목차 Part Ⅰ 12 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

Similar documents
목차 Part Ⅰ 3 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 8 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

목차 Part Ⅰ 2 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 1 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 7 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 5 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 8 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 10 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

<4D F736F F D2038BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

<4D F736F F D2036BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

<4D F736F F D2039BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

<4D F736F F D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

목차 Part Ⅰ 9 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

<4D F736F F D2035BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

목차 Part Ⅰ 11 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

<4D F736F F D2031BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

목차 Part Ⅰ 1 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

*2008년1월호진짜

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

Windows 8에서 BioStar 1 설치하기

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

untitled

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

목차 Part Ⅰ 5 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율젂월비교... 4 (4) 월별피해싞고추이... 5 (5) 월별악성코드 DB 등록추이...

유포지탐지동향


월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

ActFax 4.31 Local Privilege Escalation Exploit

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

목 차 1. 개 요 배경 요약 정보 대상시스템 원리 공격 기법 및 기본 개념 Heap Spray Font 공 격..

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

SBR-100S User Manual

08_spam.hwp

Cubase AI installation guide

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

목차 Part Ⅰ 4 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율젂월비교... 4 (4) 월별피해싞고추이... 5 (5) 월별악성코드 DB 등록추이...

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-

*****

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

Microsoft PowerPoint - 권장 사양

한국에너지기술연구원 통합정보시스템설치방법설명서 한국에너지기술연구원 지식정보실 - 1 -

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

<C0CCC8ADC1F82E687770>

RHEV 2.2 인증서 만료 확인 및 갱신

vRealize Automation용 VMware Remote Console - VMware

NTD36HD Manual

Office 365 사용자 가이드

User Guide

[Blank Page] i

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

Microsoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx

5th-KOR-SANGFOR NGAF(CC)

#WI DNS DDoS 공격악성코드분석

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

PowerPoint Template

SIGIL 완벽입문

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

Install stm32cubemx and st-link utility

Windows Server 2012

Studuino소프트웨어 설치

!K_InDesginCS_NFH

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

PowerPoint 프레젠테이션

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

고객 사례 | Enterprise Threat Protector | Akamai

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요? 3 Q5. 보안패치가됐는지어떻게확인하나요? 5 Q6. 스마트폰도랜섬웨

ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

I. KeyToken USB 소개 1. KeyToken 개요 KeyToken 은공인인증서를안전하게저장하고또안전하게사용하기위한보안제품으로, 한국인터넷진흥원 (KISA) 이 KeyToken 의보안토큰에대한구현적합성을평가하고인증한 제품입니다. 2. KeyToken USB 그

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

07_alman.hwp

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

CODESYS 런타임 설치과정

ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

*

월간 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜

F O C U S 3 홈페이지를통한악성코드유포및대응방안 FOCUS 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아

목차 Part Ⅰ 6 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율젂월비교... 4 (4) 월별피핬신고추이... 5 (5) 월별악성코드 DB 등록추이...

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 운영체제의버전확인은어떻게확인하나요? 3 Q5. 보안패치는어떻게하나요? 4 Q6. 보안패치가됐

Transcription:

목차 Part Ⅰ 12 월의악성코드통계... 3 1. 악성코드통계... 3 (1) 감염악성코드 Top 15... 3 (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이... 5 2. 악성코드이슈분석 Spyware.PWS.KRBanker.B... 6 (1) 개요... 6 (2) 행위분석... 6 (3) 결론... 16 3. 허니팟 / 트래픽분석... 17 (1) 상위 Top 10 포트... 17 (2) 상위 Top 5 포트월별추이... 17 (3) 악성트래픽유입추이... 18 4. 스팸메일분석... 19 (1) 일별스팸및바이러스통계현황... 19 (2) 월별통계현황... 19 (3) 스팸메일내의악성코드현황... 20 Part Ⅱ 보안이슈돋보기... 21 1. 12 월의보안이슈... 21 2. 12 월의취약점이슈... 23 페이지 2

Part Ⅰ 12 월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 [2012년 12월 1일 ~ 2012년 12월 31일 ] 순위 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 ㅡ Spyware.OnlineGames.wsxp Spyware 5,889 2 New Trojan.Generic.8297884 Trojan 2,644 3 New Gen:Variant.Kazy.125570 Etc 2,629 4 New Gen:Variant.Kazy.13284 Etc 2,343 5 New Adware.Generic.345040 Adware 2,309 6 3 Trojan.Downloader.KorAdware Trojan 2,240 7 5 Gen:Variant.Zusy.4661 Etc 2,107 8 3 Hosts.gms.ahnlab.com Host 2,056 9 New Worm.Palevo.D Worm 1,951 10 3 Trojan.Downloader.ATGG Trojan 1,939 11 New Gen:Trojan.Heur.iqWaXrUvkge Trojan 1,912 12 New Gen:Trojan.Heur.PT.mqZ@G0ml0f Trojan 1,859 13 New Trojan.JS.Agent.HFM Trojan 1,845 14 New Gen:Variant.Graftor.Elzob.19694 Etc 1,802 15 New Trojan.Downloader.86016 Trojan 1,800 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 감염악성코드 Top 15는사용자 PC에서탐지된악성코드를기반으로산출한통계입니다. 12월의감염악성코드 TOP 15에서는지난 9월부터 4달연속으로온라인게임계정탈취악성코드 인 Spyware.OnlineGames.wsxp가 11월보다약 20% 증가한수치로 1위를차지하였습니다. 12월초 부터많은신작온라인게임들이출시되면서그에맞춰게임계정을탈취하는악성코드도기승을 부리고있습니다. 아울러지난달에 2위를차지했던키로거악성코드인 Gen:Variant.Zusy.4661의경 우는 5계단하락하여 7위를차지하여그기세가조금꺾이긴했으나여전히많은 PC를감염시키 고있습니다. 새롭게 2위를차지한 Trojan.Generic.8297884의경우는웹브라우저에광고창을생성하거나광고팝 업창을띄우는동시에사용자의동의를받지않고추가애드웨어를다운로드하는악성코드입니다. 페이지 3

(2) 카테고리별악성코드유형 호스트파일 (Host) 6% 트로이목마 (Trojan) 스파이웨어 (Spyware) 기타 (Etc) 25% 트로이목마 (Trojan) 40% 애드웨어 (Adware) 취약점 (Exploit) 웜 (Worm) 기타 (Etc) 웜 (Worm) 5% 애드웨어 (Adware) 7% 스파이웨어 (Spyware) 17% 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 40% 를차지했으며, 기타 (ETC) 유형이 25% 로 2 위를차지했습니다. 스파이웨어 (Spyware) 유형의경우 17% 로 3 위의점유율을 보였습니다. (3) 카테고리별악성코드비율전월비교 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 호스트파일 (Host) 기타 (Etc) 11% 17% 11% 7% 0% 0% 0% 5% 0% 0% 0% 0% 0% 0% 5% 6% 15% 25% 40% 58% 11 월 12 월 0% 20% 40% 60% 80% 100% 12월에는 11월과비교하여트로이목마 (Trojan) 유형의악성코드비중이대폭감소하였습니다. 다만스파이웨어 (Spyware) 유형과기타 (Etc) 유형은모두 11월에비해 50% 이상대폭증가하였습니다. 페이지 4

(4) 월별피해신고추이 [2012 년 01 월 ~ 2012 년 12 월 ] 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 알약사용자의신고를합산에서산출한결과임월별피해신고추이는알약사용자의신고를합산해서산출한결과로써, 월별신고건수를나타내는그래프입니다. 알약 2.0의신고기능에의해접수된피해문의신고는 12월에는연말연휴등으로인해 PC사용율이감소하여 11월에비해신고건수가완만한감소세를보였습니다. (5) 월별악성코드 DB 등록추이 [2012 년 01 월 ~ 2012 년 12 월 ] 201201 201202 201203 201204 201205 201206 201207 201208 201209 201210 201211 201212 Adware Spyware Hijacker KeyLogger Exploit RAT Trojan Worm Backdoor Downloader Dropper Misc 페이지 5

Part Ⅰ 12 월의악성코드통계 2. 악성코드이슈분석 Spyware.PWS.KRBanker.B (1) 개요 이악성코드는 Spyware.PWS.KRBanker.A의변종으로특정인터넷뱅킹사이트 ( 우리은행, 국민은행, NH농협, ibk기업은행 ) 로접근시그인터넷뱅킹사이트의 URI를확인하여악성코드제작자가만든다른사이트로접속을시키는악성코드이다. Spyware.PWS.KRBanker.A와다른점은 SFX를이용하지않았고, 특정날짜이후에동작하면자신의흔적을지우는행위를한다는점이다. (2) 행위분석 1 winlogones.exe Detection Name File Name Size(Byte) Spyware.PWS.KRBanker.B winlogones.exe 109568 코드의시작부분을확인하면 Windower 라는윈도우명을찾고존재한다면그윈도우의 핸들을이용하여종료시킨다. Windower 라는이름은 Winlogones.exe 파일에서생성하는 윈도우로써중복실행을방지하는데사용된다. 페이지 6

( 그림. FindWindowA 함수와특정이름을가진윈도우를이용하여중복실행을방지하는코드 ) Create_Directory_file_Service라는함수를이용하여우선 C:\WINDOWS\system32\muis\tempbl~1\tempbl~1" 폴더가존재하는지확인한후존재하지않으면 1.lpBinaryPathName을 C:\WINDOWS\system32\muis\tempbl~1\tempbl~1\csrsses.exe 로하는 Windows Video Management Services Extensions라는이름의서비스를생성 2.lpBinaryPathName을 C:\WINDOWS\system32\muis\tempbl~1\tempbl~1\ winlogones.exe로하는 Windows Update Management Extensions라는이름의서비스를생성 3. 현재실행된파일을 C:\WINDOWS\system32\muis\tempbl~1\tempbl~1\ winlogones.exe로복사 4. C:\WINDOWS\system32\muis\tempbl~1\tempbl~1\csrsses.exe 파일을생성 5. 현재실행된파일을삭제하는스크립트를작성하여실행 6. C:\WINDOWS\system32\muis\tempbl~1\tempbl~1\winlogones.exe를실행 페이지 7

7. 종료 를하게된다. ( 그림. Create_Directory_file_Service 의사코드 ) C:\WINDOWS\system32\muis\tempbl~1\tempbl~1" 가존재한다면 Create_Directory_file_Service를빠져나오게되고그이후에 GetLocalTime 함수를이용하여 2012-12-26일이후에동작을한다면악성코드가사용했던서비스, 파일, 경로를삭제및정리하는함수를동작하게된다. 2012-12-26일이전에동작한다면현재동작하고있는프로세스명이 winlogon.exe 인지를확인하고 winlogon.exe가아니라면현재동작하고있는프로세스를읽어들인후정상 winlogon.exe에인젝션한다. 그이후스레드를생성하여 Windowner 라는윈도우를생성하고특정사이트에서 log파일을다운받는다. 페이지 8

( 그림. Start 함수의사코드 ) 그리고지속적으로 V3, 알약, 네이버백신의프로세스를감시하며, csrsses.exe 가정상동작 중인지를확인한다. 페이지 9

( 그림. csrsses 동작을확인하는함수의사코드 ) 2 악성파일 (csrsses.exe) Detection Name File Name Size(Byte) Spyware.PWS.KRBanker.B csrsses.exe 51712 코드의시작부분을확인하면 Winlogones.exe 의시작부분과유사하게 WinIEner001 이라 는윈도우명을찾고존재한다면그윈도우의핸들을이용하여종료시킨다. 그리고정상 calc.exe 에인젝션을한다. 페이지 10

( 그림. Start 함수의사코드 ) csrsses.exe에서본격적인파밍이이루어지게되는데동작행위는다음과같다. 1. FindWindow 함수를사용하여인터넷익스플로러가동작중인지를확인 2. 은행관련스트링 (NH BanK:;:, MyKB-Mypag, WoorIBanK_, IBK-Login_) 를비교하여스트링이존재하면 iexplores.exe를실행 페이지 11

( 그림. 은행관련스트링확인함수코드 ) 페이지 12

3. 특정사이트로파밍한다. ( 그림. 파밍을실행하는함수코드 ) 4. 사용자에게는 URI 가정상인것처럼보여준다. ( 그림. 사용자에게정상 URI 를보여주는함수코드 ) 페이지 13

( 그림. 악성코드에감염전국민은행로그인페이지 ) ( 그림. 악성코드에감염후국민은행로그인페이지 ) 페이지 14

( 그림. 악성코드제작자가준비한파밍사이트 1) ( 그림. 악성코드제작자가준비한파밍사이트 2) ( 그림. 악성코드제작자가준비한파밍사이트 3) ( 그림. 악성코드제작자가준비한파밍사이트 4) 페이지 15

(3) 결론 해당악성코드에감염시정상인터넷뱅킹사이트접속시특정 URI를확인하여정상적인인터넷뱅킹사이트가아닌제작자가만들어둔허위사이트로접속되어실직적인금전피해를입을수있다. 인터넷 URI가정상인터넷뱅킹때와동일하게보이고, 보안모듈역시정상적으로동작하기때문에사용자는육안상으로확인하기가상당히어렵다. 그리고공인인증서로그인화면조차도정상과거의유사하기때문에상당한주의가필요하다. 따라서안티바이러스프로그램은파밍사이트에대해빠른대처가필요하며, 사용자들은보안취약점업데이트와인터넷뱅킹암호, 공인인증서의암호를주기적으로교체하는노력이필요하다. 페이지 16

Part Ⅰ 12 월의악성코드통계 3. 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 3389 5% 21 10% 23 1% 3306 1433 25 21 25 12% 3306 52% 3389 23 1433 18% 5900 110 22 4899 (2) 상위 Top 5 포트월별추이 [2012 년 10 월 ~ 2012 년 12 월 ] 2012 년 10 월 2012 년 11 월 2012 년 12 월 3306 1433 21 25 3389 페이지 17

(3) 악성트래픽유입추이 [2012 년 07 월 ~ 2012 년 12 월 ] 2012 년 7 월 2012 년 8 월 2012 년 9 월 2012 년 10 월 2012 년 11 월 2012 년 12 월 페이지 18

2012-12-1 2012-12-3 2012-12-5 2012-12-7 2012-12-9 2012-12-11 2012-12-13 2012-12-15 2012-12-17 2012-12-19 2012-12-21 2012-12-23 2012-12-25 2012-12-27 2012-12-29 2012-12-31 Part Ⅰ 12 월의악성코드통계 4. 스팸메일분석 (1) 일별스팸및바이러스통계현황 160,000 140,000 120,000 100,000 80,000 60,000 바이러스 40,000 20,000 스팸 0 일별스팸및바이러스통계현황그래프는하루에유입되는바이러스및스팸메일의개수를나타내는그래프입니다. 12월의경우 11월에비해바이러스가포함된메일통계수치는약 20% 가량감소하였습니다. 하지만수집된스팸메일의통계수치의경우는 11월에비해약 2배가까이대폭증가하였는데, 연말연시를맞아이를노린스팸메일의수치가급증한것으로보입니다. (2) 월별통계현황 700,000 [2012 년 07 월 ~ 2012 년 12 월 ] 1.1% 600,000 500,000 400,000 300,000 200,000 100,000 4.8% 3.0% 95.2 97.0 2.6% 3.4% 97.4 96.6 3.0% 97.0 98.9 바이러스 스팸 0 7 월 8 월 9 월 10 월 11 월 12 월 월별통계현황은전체악성메일중단순스팸메일과악성코드첨부메일의각비율을나타내는 그래프입니다. 12 월에는스팸메일이 98.9%, 바이러스첨부메일이 1.1% 의비율로수신된것으로 확인되었습니다. 페이지 19

(3) 스팸메일내의악성코드현황 [2012 년 12 월 1 일 ~ 2012 년 12 월 31 일 ]ff 순위 악성코드진단명 메일수 [ 개 ] 비율 [%] 1 W32/Mytob-C 1,839 24.67% 2 Mal/ZipMal-B 825 11.07% 3 W32/MyDoom-N 670 8.99% 4 W32/MyDoom-H 441 5.92% 5 W32/MyDoom-BZ 423 5.67% 6 Mal/BredoZp-B 221 2.96% 7 W32/Virut-T 196 2.63% 8 W32/Netsky-P 79 1.06% 9 W32/Bagle-CF 76 1.02% 10 Troj/ZipMal-AW 54 0.72% 스팸메일내의악성코드현황은 9월한달동안수신된메일에서발견된악성코드중 Top 10을뽑은그래프입니다. 현재 W32/Mytob-C가 24.67% 의비율로 8달연속으로 1위를차지하고있으며, 지난달에 2위를차지했던 Mal/ZipMal-B도 11.07% 의비율로 2위자리를지켰습니다. 3위역시지난달에이어 W32.MyDoom-H가차지하였습니다. 특별히새로급상승한악성코드는보이지않았으며, 11월통계와그비율정도만다를뿐전체적인순위는유사한형태를보였습니다. 페이지 20

Part Ⅱ 보안이슈돋보기 1. 12 월의보안이슈 인터넷진흥원을사칭한악성모바일어플이유포되었고소액결제시스템을사용하는소비자수백명이해킹피해를입었습니다. 그외에美대규모사이버전프로젝트, IE에서마우스커서추적가능취약점발견, 갤럭시 S3 AP칩서보안취약점발견건등이 12월의이슈가되었습니다. 한국인터넷진흥원 (KISA) 을사칭한악성모바일어플유포한국인터넷진흥원 (KISA) 을사칭한폰키퍼문자메세지가구글마켓을통해유포되었습니다. 설치를유도하는 KISA 사칭문자는 개인정보유출방지안전한스마트폰지킴이 폰키퍼 라는메시지와함께단축 URL이발송됩니다. 이링크를클릭하면, 해커의명령을수행하는악성앱이설치됩니다. 최근방통위및 KISA를사칭해악성앱을다운받도록유도하는문자메세지가많으며, 사용자들은의심스러운문자가오면링크를클릭하지말고바로삭제해야합니다. 안전결제 (ISP) 상고객인증서해킹당해소액결제체계인 안전결제 (ISP) 시스템을사용하는소비자수백명이해킹을당했습니다. ISP는결제시스템으로공인인증서와는별도로 ISP인증서를필요로하며, 이 ISP인증서와비밀번호를알고있으면손쉽게다른사람의소액결제를악용할수있습니다. 현재금융사보다는사용자의 PC가해킹당했을가능성이큰것으로예상하고있으며, ISP방식에포함되어있는보안솔루션을우회하는악성코드가심어져있을가능성이높다고보고있습니다. 해커들은이러한소액결제를이용하여게임머니를결제한뒤다시현금으로되파는방법을이용하여금전적이득을취하였습니다. 美대규모사이버전프로젝트준비글로벌사이버전이본격화되면서, 미국은실전용사이버무기를개발하는일명 플랜X 작전을가동하였습니다. 플랜X는실전투입용사이버무기개발을위한대규모프로젝트로, 공격국가의군사통신망을비롯한지휘통신체계를무력화시키는데초점을두고있습니다. 또한미국은전세계컴퓨터도메인을담은사이버지도를완성하여, 견고한운영체계를개발하여사이버전이발생하는즉시공격국가를제압하고자하는계획도발표하였습니다. 현재플랜X는 10% 의성공가능성만있다면얼마든지투자가치가있는일이라는평가를받고있습니다. 안드로이드 4.2보안기능, 말웨어 15% 만겨우막아구글젤리빈 ( 안드로이즈4.2) 의자체보안기능이약 15% 의말웨어만차단하는것으로나타났습니다. 젤리빈은허니콤이후가장안전한것으로나타났습니다. 하지만총 1260개의샘플로검사해본결과악의적인어플리케이션을단 15.32% 발견해냈으며, 이는다양한백신프로그램들이 51%~100% 의유효성을보이는것과비교하면매우낮은수치입니다. 페이지 21

IE에서마우스커서추적가능취약점발견인터넷익스플로러 6 ~ 10에서모두해커가피해자의마우스움직임을모니터링할수있는취약점이발견되었습니다. 이취약점은이미두개의영업광고네트워크에의해서악용되고있으나, 마이크로소프트보안연구센터는아직이에관한패치를할계획이없다고하였습니다. 갤럭시 S3 AP칩서보안취약점발견돼갤럭시 S3 AP칩의램에악성코드를주입해관리자권한을획득할수있도록하는커널취약점이발견되었습니다. 이취약점은 AP칩이물리적인메모리가읽기, 쓰기가쉽다는점을이용하였으며, 특정앱을실행하도록유도한뒤물리메모리영역에악성코드를주입하는등의방식을사용할수있습니다. 삼성은이에관해취약점에대한해결조치에나섰습니다. 한국인터넷진흥원 신규취약점신고포상제 운영결과발표한국인터넷진흥원은취약점을악용한해킹사고를사전에예방하고관련전문가들의신고를활성화하기위해마련한 신규취약점신고포상제 의운영결과를내놓았습니다. 인터넷진흥원에따르면, 신고포상제운영이후취약점의총신고건수는전년도에비하여약 2배이상증가하였고, 특히국내사용자가많은응용프로그램에서실제침해사고에악용될수있는취약점이다수신고되었습니다. 이러한취약점들은해당업체에게전달되어보완패치개발중혹은개발완료되어배포되고있습니다. 페이지 22

2. 12월의취약점이슈 Microsoft 12월정기보안업데이트 Internet Explorer 누적보안업데이트, Windows 커널모드드라이버의취약점으로인한원격코드실행문제, Microsoft Word의취약점으로인한원격코드실행문제, Microsoft Exchange Server의취약점으로인한원격코드실행문제, Windows 파일처리구성요소의취약점으로인한원격코드실행문제해결등을포함한 Microsoft 12월정기보안업데이트가발표되었습니다. < 해당제품 > Windows XP Windows Vista Windows 7 Windows 8 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Internet Explorer 누적보안업데이트 (2761465) 이보안업데이트는 Internet Explorer에서발견되어비공개적으로보고된취약점 3건을해결합니다. 가장위험한취약점으로인해사용자가 Internet Explorer를사용하여특수하게조작된웹페이지를볼경우원격코드실행이허용될수있습니다. 취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Windows 커널모드드라이버의취약점으로인한원격코드실행문제점 (2783534) 이보안업데이트는 Microsoft Windows의공개된취약점 1건과비공개적으로보고된취약점 1건을해결합니다. 이취약점의더욱위험한점은사용자가특수하게조작된문서를열거나 TrueType 또는 OpenType 글꼴파일을포함하는악의적인웹페이지를방문할경우원격코드실행을허용할수있다는점입니다. 공격자는사용자가전자메일메시지의링크를클릭하여공격자의웹사이트를방문하도록유도하는것이일반적입니다. Microsoft Word의취약점으로인한원격코드실행문제점 (2780642) 이보안업데이트는비공개적으로보고된 Microsoft Office의취약점을해결합니다. 취약점으로인해사용자가영향을받는버전의 Microsoft Office 소프트웨어를사용하여특수하게조작된 RTF 파일을열거나, 전자메일뷰어로 Word를사용하면서특수하게조작된 RTF 전자메일메시지를 Outlook에서미리보거나열경우원격코드실행이발생할수 페이지 23

있습니다. 이취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습 니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업 하는사용자에비해영향을적게받습니다. Microsoft Exchange Server의취약점으로인한원격코드실행문제점 (2784126) 이보안업데이트는 Microsoft Exchange Server의공개된취약점과비공개적으로보고된취약점 1건을해결합니다. 가장심각한취약점은 Microsoft Exchange Server WebReady 문서보기에있으며, 사용자가 OWA(Outlook Web App) 를사용하여특수하게조작된파일을미리보는경우 Exchange 서버에있는코드변환서비스의보안컨텍스트에서원격코드를실행하도록허용할수있습니다. WebReady 문서보기에사용되는 Exchange에있는코드변환서비스는 LocalService 계정에서실행되고있습니다. LocalService 계정에는로컬컴퓨터의최소권한이있으며네트워크에서익명자격증명을제시합니다. Windows 파일처리구성요소의취약점으로인한원격코드실행문제점 (2758857) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 이취약점으로인해사용자가특수하게조작된이름의파일또는하위폴더가있는폴더를찾아볼경우원격코드실행이허용될수있습니다. 취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. DirectPlay의취약점으로인한원격코드실행문제점 (2770660) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 공격자가사용자를특수하게조작된콘텐츠를내장한 Office 문서를보도록유도할경우취약점으로인해원격코드실행이허용될수있습니다. 취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. IP-HTTPS 구성요소의취약점으로인한보안기능우회 (2765809) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 공격자가해지된인증서를 Microsoft DirectAccess 배포에서일반적으로사용되는 IP-HTTPS 서버에제출할경우취약점으로인해보안기능우회가허용될수있습니다. 취약점을악용하려면공격자는 IP-HTTPS 서버인증을위해도메인에서발급된인증서를사용해야합니다. 조직내부의시스템에로그온하려면시스템또는도메인자격증명이필요합니다. < 해결방법 > Windows Update를수행하거나 Microsoft 보안공지요약사이트에서해당취약점들의개별적인패치파일을다운로드받을수있습니다. 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms12-dec 영문 : http://technet.microsoft.com/en-us/security/bulletin/ms12-dec 페이지 24

Adobe Flash Player 취약점보안업데이트권고 Adobe 社는 Adobe Flash Player에발생하는취약점을해결한보안업데이트를발표했습니다. 공격자는취약점을이용하여시스템을멈추거나시스템의제어권한을획득할수있으므로제품을최신버전으로업데이트하시기바랍니다. - 코드실행으로이어질수있는버퍼오버플로우취약점 (CVE-2012-5676) - 코드실행으로이어질수있는정수형버퍼오버플로우취약점 (CVE-2012-5677) - 코드실행으로이어질수있는메모리오염취약점 (CVE-2012-5678) < 해당제품 > Adobe Flash Player 11.5.502.110 및이전버전 < 해결방법 > 윈도우, 매킨토시환경의 Adobe Flash Player 사용자 : Adobe Flash Player Download Center(http://get.adobe.com/kr/flashplayer) 에방문하여 Adobe Flash Player 11.4.402.287버전을설치하거나자동업데이트를이용하여업그레이드 윈도우 8 버전에서동작하는인터넷익스플로러 10 버전의경우, Windows Download Center(http://support.microsoft.com/kb/2755399) 를방문하여 최신버전으로업데이트 안드로이드및 IOS 환경의 Adobe Flash Player 사용자 : 앱마켓에서최신버전의 Adobe Flash Player 를다운로드하여설치 < 참고사이트 > http://www.adobe.com/support/security/bulletins/apsb12-27.html http://market.android.com/details?id=com.adobe.air MS Internet Explorer 원격코드실행신규취약점주의권고마이크로소프트의 Internet Explorer에서원격코드실행이가능한신규취약점이발견되었습니다. 해당취약점에대한보안업데이트는아직발표되지않았으나, 취약점을악용한공격시도가해외에서확인되어사용자의주의가특히요구됩니다. 마이크로소프트의 Internet Explorer에서사용되는 mshtml CDwnBindInfo 오브젝트에서 use-after-free 취약점이발생하며해당취약점을악용한공격은악성코드실행및윈도우즈의보안기능우회를위해 Adobe Flash 및 Java가이용되고있습니다. 영향을받는소프트웨어는 Internet Explorer 6/7/8이며, Internet Explorer 9/10은해당취약 페이지 25

점에영향을받지않습니다. < 해당제품 > Internet Explorer 6/7/8 < 해결방법 > 1. 해당취약점에영향을받지않는 Internet Explorer 9 또는 10을사용하는것이좋습니다. 2. WindowsXP 사용자는 MS의보안업데이트패치발표전까지 Google Chrome이나 Mozilla Firefox 등의다른인터넷브라우저를사용하는것이좋습니다. 3. MS의보안업데이트패치발표전까지영향을받는 Internet Explorer 버전을사용할경우취약점에의한피해를줄이기위해 EMET(Enhanced Mitigation Experience Toolkit) 을 Internet Explorer에적용하여취약점이악용되지못하도록조치해야합니다. 4. 해당취약점은공격을위해 Adobe Flash와 Java가같이사용되었으며 Internet Explorer 에서 Flash와 Java를비활성화하기위해다음과같은방법을사용할수있습니다. - Flash ActiveX 컨트롤실행중지 : CLSID가 {D27CDB6E-AE6D-11cf-96B8-444553540000} ActiveX 컨트롤실행을중지 - Java 제어판의보안탭에서웹브라우져의 Java content가실행되지못하도록처리 ( 해당기능을사용하기위해서는 Java 7 Update 10 이상으로업데이트해야함 ) 페이지 26

Contact us 이스트소프트알약대응팀 Tel : 02-3470-2999 E-mail : help@alyac.co.kr : 알약홈페이지 : www.alyac.co.kr 페이지 27