Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. ASEC REPORT VOL.21 211.1 안철수연구소월간보안보고서 이달의보안동향 211 년 3 분기보안동향 해외보안동향
AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구소의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. CONTENTS 1. 이달의보안동향 1. 악성코드동향 2. 211 년 3 분기보안동향 1. 악성코드동향 a. 악성코드통계 5 a. 악성코드통계 21 - 악성코드감염보고 Top 2 - 악성코드대표진단명감염보고 Top 2 - 악성코드유형별감염보고비율 - 악성코드유형별감염보고전월비교 - 악성코드월별감염보고건수 - 신종악성코드감염보고 Top 2 - 신종악성코드유형별분포 - 악성코드감염보고 3 분기 Top 2 - 악성코드대표진단명감염보고 3 분기 Top 2 - 악성코드유형별 3 분기감염보고비율 - 악성코드월별 3 분기감염보고건수 - 3 분기신종악성코드감염보고 Top 2-3 분기신종악성코드유형별분포 b. 악성코드이슈 1 - 온라인게임사이트의사용자계정정보를탈취하기위한 Bootkit 의등장 - 윈도우 XP 의폴더접근버그를이용한악성코드유포 - 난독화된 Iframe 링크를이용한악성코드배포 - 클라우드백신으로위장한허위백신발견 - 윈도우사용인증으로위장한랜섬웨어 - Adobe Flash and Reader 취약점 - 개인정보수집및브라우저즐겨찾기를변경하는 Android 악성앱 ' 站点之家 ' b. 악성코드이슈 25 - 국내 CVE-211-211 Adobe Flash 취약점악용증가 - MS1-87 취약점악용워드악성코드발견 - 타깃공격 (Target Attack) 의위험성 - 스마트폰보안위협증가 2. 시큐리티동향 a. 시큐리티통계 26-211 년 3 분기마이크로소프트보안업데이트현황 2. 시큐리티동향 3. 웹보안동향 a. 시큐리티통계 15 a. 웹보안통계 27-9 월마이크로소프트보안업데이트현황 3. 웹보안동향 a. 웹보안통계 16 - 웹사이트보안요약 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위 - 웹사이트보안요약 - 월별악성코드발견건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포 Top 1 3. 해외보안동향 1. 일본 3 분기악성코드동향 31 b. 웹보안이슈 19-211 년 9 월침해사이트현황 2. 중국 3 분기악성코드동향 34 3. 세계 3 분기악성코드동향 36
Web 5 6 1. 이달의보안동향 1. 악성코드동향 a. 악성코드통계 악성코드감염보고 Top 2 악성코드대표진단명감염보고 Top 2 211 년 9 월악성코드통계현황은다음과같다. 211 년 9 월의악성코드감염보고에서는 Textimage/ Autorun 이 1 위를차지했으며, JS/Redirector 와 Html/Agent 가각각 2 위와 3 위를차지하였다. 신규로 Top2 에진입한악성코드는총 7 건이다. 아래표는악성코드별변종종합감염보고순위를악성코드대표진단명에따라정리한것이다. 이를통 해악성코드의동향을파악할수있다. 211 년 9 월의감염보고건수는 Win-Trojan/Agent 가총 7,839 건으로 Top2 중 12.1% 의비율로 1 위를차지했으며, Win-Trojan/Downloader 가 7,699 건으로 2 위, Textimage/Autorun 이 543,545 건으로 3 위를차지하였다. 순위 등락 악성코드명 건수 비율 1 2 Textimage/Autorun 543,443 18.1 % 2 NEW JS/Redirector 47,91 15.6 % 3 2 Html/Agent 221,895 7.4 % 4 2 JS/Iframe 193,124 6.4 % 5 3 JS/Agent 181,377 6. % 6 NEW Dropper/Malware.495616.HT 146,828 4.9 % 7 2 Win-Trojan/Startpage.118784.AO 12,869 4. % 8 2 Win32/Induc 18,88 3.6 % 9 3 Win-Trojan/Downloader.21788.AE 17,664 3.6 % 1 NEW Swf/Dropper 13,934 3.5 % 11 1 Swf/Agent 12,739 3.4 % 12 2 Win32/Palevo1.worm.Gen 98,73 3.3 % 13 2 Als/Bursted 93,866 3.1 % 14 NEW Swf/Iframe 93,825 3.1 % 15 4 Win-Trojan/Onlinegamehack69.Gen 81,671 2.7 % 16 1 Win-Trojan/Onlinegamehack57.Gen 71,1 2.4 % 17 NEW Win32/Olala.worm 7,711 2.4 % 18 NEW Win-Trojan/Downloader.124.MQ 67,6 2.2 % 19 11 Swf/Exploit 66,359 2.2 % 2 NEW Win32/Virut.f 63,975 2.1 % 3,8,42 1 % [ 표 1-1] 악성코드감염보고 Top 2 순위 등락 악성코드명 건수 비율 1 Win-Trojan/Agent 7,839 12.2 % 2 Win-Trojan/Downloader 7,699 12.1 % 3 Textimage/Autorun 543,545 9.4 % 4 JS/Redirector 47,91 8.1 % 5 Win-Adware/Korad 432,43 7.5 % 6 Win-Trojan/Onlinegamehack 37,928 6.4 % 7 Dropper/Malware 37,581 5.3 % 8 Win32/Virut 258,239 4.5 % 9 Win32/Conficker 242,817 4.2 % 1 Win32/Autorun.worm 228,16 3.9 % 11 Html/Agent 221,897 3.8 % 12 JS/Iframe 193,124 3.3 % 13 Win-Trojan/Adload 187,355 3.2 % 14 JS/Agent 181,378 3.1 % 15 Win32/Kido 178,936 3.1 % 16 Win-Trojan/Startpage 134,397 2.3 % 17 Win-Trojan/Winsoft 116,395 2.1 % 18 Win32/Induc 18,894 1.9 % 19 Win32/Palevo 15,417 1.8 % 2 Swf/Dropper 13,934 1.8 % 5,786,975 1 % [ 표 1-2] 악성코드대표진단명감염보고 Top 2
Web 7 8 악성코드유형별감염보고비율 악성코드월별감염보고건수 아래차트는 211 년 9 월한달동안안철수연구소가집계한악성코드의유형별감염비율을분석한 결과다. 211 년 9 월의감염보고건수중악성코드를유형별로살펴보면, 감염보고건수비율은트로 9 월의악성코드월별감염보고건수는 11,61,9 건으로 8 월의악성코드월별감염보고건수 13,666,715 건에비해 2,65,76 건이감소하였다. 쟌 (TROJAN) 이 38.7% 로가장많은비율을차지하였으며, 스크립트 (SCRIPT) 가 2.6%, 웜 (WORM) 이 12.1% 로각각그뒤를잇고있다. 2,, ADWARE APPCARE DOWNLOADER DROPPER ETC 1 2 3 4% 6.7%.5% 1.3% 5.4% 9.6% TROJAN 38.7% SCRIPT 2.8% 18,, 16,, 14,, 12,, 14,878,454 +4.8% -1,211,739 13,666,715-8.2% -2,65,76 11,61,9-19.% SCRIPT SPYWARE TROJAN 2.8%.3% 38.7% WORM 12.1% OTHER 28.4% 211.7 211.8 211.9 VIRUS 4.8% WORM 12.1% [ 그림 1-3] 악성코드월별감염보고건수 [ 그림 1-1] 악성코드유형별감염보고비율 악성코드유형별감염보고전월비교 악성코드유형별감염보고비율을전월과비교하면, 트로쟌, 웜, 드롭퍼 (DROPPER), 바이러스 (VIRUS) 가 전월에비해증가세를보이고있는반면스크립트, 애드웨어 (ADWARE), 다운로더 (DOWNLOADER), 애프 신종악성코드유형별분포 9 월의신종악성코드유형별분포는트로쟌이 59% 로 1 위를차지하였다. 그뒤를이어드롭퍼가 16%, 애드웨어가 12% 를점유하였다. 케어 (APPCARE), 스파이웨어 (SPYWARE) 는전월에비해감소한것을볼수있다. 클리커 (CLICKER) 계열 들은전월수준을유지하였다. WORM 1% 4.5 4.8 [ 그림 1-2] 악성코드유형별감염보고전월비교 [ 그림 1-4] 신종악성코드유형별분포
Web 9 1 신종악성코드감염보고 Top 2 아래표는 9 월에신규로접수된악성코드중고객으로부터감염이보고된악성코드 Top2 이다. 9 월의 신종악성코드감염보고의 Top 2 은 Dropper/Malware.495616.HT 가 146,828 건으로전체 16.7% 로 1 1. 악성코드동향 b. 악성코드이슈 위를차지하였으며, SWF/Iframe 가 93,825 건으로 2 위를차지하였다. 순위악성코드명건수비율 1 Dropper/Malware.495616.HT 146,828 16.7 % 2 SWF/Iframe 93,825 1.7 % 3 Win-Trojan/Downloader.124.MQ 67,6 7.6 % 4 Win-Trojan/Downloader.3134 45,594 5.2 % 5 Dropper/Malware.499712.GT 43,253 4.9 % 6 Win-Trojan/Agent.379392.AH 42,111 4.8 % 7 Win-Trojan/Agent.446464.CS 41,321 4.7 % 8 Win-Trojan/Adload.36864.P 4,285 4.6 % 9 Win-Trojan/Agent.262144.JP 39,47 4.5 % 1 Win-Trojan/Adload.498688.E 35,274 4. % 11 SWF/Meccapop 33,954 3.9 % 12 Win-Trojan/Adload.418816.B 32,755 3.7 % 13 Win-Trojan/Adload.425472.N 31,229 3.5 % 14 Win-Trojan/Agent.36448.EZ 28,482 3.2 % 15 Win-Trojan/Downloader.443392.L 28,359 3.2 % 16 Win-Adware/KorAd.24576.B 28,118 3.2 % 17 Win-Trojan/Downloader.124.ML 26,541 3. % 18 Win-Trojan/Onescan.15674 25,625 2.9 % 19 Win-Trojan/Overtls61.Gen 25,583 2.9 % 2 Win-Trojan/Agent.499712.CG 24,525 2.8 % 88,192 1 % [ 표 1-3] 신종악성코드감염보고 Top 2 온라인게임사이트의사용자계정정보를탈취하기위한 Bootkit 의등장 Bootkit이란감염된 PC의 MBR(Master Boot Record, PC가부팅하는데필요한정보들이저장된물리적인하드디스크영역, 512바이트 ) 을조작하여감염된 PC가부팅시다른악성코드를생성하도록해둔악성코드를의미한다. 이번에국내침해사이트를통해서유포되었던 Bootkit의구조는 [ 그림 1-5] 와같다. [ 그림 1-5] Bootkit 악성코드구조 Bootkit 은감염된 PC의 MBR영역을조작하여백신에서악성코드를치료하더라도부팅시마다계속악성코드를생성하도록해두었다. ([ 그림 1-6] 참고 ) [ 그림 1-6] Bootkit 악성코드실행구조 위루틴에의해서암호화된감염된 PC의원본 MBR은 [ 그림 1-8] 의루틴을통해서하드디스크의물리적인섹터 54번에백업된다. [ 그림 1-8] 암호화된원본 MBR 을하드디스크에백업하기위해서 DeviceIoControl() 호출 위 [ 그림 1-8] 에서맨처음 8바이트는암호화된원본 MBR이백업될섹터위치와섹터수를의미한다. - x36 = (Dec) 54, 섹터위치 - x1 = (Dec) 1, 섹터수 [ 그림 1-9] 전용백신을사용한 Bootkit 진단및치료 감염된 PC의원본 MBR 영역을암호화하는과정을좀더살펴보면 [ 그림 1-7] 과같다. [ 그림 1-7] 악성코드에의해서암호화되기전과후의 MBR 안철수연구소에서는외국에서발견된 Smitnyl Bootkit에대해서상세하게다룬적이있으며아래주소에서볼수있다. - Smitnyl Bootkit: http://www.ahnlab.com/kr/site/securitycenter/asec/asecview.do?gr oupcode=vni1&webnewsinfounionvo.seq=1784
Web 11 12 PDF( 국문, Page 17 MBR Infector: Smitnyl 분석정보 ) - http://download.ahnlab.com/asecreport/asec_report_vol.16_ [ 그림 1-12] 악성코드로인해생성된 '.' 이포함된폴더 [ 그림 1-14] 전용백신으로진단된악성코드 하나의계기가되었다. 이러한보안기술의괄목할만한발전중하나로, 클라우드 (Cloud) 기술을안티바이러스 (Anti-Virus) 기술로발 Kor.pdf 전시킨것을들수있으며이러한클라우드기술이적용된사례로 PDF( 영문, Page 17 MBR Infector: Smitnyl analysis) 는안철수연구소에서개발한 ASD(AhnLab Smart Defense) 가있다. - http://image.ahnlab.com/global/upload/download/asecreport/ 클라우드기술이적용된안티바이러스소프트웨어들이널리유행하 ASEC_Report_Vol.16_Eng.pdf 기시작하자국외에서제작된허위백신중클라우드라는단어를사 용한사례가발견되었다. 해당허위백신이시스템에감염되면아래 지금까지국내침해사이트를통해서유포되었던 Bootkit 의특징 경로에자신의복사본을 OpenCloud Antivirus.exe(2,42,224 바이 및치료방법에대해서살펴보았다. 이번 Bootkit 의사례에서보았 트 ) 로생성하게된다. 듯이악성코드는자신의생존시간을높이고목적을달성하기위해서다양한방법을사용하여백신의치료를더욱어렵게하고있다. 따라서악성코드감염예방과피해를최소화하기위해서는아래사항을반드시준수해야한다. - 윈도우및 Adobe Flash Player 보안업데이트적용 - 백신은항상최신으로유지및주기적으로검사 - 웹서핑시함부로파일내려받기및실행금지 - 수상한메일및쪽지수신시열람하지말고삭제 tmp.exe는윈도우시스템파일인 ws2help.dll 파일을 ws3help.dll로이름을변경하고, 악성 dll 파일을 ws2help.dll 로생성하여부팅시로딩한다. [ 그림 1-13] ws2help.dll 파일이악성파일로변조된경우 폴더접근버그를이용한악성코드는 V3 제품군에서 Win-Trojan/ Onlinegamehack.6333784로진단한다. 난독화된 Iframe 링크를이용한악성코드배포 9월 26일 ( 미국현지시각 ) 'mysql.com' 의웹사이트가해킹되는사건이발생하였다. 해당사이트에접속하면 [ 그림 1-15] 와같이악성코 - 생성경로 : C:\Documents and Settings\[ 사용자계정명 ]\ Application Data\OpenCloud Antivirus\OpenCloud Antivirus.exe 그리고 [ 그림 1-16] 과같이 'OpenCloud Antivirus' 라는이름으로클라우드기술이적용된정상적인보안제품으로위장하고있다. [ 그림 1-16 ] OpenCloud Antivirus 명칭의허위백신 윈도우 XP의폴더접근버그를이용한악성코드유포금전적인이득을위해게임계정을탈취할목적으로만들어지는 Onlinegamehack 류의악성코드가지속적으로업그레이드되어유 드가있는링크로돌아가게 (redirection) 하는난독화된 iframe 링크가포함된 Javascript를내려받게된다. [ 그림 1-15] 난독화된 iframe 링크를포함하는 Javascript의일부 포되고있다. 최근발견된 Onlinegamehack 악성코드는백신에의 한탐지 / 치료를회피하기위해오래전발견된윈도우 XP OS 자체의 버그 ( 일명 ' 폴더명.' 버그 ) 를이용하였다. 악성코드에감염되면 [ 그림 1-1] 과같은 Batch 파일을생성및실행하여 '.' 이들어간폴더를 생성후실행하게된다. [ 그림 1-1] '.' 폴더를생성하기위한 Batch 스크립트파일내용중일부 해당허위백신은감염과동시에시스템전체를검사하여다수의정상적인윈도우시스템파일들이악성코드에감염되었다는허위진 자신의시스템에있는 ws2help.dll 이감염되었는지확인하는방법 이처럼취약한웹사이트에악의적인스크립트를심고, 적법한사이 단결과를보여준다. 은해당파일의수정날짜를확인하거나, 아래의전용백신을사용하여진단 / 치료할수있다. 트에방문한사용자에게취약점을이용한스크립트가실행되어악성코드 (Banking Trojans, Bot 등 ) 가배포되는 URL로다시보내질수 [ 그림 1-17] OpenCloud Antivirus 가보여주는허위진단결과 '.' 이들어간폴더에탐색기등을통해접근하면 [ 그림 1-11] 과같은오류가발생한다. 악성코드가이러한버그폴더를생성하는이유는사용자나보안제품이악성코드 (tmp.exe) 가존재하는폴더로접근하지못하도록하여삭제를방해하기위한것으로보인다. 실제일부보안제품에서는버그폴더를진단하지못하는것이확인되었다. 전용백신다운로드페이지 - http://www.ahnlab.com/kr/site/download/vacc/vaccview. do?seq=15 전용백신에서진단되면 [ 그림 1-14] 와같은진단된파일이나타나게된다. 있다. 따라서사용자들은운영체제뿐아니라서드파티제품의보안상태를항상확인하고제품상태를항상최신으로유지하여야한다. 또한 AV 제품을설치하여자신의 PC를보호하여야한다. 해당사이트의악성코드는 V3 제품군에서다음과같이진단한다. - Dropper/Win32.Mudrop [ 그림 1-11] '.' 이포함된폴더로접근시나타나는오류창 클라우드백신으로위장한허위백신발견 전세계적으로악성코드의급격한증가는이에대응하기위해보안 업체들로하여금다양한보안기술들을연구하고발전시키게되는
Web 13 14 허위진단결과를사용자에게보여주는것과동시에 [ 그림 1-18] 과같이시스템트레이 (System Tray) 를통해주기적으로사용하는시스 [ 그림 1-2] 시스템정상사용을방해하는윈도우사용인증으로위장한랜섬웨어 되나, 공격자에의해제어될수있는다른 data type의 binary data 로대신하게된다. [ 그림 1-25] 악성애플리케이션의실행화면과추가된즐겨찾기 템이악성코드에감염되었다는허위경고문구를보여준다. [ 그림 1-22] 취약한위치로 Jump 하는동작 [ 그림 1-18] 시스템트레이에서보여주는허위경고문구 치료하기를시도하면다른허위백신들과유사하게금전적인결제를유도한다. ( 테스트당시에는정상적으로해당웹사이트에접속되지않았다.) [ 그림 1-19] 금전결제페이지로접속시도 ( 정상접속은실패하였다.) 증으로위장하여금전적대가를요구하는랜섬웨어는 V3 제품군에서다음과같이진단한다. - Trojan/Win32.FakeAV 원격의공격자는사회공학적인방법을이용하여메일을보내고, 메일에첨부된 PDF 파일, Office 파일, Web 페이지를통해 SWF 파일을실행시켜위취약점을이용할수있다. 공격에성공하면, 메모리가손상되면서현재로그인된사용자의보안컨텍스트에서임의의코드를실행할수있게된다. 해당악성애플리케이션은 Android 1.5 이상에서만설치되며, BOOT_COMPLETED 이벤트를받아스마트폰부팅시자동시작되도록제작되었다. [ 그림 1-26] AndroidManifest 정보 Adobe Flash and Reader 취약점 (CVE-211-611) 최근일본, 이스라엘, 인도, 미국방산업체에 Adobe Flash and Reader 취약점 (CVE-211-611) 을이용해메일을보내악성코드를실행시킨경우가발생하였다. 해당취약점에대해서는이전에소개된적이있으나, 이번에는취약점에대한구체적인내용을다루고 개인정보수집및브라우저즐겨찾기를변경하는 Android 악성앱 ' 站点之家 ' 정보수집및모바일브라우저의즐겨찾기 (favorites) 를변경하는안드로이드악성애플리케이션 (Android-Trojan/ROMZhanDian) 이최근중국에서발견되었다. 자한다. 이번취약점은 Adobe Flash Player ActionScript Engine에서 type [ 그림 1-23] 애플리케이션이름및권한정보 이번에발견된클라우드보안제품으로위장한허위백신은 V3 제품군에서다음과같이진단한다. - Win-Trojan/Fakescanti.242224 의혼동으로말미암아발생한다. 취약점의원인은 ABC(ActionScript Byte Code) 데이터의충분하지못한검증에있다. 검증해석기는첫번째실행이후, 안전한메서드 Call이라고표시한다. 그러나 bytecode 내에잘못된점프가존재한다면, 검정기는같은메서드로다음번 Call을할때정렬되지않은스택탐지에실패하게된다. 구 해당악성코드에감염 ( 설치시 ) 되면 [ 그림 1-27] 과같이운영체제버전정보, IMEI/IMSI 번호, 모델명, 설치된애플리케이션이름등을특정서버로전송한다. 윈도우사용인증으로위장한랜섬웨어동유럽과러시아등지에서제작되는것으로알려진랜섬웨어 (Ransomware) 는주로문서나사용하는컴퓨터시스템의정상적인 체적으로말하면, callmethod bytecode 명령실행에서아래와같은흐름이존재한다. - callmethod bytecode 명령은아래와같은스택레이아웃이예상 [ 그림 1-24] 설치시생성된아이콘과바로가기 [ 그림 1-27] 정보수집관련일부코드 사용을방해하고, 복구대가로금전을요구하는형태로알려져있 된다. 다. 9월초에발견된랜섬웨어는특이하게 [ 그림 1-2] 과같이윈도우로고를사용하며 ' 윈도우라이선스사용에문제가있다.' 라는독일 [ 그림 1-21] callmethod bytecode 명령의스택레이아웃 어로작성된문구를보여준다. 해당랜섬웨어에감염되면사용중인 윈도우시스템은자동으로재부팅을하고윈도우로그인이후부터 [ 그림 1-2] 과같은화면을보여주어시스템사용자체를방해한다. - 스택은 parentobject 객체대신잘못된 atom type 을포함 해당문구는 '1 유로 ( 한화약 153, 원 ) 를지불하지않으면시스 한경우로, 이번취약한코드를적절히다루지못하는데있다. 템을계속사용하지못한다.' 는내용이다. 이번에발견된윈도우인 parentobject 객체내에존재할거라기대되었던함수포인터가 Call
Web 15 16 Web 2. 시큐리티동향 a. 시큐리티통계 3. 웹보안동향 a. 웹보안통계 9 월 MS 보안업데이트현황 마이크로소프트사가제공하는이달의보안업데이트는중요 5 건으로그중 Office 와관련한취약점이 3 건 이다. 웹사이트보안요약 안철수연구소의웹브라우저보안서비스사이트가드 (SiteGuard) 를통해산출된 211 년 9 월웹사이 트보안통계자료를보면악성코드를배포하는웹사이트의차단건수는 39,74 건이다. 또한악성코 9 1 11 12 1 2 3 4 5 6 7 8 9 [ 그림 2-1] 공격대상기준별 MS 보안업데이트 21.9-211.9 드유형은 792 건이며, 악성코드가발견된도메인은 522 건이며, 악성코드가발견된 URL 은 3,351 건 이다. 211 년 9 월은 211 년 8 월보다악성코드발견건수, 악성코드유형, 악성코드가발견된도메인, 악성코드가발견된 URL 이전반적으로감소하였다. 악성코드배포 URL 차단건수 68,46 39,74 악성코드유형악성코드가발견된도메인악성코드가발견된 URL 827 792 [ 표 3-1] 웹사이트보안요약 월별악성코드배포 URL 차단건수 211 년 9 월악성코드배포웹사이트 URL 접근에따른차단건수는지난달 68,46 건에비해 58% 수 준인 39,74 건이다. -41.9% 65 522 4,76 3,351 211.8 211.9 위험도취약점 중요 WINS의취약점으로인한권한상승문제점 (2571621) 중요 Windows 구성요소의취약점으로인한원격코드실행문제점 (257947) 중요 Microsoft Excel의취약점으로인한원격코드실행문제점 (258755) 중요 Microsoft Office의취약점으로인한원격코드실행문제점 (2587634) 중요 Microsoft SharePoint의취약점으로인한권한상승문제점 (2451858) 15, 125, 1, 75, 5, 145,467 +294.9% -77,61 68,46-53.% -28,666 39,74-41.9% [ 표 2-1] 211 년 9 월주요 MS 보안업데이트 25, [ 그림 3-1] 월별악성코드발견건수 211.7 211.8 211.9
Web 17 18 월별악성코드유형 악성코드유형별배포수 211 년 9 월악성코드유형은전달의 827 건에비해 96% 수준인 792 건이다. 악성코드유형별배포수는애드웨어류가 15,412 건으로전체의 38.8% 의비율로 1 위를차지하였고, 1, 8 6 4 2 [ 그림 3-2] 월별악성코드유형 677 -.3% 월별악성코드가발견된도메인 211.7 211.8 211.9 211 년 9 월악성코드가발견된도메인은전달의 65 건에비해 8% 수준인 522 건이다. +15 827 +18.2% -35 792-4.2% 트로쟌이 13,1건으로전체의 32.7% 로 2위를차지하였다. 유형 건수 비율 ADWARE 15,412 38.8 % TROJAN 13,1 32.7 % DROPPER 3,527 8.9 % DOWNLOADER 957 2.4 % Win32/VIRUT 653 1.6 % JOKE 433 1.1 % APPCARE 237.6 % SPYWARE 4.1 % ETC 5,48 13.8 % 39,74 1 % [ 표 3-2] 악성코드유형별배포수 ADWARE 15,412 TROJAN 13,1 15, 1, 8 6 4 2 799 +2.5% 65-149 -18.2% 522-128 -19.7% ETC 5,48 DROPPER 3,527 DOWNLOADER 957 Win32/VIRUT 653 JOKE 433 APPCARE 237 SPYWARE 4 [ 그림 3-5] 악성코드유형별배포수 1, 5, [ 그림 3-3] 월별악성코드가발견된도메인 월별악성코드가발견된 URL 211 년 9 월악성코드가발견된 URL 은전달의 4,76 건에비해 82% 수준인 3,351 건이다. 5, 4, 3, 2, 1, 4,863 +5.7% [ 그림 3-4] 월별악성코드가발견된 URL 211.7 211.8 211.9-787 4,76-16.2% 3,351-725 -17.8% 211.7 211.8 211.9 악성코드배포순위 악성코드배포순위는 Win-Adware/ToolBar.Cashon.38224가 7,17건으로 1위를차지하였으며, Top1에 Win-Adware/ToolBar.Cashon.38224등 6건이새로등장하였다. 순위 등락 악성코드명 건수 비율 1 Win-Adware/ToolBar.Cashon.38224 7,17 38.6 % 2 Win-Adware/ADPrime.837241 2,443 13.2 % 3 Dropper/Kgen.22528.M 1,787 9.6 % 4 Win-Adware/FunWeb.21992.D 1,516 8.2 % 5 Win-Trojan/Genome.57344.QK 1,331 7.2 % 6 Win32/Induc 1,122 5.9 % 7 Win-Trojan/Buzus.438.J 1,2 5.4 % 8 Win-Trojan/Onescan.15674 775 4.2 % 9 Win-Trojan/StartPage.496.AH 745 4. % 1 Win-Adware/Shortcut.Bestcode.2 686 3.7 % 18,577 1 % [ 표 3-3] 악성코드배포 Top 1
Web 19 2 3. 웹보안동향 b. 웹보안이슈 211년 9월침해사이트현황 [ 표 3-4] 211년 9월악성코드유포목적의침해사이트현황 2 18 16 14 12 1 8 6 4 2 1 2 3 4 5 6 7 8 9 1 11 12 [ 표 3-4] 는악성코드유포목적의침해사고가발생했던사이트현황으로 9월의경우 8월보다증가하였다. 그이유를살펴보면일부침해된사이트는메인사이트를기준으로목적에따라다수의하위사이트를운영중이었고, 해당하위사이트들에서공통으로사용하는 JS스크립트에악성스크립트 URL이삽입되어있었다. 예를들면, 아래와같다. - 메인사이트 _ http://www.aaaa.com 자사사이트에접속시상위버전의 IE를설치하도록권장하고있다. 따라서사용자들은자신의 PC에서사용하는브라우저가 IE 6이라면 반드시상위버전으로업그레이드하는것이안전하다. [ 표 3-5] 침해사이트를통해서유포된악성코드 Top 1 순위 악성코드명 건수 1 Win-Trojan/Onlinegamehack55.Gen 27 1 Win-Trojan/Onlinegamehack56.Gen 27 3 Win-Trojan/Patched.CO 25 4 Backdoor/Win32.Rootkit 22 5 Win-Trojan/Onlinegamehack69.Gen 15 6 Dropper/Onlinegamehack.93128 14 7 Dropper/Win32.OnlineGameHack 14 8 Dropper/Onlinegamehack.4886 13 9 Dropper/Onlinegamehack.95138 12 1 Dropper/Onlinegamehack.4983 11 - 하위사이트 _ http://test.aaaa.com, http://sisx.aaaa.com으로된경우 - 삽입된악성스크립트 URL _ http://www.cheaxx-******.com 삽입된악성스크립트 URL은침해사고가발생한사이트에접속한 PC 들에악성코드를감염시키기위해서 CVE-211-211, MS1-18 취약점을사용하였다. -. CVE-211-211: http://cve.mitre.org/cgi-bin/cvename. cgi?name=cve-211-211 -. MS1-18: http://technet.microsoft.com/ko-kr/security/bulletin/ ms1-18 CVE-211-211은최근에발견된취약점으로주로 Internet Explorer( 이하 IE) 8에서동작하고 MS1-18은 21년초에발견된취약점으로 IE 6에서동작한다. 악성코드가 PC들에감염되기위해서 MS1-18을사용한다는것은아직도상당수의 PC가 IE 6을사용하고있기때문으로보인다. IE 6은보안등여러가지문제로인해서 Microsoft에서도기술지원을중단한브라우저이고여러사이트에서도
Web 21 22 2. 211 년 3 분기보안동향 1. 악성코드동향 a. 악성코드통계 악성코드감염보고 3 분기 Top 2 악성코드대표진단명감염보고 3 분기 Top 2 211 년 3 분기악성코드통계현황은다음과같다. 211 년 3 분기악성코드감염보고를살펴보면 Textimage/Autorun 이 1 위를차지했으며, JS/Agent 와 Html/Agent 가각각 2 위와 3 위를차지하였다. 신규로 Top2 에진입한악성코드는총 13 건이다. 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을종합한악성코드대표진단명감 염보고 Top2 이다. 211 년 3 분기사용자피해를주도한악성코드들의대표진단명을보면 Win-Adware/ Korad 가총보고건수 2,384,17 건으로전체의 11.6% 로 1 위를차지하였다. 그뒤를 Win-Trojan/ Downloader 가 2,239,61 건으로 1.9%, Win-Trojan/Agent 가 2,66,989 건으로 1.1% 를차지하여 2 위 와 3 위를차지하였다. 순위 등락 악성코드명 건수 비율 1 Textimage/Autorun 1,72,118 16.2 % 2 JS/Agent 1,429,58 13.6 % 3 Html/Agent 1,16,19 9.7 % 4 Swf/Agent 873,461 8.3 % 5 JS/Iframe 636,397 6.1 % 6 Swf/Cve-211-211 478,127 4.6 % 7 JS/Exploit 476,32 4.5 % 8 JS/Redirector 472,667 4.5 % 9 Swf/Cve-21-2884 444,285 4.2 % 1 Win32/Induc 375,315 3.6 % 11 Win-Trojan/Downloader.21788.AE 324,59 3.1 % 12 Win32/Palevo1.worm.Gen 31,327 2.9 % 13 Swf/Exploit 3,951 2.9 % 14 Win-Trojan/Startpage.118784.AO 289,196 2.8 % 15 Win32/Virut.d 237,71 2.3 % 16 Als/Bursted 235,588 2.2 % 17 Win-Trojan/Onlinegamehack69.Gen 235,575 2.2 % 18 Win32/Conficker.worm.Gen 234,666 2.2 % 19 Win-Trojan/Onlinegamehack57.Gen 219,154 2.1 % 2 Win32/Olala.worm 216,592 2. % 1,499,548 1 % [ 표 4-1] 악성코드감염보고 3 분기 Top 2 순위 등락 악성코드명 건수 비율 1 Win-Adware/Korad 2,384,17 11.6 % 2 Win-Trojan/Downloader 2,239,61 1.9 % 3 Win-Trojan/Agent 2,66,989 1.1 % 4 Textimage/Autorun 1,72,425 8.3 % 5 Win-Trojan/Onlinegamehack 1,474,199 7.2 % 6 JS/Agent 1,429,59 7. % 7 Html/Agent 1,16,111 5. % 8 Win32/Virut 1,14,67 4.9 % 9 Swf/Agent 873,461 4.3 % 1 Win32/Conficker 838,936 4.1 % 11 Win32/Autorun.worm 729,152 3.6 % 12 Dropper/Malware 688,75 3.4 % 13 JS/Iframe 636,397 3. % 14 Win-Trojan/Winsoft 558,727 2.7 % 15 Win32/Kido 556,153 2.7 % 16 Swf/Cve-211-211 478,127 2.3 % 17 JS/Exploit 476,32 2.3 % 18 JS/Redirector 472,667 2.3 % 19 Swf/Cve-21-2884 444,285 2.2 % 2 Dropper/Onlinegamehack 441,755 2.1 % 2,521,648 1 % [ 표 4-2] 악성코드대표진단명감염보고 3분기 Top 2
Web 23 24 악성코드유형별 3 분기감염보고비율 3 분기신종악성코드감염보고 Top 2 아래차트는 211 년 3 분기동안고객으로부터감염이보고된악성코드유형별비율이다. 악성코드유형별감 염보고건수비율은트로쟌이 37.2% 로가장많은비율을차지했으며, 다음으로스크립트가 2.7%, 웜이 1.8% 의비율을각각차지하였다 아래표는 211 년 3 분기에신규로접수된악성코드중고객으로부터감염이보고된악성코드 Top2 이 다. 211 년 3 분기의신종악성코드감염보고의 Top 2 은 TextImage/Autorun 이 1,699,63 건으로전체 17.1% 를차지하여 1 위를차지하였으며, JS/Agent 가 1,429,439 건 2 위를차지하였다. 1 2 3 4% ADWARE 1.5% APPCARE.6% CLICKER.1% DOWNLOADER 1.7% DROPPER 4.8% ETC 8.3% SCRIPT 2.7% SPYWARE.5% TROJAN 37.2% VIRUS 4.8% WORM 1.8% [ 그림 4-1] 악성코드유형별 3분기감염보고비율악성코드월별 3분기감염보고건수 TROJAN 37.2% SCRIPT 2.7% WORM 1.8% OTHER 31.3% 211년 3분기의악성코드월별감염보고건수는 39,66,178건으로 211년 2분기의악성코드월별감염보고건수 46,27,884건에비해 6,61,76건이감소하였다. 순위 악성코드명 건수 비율 1 TextImage/Autorun 1,699,63 17.1 % 2 JS/Agent 1,429,439 14.4 % 3 HTML/Agent 1,16,19 1.2 % 4 SWF/Agent 873,461 8.8 % 5 JS/Iframe 636,279 6.4 % 6 SWF/Cve-211-211 478,127 4.8 % 7 JS/Exploit 476,286 4.8 % 8 JS/Redirector 472,667 4.7 % 9 Win32/Induc 375,315 3.8 % 1 Win-Trojan/Downloader.21788.AE 324,59 3.3 % 11 SWF/Exploit 3,951 3. % 12 Win-Trojan/Startpage.118784.AO 289,196 2.9 % 13 ALS/Bursted 235,588 2.4 % 14 Win-Trojan/Onlinegamehack69.Gen 235,575 2.3 % 15 Win32/Olala.worm.57344 216,592 2.2 % 16 Win32/Virut.F 28,637 2.1 % 17 Win32/Virut.B 23,136 2. % 18 Win32/Parite 166,144 1.7 % 19 Win32/Virut 16,589 1.6 % 2 Win32/Kido.worm.156691 15,426 1.5 % 9,948,629 1 % [ 표 4-3] 신종악성코드감염보고 Top 2 3분기신종악성코드유형별분포 211년 3분기의신종악성코드유형별분포는트로쟌이 36% 로 1위를차지하였다. 그뒤를이어스크립 트가 22%, 애드웨어가 12% 비율을차지하였다. 6,, 5,, 4,, 53,944,245 46,27,884-7,736,361 39,66,178-6,61,76 3,, 2,, 211.1Q 211.2Q 211.3Q [ 그림 4-2] 악성코드월별감염보고건수 [ 그림 4-3] 신종악성코드분기유형별분포
Web 25 26 Web 1. 악성코드동향 b. 악성코드이슈 2. 시큐리티동향 a. 시큐리티통계 국내 CVE-211-211 Adobe Flash 취약점악용증가국내에서발견되는대부분의악성 Flash 파일은숨겨진 '<iframe>' 연결페이지안에삽입되어있으며이러한파일 ( 악의적인 Flash 파일 ) 은내부적으로 'info' 파라미터를통해얻은또다른 URL로부터악성콘텐츠를내려받도록설계되어있다. URL을통해내려받게되는실제악의적인콘텐츠중에는온전한 PE 파일 ( 디코딩하면바로 MZ 헤더가붙어있는 ) 이아닌셸코드 (Sell Code) 의일부만받아오는형태로변형되기도하였다. 이는 flash 파일안에서 heap_spray 를위한 NOP+Shell Code를생성하는데필요한것으로, flash 취약점을이용해동작중인악성코드의내부에의해서내려받은부분적인셸코드를 XOR 디코딩하여사용하므로내려받은파일자체는정상적인 PE 파일이아닐수있다. 해당취약점은그형태가발전되며주요웹공격익스플로이트 (Exploit) 로활용될것으로예상된다. 따라서웹서핑전에는반드시 Adobe 제품군에대한업데이트가최신으로적용되었는지확인하는것이필요하다. MS1-87 취약점악용워드악성코드발견 스마트폰보안위협증가 8월에는진저마스터 (Gingermaster) 라는악성코드가나타났는데특이하게도 ' 안드로이드운영체제 2.3 진저브레드 (Gingerbread) vold volume manager 취약점 (CVE-211-1823)' 을이용하고있다. 해당취약점은올해 4월에처음공개된것으로진저브레드 2.3.3까지영향을미치고있다. 또한, 해당취약점은진저브레이크 (GingerBreak) 라는루팅툴에서도사용되고있었는데악성코드는진저브레이크와결합한형태로 3rd Party Market인비공식마켓에서퍼지고있는것으로보이며, 개인정보, 전화번호등의자료가특정 C&C 서버로유출된다. 앞으로도취약점과악성코드가결합한형태의보안위협이증가할것으로예상되며스마트폰사용자들의각별한주의가필요하다. 211년 3분기마이크로소프트보안업데이트현황마이크로소프트사는 211년 3분기에총 22건의보안업데이트를발표하였다. 1분기, 2분기와마찬가지로시스템분야의취약점이 41% 로가장큰비중을차지했으며, IE 분야의취약점은 4% 로가장낮은비중을차지하였다. 7월과 8월에는패치의중요도인 ' 긴급 ' 이각각 1건과 2건있었다. 이번분기에는오피스취약점이점점늘어남에따라서사회공학적인방법을이용한악성코드도함께증가하였다. 특정사용자로하여금메일에첨부된문서를읽도록유도하여취약한오피스, PDF 문서를통해악의적인행위를하도록만든것이다. 악성코드가이용하고있는보안취약점이많은만큼관리자들은빠른시일내에패치할것을권고한다. 공격대상기준별 MS 보안업데이트분류 21.7-211.9 Application 23% 최근에발견되는워드취약점을악용한악성코드는 21년 11월배포한 'MS1-87 Microsoft Office의취약점으로말미암은원격코드실행문제점 (242393)' 취약점을악용하는사례가대부분이다. 이러한취약한워드파일형태의악성코드는메일의첨부파일로유 Sever 9% 41% System 포되는사례가다수를차지하고있어메일에첨부된워드파일에대 해서는각별한주의가필요하다. 23% 4% 타깃공격 (Target Attack) 의위험성타깃공격또는 APT 기법은크게사내망을공격하는것과서버망을공격하는것으로나누어지는데서버망을공격하는방식은일반적인해킹기법과유사하지만사내망을공격하는방식은사회공학, 악성코드, 피싱, 키로깅, 특정애플리케이션취약점공격, 리버스쉘 (Reverse Shell) 명령실행및데이터베이스해킹등다양한방법으로이루어지고있다. 이러한공격에대응하기위해서는복합적인보안방법이필요하다. Office [ 그림 5-1] 3 분기 MS 보안업데이트분류 IE
Web 27 28 3. 웹보안동향 a. 웹보안통계 월별악성코드유형 211 년 3 분기악성코드유형은전분기의 2,6 건에비해 111% 수준인 2,296 건이다. 1, 8 677 -.3% +15 827 +18.2% -35 792-4.2% 6 웹사이트보안요약 211 년 3 분기악성코드발견건수는 253,613 건이고, 악성코드유형은 2,296 건이며, 악성코드가발 견된도메인은 1,971 건이며, 악성코드가발견된 URL 은 12,29 건이다. 본자료는안철수연구소의웹 보안제품인 SiteGuard 의 211 년 3 분기자료를바탕으로산출한통계정보이다. 악성코드배포 URL 차단건수 189,948 253,613 악성코드유형악성코드가발견된도메인악성코드가발견된 URL 2,6 2,296 [ 표 6-1] 웹사이트보안요약 2,72 1,971 +33.5% 7,687 12,29 211.4-6 211.7-9 4 2 [ 그림 6-2] 월별악성코드유형 월별악성코드가발견된도메인 211년 3분기악성코드가발견된도메인은전분기의 2,72건에비해 95% 수준인 1,971건이다. 1, 8 6 4 2 211.7 211.8 211.9 799 +2.5% 65-149 -18.2% 522-128 -19.7% 211.7 211.8 211.9 월별악성코드배포 URL 차단건수 211 년 3 분기악성코드발견건수는전분기의 189,948 건에비해 134% 수준인 253,613 건이다. [ 그림 6-3] 월별악성코드가발견된도메인 월별악성코드가발견된 URL 211 년 3 분기악성코드가발견된 URL 은전분기의 7,687 건에비해 16% 수준인 12,29 건이다. 15, 125, 1, 75, 5, 145,467 +294.9% -77,61 68,46-53.% -28,666 39,74-41.9% 5, 4, 3, 2, 4,863 +5.7% -787 4,76-16.2% 3,351-725 -17.8% 25, 1, [ 그림 6-1] 월별악성코드발견건수 211.7 211.8 211.9 [ 그림 6-4] 월별악성코드가발견된 URL 211.7 211.8 211.9
Web 29 3 악성코드유형별배포수 악성코드유형별배포수에서애드웨어류가 97,433 건으로전체의 38.4% 로 1 위를차지하였으며, 트 로잔류가 8,376 건으로전체의 31.7% 로 2 위를차지하였다. 유형 건수 비율 ADWARE 97,433 38.4 % TROJAN 8,376 31.7 % DOWNLOADER 38,43 15.2 % DROPPER 13,645 5.4 % Win32/VIRUT 3,272 1.3 % JOKE 2,157.9 % APPCARE 931.4 % SPYWARE 356.1 % ETC 17,13 6.6 % 253,613 1 % [ 표 6-2] 악성코드유형별배포수 ADWARE 97,433 TROJAN 8,376 1, 5, DOWNLOADER 38,43 ETC 17,13 DROPPER 13,645 WIN32/VIRUS 3,272 JOKE 2,157 APPCARE 931 SPYWARE 356 [ 그림 6-5] 악성코드유형별배포수 악성코드배포순위 악성코드배포 Top1 에서 Win-Adware/ADPrime.837241 이 49,45 건으로 1 위를, Win-Trojan/ Downloader.76548 이 3,612 건 2 위를기록하였다. 순위등락악성코드명건수비율 1 NEW Win-Adware/ADPrime.837241 49,45 33.3 % 2 NEW Win-Trojan/Downloader.76548 3,612 2.6 % 3 NEW Win-Downloader/KorAd.83968 22,549 15.2 % 4 NEW Win-Adware/KorZlob.3919486 11,452 7.7 % 5 2 Win-Adware/ToolBar.Cashon.38224 8,76 5.9 % 6 NEW Win-Trojan/Downloader.82816.C 6,336 4.3 % 7 NEW Win-Adware/Adprime.17664 6,149 4.1 % 8 NEW Win-Trojan/Genome.57344.QK 4,986 3.4 % 9 Win-Downloader/Cybermy.724992 4,263 2.9 % 1 NEW Win-Downloader/Cybermy.726528 3,88 2.6 % 148,365 1 % [ 표 6-3] 악성코드배포 Top 1
31 32 3. 해외보안동향 1. 일본 3 분기악성코드동향 211 년 3 분기일본에서는봇넷에의한인터넷뱅킹공격의급격한증가와안드로이드 OS 를사용하는단 말기에서동작하는악성코드의유포, 윈도우 OS 의보안취약점을이용해전파되는컨피커웜과안티니웜 변형, 정상윈도우 OS 파일을교체하는악성코드가이슈가되었다. 봇넷에의한인터넷뱅킹피해증가 1 올해 6 월경부터인터넷뱅킹정보를불법적으로빼내금전적인이득을취하려는시도가급격하게증가했 다. 공격자는 PC 사용자의계정과같은신상정보를수집하기위해 SpyEye 라불리는악성코드를이용한 것으로알려졌다. 이러한악성코드는해킹당한웹사이트에서사용자 PC 의보안취약점을이용해유포되 거나이메일을이용해불특정다수에게유포되는등다양한매체를이용하여많은양의정보가수집되어 악용되었을것으로보인다. 컨피커웜과안티니웜의피해발생 순위 211년 4월 211년 5월 진단명 유형 탐지수 진단명 유형 탐지수 1 위 WORM_DOWNAD.AD 웜 4,334 건 WORM_DOWNAD.AD 웜 4,42 건 2 위 CRCK_KEYGEN 기타 3,962 건 CRCK_KEYGEN 기타 3,461 건 3 위 WORM_ANTINNY.AI 웜 1,211 건 WORM_ANTINNY.AI 웜 1,287 건 [ 표7-1] 은트렌드마이크로 (http://jp.trendmicro.com) 사에서제공한월간위협보고서중악성프로그램의월별탐지현황에대한정보를취합한것이다. 컨피커 (WORM_DOWNAD.AD) 웜에의한피해가다수발생한것을볼수있다. 이악성코드는윈도우 OS 의보안취약점을이용하여네트워크의다른시스템을감염시키거나오토런악성코드와같이 USB 등외부저장장치를이용하는등다양한경로로전파되고있다. P2P 프로그램을공격하는안티니 (ANTINNY) 웜의변형또한큰피해를유발하고있는것을볼수있는데이악성코드는오랫동안일본에서유행하고있다. 이악성코드변형으로말미암아사용자의중요한정보가유출되는등보안사고가빈번하게발생하여일본에서는다양한사회적이슈가되고있으나감염으로말미암은피해는당분간지속할것으로보인다. 이외에도파라이트 (PE_PARITE.A) 와같은파일바이러스에의한피해와애드웨어의피해가많이발생하고있는것을볼수있다. 파라이트는오래전유포된바이러스이고변형이많지않음에도불구하고여전히여러국가에서많이발견되는악성코드의하나이다. 통계에서다수탐지가된것으로확인되나악성코드자체의전파기능은없기때문에정상적인프로그램이감염된상태로 P2P 프로그램등을통해유포되는경우가많은것으로보인다. 오토런악성코드의감염피해 4 위 PE_PARITE.A 바이러스 1,171 건 PE_PARITE.A 바이러스 1,146 건 5 위 TROJ_DLOADER.DNK 트로이목마 1,143 건 WORM_ANTINNY.JB 웜 1,4 건 6 위 WORM_ANTINNY.F 웜 1,6 건 WORM_ANTINNY.F 웜 95 건 7 위 WORM_ANTINNY.JB 웜 992 건 BKDR_AGENT.TID 백도어 845 건 8 위 HKTL_KEYGEN 기타 844 건 HKTL_KEYGEN 기타 788 건 9 위 BKDR_AGENT.TID 백도어 785 건 ADW_GATOR 애드웨어 696 건 1 위 ADW_YABECTOR 애드웨어 774 건 ADW_FUNWEB 애드웨어 67 건 [ 표 7-1] 악성코드탐지현황 < 자료출처 : 트렌드마이크로 2 > [ 그림 7-1] 211 년 7, 8 월악성코드검출추이 < 출처 : 일본 IPA 3 > 1 http://www.ipa.go.jp/security/topics/alert21183.html 2 http://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/211838343.html http://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/2119562621.html 3 http://www.ipa.go.jp/security/txt/211/documents/virus-full118.pdf, http://www.ipa.go.jp/security/txt/211/documents/virus-full119.pdf
33 34 [ 그림 7-1] 은일본 IPA(http://www.ipa.go.jp) 에서발표한월별보고서내용중악성코드피해현황그래 프이다. 2. 중국 3 분기악성코드동향 넷스카이웜이나마이둠웜과같은이메일웜이많이탐지되고있고오토런악성코드또한많이유포되고있다. 이메일웜은지속적으로많은양의이메일을불특정다수에게유포하고 PC 내의이메일주소를수집해서메일을발송하므로주변인을감염시키는가해자가될수있으므로주의가필요하다. 오토런악성코드와컨피커웜또한많이탐지되고있으며이러한현상은일본뿐아니라전세계적으로비슷한상황이다. [ 그림 7-1] 에서특히주목해야할것은온라인게임계정을탈취하는악성코드인게임핵 (Win32/ Gammima) 이많이탐지되는것이다. 한국에서는이미몇년전부터이러한악성코드에의한피해가만연하고있고다수의웹사이트가해킹되어악성코드를유포하여사회적문제가되고있는데이러한현상이일본에서도많이발생하기시작한것으로보인다. 이러한온라인게임핵의최근트렌드가 imm32등 OS 의정상파일을교체하거나강력한루트킷기능을이용하는등다양해지고있으므로향후이러한악성코드의움직임에예의주시할필요가있다. 라이징 (Rising) 211년상반기중국보안위협동향발표중국의보안업체라이징 (Rising) 에서 211년상반기동안중국에서발생한다양한보안위협들에대한통계와주요보안위협이슈들을발표하였다. 211년상반기동안발견된악성코드수치는 5,286,791개이며이수치는 21년상반기와비교하여 25.2% 가증가한것이다. 211년상반기동안발견된악성코드들을형태별로분류하면 [ 그림 7-2] 와같다. 전체악성코드중가장많은비중을차지하고있는형태는트로이목마로 76.12% 를차지하였다. 그다음으로파일감염기능 을가진바이러스로 8.44% 를차지하였으며, 백도어가 5.16%, 드로퍼가 3.26% 를차지하였다. 이외에애드웨어가 2.91%, 웜이 2.61%, 기타악성코드형태가 1.5% 를차지하였다. 상반기동안중국전체에서악성코드에감염된 PC는총 7.4억회발견되었으며, 매일평균 411만회의악성코드감염이발견되는것으로라이징에서밝혔다. [ 그림 7-2] 211 년상반기중국에서발견된악성코드형태별분포도 [ 표 7-2] 는라이징에서발표한상반기동안가장높은감염률을보였던악성코드 TOP 1 으로아래와같 은특징이있었다. 라이징에따르면중국상반기악성코드동향의큰특징중하나는파일을감염대상으 로동작하는바이러스의증가로, 전통적인바이러스는저급언어인어셈블리어로작성하는것이일반적
35 36 중국상반기악성코드 TOP 1 유형 1 AliPay JPG 파일로위장한백도어 3. 세계 3 분기악성코드동향 2 2MBR 다른악성코드에의해다운로드되는트로이목마 3 Killav Hosts 파일변조 4 Win32.Smail.b 파일을감염시키는바이러스 5 Worm.Win32.FakeFolder.c User Mode에서자신을은폐하는웜 6 Trojan.PSW.Win32.OnlineGame.bdi DLL 파일이며, 온라인게임의사용자정보탈취 7 Trojan.Win32.FakePic.gi 이미지파일로위장한백도어 웜, 트로이목마, 백도어의기능을모두가지고있는악성코드이 8 Trojan.Win32.Fednu.zi 며온라인게임의사용자정보를탈취 9 Trojan.Win32.Fednu.cpq 다른악성코드를다운로드하는트로이목마 1 Trojna.Win32.QuickBatch.cl 웹브라우저아이콘으로위장한트로이목마 [ 표 7-2] 중국상반기악성코드 TOP1 이나중국에서발견된바이러스들은어셈블리어와고급언어를동시에사용하여제작하는특징이있다. 이렇게저급언어와고급언어를동시에사용하여제작될경우에는기존전통적인바이러스와동일한감 염기능을가질수있으며개발기간도단축할수있는장점이있다. 상반기동안발견된바이러스는전 체의 8.44% 이며이를수치화하면 44만 5957개인것으로밝히고있다. 211년 3분기세계악성코드동향은이전과큰차이가없었으며악성코드의지역화, 취약점을이용한다양한다수의악성코드배포가여전한것으로나타났다. 세계악성코드통계대부분악성코드는특정지역에국한된다수의변형이소규모로보고되고있다. 또한, 악성코드의지역화와백신프로그램에서유사변형을하나의진단명으로통합하여진단하거나통계를내면서세계악성코드통계는큰의미가없어졌다. 주요보안업체들의악성코드통계로는컨피커 (Conficker) 웜, 오토런 (Autorun) 웜, 바이럿 (Virut) 바이러스, 샐리티 (Sality) 바이러스, 허위보안프로그램등이꾸준히보고되고 있다. 악성코드배포방식 악성코드배포방식은여전히홈페이지해킹후취약점을이용하여코드를삽입하여사용자가웹사이트를방문할때감염되는방식과 USB 메모리를통한전파가주를이뤘다. 이외메일을통한배포와페이스북 (Facebook), 마이스페이스 (Myspace), 트위터 (Twitter) 등의소셜네트워크를이용한전파도계속되고있다. 취약한웹사이트의해킹및변조에취약점을이용해악성코드를퍼뜨리는방식과주요한사회적이슈가발생할때마다이슈와관련된내용으로위장한악성코드나허위보안프로그램을배포하는사례도과거와동일하다. 정보유출과 APT 정보유출사고가지속적으로보고되고있다. 특히많은공격이지능형지속위협 (Advanced Persistent Threat) 으로변화하고있다. 7월말한국의유명포털사이트가해킹되어 35만명의개인정보가유출되었으며악성코드배포경로에는개인용무료압축프로그램의업데이트취약점이이용되었다. 8월 2 일맥아피에서타깃공격과관련된문서가공개되었다. 4 8월 26일 EMC RSA 해킹과관련된악성코드가공개되었다. 엑셀에포함된플래시파일의제로데이취약점 (CVE-211-69) 을이용했으며악명높은 Poison Ivy 백도어를컴퓨터에설치해서정보를유출했다. 이공격으로 OPT 관련자료가유출되었고이후발생한군수업체해킹과도연관성이있을것으로추정된다. 9월중순에는일본미쓰비시중공업등방 3 http://blogs.mcafee.com/mcafee-labs/mac-malware-monsoon-in-may 4 http://cyberseecure.com/211/5/eweek-crimeware-kit-targeting-mac-os-x-mimics-zeus-and-spyeye-features/
37 VOL. 21 Contributors 위산업체들에대한공격이알려졌다. 5 부트킷증가부트킷 (Bootkit) 이라불리는마스터부트레코드 (Master Boot Record) 를변조하는악성코드가꾸준히등장하고있다. 8월어워드 (Award) 롬바이오스를변조해감염되는악성코드가새롭게발견되었다. 9월한국사용자들을대상으로, 한국에서많이사용되는보안프로그램을방해하는기능이포함된온라인게임계정탈취악성코드를다운로드하는부트킷이발견되었다. 6 현재다양한부트킷이등장하고있지만부트킷제작을위해서는이전악성코드와는또다른기술이필요해폭발적인증가를보이지는않을것으로예상된다. 하지만, 일반사용자나보안프로그램에서제거가쉽지않아다수의악성코드제작자들이흥미를가지고있는것으로보인다. 흥미로운악성코드들가상화폐인비트코인 (Bitcoin) 을생성하는악성코드가등장했으며윈도우리모트데스크톱기능을통해전파되는모토웜 (Morto worm) 이발견되었다. 7 델파이사용자시스템에서만활동하는인덕바이러스 (Induc virus) 변형이보고되었다. 원형바이러스는감염외에는별다른증상이없었지만, 변형은백도어기능등도포함하고있다. 8 인덕바이러스가개발자시스템에서만활동하고오랫동안발견되지않아널리퍼지게되었지만, 나머지변형들은예전만큼의명성을가질지는아직알수없다. 맥 (Mac OSX) 과안드로이드대상악성코드 집필진책임연구원선임연구원선임연구원선임연구원선임연구원선임연구원연구원참여연구원편집장선임연구원편집인디자인 차민석김소헌이재호이정형안창용장영준이정신 ASEC 연구원 SiteGuard 연구원안형봉안철수연구소마케팅실안철수연구소 UX디자인팀 맥과안드로이드악성코드가꾸준히증가하고있다. 맥을대상으로한 PDF 파일로위장한악성코드등이 발견되었다. 9 안드로이드악성코드도다수발견되고있으며인터넷뱅킹정보탈취악성코드도보고되고 있다. 1 감수 상 무 조시행 발행처 ( 주 ) 안철수연구소경기도성남시분당구삼평동 673 ( 경기도성남시분당구판교역로 22) T. 31-722-8 F. 31-722-891 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. 5 http://blog.trendmicro.com/japan-us-defense-industries-among-targeted-entities-in-latest-attack 6 http://blogs.norman.com/211/malware-detection-team/mebromi-a-bios-flashing-trojan 7 http://www.f-secure.com/weblog/archives/2227.html 8 http://blog.eset.com/211/9/14/the-induc-virus-is-back 9 http://www.f-secure.com/weblog/archives/2241.html 1 http://blog.eset.com/211/9/16/android-banking-malware-in-the-wild Copyright (c) AhnLab, Inc. All rights reserved.