Manual 목 ASEC Report 8 월 ASEC Report 2004. 9 I. 8월악성코드피해 Top 10 3 II. 8월국내신종악성코드발견동향 8 III. 8월신규보안취약점 13 IV. 8월일본피해동향 16 V. 8월중국피해동향 18 VI. 테크니컬컬럼 I 스파이웨어위험과과장 21 VII. 테크니컬컬럼 II 유해트래픽의탐지와판단 26 안철수연구소의시큐리티대응센터 (Ahnlab Security E-response Center) 는악성코드및보안위협으로부터고객을안전하게지키기위하여바이러스와보안전문가들로구성되어있는조직이다. 이리포트는 안철수연구소의 ASEC에서국내인터넷보안과고객에게보다다양한정보를제공하기위하여바이러스와시큐리티의종합된정보를매월요약하여리포트형태로제공하고있다.
SUMMARY 악성코드피해다소감소, 다운로더변형발견증가 IRCBot 웜변형출현의감소와휴가시즌으로인한사용자감소로인해 8월은악성코드로인한피해가지난달에비해다소감소하는추세를보였다. 그러나감소한피해신고추세속에서도피해신고 Top 10 중 7개가넷스카이웜변형에의한것일만큼 Mass Mailer 에의한피해는여전하였으며, 이는일본과중국도마찬가지의경향을보였다. 8월에는새로이발견된신종 ( 변형포함 ) 이전반적으로감소하는추세를보이는가운데, 트로이목마류특히다운로더 (Downloader) 가다소증가하는특징을보였다. 8월에는 1개의 MS 취약점에대한패치와윈도우 XP 서비스팩 2가발표되었다. 특히윈도우 XP 서비스팩 2는보안정책이강화된것이어어서주목을받았다. 이번호에서는개인정보유출과광고창팝업, 인터넷익스플로러초기페이지고정등의증상으로많은사용자들에게피해아닌피해를입히고있는스파이웨어의위험성과과장, 그리고비정상적인유해트래픽의탐지와판단을하기위한방법에대해테크니컬컬럼에서살펴보았다. Copyright AhnLab Inc,. All Rights Reserved. 2
I. 8 월악성코드피해 Top 10 작성자 : 최동균연구원 (cdk@ahnlab.com) 순위 악성코드명 건수 % 1 - Win32/Netsky.worm.29568 1,367 18.8% 2 - Win32/Netsky.worm.17424 719 9.9% 3 - Win32/Dumaru.worm.9234 626 8.6% 4 - Win32/Netsky.worm.28008 621 8.5% 5 - Win32/Netsky.worm.17920 467 6.4% 6 - Win32/Bagle.worm.Z 351 4.8% 7 - Win32/Netsky.worm.22016 326 4.5% 8 2 Win32/Netsky.worm.16896.B 207 2.8% 9 1 Win32/Sasser.worm.15872 190 2.6% 10 2 Win32/Netsky.worm.25352 156 2.1% 기타 2,254 30.9% 합계 7,284 100% [ 표1] 2004년 8월악성코드피해 Top 10 8월악성코드피해동향 8월악성코드피해동향은지난달에많은감염피해를가져다준 Win32/Netsky.worm.29568( 이하넷스카이.29568 웜 ) 의피해감소로인해전반적인감염피해수치가낮아졌다. 하지만이번달역시감염피해비중은메일을이용하여전파되는 Mass Mailer에의한것이많았다. 이와같은결과를반영하듯 8월악성코드피해 Top 10 중 9건이메일을감염전파경로로사용하였으며, 그중 Win32/Netsky.worm( 이하넷스카이웜 ) 의변형은 Top 10 리스트에서 7건을차지하고있다. 3월경최초발견된넷스카이웜은현재까지 40여종이상의수많은변종이발견보고되었으며, 이러한수치는과거사용자들의시스템에많은피해를입힌 Win32/Yaha.worm( 이하야하웜 ) 과유사한수치라하겠다. 또한월별악성코드 Top 10에서윈도우보안취약점 (MS04-011) 1 을악용한 Win32/Sasser.worm( 새서웜 ) 이순위내에지속적으로포함되는것으로보아윈도우보안취약점에노출되어있는사용자시스템이여전히상당수존재함을알수있다. 8 월의악성코드 Top 10 을도표로나타내면 [ 그림 1] 과같다. 1 http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx Copyright AhnLab Inc,. All Rights Reserved. 3
악성코드 Top 10 Win32/Netsky.worm.29568 30% 19% Win32/Netsky.worm.17424 Win32/Dumaru.worm.9234 Win32/Netsky.worm.28008 Win32/Netsky.worm.17920 2% 3% 10% 9% Win32/Bagle.worm.Z Win32/Netsky.worm.22016 Win32/Netsky.worm.16896.B 4% 3% 5% 6% 9% Win32/Sasser.worm.15872 Win32/Netsky.worm.25352 기타 [ 그림 1] 2004 년 8 월악성코드 Top 10 과거의 Mass Mailer는감염메일의시간당전송단위량이무차별적으로발송되어시스템자원소모및네트워크트래픽을발생하는특징이있었으나, 최근의 Mass Mailer는특정시간대에한정된감염메일을발송하는유형이많아사용자및네트워크관리자가해당시스템이감염된사실을알아차릴수없는특징이있다. 8월악성코드 Top 10 의전파방법유형별현황 [ 표1] 의악성코드 Top 10은주로어떠한감염경로를가지고있는지 [ 그림2] 에서확인해보기로한다. Copyright AhnLab Inc,. All Rights Reserved. 4
전파방법 10% 메일 네트워크 ( 취약점 ) 90% [ 그림 2] 악성코드 Top 10 의전파방법및유형별현황 위에서언급한것처럼악성코드가이용하는전파방법의대다수가이메일을이용하였으며, 이는지난달과비슷한동향으로써구종및신종의 Mass Mailer에의한피해가여전히수위를차지하고있음을보여주고있다. 월별피해신고악성코드수현황 8월에피해신고된악성코드는역대최고피해신고수치를기록한 7월에비해상대적으로감소한것을알수있다. 2004 년월단위악성코드건수 1000 900 800 700 600 500 400 300 200 100 0 917 918 943 800 758 686 659 432 1월 2월 3월 4월 5월 6월 7월 8월 악성코드수 Copyright AhnLab Inc,. All Rights Reserved. 5
[ 그림 3] 2004 년월별피해신고악성코드수 8월의피해신고악성코드수가감소한것은지난달피해신고접수건과비교하였을때 Win32/IRCBot.worm 변형의출현이상대적으로감소하였으며, 더불어 8월휴가철특성에기인하여감소한것으로추정된다. 유형별악성코드피해현황 8월에피해신고된악성코드중피해신고가 3건이상접수된악성코드를유형별로분류하면 [ 그림4] 와같다. 유형별악성코드피해현황 19% 21% 바이러스 웜 트로이목마 60% [ 그림 4] 2004 년 8 월악성코드유형별현황 ( 피해신고 3 건이상 ) 8월악성코드유형중웜이대다수를차지하였으며, 바이러스유형은과거발견된구종의바이러스가계속활동하고있다. 8 월중안철수연구소를통해피해신고접수된악성코드유형을 [ 그림 5] 에서확인할수있다. Copyright AhnLab Inc,. All Rights Reserved. 6
2004 년 8 월악성코드유형별현황 21% 4% 2% 1% 1% 1% 1% 1% 68% 웜트로이목마윈도우파일스크립트드롭퍼도스부트매크로애드웨어 [ 그림 5] 2004 년 8 월악성코드유형별현황 8월의악성코드피해동향은유기적으로구축된네트워크인프라를감염전파경로로택한 Mass Mailer 및 IRCBot 류의활동이왕성했다. 이는최초감염부터확산까지의소요시간이최단시간내에이루어진다는특징에기인한결과라할수있다. Copyright AhnLab Inc,. All Rights Reserved. 7
II. 8 월국내신종악성코드발견동향 작성자 : 정진성연구원 (jsjung@ahnlab.com) 8월한달동안접수된신종 ( 변형 ) 악성코드의건수는 [ 표1], [ 그림1] 과같다. 웜트로이드롭퍼스크립트파일리눅스부트매크로부트 / 파일애드웨어합계 358 87 9 8 0 0 0 0 0 0 462 [ 표1] 2004년 8월유형별신종 ( 변형 ) 악성코드발견현황 2004 년 8 월신종 ( 변형 ) 악성코드현황 19% 0% 0% 0% 2%2% 0% 0% 0% 77% 웜트로이드롭퍼스크립트파일리눅스부트매크로부트 / 파일애드웨어 [ 그림 1] 2004 년 8 월신종악성코드발견현황 8월신종악성코드동향 8월에발견된신종 ( 변형 ) 악성코드는 462건으로 7월과비교하여 10여건정도낮은수치이지만, 악성 IRCBot 웜은여전히많은발견건수를보이고있고, 트로이목마류가지난달과비교하여조금증가하였다. 트로이목마중에서는다운로더라고 (Downloader) 불리우는유형이증가하였다. 또한드롭퍼 (Dropper) 류는지난달과비슷한발견건수를보였다. 메일로전파되는웜은 Win32/Bagle.worm( 이하베이글웜 ), Win32/MyDoom.worm( 이하마이둠웜 ) Win32/LovGate.worm( 이하러브게이트웜 ) 변형들이발견, 보고되었다. 베이글웜변형의경우웜자신이아닌트로이목마를첨부하여전파하는형태가발견되었다. Copyright AhnLab Inc,. All Rights Reserved. 8
2004 년월별신종 ( 변형 ) 악성코드건수 600 500 524 464 476 462 400 365 300 286 305 200 100 125 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 [ 그림 2] 2004 년월별신종 ( 변형 ) 악성코드발견현황 이번달에변형및새로이발견, 보고된악성코드중이슈가있었던것은다음과같다. Win-Trojan/Bagle.14848, Win-Trojan/Bagle.12800 이트로이목마는베이글웜변형이메일에첨부한형태로유포되었다. 즉, 메일에웜자신이첨부된형태가아니라웜을다운로드받을수있는트로이목마를메일에첨부한형태로, 웜이업로드된호스트가폐쇄되어이트로이목마가확산되는것을쉽게차단할수있었다. 이트로이목마는자신을 Explorer.exe의한쓰레드 (Thread) 로동작하도록한다. 이렇게되면트로이목마가하는모든동작은 Explorer.exe에의한것으로표시되기때문에사용자들이눈치채기가어렵다. 트로이목마는수십개에이르는호스트들중하나에서웜을다운로드받아서실행한다. 이러한동작은최초실행후 10시간그리고변형은 6시간마다반복된다. 알려진보안관련응용프로그램의프로세스를강제종료하는증상도있으며, 최근에발견된변형인 Win-Trojan/Bagle.12800은윈도우 XP(SP2) 의방화벽기능을 Off하는증상도있었다. MS가윈도우 XP SP2의방화벽기능을향상시킴에따라이를무력화또는우회하려는악성코드의공격이증가할것으로예상된다. Win-Trojan/Agent.57344 이트로이목마는국내에서는 8월에많은발견보고가있었다. 하지만그이전부터확산된것으로추정된다. 이트로이목마의감염경로는인터넷익스플로러의취약점을이용한것으로 Copyright AhnLab Inc,. All Rights Reserved. 9
추정된다. 즉, 사용자가악의적인웹사이트에방문하면보안패치가되어있지않은인터넷익스플로러는트로이목마의모듈을로컬드라이브에다운로드하고다음번부팅시마다자동실행되도록레지스트리에자신을추가하는형태로감염되는것으로보인다. 이트로이목마는무려 60개가넘는 API를후킹하고있으며후킹된 API가일부응용프로그램에서사용중이라면충돌하는현상이발생한다. 그리고 USER32.DLL 모듈을사용하는응용프로그램이실행될때마다해당프로세스에자신의모듈을삽입 (Injection) 하는형태이다. 이트로이목마는다음과같은증상이있다. - 특정응용프로그램의실행을방해 ( 프로세스뷰어관련툴등..) - 특정디버거실행및파일들을감지및트로이목마은폐기능동작하지않음 - 윈도우특정로컬드라이브에경로획득 - 일반적인시스템정보를획득 - 트로이목마모듈을 Lock 하여삭제되지않음 - 트로이목마는다수의 API 를후킹하여위와같은동작을수행한다. 또한치료하는데있어서다소번거로운형태로, 치료를위해서는재부팅이반드시필요하다. Win-Trojan/Downloader.xxxxx Win-Trojan/Downloader.( 이하다운로더 ) 는매우일반적인진단명으로특정호스트에업로드된악의적인증상이있는파일을다운로드하는형태를일컫는다. 8월에는 6종의다운로더가발견되었다. 대부분애드웨어를다운로드하는형태로알려졌다. T-Virus Hoax 휴대폰및 PDA와같은모바일기기에대한보안위협이커지고있는요즘, 영국에서특정게임에대한홍보를목적으로한단문문자메시지서비스가실제휴대폰의악성코드로오인되는해프닝이있었다. 홈페이지내에서사람들끼리휴대폰을이용하여보낸단문문자메시지내용이마치휴대폰에악성코드가감염된것처럼오인하는소동이있었던것이다. 모바일기기에대한보안위협이커지고있는시점에서나온 Hoax( 가짜바이러스 ) 라서외신을통해언론에보도가되었다. Win32/MyDoom.worm.27136 마이둠웜변형으로메일전파기능이외에특정호스트에서트로이목마를다운로드받아오는기능이있다. 다운받아진트로이목마는메일릴레이및 HTTP 프록시증상을가지고있는형태이다. 또한트로이목마는은폐기능이있어자신의서비스와파일등을숨기고, 특정웹사이트에대한접속을하지못하도록방해한다. 유형별신종 ( 변형 ) 악성코드현황다음은 8월발견된신종 ( 변형 ) 악성코드의유형별현황이다. Copyright AhnLab Inc,. All Rights Reserved. 10
8 월신종 ( 변형 ) 악성코드유형 2% 1% 2% 1% 19% 웜 (IRCBot) 트로이목마웜 (Mail) 드롭퍼스크립트웜 (Network) 75% [ 그림 3] 8 월신종 ( 변형 ) 악성코드유형별현황 트로이목마류가지난달에비하여 2% 정도증가하였다. 발견된트로이목마들은주로다운로더와 FTP 데몬, 악의적인애드웨어류, 전형적인백도어등이다. 트로이목마들은자체확산력은없지만관리목적공유폴더를이용해서전파되는드롭퍼류에포함되어발견된경우가더러있었다. 메일로전파되는유형은단 2종류로, 베이글웜과러브게이트웜변형들이였다. 그리고드롭퍼는 mircpack 형태가많았다. 제작지별신종 ( 변형 ) 악성코드현황다음은신종 ( 변형 ) 악성코드들의국산 / 외산현황이다. Copyright AhnLab Inc,. All Rights Reserved. 11
2004 년신종악성코드국산 / 외산현황 600 500 516 464 473 459 400 300 200 266 280 346 국산 외산 100 0 104 4 20 25 8 8 0 3 3 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 [ 그림 4] 2004 년제작지별신종악성코드현황 8월은스파이웨어및애드웨어에대한관심이높아진달이다. 일부사이트에서제공하는진단 / 치료프로그램이진단범위와위험등급에대한문제로매스컴등에보도되어사용자들에게정확한알권리를인지시켜주지못한것이문제가되었다. 8월에발견된국산악성코드 3종역시애드웨어이지만특정사이트에접속하지못하게하는증상이있어트로이목마로분류되었다. 지난 Report 끝맺음과같은얘기를다시강조하고싶다. 스파이웨어또는애드웨어에대한궁금증이높아진요즘반드시이에대한정확한정의와대응방법을알고있다면대처하는데별다른오해나어려움은없다. 그러므로이를이용하는사용자들은반드시신뢰할수있는정보를주는사이트에서관련내용이나진단 / 치료툴을비교해보는등꼼꼼히선택하는것이중요하다. Copyright AhnLab Inc,. All Rights Reserved. 12
III. 8 월신규보안취약점 작성자 : 이정형연구원 (jungh@ahnlab.com) 8월에는 1개의마이크로소프트정기보안패치발표와윈도우 XP Serivce Pack2의발표소식이있었다 ( 한글버젼은 9월출시예정 ). Exchange Server 5.5 OWA(Outlook Web Access) 스크립팅취약점 (MS04-026) 1 아웃룩웹액세스 (Outlook Web Access) 는 MS 익스체인지서버 (Microsoft Exchange Server) 의메일을인터넷 ( 웹 ) 상에서사용할수있도록지원해주는서비스로, 이서비스에서사이트간스크립팅 (Cross-Site Scriping), 스푸핑 (Spoofing) 취약점이발견되었다. 이취약점을이용하면외부에서악의적인스크립트가포함된메일을해당사용자에게보내악성스크립트를실행하도록할수있다. 공격이성공하면개인사용자가액세스할수있는아웃룩웹액세스서버의모든데이터에액세스할수있고, 웹브라우저캐시및중간프록시서버캐시를변경할수있으며이러한캐시에스푸핑된콘텐츠를저장할수있다. 또한사이트간스크립팅공격을수행할수도있다. 이취약점은 MS 익스체인지서버 5.5 SP4에만해당된다현재직접적으로공격에악용된사례는알려지지않았지만, 외부에서메일을이용한공격이가능하므로보안패치를적용하도록한다. Windows XP Service Pack 2 발표 2 지난달마이크로소프트사 (Microsoft) 의향상된보안정책이적용된윈도우 XP 서비스팩 2가발표되었다. 이번서비스팩2에서크게변경된내용은아래와같다. 1. 네트워크보안강화기존 XP의 ICF (Internet Connection Firewall) 의기능이개선되어, 블래스터웜과같은네트워크기반의공격에대해서더나은방어를할수있도록해준다. 이번에개선된주요특징은다음과같다. - 설치후 default로작동 - 사용되지않는포트차단 (local에서명시적으로 open해놓지않은포트로들어오는패킷을자동차단 ) - UI 개선 - 응용프로그램과의충돌최소화 1 http://www.microsoft.com/korea/technet/security/bulletin/ms04-026.mspx 2 http://www.microsoft.com/windowsxp/sp2/preinstall.mspx http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2chngs.mspx Copyright AhnLab Inc,. All Rights Reserved. 13
- Group Policy를통한전사적인 ICF 정책관리 (Active Directory 구조를기반으로 함 ) 2. 메모리보안강화마이크로프로세스 (CPU) 레벨에서 버퍼오버런 1 공격을 막는 DEP(Data Execution Prevention) 기술이적용되었다. 그러나현재적용되는 CPU는 NXE bit (No-EXecute) 가지 원되는 AMD의옵테론 (64bit CPU) 계열과이번에출시된인텔의펜티엄4F 프로세스이다. VIA는에스터 ( 사이릭스 4) 에이기능을지원할예정이다. 참고로, 버퍼오버런은기본적으로 데이터부분이넘쳐서코드처럼실행되는원리에기반하고있기때문에이런 feature가하드 웨어적으로구현된다면악성코드가실행되는것은더욱어려워질것이다. 3. 브라우저보안강화웹상의악성컨텐츠를차단할수있는보안기능이다. 웹에서유해한파일을다운로드받거나악성스크립트가수행되는것을브라우저레벨에서차단한다. 요즈음개인사용자들이많이겪는문제인팝업창 ( 광고창등 ) 방지와악성스크립트방지 (ActiveX 등 ) 기능을지원한다. 4. 이메일보안강화 Win32/Sobig.worm.F( 소빅.F 웜 ) 처럼이메일이나메신저를통해확산되는바이러스를차단하는보안기술이다. 이기술은아웃룩익스프레스 (Outlook Express) 나윈도우메신저의보안수준을강화하여, 안전하지못한첨부파일이다른시스템에영향을줄수없도록안전하게격리시킨다. 5. 업데이트기능강화최신소프트웨어를업데이트시켜컴퓨터를항상최신으로유지해주는기능으로, 보안에있어매우중요하다. 또한최신의보안사고나동향에대해정보를제공한다. 취약점패치 / 업데이트에의해바이러스나웜에의한공격을차단하고, 시큐리티센터라는것을통해보안에대한정보를더욱쉽게파악할수있도록하였다. 전체적으로 SP2에는많은보안기능강화를통해악성코드를어느정도방지할것으로생각되지만, 이런보안기능을무력화시키는악성코드도등장할것으로보여진다. 실제로 8월에발견된 Win-Trojan/Bagle.12800에는 SP2의방화벽을무력화시키는기능이내장되어있다. 그러나보안기능이보다강화된윈도우 XP 서비스팩 2는기업에서많이사용되는애플리케이션들과하드웨어에대한호환성문제 2 등이남아있어 IBM 등의기업에서는아직까지서 1 버퍼오버런 : 악성프로그램등에서많이사용되는임의실행기법 2 안철수연구소의 V3Pro 2004는 Service Pack 2 와의호환성문제를 9월 1일해결하였다. http://info.ahnlab.com/ahnlab/report_view.jsp?num=356 Copyright AhnLab Inc,. All Rights Reserved. 14
비스팩 2의사용을미루고있다. 업무와관련된소프트웨어나, 새로운하드웨어를사용하는계층에서는서비스팩 2의사용을서두르지말고, 조금더지켜보는것이좋겠다. 참고로안철수연구소의 V3Pro 2004 제품은 9월 1일부터윈도우 XP 서비스팩 2와의호환성문제를해결한패치파일을제공 1 하고있다. 1 http://info.ahnlab.com/download/patch_list.jsp Copyright AhnLab Inc,. All Rights Reserved. 15
IV. 8 월일본피해동향 작성자 : 김소헌주임연구원 (sohkim@ahnlab.com) 일본경찰청은올해상반기에발생한불법접근위반행위와관련한통계를발표하였다. 아래의 [ 표1] 은경찰청통계중불법접근이발생한상황을처음인지한기관에대한통계이다. 불법접근인지단서 2000년 2001년 2002년 2003년 2004년상반기 관리자로부터의검출 30 168 47 12 20 접근권한자의검출 23 118 92 78 85 경찰활동 35 930 185 100 95 발견자의통보 7 21 0 19 1 기타 11 16 5 3 2 합계 106 1,253 329 212 198 [ 표1] 불법접근인지단서통계 ( 출처 : 일본경찰청 ) [ 표1] 의내용중관심을가져볼만한사항은작년과비교하여불법접근이발생한횟수가증가하고있다는점이다. 또한불법접근이발생한위기상황을초기에인식하는주체가변화하고있다는점도주목할만한내용이다. 이전에는경찰과같은공공기관에서주로불법접근상황을인지하던것에서관리자나개인유저와같은직접사용자에의해서발견되는경우가증가하고있다는사실은이전에비해서일반사용자들의보안에대한의식이높아지고있음을반증해준다고할수있다. 내, 외부에서의불법접근과같은보안위반사항이발생하였을때이를빨리인지하고대응하는것은피해를최소화하기위한중요한요소이므로직접사용자가조기에발견하는경우가증가하고있다는사실은정보보호의측면에서볼때고무적인현상이라고할수있다. 일본유행악성코드유형별발생현황 2004년 8월한달동안일본에서가장많이전파된악성코드는 Win32/Netsky.worm( 이하넷스카이웜 ) 과 Win32/Bagle.worm( 이하베이글웜 ) 이다. 이는전월과비교하여크게차이가없다. [ 표2] 는 IPA/ISEC에서집계한 2004년 8월의악성코드노출에대한통계자료이다. 전월과마찬가지로넷스카이웜과베이글웜에노출된건수가많음을알수있다. 한가지주목할만한사항은마이둠웜의노출건수가전월에비해서크게증가한것인데, 이는지난 8월 16일경발견되어확산된새로운변형 Win32/MyDoom.worm.27136( 이하마이둠.27136 웜 ) 으로인한것이다. 새롭게확산된마이둠.27136 웜은감염경로나감염시의위험도등에있어서는이전에발견된다른변형들과크게차이가없으나매우많은양의감염 Copyright AhnLab Inc,. All Rights Reserved. 16
메일을다수에게지속적으로발송함으로인해사용자들에게많은피해를주었다. Window/Dos Virus 건수 Macro Virus 건수 Script Virus 건수 W32/Netsky 1,431 Xm/Laroux 16 VBS/Redlof 104 W32/Bagle 502 X97M/Divi 8 Wscript/ Kakworm 18 W32/Mydoom 496 X97M/Tristate 6 Wscript / Fortnight 8 W32/Lovgate 347 W97M/Ethan 3 VBS/ Internal 4 W32/Klez 277 WM/Opey 3 VBS/Loveletter 3 W32/Zafi 252 VBS/Netlog 1 [ 표2] 악성코드노출신고현황 ( 출처 : IPA/ISEC) 일본네트워크트레픽현황아래의 [ 그림1] 은 2004년 8월일본에서발생한네트워크포트사용현황을나타낸것이다. 가장많은네트워크트래픽이발생한포트는 TCP 135와 445 포트로써이두포트들은윈도우 OS에서인증과관련하여사용된다. 그러나이포트들은최근유행하는네트워크를통해전파되는웜들이윈도우의 RPC 관련취약점을이용한공격을시도할때에도사용되기때문에감염을예방하기위해서는 OS의최신패치가필수적이다. TCP 4899 포트의트래픽이많은데이는 Radmin이라는원격제어툴에서사용되는포트이지만최근에는이러한상용툴을웜과같은악성코드에서백도어의기능을하도록사용되는경향이있으므로이에대한주의가필요하다. [ 그림 1] 일본의네트워크트래픽현황 Copyright AhnLab Inc,. All Rights Reserved. 17
V. 8 월중국피해동향 작성자 : 장영준연구원 (zhang95@ahnlab.com) 무더웠던 8월의여름이지나가고 9월가을의문턱에접어들었다. 9월에는한국에서한가위라불리는추석명절이있는것과마찬가지로중국에도가을의한가운데있다는중추절명절을보낸다. 가을의문턱에서무더웠던 8월여름, 중국의악성코드동향은새로운악성코드에의한피해보다는기존에알려진악성코드들에의한피해신고가증가하였다. 악성코드 TOP 5 순위변화 7월 Rising CNCVERC * 1 Worm.Netsky Worm_Netsky.D * 2 Worm.Lovgate Worm_AgoBot NEW 3 Worm.Novarg Worm_Lovgate.C NEW 4 Backdoor.Rbot Worm_Bbeagle.J NEW 5 Backdoor.Sdbot Worm_Mydoom.N [ 표1] 2004년 8월악성코드 TOP 5 * - 순위변동없음, NEW 순위에새로진입, - - 순위하락 위 [ 표1] 은 2004년 8월중국로컬백신업체인라이징 (Rising) 사와정부연구기관인중국국가컴퓨터바이러스대응중심 (China National Computer Virus Emergency Response Center, 이하 CNCVERC) 이작성한 8월중국악성코드 TOP 5이다. 두기관에서조사한악성코드피해신고는몇달째지속적으로 1위를차지하고있는 Worm.Netsky(Win32/Netsky.worm, 이하넷스카이웜 ) 을제외하고는순위상의차이만있을뿐두기관에서발견된악성코드의종류와형태에차이는없는것으로분석된다. 그리고네트워크로전파되는웜과메일로확산되는웜의양극체제는 4월부터이어지기시작하여이번달에도동일한현상을보여주고있다. 주간악성코드순위 순위 1주 2주 3주 4주 1 Worm.Netsky Worm.Netsky Worm.Netsky Worm.Netsky 2 Worm.Lovgate Worm.Lovgate Worm.Lovgate Worm.Lovgate 3 Worm.Mabutu Backdoor.Rbot Worm.Novarg Worm.Novarg 4 Backdoor.Sdbot Backdoor.Sdbot Backdoor.Rbot Backdoor.Sdbot 5 Backdoor.Rbot Worm.BBeagle Worm.BBeagle Backdoor.Rbot [ 표2] 2004년 8월주간악성코드순위변화 Copyright AhnLab Inc,. All Rights Reserved. 18
라이징 (Rising) 사에서작성한 2004년 8월주간악성코드순위변화를참고할경우에도 [ 표 1] 의악성코드 TOP 5에서상술한넷스카이웜과 Worm.Lovgate(Win32/Lovgate.wrom, 이하러브게이트웜 ) 의 1위, 2위차지는 4달째이어져오고있는현상과동일하다. 그리고 7월말에발견된 Worm.Mabutu(Win32/Mabutu.worm.32768, 이하마부추웜 ) 만이 8월첫째주에잠시신고건수가증가하는현상을보였으나둘째주부터는급격한감소가이루어졌다. 그리고둘째주와셋째주에는기존에발견되었던 Worm.BBeagle(Win32/Bagle.worm, 이하베이글웜 ) 과 Worm.Novarg(Win32/MyDoom.worm, 이하마이둠웜 ) 의신고건수가잠시증가하는현상을보였으나수치적인면과악성코드분포적인면에서는넷스카이웜과러브게이트웜, 이두웜에비해그신고건수가적은것으로분석된다. 그리고악성 IRCBot 웜의변형인 Backdoor.Sdbot(Win32/SdBot.worm, 이하에스디봇웜 ) 과 Backdoor.Rbot (Win32/IRCBot.worm, 이하아알씨봇웜 ) 은엄청난변형의숫자만큼매주마다꾸준히피해신고가있는것으로분석되며수치상의데이터보다실제개인고객또는기업고객의시스템에는더많이확산되어있는것으로추정되니각별한주의가필요하다고여겨진다. 신종악성코드동향이번 8월에신고된악성코드중새롭게발견된악성코드는 XF_NetSnake.A가있으나그신고건수는많지않은것으로분석된다. XF_NetSnake.A는마이크로소프트의오피스제품중엑셀과워드파일형태로되어있으나해당파일을실행할경우해당윈도우시스템에다수의트로이목마파일들이설치되는특징이있다. 그리고 7월말에발견된마부추웜이 8월첫째주에잠시신고건수가증가하고그이후에는급격한감소를보였다. 마부추웜은 7월마지막주에발견된메일로전파되는매스메일러 (Mass Mailer) 형태이다. 마부추웜은기존에발견된매스메일러와동일한전파방식을취하고있지만해당웜에는기존에잘알려진아이알씨봇웜의악의적인기능을추가적으로가지고있는것이특징이다. 이러한마부추웜과동일하게확산방식은메일을이용하나감염이후의다른시스템에대한공격방식은악성아이알씨봇웜의방식을취하는것과같은유사한형태의악성코드가지속적으로나타날지도주목된다. 악성코드분포 Copyright AhnLab Inc,. All Rights Reserved. 19
[ 표 3] 2004 년 8 월중국의악성코드분포 8월악성코드분포는넷스카이웜과러브게이트웜의양극화현상을그대로보여주고있다. 이두웜이전제감염신고중에서 94% 를차지할정도로많이확산되어있는것으로추정된다. 그리고악성코드 TOP 5 에서 3위를차지하고있는마이둠웜만이 3% 로간신히악성코드분포에서한자리를차지할수가있었다. 그외기타에포함된악성코드들은 4위와 5 위를차지하고있는에스디봇웜과아이알씨봇웜, 그리고순위에포함되지않은마부추웜, Worm.Agobot.3(Win32/AgoBot.worm, 이하아고봇웜 ), 베이글웜등기존에잘알려진메일로전파되는매스메일러웜들이대부분을차지하고있다. 그러나기타에포함된악성코드들이전체분포에서 3% 를차지하고있는만큼개별적인악성코드의수치는극히적은것으로분석된다. 주간악성코드순위에서언급한것과같이에스디봇웜, 아이알씨봇웜, 아고봇웜의경우는변형의숫자가많은만큼개별적인수치는작을수있으나전체적인형태로보았을때에는더높을수가있다. 맺음말여름의한가운데있었던 8월중국악성코드동향은지난 4월부터있었던러브게이트웜과넷스카이웜의양극화현상이 4개월째지속되고있으며이러한현상이언제까지이어질지도미지수이다. 그리고이두웜에이어서꾸준히발견되고있는악성아이알씨봇웜변형인에스디봇웜, 아알씨봇웜의영향력이다음달에는어떻게변화될지도주목이된다. 현재이글을쓰고있는 9월첫째주에는또다른베이글웜의변형이발견되어확산및전파에대한새로운시도가있었다. 새로운베이글웜변형의등장이마이둠웜과넷스카이웜의또다른변형등장에대한예고가될지우려된다. Copyright AhnLab Inc,. All Rights Reserved. 20
VI. 테크니컬컬럼 I 스파이웨어위험과과장 작성자 : 차민석주임연구원 (jackycha@ahnlab.com) 기술이발전하면서여러가지생활은편리해졌다. 하지만, 그기술이오히려사람을감시하고통제할수있는상황이되면서많은사람들이사생활 ( 프라이버시 ) 보호에관심을가지게되었다. 개인용컴퓨터역시인터넷과연결되면서개인의정보혹은사생활이외부로유출될수있는문제가부각되었다. 웜, 바이러스, 트로이목마와같은악성코드를통해서도개인정보유출이되지만사용자들의잘못된습관혹은프로그램의문제로개인정보가유출될수있다. 최근스파이웨어로불리는프로그램에의해개인의성향이수집되고개인정보가유출될수있는등의문제가발생하고있다. 이글에서는스파이웨어의정의에대해알아보고스파이웨어의위험성과그와함께과장된부분에대해서도알아보겠다. 스파이웨어, 혼란의시작많은사람들이스파이웨어 (Spyware) 라고하면스파이라는용어에서개인정보유출을가장먼저떠오른다. 하지만, 스파이웨어는정확하게개인정보유출보다는개인정보수집에목적이있다. 정보유출은프로그램제작자가고의로개인의정보를빼가기위해서악성코드를제작하는것이다. 하지만, 개인정보수집은주로광고에활용하기위해서사용되는것이다. 즉, 이들프로그램제작자들은개인의비밀번호, 신용카드정보가필요한것이아니라개인이어떤웹사이트를방문하며어떤것에관심이있는가를수집하는역할을한다. 백신업체에서보면이는일종의영업활동이므로악의적인행동이라고볼수없어진단하지않는정책을취하게된다. 하지만, 온라인마케팅업자들은개인의컴퓨터에몰래혹은사람들이잘읽어보지않는동의서에한줄넣어사용자동의를얻어특정한프로그램을설치해개인정보를수집하게되었다. 이에반기를든사람들이스파이웨어진단프로그램을만들어배포하기시작했다. 문제는스파이웨어에대한용어의통일성과기준이명확하지않다는데있다. 스파이웨어는국내에서는악성코드 ( 백신업체에서부르는악성코드와는다른의미임 ), 트랙웨어 (Trackware), 페스트 (Pest), 비바이러스 (Non-virus) 등으로도불리고있으며업체별로스파이웨어에대한정의와범위가제각각이다. 기본적으로개인사생활을침해할수있는유형은스파이웨어라고부르지만백신업계등기존보안업체에서처리하고있던백도어 (Backdoor) 류의트로이목마도일부업체에서는스파이웨어에분류하고있다. 특히몇몇업체는제품홍보를위해서일부트로이목마를진단하면서모든악성코드를진단하는것처럼광고하고있어많은사용자들이스파이웨어에대해서잘못된오해를일으키고있다. 안철수연구소는악성코드외사용자컴퓨터를위협할수있는형태를유해가능프로그램으로분류하고있으며스파이웨어가많이알려져있어편의상스파이웨어로정리했다. 1 따라서 1 자세한내용은백신회사와안철수연구소의스파이웨어정책참고 Copyright AhnLab Inc,. All Rights Reserved. 21
안철수연구소의스파이웨어를 유해가능프로그램중사용자가명확히해당프로그램의목적을알지못하고설치되어사용자의사생활을침해할수있는프로그램 으로정의한다. 하지만, 일반사용자들은스파이웨어를 자신의허락을받지않고설치되어자신도모르게실행되는프로그램 으로받아들이고있다. 스파이웨어의문제점 스파이웨어로발생할수있는문제점은다음과같다. 1) 개인정보유출가능성 2) 시스템속도저하 3) 버그등으로인한시스템문제발생가능성 4) 심리적불안감 스파이웨어진단프로그램을제작하는가장많은사람들이주장하는내용은스파이웨어가개인정보를유출한다는것이다. 하지만, 스파이웨어를백신업체에서백도어로부르는원격제어프로그램까지확장할경우에개인정보유출이가능하며, 일반적으로스파이웨어로분류되는트랙웨어, 애드웨어는개인정보유출과는거리가멀다. 개인정보유출보다는개인정보유출가능성이있다고하는것이정확한표현이라고생각된다. 즉, 악성코드는개인정보를유출하기위해제작된것이며스파이웨어는개인성향을수집하는과정중개인정보를유출할수도있다는것이다. 개인정보유출가능성보다더큰문제는시스템이상과심리적불안감이라할수있다. 모든프로그램은문제가존재할수있고, 광고나사용자정보수집을위해실행중인프로그램도문제가존재할수있다. 실제로애드웨어의문제로시스템이제대로실행되지않는등의문제가발생했었다. 또광고창이뜨는등의애드웨어가설치되면일반적인사람은바이러스에감염된것으로생각한다. 사례및과장된부분스파이웨어의문제점과함께지나치게과장된부분도존재한다. 이런과장된부분은관련업체와언론을통한지나친위험성확대와일반사용자들의이해부족과도맞물리게되었다. 초기의스파이웨어논쟁은개인정보유출이었지만 2002년이후발생하기시작한시작페이지고정과지나친광고창출력은사람들을불편하게만들었다. 이에국내에서도 2003년부터시작페이지고정과광고창을띄우는애드웨어를진단 / 삭제하는프로그램이제작배포되었고많은사람들의사랑을받았다. 하지만, 이후타제품보다많이진단한다는점을강조하기위해서지나치게위험도가낮은형태도스파이웨어로분류해서진단하는제품이늘어났다. Copyright AhnLab Inc,. All Rights Reserved. 22
1) 추적쿠기 (Tracking Cookie) 스파이웨어진단프로그램중상당수는쿠키를진단한다. 쿠키는 2000년부터쿠키가사용자의사생활침해가능성이계속제기되고있다. 1 하지만, 현재의쿠키는안전하다는것이대부분의의견이다. 하지만, 일부스파이웨어에서진단하는추적쿠기는단순히이사용자가어떤사이트를방문했었다는것으로, 개인정보유출과는큰상관이없는것이대부분이다. 하지만, 일부업체에서이를스파이웨어쿠키 (Spyware-Cookie) 와같은표현을사용하고있다. 스파이웨어업체에서진단하는쿠키는사용자가 A사이트방문여부를 B사이트가알고있다는것때문에진단하는것이다. 쿠키는인터넷익스플로러에서 도구 (T) -> 인터넷옵션 -> 임시인터넷파일에서 쿠키삭제 (I) 로간단히삭제할수있다. 2) Aureate/Radiate 2000년쯤국내에스파이웨어라는용어를처음으로알려준대표적인트랙웨어이다. 이트랙웨어모듈은여러가지프리웨어혹은애드웨어에포함되었다. 처음문제를제기한사람은 Aureate/Radiate 사의광고모듈이광고를보여주며사용자개인정보를빼간다고주장했다. 이후이내용은사실이아님이밝혀졌고백신회사에서는이들프로그램을악성코드로분류하지않는다고발표했다. 2 하지만, 일부스파이웨어진단프로그램은여전히해당프로그램을개인정보의유출우려와불필요한네트워크패킷발생등의이유로스파이웨어로분류해진단하고있다. 스파이웨어진단프로그램은개인사생활보호를위해만들어졌으므로누군가자신의컴퓨터를감시하는것자체를싫어해이들프로그램을진단하고있다. 따라서자신이어떤광고를선택했는지의정보가정보가외부로나갈경우는진단해야한다는정책으로이들프로그램을진단하고있다. 3) 알렉사 (Alexa) 상당수스파이웨어진단프로그램이윈도우기본기능에포함된 관련링크표시 기능을스파이웨어로진단한다. 마이크로소프트사가개인정보를수집하기위해서이프로그램을설치한 1 ZDNet Korea, 일부사이트쿠키보안비상 http://www.zdnet.co.kr/news/internet/0,39024414,10067354,00.htm ZDNet Korea, 프라이버시보호, 쿠키단속이급선무 http://www.zdnet.co.kr/news/network/0,39024416,10034077,00.htm 2 Kaspersky Labs, http://www.kaspersky.com/news.html?id=16 Vmyths.com, http://vmyths.com/hoax.cfm?id=36&page=3 F-Secure, http://www.europe.f-secure.com/v-descs/aureate.shtml OptOut, http://grc.com/oo/aureate.htm Copyright AhnLab Inc,. All Rights Reserved. 23
것일까? 결과적으로심각하지않다. 1 이기능은인터넷익스플로러의도구 (T) -> 관련링크표시 (R) 를선택할경우방문사이트정보가알렉사로전달된다. 이과정에서개인이어떤사이트를방문하는지수집되므로사생활침해의관점에서는일부스파이웨어진단프로그램에서추가해기능을막고있다. [ 그림 1] 알렉사기능사용화면 ( 좌측화면 ) 4) TCP.EXE 2004년 7월중순다수의 TCP.EXE와 WINSYSTEM.EXE가접수되었다. 프로그램을확인결과포털사이트에서입력되는검색어를수집해가는트랙웨어 (Trackware) 이며, 7월한스트리밍음악사이트에서배포한프로그램으로확인되었다. 2 이후개발사와확인해본결과다음부터는프로그램의사용목적과동의를구한후에설치하는것으로사건은일단락되었고음악재생프로그램에서도이파일이제거되었다. 이프로그램이음악재생프로그램에포함되어배포되었는데많은사람들이바이러스로오해하고해당스트리밍음악사이트업체가바이러스를배포하는것으로오해받기도했다. 이프로그램은개인정보를유출하는것이아니라사용자의검색어를수집해최근사람들이 1 Alexa Spying On You?, http://www.imilly.com/alexa.htm 2 AhnLab, http://info.ahnlab.com/smart2u/virus_detail_1463.html Copyright AhnLab Inc,. All Rights Reserved. 24
관심있어하는내용을수집하는목적을가졌지만, 사용자의동의를구하지않은점이문제가되었다. 이사건은사용자들의사용자성향조사수집에대한거부감을업체가인지하지못하여발생한문제이다. 결론스파이웨어는사용자동의를거치므로합법이라는논리를내세워사용자불편을생각하지않고사용자컴퓨터를마케팅목적으로사용하는제작업체와, 약관등을꼼꼼히읽지않는사용자의부주의, 규제등을제대로마련하지못한법률적미비등이만들어낸합작품이다. 또백신업체가악성코드가아니라는이유로진단 / 치료하지않는사이지나치게과장된내용으로사용자들을겁주는스파이웨어진단업체도등장하고있다. 스파이웨어에대한올바른인식과퇴치를위해서는사용자, 마케팅업체, 스파이웨어진단업체, 정부모두앞장서야할것이다. 사용자는자신이사용하는프로그램에광고기능이나자신의컴퓨터사용경향을수집하는프로그램이설치되었을가능성이있음을알고프로그램설치시동의서를잘읽고웹사이트를돌아다니면서액티브 X 컨트롤경고를무작정설치하지않아야한다. 또한자신이사용하는스파이웨어진단프로그램의정확한정책을알아야한다. 트랙웨어와애드웨어제작업체는자신들이하려는목적을프로그램설치중분명히알려주고사용자의동의를받은후설치과정을사용자에게알려주며제거도쉽게해야할것이다. 스파이웨어는인터넷정보수집현황이나광고출력자체에있는것이아니라컴퓨터사용자가자신이언제설치했는지조차모르고어떤프로그램에서그런일을하는지모르기때문에문제가발생하고있다. 스파이웨어진단프로그램도사용자에게검색전스파이웨어에대한바른이해와진단되는프로그램의정확한진단이유와발생가능한문제점을알려줄필요성이있다. 또사용자들을지나치게겁주는행위는자제해야한다. 또한용어와진단범위에대한업체의통일화도필요하다. 정부도스파이웨어류에대한법적인규제를해야할것으로생각된다. 다음과같은내용만구체적으로명시하게해도많은도움이될것으로생각된다. - 프로그램설치시사용자동의 - 언인스톨프로그램제공 - 광고출력시프로그램이름표시 - 웹사이트에서프로그램다운로드시사용자동의구함 Copyright AhnLab Inc,. All Rights Reserved. 25
VII. 테크니컬컬럼 II 유해트래픽의탐지와판단 작성자 : 정관진주임연구원 (intexp@ahnlab.com) 전산자원의증가와보안의식의부재로인하여외부로부터의위협은증가되어가고있으며, IT화의빠른발전에힘입어기업의네트워크구조는더욱복잡다양하고거대해지고있다. 네트워크의발달속도증가는악성코드의확산력을증가시켜주었고, 지금이순간에도여러분들의네트워크망에는어떠한유형의트래픽에의해네트워크대역폭의일정부분을잠식당하고있을지도모른다. 이번호에서는유해트래픽범위와탐지및판단을하기위한방법에대해서알아보도록하겠다. 유해트래픽범위와현실컴퓨터와네트워크연결은이제우리에게일상화되었고이에따라네트워크트래픽증가는자연스럽게나타났다. 트래픽형태는장비와장비간의통신, 컴퓨터상호간의통신, 브로드캐스팅 (Broadcasting) 등일반적인통신의범위에해당하는것도있지만, 악성코드또는공격에의한것도있다. 그렇다면과연이러한유해트래픽은네트워크망에서얼마나큰비중을차지하고있을까? 필자는이에대해적지않은유해트래픽이존재할것으로예상한다. 물론, 내 / 외적인환경요인과네트워크구조적인영향에따라비중은달라지겠지만, 분명한것은의도치않은유해트래픽에의해네트워크대역폭의상당부분이잠식당하고있다는것이다. 유해트래픽의증가는네트워크운영효율에상당한영향을주게되므로유해트래픽을빠르게인지하고대처할수있는능력이필요하게된다. 우선, 이러한유해트래픽은크게다음과분류해볼수있다. - 웜, 트로이목마등과같은악성코드 (Malicious Code) 에의한트래픽 - 공격 (Attack) 에의한트래픽 - 비이상적인트래픽 유해트래픽의가장큰원인으로는악성코드와공격에의한영향이가장클것이다. 이모든범주가내부에서외부로또는외부에서내부로영향을미치는것들이다. 내부에서외부로의트래픽증가는내부네트워크 (LAN:Local Area Network) 에전체적으로영향을주게되어외부로부터내부로들어오는유형보다미치는영향이더욱크다고할수있다. 많은기업및개인들은방화벽 ( 개인은개인용방화벽 ), 백신소프트웨어등을이용하여내부와외부의통신접점이되는곳에서많은방어정책을가지고있지만, 내부에서웜에감염되어트래픽을유발하거나공격자가되는것에대한방안은뚜렷하지가않다. 따라서, 내부로부터의트래픽증가로인해더욱큰위협을유발하게되는경우에대한대책이필요하다. Copyright AhnLab Inc,. All Rights Reserved. 26
트래픽의탐지와판단유해트래픽이내부에발생하였거나또는외부로부터의유입이나타나는경우빠른분석이필요하다. 물론, 사전에이러한유해트래픽이완벽하게차단될수있다면더욱좋은경우이겠지만그렇지않은상황이라면무엇보다도문제해결을위하여빠른원인분석이필요하다. 트래픽탐지및판단하기위하여저번호에서설명하였던공개용패킷모니터링툴인 Ethereal( 이하이더리얼 ) 을가지고살펴보기로한다. 1 우선유해트래픽을탐지하고판단하기위해서는네트워크상에서의패킷을캡쳐해야한다. 만약분석하기위한데이터의사이즈가큰경우에는작은경우보다그만큼분석에많은시간이소요되게된다. 충분한시간이있다면상세분석을하여원인파악하는것도의미있지만, 이미내부네트워크에큰영향을주고있다면분석의순서를정하여어떠한것에의해영향을받고있는지파악이되어야한다. 이더리얼의기능중분석에활용할수있는것을보면다음과같다. - Packet Summary 의요약정보 - Protocol Hierarchy Statistics 프로토콜별상태 - EndPoints - IO Graph - Conversation List - TCP Follow Stream - 사전에정의된 Coloring Rule 을이용한빠른판단 - Capture Filter, Display Filter 를이용한범위의축소 - Protocol, IP 주소별등의정렬 패킷요약 (Statistics->Summary) 정보는전체패킷수와평균초당전송한패킷과사이즈그리고전체트래픽을알려준다. 초당전송한패킷수가과도하게클경우의심해볼수있게된다. 이와함께프로토콜별상태 (Statistics ->Protocol Hierarchy) 정보를보면트리구조로프로토콜별패킷의퍼센트와패킷수, 바이트 (Bytes) 정보를알수있다. 전체트래픽정보를한눈에프로토콜별로살펴볼수있기때문에어떤프로토콜에서큰비중을차지하고있는지알아볼때유용하다. 예를들어, 전체프로토콜중 UDP(User Datagram Protocol) 가차지하는비중이현격히차이나는경우 UDP를중심으로분석을시작하면된다. UDP를중심으로분석을시작한다면 Display Filter 를통하여 UDP 프로토콜로출력을제한한다. Analyze->Display Filters 또는메인화면의필터입력부분에서바로넣어주면된 1 이더리얼을처음접해보는독자라면 ASEC Monthly Report 7 월호를먼저읽어볼것을권 장한다. Copyright AhnLab Inc,. All Rights Reserved. 27
다. 즉, UDP 라고입력해주고적용을하게되면 UDP 프로토콜만화면상에나타나게된다. 출력된패킷을확인하며다음과같은비이상적인형태들을확인하여본다. - 패킷이연속적으로반복되는경우 - 외부의특정한곳으로계속접속을시도 - 출발지주소가내부네트워크에할당된주소가아닌경우 (IP Spoofing) - 한 IP 주소에서외부로랜덤한 IP 주소를연속적으로사용 - IP 주소가규칙을가지고지속적으로증가 또한, 다음의사항을염두해두고살펴본다. - 일정한시간범위안에서두드러지게나타나는패킷과찰 - 반복적으로지속적인패킷관찰 - 스위치, 라우터등의일반적인네트워크구조환경에서장비들이생성하는패킷은출력필터에서제외 (STP, HSRP 등 ) 패킷을캡쳐하는네트워크의규모가큰경우에는유해트래픽이외의정상적인통신에의한패킷또한상당히많게나타나게된다. 이런경우, 패킷분석에있어어려움이따르므로필터를통하여범위를좁혀나가는것이필요하다. 필터는프로토콜의필드별로세부적지정이가능하므로분석에있어서상당히효율적이다. 물론필터를사용하기위한규칙을알아야하지만, 상세하게출력되는화면에서해당필드의오른쪽버튼을클릭하여 Apply as Filter 또는 Prepare a Filter 를사용할수있고, 필터에서단계별로조건을지정하는화면도있으므로편리하게사용할수있다. 출력필터에대한몇가지사용예는 [ 표1] 과같다. 필터 설명 udp.dstport == 138 UDP 목적지주소가 138번에대해필터링한다. eth.src == 00:50:da:93:eb:cd 출발지이더넷맥주소가 00:50:da:93:eb:cd인것을찾 는다. ip.checksum_bad IP CheckSum이올바르지않은것을필터링한다. [ 표1] 출력필터사용예제 출력된상태에서는 [ 그림1] 의필드를클릭하여정렬을수행할수도있으므로상황에따라요긴하게사용할수있을것이다. Copyright AhnLab Inc,. All Rights Reserved. 28
[ 그림 1] 필드별정렬 이더리얼의상태 (Statistics) 기능중또하나유용한것이 Conversations, Endpoints, IO Graphs이다. Conversations은이름에서말해주는것과같이출발지와목적지간의통신내용에대해패킷수와바이트등을나타내준다. Endpoints는최종목적지에대해보여주는것으로 Conversations 기능과유사하다. 이두기능에는이더넷, IPv4, TCP, UDP와같이형태별로탭을구분하여보여준다. 어느 IP가많은트래픽을생성하는지확인해보고자할때유용하게사용할수있을것이다. [ 그림2,3] [ 그림 2] Conversation 기능실행화면 [ 그림 3] Endpoints 기능실행화면 Copyright AhnLab Inc,. All Rights Reserved. 29
IO Graph(Statistics->IO Graph) 는캡쳐된패킷에대해그래프를보여준다. 5가지의색상별그래프를정의하여만들수있으며, 그래프별필터와스타일을정의할수있다. 캡쳐된패킷의전체상태에대해서그래프화하여쉽게볼수있다. 또하나 TCP 프로토콜을이용하는경우, Follow TCP Stream 이빠른정보를제공해준다. 패킷리스트에서 TCP 프로토콜을사용하는패킷을선택하여오른쪽을클릭하면해당메뉴를볼수있으며, 클릭시해당 IP와통신하는상대측의 IP에대하여필터를자동으로만들어서로간에주고받았던내용이나타난다. 패킷하나를보아야하는불편함없이쉽게통신내용을확인할수있다. 더불어칼라룰을사전에만들어사용하면패킷분석시에더욱효율적이다. 지정한조건에따라색깔을정의할수있기때문에여러패킷정보가있어도조건에부합되는패킷이있으면칼라룰이적용되어시각적인효과가크다. View -> Coloring Rules를선택하여조건을만들고필요시마다사용할수있다. 지금까지의과정을가지고몇가지사례를통해알아보도록한다. CASE STUDY 1 모 ISP(Internet Service Provider) 로부터트래픽이과다생성된경우로, 패킷이초당 30,000개에서 140,000개로급격히증가한사례이다. [ 그림4] 와같이 18시이후급격하게증가되는것을보여주고있으며, 특정 IP에서트래픽을크게유발하는것이확인되어라우터에서 Null Routing 1 처리후트래픽이정상으로돌아왔다. [ 그림 4] TCP SYN 공격에의한트래픽급격증가 [ 그림5] 는위상황과같은형태인 SYN 패킷증가에따른또다른패킷의요약정보를나타낸것으로써초당평균 784개가전송되었다. 1 라우팅을하지않고 Null 값으로보내는것 Copyright AhnLab Inc,. All Rights Reserved. 30
[ 그림 5] 패킷요약정보 [ 그림6] 은 Coloring Rules을이용하여패킷의세부내용을보고있는화면으로필터에!arp 를적용하여 ARP 패킷은제외하여화면출력을하였다. 리스트화면을보면출발지 IP 주소가랜덤하게생성되고있으며, 특정 IP 주소인 192.168.1.1로공격이시도되고있다. 목적지포트는 6번포트이며 SYN 패킷을과도하게생성해내고있는것으로, 출발지주소는 Spoofing되어발송되는것을알수있다. 세부내용을보면 Header length가 0 bytes로조작되어있다. Coloring Rules에는사전에 tcp.hdr_len < 20 와같이헤더의길이가 20바이트이하인것에대해색깔을정의해놓았다. Copyright AhnLab Inc,. All Rights Reserved. 31
[ 그림 6] 칼라룰을적용해살펴본 TCP SYN 공격형태 CASE STUDY 2 ARP(Address Resolution Protocol) 트래픽이급격하게증가되는경우로, 프로토콜별상태정보추이를보면 ARP 트래픽의비중이 90% 이상으로나타났다. 이에따라 ARP에의한문제로초기에추정해볼수있다. 실제패킷의흐름을보면 ARP 요청 IP 주소가증가되는것을알수있다. 즉, 공격형태이기보다는어떤악성코드에의한가능성이더욱높은것으로추정할수있으며, 패킷의상세정보에서도위변조형태를지니고있지않은것으로나타난다. 그렇다면 111.11.0.10 번의 IP 주소를가지는시스템을찾는다면문제의원인을찾아볼수있을것이다. [ 그림7] 은메인화면을보여주고있고, [ 그림8] 는전체트래픽중 ARP 프로토콜로한정지어그래프를생성한것이다. [ 그림 7] ARP 트래픽캡쳐화면예제 Copyright AhnLab Inc,. All Rights Reserved. 32
[ 그림 8] IO Graphs 를통해살펴본 ARP 트래픽 CASE STUDY 3 ICMP(Internet Control Message Procotol) 패킷이크게증가한사례로, [ 그림9] 를통해서본프로토콜별상태에서도 ICMP 패킷하나만나타나고있다. 초당약 7,000 개정도발생한것이다. Copyright AhnLab Inc,. All Rights Reserved. 33
[ 그림 9] 프로토콜별상태정보화면 목적지주소는랜덤하게 ICMP의 Echo 요청이연속적으로이뤄지고있다. 과도한 ICMP와목적지주소가랜덤하게변경되는걸보면조작된공격형태로추정할수있다. 일반적인상황에서는 ICMP 트래픽이초당몇천개이상으로발생되는경우가없기때문이다. Copyright AhnLab Inc,. All Rights Reserved. 34
[ 그림 10] ICMP 공격형태를보여주는화면 이상유해트래픽발생시탐지하고판단하기위한방안들에대해이더리얼을기준으로설명해보았다. 물론, 여기서언급한내용들이모든사항에부합되는것은아니지만기본적으로유해트래픽을탐지하고판단하는데는가이드를제시해줄수있을것이다. 다음호에서는악성코드에의한네트워크위협과악성코드사례를들어패킷분석을좀더세부적으로알아보고네트워크상의유해트래픽분석에대한글을마무리짓고자한다. Copyright AhnLab Inc,. All Rights Reserved. 35