ASEC Report - PDF Free Download

1. 악성코드 콘피커웜변형출현으로인한피해증가... 2 2. 스파이웨어 스파이웨어크립터와가짜백신... 6 3. 시큐리티 콘피커웜의전파방법과대처법... 9 4. 네트워크모니터링현황 콘피커웜의확산... 13 5. 중국보안이슈 2008년악성코드동향... 16 콘피커웜 Technical Report... 20 1. 악성코드 OnlineGameHack의활동뚜렷... 29 2. 스파이웨어 애드웨어 IEShow 피해확산... 37 3. 시큐리티 MS09-001 SMB 취약점... 40 4. 사이트가드 악성코드급격한증가추세... 43

I. 이달의보안이슈 1. 악성코드 콘피커웜변형출현으로인한피해증가 MS08-067 취약점을이용하여자신을전파하였던콘피커웜 1 (Win32/Conficker.wom: 이하콘피커웜이라고표기 ) 의새로운변형이발견되었다. 이번변형은자신을전파하는방법을다양하게가지고있는것이특징이며, 국내에많은시스템을감염시켰다. 또한이스라엘의가자지구침공과관련한이슈를포함한메일을전송하여사용자들로하여금감염을유도하는형태의악성코드가발견되었다. 그리고기존의 Win32/Zhelatin.worm처럼국제적인정치, 사회적인이슈를이용하여자신을유포중인 Win32/Waledac.worm 변형도증가하였다. (1) 콘피커웜변형출현 이슈가종료된것으로판단되었던 MS08-067 취약점을이용한콘피커웜변형이새롭게발 견되었다. 특히이변형은자신을전파하기위해다음과같은다양한방법을사용하고있다. - 이동식저장디스크를이용한전파방법 - 취약한관리목적공유폴더를이용한전파방법 - MS08-067 취약점을이용한전파방법 2 또한악성코드에대한진단과치료를어렵게하기위해서자신을원격파일핸들로특정프 로세스에오픈하며, 특히, NTFS 파일시스템인경우파일의보안속성을변경하여사용자의 읽기, 쓰기권한을뺏는방법을사용한다. 다른특징으로 DNS 쿼리관련함수를조작하여백신 2 (Anti-virus, Anti-spyware : 이하백신으로표기 ) 업체와같은특정도메인에대한접근을차단하기도하였다. 이런경우엔진업데이트그리고해당홈페이지등에접속할수없게되어, 사용자들이콘피커웜을진단하는엔진을다운받거나정보를확인하기는것을방해한다. 콘피커웜관련자세한내용은이번호칼럼에서소개되니해당부분을참고바란다. 1 Win32/conficker.worm 에대한다양한표기법을콘피커웜으로통일함. 2 Anti-virus, Anti-spyware 에대한다양한표기법을백신으로통일함.

(2) 이스라엘가자지구침공관련악성코드 이스라엘의가자지구침공과관련하여이와비슷한유형의악성코드가증가하였다. 이처럼국제적인이슈를이용하여메일로유포하는사회공학적기법이오래전부터악성코드배포방법으로사용되어왔다. 이번에메일로유포되었던 Win-Trojan/Downloader.9790 악성코드의유포메일중하나는다음과같다. Subject: Israel War on Hamas: A Dozen Thoughts Israel offers short respite from strikes. Israel will halt its bombardment of Gaza for three hours every day to allow residents of the Hamas-ruled Palestinian territory to obtain much-needed supplies, a military spokesman says. The images broadcast here were graphic and striking. The Al Jazeera English report below captures the extent of the devastation caused by the initial strikes. 3 Proceed to view details: ( 악성코드다운로드링크 ) 악성코드다운로드링크를클릭하면보통다음과같은웹페이지로안내되고파일을다운로 드하도록유도한다. [ 그림 1-1] 이스라엘의가지지구침공관련악성코드 다운로드되는파일명은 Adobe_Player10.exe 이며, 실행하면특정호스트로부터백도어증상을가지고있는 Dropper/Agent.36352.BR을다운로드받는다. 본글을작성하는현재해당 URL의파일은현재다운로드되지않지만, 변형이많기때문에유사한메일을받는다면주의가요구된다.

해당파일을실행하면 servicepack1.exe 라는파일명을가진악성코드를다운로드받는다. 해당파일을실행하면자신을은폐시키고인터넷익스플로러, FTP, P0P3 에대한사용자계 정과비밀번호를획득하려고한다. (3) Win32/Waledac.worm 과사회적인이슈들 Win32/Waledac.worm은위에언급한이스라엘의가자지구침공과관련한악성코드처럼잘알려진사회적이슈를이용하여메일로유포되었다. 이번달의경우미국의오바마대통령취임식과발렌타인데이내용을담은메일이국외에서대량유포되었다. 악성코드를다운로드받도록유도하는웹페이지모습은다음과같다. 4 [ 그림 1-2] Waledac.worm 관련가짜웹페이지 해당웹페이지에접속을하면페이지의내용에맞는특정실행파일의다운로드창이나타 난다. 파일을실행한경우특이하게로컬드라이브에는자신의복사본을생성하지않는다. 바이너리내부를보면특정웹서버로접속을시도하는내용과, RSA 인증관련내용이존재한다. 이러한내용들은 P2P 웜처럼감염된다른시스템과통신을위해서사용되는것으로보인다. 이웜역시다른이메일웜처럼내부에는특정파일확장자로부터메일주소를수집하는기능이있다. 이는자신이업로드되어있는 URL을전송하기위한수신자메일주소를수집하기위한목적이다. Win32/Waledac.worm 은 Win32/Zhelatin.worm 처럼사회적인이슈를가지고자신을전파

하지만실행후증상이나자신의암호화된코드를풀어내는방법은 Win32/Zhelatin.worm과비교하면다른형태를가지고있다. 그러나이악성코드역시조직적으로만들어지고유포되는것으로보여 Win32/Zhelatin.worm처럼올한해많은변형으로큰피해를줄가능성이높다. 5

2. 스파이웨어 스파이웨어크립터와가짜백신 (1) 매스메일러에의해전파되는스파이웨어크립터 (Win-Spyware/Crypter) 분도 (Vundo), 버츄몬드 (Virtumonde) 등으로도불리는스파이웨어크립터는브라우저도우미객체 (Brower Helper Objects) 로등록되어인터넷익스플로러 (Internet explorer) 가실행될때함께실행되어인터넷사용도중팝업광고를화면에출력하거나, 우측하단트레이에거짓감염메시지를노출해가짜백신 (Rogue AntiVirus/AntiSpyware) 의설치를유도하는악성코드이다. 지속적인광고노출과감염메시지출력은사용자에게불편을유발하고, 시스템의성능을저하시킨다. 스파이웨어크립터는일반적으로 OS의취약점을통해주로전파가되었으나, 최근 E-mail의첨부파일을통해전파되는 E-card 웜을통해서도감염되는것이확인되었다. 6 [ 그림 1-3] 악성코드가첨부된메일 [ 그림 1-4] 첨부파일 메일에포함된첨부파일을다운로드받아압축을풀면 [ 그림 1-4] 와같이문서 (.doc) 파일을가장한스크린세이버 (.scr) 파일이나타나게된다. 윈도우 OS(Windows OS) 의기본설정은 알려진파일형식의파일확장명숨기기 가되어있기때문에이중확장자는일반적으로문서파일로인식될수있다. [ 그림 1-4] 와같이메일로부터다운로드받은 postcard.doc.scr 파일은악성코드가포 함된메일을발송하는매스메일러의기능을수행하면서외부서버로부터스파이웨어크립터

를다운로드받아사용자의시스템에설치한다. (2) 다양한가짜백신의배포방법 최근안티스파이 2009(Antispy 2009) 와같은외산가짜백신 (Rogue) 이지속적으로증가하고있다. 가짜백신 (Rogue) 은더많은수익을올리기위해다양한배포방법을이용하고있다. 가짜백신은스파이웨어크립터 (Win-Spyware/Crypter) 스파이웨어즐롭 (Win- Spyware/Zlob) 등의악성코드를통해서도배포되지만사용자의흥미를유발하는다양한방법을통해설치를유도하고있다. 1) YouTube를통한튜토리얼제공세계적으로유명한동영상공유사이트인 YouTube에는개인의흥미나기업의홍보를위해제작한동영상부터이라크전에참전한미군이제작한동영상까지다양한내용의동영상이등록되어있다. 이곳에서도가짜백신을배포하기위한의도가확인되고있다. 7 YouTube 에서 FreeAntivirus 라는키워드를이용해동영상을검색해보면 [ 그림 1-5] 과같은 백신설치튜토리얼을쉽게찾을수있다. 이것은특정사이트에서백신을다운로드하여설 치하는내용이다. [ 그림 1-5] YouTube 에등록된가짜백신설치동영상 [ 그림 1-5] 의동영상이가리키는사이트에서다운로드받아설치할수있는프로그램은 [ 그 림 1-6] 의안티바이러스 2009(Antivirus 2009) 라는가짜백신으로무료백신과는거리가멀 다.

[ 그림 1-6] 안티바이러스 2009(Antivirus2009) 2) 토렌트 (Torrent) 공유파일을통한가짜백신설치유도토렌트 (Torrent) 를통해배포되는가짜동영상을통해서도가짜백신의설치를유도하고있다. 국내외의많은사람들이 Torrent라는 P2P 공유방식을이용해파일을다운로드받고있다. 이렇게공유된파일은어떠한검증절차가없기때문에파일의무결성을보장하기어렵다. [ 그림 1-7] 은공유사이트에서다운로드받은 700M의동영상파일을실행한것이다. 파일의크기로미루어정상적인동영상파일로보이지만이파일을 3분 20초간오류화면만을출력한다. 오류창에표시되는사이트에서는동영상플레이어를가장한가짜백신설치와결재를유도한다. 8 [ 그림 1-7] 토렌트 (Torrent) 를이용해공유된동영상파일실행결과

3. 시큐리티 콘피커웜의전파방법과대처법 콘피커웜은 2008년 10월말보고된이후현재까지도극성을부리고있는것으로파악된다. ARBOR(http://asert.arbornetworks.com) 에따르면 1월 30일기준으로 1200만개의호스트가콘피커웜에감염된상태라고한다. 따라서, 아직까지확산이되고있는콘피커웜의전파방법과대처법을알아보자. (1) 콘피커웜의전파방법 해당웜은 MS08-067 취약점을이용하여전파되기때문에해당취약점에대한보안업데이트가적용되지않은시스템은공격을통해감염될수있으며, 해당취약점에대한보안업데이트가적용되어있다할지라도단순한패스워드로설정된네트워크공유와이동형저장장치인 USB의자동실행 (Autorun) 을통해감염될수있다. 아래 [ 그림 1-8] 은콘피커웜이전파를위해네트워크를스캐닝하는화면이다. 9 [ 그림 1-8] 전파를위한취약한시스템스캐닝 [ 그림 1-8] 에서보는바와같이 SMB( 서버메시지블록 ) 서비스가사용하는 445/TCP, 139/TCP 포트를이용하여네트워크상에존재하는공격대상시스템을스캐닝한다. 이때 SMB를사용하고있는공격대상을발견한다면 MS08-067 취약점또는취약한공유폴더를이용하여공격을시작하게된다. 아래 [ 그림 1-9] 는콘피커웜이실제로 MS08-067 취약점을이용하기위한공격패킷을 전송하는화면이다.

[ 그림 1-9] MS08-067 취약점을이용한공격패킷 해당취약점공격패킷속에내포된쉘코드 (ShellCode) 는기본적으로 XOR 인코딩되어있 고외부의다른감염된컴퓨터로부터악성프로그램을다운로드할수있는기능을갖는다. 이렇듯콘피커웜에의해감염이되면, 전파를위해랜덤으로생성된포트주소로웹서버를 생성하게된다.( 추후감염된시스템이이웹서버를통해자신을다운로드한다.) http://xxx.xxx.xxx.xxx:3193/zbrlw 또다른전파형태로 [ 그림 1-10] 과같은공유폴더를이용한전파방법이있다. 10 [ 그림 1-10] 공유폴더를이용한전파 일단콘피커웜은단순한패스워드인 0000, 1111, admin 등 225개정도의패스워드를사용한다. 만약, 웜이사용하는취약한패스워드를사용하고있는시스템이발견되면관리자권한의숨은공유인 ADMIN$ 폴더로접근하여다음과같은형태로자기자신을복사하게된다. [Share Machine Name]\ADMIN$\System32\[Random File Name]

그후복사한악성코드파일을실행시키기위해 예약작업 (ATSVC) 을통해특정시간에동작하도록스케쥴에등록한다. 또한, 콘피커웜은 DNS 관련함수를메모리상에서패치하여, 백신, 보안프로그램을비롯하여윈도우업데이트를방해하는방법으로자기자신을보호하기도한다. (2) 콘피커웜대처법 이처럼콘피커웜은다양한전파방법과자기보호방법을갖고있어대처가매우까다롭다. 해당콘피커웜에대한대처방안으로다음과같은방법을참고할수있다. 첫번째, 가장근본적으로웜이사용하는 MS08-067 취약점에대한패치를업데이트한다. (1) MS08-067 취약점패치업데이트 ( 아래사이트참조 ). ( 영문 ) http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx ( 한글 ) http://www.microsoft.com/korea/technet/security/bulletin/ms08-067.mspx 11 두번째, 강력한패스워드를설정하고불필요하다면아래방법을통해공유폴더를통한확 산을방지하기위해공유를제거한다. (1) V3 제품에서제공하는방화벽기능을이용한정책설정 : 해킹차단 - 개인방화벽 - 공유규칙 - 직접접속정책사용 (V3IS2007 기준 ) (2) 수동으로공유폴더제거하는방법 : 설정 제어판 관리도구 컴퓨터관리 - 공유폴더클릭후나열된숨김공유중선택후우측클릭하여공유해제적용. 재부팅시에는숨김공유가재활성화될수있기때문에아래와같이직접적인레지스트리를수정하여재활성화를방지할수있다. (* Windows 2000 시스템기준 ) 1 레지스트리편집기실행 ([ 시작 ] [ 실행 ] regedit32 입력후 Enter) 2 폴더선택 (KEY_LOCAL_MACHINE을선택하여 \ 내부에있는항목순으로확장 ) 3 키수정또는생성하기위치 : KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \lanmanserver\parameters Value Name: AutoShareWks (Windows 2000 pro일경우 ) Value Name: AutoShareServer (Windows 2000 Server일경우 ) Type: REG_DWORD

Value: 0 4 KEY_LOCAL_MACHINE을선택하여 \ 내부에있는항목순으로확장하여위의값을생성. 5 레지스트리편집기를종료하고재부팅하여확인. 이외에도조직의정책에따라다양한보안프로그램을통해해당 139/TCP, 445/TCP 포트 차단정책을적용하거나원격파일복사및원격스케쥴링작업등을차단하는방법도고려 할수있다. 12

4. 네트워크모니터링현황 콘피커웜의확산 1월한달간자사의네트워크모니터링시스템으로부터상위 TOP5 주요이벤트들이 [ 그림 1-11] 과같이탐지되었다. 지난 10월말 MS08-067 서버서비스취약점에발표된이후, 다음과같이최상위탐지이벤트는항상해당취약점을이용하는탐지이벤트 (MS08-067 MS Windows NETAPI Stack Overflow Inbound) 가차지하고있다. 13 [ 그림 1-11] 주요탐지이벤트현황 TOP 5 MS08-067 취약점이본격적으로콘피커웜으로발전하고확산되면서모니터링시작이후평균 5600건이상의탐지트래픽이몇개월동안꾸준히탐지되고있다. 이미해당취약점에대한 MS 보안패치가배포되었음에도불구하고, 콘피커웜이이용하는방식 ( 공유취약점, USB를통한확산 ) 의높은효과성으로인하여그피해가감소되지않고있다. 당분간활용될새로운취약점이발표되기전까지해당콘피커웜의트래픽발생은지금상태를꾸준히유지할것으로예상된다. [ 그림 1-12] 콘피커웜트래픽

현재자사를비롯하여많은보안업체들이콘피커웜이사용하는다운로드도메인이나트래픽을꾸준히모니터링하고있다. [ 그림 1-13] 은전세계를대상으로국가별콘피커웜의피해현황을나타낸그래프이다. 모니터링환경에따라다소차이는있을수있으나중국과러시아가가장큰피해를보이고있으며, 국내피해또한 TOP 6에올라있다. [ 그림 1-13] 콘피커웜국가별피해현황 TOP 10 ( 출처 : cymru.com) [ 그림 1-14] 는자사의네트워크모니터링시스템을통해탐지된콘피커웜공격트래픽을국가별로확인한결과이다. 탐지시스템의지역적특성을감안하고, 탐지트래픽의소스 IP 주소만을기준으로하면국내에서발생되는웜트래픽이 50% 이상을차지하고있다. 해당발생지는기업체가아닌대부분 ISP 업체가제공하는동적할당 IP들로보안이허술한다수의일반사용자 PC를통해웜이확산되고있는것으로추정된다. 14 [ 그림 1-14] 콘피커웜국가별공격트래픽

탐지되는콘피커웜 (Conficker) 웜트래픽은큰형태적인변화없이내부의다운로드 URL 을 XOR 쉘코드 (Shellcode) 형태로가지고있다. 당분간은새로운변형보다는기존에배포된 웜이자가확산을하는형태가될것으로예상된다. 15

5. 중국보안이슈 2008 년악성코드동향 (1) 지앙민 (JiangMin, 江民 ) 의 2008 년악성코드동향 중국로컬보안업체중하나인지앙민 (JiangMin, 江民 ) 에서 2008년 1년동안많은피해를입혔거나새로많이발견된악성코드에대한통계데이터를제공하였다. 이통계데이터는 2008년한해동안지앙민에서집계한악성코드데이터에기반하며본글을쓰는현재까지는지앙민의공식적인 2008년동향분석리포트가발표되지않았음을참고하기바란다. 악성코드명 감염대수 V3 진단명 Checker/Autorun 903700 TextImage/Autorun Trojan/PSW.OnlineGames.gen 338933 Win-Trojan/OnlineGameHack Trojan/PSW.GamePass.Gen 236275 Win-Trojan/OnlineGameHack Adware/Cinmus.Gen 196540 Win-Dropper/Cinmus Trojan/PSW.GameDLL.Gen 174340 Win-Trojan/OnlineGameHack Trojan/PSW.OnLineGames.sss 158563 Win-Trojan/OnlineGameHack Adware/Yokbar.f 136541 - Trojan/Ck88866.Gen 130795 - Exploit.CVE-2007-0071 129330 Win-Trojan/SWF-Exploit.Gen 16 Trojan/Agent.bwp 92366 Win-Trojan/Agent [ 표 1-1] 지앙민 (JiangMin, 江民 ) 2008 년악성코드 TOP 10 [ 표 1-1] 의지앙민에서집계한 2008년악성코드 TOP 10을살펴보면 2008년 3가지키워드를생각해볼수있다. 첫번째가 USB 등의이동형저장장치를통한악성코드전파방식의일반화, 두번째로온라인게임의사용자정보를유출하는악성코드의대량감염, 마지막으로상업적인애드웨어의확산으로들수있다. 1위를차지한 Checker/Autorun은 Autorun 류의악성코드가자신을실행시키기위해서생성하는 autorun.inf를진단한경우이다. 이러한텍스트파일이 1위를차지하고있다는것은중국내에서익히알려진바와같이 autorun.inf를통해이동형저장장치로전파되는감염기법이이미일반화되었다고볼수있다. 그리고악성코드 TOP 10에 4 종이등장할정도로극심한감염이이루어지고있는온라인게임관련트로이목마는 2007년에이어서 2008 년에도유사한양상을보였다.

악성코드명 감염대수 V3 진단명 Adware/Cinmus.Gen 196556 Win-Dropper/Cinmus Adware/Yokbar.f 136545 - Exploit.CVE-2007-0071 129350 Win-Trojan/SWF-Exploit.Gen TrojanSpy.OnLineGames.fbd 39856 Win-Trojan/OnlineGameHack Trojan/Agent.aixq 34896 Win-Trojan/Agent TrojanSpy.OnLineGames.euu 32627 Win-Trojan/OnlineGameHack TrojanDownloader.JS.Agent.iz 30647 Win-Trojan/Downloader Rootkit.Vanti.dmc 24617 Win-Trojan/Rootkit Rootkit.Agent.da 23530 Win-Trojan/Rootkit Backdoor/Popwin.ch 18339 Win-Trojan/Popwin [ 표 1-2] 지앙민 (JiangMin, 江民 ) 2008년신종악성코드 TOP 10 17 지앙민에서집계한 [ 표 1-2] 의신종악성코드 TOP 10을살펴보면애드웨어와 Adobe 취약점을이용한악성코드로요약할수있다. 먼저 1위와 2위를살펴보면모두상업적인목적으로배포되는애드웨어들이차지하고있으며그뒤를이어서 Adobe Flash의취약점을악용하는 SWF인 Exploit.CVE-2007-0071이 3위를차지하고있다는것은중국내에서도역시 Adobe Flash의취약점이악성코드유포에많이악용되었다는것을보여주고있는사례라고할수있다. (2) CNCERT/CC 의 2008 년상반기보안위협동향발표 중국의대륙내의보안사고들을총괄하는 CNCERT/CC 에서 2008 년상반기보안위협동향 보고서를 2008 년 11 월에발간하였다. 시기적인면에서본다면그리적절하지않으나 2008 년상반기중국대륙내에서발생한보안위협들에대한참고자료로삼을수있다. [ 그림 1-15] CNCERT/CC 의 2008 년상반기인터넷보안위협형태

먼저 [ 그림 1-15] 과같이 CNCERT/CC에서집계한 2008년중국대륙내에서발생한보안위협형태를본다면스팸메일이 37.01% 로가장많이집계되었으며그뒤로웹사이트변조가 27.04% 를차지하고있다. 2007년자료와비교해본다면스팸메일은 27% 에서 10% 가량증가한반면웹사이트변조는 30% 에서 3% 가량감소한추세를보였다. 그외웹사이트를통한악성코드유포가 21.36% 를차지하여 2007년보다 5% 가량감소한것으로집계되었다. 그외취약점은 7.57%, 악성코드는 6.75% 그리고서비스거부공격은 0.27% 로 2007 년전체집계와비교하여큰변화가없었던것으로분석하였다. [ 표 1-3] CNCERT/CC 의 2008 년상반기악성코드 TOP 10 [ 표 1-3] 은 CNCERT/CC에서집계한 2008년상반기악성코드 TOP 10이다. 중국의로컬보안업체인라이징 (Rising, 瑞星 ) 과지앙민 (JiangMin, 江民 ) 에서집계한것과는많은차이를나타내고있다. 우선특이한점은 1위와 9위에는 Virut 바이러스와 Sality 바이러스가차지하고있으며그외에도 VanBot과 SdBot 류의악성 IRCBot 류가 2 종류나순위를차지하고있다는점이다. 그러나 2007년악성코드 TOP 10에는 6 종이나포함되어있던것과비교한다면악성 IRCBot 류의활동이많이감소한것으로도해석할수가있다. 18 (3) 증가하는중국내악성코드유포웹사이트 2007 년부터웹페이지를통해취약한인터넷익스플로러를악성코드감염경로로이용하는 방식이국내에는이미잘알려져있는데, 중국역시예외가아니라는점을중국로컬보안 업체인라이징 (Rising, 瑞星 ) 의통계를통해확인할수있다.

[ 그림 1-16] 라이징 (Rising, 瑞星 ) 이집계한웹사이트를통한악성코드감염수치 19 특히 1월 9일라이징의홈페이지를통해발표한 [ 그림 1-16] 의통계에따르면 1월 5일을기준으로하여 5,012,052회나취약한인터넷익스플로러를통한악성코드감염시도가발생한것으로알려져중국내에서웹사이트를통한악성코드의감염시도가심각한수준임을알수있다. 이러한라이징의집계외에도중국의비영리보안단체인 Knowledge of Security( 知道安全 ) 의보고에따르면 1월한달동안알려진웹사이트로만 흑룡강위생감사국, 북경고시서점 과 중국은행웹사이트연맹 등의총 19 개웹사이트가악성코드유포지로밝혀져, 인터넷익스플로러취약점을이용한악성코드감염이전세계적인트렌드임을알수있다.

II. ASEC 칼럼 콘피커웜 Technical Report 2009 년 1 월에많은피해가발생한콘피커웜중특히많은피해를일으킨 Win32/Conficker.wom.173318 를상세분석을통해전파방법과기능에대해알아보자. (1) 기능분석요약 먼저기능분석으로코드의난독화와전파방법, 레지스트리등록등에대해알아보자. 1) 코드의난독화 - UPX 실행압축으로되어져있으며압축을풀고나면쓰레기코드로쌓여있음 - 쓰레기코드루프를돌면서힙할당, 암호화된코드를디코딩한후메모리에적재 - CALL [reg] 코드를통해메모리에적재한실행코드로이동 - 이동한실행코드역시 UPX로압축되어있음 - UPX를풀고나면정상적인실행코드로이동 2) 전파 1 MS08-067 취약점을이용한원격코드실행 관련정보 : http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx 20 2 네트워크공유폴더를통한전파 - 취약한암호의네트워크공유폴더 (ADMIN$) 를스캔하여접근시도 * 취약한암호 ( 일부 ) 000 11111 1234 2222 aaaaa abc123 academia admin codeword coffee forever freedom lotus nopassword password qqqq shadow share unknown web zzz... - 성공시에 %System% 폴더아래랜덤파일명으로복사본생성 - 윈도우시스템스케쥴러등록 (rundll32.exe를이용하여로딩하도록 AT*.job 파일생성 ) - 네트워크동시접속제한을높이기위해아래의기능을수행 * win2k이하 : 레지스트리값을최대값으로설정 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip \Parameters\"TcpNumConnections" = "00FFFFFE" * XP이상

: TCP/IP 프로토콜의 half-open connections 기능무력화 tcpip.sys 파일정보와드라이버파일을생성 (01.tmp) 및로딩하여메모리패치 ( half-open connections 숫자를 0x10000000으로변경 ) 생성한드라이버파일은로딩후파일 & 레지스트리삭제 * Vista : Disable Auto tuning Command 실행 - "netsh interface tcp set global autotuning=disabled" 관련정보 - http://www.vistax64.com/tutorials/72308-auto-tuning-tcp-ipreceive-level.html ) 3 이동디스크를통한전파 - RECYCLER\S-x-x-x-xxx-xxx-xxx-x\[Random file name] 파일생성 (x는랜덤한번호 ) - 루트폴더에 Autorun.inf 파일생성 - 생성된파일과폴더는숨김속성 21 3) 레지스트리생성 1 서비스등록 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hukic( 랜덤명 ) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hukic\ "DisplayName"=[%DisplayName%] "Description"=[%Description%] "ImagePath"="%SystemRoot%\system32\svchost.exe -k netsvcs" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hukic \Parameters\"ServiceDll"=[Path to worm] * %DisplayName% 은아래문자열중 2개를임의로선택하여등록 Boot Center Config Driver Helper Image Installer Manager Microsoft Monitor Network Security Server Shell Support System Task Time Universal Update Windows * %Description% 은서비스로등록되어진 Description 문자열중랜덤하게하나를 가져와서등록 2 자동실행등록

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Run\ "[Random Name]" = "rundll32.exe" "[Random File Name].dll", [Random Value]" 3 탐색기 -> 폴더옶션 -> 숨김파일및폴도옵션변경무력화 SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced \Folder\Hidden\SHOWALL\ "CheckedValue"=[DWORD]0 4 Applets 키값을체크하여생성 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Applets\"dl" = [REG_BINARY]0 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Applets\"ds" = [REG_BINARY]0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Applets\"dl" = [REG_BINARY]0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Applets\"ds" = [REG_BINARY]0 22 4) 파일생성 ( 윈도우버전에따라다르게생성 ) - %Program Files%\Internet Explorer\[RANDOM FILE NAME].dll - %Program Files%\Movie Maker\[RANDOM FILE NAME].dll - %System%\[RANDOM FILE NAME].dll - %Temp%\[RANDOM FILE NAME].dll - C:\Documents and Settings\All Users\Application Data \ [RANDOM FILE NAME].dll * 생성되는파일은 kernel32.dll 시간과동일하게변경됨 5) 생성한파일및레지스트리보안속성변경 (NTFS) - InitializeAcl, AddAccessAllowedAce, SetSecurityDescriptorDacl, SetFileSecurityA 등의 API 사용 - Read 권한을삭제하여파일 / 레지스트리읽기불가 ( 진단무력화 )

[ 그림 2-1] 생성된복사본의파일보안속성 6) 시스템복원으로부터복원지점모두삭제 - SrClient.ResetSR API 사용 23 7) 시스템서비스종료및설정변경 ( StartType = SERVICE_DISABLED ) - wuauserv : Windows Automatic Update Service - BITS : Background Intelligent Transfer Service 8) Dll 인젝션 ( 윈도우버전에따라다름 ) - svchost.exe -k NetworkService : ZwQueryInformationProcess API와 PEB 정보를사용하여프로세스파라메타구함 - explorer.exe - services.exe 9) DEP(Data Execution Prevention) Mode off 로설정 - 관련정보 : http://support.microsoft.com/kb/875352 - ZwSetInformationProcess(with flag 0x22) API 사용

[ 그림 2-2] DEP 속성보기 10) API Hooking - ntdll.zwqueryinformationprocess : DEP Query 정보변경 - netapi32.netpwpathcanonicalize : MS08-067 취약점에서 Exploit Code가실행안되게 Name Length를체크하는코드로변경되어실행됨 : Exploit Code에서복사본을다운로드하기때문에중복감염방지 - dnsapi.dnsquery_a, DnsQuery_UTF8, DnsQuery_W, Query_Main : 특정 URL 접속불가 24 * 접속불가판별문자열 ( 일부분 ) virus rootkit defender microsoft symantec norton mcafee trendmicro sophos panda etrust f-secure kaspersky f-prot nod32 eset drweb ahnlab esafe avast avira hauri ikarus k7computing avp avg... 11) HTTP 서버구축 (Port : Random) - MS08-067 취약점공격이성공한다른컴퓨터에서 Exploit Shell Code가실행되면여기서구축된 HTTP 서버로접속하여복사본을다운받아실행됨 - External IP 주소를얻기위해아래의사이트에접속 http://checkip.dyndns.org http://getmyip.co.uk http://www.getmyip.org http://www.whatsmyipaddress.com - 취약점공격이성공한다른컴퓨터에서다운받는확장자는다음과같음

.bmp.gif.jpeg.png 25 12) 특정 URL에서다른악성코드를다운로드 - 아래의사이트중하나에접속한후시스템날짜를 Query하여년 / 월 / 일 / 요일숫자를이용해 Domain Name 생성 ( 같은날짜에는같은 domain이만들어짐 ) (myspace.com, msn.com, ebay.com, cnn.com, aol.com, ask.com, yahoo.com, google.com, baidu.com) - 생성되는 Domain Name의예 vhqlkddd.org" nxipfrpw.net" pzaumio.cc" vvnjxapnfz.org" fhdduq.info" liiekfx.biz" shujuaji.com" qfjvcoz.org"... - 10개의스레드를반복적으로만들어다운로드시도 ( http://domainname(gernerated)/search?q=%d ) - 다운받아지는파일형태는 [Random File Name].tmp (2) 상세코드분석 상세코드분석을통해세부기능을어떻게구현하는지알아보자.( 지면한계로인해주요기 능코드만언급한다.) 1) DEP(Data Execution Prevention) Mode off 설정 [ 그림 2-3] ZwSetInformationProcess(with flag 0x22) 호출

2) API Hooking( ntdll.zwqueryinformationprocess ) - ZwQueryInformationProcess 주소에 JMP Code 5 바이트를패치하여자신의코드로점프 [ 그림 2-4] ZwQueryInformationProcess 주소 5 바이트패치 [ 그림 2-5] 5 바이트가패치된 ZwQueryInformationProcess 주소 3) Dll 인젝션 - svchost.exe -k netsvcs 프로세스를찾아서 LoadLibray, WriteProcessMemory API 사 용으로강제 dll 인젝션 26 [ 그림 2-6] Dll 강제인젝션

4) TCP/IP 프로토콜의 half-open connections 기능무력화 [ 그림 2-7] tcpip.sys 정보를이용하여드라이버파일생성및로딩 5) 특정사이트에시간을 Query 하여숫자를기반으로다운로드받을 Domain Name 생성 27 [ 그림 2-8] 특정사이트에서시스템날짜 Query

[ 그림 2-9] 생성한 Domain Name 생성및 Domain Name 에접속하여파일다운로드시도 28

III. 이달의통계 1. 악성코드 OnlineGameHack 의활동뚜렷 (1) 1 월악성코드통계 순위 악성코드명 건수 비율 1 - Win-Trojan/Agent.67678 13 16.5% 2 new Win-Trojan/Xema.variant 11 13.9% 3 new Win-Trojan/SpamMailer.349696 10 12.7% 4 new Win-Trojan/Buzus.224256 8 10.1% 4 new Win-Trojan/Fakealert.85504.B 8 10.1% 5 new Dropper/Autorun.171298 6 7.6% 5 new Dropper/OnlineGameHack.171283 6 7.6% 5 new Win-Trojan/Agent.175644 6 7.6% 5 new Win-Trojan/Downloader.10240.LD 6 7.6% 29 10 new Dropper/OnlineGameHack.33280.D 5 6.3% 합계 79 100% [ 표 3-1] 2009 년 1 월악성코드피해 Top 10 [ 표 3-1] 은 2009년 1월악성코드로인한피해신고 Top 10이다. 10위까지의악성코드종류를살펴보면모두 Trojan류이며, Win-Trojan/Agent.67678는지난달과마찬가지로 1위를유지하고있다. 이악성코드는 Bagle 악성코드로인해생성되며악성 Rootkit 드라이버를설치하여해당 Win-Trojan/Agent.67678를보호하여치료를방해하는특징을가지고있어, 완전한치료를위해서는다음과같이치료하여야한다 1 Bagle 전용백신으로해당 Win-Trojan/Agent.67678를보호하는악성 Rootkit 드라이버 ( 파일명 : srosa.sys) 를진단삭제후시스템을재부팅한다. 2 시스템재부팅후 V3 제품으로치료해야해당악성코드에관련된파일이모두치료가능하다. 온라인게임관련악성코드가여전히기승을부리는것에대해서이전 ASEC 리포트를통해여러번강조한바있다. 마찬가지로 1월에도 OnlineGameHack이 Top 10에서두자리나차지하고있다. 이는한국온라인게임뿐만아니라온라인게임관련악성코드의제작지로잘알려져있는중국내에서도자국의온라인게임관련사용자정보를취득하기위한악

성코드등장이수그러들지않고있는것이가장큰이유로판단된다. 순위 악성코드명 건수 비율 1 2 Win-Trojan/OnlineGameHack 577 30.6% 2 1 Win-Trojan/Agent 417 22.1% 3 4 Win-Trojan/Downloader 179 9.5% 4 2 Dropper/OnlineGameHack 141 7.5% 5 new Win32/Kido.worm 125 6.6% 5 7 Win-Trojan/Xema.variant 125 6.6% 7 9 Win-Trojan/Zlob 107 5.7% 8 new Win32/Conficker.worm 77 4.1% 9 6 Win32/Autorun.worm 71 3.8% 10 5 Dropper/Agent 64 3.4% 합계 1,883 100.0% [ 표 3-2] 2009 1월악성코드대표진단명 Top 10 [ 표 3-2] 는악성코드동일한대표진단명을가진변종악성코드를하나로묶어서대표진단명기준으로통계를뽑은것이며, 개별악성코드통계보다전체적인악성코드통계양상을알수있다. 이는많은변형의출현및빠른악성코드엔진대응으로개별악성코드생명주기가짧아져서이를보강하기위해작성된것이다. 대표진단명 Top 10에포함된악성코드총피해건수는 1,883건으로 12월의 2,667건에비해소폭감소하였다. 30 1 월악성코드대표진단명 Top 10 을살펴보면 OnlineGameHack 이 1 위와 4 위를차지하고 있으며, 그비율을합치면 38.1% 로전체 Top 10 피해건수의 1/3 이상이다 이에 OnlineGameHack의유포되는방법에주목할필요가있다. OnlineGameHack은 `크로스사이트스크립트 (Cross site script)' 공격으로해킹된웹사이트를통해주로유포된다. 해킹된웹사이트는해당악성코드를유포하는숙주역할을하며, 해킹당한웹사이트에접속한시스템은인터넷익스플로러의취약점을통하여악성코드가설치된다. 만약해킹당한사이트가인지도높은사이트일경우확산력도함께높아지는특징을갖는다. 보안패치를설치하지않은사용자들은자기도모르는사이감염되며, 이런종류의피해를막기위해서최신보안패치와함께최신버전의백신프로그램으로실시간감시기능을사용하는습관이필요하다. 또한 TOP10 에 2 종의웜 (Win32/Kido.worm, Win32/Conficker.worm) 이신규진입하였다.

Win32/Kido.worm, Win32/Conficker.worm 는 Server Service 의원격코드실행취약점 (MS08-067) 이공개됨에따라해당취약점을이용한악성코드이다. Win32/Conficker.worm은작년 10월부터꾸준히늘어나고있었으나 1월에발견된변형은백신프로그램의진단을방해하는기능 ( 파일의속성과권한변경 ) 이추가되어악성코드대응시많은어려움을겪었다. 이러한악성코드치료를위해 Win32/Conficker.wom 전용백신을별도제작하였으며해당전용백신은안랩닷컴전용백신페이지 1 에서다운받아사용할수있다. 아래의 [ 그림 3-1] 는 2009년 1월전체악성코드유형별피해신고건수를나타내고있는그래프이다. 트로이목마프로그램이 72.7% 의점유율을보이고있는악성코드유형별피해신고부문에서는드롭퍼와웜이각각 9.6% 와 9.1% 를차지하고있으며, 그뒤를스크립트 4.1%, 유해가능프로그램이 1.7% 를차지하고있다. 31 [ 그림 3-1] 2009 년 1 월악성코드유형별피해신고비율 1 전용백신제공 URL : http://kr.ahnlab.com/dwvaccineview.ahn?num=80&cpage=1

[ 그림 3-2] 2009 년 1 월악성코드유형별피해신고비율전월비교 [ 그림 3-2] 는전월과비교한악성코드유형별피해신고를나타낸것이다. 증가한것은트로이목마의경우전월에비해 2.7% 가늘어난 72.7% 이며, 웜은전월에비해 5.2% 가늘어난 11.8% 이다. 웜이늘어난것은앞에서언급된 MS08-067을이용한콘피커웜의증가와연관된것으로보인다. 드로퍼와스크립트는전월에비해각각소폭으로줄어들었으며, 유해가능프로그램과바이러스는약간의수치차이는있으나전월과많은차이가없다. 32 [ 그림 3-3] 월별피해신고건수 [ 그림 3-3] 은월별피해신고건수를나타내는그래프로작년 11 월에서 12 월까지소폭증 가하다가올해 1 월에는다소감소하였다. 온라인게임핵, 콘피커등악성코드의상당수가중

국발인것을감안하면, 춘절연휴의영향도반영된것으로보인다. 악성코드의유형이점차은폐형악성코드및최신취약점을이용하는악성코드가늘어남에 따라피해를막기위해서최신보안패치와함께최신버전의백신프로그램으로주기적으로 검사하는습관이필요하다. (2) 국내신종 ( 변형 ) 악성코드발견피해통계 1 월한달동안접수된신종 ( 변형 ) 악성코드의건수및유형은 [ 표 3-3] 과같다. 월 트로이목마 드롭퍼 스크립트 웜 파일 유해가능 합계 11 월 1162 197 151 57 19 6 1592 12 월 1431 370 263 85 3 23 2175 01 월 1361 195 87 260 3 24 1930 [ 표 3-3] 2008 ~ 2009 년최근 3 개월간유형별신종 ( 변형 ) 악성코드발견현황 33 이번달신종및변형악성코드는전월에대비하여 11% 감소를하였다. 위 [ 표 3-3] 에서알수있듯이트로이목마, 드롭퍼, 스크립트유형에서소폭감소를하였다. 그러나그동안 1월에발견된신종및변형악성코드의수치로서는최고치이다. 작년동월대비해서는 14% 정도상승한수치이다. 전통적으로방학이있는여름과겨울에는악성코드의발견율이증가하는편이다. 이것은이시기동안컴퓨터 ( 인터넷접속, 온라인게임등 ) 사용자들이많아지기때문에신고및수집율이높은편이라할수있다. 이번달신종및변형악성코드발견율에서는근래들어서볼수없었던웜유형의급격한증가율을확인을할수가있다. 이는모두한가지악성코드의폭발적인변형에의한수치인데바로작년 10월알려진윈도우서버서비스취약점 (MS08-067) 을이용한콘피커웜이라고명명된악성코드가그원인이다. 웜유형의 58% 를이웜이차지하고있다. 콘피커웜은이미취약점이알려진후얼마되지않아서이를이용한악성코드가나왔으나당시의악성코드는이번변형처럼큰피해를입히지못하였다. 특히이웜은자신을전파시키는방법이다양하고정확하게발전됨에따라많은감염피해가발생한것으로보인다. 또한서버측면의다형성방법 1 (Server Side polymorphism) 을사용하여매번코드를변형하여백신에의한탐지를회피하려고한다. 다음은이번달악성코드유형을상세히분류하였다. 1 Server Side polymorphism, 악성코드제작자들은안티바이러스탐지를회피하기위하여악성코드를손쉽게수정하는데, 일반적으 로웹을이용하여다운로드요청이있을때웹서버에서는악성코드를수정하는프로그램을이용하여악성코드를수정한뒤다운 로드하도록하는기법.

[ 그림 3-4] 2009 년 01 월신종및변형악성코드유형 트로이목마유형은전월대비 5% 소폭감소하였다. 감소의원인은온라인사용자계정을탈취하는유형에서감소가있었다. 그리고일부온라인게임악성코드는안티바이러스의진단을회피하기위하여실행압축한변형된 NsAnti (Anti007) 가서서히증가하는추세에있다. 특히해당실행압축을사용하는트로이목마유형은국내에잘알려진백신파일들을삭제하여정상적으로동작하지못하도록하므로주의가요구된다. 34 지난 12월국내에급격히증가한 Win-Trojan/DNSChanger 역시이번달에도변형이꾸준히발견되었다. 또한가짜백신이다시꿈틀거리면서 Win-Trojan/FakeAlert, Win- Trojan/Fraudload, Win-Trojan/FraudPack 류의증가도눈에띄게증가하였다. 더블어 Win-Trojan/Vundo, Win-Trojan/Zlob도변형이꾸준히발견되었는데특히 Win- Trojan/Vundo는전월대비 65% 상승하였는데, 이는모두앞서언급한가짜백신의증가와관련이있다. 이외에도은폐형스팸메일러류와은폐에이용된루트킷형태의증가도우리를바짝긴장시키고있다. 드롭퍼유형은늘그렇듯이대부분온라인게임의사용자계정을탈취하는형태가가장많은군집을이루고있다. 특이한점은위에서설명한변형된 NsAnti가사용된드롭퍼유형들이이번달가장많이발견, 보고된 Top 10에 2종이포함되어있다는것이다. 따라서한동안해당유형의악성코드는당분간증가할것으로보인다. 앞서언급했듯이웜유형중 Exploit 를이용하여자신을전파하는형태로분류하였을때 전체악성코드비율중콘피커웜은무려 9% 를차지할만큼이번달폭발적인변형이발

견되었다. Autorun 웜유형은지난달과큰차이는없으며 IRCBot 웜유형이전월대비소폭상승하였고이를두고 MS08-067 취약점과관련을유추할수도있지만아직까지는해당취약점을이용하는형태는발견, 보고되지않았다. 다만일부안티바이러스업체가기존취약점 (135/TCP. 445/TCP) 을제대로인지하지못하고콘피커웜으로명명한악성코드가일부존재함을확인되기도하였다. 이메일웜유형에서는일반적으로형태가주류를이루었다. 특히미국의새대통령취임과발렌타인데이와관련하여사기성스팸메일형태로확산되는 Win-Trojan/Waledac 변형이다수발견, 보고되었다. 이악성코드는트로이목마로분류되지만대량의사기성스팸메일을통해사람들의호기심을자극하여메일내링크를클릭하게하는등기존에알려진 Win32/Zhelatin.worm과유사한형태를가지고있다. 스크립트유형은지난 12 월에알려진인터넷익스플로러제로데이 (Zero-day) 취약점을갖 는 JS/Mult 변형이큰폭으로증가하였으나, 이번달의경우급격히하락하여 67% 감소하였 다. 이는해당취약점의긴급패치가주요원인으로판단된다. 35 유해가능프로그램유형에서는지난달과비슷하게취약점점검도구와패킷스니핑프로그램이대부분추가되었다. 이번달안철수연구소에보고된바이러스는 3가지형태이다. 이중 Win32/Gattman.16384는기존에알려진변형중하나로바이너리파일분석에사용되는 IDA 도구의 IDC 파일을감염시키는증상이있는것으로알려져있다. 다음은최근 3 개월간신종및변형악성코드분포이다. [ 그림 3-5] 2009 년최근 3 개월간악성코드분포 지난달큰폭으로상승한신종및변형악성코드유형은이번달들어서소폭감소를하였

다. [ 그림 3-5] 에서도알수있듯이웜유형을제외하고감소한수치이다. 전월경우인터넷익스플로러제로데이 (zero-day) 취약점으로인하여스크립트유형이폭발 적으로증가하였다. 이외에도트로이목마와드롭퍼의상승이눈에띄는데역시해당취약점 을이용하여 drive by downloads 형악성코드가많았음을짐작할수가있다. 웜유형의상승은콘피커웜에기인하는데해당변형의추세가다음달까지는이어지지않을것으로보인다. 해당웜의경우대부분의안티바이러스에서 Generic 한진단을하고있기때문에기존코드를수정하지않는한진단을회피하는형태의변형이당분간나오기어렵다고생각된다. 또한보안연구가들이해당웜이랜덤하게생성하여자신의변형을다운로드가능하게해주는도메인네임을계속적으로추적, 모니터링하고있다. 또한보안관리자들은이러한내용을네트워크보안장비에직접적용하거나적용된룰셋을업데이트하는게바람직하다. 다음은온라인게임의사용자계정을탈취하는악성코드의추세를살펴보았다. 36 [ 그림 3-6] 온라인게임사용자계정탈취트로이목마현황 해당악성코드의유형은 11월에비하여 11% 상승하였으나 12월과비교하여 29% 감소를하였다. 12월에감소원인중하나로는온라인게임핵악성코드들이안티바이러스진단을회피하거나또는분석지연및자신의크기를줄이는목적으로실행압축된경우가많았는데이에대한 generic한진단이추가된것이요인으로보인다. 또한전월의경우인터넷익스플로러제로데이 (zero-day) 취약점으로인하여 drive by downloads 형악성코드가많았다. 해당취약점에대한보안패치가나오고취약점이포함된스크립트파일을백신업체가진단을하면서자연스럽게관련악성코드가이번달에감소한것으로추정된다.

2. 스파이웨어 애드웨어 IEShow 피해확산 (1) 1 월스파이웨어피해현황 순위 스파이웨어명 건수 비율 1 New Win-Adware/IEShow.61440.C 12 18% 2 New Win-Adware/IEShow.61440 9 13% 3 New Win-Spyware/Buzus.224256 8 12% 4 New Win-Adware/IEShow.61440.D 6 9% 5 New Win-Adware/IEShow.339968 6 9% 6 New Win-Spyware/TDSS.29696 5 8% 7 New Win-Downloader/Renos.31232 5 8% 8 New Win-Downloader/Casino.399901 5 8% 9 New Win-Spyware/Crypter.68608.H 5 8% 10 New Win-Spyware/Crypter.36864.H 5 8% 합계 66 100% 37 [ 표 3-4] 2009 년 1 월스파이웨어피해 Top 10 [ 그림 3-7] 2009 년 1 월스파이웨어피해 Top 10 2009 년 1 월스파이웨어피해 Top10 에서가장많은피해를입힌스파이웨어는애드웨어 IEShow(Win-Adware/IEShow) 로 4 개의변형이스파이웨어피해 Top10 의상위순위를차 지하고있다. 애드웨어 IEShow 는사용자동의없이 IE 에광고를포함하는탐색창과사이드

바를추가하는애드웨어이다. 애드웨어 IEShow 는 2008 년최초발견되었으며, 광고이외의 악의적인기능은없었으나 2009 년 1 월발견된변형은유저모드루트킷 (User-mode Rootkit) 과함께배포되어 IEShow 구성요소의삭제를방해하는기능이포함되어있다. 순위 대표진단명 건수 비율 1 Win-Downloader/Zlob 238 35% 2 Win-Spyware/Crypter 178 26% 3 Win-Spyware/Zlob 47 7% 4 Win-Adware/IEShow 44 6% 5 Win-Adware/Kwsearch 44 6% 6 Win-Dropper/AdRotator 39 6% 7 Win-Downloader/Kwsearch 24 4% 8 Win-Spyware/PWS.OnlineGame 24 4% 9 Win-Adware/CashBack 21 3% 10 Win-Dropper/Zlob 20 3% 합계 679 100% [ 표 3-5] 1 월대표진단명에의한스파이웨어피해 Top10 38 [ 표 3-5] 는변형을고려하지않은대표진단명에의한피해자료이다. 2008년에이어 2009 년에도여전히스파이웨어즐롭 (Win-Spyware/Zlob) 과스파이웨어크립터 (Win- Spyware/Crypter) 가전체피해신고의절반이상을차지하고있는것을확인할수있다. 단일스파이웨어피해 Top10에서가장많은피해를입힌애드웨어 IEShow(Win- Adware/IEShow) 는 4위에올라있다. 2009 년 1 월유형별스파이웨어피해현황은 [ 표 3-6] 와같다. 스파이 애드 다운 다이 익스 구분 드롭퍼 클리커 AppCare Joke 합계 웨어류 웨어 로더 얼러 플로잇 08 11월 417 342 191 492 0 39 0 5 0 1486 08 12월 291 437 193 419 3 22 3 4 0 1372 1월 370 286 162 384 1 29 0 1 0 1233 [ 표 3-6] 2009년 1월유형별스파이웨어피해건수 [ 표 3-6] 은 2009 년 1 월유형별스파이웨어피해현황이다. 2008 년 12 월에주춤했던스파 이웨어류의피해가다시증가하였으며, 애드웨어에의한피해는크게감소하였다. 전체피해

신고건수는 2008 년 12 월에이어다소감소세를보이고있다. (2) 1 월스파이웨어발견현황 1 월한달동안접수된신종 ( 변형 ) 스파이웨어발견건수는 [ 표 3-7], [ 그림 3-8] 와같다. 스파이 애드 다운 다이 익스 구분 드롭퍼 클리커 AppCare Joke 합계 웨어류 웨어 로더 얼러 플로잇 08 11월 194 165 120 314 0 26 0 2 0 821 08 12월 202 269 132 235 2 19 2 3 0 882 1월 264 139 76 244 0 24 0 1 0 748 [ 표 3-7] 2009년 1월유형별신종 ( 변형 ) 스파이웨어발견현황 39 [ 그림 3-8] 2009 년 1 월발견된스파이웨어프로그램비율 [ 표 3-7] 와 [ 그림 3-8] 는 2009 년 1 월발견된신종및변형스파이웨어통계를보여준다. 스파이웨어피해신고와마찬가지로스파이웨어류는증가하고애드웨어는감소하였으며 신종및변형발견건수또한 2008 년 12 월에비하여감소하였다.

3. 시큐리티 MS09-001 SMB 취약점 (1) 1 월마이크로소프트보안업데이트현황 2009 년 1 월에는마이크로소프트사로부터단 1 건의보안업데이트가긴급 (Critical) 위험도로 발표되었다. 40 [ 그림 3-9] 2009 년 01 월주요 MS 보안업데이트 위험도취약점 PoC 긴급 (MS09-001) SMB 의취약점으로인한원격코드실행문제점유 [ 표 3-8] 2009 년 01 월주요 MS 보안업데이트 이달에발표된 MS09-001 SMB 취약점은특정 SMB 패킷을처리하는과정에서발생하는 메모리손상취약점들로서시스템크래쉬현상을야기하며, 상황에따라, 블루스크린과함 께시스템이재부팅되는현상이나타나기도한다. 작년에발표된 MS08-067 취약점또한 SMB 서비스상에서발생하는대표적인취약점으로현재까지콘피커웜을통해피해를야기하는대표적인취약점이되고있다. 처음 MS09-001 취약점이발표되었을때, 제 2의콘피커웜으로발전하지않을까하는우려와함께많은관심이집중되기도하였다. 그러나, 해당취약점은낮은코드실행가능성과 SMB 세션연결을위한사용자정보요구등의제약으로인하여현재까지는웜으로확산가능성은매우낮을것으로추정하고있다.

한동안애플리케이션쪽에집중되어있던공격들이최근연이어발표되는 SMB 취약점들로 집중되고있어, 어느때보다도사용자시스템의보안업데이트적용을통한근본적인문제 해결이중요한때이다. (2) 2009 년 1 월웹침해사고및악성코드배포현황 41 [ 그림 3-10] 악성코드배포를위해침해된사이트수 / 배포지수 1월한달간악성코드유포를목적으로침해된웹사이트의수와악성코드유포사이트의수는 94/18로지난 2008년 12월 109/32 에비해소폭감소했다. 특별히 1월에웹과관련된어플리케이션의취약점발표가없었던것을감안하더라도이와같은감소는주목할점이다. 하지만, 과거에도이러한감소현상이종종있었다는점을보면해당추세가단지일시적현상으로그칠지에대한판단은 2월이후의결과를종합적으로분석해야할것으로예상한다. 지난 2008년 12월제로데이 (zero-day) 공격이발생하여사회적관심을일으킨 MS08-078 (Microsoft Internet Pointer Reference Memory Corruption Vulnerability) 취약점은제 12 월 4건, 1월 3건으로다른취약점에비해그빈도가매우적어실제사용자피해는크지않은것으로추정된다. 해당취약점이영향을주지못한이유로는공격에이용되는힙스프레이 (Heap-Spray) 기법이다른코드에비해상대적으로길고, 공격의성공여부또한메모리환경에따라 100% 확신할수없기때문이다. 아래는현재까지배포된 MS08-078 공격코드의유형이다. [ 그림 3-11] 을통해 2008 년 1 월 에발견된 MS08-078 공격코드의변형된유형을확인할수있다.

[ 그림 3-11] 공격코드유형 해당취약점은전체적으로이달에탐지된수는적지만기존의다른웹공격코드와마찬가 지로탐지우회를위해코드를변형하고있다. 따라서, 보안관리자역시이러한점에대비 하여꾸준한모니터링과공격코드변형에따른대응책을모색하여할것이다. 42

4. 사이트가드 악성코드급격한증가추세 (1) 2009 년 1 월웹사이트보안요약 구분 건수 악성코드발견건수 138,505 악성코드종류 731 악성코드가발견된도메인 790 악성코드가발견된 URL 6,494 [ 표 3-9] 1 월웹사이트보안요약 웹사이트를통한사용자의피해를막기위해안철수연구소가제공하는인터넷보안무 료서비스인 사이트가드 1 의통계를기반으로하여본자료는작성되었다. 43 [ 표 3-9] 는 2009 년 1 월한달동안웹사이트를통해발견된악성코드동향을요약해서 보여주고있다. 사이트가드의집계에따르면 1 월한달동안악성코드는 731 종 138,505 건발견되어지 난 2008 년 12 월에비해급격한증가세를보였으며, 이런악성코드를포함하고있는웹 사이트도지난 12 월에비해증가한도메인 790 개, 배포 URL 6,494 개로확인되었다. 전체적으로 1 월한달동안악성코드종류와발견건수, 도메인그리고 URL 모두지난 달에비해급격한증가세를보였다. 이에대한원인은다음과같이요약된다. 1 웹을통한악성코드의배포방식이주요배포방식으로자리잡음 2 사이트가드의사용자수증가로통계추출모집단증가. 세부내용은각통계별로확인해보자. 1 www.siteguard.co.kr

(3) 악성코드월간통계 1) 악성코드발견건수 [ 그림 3-12] 월별악성코드발견건수 [ 그림 3-12] 는최근 3 개월인, 2008 년 11 월부터 2009 년 1 월까지의악성코드발견건수 의추이를나타내는그래프로 1 월악성코드발견건수는 138,505 건으로지난달에비해 2 배정도의급격한증가세를보였다. 2) 악성코드유형 44 [ 그림 3-13] 월별악성코드유형 [ 그림 3-13] 는최근 3 개월간발견된악성코드의유형을나타내는그래프로역시지난 12 월의 576 종에이어 1 월에 731 종이발견되어지속적인증가세를보이고있다.

3) 악성코드가발견된도메인 [ 그림 3-14] 월별악성코드가발견된도메인 [ 그림 3-14] 는최근 3 개월간악성코드가발견된도메인수의변화추이를나타내는그 래프로 1 월악성코드가발견된도메인은 790 개로전월에비해 40% 나증가하는높은 증가세를보이고있다. 45 악성코드가발견되는도메인수가급격히증가한다는것은실제악의적인유포를위해 해커들의적극적인도메인공략이증가하고있다는것이다. 이는앞에설명한 [ 그림 3-12] 의악성코드발견건수증가와맥을같이하고있다고볼수있다. 4) 악성코드가발견된 URL [ 그림 3-15] 월별악성코드가발견된 URL [ 그림 3-15] 는최근 3 개월간악성코드가발견된 URL 수의변화추이를나타내는그래 프로 1 월악성코드가발견된 URL 은 6,494 개로전월에비해 36% 의증가세를보였다.

(2) 악성코드유형별악성코드배포수 유형 건수 비율 Adware 85,898 62.0% Trojan 15,964 11.5% AppCare 13,682 9.9% Dropper 5,589 4.0% Downloader 4,751 3.4% Win32/Virut 1,903 1.4% Joke 1,521 1.1% Win-Clicker 1,469 1.1% Spyware 670 0.5% IRCBot 217 0.2% 기타 6,841 4.9% 합계 138,505 100.0% [ 표 3-10] 악성코드유형별악성코드배포수 46 [ 그림 3-16] 악성코드유형별분포 [ 표 3-10] 와 [ 그림 3-16] 는 1 월한달동안발견된악성코드를유형별로구분하여발 견건수와해당비율 (%) 를보여주고있다. 1 월한달동안총 138,505 개의악성코드가발견되었으며이중 Adware 류가 85,898 개로 15,964 개로 2 위를차지한 Trojan 에비해 5 배이상의높은비율을차지하고있다.

(3) 악성코드배포순위 순위 악성코드명 건수 비율 1 - Win-Adware/PointGuard.633344 37,957 38% 2 6 Win-Adware/SaveUcc.253952 19,039 19% 3 - Win-Adware/Onclub.446464 16,575 17% 4 5 Win-Trojan/Xema.variant 5,295 5% 5 1 Win-AppCare/WinKeyfinder.542720 4,405 4% 6 1 Win-AppCare/WinKeygen.94208 4,310 4% 7 2 Win-Downloader/PointGuide.644608 3,491 3% 8 new Packed/Upack 3,236 3% 9 new Win-Trojan/Shutdowner.241664 2,994 3% 10 6 Win-Appcare/RemoveWGA.49664 2,893 3% 합계 100,195 100% [ 표 3-11] 악성코드유형별악성코드배포 Top 10 47 [ 표 3-11] 는 1월한달동안웹사이트에서사이트가드를통해확인된악성코드배포 Top 10을보여주고있다. Top 10에포함된악성코드들의총배포건수는 100,195건으로 1월한달총배포건수 138,505건의 72% 에해당된다. 또한, 전월과동일하게 Win- Adware/PointGuard.633344가 1월에도 1위를차지고하고있으며, 1월에새롭게진입한악성코드는 Packed/Upack, Win-Trojan/Shutdowner.241664가있다. 요컨대, 전반적으로 drive by downloads 형태가증가하고있으며, 지속적으로웹사이트취약점을이용한악성코드배포가급격히증가하고있다. 따라서, 웹사이트관리자는자신이관리하는웹사이트에대한철저한보안패치와사이트점검이필요하며, 사용자는사이트가드와같은웹보안프로그램을설치하여웹에서배포되는악성코드에대한사전차단이필요하다.