독일의 악성코드 연구와 백신 제품 테스트 연구기관인 AV-Test에서 2010년 12월 31일을 기준으로 업데이트한 자료에 따르면 현재까지 발견된 악성코드 누적 수치가 약 4천 4백 만개 가량 된다고 밝혔다.

해당 연구 기관에서 2009년 7월에 공개한 자료에는 누적 악성코드 수치는 약 2천 백만개 가량, 2010년 4월에 공개한 자료에는 3천 만개 가량 된다고 밝혔으며 2007년부터 악성코드가 급속하게 증가하는 것을 잘 알 수가 있다.

이 번에 공개한 자료에서는 누적 악성코드 수치가 약 4천 4백 만개 가량된다고 밝혀 불과 8개월 사이 악성코드가 1천 4백 만개 가량이 증가한 것을 알 수가 있다.


그리고 2010년 한 해 동안 새롭게 발견된 악성코드는 약 1천 4백만 가량이 되며 이를 일일 단위로 계산하면 하루에만 새롭게 발견되는 악성코드는 약 4만 1 천개 가량이 된다.


이렇게 기하 급수적으로 증가한 악성코드들은 2007년부터 증가하기 시작하였으며 아래 이미지에서와 같이 2007년 전체 발견된 악성코드는 전체 악성코드 분포에서 6% 차지 할 정도로 미비한 수준이다.


이러한 전체 악성코드 분포는 지속적으로 증가하고 있는 실정임으로 이러한 악성코드로부터의 피해를 예방하기 위해서는 사용하는 시스템에 다음과 같은 사항들을 적용하여 피해가 발생하기 전에 주의를 하는 것이 중요하다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.
저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

안철수연구소 ASEC에서 2010년 112월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 Vol.12를 발간하였다.


이 번에 발간한 ASEC Report Vol.12는 2010년 12월과 함께 2010년 전체 보안 위협 이슈와 동향들을 아우르는 년간 보안 위협 동향 리포트로 제작되었다. 그리고 2011년 예측되는 주요 보안 위협 이슈들을 함께 다루고 있다.


이 번에 발간된 ASEC 리포트는 2010년 12월 주요 보안 위협 이슈를 다음과 같이 분석하고 있다.

* 12월 주요 보안 위협 이슈

Master Boot Record를 변경하는 랜섬웨어(Ransomware)
가짜 시스템 점검 유틸리티의 등장
잡지 기사로 위장한 악성코드 유포
Internet Explorer 제로데이 취약점
배너광고를 통한 악성코드 유포
imm32.dll을 패치하는 온라인 게임핵 악성코드, 다수의 사이트에서 유포
특정 업체에서 제공하는 웹 로그 분석기 스크립트를 사용하는 경우

* 2010년 주요 보안 위협 이슈

사회기반 시설을 노리는 스턱스넷(Stuxnet) 등장, 사이버 전쟁의 현실화?
스마트폰 보안 위협, 실질적인 위험으로 거듭나
정보의 허브 SNS, 악성코드의 허브로 악용돼
제 2의 DDoS 대란 유발할 수 있는 DDoS 공격용 악성코드 다수 전파
국제적인 이슈 악용한 사회공학 기법 만연
작은 틈도 노린다! 악성코드 배포 방식의 정교화
제로데이(Zero-day) 취약점 공격, 지속적인 증가 추세
진짜와 똑같은 ‘짝퉁 백신’ 기승
백신 회피하는 악성코드 대거 출현
개인정보 노출에 따른 피싱의 다양화, 고급화
스파이웨어에도 ‘메이드 인 코리아’ 열풍
SNS 시스템의 공격대상 증가
Adobe Reader & Flash Player 제로데이 취약점
자동화된 웹 애플리케이션 취약점을 이용한 유닉스/리눅스 IRCBot 전파
DLL Hijacking 취약점
Internet Explorer 취약점을 이용한 공격 활발
트위터를 이용한 피싱 사이트 등장
SNS의 쪽지 기능을 통해 전파되는 악성코드
트위터 웹 사이트의 크로스 사이트 스크립팅(XSS) 취약점 악용
facebook 패스워드를 리셋 한다는 스팸 메일
McAfee 오진 사고 소식으로 위장해 구글 검색 결과로 허위 백신 유포
도메인명 정책 변경으로 인한 피싱 발생
2010년 중국 보안 위협 동향 정리
중국에서 금전적인 목적으로 판매되고 있는 트로이목마들
MS10-018 취약점, 중국 1,800만 웹 사이트에서 악용
해킹된 웹 사이트를 통한 악성 스크립트 유포 증가
컨피커 웜(W32/Downad)과 오토런(W32/Autorun) 악성코드의 지속적인 피해 발생
불법 갈취 프로그램으로 인한 피해 증가

* 2011년 주요 보안 위협 이슈 예측

소셜 네트워크 서비스를 활용한 다양한 공격 기법 범용화
금전적 목적을 위한 스마트폰 위협의 증가
클라우드 서비스를 악용한 보안 위협
악성코드와 취약점의 다양한 플랫폼으로 확대
무선 인터넷 취약점 노린 위협
소프트웨어 보안기술을 우회하는 기법의 등장
악성코드의 진단 회피를 위한 잠복 능력 지능화
사회 기반 시설과 특정 대상을 목적으로 하는 타깃형 공격 증가 예상
사라지지 않는 DDoS 공격

안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있으며 PDF 파일을 통해서도 전문을 확인 할 수 있다.

ASEC 보안 위협 동향 리포트 Vol.12 발간

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

캐나다 보안 업체인 포티넷(Fortinet)에서 2011년 발생 할 가능성이 높은 주요 보안 위협 이슈들을 정리한 "Top 5 Security Predictions for 2011"을 공개하였다.


이 번 포티넷에서 공개한 2001년 예상되는 주요 보안 위협들은 총 5가지로 정리하였으며 주요 내용들은 다음과 같다.

1. 보안 위협들에 대한 글로벌 협력을 통한 대응 증가

2010년에는 다양한 형태로 글로벌 협력을 통해 보안 위협들에 대응한 사례들이 있었다. 이러한 사례로는 컨피커 워킹 그룹(Conficker Working Group), 제우스(Zeus), 브레도랩(Bredolab), 마리포사(Mariposa)를 들 수가 있다. 2011년에도 역시 이러한 사례들과 유사하게 사이버 범죄로 인해 발생한 다양한 보안 위협들에 대응하기 위해 글로벌적인 협력 기구 또는 사례들이 지속적으로 증가 할 것으로 예측 된다.

2. 악성코드 감염 시스템의 증가

최근에 제작되는 악성코드들은 금전적인 목적으로 제작되는 만큼 감염된 시스템에서 장기간 발각되지 않고 상주하게 된다면 상주하는 시간 만큼 금전적인 이윤을 획득할 수 있게 된다. 장기간 감염 상태를 유지하기 위해 다른 악성코드로 인한 감염을 예방하는 등의 기능을 포함한 악성코드도 존재하는 만큼 2011년에도 금전적인 목적이나 사이버범죄의 한 부분으로 제작되는 악성코드의 감염은 증가할 것으로 예측 된다.

3. 64비트 악성코드의 감염

보안 위협에 대응하기 위해 ASLR(Address Space Layout Randomization), DEP(Data Execution Prevention), 가상화, 패치 가드(PatchGuard), 커널 드라이버 사이닝(Kernel Driver Signing) 그리고 샌드박스(Sandbox)와 같으 기술들이 64 비트 운영체제에 적용되고 있다. 그러나 2011년에는 이러한 보안 기술들을 무력화 시키고 동작하는 64 비트 악성코드들이 증가 할 것으로 예측 된다.

4. 사이버 범죄를 위한 악성코드 유포 증가

금전적인 목적으로 발생하는 사이버 범죄를 위해 제작 및 유포되는 악성코드가 증가 할 것으로 예측된다. 이러한 악성코드는 전문적인 제작자에 의해 비상용 실행 압축 툴, 보안 소프트웨어에 의한 미탐지 테스트 그리고 유포를 위한 시스템 구축 등이 제작될 것이며 2011년도에는 이러한 사이버 범죄의 소스를 제작하기 위한 전문적인 제작자들이 증가 할 것으로 예측된다.

5. 공유되는 악성코드 제작을 위한 정보들

2010년 들어 발생되는 악성코드들을 살펴보게 되면 다양한 업체들에 의해 진단명들이 생성된다. 이러한 원인으로는 악성코드 제작을 위한 커뮤니티 등에서 악성코드 제작을 위한 소스코드와 라이브러리 정보들이 공유되고 있기 때문이다. 이러한 문제로 하나의 악성코드에서 다른 악성코드의 라이브러리를 사용하는 경우도 발생하기도 한다. 2011년에는 사이버 범죄를 위해 더 많은 악성코드 제작을 목적으로 공유되는 악성코드 제작 정보들이 재활용되는 사례들이 증가 할 것으로 예측된다.

포티넷에서 발표한 2011년 주요 보안 위협 예측 자료는 앞서 ASEC에서 언급하였던 트렌드마이크로(Trend Micro)웹센스(Websense)의 2011년 보안 위협 예측 자료들과는 조금 다른 부분에 무게를 두고 있는 것으로 보여진다.

앞서 살펴본 2개의 보안 업체 모두 사이버 범죄에 대한 언급하며 2011년에 주의해야 할 부분으로 살펴보고 있지만 포티넷의 경우에는 이 보다 조금 더 무게를 두고 언더그라운드(Underground)의 활동에 까지 범위를 넓히고 있다.

특히 악성코드 제작에 필요한 자세한 정보들까지 공유되고 있다는 점까지 분석하고 있다는 점에서 2011년에는 사이버 범죄들에 악용되는 악성코드들로 인해 그 피해가 많을 것이라는 예측을 해 볼 수가 있다.

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

미국 보안 업체인 웹센스(Websense)에서 2011년 발생 할 수 있는 보안 위협들에 대해 정리한 "Five Security Predictions for 2011" 을 공개하였다.


이 번 웹센스에서 작성한 2011년 주요 보안 위협 이슈들로 예측되는 5가지를 정리하면 다음과 같다.

1. 스턱스넷(Stuxnet)과 유사한 형태의 보안 위협의 지속 등장

2010년 7월 발견된 스턱스넷은 사회 기반 시스템을 직접적으로 공격한 악성코드로 알려지게 되었다. 2011년에도 역시 이와 유사한 형태의 보안 위협이 발생 할 것으로 예측되며 발생 할 것으로 예측되는 보안 위협들은 국가 기반 시설 시스템들을 공격 대상으로 할 것으로 보여진다.

2. 고도화된 복합적 공격 형태의 보안 위협들

제우스(Zeus)스파이아이(SpyEye)와 같은 복합화된 보안 위협 형태들은 지속적으로 발전하여 새로운 감염 및 유포 기법을 만들어 낼 것으로 예측된다. 현재 발생하는 보안 위협들 역시 스크립트 또는 임베디드(Embedded) 형태가 다수이며 소셜 미디어(Social Media) 역시 악성코드 유포 경로로 많이 악용 될 것으로 예측 된다.

3. 소셜 미디어간 공유되는 데이터들의 증가

블랙햇 SEO(BlackHat Search Engine Optimization) 기법은 구글 검색에 한정되지 않고 페이스북(Facebook)으로까지 발전 할 것이다. 악의적인 해커는 페이스북의 친구 검색 및 추천 알고리즘을 악용하여 허위로 작성된 친구 또는 유명인의 페이스북 페이지로 유도하여 악성코드 감염을 시도 할 수도 있다.
그리고 기업 임직원은 기업 중요 기밀을 소셜 미디어와 같은 공공 웹 페이지에 게시 할 수도 있다.

4. 악성코드 생성기에 빠르게 적용되는 제로 데이(Zero-Day, 0-Day) 취약점과 드라이브 바이 다운로드(drive-by download)의 증가

타켓 공격(Targeted Attack)에 더 많은 제로 데이 취약점을 악용하기 위한 시도가 증가할 것이다. 그리고 데이터 유출 방지(Data Loss Prevention)와 보안 위협을 막기 위한 최신 정보는 기업과 같은 조직에 있어 그 중요성이 더욱 증가하게 될 것이다.

5. 스마트폰(SmartPhone)은 사이버범죄의 공격에 주된 목표로 발전

모바일 장치(Mobile device)에 보관되어 있는 개인 정보와 기업의 기밀 정보가 증가함에 따라 중요 개인 및 기업 정보 탈취를 위한 모바일 장치를 대상으로한 사이버 범죄가 증가 할 것으로 예측된다. 특히 모바일 장치에 포함되어 있는 모바일 웹 브라우저(Web Browser)에 대한 공격 역시 증가할 것으로 예측된다.

이 번에 발표된 웹센스의 2011년 주요 보안 위협 이슈 역시 감염 기법이 더욱 고도화되는 악성코드로 인한 사이버 범죄의 증가를 예상하고 있으며 스마트폰 사용 인구와 환경이 증가함에 따른 모바일 장치에 대한 보안 위협 증가를 예상하고 있다.

2011년에 더욱 고도화 될 것으로 예측되는 보안 위협들로 인한 피해를 사전 예방 할 수 있도록 철저한 대비와 점검이 필요 할 것이다.
저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

트렌드 마이크로(Trend Micro)에서 2011년 발생 할 수 있는 보안 위협들에 대해 정리한 Trend Micro 2011 Threat Predictions 을 공개하였다. 그리고 이와 함께 2 페이지 분량의 별도 보고서인 "TREND MICRO THREAT PREDICTIONS FOR 2011"도 작성하였다.

트렌드 마이크로에서 분석하고 있는 2011년 예측되는 보안 위협들은 총 10가지로서 다음과 같이 설명하고 있다.

1. 클라우드(Cloud) 서비스에 요구되는 보안

클라우드 서비스와 가상화 인프라에 대한 공격이 2011에 증가 할 것으로 예측됨으로 이러한 인프라에 보안이 과거에 비해 더욱 요구 될 것이다.

2. 타켓 공격(Targeted Attack)와 사이버 스파이 활동의 증가

중소 규모의 기업들이 사이버 스파이 활동의 주요 대상이 될 가능성이 높으며 타켓 공격과 국지화된 공격 양상은 2011년에도 지속적으로 증가 할 것으로 예측하고 있다.

3. 사이버 범죄의 증가

제우스(Zeus)스파이아이(SpyEye) 악성코드 제작 그룹의 합병과 같이 사이버 범죄 조직간의 합병들이 발생 할 것이며, 이로 인해 사이버 범죄 역시 증가 할 것으로 예측 된다.

4. 사회 공학(Social Engineering) 기법의 고도화

사회 공학 기법의 고도화된 악용으로 전자 메일이나 웹 사이트의 URL 등을 악용한 악성코드 유포가 증가 할 것이다.

5. 악성코드 기법의 고도화

합법적인 전자 서명을 도용하거나 위조함으로 안티 바이러스(Anti Virus) 소프트웨어의 탐지를 회피하는 형태의 악성코드가 증가 할 것이다 그리고 랜덤 도메인 생성 알고리즘을 사용하는 악성코드와 자바 기반의 취약점을 악용하는 APT(Advanced Persistent Threats) 형태의 보안 위협이 증가 할 것이다.

6. 취약점 악용의 고도화

운영체제, 일반 소프트웨어와 웹 브라우저 등에 존재하는 취약들의 복합적인 악용이 증가 할 것으로 예측 된다.

7. 보안 업체 브랜드(Brand)를 대상으로한 공격

사이버 범죄에 의해 보안 업체 브랜드를 대상으로 한 공격이 증가 할 것이다. 이로 인해 일반 사용자들은 혼동과 불안전성이 발생 할 것이다.

8. 모바일 디바이스(Mobile Device)에 대한 공격 증가

스마트 폰(Smart Phone)과 모바일 장치에 대한 실질적인 공격들이 발생하지는 않을 것으로 보이나 개념 증명(PoC, Proof of Concept) 형태의 공격은 지속적으로 증가할 것이다.

9. 오랜된 악성코드의 재감염 현상

악성코드의 기하 급수적인 증가로 인해 악성코드 진단하기 위한 시그니처가 거대해 짐에 따라 과거에 발견되었던 오래된 악성코드(In-the-Zoo)들의 시그니처들을 제거하는 보안 업체가 발생 할 것이다. 이로 인해 현재 활동하지 않는 과거의 악성코드에 다시 감염되는 현상이 발생 할 수 있다.

10. 레거시 시스템(Legacy Systems)에 대한 공격

범용적으로 사용되는 보안 패치가 적용되지 않은 레거시 시스템(윈도우 2000, XP)과 임베디드 시스템(Embedded System) 등에 대한 타켓 공격이 발생 할 수 있다.

트렌드 마이크로에서 공개한 2011년 예측되는 주요 보안 위협 이슈들을 종합해보면 클라우드와 가상화 그리고 모바일 장비 같은 새로운 인프라에 대한 보안과 함께 이들과 상반되는 레거시 시스템에 대한 보안도 역시 중요하다고 언급하고 있다.

그리고 취약점의 악용, 악성코드 기법 그리고 사회 공학 기법의 고도화는 자연스레 사이버 범죄들의 증가를 유발 시키는 촉매들로 작용할 것이라는 해석을 해 볼 수 있다.

2011년에 더욱 고도화 될 것으로 예측되는 보안 위협들로 인한 피해를 사전에 예방 할 수 있도록 철저한 대비와 점검이 필요 할 것이다.
저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

안철수연구소 ASEC에서 2010년 11월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 Vol.11를 발간하였다.
 


이 번에 발간된 ASEC 리포트는 2010년 11월 주요 보안 위협 이슈를 다음과 같이 분석하고 있다.

* 11월 주요 보안 위협 이슈

한국 내 CVE-2010-3962 취약점 악용 악성코드 증가
국제행사를 사칭하여 전파된 악성코드들
페이스북(facebook) 채팅 메시지로 유포되는 악성코드
경찰청 사칭 악성 스팸메일
G20 정상회의 관련 자료 위장 스팸메일
아시안 게임 관련 문서로 위장한 악성코드
인터넷 익스플로러 제로데이(0-day) 취약점 지속 발견
인터넷 트래픽의 15%가 중국으로 흘렀다?
OWASP 2010 TOP 4

안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있으며 PDF 파일을 통해서도 전문을 확인 할 수 있다.


저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

안철수연구소 ASEC에서 2010년 10월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 Vol.10를 발간하였다
 


이 번에 발간된 ASEC 리포트는 2010년 10월 주요 보안 위협 이슈를 다음과 같이 분석하고 있다.

* 10월 주요 보안 위협 이슈

스턱스넷(Stuxnet) 웜의 전용백신으로 위장한 악성코드 등장
메일 본문이 이미지로 제작된 허위 USPS 운송 메일 유포
국내에 감염 보고가 많았던 패리티(Parite)와 팔레보(Palevo)
안드로이드폰의 성인 동영상 플레이어로 위장한 악성코드
스마트폰 사용자의 사생활을 침해하는 스파이웨어
LNK 취약점(CVE-2010-2568)
Firefox 0-Day 취약점(CVE-2010-3765)
MS10-018 취약점 공격 악성코드 증가

안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있으며 PDF 파일을 통해서도 전문을 확인 할 수 있다.

ASEC 보안 위협 동향 리포트 Vol.10 발간

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

최근 몇 년 사이 악성코드와 같은 보안 위협들이 금전적인 목적으로 제작되고 유포되는 것이 알려져 있다. 이러한 사실은 2009년 9월 알려진 개인 신용카드 정보 판매, 2010년 3월 알려진 Palevo 웜 생성기의 금전 거래 그리고 2010년 3월 알려진 중국 트로이목마 생성기 금전 거래 등을 보더라도 금전적인 목적으로 보안 위협들이 대량 생산된다는 것을 잘 알 수가 있다.


이러한 금전적인 목적으로 제작되는 악성코드들을 안티 바이러스(Anti-Virus) 제품으로 진단이 되는지 여부를 테스트 해주는 웹 사이트가 발견하였다. 이 번에 발견된 웹 사이트는 2009년도 경에 제작된 것으로 보여지며 해당 웹 사이트는 러시아와 영어 2가지 언어가 제공 되고 있었다.


그리고 금전적인 댓가를 지불하게 되면 해당 웹 사이트에서 제공하는 안티 바이러스 제품들에서 특정 파일들을 검사하여 어떠한 안티 바이러스 제품에서 진단이 되는지를 파악할 수 있도록 되어 있다. 그리고 해당 웹 사이트의 서비스를 이용과 관련한 기술지원 서비스들은 인스턴트 메신저(Instant Messenger)를 통해 지원하고 있었다.

검사를 지원하는 안티 바이러스 제품은 총 40개로 전 알려진 안티 바이러스 제품들은 거의 대부분이 포함되어 있으며 이 중에는 안철수연구소의 V3 인터넷 시큐리티(Internet Security) 8.0과 하우리(Hauri)의 바이로봇(ViRobot) 5.5도 포함되어 있다.


해당 웹사이트에서는 10 달러(한화 약 11,200원)에 15회 검사, 15 달러(한화 약 16,800원) 그리고 25 달러(한화 약 28,000원)에 40회 검사 가능하도록 가격을 책정하고 있으며 이 외에 40 달러(한화 약 44,800원)과 50 달러(한화 약 56,000원)을 지불할 경우 VIP 회원으로 무제한 검사와 원격 검사 기능까지 제공하고 있었다.

이러게 금전적인 댓가를 통해 다양한 안티 바이러스 제품들에서 진단 여부를 검사해주는 웹 사이트는 악의적인 목적으로 제작한 악성코드의 진단 여부를 확인 하는 테스트의 목적이 강하다고 할 수 있다. 그리고 테스트 여부에 따라 안티 바이러스 제품들에서 더욱 탐지가 어려운 형태의 악성코드를 지속적으로 제작 가능하도록 한다고 할 수 있다.
저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

안철수연구소 ASEC에서 2010년 9월과 3분기 동안 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 Vol.9를 발간하였다
 


이 번에 발간된 ASEC 리포트는 2010년 9월과 3분기 주요 보안 위협 이슈를 다음과 같이 분석하고 있다.

* 9월 주요 보안 위협 이슈

해킹된 트위터(Twitter) 계정을 통해 전파되는 가짜 트윗덱(TweetDeck) update 악성코드
악성 html 파일을 첨부한 스팸메일
Here you have 라는 제목을 갖는 메일로 확산된 악성코드
다시 돌아온 ARP Spoofing 악성코드
아이폰(iPhone) 탈옥툴을 위장한 악성코드
Adobe사의 Flash 취약점(CVE-2010-2884)
Adobe Acrobat Reader 0-Day 취약점(CVE-2010-2883)
Apple QuickTime 제로데이 취약점
침해 사이트 Case Study: ARP Spoofing과 Onlinegamehack의 결합
SNS의 쪽지 기능을 통해 전파되는 악성코드 주의
트위터 웹 사이트의 크로스 사이트 스크립팅 취약점 악용

* 2010년 3분기 보안 위협 이슈

7.7 DDoS 공격을 돌아보며
국산 프리웨어로 위장한 미투데이, 트위터 관련 악성코드
정상 백신을 사칭하는 가짜 백신
스마트폰 악성코드의 본격적인 등장
Adobe Reader & Flash Player 제로데이 취약점(CVE-2010-1297)
자동화된 웹 어플리케이션 취약점을 이용한 유닉스/리눅스 IRCBot 전파
DLL Hijacking 취약점
콘솔 게임기에서 동작하는 악성코드

* 칼럼

중국산 시작페이지 고정형 악성코드의 배포 방법 및 예방법

안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있으며 PDF 파일을 통해서도 전문을 확인 할 수 있다.

ASEC 보안 위협 동향 리포트 Vol.9

저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC

중국 보안 업체 중 하나인 지앙민(JiangMin)에서 2010년 상반기 동안 중국 대륙에서 발생한 다양한 보안 위협들에 대해 정리한 보고서를 중국 CNET "江民2010年上半年全国计算机病毒暨网络安全报告"를 통해 발표하였다.


이 번에 지앙민에서 발표한 중국 대륙에서 발생한 다양한 보안 위협들에 대해 크게 악성코드 동향과 주요 악성코드들 그리고 자주 악용된 소프트웨어 취약점 3부분으로 나누어서 발표하였다.

1. 2010년 상반기 중국 대륙의 악성코드 동향

2010년 중국 대륙에서 발생한 악성코드들은 지앙민에서 집계한 기준으로 총 7,584,737개가 발견된 것으로 밝히고 있다. 이 중에서 트로이목마가 4,454,277개가 발견되어 전체 악성코드 분포면에서 약 58%를 차지하고 있으며 백도어 형태가 623,791개가 발견되어 전체에서 약 8%를 차지하고 있다.

그리고 애드웨어 형태가 223,639개로 약 3%를 취약점을 악용하는 악성코드가 166,359개 약 2% 정도를 차지하고 있는 것으로 밝히고 있다. 그리고 악성코드 형태의 분포면에서는 웜(Worm)이 약 13%를 차지하고 있으며 스크립트 형태의 악성코드와 매크로 바이러스가 약 0.02%를 차지하고 있는 것으로 밝히고 있다.


지앙민에서는 2010년 상반기 동안 발견한 악성코드들의 수치를 각 월별로 그래프화 한 것이 아래 이미지와 동일하다.


지앙민에서는 2010년 3월이 상반기 중에서 가장 많이 악성코드에 감염된 시스템이 발생 한 것으로 밝히고 있다. 3월에 가장 많은 시스템이 감염된 것에 대한 원인으로 지앙민에서는 3월 9일 발생하였던 MS10-018 인터넷 익스플로러 취약점을 악용한 악성코드의 대거 등장인 것으로 분석하고 있었다.

특히 해당 MS10-018 취약점은 최초 발생하였던 3월 9일을 기점으로 하여 3주간 중국 대륙에 존재하는 웹 사이트의 80%가량이 해당 취약점을 악용하는 악성코드들이 유포된 것으로 지앙민에서 분석하였다. 3월 31일 마이크로소프트(Microsoft)에서 해당 취약점에 대한 보안 패치를 배포 한 이후인 4월에는 악성코드에 감염된 시스템들이 감소하는 현상이 발생하였다.

그러나 5월에 접어들면서 중국 대륙에서는 Conficker 웜이 확산되기 시작하여 이에 감염된 시스템이 증가함으로 인해 전체 악성코드 감염 수치가 다시 증가하였다. 지앙민에서는 Conficker 웜에 감염된 시스템의 증가로 인해 전체 악성코드 감염 수치가 5월에는 4월과 비교하여 약 20% 가량 증가한 것으로 보고 있었다.

2. 2010년 상반기 중국 대륙의 주요 악성코드

1) 온라인 게임 관련 트로이목마

2009년 하반기 부터 중국 대륙에서는 Trojan/PSW.Magania(V3 진단명 - Win-Trojan/OnlineGameHack) 트로이목마 변형들이 발견되기 시작하여 2월달까지 많은 확산이 이루어졌으나 3월달에 접어들면서 급격한 감소 현상이 발생한 것으로 보고 있다.

특히 온라인 게임의 사용자 정보와 암호를 외부로 유출하는 악의적인 행위로 인해 중국 대륙 내에서 온라인 게임을 즐겨하는 사용자들에게 큰 위협의 대상이 되었다.

2) 네트워크로 전파되는 Conficker 웜

2008년 11월부터 전 세계적으로 유포되어 터넷 역사상 최악의 보안 위협들 중 하나로 선정된 바가 있는Conficker 웜은 중국 대륙내에서도 역시 급속한 확산을 보였었다.

앞서 언급한 바와 같이 2010년 5월에 급속한 감염이 이루어졌던 Conficker 웜은 마이크로소프트의 윈도우(Windows) 운영체제에 존재하는 MS08-067 취약점을 악용함과 동시에 이동형 저장 장치 그리고 윈도우의 취약한 사용자 암호를 통해 전파되는 특징들로 인해 중국내에서 급속한 확산이 이루어진 것으로 분석하고 있었다.

3) 인터넷 익스플로러의 취약점을 악용하는 악성코드

지앙민에서는 2010년 상반기의 주요 악성코드들 중 하나로 인터넷 익스플로러(Internet Explorer)의 취약점을 악용한 악성코드들로 보고 있었다.

2010년 상반기에는 인터넷 익스플로러와 관련된 취약점들이 상반기에는 1월 15일 발생하였던 MS10-002 인터넷 익스플로러 취약점 그리고 3월 9일 발생하였던 MS10-018 인터넷 익스플로러 취약점이 존재한다. 해당 2건의 취약점으로 인해 중국 대륙 내부에서는 다양한 형태로 해당 취약점들을 악용하는 악성코드가 발생하였으며 앞서 살펴본 바와 같이 3월에는 악성코드 감염 수치가 크게 증가하는 문제가 발생하였다.

4) 바탕화면의 인터넷 익스플로러 바로가기 파일을 조작하는 악성코드

중국 대륙에서도 온라인을 통해 웹 사이트 접속율이 크게 증가함에 따라 인터넷 익스플로러의 특정 레지스트리를 조작하여 윈도우 바탕화면에 존재하는 바로가기 파일이 연결하는 웹 사이트를 변경한 후 의도하지 않은 웹 사이트로 접속을 유도하는 형태의 악성코드가 증가하기 시작하였다.

5) 광고를 목적으로 제작된 스크립트 악성코드들

특정 상품들을 광고하기 위한 목적으로 제작된 애드웨어는 2010년 상반기 중국 대륙에서 스크립트 형태의 악성코드로 발견되었다.

해당 스크립트 악성코드는 윈도우 바탕화면에 다수의 광고성 웹 사이트로 접속을 유도하는 허위 바로가기 파일을 생성하고 레지에디터(Regedit)와 같은 윈도우 시스템 관련 파일들의 실행을 방해하는 특징들이 존재한다.

3. 2010년 상반기 중국 대륙에서 악용된 주요 보안 취약점

2010년 상반기 중국 대륙에서 가장 많이 악용된 주요 보안 취약점은 단연 마이크로소프트에서 제작된 소프트웨어들이 차지하고 있다.


그 중에서도 지앙민에서는 MS10-018 인터넷 익스플로러 취약점(CVE-2010-0806), MS10-002 인터넷 익스플로러 취약점(CVE-2010-0249) 그리고 MS09-002 인터넷 익스플로러 취약점(CVE-2009-0075) 순서로 발생하고 있다고 한다.

특히 전체 악용되는 보안 취약점들 중에서 마이크로소프트가 차지하고 있는 비중이 약 60% 정도가 된다고 언급하며 윈도우와 인터넷 익스플로러 관련 보안 취약점의 악용이 특히나 심각한 것으로 보고 있었다.

이러한 웹 브라우저 관련 취약점들을 악용한 사례가 증가함에 따라 중국 대륙에서 서비스 되는 동적 도메인 네임 서비스(DDNS, Dynamic Domain Name Service)들 역시 악의적인 목적으로 악용되고 있었다.

특히 3322.org, 2288.org, 9966.org 그리고 8866.org와 같은 도메인 명칭으로 악성코드가 유포되는 것을 지앙민에서는 파악하였다고 한다. 그 중에서는 악성코드를 유포하기 위해 하위 도메인 네임으로 17,576개를 생성한 사례도 발견되었다고 한다.

이러한 동적 도메인 네임 서비스를 이용하여 악성코드를 유포하는 행위가 중국 대륙 내부에서 6월 이후에 서서히 감소 추세에 있는 것으로 분석하고 있었다.

2010년 상반기 중국 대륙 내부에서 발생한 다양한 보안 위협들을 정리한 지앙민에서는 2010년 하반기 역시 금전적인 목적의 악성코드 제작이 더욱 심화 될 것으로 예측하고 있었다.
저작자 표시 비영리 변경 금지
신고
Creative Commons License
Creative Commons License
Posted by AhnLab_ASEC