Ⅰ. 이달의보안이슈 1. 악성코드 - Alureon 트로이목마 Win-Trojan/Alureon 트로이목마는이전부터알려진트로이목마로주로악의적인 DNS로변경하는악의적인기능을가지고있다. 이와함께생성되는 DLL 을통하여자신의변형이나안티바이러스종료그리고특정호스트로 DDOS 공격을수행하는트로이목마이다. 해당트로이목마는 9 월초국내일부고객들로부터발견, 보고되었으며치료가매우까다로운편에속하는악성코드이다 Alureon 트로이목마의감염경로는명확히밝혀지지않았지만인터넷익 스플로러의취약점또는 MS08-067 취약점을이용하는다른악성코드 로부터다운로드된것으로추정된다. 또한이러한악성코드는 USB 형태의이동식디스크로자신을복제하는기능이있어알려진윈도우및 IE 취약점이해결된시스템에서도발견되고있다. Alureon 트로이목마는치료하기매우복잡한형태의악성코드로다음의 Native 함수를후킹한다. 이렇게하여 I/O Request Packet (IRP) 처리시가장우선권을갖도록하는데일부안티루트킷프로그램의진단기능을우회하는데사용된다. - IofCallDriver - IofCompleteRequest 그리고후킹된함수가무력화되지않게하기위해서자신의드라이버에서커널모드쓰레드를만들어재후킹하도록해둔다. 따라서악성코드를진단하기위해서는커널모드쓰레드를종료해야하는데기술적으로난이도가높으며일부시스템에서는종료시예기치못한오류가발생할수도있다. 은폐기법도사용되어있어커널모드쓰레드를종료하고은폐기법무력화를통해서만파일을진단및제거할수가있다. [ 그림 1-1] Alureon 트로이목마의 DDOS 관련문자열 2. 스파이웨어 - 정상프로그램으로가장한국산애드웨어정상프로그램으로가장한국산애드웨어 보안에가장취약한것은사람이다. 최근에사회적으로이슈가되고있는보이스피싱과유혹적인메일제목으로악성코드를유포하는등의위협들은모두사람이라는취약점을이용한것이라고볼수있다. 이렇듯악성코드를유포할때사회공학적기법을이용하는것뿐만이아니라악성코드가사용자 PC에설치된후사용자또는안티-바이러스에의한진단을회피하기위해사회공학적기법을사용해온것이어제오늘의일은아니다. 그러나최근에는국내악성코드제작자들도이러한사회공학적기법을보다과감하게사용하고있었다. 또한악성코드는자신이생성한 DLL 파일 2개를실행중인프로세스에인젝션하여자신의변형을다운로드하거나특정웹사이트접속시사용자계정정보와같은데이터를훔쳐암호화하여로컬드라이브에저장하기도한다. 그리고 DDOS 에이전트역할도수행할수있도록되어있는데발견당시에는특정온라인도박사이트를공격하도록설정되어있었다. 다음은바이너리에포함된관련문자열이다. [ 그림 1-2] 정상프로그램으로가장하는스파이웨어 세상에서가장안전한이름안철수연구소 01
해당스파이웨어 (Win-Downloader/KorAdware.236544) 는국산애드웨어를다운로드하는프로그램으로해당프로그램을실행하면적절한사용자동의절차없이윈도우시작프로그램으로등록되어재부팅시지정된 URL에접속하여다른프로그램을다운로드받은후실행한다. 위그림에서보는것과같이해당스파이웨어는유명 IT업체의프로그램이설치되는기본폴더에설치되며프로그램의아이콘모양과파일명이유명 IT업체의프로그램으로위장되어있어일반사용자들은별다른의심없이해당프로그램을보아넘겼을것이고악성코드제작자는바로이러한점을노렸던것이다. DNS의라운드로빈 (round-robin) 기능을악용한악성코드다운로드최근악성코드가실행될때마다서로다른프로그램들을다운로드하는스파이웨어 (Win-Downloader/ColorSoft.434176) 를발견했다. 이와같은증상만으로는특이할것이없지만, 해당악성코드가접속하는서버의 URL이동일했고접속한서버에서다운로드 URL을알려주는방식이아니었는데도매번서로다른프로그램을다운로드한다는것이특이했다. 이를좀더분석해본결과이러한동작이가능했던이유는 DNS의라운드로빈기능을악용한것이었다. 라운드로빈기능을제공하는도메인네임서비스 (DNS) 는하나의도메인주소에하나이상의 IP를등록하게되면 DNS 서버는라운드로빈방식 (RFC 1794 참고 ) 으로해당하는 IP 주소를순서대로나열하여응답하게된다. 이때사용되는라운드로빈방식은아래그림에서보는것과같이등록된 IP를순차적으로제공하게되는데이러한기능을악용해악성코드제작자들은봇넷서버를감추기위한목적으로도사용했었다. 서버와악의적인서비스를제공하는서버들의 IP들이등록되어있었고, 특정프로그램에의해지정된도메인에접속할경우 DNS의라운드로빈기능으로접속할때마다서로다른서버의 IP를부여받게된것이다. 결국, 사용자들이선택한정상적인서비스를제공하는프로그램에의해서도악성코드가감염될수있었던것이다. 3. 시큐리티 - 금융권트로이목마 Clampi 금융권트로이목마 - Clampi 미국라스베가스에서진행된블랙햇 (Blackhat) 보안컨퍼런스에서 SecureWorks 연구원에의해온라인뱅킹과웹사이트접속을위한사용자계정과암호를유출하는대규모의악성코드감염형태를발견하였다는보고가있었다. 이번시큐어윅스의발표에따르면발견된악성코드는온라인뱅킹과웹사이트사용자계정등의정보를외부로유출하며, 약 4600대의시스템에서감염된것으로추정했다. 이에사용된트로이목마는 Clampi라고불리며, 또는 Ligats, Ilomo라고불리우기도한다. 해당트로이목마의감염경로는윈도우즈기반의인터넷익스플로러및파이어폭스와같은웹브라우저의취약점을통해악의적인웹사이트에서유포된것으로파악하고있으며, 동유럽에위치한시스템으로탈취한정보를전송한다. [ 그림 1-4] Clampi 동작화면 이악성코드는 70 여개의국가, 1400 여개웹사이트에서 4500 여개이 상의악성코드가발견되었으며, 이는은행, 신용카드회사, 온라인카지 노, 소매사이트, 유틸리티, 광고네트워크, 주식중개, 모기지대출, 정부 [ 그림1-3] 하나의도메인에등록된 IP들그러나이번에발견된국내스파이웨어는악의적인행동을감추기위해사용한것으로판단된다. 스파이웨어가접속하는하나의도메인에정상적인서비스를하고있는 및군사포털등다양한사이트들이포함됐다. 이러한웹사이트를통해악성코드를배포하는형태는새로운형태는아니다. 이배포형태를살펴보면, ActiveX 취약점이나브라우저취약점또는특정어플리케이션의취약점을이용한공격코드를해킹한웹사이트에올려놓고, 악성코드가삽입되어있는사이트를접속할때사용자자신도알지못한채, 악성코드에감염되게된다. 02 ASEC Report _ 2009. Vol.9
악성코드에감염되게되면악성코드는정상적은 iexplorer.exe를실행하게되며, iexplorer을실행할때인자값으로공격코드를삽입하여, 방화벽을우회한다. 또한이러한 Clampi C&C 는모든외부인터넷과의통신을위해서버를오픈하며레지스터를암호화된데이터를등록하게된다. 이렇게등록된암호화된문자열은메모리에서복호화된데이터를찾을수있지만 VMProtect로인해분석을힘들게하였다. 그리고 Clampi 는안티바이러스엔진을회피하기위해디스크에실제파일을쓰지않고, 직접적으로레지스터에암호화된형태로저장하게된다. 그리고아래와같은함수를후킹하여정보를가로챈다 (SSL 포함 ) - HttpSendRequestA - HttpSendRequestW - InternetQueryDataAvailable - InternetReadFile - InternetReadFileExA 국내상황을보면, 금융권의접속은키로거방지를위해키보드보안프로그램이동작하도록되어있으며, 공인인증서및보안카드등을사용함으로, 외국보다는좀더안전한상황이긴하지만, 보안이되지않는사이트의경우는위험하므로그에충분히대비해야한다. 이러한공격에의한보안방법은윈도우즈업데이트및사용하는어플리케이션을주기적으로업데이트하여, 취약점에노출되는걸최대한으로줄이고, 알려지지않은취약점에대해서는미리차단할수있는사이트가드등을사용하여사전차단해야한다. Win32/Palevo.worm 을통한트래픽유발 2009년 9월 21일부터국내이슈가되기시작한 Win32/Palevo.worm 은다수트래픽을유발하여, 많은피해를주고있는상황이다. 해당악성코드는특정유해사이트와 UDP/5907 포트로 7바이트패킷을전송후 ( 사이트의 response가있는경우 ), 다량의네트워크트래픽을유발 (UDP Flooding 및 TCP/80 Flooding) 하는특징을갖고있다. 전송되는패킷이정형화되지않은형태로전송이되며, 변종이많이발생하고있어, 피해가더욱커지고있는실정이다. * Name: butterfly.sixxx.es, Address: 87.xxx.179.75 * Name: qwertasdfg.sxxxp.es, Address: 74.xxx.162.142 * Name: bfisback.xxxx.org, Address: 0.xxx.0.0 [ 접속 PORT] 5904/UDP, 5906/UDP, 5907/UDP 80/TCP ( 변종으로인해주기적변경 ) [File] 시스템루트 \RECYCLER\s-1-5-21-[ 숫자 ] 에 sysdate.exe, Desktop.ini 파일생성. [Registry] HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Taskman C:\RECYCLER\S-1-5-21-[ 숫자 ]\sysdate.exe HKEY_USERS\S-1-5-21-[ 숫자 ]\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogonshell explorer.exe,c:\recycler\s-1-5-21-[ 숫자 ]\sysdate.exe 이러한악성코드를차단하기위해서는, 백신프로그램을최신업데이트버전을유지하는것이좋으며, 혹시악성코드에감염되어인터넷이안될경우에는또는그럴상황이되지않을경우에는아래와같이임시조치를하면된다. 1. Ice Sword를이용하여 RECYCLER\s-1-5-21-[ 숫자 ] 경로로이동. 2. sysdate.exe 파일을찾아선택후마우스오른클릭을하여 [force delete] 를선택하여삭제 3. [ 시작 ]-[ 실행 ] 으로이동을하여 [regedit] 입력후 [ 확인 ] 4. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 해당경로에있는 Taskman 이란키값을찾아선택후마우스오른클릭후삭제 [ 그림1-5] Syn Flooding Attack 이악성코드가주요특징은다음과같다. [ 접속 URL] * Name: butterfly.bixxxey.biz, Address: 62.xxx.52.191 4. 네트워크모니터링현황 지난 2009년 2분기까지지속적증가추세를보이던컨피커 (Conficker) 웜의피해규모도 3분기를맞이하면점차축소되는모습을보이고있다. 아래 [ 그림1-6] 상위 TOP 5 주요이벤트탐지그래프상에서도컨피커 (Conficker) 웜에서전파방법으로사용되는 MS08-067 MS Windows 세상에서가장안전한이름안철수연구소 03
NETAPI Stack Overflow 취약점이벤트가그최상위자리를내어주게되었다. 최근에는웹과애플리케이션관련공격의높은관심으로탐지이벤트항목에서도 MS 관련취약점에서주목할만한변화는없는것으로판단된다. [ 그림 1-8] 국가별공격발생지현황 5. 중국보안이슈 [ 그림1-6] 상위 TOP 5 주요탐지이벤트이번에는 [ 그림1-7] 그래프를통해포트별트래픽상황을살펴보자. 지난분기최상위에링크되어 80% 정도라는압도적분포를보였던윈도우 Netbios와관련 445/tcp 포트상의트래픽은여전히많은트래픽량을보여주고있으나, 그규모가다소축소되었음을확인할수있다. 반면, 80/tcp 포트상의트래픽량이 2배이상증가된점이주목할만하다. 중국 CNCERT 의 8 월웹사이트위변조사고동향보고서발표 중국대륙의보안위협과사고를총괄하는 CNCERT/C ㅊ에서 9 월 22 일, 8 월웹사이트위변조보안사고동향보고서를발표하였다. 최근봇넷을형성하여 80/tcp SYN 공격을수행하는악성코드들의이슈 가다시증가되는움직임을점으로본다면, 해당트래픽의증가에대해서 주의깊게살펴보아야할것같다. [ 그림 1-9] 중국 CNCERT 의 8 월중국내웹사이트위변조사고통계 CNCERT/CC 에서발표한이번보고서에따르면 8 월한달동안중국대 륙, 홍콩모두큰폭으로웹사이트위변조사고가감소하였다고하나대 만만유일하게증가를하였다. [ 그림1-7] 상위 TOP 5 포트별트래픽상황 [ 그림1-8] 그래프를통해국가별공격발생지현황을살펴보면, 변함없이상위 TOP 5에대부분이아시아권국가들이차지하고있다. 하지만, 지난분기까지상위 TOP 5 안에랭크되지않았던중국 (CN) 으로부터의공격트래픽이크게증가되어상위 2를차지한점을주목하여살펴보아야할것같다. 특히중국대륙의경우, 감소의폭이가장크며이번 8월에는총 3589건의웹사이트위변조사고가발생하여지난 7월과비교하여 1498건이감소한수치를보였다. 그외홍콩의경우 8월 34건이발생하여지난 7월과비교하여 14건이감소한수치이나대만의경우에만유일하게증가하여지난 7월과비교하여 243건이증가한 274건이발생하였다고한다. AhnLab TrusGuard 04 ASEC Report _ 2009. Vol.9
II. 이달의통계 1. 악성코드통계 9 월악성코드통계 [ 표 2-2] 2009 9 월악성코드대표진단명 Top 10 [ 표2-1] 2009년 9월악성코드피해 Top 10 지난 6월부터 8월까지 3개월동안악성코드피해 Top 10에서 1위를차지했던 Win-Trojan/Banker.702976.D 가 9월에는 2단계하락하면서 3 위를차지하였다. 보통바이러스의라이프사이클대로라면 Win32/Induc는바이러스이므로 9월악성코드피해 Top 10 순위권에못들것으로예상했지만그예상을뒤집고전월보다피해건수가약 22배정도급격하게증가하면서 1 위를찾지했다. 그원인을찾기위해서 9월한달동안고객들로부터접수된 Win32/Induc관련문의와 V3제품의진단로그들을분석해본결과인터넷을통해서 Active X형태로설치되는툴바유형의프로그램들중에상당수가 Win32/Induc에감염된채로배포되고있었다는것에서원인을찾을수가있었다. 지금까지 ASEC 대응팀에서파악한 Win32/Induc 에감염된채인터넷상으로유포되었던프로그램리스트는 URL(http:// core.ahnlab.com/32) 에서얻을수가있다. ASEC 대응팀에서는지속적인모니터링을통해서 Win32/Induc에감염된프로그램리스트를업데이트할것이다. 9월악성코드피해 Top 10에 Dropper/OnlineGameHack.175285를제외한나머지악성코드들간에연관성이있으며주로기업에서비교적많은감염보고가있었다. 특히 Win-Trojan/Alureon.xxxx, Win-Trojan/ TDSS.xxxx, Win-Trojan/Rootkit.xxxx등은백신의진단회피기법을사용하였기때문에새로운전용백신을개발하여배포했으며 V3에서도예방을위해서해당악성코드들을 Generic하게진단할수있도록 Gen함수를적용하였다. 전월악성코드대표진단명 Top 10에서 1위를차지했던 Win-Trojan/ OnlineGameHack이약 0.3% 감소로 1 단계하락하면서 2위를차지하였으며 Dropper/OnlineGameHack이 115건피해신고가접수되면서 9월의악성코드대표진단명 Top 10에재진입하였다. 이두대표진단명은같은목적을가진악성코드로보면되고피해건수를합치면그어떤악성코드대표진단명보다피해건수에서항상월등히높고특정온라인게임사용자의개인정보유출을목표로한다는점에서여전히사용자들에게위험한악성코드임을알수가있다. 기존바이러스라이프사이클의개념을깨며꾸준하게피해신고가보고되면서전월악성코드대표진단명 Top 10에서는 2위까지차지했던 Win32/Virut이 9월악성코드대표진단명 Top 10에들지못하였다는것인데이현상이일시적인것인지아니면지속될것인지는좀더모니터링할필요가있으며 Win32/Virut을대신하여 Win32/Induc이 9월악성코드대표진단명 Top 10에 4위에신규로진입하였으며이에대한원인은 9월악성코드피해 Top 10 에서언급하였다. Win-Trojan/Downloader 가전월보다약 6.2% 의피해건수가상승하면서 2단계상승으로 9월의악성코드대표진단명 Top 10에서 3위를차지했는데이는 Win-Trojan/Fakeav, Win-Trojan/Bredolab 가신규로진입한것과도연관성이있다. 9월한달동안 Win-Trojan/Downloader로접수되었고 Fakeav, Bredolab과관련된 Downloader를분석해보면해당악성코드의유포경로는 1. 웹해킹된사이트, 2. 스팸메일의첨부파일, 3. USB나이동식 HDD등의저장매체등으로요약할수있다. 그동안사용자들의보안의식이높아지면서스팸메일의첨부파일로유포되는경우그냥삭제하는하면서감염사례가적었지만웹해킹된사이트를통해서유포되는경우에대해서사용자들은거의무방비상태라할수있으며 Win-Trojan/Downloader 가사용하는취약점을살펴보면 ASEC이권장하는 MS IE 필수보안패치 Top 5 에언급된취약취약점들이었다. 세상에서가장안전한이름안철수연구소 05
(http://kr.ahnlab.com/info/securityinfo/ -> 보안권고문에서볼수있다.) [ 그림2-1] 2009년 8/9월악성코드유형별피해신고비율비교 [ 그림 2-1] 에서보면 9월에도전월과동일하게트로이목마 > 웜 > 드롭퍼 > 바이러스 > 스크립트 > 유해가능프로그램 > 기타순으로피해신고가접수되었음을알수있다. 9월악성코드유형별피해신고비율도전월과유사하게특정악성코드유형에서눈에띄게큰폭으로증가했거나감소한현상은없었으며약 10% 이내에서상승이나감소가있었다. 그중에서 Trojan 이전월대비약 10% 정도의피해신고가상승하였는데이원인은 9월악성코드피해 Top 10과 9월악성코드대표진단명 Top 10 에서언급했으며이로인해상대적으로바이러스와웜에서하락한것처럼보여진다. 체 (USB, 외장형 HDD) 나시스템들간에동일한 ID와 Password를사용하는경우등을통해서확산될수있으며감염되면앞에서언급한부작용들이발생할수있다. 그렇다면이런악성코드의감염을최소한으로줄이기위해서는어떻게해야하는가? 가관건일것이다. Microsoft에서는정기적으로보안업데이트를릴리즈하고있으므로 Windows의자동업데이트기능을적극활용하여주기적으로보안업데이트를적용하며가능하다면기업의경우에는 PMS(Patch Management Server) 를도입하는것도좋은방법일것이다. 그리고정책적으로시스템들마다다른비밀번호를사용하도록그리고주기적으로변경하도록해야한다. 요즘뉴스를통해서접할수있는기업기밀유출사고를보면 USB같은이동식저장매체를통한기업기밀유출사례도끊임없이보고되고있고악성코드의확산경로도사용되므로가능하다면정책적으로 USB 같은이동식저장매체는사용을못하도록하는것이좋으며그것이여의치가않다면주기적으로이동식저장매체의안전한사용법에대해서교육을하는것도필요하다. 안철수연구소에서는지속적인모니터링을통해서 Win-Trojan/Alureon. xxxx, Win-Trojan/TDSS.xxxx, Win-Trojan/Rootkit.xxxx같이이슈가되는악성코드들에대한진단강화를위해서꾸준히연구및제품에반영을하고있다. 국내신종 ( 변형 ) 악성코드발견피해통계 9월한달동안접수된신종 ( 변형 ) 악성코드의건수및유형은 [ 표2-3], [ 그림2-3] 과같다. [ 표 2-3] 2009 년최근 3 개월간유형별신종 ( 변형 ) 악성코드발견현황 이번달전체적인악성코드는전월과크게다르지않는수치를보여줬 다. 트로이목마, 드롭퍼, 스크립트, 웜유형에서전월대비상승이있었다. [ 그림 2-2] 월별피해신고건수 [ 그림 2-2] 를보더라도크게달라진것은없으며 9월악성코드피해특징은스팸메일발송, DDoS, FakeAV, 은폐형기법을사용한백신의탐지및치료어려움등으로요약할수있으며이는예전부터꾸준히발생해왔던이슈들인데지금도유행하고있는원인이무엇인지생각해볼필요가있다. 표면적으로는악성코드제작자가금전적인이득을취하기위함인데그내면을살펴보면그렇게하기위해서는가능한많은시스템에악성코드를감염시킬필요성이있을것이고그에따라악성코드들은기존의 OS(Operating System) 에존재하는취약점보다는사용자들이가장많이사용하는응용프로그램 ( 대표적으로 Internet Explorer, PDF, Flash 등 ) 에존재하는취약성들을이용하게된것이다. 또한웹공격에취약한사이트와결합되면서파급효과는배가된다. 이후에는이동식매 [ 그림 2-3] 최근 3 개월간신종및변형악성코드분포 06 ASEC Report _ 2009. Vol.9
온라인게임의사용자계정정보를탈취하는악성코드유형의최근 3 개 월간추세는다음과같다. 전월대비 13% 감소하였다. 운로더다. [ 그림 2-4] 최근 3 개월간온라인게임트로이목마관련추세 2. 스파이웨어통계 9 월스파이웨어피해현황 [ 표2-5] 9월대표진단명에의한스파이웨어피해 Top10 [ 표 2-5] 은변형을고려하지않은대표진단명을기준으로한피해건수이다. 외산가짜백신을설치하는다운로더즐롭 (Win-Downloader/Zlob) 과다운로드로그페이크에이브이 (Win-Downloader/Rogue.FakeAV) 에의한피해가계속해서보고되고있으며피해의상당부분을차지하고있다. 국산애드웨어의경우특정웹사이트에서애드웨어프로그램을다운로드받아설치하는형태의애드웨어인다운로더라스트로그, 다운로더에이에스에프웨어의변형신고가많이접수되었다. 2009 년 9 월유형별스파이웨어피해현황은 [ 표 2-6] 과같다. [ 표 2-4] 2009 년 9 월스파이웨어피해 Top 10 [ 표 2-6] 2009 년 9 월유형별스파이웨어피해건수 7월 8월주춤하던다운로더류의피해가다시증가하고있다. 다운로더류의증가와함께전반적인스파이웨어피해현황이꾸준히증가하고있다. 9월스파이웨어발견현황 9월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 2-7], [ 그림 2-6] 와같다. [ 그림 2-5] 2009 년 9 월스파이웨어피해 Top 10 2009년 9월에는특정사이트에서다양한애드웨어를다운로드받는다운로더에이에스디웨어 (Win-Downloader/Asdfware.221184) 와애드웨어라스트로그 (Win-Adware/Lastlog.261632) 가가장많은피해를입힌것으로나타났다. 지난달에이어계속해서 Top 10에포함되고있는다운로더큐넘 (Win-Downloader/Qnum.147456.B) 역시특정사이트에서여러가지애드웨어를다운로드받아사용자의시스템에설치하는다 [ 표 2-7] 2009 년 9 월유형별신종 ( 변형 ) 스파이웨어발견현황 AhnLab V3 Internet Security 8.0 세상에서가장안전한이름안철수연구소 07
이번달에는원격코드를실행할수있는위험도가긴급취약점이많음으로반드시패치해야하며, 특히 IE와관련된취약점의경우악성스크립트에서자주사용하여패치가적용되지않았을경우심각한문제를일으킬수있다. 2009년 9월웹침해사고및악성코드배포현황 [ 그림 2-6] 2009 년 9 월발견된스파이웨어프로그램비율 9월신종스파이웨어류와드로퍼류는큰폭으로감소했다. 반면애드웨어는지난 8월감소하는듯했으나 9월에다시 177건으로지난 7월과유사하게신종 ( 변형 ) 스파이웨어가의신고가증가했다. 다운로더는 7월을기점으로꾸준히증가하고있다. 다운로더와애드웨어신종 ( 변종 ) 이많이발견되었으나, 스파이웨어류와드로퍼의신종 ( 변형 ) 이감소하면서전체적인신종 ( 변형 ) 의신고는지난 8월에비해감소했다. 3. 시큐리티통계 9월마이크로소프트보안업데이트현황 마이크로소프트로부터발표된이달보안업데이트는총 5건으로긴급 (Critical) 만 5건이다. [ 그림2-8] 9월침해사고발생현황 2009년 9월악성코드를위해침해된웹사이트의수와악성코드유포지의수는 127/7 로 2009년 8월의 127/7와비교하여동일한유포지와배포지수를나타내었다. 웹브라우저와관련된취약점이발표되지않은지금, 악성코드배포를위해현재가장널리사용되고있는취약점은 OWC10.Spreadsheet 취약점이다. 이취약점은다음과같은특징을가지고있다. var obj = new ActiveXObject( OWC10.Spreadsheet ); e=new Array(); e.push(1); 현재대부분의 Anti Virus 제품은이런형식을가진 HTML 문서를진단한다. 따라서사용자의시스템을이러한공격으로부터보호하기위해서는항상운영체제의보안업데이트를최신상태로유지하고 Anti Virus 제품을설치하여사용하여야한다. [ 그림 2-7] 9 월 MS 보안업데이트현황 4. 사이트가드통계 2009 년 9 월웹사이트보안요약 [ 표 2-8] 9 월에발견된취약점현황 [ 표 2-9] 9 월웹사이트보안요약 웹사이트를통한사용자의피해를막기위해안철수연구소가제공하 는인터넷보안무료서비스인 사이트가드 의통계를기반으로본 자료는작성되었다. 08 ASEC Report _ 2009. Vol.9
[ 표2-9] 은 2009년 9월한달동안웹사이트를통해발견된악성코드동향을요약해서보여주고있다. 사이트가드의집계에따르면 9월한달동안악성코드는 921종 322,550 건발견되었으며, 악성코드가발견된도메인은 610건, 악성코드가발견된 URL은 5,075건으로전반적으로지난 7월부터보였던증가세가 9월까지지속되고있다. 악성코드발견건수 322,550건은 8월 302,814건에비해 7% 정도증가한수치이다. 이는 2009년 9월에는특별히눈에뛸만한확산률높은악성코드가없었던점과전달에비해악성코드유형및발견도메인이소폭감소한것이악성코드발견건수의큰증가없이, 완만한증가세를유지하는주요원인으로보인다. 하지만, 악성코드는웹사이트를통해배포하는방식을지속적으로활용하고있으므로, 웹사이트보안에대한경계심을계속적으로유지해야될것으로보인다. 세부내용을보면다음과같다. 악성코드월간통계 악성코드가발견된도메인 [ 그림 2-11] 월별악성코드가발견된도메인 [ 그림 2-11] 는최근 3개월간악성코드가발견된도메인수의변화추이를나타내는그래프로 9월악성코드가발견된도메인은 610개로전월 853개에비해감소하였다. 악성코드가발견된 URL 악성코드발견건수 [ 그림 2-12] 월별악성코드가발견된 URL [ 그림 2-9] 월별악성코드발견건수 [ 그림 2-9] 는최근 3개월인, 2009년 7월부터 2009년 9월까지의악성코드발견건수의추이를나타내는그래프로 9월악성코드발견건수는 322,550건으로지난달에비해약 7% 증가하였다. [ 그림 2-12] 은최근 3개월간악성코드가발견된 URL 수의변화추이를나타내는그래프로 9월악성코드가발견된 URL 수는 5,075개로전월에비해감소하였다. 유형별악성코드배포수 악성코드유형 [ 그림 2-10] 월별악성코드유형 [ 표 2-10] 유형별악성코드배포수 [ 그림 2-10] 는최근 3 개월간발견된악성코드의유형을나타내는그래프 로지난 8 의 926 종에이어 9 월에 921 종으로소폭감소하였다. 세상에서가장안전한이름안철수연구소 09
[ 그림 2-13] 유형별악성코드분포 [ 표 2-10] 과 [ 그림 2-13] 은 9월한달동안발견된악성코드를유형별로구분하여발견건수와해당비율 (%) 를보여주고있다. 9월한달동안총 322,550개의악성코드가발견되었으며이중 Adware 류가 137,740개로 8월에이어서 1위를고수하였다. Trojan류는 43,928 개로 2위를차지하였으며, 3위는 Downloader류가 9,434개로 3위를차지하였다. 특이한점은 8월의 Adware류가 30.5% 로 1위를차지하였으나, 9월에는 42,7% 로 Adware류가 12.7% 나증가세를보였다는것이다. 이의주요원인으로는 Trojan 류가지난달에비해 14.5% 감소와국내 Adware류의증가가한몫을한것으로보인다. 대상은 *.exe, *.scr 확장자를가지는로컬드라이브내파일들을대상으로하고있어, 급격한확장을보이는바이러스이다. 하지만이러한바이러스는자신을전파시키는루틴이존재하지않아, 웹을통해감염된실행파일전파시키는방법을통해확산을돕는것으로보인다. 또한, 웹상에올린파일이, 이미바이러스에감염된파일을사용자가감염여부를모르고올림으로써, 감염이확산되는것으로보인다. 따라서, 사용자들은웹상에파일을올릴경우나, 다운받을경우에는꼭악성코드감염여부를확인하는습관이필요하다. 참고로, SiteGuard는안전한웹을지향하기위해파일감염여부를검사함으로, 사용시많은도움이될것으로보인다. 또한, 9월에는 8월과같이신규로 Top10 에진입한악성코드가 3건으로큰변동없이, 소규모의자리이동만보였으나, 전체적으로는 Virus류가 1위와 6위를함으로써, Torjan류와 Adware류로만구성되었던 Top10에서많은비중을차지하고있다. 끝으로, 사용자들은개인 PC의악성코드감염이웹을통해배포됨으로써, 다수의피해를일으킨다는것을유념할필요가있다. 7.7 DDoS를통해서도개인의 PC보안이안될경우대량의트래픽공격을발생시키는좀비 PC로악용될수있다는점과, 개인이웹에올리는바이러스에감염된파일이다른이의 PC에있는파일들을감염하여급격한확산을보일수있다는점을유념하여, 파일송수신시악성코드감염여부를꼭체크하는습관을생활화하여야겠다. 악성코드배포순위 [ 표 2-11] 유형별악성코드배포 Top 10 [ 표 2-11] 는 9월한달동안웹사이트에서사이트가드를통해확인된악성코드배포 Top 10을보여주고있다. Top 10에포함된악성코드들의총배포건수는 248,717건으로 9월한달총배포건수 322,550건의약 77% 에해당된다. [ 표2-11] 유형별악성코드배포수에서알수있듯이 Top10 의대부분은 Adware류와 Trojan 류가차지하였다. 특이한점은꾸준히 Virus류가증가하고있으며, Win32/Induc과 Win32/Virut.B가 Top10에포함되었다는점이다. Win32/Induc은 Delphi 컴파일러가설치된시스템 (Delphi4~7) 의 SysConst.dcu (Delphi 상수및문자열정의라이브러리 ) 파일만을감염시키는바이러스로써국내델파이로제작된응용프로그램들의감염사례가많이보고되고있다. Virut.B는윈도우실행파일을감염시키는바이러스인데, 이바이러스는시작실행시점불명확화기법을사용하여실행파일을감염시키는방식을취한다. 특히감염 AhnLab Policy Center 4.0 10 ASEC Report _ 2009. Vol.9
III. 분기별보안이슈 1. 악성코드 3분기이슈 3분기악성코드통계 [ 표 3-1] 3분기악성코드피해 Top 10 [ 표 3-1] 은 3분기 (7 ~ 9월 ) 의악성코드피해 Top 10을분석한자료로 Win32/Induc이 46% 로다른악성코드보다월등히높은점유율을차지하고있는데그원인은 8, 9월 ASEC Report에서밝힌바있기때문에여기선생략하기로한다. Win-Trojan/Ban-ker.702976.D 가 3분기 7 ~ 8 월동안악성코드피해 Top 10에랭크되었던것을제외하면나머지악성코드들은월별악성코드 Top10 과 1, 2분기악성코드피해 Top 10에서꾸준히새로운악성코드로갱신되었음을알수가있다. 이는백신업체의빠른대응으로짧은시간내에수많은신종또는변종악성코드의생성및소멸등이반복되면서악성코드의라이프사이클이매우짧아졌기때문인것으로풀이된다. 9월악성코드피해 Top 10에서 Win-Trojan/Banker.702976.D 가 2단계하락하면서 3위를차지하긴했지만이것이꾸준히월별악성코드 Top 10 에랭크될지아니면 10월부터는 Top 10 순위권밖으로밀려날지에대해서는좀더지켜봐야할것같다. [ 표 3-2] 는 2009년 3분기 (7 ~ 9월 ) 악성코드대표진단명 Top 10을분석한자료인데대표진단명의전체적인분위기에서큰변화는없었다. 10위에랭크된 Win32/Induc을제외한나머지악성코드들은금전적인이득을취하기위해서제작된것들로 Virut의경우 Winlogon.exe에자신의코드를인젝션시켜서특정 IRC 채널로접속하여다른악성코드를다운로드하여설치하는증상을가지고있었으며치료가까다로운바이러스중에하나이며 Win-Trojan/Downloader, Win-Trojan/Fakeav, Win- Trojan/Rustock 같은악성코드와함께웹해킹된사이트를통해서유포된사례가다수발견된적도있었다. 현재 Win32/Virut의확산분위기는잠시소강상태로접어들면서 9월악성코드피해 Top 10에서순위권밖으로밀려났지만변종의등장가능성이높기때문에 Win32/Virut에의한꾸준한피해신고가증가또는하락할것인지는좀더지켜볼필요가있다. Win32/IRCBot이 5.8% 를점유하면서 7위에랭크되었는데현악성코드트렌드가국지성, 금전적인이득목적을지향하고있다는것을감안할때월별악성코드피해통계처럼분기별악성코드피해건수에서 Win32/ IRCBot의피해건수가주는의미는크지않다. 그러나 IRCBot의대부분이 OS의취약점을사용한다는점을감안할때만약신규로발견된 OS의취약점을 IRCBot이사용하여유포된다면확산력은그어느악성코드보다빠르고크므로 Windows Update 사이트에서주기적으로보안업데이트점검을해주는것이필요하다. 3분기대표진단명에서각각 2, 6위를차지한 Win-Trojan/OnlineGame- Hack과 Dropper/OnlineGameHack 그리고 Win-Trojan/Magania는진단명에차이가있을뿐동일한목적을가지고있는악성코드이다. Win-Trojan/Agent로진단되는악성코드들중에는드라이버형태 (SYS) 로설치되며은폐형기능을사용하여동작하면서감염된시스템을통해서외부로스팸메일을발송하는증상을가지고있는것들도상당수존재하기때문에이에대한 Gen함수제작과진단및치료기능을강화할필요성이있다. [ 표 3-2] 3 분기악성코드대표진단명 Top 10 [ 그림 3-1] 3 분기악성코드유형별비율 세상에서가장안전한이름안철수연구소 11
[ 그림 3-1] 은 3분기 (7 ~ 9월 ) 의악성코드유형별비율을분석한자료로써월별악성코드유형과비교했을때크게달라진것은없고마찬가지로 Trojan 이월등히높은비율을차지하고있으며 Dropper, Virus, Worm, Script, 유해가능프로그램, 기타순으로정리해볼수있다. 3분기악성코드동향에서도현재악성코드들이유포되기위해서는 OS취약점보다는사용자들이가장많이사용하는응용프로그램의취약점을사용한다는것을알수가있었다. 여러경로로확산되는악성코드를 100% 완벽하게차단할수는없겠지만기본이면서가장중요한자신이사용하는 OS(Operating System) 의보안업데이트를주기적으로해준다면악성코드로부터약 90% 이상감염은예방할수있다. 그리고여기에주기적으로비밀번호변경및관리, 수상한메시지및메일수신시열람하지말고바로삭제, 최신엔진으로업데이트된백신으로주기적인검사를해준다면악성코드감염예방은더높아질수있다. 2009년 3/4 분기신종및변형악성코드동향 7월초일명 7.7 DDoS 대란 이라고불리어지는 DDoS 공격을우리나라와미국이각각받았다. 우리나라의경우는잘알려진공공기관과금융권의인터넷뱅킹사이트그리고보안업체홈페이지들이정상적인웹서비스를할수없는정도로심각한공격을받았다. 이것은공공웹서비스를공격한초유의사건으로연일매스컴에대서특필되었다. 공격에사용된악성코드는오래전부터유포되었던것으로보인다. 또한해당악성코드는모듈화되어각각기능을수행하도록제작됐으며최후에는감염된시스템을파괴하도록되어있었다. 스팸봇과가짜백신 (Win-Trojan/SpamBot / Win-Trojan/Fakeav) 은올한해계속이슈가되고있다. 이번분기에는허위 UPS 운송장메일이나온라인구입발송메일등으로위장하여유포되었다. 스팸봇의일부는시스템파일을감염시켜서치료를어렵게만들고계속적으로스팸메일을발송하도록시스템을장악하는행위도보였다. 가짜백신또한사용자들에게마치자신의시스템이문제가있는것처럼속이고치료를위해서결제를유도하도록하여금전적인피해도입히게한다. Win32/Induc 바이러스는프로그래머를혼란에빠뜨린바이러스로이번분기에다소이슈가되었다. 해당바이러스는실행파일이아닌델파이라는프로그래밍도구가설치된시스템에있는특정파일을감염시킨다. 해당파일은델파이프로그래머가파일을빌드할때마다함께만들어져새롭게컴파일된파일을감염시킨다. 따라서일반사용자가감염된파일을실행하여도특이한증상은발생하지않는다. 다만프로그램머는새로운파일을컴파일할때마다바이러스에감염된파일을만들어내는꼴이되고이를다시사용자에게배포하는등의악순환을반복하게된다. 따라서궁극적으로델파이프로그래머라면자신이감염되어있는지를백신프로그램을이용하여확인해보고치료를한후이전에배포된파일은삭제하도록권고하는게좋다. 3분기에는크게다음과같은제로데이취약점이보고되었다. - 마이크로소프트 MPEG2TuneRequest 제로데이취약점주의 - 마이크로소프트 OFFICE WEB Components(OWC) 제로데이취약점 - 어도비플래쉬플레이어및아크로벳리더코드실행제로데이취약점취약점은일반적으로악성코드유포에사용되는데특히제로데이취약점은타겟공격에집중적으로사용된다. 또한최근취약점은 OS 와같은운영체제의취약점을노리기보다는대중적으로유명한응용프로그램의취약점을노리는형태로변화하고있다. 이는비정기적으로보안패치를제공하는허점을노리는것으로파악된다. 2. 스파이웨어 3분기이슈 2009년 3분기통계 [ 표 3-3] 2009년 3/4분기까지발견된신종및변형스파이웨어건수 [ 그림 3-2] 2009년 3/4분기까지발견된신종및변형스파이웨어건수그래프 2009년 2/4분기에는가짜백신을설치하는다운로더류의증가로신종및변형스파이웨어발견건수가급격하게증가했다. 다운로더류의변형은 6월부터급격하게감소해 7월에는 751건으로줄었다. 이것은가짜백신을설치하는외산다운로더류의배포패턴이웹사이트로유인해다운로더를설치하도록유도하는방법에서유형에서메일이나다른악성코드에의해감염되도록하는방식으로변경되었기때문으로추정된다. [ 그림 3-2] 에서 3/4분기는 2/4분기보다는신고된신종및변형악성코드의수가작았으나 1/4분기에비해서는그수가증가했으며꾸준히증가하는양상을보이고있다 12 ASEC Report _ 2009. Vol.9
2009 년 3/4 분기까지의스파이웨어피해현황 큐리티 (Win-Downloader/Rogue.SystemSecurity) 등이 Top10에등록되어외산악성코드에의한피해는 3분기역시많은피해를주고있음을알수있다. 외산가짜백신과관련된스파이웨어를제외한경우다운로드라스트로그 (Win-Downloader/LastLog), 다운로더에이에스디에프웨어 (Win-Downloader/Asdfware), 다운로드코애드웨어 (Win-Downloader/ KorAdware) 처럼웹사이트에서설치될애드웨어목록을받아여러가지애드웨어를설치하는국내제작다운로더가많은피해를주고있는것으로나타났다. 3 분기신종및변형스파이웨어발견현황 [ 표 3-4] 2009년 3/4분기까지의유형별스파이웨어피해현황 [ 그림 3-3] 2008년, 2009년스파이웨어피해현황비교 [ 그림 3-3] 는 2008년, 2009년스파이웨어피해현황의비교그래프이다. 2/4분기에는다운로더계열의스파이웨어피해가급증했으나, 3/4분기에는외산가짜백신의주된배포경로가변경되면서다시전년도와비슷한패턴으로꾸준한상승세를이어가고있다. [ 표 3-5] 2009년 3/4분기대표진단명스파이웨어피해 Top10 [ 표 3-5] 은 3/4분기에신고되어진단추가된스파이웨어중변형을고려하지않은대표진단명에의한피해 Top 10을나타낸다. 전체파일신고의 38.4% 에해당하며가장많은피해가접수된스파이웨어는다운로더로그페이크에이브이다. 외산가짜백신설치를유도하는것으로알려진다운로더즐롭 (Win-Downloader/Zlob), 스파이웨어크립터 (Win-Spyware/Crypter) 나직접적으로가짜백신을설치하는시스템시 AhnLab 분석정보를도용하는가짜백신최근국내의가짜백신중일부가 Ahnlab.com에등록된분석정보를이용해진단시그니처를생성하고, 자신들의홈페이지에도직접분석한정보인것처럼등록하는경우가확인되었다. Ahnlab.com에등록되는스파이웨어정보는 ( 주 ) 안철수연구소의분석가에의해생성되는귀중한자산으로이러한정보를도용해자신의시그니처를제작하는것은심각한저작권의침해라고볼수있다. 이들가짜백신업체가분석정보를도용할때에는자동화된방법으로정보를긁어가는것으로보인다. 등록된분석정보중에는정상파일에대한정보도포함하고있기때문에정보를도용시정상파일에대한정보를구분하지않는다면정상파일을오진해시스템에심각한문제를일으킬수있는잠재적인위험이항상존재한다. 은삭제하도록권고하는게좋다. 무료프로그램에의한감염피해최근무료프로그램의종류가다양해지고있으며, 유료프로그램못지않은기능을자랑하는프로그램들이등장하고있다. 많은무료프로그램이사용자에게유용한기능을제공하면서광고나번들프로그램설치와같은방법으로수익을추구한다. 일부무료프로그램들은사용자몰래다른프로그램을설치하거나시작페이지를변경하는등의동작을한다. 일부악의적인무료프로그램을설치하는경우사용자가원하지않는프로그램이지속적으로설치되거나원하지않는웹사이트가시작페이지로고정되어임의로변경할수없는피해를입을수있다. 지난 3/4분기에는국산무료프로그램인 OO소프트에서무료TV, 동영상코덱등의다양한프로그램을제작하고배포하면서제공되는기능외사용자동의없이다른프로그램을설치하는기능을가진다운로더컬러소프트 (Win-Downloader/ ColorSoft) 를함께설치하는것이확인되었다. 중국에서제작한 AcuaDoc 설치프로그램은 Mac OS에서제공하는 Dock프로그램을제공하면서다양한방법으로시작페이지를고정했다. 이렇게고정된시작페이지는 Windows 버전과와시작메뉴의형식에관계없이윈도우에서제공할수있는거의모든방식을각각이용해시작페이지를변경하기때문에일반사용자입장에서수동으로복구하는것이불가능하다고말할수있다. 도배프로그램을통한개인정보유출가능성네이버매시버 (Naver Massiver) 프로그램은많은도배프로그램중하나이다. 도배프로그램은일정주기로게시판, 또는채팅창에글을올리는 세상에서가장안전한이름안철수연구소 13
프로그램을말하는데, 주로광고나지속적으로특정한문장을웹사이트등에등록하기위해서이용된다. 네이버메시버의경우 DNS를초기화하고방화벽을비활성화하며, beep.sys파일을수정하고보안제품을강제로종료하는등의스파이웨어적기능을수행한다. 또한, 사용자의계정을수집하는기능까지포함하고있기때문에 개인정보유출가능성 이매우높기때문에개인적호기심으로네이버매시버에자신의계정을입력한사람은노출된계정의암호를변경하는것을권장한다. 3. 시큐리티 3 분기이슈 2009년 3분기마이크로소프트사로부터발표된보안업데이트는총 27 건으로작년에비해보안업데이트수가조금증가하였으며, 발표된취약점들의공격코드가인터넷에잇단발표됨에따라공격에활용될가능성이크다 TV는사랑을싣고 ~, 메일은취약점을싣고 ~ 메일에실어보낸취약점을통해사용자시스템을공격하는사례로과거메일을통해전파되는악성코드가 Love~, Bank~ 등의일상적인키워드를포함하여사람들의클릭을이끌어냈다면, 최근에는실시간으로발생하는전세계적핫이슈를그제목으로삼아서보다공격성공률을향상시켰다. 이러한공격에사용된메일은 신종인플루엔자, 에어프랑스 447편의추락, 마이클잭슨사망 으로 0-day( 제로데이 ) 취약점및최신취약점들과결합된사회공학적공격으로이뤄지고있다. 비단, 이러한사회공학적공격기법은메일뿐만아니라대중성을갖는메신저, 트위터및동영상클릭을통한전파등다방면에서사용자를노리고있다. 또한, 앞서언급된예들이대부분영문으로작성되어있다고해서해외사례라고만여겨질수있지만, 국내에서도국내핫이슈를기반으로한악의적인 PDF 파일이전파된사례가있다. 7.7 DDoS 공격패킷분석 국내주요웹사이트에대해 7월 7일 DDoS 공격이발생하였다. 이번 DDoS 공격패킷은무엇이발생하며, 주요방어책에대해서살펴보기로한다. 먼저 7.7 DDoS 공격은 TCP, UDP, ICMP 프로토콜을이용하여, 특정웹사이트들 ( 멀티도메인 ) 을공격하도록설계되었다. 공격패킷들의주요특징은아래와같다. - 감염 PC 에서극도의패킷을유발하지는않음. 초당 300 개이내의패킷으로데이터양이크지않음 [ 그림 3-4] 2009년 2분기보안업데이트현황 2009년 3분기마이크로소프트보안업데이트현황 2009년 3분기시스템취약점 (MS08-067) 을이용하는 Conficker 웜의등장으로웹공격보다는시스템쪽으로방향을전환하는것처럼보였으나, Gumblar(Geno), Beladen, Nine-ball 이라는이름으로다시웹공격이눈에띄게증가하고있다. 다만, 과거 Mass SQL-Injection 공격이최초의악의적인스크립트를삽입하는방법과같은획기적인변화로주목을받았다면, 최근웹공격들은최종목적지를구축하기위해 LuckySploit, UniquePack, YES EXPLOIT SYSTEM 과같은다양한웹공격툴킷이사용되었다. 툴킷들은가장최신의취약점들을담고있을뿐아니라, 서버 / 클라이언트간의키교환을통한동적페이지생성및진보된난독화등으로훨씬더강하게무장되었다. 또한사용자및분석가의눈을피하거나분석을방해하기위한노력들이점점발전되고, 과거특정대상만을노렸던수동적인방법에서벗어나보다지능화되고자동화된방법으로다수의대상을노리는등점점지능화되어가고있다. 따라서, 사용자들은제품벤더로부터제공되는보안업데이트를항상적용하고, 다양한보안제품이최신버전으로유지되도록노력해야할것이다. - HTTP 에임의의데이터를전송하는트래픽이가장많이전송되며, ICMP, UDP 도 10-15% 수준에서차지함 - HTTP > ICMP > UDP 프로토콜순서로트래픽을많이발생시킴 - HTTP 가약 70% 대, ICMP 가 12-20%, UDP는 6-8% 수준에서발생 - 평균전체발생시키는트래픽은초당약 260-300/ 초, 약 50-65K / 초이번 DDoS 공격들에서문제가된것은대부분 TCP 80 HTTP 공격이었는데, 트래픽으로인해국내웹사이트들이지연또는마비되는문제가발생을하게되었다. Adobe PDF & Flash Zero-day 취약지난 7월 23일해외특정사이트에서 Adobe 사의 PDF Acrobat Reader 와플래시플레이어의알려지지않은제로데이취약점이발견되었다. 해당취약점은공격자가특정코드를실행시킬수있는취약점들로, PDF 및 Flash 파일포맷의특정오브젝트를해석하는과정에서유효값검증을제대로하지않아발생한다. 해당취약점을이용하는방식은 Flash 파일을 PDF 파일에삽입하거나웹페이지를통해호스팅하는 2가지방법이이용된다. Adobe 사에서는 7월 30일플래쉬관련취약점을제거하는보안패치를발표하였는데, 인터넷사용에서 Flash 는필수임으로, 즉각적인패치 14 ASEC Report _ 2009. Vol.9
가요망된다. ISC Bind Dynamic Update Dos 7월말일부 ISC Bind(named) 9 버전에서특정조작된 Dynamic Update 쿼리를요청시에서비스거부취약점이발견되었다. Dynamic Update 설정이기본 (Default) 설정에서 Off 이긴하지만해당기능을해제하더라도영향을받기때문에매우치명적이다. 4. 중국 3분기악성코드동향 2009년 3분기중국악성코드동향 2009년도이제 3개월정도가남은가을로접어든시점에서중국내악성코드동향은 2분기의현상유지상태에서벗어나조금씩새로운악성코드의감염시도가증가하고있는것으로분석된다. ISC BIND는 DNS(Domain Name Service) 에대부분이용이됨으로, 해당취약점의영향이크다고볼수있다. DNS는 Internet의구조상근본이되는서비스임으로, 즉각적인보안패치가필요하다. Dynamic Update 기능은 BIND 8 버전이후로지원되며, Zone 파일의레코드를동적으로갱신할수있는기능인데, 일반적으로 Dynamic DNS 업체또는 Master 와 Slave 사이의통신에서주로이용된다. 해당취약점으로공격시 Bind 데몬 named가중지 (Denial Of Service) 됨으로 DNS가마비될가능성이있어매우위험하다. 보안패치는 ISC 홈페이지 (http://www.isc.org) 에서업데이트하거나각 OS 벤더홈페이지를이용하여패치작업을수행할수도있다. 트위터를이용하는봇넷미국시각 8월 13일미국의네트워크보안업체인아르보 (Arbor) 는, 소셜네트워크서비스 (Social Network Service) 인트위터 (Twitter) 를이용하여악성코드에감염된좀비 (Zombie) 시스템들의네트워크인봇넷 (Botnet) 을컨트롤하는명령어를송신하는것이발견되었다고알렸다. 공격자는명령어들을베이스64(Base64) 로인코딩하여자신이생성한트위터계정에올려두고, 악성코드에감염된좀비시스템들은해당트위터계정에 RSS(Really Simple Syndication) 형태로접근하여명령어를전달받도록되어있다. 앞으로는트위터뿐만아니라 RSS등과같이손쉽게메시지를전달받을수있는형태를제공하는다른 SNS 서비스나블로그등온라인상에서손쉽게개설할수있는서비스들을이용한봇넷컨트롤방식이나타날수있을것같다. 리눅스커널 sock_sendpage() NULL Pointer Dereference 취약점지난 8월 13일대부분의리눅스커널 (2.4.37.5 이전, 2.6.31-rc6 이전 ) 에적용가능한심각한취약점이발표되었다. 해당취약점은 sock_sendpage() 함수에서사용하는 proto_ops 구조체의초기화가제대로진행되지않은상태에서널포인터를참조함으로써발생한다. proto_ops 구조체는시스템에영향을줄수있는여러가지함수들의포인터를가지고있기때문에해당취약점을이용하여시스템을재부팅시킨다거나특정한명령을실행시킬수있으며일반사용자가 root 권한을획득하는것이가능하다. 이러한공격에대비하기위해서는운영체제커널의최신패치와관련된서비스들의취약점제거, 사용자계정들의안전한패스워드사용등의꾸준한노력이필요하다. [ 표 3-6] 2009년 3분기 AhnLab China 악성코드 TOP 10 2009년 3분기안철수연구소의중국시큐리티대응센터 (ALC ASEC) 로접수된악성코드감염피해보고에따라집계한악성코드 TOP 10이다. 이번 3분기에가장큰변화가나타난악성코드는 Swizzor 트로이목마이다. Swizzor 트로이목마는 2009년 1분기에전체 2.96% 의점유율을보이며 5위로순위에진입하여 2분기현상유지상황을거친후 3분기에는 4계단이나급격하게상승하여 1위를차지하였다. Swizzor 트로이목마는불법소프트웨어공유사이트등을통해감염되는사례가많음으로잘알려지지않은웹사이트를통해소프트웨어를다운로드및설치하는경우에는특히나주의가필요하다. 그리고이번 3분기에는새로이악성코드 TOP 10에포함된악성코드는지난 2분기보다 2개가더증가한총 4개로 Zbot, Obfuscated, Fraudload와 Fakealert 트로이목마들이다. 이중에서는전세계적으로많은문제가되고있는웹브라우저의취약점을통해악성코드를자동으로유포하는웹익스플로잇툴킷 (Web Exploit Toolkit) 의한종류인제우스 (Zeus) 에의해조종되는 Zbot 트로이목마가중국악성코드 TOP 10에포함되었다는점에주목할필요가있다. 현재까지 Zbot 트로이목마는 허위마이크로소프트오피스업데이트패치메일, 허위신용카드결제메일 과 허위세금고지메일 등으로위장하여전자메일을통해유포되고있다. AhnLab SiteGuard Pro 세상에서가장안전한이름안철수연구소 15
[ 그림 3-5] 허위마이크로소프트오피스업데이트패치메일로위장한악성코드 그리고해당트로이목마에감염될경우, 제우스웹익스플로잇툴킷을조종하는공격자의명령에따라 PC 안티스파이웨어2010(PC AntiSpyware2010) 와같은허위백신을설치하여컴퓨터사용자의시스템을정상적으로사용하기어렵도록만드는특징이있다. [ 그림3-7] 일본의네트워크트래픽현황 ( 자료출처 : 일본 IPA) IPA의자료에의하면이러한트래픽증가는일본국내에서발생하는것이라기보다는외국에서일본으로유입되는양이급증한것으로보인다. 트래픽이발생한정확한원인을알수는없으나최근여러변형이발생하고있는컨피커웜 (Win32/Conficker.worm) 등악성코드에의한공격의영향을받는것으로유추해볼수있다. 만약자신의 PC가갑자기 445 포트를이용한네트워크트래픽이발생한다면아래의전용백신을이용해볼것을권장한다. 컨피커전용백신다운로드 :http://kr.ahnlab.com/dwvaccineview. ahn?num=80&cpage=1 악성코드피해현황 [ 그림 3-6] 악성코드에의해설치된허위백신인 PC 안티스파이웨어2010 이러한특징을가진 Zbot 트로이목마가중국악성코드 TOP 10에포함되자이와동시에허위백신관련악성코드인 Fraudload, Fakeav와 Fakealert 트로이목마들역시새로이악성코드 TOP 10에포함되거나순위가상승하는현상이동반되었다. 일본 IPA의자료에의하면 2009년 3분기일본에서가장많은피해를유발한악성코드는넷스카이웜 (Win32/Netsky.worm) 인것으로밝혀졌다. 아래의 [ 그림3-8] 는 2009년 7월과 8월발생한악성코드피해통계를집계한것으로넷스카이웜등전통적인이메일웜에의한피해가여전히많은양을차지하고있는것을볼수있다. 이렇게전자메일로유포되는악성코드의경우에는보낸사람이잘모르 는사람일경우에는가급적열지말고특히첨부파일이나웹사이트로연 결되는링크가존재할경우에는특히나주의를기울여야한다. 5. 일본 3 분기악성코드동향 2009년 3분기일본의보안이슈는 7월부터 445 포트를이용한공격이급증하고있는것과악성코드다운로드를위한스크립트가삽입된사이트에의한사용자피해가증가하고있는것을들수있다. 아래의 [ 그림3-7] 은일본 IPA(http://www.ipa.go.jp) 에서발표한월간리포트의내용중트래픽변화추이를집계한것이다. 445 포트를이용한트래픽이 7월이후급증하고있는것을볼수있다. [ 그림3-8] 2009년 3분기악성코드피해통계 ( 자료출처 : 일본 IPA) 이메일웜이외에는오토런류의악성코드와컨피커웜, 바이럿 (Win32/ Virut) 등의악성코드가여전히많은피해를입히고있는것을볼수있는데이러한악성코드들에의한피해는일본뿐아니라전세계적인추세로보인다. 16 ASEC Report _ 2009. Vol.9
아래의 [ 표3-7] 은일본트랜드마이크로사에서발표한월별악성코드피해통계이다. 오토런류의악성코드에의한피해가다수를차지하고있는것을볼수있는데최근발견되는악성코드들중다른악성코드들을설치하는인스톨러기능을하는악성코드들은대부분오토런기능을가지고있을정도로보편화된감염기법이되고있으므로 USB 등외부저장매체사용시주의가필요하다. 해가급증하고있다. 최근한국에서도네이트메신저계정을탈취하여금전을요구하는등다양한방법으로부당한이득을취하고자하는사례가증가하고있는추세인데이러한상황은개인정보관리의중요성을반증하는사례라고할수있다. 6. 세계 3 분기악성코드동향 2009년 3분기에도여전히하루에매일 2만개 - 3만개의신종악성코드가발견된것으로추정된다. 독일악성코드과백신을테스트하는기관인 AV-Test 에서 2009년 7월 24일에누적악성코드수가 2천만개를넘었다고발표한다. [ 표3-7] 일본트랜드마이크로월별감염피해통계 ( 자료출처 : 일본트랜드마이크로 ) 오토런악성코드이외에는 JS_GUMBLAR 등스크립트류의악성코드들에의한피해가많이발생한것을볼수있는데이러한점은일본에서도한국과동일하게웹사이트해킹을통한악성코드유포가증가하고있는것을유추할수있게해준다. 실제로일본에서는 2009년 5월 PDF 취약점을이용한악성스크립트를삽입하는공격이다수의사이트에발생하여이슈가된적이있다. 일본 IPA에서는최근발생하고있는제로데이취약점으로인한피해예방을위해아래와같이주의를당부하는권고문을발표했다. http://www.ipa.go.jp/security/txt/2009/08outline.html 한국에서는보이스피싱과같은신종사기에의한피해가이슈가되고있는데이러한상황은일본도크게다르지않다. 일본에서는한국보다더이전부터이러한사기수법으로인한피해가발생하고있는상황이다. 3분기널리퍼지고이슈가된악성코드중하나는 8월에발견된인덕바이러스 (Win32/Induc virus) 이다. 이바이러스는델파이컴파일러관련파일을변조해컴파일되는모든파일에바이러스코드를심어두는기법을사용한다. 일반시스템에서는아무런증상이없어발견이늦어져델파이개발자들을중심으로널리퍼졌다. 백신프로그램에서그동안잘사용하던프로그램이바이러스감염되었다고해고객들로부터오진아니냐는문의가폭주했다. 악성코드배포방법은여전히웹사이트해킹후웹브라우저취약점을이용하는코드를삽입해악성코드를배포하는방식과 USB 플래쉬메모리디스크같은이동형저장매체를통한전파가널리이용되었다. 이외 PDF, 오피스문서등의파일포맷취약점을이용한악성코드도종종등장한다. 과거보다는줄어들었지만메일을통해세금고지메일, 택배메일, 트위터초대메일등으로가장한형태의악성코드가유행한다. 허위택배메일을가장한브레도랩 (Win-Trojan/Bredolab) 이대표적이다. 이외트위터 (Twitter) 나구글뉴스그룹을이용해악성코드를조정하는형태도등장한다. 봇넷을구성하는방법이다양해진것을알수있다. 루마니아비트디펜더의통계에따르면쿠키등을제외하고진단상위권은오토런웜이생성하는 INF인 Trojan.AutorunINF.Gen 이며광고클릭커트로이목마인 Trojan.Clicker.CM 이다. 감염된파일로는브론톡웜 (Win32/Brontok.wrom) 이순위에올랐는데이웜은여러파일을생성하는편이나감염파일수가많다. 1 러시아카스퍼스키랩의통계에따르면 1위는컨피커 (Conficker) 웜변형이차지했다. 상위권에존재하는악성코드는샐리티바이러스변형, 오토런웜, 오토잇웜등이차지하고있다. 새롭게진입한인덕바이러스는 10위로올라섰다. 2 [ 그림 3-9] IPA 의부당청구상담건수추이 [ 자료출처 : 일본 IPA] [ 그림 3-9] 은월별피싱관련상담통계를그래프로집계한자료인데그 래프에서볼수있는것처럼하반기들어이러한사기수법으로인한피 영국의메시지랩에따르면 399.2개메일중 1개가악성코드, 437.1개메일중 1개가피싱메일이라고한다. 악성코드를포함한메일중일반적으로실행압축된악성코드는 21.27% 이며의심스러운링크를보내는 1 http://www.bitdefender.com/site/virusinfo/realtimereporting/90/wks 2 http://www.viruslist.com/en/analysis?pubid=204792073 세상에서가장안전한이름안철수연구소 17
경우가 5.78%, 취약점이용이 4.25% 이며 3분기메일을통해꾸준히배포된브레도랩 (Bredolab) 이 3.81% 를차지고있다. 스팸메일의 87.9% 가봇넷에의해서이뤄지는것으로추정하고있으며봇넷중 Grum, Bobax, Cutwail, Rustock 등의스팸메일발송악성코드의비중이크다고한다. AhnLab V3 MSS 18 ASEC Report _ 2009. Vol.9