*2월완결 - PDF Free Download

8 November 월간특집 MS8-67을이용하여전파되는악성코드분석 인터넷침해사고동향및분석월보

본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국정보보호진흥원인터넷침해사고대응지원센터 ] 를명시하여주시기바랍니다.

Contents Part Part Part 3 월간동향요약침해사고통계분석 -. 증감추이 ( 전년, 전월대비 ) -. 침해사고통계요약 -3. 침해사고통계현황 웜 바이러스신고건수추이 주요웜 바이러스별현황 -4. 해킹 해킹사고접수 처리건수추이 피해기관별분류 피해운영체제별분류 피싱경유지신고처리현황 홈페이지변조사고처리현황 악성봇 (Bot) 현황허니넷 / 트래픽분석 -. PC 생존시간분석 -. 허니넷트래픽분석 전체추이 Top 3 국가별공격유형 해외 국내 국내 국내 -3. 국내인터넷망트래픽분석 -4. 바이러스월탐지웜 바이러스정보월간특집 MS8-67을이용하여전파되는악성코드분석 < 별첨 > 악성코드유포지 / 경유지조기탐지및차단조치 < 부록 > 주요포트별서비스및관련악성코드 < 용어정리 > 3 4 5 6 6 7 9 4 4 6 8 3 34 35 -Ⅰ-

표차례 [ 표 ] 월간침해사고전체통계... [ 표 ] 월별국내웜 바이러스신고건수...3 [ 표 3] 주요웜 바이러스신고현황...4 [ 표 4] 해킹사고처리현황...5 [ 표 5] 해킹사고피해기관별분류...6 [ 표 6] 해킹사고피해운영체제별분류...6 [ 표 7] 피싱경유지신고건수...7 [ 표 8] 홈페이지변조사고처리현황...9 [ 표 9] 국내악성봇 (Bot) 감염률... [ 표 ] 악성 Bot의전파에이용되는주요포트목록... [ 표 ] Windows XP Pro SP, Windows Pro SP4 생존가능시간...3 [ 표 ] 허니넷에유입된유해트래픽국가별비율...5 [ 표 3] 해외 국내 ( 허니넷 ) 공격유형탐지현황...6 [ 표 4] 국내 국내 ( 허니넷 ) 공격유형탐지현황...8 [ 표 5] 수집된주요웜 바이러스현황... 그림차례 ( 그림 ) 월별침해사고전체통계그래프... ( 그림 ) 월별국내웜 바이러스신고건수...3 ( 그림 3) 해킹사고접수 처리건수유형별분류...5 ( 그림 4) 해킹사고피해기관별분류...6 ( 그림 5) 월별피싱경유지신고건수...7 ( 그림 6) 월별홈페이지변조사고처리현황...9 ( 그림 7) 월별국내악성봇 (Bot) 감염률추이... ( 그림 8) 전세계악성봇 (Bot) 감염 IP 수와국내감염 IP 수의비교... ( 그림 9) 악성봇관련포트비율 ( 해외 )... ( 그림 ) 악성봇관련포트비율 ( 국내 )... ( 그림 ) 월별평균생존가능시간변동추이... ( 그림 ) Windows XP SP 생존시간분포분석...3 ( 그림 3) Windows SP4 생존시간분포분석...3 ( 그림 4) 월별허니넷유입트래픽규모...4 ( 그림 5) 허니넷유입트래픽 Top3 국가별공격유형...4 ( 그림 6) 해외 국내 ( 허니넷 ) 공격유형탐지현황...7 ( 그림 7) 국내 국내 ( 허니넷 ) 공격유형탐지현황...9 ( 그림 8) 국내인터넷망에유입된포트트래픽 Top 일별추이... ( 그림 9) 국내인터넷망에유입된공격유형... -Ⅱ-

핫이슈 월간동향요약 최근 MS에서긴급보안패치 (.4) 를발표한바있는 MS8-67 취약점을공격하는인터넷웜이출현하여, 보안패치를설치하지않은일부인터넷이용자 PC가감염되어인터넷접속되지않는사례가발생하였으므로, - 네트워크관리자는감염에이용되는 TCP/39, TCP/445 포트트래픽이외부에서유입되지않도록불필요한경우해당포트를차단조치하고, - 일반인터넷이용자는최신윈도우보안업데이트설치, 개인방화벽사용및백신 S/W 사용을생활화하는등예방조치가필요함 MS8-67 취약점 : MS 윈도우컴퓨터간파일공유등네트워크서비스를제공하는 Server Service 모듈에대한원격코드실행취약점 월간특집 MS8-67 을이용하여전파되는악성코드분석 참고 주요취약점, 웜 바이러스 제목 영향받는제품 / 사용자 영향력 / 예방및대책 참고사이트 [MS 보안업데이트 ] 8 년 월 MS 월간보안업데이트권고 o MS Windows, XP, Vista, MS Office 등 ( 참고사이트참조 ) - 최신 MS 보안업데이트설치 [MS8-68] SMB 취약점으로인한원격코드실행문제 [MS8-69] MS XML 코어서비스취약점으로인한원격코드실행문제 http://www.krcert.or.kr/ 보안정보 보안공지 [MS 보안업데이트 ]8 년 월 MS 월간보안업데이트권고 Adobe Reader /Acrobat 다중취약점보안업데이트권고 o Adobe Reader 8.. 이하버전 o Adobe Acrobat Professional, 3D, Standard 8.. 및이전버전 - 조작된 PDF 파일이포함된웹페이지또는메일첨부등을통해악성코드감염등의피해가발생할수있음 - 사용자주의및최신버전으로업그레이드 http://www.krcert.or.kr/ 보안정보 보안공지 Adobe Reader/Acrobat 다중취약점보안업데이트권고 보안공지사항에대한보다자세한내용은 KISA 인터넷침해사고대응지원센터홈페이지보안공지사항 (http://www.krcert.or.kr/ 보안정보 보안공지 ) 에서확인할수있습니다. 통계분석 웜 바이러스피해신고는전월에비하여 4.% 증가 해킹신고처리는전월대비 4.3% 감소 ( 스팸릴레이, 피싱경유지, 단순침입시도는각각 3.%, 3.%, 7.3% 감소하였으며, 기타해킹, 홈페이지변조는각각.4%, 5.5% 증가 ) 전세계악성 Bot 감염추정 PC 대비국내감염률은.% 로전월 (7.%) 대비 5.9%P 감소 PC 생존시간 Windows XP SP : 평균 9분 초 ( 전월대비 39분 3초 Windows SP4 : 평균 분 초 ( 전월대비 4분 46초 감소 ) 감소 ) 8 년 월호

. 침해사고통계분석 -. 증감추이 ( 전월대비 ) 구분웜 바이러스해킹신고처리 스팸릴레이 피싱경유지 총 747 건 : 전월 ( 56 건 ) 대비총,45 건 : 전월 (,453건 ) 대비 474 건 : 전월 ( 74 건 : 전월 ( 697 건 ) 대비 9 건 ) 대비 통계요약 4.% 증가 4.3% 감소 3.% 감소 3.% 감소 단순침입시도 4 건 : 전월 ( 6 건 ) 대비 7.3% 감소 기타해킹 55 건 : 전월 ( 54 건 ) 대비.4% 증가 홈페이지변조악성봇 (Bot) 건 : 전월 ( 3 건 ) 대비 5.5% 증가전세계악성Bot감염추정PC 대비국내감염률은.% 로전월 ( 7.%) 대비 5.9%p 감소 -. 침해사고통계요약 [ 표 ] 월간침해사고전체통계 구분 7 8 3 4 5 6 7 8 9 8 웜 바이러스 5,996 793 653 966 84 8 8 93 478 486 56 747 8,5 해킹신고처리,73,35,56,36,6,47,58,36,9,3,453,45 4,83 스팸릴레이,668 59 597 53 565 636 574 464 43 63 697 474 6,83 피싱경유지,95 88 7 94 6 3 76 6 9 74,88 단순침입시도 4,36 386 89 35 9 6 6 47 4 6 4,94 기타해킹,36 39 6 35 7 3 8 4 8 54 55,575 홈페이지변조,93 47 87 35 85 8 369 7 45 39 3,7 악성봇 (Bot).3%.7% 3.% 9.6% 9.6% 7.8% 8.9%.7% 9.7% 7.% 7.%.% 8.8% [ 웜 바이러스신고접수건수 ] [ 스팸릴레이신고처리건수 ] [ 피싱경유지신고처리건수 ] [ 단순침입시도 + 기타해킹신고처리 ] [ 홈페이지변조사고처리건수 ] [ 악성봇 (Bot) 감염비율 ] ( 그림 ) 월별침해사고전체통계그래프 인터넷침해사고동향및분석월보

-3. 침해사고통계현황 웜 바이러스신고건수추이 [ 표 ] 월별국내웜 바이러스신고건수 구분 7 8 3 4 5 6 7 8 9 8 신고건수 5,996 793 653 966 84 8 8 93 478 486 56 747 8,5 웜 바이러스신고건수는 KISA, ㄜ안철수연구소, ㄜ하우리가공동으로집계한결과임 ( 그림 ) 월별국내웜 바이러스신고건수 8 년 월국내백신업체와 KISA 에신고된웜 바이러스신고건수는 747 건으로전월 (56 건 ) 에비하여 4.% 증가하였다. 최근웜 바이러스신고건수는지난 8 월이후지속적으로증가하는추이를보이고있다. Part 침해사고통계분석 3 8 년 월호

주요웜 바이러스별현황 순위 3 4 5 6 7 8 9 합계 명칭 건수 명칭 AGENT ONLINE GAMEHACK 96 AGENT ONLINE GAMEHACK HIDD DOWNLOADER 86 AUTORUN 4 DOWNLOADER XPACK LMIRHACK QQPASS 4 9 HIDD QQPASS IRCBOT AUTORUN MALPACKED IRCBOT KOREA GAMEHACK 기타 6 6 3 793 EASY XEMA 기타 [ 표 3] 주요웜 바이러스신고현황 3 8 4 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 7 ONLINE GAMEHACK 3 ONLINE GAMEHACK 38 ONLINE GAMEHACK 33 ONLINE GAMEHACK 73 77 AGENT 3 AUTORUN 59 AGENT 69 AGENT 39 XEMA 69 AGENT 57 XEMA 53 XEMA 66 38 AUTORUN 36 XEMA 54 ROOTKIT 33 ARPSPOOFER 54 5 DOWNLOADER 34 DOWNLOADER 3 MALPACKED 3 DOWNLOADER 3 4 ROOTKIT 7 ROOTKIT 7 DOWNLOADER 3 AUTORUN 3 MALPACKED 7 MALPACKED 5 AUTORUN 9 ROOTKIT 9 IRCBOT IRCBOT 7 IRCBOT 8 MALPACKED 3 ZLOB 7 SOLOW SOLOW 7 QHOST DISKGEN 7 QQPASS BHO 9 XPACK 4 기타 35 기타 37 기타 7 기타 4 653 966 84 8 8 5 6 8 순위 7 8 9 3 4 명칭 ONLINE GAMEHACK ARPSPOOFER AGENT XEMA 건수 5 4 8 7 명칭 AGENT ONLINE GAMEHACK XEMA ROOTKIT 건수 79 63 38 7 명칭 AGENT ROOTKIT ONLINE GAMEHACK XEMA 건수 명칭 79 ONLINE GAMEHACK 47 AGENT 46 DOWNLOADER 35 XEMA 건수 명칭 73 AGENT ONLINE 67 GAMEHACK 47 XEMA 34 SWF_EXPLOIT 건수 35 75 53 명칭 건수 5 DOWNLOADER 4 DOWNLOADER 6 DOWNLOADER 5 EXCHANGER 6 DOWNLOADER 5 6 7 8 9 합계 AUTODELETE AUTORUN VIRUT ARPSPOOFER VAKLIK 기타 3 AUTORUN BAGLE 8 VIRUT 8 ANTIPACK 5 HACKTOOL 34 기타 93 4 FAKEALERT 4 VIRUT 3 BAGLE FAKEAV IRCBOT 7 기타 478 8 AUTORUN 5 ZLOB XPACK BAGLE FAKEAV 89 기타 486 FAKEAV AUTORUN ROOTKIT STARTPAGE MALPACKED 4 기타 56 8 7 5 8 747 신고된웜 바이러스를명칭별로분류한결과특정웹사이트를통하여 차적으로감염된후추가적인악성코드를다운로드하는데이용되는 AGENT 에의한피해신고가가장많았으며, 특정온라인게임의계정을탈취하는것으로알려진 ONLINEGAMEHACK 에의한피해신고가 위를차지하였다. 최근웜 바이러스신고건수가소폭이지만지속적으로증가하는추이를보이고있으므로일반인터넷이용자는반드시최신보안업데이트를적용하고백신 S/W 의사용을생활화하는등의예방조치가필요하다. 인터넷침해사고동향및분석월보 4

-4. 해킹 해킹사고접수 처리건수추이 [ 표 4] 해킹사고처리현황 구분 7 8 3 4 5 6 7 8 9 8 스팸릴레이,668 59 597 53 565 636 574 464 43 63 697 474 6,83 피싱경유지,95 88 7 94 6 3 76 6 9 74,88 단순침입시도 4,36 386 89 35 9 6 6 47 4 6 4,94 기타해킹,36 39 6 35 7 3 8 4 8 54 55,575 홈페이지변조,93 47 87 35 85 8 369 7 45 39 3,7 합계,73,35,56,36,6,47,58,36,9,3,453,45 4,83 피싱 (Phishing) 경유지신고건수는 KISA 가국외의침해사고대응기관이나위장사이트의대상이된기관또는업체, 일반사용자로부터신고받아처리한건수로써실제피싱으로인한피해사고건수가아니라보안이취약한국내시스템이피싱사이트경유지로악용되어신고된건수 단순침입시도 : KISA 에서접수 처리한해킹신고중웜 바이러스등으로유발된스캔 ( 침입시도 ) 을피해자 ( 관련기관 ) 가신고한건수 기타해킹 : KISA 에서접수 처리한해킹사고중스팸릴레이, 피싱경유지, 단순침입시도를제외한나머지건수 6.%.5% 9.4% 38.% 5.9% 스팸릴레이 피싱경유지 단순침입시도 기타해킹 홈페이지변조 ( 그림 3) 해킹사고접수 처리건수유형별분류 8 년 월 KISA 에서처리한해킹사고는,45 건으로전월 (,453 건 ) 에비하여 4.3% 감소하였다. - 해킹사고항목별로전월대비증감을파악한결과, 스팸릴레이, 피싱경유지, 단순침입시도는각각 3.%, 3.%, 7.3% 감소하였으며, 기타해킹, 홈페이지변조는각각.4%, 5.5% 증가한것으로나타났다. - 스팸릴레이 (38.%) 가차지하는비율이가장많았고기타해킹 (.5%), 단순침입시도 (9.4%), 홈페이지변조 (6.%) 및피싱경유지 (5.9%) 순이었다. Part 침해사고통계분석 5 8 년 월호

피해기관별분류 [ 표 5] 해킹사고피해기관별분류 기관 7 8 3 4 5 6 7 8 9 8 기업 3,39 35 9 74 8 49 85 4 59 73 95 85,986 대학, 55 4 78 84 59 3 47 5 45 66 39 57 비영리 73 8 5 5 8 7 6 3 8 9 5 64 연구소 5 네트워크 33 기타 ( 개인 ) 7,6 974,68 988 945,54,86 83 893 974,73 96,9 합계,73,35,56,36,6,47,58,36,9,3,453,45 4,83 기관분류기준 : 침해사고관련도메인이나 IP 를기준으로기업 (co,com), 대학 (ac), 비영리 (or,org), 연구소 (re), 네트워크 (ne,net), 기타 (pe 또는 ISP 에서제공하는유동 IP 사용자 ) 으로분류 해킹사고를피해기관별분류한결과, 기타 ( 개인 ), 기업, 대학, 비영리의순으로나타났다. 기관별로분류한결과기타 ( 개인 ) 가차지하는비율이 7.8% 로가장높았으며뒤를이어기업이차지하는비율이.9% 로나타났다. 침해사고관련 IP가 ISP의유동 IP( 주로개인용컴퓨터 ) 인경우는기타 ( 개인 ) 로분류함 기업.9% 비영리.% 대학 3.% 기타 ( 개인 ) 7.8% ( 그림 4) 해킹사고피해기관별분류 피해운영체제별분류 [ 표 6] 해킹사고피해운영체제별분류 운영체제 7 Windows Linux Unix 기타 9,8,63 7 54 8 3 4 5 6 7 8 9,39,7 35 74 4 5 64 67 996 7 3 9 938 58 8 58 99 4 39 98 8 58 97 775 85 6 6 747 3 49 64 98 3 5 58,34 5 777 4 4 4 8,95,57 87,94 합계,73,35,56,36,6,47,58,36,9,3,453,45 4,83 운영체제별분류자료는각운영체제의안전성과는상관관계가없으며, 단지신고에따른분석자료임 해킹사고처리결과를운영체제별로분류한결과, 전월과마찬가지로 Windows, Linux 운영체제순이었다. Windows 운영체제가차지하는비율은 6.4% 로전월 (7.%) 에비하여감소하였다. 인터넷침해사고동향및분석월보 6

피싱경유지신고처리현황 [ 표 7] 피싱경유지신고건수 구분 피싱경유지신고건수 7 8 3 4 5 6 7 8 9 8,95 88 7 94 6 3 76 6 9 74,88 피싱 (Phishing) 경유지신고건수는 KISA 가국외의침해사고대응기관이나위장사이트의대상이된기관또는업체, 일반사용자로부터신고받아처리한건수로서실제피싱으로인한피해사고건수가아니라보안이취약한국내시스템이피싱사이트경유지로악용되어신고된건수임 ( 그림 5) 월별피싱경유지신고건수 이번달피싱경유지신고건수는총 74 건으로, 전월 (9 건 ) 대비 35 건이감소하였다. 피싱대상기관유형별로는금융기관이 59 건 (79.7%) 로가장많았으며, 정부기관이나검색사이트, 미확인건등을포함한기타유형이 9 건 (.%), 전자상거래유형이 6 건 (8.%) 으로나타났다. 기관별로는금융기관인 PayPal( 건 ), Abbey(8 건 ), Bank of America(7 건 ), 전자상거래업체인 ebay(6 건 ) 등의순으로집계되었다. 기관유형금융기관 건수 59 전자상거래.% 기타 8.% 전자상거래기타합계 6 9 74 금융기관 79.7% Part 침해사고통계분석 7 8 년 월호

피싱대상기관및신고건수를국가별로분류한결과, 총 9 개국 7 개기관으로집계되었고이달에도미국기관 ( 개기관, 4 건 ) 이사칭사고건의대부분을차지하였다. 국가 기관분류 기관수 신고건수 국가 기관분류 기관수 신고건수 금융기관 8 9 남아프리카공화국 금융기관 미국 전자상거래 3 6 4 멕시코 금융기관 기타 5 이탈리아 금융기관 스페인 금융기관 3 8 홍콩 금융기관 영국 금융기관 3 N/A - - 4 캐나다 금융기관 3 3 브라질 금융기관 합계 - 7 74 국내피싱경유지사이트의기관유형별로는기업 36 건 (48.6%), 개인 / 기타 8 건 (.8%), 교육과비영리유형이각각 6 건 (8.%) 순으로집계되었다. 홈페이지가없거나 Whois 정보에 ISP 관리대역만조회되는경우에해당되는 ISP 서비스이용자 유형은 8 건 (4.3%) 으로나타났다. 기관유형기업교육비영리개인 / 기타 ISP서비스이용자합계 건수 36 6 6 8 8 74 ISP 서비스이용자 4.3% 개인 / 기타.8% 비영리 8.% 교육 8.% 기업 48.6% 피싱경유지시스템에서이용된포트는이달에도표준 HTTP 포트인 TCP/8 포트가 64 건 (86.5%) 으로대부분을차지했고, 그밖에기타포트로는 TCP/443, TCP/84, TCP/88 포트등총 7 개의다양한포트가이용되었다. 프로토콜 / 포트 TCP/8 건수 64 프로토콜 / 포트 TCP/8 건수 기타포트 3.5% TCP/443 TCP/85 TCP/84 TCP/88 TCP/88 TCP/89 합계 74 TCP/8 86.5% 인터넷침해사고동향및분석월보 8

홈페이지변조사고처리현황 [ 표 8] 홈페이지변조사고처리현황 구분 피해홈페이지수피해시스템수 7,93 88 8 3 4 5 6 7 8 9 47 87 35 85 8 369 7 45 7 68 5 78 5 69 39 3 57 6 64 8,7 78 피해시스템수는피해 IP 수를기준으로산정한것으로단일시스템에수십 ~ 수백개의홈페이지를운영하는경우도있으므로피해홈페이지수는피해시스템수보다많음 ( 그림 6) 월별홈페이지변조사고처리현황 이번달에는 64 개시스템 (IP) 의 개사이트 ( 도메인 ) 에대한홈페이지변조가발생하여피해홈페이지수는전월 (3 개 ) 에비하여 5.5% 증가한것으로나타났다. - 이번달에도단일시스템에서구동되는웹호스팅업체서버의다수홈페이지에서국내웹게시판 S/W( 제로보드 ) 의파일업로드취약점및 PHP의외부사이트소스실행기능 (allow_url_fopen) 을악용하여변조된피해만각각 36건, 69건이발생하는등전월대비홈페이지변조건수가증가하였다. - 보안이취약한홈페이지는운영하는홈페이지의해킹피해를입을뿐만아니라악성코드은닉, 개인정보유출등추가침해사고를유발할수있으므로홈페이지관리자는아래사이트정보를참고하여운영하는서버의보안에최선을다해야하겠다. 참고사이트 웹어플리케이션취약점에대한해킹기법및보안대책 : http://www.krcert.or.kr 초기화면 왼쪽 웹보안 4 종가이드 기본적인웹해킹을차단할수있는공개웹방화벽 (ModSecurity, WebKnight) : http://www.krcert.or.kr 초기화면 왼쪽 공개웹방화벽을이용한홈페이지보안 공개웹방화벽 (ModSecurity, WebKnight) 을활용한웹서버보안강화가이드 : http://www.krcert.or.kr/ 보안정보 기술문서 [ 문서번호 : TR83, TR84] Part 침해사고통계분석 9 8 년 월호

악성봇 (Bot) 현황 [ 표 9] 국내악성봇 (Bot) 감염률 구분 7 8 3 4 5 6 7 8 9 8 국내비율 (%).3.7 3. 9.6 9.6 7.8 8.9.7 9.7 7. 7.. 8.8 전세계 Bot 감염추정 PC 중국내 Bot 감염 PC 가차지하는비율임 봇 (Bot): 운영체제취약점, 비밀번호취약성, 웜 바이러스의백도어등을이용하여전파되며, 명령전달사이트와의백도어연결등을통하여스팸메일전송이나 DDoS 공격에악용가능한프로그램또는실행가능한코드 ( 그림 7) 월별국내악성봇 (Bot) 감염률추이 ( 그림 8) 전세계악성봇 (Bot) 감염 IP 수와국내감염 IP 수의비교 인터넷침해사고동향및분석월보

금월 (월) 전세계악성 Bot 감염추정 PC 중에서국내감염 PC 비율은.% 로지난달에비해 5.9%P 감소하였다. 이는 8년 월발표된 TCP/445 포트를스캔하는 MS8-67 취약점을공격하는웜에의한것으로, 국내감염추정 IP 숫자는전월과비슷하나국외의감염 IP가급증하여국내 IP가차지하는비율이상대적으로대폭감소한것이다. 월 일이후국외로부터유입된 TCP/445 포트에대한스캔이전체의 95% 이상을차지하였으며국내에서도 월 3일경피해가감지되어관련내용에대한주의를공지한바있다. ( www.krcert.or.kr-보안정보-보안공지-ms8-67 취약점을이용한악성코드피해주의요망참조 ) - 악성 Bot 의전파에사용되는주요포트는 NetBIOS 관련포트인 TCP/445, 웹관련 TCP/8 포트, NetBIOS 관련 TCP/39, MS-SQL 관련 TCP/433, DCOM 관련포트인 TCP/35 순이다. - 국외의경우 TCP/445 포트트래픽이가장많은비율을보이고있으며, 국내의경우에는 TCP/8 포트가가장많은트래픽량을보이고있다. 전월악성 Bot Top5 포트 : TCP/445, TCP/8, TCP/39, TCP/35, TCP/433 TCP/445 TCP/39 TCP/35.9%.6%.5% TCP/8 TCP/433 기타 TCP/8 TCP/35 TCP/445.8% TCP/39 TCP/433 기타.5% 3.9% 6.6% 6.6%.5% 3.% 37.6% 8.3% ( 그림 9) 악성봇관련포트비율 ( 해외 ) ( 그림 ) 악성봇관련포트비율 ( 국내 ) [ 표 ] 악성 Bot 의전파에이용되는주요포트목록 포트 관련취약점및웜 / 악성 Bot 포트 관련취약점및웜 / 악성 Bot 3 Cisco Telnet 967 Symantec Exploit 8 WebDAV, ASN.-HTTP, Cisco HTTP 745 Bagle, Bagle 35 DCOM, DCOM 37 MyDoom 39 43 445 93 5 433 NetBIOS, ASN.-NT IMail NetBIOS, LSASS, WksSvc, ASN.-SMB, DCOM NetDevil DCOM MS-SQL 34 5 6 69 73 7347 Optix UPNP Veritas Backup Exec Dameware Kuang Sub7 Part 침해사고통계분석 8 년 월호

. 허니넷 / 트래픽분석 -. PC 생존시간분석 윈도우의네트워크서비스취약점을악용하는자동확산웜의전파활동증감추이분석을위하여보안이취약한 PC(Windows XP SP, Windows SP4) 를고의로인터넷에연결시켜감염에소요되는생존시간을측정하였다. 월의취약한 Windows XP(SP-No-Patch) 의평균생존가능시간은 9분 초, Windows (SP4-No-Patch) 은 분 초로써전월에비하여 Windows XP SP은 39분 3초, Windows SP4는 4분 46초감소하였다. 지난달까지생존시간이증가하는추이를보였으나, 이번달에는 MS에서긴급패치를배포하였던, MS8-67 Server Service 취약점을악용하는자동화웜 바이러스가출현하여생존시간에영향을주었다. MS8-67 취약점을악용하는자동화웜은 월 일에최초로확인되었으며, 출현이후에지속적인감염활동을하고있어주의를할필요가있다. 인터넷사용자는개인방화벽사용여부확인및 OS의최신패치적용, 백신설치등을통하여악성코드에감염되지않도록사전예방하도록해야겠다. 윈도우네트워크서비스 : 윈도우 OS 에서네트워크를통하여외부호스트를대상으로제공되는서비스 (ex. RPC, LSASS 등 ) 생존시간의측정은암호설정및보안업데이트를하지않고, 모든포트가열려있는전용선인터넷환경에서 Windows XP SP 과 Windows SP4 개군으로분류하여 여회를실시 Windows XP SP, Vista 는개인방화벽이기본으로설치되므로 윈도우의네트워크서비스취약점 을악용하는자동전파웜들에대한감염피해를예방할수있음 생존가능시간 : 취약한시스템이인터넷에연결된상태에서웜이나악성코드에감염될때까지의시간 ( 그림 ) 월별평균생존가능시간변동추이 생존시간은 윈도우네트워크서비스취약점 을악용하는유형의전파활동증감추이만을반영하므로이메일악성코드등다른유형의전파기법을이용하는악성코드감염활동추이동향과는무관함 인터넷침해사고동향및분석월보

Windows XP SP 구분 Windows SP4 최장최단평균최장최단평균 [ 표 ] Windows XP Pro SP, Windows Pro SP4 생존가능시간 8 3 4 5 6 7 8 9 934 8 587 7 53 35 563 7 595 3 86 546 55 7 3 865 5 35 53 989 6 4 6 39 4 5 4 4 57 33 5 5 56 44 74 8 794 54 8 496 7 56 5 875 54 59 583 48 83 7 933 36 6 8 59 3 4 6 6 54 3 5 8 48 7 5 44 7 6 5 4 3 5 5 5 93 54 69 45 78 49 7 9 48 33 9 7 5 7 4 44 7 55 68 7 8 98 5 5 57 min min 8 8 6 6 4 4 8년 6 6 6 8년 6 6 6 ( 그림 ) Windows XP SP 생존시간분포분석 ( 그림 3) Windows SP4 생존시간분포분석 Part 허니넷 / 트래픽분석 3 8 년 월호

-. 허니넷트래픽분석 전체추이 이번달 KISC 허니넷에유입된전체유해트래픽은약,6 만건으로전월 (,8 만건 ) 에비하여.8% 증가하였다. IP 소재별로분류한결과국내소재 IP 로부터유발된트래픽은전체의.% 였으며, 해외소재 IP 로부터의트래픽은 77.9% 를차지한것으로나타났다. 허니넷에유입되는트래픽은웜 바이러스, 악성봇등에의한감염시도트래픽 ( 취약점스캔 ) 이가장많으며이러한악성코드의네트워크스캔은유효한네크워크에대한접근효율을높이기위하여, 차적으로감염된시스템의 IP 주소의 A, B 클래스를고정하고 C 또는 D 클래스주소를변경하면서스캔하기때문에일반적으로자국에서유발된유해트래픽이해외에서유입된트래픽보다많을수있음 참고 : 허니넷으로유입되는트래픽은초당수백건이상이될수있으므로구체적인건수는큰의미가없으며, 국내외비율및월별증감을참고하기바람 ( 그림 4) 월별허니넷유입트래픽규모 Top 3 국가별공격유형 해외로부터 KISC 허니넷에유입된트래픽을근원지 IP 소재국가별로분석한결과중국으로부터유입된트래픽이 6.% 로가장많았으며다음으로미국 (3.4%), 일본 (3.%) 순이었다. 중국으로부터의트래픽은 TCP/433, TCP/ Service Scan 이가장많은비중을차지하였으며, 미국과일본은 TCP/445 - netbios smb client to lsasrv request 이가장많았던것으로나타났다. JAPAN 6% 8% 3% CHINA 5% 48% TCP/433- TCP/- TCP/967- TCP/445- 기타 4% 3% 7% % TCP/445-netbios smb client to lsasrv request TCP/- TCP/445-netbios lsass buffer overflow 기타 % 5% 8% 4% USA 53% TCP/445-netbios smb client to lsasrv request ICMP-icmp ping Nmap scan TCP/- TCP/445-worm esbot.a 기타 ( 그림 5) 허니넷유입트래픽 Top3 국가별공격유형 인터넷침해사고동향및분석월보 4

[ 표 ] 허니넷에유입된유해트래픽국가별비율 순위 3 4 5 6 7 8 9 8 3 4 5 6 국가명비율 (%) 국가명비율 (%) 국가명비율 (%) 국가명비율 (%) 국가명비율 (%) 국가명비율 (%) 중국미국유럽연합일본대만브라질독일영국인도싱가포르기타 33.6 9.4 4.9 4.8 4. 3.6.5.3.9.7. 중국미국일본대만독일브라질스페인러시아유럽연합인도기타 39. 9.6 5. 3.6 3..5..9.9.8 9.5 중국미국일본브라질대만독일유럽연합인도캐나다영국기타 53.6 4.3 5. 4.9.7..5.5.4.3.5 중국미국일본대만독일인도스페인캐나다브라질유럽연합기타 53.9 4.7 4..5..9.6.5.4.4 5. 중국미국일본대만유럽연합독일홍콩인도브라질스페인기타 56.4 5. 4.6.5..6.4.3.3..8 중국 6.8 미국 3.4 일본 3.9 대만. 브라질.7 독일.5 홍콩.4 인도.4 유럽연합.3 영국. 기타.4 순위 3 4 5 6 7 8 9 8 7 8 9 국가명비율 (%) 국가명비율 (%) 국가명비율 (%) 국가명비율 (%) 국가명비율 (%) 국가명비율 (%) 중국미국일본대만캐나다홍콩독일이탈리아영국브라질기타 67.5.3.7......8.8 9.7 중국미국일본유럽연합대만영국인도독일홍콩브라질기타 66..8 3..9.4.8.3...8 8.7 중국미국일본대만독일영국인도브라질홍콩캐나다기타 63.5 3.9.9.9.8.3....9 9.7 중국미국캐나다일본대만독일인도영국스페인러시아기타 6..7 5.3.7.4.4.3..9.9.3 중국미국일본대만캐나다독일영국홍콩러시아스페인기타 6. 3.4 3. 3..5.3..... Part 허니넷 / 트래픽분석 5 8 년 월호

해외 국내 해외로부터 KISC 허니넷에유입된트래픽을국가구분없이포트 / 공격 ( 스캔 ) 유형별로분석한결과 TCP/433 포트에대한 Service Scan 이 9.6% 로가장많았으며, 이번달에는특히 TCP/445 포트에대한취약점및서비스스캔이 7.% 로전월대비많은비율을보였다. [ 표 3] 해외 국내 ( 허니넷 ) 공격유형탐지현황 순위 3 4 5 6 7 8 9 7월 8월 9월 프로토콜 / 프로토콜 / 프로토콜 / 포트번호공격유형비율 (%) 포트번호공격유형비율 (%) 포트번호 공격유형 비율 (%) TCP/433 34. TCP/433 3.6 TCP/433 8.4 TCP/ TCP/445 netbios smb client to lsasrv request 7. 8.4 TCP/ TCP/445 netbios smb client to lsasrv request 4.4 8. TCP/ TCP/445 netbios smb client to lsasrv request 3.7.7 TCP/967 7. ICMP icmp ping Nmap scan 7. TCP/967. TCP/88 7. TCP/967 7. UDP/6 udp service scan 5.7 ICMP icmp ping Nmap scan 4.3 UDP/6 udp service scan 6. ICMP icmp ping Nmap scan 4.6 TCP/4899.7 TCP/88 3.7 TCP/88. TCP/445 worm esbot.a.5 TCP/445 worm esbot.a.4 TCP/445 worm esbot.a. TCP/8.7 TCP/4899.4 TCP/4899. TCP/ 기타.5 3. TCP/3389 기타.9 4. ICMP 기타 icmp ping Advanced IP Scanner v.4.9 6.9 순위 3 4 5 6 7 8 9 월 월 월 프로토콜 / 프로토콜 / 프로토콜 / 포트번호공격유형비율 (%) 포트번호공격유형비율 (%) 포트번호 공격유형 비율 (%) TCP/433 TCP/445 TCP/ TCP/967 netbios smb client to lsasrv request 8. 7.4.9.6 TCP/433 TCP/445 TCP/ TCP/967 netbios smb client to lsasrv request 9.6.3 3.5 4.9 UDP/6 udp service scan 4.8 TCP/445 4.3 ICMP icmp ping Nmap scan.4 UDP/6 udp service scan 3.5 TCP/445 TCP/88 TCP/4899 worm esbot.a...7 ICMP TCP/445 TCP/88 icmp ping Nmap scan worm esbot.a 3..5.9 TCP/ 기타.7 6. TCP/39 기타 worm esbot.a.9 4.5 인터넷침해사고동향및분석월보 6

TCP/433- TCP/- TCP/967- TCP/445-netbios smb client to lsasrv request 기타 34.7% 9.6%.9% 3.5%.3% ( 그림 6) 해외 국내 ( 허니넷 ) 공격유형탐지현황 Part 허니넷 / 트래픽분석 7 8 년 월호

국내 국내 국내에서 KISC 허니넷에유입된트래픽을포트 / 공격 ( 스캔 ) 유형별로분석한결과, TCP/35 포트에대한취약점및서비스스캔이 7.7% 로가장많은비율을보이고있는것으로나타났다. [ 표 4] 국내 국내 ( 허니넷 ) 공격유형탐지현황 순위 3 4 5 6 7 8 9 7월 8월 9월 프로토콜 / 프로토콜 / 프로토콜 / 포트번호공격유형비율 (%) 포트번호공격유형비율 (%) 포트번호 공격유형 비율 (%) TCP/35 TCP/35 netbios dcerpc invalid bind 4. 6. TCP/433 TCP/35 7.7 6.6 TCP/35 TCP/35 netbios dcerpc invalid bind rpc dcom interface overflow exploit 3.8 4. rpc dcom interface netbios dcerpc TCP/35 overflow exploit 5. TCP/35 invalid bind 6. TCP/433.5 ICMP icmp ping Nmap scan 4.4 ICMP icmp ping Nmap scan.5 TCP/35 7.8 rpc dcom interface netbios smb client TCP/433 3.9 TCP/35 overflow exploit 7. TCP/445 to lsasrv request netbios smb client netbios smb client netbios Isass buffer TCP/445 to lsasrv request 3.9 TCP/445 to lsasrv request 3.5 TCP/445 overflow 6.9 6.7 TCP/445 netbios Isass buffer overflow 3.6 TCP/4899 3.5 TCP/ 4.7 TCP/ TCP/4899 TCP/88 3... TCP/ TCP/445 TCP/89 netbios Isass buffer overflow 3.5 TCP/89 3.5 TCP/4899. TCP/433 mssql sa no password login 3.6.. 기타 4.7 기타 3.8 기타 9.8 순위 3 4 5 6 7 8 9 월 월 월 프로토콜 / 프로토콜 / 프로토콜 / 포트번호공격유형비율 (%) 포트번호공격유형비율 (%) 포트번호 공격유형 비율 (%) TCP/35 7. TCP/35 netbios dcerpc invalid bind 4.5 netbios dcerpc rpc dcom interface TCP/35 invalid bind 4.9 TCP/35 overflow exploit. TCP/35 TCP/ TCP/433 UDP/6 TCP/4899 TCP/445 TCP/88 TCP/445 기타 rpc dcom interface overflow exploit snmp show Interface netbios smb client to lsasrv request netbios Isass buffer overflow. 6. 5.7 5.4.8.4.4.4.9 TCP/ TCP/433 UDP/6 TCP/35 TCP/39 TCP/89 TCP/445 TCP/4899 기타 snmp show Interface worm esbot.a 6. 5.9 4.9 4...8.5.3 9.9 인터넷침해사고동향및분석월보 8

TCP/35-netbios dcerpc invalid bind TCP/- 기타 TCP/35-rpc dcom interface overflow exploit TCP/433-5.9% 6.% 5.4%.% 4.5% ( 그림 7) 국내 국내 ( 허니넷 ) 공격유형탐지현황 Part 허니넷 / 트래픽분석 9 8 년 월호

-3. 국내인터넷망트래픽분석 국내 ISP 의일부구간 ( 국내인터넷망 ) 에서수집된트래픽의 Top 포트의추이를파악한결과, 이미잘알려진 TCP/8(HTTP) 외에 TCP/554( 스트리밍서비스 ), TCP/7(deskshare) 포트등에대한트래픽이많이관찰되었다. PPS,, 9,, TCP/8 TCP/554 TCP/7 TCP/54 TCP/73 TCP/4 TCP/5777 UDP/955 TCP/5 TCP/96 ISP 업계 : 프로토콜 / 포트추이 8,, 7,, 6,, 5,, 4,, 3,,,,,, / / /3 /4 /5 /6 /7 /8 /9 / / / /3 /4 /5 /6 /7 /8 /9 / / / /3 /4 /5 /6 /7 /8 /9 /3 ( 그림 8) 국내인터넷망에유입된포트트래픽 Top 일별추이 날짜 이번달국내 ISP 의일부구간에서수집된공격유형을분석한결과, TCP ACK Flooding 과같은 DDoS 공격트래픽및실질적인공격을수행하기전에각종정보를수집하기위한 Host Sweep 스캔등이많이탐지되었다. 시도건수 TCP ACK Flooding Host Sweep TCP SYN Flooding(DDoS) Ping Sweep UDP Tear Drop TCP Connect DOS UDP Flooding Invalid IP Head size NETBIOS Service sweep(tcp-39) SMB Service sweep(tcp-445),, 9, ISP 업계 : 공격추이 8, 7, 6, 5, 4, 3,,, / / /3 /4 /5 /6 /7 /8 /9 / / / /3 /4 /5 /6 /7 /8 /9 / / / /3 /4 /5 /6 /7 /8 /9 /3 ( 그림 9) 국내인터넷망에유입된공격유형 날짜 인터넷침해사고동향및분석월보

-4. 바이러스월탐지웜 바이러스정보 KISA 및 개업체의바이러스월을통하여수집된웜 바이러스를파악한결과, 전체적으로개별항목별수집건수가증가한가운데파일을감염시키는것이아닌스스로복제함으로써전파되는 HLLW 가가장많았고, 다른악성코드나웹사이트, 메신져및이동식디스크등을통해해당시스템내개인정보를유출하는것으로알려진 XEMA, GENERIC 등이많이파악되었다. 순위 3 4 5 6 7 8 9 합계 [ 표 5] 수집된주요웜 바이러스현황 8 3 4 5 명칭건수명칭건수명칭건수명칭건수명칭 DOWNLOADER,94 AUTORUN,345 XEMA,45 HLLW,866 VIKING VIRUT,6 VIRUT,88 AUTORUN,44 AUTORUN,334 VIRUT VIKING,44 DOWNLOADER 985 VIRUT,3 VIRUT, DOWNLOADER CASHBACK,3 HLLM 747 HLLW,79 HLLM,36 HLLW AUTORUN,56 HLLW 73 WEBSEARCH 949 GENERIC,75 HLLM HLLW,46 CASHBACK 65 DOWNLOADER 9 DOWNLOADER,645 SASAN HLLM XEMA CASHON NSANTI 기타 78 693 63 565 9,48,48 SASAN NSANTI XEMA CDN 기타 54 HLLM 849 NSANTI, GENERIC 535 SASAN 86 XEMA 9 NSANTI 438 SOLOW 748WEBSEARCH 763 XEMA 396 GENERIC 659 PWS 69 CDN 6,7 3,798 기타 9,38,4 기타 3,496 9,688 기타 6 건수명칭건수,54,44 HLLW VIRUT 7,5 6,9 578 GENERIC 5,87 55 HLLM 4,588 499 DOWNLOADER 3,57 386 34 334 79 NSANTI PWS PARITE PSYME 3,47 3,366,38,57 76 POLIPOS,47 3,777 9,39 기타 5,553 63,44 8 순위 7 8 9 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 VIRUT 754 HLLW,556 GENERIC 9,38 FAKEAV 7, HLLW 5,53 HLLW 49 NSANTI,55 MEREDROP 3,734 GENERIC,44 XEMA,78 3 NSANTI 48 PWS,4 GOLDUN,3 HAXDOOR, GENERIC,6 4 GENERIC 88 GENERIC 896 HLLW,585 PAKES,7 PWS 9,378 5 PWS 47 VIRUT 86 PWS,4 SMALL,39 VIRUT 7,388 6 DOWNLOADER 36 HLLM 89 VIRUT,98 LIGHTY,7 NSANTI 5,656 7 MYDOCM 4 DOWNLOADER 8 NSANTI, AUTORUN 686 DLOADR 4,37 8 9 합계 HLLM PARITE MONSH 기타 86 PARITE 84 PARITE 79 ZBOT 56 DOWNLOADER 3,7 7 MONSH 76 MYDOOM 5 MYDOOM 58 HLLM 3,65 67 RECYCLE 5 DOWNLOADER 48 NOTTY 454 AUTORUN,573,3 3,973 기타 3,675,859 기타 3,936 5,56 기타 3,389,74 기타 44,73, Part 허니넷 / 트래픽분석 8 년 월호

MS8-67 을이용하여전파되는악성코드분석. 개요 국내일부인터넷사용자 PC 에서인터넷접속장애가발생하여원인을확인해본결과 MS8-67 취약점을악용하는악성코드에의한것으로확인되었다. 감염시시스템폴더에랜덤한이름을가지는 DLL 파일이생성되며, 임의의사이트로부터추가적인악성코드의다운로드하여설치한다. 또한감염후 MS8-67 취약점을공격하는과정에서과도한 Scan 패킷발송으로인해윈도우통신소켓버퍼가고갈되어 HTTP, FTP 등 TCP 기반의통신에장애를발생시킬수있다. 윈도우 XP SP 버전이상의사용자의경우, 윈도우에서기본적으로제공되는개인방화벽에의해서보호될수있지만보다확실한예방을위해서는 OS 를최신으로업데이트해야한다.. 악성코드전파 / 감염과정 가. 전파과정 MS8-67 취약점은마이크로소프트에서 8년 월 4일에긴급패치한취약점으로서서버서비스상에존재하는취약점이다. 이취약점공격에성공하면공격자는원격에서피해 PC를통제할수있게된다. 이번에발견된악성코드는이취약점을악용하여자신을전파하는데전파과정을살펴보면다음과같다. TCP 445 Scan MS8-67 취약점공격코드전송 취약점공격성공시 HTTP 프로토콜을이용한악성코드전송 ( 사용포트는랜덤 ) 다른 PC 들을감염시키기위하여 TCP 445 Scan 패킷을발송 해당서비스포트를 Listen 하고있는시스템을발견하면 MS8-67 취약점공격코드를전송 3 취약점공격성공시 HTTP 프로토콜을통하여악성코드본체가공격 PC 에서피해 PC 로전송 ( 취약점공격이성공하게되면피해 PC 는공격 PC 쪽으로 HTTP GET Method 를이용하여 xruylbjz 파일을요청및다운로드 ) 인터넷침해사고동향및분석월보

나. 감염과정 공격 PC 에서피해 PC 로악성코드인 xruylbjz 파일이전송되면임시폴더에 xruylbjz.jpg 파일이생성되고해당파일은랜덤한이름의 DLL 파일로시스템폴더에복사및서비스에등록되어활동하게된다. o 파일생성 - 임시폴더에 xruylbjz.jpg 파일이생성 - 시스템폴더에랜덤.dll 파일생성 o 서비스등록 - 랜덤한서비스명으로레지스트리에등록된다. Part 3 월간특집 3 8 년 월호

3. 감염후증상 - 타시스템감염을위해대량으로 TCP 445 Scan 시도를하며, 통신소켓버퍼고갈로인하여웹접속등 TCP 통신에장애가발생한다. ( 윈도우 XP SP 는 TCP Half-open 을 개로제한하고있으며제한을초과한뒤에발생하는연결시도는 Queue 에들어간후에고정된비율로해제되므로정상적인 TCP SYN 연결요청이 DROP 됨. 이는시스템이벤트로그의이벤트 ID 46 번으로도확인가능 ) - 아래의인터넷주소로부터추가적인악성코드를다운로드및실행을시도한다. 즉, 악성코드는다른악성코드를설치하기위한 Downloader 용도로악용된다. http://trafficconverter.biz/4vir/antispyware/loadadv.exe 인터넷침해사고동향및분석월보 4

- 아래의인터넷주소로부터추가적인정보를다운로드시도한다. 분석시간대에관련정보가다운로드되지않아정확한확인이어려웠지만, 악성코드가활동하기위한정보들인것으로추정된다. http://www.maxmind.com/download/geoip/database/geoip.dat.gz Part 3 월간특집 5 8 년 월호

- 외부 IP 확인사이트에조회하여, 외부에서보여지는 PC 의 IP 를확인한다. 즉, NAT 를사용하고있는지여부를확인한다. IP 확인을위하여접속하는사이트는다음과같다. checkip.dyndns.org www.getmyip.org getmyip.co.uk 4. 위험성분석 가. 악성코드의전파력분석 악성코드의자기전파를위한타시스템분당공격빈도를다른웜 바이러스의공격력과비교하여살펴보면다음과같다. 타웜에비하여공격패킷발생빈도가크게차이가있지는않은것으로확인되었으나 MS8-67 패치배포가최근에이루어졌으므로주의를할필요가있다. ( 분당공격패킷발생건수 ) 인터넷침해사고동향및분석월보 6

나. 허니팟을통한위협현황분석 이번웜은 KISA 허니넷에 월 일 시에최초로유입되었다. 일이후에자동전파형태로지속적으로관찰되고있으므로주의가필요하다. 5. 조치방법 감염으로인하여발생하는인터넷장애는아래의악성코드치료조치를통하여해결할수있다. 윈도우시스템폴더에서파일사이즈가 6,976 byte 이고, md5 값이 d9cb88f374ae63e345ed9765 인랜덤한이름의 DLL 파일을찾아서삭제하고해당 DLL 파일이등록된서비스를삭제하면되는데실수로정상파일이나서비스를삭제하지않도록주의가필요하다. 윈도우콘솔 ( 명령프롬프트 ) 창열기윈도우시작버튼클릭 실행클릭 cmd 입력후확인 윈도우시스템폴더로이동콘솔창에다음명령을입력후엔터 > cd C:\Winnt\System3 (Windows NT/) > cd C:\Windows\System3 (Windows XP) Part 3 월간특집 7 8 년 월호

3 파일사이즈가 6,976 byte 인파일찾기 > dir findstr 6,976 파이프문자 의입력은 Shift 키 + 키 4 md5 값조회 md5 값검사하는도구 [3] 를 C:\ 에다운로드후압축을 C:\ 에해제후에아래명령으로 3 에서열거된파일을대상으로 md5 값을하나씩조회함 > C:\md5sums.exe [ 파일명 ] 파일사이즈가 6,976 byte 인정상파일이있을수있으므로 md5 값이 d9cb88f374ae63e345ed9765 인악성코드파일을찾아서메모 5 시스템을안전모드로재부팅 ( 부팅시 F8 을눌러 안전모드 선택 ) 6 윈도우시스템폴더로이동하여 4에서확인된파일삭제 > cd C:\Winnt\System3 또는 cd C:\Windows\System3 > del [ 파일명 ] 다른정상파일을삭제시시스템이오동작할수있으므로주의 7 레지스트리편집기를실행윈도우시작버튼클릭 실행클릭 regeit 입력후확인 인터넷침해사고동향및분석월보 8

8 레지스트리에서확인된파일명에해당하는서비스검색편집 찾기 찾을내용에 [ 파일명 ] 을입력후확인 9 검색된서비스를삭제검색된파일명이존재하는 Parameters 의상위경로를선택 마우스오른쪽 삭제 다른정상서비스를삭제시시스템이오동작할수있으므로주의 재부팅 6. 예방방법 가. 네트워크관리자 - 운영중인네트워크보안장비에 MS8-67 취약점공격을탐지할수있도록, 탐지룰을최신으로업데이트 - 외부로부터 TCP 39, 445 트래픽이유입이되지않도록차단하고, 기관 / 기업내부네트워크에서도자체검토후불필요한경우차단 나. 일반인터넷이용자 - 윈도우에서최신보안업데이트설치및개인방화벽사용 - 백신사용및윈도우보안업데이트생활화 ISP에서는인터넷가입고객에게필히최신보안업데이트를설치하도록안내, 불필요한 445 포트는자체검토후차단 Part 3 월간특집 9 8 년 월호

3. 월간특집 7. 결론 감염시에는인터넷사용상장애가발생할수있어, 감염 PC 사용자의체감불편이클수있을것으로보인다. 이악성코드는윈도우의네트워크서비스취약점을악용하는웜으로서윈도우 XP SP 이상의사용자는개인방화벽이설치되어있으므로감염위험으로부터많은부분방어가된다고볼수있다. 그러나악성코드제작자는보다많은악성코드를유포하기위하여 MS8-67 전파경로외에도인터넷웹사이트에악성코드를삽입하는등의추가적인다양한유포활동을할수있으므로 OS 를최신으로패치하는등주의를기울여야한다. 인터넷침해사고동향및분석월보 3

별첨 악성코드유포지 / 경유지조기탐지및차단조치 개요 KISA 인터넷침해사고대응지원센터에서는홈페이지를악성코드전파의매개지로악용하여방문자에게악성코드를감염시키는사례가발생함에따라 5년 6월부터지속대응하여왔으며, 5년 월부터는사용자피해신고이전에사전탐지를통한능동적대응을위해악성코드은닉사이트자동탐지시스템을 자체개발적용하여현재약 만여개의국내주요홈페이지를대상으로악성코드은닉여부탐지및차단등감염피해예방활동을수행하고있다. 전체추이 8년 월 KISA에서탐지하여대응한악성코드유포및경유사이트는 98건으로전월대비 7.8% (,9 98건 ) 감소하였다. - 악성코드경유사이트수는전월대비.5%(999 874건 ) 감소하였고, 유포사이트수는전월에비하여 58.5%(3 54건 ) 감소한것으로나타났다. - 경유지에포함된유포지사이트는 SQL Injection에의한공격에의해삽입된것으로추정되며, 주요악성코드유포지와관련하여탐지된경유지건수는다음과같다. 악성코드유포지 탐지된국내경유지건수 http://s.ardoshanghai.com/s.js 447 http://s.cawjb.com/s.js 7 http://www.dxxxxx.net/flasa/cuteqqs.htm 74 http://s.kaisimi.net/s.js 43 - 악성코드유포지중 s.ardoshanghai.com은 월 5일최초탐지되었으며, 이와관련된경유지사이트수는모두 447개 (5%) 로나타났다. 참고사이트 http://www.krcert.or.kr/ 보안정보 보안공지 SQL Injection공격으로인한악성코드삽입피해주의요망 웹어플리케이션취약점에대한해킹기법및보안대책 : http://www.krcert.or.kr 초기화면 왼쪽 웹보안 4종가이드 기본적인웹해킹을차단할수있는공개웹방화벽 (ModSecurity, WebKnight) : http://www.krcert.or.kr 초기화면 왼쪽 공개웹방화벽을이용한홈페이지보안 공개웹방화벽 (ModSecurity, WebKnight) 을활용한웹서버보안강화가이드 : http://www.krcert.or.kr/ 보안정보 기술문서 [ 문서번호 : TR83, TR84] 3 8 년 월호

[ 표 ] 악성코드유포지 / 경유지사고처리건수 구분 7 8 3 4 5 6 7 8 9 8 유포지,69 7 8 7 97 64 96 8 6 83 3 54,6 경유지 3,93 483 33 78 744,3 57 53 37 333 999 874 6,87 합계 5,55 59 33 835 84,95 667 73 487 46,9 98 8,3 ( 그림 ) 월별악성코드유포지 / 경유지사고처리건수 기관별분류 악성코드유포및경유지로악용된사이트를기관별로분류하면기업 (7.4%), 비영리 (.%), 기타 ( 개인 )(8.6%) 홈페이지순이었으며, 특히기업으로분류된 co.kr, com 도메인이악성코드유포및경유사이트로많이악용되는것으로나타났다. - 이는해커가일반이용자의접속이많은기업사이트를주로악성코드유포및경유사이트로악용하고있는것으로판단된다. 인터넷침해사고동향및분석월보 3

[ 표 ] 악성코드유포지 / 경유지사이트피해기관 ( 도메인 ) 별분류 기관 7 8 3 4 5 6 7 8 9 8 기업 3, 373 75 536 67 86 466 433 99 94 89 67 5,5 대학 4 6 9 9 5 7 6 3 3 비영리 88 45 7 56 55 94 5 37 43 8 7 3 646 연구소 4 3 4 5 네트워크 36 97 53 77 4 7 6 5 5 455 기타 ( 개인 ),88 94 37 3 75 9 3 87 44 8,373 총계 5,55 59 33 835 84,95 667 73 487 46,9 98 8,3 기관분류기준 : 기업 (co,com), 대학 (ac), 비영리 (or,org), 연구소 (re), 네트워크 (ne,net), 기타 (pe 등 ) 네트워크 5.5% 기타 ( 개인 ) 8.6% 비영리.% 대학.3% 기업 7.4% ( 그림 ) 악성코드유포지 / 경유지사이트피해기관 ( 도메인 ) 별분류 웹서버별분류 악성코드유포및경유지로악용된사이트를웹서버별로분류한결과 MS IIS 웹서버가 774 건 (83.4%), Apache 웹서버가 4 건 (4.4%), 기타 3 건 (.%) 로분류되었다. [ 표 ] 악성코드유포지 / 경유지사이트웹서버별분류 웹서버 7 8 3 4 5 6 7 8 9 8 MS IIS 3,6 45 59 55 555 749 36 79 3 74 63 774 5,4 Apache 34 3 49 63 67 3 3 83 33 8 4 534 기타, 43 5 47 9 45 75 369 65 9 434 3,594 합계 5,55 59 33 835 84,95 667 73 487 46,9 98 8,3 웹서버별구분자료는각운영체제 / 웹서버의안전성과는상관관계가없으며, 단지탐지에따른분석자료임 악성코드유포지 / 경유지사이트가이미패쇄되어웹서버를파악하기어려운경우도기타에포함시켰음 33 8 년 월호

부록 주요포트별서비스및관련악성코드 http://www.krcert.or.kr 포트번호 프로토콜 서비스 관련악성코드 TCP SSH Remote Login Protocol [trojan] Adore sshd, [trojan] Shaft Mydoom, Welchia, Doomjuice, Agobot, Polybot, Bagle, 8 TCP World Wide Web, HTTP Yaha,Spybot, Back Orifice k Plug-Ins, CGI Backdoor, Executor, Hooker, RingZero, Seeker, WAN Remote, Web Server CT, WebDownloader, Zombam 35 TCP/UDP DCE endpoint resolution, MS-RPC Blaster, Agobot, Yaha, Welchia, Polybot, Kibuv, Lovgate, Spybot 39 TCP Netbios-ssn God Message worm, Netlog, Qaz, Deborms, Moega, Yaha Agobot, Deloder, Yaha, Randex, Welchia, Polybot, 445 TCP netbios-ds Sasser, Bobax, Kibuv, Korgo, Spybot, Janx, Netdepix, Zotob, IRCBot, SDBot 5 TCP/UDP network blackjack Dasher, Remote Storm, ABCHlp, Lala, Keco 8 TCP/UDP SOCKS Protocol MyDoom, Proxmeg, Bugbear, Hagbard, Daemoni, Lixy 433 TCP/UDP Microsoft-SQL-Server Spida, SQL Snake 434 TCP Microsoft-SQL-Server SQL Slammer 745 TCP urbisnet Bagle 34 TCP/UDP NetworkLens SSL Event OptixPro, Mockbot 4899 TCP radmin-port RAdmin Port 5 TCP/UDP commplex-main Back Door Setup, Blazer5, Bubbel, ICKiller, Rad, Bobax, Trojan.Webus 69 TCP/UDP DameWare Mockbot. 인터넷침해사고동향및분석월보 34

용어정리 구분 구성설정오류공격 바이러스 (Virus) 바이러스월 (Virus Wall) 버퍼오버플로우 (Buffer Overflow) 봇 (Bot) 분산서비스거부공격 (DDoS : Distributed DoS) 불법자원사용 불법침입 서비스거부공격 (DoS : Denial of Service) 스파이웨어 (Spyware) 스팸릴레이 (Spam Relay) 허니넷 악성프로그램 악성프로그램공격 애드웨어 (Adware) 웜 (Worm) 내용운영체제및응용프로그램의설정오류 ( 위험성이있는기본설정의사용, 사용자편의를위한설정조정등 ) 를이용하는해킹기법으로홈페이지위 변조, 불법침입등에주로이용됨컴퓨터프로그램이나메모리에자신또는자신의변형을복사해넣는악의적인명령어들로조합하여불특정다수에게피해를주기위한목적으로제작된모든컴퓨터프로그램또는실행가능한코드네트워크환경내부에인-라인 (In-line) 상태에서 LAN 세그먼트의트래픽을관리하여트래픽상의네트워크바이러스를예방및차단하는시스템메모리에할당된버퍼의크기보다더큰데이터를덮어씀으로써호출프로그램으로의복귀오류등을일으켜정상적인프로그램의실행을방해하는대표적인공격기법운영체제취약점, 비밀번호의취약성, 웜 바이러스의백도어등을이용하여전파되며, 해킹명령전달사이트와의백도어연결등을통하여스팸메일전송이나 DDoS 공격에악용이가능한프로그램또는실행가능한코드 DoS 용에이전트를여러개의시스템에설치하고, 이에이전트를제어하여 DoS 공격을함으로써보다강력한공격을시도할수있으며, 공격자에대한추적및공격트래픽의차단을어렵게만드는공격형태정당한권한없이특정시스템을스팸릴레이, 피싱사이트개설등에이용하는행위주요정보 자료를수집또는유출하기위하여정당한권한없이시스템에침입하는행위특정네트워크에서허용하는대역폭을모두소모시키거나, 공격대상 (victim) 시스템의자원 (CPU, 메모리등 ) 을고갈시키거나, 시스템상에서동작하는응용프로그램의오류에대한공격으로서비스를못하도록만드는공격이용자의동의없이정보통신기기에설치되어정보통신시스템, 데이터또는프로그램등을훼손 멸실 변경 위조하거나정상프로그램운용을방해하는기능을수행하는악성프로그램. 즉, 이용자의동의없이, 웹브라우저의홈페이지설정이나검색설정을변경, 정상프로그램의운영을방해 중지또는삭제, 컴퓨터키보드입력내용이나화면표시내용을수집 전송하는등의행위를하는프로그램스팸메일발신자추적을어렵게하기위하여타시스템을스팸메일발송에악용 KISA 인터넷침해사고대응지원센터내에설치된시험네트워크로스캔정보를비롯한공격행위, 웜 바이러스등을수집사용자의시스템에설치되어백도어를오픈하여정보를유출하거나, 시스템의정상적인동작을방해하는프로그램컴퓨터시스템에악성프로그램을설치하게유도하거나고의로감염시키는해킹기법으로주로백도어등을이용하여상대방의주요정보를빼내기위한목적으로이용함사용자의컴퓨터에광고성팝업창을띄우거나, 초기화면을특정사이트로고정시키는등의사용자가의도하지않는행위를수행하게하는프로그램또는실행가능한코드독립적으로자기복제를실행하여번식하는빠른전파력을가진컴퓨터프로그램또는실행가능한코드 35 8 년 월호

구분취약점정보수집공격침입시도트로이잔 (Trojan) 피싱 (Phishing) 해킹 (Hacking) ASP.NET Botnet DHTML Editing Component ActiveX E-mail 관련공격 Hyperlink 개체라이브러리 KrCERT/CC LLS NetBIOS OLE/COM PNG SMB TCP Syn Flooding Windows SharePoint Services Windows Shell 내용대상시스템의운영체제, 설정등을알아보기위하여스캔하는등의행위로주로해킹의사전단계로이용됨시스템에침입하려고시도하거나, 취약점정보의수집을위해스캔하는등의행위자기복제능력은없으나정상기능의프로그램으로가장하여프로그램내에숨어있는코드조각으로의도하지않은기능을수행하는컴퓨터프로그램또는실행가능한코드정상적인웹서버를해킹하여위장사이트를개설한후, 인터넷이용자들의금융정보등을빼내는신종사기수법으로 Bank Fraud, Scam이라고도함다른사람의컴퓨터나정보시스템에불법침입하거나, 정보시스템의정상적인기능이나데이터에임의적으로간섭하는행위개발자가웹응용프로그램및 XML 웹서비스를구축할수있도록돕는기술로, 정적 HTML과스크립팅을사용하는일반웹페이지와는달리, 이벤트에기반한동적인 HTML 웹페이지를제공함많은 Bot 감염시스템들이명령을수신할목적으로 IRC 에연결되어있는네트워크인터넷익스플로러가웹메일처럼 HTML문서를제작할수있도록해주는 ActiveX 컨트롤상대방의시스템에메일서버를설치하여스팸릴레이에악용하거나, 관심을끄는 E-mail을보냄으로써상대방이악성프로그램을설치하도록하는해킹기법으로주로스팸릴레이나악성프로그램의설치에이용됨응용프로그램들이 HTML 문서에서사용되는 Hyperlink 처리를위한기능을제공 Korea Computer Emergency Response Team Coordination Center의약어로, 국내외인터넷침해사고대응업무를수행하는한국대표침해사고대응팀 (CERT/CSIRT) 이며, KISA 인터넷침해사고대응지원센터가역할을수행 License Logging Service의약자로 MS 서버제품에대한라이센스를고객이관리할수있도록해주는도구네트워크의기본적인입출력을정의한규약 Object Linking And Embedding, Component Object Model의약자로 MS의객체기반기술의일종으로서서로다른응용프로그램이나플랫폼이데이터를공유하는데사용 Portable Network Graphics의약자로 GIF 나 JPEG처럼그림파일포맷의일종으로, 주로 UNIX/LINUX 환경에서아이콘등에많이사용 Server Message Block의약자로파일이나네트워크폴더및프린터공유등에사용되는프로토콜 TCP 연결특성을이용한 DoS 공격의일종으로 Unreachable한주소로 IP를위조하여 Syn 을보내서대상시스템이더이상의연결요청을받아들일수없도록만드는공격많은인원이동시에다양한정보공유와공동문서제작을위한웹사이트를제작하는데필요한서비스윈도우시스템의제반실행환경을제공해주는것으로 explorer.exe가책임을맡고있다. 인터넷침해사고동향및분석월보 36

37 8 년 월호