5월 인터넷 침해사고 동향 및 분석 월보 2006. 6 한국정보보호진흥원 해킹 바이러스 상담전화 (국번없이) 118 www.krcert.or.kr 본보고서 내용의 전부나 일부를 인용하는 경우에는 반드시 [자료 : 한국정보보호진흥원(KISA)]을 명시하여 주시기 바랍니다. 컬러로 출력하거나 화면으로 보시면 도표를 구분하기 쉽습니다.
목 차 <Part I> 주요 통계 1. 총평 1 2. 요약 1 3. 주요 지표 현황 2 1. 웜 바이러스 3 전체 추이 3 웜 바이러스 종류별 신고 현황 4 신종 및 변종 웜 바이러스 5 주요 웜 바이러스별 신고 현황 6 2. 해킹 7 전체 추이 7 피해 운영체제별 분류 8 피해 기관별 분류 9 피싱경유지 신고 처리 현황 10 홈페이지 변조 사고처리 현황 11
<Part II> 허니넷 분석 1. 웜 바이러스의 종류별 수집 현황 13 2. 주요 웜 바이러스별 수집 현황 14 3. 악성 봇(Bot) 현황 15 4. 웜 바이러스 취약 PC의 생존가능시간(Survival time) 및 감염유형 19 1. 허니넷 공격정보 수집현황 21 2. 국내로 부터의 포트스캔 현황 21 3. 국외로 부터의 포트스캔 현황 23 4. 국가별 포트스캔 현황 25 <Part III> 주요 보안공지 / 월간 특집 1. 인터넷침해사고대응지원센터 경보 현황 28 2. 인터넷침해사고대응지원센터 보안 공지사항 28 5월 피싱 경유지 신고 통계 분석 29 Zasran.49756 웜 분석 34 참고 자료: 악성코드 유포지/경유지 사이트 조기 탐지 및 차단 조치 50 용어정리 53
PART I 주요 통계
1. 총평 침해사고 현황 - 웜 바이러스 신고접수는 전월에 비하여 8.1% 증가 - 해킹신고처리는 전월대비 20.9% 증가(스팸릴레이, 피싱경유지, 기타해킹은 각각 47.5%, 8.3%, 36.6% 증가, 홈페이지 변조, 단순침입시도는 각각 23.4%, 21.9% 감소) - 전 세계 Bot 감염추정PC 대비 국내 감염추정 비율은 9.1%로 전월대비 1.0%p 감소 주요 보안공지 - MS Word에서의 신규 취약점으로 인한 피해 주의(5/22). 보안패치가 발표되지 않은 MS Word의 취약점을 악용하는 트로이잔이 인터넷에 발견되어 사용자의 주의를 요함. 해당 S/W: MS Word 2002(XP), 2003. 예방 및 대책: 출처가 불분명한 이메일과 메신저로 전송되는 파일에 대한 열람에 주의 특히, 워드파일(확장자 doc 등)이 첨부된 경우 각별히 주의하여야 함. 해당취약점에 대한 보안패치 발표(6.14 예정)시 보안패치 적용 참조 사이트: http://www.krcert.or.kr 보안정보 보안공지 MS Word에서의 신규 취약점으로 인한 피해 주의 - [MS 보안업데이트] 5월 MS 월간 보안 패치 권고 (5/10). [MS06-018] MS DTC(Distributed Transaction Coordinator)의 취약점으로 인한 서비스 거부문제(보통). [MS06-019] Exchange의 취약점으로 인한 원격코드실행 문제(긴급). [MS06-020] 매크로미디어 플레시 플레이어의 취약점으로 인한 원격코드실행 문제(긴급) 참조 사이트 [1] 영문: http://www.microsoft.com/technet/security/bulletin/ms06-020.mspx [2] 한글: http://www.microsoft.com/korea/technet/security/bulletin/ms06-020.mspx - PC 생존가능시간을 측정한 결과, 평균적으로 Windows XP(SP1)는 22분33초, Windows 2000(SP4)은 30분16초로 전월에 비하여 Windows XP는 11분23초 감소, Windows 2000은 5분4초 감소 2. 요약 구분 핵심 요약 웜 바이러스 총 427건 : 전월( 395건)대비 8.1% 증가, 전년 동월(1,779건)대비 76.0% 감소 해킹신고처리 총 2,175건 : 전월(1,799건)대비 20.9% 증가, 전년 동월(3,055건)대비 28.8% 감소 스팸릴레이 - 총1,162건 : 전월( 788건)대비 47.5% 증가, 전년 동월( 885건)대비 31.3% 증가 피싱경유지 - 총 130건 : 전월( 120건)대비 8.3% 증가, 전년 동월( 97건)대비 34.0% 증가 단순침입시도 - 총 285건 : 전월( 365건)대비 21.9% 감소 기타해킹 - 총 444건 : 전월( 325건)대비 36.6% 증가 06.1월부터 기존 일반해킹 을 단순침입시도 와 기타해킹 로 세분함(전년 동월 일반해킹 649건) 홈페이지변조 - 총 154건 : 전월( 201건)대비 23.4% 감소, 전년 동월(1,424건)대비 89.2% 감소 봇(Bot) 전 세계 Bot 감염 PC 대비 국내 Bot 감염 PC 비율 9.1%로 전월대비 1.0%p 감소 - 1 -
3. 주요 지표 현황 [표 1] 침해사고 주요지표 현황 구분 2005년 총계 1 2 3 4 5 6 7 8 9 10 11 12 총계 웜 바이러스 16,093 606 859 556 395 427 2,843 해킹신고처리 33,633 2,225 1,968 2,032 1,799 2,175 10,199 - 스팸릴레이 6,334 782 682 957 788 1,162 4,371 - 피싱경유지 1,087 78 118 125 120 130 571 - 단순침입시도 - 161 218 225 365 285 1,254 - 기타해킹 9,520 330 358 248 325 444 1,705 - 홈페이지변조 16,692 874 592 477 201 154 2,298 봇(Bot) 18.8% 10.0% 11.8% 14.6% 10.1% 9.1% 11.1% 봇(Bot) 통계는 전 세계 Bot 감염 추정 PC 중 국내 PC가 차지하는 비율임 06년 1월부터 기존 일반해킹 을 단순침입시도 와 기타해킹 으로 세분 함 - 단순침입시도: KISA에서 접수 처리한 해킹신고 중 웜 바이러스 등 악성코드로 인하여 유발된 스캔(침입시도)을 피해자(기관)가 신고한 사고임 - 기 타 해 킹 : KISA에서 접수 처리한 해킹신고 중 스팸릴레이, 피싱 경유지, 단순침입시도를 제외한 나머지 사고임 2,500 2,000 1,500 1,000 500 0 2,000 1,500 1,000 500 0 859 606 556 427 395 2005년 1 2 3 4 5 6 7 8 9 10 11 12 <웜 바이러스 신고 접수건수> 491576 690 473 729 2005년 1 2 3 4 5 6 7 8 9 10 11 12 <단순침입시도+기타해킹신고 처리> 2,000 1,500 1,000 500 0 8,000 6,000 4,000 2,000 0 782 682 957 788 1,162 2005년 1 2 3 4 5 6 7 8 9 10 11 12 <스팸릴레이 신고 처리건수> 874 592 477 201 154 2005년 1 2 3 4 5 6 7 8 9 10 11 12 <홈페이지 변조사고 처리건수> 200 180 160 140 120 100 80 60 40 20 0 30% 20% 10% 0% 78 130 125 120 118 2005년 1 2 3 4 5 6 7 8 9 10 11 12 <피싱 경유지 신고 처리건수> 14.6% 11.8% 10.0% 10.1%9.1% 2005년 1 2 3 4 5 6 7 8 9 10 11 12 <악성 Bot 감염비율> 봇(Bot) 주요 용어 : 운영체제 취약점, 비밀번호의 취약성, 웜 바이러스의 백도어 등을 이용하여 전파되며, 해킹명령 전달 사이트와의 백도어 연결 등을 통하여 스팸메일 전송이나 DDoS 공격에 악용이 가능한 프로그램 또는 실행 코드 스팸릴레이(Spam Relay) : 스팸 메일 발신자 추적을 어렵게 하기 위하여 타 시스템을 스팸 메일발송에 악용 웜(Worm) 침해사고 : 독립적으로 자기복제를 실행하여 번식하는 빠른 전파력을 가진 프로그램 또는 실행 가능한 코드 : 해킹, 컴퓨터 바이러스, 논리 메일폭탄, 서비스거부 또는 고출력 전자기파 등을 사용하여 컴퓨터 시스 템 이나 인터넷 망을 공격하는 행위로 인하여 발생하는 사고로 본 보고서에서는 웜 바이러스, 해킹, 애 드웨어/스파이웨어로 분류함 트로이잔(Trojan) : 자기복제 능력은 없으나 정상기능의 프로그램으로 가장하여 프로그램내에 숨어있는 코드조각으로 의도 하지 않은 기능을 수행하는 프로그램 또는 실행 코드 피싱(Phishing) 경유지 : 국외의 침해사고대응기관이나 위장사이트의 대상이 된 기관 또는 업체, 일반사용자로부 터 신 고받아 처리한 건수로써 실제 피싱으로 인한 피해 사고건수가 아니라 보안이 취약한 국내 시스템이 피싱 사이트 경유지로 악용되어 신고된 건수임 - 2 -
1. 웜 바이러스 전체 추이 [표 2] 월별 국내 웜 바이러스 신고 건수 구분 2005년 총계 1 2 3 4 5 6 7 8 9 10 11 12 총계 신고 건수 16,093 606 859 556 395 427 2,843 웜 바이러스 신고건수는 KISA, 안철수연구소, 하우리가 공동으로 집계한 결과임 2,500 2,000 2005년 1,500 1,000 859 500 606 556 395 427 0 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 (그림 1) 월별 국내 웜 바이러스 신고 건수 5월 중 국내 백신업체와 KISA에 신고된 웜 바이러스 신고건수는 427건으로 전월의 395건에 비하여 8.1% 증가하였으며, 전년 동월(1,779건)에 비해서는 76.0% 감소하였다. 전월에 비하여 소폭 증가한 이유는 지난해 부터 지속출현 하고 있는 Netsky웜 바이러스 신고가 다소 증가(107 166건)하였기 때문이며, 전년 동월에 비하여 감소한 이유는 05년 5월에 전체 신고건수의 31%를 차지하였던 Mytob 변종과 같은 대량 이메일발송 웜에 의한 피해신고가 06년 들어 감소하였기 때문인 것으로 파악되었다. - 3 -
웜 바이러스 종류별 신고 현황 [표 3] 월별 웜 바이러스 종류별 구분 구분 2005년 총계 1 2 3 4 5 6 7 8 9 10 11 12 총계 웜 10,764 378 676 308 214 268 1,844 트로이잔 746 130 106 180 132 104 652 바이러스 611 65 38 17 11 17 148 기타 3,972 33 39 51 38 38 199 합계 16,093 606 859 556 395 427 2,843 기타는 분류가 명확하지 않은 웜 바이러스 신고임 웜(Worm) : 독립적으로 자기복제를 실행하여 번식하는 빠른 전파력을 가진 컴퓨터 프로그램 또는 실행 가능한 코드 트로이잔(Trojan) : 자기복제 능력은 없으나 정상기능의 프로그램으로 가장하여 프로그램 내에 숨어있는 코드 조각으로 의도하지 않은 기능을 수행하는 컴퓨터 프로그램 또는 실행 가능한 코드 바이러스(Virus) : 컴퓨터 프로그램이나 메모리에 자신 또는 자신의 변형을 복사해 넣는 악의적인 명령어들로 조합하여 불특정 다수에게 피해를 주기 위한 목적으로 제작된 모든 컴퓨터 프로그램 또는 실행 가능한 코드 2,000 1,500 '05 웜 '05 트로이잔 '05 바이러스 '05 기타 '06 웜 '06 트로이잔 '06 바이러스 '06 기타 1,000 676 500 378 308 214 268 0 130 106 180 132 104 65 39 51 38 38 33 38 17 11 17 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 (그림 2) 월별 웜 바이러스 종류별 구분 5월에 신고된 웜 바이러스 등 악성코드를 종류별로 분류한 결과 전월과 마찬 가지로 웜, 트로이잔, 바이러스 순이었으며, 웜의 신고건수는 268건으로 전월 대비 25.2% 증가(214건 268건)하였으며, 트로이잔은 104건으로 전월 대비 21.2% 감소(132건 104건)하였다. - 4 -
신종 및 변종 웜 바이러스 [표 4] 월별 신종 웜 바이러스 구분 2005년 2006 총계 1 2 3 4 5 6 7 8 9 10 11 12 총계 A사 63 17 13 24 16 13 83 B사 9 2 0 0 2 1 5 합계 72 19 13 24 18 14 88 [표 5] 월별 변종 웜 바이러스 구분 2005년 2006 총계 1 2 3 4 5 6 7 8 9 10 11 12 총계 A 사 527 193 123 183 151 204 854 B사 38 2 0 10 7 5 24 합계 565 195 123 193 158 209 878 신종 및 변종 웜 바이러스는 안철수연구소와 하우리의 자료를 이용하여 집계하였음 5월의 주요 신종 웜 바이러스는 자체전파기능은 없으나 감염 시 백도어를 설치하는 Lemerul 트로이잔 등이 있었으며 주요 변종으로는 LineageHack등 게임 사이트의 아이디/패스워드를 해킹하기 위한 트로이잔 등이 있었다. 변종 웜 바이러스는 전월 대비 32.3% 증가(158개 209개)하였다. - 5 -
주요 웜 바이러스별 신고 현황 [표 6] 주요 웜 바이러스 신고현황 순위 1월 2월 3월 4월 5월 6월 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 1 NETSKY 173 BAGLE 365 NETSKY 160 NETSKY 107 NETSKY 166 2 IRCBOT 63 NETSKY 145 BAGLE 50 DOWNLOADER 61 BAGLE 49 3 PARITE 41 IRCBOT 53 XEMA 49 BAGLE 30 VUNDO 23 4 LINEAGEHACK 37 MYTOB 25 DOWNLOADER 48 LINEAGEHACK 23 LINEAGEHACK 17 5 MYTOB 29 PARITE 20 IRCBOT 39 IRCBOT 20 DOWNLOADER 16 6 MASLAN 26 DOWNLOADER 20 MYTOB 22 MYTOB 19 IRCBOT 12 7 LOVGATE 25 MASLAN 17 LINEAGEHACK 21 XEMA 9 ZASRAN 11 8 SASSER 24 SASSER 16 HANGHACK 17 SASSER 7 KORGAMEHACK 7 9 HANGHACK 21 LINEAGEHACK 15 TENGA 12 AGENT 6 TENGA 6 10 SOBER 12 HANGHACK 13 KORGAMEHACK 10 TENGA 6 BRONTOK 6 11 XEMA 11 LOVGATE 11 PARITE 8 DLLBOT 5 AGENT 5 12 VALLA 9 AGOBOT 9 SASSER 8 BAGLESPAMTOOL 5 MYTOB 5 13 AGENT 8 PARADROP 8 AGENT 5 MHTREDIR 5 PARITE 5 14 DOWNLOADER 8 BOBAX 7 HACDEF 5 BRONTOK 4 MASLAN 5 15 MHTREDIR 8 TENGA 7 HUPIGON 5 LAGER 3 XEMA 4 기타 111 기타 128 기타 97 기타 85 기타 90 합계 606 합계 859 합계 556 합계 395 합계 427 5월 전체 웜 바이러스 신고는 427건으로 전월에 비하여 8.1% 증가하였다. 이번달에도 전월과 마찬가지로 Netsky웜이 1위를 차지하였으며 신고건수도 55.1% 증가(107 166건) 들었다. 또한 자체 전파기능은 없는 것으로 보이나 2004년에 보안 패치가 발표된 IFRAME Tag 취약점(MS04-040)을 이용하여 PC내에 설치되는 것 으로 알려진 트로이잔 VUNDO에 대한 피해 신고가 3위를 차지하였다. - 6 -
2. 해킹 전체 추이 [표 7] 해킹신고 처리 현황 구분 2005년 총계 1 2 3 4 5 6 7 8 9 10 11 12 총계 스팸릴레이 6,334 782 682 957 788 1,162 4,371 피싱경유지 1,087 78 118 125 120 130 571 단순침입시도 - 161 218 225 365 285 1,254 기타해킹 9,520 330 358 248 325 444 1,705 홈페이지변조 16,692 874 592 477 201 154 2,298 합계 33,633 2,225 1,968 2,032 1,799 2,175 10,199 상기 자료는 국내 외로부터 email로 KISA에 접수된 해킹신고를 기반으로 작성하였음 (홈페이지 변조는 예외) 06년 1월부터 기존 일반해킹 을 단순침입시도 와 기타해킹 으로 세분함 스팸릴레이(Spam Relay) : 스팸 메일 발신자 추적을 어렵게 하기 위하여 타 시스템을 스팸 메일발송에 악용 피싱(Phishing) : 정상적인 웹서버를 해킹하여 위장사이트를 개설한 후, 인터넷 이용자들의 금융정보 등을 빼내는 신종사기수법으로 Bank Fraud, Scam이라고도 함 피싱(Phishing) 경유지 신고 건수는 KISA가 국외의 침해사고대응기관이나 위장사이트의 대상이 된 기관 또는 업체, 일반사용자로부터 신고받아 처리한 건수로써 실제 피싱으로 인한 피해 사고건수가 아니라 보안이 취약한 국내 시스템이 피싱 사이트 경유지로 악용되어 신고된 건수임 7000 6000 5000 '05 기타해킹 '05 스팸릴레이 '05 피싱경유지 '05 홈페이지 변조 '06 단순침입시도 '06 스팸릴레이 '06 피싱경유지 '06 홈페이지 변조 '06 기타해킹 4000 3000 2000 1000 0 1162 874 957 788 682 782 154 592 477 201 118 125 120 130 78 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 (그림 3) 해킹신고 처리 현황 5월 KISA에서 처리한 해킹신고는 2,175건으로 전월(1,799건) 대비 20.9% 증가 하였다. - 스팸릴레이, 피싱경유지, 기타해킹은 각각 47.5%, 8.3%, 36.6% 증가하였으며, 홈페이지 변조, 단순침입시도는 각각 23.4%, 21.9% 감소하였다. - 이번 달에 스팸릴레이가 증가한 이유는 Sendmail 서버에 설치되어 스팸발송 신고기능을 제공하는 스팸쉴드 프로그램에 의한 해외로 부터의 자동신고 메일이 많았기(750건) 때문이다. - 7 -
피해 운영체제별 분류 [표 8] 피해 운영체제별 분류 운영체제 2005년 총계 1 2 3 4 5 6 7 8 9 10 11 12 총계 Windows 7,470 1,485 1,376 1,423 1,378 1,836 7,498 Linux 14,602 698 559 582 302 246 2,387 Solaris 181 1 26 8 6 0 41 기타 766 41 7 19 113 93 273 합계 23,019 2,225 1,968 2,032 1,799 2,175 10,199 운영체제별 분류 자료는 각 운영체제의 안전성과는 상관관계가 없으며, 단지 신고에 따른 분석 자료임 7,000 6,000 5,000 '05 Windows '05 Linux '05 Solaris '05 기타 '06 Windows '06 Linux '06 Solaris '06 기타 4,000 3,000 2,000 1,485 1376 1,423 1,378 1,836 1,000 0 698 559 582 302 246 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 (그림 4) 피해 운영체제별 분류 5월 해킹 피해시스템을 운영체제별로 분류한 결과 전월과 마찬가지로 Windows, Linux, Solaris 운영체제 순 이었다. 전체적인 추이에 있어서도 전월과 크게 다르 지 않았으나, 이번 달에 증가한 스팸릴레이가 대부분 Windows관련으로 침해사 고로 분류됨에 따라 Windows 운영체제가 차지하는 비율은 전월에 비하여 33.2% 증가하였다. - 8 -
피해 기관별 분류 [표 9] 피해 기관별 분류 기관 2005년 총계 2006 1 2 3 4 5 6 7 8 9 10 11 12 총계 기업 11,166 681 409 403 276 221 1,990 대학 714 52 75 84 60 90 361 비영리 1,932 124 149 105 98 38 514 연구소 26 1 1 4 3 3 12 네트워크 1,898 83 89 34 12 14 232 기타(개인) 7,283 1,284 1,245 1,402 1,350 1,809 7,090 총계 23,019 2,225 1,968 2,032 1,799 2,175 10,199 기관 분류기준 : 기업(co, com), 대학(ac), 비영리(or, org), 연구소(re), 네트워크(ne, net), 기타(pe 또는 ISP에서 제공하는 유동 IP 사용자) 5,000 4,000 '05 기업 '05 대학 '05 비영리 '05 네트워크 '05 기타(개인) '06 기업 '06 대학 '06 비영리 '06 네트워크 '06 기타(개인) 3,000 2,000 1,809 1,284 1245 1402 1350 1,000 681 409 403 276 221 0 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 (그림 5) 피해 기관별 분류 피해 기관별로 분류한 결과, 기타(개인), 기업, 대학, 비영리의 순으로 나타났다. 침해사고관련 IP가 주로 ISP에서 제공하는 유동 IP(주로 개인용 컴퓨터)인 경우에 해당되는 기타(개인)의 비율은 전월에 비하여 25.4% 증가(1,350 1,809건) 하였다. - 9 -
피싱경유지 신고처리 현황 [표 10] 피싱경유지 신고 건수 구분 피싱경유지 신고건수 2005년 총계 1 2 3 4 5 6 7 8 9 10 11 12 1,087 78 118 125 120 130 571 총계 피싱(Phishing) : 정상적인 웹서버를 해킹하여 위장사이트를 개설한 후, 인터넷 이용자들의 금융정보 등을 빼내는 신종사기수법으로 Bank Fraud, Scam이라고도 함 피싱(Phishing) 경유지 신고 건수는 KISA가 국외의 침해사고대응기관이나 위장사이트의 대상이 된 기관 또는 업체, 일반사용자로부터 신고받아 처리한 건수로써 실제 피싱으로 인한 피해 사고건수가 아니라 보안이 취약한 국내 시스템이 피싱 사이트 경유지로 악용되어 신고된 건수임 150 135 120 118 125 120 130 105 90 75 60 45 30 15 78 2005년 0 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 (그림 6) 피싱 경유지 신고건수 5월 피싱 경유지 신고건수는 총 130건으로, 전월(120건)에 비하여 8.3% 증가한 것 으로 나타났다. 피싱경유지 사이트를 기관별로 분류해 본 결과, 기업 56건(43.1%), 비영리 15건 (11.5%), 기타(개인) 13건(10%), 교육기관(사립대) 10건(7.7%)등의 순이었으며, 해당 홈페이지 내에 기관정보가 없거나 whois 등록정보에 ISP 관리대역으로만 조 회되어 실제 사용기관을 확인할 수 없는 경우에 해당되는 ISP 서비스 이용자 유형 이 36건(27.7%)을 차지하였다. 사칭대상 기관수는 총 27개로, 금융기관 17개, 전자상거래 3개 등으로 분류 되었다. 소속 국가별로 살펴보면, 모두 국외기관들로 여전히 미국이 가장 많은 기관과 신고 건수를 차지했고 그밖에 호주, 영국, 독일, 캐나다, 뉴질랜드, 멕시코, 홍콩 등 총 8개국이 해당되었다. 5월 피싱경유지 신고 통계 분석 부분 참조 - 10 -
홈페이지 변조 사고처리 현황 [표 11] 홈페이지 변조 사고처리 현황 구분 2005년 총계 1 2 3 4 5 6 7 8 9 10 11 12 총계 피해홈페이지 수 16,692 874 592 477 201 154 2,298 피해시스템 수 2,943 176 185 106 64 98 629 피해시스템 수는 피해 IP 수를 기준으로 산정한 것으로 단일 IP에 수십~수백 개의 홈페이지를 운영하는 경우도 있으므로 피해 홈페이지 수는 피해 시스템 수 보다 많을 수 있음 8,000 6,000 '05 피해 홈페이지 수 '05 피해 시스템 수(IP) '06 피해 홈페이지 수 '06 피해 시스템 수(IP) 4,000 2,000 0 874 592 477 201 98 176 185 106 64 154 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 (그림 7) 홈페이지 변조 사고처리 현황 5월에는 98개 시스템(IP)의 154개 사이트(도메인)에 대한 홈페이지 변조가 발생 하여 피해 사이트 수가 전월에 비하여 23.4% 감소(201개 154개)하였다. - 전월에 비해서 홈페이지변조 피해건수는 감소하였으나 피해 시스템 수는 오히려 증가 하였으며 취약한 웹 사이트는 피싱경유지, 악성코드 유포지/경유지로 악용될 수 있으므로 웹 사이트 운영자들의 지속적인 주의가 필요하다. 참고 사이트 ModSecurity를 이용한 아파치 웹서버 보안 : http://www.krcert.or.kr 보안정보 기술문서 ModSecurity를 이용한 아파치 웹서버 보안 WebKnight를 이용한 SQL Injection 공격 차단 : http://www.krcert.or.kr 보안정보 기술문서 WebKnight를 이용한 SQL Injection 공격 차단 홈페이지 개발 보안가이드: http://www.krcert.or.kr 초기화면 왼쪽 홈페이지 개발 보안가이드 - 11 -
PART Ⅱ 허니넷 분석 - 12 -
1. 웜 바이러스의 종류별 수집 현황 KISA 및 2개 기관/업체의 바이러스 월을 통하여 수집된 웜 바이러스 탐지건수를 종류별로 구분한 결과는 다음과 같다. [표 12] 수집된 웜 바이러스의 종류별 현황 구분 웜 1 2 3 4 5 6 7 8 9 10 11 12 124,083 (13.3%) 트로이잔 503,269 (54.1%) 바이러스 기타 합계 80,172 (8.6%) 223,067 (24%) 930,591 (100%) 81,390 (13.4%) 311,846 (51.2%) 56,646 (9.3%) 158,619 (26.1%) 608,501 (100%) 78,766 (15.6%) 231,338 (45.7%) 51,149 (10.1%) 144,496 (28.6%) 505,749 (100%) 66,801 (12.4%) 249,488 (46.4%) 55,254 (10.3%) 165,603 (30.8%) 537,146 (100%) 53,610 (9.6%) 240,532 (43.2%) 52,605 (9.5%) 209,886 (37.7%) 556,633 (100%) 합계 (평균) 408,205 (13%) 1,536,474 (49%) 295,826 (9.4%) 898,247 (28.6%) 3,138,752 (100%) 바이러스 월을 통한 웜 바이러스 종류별 수집건수는 관련 업체((주)뉴테크웨이브)의 탐지건수를 반영하였음 웜, 9.6% 기타, 37.7% 트로이잔, 43.2% 바이러스, 9.5% (그림 8) 수집된 웜 바이러스의 종류별 현황 바이러스 월을 통하여 수집된 웜 바이러스의 종류별 비율은 트로이잔 43.2%로 전월 (46.4%)과 비슷한 수준이었으며, 웜은 9.6%로 전월(12.4%)에 다소 감소하였으며 바 이러스도 9.5%로 전월(10.3%)에 비하여 다소 감소하였다. - 분류가 어려운 경우에 해당하는 기타는 37.7%로 전월(30.8%)에 6.9%p 증가하였는데 이 는 최근 출현하는 악성코드 유형이 웜, 바이러스, 트로이잔으로 명확히 구분하기 어 려운 복합된 형태로 출현하는 경향이 증가하기 때문인 것으로 풀이된다. - 13 -
2. 주요 웜 바이러스별 수집 현황 KISA 및 2개 기관/업체의 바이러스 월 등을 통하여 수집된 웜 바이러스의 주요 순위는 다음과 같다. - 전체 수집건수 가운데 가장 많은 탐지건수를 보였던 웜 바이러스는 전월과 마찬가지로 EZRUL과 DOWNLOADER 이었다. EZURL은 인터넷 익스플로러의 주소 입력창의 키워드를 가로채 특정 서버에 전송하는 악성코드이며 DOWNLOADER의 경우 백신업체에 따라 명칭은 다르지만 대부분 웹 사이트를 통해 감염되는 트로이잔 종류로 감염 시 추가적으로 악성코드를 다운로드 받는 특징이 있다. 백신 및 보안패치관련 참고: http://www.boho.or.kr 초기화면 상단의 사이버방역 [표 13] 수집된 주요 웜 바이러스 현황 순위 1월 2월 3월 4월 5월 6월 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 명칭 건수 1 DOWNLOADER 125,216 DOWNLOADER 86,129 DOWNLOADER 78,267 DOWNLOADER 53,171 EZURL 63,373 2 MHTREDIR 99,389 CLICK 53,193 MYBOT 40,991 MYBOT 41,023 DOWNLOADER 52,374 3 MYBOT 65,860 MYBOT 40,593 PARITE 35,403 PARITE 37,751 PARITE 34,498 4 STARTPAGE 42,152 PARITE 34,584 STARTPAGE 24,713 POPUPER 35,149 MYBOT 33,848 5 PWS 42,068 AGOBOT 28,220 AGOBOT 20,861 STARTPAGE 21,241 PWS 20,954 6 PARITE 41,600 STARTPAGE 23,630 QUICKBAR 19,193 EZURL 19,251 STARTPAGE 17,984 7 QUICKBAR 35,588 PWS 22,057 PWS 18,032 MULDROP 18,459 POPUPER 16,418 8 AGOBOT 33,490 QUICKBAR 15,809 MULDROP 15,422 LINEAGE 14,300 PROXY 14,566 9 LINEAGE 26,373 HLLM 15,310 HLLM 13,685 HLLM 12,490 LINEAGE 11,771 10 PROXY 20,176 MHTREDIR 13,565 GAMECRACK 11,004 AGOBOT 12,118 HLLM 11,367 11 INCA 15,484 NOV A 11,882 HLLW 9,729 HLLW 11,497 MULDROP 10,563 12 GAMECRACK 14,252 MULDROP 10,241 POPUPER 9,569 CLICK 10,732 CLICK 9,460 13 NTROOTKIT 13,943 LINEAGE 9,883 PROXY 8,988 GAMECRACK 10,250 OLLARREV ENU 8,522 14 SEEKER 13,870 INCA 9,468 LINEAGE 8,037 NTROOTKIT 9,998 NTROOTKIT 8,379 15 MULDROP 13,792 AHN 8,706 INCA 7,118 PWS 9,496 AGOBOT 7,889 기타 327,338 기타 225,231 기타 184,737 기타 220,220 기타 234,667 합계 930,591 608,501 505,749 537,146 기타 556,633-14 -
3. 악성 봇(Bot) 현황 [표 14] 국내 악성 봇(Bot) 감염률 2005년 구분 평균 1 2 3 4 5 6 7 8 9 10 11 12 평균 국내 비율 18.8% 10.0% 11.8% 14.6% 10.1% 9.1% 11.1% 전 세계 Bot 감염 추정 PC 중 국내 Bot 감염 PC가 차지하는 비율임 봇(Bot) : 운영체제 취약점, 비밀번호 취약성, 웜 바이러스의 백도어 등을 이용하여 전파되며, 명령 전달사이트와의 백도어 연결 등을 통하여 스팸메일 전송이나 DDoS 공격에 악용 가능한 프로그램 또는 실행 가능한 코드 25% 26.4% 25.8% 24.6% 24.1% 2005년 20% 20.7% 18.1% 19.4% 19.7% 15% 14.6% 14.6% 13.6% 10% 11.8% 10.0% 10.1% 9.1% 9.5% 9.2% 5% 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 (그림 9) 국내 악성 봇(Bot) 감염률 150,000 125,000 전체 IP 수 국내 IP 수 100,000 75,000 50,000 25,000 0 1일 4일 7일 10일 13일 16일 19일 22일 25일 28일 (그림 10) 전 세계 감염 IP 수와 국내 감염 IP 수의 비교 - 15 -
전 세계 Bot 감염추정 PC 중에서 국내 감염 PC 비율은 9.1%로 지난달 대비 1.0%p 감소하였다. KISA에서는 5월 현재까지 파악된 악성 Bot 명령/제어 서버로 이용되는 6,200여개 도메인네임에 대한 DNS 싱크홀을 적용하였다. 5월 현재까지 총 8개 사업자가 전체 DNS 싱크홀 적용, 1개 사업자가 일부 DNS 싱크홀 적용 DNS 싱크홀 : Bot-NET 관리 서버의 도메인명에 실제 IP 주소가 아닌 특정 IP를 부여함으 로써 Zombie PC가 실제 Bot-Net 관리 서버에 연결되는 것을 차단함 Bot의 전파에 사용되는 주요 포트는 NetBIOS 관련 포트인 445, 139, 135와 웹 관련 80 포트, MS-SQL 관련 포트인 1433 등으로 지난달 Top5를 차지한 포트들이 그대로 주요 포트로 사용되고 있다. 전월 악성 Bot 사용 Top 5 포트 : 445, 139, 80, 135, 1433 국내 Bot 감염 추정 PC가 Bot 전파에 사용하는 주요 포트는 139, 135, 80, 1433, 445 포트 순으로 지난달과 동일하다. 50% 45% 40% 445 80 135 139 1433 35% 30% 25% 20% 15% 10% 5% 0% 1일 4일 7일 10일 13일 16일 19일 22일 25일 28일 31일 (그림 11) Bot의 전파에 이용되는 전체 Top 5 포트 일별 추이 - 16 -
50% 40% 139 135 80 1433 445 30% 20% 10% 0% 1일 4일 7일 10일 13일 16일 19일 22일 25일 28일 (그림 12) Bot의 전파에 이용되는 국내 Top 5 포트 일별 추이 악성 Bot의 전파에 이용되는 주요 포트 목록 포트 관련 취약점 및 웜/악성 Bot 포트 관련 취약점 및 웜/악성 Bot 80 WebDAV (MS03-007) 취약점, Agobot, Polybot 등 2556 Bagle, Bagle2 135 RPC DCOM 취약점(MS03-026, MS03-039), Polybot, Spybot 등 2745 Bagle, Bagle2 139 NetBIOS Brute force login attempts 3127 MyDoom.A 445 LSASS(MS03-026, 039, 049 등) 취약점, Agobot, Polybot, Spybot, Zotob, IRCBot, SDBot 등 3140 Optix Backdoor, Mockbot 등 901 NetDevil 취약점 이용 Bot 3176 MyDoom.AB 등 903 NetDevil2 취약점 이용 Bot 5000 UPNP (MS01-059) 1023 Sasser Backdoor 취약점 이용 Bot 5554 Sasser ftpd Backdoor 1025 DCOM (MS03-026) 취약점 이용 Bot 6129 Dameware, Mockbot 등 1080 MyDoom.F 취약점 이용 Bot 9898 Dabber Backdoor 1234 SubSeven 취약점 이용 Bot 12345 SubSeven 1433 MS-SQL Login Brute force 취약점 이용 Bot 17300 Kuang2-17 -
악성 Bot이란? 악성 Bot의 주요 특징 운영 체제 취약점, 비밀번호의 취약성, 웜 바이러스의 Backdoor 이용 등을 통한 전파 일반적으로 IRC 접속을 위하여 사용되는 포트 대신 임의의 포트를 사용하므로 탐지가 어렵고, 암호화 기능 추가로 인하여 관련 트래픽 모니터링 어려움 보안프로그램 및 백신 프로그램 강제 종료와 백신 업데이트 차단으로 탐지가 어려움 백신 제조업체가 악성 Bot의 탐지 및 치료 백신 패턴의 개발을 어렵게 하기 위해, 역 어셈블리를 어렵게 하는 기능 추가 기존 IRC와 P2P를 통한 제어에 WASTE를 이용함으로써, Botnet에 대한 탐지를 어렵게 함 악성 Bot 감염 주요 증상 감염된 컴퓨터의 개인 정보 수집 및 유출 감염된 컴퓨터를 통하여 불법 프로그램 유포, 불법 Proxy 서버, 스팸전달, 특정 사이트 거부 공격 등에 활용 감염된 컴퓨터가 위치한 네트워크에 트래픽 유발을 통하여 네트워크 과부하 혹은 다운 현상 발생 보안이 취약한 네트워크 장비를 이용하여 악성 Bot 파일 전파 및 업데이트 저장소로 이용 감염 시스템이 느려지거나 CPU 100% 사용 악성 Bot 주요 피해(악용) 특정 Site 서비스 거부 공격 제2의 해킹 경유지로의 사용 Phishing 사이트 불법 프로그램 및 스팸(SPAM) 유포 사이트로 사용 악성 Bot 예방 및 대책 시스템 운영체제의 패치 및 보안관리 철저 불필요한 공유 폴더 삭제, 추측하기 어려운 비밀번호 사용, 최신 백신 프로그램 업데이트 개인, 기업, ISP 및 유관기관 등은 아래 언급된 방지책 및 대비책을 숙지하고 피해 최소화를 위하여 지속적인 점검 실시 - 18 -
4. 웜 바이러스 취약 PC의 생존가능시간(Survival time) 및 감염유형 5월 평균 생존가능시간은 Windows XP SP1는 22분33초, Windows 2000 SP4는 30분16초로 측정되었다. 전월에 비하여 Windows XP SP1는 11분23초, Windows 2000 SP4는 5분4초 감소하였다. 생존가능시간은 1~3월까지 25분 내외로 적은 변동 폭을 유지하다가 4월에 길어졌으며, 이번 달에 다시 짧아지는 현상을 보 였다. 이는 네트워크 웜의 전파활동이 4월에 감소하였다가 이번 달에 예전수 준으로 증가하였기 때문이라고 볼 수 있다. 생존시간분포는 여전히 짧은 시간 대에 집중되는 경향을 보였으며 웰치아 및 IRC봇 계열 웜에 감염되는 경우가 많은 것으로 파악되었다. 생존시간의 측정은 암호설정 및 보안 업데이트를 하지 않고, 모든 포트가 열려있는 전용선 인터넷 환경에서 Windows XP SP1과 Windows 2000 SP4 2개군으로 분류하여 1000 여회를 실시하였다. WinXP SP2는 개인방화벽이 기본으로 설치되므로 웜 감염피해를 상당부분 예방할 수 있음 생존가능시간 : 시스템이 인터넷에 연결된 상태에서 웜이나 악성코드에 감염될 때까지의 시간 40분 35분 30분 '05 Windows XP SP1 '05 Windows 2000 SP4 '06 Windows XP SP1 '06 Windows 2000 SP4 25분 20분 15분 10분 5분 0분 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 (그림 13) 월별 평균 생존 가능시간 변동 추이 [표 15] 윈도우즈 XP Pro SP1, 윈도우즈 2000 Pro SP4 생존가능시간 Windows XP SP1 구분 Windows 2000 SP4 1 2 3 4 5 6 7 8 9 10 11 12 최장 298'32" 358'33" 494'50" 661'07" 937'48" 최단 8" 5" 4" 4" 4" 평균 25'13" 27'40" 23'16" 33'56" 22'33" 최장 296'12" 379'18" 495'14" 894'27" 629'56" 최단 6" 6" 8" 4" 5" 평균 26'02" 24'17" 27'09" 35'20" 30'16" - 19 -
(그림 15) Windows XP SP1 생존시간 분포 분석 (그림 16) Windows 2000 SP4 생존시간 분포 분석 - 20 -
1. 허니넷을 통한 트래픽 수집현황 [표 16] 허니넷을 통한 트래픽 수집현황 국내 소재 IP 국외 소재 IP 5월 전체 3,424,417 9,579,462 13,003,879 KISA의 허니넷을 대상으로 포트스캔을 한 발신지 IP주소 기준임 2. 국내로 부터의 포트스캔 현황 KISA의 허니넷에 수집된 국내 소재 IP주소로 부터의 포트스캔 현황은 다음과 같다. [표 17] 국내 국내 포트스캔 현황 1월 2월 3월 4월 5월 6월 순위 포트번호 비율 포트번호 비율 포트번호 비율 포트번호 비율 포트번호 비율 포트번호 비율 1 445 19.25% 22 17.78% 22 15.13% 135 13.17% 139 21.13% 2 139 18.82% 135 13.39% 135 14.69% 22 10.88% 135 15.59% 3 135 12.50% 445 13.21% 1433 9.54% 139 9.40% 1433 9.96% 4 22 10.87% 139 9.40% 25 9.32% 4899 5.75% 1434 8.79% 5 25 8.72% 1433 8.69% 445 7.01% 445 5.21% 22 7.50% 6 1433 6.07% 1434 6.14% 4899 5.85% 1433 5.18% 445 5.19% 7 1434 4.04% 25 4.91% 139 3.92% 25 4.45% 4899 4.01% 8 4899 3.24% 4899 3.78% 1434 3.66% 50033 1.76% 25 2.22% 9 2100 2.20% 2100 2.51% 2100 2.12% 80 1.51% 50033 2.19% 10 80 1.86% 80 2.22% 50033 1.70% 3389 1.12% 5900 1.28% 11 3389 1.16% 1024 1.50% 3389 1.63% 2100 1.06% 1080 1.27% 12 21 1.07% 6129 1.33% 80 1.34% 21 0.94% 80 1.17% 13 443 1.05% 6000 0.95% 443 1.26% 443 0.75% 21 1.10% 14 42 0.95% 21 0.93% 21 1.00% 1434 0.60% 3389 1.07% 15 3306 0.71% 42 0.87% 32773 0.89% 3306 0.52% 2100 0.93% 16 8080 0.66% 3389 0.84% 3306 0.85% 6129 0.41% 443 0.92% 17 5900 0.45% 443 0.78% 31337 0.55% 42 0.22% 3306 0.88% 18 6000 0.33% 8080 0.61% 6112 0.43% 6000 0.17% 4460 0.76% 19 32773 0.27% 5900 0.59% 1080 0.38% 32773 0.17% 6129 0.68% 20 3128 0.18% 8535 0.46% 53 0.33% 7144 0.12% 42 0.62% 기타 기타 5.60% 기타 9.10% 기타 18.42% 기타 36.60% 기타 12.75% 합계 100.0% 100.0% 100.0% 100.0% 100.0% - 21 -
허니넷에서 탐지된 국내소재 IP로부터의 포트스캔 현황은 tcp/139, tcp/135, tcp/1433번 포트가 차지하는 비율이 가장 높았다. 이번 달에는 특히 tcp/139번 포트에 대한 스캔시도가 많았는데 해당포트는 윈도우의 NetBIOS 서비스에 사용되는 포트이나 악성 Bot 감염 전파를 위한 취약점 스캔에도 이용되는 경우가 많은 것으로 볼 때 악성 Bot의 감염 시도 트래픽인 것으로 보인다. tcp/139, 21.1% 기타, 37.0% tcp/135, 15.6% tcp/22, 7.5% tcp/1434, 8.8% tcp/1433, 10.0% (그림 16) 국내 국내(허니넷) 포트스캔 현황 - 22 -
3. 국외로 부터의 포트스캔 현황 국외 소재 IP로부터의 스캔 트래픽은 MS SQL 데이타베이스의 취약점을 스캔하는것 으로 보이는 tcp/1434, tcp/1433 포트를 대상으로 한 것이 가장 많아 전체의 78.72%를 차지하였다. 해당 데이터베이스 운영자는 최신보안패치 적용, 이벤트 로그 분석을 통한 점검 등 각별한 주의가 필요하다고 하겠다. [표 18] 국외 국내 포트스캔 현황 1월 2월 3월 4월 5월 6월 순위 포트번호 비율 포트번호 비율 포트번호 비율 포트번호 비율 포트번호 비율 포트번호 비율 1 22 33.33% 22 35.27% 22 38.02% 22 43.05% 1434 65.07% 2 1433 13.85% 1433 16.83% 1433 20.77% 1433 17.53% 1433 13.65% 3 80 8.78% 1080 5.92% 80 4.31% 139 5.45% 22 10.42% 4 443 5.26% 3372 5.70% 3372 4.11% 4899 5.30% 4899 1.91% 5 3372 4.99% 80 5.33% 4899 3.97% 443 3.30% 42 1.18% 6 4899 4.30% 1026 4.81% 443 3.48% 3389 3.01% 139 0.90% 7 1026 4.23% 4899 3.55% 139 2.30% 80 2.86% 443 0.72% 8 139 3.48% 443 3.27% 42 2.10% 3372 2.86% 80 0.62% 9 1080 2.77% 139 3.14% 1080 2.05% 42 2.79% 135 0.58% 10 42 2.31% 8535 1.65% 3389 1.86% 445 1.78% 1080 0.54% 11 8535 2.09% 3389 1.53% 8080 1.64% 8535 1.45% 3389 0.46% 12 111 1.92% 42 1.47% 1026 1.31% 2100 1.31% 445 0.43% 13 445 1.53% 135 1.31% 135 1.01% 8080 1.23% 8080 0.38% 14 3389 1.49% 8080 0.85% 8535 0.94% 135 0.88% 3372 0.35% 15 21 0.74% 445 0.84% 21 0.86% 143 0.52% 5900 0.34% 16 3306 0.69% 3306 0.66% 1027 0.84% 21 0.51% 8535 0.33% 17 2100 0.64% 2100 0.52% 445 0.80% 25 0.37% 25 0.20% 18 135 0.53% 111 0.49% 2100 0.78% 50050 0.35% 2100 0.19% 19 106 0.43% 21 0.47% 6112 0.66% 4778 0.29% 111 0.17% 20 4778 0.41% 6129 0.47% 111 0.65% 6000 0.29% 21 0.13% 기타 기타 6.22% 기타 5.93% 기타 7.56% 기타 4.84% 기타 1.45% 합계 100.0% 100.0% 100.0% 100.0% 100.0% - 23 -
tcp/42, 1.2% tcp/4899, 기타, 7.7% 1.9% tcp/22, 10.4% tcp/1433, 13.7% tcp/1434, 65.1% (그림 17) 국외 국내(허니넷) 포트스캔 현황 주요 포트 별 서비스 및 관련 악성코드 포트번호 프로토콜 서비스 관련 악성코드 22 TCP SSH Remote Login Protocol [trojan] Adore sshd, [trojan] Shaft 80 TCP World Wide Web, HTTP Mydoom, Welchia, Doomjuice, Agobot, Polybot, Bagle, Yaha, Spybot, Back Orifice 2k Plug-Ins, CGI Backdoor, Executor, Hooker, RingZero, Seeker, WAN Remote, Web Server CT, WebDownloader, Zombam 135 TCP/UDP DCE endpoint resolution, MS-RPC Blaster, Agobot, Yaha, Welchia, Polybot, Kibuv, Lovgate, Spybot 139 TCP Netbios-ssn God Message worm, Netlog, Qaz, Deborms, Moega, Yaha 445 TCP netbios-ds Agobot, Deloder, Yaha, Randex, Welchia, Polybot, Sasser, Bobax, Kibuv, Korgo, Spybot, Janx, Netdepix, Zotob, IRCBot, SDBot 1025 TCP/UDP network blackjack Dasher, Remote Storm, ABCHlp, Lala, Keco 1080 TCP/UDP SOCKS Protocol MyDoom, Proxmeg, Bugbear, Hagbard, Daemoni, Lixy 1433 TCP/UDP Microsoft-SQL-Server Spida, SQL Snake 1434 TCP Microsoft-SQL-Server SQL Slammer 2745 TCP urbisnet Bagle 3410 TCP/UDP NetworkLens SSL Event OptixPro, Mockbot 4899 TCP radmin-port RAdmin Port 5000 TCP/UDP commplex-main Back Door Setup, Blazer5, Bubbel, ICKiller, Ra1d, Bobax, Trojan.Webus 6129 TCP/UDP DameWare Mockbot. - 24 -
4. 국가별 포트스캔 현황 KISA의 허니넷을 통하여 수집된 정보를 바탕으로 해외 발신지 IP를 분석한 결과, 허니넷 으로 포트스캔을 실시한 국가별 현황은 다음과 같다. [표 19] 국가별 포트스캔현황 1월 2월 3월 4월 5월 6월 순위 국가명 비율 국가명 비율 국가명 비율 국가명 비율 국가명 비율 국가명 비율 1 중국 65.38% 중국 67.61% 중국 64.66% 중국 66.23% 중국 72.90% 2 미국 12.74% 미국 10.88% 미국 10.46% 미국 8.76% 미국 7.55% 3 대만 4.02% 일본 3.26% 일본 4.74% 일본 4.71% 일본 5.74% 4 일본 3.96% 대만 2.53% 대만 3.01% 대만 2.32% 대만 4.18% 5 독일 1.51% 벨로루시 1.62% 독일 2.33% 홍콩 2.01% 인도 1.10% 6 인도 1.46% 홍콩 1.51% 이란 2.28% 인도 1.79% 러시아 0.95% 7 홍콩 1.04% 이란 1.40% 인도 1.48% 독일 1.42% 스웨덴 0.72% 8 필리핀 0.95% 인도 1.24% 홍콩 1.24% 영국 1.19% 홍콩 0.60% 9 호주 0.91% 유럽연합 1.05% 유럽연합 1.00% 멕시코 1.10% 브라질 0.44% 10 루마니아 0.82% 독일 0.94% 태국 0.91% 호주 0.91% 영국 0.38% 11 태국 0.71% 호주 0.82% 호주 0.86% 캐나다 0.65% 프랑스 0.38% 12 프랑스 0.70% 캐나다 0.68% 칠레 0.73% 뉴질랜드 0.64% 루마니아 0.38% 13 이탈리아 0.64% 루마니아 0.65% 덴마크 0.67% 프랑스 0.61% 유럽연합 0.32% 14 캐나다 0.51% 러시아 0.53% 루마니아 0.49% 폴란드 0.55% 덴마크 0.31% 15 칠레 0.46% 태국 0.44% 스페인 0.46% 러시아 0.55% 독일 0.31% 16 러시아 0.36% 프랑스 0.41% 러시아 0.43% 몽골 0.52% 스페인 0.25% 17 이스라엘 0.36% 네델란드 0.31% 영국 0.37% 태국 0.51% 호주 0.23% 18 유럽연합 0.29% 칠레 0.31% 뉴질랜드 0.34% 칠레 0.48% 아르헨티나 0.23% 19 아르헨티나 0.27% 영국 0.30% 인도네시아 0.30% 네델란드 0.46% 캐나다 0.23% 20 영국 0.24% 말레이시아 0.30% 이탈리아 0.28% 사우디아라비아 0.45% 네델란드 0.22% 기타 기타 2.68% 기타 3.21% 기타 2.95% 기타 4.15% 기타 2.58% 총계 100% 100% 100% 100% 100% 5월 KISA 허니넷으로 포트스캔을 실시한 IP 소재를 국가별로 분류한 결과 중국, 미국, 일본, 대만 순으로 나타났으며 탐지된 내용은 대부분 tcp/1434, tcp/1433포트에 대한 스캔으로 파악되었다. - 25 -
기타, 9.7% 일본, 5.7% 대만, 4.1% 미국, 7.6% 중국, 72.9% (그림 18) 국가별 포트스캔 순위 80.00% 70.00% 67.6% 65.4% 64.7% 66.2% 72.9% '06 중국 '06 일본 '06 미국 '05 중국 '05 일본 '05 미국 60.00% 50.00% 40.00% 30.00% 20.00% 10.00% 0.00% 12.7% 10.9% 10.5% 8.8% 7.6% 4.0% 4.7% 3.3% 4.7% 5.7% 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 (그림 19) 중국, 일본, 미국 3개국의 포트스캔 점유율 - 26 -
PART Ⅲ 주요 보안공지 / 월간 특집 - 27 -
1. 인터넷침해사고대응지원센터 경보 현황 06.5월 경보발령 없음 2. 인터넷침해사고대응지원센터 보안 공지사항 보안 공지사항에 대한 보다 자세한 내용은 KISA 인터넷침해사고대응지원센터 홈페이지 공지 사항 (www.krcert.or.kr/securenoticelist.do) 에서 확인할 수 있습니다. MS Word에서의 신규 취약점으로 인한 피해 주의(5/22) - 보안패치가 발표되지 않은 MS Word의 취약점을 악용하는 트로이잔이 발견되어 사용자의 주의를 요함 - 악의적으로 작성된 Word 문서를 이메일 등으로 발송하여 해당 Word 문서를 열어보는 피해자 시스템에 악성코드를 설치하거나 임의의 명령을 수행할 수 있음 - 해당 S/W: MS Word 2002(XP), 2003 - 예방 및 대책. 출처가 불분명한 이메일과 메신저로 전송되는 파일에 대한 열람에 주의 특히, 워드파일(확장자 doc 등)이 첨부된 경우 각별히 주의하여야 함. 해당취약점에 대한 보안패치 발표(6.14 예정)시 보안패치 적용 참조 사이트: [1] http://www.microsoft.com/technet/security/advisory/919637.mspx [2] http://blogs.technet.com/msrc/ [3] http://www.symantec.com/avcenter/venc/data/backdoor.ginwui.html [4] http://www.symantec.com/avcenter/venc/data/trojan.mdropper.h.html [5] http://www.securityfocus.com/bid/18037/info [MS 보안업데이트] 5월 MS 월간 보안 패치 권고 (5/10) - [MS06-018] MS DTC(Distributed Transaction Coordinator)의 취약점으로 인한 서비스 거부문제(보통) - [MS06-019] Exchange의 취약점으로 인한 원격코드실행 문제(긴급) - [MS06-020] 매크로미디어 플레시 플레이어의 취약점으로 인한 원격코드실행 문제(긴급) 참조 사이트 [1] 영문: http://www.microsoft.com/technet/security/bulletin/ms06-020.mspx [2] 한글: http://www.microsoft.com/korea/technet/security/bulletin/ms06-020.mspx - 28 -
주요 내용 5월 피싱 경유지 신고 통계 분석 Zasran.49756 웜 분석 5월 피싱 경유지 신고 통계 분석 본 특집은 국외의 침해사고대응기관, 위장사이트의 대상이 된 기관 또는 업체, 피싱 메일을 수신한 일반사용자로부터 신고를 받아 처리한 피싱 경유지 통계로서, 국내 보안이 취약한 시스템 (웹서버)이 국외 공격자에 의하여 피싱 경유지 사이트로 악용된 사고 통계이다. 국내 인터넷 금융 거래는 공인인증서, 보안카드 등을 사용함으로써 실제 피싱으로 인한 위험에 대하여 국외보다 상대적으로 안전하며 국내 발생 피싱관련 사고의 대부분은 경유지 사이트로 악용된 사고이다. 월별 피싱 경유지 신고 통계 06년 5월 KISA로 접수된 신규 피싱경유지 신고건수는 총 130건으로, 전월에 비하여 8.3% 증가 (120건 130건)한 것으로 나타났다. 여전히 많은 국내 시스템들이 보안에 취약한 상태로 인터넷에 노출되고 있음을 알 수 있다. 중소기업의 서버관리자나 개인서버운영자, PC이용자등의 지속적인 관심과 주의가 필요하다. 신고건수의 대부분은 해외 피해기관들로부터 직접 접수되었으며 그밖에 해외 유명 웹사이트, 정보보호업무를 대행하는 기업과 국외 CERT 팀 등으로부터 접수되었다. 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 합계 78 118 125 120 130 571 2005년 61 64 64 66 97 116 112 125 90 94 107 91 1,087건 - 29 -
140 120 118 125 120 130 116 112 125 2005년 107 100 97 90 94 91 80 78 60 61 64 64 66 40 20 0 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 월별 피싱 경유지 신고 통계 피싱 대상기관의 유형별 분류 접수된 신고건수를 피싱 대상기관 유형별로 분류한 결과, 총 130건의 피싱경유지 사고 가운데 은행, 전자지불업체 등의 금융기관이 91건(70%), 전자상거래 관련 기관이 39건(30%)이었던 것으로 나타났다. 은행이나 전자지불업체 등이 가장 많은 비중을 차지하고 있으며, 대규모의 유명 금융기관 외에 미국의 중소규모 지역은행들이 사칭대상이 된 건수도 다수 포함되었다. 기관 건수 금융기관 91 전자상거래 39 정부기관 - 전자 상거래 30.0% 기타 0.0% 금융 70.0% 기타 - 금융 전자상거래 기타 합계 130-30 -
피싱 대상기관의 소재국가별 분류 사칭대상이 된 기관수는 총 8개국의 27개 기관으로 집계되어, 지난달 대비 2개 국가, 6개 대상기관 이 증가하였다. 피싱 대상기관 및 신고건수를 국가별로 분류한 결과, 미국이 전체 27개 피싱 대 상기관 가운데 14개로 51.9%, 신고건수는 전체 130건 가운데 110건으로 84.6%를 차지하여 여전 히 미국의 기업이 국내 피싱경유지 사고 신고의 대부분을 차지하고 있음을 알 수 있다. 국가 기관분류 기관수 신고건수 합계 금융기관 12 72 미국 전자상거래 2 38 기타 0 0 110 호주 금융기관 3 8 영국 금융기관 2 3 캐나다 금융기관 2 2 뉴질랜드 전자상거래 1 1 독일 금융기관 1 1 멕시코 금융기관 1 1 홍콩 금융기관 1 1 여러국가복합 2 3 130 여러 국가복합 : 한대의 시스템(IP)에 여러 국가 은행 사칭사이트가 개설된 경우 (예: 독일 HypoVereins Bank, 호주 ANZ Bank, 영국 Barclays Bank 를 사칭한 사이트가 동시에 개설) 국내 피싱 경유지 사이트 기관별 분류 피싱경유지로 악용된 국내 시스템을 소속기관별로 분류한 결과, 기업 56건(43.1%)이 가장 많 은 건수를 차지하였다. 그 뒤를 이어 종교단체나 협의회 등 비영리기관 15건(11.5%), 개인이 운영하 는 시스템이나 PC방 등이 포함되는 기타(개인)유형이 13건(10%), 사립대학이 포함되는 교육기관이 10건(7.7%)으로 나타났다. 기관 건수 기업 56 교육 10 비영리 15 ISP서비스 이용자 36 기타(개인) 13 합계 130 기타 (개인) 10.0% ISP 서비스 이용자 27.6% 비영리 11.5% 대학 7.7% 기업 43.1% - 31 -
해당 홈페이지 내에 기관정보가 없거나 whois 등록정보에서 ISP 관리대역으로만 확인되어 실제 사 용기관을 확인할 수 없는 경우에 해당 되는 ISP 서비스 이용자 유형은 36건(27.6%)을 차지하여, 지난달(20건, 16.6%)에 비해 약 11%p 증가하였다. 국내 피싱 경유지 사이트 이용포트 분석 이달에도 피싱 경유지 시스템에서 주로 이용된 포트는 80포트였으며, 전체 130건 중 115건 (88.5%)을 차지한 것으로 나타났다. 웹 서비스 포트 외에 다른 포트를 이용하여 경유지 사이트 를 구동한 비율은 11.5%로, 전월(14.1%)에 비해 2.6%p 감소하였다. HTTP 80포트 외에 사용된 포트는 82, 84, 180, 8000, 8080 포트로 총 5개 포트가 포함되었다. 포트번호 건수 80 115 84포트 3.1% 82포트 4.6% 8080포트 2.3% 기타포트 1.5% 82 6 84 4 8080 3 기타 포트 2 합계 130 80포트 88.5% 80포트 82포트 84포트 8080포트 기타 해당 포트의 알려진 기존 서비스명 - IANA(Internet Assigned Numbers Authority) 기준 TCP 82 : XFER Utility, TCP 84: Common Trace, TCP 180 : Intergraph TCP 8000 : irdmi, TCP 8080 : HTTP Alternate (see port 80) 피싱 사이트 URL 유형 분석 KISA에 접수된 피싱경유지 신고메일의 URL을 바탕으로 피싱 관련 파일이 삽입된 디렉토리 위치를 확인 해본 결과, 크게 다음과 같은 유형으로 분류할 수 있었다. - 32 -
피싱 URL 유형 건수 유형별 사례 사칭기관 도메인이 포함된 디렉토리 31 http://www.uxxxxsoft.com/amazon.com/... 게시판 디렉토리 30 http://www.hxxx.org/zb/bbs/anz.php 웹서버의 루트디렉토리 5 http://211.xx.xx.181/ebayisapidllsignin.php 별도 포트오픈 (또는 별도의 httpd구동) 14 http://211.xx.3.88:180/r1/vr/ 유사도메인 등록 사용 8 http://signin.ebay.com.ebay-authorize.net/... 기타 42 합계 130 http://video45k.us/r1/c/ http://218.233.172.133/test/aw3/ws2/signin.html 사칭기관의 도메인으로 디렉토리를 생성하여 피싱 사이트와 관련된 파일을 삽입한 형태가 31건 으로 가장 많았고, 그 뒤를 이어 제로보드 등의 웹 게시판 관련 디렉토리에 파일을 삽입한 건 수가 30건으로 나타났다. 이 두 가지 유형이 유형분류가 가능한 88건 중 61건(69.3%)으로 대부 분을 차지하였다. 그밖에 별도의 포트를 생성하여 웹서버가 아닌 시스템에 웹 사이트를 구동하거나 가상 웹서버 의 루트 디렉토리에 피싱사이트 관련 파일을 삽입하는 경우가 14건, 사칭대상 기관의 도메인과 유사한 도메인으로 경유지 서버에 연결하는 경우가 8건, 기존에 정상적으로 운영되던 웹서버의 루트 디렉토리에 삽입하는 경우가 5건 등으로 분류되었다. 임의의 디렉토리에 삽입되어 유형 분류가 어려운 경우는 모두 기타에 포함되었다. - 33 -
Zasran.49756 웜 분석 1. 개요 Zasran 웜은 메일 첨부 및 네트워크 취약점을 통하여 전파되는 웜이다. 이 웜은 감염된 시스템 내에 저장되어 있는 메일주소를 검색하여 대량의 메일을 발송한다. 메일 내용은 독일어로 쓰여있 으며 월드컵 관련 내용으로 되어있다. 또한, 특정 사이트에 접속하여 컴퓨터 OS버전, 업데이트 현황정보 등을 전송한다. 국외에서 다수의 감염 피해가 발생하였지만 국내의 경우 많은 감염피해 는 보고되지 않았다. o 관련 포트 트래픽 동향 2006.5.21~28 국내 TCP 25 포트(SMTP) 트래픽 추이에 이상 징후가 없는 것으로 관찰됨 (그림) 2006.5.21 ~ 2006.5.28 TCP 25 포트 트래픽 (bps,pps) 변동 추이 - 34 -
2. 전파 기법 o 감염 절차 - Zasran 웜은 메일을 발송하여 자신을 전파한다. 메일 발송 시 웜 자신을 파일로 첨부하며, 메일의 본문에 사용자가 해당 첨부파일을 클릭하도록 유도하는 내용을 담는다. 메일 공격 대상 주소는 PC내에 저장되어 있는 파일들로 부터 추출한다. 이 웜은 또한 로컬 네트워크 에 존재하는 패치가 안되어 있는 PC들을 Scan하여 감염시킨다. o 웜이 발송하는 메일 유형 분석 사용자가 웜이 발송한 메일의 첨부파일을 부주의하게 실행하였을 경우 감염되게 된다. 송하는 메일 형식의 예는 다음과 같다. 웜이 발 * 첨부 파일 크기: 50,xxx byte ( x는 가변적 ) * 아래 내용은 감염 PC의 웜이 발송시키는 메일 패킷을 재조합하여 outlook 으로 확인한 결과이다. (그림) 악성메일 예 - 35 -
테스트에서 확인된 모든 메일 유형을 정리하면 다음과 같다. 메일 제목: 아래 내용 중 하나 - 1000 Euro von der Postbank - Betrueg bitte deine Frau mit mir! - Bitte stoppen Sie es - Bums eine Schwarze und gewinne WM-Karten! - Bums mein Arsch! - Das Geld das nicht mir gehoert - Das Geld das nicht mir gehoertgeld. - Du bist mein Sexgott! - Du machst mich so Geil! - Du Sexgott! - Es ist ein Missverstaendnis geschehen - Es leuft mir schon das bein Runter Honey! - Fasches Bankkonto - Falscher Adressant - Falschueberweisung - Fick mein Po! - Ficke meine Brust! - Geld - Geldueberweisungen - Ich lauf aus bitte leck mich! - Ich hab die neuen Fotos Fertig! - Ich hab ihr - Ich lauf aus bitte leck mich! - Ich liebe dih! - Ich habe Geld von ihren Postbank Konto bekommen - Ihre Auszahlungen an mich - Ihr Geld - Lass dich Umsonst Wixen! Nur ab 18 Jahren! - Missueberweisungen - Nimm mich durch mein Schadz! - Postbank - Treibs mit einer schlampe! - Uberweisungen - Ueberweisung an einen falschen Adressanten - Umsonst mein Arschficken ab 18 Jahren! - Warum schicken sie mir Geld? - Warum schicken sie mir Geld? - 36 -
메일 내용: <붙임> 메일내용 참고 첨부 파일: 아래 이름의 파일을 첨부하는 것으로 관찰 되었다. 해당 파일은 웜이므로 클릭하지 않도록 한다. - Kontoauszug.zip - sexy.zip 참고: 위의 파일명 외에 아래와 같은 이름으로도 파일이 첨부되는 것으로 알려짐 ihre_akte.zip,vorladung.zip, anklageschrift.zip, anklage.zip Anzeige.zip, bescheinigung.zip, beweise.zip, Anklage-Material.zip IhrEnde.zip, Kopien.zip, mypics.zip, meinbild.zip, ichbingeil.zip fickmich.zip, meine_moese.zip, bild01.zip, fotze.zip, reklament.zip free_pics.zip, free_videos.zip, fick_mich.zip, geil.zip, ich_lauf_aus.zip Rechnung.zip, Abbild-Der-Rechnung.zip, Rechnung-Anhang.zip Ueberweisung.zip, Postbank-Ueberweisungen.zip, Auszahlungen.zip Postbank.zip, bank-kontoauszuge.zip, Neuer Ordner.zip, WM-Tickets.zip WM-Anhang.zip, Anhang.zip, Desktop.zip, Weltmeisterschaft.zip New Folder.zip, Tickets.zip, archiv.zip, Anhang-Tickets.zip, ihre_akte.rar vorladung.rar, anklageschrift.rar, anklage.rar, Anzeige.rar, bescheinigung.rar beweise.rar, Anklage-Material.rar, IhrEnde.rar, Kopien.rar, mypics.rar meinbild.rar, ichbingeil.rar, fickmich.rar, meine_moese.rar, bild01.rar fotze.rar, reklament.rar, sexy.rar, free_pics.rar, free_videos.rar, fick_mich.rar, geil.rar, ich_lauf_aus.rar, Rechnung.rar, Kontoauszug.rar Abbild-Der-Rechnung.rar, Rechnung-Anhang.rar, Ueberweisung.rar Postbank-Ueberweisungen.rar, Auszahlungen.rar, Postbank.rar bank-kontoauszuge.rar, Neuer Ordner.rar, WM-Tickets.rar, WM-Anhang.rar, Anhang.rar, Desktop.rar, Weltmeisterschaft.rar New Folder.rar, Tickets.rar, archiv.rar, Anhang-Tickets.rar 3. 감염 시 OS 관련 변동 사항 o 파일 생성 감염된 시스템에는 아래와 같은 파일이 생성된다. 윈도우 시스템 폴더에 "mszsrn32.dll" 를 생성. "시스템 폴더": Windows 95/98/Me C:\Windows\System Windows NT/2000 C:\Winnt\System32 Windows XP C:\Windows\System32 (그림) 파일 생성 o 레지스트리 변경/추가 발생 웜은 아래의 레지스트리를 생성한다. 이 레지스트리로 인하여 로그인 시 마다 Winlogon 프로 세스에 의하여 악성 mszsrn32.dll가 로딩된다. - 37 -
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon\Notify\mszsrn32 (그림) 레지스트리 생성 4. 감염 후 특이 사항 o 외부 사이트 접속 - 감염 시 웜은 특정 검색 사이트에 접속을 시도한다. 접속 후 추가적인 행위가 없는 것으로 보아 단지 감염 PC가 네트워크에 연결되어 있는지 확인하기 위한 것으로 추정된다. (그림) 특정 검색 사이트 접속 - 또한, 웜은 아래의 특정사이트에 접속하여 OS버전 등의 시스템 정보를 해당 사이트로 전 송하며, 명령도 전달받는 것으로 관찰되었다. * 접속 사이트 : 7st...ck.biz (그림) 7st...ck.biz 사이트 접속 * 해당 사이트에 감염 PC의 OS 종류 서비스팩 설치 정보들을 전송 (그림) PC 정보 전송 - 38 -
* 해당 사이트로부터 아래와 같은 문자열 값을 전달받음. 웜에 명령을 전달하는 것으로 추정됨 (그림) 명령 전달 참고: 실제 테스트 중에는 위의 URL만이 관찰되었지만, 동일한 행위를 위하여 아래 사이트에도 접속하는 것으로 알려지고 있음. http://olania.net http://olania.com http://7stick.info http://brancholania.net http://brancholania.biz http://frachetto.com http://frachetto.info http://5dime.net http://monti2.com 5. 공격 빈도 및 네트워크 영향력 분석 o 공격력 및 발생 트래픽 메일 공격 - 이 웜은 테스트에서 메일 발송 속도가 분당 82회로 타 웜에 비하여 높은 편으로 관찰되었 으나 한차례의 메일 공격 후에는 추가적인 메일공격이 관찰되지 않았다. 반복성을 가지고 계속적으로 공격하는 타 메일 웜들에 비하여, 매일 공격력은 크지 않는 것으로 보인다. 감염 후 3~4 시간의 관찰 결과 임. 수치는 시험환경에 따라 달라질 수 있음. [표] 공격 빈도 및 발생 트래픽 항 목 관찰 결과 메일 공격 주기 감염 및 부팅 후 1회 공격 빈도 82 회 / 분당 메일 1건의 크기 (웜 본체 + 전송 Overhead) 58,430 Bytes 분당최대발생 트래픽 (82회 모두 전송 성공 시) 4,791,260 Byte (58,430 Byte X 82회) /분당 - 39 -
아래 화면은 감염PC의 웜이 1분 동안 메일전송을 위하여 메일서버로의 세션 연결 시도 횟수를 확인한 결과이다. (그림) 분당 메일 공격 시도 횟수 예 네트워크 취약점 공격 - 이 웜은 감염 후 TCP 445 포트로 Scan 공격을 계속적으로 시도한다. 공격 범위는 로컬 네트워크로 관찰되었다. [표] 공격 빈도 및 범위 항 목 관찰 결과 공격 주기 감염 후 계속 공격 빈도 271 회 / 분당 공격 범위 로컬네트워크 (감염PC의 주소A.B.C.D 중 D를 순차적으로 증가하며 공격) - 타 네트워크 취약점 웜과의 공격빈도 비교 [표 3] 네트워크 취약점 공격 빈도 비교 Zasran 웰치아.B Sasser.A Bobax.C 공격빈도 / 분당 271회 2,400 회 1,000회 5,524회 6. 위험 요소 o 공격 메일 문구가 독일어이므로 국내에서는 첨부파일을 클릭하는 사용자들이 많지는 않을 것으로 예상되며, 공격 빈도도 타 웜에 비하여 높지 않은 것으로 관찰되었으나, 네트워크 취약점을 동시에 이용하는 웜이므로 주의할 필요가 있다. 메일을 통하여 외부로부터 웜이 유입된 후 네트워크 취약점을 통하여 내부의 취약한 PC들을 감염시키는 피해유형을 예상해 볼 수 있다. o 기능이 업그레이드 된 변종 출현에 대한 주의가 필요하다. - 40 -
7. 예방 및 대응 방안 o 네트워크 관리자 - 바이러스 월의 패턴 업데이트 주기가 길게 설정되어 있거나 수동 설정으로 되어 있을 경 우, 웜/바이러스 메일이 여과 없이 유입될 수 있으므로 관리자는 반드시 바이러스 월의 패턴 업데이트 여부를 확인한다 o 사용자 - 확인되지 않은 메일의 첨부 파일은 실행시키지 않는다 - OS 패치를 실시한다. - PC내에 백신이 설치되어 있을 경우 패턴을 최신으로 업데이트하며, 주기적으로 감염 여 부를 점검한다. 8. 감염 확인 및 치료 방법 o 감염 확인 방법 윈도우 시스템 폴더에 "mszsrn32.dll" 이름의 파일이 존재하는지 확인한다. 재한다면 감염된 것으로 보아야 한다. 해당 파일이 존 "시스템 폴더": Windows 95/98/Me C: Windows System Windows NT/2000 C: Winnt System32 Windows XP C: Windows System32 (그림 10) "mszsrn32.dll" 파일 확인 o 감염 시 치료 방법 Step1. 시작 실행 클릭 후 regedit 입력하여 레지스트리 편집기를 실행한다. - 41 -
(그림 11) 레지스트리 편집기 실행 레지스트리 편집기를 통하여 [HKEY_LOCAL_MACHINE][SOFTWARE][Microsoft] [Windows NT][CurrentVersion][Winlogon][Notify] 에 위치한 "mszsrn32" 폴더를 삭제한다 (그림 12) 웜이 생성한 레지스트리 삭제 Step3. 재부팅 한다 Step4. 웜에 의하여 생성된 시스템 폴더내의 "mszsrn32.dll" 파일을 삭제한다. "시스템 폴더": Windows 95/98/Me C:\Windows\System Windows NT/2000 C:\Winnt\System32 Windows XP C:\Windows\System32-42 -
< 붙임 > o 웜이 발송하는 메일내용 - 43 -
- 44 -
- 45 -
- 46 -
- 47 -
- 48 -
- 49 -
참고 자료: 악성코드 유포지/경유지 사이트 조기 탐지 및 차단 조치 개 요 KISA 인터넷침해사고대응지원센터에서는 국내 웹사이트에 악성코드가 삽입되어 웹사이트 방 문자에게 게임 ID/비밀번호를 유출하는 트로이잔을 감염시키는 사례가 발생하여 05년 6월 부터 지속 대응하여 왔으며, 05. 12월부터는 악성코드 은닉사이트 탐지 프로그램을 자체 개 발 적용하여 약 7만4천여 개의 국내 웹 사이트를 대상으로 악성코드 은닉 여부를 탐지 및 차단 조치하고 있다. 전체 추이 06년 5월 KISA에서 탐지하여 대응한 악성코드 유포지 및 경유지 사이트는 675건으로 전월 대비 61.5% 증가(418 675건)하였다. 이는 탐지대상 사이트 수가 기존보다 확대(기존 7만여 개에서 7만4천여 개로 확대)된 이유도 있겠으나, - 악성코드 경유지를 통하여 연결되는 악성코드 직접 유포사이트 수가 전월에 비하여 35.9% 증가 (59 92)하였으며, KISA의 2차, 3차 통보 복구조치, 취약점 패치 요청에도 불구하고 근본적인 보안대책(취약점 패치, 웹 방화벽 적용 등)을 하지 않고 단순히 은닉된 악성코드만을 일시적으로 삭제하여 재 감염되는 사례가 많은 것으로 파악되었다. - 각 기관(기업)의 웹 서버 관리자는 아래 자료를 참고하여 악성코드 은닉을 위한 사전 웹서버 해킹에 주로 사용되는 SQL Injection 취약점에 대한 보안대책을 마련하는 것이 시급하다. 참고 사이트 ModSecurity를 이용한 아파치 웹서버 보안 : http://www.krcert.or.kr 보안정보 기술문서 ModSecurity를 이용한 아파치 웹서버 보안 WebKnight를 이용한 SQL Injection 공격 차단 : http://www.krcert.or.kr 보안정보 기술문서 WebKnight를 이용한 SQL Injection 공격 차단 홈페이지 개발 보안가이드: http://www.krcert.or.kr 초기화면 왼쪽 홈페이지 개발 보안가이드 구분 2005년 총계 [표] 악성코드 유포지/경유지 사고 처리건수 1 2 3 4 5 6 7 8 9 10 11 12 유포지 - 87 40 72 59 92 350 경유지 - 566 413 474 359 583 2,395 합 계 - 653 453 546 418 675 2,745 2006 총계 기관별 분류 악성코드 유포지 및 경유지로 악용된 사이트를 기관별로 분류하면 기업, 기타(개인), 비영리 홈페이지 순이었으며 특히 기업으로 분류된.co.kr, com 도메인이 악성코드 유포지/경유지 사이트로 많이 악 용되는 것으로 나타났다. - 이는 해커가 일반 이용자의 접속이 많은 기업 사이트를 주로 악성코드 유포지/경유지 사이트로 악용하고 있는 것으로 판단된다. - 50 -
[표] 악성코드 유포지/경유지 사이트 피해기관(도메인)별 분류 기관 2005년 총계 2006 1 2 3 4 5 6 7 8 9 10 11 12 총계 기업 - 432 271 297 181 492 1,673 대학 - 19 17 24 15 17 92 비영리 - 95 46 56 58 54 309 연구소 - 4 4 4 2 1 15 네트워크 - 29 14 23 25 14 105 기타(개인) - 74 101 142 137 97 551 총계 - 653 453 546 418 675 2,745 기관 분류기준 : 기업(co, com), 대학(ac), 비영리(or, org), 연구소(re), 네트워크(ne, net), 기타(pe 등) 네트워크 2.1% 기타(개인) 14.4% 연구소 0.1% 기업 72.9% 비영리 8.0% 대학 2.5% (그림) 악성코드 유포지/경유지 사이트 피해기관(도메인)별 분류 웹서버별 분류 악성코드 유포지 및 경유지로 악용된 사이트를 웹서버 별로 분류한 결과 IIS 웹서버가 79%, Apache 웹서버가 2%, 기타 19%로 분류되었다. [표] 악성코드 유포지/경유지 사이트 웹서버 별 분류 웹 서버 2005년 총계 1 2 3 4 5 6 7 8 9 10 11 12 총계 MS IIS - 543 366 451 291 530 2,181 Apache - 8 6 20 25 15 74 기타 - 102 81 75 102 130 490 합계 - 653 453 546 418 675 2,745 웹서버별 구분 자료는 각 운영체제/웹서버의 안전성과는 상관관계가 없으며, 단지 탐지에 따른 분석 자료임 악성코드 유포지/경유지 사이트가 이미 패쇄 되어 웹서버를 파악하기 어려운 경우도 기타에 포함시켰음 - 51 -
기타, 19% Apache, 2% MS IIS, 79% (그림) 악성코드 유포지/경유지 사이트 웹서버별 분류 - 52 -
용어정리 구성설정오류 공격 바이러스(Virus) 바이러스 월(Virus Wall) 버퍼오버플로우 (Buffer Overflow) 봇(Bot) 운영체제 및 응용프로그램의 설정 오류(위험성이 있는 기본설정의 사용, 사용자 편의 를 위한 설정 조정 등)를 이용하는 해킹기법으로 홈페이지 위 변조, 불법침입 등에 주로 이용됨 컴퓨터 프로그램이나 메모리에 자신 또는 자신의 변형을 복사해 넣는 악의적인 명령 어들로 조합하여 불특정 다수에게 피해를 주기 위한 목적으로 제작된 모든 컴퓨터 프로그램 또는 실행 가능한 코드 네트워크 환경 내부에 인-라인(In-line) 상태에서 LAN 세그먼트의 트래픽을 관리하여 트래픽 상의 네트워크 바이러스를 예방 및 차단하는 시스템 메모리에 할당된 버퍼의 크기보다 더 큰 데이터를 덮어씀으로써 호출 프로그램으로의 복귀오류 등을 일으켜 정상적인 프로그램의 실행을 방해하는 대표적인 공격기법 운영체제 취약점, 비밀번호의 취약성, 웜 바이러스의 백도어 등을 이용하여 전파되며, 해킹명령 전달 사이트와의 백도어 연결 등을 통하여 스팸메일 전송이나 DDoS 공격에 악용이 가능한 프로그램 또는 실행 가능한 코드 분산서비스거부공격 (DDoS : Distributed DoS) 불법자원사용 불법침입 서비스거부공격 (DoS : Denial of Service) 스파이웨어(Spyware) DoS용 에이전트를 여러 개의 시스템에 설치하고, 이 에이전트를 제어하여 DoS 공격을 함으로써 보다 강력한 공격을 시도할 수 있으며, 공격자에 대한 추적 및 공격트래픽의 차단을 어렵게 만드는 공격 형태 정당한 권한 없이 특정 시스템을 스팸릴레이, 피싱사이트 개설 등에 이용하는 행위 주요 정보 자료를 수집 또는 유출하기 위하여 정당한 권한 없이 시스템에 침입하는 행위 특정 네트워크에서 허용하는 대역폭을 모두 소모시키거나, 공격대상(victim) 시스템의 자원(CPU, 메모리 등)을 고갈시키거나, 시스템 상에서 동작하는 응용프로그램의 오류에 대한 공격으로 서비스를 못하도록 만드는 공격 이용자의 동의 없이 정보통신기기에 설치되어 정보통신시스템, 데이터 또는 프로그램 등을 훼손 멸실 변경 위조하거나 정상 프로그램 운용을 방해하는 기능을 수행하는 악성 프로그램. 즉, 이용자의 동의 없이, 웹브라우저의 홈페이지 설정이나 검색 설정을 변경, 정상 프로그램의 운영을 방해 중지 또는 삭제, 컴퓨터 키보드 입력 내용이나 화면 표시 내용을 수집 전송하는 등의 행위를 하는 프로그램 스팸릴레이(Spam Relay) 허니넷 악성프로그램 악성프로그램 공격 스팸 메일 발신자 추적을 어렵게 하기 위하여 타 시스템을 스팸 메일발송에 악용 KISA 인터넷침해사고대응지원센터 내에 설치된 시험 네트워크로 스캔정보를 비롯한 공격행위, 웜 바이러스 등을 수집 사용자의 시스템에 설치되어 백도어를 오픈하여 정보를 유출하거나, 시스템의 정상 적인 동작을 방해하는 프로그램 컴퓨터 시스템에 악성프로그램을 설치하게 유도하거나 고의로 감염시키는 해킹기법으로 주로 백도어 등을 이용하여 상대방의 주요 정보를 빼내기 위한 목적으로 이용함 애드웨어(Adware) 웜(Worm) 사용자의 컴퓨터에 광고성 팝업 창을 띄우거나, 초기화면을 특정사이트로 고정시키는 등의 사용자가 의도하지 않는 행위를 수행하게 하는 프로그램 또는 실행 가능한 코드 독립적으로 자기복제를 실행하여 번식하는 빠른 전파력을 가진 컴퓨터 프로그램 또는 실행 가능한 코드 - 53 -
지역센서 취약점정보수집 공격 침입시도 트로이잔(Trojan) 피싱(Phishing) 해킹(Hacking) ASP.NET Botnet DHTML Editing Component ActiveX E-mail 관련 공격 Hyperlink 개체 라이브러리 KrCERT/CC LLS NetBIOS OLE/COM PNG SMB TCP Syn Flooding Windows SharePoint Services Windows Shell 공격징후 탐지를 위하여 KISA에서 전국 45개 주요도시에 설치한 센서 대상시스템의 운영체제, 설정 등을 알아보기 위하여 스캔하는 등의 행위로 주로 해킹의 사전단계로 이용됨 시스템에 침입하려고 시도하거나, 취약점 정보의 수집을 위해 스캔하는 등의 행위 자기복제 능력은 없으나 정상기능의 프로그램으로 가장하여 프로그램 내에 숨어있는 코드조각으로 의도하지 않은 기능을 수행하는 컴퓨터 프로그램 또는 실행 가능한 코드 정상적인 웹서버를 해킹하여 위장사이트를 개설한 후, 인터넷 이용자들의 금융정보 등을 빼내는 신종사기수법으로 Bank Fraud, Scam이라고도 함 다른 사람의 컴퓨터나 정보시스템에 불법 침입하거나, 정보시스템의 정상적인 기능이나 데이터에 임의적으로 간섭하는 행위 개발자가 웹 응용프로그램 및 XML 웹 서비스를 구축할 수 있도록 돕는 기술로, 정적 HTML과 스크립팅을 사용하는 일반 웹 페이지와는 달리, 이벤트에 기반한 동적인 HTML 웹페이지를 제공함 많은 Bot 감염시스템들이 명령을 수신할 목적으로 IRC에 연결되어 있는 네트워크 인터넷 익스플로러가 웹메일처럼 HTML문서를 제작할 수 있도록 해주는 ActiveX 컨트롤 상대방의 시스템에 메일서버를 설치하여 스팸릴레이에 악용하거나, 관심을 끄는 E-mail을 보냄으로써 상대방이 악성프로그램을 설치하도록 하는 해킹기법으로 주로 스팸릴레이나 악성프로그램의 설치에 이용됨 응용프로그램들이 HTML 문서에서 사용되는 Hyperlink 처리를 위한 기능을 제공 KISA내 침해사고대응팀(CERT)으로서, 국내에서 운영되고 있는 인터넷 망의 침해사고 대응 활 동을 지원하고, 전산망 운용기관 등에 대해 통일된 협조 체제를 구축하여, 국제적 침해사 고 대응을 위한 단일창구를 제공하기 위하여 설립됨 License Logging Service의 약자로 MS서버제품에 대한 라이센스를 고객이 관리할 수 있도록 해주는 도구 네트워크의 기본적인 입출력을 정의한 규약 Object Linking And Embedding, Component Object Model의 약자로 MS의 객체기반 기술의 일종으로서 서로 다른 응용프로그램이나 플랫폼이 데이터를 공유하는데 사용 Portable Network Graphics의 약자로 GIF나 JPEG처럼 그림파일 포맷의 일종으로, 주로 UNIX/LINUX 환경에서 아이콘 등에 많이 사용 Server Message Block의 약자로 파일이나 네트워크 폴더 및 프린터 공유 등에 사용 되는 프로토콜 TCP 연결특성을 이용한 DoS 공격의 일종으로 Unreachable한 주소로 IP를 위조하여 Syn을 보내서 대상시스템이 더 이상의 연결요청을 받아들일 수 없도록 만드는 공격 많은 인원이 동시에 다양한 정보공유와 공동 문서제작을 위한 웹사이트를 제작하는데 필요한 서비스 윈도우 시스템의 제반실행환경을 제공해 주는 것으로 explorer.exe가 책임을 맡고 있다. - 54 -