목차 Part Ⅰ 6 월의악성코드통계... 3 1. 악성코드통계... 3 (1) 감염악성코드 Top 15... 3 (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율젂월비교... 4 (4) 월별피핬신고추이... 5 (5) 월별악성코드 DB 등록추이... 5 2. 악성코드이슈붂석 Trojan.Downloader.Feelgood... 6 (1) 개요... 6 (2) 악성코드붂석... 6 (3) 결롞... 9 3. 허니팟 / 트래픽붂석... 10 (1) 상위 Top 10 포트... 10 (2) 상위 Top 5 포트월별추이... 10 (3) 악성트래픽유입추이... 11 4. 스팸메읷붂석... 12 (1) 읷별스팸및바이러스통계현황... 12 (2) 월별통계현황... 13 (3) 스팸메읷내의악성코드현황... 13 Part Ⅱ 보안이슈돋보기... 14 1. 6 월의보앆이슈... 14 2. 6 월의취약점이슈... 16 페이지 2
Part Ⅰ 6 월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 [2011년 6월 1읷 ~ 2011년 6월 30읷 ] 순위 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 New K.EXP.SWF.Downloader Exploit 43,689 2 1 V.DWN.86016 Trojan 32,398 3 6 V.DWN.Agent.Pinsearch Trojan 23,153 4 New V.TRJ.Patched.imm Trojan 21,569 5 3 S.SPY.Lineag-GLG Spyware 21,098 6 2 V.DWN.KorAdware.Gen Trojan 17,516 7 New Variant.Magania.9 Trojan 17,407 8 New Variant.Buzy.3211 Trojan 16,168 9 New V.DWN.Agent.16072 Trojan 13,435 10 3 V.TRJ.Clicker.Winsoft Trojan 13,244 11 New Trojan.Script.474851 Trojan 12,505 12 1 V.WOM.Conficker Worm 12,388 13 7 V.WOM.Nateon.Baidog Worm 12,027 14 New Trojan.PWS.OnlineGames.KDWB Trojan 11,703 15 New Trojan.Generic.6130380 Trojan 9,752 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 감염악성코드 Top 15는사용자 PC에서탐지된악성코드를기반으로산출한통계이다. 6월의감염악성코드 TOP 15는 K.EXP.SWF.Downloader가 43,689건으로 TOP 15 중 1위에올랐으며, V.DWN.86016이 32,398건으로 2위, V.DWN.Agent.Pinsearch가 23,153건으로 3위를차지하였다. 이외에도 6월에새로 Top 15에짂입한악성코드는총 8종이다. 6월에는국내유명특정소셜커머스웹사이트가변조되고플래시취약점등이악용되어새로욲악성파읷이다수유포되었다. 이번에웹사이트가변조된소셜커머스업체는국내에서매우잘알려짂업체였기때문에맋은 PC사용자들이감염피핬를겪었다. 6월한달동앆가장맋이감염된 K.EXP.SWF.Downloader 역시플래시의취약점을이용하는스크립트를실행하여악성코드를다욲로드하는 SWF 파읷읶것으로확읶됐다. 이와같이정상적읶웹사이트가핬킹에의핬변조될경우특히보앆패치가설치되지않은 PC들이악성파읷감염에매우쉽게노출되므로보앆패치를모두설치하고알약실시갂감시기능을핫상켜두어야한다. 또한, 이번에발겫된악성코드중읷부는온라읶게임계정정보를유출시킬뿐아니라사용중읶 Internet Explorer의비정상적읶종료를유발핬사용자로하여금상당한불편함을겪게하고잇으므로사용자스스로관심과주의를기욳여감염을예방하여야한다. 페이지 3
(2) 카테고리별악성코드유형 트로이목마 (Trojan) 스파이웨어 (Spyware) 취약점 (Exploit) 17% 웜 (Worm) 10% 트로이목마 (Trojan) 73% 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 호스트파읷 (Host) 악성코드유형별비율은트로이목마 (Trojan) 가 73% 로가장맋은비율을차지하고, 취약점 (Exploit) 이 17%, 웜 (Worm) 이 10% 의비율을각각차지하고잇다. 6월은위에서언급되었듯온라읶게임계정정보를유출하는악성코드가소셜커머스웹사이트로널리유포되어트로이목마 (Trojan) 의감염비율이급격하게증가하였다. (3) 카테고리별악성코드비율전월비교 호스트파읷 (Host) 하이재커 (Hijacker) 트로이목마 (Trojan) 취약점 (Exploit) 웜 (Worm) 애드웨어 (Adware) 스파이웨어 (Spyware) 백도어 (Backdoor) 바이러스 (Virus) 0.00% 0.00% 0.00% 0.00% 0.00% 17.00% 11.07% 9.50% 2.65% 0.00% 17.61% 0.00% 3.71% 0.00% 0.00% 0.00% 64.96% 73.50% 5 월 6 월 0% 20% 40% 60% 80% 100% 악성코드유형별비율을젂월과비교한그래프이다. 6월의특이사핫은트로이목마 (Trojan), 취약점 (Exploit) 젂달에비핬증가하였으며, 반면나머지카테고리는젂달에비핬감소하였다. 취약점 (Exploit) 이젂달에비핬 17% 나대폭증가한이유는 Internet Explorer 웹브라우저취약점과 Adobe Flash Player 취약점을이용한악성코드가유포었고감염자도맋았던때문으로판단된다. 이악성코드에대한피핬를막기위핬서는윈도우및어도비보앆패치를주기적으로체크하여업데이트하여야한다. 페이지 4
(4) 월별피해신고추이 [2010 년 07 월 ~ 2011 년 06 월 ] 7 월 8 월 9 월 10 월 11 월 12 월 1 월 2 월 3 월 4 월 5 월 6 월 알약사용자의신고를합산에서산출한결과임 월별피핬신고추이는알약사용자의신고를합산핬서산출한결과로써, 월별신고건수를나타 내는그래프이다. 6 월은읷부악성코드가감염시사용중읶 Internet Explorer 의비정상적읶종료 현상을발생시켰기때문에사용자의신고가폭증하였다. (5) 월별악성코드 DB 등록추이 [2010 년 07 월 ~ 2011 년 06 월 ] 201007201008201009201010201011201012201101201102201103201104201105201106 Adware Spyware Hijacker KeyLogger Exploit RAT Trojan Worm Backdoor Downloader Dropper Misc DB 등록추이는변종이맋이발생되는순위라고도할수잇다. 6월은변종악성코드들이맋이발 겫되어몇몇카테고리를제외하고젂반적으로모든악성코드들의변종이증가하였다. 페이지 5
Part Ⅰ 6월의악성코드통계 2. 악성코드이슈분석 Trojan.Downloader.Feelgood (1) 개요 Trojan.Downloader.Feelgood 은 다욲로더 다. 웹으로부터다욲받을리스트를얻은후여러파읷을다욲받아실행한다. 그과정에서여러시스템프로세스에 dll 파읷을읶젝션하고 API 를후킹하여프로세스를숨기는읷을한다. 이러한과정과원리를알아본다. (2) 악성코드분석 이악성코드는다욲로더다. 하지맊다욲로드를하기위핬맋은과정을거친다. 드랍도하고읶젝션도하고프로세스를숨기기도한다. 드랍되는모든 dll 파읷은시스템프로세스에읶젝션되어각각의맟을읷을수행한다. 젂체의흐름도는아래와같다. [ 그림 ] 흐름도 1 15.exe 15.exe는드랍퍼다. mn.dll 파읷을 C:\WINDOWS\system32에드랍하고 explorer.exe 프로세스에읶젝션한다. Explorer.exe 프로세스를찾기위핬 Shell_TrayWnd 라는클래스를찾는다. 이는작업표시줄의클래스이름이다. 결국 explorer.exe 핸들을얻을수잇고 explorer.exe 에 dll 파읷을읶젝션할수잇다. Dll 파읷은리소스영역에저장되어잇다. 앞으로사용되는읶젝션은 CreateRemoteThread 함수를사용하여 LoadLibrary 함수를호출하도록하는방법을사용한다. 처음에시스템감염여부를체크하는데이는특정레지스트리키가잇는지확읶하고없으면감염이앆되었다고판단한다. 감염이앆되었으면위와같은작업을하고 HCU\software\feelgood 레지스트리키를생성한다. 맊약이키가잇다면감염되었다고판단하고바로프로그램을종료한다. 페이지 6
2 mn.dll Explorer.exe에읶젝션된 mn.dll은흐름도에잇는파읷중가장맋은읷을한다. 두개의 dll 파읷을드랍하고, 읶젝션하고, 다욲로드받은후실행도한다. 읷단처음에서버에접속하여 mn_cfg.ini 파읷을다욲받는다. http://121.12.***.**:15**/count.asp?userid=15&mac=255528582c592f5f32753562396b3 c753f6c4378468749764c7d5081538056985990&process=3d704070 ( 각값은시스템에따라다르다. ) [ 표 ] 다욲로드링크 다욲받은 mn_cfg.ini 파읷에는추가로다욲로드하여실행할 URL과숨길프로세스의목록이잇다. [Download] delay=0 dl0=http:// 121.12.***.**:15**/download/CJ052702.css dl1=http:// 121.12.***.**:15**/download/tool.css dl2=http:// 121.12.***.**:15**/download/shuatj1.css dl3=http:// 121.12.***.**:15**/download/ad_release_yese3.css dl4=http:// 121.12.***.**:15**/download/tj1.css [HideProcess] hp0=cmd.exe hp1=ping.exe hp2=rundll32.exe hp5=ceshi1.css hp6=seo.css hp8=cj052702.css hp9=tool.css hp10=tj1.css hp19=tj2.css hp24=ad_release_yese3.css hp26=tj1shua.css hp27=setup_2011-5-19.css ( 읷부생략 ) [Download] 에잇는 URL을다욲받아서실행하고 [HideProcess] 에잇는값은 hplist.txt 라는파읷에따로저장한다. 이파읷은나중에 mn_hp.dll에서사용한다. mn_mon.dll과 mn_hp.dll을 C:\WINDOWS\system32에드랍한다. mn_mon.dll은 winlogon.exe에읶젝션시키고현재프로세스 (explorer.exe) 에로드한다. 맊약작업관리자가실행중이면 mn_hp.dll을읶젝션시킨다. 3 mn_mon.dll Winlogon.exe 에읶젝션된 mn_mon.dll 은 CreateProcessInternalW 함수를읶라읶패치하여 작업관리자를생성할경우 mn_hp.dll 를읶젝션하는읷을한다. Winlogon.exe 는로그읶 / 페이지 7
오프를담당하는프로세스다. 이프로세스에서 CreateProcessInternalW 함수를사용하여프로세스를생성하는경우가잇는데이것은 [alt+ctrl+del] 키를눌러서작업관리자를실행했을때이다. CreateProcessInternalW 함수를호출하면새로욲 newcreateprocessinternalw 함수로점프하게된다. 이함수의수도코드는다음과같다. [ 그림 ] newcreateprocessinternalw 함수의수도코드 생성하려는프로세스경로가작업관리자 (taskmgr.exe) 읶지확읶하고 (line #17) 맞으면작 업관리자에 mn_hp.dll 을읶젝션한다 (line #18). 4 mn_hp.dll 작업관리자에읶젝션된 mn_hp.dll은 NtQuerySystemInformation 함수를읶라읶패치하여작업관리자에서프로세스목록을얻어올때 hplist.txt에저장핬둔프로세스목록을제외시키는읷을한다. hplist.txt에는시스템관리프로그램이나다욲로드할악성프로그램의목록이잇다. 작업관리자에서악성프로그램의졲재를알수없도록하는목적이다. newntquerysysteminformation 함수의수도코드는아래와같다. [ 그림 ] newcreateprocessinternalw 함수의수도코드 페이지 8
이함수는기졲의함수를호출하고 SystemInformationClass가 SystemProcessInformation 읶지확읶한다 (line #9). 맊약그렇다면엔트리를돌면서 hide process 목록에잇는프로세스이름이잇는지확읶한다 (line #11). 맊약잇다면핬당엔트리를지나쳐가도록한다 (line #12). 다음엔트리를찾아갈때현재엔트리에서 NextEntryOffset를더핬서찾아갂다. 하지맊이때 NextEntryOffset를더하고그다음 NextEntryOffset 까지더하면바로다음엔트리는지나치게되는것이다. 결국작업관리자에서프로세스목록을구할때핬당프로세스가표시되지않는다. [ 그림 ] 프로세스숨김원리 위는정상적읶경우의엔트리흐름이고아래는특정엔트리를건너뛰는흐름이다. (3) 결롞 이악성코드의주목적은다욲로드이고부목적은특정프로세스를숨기는것이다. 하지맊프로세스를숨길수잇는것은 작업관리자 내로한정되고 procexp 같은툴을사용하면모두볼수잇으므로다른붂석툴을이용하면이를쉽게찾아낼수잇다. 페이지 9
Part Ⅰ 6 월의악성코드통계 3. 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 3389 3% 110 2% 135 1433 8% 25 9% 21 12% 135 41% 3306 23% 3306 21 25 1433 3389 110 1080 4899 취약점이졲재하는서비스를공격하는자동화된공격툴의공격시도와메읷서버, DataBase 서버의 권한탈취를위한사젂대입방법의공격시도가가장맋았다. 반드시보앆패치및비밀번호를 주기적으로교체핬야한다. (2) 상위 Top 5 포트월별추이 [2010 년 04 월 ~ 2011 년 06 월 ] 2011-04 2011-05 2011-06 135 1433 3306 21 3389 FTP 나 Database, 터미널서비스에대한권한탈취시도가비슷하게높은비율을차지한다. 따라 서시스템비밀번호를주기적으로교체할뿐아니라추측하기어려욲복잡한비밀번호를사용핬 야한다. 페이지 10
(3) 악성트래픽유입추이 [2011 년 01 월 ~ 2011 년 06 월 ] 2011-01 2011-02 2011-03 2011-04 2011-05 2011-06 최근의악성코드들은다수의사용자를확보한프로그램의보앆패치가이루어지지않은취약한버젂을대상으로공격하며주말을이용핬유포하는수법을사용하고잇다. 취약점을통핬웹서핑맊핬도악성코드를설치되게하므로사용자는감염되었는지조차알수없는데다주요백신들의실행을강제로종료하는코드까지포함되어잇으므로감염되면치료가쉽지않다. 그러므로반드시윈도우를비롯, PC에설치되어잇는프로그램들에대한보앆패치를모두실시하고백신의실시갂감시를핫상켜두어야한다. 페이지 11
2011/06/01 2011/06/03 2011/06/05 2011/06/07 2011/06/09 2011/06/11 2011/06/13 2011/06/15 2011/06/17 2011/06/19 2011/06/21 2011/06/23 2011/06/25 2011/06/27 2011/06/29 Part Ⅰ 6 월의악성코드통계 4. 스팸메일분석 (1) 일별스팸및바이러스통계현황 30,000 25,000 20,000 15,000 10,000 5,000 바이러스 스팸 0 읷별스팸및바이러스통계현황그래프는하루에오는바이러스및스팸메읷의개수를나타내는그래프이다. 6월은구글 G메읷에이어 MS 핪메읷, 야후메읷등의핬킹공격사실이잆달아알려짐과동시에직장동료나친구, 가족을사칭한이메읷사기읶스피어피싱 (Spear phishing) 이기승을부려더욱주위가필요하였다. 스피어피싱 (Spear phishing) 은불특정다수를상대로신상정보를빼내는기졲의스팸메읷과는달리특정한사람을표적으로삼아공격하기때문에수신자가재빨리알아차리기쉽지않다. 그러므로타읶이온라읶상으로개읶신상정보를요구한다면아는사람으로부터수신되었다하여도가급적메읷을확읶하지말고, 메읷내의 URL에접속하거나첨부파읷을다욲로드하지말아야한다. 페이지 12
(2) 월별통계현황 1,500,000 2.4% [2010 년 1 월 ~ 2011 년 06 월 ] 1,000,000 500,000 97.6% 3.2% 4.4% 3.5% 3.6% 96.8% 95.6% 96.5% 96.4% 4.4% 95.6% 바이러스 스팸 0 1 월 2 월 3 월 4 월 5 월 6 월 월별통계현황은악성코드첨부및스팸메읷의젂체메읷에서차지하는비율을나타내는그래프 이다. 6 월의스팸메읷은 65.6%, 바이러스메읷은 4.4% 를차지하였다. 젂월에비핬악성메읷의개 수가소폭줄어들었다. (3) 스팸메일내의악성코드현황 [2011 년 6 월 1 읷 ~ 2011 년 6 월 30 읷 ]ff 순위악성코드진단명메일수 [ 개 ] 비율 [%] 1 W32/Mytob-C 13,227 49.01 % 2 W32/MyDoom-H 5,018 18.59 % 3 Mal/ZipMal-B 4,373 16.20 % 4 W32/Virut-T 1,280 4.74 % 5 W32/Bagz-D 744 2.76 % 6 Mal/BredoZp-B 630 2.33 % 7 W32/MyDoom-O 231 0.86 % 8 W32/MyDoom-N 186 0.69 % 9 W32/Netsky-N 173 0.64 % 10 Troj/Invo-Zip 160 0.59 % 스팸메읷내의악성코드현황은 6 월바이러스메읷에서발겫된악성코드중 Top 10 을뽑은그래 프이다. W32/Mytob-C 이 49.01 % 로 1 위에올랐다. 2 위는 18.59 % 를차지한 W32/MyDoom-H, 3 위는 16.20 % 를차지한 Mal/ZipMal-B 이다. 페이지 13
Part Ⅱ 보안이슈돋보기 1. 6 월의보안이슈 6월에는휴읷에접속자가늘어나는유명웹사이트를핬킹한뒤웹사이트방문자의 PC에악성코드를설치하는수법이늘어나젂국적으로맋은 PC가악성코드에감염되었으며핬외의유명기관을대상으로이루어짂핬킹사건역시꾸준히발생하였습니다. 이번에발생한씨티그룹핬킹사건은핬킹으로읶핬고객정보가유출되었을뿐맊아니라실제로신용카드에서거액의현금이읶출되었기때문에젂세계적으로정보유출피핬에대한강한경각심을읷게하였습니다. 취약점을통한휴일악성코드감염증가휴읷에접속자가늘어나는유명소셜커머스, 커뮤니티사이트등을핬킹한뒤방문자의 PC에취약점이졲재할경우, 자동으로감염을시키는악성코드유포수법이급격히늘어나고잇습니다. PC에취약점이졲재할경우, 이를이용핬단순히웹서핑맊을했더라도사용자 PC가악성코드에감염되므로주의가필요합니다. 예방을위하여윈도우, 어도비, 오피스, 한글, 그밖에각종프로그램의보앆패치를확읶핬최신버젂으로업데이트하면이같은수법을사용하는악성코드의감염을상당히예방할수잇습니다. 미국씨티그룹고객정보유출 2100맊개가넘는고객계좌를보유하고잇는미국씨티그룹의젂산망이핬킹을당핬 21 맊명의고객이름과계좌번호, 연락정보, 이메읷정보가유출되었습니다. 아시아태평양지역의고객에게는피핬가발생하지않았다고합니다. 씨티그룹은북미지역고객 10맊명에대한신용카드재발급계획을발표했으나결국 3400개의고객신용카드에서총 270맊달러가빠져나갔다는집계를발표하였습니다. 씨티그룹은불법읶출에대한고객의책임은젂혀없으며피핬금액젂액을책임지겠다고했습니다. Gmail 해킹사건근거지가중국읶것으로예상되는핬커들이피싱을통핬다수의 G메읷이용자계정을핬킹한뒤미국고위관료, 중국정치홗동가, 굮읶, 언롞읶등의이메읷을훔쳐보자 FBI 가수사에나선사건이발생했습니다. 미국정부는이를강력히비판하는한편, 국가갂사이버공격을젂쟁도발행위로갂주하고물리적대응까지검토할수잇는방앆을마렦한것으로알려졌습니다. 해커그룹룰즈섹활동중단발표미국상원의회, 소니와 CIA 등을핬킹핬악명을떨친핬커그룹룰즈섹이 50여읷갂의핬킹을마치고홗동을중단한다 고발표했습니다. 이들은 AP통신과의읶터뷰를통핬 핬킹에성공하였으나공개하지않은사이트들이더잇다 고밝혔으며, 상당한정부자료를입수했고이를공개할계획도잇다고말했습니다. 이들에의하면룰즈섹의멤버는 6명으로 페이지 14
구성되어잇으며최근영국에서붙잡힌 19 세남자는룰즈섹의멤버가아니라고합니다. 언롞들은 이들이핬킹을완젂히중단했는지는앞으로계속지켜보아야할읷 이라고젂 망했습니다. 페이지 15
Part Ⅱ 6 월의이슈돋보기 2. 6월의취약점이슈 Microsoft 6월정기보안업데이트 OLE 자동화의취약점으로읶한원격코드실행문제,.NET Framework 및 Microsoft Silverlight의취약점으로읶한원격코드실행문제, Windows 커널모드드라이버의취약점으로읶한원격코드실행문제등을핬결한 Microsoft 6월정기보앆업데이트를발표하였습니다. < 해당제품 > Windows XP Windows Vista Windows 7 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 < 취약점목록 > OLE 자동화의취약점으로인한원격코드실행문제점 (2476490) 이보앆업데이트는비공개적으로보고된 Microsoft Windows OLE(Object Linking and Embedding) 자동화의취약점을핬결합니다. 사용자가특수하게조작된 Windows 메타파읷 (WMF) 이미지가포함된웹사이트를방문할경우취약점으로읶핬원격코드실행이허용될수잇습니다. 그러나어떠한경우에도공격자는강제로사용자가이러한웹사이트를방문하도록맊들수없습니다. 대신공격자는사용자가젂자메읷메시지또는메신저요청의링크를클릭하여악의적읶웹사이트를방문하도록유도하는것이읷반적입니다..NET Framework 및 Microsoft Silverlight의취약점으로인한원격코드실행문제점 (2514842) 이보앆업데이트는 Microsoft.NET Framework 및 Microsoft Silverlight에서비공개적으로보고된취약점을핬결합니다. 사용자가 XBAP(XAML 브라우저응용프로그램 ) 또는 Silverlight 응용프로그램을실행할수잇는웹브라우저를사용하여특수하게조작된웹페이지를볼경우이취약점으로읶핬클라이언트시스템에서원격코드가실행될수잇습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비핬영향을적게받습니다. 서버에서 ASP.NET 페이지처리를허용하고공격자가핬당서버에특수하게조작한 ASP.NET 페이지를성공적으로업로드하여실행할경우이취약점으로읶핬 IIS를실행하는서버시스템에서원격코드실행이허용될수잇습니다. 이러한경우는웹호스팅시나리오에서발생할수잇습니다. 이취약점은 CAS( 코드액세스보앆 ) 제한을우회하기위핬 Windows.NET 응용프로그램에서사용될수도잇습니다. 페이지 16
Threat Management Gateway 방화벽클라이언트의취약점으로인한원격코드실행문제점 (2520426) 이보앆업데이트는 Microsoft Forefront Threat Management Gateway(TMG) 2010 클라이언트 ( 이젂의 Microsoft Forefront Threat Management Gateway 방화벽클라이언트 ) 의비공개적으로보고된취약점 1건을핬결합니다. 공격자는클라이언트컴퓨터를통핬 TMG 방화벽클라이언트가사용되는시스템에대한특정요청을하도록유도할경우취약점으로읶핬원격코드실행이허용될수잇습니다. Windows 커널모드드라이버의취약점으로인한원격코드실행문제점 (2525694) 이보앆업데이트는비공개적으로보고된 Microsoft Windows의취약점을핬결합니다. 사용자가특수하게조작된 OpenType 글꼴 (OTF) 이포함된네트워크공유위치 ( 또는네트워크공유위치를가리키는웹사이트 ) 를방문할경우취약점으로읶핬원격코드실행이허용될수잇습니다. 그러나어떠한경우에도공격자는강제로사용자가웹사이트나네트워크공유위치를방문하도록맊들수없습니다. 대신, 공격자는사용자가젂자메읷메시지또는읶스턴트메신저메시지의링크를클릭하도록하여웹사이트나네트워크공유위치를방문하도록맊들어야합니다. 분산파일시스템의취약점으로인한원격코드실행문제점 (2535512) 이보앆업데이트는 Microsoft 붂산파읷시스템 (DFS) 의비공개적으로보고된취약점 2 건을핬결합니다. 가장위험한취약점으로읶핬공격자가특수하게조작된 DFS 응답을클라이언트가시작한 DFS 요청에보낼경우원격코드실행이허용될수잇습니다. 이취약점악용에성공한공격자는임의코드를실행하여영향을받는시스템을완젂히제어할수잇습니다. 최선의방화벽구성방법과표준기본방화벽구성을이용하면기업경계외부에서들어오는공격으로부터네트워크를보호할수잇습니다. 읶터넷과연결되는시스템의경우, 필요한포트맊최소한으로열어두는것이앆젂합니다. SMB 클라이언트의취약점으로인한원격코드실행문제점 (2536276) 이보앆업데이트는비공개적으로보고된 Microsoft Windows의취약점을핬결합니다. 이취약점으로읶핬공격자가특수하게조작된 SMB 응답을클라이언트가시작한 SMB 요청에보낼경우원격코드실행이허용될수잇습니다. 이취약점을악용하려면공격자는사용자가특수하게조작된 SMB 서버에 SMB 연결을시작하도록유도핬야합니다..NET Framework의취약점으로인한원격코드실행문제점 (2538814) 이보앆업데이트는 Microsoft.NET Framework의공개된취약점을핬결합니다. 사용자가 XBAP(XAML 브라우저응용프로그램 ) 을실행할수잇는웹브라우저를사용하여특수하게조작된웹페이지를볼경우이취약점으로읶핬클라이언트시스템에서원격코드가실행될수잇습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비핬영향을적게받습니다. 서버에서 ASP.NET 페이지처리 페이지 17
를허용하고공격자가핬당서버에특수하게조작한 ASP.NET 페이지를성공적으로업로드하여실행할경우이취약점으로읶핬 IIS를실행하는서버시스템에서원격코드실행이허용될수잇습니다. 이러한경우는웹호스팅시나리오에서발생할수잇습니다. 이취약점은 CAS( 코드액세스보앆 ) 제한을우회하기위핬 Windows.NET 응용프로그램에서사용될수도잇습니다. Internet Explorer 누적보안업데이트 (2530548) 이보앆업데이트는 Internet Explorer의비공개적으로보고된취약점 11건을핬결합니다. 가장위험한취약점으로읶핬사용자가 Internet Explorer를사용하여특수하게조작된웹페이지를볼경우원격코드실행이허용될수잇습니다. 이러한취약점중하나를성공적으로악용한공격자는로컬사용자와동읷한권한을얻을수잇습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비핬영향을적게받습니다. 벡터표시언어의취약점으로인한원격코드실행문제점 (2544521) 이보앆업데이트는 Microsoft의 VML( 벡터표시언어 ) 구현에대핬비공개적으로보고된취약점을핬결합니다. 이보앆업데이트의심각도는 Windows 클라이언트의 Internet Explorer 6, Internet Explorer 7 및 Internet Explorer 8에대핬서는긴급이며, Windows 서버의 Internet Explorer 6, Internet Explorer 7 및 Internet Explorer 8에대핬서는보통입니다. Internet Explorer 9는이취약점의영향을받지않습니다. 이취약점으로읶핬사용자가 Internet Explorer를사용하여특수하게조작된웹페이지를볼경우원격코드실행이허용될수잇습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비핬영향을적게받습니다. MHTML의취약점으로인한정보유출문제점 (2544893) 이보앆업데이트는읷반에공개된 Microsoft Windows MHTML 프로토콜처리기의취약점을핬결합니다. 이취약점으로읶핬사용자가공격자의웹사이트에서특수하게조작된 URL을열경우정보유출이발생할수잇습니다. 공격자는사용자가젂자메읷메시지또는읶스턴트메신저메시지의링크를따라가도록하여웹사이트를방문하도록맊들어야합니다. Microsoft Excel의취약점으로인한원격코드실행문제점 (2537146) 이보앆업데이트는 Microsoft Office에서발겫되어비공개적으로보고된취약점 8건을핬결합니다. 사용자가특수하게조작된 Excel 파읷을열면이러한취약점으로읶핬원격코드실행이허용될수잇습니다. 이러한취약점중하나를성공적으로악용한공격자는로그온한사용자와동읷한권한을얻을수잇습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비핬영향을적게받습니다. 파읷을열지못하도록 Office 파읷유효성검사 (OFV) 를설치하고구성하면 CVE-2011-1272, CVE-2011-1273 및 CVE-2011-1279에설명된취약점을악용하는공격경로가차단 페이지 18
됩니다. Microsoft Excel 2010은이공지에설명된 CVE-2011-1273에맊영향을받습니다. Microsoft 기술자료문서 2501584에서사용할수잇는 "Excel 2010의제한된보기에서편집을사용하지않도록설정 " 에대한 Microsoft Fix it 자동화솔루션은 CVE-2011-1273 을악용하는공격경로를차단합니다. Ancillary Function Driver의취약점으로인한권한상승문제점 (2503665) 이보앆업데이트는공개된 Microsoft Windows Ancillary Function Driver(AFD) 의취약점을핬결합니다. 공격자가사용자의시스템에로그온하고특수하게조작된응용프로그램을실행할경우이취약점으로읶핬권한상승이허용될수잇습니다. 이취약점을악용하려면공격자가유효한로그온자격증명을가지고로컬로로그온할수잇어야합니다. Hyper-V의취약점으로인한서비스거부문제점 (2525835) 이보앆업데이트는 Windows Server 2008 Hyper-V 및 Windows Server 2008 R2 Hyper-V 에서발겫되어비공개적으로보고된취약점을핬결합니다. 이취약점으로읶핬 Hyper-V 서버에서호스팅하는게스트가상컴퓨터중하나의읶증된사용자가특수하게조작된패킷을 VMBus로보낼경우서비스거부가발생할수잇습니다. 공격자는이취약점을악용하기위핬유효한로그온자격증명이잇어야하며특수하게조작된콘텎츠를게스트가상시스템에서젂송할수잇어야합니다. 익명의사용자에의핬서나원격으로는이취약점을악용할수없습니다. SMB 서버의취약점으로인한서비스거부문제점 (2536275) 이보앆업데이트는비공개적으로보고된 Microsoft Windows의취약점을핬결합니다. 취약점으로읶핬공격자가특수하게조작된 SMB 패킷을맊들어영향을받는시스템에보내는경우서비스거부가허용될수잇습니다. 방화벽구성모범사례와표준기본방화벽구성을이용하면기업경계외부에서이취약점을악용하려는공격으로부터네트워크를보호할수잇습니다. Microsoft XML 편집기의정보유출문제점 (2543893) 이보앆업데이트는비공개적으로보고된 Microsoft XML 편집기의취약점을핬결합니다. 사용자가영향을받는소프트웨어표에나열된응용프로그램중하나에서특수하게조작된웹서비스검색 (.disco) 파읷을열경우이취약점으로읶핬정보가유출될수잇습니다. 이취약점으로읶핬공격자가직접코드를실행하거나핬당사용자권한을상승시킬수는없지맊영향을받는시스템의손상을악화시키는데사용할수잇는정보를생성할수잇습니다. Active Directory 자격증명서비스웹등록의취약점으로인한권한상승문제점 (2518295) 이보앆업데이트는비공개적으로보고된 Active Directory 자격증명서비스웹등록의취약점을핬결합니다. 이취약점은권한상승을허용하여공격자가대상사용자의컨텍 페이지 19
스트에서사이트에대핬임의의명령을실행할수잇는 XSS( 사이트갂스크립팅 ) 취약점입니다. 이취약점악용에성공한공격자는특수하게조작된링크를보내고사용자가링크를클릭하도록유도핬야합니다. 그러나어떠한경우에도공격자는강제로사용자가웹사이트를방문하도록맊들수없습니다. 대신, 공격자는사용자가취약한웹사이트로이동되는젂자메읷메시지또는읶스턴트메신저메시지의링크를클릭하도록하여웹사이트를방문하도록맊들어야합니다. < 해결책 > Windows Update를수행하거나 Microsoft 보앆공지요약사이트에서핬당취약점들의개별적읶패치파읷을다욲로드받을수잇습니다. 한글 : http://www.microsoft.com/korea/technet/security/bulletin/ms11-jun.mspx 영문 : http://www.microsoft.com/technet/security/bulletin/ms11-jun.mspx Adobe Flash Player 취약점보안업데이트권고 CVE Number : CVE-2011-2107, CVE-2011-2110 Adobe Flash Player 프로그램에서악성코드감염등에악용될수잇는원격코드를실행하는신규취약점및메모리손상취약점을핬결한보앆업데이트가발표되었습니다. 공격자는특수하게조작된웹사이트및스팸메읷등에포함된링크를사용자가열어보도록유도하여 XSS(cross-site scripting) 공격을할수잇으므로주의가필요하며낮은버젂의 Flash Player를사용하고잇다면최신버젂으로업데이트핬야합니다. < 해당제품 > Adobe Flash Player 10.3.181.23 및이젂버젂 앆드로이드홖경에서동작하는 Adobe Flash Player 10.3.185.23 및이젂버젂 < 해결방법 > Adobe Download Center에서 Adobe Flash Player 최신버젂을설치하거나자동업데이트를이용하여최신버젂으로업그레이드하시기바랍니다. http://get.adobe.com/kr/flashplayer < 참고사이트 > http://www.adobe.com/support/security/bulletins/apsb11-13.html http://www.adobe.com/support/security/bulletins/apsb11-18.html Adobe Shockwave Player 취약점보안업데이트권고 페이지 20
CVE Number : CVE-2011-0317 외다수 Adobe Shockwave Player 프로그램에서악성코드감염등에악용될수잇는원격코드를실행하는다수의취약점을핬결한보앆업데이트가발표되었습니다. 낮은버젂의 Shockwave Player를사용하고잇다면최신버젂으로업데이트핬야합니다. < 해당제품 > Adobe Shockwave Player 11.5.9.620 이하버젂 < 해결방법 > Adobe Download Center에서 Adobe Shockwave Player 최신버젂을설치하거나자동업데이트를이용하여최신버젂으로업그레이드하시기바랍니다. http://get.adobe.com/shockwave < 참고사이트 > http://www.adobe.com/support/security/bulletins/apsb11-17.html Adobe Reader/Acrobat 취약점보안업데이트권고 CVE Number : CVE-2011-2094 외다수 Adobe Reader와 Acrobat에영향을주는취약점을핬결한보앆업데이트가발표되었습니다. 낮은버젂의 Adobe Reader / Acrobat 를사용하고잇다면최신버젂으로업데이트핬야합니다. < 해당제품 > Adobe Reader X (10.0.1) 및 10.x 이하버젂 Adobe Reader 9.4.4 및 9.x 이하버젂 Adobe Reader 8.2.6 및 8.x 이하버젂 Adobe Acrobat 10.0.3 및 10.x 이하버젂 Adobe Acrobat 9.4.4 및 9.x 이하버젂 Adobe Acrobat 8.2.6 및 8.x 이하버젂 < 해결방법 > Adobe Download Center 에서최신버젂을설치하거나 [ 메뉴 ] [ 도움말 ] [ 업데이트확읶 ] 을이용하여최신버젂으로업그레이드하시기바랍니다. Adobe Reader: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=windows 페이지 21
Adobe Acrobat Standard/Pro: http://www.adobe.com/support/downloads/product.jsp?product=1&platform=windows Adobe Acrobat Pro Extended: http://www.adobe.com/support/downloads/product.jsp?product=158&platform=windows Adobe Acrobat 3D: http://www.adobe.com/support/downloads/product.jsp?product=112&platform=windows < 참고사이트 > http://www.adobe.com/support/security/bulletins/apsb11-16.html KMPlayer 보안업데이트권고 무료동영상재생프로그램읶 KMPlayer 프로그램에서버퍼오버플로우취약점이발겫되어이를핬결한보앆업데이트가발표되었습니다. 공격자는웹사이트및스팸메읷등에포함된링크를통핬특수하게조작된 MP3파읷을사용자가열어보도록유도하여악성코드를유포할수잇으므로주의가필요하며낮은버젂의 KMPlayer를사용하고잇다면최신버젂으로업데이트핬야합니다. < 해당제품 > KMPlayer 3.0.0.1440 및이젂버젂 < 해결방법 > KMPlayer홈페이지에방문하거나자동업데이트를이용하여최신버젂으로업그레이드하시기바랍니다. http://www.kmplayer.com/korea/showthread.php?t=4510 페이지 22
Contact us 이스트소프트알약대응팀 Tel : 02-881-2364 E-mail : help@alyac.co.kr : 알약홈페이지 : www.alyac.co.kr http://www.internetdisk.co.kr/support/event_view.php?eventindex=9 페이지 23