ASEC Report 10 월 ASEC Report 2007. 11 I. ASEC 월간통계 2 (1) 10 월악성코드통계 2 (2) 10 월스파이웨어통계 12 (3) 10 월시큐리티통계 15 II. ASEC Monthly Trend & Issue 17 (1) 악성코드 PDF 의잘못된 URI 처리와관련악성코드등장 17 (2) 스파이웨어 스파이웨어의오작동으로인한피해 21 (3) 시큐리티 MS07-058 058 RPC 의취약점으로인한서비스거부문제점 23 III. ASEC 컬럼 30 (1) 추억의악성코드 러브레터 30 (2) MS07-055 Kodak 이미지뷰어원격코드실행취약점 34 (3) 마이크로소프트 Internet Explorer 7 URL 핸들링취약점 41 안철수연구소의시큐리티대응센터 (AhnLab Security Emergency response Center) 는악성코드및보안위협으로부터고객을안전하게지키기위하여바이러스분석및보안전문가들로구성되어있는조직이다. 이리포트는 안철수연구소의 ASEC에서국내인터넷보안과관련하여보다다양한정보를고객에게제공하기위하여바이러스와시큐리티의종합된정보를매월요약하여리포트형태로제공하고있다.
I. ASEC 월간통계 1 (1) 10 월악성코드통계 순위 악성코드명 건수 % 1 new Win-Trojan/KorGameHack.17920.BR 272 20.3% 2 new Win-Trojan/KorGameHack.26624.AI 267 19.9% 3 new Win-Trojan/KorGameHack.14848.FO 195 14.5% 4 3 Win-Trojan/Xema.variant 140 10.4% 5 new Win-Trojan/OnlineGameHack.15360.I 120 8.9% 6 new Win-Trojan/KorGameHack.19456.BM 113 8.4% 7 new Dropper/OnlinegameHack.18944 70 5.2% 8 new Win32/QQPass.worm.26667 60 4.5% 9 new Win32/Autorun.worm.31244 55 4.1% 10 new Dropper/OnlineGameHack.18432.J 51 3.8% 합계 1,343 100.0% [ 표 1-1] 2007년 10월악성코드피해 Top 10 월악성코드피해동향 전월악성코드피해 Top10과비교했을때 10월의악성코드피해 Top10에는많은변화가있었다. 금전적인목적을위해서사용자의게임계정정보를유출하려는게임핵류의트로이목마 5종과이와관련된드롭퍼 2종이 10월악성코드피해 Top10에새롭게진입하였고지난 8, 9월 2달동안꾸준하게피해 Top10의 1위를고수해온 Win-Trojan/Xema.variant는 3계단하락한 4위를내려앉았으며, 그밖에 2, 3위에랭크되어있던 Win32/Virut과 Win32/IRCBot.worm.variant 등도각각 16, 12위로하락하였다. 또한전월악성코드피해 Top10에서각각 4, 5, 8위에랭크되었던스크립트형악성코드인 VBS/Autorun, VBS/Solow, TextImage/Autorun 등도 10월악성코드피해 Top 10의순위권밖으로밀려났다. 10월악성코드피해 Top10에랭크되어있는악성코드는주로게임핵류의트로이목마로바이러스, IRCBot, 악성스크립트, 다운로더등이분포해있던전월에비해다양성은다소떨어지지만금전적인목적을위해서특정대상을공격하는정보유출형악성코드들의변종및신종이꾸준하게양산되고있음을알수가있다. 1 2007 년 11 월부터는악성코드통계산출기준날짜가전월 25 일부터익월 26 일로변경되었다. 특히 10 월은부득히 10 월 1 일부터 25 일까지를기준으로통계기간이조정되었다 Copyright AhnLab Inc,. All Rights Reserved. 2
이처럼금전적인목적을위한정보유출형의트로이목마류는앞으로도계속악성코드피해 Top 10에랭크될것으로보이므로사용자들은이런트로이목마류를포함한다양한악성코드로부터감염을예방하고피해를최소화하기위해서는자신이사용하는운영체제및백신프로그램에대한꾸준한업데이트와관리가필요하다. 10 월의악성코드피해 Top 10 을도표로나타내면 [ 그림 1-1] 과같다. 10 월악성코드피해 Top 10 4.5% 4.1% 3.8% 20.3% Win-Trojan/KorGameHack.17920.BR Win-Trojan/KorGameHack.26624.AI 5.2% Win-Trojan/KorGameHack.14848.FO Win-Trojan/Xema.variant 8.4% Win-Trojan/OnlineGameHack.15360.I Win-Trojan/KorGameHack.19456.BM Dropper/OnlinegameHack.18944 Win32/QQPass.worm.26667 8.9% Win32/Autorun.worm.31244 Dropper/OnlineGameHack.18432.J 10.4% 14.5% 19.9% [ 그림 1-1] 2007 년 10 월악성코드피해 Top 10 2007 년월별피해신고건수 5,000 4,500 4,000 3,500 3,000 2,500 2,000 1,500 1,000 500 0 4,265 3,536 2,321 2,057 1,775 1,558 1,617 1,111 1,264 1,305 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 Copyright AhnLab Inc,. All Rights Reserved. 3
[ 그림 1-2] 2007 년월별피해신고건수 [ 그림 1-2] 에서월별피해신고건수는 7월의피해신고건수 3,536건을제외한 9월까지의월별피해신고건수는 2,500건을넘지않았으나, 10월에 4,265건으로전월 1,305건에비해 200% 이상피해건수가증가하였다. 이는기존에감염된악성코드 ( 주로다운로더 ) 가백신의탐지를회피하기위해서새로운신종및변종을다수다운로드하여사용자의시스템에설치하기때문인것으로판단된다. 순위 진단명 건수 1 Win-Trojan/KorGameHack.17920.BR 272 2 Win-Trojan/KorGameHack.26624.AI 267 3 Win-Trojan/KorGameHack.14848.FO 195 4 Win-Trojan/Xema.variant 140 5 Win-Trojan/OnlineGameHack.15360.I 120 6 Win-Trojan/KorGameHack.19456.BM 113 7 Dropper/OnlinegameHack.18944 70 8 Win32/QQPass.worm.26667 60 9 Win32/Autorun.worm.31244 55 10 Dropper/OnlineGameHack.18432.J 51 11 Win-Trojan/OnlineGameHack.17408.B 47 12 Win32/IRCBot.worm.variant 45 13 Dropper/OnLineGameHack.17408.B 41 14 Win-Trojan/OnlineGameHack.17920.E 34 15 Dropper/OnLineGameHack.17408.C 32 16 Win32/Virut 31 17 Win-Trojan/OnlineGameHack.24576.L 31 18 Dropper/OnLineGameHack.17920.B 28 19 Win-Trojan/KorGameHack.16896.CI 28 20 Dropper/OnlineGameHack.16896.B 26 [ 표 1-2] 2007년 10월악성코드피해 Top 20 [ 표 1-2] 에서보면 Top 20에드롭퍼가 6종이랭크되어있고전체 Top 20의 14% 를차지하였음을알수있는데, 이는 5종의정보유출형트로이목마가 Top 10([ 표 1-1참고 ) 의상위권에랭크될수있었던하나의요인으로파악되며 Top 20에랭크된정보유출형트로이목마들중의일부는파일다운로드하는기능을가진경우도있었다. Copyright AhnLab Inc,. All Rights Reserved. 4
10 월악성코드피해 Top 10 의유형별현황 [ 표 1-1] 의악성코드피해 Top 10 에랭크되어있는악성코드를유형별로살펴보면아래 [ 그림 1-3] 과같다. 10 월악성코드 Top 10 의유형별현황 웜 10% 드로퍼 15% 트로이목마웜드로퍼 트로이목마 75% [ 그림 1-3]2007 년 10 월악성코드 Top 10 유형별현황 10월에도마찬가지로금전적인이득을노린정보유출형악성코드들이가장많은피해를발생시켰으며전월 (48%) 대비 36% 증가하였다. 10월경우 Mydoom 및 Mytob 등다양한웜이발견되긴하였으나피해신고건수가미비하였고 Win32/QQPass.worm.26667는 60건, Win32/Autorun.worm.31244 55건의피해신고가접수되면서각각8, 9위에랭크되었고이로인해전월대비 (9%) 1% 정도상승하였고, 스크립트 (17%) 와바이러스 (26%) 는 2007년 10월악성코드피해 Top 10 순위권밖으로밀려났기때문에 [ 그림 1-3] 에는포함되지못했으며그자리를드로퍼 (15%) 가대신하였다. 피해신고된악성코드유형현황 2007 년 10 월에피해신고된악성코드의유형별현황은아래 [ 그림 1-4] 와같다. Copyright AhnLab Inc,. All Rights Reserved. 5
드로퍼 15% 바이러스 1% 2007 년 10 월악성코드유형별현황 유해가능 1% 스크립트 3% 웜 8% 웜트로이목마바이러스드로퍼유해가능스크립트 트로이목마 72% [ 그림 1-4] 2007 년 10 월에피해신고된악성코드의유형별현황 [ 그림 1-4] 를살펴보면, 전월과마찬가지로트로이목마계열이 72% 로가장많이차지하고있으며 2위드로퍼 15%, 3위웜 8% 그리고스크립트 3%, 유해가능 1%, 바이러스 0.18% 순이다. 트로이목마의경우전월 (74.8%) 에비해소폭하락하였으나지난몇개월에이어 10 월에도마찬가지로전체피해건수에서부동의 1위를차지하였다. 그원인은정보유출형트로이목마를제작및유포함으로써막대한금전적인이득을취하고있고, 이를위하여다수의신 / 변종트로이목마가제작및유포되고있기때문인것으로판단된다. 주요악성코드유형의피해신고분포를보면 [ 그림 1-5] 와같다. 2007 년 10 월주요악성코드종류별피해신고비율 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 웜트로이목마바이러스 [ 그림 1-5] 2007 년웜, 트로이목마, 바이러스의피해신고비율 Copyright AhnLab Inc,. All Rights Reserved. 6
[ 그림 1-5] 에서보면전월대비웜과트로이목마는다소하락하였으나바이러스의경우는약 1% 정도로다소상승하였으며 [ 그림 1-5] 에서바이러스가차지하는비율은극히미비하지만 Win32/Virut와그변형들의감염피해가발생했을경우완전한치료가다소어렵다는특징이있다. 월별피해신고된악성코드종류현황 2007 년월별피해신고악성코드종류 1800 1600 1710 1400 1200 1000 800 1097 1061 829 945 928 1046 1303 600 400 630 725 200 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월그림 1-6] 2007년월별피해신고악성코드종류 [ [ 그림 1-6] 은국내에서발견된변종및신종악성코드의현황을나타내며, 8 월이후로다시 증가추세를보이고있다. 또한 10 월의경우 PDF 의취약점을이용한악성코드 (PDF/Exploit- Downloader) 가스펨메일의첨부파일로확산되기도하였다. Copyright AhnLab Inc,. All Rights Reserved. 7
국내신종 ( 변형 ) 악성코드발견피해통계 10 월한달동안접수된신종 ( 변형 ) 악성코드의건수및유형은 [ 표 1-3], [ 그림 1-7] 과같 다. 웜 트로이 드롭퍼 스크립트 파일 매크로 부트 부트 / 파일 유해가능 비윈도우 합계 8 월 54 327 72 1 6 0 0 0 10 1 471 9 월 32 418 78 1 1 0 0 0 1 1 531 10 월 23 269 55 1 2 0 0 0 5 0 355 [ 표 1-3] 2007년최근 3개월간유형별신종 ( 변형 ) 악성코드발견현황 지난 2월 ASEC 리포트에서밝혔듯이중국의명절은국내악성코드유입에큰영향을주고있다. 지난 2월의경우춘절로인하여악성코드수가감소하였고 10월은중추절의이유로악성코드의수가감소하였던것으로보인다. 물론위에서밝힌대로통계기간이다소짧아서전월과비교될수도있겠지만 5일정도의기간을제외하여도 10월은전월보다악성코드는 33% 감소하였다. 트로이목마의비율만본다면 36% 감소하였다. 이로서다시금국내중국산악성코드유입이많음을다시실감할수가있었다. 다음은이번달악성코드유형을상세히분류하였다. 15% 10 월신종 ( 변형 ) 악성코드유형 0% 3% 2%1% 1%1% 트로이목마드롭퍼웜 (IRC) 웜 (AutoRun) 웜 (Mail) 유해가능파일 ( 바이러스 ) 스크립트 77% [ 그림 1-7] 2007 년 10 월신종및변형악성코드유형 트로이목마이유형은역시온라인게임계정을탈취하는게임핵류가가장많다. Autorun.inf 를생성하여자신을자동실행하는악성코드가상당수존재하며이전 ASEC 리포트에서도언급한바와같이중국산악성코드대부분이이증상을가지고있다. 위통계에서는자신의복사본과 Autorun.inf 를생성하는경우만반영한것이다. Copyright AhnLab Inc,. All Rights Reserved. 8
최근 IRCBot 웜은접수건수가감소하고있다. 전체악성코드의 3% 밖에지나지않는다. IRCBot 웜이많았던 2004 년, 2005 년상황과는현재는비교되지않는다. 30 최근 4 개월 IRCBot 웜현황 25 20 15 10 5 0 7 월 8 월 9 월 10 월 [ 그림 1-8] 2007 년최근 4 개월악성 IRCBot 웜현황 위현황에서는최근 2개월간하락하고있으며그이유는뚜렸하지않다. 다만악성코드의 BotNet은근래들어굳이악성 IRCBot 웜을이용하지않아도얼마든지은밀하게동작하는 Win32/Zhelatin.worm이나 Win-Trojan/Runtime과같은은닉채널을이용하는악성코드가강세를보이므로이런이유도그원인으로추정해볼수가있다. 이번달은 2 종의바이러스가보고되었는데다음과같다. - Win32/Hala - Win32/Jlok 변형 Win32/Hala 는프로그램의시작실행시점에 return 코드를삽입하여바이러스섹션으로점프하도록되어있다. 따라서감염된파일은 *.DL5 라는섹션이추가되어있다. MZ Header에 4 바이트의특정값을채워자신이감염되었음마킹하여중복감염되지않도록한다. 이바이러스는마지막섹션헤더추가시 Bound Improt Table 정보가있어도덮어쓰기때문에감염된파일은치료를하기전까지는실행되지않는다. 따라서치료시 Bound Improt Table Directory 정보 (RVA, Size) 를 0 으로세팅해주면실행이가능해진다. Win32/Jolk 는이전에알려진형태의변형이다. 특이하게워드문서파일인 *.DOC 확장자를감염대상으로한다. 감염된 DOC 파일은원본의앞 0x400 바이트가암호화되어바이러스파일이앞에붙은형태로동일명의 *.exe 파일로변경된다. 감염된 *.DOC 파일을실행하면원본의 *.DOC 가만들어져워드문서는정상적으로오픈된다. 다음은 10 월에증가및감소한주요악성코드유형에대한현황이다. Copyright AhnLab Inc,. All Rights Reserved. 9
450 400 350 300 250 200 150 100 50 0 2007년 10월증가및감소악성코드유형트로이목마웜바이러스 [ 그림 1-9] 2007년 10월감소및증가악성코드유형 9 월 10 월 위에서밝혔듯이통계기간과중국의국경절의영향으로추정되어악성코드수는전월대비감소하였다. 위 [ 그림 1-9] 에는없지만유해가능프로그램의경우전원대비소폭증가하였다. 여기에는다양한형태가있는데, 프로세스를숨겨주는형태, FTP 데몬, IE BHO에등록되어광고를보여주는형태가있었다. 다음은트로이목마및드롭퍼의전체비중에서상당한비율을차지하는온라인게임의사 용자계정을탈취하는트로이목마의추세를살펴보았다. 300 2007년온라인게임사용자계정탈취악성코드추세 250 248 200 214 150 100 130 164 145 136 171 110 107 147 50 0 07년01월 2월 3월 4월 5월 6월 7월 8월 9월 10월 Copyright AhnLab Inc,. All Rights Reserved. 10
[ 그림 1-10] 온라인게임사용자계정탈취트로이목마현황 1 전월과달리 41% 감소하였으나감소추정원인은위에서밝힌바와같다. Win- Trojan/KorGameHack과 Win-Trojan/OnLineGameHack을비교하면 Win- Trojan/OnLineGameHack 의비율이 30% 정도높은편이다. 이들의차이는주로국내온라인게임과국외 ( 대부분중국및대만 ) 온라인게임계정을탈취하는형태로나눌수있다. 그러나진단명을이렇게분류하였지만이부분은오차가있을수도있다. Copyright AhnLab Inc,. All Rights Reserved. 11
(2) 10 월스파이웨어통계 순위 스파이웨어명 건수 비율 1 New Win-Spyware/PWS.KorGame.17920.BM 13 13% 2 New Win-Spyware/PWS.Wsgame.18944.C 7 10% 3 New Win-Spyware/PWS.Wsgame.17920 7 10% 4 New Win-Spyware/PWS.Wsgame.17408 7 10% 5 New Win-Spyware/PWS.Wsgame.24576 6 10% 6 New Win-Spyware/PWS.Wsgame.23040.B 6 10% 7 New Win-Spyware/PWS.Wsgame.17920.B 6 10% 8 New Win-Spyware/PWS.Wsgame.16384 6 9% 9 New Win-Spyware/PWS.Wsgame.11900 6 9% 10 New Win-Spyware/PWS.World2.28672.B 6 9% 합계 70 100% [ 표 1-4] 2007년 10월스파이웨어피해 Top 10 9% 9% 10% 10% 9% 10% 2007 년 10 월스파이웨어피해 Top 10 10% 13% 10% 10% Win-Spyware/PWS.KorGame.17920.BM Win-Spyware/PWS.Wsgame.18944.C Win-Spyware/PWS.Wsgame.17920 Win-Spyware/PWS.Wsgame.17408 Win-Spyware/PWS.Wsgame.24576 Win-Spyware/PWS.Wsgame.23040.B Win-Spyware/PWS.Wsgame.17920.B Win-Spyware/PWS.Wsgame.16384 Win-Spyware/PWS.Wsgame.11900 Win-Spyware/PWS.World2.28672.B [ 그림 1-11] 2007 년 10 월스파이웨어피해 Top 10 2007 년 10 월전체스파이웨어피해신고건수는총 999 건으로지난 9 월의 592 건에서약 400 건가량크게증가하였다. 10 월스파이웨어피해신고가증가한원인은다수의온라인게 임계정유출목적의스파이웨어가많이배포되었기때문인것으로분석된다. 피해신고건수 999 건중 455 건이온라인게임계정유출을시도하는패스워드스틸러 (PWS) 계열의스파이 웨어로전체피해신고의약 45% 를차지하고있으며, 9 월의약 140 건보다약 100 건증가 하였다. 이를반영하여스파이웨어피해통계의 Top10 을모두온라인게임계정유출스파이 Copyright AhnLab Inc,. All Rights Reserved. 12
웨어가차지하고있는데, 이중에서도스파이웨어피해 Top10 의대부분을차지하고있는스 파이웨어더블유에스게임 (Win-Spyware/Wsgame) 은중국에서제작된온라인게임계정유출 을목적으로제작되었으며, 2006 년말부터배포되기시작하였다. 2007 년 10 월유형별스파이웨어피해현황은 [ 표 1-5] 와같다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 8월 197 105 43 156 12 6 0 0 0 519 9월 291 119 35 132 8 7 0 0 0 592 10월 632 131 38 180 7 11 0 0 0 999 [ 표 1-5] 2007년 10월유형별스파이웨어피해건수 2007년 10월전체스파이웨어피해신고건수는온라인게임계정유출스파이웨어의증가로스파이웨어류의피해신고가크게증가한반면애드웨어나다운로더같은다른분류의스파이웨어의피해신고건수는대체로 9월에비해소폭증가하거나비슷한수준임을알수있다. 피해신고가접수된애드웨어의경우대부분이국내에서제작된프로그램이었으며, 이들애드웨어를다시형태별로분석해본결과리워드 ( 쇼핑몰현금적립프로그램 ), 툴바, 허위안티-스파이웨어가대부분을차지하고있었다. 최근에발견되는애드웨어는툴바나 BHO와같은브라우저확장을이용한키워드간접광고, 리워드서비스가대부분을차지하고있으며, 직접적으로팝업광고를노출하는형태의애드웨어는감소하고있는추세이다. 애드웨어의배포방법으로과거에는불특정웹사이트에서 ActiveX 컨트롤을이용하여배포하였으나최근에는 ActiveX 컨트롤을이용하는대신다운로더를이용하거나다른프로그램의번들로설치되는방식으로배포하고있다. 번들설치는애드웨어가설치되면자사또는제휴사의또다른애드웨어를사용자동의없이설치하는방식으로 ActiveX 컨트롤을이용하여배포하는방식보다배포지추적이어렵다. [ 표 1-5] 의다운로더건수의경우피해신고접수 180건중대부분이국내제작애드웨어와관련이있었으며애드웨어피해신고증가의원인으로파악된다. 10 월스파이웨어발견현황 10 월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 1-6], [ 그림 1-12] 와같다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 8 월 64 31 6 52 4 2 0 0 0 159 Copyright AhnLab Inc,. All Rights Reserved. 13
9 월 91 37 12 40 6 6 0 0 0 192 10 월 98 42 14 51 5 6 0 0 0 216 [ 표 3] 2007 년 10 월유형별신종 ( 변형 ) 스파이웨어발견현황 24% 6% 2% 2007 년 10 월발견된스파이웨어 3% 0% 0% 0% 46% 스파이웨어류애드웨어드롭퍼다운로더다이얼러클리커익스플로잇 AppCare 조크 19% [ 그림 1-12] 2007 년 10 월발견된스파이웨어프로그램비율 [ 표 1-6] 과 [ 그림 1-12] 는 2007 년 10 월발견된신종및변형스파이웨어통계를보여준다. 지난 9 월에비하여스파이웨어피해신고는크게증가한반면신종및변형발견건수는각 유형별로소폭증가하는데그쳤다. Copyright AhnLab Inc,. All Rights Reserved. 14
(3) 10 월시큐리티통계 2007년 10월에는마이크로소프트사에서총 6개의보안업데이트를발표하였으며, 발표된업데이트는긴급 (Critical) 4개, 중요 2개로, 9월의총 4건과비교하여 50% 증가하였다. 이중에서인터넷익스플로러공격에사용될수있는 MS07-057 에대한패치가포함되었으며, 마이크로소프트오피스 (MS Office) 관련패치인 MS07-060 Kodak 이미지뷰어원격코드실행취약점인 MS07-055 가포함된것이특징이라고할수있다. 14 12 10 8 공격대상기준 2006 년 10 월 ~ 2007 년 10 월 MS 보안패치분류현황시스템 IE 오피스어플리케이션서버총수 6 4 2 0 10 월 11 월 12 월 1 월 2 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 [ 그림 1-13] 2006 년 10 월 ~ 2007 년 10 월공격대상기준 MS 보안패치현황 [ 그림 1-13] 을보면, 전반적으로 2007 년에들어와서, 어플리케이션취약점들 (IE, 오피스, 기 타어플리케이션 ) 취약점들이증가추세에있는데, 10 월달에다시오피스취약점인 Microsoft Word 의취약점으로인한원격코드실행문제점인 MS07-060 이발표되었다. 오피스취약점은꾸준히발견되는추세이긴하지만, 대부분 MS Office 2007 버전에는영향 을주지않고있다. 또한 9 월에발표된마이크로소프트오피스 2003 서비스팩 3 에도영향 을주지않고있다. 이러한오피스취약점들은악성코드가포함되어메일이나웹을통해공격하기때문에, 주의가필요하다. 기업관리자들은 MS Office 2003 SP3나 MS Office 2007 의사용을고려해볼수있다. 또한, 오피스에대한보안패치는반드시오피스홈페이지에서보안업데이트를적용해야만, 클라이언트시스템의보안성을강화할수있다. Copyright AhnLab Inc,. All Rights Reserved. 15
2007 년 10 월웹침해사고현황 250 웹사이트침해사고현황 200 150 100 50 170 32 109 118 63 62 101 47 91 91 68 52 157 44 73 26 96 34 193 49 경유지유포지 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 1-14] 악성코드배포를위해침해된사이트수 / 배포지수 2007년 10월의웹사이트침해지 / 배포지수는 193/49로 2007년 9월과비교하여침해지수가크게증가하였지만배포지의수는변화가거의없다. 침해지의수가크게증가한이유는 10월중웹침해사고현황조사를위해탐색한사이트의수가 3배정도증가하였기때문이다. 따라서 2007년 11월에는기존달보다침해지의수가더욱증가할것으로예상된다. 그럼에도불구하고최종배포지의수가전과비교하여큰차이가없는것은여전히국내의많은웹사이트침해사고의대부분이소수의공격자에의한것으로추정할수있다. 2007년 11월에는탐색한사이트수의증가와침해지수증가의관계에대한자세한분석도가능할것이다. 악성코드배포를위해사용된취약점종류의비율은이전과마찬가지로 MS07-017 취약점의비율이 33% 로상위를차지했다. 침해사고를확인한웹사이트의관리자들은사후처리에신경을써야하고일반 PC 사용자들은운영체제의패치를항상적용하고 Anti-Virus 제품을설치한후인터넷을사용하는것이안전하다. Copyright AhnLab Inc,. All Rights Reserved. 16
II. ASEC Monthly Trend & Issue (1) 악성코드 PDF 의잘못된 URI 처리와관련악성코드등장 10월은악성코드수치도전월대비감소하였고비교적조용한한달이였다. 지난달 Win32/virut 변형이발견된이후로 Virut 바이러스원형또는 B 형에대한간단한변형이국내에서여러건신고가접수되었다. 그리고 Win32/Zhelatine.worm 이라고알려진악성코드변형이자신의파일명을변경한내용과 MP3 파일을스팸으로보낸사건그리고 PDF 파일취약점을이용하여특정악성코드를다운로드실행하는이슈에대해여정리해보도록하겠다. Win32/Virut 바이러스변형 러시아에호스트를두고있는특정 URL 에서계속적으로 Win32/Virut 바이러스원형에대한변형을만들고배포하고있음이밝혀졌다. 특히일부안티바이러스의진단및치료를회피하려고바이러스의시작주소의옵코드를 E8 또는 90을사용하고있음이알수가있었다. [ 그림 2-1] Win32/Virut 변형시작주소비교 특히 V3 가진단 / 치료를추가하면바로변형을배포하는행위를서슴지않았다. 또한변형에 따라바이러스몸체를암호화한것과하지않는것으로나누기도하여진단을회피하려는 모습이역력하였다. 다행이라면 Win32/Virut 바이러스원형이므로진단 / 치료가복잡한 B, C Copyright AhnLab Inc,. All Rights Reserved. 17
이아니어서감염시치료성공율또는진단 / 치료엔진제작의난이도가그리높지는않았다. MP3 로전달되는스팸메일 최근스팸메일의형태는매우독특하다. 엑셀문서파일 (*.xls) 에이어서어도브아크로벳문서 (*.PDF) 로된스팸이보고되었다. 이것은안티스팸제품을우회하려는의도가다분하다. 이번달에는 *.MP3 파일형태의스팸이발견되었다. 이것은특정회사에대한주식광고를하여주가를부풀리도록의도하고있다. MP3 는다음과같은내용을담고있다. "Hello, this is an investor alert Exit Only Incorporated has announced it is ready to launch its new text4cars.com website, already a huge success in Canada, we are expecting amazing results in the USA. Go read the news and sit on EXTO. That symbol again is EXTO. Thank you." [ 그림 2-2] MP3 스팸내용 MP3 파일특성상음질이좋으면파일크기가늘어나기때문에이것을스팸으로보내기에는 적당하지않다. 따라서해당파일은다음과같은제원을가지고있다. [ 그림 2-3] MP3 스팸제원 따라서해당파일을실제로재생해보면매우소리가작고음질이나쁘다. 따라서이러한형 태의스팸은앞으로더발생될지귀추가주목된다. 그러나더많은내용을담고음질을향 상하면메일크기는커지므로안티스팸제품의필터링은피하기어려울것으로본다. 변화하는 Win32/Zhelatein.worm Win32/Zhelatin.worm 변형은본글을작성하는현재도변형이발견되어엔진에추가되고 Copyright AhnLab Inc,. All Rights Reserved. 18
있는실정이다. 10월에발견되기시작한 Zhelatin 웜변형은이전과다르게자신이생성하는파일명을변경하였다. 피해가국, 내외적으로크게발생하고있어파일명이변경된것까지도이슈가될만하다. 이전에사용한파일명은 Spooldr.sys 로국, 내외유명포털에서검색하면관련글을상당수볼수있다. 이번에새롭게변경된파일명은다음과같다. [ 그림 2-4] Win32/Zhelatin.worm 의복사본파일명 Noskrnl.exe 이외에도 Noskrnl.sys, Noskrnl.config 파일을만들고드라이버파일인 Noskrnl.sys 가특정커널함수를후킹하여 Noskrnl이란문자열이들어간파일을은폐하도록해둔다. 이전과다른것은파일명만이아니라우선자신이생성한 Noskrnl.sys를실행하기위하여기존변형은 TCPIP.SYS를패치한다. 즉, Noskrnl.sys를예로든다면정상적인방법의드라이버로드는이것을서비스로등록하여실행하는반면에기존 Zhelatin 웜은 TCPIP.SYS에작은쉘코드를삽입하여로컬에존재하는 Zhelatin 웜을실행하도록해둔다. 이러한형태는 Win-Trojan/Patched 라고진단된다. 그러나이번변형은정상적인방법으로레지스트리에자신을등록하여드라이버를실행하도록해두었고, 어떠한시스템파일도변경하지않는다. Explorer.exe 와같은정상윈도우파일에악의적인쓰레드를생성하는증상도발생하지않는다. 다만드라이버는은폐증상이외에특정보안프로그램을무력화시키는증상은여전하다. 이번달에발견된변형은이것이어떤의미를가지는지는명확하지는않지만제작자는어떤의도를가지고점점변화또는진화하고있음을틀림없다. PDF 문서파일의잘못된 URI 를이용한악성코드실행 PDF 취약점이라고알려졌으나, 실제로는인터넷익스플로러 7에서악용될수있는, 이취약점은 PDF 문서내에존재하는 mailto 태그를처리하는루틴에서 % 값을인터넷익스플로러 7의 ShellExecute() 함수에서제대로처리하지못하는 URL 핸들링버그이다. 취약한 PDF 문서의대상은어도비아크로뱃및리더 8.1 또는이전버전들로서, 문서를작성하는현재해당응용프로그램제작사로부터패치가공개되었다. 다음은취약점을이용한악성코드샘플의일부와응용프로그램팩키지모습이다. Copyright AhnLab Inc,. All Rights Reserved. 19
[ 그림 2-5] 취약한 PDF 문서파일일부 먼저취약한문서를실행한경우 netsh 명령을이용하여윈도우방화벽에특정호스트에대한접속경고를 disable하고, 해당호스트로부터파일을다운로드하여실행한다. 이것은또다른악성코드를시스템에설치한다. 취약한문서파일의크기는 3K 이내로작으며사용자가메일에첨부된상태에서쉽게클릭하여볼수있어서잠재적인위험이크다고할수있다. 따라서메일에첨부된 PDF 파일의경우아는사람에게전달받았다고해서바로실행하지말고반드시안티바이러스프로그램을이용하여검사해보는것이바람직하겠다. 또한응용프로그램제작사가공개한패치를반드시설치할것을권장한다. Copyright AhnLab Inc,. All Rights Reserved. 20
(2) 스파이웨어 스파이웨어의오작동으로인한피해 어느날바탕화면에있는아이콘이모두똑같이표시되거나, 갑자기컴퓨터가부팅되지않는다면컴퓨터사용자는당황할수밖에없을것이다. 스파이웨어는컴퓨터의속도를느리게하고사용자가원하지않는광고를출력하는드러난문제점과함께사용자모르게컴퓨터를손상시킬수있는잠재적인문제를내포하고있다. 스파이웨어에의해손상된컴퓨터를원상태로복구하는데는많은시간이소요될수있으며그과정에서중요한데이터를손실할수도있다. 지난 10월 18일바탕화면아이콘확장자가 lnk로변경되어있고, 모든실행가능한파일이열리지않는다는문의가안철수연구소로다수접수되어증상을확인한결과 Win- Adware/UcccPlayer 업데이트파일이동작하는과정에레지스트리정보를삭제 / 수정하면서문제가발생된것이확인되었다. Win-Adware/UcccPlayer는동영상낚시글을통해특정웹사이트로유인후큰화면의동영상을감상하기위해서 UCC플레이어통합매니저설치를유도하는전형적인스파이웨어의배포방법을통해사용자의 PC에설치가되었다. 동영상실행을위해통합매니저를설치한사용자의 PC에는동영상실행과관계없는허위백신프로그램, 큐앰프, 윈사이드바, 캐시플러스등의프로그램이사용자동의를받지않은채함께설치된다. (UCCC Player는지난 4월동영상 1회클릭당 1원이라는새로운수익방식으로스파이웨어를통한새로운수익구조를제시하여많은스파이웨어배포자를양산한것으로보인다.) [ 그림 2-6] UCCC player 통합메니저 [ 그림 2-7] UCCC Player ActiveX CodeBase [ 그림 2-7] 에서와같이 ActiveX 의 CodeBase 를통해설치되는목록조절이가능하며, 이렇 Copyright AhnLab Inc,. All Rights Reserved. 21
게설치된스파이웨어의종류는서버설정에따라계속해서바뀔수있으며뚜렷한증상이 없는한설치사실을사용자가인지하기어렵다. Win-Adware/UcccPlayer외에도스파이웨어로인한컴퓨터오류문제는꾸준히보고되고있다. 5월 7일에는 Win-Downloader/Adod.49238로진단되는프로그램이오류가있는 BHO파일을설치해 IE가실행되지못하게하였으며, 같은달 Win-Adware/IEDoumi의경우윈도우에서방문된웹사이트목록을저장하는레지스트리 (HKCU\Software\Microsoft\Internet Explorer\TypedURLs) 를이용해키워드광고수단으로이용하면서 PC 부팅속도가늦어지게하는등스파이웨어로인한많은문제들이꾸준히보고되고있다. 지난 10월한달간국내에서제작되고배포된프로그램중정통부스파이웨어사례집과안철수연구소스파이웨어진단규정을위반하는것으로확인된프로그램은 44종이었으며이들프로그램이번들로설치하는목록까지포함한다면 50종이넘는다. 매월이렇게확인된수십종의국산신 / 변종스파이웨어를끊임없이진단추가하고있으나, 더많은신 / 변종스파이웨어들이생겨나고있다. 또, 포털사이트게시판에는새로운변형이나신종스파이웨어에의한컴퓨터오류를해결하는방법을묻는글들이줄어들지않고있다. 다양한필요에의해제작되는소프트웨어는개발단계에서다양한테스트를통해예상할수있는대부분의버그를수정하고안정성이보장된상태에서배포되어야한다. 이렇게배포되는프로그램조차도실제환경에서는예상치못한오류가발생하는경우가있을수있다. 응용프로그램의문제점과는그관점이조금다를수있으나마이크로소프트같은대형소프트웨어업체에서제작한운영체제인 Windows에서도매월문제점이발견되고있으며이에대한크고작은패치들을나오고있는실정이다. 그러나, 우후죽순으로생겨나는스파이웨어제작자들과보안업체간의쫓고쫓기는관계속에서스파이웨어제작자들은빠른시간에프로그램을제작해배포하기때문에프로그램설치및동작시나타날수있는심각한오류들에대비해필요한테스트를거칠시간적여유가충분하지않을수있다. 이런스파이웨어들은보안업체의모니터링과진단추가속에서도알려지지않은루트를통해계속배포되고있으며컴퓨터사용자는이러한위협에항상노출되어있는것이다. 넘쳐나는스파이웨어속에서컴퓨터사용자를보호하기위해서는스파이웨어를모니터링하고끊임없이진단추가하는업체의노력, 불확실한프로그램을설치하지않는개인사용자의노력뿐만아니라사용자의동의없이는프로그램이설치될수없도록하는엄격한법규제정이무엇보다도필요할것이다. Copyright AhnLab Inc,. All Rights Reserved. 22
(3) 시큐리티 MS07-058 058 RPC 의취약점으로인한서비스거부문제점 마이크로소프트사가발표한 2007 년 10 월보안업데이트는총 6 건으로각각긴급 4 건, 중요 2 건의보안수준을갖는다. 이달에발표된보안업데이트에는코드실행이가능한다수의취 약점들과서비스거부공격을통해서시스템자체를공격하는취약점이포함되어있다. 위험등급긴급긴급긴급중요 취약점 PoC Kodak 이미지뷰어의취약점으로인한원격코드실행문제점 (MS07-055) 055) 유 Microsoft Word 의취약점으로인한원격코드실행문제점 (MS07-060) 060) 무 Internet Explorer 누적업데이트 (MS07-057) 057) 무 RPC 의취약점으로인한서비스거부문제점 (MS07-058) 058) 유 지속적으로시스템자체에대한취약점보다는애플리케이션또는애플리케이션에서사용되는파일을통한공격이많이보고되고있다. 그러나, 이중시스템자체를공격하는 RPC의취약점은 DoS( 서비스거부공격 ) 만가능하지만, 해당시스템의재부팅을유발할수있기때문에사용자들의주의를요한다. 언제나그렇듯이보안업데이트는사용자시스템을보호하는가장기초적이며최선의방어책이되므로, 해당취약점에영향을받는사용자들은즉시업데이트를적용하여야한다. 이달에보고된주요취약점들 (MS RPC 서비스거부취약점, MS URL 핸들링취약점, GOM 플레이어취약점등 ) 및보안이슈 (DDoS 공격 ) 에대해서좀더살펴보도록하자. MS RPC 서비스거부취약점 (MS07-058) 058) 애플리케이션을대상으로하는많은취약점들이발표되고있는요즈음, 오랜만에시스템서 비스를공격하는취약점이발표되었다. 해당취약점은 RPCSS 서비스가 NTLM 인증메시지 를처리하는과정에서발생하는 Integer Underflow 로서서비스거부공격에악용될수있다. RPC 호출을수행하려면모든분산응용프로그램의클라이언트와서버간에는바인딩 (Binding) 이우선적으로성립하고, 요청에대한인증을수행한다. MS는다음과같이여러인증수준을제공하며, 클라이언트인증을위한프로토콜로 NTLM(NT Lan Manager) 을지원한다. Copyright AhnLab Inc,. All Rights Reserved. 23
* 기본값 (0x00: RPC_C_AUTHN_LEVEL_DEFAULT) * 없음 (0x01: RPC_C_AUTHN_LEVEL_NONE) * 연결 (0x02: RPC_C_AUTHN_LEVEL_CONNECT) * 호출 (0x03: RPC_C_AUTHN_LEVEL_CALL) * 패킷 (0x04: RPC_C_AUTHN_LEVEL_PKT) * 패킷무결성 (0x05:RPC_C_AUTHN_LEVEL_PKT_INTEGRITY) * 패킷프라이버시 (0x06:RPC_C_AUTHN_LEVEL_PKT_PRIVACY) [ 그림 2-8] DCOM 구성등록정보 NTLM 을사용한인증절차는서버와클라이언트사이에서다음 3 개의메시지를교환하는 Challenge-Response 구조를갖는다. 해당취약점은서버의 RPCSS 서비스가 Authenticate 메시지를처리하는과정에서발생한다. [ 그림 2-9] NTLM 인증메시지교환 Authenticate 메시지는인증을원하는클라이언트의도메인명 (DomainName), 사용자명 (UserName) 등을내부구조체인 SECURITY_BUFFER 버퍼에담아서전달하게된다. SECURITY_BUFFER + short(length): 바이트단위의버퍼길이 + short(allocated Space): 바이트단위의할당된버퍼공간 (length와동일 ) + long(offset) : 바이트단위의 Offset 값. NTLM message의처음으로부터의거리 이때, 보안인증레벨로서 호출 / 패킷 (AUTH LEVEL) 이선택되고사용자길이 (Length of UserName) 정보가 0 으로설정된 NTLM Authenticate 메시지를받는경우, Copyright AhnLab Inc,. All Rights Reserved. 24
RPCRT4!OSF_SCONNECTION::SendFragment 함수내에서두번의 Integer Underflow 가발생하고잘못된메모리번지를덮어쓰는오류가발생하게된다. [ 그림 2-10] Integer underflow 발생 공격 NTLM RPC 메시지를받은대상 (target) 시스템은다음과같이 RPCSS 서비스가크래 쉬 (Crash) 되면서시스템을재부팅한다. [ 그림 2-11] RPCSS 서비스가크래쉬 (Crash) 해당취약점공격은별도의사용자인증을필요로하지않기때문에조작된공격패킷을전 달하는것만으로쉽게시스템서비스거부공격을성공할수있다. GOM 플레이어원격코드실행취약점 GOM 플레이어는국내에서가장대중적으로애용되고있는멀티미디어플레이어이다. 이번 GOM 플레이어에서발견된취약점은 GOM 웹컨트롤러 (GomWeb3.dll) 의 OpenURL() 메쏘드의첫번째인자인 surl에서버퍼의크키를체크하지않아서, 발생하는스택기반의버퍼오버플로우이다. 해당취약점은웹을통해서악용될수있으며인터넷익스플로러가크래쉬 (Crash) 되거나공격자가원하는코드를실행할수있다. Copyright AhnLab Inc,. All Rights Reserved. 25
해당 ActiveX 컨트롤러의정보는다음과같다. GomManager Class InprocServer32 : C:\Program Files\GRETECH\GomPlayer\GomWeb3.dll ProgID : GomWebCtrl.GomManager.1 CLSID : {DC07C721-79E0-4BD4-A89F-C90871946A31} OpenURL() 메쏘드가호출되면메쏘드에넘겨진 URL 문자열은 /gm_embedding 문자열과재조합된다. 이를처리하기위해서함수내에서아래와같이로컬스택에 0x208(520) 바이트공간을확보한다. 차례로확보된로컬스택에 kernel32.lstrcata 함수를호출하여 gm_embedding 과전달된 URL을복사하게된다. [ 그림 2-12] 곰플레이어취약점발생 그러나, 이때사용자입력으로전달된 URL 의길이가 gm_embedding (14) 문자열을제외 하고 506 바이트이상인경우, 함수내에서는길이에대한유효성검사를전혀수행하지않 기때문에본래의로컬스택공간 (520) 을초과하여덮어쓰는버퍼오버플로우가발생한다. Copyright AhnLab Inc,. All Rights Reserved. 26
[ 그림 2-13] 곰플레이어취약점의오버플로우발생상태 이과정에서본래의함수 RET 번지 (Return Address) 가 Overwrite 되며, 만약공격자가원하 는코드번지로점프하도록적절하게 RET 번지를조작한다면다음의리턴코드를수행하는 과정에서공격자의코드가실행된다. [ 그림 2-14] 곰플레이어취약점의 RET 번지의조작 GOM 플레이어는이미코드실행이가능한공격코드가공개되었으며, 국내에많은사용자들 이존재하기때문에공격확산의가능성이매우높다. 따라서, 제품업데이트기능을통해서 벤더가제공하는가장최신버전 (2.1.8.3680) 으로반드시업그레이드하여사용하도록한다. [ 그림 2-15] 취약점이해소된곰플레이어등록정보 Copyright AhnLab Inc,. All Rights Reserved. 27
MS URL 핸들링취약점 지난 10월초마이크로소프트사는 Windows Server 2003과 Windows XP 상의인터넷익스플로러 7 버전에대한보안권고문 (Security Advisory 943521) 1 을발표하였다. 해당권고문은다수의사람들에게는 PDF 제로데이취약점 으로더많이알려진 URL 핸들링코드실행취약점에대한권고사항을담고있다. Windows Shell 은 http, ftp, mailto 와같은 URL 프로토콜핸들러 (Handler) 를사전에 등록하고, 사용자가링크를클릭할때해당애플리케이션을통해자동으로수행되도록지원 한다. 그러나, % 문자를포함하는 URI의경우등록된애플리케이션을실행하지않고, URI를경로로삼아새로운프로세스를실행한다. 따라서, 다음과같이임의의명령을포함하는 URI를웹페이지에삽입한다면, 이를클릭하는사용자들은시스템에서자연스럽게계산기프로그램을수행하게된다. mailto:test%../../../../windows/system32/calc.exe".cmd 해당취약점은 Adobe Acrobat Reader(PDF) 뿐만아니라 Firefox, Outlook Express와같이스크립트를수행할수있는많은다른애플리케이션을통해서도이용될수있으며, 이미공격에응용된 PDF 파일형태의다운로더악성코드가신고접수되었다. 좀더상세한내용은컬럼을통해서알아보자. DDoS 공격을통한서비스거부공격 "OO시까지 OO원을입금하라. 그렇지않으면..." 마치영화속유괴범의금품요구대사같지만이제이러한돈을목적으로하는범죄는비단현실만의얘기가아닌온라인상에서도자행되고있다. 9월말아이템베이, 아이템매니아, 아이템플포와같은온라인게임아이템거래사이트가동시에접속불능이되는사태가일어났다. 해당사들은접속과다로인한통신장애라고사유를급히밝혔지만, 실상그뒤에돈을요구하는 UDP Flooding DDoS 공격으로인한장애였던것으로밝혀졌다. 1 http://www.microsoft.com/technet/security/advisory/943521.mspx Copyright AhnLab Inc,. All Rights Reserved. 28
UDP Flooding은다양한 DoS(Denial of Service) 공격의일종으로대량의 UDP 패킷을이용하여대상호스트의네트워크자원을소모함으로써정상적인서비스를중단시키는공격을말한다. DDoS 공격은일부취약한호스트를해킹하여 ' 좀비 ' 시스템으로만들고, 이를통해서대량의트래픽을발생시킨다. 이번공격에서도최대 17G 정도의엄청난양의트래픽이발생되었고, 일반적인장비로는이를막아낸다는것이불가능하다. 이번사건뿐만아니라 DDoS 공격은성인, 도박, 화상채팅사이트등음성적인서비스를제공하는업체를대상으로빈번하게자행되고있으나, 신고를통해사건을조치하기보다는원하는요구를그대로들어주고있는실정이다. 현재 DDoS 공격패킷은정상적인트래픽패킷과구별하는것이쉽지않지만대응책으로는 Source Tracking, Packer Per Rate 설정, Syn Cookie/Proxy, Load Balancing, QoS 등의방법을이용하여, 어느정도방어가가능하다. 그러나, 이러한경우에도, 트래픽이엄청날경우해당 ISP 와더불어서조치를취하는것이효과적인방법이다. 따라서, 이미발생한공격을막는것도중요하지만자신의시스템이 DDoS 공격을위한 ' 좀비 ' 시스템으로이용되지않도록각별히주의를기울여야할것이다. Copyright AhnLab Inc,. All Rights Reserved. 29
III. ASEC 컬럼 (1) 추억의악성코드 러브레터 러브레터 (Love Letter) 연애편지는생각만해도설레는단어이다. 그런데, 이달콤한말이악성코드역사에도한획을그었다. 한국시간으로 2000년 5월 4일오후부터 I love you 라는제목의메일이메일함에쌓이기시작했다. 많은사용자들은 당신을사랑합니다 에호기심을느끼고메일을열어보고첨부된 LOVE-LETTER-FOR-YOU.TXT.vbs 파일을별생각없이클릭했다. [ 그림 3-1] 러브레터바이러스메일 ( 출처 : http://www.f-secure.com/v-descs/love.shtml) 첨부파일의정체는러브레터바이러스 (VBS/Love_Letter virus, 일명러브, 러브버그 ) 1 로필리핀의오넬드구즈만 (Onel de Guzman) 에의해제작되었으며메일을통해삽시간에전세계로퍼졌고다양한변종이양산되었다. 러브레터의성공적확산에이후 VB 스크립트로작성된수많은유사웜이발견되었다. 1 http://kr.ahnlab.com/info/smart2u/virus_detail_708.html Copyright AhnLab Inc,. All Rights Reserved. 30
[ 그림 3-2] 러브레터바이러스를제작한오넬드구즈만 러브레터바이러스의교훈은크게다음과같다. 첫째, 사용자에대한교육필요 : 1999 년부터본격적으로메일로전파되는악성코드 가유행하면서사용자에게플로피디스크나인터넷에서다운로드받는파일뿐아 니라메일에첨부된실행파일도주의해야함이강조되었지만악성코드가등장한지 20 여년이지났어도컴퓨터사용에익숙하지않거나보안에관심없는사용자에게 는어려운일이다. 둘째, 메일서버제품의필요성 : 컴퓨터를잘모르고보안에관심없는사용자가많 으므로사용자교육에는한계가있다. 메일로퍼지는악성코드는메일서버를통해 전달되므로메일서버에보안프로그램이설치되어있으면내부사용자뿐아니라 외부로악성코드가퍼지는걸예방할수있어메일서버용제품의중요성이강조되 었다. 셋째, 업체간협력체계강화 : 2000 년 4 월메일로전파되는악성코드가증가하면서 안티바이러스업체간샘플공유목적으로와일드리스트 (WildList Organization) 는 영국소포스 (Sophos) 사지원으로 REVS(Rapid Exchange of Virus Samples) 시스템 이구축되었는데러브레터바이러스는업체간협력의필요성을더욱느끼게했으며 이후미국맥아피 (McAfee) 사주도의 AVED(AntiVirus Emergency Discussion Network, http://www.aved.net/) 가만들어지면서긴급샘플의공유와정보교류가 이뤄진다. 이들시스템을통해긴급을요하는샘플에대한업체간협력이있었지만 2005 년이후악성코드의급격한증가, 악성샘플활동의단기화및지역화로성격이 바뀌고유명안티바이러스업체끼리긴급샘플공유체계가강화되면서 AVED 활 동은많이축소되었다. 넷째, 서비스로의안티바이러스업계 : 1999 년 3 월발생한멜리사바이러스 (W97M/Melissa virus) 로안티바이러스시장은제품중심에서서비스의중요성이 서서히대두되었다. 하지만, 러브레터가발생할때한국시간은 2000 년 5 월 4 일늦 은오후였고같은시간유럽과대부분의미국업무시간이종료되었을때였다. 미국 시간으로밤사이사용자들의메일함에는이미러브레터웜이쌓여있었고아침에 Copyright AhnLab Inc,. All Rights Reserved. 31
컴퓨터를켜고메일을확인하면서감염되기시작했다. 감염된사용자와언론을통해알게된많은사용자들이안티바이러스업체의홈페이지접속과전화문의가집중되면서홈페이지접속에원활하기않았고전화통화도불통되었다. 게다가많은사용자들의시그니처업데이트시도로평소보다업데이트시간도오래걸렸으며이마저도아직러브레터바이러스를진단하지못하는경우도있었다. 빠른악성코드진단 / 치료와정보제공뿐아니라사용자부하에도이겨내야하는안티바이러스업계는서비스면에서완패였고서비스강화방안을마련하게되었다. 다섯째, 보안을생각한프로그램설계 : 멜리사바이러스 (W97M/Melissa virus), 러브레터바이러스가유행하면서사람들은보안을생각하지않고제품을만든마이크로소프트사에비난의화살을돌렸다. 이에마이크로소프트사는아웃룩에실행파일과스크립트파일을첨부시키지못하고스크립트로아웃룩을통한메일발송을제한하는오피스보안패치를배포했다. 1 공개된보안패치는아웃룩으로도착한메일에첨부된파일의확장자가실행파일 (EXE, VBS 등 ) 인경우, 외부프로그램에서아웃룩주소록검색, 아웃룩을통한메일발송할때등 의수상한상황에사용자에게경고창을띄우게했다. [ 그림 3-3] VBS 파일을열었을때발생하는경고 1 http://office.microsoft.com/ko-kr/outlook/ha010550011042.aspx Copyright AhnLab Inc,. All Rights Reserved. 32
[ 그림 3-4] 아웃룩주소록접근하는경우발생하는경고 [ 그림 3-5] 아웃룩으로메일발송을시도할경우발생하는경고 2001년중반이후 VBS 등의확장자는아웃룩으로메일발송을제한하는새로운오피스제품의보급으로 VB 스크립트를이용한웜이나바이러스는감소하고대신초기에써캠웜 (Win32/Sircam.worm), 님다웜 (Win32/Nimda.worm) 와같은윈도우실행파일웜이다시증가하게되었다. 러브레터바이러스는안티바이러스업계에는제품에서서비스로의변화와마이크로소프트사에는보안에대한생각을다시하게하였다. 2000년 5월러브레터바이러스가발생한지 7 년이훌쩍지났지만악성코드는여전히우리는괴롭히고있다. 악성코드를실행하기위해아이러브유로유혹하는메일이아니라보안패치에조금이라고소홀하면인터넷에연결해서컴퓨터를켜두는것만으로인터넷웹서핑을하는것만으로감염되는시대가온것이다. Copyright AhnLab Inc,. All Rights Reserved. 33
(2) MS07-055 055 Kodak 이미지뷰어원격코드실행취약점 취약점개요 마이크로소프트 10월보안패치에서어플리케이션취약점중에 MS07-055 Kodak 이미지뷰어에대한보안패치가있었다. 코닥이미지뷰어에서이용하는 oieng400.dll에서특수하게조작된 TIF/TIFF 이미지를처리하는방식에 Memory Corruption이발생하여, 원격코드실행취약점이존재한다. Kodak 이미지뷰어는 Windows 2000에서는기본뷰어로설정되어있고, Explorer 에서 TIF/TIFF 파일을열게되면 Kodak 이미지뷰어가실행된다. 그러나, 3 rd Party 이미지관련프로그램을설치하였을경우에는 Kodak 이미지뷰어가자동으로실행되지는않는다. MS07-055 Kodak 이미지뷰어취약점을이용한공격자는Internet Explorer를통해이취약점을악용하도록조작된웹사이트를호스팅한다음사용자가이웹사이트를보도록유도하거나, 메일또는메신저를이용하여해당파일을전송하는방식으로공격을시도할수있다. 단두경우모두사용자의개입이필요하다. 영향을받는 OS 플랫폼은아래와같다. Microsoft Windows 2000 서비스팩 4 Windows XP 서비스팩 2 Windows Server 2003 서비스팩 1 및 Window Server 2003 서비스팩2 이중에서, 문제가되는것은 Windows 2000 이지만, Windows 2000 에서 XP 또는 2003 서 버로업그레이드한경우에도문제가발생할수있다. TIF/TIFF 파일 Tagged Image File Format(TIFF) 은이미지저장을위해서사용되는포맷으로, 포토그래프 와라인아트를포함한다. 현재는해당파일의소유권은 Adobe 에서가지고있다. TIFF 는스캐닝이미지를포함하여응용프로그램간에래스터이미지를주고받는보편적인 형식이다. TIFF 파일은대개파일이름확장자에 ".tiff" 또는 ".tif" 가붙어있으므로, 쉽게구 분할수있다. TIFF 형식은 1986 년에 Aldus Corporation( 지금은 ' 어도비소프트웨어 ' 로이 름이바뀌었다 ) 이의장을맡고있는산업계의한위원회에의해개발되었다. 마이크로소프트 나휴렛패커드도이형식을개발하는데공헌한회사들이다. 가장보편적인그래픽이미지형 식중의하나로서, TIFF 파일은탁상출판, 팩스, 3 차원응용프로그램및의료이미지업무 등에널리사용된다.(terms.co.kr) Copyright AhnLab Inc,. All Rights Reserved. 34
TIFF 파일들은그레이스케일, 컬러팔레트또는 RGB 컬러등의몇가지등급으로나뉘며, JPEG 이나 LZW 또는 CCITT 그룹 4 표준등의압축파일들을포함할수있다. TIF/TIFF 파일포맷의이해 TIFF 파일의최대크기값은 2^32 bytes 만큼가질수있는데, 먼저헤더는아래와같다. 헤더 8bytes 0-1( 시그너쳐바이트 ): II (4949H) little Endian MM(4D4DH) Big Endian 2-3 추가적인 TIFF Identify 인식시그너쳐바이트에의존 (2A) 4-7 처음 Image File Directory(IFD) 의오프셋 [ 그림 3-6] TIFF 기본구조 Copyright AhnLab Inc,. All Rights Reserved. 35
Image File Directory(IFD) 의이해 IFD 는 TIFF 파일내부의이미지의정보를가지고있는데이터구조이다. TIFF 파일내부에이미지의수만큼 IFD 를가질수있으며, IFD 는 2byte(16bit) 의디렉토리엔트리의수와연관되어있다. TIFF 파일에는최소한한개의 IFD가포함되어야하며, 각각의 IFD는최소한한개의 Entry를가지고있어야한다. IFD Entry 12bytes 로구성되어져있다. 0-1 : Tag identifies 필드 2-3 : 필드타입 4-7: 해당타입의데이터카운트 8-11: Value Offset 예 ) Compression Tag 의 IFD Entry Tag identifies: 0103 File Type: 0003 (SHORT) Data Count: 00000001 Value Offset: 00000005 일반적으로 IFD Entry 들은아래와같은것들이존재한다. 0x0100 ImageWidth 0x0101 ImageLength 0x0102 BitsPerSample 0x0103 Compression 0x0106 PhotometricInterpretation 0x0111 StripOffsets 0x0115 SamplesPerPixel 0x0116 RowsPerStrip 0x0117 StripByteCounts 0x011a XResolution 0x011b YResolution 0x0128 ResolutionUnit 3 =SHORT 3 =SHORT 3 =SHORT 3 =SHORT 3 =SHORT 4 =LONG 3 =SHORT 3 =SHORT 4 =LONG 5 =RATIONAL 5 =RATIONAL 3 =SHORT MS07-055 Kodak Image Viewer 에서문제가되는것은 IFD Entry 의태그중에 0x0102 BitsPerSample 이다. 아래는정상적인 TIFF 파일의 BitsPerSample 태그이다. Copyright AhnLab Inc,. All Rights Reserved. 36
BitsPerSample Tag는컴포넌트의해당비트수를나타내는태그이며, BitsPerSample Tag 의구조는아래와같다. IFD Image Code 258 (hex 0x0102) Name BitsPerSample Type SHORT Count N = SamplesPerPixel Default 1 MS07-055 Kodak Image Viewer 원격코드실행취약점에서문제가되는것은 TIFF 파일 의 BitsPerSample Tag 의데이터카운트값 (4-7bytes) 이다. [ 그림 3-7] BitsPerSample Tag 의데이터카운트값이 FF 로조작된그림 Kodak Image Viewer 에서조작된 TIFF 파일이로딩되면아래와같은 Exception 이발생 하게된다. Copyright AhnLab Inc,. All Rights Reserved. 37
정적분석 oieng400.dll 에는 TIFF 파일의내용을읽는부분이존재하는데, 문제가되는코드는아래의코드이다. 기본적으로 IFD Entry 의데이터카운트는 eax 레지스터에저장되면, 이것은다시 esi 에 2배로저장되어, _read() 으로해당파일에내용을버퍼크기만큼읽게된다. 이과정에서크키에해당하는 length 길이값 (esi = data count) 을체크하지않아서, Memory Corruption이발생하게된다. [ 그림 3-8] oieng400.dll 에서 Memory Corruption 발생 _read() function Int _read(int handle, void *buf, unsigned len); Handle : 해당파일포인트 Buf : 읽을데이터버퍼 Len : 버퍼크기 Copyright AhnLab Inc,. All Rights Reserved. 38
이것을가상코드로생각해보면다음과같다. Eax = IFD Entry data count Esi = eax * 2 If (esi!=0) _read([edi], [ebp+arg_14], esi) 동적코드분석 아래그림을보면, IFD Entry 의 Data Count 필드부분이 EAX 에저장되는것을알수가있 다. 또한해당코드는 ESI 에두배의값으로저장된다. 또한 EAX 에저장된 00000061 값은 조작되어있는것을볼수있다. [ 그림 3-9] IFD Entry Data Count 계산 Copyright AhnLab Inc,. All Rights Reserved. 39
[ 그림 3-10] 비정상적인 EAX 값 조작된 EAX 값으로인하여, ECX 값이 00000000 이됨으로 Memory Corruption 이발생 하게된다. 이후비정상적인값들도인하여, 스택의상태는아래와같다. 결론 MS07-055 Kodak 이미지뷰어취약점은조작된 TIF/TIFF 파일을읽는과정에서문제가 생기는것으로, 이러한파일을이용한취약점은오피스취약점과유사하다고할수있다. 사용자는출처가불분명한 TIF/TIFF 파일을다운로드하거나, 메일로온경우에는열지말아 야한다. 또한이취약점을예방하기위해서는보안패치가필수이며, 더불어서 Anti-Virus 제품이나, 개인방화벽등을이용할수도있다. Copyright AhnLab Inc,. All Rights Reserved. 40
(3) 마이크로소프트 Internet Explorer 7 URL 핸들링취약점 2007년 10월, 마이크로소프트 Internet Explorer 7의 URI 처리관련메커니즘의취약점을이용한 PDF 파일이공개되었다. PC 사용자가해당스크립트가삽입된 PDF 파일을 Acrobat Reader를사용하여열면, 공격자가삽입한스크립트코드가실행되어사용자의권한으로임의의코드가실행된다. 이 PDF 파일을이용한코드실행은 Adobe사의제품에만가능하며또다른 PDF 관련프로그램인 Foxit software사의 foxit reader에서는불가능하다. 현재 Adobe사는이문제점을해결한패치를발표한상태이다. [ 그림 3-11] 은스크립트가삽입된 PDF 파일의바이너리데이터를나타낸것이다. 해당스크립트가텍스트형태로삽입되어있는것을관찰할수있다. [ 그림 3-11] 공격코드가삽입된 PDF 파일의일부 취약점개요 사용자가 Windows 운영체제의탐색기 (explorer) 에서그림파일을더블클릭하면그그림파일을보거나편집할수있도록해당그림파일형식과연결된프로그램이실행된다. 이것은 Windows 운영체제가제공하는기능으로, Windows운영체제는파일형식뿐아니라 mailto 와같은 URI와관련된링크를처리할수있는 URI 처리기능을제공한다. 예를들어, mailto: 같은링크를사용자가더블클릭하면 windows운영체제는해당링크를사용하여 Internet Explorer를실행하거나, 등록된이메일클라이언트를실행한다. 이때해당링크에특수하게조작된문자가삽입이되면 windows 운영체제는해당링크와관련된연결프로그램을찾는데실패하고사용자가선택한링크를사용하여새로운프로세스를생성한다. 만약링크가사용자 PC내에있는프로그램의위치를나타낸다면해당프로그램이실행된다. 취약점분석 해당취약점은 Windows 운영체제의 ShellExcute 함수에존재한다. ShellExcute 함수는 shell32.dll 파일이제공하는함수로특정한 URI 을처리할때, Windows 운영체제는 ShellExecute 함수를호출하여해당 URI 를처리한다 ShellExcute 함수는운영체제가넘겨준 Copyright AhnLab Inc,. All Rights Reserved. 41
URI 문자열을분석 (parsing) 하여프로토콜과확장자를추출하여처리한다. ShellExecute 함 수가해당 URI 를처리하는과정은아래와같다. 1. URI 문자열에서프로토콜과파일확장자를추출한다. 2. 추출한프로토콜이나확장자와관련된프로그램을레지스트리에서살펴보고 추출한프로그램이나파일확장자와관련된프로그램을실행한다. 만약 URI가 http://www.ahnlab.com 과같은문자열일경우 ShellExecute함수는해당 URI를 http:// 와 www.ahnlab.com 문자열로분해한다. 프로토콜이 http:// 이므로 ShellExecute 함수는 HKEY_CLASSES_ROOT\http\shell\open 레지스트리를조사한후연결프로그램을실행한다. [ 그림 3-12] 는어떤 PC의레지스트리의내용중 http 와관련된내용을표시한것이다. HKEY_CLASSES_ROOT\http\shell\open 에연결프로그램으로 firefox.exe가등록되어있으며관련 firefox.exe의위치및 %1 과같은인자도표시되어있다. [ 그림 3-12] HKEY_CLASSES_ROOT\http\shell\open 레지스트리 마찬가지로 URI 가 abc.htm 같은문자열일경우 ShellExecute 함수는해당 URI 문자열을 abc 와.htm 으로분리한후,.htm 을파일의확장자로간주하여레지스트리 HKEY_CLASSES_ROOT\.htm의내용을살펴보고해당레지스트리의내용을참조하여 HKEY_CLASSES_ROOT\htmlfile\shell\open 레지스트리에기록된연결프로그램을실행한다. [ 그림 3-134] 와 [ 그림 3-14] 는각각 HKEY_CLASSES_ROOT\.htm 레지스트리와 HKEY_CLASSES_ROOT\htmlfile\shell\open를나타낸것이다. [ 그림 3-13]. HKEY_CLASSES_ROOT\.htm 레지스트리 Copyright AhnLab Inc,. All Rights Reserved. 42
[ 그림 3-14]. HKEY_CLASSES_ROOT\htmlfile\shell\open 레지스트리 일반적으로, Windows 운영체제가처리할수있는 URI 의프로토콜종류는 mailto, news, nntp, snews, telnet, http 등이있으며 www 와 ftp 같은문자열 도 HTTP 프로토콜과 FTP 프로토콜과연결하여처리한다. 앞서의과정을요약하면, 먼저 ShellExecute 함수는 URI 문자열을프로토콜과파일확장자로나눈후프로토콜이나파일확장자에맞는프로그램을실행한다. ShellExecute 함수는먼저 URI 문자열에서해당프로토콜문자열이존재하는지확인한후, 프로토콜에해당하는문자열이존재하지않으면해당 URI 문자열을파일이름으로해석하여파일확장자와관련된프로그램을실행한다. 따라서만약 % 등과같은문자가삽입된 URI가 ShellExecute 함수로넘겨질경우 Shell Exucte 함수는 URI 문자열을파일이름으로해석하여확장자와관련된프로그램을실행한다. blahblah%/calc.exe.cmd 와같은조작된 URI를 ShellExecute함수가처리하는과정은아래와같다. 1. 조작된 URI 에서프로토콜을확인한다. URI 에는 blahblah% 와같은문자열이포함되어있으므로 ShellExecute 함수는해당 URI 문자열에서프로토콜이름을얻어내는데실패한다. 2. ShellExecute 함수는 URI 문자열을파일이름으로간주하여파일확장자를추출한다. URI 문자열의끝에는.cmd 가존재하므로 ShellExecute 함수는파일확장자를.cmd 로간주한다. 3. HKEY_CLASSES_ROOT\.cmd 레지스트리를읽는다 4. CLASSES_ROOT\cmdfile\shell\open\command 레지스트리를읽는다. 이때아규먼트치환에사용되는문자열을 %1 %* 이다. [ 그림 5] 5. %1 을 URI 로치환한다. 따라서최종아규먼트는 blahblah%/calc.exe.cmd ; %* 가된다. 6. 치환된문자열을파라미터로사용하여 CreateProcess 함수를호출한다. 7. calc.exe( 계산기프로그램 ) 이실행된다. CreateProcess 함수는프로세스를실행할때사용하는함수로, 함수원형은아래와같다. Copyright AhnLab Inc,. All Rights Reserved. 43
BOOL WINAPI CreateProcess( in LPCTSTR lpapplicationname, in_out LPTSTR lpcommandline, in LPSECURITY_ATTRIBUTES lpprocessattributes, in LPSECURITY_ATTRIBUTES lpthreadattributes, in BOOL binherithandles, in DWORD dwcreationflags, in LPVOID lpenvironment, in LPCTSTR lpcurrentdirectory, in LPSTARTUPINFO lpstartupinfo, out LPPROCESS_INFORMATION lpprocessinformation ); 위의 6 번과정에서치환된문자열은 CreateProcess 함수의두번째인자인 lpcommandline 에대입되고 CreateProcess 함수는 blahblah%/calc.exe 와같은문자열 중 blahblah% 와같은무시하므로남은부분인 calc.exe 가실행된다. 해당취약점은새로운 URI 처리기를사용하는Internet Explorer(IE) 7이설치된 (http://blogs.msdn.com/ie/archive/2005/08/15/452006.aspx 참조 ) 시스템에서만영향을미치며, IE 6가설치된시스템에서는 blahblah% 와같은문자열을올바른프로토콜로해석하므로영향을주지않는다. [ 그림 3-15] 는공격코드가삽입된 PDF 파일을 IE 6가설치된시스템에서열었을때의모습이다. IE 6가설치된시스템에서는조작된 URI문자열의프로토콜을올바르게해석하여메일클라이언트프로그램인아웃룩익스프레스가실행되어공격코드가올바르게동작하지않는다. 메일주소에실행타겟프로그램인계산기의파일이름 calc.exe를관찰할수있으며그결과 URI가조작되었음을추론할수있다. Copyright AhnLab Inc,. All Rights Reserved. 44
[ 그림 3-15] IE 6 가설치된시스템에서공격코드가실행된모습 결론 이번취약점에이용된 PDF 파일은가장널리사용되고있으며, 이취약점을이용한악성코 드또한존재함으로주의가필요하다. Acrobat 사의제품을사용하는사용자는해당제품의 패치를반드시해야하며출처가불분명한 PDF 파일은다운로드하거나열지말아야한다. 이취약점은 PDF 파일형식의문제가아니라운영체제의문제이므로, 글을작성하는시점에는마이크로소프트의패치가나오지않았으나, 패치가발표되면, 반드시적용해야한다. 또한공격코드가실행되는최악의경우에대비하기위해서 Anti-Virus 제품을반드시설치하도록한다. Copyright AhnLab Inc,. All Rights Reserved. 45