ASEC Report 8월 ASEC Report 2008. 9. I. ASEC 월간통계 2 (1) 8월악성코드통계 2 (2) 8월스파이웨어통계 11 (3) 8월시큐리티통계 13 II. ASEC Monthly Trend & Issue 15 (1) 악성코드 허위안티바이러스설치를위장한사기성스팸메일기승 15 (2) 스파이웨어 악성허위안티 - 스파이웨어 AntiVirusXP2008 18 (3) 시큐리티 PDF, HWP 취약점을이용한악성코드유포 23 (4) 네트워크모니터링현황 31 (5) 중국보안이슈 34 III. ASEC 컬럼 36 (1) Win-Trojan/Agent.6144.HK 분석 36 안철수연구소의시큐리티대응센터 (AhnLab Security Emergency response Center) 는악성코드및보안위협으로부터고객을안전하게지키기위하여바이러스분석및보안전문가들로구성되어있는조직이다. 이리포트는 안철수연구소의 ASEC에서국내인터넷보안과관련하여보다다양한정보를고객에게제공하기위하여악성코드와시큐리티의종합된정보를매월요약하여리포트형태로제공하고있다.
I. ASEC 월간통계 (1) 8 월악성코드통계 Top 10 분석 8 월순위 악성코드명 건수 % 1 new Win-Trojan/Fakeav.94208 90 23.8% 2 new Win-Trojan/Downloader.61440.CP 89 23.5% 2 new Win-Trojan/Bho.118784.O 58 15.3% 4 new Win-Trojan/FindVM.32759 25 6.6% 5 new Win-Trojan/Virtumod.118784 22 5.8% 6 new Win-Trojan/Agent.74752.AF 21 5.6% 7 new Win-Trojan/WowHack.18432.Q 19 5.0% 7 new Win-Trojan/Proxy.50176.B 18 4.8% 9 new Win-Trojan/Agent.6144.HK 18 4.8% 10 new Win-Trojan/Agent.517632.E 18 4.8% 합계 378 100.0% [ 표 1-1] 2008년 8월악성코드피해 Top 10 [ 표 1-1] 은 2008년 8월악성코드로인한피해 Top 10에랭크된악성코드들을나타내고있다. Top 10에포함된악성코드들의총피해건수는 378건으로 8월한달접수된총피해건수 (3,396건) 의 11.1% 에해당하며지난 7월 849건 (13.6%) 에비해피해건수는감소하였다. Win-Trojan/Fakeav.94208과 Win-Trojan/Downloader.61440.CP, Win- Trojan/Bho.118784.O의비율이 15~24% 로전체절반이상많은비중을차지하고있으며나머지악성코드들은대부분 10% 미만의비율로큰차이를나타내지는않고있다. 8월에는 Top 10에서도 1~3위의악성코드가다소많은피해를준것으로나타났다. 특히주목할만한현상으로허위백신류의악성코드가 1위를차지한것이다. 허위백신의경우주로스파이웨어로분류되어진단하였으나최근에는설치후 Rootkit을이용하여자신을은폐하고광고성스팸메일을발송하는등악성코드와유사한증상을보이는것들도발견되고있다. 이러한허위백신은대부분외산프로그램으로허위진단결과를보여주고결제를유도하지만 국내에서는결제방법, 언어문제등으로인해서실제로금전적인피해를입었다는신고는접 수되지않았다. 하지만잦은허위감염경고창노출및허위검사화면노출로인해 PC 사용 2
에많은불편을초래하여이로인한피해신고가큰폭으로증가하였다. 허위백신의배포는주로이메일 (E-Mail) 을통해이루어지는데, 이는많이알려진방법이지만나날이그수법이교묘해지고있어많은주의가필요하다. 이러한이메일은발신인주소에대형소프트웨어제작업체등과같이잘알려진도메인으로된이메일주소를사용하고, 내용또한관련내용을담고있으며, 첨부파일이아닌본문안에특정파일을다운로드할수있는링크 (URL) 를숨겨두는방식을사용하고있다. 따라서이메일을수신한일반사용자가이메일내용만으로는악성프로그램배포를위한스팸메일인지알기가매우어렵다. 하지만메일안에포함된파일다운로드링크 (URL) 를유심히살펴보면발신인과전혀상관이없는사이트또는의심스러운사이트로연결되어있는것을발견할수있다. 이럴경우절대파일을다운받아실행하지말고해당이메일은삭제하는것이좋다. 비단이러한스팸메일이아닐지라도웹상에서파일을다운로드할경우에는파일이위치한사이트 URL을꼭확인해야한다. [ 그림 1-1] 이메일내용에포함된다운로드링크 (URL) 확인 [ 그림 1-1] 에서는다운로드링크의원본파일위치를확인하는방법을보여준다. 웹브라우저하단의붉은색박스안에보이는부분이파일의원본위치이다. 파일다운로드시브라우저에서기본적으로파일의안전성확인을안내하는창이나타나지만대부분의사용자가이를확인하지않고 [ 실행 ] 또는 [ 저장 ] 버튼을눌러악성코드가감염되도록하고있다. 따라서특정프로그램을설치할경우 [ 실행 ] 또는 [ 저장 ] 버튼을누르는데좀더세심한주의가필요하다. 3
월별피해신고건수 [ 그림 1-2] 2007,2008 년월별피해신고건수 [ 그림 1-2] 는월별피해신고건수를나타내는그래프로 8월은전체 3,396건의피해신고가접수되었으며지난달 6,213건과비교하면절반에가까운감소세를보였다. 2월 3,254건으로올해최저점을찍은후 5월까지가파른상승세를보이다가 6,7월소폭감소하며다소주춤한모습을보였고 8월에는지난 2월수준으로크게감소하였다. 지난달여름휴가철로인한 PC 사용감소를감안하여피해신고가어느정도줄어들것으로 예상하였으나 8 월의큰폭의감소세는휴가철 PC 사용량감소와더불어전용진단함수등 으로인한변종악성코드의사전차단효과와도관련이있어보인다. 4
[ 그림 1-3] 2008 년 8 월악성코드유형별피해신고건수 [ 그림 1-3] 은 2008년 8월전체악성코드유형별피해신고건수를나타내고있는그래프이다. Top 10의유형과마찬가지로전체피해신고유형을봤을때에도트로이목마가 80% 로높은비중을차지하고있으며지난달에 17% 를차지했던드롭퍼는 6% 가줄어 11% 를기록했다. 나머지는지난달과같은수준을유지했으며꾸준히감소세를보이던바이러스는 8월에는단 1건만이신고되었다. [ 그림 1-4] 2008 년 8 월피해신고된악성코드의유형별현황 [ 그림 1-4] 는 8 월한달간접수된유형별신고건수로 [ 그림 1-3] 의유형별피해신고건수 5
와마찬가지로트로이목마가 77% 로여전히높은비율을차지하고있으나지난달 82% 에비해 5% 가감소하였다. 나머지스크립트 6%, 드롭퍼 12%, 웜 4%, 유해가능프로그램이 1% 를골고루차지하고있으며여전히바이러스는전체비율에서 1% 도안되는비율을차지하고있다. 드롭퍼의경우지난달 ARP Spoofing관련악성코드로인한빠른확산으로인해불과 180여종의드롭퍼로인한피해신고가 1060여건이나접수되었으나 8월에는 230여종의드롭퍼로인한피해신고건수가 370여건으로나타나 7월에비해드롭퍼의신종 ( 변종 ) 의수는증가하였으나피해건수는크게줄어든것을알수있다. [ 그림 1-5] 2008 년월별피해신고악성코드종류 [ 그림 1-5] 는 2008년월별피해신고가되는악성코드의종류를나타낸그래프이다. 월별로신고되는악성코드들의종류는 [ 그림 1-2] 의월별피해신고건수와마찬가지로 2월 1,364 건으로감소한이후 5월까지계속적으로증가하였으나 6월이후증가세가꺾여소폭감소하였다가 7월에는큰폭으로감소하여하강곡선이뚜렷해졌고 8월에는이런하강곡선을이어가고있다. 6
국내신종 ( 변형 ) 악성코드발견피해통계 8 월한달동안접수된신종 ( 변형 ) 악성코드의건수및유형은 [ 표 1-2] 와같다. 웜 트로이 드롭퍼 스크립트 파일 매크로 부트 부트 / 파일 유해가능 비윈도우 합계 06 월 67 1800 111 123 4 0 0 0 29 0 2134 07 월 77 1399 144 117 5 0 0 0 21 0 1763 08 월 55 1094 195 88 1 0 0 0 10 0 1443 [ 표 1-2] 2008년최근 3개월간유형별신종 ( 변형 ) 악성코드발견현황 지난달에이어서 8월역시악성코드는감소추세로서전월대비 18% 감소를하였다. 이번달감소원인은크게 2가지추정되는데, 먼저중국에서올림픽이개최된것이어느정도타당한원인으로도추정된다. 이와같이추정하는이유는년중악성코드신고및발생건수가가장적은달이중국최대명절인춘절이있는 2월인데, 이시기에는악성코드발생및국내유입건이다소주춤하고, 지난 4월의경우에도쓰촨성대지진으로악성코드신고건수는다소감소하였다. 따라서중국의이러한사회적이슈가우리나라의악성코드발생및유입에일정부분은영향을미친다고할수있다. 두번째원인으로추정되는것은 V3의 generic 기반진단율의향상이다. 중국에서유입되는악성코드상당수가온라인게임의사용자계정을탈취하는트로이목마인데, 최근 V3에지속적으로적용되고있는 generic 진단함수로사전차단되기때문에 V3에서진단되지않아안철수연구소에피해접수되는악성코드가줄어든것으로추정된다. 7월 ~8월중에수집된온라인게임핵트로이목마 1,328개를표본샘플로한후 generic 진단만으로검사를했을때 60% 정도의진단율을보이고있다. 즉, generic 진단함수가 60% 정도의게임핵관련신종악성코드를사전에치료한것으로추정된다. 다음은이번달악성코드유형을상세히분류하였다. 7
[ 그림 1-6] 2008 년 8 월신종및변형악성코드유형 전체적으로접수된신종악성코드의감소에영향을끼친트로이목마류가전월에비하여전체비율에서 3% 감소한 76% 를차지하고있으나, 일반적으로온라인게임핵트로이목마를드롭하는드롭퍼류는전월과비교하여오히려 6% 증가한 14% 를차지하고있다. 이러한현상이발생한원인으로는다수의중국악성코드제작자가초보적인수준이기때문으로추정된다. 다수의온라인게임핵트로이목마제작자들은파일 ( 주로 *.dll 파일 ) 이진단되면이를드롭하는드롭퍼만을제작도구를이용해서다시만들어배포를한다. 결과적으로안티바이러스에서미진단되는드롭퍼는생성될수있으나피해를입히는핵심기능을가지고있는온라인게임핵트로이목마 (dll 파일 ) 는문제없이진단이가능하다. 일반적으로쉽게구할수있는온라인게임핵제작도구들은사용자가핵심부분은건드릴수없고트로이목마를포장하는드롭퍼부분만을새롭게생성하기때문이다. 물론이와같은분석도해당악성코드의소폭증가에따른원인으로추정할뿐이며증가에따른명확한이유는정확히알수는없다. 웜과트로이목마, 바이러스, Autorun 웜유형은전월대비하여소폭감소하였고, 악성 IRCBot 웜은소폭증가하였다. 또한전월에발견되지않았던메신저웜이다시보고되기도하였다. 이메일웜도소폭감소하였으며특히기승을부리던 Win32/Zhelatin.worm 이잠잠하였다. 바이러스는 Win32/Dellboy 바이러스변형이보고되었다. 다음은최근 3 개월악성코드분포이다. 8
[ 그림 1-7] 2008 년최근 3 개월간악성코드분포 트로이목마는지난 6월 SWF 취약점과 ARP Spoofing 관련악성코드로폭발적으로증가를하였다. 위에서언급했듯이올림픽특수와 Generic 진단율상승등과같은복합적인이유로트로이목마의비율은최근 3개월간은하락추세에있다. 드롭퍼는상승추세이나그숫자는그리높지않다. 유해가능프로그램에대한엔진반영비율도감소추세에있다. 다음은트로이목마및드롭퍼의전체비중에서상당한비율을차지하는온라인게임의사 용자계정을탈취하는트로이목마의추세를살펴보았다. 9
[ 그림 1-8] 온라인게임사용자계정탈취트로이목마현황 해당악성코드는전월대비무려 51% 감소하였다. 감소원인은중국의올림픽특수와 generic 진단율상승및복합적인이유로추정하였다. 온라인게임핵트로이목마의상당수는특정한유형으로이를 generic하게진단한경우가제일많았다. 지난달에언급했듯이실행압축등으로진단을회피하는형태도많았다. 그러나실행압축을하지않고문자열을암호화하며다중 PE 이미지를갖는등실행압축이외에안티바이러스진단을회피하거나무력화하여자신을진단되지않도록하는유형도늘어나는추세이다. 10
(2) 8 월스파이웨어통계 순위 스파이웨어명 건수 비율 1 New Win-Adware/Rogue.AntiVirusXP2008.94208.B 19 18% 2 New Win-Clicker/FakeAlert.6144.C 18 17% 3 New Win-Adware/Rogue.MalwareProtector.94208 14 13% 4 New Win-Clicker/FakeAlert.106496.F 12 11% 5 New Win-Downloader/Kwsearch.137216 8 8% 6 New Win-Clicker/FakeAlert.10240.M 7 7% 7 New Win-Adware/Rogue.AntiVirusXP2008.9728 7 7% 8 New Win-Hoax/BSOD.118784 7 7% 9 New Win-Clicker/FakeAlert.106496.E 7 7% 10 7 Win-Downloader/Kwsearch.432128.C 5 5% 합계 104 100% [ 표 1-3] 2008년 7월스파이웨어피해 Top 10 2008년 8월스파이웨어피해 Top10에포함된스파이웨어의대부분은해외에서제작된허위안티-스파이웨어프로그램및이와연관된프로그램이다. 이들은성인사이트검색또는스팸메일에의해성인동영상을미끼로사용자를속여설치되며, 감염되는경우바탕화면이스파이웨어감염경고메시지로변경되고블루스크린을표시하는스크린세이버가설치되며, 사용자동의없이설치된허위안티-스파이웨어는주기적으로실행되어허위스파이웨어감염결과를표시한다. 최근가장많은피해를입히고있는허위안티-스파이웨어프로그램인안티바이러스XP2008(Win-Adware/Rogue.AntiVirusXP2008) 은랜덤한문자열을사용하기때문에파일및레지스트리의설치경로명이일정하지않고, 실행파일의경우매일변경될만큼수많은변형을배포하고있어보안프로그램에서탐지하기가매우어려운특징이있다. 안티바이러스XP2008의피해신고건수는 8월에만변형을포함하여 155건에이른다. 8월스파이웨어피해 Top10의 8위에올라있는혹스 BSOD(Win-Hoax/BSOD) 는마이크로소프트사에서제작한블루스크린화면보호기프로그램이악의적으로변형된것이다. 위에서언급한바와같이안티-바이러스XP2008 다운로더는사용자동의없이화면보호기를 BSOD 화면보호기로변경하여시스템에심각한문제가있는것처럼속인다. 블루스크린화면보호기는마이크로소프트사에서제작한정상프로그램이다. 안티바이러스XP2008이사용하는 BSOD 화면보호기는정상프로그램을실행압축하고시스템디렉토리에랜덤한이름으로사용자동의없이설치하는특징이있다. 마이크로소프트홈페이지에서배포하는블루스크린화면보호기 (http://technet.microsoft.com/en-us/sysinternals/bb897558.aspx) 는최초실행과정에서 11
사용자동의를받으며, 실행압축도안되어있다. 2008 년 8 월유형별스파이웨어피해현황은 [ 표 1-4] 와같다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 6월 331 228 138 274 3 11 1 2 0 988 7월 364 172 145 268 3 18 9 0 4 983 8월 365 353 204 310 3 97 3 1 12 1348 [ 표 1-4] 2008년 8월유형별스파이웨어피해건수 스파이웨어에의한피해는지난달과비슷한수준이며, 허위안티-스파이웨어프로그램의영향으로애드웨어의피해가두배넘게증가하였다. 이와함께허위안티-스파이웨어프로그램을설치하는다운로더와드롭퍼도약간증가한수치를보이고있다. 허위경고메시지를표시하는클리커훼이크얼럿 (Win-Clicker/FakeAlert) 의경우지난달보다약 80건이나증가한 97건의피해신고가접수되었다. 전체피해신고건수는 7월보다약 37% 증가한 1348건을기록하였다. 8월스파이웨어발견현황 8 월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 1-5] 와같다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 6월 195 116 91 158 1 9 0 2 0 572 7월 238 108 91 153 2 13 9 0 1 615 8월 223 175 137 182 2 22 1 0 3 745 [ 표 1-5] 2008년 8월유형별신종 ( 변형 ) 스파이웨어발견현황 스파이웨어피해통계와마찬가지로허위안티 - 스파이웨어프로그램과이와연관된스파이웨 어의신종및변형이많이발견되었다. 8 월신종및변형스파이웨어발견건수는 745 건으 로 6 월, 7 월에이어증가세를유지하고있다. 12
(3) 8 월시큐리티통계 2008년 8월에마이크로소프트사로부터발표된보안업데이트는총 11건으로각각긴급 (Critical) 6건과중요 (Important) 4건, 보통 (Moderate) 1건이다. 최근몇달동안은오피스취약점관련패치가발표되지않았으나, 이번달에는총 5건의보안업데이트가오피스관련취약점을해결하기위해발표되었다. 아직까지발표된오피스취약점을도용하는사례는보고되지않고있으나최근 PDF, Office 등어플리케이션파일들을통한공격이확산되고있으니어플리케이션보안에도주의를기울여야것으로보인다. 특히, 지난 7 월말발표된 Microsoft Access Snapshot Viewer 취약점 (MS08-041) 1 은발표 이후실제로중국발웹해킹공격을통해피해사례가보고되고있어이달에발표된해당 취약점보안업데이트를반드시적용하여야할것이다. [ 그림 1-9] 공격대상기준 MS 보안패치현황 (2007 년 9 월 ~ 2008 년 8 월 ) 위험도 취약점 긴급 (MS08-041) Microsoft Access Snapshot Viewer 에서사용하는 ActiveX 컨트롤의취약점으로인한원격코드실행문제점 긴급 (MS08-043) Microsoft Excel 의취약점으로인한원격코드실행문제점 긴급 (MS08-051) Microsoft PowerPoint 의취약점으로인한원격코드실행문제점 중요 (MS08-048) Outlook Express 및 Windows Mail 보안업데이트 [ 표 1-6] 2008년 8월발표된주요 MS 보안패치 2008 년 8월웹침해사고현황 PoC 유무무무 1 http://www.microsoft.com/technet/security/bulletin/ms08-041.mspx 13
[ 그림 1-10] 악성코드배포를위해침해된사이트수 / 배포지수 이달의웹사이트경유지 / 유포지수는 238/39 으로지난달의 256/67 에비해경유지수와 유포지수가감소하였다. 하지만소수의공격자의의해다수의웹사이트가침해되고있는경 향은여전하다. 2008년 8월결과에서특이한점은 MS07-017 취약점 1 을이용한배포가현저하게줄었으며, MS08-041 Microsoft Access Snapshot Viewer 취약점 2 을이용해악성코드배포를시도하는사례가종종발견된다는것이다. 하지만해당취약점이공개된지한달이지났지만취약점을이용한배포는아직까지다수발견되고있지않으므로앞으로의영향도그렇게크지는않을것으로보인다. 이와같이웹을이용해배포되는악성코드는운영체제나서드파티제품의취약점을이용하여배포되기때문에일반 PC 사용자들은운영체제뿐아니라서드파티제품의보안상태를항상확인하고제품을항상최신으로유지하여야한다. 또한 AV 제품을설치하여자신의 PC를보호하여야한다. 그리고침해사고를확인한웹사이트의관리자들은사이트의사후관리에신경을써그영향을최소화해야한다. 1 http://www.microsoft.com/technet/security/bulletin/ms07-017.mspx 2 http://www.microsoft.com/technet/security/bulletin/ms08-041.mspx 14
II. ASEC Monthly Trend & Issue (1) 악성코드 허위안티바이러스설치를위장한사기성스팸메일기승 미국에서대표적인 SNS 인 MySpace 와 Facebook 을노린악성코드가발견되었다. 또한지난달에이어서허위안티바이러스인 Antivirus XP 2008 이기승을부렸다. 특히사기성메일을통하여광범위하게유포된것으로보인다. 또한중국의올림픽특수를이용한악성코드도보고되었다. MySpace 와 Facebook 을노린악성코드 미국에서대표적인 SNS(social network site) 인 MySpace와 Facebook을노린악성코드가발견되었다. MySpace를노린악성코드는사용자계정에접근하여전파되는데, 친구로등록된사용자들의계정에덧글을생성해둔다. Facebook을노린악성코드는스팸메시지를발송하는데그대상도역시등록된버디리스트이다. 스팸메시지내용은유명연예인과관련되어있다. 덧글의내용은다음과같다. Examiners Caught Downloading Grades From The Internet Hello; You must see it!!! LOL. My friend catched you on hidden cam Is it really celebrity? Funny Moments and many others. Paris Hilton Tosses Dwarf On The Street 덧글과스팸메일에는링크가포함되어있는데이것으로악의적인사이트로유도한다. 이 것은유투브를가장한사이트로최종적으로는 Flash 플레이어를가장한 codecsetup.exe 라 는파일을다운로드하도록유도하는데이는또다른 FaceBook 관련악성코드이다. 15
[ 그림 2-1] 악성코드로가장한 Flash Player 다운로드화면 ( 출처 Zdnet) 특히 flash player 로위장하여다운로드를유도하는사회공학적인기법에는사용자가쉽게 속을수있기때문에해당서비스를사용하는사용자들은주의를요구한다. 허위안티바이러스설치를유도하는사기성스팸메일 지난달에이어이번달에도폭발적인피해문의증가세를보인 AntiVirusXP2008 이기승을 부렸다. 특히설치를유도하는사기성스팸메일을광범위하게유포한후사용자들로하여금 실행을유도하였다. 다음은해당메일의예이다. [ 그림 2-2] AntiVirusXP2008 설치유도메일 파란색문자열의링크를클릭하면특정실행파일을다운로드하는윈도우창이보여진다. 해 당파일을실행하면바탕화면과화면보호기를변경하고다음과같이특정호스트로부터파 16
일을내려받는다. [ 그림 2-3] AntiVirusXP2008 다운로드 URL 다운로드되는파일은 AntiVirusXP2008 본체파일로거짓으로악성코드검사창을보여주고결제를유도한다. 변형별로다운로드되는호스트의도메인이름이매번다르게변경되고, 각도메인에서할당받은 IP 가다수이기때문에도메인과 IP를차단하여도소용없다. 7월중순부터 8월까지는이메일을통한악성코드전파사례중아마도 Win32/Zhelatin.worm 을제치고가장많은사기성스팸메일이아닐까추정을해본다. 따라서위와같은메일을받았다면메일에포함된링크나첨부파일을실행하지말고메일을 삭제하거나, 해당 URL 을안철수연구소에신고하면신속히엔진에반영할것이다. 올림픽특수를이용한악성코드 베이징올림픽을앞두고이를이용한악성코드가다수보고되었다. 특히 Win32/Zhelatin.worm 변형은베이징올림픽이취소가되었다는허위내용을담고있었고, Win-Trojan/PcClient 변형중하나는올림픽경기장그림파일을첨부한 ppt 파일을포함하고있었다. 이트로이목마는백도어로서특정커널함수를후킹하고, 특정호스트로접속하는데, 해당 IP 대역은중국이었다. 이외에도중국어문자열이포함된웹페이지에대한 SQL 인젝션공격도감행되었다. 악성코드제작자들은사회적인이슈등을이용한사회공학적인기법을사용하여악성코드설치를유도하고있으므로, 사용자가이러한메일이나게시판에포스팅된악의적인 URL을클릭하지않으면악성코드에감염될확률은매우적어진다고본다. 17
(2) 스파이웨어 악성허위안티 - 스파이웨어 AntiVirusXP2008 스파이웨어들은다양한경로 / 배포방식을통해사용자에게피해를입히고있다. 기존의트로이목마처럼사용자가접근하고다운로드하여설치될때까지기다리는소극적인자세는적어지고, 보다적극적으로사용자의설치를유도하고있다. 그중에대표적인것이즐롭 (Zlob) 이다. 즐롭은설치도중다양한스파이웨어들을함께설치하거나보안설정을변경하여사용자의정상적인시스템이용을방해한다. 일반적으로즐롭이사용자의설치를유도하는방법으로는동영상컨텐츠를제공하고, 해당컨텐츠를이용하기위하여필요한동영상코덱으로위장하여사용자의설치를유도하는방식과사용자의관심을끌만한컨텐츠링크를메일을통해제공하여설치를유도하는방식, 불법으로공유되는소프트웨어들을위한키젠 (Keygen) 을통해설치되는방식등이이용된다. 허위안티스파이웨어 (Rogue Anti-Spyware) 들은가장직접적이고도지능적인방법으로사용자에게피해를입히고있다. 이러한프로그램들은사용자의낮은보안지식과불안감을이용한다. 우선, 과장된진단정보를보여주어사용자불안감을자극한뒤, 치료를원하는사용자에대해사용자의가입및결제를요구한다. 대부분의보안지식이부족한사용자들은불안감을이기지못해결제를하며금전적인피해를입는다. 이러한스파이웨어행위는기존의어떤방식들보다이익이크기때문에많은변종을낳고있으며, 국내에서도이러한허위제품들이많은제작되고있으며, 해외에서도다양한형태로제작되어국내외에서많은피해를입히고있다. 최근 Zlob이설치하는허위안티스파이웨어프로그램들중 AntiVirusXP2008의경우전세계적으로기승을부리고있다. 이프로그램은설치과정중에자동실행등록및배경화면변경, 보안설정변경, 블루스크린스크린세이버설정등을수행하기때문에사용자의정상적인시스템이용을저해한다. 이러한변경내역은구체적으로다음과같다. 18
배경화면및스크린세이버변경 - 허위경고이미지 - 블루스크린스크린세이버 [ 그림 2-4] AntiVirusXP2008 설치후변경된배경화면과스크린세이버 AntiVirusXP2008이설치되면바로배경이미지와스크린세이버가변경된다. 배경이미지는보안경고가담긴이미지이고, 스크린세이버는 Sysinternals사에서개발한블루스크린스크린세이버이다. 스크린세이버는기본 10분으로설정되며블루스크린이뜨고시스템재부팅이이루어지는과정을보여준다. 이두가지변경을통해서사용자는시스템에대한문제의식을느끼게되며불안감을갖게된다. 디스플레이등록정보에서배경화면과스크린세이버항목이사라짐 [ 그림 2-5] AntivirusXP2008 설치후변경된디스플레이등록정보 AntiVirusXP2008 은위의두가지설정변경을보호하기위해디스플레이등록정보의배경 이미지와스크린세이버설정탭을안보이게변경한다. 이러한변경은다음의키설정을통해 서이루어진다. 19
[ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System ] - NoDispBackgroundPage - NoDispScrSavPage 기본지식이없는사용자라면이러한변경에대해수동복구를할수없기때문에허위안 티스파이웨어업체의결제요구에응하기쉬워지게된다. 다양한허위경고 (Fake FakeAlert) - 인터넷익스플로러 - 시스템오류메시지 - Tray Icon 을이용한페이크얼럿 [ 그림 2-6] Antivirus XP 2008 의다양한허위경고메시지 AntiVirusXP2008은여타다른허위안티스파이웨어와는다른허위경고방식을이용하고있다. 타프로그램의경우단순히과장되거나허위의진단결과만을보여주지만, AntiVirusXP2008의경우 Internet Explorer를이용한방법과 tray icon을이용한방법, 그리고특히시스템오류메시지의이용등을통해사용자의불안감을자극한다. 위와같은 AntiVirusXP2008 의변경으로인해큰불안을느끼게된사용자들은허위안티 스파이웨어업체의결제요구에응하거나보안업체에분석의뢰를하게된다. 이렇게접수 되어처리된 AntiVirusXP2008 샘플이 8 월한달에 100 여건이있었다. 전체허위안티스 파이웨어로접수된샘플이 300 개정도이고종류가 50 여가지에이르는것을고려한다면대 부분의피해가 AntiVirusXP2008 에의한것으로볼수있다. 20
이처럼 AntiVirusXP2008 의고객피해가많은것은 AntiVirusXP2008 이기존의시그니쳐 진단방식으로는진단및치료가어려운특징을상당부분갖췄기때문이었다. 이러한특징 들은다음과같다. 다양한설치경로 AntiVirusXP2008은다양한설치경로를갖는다. 이것은단순히사용자가다운로드받아설치하는경로가아닌자신을자동설치하는다른스파이웨어를갖는다는의미이다. 이렇게다양한설치경로가있는경우진단및치료가이루어져도다시금재감염이발생한다. 대부분의설치경로에자동실행이되도록설정되어재부팅또는일정시간마다스파이웨어를설치를하는특징이있다. 이러한설치경로로는아래와같이크게두가지가있다. - Zlob을통한설치 Zlob은워낙유명한스파이웨어설치프로그램이기때문에많은설명이필요가없다. 이들 Zlob들은변형을꾸준히생성하기때문에실시간대응이어렵고, 또한개별사용자의잘못된컴퓨터이용습관으로인해지속적인피해가발생하고있다. - Agent 를통한설치 Zlob 이외에도 Agent들을통해서타스파이웨어가설치되는경우가있다. 그대표적인예로 Win-Spyware/RootKit.Wsnpoem.95744는주기적으로서버에접속해스파이웨어를설치한다. 이들은 WinLogon과같은시스템프로세스에인젝션되어실행이되고, 스스로를보호하여숨기는루틴을가지고있으며, UserInit에등록이되어자동실행이되기때문에치료가상당히어렵다. 대부분의사용자들은이러한 Agent의존재여부를알지못하기때문에 AntiVirusXP2008과같은스파이웨어의감염을지속적으로경험하게된다. 랜덤이름및파일경로 AntiVirusXP2008 은랜덤한설치경로및파일이름으로설치가되며구체적으로살펴보면 아래와같다. 아래의표는 Program Files 디렉토리에설치되는 AntiVirusXP2008 의폴더 이름을나타낸다. 21
Program Files 디렉토리 Program Files / rhc3sgj0eaea Program Files / rhc3sgj0eaea Program Files / rhc5wej0etc7 Program Files / rhcnm5j0erbt 위표에서보듯이폴더이름이 rhc로시작하는 12자리의랜덤이름의형태를갖고있다. 위와같이랜덤이름으로설치가되면보편화된시그니쳐가없기때문에변형이발생할때마다진단데이터를추가하거나아예넣을수없는경우가발생한다. 이러한특징때문에기존의시그니쳐진단방식으로는진단및치료에한계가있다. 잦은변형의생성 잦은변형의생성은최근스파이웨어들의보편적인특징이되어가고있다. SEED 값을입력으로하는프로그램재빌드와일정한시간간격으로바이너리가재빌드되는경우하루에도여러개의변형이만들어지게된다. 이경우대부분의보안업체들의실시간대응은어려우며, 늦은대응은더이상의미가없는대응이되기도한다. 위와같은몇가지특징들은진단및치료를어렵게하기때문에최근스파이웨어들이자주 사용하고있다. 그이외에도실행압축및내부문자열난독화, 프로세스간상호보호등의 기법을 AntiVirusXP2008 에서이용하고있다. 22
(3) 시큐리티 PDF, HWP 취약점을이용한악성코드유포 Office 취약점들이 2006년도부터발견된이후, 최근공격들은서비스나시스템취약점을이용하는것보다파일형식 (File Format) 의취약점들을악용하는사례가많이발생하고있다. 또한, Fuzzer 등을이용한자동화된방법으로손쉽게특정이미지및오피스, 기타어플리케이션등에서사용하는파일의취약점들이발견되고있다. PDF 자바스크립트 (JavaScript) 취약점 올해 2월에다양한 PDF 관련취약점들이발표되었다. 이중, 최근 PDF 자바스크립트 (Javascript) 관련하여다양한함수들상에서발생하는버퍼오버플로우 (Buffer Overflow) 취약점 (CVE-2007-5659) 1 을이용하는악성코드가자주발견되고있어해당취약점에대하여살펴본다. 일반적으로 PDF 문서내부에는자바스크립트 (JavaScript) 관련함수들을추가할수있는데, Acrobat Reader 가해당자바스크립트의특정함수들을읽어들이면서유효검증값체크를 하지않아버퍼오버플로우취약점이발생한다. 우선, 발견된악성코드는 Collab 오브젝트 CollectEmailInfo 함수의버퍼오버플로우취약점을이용하였다. 해당악성 PDF 파일에자바스크립트가삽입된부분은아래와같다. FlateDecode 필터형태 (/Filter /FlateDecode) 를보면확인할수있듯이 Zlib를사용하여데이터가압축되어있다. [ 그림 2-7] 자바스크립트가삽입된 pdf 파일 1 http://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2007-5659 23
악의적인 PDF 파일의압축데이터부분을풀면아래와같은악의적인스크립트가포함되어 있음을확인할수있다. [ 그림 2-8] 악의적인 pdf 파일에포함된자바스크립트 위의스크립트는 eval 및 String.fromCharCode를통해인코딩 (Encoding) 되어있으며, 이스크립트를다시디코딩하면아래그림과같이 CollectEmailInfo 함수의버퍼오버플로우취약점을이용하는 Exploit 스크립트코드임을알수있다. [ 그림 2-9] 버퍼오버플로우를발생시키는코드 해당 Exploit 은멀티다운로더기능을가지고있는데, 이를이용하여, 스파이웨어및악성코 드, 루트킷드라이버설치등의악의적인행위를야기할수있다. 이에대한해결책으로는, 제품벤더로부터권고된 Adobe Acrobat Reader version 8.1.2 버전으로업그레이드하여야 24
하며, 일반적으로가장최신의 Acrobat Reader 버전을유지하는것이좋은방법이될수있 다. 아래한글 2007 매크로실행의위험성 매크로기능은마이크로소프트오피스제품에도존재하며, 일반적으로사무용어플리케이션 들에서제공하는기능이다. 그러나, 공격자에의해악의적으로사용된매크로기능은해당 시스템에특정명령어를실행하는등의피해를발생시킬수있다. 앞서언급된 PDF와마찬가지로악의적으로조작된한글 (hwp) 파일을이용한공격사례도종종발생한다. 이중, 아래한글 1 2007 에서제공하는스크립트매크로기능의구조적문제를이용한공격이최근발견되었다. 이번사례와같이매크로기능을이용한공격을단순취약점으로보기에는다소무리가따르는것같다. 일반적으로아래한글의매크로는특정명령의자동실행에사용되는데, 아래한글 2007 의 매크로기능중에는스크립트매크로기능이존재한다. 1 www.haansoft.com 25
[ 그림 2-10] 아래한글 2007 매크로기능 스크립트가포함되어있는악의적인한글파일은바이너리파일속에서다음과같이확인 가능하며, 또한, 아래한글 2007 을통해서직접삽입된스크립트를확인할수있다. 26
[ 그림 2-11] 스크립트가내포된악의적인한글파일 [ 그림 2-12] 아래한글 2007 을통한스크립트확인 해당스크립트는기본적으로윈도우시스템디렉토리에 HwpUpdate.exe와 hncupdate.exe 파일을생성하고실행한다. 생성된 HwpUpdate.exe는특정사이트로부터 GIF 변조파일 ( 내부적으로 dll 및 PE 파일 ) 을다운로드하고, hncupdate.exe는멀티다운로더로아래와같은다수의파일들을추가적으로다운로드한다. 이렇게다운로드된파일들은 ARP 스푸핑 (Spoofing) 공격에사용된다. 27
[ 그림 2-13] hncupdate.exe 로부터다운로드되는파일목록 최신판아래한글 2007 버전에는스크립트매크로의보안기능이추가되었고, 기본적으로보안수준이 높음 으로설정되어있어아래한글스크립트공격방식과같은스크립트매크로가실행되지않는다. 또한, 비록보안수준이낮음으로설정된다하더라도해당스크립트공격은수행되지않는다. 그러므로, 사용자들은가장최신의아래한글 2007 버전으로반드시업데이트하여사용하여야할것이다. 마이크로소프트오피스취약점의꾸준한증가 이번 8월마이크로소프트사로부터발표된보안패치에는 MS08-041 엑세스, MS08-043 엑셀, MS08-051 파워포인트, MS08-044 Office 라이브러리, MS08-042 워드등오피스관련취약점들이 5개나포함되어있다. 오피스프로그램은대다수사용자가이용하는어플리케이션으로스프레드시트프로그램인엑셀 (Excel), 문서작성 / 편집프로그램인워드 (Word), 프리젠테이션관련프로그램인파워포인트 (PowerPoint), 데이터베이스관련프로그램인 (Access), 이메일프로그램인아웃룩 (Outlook) 등으로구성되어있다. MS 오피스취약점은바로이러한오피스프로그램및오피스라이브러리에버그 (bug) 가존재하는것을의미하며, MS 오피스프로그램은기업을비롯하여방대한컴퓨터에설치되어있기때문에그피해로인한위험의심각도가매우높다고볼수있다. MS 오피스는다수의어플리케이션으로부터생성된데이터를하나의파일에포함시킬수있 28
는 Compound Document File Format을갖는다. Compound Document file은실제파일시스템과유사한데, 데이터를다수의 Stream( 파일개념 ) 으로분할하여 Storage( 디렉토리개념 ) 에나누어저장한다. 다시 Stream은작은데이터블록단위인 Sector로구분되는데반드시연속되는 Sector들이하나의 Stream을이루는것은아니며 Stream의구성은 Sector들의연결 Chain(SID chain) 으로표현된다. Compound Document File Format 1 은일반적으로다음과같이메타데이터를저장하고있는 Header 와고정된사이즈의 Sector 들로구성되어있다. [ 그림 2-14] Compound Document File Format 파일구조 일반적으로 MS 오피스의취약점은특정오브젝트의특정필드에서오버플로우가발생하거 나오피스공통라이브러리에서취약점이발견되는경우도존재한다. 오피스사용자가주의해야할점은아래와같다 1) 오피스프로그램의보안패치를주기적으로해야한다. 2003 SP3 사용또는 2007 최신판사용을고려한다. 2) 오피스파일을메일또는웹으로받은경우에는신뢰되지않은사용자이거나신뢰되지않은웹사이트인경우에주의가필요하다. 3) Anti-Virus 제품및개인방화벽을사용한다. 4) 네트워크관리자는네트워크보안제품의사용을고려한다. 5) 네트워크관리자는메일서버에서오피스파일이첨부된이메일 (E-Mail) 을필터링 (Filtering) 하는것을고려할수도있다. 앞서언급된 PDF, 한글 (HWP), 오피스등의어플리케이션파일들을공격매체로삼는공격 방식은파일을오픈하는등의사용자개입이요구된다. 따라서, 공격자는특정사용자또는 불특정사용자에게 Internet Explorer 을통하여해당취약점이포함되어있는특수하게조작 1 Microsoft Compound Document File Format (http://sc.openoffice.org/compdocfileformat.pdf) 29
된웹사이트를방문하도록유도하거나, 특수하게조작된파일을메일또는메신저등으로전 송하는경우가대부분이기때문에특정파일을오픈하는경우에는보다더신중한사용자의 주의가필요할것이다. 30
(4) 네트워크모니터링현황 최근 8 월한달동안네트워크모니터링시스템으로부터탐지된상위 Top 5 보안위협들은 다음과같다. 익스플로잇공격이주를이루었던 7 월과달리, 데이터베이스의관리자권한을 얻어내기위한패스워드대입시도탐지회수가 3 위로랭크되었다. 순위 취약점명 비율 1 MS05-027 Vulnerability in Server Message Block Vulnerability 70% 2 MS03-039 Microsoft SQL Server Vulnerability 9% 3 MS-SQL SA brute force login attempt 8% 4 MS04-11 Local Security Authority Subsystem Service(LSASS) 7% Vulnerability 5 MS03-026 Buffer Overrun In RPC Interface Vulnerability 6% [ 표 2-1] 네트워크공격취약점순위 상위 5 개의공격모두공개된지 3 년이상지났지만아직도많은수의호스트가이와같은 취약점의공격대상이되고있다. 이는여전히취약점이패치가되지않은시스템이많다는 것을의미하며, 이와같은공격위협을방어하기위해서는시스템의올바른패치가필요하다. 다음으로주요탐지포트들을통한동향을살펴보면, 지난달에이어 NetBIOS와관련한 TCP/445, TCP/139, TCP/135 포트가상위랭크를차지하였으며해당취약점은 MS03-026, MS04-011, MS06-040과같다. 특이한점은 80포트를이용한트래픽이엄청나게증가한것으로악성코드감염후재차다른악성코드의전송을요청하는다운로더에의한것으로추정된다. SQL 취약점이사용하는 TCP/1433 포트는큰수치로 3위에랭크되었으며, 또한악성코드를다운로드하기위해이용되는 TFTP 서비스로인하여 UDP/69 포트에대한트래픽이주요공격포트에랭크되었다. 31
[ 그림 2-15] 공격에이용된포트별분포 공격발생지별국가현황을살펴보면, 한국은여전히 1위를차지하고미국이 3위에서 2위로한단계올라섰다. 한국은많은공격을받고악성코드에감염되면서, 재차공격을시도하고그로인해공격발생지국가에서상위를차지하는것으로추정된다. 중국이 14위로 10위권내에랭크되지못하였고 11위에서 14위로순위가내려갔으나, 주의깊게지켜보아야할국가일것이다. 순위 국가 비율 전달비교 순위 국가 비율 전달비교 1 KR 48% - 6 TW 4% - 2 US 17% 1 7 PH 2% - 3 JP 13% 1 8 SG 2% - 4 HK 7% - 9 MY 1% - 5 IN 5% - 10 AU 1% [ 표 2-2] 공격국가별순위및비율 DNS 의 Cache Poisoning 취약점에따른네트워크현황 다음그래프는 7월 24일공격코드가공개된 DNS 캐시오염에관한위협정도를알아보기위해지난한달간 UDP/53번포트의트래픽양을조사한것이다. 갑자기트래픽양이증가한날이있었지만양의증가형태가지속적이지는않다. 따라서이러한증가가공격의형태라고는단정하기어렵다. 하지만이취약점은 DNS를이용하기때문에이러한큰파장을일으킬 32
수있고따라서항상동향에주목해야한다. [ 그림 2-16] DNS 포트트래픽 33
(5) 중국보안이슈 한국산온라인게임을노리는중국산트로이목마생성기 최근발간된 ASEC Report을통해서, 현재도끊임없이온라인게임관련트로이목마가지속적으로제작되고있다는사실과중국에서제작된온라인게임관련트로이목마생성기들에대하여살펴보았다. 이제까지소개된트로이목마생성기들은모두중국에서제작된온라인게임들과관련이있었으나이번 8월에는한국에서개발된온라인게임을노리는트로이목마생성기를중국언더그라운드를통해확보하게되었다. [ 그림 2-17] 한국산온라인게임관련트로이목마생성기의아이콘 이번에확보된트로이목마생성기는한국에서코믹북을통해널리알려진온라인게임을공격대상으로하고있으며, 일부중국언더그라운드해커그룹또는악성코드제작그룹의회원들사이에서만공유되었던것으로추정된다. 기능상으로는 HTTP와이메일을통해서사용자정보를유출하고있어기존에알려진다른트로이목마생성기와큰차이는없으며생성된트로이목마역시기존에발견된온라인트로이목마와유사하였다. 중국해커들과인도정부의사이버전쟁 8월전세계의이목이중국북경올림픽에집중되어있을때비교적조용히진행된 2건의사이버전쟁이발생하였다. 하나는러시아와그루지아간에발생한전쟁으로유럽과미국등의보안전문가들에의해서비교적자세하게다루어졌으나, 다른한건은인도일부언론에서만알려진중국해커들과인도정부간의현재진행중인사이버전쟁으로 2007년 8월경부터시작된것으로알려졌다. 최초발생은중국해커들에의해서 140개넘는인도의웹사이트가변조되고피싱이나악성코드유포지로활용되는것으로부터시작되었다. 그러나 2008년 5월경중국해커들에의해인도정부기관들의웹사이트가직접적인공격을받게되면서, 인도정부에서는중국해커들에대해적극적인대응을발표하고인도정보부를중심으로하여대대적인정부기관들의시스템을점검및공격근원지추적등으로응수하며중국해커들과인도정부간의사이버전쟁이전개되었다. 34
인도에서발생한이러한일련의사고들은한국에서이미발생하고있는중국발해킹이일본및인도등의주변국으로점차퍼지고있는추세라고분석할수있다. 이러한중국해커들의주변국시스템공격에대해아시아각국간의국제적인공조와협조를통한대응이필요하리라여겨진다. NetBot.DDOS.Team 의또다른공격툴 Panda DDoS V1.0 넷봇 (NetBot) 으로널리알려진중국의 NetBot.DDOS.Team에의해서 8월 13일경새로운분산서비스거부공격툴이제작된것이발견되었다. 이번에제작된툴은판다분산서비스거부공격 (Panda DDoS V1.0) 로서기존넷봇 (NetBot) 생성기등을유료로판매하는것과는다르게무료로제공하고있어중국언더그라운드내에서많은사용이있을것으로예측된다. 이번제작된판다분산서비스거부공격툴은다음과같은기능을제공하고있다. 1) 공격대상의 IP 또는도메인주소설정시스템의 IP 주소나도메인주소를설정하여특정시스템에대한공격대상설정이가능하다. 2) 분산서비스거부공격의대상이되는포트 (Port) 공격대상이되는시스템의네트워크포트 (Port) 를지정하여공격발생시특정서비스만을제공하지못하도록설정할수있다. 3) 분산서비스거부공격의형태제공되는분산서비스거부공격형태는모두기존에알려진공격형태들을복합적으로사용할수있다. 해당툴에서제공되는공격형태는 Syn 및 UDP 플로딩공격, ICMP와 TCP 플로딩공격, UDP와 TCP 플로딩공격그리고공격자의지정된시간단위에따라서자동으로공격형태를다양하게지속적으로변경해주는자동공격기능을제공하고있다. 해당툴은현재 1.0 버전이지만 NetBot.DDOS.Team 에의하면지속적으로기능들을개선 및추가되는버전들을개발할예정이며무료로제공할계획이라고한다. 35 이번에발견된판 다분산서비스거부공격툴은 NetBot.DDOS.Team 의분산서비스거부공격에대한기술 력과시와동시에상용으로판매하고있는넷봇 (NetBot) 의판매를활성화하기위한것으로 추정된다. 이러한분산서비스거부공격툴이중국언더그라운드에서많이사용될경우한국에서올 초에발생한분산서비스거부공격을통한웹사이트인질극이다시빈번해질수있을것 으로예측됨으로이러한공격에대응할수있는네트워크장비들을통해만일의사고에대 비하여야할것이다.
III. ASEC 컬럼 (1) Win-Trojan/Agent.6144.HK 분석 악성코드가자신의프로세스에서외부를연결하는행동은대부분행위기반탐지에서감지되어차단되거나악성코드자체가삭제된다. 이를피하기위한방법으로악성코드제작자들은시스템의정상적인프로세스를이용하기도한다. 악성코드의쓰레드를시스템프로세스에인젝션하거나리모트쓰레드를생성하기도하고, Windows Socket Layered Service provider DLL을이용하는방법도존재하였고, ws2_32.dll이나 wsock32.dll의함수를후킹하는방법도사용되었다. 이번컬럼에서분석한 Win-Trojan/Agent.6144.HK는자신의파일이감지되어파일이삭제되는것을방지하고시스템프로세스를이용하여외부와연결하기위하여 Detour Patch라는방식을사용하여시스템의함수를후킹한다. 8월중순국내에감염보고가된 Win- Trojan/Agent.6144.HK가사용하는외부연결방식과이를제거하기위한방법을상세히분석하였다. 시스템후킹 Karina.dat라는파일명으로접수된 Win-Trojan/Agent.6144.HK는 DLL로서다른악성코드에의해서시스템에감염되는것으로보인다. Karina.dat는코드자체가암호화되어존재하며가상메모리에복호화한코드를실행하고 ntdll.dll의 Undocumented API인 LdrLoadDll 함수를 Detour Patch하여자신의특정코드를실행하도록한다. [ 그림 3-1] NTDLL.DLL!LdrLoadDll 후킹전 [ 그림 3-2] NTDLL.DLL!LdrLoadDll 후킹후 36
[ 그림 3-3] NTDLL.DLL!LdrLoadDll 함수에대한 Detour Patch [ 그림 3-3] 은 Win-Trojan/Agent.6144.HK가 NTDLL.DLL의 LdrLoadDll함수를후킹하여자신의코드를실행하고다시본래의코드를실행하도록하는것을도식화한것이다. NTDLL.DLL의 LdrLoadDll 함수는 Undocumented API 함수로서어플리케이션에서 LoadLibrary 함수가호출되면 LoadLibrary 함수는내부적으로다시 LdrLoadDll 함수를호출하게된다. NTSYSAPI NTSTATUS NTAPI LdrLoadDll( IN PWCHAR PathToFile, OPTIONAL IN ULONG Flags, OPTIONAL IN PUNICODE_STRING ModuleFileName, OUT PHANDLE ModuleHandle ); [ 그림 3-4] Undocumented API LdrLoadDll LdrLoadDll 함수가호출되면메모리상의악성코드로분기하여다음과같은과정을거치게된 다. 가. LdrLoadDll을호출한어플리케이션이 ws2_32.dll를로드하였는지여부를 Undocumented API인 LdrGetDllHandle을이용하여찾는다. 나. 어플리케이션에자기방어를위한쓰레드를생성하여실행한다. 다. Ws2_32.dll이로드되었으면 WSAConnect, connect, send 함수에대해서 Detour Patch Hook을설정한다. 라. 어플리케이션이외부연결을시도하는경우미리설정된특정주소로의연결을시도한다. 37
[ 그림 3-5] WS2_32.DLL!WSAConnect, connect, send 함수에대한 Detour Patch Connect 후킹코드는다음과같이 WSAConnect 후킹코드를호출하므로 WSAConnect 후킹 코드를공유하게된다. [ 그림 3-6] connect 후킹코드 자기방어 LdrLoadDll 후킹코드에서는새로운쓰레드를생성하는데이쓰레드는일정한 Sleep 간격으로두가지의동일한작업을하도록되어있다. 하나는특정레지스트리값을새로설정하는것이며, 다른하나는실행된경로의자신의파일의속성을체크하여에러가발생하는경우자신의파일이삭제되었다고간주하고동일한파일을다시생성하도록한다. HKLM\software software\micro microsoft soft\windows nt\currentversion currentversion\windows appinit_dlls = % 실행경로 %\karina.dat 위레지스트리설정값으로인하여감염된시스템의모든어플리케이션은프로그램시작시 karina.dat(win-trojan/agent.6144,hk) 를자동으로로드하게된다. 그리하여모든어플리케이션은레지스트리설정과파일존재를계속적으로체크하여다시복원시켜줌으로써치료를어렵게만든다. 38
외부연결 Detour Patch된 LdrLoadDll 함수의후킹코드는 LoadLibrary를호출한어플리케이션이 ws2_32.dll을로드하고있는지를 LdrGetDllHandle 함수를이용하여알아낸다고이미앞에서설명하였다. Ws2_32.dll의 WSAConnect, connect, send 함수는외부와의네트워크소켓통신에사용되는중요 API들이다. LdrLoadDll 후킹코드는위세개의함수에대해서 Detour Patch를하여네트워크연결에대한스니핑 (Sniffing) 과스푸핑 (Spoofing) 을가능하도록한다. 먼저후킹된 WSAConnect 후킹코드는실제 IP 주소를사용하여외부호스트를연결하는 socketaddr 구조체를변경하여미리설정한특정주소로연결되도록스푸핑한다. 후킹된 connect 후킹코드는 WSAConnect 후킹코드를재호출하도록연결만하였다. [ 그림 3-7] HTTP GET Spoofing [ 그림 3-7] 는인터넷익스플로러가 MSN.CO.KR 에접속을할경우를이더리얼을통해패킷 을덤프뜬것으로 WSAConnect 를스푸핑하여다른주소로의접속을하는것과 send 를스 39
푸핑하여 HTTP GET 쿼리를조작하는경우이다. [ Type A ] GET /%s HTTP/1.0 Accept: */* Host: %s Connection: close [ Type B ] GET http://%s/%s HTTP/1.0 Accept: */* Host: %s Connection: close [ 그림 3-8] 실제 HTTP GET 쿼리문을스푸핑하여특정호스트로의외부연결시도 분석당시연결된 voovle.info 라는서버는 Google Earth 로검색하면홍콩에서버가존재하 는것으로나온다. 그러나다른악성코드를다운로드하지는못하였다. 치료 Win-Trojan/Agent.6144.HK 악성코드는시스템의윈도우어플리케이션들에인젝션되어동작하며새로운쓰레드를생성하여자신의레지스트리와파일에대한감시를한다. 시스템에 V3나안티바이러스가설치되어있어사전방역을하면모를까그렇지않은경우에는완벽하게치료하기어렵게된다. 치료를위해서는다음과같은조건이선행되어야한다. 1. 윈도우어플리케이션에인젝션되어진악성코드의쓰레드를모두종료시켜야한다. 2. 악성코드가후킹한 Ntdll.dll!LdrLoadDll, ws2_32.dll!wsaconnect, connect, send 함수들에대한후킹제거 3. 레지스트리값 (appinit_dlls) 제거 4. 실행파일인 Karina.dat DLL 제거 40
< 전용백신 > http://kr.ahnlab.com/dwvaccineview.ahn?num=74&cpage=1 < 수동조치 > 감염된시스템하드디스크를다른시스템에붙여악성파일인 karina.dat 를삭제하고이후에 레지스트리값을삭제하도록한다. 41