ASEC Report 9월 ASEC Report 2007. 10 I. ASEC 월간통계 2 (1) 9월악성코드통계 2 (2) 9월스파이웨어통계 11 (3) 9월시큐리티통계 14 II. ASEC Monthly Trend & Issue 16 (1) 악성코드 Win-Trojan/Eldo 16 (2) 스파이웨어 교묘해진스파이웨어의동의과정 19 (3) 시큐리티 데이터복원이슈 24 III. 2007 년 3/4 분기동향 28 (1) 2007 년 3/4 분기악성코드동향 28 (2) 2007 년 3/4 분기스파이웨어동향 33 (3) 2007 년 3/4 분기시큐리티동향 35 (4) 2007 년 3/4 분기일본악성코드동향 42 (5) 2007 년 3/4 분기중국악성코드동향 47 (6) 2007 년 3/4 분기세계악성코드동향 54 IV. ASEC 컬럼 57 (1) Virut 바이러스상세분석 57 (2) 실행압축파일진단의장단점 66 안철수연구소의시큐리티대응센터 (AhnLab Security Emergency response Center) 는악성코드및보안위협으로부터고객을안전하게지키기위하여바이러스분석및보안전문가들로구성되어있는조직이다. 이리포트는 안철수연구소의 ASEC에서국내인터넷보안과관련하여보다다양한정보를고객에게제공하기위하여악성코드와시큐리티의종합된정보를매월요약하여리포트형태로제공하고있다.
I. ASEC 월간통계 (1) 9월악성코드통계 순위 악성코드명 건수 % 1 - Win-Trojan/Xema.variant 95 40.9% 2 - Win32/Virut 60 25.9% 3 - Win32/IRCBot.worm.variant 21 9.1% 4 new VBS/Autorun 11 4.7% 5 new VBS/Solow 11 4.7% 6 new Win-Trojan/Eldo.10240 11 4.7% 7 new HTML/Agent 8 3.4% 8 2 TextImage/Autorun 7 3.0% 9 new Win-Trojan/Virut.45056 5 2.2% 10 new JS/Exploit 3 1.3% 합계 232 100.0% [ 표 1-1] 2007년 9월악성코드피해 Top 10 월악성코드피해동향 2007년 9월악성코드 Top10에는전월과동일하게 Win-Trojan/Xema.variant가 1위를차지하였다. 또한, Win32/Virut, Win32/IRCBot.worm.variant도나란히 2~3위를유지하였다. 새로이 6위에 Win-Trojan/Eldo.10240와 9위에 Win-Trojan/Virut.45056가 Top10에진입하였으며, 전월과동일하게온라인게임계정을탈취하는악성코드류에대한피해가많았으나다수의변종이접수되어 Top10에는진입하지못하였다. 9 월의경우스크립트관련악성코드가무려 5 건이나 Top10 에진입하였다. 그중 USB 메모 리등을통해전파되는 VBS/Autorun, VBS/Solow 가기승을부렸으며, 그에따라생성되는 TextImage/Autorun 또한 Top10 에진입된것을알수있다. 9 월의악성코드피해 Top 10 을도표로나타내면 [ 그림 1-1] 과같다. Copyright AhnLab Inc,. All Rights Reserved. 2
9 월악성코드피해 Top 10 3.4% 4.7% 3.0% 2.2% 1.3% Win-Trojan/Xema.variant Win32/Virut 4.7% Win32/IRCBot.worm.variant VBS/Autorun 4.7% 40.9% VBS/Solow Win-Trojan/Eldo.10240 HTML/Agent TextImage/Autorun Win-Trojan/Virut.45056 9.1% JS/Exploit 25.9% [ 그림 1-1] 2007 년 9 월악성코드피해 Top 10 [ 그림 1-2] 에서와같이 1월부터월별피해신고건수는꾸준히감소세를보이다가 6, 7월에는확산력이강한아이알씨봇 (IRCBOT) 의증가와함께새로운악성코드로인해전월보다 1000건이상증가하였다. 그러나, 8, 9월에는연초와유사한수치를보이며피해건수가감소되었다. 이는인터넷사이트, 게시판으로주로전파되는트로이목마가다소감소되었으며, 휴가철을맞이하여컴퓨터사용빈도가낮은것도하나의영향으로보인다. 2007 년월별피해신고건수 4,000 3,500 3,536 3,000 2,500 2,000 1,500 1,000 2,057 1,558 1,111 1,617 1,264 2,321 1,775 1,305 500 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 1-2] 2007 년월별피해신고건수 Copyright AhnLab Inc,. All Rights Reserved. 3
9월악성코드 Top 10 전파방법별현황 [ 표 1-1] 의악성코드피해 Top 10에서확인된악성코드의전파방법은아래 [ 그림 1-3] 과같다. 9 월악성코드 Top10 의전파방법별현황 웜 9% 스크립트 17% 트로이목마 48% 트로이목마바이러스스크립트웜 바이러스 26% [ 그림 1-3] 2007 년 9 월악성코드 Top 10 의전파방법별현황 9월에도변함없이트로이목마류가가장많은피해를발생시켰으나전월 (53%) 에비해다소감소하였다. 바이러스는 Virut의기승으로전월 (21%) 대비 26% 로증가하였고, 스크립트는전월 (2%) 대비무려 17% 를점유하며상승되었다. 반면, 웜 (Worm) 은전월 (17%) 대비감소하였으나꾸준히 Top10에등록되어위력을과시했다. 피해신고된악성코드유형현황 2007 년 9 월에피해신고된악성코드의유형별현황은 [ 그림 1-4] 와같다. Copyright AhnLab Inc,. All Rights Reserved. 4
2007 년 9 월악성코드유형별현황 드롭퍼 12.2% 바이러스 0.4% 유해가능 1.6% 스크립트 3.2% 웜 7.8% 웜 트로이목마 바이러스드롭퍼 유해가능 스크립트 트로이목마 74.8% [ 그림 1-4] 2007 년 9 월피해신고된악성코드유형별현황 전체피해신고에서의악성코드유형을확인해보면, 트로이목마가 74.8% 로가장많았으며 2위는드롭퍼 (12.2%), 웜 (7.8%) 는 3위를차지하였다. 그외스크립트 3.2%, 뒤를이어유해가능 1.6%, 바이러스가 0.4% 였다. 바이러스의경우피해건수에대한유형별현황으로보았을때는미미하나 Top10에 2위로등극할만큼전체피해통계측면에서보면피해가많았다. 트로이목마의경우여전히 74.8% 를차지해다양한악성코드들이새로이나타나고있음을단적을보여주고있다. 이중주요악성코드유형인트로이목마, 바이러스, 웜에대한피해신고비율을따져보면 [ 그림 1-5] 와같다. 2007 년 9 월웜, 트로이목마, 바이러스피해신고비율 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 90.09% 9.45% 0.46% 웜 트로이목마 바이러스 [ 그림 1-5] 2007 년 9 월웜, 트로이목마피해신고비율 Copyright AhnLab Inc,. All Rights Reserved. 5
월별피해신고된악성코드종류현황 악성종류현황은국내에서발견된변종및신종악성코드증감을나타내며, [ 그림 1-6] 에서와같이 2007 년 8 월에급격한감소세를보인이후 9 월에다시증가추세를보이고 있다. 2007 년월별피해신고악성코드종류 1800 1600 1400 1200 1000 800 600 400 200 0 1710 1097 1061 945 928 1046 829 725 630 1월 2월 3월 4월 5월 6월 7월 8월 9월 10 월 11 월 12월 [ 그림 1-6] 2007 년월별피해신고악성코드종류개수 Copyright AhnLab Inc,. All Rights Reserved. 6
국내신종 ( 변형 ) 악성코드발견피해통계 9 월한달동안접수된신종 ( 변형 ) 악성코드의건수및유형은 [ 표 1-2], [ 그림 1-7] 과같 다. 웜 트로이 드롭퍼 스크립트 파일 매크로 부트 부트 / 파일 유해가능 비윈도우 합계 7 월 28 300 71 4 3 0 0 0 16 0 422 8 월 54 327 72 1 6 0 0 0 10 1 471 9 월 32 418 78 1 1 0 0 0 1 1 531 [ 표 1-1] 2007년최근 3개월간유형별신종 ( 변형 ) 악성코드발견현황 전월대비전체악성코드가 13% 가량증가하였다. 증가된원인은온라인게임계정을탈취하는악성코드류가전월대비 132% 가량증가하였기때문에그렇다. 최근 3개월간해당악성코드의발견수는하락하고있었으나이번달들어갑자기증가하였다. 웜의발생비율은전월대비줄었는데그이유는대부분악성 IRCBot 웜에의한다. 앞의피해신고 top 10에서 IRCBot 변형이 3위에올랐으나, 웜자체의발생건수가줄은것은악성 IRCBot의피해가적은건수에도불구하고심각하다는것을의미한다. 이외에실행파일을감염시키는바이러스도전월대비 1건밖에보고되지않았으며유해가능프로그램도역시그렇다. 전체적으로악성코드는전월보다줄었지만온라인게임의사용자계정을훔쳐내는악성코드류가폭발적으로증가하였기때문에전체악성코드비율이전월대비소폭상승하였다. 다음은이번달악성코드유형을상세히분류하였다. 15% 9 월신종 ( 변형 ) 악성코드유형 0% 3% 2% 1% 0% 0% 트로이목마드롭퍼웜 (IRC) 웜 (AutoRun) 웜 (Mail) 유해가능파일 ( 바이러스 ) 스크립트 79% [ 그림 1-7] 2007 년 9 월신종및변형악성코드유형 Copyright AhnLab Inc,. All Rights Reserved. 7
통계에서는제외되었지만 ( 통계는국내접수샘플기준으로작성 ) MSN 을전파수단으로사용하는웜도 4 개가발견되었다. 신종은아니며기존에있었던변형으로특이하다면기존의메신저웜이자신을전파할때사용하는메시지가영문이나독어, 이탈리어등아메리카또는유럽지역내언어였다. 그러나 9월에발견된 MSN 메신저웜변형중하나는메신저에출력하는메시지를중국어병음을영어로표기한것이발견되었다. 악성코드자체로는특이할만한것은없으나이것은처음발견된사례라하겠다. 다음은최근들어증가추세인메신저관련웜의증가추이를그래프로나타내보았다. 해당악 성코드들은 MSN 과 Skype 를전파수단으로사용하는악성코드이다. 14 12 10 8 6 4 07년 3 분기메신저웜증가추이 9 13 2 0 2 7 월 8 월 9 월 [ 그림 1-8] 2007 년 3 분기메신저웜증가현황 특히이번달은 Skype 로자신을전파하는악성코드인 Win32/Skipi 변형도다수발견되어 전월대비하여상승하였다. 이번달은 Win32/Klest.D 라는바이러스가보고되었는데후위형바이러스이고원본파일에 섹션하나를추가하며특정호스트로부터파일을다운로드하는작은쉘코드를하나포함하 고있다. 다음은 9 월에증가및감소한주요악성코드유형에대한현황이다. Copyright AhnLab Inc,. All Rights Reserved. 8
450 400 350 300 250 200 150 100 50 0 2007년 9월증가및감소악성코드유형트로이목마웜바이러스 [ 그림 1-9] 2007년 9월감소및증가악성코드유형 8 월 9 월 위에서언급한바와같이전체적으로는악성코드수는줄었으나트로이목마류의증가가눈 에띈다. 유해가능프로그램수도줄었는데대부분 V3 에포함되는유해가능프로그램들은 리모트어드민프로그램류또는버추몬드라고알려진스파이웨어이다. 다음은트로이목마및드롭퍼의전체비중에서상당한비율을차지하는온라인게임의사 용자계정을탈취하는트로이목마의추세를살펴보았다. 2007년온라인게임사용자계정탈취악성코드추세 300 250 248 200 150 100 214 130 164 145 136 171 110 107 50 0 07년01월 2월 3월 4월 5월 6월 7월 8월 9월 [ 그림 1-10] 온라인게임사용자계정탈취트로이목마현황 1 Copyright AhnLab Inc,. All Rights Reserved. 9
해당악성코드들은전월대비 132 % 상승하였다. 여러가지가능성이있지만, 우선국내온라인게임들을타켓으로하는진단명을갖는 Win-Trojan/KorGameHack의수가전월보다무려 300% 넘게증가하였다. 보통이런경우과거에는국내에보안에취약한웹사이트가해킹을당한수도많을것으로추정해볼수도있으나, 최근에는하나이상의다운로더증상을갖는악성코드가대량으로다른악성파일을다운로드하고이러한증상을반복한다. 근래들어온라인게임계정을탈취하는악성코드를비롯하여중국산악성코드들은한대의시스템에다른변형들이대량감염되는특징이있다. 올해중국산악성코드의특징중하나는이러한대량감염이특징이된다하겠다. Copyright AhnLab Inc,. All Rights Reserved. 10
(2) 9월스파이웨어통계 9월스파이웨어피해현황 순위 스파이웨어명 건수 비율 1 New Win-Downloader/Upmdlin.36864 8 13% 2 New Win-Adware/CityFriend.Hebogo.28672.D 8 13% 3 New Win-Spyware/PWS.KorGame.15872.BM 7 11% 4 New Win-Downloader/SideLinker.36864.B 6 10% 5 New Win-Spyware/CityFriend.HKnamemon.77824 6 10% 6 New Win-Spyware/Basine.125440.B 6 10% 7 New Win-Spyware/PWS.OnlineGames.3514 6 10% 8 New Win-Dropper/Killav.15360 5 8% 9 New Win-Downloader/Xema.124416 5 8% 10 New Win-Downloader/CashBackNara.281088 5 8% 합계 62 100% [ 표 1-3] 2007년 9월스파이웨어피해 Top 10 8% 8% 2007 년 9 월스파이웨어피해 Top 10 13% Win-Downloader/Upmdlin.36864 Win-Adware/CityFriend.Hebogo.28672.D 13% Win-Spyware/PWS.KorGame.15872.BM 8% Win-Downloader/SideLinker.36864.B 10% 11% Win-Spyware/CityFriend.HKnamemon.77824 Win-Spyware/Basine.125440.B Win-Spyware/PWS.OnlineGames.3514 Win-Dropper/Killav.15360 10% 10% 10% Win-Downloader/Xema.124416 Win-Downloader/CashBackNara.281088 [ 그림 1-11] 2007 년 9 월스파이웨어피해 Top 10 2007 년 9 월스파이웨어피해통계의상위는대부분이국내애드웨어가차지하고있다. 2007 년에는특히국내에서제작배포되는애드웨어가많은피해를입히고있으며, 영어권 국가에서제작배포되는스파이웨어는피해순위상위권에서발견하기힘들다. 피해순위상 위권이대부분국내애드웨어인중에서중국에서제작된온라인게임계정유출스파이웨어 Copyright AhnLab Inc,. All Rights Reserved. 11
(Win-Spyware/PWS.KorGame, Win-Spyware/OnlineGames) 가피해통계 Top10 에포함되어있다. 이들온라인게임계정유출스파이웨어는 9월에다수의신종및변형이발견되었으며, 이들변형을포함한전체피해건수는약 140건에달하고있으며, 여전히큰위협으로존재하고있다. 2007년 9월스파이웨어피해통계의공동 1위와 5위를차지한애드웨어씨티프렌드 (Win-Adware/CityFriend.Hebogo.28672.D) 는꾸준한피해를입히고있는애드웨어이다. 애드웨어씨티프렌드는팝업광고를노출하며, 제거방법을제공하지않는데다랜덤한파일이름을사용하여설치하기때문에수동제거가어려운특징이있다. 2007 년 9 월유형별스파이웨어피해현황은 [ 표 1-4] 와같다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 7월 261 183 55 232 10 20 3 1 0 765 8월 197 105 43 156 12 6 0 0 0 519 9월 291 119 35 132 8 7 0 0 0 592 [ 표 1-4] 2007년 9월유형별스파이웨어피해건수 2007년 9월스파이웨어피해신고건수는 592건으로지난 8월의 519건보다다소증가한가운데중국에서제작된온라인게임계정유출스파이웨어증가의원인으로스파이웨어류의피해가 100건가까이증가하였다. 이들스파이웨어는중국발해킹이시작된지난 2005년부터꾸준한피해를입히고있으며, 현재에도해킹으로변조된크고작은웹사이트를통해사용자의시스템에감염되고있다. 보안취약점을이용하여손쉽고빠르게감염되며, 지금현재에도수많은변형이만들어지고있기때문에이들온라인게임계정스파이웨어의예방이나근절이어려운것이사실이다. 또한실행중에도눈에띄는동작이나타나지않기때문에감염된시스템에서찾아내는것또한쉽지않다. 이러한특징으로당분간온라인게임계정유출스파이웨어의피해는지속될것으로예상된다. Copyright AhnLab Inc,. All Rights Reserved. 12
9월스파이웨어발견현황 9 월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 1-5], [ 그림 1-12] 와같다. 스파이 애드웨 드롭퍼 다운로 다이얼 클리커 익스플 AppCare Joke 합계 웨어류 어 더 러 로잇 7월 63 50 17 65 4 5 0 0 0 204 8월 64 31 6 52 4 2 0 0 0 159 9월 91 37 12 40 6 6 0 0 0 192 [ 표 1-5] 2007년 9월유형별신종 ( 변형 ) 스파이웨어발견현황 21% 6% 3% 2007 년 9 월발견된스파이웨어 3% 0% 0% 0% 48% 스파이웨어류애드웨어드롭퍼다운로더다이얼러클리커익스플로잇 AppCare 조크 19% [ 그림 1-12] 2007 년 9 월발견된스파이웨어프로그램비율. 스파이웨어피해통계에서도언급한중국에서제작배포되는온라인게임계정유출스파이 웨어의영향으로스파이웨어류의신종및변형발견건수가 8 월에비해약 40% 증가한 91 건을기록하고있는것이가장큰특징이다. Copyright AhnLab Inc,. All Rights Reserved. 13
(3) 9월시큐리티통계 2007년 9월에는마이크로소프트사에서총 4개의보안업데이트를발표하고, 발표된업데이트는긴급 (Critical) 1개, 중요 3개로, 8월의총 9건에비해서, 줄어들었다. 이중에서인터넷익스플로러공격에사용될수있는 MS07-051 에대한패치가포함되었으며, Visual Studio 관련패치인 MS07-052, 윈도우에서유닉스서비스를동작시킬때필요한 Unix용윈도우서비스에대한패치 MS07-053 이포함된것이특징이라고할수있다. 14 12 10 8 공격대상기준 2006 년 9 월 ~ 2007 년 9 월 MS 보안패치분류현황시스템 IE 오피스어플리케이션서버총수 6 4 2 0 9 월 10 월 11 월 12 월 1 월 2 월 4 월 5 월 6 월 7 월 8 월 9 월 [ 그림 1-13] 2006 년 9 월 ~ 2007 년 9 월공격대상기준 MS 보안패치현황 [ 그림 1-13] 을보면, 전반적으로 2007년에들어와서, 어플리케이션취약점들 (IE, 오피스, 기타어플리케이션 ) 취약점들이증가추세에있는데, 9월달에는지난달에비하여, IE를공격할수있는취약점과 MS Messenger 에해당한패치가발표되어, 이러한어플리케이션취약점들에대한패치가꾸준히발생하는것을알수있다. 특이사항으로는 9월달에 OpenOffice 에서 TIFF 관련취약점이발견되었는데, Microsoft Office의취약점증가추세뿐만아니라, OpenOffice 또한취약점수가점차증가하고있다. 이러한오피스관련취약점은반드시오피스홈페이지에서보안업데이트를적용해야만, 클라이언트시스템의보안성을강화할수있다. 보다자세한사항은 3사분기이슈 / 트렌드에서알아본다. Copyright AhnLab Inc,. All Rights Reserved. 14
2007 년 7월웹침해사고현황 180 160 140 120 100 170 109 118 101 웹사이트침해사고현황 157 91 91 96 경유지유포지 80 60 40 32 63 62 47 68 52 44 73 26 34 20 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 [ 그림 1-14] 웹사이트침해사고현황 2007 년 9 월의웹사이트침해지 / 배포지수는 96/34 로 2007 년 8 월과비교하여증가하였다. 이는다른달과비교하여큰차이가없는수치이며결과적으로 2007 년 8 월현황에서예측 하였던수치와비슷하다. 취약점별현황을살펴보면, MS07-017 취약점을이용한공격코드의배포가 20.5% 로이전에비하여크게줄어들었다. 이와같은상황은 AV제품들이조작된 Animated Cursor 파일들을잘진단하였기때문인것으로판단할수있으나단순히일시적인상황으로다음달에는예전과같은수치를회복할가능성도있기때문에 2007년 10월에가서야명확히분석될수있을것으로보인다. Copyright AhnLab Inc,. All Rights Reserved. 15
II. ASEC Monthly Trend & Issue (1) 악성코드 Win-Trojan/Eldo 9월은비교적조용한한달있었다. 물론 DDoS 공격으로잘못알려져버린 Eldo 트로이목마가언론에도보도가되면서세간의관심을끌기도하였다. 그리고이트로이목마와관련이깊은 Win32/Virut 바이러스의변형도출현하여분석가들을고민에빠트리기도하였다. 이번달에이슈가될악성코드에대하여정리해보았다. Win-Trojan/Eldo 트로이목마 먼저이트로이목마의출처는명확하지않지만잘알려진 Win32/Virut 바이러스에의해서다운로드되었을가능성이높다. 이러한가능성은 Virut 바이러스가특정 IRC 서버에접속하여파일을다운로드하고실행할수있는증상이있으며, 이러한전례가있었기때문이다. Eldo 라고명명된이악성코드는분산서비스공격 (DDoS) 기능이있는것처럼알려졌으나실제로는그렇지않고, 해당악성코드에의해서의도적이지않게발생한지속적인연결요청 SYN 패킷으로인하여문제가되었다. 이트로이목마는실행하면특정사이트로 HTTP Request 패킷을생성하게된다. 그러나정상적으로접속되지못한다면 5초간대기하였다가다시 HTTP Request 패킷을생성하는다른스레드를생성하게된다. 코드상으로다음과같다. [ 그림 2-1] Win-Trojan/Eldo 코드일부분 해당트로이목마는이과정에서해당웹사이트로접속이되지않자지속적으로 HTTP Request 패킷을생성하는스레드를생성하게되는무한루프를만들게된다. 이러한문제로인해과도한네트워크트래픽을생성하게되어분산서비스거부공격과유사한형태를만들게된다. 즉, 악성코드제작자가의도하지않았다하더라도결과적으로는이것은마치 DDoS 와유사한모습을갖게되었다. 또한이것은접속하려는사이트의서비스거부공격뿐만아니라해당트로이목마가대량으로감염된네트워크환경에서도제대로네트워크를이용할수없는상황을만들어내기도하였다. 중국어병음기호가있는메신저웜 Copyright AhnLab Inc,. All Rights Reserved. 16
Win32/ShadoBot.worm 변형으로알려진 MSN 메신저웜은올해발견된메신저웜중단연코발견순위가앞선다. 메신저특성상실시간으로메시지확인이가능하기때문에메신저웜은다양한언어의메시지를포함하는경우가많다. ShadoBot의경우도프랑스, 이탈리아어, 에스파냐어, 영어등포함하고있다. 이번달에발견된변형의경우다음과같이중국어병음이영문으로표시된것이첫발견되었다. [ 그림 2-2] Win32/ShadoBot 웜변형이메신저로전송되는메시지일부분 이렇게다양한메시지를가지고있는이유는감염된시스템의윈도우언어에따라보내는메시지도달라지기때문이다. 영문으로된스팸메일이비영어권에서잘읽혀지지않듯이사용자자신의언어가아닌경우라면메일이든메신저의메시지인경우도확인하지않기때문이다. 이러한다양한메시지도일종의사회공학기법으로해석될수있다. 또다른메신저웜의전파경로 - Skype 인터넷전화로대표되며 VoIP에서선도적인 Skype는 VoIP를이용한통화이외에도 P2P 기반의메신저기능을갖고있다. Skype 역시개발관련 SDK 가공개가되어악성코드제작자가이를노리고악성코드제작에악용하고있다. 이번달무려 9개의변형이거의동시에보고가되었다. V3는 Win32/Skipi.worm 진단명으로변형들을진단하고있다. [ 그림 2-3] Skype 악성코드가이용하는메시지및 Skype API 일부 Copyright AhnLab Inc,. All Rights Reserved. 17
Skype 관련웜은다른 MSN 메신저웜과달리이전에도소개된 Win32/Stration.worm 변형 의일부가자신의복사본이나다른변형을유포하는수단으로곧잘이용된다. Win32/Virut 바이러스변형등장 작년에이어서올해도 Win32/Virut 의피해와이슈는단연독보적이다. Virut 바이러스는안철수연구소기준으로 4개의변형이발견보고되었다. 이번달에발견된변형역시 Win32/Virut.C, D형에서크게벗어나지않는다. 따라서타사에서는 20개이상발견되었다고보도되지만이것은 Virut.B, C 또는 D형에서크게벗어나지않는다. 이는각안티바이러스업체기준에따라이것을모두다른변형으로보는지같은변형으로보는지의차이일뿐이다. 이번에나온 Virut 바이러스변형은때마침 Win-Trojan/Eldo 트로이목마와밀접한연관이있는것으로알려져 Virut 바이러스가더큰이슈를불러왔다. 이번달 ASEC 칼럼에서 9 월에발견된 Win32/Virut,C, D 형에관하여상세히소개하고있 으니참고하기바란다. Copyright AhnLab Inc,. All Rights Reserved. 18
(2) 스파이웨어 교묘해진스파이웨어의동의과정 누군가내집의초인종을누르며 잠깐들어가도될까요? 하고묻고는주인이미처대답을하기도전에, 혹은 누구세요? 라고묻기만했는데집으로들어온다면? 과연이것은무단침입이성립되는것일까? 아닌것일까? 하지만그결과가무엇이되었든그사람은초대받지않은손님. 즉, 불청객이라고할수있다. 최근내컴퓨터속으로이러한불청객과같은스파이웨어들이속속들이모이고있다. 첩보전을방불케하는그들의잠입방법은나날이교묘해져과거에는사용자에게묻지도않고설치되어불법이라는이미지를강하게풍겼다면, 최근의프로그램들은사용자의동의를얻는 모양새 만갖추는것으로그방법이바뀌었다. 사용자에게유용한프로그램이라하더라도사용자의동의없이설치되는것은 PC 사용자의기본적인권리를침해하는것이다. 사용자의동의를얻는과정없이설치되는것은당연히스파이웨어행위이기때문에스파이웨어로분류되는것이마땅하다. 그리고안티-스파이웨어프로그램들은그러한프로그램을진단 / 삭제한다. 이러한연유로국내의많은스파이웨어제작업체들은스파이웨어로분류되어삭제되거나법적인처벌을받지않도록하기위해프로그램설치전사용자의동의를얻는과정을포함시키는것으로그설치방법을많이변경하였다. 그런데사용자의적절한동의를얻어설치하는방법은그렇게하지않는방법과비교하여설치율이크게떨어질뿐더러수익의감소로직결된다. 대부분이광고를띄우는애드웨어이거나그다지필요없는프로그램들이기에, 사용자들이그런사실을알고도설치하는경우는많지않기때문이다. 이에국내스파이웨어제작업체들은안티-스파이웨어업체로부터의진단은피하고, 설치율을높이기위하여아래에서설명하는것들과같은행태를보이게되었다. Copyright AhnLab Inc,. All Rights Reserved. 19
[ 그림 2-4] 이용약관과취소버튼이없는설치동의창 [ 그림 2-4] 는창의버튼이 설치 와 확인 버튼밖에존재하지않는다. 아무리찾아보아도 취소 버튼이나 닫기 (X) 버튼은보이지않는다. 반드시표시해할이용약관역시보이지않는다. 대부분의프로그램에서 설치 버튼옆에 취소 버튼이존재하는데이창에서는 확인 버튼이있다. 그런데이창에서의 확인 버튼은 설치 버튼과동일한동작을하는버튼이다. 아마도많은사용자들이설치를취소하기위해 확인 버튼을누를것이다. 하지만이프로그램은사용자의의도와는다르게동작한다. 결국어떠한방법으로든사용자들은이프로그램을설치할수밖에없게된다. [ 그림 1-4] 확인하기힘든이용약관 [[ 그림 1-4] 는이용약관을거의알아보기힘들도록작게표시하고이용약관에는사용자에게 불리한사항이기록되어있다. 그나마이것은양호한편이다. 아래의 [ 그림 2-5] 는아예스 크롤바가존재하지않아처음몇줄이외의이용약관은읽을수조차없다. Copyright AhnLab Inc,. All Rights Reserved. 20
[ 그림 2-5] 읽을수없는이용약관 [ 그림 2-5] 의창에서 자세한이용약관보기 버튼을누르면이용약관이표시되는것이아니 라해당프로그램의홈페이지로만이동한다. 약관을보려면홈페이지의약관이있는곳으로 찾아들어가야만한다. 지금까지는집주인의적절한허락없이무단으로들어온것이었다. 이제부터소개할것은집주인허락없이들어온것도부족하여다른나쁜친구들까지불러들이는경우이다. 많은스파이웨어들이사용자의 PC에설치된이후, 업데이트를명목으로다른스파이웨어를설치하려고한다. 이또한사용자동의절차없이설치할경우스파이웨어로분류되기에스파이웨어제작업체들은사용자의동의를구하는정말최소한의노력만을하고있다. Copyright AhnLab Inc,. All Rights Reserved. 21
[ 그림 2-6]. 적절한동의없이번들프로그램설치 [ 그림 2-6] 은스파이웨어가다른스파이웨어를다운로드하고설치하기위하여업데이트를한다는식으로사용자에게알리고프로그램의설치를유도하는창이다. 이용약관이아예없거나있더라도너무작아읽기조차힘들며설치되는각각의프로그램에대한설명이누락되어있어사용자는무엇을하는프로그램인지알수없고, 그냥업데이트가되는것이려니하고생각하여 확인 버튼을눌러버리는경우가허다하다. 지금까지언급한위와같은프로그램들의동의를받는과정이과연사용자의동의를받아설치되는것이라고볼수있을까? 당연히그럴수없다. 프로그램이설치되기전, 사용자가설치되는프로그램이자신의 PC에서어떤동작을하는지명확히알수있도록프로그램은가능한많은정보를제공해주어야한다. 그러나위와같은프로그램들은전혀그러하지못하기때문이다. 사실위프로그램들중대부분은직접적으로사용자의 PC에보안상위협을주거나개인정보를빼내거나하는것은많지않다. 대다수가광고를노출하거나불필요하게사용자의 PC 에서약간의자원을사용하는것들이라, 설치되는절차에서의문제이외에는여느프로그램과다름없는프로그램으로사용자에게큰피해는주지않는다. 그러나사용자의적절한동의없이설치된다면그것은사용자의기본적인 PC사용권리를침해하는것이고분명잘못된것이다. 그렇다면이러한프로그램들을스파이웨어로분류하고법적으로처벌하거나안티-스파이웨어프로그램에서진단할수있을까? 일부는그렇게할수있겠지만불행히도전부는그럴수가없다. 국내에서는아직프로그램이설치될때, 사용자동의를받는과정에대해법적으로적절하고상세한기준이정의되어있지않기에모두스파이웨어라고하기에는무리가있다. 때문에사용자들은부적절한방법을이용하여설치되는프로그램으로부터입은피해에대해어디한군데마땅히하소연할곳이없는안타까운실정이다. Copyright AhnLab Inc,. All Rights Reserved. 22
따라서스파이웨어와같은원하지않는프로그램이자신의 PC 에설치되지않도록유의하는 것이가장좋은방법일것이다. 만약 PC 에어떤프로그램을설치해야한다면불편을없애기 위해아래의세가지사항은꼭확인해보고설치하도록하자. 1. 설치전, 이용약관을명확히표시하는지확인한다. 2. 이용약관에불합리한조항은없는지확인한다. 3. 설치하려는프로그램이정확히어떤동작을하는지확인한다. 그리고한가지더덧붙이자면 ' 다음 ' 버튼을연속하여눌러설치를곧바로진행하는일은없 도록하자. 유명한프로그램도설치될때, 애드웨어를설치하는경우가간혹있기때문에어 떠한것들이설치되는지확인하는것이중요하다. 한번의신중한클릭. 당신의컴퓨터를보다더청결하게만드는왕도가아닐까하고생각 한다. Copyright AhnLab Inc,. All Rights Reserved. 23
(3) 시큐리티 데이터복원이슈 마이크로소프트보안패치 2007년 9월에마이크로소프트사는 [ 표 2-1] 과같이총 4개의보안패치를발표하였다. 발표된보안패치는임의의코드실행이가능한취약점에적용되는것으로해당소프트웨어를사용하고있는사용자는반드시해당패치를설치하여만약에있을보안위협을사전에방어해야한다. 위험등급취약점 PoC 긴급중요중요중요 Microsoft Agent의취약점으로인한원격코드실행문제점 (MS07-051) Visual Studio용 Crystal Reports의취약점으로인한원격코드실행문제점 (MS07-052) UNIX용 Windows 서비스취약점으로인한권한상승문제점 (MS07-053) MSN Messenger 및 Windows Live Messenger의취약점으로인한원격코드실행문제점 (MS07-053) [ 표 2-1] MS 9월보안패치요약 유유무유 기존패치와비슷하게클라이언트어플리케이션에집중적으로보안상문제점에대한패치가발표되었다. 임의의코드실행이가능한취약점이다수존재하여주의가요구된다. 앞으로도공격자가불특정다수의사용자들을공격대상으로할수있다는점에서계속클라이언트를겨냥한공격들이늘어날것으로전망된다. MS07-051 051 Microsoft Agent 의취약점으로인한원격코드실행문제점 (938827) Microsoft Agent이사용하는 agentdpv.dll은특수하게조작된특정 URL의길이를올바르게확인하지않아버퍼오버플로우취약점이존재한다. agentdpv.dll은 Internet Explorer에서도사용가능한 ActiveX 컨트롤로사용자가관리자권한으로로그인되어있는경우이취약점을악용한공격자는프로그램설치, 보기, 변경, 데이터삭제등과같은권한을얻게되어시스템을완전히제어할수있게된다. 하지만, 이취약점을이용한공격이성공하기위해서는사용자개입이필요하게된다. Microsoft Windows 2000 제품권에포함된 Microsoft Agent (CLSID:D45FD32B-5C6E- 11D1-9EC1-00C04FD7081F) 는대화형애니메이션캐릭터를사용하여사용자가컴퓨터를 보다쉽게사용하고익힐수있는방법을제공하는구성요소이다. agentdpv.dll 이제공하는 Copyright AhnLab Inc,. All Rights Reserved. 24
Characters 컬렉션의 Load 함수가 URL 을처리하는과정중특수하게조작된 URL 이입력되 면버퍼오버플로우가발생하게된다. 이취약점은원격에서코드를실행할수있는취약점이존재하는것으로관리자권한으로로그인되어있는경우, 공격자는시스템을제어할수있는모든권한을얻을수있게된다. 단, 일반적으로이러한공격에는악의적인공격자가조작된 Agent ActvieX가포함된 html 문서를특정웹사이트에올려둔후, 사용자가조작된홈페이지를방문하는사용자개입으로이루어진다. 이취약점과관련하여보고된것은다음과같다. - Microsoft Agent URL Stack Overflow Vulnerability (CVE-2007-3040) MSN Messenger 및 Windows Live Messenger 의취약점으로인한원격코드실행문제점 (942099) 보안취약점공격타겟의중심이동에대해다시언급할필요가있다. 그동안 ASEC Report 를통해 OS 에서어플리케이션레벨로보안취약점악용사례가현저히증가하고있음을경고 해왔다. 메신저는강력한기업내주요통신수단의하나로자리잡은지오래되었고, 공격자의주요공격수단으로활용되어온것이사실이다. 메신저의주요기능이악의적인목적에도그대로활용되고있고, 공격자가봇넷을구성하여감염된 PC를통해메신저를손쉽게제어하고있다. - 대화문자전송 : 악성코드 URL 전파, URL 클릭유도 - 파일전송 : 악성코드파일전파 (zip형태) - 화상전화 : 화상전화를처리하는구성요소의취약성공격을통한원격코드실행 [ 그림 2-7] 봇넷에의해제어되어 MSN 메신저로전파되는악성코드 Copyright AhnLab Inc,. All Rights Reserved. 25
이번 MS07-054 MSN 메신저및라이브메신저의취약성은웹캠을이용하는화상전화이용시발생되는패킷조작으로인한원격코드실행이가능한점이특징이다. 공격자는화상전화채팅초대를통해공격코드를삽입하는방식으로취약점을이용, 공격하게된다. 공격받는사람은화상전화채팅요청을수락하면버퍼오버플로우가발생하게되며, 이때문에프로그램이종료되면서공격자의실행코드가실행된다. 최근발표된 MSN 메신저을비롯하여 Yahoo 메신저취약성이공개된적있으나, 아직까지해당취약점에의한악용사례는보고된바없다. 또한다행인것이, MSN 메신저의경우보안취약한버젼을사용하는이용자가 MSN 서비스에접속하는경우, 반드시보안업데이트된새로운버젼으로업데이트하도록유도하는등의방안을채택하고있어발빠르게취약점의악용사례를방지하고있다는점이다. 다른어플리케이션제품벤더들도보안취약성을갖는제품이인터넷상에서서비스되지않도록하는강력한보안업데이트방식을채택해야한다. [ 그림 2-8] MSN 메시저버전업데이트 [ 그림 2-8] 과같이필자가웹캠공격에취약한 MSN Messenger 7.5버전으로 MSN 서비스접속을시도하자취약점이패치된새로운버전으로업그레이드를요구하고있다. 이취약점과관련하여보고된것은다음과같다. MSN Messenger Webcam or Video Chat Session Remote Code Execution Vulnerability (CVE-2007-2931) 삭제된데이터의복원가능성 이글을접하고있는독자에게먼저묻고자한다. 자신의소중한데이터를자신도모르게삭 제한경험이있는가? 만약있다면, 어떠한방법을이용하여삭제된데이터를복원하였는가? 복원프로그램을구하거나데이터복구업체에직접하드디스크를가지고들고뛰어본경험 들이있을것이다. 어쩌면우리는이미삭제된데이터의복원가능성에대해서, 또는실수로 삭제된데이터의복구의중요성에대해서알고있다는사실을잊고있었을지도모른다. Copyright AhnLab Inc,. All Rights Reserved. 26
삭제된기업및개인의중요정보가하드디스크로부터복원되어그대로유출될수있다는것이사회적이슈와더불어다시금언론을통해세상에공개되었다. 사건과사고는수없이발생하고, 디지털포렌식과정에서수집된휴대폰통화기록, 네비게이션위치정보, 이메일내용, 하드디스크내의중요파일등의개인정보들이용의자를검거하는데결정적인단서가되기도하고, 때로는기업및개인정보의유출가능성에대한우려를낳기도한다. 이에따라, 파일의완전삭제방법에대한이용자의관심이날로커지고있다. 이용자의선택을기반한데이터파일의완전삭제기능에대한편의성을충분히제공할수있도록한다. 하드디스크내파일을완전삭제하는방법에는크게다음과같이구분된다. - 방법1: 멀티미디어파일과같은대용량파일로하드디스크채움 ( 덮어쓰기 ) - 방법2: 공개 / 사용데이터복구방지프로그램이용 (Zeros / Pseudo-Random / DoD 5220 / P. Gutmann 방식 ) - 방법3: 하드웨어의물리적파괴 ( 재생의도없을경우 ) [ 그림 2-9] ObjectWipe 에채용된파일완전삭제알고리즘 또한, 기사용된 PC를폐기하는경우기업및개인정보가유출되지못하도록하드디스크폐기절차등에대한보안정책을수립, 적용할필요가있다. - 개인 PC 사용의경우, 외부에서원격접속하여파일시스템에원격접근하는일을사전에방어하도록한다. - 게임방혹은타사방문등외부의공동PC를이용하는경우되도록기업및개인의중요파일을저장하여조작하는행위를금하도록하고, 부득이하게외부 PC에서의작업이진행되는경우데이터복구방지프로그램의파일완전삭제기능을작업한중요파일을복원할수없도록조치한다. - 개인 PC를반납하거나폐기하는경우, PC 내하드디스크의파일을복원할수없도록데이터복구방지프로그램을이용하거나, 재사용할수없도록파괴한다. [ 참고 ] 완벽하게파일을지우는방법 - http://kr.ahnlab.com/securityinfo/infoview.ahn?seq=10687&category=15 Copyright AhnLab Inc,. All Rights Reserved. 27
III. 2007 년 3/4 분기동향 (1) 2007 년 3/4 분기악성코드동향 3분기신종및변형에대한악성코드동향은전반적으로상반기악성코드유형을그대로따르고있다. 세계를뒤흔드는가공할만한악성코드나취약점은보고되지않고있으며, 대신은밀하게자신의목적을수행하는악성코드의수는여전히증가하고있는추세이며일반사용자들은대부분이이에대하여무방비로노출되어있는경우가많았다. 다음은 3분기악성코드유형이다. 부트 0% 매크로 0% 부트 / 파일 0% 드롭퍼 16% 파일 1% 2007년 3 분기악성코드유형 스크립트 0% 유해가능 2% 웜 8% 웜트로이목마드롭퍼스크립트파일매크로부트부트 / 파일유해가능 트로이목마 73% [ 그림 3-1] 2007 년 3 분기악성코드유형 트로이목마의유형이압도적으로많으며지난상반기의경우전체악성코드에대한트로이 목마의비율은 70% 였고단순비교하기는어렵지만 3 분기에는 73% 로소폭상승하였다. 이중에서가장큰비중을차지하는온라인게임의사용자계정을탈취하는트로이목마의 3 분기추세는다음과같다. 작년동기와더불어상승추세에있다. Copyright AhnLab Inc,. All Rights Reserved. 28
300 250 200 2006, 2007년 3 분기온라인게임의사용자데이타탈취트로이목마현황 248 182 150 107 100 110 50 57 97 2006년 2007년 0 7월 8월 9월 [ 그림 3-2] 2006, 2007 년 3 분기온라인게임의사용자데이터탈취트로이목마발견수 특히 9 월달에발견된악성코드수는올해가장많이보고된수이기도하다. 또한상반기와 더불어 3 분기역시국내보다는중국내온라인게임을타켓으로하는악성코드의수가더많 았다. 다음은작년동기와비교한악성코드발견수이다. 참고로작년 9월에는인터넷익스플로러관련취약점을이용한악성코드급증및 Win32/Viking 바이러스증가로인하여매우높은발견수를보이고있다. 그러나 9월을제외한다면올해 3분기가전체적으로작년동기대비하여 13% 가량올해상승하였다. 800 700 600 500 400 300 200 100 0 2006 년, 2007 년 3/4 분기신종및변형악성코드발견수 703 531 471 422 306 247 2006 년 2007 년 [ 그림 3-3] 2006, 2007년 3분기신종및변형악성코드발견수 7 월 8 월 9 월 Copyright AhnLab Inc,. All Rights Reserved. 29
트로이목마의비율은작년동기보다높으나바이러스유형은작년동기에비하여낮다. 작년 에는중국산바이러스인 Win32/Viking, 그리고 Win32/Dellboy 변형바이러스의폭발적인 증가로인하여바이러스비율이높다. 2006, 2007 3 분기악성코드현황 1200 1000 06 년 3 분기 07 년 3 분기 800 600 400 200 0 웜트로이목마드롭퍼스크립트파일매크로유해가능 [ 그림 3-4] 2006, 2007 년 3 분기악성코드현황 그러나올해들어이두바이러스중 Dellboy 제작자가검거가되고 V3 를비롯한안티바이 러스엔진에서 Generic 하게진단되는등진단방법이강화되었기때문에이바이러스에 대한변형의수는작년동기대비하여변형이일부만발견, 보고되고있다. 다음은 3 분기에이슈가되었던악성코드를정리해보았다. 자기보호기능이있는 Win-Trojan/Runtime 트로이목마 메일을통해서광범위하게확산된이트로이목마는국내외적으로피해사례가많이보고되었다. 메일제목과본문에매우자극적이고, 당시에대중적인소재를사용하여많은사용자들이첨부된파일의실행하도록유도하였다. 메일에첨부된파일은드롭퍼또는다운로더로진단되며변형이매우많다. V3 에서는 Win-Trojan/Agent.20992.CK 또는 Dropper/Agent.20992.XXX(XXX 는임의의 알파벳 ) 로진단되고있으며, 실행후특정호스트로부터파일을다운로드하며자신의파일과 프로세스를은폐하고 Covert Channel ( 은닉채널 ) 을이용하여스팸메일을발송한다. 따라서 Copyright AhnLab Inc,. All Rights Reserved. 30
감염되어도사용자는감염여부를알기어렵고, 자기보호기능이뛰어나일반적인방법으로치 료가매우어려우며자신을제거하려하면다시복구하려는자기보호기능이있다. MSN 메신저웜의기승 올해 MSN 메신저를비롯한메신저로전파되는악성코드가부쩍증가하였다. Win32/ShadoBot.worm, Win32/MSN.worm, Win32/MSGBot.worm 등으로명명된악성코드는모두 MSN 을이용하여자신을전파시키는웜이다. Win32/Stration.worm.Gen 의일부변형은자신의변형을 Skype 또는다른메신저로전파하기도한다. 2005년도비슷하게 Win32/Kevir.worm, Win32/Bropia.worm 등으로인한피해가급증하였는데, 그당시의 MSN 웜과최근발견되는 MSN 웜과의차이는 BotNet의직접적인이용여부에있다. 즉, 2005년에극성을부린 MSN 웜은악성 IRCBot 웜을다운로드또는내부에별도의실행파일을포함하고이를실행하는것이주목적이였다면, 최근에발견되는 MSN 웜의특징은 BotNet 직접접속하고 IRCBot 기능과자신을전파시키기위한수단으로윈도우 OS 취약점이아닌 MSN 메신저를노렸다는데있다. 또한 MSN 으로자신을전파하려는증상은 BotNet 에접속후접속한채널의공격자가명령을내려야만동작하므로메신저를이용한전파증상이재현될수도있고재현되지않을수도있다. Win32/Virut 과 DDoS 공격의가능성? 국내에서 Win-Trojan/Eldo.10240 라는트로이목마에의해서해당트로이목마가감염된네트워크환경에서는트래픽이과도하게발생하는이상현상이발생했다. 먼저이트로이목마가어떤경로로국내에다수의시스템들에감염되었는지명확하지않다. 이트로이목마가발견된시스템에서 Win32/Virut 바이러스가발견되어 Win32/Virut에의하여 DDoS 공격이발생한것으로언론을통하여발표가되었지만단정할수는없다. 이전의 Virut 바이러스변형이 VT100.exe 란파일명을갖는은폐형악성코드를다운로드하여실행한전력이있기때문에가능성은있다. Virut 은특정 IRC 서버에접속하여명령을받을수있는데특정파일을다운로드 & 실행할수있는명령을가지고있다. 따라서 Virut 바이러스또는변형이 Win-Trojan/Eldo.10240 을다운로드하여실행한후트로이목마가특정웹사이트접속을하는데이때접속이실패되면지속적인접속요청을하는데, 이때대량의 SYN 패킷이발생하여마치 DDoS 공격으로보일수도있었을것으로추정된다. Win32/Zhelatin.worm 의기승 Win32/Zhelatin.worm 은잘알려진악성코드로감염된시스템의안티바이러스및보안프 Copyright AhnLab Inc,. All Rights Reserved. 31
로그램을무력화시키며메일주소를수집하여자신의변형및스팸메일을발송한다. 또한감염된다른시스템들과암호화된내용으로오버넷이라고알려진일종의파일공유관련프로토콜을이용하여 P2P 네트워크를구성한다. 이는감염된시스템들만사용되도록 private network 를구성한후악의적인사용자또는감염된시스템들로부터정보를획득하여특정파일을다운로드및실행할수있도록해둔다. 안티바이러스로부터진단을회피하기위해암호화된자신의코드를풀어낼때바이너리에하드코딩된키값이아닌랜덤한쓰레기 API 의호출한후리턴되는인자값을복호화키로사용하는동적인방법으로키값을구해서자신을복호화한다. 이와같이동적인키값을사용하는이유는진단또는분석을방해하도록가상머신이나에뮬레이터에서자신이실행되지않도록하기위해서이다. 끝으로 3분기악성코드동향을정리해보면상반기와마찬가지로은밀하게동작하면서스팸메일발송과자신의 Botnet 을구성하는악성코드들이문제가되고있다. 또한중국산악성코드의경우한개의다운로더가대량감염시도하는마치인해전술과같은현상도하나의트렌드로잡아가고있다. 그리고메신저를전파수단으로사용하는악성코드의증가도관심을가지고주의를기울일필요가있다. Copyright AhnLab Inc,. All Rights Reserved. 32
(2) 2007 년 3/4 분기스파이웨어동향 3/4 분기스파이웨어피해및신종발견건수 900 800 700 600 500 400 300 200 100 0 600 184 415 156 338 102 498 180 596 655 765 232 216 204 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 519 159 592 192 피해신종발견 [ 그림 3-5] 2007 년 3/4 분기스파이웨어피해및신종발견건수 [ 그림 3-5] 는 2007년 3/4분기스파이웨어피해및신종발견건수를나타내는그래프이다. 1월부터 9월까지월평균약 550건의스파이웨어피해신고가접수되었으며, 7월에최고수치인 765건을기록하고있다. 분기별로는 3/4 분기피해신고건수가 1868건으로최고수치를기록하고있다. 신종및변형스파이웨어는월평균약 180건이보고되었으며, 피해신고, 신종및변형발견건수모두 3월에가장낮은수치를보이다가점차증가하여 8월에는다소감소한모습을보이고있다. 3/4 분기에는국내에서제작배포되는허위안티-스파이웨어와애드웨어가특히많은피해를입혔으며, 중국발해킹으로시작되는온라인게임계정유출스파이웨어의경우 1월부터현재까지꾸준한피해를입히고있다. 3/4 분기스파이웨어의특징은다음과같이요약할수있다. 국내스파이웨어설치방법의변화 2007 년상반기국내제작애드웨어및허위안티 - 스파이웨어의수가증가하였다. 국내에서 제작되는애드웨어또는허위안티 - 스파이웨어는배포방법으로불특정웹사이트에서 ActiveX 컨트롤설치에대부분의존하였으나하반기에들어서면서다운로더를이용하는번 들소프트웨어설치로배포방법이변화하고있다. 이미설치된애드웨어는별도의다운로더 를이용하여여러다른애드웨어의설치파일을사용자동의없이다운로드하고실행할수 있다. 따라서실수로설치한단한개의애드웨어에의해여러개의애드웨어또는허위안 티 - 스파이웨어가설치될수있다. 정상적인동의를받고설치되는프로그램이라하더라도 Copyright AhnLab Inc,. All Rights Reserved. 33
프로그램사용약관에 다른소프트웨어의설치광고전달을할수있다. 는문구가포함된 것도있어용도가불분명한프로그램을설치할때는각별한주의가필요하다. 바이러스에감염된스파이웨어 악성코드중에서도바이러스는시스템무결성을해치고오류를일으키거나예기치않은동작을유발하기때문에매우위험하다. 이들바이러스는웜, 트로이목마와같은다른악성코드에의해또는바이러스에감염된파일실행에의해감염되는것이일반적이지만, 바이러스에감염된스파이웨어에의해확산되기도한다. 2007년 8월에는허위안티-스파이웨어프로그램이바이럿바이러스 (Win32/Virut) 바이러스에감염된채로배포되기도하였다. 스파이웨어는그자체로사용자권리를침해하고광고와같이사용자가원하지않는동작을하기도하지만보안을크게위협하지는않으나바이러스에감염된채로배포되는경우보안에치명적인위협으로존재할수있다. Copyright AhnLab Inc,. All Rights Reserved. 34
(3) 2007 년 3/4 분기시큐리티동향 티맥스미들웨어제우스의디렉토리및소스코드노출취약점 국가사이버안전센터 (NCSC) 는 2007년 7월 16일티맥스소프트의미들웨어인제우스 (JEUS) 에서디렉토리파일목록및 JSP 소스코드가노출되는보안취약점을발표하였다. 제우스미들웨어는국내많은수의정부기관과금융기관이사용하고있고소스코드노출로인한제 2의정보노출이가능하다는점에서해당취약점의영향은매우크다고할수있다 [ 그림 3-6] 제우스 (JEUS) 취약점 어플리케이션에서이와같은취약점이발생하지않도록하기위해서는첫째, 어플리케이션의모든모듈의문자열처리방법을통일하고, 둘째 URL 인코딩된문자를올바르게필터링하며셋째, 펄과같은스크립트언어를사용할경우유저의입력이시스템명령에사용될수없도록펄의 taint 모드와같은설정을하도록하는것이필요하다. 플래시플레이어취약점 2007년 7월플래시플레이어가가지고있는취약점이발표되었다. 이취약점은플래시플레이어가사용하는 FLV 데이터파일을검증하지못해발생한다. 이취약점은웹브라우저에서사용가능한플래시플레이어의특성상불특정다수의사용자를공격대상으로할수있기때문에그영향은매우크다고할수있다. 플래시플레이어는 UCC 에서도많이사용되고있고, 웹상에서악성코드배포에도사용할 가능성이많음으로주의가필요하며, 플래시플레이어취약점에대한보안업데이트는 Adobe 사이트를참고하면된다. Copyright AhnLab Inc,. All Rights Reserved. 35
Ms07 s07-042 042 Microsoft XML Core Services 의취약점으로인한원격코드실행문제점 Microsoft XML Core Services(MSXML) 는 JScript, Visual Basic Scripting Edition(VBScript), Microsoft Visual Studio 6.0을사용하여 XML 1.0 표준을준수하는다른응용프로그램과상호운용성을제공하는 XML 기반응용프로그램을개발할수있도록제공해준다. 이러한 XML Core Services의보안취약점을통해공격자는 Internet Explorer(IE) 를통해특수하게조작된웹사이트를만들어불특정사용자를공격할수있다. 공격자는이로인해로그인된사용자의모든권한을획득할수있다. var JScript = new ActiveXObject("Microsoft.XMLDOM"); = new ActiveXObject("msxml2.DOMDocument"); = new ActiveXObject("Msxml2.DOMDocument.3.0"); VBScript set xmldoc = CreateObject("Msxml2.DOMDocument.3.0") CLSID <object classid="clsid:f6d90f11-9c73-11d3-b32e-00c04f990bb4" id="xmldoc"></object> MS07-050 050 벡터표시언어의취약점으로인한원격코드실행문제점 Microsoft Windows에구현된 VML( 벡터표시언어 ) 에원격코드실행취약점이존재한다. VML( 벡터표시언어 ) 은업무용사용자및그래픽디자인전문가의요구를모두만족하도록웹에서고화질벡터그래픽을교환, 편집, 배포하는 XML 기반형식이다. 이취약점은압축된 HTTP response 데이터를받을때 VML(vgx.dll) 을처리하는과정에서 integer underflow를일으키게된다. 공격자는특수하게조작된웹페이지나 HTML 전자메일을구성하여이러한취약점을악용할수있다. Copyright AhnLab Inc,. All Rights Reserved. 36
MS07-046 046 GDI 의취약점으로인한원격코드실행문제점 그래픽렌더링엔진 GDI32.DLL 에서특수하게조작된이미지를처리하는방식에원격코드실행취약점이존재한다. 그리고, 이취약점을악용한공격자는프로그램의설치, 보기, 변경, 데이터삭제등과같은권한을얻게되어시스템을완전히제어할수있다. 공격자는특수하게조작된 WMF을파일을전자메일에첨부하여발송하거나웹을통하여배포한후사용자가해당파일을열게되면원격코드가실행되는등의비정상적인동작을유발할수있다. [ 그림 3-7] Windows Meta File 파일포맷 Copyright AhnLab Inc,. All Rights Reserved. 37
[ 그림 3-8] Integer Overflow( 정수오버플로우 ) 발생코드 마이크로소프트오피스취약점의꾸준한증가 일반적으로 MS 오피스의취약점은특정오브젝트의특정필드에서 Overflow 버그가발생하 거나, 오피스공통라이브러리에서취약점이발견되는경우도존재한다. 2007 년 3 사분기발 표된 MS 오피스취약점은아래와같다. MS07-036 Microsoft Excel의취약점으로인한원격코드실행문제점 (936542) MS07-037 Microsoft Office Publisher의취약점으로인한원격코드실행문제점 (936548) MS07-044 Microsoft Excel의취약점으로인한원격코드실행문제점 (940965) MS 오피스취약점은 2006년상반기부터본격적으로나타나기시작하였다. MS 사의보안패치중에 2006년과 2007년 9월까지 MS 오피스공격에이용될수있는취약점은총 25 건이다. 취약점을이용한공격에는조작된파일을특정 / 불특정사용자에게메일또는웹으로전달하여사용자가해당오피스파일 (File) 읽는경우임의의코드또는악성코드를실행할수있게된다. 외국뿐만아니라국내에서도 MS 오피스취약점을이용한공격이발생하고있는데, 이러한 공격은주로특정목적을가지고수행되는것으로보이며, 개인및기업등의민감한정보를 노리는것으로파악된다. MS 오피스취약점은제로데이 (Zero-Day) 공격에도자주사용이 되고있기때문에, 주의가필요하다. 9 월에 MS 오피스 2003 의서비스팩 3 가발표소식이 있었는데, 이번 2003 SP3 에서주요변경사항은보안이보다강화되었다. 래와같다. Copyright AhnLab Inc,. All Rights Reserved. 38 주요특징은아
- 비스타에서의호환문제 - 오피스 2007과의호환문제 - 확장된보안 MOICE (Microsoft Office Isolated Conversion Environment), File Block 오피스 2003 사용자들은 SP3 를사용하는것이악성코드나취약점등으로부터예전보다좋은 방법으로방어할수가있으니, 반드시이용하도록하자. 오픈오피스취약점 2007년 9월에 OpenOffice TIFF 취약점인발표되었는데, TIFF 에서는 Image File Directory 를포함하고있는데, Image File Directory의 Data Count 에서정수연산을잘못하여, Integer Overflow가발생하는취약점이다. 오픈오피스는 MS오피스보다아직사용자수가많지않지만, 오픈오피스의사용자수가점차늘어나고있는추세이다. 이에오픈오피스관련취약점에대해서살펴보도록하자. 1. 오픈오피스취약점이란무엇인가? 오픈오피스 (http://www.openoffice.org) 프로그램은선마이크로시스템즈에서개발한스타오피스 (StarOffice) 에기반을하고있으며, 대다수사용자가이용하는응용프로그램으로스프레드시트프로그램인 Calc, 문서작성 / 편집프로그램인 Writer, 멀티미디어프리젠테이션관련프로그램인 Impress, 데이터베이스관련프로그램인 Base, GUI 로구성된수학프로그램인 Math등으로구성되어있다. 오픈오피스취약점은이러한오피스프로그램및오피스라이브러리에버그 (Bug) 가존재하는것을말한다. 사용자가악의적으로조작된오피스관련파일 (File) 을읽는과정에서, 사용자가관리자권한으로로그인되어있는경우취약점을악용한공격자는프로그램의설치, 보기, 변경, 데이터삭제등과같은권한을얻게되어시스템을완전히제어할수있게된다. 하지만, 취약점을이용한공격에성공하기위해서는사용자의개입이필요하다. 오픈오피스프로그램의사용은점차늘어나는추세이며, Platform Independent 하기때문에, 리눅스, 윈도우, 솔라리스, 맥 OS X등에서동작함으로위험의심각도가있다고볼수있다. 2. 오픈오피스취약점동향및피해사례 오픈오피스취약점은 2006 년상반기부터점차나타나기시작하였다. 해당취약점들은오픈 오피스에서사용되는매크로부터시작하여이미지및문서를 parse 하는데필요한관련라 이브러리등의버그등 ((libcurl, Macro, WMF, EMF, libwpd, RTF, TIFF) 에이르기까지다양 한추세로발견되고있다. 이러한취약점유형은마이크로소프트의오피스취약점추세와비 Copyright AhnLab Inc,. All Rights Reserved. 39
슷하게볼수있다. 지난 5 월외국에서는오픈오피스의매크로취약점을이용한 SB/BadBunny-A 가발견되었 는데, SB/BadBunny-A 는오픈오피스의취약점을이용한최초의악성코드라고볼수있겠 다. 그러나, 국내에는 SB/BadBunny-A 에의한피해는발견되지않았다. 오픈오피스의사용이증가할수록오픈오피스의취약점을이용한악성코드가증가할것으로예상이되는데, 취약점을이용한공격에는조작된파일을특정 / 불특정사용자에게메일또는웹으로전달하여사용자가해당오피스관련파일 (File) 읽는경우임의의코드또는악성코드를실행할수있게된다. 오피스파일내부에있는악성코드는주로트루잔 (Trojan) 및다운로더 (Downloader) 등이포함되어있다. 오픈오피스프로그램의취약점을이용한공격중에매크로취약점을제외한 Overflow 취약점을이용한경우에는 OS에의존적으로작성되어야하는점이있다. 또한오피스취약점을이용한공격은주로특정목적을가지고수행되는경우가많으며, 개인및기업등의민감한정보를노리는것으로파악되어보다주의가필요하다. 3. 사용자가유의해야할점 1) 오피스프로그램의보안패치를주기적으로하는것이다. 2) 오피스관련파일을메일로받은경우에는신뢰되지않은사용자이거나신뢰되지않은웹사이트인경우에주의가필요하다. 3) Anti-Virus 제품및개인방화벽을사용한다. 4) 네트워크관리자는네트워크보안제품의사용을고려한다. ( 특히이메일관련쪽 ) 5) 네트워크관리자는메일서버에서오피스관련파일이첨부된이메일 (E-Mail) 을필터링 (Filtering) 하는것을고려할수도있다. 은행인터넷뱅킹문제점 지난 8월에현시대에없어서는안될인터넷뱅킹보안문제가 KBS 뉴스방영이후수면위로떠올랐다. 이문제점은게임해킹프로그램과거의유사하게동작하며, 이공격에의한피해는인터넷뱅킹을이용하여계좌이체를할경우자신의의도와는다르게공격자나다른계좌이용자에게금액을이체시킬수있다. 또한보내고자하는이체금액도공격자마음대로조작이가능한것으로타났다. 아직까지이를이용한악성코드등은없으나사용자의각별한주의가요구된다. 이번인터넷뱅킹보안문제는이용자가인터넷뱅킹을통해계좌이체를할경우입력한 Copyright AhnLab Inc,. All Rights Reserved. 40
데이터는메모리상에남게된다. 메모리상에존재하는데이터를조작하여, 공격자의도대로자신의계좌로수정하거나금액을바꿀수있으며, 기타보안정보를획득할수있다. 이를처하기위한방법으로는인터넷뱅킹을사용하였을경우꼭다시한번이체결과등을확인하는습관을기르며, 윈도우보안업데이트및백신을설치하여악의적으로설치된프로그램을치료하고자주업데이트하는것이좋다. Copyright AhnLab Inc,. All Rights Reserved. 41
(4) 2007 년 3/4 분기일본악성코드동향 2007년 3분기일본의악성코드동향한주요이슈는 8월한달동안급격하게증가한젤라틴웜 (Win32/Zhelatin.worm) 의메일트래픽과소로우웜 (VBS/Solow) 의감염으로인한피해가점점늘어나고있는점, 바이럿 (Win32/Virut) 바이러스의지속적인피해가발생하고있는점을들수있다. 젤라틴웜의증가 IPA의자료에의하면일본에서젤라틴웜은 2007년 2월최초로발견된것으로보고되고있다. 젤라틴웜은이메일을이용하여전파되는악성코드로써감염이된시스템에드로퍼를설치하고설치된드로퍼가다시루트킷을설치하는형태로감염을유발하며최초발견된이후현재까지도여러형태의변형이지속적으로발견되고있다. 140 W in32/zhelatin 피해현황 120 100 80 60 40 20 0 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 [ 그림 3-9] 젤라틴웜감염피해현황 < 자료출처 : 일본 IPA> 위의 [ 그림 3-9] 는 IPA 에서집계한젤라틴웜의월별감염피해수치를나타낸것이다. 2007 년 2 월최초발생시에는많은피해가보고된후 3 월이후에는피해량이그리많지않 은상태였으나 8 월이되면서급격히증가한것을볼수있다. Copyright AhnLab Inc,. All Rights Reserved. 42
120000 100000 80000 444165 416445 398952 월별악성코드탐지통계 7 월 8 월 9 월 60000 40000 20000 0 46474 30321 22702 16213 7045 2690 13647 15483 16850 8001 5199 W32/Netsky W32/Zhelatin W32/Mytob Win32/Bagle 기타 [ 그림 3-10] 월별악성코드탐지통계 < 자료출처 : 일본 IPA> [ 그림 3-10] 은인터넷접점에서관측된악성코드들의탐지현황을그래프로나타낸것이다. 8월한달동안젤라틴웜의탐지횟수가급격하게증가하였으나 9월들어거의탐지가되지않고있는것을볼수있다. [ 그림 3-9] 와 [ 그림 3-10] 의데이터로미루어보았을때당분간젤라틴웜으로인한피해가늘어날가능성은낮아보이나많은불특정다수에게쉽게노출되고전파력이강한메스메일러의특성으로미루어볼때동일한현상이발생할수있는가능성은항상존재하므로주의가필요하다. 악성코드피해동향 2007 년 3 분기일본에서가장많은피해가발생한악성코드는이전과동일하게넷스카이웜 (Win32/Netsky.worm) 이다. 베이글웜 (Win32/Bagle.worm) 과마이탑웜 (Win32/Mytob.worm) 또한여전히많은피해를주고있다. Copyright AhnLab Inc,. All Rights Reserved. 43
2007 년 3 분기악성코드검출통계 V32/Virut W32/Zhelatin W32/Lovgate 7 월 8 월 9 월 W32/Klez W32/Sality W32/Mytob W32/Netsky 0 200 400 600 800 1000 1200 1400 1600 1800 2000 [ 그림 3-11] 2007 년 3 분기악성코드검출통계 < 자료출처 : 일본 IPA> [ 그림 3-11] 은월별악성코드피해통계를그래프로나타낸것으로넷스카이웜등이메일에의한피해가여전히많은것을알수있다. 표에서주목할점은스트레이션웜 (Win32/Stration.worm) 의감염피해가 7월이후로급격하게감소하고있는것이다. 피해가감소하는원인을자세히알수는없으나, 최근변형이발견되지않고있는것으로보아이와같은상태가앞으로도지속될것으로보인다. 바이럿바이러스의피해가전월에이어 3분기에도지속적으로발생한것또한주목할만한점이다. 주로웹사이트등에서악성코드를유포되고인터넷익스플로러의취약점을이용하여감염되는바이럿은실행파일을감염시키고트로이목마를설치하는악성코드이다. 웹사이트를방문하는것만으로도감염이되고배포지가방문자가많은유명웹사이트인경우도있으므로사용자가감염여부를쉽게인지하기어렵고, 특히파일을감염시키는형태의악성코드이므로사용자에의한치료가어렵기때문에감염예방을위해서는백신프로그램을사용하는것이바람직하다. 위의통계에는나타나지않았지만소로우웜 (VBS/Solow) 의피해가계속발생하고있는것에주목할만하다. 최근 USB 드라이브를감염시키고루트드라이브에 inf 파일을생성하는형태의악성코드들이많이발견되고있고소로우웜또한이러한동작을하는악성코드이다. 아래의 [ 그림 3-12] 는소로우웜의감염피해에대한통계이다. 2007년 3월최초로발견된이후지속적으로감염피해가발생하고있는것을알수있다. Copyright AhnLab Inc,. All Rights Reserved. 44
30 VBS/Solow 감염통계 25 26 20 18 22 19 15 14 10 5 7 7 0 3 월 4 월 5 월 6 월 7 월 8 월 9 월 [ 그림 3-12] 소로우웜감염통계 최근에는소로우웜이외에도여러형태의다운로더나드롭퍼들에의해 USB 메모리를감염시키는피해를당하는경우가발생하고있는데 9월에들어일본에서발견되기시작한오토런 (Win32/Autorun) 과같은악성코드가대표적인예이다. USB 드라이브는개인의중요한정보를많이저장하고있는매체이다. 따라서신뢰할수없는 PC에서함부로사용하는것은중요한정보의유출이나훼손이발생할수있는매우위험한행동이므로사용자의주의가필요하다. 빈번하게발생하는제로데이공격 (Zero Day Attack) 제로데이공격은보안취약점이알려진후이에대한패치등의보완책이아직제공되지않은짧은기간에해당취약점을이용한사이버공격을수행하는것을말한다. 공격의형태는여러가지로행해질수있는데대표적인예가얼마전에발생한 MS의 Ani 취약점을이용한악성코드유포이다. 이러한추세는일본에서도크게다르지않아취약점이존재하는특정프로그램을대상으로하는제로데이공격이빈번하게발생하고있다. 아래의 [ 그림 3-12] 는 TCP 5168 포트에대한모니터링결과를보여주는그래프이다 8 월 23 일부터해당포트를이용한트래픽이급격하게늘어나는것을알수있다. Copyright AhnLab Inc,. All Rights Reserved. 45
[ 그림 3-12] TCP 5168 포트의급격한트래픽증가 해당포트는트렌드마이크로사에서제공하는서버용소프트웨어에서사용하는포트로써 8월 23일해당프로그램과관련한취약점이발표된상태였다.(JP Cert의보안권고문 : http://www.jpcert.or.jp/at/2007/at070019.txt) 취약점이공개된당일해당포트를이용한트래픽이비정상적으로급증했다는것은해당소프트웨어가설치된시스템을찾기위한스캐닝이빈번하게발생했다는것을보여준다. 이러한현상은이미과거에도범용으로사용되는소프트웨어에대한취약점이발표될때면빈번하게발생해왔었다. 현재까지이러한공격으로인해일본에서크게이슈가될만한사건이발생하지는않고있지만이러한시도가증가하는것은보안의측면에서항상잠재된위험요소가아닐수없다. Copyright AhnLab Inc,. All Rights Reserved. 46
(5) 2007 년 3/4 분기중국악성코드동향 중국의최대명절중의하나인중추절 ( 仲秋節 ) 로인한연휴가 10월초까지중국에서이어졌다. 보통 2주정도의연휴를즐기는중국인들은월병 ( 月餠 ) 을만들어먹으며가족들과즐거운시간을보내는것이일반적이다. 이러한모습은한국에서송편을빚어먹는한국인들과도참으로유사한풍습이라고할수있다. 이렇듯음력을사용하는비슷한풍습과문화가많은중국의 2007년 3분기악성코드동향을알아보도록하자. 악성코드 TOP 10 순위변화 순위 Rising - 1 Trojan.PSW.Win32.OnLineGames 3 2 Hack.SuspiciousAni New 3 Trojan.Win32.Agent New 4 Trojan.PSW.Win32.XYOnline New 5 Adware.Win32.Agent 1 6 Trojan.DL.JS.Agent New 7 Trojan.DL.Win32.Agent New 8 Trojan.PSW.Win32.QQPass New 9 Trojan.DL.Agent New 10 Trojan.PSW.Win32.RocOnline [ 표 3-1] 2007년 3/4 분기중국라이징 (Rising) 악성코드 TOP 10 - - 순위변동없음, New New 순위에새로진입, - 순위상승, - 순위하락 이번 2007년 3분기의라이징 (Rising) 의악성코드 TOP 10을나타낸 [ 표 3-1] 을본다면 3 종의악성코드를제외하고는모두새롭게순위에포함된악성코드들이다. 1위에는지난 2분기에이어서도 Trojan.PSW.Win32.OnLineGames(V3 진단명 Win- Trojan/OnlineGameHack) 이차지하고있다. 이외에도 Trojan.PSW.Win32.XYOnline와 Trojan.PSW.Win32.RocOnline 역시중국또는대만에서제작된온라인게임사용자정보를유출하는트로이목마들이다. 이외에도순위에는포함이되지않았지만 Trojan.PSW.Win32.SunOnline과 Trojan.PSW.Win32.WoWar(V3 진단명 Win- Trojan/WowHack) 등으로미루어 2분기부터이어진온라인게임사용자의정보를유출하는형태의트로이목마는 3분기에도지속적인확산을보이고있는것으로분석된다. 이번 3 분기에서의특이한점은올해들어서처음으로애드웨어가라이징 (Rising) 의악성코드 TOP 10 에포함되었다는것이다. 해당애드웨어는 5 위를기록한 Adware.Win32.Agent 로서 7 월중순에최초로순위에등장하였다. 그리고 8 월한달동안주간악성코드 TOP 10 에서 2 Copyright AhnLab Inc,. All Rights Reserved. 47
위를차지할정도로많은감염활동을보였으나 9 월에접어들면서는급속한감소형태를보 였다. 그외에도 2종의악성코드가순위상승을기록하였다. Hack.SuspiciousAni(V3 진단명 - Win-Trojan/Exploit-ANI.suspicious) 와 Trojan.DL.JS.Agent이이번 3분기에 3단계와 1단계씩각각상승한악성코드이다. 이 2종의악성코드의공통점들은모두윈도우운영체제에서사용되는인터넷익스플로러의취약점을이용하는악성코드로다른악성코드를다운로드후실행한다는공통점을가지고있다. 이러한형태의악성코드의순위가상승한점으로미루어취약한웹사이트가중국내에서악성코드전파에큰영향을미치고있는것으로볼수있다. 순위변화 순위 JiangMin - 1 Checker/Autorun - 2 Exploit.ANIfile.b New 3 Trojan/PSW.GamePass.xyh New 4 TrojanDropper.Agent.ctm New 5 TrojanDropper.Agent.ctl New 6 Trojan/Agent.psm New 7 Worm/Viking.auw New 8 Trojan/Agent.rsx New 9 TrojanDownloader.Agent.hmi New 10 Trojan/PSW.OnLineGames.flv [ 표 3-2] 2007년 3/4 분기중국지앙민 (JiangMin) 악성코드 TOP 10 - - 순위변동없음, New New 순위에새로진입, - 순위상승, - 순위하락 지앙민 (JiangMin) 의악성코드 TOP 10을나타낸 [ 표 3-2] 를보면지난 2분기와동일하게 Checker/Autorun(V3 진단명 TextImage/Autorun) 와 Exploit.ANIfile.b(V3 진단명 - Win-Trojan/Exploit-ANI.suspicious) 가순위변동없이 1위와 2위를지키고있다. 그외에는모두이번 3분기에새로순위에기록된악성코드들로구성되어있다. 그러나 2분기와비교하여악성코드의명칭만변경되었을뿐동일한변형의악성코드들로구성되어있는것을알수가있다. 이러한큰흐름은라이징의악성코드 TOP 10과비교하여커다란차이점이없는것으로보여진다. 라이징의 TOP 10 과지앙민의 TOP 10 을간추려본다면현재중국내에서는취약한웹사이 트와 USB 외장형저장장치가악성코드전파의가장큰수단으로이용되고있는것으로분 Copyright AhnLab Inc,. All Rights Reserved. 48
석이가능하다. 그리고이러한악성코드들의감염형태는결국두업체의순위에빠지지않 고등장하고있는온라인게임사용자트로이목마들을사용자의시스템에감염시키기위한 수단인것으로분석된다. 악성코드 TOP 10 분포 지앙민 ( JiangMin) 악성코드형태별분포 0.25% 2.44% 0.02% 5.69% 트로이목마 5.71% 백도어기타웜 6.97% 취약점공격스크립트매크로 78.92% [ 그림 3-13] 2007 년 3/4 분기중국지앙민 (JiangMin) 악성코드형태별분포 3분기지앙민의악성코드형태별분포를살펴보면지날달에이어트로이목마가절대다수를차지하고있는것을알수있다. 백도어및웜은 2분기대비소폭상승하였다. 그러나매크로와스크립트형태의악성코드는소폭감소형태를보였으나분포도상에서분포율이워낙미비하여전체에영향을줄정도는아닌것으로보여진다. Copyright AhnLab Inc,. All Rights Reserved. 49
라이징 (Rising Rising) ing 악성코드 TOP 10 과분포 53.90% 19.42% Trojan.PSW.Win32.OnLineGames Hack.SuspiciousAni Trojan.Win32.Agent 4.92% Trojan.PSW.Win32.XYOnline Adware.Win32.Agent 4.59% 3.91% Trojan.DL.JS.Agent Trojan.DL.Win32.Agent Trojan.PSW.Win32.QQPass 1.30% 1.23% 3.78% 2.79% 2.34% 1.83% Trojan.DL.Agent Trojan.PSW.Win32.RocOnline 기타 [ 그림 3-14] 2007 년 3/4 분기중국라이징 (Rising) 악성코드 TOP 10 과분포 3분기라이징악성코드 TOP 10의분포를나타낸것이 [ 그림 3-14] 와같다. TOP 10에포함된악성코드는전체의 46% 가량을차지하고있으며순위에포함되지못한악성코드가전체의 53% 가량을점유하고있는것으로나타났다. 그러나사용자정보탈취형태의악성코드를두고보았을때전체악성코드분포에서지난 2분기의경우 21% 가량을차지하였으나이번 3분기에서는 2배가량증가한 42% 가량차지하고있다. 이러한사용자정보탈취악성코드의증가추세는현재중국악성코드동향에서가장큰문제점으로볼수있으며이에대한효과적인대응책을마련하는것인것이시급한것으로분석된다. 83.86% 지앙민 (JiangMin JiangMin) 악성코드 TOP 10 과분포 5.91% 2.61% 1.93% Checker/Autorun 1.27% Exploit.ANIfile.b 0.99% Trojan/PSW.GamePass.xyh 0.74% TrojanDropper.Agent.ctm 0.72% 0.69% TrojanDropper.Agent.ctl 0.68% Trojan/Agent.psm Worm/Viking.auw 0.60% Trojan/Agent.rsx TrojanDownloader.Agent.hmi Trojan/PSW.OnLineGames.flv 기타 [ 그림 3-15] 2007 년 3/4 분기중국지앙민 (JiangMin) 악성코드 TOP 10 과분포 Copyright AhnLab Inc,. All Rights Reserved. 50
지앙민의경우에는특히나 TOP 10에포함되지못한악성코드들의분포인기타부분은 [ 그림 3-15] 와같이전체의 83% 가량으로상당히크게분포하고있다. 이는 TOP 10 악성코드의분포가미약할뿐만아니라실제중국네트워크상에서는상당히다양한악성코드들이존재하고있다는것을보여주고있다할수있다. 특히 Checker/Autorun의경우에는 2분기 2.89% 에서이번 3분기에 5.91% 로증가하였다는점은중국내에서 Auntorun.inf를통한자동실행기법을사용하고있는다양한형태의악성코드들이증가하고있다는것으로해석할수가있다. 지앙민 ( JiangMin) 중국지역별악성코드감염분포 9.78% 9.05% 산동북경 39.75% 7.55% 강소사천 광동하남 호남 요녕 7.02% 상해 강서 3.15% 3.50% 4.06% 5.06% 4.26% 6.82% 기타 [ 그림 3-16] 2007 년 3/4 분기지앙민 (JiangMin) 중국지역별악성코드감염분포 [ 그림 3-16] 는지앙민에서집계한지역별악성코드감염분포이다. 이번 3분기에서는산동지방이 9.78% 를차지하고있으며그뒤를이어중국의수도인북경이 9.05% 로차지하고있다. 이분포역시중국내륙지방보다는중국동부해안지역의인구밀집도시에서컴퓨터사용률과함께악성코드감염사고가많은것으로볼수있다. 중국어로전파되는 MSN 메신저웜 이번 3 분기에는한국동향에서와같이중국내에서도유달리 MSN 메신저로전파되는웜의 활동이많았었다. 중국의경우에는중국업체에서개발한 QQ 메신저라는프로그램을많이 사용함으로 MSN 메신저의사용비율은그리높지않다고볼수있다. 그리고 MSN 메신저 로전파되는웜의경우에는 MSN 사용자를현혹하기위한수단으로영어로된특정문구를 전송하는것이일반적이라중국내에서는많은감염피해를유발하지는않았다. 그러나이번 8 월에는중국어병음으로된문구를전송하는 MSN 메신저웜이중국내에서발견되는특이 Copyright AhnLab Inc,. All Rights Reserved. 51
사항이있었다. ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN!!. YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :s!!. JIESHOU WO DE ZHAO PIAN :>!!. KAN WO DE ZHAOPIAN :D. NI HE WO!!!... QING KAN :D. kan BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :<. [ 그림 3-17] MSN 웜에서사용되는중국어문구 ] [ 그림 3-17] 은중국내에서발견된 MSN 메신저웜이전송에사용되는중국어병음문구이다. 중국어병음이란한자인중국어를영어로된발음기호형태로표기하는것을말한다. 중국어병음문구역시사용자를현혹하기위한의미를포함하고있지만중국인대부분이영어에친숙하지않다는것을해당악성코드제작자가의식한것으로보여진다. 악성코드제작자와보안업체 지난 4월경중국내에서는델보이 (Win32/Dellboy) 바이러스와다수의악성코드를제작한혐의로리준 (Li Jun) 이체포되는사건이있었다. 리준은해당악성코드제작혐의로중국법원으로부터 4년형을선고받았으나 9월중순중국일민일보의한기사로인해보안업계에서는악성코드제작자와보안업계와의관계에대해심각한우려를나타내고있다. 해당기사에따르면리준의변호사는그의감형을위해서그의높은프로그래밍실력으로인해중국내 10여곳이넘는많은보안업체들이그를직원으로채용하기위해높은연봉을제안을하였다고이야기하였다. 안티바이러스 (Anti-Virus) 업계에서는일반적으로악성코드제작자와악성코드수집가들을채용하지않는관행이있다. 이는안티바이러스업계의순수성과신뢰성을나타내기도하지만일반적으로악성코드제작을할수있다고하여프로그래밍실력이높다고평가할수없기때문이다. 그리고무엇보다도고객의시스템과정보를보호하는보안업체에있어서가장중요하게생각되는점은바로도덕성이기때문이다. 2008 년북경올림픽을이용한악성코드 9월말중추절연휴기간인중국에서는특이한제목의이메일이다수의사람들에게수신되었다. 해당메일은 2008년북경올림픽참석자명단 이라는제목을가지고있었으며본문에는친절하게연락처와함께첨부한등록표라는워드파일을작성해서보내면 2008년북경올림픽을참관할수있게해준다라는내용이포함되어있다. 그러나해당워드파일은마이크로소프트오피스제품의취약점을이용하여악의적인원격제어형태의트로이목마를설치 Copyright AhnLab Inc,. All Rights Reserved. 52
하는워드파일이었다. 일반적으로이메일로전파되는악성코드들의경우에는사회적인기사거리등을이용하는사회공학기법을많이사용하고있다. 이번취약한워드파일이첨부된 2008년북경올림픽관련메일역시중국인들이많은관심을가지고있는 2008년북경올림픽을이용하였다는점에서사회공학기법의전형을보여준사례라고할수있다. Copyright AhnLab Inc,. All Rights Reserved. 53
(6) 2007 년 3/4 분기세계악성코드동향 2007 년 3/4 분기의통계를보면과거부터유행한악성코드의건재와큰변화없는순위이 다. 독일의아비라 (Avira) 통계에따르면 3/4분기순위권의악성코드는여전히넷스카이웜, 마이톱웜등이었다. 영국소포스의통계도넷스카이, 마이톱, 자피, 마이둠등이순위에있다. 러시아카스퍼스키연구소의순위도크게다르지않았다. 이는메일로전파되는악성코드가상대적으로집계가편해높은순위를차지하기때문이다. 하지만, 캐스퍼스키연구소의온라인스캐너 (Online Scanner) 검사결과를보면 1위를차지하고있는악성코드가 Trojan.Win32.Dialer.qn으로 1.65% 뿐에불과하며순위권을모두합해도나머지악성코드가 80% 이상을차지하고있다. 이는바이러스, 웜보다트로이목마의수가압도적으로많으며이들트로이목마가그지역에서사용되는취약점을공격하는해킹된웹사이트, 해당지역언어로된메일등의경로로감염되기때문에지역화영향이큰것으로보인다. 또하루에도수천개의악성코드가쏟아지지만대부분며칠활동하고사라지는영향도큰것으로보인다. 이외 3/4 분기주요사건은다음과같다. ARP 스푸핑을이용한공격이보고되었는데국내에서는 2007년초부터국내에서간간히보고되었다가여름에집중되었다. 맥아피는블로그에서는 2007년 10월 ARP 스푸핑에대한글을올렸다. 1 맥아피에서늦게발견했을수있지만한국에서발생하는 ARP 스푸핑은대부분중국에서시작되었고맥아피에서보고된내용도중국에서제작되었다면상대적으로가까운대한민국에서실험해보고공격이세계로뻗어나갔을가능성도존재한다. 1 http://www.avertlabs.com/research/blog/index.php/2007/10/04/arp-spoofing-is-yourweb-hosting-service-protected/ Copyright AhnLab Inc,. All Rights Reserved. 54
[ 그림 3-18] ARP 스푸핑공격을받았을때출력될수있는 BBBBB 문자열 미국에서여교사인줄리에아메로 (Julie Amero) 가수업시간에아이들에게포르노사이트를보여주는걸방치했다고 2007년 3월 2일유죄를선고받았다. 무려 40년형을선고받았는데포르노가금지된한국이지만사실상포르노가방치되는한국과달리미국이나유럽은유아포르노및아이에게성인물을노출되는건큰죄인것으로보인다. 하지만, 여교사는애드웨어 ( 스파이웨어 ) 가설치되어발생한일이라고주장했고실제시스템에서성인광고를띄우는애드웨어가발견되었다고한다. 결국이사건은여름에무죄로최종판결났다. 성인광고를노출하는애드웨어가어떤영향을끼칠수있는지보여주는사건이라고할수있다. 2007 년 7 월 MSN 메신저를통해 MSN 에서경고없이누가당신을삭제하였는지알아보십시 오 라는내용과함께특정주소를클릭하는내용이보내졌다. 이미 5 월에도유사한사건이 있었지만영어가아닌다른언어로도보내진점이차이점이다. Copyright AhnLab Inc,. All Rights Reserved. 55
[ 그림 3-19] MSN 메신저를통한특정사이트유도 해당사이트로접속해보면구글애드센스광고가있어클릭수익을노린것으로보인다. 보 다높은사이트접속을위해여러언어로보낸것으로추정된다. 스팸메일의형태로다양해지는데초기스팸메일은단순한텍스트였으나이후 HTML 형 식, 이미지에이어 2007 년에는 PDF 파일이나 DOC, XLS, RTF 같은오피스문서포함된스 팸메일이유행한다. Copyright AhnLab Inc,. All Rights Reserved. 56
IV. ASEC 컬럼 (1) Virut 바이러스상세분석 해마다접수되는악성코드의통계를보면대부분이인터넷웜또는트로이목마가대부분을차지하며, 파일에기생하는바이러스는그수가적어지는것이추세이다. 그도그럴것이최근의악성코드특징은개인의능력과시가아닌돈과연관되는악성코드작성이대부분이기때문이다. 그렇다면 Virut 바이러스가인터넷웜과트로이목마를제치고국내뿐만아니라해외를통하는어떠한특성과방법들을사용하여많은피해자를만들고있는지자세히살펴보도록하자. Virut 바이러스의발전 2006년초처음등장한 Virut 바이러스는당시까지의후위형파일바이러스와비교하여시스템의공통라이브러리 API를후킹하여다른 PE 파일을감염시키는것을제외하고는크게다른특징이없었다. 이후에등장한변형에서는바이러스본체를암호화시키고복호화루틴을매감염때마다변경하는다형성알고리즘을사용하였으나, 감염루틴의버그로인하여크게문제가되지는않은것으로보인다. 근래발견된바이러스변형은 4 가지의다양한형태의감염방식과중복감염문제, IRC 서버에 접속하여 DDoS 공격을하는등의종합적인악성코드특성을지니게되었다. 바이러스의전파 Virut 바이러스자체는시스템의실행파일만을감염대상으로하기때문에네트워크를통한감염은이루어지지않는다. 그러나최근의 Virut 바이러스는국내에만수십만대의시스템을감염시킨것으로보이며, 해외의감염보고에서도높은수치를나타내고있다. 많은시스템들은타시스템에의해서감염이되었다기보다는해킹된웹사이트에삽입된 Exploit Script 또는 Script에추가된 IFrame 등의원인에의해서감염된파일을특정서버서부터다운로드되는것으로판단된다. 글을작성중인현재까지도새로운바이러스가특정사이트로부터배포되고있는것으로확 인되었기에사용자들은항상최신의윈도우취약점업데이트와바이러스엔진업데이트를 하여야바이러스로부터안전할수있겠다. Virut.C & D 의특성 Copyright AhnLab Inc,. All Rights Reserved. 57
Win32/Virut.C, Win32/Virut.D 로명명된근래의바이러스의특징들을먼저살펴보면다음과 같은것들을찾아볼수있다. 첫째, 4가지의다양한감염방식 - 다형성, EPO(Entry-Point Obscuring), 암호화둘째, PE 파일감염 특정확장자 (.EXE,.SCR) 셋째, 실행된모든프로세스의공통라이브러리 (NTDLL.DLL) 의 API 후킹을이용한파일감염 ZwCreateFile ZwOpenFile ZwCreateProcess ZwCreateProcessEx 넷째, 시스템프로세스인 Winlogon.exe에 RemoteThread 생성다섯째, 외부연결및파일다운로드여섯째, 특정 IRC 서버접속및명령대기 감염방식 [ 그림 4-1] Virut A 형의감염방식 위그림과같이 A 형인감염방식은일반적인후위형바이러스와크게다르지않다. PE 파일 의시작점인 EntryPoint 를파일후미에추가된바이러스복호화루틴의시작지점으로변경 하여바이러스가먼저동작하도록만든다. Copyright AhnLab Inc,. All Rights Reserved. 58
[ 그림 4-2] Virut B 형의감염방식 B 형은 PE 파일의시작점인 EntryPoint 를변경하지않고바이러스복호화루틴을파일의 시작위치특정코드위에덮어씌워버렸다. 물론본래의코드는파일후미의암호화된바이러 스코드뒷부분에암호화하여백업한다. [ 그림 4-3] Virut C 형의감염방식 C 형식은 EPO(Entry-Point Obscuring) 방식을취하는데, 이는정상적인특정 CALL 함수호 출 (5 바이트 ) 에대해서파일후미에추가된바이러스복호화루틴의시작점으로함수호출옵 셋 (Offset) 을변경하여바이러스가동작하도록하는방법이다. Copyright AhnLab Inc,. All Rights Reserved. 59
[ 그림 4-4] EPO 를이용한코드 [ 그림 4-4] 을보면, 상단의밑줄코드가감염전의호출이며하단의밑줄코드는감염된이후 의호출을보여준다. [ 그림 4-5] Virut D 형의감염방식 D 형식은이전의 C 형식과같다. 다만바이러스복호화루틴이코드섹션영역의마지막부 분에덧붙여있다는것이다르다. 코드섹션영역에복호화루틴이추가되므로인하여코드섹 션의 VirtualSize 는증가할수있다. Copyright AhnLab Inc,. All Rights Reserved. 60
바이러스복호화루틴 Virut의바이러스복호화루틴은실제바이러스코드에대한복호화알고리즘으로이루어져있다. 문제는이복호화루틴이다형성으로구성되었기때문에감염된파일마다기계어코드가다르다는점이다. 이러한다형성코드를분석하기위해서는다양한감염된샘플들에대해서동일한분석방법을사용하여공통된코드나알고리즘을찾아내야한다. 하나의복호화루틴을예로살펴보면굵게표시된부분의코드들이복호화에중요하게이용되고있는부분임을알수있을것이다. 01006AE0 60 01006AE1 06AE1 55 01006AE2 8BEC 01006AE4 E8 0C000000 PUSHAD PUSH EBP MOV EBP,ESP CALL 01006AF5 // Exception Handler 01006AE9 F8 CLC ; 01006B2D, 01006B4D 에서 Exception 발생시호출 01006AEA F8 CLC 01006AEB E8 B4000000 CALL 01006BA4 01006AF0 E9 5E000000 JMP 01006B53 ; 01006B53 분기 01006AF5 67:64:FF36 0000 PUSH DWORD PTR FS:[0] 01006AFB 892D 546B0001 MOV DWORD PTR DS:[1006B54],EBP 01006B01 67:64:8926 0000 MOV DWORD PTR FS:[0],ESP ; Exception Handler 등록 0x01006AE9 01006B07 31C0 XOR EAX,EAX 01006B09 68 00000080 PUSH 80000000 01006B0E 50 PUSH EAX 01006B0F 68 00000080 PUSH 80000000 01006B14 68 00000080 PUSH 80000000 01006B19 68 00000080 PUSH 80000000 01006B1E 68 01000000 PUSH 1 01006B23 68 00000080 PUSH 80000000 01006B28 50 PUSH EAX 01006B29 50 PUSH EAX 01006B2A 50 PUSH EAX 01006B2B 50 PUSH EAX 01006B2C 50 PUSH EAX ; FileName => NULL 01006B2D FF15 CC100001 CALL DWORD PTR DS:[<&KERNEL32.LoadLibraryA>] ; LoadLibraryA 01006B33 31D2 XOR EDX,EDX 01006B35 52 PUSH EDX 01006B36 68 00000080 PUSH 80000000 01006B3B 52 PUSH EDX 01006B3C 52 PUSH EDX 01006B3D 68 00000080 PUSH 80000000 01006B42 68 00020000 PUSH 200 01006B47 68 40000000 PUSH 40 01006B4C 52 PUSH EDX ; FileName => NULL 01006B4D FF15 CC100001 CALL DWORD PTR DS:[<&KERNEL32.LoadLibraryA>] ; LoadLibraryA 01006B53 BD A0FF0600 MOV EBP,6FFA0 01006B58 8B75 F8 MOV ESI,DWORD PTR SS:[EBP-8] Copyright AhnLab Inc,. All Rights Reserved. 61
01006B5B 67:64:8936 0000 MOV DWORD PTR FS:[0],ESI 01006B61 F8 CLC 01006B62 89C9 MOV ECX,ECX 01006B64 E8 00000000 CALL 01006B69 01006B69 59 POP ECX 01006B6A 81C1 973E0100 ADD ECX,13E97 ; 0x01006B69 ; 복호화위치 01006B70 51 01006B71 31D2 01006B73 81CA D1290000 01006B79 87DB 01006B7B 87DB 01006B7D 90 01006B7E 90 01006B7F BE E8000000 01006B84 F5 01006B85 F8 01006B86 F8 01006B87 F9 01006B88 8A01 01006B8A 66:31F0 01006B8D 8601 01006B8F 83C1 01 01006B92 83EA 01 01006B95 F5 01006B96 83FA 00 01006B99 75 ED 01006B9B 59 01006B9C C9 01006B9D 894C24 18 01006BA1 61 01006BA2 FFE1 PUSH ECX XOR EDX,EDX OR EDX,29D1 XCHG EBX,EBX XCHG EBX,EBX NOP NOP MOV ESI,0E8 CMC CLC CLC STC MOV AL,BYTE PTR DS:[ECX] XOR AX,SI XCHG BYTE PTR DS:[ECX],AL ADD ECX,1 SUB EDX,1 CMC CMP EDX,0 JNZ SHORT 01006B88 POP ECX LEAVE MOV DWORD PTR SS:[ESP+18],ECX POPAD JMP ECX ; 복호화크기 ; 복호화키 ; 복호화연산 ; 복호화된위치로분기 바이러스코드 복호화된바이러스코드는몇가지의흥미로운방식으로감염루틴을생성하게되는데시간 의흐름에따른동작들을살펴보면다음처럼작성될수있다. 1. 중복감염루틴설치를피하기위한이벤트객체생성 ( Vx_4 ) 2. 감염루틴을모든프로세스에메모리매핑 (MemoryMapping) 하기위한오브젝트섹션 (ObjectSection) 생성 ( \BaseNamedObject\VtSect ) 3. 실행된모든프로세스의공통메모리영역에이미생성한오브젝트섹션을매핑 4. 공통라이브러리인 NTDLL.DLL의특정 Export 함수에대한후킹 (ZwCreateFile, ZwOpenFile, ZwCreateProcess, ZwCreateProcessEx) 5. 시스템프로세스인 Winlogon.exe의메모리영역에매핑한 RemoteThread 실행 NTDLL.DLL Export API 후킹 Copyright AhnLab Inc,. All Rights Reserved. 62
앞서언급한바와같이 Virut 바이러스는 API 후킹 (Hook) 을이용해서다른 PE 파일들을감염시킨다. [ 그림 4-6] 은 Visual Studio의유틸리티인 Depends를이용하여살펴본 NTDLL.DLL의 Export 함수이다. Virut 바이러스가후킹 (Hook) 할함수 ZwCreateFile의 EntryPoint는 0x0002595E이다. NTDLL.DLL의 Base 주소는 0x77F50000 이므로실제 VirtualAddress는 0x77F7595E 일것이다. [ 그림 4-6] ntdll.dll 의 export 함수 [ 그림 4-7] 은후킹되기전과후킹된후의어셈블리코드상태에대한캡쳐이미지이다. 왼쪽 의후킹전코드는 EAX 레지스터에 ZwCreateFile 의서비스번호인 0x25 번을넣는코드이 며, 오른쪽의후킹후코드는바이러스의특정함수를호출하는코드로변경되어있다. [ 그림 4-7] 후킹전후의어셈블리코드상태비교 이와동일한방법으로나머지 ZwOpenFile, ZwCreateProcess, ZwCreateProcessEx Export 함수에대한 5 바이트메모리패치 ( 후킹 ) 가이루어진다. (NTDLL.DLL의모든 Export 함수들은시스템서비스함수를호출하기위한시스템서비스번호 (System Service Number) 를 EAX 레지스터에, 스택에존재하는인자값을 EDX 레지스터에옮긴다음, 커널서비스인터럽트를발생시키는 INT 0x2E 혹은 SYSENTER를발생시킨다. ) Copyright AhnLab Inc,. All Rights Reserved. 63
[ 그림 4-8] 바이러스감염위치 Winlogon.exe 의바이러스쓰레드 Virut이생성한오브젝트섹션 ( \BaseNamedObject\VtSect ) 에는 RemoteThread를위한코드와후킹된 API 함수에대한감염코드가존재한다. 오브젝트섹션은메모리매핑을통해모든실행된프로세스의메모리에공유되며, 그중에서 Winlogon.exe에대해서만매핑된오브젝트의 Thread를실행시킨다. RemoteThread의순서화된동작을보면다음과같다. 1. 시스템 OS에따른 WFP(Windows File Protection) 무력화 윈도우자체파일보호를위한 WatcherThread(SFC.DLL or SFC_OS.DLL) 를중지시키는방식을통하여시스템파일도감염대상으로하고있다. 2. 중복감염방지에대한이벤트객체를통한동기화 ("Vx_4") 3. 외부연결파일다운로드및실행 분석중에는 Win-Trojan/Agent.40960.HB 악성코드를다운로드하여실행하였으며, 다운로드된악성코드는중국사이트 (alexa.xxxxxx.cn) 로연결또다른악성코드를다운로드하는등의연속적인감염이이루어지고있었다. 4. IRC 채팅서버로의연결을통한명령대기 - Ircd.XXXX.pl (NICK qsfzqiie, USER I, JOIN &virtu) - Proxim.ircXXXXXX.pl ( 접속 URL 주소는악용방지를위해 X 로일부문자를변경, 표기하였다.) 이상으로 Virut 바이러스에대한전반적인사항에대해서살펴보았다. Virut 의특징인 API 후킹에의한감염때문에사용자가수동으로치료한다는것은거의불가능하다. 대부분의바 이러스백신업체에서전용백신을따로만들어배포하는것도이러한특징때문이기도하다. Copyright AhnLab Inc,. All Rights Reserved. 64
문제가발생하기전에사전방역을확실히하는것이더중요하다는원리는해당바이러스에 서도마찬가지라고할수있다. Copyright AhnLab Inc,. All Rights Reserved. 65
(2) 실행압축파일진단의장단점 패커란 실행압축파일 (ExePacker, 이하패커 ) 은실행파일에서불필요한부분을제거하고코드와데이터를압축해서실제파일크기보다작게만든파일이다. 도스시절부족한디스크공간을효율적으로사용하기위해실행파일의크기를줄이는 LZEXE, DIET, PKLITE 등이알려져있다. 윈도우시대로넘어오면서디스크공간확보의목적뿐만아니라리버스엔지니어링 (Reverse Engineering) 을통하여분석을어렵게하기위한목적으로도이용된다. 패커는악성코드에서많이이용되지만자신을보호할필요가있는보안프로그램이나언더그라운드에서제작되는크랙파일등에도사용된다. 패커는크게단순히길이를줄이기위한압축형 (Compressor), 분석을방지하기위해단순암호화방법을사용하는암호형 (Cryptor), 여러파일설치형 (Installer), 압축보다안티디버깅기법 (anti-debugging tricks) 등원래코드분석을방해목적이강한보호형 (Protector) 등으로나뉜다. 일반적으로악성코드에서는압축형, 암호형, 보호형이사용되며이들이혼합되기도한다. 악성코드에서패커이용 악성코드에서이들프로그램을이용하는이유는다음과같다. 첫째, 악성코드크기가줄어듦 : 악성코드는비정상적인활동을하므로자기복제, 전송등의 시간을줄이기위해서악성코드의길이가가급적짧을필요가있다. 하지만, 최근컴퓨터나 네트워크성능이좋아지면서악성코드크기에대한민감성은많이줄어들었다. 둘째, 안티바이러스의진단을피할수있음 : 패커이용의가장큰목적은안티바이러스의진단을피하는것이다. 변형이많을경우안티바이러스회사는악성코드에서발견되는고유값이아닌유사변형을진단할수있는기능을추가한다. 악성코드제작자입장에서는소스코드를상당히수정하지않는이상제작하는변형이사용자들에게퍼지기도전에사전에진단될수있다. 하지만, 패커를통해실행파일을수정하면유사변형에대한진단기능이있는안티바이러스제품도해당실행압축을해제하지못하면진단할수없다. 실제로패커가잘알려지기시작한 2004년은유사악성 IRC봇변형이대량으로등장한시기이다. 셋째, 분석을어렵게할수있음 : 분석방해기능이포함된패커로분석가의분석을지연해 결과적으로악성코드의생존기간을연장시키려는목적으로이용된다. 최근악성코드는 40% 만일주일간활동하고 30 일동안활동하는악성코드역시 15% 에불과하다. 따라서, 악 성코드제작자는동일한목적을이용해사용되지만분석을최대한어렵게하고많은변형을 Copyright AhnLab Inc,. All Rights Reserved. 66
동시에배포해생존확률을높일필요가있다. 패커를둘러싼보안업체와악성코드제작자들 기존에진단되는웜이나트로이목마를패커로압축하면전혀다른파일이되어해당패커를해제하지못하는안티바이러스제품은진단할수없었다. 이에안티바이러스프로그램은널리사용되는패커에대한압축해제기능을조금씩추가하기시작한다. 하지만, 2004년악성 IRC봇소스가공개되면서같은소스에서접속 IRC 서버주소만조금씩수정된변형이전세계적으로수없이등장하기시작했다. 소스코드제작자는안티바이러스제품에서진단되지않는방법으로패커의사용을알려주었고패커의사용이악성코드제작자들사이에일반화되었다. 더이상언패킹기능이부가기능이아닌필수기능이되면서안티바이러스제품에서도알려진패커의해제기능이강화되었다. 2005년부터악성코드제작자들은널리알려져있지않은패커를이용하거나기존에나와있는패커를일부수정해자신만의패커를만들어이용하기시작했다. 또흔히 PE 패치로불리는실행코드를일부수정해안티바이러스프로그램에서패커이용사실을알수없게하는방법도증가했다. 개인적으로제작된패커와 PE 패치가급증하면서안티바이러스업계에서는패커를풀어서내용을보고진단하는방식보다일반적이지않은패커를사용하거나다중압축된파일은악성코드의가능성이매우높으니이들에대한진단가능성에대한견해가나타났고 2006년부터더욱많은샘플증가로특정패커를진단하는안티바이러스프로그램이늘어나기시작했다. 패커진단의이점 패커자체를진단했을때장점은알려지지않은악성코드진단이다. 물론이는정확히코드를분석해악성코드라고확인하고진단하는게아닌특정패커자체를진단하기때문에악성코드로의심된다는성격이강하다. 하지만, 바이러스버스터사의통계에따르면 2007년 1/4 분기에접수된샘플중 2만여개를자사의패커진단기능으로진단했고적은수의정의데이터로높은효율을얻을수있음을알수있다. 특정 (Specific) 진 단 일반적 (Generic) 진단 진단샘플 시그니처수 24 만개 14 만개 6 만개 800 개 비고 특정값. 패킹을풀필요없음. 오진가능 성낮음 특정변형에대한공통점진단. 패킹되어 있을경우패킹을풀어야함. 성낮음 Copyright AhnLab Inc,. All Rights Reserved. 67 오진가능 패커 (Packer) 진 6 만개 20 개악성코드아닐수있음. 패킹풀필요없
단 음. 오진가능성낮음 [ 표 4-1] 패커진단의효율성 패커진단의문제점 패커진단에여러가지이점도있지만문제점도존재한다. 첫째, 악성코드확인이안된진단 : 일반적으로안티바이러스에서악성코드는악의적인행동이확인되었을때진단에추가된다. 하지만, 패커를진단하는것은패커안에숨겨진코드가어떤내용인지전혀알수없이진단한것이다. 악성코드확인없이진단하는건결과적으로는좋지만악성코드라고확인되지않는파일에대한진단은논란의여지가분명히있다. 둘째, 오진가능성 : 패킹안의내용이아닌패커자체로진단하므로정상파일을진단하는오진가능성이존재한다. 잘알려지지않은패커를정상프로그램에서는사용될가능성이적지만전혀없는게아니며일부보안프로그램은해커들로부터분석을어렵게하기위해상용패커를이용하거나자체패커로자신을보호하기도한다. 셋째, 상용제품진단어려움 : 상용패커나널리알려진패커는진단하기매우어렵다. 사용업체의항의나소송문제뿐아니라해당패커를사용한제품도많으므로진단에사용할패커선정은신중해야한다. 예를들어중국에서제작된 Upack을기본으로진단하는제품의경우 Upack은중국이외에는거의사용되지않지만중국에서는정상프로그램에서도이용된다. 만약 Upack을기본으로진단하는제품이라면중국에서해당안티바이러스제품사용은큰불편이따르므로적어도중국내에서는진단정책변경이불가피할수있다. 패커에대한안티바이러스현황 기본적으로상용패커는진단에서제외된다. 진단에사용되는패커는개인적으로제작되어 일반에알려지지않았거나일반에알려졌어도일반적으로사용되지않고대부분악성코드에 서이용이확인된형태이다. 포티넷의브랸루 (Bryan Lu) 가바이러스블루틴 2007 컨퍼런스에서발표한자료에따르면자사에서집계한샘플을분석한결과윈도우악성코드의 40% 가실행압축되어있었다. 바이러스블루틴 (Virus Bulletin) 2007년 10월호에헝가리바이러스버스터 (VirusBuster) 의가보르스자파노스 (Gabor Szappanos) 연구원에따르면와일드리스트에오른 739개샘플중 54 개만패킹되어있지않고나머지 92% 가패킹되어있으며사용된패커는 30 가지이상이라고한다. Copyright AhnLab Inc,. All Rights Reserved. 68
실제로 2007 년국내에서발견된악성코드를검사해보면몇몇제품은 TR/Crypt.NSPM.Gen, Win32/NSAnti 등의이름으로패커자체를진단했음을알수있다. [ 그림 4-9] 패커를진단해알려지지않은신종을진단하는제품들 Copyright AhnLab Inc,. All Rights Reserved. 69