ASEC Report 10 월 ASEC Report 2008. 11. I. ASEC Monthly Trend & Issue... 2 (1) 악성코드 MS08-067 윈도우보안취약점을악용하는악성코드... 2 (2) 스파이웨어 스팸메일러피해증가... 5 (3) 시큐리티 원격공격이가능한 MS08-067... 9 (4) 네트워크모니터링현황 TCP 445 포트공격시도... 13 (5) 중국보안이슈 10월중국보안이슈... 16 II. ASEC 컬럼... 19 (1) MS08-046의 EMF 취약점... 19 (2) VB2008 컨퍼런스참관기... 22 III. ASEC 월간통계... 28 (1) 10월악성코드통계... 28 (2) 10월스파이웨어통계... 37 (3) 10월시큐리티통계... 40 안철수연구소의시큐리티대응센터 (AhnLab Security Emergency response Center) 는악성코드및보안위협으로부터고객을안전하게지키기위하여바이러스분석및보안전문가들로구성되어있는조직이다. 이리포트는 안철수연구소의 ASEC에서국내인터넷보안과관련하여보다다양한정보를고객에게제공하기위하여악성코드와시큐리티의종합된정보를매월요약하여리포트형태로제공하고있다.
I. ASEC Monthly Trend & Issue (1) 악성코드 MS08-067 윈도우보안취약점을악용하는악성코드 이번달말에는윈도우서버서비스취약점 (MS 긴급패치 MS08-067) 을공격하는악성코드가제작발견되었고, 유명컴퓨터제조업체의미니 PC의하드디스크에서악성코드가발견되었다. 또한미국의대표 SNS인 Facebook을이용하여전파되는웜의변형도있었으며국내에서는온라인게임악성코드가자신을디버깅하면 MBR 영역을망가뜨리는유형이보고되기도하였다. MS08-067 윈도우보안취약점을악용하는악성코드 해당취약점은윈도우서버서비스취약점으로 Server Service가 RPC 요청을제대로처리하지못해서발생하는것이다. 해당서비스는윈도우 2000, XP, 2003 등의주요 OS에서기본적으로서비스가되고있고, 또한취약점을이용하여원격에서공격이가능하기때문에그중요도가 긴급 성을갖는다. 그러나일각에서우려와는달리이취약점을이용하는악성코드는크게증가하지못할것으로보인다. 이글을작성하는현재취약점과악성코드가보고된지 9일정도흘렀지만과거 RPC계열의취약점을이용하였던블래스터웜이나새서웜과같이해당취약점을이용한악성코드는쏟아져나오고있지않다. 여기에는여러가지이유가있겠지만예전과는달리원격에서윈도우 ( 윈도우비스타, 2008) 취약점자체를공격하는게과거보다는쉽지않다는데있다. 윈도우 XP 역시원격에서의공격은원격코드의실행보다는단지 DoS 수준에머물것으로생각된다. 그리고무엇보다도이전과다르게 MS의발빠른패치와많은보안업체들의대응들도여기에한몫을하고있기때문일것이다. 유명컴퓨터제조사하드디스크에서발견된악성코드 대표적인메인보드및컴퓨터제조업체인 Asus가일본에서판매하고있는 Eee PC 라고불리우는미니 PC 하드디스크에서악성코드가발견되었다. 해당악성코드는이와같은하드웨어 (USB 메모리스틱과같은이동식디스크종류 ) 에서주로발견, 보고되는 Autorun 관련악성코드에감염된것으로밝혀졌다. 2
[ 그림 1-1] Asus Eee PC ( 출처 - www.pcadvisor.co.uk) 올해들어서이와같이이동식디스크에악성코드가감염된사례가종종발생하고있는데, 대부분의경우에있어공장에서해당하드웨어대한초기화작업 ( 포맷및 OS 설치등 ) 에서주로감염이된다. 물론마스터작업을하는어떤시스템에악성코드가감염된사실을몰랐기때문이고여기에백신관련제품이설치되지않았기때문일것이다. 올해유사사례를보면모두오래전에발견된악성코드가이러한장치들에서보고되었다. 이는앞서언급한바와같이보안에가장기본인안티바이러스제품사용에소홀하였던것이원인이라할수있다. MBR 영역을손상시키는악성코드 Win-Trojan/Killmbr.14848은특정온라인게임의사용자계정정보를탈취하는트로이목마에서드랍된다. 해당악성코드는특이하게자신이디버깅당하고있다고판단되면더이상의분석을방해할목적으로 MBR 1 (Master Boot Record = 이하 MBR) 을손상시킨다. 일반사용자는문제가되지않을수있지만, 해당악성코드를분석하려고디버거를사용중일때이부분을우회하지못한다면분석가시스템의 MBR 영역이손상될수있다. [ 그림 1-2] IsDebuggerPresent() 를이용한안티디버깅 현재자신의프로세스가디버깅당하고있다고판단이되면 MBR 영역에특정데이타를써 1 MBR 영역에는부팅및파티션에대한중요한정보가담겨있다. 3
놓을부분을호출한다. [ 그림 1-3] MBR 영역에써놓을내용과리부팅시출력되는메시지 이와같은안티디버깅은비교적간단한것으로악성코드를분석하는입장에서는우회하기쉽다. 또한이렇게분석을방해하거나지연시키기위한방법은여러가지가있다. 사용자입장에서는기존악성코드들과다를게없지만악성코드를분석하고연구하는입장에서는꼭알아야할분석기술중하나이다. 4
(2) 스파이웨어 스팸메일러피해증가 최근해외의한보안업체가 27일발표한올해 3분기스팸메일동향조사에따르면, 한국이스팸메일발송순위에서 3.8% 로 6위를차지한것으로나타났다. 스팸메일발송증가의원인으로는, 스팸메일러와스팸메일러에감염된 PC의증가로추정된다. 최근다운로더에의해여러스파이웨어와함께스팸메일러가설치되는것이많이발견되고있으며, 이로인한고객피해가증가하고있는추세이다. 특히최근유행하는스팸메일러는윈도우기반에서동작하기때문에, 윈도우환경의사용자가많고인터넷회선속도품질이좋은한국은스팸메일러가전파되기에좋은조건을갖추고있다. [ 그림 1-4] 스팸메일러에의해발송된스팸메일 최근유행하는스팸메일러는불법사이트등에서배포되는허위크랙, 해킹된웹사이트, 악성코드다운로더, 웜등의다양한방법에의해설치되며, 보통다른여러악성코드들과함께설치된다. 대부분의스팸메일러는루트킷을이용하여사용자나보안제품으로부터자신을은폐하고보호하며, 윈도우서비스로등록되어동작하고, UI가없기때문에, 사용자는스팸메일러에감염되더라도그사실을알아차리기어려워자신도모르는사이에스팸메일을발송하는스팸메일러가되어버린다. 스팸메일러에의해발송되는스팸메일은그목적에따라광고와악성코드전파, 그리고피 싱등으로구분되는데. 광고메일의경우는쇼핑몰이나성인사이트등을홍보하기위한것으 로위험성은낮은편이다. 5
[ 그림 1-5] 스팸메일러에의해발송되는광고메일 최근스팸메일러에의해발송되는스팸메일은 [ 그림 1-5] 와같은특정의약품광고가많은 데이경우, 광고에삽입된링크가중국웹사이트를경유하여이동되는것으로보아중국에 서제작된스팸메일러가많은것으로추정된다. 광고가아닌악성코드전파가목적인것들은메일을수신한사용자 PC 의보안에큰위협을 6
주고, 또다른스팸메일러가되어동작할수있으므로그문제가심각하다. 보통악성코드 전파를위해발송되는스팸메일들은사용자가메일을열람하도록유도하기위해주로 [ 그림 1-6] 과같이연예인의사진이나포르노등을이용한다. [ 그림 1-6] 악성코드전파가목적인스팸메일 위의 Follow the link you gotta check it 링크를클릭하면악성코드가다운로드된다. 다운로드되는악성코드는 Win-Downloader/Zlob 종류인경우가많으며, 주로 [ 그림 1-7] 과같은허위안티-말웨어프로그램을다운로드한다. 허위안티-말웨어프로그램은사용자에게허위진단결과를표시하거나직접다른악성코드를설치하여진단하는방식으로사용자에게부당한결제를요구하는스파이웨어이다. 7
[ 그림 1-7] 스팸메일을통해전파되는허위안티 - 스파이웨어 스팸메일러가설치되는것을예방하기위해서는다른악성코드예방법과마찬가지로불법프로그램 / 크랙등의사용을자제하고, 취약점을이용한설치를막기위해항상최신의업데이트를유지해야하며반드시방화벽및보안제품을사용하여야만한다. 특히방화벽의사용은, 스팸메일러에의해발송되는스팸메일을차단할수있으므로, 스팸메일러감염에의한 2차피해를막을수있다. 8
(3) 시큐리티 원격공격이가능한 MS08-067 10월에있었던주요이슈중에서가장큰이슈는 10월24일 ( 한국시간 ) 에발표된마이크로소프트사의취약점이라할수있다. 마이크로소프트사의보안패치정책은매월둘째화요일에발표되고있는데, 이번의경우예외적으로긴급하게보안패치를발표하였다. MS08-067 취약점에대해좀더세부적인내용과 TCP/IP의새로운취약점에대해알아보도록하겠다. MS08-067 서버서비스취약점공개돼, 주의필요 이번에발표된패치는 MS08-067 서버서비스취약점으로올해벌써 67번째에해당하는보안패치이다. 작년의보안패치마지막번호가 MS07-069인것을보면 2008년은보안취약점이전년대비더욱증가될것으로예상된다. 이번취약점은특정응용프로그램이아니라많은사용자층을확보하고있는윈도우운영체제에기본으로포함되어있는서비스가대상이되어공격대상의범위가넓다고볼수있다. 이취약점을이용하면공격자는시스템의관리자권한을획득하여시스템을완전히제어할수있게되어시스템이위험에노출될수있다. 공격자는조작된 RPC 메시지를인증없이전송하여임의의코드실행이가능한데, 이것은윈도우서버서비스가조작된 RPC 요청을적절히처리하지못해발생하는것이다. RPC 는네트워크상의컴퓨터들사이에프로그램서비스를요청할수있는프로토콜로서상 호운영성을제공해준다. 서버서비스는 RPC 를통해파일, 프린트그리고네트워크공유를 지원해다양한기능을제공해준다. 서버서비스는 RPC 인터페이스로 srvsvc 이름의파이프를오픈하며, ntsvcs의이름으로도사용된다. SRVSVC 인터페이스는 UUID 4b324fc8-1670-01d3-1278-5a47bf6ee188 값이등록되어있다. 이인터페이스를통해공유설정, 세션, 파일오픈및기타서버의자원접근이가능해지는것이다. SRVSVC 인터페이스의 RPC 기능으로사용가능한것은아래와같다. NetrFileEnum NetrSessionEnum NetrShareEnum NetrPathCanonicalize NetrPathCompare 일반적으로클라이언트는서버와통신하기위하여 TCP/139, 445 번의 SMB(Server Message Block) 을이용한다. RPC 를통해명령어를전달하기전클라이언트는서버와 SMB 9
세션을맺어야한다. 즉, SRVSVC의 RPC 기능을호출하기위해서는클라이언트는우선서버의 SRVSVC 파이프를오픈하고바인딩단계를거친다. 바인딩호출이성공적으로이뤄지면클라이언트는 SMB TransactNmPipe 명령어를이용하여 RPC 메시지를전달할수가있다. 그러나, NETAPI32.DLL에서처리되는 RPC 기능중하나인 NetrPathCanonicalize에버퍼오버플로우가존재하여임의의명령어실행이가능하다. 공격자는조작된 RPC 메시지를전달하여포인터가조작된위치를가리키도록하여명령어가수행되게할수있다. * 공격과정 ( 전형적인 SMB 세션을통해공격을시도하는과정 ) [ Attacker ] -------------------->[Target] 1) [Attacker] 공격자는공격대상시스템에 SMB 세션연결을시도한다. 2) [Target] 공격대상시스템에서는 SMB 세션에대한인증 3) [Attacker] 공격자는대상시스템으로 SRVSVC RPC 인터페이스바인딩 4) [Target] 대상시스템은바인딩요청을허용 5) [Attacker] 공격자는대상시스템으로조작된 RPC 요청을전송 이취약점은현재광범위하게사용되고있는운영체제에기본으로사용되고있는서비스인만큼위험도가상당히높다고볼수있으며, 영향을받는윈도우를사용하는고객은반드시패치를적용할것을권고한다. 다만, 한가지다행인점은윈도우 XP SP2, 윈도우비스타그리고윈도우서버 2008은방화벽에의해기본적으로해당인터페이스에접근이안되는것으로알려져있다. 그러므로, 공격에이용되기위해서는다음과같은상황이만들어져야한다. 1. 방화벽이중지되어있어야함 2. 방화벽이허용되어있으나, 파일 / 프린터공유가허용되어있는경우 최근발견된해당취약점을내포하고있는악성코드는시스템감염시일부도메인에접근하여감염된시스템의정보를남기도록설계되어있었다. 아래그래프는해당도메인으로부터수집된로그정보로부터 IP 정보를기반으로국가별분포를살펴본결과이다. 이는일부도메인으로부터수집된단편적인정보이기때문에전체를의미하는정보로규정지을수는없으나, 많은국가의시스템들이해당악성코드에감염되었으며우리나라 (KR) 또한해당악성코드감염사례가발견되었다는점을확인할수있다. 10
[ 그림 1-8] 감염호스트지역분포 ( 일부감염호스트로깅사이트로부터 ) Sockstress 라불리는 TCP 프로토콜취약점 10월초헬싱키에서열린 T2 컨퍼런스 (http://www.t2.fi) 에서 TCP/IP의스택에존재하는취약점이공식적으로공개되었다. 이번취약점은 TCP/IP 프로토콜스택을사용하는경우라면모두해당이되고, 발표자는취약점을통해서비스거부 (DoS) 상태가발생될수있다고주장하였다. [ 그림 1-9] TCP/IP DoS 공격기술흐름 1 TCP/IP라는프로토콜특성상인터넷의기반이되고있어자세한정보는공개되지않고있다. 우선현재이문제를해결하기위하여업체및 CERT와도협의가진행중이며취약점의자세한기술적배경은 2009년쯤에공개하겠다고한다. 알려진바에의하면, 이공격은 5분만에시스템을다운시킬수있으며실제 T2 컨퍼런스에서데모를통해확인되었다고한다. 1 출처 : Outpost24 의 Introduction to SockStress 발표자료중 11
행사장에있었던한사람에의하면, 이것은많은양의 SYN Flooding 형태또는 SYN 쿠키의형태와크게달라보이지않으며데모에서는최신패치가적용된윈도우 XP 시스템이초당 30-40개의조작된연결을통해 3분안에다운되었다고한다. 즉, 7000개정도의패킷으로많은양의 DoS 공격이아니었으며이것은 100Mbit/s 에서 0.1% 도안되는적은양이다. 세부적정보가알려져있지않은상태에서또다른분석가는이것은알려져있는공격형태와크게다르지않으며, 공격선상에서의좀더확장된형태의다른공격방법일뿐이라고도하였다. 최근 DDoS 공격피해사례가급증하고시점에서또다른 TCP/IP DoS 공격의발표는참으로반갑지않은소식이다. 실제공격에활용될경우, 그피해가상상하기어려울정도이기때문에본사를비롯한많은전문가들이이에집중하고있다. [ 그림 1-10] T2 컨퍼런스의발표현장사진 12
(4) 네트워크모니터링현황 TCP 445 포트공격시도 이번달네트워크모니터링시스템상에서탐지된트래픽을포트기준으로분류하여살펴보면, 지난 9월과마찬가지로 TCP/445 포트가최상위포트를차지하였다. [ 그림 1-11] 에나와있는바와같이상위위협탐지이벤트들에포함된대부분의이벤트들이해당포트를사용하는 MS 관련취약점들이라는점과도일치한다. 2% 1% MS SQL Slammer worm-udp-ahn 5% TFTP Get-AHN 10% 7% 33% MS03-039-DCOM2 RPC Exploit- AHN MS04-011 LSASS_exploit-AHN MS03-026-DCOM RPC Exploit-AHN 13% MS06-040 Windows NetpIsRemote() Overflow-AHN MS05-039 Windows PNP Exploit- AHN 14% 15% MS04-007 Windows ASN.1 Remote Overflow Exploit-AHN Symantec Client Security Vulnerability-AHN [ 그림 1-11] 상위위협탐지이벤트 최근에는 MS 관련취약점을통해대규모의자동화된웜을이용하는확산공격에서벗어나, 웹을기반으로하는웹집중형의공격이인기를얻고있다. 따라서, 위협탐지이벤트들에서도새로운 MS 관련취약점을활용한공격이발견되는사례보다는기존에웜확산을위해애용되었던취약점들이꾸준히상위를차지하고있다. 이러한웹집중공격에맞추어안철수연구소의네트워크모니터링시스템에서도웹트래픽 유도기능을도입하여이에대한모니터링을시작하였고, 그결과이달 [ 그림 1-12] 상위 TOP 5 포트상에 TCP/80 포트가비교적큰비중을차지하게되었다. 13
1% 1% 16% 10% 72% TCP/445 TCP/80 TCP/139 TCP/135 TCP/1433 [ 그림 1-12] 상위 TOP 5 포트 다음 [ 그림 1-13] 은최근 1개월간의 TCP/445 포트상의트래픽추이만을살펴본그래프이다. 10월 27일이후로 TCP/445 포트상의트래픽이급격하게증가된것이발견되었다. 이시점을살펴보면바로 MS08-067 서버서비스취약점이발표된직후라는점을주목하여야한다. TCP/445, TCP/139 포트는기존의많은 MS 관련취약점들이주로사용하는포트이기때문에네트워크상에서항상가장높은위치를차지하기는하지만, 이와같이급격한증가를보인것은해당취약점으로인한트래픽발생이존재하였을가능성이높다는것을알수있다. 아직은이를본격적으로활용한대량의공격조짐은나타나고있지않지만, 이미확산을위해활용된사례가발견되었으므로해당포트에대한지속적인모니터링이필요할것으로보인다. [ 그림 1-13] TCP/445 포트상의트래픽추이 이달에는위협탐지이벤트중에지난 2007 년 11 월에보고된시만텍안티바이러스제품에 서발견된버퍼오버플로우취약점 ( 이벤트명 : Symantec Client Security Vulnerability-AHN) 이벤트가탐지되었다. 해당취약점은다른 MS 관련취약점들과함께각종봇 (Bot) 류에서지 속적으로애용되고있는취약점으로다음과같은트래픽패턴을갖는다. 해당취약점은봇의 전파목적으로사용되기때문에간간히트래픽상에서발견되고는있지만, 취약점자체가특 14
정제품에만해당되고안티바이러스제품의업데이트는필수항목이기때문에현재피해는 거의없을것으로추정된다. [ 그림 1-14] 시만텍취약점패킷 마지막으로국가별공격발생지분포그래프를살펴보면, 다음 [ 표 1-1] 에서보듯이지역적영향으로주로아시아권국가들이많은비중을차지하였지만대략 38개의다양한발생지로부터공격이벤트가발생되었다. 기존의공격발생지로많이알려진국가별순위와큰차이없이이달에도한국을비롯하여미국 (US), 일본 (JP), 중국 (CN), 홍콩 (HK) 등의국가들이차례로높은비중을차지하였다. 상위 10개국가 백분율 (%) 상위 10개국가 백분율 (%) KR 34 IN 5 US 22 TW 3 JP 16 PH 2 CN 8 ZA 2 HK 6 MY 2 [ 표 1-1] 국가별공격발생지분포 15
(5) 중국보안이슈 10 월중국보안이슈 일본국영석유공사홈페이지의악성코드유포 10월 21일경일본정부에서운영하는석유가스공사인 JOGMEC(Japan Oil, Gas and Metals National Corporation) 홈페이지에서악성코드를유포하는사고가발생한것으로요미우리신문과중국언더그라운드웹사이트를통해알려졌다. 이번사고로약 2400명정도가해당악성코드에감염되어개인정보가중국으로전송된것으로알려졌다. 이번사고에사용된악성코드에대해서는알려지지않았으나최근많은홈페이지해킹에사용된 SQL 인젝션기법이사용된것으로알려져있다. 이번보안사고는지난 6월일본정보와중국정부간에맺어진중국동부해안지역의석유자원개발합의문이일본정부와기업들에게많은이익을가져다주는불평등한합의문이라는것에대한항의적인성격으로발생한것으로알려졌다. 이러한보안사고는최근몇년간지속적으로발생하는금전을목적으로하는악성코드유포와더불어서정치적인목적의해킹이결합된형태의보안사고로볼수있을것이다. 대규모 SQL 인젝션공격에사용되는자동화된공격툴 2008년의주요동향으로웹서버를통해악성코드유포를위한기법으로 SQL 인젝션이많이사용되고있고, 이러한공격기법을자동으로수행하는툴들을지난 ASEC Report에서몇차례다루었다. 이러한자동화된공격툴중에서지난 9월중순고급형으로제작된 SQL 인젝션공격툴이상용으로판매되고있는것을중국언더그라운드웹사이트를통해서확인되었다. 16
[ 그림 1-15] 상용으로판매되는중국에서제작된 SQL 인젝션공격툴 이번에발견된 SQL 인젝션공격툴들은과거에발견된공격툴에비해서한층발전된형태의공격툴로서다음과같은다양한기능들을포함하고있었다. 1. 검색엔진과연동한취약한웹사이트검색기능 : SQL 인젝션에취약한웹사이트들을찾아내기위해서 Get과 Post 등의특정단어들을검색어로이용하여중국의바이두 (Baidu) 와구글웹사이트와자동으로연동되도록설정할수있다. 2. MS-SQL 데이터베이스에대한자동화된공격기능 : MS-SQL 데이터베이스의관리자계정과해당데이터베이스에존재하는취약점들을연동하여자동으로공격을수행할수있다. 이러한형태의자동화된공격툴이고급화가이루어지고상용으로판매됨에따라서해킹에대한고급지식이없는사람들역시해당툴의구매를통해서다량의해킹과악성코드유포가가능하다. 그리고이러한자동화된공격으로부터예방하기위해서는웹서버뿐만아니라웹어플리케이션과데이터베이스시스템등웹사이트와연동된다양한시스템들을점검하고공격에이용될가능성이있는취약점이존재하는지점검하도록해야될것이다. 중국언더그라운드에서제작된 MS08-067 취약점을이용하는악성코드 10 월 24 일마이크로소프트에서는 MS08-067 서버서비스의취약점으로인한원격코드 실행문제점 (958644) 취약점에대한패치를긴급으로배포하게되었다. 17
[ 그림 1-16] 중국에서제작된 MS08-067 취약점에대한공격코드 그러나해당보안패치보다하루정도빠르게해당취약점을이용하는악성코드가유포되 었다. 해당악성코드는 V3 Internet Security 에서 Dropper/Gimmiv.397312, Win- Trojan/Gimmiv.336384, Win-Trojan/Gimmiv.49152와 Win-Trojan/Gimmiv.57344로진단이가능하며, 해당악성코드가감염을위해네트워크로전송하는공격패킷은 MS08-067 Server Service Exploit 룰로차단이가능하다. 이번에유포된해당악성코드의제작국가에대해서많은정보보호전문가들은중국언더그라운드에서제작한것으로추정되고있으며, 실제중국언더그라운드해킹웹사이트들에서는 [ 그림 1-16] 과같이기존에알려진해당취약점에대한 PoC(Proof of Concept) 코드와는조금다른형태의공격코드들이알려져있었다. 이렇게악성코드에사용될소지가높은취약점들의악의적인이용주기가점점짧아지고있으며이러한악성코드와해킹과같은공격에대비하기위해서는주기적으로보안업체의최신및긴급보안정보를통해신속한대응전략을수립하는정책이필요하다. 18
II. ASEC 컬럼 (1) MS08-046 의 EMF 취약점 지난 8월달에공개된 MS08-046 취약점은윈도우이미지색깔관리시스템에서발생하는버퍼오버플로우취약점이다. 과거이미지관련취약점들이지속적으로발표되었고최근에도 EMF/WMF 관련취약점이발견되고있다. 현재이취약점의원격코드실행가능한공격코드는미공개상태이며, 탐색기 (Explorer.exe) 자체 DoS 상태코드만이확인되었다. 이번달 ASEC report 컬럼에서는해당취약점에대해서세부적으로살펴보고자한다. MSCMS(Microsoft Color Management System) 은마이크로소프트사에서제공하는색관리를위하여사용되는시스템으로, 이를통해 EMF(Enhanced Metafile) 형식을포함한다양한이미지형식이처리된다. 특히, EMF 파일은그래픽드로잉명령, 오브젝트, 속성등의정보는갖는가변길이의레코드들로구성되어있다. EMF 파일의 EMR_SETICMPROFILEW와같이일부특정레코드형식이 mscms.dll OpenColorProfileW() 함수를통해처리되는과정에서해당취약점으로인한버퍼오버플로우가발생하게된다. 이는 EMR_SETICMPROFILEW 레코드내부의 Data 필드를통해전달되는파라미터에대한올바른검증절차가수행되지않기때문에, 고정된크기로할당된버퍼이상의데이터를복사하는과정에서 Heap 기반의버퍼오버플로우가발생하게되는것이다. 앞서할당된 Heap 버퍼의경계를넘어 Overwrite 된메모리가추후다른코드상에서참조되면서 Access Violation을발생하며 Explorer.exe의서비스거부 (Denial of Service) 상태를야기하게된다. 우선 EMF(Enhanced MetaFile) 의구조를들여다보면다음과같이다수의 EMF 레코드들로 구성되어있다. EMF file = EMF Header Record + EMF Records + EMF EOF(End-of-File) Record EMF 레코드들은다수의그룹으로분류되는데, 기본적으로 EMF 파일의시작과끝을정의하는 Control Record 타입에속하는다음과같은레코드들이있다. - EMR_HEADER(0x00000001) - EMR_EOF(0x0000000E) 특히, 해당취약점은그래픽속성값을정의하고관리하는 State Record 형식에속하는다 음의레코드들을처리하는과정에서발생한다. 19
- EMR_SETICMPROFILEA(0x00000070) - EMR_SETICMPROFILEW(0x00000001) [ 그림 2-1] EMF 헤더구조 문제를발생하는코드의내부콜구조는다음과같다. Gdi32!fpOpenColorProfileW() mscms!opencolorprofilew() mscms!internalopencolorprofile() * 버퍼오버런이발생하는지점 실제코드상에서는다음과같은파라미터값을가지고함수를호출한다. 해당데이터를가지고 mscms!opencolorprofilew() 함수는내부적으로다시 mscms!internalopencolorprofile() 함수를호출한다. 이함수안에서버퍼오버플로우가발 생한다. 해당함수는프로파일정보를담고있는 ProfileData 문자열이디렉토리를포함하는파일명 으로판단되는경우, 바로프로파일파일을생성하지만, 파일명만존재한다고판단되는경우, 윈도우 COLOR 디렉토리정보 (GetColorDirectory() 함수호출 ) 를얻어와 ProfileData 와조 합하게된다. 20
BOOL WINAPI GetColorDirectory( PCTSTR pmachinename, /* NULL인경우, 로컬시스템 */ PTSTR pbuffer, PDWORD pdwsize /* 104h */ ); 이때, 프로파일파일경로저장을위해서는고정된 104h 크기의버퍼가할당되는데, 해당버퍼에획득된윈도우 COLOR 디렉토리정보를포함하여지금과같이과도하게긴문자열 profiledata(0x3876dd8) 데이터가추가되는경우, 고정길이 104h 크기이상의경계를넘어서메모리를덮어씌우기 (Overwrite) 하게된다. 현재이취약점의코드실행공격코드는공개되어있지않지만, 언더그라운드사이에서는이 미공유되었을수있고원격에서코드가실행가능하다는점에서위험도가높다. 21
(2) VB2008 컨퍼런스참관기 10 월초에캐나다오타와에서 18 번째국제바이러스컨퍼런스인바이러스블레틴 2008 컨 퍼런스가개최되었으며, 안철수연구소에서는 3 명의연구원이참석하여국제적인악성코드의 주요흐름과이슈에대한파악하였다. 올해도작년처럼대체로기술적발표는드물었다. 악성코드는새로운기법등장없이 2004 년을시작으로 2006 년부터급격한악성코드수증가와악성코드제작에금전적목적이들어 가는것외에는공격하는쪽과막는쪽의소모전양상이강하기때문으로보인다. 기조연설 바이러스블루틴편집자인헬렌 (Helen Martin) 의오프닝연설은증가하는온라인뱅킹과이를노리는피싱에대한내용이었다. 이후기조연설을맡은선벨트사 (Sunbelt) 의알렉스 (Alex Eckelberry) 는성경구절을인용한 백신업계여어디로가시나이까? (The AV industry: quo vadis?) 에서현재백신업계의신화와현실그리고해결책에대한얘기를했다. 몇년동안악성코드수가급격히증가하면서기존시그니처를통한대처에한계가서서히보이고이에 "AV는죽었다.(AV is dead.), " 윈도우비스타와함께라면백신프로그램은필요없다. (With Vista, you don t need antivirus.) 등의말이쏟아져나왔다. 하지만, 여러논란은있었지만여전히백신은악성코드를막는가장유용한수단이다. 현황에대해서는업계사람들이모두알고있는악성코드의엄청난증가 ( 이자료는독일 AV-test에서발표한자료로악성코드수는집계방법에따라달라질수있지만 2004년을시작으로 2006년부터해마다급격히증가하고있음은모두인정하고있다.) 와업계가마케팅에중점을두고연구개발비에큰비용을들이지않는점에대한얘기가나왔다. 22
[ 그림 2-2] 악성코드의폭발적증가 2008년 9월개인과기업사용자를대상으로설문조사결과도흥미로왔는데개인사용자와기업사용자를중심으로설문조사를했을때제품만족도의차이가비교적컸다. 개인사용자의가장큰불만사항으로퍼포먼스와리소스사용을 1위로꼽고있어백신프로그램이지나치게비대화해졌고사용자들이큰불만을가지고있음을알수있다. 그다음으로가격, 기술지원, 악성코드진단과제거로나타났다. 기업사용자들은퍼포먼스, 악성코드제거, 가격, 악성코드진단, 기술지원순으로문제점으로제기했다. 23
[ 그림 2-3] 개인의백신에대한불만설문조사결과 개인과기업의사용하는제품종류가달랐는데기업은아무래도관리이슈등이있어고객지원이상대적으로좋은큰회사제품을선택하는것으로보인다. 기술지원의경우많은업체에서기술지원에어려움이있으며전화의경우무료로가능한업체는 15개업체중 5개였으며나머지는유료혹은설치와알려진문제에대해서만무료로진행되는경우가많았다고지적했다. 다소놀라운결과였는데서비스는무료로인식되는우리나라와는조금다른문화적차이가아닐까싶다. 24
[ 그림 2-4] 기업담당자의백신에대한불만설문조사결과 전화통화가힘들다, 메일답변이느리다등의문제는대부분의업계에서발생하는문제이며결국문제를해결하는업체가고객들의선택을받을수있음을알수있었다. 또한최근어떻게하면동일한기능에시스템자원소비가적고시스템속도저하를못느끼게만드는가에초점이맞춰진것도이런고객불만이반영된결과가아닐까싶다. MBR 루트킷의등장 1988년흔히최초의컴퓨터바이러스로분류되는브레인바이러스 (Brain virus) 가등장한이후부트레코드에감염되는부트바이러스는구시대유물로취급되었다. 하지만, 무덤에잠자던부트바이러스를다시깨운건 2005년블랙햇 (BlackHat) 에서마스터부트레코드 (Master Boot Record) 를변조한루트킷의 POC가공개되면서부터라고할수있다. 2년후 2007년새로운유형의루트킷이등장했으며이후계속기술적인발전을하고있다. 20년전최초의컴퓨터바이러스는부트바이러스형태가많았는데 20년후유행이다시돌아온것은아닐까? 하지만, 이기법이주류가되기는제작방법도어렵고현실적으로한계가많지만기술적인이슈를좋아하는사람에게는좋은내용이었다. 안철수연구소바이러스신고센터와 VCC 독일아비라 (Avira) 사는 VCC(Virus Control Center) 에대해서발표했다. 하지만, 안철수연 구소의바이러스신고센터는 VCC 보다더향상된기능을제공하고 10 월 8 일부터서비스가 25
시작되었다. 1 안철수연구소의개편된신고센터는샘플접수부터처리현황, 결과까지이력을확인할수있는시스템에서진일보해단순샘플신고뿐아니라사용자시스템에서의심스러운파일까지수집할수있으며내부적으로정보를공유할수있게되어있다. 테스트! 테스트! 테스트! 둘째날섹션의대부분이스팸에대한내용이었다면마지막날섹션중상당수는테스트에 대한내용이었다. 블루틴의존하웨즈 (John Hawes) 는 RAP에대한발표를했다. 오늘의업데이트가내일은무용지물인현실을반영해특정기간업데이트없이새로발견되는악성코드를얼마나진단할수있는지테스트하는것으로행동검사 (Behavior detection), 휴리스틱진단 (Heuristic detection), 제네릭진단 (Generic detection) 으로테스트한다. 현재 RAP 단계는테스트시스템을검증하고문제점을계속적으로수정하는단계이다. 맥아피의이고르무틱 (Igor Muttik) 은 미래를위한테스트재정립 (Rebuilding testing for the future) 에서악성코드들이진화하고변화하는것에따른새로운테스트기법과방안이필요 하다는논의를꺼냈다.. 관련내용은현재업계에서테스트표준을준비하고있다. 가상화 가상화인프라가계속구축되면서그에따른보안이슈들에대한얘기가나왔다. 여러가지 가상화기술에대한소개가있었고가상화서버에대한위협들과미래에있을위협들에대 한소개를했으며그에따른보안업체들의대응관점에서의얘기가있었다. 가상화는새로운패러다임의컴퓨팅을구축하고있고, 예전과는다른전혀새로운취약점및위협들과만나게될것이란얘기가있었다. 소개된위협중, 가상화되어있는서버가마이그레이션 (Migration) 과정에서해커에의해탐지당하거나루트킷공격에의해서버군전체가장악되는이야기가흥미로웠다. 악성코드연합전선 중남미의은행계좌탈취를위한악성코드에대하여잘알려져있지는않지만, 그쪽지역에 서는심각한문제를유발하고있는것으로알려져있다. 그러나, 브라질에는지역백신회사 가없으며악성코드분석및대응과관련하여알려진사람도드문편이다. 1 http://kr.ahnlab.com/info/noticeview.ahn?num=50079915 26
최근맥아피브라질연구소에서남미의은행계좌탈취트로이목마현황및최근악성코드제작자들의협력에대해발표했다. 과거식민지의영향으로브라질은포르투갈어를, 나머지국가는스페인어를사용한다. 브라질과그외남미국가는사용하는언어가다르지만최근브라질과멕시코, 아르헨티나등의남미국가에서연합해하나의악성코드로여러은행계정을탈취할수있다고한다. 악성코드제작동기가금전적목적이되면서범죄도점차조직화, 국제화되는게아닐까하는우려도해본다. [ 그림 2-5] 악성코드제작자연합전선 이외인터넷뱅킹보안에대해서는패널토론도있었는데인터넷뱅킹과관련해해외에는타은행간이체는허용하지않는경우가많으며돈이유출되어도은행에서보상하는곳이많다고한다. 하지만, 정확하게얼마나피해가발생했는지는자료가공개되고있지않는다고한다. 27
III. ASEC 월간통계 (1) 10 월악성코드통계 Top 10 피해통계 10 월순위 악성코드명 건수 % 1 new Win-Trojan/Bagle.858628 49 21.6% 2 new Win-Trojan/Autorun.250651 44 19.4% 3 new Win-Trojan/Agent.137728.AN 22 9.7% 4 new Win-Trojan/Agent.73728.JC 22 9.7% 5 new Win-Trojan/Agent.80384.AL 20 8.8% 6 new Win-Trojan/OnlineGameHack.22016.BD 16 7.0% 7 new Win-Trojan/XPack.36864 14 6.2% 8 new Win-Trojan/Tervemoy.86016.B 14 6.2% 9 new Win-Trojan/Agent.75264.AX 13 5.7% 10 new Win-Trojan/OnlineGameHack.170376 13 5.7% 합계 227 100.0% [ 표 3-1] 2008년 10월악성코드피해 Top 10 [ 표 3-1] 은 2008년 10월악성코드로인한피해 Top 10에랭크된악성코드들로서이들악성코드들로인한총피해건수는 227건이다. 이는 10월한달접수된총피해건수 (2,995건) 의 7.6% 에해당하며, 지난 9월 389건 (10.2%) 보다줄어든것으로나타났다. 이는특정악성코드로인하여다수의고객피해가발생하는것이아니라, 악성코드가대량제작배포되고생명주기가짧은현상을간접적으로보여준다. 지난달과비교하여두드러진차이점은 8, 9월에 1위를차지한허위백신류의악성코드의수가현저하게줄어든것과 2008년도하반기에는악성코드피해가점차줄어들고있다는것이다. 또한지난 8월과동일하게트로이목마가 Top 10을모두차지하였다. Win- Trojan/Bagle.858628는악성코드내에하드코딩된이메일주소로감염된시스템에서수집된정보를훔쳐자체 SMTP엔진을이용하여메일을발송하는악성코드로 10월에 49건이접수되면서 1위로랭크되었다. Win-Trojan/Bagle.858628 과 Win-Trojan/Autorun.250651 이 21%, 19% 로가장많은비중 을차지하였으며, Win-Trojan/Agent 류의악성코드가 10%, 10%, 9% 로그뒤를잇고있다. 28
나머지악성코드들은대부분 7%~6% 의비율로큰차이를나타내지는않고있다. 하지만 10 월은 9 월에비하여 Win-Trojan/Autorun 류의악성코드가 5.9%(23 건 ) 에서 19%(44) 로증가 하여다소많은피해를준것으로나타났다. 10 월순위 대표진단명 건수 % 1 Win-Trojan/Agent 383 30.3% 2 Win-Trojan/OnlineGameHack 281 22.2% 3 Win-Trojan/Downloader 172 13.6% 4 Win-Trojan/Autorun 97 7.7% 5 Dropper/OnlineGameHack 81 6.4% 6 Win32/Autorun.worm 81 6.4% 7 Win-Trojan/Bagle 54 4.3% 8 Win-Trojan/Fakeav 44 3.5% 9 Dropper/Agent 38 3.0% 10 Win-Trojan/Zlob 34 2.7% [ 표 3-2] 2008년 10월악성코드유형별 Top 10 [ 표 3-2] 는 2008년 10월악성코드의대표진단명을기준으로유형별피해순위를나타내고있다. 유형별 Top 10에포함된악성코드총피해건수는 1,265건으로 10월한달접수된총피해건수 (2,261) 의 55.9% 로절반이상을차지하고있다. 이러한 Trojan 악성코드대부분은 OnlineGameHack류의악성코드이며, 이악성코드가줄어들지않는이유는중국에서제작된웹사이트취약점을이용한악성코드삽입툴이지속적으로국내웹사이트를공격하고있기때문으로추정된다. 특정악성코드의피해를나타내는 [ 표 3-1] 과는달리전체적으로보았을때여전히온라인게임핵악성코드가상위권에랭크되어있으며, [ 표 3-1] 의 10위권에서밀려난허위백신류의 Win-Trojan/Fakeav는대표진단명에서 8위를차지하고있는데, 이는다양한변종이발생하였으나그피해는점차줄어들고있는것으로해석된다. 29
월별피해신고건수 10,000 8,000 6,000 4,000 2,000 - 월별피해통계 8,948 7,650 6,634 5,609 6,213 5,797 3,536 3,789 3,254 3,396 1,617 2,321 2,057 1,558 1,775 1,111 1,264 1,305 2007년 2008년 6,454 5,352 4,265 2,995 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 3-1] 2007,2008 년월별피해신고건수 [ 그림 3-1] 은월별피해신고건수를나타내는그래프로 10월은전체 2,995건의피해신고가접수되었으며지난달 3,789건과비교하여약 21% 정도감소한것으로나타났다. 지난 5월을기점으로꾸준한감소세를보였던피해신고건수가 9월에소폭상승하면서 2007년과유사하게증가할것으로예상하였으나다시감소하였다. 이러한추이는악성코드의연말특수 ( 미국대선, 크리스마스등 ) 로인한스팸메일증가가예상되면서더욱더잠재적인위험을내포하고있을것으로추정된다. 30
6% 2% 5% 11% 76% 트로이목마스크립트드로퍼웜유해가능프로그램바이러스 [ 그림 3-2] 2008 년 10 월악성코드유형별피해신고건수 [ 그림 3-2] 는 2008년 10월전체악성코드유형별피해신고건수를나타내고있는그래프이다. Top 10의유형과마찬가지로전체피해신고유형을봤을때에도트로이목마가 76% 로높은비중을차지하고있으며 7월, 8월, 9월을거쳐점차감소하고있던드로퍼는게임핵류의악성코드증가로인해 11% 로증가하였다. 웜은지난달 9% 에서 3% 감소한 6% 로소폭감소하였다. 11% 4% 2% 7% 76% 트로이목마스크립트드로퍼웜유해가능프로그램바이러스 [ 그림 3-3] 2008 년 10 월피해신고된악성코드의유형별현황 [ 그림 3-3] 은 10월한달간접수된유형별신고건수로 [ 그림 3-2] 의유형별피해신고건수와마찬가지로트로이목마가 76% 로여전히높은비율을차지하고있다. 나머지스크립트 7%, 드로퍼 11%, 웜 4%, 유해가능프로그램이 2% 를골고루차지하고있으며여전히바이러스는전체비율에서 1% 도안되는비율을차지하고있다. 바이러스의경우 Win32/Kashu.B 가 Autorun 류의악성코드와동일하게 USB 와같은저장매 31
체를통해유포되었던경우가있었으나진단및치료가가능했던바이러스였기에크게이슈 가되지않고조기에차단될수있었다. 4,500 4,000 3,500 3,000 3,255 3,927 3,571 2,500 2,000 2,059 2,215 2,566 1,984 2,440 1,500 1,000 1,364 1,418 500-1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 [ 그림 3-4] 2008 년월별피해신고악성코드종류 [ 그림 3-4] 는 2008년월별로피해신고가되는악성코드의종류를나타낸그래프이다. 월별로신고되는 [ 그림 3-1] 의월별피해신고건수와마찬가지로 3개월간꾸준히감소하다가 9 월에반등을하였으나 10월에는큰폭으로감소하였다. 2008년의 11월과 12월은 2007년연말악성코드추이와유사하게윈도우보안취약점을이용한젤라틴웜이첨부된스팸메일이유포될가능성을배제할수없기에더더욱남아있는기간동안에악성코드종류가어떻게증가할지쉽게예측하기어려워졌다. 32
국내신종 ( 변형 ) 악성코드발견피해통계 10 월한달동안접수된신종 ( 변형 ) 악성코드의건수및유형은 [ 표 3-3] 과같다. 웜 트로이 드롭퍼 스크립트 파일 매크로 부트 부트 / 파일 유해가능 비윈도우 합계 08 월 55 1094 195 88 1 0 0 0 10 0 1443 09 월 64 867 97 91 2 0 0 0 13 0 1134 10 월 58 899 130 145 3 0 0 0 16 0 1251 [ 표 3-3] 2008년최근 3개월간유형별신종 ( 변형 ) 악성코드발견현황 이번달신종및변형악성코드는 10% 가량상승하였다. 특히스크립트, 드롭퍼, 트로이목마유형이증가하였다. 스크립트와드롭퍼유형은전월대비각각 59%, 34% 증가하였다. 온라인게임계정을탈취하는악성코드유형이전월대비 12% 가량증가하면서관련드롭퍼와스크립트유형의악성코드들도상승한것으로추정된다. 다음은이번달악성코드유형을상세히분류하였다. 1% 3% 12% 0% 1% 10% 1% 10 월신종 ( 변형 ) 악성코드유형 0% 트로이목마 스크립트 드롭퍼 웜 (AutoRun ) 웜 ( 메일 ) 웜 (IRC) 웜 (SNS) 72% 유해가능 파일 ( 바이러스 ) [ 그림 3-5] 2008 년 10 월신종및변형악성코드유형 트로이목마유형은전월대비 4% 가량증가하였다. 스크립트와드롭퍼유형은위에서언급 했듯이이번달증가율이높았다. 웜유형에서는 Autorun 계열이가장많은변형을차지하 33
고있으며이번달다수의변형이발견된 Facebook 관련웜도새롭게웜유형으로추가하였다. Facebook 관련악성코드는미국내대표적인 SNS(Social Networking Service) 로이를노리는악성코드는기존에이미알려졌고 V3에서도진단되고있다. 이악성코드는해당사이트에접속되어있는경우사용자의버디리스트의개인페이지내에방명록또는덧글형태로악의적인웹사이트로유도하도록하여자신을전파한다. 국내에서의 SNS 관련악성코드는아직위와같은수준은아니고일부포털의사용자들의쪽지함에악성코드가업로드된링크를보내어클릭을유도하는형태가보고되었다. 이것은대부분사회공학기법으로호기심어린사진이나메시지등으로사용자를기만하고있으므로출처가불분명하거나버디리스트내사람에게온내용이라고할지라도의심스럽다면반드시메시지를보낸사용자에게확인이필요하다. 메일웜은주춤하였는데특히올한해대표적인메일웜이였던 Win32/Zhelatin.worm ( 이하젤라틴웜 ) 은이번달한건도사용자들로부터는접수되지않았다. 이뿐만아니라다른경로부터접수및모니터링되는곳에서도젤라틴웜은단지 1건만보고되었다. 다음은올해젤라틴웜에대한안철수연구소보고건수 1 이다. 10000 8000 Win32/Zhelatin.worm 변형건수 7924 6000 4000 3609 4004 3430 3507 5394 3011 2000 1345 1664 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 1 [ 그림 3-6] 2008 년젤라틴웜접수건수 6 월이후하락추세에있으며 9 월은상승하였으나이는실제로문제가될수있는사용자 접수는오히려하락한경우이다. 즉, 기타경로의접수처의샘플은상승하였으나이것은 1 이는사용자및기타경로로접수된모든것을나타낸다. 34
실제사용자로부터접수된샘플의의미는아니다. 10월은거의보고되지않았다. 해당악성코드가주춤하거나활동이둔화된이유로여러가지이유로추정하고있는데그중유력한것은 Bot 마스터가새로운형태의변형을준비하고있거나누군가에의해서 Bot C&C 서버들이그기능을하지못한것으로보고있다. 이론적으로 P2P 형태의 Bot C&C 서버도인증을통과하여이를제어할수있다면더이상 Bot 들은기능을상실할수밖에는없다. 그러나젤라틴웜과같은거대한봇넷을구성하는악성코드들은그종류가많으므로젤라틴웜이감소하였다고해서전체적인악성코드가감소하지는않았다. 다음은최근 3 개월간악성코드분포이다. 1200 최근 3 개월간악성코드분포 1000 800 600 400 8 월 9 월 10 월 200 0 [ 그림 3-7] 2008 년최근 3 개월간악성코드분포 트로이목마, 드롭퍼, 스크립트유형등이전월대비상승하였다. 8월, 9월을뜨겁게달구었던가짜백신들은주춤했다. 안철수연구소는전용백신을 10월한달동안꾸준히업데이트하였고제품에서도진단및치료기능을향상하여타사대비치료에우위를가지고있다. 그러한결과로실제로연구소로접수되었던미진단가짜백신은 9월 64개에서 10월은 30개정도로감소하였다. (V3 사용자접수샘플기준 ) 다음은트로이목마및드롭퍼의전체비중에서상당한비율을차지하는온라인게임의사 용자계정을탈취하는트로이목마의추세를살펴보았다. 35
1200 1000 2008 년온라인게임사용자계정탈취악성코드추세 1048 800 778 600 544 639 400 200 289 255 353 314 187 210 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 [ 그림 3-8] 온라인게임사용자계정탈취트로이목마현황 전월대비 12% 상승한해당악성코드는그래도이전과비교하면여전히적은수가발견, 보고되고있다. 특이할만한것은이번달에는특정온라인게임을노리는악성코드가디버깅중이라고판단되면해당시스템의 MBR(Master Boot Record) 을쓰레기값으로쓰고특정메시지를삽입하여부팅시출력하는형태가보고되었다. 사용자들에게는별다른이상이없지만안티바이러스연구원들처럼분석을위하여해당악성코드를디버거로디버깅한다면 MBR이손상될우려가있다. 36
(2) 10 월스파이웨어통계 순위 스파이웨어명 건수 비율 1 New Win-Downloader/Zlob.416234 49 33% 2 New Win-Spyware/Agent.6144.O 26 18% 3 New Win-Downloader/Zlob.415612 21 14% 4 New Win-Adware/PointUp.400896 10 7% 5 New Win-Adware/Nsearch.1344512 9 6% 6 New Win-Dropper/Zlob.75244 8 6% 7 New Win-Adware/NeSearch.1344000 6 4% 8 New Win-Downloader/Febko.199680 6 4% 9 New Win-Dropper/Zlob.75644 6 4% 10 New Win-Downloader/Nsearch.197632 6 4% 합계 147 100% [ 표 3-4] 2008년 10월스파이웨어피해 Top 10 4% 4% 4% 4% Win-Downloader/Zlob.416234 Win-Spyware/Agent.6144.O 6% 6% 7% 33% Win-Downloader/Zlob.415612 Win-Adware/PointUp.400896 Win-Adware/Nsearch.1344512 Win-Dropper/Zlob.75244 Win-Adware/NeSearch.1344000 14% 18% Win-Downloader/Febko.199680 Win-Dropper/Zlob.75644 [ 그림 3-9] 2008 년 10 월스파이웨어피해 Top 10 스파이웨어즐롭 (Win-Spyware/Zlob) 의피해가 10월에도계속되고있는가운데국내에서제작된애드웨어 NeSearch(Win-Adware/NeSearch) 가단일스파이웨어로서는많은피해를입혔다. 최근국내제작스파이웨어의피해는외국산에비해상대적으로감소하였으나 NeSearch를포함하여다운로더 Kwsearch(Win-Downloader/Kwsearch), 다운로더카지노 (Win-Downloader/Casino) 등의피해는지속적으로접수되고있다. 이들국내제작스파이웨 37
어는보안프로그램의진단을피하기위한목적으로지속적으로변형을배포하며, 정상프로 그램으로위장하거나랜덤한파일이름을사용하여설치되는공통점이있다. 순위 대표진단명 건수 비율 1 Win-Downloader/Zlob 283 47% 2 Win-Spyware/Crypter 54 9% 3 Win-Dropper/Zlob 50 8% 4 Win-Spyware/Zlob 44 7% 5 Win-Spyware/Agent 38 6% 6 Win-Clicker/FakeAlert 34 6% 7 Win-Spyware/Xema 30 5% 8 Win-Adware/Kwsearch 28 5% 9 Win-Downloader/Kwsearch 21 4% 10 Win-Spyware/PWS.OnlineGame 18 3% 597 100% [ 표 3-5] 대표진단명에의한스파이웨어피해 Top10 스파이웨어즐롭에의한피해는 [ 표 3-5] 의대표진단명에의한스파이웨어피해자료에서더욱확실하게파악할수있다. 다운로더즐롭 (Win-Downloader/Zlob) 은스팸메일이나성인사이트에서많이발견되며전체스파이웨어피해신고건수 1,142건의약 1/4을차지할정도로많은피해신고가접수되었다. 10월에는안티바이러스XP2008과같은허위안티-스파이웨어프로그램의피해가순위권에집계되지않았다. 전용백신배포와변형샘플모니터링등의노력으로허위안티-스파이웨어피해가감소한것으로풀이된다. 2008 년 10 월유형별스파이웨어피해현황은 [ 표 3-6] 과같다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 8월 365 353 204 310 3 97 3 1 12 1348 9월 418 170 179 275 0 77 0 2 5 1126 10월 274 235 139 452 0 40 0 2 0 1142 [ 표 3-6] 2008년 10월유형별스파이웨어피해건수 [ 표 3-6] 은 2008 년 10 월유형별스파이웨어피해현황이다. 전체피해신고건수는지난 9 월과비슷한가운데다운로더와애드웨어피해는증가하고, 스파이웨어와드롭퍼, 클리커에 의한피해는감소하였다. 다운로더즐롭의영향으로다운로더계열의스파이웨어피해가크 38
게증가하였으며, 10 월에는국내제작애드웨어의피해가증가한것으로확인되었다. 10 월스파이웨어발견현황 10 월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 3-7] 과같다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 8월 223 175 137 182 2 22 1 0 3 745 9월 244 108 112 188 0 30 0 1 1 684 10월 180 138 90 345 0 29 0 2 0 784 [ 표 3-7] 2008년 9월유형별신종 ( 변형 ) 스파이웨어발견현황 [ 표 3-7] 은 2008년 10월발견된신종및변형스파이웨어통계를보여준다. 다운로더즐롭의변형샘플모니터링의결과로다운로더발견건수가증가하였다. [ 표 3-7] 의유형별스파이웨어신종 ( 변형 ) 발견건수는 [ 표 3-6] 의유형별스파이웨어피해현황과비슷한비율을나타내고있다. 39
(3) 10 월시큐리티통계 2008년 10월에마이크로소프트사로부터발표된보안업데이트는총 12건으로긴급 (Critical) 5건, 중요 (Important) 6건, 보통 (Moderato) 1건이다. 이달에는 12건이라는그규모뿐만아니라대부분 Windows 시스템에서발생되는취약점이라는점과공격 Exploit이공개된사례가많다는점에서기존과차이를보인다. 특히, 이달에는마이크로소프트사로부터매주둘째주화요일 ( 영문기준 ) 에발표되는정기업데이트외에 MS08-067 서버서비스취약점 1 에대한긴급보안업데이트 (Out-of-Band) 가발표되기도하였다. 해당취약점은 0-day 취약점으로업데이트발표와함께공격 Exploit 및취약점을이용한악성파일이본격적으로발표되었다. 서버서비스는윈도우시스템에서제공하는디폴트서비스로서그확산위험이크기때문에많은보안전문가를비롯한관계자들이현재까지도해당취약점에대한꾸준한모니터링을수행하고있다. 그러나, 무엇보다도사용자들의빠른업데이트적용이가장안전한방법이될것이다. [ 그림 3-10] 최근 1 년간공격대상기준별 MS 보안패치현황 1 http://www.microsoft.com/korea/technet/security/bulletin/ms08-067.mspx 40
위험도 취약점 PoC 긴급 (MS08-067) 서버서비스의취약점으로인한원격코드실행문제점 유 긴급 (MS08-057) Microsoft Excel 의취약점으로인한원격코드실행문제 무 중요 (MS08-061) Windows 커널의취약점으로인한권한상승문제점 유 중요 (MS08-066) Microsoft Ancillary Function Driver 의취약점으로인한권한상승문제점 유 [ 표 3-8] 2008년 10월발표된주요 MS 보안패치 2008 년 10 월웹침해사고현황 500 400 61 61 57 침해지유포지 300 200 100 49 193 70 250 52 125 61 192 63 122 71 272 410 389 329 57 39 256 238 39 134 48 194 0 2007년 2007년 2007년 2008년 2008년 2008년 2008년 2008년 2008년 2008년 2008년 2008년 2008년 10월 11월 12월 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 [ 그림 3-11] 악성코드배포를위해침해된사이트수 / 배포지수 2008년 10월의웹사이트경유지 / 유포지수는 194/48로지난달의 134/39으로침해된사이트의수와유포사이트의수모두증가하였다. 이번 10월의동향은지난달과큰차이없이 MS07-017 취약점을이용한배포가현저하게줄었으며, MS08-041 Microsoft Access Snapshot Viewer 취약점을이용해악성코드배포를시도한사례가종종발견되고있다. 하지만 2008년 10월에많은제품의취약점이배포되었기때문에앞으로의동향을면밀히관찰할필요가있다. 특히, 갈수록특정한공격자에의해다수의침해사고가발생하고있다. 따라서이러한공격동향을분석하고대책을강구해야한다. 일반사용자역시 AV 제품을설치하고, 제품의상태를항상최신으로유지하도록해야한다. 41