기업정보보호를위한악성코드대응 2009.10.27 27 안철수연구소소프트웨어연구실전성학실장
목 차 1. 악성코드위협의변화 2. 악성코드의보안위협사례 3. 악성코드의주요감염경로 4. 기업의악성코드대응방안
1. 악성코드 위협의 변화 범죄화 금전적 목적/조직적 Targeted 공격 쉽고 빠른 변형 제작 Zero Day 공격 Zero-Day 금전적인 목적 빠른 감염 호기심, 자기과시 느린 감염 호기심, 자기과시 Macro Virus Script Virus Files Virus Boot Virus B t Vi LAN ~ 1995 3 Internet 1996 ~ 2000 Worm Spyware Spam Phishing BotNet Rootkit Internet 2001 ~2005 Trojans 사회 공학 기법 복잡성 고도화 복잡성, 배포 방법 다양화 WEB, P2P, USB Multi-Media 서비스 2006 ~
1. 컨피커웜 (Conficker.worm) 다양한감염경로를활용 MS09-087 취약점, 네트워크공유폴더, USB 자동실행 최초 USB 를통한내부네트워크감염사례가많았음 보안제품과중요윈도우서비스무력화기능 보안사이트접속방해 자기보호로인하여진단및치료어려움 감염국가중한국 5 위 전세계적으로 190 만대감염 [Conficker 웜감염경로 ] 4
2. 웹사이트이용악성코드유포 웹활용도가높아짐에따라, 웹기반공격도계속증가추세 웹응용프로그램의제로데이공격 자동화된웹공격도구로쉽게악용가능 취약한웹서버자동공격툴 취약점공격도구및악성코드생성기 개인정보유출형태트로이목마유포에악용 [ 웹사이트를이용한악성코드유포 ] [ 취약한웹서버자동공격툴 ] 5
3. 전자메일이용악성코드유포 전자메일을이용한악성코드유포 악성코드유포지 URL, 혹은악성코드첨부형태 사회공학적기법악용사회적이슈를주제로다룸 발렌타인데이카드위장 (1/29, 2/10) 월덱 (Waledac) 웜 아웃룩업데이트메일위장 (6/24) - 지봇 (Zbot) 트로이목마 마이클잭슨사망악용 (6/26) 뱅커 (Banker) 트로이목마 DHL 운송메일위장 (8/7) 브레도렙 (Bredolab) 트로이목마 [ 악성스크립트로악성코드다운로드 ] [Bredolab 의 DHL 운송메일위장 ] 6
4. Targeted Attack ( 전자메일 + 전자문서취약점 ) 사회공학적기법이용, 특정단체의일부구성원들에게만전자메일유포 공격자는이미공격대상에대해파악 관공서등을사칭하여신뢰할수있는인물로위장 제로데이취약점과정보유출트로이목마의연계 전자문서프로그램 (MS 오피스, Adobe PDF) 의제로데이취약점을주로악용 PDF 제로데이취약점악용 (3/23) PDF 제로데이악용 (PDF/Exploit) 에어프랑스 447편의추락 (6/21) PPT 제로데이악용 (Dropper/Exploit-PPT) 취약한전자문서파일통해키로깅및원격제어형태의트로이목마에자동감염으로개인정보유출 [ 에어프랑스 447 편의추락위장 ] [ 허위고소장메일로위장 ] 7
5. 메신저악용 국내, 외유명메신저를통한전파 그림파일인것처럼위장하여사용자속임 악성코드유포 URL을버디리스트로메시지및쪽지발송 탈취한계정정보를이용하여지인사칭후버디리스트의사람들로부터금품요구등사기증가 보이스피싱과같이메신저사기행위주의요구됨 최근메신저업체에서는금전요구시경고문구출력 [ 메신저이용, 계정정보탈취를위한피싱사이트로유도 ] [ 메신저이용사기 ] 8
6. 봇넷 & DDoS 공격 좀비컴퓨터를망가트리진않음 잠복기간에는특별한증상없음 DDoS 공격, 정보유출, 스팸, 취약성스캔, 악성코드유포 IRC에서 HTTP, P2P 방식의봇넷형성봇제어서버 (C&C) 에대한추적과차단에대한어려움 통신프로토콜을암호화또는자체통신프로토콜을이용봇넷탐지를어렵게함 * 분산서비스거부공격이란? (Distributed Denial of Service, DDoS) 인터넷상에수많은 PC들에악의적인공격용프로그램을무작위로분산설치하여, 특정한날짜, 주기또는해커의신호를통해특정, 불특정목적지를향해다량의패킷을전송. [UTM 을통한 BotNet/DDoS 공격방어 ] 다량의패킷을전송받는시스템또는경로상의네트워크장비가이상동작을일으키거나, 대역폭을고갈시켜문제를일으키는행위 9
7. 7.7 DDoS 대란 제1차 : 한미주요정부기관, 인터넷포털, 금융권대상 26개사이트 (7/7 18:00 ~ 7/8 18:00) 제2차 : 국내주요 + 보안업체 ( 안랩 ) 대상 14개사이트 (7/8 18:00 ~ 7/9 18:00) 제3차 : 국내주요정부기관, 인터넷포털, 금융권대상 7개사이트 (7/9 18:00 ~ 7/10 18:00) 자기파괴 : 소프트웨어적하드웨어파괴및중요파일손상기능발견됨 (7/10 00:00 ~) 8만여대 PC 감염 ( 출처 : KISA) 및서비스중단 / 지연사태초래
7.7 DDoS 대란악성코드관계도 msiexec1.exe (main) Win-Trojan/Downloader.374651 특정 IP 접근가능시생성 pxdrv.nls ( 암호화된파일 ) 서비스제공자 생성 _S3.tmp (wmiconf.dll) 악성 Win-Trojan/Agent.67072.DL _S4.tmp (wpcap.dll) 파일다운로드 ( 공격대상업데이트기능 ) msiexec1.exe msiexec9.exe Win-Trojan/Agent.xxxx _S5.tmp (packet.dll) 생성 DDoS 공격!!! (30 개쓰레드 / 사이트 ) _S6.tmp (wanpacket.dll) _S7.tmp (npf.sys) _S8.tmp (npptools.dll) uregvs.nls BinImage/Host 공격URL/ 공격시간 / 공격타입등등의정보가있는환경파일역할 _S9.tmp (wmcfg.exe) 악성 Win-Trojan/Mydoom.88064 flash.gif BinImage/Destroyer msvcr90.dll 파일존재시실행 생성 다운로드 생성 wversion.exe (Dropper) Win-Trojan/Destroyer. 40960 디스크데이터손상 생성 wversion.exe (1st) Win32/Mydoom.worm.33764 wversion.exe (2nd) Win-Trojan/Destroyer.37264 09.07.10 00 시 mstimer.dll Win32/Mydoom.worm.45056.D SPAM 메일전송
3. 악성코드의주요감염경로 웹사이트방문 OS 와일반프로그램의취약점 이동형저장장치 인스턴트메시징프로그램 Computer System P2P 프로그램 전자메일 OS 취약한보안설정및환경 파일다운로드 12
4. 기업의악성코드대응방안 악성코드취약성 통합백신보안제품설치및최신버전엔진항시유지 자동엔진업데이트및실시간시스템감시기능활성화 주기적인시스템전체에대한수동검사 ( 예약검사 ) 수행 시스템취약성 윈도우사용자계정의로그인패스워드설정 윈도우최신보안패치적용및자동업데이트설정 전자문서등일반어플리케이션의보안패치적용 공유폴더사용시필요한계정에만필요한권한만부여 시스템에설정된 USB 자동실행기능비활성화 인적취약성 임직원들에게보안위협관련주기적보안인식교육제공 보안감사를통해사내보안정책위반사항들점검 불필요한소프트웨어설치차단및웹사이트접근차단 사내보안정책위반에따른인사상불이익부여 프린터및팩스서버등무인시스템보안상태주기적점검
안전에필요한최소한의노력과투자가필요 감사합니다 AhnLab The Joy of Care-Free Your Internet World AhnLab, the AhnLab logo, and V3 are trademarks or registered trademarks of AhnLab, Inc., in Korea and certain other countries. All other trademarks mentioned in this document are the property of their respective owners. 14