Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다. 2010 년 11 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 11월의악성코드감염보고는 TextImage/Autorun이 1위를차지하고있으며, Win32/Parite와 Win32/Induc가각각 2위와 3위를차지하였다. 신규로 Top20에진입한악성코드는총 10건이다. 2010년 11월의감염보고건수는 Win-Trojan/Onlinegamehack 이총 915,675건으로 Top20중 13.9% 의비율로 1위를차지하고있으며 Win- Trojan/Agent 가 810,341건으로 2위, TextImage/Autorun 이 700,200 건으로 3위를차지하였다. 아래차트는고객으로부터감염이보고된악성코드유형별비율이다. [ 그림 1-1] 악성코드유형별감염보고비율 AhnLab Policy Center 4.0 세상에서가장안전한이름안철수연구소 01

2010 년 11 월의악성코드유형별감염보고건수비율은트로잔 (TROJAN) 류가 45.8% 로가장많은비율을차지하고, 웜 (WORM) 가 16.2%, 스크립 트 (SCRIPT) 가 8.4% 의비율을각각차지하고있다. 아래표는 11 월에신규로접수된악성코드중고객으로부터감염이보고 된악성코드 Top20 이다. [ 그림 1-2] 악성코드유형별감염보고전월비교 악성코드유형별감염보고비율을전월과비교하면, 웜, 애드웨어가전월에비해증가세를보이고있는반면트로잔, 스크립트, 바이러스 (VIRUS) 는감소한것을볼수있다. 드롭퍼 (DROPPER), 애프케어 (APPCARE), 다운로더 (DOWNLOADER), 스파이웨어 (SPYWARE) 계열들은전월수준을유지하였다. [ 표 1-3] 신종악성코드감염보고 Top 20 11월의신종악성코드감염보고의 Top 20은 HTML/Cve-2010-3962 가 102,690건으로전체 18.1% 를차지하여 1위를차지하였으며, JS/ Exploitcve20100806가 57,155건 2위를차지하였다. [ 그림 1-3] 악성코드월별감염보고건수 11 월의악성코드월별감염보고건수는 13,263,544 건으로 10 월의 11,735,344 건에비해 1,528,200 건이증가하였다. [ 그림 1-4] 신종악성코드유형별분포 11 월의신종악성코드유형별분포는트로잔이 72% 로 1 위를차지하였 다. 그뒤를이어스크립트가 10%, 애드웨어가 6% 를각각차지하였다. 악성코드이슈 한국내 CVE-2010-3962 취약점악용악성코드증가 AhnLab V3 MSS 이번달많이발생했던제로데이 (Zero-Day) 취약점들중 11월4일보고된인터넷익스플로러제로데이취약점은발견 1주일이지난후국내에서도발견, 보고건수가증가하였다. 이후점차그수가줄어들고있지만진단을회피하는변형의등장도예상할수있으므로안심해서는안된다. 또 02 ASEC Report _ 2010. Vol.11

한보고서를작성하는현재까지도공식보안패치가발표되지않았기때 문에주의가요구된다. 페이스북 (facebook) 채팅메시지로유포되는악성코드대표적인 SNS인페이스북의채팅메시지를통하여유포되는악성코드가확인되었다. 일반적으로는쪽지기능을통하여악성코드가포함된링크를전달하는방식이었으나이번에알려진관련악성코드 (Win- Trojan/Seint.61440.AA, Win-Trojan/Ircbrute.61440.C, Win-Trojan/ Seint.69632.V) 는채팅메시지로악의적인링크를보내어현재온라인사용자의감염을유도하는방식이다. 유포구조의도식은다음과같다. [ 그림 1-5] JS/CVE-2010-3962 증가율 현재 JS/CVE-2010-3962 취약점을내포한시스템은온라인게임정보를탈취하는악성코드들을다운로드하게됨으로써, 추가적인감염피해가지속적으로발견되고있다. 이러한웹브라우저취약점을악용하는악성코드감염수치가증가하고있다는것은한국내컴퓨터사용자들이방문하는다수의웹사이트들이 SQL 인젝션 (Injection) 과같은공격으로인해악성코드유포에악용되는것으로볼수있다. 공식보안패치가발표되지않았기때문에사용자들은안티바이러스와같은보안제품을반드시설치사용해야하며 MS 가공개한다음의링크에서관련정보를이용하여대응책을마련해야한다. http://support.microsoft.com/kb/2458511 국제행사를사칭하여전파된악성코드들국제행사가많았던 11월은국외에서 G20 및노벨평화상시상식관련악성코드가보고되기도하였다. 또한광저우아시안게임을사칭한 The 16th Asian Games[ 공백 ].exe 란파일명을갖는악성코드도보고되었다. 해당악성코드의출처는현재명확하지않지만, 실행후사용자를속이기위하여손상된 The 16th Asian Games.pdf 파일을생성한다. 이후 2곳의특정웹사이트로접속을시도하는데감염된컴퓨터의이름과운영체제정보 IP 주소를훔쳐낸다. G20 회의관련악성코드는 G20 Issues paper 이라는제목의메일로유포되었다. 역시사용자를속이기위하여 *.DOC 문서를보여준후특정웹사이트로접속을시도한다. 이처럼국제적인행사와사건등은악성코드제작자들로부터악성코드를유포하는수단으로곧잘이용되었다. 보통이러한악성코드는메일등으로전달되므로이미알고있는것처럼메일내링크나첨부파일을클릭하거나실행하지않는것이최선의예방책이라볼수있다. 만약의심스러운첨부파일등에대한결과를알고싶다면안철수연구소홈페이지에있는바이러스신고센터를이용하여의심스러운파일을신고하면된다. (http://www.ahnlab.com/kr/site/securitycenter/virus/virus.do) [ 그림1-6] 페이스채팅메시지전파관련악성코드유포구조도식이는과거메신저웜의전파방식과매우유사한사례이다. 쪽지의경우는실시간으로확인이되지않으며링크가고정적인경우기존의알려진링크라면쉽게차단이된다. 그러나채팅메시지로링크를전달받는경우에는사용자가큰의심없이클릭하게되고, 이로인해감염이확산되기때문에 2차피해가커질것으로예상된다. 국내사용자가 200만명을돌파하고전세계적으로 5억명이상이사용하는페이스북또한관련악성코드가기승을부리고있는상황이다. 따라서 SNS 서비스를이용할때주의를기울이며, 신뢰할수없는게시글과링크는클릭하지않는것이바람직하다. 경찰청사칭악성스팸메일신뢰할수있는발신인을사칭한사회공학 (Social Engineering) 기법을이용하여스팸메일을발송및악성코드를유포하는사례가꾸준히발생되고있다. 11월초, 대구경찰청, 사이버수사대 ( 참고인출석요구서 ) 라는제목의악성스팸메일로인한피해가확인되었다. 아래의그림은실제고객으로부터접수된스팸메일의원문이다. [ 그림 1-7] 실제고객으로부터접수된스팸메일원문 세상에서가장안전한이름안철수연구소 03

메일의원문에는대구지방경찰청소속특정인을사칭하여 참고인출석요구서 파일로위장한악성코드를링크형태로제공하여, 파일다운로드및실행을유도한다. 이파일을실행할경우악성코드 (Win-Trojan/ Sparats.593498) 에감염된다. 아래그림은메일의원문에포함된태그를텍스트형태로확인한내용이며, 특정실행파일을다운로드하도록링크가설정된것을확인할수있다. doc 문서가실행됨과동시에특정폴더에악성코드가생성, 시스템시작시실행될수있도록레지스트리값을설정하고특정 URL을통해접속을시도한다. 아시안게임관련문서로위장한악성코드제 16회광저우아시안게임의개막을앞둔시점에관련문서로위장한악성코드가국내에서발견되었다. 해당악성코드의경우아래그림과같이 The 16th Asian Games[ 공백 ].exe 의이름으로, 파일명의확장자이전까지다수의공백을삽입하여실행파일임을숨기게된다. 또한폴더아이콘으로위장하여사용자로하여금실행을유도한다. [ 그림 1-10] 폴더아이콘으로위장한악성코드 [ 그림1-8] 악성코드다운로드링크를포함한원문이와같이어느정도신뢰가가능한발신자의메일이라하더라도, 연결된링크나첨부된파일이존재할경우다시한번확인하여열람하는사용자의주의가필요하다. G20 정상회의관련자료위장스팸메일국내에서는발견된바없으나, 해외에서 G20 정상회의관련자료로위장한 G20 Issues Paper 라는제목의스팸메일이확인되었다. 메일의본문에작성된링크를클릭하도록유도한후, 압축파일을다운로드하게하는방식이다. 이압축파일내부에는워드 (doc) 문서로위장된악성코드가존재한다. 이악성코드가워드문서라고생각한사용자에의해실행되면, 문서파일을실행한것처럼위장하는 doc 문서가실행된다. 아래의그림은실행된 doc 문서이다. 이경우, 아래와같이필드의간격조정및설정변경으로확장자에대한확인이가능하나, 일반적인파일보기설정으로는보이지않을수있다. [ 그림1-11] 다수의공백이삽입되어확장자를숨기는경우시스템설치시기본으로설정되어있는 알려진파일형식의파일확장명숨기기 (Windows XP기준 ) 를설정할경우에는알려진확장자 (exe, dll 등 ) 에대해서는확장자명이나타나지않는다. [ 그림 1-12] 시스템설치시기본설정 따라서위와같이폴더옵션이설정된경우에는아래그림과같이확장자 가확인되지않으며사용자는해당파일을폴더로인식할수있다. [ 그림 1-13] 기본설정으로되어있어확장자확인이힘든경우 [ 그림 1-9] 문서파일을실행한것처럼위장하는 doc 문서 이와같은방법으로사용자가해당악성코드를실행하게되면, 특정폴더 에 PDF 파일이생성된다. 그리고 PDF 파일이생성된폴더를화면에출 04 ASEC Report _ 2010. Vol.11

력하게된다. 하지만생성된 PDF 파일은손상된파일로, 사용자로부터악 성코드의실행을숨기기위한위장술에지나지않는다. 악성코드침해웹사이트현황 [ 그림 1-14] 특정폴더에생성된 PDF 파일 이와같이사회적인관심을끄는국제적인행사는악성코드유포자들에게는기회가될수있으며, 그관심만큼피해는커질수있다. 때문에사용자의주의가더욱필요하다고하겠다. 만일이러한의심파일이발견되거나실수로실행하여악성코드의감염이의심되는경우, 안철수연구소바이러스신고센터를통해악성코드감염여부확인및조치를안내받을수있다. 2. 시큐리티동향시큐리티통계 11월마이크로소프트보안업데이트현황마이크로소프트사로부터발표된이번달보안업데이트는 3건이다. [ 그림 2-2] 공격대상기준별 MS 보안업데이트위통계는월별악성코드침해사이트현황을나타낸그래프로, 전월에비해다소증가하였다. 9월초 ARP Spoofing 악성코드가등장하면서초기에는다소많은고객들로부터피해사례가보고되었으나이후안철수연구소를비롯한백신업체들의엔진반영과국가기관의악성코드유포 URL차단등의적극적인공동대응으로인해서고객들의피해가감소했다. 그러나악성코드제작자들이지속적으로신규유포지를통해서변종을유포하고있는상황이며이로인해 10, 11월양달간다수의변종이발견되었는데고정적이었던기존의파일명이무작위로변경되는특징이있었다. 기존에악성코드를유포하기위해서사용했던 MS10-002와 MS10-018 뿐만아니라, 11월의경우보안업데이트가릴리즈되지않은 IE 0-Day 취약점 (CVE-2010-3962) 1 을사용한사례도발견되어사용자의주의가더욱요구된다. 시큐리티이슈 인터넷익스플로러제로데이 (0-day) 취약점지속발견 [ 그림 2-1] 공격대상기준별 MS 보안업데이트 [ 표 2-1] 2010년 11월주요 MS 보안업데이트이번달에는단 3건의패치가발표되었다. 2건은마이크로소프트오피스취약점에관한것이고, 나머지한건은 Forefront 취약점이다. 이번에공개된취약점과관련해서는공개적으로공격코드가세부적으로알려진것은없으나, 패치관련정보가공개된만큼공개될가능성도있다. 발표된패치에는원격코드실행취약점이존재하는만큼해당제품을사용중이라면빠른패치를권고하는바이다. 인터넷익스플로러브라우저를대상으로한취약점은꾸준히보고되어왔으며, 이를이용한공격도적지않은편이다. 이번달에도 IE 와관련한제로데이취약점이보고되었는데, IE 6,7 그리고 8 버전실행가능하며 CSS(Cascading Style Sheets) 와연관된취약점이다. 이취약점은다음과같은코드가포함되어있는문서를 IE 브라우저를통해호출하면메모리오류가발생하는것이다. 이때 EIP (Entry Instruction Point) 는사용자가제어하는것이불가능하며, IE가사용하는 mshtml 라이브러리버전에의존된다. 그러므로사용하는 IE 버전에따라공격코드는달라지며, 힙스프레이 (Heap Spray) 를넓게수행할수록성공확률은높아지나대신속도는느려지게된다. <html> <table style=position:absolute;clip:rect(0)> </html> 1.CVE-2010-3962 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2010-3962 세상에서가장안전한이름안철수연구소 05

clip 이라는속성은특정영역을드러냈다, 감췄다하는쓰임으로이용되며, 자체마스크효과이다. 이외사각형이미지영역에가시성을위해사용된다. 일반적으로사용되는 clip의사용형태는아래와같다. img { position:absolute; clip:rect(0px,60px,200px,0px); } 인터넷트래픽의 15% 가중국으로흘렀다? 올초, 정확히는 4월 18일인터넷트래픽양의 15% 가까이가 18 분동안중국으로우회되었다는기사가보도됐다. 이사실은 11월17일미국회에서미국-중국의양국관계에관한경제, 보안을검토하는연례보고서에서그내용이알려졌다. 18분동안중국으로리다이렉션된트래픽은미국정부, 국방부및군사관련사이트및델, 야후, 마이크로소프트, IBM 과같은상업사이트까지많은사이트를포함하고있다. 이번취약점을이용하여위의 IMG 와테이블에각각스타일을주고실행 하면아래와같이 EAX 의레지스트리값이다른것을알수있다. IMG EAX 7E3A3398 mshtml.7e3a3398 ECX 019B5804 EDX 02000000 EBX 0012D934 ESP 0012D8AC EBP 0012D8B8 ESI 00000000 EDI 019B5804 EIP 7E411A8A mshtml.7e411a8a TABLE EAX 7E3A33F1 mshtml.7e3a33f1 ECX 019B7BC0 EDX 3FFFFFFF EBX 0012D6A0 ESP 0012D658 EBP 0012D664 ESI 00000000 EDI 019B7BC0 EIP 7E411A8A mshtml.7e411a8a 이지점에서 EAX+30이 IMG인경우 DS:[7E3A33C8]=7E3FC90D (mshtml.7e3fc90d) 로 정상 셋팅되어 실행되지만, TABLE은 DS:[7E3A3421]=0D7E3FC9로셋팅되어종료된다. 만약여기에서 0D7E3FC9에 NOP+SHELLCODE 가들어가있다면, 원 하는코드가실행될수있다. [ 그림2-4] ABCNEWS의웹페이지화면인터넷에서는해당사이트를찾아갈때라우팅이라는경로를통해최적의경로를따라사이트를찾아들어간다. 정상적인경우라면중국을거치지않고들어가야하는데, 어떤이유에서해당사이트를찾아들어가기까지중국의차이나텔레콤을거쳐서정보가흘러갔다는것이다. 그렇다면중국에서는트래픽을충분히감시할수있는상황이되었을것이다. 암호화되지않은트래픽이라면이메일, 메신저와같은내용들이감청당했을수있다. 이렇게중국을거쳐서트래픽이흘렀어도사용자가느끼기에는큰차이가없었기때문에인지가늦었던것같다. 현재이와같은상황이발생된이유에대해세부적인사항은많이알려져있지않다. 일단사실로밝혀진한가지는 2010년4월18일인터넷트래픽의 15% 가 18분동안중국의차이나텔레콤으로흘렀다는것이다. 무슨일이일어났을지는모르지만, 정보수집형태로이용된다면아주무서운일이아닐수없다. 물론, 국내에서도이와같은일이충분히일어날수있다. 만약악성코드가감염되어특정한곳을거쳐서트래픽이흐르도록조정된다면, 정보는중간에서감청될수있다. 사이버전에효과적으로이용될수있는방법중의하나가될것이다. [ 그림 1-9] 문서파일을실행한것처럼위장하는 doc 문서 06 ASEC Report _ 2010. Vol.11

3. 웹보안동향 월별악성코드가발견된도메인 웹보안통계 웹사이트보안요약 악성코드발견건수는 85,349건이고, 악성코드유형은 923건이며, 악성코드가발견 [ 표 3-1] 웹사이트보안요약된도메인은 821건, 악성코드발견된 URL은 3,202 건이다. 2010년 11월은 2010년 10월보다악성코드발견건수, 악성코드발견된 URL 은다소감소하였으나, 악성코드유형, 악성코드가발견된도메인은증가하였다. 월별악성코드가발견된 URL [ 그림 3-3] 월별악성코드가발견된도메인 월별악성코드발견건수 [ 그림 3-4] 월별악성코드가발견된 URL 월별악성코드유형 [ 그림 3-1] 월별악성코드발견건수 2010 년 11 월악성코드가발견된 URL 은지난달 3,404 건에비해 92% 수 준인 3,142 건이다. 악성코드유형별배포수 [ 그림 3-2] 월별악성코드유형 [ 표 3-2] 악성코드유형별배포수 AhnLab V3 Internet Security 8.0 세상에서가장안전한이름안철수연구소 07

Attack Vectors( 공격경로 ) : 허가된시스템사용자인공격자는시스템객체에서다른객체에직접적으로접근할수있는파라미터 (parameter) 값을간단하게변경한다. 이러한것이허가될수있는지를확인해야한다. 악성코드배포 Top 10 [ 그림 3-5] 악성코드유형별배포수 Security Weakness( 보안취약점 ) : 애플리케이션은웹페이지를생성할때종종실제이름이나키값을사용한다. 애플리케이션은사용자가대상객체에대한권한을갖고있는지항상검증하지않는다. 결과적으로안전하지않은직접객체참조에대한결함에노출되게된다. 이취약점들을탐지하기위해변수값을변경하는테스트를쉽게할수있으며, 코드분석을통해권한부여가적절한지를신속하게검증할수있다. Technical Impacts( 기술적영향 ) : 이결함은변수값을참조하는모든데이터를위태롭게할수있다. 변수명명이일반적이지않다면, 공격자가모든가능한데이터에대해쉽게접근할수있다. Business Impacts( 비즈니스영향 ) : 노출되는데이터의비즈니스적가치를고려한다. 또한취약점의공개적노출에대한비즈니스의영향을고려해야한다. 2) 공격시나리오예 [ 표 3-3] 악성코드배포 Top 10 웹보안이슈 OWASP 2010 TOP 4 지난 Vol.06부터 OWASP 2010 Top10을하나씩자세히살펴보고있다. 그네번째시간으로 OWASP 2010 Top 4 안전하지않은직접객체참조 1 공격에대해알아보자. 먼저안전하지않은직접객체참조의주요사항은다음의그림을통해알수있다. 계정정보에접근하는 SQL 호출에검증되지않은데이터를사용하는애플리케이션이있다. String query = SELECT * FROM accts WHERE account =? ; PreparedStatement pstmt =connection.preparestatement(query, ); pstmt.setstring( 1, request.getparameter( acct )); ResultSet results = pstmt.executequery( ); 공격자는간단하게자신의브라우저에서 acct 변수의값을수정하여원하는계정번호로전송할수있다. 만약이러한것이검증되지않는다면, 공격자는해당사용자뿐만아니라다른어떠한사용자의계정에도접근할수있다. http://example.com/app/accountinfo?acct=notmyacct 1) 주요내용 [ 그림 3-6] 안전하지않은직접객체참조개괄 3) 대응책안전하지않는직접객체참조를방지하려면, 각사용자들이접근가능한객체를보호하는접근방식의선택이요구된다.( 예 : 객체번호, 파일명등 ) : Threat Agents( 공격자 ) : 자신의계정을소유하고있는사용자이거나타인의계정을훔치려는익명의외부공격자, 자신의행위를숨기려고하는내부사용자이다. 1.www.owasp.com, café.naver.com/securityplus 사용자혹은세션당간접객체참조를사용한다. 이를통해공격자가허가되지않은자원을직접적으로공격목표로삼는것을방지할수있다. 예를들어자원의데이터베이스키를사용하는대신에허용된 6개의자원에대하여드롭다운리스트메뉴를사용하여현재 08 ASEC Report _ 2010. Vol.11

사용자가선택하도록허용된 1~6 중에서선택하도록하는방법을사용한다. 애플리케이션은사용자별간접참조를서버상의실제데이터베이스키로변환한다. OWASP의 ESAPI에서는개발자들이직접객체참조를제거할수있도록순차적인접근과무작위접근에대한예시를제공한다. 접근을확인한다. 신뢰할수없는소스로부터직접객체참조가사용되면, 각각의사용에대해요청한객체가사용자에게접근이허용되었는지확인하기위해반드시접근통제확인을포함해야만한다. [Reference] OWASP OWASP Top 10-2007 안전하지않은직접객체참조 ESAPI 접근참조맵 API ESAPI 접근통제 API - (isauthorizedfordata(), isauthorizedforfile(), isauthorizedforfunction() 참조 ) External CWE 639 항목 : 안전하지않은직접객체참조 CWE 22 항목 : Path Traversal( 직접객체참조공격의예 ) AhnLab V3Net for Windows Server 7.0 세상에서가장안전한이름안철수연구소 09