(Microsoft Word - ASEC Report 2007\263\3423\277\371\310\243.doc)

Transcription

1 ASEC Report 3 월 ASEC Report I. ASEC Monthly 통계 2 (1) 3월악성코드통계 2 (2) 3월스파이웨어피해통계 9 (3) 3월시큐리티통계 12 II. ASEC Monthly Trend & Issue 14 (1) 악성코드 ANI 관련취약점과 Win32/Virut 바이러스변형출현 14 (2) 스파이웨어동향 : 복합공격의증가 16 (3) 시큐리티 Animated Cursor Handling 취약점 19 III 년 1 분기동향 23 (1) 2007 년 1 분기악성코드동향 23 (2) 2007 년 1 분기스파이웨어동향 28 (3) 2007 년 1 분기시큐리티동향 30 (4) 2007 년 1 분기일본악성코드동향 31 (5) 2007 년 1 분기중국악성코드동향 34 (6) 2007 년 1 분기세계악성코드동향 37 IV. ASEC 컬럼 39 (1) ASEC 이돌아본추억의악성코드 : 미켈란젤로바이러스신드롬 39 (2) 커널스팸메일러 Rustock 41 안철수연구소의시큐리티대응센터 (AhnLab Security Emergency response Center) 는악성코드및보안위협으로부터고객을안전하게지키기위하여바이러스와보안전문가들로구성되어있는조직이다. 이리포트는 안철수연구소의 ASEC에서국내인터넷보안과고객에게보다다양한정보를제공하기위하여바이러스와시큐리티의종합된정보를매월요약하여리포트형태로제공하고있다.

2 I. ASEC Monthly 통계 (1) 3월악성코드통계 순위 악성코드명 건수 % 1 2 Win32/IRCBot.worm.variant % 2 1 Win32/Virut % 3 new Win-Trojan/Backdoor B % 3 new Win-Trojan/Virtumonde % 5 3 Win-Trojan/Xema.variant % 6 new Win-Trojan/Khmer % 7 new Win32/IRCBot.worm H % 8 new Win-Trojan/Bootmerlin % 8 new Win-Trojan/Downloader % 8 new Win-Trojan/Mailbot % 합계 % [ 표 1-1] 2007 년 3 월악성코드피해 Top 10 월악성코드피해동향 2007 년 3 월악성코드 Top10 에는전월에 3 위였던아이알씨봇 (Win32/IRCBot.worm.variant) 이 1 위에올랐으며, 전월의 1 위였던바이럿 (Win32/Virut) 은 2 위로순위가한계단하락하였다. 1~2 월과큰차이없이트로이목마류가 Top10 중 7 종을차지하고있으며, 이를통하여악성코드의대세가트로이목마류임을다시한번확인할수있다. 전월의 2 위였던 Win-Trojan/Xema.variant 가 3 계단하락하여 5 위에랭크되었으며, 다른순위들은새로운트로이목마류가 Top10 에진입하였다. 이는중국에서개발된자동트로이목마제작툴을이용하여트로이목마류의악성코드가지속적으로제작 / 유포되고있는것이원인으로유추된다. 이러한위협으로부터대비할수있는방법으로사용자들은주기적인백신엔진업데이트를통하여다양한악성코드로부터보호를받아야하며, 백신엔진업데이트를소홀히할경우신종트로이목마에사용자시스템이언제든무방비로노출될수있음을인지하여야한다. 3 월의악성코드피해 Top 10 을도표로나타내면 [ 그림 1-1] 과같다. Copyright AhnLab Inc,. All Rights Reserved. 2

3 4.7% 3 월악성코드피해 Top % 4.7% Win32/IRCBot.worm.variant 25.3% Win32/Virut 5.9% Win-Trojan/Backdoor B Win-Trojan/Virtumonde % 16.5% Win-Trojan/Xema.variant Win-Trojan/Khmer Win32/IRCBot.worm H Win-Trojan/Bootmerlin Win-Trojan/Downloader % 11.8% Win-Trojan/Mailbot % [ 그림 1-1] 2007 년 3 월악성코드피해 Top 10 [ 그림 1-2] 에서와같이 1월부터월별피해신고건수는꾸준히감소하고있음을알수있다. 이는광범위하게확산되는웜 ( 메스메일러, 봇 ) 보다는인터넷사이트, 게시판으로전파되는트로이목마위주로확산됨으로써, 특정사이트만을방문하는사용자위주로전파됨으로써피해건수가감수되는것으로보인다. 2, 년월별피해신고건수 2,000 2,057 1,500 1,558 1,000 1, 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 } [ 그림 1-2] 2007 년월별피해신고건수악성코드피해 Top 10 Copyright AhnLab Inc,. All Rights Reserved. 3

4 3월악성코드 Top 10 전파방법별현황 [ 표 1-1] 의악성코드피해 Top 10에서확인된악성코드는 [ 그림 1-3] 을통하여전파방법을확인할수있다. 3 월악성코드 Top10 의전파방법별현황 웜 31% 트로이목마바이러스웜 트로이목마 53% 바이러스 16% [ 그림 1-3] 2007 년 2 월악성코드 Top 10 의전파방법별현황 3월에도변함없이트로이목마류가가장많은피해를발생시켰으며, 점유률은 53% 로전월 (40%) 에비해증가하였으며, 웜에의한피해는전월 (26%) 에비해소폭증가하였고, 바이러스는바이럿 (Win32/Virut) 의순위하락으로점유율이하락하였다. 그러나, 3월말에바이럿의새로운변종이 2개가발견되어이로인한피해가접수되고있어바이러스에의한피해가줄어들고있다고볼수는없다. 피해신고된악성코드유형현황 2006년 3월에피해신고된악성코드의유형별현황은 [ 그림 1-4] 와같다. Copyright AhnLab Inc,. All Rights Reserved. 4

5 2007 년 3 월악성코드유형별현황 드롭퍼 13.6% 유해가능 2.6% 스크립트 2.4% 웜 18.0% 웜트로이목마바이러스드롭퍼유해가능 스크립트 바이러스 4.1% 트로이목마 59.3% [ 그림 1-4] 2007 년 3 월피해신고된악성코드유형별현황 전체피해신고에서의악성코드유형을확인해보면, Top10의악성코드유형과유사한양상을띄고있다. 트로이목마, 바이러스, 웜등이주요악성코드유형인것으로확인되었으며, 이중주요악성코드유형인트로이목마, 바이러스, 웜에대한피해신고비율을따져보면 [ 그림 1-5] 와같다 년 3 월웜, 트로이목마, 바이러스피해신고비율 80% 70% 72.90% 60% 50% 40% 30% 20% 22.12% 10% 0% 4.98% 웜 트로이목마 바이러스 [ 그림 1-5] 2007 년 3 월웜, 트로이목마피해신고비율 Copyright AhnLab Inc,. All Rights Reserved. 5

6 월별피해신고된악성코드종류현황 [ 그림 1-6] 에서와같이피해신고악성코드종류는전월에비하여 40% 가까이감소된것을확인할수있다. 이는피해를일으키는악성코드가다수의종류가아닌, 파괴력이높은특정악성코드들위주로전파되는것이그원인으로보인다 년월별피해신고악성코드종류 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 1-6] 2007 년월별피해신고악성코드종류개수 Copyright AhnLab Inc,. All Rights Reserved. 6

7 국내신종 ( 변형 ) 악성코드발견피해통계 3 월한달동안접수된신종 ( 변형 ) 악성코드의건수는 [ 표 1-2], [ 그림 1-7] 과같다. 웜트로이드롭퍼스크립트파일매크로부트 부트 / 파 일 유해가능비윈도우 합계 [ 표 1-2] 2007 년 3 월유형별신종 ( 변형 ) 악성코드발견현황 이번달은전월대비악성코드는 16% 증가하였다. 이는지난달에추정한바와같이중국산 악성코드의국내유입이늘어나면서부터나타나는증상이라할수있다. 즉, 중국명절기간 ( 춘절 ) 에악성코드제작및유입이줄어들고, 3 월부터다시증가한것으로볼수있다. 증가된악성코드도역시중국산트로이목마와드롭퍼가제일큰비중을차지하며전월대비 11% 증가하였다. 특히온라인게임의사용자계정을훔쳐내는악성코드는 26% 나증가하였다. 이전리포트에서도언급한바와같이국내유입되는중국산그리고실행파일을감염시키는바이러스와유해가능프로그램들도소폭증가하였다. 3 월신종 ( 변형 ) 악성코드유형 6% 2% 0% 2% 1% 8% 16% 트로이목마드롭퍼웜 (IRC) 웜 (Mail) 유해가능파일 ( 바이러스 ) 비윈도우스크립트 65% [ 그림 1-7] 3 월신종 ( 변형 ) 악성코드유형 전월과비교해서증가한또다른악성코드로는 Win32/IRCBot.worm ( 이하아이알씨봇웜 ) 으로, 39% 증가한이악성코드는일부안티바이러스솔루션에서실행압축을해제할수없 는실행압축프로그램을사용한형태가다수발견되었다. 그외에는다른아이알씨봇웜과 큰차이가발견되지않았다. Win32/Zhelatin.worm ( 이하젤라틴웜 ) 이라고도불리는 Copyright AhnLab Inc,. All Rights Reserved. 7

8 Win32/Mixor.worm ( 이하믹쏘웜 ) 의변형도이메일웜으로사용자의피해를입혔다. 마지막으로트로이목마중팝업광고창을노출하는 Win-Trojan/Virtumonde( 이하버추몬드트로이목마 ) 도작지만증가추이를보이는데, 이는이번달에보고된 Win32/Virut.C, D 형에의해서설치되고있었다. 최근에중국에서제작된국내온라인게임의사용자계정을훔쳐내는트로이목마들은다음과같은특이한점이발견되고있다. - 일부안티바이러스솔루션의진단시경고창을꺼버리거나윈도우의볼륨설정을제로화시킴 - 일부온라인게임에적용된키보드보안솔루션을우회하는증상위와같은증상은작년하반기부터나타나기시작하여최근발견되는변형들에서자주보이는증상들이다. 이를통하여안티바이러스솔루션에서진단되더라도고객이인지하지못하게하고, 안티바이러스솔루션에대한생존력을극대화하려는시도인것으로보인다. [ 그림 1-8] 은중국발웹해킹의주목적이기도하며, 많은변형이발견, 보고되고있는온라 인게임의사용자계정을탈취하는악성코드에대한 2007 년도월발견건수에대한그래프 이다 년온라인게임사용자계정탈취트로이목마추세 월 2 월 3 월 [ 그림 1-8] 온라인게임사용자계정탈취트로이목마현황 1 Copyright AhnLab Inc,. All Rights Reserved. 8

9 (2) 3월스파이웨어피해통계 순위 스파이웨어명 건수 비율 1 New Win-Adware/BHO.NewsWatch % 2 New Win-Downloader/ToolBar.OpenSearch B 8 2.5% 3 New Win-Spyware/Xema D 7 2% 4 New Win-Spyware/DNSChanger % 4 New Win-Downloader/PWS.KorGame % 5 New Win-Downloader/Kperfect B 5 1% 5 New Win-Spyware/PWS.Xema % 5 New Win-Spyware/PWS.Matory % 9 New Win-Spyware/PWS.Lineage 4 1% 9 New Win-Dropper/PWS.QQPass % 기타 % 합계 % [ 표 1-3] 2007년 3월스파이웨어피해 Top 년 3 월스파이웨어피해 Top % 2.5% 2% 2%2% 1% 1% 1% 1% 1% Win-Adware/BHO.NewsWatch Win-Downloader/ToolBar.OpenSearch B Win-Spyware/Xema D Win-Spyware/DNSChanger Win-Downloader/PWS.KorGame Win-Downloader/Kperfect B Win-Spyware/PWS.Xema Win-Spyware/PWS.Matory Win-Spyware/PWS.Lineage Win-Dropper/PWS.QQPass 기타 80% [ 그림 1-9] 2007 년 3 월스파이웨어피해 Top 년 2 월에비하여온라인게임계정유출스파이웨어에의한피해가다소증가하긴했지 만 1 월만큼의큰피해는나타나지않았다. 피해신고 top 10 의 5 개항목이사용자계정유출 목적의패스워드스틸러계열의스파이웨이며, 3 월에발견된스파이웨어마토리 (Win- Copyright AhnLab Inc,. All Rights Reserved. 9

10 Spyware/Matory) 의경우에는웜기능이포함된것도있어피해증가가예상된다. 피해신고 1위를차지한애드웨어뉴스워치 (Win-Adware/BHO.NewsWatch.24576) 는사용자동의없이설치되어 IE 검색결과를변경하는애드웨어이다. 중국에서제작된것으로분석되었으며다운로더또는드랍퍼에의해설치되는것으로추정된다. 국내애드웨어에의한피해도눈에띄는데피해신고 top 10의 2위를차지한애드웨어오픈서치 (Win- Adware/ToolBar.OpenSearch B) 는허위안티-스파이웨어프로그램에의해사용자동의없이설치되는애드웨어이다 년 3 월에는총 338 건의스파이웨어피해신고가접수되었으며, 1 월의 445 건에비하여 약 25% 감소하였다. 유형별피해현황은 [ 표 1-4] 와같다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 [ 표 1-4] 2007년 3월유형별스파이웨어피해건수 3월스파이웨어발견현황 3월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 1-4], [ 그림 1-10] 과같다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 [ 표 1-4] 2007년 3월유형별신종 ( 변형 ) 스파이웨어발견현황 Copyright AhnLab Inc,. All Rights Reserved. 10

11 2007 년 3 월발견된스파이웨어 0% 20% 5% 2% 0% 0% 46% 스파이웨어류애드웨어드롭퍼다운로더다이얼러클리커익스플로잇 AppCare 조크 10% 17% [ 그림 1-10] 2007 년 3 월발견된스파이웨어프로그램비율 2월에비하여약 35% 감소한 102건의신종및변형스파이웨어가접수되었으며, 새로발견된스파이웨어류의수가 72건에서 48건으로크게감소하였다. 스파이웨어류의감소와이와관련된다운로더의감소가전체신종및변형스파이웨어발견건수에영향을미친것으로분석된다. Copyright AhnLab Inc,. All Rights Reserved. 11

12 (3) 3월시큐리티통계 2007년 3월에는마이크로소프트사의정기보안업데이트가발표되지않았으며 3월 31일 Animated Cursor Handling 취약점에대한비정기정기업데이트를 4월 3일발표하였다. 2007년 2월패치이후발견된취약점을이용한공격이매우 제한적인 상황에서만가능하기때문에 MS사는정기보안업데이트를발표하지않은것으로보인다 2007 년 1/4 분기웹침해사고현황 침해웹사이트통계 침해사이트 유포사이트 월 2 월 3 월 [ 그림 1-11] 침해웹사이트개수 침해 / 유포사이트수의변화 2007년 3월의침해 / 유포사이트의수는 118/62로 2007년 1월에비해 30% 감소하였다. 하지만 2007년 2월과비교하였을때는큰차이가없으며오히려침해사이트의수가소폭상승하였다. 이는웹사이트의관리상태가이전과큰차이가없이방치되고있는사이트가여전히존재하고있다는것을의미한다. Animated Cursor Handling 취약점을이용한악성코드배포침해사고가일어난일부사이트에 Animated Cursor Handling 취약점을이용한웹페이지가발견되었다. 이취약점을이용한코드는많은플랫폼에서실행가능하기떄문에앞으로많은침해웹페이지에해당취약점을이용한코드가삽입될것으로예상된다. 아래그림은해당취약점을이용한악성코드배포사례이다. Copyright AhnLab Inc,. All Rights Reserved. 12

13 이런악성코드의공격에의한피해를최소한으로하기위해서는해당패치를반드시해야 한다. Copyright AhnLab Inc,. All Rights Reserved. 13

14 II. ASEC Monthly Trend & Issue (1) 악성코드 ANI 관련취약점과 Win32/Virut 바이러스변형출현 윈도우애니메이션커서처리의취약점을이용한악성코드가쏟아져나왔다. 특히취약점이있는파일을제작해주는도구도존재하는것으로알려졌다. 해당취약점은, 중국의악성코드제작자들이국내의보안의취약한웹사이트를해킹후악성코드를유포하는데이용하였던, 기존의 MS 취약점을대체하고있는것으로보인다. 또한작년한해큰피해를주었던 Win32/Virut 바이러스의변형이보고되었고원형보다진단, 치료하기가어렵게되어있다. 윈도우애니메이션커서관련취약점윈도우의애니메이션커서및아이콘파일형태에취약점이존재하였으며, 보안패치가공개되기전에취약점공격코드가공개된 Zero-Day 공격이라할수가있다. 이취약점은 User32.DLL에서사용하는이미지로드관련함수가이미지의헤더값을제대로핸들링하지못하기때문에발생하였다. 이취약점공격코드가알려지자마자기존국내웹사이트를해킹후악성코드를다운로드및자동실행하도록하는 MS 취약점을대체하려는듯이해킹된많은사이트에서해당취약점을사용한파일이업로드되어있음을확인할수있었다. MS에서 MS 긴급보안패치를배포하였으나, 대부분사용자들이나불법윈도우를사용하는사용자들이보안패치에무관심하거나받지못하기때문에해당취약점은 MS06-014을대체할수도있고, 그피해는증가될것으로예상된다. Win32/Virut 바이러스의변형출현작년한해큰피해를주었던 Win32/Virut ( 이하바이럿바이러스 ) 바이러스의변형이발견, 보고되었다. 백신의개발을지연시킬목적으로이전원형과는달리분석및진단, 치료를쉽게하지못하도록제작되었다. 이들변형은 Win32/Virut.C와 D형으로명명되었다. 특히 C 형은시작실행시점불명확화기법 (Entry-Point Obscuring=EPO) 을사용하고, 다형성디크립터를가지고있는등원형과매우다르게제작되었다. 또한 Winlogon.exe에감염쓰레드를생성하고파일및프로세스관련함수를후킹하여파일을감염시키는형태는원형과동일하여메모리치료를선행하지않으면재감염되므로주의를요구한다. 또한이번변형은실행후접속하는 IRC 서버로부터다른악성코드를다운로드하는다운로더를설치하거나은폐형백도어를설치하기도한다. 특히이은폐형백도어는다운로드되는시점에바이럿바이러스에감염되기때문에은폐된상태에서는진단, 치료가되지않으므로반드시은폐를무력화한후바이럿바이러스를치료후백도어도제거해야만한다. 안철수연구소는바이럿전용백신을통하여메모리진단, 치료와은폐를무력화하는전용백신 을무상으로공개하여홈페이지를통해서다운로드및진단, 치료할수있도록해두었다. Copyright AhnLab Inc,. All Rights Reserved. 14

15 봇넷을이용하는메신저웜 Win-Trojan/ShadoBot 이라고 ( 이하쉐도봇 ) 명명된악성코드는자신의드롭퍼를메신저를이용하여전파한다. 그리고특정 IRC 서버에연결되어마스터의명령에따라자신을 MSN 메신저로전파한다. 이전에알려진 Kelvir ( 이하캘비르웜 ) 또는 Bropia ( 브로피아웜 ) 웜의경우에아이알씨봇웜을별도로내부에가지고있어이를 Drop 한후실행하는형태라면쉐도봇트로이목마는자신이직접봇넷에연결되어명령을받고악의적인증상을수행한다는점에서차이가있다. 윈도우정상파일을패치하여동작하는악성코드일반적으로트로이목마는삭제하는것으로쉽게치료될수있다. 그러나, Win- Trojan/Patched.B라고 ( 이하패치드비트로이목마 ) 명명된악성코드는윈도우의 Windows NT Logon Application 인 Winlogon.exe에작은코드를삽입해둔다. 이코드는해당파일이시작될때특정분기로점프하여익스포트된외부모듈를실행하도록하며, 해당모듈은백도어나트로이목마의악성코드로파악되나어떤파일인지는확인되지못했다. 또한해당파일을패치하면서원래코드를파일의어느부분에도남겨두지않았기때문에치료에있어서더신중을기할수밖에없었다. 이처럼윈도우의중요한파일을패치하여악성코드를실행하도록해두는경우가종종있는데, 이경우패치한정상코드를남겨두었는지아니면존재하지않는지에대해서치료에큰차이가있다. V3는접수된 Winlogon.exe 에대한버전만치료하기로결정하고엔진에진단, 치료함수를제작하여반영하였다. Copyright AhnLab Inc,. All Rights Reserved. 15

16 (2) 스파이웨어동향 : 복합공격의증가 스파이웨어를포함한악성코드의진화는시간이갈수록더욱지능적으로변화되고악성코드보안업체와의줄다리기는지금도끊임없이계속되고있다. 스파이웨어들이자신을은폐할목적으로루트킷 (RootKit) 을사용하고있으며, 최근에는자신을전파할목적으로웜 (Worm) 의기능이추가되는경향이있다. 온라인게임계정유출목적의스파이웨어가윈도우취약점을공격하여, 이를이용하여확산을시도하는웜기능이추가된악성코드가발견되어주의가요망된다. 웜을이용하여다른악성코드를다운로드하거나스팸메일을발송하는사례는다수발견되었으나, 사용자의중요정보를유출하기위한스파이웨어가자체적으로다른시스템으로확산, 감염시키기위한목적으로웜기능을추가한것은복합공격이증가할것이라는예상을반영하는사실로생각할수있다. Download Spyware MS [ 그림 2-1] Win-Downloader/PWS.KorGame 의공격개요 [ 그림 2-1] 은 MS 취약점을이용하여원격 PC의실행권한을얻어특정서버에서파일을다운로드하고다운로드받은파일을실행하는흐름을그림으로표현한것이다. 온라인게임계정유출을목적으로하는스파이웨어를설치하고실행하는다운로더코게임 (Win- Downloader/PWS.KorGame.48019) 은 IE 취약점을이용하여중국발해킹에의해변조된웹사이트를통하여사용자시스템에감염되는데여기서그치지않고다른시스템으로확산하기위하여 MS 취약점공격코드를이용하는웜의특징을가지고있다. 이전에는 IE 취약점패치가적용되지않은사용자가공격코드가포함된웹페이지를방문하여야만감염되었지만, 웜기능이추가되면서더욱능동적인확산을노리고있다. 목적은다른온라인게임계정유출스파이웨어와마찬가지로중요사용자정보의획득이며, 이를통한금전적인이익을노리고있다. MS 취약점은윈도우시스템에서 RPC 지원과네트워크를통한파일인쇄및명명 1 Copyright AhnLab Inc,. All Rights Reserved. 16

17 된파이프공유를제공하는윈도우기본서비스인서버서비스 (srvsvc.dll) 에서 RCP Call 요 청시특정서비스에서버퍼를올바르게체크하지않아버퍼오버플러우취약점이존재한다. 공격자는이취약점을이용하여시스템의관리자권한을획득할수있다. [ 그림 2-2] MS 취약점코드 [ 그림 2-2] 는다운로더코게임의 MS 취약점을이용한쉘코드 (Shell-Code) 부분을바이너리덤프한화면으로, 오른쪽부분의 ASCII 문자열을살펴보면쉘코드중간에쓰레기값이들어있어기계적으로쉽게찾아내거나판단할수없도록하였는데, 이는안티바이러스또는안티스파이웨어제품들이문자열패턴진단법을사용하는경우진단을회피하기위한방법을사용한것이고, 쉘코드를호출하는페이로드 (PayLoad) 는암호화하는등다양한기법이사용되었다. 복합공격의증가와함께검증되지않은프로그램에의하여바이러스나트로이목마와같은악성코드에감염되는사례가증가하고있다. 특히스파이웨어의경우그자체가위협적이기도하지만바이러스에감염된채로배포되는경우예상치못한시스템감염을일으킬수있으므로주의가필요하다. 허위안티-스파이웨어프로그램인닥터제로 (Win-Ad ware/rogue.drzero 1 ) 의경우인터넷게시판이나블로그등의불특정웹사이트에서 ActiveX 형태로사용자동의없이설치되고실행된다. 허위안티-스파이웨어프로그램은무료악성코드치료, 컴퓨터최적화등의문구를 ActiveX 보안경고창에삽입하고설치를유도하는것이일반적이며, 일반사용자의경우무심코설치하는것이일반적이다. 문제는닥터제로의구성요소가이미바이럿 (Win32.Virut 2 ) 에감염되어배포되었기때문에다른정상실행파일까지바이럿에감염되는피해를입을수있다. 2007년 2월에발견된스파이웨어네마리 (Win-Spyware/Nemari) 의경우에도 ActiveX로설치되는스파이웨어이며, 바이럿에감염된상태로배포되었다. 스파이웨어나애드웨어뿐만아니라신뢰할수없는프로그램으로인하여바이러스와같은악성코드에감염될위협은항상존재하며이에대한각별한주의가요망된다. Anti-Spyware Coalition 이 Best Practices, Conflicts Resolution 문서완성 ASC가몇달동안교정작업을거쳐 Best Practices 와 Conflict Resolution 문서를발표하였다. ASC는스파이웨어와다른원치않는기술들에대해서토론하여정의와적합한행동 Copyright AhnLab Inc,. All Rights Reserved. 17

18 들에대해의견을일치해가데목적을가지는그룹으로안철수연구소는 2006년 6월부터가입되어있으며, 해당문서는 에서다운로드받을수있다. Best Practices 는안티-스파이웨어업체가응용프로그램이사용하는기술과행동이사용자가원치않는것인지를평가하기위한지침과고려할사항들을제공하고있으며이는 ASC의 Definitions 와 Risk Model 문서에기초하고있다. Conflict Resolution 는안티-스파이웨어제품간에충돌이발생할경우해결할수있는절차와개발자간의대화방법을제시한다. 이는안티-스파이웨어제품간에충돌을경험하게될고객들에게도투명성을제공하는것이다. Copyright AhnLab Inc,. All Rights Reserved. 18

19 (3) 시큐리티 Animated Cursor Handling 취약점 MS사는 2007년 3월정기보안패치를발표하지않았다. 이는 2007년 2월패치이후발견된취약점이매우 제한적인 상황에서만이용가능하는등, 취약점의위험도가그리높지않기때문에정기보안패치를발표할필요가없다는 MS사의자체적인판단으로보인다. 하지만 2007년 3월말에위험등급이매우위험인 Animated Cursor Handling에관한취약점이발표되어 4월초에 MS사는긴급패치 (MS07-017) 를발표하게되었다. 따라서모든윈도우운영체제의사용자는해당취약점의패치를반드시해야피해를예방할수있다. 기존취약점이특정응용프로그램에존재하기때문에해당제품을사용하지않는사용자에게영향을주지못한데반해, 이번취약점은운영체제의시스템파일에존재하는것으로이파일을사용하는모든응용프로그램에영향을줄수있는매우심각한것이다. MS사의공식발표 ( 에의하면 MS사는해당취약점을 2006년 12월에처음보고받은것으로보인다. 하지만이취약점이미칠수있는큰영향에도불구하고 3개월이넘게별다른패치를발표하지않고처음으로이취약점을이용한악성코드를접하고서야대응을한 MS사의느린대응은매우아쉬운점이라하겠다. MS사는이번취약점에관한권고문 ( com/technet/security/advisory/ mspx) 을발표하였다. 이번패치와관련된눈길을끄는사실은이번취약점이발견된코드가 2년전에발견된취약점 (MS05-002) 과동일한부분에서발견되었다는것이다. 이사실은결과적으로 MS사의예전패치가잘못되었다는것을보여주며, MS사의패치가근본적인문제를해결하지않고해당취약점만을보완하는 땜질 식이라는일부의혹을확인시켜주는예라고하겠다. 이번취약점을이용하는악성코드의예처럼이미발표된 MS 패치의잘못된논리를이용하는악성코드는얼마든지출현가능하고볼수있기때문에과거발표된 MS사의패치의안전성을점검하는작업이필요하다고할수있다. MS05-002는힙오버플러우인반면에, MS07-017은사용자가조작된 Animated Cursor 파일을특정어플리케이션에로드할경우취약점이존재하는곳에서버퍼오버플로우가발생하며그결과로공격자는임의의코드를사용자의시스템에서실행할수있다. 취약점이존재하는곳은 User32.dll의 LoadAniIcon 함수로이함수의역할은 Animated Cursor 파일의헤더를파싱하고해당데이터를처리하는것이며이함수는 Animated File 을로드할때실행된다. [ 그림 2-3] 은 LoadAniIcon 함수가각헤더를판별하고해당헤더를처리하기위해분기하는코드를나타낸다. Copyright AhnLab Inc,. All Rights Reserved. 19

20 [ 그림 2-3]. User32.dll LoadAniIcon 함수에서처리할각헤더를판별하는부분 Animated File은일련의헤더로구성되어있고, 이번취약점은 anih 헤더를처리하는부분에 서발생한다. anih 헤더의구조는 [ 표 2-1] 과같다 Name Size (bytes) Description Size 4 헤더의크기 ( 항상 36임 ) HeaderSize 4 Size 필드와동일함 NumFrames 4 애니메이션파일의프레임수 NumSteps 4 애니메이션파일의스텝수 Width 4 가로픽셀크기 Height 4 세로픽셀크기 BitCount 4 Colordepth의수 NumPlanes 4 Plane의수 (1로고정 ) DisplayRate 4 디스플레이주파수 Flags 4 데이터의종류를나타내는 flag [ 표 2-1] anih 헤더구조 [ 표 2-1] 에서알수있듯이 anih 헤더의크기는 36(=0x24) 로고정되어있다. 만약이헤더의크기가 36이아니면잘못된헤더로인식하고 Animated Cursor 파일의로딩을중단해야한다. 하지만 LoadAniIcon 함수에는 anih 크기가잘못되었을경우의처리가존재하지않고 Animated Cursor File에서정의된 anih 헤더의크기만큼의데이터를스택에복사한다. 따라서 anih의크기가 36보다크게설정된경우 36보다큰데이터를스택에복사하게되고결과적으로스택오버플로우가발생하게된다. [ 그림 2-4] 와 [ 그림 2-5] 는 LoadAniIcon에서 anih 헤더를처리하는일련의과정과버퍼오버플로우가일어나는코드를나타낸것이다. Copyright AhnLab Inc,. All Rights Reserved. 20

21 LoadAniIcon() anih 판별 ReadChunk() ReadFilePtrCopy() Stack Overflow [ 그림 2-4] 스택오버플로우가발생하는일련의과정 [ 그림 2-5] 오버플로우가발생하는코드 [ 그림 2-5] 에서 rep movsd 인스트럭션에의해복사되는메모리의목적주소는스택주소이 므로복사할데이터의크기 (=anih 헤더의크기 ) 가비정상적인값인경우스택오버플로우가 발생한다. 만약공격자가이값을쉘코드의주소등으로정교하게조작한다면공격자는임의 의코드를사용자의시스템에서실행할수있다. 일반적으로스택버퍼오버플로우취약점을 이용하는악성코드는쉘코드의주소를스택에저장하지만이번에발견된악성코드는 user32.dll 의특정루틴의주소를스택에저장하고그값을올바른위치에저장하기위해오 버플로우되는크기를정확히계산하여 Animated File 에집어넣는등정교함을보여주었다 [ 그림 2-6]. 이것은특정플랫폼에서 user32.dll 의메모리주소가항상일정하다는것을이 용한공격기법으로, 해당플랫폼에서만동작하는등의제약이있지만악성코드가점점지능 Copyright AhnLab Inc,. All Rights Reserved. 21

22 적으로진화한다는것을보여주는예이다. 정상 ani 헤더의크기 비정상 anih 헤더의크기 스택에저장할 return address [ 그림 2-6]. 조작된 animated cursor 파일덤프 이번취약점은 IE나오피스같은특정제품의취약점이아니라운영체제의시스템파일에서발견된것으로 animated cursor를이용하는모든윈도우즈응용프로그램에영향을줄수있는매우심각한취약점이라고할수있다. 따라서사용자는해당취약점의패치를반드시해야하며, Anit-Virus 프로그램및개인방화벽을사용하여악성코드에의한피해를최소한으로줄여야한다. Copyright AhnLab Inc,. All Rights Reserved. 22

23 III 년 1 분기동향 (1) 2007 년 1 분기악성코드동향 전년동기와올해동기의악성코드의전체적인흐름은대략적으로비슷하다. 중국발웹해킹은계속적으로이루어지고있으며이에따른중국산트로이목마의유입은악성코드유형중가장많은수를차지한다. 작년동기와큰차이점이라면악성코드가숫적으로 166% 이상증가한것이다. 또한악성코드의형태가트로이목마에서실행파일을감염시키는바이러스가증가하고있고, 이는작년동기에는없었던현상으로작년 3/4분기부터폭발적으로증가하고있는중국산파일바이러스의변형에기인한것이다 년, 2007 년 1/4 분기신종및변형악성코드발견수 월 2 월 3 월 년 2007 년 [ 그림 3-1] 06, 07 년 1/4 분기신종및변형악성코드발견수 이중에서도주로증가추세를보이고있는중국산트로이목마중온라인게임의사용자계 정을훔쳐내는트로이목마를작년동기와비교해보면 [ 그림 3-2] 와같다. Copyright AhnLab Inc,. All Rights Reserved. 23

24 [ 그림 3-2] 06, 07 년 1/4 분기온라인게임의사용자계정탈취트로이목마현황 위그림에도알수있듯이악성코드의수는작년동기와비교하여크게증가하였으며, 증가원인으로는새로운게임이나오면서이를대상으로하는트로이목마의출현과기존온라인게임의보안솔루션이강화되면서보안이비교적허술한게임에대하여집중적으로악성코드의제작이증가한것으로추정된다. 다음 [ 그림 3-3] 은작년 1 분기와올해 1 분기에발견된신종및트로이목마의개수를비교 한것이다. Copyright AhnLab Inc,. All Rights Reserved. 24

25 , 분기신종및변형트로이목마현황 2006년 1분기 년 1분기 월 2 월 3 월 [ 그림 3-3] 06, 07 년 1 분기신종및변형트로이목마현황 전체악성코드의 70% 이상을차지하는유형답게작년동기와비교하여급증한것을확인할 수있다. 국내의경우이중상당수가위에서언급한중국산트로이목마가차지하고있다. 다음 [ 그림 3-4] 는윈도우실행파일을감염시키는파일바이러스에대하여전년동기와비교한자료로서바이러스의폭발적인증가흐름은지속될것으로보인다. 2006, 분기신종및변형파일감염바이러스발견수 년 1 분기 2007 년 1 분기 월 2월 3월 [ 그림 3-4] 06, 07 년 1 분기신종및변형파일바이러스발견수 Copyright AhnLab Inc,. All Rights Reserved. 25

26 내부네트워크내파일을손쉽게감염시키기위해서는바이러스가효과적이라는것은잘알려진사실이다. 특히중국산바이러스인 Win32/Viking과 Win32/Dellboy ( 이하바이킹, 델보이바이러스 ) 는작년후반기부터많은변형이발견보고되었다. 특히올해 1/4 분기에는델보이바이러스의변형이특히더많이보고되었으며, 제작자는금전적인이득을목적으로소스를판매하기도하였다. 해당바이러스의제작자가검거된것이중국쪽언론에서이슈화되기도하였다. 다음은 1/4 분기에이슈되었던악성코드들이다. - 새해인사와국제적인이슈를가장한 - Win32/Stration.worm & Win32/Glowa.worm - 급격히변형이증가한 - Win32/Dellboy - 리얼머니를노렸던 - Win-Trojan/Banki - 완벽한은폐형스팸메일러 - Win-Trojan/Rustock - 국내에많은감염이있었던중국산트로이목마 - Win32/DellBoy 바이러스제작자검거 이중에서국내에서피해문의가많았던악성코드에대해서지난 ASEC 리포트내글을인용하 여크게 3 가지로정리하여알아보기로하겠다. 실행파일감염바이러스증가올해의시작도어김없이중국산바이러스가국내에큰피해를주고있다. 판다바이러스라고일반인들에게알려진 Win32/Dellboy ( 델보이 ) 바이러스변형은 1/4 분기에약 25종의변형이발견되었다. 또한작년에큰감염보고를보였던 Win32/Virut 바이러스의변형인 C, D 형이출현하였다. 이전버전보다진단 / 치료가복잡해졌으며이는백신개발의지연을의도한것으로보인다. 또한바이러스는감염후특정 IRC 서버로접속하여팝업광고를노출하는애드웨어를다수설치한다. 이는해당광고를통한금전적인이익을노리는검은세력과바이러스제작자또는이들이바이러스제작후유포하는등검은결탁이되어있다고추정해볼수가있다. 악성코드의자기보호기능고도화악성코드가자신의생존시간을더유지하기위해서안티바이러스의프로세스를종료하거나파일을삭제하는건일반화되었다. 이제악성코드는지능적으로안티바이러스나보안제품을우회하여자신이진단되어도 bypass 한다. Win-Trojan/Rustock ( 이하러스톡트로이목마 ) 이라고알려진은폐형스팸메일러는잘알려진안티루트킷제품이메모리에로드되는순간이를탐지하여은폐진단을우회한다. 다른사례로온라인게임계정을탈취하는일부중국산트로이목마는특정안티바이러스의 Copyright AhnLab Inc,. All Rights Reserved. 26

27 진단경고화면및음향을꺼버리는등지능적으로안티바이러스를우회한다. 또한이들의변형중일부는사용자계정을보호하도록하는키보드보안솔루션을무력화하는등자신을보안제품의진단으로부터우회하거나이를무력화시키는지능적인악성코드의출현이잦았다. 리얼머니를노렸던 Win-Trojan/Banki 그동안의중국산악성코드의상당수는국내온라인게임의타켓으로사용자계정을훔쳐내어온라인게임의사이버머니또는아이템을훔쳐내는등피해를주었다. 그러나 Win- Trojan/Banki ( 이하뱅키트로이목마 ) 라고알려진이트로이목마는국내유명은행의인터넷뱅킹접속사이트를가장하고사용자의공인인증서도유출한다. 사실공인인증서는단순히복사만하면다른곳에서도사용할수있기때문에악성코드에서이를쉽게이용할수있어문제가커질뻔하였다. 1/4 분기의전체적인신종및변형의악성코드에대한동향은새로운컨셉의악성코드의등장보다는그동안익히알려졌던보안위협이전년동기에비하여큰폭으로증가한것이큰특징이다. 트로이목마와바이러스의수는급증하였으며이는더많은사용자정보의유출과내부네트워크를효과적으로감염시키기위한수단으로활용되었다. 또한지능적으로보안제품을우회하도록하는기법들과비록오래전부터알려진유형이라하더라도이는점차고급기법을사용하는형태도고도화되었다는것이다. 위에서언급되지는않았지만, 스트레이션웜과젤라틴웜으로명명된해당악성코드들은변형이꾸준히증가하고있으며, 안티바이러스의에뮬레이터기능을우회하도록에뮬레이터가인식할수없는코드를삽입하기도하고, 자신의쓰레드를정상적인윈도우서비스프로세스등에인젝션하고, ndis을조작하여자신의외부와통신을우회하도록하는등우리가모르는사이에감염된시스템이에이전트나스팸메일러등으로사용될수있도록만들어버리는은밀하고지능적이며악의적인악성코드의수가증가하고있다는점에서전년동기와물량적으로늘어난차이점이외에하나의특징이될수가있을것이다. Copyright AhnLab Inc,. All Rights Reserved. 27

28 (2) 2007 년 1 분기스파이웨어동향 /4 분기스파이웨어피해및신종발견건수 피해신종발견 월 2 월 3 월 [ 그림 3-5] 2007 년 1/4 분기스파이웨어피해및신종발견건수 [ 그림 3-5] 는 2007년 1/4분기스파이웨어피해및신종발견건수를나타내는그래프이다. 1월에서 3월로갈수록피해및신종및변형스파이웨어발견건수가감소하고있다. 1월에피해접수최고조에달했던온라인게임계정유출스파이웨어가 2월, 3월에들어감소세를보이고있으며, 신종발견건수도감소세를보이고있기때문이다. 1/4 분기스파이웨어의특징은다음과같이요약할수있다. 은폐형스파이웨어, 애드웨어의증가루트킷 (Rootkit) 을사용하는국내제작은폐형애드웨어가증가하고있다. 2006년한해발견된은폐형애드웨어는총 3건이었으나, 2007년에는 1/4분기에만벌써 2건이발견되었다. 이들애드웨어는불특정웹사이트에서 ActiveX로설치되며, 파일및레지스트리, 프로세스목록을숨기기위하여루트킷드라이버를사용한다. 허위안티-스파이웨어프로그램인씨씨 (Win-Adware/Rogue.CC) 의경우프로세스및설치폴더를은폐하기위한루트킷드라이버를설치하는데제거방법을제공하지않아감염피해가다수접수되었다. 악성코드뿐만아니라스파이웨어도사용자에의한삭제를회피하고안티-스파이웨어프로그램과같은보안프로그램의탐지를피하기위한목적으로루트킷드라이버를사용하는사례가늘어날것으로예상된다. Copyright AhnLab Inc,. All Rights Reserved. 28

29 LSP 를이용한국내온라인게임계정스틸러의출현 1 국내온라인게임을대상으로 LSP를사용하여인터넷으로송수신되는데이터내용을가로채계정을외부로유출하는스파이웨어가다수발견되었다. 이들스파이웨어는 LSP로등록된파일만제거할경우정상적으로인터넷을사용할수없게되어다수의사용자에게큰피해를입혔다. 각종보안프로그램으로부터보호되는데이터를유출하기위해스파이웨어가사용하는방법도더욱지능화될것으로예상된다. 전파력이있는스파이웨어의등장웜이나바이러스가기능을보완하기위한목적으로다운로더를이용하여다른악성코드를설치하거나트로미목마를이용하여스팸메일을발송하는사례는널리알려져있다. 3월발견된다운로더코게임 (Win-Spyware/PWS.KorGame.48019) 은기존의스파이웨어다운로드기능에윈도우취약점을공격하고자신을전파하는웜의기능도가지고있다. 스파이웨어는확산기능을가지지않는것이일반적으로알려진사실이나, 이번에발견된온라인게임계정유출목적의스파이웨어는능동적으로확산하기위해웜의기능도가지고있는것이특징이다. 스파이웨어 + 웜, 애드웨어 + 바이러스와같은복합기능의악성코드가증가할것으로예상된다. 1 ASEC Monthly Report 2 월호참조 Copyright AhnLab Inc,. All Rights Reserved. 29

30 (3) 2007 년 1분기시큐리티동향 2007 년 1/4 분기까지의정기보안업데이트내용을분석하면발표된패치는 [ 그림 3-6] 과 같이총 16 건 (1 월 4 건, 2 월 12 건 ) 이며이중긴급이 9 건 (1 월 3 건, 2 월 6 건 ) 이다 ~ MS 보안패치공격대상기준 25% 0% 19% 시스템 IE 오피스어플리케이션서버 25% 31% [ 그림 3-6] MS 보안패치공격대상종류별 2006 년 4 사분기에는마이크로소프트윈도우관련어플리케이션취약점이총 15 건이었으나 2007 년 1 사분기에는총 13 건이발표되었다. 이것은전년 (2006) 1 사분기기준어플리케이 션취약점 5 건보다는증가하였다. 어플리케이션취약점은인터넷익스플로러, 마이크로소프트오피스및기타어플리케이션취약점이있으며, 웹사이트해킹후악성코드배포또는악성코드가포함된오피스 / 아래한글파일등을메일로보내는방식으로공격이이루어지고있다. 또한국내인터넷사이트에서많이사용되는 ActiveX 취약점도늘어나는추세이다. 이러한어플리케이션취약점공격에방지하기위해서는신뢰되지않은사이트접속및오피 스 / 아래한글파일이메일로첨부해서오는경우에주의가필요하며, 보안패치를반드시해 야한다. 아울러 Anti-Virus 제품및개인방화벽제품또한필요하다. Copyright AhnLab Inc,. All Rights Reserved. 30

31 (4) 2007 년 1 분기일본악성코드동향 2007년 1분기일본의악성코드동향에서이슈가된사항은이메일웜인누워웜 (Win32/Nuwar, Win32/Zhelatin) 의감염피해가대량으로보고된것과살리티 (Win32/Sality) 와델보이 (W32/Fujacks, Win32/Dellboy) 와같은파일바이러스의감염피해가지속적으로확산되고있는것이다. 아래의 [ 그림 3-7] 은 2007 년 1 분기에이슈가된악성코드들에대한 2006 년 1 월부터의피 해현황을그래프로나타낸것이다. [ 그림 3-7] 1 분기주요악성코드피해현황 ( 자료출처 : IPA) 2006 년 2 월최초로발생한살리티의피해가 9 월이후점점증가하고있는것을알수있다. 누워웜은은폐기능을가지고루트킷 (rootkit) 을설치하는이메일웜으로써 2006 년 12 월에 일본에서처음발생한이후현재까지도여러변형된형태가보고되고있다. 최근많은피해를주고있는살리티나델보이와같은파일바이러스들은대부분실행파일의 일부에바이러스코드를삽입하는형태로감염이된다. 그러나이러한바이러스들은이전에 발견된파일바이러스들처럼단순하게실행파일에바이러스코드를삽입시키고자가복제하 는것을목적으로하는것이아니라감염된특정사이트에서파일을다운로드하여설치함으 로써개인정보유출과같은추가적인피해를야기한다는점에서차이가있다. 개인정보의불법적인획득시도는위에언급한바이러스뿐아니라최근유행하는여러유 형의악성코드들에서공통적으로나타나는현상으로그대상또한초기에는온라인게임의 사이버머니를취득하기위한것이었으나현재는은행과같은직접적인금전피해가가능한 기관에까지확대되고있으므로주의가필요하다. Copyright AhnLab Inc,. All Rights Reserved. 31

32 악성코드피해동향 2007년 1분기에일본에서가장많은감염피해를입힌악성코드는넷스카이웜 (Win32/Netsky) 이다. 넷스카이웜이외에도베이글웜 (Win32.Bagle) 이나마이탑웜 (Win32.Mytob) 과같은메스메일러들에의한피해가많이발생하고있고이러한점은이전과크게달라진점이없다. [ 그림 3-8] 2007 년 1 분기악성코드감염신고통계 ( 자료출처 : IPA) [ 그림 3-8] 의그래프에서주목할점은 2006년 12월최초로발견된누워웜이 1월과 2월많은감염피해를기록했으나 3월이되면서점점사라지고있는것이다. 감염피해가증가한원인은다량의메일을전송하는특성으로인한가능성이높다. [ 그림 3-9] 는 2007년 1월에발생한악성코드탐지현황에대한통계로써누워웜의탐지수가매우높은것을볼수있으나, 3월통계에는반영되지않을정도의수준으로급속하게감소했다. Copyright AhnLab Inc,. All Rights Reserved. 32

33 [ 그림 3-9] 2007 년 1 월악성코드탐지현황 ( 자료출처 : IPA) 온라인상의불법청구로인한피해증가일본의경우온라인상의불법청구행위가사회문제화가되기전부터비슷한방법으로엽서나전화와같은매체를이용하여사용자를속여금전을요구하는행위가빈번하게발생하였었다. 온라인을이용한불법청구행위의경우 2006년부터이슈가된이후현재까지도그피해가점점증가하고있는추세이다. 주로이용되는방법이사용자가실제로사용하지않은컨텐츠에대하여사용료를지불하도록하는점은최근한국에서발생하고있는전화등을이용한사기행위와크게다르지않다. 아래의 [ 그림 3-10] 은 IPA에서집계한월별불법청구피해접수통계이다. 2005년이후피해건수가점점늘어나고있는것을알수있고이후로도다양한방법을이용한사기행위로인한피해는점점늘어날것으로생각된다. [ 그림 3-10] 불법가공청구로인한피해통계 ( 자료출처 : IPA) Copyright AhnLab Inc,. All Rights Reserved. 33

34 (5) 2007 년 1 분기중국악성코드동향 2006년부터한국악성코드동향은파일을감염시키는바이러스의부활과함께중국발웹해킹을통한중국산트로이목마의유포로새로운악성코드동향을형성하고있었다. 이러한악성코드대부분이중국에서제작된것으로추정되나중국현지에서는한국과는다른악성코드동향을보였었다. 이러한중국만의독특한악성코드동향은 2007년 1분기에서도비슷한양상을보이고있다. 악성코드 TOP 10 순위 Rising 1 Trojan.DL.Agent 2 Trojan.Agent 3 Trojan.Clicker.Agent 4 Trojan.DL.Small 5 Trojan.ShellHook 6 Worm.Viking 7 Rootkit.AdProt 8 Dropper.Agent 9 Backdoor.Gpigeon 10 Rootkit.Ganima [ 표 3-1] 2007 년 1/4 분기중국라이징 (Rising) 악성코드 TOP 10 [ 표 3-1] 은 2007년 1분기중국악성코드동향으로중국쪽에서도악성코드중에서트로이목마류의강세를확인할수있다. 악성코드 TOP 10 중에서 6위를차지한바이킹 (Win32/Viking) 바이러스를제외한나머지 9건모두트로이목마류의악성코드가차지하고있다. 그리고특이한점은은폐기능으로인해일반사용자들이쉽게발견하기어려운루트킷류의악성코드인 Rootkit.AdProt와 Rootkit.Ganima 2건이악성코드 TOP 10에포함되어있다. 악성코드 TOP 10의 1위에는 2006년말에이어 Trojan.DL.Agent(V3 진단명 Win- Trojan/Agent) 가강세를보이고있으며 2월말을기점으로감염문의가증가추세를보이고있는 Trojan.ShellHook가 5위를차지하고있다. 그리고 2005년부터꾸준히발견되었던전형적인리버스커넥션형태의백도어인 Backdoor.Gpigeon(V3 진단명 Win- Trojan/Graybird 또는 Win-Trojan/Hupigon) 역시 9위를차지하면서꾸준히감염신고가이어지고있다. Copyright AhnLab Inc,. All Rights Reserved. 34

35 중국 1 사분기악성코드 48% 1% 1% 2% 2% 18% 3% 2% 2% 8% 5% 3% 4% Trojan.DL.Agent Trojan.Agent Trojan.Clicker.Agent Trojan.DL.Small Trojan.ShellHook Worm.Viking Rootkit.AdProt Dropper.Agent Backdoor.Gpigeon Rootkit.Ganima Trojan.DL.QQHelper Harm.RavFree 기타 [ 그림 3-11] 중국악성코드 TOP 10 과분포 [ 그림 3-11] 은 2007년 1분기악성코드 TOP 10을악성코드비율에따른분포로나타낸것이다. 악성코드 TOP 10에포함된악성코드가전체악성코드에서 52% 를차지하고있으며, 이는악성코드 TOP 10에포함된악성코드에의해발생하는중국현지감염피해가많다는것을의미한다. 델보이 (Win32/Dellboy) 바이러스제작자검거 2007년 2월 12일경중국신화사를통해서흥미로운기사가입수되었다. 그것은 2006년한해동안많은피해를일으킨델보이 (Win32/Dellboy) 바이러스의제작자가중국현지에서검거되었다는기사였다. 신화사의기사에따르면중국우한 (WuHan) 시에사는 25세제작자를포함하여총 8명을중국공안부에서체포하였다고한다. 이들은델보이바이러스및기타중국로컬인스턴트메신저프로그램인 QQ 관련트로이목마다수를제작하고그소스코드를판매한혐의를받고있다고한다. 이들은소스코드판매를통해총한화 1400만원의수입을챙긴것으로드러났으며, 얼마나많은사람들이해당바이러스의소스코드를구매하였는지를입증할수있었다. Copyright AhnLab Inc,. All Rights Reserved. 35

36 [ 그림 3-12] 중국언더그라운드웹사이트에공개된델보이 (Win32/Dellboy) 코드 ] 델보이바이러스제작자의검거를즈음하여중국언더그라운드웹사이트에서는유출된델보이바이러스의델파이소스코드가공개되었으며많은사람들이해당바이러스의소스코드를보고가져간것으로보여진다. 이러한소스코드유출은다른델보이바이러스변형의제작으로이어질가능성이있어큰우려가된다. Copyright AhnLab Inc,. All Rights Reserved. 36

37 (6) 2007 년 1 분기세계악성코드동향 2007 년 1 사분기세계악성코드동향은 여전한구형메스메일러웜과로지역별트로이목 마 로정리할수있다. 영국의소포스 (Sophos) 통계에따르면 1 넷스카이 (Netsky), 마이톱 (Mytob), 자피 (Zafi), 샐리티 (Sality), 마이둠 (Mydoom), 베이글 (Bagle), 나이젬 (Nyxem) 등의메일로전파되는웜들이순위에있다. 이들은모두발견된지몇년이지난웜들이다. 2월통계에서 1위를차지한악성코드는소포스진단명으로 Mal/HckPk-C로무려 50.3% 를차지하고있다. V3에서는젤라틴웜 (Win32/Zhelatin.worm 변형 ) 으로진단되며, 2006년말부터다수의변형이발견되었으며유사변형을소포스에서는 Mal/HckPk-C 로진단했기때문으로순위가높아진것으로보인다. 3월에는 Mal/HckPk-C는순위에서사라지고넷스카이웜이 1위를차지한다. 10위에랭크된 Troj/DwnLdr-GFX는다른악성코드를사용자모르게다운로드해설치하는다운로더로스팸메일로뿌려졌을가능성이높다. 러시아의카스퍼스키랩 (Kaserspky Lab) 의순위도소포스와크게다르지않다. 다만 3월 2 1위는피싱메일인 Trojan-Spy.HTML.Bankfraud.ra 로 2007년 2월 27일부터대량으로발송된것으로보인다. 악성코드제작자들의금전적목적은점차강화되어주로남미지역에서성행하던온라인뱅킹정보탈취는점차세계각지유행하기시작한것으로보인다. 메일로전파되어순위가비정상적으로올라간악성코드나피싱에비해실제온라인백신으로검사한검사순위는상당히다르다. 카스퍼스키랩의온라인검색결과에따르면 2007 년 2 월 1 위는 Mydoom 변형이었고 3 월의 1 위 는자체전파기능이없는 Padodor 백도어변형이었다. 7 위에오른 AutoIt 웜변형은파이 썬으로작성된스크립트를실행파일로변환한형태로한국에서도가끔보고되었다. 순위를보면한국과달리게임계정탈취프로그램등은찾기어렵다. 온라인게임의유행과온라인게임아이템의현금화가한국등일부아시아국가에서가능하기때문인것으로판단된다. 하지만, 비아시아권을대상으로 2월슈퍼볼이열리는시점에슈퍼볼관련웹사이트가해킹되어트로이목마가심어진사건이발생 3 하였고, 이를통하여온라인게임인월드오브워크래프트게임의로그인정보와비밀번호를빼가는트로이목마가설치되었다. 알려진수법과트로이목마형태등을보면중국에서제작된것추정된다. 기존에중국악성코드제작자들은주로한국, 중국, 일본의웹사이트를해킹해해당지역에서유행하는온라인 Copyright AhnLab Inc,. All Rights Reserved. 37

38 게임정보를탈취하는트로이목마를뿌렸는데이례적으로아시아를벗어난지역을목표로 했으며게임종류로유럽, 미국에서도인기있는월드오브워크래프트를목표했다. 2007년에발견되는악성코드역시 2006년과같이유사변형대량발견과지역화의고착이다. 2007년에는매달거의 1-2만개의신종악성코드가등장하는것으로추정되며특히한국에서발견되는대부분의악성코드가중국에서작성된것으로현재중국에서제작되는악성코드는매달 9천개이상으로추정된다. Copyright AhnLab Inc,. All Rights Reserved. 38

39 IV. ASEC 컬럼 (1) ASEC 이돌아본추억의악성코드 : 미켈란젤로바이러스신드롬 1992 년 3 월초세계언론을통해미켈란젤로바이러스 (Michelangelo virus) 1 에대한경고가 대대적으로이뤄졌다. 미켈란젤로바이러스는 1991년 4월처음발견되었으며우리나라에도같은시기에발견되었다. 감염된플로피디스크로부팅해야감염되는부트바이러스로윈도우 95 이상의환경에서는제대로활동하지못하며최근출시되는시스템에서는미장착되어있는플로피디스크를통해전파되므로지금은보기힘든과거의바이러스이다. 이바이러스는매년 3월 6일에하드디스크를파괴하는증상이있으며첫활동일인 1992년 3월 6일에피해가우려되어경고가이뤄졌다. 이미 13일의금요일에실행되는파일을삭제하는예루살렘바이러스 (Jerusalem virus) 의첫활동일인 1987년 11월 13일이나매년 10월 13일부터하드디스크를포맷하는데이터범죄바이러스 (Datacrime virus) 의첫활동일인 1989년 10월 13일에대한경고가지역언론을통해이뤄졌지만미켈란젤로바이러스처럼세계적으로크게보도된건처음이었다. 당시에도발견된지 1년이지난바이러스이므로백신프로그램만잘사용해도예방및진단 / 치료가가능했지만컴퓨터를잘모르는사람에게는큰공포를줬다. 많은사람들이 3월 6일이되면저절로바이러스에감염되어하드디스크가파괴되는걸로오해해시스템날짜를바꾸거나컴퓨터를아예사용하지않는일도발생했다. 하지만, 특정일을바꾸는것만으로는이미거의모든날이당시등장한바이러스들의활동일이라서현명한방법은아니었다. 언론을통해대대적으로경고된미켈란젤로바이러스특수로상당수백신업체가엄청난매출신장을올렸다고한다. 이에는언론과함께백신업체의위험성과장도한몫했다. 바이러스블레틴 (Virus Bulletin) 2 에따르면당시미국의한백신업체는최소 500만대의컴퓨터가이바이러스에감염되어있다고밝혔지만실제피해는 1만대정도로추정된다고한다. 미켈란젤로바이러스신드롬으로백신업체는엄청난매출신장을기록했지만백신업계내부에서사람들에게공포심을줄수있는과장된내용은자제하자는업계룰이성립된시기였다. 미켈란젤로바이러스신드롬은긍정적인측면에서컴퓨터바이러스를잘모르던일반인들도 언론을통해컴퓨터바이러스에대해알게되었고미켈란젤로바이러스활동일을계기로많 Copyright AhnLab Inc,. All Rights Reserved. 39

40 은사람들이백신프로그램으로자신의시스템을검사해보게되었다는점이다. 하지만, 언론을통한자극적인내용은사람들에게컴퓨터바이러스에대한필요이상의공포심을주게되었으며사용자들의보안을책임지고안심시켜야할보안업체에서상업적이익을위해공포심을배가시킬수있다는부정적측면이존재한다. 다행히보안업계의자정노력으로이후불필요한언론경고를하는업체는비판의대상이되고있는데, 1999년말컴퓨터가 2000년을인식하지못해혼란이발생할수있다며 Y2K 문제가한창일때실체가모호한 Y2K 바이러스소동으로또한차례백신업체들사이에불필요한경고논쟁이발생하였다. Copyright AhnLab Inc,. All Rights Reserved. 40

41 (2) 커널스팸메일러 Rustock 2005년이후악성코드의커다란변화는커널모드루트킷 (Rootkit) 의사용이빈번해지고있다는것이다. 뿐만아니라 2006년부터는그기법이매우정교해지고고급화되어안티바이러스업체나분석가로하여금상당한시간과노력을투자하게만들고있다. 2006년 VB(Virus Bulletin) 9월호 ROOTKIT ANALYSIS 기사에는최근의진보된루트킷하나를다루고있어흥미를주었는데, 바로 Rustock 이라불리는커널스팸메일러였다. 1. Rustock 이란? 커널스팸메일러인 Rustock은생성된커널드라이버에서제작자가붙인이름 (Rustock rootkit v 1.2) 과프로젝트명 (Z:\NewProjects\spambot spambot\new\driver\objfre\i386\ driver.pdb) 을찾을수있다. 러시아인으로보이는제작자는커널루트킷커뮤니티에서활동하며다양한기법을연구, 발전시켜 2005년 12월초기버전을제작하고 2006년 7월까지 4 차례버전업데이트를하면서배포한것으로보인다. Rustock은윈도우커널모드루트킷과유저모드라이브러리로구성되며사용자몰래동적으로생성한스팸메일을발송하고, 외부로부터명령을받아들일수있도록통신포트를오픈한다. 자체프로세스가존재하지않으며윈도우네트워크시스템모듈을변조하기때문에모니터링도구나스캔도구를통하여검출되지않는다. 뿐만아니라그자체가파일로존재하지않도록 NTFS ADS(Alternate Data Streams) 에기록하여안티바이러스의파일감지를피하도록하였다. 2. 감염방법 기본적인감염방법은아래 [ 그림 4-1] 과같을것으로추정된다. 1 사용자가해킹된웹사이트에접속한다. 2 보안취약점을통하여사용자 PC에드랍퍼 (Dropper) 가다운로드된다. 3 드랍퍼 (Dropper) 가실행되고 Rustock을 NTFS ADS에생성한다. 4 서비스등록및실행이되어커널모드루트킷이동작한다. 5 Services.exe에라이브러리 (A.DLL) 을인젝션 (Injection) 시킨다. 6 스팸메일발송및외부접속대기한다. 커널의루트킷은파일, 레지스트리, 오브젝트, 네트워크등을은닉시키는진보된기술을사용 하며, Services.exe 에인젝션되어진라이브러리는스팸발송과백도어로서의기능을수행한다. Copyright AhnLab Inc,. All Rights Reserved. 41

42 [ 그림 4-1] Rustock 감염경로 3. 진보된기술및기법 1) 다형성 (Polymorphic) / 실행압축 다운로드된드랍퍼 (Dropper) 뿐만아니라 NTFS ADS(Alternate Data Streams) 에기록된 %WINDIR%\System32:lzx32.sys는다형성으로실행압축되어있다. 이다형성의기본골격은잘게쪼개진루틴들로이루어져있으며 PUSH / RET 방식으로호출되며, 이러한방식을스파게티 (Spaghetti) 알고리즘이라한다. 지금까지의커널모드악성코드 (Rootkit) 는단순히유저모드의악성코드프로세스나레지스트리를은닉하기위해사용되었으며, 실행압축과는거리가먼것으로생각되어져왔다. 이는실행압축해제에필요한 Kernel32.dll의 Export 함수인 LoadLibrary(), GetProcAddress() 등의함수를사용할수없다는것이문제였기때문이다. 그러나 Rustock은커널모드의 ntoskrnl.exe의 Export 함수인 ExAllocatePool(), ExFreePool(), ZwQuerySystemInformation(), _stricmp() 의함수포인터를구하여압축해제에사용하였다. [ 그림 4-2] 는커널모드에서 Ntoskrnl.exe 의로드이미지주소를얻기위해사용된방법이다. 드라이버로딩의주체는 System 프로세스 (ProcessID 4) 이며 FS:[--] 1 은 System 프로세스 의 NonPagePool Inherited Usage 주소즉, IDT(Interrupt Descriptor Table) 를가리킨다. 1 오용을막기위해정확한표기는생략한다. Copyright AhnLab Inc,. All Rights Reserved. 42

43 IDT 에는인터럽트서비스포인터가존재하며, 그포인터는 Ntoskrnl.exe 의코드영역을가르 키고있어 Ntoskrnl.exe 의로드이미지를얻을수있다. [ 그림 4-2] 커널모드에서 Ntoskrnl.exe 의로드이미지주소획득 2) NTFS ADS(Alternate Data Stream) NTFS 파일시스템의중요한특징은파일과폴더에대해서보안과스트림 (Stream) 적용을 추가하여 FAT 파일시스템보다효율적이고안정적인구조를설계한데에있다. [ 그림 4-3] FAT 와 NTFS 비교 Rustock 에서는시스템폴더의 ADS(Alternate Data Stream) 영역에파일 (%WINDIR%\ System32:lzx32.sys) 을생성하고 SCM(Service Control Manager) 으로하여금서비스등록 Copyright AhnLab Inc,. All Rights Reserved. 43

44 과실행을하도록하고있다. 그리고, 안티디텍션 (Anti-Detection) 방법으로 FileObject의 AccessState를변경하여 ADS 접근을제한하고, IoCallDriver API를후킹 (Hook) 하여 System32:lzx32.sys에대한접근 (IRP_MJ_CREATE, IRP_MJ_DIRECTORY_CONTROL) 의 IRP 요청에대해서거짓정보를리턴 (STATUS_OBJECT_NAME_NOT_FOUND) 함으로서자신을은닉시킨다. 3) System Service Call Hook 유저모드 (UserMode) 의 Ntdll.dll, User32.dll, Gdi32.dll 1 은커널모드 (KernelMode) 시스템서 비스를요청할때, 다음과같은두가지방법을사용한다. 1 INT 0x2E (Interrupt 0x2E) Windows NT, SYSENTER (IA32_SYSENTER_EIP Register) Windows XP 이상 [ 그림 4-4] 는 Intel CPU에서의 MSR(Model Specific Registers) 레지스터를소프트아이스에서불러온이미지이다. SYSENTER 서비스에대한 CS:IP 주소가존재하는 MSR 레지스터의 0x174(IA32_SYSENTER_CS) 와 0x176(IA32_SYSENTER_EIP) 에대한포인터를 Ntoskrnl.exe의.rsrc Section의특정위치 (FATAL FATAL_UNHANDLED_HARD_DRROR) 로후킹 (Hook) 하고문자열 (FATAL) 5바이트는 JMP XXXXXXXX (E9XXXXXXXX) 로대체된다. IDT(Interrupt Descriptor Table) 의 0x2E Entry는 NT_SYSTEM_SERVICE_NT로정의된시스템서비스진입점포인터가존재한다. 바로 INT 0x2E로불리는데이에대한포인터를역시 Ntoskrnl.exe의.rsrc Section의특정위치 (FATAL_UNHA _UNHANDLED_HARD_DRROR) 로후킹 (Hook) 하고문자열 (_UNHA) 5바이트는 JMP XXXXXXXX (E9XXXXXXXX) 로대체된다. [ 그림 4-4] 소프트아이스에서 MSR 레지스터 [ 그림 4-5] 는 Ntoskrnl.exe 의.rsrc Section 내에서후킹된 INT 0x2E 와 SYSENTER 가가 리키는주소로이곳은다시루트킷에의해 JMP 코드로덮어씌워진다. 1 유저모드와커널모드사이의다리역할을하는서브시스템 (Subsystem) Copyright AhnLab Inc,. All Rights Reserved. 44

45 [ 그림 4-5] Ntoskrnl.exe 의.rsrc Section 후킹설치가끝나고나면루트킷드라이버는 Ntoskrnl.exe의코드영역에서참조되는모든 SYSENTER 참조포인터를후킹된주소로교체하는작업을한다. 이와같이 INT 0x2E와 SYSENTER를후킹한이유는특정서비스함수에대한후킹이목적이다. 하지만 Rustock은정작각각의서비스함수에대한후킹을하였던기존의루트킷의방법인 SSDT(System Service Dispatch Table) 의서비스함수후킹을사용하지않는다. 이유는많은루트킷디텍션 (Detection) 툴들이시스템의 SSDT(System Service Dispatch Table) 의포인터들을검사하여루트킷의존재를검사하기때문이다. Rustock은실제로자신이후킹하고자하는서비스함수는정해져있기때문에 INT 0x2E와 SYSENTER를후킹하고복제본의 SSDT에서자신이목적으로하는서비스함수일경우에만특정주소로분기하게만들었다. 다음은복제된 SSDT에후킹서비스주소를등록하는서비스함수들이다. A. ZwOpenKey, ZwEnumerateKey, ZwQueryKey, ZwCreateKey B. ZwSaveKey, ZwDeviceIoControlFile C. ZwQuerySystemInformation D. ZwTerminateProcess IofCallDriver는서비스함수가아니어서 Ntoskrnl.exe의 EAT(Export Address Table) 에서직접후킹등록한다. 4) DKOM 커널메모리에서유지, 관리하는모든오브젝트 (Object) 는이중연결리스트 (Double Linked List) 인원형큐 (Circular Queue) 로구성되어있는데, DKOM(Direct Kernel Object Manipulation) 기법은이연결리스트의연결고리를끊어특정오브젝트를은닉하도록하는방법이다. [ 그림 4-6] 은특정커널드라이버오브젝트에대한은닉그림이으로 DKOM 방식은메모리 보호, 대상오브젝트포인터획득, 오브젝트구조의이해등많은관련지식을필요로한다. Copyright AhnLab Inc,. All Rights Reserved. 45

46 [ 그림 4-6] 커널드라이버오브젝트은닉 Rustock은 DKOM 방식을사용하여다양한커널오브젝트를변경하는데그중에서서비스오브젝트는 SCM(Service Control Manager) 인 Services.exe 프로세스가관리하는서비스오브젝트전역변수를메모리에서찾아내링크를따라가며자신의서비스오브젝트명 (PE386) 을찾아관련링크를해제시키는방법을사용하였다. [ 그림 4-7] DKOM 방식으로 services.exe 변경 5) Asynchronous Procedure Call Rustock 은커널루트킷 (Rootkit) 과시스템프로세스인 Services.exe 에인젝션된라이브러리 로구성된다는것은이미서두부분에서언급하였다. 문제는인젝션된라이브러리는어디로부 터나와서어떻게 Services.exe 의가상메모리에로드되어지며어떻게구동되느냐? 하는것 이다. Copyright AhnLab Inc,. All Rights Reserved. 46

47 Windows는유저모드애플리케이션과커널모드드라이버간의데이터교환을위해 DeviceIoControl이라는 API 함수를사용한다. 드라이버는 DeviceIoControl에대한리턴버퍼를통해서유저모드애플리케이션에데이터를전송할수있다. 또는이벤트 (Event) 를사용한메모리매핑 (MemoryMapping) 을이용할수도있다. 하지만이방법들로는드라이버가유저모드의특정프로세스공간에라이브러리를로드시키고함수를호출하는것이불가능하다. 다음의함수는 Ntoskrnl.exe에서 Export하는 Undocument API 함수이다. 인자값은 EPROCESS 포인터이며해당프로세스로의 Context Switch가동반된다. 즉, 현재프로세스의가상메모리번지지정을담당하는 CR3 레지스터가 EPROCESS가가리키는가상메모리번지로변경된다는것이다. 그러므로 Services.exe의가상메모리공간에메모리를할당받을수있게된다. Rustock 드라이버는시스템폴더 ADS(System32:lzx32.sys) 의마지막부분을읽어들이고복호화과정을거친뒤, Services.exe의할당된메모리공간에복호화된라이브러리데이터를옮겨심는다. 즉, 실행파일 (PE파일) 에대한메모리적재를수행하는시스템로더 (Loader) 의역할을 Rustock은내부적으로가지고있다. NTSTATUS KeAttachProcess(PEB *); 다음의함수들은 Services.exe에적재시킨라이브러리의함수를호출할수있는방법을제공하는 API들이다. 굵게표시된부분은실제라이브러리의특정함수포인터와파라미터인자값들이다. Services.exe의메모리영역에복사된라이브러리는시스템의 IRQL Level이 APC가되었을때에호출된다. VOID KeInitializeAPC ( struct _KAPC *APC, PKTHREAD thread, PKKERNEL_ROUTINE ker_routine, PKRUNDOWN_ROUTINE rd_routine, PKNORMAL_ROUTINE nor_routine, Unsigned char mode, Void *context ); VOID KeInsertQueueApc( struct _KAPC *APC, Void *SysArg1, Void *SysArg2, Unsigned char arg4 ); Services.exe 에인젝션 (Injection) 된라이브러리함수 rd_routine 가호출되면초기화과정을 Copyright AhnLab Inc,. All Rights Reserved. 47

48 거친뒤, 스팸메일발송과백도어로서의역할을시작하게될것이다. ( 악용될소지가있어상 세한기법은소개하지않는다.) VOID rd_routine( ULONG *context, ULONG *SysArg1, ULONG *SysArg2 ); 6) Network System Patch 윈도우 NT의네트워크구조의뼈대를이루는것이 NDIS(Nerwork Driver Interface Specification) 라고하는커널네트워크라이브러리로서마이크로소프트와 3Com사가공동개발하여네트워크하드웨어개발의공통인터페이스를제공하도록제작되었다. 윈도우네트워크시스템은바로 NDIS.SYS 드라이버라이브러리의익스포트함수 (Export Function) 를이용하여통신하게된다. Rustock은스팸메일발송과외부접속에따른네트워크통신을은닉하기위해서윈도우네트워크시스템의드라이버파일 (WanArp.sys, Tcpip.sys) 을패치 (Patch) 한다. Tcpip.sys와 WanArp.sys 모듈내부의.text 섹션 (Section) 에서다음과같은바이너리 OP 코드를찾아변경한다. 1 Tcpip.sys 코드영역 (FF FF => E8 XX XX XX XX 90) 2 WanArp.sys 코드영역 (FF FF => E8 XX XX XX XX 90 90) 패치된바이너리코드는네트워크접속 (Connection) 이이루어지는곳으로판단되며, 후에스펨메일발송과외부접속에따른데이터위 / 변조를위한함수코드로디투어패치 (Detour Patch) 된다. Copyright AhnLab Inc,. All Rights Reserved. 48

49 [ 그림 4-8] Tcpip.sys 에대한 Detour Patch Tcpip.sys 프로토콜드라이버에대해서는다음의함수에대해서 IMPORT Address Table에대한변경으로 IAT 후킹을더하였다. 1 NdisCloseAdapter 2 NdisOpenAdapter [ 그림 4-9] 는윈도우의네트워크시스템에대해서형상화한것이다. Rustock 은 Tcpip, WanArp 프로토콜드라이버의 NDIS_PROTOCOL_CHARACTERISTICS 구조체를변경하여 네트워크통신콜백 (CallBack) 함수에대한후킹을시도한다. Rustock 루트킷드라이버 (PE386) 는 TDI(Transport Data Interface) 이하프로토콜 (Protocol) 드라이버단에서네트워크패킷 (NDIS_Packet) 에대한 Send/Receive 핸들러를통하여 Services.exe에인젝션 (Injection) 시킨라이브러리 (A.DLL) 의스팸메일, 백도어 (Backdoor) 통신을방화벽 (Firewall), 모니터링 (Monitoring) 으로부터우회하도록하였다. Copyright AhnLab Inc,. All Rights Reserved. 49

50 [ 그림 4-9] 윈도우의네트워크시스템 7) 스팸메일 스팸메일을발송하고외부연결을위한백도어포트를오픈하는것은모두시스템프로세스인 Services.exe에인젝션된라이브러리 (A.DLL) 에서담당한다. 스팸메일을생성하고발송하는순서는다음과같다. 1 다음의확장자를가진파일에서전송대상메일주소를추출한다. (wab,tbb,tbi,doc,xls,txt,csv,htm,html,xml,adb,asa,asc,asm,asp,cgi,con,csp,dbx,d lt,dwt,edm,hta,htc,inc,jsp,jst,lbi,php,rdf,rss,sht,ssi,stm,vbp,vbs,wml,xht,xsd,xst) 2 추출된메일주소중에서다음의문자열이포함된주소는제외시키는것으로판단된다. (admin,info,support,soft,webmaster,help,web,postmaster,root,bugs,rating,site,c ontact,privacy,service,abuse,register,sales,cisco,gnu.org,bsd.it,debian,linux,be rkeley,google,fido,ibm.com,microsoft.com,php.net,.mil,.gov,borland.com,sun.co m,xinul.com,virus,kaspersky,sophos,ripe.,iana.,drweb,secure,avp.,.arpa) 3 다음의단어들에대한 Google 검색을통해서메일본문을동적으로생성한다. (download,free,stuff,forum,politic,soft,crack,news,love,leave,games,enter,book, music,sport,console,editor) 4 SMTP(mx1.mail.yahoo.com) 서버에스팸메일을전송한다. Copyright AhnLab Inc,. All Rights Reserved. 50

51 8) 백도어 (Backdoor) 외부연결포트오픈역시시스템프로세스인 Services.exe에인젝션된라이브러리 (A.DLL) 에서이루어진다. 외부연결에따른모니터링및감지를피하기위해라이브러리에서는자체암호화를사용하는것으로보인다. 다음의 [ 그림 4-10] 은시만텍자료에서추출한백도어공격세션연결통신에대한그림이다. 감염된시스템에접속하기위해암호화된키로구성된 HTTP 세션연결을시도한다. 인증이성공되면 RC4 암호화데이터로통신을유지하는것으로보인다. [ 그림 4-10] 백도어공격세션연결통신 9) 그밖의기법들 지금까지열거한기법들은상세분석당시에이제까지다른악성코드에서보지못하였거나 특이한기법들에대해서분석한내용을기술한것이다. Rustock 에서는이외에도많은안티 디버깅, 안티디텍션, 정보은닉등의방법이사용되었으며몇가지를열거하면다음과같다. 1 새로메모리에로드되는모듈에대한검사를통해디텍션툴을감지 (Rootkitrevealer, BlackLight, PKDetector, gmer, endoscope, DarkSpy, Anti-Rootkit) 2 Kaspersky 커널방화벽모듈무력화 (klif.sys) 3 안티디텍션 (Anti-Detection) 을위해로드된자체모듈 (lzx32.sys, A.DLL) 에 대한 MZ, PE, NewHeader Offset 에대한삭제. [ 그림 4-11] 참조. 4 안티디버깅을위한 VM-ware, Virtual PC, Softice 감지 (vmscsi.sys, vmx_fb.dll, vmmouse.sys, vmx_svga.sys, siwvid.sys, siwsym.sys, ntice.sys) Copyright AhnLab Inc,. All Rights Reserved. 51

52 5 안티디텍션을위한레지스트리백업및복구 - ZwSaveKey, ZwDeviceIoControlFile에대한서비스호출시, 레지스트리키 HKLM\SYSTEM\CurrentControlSet\Services\PE386 를삭제 / 백업한후, 리턴될때다시복구하는방법으로은닉 [ 그림 4-11] 안티디텍션을위한자체모듈에대한 MZ, PE, NewHeader Offset 삭제 4. 결론 이제까지 Rustock.B라불리는커널스팸메일러에대해서분석한결과를설명하였다. 현재 V3 엔진에는안정화문제가남아있어적용되지않았으나, 웹페이지에서다운로드가능한전용백신에는진단, 치료가적용되어있다. 완벽하고안정적인진단 / 치료를위해서는아직더많은시간과노력이필요할것으로보인다. Rustock은자체중복감염을이벤트오브젝트 (Event Object) 를통해서하기때문에사용자들은이를이용하여감염여부를알수있을것으로보인다. Ex> HANDLE OpenEvent( DWORD dwdesiredaccess, // access flag BOOL binherithandle, // inherit flag LPCTSTR lpname // {DC5E72A0-6D41 6D41-47e4 47e4-C56D C56D F4523B} ); ( 위의함수를사용하여 Rustock이사용하는 GUID 이벤트핸들을획득한다면시스템에벌써감염되어있는경우이다. ) 국내에는현재얼마나많은시스템이감염되어있는지보고된바가없다. 기업의경우게이 트웨이나라우터를통해서과다한 SMTP 트래픽이발생하는것이모니터링된다면특정시 스템이감염된것을의심해볼필요가있고, 개인 PC 사용자라면웹에서다운로드가능한전 용백신으로체크해보는것이필요하다. Copyright AhnLab Inc,. All Rights Reserved. 52