1. 악성코드 AimBot 웜의출현과 Virut 바이러스변형기승... 2 2. 스파이웨어 스파이웨어배포방식의지능화... 5 3. 시큐리티 다양한취약점을이용한공격증가... 8 4. 네트워크모니터링현황 MS08-067 취약점을이용한공격증가... 12 5. 중국보안이슈 가짜경품웹사이트사기단검거... 14 주요백싞프로그램의오진사례와원읶... 17 1. 악성코드 Autorun 기능을이용한악성코드 2차감염증가... 24 2. 스파이웨어동향 애드웨어 IEShow 변형증가... 33 3. 시큐리티 MS09-002 취약점... 36 4. 사이트가드 악성코드증가추세... 39
I. 이달의보안이슈 1. 악성코드 AimBot 웜의출현과 Virut 바이러스변형기승 콘피커웜의피해가사라지기도전에같은취약점 (MS08-067) 을이용하여전파되는 Win32/AimBot.worm( 이하에임봇웜 ) 이발견보고되었다. 특히시스템날짜를 2090으로변경하는특이한증상을보여많은매스컴에서관심을받기도하였다. 또한지속적인변형이출현되었던 Win32/Virut( 이하바이럿 ) 바이러스변형이 2월에추가적으로발견보고되었다. 이와함께웹브라우저와인터넷문서파일의취약점을이용하는악성코드 2건이보고되었다. 끝으로시스템파일을패치하여자신을동작하는 Win-Trojan/Patched로진단되는악성코드가증가하였다. (1) 에임봇웜피해급증 MS08-067 취약점을이용하며국내에큰피해를주는또다른악성코드가발견, 보고되었다. 이악성코드는시스템날짜를 2090년으로변경하여, 일명 2090 바이러스라고먼저알려졌으며, 안철수연구소는진단명을 Win32/AimBot.worm으로명명하고진단 / 치료를하고있다. 2 에임봇웜은자신을윈도우부팅시마다실행되도록하기위해서특정레지스트리키값을이용하는데이때버그로추정되는현상으로윈도우로그인진입시무한재부팅현상을일으킬수있다. 또한일부시스템에서는악성코드에서생성되는드라이버로인하여 BSOD 를발생하는등버그로인해더많은피해를일으켰다. 최근에는시스템날짜를 2070년으로변경하는악성코드변형도등장하였다. 특히에임봇웜은근래악성코드가자기보호기능을가지는추세에맞추어백신프로그램으로부터자신을보호하기위한쓰레드를생성하고, 자신이등록된레지스트리키값을보호하고있다. (2) 바이럿바이러스변형발견 2008년도에많은피해를입혔던바이럿바이러스변형이보고되었다. 안철수연구소는새로운변형을 Win32/Virut.E, F형으로각각명명하고, 진단및치료기능을제공하고있다. 이바이러스의변형의기준은 EPO(Entry-Point Obscuring - 시작실행시점불명확화 ) 형태인경우에는 C, E형으로분류하고 Entry Point 내특정크기만큼바이러스코드로덮어쓴형태를 D, F형으로분류하고있다. 이번에발견된 E, F형경우기존의진단방식을회피하고있는형태로기본적인형태는달라지지않았다. 해당바이러스는치료를위해서는메모리치료가반드시선행되어야하는데이번변형의경우는바이럿바이러스가 Winlogon.exe에악의
적인쓰레드를생성하고특정윈도우함수를후킹하고있기때문이다. 따라서, 메모리치료와같은선행치료를하여야재감염을방지할수있다. 다른특징으로는특정 IRC서버로접속하여다른악성코드를다운로드하여설치할수가있다. 보고서를작성하는현재국내에서는해당 IRC 호스트로는접속이불가능하다. 또한앞에서언급했듯이다중암호화레이어를가지고있어진단및치료가매우복잡하다. 특히윈도우파일보호기능을무력화하여윈도우시스템파일들도감염시킬수가있다. (3) 취약점을이용하는악성코드 IE7 취약점과 PDF 문서제로데이취약점 3 IE7 취약점 (MS09-002) 을이용하는악성코드가보고되었다. 안철수연구소에서는해당취약점을이용한악성코드는 HTML/Exploit-XMLhttpd로진단하고있다. 취약점은초기화되지않은메모리손상취약점이며, 해당취약점은대부분의윈도우 OS와인터넷익스플로러7 에서동작한다. 취약점은원격코드실행을허용할수있으며, 메일및메신저에삽입된 URL 이나문서에 URL을첨부하는형태로악의적인웹사이트로유도할수있다. 처음해당취약점을이용하여공격한형태는특정인또는단체에메일을보내어공격하는스피어피싱형태로유포된것으로보인다.. 또한어도비 PDF 문서에서제로데이취약점이보고되었다. 어도비리더와어도비아크로뱃 9.0 및이하모든버전에서 JBIG2 이미지스트림을로딩하는도중버퍼오버플로우를발생한다고알려져있다. 패치는아쉽게도 3월11일예정되어있기때문에그동안이취약점을악용한조작된 PDF 문서를통하여악성코드유포가발생할수있다. 알려진취약점형태로는자바스크립트를이용한쉘코드에 Heap Spray( 이하힙스프레이 ) 기법을사용한형태이며, 기본적인예방법으로어도비리더에서는자바스크립트기능을꺼두는것이임시방편으로알려져있다. (4) 시스템파일을패치하는악성코드 일반적으로 Win-Trojan/Patched로명명되는악성코드중일부는다음과같이정상파일의임포트영역에악성코드모듈을로드하도록추가하는형태가많다. 이와같은형태는우선악성코드모듈의동작방식을발견하기어렵다는데있다. 일반적으로시스템에수상한 virus.dll은쉽게발견될수있지만이것을실행하는레지스트리는별도로존재하지않는다. 다만아래 [ 그림 1-1] 처럼정상파일의임포트영역을수정하여악성코드모듈을로드하도 록한다. 이러한경우대부분이윈도우시작과동시에실행되는시스템파일이주로공격대 상이된다. 정해진윈도우시스템파일이있는것이아니므로이와같이시스템파일이패치
된형태는찾아내기어렵다. [ 그림 1-1] 시스템파일을패치하는유형의악성코드 앞서말했듯이위와같은형태로악성코드를동작시키는경우일반사용자가찾아내기어렵고악성코드를찾더라도패치된실행파일을사용자가수정할수없어치료에어려움이있다. 일반적으로위와같은경우치료를위해서는 virus.dll 모듈로찾아제거해야하고수정된시스템파일의임포트영역도원래와같이복구해야한다. 4
2. 스파이웨어 스파이웨어배포방식의지능화 최근국내에서는무료프로그램을배포할때약관의허점을교묘히이용하여스파이웨어프로그램을설치하는방식이증가하고있다. 또한국외에서는 BHO를이용하여검색결과를조작해스파이웨어설치를유도하는이슈가있었다. 그럼이두가지내용에대해좀더자세히알아보자. (1) 국내 약관의허점을이용한스파이웨어설치증가 현재우리가사용하는컴퓨터는사용하고자하는프로그램을하드디스크에설치하고실행하는구조를가지고있다. 따라서누구나자신이필요한기능을가진프로그램을설치하면원하는기능을사용할수있다. 이런프로그램은크게유료와무료로구분된다. 유료프로그램의경우일반적으로프로그램의판매로수익이발생한다. 하지만무료프로그램은유료프로그램과는달리수익구조가명확하지않다. 무료프로그램의수익구조를살펴보면다음과같다. 5 [ 그림 1-2] 무료프로그램의수익구조 [ 그림1-2] 에서알수있듯순수하게무료로제공되는프로그램을제외하면매우다양한수익구조를가지고있음을알수있다. 물론무료프로그램이수익구조를가져가는것이잘못된것은결코아니다. 건전한수익구조를가져간다면사용자는보다높은품질의무료프로그램을사용할수있는기회를얻기때문이다. 하지만일부프로그램의경우사용자의정당한권리를침해하는수익구조를가지려고하기때문에문제가된다. 대다수의경우애드웨어 (Adware) 또는스파이웨어 (Spyware) 로분류가되어컴퓨터보안제품에의해차단이되지만일부프로그램의경우사용자들이프로그램을설치할때사용자약관을꼼꼼히확인하지않는다는점을악용하는사례가지속적으로발견되고있다. 이런프로그램을설치할때약관을살펴보면다음과같은부분을확인할수있다.
[ 그림 1-3] 스폰서프로그램설치에관한약관 이프로그램이설치된이후해당프로그램의업데이트는스폰서프로그램의이름만보여주기때문에해당프로그램이어떤기능을하는지전혀알수없으며가장중요한사용자약관을제공하지않는다는큰문제점이존재한다. 실제이런스폰서프로그램중일부는자신을보호하기위한목적으로루트킷 (rootkit) 을설치해정상적인윈도우동작을방해하는등문제를일으켰다. 하지만사용자는최초프로그램을설치할때 업데이트또는설치를통해스폰서프로그램이설치될수가있으며, 이는사용자의선택에의해설치가된다. 이에대한사용자는이의제기를하지않을것에동의합니다 에동의했으므로해당스폰서프로그램으로문제가발생하더라도정당한보상을받을수없다. 6 최근무료프로그램을배포하거나무료로게임을제공하는곳이늘어나고있다. 하지만이들은무료제공을이유로위와같이애드웨어또는스파이웨어를사용자의적절한동의를받지않고번들로설치하고있다. 따라서이런피해를예방하기위해서는무료프로그램이나서비스를제공받기전약관이제공되는지확인하고이를꼼꼼히확인하여사용자에게직간접적으로피해가되는부분이있는지를확인하는것이좋다. 만약설치과정에서약관을제공하지않는다면문제가있을소지가매우높으므로각별한주의가필요하다. (2) 국외 - 검색결과를조작한스파이웨어의배포 Win-Adware/Rogue.AntiVirus, Win-Adware/Rogue.AntiSpyware와같은외산가짜백신에의한국내피해가꾸준히증가하고있다. 이들은가짜백신을보다효과적으로배포하기위해 Active-X, Zero-day exploit와같은전통적인방식과 YouTube와같은동영상 UCC 공유사이트, 가짜동영상파일등과같은새로운방식을사용한다. 최근브라우저 BHO(Browser Helper Object) 를이용해검색사이트의검색결과를조작해스파이웨어설치를유도하는사례가발견되었다.
[ 그림 1-4] Win-Clicker/BHO.FakeAlert.106496 에의해변조된검색결과 7 Win-Clicker/BHO.FakeAlert.106496의경우일정시간마다컴퓨터가스파이웨어에감염되었다는허위경고메시지박스를띄우며, 검색사이트구글 (Google) 에서특정악성코드 (Win32.DNSChanger) 의검색결과를보여준다. 하지만 [ 그림 1-4] 를보면알수있듯, 실제구글의검색결과의상단에다른내용이추가된것을확인할수있다. 추가된검색결과를클릭하면가짜백신을설치하는페이지로이동하게된다. 이는일반적으로사용자들이신뢰할수있는검색사이트의검색결과를조작해가짜를진짜인것처럼속여가짜백신을직접설치하도록유도한사례이다. 따라서내가직접입력하지않은검색어의검색결과가나온다면그결과의진위를한번쯤의심해보는것이좋다. 또한일정시간을간격으로컴퓨터에바이러스또는스파이웨어감염사실을알리고새로운백신제품의설치를유도한다면가짜백신의설치를유도하는것이므로, 피해를입지않도록주의해야한다.
3. 시큐리티 다양한취약점을이용한공격증가 2-3년전부터일반취약점들의동향이서비스취약점보다어플리케이션취약점등으로옮겨가고있는데이중자주공격대상이되는어플리케이션은 Internet Explorer, PDF, Office 및 ActiveX 등이다. 또한 Fuzzer 등과같은자동화된도구를이용한, 파일포맷관련취약점들도많이나타나고있다. 시큐리티이슈에서는악성코드이슈에서언급한에임봇웜, IE7 취약점, Adobe사의 PDF 취약점에대해서상세히알아보자. (1) MS08-067 취약점을이용한또다른악성코드에임봇웜 지난 1 월에 MS08-067 서버서비스취약점을이용한콘피커웜이발생한이후에 2 월에는 동일한취약점을이용한악성코드인에임봇웜이발견되었다. 에임봇웜은일반 IRCBot 웜 과유사하며, 아래화면과같이특정 IRC 서버채널 (TCP Port 6667) 에접속을시도한다. [ 그림 1-5] IRC 서버채널접속시도 8 만약 IRC 서버채널에접속이성공하면봇넷오퍼레이터의명령을받아 MS08-067 취약점 을이용하여전파되며전파되는경로는취약점, 네트워크공유, USB 등이다 [ 그림 1-6] MS08-067 취약점을이용하는패킷.
위의그림과같이콘피커웜에서사용하는 MS08-067 취약점을이용하는것을알수있다. 에이봇웜은콘피커웜과전체적인 Exploit 구조는같으나, 쉘코드등의부분이다른것이 특징이다. (2) MS09-002 Internet Explorer7 Cloned Object 취약점 2 월에 MS09-002 Internet Explorer7 Cloned Object 취약점에대한 POC 가인터넷상에공 개되어, 악성코드유포때많이악용되고있다. 다음은 MS09-002 IE7 Cloned Object POC 코드의일부이다. 9 [ 그림 1-7] MS09-002 IE7 Cloned Object POC 코드내용 이취약점은 mshtml.dll 에서 CFunctionPointer::PrivateAddRef 함수포인터의참조카운트 증가부분에서문제가발생하는데, 공격원리는다음과같다. 객체 (Object) 를생성하고그객체를참조하는경우, 참조카운트가증가한다. 해당객체가 함수를참조하는객체에속하는경우, 함수의참조카운트와부모객체또한증가한다. 이때,
원래의객체를제거할경우, 함수포인터는제거되지않는다. 제거된객체를참조하는함수 포인터를사용하려고하면, 원래객체를호출하게되는데, 해당객체는이미삭제된객체이 기때문에, 잘못된주소로인한 Exception( 예외 ) 이발생하게된다. 해당취약점은악성코드유포를위한방법으로악용될수있으므로, Internet Explorer7 을 이용하고있으면, 즉시보안패치의적용이필요하다. (3) PDF Adobe Acrobat Reader JBIG2 Buffer Overflow 취약점 2월에 Adobe사의 Acrobat Reader 의 PDF 문서의취약점에대한제로데이공격이알려졌는데, 글을쓰는시점까지보안패치는공개되고있지않아, 악성코드유포및시스템공격에악용될소지가높다. Adobe사에서는 Advisory1을통해 3월중순쯤에정식보안패치가나올것이라고한다. 일반적으로 PDF 취약점은특정 Object 등에서자주발생을하는데, PDF 문서를읽을때 Acrobat Reader 가 JBIG2 Stream 의유효검증값을체크를하지않아서버퍼오버플로우 취약점이발생한다. 먼저발견된악성코드에서는 JBIG2b Stream 에다음과같은값이들어가있다. 10 [ 그림 1-8] JBIG2b Stream 코드내용 해당값으로인하여, Acrobat Reader는 Crash가발생을하는데, Crash 발생지점은아래와 같다. 00ffd887 8b0a mov ecx,[edx] ds:0023:035ae6f8=044f2414 00ffd889 8b411c mov eax,[ecx+0x1c] ** Segment Page Association 00ffd88c 85c0 test eax,eax 00ffd88e 0f84ac020000 je AcroRd32_950000!PDFLTerm+0x235ad0 (00ffdb40) 00ffd894 8b4e10 mov ecx,[esi+0x10] 00ffd897 8d0480 lea eax,[eax+eax*4] 00ffd89a 834481ec01 add dword ptr [ecx+eax*4-0x14],0x1 Crash발생 00ffd89f 8d4481ec lea eax,[ecx+eax*4-0x14]
00ffd8a3 8b02 mov eax,[edx] 00ffd8a5 8b4810 mov ecx,[eax+0x10] 00ffd8a8 85c9 test ecx,ecx 00ffd8aa 894c242c mov [esp+0x2c],ecx 악성코드는 Heap Spray 공격기법을이용하여, Crash 지점의 Return Address 를조작하여쉘코드를실행하는데, 이때아래의 API등을사용하여특정파일을생성한다. GetCurrentProcess, GetTempPathA, TerminateProcess, CreateFileA, createfilew, SetFilePointer, ReadFile, WriteFile, WinExec, CloseHandle, GetCommandLineA, GetModuleFileNameA 현재까지는패치가나오지않은관계로백신소프트웨어사용과더불어, 신뢰되지않는사용자에게서온 PDF 문서파일을열어보지않거나, Acrobat Reader의 Javascript 사용기능을해제하는것이필요하다.[Acrobat Reader - 편집 (edit) - 기본설정 - Javascript - Acrobat Javascript 사용기능 ( 체크해제 )] 11
4. 네트워크모니터링현황 MS08-067 취약점을이용한공격증가 콘피커웜의공격은 2009년 1월을거쳐 2월에도자사의네트워크모니터링시스템에서탐지되고있다. 콘피커웜은이전에 RPC 를이용한공격의 LSASS, DCOM의공격만큼이나큰피해를주고있어, MS에서는제작자를신고하는사람에게현상금 ($250,000) 을걸정도이다. 2월에는 1월과같이큰변화는나타나고있지않으며 MS08-067 취약점을이용한공격이주요탐지이벤트에서상위를차지하고있다. [ 그림 1-9] 주요탐지이벤트현황 TOP 5 12 MS08-067 이이렇게빠르게사용될수있었던이유는다음과같다. 1 비교적최신의취약점인점 2 기본적인서비스로동작중인점 3 취약점자체로주로전파를시도했던것과달리공유폴더, USB와같은외장매체를통한감염등다양한방식을이용하고있는점. 이번 MS08-067 취약점은당분간상위를차지하며지속될것으로보인다. [ 그림 1-10] TCP/445 트래픽
이외 FTP(File Transfer Protocol) 서버로많이이용되는 ProFTPd에서 SQL Injection 취약점이보고되어이와관련한공격이 2월중순이후부터탐지되는것으로보고되었다. 공격코드가공개되어있어, ProFTPd에서인증을 DB로사용하는경우발생될수있다. 현재이공격이감지되기시작하였으므로 ProFTPd 사용자는 TCP/21 번으로들어오는트래픽에대해특별한주의가필요하다. 13
5. 중국보안이슈 가짜경품웹사이트사기단검거 (1) 가짜경품웹사이트사기단검거 2009 년 2 월 3 일중국언론에는가짜경품웹사이트를통해경품당첨에따른배송료등의 명목으로개인들로부터 10 만위엔 ( 한화약 2,900 만원 ) 을갈취한일당 4 명의구속사건이보 도되었다. [ 그림 1-11] 구속된가짜경품웹사이트사기단 14 이번에구속된가짜경품웹사이트사기단일당은 2008년 4월중국대륙에서유명한물품거래사이트인알리바바 (www.alibaba.com) 와유사한가짜웹사이트를만든뒤진짜알리바바웹사이트에물품을공개한판매자들에게휴대전화로알리바바웹사이트의직원으로사칭하여경품이당첨되었다는안내전화를했다. 안내전화를통해 3만 8천위엔 ( 한화약 1,100만원 ) 의현금과소니에서제공되는최신노트북을주는경품에당첨되었다라고속인뒤해당경품의배송에따른경비를입금하라는거짓안내를하였다. 이러한수법으로약 400명의사람들로부터약 10만위엔 ( 한화약 2,900만원 ) 에달하는금액을갈취했다. 이번중국에서발생한가짜경품웹사이트사기단은사회공학 (Social Engineering) 기법을이용한 Voice Phishing( 이하보이스피싱 ) 과동일한수법을사용하였을뿐만아니라유사한형태의가짜웹사이트까지준비하였다는점에서보이스피싱과전통적인피싱수법이결합된형태라고볼수있다. 이러한사회공학기법을이용한전화사기를예방하기위해서는평소개인정보관리와보호에세심한노력을기울이고의심스러운전화를받을경우에는직접관계기관에문의하는자세가필요하다.
(2) 중국보안업체금산 (KingSoft, 金山 ) 의 2008 년악성코드동향분석발표 중국의 3대보안업체중하나인금산 (KingSoft, 金山 ) 에서 2008년한해동안의악성코드동향에대해서종합정리한보고서를 2009년 2월 5일발표하였다. 이번에발표한동향보고서에는악성코드의급증과트로이목마형태의급속한증가를 2008년의특징으로보았으며 2008년주요 10대악성코드들로는온라인게임의사용자정보유출형태의트로이목마를첫번째로지적하였다. 15 [ 그림 1-12] 년도별악성코드발견수치 먼저 [ 그림 1-12] 와같이 2008 년한해동안총 13,899,717 건의악성코드가발견이되었 으며이수치는 2007 년의 48 배에달한다.
[ 그림 1-13] 2008 년악성코드유형별분포 이렇게급증한악성코드수치중에서분포도로구분한것이 [ 그림 1-13] 과같다. 이분포도에서는트로이목마가 7,801,911건으로전체의 56.13% 를차지하고있으며그다음으로백도어류의악성코드가전체의 21.97% 를차지하고있다. 그리고스크립트악성코드가 5.96%, 파일을감염시키는전통적인바이러스형태가 1.21% 차지하고있는것으로밝혔다. 그리고기타형태의악성코드가 14.73% 차지하고있다. 그리고온라인게임의사용자정보를유출하는 OnlineGameHack 트로이목마와각종보안제품들의정상적인실행을방해하는 AVKiller, 트로이목마그리고중국대륙내에서많이사용되는 QQ 메신저의사용자정보를유출하는 QQ 관련트로이목마들을 2008년의 10대주요악성코드들중하나로분석하고있었다. 이와더불어 2009년예상되는보안이슈로는 제로데이공격의가속화, 웹사이트를통한악성코드의유포증가 와 윈도우 7과비스타등의새로운운영체제를노리는악성코드의등장 들을주요보안이슈로선정하였다. 16
II. ASEC 칼럼 주요백신프로그램의오진사례와원인 2009 년에도매일 2-3 만개의신종악성코드가발견되고있다. 악성코드수가급격히증가 하면서시그니처 ( 진단값, 패턴 ) 기반의백신프로그램이가지고있는문제인오진도따라서 증가하고있다. 본칼럼에서는주요오진사례와원인에대해서알아보자. (1) 오진! 오진! 오진! 백신프로그램의오진, 오동작문제는백신프로그램탄생때부터존재했으며최근악성코드 가급격히증가하고진단하는악성코드수도증가하면서오진문제도자주언급되고있다. 주요오진사례는다음과같다. 17 2005 년 4 월 23 일트렌드마이크로사에서배포한패턴 2.594.00 에서시스템자원을 100% 사용하여시스템이느려지며, 윈도우 XP 서비스팩 2 혹은윈도우 2003 서버에서는시스템 운영이불가능해질수있는문제가발생했다. 2006 년 3 월맥아피 DAT 4715 는마이크로소프트엑셀, 플래쉬플레이어 (Macromedia Flash Player), 어도브업데이트매니저 (Adobe Update Manager), 구글툴바설치파일 (Google Toolbar Installer) 를악성코드로진단했다. 2007년 5월 18일시만텍노턴안티바이러스제품에서중국어윈도우 XP 서비스팩2 파일인 netapp32.dll과 lasass.exe를 Backdoor.Haxdoor로오진하고시스템파일을삭제해버려시스템이부팅되지않는문제가발생했다. 그리고 2008년 7월 10일안철수연구소는윈도우 XP 서비스팩 3의 LSASS.EXE 파일을악성코드로진단해삭제해버려시스템이부팅되지않는문제가발생했다. 2008 년 11 월 30 일어베스트!(Avast!) 는네이트온및기타프로그램을 Win32:Search 로진 단하고 12 월 8 일알약이알약에포함된 AYUpdate.exe 를 S.SPY.Lineag-GLG 로진단해자 신이자신을진단하는해프닝도있었다.
2009 년 2 월 16 일맥아피바이러스스캔에서삼성증권홈트레이딩시스템 (HTS:Home Trading System) 의키보드보안프로그램을악성코드로오진하였다. 18 [ 그림 2-1] 맥아피의삼성증권홈트레이딩시스템오진 위의예는언론등을통해알려진오진사례이며언론에잘알려져있지않지만개인혹은 특정기업에서사용하는프로그램을악성코드로오진하는경우도종종있다. (2) 오진이란? 오진 (False Positives) 은줄여서 FP로표현하거나 False Alarm 과같은표현도사용하며사전적의미로는 긍정오류, 양성오류 로해석되며흔히 오진, 오탐 으로부른다. 보안프로그램에서오진은정상을비정상이라고식별하는것으로스팸검사에서는정상이메일을스팸으로잘못식별하는것, 백신프로그램에서는정상프로그램을악성코드로잘못식별하는것이다. (3) 오진의피해
백신에서정상실행파일이나데이터파일을악성코드로진단해삭제하거나치료를시도하면파일변조가발생한다. 이로인해파일이삭제되거나손상이일어나특정프로그램실행이안될수있다. 만약, 시스템파일이삭제되거나손상되면단순시스템운영장애뿐아니라최악의경우시스템자체가부팅되지않을수있다. 또, 자사의프로그램이백신프로그램에서악성코드로진단될경우고객들로부터악성코드를퍼뜨리는회사로오인을받아대외신인도가하락할수있다. (4) 오진종류 오진발생요인은크게 잘못된분석 과 잘못된진단값 으로나뉘어진다. 잘못된분석은분석가나분석시스템이정상파일을악성코드로분석한경우이며잘못된진단값은악성코드를정확하게진단했지만진단위치를잘못선정해악성코드뿐아니라정상파일까지진단하는경우이다. 가 ) 분석가오판 19 분석은보통자동분석시스템혹은분석가에의해이뤄진다. 분석가가정상파일을악성코 드로오판하는경우는다양하다. 1) 악성코드와유사한프로그램 분석가가오판하기쉬운대표적인프로그램은악성코드와유사한행동을하는프로그램들로 보안프로그램, 원격제어프로그램, 인터넷관련프로그램 등이있다. 만약이들프로그램이프로그램보호를위해패커 (Packer) 를사용하거나자신의존재를숨기는기능그리고분석가가이해할수없는언어로된문자열을포함하고있다면악성코드로오판할가능성은더높아진다. 보안프로그램중백신프로그램은진단에사용하는진단문자열을암호화하지않거나다른백신에서동일한진단문자열을검색할경우에는진단의심스러움혹은악성코드로진단될수있다. 실제로백신프로그램간오진도종종발생한다. 2007 년에는중국백신업체인라이징과러시아카스퍼스키연구소간법정문제로비화된오 진사건이있었다. 카스퍼스키가중국라이징제품을악성코드로오진하였는데, 빠른조치가 가이루어지지않아결국영업방해로법정까지간것이다. 라이징은 2006 년 11 월터 2007
년 5 월까지카스퍼스키제품이 22 번의오진을일으켰다고주장했다. 1 체코어베스트 (Avast) 는 2008년 4월 30일국내금융권웹사이트보안프로그램으로널리사용되는잉카인터넷의엔프로텍트네티즌을악성코드로진단했다. 2 특히키보드보안프로그램은사용자가중간에키보드입력내용을가로채므로기능만보면악성코드로오해할수있다. 2008 년 7 월에는안철수연구소 V3 의시스템드라이브파일을일부백신프로그램에서오진 한적이있었다. 2) 악성코드에서이용하는파일 악성코드제작자가모든파일을자신이제작하는경우가있지만때로는정상프로그램을가 져다사용하는경우가있다. 키로깅기능을위해키보드내용을가로채는 DLL 등이대표적 인예이다. 이경우해당 DLL 을분석가가악성코드로판단할수있지만실제로정상적인용도로사용 되는프로그램의구성파일일수있다. 악성코드와정상프로그램모두사용가능한파일의 경우오진이발생한다. 20 나 ) 잘못된진단값 잘못된진단값이악성코드에만존재할것으로생각하고진단한부분이정상파일에도동일 하게존재할경우발생한다. 1) 컴파일러공통영역 고급언어로프로그램을만들면최소수십킬로바이트의실행파일이생성되는데생성되는파일중컴파일러가만든공통영역이존재한다. 이공통영역은악성코드와정상파일모두존재하며파일들마다코드가매우흡사하다. 만약진단위치를컴파일러공통영역을잡게되면심한경우특정컴파일러로제작한모든파일을악성코드로진단할수있다. 보통진단위치를자동으로선정해주는도구는이런부분을피할수있지만정의되지않은컴파일러의경우공통영역내용을진단값으로삼을수있다. 1 http://www.pcadvisor.co.uk/news/index.cfm?newsid=10067 2 http://www.moneytoday.co.kr/view/mtview.php?type=1&no=2008050113133856164&outlink=1
2) 앞부분이동일한파일 앞부분이동일하고뒷부분에데이터가붙는형태의파일을공통영역을시그니처로잡을때발생한다. 보통인스톨러, 오토잇!(AutoIt!), 자체압축풀림파일 (SFX, Self-extracting archive) 등이이런형태로되어있다. 보통알려진유형의파일은공통영역을피해진단값을선정하지만미리정의되지않은파일은공통영역을진단값으로정할수있다. 21 [ 그림 2-2] 앞부분이동일한인스톨러파일 3) 바이러스감염파일이나변조된파일 바이러스에감염된파일이나윈도우시스템파일을변조시키는악성코드의경우에도 오진이발생할가능성이높다. 주로윈도우시스템파일을변조시키는악성코드는보통 Win-Trojan/Patched 와같은이름이붙여진다. 감염되거나변형된파일은원본파일과공통영역이많이존재하게된다. 이때진단위치 를원래파일과공통영역으로선정하면정상파일까지진단될수있다. 다음예는 xargs.exe 에바이러스가감염되었는데이파일자체를트로이목마로잘못분 석했고진단값을앞부분으로잡아서코드가유사한 xargs.exe 의다른버전인 4.3.1-3 를악성코드로오진한경우이다.
[ 그림 2-3] 버전은다르나코드가유사하여오진한경우 다 ) 진단명에포함된 의심스러움 (Suspicious) 이란? 의심스러움 은엄밀히말하면오진은아니다. 흔히휴리스틱진단으로알려져있으며악성 코드로의심되는파일을진단한것이다. 하지만, 사용자들은 의심스러움 을악성코드진단으 로생각할수있다. 22 최근에는백신프로그램에서패커나비정상적인실행파일을진단하는경우가증가하고있 는데 크랙 (Crack) 이나키젠으로불리는제품번호생성기가패커로압축되어있는경우악 성코드로진단되거나의심스럽다고진단될수있다. 의심스러움 은오진가능성을항상포함하고있으므로백신업체에보내분석결과를받아 야한다. (5) 오진을낮추기위한노력 오진증가는악성코드만큼백신업체최대의골치거리로어떤제품도오진으로부터자유로울수는없다. 이에백신업체는오진을낮추기위해엔진을배포하기전에보유하고있는정상파일을검사해오진유무를확인하고있다. 하지만, 사용자가사용하고있는모든정상파일을모두보유할수없어문제해결이쉽지는않은실정이다. 이러한문제점을해결하기위해백신업체간정상파일에대한정보를공유하는방안에대해논의하는중이다. (6) 사용자대처방안
백신프로그램에서악성코드로진단했을때는진단명을통해정확한진단인지 의심스러움 인지를파악할필요가있다. 보통 의심스러움 으로는표시하는진단명에 Heuristic( 줄여서 Heur), New Malware, Suspicious ( 줄여서 Sus) 등이포함된다. 이경우악성코드추정이므로파일삭제나치료전에백신업체에오진여부를확인하는게좋다. 정확한진단명으로진단할경우에는파일명을확인해그동안잘사용하던파일인지확인할필요가있다. 잘사용하던파일을갑자기악성코드로진단하는경우라면, 다른백신에서검사를추가로해보고, 만약자신이사용하는백신프로그램에서만해당파일을진단한다면오진일가능성이높다. 이때에는자신이사용하는백신프로그램제조회사로연락해오진유무를최종확인할필요가있다. 안철수연구소에서는 바이러스신고센터 외에 [ 그림 2-4] 와같이 오진신고센터 1 도운영 하고있으며타백신에서진단하는파일중오진으로추정되는샘플은이곳으로접수하면, 분석결과와함께오진여부를안내해준다. 23 [ 그림 2-4] 안철수연구소의오진신고센터 1 http://kr.ahnlab.com/info/customer/reportcenterforward.ahn?ct=01¢er=diagnosis
III. 이달의통계 1. 악성코드 Autorun 기능을이용한악성코드 2 차감염증가 (1) 2 월악성코드통계 순위 악성코드명 건수 비율 1 - Win-Trojan/Agent.67678 13 16.5% 2 new Win-Trojan/Xema.variant 11 13.9% 3 new Win-Trojan/SpamMailer.349696 10 12.7% 4 new Win-Trojan/Buzus.224256 8 10.1% 4 new Win-Trojan/Fakealert.85504.B 8 10.1% 5 new Dropper/Autorun.171298 6 7.6% 5 new Dropper/OnlineGameHack.171283 6 7.6% 5 new Win-Trojan/Agent.175644 6 7.6% 5 new Win-Trojan/Downloader.10240.LD 6 7.6% 10 new Dropper/OnlineGameHack.33280.D 5 6.3% 합계 79 100% 24 [ 표 3-1] 2009 년 1 월악성코드피해 Top 10 순위 악성코드명 건수 비율 1 new Win-Trojan/Backdoor.33365 9 19.6% 2 new Win32/Autorun.worm.175277 5 10.9% 2 new Win32/Spammer.worm.395264 5 10.9% 4 new Win-Trojan/Downloader.88576.H 5 10.9% 5 new Win32/Autorun.worm.174030 4 8.7% 6 new Win-Trojan/Agent.26112.IG 4 8.7% 7 new Win-Trojan/Bagle.806912.D 4 8.7% 7 new Win-Trojan/Webdor.425984 4 8.7% 9 new Dropper/Agent.1176615 3 6.5% 10 new Dropper/Agent.66048.J 3 6.5% 합계 46 100% [ 표 3-2] 2009년 2월악성코드피해 Top 10
[ 표 3-1] 은 2009 년 1 월악성코드피해 Top 10 이며, [ 표 3-2] 는 2009 년 2 월악성코드로 인한피해 Top 10 을나타낸것이다. 1월의경우 10위까지의악성코드종류는모두 Trojan류였으나, 2월 Top10에서특이할만한것은 Top10중 Win32/Autorun.worm( 이하오토런웜 ) 이 Top10의 2자리를차지한것이다. 오토런웜은윈도우의자동실행기능을이용하여전파하며, 악의적인행동을수행하는악성코드다. 오토런웜이실행되면모든드라이브루트에 autorun.inf ( 악성코드원본을실행시키기위해파일명과파일경로가저장되어있음 ) 와악성코드원본을생성한다. 감염된시스템에 USB 등의이동형저장장치가연결되어있는경우, 이동형저장장치를통해전파될수있다. 국가정보원에서배포하는 USB Guard 1 를사용하면이동형저장장치를통한전파를막을수있다.. 아래의그림과표는변형악성코드를묶어서대표진단명기준으로통계를뽑은것이며, 개별악성코드통계보다전체적인악성코드통계양상을알수있다. 이는많은변형의출현및빠른악성코드엔진대응으로개별악성코드생명주기가짧아져서이를보강하기위해참고로작성한것이다. 25 4% 5% 7% 8% 4% 3% 2% Win-Trojan/Agent 38% Win- Trojan/OnlineGameHack Win-Trojan/Downloader Dropper/OnlineGameHack Dropper/Agent Win32/Autorun.worm 14% 15% Win-Trojan/Zbot [ 그림 3-1] 2009 년 2 월악성코드대표진단명 Top 10 1 http://www.ncsc.go.kr/data/usbguard.exe
순위 악성코드명 건수 비율 1 1 Win-Trojan/Agent 667 37.9% 2 1 Win-Trojan/OnlineGameHack 269 15.3% 3 - Win-Trojan/Downloader 247 14.0% 4 - Dropper/OnlineGameHack 134 7.6% 5 5 Dropper/Agent 121 6.9% 6 3 Win32/Autorun.worm 94 5.3% 7 - Win-Trojan/Zbot 73 4.2% 8 new Win-Trojan/Waledac 63 3.6% 9 new Win-Trojan/Fakeav 47 2.7% 10 new Win-Trojan/Fraudload 44 2.5% 합계 1,759 100% [ 표 3-3] 2009 2월악성코드대표진단명 Top 10 [ 그림 3-1] 과 [ 표 3-3] 은 2009 2 월악성코드의대표진단명을기준으로유형별피해순위 Top 10 을나타내고있다. 유형별 Top 10 에포함된악성코드총피해건수는 1,759 건이며 1 월의 1,883 건에비해소폭감소하였다. 26 2월악성코드대표진단명 Top 10을살펴보면 OnlineGameHack이 2위와 4위를차지하고있으며, 그비율을합치면 29.3% 로 1월과마찬가지로많은비율을차지하고있다. 1월에 9 위를차지했던오토런웜은 6위로올라갔다. OnlineGameHack과마찬가지로오토런웜은중국발해킹을이용해유포되며, 감염된시스템은 2차적으로이동형저장장치를통해전파될수있다. 작년 4분기부터 11월까지기승을부리다가 12월이후로잠잠하던가짜백신프로그램인페이크안티바이러스 (Fakeav) 는다시 10위권으로진입했으며, 작년 10월부터꾸준히늘어나 1월악성코드대표진단명 TOP10에 2위를차지했던콘피커웜 (Win32/Conficker.worm) 은 10위권밖으로밀려났다. 아래의 [ 그림 3-2] 는 2009년 2월전체악성코드유형별피해신고건수를나타내고있는그래프이다. 트로이목마프로그램은 72.6% 로다른악성코드보다월등히많은비율을차지하고있으며, 드롭퍼와웜이각각 11.8% 와 8.8% 를차지하고있으며, 그뒤를이어스크립트 4.7%, 유해가능프로그램이 1.6% 를차지하고있다. 저번달과동일하게바이러스는 0.6% 로극히낮은비율을유지하고있다.
8.8% 1.6% 0.6% 11.8% 트로이목마 스크립트 드로퍼 4.7% 웜 유해가능프로그램 바이러스 72.6% [ 그림 3-2] 2009 년 2 월악성코드유형별피해신고비율 27 2 월 1 월 바이러스유해가능프로그램웜드로퍼스크립트트로이목마 0.6% 0.2% 1.6% 1.7% 8.8% 11.8% 11.8% 9.5% 4.7% 4.1% 72.6% 72.7% [ 그림 3-3] 2009 년 2 월악성코드유형별피해신고비율전월비교 위의 [ 그림 3-3] 은전월과비교한악성코드유형별피해신고를나타낸것이다. 증가한것은트로이목마의경우전월과거의다름없는비율이며, 웜은 8.8% 로전월에비해 3% 가줄어들었다. 웜이줄어든것은앞에서언급된콘피커웜감소와연관된것으로보인다. 드로퍼는 11.8% 로전월에비해 2.3% 소폭증가하였으며, 스크립트, 유해가능프로그램과바이러스는약간의수치차이는있겠으나전월과많은차이가없었다.
5,000 4,000 3,000 4,042 2,996 3,559 2,000 1,000 0 12 월 1 월 2 월 [ 그림 3-4] 월별피해신고건수 [ 그림 3-4] 는월별피해신고건수를나타내는그래프로작년 12월에서 1월에는중국춘절의영향으로중국발악성코드가다소감소하였다가 2월에들어다시증가하였다. 온라인게임핵, 오토론웜등악성코드의 1/3이상이중국에서제작된것을감안하면, 춘절연휴의영향이반영된것으로보인다. 28 이동형저장장치를이용하는다양한악성코드가출몰함에따라피해를막기위해서이동 형저장장치를사용하기전에반드시최신엔진으로업데이트한백신프로그램으로검사하 는습관이필요하다. (2) 국내신종 ( 변형 ) 악성코드발견피해통계 2 월한달동안접수된신종 ( 변형 ) 악성코드의건수및유형은 [ 표 3-4] 와같다. 월 트로이목마 드롭퍼 스크립트 웜 파일 유해가능 합계 12 월 1431 370 263 85 3 23 2175 01 월 1361 195 87 260 3 24 1930 02 월 1691 261 105 166 11 22 2256 [ 표 3-4] 2008 ~ 2009 년최근 3 개월간유형별신종 ( 변형 ) 악성코드발견현황 이번달신종및변형악성코드는전월에대비하여 17% 증가하였다. 위 [ 표 3-4] 에서알 수있듯이웜을제외한모든악성코드유형에서발견건수는증가하였다. 하지만, 웜은전
월대비 36% 감소를하였다. 이는지난달에폭발적으로증가했던콘피커웜의확산으로웜유형의발견건수가많았지만, 2월에는해당악성코드가진정국면으로접어든것이전체적인웜유형의발견건수감소로이어졌다. 특히백신업체들이해당악성코드를 Generic 하게탐지하도록탐지기법을수정하였기때문에광범위한진단으로콘피커웜의발견건수가줄어든것으로보인다. 그러나일반사용자들이해당악성코드에많이감염되었음을알수가있었다. 이는콘피커웜에감염시백신업체와같은보안업체의인터넷홈페이지접속을방해하기때문에보안업체홈페이지에접속하지못한다는피해를신고하는일반사용자문의가 2월동안끊이지않은것을통해알수있었다. 또한이와같은문제를해결하기위해임시도메인을통해전용백신을배포하는방법을사용하기도하였다. 이와같이웜유형은콘피커웜의감소로인하여 2월에비하여줄었지만작년 12월비해서는여전히높은편이다. 한때큰피해를주었던웜유형은다른악성코드유형에밀려서그세력이작아졌지만, 근래들어취약점과 Autorun 기능을통해급속히시스템을감염시킬수있는잠재력이있는만큼여전히관심을가지고피해예방에힘써야할것이다. 29 다음은이번달악성코드유형을상세히분류하였다. 트로이목마 드롭퍼 스크립트 웜 (AutoRun) 웜 ( 메읷 ) 웜 (IRC) 유해가능 문서 ( 취약점 / 매크로 ) 웜 (Exploit) 파읷 ( 바이러스 ) 웜 ( 메싞저 ) 웜 (SNS) 2.4% 2.1% 4.7% 0.6% 2.0% 1.0% 0.7% 0.5% 0.1% 0.0% 0.1% 11.6% 74.3% [ 그림 3-5] 2009 년 02 월신종및변형악성코드유형 [ 그림 3-5] 와같이트로이목마유형은 74.3% 로전월대비 23% 증가하였다. 일반적으로트 로이목마유형의증가는온라인게임의사용자계정을훔쳐내는악성코드유형의증가로상
승하는데이번달에는다른양상을보였다. 이번달트로이목마들은전체적으로고르게상승 하였으며, 주로다음과같은악성코드가많이보고되었다. - Win-Trojan/Agent - Win-Trojan/Downloader - Win-Trojan/Fakeav 특히 Win-Trojan/Fakeav는가짜백신을다운로드하는 Win-Trojan/Vundo 트로이목마의증가로인하여전월에비해급속히증가되고있다. Win-Trojan/Agent와 Win- Trojan/Downloader류는일반적인형태로가장많은유형을차지하였다. 이외에도백신을무력화하는 Win-Trojan/AVKiller, Win-Trojan/Rootkit 형태가많이보고되었다. 드롭퍼유형은전월대비 34% 증가하였다. 제일많은온라인게임유형을제외하고는전체 적으로평이하다. 다운로더트로이목마를드랍하는형태와 Rootkit 및 Crypter 트로이목마와 관계있는형태가그다음으로많았다. 스크립트유형역시소폭상승하였다. 12월경우인터넷익스플로러관련취약점으로인하여상승하다가지난달급격한감소를맞았다. 그러나이번달은앞서말한것처럼소폭증가하였는데특이한형태는발견되지않았다. 대부분기존에알려진취약점을이용한형태나 iframe 태그를이용한형태와 VBS 류웜이대부분을차지하였다. 30 웜유형은앞서말했듯이콘피커웜의급격한감소로전체적으로급격히감소하였다. 그래도지난 12월보다는여전히높은수치이며, 지속적으로콘피커웜변형또는같은 MS08-067 취약점을사용하는에임봇웜등이보고되고있다. 그러나이와같이취약점을갖는웜유형은전체악성코드에서 1% 밖에지나지않는다. 이번달웜유형은대부분 Autorun 유형과이메일웜, 그리고 IRCBot 웜유형이차지했다. 유해가능프로그램류는전월과비슷한수치가보였는데무료로제공되는키로거류가주를 이루었다. 그외에는시스템을셧다운시키는프로그램, 원격제어툴등이주로확인되었다. 2 월부터취약점을악용하여악성코드로제작된유형들도통계에포함하였다. 2 월에는특히 PDF 문서취약점을사용하여악의적으로조작된 PDF 문서가많이보고되었다. 해당취약 점은기존에알려진형태로시간이지난지금도꾸준히사용되고있는것으로보인다. 바이러스유형은 Win32/Virut 바이러스변형이계속적으로보고되었다. 특히기존안철수
연구소의 C(EPO), D 형의벗어난 E(EPO), F 형이보고되었다. 다음은최근 3 개월간신종및변형악성코드분포이다. 1800 1600 1400 1200 1000 800 600 400 200 0 08/11 월 09/01 월 09/02 월 31 [ 그림 3-6] 2009 년최근 3 개월간악성코드분포 [ 그림 3-6] 에서도알수있듯이전월에대비하여웜유형을제외한다른악성코드유형이 소폭상승하였다. 특히트로이목마유형이큰폭으로상승하였고이후드롭퍼, 스크립트악 성코드유형으로상승하였다. 웜유형은전월대비감소했지만여전히 Autorun 관련악성코드와 IRCBot 웜등이활개를치고있다. 특히 MS08-067 취약점이드문드문발견된 IRCBot 웜변형제작을이끌어내고있다. 또한국산메신저를노리는악성코드도점차발견, 보고되고있어메신저를경로로전파되는웜유형도증가할것으로예상된다. 다음은온라인게임의사용자계정을탈취하는악성코드의추세를살펴보았다.
600 500 400 300 558 398 200 268 100 0 08 년 12 월 1 월 2 월 [ 그림 3-7] 온라인게임사용자계정탈취트로이목마현황 온라인게임의사용자계정을탈취하는형태의악성코드는전월대비 33% 감소하였다. 이는 1월을기점으로감소추세에있다. 감소의가장큰원인은지난달보고서에서도언급했듯이그동안해당악성코드에서주로사용되었던특정실행압축형태의악성코드가진단되면서감소율이높았던것으로보인다. 그러나최근에보고되는형태는진단을회피할목적으로제작된 Custom 1 압축형태의악성코드비율이점차높아지고있는추세이다. 32 또한여전히백신프로그램에의한진단을회피하기위하여파일진단을우회하거나백신프로그램관련파일을무력화하는형태도여전히많이사용되고있다. 참고로해당악성코드를다운로드및실행되는방식은주로인터넷익스플로러의오래된취약점을사용하는방식과 iframe 태그를이용한형태가많다. 이런경우사이트가드 2 를이용하면안전하게웹서핑을하면서보안을챙길수가있다. 1 악성코드제작자가직접제작한압축알고리즘 2 www.siteguard.co.kr
2. 스파이웨어동향 애드웨어 IEShow 변형증가 (1) 2월스파이웨어피해현황순위 스파이웨어명 건수 비율 1 New Win-Adware/BHO.Pops.231424 22 15% 2 New Win-Adware/SearchKit.208896 22 15% 3 New Win-Adware/IEShow.61440.R 16 11% 4 New Win-Adware/IEShow.339968.R 15 11% 5 New Win-Adware/IEShow.61440.I 13 9% 6 New Win-Adware/IEShow.61440.W 12 8% 7 New Win-Adware/IEShow.61440 12 8% 8 New Win-Adware/IEShow.339968.J 11 8% 9 New Win-Adware/IEShow.61440.M 10 7% 10 New Win-Adware/IEShow.61440.K 9 6% 합계 142 100% [ 표 3-5] 2009 년 2 월스파이웨어피해 Top 10 33 7% 6% 15% Win-Adware/BHO.Pops.231424 Win-Adware/SearchKit.208896 Win-Adware/IEShow.61440.R 8% Win-Adware/IEShow.339968.R 8% 15% Win-Adware/IEShow.61440.I Win-Adware/IEShow.61440.W 8% 9% 11% 11% Win-Adware/IEShow.61440 Win-Adware/IEShow.339968.J Win-Adware/IEShow.61440.M Win-Adware/IEShow.61440.K [ 그림 3-8] 2009 년 2 월스파이웨어피해 Top 10 2009 년 2 월스파이웨어피해 Top10 에오른스파이웨어는모두대량의변형을배포하는국 산스파이웨어이다. 지난 1 월에피해 Top10 에등록된스파이웨어의총피해건수는 65 건이 었으나 2 월현재집계결과는 142 건으로나타났다. 또한스파이웨어 Top10 에등록된진단명
은모두 2가지스파이웨어의변형으로확인되었다. 지난 1월에이어가장많은이름을올린 Win-Adware/IEShow( 이하아이쇼우 ) 의경우모두 2009년 1월최초발견된이후로지속적으로대량의변형을유포하고있다. 이번에새롭게 Top 10에등장한 Win- Adware/BHO.Pops 와 Win-Adware/SearchKit은동일제작자가제작한프로그램으로사용자의키워드입력을가로채입력된키워드에관련된광고를노출하는기능을가지고있다. 순위 대표진단명 건수 비율 1 Win-Adware/IEShow 220 35% 2 Win-Spyware/PWS.OnlineGame 74 26% 3 Win-Downloader/Zlob 66 7% 4 Win-Spyware/Crypter 57 6% 5 Win-Downloader/Rogue.SystemSecurity 45 6% 6 Win-Downloader/Rogue.XPPoliceAntiVirus 37 6% 7 Win-Spyware/Agent 37 4% 8 Win-Clicker/FakeAlert 35 4% 9 Win-Spyware/ZBot 34 3% 10 Win-Spyware/Xema 33 3% 합계 638 100% 34 [ 표 3-6] 2 월대표진단명에의한스파이웨어피해 Top10 [ 표 3-6] 은변형을고려하지않은대표진단명을기준으로한피해건수이다. 2009년 2월에는과거외산스파이웨어가항상피해신고 1위에올랐던것과는다르게국산스파이웨어인아이쇼우가전체문의의 1/3을차지하고있다. 이는아이쇼우의다양한변형이대량으로배포되었으며, 실행시유저모드루트킷으로동작하여백신프로그램에서 Suspicious BHO로진단되어사용자가피해사실을인지할수있었기때문이다. 2009년 2월유형별스파이웨어피해현황은 [ 표 3-7] 과같다. 스파이 애드 다운 다이 익스 구분 드롭퍼 클리커 AppCare Joke 합계 웨어류 웨어 로더 얼러 플로잇 08 12월 291 437 193 419 3 22 3 4 0 1372 1월 370 286 162 384 1 29 0 1 0 1233 2월 421 521 151 355 2 48 0 0 0 1500 [ 표 3-7] 2009년 2월유형별스파이웨어피해건수 스파이웨어류의피해가 1 월보다다소높아졌으며, 대량의변형을생산하는국산애드웨어의
등장으로인해애드웨어류의피해가급격히증가해전체피해건수가급격하게증가했다. (2) 2 월스파이웨어발견현황 2월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 3-8], [ 그림 3-9] 와같다. 스파이 애드 다운 다이 익스 구분 드롭퍼 클리커 AppCare Joke 합계 웨어류 웨어 로더 얼러 플로잇 08 12월 202 269 132 235 2 19 2 3 0 882 1월 264 139 76 244 0 24 0 1 0 748 2월 238 233 92 258 2 28 1 0 0 852 [ 표 3-8] 2009년 2월유형별신종 ( 변형 ) 스파이웨어발견현황 0% 3% 0% 0% 0% 스파이웨어류 35 30% 28% 애드웨어드롭퍼다운로더 다이얼러 클리커 11% 28% 익스플로잇 AppCare 조크 [ 그림 3-9] 2009 년 2 월발견된스파이웨어프로그램비율 애드웨어피해신고는증가하였으나신종 ( 변형 ) 애드웨어는크게증가하지않았다. 이는국내애드웨어가많은변형을배포하여많은 PC를감염시키기때문에피해신고는증가하였지만동일한방법을이용하는애드웨어가많지않기때문에변형이크게증가하지는않았기때문이다.
3. 시큐리티 MS09-002 취약점 (1) 2 월마이크로소프트보안업데이트현황 2 월에는마이크로소프트사가총 4 건의보안업데이트를발표했고, 긴급 (Critical) 2 건, 중요 (Important) 2 건으로구성되어있다. 36 [ 그림 3-10] 2009 년 2 월발견된스파이웨어프로그램비율 위험도 취약점 PoC 긴급 (MS09-002) Internet Explorer 누적보안업데이트 유 긴급 (MS09-003) Microsoft Exchange의취약점으로인한원격코드실행문제점 무 중요 (MS09-004) Microsoft SQL Server의취약점으로인한원격코드실행문제점 유 중요 (MS09-005) Microsoft Office Visio의취약점으로인한원격코드실행문제점 무 [ 표 3-9] 2009년 02월주요 MS 보안업데이트 MS09-004 MS SQL 서버취약점은해당취약점공격코드 (Exploit) 가이미 12월부터공개되었으나, 제로데이취약점으로남겨진채두달여의시간이흘렀고, 드디어 2월에관련업데이트가발표되었다. 업데이트발표까지많은시간이소요되었으나해당취약점을통한실제악용사례는아직까지보고된바가없다. 한편, 이달에발표된 MS09-002 인터넷익스플로러누적업데이트에는복제된오브젝트처리상의문제로발생하는코드실행취약점관련패치가포함되어있다. 해당취약점은충분
한코드실행가능성을가지고있기때문에, 발표이후, 국내외언론에서도많은관심을받았다. 드디어이달에실제로힙스프레이기법과결합되어해당취약점을악용하는악성코드배포사례들이보고되기시작하였다. 해당취약점은기존의많은취약점과마찬가지로웹공격을위한좋은방법론이될수있기때문에해당취약점에대한주의와업데이트적용을통한빠른조치가필요할것이다. (2) 2009 년 2 월웹침해사고및악성코드배포현황 37 [ 그림 3-11] 악성코드배포를위해침해된사이트수 / 배포지수 2009년 2월악성코드배포를위해침해를당한웹사이트의수와악성코드유포지의수는 43/17로 2008년 12월이래계속감소하는추세를나타낸다. 2009년 2월 Internet Explorer 와관련된 MS09-002취약점의공격코드가발표가되었기때문에이러한추세가계속될지는조금더지켜보아야한다. MS09-002 취약점은함수의레퍼런스를관리하는함수인 MSHTML.DLL의 PrivateAddRef 함수의취약점을이용한것으로, 함수가제거될때, 함수포인터를제대로관리하지못해생기는취약점이다. 해당공격코드의모습은다음과같다. [ 그림 3-12] MS09-002 공격코드중일부 하지만이취약점의공격도힙스프레이기법을사용하기때문에항상공격이성공한다고
볼수없기때문에, 이전의다른취약점들 (MS07-017 등 ) 과같이큰피해를줄것으로는보 이지않는다. 하지만, 안철수연구소에서는지속적으로해당코드를사용한침해결과를감시 할예정이다. 38
4. 사이트가드 악성코드증가추세 (1) 2009 년 2 월웹사이트보안요약 구분 건수 악성코드발견건수 192,433 악성코드유형 857 악성코드가발견된도메인 933 악성코드가발견된 URL 10,135 [ 표 3-10] 1 월웹사이트보안요약 웹사이트를통한사용자의피해를막기위해안철수연구소가제공하는인터넷보안무 료서비스인 사이트가드 1 의통계를기반으로본자료는작성되었다. 39 [ 표 3-10] 은 2009 년 2 월한달동안웹사이트를통해발견된악성코드동향을요약해 서보여주고있다. 사이트가드의집계에따르면 1 월한달동안악성코드는 857 종 192,433 건발견되어지 난 2009 년 12 월부터증가세를보이고있으며, 이런악성코드를포함하고있는웹사이트 도계속증가하여도메인 933 개, 배포 URL 10,135 개로확인되었다. 전체적으로 2 월한달동안악성코드종류와발견건수, 도메인그리고 URL 모두지속 적인증가세를보였다. 세부내용을보면다음과같다. 1 www.siteguard.co.kr
(2) 악성코드월간통계 가 ) 악성코드발견건수 250,000 200,000 150,000 100,000 50,000 0 22,729 69,964 138,505 192,433 11 월 12 월 2009 년 1 월 2009 년 2 월 [ 그림 3-13] 월별악성코드발견건수 [ 그림 3-13] 는최근 4 개월인, 2008 년 11 월부터 2009 년 2 월까지의악성코드발견건수 의추이를나타내는그래프로 1 월악성코드발견건수는 192,433 건으로지난달에비해 약 40% 정도의증가세를보였다. 나 ) 악성코드유형 40 1,000 800 600 400 445 576 731 857 200 0 11 월 12 월 2009 년 1 월 2009 년 2 월 [ 그림 3-14] 월별악성코드유형 [ 그림 3-14] 는최근 4 개월간발견된악성코드의유형을나타내는그래프로역시지난 1 월의 731 종에이어 2 월에 857 종이발견되어지속적인증가세를보이고있다.
다 ) 악성코드가발견된도메인 1,000 800 600 400 200 0 477 566 790 933 11 월 12 월 2009 년 1 월 2009 년 2 월 [ 그림 3-15] 월별악성코드가발견된도메인 [ 그림 3-15] 는최근 4개월간악성코드가발견된도메인수의변화추이를나타내는그래프로 2월악성코드가발견된도메인은 933개로전월에비해약 18% 가증가하였다. 이는 1월의증가세에비해서는낮으나지속적으로악성코드를웹을통해전파하는경우가증가함을알수있다. 41 라 ) 악성코드가발견된 URL 15,000 10,000 10,135 5,000 4,613 4,134 6,494 0 11 월 12 월 2009 년 1 월 2009 년 2 월 [ 그림 3-16] 월별악성코드가발견된 URL [ 그림 3-16] 은최근 3 개월간악성코드가발견된 URL 수의변화추이를나타내는그래 프로 1 월악성코드가발견된 URL 은 6,494 개로전월에비해 36% 의증가세를보였다.
(3) 악성코드유형별악성코드배포수 유형 건수 비율 Adware 81,768 42.5% Downloader 39,418 20.5% Trojan 27,546 14.3% AppCare 15,707 8.2% Dropper 9,098 4.7% Win32/Virut 3,194 1.7% Joke 3,073 1.6% Spyware 1,657 0.9% Win-Clicker 906 0.5% IRCBot 397 0.2% 기타 9,669 5.0% 합계 192,433 100% [ 표 3-11] 악성코드유형별악성코드배포수 42 [ 그림 3-17] 악성코드유형별분포 [ 표 3-11] 와 [ 그림 3-17] 은 2 월한달동안발견된악성코드를유형별로구분하여발 견건수와해당비율 (%) 를보여주고있다. 2월한달동안총 192,433개의악성코드가발견되었으며이중 Adware류가 81,768개로지난달에이어부동의 1위를차지하였으며, 지난달에 2위였던 Trojan이 27,546개로 3 위로밀려나고, 그자리에 Downloader가 39,418개로 2위를차지하였다. Downloader 가 2위를차지한것을보면, 계속적으로증가하는변형들을무차별적으로다운받기위해해커들이전용 Downloader를지속적으로만든것으로추정된다.
(3) 악성코드배포순위 순위 악성코드명 건수 비율 1 new Win-Downloader/NavigateAssister.282624 34,852 27% 2 new Win-Adware/Shortcut.IconJoy.642048 26,985 21% 3 - Win-Adware/Onclub.446464 25,552 20% 4 - Win-Trojan/Xema.variant 10,559 8% 5 new Win-Adware/Shortcut.ItemPFLauncher.36864 6,750 5% 6 1 Win-AppCare/WinKeyfinder.542720 5,908 5% 7 1 Win-AppCare/WinKeygen.94208 5,578 4% 8 new Dropper/Agent.87552.G 4,778 4% 9 new Win-Adware/WStory.94208 3,852 3% 10 6 Win-Appcare/RemoveWGA.49664 2,893 3% 합계 128,615 100% [ 표 3-12] 악성코드유형별악성코드배포 Top 10 43 [ 표 3-12] 는 2월한달동안웹사이트에서사이트가드를통해확인된악성코드배포 Top 10을보여주고있다. Top 10에포함된악성코드들의총배포건수는 128,615건으로 2월한달총배포건수 192,433건의약 67% 에해당되며, 지난달의 72% 보다약간줄어들었다. 원인은악성코드유형수가변종으로인해증가하여점유율이분산된것으로보인다. 특이한점은 1위와 2위가처음으로 Top10에진입한악성코드 (Win- Downloader/NavigateAssister.282624와 Win-Adware/Shortcut.IconJoy.642048) 가차지했다는것이다. 또한, 신규로진입한악성코드가 5개로써, 지난달의 2개에비해증가하였다. 이는 1월에비해악성코드유형이증가한것이주요원인으로보인다. 요컨대, 지난달 2월과같이 drive by download 들이지속적으로증가하는추세이다. 확산을방지하기위해서는개인사용자의주의가필요하지만, 먼저웹사이트관리자는적극적인예방조치 ( 보안패치및백신프로그램엔진업데이트, 정기적인소스점검 ) 를통해자신이운영하는사이트가악성코드를배포하는 agent로악용되는것을방지하여야겠다.