2008 년주요보안이슈 2008. 4. 3 안철수연구소 강은성
목차 웹, 보안위협유통의중심 웹2.0과보안 봇넷, 보안공격의로봇군단 애플리케이션공격 악성코드, ARP spoofing을만나다 이동저장장치노린악성코드기승 악성코드은폐기법의고도화 VoIP 사용증가와보안공격 무선기기를겨냥한보안공격 사이버블랙마켓의성장 결론 2
3 주요보안위협동향
1. 웹, 편리하고따뜻한세상의중심 금융금융,, 증권증권거래 전자정부전자정부 뉴스뉴스,, 정보정보수집 웹 UCC, UCC, 엔터테인먼트엔터테인먼트 블로그블로그,, SNS, SNS, 커뮤니티커뮤니티 4
1. 웹, 보안위협유통의중심 (1) 악성코드악성코드확산확산 블로그블로그,, SNS SNS 위협위협 웹애플리케이션애플리케이션공격공격 웹 스파이웨어스파이웨어배포배포 피싱피싱,, 파밍파밍 5
1. 웹, 보안위협유통의중심 (2) 웹사이트해킹 < 유포지 > 공격코드삽입 변조된웹페이지코드 악성코드감염 사용자가해당사이트에접속 경유사이트해킹 Iframe, XSS email 스팸, Win32/Zhelatin ARP spoofing 메신저 Win32/MSNBot 6
1. 웹, 보안위협유통의중심 (3) 웹사이트침해사고현황 출처 : 안철수연구소, 2007.3~2008.2 7
2. 웹 2.0 과보안 (1) UCC 8
2. 웹 2.0 과보안 (2) 블로그 개인의일생, 일상기록 개인정보, 가족정보유출 스팸 파일첨부 9
2. 웹 2.0 과보안 (3) SNS(Social Network Service) 싸이월드, Myspace, Facebook MySpace Worm XSS 취약점 싸이월드 1촌맺기 아이디, 패스워드 웹 보안 신뢰 빠른확산 10
3. 봇넷, 보안공격의로봇군단 (1) 봇제어서버 IRC Server (1) IRC Connection (4) IRC Connection (2) Command Attack (3) Attack IRCBot 감염 PC ( 좀비 PC) IRC: Internet Relay Chat 공격대상컴퓨터 ( 취약점존재 ) 11
3. 봇넷, 보안공격의로봇군단 (2) 봇넷의특징 12 일반적으로좀비컴퓨터를망가뜨리지는않는다. 잠복기간에는특별한증상이없다. 봇넷을통한보안공격 : DoS/DDoS 공격, 개인정보유출, 스팸 / 피싱악용, 취약성스캔, 악성코드 / 스파이웨어살포 봇 PC, 피해자? 공격자? 봇넷의진화 P2P 방식의봇넷형성 젤라틴웜에서사용됨 봇제어서버에대한추적과차단에취약한부분을보완하기위함 새로운전파경로로이메일이나메신저사용 보안제품의차단 좀더지능적인전파 봇넷스스로의방어기술 파일 / 프로세스은폐 압축해제가어려운실행압축도구 (Packer) 사용 통신암호화 프로토콜분석을회피하기위한방법
4. 애플리케이션공격 (1) 마이크로소프트애플리케이션취약점 대다수사용자가이용하는응용프로그램으로, 취약점발생시피해가큼 대상응용프로그램 Killer Application = IE, Office, ActiveX 등 2007 년 MS 취약점공격대상기준 68% (IE+Office + APP) 13
4. 애플리케이션공격 (2) IE 취약점 MS07-017 Animated Cursor Handling(ANI 파일 ) 취약점 Zero Day Attack Windows Vista 에도영향, 악성코드배포에대중적으로이용됨 MS06-014 MDAC(Microsoft Data Access Components) 취약점 기능의취약점으로인한원격코드실행문제점 (911562) 웹사이트해킹뒤악성코드배포시에많이사용 Win-Trojan/LineageHack, Win32/Virut( 바이러스 ), Win32/Viking( 바이러스 ) 14
4. 애플리케이션공격 (3) Microsoft Office 취약점 office 파일내부에악성코드포함 Microsoft Office 취약점주요리스트 (2007 년 ) MS07-014 MS07-024 MS07-060 Microsoft Word, MS07-015 MS07-025 Microsoft Office MS07-023 MS07-036 MS07-044 Microsoft Excel, MS07-037 Microsoft Office Publisher 15
4. 애플리케이션공격 (4) 자바스크립트에대한공격과암호화 16
5. 악성코드, ARP spoofing 을만나다 (1) 취약점없이전파가능한악성코드 웹서버나사용자시스템을공격하지않더라도웹페이지변조가능 다운로드 URL을변경하여정상파일대신악성코드를다운받게함 사용자는원래의파일대신악성코드를실행하게됨 웹서버 원본 HTML 소스 인터넷 ARP 웜에감염된사용자 ARP 웜에의해변조된 HTML 소스 정상사용자 17
5. 악성코드, ARP spoofing 을만나다 (2) 휴대기기를통한 PC 감염 휴대용게임기, MP3 Player, PDA, 핸드폰등을이용한 ARP 스푸핑공격가능 방법 1 사람들이많이모인곳으로직접이동하여악성코드전파 방법 2 유용한프로그램, 게임으로위장해서사용자가실행하게함 인터넷 PC 무선 AP 서버 ARP 스푸핑공격하는휴대폰 18
6. 이동저장장치노린악성코드기승 (1) 이동저장장치노린악성코드 이동저장장치사용이증가하면서악성코드전파에악용 이동저장장치에악성코드자체와 autorun.inf 파일생성해전파 이동저장장치노린악성코드역사 2006.8 VB 스크립트로작성된악성코드발견 2006.12 실행파일형태의 Win-Trojan/Autorun 악성코드발견 2007.6 이동장치전파악성코드대중화 이동저장장치를노리는악성코드가이용하는 autorun.inf 19
6. 이동저장장치노린악성코드기승 (2) 발전하는악성코드 Win32/Autorun.worm.124370 감염된시스템에서사용자가악성코드를삭제할수없도록레지스트리내용을주기적으로수정해숨김파일을볼수없게함 Win32/Drom.worm 변형 광고출력을하는애드웨어 (Adware) DLL 도시스템에설치 금전적목적을위해이동저장장치를통한웜전파방법이용 향후전망 휴대의간편성때문에 USB 플래쉬메모리에공인인증서등의정보를보관하는경우도많아향후이런자료를노린악성코드도등장가능성존재 20
7. 악성코드은폐기법의고도화 (1) 파일은폐기법의변화 Service Descriptor Table (SDT) 후킹방법의일반화 ex) ZwQueryDirectoryFile 파일시스템드라이버 ( FASTFAT.SYS, NTFS.SYS 등 ) 의 DRIVER OBJECT 내 DISPATCHER TABLE 주소를후킹 21
7. 악성코드은폐기법의고도화 (2) Win-Trojan/Runtime ( 커널스팸메일러 ) 파일은폐 파일시스템드라이버의 DRIVER OBJECT 내 DISPATCHER TABLE 주소후킹하여자신의파일의 Open 차단, 응용프로그램에정보가전달되는것차단 레지스트리 / 프로세스 / 네트워크은폐기법 SDT 후킹을통한 ZwEnumerateKey, ZwEnumerateValueKey 함수의주소를후킹하여자신의레지스트리키를은폐및보호 EPROCESS 구조체의 ActiveProcessLinks 에서숨기려는프로세스를 Unlink 하여대상프로세스은폐 TCPIP.SYS, NDIS.SYS 의 DRIVER OBJECT 내 DISPATCHER TABLE 주소후킹 자기보호기능 레지스트리복구, 프로세스종료감지, 시스템종료시레지스트리및파일재생성기능 22
7. 악성코드은폐기법의고도화 (3) MBR (Master Boot Record) Rootkit 드로퍼실행이후레지스트리및파일형태로존재하지않음 MBR 영역에자신의코드를쓰고윈도시작전의부트프로세스를제어하여자신을실행함 레지스트리필요없음 실행된자신은메모리공간에이미지형태로존재함 MBR Rootkit 의은폐기법 DISK.SYS 드라이버의 IRP DISPATCH ROUTINE 을후킹 MBR 영역에대한 READ/WRITE 요청을가로챔 진단 / 치료방해 악성코드가백업해둔원본 (62 번째 Sector 백업 ) 을반환함으로써감염여부은폐 23
7. 악성코드은폐기법의고도화 (4) 가상화기법을이용한악성코드 개념증명형태로 2006 년보고되었으나이후별다른진전또는피해사례가없음 가상화기법을이용하는은폐기술은현재로서는위협이되지않음 VMWare 관련취약점이심각한보안위협이될수도있음 가상화관련악성코드 가상머신을탐지하여가상환경에서동작하는않는형태 코드가상화기술을이용하여내장된 VM 에서만코드가해독됨 24
8. VoIP 사용증가와보안공격 (1) 증가하는 VoIP 사용자 IP 망을이용하여저렴한가격, 기술의발전으로품질향상 20081.1 번호이동가능 인터넷전화사업활발히진행예상 일반가전제품형태로도이용가능하기때문에폭넓은사용자층형성 DDoS 공격대상 사용자가많이모이는곳이공격대상 ( 유명한웹서버 ) 공격에성공하면, 폭넓은사용자로인하여강력한피해를입힐수있음 기존전화망과연동 VoIP 를사용하지않는사람에게도피해 VoIP DDoS 에사용가능한공격 네트워크 / 시스템공격 - ICMP, TCP SYN, UDP flood 등 VoIP/SIP 관련공격 - SIP/RTP flooding, SIP Bye/Cancel Attack, VoIP SPAM 등 25
8. VoIP 사용증가와보안공격 (2) VoIP 도청 / 감청 IP 망을이용한음성데이터전송 -> 다양한위치에서도청 / 감청가능 속도문제로인한데이터암호화어려움 VoIP 도청 / 감청에사용가능한기법 / 도구 Ethereal, Cain, AirSnort 등 일반전화기 PC 기반 VoIP 폰 전화망 인터넷 Wifi 지원 VoIP 단말 무선 AP 도청 / 감청가능한 IP 구간 VoIP 변환기 일반전화기 26
9. 무선기기를겨냥한보안공격 (1) 구글안드로이드 (Android) 장점 제조단가낮춤 - 개발킷이무료로제공하여 10% 이상낮출수있다고함 손쉬운소프트웨어개발 - 리눅스커널을바탕으로 API 제공 지속적인개발과지원 by 구글 보안문제점 보안사고발생시해당플랫폼을사용한단말기모두가공격대상이될수있음 휴대단말기는개인정보의집적체 지속적인취약점관리와패치가필요 코어시큐리티 (Core Security), 안드로이드의권한을획득할수있는취약점발견 (2008.3.4) 27
9. 무선기기를겨냥한보안공격 (2) Mobile Full Browser : 휴대단말기에서 PC 용웹브라우저용으로만들어진웹서비스를동일하게사용할수있게하는기능을가진웹브라우저 휴대단말기는대부분종량제요금을사용하므로 PC 에선작은문제가큰문제로부각될가능성이높음 PC 에서발생했던보안문제점들이휴대단말기로옮겨질수있음 금융결제기능을갖춘 Full Browser 도출시예정으로각종공격의대상이될수있음 Downloaded plugin 기능을통해웹브라우저확장기능을제공해이를악용할가능성도있음 자바스크립트에대한공격 28
10. 사이버블랙마켓의성장 (1) 사이버블랙마켓 개인정보, 악성코드, DDoS 공격도구등판매 사이버범죄 현재러시아, 우크라이나, 중국에서가장활발 한국은중국의사이버블랙마켓으로부터큰영향을받음 중국의온라인에는약 4 만개의온라인게임아이템거래사이트 보안위협의대중화 돈만지불이된다면누구나쉽게악의적인공격을수행 판매자는 MPack, ICEPack, FirePack 과 Ecore 와같은간편한툴킷형태로제작 악성코드제작자는보안업체의진단을우회할수있도록사후서비스제공 29
10. 사이버블랙마켓의성장 (2) 중국사이버블랙마켓의구조 피싱악성코드서비스거부공격아동포르노포르노도박 악성웹사이트봇넷악의적인서버 C&C 서버 사이버범죄형태 사이버범죄구성 러시아사이버범죄 사이버범죄요구조건 고급사이버범죄요구조건 웹호스팅네트워크대역 사이버범죄자신원정보은폐다른사이버범죄연계악성웹사이트은폐사이버범죄은폐 30
31 결론
보안취약점공유체계 (1) 32
보안취약점공유체계 (2) 33
보안취약점공유체계 (3) - 대안 34
최근보안위협의흐름 보안위협산업의형성 온라인게임산업 게임아이템산업 게임해킹, 오토플레이 스파이웨어비즈니스 보안위협기술의대중화 중국과러시아의사이버블랙마켓 실행압축기술, 은폐기술, 저질안티스파이웨어엔진 봇넷을이용한분산서비스거부공격 새로운제품과서비스에대한보안위협의공격 UCC, 블로그, SNS 등웹 2.0 을통한보안위협확산 향후 2~3 년 - VoIP, 스마트폰 ( 국내, 아이폰, 안드로이드 ) 35
안전한 IT 세상을위하여 준비하지않은연결은재앙이다. IT 기반사회에는 IT 보안에대한투자가필수 총체적인보안주체의역할 사용자, 국민 내 PC는내가지킨다 보안업체 지속적인기술개발 서비스제공자 보안에대한투자 정부 법적근거, 보안시장및 SW시장의정상화 국회 법률제정 대학, 연구소, 보안연구자 취약점과대안에대한연구, 공유 36
질문과답변 email: kes@ahnlab.com 아이뉴스 24 칼럼 - 강은성의안전한 IT 세상 http://column.inews24.com/ 37