Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights res

Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved. AhnLab Security Emergency response Center REPORT ASEC REPORT VOL.15 211.4 안철수연구소월간보안보고서 1. 이달의보안동향 2. 211 년 1 분기보안동향 3. 해외보안동향

AhnLab Security Emergency response Center ASEC (AhnLab Security Emergency response Center) 는악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는 안철수연구소의 ASEC에서작성하며, 매월발생한주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 자세한내용은안랩닷컴 (www.ahnlab.com) 에서확인하실수있습니다. CONTENTS 1. 이달의보안동향 1. 악성코드동향 - 악성코드대표진단명감염보고 1 분기 Top 2 - 악성코드유형별 1 분기감염보고비율 - 1 분기신종악성코드감염보고 Top 2-1 분기신종악성코드유형별분포 a. 악성코드통계 5 b. 악성코드이슈 25 - 악성코드감염보고 Top 2 - 악성코드대표진단명감염보고 Top 2 - 악성코드유형별감염보고비율 - 악성코드유형별감염보고전월비교 - 악성코드월별감염보고건수 - 신종악성코드감염보고 Top 2 - 신종악성코드유형별분포 - 정교한타깃공격에기반을둔 APT 위협과관련보안사고들 - 다양한언어를지원하도록제작되는악성코드들 - 클라우드에기반을둔보안제품을공격하는악성코드 - 7.7 DDoS 를업그레이드한 3.4 DDoS 공격 - SNS 를이용한악성코드의다양한형태로증가 - 실제백신으로위장한허위백신들 - 본격적인모바일악성코드의양산 b. 악성코드이슈 1 - 라우터장비를 DoS 공격하는악성코드 - 또다른 ARP Spoofing 악성코드 - ActiveX 형태로설치되는악성코드 - V3 실행여부에따른 imm32.dll 패치방식의변화 2. 시큐리티동향 a. 시큐리티통계 13-3 월마이크로소프트보안업데이트현황 - 악성코드침해웹사이트현황 2. 시큐리티동향 a. 시큐리티통계 27-211 년 1 분기마이크로소프트보안업데이트현황 b. 시큐리티이슈 28 - 윈도그래픽렌더링엔진취약점. CVE-21-397 - MS 인터넷익스플로러취약점. CVE-21-3971 - MS11-6 취약점악용악성코드 - 211 스톰웜봇넷 b. 시큐리티이슈 15 3. 웹보안동향 - Adobe Flash Player Memory Corruption (CVE-211-69) - Fraudulent Digital Certificates Could Allow Spoofing 3. 웹보안동향 a. 웹보안통계 16 - 웹사이트보안요약 - 월별악성코드배포 URL 차단건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포순위 b. 웹보안이슈 19-211 년 3 월 - 침해사이트현황 ' 2. 211 년 1 분기보안동향 1. 악성코드동향 a. 웹보안통계 29 - 웹사이트보안요약 - 월별악성코드발견건수 - 월별악성코드유형 - 월별악성코드가발견된도메인 - 월별악성코드가발견된 URL - 악성코드유형별배포수 - 악성코드배포 Top 1 3. 해외보안동향 1. 일본 1 분기악성코드동향 33 -- 컨피커웜과안티니웜의지속적인피해발생 - 오토런악성코드의지속적인피해발생 - 일본지진관련정보로위장한악성코드유포 2. 세계 1 분기악성코드동향 36 - 악성코드의지역화 - 안드로이드기반악성코드증가 - 악성코드배포방식및공격동향 a. 악성코드통계 21 - 악성코드감염보고 1 분기 Top 2

Web 5 6 1. 이달의보안동향 1. 악성코드동향 a. 악성코드통계 악성코드감염보고 Top 2 악성코드대표진단명감염보고 Top 2 211 년 3 월악성코드통계현황은다음과같다. 211 년 3 월의악성코드감염보고는 TextImage/ Autorun 이 1 위를차지했다. 뒤를이어 JS/Agent 와 Win-Trojan/Winsoft22.Gen 이각각 2 위와 3 위를차 지하였다. 신규로 Top2 에진입한악성코드는총 8 건이다. 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진단명에따라정리한것이 다. 이를통해악성코드의동향을파악할수있다. 211 년 3 월의감염보고건수는 Win-Trojan/ Onlinegamehack 이총 1,962,214 건으로 Top 2 중 18.1% 를차지하여 1 위에올랐으며, Win-Trojan/ Downloader 가 1,329,344 건으로 2 위, Win-Trojan/Agent 가 1,162,549 건으로 3 위를차지하였다. 순위등락악성코드명건수비율 순위등락악성코드명건수비율 1 TextImage/Autorun 1,13,8 27. % 1 Win-Trojan/Onlinegamehack 1,962,214 18.1 % 2 14 JS/Agent 438,8 1.7 % 2 3 Win-Trojan/Downloader 1,329,344 12.3 % 3 NEW Win-Trojan/Winsoft22.Gen 33,274 8.1 % 3 1 Win-Trojan/Agent 1,162,549 1.7 % 4 NEW JS/Redirect 27,83 6.6 % 4 2 TextImage/Autorun 1,13,186 1.2 % 5 Win32/Induc 239,393 5.9 % 5 1 Win-Trojan/Adload 554,36 5.1 % 6 Win-Trojan/Overtls11.Gen 173,431 4.2 % 6 NEW Win-Adware/KorAdware 541,211 5. % 7 5 Win32/Palevo1.worm.Gen 153,717 3.8 % 7 4 Win-Trojan/Winsoft 456,935 4.2 % 8 4 Win-Trojan/Patched.CR 136,742 3.3 % 8 NEW JS/Agent 438,8 4.1 % 9 1 Win32/Parite 13,326 3.2 % 9 Win32/Autorun.worm 41,916 3.8 % 1 NEW JS/Downloader 117,856 2.9 % 1 Win32/Conficker 389,747 3.6 % 11 9 Win-Trojan/Overtls15.Gen 116,86 2.9 % 11 NEW Win-Trojan/Winsoft22 33,274 3.1 % 12 3 Win32/Conficker.worm.Gen 113,579 2.8 % 12 Win32/Virut 297,541 2.8 % 13 1 Win32/Olala.worm.57344 18,192 2.7 % 13 NEW JS/Redirect 27,83 2.5 % 14 NEW Win-Trojan/Adload.512.FH 17,51 2.6 % 14 Win32/Kido 247,92 2.3 % 15 8 JS/Cve-21-86 94,232 2.3 % 15 NEW Win-Trojan/Killav 245,67 2.3 % 16 NEW Win-Downloader/Enlog.41728 93,367 2.3 % 16 3 Win32/Induc 239,682 2.2 % 17 NEW JS/Exploit 92,895 2.3 % 17 9 Win-Trojan/Patched 227,461 2.1 % 18 NEW VBS/Solow.Gen 87,86 2.2 % 18 3 Dropper/Onlinegamehack 218,758 2. % 19 NEW Win32/Virut.F 87,228 2.1 % 19 1 Dropper/Malware 22,439 1.9 % 2 1 VBS/Autorun 87,25 2.1 % 2 NEW Win-Trojan/Ldpinch 186,566 1.7 % 4,83,71 1 % 1,815,575 1 % [ 표 1-1] 악성코드감염보고 Top 2 [ 표 1-2] 악성코드대표진단명감염보고 Top 2

Web 7 8 악성코드유형별감염보고비율 악성코드월별감염보고건수 아래차트는 211 년 3 월한달동안안철수연구소가집계한악성코드유형별감염비율을분석한결 과다. 211 년 3 월의감염보고건수중악성코드를유형별로살펴보면, 감염보고건수비율은트로잔 3 월의악성코드월별감염보고건수는 18,626,994 건으로, 2 월의악성코드월별감염보고건수 18,13,21 건에비해 613,973 건이증가하였다. (TROJAN) 류가 52.8% 로가장많은비율을차지하였으며, 웜 (WORM) 이 11.2%, 스크립트 (SCRIPT) 가 9.9% 를차지하고있다. Trojan 52.8% Worm 11.2% 2,, 18,, 18,13,21 +1.4% 18,626,994 +1.3% Script 9.9% ETC 8.9% Virus 6.5% 16,, 17,34,23-5.2% Adware 6.5% Dropper 3.6% 14,, Downloader 1.8% Appcare.6% 12,, Spyware.4% 211.1 211.2 211.3 [ 그림 1-1] 악성코드유형별감염보고비율 [ 그림 1-3] 악성코드월별감염보고건수 악성코드유형별감염보고전월비교 악성코드유형별감염보고비율을전월과비교하면, 스크립트, 애드웨어 (ADWARE), 다운로더 (DOWNLOADER), 애프케어 (APPCARE) 가전월에비해증가세를보이고있는반면, 트로잔, 웜, 바이러스 (VIRUS), 드롭퍼 (DROPPER) 는전월에비해감소한것을볼수있다. 스파이웨어 (SPYWARE) 계열들은전월수준을유지하였다. 신종악성코드유형별분포 3 월의신종악성코드유형별분포는트로잔이 79% 로 1 위를차지하였다. 그뒤를이어애드웨어가 14%, 드롭퍼가 4% 를각각차지하였다. 75% 5% 56.2% 52.8% Trojan 79% Adware 14% 25% 4.9% 6.5%.5%.6% % % 1.2% 1.8% 4.1% 3.6% 9.4% 8.9% % % 6.5% 9.9%.4%.4% 5.1% 4.5% 11.7% 11.2% Dropper 4% Downloader 1% Worm 1% ETC 1% Cliker Appcare Adware ETC Dropper Downloader Exploit Script Trojan Spyware Virus Worm [ 그림 1-4] 신종악성코드유형별분포 [ 그림 1-2] 악성코드유형별감염보고전월비교

Web 9 1 악성코드감염보고 Top 2 아래표는 3 월에신규로접수된악성코드중고객으로부터감염이보고된악성코드 Top 2 이다. 3 월의 신종악성코드감염보고 Top 2 은 Win-Trojan/Adload.512.FH 가 17,51 건으로전체 11.1% 를차지 1. 악성코드동향 b. 악성코드이슈 하여 1 위에올랐으며, Win-Trojan/Agent.352256.EM 이 77,644 건으로 2 위를차지하였다. 순위악성코드명건수비율 1 Win-Trojan/Adload.512.FH 17,51 11.1 % 2 Win-Trojan/Agent.352256.EM 77,644 8. % 3 Win-Adware/KorAdware.8192.E 67,324 6.9 % 4 Win-Trojan/Adload.512.FJ 65,137 6.7 % 5 Win-Adware/KorAdware.8616.E 62,284 6.4 % 6 Win-Adware/KorAdware.8192.H 52,4 5.4 % 7 Win-Trojan/Adload.512.FO 48,53 5. % 8 Win-Adware/KorAdware.323584 45,4 4.6 % 9 Win-Trojan/Onlinegamehack.6524.M 44,94 4.6 % 1 Win-Trojan/Agent.352256.ES 42,66 4.3 % 11 Win-Adware/KorAdware.8616.D 38,6 4. % 12 Win-Trojan/Ldpinch.453632 38,475 4. % 13 Win-Trojan/Onlinegamehack.18544.P 37,889 3.9 % 14 Win-Adware/KorAdware.124 36,99 3.8 % 15 Win-Trojan/Agent.159791 36,893 3.8 % 16 Win-Trojan/Onlinegamehack.12912.AF 36,515 3.8 % 17 Win-Trojan/Agent.352256.EL 34,38 3.5 % 18 Win-Trojan/Killav.77396 33,629 3.5 % 19 Win-Trojan/Adload.512.HM 32,634 3.4 % 2 Win-Trojan/Ldpinch.438784 32,194 3.3 % 97,588 1 % [ 표 1-3] 신종악성코드감염보고 Top 2 라우터장비를 DoS 공격하는악성코드 3월 1일중남미지역을중심으로라우터 (Router) 장비들에대한서비스거부공격 (Denial of Service) 을수행하는악성코드가유포되었다. 해당악성코드는유닉스 (Unix) 와리눅스 (Linux) 시스템에서동작하는 ELF 파일이며 ARM CPU 연산을통해실행된다. 해당악성코드는악성코드내지정된러시아와미국의특정시스템에존재하는 IRC 채널로접속하고오퍼 (IRC Operator) 가내리는명령들을수행한다. [ 그림 1-5] 악성코드의 IRC 명령일부분 IRC 채널로해당악성코드가성공적으로접속하게되면다음의명령들을수행하게된다. 과유사한형태로되어있으며윈도정상파일인 userinit.exe 파일을교체하는특징이있다. 이악성코드가실행되면 ARP Spoofing 공격을통해동일네트워크대역내시스템들의게이트웨이 MAC 주소를감염된시스템의 MAC 주소로변조하고, 공격을받는시스템의사용자가웹브라우저를통해어떠한웹사이트를방문하더라도악성코드를유포하는스크립트가삽입되어실행되게된다. 이스크립트는웹브라우저보안취약점이있을때실행되며동일네트워크대역의시스템중취약점패치가되지않은시스템은악성코드에감염되고, 네트워크장애까지발생할수있다. 악성코드에감염된시스템은 [ 그림 1-6] 과같이 ARP 요청패킷을브로드캐스트하여공격대상시스템을찾는다. [ 그림 1-6] ARP 요청패킷 - 라우터관리자계정에대한암호대입 - 특정 IP에대한 UDP Flooding 공격 - 라우터에설정된서브넷 (Subnet) 변조 - 파일내려받기 - 프로세스강제종료 - 파일실행라우터장비를대상으로 DoS 공격을수행하는악성코드는 V3 제품군에서다음과같이진단한다. - Linux/Kaiten.5737 또다른 ARP Spoofing 악성코드올해 3월 4일에발생한 3.4 DDoS 공격 직후 ARP Spoofing 악성코드피해사례가동시다발적으로보고되었다. 이악성코드는 21년 8월이후에나온변형과는다른형태로, 윈도정상파일 [ 그림 1-7] 과같이 ARP 응답패킷을보내어게이트웨이 MAC 주소를감염된시스템의 MAC 주소로변조한다. [ 그림 1-7] ARP 응답패킷 ARP Spoofing 공격을받는시스템은웹사이트접속시 [ 그림 1-8] 과같이악성코드를유포하는스크립트가삽입되어실행된다. [ 그림 1-8] 의 ar.js 스크립트는다음과같이웹브라우저버전별로 iframe을통해웹페이지가열리게되어있다.

Web 11 12 [ 그림 1-8] 웹페이지에삽입되는스크립트 - Win-Trojan/Agent.95853156 - Win-Trojan/Agent.1199838 - Win-Trojan/Agent.95853156.B - Win-Trojan/Agent.2464.XE - Win-Trojan/Downloader.256.IM - Trojan/Win32.OnlineGameHack - Exploit/Cve-21-397 이 ActiveX 컨트롤설치스크립트가삽입되어유포가된것으로추정하고있으며, 보안업체의분석을회피하기위해악성파일에코드사이닝 (Code Signing) 을수행하여배포된특징이있다. - <object classid="clsid:425e3876-5b-4d6b-a7b- F7FFD35AC7" codebase="http://www.h**il**.com/flash/ banner/.**.cab#version=1,,,1" width="" height=""></object> [ 그림 1-13] 정상윈도시스템파일의변경코드부분 ActiveX 형태로설치되는악성코드 웹사이트방문시 ActivceX 형태로설치되는파일에는유효한디지 포털사이트카페에서 ActiveX 형태로설치되는동영상플레이어로위 털서명정보가있더라도무의식적으로설치하지말아야하며, 인증 장한악성코드가발견되어보고되었다. 일반적으로웹브라우저를통해 서유효기간및연대서명이있는지확인후설치하는습관이필요하 서명되지않은 ActiveX 컨트롤은내려받지않지만, 이악성코드는유효 다. V3 제품군에서는다음과같이진단및치료할수있다. - IE 6. : <iframe src=http://74.**.**.57:82/shop/main/blank3. html width= height=></iframe> - IE 7. : <iframe src=http://74.**.***.57:82/shop/main/ blank2.html width= height=></iframe> - IE 8. : <iframe src=http://74.**.***.57:82/shop/main/ blank1.html width= height=></iframe> 한디지털서명정보가포함되어있어 [ 그림 1-9], [ 그림 1-1] 과같이특정카페에방문시 ActiveX 컨트롤설치가필요하다고나타난다. [ 그림 1-9] 카페방문시나타나는 ActiveX 컨트롤설치확인메시지 - Win-Trojan/Downloader.286616 V3 실행여부에따른 imm32.dll 패치방식의변화 몇년전부터인터넷에존재하는취약한웹사이트들을악용하여온라인게임의사용자정보를유출하는악성코드들이다수유포되기시작하였다. 과거에는단순하게사용자의키보드입력이나웹페이지입력정보들만을가로채어인터넷에존재하는특정시스템으로전송 해당파일에덮어쓰기를완료하게되면익스포트 (Export) 함수포워딩 (Forwarding) 을이용하여악성코드자신의코드를실행하게된다. [ 그림 1-14] 악성코드의익스포트함수포워딩 웹브라우저에보안취약점 (MS1-18, MS11-3) 이있으면악성 하는트로이목마형태였지만최근에는윈도시스템에존재하는정상 스크립트가실행되면서아래파일을내려받아실행된다. 시스템파일들의특정부분을악성코드를실행시키는코드로변경하 - http://g3.***.in:82/imes/****/scvhost.txt [ 그림 1-1] ActiveX 설치보안경고 는패치 (Patch) 형태로유포되고있다. 최근발견된온라인게임관련악성코드들을분석하는과정에서 V3의설치및실행여부에따라서 svchost.txt 파일이실행되면다음과같이 ARP Spoofing 공격을수행하는악성코드와온라인게임계정정보를탈취하는악성코드가설치된다. - C:\WINDOWS\Temp\dllhost.exe - C:\WINDOWS\Temp\conime.exe - C:\WINDOWS\Tasks\c29eb7a17\svchost.exe - C:\WINDOWS\MicrosoftManagementConsole_.dll - C:\WINDOWS\system32\userinit.exe ActiveX 컨트롤이름은국내유명동영상플레이어로위장하고있지만, 게시 윈도시스템파일중하나인 imm32.dll 에대한패치방식이달라지는것으로분석되었다. 해당윈도시스템파일인 imm32.dll 파일을패치하는악성코드는먼저감염된시스템에서 V3 관련프로세스가실행중인것을 [ 그림 1-12] 와같이확인한다. [ 그림 1-12] V3 관련프로세스확인코드부분 만약감염된시스템에 V3가설치되어있지않다면 [ 그림 1-15] 와같이정상윈도시스템파일인 imm32.dll의파일에 PE 섹션인 ".rsrc1" 과 ".mdata" 를생성하여패치하게되며악성코드자신은 nt32.dll라는파일명으로생성하여실행되도록구성되어있다. [ 그림 1-15] PE 섹션확장과감염파일패치 이번에발견된악성코드는다음과같은보안취약점을이용하였다. - Microsoft Internet Explorer, iepeers.dll Use-After-Free Exploit (MS1-18) http://www.microsoft.com/korea/technet/security/ bulletin/ms1-18.mspx - Microsoft Internet Explorer, CSS 스타일시트처리취약점 (MS11-3) http://www.microsoft.com/korea/technet/security/ bulletin/ms11-3.mspx 해당악성코드는다수변종을포함하며 V3 제품군에서다음과같이진단및치료할수있다. - Win32/MalPackedC.suspicious - Win-Trojan/Agent.64512.GG - Dropper/Agent.63488.AD - Win-Trojan/Agent.11997796 자정보는정상동영상플레이어와는다르다. 또한, 정상파일과악성파일에대한디지털서명정보는파일속성의디지털서명에서확인할수있다. 위장된 ActiveX 컨트롤설치시윈도시스템폴더에자신의복사본을 httpssl. exe 파일이름으로생성하고, [ 그림 1-11] 과같이서비스에등록된다. [ 그림 1-11] 서비스등록 httpssl.exe 파일은중국에있는아래사이트에연결을시도한다. - 12*.19*.11*.*61:19 이번에발견된악성코드는카페관리자계정이유출되어아래와같 그리고정상윈도시스템파일인 imm32.dll의파일명을 imm32a.dll 로변경한이후에자신의코드전체를덮어쓴다. 이처럼보안제품의설치여부에따라다른방식으로정상윈도시스템파일을패치하게된다면보안제품의입장에서는감염시스템들의다양한환경변수들을고려해야하는어려운문제가발생하게된다. 이번에발견된보안제품의설치여부에따라다른방식으로감염원리를가진악성코드는 V3 제품군에서다음과같이진단및치료할수있다. - Win-Trojan/Patched.CR - Dropper/Onlinegamehack.8384.D - Win-Trojan/Onlinegamehack.69632.FI

Web 13 14 2. 시큐리티동향 a. 시큐리티통계 악성코드침해웹사이트현황 [ 그림 2-2] 는악성코드유포로탐지된사이트들에대한통계로, 3월의경우지난 2월에비해약 2배정도증가세를보였다. 그원인은다수의웹하드사이트에서악성코드유포가확인되었는데이로말미암아악성코드유포로탐지된사이트들이증가한것으로보인다. 2 18 3 월 MS 보안업데이트현황 마이크로소프트사로부터발표된이번달보안업데이트는총 3 건이다. 패치개수 12 21.3-211.3 11 1 9 8 7 6 5 4 3 2 1 3 4 5 6 7 8 9 1 11 12 1 2 3 [ 그림 2-1] 공격대상기준별 MS 보안업데이트 이번달의모든취약점은공격자로하여금원격에서원하는코드를실행할수있기때문에주의가필요 하다. 이러한취약점들은신뢰되지않은사이트접속에유의해야하며, 백신설치와더불어보안패치를 반드시업데이트해야안전한인터넷환경을사용할수있다. 위험도 System IE Office Application Sever 취약점 긴급 MS11-15 Vulnerabilities in Windows Media Could Allow Remote Code Execution 중요 MS11-16 Vulnerability in Microsoft Groove Could Allow Remote Code Execution 중요 MS11-17 Vulnerability in Remote Desktop Client Could Allow Remote Code Execution [ 표 2-1] 211년 3월주요 MS 보안업데이트 16 14 12 1 8 6 4 2 1 2 3 4 5 6 7 8 9 1 11 12 [ 그림 2-2] 211년 3월침해사이트현황유포된악성코드 Top 1 [ 표 2-2] 는 3월한달동안해킹된웹사이트를통해서가장많이유포된악성코드 Top 1으로지난 2 월에이에 3월에도 Win-Trojan/Patched.CR이 1위를차지했는데원인은주말을기점으로유포되는악성코드가대부분윈도정상파일인 imm32.dll을패치하는방식을사용하여악성 DLL을로딩하도록되어있기때문이다. 악성코드의동작방식이바뀌지않는한 4월에도 Win-Trojan/Patched.CR이 1위를할것으로예상된다. 순위진단명 URL 1 Win-Trojan/Patched.CR 44 2 Win-Trojan/Onlinegamehack.132715 28 3 Dropper/killav.77475 28 4 Dropper/Onlinegamehack.261694 27 5 Win-Trojan/Onlinegamehack.13936.AA 27 6 Win-Trojan/Onlinegamehack.1832.M 27 7 Dropper/Onlinegamehack.26757 26 8 Win-Trojan/Onlinegamehack.18544.N 26 9 Win-Trojan/Onlinegamehack.12912.AH 26 1 Win-Trojan/Magania.13329.B 25 [ 표 2-2] 3월해킹된웹사이트를통한악성코드유포 Top 1

Web 15 16 Web 2. 시큐리티동향 b. 시큐리티이슈 3. 웹보안동향 a. 웹보안통계 Adobe Flash Player Memory Corruption (CVE-211-69) 이번취약점은 Adobe Flash Player 1과 authplay.dll 파일을포함한 Adobe Reader와 Acrobat X 제품에존재한다. 검증자 (byte code verifier) 는함수내에서잘못된위치로점프명령을실행할때, 일치하지않는스택상태를인지하지못하면서실패하게된다. 이결과로다음명령들은 Active Script Stack 상에잘못된객체에쓰이게되며, 메모리변조의원인이된다. [ 그림 2-3] Adobe Flash Player Memory Corruption 취약한코드 원격의공격자는 SWF 파일을특별하게만들거나 PDF 파일, Excel 파일또는웹페이지에 Flash object stream을삽입하여해석할수있게하고, 일반적인사용자들이관심과호기심을가질수있도록유도하여이번취약점을이용할수있다. Adobe는이번취약점을수정한 Adobe Reader와 Adobe Flash를배포하였다. - http://www.adobe.com/support/security/bulletins /apsb11-5.html - http://www.adobe.com/support/security/bulletins/ apsb11-6.html Fraudulent Digital Certificates Could Allow Spoofing 이번권고문은 SSL(Secure Sockets Layer) 인증서를발급하는한기업이해킹을당해, 발급한허위 SSL 인증서 9개를 ' 신뢰되지않은게시자 ' 에추가하는업데이트권고이다. SSL 인증서는신뢰하는인증기관 (CA) 을통해인증서를발급받아암호화로신뢰성을알리는기능을한다. 따라서허위로발급됐다면공격자는이를이용해허위콘텐츠, 피싱이나 MITM(man-in-the-middle attack) 공격을할수있다. [ 그림 2-4] Internet Explorer의신뢰되지않은게시자확인업데이트이후위그림과같이 Internet Explorer의 도구 -> 인터넷옵션 -> 내용 -> 인증서 -> 신뢰되지않은게시자 에서확인할수있다. 해당보안문제는모든 Windows의 Internet Explorer 버전에영향을미치므로반드시보안패치를확인하고업데이트해야한다. 웹사이트보안요약 안철수연구소의웹브라우저보안서비스사이트가드 (SiteGuard) 를통해산출된 211 년 3 월웹사이 트보안통계자료를보면악성코드를배포하는웹사이트차단건수는 99,34 건이다. 또한, 악성코 드유형은 759 건이며, 악성코드가발견된도메인은 789 건, 악성코드가발견된 URL 은 4,259 건이다. 211 년 3 월은 211 년 2 월과비교하여악성코드유형은다소감소하였으나, 악성코드발견건수, 악 성코드가발견된도메인, 악성코드발견된 URL 은증가하였다. 구분 [ 표 3-1] 웹사이트보안요약 건수 악성코드배포 URL 차단건수 99,34 악성코드유형 759 악성코드가발견된도메인 789 악성코드가발견된 URL 4,259 월별악성코드배포 URL 차단건수 211 년 3 월악성코드배포웹사이트 URL 접근에따른차단건수는지난달의 61,817 건에비해증가 한 16% 수준인 99,34 건이다. 1, 5, 78,911 211.1 [ 그림 3-1] 월별악성코드배포 URL 차단건수 61,817 99,34 211.2 211.3

Web 17 18 월별악성코드유형 악성코드유형별배포수 211 년 3 월악성코드유형은지난달의 774 건에비해 98% 수준인 759 건이다. 악성코드유형별배포수는트로잔류가 52,493 건으로전체의 53% 의비율을보이며 1 위를차지하였 고, 애드웨어류가 24,95 건으로전체의 25.1% 로 2 위를차지하였다. 2, 구분건수비율 1,5 1, 5 885 211.1 774 759 211.2 211.3 TROJAN 52,493 53. % ADWARE 24,95 25.1 % DROPPER 5,62 5.7 % JOKE 1,94 1.1 % DOWNLOADER 875.9 % WIN32/VIRUT 783.8 % APPCARE 247.2 % SPYWARE 73.1 % ETC 12,944 13.1 % [ 그림 3-2] 월별악성코드유형 Total 99,34 1 % [ 표 3-2] 악성코드유형별배포수 월별악성코드가발견된도메인 211 년 3 월악성코드가발견된도메인은전달의 723 건에비해증가한 19% 수준인 789 건이다. 75, 1, 883 774 789 24,95 52,493 5, 875 783 5,62 247 73 1,94 12,944 Adware Trojan Downloader Win32/VIRUS Dropper Appcare Spyware Joke ETC 211.1 [ 그림 3-3] 월별악성코드가발견된도메인 월별악성코드가발견된 URL 211.2 211.3 [ 그림 3-5] 악성코드유형별배포수 악성코드배포순위악성코드배포순위는 [ 표 3-3] 에서볼수있듯이새로등장한 Win-Trojan/Agent.286616이 34,689 건으로 1위를차지했으며, Top1에 7건이새로등장하였다. 211 년 3 월악성코드가발견된 URL 은지난달의 3,367 건에비해증가한 126% 수준인 4,259 건이다. 순위등락악성코드명건수비율 5, 3,463 3,367 4,259 1 NEW Win-Trojan/Agent.286616 34,689 45.5 % 2 NEW Win-Trojan/Downloader.286616 9,41 11.9 % 3 NEW Win32/Induc 7,864 1.3 % 4 NEW Win-Adware/ToolBar.Cashon.38224 5,23 6.6 % 2,5 5-3 Win-Adware/Shortcut.InlivePlayerActiveX.234 4,425 5.8 % 6-3 Win-Adware/Shortcut.Unni82.3739648 4,415 5.8 % 7 NEW Adware/Win32.ToolBar 3,357 4.4 % 211.1 211.2 211.3 8-3 Win-Adware/Shortcut.Tickethom.36864 3,312 4.3 % 9 NEW Dropper/Win32.Pwstealer 2,829 3.7 % 1 NEW Win-Adware/Shortcut.Bestcode.2 1,318 1.7 % [ 그림 3-4] 월별악성코드가발견된 URL [ 표 3-3] 웹사이트를통해배포된악성코드 Top1

Web 19 2 3. 웹보안동향 b. 웹보안이슈 211 년 3 월침해사이트현황 해킹된웹사이트를통한악성코드유포동향에서 3월한달동안아래와같은이슈들이있었다. 1. 다수의웹하드사이트에서악성코드유포 2. 다중취약점을이용한악성코드유포 3. imm32.dll을패치하는악성코드의변화 1. 다수의웹하드사이트에서악성코드유포 211.3.4 DDoS는일부웹하드사이트들에서배포하는정상프로그램이외부의공격으로말미암아서악성코드로교체되어해당웹하드를이용하는사용자에게배포되면서발생한것이다. 이는 2년전 29.7.7 DDoS와비교해보면거의유사하며인재 ( 관리소홀 ) 가아니었는가하는생각을해본다. 또한, 주말이면근본적인문제를해결하지않는다수의웹하드사이트들에서예상대로개인정보유출형악성코드를유포하고있는것으로확인된다. 자세한정보는아래주소를참고하길바란다. - 여러분의웹하드사이트는안전한가요?: http://core.ahnlab.com/262 2. 다중취약점을이용한악성코드유포 최근에특정국내웹사이트가해킹되어특정온라인게임사용자의계정정보를탈취하는악성코드를유포하는사례가발생했다. 이번사례에서는 IE & Adobe Flash Player에존재하는여러가지취약점등을사용했고백신이나네트워크장비에서탐지를회피하기위해서악성스크립트를여러조각으로구성해놓았다. 악성코드의감염과정은아래 [ 그림 3-7] 로설명할수있으며자세한분석정보는아래주소를참고하길바란다. - 다중취약점을이용한악성코드유포 : http://core.ahnlab.com/266 [ 그림 3-7] 다중취약점을이용한악성코드유포구조 [ 그림 3-9] imm32.dll 을패치하는변형의동작방식 원형과변형을비교해보면변형에서는우선 V3 제품의설치여부를검사하여그결과에따라 2가지의경우로동작하게되어있다. 변형에대한자세한정보는아래주소를참고하기바란다. - imm32.dll 을패치하는악성코드조치가이드 Ver. 2.: http://core.ahnlab.com/267 [ 그림 3-6] 웹하드사이트의악성코드유포건수 3. imm32.dll을패치하는악성코드의변화최근에발견되고있는정상윈도파일인 imm32.dll을패치하여악성 DLL을로딩하도록하는악성코드의동작방식이기존과다소달라져이에대해분석해본결과아래와같은차이점이있었다. 편의상원형과변형으로구분하였다. [ 그림 3-8] imm32.dll 을패치하는원형의동작방식

Web 21 22 2. 211 년 1 분기보안동향 1. 악성코드동향 a. 악성코드통계 악성코드감염보고 1 분기 Top 2 악성코드대표진단명감염보고 1 분기 Top 2 211 년 1 분기악성코드통계현황은다음과같다. 211 년 1 분기악성코드감염보고를살펴보면 TextImage/Autorun 이 1 위를차지하고있으며, Win32/Induc 과 JS/Agent 가각각 2 위와 3 위를차지하였 다. 신규로 Top 2 에진입한악성코드는총 7 건이다. 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을종합한악성코드대표진단 명감염보고 Top 2 이다. 211 년 1 분기사용자피해를주도한악성코드들의대표진단명을보면 Win- Trojan/Onlinegamehack 이총보고건수 3,861,741 건으로전체의 13.4% 로 1 위를차지하였다. 그뒤를 TextImage/Autorun 이 3,483,488 건으로 12.1%, Win-Trojan/Downloader 가 3,114,67 건으로 1.8% 를 차지하여 2 위와 3 위에올랐다. 순위등락악성코드명건수비율 순위등락악성코드명건수비율 1 TextImage/Autorun 3,482,961 29.7 % 1 2 Win-Trojan/Onlinegamehack 3,861,741 13.4 % 2 2 Win32/Induc 892,311 7.6 % 2 1 TextImage/Autorun 3,483,488 12.1 % 3 1 JS/Agent 65,149 5.5 % 3 4 Win-Trojan/Downloader 3,114,67 1.8 % 4 NEW Win-Trojan/Overtls15.Gen 618,379 5.3 % 4 2 Win-Trojan/Agent 2,952,919 1.2 % 5 NEW Win-Trojan/Patched.CR 581,656 5. % 5 15 Win-Trojan/Winsoft 2,248,527 7.8 % 6 NEW Win-Trojan/Overtls11.Gen 57,32 4.9 % 6 6 Win-Trojan/Adload 2,33,331 7. % 7 2 JS/Exploit 494,847 4.2 % 7 2 Win32/Autorun.worm 1,384,926 4.8 % 8 5 Win32/Parite 489,322 4.2 % 8 Win32/Conficker 1,223,294 4.2 % 9 NEW Win-Trojan/Winsoft.22528 434,16 3.7 % 9 NEW Win-Trojan/Patched 949,612 3.3 % 1 3 JS/Cve-21-86 414,966 3.5 % 1 1 Win32/Virut 922,565 3.2 % 11 5 Win32/Palevo1.worm.Gen 412,882 3.5 % 11 1 Win32/Induc 892,847 3.1 % 12 4 Win32/Conficker.worm.Gen 35,698 3. % 12 1 Win32/Kido 781,424 2.7 % 13 7 Win32/Olala.worm.57344 349,548 3. % 13 NEW Win-Adware/KorAdware 718,93 2.5 % 14 NEW Win-Trojan/Winsoft22.Gen 33,274 2.8 % 14 5 Win-Trojan/Overtls 692,99 2.4 % 15 1 VBS/Solow.Gen 29,847 2.5 % 15 11 JS/Agent 65,149 2.3 % 16 4 JS/Downloader 279,617 2.4 % 16 NEW Win-Trojan/Overtls15 618,379 2.1 % 17 2 VBS/Autorun 277,692 2.4 % 17 4 Win32/Palevo 616,181 2.1 % 18 NEW Win-Trojan/Downloader.5994.AK 276,668 2.4 % 18 2 VBS/Solow 587,532 2. % 19 NEW JS/Redirect 274,65 2.3 % 19 NEW Win-Trojan/Overtls11 57,32 2. % 2 3 Win32/Virut.F 271,712 2.3 % 2 5 Dropper/Malware 564,652 2. % 11,743,587 1 % 28,867,559 1 % [ 표 1-1] 악성코드감염보고 Top 2 [ 표 1-2] 악성코드대표진단명감염보고 Top 2

Web 23 24 악성코드유형별 1 분기감염보고비율 1 분기신종악성코드감염보고 Top 2 아래차트는 211 년 1 분기동안고객으로부터감염이보고된악성코드유형별비율이다. 악성코드유형 별감염보고건수비율은트로잔류가 53.1% 로가장많은비율을차지하고있으며, 다음으로웜 (WORM) 이 12.3%, 스크립트가 8.4% 의비율을각각차지하고있다. 아래표는 211 년 1 분기에신규로접수된악성코드중고객으로부터감염이보고된악성코드 Top 2 이다. 순위악성코드명건수비율 [ 그림 4-1] 악성코드유형별 1 분기감염보고비율 Trojan 53.1% Worm 12.3% ETC 9.3% Script 8.4% Adware 5.6% Virus 5.2% Dropper 3.8% Downloader 1.3% Appcare.6% Spyware.4% 1 Win-Trojan/Overtls15.Gen 618,379 13.8 % 2 Win-Trojan/Patched.CR 581,656 13 % 3 Win-Trojan/Overtls11.Gen 57,32 12.7 % 4 Win-Trojan/Winsoft.22528 434,16 9.7 % 5 Win-Trojan/Downloader.5994.AK 276,668 6.2 % 6 Win-Trojan/Winsoft17.Gen 28,934 4.7 % 7 Win-Trojan/Overtls.383488 27,312 4.6 % 8 Win-Trojan/Winsoft.48576.B 194,741 4.3 % 9 Win-Trojan/Infostealer.34992 194,441 4.3 % 1 Win-Trojan/Agent.Rbk.124 159,489 3.6 % 11 Win-Trojan/Adload.77312.LPU 142,391 3.2 % 12 Win-Downloader/InfoTab.496 127,1 2.8 % 13 Win-Trojan/Downloader.9834.KF 123,39 2.8 % 14 Win-Downloader/Enlog.41728 19,17 2.4 % 15 Win-Trojan/Adload.512.FH 17,51 2.4 % 16 Win-Trojan/Downloader.168192 92,825 2.1 % 17 Win-Trojan/Agent.9834.VB 9,165 2 % 18 Win-Trojan/Downloader.9428.HE 87,541 2 % 19 Win-Trojan/Agent.19736.C 79,94 1.8 % 2 Win-Trojan/Winsoft.384.AS 78,579 1.8 % 4,484,387 1 % [ 표 4-3] 신종악성코드감염보고 Top 2 악성코드월별감염보고건수 211 년 1 분기의악성코드월별감염보고건수는 53,944,245 건으로 21 년 4 분기의악성코드월별감 염보고건수 43,42,989 건에비해 1,541,256 건이증가하였다. 1 분기신종악성코드유형별분포 211 년 1 분기의신종악성코드유형별분포는트로잔이 85% 로 1 위를차지하였다. 그뒤를이어애드웨 어가 7%, 드롭퍼가 4% 비율을차지하였다. 2,, 18,, 18,13,21 +1.4% 18,626,994 +1.3% Adware 7% 16,, 14,, 12,, 17,34,23-5.2% Trojan 85% Dropper 4% Downloader 2% Worm 1% ETC 1% 211.1 211.2 211.3 [ 그림 4-2] 악성코드월별감염보고건수 [ 그림 4-3] 신종악성코드분기유형별분포

Web 25 26 1. 악성코드동향 b. 악성코드이슈 정교한타깃공격에기반을둔 APT 위협과관련보안사고들 클라우드에기반을둔보안제품을공격하는악성코드 SNS 를이용한악성코드의다양한형태로증가 본격적인모바일악성코드의양산 특수목적으로정교하게제작되는 APT 보안위협들과관련된보안 해가갈수록급속하게증가하는악성코드의양적그리고질적위협에 21 년이소셜네트워크서비스 (Social Network Service) 가악성코드 21 년이스마트폰 (Smartphone) 을대상으로하는악성코드들의제 사고가상반기에만두차례나발생하였다. 211 년 2 월에알려진나 대응하기위해업체들은새로운대응기술들을만들어가고있다. 이 를포함한보안위협들의새로운전파경로로시작된해였다면 211 작과유포를위한실험적인보안위협들이만들어진해였다면 211 이트드래곤 (Night Dragon) 보안위협의목적은글로벌에너지업체들 러한대응기술중하나로클라우드 (Cloud) 시스템들을기반으로일 년 1 분기에는본격적인보안위협의양산이시작되는해로볼수있 년 1 분기는실제스마트폰에서다양한개인정보들을탈취하기위 을대상으로해당업체들이가지고있는영업비밀들을탈취하는것 반컴퓨터에서적용하기어려운다양한기술들이포괄적으로적용된 다. 단축 URL(URL shortening) 의악용으로사전에유해성을검사해주 한악성코드들의본격적인양산이시작된시기로볼수있다. 2 월감 이었다. 해당보안사고에는최소 1 년이상정교하게제작된악성코 클라우드백신 (Cloud Anti-Virus) 이있다. 보안업체들이가지고있던 는보안단축 URL 이개발되자 1 월에는이러한보안단축 URL 을악용 염된안드로이드 (Android) 스마트폰에서개인정보를탈취하기위 드를포함한다양한보안위협들이악용되었다. 3 월에알려진 EMC/ 기존의대응기술의한계점을극복한클라우드백신은획기적인대 하여허위백신을설치함으로써악성코드의감염을시도하는트위터 해제작된 Adrd 와 Pjapps 악성코드를시작으로하여 3 월에는구글 RSA 보안사업본부에서발생한보안사고는 3 가지공격기법이조 응기술의발전을보여주었으나, 이러한대응기술을우회하거나회 (Twitter) 메시지들이유포되었다. 2 월에는페이스북 (Facebook) 담벼 (Google) 에서운영하는정식안드로이드앱스토어가아닌제 3 의앱 합된고도의 APT 보안위협형태이다. 먼저소셜네트워크서비스 피하기위한목적으로제작된악성코드가 211 년 1 월에발견되었 락으로페이스북이용자들의개인정보를탈취하기위한목적의악성 스토어를이용하여통화명세까지탈취하기위한 Adrd 변형도발견 (Social Network Service) 웹사이트들에서사전에 RSA 내부임직원 다. 클라우드백신의탐지를우회하기위한목적으로제작된해당악 코드를내려받도록유도하는게시물들이유포되었다. 같은달페이스 되었다. 같은 3 월, 구글에서배포하는안드로이드보안앱형태로위 들의개인정보를수집하였다. 그리고고도의사회공학기법 (Social 성코드는감염된컴퓨터의진단관련정보가네트워크로전송된다는 북사용자간의채팅메시지를악용하여허위페이스북웹페이지로 장한 BgService 가제 3 의앱스토어를통해유포되었던사례도있다. Engineering) 이적용된타깃공격 (Targeted Attack) 을해당임직원들 점을악용하여네트워크전송을방해하고있다. 앞으로는비정상적인 접속을유도하여악성코드를내려받도록유도하는기법도발견되었 특히안드로이드앱이가지는구조적인형태를악용하여정상앱내 에게수행하였다. 마지막으로어도비 (Adobe) 플래시플레이어 (Flash 파일형태와형식등을악용하여클라우드시스템들의자원을과다하 다. 소셜네트워크서비스를제공하는시스템내부와외부환경을악 부에악의적인목적으로제작된파일을강제로삽입한후리패키징 Player) 에존재하였던제로데이 (Zero Day) 취약점을악용하여내부 게소모하게해정상적인서비스가불가능해지도록하는서비스거부 용하는보안위협들은앞으로도지속적으로증가할것으로예상되므 (Repackaging) 하는방식이매우증가하였다. 앞으로는이러한리패 RSA 내부네트워크침입을위한악성코드감염을수행하였다는점이 (Denial of Service) 형태등으로클라우드백신의탐지를우회하고자 로소셜네트워크서비스이용자의각별한주의가필요하다. 키징형태의안드로이드악성코드가더욱증가할것으로예측된다. 눈길을끈다. 이렇게고도화되고정교한 APT 보안위협은앞으로도 하는기법들이등장할것으로예측된다. 지속적으로발생할것으로예측되으로어느때보다도사회공학기법 실제백신으로위장한허위백신들 에대응하기위한보안인식교육의중요성이강조된다. 7.7 DDoS 를업그레이드한 3.4 DDoS 공격 21 년에는허위백신들이다양한문화권에존재하는언어들을사 다양한언어를지원하도록제작되는악성코드들 29년 7월 7일정부기관및민간기업들의웹사이트를대상으로발생하였던분산서비스거부 (Distributed Denial of Service) 공격이 용함으로써허위백신의감염성공률을높이고자하였다. 이러한허위백신들의감염기법고도화는널리알려진정식백신제품의사용 21 년국외에서제작되는허위백신들이비영어권컴퓨터사용자의 211 년 3 월 4 일다시발생하였다. 29 년과비교하여공격대상이 자인터페이스와아이콘등을도용하여컴퓨터에감염된허위백신이 감염된컴퓨터에설치된윈도언어로허위감염결과를보여주는사 되는웹사이트가 4 곳으로증가하였으며백신제품들의업데이트로 실제백신제품으로오인하게까지제작되고있다. 211 년 1 월국외 례가있었다. 감염된컴퓨터의윈도언어정보를이용하여해당문화 인해공격을수행하는악성코드가진단되는것을회피하기위해업데 유명백신제품인 AVG 백신의사용자인터페이스와아이콘등을도 권의언어로허위정보들을보여주는사례는금전적목적으로감염된 이트방해기능도포함되었다. 그리고하드디스크손상대상이되는 용하여감염된컴퓨터사용자들로하여금현재동작하고있는백신이 컴퓨터의정상사용을방해하는랜섬웨어 (Ransomeware) 에서도발견 운영체제도모든윈도버전들이대상이될정도로 29 년과비교하 실제정식백신으로오인하도록하여금전적이윤추구의성공가능 되고있다. 이는해당문화권의언어로허위정보들을제공하여불법 여더욱정교하고치밀하게제작되었다. 이렇게발전된형태의악성 성을더욱높이고자한사례가발견되었다. 이렇게허위백신이실제 적인금전획득의가능성을더욱높이기위한고도화된사회공학기 코드들을이용한분산서비스거부공격은민관이다양한형태의협 백신으로위장한사례가발견된만큼앞으로허위백신들은실제백 법으로볼수있다. 이러한다국적언어를지원하는악성코드의형태 력을통해조기에대응함으로써그에따른피해를줄일수있었다. 신으로오인하게하는다양한기능들이포함될것으로예측된다. 는 211 년하반기에도지속적으로발견된것으로보인다. 앞으로는 이러한형태가악성코드뿐만아니라피싱 (Phishing) 등의다른보안위 협들에도적용될것으로예측되므로각별한주의가필요하다.

Web 27 28 2. 시큐리티동향 a. 시큐리티통계 2. 시큐리티동향 b. 시큐리티이슈 211년 1분기마이크로소프트보안업데이트현황 211년 1분기에마이크로소프트사는총 17건의보안업데이트를발표하였다. 1분기중에서는 2월이 12개로가장많은보안패치를발표하였다. 이렇게 2월에많은패치가발표된이유는기존에취약점이공개되었으나, 패치되지않은것들이반영되면서크게늘어난것이다. 긴급으로신속하게패치를반영해야하는것도 3건이될만큼 2월달은보안관리자를힘들게한달이었다. 1분기의취약점은시스템에해당하는것이 41% 로가장큰비중을차지하고있다. 시스템에해당하는패치는다른부분의취약점보다도시급성을요하는것이많은편으로, 관리자들은빠른시일내에패치할것을권고한다. 윈도그래픽렌더링엔진취약점. CVE-21-397 Windows Graphics Rendering Engine(Shimgvw.dll) 에서 thumbnail image( 탐색기보기옵션중 ' 미리보기 ') 를처리하면서발생하는 Stack-based Buffer Overflow 취약점으로임의의코드를실행할수있다. 이취약점은국내보안콘퍼런스에서 Moti & Xu Hao가발표한것으로발표당시취약점공격 PoC 파일이공개되었으며 211년 2월실제공격사례가발견되었다. 해당취약점은사용자가폴더보기옵션중 ' 미리보기 ' 를설정할때만발생하므로 한악성코드는중국어로된메일에 7Zip으로압축된첨부파일형태로존재하였으며압축파일내부에정상이미지파일과해당취약점을악용하는마이크로소프트워드 (Word) 파일이존재하고있었다. 해당취약점으로말미암아스택오버플로우가발생하게되면셸코드 (Shellcode) 에정의되어있는미국에있는특정시스템에서다른파일을내려받게된다. 해당 MS11-6 취약점 (CVE- 21-397) 을제거하는보안패치는 MS 2월보안패치를통해배포되었다. Application 공격대상기준별 MS 보안업데이트분류 21.3-211.3 이옵션이불필요한경우해제하는것이좋다. MS 인터넷익스플로러취약점. CVE-21-3971 211 스톰웜봇넷스톰웜은트로이목마바이러스로지난 27년 1월 17일처음발 18% Sever 17% 12% Office [ 그림 5-1] 신종악성코드분기유형별분포 12% IE 41% System 작년12월 22일 MS IE에기존에알려지지않은코드실행제로데이 (Zero Day, -Day) 취약점이존재한다는것을보안권고문 "Microsoft Security Advisory (248813) Vulnerability in Internet Explorer Could Allow Remote Code Execution" 을통해밝혔다. 해당제로데이취약점은 IE의 mshtml.dll 에존재하는힙-스프레이 (heap_spray) 에의한코드실행취약점으로, 영향을받는버전들은 MS IE 6,7,8이며 Black Hole Exploit Kit에도이용되었다. 현재까지알려진해당취약점에대한공격은일부국가에서발생하였으나급격한공격증가사례는보이지는않고있다. 해당취약점에관련한추가정보는 KrCert의 'MS IE 신규원격코드실행취약점주의 ' 를참고하기바란다. 견되었으며같은해 1월 19일급속도로퍼지기시작하여전세계 PC의 8% 를감염시켰다. 이바이러스는전자메일을통해날씨에관한긴급뉴스로위장하여사람들이실행파일을내려받도록유도하였다. 이후 28년 'FBI vs FaceBook' 을가장한새로운스톰웜공격이확산되었는데, 이처럼사회적이슈가될만한키워드를메일을통하여전파되는웜의형태를스톰웜 (Storm Worm) 이나웨일덱 (Wale Dac) 이라명명할수있다. 21년 12월 3일, 연말휴일을이용한스팸이나돌았다. 관련글을투고한 Steven Adair는이것을 Waledac 2. 또는 Storm Worm 3.이라고칭하였다. 스팸메일속에포함된위장된링크나파일을내려받는링크를클릭하게되면웜에감염된다. 이웜에감염된각 PC는스팸발송지로악용된다. MS11-6 취약점악용악성코드 'MS11-6 Windows 셸그래픽처리의취약점으로인한원격코 드실행문제점 (2483185)' 을악용하는악성코드가발견되었다. 해 당취약점은윈도시스템에존재하는 Explorer.exe 에서지원하는 이미지파일미리보기와관련된취약점으로 BITMAPINFOHEADER 구조체중에서 DOWRD biclrused 값을비교할때 Unsigned 형태 가아닌 Signed 로설정하여, x81 과같은값을음수로인 식한다. 이로써 x81 만큼스택 (Stack) 에저장할수있어 져스택오버플로 (Stack Overflow) 가발생한다. 이취약점을악용

Web 29 3 3. 웹보안동향 a. 웹보안통계 웹사이트보안요약 월별악성코드유형 211 년 1 분기악성코드발견건수는 239,762 건이고, 악성코드유형은 2,418 건이며, 악성코드가발 211 년 1 분기악성코드유형은전분기의 2,662 건에비해 91% 수준인 2,418 건이다. 견된도메인은 2,395 건이며, 악성코드발견된 URL 은 11,89 건이다. 본자료는안철수연구소의웹 보안제품인 SiteGuard 의 211 년 1 분기자료를바탕으로산출한통계정보이다. 구분 건수 악성코드발견건수 239,762 악성코드유형 2,418 악성코드가발견된도메인 2,395 악성코드가발견된 URL 11,89 2, 1,5 1, 5 885 774 759 211.1 211.2 211.3 [ 표 6-1] 웹사이트보안요약 [ 그림 6-2] 월별악성코드유형 월별악성코드발견건수 211 년 1 분기악성코드발견건수는전분기의 232,69 건에비해 13% 수준인 239,762 건이다. 월별악성코드가발견된도메인 211 년 1 분기악성코드가발견된도메인은전분기의 2,498 건에비해 96% 수준인 2,395 건이다. 1, 78,911 99,34 1, 883 774 789 5, 61,817 5, 211.1 211.2 211.3 211.1 211.2 211.3 [ 그림 6-1] 월별악성코드발견건수 [ 그림 6-3] 월별악성코드가발견된도메인

Web 31 32 월별악성코드가발견된 URL 211 년 1 분기악성코드가발견된 URL 은전분기의 9,728 건에비해 114% 수준인 11,89 건이다. 악성코드배포 Top 1 악성코드배포 Top 1 에서 Win-Trojan/Agent.286616 이 34,689 건으로 1 위를, Win-Adware/ Shortcut.InlivePlayerActiveX.234 이 27,417 건으로 2 위를기록하였다. 5, 3,463 2,5 211.1 [ 그림 6-4] 월별악성코드가발견된 URL 악성코드유형별배포수 3,367 4,259 211.2 211.3 순위 등락 악성코드명 건수 비율 1 NEW Win-Trojan/Agent.286616 34,689 26.3 % 2-1 Win-Adware/Shortcut.InlivePlayerActiveX.234 27,417 2.8 % 3 NEW Win-Trojan/Infostealer.34992 12,829 9.7 % 4 NEW Win-Adware/Shortcut.Unni82.3739648 11,45 8.7 % 5 3 Win-Adware/Shortcut.Tickethom.36864 11,179 8.5 % 6-4 Win32/Induc 1,34 7.6 % 7 NEW Win-Trojan/Downloader.286616 9,41 6.8 % 8 NEW Win-Adware/ToolBar.Cashon.38224 5,262 4. % 9 NEW Win32/Virut.D 5,259 4. % 1 NEW Dropper/Natice.52224 4,839 3.7 % [ 표 6-3] 악성코드배포 Top 1 악성코드유형별배포수에서 TROJAN 류가 91,452 건전체의 38.1% 로 1 위를차지하였으며, ADWARE 류가 68,839 건으로전체의 28.7% 로 2 위를차지하였다. 구분건수비율 TROJAN 91,452 38.1 % ADWARE 68,839 28.7 % DROPPER 34,955 14.6 % Win32/VIRUT 11,358 4.7 % JOKE 4,554 1.9 % DOWNLOADER 1,866.8 % APPCARE 828.3 % SPYWARE 317.1 % ETC 25,593 1.7 % Total 239,762 1 % [ 표 6-2] 악성코드유형별배포수 1, 68,839 91,452 1,866 11,358 34,955 828 317 4,554 25,593 Adware Trojan Downloader Win32/VIRUS Dropper Appcare Spyware Joke ETC [ 그림 6-5] 악성코드유형별배포수

33 34 3. 해외보안동향 1. 일본 1 분기악성코드동향 211년 1분기일본에서는컨피커 (Win32/Conficker.worm) 웜과오토런악성코드가많이유포되고있고 P2P 프로그램인위니를공격하는안티니 (Win32/Antinny.worm) 웜또한여전히많은피해를주고있는것으로보인다. 오피스취약점을공격하는문서를첨부하고있는일본어악성메일이 3월초발생한동일본지진과관련한정보로위장하여유포되는등사회적이슈를악용한공격이발생한것또한이슈가되었다. [ 표 7-1] 의데이터에서주목할만한점은안티니웜의탐지건수가많이발생하고있는점이다. 23년부터발견되기시작한안티니웜은일본에서많이사용되는 P2P 프로그램인위니를공격하는악성코드로써감염시 P2P 프로그램의공유대상을변경하는등의행위를하여감염자의정보를무분별하게노출시켜 2년대중반부터사회적이슈가되고있다. 현재는위니프로그램의제작자가더는프로그램을업데이트하지않는것으로알려졌고안티니웜또한새로운형태가제작되지는않는것으로보이나아 직일본에서는이프로그램의이용자가많고이로말미암은감염피해또한여전히많은것으로보고되 컨피커웜과안티니웜의지속적인피해발생컨피커웜은윈도의 MS8-67 보안취약점과공유폴더, 패스워드대입등다양한방식으로감염대상을공격하여자신을복제하는악성코드이다. 이악성코드는 28년처음발견된이후다른악성코드를내려받아설치하거나보안제품의탐지를우회하기위한기능들이업데이트되는등현재까지도계속진화하고있다. [ 표 7-1] 은트랜드마이크로사에서제공하는월간리포트중부정프로그램의월별탐지현황정보이다. 크랙커와같은부정프로그램을제외하고악성코드로분류될수있는진단명중컨피커웜 (WORM_DOWNAD.AD) 의피해가매우많이발생하고있는것을볼수있다. 고있다. 오토런악성코드의지속적인피해발생최근유포되는악성코드중설치파일의역할을하는악성코드들은대부분오토런기능이있다고해도무방할정도로오토런기능은다양한악성코드에서사용되고있다. 이러한상황은일본에서도비슷한양상을보이고있다. [ 그림 7-1] 은일본 IPA(http://www.ipa.go.jp) 에서발표한보고서의내용중분기별악성코드피해현황을정리한그래프이다. 순위 211년 1월 211년 2월 진단명 유형 탐지수 진단명 유형 탐지수 1 위 CRCK_GETCPRM 크랙커 5,573 건 WORM_DOWNAD.AD 웜 4,57 건 2 위 WORM_DOWNAD.AD 웜 4,997 건 CRCK_KEYGEN 크랙커 3,273 건 3 위 CRCK_KEYGEN 크랙커 3,116 건 MAL_DLDER 다운로더 1,478 건 4 위 WORM_ANTINNY.AI 웜 1,6 건 HKTL_KEYGEN 크랙커 1,45 건 5 위 WORM_ANTINNY.F 웜 767 건 WORM_ANTINNY.AI 웜 1,377 건 6 위 HKTL_KEYGEN 크랙커 757 건 PE_PARITE.A 바이러스 1,347 건 7 위 WORM_ANTINNY.JB 웜 745 건 TROJ_SPYEYE.SMEP 트로이목마 1,269 건 [ 그림 7-1] 분기별악성코드검출추이 < 자료출처 : 일본 IPA 2 > 8 위 PE_PARITE.A 바이러스 742 건 WORM_ANTINNY.JB 웜 1,149 건 9 위 ADW_DOUBLED 에드웨어 73 건 MAL_OLGM-41 기타 1,142 건 1 위 TROJ_REDOS.SME 트로이목마 659 건 TROJ_DLOADR.KDS 트로이목마 1,76 건 그래프에서는넷스카이 (W32/Netsky.worm) 웜이나마이둠 (W32/Mydoom.worm) 웜과같은이메일웜 의탐지가많이발생하고있는것을알수있다. 이메일웜외에는오토런악성코드와컨피커 (W32/ Downad) 웜에의한피해가많이발생하고있고이러한상황은이전과비교해크게다르지않다. [ 표 7-1] 악성코드탐지현황 < 자료출처 : 트랜드마이크로 1 > 1 http://www.ipa.go.jp/security/txt/211/documents/211q1-v.pdf 2 http://www.ipa.go.jp/security/txt/211/documents/211q1-v.pdf

35 36 일본지진관련정보로위장한악성코드유포 최근일본에서발생한지진으로인한원전의피해와관련하여사용자의호기심을유발하는형태로제작된스 2. 세계 1 분기악성코드동향 팸메일의유포가보고되고있다. 일본 IPA 는 211 년 3 월 11 일발생한일본원전사고와관련해정부와관련되 었거나재해대책과관련한것으로위장한메일이일본어로제작되어다수유포되고있다며주의를당부했다. 3 211년 1분기세계악성코드동향은이전과큰차이는없으며몇가지주목할사항을발견했다. 여전히악성코드주요동향은악성코드의지역화, 취약점을이용한악성코드배포정도로요약할수있다. 여기에정상보안프로그램을흉내낸가짜보안프로그램등장과다국어지원, 안드로이드스마트폰악성코드증가등도주목할만하다. 악성코드의지역화 악성코드별다양한변형이특정지역에국한되어소규모로보고되고있다. 악성코드의지역화가나타나면서세계적인악성코드통계는큰의미가없어졌다. 주요보안업체악성코드통계를살펴보면컨피커 (Win32/Conficker) 웜, 브레도랩 (Bredolab), 오토런 (Autorun) 웜, 바이럿 (Virut) 바이러스, 샐리티 (Sality) 바이러스, 허위보안프로그램등이꾸준히보고되고있다. 거짓감염경보후치료를위해결제를요구하는허위백신프로그램이더교묘해지고대범하게실제유명제품으로위장해서등장하기시작했다. 5 [ 그림 7-2] IBM 블로그의악성코드유포이메일 < 자료출처 : IBM4 > 메일에첨부된문서파일은윈도오피스취약점을이용하여첨부파일실행시파일내부에포함된트로이목마를설치하는것으로알려져있다. 이러한악성코드중일부는 [ 그림 7-3] 과같이다수의백신프로그램에서진단을하고있는상태이나아직보안업체에서파악되지않은악성코드가유포되고있거나새로운형태의악성코드가유포될가능성을배제할수없으므로주의가필요하다. 다른프로그램에제휴소프트웨어형태로포함되어설치면서기능도떨어지는보안프로그램이다수인한국의경우와는다소차이가있는부분이다. 악성코드제작자들이번역기를이용하여다양한언어로제작하는경우가조금씩보고되고있다. 6 예전에는언어문제로악성코드전파나금전요구등에한계가존재했다. 7 최근에는단순히번역기를이용하는수준이라서툴긴하지만유럽, 미국이외의지역언어도지원하고있다. 아직하나의경향으로자리잡지는않았지만번역기성능이좋아지면서점차증가할가능성이있다. 안드로이드기반악성코드증가 211 년 1 분기에는안드로이드기반악성코드가가파르게증가하고있다. 안드로이드기반악성코드가 급증하는이유는안드로이드앱스토어가개방형이므로악성코드제작자들이악성코드를올리기쉽기때 문이며스마트폰에서안드로이드의비중이점차커지면서앞으로도증가할것으로예상한다. 악성코드배포방식및공격동향 악성코드배포방식은여전히홈페이지해킹후취약점을이용하여코드를삽입, 사용자가웹사이트방 문시감염되는방식과 USB 메모리를통한전파가주를이뤘다. 이외메일을통한배포도여전했으며 [ 그림 7-3] 이메일웜에의해설치되는트로이목마에대한 Virustotal.com 진단결과 3 http://www.ipa.go.jp/security/topics/alert21144.html 4 http://www.ipa.go.jp/security/txt/211/documents/211q1-v.pdf 페이스북, 마이스페이스, 트위터등의소셜네트워크서비스를통한전파도계속되고있다. 주요이슈가 발생할때마다이슈와관련된내용으로가장한악성코드나허위보안프로그램을배포하는사례도과거 와같다. 211 년에도지난몇년동안꾸준히언급된금전적이득목적의악성코드제작과함께정치적

37 211.4. VOL. 15 Contributors 이유와연계된정보수집및정보파괴현상도계속증가할것으로보인다. 2월미국월스트리트저널을통해글로벌에너지업체들을대상으로한공격이공개되었다. 8 대한민국에서는 3월 4일 29년 7.7 DDoS 공격과동일인혹은동일그룹에서제작한것으로보이는공격이발생했다. 여러가지추측이나오는가운데경찰은북한을배후로발표했다. 스턱스넷 (Stuxnet) 으로대표되는이런공격에민간기업뿐아니라각국정부도보안위협에대처하기위해고민해야할것이다. 민관의협력과함께국가간공조도필요하지만, 서로의이해관계에따른문제로공조가쉽지않은것도현실이다. 5 http://www.ipa.go.jp/security/txt/211/documents/211q1-v.pdf 6 http://www.ipa.go.jp/security/txt/211/documents/211q1-v.pdf 7 http://www.ipa.go.jp/security/txt/211/documents/211q1-v.pdf 편집장선임연구원집필진책임연구원책임연구원선임연구원선임연구원선임연구원선임연구원선임연구원 안형봉정관진차민석김광주김소헌안창용이재호장영준 감수상무 조시행 참여연구원 ASEC 연구원 SiteGuard 연구원 Disclosure to or reproduction for others without the specific written authorization of AhnLab is prohibited. Copyright (c) AhnLab, Inc. All rights reserved.