Ⅰ. 이달의보안동향 1. 악성코드동향 2009년 10월 ASEC 리포트부터는기존의고객신고에기반한통계치의한계를넘어, 현상황을정확하게반영하고자, AhnLab에서독자개발한 AMP 1 을이용하여산출한통계데이터를사용하도록개선하였다. 아래표는악성코드의주요동향을파악하기위하여, 악성

Ⅰ. 이달의보안동향 1. 악성코드동향 2009년 10월 ASEC 리포트부터는기존의고객신고에기반한통계치의한계를넘어, 현상황을정확하게반영하고자, AhnLab에서독자개발한 AMP 1 을이용하여산출한통계데이터를사용하도록개선하였다. 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한, 악성코드대표진단명별감염보고 Top 20 이다. 악성코드통계 [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1] 악성코드감염보고 Top 20 2009년 10월의악성코드감염보고건수는 Win32/Induc이총 804,575 건으로 Top 20 중 17.5% 의비율로 1위를차지하고있으며, Win-Trojan/ Agent가 579,891건으로 2위에올랐다. 아래차트는고객으로부터감염이보고된악성코드유형별비율이다. 2009 년 10 월의악성코드감염보고는 Win32/Induc 이 1 위를차지하고 있으며, 신규로 Top 20 에진입한악성코드는총 12 건이다. [ 그림 1-1] 악성코드유형별감염보고비율 악성코드유형별로감염보고건수비율은 Trojan 류가 37.2% 로가장많 은비율을차지고하고있으며, 다음으로 Virus 가 14.2% 차지하고있다. AhnLab Policy Center 4.0 1 AhnLab Malicious code Processing : 각종피해자료들을수집하여정제, 분석을 통해현상황에대한객관적인판단이가능하도록사실에기반한통계 Data 를제 공하는위협종합분석시스템. 세상에서가장안전한이름안철수연구소 01

10 월의신종악성코드감염보고의 Top20 은 Dropper/Malware 가 53,373 건으로전체 11.9% 를차지하여 1 위를차지하였으며, Win-Adware/Sbplus.45056 가 34,460 건으로 2 위를차지하였다. [ 그림 1-2] 악성코드유형별감염보고전월비교 악성코드유형별감염보고비율을전월과비교하면, Trojan 은전월에비 해증가하였으며, Virus 는전월에비해감소하는추세이다. [ 그림 1-4] 신종악성코드유형별분포 10월의신종악성코드유형별분포는 Trojan 이 60% 로 1위를차지하였으며, 애드웨어류가 17% 로 2위를차지하였다. 악성코드이슈 Win-Trojan/Daonol 의재등장 [ 그림 1-3] 악성코드월별감염보고건수 10월의악성코드월별감염보고건수는 9,630,695건으로 9월의 10,080,838건으로전월에비해 450,143건이감소하였다. 아래표는 10월에신규로접수된악성코드중고객으로부터감염이보고된악성코드 Top 20이다. 10월에는 검은화면에마우스포인트 만나타나는증상을보이며시스템이정상적으로부팅이되지않는다는문의가빗발쳤다. 부팅이되지않아서샘플도제대로수집되지못할뻔했고위와같은증상이제대로재현되지않아애를먹은경우도있었다. 그럼, 이번소란의중심이되었던 Win-Trojan/Daonol 에대하여알아보자. Daonaol 트로이목마는지난 5월이미큰이슈를일으켰다. 악성코드는 Geno 혹은 Gumblar 라고매스컴등에보도되기도하였다. 해당악성코드의이름은악성코드가발견된유포웹사이트또는악성코드가실제업로드된웹사이트이름등에서유래되었다. 일반적으로안티바이러스업체에서는 Daonol이라고명명한다. 해당악성코드의감염경로는특정보안취약점에노출된인터넷익스플로러와 PDF 및 SWF 취약점에의한다. 따라서자신이인터넷익스플로러와 PDF 문서를즐겨사용한다면해당응용프로그램에대한보안패치를반드시수행해야한다. 또한 SWF 취약점역시해당플레이어에대한보안패치를서둘러받는게중요하다. 해당악성코드의정보와보안취약점에대한안내는안철수연구소홈페이지나블로그등에서확인할수있다. 검은화면에마우스포인트만보인다는증상때문에한동안해당악성코드에대한정확한진단명이확인되지도못했고단지그증상만으로불리어지기도하였다. 그러나악성코드의동작과암호화된문자열을복호화해보니지난 5월에문제를일으켰던 Daonol 변형임을알수가있다. [ 표 1-3] 신종악성코드감염보고 Top20 AhnLab V3 MSS 02 ASEC Report _ 2009. Vol.10

dcu 파일을감염시킨다. 이와같이 Win32/Induc은델파이소스상에바이러스가감염된것을개발자가모르고컴파일한경우에발생하는악성코드이다. 컴파일한실행파일은크기를줄이거나설치본을만들기위하여실행압축하거나인스톨프로그램을사용하게된다. 이런파일내부에 Win32/Induc 이존재하는경우안티바이러스업체의정책에따라서진단하지않거나진단하여도치료하지않는등의정책을사용하게된다. 현재대부분의안티바이러스에서는정책상해당파일을진단및치료하지않으며, V3에서는사용자에게정확한정보를제공하기위해지속적으로진단은하고있으나, 치료는하지않고있다. 따라서, 치료되지않 [ 그림1-5] 복호화된 Daonol 트로이목마내부문자열해당악성코드는자신을재부팅후에도자동실행되도록다음레지스트리키에자신을등록해둔다. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32] midi9 =?:\..\ 랜덤한파일명. 확장자는 DAT, BAK, TMP, OLD 중하나 은 Win32/Induc이계속적으로재진단됨으로써지속적으로감염보고건수가 1위를차지고있다. 앞으로이러한문제를해결하기위해서는델파이개발자들이자신이개발한파일을재점검해보고, Win32/Induc에감염되었을경우에는해당파일을새로제작하여배포하는작업을수행하여야한다. 델파이개발자들은지금부터라도본인이개발한파일을점검해보기바란다. 스파이웨어의새로운동작방법 윈도우에서는물리적메모리절약및코드재사용등다양한목적으로 악성코드는앞서언급한것처럼 검은화면에마우스포인터 만나타나는증상과함께일부변형은특정응용프로그램실행을방해하는것이보고되었다. 이것은일부변형에따른다른증상보다는 2가지모두악성코드의버그로밝혀졌다. Daonol의버그는자신이동작중에 ZwOpenKey, ExitProcess 함수등이호출되면응용프로그램들이제대로실행되지못하며자신을로드시간헐적으로특정 Sleep 루틴으로빠지게되는데이때자신이실행되지못하여이후부팅과정도정상적으로진행되지못한다. 안철수연구소에서는이러한악성코드의버그를전용백신을통하여메모리패치하여프로그램들을정상적으로동작시킨다. 아울러프로세스마다생성된악의적인쓰레드를제거하여악성코드가더이상동작하지못하도록해둔다. 이번달국내핫이슈였던 Daonol 트로이목마의의도하지않는동작때문에일부사용자는시스템을정상적으로사용하지못하는피해를입었다. 여기서, 우리가알아야할것은해당악성코드가여전히보안취약점을이용하여감염된다는것이다. 자신이사용하는웹브라우저와 PDF 리더기그리고 SWF 관련응용프로그램에대한보안패치에대한관심을다시한번갖도록하는계기가되었으면한다. Win32/Induc 의꾸준한 1위행진? Win32/Induc이꾸준하게악성코드감염보고건수에서 1위를하는이유는무엇일까? 이유를알기위해서는먼저 Win32/Induc이무엇인지부터정체를알아보자. Win32/Induc 은 Delphi 컴파일러가설치된시스템 (Delphi4~7) 의 SysConst.dcu (Delphi 상수및문자열정의라이브러리 ) 파일을감염시키며자체적으로다른실행파일을감염시키지않는다. 감염된 Delphi 컴파일러에의해서제작된실행파일은 SysConst. dcu 를바이너리상에내포하게되고프로그램시작시 SysConst 프로시저가호출되어다시해당시스템의 Delphi 컴파일러의 SysConst. DLL(Dynamic Link Library) 을사용하고있다. 이 DLL이로드될때는 DLL 검색모드에따라달라지지만가장최우선적으로찾는곳은바로해당어플리케이션이실행된디렉토리이다. 이런구조적인부분을악용한스파이웨어가발견되었다. 해당스파이웨어는윈도우시스템관련 DLL과동일한이름을가지고있으며해당 DLL 파일을사용하는어플리케이션이설치되어있는디렉토리에설치된다. 이렇게하면사용자가해당어플리케이션을실행하면자동으로스파이웨어도함께실행되게된다. [ 그림 1-6] 동일파일명을가진다른 DLL파일 (Export function) [ 그림 1-6] 을보면파일이름만동일하고호출되는함수구조는완전히달라다른파일이존재함을알수있다. 이경우윈도우에서자동으로시작하는항목에등록되지않아도동작이되므로스파이웨어존재사실을손쉽게은폐할수있다. 하지만, 해당 DLL에서제공하는 export 함수를호출할경우정상적인동작을할수없어해당어플리케이션이비정상적으로동작하거나종료될수도있는등다양한부작용이발생될수있다. 세상에서가장안전한이름안철수연구소 03

늘어나는온라인사행성게임최근온라인사행성게임이증가하고있다. 이들은스팸메일, 가짜블로그, 블로그댓글, 휴대폰 SMS(Short Message Service) 등을통해사용자의접속을유도한다. 이들은서버를한국이아닌외국에두고게임이름과사이트를수시로변경하면서불법적으로운영을하고있다. 2. 시큐리티동향시큐리티통계 10월마이크로소프트보안업데이트현황마이크로소프트사로부터발표된이달보안업데이트는총 13건으로긴급 (Critical) 8건, 중요 (Important) 5건이다. [ 그림 2-1] 2009 년 10 월주요 MS 보안업데이트건수 [ 그림 1-7] 온라인사행성게임사이트 온라인사행성게임은게임당일정량의수수료를받고있으며, 게임확률상질수밖에없는구조로만들어져있다. 즉, 게임을하면할수록돈을잃게만들어져있다. 작년유명연예인과운동선수들은물론일반인들이온라인사행성게임을해수사를받는보도를자주접할수있었다. 즉, 우리나라에선이런온라인사행성게임이불법으로규정되어있기때문에한순간호기심에서즐긴게임으로인해법의처벌까지받을수있다. 이들은보다짧은시간내많은이용자들을모으기위해다양한방법을통해사용자의접속과게임을유도하기때문에이런광고에노출될가능성또한더욱더높아지고있다. 이런온라인사행성게임은도박임을명심하고게임을하지않는것이바람직하다. [ 표 2-1] 2009년 10월주요 MS 보안업데이트목록지난 9월에발표된 SMB 취약점에이어 SMBv2의취약점이발표되어해당프로토콜을이용한악성행위가증가할것으로추정된다. 또한 Windows Media Player, Internet Explorer, Microsoft Office 어플리케이션에서도원격으로코드를실행할수있는문제를가지고있기때문에패치가적용되지않았을경우심각한문제를일으킬수있다. AhnLab V3 Internet Security 8.0 04 ASEC Report _ 2009. Vol.10

악성코드침해웹사이트현황 2009년 10월악성코드를위해침해된웹사이트의수와악성코드유포지수는 127/9 로 2009년 9월의 127/7와비교하여유포지가 2건더늘어났다. 아래와같이감염 PC 1 대당, 평균초당 34Kbps 로, 2.1Mbytes 의상당 한트래픽유발시켰다. [ 그림 2-2] 악성코드배포를위해침해된사이트수 / 배포지수 웹브라우저와관련된취약점이발표되지않은지금, 악성코드배포를 위해현재가장널리사용되고있는취약점은지난달과같은 OWC10. Spreadsheet 취약점이다. 이취약점은다음과같은특징을가지고있다. var obj = new ActiveXObject( OWC10.Spreadsheet ); e=new Array(); e.push(1); 현재대부분의 Anti Virus 제품은이런형식을가진 HTML 문서를진단한 다. 따라서사용자의시스템을이러한공격으로부터보호하기위해서는 항상운영체제의보안업데이트를최신상태로유지하고 Anti Virus 제품 을설치하여사용하여야한다. 시큐리티이슈 Win-Trojan/SynAttack.64874 트래픽유발 지난달 Win32/Palevo.worm 을통한네트워크트래픽유발에이어, 또다 시네트워크트래픽을유발시키는 Win-Trojan/SynAttack.64874 이고 객에게피해를주었다. 전체적인동작원리는서비스로등록된후, 공격에필요한정보를원격컨 트롤서버로부터동적으로받아와서 SYN Flooding 공격을수행하는악 성코드이다. [ 그림 2-3] Syn Flooding 공격패킷이러한악성코드를차단하기위해서는보안프로그램을최신업데이트버전으로유지하는것이중요하다. 현재 AhnLab의 TrusGuard와 V3에서는다음과같은진단명으로진단 / 치료하고있다. TrusGuard : malicious_url_20090924_1619(http) V3 : Win-Trojan/SynAttack.648704 (V3진단/ 치료엔진버전 : 2009.09.28.04) Adobe Acrobat and Adobe Reader Deflate Parameter Integer Overflow PDF 파일을만드는어플리케이션프로그램은특정정보를인식이가능한아스키표현으로변환하거나압축하여 encoding할수있다. 그리고, PDF 파일을읽는어플리케이션은오리지널형식으로정보를변환하기위해그에상응하는 decoding filter를부를수있다. 이데이터는 streams 내에저장되며각각의 stream은 Filter와관련이있다. Filter는 stream내데이터가이용되기전에어떻게 decoding 하는지지시하게된다. 몇몇 Filter는그들이어떻게동작할지컨트롤할수있는파라미터를허용하며, 이파라미터들은 DecodeParms 엔트리에명시된다. FlateDecode 필터는 zlib/deflate 압축방식을이용하여암호화된데이터를오리지널텍스트또는바이너리데이터로재생시키기위해푼다. 암호를푸는처리과정을컨트롤하기위해파라미터들이허용되고, 이들파라미터들중몇몇의값은아래와같다. AhnLab Trusguard [ 그림 2-4] 암호해제에사용되는파라미터 세상에서가장안전한이름안철수연구소 05

이들파라미터들의값은 FlateDecode Filter의행동을변경시킨다. 예를들어만약 Predictor 파라미터가 1보다큰다른값을가졌을때, 이필터는연관된데이터가암호화되기이전과는달라졌다고생각하고 Predictor는 prediction algorithm (PNG 또는 TIFF 이미지 ) 를선택하게된다. 이번경우이파라미터 (Colors, BitsPerComponent, Columns) 들은요구되는이미지데이터점유를위한버퍼사이즈결정을위해특정계산에이용된다. Adobe Reader와 Acrobat에는정수오버플로우취약점이존재한다. PDF 파일내에포함되어진 FlateDecode Filters를처리할때, 부적당한 input값의원인이취약점이된다. Predictor 값이 2(TIFF predictor) 로셋팅되었을때, 취약한코드는버퍼사이즈결정을위한계산작업을수행하기전에 Colors 파라미터의값을체크하지않는다. 이러한작업으로부터나온힙버퍼사이즈의할당이있기전에아래와같은 Colors 파라미터값을기반으로계산이수행된다. 월별악성코드발견건수 [ 그림 3-1] 월별악성코드발견건수 2009년 10월악성코드발견건수는전달의 322,550건에비해 73% 수준인 236,108건이다. 월별악성코드유형 colors * 4 + 48 만약 Colors 파라미터의값이 0x3FFFFFEE 또는큰값으로제공된다면, 작은버퍼할당의결과로정수오버플로우가발생한다. 아래는해당취약 점을이용한악성 PDF 파일의일부이다. [ 그림 2-5] 악성 PDF 파일예 해당취약점은공격자가특정코드를실행시킬수있는취약점으로이 미악성코드로배포되었으며, 따라서신속한보안업데이트가필요하다. [ 그림 3-2] 월별악성코드유형 2009년 10월악성코드유형은전달의 921에비해 101% 수준인 937 건이다. 월별악성코드가발견된도메인 3. 웹보안동향 웹보안통계 웹사이트보안요약 [ 그림 3-3] 월별악성코드가발견된도메인 [ 표 3-1] 웹사이트보안요약악성코드발견건수는 236,108건이고, 악성코드유형은 937건이며, 악성코드가발견된도메인은 849건이며, 악성코드발견된 URL은 6,801 건이다. 2009 년 10 월악성코드가발견된도메인은전달의 610 건에비해 139% 수준인 849 건이다. 06 ASEC Report _ 2009. Vol.10

월별악성코드가발견된 URL 으며, Top 10 에 Win-Clicker/SPro.32768.C 등 4 건이새로등장하였다. [ 그림 3-4] 월별악성코드가발견된 URL 2009년 10월악성코드가발견된 URL은전달의 5,075건에비해 134% 수준인 6,801건이다. 악성코드유형별배포수 [ 표 3-2] 월별유형별배포수 [ 표 3-3] 악성코드배포 Top 10 웹보안이슈지속적인악성코드배포에사용되는웹사이트증가중국발해킹부터지속적으로웹사이트보안에대한관심과조치를여러번강조하였으나, 결과적으로악성코드배포경로로사용되는웹사이트는지속적으로증가하는추세이다. 웹보안통계부문에서 월별악성코드가발견된 URL 을보면 6,801건으로전달의 5,075건에비해 134% 증가한것을알수있다. 월별악성코드발견건수 가전달의 236,108건으로전달에비해 27% 가감소하였지만, 악성코드가발견되는 URL이증가하였다는것은사용자가웹사이트를통해악성코드에감염될위험은더높아진것을알수있다. 따라서, 웹사이트관리자에게는본인이관리하는사이트에대한악성코드감염여부를실시간으로체크할수있는사이트가드와같은웹보안제품의사용을권고한다. 하지만무엇보다, 사이트관리자는다수의고객들에게자사의제품이나정보를제공하는것뿐아니라, 보안까지제공한다는사고를가지는것이가장중요할것이다. Win-Adware/Shortcut 류의증가 [ 그림 3-5] 월별유형별배포수악성코드유형별배포수에서 Adware류가 111,397건전체의 47.2% 로 1위를차지하였으며, Trojan류가 29,716건전체의 12.6% 로 2위를차지하였다. 악성코드배포 Top 10 악성코드배포 Top 10에서 Win-Adware/Shortcut.InlivePlayerActiveX.234가지난달보다 1단계상승한 67,225건으로 1위를차지하였 최근에는인터넷사이트에접속시 ActiveX가설치되며사용자의동의없이특정웹사이트로바로가기를유도하는악성코드들의배포가증가하고있다. 이는방문자수의증가를통한금전적이익취득과함께웹사이트홍보를위한용도로사용되고있다. 10월의배포 Top 10에도 Shortcut 류인 Win-Adware/Shortcut.InlivePlayerActiveX.234 가 67,225건으로 1 위를차지하였으며그외에도 Win-Adware/Shortcut.IconJoy.642048 가 4위, Win-Adware/Shortcut.K2Com.Sobang.266240 가 9위를차지하고있어, 웹사이트를통한악성코드배포의주요위험군으로자리잡고있다. 따라서, 사용자들은웹사이트접속시 ActiveX 설치전에동의를요구하는대화창에대한각별한주의를기울여, 문제가발생할수있는 ActiveX 프로그램 ( 제공하는인증서가유효하지않거나, 신뢰할수없는공급자가제공하는프로그램 ) 은설치하지않아야한다. 세상에서가장안전한이름안철수연구소 07