Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. ASEC REPORT VOL.23 211.12 안철수연구소월간보안보고서 이달의보안동향 화학업체를대상으로한니트로보안위협 유럽타깃의안드로이드악성애플리케이션
AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구소의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. CONTENTS 1. 악성코드동향 a. 악성코드통계 5 2. 시큐리티동향 a. 시큐리티통계 17 - 악성코드감염보고 Top 2 - 악성코드대표진단명감염보고 Top 2 - 악성코드유형별감염보고비율 - 악성코드유형별감염보고전월비교 - 악성코드월별감염보고건수 - 신종악성코드감염보고 Top 2 - 신종악성코드유형별분포 b. 악성코드이슈 1 - DNS 서버이상? BIND 제로데이 - 화학업체를대상으로한니트로보안위협 - 윈도우커널제로데이취약점을이용한 ' 듀큐 ' 악성코드 - 네트워크분석기, 와이어샤크를겨냥한 exploit - 안드로이드악성코드 FakeInst 변종 16 개로급증 - 유럽을타깃으로제작된안드로이드악성애플리케이션 - 11 월마이크로소프트보안업데이트현황 3. 웹보안동향 a. 웹보안통계 19 - 웹사이트보안요약 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위 b. 웹보안이슈 22-211 년 11 월침해사이트현황
Web 5 6 1. 악성코드동향 a. 악성코드통계 악성코드감염보고 Top 2 악성코드대표진단명감염보고 Top 2 211 년 11 월악성코드통계현황은다음과같다. 211 년 11 월의악성코드감염보고는 JS/Agent 가가 장많았으며, JS/Downloader 와 Exploit/Cve-211-214 이그뒤를이었다. 새로 Top2 에진입한악성 코드는총 8 건이다. [ 표 1-2] 는악성코드별변종종합감염보고순위를악성코드대표진단명에따라정리한것이다. 이 를통해악성코드의동향을파악할수있다. 211 년 11 월의최다감염보고건수는 JS/Agent 가총 1,275,839 건으로 16.6% 의비율을보였다. 또한 Win-Trojan/Agent 가 998,945 건 /12.9%, JS/Downloader 가 989,33 건 /12.8% 로조사됐다. 순위 등락 악성코드명 건수 비율 1 JS/Agent 1,165,455 21.1 % 2 NEW JS/Downloader 989,33 17.9 % 3 3 Exploit/Cve-211-214 524,956 9.5 % 4 2 Textimage/Autorun 513,62 9.3 % 5 NEW Win-Trojan/Agent.46548.T 384,719 6.9 % 6 NEW Swf/Cve-211-214 29,18 5.2 % 7 NEW Win-Trojan/Bho.65536.AV 214,85 3.9 % 8 3 JS/Redirector 169,398 3.1 % 9 NEW Swf/Dropper 168,381 3. % 1 NEW Html/Agent 135,588 2.5 % 11 NEW JS/Exploit 13,755 2.4 % 12 2 Als/Bursted 119,73 2.2 % 13 5 Swf/Agent 117,136 2.1 % 14 5 Win-Trojan/Downloader.21788.AE 11,757 2. % 15 4 Win32/Induc 96,926 1.8 % 16 3 Win32/Palevo1.worm.Gen 89,723 1.6 % 17 NEW Win-Trojan/Agent.129536.EM 88,23 1.6 % 18 11 Dropper/Malware.495616.HT 79,38 1.4 % 19 1 Win32/Olala.worm 72,436 1.3 % 2 RIPPER 66,185 1.2 % 5,526,745 1. % [ 표 1-1] 악성코드감염보고 Top 2 순위 등락 악성코드명 건수 비율 1 JS/Agent 1,275,839 16.6 % 2 Win-Trojan/Agent 998,945 12.9 % 3 NEW JS/Downloader 989,33 12.8 % 4 11 Exploit/Cve-211-214 524,956 6.8 % 5 2 Win-Adware/Korad 515,227 6.7 % 6 3 Textimage/Autorun 513,718 6.7 % 7 2 Win-Trojan/Downloader 411,548 5.3 % 8 NEW Swf/Cve-211-214 29,18 3.8 % 9 3 Win-Trojan/Onlinegamehack 264,39 3.4 % 1 2 Win32/Conficker 228,761 3. % 11 NEW Win-Trojan/Bho 223,556 2.9 % 12 1 Win32/Autorun.worm 27,543 2.7 % 13 4 Win32/Virut 196,769 2.6 % 14 1 Win32/Kido 178,1 2.3 % 15 1 JS/Redirector 169,398 2.2 % 16 NEW Swf/Dropper 168,381 2.2 % 17 5 Dropper/Malware 156,65 2. % 18 NEW Html/Agent 135,588 1.8 % 19 NEW JS/Exploit 13,755 1.7 % 2 NEW Win-Downloader/Korad 123,765 1.6 % 7,72,634 1 % [ 표 1-2] 악성코드대표진단명감염보고 Top 2
Web 7 8 악성코드유형별감염보고비율 악성코드월별감염보고건수 [ 그림 1-1] 은 211 년 11 월한달동안안철수연구소가고객으로부터감염이보고된악성코드의유형별 감염비율을집계한결과다. 211 년 11 월의악성코드를유형별로살펴보면, 감염보고건수비율은트로 11 월의악성코드월별감염보고건수는 12,559,154 건으로 1 월의 1,498,643 건에비해 2,6,511 건 이증가하였다. 이목마 (TROJAN) 가 3.7% 로가장많았으며, 스크립트 (SCRIPT) 가 3.1%, 웜 (WORM) 이 1% 로나타났다. 2,, 18,, 16,, 14,, 12,, 11,61,9-19.% -562,366 1,498,643-5.1% +2,6,511 12,559,154 +19.6% 211.9 211.1 211.11 [ 그림 1-3] 악성코드월별감염보고건수 [ 그림 1-1] 악성코드유형별감염보고비율 악성코드유형별감염보고전월비교 악성코드유형별감염보고비율을전월과비교하면, 스크립트와애드웨어 (ADWARE), 다운로더 (DOWNLOADER) 는전월에비해증가세를보이고있는반면, 트로이목마, 웜, 바이러스 (VIRUS), 드롭퍼 신종악성코드유형별분포 11 월의신종악성코드유형을보면트로이목마가 52% 로가장많았고, 애드웨어가 25%, 스크립트가 15% 였다. (DROPPER), 애프케어 (APPCARE) 는전월에비해감소했다. 스파이웨어 (SPYWARE) 는전월수준을유지 하고있다. [ 그림 1-2] 악성코드유형별감염보고전월비교 [ 그림 1-4] 신종악성코드유형별분포
Web 9 1 신종악성코드감염보고 Top 2 [ 표 1-3] 은 11 월에신규접수된악성코드중고객으로부터감염이보고된악성코드 Top2 이다. Win- Trojan/Agent.46548.T 가 384,719 건으로전체 26.1%, SWF/Cve-211-214 이 29,18 건 /19.7% 인 1. 악성코드동향 b. 악성코드이슈 것으로나타났다. 순위악성코드명건수비율 1 Win-Trojan/Agent.46548.T 384,719 26.1 % 2 SWF/Cve-211-214 29,18 19.7 % 3 Win-Trojan/Bho.65536.AV 214,85 14.6 % 4 Win-Trojan/Agent.129536.EM 88,23 6. % 5 JS/Agent.E 58,518 4. % 6 Win-Trojan/Adload.413184.B 51,786 3.5 % 7 Win-Adware/OneStep.53664 48,344 3.3 % 8 Win-Trojan/Agent.434176.CO 34,585 2.3 % 9 Win-Adware/KorAd.438272.C 34,256 2.3 % 1 Win-Adware/OneStep.495616 33,749 2.3 % 11 Win-Adware/KorAd.499712.W 32,6 2.2 % 12 Win-Trojan/Downloader.65536.WR 28,759 1.9 % 13 Win-Trojan/Fakeav.217856 28,499 1.9 % 14 Win-Trojan/Korad.6648 25,373 1.7 % 15 Win-Adware/Shortcut.WooriZip.19152 23,72 1.6 % 16 Win-Downloader/KorAd.176768 21,328 1.4 % 17 Win-Trojan/Agent.6648.F 2,69 1.4 % 18 Win-Adware/KorAd.4556 19,73 1.3 % 19 Win-Adware/KorAd.274432.L 19,632 1.3 % 2 Win-Trojan/Pcclient.434176 17,451 1.2 % 1,476,81 1 % [ 표 1-3] 신종악성코드감염보고 Top 2 DNS 서버이상? BIND 제로데이 DNS BIND 애플리케이션에크래쉬가발생하여 DSN 서비스가중지되는제로데이 (Zero-day) 공격이발생했다. BIND(Berkeley Internet name Daemon) 는네임서버를운영하기위해설치하는서버측소프트웨어로, 미국의경우 9% 이상의 DNS가이소프트웨어를사용하고있다. 이번에발견된제로데이 (CVE-211-4313) 는캐시에존재하지않는레코드를돌려주는과정에서발생하는취약점이었는데, 크래쉬가발생하면 "INSIST(! dns_rdataset_isassociated(sigrdataset))" 라는로그를남긴다. DNS에취약점이생기면전세계수만대의 DNS 중 1대만공격을받아도매우위험할수있다. 예를들어웹주소가원하지않는곳으로접속되거나메일이잘못전송될수도있다. 따라서소프트웨어의최신업데이트는 DNS 관리자에게매우중요한일이다. [ 그림 1-5] CVE-211-4313 BIND 취약점 [ 그림 1-6] 니트로보안위협에의한시스템감염사례의국가별분포니트로보안위협은전형적인 APT(Advance Persistent Threat) 형태의공격으로사회공학 (Social Engineering) 기법을포함하고있는이메일에원격제어형태의백도어인포이즌아이비 (PoisonIvy) 가첨부파일로사용되었다. 니트로보안위협의공격자는 [ 그림 1-7] 과유사한포이즌아이비툴킷들을이용하여악성코드를제작한것으로추정된다. [ 그림 1-7] 니트로보안위협에사용된포이즌아이비악성코드생성기 화학업체를대상으로한니트로보안위협 211년 1월 31일미국보안업체인시만텍 (Symantec) 은 ' 니트로 (Nitro)' 라고명명된보안위협을공개하였다. 니트로보안위협은 4 월말경인권관련 NGO를대상으로처음시작됐다. 화학업체들을대상으로한니트로보안위협은 211년 7월에시작되어위협이탐지된 9월까지진행되었으며, 원격제어를위한 C&C(Command and Control) 서버는 4월경에구축된것으로알려졌다. 공격대상이된기업은총 48개인데, 화학관련업체 29개, 군수업체를포함한다른업종의기업이 19개다. 시만텍이발표한바에따르면, 니트로보안위협에의한시스템감염사례는미국과방글라데시에서가장많았다.
Web 11 12 공격에사용된악성코드대부분은 RARSfx 로압축된파일로, 해당 이러한 APT 형태의보안위협은단일보안제품만으로는대응할수 privileges> 를통해임시로이취약점을제거할수있는 Fix It 툴도공 notepad.exe 를실행하도록작성한코드가실행된결과다. 파일들이실행되면사용자계정의 Temp 폴더에자신의복사본을생성한다. 생성된복사본은인터넷익스플로러의스레드 (Thread) 에자 없으므로사내보안정책과직원들을대상으로한보안인식교육, 그리고유기적으로동작하는각단계에맞는보안제품들의다단계 개하였다. 이취약점은보안패치가제공되지않는제로데이상태이며, 다른악성코드나보안위협에서악용할가능성이있으므로공개 [ 그림 1-11] console.lua 파일의 notepad.exe 를실행하도록작성한코드가실행된결과 신의코드를삽입하여 C&C 서버와통신을시도하고공격자의명령 적인대응 (Defense in Depth) 이함께이루어져야한다. 된 Fix It 을통해취약점을제거해야한다. 그러나이 Fix It 은임시방 에따라악의적인기능을수행한다. 수행되는악의적인기능은 [ 그림 1-8] 과같이감염된시스템에서실행중인프로세스 (Process) 리스 윈도우커널제로데이취약점을이용한 ' 듀큐 ' 악성코드 편이므로향후정식보안패치를설치하는것이필요하다. 해당듀큐악성코드들은 V3 제품군에서다음과같이진단한다. 트에서부터레지스트리 (Registry) 및키로깅 (Keylogging) 까지다양하다. [ 그림 1-8] 포이즌아이비악성코드에의한원격제어 지난 211년 1월 18일시만텍은스턱스넷 (Stuxnet) 의변형인듀큐 (Duqu) 악성코드가발견되었다고블로그 ('W32.Duqu: The Precursor to the Next Stuxnet') 와분석보고서 ('W32.Duqu The precursor to the next Stuxnet') 를통해공개하였다. 시만텍은 " 듀큐악성코드가 29년발견되었던스턱스넷악성코드와유사한형태를보이고있으며, 동일인물이나동일그룹이제작한것으로추정된다 " 고밝혔다. [ 그림 1-9] 듀큐악성코드전체구성도 Win-Trojan/Duqu.6656 Win-Trojan/Duqu.6896 Win-Trojan/Duqu.2496.B Win-Trojan/Duqu.29568 Win-Trojan/Duqu.2496 Win-Trojan/Duqu Win-Trojan/Agent.8554.HN Worm/Win32.Stuxnet 타깃공격이극성을부리고있는요즘, 어느소프트웨어하나무심코지나칠수없다. 특히와이어샤크는자동업데이트를지원하지않으므로특히주의해야한다. 이번에공개된니트로보안위협에대해 ASEC에서추가조사를진행했는데해당보안위협에악용된악성코드들은약 5개인것으로나타났다. 니트로보안위협에사용된악성코드들은 V3 제품군에서다음과같이진단한다. [ 표 1-4] 니트로보안위협에사용된악성코드진단명 네트워크분석기, 와이어샤크를겨냥한 exploit 분석가들이가장많이사용하는네트워크캡처 & 분석기인와이어샤크 (wireshark.org) 자체의취약점을이용한 Overflow 공격형태는오래전부터알려져있었다. 이번에발견된취약점은 1.6.1 이하버전의와이어샤크가실행될때로딩하는 console.lua 파일을조작하는것이다. 이프로그램이실행될때, 현재디렉터리에 console.lua 파일이있으면파일의코드를실행한다. 공격자는이파일에원하는공격코드를삽입하여 WebDAV 나 SMB로파일을공유하고, 같은위치에있는.pcap 파일이실행될때, console.lua 파일내에있는공격코드가실행된다. [ 그림 1-1] 은정상적인 console.lua 파일내용이다. 안드로이드악성코드 FakeInst 변종 16 개로급증 최근안드로이드악성코드의변종중 FakeInst 형태의안드로이드악성코드가급증하고있다. FakeInst는다른애플리케이션의설치를가장하여악의적인행위를하는악성애플리케이션을뜻한다. 아래의내용은패키지 'com.depositmobi' 인안드로이드악성애플리케이션을대상으로확인한결과다. 1. Android Manifest 정보가 6 개의애플리케이션모두동일 [ 그림 1-12] FakeInst 형태의악성애플리케이션의아이콘과권한정보 Dropper/Agent.136569 Dropper/Agent.136569 PDF/Exploit Win-Trojan/Adsagent.13231 Win-Trojan/Adsagent.13231 Win-Trojan/Adsagent.136314 Win-Trojan/Adsagent.14153 Win-Trojan/Adsagent.14153 Win-Trojan/Adsagent.15326 Win-Trojan/Adsagent.15326 Win-Trojan/Adsagent.768.E Win-Trojan/Agent.159762 Win-Trojan/Agent.159762 Win-Trojan/Bumat.11114 Win-Trojan/Downbot.153938 Win-Trojan/Gendal.62464 Win-Trojan/Hupigon.1337 Win-Trojan/Injecter.62464.D Win-Trojan/Injector.26624.AN Win-Trojan/Injector.373 Win-Trojan/Injector.8988.AL Win-Trojan/Injector.896.BP Win-Trojan/Magania.24239 Win-Trojan/Magania.339974 Win-Trojan/Poison.11114.M Win-Trojan/Poison.133951 Win-Trojan/Poison.147456 Win-Trojan/Poison.15937 Win-Trojan/Poison.15937 Win-Trojan/Poison.154539 Win-Trojan/Poison.15575 Win-Trojan/Poison.15575 Win-Trojan/Poison.27136.R Win-Trojan/Poison.4352.P Win-Trojan/Poison.62464.AA Win-Trojan/Poisonivy.12824 Win-Trojan/Poisonivy.12824 Win-Trojan/Poisonivy.12845 Win-Trojan/Poisonivy.128421 Win-Trojan/Poisonivy.133511 Win-Trojan/Poisonivy.133511 Win-Trojan/Poisonivy.135794 Win-Trojan/Poisonivy.135794 Win-Trojan/Poisonivy.15357 Win-Trojan/Poisonivy.15357 Win-Trojan/Poisonivy.154827 Win-Trojan/Poisonivy.154827 Win-Trojan/Poisonivy.17368 Win-Trojan/Poisonivy.17368 Win-Trojan/Poisonivy.177722 Win-Trojan/Poisonivy.532499 Win-Trojan/Poisonivy.536397 듀큐는스턱스넷과달리산업제어시스템과관련된코드와자체전파기능은존재하지않았지만, C&C 서버를통한원격제어, 키로깅을통한정보수집기능, 시스템에감염된지 36일이지나면자동삭제하는기능이포함되어있다. 블로그 <Duqu: Status Updates Including Installer with Zero-Day Exploit Found> 에서는듀큐가 [ 그림 1-9] 와같이마이크로소프트윈도우제로데이취약점을악용했다고분석했다. 제로데이취약점은마이크로소프트워드파일을이용한윈도우커널 (Windows Kernel) 관련취약점으로윈도우의 Win32k 트루타입폰트파싱엔진 (TrueType font parsing engine) 에존재하며, 이로말미암아임의의코드가실행될수있다. 11월현재이취약점은 CVE-211-342인데, 마이크로소프트에서는 <Microsoft Security Advisory (2639658) Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege> 라는보안권고문에서이를자세하게공개하였다. 마이크로소프트는또한 <Microsoft Security Advisory: Vulnerability in TrueType font parsing could allow elevation of [ 그림 1-1] 정상적인 wireshark console.lua 파일내용 [ 그림 1-11] 은취약한와이어샤크버전에서 console.lua 파일에 [ 그림 1-13] Android Manifest 정보
Web 13 14 2. 설치과정의특징 [ 그림 1-14] 의 Rules를선택하면애플리케이션의행위에대한정보를보여준다. 과금이발생할수있음을알리고있지만, 추가설치되 다운로드되는애플리케이션과 URL 이존재한다. [ 그림 1-17] 다운로드 URL 정보 1. SuiConFo 안드로이드악성애플리케이션정보 [ 그림 1-2] 악성애플리케이션의정보 [ 그림 1-23] SuiConFo 설치화면 는애플리케이션에대한지급은아니다. [ 그림 1-14] com.depositmobi 설치화면 1 premium numbers 과금관련안내코드가존재한다. ex) 7151 : 33.87 ~ 4. 루브 [ 그림 1-18] 과금안내코드일부 - Android 2.2(Froyo 2.2) 이상에서설치가능하다. - SEND_SMS 권한으로보아과금발생가능성이추정된다. [ 그림 1-24] 설치된악성애플리케이션 / 실행화면 (ERROR) [ 그림 1-21] Android Manifest 정보 4. 변종추이 [ 그림 1-15] com.depositmobi 설치화면 2 8 월부터꾸준히발생했으며, 현재는 16 개를넘어섰다. [ 그림 1-19] Android-Trojan/FakeInst 변종추이 ( 대상패키지 : com.depositmobi) 2. 설치및특징 - SMSReceiver class 기능 - 811, 3564, 63 등의번호로수신된 SMS를사용자가알수없도록숨긴다. - 애플리케이션실행시화면의 ERROR는아래의코드에의해실행된것이다. [ 그림 1-25] ERROR 코드 - SMS 수신하는기능과함께, 제작자로추정되는번호로 SMS 를전 송한다 ( 통계를위한전송으로추정된다 ). [ 그림 1-22] 악성애플리케이션의유포지 5. V3 모바일진단현황 3. SMS 과금유발코드존재 V3 모바일제품군에서다음과같이진단한다. [ 그림 1-16] SMS 관련코드일부 Android-Trojan/SmsSend Android-Trojan/FakeInst [ 그림 1-26] SMS 관련코드일부 Android-Trojan/Agent Android-Trojan/Boxer 유럽을타깃으로제작된안드로이드악성애플리케이션 최근까지중국또는러시아를타깃으로, 프리미엄번호를이용하여 사용자에게요금이부과되는안드로이드악성애플리케이션이대부 분이었다. 이번호에서는유럽국가를타깃으로제작된 SMS 과금형안드로이드악성애플리케이션을살펴본다. - 웹사이트가저장되어있으며, 다운로드가가능하다.
Web 15 16 [ 그림 1-27] 국가별 SMS 코드 - 악성애플리케이션제작자는캐나다를코딩하면서실수한것으로추정된다. str2 str3 부분이반대로코딩되어있다. - SuiConFo의애플리케이션이모두악성은아니다. 해당이름으로제작된정상적인애플리케이션도존재한다. 3. 스마트폰안전수칙다음과같은수칙을반드시지켜악성코드로부터스마트폰을안전하게보호할것을권장한다. 1. 애플리케이션을설치하거나이상한파일을다운로드한경우에는반드시악성코드검사를실시한다. 2. 게임같은애플리케이션을다운로드할때는먼저다른사용자가올린평판정보를면밀히확인한다. 3. 브라우저나애플리케이션으로인터넷에연결시이메일이나문자메시지에있는 URL은신중하게클릭한다. 4. PC로부터파일을전송받을경우악성코드여부를꼭확인한다. 5. 백신의패치여부를확인해서최신백신엔진을유지한다. 6. 스마트폰의잠금기능 ( 암호설정 ) 을이용해서다른사용자의접근을막는다. 잠금기능에사용한비밀번호는수시로변경한다. 7. 블루투스기능같은무선기능은필요할때만켜놓는다. 8. ID, 비밀번호등을스마트폰에저장하지않는다. 9. 주기적으로백업해서분실시정보의공백이생기지않도록한다. 1. 임의로개조하지않고복사방지같은기능을해제하지않는다.
Web 17 18 2. 시큐리티동향 a. 시큐리티통계 11 월마이크로소프트보안업데이트현황 MS11-83 은 Reference Counter Overflow 취약점으로 Vista, Windows7, Windows Server 28 시 마이크로소프트가제공하는이달의보안업데이트는 4 건이며총 4 건의패치가발표되었다. 스템에닫힌포트로조작된 UDP 패킷을연속적으로보내면 TCP/IP 의취약점으로말미암아원격코드가 11 12 1 2 3 4 5 6 7 8 9 1 11 21.11-211.11 실행될수있다. 해당취약점에관련된공개된 PoC는없으나 YouTube나 pastebin 사이트에서관련동영상과 exploit을실행한흔적을찾아볼수있다. 일각에서사실여부가논란이되고있지만, 위험도가높은만큼각별한주의와업데이트가필요하다. [ 그림 2-2] MS11-83 공격가능성시연동영상 (www.youtube.com/watch?v=4abe6oodlo) [ 그림 2-1] 공격대상기준별 MS 보안업데이트 위험도 취약점 MS11-84 는트루타입폰트파싱취약점으로조작된트루타입글꼴파일을열거나조작된트루타입 글꼴파일이있는네트워크공유또는 WebDAV 위치로이동하는경우서비스거부상태에도달할수있 다. 공격자는메일이나메신저로링크를통해파일을열도록유도한다. 긴급 TCP/IP 취약점으로인한원격코드실행문제점 (MS11-83) 중요 Windows Mail 및 Windows meeting Space의취약점으로인한원격코드실행문제점 (MS11-85) 중요 Active Directory의취약점으로인한권한상승문제점 (MS11-86) 보통 Windows 커널모드드라이버의취약점으로인한서비스거부문제점 (MS11-84) [ 표 2-1] 211년 11월주요 MS 보안업데이트 MS11-85는 Windows Mail Insecure Library Loading 취약점으로조작된 DLL 파일과동일한네트워크디렉터리에있는.eml,.wcinv 파일을여는경우, 원격코드가실행될수있다. MS11-86은 LDAPS Authentication Bypass 로 Active 디렉터리가 LADAPS를사용하도록설정한후공격자는해지된인증서를이용하여도메인에인정받는경우권한이상승될수있다.
Web 19 2 3. 웹보안동향 a. 웹보안통계 월별악성코드유형 211 년 11 월악성코드유형은전달의 685 건에비해 3% 늘어난 77 건이다. 1, 8 792-4.2% 685-13.5% -35 +22 77 +3.2% 6 4 웹사이트보안요약 안철수연구소의웹브라우저보안서비스사이트가드 (SiteGuard) 를활용한웹사이트보안통계자료 에따르면, 211 년 11 월악성코드를배포하는웹사이트의차단건수는총 39,875 건이다. 또한악성 코드유형은 77 건이며, 악성코드가발견된도메인은 452 건, 악성코드가발견된 URL 은 5,26 건으로 211 년 1 월보다전반적으로증가하였다. 악성코드배포 URL 차단건수 25,761 39,875 악성코드유형악성코드가발견된도메인악성코드가발견된 URL 685 77 [ 표 3-1] 웹사이트보안요약 월별악성코드배포 URL 차단건수 211 년 11 월악성코드배포웹사이트 URL 접근에따른차단건수는지난달 25,761 건에비해 55% 증가한 39,875 건이다. 15, +54.8% 397 452 2,698 5,26 211.1 211.11 2 [ 그림 3-2] 월별악성코드유형 월별악성코드가발견된도메인 211 년 11 월악성코드가발견된도메인은 1 월의 397 건에비해 14% 증가한 452 건이다. 1, 8 6 4 2 [ 그림 3-3] 월별악성코드가발견된도메인 월별악성코드가발견된 URL 211.9 211.1 211.11 522-19.7% -125 397-23.9% 211.9 211.1 211.11 211 년 11 월악성코드가발견된 URL 은전달의 2,698 건에비해 86% 늘어난 5,26 건이다. +55 452 +13.9% 125, 1, 75, 5, 25, 39,74-41.9% 25,761-35.2% -13,979 +14,114 39,875 +54.8% 5, 4, 3, 2, 1, 3,351-17.8% -787 2,698-19.5% +2,328 5,26 +86.3% [ 그림 3-1] 월별악성코드발견건수 211.9 211.1 211.11 [ 그림 3-4] 월별악성코드가발견된 URL 211.9 211.1 211.11
Web 21 22 악성코드유형별배포수 악성코드유형별배포수를보면, 트로이목마가 16,53 건 /4.3% 로가장많았고, 다운로더가 7,168 건 /18.% 인것으로조사됐다. 3. 웹보안동향 b. 웹보안이슈 유형건수비율 TROJAN 16,53 4.3 % DOWNLOADER 7,168 18. % ADWARE 5,167 13. % DROPPER 2,133 5.3 % Win32/VIRUT 441 1.1 % JOKE 293.7 % APPCARE 261.7 % SPYWARE 76.2 % ETC 8,283 2.7 % 39,875 1. % [ 표 3-2] 악성코드유형별배포수 211년 11월침해사이트현황 [ 그림 3-6] 211년 11월악성코드유포목적의침해사이트현황 2 18 16 14 12 보통해킹된사이트를통해서유포되는악성코드들은 imm32.dll을패치하는것과 ws2help.dll을교체하는것들이대부분이었다. 그비율은보통 4:6이었으나 11월마지막주에는 imm32.dll을패치하는경우는거의찾아볼수없었고 ws2help.dll을교체하는악성코드의비율이높았다. 이처럼 imm32.dll을패치하는경우가급격히감소한것은 V3에서지속적으로패치된 imm32.dll을광범위하게진단및치료할수있도 TROJAN 16,53 1, 1 8 6 록 Win-Trojan/PatchedImm7.Gen 등으로대응해왔기때문인것으로보인다. ETC DOWNLOADER 8,283 7,168 4 2 1 2 3 4 5 6 7 8 9 1 11 1 2 안철수연구소는 ASEC 블로그에서배너광고를통한악성코드유포사례에대해서여러차례다룬바있다. ADWARE 5,167 DROPPER Win32/VIRUT 2,133 441 5, [ 그림 3-6] 은악성코드유포를목적으로하는침해사고가발생했던사이트의현황이다. 211년 11월의경우, 1월보다 2배정도증가하 1. 악성코드유포는어떻게? 이번에발견된사례는 [ 그림 3-7] 과같은형식으로유포됐다. JOKE 293 였는데, 다른웹페이지에취약점이존재했거나공격대상에서일시적 [ 그림 3-7] 배너광고를통한악성코드유포과정 APPCARE 261 SPYWARE 76 [ 그림 3-5] 악성코드유형별배포수 으로제외되었다가공격이재개되면서악성코드를유포했기때문인것으로추정된다. 악성코드배포순위 악성코드배포건수는 Win-Trojan/Agent.1314816.M 이 4,64 건으로가장많았다. 또 Win-Trojan/ Agent.1314816.M 등 8 건이 Top1 에새로등장하였다. [ 표 3-4] 침해사이트를통해서유포된악성코드 Top 1 순위악성코드명건수 1 Dropper/Win32.OnlineGameHack 38 2 Dropper/Win32.OnlineGameHack 36 순위 등락 악성코드명 건수 비율 1 NEW Win-Trojan/Agent.1314816.M 4,64 22.7 % 2 NEW Downloader/Win32.Genome 3,64 17.8 % 3 NEW Trojan/Win32.Amber 2,778 13.7 % 4 3 Win-Adware/ToolBar.Cashon.38224 1,663 8.2 % 5 NEW Downloader/Win32.Korad 1,588 7.8 % 6 NEW Unwanted/Win32.WinKeygen 1,456 7.2 % 7 NEW Win32/Parite 1,355 6.7 % 8 NEW Downloader/Win32.Totoran 1,328 6.5 % 9 6 Win-Trojan/Buzus.438.J 1,66 5.3 % 1 NEW VBS/Agent 855 4.1 % 2,297 1. % [ 표 3-3] 악성코드배포 Top 1 3 Trojan/Win32.OnlineGameHack 29 4 Dropper/Win32.OnlineGameHack 27 5 Trojan/Win32.OnlineGameHack 26 6 Dropper/Win32.OnlineGameHack 25 7 Dropper/Win32.OnlineGameHack 22 8 Trojan/Win32.OnlineGameHack 22 9 Dropper/Win32.OnlineGameHack 2 1 Dropper/Onlinegamehack.16115.C 19 [ 표 3-4] 는한달간침해사이트를통해서가장많이유포된악성코드 Top 1이다. 211년 11월의경우 Dropper/Win32.OnlineGameHack이 대부분이며 Trojan/Win32.OnlineGameHack 역시드롭퍼에의해서파 생된특정온라인게임사용자의계정정보를탈취하기위한 DLL이다. 2. 악성코드감염은어떻게? [ 그림 3-8] 처럼악성스크립트가삽입된배너광고에노출된 PC에보안취약점이존재했다면악성코드에감염되었을확률이높다. 악성스크립트가정상적으로동작하면브라우저버전, 취약점등조건에따라최종적으로아래주소에서악성코드를다운로드및실행한다. 'http://***.78.***.175/ags/ags.gif ' 배너광고에노출된 PC에악성코드를다운로드및실행하기위해서
Web 23 VOL. 23 ASEC REPORT Contributors 집필진선임연구원선임연구원주임연구원연구원 안창용장영준이도현박정우 사용된취약점은아래와같다. - CSS 메모리손상취약점 (MS11-3, CVE-21-3971) http://technet.microsoft.com/ko-kr/security/bulletin/ms11-3 - Adobe Flash Player 취약점 : CVE-211-214 http://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-211-214 http://www.adobe.com/support/security/bulletins/apsb11-21.html 위취약점들을사용한악성스크립트에포함된쉘코드는암호화된 URL을가지고있으며복호화한후다운로드및실행하도록되어있다. 3. 악성코드에의한계정탈취는어떻게? 참여연구원편집장선임연구원편집인디자인 ASEC 연구원 SiteGuard 연구원안형봉안철수연구소마케팅실안철수연구소 UX디자인팀 [ 그림 3-9] 악성 ws2help.dll 에의한 HttpSendRequestA() 함수패치전과후 감수 상 무 조시행 [ 그림 3-9] 를보면악성 ws2help.dll에의해서 HttpSendRequestA() 함수가패치될경우 x13f란주소로분기하도록되어있음을알수있다. 위와같이하는이유는사용자가입력한 ID/PW를정상사이트로전송하기전에악성 ws2help.dll에의해서입력된계정정보를탈취하기위한것이고 [ 그림 3-1] 에서보는것처럼특정사이트로전송된다. 발행처 ( 주 ) 안철수연구소경기도성남시분당구삼평동 673 ( 경기도성남시분당구판교역로 22) T. 31-722-8 F. 31-722-891 [ 그림 3-1] 특정사이트로전송되는 ID/PW Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved.