2 August 27 8 인터넷침해사고 동향 및 분석 월보
본 보고서내 정부승인통계(승인번호 제2호, 통계작성기관 : 정보통신부)는 웜 바이러스 피해신고 건수, 해킹(스팸릴레이, 피싱경유지, 단순침입시도, 기타해킹, 홈페이지 변조건수)에 한하며, 침해사고 동향분석에 대한 이해를 돕기 위하여 기술된 악성봇 감염률, PC 생존시간, 허니넷 통계 등은 해당되지 않습니다. 본 보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 출처 [자료 : 한국정보보호진흥원 인터넷침해사고대응지원센터]를 명시하여 주시기 바랍니다.
Contents Part 월간 동향 요약... 침해사고 통계 분석 -. 증감 추이(전년, 전월대비)...2-2. 침해사고 통계 요약...2-3. 침해사고 통계 현황 웜 바이러스 신고건수 추이...3 주요 웜 바이러스별 현황....4-4. 해킹 해킹 사고 접수 처리 건수 추이...5 피해기관별분류...6 피해 운영체제별 분류...6 피싱 경유지 신고처리 현황...7 홈페이지 변조 사고처리 현황...9 악성 봇(Bot) 현황... Part 2 허니넷/트래픽 분석 2-. PC 생존시간 분석...2 2-2. 허니넷 트래픽 분석 전체추이...3 Top 3 국가별 공격유형...4 해외 국내...6 국내 국내...8 2-3. 국내 인터넷망 트래픽 분석...2 2-4. 바이러스 월 탐지 웜 바이러스 정보...2 Part 3 월간특집 스팸메일을 통하여 전파되는 악성코드 분석...22 <별첨> 악성코드 유포지/경유지 조기 탐지 및 차단 조치....3 <부록> 주요포트별 서비스 및 관련 악성코드...33 <용어정리>....34 -Ⅰ-
표차례 [표 ] 월간 침해사고 전체 통계....2 [표 2] 월별 국내 웜 바이러스 신고 건수...3 [표 3] 주요 웜 바이러스 신고현황...4 [표 4] 해킹사고 처리 현황...5 [표 5] 해킹사고 피해 기관별 분류...6 [표 6] 해킹사고 피해 운영체제별 분류...6 [표7]피싱경유지신고건수...7 [표 8] 홈페이지 변조 사고처리 현황...9 [표 9] 국내 악성 봇(Bot) 감염률... [표 ] 악성 Bot의 전파에 이용되는 주요 포트 목록... [표 ] Windows XP Pro SP, Windows 2 Pro SP4 생존가능시간...2 [표 2] 허니넷에 유입된 스캔 트래픽 국가별 비율...5 [표 3] 해외 국내(허니넷) 스캔탐지 현황...6 [표 4] 국내 국내(허니넷) 스캔탐지 현황...8 [표 5] 수집된 주요 웜 바이러스 현황...2 그림 차례 (그림 ) 월별 침해사고 전체 통계 그래프...2 (그림 2) 월별 국내 웜 바이러스 신고 건수...3 (그림 3) 해킹사고 접수 처리 건수 유형별 분류...5 (그림 4) 해킹사고 피해 기관별 분류...6 (그림 5) 월별 피싱 경유지 신고건수....7 (그림 6) 월별 홈페이지 변조 사고처리 현황...9 (그림 7) 월별 국내 악성 봇(Bot) 감염률 추이... (그림 8) 전 세계 악성 봇(Bot) 감염 IP 수와 국내 감염 IP 수의 비교... (그림9)악성봇관련포트비율(해외)... (그림)악성봇관련포트비율(국내)... (그림 ) 월별 평균 생존 가능시간 변동 추이....2 (그림 2) Windows XP SP 생존시간 분포 분석...3 (그림 3) Windows 2 SP4 생존시간 분포 분석...3 (그림4)월별허니넷유입트래픽규모...3 (그림 5) 허니넷 유입 트래픽 Top3 국가별 공격유형...4 (그림 6) 해외 국내(허니넷) 스캔탐지 현황...7 (그림 7) 국내 국내(허니넷) 스캔탐지 현황...9 (그림 8) 국내 인터넷망에 유입된 포트트래픽 Top 일별 추이...2 (그림 9) 국내 인터넷망에 유입된 공격유형...2 -Ⅱ-
월간 동향 요약 핫이슈 최근 영문제목의 이메일로 누군가가 당신에게 이카드(e-card) 를 보냈다고 알리고, 카드 내용을 보기 위해서 특정한 사이트로의 접근을 유도한 후, 방문자를 악성코드에 감염시키는 사례가 발생하고 있으므로 출처가 불분명한 이메일에 대한 열람주의, 백신프로그램 업데이트 등 인터넷사용자의 각별한 주의가 필요함 예방 및 대책: http://www.krcert.or.kr/ 보안정보 보안공지 e-card를 가장한 스팸메일 열람 주의 참고 주요 취약점, 웜 바이러스 제 목 영향받는 제품/사용자 영향력/예방 및 대책 참고 사이트 [MS 보안업데이트] 27년 8월 MS 월간 보안 업데이트 권고 o MS Windows 2 SP4, XP SP2, Vista 등 (참고 사이트 참조) - 최신 보안업데이트 설치 http://www.krcert.or.kr/ 보안정보 보안공지 [MS 보안업데이트]27년 8월 MS 월간 보안 업데이트 권고 e-card를 가장한 스팸메일 열람 주의 o 인터넷 e-mail 사용자 - 출처불분명한 이메일 열람주의 - 백신 프로그램 업데이트 실시 - 최신 보안업데이트 설치 http://www.krcert.or.kr/ 보안정보 보안공지 e-card를 가장한 스팸메일 열람 주의 Cisco Catalyst 375 장비 인증우회 취약점 o Cisco Catalyst 375 IOS 2.2 E, F, S, V, Z - Cisco Catalyst 375 운영체제인 IOS를 최신버전으로 업데이트 보안 공지사항에 대한 보다 자세한 내용은 KISA 인터넷침해사고대응지원센터 홈페이지 보안 공지사항 (http://www.krcert.or.kr/ 보안정보 보안공지)에서 확인할 수 있습니다. http://www.krcert.or.kr/ 보안정보 보안공지 Cisco Catalyst 375 장비 인증우회 취약점 통계 분석 웜 바이러스 피해신고는 전월에 비하여 3.% 감소 해킹신고 처리는 전월대비.% 증가 (스팸릴레이, 단순침입시도는 각각 46.7%,.6% 증가하였으며, 피싱경유지, 기타해킹, 홈페이지변조는 각각.3%, 9.5%, 74.2% 감소함) 전 세계 악성 Bot감염 추정PC 대비 국내 감염율은 9.4%로 전월(.%)대비.7%p 감소 PC 생존시간 Windows XP SP : 33분 5초 (전월대비 분 25초 감소 ) Windows 2 SP4 : 44분 44초 (전월대비 8분 26초 증가 ) 인터넷 침해사고 동향 및 분석 월보
Part 침해사고 통계분석 Part 2 Part 3. 침해사고 통계분석 -. 증감 추이(전월대비) 구분 웜 바이러스 해킹신고처리 스팸릴레이 피싱경유지 단순침입시도 기타해킹 홈페이지 변조 악성 봇(Bot) 통계 요약 총 4건 : 전월 ( 424건) 대비 3.% 감소 총,95건 : 전월 (,93건) 대비.% 증가 총,248건 : 전월 ( 85건) 대비 46.7% 증가 총 78건 : 전월 ( 총 37건 : 전월 ( 총 82건 : 전월 ( 총 25건 : 전월 ( 79건) 대비 35건) 대비 2건) 대비 485건) 대비.3% 감소.6% 증가 9.5% 감소 74.2% 감소 전 세계 Bot감염 추정PC대비 국내 감염율은 9.4%로 전월 (.%)대비.7%p 감소 -2. 침해사고 통계 요약 구분 웜 바이러스 [표 ] 월간 침해사고 전체 통계 26 27 27 총계 2 3 4 5 6 7 8 9 2 7,789 58 622 329 395 39 422 424 4 해킹신고처리 26,88 2,58 2,89 2,247 2,22,946,54,93,95 스팸릴레이 4,55,225,473,477,3 972 477 85,248 피싱경유지,266 9 78 96 73 9 68 79 78 단순침입시도 3,7 327 84 44 536 522 478 35 37 기타해킹 4,57 229 26 97 22 27 23 2 82 홈페이지 변조 3,26 287 48 63 89 45 35 485 25 악성 봇(Bot) 2.5% 3.7% 3.%.9%.6%.8%.2%.% 9.4% 총계 3,43 6,82 9,33 752 3,93,657,647.3% 웜 바이러스 신고 접수건수 스팸릴레이 신고 처리건수 피싱 경유지 신고 처리건수,4.2, 8 6 4 2 58 329 395 39 424 4 2,,5,,477,473,225,3,248 5 85 972 477 2 6 2 8 4 9 78 73 68 78 단순침입시도+기타해킹신고 처리 홈페이지 변조사고 처리건수 악성 봇(Bot) 감염비율 2,, 3%,5, 5 556 6 739 748 56 499 8 6 4 2 485 287 48 63 89 45 25 2% % 3.7.2.6..9..8 9.4 (그림 ) 월별 침해사고 전체 통계 그래프 2 27년 8월호
www.krcert.or.kr -3. 침해사고 통계 현황 웜 바이러스 신고건수 추이 [표 2] 월별 국내 웜 바이러스 신고 건수 구분 26 총계 27 27 2 3 4 5 6 7 8 9 2 신고건수 7,789 58 622 329 395 39 422 424 4 3,43 웜 바이러스 신고건수는 KISA, ㄜ안철수연구소, ㄜ하우리가 공동으로 집계한 결과임 총계,4,2, 8 6 4 2 58 622 329 395 39 422 424 4 (그림 2) 월별 국내 웜 바이러스 신고 건수 7년 8월에 국내 백신업체와 KISA에 신고된 웜 바이러스 신고건수는 4건으로 전월(424건)에 비하여 3.% 감소하였다. 최근 웜 바이러스 신고건수는 6,7,8월에 각각 422건, 424건, 4건으로 3개월간 비슷한 추이를 보이고 있다. 인터넷 침해사고 동향 및 분석 월보 3
Part 침해사고 통계분석 Part 2 Part 3 주요 웜 바이러스별 현황 순위 2 3 4 5 6 7 8 9 [표 3] 주요 웜 바이러스 신고현황 27 2 3 4 5 6 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 BAGLE 5 AGENT 73 IRCBOT 3 DOWNLOADER 28 NSANTI 5 XEMA 67 BAGZ 36 DOWNLOADER 64 DOWNLOADER 22 XEMA 26 XEMA 33 KORGAMEHACK 5 BANLOAD 32 XEMA 45 XEMA 6 KORGAMEHACK 24 DOWNLOADER 7 DOWNLOADER 28 DOWNLOADER 9 HUPIGON 44 AGENT 6 EXPLOIT-ANI 8 KORGAMEHACK ON LINE 7 GAMEHACK 8 IRCBOT 5 LINEAGEHACK 27 VIKING 3 LINEAGEHACK 8 VIRUT 4 VIKING 5 VIKING 5 KORGAMEHACK 26 BAGLE AGENT 6 EXPLOIT-ANI 4 VIRUT 4 PARITE 4 QQPASS 7 LINEAGEHACK VIRUT 2 VIRTUMONDE 3 NSANTI 4 XEMA 3 GRAYBIRD 5 MATORYHACK VIKING IRCBOT 2 AGENT DELLBOY 3 BAGLE 4 KORGAMEHACK 9 ROOTKIT 7 VIKING 8 IRCBOT LINEAGEHACK IRCBOT 3 BO 8 BAGLE 6 LINEAGEHACK 8 BAGLE 9 기타 기타 284 기타 82 기타 23 기타 22 기타 86 합계 58 622 329 395 39 422 순위 2 3 4 5 6 7 8 9 27 7 8 9 2 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 VIRUT 49 VIRUT 63 KORGAMEHACK 37 IRCBOT 33 XEMA 27 AGENT 23 DOWNLOADER 26 DOWNLOADER 2 AGENT 22 XEMA 6 KAV 22 SHADOBOT 6 IRCBOT 6 NULLSECTIONS 4 SERVU ON LINE GAMEHACK 3 ON LINE GAMEHACK 9 DLLBOT 2 BAGLE 8 AUTORUN 기타 97 기타 9 합계 424 합계 4 신고된 웜 바이러스를 명칭별로 분류한 결과 VIRUT이 위를 차지하였으며, 악성봇 계열의 IRCBOT이 2위를 차지하였다. VIRUT은 변종이 다양하나 최근에는 악성봇과 연계되어 감염될 경우 추가로 악성코드를 다운로드하고 스팸메일을 발송하는 형태의 변종이 성행하고 있으므로 윈도우 컴퓨터 사용자는 최신보안업데이트를 적용하여 감염을 예방하고, 백신 프로그램을 사용하여 주기적으로 점검하는 등 컴퓨터 보안을 생활화 해야 하겠다. 4 27년 8월호
www.krcert.or.kr -4. 해킹 해킹 사고 접수 처리 건수 추이 [표 4] 해킹사고 처리 현황 구분 26 27 27 총계 2 3 4 5 6 7 8 9 2 총계 스팸릴레이 4,55,225,473,477,3 972 477 85,248 9,33 피싱경유지 단순침입시도 기타해킹 홈페이지변조,266 3,7 4,57 3,26 9 327 229 287 78 84 26 48 96 44 97 63 73 536 22 89 9 522 27 45 68 478 23 35 79 35 2 485 78 37 82 25 752 3,93,657,647 합계 26,88 2,58 2,89 2,247 2,22,946,54,93,95 6,82 피싱(Phishing) 경유지 신고 건수는 KISA가 국외의 침해사고대응기관이나 위장사이트의 대상이 된 기관 또는 업체, 일반사용자로부터 신고 받아 처리한 건수로서 실제 피싱으로 인한 피해 사고건수가 아니라 보안이 취약한 국내 시스템이 피싱 사이트 경유지로 악용되어 신고된 건수 단순침입시도 : KISA에서 접수 처리한 해킹사고 중 웜 바이러스 등으로 유발된 스캔(침입시도)을 피해자(관련기관)가 신고한 건수 기타해킹 : KISA에서 접수 처리한 해킹사고 중 스팸릴레이, 피싱 경유지, 단순침입시도를 제외한 나머지 건수 6.3% 6.4% 9.3% 4.% 64.% 스팸릴레이 피싱경유지 단순침입시도 기타해킹 홈페이지 변조 (그림 3) 해킹사고 접수 처리 건수 유형별 분류 7.8월 KISA에서 처리한 해킹사고는,95건으로 전월(,93건)에 비하여.% 증가 하였다. - 해킹사고 항목별로 전월대비 증감을 파악한 결과, 스팸릴레이, 단순침입시도는 각각 46.7%,.6% 증가하였으며, 피싱경유지, 기타해킹, 홈페이지변조는 각각.3%, 9.5%, 74.2% 감소하였다. - 스팸릴레이는 전월대비 46.7%가 증가하였는데 주로 약품, 카지노, 성인사이트 광고용 스팸메일 발송에 악용되는 국내 PC에 대한 조치를 요청하는 미국으로부터의 신고메일이 많았다. - 항목별로 차지하는 비율은 스팸릴레이(64.%) 및 단순침입시도(6.3%)가 가장 많았으며, 다음으로 기타해킹(9.3%), 피싱경유지(6.4%) 순이었다. 인터넷 침해사고 동향 및 분석 월보 5
Part 침해사고 통계분석 Part 2 Part 3 피해 기관별 분류 [표 5] 해킹사고 피해 기관별 분류 기관 26 27 27 총계 2 3 4 5 6 7 8 9 2 총계 기업 대학 비영리 연구소 네트워크 기타(개인) 합계 3,689,94 74 6 37 2,988 435 95 46 27,554 24 75 33,829 88 73 23 7,855 26,88 2,58 2,89 2,247 277 6 2 7,763 2,22 278 392 39 36 22 27 2 2 26,495 958,946,54 579 265 74 52 49 8 3 2,98.63,93,95 2,655 95 23 5 32 2,255 6,82 기관 분류기준 : 기업(co, com), 대학(ac), 비영리(or, org), 연구소(re), 네트워크(ne, net), 기타(pe 또는 ISP에서 제공하는 유동 IP 사용자) 해킹사고를 피해 기관별 분류한 결과, 기타 (개인), 기업, 대학, 비영리의 순으로 나타났다. 기관별로 분류한 결과 기타(개인)이 차지하는 비율이 82.2%로 가장 높았는데, 침해사고관련 IP가 ISP의 유동 IP(주로 개인용 컴퓨터)인 경우를 주로 기타(개인)으로 분류 하였다. 개인 82.2% 기업 3.6% 대학 2.7% 네트워크.6% 비영리.9% 피해 운영체제별 분류 [표 6] 해킹사고 피해 운영체제별 분류 (그림 4) 해킹사고 피해 기관별 분류 운영체제 26 27 27 총계 2 3 4 5 6 7 8 9 2 총계 Windows 22,93,868,98 2,8 2,53,739,99,47,82 Linux 3,66 2 48 9 23 62 326 456 85 Unix 48 2 3 기타 95 9 59 48 43 42 5 67 45 합계 26,88 2,58 2,89 2,247 2,22,946,54,93,95 운영체제별 분류 자료는 각 운영체제의 안전성과는 상관관계가 없으며, 단지 신고에 따른 분석 자료임 4,74,59 9 49 6,82 해킹사고 처리결과를 운영체제별로 분류한 결과, 전월과 마찬가지로 Windows, Linux 운영체제 순이었다. Windows 운영체제가 차지하는 비율은 전월과 마찬가지로 93.3%로 가장 많았다. - Linux 운영체제가 차지하는 비율은 해당 운영체제에서 구동중인 홈페이지 변조피해건수가 감소함에 따라 전월에 비하여 크게 감소한 것으로 나타났다.(456건 85건) 6 27년 8월호
www.krcert.or.kr 피싱 경유지 신고처리 현황 [표 7] 피싱 경유지 신고 건수 26 27 27 구분 총계 2 3 4 5 6 7 8 9 2 총계 피싱경유지 신고건수,266 9 78 96 73 9 68 79 78 752 피싱(Phishing) 경유지 신고 건수는 KISA가 국외의 침해사고대응기관이나 위장사이트의 대상이 된 기관 또는 업체, 일반사용자로부터 신고 받아 처리한 건수로서 실제 피싱으로 인한 피해 사고건수가 아니라 보안이 취약한 국내 시스템이 피싱 사이트 경유지로 악용되어 신고된 건수임 2 6 78 2 8 9 96 9 79 78 73 68 4 (그림 5) 월별 피싱 경유지 신고건수 이번달 피싱 경유지 신고건수는 총 78건으로, 전월(79건)대비 건이 감소하였다. 피싱 대상기관 유형별로는 금융기관이 65.4%로 가장 큰 비중을 차지하였고, 전자상거래 33.3%, 기타.3%로 나타났다. 기관별로는 전자상거래 업체인 ebay(25건)가 가장 많았고 PayPal(6건)이 그 뒤를 이었다. 기타.3% 기관 금융기관 전자상거래 기타(정부기관) 합계 건수 5 26 78 금융 전자상거래 기타 전자상거래 33.3% 금융기관 65.4% 인터넷 침해사고 동향 및 분석 월보 7
Part 침해사고 통계분석 Part 2 Part 3 피싱 대상기관 및 신고건수를 국가별로 분류한 결과, 총 7개국 26개 기관으로 집계되었다. 소속 국가별로는 미국이 9개(73.%)기관, 신고건수 68건(87.2%)을 차지하여, 이달에도 전월과 동일하게 국내 신고건의 대부분이 미국과 관련되었음을 알 수 있다. 구분 기관 분류 기관수 신고건수 금융기관 6 4 미국 전자상거래 2 26 68 기타 이탈리아 금융기관 2 2 영국 호주 브라질 스페인 홍콩 총7개국 - 26 3 2 78 국내 피싱 경유지 사이트의 기관유형별로는 기업 39건(5.%), 교육 7건(9.2%), 비영리 3건(3.8%), 개인/기타 2건(2.6%) 순으로 집계되었다. 홈페이지가 없거나 Whois 정보에 ISP 관리대역만 조회되는 경우에 해당되는 ISP서비스이용자 유형은 27건(34.6%)으로 나타났다. 기관유형 기업 교육 비영리 개인/기타 ISP서비스이용자 합계 건수 39 7 3 2 27 78 기업 교육 비영리 개인/기타 ISP서비스 이용자 개인/기타 2.6% 비영리 3.8% ISP 서비스 이용자 34.6% 기업 5.% 교육 9.% 피싱 경유지 시스템에서 이용된 포트는 이달에도 표준 HTTP포트인 TCP/8포트를 이용한 경우가 66건(84.6%)으로 가장 많았다. TCP/8포트 이외에는 TCP/84포트(6건,7.7%)가 가장 많았고 그밖에 기타로 TCP/82, TCP/443, TCP/88 포트 등이 이용된 것으로 나타났다. 프로토콜/포 트 TCP/8 TCP/84 기타 건수 66 6 6 TCP/8 TCP/84 기타 기타 7.7% TCP/84 7.7% TCP/8 84.6% 합계 78 8 27년 8월호
www.krcert.or.kr 홈페이지 변조 사고처리 현황 [표 8] 홈페이지 변조 사고처리 현황 구분 26 27 27 총계 2 3 4 5 6 7 8 9 2 총계 피해홈페이지 수 피해시스템 수 3,26,47 287 95 48 8 63 37 89 29 45 45 35 35 485 96 25 64,647 48 피해시스템 수는 피해 IP 수를 기준으로 산정한 것으로 단일 IP에 수십~수백개의 홈페이지를 운영하는 경우도 있으므로 피해홈페이지 수는 피해시스템 수 보다 많을 수 있음 5 4 485 3 287 35 2 48 45 25 95 8 89 96 63 45 64 37 29 35 (그림 6) 월별 홈페이지 변조 사고처리 현황 이번 달에는 64개 시스템(IP)의 25개 사이트(도메인)에 대한 홈페이지 변조가 발생하여 피해 홈페이지 수는 전월(485개) 대비 74.2% 감소한 것으로 나타났다. - 낮은 버전의 무료 웹 게시판 S/W를 사용하는 업체(기관)의 웹 서버관리자는 최신버전으로 업그레이드 하고 웹 방화벽 등 보안도구를 활용하여 홈페이지 변조 피해를 예방하여야 하겠다. 참고 사이트 공개 웹방화벽 설치/운영 동영상 가이드: http://www.krcert.or.kr 공지사항 공개 웹방화벽 설치/운영동영상 가이드 배포 제로보드 최신버전 다운로드 : www.zeroboard.com 웹 어플리케이션 보안템플릿: http://www.krcert.or.kr 초기화면 왼쪽 웹어플리케이션보안템플릿 홈페이지 개발 보안 가이드: http://www.krcert.or.kr 초기화면 왼쪽 홈페이지 개발 보안 가이드 인터넷 침해사고 동향 및 분석 월보 9
Part 침해사고 통계분석 Part 2 Part 3 악성 봇(Bot) 현황 [표 9] 국내 악성 봇(Bot) 감염률 구분 26 평균 27 27 2 3 4 5 6 7 8 9 2 국내 비율 2.5% 3.7% 3.%.9%.6%.8%.2%.% 9.4%.3% 전 세계 Bot 감염 추정 PC 중 국내 Bot 감염 PC가 차지하는 비율임 봇(Bot) : 운영체제 취약점, 비밀번호 취약성, 웜 바이러스의 백도어 등을 이용하여 전파되며, 명령 전달사이트와의 백도어 연결 등을 통하여 스팸메일 전송이나 DDoS 공격에 악용 가능한 프로그램 또는 실행 가능한 코드 평균 25% 2% 5% % 5% 3.% 3.7%.9%.8%.2%.6%.% 9.4% (그림 7) 월별 국내 악성 봇(Bot) 감염률 추이 8, 6, 4, 2, (그림 8) 전 세계 악성 봇(Bot) 감염 IP 수와 국내 감염 IP 수의 비교 27년 8월호
www.krcert.or.kr 전 세계 Bot 감염추정 PC 중에서 국내 감염 PC 비율은 9.4%로 지난달에 비해.7%p 감소하였다. 지난달에 비하여 국내의 TCP/2967 포트 트래픽이 소폭 감소하였고, TCP/445 포트 트래픽이 소폭 증가하였다. - 악성 Bot의 전파에 사용되는 주요 포트는 NetBIOS 관련 포트인 TCP/445, 웹 관련 TCP/8 포트, MS-SQL 관련 포트인 TCP/39, TCP/433, 그리고 Symantec 보안제품의 취약점 관련 포트인 TCP/2967 포트 순이다. 지난달에 가장 많은 트래픽양을 보였던 TCP/445 포트 트래픽의 비율은 이번달에도 여전히 가장 많은 비율을 보이고 있다. (그림 9) 전월 악성 Bot Top5 포트 : TCP/445, TCP/8, TCP/39, TCP/433, TCP/2967 TCP/445 TCP/8 TCP/39 TCP/433 TCP/2967 기타 TCP/8 TCP/39 TCP/35 TCP/433 TCP/445 기타 5.2%4.9%.% 38.3% 4.9% 4.4% 3.7% 33.9% 3.5% 8.9% 27.% 24.3% (그림 9) 악성봇 관련 포트 비율(해외) (그림 ) 악성봇 관련 포트 비율(국내) [표 ] 악성 Bot의 전파에 이용되는 주요 포트 목록 포트 관련 취약점 및 웜/악성 Bot 포트 관련 취약점 및 웜/악성 Bot 23 Cisco Telnet 2967 Symantec Exploit 8 WebDAV, ASN.-HTTP, Cisco HTTP 2745 Bagle, Bagle2 35 DCOM, DCOM2 327 MyDoom 39 NetBIOS, ASN.-NT 34 Optix 43 IMail 5 UPNP 445 NetBIOS, LSASS, WksSvc, ASN.-SMB, DCOM 6 Veritas Backup Exec 93 NetDevil 629 Dameware 25 DCOM 73 Kuang2 433 MS-SQL 27347 Sub7 인터넷 침해사고 동향 및 분석 월보
Part Part 2 허니넷/트래픽 분석 Part 3 2. 허니넷/트래픽 분석 2-. PC 생존시간 분석 8월 평균 생존가능 시간은 Windows XP SP는 33분5초, Windows2 SP4는 44분44초로 측정 되었다. 전월에 비하여 WindowsXP SP는 분25초 감소하였고 Windows 2 SP4는 8분26초 증가하였다. 금년 생존시간은 월에 따라 소폭의 차이를 보이고 있지만, 대체적으로 증가하는 경향을 보이고 있다. 이를 미루어 Windows의 네트워크서비스 취약점을 악용하는 웜의 전파활동이 금년 다소 감소하고 있는 것으로 추정된다. 사용자는 OS를 최신으로 업데이트하고 추측하기 어려운 윈도우 암호를 설정하며 백신을 설치하여 감염을 예방하도록 한다. 생존시간의 측정은 암호설정 및 보안 업데이트를 하지 않고, 모든 포트가 열려있는 전용선 인터넷 환경에서 Windows XP SP과 Windows 2 SP4 2개군으로 분류하여 여회를 실시하였다. WinXP SP2, Vista는 개인방화벽이 기본으로 설치되므로 네트워크 서비스 취약점 악용 웜의 감염피해를 상당부분 예방할 수 있음 생존가능시간 : 취약한 시스템이 인터넷에 연결된 상태에서 웜이나 악성코드에 감염될 때까지의 시간 6min 5min 4min 3min 2min min (그림 ) 월별 평균 생존 가능시간 변동 추이 [표 ] Windows XP Pro SP, Windows 2 Pro SP4 생존가능시간 Windows XP SP 구분 Windows 2 SP4 최장 최단 평균 최장 최단 평균 27 2 3 4 5 6 7 8 9 2 27 8 48 25 365 3 365 54 524 29 48 57 435 38 645 8 5 5 9 37 2 363 4 454 3 26 59 593 55 46 48 343 25 583 2 5 9 5 4 4 4 4 6 47 26 45 27 47 36 46 8 5 7 2 32 32 47 3 56 4 23 4 33 5 4 38 58 4 4 34 4 33 5 8 36 8 44 44 2 27년 8월호
www.krcert.or.kr 7 min min 7 6 6 5 5 4 4 3 3 2 2 8 86 8 86 82 27년 826 (그림 2) Windows XP SP 생존시간 분포 분석 27년 8 86 8 86 82 826 (그림 3) Windows 2 SP4 생존시간 분포 분석 2-2. 허니넷 트래픽 분석 전체 추이 이번 달 KISC ) 허니넷에 유입된 전체 유해 트래픽은 약,354만건으로 전월(,47만건)에 비하여 다소 증가하였다. IP 소재별로 분류한 결과 국내 소재 IP로부터 유발된 트래픽은 전체의 39.4% 였으며, 해외 소재 IP로 부터의 트래픽은 6.6%를 차지한 것으로 나타났다. 허니넷에 유입되는 트래픽은 웜 바이러스, 악성 봇 등에 의한 감염 시도 트래픽(취약점 스캔)이 가장 많으며 이러한 악성코드의 네트워크스캔은 유효한 네트워크에 대한 접근효율을 높이기 위하여, 차적으로 감염된 시스템의 IP주소의 A, B클래스를 고정하고 C또는 D클래스 주소를 변경하면서 스캔하는 경우가 대부분이기 때문에 일반적으로 자국에서 유발된 유해트래픽이 해외에서 유입된 트래픽보다 많을 수 있음 ) KISC - Korea Internet Security Center, KISA (인터넷침해사고대응지원센터),5 만,2 만 9 만 6 만 3 만 (그림 4) 월별 허니넷 유입 트래픽 규모 참고 : 허니넷으로 유입되는 트래픽은 초당 수백 건 이상이 될 수 있으므로 구체적인 건수는 큰 의미가 없으며, 국내외 비율 및 월별증감을 참고하기 바람 인터넷 침해사고 동향 및 분석 월보 3
Part Part 2 허니넷/트래픽 분석 Part 3 Top 3 국가별 공격 유형 해외로부터 허니넷에 유입된 트래픽을 근원지 IP소재 국가별로 분석한 결과 전월과 마찬가지로 중국 으로부터 유입된 트래픽이 전체의 69.5%로 가장 많았으며, 다음으로 미국, 홍콩 순이었다. 중국으로부터의 트래픽 가운데 가장 많은 비중을 차지하였던 트래픽은 Trend Micro사 ServerProtect 제품의 스택 오버플로우 취약점을 스캔하는 것으로 보이는 TCP/568번 포트 스캔 트래픽 이었으며, 미국발 트래픽은 윈도우 RPC 서비스 취약점을 스캔하는 것으로 보이는 UDP/35 Service 스캔이 전월과 마찬가지로 가장 많았다. 6% CHINA 4% 7% 2% 33% TCP/568-tcp service scan TCP/88-tcp service scan TCP/433-tcp service scan TCP/22-tcp service scan 기타 ICMP-ping Nmap scan TCP/22-tcp service scan TCP/433-tcp service scan TCP/39-tcp service scan 기타 HONGKONG 3% 8% 4% 22% 27% 22% 7% % USA 22% 38% UDP/35-udp service scan ICMP-icmp ping Nmap scan TCP/22-tcp service scan UDP/53-udp service scan 기타 (그림 5) 허니넷 유입 트래픽 Top3 국가별 공격유형 4 27년 8월호
www.krcert.or.kr [표 2] 허니넷에 유입된 스캔 트래픽 국가별 비율 순위 2 3 4 5 6 7 8 9 27 2 3 4 5 6 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 중국 미국 일본 유럽연합 대만 독일 체코 공화국 영국 홍콩 이탈리아 기타 39.5 28.5 5.5 3.8 3.2 2.7.5.5.2..6 중국 47.3 미국 6.6 일본 5.6 대만 2.9 유럽연합 2.6 베니수엘라 2.4 독일 2.2 인도 2. 불가리아 2. 호주.4 기타 4.9 중국 45.5 미국 22.3 일본 4.9 유럽연합 3.5 대만 2. 홍콩.9 루마니아.8 영국.7 독일.7 이탈리아.3 기타 3.5 중국 52.2 미국 8. 대만 6.6 일본 3.9 홍콩 3.5 독일.7 유럽연합.6 아일랜드.2 인도.9 영국.7 기타 9.6 중국 미국 일본 영국 대만 러시아 홍콩 독일 유럽연합 인도 기타 49.4 2.2 3.4 3.4 2.5 2..9.9.9.5.9 중국 미국 대만 일본 멕시코 홍콩 독일 유럽연합 인도 러시아 기타 46.7 2. 6.8 4.6 2.3 2.2 2..6.5.3.8 순위 2 3 4 5 6 7 8 9 27 7 8 9 2 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 중국 5.5 중국 69.5 미국 7.7 미국 2.3 대만 5. 홍콩 2.6 일본 3.8 일본 2. 독일 2.2 대만 2. 스페인.8 유럽연합.2 캐나다.8 독일. 인도.8 영국.9 홍콩.5 인도.8 유럽연합.5 캐나다.8 기타 2.4 기타 6.7 인터넷 침해사고 동향 및 분석 월보 5
Part Part 2 허니넷/트래픽 분석 Part 3 해외 국내 해외로부터 KISC 허니넷에 유입된 트래픽을 국가 구분 없이 포트/공격(스캔)유형별로 분석한 결과 Trend Micro사 ServerProtect 제품의 스택 오버플로우 취약점을 스캔하는 것으로 보이는 TCP/568번 포트에 대한 서비스 스캔이 가장 많았으며, TCP/22번 포트 스캔이 그 다음으로 많았다. [표 3] 해외 국내(허니넷) 스캔탐지 현황 순위 2 3 4 5 6 7 8 9 4월 5월 6월 프로토콜 / 프로토콜 / 프로토콜/ 공격유형 비율(%) 포트번호 공격유형 비율(%) 포트번호 포트번호 공격유형 비율(%) TCP/22 tcp service scan 2.5 TCP/22 tcp service scan 24.6 TCP/22 tcp service scan 26. ping Advanced ICMP IP Scanner 3.9 TCP/88 tcp service scan.5 ICMP icmp ping Nmap scan 3.5 ICMP icmp ping Nmap scan.8 ICMP icmp ping Nmap scan.8 TCP/88 tcp service scan.9 TCP/88 tcp service scan. TCP/433 tcp service scan.4 TCP/433 tcp service scan 9.8 TCP/433 tcp service scan 9.3 UDP/35 udp service scan 8.7 UDP/35 udp service scan 9.3 UDP/35 udp service scan 5. ICMP icmp ping Advanced IP Scanner v.4 4. ICMP icmp ping Advanced IP Scanner v.4 7.8 TCP/4899 tcp service scan 3.5 TCP/4899 tcp service scan 3.2 TCP/4899 tcp service scan 3. TCP/39 tcp service scan 2. TCP/39 tcp service scan 2.5 TCP/2967 tcp service scan 2. TCP/445 tcp service scan 2. TCP/ tcp service scan.8 TCP/ tcp service scan 2. TCP/722 tcp service scan.8 TCP/2967 tcp service scan.7 TCP/39 tcp service scan.6 기타 7.8 기타 2.9 기타 2.9 순위 2 3 4 5 6 7 8 9 7월 8월 9월 프로토콜 / 프로토콜 / 프로토콜/ 공격유형 비율(%) 포트번호 공격유형 비율(%) 포트번호 포트번호 공격유형 비율(%) TCP/22 tcp service scan 9.8 TCP/568 tcp service scan 23.2 TCP/88 tcp service scan 7.5 TCP/22 tcp service scan 7. TCP/433 tcp service scan.8 TCP/88 tcp service scan 3.7 ICMP icmp ping Nmap scan. TCP/433 tcp service scan 3.6 UDP/35 udp service scan 7.2 ICMP icmp ping Nmap scan 8.8 TCP/39 smb login brute force 5.6 UDP/35 udp service scan 4.7 TCP/2967 tcp service scan 3.6 TCP/2967 tcp service scan 4.2 ICMP icmp ping Advanced IP Scanner v.4 2.9 TCP/4899 tcp service scan 2. TCP/39 tcp service scan 2.7 TCP/39 tcp service scan.8 TCP/4899 tcp service scan 2.4 TCP/ tcp service scan.4 기타 7.4 기타 9.4 6 27년 8월호
www.krcert.or.kr TCP/568-tcp service scan TCP/22-tcp service scan TCP/88-tcp service scan TCP/433-tcp service scan 기타 32.4% 23.2% 7.% 3.6% 3.7% (그림 6) 해외 국내 (허니넷) 스캔탐지 현황 인터넷 침해사고 동향 및 분석 월보 7
Part Part 2 허니넷/트래픽 분석 Part 3 국내 국내 국내에서 KISC 허니넷에 유입된 트래픽을 포트/공격(스캔)유형별로 분석한 결과, TCP/35, TCP/433, TCP/39 포트에 대한 서비스 및 취약점 스캔이 가장 많았던 것으로 나타났는데 해당 포트는 대부분 악성 Bot 전파에 이용되는 포트인 것으로 보아 악성 봇 감염을 위한 스캔 트래픽으로 보인다. [표 4] 국내 국내(허니넷) 스캔탐지 현황 순위 2 3 4 5 6 7 8 9 4월 5월 6월 프로토콜 / 프로토콜 / 프로토콜/ 공격유형 비율(%) 포트번호 공격유형 비율(%) 포트번호 포트번호 공격유형 비율 TCP/35 tcp service scan 57.5 TCP/35 tcp service scan 66. TCP/35 tcp service scan 79.2 TCP/39 tcp service scan 8.3 TCP/433 tcp service scan 7.3 TCP/433 tcp service scan 5. TCP/433 tcp service scan 7.8 TCP/445 tcp service scan 4.8 TCP/39 tcp service scan 3.5 TCP/445 tcp service scan 7.5 TCP/39 tcp service scan 3.7 TCP/22 tcp service scan 3. ICMP icmp ping Nmap scan 5. TCP/22 tcp service scan 3.4 ICMP icmp ping Nmap scan 3. TCP/22 tcp service scan 4.4 ICMP icmp ping Nmap scan 2.9 TCP/4899 tcp service scan. TCP/88 tcp service scan.5 TCP/59 tcp service scan.7 TCP/3389 tcp service scan.8 TCP/ tcp flag syn/fin.3 TCP/4899 tcp service scan.3 TCP/2 tcp service scan.6 TCP/4899 tcp service scan. TCP/3389 tcp service scan.3 TCP/53 tcp service scan.4 TCP/59 tcp service scan.9 TCP/2967 tcp service scan. ICMP icmp ping Advanced IP Scanner v.4.4 기타 4.8 기타 6.5 기타 3. 순위 2 3 4 5 6 7 8 9 7월 8월 9월 프로토콜 / 프로토콜 / 프로토콜/ 공격유형 비율(%) 포트번호 공격유형 비율(%) 포트번호 포트번호 공격유형 비율 TCP/35 tcp service scan 55.5 TCP/35 tcp service scan 6.2 TCP/35 netbios dcerpc invalid bind 8.7 TCP/433 tcp service scan 9.6 TCP/39 smb login brute force 8.7 TCP/39 tcp service scan 9.3 rpc dcom interface TCP/35 overflow exploit 4.9 TCP/4899 tcp service scan 5. TCP/39 tcp service scan 4. TCP/22 tcp service scan 4.4 ICMP icmp ping Nmap scan 4. ICMP icmp ping Nmap scan 3.9 TCP/433 tcp service scan 3. TCP/59 tcp service scan.3 TCP/22 tcp service scan 2.5 TCP/445 tcp service scan. TCP/39 Windows Server Service 2.2 TCP/568 tcp service scan.9 TCP/3389 tcp service scan.8 TCP/2 tcp service scan.6 기타 5.6 기타 3.9 8 27년 8월호
www.krcert.or.kr TCP/35-tcp service scan TCP/433-tcp service scan TCP/39-tcp service scan TCP/4899-tcp service scan 기타 5.8% 5.% 9.3% 9.6% 6.2% (그림 7) 국내 국내 (허니넷) 스캔탐지 현황 인터넷 침해사고 동향 및 분석 월보 9
Part Part 2 허니넷/트래픽 분석 Part 3 2-3. 국내 인터넷망 트래픽 분석 국내 ISP의 일부구간(국내 인터넷망)에서 수집된 트래픽의 Top 포트의 추이를 파악한 결과, 이미 잘 알려진 TCP/8(HTTP), TCP/25(메일)외에도 TCP/9(클럽박스 P2P), TCP/66, TCP/526(SQL Net) 포트 트래픽 등이 많이 관찰되었다. PPS 6,, 5,, ISP업계 : 프로토콜 / 포트 추이 TCP/8 TCP/25 TCP/9 TCP/66 TCP/526 TCP/6 TCP/2522 TCP/554 TCP/53 UDP/523 4,, 3,, 2,,,, 7/8/ 7/8/2 7/8/3 7/8/4 7/8/5 7/8/6 7/8/7 7/8/8 7/8/9 7/8/ 7/8/ 7/8/2 7/8/3 7/8/4 7/8/5 7/8/6 7/8/7 7/8/8 7/8/9 7/8/2 7/8/2 7/8/22 7/8/23 7/8/24 7/8/25 7/8/26 7/8/27 7/8/28 7/8/29 7/8/3 7/8/3 (그림 8) 국내 인터넷망에 유입된 포트트래픽 Top 일별 추이 시간 이번 달 국내 ISP의 일부구간에서 수집된 공격유형을 분석한 결과 TCP ACK Flooding과같은 DDoS 공격트래픽이 많이 탐지되었다. 시도건수 TCP ACK Flooding SMB Service sweep(tc... NETBIOS Service swee... worm slammer Host Sweep UDP Flooding TCP SYN Flooding TCP DRDOS Attack FTP Command Line Ove... TCP SYN Flooding(DDo... 7, ISP업계 : 공격 추이 6, 5, 4, 3, 2,, 7/8/ 7/8/2 7/8/3 7/8/4 7/8/5 7/8/6 7/8/7 7/8/8 7/8/9 7/8/ 7/8/ 7/8/2 7/8/3 7/8/4 7/8/5 7/8/6 7/8/7 7/8/8 7/8/9 7/8/2 7/8/2 7/8/22 7/8/23 7/8/24 7/8/25 7/8/26 7/8/27 7/8/28 7/8/29 7/8/3 7/8/3 (그림 9) 국내 인터넷망에 유입된 공격유형 시간 2 27년 8월호
www.krcert.or.kr 2-4. 바이러스 월 탐지 웜 바이러스 정보 KISA 및 2개 기관/업체의 바이러스 월을 통하여 수집된 웜 바이러스를 파악한 VIRUT이 가장 많았으며, 주로 웹사이트를 통하여 감염되며 추가로 악성코드를 다운로도 하는 DOWNLOADER가 그뒤를이었다. [표 5] 수집된 주요 웜 바이러스 현황 순위 2 3 4 5 6 7 8 9 합계 27 2 3 4 5 6 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 DOWN DOWN DOWN DOWN DOWN LOADER 97,235 LOADER 92,238 LOADER 69,552 LOADER 54,529 LOADER 44,382 PWS 43,32 NOTIFIER 42,634 HLLW 36,26 HLLW DOWN 43,434 HLLM 45,536 PWS 39,35 LOADER 65,54 PWS 7,47 PWS 3,49 PWS 4,68 VIRUT 35,676 HLLM 38,24 LINEAGE 37,634 LINEAGE HLLW MULDROP HLLM PARITE CLICK STARTER 기타 66,75 MULDROP 58, 5,28 CASHPACK 3,29 3,7 26,68 25,84 445,25,43,823 LINEAGE PROXY CLICK HLLM PARITE 기타 28,394 24,774 22,942 7,439 CASHPACK 6,949 6,363 5,34 237,532 538,686 LINEAGE PROXY HLLM NOBRAIN CLICK PARITE 기타 38,5 3,73 26,76 26,77 25,959 CASHPACK 9,978 5,666 257,78 596,598 LINEAGE PWS HLLW PROXY ANIFILE NOBRAIN 기타 35,32 35,65 29,585 25,669 25,98 CASHPACK 2,739 7,9 NOBRAIN 234,998 66,27 VIRUT LINEAGE HLLW PROXY ANIFILE 기타 36,78 35,963 27,59 22,64 CASHPACK 2,884 4,853 3,445 225, 68,76 HLLM VIRUT HLLW PRORAT PROXY MYAD 기타 37,26 28,77 26,824 2,6 9,82 8,54 3,927 22,886 633,36 순위 2 3 4 5 6 7 8 9 합계 27 7 8 9 2 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 VIRUT PWS DOWN LOADER SEARCHKIT HLLM HLLW PRORAT LINEAGE CASHPACK PROXY 기타 4,56 VIRUT 22,52 DOWN,639 LOADER 74,438 97,545 HLLM 45,52 94,263 77,897 65,387 CASHPACK 46,4 4,865 4,595 3,27 436,939,56,949 HLLW AGENT PWS PRORAT PARITE CASHON 기타 25,934 2,76 8,797 6,388 4,729 2,892 2,499 89,574 555,5 이번 달에는 정보제공업체의 내부 시스템 작업으로 바이러스 월 수집건수가 전월보다 적음 인터넷 침해사고 동향 및 분석 월보 2
Part Part 2 Part 3 월간특집 3. 스팸메일을 통하여 전파되는 악성코드 분석. 개요 최근 국내 외에서 e-card 발송을 가장한 스팸메일로 인하여 악성코드에 감염되는 피해가 다수 보고 되었다. 악성코드는 메일본문에 악의적인 URL을 삽입 및 클릭을 유도하는 방식으로 스팸메일을 발송한다. 사용자가 스팸메일에 포함되어 있는 악성URL을 클릭할 경우 감염될 수 있으며, 감염 후에는 악성코드가 감염PC 내에 저장되어 있는 메일주소들을 추출하여 해당주소로 동일유형의 스팸메일을 발송하게 된다. 또한, P2P를 통한 명령전달 및 추가 악성코드 다운로드 등의 악성행위가 예상되므로 사용자는 URL이 포함되어 있는 스팸성 메일 수신 시 클릭하지 않도록 주의한다. 퀵 타임, Winzip 사용자의 경우, 해당 제품을 최신으로 업데이트하도록 하며, OS 및 설치되어 있는 백신을 최신으로 업데이트하여 감염을 예방하도록 한다. 2. 스팸메일을 이용한 전파 기법 전파기법 분석 메일을 통하여 악성링크 클릭을 유도 및 취약점을 악용하여 사용자 PC를 감염시킨다. - 스팸메일 발송을 통한 악성 웹사이트 접속유도 - 웹 브라우져 및 Third-Party 어플리케이션 취약점 악용 스팸메일 유형 분석 스팸 메일은 영문이며, 아래와 같이 e-card 발송을 가장하여, 악성 URL에 접속하도록 유도한다. - 메일제목 및 내용 유형 참고 : 메일제목 및 내용은 다른 유형으로 계속적으로 업데이트 되는 것으로 확인됨 메일제목 예 - Thank you ecard, - Animated card, - Greeting ecard, - Musical e-card - Movie-quality e-card, - Thank you postcard, - Funny postcard, - Birthday postcard - 제목없음 등 22 27년 8월호
www.krcert.or.kr 메일제목 예 Hi. Colleague has sent you a greeting ecard. See your card as often as you wish during the next 5 days. SEEING YOUR CARD If your email software creates links to Web pages, click on your card s direct www address below while you are connected to the Internet: http://88.8[생략]9./?55844a492b62c4232c3a9ebeed43 (URL주소는 가변적이다) Or copy and paste it into your browser s Location box (where Internet addresses go). We hope you enjoy your awesome card. Wishing you the best, Webmaster, BlueMountain.Com Family member(jbilones@qu[생략]utual.com) has created Animated e-card for you at americ[생략]eetings.com. To see your custom Animated e-card, simply click on the following Internet address (if your mail program doesn t support this feature you will need to COPY and PASTE the address into your browser s address box): http://68.4[생략]65/?9dc7f8c76e2baa67 (URL주소는 가변적이다) Send a FREE greeting card from americ[생략]etings.com whenever you want by visiting us at: http://america[생략]eetings.com/ This service is provided and hosted by ameri[생략]eetings.com. Good day. Your School friend has sent you Thank you card from netfu[생략]ds.com. Click on your card s direct www address below: http://68.5[생략]8.28/ (URL주소는 가변적이다) Copyright (c) 997-27 netfuncards.com All Rights Reserved Oh baby, I love what you sent me. Here is some pics to say thanks. http://75.3[생략]44.27/ (URL주소는 가변적이다) 인터넷 침해사고 동향 및 분석 월보 23
Part Part 2 Part 3 월간특집 악용 취약점 분석 사용자가 악성 URL에 접속할 경우, 아래와 같은 화면이 출력되는데, 화면 내에는 자바스크립트 코드가 삽입되어 있다. 해당 자바스크립트 내에는 취약점 공격을 위한 핵심코드들이 탐지를 어렵게하기 위하여 암호화 형태로 삽입되어 있다. <인 코딩된 공격코드 예> 암호화 된 공격코드들은 아래의 루틴에 의하여 복호화된다. <복호화 루틴> 공격에 악용되는 취약점 - MS6-4 : MS 데이터 접근 컴포넌트 취약점 - MS6-57 : MS 윈도우 탐색기 원격코드 실행 취약점 - 애플사 퀵타임 7..3이하의 버전에서 RTSP(Real Time Stream Protocol) URL처리 취약점 - WinZip(압축유틸리티). 이하의 버전에서 임의명령 실행취약점 24 27년 8월호
3 www.krcert.or.kr 감염 절차 및 증상 메일 내의 악성 URL 링크를 클릭할 경우, 해당 사이트로부터 다수의 공격코드가 다운로드되며, 악성 코드에 감염되게 된다. 감염 시, 감염 PC내에 저장되어 있는 메일주소들을 대상으로 악성 스팸메일이 발송된다. 5 P2P를 통한 명령전달 업데이트 등 메일 내의 악성링크 클릭 2 공격코드 다운로드 감염 발생 4 PC 내에 저장되어 있는 메일주소로 악성 스팸메일 발송 2 3 4 5 사용자가 수신된 메일 내의 악성링크로 접속시도 공격코드 및 악성파일이 다운로드 사용자PC 감염 발생 웜은 PC내에 저장되어 있는 메일주소들을 검색하여 악성 스팸메일 발송 P2P 통신 절차별 상세 악성사이트에 접속하면, 악성파일이 설치된다. 최초로 sys[랜덤].exe 파일이 생성되는데, 이 파일은 2차 악성파일인 ecard.exe 를 추가 설치한다. ecard.exe는 자신의 복제파일을 spooldr.exe 파일명으로 윈도우 폴더에 생성하며, 악성 스팸메일을 발 송하고, 타 시스템과 P2P 통신을 시도한다. 악성URL 접속 sys[랜덤].exe 파일생성 fncarp.com 사이트 접속발생 ecard.exe 파일생성 spooldr.exe 파일생성 spooldr.ini 파일생성 spooldr.sys 파일생성 인터넷 침해사고 동향 및 분석 월보 25
Part Part 2 Part 3 월간특집 i) 스팸메일에 포함된 악성링크로 접속 시도 할 경우, 악성파일이 다운로드 되어 sys[랜덤].exe 형태로 저장 및 실행됨 - http://[악성사이트 주소]\file.php 로부터 파일을 다운로드 받아 sys[랜덤4문자].exe 파일명으로 c:\ 폴더에 저장한 후 실행 <악성파일을 다운로드 및 저장, 실행하기 위한 자바 스크립트 공격코드> <파일설치예> ii) sys[랜덤].exe 파일은 fncarp.com 사이트로부터 ecard.exe 파일을 다운로드하여 바탕화면에 저장 및 실행 - 다운로드 경로 : fncarp.com/ecard.exe 사용자가 직접 click 링크를 클릭하는 경우는 악성파일인 msdataaccess.exe 가 다운로드 됨. 해당 파일은 ecard.exe와 동일기능을 수행함 26 27년 8월호
www.krcert.or.kr iii) ecard.exe는 자신의 복제본을 윈도우 폴더에 spooldr.exe 파일명으로 생성. 또한 시스템 폴더에 spooldr.sys 파일을 생성하고 바탕화면에 spooldr.ini 파일을 생성하며 드라이버 폴더의 tcpip.sys 파일을 변조한다. 감염후증상 - 감염PC에 저장된 파일로부터 메일주소를 추출하여 대상주소로 스팸메일을 발송한다. 감염PC 내에 저장되어 있는 파일 중 메일주소 추출을 위하여 아래의 확장명 파일을 검색한다. lst, dat, jsp, dhtm, mht, cgi, uni, oft, xls, sht, tbb, adb, wsh, pl, php, asp, cfg, ods, mmf, nch, eml, mdx, mbx, dbx, xml, stm, shtm, htm, msg, txt, wab 인터넷 침해사고 동향 및 분석 월보 27
Part Part 2 Part 3 월간특집 아래의 문자열이 포함되어 있는 주소로는 메일을 발송하지 않는다. postmaster@, root@, local, noreply, @avp, pgp, spam, cafee, panda, abuse, samples, winrar, google, winzip, @messagelab, free-av, @iana, @foo, sopho, certific, istserv, linux, bsd, unix, ntivi, support, icrosoft, admin, kasp, noone@m nobody@, info, help@, gold-certs@, feste, contract@, bugs@ anyone@, update, news, f-secur, rating@, @microsoft - 실행 에러창 출력 사용자 PC가 감염되면 아래와 같은 실행 에러창이 출력된다. - 방화벽 우회 아래 스크립트를 실행하여 악성코드가 방화벽을 우회할 수 있도록 등록한다. netsh firewall set allowedprogram c:\\windows\spooldr.exe enable 28 27년 8월호
www.krcert.or.kr - 보안프로그램 등 실행 방해 아래와 같은 프로그램의 기능 수행을 방해한다. watchdog.sys, zclient.sys, bcfilter.sys, bcftdi.sys, bc_hassh_f.sys bc_ip_f.sys, bc_ngn.sys, bc_pat_f.sys, bc_prt_f.sys, bc_tdi_f.sys filtnt.sys, sandbox.sys, mpfirewall.sys, msssrv.exe, mcsheld.exe fsbl.exe, avz.exe, avp.exe, avpm.exe, kav.exe, kavss.exe kavsvc.exe, klswd.exe, ccapp.exe, ccevtmgr.exe, ccpxysvc.exe iao.exe, issvc.exe, rtvscan.exe, savscan.exe, bdss.exe, bdmcon.exe livesrv.exe, cclaw.exe, fsav32.exe, fsm32.exe, gcasserv.exe icmon.exe, inetupd.exe, nod32krn.exe, nod32ra.exe, pavfnsvr.exe - 타 감염 PC와의 P2P 통신 감염 PC는 랜덤한 포트를 Open하여, P2P프로토콜을 통하여 다른 감염 PC들과 통신한다. 공격자가 P2P를 통하여 명령을 전달하여 웜을 업데이트하거나 다른 악성코드를 추가로 설치하는 악성행위가 예상된다. <P2P 통신 예> 인터넷 침해사고 동향 및 분석 월보 29
Part Part 2 Part 3 월간특집 peer 정보는 바탕화면에 spooldr.ini 파일 내에 저장됨. <spooldr.ini 파일 내의 저장데이터 예> - 기 타 자기 은폐기능이 있으며, 다수의 변종 존재. 3. 예방 방법 인터넷카드가 수신되었다며 확인을 위하여 특정사이트에 접속이 필요하다는 유형의 의심스러운 스팸성 메일을 수신할 경우, 관련 링크를 클릭하지 않도록 주의한다. 윈도우OS에 대한 최신 보안업데이트를 실시하며, Winzip 및 Quicktime 어플리케이션 사용자의 경우 해당 제품에 대해서도 최신 업데이트를 실시한다. 백신을 최신으로 업데이트 및 실시간 감시기능을 활성화한다. DNS 관리자는 fncarp.com 사이트에 대하여 lookback 설정을 함으로써, DNS 사용자들이 추가적으로 감염되지 않도록 예방한다. 3 27년 8월호
www.krcert.or.kr 별첨 악성코드 유포지/경유지 조기 탐지 및 차단 조치. 개요 KISA 인터넷침해사고대응지원센터에서는 국내 웹사이트에 악성코드가 삽입되어 웹사이트 방문자에게 악성 코드를 감염시키는 사례가 발생하여 5년 6월부터 지속 대응하여 왔으며, 5년 2월부터는 악성코드 은닉사이트 탐지 프로그램을 자체 개발 적용하고, 7년 7월부터는 약 86,개의 국내 웹 사이트를 대상 으로 악성코드 은닉 여부를 탐지 및 차단 조치하고 있다. 2. 전체 추이 7년 8월 KISA에서 탐지하여 대응한 악성코드 유포지 및 경유지 사이트는 284건으로 전월 대비 38.% (458 284건)감소하였다. 악성코드 경유지사이트 수는 전월대비 42.%(338 96건)감소하였고, 유포사이트 수는 전월에 비하여 26.7%(2 88건)감소한 것으로 나타났다. 각 기관(기업)의 웹 서버 관리자는 웹페이지가 악성코드 유포 및 경유지로 악용되는 피해예방을 위해 웹서버 해킹에 주로 사용되는 SQL Injection 등의 취약점에 대한 보안대책을 마련하는 것이 필요하다. 참고 사이트 ModSecurity를 이용한 아파치 웹서버 보안 : http://www.krcert.or.kr 초기화면 왼쪽 공개 웹 방화벽을 이용한 홈페이지 보안 WebKnight를 이용한 SQL Injection 공격 차단 : http://www.krcert.or.kr 초기화면 왼쪽 공개 웹 방화벽을 이용한 홈페이지 보안 홈페이지 개발 보안가이드 : http://www.krcert.or.kr 초기화면 왼쪽 홈페이지 개발 보안가이드 웹 어플리케이션 보안 템플릿 : http://www.krcert.or.kr 초기화면 왼쪽 웹 어플리케이션 보안 템플릿 [표] 악성코드 유포지/경유지 사고 처리건수 기관 26 27 27 총계 2 3 4 5 6 7 8 9 2 총계 유포지 993 8 9 26 9 46 3 2 88 98 경유지 5,624 372 37 349 35 283 374 338 96 2,534 합계 6,67 48 397 475 55 429 487 458 284 3,55 3. 기관별 분류 악성코드 유포지 및 경유지로 악용된 사이트를 기관별로 분류하면 기업, 기타(개인), 비영리 홈페이지 순 이었으며, 특히 기업으로 분류된.co.kr,.com 도메인이 악성코드 유포지/경유지 사이트로 많이 악용되는 것으로 나타났다. 이는 해커가 일반 이용자의 접속이 많은 기업 사이트를 주로 악성코드 유포지/경유지 사이트로 악용 하고 있는 것으로 판단된다. 인터넷 침해사고 동향 및 분석 월보 3
[표] 악성코드 유포지/경유지 사이트 피해기관(도메인)별 분류 기관 26 27 27 총계 2 3 4 5 6 7 8 9 2 총계 기업 4,274 296 232 28 235 235 288 292 53 2, 대학 54 5 4 2 5 5 9 7 비영리 649 33 27 9 26 2 4 24 7 97 연구소 24 5 2 2 9 네트워크 25 5 3 4 7 9 4 8 2 2 기타(개인),3 26 2 7 23 52 25 27 9,25 총계 6,67 48 397 475 55 429 487 458 284 3,55 기관 분류기준 : 기업(co, com), 대학(ac), 비영리(or, org), 연구소(re), 네트워크(ne, net), 기타(pe 등) 네트워크 4% 연구소 % 기타(개인) 32% 기업 54% 비영리 6% 대학 3% (그림) 악성코드 유포지/경유지 사이트 피해기관(도메인)별 분류 4. 웹서버별 분류 악성코드 유포지 및 경유지로 악용된 사이트를 웹서버 별로 분류한 결과 IIS 웹서버가 58.%, Apache 웹 서버가 4.9%, 기타 37.%로 분류되었다. [표] 악성코드 유포지/경유지 사이트 웹서버 별 분류 웹서버 26 27 27 총계 2 3 4 5 6 7 8 9 2 총계 MS IIS Apache 기타 합계 5,39 5,427 6,67 334 4 42 48 244 2 4 397 3 3 62 475 28 6 28 55 웹서버별 구분 자료는 각 운영체제/웹서버의 안전성과는 상관관계가 없으며, 단지 탐지에 따른 분석 자료임 악성코드 유포지/경유지 사이트가 이미 폐쇄되어 웹서버를 파악하기 어려운 경우도 기타에 포함시켰음 25 23 55 429 36 24 47 487 287 4 57 458 65 4 5 284 2,78 2,27 3,55 32 27년 8월호
www.krcert.or.kr 부록 주요포트별 서비스 및 관련 악성코드 포트번호 프로토콜 서비스 관련 악성코드 22 TCP SSH Remote Login Protocol [trojan] Adore sshd, [trojan] Shaft Mydoom, Welchia, Doomjuice, Agobot, Polybot, Bagle, 8 TCP World Wide Web, HTTP Yaha,Spybot, Back Orifice 2k Plug-Ins, CGI Backdoor, Executor, Hooker, RingZero, Seeker, WAN Remote, Web Server CT, WebDownloader, Zombam 35 TCP/UDP DCE endpoint resolution, MS-RPC Blaster, Agobot, Yaha, Welchia, Polybot, Kibuv, Lovgate, Spybot 39 TCP Netbios-ssn God Message worm, Netlog, Qaz, Deborms, Moega, Yaha Agobot, Deloder, Yaha, Randex, Welchia, Polybot, 445 TCP netbios-ds Sasser, Bobax, Kibuv, Korgo, Spybot, Janx, Netdepix, Zotob, IRCBot, SDBot 25 TCP/UDP network blackjack Dasher, Remote Storm, ABCHlp, Lala, Keco 8 TCP/UDP SOCKS Protocol MyDoom, Proxmeg, Bugbear, Hagbard, Daemoni, Lixy 433 TCP/UDP Microsoft-SQL-Server Spida, SQL Snake 434 TCP Microsoft-SQL-Server SQL Slammer 2745 TCP urbisnet Bagle 34 TCP/UDP NetworkLens SSL Event OptixPro, Mockbot 4899 TCP radmin-port RAdmin Port 5 TCP/UDP commplex-main Back Door Setup, Blazer5, Bubbel, ICKiller, Rad, Bobax, Trojan.Webus 629 TCP/UDP DameWare Mockbot. 인터넷 침해사고 동향 및 분석 월보 33
용어정리 구분 구성설정오류 공격 바이러스(Virus) 바이러스 월(Virus Wall) 버퍼오버플로우 (Buffer Overflow) 봇(Bot) 분산서비스거부공격 (DDoS : Distributed DoS) 불법자원사용 불법침입 서비스거부공격 (DoS : Denial of Service) 스파이웨어(Spyware) 스팸릴레이(Spam Relay) 허니넷 악성프로그램 악성프로그램 공격 애드웨어(Adware) 웜(Worm) 내용 운영체제 및 응용프로그램의 설정 오류(위험성이 있는 기본설정의 사용, 사용자 편의를 위한 설정 조정 등)를 이용하는 해킹기법으로 홈페이지 위 변조, 불법침입 등에 주로 이용됨 컴퓨터 프로그램이나 메모리에 자신 또는 자신의 변형을 복사해 넣는 악의적인 명령어들로 조합하여 불특정 다수에게 피해를 주기 위한 목적으로 제작된 모든 컴퓨터 프로그램 또는 실행 가능한 코드 네트워크 환경 내부에 인-라인(In-line) 상태에서 LAN 세그먼트의 트래픽을 관리하여 트래픽 상의 네트워크 바이러스를 예방 및 차단하는 시스템 메모리에 할당된 버퍼의 크기보다 더 큰 데이터를 덮어씀으로써 호출 프로그램으로의 복귀오류 등 을 일으켜 정상적인 프로그램의 실행을 방해하는 대표적인 공격기법 운영체제 취약점, 비밀번호의 취약성, 웜 바이러스의 백도어 등을 이용하여 전파되며, 해킹명령 전 달 사이트와의 백도어 연결 등을 통하여 스팸메일 전송이나 DDoS 공격에 악용이 가능한 프로그램 또는 실행 가능한 코드 DoS용 에이전트를 여러 개의 시스템에 설치하고, 이 에이전트를 제어하여 DoS 공격을 함으로써 보 다 강력한 공격을 시도할 수 있으며, 공격자에 대한 추적 및 공격트래픽의 차단을 어렵게 만드는 공 격형태 정당한 권한 없이 특정 시스템을 스팸릴레이, 피싱사이트 개설 등에 이용하는 행위 주요 정보 자료를 수집 또는 유출하기 위하여 정당한 권한 없이 시스템에 침입하는 행위 특정 네트워크에서 허용하는 대역폭을 모두 소모시키거나, 공격대상(victim) 시스템의 자원(CPU, 메 모리 등)을 고갈시키거나, 시스템 상에서 동작하는 응용프로그램의 오류에 대한 공격으로 서비스를 못하도록 만드는 공격 이용자의 동의 없이 정보통신기기에 설치되어 정보통신시스템, 데이터 또는 프로그램 등을 훼손 멸 실 변경 위조하거나 정상 프로그램 운용을 방해하는 기능을 수행하는 악성 프로그램. 즉, 이용자 의 동의 없이, 웹브라우저의 홈페이지 설정이나 검색 설정을 변경, 정상 프로그램의 운영을 방해 중지 또는 삭제, 컴퓨터 키보드 입력 내용이나 화면 표시 내용을 수집 전송하는 등의 행위를 하는 프로그램 스팸 메일 발신자 추적을 어렵게 하기 위하여 타 시스템을 스팸 메일발송에 악용 KISA 인터넷침해사고대응지원센터 내에 설치된 시험 네트워크로 스캔정보를 비롯한 공격행위, 웜 바이러스 등을 수집 사용자의 시스템에 설치되어 백도어를 오픈하여 정보를 유출하거나, 시스템의 정상적인 동작을 방해 하는 프로그램 컴퓨터 시스템에 악성프로그램을 설치하게 유도하거나 고의로 감염시키는 해킹기법으로 주로 백 도어 등을 이용하여 상대방의 주요 정보를 빼내기 위한 목적으로 이용함 사용자의 컴퓨터에 광고성 팝업 창을 띄우거나, 초기화면을 특정사이트로 고정시키는 등의 사용자가 의도하지 않는 행위를 수행하게 하는 프로그램 또는 실행 가능한 코드 독립적으로 자기복제를 실행하여 번식하는 빠른 전파력을 가진 컴퓨터 프로그램 또는 실행 가능한 코드 34 27년 7월호
www.krcert.or.kr 구분 지역센서 취약점정보수집 공격 침입시도 트로이잔(Trojan) 피싱(Phishing) 해킹(Hacking) ASP.NET Botnet DHTML Editing Component ActiveX E-mail 관련 공격 Hyperlink 개체 라이브러리 KrCERT/CC LLS NetBIOS OLE/COM PNG SMB TCP Syn Flooding Windows SharePoint Services Windows Shell 내용 공격징후 탐지를 위하여 KISA에서 전국 45개 주요도시에 설치한 센서 대상시스템의 운영체제, 설정 등을 알아보기 위하여 스캔하는 등의 행위로 주로 해킹의 사전단계로 이용됨 시스템에 침입하려고 시도하거나, 취약점 정보의 수집을 위해 스캔하는 등의 행위 자기복제 능력은 없으나 정상기능의 프로그램으로 가장하여 프로그램내에 숨어있는 코드조각으로 의도 하지 않은 기능을 수행하는 컴퓨터 프로그램 또는 실행 가능한 코드 정상적인 웹서버를 해킹하여 위장사이트를 개설한 후, 인터넷 이용자들의 금융정보 등을 빼내는 신종사기 수법으로 Bank Fraud, Scam이라고도 함 다른 사람의 컴퓨터나 정보시스템에 불법 침입하거나, 정보시스템의 정상적인 기능이나 데이터에 임의적 으로 간섭하는 행위 개발자가 웹 응용프로그램 및 XML 웹 서비스를 구축할 수 있도록 돕는 기술로, 정적 HTML과 스크립팅 을 사용하는 일반 웹 페이지와는 달리, 이벤트에 기반한 동적인 HTML 웹페이지를 제공함 많은 Bot 감염시스템들이 명령을 수신할 목적으로 IRC에 연결되어 있는 네트워크 인터넷 익스플로러가 웹메일처럼 HTML문서를 제작할 수 있도록 해주는 ActiveX 컨트롤 상대방의 시스템에 메일서버를 설치하여 스팸릴레이에 악용하거나, 관심을 끄는 E-mail을 보냄으로써 상 대방이 악성프로그램을 설치하도록 하는 해킹기법으로 주로 스팸릴레이나 악성프로그램의 설치에 이용됨 응용프로그램들이 HTML 문서에서 사용되는 Hyperlink 처리를 위한 기능을 제공 KISA내 침해사고대응팀(CERT)으로서, 국내에서 운영되고 있는 인터넷 망의 침해사고 대응 활동을 지원 하고, 전산망 운용기관 등에 대해 통일된 협조 체제를 구축하여, 국제적 침해사고 대응을 위한 단일창구를 제공하기 위하여 설립됨 License Logging Service의 약자로 MS서버제품에 대한 라이센스를 고객이 관리할 수 있도록 해주는 도구 네트워크의 기본적인 입출력을 정의한 규약 Object Linking And Embedding, Component Object Model의 약자로 MS의 객체기반 기술의 일종 으로서 서로 다른 응용프로그램이나 플랫폼이 데이터를 공유하는데 사용 Portable Network Graphics의 약자로 GIF나 JPEG처럼 그림파일 포맷의 일종으로, 주로 UNIX/LINUX 환경에서 아이콘 등에 많이 사용 Server Message Block의 약자로 파일이나 네트워크 폴더 및 프린터 공유 등에 사용되는 프로토콜 TCP 연결특성을 이용한 DoS 공격의 일종으로 Unreachable한 주소로 IP를 위조하여 Syn을 보내서 대 상시스템이 더 이상의 연결요청을 받아들일 수 없도록 만드는 공격 많은 인원이 동시에 다양한 정보공유와 공동 문서제작을 위한 웹사이트를 제작하는데 필요한 서비스 윈도우 시스템의 제반실행환경을 제공해 주는 것으로 explorer.exe가 책임을 맡고 있다. 인터넷 침해사고 동향 및 분석 월보 35