목차 Part Ⅰ 9 월의악성코드통계... 3 1. 악성코드통계... 3 (1) 감염악성코드 Top 15... 3 (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이... 5 2. 악성코드이슈분석 Trojan.Ransom.CryptoLocker.A... 6 (1) 개요... 6 (2) 악성코드분석... 7 (3) 결론... 18 3. 허니팟 / 트래픽분석... 19 (1) 상위 Top 10 포트... 19 (2) 상위 Top 5 포트월별추이... 19 (3) 악성트래픽유입추이... 20 4. 스팸메일분석... 21 (1) 일별스팸및바이러스통계현황... 21 (2) 월별통계현황... 21 (3) 스팸메일내의악성코드현황... 22 Part Ⅱ 보안이슈돋보기... 23 1. 9 월의보안이슈... 23 2. 9 월의취약점이슈... 25 페이지 2
Part Ⅰ 9 월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 [2013년 09월 01일 ~ 2013년 09월 30일 ] 순위 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Gen:Trojan.Heur.GM.8500010002 Trojan 4,422 2 New Gen:Variant.Graftor.114721 Etc 2,487 3 - Trojan.Rootkit.killav Trojan 2,043 4 New Gen:Variant.Adware.Graftor.Elzob.24368 Adware 2,034 5 New Trojan.Generic.KDV.286816 Trojan 2,017 6 New Gen:Variant.Kazy.224589 Etc 1,621 7 New Backdoor.Cuebot-l Backdoor 1,859 8 New Trojan.Rootkit.LoaderA Trojan 1,821 9 New Hosts.www.nonghyup.com Host 1,819 10 New Hosts.nonghyup.com Host 1,815 11 New Hosts.open.nonghyup.com Host 1,795 12 New Hosts.banking.nonghyup.com Host 1,780 13 New Spyware.PWS.KRBanker.D Spyware 1,765 14 New Hosts.ibz.nonghyup.com Host 1,677 15 NEw Gen:Variant.Kazy.96966 Etc 1,655 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 감염악성코드 Top 15는사용자 PC에서탐지된악성코드를기반으로산출한통계입니다. 9월의감염악성코드 TOP 15에서는 7,8월연속 1위를차지했던 Gen:Trojan.Heur.GM.8500010002 이또다시 1위를차지하였습니다. 새롭게 2위를차지한 Gen:Variant.Graftor.114721 악성코드는윈 도우시스템파일을감염시키는동시에정보를탈취하고원격으로공격자를시스템에접속할수 있도록백도어를생성하는악성코드입니다. 3위는지난달 3위를차지했던 Trojan.Rootkit.killav 악 성코드가또다시 3위를차지했습니다. 전체적으로 9월들어서는 8월에전반적으로감염자수가증가하고있으며지난달과크게다르지 않은상위권악성코드외에도 9~14위까지인터넷뱅킹사용자를노리는호스트변조악성코드가 대거유포되었음을관심있게보시고, 금융관련정보를안전하게보호하는데많은관심과주의 를기울여야합니다. 페이지 3
(2) 카테고리별악성코드유형 트로이목마 (Trojan) 스파이웨어 (Spyware) 호스트파일트로이목마애드웨어 (Adware) (Host) (Trojan) 취약점 (Exploit) 29% 34% 웜 (Worm) 기타 (Etc) 스파이웨어백도어 (Backdoor) (Spyware) 백도어바이러스 (Virus) 기타 (Etc) 5% (Backdoor) 하이재커 (Hijacker) 19% 애드웨어 6.4% 호스트파일 (Host) (Adware) 6.6% 악성코드유형별비율에서트로이목마 (Trojan) 유형이가장많은 34% 를차지했으며, 호스트파일 (Host) 유형이 29% 로 2위를차지했습니다. 이어기타 (Etc) 유형이 5% 로 3위를차지하였습니다. (3) 카테고리별악성코드비율전월비교 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 호스트파일 (Host) 기타 (Etc) 5% 5% 0% 7% 0% 0% 0% 0% 0% 0% 0% 0% 0% 6% 0% 19% 29% 34% 47% 48% 8 월 9 월 0% 20% 40% 60% 80% 100% 9 월에는지난 8 월과비교하여호스트파일 (Host) 유형이비율상크게증가하였으며애드웨어와 백도어악성코드를제외한나머지악성코드유형은소폭하락하는모습을보여주었습니다. 페이지 4
(4) 월별피해신고추이 [2012 년 10 월 ~ 2013 년 09 월 ] 9 월 10 월 11 월 12 월 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 알약사용자의신고를합산에서산출한결과임 월별피해신고추이는알약사용자의신고를합산해서산출한결과로써, 월별신고건수를나타 내는그래프입니다. (5) 월별악성코드 DB 등록추이 [2012 년 10 월 ~ 2013 년 09 월 ] 201210 201211 201212 201301 201302 201303 201304 201305 201306 201307 201308 201309 Adware Spyware Hijacker KeyLogger Exploit RAT Trojan Worm Backdoor Downloader Dropper Misc 페이지 5
Part Ⅰ 9 월의악성코드통계 2. 악성코드이슈분석 Trojan.Ransom.CryptoLocker.A (1) 개요 CryptoLocker는피해자의관심을이끌어내는스팸메일을이용하여전파되고있으며, 사용자가메일내의첨부파일을확인할경우감염됩니다. 악성코드는사용자의 PC 를감염시켜문서, 비디오, 그림파일을암호화시킨후금전을요구합니 다. 페이지 6
(2) 악성코드분석 A. 악성코드파일정보 Detection Name File Name 악성행위 Trojan.Ransom.CryptoLocker.A tve2.exe 랜섬웨어 B-1. tve2.exe 동적분석 (Trojan.Ransom.CryptoLocker.A) - 바탕화면변경악성코드에감염되면 bmp파일을생성한후레지스트리를변경하여바탕화면을아래와같은화면으로변경합니다. HKEY_CURRENT_USER\Contorl Panel\Desktop Wallpaper = C:\Documents and Settings\[ 사용자 ]\ 바탕화면 \[ 랜덤 ].bmp 페이지 7
- 결제유도를위한팝업창생성문서파일을암호화시킨후아래와같은화면을띄웁니다. 당신의컴퓨터에서중요한파일이감염되었으며, 이파일은사진, 비디오, 문서파일외기타파일이다. RSA-2048로암호화를했고, 시간내에복호화를하지않으면키가파괴되어복호화를하지못할것이다. 복호화를하고싶으면 300USD 혹은 300EUR를시간내에달라고하는것이주요내용입니다. 페이지 8
페이지 9
- 파일복사 자기자신을아래와같은위치에랜덤한파일명으로복사합니다. C:\Documents and Settings\[ 사용자 ]\Application Data\[ 랜덤 ].exe - 레지스트리생성부팅시자동실행을위해다음레지스트리를생성합니다. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run CryptoLocker = C:\Documents and Settings\[ 사용자 ]\Application Data\[ 랜덤 ].exe - 특정확장자를가진파일암호화암호화를적용시키는특정확장자목록은아래와같습니다. *.odt *.ods *.odp *.odm *.odc *.odb *.doc *.docx *.docm *.wps *.xls *.xlsx *.xlsm *.xlsb *.xlk *.ppt *.pptx *.pptm *.mdb *.accdb *.pst *.dwg *.dxf *.dxg *.wpd *.rtf *.wb2 *.pdf *.mdf *.dbf *.psd *.pdd *.eps *.ai *.indd *.cdr *.dng *.3fr *.arw *.srf *.sr2 *.bay *.crw *.cr2 *.dcr *.kdc *.erf *.mef *.mrw *.nef *.nrw *.orf *.raf *.raw *.rwl *.rw2 *.r3d *.ptx *.pef *.srw *.x3f *.jpg *.jpeimg_ *.jpg *.m4v *.mp4 *.mov *.3gp *.der *.cer *.crt *.pem *.pfx *.p12 *.p7b *.p7c 암호화를적용시킨파일리스트를특정레지스트리에등록하여관리를합니다. HKEY_CURRENT_USER\Software\CryptoLocker\Files 이러한단계를거쳐감염이되고나면, 이렇게열리던파일이 (docx) 열리지않게됩니다. 페이지 10
감염전파일의 Hex 값과후의 Hex 값만비교해보아도, 감염전에는어느정도알아볼수있는반 면에감염후에는완전히암호화되어알아볼수있는부분이전혀없고, 저러한암호화를하기 위해채워넣기때문에용량도무척커진점을확인할수있었습니다. [ 감염전 ] File Name MD5 File Size Test Before.docx BE0D67EE63EFC35197BF6897705538BF 54,288 Bytes 페이지 11
[ 감염후 ] File Name MD5 File Size Test After.docx D10B6E33B0368EE9E1CABEC4B35D8620 1,740,756 Bytes 페이지 12
B-2. tve2.exe 동적분석 (Trojan.Ransom.CryptoLocker.A) - 원본파일복사 원본파일 (tve2.exe) 을그대로복사하여 C:\Documents and Setting\[ 사용자 ]\Application Data\Pnjofpdffwcjptrltl( 랜덤 ).exe 라는파일로복사합니다. - 실행파일경로비교 문자열비교를통해현재실행된파일의경로와 C:\Documents and Setting\[ 사용자 ]\Application Data 폴더문자열을비교, 다른행동을합니다. [ 문자열비교후경로가다를경우 ] 복사된 Pnjofpdffwcjptrltl.exe 로프로세스를생성합니다. 인자가 /r 일경우파일을삭제하는행위 를하게됩니다. 페이지 13
[ 문자열비교후경로가같을경우 ] 복사된 Pnjofpdffwcjptrltl.exe 로프로세스를생성합니다. 인자가 /w 일경우복사된파일 (Pnjofpdffwcjptrltl.exe) 을지속적으로실행하는행위를하게됩니다. - 원본파일복사 Registry 를등록하여자신이자동실행되게끔합니다. 페이지 14
- 네트워크접속 Biz, ru, org, co.uk, info, com 의도메인을현재시스템시간의정보를토대로랜덤로컬도메인을생성하여패킷을전송합니다. 전송하는정보에는사용자 pc의정보가포함되어있습니다. 아무런정보도전송되지않다가랜덤도메인명으로생성된주소가공격자가설정한도메인주소와일치하면그곳으로패킷을전송합니다. 연결되는 IP주소는 93.189.44.187, 194.28.174.119, 212.71.250.4, 87.255.51.229 입니다. 페이지 15
- 공개키생성 공개키를얻어와레지스트리에등록합니다. HKEY_CURRENT_USER\Software\CryptoLocker\PublicKey - 파일암호화파일의속성을먼저체크하고, 바로가기 (.ink).lnk, 등과시스템폴더부터시작하여최근에액세스했었던문서, 비디오파일, 그림파일을검색합니다. 이행위는악성코드가돌아가는내내실행되게됩니다. 페이지 16
[ 확장자목록 ] *.odt *.ods *.odp *.odm *.odc *.odb *.doc *.docx *.docm *.wps *.xls *.xlsx *.xlsm *.xlsb *.xlk *.ppt *.pptx *.pptm *.mdb *.accdb *.pst *.dwg *.dxf *.dxg *.wpd *.rtf *.wb2 *.pdf *.mdf *.dbf *.psd *.pdd *.eps *.ai *.indd *.cdr *.dng *.3fr *.arw *.srf *.sr2 *.bay *.crw *.cr2 *.dcr *.kdc *.erf *.mef *.mrw *.nef *.nrw *.orf *.raf *.raw *.rwl *.rw2 *.r3d *.ptx *.pef *.srw *.x3f *.jpg *.jpeimg_ *.jpg *.m4v *.mp4 *.mov *.3gp *.der *.cer *.crt *.pem *.pfx *.p12 *.p7b *.p7c 페이지 17
(3) 결론 CryptoLocker는 Ransomware 라는종류의악성코드로서, 주로 Email로전파되고윈도우가시작될때자동으로실행됩니다. 자가보호를위해서같은프로세스를두개생성하여하나를종료시켜도재생성되는기능을가지고있습니다. CryptoLocker는사용자의 PC에있는문서, 그림, 비디오파일을검색하여대상파일을암호화시킵니다. 파일암호화작업에는 RSA 라는공개키암호화방식이사용되었으며, 복호화작업에는공격자의개인키를필요로합니다. 하지만개인키를얻을수없기때문에일단감염되면암호화된데이터를복구할수가없습니다. 아직우리나라에이러한 Ransomware 이슈가많지않아일반사용자들에게있어크게와닿지 않겠지만해외에서피해가점진적으로늘어가고있는추세를반영하여앞으로주의를기울여이 러한악성코드에대한피해를아래대응방안을참고하여미리예방하는자세가필요합니다. [ 대응방안 ] 악성코드는자동실행을위해레지스트리에 CryptoLocker 라는이름으로등록됩니다. HKCU\Software\Microsoft\Windows\CurrentVersion\Run 등록된레지스트리를통하여악성 EXE 파일의경로를확인하여해당파일을삭제하고 ProcessExplorer 와같은 Process 관리프로그램을이용하여한번에두개의프로세스를전부실행종료시키는것이필요합니다. 주요유포경로인영문택배관련메일에주의하고, 의심되는파일을실행하지않는것이중요합니다. 또한, 중요한문서파일들은주기적으로백업하는습관을들이는것이가장중요합니다. 페이지 18
Part Ⅰ 9 월의악성코드통계 3. 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 25 4% 3389 5% 5900 12% 23 18% 80 1% 3306 57% 3306 23 5900 3389 25 80 110 22 53 8080 (2) 상위 Top 5 포트월별추이 [2013 년 07 월 ~ 2013 년 09 월 ] 2013 년 7 월 2013 년 8 월 2013 년 9 월 3306 1433 23 3389 5900 페이지 19
(3) 악성트래픽유입추이 [2013 년 04 월 ~ 2013 년 09 월 ] 2013 년 4 월 2013 년 5 월 2013 년 6 월 2013 년 7 월 2013 년 8 월 2013 년 9 월 페이지 20
2013-9-1 2013-9-3 2013-9-5 2013-9-7 2013-9-9 2013-9-11 2013-9-13 2013-9-15 2013-9-17 2013-9-19 2013-9-21 2013-9-23 2013-9-25 2013-9-27 2013-9-29 Part Ⅰ 9 월의악성코드통계 4. 스팸메일분석 (1) 일별스팸및바이러스통계현황 25,000 20,000 15,000 10,000 5,000 바이러스 스팸 0 일별스팸및바이러스통계현황그래프는하루에유입되는바이러스및스팸메일의개수를나타내는그래프입니다. 9월의경우 8월에비해스팸메일수의수치가무려대폭감소했는데이는전체유입된메일수가 1/6수준으로줄어든부분에영향이큰것으로보입니다. 그러나 1/6으로감소된스팸메일에서악성코드가발견된수치는오히려 8월보다소폭상승하였습니다. (2) 월별통계현황 [2013 년 04 월 ~ 2013 년 09 월 ] 3,000,000 0.8% 2,500,000 2,000,000 1,500,000 1,000,000 99.2 악성코드 스팸 500,000 0 2.7% 6.9% 6.8% 8.0% 12.3% 97.3 92.0 93.1 93.2 87.7 4월 5월 6월 7월 8월 9월 월별통계현황은전체악성메일중단순스팸메일과악성코드첨부메일의각비율을나타내는 그래프입니다. 9 월에는스팸메일이 87.7%, 악성코드첨부메일이 12.3% 의비율로수신되었으며 8 월에비해스팸메일수치는크게감소하였으나오히려첨부된악성코드수치는증가하였습니다. 페이지 21
(3) 스팸메일내의악성코드현황 [2013 년 09 월 01 일 ~ 2013 년 09 월 30 일 ]ff 순위 악성코드진단명 메일수 [ 개 ] 비율 [%] 1 W32/Mytob-C 1,131 4.61% 2 Troj/Invo-Zip 921 3.75% 3 Mal/ZipMal-B 393 1.60% 4 Mal/Phish-A 299 1.22% 5 W32/MyDoom-H 144 0.59% 6 W32/MyDoom-N 141 0.57% 7 W32/Bagle-CF 82 0.33% 8 Mal/EncPk-MP 79 0.32% 9 W32/Netsky-P 78 0.32% 10 Mal/FakeAV-OY 76 0.31% 스팸메일내의악성코드현황은 9월한달동안수신된메일에서발견된악성코드중 Top 10을뽑은그래프입니다. 8월과마찬가지로 W32/Mytob-C가 1위를차지했습니다. 타악성코드의경우는약간의순위변동이있었으나큰차이를보인부분은없었습니다. 새롭게 W32/Bagle-CF와 Mal/EncPk-MP 악성코드가등장하였는데, 특히 W32/Bagle-CF를통해대량으로스팸메일을발송하는웜악성코드와백도어를생성하는트로이목마악성코드가유포되니참고하시기바랍니다. 전체적으로, 지난달에비해유입되는메일수는크게줄어들었으나메일에포함된악성코드비율을오히려증가하였으므로주의를기울이는것이좋습니다. 페이지 22
Part Ⅱ 보안이슈돋보기 1. 9 월의보안이슈 인터넷금융거래시사용할단말기를지정하거나, 휴대전화문자메세지등으로인증을받도록하는등인터넷뱅킹이용시의본인확인절차가강화되었습니다. 시작버튼이되살아난윈도우 8.1이공개되었으며, 악성코드미설치시특정웹사이트를빠져나가지못하게하는새로운형태의공격도발견되어 9월의이슈가되었습니다. 윈도 8.1 시작 버튼복귀터치인터페이스가강화되고타일형태의아이콘을사용한윈도8이공개되었지만, 시작버튼삭제및터치스크린의미흡한보급때문에사용자들의불만을사왔습니다. 그후, 윈도 8.1은삭제했던시작버튼을다시살리고검색과클라우드기능을강화했습니다. 또한바탕화면모드와타일모드의괴리감을줄여사용자들이상황에맞게유연한설정을할수있도록하였습니다. 악성코드미설치시종료불가악성코드등장특정웹사이트접속시악성코드를설치하지않으면빠져나가지못하게하는신종공격이발견되었습니다. 특정웹사이트에서악성코드를설치하지않으면다른곳으로이동할수없도록사용자를잡아두어일명 물귀신코드 로불리웁니다. 현재이악성코드는웹브라우저를가리지않고마구퍼지고있습니다. 이작업을종료하려면윈도작업관리자를실행하거나프로세스관리프로그램을통하여강제종료를해야합니다. 금융고객정보유출 CEO 해임도가능금융감독당국이금융소비자의개인정보보호강화를위해금융회사들이꼭지켜야할유의사항을마련하였습니다. 실제개인정보보호법개정으로내년 8월 7일부터금융회사가고객주민번호유출시최대 5억원의과징금이부과되며, 최고경영자 (CEO) 에대한해임도가능해집니다. 인터넷뱅킹본인확인강화 9월 26일부터인터넷뱅킹이용시본인확인절차가강화되었습니다. 최근급증하는보이스피싱, 피싱, 파밍등과같은전자금융사기로부터금융소비자를보호하려는조치로, 모든금융사가의무적으로참여해야하였습니다. 본인확인절차가강화된이후, 보안카드혹은일회용비밀번호 (OTP) 인증이외에지정된단말기를사용하거나미지정단말기에서는휴대전화문자메세지, 휴대전화또는집전화로자동응답 (ARS) 확인전화로본인확인을하여야인증을받을수있습니다. 파밍사이트알리미서비스실시 미래창조과학부와한국인터넷진흥원은급증하고있는파밍피해를예방하기위하여, 파밍 사이트접속시경고창을띄워주는 파밍사이트알리미서비스 를시작하였습니다. 미래부 페이지 23
는우선경찰청, 대검찰청등주요정부기관및 200 여개금융사사이트에대한파밍알 리미서비스를시작하였으며, 스미싱과같은변형된신종사이버사기수법에대해서도 대응할수있는시스템을추가로구축할계획이라도하였습니다. 보험협회정보수집허용확대논란금융위원회가현재신용정보법에따라보험협회의개인정보수집가능항목에일부질병정보를포함하기로하였습니다. 이에대하여시민단체들은개인의 민감한정보 를수집할수있도록허용하는것은사생활보호가강화되고있는추세에역행한다는비판의목소리를내고있습니다. 자산 2조이상금융사보안전담반의무화 16일, 금융위원회는지난 7월발표한금융전산보안강화종합대책의후속조치를밝혔습니다. 개정된규정은 2014년말부터총자산 2조원, 종업원수 300명이상금융회사는 CISO 가내외부전문가 5인이상으로자체보안전담반을구성해매년취약점분석, 평가를실시해야하며, 망분리도의무화됩니다. 다만지식정보보안컨설팅업체, 취약점분석기관등외부평가전문기관에위탁할경우자체전담반구성의무를면제하기로하였습니다. 북한추정해커조직, 다년간사이버첩보활동수행지난 2011년부터 3년간국가주요기관및연구기관등을대상으로정보수집을위한사이버첩보활동을수행한북한으로추정되는조직의활동이공개되었습니다. 이들은주로이메일을통하여한글문서취약점을이용한악성코드를전파시켰으며, 감염을유도하기위하여지능적인방법을사용하였습니다. 해당조직은악성코드를통하여사이버첩보활동을하였으며, 악성코드에사용된암호화기법등이기존에북한의소행으로알려진악성코드들과상당부분유사하는등여러가지요소들을보았을때해당조직을북한으로추정할수있다고하였습니다. 페이지 24
2. 9 월의취약점이슈 Microsoft 9월정기보안업데이트 Microsoft SharePoint Server의취약점으로인한원격코드실행문제, Microsoft Outlook의취약점으로인한원격코드실행문제, Internet Explorer 누적보안업데이트, OLE의취약점으로인한원격코드실행문제, Windows 테마파일의취약점으로인한원격코드실행문제, Microsoft Office의취약점으로인한원격코드실행문제해결등을포함한 Microsoft 9월정기보안업데이트가발표되었습니다. < 해당제품 > Windows XP Windows Vista Windows 7 Windows 8 Windows RT Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Microsoft SharePoint Server의취약점으로인한원격코드실행문제점 (2834052) 이보안업데이트는 Microsoft Office Server 소프트웨어의공개된취약점 1건과비공개로보고된취약점 9건을해결합니다. 가장위험한취약점으로인해공격자가영향을받는서버로특수하게조작된콘텐츠를보내는경우 W3WP 서비스계정의컨텍스트에서원격코드실행이허용될수있습니다. Microsoft Outlook의취약점으로인한원격코드실행문제점 (2756473) 이보안업데이트는비공개적으로보고된 Microsoft Outlook의취약점을해결합니다. 이취약점으로인해사용자가영향을받는 Microsoft Outlook 에디션에서특수하게조작된전자메일메시지를열거나미리볼때원격코드가실행될수있습니다. 취약점악용에성공한공격자는로컬사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Internet Explorer 누적보안업데이트 (2870699) 이보안업데이트는 Internet Explorer에서발견되어비공개적으로보고된취약점 10건을해결합니다. 가장위험한취약점으로인해사용자가 Internet Explorer를사용하여특수하게조작된웹페이지를볼경우원격코드실행이허용될수있습니다. 가장위험한취약 페이지 25
점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대 한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해 영향을적게받습니다. OLE의취약점으로인한원격코드실행문제점 (2876217) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 이취약점으로인해사용자가특수하게조작된 OLE 개체를포함하는파일을열경우원격코드가실행될수있습니다. 취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Windows 테마파일의취약점으로인한원격코드실행문제점 (2864063) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 이취약점으로인해사용자가시스템에특수하게조작된테마를적용하면원격코드가실행될수있습니다. 공격에성공하려면사용자가파일을열거나테마를적용하도록유도해야하며, 이는어떠한경우에도강제로실행되지않습니다. Microsoft Office의취약점으로인한원격코드실행문제점 (2845537) 이보안업데이트는 Microsoft Office에서발견되어비공개적으로보고된취약점 13건을해결합니다. 가장위험한취약점으로인해영향을받는 Microsoft Office 소프트웨어버전에서특수하게조작된파일을열경우원격코드실행이허용될수있습니다. 가장위험한취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Microsoft Excel의취약점으로인한원격코드실행문제점 (2858300) 이보안업데이트는 Microsoft Office에서발견되어비공개적으로보고된취약점 3건을해결합니다. 가장위험한취약점으로인해사용자가영향을받는 Microsoft Excel 버전또는영향을받는기타 Microsoft Office 소프트웨어에서특수하게조작된 Office 파일을열경우원격코드실행이허용될수있습니다. 가장위험한취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Microsoft Access의취약점으로인한원격코드실행문제점 (2848637) 이보안업데이트는 Microsoft Office에서발견되어비공개적으로보고된취약점 3건을해결합니다. 이러한취약점으로인해사용자가영향을받는 Microsoft Access 버전으로특수하게조작된 Access 파일을열경우원격코드실행이허용될수있습니다. 이취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향 페이지 26
을적게받습니다. Microsoft Office IME( 중국어 ) 의취약점으로인한권한상승문제점 (2878687) 이보안업데이트는비공개적으로보고된 Microsoft Office IME( 중국어 ) 의취약점을해결합니다. 이취약점으로인해로그온한공격자가 Microsoft Pinyin IME( 중국어간체 ) 의도구모음에서 Internet Explorer를실행한경우권한이상승될수있습니다. 이취약점악용에성공한공격자는커널모드에서임의코드를실행할수있습니다. 이렇게되면공격자가프로그램을설치할수있을뿐아니라데이터를보거나변경하거나삭제할수있고전체관리자권한이있는새계정을만들수도있습니다. Microsoft Pinyin IME 2010 구현만이취약점의영향을받습니다. 다른버전의중국어간체 IME 및기타 IME 구현은영향을받지않습니다. 커널모드드라이버의취약점으로인한권한상승문제점 (2876315) 이보안업데이트는 Microsoft Windows에서발견되어비공개적으로보고된취약점 7건을해결합니다. 공격자가시스템에로그온하고특수하게조작된응용프로그램을실행할경우이취약점으로인해권한상승이허용될수있습니다. 이취약점을악용하려면공격자가유효한로그온자격증명을가지고로컬로로그온할수있어야합니다. Windows 서비스제어관리자의취약점으로인한권한상승문제점 (2872339) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 이취약점은인증된공격자가사용자를특수하게조작된응용프로그램을실행하도록유도하여권한이상승되게할수있습니다. 이취약점을악용하려면공격자가유효한로그온자격증명을갖고있고로컬로로그온할수있거나, 공격자가특수하게조작한응용프로그램을실행하도록사용자를유도해야합니다. FrontPage의취약점으로인한정보유출문제점 (2825621) 이보안업데이트는비공개적으로보고된 Microsoft FrontPage의취약점을해결합니다. 이취약점으로인해사용자가특수하게조작된 FrontPage 문서를열경우정보유출이발생할수있습니다. 이취약점은자동으로악용될수없기때문에공격이성공하려면공격자는사용자가특수하게조작된문서를열도록유도해야합니다. Active Directory의취약점으로인한서비스거부문제점 (2853587) 이보안업데이트는 Active Directory에서발견되어비공개적으로보고된취약점 1건을해결합니다. 이취약점으로인해공격자가특수하게조작된쿼리를 LDAP(Lightweight Directory Access Protocol) 서비스에보낼경우서비스거부가발생할수있습니다. < 해결방법 > Windows Update 를수행하거나 Microsoft 보안공지요약사이트에서해당취약점들의개 별적인패치파일을다운로드받을수있습니다. 페이지 27
한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms13-sep 영문 : http://technet.microsoft.com/en-us/security/bulletin/ms13-sep Microsoft 10월정기보안업데이트 Internet Explorer 누적보안업데이트, Windows 커널모드드라이버의취약점으로인한원격코드실행문제,.NET Framework의취약점으로인한원격코드실행문제, Windows 공용컨트롤라이브러리의취약점으로인한원격코드실행문제해결등을포함한 Microsoft 10월정기보안업데이트가발표되었습니다. < 해당제품 > Windows XP Windows Vista Windows 7 Windows 8 Windows RT Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Internet Explorer 누적보안업데이트 (2879017) 이보안업데이트는 Internet Explorer의공개된취약점 1건과비공개로보고된취약점 9 건을해결합니다. 가장위험한취약점으로인해사용자가 Internet Explorer를사용하여특수하게조작된웹페이지를볼경우원격코드실행이허용될수있습니다. 가장위험한취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Windows 커널모드드라이버의취약점으로인한원격코드실행문제점 (2870008) 이보안업데이트는 Microsoft Windows에서발견되어비공개적으로보고된취약점 7건을해결합니다. 이중가장심각한취약점으로인해사용자가 OpenType 또는 TrueType 글꼴파일이포함된공유콘텐츠를볼경우원격코드실행이허용될수있습니다. 이취약점을악용한공격자는영향을받는시스템에대해완벽히제어할수있습니다..NET Framework 의취약점으로인한원격코드실행문제점 (2878890) 이보안업데이트는 Microsoft.NET Framework 에대해비공개적으로보고된취약점 2 건과 공개된취약점 1 건을해결합니다. 가장위험한취약점으로인해사용자가 XBAP 응용프 페이지 28
로그램을인스턴스화할수있는브라우저를통해특수하게조작된 OpenType 글꼴 (OTF) 이 포함된웹사이트를방문하는경우원격코드실행이허용될수있습니다. Windows 공용컨트롤라이브러리의취약점으로인한원격코드실행문제점 (2864058) 이보안업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 이취약점으로인해공격자가영향을받는시스템에서실행되는 ASP.NET 웹응용프로그램으로특수하게조작된웹요청을보내는경우원격코드실행이허용될수있습니다. 공격자는인증없이이취약점을악용하여임의코드를실행할수있습니다. Microsoft SharePoint Server의취약점으로인한원격코드실행문제점 (2885089) 이보안업데이트는 Microsoft Office 서버소프트웨어에서발견되어비공개적으로보고된취약점 2건을해결합니다. 가장위험한취약점으로인해사용자가영향을받는버전의 Microsoft SharePoint Server, Microsoft Office Services 또는 Web Apps에서특수하게조작된 Office 파일을여는경우원격코드실행이허용될수있습니다. Microsoft Excel의취약점으로인한원격코드실행문제점 (2885080) 이보안업데이트는 Microsoft Office에서발견되어비공개적으로보고된취약점 2건을해결합니다. 취약점으로인해사용자가영향을받는 Microsoft Excel 버전또는영향을받는기타 Microsoft Office 소프트웨어에서특수하게조작된 Office 파일을열경우원격코드실행이허용될수있습니다. 이취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Microsoft Word의취약점으로인한원격코드실행문제점 (2885084) 이보안업데이트는 Microsoft Office에서발견되어비공개적으로보고된취약점 2건을해결합니다. 취약점으로인해영향을받는 Microsoft Word 또는영향을받는기타 Microsoft Office 소프트웨어에서특수하게조작된파일을열경우원격코드실행이허용될수있습니다. 이취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Silverlight의취약점으로인한정보유출문제점 (2890788) 이보안업데이트는비공개적으로보고된 Microsoft Silverlight의취약점을해결합니다. 공격자가취약점을악용할수있는특수하게조작된 Silverlight 응용프로그램을포함한웹사이트를호스팅하고사용자가웹사이트를보도록유도하는경우이취약점으로인해정보가유출될수있습니다. 공격자는사용자가제공한콘텐츠가광고를허용하거나호스팅하는웹사이트와공격에노출된웹사이트를이용할수도있습니다. 이러한웹사이트에는이취약점을악용할수있도록특수하게조작된콘텐츠가포함될수있습니다. 그러나어떠한경우에도공격자는강제로사용자가웹사이트를방문하도록만들수없습니다. 페이지 29
대신공격자는사용자가전자메일메시지또는인스턴트메신저메시지의링크를클릭하여공격자의웹사이트를방문하도록유도하는것이일반적입니다. 배너광고에서특수하게조작된웹콘텐츠를표시하거나웹콘텐츠를전달하는다른방법을사용하여영향을받는시스템에대한공격을시도할수도있습니다. < 해결방법 > Windows Update 를수행하거나 Microsoft 보안공지요약사이트에서해당취약점들의개 별적인패치파일을다운로드받을수있습니다. 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms13-oct 영문 : http://technet.microsoft.com/en-us/security/bulletin/ms13-oct 아래한글임의코드실행취약점보안업데이트권고한글과컴퓨터社에서개발한워드프로세서인한 / 글에서임의코드실행이가능한취약점이발견됨낮은버전의아래한글사용자는악성코드감염에취약할수있으므로해결방안에따라보안업데이트권고 공격자는웹게시물, 스팸메일, 메신저의링크등을통해특수하게조작된한글문서 (HWP) 를열어보도록유도하여임의코드를실행시킬수있음. 아래한글 ' 보안취약점을이용하여문서파일로위장한악성코드가발견됨. < 해결방법 > 한글과컴퓨터홈페이지에서보안업데이트파일을직접다운로드받아설치하여아래버전으로업데이트 - 다운로드경로 : http://www.hancom.co.kr/download.downpu.do?mcd=001 한컴오피스 2010 SE+ - 한컴오피스 2010 공통요소 8.5.8.1453 이상버전 - 한 / 글 2010 8.5.8.1370 및이상버전 - 한 / 쇼 2010 8.5.8.1432 및이상버전 - 한 / 셀 2010 8.5.8.1287 및이상버전 한글과컴퓨터자동업데이트를통해한글최신버전으로업데이트 - 시작 모든프로그램 한글과컴퓨터 한글과컴퓨터자동업데이트 < 참고사이트 > http://www.hancom.co.kr/download.downpu.do?mcd=001 페이지 30
Contact us 이스트소프트알약대응팀 Tel : 02-3470-2999 E-mail : help@alyac.co.kr : 알약홈페이지 : www.alyac.co.kr 페이지 31