목차 Part Ⅰ 3 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

Similar documents
목차 Part Ⅰ 1 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 8 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 12 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 5 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

<4D F736F F D2038BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

목차 Part Ⅰ 7 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

<4D F736F F D2036BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

목차 Part Ⅰ 8 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

<4D F736F F D2039BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

목차 Part Ⅰ 2 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

<4D F736F F D2035BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

<4D F736F F D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

목차 Part Ⅰ 10 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 11 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

목차 Part Ⅰ 9 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

<4D F736F F D2031BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

Windows 8에서 BioStar 1 설치하기

목차 Part Ⅰ 1 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

untitled

*2008년1월호진짜

목차 Part Ⅰ 5 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율젂월비교... 4 (4) 월별피해싞고추이... 5 (5) 월별악성코드 DB 등록추이...

ActFax 4.31 Local Privilege Escalation Exploit

유포지탐지동향

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

RHEV 2.2 인증서 만료 확인 및 갱신

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

목차 Part Ⅰ 4 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율젂월비교... 4 (4) 월별피해싞고추이... 5 (5) 월별악성코드 DB 등록추이...

#WI DNS DDoS 공격악성코드분석

목차 Part Ⅰ 6 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율젂월비교... 4 (4) 월별피핬신고추이... 5 (5) 월별악성코드 DB 등록추이...

SBR-100S User Manual

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

Microsoft PowerPoint - 권장 사양

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

Windows 10 General Announcement v1.0-KO

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

!K_InDesginCS_NFH

목 차 1. 개 요 배경 요약 정보 대상시스템 원리 공격 기법 및 기본 개념 Heap Spray Font 공 격..

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

Install stm32cubemx and st-link utility

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여, 악성코드별변종을 종합한악성코드대표진단명감염보고 Top 20 이다 년 2 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-

*****

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

Studuino소프트웨어 설치

vRealize Automation용 VMware Remote Console - VMware

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

PowerPoint Template

*

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

Secure Programming Lecture1 : Introduction

월간 CONTENTS 3 EXPERT COLUMN 영화 오블리비언과 C&C 서버 4 PRODUCT ISSUE 안랩, 새로워진 'V3 모바일 시큐리티' 출시 고도화되는 모바일 위협, 해답은? 6 SPECIAL REPORT 유포 방법에서 예방까지 모바일 랜

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요? 3 Q5. 보안패치가됐는지어떻게확인하나요? 5 Q6. 스마트폰도랜섬웨

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기

Internet Explorer 11 자동업데이트방지 사용자가이드 작성일 : Version 1.0

게시판 스팸 실시간 차단 시스템

신종파밍악성코드분석 Bolaven

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 운영체제의버전확인은어떻게확인하나요? 3 Q5. 보안패치는어떻게하나요? 4 Q6. 보안패치가됐

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

Cubase AI installation guide

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks


<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707

Security Trend ASEC Report VOL.52 April, 2014

A SQL Server 2012 설치 A.1 소개 Relational DataBase Management System SQL Server 2012는마이크로소프트사에서제공하는 RDBMS 다. 마이크로소프트사는스탠다드 standard 버전이상의상업용에디션과익스프레스 exp

DBMS & SQL Server Installation Database Laboratory

MF5900 Series MF Driver Installation Guide

Security Trend ASEC REPORT VOL.68 August, 2015

ASEC REPORT VOL.78 June, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

미디어 및 엔터테인먼트 업계를 위한 Adobe Experience Manager Mobile

TGDPX white paper

Spotlight on Oracle V10.x 트라이얼프로그램설치가이드 DELL SOFTWARE KOREA

Endpoint Protector - Active Directory Deployment Guide

SANsymphony-V

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

MF3010 MF Driver Installation Guide

Security Trend ASEC Report VOL.56 August, 2014

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

리눅스 취약점대응방안권고 / KISA 취약점점검팀 영향받는플랫폼 OS, FAQ 추가 개요 미국보안회사 에의해 시스템의 라이브러리 의특정함수에서임의코드를실행할수있는취약점이공개 해당취약점은 CVE 지정, 도메인네임을

Microsoft Outlook G Suite 가이드

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

Transcription:

목차 Part Ⅰ 3 월의악성코드통계... 3 1. 악성코드통계... 3 (1) 감염악성코드 Top 15... 3 (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이... 5 2. 악성코드이슈분석 Trojan.Rootkit.LoaderA... 6 (1) 개요... 6 (2) 악성코드분석... 6 3. 허니팟 / 트래픽분석... 9 (1) 상위 Top 10 포트... 9 (2) 상위 Top 5 포트월별추이... 9 (3) 악성트래픽유입추이... 10 4. 스팸메일분석... 11 (1) 일별스팸및바이러스통계현황... 11 (2) 월별통계현황... 11 (3) 스팸메일내의악성코드현황... 12 Part Ⅱ 보안이슈돋보기... 13 1. 3 월의보안이슈... 13 2. 4 월의취약점이슈... 14 페이지 2

Part Ⅰ 3 월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 [2012년 3월 1일 ~ 2012년 3월 31일 ] 순위 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Spyware.OnlineGames.wsxp Spyware 8,685 2 New Adware.KorAdware.Symax Adware 3,874 3 New Variant.Graftor.17181 Etc 2,486 4 New Trojan.Generic.KDV.569556 Trojan 2,171 5 New Trojan.Generic.7283501 Trojan 2,156 6 New Trojan.Generic.7254154 Trojan 1,930 7 New Script.SWF.Cxx Etc 1,852 8 New Backdoor.Agent.RDS Backdoor 1,822 9 New Spyware.Lineag-GLG Spyware 1,795 10 New Trojan.JS.Agent.FFG Trojan 1,787 11 New Worm.Conficker Worm 1,684 12 New Gen:Variant.Graftor.Elzob.882 Etc 1.666 13 2 Adware.Kraddare.CA Adware 1,555 14 New Exploit.CVE-2012-0754.Gen Exploit 1,495 15 New Trojan.Generic.5663343 Trojan 1,471 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 감염악성코드 Top 15는사용자 PC에서탐지된악성코드를기반으로산출한통계입니다. 3월의감염악성코드 TOP 15는 Spyware.OnlineGames.wsxp가 8,685건으로 TOP 15 중지난 2월에 이어압도적인 1위를차지했으며, 감염자수는소폭증가했습니다. 2위는 3월에새롭게 Top 15에 진입한 Adware.Kor.Adware.Symax가차지했습니다. Adware.Kor.Adware.Symax는사용자모르게 Run 레지스트리에등록되어부팅시자동실행이되며, 실행이된이후에는사용자가검색창에입 력하는검색어에따라추가적인광고창을팝업시키는악성애드웨어입니다. 3월에도 2월과마찬가지로주말 ( 대부분금요일오후 ~ 월요일오전사이 ) 를이용한온라인게임 계정유출악성코드인 Spyware.OnlineGames.wsxp가가장많이탐지되었습니다. 그외 3월에는 Top15에새로진입한악성코드가총 13개나된다는부분이이색적입니다. 페이지 3

(2) 카테고리별악성코드유형 백도어 (Backdoor) 5% 트로이목마 (Trojan) 스파이웨어 (Spyware) 트로이목마기타 (Etc) 애드웨어 (Adware) (Trojan) 16% 웜 (Worm) 26% 취약점 (Exploit) 5% 취약점 (Exploit) 4% 애드웨어 (Adware) 15% 스파이웨어 (Spyware) 29% 웜 (Worm) 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 악성코드유형별비율에서스파이웨어 (Spyware) 와트로이목마 (Trojan) 유형이각각 29% 와 26% 로 가장많은비율을차지하였고, 기타 (Etc) 와애드웨어 (Adware) 도각각 16%, 15% 의비율로뒤를이 었습니다. (3) 카테고리별악성코드비율전월비교 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 호스트파일 (Host) 기타 (Etc) 0% 0% 5% 5% 0% 4% 0% 0% 0% 5% 0% 0% 17% 26% 31% 29% 17% 15% 30% 16% 2 월 3 월 0% 20% 40% 60% 80% 100% 3월의특이사항은 2월에비해트로이목마 (Trojan) 유형의악성코드가전월에비해크게증가했습니다. 사용자의로그인정보등을유출시키는스파이웨어 (Spyware) 의경우, 2월에비해 3월에감염자수는늘었으나트로이목마가급증한관계로카테고리별악성코드비율이소폭감소되었습니다. 페이지 4

(4) 월별피해신고추이 [2011 년 4 월 ~ 2012 년 3 월 ] 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 1 월 2 월 3 월 알약사용자의신고를합산에서산출한결과임월별피해신고추이는알약사용자의신고를합산해서산출한결과로써, 월별신고건수를나타내는그래프입니다. 알약 2.0의자동신고기능에의해접수된데이터가지난 11월이후올해 2월까지는꾸준히감소추세를보이다가이번 3월부터신고건수가소폭증가하였습니다. (5) 월별악성코드 DB 등록추이 [2011 년 4 월 ~ 2012 년 3 월 ] 201104 201105 201106 201107 201108 201109 201110 201111 201112 201201 201202 201203 Adware Spyware Hijacker KeyLogger Exploit RAT Trojan Worm Backdoor Downloader Dropper Misc 페이지 5

Part Ⅰ 3 월의악성코드통계 2. 악성코드이슈분석 Trojan.Rootkit.LoaderA (1) 개요 1 대상파일 파일명 Hash Size ahnurl.sys F386663EB8A0BF17AD4BB89D7FF4992C 28,928 2 프로그램흐름도 최초실행되는 Dropper 의경우악성 DLL(setupball.bmp) 과드라이버파일을 Drop 및설 치하는행동을한다. dat 파일의경우 Flag 를위한정보를탐은 data 파일로정확한용도는 확인할수없었다. 이문서에서는 ahnurl.sys 파일에대한상세분석을기술하였다. (2) 악성코드분석 1 DKOM을이용한드라이버은닉다음은설치된 ahnurl 드라이버에대한오브젝트일부이다. 드라이버는스스로를은닉하기위해오브젝트오프셋 +14h 위치의 (DriverSection) 메모리를접근한다. DriverSection은이중링크드리스트로이루어진드라이버리스트에대한정보를제공하기때문에여기에접근하여링크된리스트항목의앞뒤드라이버를자신을뺀채연결하고자신을리스트에서조회되지않도록수정한다. 페이지 6

그림 1. DriverObject 의 DriverSection 그림 2. DriverSection 을통한 Driver Linked List 수정 ( 전 / 후 ) 2 SSDT Hook 악성코드는자신을보호하기위해다음의 Native API 대해 Hook 을한다. NtQueryDirectoryFile(+244), NtEnumerateKey(+11c), ZwEnumerateValueKey(+124) 그림 3. SSDT Hook 위의함수들은레지스트리및파일을조회할때호출되는데, 이는인자값을감시하여자 신이원하는레지스트리나파일을삭제하지못하도록보호하기위함이다. *Hook 으로인 해실행되는함수는별도로분석하지않았다. 3 NtMapViewOfSection API Inline Code Patch 우선 NtMapViewOfSection함수를패치하는목적은다음과같다. 프로세스는새롭게생성될때 OS에의해독립적인유저메모리를공간을할당받고이공간을통해서코드를실행한다. 특히 DLL은효율적인메모리활용을위해 Mapping된파일을불러오게되어있는데해당정보를조회할때 NtMapViewOfsection이호출되게된다. 따라서이함수를수정하면 DLL이로드됨과동시에자신이원하는행동도임의실행할수있게되는것이다. 페이지 7

그림 4. NtMapViewOfSection API 수정 ( 전 / 후 ) Patch 가된 NtMapViewOfSection API 는사전에 buffer 에저장한주소로점프하게되는데 해당주소코드의역할은주요온라인게임계정을해킹하는악성코드 DLL 파일을로드하게 된다. 그림 5. NtMapViewOfSection Patch 를통한악성 DLL 로드 페이지 8

Part Ⅰ 3 월의악성코드통계 3. 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 3389 3% 110 3% 23 1% 4899 1% 25 8% 3306 9% 1433 73% 80 1% 1080 1% 1433 3306 25 110 3389 23 4899 80 1080 143 (2) 상위 Top 5 포트월별추이 [2012 년 01 월 ~ 2012 년 03 월 ] 2012 년 3 월 2012 년 2 월 2012 년 1 월 1433 3306 25 23 3389 페이지 9

(3) 악성트래픽유입추이 [2011 년 10 월 ~ 2012 년 03 월 ] 2011 년 10 월 2011 년 11 월 2011 년 12 월 2012 년 1 월 2012 년 2 월 2012 년 3 월 10 페이지

2012-3-1 2012-3-3 2012-3-5 2012-3-7 2012-3-9 2012-3-11 2012-3-13 2012-3-15 2012-3-17 2012-3-19 2012-3-21 2012-3-23 2012-3-25 2012-3-27 2012-3-29 2012-3-31 Part Ⅰ 3 월의악성코드통계 4. 스팸메일분석 (1) 일별스팸및바이러스통계현황 35,000 30,000 25,000 20,000 15,000 10,000 5,000 바이러스 스팸 0 일별스팸및바이러스통계현황그래프는하루에오는바이러스및스팸메일의개수를나타내 는그래프입니다. 3 월의경우 2 월에비해스팸메일통계수치및바이러스통계수치가소폭상승 하였습니다. (2) 월별통계현황 [2011 년 10 월 ~ 2012 년 3 월 ] 600,000 500,000 400,000 3.5% 4.2% 3.7% 4.3% 300,000 200,000 100,000 96.5 95.8 96.3 95.7 3.9% 4.7% 96.1 95.3 바이러스 스팸 0 10 월 11 월 12 월 1 월 2 월 3 월 월별통계현황은전체악성메일중단순스팸메일과악성코드첨부메일의각비율을나타내는 그래프입니다. 3 월에는스팸메일이 95.3%, 바이러스첨부메일이 4.7% 의비율로수신된것으로 나타났습니다. 11 페이지

(3) 스팸메일내의악성코드현황 [2012 년 3 월 1 일 ~ 2012 년 3 월 31 일 ]ff 순위 악성코드진단명 메일수 [ 개 ] 비율 [%] 1 W32/Mytob-C 6,710 44.76% 2 W32/MyDoom-H 3,364 22.44% 3 Mal/ZipMal-B 2,312 15.42% 4 W32/Virut-T 471 3.14% 5 W32/Lovgate-V 421 2.81% 6 W32/Mytob-G 316 2.11% 7 Troj/Invo-Zip 134 0.89% 8 Mal/BredoZp-D 120 0.80% 9 W32/Bagz-D 91 0.61% 10 Mal/BredoZp-B 87 0.58% 스팸메일내의악성코드현황은 3월한달동안수신된메일에서발견된악성코드중 Top 10을뽑은그래프입니다. 현재 W32/Mytob-C가 44.76% 로 1,2월에이어 3달연속으로 1위를차지하였으며, 2위는 22.44% 를차지한 W32/MyDoom-H, 3위는 15.42% 를차지한 Mal/ZipMal-B입니다. 2위와 3위역시비율의변화는있었으나지난달과동일한순위를보이고있습니다. 12 페이지

Part Ⅱ 보안이슈돋보기 1. 3 월의보안이슈 국내최대포털사이트가자사의뉴스캐스트에서악성코드가포함된인터넷기사를차단해이슈가되었습니다. 그밖에구글서비스개인정보통합, 개인병원홈페이지비밀상담글노출문제, 카카오톡을이용한피싱사기등이 3월의이슈가되었습니다. 구글논란속개인정보통합구글이운영하는 60개서비스의사용자정보를통합하는구글의새개인정보취급정책이많은논란중에 3월부터시행되었습니다. 방송통신위원회는개인정보의활용목적을이용자에게충분히알리고각각동의를받으라는권고를하였습니다. 악성코드유포언론사, 기사차단국내최대포털사이트는인터넷뉴스기사내악성코드가포함되었다는것을이유로뉴스캐스트서비스에서 8개언론사의기사를차단했습니다. 포털측은이용자를악성코드로부터보호하기위한조치라고했지만, 파급력있는포털사이트가특정언론의기사를차단했다는점에서언론계는반발하며우려를나타냈으며, 포탈측더기사차단정책을일단보류하고신중히검토한다는입장입니다. 특정언론사에직접적인해킹공격발생일부언론사가자사의서버에직접해킹공격을받아악성코드를배포했습니다. 인터넷신문기사를통해악성코드가유포되는경우, 주로광고대행사의서버가공격을당하게되는데이번공격은언론사서버가직접해킹되어이례적입니다. 뉴스캐스트차단등의목적을지닌해킹이라는주장도있었지만확인되지는않았습니다. 모바일뱅킹해킹앱기승변조된스마트폰응용프로그램을통해모바일뱅킹에접속하는사례가수년동안확산되고있으며금융기관들이이에대해거의무방비상태라는지적이나왔습니다. 검증되지않은해킹앱을사용해은행에접속하거나, 접속중에개인뱅킹정보를입력하면정보가유출될수있으므로위험합니다. 지난해 10월개정고시된전자금융감독규정에 전자금융거래프로그램의위 변조여부등무결성을검증할수있는방법제공 에관한의무규정이신설됨에따라시중은행들은 4월 10일까지이에대해대비를해야합니다. 일부은행들은변조된해킹앱을통해서는뱅킹에접속할수없도록보안조치를완료했다고밝혔습니다. 카카오톡이용한피싱사기사례발생서울동작경찰서는카카오톡이용자가메신저피싱을당했다고신고해옴에따라수사에착수했습니다. 피해자는평소카카오톡으로대화를하던친구로부터급하게돈을빌려달라는부탁을받았으며평소처럼대화명과사진이같아의심없이송금했지만 10분후에사 13 페이지

기피해임을알았다고합니다. SNS 피싱의사기수법이끊임없이발전하고있어온라인송금 시에는항상상대방이맞는지, 가짜기관은아닌지를확인하는습관이필요합니다. 개인병원홈페이지상담글보안허술개인병원들이의료시술상담을위해운영하고있는게시판의비밀상담글이손쉽게노출될수있는문제가드러났습니다. 특히, 별다른해킹기술없이도주소창의숫자를변경하는것만으로비밀상담글을열람할수있어개인병원홈페이지의보안강화가시급하다는지적입니다. 2. 4월의취약점이슈 Microsoft 4월정기보안업데이트 Internet Explorer 누적보안업데이트, Windows의취약점으로인한원격코드실행문제,.NET Framework의취약점으로인한원격코드실행문제, Windows 공용컨트롤의취약점으로인한원격코드실행문제해결등을포함한 Microsoft 4월정기보안업데이트가발표되었습니다. < 해당제품 > Windows XP Windows Vista Windows 7 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 < 취약점목록 > Internet Explorer 누적보안업데이트 (2675157) 이보안업데이트는 Internet Explorer에서발견되어비공개적으로보고된취약점 5건을해결합니다. 가장위험한취약점으로인해사용자가 Internet Explorer를사용하여특수하게조작된웹페이지를볼경우원격코드실행이허용될수있습니다. 이러한취약점중하나를성공적으로악용한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Windows 의취약점으로인한원격코드실행문제점 (2653956) 이보안업데이트는비공개적으로보고된 Microsoft Windows 의취약점을해결합니다. 이 취약점으로인해사용자나응용프로그램이영향을받는시스템에서특수하게조작되고 14 페이지

서명된이식가능한실행 (PE) 파일을실행또는설치할경우원격코드실행이허용될수 있습니다..NET Framework의취약점으로인한원격코드실행문제점 (2671605) 이보안업데이트는비공개적으로보고된 Microsoft.NET Framework의취약점한가지를해결합니다. 사용자가 XBAP(XAML 브라우저응용프로그램 ) 을실행할수있는웹브라우저를사용하여특수하게조작된웹페이지를볼경우이취약점으로인해클라이언트시스템에서원격코드가실행될수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. 서버에서 ASP.NET 페이지처리를허용하고공격자가해당서버에특수하게조작한 ASP.NET 페이지를성공적으로업로드하여실행할경우이취약점으로인해 IIS를실행하는서버시스템에서원격코드실행이허용될수있습니다. 이러한경우는웹호스팅시나리오에서발생할수있습니다. 이취약점은 CAS( 코드액세스보안 ) 제한을우회하기위해 Windows.NET 응용프로그램에서사용될수도있습니다. 웹탐색을통한공격의경우공격자는호스팅하는웹사이트에이취약점을악용하는웹페이지를포함할수있습니다. 또한사용자가제공한콘텐츠나광고를허용하거나호스팅하는공격당한웹사이트에는이취약점을악용할수있는특수하게조작된콘텐츠가포함되어있을수있습니다. 그러나어떠한경우에도공격자는강제로사용자가이러한웹사이트를방문하도록만들수없습니다. 대신공격자는사용자가전자메일메시지또는인스턴트메신저메시지의링크를클릭하여공격자의웹사이트를방문하도록유도하는것이일반적입니다. Windows 공용컨트롤의취약점으로인한원격코드실행문제점 (2664258) 이보안업데이트는 Windows 공용컨트롤의비공개적으로보고된취약점을해결합니다. 이취약점으로인해사용자가취약점을악용하도록설계된특수하게조작된콘텐츠가포함된웹사이트를방문할경우원격코드실행이허용될수있습니다. 그러나어떠한경우에도공격자는강제로사용자가이러한웹사이트를방문하도록만들수없습니다. 대신공격자는사용자가전자메일메시지또는인스턴트메신저메시지의링크를클릭하여공격자의웹사이트를방문하도록유도하는것이일반적입니다. 악성파일은전자메일첨부파일로도전송될수있지만공격자가이취약점을악용하려면사용자가첨부파일을열도록유도해야합니다. Forefront UAG(Unified Access Gateway) 의취약점으로인한정보유출문제점 (2663860) 이보안업데이트는 Microsoft Forefront UAG(Unified Access Gateway) 에서비공개적으로보고된취약점 2건을해결합니다. 가장심각한취약점으로인해공격자가 UAG 서버에특수하게조작된쿼리를보내면정보유출이발생할수있습니다. Microsoft Office 의취약점으로인한원격코드실행문제점 (2639185) 이보안업데이트는비공개적으로보고된 Microsoft Office 및 Microsoft Works 의취약점 15 페이지

을해결합니다. 이러한취약점으로인해사용자가특수하게조작된 Works 파일을열경우원격코드실행이허용될수있습니다. 취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. < 해결책 > Windows Update 를수행하거나 Microsoft 보안공지요약사이트에서해당취약점들의개 별적인패치파일을다운로드받을수있습니다. 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms12-apr 영문 : http://technet.microsoft.com/en-us/security/bulletin/ms12-apr Adobe Reader/Acrobat 신규취약점주의권고 CVE Number : CVE-2012-0777 외 Adobe Reader 및 Acrobat에영향을주는다중의취약점을해결한보안업데이트가발표되었습니다. 낮은버전의 Adobe Reader/Acrobat 사용자는악성코드감염에취약할수있으므로해결방안에따라최신버전으로업데이트하시기바랍니다. < 해당제품 > 윈도우, 매킨토시환경에서동작하는 Adobe Reader X (10.1.2) 및 10.x 이전버전 윈도우, 매킨토시환경에서동작하는 Adobe Reader 9.5 및 9.x 이전버전 리눅스환경에서동작하는 Adobe Reader 9.4.6 및 9.x 이전버전 윈도우, 매킨토시환경에서동작하는 Adobe Acrobat X (10.1.2) 및 10.x 이전버전 윈도우, 매킨토시환경에서동작하는 Adobe Acrobat 9.5 및 9.x 이전버전 < 해결방법 > Adobe Reader 사용자아래의 Adobe Download Center를방문하여업데이트버전을설치하거나 [ 메뉴 ] [ 도움말 ] [ 업데이트확인 ] 을이용하여업그레이드 - 윈도우환경에서동작하는 Adobe Reader 9.x 사용자 http://www.adobe.com/support/downloads/product.jsp?product=10&platform=windows Adobe Acrobat 사용자 아래의 Adobe Download Center 를방문하여업데이트버전을설치하거나 [ 메뉴 ] [ 도움 말 ] [ 업데이트확인 ] 을이용하여업그레이드 16 페이지

- 윈도우환경에서동작하는 Adobe Acrobat Standard/Pro 사용자 http://www.adobe.com/support/downloads/product.jsp?product=1&platform=windows - 윈도우환경에서동작하는 Adobe Acrobat Pro Extended 사용자 http://www.adobe.com/support/downloads/product.jsp?product=158&platform=windows < 참고사이트 > http://www.adobe.com/support/security/bulletins/apsb12-08.html 17 페이지

Contact us 이스트소프트알약대응팀 Tel : 02-3470-2999 E-mail : help@alyac.co.kr : 알약홈페이지 : www.alyac.co.kr http://expose.estsoft.com/?event=201111181660299 18 페이지