IBM X-FORCE 월간위협보고서 이보고서는 IBM ISS의 X-FORCE 1) 취약점분석연구소에서매월발표하는보고서로보안관리자에게그달의주요인터넷위협에대한이슈사항을되짚어봄과동시에주요위협통계자료를제공하고있습니다. 본보고서는 IBM Managed Security Services(MSS) 의결과물로 IBM ISS의 X- FORCE 연구소와개발팀에의해작성되었음을밝힙니다. * 1) IBM의 X-FORCE 취약점분석연구소는취약점이나보안결함을발견하고인터넷위협을추적하는업계최고보안전문연구소입니다. X-FORCE는미국국토안보부, 정부기관, 주, 지역기관을도와미정부의보안기준수립및보안자문을담당하고있습니다. 또한, X-FORCE의연구결과는 IBM 보안솔루션플랫폼의근간을이루며, 제품및서비스로제공하여인터넷위협으로부터기업의중요자산을선제적방어할수있도록구현되고있습니다. 1. 주요보안이슈 1) Storm Worm 의활동재개 2007년 1월중순처음발견돼전세계로퍼져나간스톰웜 (Storm worm) 2) 의활동이스팸메일을통해다양한변종으로다시증가세를보이고있다. 초기첨부파일형태의이메일수신이아닌악성코드를내재한사이트로유도하는링크를메일본문에포함해발송하는방법이주로사용되고있다. 최근사례를보면 e-card 형태나특정그룹, 조직의멤버에게패스워드변경요청메일을보내어메일본문의특정링크를클릭하도록유도하고있다. 사례1) Subject: "funny card", "Thank you ecard", "Animated postcard", (etc). 내용 : Your %varies% has sent you Thank you %Subject% from e-cards.com Click on your card's direct www address below: http://xxx.xxx.xxx.xxx/ Copyright (c) 1996-2007 %Varies% All Rights Reserved 사례2) Subject: User Verification, Member Details (etc.) 내용 : We are glad you joined Net-Jokes. Membership Number: %Varies% Temp Login ID: %Varies%
Temp Password ID: %Varies% Please Change your login and change your Login Information. Or for security purposes please login and change the temporary Login ID and Password.) Follow this link, or paste it in your browser: http://xxx.xxx.xxx.xxx/ Enjoy, Membership Support Department Net-Jokes 최근에는 UCC 사이트인 YouTube의인기를이용한이메일발송을통해서도감염되고있어, 수상한메일본문의첨부파일이나링크클릭시각별한주의가필요하다. 사례 3) YouTube를위장한메일 Subject: Dude your gonna get caught, lol, LOL, that is too cool..., oh man your nutz, LMAO, your crazy man, (etc.) 내용 : OMG, what are you doing man. This video of you is all over the net. this is the link to it. http://www.youtube.com/watch?v=jnxecy3rsqn (points to a different link: http://xxx.xx.xx/) or You can see your face right in the video. its all over the web dude. here is where I found it... http://www.youtube.com/watch?v=lbgmkykltqm (points to a different link: http://xxx.xxx.xxx.xxx/) (Etc) 위메일의본문에포함된모든링크는클릭하면아래그림처럼 YouTube 컨텐츠를다운로드받는것처럼위장하여궁극적으로악성코드를감염시키고있다.
2) Storm worm 2007년 1월에등장한스톰웜 (Storm Worm: CME-711 3) ) 은당시중유럽에폭풍우가발생한실제상황을구실로이메일제목에 "230 dead as storm batters Europe( 폭풍우가유럽을덮쳐 230명이사망 )" 라는가상뉴스를배포하여수신자가첨부파일을열어백도어가설치되도록하는사회공학기법이사용되었다. 다양한변종웜으로발생하고있고, 피콤 (Peacomm), Nuwar등으로도불리고있다. 3) CME-711 - http://cme.mitre.org/data/list.html 2) 가상화시스템에대한공격증가 9월 IBM X-FORCE팀은 VMWare DHCP 서버에악영향을줄수있는원격코드실행취약점을발표하고이에대한보안권고문을발표했다. X-FORCE 연구진에의해발견된이번취약점은가상시스템을다운시키는데사용될수있는취약점으로일단공격자가호스트 OS의통제권한을갖는다면, 추가적인공격에전체가상네트워크로피해가확산될수있는위험성을앉고있다. 원격에서사용자의개입없이공격에성공할수있는이번취약점은취약점발표다음날해당관련공격코드 4) 가인터넷에발표된만큼더욱세심한주의가필요하다. IBM Internet Security Systems가제공한보안권고문 : VMWare DHCP Server Remote Code Execution Vulnerabilities 5) - VMWare Workstation 6.0 Release Notes 6) - CVE-2007-0061 7), CVE-2007-0062 8), CVE-2007-0063 9) VMWare은 IT 산업의중요기술중에하나로 IBM X-FORCE 연구소는 1999년부터 VMWare에대한취약점을지속적으로연구해오고있으며, 오른쪽차트는 1999년부터 2007년 9월까지 VMWare 제품에영향을미치는취약점에대한통계를 X-FORCE 취약점데이터베이스로부터추출한그래프이다. 이통계자료에서흥미로운점이몇가지있는데첫째는가상화기술이급속도로퍼지기시작한 2006 년부터가상화기술취약점을노린공격이크게증가했다. 2006년이후에만전체 VMWare 취약점중 72 퍼센트가발견되었다. 또한, 전체취약점중에서원격에서공격가능한취약점이 57 퍼센트에달했고, 위험도가높은취약점 (High Risk Vulnerability) 도 46 퍼센트에달했다. 가상화시스템의발달은시스템을더욱복잡하고위험한보안환경으로이끌고있다. 가상화환경에서모든공격은물리적인 1대의서버를공격하도록집중되고있고, 그서버가공격당한다면서버에올라
간여러시스템에접근, 통제를허용하는일이발생할수있다. 따라서, 가상화시스템을구축하기전, 반드시보안에대한평가가필요하고또한, 가상화업체는이런보안적이슈를해결하기위해보안업체가제공하는보안기술을가상화솔루션에통합화할수있는오픈환경을제공해야할것이다. 4) VMWare DHCP Overflow 공격코드 ( 등록후보기가능 ) - http://www.immunityinc.com/partners-index.shtml 5) A protection advisory provided by IBM Internet Security Systems: VMWare DHCP Server Remote Code Execution Vulnerabilities - http://iss.net/threats/275.html 6) VMware Workstation 6.0 Release Notes - http://www.vmware.com/support/ws6/doc/releasenotes_ws6.html 7) CVE-2007-0061 - http://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2007-0061 8) CVE-2007-0062 - http://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2007-0062 9) CVE-2007-0063 - http://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2007-0063 3) Zero-days 공격 W32.Downloader.Agent.CRZ 9월 IBM ISS의특허기술인행위기반바이러스방지기술 (Virus Prevention System) 을통해알려지지않은새로운악성코드 ( 멀웨어 ) 2개를발견했다. 첫번째악성코드는 W32.Downloader.Agent. CRZ라고명명된루트킷 (rootkit) 기능을포함한다운로더이며, 스팸을통해전파되거나, xgame.exe 라는파일이름으로전파되고있다. 일단실행되면, 인터넷익스플로러프로세스를생성하며, 생성된프로세스에다운로드코드를삽입시킨다. 웹브라우져를타겟한이프로세스인젝션기술은외부에서연결을필요로하는악성코드사이에서주로사용된다. 그림 1) W32.Downloader.Agent.CRZ 에의해생성된 iexplore.exe 그림 2) 인터넷익스플로러프로세스에악의적인다운로드컨넥션이연결된로그
일반적으로웹브라우져가외부연결을허용하는데스크탑방화벽정책을갖는허용된어플리케이션이라는허점을이용하여데스크탑방화벽을우회할수도있다. VPS 기술은멀웨어가이런악의적인기술인프로세스인젝션기술을사용하는것을사전방어하기위해악의적인행위탐지를기반으로방어하고있다. W32.Downloader.SmallDIB 두번째발견된멀웨어다운로더는 cancel order.exe 라는파일이름을포함하는 ZIP 압축파일형태로전파되고있다. ZIP 파일에는 invoce.html 을포함하고있어사용자가보도록유도하고있으면 invoce.html 을클릭할경우 cancel order. exe 악성코드실행링크와함께오른쪽그림의내용을포함한메시지가열리고, 사용자가만약악성코드를실행시킨다면, 백도어 (W32.Back door.delf.db) 파일이다운로드되고사용자 PC에설치되게된다. 설치된백도어는원격에서공격자가프로그램을종료하거나추가적으로다른파일을다운로드하여실행시킬수있도록허용한다. 또한, 이백도어역시기본설정된웹브라우져에프로세스인젝션을시도하고, 삽입된코드는공격자로부터지령을받은웹서버와통신을한다. IBM ISS의특허기술인행위기반바이러스방지기술 (VPS) 은이악성코드들역시사전탐지, 방어하고있다.
2. 10 월취약점통계 X-FORCE 연구소는 2007년 10월한달동안총 524개의인터넷관련보안위협을연구, 보고했다고발표했다. 이는지난달 (9월) 보다전체취약점개수가 28% 정도늘어난수치로, 올해들어두번째로많은취약점이보고된달로기록되었다. 흥미로운점은공격자가시스템접근을획득하거나기밀정보를획득할수있는심각성이높은취약점은전월대비 9.2% 정도감소하는추세를보였다. 아래그림은공격유형도별로분석한통계자료로앞서설명한공격자가시스템이나어플리케이션의취약점을이용해원격접근또는로컬접근을획득하여임의코드나명령어를실행할수있는공격유형이 57.2.4% 로가장많은부분을차지하고있음을보여주고있다. Vulnerabilities researched by X-FORCE analysts in October 2007 Gain Access ( 접근권한획득 ) 57.2% 공격자가원격접근또는로컬접근을획득할수있는공격. 이공격은공격자가임의코드를실행하거나명 령어를실행할수도있는취약점을포함하고있다. Bypass Security ( 보안장비우회공격 ) 6.2% 공격자가방화벽, 프락시, IDS, 바이러스스캐너와같은보안체계를우회한공격
Gain Privilege ( 권한획득 ) 4.0% 공격자가로컬시스템상에서만권한을획득할수있는공격 Data Manipulation ( 데이터조작 ) 7.2% 서비스나어플리케이션을운영하는호스트가사용하거나저장한데이터를조작하는공격 Denial of Service ( 서비스거부 ) 13.8% 공격자가서비스나시스템을무력화하거나네트워크를무력화하는공격 File Manipulation ( 파일조작 ) 2.3% 공격자가파일을덮어쓰거나수정, 읽기, 삭제, 생성등을하는공격 Obtain Information ( 정보획득 ) 9.5% 공격자가파일명, 경로명, 소스코드, 패스워드, 서버구성정보와같은정보를얻을수있다.