목차 Part Ⅰ. 5 월의악성코드통계 1. 악성코드통계... 2 (1) 감염악성코드 Top 15... 2 (2) 카테고리별악성코드유형... 3 (3) 카테고리별악성코드비율전월비교... 3 (4) 월별피해신고추이... 4 (5) 월별악성코드 DB 등록추이... 4 2. 악성코드이슈분석 네이트온으로전파되는 V.WOM.Nateon.Baidog... 5 3. 허니팟 / 트래픽분석... 9 (1) 상위 Top 10 포트... 9 (2) 상위 Top 5 포트월별추이... 9 (3) 악성트래픽유입추이...10 4. 스팸메일분석...11 (1) 일별스팸및바이러스통계현황...11 (2) 월별통계현황...11 (3) 스팸메일내의악성코드현황...12 Part Ⅱ. 5 월의보안이슈돋보기 1. 5 월의보안이슈...13 2. 5 월의취약점이슈...14 페이지 1
Part Ⅰ 5월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 순위악성코드진단명카테고리 [2010 년 5 월 1 일 ~ 2010 년 5 월 31 일 ] 합계 ( 감염자수 ) 1 1 A.ADV.Admoke Adware 36,251 2 1 S.SPY.Lineag-GLG Spyware 31,400 3 New V.DWN.Agent.2456 Trojan 22,907 4 4 Trojan.Peed.Gen Trojan 15,543 5 10 V.DWN.Agent.262144 Trojan 15,180 6 2 V.WOM.Conficker Worm 14,169 7 4 S.SPY.OnlineGames-H Spyware 12,602 8 3 A.ADV.BHO.IESearch Adware 11,815 9 New V.DWN.Agent.259072 Trojan 9,994 10 New S.SPY.OnlineGames.kb Spyware 9,723 11 New V.BKD.Hupigon.aas Backdoor 9,475 12 6 S.SPY.WoWar Spyware 9,237 13 New Trojan.Generic.3865549 Trojan 8,564 14 New Trojan.Generic.3833102 Trojan 7,845 15 New Trojan.Generic.3924384 Trojan 6,405 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 감염악성코드 Top 15는사용자 PC에서탐지된악성코드를기반으로산출한통계이다. 4월의감염악성코드 TOP 15는 A.ADV.Admoke이 36,251건으로 TOP 15 중 1위를차지하였으며, S.SPY.Lineag-GLG이 31,400건으로 2위, V.DWN.Agent.2456이 22,907건으로 3위를차지하였다. 이외에도 4월에새로 Top 15에진입한악성코드는 7종이다. 이번달의특이사항은전달에비해개별악성코드의감염자수가전체적으로감소하였다. 이는악성코드유포, 경유사이트가 5월에들어크게줄어들었으며, 홈페이지변조사고도줄어든것으로보여진다. 페이지 2
(2) 카테고리별악성코드유형 백도어 (Backdoor) 4% 웜 (Worm) 6% 스파이웨어 (Spyware) 29% 애드웨어 (Adware) 22% 트로이목마 (Trojan) 39% 애드웨어 (Adware) 트로이목마 (Trojan) 스파이웨어 (Spyware) 웜 (Worm) 하이재커 (Hijacker) 바이러스 (Virus) 백도어 (Backdoor) 악성코드유형별비율은트로이목마 (Trojan) 가 39% 로가장많은비율을차지하고, 애드웨어 (Adware) 가 22%, 스파이웨어 (Spyware) 가 29% 의비율을각각차지하고있다. 이번에 39% 의가장높은비율을차지한트로이목마 (Trojan) 는보안이취약한웹사이트에서유포된경우가많이발견되었다. (3) 카테고리별악성코드비율전월비교 하이재커 (Hijacker) 트로이목마 (Trojan) 취약점 (Exploit) 웜 (Worm) 애드웨어 (Adware) 스파이웨어 (Spyware) 백도어 (Backdoor) 바이러스 (Virus) 0.00% 0.00% 30.13% 39.05% 4.91% 0.00% 10.01% 6.40% 21.65% 21.83% 33.30% 28.44% 0.00% 4.28% 0.00% 0.00% 4 월 5 월 0% 20% 40% 60% 80% 100% 카테고리별악성코드비율을전월과비교하면, 백도어 (Backdoor) 의경우전달에비해 4.28% 정도비율이증가하였고트로이목마 (Trojan) 또한 9% 정도증가하였다. ( 바이러스, 취약점등의경우 Top15를기준으로했을때차지하는비율이없다는것이다.) 페이지 3
(4) 월별피해신고추이 [2009 년 4 월 ~ 2010 년 5 월 ] 6 월 7 월 8 월 9 월 10 월 11 월 12 월 1 월 2 월 3 월 4 월 5 월 알약사용자의신고를합산에서산출한결과임 월별피해신고추이는알약사용자의신고를합산해서산출한결과로써, 월별신고건수를나타내는그래프이다. 5월의경우전달보다신고건수가감소했으며개별악성코드의감염자수가전체적으로감소와맞물려나타난것으로보여진다. (5) 월별악성코드 DB 등록추이 [2009 년 06 월 ~ 2010 년 5 월 ] 200906 200907 200908 200909 200910 200911 200912 201001 201002 201003 201004 201005 Adware Spyware Hijacker KeyLogger Exploit RAT Trojan Worm Backdoor Downloader Dropper Misc 페이지 4
Part Ⅰ 5 월의악성코드통계 2. 악성코드이슈분석 네이트온으로전파되는 V.WOM.Nateon.Baidog 네이트온메신저를이용해전파되는 V.WOM.Nateon.Baidog 악성코드는기존에네이트온로그인계정을탈취하여특정사이트에보내는것이대부분이었지만최근에는네이트온계정뿐만아니라던전앤파이터와넥슨홈페이지계정도탈취하는기능도추가되었다. 게다가백신의보안메커니즘을우회하는코드도포함되어더욱막강해진위력 (?) 을자랑한다. <V.WOM.Nateon.Baidog 악성코드의흐름 > 최초실행파일 (exe) 를실행하면 PC에여러파일이추가로생성되며, 여기서가장중요한파일은두개의 DLL 파일 (Psystem.ttf, WinDat.ttf; 내부는 DLL 형태 ) 과한개의.sys 파일이다. 여기서 DLL 파일들은계정을탈취하는기능을가지고있으며,.sys 파일 (SysMan.sys) 는 PC 에설치된백신제품을무력화시키는기능을수행한다. 1) 최초 exe 파일분석최초 exe 파일은주로추가적인파일을생성하고실행하는역할을담당한다. 1 다음파일이존재하는지확인하고, 존재한다면삭제한다. %FONTS%\psystem.ttf %FONTS%\Lin.log %WINDOWS%\system\Klpk.exe C:\5.ini 2 리소스부터 psystem.ttf 파일을 Drop한다. 3 5.ini 파일을생성하여 exe 파일의경로를저장한다. 4 psystem.ttf을실행시킨다. 5 Psystem.ttf의 export 함수인 KaiShi의주소를구해서호출한다. 6 자기자신을삭제하기위해 del[random].bat를생성하여실행한다. 페이지 5
2) psystem.ttf 파일분석 psystem.ttf은모든프로세스에삽입 (injection) 되어계정을탈취하는역할을한다. 최초실행파일 (exe) 은 psystem.ttf를로드하고 KaiShi 함수를호출한다. KaiShi는중국어로 시작하다 라는뜻을가지고있다. < 그림 : Hex-rays 로본 KaiShi 함수 > KaiShi는 SetWindowsHookExA 함수를사용해 WH_GETMESSAGE 메시지에대한 hook을걸어둔다. 다른프로세스에서해당메시지가발생하면 HOOKPROC인 fn함수를호출하기위해 fn 함수가있는 dll 파일을로드하게된다. 즉, 프로세스에 dll 파일이삽입되고 dll 파일이로드되는과정에서 DllEntryPoint함수가실행된다. 이함수에는계정을탈취하는악성코드가존재한다. < 그림 : DllEntryPoint 함수 > Dll이삽입된프로세스가탐색기 (explorer), 던전앤파이터 (dnf), 인터넷익스플로러 (iexplore) 네이트온 (nateonmain) 일경우쓰레드를생성하여해당루틴을실행한다. Explorer Thread 1 KaiShi 함수를호출해 Hook을걸어둔다. 2 5.ini 파일에저장되어있는파일경로 ( 최초 EXE를 ) %FONTS%\Lin.Log로복사하고, 백신의탐지를피하기위해 MZ 파일헤더를 ML 로바꾼다. 3 5.ini 파일을삭제하고쓰레드를하나더생성한다. 페이지 6
4 새로생성된스레드는파일의리소스영역에서두개의파일을 Drop하고실행하는일을한다. 리소스영역에서 WinDat.ttf와 SysMan.Sys 파일을 Drop한다. 5 두파일의헤더를 MZ 로변경하고, SysMan.sys를 SystemFilse라는서비스로등록하여실행한다. 그후 SysMan.sys 파일을삭제한다. 만약백신로의심되는프로세스가존재할경우 HLM의Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify에서 systment 키를삭제한다. 백신제품이 PC에없다고판단될경우위의키에아래의값을생성한다. StartShell;QiDongHan DLLName;WinDat.ttf Asynchronous;1 Impersonate;0 6 프로세스목록을검사하여 dnf.exe, iexplore.exe, nateonmain.exe 프로세스가존재하면레지스트리 HLM의 SOFTWARE\Microsoft\Windows\CurrentVersion\Run에서모백신제품의 Tray Process 키를삭제한다. 마지막으로 Lin.log파일의헤더를 ML 로바꾸고 Klpk.exe라는이름으로복사한다. dnf Thread 1 던전앤파이터프로세스에서다음의코드를찾는다. 코드 1> 8D 8E 95 00 00 00 lea ecx, [esi+95h] 51 push ecx 53 push ebx 52 push edx FF 50 58 call dword ptr [eax+58h] 코드 2> 89 75 F0 mov [ebp-10h], esi C7 45 E8 04 00 00 00 mov dword ptr [ebp-18h], 4 C7 45 EC 00 00 00 00 mov dword ptr [ebp-14h], 0 C7 45 E4 FF FF FF FF mov dword ptr [ebp-1ch], 0FFFFFFFFh 8D BE C8 01 00 00 lea edi, [esi+1c8h] 78 31 js short near ptr unk_1000506d 2 RtlLeaveCriticalSection 함수를 inline patch( 후킹 ) 하여사용자계정을탈취한다. 탈취한정보를아래의양식으로 TingSting.dll에저장한다. [MIZI] ZHao -> 사용자계정 MmA -> 패스워드 QuBie -> ZuoBian YouBian 그후 http://www.axxxxxxx.com/dxxxxx/sxx.asp 로계정과패스워드를전송한다. ( 모자이크 ) 페이지 7
iexplore Thread HttpSendRequestA과 HttpSendRequestW 함수를후킹하여로그인시전송되는 URL을가로채아이디와패스워드를추출한다. HttpSendRequest 함수의네번째파라미터인 lpoptional 값을감시한다. 이파라미터는 POST와 PUT 오퍼레이션에사용된다. lpoptional 값이다음의형태이면아이디와패스워드부분을추출하여악성웹사이트로전송한다. strnexonid=< 아이디 >strpassword=< 패스워드 > login_mode_login&??&id=< 아이디 >&pw=< 패스워드 > nateonmain Thread 네이트온에서사용되는 CKAppEx.dll을 Hooking하여아이디와패스워드를탈취한다. CKAppEx.dll 파일의베이스주소를구하고, 베이스주소 +0x5035에있는명령어가다음과같다면그곳을 inline patch 한다. 50 PUSH EAX 83C4 C4 ADD ESP,-3C 이부분이실행될때 esi와 edi에사용자아이디와패스워드정보가담긴메모리주소를가지고있기때문에이레지스터값을추출하여계정정보를얻을수있다. 이렇게얻은계정정보는악성사이트로전송시킨다. 3) SysMan.sys 파일분석 SysMan.sys는서비스로실행되는드라이버로백신의보호모드를우회하기위해커널메모리를변조하여훅을설치한다. 위의경우는계정을탈취하기위한것이었으나이번경우는모백신의 SSDT inline hooking 을회피하기위해훅을설치하였다. 그후프로세스목록을구해그중 V백신제품관련프로세스가있으면해당프로세스를강제로종료시킨다. 마지막으로 PsSetCreateProcessNotifyRoutine 함수를사용하여 V백신관련프로세스를감시한다. 이함수는프로세스가생성되거나삭제되었을때호출되는콜백함수를설치한다. 콜백함수는생성된프로세스가관련된프로세스라면해당프로세스를종료시키는일을한다. 4) 결론계정탈취는아이디와패스워드가넘어가는루틴을찾아서그곳을 inline patch 해정보를획득하는방식이었다. 그리고백신의보호모드를회피하기위해보호루틴이시작되기직전에다른곳으로뛰어서보호루틴을우회하기도하였다. 악성코드제작자는악성코드의목적을완수하기위해타겟을정밀하게분석하였다는것을알수있다. 이처럼악성코드는특정타겟을대상으로정밀하게분석후핵심을공격하기때문에백신제품에서도그에대응하기위한많은노력이필요하다. 페이지 8
Part Ⅰ 5월의악성코드통계 3. 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 1433 TCP 2% 135 TCP 96% 3306 TCP 1% 135 TCP 1433 TCP 3306 TCP 25 TCP 8000 TCP 110 TCP 1080 TCP 4899 TCP 2967 TCP 8080 TCP 5월에도 TCP 135번을통한악성트래픽유입이많았으며, 취약점을통해악성코드가침투한후같은네트워트대역단에서추가감염 PC를만들기위해 Brute-force 공격 ( 아이디와패스워드의리스트를사전 (Dictionary) 형식으로가지고있다가대입 ) 을수행하는경우가가장많이이용되고있다. (2) 상위 Top 5 포트월별추이 [2010 년 3 월 ~ 2010 년 5 월 ] 500000 400000 300000 200000 100000 135 1433 21 3306 25 0 2010-03 2010-04 2010-05 전체적으로악성트래픽유입이증가했으나 135번이외의포트들의악성트래픽유입은계속적으로미미한상태이다. 외부에서 135번포트로접근이불필요한경우방화벽이나 IPS에서차단하는것이보안예방효과에좋다. 페이지 9
(3) 악성트래픽유입추이 [2009 년 12 월 ~ 2010 년 5 월 ] 45000000 40000000 35000000 30000000 25000000 20000000 15000000 10000000 5000000 0 2009-12 2010-01 2010-02 2010-03 2010-04 2010-05 지난달에비해악성트래픽유입이크게증가하였다. 자신이즐기는게임과관련된맵핵, 오토, 프리서버나유료프로그램을공짜로사용하게하는크랙, 등록번호생성기등남을속이는행위에쓰이는자료일수록악성코드를숨겨놓을가능성이높으므로사용을자제해야한다. 웹서핑중사회적이슈가되는검색결과에대한자료는항상주의해야하며, PC사용중가장많이쓰이는프로그램을사용자스스로가업데이트를체크하는습관이필요하다. 페이지 10
Part Ⅰ 5월의악성코드통계 3. 스팸메일분석 (1) 일별스팸및바이러스통계현황 50,000 45,000 40,000 35,000 30,000 25,000 20,000 15,000 10,000 5,000 0 바이러스스팸 2010-05-01 2010-05-03 2010-05-05 2010-05-07 2010-05-09 2010-05-11 2010-05-13 2010-05-15 2010-05-17 2010-05-19 2010-05-21 2010-05-23 2010-05-25 2010-05-27 2010-05-29 2010-05-31 일별스팸및바이러스통계현황그래프는하루에수신된악성코드첨부, 스팸메일의개수를나타낸그래프이다. 5월의경우남아공월드컵과관련된내용의악성코드메일유포사례가보고되었다. (2) 월별통계현황 [2009 년 12 월 ~ 2010 년 5 월 ] 2,500,000 2,000,000 1.5% 1,500,000 3.2% 3.4% 1,000,000 3.7% 2.6% 98.4 2.5% 바이러스 스팸 500,000 96.7 96.5 96.2 97.3 97.4 0 12 월 1 월 2 월 3 월 4 월 5 월 페이지 11
월별통계현황은악성코드첨부및스팸메일이전체메일에서차지하는비율을나타내는그래프이다. 5월달스팸메일은 97.4%, 바이러스메일은 2.5% 를차지하였다. 4월에비해스팸메일이약 1% 감소하였으며, 바이러스메일은약 1.0% 증가하였다. (3) 스팸메일내의악성코드현황 [2010 년 5 월 1 일 ~ 2010 년 5 월 31 일 ]ff 순위 악성코드진단명 메일수 [ 개 ] 비율 [%] 1 W32/Virut-T 11,811 41.74% 2 Mal/ZipMal-B 4,201 14.85% 3 W32/MyDoom-H 4,053 14.32% 4 W32/Mytob-C 2,470 8.73% 5 W32/MyDoom-BZ 1,077 3.81% 6 Troj/CryptBx-ZP 830 2.93% 7 VPS-090709-DDoS-2 684 2.42% 8 Troj/Invo-Zip 382 1.35% 9 W32/Sality-I 371 1.31% 10 Mal/BredoZp-B 335 1.18% 스팸메일내의악성코드현황은 3월바이러스메일에서발견된악성코드중 Top 10을뽑은그래프이다. 현재 W32/Virut-T이 41.74% 로계속 1위를차지하고있다. 2위는 14.85% 를차지한 Mal/ZipMal-B, 3위는 14.32% 를차지한 W32/MyDoom-H이다. 특히, 5월달에는 Bredolab과관련된악성코드스팸메일들이새롭게등장했으며, Bredolab 악성코드확산이활발함을알수있다. 페이지 12
Part Ⅱ 5 월의이슈돋보기 1. 5 월의보안이슈 5월에는가짜백신으로 1억달러수익을챙긴일당적발, 사이버위협경보 관심 으로상향조정, 좀비 PC 방지법소식등다양한보안이슈들이많았습니다. 해외가짜백신으로 1억달러수익을챙긴일당적발컴퓨터가허위로악성코드에감염되었다고알려결제를유도하는가짜백신을제작한일당이미국당국에적발되었습니다. 이들은가짜백신을통해전세계적으로 1억달러에달하는어마어마한금액을벌어들였다고하며, 유령광고회사들을차려가짜광고를올리는사업또한벌였다고합니다. 방송통신위원회좀비 PC 방지법제정초읽기방송통신위원회에서는 2/4분기 (6월까지) 악성프로그램확신방지등에관한법률 ( 이하좀비PC 방지법 ) 을추진할계획을밝혔습니다. 이번에추진될좀비 PC 방지법에서는좀비 PC의사이버치료체계를구축하는것을목적으로 7.7 DDoS 같은국가적인사이버위기상황에서긴급대응이가능한전용백신을배포하며, 백신회사홈페이지이외에도포털및주요사이트에서도함께다운로드받을수있게합니다. 방송통신위원회사이버위협 관심 경보발령국가정보원과방송통신위원회, 행정안전부에서는천안함조사결과발표와 6.2 지방선거등국가적이슈상황을틈타사이버공격시도를사전에차단하기위해 관심 단계로사이버위협경보를한단계상향조정하였습니다. 현재까지큰국가적사이버공격사례가발견되지는않았지만 7.7 DDoS 공격 1주년을기념해추가적인공격이재발할수있으므로보안업체와정부기관에서는긴장의끈을놓지않고있습니다. 페이지 13
Part Ⅱ 5 월의이슈돋보기 2. 5 월의취약점이슈 Microsoft 5월정기보안업데이트 Outlook Express, Windows Mail, Visual Basic for Applications(VBA) 의취약점으로인한원격코드실행문제해결등을포함한 5월정기보안업데이트를발표하였습니다. < 해당제품 > Microsoft Outlook Express (MS10-030) Microsoft Windows Mail (MS10-030) Microsoft Windows Live Mail (MS10-030) Microsoft Office XP/2003/2007 (MS10-031) Microsoft Visual Basic for Applications, SDK (MS10-031) < 취약점목록 > MS10-030 (978542) : Outlook Express 및 Windows Mail의원격코드실행문제점 MS10-031 (978213) : Microsoft Visual Basic for Applications의원격코드실행문제점 < 해결책 > Windows Update를수행하거나 Microsoft 보안공지요약사이트에서해당취약점들의개별적인패치파일을다운로드받을수있습니다. 한글 : http://www.microsoft.com/korea/technet/security/bulletin/ms10-may.mspx 영문 : http://www.microsoft.com/technet/security/bulletin/ms10-may.mspx Microsoft Windows Canonical Display Driver (cdd.dll) 취약점 Canonical Display Driver (cdd.dll) 에서원격코드실행이가능한취약점이발견되었습니다. 이취약점을통해원격코드실행가능성은메모리랜덤화 (memory randomization) 기술로인해낮을수있으나시스템정지혹은재시작 (reboot) 될수있습니다. 이취약점은윈도우 Aero 테마가적용된경우에만영향을받습니다. < 해당제품 > Microsoft Windows 7 x64 CPU 환경 Microsoft Server 2008 R2 (x86, Itanium CPU 환경 ) (Windows 2000/XP/2003/Vista/2008/7 32bit CPU 환경은해당되지않습니다.) < 임시해결책 > 현재공식적인보안패치가제공되지않는제로데이 (Zeroday) 상태이므로윈도우의 Aero 테마를비활성화 (disable) 시켜둡니다. 홈페이지 : http://www.microsoft.com/technet/security/advisory/2028859.mspx 페이지 14
Contact us 이스트소프트알약보안대응팀 Tel : 02-881-2364 E-mail : help@alyac.co.kr : 알약사이트 : www.alyac.co.kr 페이지 15