34203 March 3 월간특집 도박게임 설치 프로그램을 악용한 악성코드 감염사례 분석 인터넷침해사고 동향및분석월보
본보고서내정부승인통계 ( 승인번호제 34203 호, 통계작성기관 : 한국정보보호진흥원 ) 는웜 바이러스피해신고, 해킹 ( 스팸릴레이, 피싱경유지, 단순침입시도, 기타해킹, 홈페이지변조 ) 에한하며, 침해사고동향분석에대한이해를돕기위하여기술된악성봇감염률, PC 생존시간, 허니넷통계등은해당되지않습니다. 본보고서내용의전부나일부를인용하는경우에는반드시출처 [ 자료 : 한국정보보호진흥원인터넷침해사고대응지원센터 ] 를명시하여주시기바랍니다.
Contents Part 1 Part 2 Part 3 월간동향요약침해사고통계분석 1-1. 증감추이 ( 전년, 전월대비 ) 1-2. 침해사고통계요약 1-3. 침해사고통계현황 웜 바이러스신고추이 주요웜 바이러스별현황 1-4. 해킹 해킹사고접수 처리추이 피해기관별분류 피해운영체제별분류 피싱경유지신고처리현황 홈페이지변조사고처리현황 악성봇 (Bot) 현황허니넷 / 트래픽분석 2-1. PC 생존시간분석 2-2. 허니넷트래픽분석 전체추이 Top 3 국가별공격유형 해외 국내 국내 국내 2-3. 국내인터넷망트래픽분석 2-4. 바이러스월탐지웜 바이러스정보월간특집도박게임설치프로그램을악용한악성코드감염사례분석 < 별첨 > 악성코드유포지 / 경유지조기탐지및차단조치 < 부록 > 주요포트별서비스및관련악성코드 < 용어정리 > 1 2 2 3 4 5 6 6 7 9 10 12 14 15 16 17 18 19 20 31 33 34 -Ⅰ-
표차례 [ 표 1] 월간침해사고전체통계...2 [ 표 2] 월별국내웜 바이러스신고...3 [ 표 3] 주요웜 바이러스신고현황...4 [ 표 4] 해킹사고처리현황...5 [ 표 5] 해킹사고피해기관별분류...6 [ 표 6] 해킹사고피해운영체제별분류...6 [ 표 7] 피싱경유지신고...7 [ 표 8] 홈페이지변조사고처리현황...9 [ 표 9] 국내악성봇 (Bot) 감염률...10 [ 표 10] 악성 Bot의전파에이용되는주요포트목록...11 [ 표 11] Windows XP Pro SP1, Windows 2000 Pro SP4 생존가능시간...12 [ 표 12] 허니넷에유입된스캔트래픽국가별비율...15 [ 표 13] 해외 국내 ( 허니넷 ) 스캔탐지현황...16 [ 표 14] 국내 국내 ( 허니넷 ) 스캔탐지현황...17 [ 표 15] 수집된주요웜 바이러스현황...19 그림차례 ( 그림 1) 월별침해사고전체통계그래프...2 ( 그림 2) 월별국내웜 바이러스신고...3 ( 그림 3) 해킹사고접수 처리유형별분류...5 ( 그림 4) 해킹사고피해기관별분류...6 ( 그림 5) 월별피싱경유지신고...7 ( 그림 6) 월별홈페이지변조사고처리현황...9 ( 그림 7) 월별국내악성봇 (Bot) 감염률추이...10 ( 그림 8) 전세계악성봇 (Bot) 감염 IP 수와국내감염 IP 수의비교...10 ( 그림 9) 악성봇관련포트비율 ( 해외 )...11 ( 그림 10) 악성봇관련포트비율 ( 국내 )...11 ( 그림 11) 월별평균생존가능시간변동추이...12 ( 그림 12) Windows XP SP1 생존시간분포분석...13 ( 그림 13) Windows 2000 SP4 생존시간분포분석...13 ( 그림 14) 월별허니넷유입트래픽규모...14 ( 그림 15) 허니넷유입트래픽 Top3 국가별공격유형...15 ( 그림 16) 해외 국내 ( 허니넷 ) 스캔탐지현황...16 ( 그림 17) 국내 국내 ( 허니넷 ) 스캔탐지현황...17 ( 그림 18) 국내인터넷망에유입된포트트래픽 Top10 일별추이...18 ( 그림 19) 국내인터넷망에유입된공격유형...18 -Ⅱ-
핫이슈 월간동향요약 보안패치가발표되지않은신규취약점 (MS Jet 데이터베이스엔진 ) 이출현하여악의적으로작성된 MS Word 파일을열람할경우, 이용자 PC내악성코드가설치되는등피해가발생할수있으므로인터넷이용자의각별한주의가요구됨, 해당취약점으로인한피해를예방하기위해서는출처가불분명한이메일에첨부된 MS Word 파일및웹사이트 / 메신저등을통해획득한 MS Word 파일의열람에특히주의하여야함 영향받는 S/W 목록 : 하단도표참조, 참고로 Windows Server 2003 SP2, Vista, Vista SP1은영향받지않음 MS Jet 데이터베이스엔진 : MS Windows 2000, XP 등설치시수반되는데이터베이스구성요소로 MS Office와같은응용프로그램에서데이터베이스의생성, 검색, 변경, 삭제의동작을담당 주요취약점, 웜 바이러스 제목 영향받는제품 / 사용자 영향력 / 예방및대책 참고사이트 MS Jet 데이터베이스엔진신규취약점으로인한피해주의 o MS Windows 2000, MS Windows XP, MS Windows Server 2003 SP1 에서구동되는 - MS Word 2000 SP3 - MS Word 2002 SP3 - MS Word 2003 SP2 - MS Word 2003 SP3 - MS Word 2007 - MS Word 2007 SP1 - 악의적으로작성된 MS Word파일을열람할경우시스템에악성코드가설치되는등피해를입을수있음 - 출처가불분명한파일열람자제, 백신프로그램의최신업데이트유지및실시간감시기능활성화 - 해당취약점에대한보안패치발표시최신 MS 보안업데이트적용 ( 자동보안업데이트권장 ) http://www.krcert.or.kr/ 보안정보 보안공지 MS Jet 데이터베이스엔진신규취약점으로인한피해주의 [MS 보안업데이트 ] 년 3 월 MS 월간보안업데이트권고 o MS Office 제품, Visual Studio 등 ( 참고사이트참조 ) - 최신MS 보안업데이트설치 [MS08-014] MS Excel 취약점으로인한원격코드실행문제 [MS08-015] MS Outlook 취약점으로인한원격코드실행문제등 http://www.krcert.or.kr/ 보안정보 보안공지 [MS 보안업데이트 ] 년 3 월 MS 월간보안업데이트권고 보안공지사항에대한보다자세한내용은 KISA 인터넷침해사고대응지원센터홈페이지보안공지사항 (http://www.krcert.or.kr/ 보안정보 보안공지 ) 에서확인할수있습니다. 통계분석 웜 바이러스피해신고는전월에비하여 47.9% 증가 해킹신고처리는전월대비 10.3% 감소 ( 스팸릴레이, 피싱경유지, 홈페이지변조는각각 11.2%, 6.0%, 53.0% 감소하였으며, 단순침입시도, 기타해킹은각각 21.1%, 4.0% 증가 ) 전세계악성 Bot감염추정PC 대비국내감염률은 9.6% 로전월 (13%) 대비 3.4%P 감소 PC 생존시간 Windows XP SP1 : 평균 52분 25초 ( 전월대비 5분 8초감소 ) Windows 2000 SP4 : 평균 48분 7초 ( 전월대비 4분 1초감소 ) 1 년 3 월호
1. 침해사고통계분석 1-1. 증감추이 ( 전월대비 ) 구분웜 바이러스해킹신고처리 스팸릴레이 피싱경유지 통계요약 총 966 건 : 전월 ( 653건 ) 대비 47.9% 증가 총1,360 건 : 전월 ( 1,516건 ) 대비 10.3% 감소 530 건 : 전월 ( 110 건 : 전월 ( 597 건 ) 대비 11.2% 감소 117 건 ) 대비 6.0% 감소 단순침입시도 350 건 : 전월 ( 289 건 ) 대비 21.1% 증가 기타해킹 235 건 : 전월 ( 226 건 ) 대비 4.0% 증가 홈페이지변조 악성봇 (Bot) 135 건 : 전월 ( 287 건 ) 대비 53.0% 감소전세계악성Bot감염추정PC 대비국내감염률은 9.6% 로전월 ( 13%) 대비 3.4%p 감소 1-2. 침해사고통계요약 [ 표 1] 월간침해사고전체통계 구분 2007 1 2 3 4 5 6 7 8 9 10 11 12 웜 바이러스 5,996 793 653 966 2,412 해킹신고처리 21,732 1,352 1,516 1,360 4,228 스팸릴레이 11,668 592 597 530 1,719 피싱경유지 1,095 88 117 110 315 단순침입시도 4,316 386 289 350 1,025 기타해킹 2,360 239 226 235 700 홈페이지변조 2,293 47 287 135 469 악성봇 (Bot) 11.3% 10.7% 13.0% 9.6% 11.1% [ 웜 바이러스신고접수 ] [ 스팸릴레이신고처리 ] [ 피싱경유지신고처리 ] 653 966 117 110 597 530 [ 단순침입시도 + 기타해킹신고처리 ] [ 홈페이지변조사고처리 ] [ 악성봇 (Bot) 감염비율 ] 13.0 515 585 287 135 9.6 ( 그림 1) 월별침해사고전체통계그래프 인터넷침해사고동향및분석월보 2
1-3. 침해사고통계현황 웜 바이러스신고추이 [ 표 2] 월별국내웜 바이러스신고 구분 2007 1 2 3 4 5 6 7 8 9 10 11 12 신고 5,996 793 653 966 2,412 웜 바이러스신고는 KISA, ㄜ안철수연구소, ㄜ하우리가공동으로집계한결과임 966 653 ( 그림 2) 월별국내웜 바이러스신고 08 년 3 월국내백신업체와 KISA 에신고된웜 바이러스신고는 966 건으로전월 (653 건 ) 에비하여 47.9% 증가하였다. 이번달에는특히, 특정온라인게임의계정을탈취하는트로이잔으로인한신고가전월에비해많았던것으로파악되었다. Part 1 침해사고통계분석 3 년 3 월호
주요웜 바이러스별현황 [ 표 3] 주요웜 바이러스신고현황 순위 1 2 3 4 5 6 명칭 명칭 명칭 명칭 명칭 명칭 1 2 AGENT ONLINE GAMEHACK 220 96 AGENT ONLINE GAMEHACK 171 77 ONLINE GAMEHACK AGENT 301 113 3 HIDD 86 AUTORUN 39 XEMA 69 4 DOWNLOADER 42 DOWNLOADER 38 AUTORUN 36 5 XPACK 41 HIDD 25 DOWNLOADER 34 6 LMIRHACK 29 QQPASS 14 ROOTKIT 27 7 QQPASS 22 IRCBOT 13 MALPACKED 27 8 AUTORUN 22 MALPACKED 12 IRCBOT 20 9 IRCBOT 16 EASY 11 ZLOB 17 10 KOREA GAMEHACK 16 XEMA 11 DISKGEN 17 기타 203 기타 242 기타 305 합계 793 653 966 순위 7 8 9 10 11 12 명칭 명칭 명칭 명칭 명칭 명칭 1 2 3 4 5 6 7 8 9 10 합계 신고된웜 바이러스를명칭별로분류한결과특정온라인게임의계정을탈취하는 ONLINEGAMEHACK 에의한피해신고가가장많았으며, 특정웹사이트를통하여 1 차적으로감염된후 2 차적으로추가악성코드를다운로드하는데이용되는 AGENT 의경우지난 1 월및 2 월에비해는감소하였으나, 여전히많은피해신고를기록하고있다. 인터넷침해사고동향및분석월보 4
1-4. 해킹 해킹사고접수 처리추이 [ 표 4] 해킹사고처리현황 구분 2007 1 2 3 4 5 6 7 8 9 10 11 12 스팸릴레이 11,668 592 597 530 1,719 피싱경유지 1,095 88 117 110 315 단순침입시도 4,316 386 289 350 1,025 기타해킹 2,360 239 226 235 700 홈페이지변조 2,293 47 287 135 469 합계 21,732 1,352 1,516 1,360 4,228 피싱 (Phishing) 경유지신고는 KISA 가국외의침해사고대응기관이나위장사이트의대상이된기관또는업체, 일반사용자로부터신고받아처리한로써실제피싱으로인한피해사고가아니라보안이취약한국내시스템이피싱사이트경유지로악용되어신고된 단순침입시도 : KISA 에서접수 처리한해킹신고중웜 바이러스등으로유발된스캔 ( 침입시도 ) 을피해자 ( 관련기관 ) 가신고한 기타해킹 : KISA 에서접수 처리한해킹사고중스팸릴레이, 피싱경유지, 단순침입시도를제외한나머지 9.9% 17.3% 25.7% 8.1% 39.0% 스팸릴레이 피싱경유지 단순침입시도 기타해킹 홈페이지변조 ( 그림 3) 해킹사고접수 처리유형별분류 08 년 3 월 KISA 에서처리한해킹사고는 1,360 건으로전월 (1,516 건 ) 에비하여 10.3% 감소하였다. - 해킹사고항목별로전월대비증감을파악한결과, 스팸릴레이, 피싱경유지, 홈페이지변조는각각 11.2%, 6.0%, 53.0% 감소하였으며, 단순침입시도, 기타해킹은각각 21.1%, 4.0% 증가한것으로나타났다. Part 1 침해사고통계분석 5 년 3 월호
피해기관별분류 [ 표 5] 해킹사고피해기관별분류 기관 2007 1 2 3 4 5 6 7 8 9 10 11 12 기업 3,039 305 291 274 870 대학 1,121 55 42 78 175 비영리 273 18 15 20 53 연구소 5 0 0 0 0 네트워크 133 0 0 0 0 기타 ( 개인 ) 17,161 974 1,168 988 3,130 합계 21,732 1,352 1,516 1,360 4,228 기관분류기준 : 침해사고관련도메인이나 IP 를기준으로기업 (co,com), 대학 (ac), 비영리 (or,org), 연구소 (re), 네트워크 (ne,net), 기타 (pe 또는 ISP 에서제공하는유동 IP 사용자 ) 으로분류 해킹사고를피해기관별분류한결과, 기타 ( 개인 ), 기업, 대학, 비영리의순으로나타났다. 기관별로분류한결과기타 ( 개인 ) 이차지하는비율이 72.6% 로가장높았으며뒤를이어기업이차지하는비율이 20.1% 로나타났다. 침해사고관련 IP 가 ISP 의유동 IP( 주로개인용컴퓨터 ) 인경우는기타 ( 개인 ) 으로분류함 기업 20.1% 비영리 1.5% 대학 5.7% 개인 72.6% ( 그림 4) 해킹사고피해기관별분류 피해운영체제별분류 [ 표 6] 해킹사고피해운영체제별분류 운영체제 2007 Windows Linux Unix 기타 19,128 2,063 27 514 1 2 3 4 5 6 7 8 9 10 11 12 1,039 1,070 135 274 14 5 164 167 996 170 3 191 3,105 579 22 522 합계 21,732 1,352 1,516 1,360 4,228 운영체제별분류자료는각운영체제의안전성과는상관관계가없으며, 단지신고에따른분석자료임 해킹사고처리결과를운영체제별로분류한결과, 전월과마찬가지로 Windows, Linux 운영체제순이었다. Windows 운영체제가차지하는비율은 73.2% 로전월 (70.6%) 에비하여다소증가하였다. 인터넷침해사고동향및분석월보 6
피싱경유지신고처리현황 [ 표 7] 피싱경유지신고 구분 피싱경유지신고 2007 1 2 3 4 5 6 7 8 9 10 11 12 1,095 88 117 110 315 피싱 (Phishing) 경유지신고는 KISA 가국외의침해사고대응기관이나위장사이트의대상이된기관또는업체, 일반사용자로부터신고받아처리한로서실제피싱으로인한피해사고가아니라보안이취약한국내시스템이피싱사이트경유지로악용되어신고된임 117 110 ( 그림 5) 월별피싱경유지신고 이번달피싱경유지신고는총 110 건으로, 전월 (117 건 ) 대비 7 건이감소하였다. 피싱대상기관유형별로는금융기관이 87 건 (79.1%) 로가장많았으며, 전자상거래 19 건 (17.3%), 검색사이트와미확인건을포함한기타유형이 4 건 (3.6%) 으로나타났다. 기관별로는전자지불업체인 PayPal 이 28 건으로가장많았고, 전자상거래업체 ebay 가 17 건, Bank of America 가 8 건등의순으로집계되었다. 기타 3.6% 기관유형 금융기관 87 전자상거래 17.3% 전자상거래 19 기타 합계 4 110 금융기관 79.1% Part 1 침해사고통계분석 7 년 3 월호
피싱대상기관및신고를국가별로분류한결과, 총 8 개국 32 개기관으로집계되었고이달에도대부분미국기관과관련된것으로나타났다. 국가 기관분류 기관수 신고 국가 기관분류 기관수 신고 미국영국이탈리아체코 금융기관전자상거래기타금융기관 11 2 1 4 4 1 57 19 3 7 7 7 79 인도캐나다홍콩스페인 N/A 합계 - 3 3 1 1 1 32 3 3 2 1 1 110 국내피싱경유지사이트의기관유형별로는기업 45 건 (40.9%), 비영리 15 건 (13.6%), 교육 8 건 (7.3%), 개인 / 기타 5 건 (4.5%) 순으로집계되었다. 홈페이지가없거나 Whois 정보에 ISP 관리대역만조회되는경우에해당되는 ISP 서비스이용자 유형은 37 건 (33.6%) 으로나타났다. 기관유형 기업교육비영리개인 / 기타 ISP서비스이용자합계 45 8 15 5 37 110 ISP 서비스이용자 33.6% 개인 / 기타 4.5% 비영리 13.6% 교육 7.3% 기업 40.9% 피싱경유지시스템에서이용된포트는이달에도표준 HTTP 포트인 TCP/80 포트가 97 건 (88.2%) 으로대부분을차지했고, TCP/80 외의 5 개의기타포트가이용된것으로나타났다. 프로토콜 / 포트 TCP/80 97 기타포트 11.8% TCP/82 5 TCP/90 3 TCP/8080 TCP/84 2 2 TCP/80 88.2% TCP/91 1 합계 110 인터넷침해사고동향및분석월보 8
홈페이지변조사고처리현황 [ 표 8] 홈페이지변조사고처리현황 구분 피해홈페이지수피해시스템수 2007 2,293 828 1 2 3 4 5 6 7 8 9 10 11 12 47 287 135 27 102 68 469 197 피해시스템수는피해 IP 수를기준으로산정한것으로단일시스템에수십 ~ 수백개의홈페이지를운영하는경우도있으므로피해홈페이지수는피해시스템수보다많음 287 135 102 68 ( 그림 6) 월별홈페이지변조사고처리현황 이번달에는 68 개시스템 (IP) 의 135 개사이트 ( 도메인 ) 에대한홈페이지변조가발생하여피해홈페이지수는전월 (287 개 ) 에비하여 53.0% 감소한것으로나타났다. 이번달에는특히특정웹호스팅업체에서자체개발한웹응용프로그램의 SQL-Injection 및 File Upload 취약점으로인한다수홈페이지변조등웹호스팅업체서버 2 대의홈페이지변조피해가 51 건으로전체의 37.8% 를차지하는것으로나타났다. 보안이취약한홈페이지는운영하는홈페이지의해킹피해를입을뿐만아니라악성코드은닉, 개인정보유출등추가침해사고를유발할수있으므로홈페이지관리자는아래사이트정보를참고하여운영하는서버의보안에최선을다해야하겠다. 참고사이트 웹어플리케이션취약점에대한해킹기법및보안대책 : http://www.krcert.or.kr 초기화면 왼쪽 웹보안 4 종가이드 기본적인웹해킹을차단할수있는공개웹방화벽 (ModSecurity, WebKnight) : http://www.krcert.or.kr 초기화면 왼쪽 공개웹방화벽을이용한홈페이지보안 Part 1 침해사고통계분석 9 년 3 월호
악성봇 (Bot) 현황 [ 표 9] 국내악성봇 (Bot) 감염률 구분 2007 1 2 3 4 5 6 7 8 9 10 11 12 국내비율 (%) 11.3 10.7 13.0 9.6 11.1 전세계 Bot 감염추정 PC 중국내 Bot 감염 PC 가차지하는비율임 봇 (Bot): 운영체제취약점, 비밀번호취약성, 웜 바이러스의백도어등을이용하여전파되며, 명령전달사이트와의백도어연결등을통하여스팸메일전송이나 DDoS 공격에악용가능한프로그램또는실행가능한코드 13.0 9.6 ( 그림 7) 월별국내악성봇 (Bot) 감염률추이 ( 그림 8) 전세계악성봇 (Bot) 감염 IP 수와국내감염 IP 수의비교 인터넷침해사고동향및분석월보 10
전세계악성 Bot 감염추정 PC 중에서국내감염 PC 비율은 9.6% 로지난달에비해 3.4%P 감소하였다. 국내주요 ISP 및케이블 TV 사업자 ( 인터넷서비스제공 ) 의적극적인협조를통하여운영중인 DNS 싱크홀이감염율감소에기여를한것으로보인다. 그러나아직도취약점이있는윈도우즈를사용하는경우가있어, 최신보안업데이트를하지않은윈도우즈 PC 사용자는매달주기적으로보안업데이트를실시하여악성봇에감염되는것을예방해야한다. DNS 싱크홀 : 국내 ISP 와의협력을통해악성 Bot 감염 PC 의명령 / 제어서버로의접속을 DNS 싱크홀서버로우회시켜해커의공격명령차단 - 악성 Bot 의전파에사용되는주요포트는 NetBIOS 관련포트인 TCP/445, 웹관련 TCP/80 포트, NetBIOS 및 DCOM 관련 TCP/139, MS-SQL 관련포트인 TCP/1433, 그리고 Symantec 보안제품의취약점관련포트인 TCP/2967 포트순이다. 전월악성 Bot Top5 포트 : TCP/445, TCP/80, TCP/139, TCP/135, TCP/1433 TCP/445 TCP/139 TCP/2967 TCP/80 TCP/1433 기타 TCP/80 TCP/135 TCP/445 TCP/139 TCP/1433 기타 3.7% 4.4% 4.4%1.8% 8.9% 8.2% 9.6% 39.7% 21.1% 40.9% 33.6% 23.5% ( 그림 9) 악성봇관련포트비율 ( 해외 ) ( 그림 10) 악성봇관련포트비율 ( 국내 ) [ 표 10] 악성 Bot 의전파에이용되는주요포트목록 포트 관련취약점및웜 / 악성 Bot 포트 관련취약점및웜 / 악성 Bot 23 Cisco Telnet 2967 Symantec Exploit 80 WebDAV, ASN.1-HTTP, Cisco HTTP 2745 Bagle, Bagle2 135 DCOM, DCOM2 3127 MyDoom 139 NetBIOS, ASN.1-NT 3140 Optix 143 IMail 5000 UPNP 445 903 1025 1433 NetBIOS, LSASS, WksSvc, ASN.1-SMB, DCOM NetDevil DCOM MS-SQL 6101 6129 17300 27347 Veritas Backup Exec Dameware Kuang2 Sub7 Part 1 침해사고통계분석 11 년 3 월호
2. 허니넷 / 트래픽분석 2-1. PC 생존시간분석 윈도우의네트워크서비스취약점을악용하는자동확산웜의전파활동추이분석을위하여보안이취약한 PC(Windows XP SP1, Windows 2000 SP4) 를고의로인터넷에연결시켜감염에소요되는생존시간을측정하였다. 3 월의취약한 Windows XP(SP1-No-Patch) 의평균생존가능시간은 52 분 25 초, Windows 2000 (SP4-No-Patch) 는 48 분 7 초로써전월에비하여 Windows XP SP1 은 5 분 8 초, Windows 2000 SP4 는 4 분 1 초감소하였다. 생존시간의감소는윈도우네트워크서비스취약점을악용하여전파되는자동확산웜의감염활동이증가함을의미한다. Windows XP SP2 와 Vista 의개인방화벽사용자가증가함에따른예방효과로인하여지난해말까지네트워크서비스취약점을악용하는웜의전파활동이지속적으로둔화하는경향을보였다. 그러나최근 2 달간은생존시간이다소감소하는경향을보여, 향후추이변동에대한관심이필요할것으로보인다. 사용자는 OS 를최신으로보안업데이트하고, 개인방화벽사용및추측하기어려운윈도우암호를설정, 백신을설치하여감염을사전예방하도록해야겠다. 윈도우네트워크서비스 : 윈도우 OS 에서네트워크를통하여외부호스트를대상으로제공되는서비스 (ex.rpc, LSASS 등 ) 생존시간의측정은암호설정및보안업데이트를하지않고, 모든포트가열려있는전용선인터넷환경에서 Windows XP SP1 과 Windows 2000 SP4 2 개군으로분류하여 1000 여회를실시 WinXP SP2, Vista 는개인방화벽이기본으로설치되므로 윈도우의네트워크서비스취약점 을악용하는자동전파웜들에대한감염피해를예방할수있음 생존가능시간 : 취약한시스템이인터넷에연결된상태에서웜이나악성코드에감염될때까지의시간 ( 그림 11) 월별평균생존가능시간변동추이 인터넷침해사고동향및분석월보 12
Windows XP SP1 구분 Windows 2000 SP4 최장최단평균최장최단평균 [ 표 11] Windows XP Pro SP1, Windows 2000 Pro SP4 생존가능시간 1 2 3 4 5 6 7 8 9 10 11 12 934 28 587 17 523 35 4 60 39 4 5 57 33 52 25 794 22 514 18 496 17 10 54 03 14 52 8 16 48 07 600 min min 600 500 500 400 400 300 300 200 200 100 100 0 0301 0306 0311 0316 0321 0326 년 0 년 0301 0306 0311 0316 0321 0326 ( 그림 12) Windows XP SP1 생존시간분포분석 ( 그림 13) Windows 2000 SP4 생존시간분포분석 Part 2 허니넷 / 트래픽분석 13 년 3 월호
2-2. 허니넷트래픽분석 전체추이 이번달 KISC 1) 허니넷에유입된전체유해트래픽은약 2,121 만건으로전월 (1,642 만건 ) 에비하여 29.2% 증가하였다. IP 소재별로분류한결과국내소재 IP 로부터유발된트래픽은전체의 41.7% 였으며, 해외소재 IP 로부터의트래픽은 58.3% 를차지한것으로나타났다. 허니넷에유입되는트래픽은웜 바이러스, 악성봇등에의한감염시도트래픽 ( 취약점스캔 ) 이가장많으며이러한악성코드의네트워크스캔은유효한네크워크에대한접근효율을높이기위하여, 1 차적으로감염된시스템의 IP 주소의 A, B 클래스를고정하고 C 또는 D 클래스주소를변경하면서스캔하기때문에일반적으로자국에서유발된유해트래픽이해외에서유입된트래픽보다많을수있음 1) KISC - Korea Internet Security Center, KISA ( 인터넷침해사고대응지원센터 ) ( 그림 14) 월별허니넷유입트래픽규모 참고 : 허니넷으로유입되는트래픽은초당수백건이상이될수있으므로구체적인는큰의미가없으며, 국내외비율및월별증감을참고하기바람 인터넷침해사고동향및분석월보 14
Top 3 국가별공격유형 해외로부터 KISC 허니넷에유입된트래픽을근원지 IP 소재국가별로분석한결과중국으로부터유입된트래픽이 53.6% 로가장많았으며다음으로미국, 일본순이었다. 중국으로부터의트래픽가운데가장많은비중을차지하였던트래픽은 TCP/1433, TCP/22 포트에대한 Service Scan 이였다. CHINA 12% 4% 9% 17% 58% TCP/1433-tcp service scan TCP/22-tcp service scan TCP/2967-tcp service scan TCP/4899-tcp service scan 기타 JAPAN 7% 9% 21% USA 27% 36% 45% 17% 21% 17% TCP/22-tcp service scan TCP/445-netbios smb client to lsasrv request TCP/10000-tcp service scan 기타 TCP/445-netbios smb client to lsasrv request ICMP-icmp ping Nmap scan TCP/22-tcp service scan TCP/445-worm esbot.a 기타 ( 그림 15) 허니넷유입트래픽 Top3 국가별공격유형 [ 표 12] 허니넷에유입된스캔트래픽국가별비율 순위 1 2 3 4 5 6 7 8 9 10 1 2 3 4 5 6 국가명 비율 (%) 국가명 비율 (%) 국가명 비율 (%) 국가명 비율 (%) 국가명 비율 (%) 국가명 비율 (%) 중국 33.6 중국 39.2 중국 53.6 미국 19.4 미국 19.6 미국 14.3 유럽연합 4.9 일본 5.0 일본 5.2 일본 4.8 대만 3.6 브라질 4.9 대만 4.2 독일 3.0 대만 2.7 브라질 3.6 브라질 2.5 독일 2.1 독일 2.5 스페인 2.0 유럽연합 1.5 영국 2.3 러시아 1.9 인도 1.5 인도 1.9 유럽연합 1.9 캐나다 1.4 싱가포르 1.7 인도 1.8 영국 1.3 기타 21.2 기타 19.5 기타 11.5 Part 2 허니넷 / 트래픽분석 15 년 3 월호
해외 국내 해외로부터 KISC 허니넷에유입된트래픽을국가구분없이포트 / 공격 ( 스캔 ) 유형별로분석한결과 TCP/1433 포트에대한 Service Scan 이가장많았으며, TCP/22 (Service Scan) 및 TCP/445 (netbios smb client to lsasrv request) 가그뒤를이었다. [ 표 13] 해외 국내 ( 허니넷 ) 스캔탐지현황 순위 1 2 3 4 5 6 7 8 9 10 1월 2월 3월 프로토콜 / 프로토콜 / 프로토콜 / 포트번호공격유형비율 (%) 포트번호공격유형비율 (%) 포트번호 공격유형 비율 (%) ICMP icmp ping Nmap scan 23.5 TCP/22 tcp service scan 22.4 TCP/1433 tcp service scan 33.0 TCP/22 TCP/445 TCP/1433 tcp service scan netbios smb client to lsasrv request tcp service scan 18.9 14.8 12.7 TCP/445 TCP/1433 ICMP netbios smb client to lsasrv request tcp service scan icmp ping Nmap scan 16.6 15.4 9.3 TCP/22 TCP/445 ICMP tcp service scan netbios smb client to lsasrv request icmp ping Nmap scan 16.7 12.0 8.5 UDP/53 udp service scan 5.6 UDP/53 udp service scan 4.9 TCP/2967 tcp service scan 5.0 TCP/445 worm esbot.a 4.3 TCP/445 worm esbot.a 4.6 UDP/53 udp service scan 4.1 TCP/10000 tcp service scan 2.9 TCP/10000 tcp service scan 3.4 TCP/445 worm esbot.a 3.4 TCP/2967 TCP/4899 tcp service scan tcp service scan 2.7 2.2 TCP/2967 TCP/4899 tcp service scan tcp service scan 3.1 TCP/10000 2.8 TCP/4899 tcp service scan tcp service scan 2.4 2.3 UDP/1026 udp service scan 1.3 ICMP icmp ping Advanced IP Scanner v1.4 2.4 UDP/1026 udp service scan 1.2 기타 11.0 기타 15.0 기타 11.5 TCP/1433-tcp service scan TCP/22-tcp service scan TCP/445-netbios smb client to lsasrv request ICMP-icmp ping Nmap scan 기타 29.8% 33.0% 8.5% 12.0% 16.7% ( 그림 16) 해외 국내 ( 허니넷 ) 스캔탐지현황 인터넷침해사고동향및분석월보 16
국내 국내 국내에서 KISC 허니넷에유입된트래픽을포트 / 공격 ( 스캔 ) 유형별로분석한결과, TCP/135 포트에대한서비스및취약점스캔이가장많았던것으로나타났다. [ 표 14] 국내 국내 ( 허니넷 ) 스캔탐지현황 순위 1 2 3 4 5 6 7 8 9 10 1월 2월 3월 프로토콜 / 프로토콜 / 프로토콜 / 포트번호공격유형비율 (%) 포트번호공격유형비율 (%) 포트번호 공격유형 비율 (%) TCP/135 netbios dcerpc invalid bind 33.7 TCP/135 netbios dcerpc invalid bind 28.6 TCP/135 netbios dcerpc invalid bind 28.4 TCP/135 netbios smb client tcp service scan rpc dcom interface 19.0 TCP/445 to lsasrv request 14.2 TCP/135 overflow exploit 14.8 TCP/135 rpc dcom interface overflow exploit 14.0 TCP/135 rpc dcom interface overflow exploit 13.4 TCP/4899 tcp service scan 11.0 netbios smb client netbios Isass buffer TCP/445 to lsasrv request 7.8 TCP/445 overflow 2 13.2 TCP/135 tcp service scan 10.1 netbios Isass buffer netbios smb client TCP/445 overflow 2 7.7 TCP/135 tcp service scan 9.8 TCP/445 to lsasrv request 8.2 TCP/4899 tcp service scan 4.7 TCP/4899 tcp service scan 5.6 TCP/445 netbios Isass buffer overflow 2 7.5 TCP/1433 tcp service scan 2.8 TCP/22 tcp service scan 4.1 TCP/1433 tcp service scan 5.3 TCP/22 ICMP TCP/139 기타 tcp service scan icmp ping Nmap scan tcp service scan 2.8 1.3 1.1 5.1 TCP/1433 TCP/139 UDP/53 기타 tcp service scan tcp service scan Win32/Virut 2.2 2.1 1.1 5.7 TCP/22 ICMP TCP/139 기타 tcp service scan icmp ping Nmap scan tcp service scan 4.6 3.0 1.2 5.8 TCP/135-netbios dcerpc invalid bind TCP/4899-rpc dcom interface overflow exploit 기타 TCP/135-rpc dcom interface overflow exploit TCP/135-tcp service scan 35.7% 28.4% 10.1% 11.0% 14.8% ( 그림 17) 국내 국내 ( 허니넷 ) 스캔탐지현황 Part 2 허니넷 / 트래픽분석 17 년 3 월호
2-3. 국내인터넷망트래픽분석 국내 ISP 의일부구간 ( 국내인터넷망 ) 에서수집된트래픽의 Top10 포트의추이를파악한결과, 이미잘알려진 TCP/80(HTTP) 외에 TCP/6001(MS Exchange Server), UDP/53(DNS 서비스 ) 포트에대한트래픽이많이관찰되었다. PPS 8,000,000 7,000,000 6,000,000 5,000,000 4,000,000 3,000,000 2,000,000 1,000,000 0 ISP 업계 : 프로토콜 / 포트추이 TCP/80 TCP/6001 UDP/80 UDP/53 TCP/25 TCP/554 TCP/19101 TCP/443 TCP/2522 TCP/1606 03/01 03/02 03/03 03/04 03/05 03/06 03/07 03/08 03/09 03/10 03/11 03/12 03/13 03/14 03/15 03/16 03/17 03/18 03/19 03/20 03/21 03/22 03/23 03/24 03/25 03/26 03/27 03/28 03/29 03/30 03/31 ( 그림 18) 국내인터넷망에유입된포트트래픽 Top10 일별추이 시간 이번달국내 ISP 의일부구간에서수집된공격유형을분석한결과, TCP ACK Flooding 과 UDP Flooding 과같은 DDoS 공격트래픽이많이탐지되었다. 시도 3,000,000 TCP ACK Flooding Host Sweep UDP Flooding SYN Port Scan TCP SYN Flooding(DDoS) GRE KEY Flooding UDP Port Scan SQL-Server Login Brute Force worm slammer NETBIOS Service sweep(tcp-139) ISP업계 : 공격추이 2,500,000 2,000,000 1,500,000 1,000,000 500,000 0 03/01 03/02 03/03 03/04 03/05 03/06 03/07 03/08 03/09 03/10 03/11 03/12 03/13 03/14 03/15 03/16 03/17 03/18 03/19 03/20 03/21 03/22 03/23 03/24 03/25 03/26 03/27 03/28 03/29 03/30 03/31 ( 그림 19) 국내인터넷망에유입된공격유형 시간 인터넷침해사고동향및분석월보 18
2-4. 바이러스월탐지웜 바이러스정보 KISA 및 2 개기관 / 업체의바이러스월을통하여수집된웜 바이러스를파악한결과자체전파기능없이웹사이트, 메신져등을통해감염되며감염시해당시스템내정보를유출하는 XEMA 가가장많았으며, USB 이동식저장장치, 웹사이트등을통하여감염되는 AUTORUN 이그다음으로많았다. [ 표 15] 수집된주요웜 바이러스현황 순위 1 2 3 4 5 6 명칭 명칭 명칭 명칭 명칭 명칭 1 DOWNLOADER 2,294 AUTORUN 1,345 XEMA 2,425 2 VIRUT 2,162 VIRUT 1,288 AUTORUN 1,424 3 VIKING 1,441 DOWNLOADER 985 VIRUT 1,223 4 CASHBACK 1,232 HLLM 747 HLLW 1,079 5 AUTORUN 1,156 HLLW 703 WEBSEARCH 949 6 HLLW 1,046 CASHBACK 650 DOWNLOADER 910 7 HLLM 782 SASAN 540 HLLM 849 8 XEMA 693 NSANTI 535 SASAN 816 9 CASHON 631 XEMA 438 SOLOW 748 10 NSANTI 565 CDN 396 GENERIC 659 합계 기타 9,480 21,482 기타 6,171 13,798 기타 9,318 20,400 Part 2 허니넷 / 트래픽분석 19 년 3 월호
3. 도박게임설치프로그램을악용한악성코드감염사례분석 1. 개요 최근국내유명사이트의계정으로로그인한후이메일또는방명록을통해불법도박사이트를홍보하는악성코드가발견되었다. 사용자가홍보대상도박사이트에접속하여도박게임설치프로그램 (Game789.exe) 을다운로드하여실행할경우, 여러개의악성코드가동시에설치된다. 각각의악성코드는원격서버에서다수의아이디와패스워드를다운로드받아스팸을발송하고, 감염된 PC 에서사용자가입력하는계정과패스워드관련정보를원격서버에전송한다. 감염시사용자 PC 가광고문구를발송하는 Agent 로악용될수있고개인정보가유출되어피해를입을수있으므로사용자는신뢰할수없는사이트로부터설치프로그램을다운로드시반드시백신을통하여점검후실행하도록한다. 피해자시스템 www.g.co.kr www.g.com www.g.co.kr www.m g.com 게임사이트 도박사이트 Internet Game789.exe Updater_.exe 악성코드다운로드서버 1 유명포털사이트 다수의악성코드및 ini 파일 악성코드다운로드서버 3 악성코드다운로드서버 2 ID/PASSWORD 저장서버 ID/PASSWORD 수집서버 < 도박사이트방문시악성코드유포사이트로리다이렉션되는흐름 > 다음은사용자가도박사이트를방문한후악성코드에감염되고악성행위를수행하게되는 Agent 역할을하는공격흐름이다. 각단계에대한설명은다음절에서자세히기술한다. 1 사용자는도박게임을하기위해 www.g[ 생략 ].co.kr 등에접속 2 www.ga[ 생략 ].co.kr 등은 http://21.[ 생략 ].112 로재접속 3 사용자는게임설치를위해 Game789 홈페이지의좌측하단 게임수동설치 메뉴를클릭하여 Game789.exe 를다운로드 4 사용자는도박게임용클라이언트 Game789.exe 를다운로드하고설치한후원격지로부터추가악성코드를다운로드 인터넷침해사고동향및분석월보 20
5 생성된 Updater_.exe 는실제악성행위를하는다수의악성코드및설정파일들을다운로드받아시스템폴더에생성 6 악성코드는설정파일에기록된아이피주소의서버에서 ID/PASSWORD 다운로드 7 다운로드한 ID/PASSWORD 을이용하여포털사이트에로그인한후스팸메일전송및광고문구자동게시 8 악성코드는피해자시스템에서키보드입력행위를관찰한뒤서버로 ID/PASSWORD 전송 2. 감염절차및악성행위악성코드가발송한광고성방명록및메일링크를클릭하게되면, 사용자는 Game789 도박사이트에접속하게되며접속도메인과아이피는다수인것으로확인되었다. 아래그림에서볼수있듯이도메인은대부분그형태가유사하며, 일부는직접사이트로연결되지않고다른도메인및아이피를거쳐 Game789 사이트에접속하는것으로확인되었다. 해당사이트에접속후 게 / 임 / 수 / 동 / 설 / 치 아이콘을클릭하면 Game789.exe가다운로드되며실행시 Updater_.exe을설치한다. 그리고 Updater_.exe는다수의악성코드와설정파일을최종생성한다. 각각의악성코드는유명커뮤니티사이트방명록에광고성글을게재, 또는유명포털사이트를통하여스팸을발송하고, 키보드입력행위를수집하여원격지로전송한다. < 도박사이트방문시악성코드유포사이트로재접속되는흐름 > Part 3 월간특집 21 년 3 월호
감염절차 Game789.exe 는 21.[ 생략 ].50 에서다수의악성코드를생성하는 Updater_.exe 와키로깅기능을하는악성코드를다운로드한다. 또한 21.[ 생략 ].112 에서스팸메일을발송하고방명록에광고문구를게재하는악성코드를다운로드한다. 1 사용자는도박게임을하기위해 www.g[ 생략 ].co.kr 등에접속 2 www.ga[ 생략 ].co.kr 등은 http://21.[ 생략 ].112 로재접속 3 사용자는게임설치를위해 Game789 홈페이지의좌측하단 게임수동설치 메뉴를클릭하여 Game789.exe 를다운로드 <Game789.exe 의다운로드 > 4 사용자는도박게임용클라이언트 Game789.exe 를다운로드하고설치한후원격지로부터추가악성코드를다운로드 <Game789.exe 가발생시키는다운로드패킷 > 21.[ 생략 ].50 로부터다운로드받은파일목록 (Game789.exe) 악성코드 : Updater_.exe, lsas.exe, syssend.exe, MSTrack.dll 5 생성된 Updater_.exe 는실제악성행위를하는다수의악성코드및설정파일들을다운로드받아시스템폴더에생성 21.[ 생략 ].112 로부터다운로드받은파일목록 (Updater_.exe) 악성코드 : spools.exe, msmsg.exe, csrs.exe, rundll64.exe 설정파일 : masterv.ini,update.ini,mxconf.ini, mercury.ini, divxconf.ini, xwin-config.ini 인터넷침해사고동향및분석월보 22
악성행위요약 도박게임용클라이언트 ( Game789.exe ) 가다운로드한악성코드는스팸발송기능과키로깅기능을한다. 스팸발송및광고문구자동게시 21.[ 생략 ].49 에서스팸발송용 ID/PASSWORD 를다운로드한후, 이를이용하여국내포털사이트에로그인하고스팸메일을발송하거나방명록에광고문구를게재한다. 1 시스템폴더에저장된 xwin-config.ini 파일을읽어 21.[ 생략 ].49 의 16017 번포트로접속 2 원격지 21.[ 생략 ].49 로접속한후 16017 번포트를통하여스팸발송에필요한아이디, 패스워드, 광고문구를다운로드 3 다운로드받은 ID/PASSWORD 를이용하여 A 社의유명포털사이트에로그인을시도하고생성된로그인세션을이용하여방명록에광고내용을게재 키로깅및 ID/PASSWORD 전송사용자의키보드입력행위를관찰하여특정패턴으로입력된키를 21.[ 생략 ].50 으로전송한다. 1 사용자의모든프로세스에 MSTrack.dll 파일이인젝션되고사용자의특정패턴이입력되면해당패턴을버퍼에기록 특정패턴은 문자열 => 탭키 => 문자열 => 엔터 임 2 버퍼에기록된사용자의 ID/PASSWORD 를 syssend.exe 호출하여 21.[ 생략 ].50 로전송 3 syssend.exe 에서 21.[ 생략 ].50 로수집된아이디와패스워드를전송하는기능이관찰됨 악성코드별상세기능분석 Game789.exe가생성한 CSRS.EXE RUNDLL64.EXE, SPOOLS.EXE, MSMSG.EXE는국내포털사이트에로그인하여스팸메일을발송하고방명록에광고문구를등록한다. 또한 LSAS.EXE, MSTRACK.DLL, SYSSEND.EXE는사용자의키보드입력값을관찰하는동작을수행한다. CSRS.EXE CSRS.EXE 는설정파일 ( xwin-config.ini ) 을읽어들인후파일에기록된주소와포트번호로접속을하고해당서버로부터 ID/PASSWORD 를다운로드한다. ID/PASSWORD 를다운로드한후에는 A 社유명포털사이트에접속하여로그인세션을생성하고해당세션을이용하여방명록에 Game789 의광고문구를게재한다. - A 社유명포털사이트계정정보다운로드 CSRS.EXE 는유명포털사이트에광고문구를게재하기위하여 xwin-config.ini 에기록된정보를이용하여원격지로부터 ID/PASSWORD 및광고문구를다운로드받음 < 원격지정보 > Part 3 월간특집 23 년 3 월호
< 원격지로부터다운로드받은 ID/PASSWORD 및광고문구 > - 광고성문구게재다운로드받은 ID/PASSWORD 를이용하여 A 社유명포털사이트의로그인세션을생성하고해당세션을이용하여방명록에광고문구를게재함 <A 社사이트로그인세션생성및방명록기록 > RUNDLL64.EXE RUNDLL64.EXE 는설정파일 ( divxconf.ini ) 을읽어들인후파일에기록된주소와포트번호로접속을하고해당서버로부터 ID/PASSWORD 를다운로드받는다. 이후, B 社의메일서버에로그인하고다운로드받은메일계정으로스팸메일을발송하는것으로판단된다. - B 社유명포털사이트의계정정보다운로드 RUNDLL64.EXE 는 divxconf.ini 에기록된원격서버에서 B 社사이트의 ID/PASSWORD 와광고내용을다운로드받음 인터넷침해사고동향및분석월보 24
< 원격지정보 > < 다운로드받은메일주소 > - 스팸메일발송다운로드받은 ID/PASSWORD 를이용하여 B 社의메일서버에로그인한후스팸메일을발송 < 메일스팸발송을위한쿼리 > < 스팸메일에포함될내용 > Part 3 월간특집 25 년 3 월호
SPOOLS.EXE SPOOLS.EXE 는원격지접속및스팸메일발송현상이관찰되지않았으나, 바이너리코드를확인한결과, C 社사이트에접속하여스팸메일을발송하는것으로판단된다. - C 社유명포털사이트의계정정보다운로드 SPOOLS.EXE 는 mxconf.ini 에기록된정보를이용하여원격지로부터 ID/PASSWORD 및메일내용을다운로드받는것으로판단됨 < 원격지정보 > - 스팸메일발송 SPOOLS.EXE 도다운로드받은 ID/PASSWORD 를이용하여 C 社유명포털사이트의메일서버에로그인한후스팸메일을발송할것으로판단됨 <C 社유명포털메일서버접속및스팸발송쿼리 > MSMSG.EXE MSMSG.EXE 는원격지접속및스팸메일발송현상이관찰되지않았으나, 코드를분석한결과, A 社의메일서버에접속하여스팸메일을발송하는것으로판단된다. - A 社유명포털사이트계정정보다운로드 MSMSG.EXE 는 mercury.ini 에기록된정보를이용하여원격지로부터 ID/PASSWORD 및메일내용을다운로드받는것으로판단됨 < 원격지정보 > 인터넷침해사고동향및분석월보 26
- 스팸메일발송 MSMSG.EXE 는다운로드받은 ID/PASSWORD 를이용하여 A 社의메일서버에로그인한후스팸메일을발송할것으로판단됨 <A 社메일서버접속및스팸발송코드 > LSAS.EXE 및 MSTrack.DLL LSAS.EXE는 MSTrack.DLL을로딩하여실행중인 Explorer 하위프로세스에인젝션시킨후사용자의키입력을모니터링하다가특정패턴이입력되면해당스트링을수집한다. 특정패턴은 문자열 => 탭키 => 문자열 => 엔터 - 사용자시스템키로깅 LSAS.EXE 는시스템키로깅을위하여 MSTrack.dll 을사용자시스템의 Explorer 하위모든프로세스에인젝션함 <MStrack.dll 을이용한키보드후킹 > MSTrack.dll 의 GetMsgProc 핸들러를 SetWindowsHookEx 함수의인자로전달하여키보드후킹함수로등록 - 계정정보수집 MSTrack.dll 은 Explorer 의하위모든프로세스에인젝션되어, 사용자키입력을모니터링한다. 모니터링중사용자의 ID/PASSWORD 입력이탐지되면원격지서버로데이터를전송하기위하여 syssend.exe 를호출함 Part 3 월간특집 27 년 3 월호
< 캡쳐된사용자의 ID/PASSWORD> <SYSSEND 를호출하는코드 > SYSSEND.EXE SYSSEND.EXE 는 mshookx.ini 에기록된원격지서버정보를이용하여 MSTrack.DLL 에의해수집된 ID/PASSWORD 정보를원격지서버로전송한다. <ID/PASSWORD 수집서버정보 > <ID/PASSWORD 전송코드및패킷 > 인터넷침해사고동향및분석월보 28
3. 감염시조치방법 1 부팅시 F8 을눌러안전모드를선택한다. < 안전모드선택화면 > 2 시스템폴더에서 Updater_.exe 파일을포함한악성코드및 ini 파일을삭제한다. 시스템폴더 - Windows NT/2000 C:\Winnt\system32 - Windows XP C:\Windows\system32 < 악성코드삭제 > 시스템폴더에서삭제할파일 spools.exe, msmsg.exe, csrs.exe, rundll64.exe, Updater_.exe, lsas.exe, syssend.exe, MSTrack.dll, masterv.ini,update.ini,mxconf.ini, mercury.ini, divxconf.ini, xwin-config.ini, mshookx.ini Part 3 월간특집 29 년 3 월호
3 시작 실행 에서 regedit 를입력한다. < 레지스트리편집기실행 > 4 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run 에서 Updater 키를삭제한다. 5 재부팅한다. < 런레지스트리에등록된 Updater_.exe 삭제 > 인터넷침해사고동향및분석월보 30
별첨 악성코드유포지 / 경유지조기탐지및차단조치 개요 KISA 인터넷침해사고대응지원센터에서는국내웹사이트에악성코드가삽입되어웹사이트방문자에게악성코드를감염시키는사례가발생하여 05 년 6 월부터지속대응하여왔으며, 05 년 12 월부터는악성코드은닉사이트탐지프로그램을자체개발 적용하여, 07 년 10 월부터는약 100,000 개의국내웹사이트를대상으로악성코드은닉여부를탐지및차단조치하고있다. 전체추이 08년 3월 KISA에서탐지하여대응한악성코드유포및경유사이트는 835건으로전월대비 166.8%(313 835건 ) 증가하였다. - 악성코드경유사이트수는전월대비 208.2%(233 718 건 ) 증가하였고, 유포사이트수는전월에비하여 46.3%(80 117 건 ) 증가한것으로나타났다. - 이번달악성코드경유사이트의주요증가원인은이미악성코드은닉으로악용되었던웹호스팅업체의보안이취약한다수의웹사이트가재악용되는사례가많았기때문인것으로파악되었다. 따라서근본적인원인파악및조치없이단순히악성코드만삭제하는것은임시조치일뿐언제든지재악용될수있음을인지하고, 반드시재발방지대책을강구하여야한다. - 각기관 ( 기업 ) 의웹서버관리자는웹페이지가악성코드유포및경유지로악용되는피해예방을위해웹서버해킹에주로사용되는 SQL Injection 등의취약점에대한보안대책을마련하는것이필요하다. 참고사이트 웹어플리케이션취약점에대한해킹기법및보안대책 : http://www.krcert.or.kr 초기화면 왼쪽 웹보안 4 종가이드 기본적인웹해킹을차단할수있는공개웹방화벽 (ModSecurity, WebKnight) : http://www.krcert.or.kr 초기화면 왼쪽 공개웹방화벽을이용한홈페이지보안 [ 표 ] 악성코드유포지 / 경유지사고처리 구분 2007 1 2 3 4 5 6 7 8 9 10 11 12 유포지 1,619 107 80 117 304 경유지 3,932 483 233 718 1,434 합계 5,551 590 313 835 1,738 기관별분류악성코드유포및경유지로악용된사이트를기관별로분류하면기업, 기타 ( 개인 ), 네트워크홈페이지순이었으며, 특히기업으로분류된.co.kr, com 도메인이악성코드유포및경유사이트로많이악용되는것으로나타났다. - 이는해커가일반이용자의접속이많은기업사이트를주로악성코드유포및경유사이트로악용하고있는것으로판단된다. 31 년 3 월호
[ 표 ] 악성코드유포지 / 경유지사이트피해기관 ( 도메인 ) 별분류 기관 2007 1 2 3 4 5 6 7 8 9 10 11 12 기업 3,122 373 175 536 1,084 대학 112 14 6 9 29 비영리 288 45 27 56 128 연구소 11 0 0 0 0 네트워크 200 36 11 97 144 기타 ( 개인 ) 1,818 122 94 137 353 총계 5,551 590 313 835 1,738 기관분류기준 : 기업 (co,com), 대학 (ac), 비영리 (or,org), 연구소 (re), 네트워크 (ne,net), 기타 (pe 등 ) 네트워크 12% 비영리 7% 기타 ( 개인 ) 16% 기업 64% 대학 1% ( 그림 ) 악성코드유포지 / 경유지사이트피해기관 ( 도메인 ) 별분류 웹서버별분류 악성코드유포및경유지로악용된사이트를웹서버별로분류한결과 MS IIS 웹서버가 525 건 (62.9%), Apache 웹서버가 63 건 (7.5%), 기타 247 건 (29.6%) 로분류되었다. [ 표 ] 악성코드유포지 / 경유지사이트웹서버별분류 웹서버 2007 1 2 3 4 5 6 7 8 9 10 11 12 MS IIS 3,226 415 159 525 1,099 Apache 304 32 49 63 144 기타 2,021 143 105 247 495 합계 5,551 590 313 835 1,738 웹서버별구분자료는각운영체제 / 웹서버의안전성과는상관관계가없으며, 단지탐지에따른분석자료임 악성코드유포지 / 경유지사이트가이미패쇄되어웹서버를파악하기어려운경우도기타에포함시켰음 인터넷침해사고동향및분석월보 32
부록 주요포트별서비스및관련악성코드 http://www.krcert.or.kr 포트번호 프로토콜 서비스 관련악성코드 22 TCP SSH Remote Login Protocol [trojan] Adore sshd, [trojan] Shaft Mydoom, Welchia, Doomjuice, Agobot, Polybot, Bagle, 80 TCP World Wide Web, HTTP Yaha,Spybot, Back Orifice 2k Plug-Ins, CGI Backdoor, Executor, Hooker, RingZero, Seeker, WAN Remote, Web Server CT, WebDownloader, Zombam 135 TCP/UDP DCE endpoint resolution, MS-RPC Blaster, Agobot, Yaha, Welchia, Polybot, Kibuv, Lovgate, Spybot 139 TCP Netbios-ssn God Message worm, Netlog, Qaz, Deborms, Moega, Yaha Agobot, Deloder, Yaha, Randex, Welchia, Polybot, 445 TCP netbios-ds Sasser, Bobax, Kibuv, Korgo, Spybot, Janx, Netdepix, Zotob, IRCBot, SDBot 1025 TCP/UDP network blackjack Dasher, Remote Storm, ABCHlp, Lala, Keco 1080 TCP/UDP SOCKS Protocol MyDoom, Proxmeg, Bugbear, Hagbard, Daemoni, Lixy 1433 TCP/UDP Microsoft-SQL-Server Spida, SQL Snake 1434 TCP Microsoft-SQL-Server SQL Slammer 2745 TCP urbisnet Bagle 3410 TCP/UDP NetworkLens SSL Event OptixPro, Mockbot 4899 TCP radmin-port RAdmin Port 5000 TCP/UDP commplex-main Back Door Setup, Blazer5, Bubbel, ICKiller, Ra1d, Bobax, Trojan.Webus 6129 TCP/UDP DameWare Mockbot. 33 년 3 월호
용어정리 구분 구성설정오류공격 바이러스 (Virus) 바이러스월 (Virus Wall) 버퍼오버플로우 (Buffer Overflow) 봇 (Bot) 분산서비스거부공격 (DDoS : Distributed DoS) 불법자원사용 불법침입 서비스거부공격 (DoS : Denial of Service) 스파이웨어 (Spyware) 스팸릴레이 (Spam Relay) 허니넷 악성프로그램 악성프로그램공격 애드웨어 (Adware) 웜 (Worm) 내용운영체제및응용프로그램의설정오류 ( 위험성이있는기본설정의사용, 사용자편의를위한설정조정등 ) 를이용하는해킹기법으로홈페이지위 변조, 불법침입등에주로이용됨컴퓨터프로그램이나메모리에자신또는자신의변형을복사해넣는악의적인명령어들로조합하여불특정다수에게피해를주기위한목적으로제작된모든컴퓨터프로그램또는실행가능한코드네트워크환경내부에인-라인 (In-line) 상태에서 LAN 세그먼트의트래픽을관리하여트래픽상의네트워크바이러스를예방및차단하는시스템메모리에할당된버퍼의크기보다더큰데이터를덮어씀으로써호출프로그램으로의복귀오류등을일으켜정상적인프로그램의실행을방해하는대표적인공격기법운영체제취약점, 비밀번호의취약성, 웜 바이러스의백도어등을이용하여전파되며, 해킹명령전달사이트와의백도어연결등을통하여스팸메일전송이나 DDoS 공격에악용이가능한프로그램또는실행가능한코드 DoS 용에이전트를여러개의시스템에설치하고, 이에이전트를제어하여 DoS 공격을함으로써보다강력한공격을시도할수있으며, 공격자에대한추적및공격트래픽의차단을어렵게만드는공격형태정당한권한없이특정시스템을스팸릴레이, 피싱사이트개설등에이용하는행위주요정보 자료를수집또는유출하기위하여정당한권한없이시스템에침입하는행위특정네트워크에서허용하는대역폭을모두소모시키거나, 공격대상 (victim) 시스템의자원 (CPU, 메모리등 ) 을고갈시키거나, 시스템상에서동작하는응용프로그램의오류에대한공격으로서비스를못하도록만드는공격이용자의동의없이정보통신기기에설치되어정보통신시스템, 데이터또는프로그램등을훼손 멸실 변경 위조하거나정상프로그램운용을방해하는기능을수행하는악성프로그램. 즉, 이용자의동의없이, 웹브라우저의홈페이지설정이나검색설정을변경, 정상프로그램의운영을방해 중지또는삭제, 컴퓨터키보드입력내용이나화면표시내용을수집 전송하는등의행위를하는프로그램스팸메일발신자추적을어렵게하기위하여타시스템을스팸메일발송에악용 KISA 인터넷침해사고대응지원센터내에설치된시험네트워크로스캔정보를비롯한공격행위, 웜 바이러스등을수집사용자의시스템에설치되어백도어를오픈하여정보를유출하거나, 시스템의정상적인동작을방해하는프로그램컴퓨터시스템에악성프로그램을설치하게유도하거나고의로감염시키는해킹기법으로주로백도어등을이용하여상대방의주요정보를빼내기위한목적으로이용함사용자의컴퓨터에광고성팝업창을띄우거나, 초기화면을특정사이트로고정시키는등의사용자가의도하지않는행위를수행하게하는프로그램또는실행가능한코드독립적으로자기복제를실행하여번식하는빠른전파력을가진컴퓨터프로그램또는실행가능한코드 인터넷침해사고동향및분석월보 34
구분지역센서취약점정보수집공격침입시도트로이잔 (Trojan) 피싱 (Phishing) 해킹 (Hacking) ASP.NET Botnet DHTML Editing Component ActiveX E-mail 관련공격 Hyperlink 개체라이브러리 KrCERT/CC LLS NetBIOS OLE/COM PNG SMB TCP Syn Flooding Windows SharePoint Services Windows Shell 내용공격징후탐지를위하여 KISA에서전국 45 개주요도시에설치한센서대상시스템의운영체제, 설정등을알아보기위하여스캔하는등의행위로주로해킹의사전단계로이용됨시스템에침입하려고시도하거나, 취약점정보의수집을위해스캔하는등의행위자기복제능력은없으나정상기능의프로그램으로가장하여프로그램내에숨어있는코드조각으로의도하지않은기능을수행하는컴퓨터프로그램또는실행가능한코드정상적인웹서버를해킹하여위장사이트를개설한후, 인터넷이용자들의금융정보등을빼내는신종사기수법으로 Bank Fraud, Scam이라고도함다른사람의컴퓨터나정보시스템에불법침입하거나, 정보시스템의정상적인기능이나데이터에임의적으로간섭하는행위개발자가웹응용프로그램및 XML 웹서비스를구축할수있도록돕는기술로, 정적 HTML과스크립팅을사용하는일반웹페이지와는달리, 이벤트에기반한동적인 HTML 웹페이지를제공함많은 Bot 감염시스템들이명령을수신할목적으로 IRC 에연결되어있는네트워크인터넷익스플로러가웹메일처럼 HTML문서를제작할수있도록해주는 ActiveX 컨트롤상대방의시스템에메일서버를설치하여스팸릴레이에악용하거나, 관심을끄는 E-mail을보냄으로써상대방이악성프로그램을설치하도록하는해킹기법으로주로스팸릴레이나악성프로그램의설치에이용됨응용프로그램들이 HTML 문서에서사용되는 Hyperlink 처리를위한기능을제공 KISA내침해사고대응팀 (CERT) 으로서, 국내에서운영되고있는인터넷망의침해사고대응활동을지원하고, 전산망운용기관등에대해통일된협조체제를구축하여, 국제적침해사고대응을위한단일창구를제공하기위하여설립됨 License Logging Service의약자로 MS 서버제품에대한라이센스를고객이관리할수있도록해주는도구네트워크의기본적인입출력을정의한규약 Object Linking And Embedding, Component Object Model의약자로 MS의객체기반기술의일종으로서서로다른응용프로그램이나플랫폼이데이터를공유하는데사용 Portable Network Graphics의약자로 GIF 나 JPEG처럼그림파일포맷의일종으로, 주로 UNIX/LINUX 환경에서아이콘등에많이사용 Server Message Block의약자로파일이나네트워크폴더및프린터공유등에사용되는프로토콜 TCP 연결특성을이용한 DoS 공격의일종으로 Unreachable한주소로 IP를위조하여 Syn 을보내서대상시스템이더이상의연결요청을받아들일수없도록만드는공격많은인원이동시에다양한정보공유와공동문서제작을위한웹사이트를제작하는데필요한서비스윈도우시스템의제반실행환경을제공해주는것으로 explorer.exe가책임을맡고있다. 35 년 3 월호