(Microsoft Word - ASEC Report 2008\263\3427\277\371\310\243.doc)

Transcription

1 ASEC Report 7월 ASEC Report I. ASEC 월간통계 2 (1) 7월악성코드통계 2 (2) 7월스파이웨어통계 12 (3) 7월시큐리티통계 16 II. ASEC Monthly Trend & Issue 19 (1) 악성코드 Win32/Kashu.B 재감염과메신저사용자를노린악성코드 19 (2) 스파이웨어 주춤하는국내스파이웨어 / 급증하는국외스파이웨어 23 (3) 시큐리티 네이트온쪽지를이용한악성코드전파 30 (4) 네트워크모니터링현황 34 (5) 중국보안이슈 38 III. ASEC 컬럼 44 (1) DNS(Domain Name System) 의 Cache Poisoning 취약점 44 (2) 오픈오피스와악성코드 52 안철수연구소의시큐리티대응센터 (AhnLab Security Emergency response Center) 는악성코드및보안위협으로부터고객을안전하게지키기위하여바이러스분석및보안전문가들로구성되어있는조직이다. 이리포트는 안철수연구소의 ASEC에서국내인터넷보안과관련하여보다다양한정보를고객에게제공하기위하여악성코드와시큐리티의종합된정보를매월요약하여리포트형태로제공하고있다.

2 I. ASEC 월간통계 (1) 7 월악성코드통계 Top 10 분석 7 월순위 악성코드명 건수 % 1 new Win-Trojan/Agent CM % 2 new Dropper/ARPSpoofer % 2 new Dropper/OnlineGameHack % 4 new Dropper/ARPSpooer % 5 new Win-Trojan/Downloader FU % 6 new Win-Trojan/Agent HJ % 7 new Win-Trojan/OnlineGameHack % 7 new Win-Trojan/OnlineGameHack G % 9 new Win-Trojan/Agent KM % 10 new Dropper/OnlineGameHack % 합계 % [ 표 1-1] 2008년 7월악성코드피해 Top 10 [ 그림 1-1] 2008 년 7 월악성코드피해 Top 10 2

3 [ 표 1-1] 은 2008년하반기를시작하는 7월악성코드로인한피해 Top 10에랭크된악성코드들을보여준다. Top 10에포함된악성코드들의총피해건수는 849건으로 7월한달접수된총피해건수 (6213건) 의 13.6% 에해당하며지난 5월 204건 (2.7%), 6월 315건 (4.7%) 에비해큰폭으로증가하였다. [ 그림 1-1] 은에서 Win-Trojan/Agent CM 과 Dropper/ARPSpoofer.17408, Dropper/OnlineGameHack 의비율이 16~13% 로다소많은비중으로차지하고있으 며나머지악성코드들은대부분 10% 미만의비율로큰차이를나타내지는않고있다. 지난달과비교하여특이할만한점은, 6월에 Top 10에랭크되었던다수의유해가능프로그램과웜형태의악성코드가 Top 10에서밀려났으며, Top 10에오른악성코드는모두드롭퍼 (Dropper) 와트로이목마유형의신종악성코드이다. 이는다수의악성코드들이자동화된악성코드제작툴을이용하여자동적으로제작되어다양한변종이생성되고있는것이원인으로분석된다. 지난달에비해 Top 10 에랭크된악성코드당피해건수는약 2 배이상증가하였는데, 이는 ARP Spoofing 을이용한트로이목마형태의악성코드가많은피해를일으킨것이주요원인 으로보인다. 비록 Top 10에는랭크되지않았지만국내메신저프로그램을이용해전파되는악성코드가발견되어관련담당자들을긴장시키기도했다. 유명외산메신저를이용해전파되는악성코드의경우, 국내사용자들이알수없는영문메시지등과함께악성코드가전달되는통로로메신저가악용되는것이많이알려져있기때문에, 사용자들이악성코드로의심하여전송받지않아서피해가줄어들고있는것으로추정되고있다. 그러나, 국내메신저를이용해전파된악성코드의경우한글로된메시지와함께전송파일명도한글로되어있는등외산악성코드에비해위화감이적어사용자들이별다른의심없이파일을전송받아피해가발생한것을보인다. 특히사용자들이주의해야할점은메신저를이용해전파되는악성코드대부분이이미지파일로위장하여보내는만큼실행파일이아니라고안심하고다운로드받아서는절대로안되며, 보내는사람에게꼭확인을한다음확인된파일만수신하는습관을가지는것이필요하다. 또한해외메신저로전파되는악성코드의경우또한전송되는파일명들이호기심을유발하기에충분한이름들로되어있는경우가많아악성코드로의심은하면서도혹시나하는마음에전송받아피해를입는일도없어야하겠다. 3

4 [ 그림 1-2] 2008 년악성코드피해 Top 10 의유형별현황 [ 그림 1-2] 는 7월악성코드피해 Top 10의악성코드들을유형별로나타낸것이다. 7월은 5 월 ( 트로이목마 91%, 드롭퍼 9%) 과 6월 ( 트로이목마 73%, 드롭퍼 11%) 에비해트로이목마의비율이 54% 로많이줄어들었으며드롭퍼가 46% 를차지하여트로이목마와비슷한비율을보이고있다. 지난 6월 Top 10에들어있던유해가능프로그램과웜은 7월에는 Top 10에들지못하고순위에서밀려났으며드롭퍼가 6월 11% 에서 43% 나증가한 54% 로나타나강세를보였다. 월별피해신고건수 [ 그림 1-3] 2007,2008 년월별피해신고건수 [ 그림 1-3] 은월별피해신고건수를나타내는그래프로 7 월은전체 6,213 건의피해신고가 4

5 접수되었으며지난달 6,634 건에서 400 건가량감소하였다 년 2 월 8,948 건에서 3,254 건으로크게감소된이후계속적으로증가되다가 5 월 7,650 건을기점으로감소추세를보이 고있다. 이는 2007 년 5, 6, 7 월과비교하면정반대현상이다. 지난 2007년과 2008년현재까지의통계를보면주로 2개월단위로증가와감소가반복되는것을볼수있으며이러한추세로볼때 8월은악성코드피해신고건수가증가하는주기이나, 8월에는휴가시즌등으로인해사용자의 PC 사용시간이줄어드는것을감안하면, 실제피해신고건수는줄어들것으로예상된다. [ 그림 1-4] 2008 년 7 월악성코드유형별피해신고건수 [ 그림 1-4] 는 2008년 7월전체악성코드유형별피해신고건수를나타내고있는그래프이다. Top 10의유형과마찬가지로전체피해신고유형을봤을때에도트로이목마와드롭퍼가각각 75%, 17% 가량으로높은비중을차지하고있으며지난달에비해트로이목마가 10% 정도줄어들었고, 드롭퍼가이비율만큼증가하였다. 스크립트와유해유해가능프로그램이소폭감소했으며, 꾸준히감소세를보이던바이러스는 7월에는 4건만이신고되었다. 5

6 [ 그림 1-5] 2008 년 7 월피해신고된악성코드의유형별현황 [ 그림 1-5] 는 7월한달간접수된유형별신고건수로 [ 그림 1-4] 의유형별피해신고건수와마찬가지로트로이목마가 82% 로여전히높은비율을차지하고있으며지난달 72% 에비해 10% 가증가하였다. 나머지가스크립트 5%, 드롭퍼 7%, 웜 4%, 유해가능프로그램이 2% 를골고루차지하고있으며바이러스는 4건의신고가있었다. [ 그림 1-6] 2008 년월별피해신고악성코드종류 [ 그림 1-6] 의 2008 년월별피해신고가되는악성코드의종류를나타낸그래프이다. 월별로 신고되는악성코드들의종류 [ 그림 1-3] 의월별피해신고건수와마찬가지로 2 월 1,364 건 으로감소한이후계속적으로증가하였으나 6 월에증가세가꺾여소폭감소하였다가 7 월에 6

7 는큰폭으로감소하여하강곡선이뚜렷해졌다. 7월에는악성코드종류는눈에띄게감소하였으나피해신고건수는지난 6월과비슷한수준을보이고있다. 악성코드종류로만보았을때에는마치악성코드가줄어들어피해가줄어들고있는것처럼보여질수있으나악성코드당피해는더욱증가하여악성코드로인한피해가좀처럼줄어들지않고있음을알수있다. 드롭퍼의증가와함께 ARP Spoofing으로인해악성코드가전보다빠르게확산되어피해를키운것으로보인다. 7월의악성코드피해통계에서눈에띄는점은 ARP Spoofing 관련악성코드변종이많아지고있으며, 실제피해건수도증가하는추세라는것이다. ARP Spoofing을이용한악성코드는동일네트워크를사용하는시스템중취약한하나의시스템에만감염이되어도전체네트워크장애로이어질수있고, 이로인해심각한업무장애를초래할수있다. 커다란댐도작은구멍하나로무너질수있듯이시스템개인사용자및기업의보안담당 자는잘사용하지않는시스템이라도항상백신제품의최신엔진업데이트와최신보안패치 가설치될수있도록신경을써야할것이다. 7

8 국내신종 ( 변형 ) 악성코드발견피해통계 7 월한달동안접수된신종 ( 변형 ) 악성코드의건수및유형은 [ 표 1-2] 와같다. 웜 트로이 드롭퍼 스크립트 파일 매크로 부트 부트 / 파일 유해가능 비윈도우 합계 05 월 월 월 [ 표 1-2] 2008년최근 3개월간유형별신종 ( 변형 ) 악성코드발견현황 지난달사상유례가없을정도로큰폭으로상승한신종 ( 변형 ) 악성코드발견건수는이번달에는약 17% 가량감소하였지만, 평균적으로발견된건수와비교해보면상당히높은수준이다. 7월에도변함없이 SWF 관련취약점과 ARP Spoofing을이용한중국발악성코드감염사례가다수발생하였으며, 이러한영향으로신종 ( 변형 ) 악성코드가평균이상으로발견되고있는것으로보인다. 실제로발견된신종 ( 변형 ) 악성코드개수가적어졌다고실제로제작되고있는악성코드가줄어들었다고단정할수없다. 그이유로는 SWF 관련취약점이포함된샘플에대한 Generic 한진단기능이대부분의백신프로그램들에포함되고, 플래시플레이어를배포하는대형포털또는웹사이트등에서취약한플래시플레이어를업데이트한것등으로인하여원천적으로악성코드가차단되어발견된악성코드가적어졌을것으로추정된다. 취약한 SWF 파일은대량으로악성코드를다운로드받아오는멀티다운로더를다운로드한다. 일반적으로이들멀티다운로더들은 10~20 개정도의악성코드를다운로드해서사용자 PC 에설치하며, 이들은실행후악의적인모듈을생성하므로하나의멀티다운로더로수십개의악성코드가시스템을감염시킬수가있었다. 따라서취약한 SWF 파일을 Generic 하게진단하게되어추가로설치되는악성코드수가감소한것으로추정된다. 다음 [ 그림 1-7] 은이번달악성코드유형을상세히분류한것이다. 8

9 [ 그림 1-7] 2008 년 07 월신종및변형악성코드유형 이번달은트로이목마의비율이 79% 로전월대비하여감소하였다. 특히온라인게임의사용자계정정보를훔쳐내는악성코드가큰폭으로감소하여전체적으로악성코드비율이감소하였다. 드롭퍼유형은 ARP Spoofing 증상을발생하는형태와국산메신저의사용자계정을훔쳐내는 Dropper/Natice 등이등장하면서전월대비 30% 가량증가하였다. [ 그림 1-8] 최근 3 개월간악성코드분류별발견개수 9

10 스크립트류는 5% 정도전월대비소폭감소하였다. 웜유형은 15% 정도증가하였으며그중에서도 Autorun 관련웜이소폭증가하였다. 유해가능프로그램류는모니터링프로그램, 패치류, 애드웨어가주를이루었다. 파일바이러스는 Win32/Dellboy 바이러스가 4종류보고되었다. 그리고악성코드에서주로사용되는악의적인실행압축프로그램 2종류를진단하도록엔진에추가하였다. 다음 [ 그림 1-9] 에서는트로이목마및드롭퍼의전체비중에서상당한비율을차지하는온 라인게임의사용자계정을탈취하는트로이목마의추세를살펴보았다. [ 그림 1-9] 온라인게임사용자계정탈취트로이목마현황 전월대비 38% 감소하였는데이와같은원인은위에서추정한것처럼 SWF 취약점파일에대한 Generic 진단및플래시플레이어에대한업데이트가주된원인으로추정된다. 또한대다수의변형을진단하지못하지만꾸준히해당트로이목마에대한변형군에대한 Generic 진단추가도신종악성코드발견개수감소에어느정도기여한다고추정된다. 그러나계속적인변형발생과진단을회피하도록하는다형성크립터로인하여해당진단법이커버할수있는기간은길지않은편이다. 6 월에는 SWF 취약점으로유례가없는정도로많은관련악성코드가보고되었으며, 7 월달 에는 ARP Spoofing 의영향으로 5 월달과비교하여관련악성코드가발견되었다. 따라서이 러한악성코드증가추세는앞으로도계속될것으로보인다. 또한멀티다운로더에의한악 성코드대량감염도해당악성코드유형의발견개수를폭발적으로증가시키는하나의요인 10

11 이다. 최근들어서는별도의실행압축을하지않고자체적으로스트링이나 API 를암호화하는형 태도증가하였다. 또한파일크기를랜덤으로늘리고쓰레기데이터를붙여안티바이러스 진단을우회하는등진단을회피하는형태도부쩍증가하고있다. 11

12 (2) 7 월스파이웨어통계 순위 스파이웨어명 건수 비율 1 New Win-Downloader/Makrea % 2 New Win-Downloader/Makrea % 3 New Win-Spyware/PWS.OnLineGame % 4 New Win-Dropper/PWS.Gamehack % 5 New Win-Spyware/PWS.OnlineGame % 6 New Win-Adware/Rogue.XpAntivirus % 7 New Win-Spyware/Zlob % 8 New Win-Dropper/Duno % 9 New Win-Spyware/Agent F 6 6% 10 7 Win-Spyware/Xema D 5 5% 합계 % [ 표 1-3] 2008년 7월스파이웨어피해 Top 10 [ 그림 1-10] 2008 년 7 월스파이웨어피해 Top 년 7 월변형을제외하고가장많은피해를입힌스파이웨어는 [ 표 1-3] 에서와같이스 파이웨어피해 Top10 의 1, 2 위를차지한다운로더마크레아 (Win-Downloader/Makrea) 이다. 12

13 다운로더마크레아는 ARP Spoofing 공격을시도하는트로이목마로서네트워크전체에영향을미칠수있으며, 온라인게임계정유출스파이웨어의설치를시도한다. 다운로더마크레아의영향으로온라인게임계정유출스파이웨어가스파이웨어피해 Top10의 3위 ~5위를차지한것으로추정된다. 스파이웨어피해 Top10에는기록되지않았으나 7월에사용자에게많은피해를입힌스파이웨어는허위안티-스파이웨어류의프로그램으로추정된다. 7월에도스파이웨어즐롭 (Win- Spyware/Zlob), 스파이웨어크립터 (Win-Spyware/Crypter) 의피해는줄어들지않았으며, 지난달 ASEC 리포트에서예상한바와같이이들스파이웨어에의해설치되는허위안티-스파이웨어의피해가증가하였다. 전체스파이웨어피해신고 983건에서허위-안티스파이웨어프로그램의피해신고는 142건으로약 14% 의비율을차지하고있다. 최근발견되는허위안티-스파이웨어프로그램은스파이웨어즐롭, 스파이웨어크립터등의다른스파이웨어에의해사용자동의없이설치되며, 바탕화면및화면보호기변경, 시스템트레이의허위경고메시지노출증상이나타나는경우가많다. 애드웨어로그안티스파이웨어 XP 2008(Win- Adware/Rogue.AntiSpywareXP2008) 의경우설치되는파일의경로명이랜덤하며, 많은변형이존재하기때문에보안프로그램이진단하기가어려운특징으로현재에도많은피해를입히고있다 년 7 월유형별스파이웨어피해현황은 [ 표 1-4] 와같다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 5월 월 월 [ 표 1-4] 2008년 7월유형별스파이웨어피해건수 6월과비교하여스파이웨어에의한피해는약간증가하였으며, 애드웨어에의한피해는다소감소하였다. 전체적인수치는지난달과비슷한가운데허위안티-스파이웨어프로그램설치를유도하는스파이웨어크립터 (Win-Spyware/Crypter), 스파이웨어즐롭 (Win- Spyware/Zlob) 의피해신고건수가가장많았다. 13

14 7월스파이웨어발견현황 7 월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 1-5], [ 그림 1-11] 과같다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 5월 월 월 [ 표 1-5] 2008년 7월유형별신종 ( 변형 ) 스파이웨어발견현황 [ 그림 1-11] 2008 년 7 월발견된스파이웨어프로그램비율 [ 표 1-5] 과 [ 그림 1-11] 는 2008 년 7 월발견된신종및변형스파이웨어통계를보여준다. 지난달과마찬가지로스파이웨어즐롭 (Win-Spyware/Zlob) 변형이많이발견되었으며, 이 에따른영향으로전체신종및변형스파이웨어발견건수가 6 월에비해다소증가하였다. 총 615개의신종및변형스파이웨어중국외에서제작된것으로추정되는것이 520개, 국내에서제작된것으로추정되는것이 95개로국외제작스파이웨어가국내제작스파이웨어보다월등히많은것으로나타났다. 일반적으로스파이웨어는국지적인성격을많이띠고있는것으로알려져있으나, 최근에는국내의경우에있어서스파이웨어의정의가어느정도정립이되었고, 상반기사이버수사대의수사를통한스파이웨어제작업체에경각심을심어주는 14

15 현상등으로인하여국내제작스파이웨어가주춤한반면, 상반기내내 ASEC report 에서언 급되었던스파이웨어즐롭, 스파이웨어크립터등으로인하여외산스파이웨어가다수설치 됨으로인하여외국에서제작된스파이웨어로인한피해가증가하고있는추세이다. 15

16 (3) 7 월시큐리티통계 2008년 7월에마이크로소프트사로부터발표된보안업데이트는총 4건으로모두긴급 (Critical) 에해당하는중요한패치들로서, 해당하는취약점들은 MSSQL 서버, 윈도우탐색기, DNS 서비스등과같이그이름만으로도사용자들에게익숙한중요한서비스및어플리케이션들이다. MS 취약점은 SQL 서버백업파일형식인 MTF(Microsoft Tape Format) 파일에존재하는취약점을악용하여 MSSQL 서버를공격하는취약점으로, 현재알려진공격코드 (PoC) 는존재하지않지만 SQL 서버운영자들은즉시패치를적용하고, 지속적인주의를기울여야할것이다. MS DNS 취약점 1 의경우, 공격자가취약점을통해손쉽게 DNS 응답에필요한정보를유추하여조작된 DNS 응답을 DNS 서버캐쉬에삽입하는방식으로공격을수행할수있다. DNS 서버는인터넷환경에서아주핵심적기능을수행하고있기때문에해당시스템이공격당하는경우그피해가매우크다. 이에대해서는컬럼에서보다상세한내용을다루고있다. [ 그림 1-12] 공격대상기준 MS 보안패치현황 (2007 년 8 월 ~ 2008 년 7 월 )

17 위험도긴급긴급긴급 취약점 (MS08-040) Microsoft SQL Server 의취약점으로인한권한상승문제점 (MS08-039) Exchange Server 용 Outlook Web Access 의취약점으로인한권한상승문제점 (MS08-038) Windows 탐색기의취약점으로인한원격코드실행문제점 PoC 무무무 긴급 (MS08-037) DNS 의취약점으로인한스푸핑허용문제점 (953230) 유 [ 표 1-6] 2008 년 7 월발표된주요 MS 보안패치 2008 년 7월웹침해사고현황 [ 그림 1-13] 악성코드배포를위해침해된사이트수 / 배포지수 이달의웹사이트경유지 / 유포지수는 256/67 으로지난달의 329/57 에비해경유지의수 는감소하였지만유포지의수가소폭증가하였다. 소수의공격자의의해다수의웹사이트가 침해되고있는경향은여전하다. 2008년 7월결과에서특이한점은그동안에발견되지않았던새로운취약점을이용해악성코드를배포한예가발견되고있다는것이다. MS Microsoft speech active 취약 점 1 이나 MS Access Snapshot Viewer 취약점을이용해악성코드배포를시도한사례가발 견되었는데, 특히 MS Access Snapshot Viewer 취약점은아래 [ 그림 1-14] 와같은방식으

18 로배포를시도하고있으며, 현재정식패치가발표되지않았기때문에사용자들의특별한주 의가필요하다. 아직은다른취약점들에비해해당취약점들을이용한악성코드의배포가흔 하지는않지만점점그수가늘어날가능성에주목해야한다. [ 그림 1-14] MS Access Snapshot Viewer 취약점공격코드일부 이러한웹을이용해배포되는악성코드는운영체제나서드파티제품의취약점을이용하여배포되기때문에일반 PC 사용자들은운영체제뿐아니라서드파티제품의보안상태를항상확인하고제품상태를항상최신으로유지하여야한다. 또한 AV 제품을설치하여자신의 PC를보호하여야한다. 그리고침해사고를확인한웹사이트의관리자들은사이트의사후관리에신경을써그영향을최소화해야한다. 18

19 II. ASEC Monthly Trend & Issue (1) 악성코드 Win32/Kashu.B 재감염과메신저사용자를노린악성코드 ARP Spoofing 공격을발생하는중국산악성코드가 7월한달많은피해를입혔다. 일부고객들로부터는 Win32/Kashu.B 바이러스에대한재감염이슈가있었으며스팸메일러를이용한허위안티바이러스프로그램설치와피해문의가대량으로보고되었다. 또한국산메신저사용자를노린악성코드가처음발견되었으며이외에도미디어파일을감염시켜악의적인 URL 을삽입하는형태가처음으로보고되었다. Win32/Kashu.B 재감염이슈 Win32/Kashu.B 1 는기존에알려진 Win32/Sality 바이러스의변형이며원형과큰차이는없다. 그러나일부사용자로부터재감염이슈가보고되었는데, 이바이러스에감염된파일을실행하면마치메모리상주형바이러스처럼동작하는데실행중인프로세스를감염시키는쓰레드 5개와특정호스트로부터다른악성코드를받아오거나로컬드라이브의파일을감염시키는쓰레드등모두 11개의쓰레드를생성한다. 이중프로세스를감염시키는쓰레드는다시파일을감염시키는쓰레드를포함하는데이와같은이유로파일진단 / 치료전메모리에서악의적인쓰레드를제거하지않으면치료후에도재감염되는사례가발생한다. Win32/Kashu.B 바이러스에감염이되었다면안철수연구소홈페이지에서전용백신을다운로 드하여반드시검사및치료를해야만재감염되지않는다. [ 그림 2-1] Win32/Kashu.B 전용백신

20 국산메신저사용자를노린 Dropper/Natice 7 월초국내에서잘알려진메신저와해당계정을가지고있는일련의사용자들은악성코드 가링크된 URL 을받았다. 이는마치지난 5 월에국내대형포털의웹메일계정사용자를 노렸던허위고소장관련메일과어느정도연관성을배제할수없다고추정된다. 누군가가대량으로해당메일주소를획득했을것이고이를통하여악성코드설치를유도한것으로추정되기때문이다. *.jpg 로된위링크를클릭하면특정실행파일이다운로드된다. Dropper/Natice이며실행하면강아지그림이보여지지만백그라운드로악성코드가설치된다. 해당악성코드는다음과같이특정메신저를찾아내고해당프로세스의특정메모리영역에 대한읽기와쓰기를시도한다. 그러나버그인지는알수없으나 FindWindowA 이후가상메 모리영역에대한 VirtualProtect 이후종료되어버린다. [ 그림 2-2] Win-Trojan/Natice 관련코드일부 문서를작성하는현재에도변형이다수보고되었다. 따라서해당악성코드에대한피해또 는발견신고는더증가할것으로도예상된다. 국내대형온라인쇼핑몰에대한사용자정보유출후국내포털사용자의메일주소를이용하여악성코드유포가 5월에있은지얼마후에다른포털사용자를노린형태가발견된것이다. 이는악성코드제작자들이온라인게임의사용자계정탈취를넘어서국내포털사용자들의계정정보까지노리고있는것으로보인다. 이러한사례는국외에서는종종보고되었으나국내에서본격적으로유사악성코드가발생하는것은처음있는형태로보여진다. 실시간으로메시지를확인할수있는메신저의계정이노출된경우에는메시지를통한광고및사용자를가장하고금전적인피해도일으킬수있는만큼각별한주의가필요하다. 미디어파일을위협하는 Win32/Getcodec.worm 미디어파일을감염시키는악성코드가처음으로등장하였다. 감염이아닌처음부터악의적인 웹사이트로유도하도록링크를삽입하는형태는있었다. 또한악성코드에의한미디어파일 을삭제하는것과같은파괴적인증상으로피해를입혔으나이번에보고된 Win32/Getcodec.worm 은다음과같은미디어파일에대하여감염증상을일으킨다. 20

21 - *.MP2, *.MP3, *.WMA, *.WMV, *.ASF 이악성코드는로컬드라이브에서위파일을찾아내어 MP2, MP3와같은포맷의파일의경우 ASF 포맷으로변환한후해당파일에특정스크립트 (URL 형태 ) 를삽입한다. 이와같이미디어파일이감염되어악의적인목적으로사용될수있는것은해당확장자를재생할수있는윈도우미디어플레이어의기능때문이다. 윈도우미디어플레이어에서는재생하는파일중위와같이 *.WMA, *.WMV, *.ASF 포맷내특정스크립트가존재하는경우해당스크립트를실행할수가있다. 이는 AddScript method(windows Media Format SDK 지원 ) 를통해 URLANDEXIT 와같은사용자정의명령으로음악파일에스크립트삽입이가능하기때문이다. 또한다음과같이실행후레지스트리키값을변경함으로써미디어플레이어에서해당스크립트가문제없이실행되도록해둔다. 기본값은실행되지않도록되어있다. HKEY_CURRENT_USER\SOFTWARE\Microsoft\MediaPlayer\Prefere nces URLAndExitCommandsEnabled: 0 (1 이면실행불가 ) 해당웜의코드를살펴보면다음대상확장자파일에대한입력을받는부분, 해당확장자를 비교하는부분, 스크립트감염루틴부분등으로이루어져있다. [ 그림 2-3] Win32/GetCodec.worm 코드일부 다음 [ 그림 2-4] 의 Flow 는위코드에서 WMV, WMV 확장자감염루틴을수행했을때이다. 21

22 [ 그림 2-4] WMA, WMV 파일에대한감염루틴 악성코드는 MP2, MP3 의확장자의경우감염전 ASF 포맷으로변환과정을거치는데테스트과정에서는재현되지않았다. 또한변환과정에는 MP3 재생으로유명한 Winamp 의특정모듈이필요하므로 Winamp 가설치되어있어야만한다. 그이외의확장자는바로스크립트를감염시키는데위와같이기감염되어있으면감염루틴은종료된다. 감염된미디어파일을실행하면특정호스트로부터파일을내려받는다운로드윈도우가활성화된다. 해당파일은백도어증상을가지고있어사용자정보가노출될수있다. 22

23 (2) 스파이웨어 주춤하는국내스파이웨어 / 급증하는국외스파이웨어 2008년들어국내샘플접수는점차감소하고국외샘플접수량이증가하는추세를보이고있다. 특히최근에접수된해외샘플중허위안티-스파이웨어인안티바이러스2008(Win- Adware/Rogue.AntiVirusXP20008) 의경우여러감염경로를가지고있다. 그중젤라틴웜 (Win32/Zhelatin.worm) 을이용하여악의적인웹페이지경로를통하여배포하고있어그피해가점차증가되고있는상황이다. 최근스파이웨어유포방식과피해 악성코드가유포되는다양한경로를아래 [ 그림 2-5] 와같이종합적으로도식화하였다 2 스파이웨어배포자 1 WORM 취약점 4 사용자 3 사회공학기법 5 스파이웨어 7 결제 6 [ 그림 2-5] 악성코드유포경로 1. 악의적인웹페이지게시 악성코드배포자는정상적인웹사이트를해킹하여정상적인웹페이지를조작하거나, 악의적 인웹페이지를숨겨놓거나, 특정사이트게시판에악의적인글을작성한다. 이는마치신 뢰된사이트에서제공하는링크인것처럼보이게하며, 일반사용자들이무의식적으로클릭 23

24 을하게되면공격자가의도한웹페이지로접속하게된다스파이웨어배포를위하여, 동영상을보기위한코덱설치유도와같은방식등다양한사회공학적기법이많이사용되고있는데, 점차사용자의보안인식이높아지고보안패치가적용되는 PC가증가함으로써스파이웨어배포를위한새로운방법으로기존의악성코드유포방식이사용되고있다. 2. 웜배포 1 번에서스파이웨어배포자가작성한웹페이지경로를이메일내용에포함시켜서이메일 웜을통하여일반사용자가해당웜이메일을클릭하여스파이웨어가배포되도록한다. [ 그림 2-6] 악의적인이메일전송화면 위 [ 그림 2-6] 은특정메일이 APF(Ahnlab Personal Firewall) 2004 에의해전송실패된로 그화면으로메일내용은 [ 그림 2-7] 과같다. [ 그림 2-7] 유명뉴스관련메일로위장한악의적인이메일 24

25 3. 사용자가악의적인웹페이지에접속 [ 그림 2-7] 과같이유명뉴스사이트에서보내온것처럼꾸며진이메일을받고사용자는아무런의심없이메일내용을확인하게된다. 메일내용중에관심있는글을자세히보기위해글제목을클릭하게되면사용자가원하는페이지는보이지않고 1번에서작성한악의적인웹페이지가나타나게된다. 4. 취약점을이용한악성코드유포 이렇게악의적인웹페이지까지접근한사용자가의심하고프로그램설치를하지않을경우 를대비하여취약점을이용한스파이웨어설치기능이포함되어있다. 아래 [ 그림 2-8] 과같 은코드로인해윈도우시스템이패치되지않은사용자에한해서사용자의클릭여부와는상 관없이자동으로스파이웨어가다운로드되고실행된다. <script> {MS 취약점을이용한악성코드다운로드 } {Spray 데이터생성 } {Shellcode} function startcreatecontrolrange() { ( 생략 ) settimeout("startsuperbuddy()", 3000); } function startsuperbuddy() { ( 생략 ) settimeout("startgom ()", 2000); } function startgom() { ( 생략 ) settimeout("startrealplayer()", 2000); } ( 생략 ) startcreatecontrolrange(); </script> [ 그림 2-8] 취약점을이용한악성코드배포스크립트 [ 그림 2-8] 을자세히살펴보면하나의취약점을이용하는것이아니라다양한취약점들을각각의함수로작성하여순차적으로실행되도록하였다. 더욱이사용된취약점들을살펴보면윈도우취약점인 MS 뿐만아니라국내인기프로그램인 곰플레이어 의취약점 2 을이용한코드도존재하였다

26 5. 사회공학기법을이용한악성코드유포위에서도간략히언급한바와같이최근에는윈도우의보안이보다강화되었고보안에대한사용자인식이높아져보안패치및안티-스파이웨어제품을설치하여사용하는사용자들이증가되어취약점등을이용한웬만한기술로는사용자 PC에접근하기가어려워졌기때문에스파이웨어배포자들은사회공학적기법을사용한다. 스파이웨어배포를위하여주로사용되는사회공학적기법으로는특정동영상을보기위하여추가적인프로그램설치를유도하거나, 검색포털인기검색어 TOP10에해당하는키워드로악의적인게시물을작성하거나, 사용자동의를받기위해제공하는약관을읽기어려운형태로제공하거나, 불공정약관을제공하는등의방법이악용되고있다. 6. 결제유도지금까지살펴본방법으로악의적인웹페이지에접속했을때, 사용자 PC에는여러스파이웨어가설치된다. 설치된스파이웨어중스파이웨어즐롭 (Win-Spyware/Zlob) 은사용자시스템설정을변경하여사용자에게공포심을유발한다. 자세한감염증상은뒷부분에서살펴보겠다. 스파이웨어즐롭에의해서사용자가시스템이이상한것을느끼고있을때, 스파이웨어즐롭에의하여설치된허위안티-스파이웨어인 안티바이러스XP2008 이동작하여시스템검사결과많은스파이웨어가발견되었다고 [ 그림 2-9] 와같이메시지를출력한다. [ 그림 2-9] 안티바이러스 XP2008 의허위시스템검사결과출력 결국불안감을느낀사용자는 안티바이러스 XP2008 허위안티 - 스파이웨어로치료를하려 고할것이고, 치료를위해서는아래 [ 그림 2-10] 과같은결재페이지가나타난다.. 26

27 [ 그림 2-10] 안티바이러스 XP2008 으로치료하기위해결제를요구하는화면 7. 또다른악성코드유포위에서살펴본봐와같이결국스파이웨어는사용자로부터금전적이득을취하기위해다양한방법을사용하고있는것을살펴보았다. 그러나스파이웨어배포자는여기서더나아가허위안티-스파이웨어인 안티바이러스XP2008 을불법으로사용하기위해크랙을찾는사용자들을위해크랙을가장한스파이웨어도미리배포해놓은상태이다. [ 그림 2-11] 안티바이러스 XP2008 크랙을다운로드받는웹페이지 따라서사용자는 안티바이러스 XP2008 크랙파일을다운로드받아실행할경우또다른 스파이웨어에감염된다. 스파이웨어의증상 사용자 PC 에설치된스파이웨어가사용자시스템설정을변경하여사용자의불편함을초래 하거나공포심을유발하는대표적인증상들을살펴보면다음과같다. 27

28 안티바이러스 XP2008 은윈도우시스템복원기능을변경함으로써일반사용자가시스템을 복원하지못하도록방해하는기능이포함되어있다. 이러한기능으로기존에저장된시스템 복원시점을모두잃을수있어높은위험도를가지고있다. [ 그림 2-11] 윈도우시스템복원데이터조작결과 안티바이러스 XP2008 은바탕화면과화면보호기를변경한다. 사용자가변경된설정을바꾸 기위해디스플레이등록정보를실행시켰을때, 스파이웨어에의해서변경할수있는인터 페이스를숨겨놓은상태이다. [ 그림 2-12] 디스플레이설정변경 드랍퍼즐롭 (Win-Dropper/Zlob ) 은사용자의불안감을유발시키기위해 내컴퓨터 에등록된하드드라이브를숨기고, 시스템날자표기방법을변경하여파일모니터링도구 에서시간이표기되는부분에 VIRUS_ALERT! 라는문구를삽입하는등여러시스템설정 을변경한다. 28

29 [ 그림 2-13] 내컴퓨터 에등록된하드드라이브숨김 [ 그림 2-14] 시스템날짜가변경된화면 국외스파이웨어가증가하면서국내에서는좀처럼접하기힘들었던일본허위안티 - 스파이 웨어인세이그요 (Win-Adware/Rogue.VirusSeigyo) 가 ALJ(AhnLab Japan) 으로부터접수되 어진단추가되었다. [ 그림 2-15] 일본판허위안티스파이웨어인세이그요메인화면 29

30 (3) 시큐리티 네이트온쪽지를이용한악성코드전파 SK커뮤니케이션즈에서운영중인네이트닷컴쪽지서비스사용자들의 ID와 Password가유출돼악성코드를유포하는쪽지가발송되어많은사용자들이악성프로그램에의해피해를입었다. 그리고 MS Office Access의 Snapshot Viewer ActiveX Control 취약점이발표되었으며, 많은사이트에 Snapshot 취약점을이용한악성코드들이심어져있는것으로보인다. Nate On 쪽지를이용한악성코드전파 네이트쪽지서비스사용자들의 ID 와 Password 가유출되어악성코드를유포하는데악용되 었다. 공격자는아래 [ 그림 2-16] 과같은쪽지를보내어사용자를현혹하는방식을택하고 있다. [ 그림 2-16] 악성코드유포하는 Nate On 쪽지내용 [ 그림 2-16] 에서보듯이공격자는이미지파일인것처럼속여사용자가그림파일을클릭하 도록유도한다. 자세히보면실제 URI 가그림파일의주소가아닌것 ( 자세히보면? 가포함 ) 을확인할수있다. URI 에서? 다음에나오는값은사이트에전송하는변수값을의미한다. 즉위 URL 을풀 어쓰면, 로변경할수있음을알수있다. 즉 index.html 의변수값으로 abcd.jpg 라는값이들어가는것이다. 위의링크를클릭하게되면, 해킹된웹서버로접속되며, 실행파일을다운로드받는데, 30

31 WinRAR SFX 파일로아래의 4개파일을포함하고있다. 26.exe (27,091 바이트 ) 80.exe (82,432 바이트 ) error.jpg (11,656 바이트 ) : 강아지사진 kiagen.exe (10,240 바이트 ) [ 그림 2-17] 악성코드실행중보여지는이미지 악성코드를실행시키게되면, error.jpg 라는강이지사진이보여지며, 백그라운드로트로이 목마와게임핵등의악성코드가동작하게된다. MS Office Access 의 Snapshot Viewer ActiveX Control 취약점 Microsoft Access Snapshot Viewer 의 ActiveX 컨트롤은표준또는런타임버전의 Microsoft Office Access 없이 Access 보고서 Snapshot 을볼수있는기능을제공하는데, 이 ActiveX Control 에서취약점이발견되어공격을받은여러사이트에서공격코드가발견되고있으며, 점차적으로그수가늘어나고있는상황이다. 31

32 [ 그림 2-18] Snapshot Viewer ActiveX Control 공격코드 위의 [ 그림 2-18] 과같이아주간단한공격코드로취약한브라우저가위의공격코드가 삽입된사이트를방문할경우, 또는메일을읽을경우공격자에의해컴퓨터의모든권한을 빼앗길수있다. 해당취약점은 Microsoft Access Snapshot Viewer 에서사용하는 ActiveX(snapview.ocx) 의프로퍼티 SnapShotPath 와 CompressedPath 값을올바르게처리하지못하는과정에서발생한다. 이취약점은 Microsoft Office Access 2000, Microsoft Office Access 2002, Microsoft Office Access 2003 의 Snapshot Viewer 에사용되는 ActiveX 컨트롤에만영향을준다. 이 ActiveX 컨트롤은지원되는모든 Microsoft Office Access 버전 (Microsoft Office Access 2007 제외 ) 에함께제공되며, 독립실행형 Snapshot Viewer 에서도제공되므로위제품이설치된컴퓨터는업데이트를꼭해야한다. ARP Spoofing S 공격의증가 어김없이 7 월에도 ARP Spoofing 공격이지속적으로발생하고있다. 현재공격방식은취약한브라우저를통해 ARP 공격을수행하는악성프로그램을다운로드받도록하는형태이다. 공격자는사이트를옮겨가며, 지속적으로악성코드를배포하고있으며, 끊임없이변종을내놓고있는실정이다. 최근공격의예로, 공격자는인증서관리자도구 (certmgr.exe) 를통하여 services.exe 파일을실행시키고다음코드를실행시킨다. C:\WINDOWS\system32\svchost.exe -idx 0 -ip x.x.x.1-x.x.x.255 -port 80 -insert "<script src= 삭제 /js/1.js></script>" 32

33 이로인해같은네트워크에물려있는모든컴퓨터는웹서핑을하는동안 ARP 공격에 의해 HTML 코드안에악성스크립트를삽입되는형태로공격을받게된다. 33

34 (4) 네트워크모니터링현황 최근 7 월한달동안네트워크모니터링시스템으로부터탐지된상위 Top 5 보안위협들은 다음과같다. 대부분과거마이크로소프트사의공개된취약점을이용하고있으며, 광범위하 게퍼지는새로운취약점이발표되기이전까지는이러한경향이계속유지되리라추정된다. 과거공개된취약점을이용하는공격사례가끊이지않고있으므로사용자들은반드시최신 패치를설치하여잠정적보안위협을사전에방어해야한다. 순위취약점명 1 MS DCOM RPC Vulnerability 2 MS Microsoft SQL Server Vulnerability 3 MS Local Security Authority Subsystem Service(LSASS) Vulnerability 4 MS Server Service Vulnerability 5 MS Plug-and-Play Vulnerability [ 그림 2-19] 7월상위 TOP 5 보안위협취약점 지난달순위에랭크되지못했던 MS Microsoft SQL Server 공격취약점 1 은상위 2 위로순위에재진입하였으며, 지난달순위를차지했던 MS ASN.1 코드실행취약점 2 은이달에는순위에서벗어났다. MS Microsoft SQL Server 공격취약점은 Microsoft SQL 서버를대상으로 UDP/1434 포트로 376 바이트의패킷을대량전송하여트래픽과부하로인한서비스거부

35 공격 (Denial of Service) 을야기하는슬래머 (Slammer) 웜의형태로최근까지지속적으로트 래픽이감지되고있다. [ 그림 2-20] 에나타난바와같이주요공격포트트렌드를살펴보면, 지난달에이어 NetBIOS와관련한 TCP/445, TCP/139, TCP/135 포트가상위랭크를차지하였으며해당취약점은 MS03-026, MS04-011, MS06-040과같다. 앞서보안위협취약점상위에랭크된 SQL 취약점의영향으로 TCP/1433 포트는비교적큰수치로공격포트트렌드부분에서도상위 2위를차지하였다. 또한, 악성코드를다운로드하기위해이용되는 TFTP 서비스로인하여 UDP/69 포트에대한트래픽이주요공격포트에랭크되었다. [ 그림 2-20] 7 월상위 TOP 5 공격포트 공격발생지별국가현황을살펴보면, 지난달에비해한국 (KR) 이감소하고미국 (US) 이증가하였으나여전히상위권순위에는영향을미치지못하였다. 한국은다수의공격대상지가되었으며또한공격의결과로악성코드에감염되면서또다른공격을시도하는경유지역할을함으로써공격발생지국가에서상위를차지하는것으로추정된다. 중국이 11위로 10위권내에랭크되지못하였으나, 주의깊게지켜보아야할국가일것이다. 중국의순위가네트워크모니터링에서이와같이낮은이유는, 네트워크모니터링에유입되 는트래픽이특정목표를가진공격트래픽보다는전체적인공격을시도하는트래픽이므로, 중국발웹해킹과같은트래픽이모니터링되지못하기때문으로추정된다.. 35

36 순위 국가 순위 국가 1 KR 47% 6 TW 3% 2 JP 17% 7 PH 3% 3 US 14% 8 SG 2% 4 HK 6% 9 ZA 2% 5 IN 5% 10 AU 1% [ 그림 2-21] 공격국가별순위및비율 DNS Cache Poisoning 취약점에따른네트워크현황 DNS Cache Poisoning 취약점은조작된 DNS 쿼리를다량으로전달하여 DNS 캐쉬서버의내용을임의로변경할수있게한다. 그결과, 요청된주소의정상적인 IP주소가아닌공격자가지정한 IP 주소를가지고 DNS 캐쉬를변경할수있으므로악성코드가설치된임의의 IP 주소로사용자를유도할수있어매우위험하다. 취약점은 7월 24일 ( 한국시간 ) 공격코드가공개되었고, 7월 30일 ( 한국시간 ) 실제피해사례가보고되었다. [ 그림 2-22] DNS 포트 (UDP/53) 에대한트래픽추이 36

37 위그래프에서볼수있듯이해당취약점을이용한패킷증가는현재네트워크모니터링시스템을통해서탐지되고있지는않지만, 대부분의시스템은인터넷사용을위해 DNS 시스템을이용하기때문에이에대한각별한주의가필요하다. 해당취약점은컬럼부분을통해보다자세한정보를제공하고있다. 37

38 (5) 중국보안이슈 새로운버전으로등장한넷봇 (NetBot) 일반적으로중국언더그라운드에서제작되는악성코드제작툴이나해킹에사용되는공격툴의경우누구나사용할수있는무료버전과다양한고급공격기능이포함되어상용으로판매되는 VIP 버전이존재한다. 이러한무료버전과상용버전을통틀어서최근중국언더그라운드에서가장주의깊게지켜봐야할툴중하나가바로넷봇 (NetBot) 이라할수있다. 올 3월경발생한한국내금융업체의홈페이지와이번 7월에발생한특정포털사이트에대한분산서비스거부공격이바로넷봇에의해발생한것으로알려졌기때문이다. 지난 6월중순경넷봇제작그룹은 4.0대의최신버전의넷봇을개발하였으며본글을쓰고있는 8월 6일현재새로운 5.0 버전을판매하고있다. 새로운버전들에서는한국웹사이트에만특화된공격기능들이포함된것으로알려져분산서비스거부공격등에대한각별한주의가필요하다. [ 그림 2-23] NetBot.DDOS.Team 의웹사이트에한국어로설명된넷봇의기능들 넷봇 VIP 4.0은분산서비스거부공격에사용되는좀비 (Zombie) 시스템에설치되는서버파일과이좀비시스템들을조종하는클라이어트파일을생성할수있다. 해당툴을이용하여 FSG로실행압축된넷봇트로이목마악성코드를제작할수있으며, 해당트로이목마가실행되면 DLL 파일 1개를생성하여정상시스템프로세스인 winlogon.exe에인젝션 (Injection) 하게된다. 그후트로이목마를생성할당시에지정한 IP 주소로역접속을시도하여공격자의명령에따라서다양한공격들을시도하게된다. 해당넷봇 VIP 4.0 툴에의해서생성되는트로이목마들은 V3에서 Win-Trojan/Agent AE 로진단하고있다. 38

39 중국산악성코드생성툴 우리는최근발간된 ASEC 리포트를통해서중국언더그라운드그룹에의해서다양한악성코드제작툴과해킹에사용되는공격툴들이매우많이제작되고있는것을확인하였다. 이러한툴들의공통점은악성코드제작자들이과거만큼의고급프로그램개발실력이없더라도다양한형태의악성코드들을짧은시간에대량으로양산할수있게해준다는것으로아래 [ 그림 2-24] 와같이공격에사용될수있는다양한기능들을옵션으로제공하고있는실정이다. [ 그림 2-24] 비천주다운로더생성기 [ 그림 2-24] 는 7 월초에제작된비천주다운로더형태의트로이목마생성기이다. 해당트로 이목마는다음과같은악의적인기능들을제공하고있어악성코드제작자들의편의를꾀하 고있다. 1. 악성코드가생성될폴더설정 : 윈도우폴더또는시스템 32 폴더에트로이목마의복 사본을선택에따라서생성할수있다. 2. 다른악성코드의다운로드할위치 : 감염된시스템에다른악성코드를다운로드할 위치를임시 (Temp) 폴더또는다른폴더에할것인지지정할수있다. 3. 실행압축형태선택 : 생성할악성코드를 Upack 또는 FSG 로실행압축할것인지 선택할수있어악성코드파일자체를보호할수있다. 39

40 4. 다양한악의적인기능들의옵션제공 : 다운로드를시도할시간간격을공격자의선택에따라서초단위로지정할수있으며 안전모드부팅 을방해할기능, 관리목적공유폴더로의전파, 보안프로그램에서후킹되는 SSDT를원상태로복구할것인지, 보안프로그램을강제종료할것인지등의다양한악의적인기능들을체크박스를통해서복합적으로선택할수있다. 5. 감염된시스템의통계수집 : 해당생성기로생성된악성코드에얼마나많은시스템이감염되었는지확인할수있도록정보를전송하는웹사이트의주소를지정할수있다. 해당악성코드생성기에의해서생성되는트로이목마들은모두 V3 에서 Win- Trojan/Hupigon.Gen 으로진단가능하다. [ 그림 2-25] 는 2007년 6월경에제작된중국산온라인게임인대화서유2의사용자정보와암호를유출하는트로이목마생성기이다. 해당트로이목마생성기는붉은색박스에공격자가트로이목마에의해확보된온라인게임사용자정보와암호를전송할웹사이트의주소를지정할수있다. [ 그림 2-25] 대화서유 2 온라인게임관련트로이목마생성기 [ 그림 2-25] 와같이특정온라인게임의사용자정보를유출하는트로이목마생성기외에도 아래 [ 그림 2-26] 과같이온라인게임 3 종류에서범용적으로사용가능한트로이목마생성 기도존재하였다. 40

41 [ 그림 2-26] 완미국제, 무림외전, 문도온라인게임용트로이목마생성기 [ 그림 2-26] 의트로이목마생성기는완미국제, 무림외전과문도라는중국산온라인게임모두에서사용가능하며가로챈사용자정보를공격자에게전달하는방식역시웹사이트와전자메일둘중하나또는모두선택할수있도록되어있다. 1번의체크박스는웹사이트전송을원할경우에사용이가능하며각각의온라인게임사용자정보를전송하는웹사이트주소모두각각다르게설정할수있도록되어있으며 2번의체크박스의경우전자메일을통해서전달받기를원할경우사용할수있다. 전자메일의경우역시각각의온라인게임사용자정보가전송될전자메일주소를모두다르게설정할수있다. 중국언더그라운드에서알려진공격코드들 이번 7 월에는중국언더그라운드에서악의적인공격에사용가능한다양한공격코드들이 발견되어프로그램들에대한보안패치의중요성에대해서다시한번인식하게만들고있다. MS Office Snapshot Viewer ActiveX 공격코드공개이번 7월 7일마이크로소프트에서발표한 Office Snapshot 뷰어에대한취약점을공격할수있는공격코드가 7월 8일에중국언더그라운드에공개되었다. [ 그림 2-27] 중국언더그라운드웹사이트에게시된공격코드일부 마이크로소프트의보안패치발표가된하루뒤에바로이러한공격코드가공개되었다는 41

42 것은익히알려진바와같이공격코드의제작시간이점점빨라지고있다는것을증명하는것으로분석할수있다. 그러므로사용하는운영체제뿐만이아니라평소사용하는모든프로그램에대한보안패치설치를생활화하여야만불의의보안사고를사전에예방할수있을것이다 중국검색엔진 Baidu 웹사이트의 XSS 취약점 7월 13일경중국내에서가장많이사용되는검색웹사이트인바이두 (Baidu) 웹사이트에존재하는크로스사이트스크립트 (XSS) 취약점이중국언더그라운드웹사이트에알려지기시작하였다. 최초해당공격코드는 QQ 메신저를통해서급속하게전파되었으며이후대부분의언더그라운드해킹그룹의웹사이트에공격코드가공개되었다. [ 그림 2-28] 중국언더그라운드웹사이트에게시된바이두 (Baidu) 의 XSS 공격코드일부 중국포털신나왕웹사이트에서발견된취약점 7 월 18 일경중국의대형포털사이트중하나인신나왕에서배포하는엑티브엑스에임의의 파일을다운로드할수있는취약점이발견되었다. 42

43 [ 그림 2-29] 중국신나왕에서배포하는엑티브엑스취약점의공격코드일부 해당공격코드는신나왕에서배포하는엑티브엑스에존재하는취약점으로이로인해공격자 는해당엑티브엑스가사용하는클래스아이디값을이용하여외부시스템에존재하는다른 악성코드를다운로드한후실행할수있다. 폭풍영음 2008 베타 1 에서발견된취약점 중국내에서동영상재생프로그램으로많이사용되고있는폭풍영음의 2008 베타1 버전의특정파일에서버퍼오버플로우 (Buffer Overflow) 취약점이 7월 20일경중국언더그라운드에서알려지게되었다. 특히나이번취약점은아직보안패치가발표되지않은제로데이 (0- Day) 공격이라는점에서중국내의많은사용자들을불안하게하였다. [ 그림 2-30] 중국동영상재생프로그램인폭풍영음의취약한코드일부 해당취약점으로인해임의의파일을실행할수가있게되어인터넷익스플로어를통해서 악성코드를유포하고해당프로그램의취약점을이용해악성코드를실행할수도있다. 43

44 III. ASEC 컬럼 (1) DNS(Domain Name System) 의 Cache Poisoning 취약점 인터넷을사용하기위해꼭필요한것중대표적인것이일반적으로사람이인지하고있는도메인네임과인터넷상에연결된시스템의 IP를매핑시켜주는 Domain Name System(DNS) 이다. 하지만이를아는사람은많지않을것이고, DNS가없다면아마인터넷사용은굉장히불편해지거나, 아예사용하지못하게될지도모른다. 이러한중요한역할을하는 DNS에취약점이발견되어전세계적으로이슈가되고있다. 이번취약점은 IOActive의 Dan Kaminsky가발견하여올해초 DNS 프로토콜을사용하는많은업체들과이문제를해결하기위하여노력하였고, 7월초이취약점에대하여부분적으로공개하였다. 8월 7일보안컨퍼런스인블랙햇 (BlackHat) 에서세부적인내용을공개하려고하였으나, 7월 24일에이미취약점을이용한공격코드가공개되면서이를악용한공격이나오지않을까우려되는상황이다. 이취약점은기존에알려진 DNS Cache Poisoning의공격방법의하나로서새로운형태의공격방법은아니다. 지금까지알려진 DNS Cache Poisoning 방법은많은양의데이터를보내서공격을하기때문에탐지되기도쉽고, 공격자체의성공률이높지않았지만, 이번발표된취약점은좀더쉬운방법으로 DNS Cache의내용을변조할수있다. DNS 란무엇인가? DNS를설명하기전에먼저인터넷을하면서 IP주소라는것을많이들어보았을것이다. IP주소는인터넷에연결된시스템을구별하기위하여각각의시스템에유일하게부여된 4바이트의숫자 (IPv4 기준 ) 를의미하는것으로, 인터넷을이용한통신을위하여출발지 (Source) 에서목적지 (Destination) 로의패킷을라우팅하기위해사용된다. 이러한 IP 주소, 예를들어 와같이많이사용되는몇개의 IP 주소는쉽게기억 할수있을지몰라도, 수많은 IP 주소를일일이기억하는것은매우어려운일이될것이고, 인터넷사용역시굉장히불편해질것이다. 그래서우리는 IP 주소대신 IP 주소를가리키는 도메인이름을사용한다. 즉, DNS 는호스트의도메인이름을호스트의네트워크주소로바 꾸거나그반대의변환을수행할수있도록개발된시스템이다. 이러한 DNS 는 2 개의컴포 넌트인클라이언트와서버로구성되어있으며, 클라이언트가도메인주소에대해서버에게 쿼리를보내면서버가 DNS 시스템의데이터베이스를참조하여이에해당하는네트워크 IP 주소를응답해준다. 44

45 [ 그림 3-1] Web Site 접속과정 [ 그림 3-1] 에서사용자가 주소입력창에 이때브라우저는 example.com의주소를 DNS 서버에질의하여, example.com의 IP주소를얻어오게된다. 브라우저는해당 IP주소를이용하여, example.com 서버에접속하게되고, 요청 / 응답을통해웹서핑을하게되는것이다. ( 여기서중요한부분은도메인이름으로서버에직접접속하는것이아니라 DNS를통해 IP를얻고 IP주소를이용하여접속한다는것이다.) DNS Cache 란? DNS Cache 서비스는 DNS 서버에대한동일한 DNS 쿼리를반복적으로수행하지않도록쿼리에대한응답을일정시간동안저장하여불필요한네트워크트래픽을감소시키고 DNS 서비스에대한성능을향상시키기위해제공되는서비스이다. 서비스는다음과같은구조로동작한다. 1. 클라이언트가 Cache DNS 서버에게쿼리를보낸다. 2. 서버에 Cache된정보가존재하는경우, 바로응답하고, 존재하지않는경우, 신뢰된다른 DNS 서버에게쿼리를재전송한다. 3. 신뢰된다른 DNS 서버로부터응답을전달받는다. 4. 전달된응답을클라이언트에게전달하고 Cache 데이터베이스에응답을저장한다. DNS Cache Poisoning 공격이란? DNS Cache Poisoning 공격은 DNS 서버 Cache 에잘못된정보를기록하도록유도하는공 45

46 격으로, 공격자는조작된쿼리요청 (DNS 데이터를위 / 변조하는공격 ) 을통하여수행할수 있다. DNS Cache Poisoning 을설명하기위해 [ 그림 3-1] 에서설명한 DNS 서비스에대하 여보다자세하게살펴볼필요가있다. [ 그림 3-2] DNS Resolution 1. 의 IP 주소를얻기위해먼저자신의컴퓨터에있는 Cache를확인한다. (hosts 파일포함, ex> ipconfig /displaydns 명령을통해 Cache 확인가능 ) 2. 로컬컴퓨터의 Cache에서어떠한엔트리도발견하지못했기때문에자신이설정해놓은 DNS 서버에다시물어본다. 3. DNS 서버는서버내의로컬 Cache에서 존재하지않은경우반복적으로 DNS 서버들에질의하는과정을시작한다. 4. DNS 질의는인터넷의 ROOT 서버들중하나로보내진다. 요청을받은 ROOT 서버는.com 인터넷공간에대해신뢰할수있는서버의주소를알려준다. 5. DNS 질의가.com에대해신뢰할수있는서버로보내진다. example.com 도메인에대해신뢰할수있는 DNS 서버의주소가리턴된다. 6. DNS 질의가 example.com에신뢰할수있는서버로보내진다. 의 IP 주소가리턴된다 IP 주소는애초요청했던클라이언트에게보내지고, 응답받은 Local cache에저장된다. [ 그림 3-2] 와같은여러단계를거처서특정도메인에매핑되는 IP 주소를얻어올수있다. 46

47 [ 그림 3-3] DNS Cache Poisoning [ 그림 3-3] 에서보는바와같이 DNS Cache Poisoning 공격은 1-6 단계를거치고 DNS 서버 에정보를돌려주기전에공격자는신뢰된사이트라속이고계속해서잘못된 IP 를로컬 DNS 서버에전송한다. 이러한손쉬운공격에 DNS Cache Poisoning 공격이성공하지못하도록 DNS 서비스에몇가지보안기능이내장되어있다 - Transaction ID가랜덤화 : 공격이성공하기위하여 DNS 서버가외부 DNS 서버에질의한 Transaction에대하여공격자는 Transaction ID를알아야하지만그렇게어렵지않다. 왜냐하면 Transaction ID를특정한범위내에서랜덤화시키기때문에공격자는무차별대입을통해공격에성공할수있다. - Source port 매칭 : 현재의대부분의 DNS서버는 Source Port 번호가처음부팅할때부터다시서버를재시작하기전에는바뀌지않는다. 즉공격자는쉽게 Source Port 번호를획득할수있다. 위의두가지보안수단들을하나씩제거하고, IP 주소를공격자가원하는주소로변조한다. 이렇게변조된도메인에대한 IP 주소는 DNS서버의 Cache에저장되고, 다른클라이언트들이도메인에대해 IP주소를요청할때, 잘못된 IP 주소를알려주게되며, 이것은엔트리가삭제될때까지지속된다. 이와같이 DNS Cache Poisoning 을공격에의해, DNS 서버가잘못된 IP 주소를알려준다면 아래와같은문제가발생할수있다. 47

48 - 개인정보가로채기 : 일단공격자는 example.com과동일한사이트를만들어놓는다. 그다음 DNS Cache Poisoning을시도하여 example.com의 IP주소를공격자서버 IP 주소로바꿔놓을것이다. 사용자는잘못된 IP주소를 DNS로부터받아 example.com에접속하게될것이다. Example.com에접속한사용자는평소와같이 id, password를입력하게될것이고입력과동시에공격자손에넘어갈것이다. Id/password뿐만아니라사용자정보를입력하거나다양한정보입력을통해많은정보를빼낼수있을것이다. - Malware 유포 : 특정서버의 IP주소를 DNS Cache Poisoning을통해변경하고, 그주소로접속한사용자들을감염시킨다. 공격자는웹페이지내부에 IFRAME을삽입하여, 접속한사용자시스템에악성코드를설치하게된다. - 거짓정보유포 : 신뢰성있는사이트로위장하여, 거짓정보를흘려, 주식가격을조작하거나, 사회에대한불신또는정치적목적으로도사용될수있다. - Man-in-the-middle Attack: 공격자서버에 Proxy서버를두어, 일반사용자로하여금자신의서버를거쳐다른정상사이트와통신하게한다. 이는공격자가실제사용자와정상사이트와의모든통신내용을가로챌수있게한다. ( 웹사이트정보, 개인정보, 채팅내용, 기타등등 ) - 전자상거래사이트위장 : 공격자가쇼핑몰같은사이트를위장하여, 다른사이트보다물건들을싸게내놓고, 일반사용자로하여금상품금액을가로채는행위를할수있다. 위공격들은사용자가정상적으로도메인을입력하고접속했기때문에아무도의심하지못 할것이다. 이는심각한결과를초래할수있다. DNS Cache Poisoning 공격사례 이번취약점을악용한사례가미국시간기준 2008년7월29일 ( 화 ) 에보고되었다. 미국의대형 ISP(Internet Service Provider) 기업중의하나인 AT&T 사의 DNS Cache 서버에발생한것으로, 세부사항은이번취약점의공격코드를만든 HD Moore가근무하는 BreakingPoint Systems사를통하여알려졌다. 이번사건을좀더자세히살펴보면, BreakingPoint 사의내부 DNS가 AT&T 사의 DNS를이용하도록포워딩설정되어있었고, 공격자는미국의오스틴과텍사스지역의 AT&T DNS에공격시도를하여 주소가변조된 이는 IFRAME 주소 4개가삽입되어있었기때문이었다. 4 개중 1 개는 Google 주소였기때문에실제적으로는 3 개가문제지만, 악성코드를설치하는 것은아니었기때문에직접적인피해는없었다. 하지만이번사례는일반기업의 DNS 가 48

49 아니라많은사람들이이용하는 ISP 의 DNS 를대상으로했다는점과실제로이번취약점을 이용하여공격에성공하였다는점에서주목을받았다. DNS Cache Poisoning 취약한지확인 OARC 에서제공하는기능을통하여다음과같이쿼리를통해확인을해볼수있다. 결과가 GOOD 또는 POOR 로간단하게확인이가능하다. < 취약한경우 > $ 네임서버주소 +short porttest.dns-oarc.net TXT " 네임서버 is POOR: 40 queries in 6.3 seconds from 1 ports with std dev 0.00" < 정상인경우 > $ 네임서버주소 +short porttest.dns-oarc.net TXT " 네임서버 is GOOD: 26 queries in 0.1 seconds from 26 ports with std dev " 또는 nslookup 을이용하여다음과같이도가능하다. $ nslookup -type=txt -timeout=30 porttest.dns-oarc.net 네임서버주소 취약점을발견한 Dan Kaminsky 블로그의 'DNS Checker' 기능이용 "Check My DNS" 를통해확인이가능하다. 만약다음과같은문구가나온다면사용하고있는 DNS 서버가취약점에노출되어있는것이다. "Your name server, at xxx.xxx.xxx.xxx, appears vulnerable to DNS Cache Poisoning." DnsStuff 의취약점확인기능을이용 를방문하면자동으로체크하여준다. 취약한경우다음과같은메시지를준다. "The DNS server at xxx.xxx.xxx.xxx is vulnerable!" DNS Cache Poisoning 공격방어 DNS Cache Poisoning 공격을막기위해서는우선적으로최신버전의 DNS 를사용하거나 49

50 현재버전에서패치를적용하여해결한다. 이번취약점에대한해당패치는다음 [ 표 3-1] 과같다. 벤더마이크로소프트 ISC BIND 시스코레드햇우분투 Gentoo 데비안 OpenBSD FreeBSD NetBSD SUSE Linux 썬마이크로시스템즈 이외이번취약점의영향을덜받기위해서는다음과같은작업 1,2 을수행할수있다. - DNS 서버의용도와서비스에따라필요치않은경우 DNS 서버의 Recursion 기능을중지하도록한다. - Recursion 기능을사용할경우특정신뢰할수있는호스트로제한한다. - 안전한 DNS 사용을위한보안정책을적용한다. - DNS 서버의버전을숨긴다. 1 Disable recursion on the DNS server : 패치 url ftp://ftp.netbsd.org/pub/netbsd/security/advisories/netbsd-sa txt.asc [ 표 3-1] DNS 취약점패치 url 2 Open DNS 보안조치가이드 ( 50

51 - BIND 8/9 의경우 'recursion no', 'allow-recursion' 옵션을이용할수있 다.( Recursion 을사용하지않을경우 Zone 파일에지정된도메인이외의일반적인 쿼리가동작하지않으므로해당기능의사용을정확히인지한후사용하여야한다 ) 결론 DNS Cache Poisoning 공격은큰위협이되는취약점이다. 우리나라의경우 ISP 에의존적 으로 DNS 사용이굉장히높으므로좀더관심을기울이고, 적극적으로대처한다면이번취 약점은무난히지나갈것으로예상된다. 51

52 (2) 오픈오피스와악성코드 OpenOffice.org ( 이하오픈오피스 ) 는줄여서 OOo, OO.o 등으로도불리며 현재국내에서오픈오피스가마이크로소프트사의 MS오피스나한글과컴퓨터사의한글과컴퓨터오피스에비해널리사용되지는않고있지만무료라는점, 마이크로소프트오피스 포맷을지원한다는장점과데이터교환을위해고유파일포맷으로 ISO 표준인오픈도큐먼트포맷 (ODF) 를지원 1 하는등의여러가지이유로조금씩사용비중이높아져가고있다. 이런오픈오피스도명성을쫓는악성코드제작자들을피해가기는어려웠는지 2007년 5월 22 일보안업체와외신을통해오픈오피스에서활동하는최초의악성코드 ( 배드버니-BadBunny) 가보고되었다. 이글에서는오픈오피스의보안적인측면과배드버니에대해알아보겠다. 오픈오피스 오픈오피스는 1980년대중반독일의스타오피스슈트 (StarOffice suite) 로시작되어 1999년썬마이크로시스템즈 (Sun Microsystems, 이하썬 ) 에합병되어 2000년 6월스타오피스 5.2 가공개되었다. 2000년 10월 13일스타오피스 6.0를시작으로오픈오피스프로젝트에사용되어오픈오피스 1.0이 2002년 4월 30일탄생한다. 현재는썬에서오픈소스프로젝트를진행하고있으며, 윈도우, 리눅스, 매킨토시버전이존재한다. 한국어웹사이트도존재하며 ( 테스트에사용된오픈오피스버전 은설치파일크기는 113 메가바이트이다. 기본적인테스트는한글윈도우 XP 서비스 팩 2 혹은 3 에오픈오피스한글판 2.2 와 2.4 를사용했다. 오픈오피스문서구조 오픈오피스문서는 MS 오피스 2007과마찬가지로 ZIP 형식의압축파일로되어있다. 실제오픈오피스문서를 ZIP 파일로변경하면압축해제프로그램에서압축을풀수있다. 이는오픈도큐먼트 (OpenDocument, ODF) 에따른것으로원래오픈오피스에서만들고구현한 XML 파일포맷을바탕으로 OASIS(Organization for the Advancement of Structured Information Standards) 컨소시엄이표준화한것이라고한다 D%8A%B8 52

53 [ 그림 3-4] ZIP 으로묶여있는오픈오피스문서파일 이와같이 XML 형태로제작된문서는오피스간파일호환도가능하지만과거오피스문서 파일이자체파일포맷을사용함으로써파일포맷을변경하여악의적인코드를수행하게하 는유형의공격으로부터의공격가능성도대폭낮춰보안성을높일수있다. 오픈오피스매크로 현재오픈오피스는 MS 오피스의 VBA(Visual Basic for Application) 매크로와호환되지않아 MS 오피스에포함된매크로가실행되지않는다 1. 오픈오피스는 VBA 대신자체적인매크로를지원하고있는데, 크게오픈오피스베이직 (OpenOffice.org Basic), 자바스크립트 (JavaScript), 빈쉘 (BeanShell), 파이썬 (Python) 을지원한다. 오픈오피스는기본적으로매크로의기능을막아두었기때문에, 스크립트나매크로를포함한 문서를열경우사용자에게경고메시지를보인다. [ 그림 3-5] 매크로포함문서를열때발생하는경고 1 노벨에서제공하는 go-oo버전에서는 VBA 매크로가호환되어가포함되어있다고한다.( 53

54 2.4 버전에서는매크로를기본적으로막아두었기때문에사용자가매크로를사용하려면매크로보안기능을 높음 에서 중간 으로낮춰야한다. 보안수준을낮춘후문서를열면보안경고창이뜬다. 이때 매크로활성화 를선택하면매크로를실행할수있다. 하지만, 매크로실행을위해서는 JRE(Java Runtime Environment) 가필요하다는메시지가뜨지만무시해도기본적인매크로는사용가능하다. 매크로는실행은사용자가 도구 (T) 매크로 (M) 매크로실행 (U) 을선택해매크로를실 행할경우실행된다. 오픈오피스베이직은 내매크로. 오픈오피스매크로 와현재열린문서의매크로가기본이 된다. 내 매크로는 C:\Documents and Settings\[ 사용자이름 ]\Application Data\OpenOffice.org2\user\basic\Standard 폴더에 저장된다. 기본 파일 이름은 Module1.xba 이다. 오픈오피스에서매크로기능을사용하기위해서는설정할사항이많으므로대다수사용자는 매크로사용을하지않고매크로기능이필요한사람만선택적으로사용할것이다. 악성코드제작환경 오픈오피스매크로는기술적으로악성코드에필요한다음기능을제공하고있어악성코드제작이가능하다. - 파일생성, 복사, 실행, 삭제기능 - 오픈오피스의매크로를이용해외부실행파일실행 실제간단히파일생성, 복사, 실행, 삭제를테스트해서매크로를실행할수있는상황이면 적어도트로이목마류의악성코드는제작할수있다. 54

55 [ 그림 3-6] 매크로기능을이용한파일생성, 복사, 실행, 삭제테스트 다행히오픈오피스는매크로기능을기본적으로막아둬매크로기능을잘모르는사용자는 악성코드피해를받을가능성이낮다. 하지만, 매크로가수행될경우에는악성코드제작에 필요한기능을제공하고있어악성코드제작가능성은존재한다. 배드버니분석 오픈오피스악성코드로는오픈오피스드로우 (OpenOffice Draw) 에서제작된악성코드가 2007 년 5 월발견되었다. 일반에퍼지지않고기술적으로제작이가능함을증명하는개념증 명 (Proof of concept) 악성코드이다. 감염된문서를열어볼때실제매크로는 Basic\Standard 의 badbunny.xml 파일이다. 55

56 [ 그림 3-7] 배드버니에감염된문서 소스코드를보면이악성코드는자신을 Necronomikon 과 Wargame 으로부르는사람들이 제작했음을알수있다. 이들은 DoomRiderz 라는독일의바이러스제작그룹멤버였으며 2007 년 12 월 28 일그룹을떠난것으로알려졌다. 오픈오피스는윈도우, 매킨토시, 리눅스등멀티플랫폼에서실행되므로현재실행되는환경 을알수있다. 악성매크로가실행되면초기화를하고 Startgame 을호출한다. Startgame 에서현재시스템의버전을얻어낸다. 1 번이 Windows, 3 번매킨토시, 4 번리눅스이다. - 윈도우에서는 mirc가설치되어있을경우 mirc 스크립트를생성하고 c:\badbunny.js 파일을생성하고실행한다. - 리눅스에서는 badbunny.py라는파이썬 (Python) 스크립트를생성하고펄스크립트파일인 BadBunny.pl 파일을생성한다. - 매킨토시에서는난수를발생해발생하는수에따라다른파일을생성한다. 제작자는특정한문자열과그림을문서에추가하려했지만한글버전 2.2 에서는오류가발 생한다. 또윈도우버전의경우 [ 그림 3-8] 과같이 c:\badbunny.js 를실행할때오류가발 생했다. 56

57 [ 그림 3-8] 배드버니실행시발생하는오류 원래삽입하려는이미지는버니복장의남자와여성의포르노사진이었다. 이후메시지창으 로사용자에게메시지를출력한다. [ 그림 3-9] 사용자에게보내는메시지 그리고, 다음보안업체에 PING 명령을보낸다

58 (comm은오타로보임 ) 하지만, 테스트에사용된한글오픈오피스에서는종종오류가발생해제대로악성코드가실 행되지않았다. 향후오픈오피스악성코드전망 오픈오피스가악성코드제작자의다음목표가될거라는전망은예전부터있었다. 하지만, 오픈오피스사용자가아직다른오피스에비해적고악성코드제작자들은재미나명성보다는돈을쫓는경향이강하기때문에오픈오피스에관심을가지는악성코드제작자는명성을쫓는전통적인바이러스제작자나제작그룹에한정될것으로보인다. 다행히오픈오피스는과거수많은매크로바이러스를양산한 MS 오피스의교훈을거울삼아매크로기능을기본적으로사용할수없게하고사용자가선택해야실행할수있는형태로제작되어악성코드에감염될가능성을낮췄다. 또한현재까지제작된악성코드역시개념증명수준의문제를가지고있다. 하지만, 멀티플랫폼으로제작된오피스제품의특성상하나의악성코드로다양한환경에서활동할수있는악성코드제작은늘가능하다. 오픈오피스명성이높아가고사용자가늘어날수록악성코드의검은그림자도따라갈수있다. 참고자료 [1] 오픈오피스 ( [2] 오픈오피스한국어버전 ( [3] 김정규, 오픈오피스와오픈도큐먼트 [4] Gooo ( 58