악성코드지역화 국내환경과악성코드 2010.8.30 안철수연구소 ASEC (AhnLab Security Emergency response Center) Anti-Virus Researcher 차민석선임연구원 (jackycha@ahnlab.com) 목 차 1. 최근악성코드동향 2. 한국형악성코드등장 3. 한국형악성코드메시지 4. 국내환경장벽 5. 국내환경이용 6. 향후전망
1. 최근악성코드동향 1. 최근악성코드동향 - 금전적이득목적 - 정치및이념목적 ( 정보전 ) - 대량살포 - 타겟공격 - 지역화 -> 악성코드제작자들의금전적이득목적으로 2004 년악성코드대량살포와 2006 년이후지역화속에한국적상황을이용하는이른바 한국형악성코드 대거등장 4
2. 한국형악성코드등장 빈대바이러스 (Bindae virus) - 최초의한국형바이러스 - 1991년 5월발견된국산도스바이러스 - 13 일의금요일 BINDAE VIRUS. 메시지출력 - 백신 III 프로그램 (V3.COM,V3RES.COM) 을감염시키지않아발견시기를늦춤 - 안철수박사 : 분석하면서놀라움이나신기함보다는슬픔이앞섰다. 6
빈대바이러스 (Bindae virus) -V3 는신종바이러스에감염되었을때알려주는기능있음 - 외산바이러스제작자는 V3 를몰라 V3 파일을감염시켜쉽게발견됨 - 빈대바이러스는 V3 실행파일과동일하면감염시키지않아발견을늦춤 7 시스터보바이러스 (Systurbo virus) - 1994년하이텔자료실에서발견된국산도스바이러스 - V3와 SCAN 로시작하는파일을감염시키지않음 - 문자열때문에해외에서 V3scan 라는이름으로도불임 8
강도.1150 바이러스 (Burglar.1150 virus) - 1995년발견된국산도스바이러스 - 국내에서널리사용되는자체검사기능가진파일 (CL, HW, TB, F-, WC, TK ) 을감염시키지않음 - 파일이름에 S나 V 가포함된파일도감염시키지않음 9 3. 한국형악성코드메시지
한국산표시 Scream.709.Kr virus - 외산바이러스를변형한반쪽국산바이러스 11 백신제작자조롱 Dull_boy virus - All computing and no play makes Cheolsoo a dull boy! - 해외에서는철수바이러스로불리기도함 12
사회문제 No_Import_Rice virus - 1994 년쌀수입반대메시지포함 13 개인적불만 X97M/Hjb.I virus - 2000 년인천을떠나는현대유니콘와현대에대한비난 - 매달 25 일사용자에게질문후원하는답이아니면현재작업문서삭제 14
백신욕설 - 자신들의돈벌이를방해하는백신회사혹은백신프로그램에대한욕설 15 4. 국내환경장벽
장벽 1. 언어 - 사용자들이영문메일은잘읽지않음 - 한글윈도우에서오동작하는악성코드존재 17 장벽 1. 언어 - 한글윈도우에서는스크립트나매크로에서생성하는파일중내용이손상되어실행안될수있음 18
장벽 1. 언어 짧은한글 - 안녕하세요! 90 아름다움후 같은짧은한글 - 인터넷검색해서긁어옴? 19 장벽 1. 언어 번역기 - 리소스를번역기로번역 - 아직은조금어색한한글 -> 번역기성능에달림 20
장벽 1. 언어 한국어가능자 - 한국어가능자 ( 조선족등 ) 의보다치밀한메일 - 한국에서사용하는문법이나표현과다름 - 공격자메일에는 두음법칙 무시 - 주로타겟공격에이용 21 장벽 1. 언어 한국어사용자 - 한국사람들이악성코드제작에참가 22
장벽 1. 언어 한국어사용자 - Hoax 의경우외국어를한국어로번역하는착한 (?) 사람들도있음 23 장벽 2. 국산보안프로그램 - 국산보안프로그램이널리이용 - 악성코드제작자들의선택 - 국산보안프로그램방해 - 업데이트방해 - 국산보안프로그램무력화 - 중국에서국산보안프로그램무력화연구지속 24
장벽 3. 사용자습관 C 군의일상 집에돌아온 C 군은컴퓨터를켠다. 국산무료백신프로그램인 [V3 라이트 ] 와 [ 알약 ] 이자동업데이트되고 [ 네이버 ] 와 [ 다음 ] 에접속해새로운뉴스를확인한다. 인터넷에올라온이슈를찾다가동영상을보기위해 [ 액티브 X 컨트롤 ] 을설치했다. 이후 [ 싸이월드 ] 와 [ 페이스북 ] 방명록을살펴본후 [ 트위터 ] 와 [ 미투데이 ] 에간단히글을남긴다. [ 웹하드 ] 에서동영상과프로그램몇개를다운로드하면서 [ 네이트온 ] 을켜고친구들과대화한다. 다운로드가완료된동영상은 [ 곰플레이어 ] 로감상한다. 함께받은프로그램은 [ 알집 ] 으로압축해제후실행해본다. 리포트를위해 [ 한글 ] 을실행한다. -> 악성코드제작 / 배포자들은국내사용자들의컴퓨터사용습관을알아야함 25 5. 국내환경이용
국내환경이용 - 1. 국내서비스 국내홈페이지 - 악성코드유포경로 27 국내환경이용 - 1. 국내서비스 국내홈페이지 - 악성코드유포경로 28
국내환경이용 - 1. 국내서비스 국내메일및블로그 - 악성코드유포경로 29 국내환경이용 - 1. 국내서비스 국내메일및블로그 30
국내환경이용 - 1. 국내서비스 국내다이나믹 DNS - DDoS 공격명령을내리는 C&C 서버로이용 31 국내환경이용 - 1. 국내서비스 액티브 X 컨트롤 - 비정상적으로액티브 X 컨트롤사용이많음 - 사용자들이큰의심없이액티브 X 컨트롤설치 32
국내환경이용 - 1. 국내서비스 네이트온 - 메신저사기등에이용 33 국내환경이용 - 1. 국내서비스 웹하드 - 주요악성코드배포경로 - 77 7.7 DDoS 공격때이용 - 공격자는웹하드를통해악성코드를배포하며웹하드서비스업체를해킹해업데이트파일을악성코드로교체 34
국내환경이용 - 1. 국내서비스 소셜네트워크시스템 (SNS) - Dropper/Twibot.494080, Win-Trojan/Agent.101376.DG - 미투데이, 트위터 C&C 서버로이용 35 국내환경이용 - 2. 정보유출 포털 / 메신저 / 온라인게임계정탈취 - 가짜포털로그인페이지로유도 36
국내환경이용 - 2. 정보유출 문서파일유출 - HWP 파일을유출하는 Win32/Autorun.worm.49152.AH - 기업정보를빼내기위한악성코드로추정 37 국내환경이용 - 2. 정보유출 금융정보유출 - 국내에서는 [ 공인인증서 ] + [ 보안카드 ] 정보를알아야함 - 2007 년이후새로운변형이등장하고있지않음 38
국내환경이용 - 3. 유명프로그램가장 국내유명업체및프로그램과유사한파일이름혹은등록정보이용 39 국내환경이용 - 3. 유명프로그램가장 40
6. 향후전망 향후전망 1) 중국악성코드제작자들의노력 : 한국인 / 한국용악성코드제작지 42
향후전망 2) 번역기발전 - 한국어를몰라도공격용의 3) 국내프로그램취약점이용 - 현재는주로공개게시판취약점이용 - 현재국내프로그램취약점정보는해외에서거래안됨 - 국내에널리사용되는프로그램에대한취약점공격시도예상 4) 주변국의변화 - 일본과관계악화 - 러시아악성코드제작자들이아시아로눈돌린다면?! 5) 국내악성코드제작자들동향 - 현재는기업형태로애드웨어 / 스파이웨어제작위주 - 악성코드제작자들은국내환경에빠르게적응 - 나아가국내환경을적극적으로이용하기시작 -> 보안업체도일반사용자들의인터넷습관을이해하고연구해야함 43 Question? 44
AhnLab The Joy of Care-Free Your Internet World ASEC Threat Research http://blog.ahnlab.com/asec/ http://core.ahnlab.com h AhnLab, the AhnLab logo, and V3 are trademarks or registered trademarks of AhnLab, Inc., in Korea and certain other countries. All other trademarks mentioned in this document are the property of their respective owners. 45