목차 Part Ⅰ 3 월의악성코드통계... 3 1. 악성코드통계... 3 (1) 감염악성코드 Top 15... 3 (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이... 5 2. 악성코드이슈분석 Trojan.Rootkit.LoaderA... 6 (1) 개요... 6 (2) 악성코드분석... 6 3. 허니팟 / 트래픽분석... 9 (1) 상위 Top 10 포트... 9 (2) 상위 Top 5 포트월별추이... 9 (3) 악성트래픽유입추이... 10 4. 스팸메일분석... 11 (1) 일별스팸및바이러스통계현황... 11 (2) 월별통계현황... 11 (3) 스팸메일내의악성코드현황... 12 Part Ⅱ 보안이슈돋보기... 13 1. 3 월의보안이슈... 13 2. 4 월의취약점이슈... 14 페이지 2
Part Ⅰ 3 월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 [2012년 3월 1일 ~ 2012년 3월 31일 ] 순위 악성코드진단명 카테고리 합계 ( 감염자수 ) 1 - Spyware.OnlineGames.wsxp Spyware 8,685 2 New Adware.KorAdware.Symax Adware 3,874 3 New Variant.Graftor.17181 Etc 2,486 4 New Trojan.Generic.KDV.569556 Trojan 2,171 5 New Trojan.Generic.7283501 Trojan 2,156 6 New Trojan.Generic.7254154 Trojan 1,930 7 New Script.SWF.Cxx Etc 1,852 8 New Backdoor.Agent.RDS Backdoor 1,822 9 New Spyware.Lineag-GLG Spyware 1,795 10 New Trojan.JS.Agent.FFG Trojan 1,787 11 New Worm.Conficker Worm 1,684 12 New Gen:Variant.Graftor.Elzob.882 Etc 1.666 13 2 Adware.Kraddare.CA Adware 1,555 14 New Exploit.CVE-2012-0754.Gen Exploit 1,495 15 New Trojan.Generic.5663343 Trojan 1,471 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 감염악성코드 Top 15는사용자 PC에서탐지된악성코드를기반으로산출한통계입니다. 3월의감염악성코드 TOP 15는 Spyware.OnlineGames.wsxp가 8,685건으로 TOP 15 중지난 2월에 이어압도적인 1위를차지했으며, 감염자수는소폭증가했습니다. 2위는 3월에새롭게 Top 15에 진입한 Adware.Kor.Adware.Symax가차지했습니다. Adware.Kor.Adware.Symax는사용자모르게 Run 레지스트리에등록되어부팅시자동실행이되며, 실행이된이후에는사용자가검색창에입 력하는검색어에따라추가적인광고창을팝업시키는악성애드웨어입니다. 3월에도 2월과마찬가지로주말 ( 대부분금요일오후 ~ 월요일오전사이 ) 를이용한온라인게임 계정유출악성코드인 Spyware.OnlineGames.wsxp가가장많이탐지되었습니다. 그외 3월에는 Top15에새로진입한악성코드가총 13개나된다는부분이이색적입니다. 페이지 3
(2) 카테고리별악성코드유형 백도어 (Backdoor) 5% 트로이목마 (Trojan) 스파이웨어 (Spyware) 트로이목마기타 (Etc) 애드웨어 (Adware) (Trojan) 16% 웜 (Worm) 26% 취약점 (Exploit) 5% 취약점 (Exploit) 4% 애드웨어 (Adware) 15% 스파이웨어 (Spyware) 29% 웜 (Worm) 기타 (Etc) 백도어 (Backdoor) 바이러스 (Virus) 하이재커 (Hijacker) 호스트파일 (Host) 악성코드유형별비율에서스파이웨어 (Spyware) 와트로이목마 (Trojan) 유형이각각 29% 와 26% 로 가장많은비율을차지하였고, 기타 (Etc) 와애드웨어 (Adware) 도각각 16%, 15% 의비율로뒤를이 었습니다. (3) 카테고리별악성코드비율전월비교 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 호스트파일 (Host) 기타 (Etc) 0% 0% 5% 5% 0% 4% 0% 0% 0% 5% 0% 0% 17% 26% 31% 29% 17% 15% 30% 16% 2 월 3 월 0% 20% 40% 60% 80% 100% 3월의특이사항은 2월에비해트로이목마 (Trojan) 유형의악성코드가전월에비해크게증가했습니다. 사용자의로그인정보등을유출시키는스파이웨어 (Spyware) 의경우, 2월에비해 3월에감염자수는늘었으나트로이목마가급증한관계로카테고리별악성코드비율이소폭감소되었습니다. 페이지 4
(4) 월별피해신고추이 [2011 년 4 월 ~ 2012 년 3 월 ] 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 1 월 2 월 3 월 알약사용자의신고를합산에서산출한결과임월별피해신고추이는알약사용자의신고를합산해서산출한결과로써, 월별신고건수를나타내는그래프입니다. 알약 2.0의자동신고기능에의해접수된데이터가지난 11월이후올해 2월까지는꾸준히감소추세를보이다가이번 3월부터신고건수가소폭증가하였습니다. (5) 월별악성코드 DB 등록추이 [2011 년 4 월 ~ 2012 년 3 월 ] 201104 201105 201106 201107 201108 201109 201110 201111 201112 201201 201202 201203 Adware Spyware Hijacker KeyLogger Exploit RAT Trojan Worm Backdoor Downloader Dropper Misc 페이지 5
Part Ⅰ 3 월의악성코드통계 2. 악성코드이슈분석 Trojan.Rootkit.LoaderA (1) 개요 1 대상파일 파일명 Hash Size ahnurl.sys F386663EB8A0BF17AD4BB89D7FF4992C 28,928 2 프로그램흐름도 최초실행되는 Dropper 의경우악성 DLL(setupball.bmp) 과드라이버파일을 Drop 및설 치하는행동을한다. dat 파일의경우 Flag 를위한정보를탐은 data 파일로정확한용도는 확인할수없었다. 이문서에서는 ahnurl.sys 파일에대한상세분석을기술하였다. (2) 악성코드분석 1 DKOM을이용한드라이버은닉다음은설치된 ahnurl 드라이버에대한오브젝트일부이다. 드라이버는스스로를은닉하기위해오브젝트오프셋 +14h 위치의 (DriverSection) 메모리를접근한다. DriverSection은이중링크드리스트로이루어진드라이버리스트에대한정보를제공하기때문에여기에접근하여링크된리스트항목의앞뒤드라이버를자신을뺀채연결하고자신을리스트에서조회되지않도록수정한다. 페이지 6
그림 1. DriverObject 의 DriverSection 그림 2. DriverSection 을통한 Driver Linked List 수정 ( 전 / 후 ) 2 SSDT Hook 악성코드는자신을보호하기위해다음의 Native API 대해 Hook 을한다. NtQueryDirectoryFile(+244), NtEnumerateKey(+11c), ZwEnumerateValueKey(+124) 그림 3. SSDT Hook 위의함수들은레지스트리및파일을조회할때호출되는데, 이는인자값을감시하여자 신이원하는레지스트리나파일을삭제하지못하도록보호하기위함이다. *Hook 으로인 해실행되는함수는별도로분석하지않았다. 3 NtMapViewOfSection API Inline Code Patch 우선 NtMapViewOfSection함수를패치하는목적은다음과같다. 프로세스는새롭게생성될때 OS에의해독립적인유저메모리를공간을할당받고이공간을통해서코드를실행한다. 특히 DLL은효율적인메모리활용을위해 Mapping된파일을불러오게되어있는데해당정보를조회할때 NtMapViewOfsection이호출되게된다. 따라서이함수를수정하면 DLL이로드됨과동시에자신이원하는행동도임의실행할수있게되는것이다. 페이지 7
그림 4. NtMapViewOfSection API 수정 ( 전 / 후 ) Patch 가된 NtMapViewOfSection API 는사전에 buffer 에저장한주소로점프하게되는데 해당주소코드의역할은주요온라인게임계정을해킹하는악성코드 DLL 파일을로드하게 된다. 그림 5. NtMapViewOfSection Patch 를통한악성 DLL 로드 페이지 8
Part Ⅰ 3 월의악성코드통계 3. 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 3389 3% 110 3% 23 1% 4899 1% 25 8% 3306 9% 1433 73% 80 1% 1080 1% 1433 3306 25 110 3389 23 4899 80 1080 143 (2) 상위 Top 5 포트월별추이 [2012 년 01 월 ~ 2012 년 03 월 ] 2012 년 3 월 2012 년 2 월 2012 년 1 월 1433 3306 25 23 3389 페이지 9
(3) 악성트래픽유입추이 [2011 년 10 월 ~ 2012 년 03 월 ] 2011 년 10 월 2011 년 11 월 2011 년 12 월 2012 년 1 월 2012 년 2 월 2012 년 3 월 10 페이지
2012-3-1 2012-3-3 2012-3-5 2012-3-7 2012-3-9 2012-3-11 2012-3-13 2012-3-15 2012-3-17 2012-3-19 2012-3-21 2012-3-23 2012-3-25 2012-3-27 2012-3-29 2012-3-31 Part Ⅰ 3 월의악성코드통계 4. 스팸메일분석 (1) 일별스팸및바이러스통계현황 35,000 30,000 25,000 20,000 15,000 10,000 5,000 바이러스 스팸 0 일별스팸및바이러스통계현황그래프는하루에오는바이러스및스팸메일의개수를나타내 는그래프입니다. 3 월의경우 2 월에비해스팸메일통계수치및바이러스통계수치가소폭상승 하였습니다. (2) 월별통계현황 [2011 년 10 월 ~ 2012 년 3 월 ] 600,000 500,000 400,000 3.5% 4.2% 3.7% 4.3% 300,000 200,000 100,000 96.5 95.8 96.3 95.7 3.9% 4.7% 96.1 95.3 바이러스 스팸 0 10 월 11 월 12 월 1 월 2 월 3 월 월별통계현황은전체악성메일중단순스팸메일과악성코드첨부메일의각비율을나타내는 그래프입니다. 3 월에는스팸메일이 95.3%, 바이러스첨부메일이 4.7% 의비율로수신된것으로 나타났습니다. 11 페이지
(3) 스팸메일내의악성코드현황 [2012 년 3 월 1 일 ~ 2012 년 3 월 31 일 ]ff 순위 악성코드진단명 메일수 [ 개 ] 비율 [%] 1 W32/Mytob-C 6,710 44.76% 2 W32/MyDoom-H 3,364 22.44% 3 Mal/ZipMal-B 2,312 15.42% 4 W32/Virut-T 471 3.14% 5 W32/Lovgate-V 421 2.81% 6 W32/Mytob-G 316 2.11% 7 Troj/Invo-Zip 134 0.89% 8 Mal/BredoZp-D 120 0.80% 9 W32/Bagz-D 91 0.61% 10 Mal/BredoZp-B 87 0.58% 스팸메일내의악성코드현황은 3월한달동안수신된메일에서발견된악성코드중 Top 10을뽑은그래프입니다. 현재 W32/Mytob-C가 44.76% 로 1,2월에이어 3달연속으로 1위를차지하였으며, 2위는 22.44% 를차지한 W32/MyDoom-H, 3위는 15.42% 를차지한 Mal/ZipMal-B입니다. 2위와 3위역시비율의변화는있었으나지난달과동일한순위를보이고있습니다. 12 페이지
Part Ⅱ 보안이슈돋보기 1. 3 월의보안이슈 국내최대포털사이트가자사의뉴스캐스트에서악성코드가포함된인터넷기사를차단해이슈가되었습니다. 그밖에구글서비스개인정보통합, 개인병원홈페이지비밀상담글노출문제, 카카오톡을이용한피싱사기등이 3월의이슈가되었습니다. 구글논란속개인정보통합구글이운영하는 60개서비스의사용자정보를통합하는구글의새개인정보취급정책이많은논란중에 3월부터시행되었습니다. 방송통신위원회는개인정보의활용목적을이용자에게충분히알리고각각동의를받으라는권고를하였습니다. 악성코드유포언론사, 기사차단국내최대포털사이트는인터넷뉴스기사내악성코드가포함되었다는것을이유로뉴스캐스트서비스에서 8개언론사의기사를차단했습니다. 포털측은이용자를악성코드로부터보호하기위한조치라고했지만, 파급력있는포털사이트가특정언론의기사를차단했다는점에서언론계는반발하며우려를나타냈으며, 포탈측더기사차단정책을일단보류하고신중히검토한다는입장입니다. 특정언론사에직접적인해킹공격발생일부언론사가자사의서버에직접해킹공격을받아악성코드를배포했습니다. 인터넷신문기사를통해악성코드가유포되는경우, 주로광고대행사의서버가공격을당하게되는데이번공격은언론사서버가직접해킹되어이례적입니다. 뉴스캐스트차단등의목적을지닌해킹이라는주장도있었지만확인되지는않았습니다. 모바일뱅킹해킹앱기승변조된스마트폰응용프로그램을통해모바일뱅킹에접속하는사례가수년동안확산되고있으며금융기관들이이에대해거의무방비상태라는지적이나왔습니다. 검증되지않은해킹앱을사용해은행에접속하거나, 접속중에개인뱅킹정보를입력하면정보가유출될수있으므로위험합니다. 지난해 10월개정고시된전자금융감독규정에 전자금융거래프로그램의위 변조여부등무결성을검증할수있는방법제공 에관한의무규정이신설됨에따라시중은행들은 4월 10일까지이에대해대비를해야합니다. 일부은행들은변조된해킹앱을통해서는뱅킹에접속할수없도록보안조치를완료했다고밝혔습니다. 카카오톡이용한피싱사기사례발생서울동작경찰서는카카오톡이용자가메신저피싱을당했다고신고해옴에따라수사에착수했습니다. 피해자는평소카카오톡으로대화를하던친구로부터급하게돈을빌려달라는부탁을받았으며평소처럼대화명과사진이같아의심없이송금했지만 10분후에사 13 페이지
기피해임을알았다고합니다. SNS 피싱의사기수법이끊임없이발전하고있어온라인송금 시에는항상상대방이맞는지, 가짜기관은아닌지를확인하는습관이필요합니다. 개인병원홈페이지상담글보안허술개인병원들이의료시술상담을위해운영하고있는게시판의비밀상담글이손쉽게노출될수있는문제가드러났습니다. 특히, 별다른해킹기술없이도주소창의숫자를변경하는것만으로비밀상담글을열람할수있어개인병원홈페이지의보안강화가시급하다는지적입니다. 2. 4월의취약점이슈 Microsoft 4월정기보안업데이트 Internet Explorer 누적보안업데이트, Windows의취약점으로인한원격코드실행문제,.NET Framework의취약점으로인한원격코드실행문제, Windows 공용컨트롤의취약점으로인한원격코드실행문제해결등을포함한 Microsoft 4월정기보안업데이트가발표되었습니다. < 해당제품 > Windows XP Windows Vista Windows 7 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 < 취약점목록 > Internet Explorer 누적보안업데이트 (2675157) 이보안업데이트는 Internet Explorer에서발견되어비공개적으로보고된취약점 5건을해결합니다. 가장위험한취약점으로인해사용자가 Internet Explorer를사용하여특수하게조작된웹페이지를볼경우원격코드실행이허용될수있습니다. 이러한취약점중하나를성공적으로악용한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. Windows 의취약점으로인한원격코드실행문제점 (2653956) 이보안업데이트는비공개적으로보고된 Microsoft Windows 의취약점을해결합니다. 이 취약점으로인해사용자나응용프로그램이영향을받는시스템에서특수하게조작되고 14 페이지
서명된이식가능한실행 (PE) 파일을실행또는설치할경우원격코드실행이허용될수 있습니다..NET Framework의취약점으로인한원격코드실행문제점 (2671605) 이보안업데이트는비공개적으로보고된 Microsoft.NET Framework의취약점한가지를해결합니다. 사용자가 XBAP(XAML 브라우저응용프로그램 ) 을실행할수있는웹브라우저를사용하여특수하게조작된웹페이지를볼경우이취약점으로인해클라이언트시스템에서원격코드가실행될수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. 서버에서 ASP.NET 페이지처리를허용하고공격자가해당서버에특수하게조작한 ASP.NET 페이지를성공적으로업로드하여실행할경우이취약점으로인해 IIS를실행하는서버시스템에서원격코드실행이허용될수있습니다. 이러한경우는웹호스팅시나리오에서발생할수있습니다. 이취약점은 CAS( 코드액세스보안 ) 제한을우회하기위해 Windows.NET 응용프로그램에서사용될수도있습니다. 웹탐색을통한공격의경우공격자는호스팅하는웹사이트에이취약점을악용하는웹페이지를포함할수있습니다. 또한사용자가제공한콘텐츠나광고를허용하거나호스팅하는공격당한웹사이트에는이취약점을악용할수있는특수하게조작된콘텐츠가포함되어있을수있습니다. 그러나어떠한경우에도공격자는강제로사용자가이러한웹사이트를방문하도록만들수없습니다. 대신공격자는사용자가전자메일메시지또는인스턴트메신저메시지의링크를클릭하여공격자의웹사이트를방문하도록유도하는것이일반적입니다. Windows 공용컨트롤의취약점으로인한원격코드실행문제점 (2664258) 이보안업데이트는 Windows 공용컨트롤의비공개적으로보고된취약점을해결합니다. 이취약점으로인해사용자가취약점을악용하도록설계된특수하게조작된콘텐츠가포함된웹사이트를방문할경우원격코드실행이허용될수있습니다. 그러나어떠한경우에도공격자는강제로사용자가이러한웹사이트를방문하도록만들수없습니다. 대신공격자는사용자가전자메일메시지또는인스턴트메신저메시지의링크를클릭하여공격자의웹사이트를방문하도록유도하는것이일반적입니다. 악성파일은전자메일첨부파일로도전송될수있지만공격자가이취약점을악용하려면사용자가첨부파일을열도록유도해야합니다. Forefront UAG(Unified Access Gateway) 의취약점으로인한정보유출문제점 (2663860) 이보안업데이트는 Microsoft Forefront UAG(Unified Access Gateway) 에서비공개적으로보고된취약점 2건을해결합니다. 가장심각한취약점으로인해공격자가 UAG 서버에특수하게조작된쿼리를보내면정보유출이발생할수있습니다. Microsoft Office 의취약점으로인한원격코드실행문제점 (2639185) 이보안업데이트는비공개적으로보고된 Microsoft Office 및 Microsoft Works 의취약점 15 페이지
을해결합니다. 이러한취약점으로인해사용자가특수하게조작된 Works 파일을열경우원격코드실행이허용될수있습니다. 취약점악용에성공한공격자는현재사용자와동일한권한을얻을수있습니다. 시스템에대한사용자권한이적게구성된계정의사용자는관리자권한으로작업하는사용자에비해영향을적게받습니다. < 해결책 > Windows Update 를수행하거나 Microsoft 보안공지요약사이트에서해당취약점들의개 별적인패치파일을다운로드받을수있습니다. 한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms12-apr 영문 : http://technet.microsoft.com/en-us/security/bulletin/ms12-apr Adobe Reader/Acrobat 신규취약점주의권고 CVE Number : CVE-2012-0777 외 Adobe Reader 및 Acrobat에영향을주는다중의취약점을해결한보안업데이트가발표되었습니다. 낮은버전의 Adobe Reader/Acrobat 사용자는악성코드감염에취약할수있으므로해결방안에따라최신버전으로업데이트하시기바랍니다. < 해당제품 > 윈도우, 매킨토시환경에서동작하는 Adobe Reader X (10.1.2) 및 10.x 이전버전 윈도우, 매킨토시환경에서동작하는 Adobe Reader 9.5 및 9.x 이전버전 리눅스환경에서동작하는 Adobe Reader 9.4.6 및 9.x 이전버전 윈도우, 매킨토시환경에서동작하는 Adobe Acrobat X (10.1.2) 및 10.x 이전버전 윈도우, 매킨토시환경에서동작하는 Adobe Acrobat 9.5 및 9.x 이전버전 < 해결방법 > Adobe Reader 사용자아래의 Adobe Download Center를방문하여업데이트버전을설치하거나 [ 메뉴 ] [ 도움말 ] [ 업데이트확인 ] 을이용하여업그레이드 - 윈도우환경에서동작하는 Adobe Reader 9.x 사용자 http://www.adobe.com/support/downloads/product.jsp?product=10&platform=windows Adobe Acrobat 사용자 아래의 Adobe Download Center 를방문하여업데이트버전을설치하거나 [ 메뉴 ] [ 도움 말 ] [ 업데이트확인 ] 을이용하여업그레이드 16 페이지
- 윈도우환경에서동작하는 Adobe Acrobat Standard/Pro 사용자 http://www.adobe.com/support/downloads/product.jsp?product=1&platform=windows - 윈도우환경에서동작하는 Adobe Acrobat Pro Extended 사용자 http://www.adobe.com/support/downloads/product.jsp?product=158&platform=windows < 참고사이트 > http://www.adobe.com/support/security/bulletins/apsb12-08.html 17 페이지
Contact us 이스트소프트알약대응팀 Tel : 02-3470-2999 E-mail : help@alyac.co.kr : 알약홈페이지 : www.alyac.co.kr http://expose.estsoft.com/?event=201111181660299 18 페이지