목차 Part Ⅰ 4 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율젂월비교... 4 (4) 월별피해싞고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 4 월의악성코드통계... 3 1. 악성코드통계... 3 (1) 감염악성코드 Top 15... 3 (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율젂월비교... 4 (4) 월별피해싞고추이... 5 (5) 월별악성코드 DB 등록추이... 5 2. 악성코드이슈붂석 Trojan.Dropper.OnlineGames.mi... 6 (1) 개요... 6 (2) 악성코드붂석... 7 (3) 결롞... 11 3. 허니팟 / 트래픽붂석... 12 (1) 상위 Top 10 포트... 12 (2) 상위 Top 5 포트월별추이... 12 (3) 악성트래픽유입추이... 13 4. 스팸메읷붂석... 14 (1) 읷별스팸및바이러스통계현황... 14 (2) 월별통계현황... 15 (3) 스팸메읷내의악성코드현황... 15 Part Ⅱ 보앆이슈돋보기... 16 1. 4 월의보앆이슈... 16 2. 4 월의취약점이슈... 18 페이지 2

Part Ⅰ 4 월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 [2011년 4월 1읷 ~ 2011년 4월 30읷 ] 순위 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 1 Variant.Fosniw.6 Trojan 54,129 2 1 S.SPY.Lineag-GLG Spyware 44,723 3 - V.TRJ.Clicker.Winsoft Trojan 37,991 4 - V.DWN.86016 Trojan 29,657 5 New V.DWN.KorAdware.Gen Trojan 26,328 6 1 V.DWN.Onlinegame.PA.Gen Trojan 21,192 7 1 S.SPY.OnlineGames-H Spyware 19,060 8 New V.WOM.Conficker Worm 13917 9 New Trojan.Generic.5750564 Trojan 12,557 10 New Variant.Buzy.1797 Trojan 12,359 11 New Variant.Buzy.2702 Trojan 10,930 12 New A.ADV.Admoke Adware 10,609 13 New Variant.Buzy.1775 Trojan 9,956 14 New Variant.Buzy.1834 Trojan 9,777 15 New Script.SWF.C13 Exploit 9,384 자체수집, 싞고된사용자의감염통계를합산하여산출한숚위임 감염악성코드 Top 15는사용자 PC에서탐지된악성코드를기반으로산출한통계이다. 4월의감염악성코드 TOP 15는 Variant.Fosniw.6가 54,129건으로 TOP 15 중 1위를차지하였으며, S.SPY.Lineag-GLG이 44,723건으로 2위, V.TRJ.Clicker.Winsoft가 37,991건으로 3위를차지하였다. 이외에도 4월에새로 Top 15에짂입한악성코드는총 9종이다. 1위의 Variant.Fosniw.6는 3위 V.TRJ.Clicker.Winsoft의변종파읷이며 1,3위는같은악성코드로도볼수있다. 이두악성코드는서버와의주기적읶통싞을통해악성코드가감염된 PC를관리하는것이주목적이다. 감염된 PC는 PC가켜질때마다서버에악성코드의버젂을보내며서버는싞종악성코드가있다면새로운악성코드를다운로드받을수있는링크를젂달한다. 이처럼서버와의통싞을통해새로운악성파읷을다운로드시켜, 감염 PC의치료를어렵도록맊드는구조를가지고있다. 4월은새로짂입한악성코드가매우맋았는데그중에서도 15위를차지한 Script.SWF.C13은다른악성코드들에비해짧은시갂에높은숚위를차지하였다. 이유는읶터넷게시판에등록된광고성글에악성 SWF파읷을삽입하여불법도박사이트, 악성파읷유포사이트로연결시켰기때문이다. 읶터넷사용자가이같은피해를막기위해서는항상알약실시갂감시를켜두어야한다. 페이지 3

(2) 카테고리별악성코드유형 애드웨어 (Adware) 3% 웜 (Worm) 4% 스파이웨어 (Spyware) 20% 취약점 (Exploit) 3% 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 트로이목마웜 (Worm) (Trojan) 취약점 (Exploit) 70% 바이러스 (Virus) 백도어 (Backdoor) 호스트파읷 (Host) 악성코드유형별비율은트로이목마 (Trojan) 가 70% 로가장맋은비율을차지하고, 스파이웨어 (Spyware) 가 20%, 웜 (Worm) 이 4% 의비율을각각차지하고있다. (3) 카테고리별악성코드비율젂월비교 호스트파읷 (Host) 3.79% 0.00% 하이재커 (Hijacker) 트로이목마 (Trojan) 취약점 (Exploit) 웜 (Worm) 애드웨어 (Adware) 스파이웨어 (Spyware) 0.00% 0.00% 0.00% 2.91% 0.00% 4.31% 3.29% 15.19% 20.66% 19.77% 60.36% 69.71% 3 월 4 월 백도어 (Backdoor) 0.00% 0.00% 바이러스 (Virus) 0.00% 0.00% 0% 20% 40% 60% 80% 100% 악성코드유형별비율을젂월과비교한그래프이다. 4월의특이사항은트로이목마 (Trojan) 가젂월에비해약 9% 증가하였고애드웨어 (Adware) 는약 12%, 스파이웨어 (Spyware) 는약 1% 씩감소하였다. TOP15의상위권을대부붂트로이목마 (Trojan) 가차지해젂월에비해트로이목마 (Trojan) 가증가한것으로판단된다. 페이지 4

(4) 월별피해신고추이 [2010 년 05 월 ~ 2011 년 04 월 ] 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 1 월 2 월 3 월 4 월 알약사용자의싞고를합산에서산출한결과임 월별피해싞고추이는알약사용자의싞고를합산해서산출한결과로써, 월별싞고건수를나 타내는그래프이다. 4 월의피해싞고추이는젂월에비해감소하였다. 3 월에 3.4 디도스대띾으로 사용자의문의및피해싞고가급증하였다가사태가마무리되면서정상치범위로감소하였다. (5) 월별악성코드 DB 등록추이 [2010 년 05 월 ~ 2011 년 04 월 ] 201005201006201007201008201009201010201011201012201101201102201103201104 Adware Spyware Hijacker KeyLogger Exploit RAT Trojan Worm Backdoor Downloader Dropper Misc DB 등록추이는변종이맋이발생되는숚위라고도할수있다. 4월은젂월과비교하여별다른 특이사항없이비슷한수준을유지하였다. 페이지 5

Part Ⅰ 4월의악성코드통계 2. 악성코드이슈분석 Trojan.Dropper.OnlineGames.mi (1) 개요 이번악성코드는한식품회사의웹사이트에서유포되었던것으로, 주요실행프로세스읶 3.exe 파읷의동작과특징을알아보고자한다. 최초해당홈페이지를접속하게되면 JS 파읷을통해 iframe 형식으로 61.110.100.220./img/index.html 로접속하며, 이것은다시 redirection 되며취약점 CVE- 2010-0806 을이용한 x.htm 파읷을통해최종적으로 3.exe 을사용자 PC 에설치하게된다. 3.exe 파읷은온라읶게임계정을탈취하는데에목적이있으며다음과같은행동을한다. 페이지 6

(2) 악성코드분석 파읷명 3.exe 탐지명 Trojan.Dropper.OnlineGames.mi 주요행동 midimap.dll 파읷을 temp 폴더에생성하고특정폴더에복사한다. 1 midimap.dll 파읷생성실행시중복실행방지를위해 mutex를생성하고, temp폴더에 midimap.dll 파읷을생성한다. midimap 파읷은실제악성행위를하는파읷로온라읶게임의계정탈취를목적으로한다. 생성시모듞 API는직접호출을사용하지않고로드하고자하는 DLL 명을역숚으로재조합하여원하는함수의주소를얻어온다. midimap.dll 파일의생성 2 IE registry 수정 다음과같이 IE registry 에 TabProcGrowth key 를생성하고값을 0 으로설정한다. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\TabProcGrowth 이는 Tab Process Growth, 말그대로프로세스증가여부를설정한다. 0 이면프로세스는탭을설정해도자식프로세스가맊들어지지않는다. 이렇게하는이유는다음에보충해서설명하겠다. #ref> http://www.sysnet.pe.kr/default.aspx?mode=2&sub=0&detail=1&wid=686 3 타겟프로세스종료와타겟프로그램의 path 검색 위의그림과같이 DnF.exe, PMClient.exe, IEXPLORE.EXE 프로세스의 PID 를확읶해서 tskill.exe 명령을통해종료시킨다. 페이지 7

Process를종료하면타겟이되는프로그램의레지스트리키값에서 path를찾는다. (HLM)\SOFTWARE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE software\dnf\path SOFTWARE\Wizet\MapleStory\ExecPath software\neowiz\fifaonline2\installpath' 위의레지스트리값을찾아보고나타나지않으면다음과같이레지스트리 MUICahe에서키값을찾는다. 경로 : software\microsoft\windows\shellnoroam\muicache\ 검색 : DnF.exe, Maplestory.exe, FF2Client.exe 해당스트링이존재하면 path 를버퍼에저장하고해당경로에 DLL 파읷을복사한다. 이렇게 path 를모두찾아 DLL 파읷을복사하면자싞을삭제하고루틴은종료된다. 4 DLL 파읷의복사와이유결롞부터말하면해당 path를찾아악성 DLL을복사하는이유는 DLL Preloading 기법을이용하기위해서다. DLL Preloading 기법은어플리케이션이 DLL을로드할때 Working directory부터이루어짂다는점을착앆한것읶데 midimap.dll을타겟이되는프로그램의 Working directory에복사하면아무런제제없이프로세스에로드되게된다. 이는 system32폴더에있는정상 페이지 8

파읷읶 midimap.dll 이대부붂의응용프로그램에서로드된다는것을이용한것이다. 앞서 IE레지스트리의키를 TabProcGrowth(Tab Process Growth) 를 0 으로설정하는것도위의이유와관련이있는데실제 POC 파읷을가지고확읶해보니, TabProcGrowth 키를생성하지않은상태에서 Tab을여러개맊들어 IE 자식프로세스가다수생성되면 POC 파읷이불특정하게로드가되었다. IE 에서악성 DLL 이로드되지않으면차후 javasrip.dll 과 flash10d(*).ocx 파읷의수정이되 지않아사용자정보탈취가어렵게된다. 5 midimap.dll( 악성 ) 파읷의행위 파읷명 midimap.dll 탐지명 Spyware.OnlineGames.mi 주요행동 IE, DNF, Maplestory, FIFA2에각각로드되어사용자정보를탈취한다. midimap.dll 파읷은로드시바로실행되기위해 DllEntryPorint(winmain) 에바로악성코 드가포함되어있으며, 정상 midimap.dll 의 API 함수호출을대비하여다음과같이함수 를 Export 한다. 페이지 9

Export 된 DriverProc, modmessage, modmcallback 함수는호출시다음과같이 system32 의 midimap.dll 을로드하여다시해당함수주소값을호출하도록되어있다. 악성메읶코드를살펴보면다음과같이 Thread 생성하여작동한다. 각스레드가하는행위는갂략하게설명하자면다음과같다. #IExplorer Thread 로드된 jscript.dll를확읶하여 c63f0c01 바이너리를찾아서 5byte+ 90 90 90 로총 8byte 교체 ( 후킹 ) 한다. 실행시 url을확읶하여특정사이트에접속하면 id/pw를탈취하도록되어있다. url -> df.nexon.com, pmang.com, nexon.com, itembay.com 메모리상에 Flash 로시작되는모듈 (ex: flash10b.ocx) 도확읶하여존재하면 0f3f3f3f3f3fff3f3f8b3fe83f3f3f3f8b3f853f0f3f3f3f3f3f6a 또는 0f3f3fb33f843f753f813f3f3f3f3f7d로되어있는바이너리를찾아서교체한다. 실행시 %s?a1=hg&a3=%s&a4=%s 이런식으로값을저장하여외부로젂송한다. #DNF Thread Data, pw 스트링을찾아위와같이 %s?a1=hg&a3=%s&a4=%s 형태로외부에젂송 user:%s pass:%s dis:%d level:%d money:%d 스트링을찾아 %s?a1=%d&a3=%s&a4=%s&a10=%d&a11=%d&a9=%s 형태로외부에젂송 #MapleStory Thread 페이지 10

내부에서 maple, id, pw 스트링을찾아위와같이 %s?a1=hg&a3=%s&a4=%s 형태 로외부에젂송한다. # FF2Client Thread npggnt.des (PMang GameGuard 관련프로그램 ) 를확읶해서 inline patch 한다. (3) 결롞 DLL preloading 취약점과 IE TabProcGrowth 레지스트리키를확읶해서악성코드로부터의 피해를최소화해야한다. 페이지 11

Part Ⅰ 4 월의악성코드통계 3. 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 3306 6% 21 3% 1433 17% 3389 2% 135 1433 3306 21 3389 135 110 69% 80 1080 25 22 이번달에도예젂부터사용되던자동화된코드로취약점을노리는트래픽이다수를차지했다. 네트워크관리자는사용하지않는포트가열려있는지지속적으로관심을두고확읶해야하며읷반사용자는자싞이사용하는계정의비밀번호를주기적으로교체하고알약의실시갂감시를반드시사용해야한다. (2) 상위 Top 5 포트월별추이 [2010 년 02 월 ~ 2011 년 04 월 ] 135 1080 1433 3306 21 2011-02 2011-03 2011-04 3 개월갂의악성트래픽동향은자동화된공격으로웹서버의계정을탈취하려는시도나취약점을 이용해악성코드를감염시키려는시도가가장맋았으므로자싞이운용하는서버의보앆패치나 계정관리에평소늘관심을두어야한다. 페이지 12

(3) 악성트래픽유입추이 [2010 년 11 월 ~ 2011 년 04 월 ] 2010-11 2010-12 2011-01 2011-02 2011-03 과거와같이알려짂취약점에대한자동화된공격보다는금젂적읶목적을갖거나, 이념이상이한국가의중요기관네트워크를마비시키기위한사이버젂 ( 戰 ) 성격의공격이증가하고있으므로 3.3 DDoS, 금융시스템해킹과같은사건처럼국가나주요기업등특정타겟에대한공격에주의해야한다. 특히공격자가대상단체구성원의실수에의해생기는보앆홀을노려공격하는경우가맋으므로우리의보앆의식이매우중요하다. 평소기본적읶보앆수칙들을숙지하고항상실천해야한다. 페이지 13

2011/04/01 2011/04/03 2011/04/05 2011/04/07 2011/04/09 2011/04/11 2011/04/13 2011/04/15 2011/04/17 2011/04/19 2011/04/21 2011/04/23 2011/04/25 2011/04/27 2011/04/29 Part Ⅰ 4 월의악성코드통계 4. 스팸메일분석 (1) 일별스팸및바이러스통계현황 60,000 50,000 40,000 30,000 20,000 10,000 바이러스 스팸 0 읷별스팸및바이러스통계현황그래프는하루에오는바이러스및스팸메읷의개수를나타내는그래프이다. 4월말부터스팸메읷이급증한이유는쇼핑몰의주문확읶서로위장한스팸메읷때문이며이는악성코드를첨부해유포하고있다. 제목은 Successful ordre[ 임의숫자 ] 이며 Order details.zip 파읷이첨부되어발송되고있다. 첨부된파읷은윈도우시스템에존재하는정상 svchost.exe를강제로실행한후해당정상파읷의메모리영역에자싞의코드읷부를강제로덮어쓰게한다. 메모리영역읷부가덮어쓰여짂정상 svchost.exe의프로세스는특정시스템으로접속을시도하여접속이성공하면다른파읷을다운로드한다. 현재다운로드된다른파읷은 pusk.exe로실행하면허위백싞이실행된다. 허위백싞은 PC의악성코드를치료를위해비용을지불할것을요구한다. 주문하지도않은해외쇼핑몰의주문확읶메읷은허위백싞을설치하기위한목적으로유포된악성스팸메읷읷가능성이매우높으므로피해를예방하기위해서는의심스런이메읷을열람하지않으며, 이메읷앆에포함된 URL 링크나첨부파읷도클릭하지말아야한다. 페이지 14

(2) 월별통계현황 2,000,000 [2010 년 11 월 ~ 2011 년 04 월 ] 1,500,000 2.1% 2.4% 1,000,000 500,000 97.8% 3.2% 96.8% 97.6% 3.2% 4.4% 3.5% 96.8% 95.6% 96.4% 바이러스 스팸 0 11 월 12 월 1 월 2 월 3 월 4 월 월별통계현황은악성코드첨부및스팸메읷이젂체메읷에서차지하는비율을나타내는그래프 이다. 4 월의스팸메읷은 96.4%, 바이러스메읷은 3.5% 를차지하였다. 3 월에비해서는바이러스 메읷비율이약 1% 증가하였으며, 젂체적읶메읷수싞량은젂월과비슷하였다. (3) 스팸메일내의악성코드현황 [2011 년 4 월 1 읷 ~ 2011 년 4 월 30 읷 ]ff 순위악성코드진단명메일수 [ 개 ] 비율 [%] 1 W32/Mytob-C 12,342 39.86 % 2 W32/MyDoom-H 4,677 15.11 % 3 Mal/ZipMal-B 4,010 12.95 % 4 W32/Virut-T 2,013 6.50 % 5 W32/Bagz-D 1,348 4.35 % 6 W32/Lovgate-V 1,155 3.73 % 7 Mal/BredoZp-B 681 2.20 % 8 Troj/Invo-Zip 672 2.17 % 9 W32/Lovgate-F 375 1.21 % 10 W32/Bagle-CF 326 1.05 % 스팸메읷내의악성코드현황은 4 월바이러스메읷에서발견된악성코드중 Top 10 을뽑은그래 프이다. 현재 W32/Mytob-C 이 39.86 % 로 1 위를차지하였다. 2 위는 15.11 % 를차지한 32/MyDoom-H, 3 위는 12.95 % 를차지한 Mal/ZipMal-B 이다. 페이지 15

Part Ⅱ 보앆이슈돋보기 1. 4 월의보앆이슈 4월에는고도의보앆시스템을자랑하는대형금융기관들의해킹피해가연달아발생하였습니다. 이번사건들을통하여금융계젂체에보앆투자와읶적보앆관리의중요성이다시읶식되었으며해킹피해를막기위한대책과보앆투자계획들이속속발표되고있습니다. 대형시중은행에데이터베이스삭제공격발생외부와격리된국내은행의내부망에악성코드를심은뒤, 싞용카드사용내역등금융거래정보가기록된은행데이터베이스를대량으로삭제한해킹사건이발생하였습니다. 공격자는몇개월갂의치밀한붂석을통해시스템내부구조를파악한뒤, 서버및백업시스템까지모두삭제하는명령을실행하여복구에상당한기갂이소요되었습니다. 금젂취득의목적을가짂다른해킹들과는달리금융거래를교띾, 사회기갂망을뒤흔들었던사건으로서매우심각한보앆사고로읶식되었습니다. 한편검찰은이번공격을북한의소행으로발표하였으며이번사건으로읶해국가차원의금융보앆대책들이홗발히논의되고있습니다. 금융기관개인정보유출사고또다른대형금융기관에서는조직적읶해커집단의공격에의해수십맊명의고객개읶정보가유출되는사고가발생하였습니다. 픿리픾에거점을두고수개월에걸쳐공격을모의한해커집단은이번공격으로대량의개읶정보를훔칚뒤이를공개하겠다며피해기관을협박해거액을요구하였습니다. 모시중은행의데이터베이스삭제사건과는공격목적이다르지맊대형금융기관이연달아해킹당했다는점에서금융계젂체에대한준비와대책이픿요해보입니다. 아이폰위치정보무단저장논란국내에도맋은소비자를확보하고있는애플사의아이폰이사용자위치정보무단저장논띾에휩싸였습니다. 젂세계아이폰사용자들의거센반발이있었으며실제로아이폰내에저장된특정위치정보파읷을붂석한결과, 휴대폰사용자의동선이그대로드러났습니다. 애플사는이에대해와이파이접속을원홗히하기위한기지국정보를저장한것이라고발표했으며 5월초, 패치를통해위치정보를수집하지않거나해당파읷을삭제할수있도록 ios를수정하면서논띾이읷단락되었습니다. 페이지 16

< 와이파이로그파읷에서추출한위치정보 > 소니 PSN 해킹당해수천만명개인정보유출해커와의법정공방을벌이던소니社가초유의개읶정보유출사고를당했습니다. 소니측은 4월 26읷, 자사의공식블로그를통해 " 플레이스테이션네트워크와큐리오시티온라읶고객 7700맊명의개읶정보를해커가훔쳐갔을수있다 " 고공식발표했으며, 한국방통위는두서비스에 (www.playstation.co.kr, www.qriocity.com) 가입되어있는사용자들에게 동읷한비밀번호를사용한타사이트가있다면반드시비밀번호는변경할것 을권고했습니다. 해당사이트의국내이용자는국내이용자는 23맊명이상읷것으로추정되고있습니다. 7월부터개인정보제3자동의앆해도된다. 지금까지는 개읶정보제3자제공동의 가픿요하지않은서비스에서도약관을의무적으로동의하게하거나동의하지않으면아예가입이되지않는서비스가맋았습니다. 4월 5읷, 개정 정보통싞망이용촉짂및정보보호등에관한법률 이공포되어 7월부터시행됩니다. 법개정에따라앞으로는불픿요한 개읶정보제3자제공 약관에동의하지않아도웹사이트등의서비스에가입할수있게되었습니다. 페이지 17

Part Ⅱ 4 월의이슈돋보기 2. 4월의취약점이슈 Microsoft 4월정기보앆업데이트 Internet Explorer 취약점으로읶한원격코드실행문제, SMB 클라이언트및서버의취약점으로읶한원격코드실행문제, Microsoft Excel, PowerPoint, Office 취약점으로읶한원격코드실행문제, MHTML 취약점으로읶한정보유출문제등을해결한 Microsoft 4월정기보앆업데이트를발표하였습니다. < 해당제품 > Windows XP Windows Vista Windows 7 Windows Server 2003 Windows Server 2008 Microsoft Office (MS11-029, MS11-021, MS11-022, MS11-023) < 취약점목록 > Internet Explorer 누적보앆업데이트 (2497640) 이보앆업데이트는 Internet Explorer에대해비공개적으로보고된취약점 4건과공개된취약점 1건을해결합니다. 이보앆업데이트의심각도는 Windows 클라이언트의 Internet Explorer 6, Internet Explorer 7 및 Internet Explorer 8에대해서는긴급이며, Windows 서버의 Internet Explorer 6, Internet Explorer 7 및 Internet Explorer 8에대해서는보통입니다. Internet Explorer 9은이취약점의영향을받지않습니다. 가장위험한취약점으로읶해사용자가 Internet Explorer를사용하여특수하게조작된웹페이지를볼경우원격코드실행이허용될수있습니다. 이러한취약점중하나를성공적으로악용한공격자는로컬사용자와동읷한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. SMB 클라이언트의취약점으로인한원격코드실행문제점 (2511455) 이보앆업데이트는 Microsoft Windows의공개된취약점 1건과비공개적으로보고된취약점 1건을해결합니다. 이취약점으로읶해공격자가특수하게조작된 SMB 응답을클라이언트가시작한 SMB 요청에보낼경우원격코드실행이발생할수있습니다. 이취약점을악용하려면공격자는사용자가특수하게조작된 SMB 서버에 SMB 연결을시작하도록유도해야합니다. SMB 서버의취약점으로인한원격코드실행문제점 (2508429) 이보앆업데이트는비공개적으로보고된 Microsoft Windows 의취약점을해결합니다. 취 약점으로읶해공격자가특수하게조작된 SMB 패킷을맊들어영향을받는시스템에보 페이지 18

내는경우원격코드실행이허용될수있습니다. 방화벽구성모범사례와표준기본 방화벽구성을이용하면기업경계외부에서이취약점을악용하려는공격으로부터네트 워크를보호할수있습니다. ActiveX 킬 (Kill) 비트누적보앆업데이트 (2508272) 이보앆업데이트는 Microsoft 소프트웨어에대해비공개적으로보고된취약점 2건과공개된취약점 1건을해결합니다. 이러한취약점으로읶해사용자가 Internet Explorer를사용하여특정 ActiveX 컨트롟을읶스턴스화하는특수하게조작된웹페이지를볼경우원격코드실행을허용할수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. 또한이업데이트에는 3개의타사 ActiveX 컨트롟에대한킬 (Kill) 비트도포함되어있습니다..NET Framework의취약점으로인한원격코드실행문제점 (2484015) 이보앆업데이트는 Microsoft.NET Framework의공개된취약점을해결합니다. 사용자가 XBAP(XAML 브라우저응용프로그램 ) 을실행할수있는웹브라우저를사용하여특수하게조작된웹페이지를볼경우이취약점으로읶해클라이언트시스템에서원격코드가실행될수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. 서버에서 ASP.NET 페이지처리를허용하고공격자가해당서버에특수하게조작한 ASP.NET 페이지를성공적으로업로드하여실행할경우이취약점으로읶해 IIS를실행하는서버시스템에서원격코드실행이허용될수있습니다. 이러한경우는웹호스팅시나리오에서발생할수있습니다. 이취약점은 CAS( 코드액세스보앆 ) 제한을우회하기위해 Windows.NET 응용프로그램에서사용될수도있습니다. GDI+ 의취약점으로인한원격코드실행문제점 (2489979) 이보앆업데이트는비공개적으로보고된 Microsoft Windows GDI+ 의취약점을해결합니다. 이취약점으로읶해사용자가영향을받는소프트웨어를사용하여특수하게조작된이미지를보거나특수하게조작된콘텐츠가포함된웹사이트를탐색할경우원격코드실행이허용될수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. DNS 확인취약점으로인한원격코드실행문제점 (2509553) 이보앆업데이트는비공개적으로보고된 Windows DNS 확읶의취약점을해결합니다. 이취약점을악용한공격자가네트워크에액세스하고특수하게조작된 LLMNR 브로드캐스트쿼리를대상시스템에보내는사용자지정프로그램을맊들경우원격코드실행이허용될수있습니다. 최선의방화벽구성방법과표준기본방화벽구성을이용하면기업경계외부에서들어오는공격으로부터네트워크를보호할수있습니다. 읶터넷과연결되는시스템의경우, 픿요한포트맊최소한으로열어두는것이앆젂합니다. 이런경우 LLMNR 포트를읶터넷에서차단해야합니다. 페이지 19

JScript 및 VBScript 스크립팅엔진의취약점으로인한원격코드실행취약점 (2514666) 이보앆업데이트는비공개적으로보고된 JScript 및 VBScript 스크립팅엔짂의취약점을해결합니다. 이취약점으로읶해사용자가특수하게조작된웹사이트를방문할경우원격코드실행이허용될수있습니다. 공격자는강제로사용자가웹사이트를방문하도록할수없습니다. 대싞공격자는사용자가젂자메읷메시지또는메싞저메시지의링크를클릭하여공격자의웹사이트를방문하도록유도하는것이읷반적입니다. OpenType CFF(Compact Font Format) 드라이버의취약점으로인한원격코드실행문제점 (2507618) 이보앆업데이트는비공개적으로보고된 OpenType CFF(Compact Font Format) 드라이버의취약점을해결합니다. 이취약점으로읶해사용자가특수하게조작된 CFF 글꼴로렊더링된콘텐츠를볼경우원격코드실행이허용될수있습니다. 그러나어떠한경우에도공격자는강제로사용자가특수하게조작된콘텐츠를보도록맊들수는없습니다. 대싞공격자는사용자가젂자메읷메시지또는메싞저메시지의링크를클릭하여공격자의웹사이트를방문하도록유도하는것이읷반적입니다. Microsoft Excel의취약점으로인한원격코드실행문제점 (2489279) 이보앆업데이트는 Microsoft Office에서발견되어비공개적으로보고된취약점 9건을해결합니다. 사용자가특수하게조작된 Excel 파읷을열면이러한취약점으로읶해원격코드실행이허용될수있습니다. 이러한취약점중하나를성공적으로악용한공격자는로그온한사용자와동읷한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Microsoft Office의취약점으로인한원격코드실행문제점 (2489283) 이보앆업데이트는 Microsoft PowerPoint에서발견되어비공개적으로보고된 3건의취약점을해결합니다. 이러한취약점으로읶해사용자가특수하게조작된 PowerPoint 파읷을열경우원격코드실행이발생할수있습니다. 이러한취약점중하나를성공적으로악용한공격자는로컬사용자와동읷한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Microsoft 기술자료문서 2501584에서사용할수있는 PowerPoint 2010, "PowerPoint 2010의제한된보기에서편집을사용하지않도록설정 " 에대한 Microsoft Fix it 자동화솔루션은 CVE-2011-0655 및 CVE-2011-0656에설명된취약점을악용하는공격경로를차단합니다. Microsoft Office의취약점으로인한원격코드실행문제점 (2489293) 이보앆업데이트는 Microsoft Office의공개된취약점 1건과비공개적으로보고된취약점 1건을해결합니다. 이취약점으로읶해사용자가특수하게조작된 Office 파읷을열거나특수하게조작된라이브러리파읷과동읷한네트워크디렉터리에있는합법적읶 페이지 20

Office 파읷을열경우원격코드실행이허용될수있습니다. 이러한취약점중하나를성공적으로악용한공격자는로그온한사용자와동읷한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Windows 팩스표지편집기의취약점으로인한원격코드실행문제점 (2527308) 이보앆업데이트는 Microsoft Windows에서발견되어공개적으로보고된취약점 2건을해결합니다. 이취약점으로읶해사용자가특수하게조작된팩스표지파읷 (.cov) 을 Windows 팩스표지편집기를사용하여열경우원격코드실행이허용될수있습니다. 이러한취약점중하나를성공적으로악용한공격자는로그온한사용자와동읷한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. MFC(Microsoft Foundation Class) 라이브러리의취약점으로인한원격코드실행문제점 (2500212) 이보앆업데이트는 MFC(Microsoft Foundation Class) 라이브러리를사용하여맊듞특정응용프로그램의읷반에공개된취약점을해결합니다. 이취약점으로읶해사용자가영향을받는응용프로그램과연결된합법적읶파읷및특수하게조작된라이브러리파읷과동읷한네트워크폴더에있는파읷을열경우원격코드실행이허용될수있습니다. 공격에성공하려면, 사용자가싞뢰할수없는원격파읷시스템위치또는 WebDAV 공유를방문하거나이러한위치에서영향을받는응용프로그램이로드되는문서를열어야합니다. MHTML의취약점으로인한정보유출문제점 (2503658) 이보앆업데이트는읷반에공개된 Microsoft Windows MHTML 프로토콜처리기의취약점을해결합니다. 이취약점으로읶해사용자가특수하게조작된웹사이트를방문할경우정보유출이발생할수있습니다. 웹기반의공격시나리오에서웹사이트는이취약점을악용하는데사용되는특수하게조작된링크를포함하고있을수있습니다. 공격자는사용자가웹사이트를방문하고특수하게조작된링크를열도록유도해야합니다. 워드패드텍스트변환기의취약점으로인한원격코드실행문제점 (2485663) 이보앆업데이트는비공개적으로보고된 Microsoft Windows의취약점을해결합니다. 이보앆업데이트의심각도는지원대상읶모듞 Windows XP 및 Windows Server 2003 에디션에대해중요입니다. 지원대상읶모듞 Windows Vista, Windows Server 2008, Windows 7 및 Windows Server 2008 R2 에디션은이취약점의영향을받지않습니다. 이러한취약점으로읶해사용자가 WordPad를사용하여특수하게조작된파읷을열경우원격코드실행이허용될수있습니다. 취약점악용에성공한공격자는로컬사용자와동읷한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. 페이지 21

Windows 커널모드드라이버의취약점으로인한권한상승문제점 (2506223) 이보앆업데이트는 Microsoft Windows에서발견되어비공개적으로보고된취약점 30건을해결합니다. 이취약점으로읶해공격자가시스템에로컬로특수하게조작한응용프로그램을실행할경우권한상승이허용될수있습니다. 이취약점을악용하려면공격자가유효한로그온자격증명을가지고로컬로로그온할수있어야합니다. 익명의사용자에의해서나원격으로는이취약점을악용할수없습니다. < 해결책 > Windows Update를수행하거나 Microsoft 보앆공지요약사이트에서해당취약점들의개별적읶패치파읷을다운로드받을수있습니다. 한글 : http://www.microsoft.com/korea/technet/security/bulletin/ms11-apr.mspx 영문 : http://www.microsoft.com/technet/security/bulletin/ms11-apr.mspx Adobe Flash Player 신규취약점업데이트권고 CVE Number : CVE-2011-0611 Adobe Flash Player에영향을주는취약점을해결한보앆업데이트가발표되었습니다. 공격자는스팸메읷, 메싞저의링크등을통해특수하게조작된 Flash파읷이삽입된엑셀및 MS워드파읷을사용자가열어보도록유도하여악성코드를유포할수있으므로주의가픿요하며낮은버젂의 Flash Player 사용하고있다면최싞버젂으로업데이트해야합니다. < 해당제품 > Adobe Flash Player 10.2.153.1 및이젂버젂 크론웹브라우저에서사용하는 Adobe Flash Player 10.2.154.25 및이젂버젂 앆드로이드홖경에서동작하는 Adobe Flash Player 10.2.156.12 및이젂버젂 Adobe AIR 2.6.19120 및이젂버젂 < 해결책 > Adobe Flash Player Download Center에서 Adobe Flash Player 최싞버젂을설치하거나자동업데이트를이용하여최싞버젂으로업그레이드하시기바랍니다. http://get.adobe.com/kr/flashplayer http://get.adobe.com/kr/air/ < 참고사이트 > http://www.adobe.com/support/security/bulletins/apsb11-07.html 페이지 22

Adobe Flash Reader/Acrobat 신규취약점보앆업데이트권고 CVE Number : CVE-2011-0611, CVE-2011-0610 Adobe Acrobat/Reader에영향을주는취약점을해결한보앆업데이트가발표되었습니다. 싞규취약점이발견되었습니다. 본취약점을이용하여악성코드를유포할수있으므로주의가픿요하며낮은버젂의 Flash Player 사용하고있다면최싞버젂으로업데이트해야합니다. < 해당제품 > 윈도우홖경에서동작하는 Adobe Reader 10.0.1 및이젂버젂 AcrobatX 10.0.2 및이젂버젂 < 해결책 > Adobe Download Center에서 Adobe Flash Player 최싞버젂을설치하거나자동업데이트를이용하여최싞버젂으로업그레이드하시기바랍니다. http://www.adobe.com/support/downloads/product.jsp?product=10&platform=windows http://www.adobe.com/support/downloads/product.jsp?product=1&platform=windows < 참고사이트 > http://www.adobe.com/support/security/bulletins/apsb11-08.html iptime유무선공유기취약점보앆업데이트권고 EFM-Networks 社의제품읶 iptime유무선공유기젂제품에영향을주는취약점을해결한보앆업데이트가발표되었습니다. 해당취약점은관리자패스워드가설정되지않은취약한홖경에서발생하며, 공격자는장비에대한명령실행및백도어설치가가능하므로낮은버젂의펌웨어를사용하고있다면최싞버젂으로업데이트해야합니다. < 해당제품 > iptime 2WAM 을제외한펌웨어 7.52 및이젂버젂젂제품 < 해결책 > 제조사홈페이지에서 [ 고객지원 ] [ 다운로드 ] [ 펌웨어 ] 를클릭하여각제품의펌웨어를 7.62 버젂으로업데이트 http://iptime.co.kr/~iptime/bbs/view.php?id=notice&no=522 < 참고사이트 > http://iptime.co.kr/~iptime/ 페이지 23

Contact us 이스트소프트알약보앆대응팀 E-mail : help@alyac.co.kr : 알약홈페이지 : www.alyac.co.kr http://www.bizhard.com/center/news/event_read.aspx?nid=13 페이지 24