해악성코드를감염시키는형태가발견되었다. [ 그림 1-7] 네이트온쪽지를통해전달되는 URL 악성스크립트가삽입된사이트는대부분제로보드4를이용하는사이트이며, 최근발견된제로보드4의몇몇취약점을이용하여공격자가악성스크립트를삽입하는것으로추정되고있다. 이전유포방식대로라면파일을내려받더라도실행을안하면감염이되지않지만, 최근에는보안취약점이존재하면해당 URL에접속만으로도감염되기때문에단체쪽지를통해의심스러운 URL이전송되면클릭하지않도록주의를해야한다. 미국백악관을사칭해유포된 Zeus 변형인 Kneber [ 그림 1-6] 국내포털보안담당자로위장한메일원문 1월 5일저녁 CNET의기사 Malware in fake White House e-card steals data 가알려지면서국내언론에서도 [ 외신 ] 네버봇넷의위협. 연하장조심하세요! 라는기사가보도되었다. 해당기사들의내용을살펴보면 Kneber라는 Zeus 악성코드변형들이백악관 (White House) 을사칭한메일로유포되었다. 이와관련하여트렌드마이크로 (Trend Micro) 에서도 Old Zeus Variant Returns for Christmas 블로 세상에서가장안전한이름안철수연구소 03

그를통해해당악성코드에대해언급하였다. [ 그림 1-9] IE 의제로데이취약점을악용한스크립트악성코드 현재까지알려진해당취약점에대한공격은일부국가에서발생하였으나급격한공격증가사례는보이지는않고있지만주의가필요하며해당취약점에관련한추가정보는 KrCert의 MS IE 신규원격코드실행취약점주의 를참고하기바란다.

이렇게연말연시사회적분위기를악용하여유포된악성코드들은해마다존재하였다. 2010년의경우에도크리스마스카드메일로위장한 Prolaco (Ackantta) 웜변형이유포되었으며, 2009년에도역시크리스마스카드메일로위장한악성코드가유포되었던사례가있다. 이번에백악관에서보낸신년인사메일로위장해유포되었던악성코드들은 V3 제품군에서다음과같이진단한다. - Win-Trojan/Zbot.

900769 MS 인터넷익스플로러 CVE-2010-3971 취약점악용 2010년 12월 22일마이크로소프트 (Microsoft, 이하 MS) 에서는인터넷익스플로러 (Internet Explorer, 이하 IE) 에기존에알려지지않은코드실행제로데이 (Zero Day, 0-Day) 취약점이존재한다는것을보안권고문 Microsoft Security Advisory

6 그를통해해당악성코드에대해언급하였다. [ 그림 1-9] IE 의제로데이취약점을악용한스크립트악성코드 현재까지알려진해당취약점에대한공격은일부국가에서발생하였으나급격한공격증가사례는보이지는않고있지만주의가필요하며해당취약점에관련한추가정보는 KrCert의 MS IE 신규원격코드실행취약점주의 를참고하기바란다. 이번 IE에존재하는코드실행제로데이취약점을악용하는스크립트악성코드는 V3 제품군에서다음과같이진단한다. [ 그림 1-8] 트렌드마이크로에서공개한백악관을사칭해유포된이메일 - JS/CVE 해당악성코드는트렌드마이크로에서공개한 [ 그림 1-8] 과같이백악관을사칭한메일의본문에존재하는웹사이트링크를통해파일을받게되어있었다. 이렇게연말연시사회적분위기를악용하여유포된악성코드들은해마다존재하였다. 2010년의경우에도크리스마스카드메일로위장한 Prolaco (Ackantta) 웜변형이유포되었으며, 2009년에도역시크리스마스카드메일로위장한악성코드가유포되었던사례가있다. 이번에백악관에서보낸신년인사메일로위장해유포되었던악성코드들은 V3 제품군에서다음과같이진단한다. - Win-Trojan/Zbot AC - Win-Trojan/Zbot P - Win-Trojan/Agent MS 인터넷익스플로러 CVE 취약점악용 2010년 12월 22일마이크로소프트 (Microsoft, 이하 MS) 에서는인터넷익스플로러 (Internet Explorer, 이하 IE) 에기존에알려지지않은코드실행제로데이 (Zero Day, 0-Day) 취약점이존재한다는것을보안권고문 Microsoft Security Advisory ( ) Vulnerability in Internet Explorer Could Allow Remote Code Execution 을통해밝혔다. 한국시각으로 2011년 1월 7일오전국외일부지역에서해당제로데이취약점을악용한공격이있었던것으로알려져주의가필요하다. 해당제로데이취약점은 IE의 mshtml.dll에존재하는힙-스프레이 (heap_spray) 에의한코드실행취약점으로, 영향을받는버전들은 MS IE 6,7,8이다. 해당취약점에대해서 MS는이번 2011년 1월정기보안패치배포시에포함되지는않을것이라고 Advance Notification Service for the January 2011 Security Bulletin Release 를통해밝혔다. 트위터 (Twitter) 에서구글단축 URL을악용해악성코드유포 2011년 1월 21일새벽해외에서유명소셜네트워크서비스 (Social Network Service, 이하 SNS) 인트위터메시지에허위백신을유포하는웹페이지로접속을유도하는구글 (Google) 단축 URL(URL shortening) 이유포되었다. 이번에트위터에서유포된악의적인구글단축 URL 관련사항은 SANS에서 Possible new Twitter worm 블로그를통해서도공개하고있다. SANS에서공개한 [ 그림 1-10] 을보면트위터메시지내부에일반적으로많이사용되는구글에서제공하는단축 URL 주소들이포함되어있다. AhnLab SiteGuard Pro 04 ASEC Report _ Vol.13

그리고설치가완료됨과동시에시스템전체검사를진행하며정상파일 들을악성코드로진단하고, 최종적으로 45 개의악성코드가발견되었 다 는허위감염문구를보여준다.

과같은전체적인구조를이 루고있으며세번에걸친재연결 (Redirection) 을통해최종적으로는허위 백신을유포하는악의적인웹사이트로접속을유도하고있다.

95 달러 ( 한화약 2만 3천원 ) 의결제로평생사용할수있는라이센스와기술지원서비스를받을수있다는메시지를보여준다.

같이설치가완료되었다는안내문구가나타난다. [ 그림 1-14] 79달러에평생라이센스와기술지원을받을수있다는안내창이번트위터의악의적인구글단축 URL을통해유포된허위백신은 V3 제품군에서다음과같이진단한다.

7 그리고설치가완료됨과동시에시스템전체검사를진행하며정상파일 들을악성코드로진단하고, 최종적으로 45 개의악성코드가발견되었 다 는허위감염문구를보여준다. [ 그림 1-10] 구글단축 URL 을악용해유포된트위터메시지들 [ 그림 1-13] 악성코드가발견되었다는허위문구를보여주는허위백신 해당악의적인구글단축 URL 은 [ 그림 1-11] 과같은전체적인구조를이 루고있으며세번에걸친재연결 (Redirection) 을통해최종적으로는허위 백신을유포하는악의적인웹사이트로접속을유도하고있다. 메시지에나타난 치료하기 (Remove all threats now) 를클릭하면 [ 그림 1-14] 와같이 달러 ( 한화약 2만 3천원 ) 의결제로평생사용할수있는라이센스와기술지원서비스를받을수있다는메시지를보여준다. [ 그림 1-11] 3 단계로이어지는구글단축 URL 악용 이러한 3 단계를거쳐최종적으로는허위백신을설치하는웹사이트로 유도하며해당웹사이트에서내려받은파일을실행하면 [ 그림 1-12] 와 같이설치가완료되었다는안내문구가나타난다. [ 그림 1-14] 79달러에평생라이센스와기술지원을받을수있다는안내창이번트위터의악의적인구글단축 URL을통해유포된허위백신은 V3 제품군에서다음과같이진단한다. 허위백신은다수의변형이존재함으로각별한주의가필요하다. - Win-Trojan/Fakeav AC 클라우드보안제품을우회하기위한악성코드발견 [ 그림 1-12] 정상적인설치문구를보여주는허위백신 미국현지시각으로 2011 년 1 월 18 일 MS 의 Microsoft Malware Protection Center 에서는 Bohu Takes Aim at the Cloud 라는포스팅 을통해최근많은보안업체에서도입하고있는클라우드안티바이러스 세상에서가장안전한이름안철수연구소 05

(Cloud Anti-Virus) 소프트웨어의탐지를회피하는기능을가진악성코드가발견되었다고밝혔다. 이번에발견된악성코드는중국일부보안업체에서제작한클라우드안티바이러스소프트웨어들의탐지를우회하고불법적인광고와중국에있는특정포털웹사이트의사용자정보등을탈취할목적으로제작되었다.

[ 그림 1-16] 실행중인동영상플레이어 [ 그림 1-15] 동영상재생기프로그램설치파일로위장한악성코드 해당파일을설치하면사용자가인지하지못하도록백그라운드로다음의 파일들을시스템에생성하고실행한다. 생성된파일중에서실질적으로클라우드안티바이러스소프트웨어의탐지를우회하는기능을수행하는파일은 siglow.

$그리고외부로전송되는패킷중 [ 그림 1-17] 과같이드라이버파일에서정의한중국보안업체에서제작된클라우드안티바이러스소프트웨어의네트워크주소문자열이포함되어있을때는해당주소로의접속을차단하게된다. - C:\Program Files\baidu\msfsg.exe (369,664 바이트 ) - C:\Program Files\baidu\uninst18.exe 생성된 msfsg.$

8 (Cloud Anti-Virus) 소프트웨어의탐지를회피하는기능을가진악성코드가발견되었다고밝혔다. 이번에발견된악성코드는중국일부보안업체에서제작한클라우드안티바이러스소프트웨어들의탐지를우회하고불법적인광고와중국에있는특정포털웹사이트의사용자정보등을탈취할목적으로제작되었다. 해당악성코드는 Nullsoft PiMP로제작된설치 (Install) 파일이며, [ 그림 1-15] 와같이 SUYU 고청영음 이라는동영상재생기프로그램의설치파일로위장되어있다. [ 그림 1-16] 실행중인동영상플레이어 [ 그림 1-15] 동영상재생기프로그램설치파일로위장한악성코드 해당파일을설치하면사용자가인지하지못하도록백그라운드로다음의 파일들을시스템에생성하고실행한다. 생성된파일중에서실질적으로클라우드안티바이러스소프트웨어의탐지를우회하는기능을수행하는파일은 siglow.sys (17,024바이트) 로, 해당드라이버파일은 siglow 라는서비스명으로시스템에로드되어네트워크패킷을 NDIS(Network Driver Interface Specification) 단계에서후킹한다. 그리고외부로전송되는패킷중 [ 그림 1-17] 과같이드라이버파일에서정의한중국보안업체에서제작된클라우드안티바이러스소프트웨어의네트워크주소문자열이포함되어있을때는해당주소로의접속을차단하게된다. - C:\Program Files\baidu\msfsg.exe (369,664 바이트 ) - C:\Program Files\baidu\uninst18.exe 생성된 msfsg.exe (369,664바이트) 파일은악의적인기능을수행하는동시에클라우드안티바이러스소프트웨어의탐지를우회하기위한다음의파일들을생성하게된다. - C:\Program Files\baidu\spass.dll (710,656 바이트 ) - C:\Program Files\baidu\siglow.sys (17,024 바이트 ) - C:\Program Files\baidu\siglow.dll (37,888 바이트 ) 생성된위파일들은 msfsg.exe (369,664바이트) 파일에의해메모리로모두로드된이후로컬시스템에서는모두삭제되며 [ 그림 1-16] 의동영상재생기프로그램을보여주어정상적으로동영상재생기가설치된것으로착각하게한다. [ 그림 1-17] 차단대상이되는클라우드안티바이러스서버주소들 결국, 해당악성코드는클라우드안티바이러스소프트웨어가악성코드탐지를위해네트워크로진단에관련된정보들을전송한다는점을악용하여관련서버들로정보전송을차단하는방식으로탐지를우회하고자한것으로분석되었다. 이번에발견된클라우드안티바이러스소프트웨어를우회하기위한악성코드는 V3 제품군에서다음과같이진단한다. 06 ASEC Report _ Vol.13

- Win-Trojan/Bohu.2229512 - Win-Trojan/Bohu.17024 - Win-Trojan/Bohu.37888 - Win-Trojan/Bohu.710656 이번에발견된 Bohu 트로이목마는최초의안티클라우드 (Anti-Cloud) 악성코드라는점에서큰의미가있다.

이러한탐지회피기법은꾸준히발전하여새로운안티클라우드기법이적용된악성코드들이지속적으로제작될것으로예측된다. 페이스북 (Facebook) 암호변경메일로위장한악성코드유포 - Your facebook password has been changed. NR<4자리숫자 > - Facebook. The new password to your account.

9 - Win-Trojan/Bohu Win-Trojan/Bohu Win-Trojan/Bohu Win-Trojan/Bohu 이번에발견된 Bohu 트로이목마는최초의안티클라우드 (Anti-Cloud) 악성코드라는점에서큰의미가있다. 역사적으로악성코드제작자에의해새로운감염기법이적용된악성코드가발견되면이에대응하기위해안티바이러스업체에서는새로운탐지및대응기법을개발하는순환적인구조를이루고있었다. 그러므로 Bohu 트로이목마의발견은악성코드제작자에의해클라우드안티바이러스소프트웨어의탐지기법들이파악및분석되고있으며, 이를회피하기위한기법들을적용하기시작한것으로볼수있다. 이러한탐지회피기법은꾸준히발전하여새로운안티클라우드기법이적용된악성코드들이지속적으로제작될것으로예측된다. 페이스북 (Facebook) 암호변경메일로위장한악성코드유포 - Your facebook password has been changed. NR<4자리숫자 > - Facebook. The new password to your account. NR<5자리숫자 > - Facebook Service. A new Password is sent you! ID<4자리숫자 > - Facebook Office. Personal data has been changed! ID <5자리숫자 > 메일본문내용은 페이스북서비스팀에서발송하는것이며사용하는페이스북계정이스팸메일발송에사용되고있어서페이스북에서임시로암호를변경하였다. 라는내용을담고있다. 그리고첨부파일로 Facebook_details_ID< 숫자 5자리 >.zip(20,699바이트 ) 과같이 ZIP 압축된파일이포함되어있다. 첨부파일의압축을해제하면 Facebook_details.exe(24,576바이트 ) 가생성된다. 해당파일을실행하게되면아래와같이 document.doc 파일이열리게되며해당워드 (Word) 문서에는페이스북로그인아이디와암호가기록되어있다. 그러나해당파일은실행된악성코드에의해러시아에있는특정시스템에서내려받기된정상적인워드파일이다. 2011년 1월 26일, 페이스북에서보내는메일로위장하여악성코드유포를시도한사례가발견되었다. 페이스북으로위장한악성코드가첨부된메일은 2010년 4월에도발견되었던사례가있었던만큼페이스북관련메일을수신하는경우에는각별한주의가필요하다. 금번에유포된페이스북에서보내는메일로위장한메일은 [ 그림 1-18] 과같이 Facebook Service. Your new password! ID<5자리숫자 > 형태의제목을가지고있다. [ 그림 1-19] 내려받기된정상적인워드파일을보여주는악성코드 실행된 Facebook_details.exe(24,576 바이트 ) 파일은다음의동작 을수행한다. [ 그림 1-18] 페이스북에서발송한메일로위장한악의적인이메일또는메일본문내용은동일하지만다음과같은메일제목들도추가로사용되고있다. - Facebook Support. A new password has been changed. ID <3자리숫자 > - Facebook Service. Your account has been blocked! ID <3자리숫자 > - Facebook Service. Your password is changed. ID<3자리숫자 > 1. 윈도시스템에존재하는정상시스템파일인 svchost.exe를실행시켜해당파일의특정메모리영역에자신의코드를덮어쓰게된다. 2. 사용자계정의임시폴더 (Temp) 에 1B.tmp(78,848바이트 ) 와 1D.tmp (62,976바이트) 를생성한다. 3. 1B.tmp(78,848바이트 ) 는윈도시스템폴더 (C:\Windows\Syte m32) 에실질적인악성코드가첨부된메일발송기능을수행하는 aspimgr.exe(64,512바이트 ) 를생성한다. 4. aspimgr.exe(64,512바이트 ) 파일을 Microsoft ASPI Manager 라는윈도서비스로등록하여시스템이재부팅되더라도자동실행되도록설정한다. 5. 윈도시스템에존재하는정상파일인 spoolsv.exe의특정메모리영역에자신의코드일부를덮어쓴후 explorer.exe와 winlogon. 세상에서가장안전한이름안철수연구소 07

exe 을삭제하고동일한파일명으로생성한다. 6. 추가로감염된시스템에 FTP 서버의주소와로그인정보들이존재 하면이를수집하여러시아에있는특정시스템으로전송한다. 악성코드침해웹사이트현황 이번에발견된페이스북에서전송하는메일로위장하여유포된악성코드 는 V3 제품군에서다음과같이진단한다. - Win-Trojan/Zbot.24576 - Win32/Danmec.worm.

CVE-2010-3970 Windows Graphics Rendering Engine(Shimgvw.dll) 에서 thumbnail image( 탐색기보기옵션중 미리보기 ) 를처리하면서발생하는 Stackbased Buffer Overflow 취약점으로임의의코드를실행할수있다.

10 exe 을삭제하고동일한파일명으로생성한다. 6. 추가로감염된시스템에 FTP 서버의주소와로그인정보들이존재 하면이를수집하여러시아에있는특정시스템으로전송한다. 악성코드침해웹사이트현황 이번에발견된페이스북에서전송하는메일로위장하여유포된악성코드 는 V3 제품군에서다음과같이진단한다. - Win-Trojan/Zbot Win32/Danmec.worm 시큐리티동향시큐리티통계 1월마이크로소프트보안업데이트현황마이크로소프트사가발표한이번달보안업데이트는 2건이다. [ 그림 2-2] 2011년 1월침해사이트현황위통계는월별악성코드침해사이트현황을나타낸그래프로, 전월에비해다소증가하였다. 이번에발견된특이사항은 3. 웹보안동향 에서상세히다루도록한다. 시큐리티이슈윈도그래픽렌더링엔진취약점. CVE Windows Graphics Rendering Engine(Shimgvw.dll) 에서 thumbnail image( 탐색기보기옵션중 미리보기 ) 를처리하면서발생하는 Stackbased Buffer Overflow 취약점으로임의의코드를실행할수있다. [ 그림 2-1] 공격대상기준별 MS 보안업데이트 [ 표 2-1] 2011 년 1 월주요 MS 보안업데이트 이번달에는 2건의패치가발표되었다. MS11-01은특수하게조작된라이브러리파일과같은네트워크디렉터리에서윈도백업관리자파일을열때원격코드를실행할수있는취약점이다. MS11-02는 Microsoft Data Access Components 관련취약점으로, 조작된웹페이지를열었을때원격코드가실행되어공격자는사용자의권한을획득할수있는취약점이다. 일부 PoC가공개된만큼각별한주의가필요하며빠른패치를권고하는바이다. 참고로, 1월초에발표된제로데이관련취약점 CVE (IE CSS 취약점 ), CVE (MS 그래픽엔진취약점 ) 에대한패치는이달에포함되어있지않았다. [ 그림 2-3] 윈도우그래픽렌더링엔진취약점. CVE 이취약점은국내보안콘퍼런스에서 Moti & Xu Hao가발표한것으로, 아직공격사례는발생하고있지않으나 PoC가공개된만큼각별한주의가필요하다. 또한, 해당취약점은사용자가폴더보기옵션중 미리보기 를설정할때만발생하므로이옵션이불필요한경우해제하는것이좋다 스톰웜봇넷스톰웜은트로이목마바이러스로지난 2007년 1월 17일처음발견되었으며같은해 1월 19일급속도로퍼지기시작하여전세계 PC의 8% 를감염시켰다. 이바이러스는전자메일을통해날씨에관한긴급뉴스로위장 08 ASEC Report _ Vol.13

하여사람들이실행파일을내려받도록유도하였다. 이후 2008년 FBI vs FaceBook 을가장한새로운스톰웜공격이확산되었는데, 이처럼사회적이슈가될만한키워드를메일을통하여전파되는웜의형태를스톰웜 (Storm Worm) 이나웨일덱 (Wale Dac) 이라명명할수가있다. 2010 년 12월 30일연말휴일을이용한스팸이나돌았다.

이웜이주기적으로해킹된웹페이지나서버에접근할때다음과같이 33byte나 417byte 페이로드안에 0102010101010201 로시작하는데이터가항상포함된다. [ 그림 2-4] Storm Worm 페이로드현재까지도관련악성샘플이지속적으로증가하는추세이고메일을통하여주로전파되니의심스러운메일을함부로열람하거나첨부파일을열지않도록주의해야한다.

3. 웹보안동향 웹보안통계웹사이트보안요약안철수연구소의웹브라우저보안서비스사이트가드 (SiteGuard) 를통해산출된 2011년 1 월웹사이트보안통계 [ 표 3-1] 웹사이트보안요약자료를보면악성코드를배포하는웹사이트의차단건수는 78,911건이다. 또한, 악성코드유형은 885건이며, 악성코드가발견된도메인은 883건, 악성코드가발견된 URL은 3,463건이다.

11 하여사람들이실행파일을내려받도록유도하였다. 이후 2008년 FBI vs FaceBook 을가장한새로운스톰웜공격이확산되었는데, 이처럼사회적이슈가될만한키워드를메일을통하여전파되는웜의형태를스톰웜 (Storm Worm) 이나웨일덱 (Wale Dac) 이라명명할수가있다 년 12월 30일연말휴일을이용한스팸이나돌았다. 관련글을투고한 Steven Adair는이것을 Waledac 2.0 또는 Storm Worm 3.0이라고칭하였다. 스팸메일속에포함된위장된링크나파일을내려받는링크를클릭하게되면웜에감염된다. 이웜에감염된각 PC는스팸발송지로악용된다. 이웜이주기적으로해킹된웹페이지나서버에접근할때다음과같이 33byte나 417byte 페이로드안에 로시작하는데이터가항상포함된다. [ 그림 2-4] Storm Worm 페이로드현재까지도관련악성샘플이지속적으로증가하는추세이고메일을통하여주로전파되니의심스러운메일을함부로열람하거나첨부파일을열지않도록주의해야한다. 구글보안연구원, 브라우저제로데이퍼징유틸리티공개 트에도존재하지않는것이며그당시누구도인터넷상에서언급하지않았던것이다. 이미 2010년여름, Zalewski는 IE를비롯하여모질라, 오페라제작자들에게알렸고 MS를제외한나머지브라우저들은일부패치되었다. IE 관련취약점은 CVE 과 CVE 이다. 아직패치되지않은취약점이므로예의주시할필요가있다. 3. 웹보안동향 웹보안통계웹사이트보안요약안철수연구소의웹브라우저보안서비스사이트가드 (SiteGuard) 를통해산출된 2011년 1 월웹사이트보안통계 [ 표 3-1] 웹사이트보안요약자료를보면악성코드를배포하는웹사이트의차단건수는 78,911건이다. 또한, 악성코드유형은 885건이며, 악성코드가발견된도메인은 883건, 악성코드가발견된 URL은 3,463건이다. 2011년 1월은 2010년 12월과비교하여악성코드가발견된도메인건수는동일하나, 악성코드배포 URL 차단건수, 악성코드유형, 악성코드가발견된 URL은증가하였다. 월별악성코드배포 URL 차단건수 [ 그림 3-1] 월별악성코드배포 URL 차단건수 [ 그림 2-5] 구글보안연구원 Michal Zalewski의블로그구글의보안전문가인 Michal Zalewski는 2011년 1월초그가만든퍼징유틸리티인 cross fuzz 를공개했다. 악용될소지가있는이도구를공개하게된배경에는구글봇으로관찰하다가우연히중국해커로의심되는곳으로부터이도구를사용한흔적을발견했기때문이다. 관련검색은 IE 엔진에있는 Mshtml.dll에있는함수에관한정보를찾는것이었는데, 함수 BreakAASpecial과 BreakCircularMemoryReferences는취약점관련스택시그니처에서유일하게발견되는것으로어떤다른컨텍스 2011 년 1 월악성코드배포웹사이트 URL 접근에따른차단건수는지 난달의 41,313 건에비해 191% 수준인 78,911 건이다. 세상에서가장안전한이름안철수연구소 09

월별악성코드유형 악성코드유형별배포수 [ 표 3-2] 악성코드유형별배포수 [ 그림 3-2] 월별악성코드유형 2011 년 1 월악성코드유형은지난달의 819 건에비해 108% 수준인

3% 의비율을보이며 1 위를차지하였고, 드롭퍼류가 22,183 건으로전체의 28.1% 로 2 위를차지하였다.

월별악성코드가발견된 URL [ 표 3-3] 웹사이트를통해배포된악성코드 Top 10 [ 그림 3-4] 월별악성코드가발견된 URL 악성코드배포순위는 [ 표 3-3] 에서볼수있듯이

12 월별악성코드유형 악성코드유형별배포수 [ 표 3-2] 악성코드유형별배포수 [ 그림 3-2] 월별악성코드유형 2011 년 1 월악성코드유형은지난달의 819 건에비해 108% 수준인 885 건이다. 월별악성코드가발견된도메인 [ 그림 3-5] 악성코드유형별배포수 악성코드유형별배포수는애드웨어류가 22,371 건으로전체의 28.3% 의비율을보이며 1 위를차지하였고, 드롭퍼류가 22,183 건으로전체의 28.1% 로 2 위를차지하였다. [ 그림 3-3] 월별악성코드가발견된도메인 악성코드배포순위 2011 년 1 월악성코드가발견된도메인은지난달과동일한 883 건이다. 월별악성코드가발견된 URL [ 표 3-3] 웹사이트를통해배포된악성코드 Top 10 [ 그림 3-4] 월별악성코드가발견된 URL 악성코드배포순위는 [ 표 3-3] 에서볼수있듯이 Win-Adware/Shortcut.InlivePlayerActiveX.234 이 13,938 건으로 1 위를차지했으며, Top 10 에 Win32/Virut.D 등 8 건이새로등장하였다 년 1 월악성코드가발견된 URL 은지난달의 3,122 건에비해 111% 수준인 3,463 건이다. 10 ASEC Report _ Vol.13

웹보안이슈 2011년 01월-침해사이트현황 2. 시큐리티동향 의 [ 그림 2-2] 는악성코드유포목적으로이용된침해사이트에대한통계로 1월에는총 175건이탐지되었고해당사이트들을통해서유포된악성코드는주로특정온라인게임사용자의계정정보를탈취하려는 Win-Trojan/Onlinegamehack이었다.

* 국내게임산업매년 폭풍성장 2012년매출 10조원시대 : http://news20.busan.com/news/newscontroller.jsp?

13 웹보안이슈 2011년 01월-침해사이트현황 2. 시큐리티동향 의 [ 그림 2-2] 는악성코드유포목적으로이용된침해사이트에대한통계로 1월에는총 175건이탐지되었고해당사이트들을통해서유포된악성코드는주로특정온라인게임사용자의계정정보를탈취하려는 Win-Trojan/Onlinegamehack이었다. 이번사례들은아무리사이트가보안취약점이없고외부공격으로부터완벽하게방어할수있다하더라도배너광고처럼외부에서받은콘텐츠에의해서한순간에사이트가악성코드유포지로전락할수있다는교훈을준다. 그리고이런경우를통해서유포되는악성코드들대부분은 Win-Trojan/Onlinegamehack이며그원인을아래기사에서어느정도추정해볼수있다. * 국내게임산업매년 폭풍성장 2012년매출 10조원시대 : Id= [ 표 3-4] 다수의침해사이트에서유포된악성코드 Top 10 [ 표 3-4] 는다수의침해사이트에서유포된악성코드 Top 10을산출한것으로주말을기점으로집중적으로유포됐었다. 해당사이트들의공통점을분석해본결과상당수의사이트에서사용하는 배너광고 에위악성코드들을유포하는스크립트가삽입되어있었음을알수있었다. 그리고일부사이트들에서는다수의하위사이트들이존재했으며그하위사이트들역시같은배너광고를사용하고있었기에악성코드유포사이트로사용됐다. - Case 1: 포털관련사이트 -> 삽입된 URL: - Case 2: 방송관련사이트 -> 삽입된 URL: - Case 3: 웹하드사이트 -> 삽입된 URL: - Case 4: 이미지사이트 -> 삽입된 URL: 위기사를보면게임산업의 2012년온라인게임산업의매출이약 7조원정도될것으로전망되고있다. 이는온라인게임활성화와다양한장르의등장으로사용자및매출의증가가발생하고해당온라인게임들에서사용하는아이템이나사이버머니에대한현금거래또한활발해질수있음을의미하는것으로볼수있다. 즉, 악성코드제작자들은위에서언급된기사처럼돈을벌기위해서그리고그대상이국내이면온라인게임들이기때문에특정온라인게임사용자의계정정보를유출할목적을가진 Win-Trojan/Onlinegamehack이해킹된웹사이트를통해서가장많이유포되는악성코드라할수있다. 만약 Win-Trojan/Onlinegamehack에감염되면어떤피해가발생할까? 여러가지피해가발생하겠지만, 만약사용자가특정온라인게임을이용한다면 [ 그림 3-6] 과같이사용자의계정정보가특정사이트로유출되는것이가장큰피해일것이다. [ 그림 3-6] Win-Trojan/Onlinegamehack 감염시유출된계정정보 [ 그림 3-6] 에서주의깊게볼점은붉은색으로표시된 CODE 부분으로, Win-Trojan/Onlinegamehack은탈취한계정정보 (ID와비밀번호 ) 를전송시어떤내용인지알수없도록암호화하는예도있다. 고객의악성코드문제를처리하면서악성코드에자주감염되는고객과그렇지않은고객사이에어떤차이점이있을까? 분석해본결과자신이사용하는 PC의보안업데이트를주기적으로했는가, 아니면하지않았는가의차이가있었을뿐이다. 악성코드에자주감염되는고객들의공통점은 보안업데이트는무관심이고백신에대한의존도가높다 라는것이었다. 악성코드에자주감염되는고객들에게 대문이나현관문은활짝열어놓고도둑방지를위한경보시스템만설치하면도둑이안들어올까? 라는질문을해본다. 물론보안업데이트를주기적으로해도다양한경로를통해서유포되는악성코드에대해서 100% 안전할수는없다. 하지만, 보안업데이트만되어있다면악성코드감염의상당수는미리예방할수가있다는것을명심해야겠다. 세상에서가장안전한이름안철수연구소 11

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다. 2010 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 2월의악성코드감염보고는 Win32/Induc이