목차 Part Ⅰ 2 월의악성코드통계... 3 1. 악성코드통계... 3 (1) 감염악성코드 Top 15... 3 (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이... 5 2. 악성코드이슈분석 Spyware.PWS.KRBanker.C... 6 (1) 개요... 6 (2) 행위분석... 6 (3) 결론... 14 3. 허니팟 / 트래픽분석... 15 (1) 상위 Top 10 포트... 15 (2) 상위 Top 5 포트월별추이... 15 (3) 악성트래픽유입추이... 16 4. 스팸메일분석... 17 (1) 일별스팸및바이러스통계현황... 17 (2) 월별통계현황... 17 (3) 스팸메일내의악성코드현황... 18 Part Ⅱ 보안이슈돋보기... 19 1. 2 월의보안이슈... 19 2. 2 월의취약점이슈... 21 페이지 2
Part Ⅰ 2 월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 [2013년 02월 01일 ~ 2013년 02월 28일 ] 순위 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 New Spyware.OnlineGames-GLG Spyware 2,720 2 1 Trojan.Dropper.OnlineGames.ver Trojan 2,701 3 2 Gen:Variant.Kazy.125570 Etc 2,668 4 New Trojan.Generic.8676974 Trojan 2,141 5 2 Trojan.Downloader.86016 Trojan 1,856 6 2 Trojan.Downloader.ATGG Trojan 1,768 7 New Gen:Trojan.Heur.KS.2 Trojan 1,439 8 New Spyware.OnlineGames.wsxp Spyware 1,351 9 1 Trojan.JS.Agent.HFM Trojan 1,248 10 3 Gen:Trojan.Heur.RP.myZ@amr7yFo Trojan 1,188 11 1 Gen:Trojan.Heur.DP.omGfaWAMtudG Trojan 1,181 12 9 Trojan.Dropper.OnlineGames.wsxp Trojan 1,083 13 New Trojan.Generic.KD.843235 Trojan 1,060 14 New Gen:Trojan.Heur.ymZ@H9hdYumi Trojan 1,031 15 New Gen:Trojan.Heur.PT.my4@a4xWzukb Trojan 1,014 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 감염악성코드 Top 15는사용자 PC에서탐지된악성코드를기반으로산출한통계입니다. 2월의감염악성코드 TOP 15에서는지난달에 Top15 순위에없었던 Spyware.OnlineGames-GLG가 새롭게 1위를차지하였습니다. Spyware.OnlineGames-GLG는새로나온악성코드는아니고, 기존에 도존재하는온라인게임계정탈취악성코드의종류중 1가지입니다. 지난달 1위를차지했던 Gen:Variant.Kazy.125570은 3위로내려왔으며, 지난달 3위였던 Trojan.Dropper.OnlineGames.ver는 한단계상승하여 2위를차지했습니다. 1,2,3위모두온라인게임계정탈취를주목적으로하는악 성코드이며, 이들은추가적으로금융계정정보도함께탈취를시도한다는것을알고주의를기울 여야합니다. 페이지 3
(2) 카테고리별악성코드유형 기타 (Etc) 11% 스파이웨어 (Spyware) 17% 트로이목마 (Trojan) 72% 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 취약점 (Exploit) 웜 (Worm) 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 72% 를차지했으며, 스파이웨어 (Spyware) 유형이 17% 로 2 위를차지했습니다. 기타 (ETC) 유형의경우 11% 로 3 위의점유율을 보였습니다. (3) 카테고리별악성코드비율전월비교 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 호스트파일 (Host) 기타 (Etc) 13% 17% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 6% 0% 26% 11% 55% 72% 1 월 2 월 0% 20% 40% 60% 80% 100% 2월에는지난 1월과비교하여트로이목마 (Trojan) 유형의악성코드비중이대폭증가하였습니다. 스파이웨어 (Spyware) 유형의악성코드는 1월에비해소폭증가하였으며기타 (ETC) 유형의악성코드는 1월에비해 60% 가까이감소하였습니다. 페이지 4
(4) 월별피해신고추이 [2012 년 03 월 ~ 2013 년 02 월 ] 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 1 월 2 월 알약사용자의신고를합산에서산출한결과임월별피해신고추이는알약사용자의신고를합산해서산출한결과로써, 월별신고건수를나타내는그래프입니다. 알약 2.0의신고기능에의해접수된피해문의신고는 2월은 1월에비해약간의하락폭을보였습니다. 다만 1월에비해 2월이 3일이나적은것을감안했을때, 1월과거의유사한수치의신고가접수된것으로보입니다. (5) 월별악성코드 DB 등록추이 [2012 년 03 월 ~ 2013 년 02 월 ] 201203 201204 201205 201206 201207 201208 201209 201210 201211 201212 201301 201302 Adware Spyware Hijacker KeyLogger Exploit RAT Trojan Worm Backdoor Downloader Dropper Misc 페이지 5
Part Ⅰ 2 월의악성코드통계 2. 악성코드이슈분석 Spyware.PWS.KRBanker.C (1) 개요 이악성코드는 Spyware.PWS.KRBanker의변종으로특정인터넷뱅킹사이트 ( 국민은행, 신한은행 ) 로접근시그인터넷뱅킹사이트의웹페이지에스크립트를삽입하여아이디비밀번호를탈취하고, 공인인증서를검색하여 FTP 서버로전송하는기능을가진악성코드이다. (2) 행위분석 1 악성파일 (0.exe) - 파일정보 Detection Name File Name Size(Byte) Spyware.PWS.KRBanker.C 0.exe 20480 0.exe 파일의행위는 C:\Windows 폴더하위에 hanhelp 라는폴더를생성하고그곳에다 른악성파일다운로드, 그리고그악성파일중 psqloginmgr.dll 파일을 regsvr32.exe 를이 용하여등록시키는것이다. ( 그림. C:\Windows 폴더하위에 hanhelp 폴더를생성 ) 페이지 6
( 그림. 특정사이트에서파일을다운받아 hanhelp 폴더에저장 ) Systemwap.exe 뿐만아니라동일사이트에서 LoginMgr.dll, NDDeleteAll.exe 을다운받아 hanhelp 폴 더에저장한다. ( 그림. regsvr32 을이용하여 psqloginmgr.dll 을등록 ) 페이지 7
2 악성파일 (psqloginmgr.dll) - 파일정보 Detection Name File Name Size(Byte) Spyware.PWS.KRBanker.C psqloginmgr.dll 187392 psqloginmgr.dll 파일은 BHO 로등록되어인터넷익스플로러가동작할때자동으로실행 된다. 특정금융사이트에접근할경우 1. net stop sharedaccess 명령어를이용하여방화벽을내린다. 2. 174.139.68.18에접근해서감염된 PC 사용자의 MAC 주소를이용하여감염이된적이있는지를체크한다. 3. 감염된적이있다면특정파라미터를받아 C:\Windows\hanhelp\psDeleteAll.exe를실행하여파일을정리한다. ( 그림. MAC 주소가등록된적이있을경우코드흐름 ) 페이지 8
4. 감염된적이없다면 C:\Windows\hanhelp\psqsystemwap.exe 를실행한다. ( 그림. MAC 주소가등록된적이없는경우코드흐름 ) 5. 인터넷익스플로러버전을확인한다. ( 그림. IE 버전체크 ) 페이지 9
6. 스크립트파일을금융사이트의 Body 부분에삽입한다. ( 그림. 금융사이트에삽입내용 ) 페이지 10
3악성파일 (psqsystemwap.exe) - 파일정보 Detection Name File Name Size(Byte) Spyware.PWS.KRBanker.C psqsystemwap.exe 396288 psqsystemwap.exe 파일의행위는감염된사용자의 MAC 어드레스를이용하여공인인증 서파일이 FTP 에업로드되었는지확인하고, B~Z 드라이버에서확장자가 pfx, p12 일경 우 FTP 로전송을한다. ( 그림. MAC 주소로인증서파일을업로드한적이있는지확인 ) 페이지 11
( 그림. 공인인증서파일을찾기위해검색하는코드 ) ( 그림. 확장자가 pfx, p12 파일을찾는코드 ) 페이지 12
( 그림. 공인인증서파일을업로드하는코드 ) 페이지 13
( 그림. FTP 서버화면 ) (3) 결론 해당악성코드에감염시정상인터넷뱅킹사이트접속시특정 URI를확인하여정상적인인터넷뱅킹사이트에악의적인스크립트를삽입함으로써특정부분을제외하고는정상적인웹페이지를보여준다. 인터넷페이지가정상인터넷뱅킹때와동일하게보이고, 보안모듈, 공인인증서역시정 상적으로동작하기때문에사용자는육안상으로확인하기가상당히어렵다. 따라서안티바이러스프로그램은파밍사이트에대해빠른대처가필요하며, 사용자들은 보안취약점업데이트와인터넷뱅킹암호, 공인인증서의암호를주기적으로교체하는노 력이필요하다. 페이지 14
Part Ⅰ 2 월의악성코드통계 3. 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 25 110 2% 1% 23 7% 1433 8% 3389 8% 3306 70% 3306 3389 1433 23 25 110 22 5900 808 80 (2) 상위 Top 5 포트월별추이 [2012 년 12 월 ~ 2013 년 02 월 ] 2012 년 12 월 2013 년 1 월 2013 년 2 월 3306 1433 25 33892 21 페이지 15
(3) 악성트래픽유입추이 [2012 년 09 월 ~ 2013 년 02 월 ] 2012 년 9 월 2012 년 10 월 2012 년 11 월 2012 년 12 월 2013 년 1 월 2013 년 2 월 페이지 16
2013-2-1 2013-2-3 2013-2-5 2013-2-7 2013-2-9 2013-2-11 2013-2-13 2013-2-15 2013-2-17 2013-2-19 2013-2-21 2013-2-23 2013-2-25 2013-2-27 Part Ⅰ 2 월의악성코드통계 4. 스팸메일분석 (1) 일별스팸및바이러스통계현황 60,000 50,000 40,000 30,000 20,000 10,000 바이러스 스팸 0 일별스팸및바이러스통계현황그래프는하루에유입되는바이러스및스팸메일의개수를나타내는그래프입니다. 2월의경우 1월에비해바이러스가포함된메일통계수치는약 22% 가량감소하였으며, 스팸메일의통계수치는연말연시, 음력설등의명절특수를노린 1월에비해약 1/6 가까이그수치가대폭감소하였습니다. (2) 월별통계현황 [2012 년 09 월 ~ 2013 년 02 월 ] 1,400,000 1,200,000 0.6% 1,000,000 800,000 600,000 400,000 200,000 0 1.1% 99.4 2.6% 3.4% 3.0% 98.9 2.5% 97.4 96.6 97.0 97.5 9월 10월 11월 12월 1월 2월 바이러스 스팸 월별통계현황은전체악성메일중단순스팸메일과악성코드첨부메일의각비율을나타내는 그래프입니다. 2 월에는스팸메일이 97.5%, 바이러스첨부메일이 2.5% 의비율로수신된것으로 확인되었습니다. 2 월에는특히 1 월에비해스팸메일이큰수치로감소하였습니다. 페이지 17
(3) 스팸메일내의악성코드현황 [2013 년 02 월 01 일 ~ 2013 년 02 월 28 일 ]ff 순위 악성코드진단명 메일수 [ 개 ] 비율 [%] 1 W32/Mytob-C 932 16.57% 2 W32/MyDoom-H 699 12.43% 3 Mal/ZipMal-B 432 7.68% 4 W32/MyDoom-BZ 356 6.33% 5 W32/MyDoom-N 285 5.07% 6 Troj/Invo-Zip 249 4.43% 7 W32/Virut-T 198 3.52% 8 W32/Netsky-C 135 2.40% 9 vtr=0001.0a150208.5118fcbf.024c,vl=3,vh,fgs=0 117 2.08% 10 W32/Netsky-P 85 1.51% 스팸메일내의악성코드현황은 2월한달동안수신된메일에서발견된악성코드중 Top 10을뽑은그래프입니다. 현재 W32/Mytob-C가 16.57% 의비율로 10달연속으로 1위를차지하고있으며, 지난달에 2위와 3위를차지했던 Mal/ZipMal-B와 W32.MyDoom-H가서로자리를바꾸었습니다. 특별히새로급상승한악성코드는보이지않았으며, 1월통계에비해스팸메일수와악성코드포함여부수치가전체적으로급하락한것을확인할수있습니다. 이번달 9위의경우다른악성코드진단명과확연히다른부분을확인할수있는데, 이것은스팸메일솔루션에서의휴리스틱탐지명을뜻하는진단명입니다. 페이지 18
Part Ⅱ 보안이슈돋보기 1. 2 월의보안이슈 사용자PC에저장된공인인증서를빼돌리는악성코드가계속해서발견되고있습니다. 그밖에미국주요신문사줄줄이해킹, 한국인터넷진흥원, 모바일악성코드탐지기술민간에이전, 안드로이드 DDoS공격현실화우려, 2월 18일, 개정정보통신망법시행건등이 2월의이슈가되었습니다. 미국주요신문사줄줄이해킹 중국소행의심뉴욕타임스, 월스트리스저널, 워싱턴포스트등미국주요신문사들이잇따라해킹공격을받았습니다. 뉴욕타임스는지난 10월, 중국총리원지아바오일가가 3조원대재산을축적하고있다는보도후, 수개월째해커들의공격을받은것으로알려졌으며, 월스트리트저널베이징지사의컴퓨터시스템역시해커의공격을받았습니다. 주요신문사를공격한해커들은상업적인이득을노린해킹은아니였으며, 주로중국관련기사의정보를노린것으로나타났습니다. 하지만이러한미국의입장에중국정부는비전문적인주장일뿐어떠한근거도찾을수없다고지적했습니다. 한국인터넷진흥원, 모바일악성코드탐지기술민간에이전한국인터넷진흥원 ( 이하KISA) 이악성코드경유, 유포지를탐지하고분석하는기술및정보보호분야연구개발 (R&D) 핵심기술을보안업체에이전에산업화촉진에본격적으로나서기로했습니다. 최근마이크로소프트의보고서에따르면, 지난해하반기한국의악성코드감염률은지난해상만기에비해 4.2배나늘어났으며올해 KISA가이전할정보보호기술은악성코드감염PC, 제로데이공격및악성URL 등의악성코드탐지및분석에기여할것이라고기대하였습니다. 안드로이드 DDoS공격현실화우려좀비 PC기반이아닌좀비스마트폰을통한 DDoS공격은아직많이보고되지않았지만, 안드로이드폰을좀비폰으로악용하려는시도가급증함에따라, 국내에서 모바일분산서비스거부 (DDoS) 공격이현실화할수있는우려가커지고있습니다. 지난해 폰키퍼 를사칭한안드로이드가등장한이후, DDoS 공격기능을탑재한악성코드가올해 2월까지 17종으로늘어났습니다. 공인인증서빼돌리는악성코드주의보사용자PC에저장된공인인증서를빼돌리는악성코드가발견되었습니다. 금융결제원등이금융피싱사이트모니터링중악성코드에의해자동으로수집된공인인증서목록을발견하였으며, 그목록에나온 100여건의인증서를일괄폐기조치하였습니다. 현재까지유출이확인된공인인증서는 100여건이며, 실제금전적피해는아직접수되지않은것으로알려졌습니다. 이악성코드는피싱사이트로사용자들을유도하여사용자의금융정보및공인인증서를탈취하려는목적으로제작되었습니다. 이러한공인인증서를노린악성코드변종이 페이지 19
지속적으로나타날것으로예상됩니다. 2월 18일, 개정정보통신망법시행 2월 18일부터인터넷상에서주민번호를신규수집하거나이용하는것을전면금지하는정보통신망법개정안이시행되었습니다. 이로서사업자들은주민번호를대체할방법으로아이핀, 공인인증서, 휴대폰인증등을사용하게되었습니다. 하지만시행첫날, 아이핀을발급받으려많은사람들이몰리면서서버가다운되는현상도나타났으며, 업계일각에서는주민등록번호를여전히수집하고있습니다. 인터넷금융고객 1천 700만명에 피싱위험 긴급공지금융결제원이인터넷금융고객 1천 700만명에게신종피싱위험을경고하는긴급공지이메일을보냈습니다. 이러한조치는악성코드로공인인증서를빼내는신종피싱으로금융권보안에빨간불이켜졌기때문입니다. 은행, 보험사, 신용카드사에서발급하는인증서의 75% 를금융결제원이관리하는것을본다면, 이번긴급공지이메일은거의모든국민에게피싱경고장을날린셈입니다. 美, 유럽 20개국기관에 PDF 이용한신종해킹공격미국과유럽 10여개국정부기관등의컴퓨터수십대가전자문서 (PDF) 파일을이용한신종해킹공격을받았습니다. 이 PDF에는이른바 미니듀크 (MiniDuke) 라불리는악성코드가삽입되어있었으며, 이 PDF파일을이메일에첨부하였습니다. 이악성코드에감염되면컴퓨터가특정트위터와구글계정을통하여트윗등을자동검색하는것으로알려져있습니다. 다만공격을받은컴퓨터에서정보가빠져나갔는지는아직조사중에있습니다. 페이지 20
2. 2월의취약점이슈 Microsoft 2월정기보안업데이트 Internet Explorer 누적보안업데이트, 벡터표시언어의취약점으로인한원격코드실행문제, 미디어압축해제의취약점으로인한원격코드실행문제, Microsoft Exchange Server의취약점으로인한원격코드실행문제, OLE 자동화의취약점으로인한원격코드실행문제해결등을포함한 Microsoft 2월정기보안업데이트가발표되었습니다. < 해당제품 > Windows XP Windows Vista Windows 7 Windows 8 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Internet Explorer 누적보안업데이트 (2792100) 이보안업데이트는 Internet Explorer에서발견되어비공개적으로보고된취약점 13건을해결합니다. 가장위험한취약점으로인해사용자가 Internet Explorer를사용하여특수하게조작된웹페이지를볼경우원격코드실행이허용될수있습니다. 취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. 벡터표시언어의취약점으로인한원격코드실행문제점 (2797052) 이보안업데이트는 Microsoft의 VML( 벡터표시언어 ) 구현에대해비공개적으로보고된취약점을해결합니다. 이취약점으로인해사용자가 Internet Explorer를사용하여특수하게조작된웹페이지를볼경우원격코드실행이허용될수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. 미디어압축해제의취약점으로인한원격코드실행문제점 (2780091) 이보안업데이트는 Microsoft Windows의공개된취약점 1건을해결합니다. 이취약점은사용자가특수하게조작된내장미디어파일을포함하거나특수하게조작된스트리밍컨텐츠를수신한특수하게조작된미디어파일 ( 예 :.mpg 파일 ), Microsoft Office 문서 ( 예 :.ppt 파일 ) 를열경우원격코드실행을허용할수있습니다. 취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성 페이지 21
된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Microsoft Exchange Server의취약점으로인한원격코드실행문제점 (2809279) 이보안업데이트는 Microsoft Exchange Server에서발견되어공개적으로보고된취약점을해결합니다. 가장심각한취약점은 Microsoft Exchange Server WebReady 문서보기에있으며, 사용자가 OWA(Outlook Web App) 를사용하여특수하게조작된파일을미리보는경우 Exchange 서버에있는코드변환서비스의보안컨텍스트에서원격코드를실행하도록허용할수있습니다. WebReady 문서보기에사용되는 Exchange에있는코드변환서비스는 LocalService 계정에서실행되고있습니다. LocalService 계정에는로컬컴퓨터의최소권한이있으며네트워크에서익명자격증명을제시합니다. OLE 자동화의취약점으로인한원격코드실행문제점 (2802968) 이보안업데이트는비공개적으로보고된 Microsoft Windows OLE(Object Linking and Embedding) 자동화의취약점을해결합니다. 이러한취약점으로인해사용자가특수하게조작된파일을열경우원격코드실행이허용될수있습니다. 이취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. FAST Search Server 2010 for SharePoint의구문분석취약점으로인한원격코드실행 (2784242) 이보안업데이트는 Microsoft FAST Search Server 2010 for SharePoint의공개된취약점을해결합니다. 이취약점은사용자계정의보안컨텍스트에서제한된토큰으로원격코드를실행하도록허용할수있습니다. FAST Search Server for SharePoint는 Advanced Filter Pack 을사용하는경우에만이문제의영향을받습니다. 기본적으로 Advanced Filter Pack은사용되지않습니다. NFS 서버의취약점으로인한서비스거부문제점 (2790978) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 공격자가읽기전용공유에서파일작업을수행하려고하면취약점으로인해서비스거부문제가발생할수있습니다. 이취약점을악용하는공격자는영향을받는시스템에서응답을중지하거나다시시작하도록만들수있습니다. 이취약점은 NFS 역할이활성화된 Windows 서버에만영향을줍니다..NET Framework의취약점으로인한권한상승문제점 (2800277) 이보안업데이트는비공개적으로보고된.NET Framework의취약점한가지를해결합니다. 이취약점은사용자가 XBAP(XAML 브라우저응용프로그램 ) 를실행할수있는웹브라우저를사용하여특수하게조작된웹페이지를볼경우권한을상승시킬수있습니다. 이취약점은 CAS( 코드액세스보안 ) 제한을우회하기위해 Windows.NET 응용프로그램에서 페이지 22
사용될수도있습니다. 이취약점악용에성공한공격자는현재사용자와동일한권한을 얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권 한으로작업하는사용자에비해영향을적게받습니다. Windows 커널모드드라이버의취약점으로인한권한상승문제점 (2778344) 이보안업데이트는 Microsoft Windows에서발견되어비공개적으로보고된취약점 30건을해결합니다. 공격자가시스템에로그온하고특수하게조작된응용프로그램을실행할경우이취약점으로인해권한상승이허용될수있습니다. 이취약점을악용하려면공격자가유효한로그온자격증명을가지고로컬로로그온할수있어야합니다. Windows 커널의취약점으로인한권한상승문제점 (2799494) 이보안업데이트는지원대상인모든 Microsoft Windows에서발견되어비공개적으로보고된취약점 3건을해결합니다. 공격자가시스템에로그온하고특수하게조작된응용프로그램을실행할경우이취약점으로인해권한상승이허용될수있습니다. 이취약점을악용하려면공격자가유효한로그온자격증명을가지고로컬로로그온할수있어야합니다. TCP/IP의취약점으로인한서비스거부문제점 (2790655) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 이취약점으로인해인증되지않은공격자가특수하게조작된연결종료패킷을서버에보낼경우서비스거부가발생할수있습니다. Windows CSRSS(Client/Server Runtime Subsystem) 의취약점으로인한권한상승문제점 (2790113) 이보안업데이트는 Microsoft Windows의공개된취약점을해결합니다. 공격자가시스템에로그온하고특수하게조작된응용프로그램을실행할경우이취약점으로인해권한상승이허용될수있습니다. 이취약점을악용하려면공격자가유효한로그온자격증명을가지고로컬로로그온할수있어야합니다. < 해결방법 > Windows Update 를수행하거나 Microsoft 보안공지요약사이트에서해당취약점들의개 별적인패치파일을다운로드받을수있습니다. 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms13-feb 영문 : http://technet.microsoft.com/en-us/security/bulletin/ms13-feb 페이지 23
Adobe Flash Player 및 Shockwave Player 취약점업데이트권고 Adobe 社는 Adobe Flash 및 Shockwave Player에영향을주는코드실행취약점을해결한보안업데이트를발표낮은버전의 Adobe Flash 및 Shockwave Player 사용으로악성코드감염등의사고가발생할수있으므로해결방안에따라최신버전으로업데이트권고 Adobe 社는 Adobe Flash Player의 17개취약점을해결한보안업데이트를발표코드실행으로이어질수있는버퍼오버플로우취약점 (CVE-2013-1372, CVE-2013-0645, CVE-2013-1373, CVE-2013-1369, CVE-2013-1370, CVE-2013-1366, CVE-2013-1365, CVE- 2013-1368, CVE-2013-0642, CVE-2013-1367) 코드실행으로이어질수있는 use-after-free 취약점 (CVE-2013-0649, CVE-2013-1374, CVE-2013-0644) 코드실행으로이어질수있는정수형오버플로우취약점 (CVE-2013-0639) 코드실행으로이어질수있는메모리손상취약점 (CVE-2013-0638, CVE-2013-0647) 정보유출로이어질수있는취약점 (CVE-2013-0637) Adobe 社는 Adobe Shockwave Player 의 2 개취약점을해결한보안업데이트를발표 코드실행으로이어질수있는메모리손상취약점 (CVE-2013-0635) 코드실행으로이어질수있는스텍오버플로우취약점 (CVE-2013-0636) < 해당제품 > - 윈도우및 Mac 환경에서동작하는 Adobe Flash Player 11.5.502.149 및이전버전 - 리눅스환경에서동작하는 Adobe Flash Player 11.2.202.262 및이전버전 - 안드로이드 4.x 환경에서동작하는 Adobe Flash Player 11.1.115.37 및이전버전 - 안드로이드 3.x, 2.x 환경에서동작하는 Adobe Flash Player 11.1.111.32 및이전버전 - 구글크롬브라우저환경에서동작하는 Adobe Flash Player 11.5.31.139 및이전버전 - 윈도우8, 인터넷익스플로러10 환경에서동작하는 Adobe Flash Player 11.3.379.14 및이전버전 - 윈도우및 Mac 환경에서동작하는 Adobe AIR 3.5.0.1060 및이전버전 - Adobe AIR 3.5.0.1060 SDK 버전 - 안드로이드환경에서동작하는 Adobe AIR 3.5.0.1060 및이전버전 - 윈도우및 Mac 환경에서동작하는 Adobe Shockwave Player 11.6.8.638 및이전버전 < 해결방법 > 윈도우, Mac, 리눅스환경의 Adobe Flash Player 사용자 Adobe Flash Player Download Center(http://get.adobe.com/kr/flashplayer) 에방문하여 Adobe Flash Player 최신버전을설치하거나, 자동업데이트를이용하여업그레이드 윈도우 8 버전에서동작하는인터넷익스플로러 10 버전사용자 페이지 24
윈도우자동업데이트적용 안드로이드환경의 Adobe Flash Player 사용자 Adobe Flash Player가설치된안드로이드폰에서 구글플레이스토어 접속 메뉴선택 내애플리케이션선택 Adobe Flash Player 안드로이드최신버전으로업데이트하거나자동업데이트를허용하여업그레이드 구글크롬브라우저사용자 크롬브라우저자동업데이트적용 윈도우, Mac 환경의 Adobe AIR 사용자 Adobe AIR Download Center(http://get.adobe.com/kr/air) 에방문하여 Adobe AIR 최신버 전을설치하거나, 자동업데이트를이용하여업그레이드 Adobe AIR SDK 사용자 (http://www.adobe.com/devnet/air/air-sdk-download.html) 에방문하여 Adobe AIR SDK 최 신버전을설치 안드로이드환경의 Adobe AIR 사용자 Adobe AIR가설치된안드로이드폰에서 구글플레이스토어 접속 메뉴선택 내애플리케이션선택 Adobe AIR 안드로이드최신버전으로업데이트하거나자동업데이트를허용하여업그레이드 윈도우, Mac 환경의 Adobe Shockwave Player 사용자 Adobe Download Center(http://get.adobe.com/shockwave/) 에방문하여최신버전을설치 하거나자동업데이트를이용하여업그레이드 < 참고사이트 > http://www.adobe.com/support/security/bulletins/apsb13-05.html http://www.adobe.com/support/security/bulletins/apsb13-06.html Adobe Reader/Acrobat 신규취약점보안업데이트권고 Adobe Reader 및 Acrobat 프로그램에악성코드감염등에악용될수있는신규취약점이발견됨. 이메일을통해해당취약점을이용한악성 PDF파일을열도록유도하는공격이확인되어사용자주의가특히요구됨. - 프로그램의비정상종료및잠재적으로공격자가영향받는시스템을조종할수있는 취약점 (CVE-2013-0640, CVE-2013-0641) 페이지 25
< 해당제품 > - 윈도우즈, 매킨토시환경에서동작하는 Adobe Reader XI (11.0.01 및이전버전 ) - 윈도우즈, 매킨토시환경에서동작하는 Adobe Reader X (10.1.5 및이전버전 ) - 윈도우즈, 매킨토시, 리눅스환경에서동작하는 Adobe Reader 9.5.3 및이전 9.x 버전 - 윈도우즈, 매킨토시환경에서동작하는 Adobe Acrobat XI (11.0.01 및이전버전 ) - 윈도우즈, 매킨토시환경에서동작하는 Adobe Acrobat X (10.1.5 및이전버전 ) - 윈도우즈, 매킨토시환경에서동작하는 Adobe Acrobat 9.5.3 및이전 9.x 버전 < 해결방법 > 현재해당취약점에대한보안업데이트는발표되지않았음 취약점으로인한위협을경감시키기위하여윈도우즈환경의 Adobe Reader XI 및 Acrobat XI 사용자는 제한된보기 기능을활성화 - Adobe Reader XI 에서편집메뉴 > 기본설정 > 보안 ( 고급 ) 의 제한된보기 에서 안전 하지않을수있는위치의파일 을선택 - 제한된보기 기능활성화하면인터넷등의안전하지않을수있는위치에서가져온 파일은알림이표시됨 보안업데이트가발표되기전까지윈도우즈환경의 Adobe Reader XI 및 Acrobat XI 이외의 사용자는다른 PDF 프로그램사용을권고함. 신뢰할수없는사이트의방문또는출처가불분명한 PDF 첨부파일의열람을자제해야함 < 참고사이트 > http://www.adobe.com/support/security/advisories/apsa13-02.html 삼성 Kies 프로그램원격코드실행취약점보안업데이트권고삼성전자스마트폰관리용 PC 프로그램인삼성 Kies에서원격코드실행이가능한취약점이발견되었습니다. 취약한버전의사용자는특수하게제작된웹페이지를열람하게될경우, 원격코드실행취약점으로인해악성코드감염등의사고가발생할수있으므로해결방안에따라최신버전으로업데이트하시기바랍니다. < 해당제품 > Samsung Kies 2.5.0.12114_1 및이전버전 < 해결방법 > 페이지 26
기존삼성 Kies 사용자는업데이트가적용된상위버전 (2.5.1.12123_2_7 이후 ) 으로업그레이드 - 삼성 Kies 실행시자동으로최신업데이트실행가능신규삼성 Kies 사용자는업데이트가적용된상위버전으로설치 < 참고사이트 > http://www.samsung.com/sec/support/pcapplication/kies Oracle Java SE Critical Patch Update 권고 Oracle Critical Patch Update(CPU) 는 Oracle사의제품을대상으로다수의보안패치를발표하는주요수단임. 2013년 2월 19일 ( 현지시각 ) Oracle Java SE CPU 발표이후, 관련공격코드의출현으로인한피해가예상되므로 Oracle Java SE 제품의다중취약점에대한패치하기를권고함 이번업데이트는 2013 년 2 월 1 일 ( 현지시각 ) Oracle CPU 에서발표한 Oracle Java SE 제품의 취약점패치를포함하며, 원격에서악용될수있는보안취약점 5 개의패치를추가제공함 영향받는시스템및취약점상세정보는참고사이트를참조 < 해당제품 > - JDK, JRE 7 Update 13 및이전버전 - JDK, JRE 6 Update 39 및이전버전 - JDK, JRE 5.0 Update 39 및이전버전 - SDK, JRE 1.4.2_41 및이전버전 < 해결방법 > 설치된제품의최신업데이트를다운로드받아설치하거나, Java 자동업데이트설정을권 고 < 참고사이트 > http://www.oracle.com/technetwork/topics/security/javacpufeb2013update-1905892.html http://www.oracle.com/technetwork/java/javase/downloads/index.html http://www.java.com/ko/download/help/java_update.xml 아래한글원격코드실행취약점보안업데이트권고한글과컴퓨터社에서개발한워드프로세서인 아래한글 에서원격코드실행취약점 2종이발견됨. 낮은버전의아래한글사용자는악성코드감염에취약할수있으므로해결방안에따라보안업데이트권고. 페이지 27
- 공격자는웹게시, 스팸메일, 메신저의링크등을통해특수하게조작된한글문서 (HWP) 파일을사용자가열어보도록유도하여원격코드가실행될수있는취약점이존재 - 사용자가특수하게조작된 DLL 파일과동일한디렉토리경로에존재하는정상 HWP 문 서파일을열람할경우, 원격코드가실행될수있는취약점이존재 < 해당제품 > - 한글 2002SE 5.7.9.3066 이전버전 - 한글 2004 6.0.5.784 이전버전 - 한글 2005 6.7.10.1092 이전버전 - 한글 2007 7.5.12.668 이전버전 - 한글 2010 SE 8.5.8.1327 이전버전 < 해결방법 > 취약한한글버전소프트웨어사용자 - 다음과같은한글과컴퓨터홈페이지를방문하여보안업데이트파일을다운받아설치하거나, 자동업데이트를통해한글최신버전으로업데이트 * 한글 2002SE 5.7.9.3066 이상버전 * 한글 2004 6.0.5.784 이상버전 * 한글 2005 6.7.10.1092 이상버전 * 한글 2007 7.5.12.668 이상버전 * 한글 2010 SE 8.5.8.1327 이상버전 * http://www.hancom.co.kr/download.downpu.do?mcd=001 * 자동업데이트 : 시작 모든프로그램 한글과컴퓨터 한컴자동업데이트 페이지 28
< 참고사이트 > http://www.hancom.co.kr/download.downpu.do?mcd=001 iptime 유무선공유기 CSRF 취약점주의권고 EFM-Networks 社의제품인 iptime 유무선공유기제품에서 CSRF취약점이발견됨. 관리자암호가설정되지않은유무선공유기사용자가악성사이트를방문할경우, 공격자가관리자패스워드를변조할수있는취약점. iptime 제품의최신버전에서도해당취약점이존재하므로, 사용자는임시조치방안에따른조치를권고함 < 해당제품 > iptime 유무선공유기제품 < 해결방법 > 사용자는취약점에의한피해를입지않도록다음과같은사항을준수해야함 - 해당단말기의 시스템관리 관리자설정 메뉴의로그인계정설정수행 무선네트워크암호와별개임 페이지 29
Contact us 이스트소프트알약대응팀 Tel : 02-3470-2999 E-mail : help@alyac.co.kr : 알약홈페이지 : www.alyac.co.kr 페이지 30