세상에서 가장 안전한 이름, 안철수연구소

안철수연구소, 서울시와 함께 건전한 전자상거래 구현 위한 MOU 체결

(ahnlab) — Wed, 20 Aug 2008 17:25:41 +0900

안철수연구소는 서울특별시와 함께 건전한 전자상거래 구현을 위한 양해각서를 체결하였습니다.
이번 양해각서 체결을 통해 서울시전자상거래센터에서 보유하고 있는 국내외 사기 사이트, 휴먼사이트 등 유해 쇼핑몰 정보 데이터를 안철수연구소의 위험 사이트 사전 차단 서비스인 '사이트가드'에 탑재해 개인들에게 무료로 제공함으로써, 사용자들이 안전하게 인터넷 쇼핑을 할 수 있게 됐습니다.

이와 함께 안철수연구소는 서울시와 공동으로 사기쇼핑몰, 악성코드 유포사이트 등 인터넷의 위험요소에 대한 경각심과 대처방안에 대한 홍보활동을 통해 건전한 전자상거래 환경을 조성하고 유해 쇼핑몰의 소비자피해를 예방하기 위해 상호 협력키로 했습니다.

개인 사용자는 누구나 서울시전자상거래센터 홈페이지나 안철수연구소 홈페이지 또는 ‘사이트가드’ 전용 웹사이트에서 무료로 다운받아 PC에 설치할 수 있습니다.

국내에서는 처음으로 출시한 ‘사이트가드’는 사용자가 악성코드 유포 사이트나 사기 사이트, 피싱 사이트에 접속을 시도할 경우 사전에 차단하여 개인 정보를 보호하는 신개념 보안 서비스입니다.

‘사이트가드’의 주요 기능은 첫째, 안철수연구소가 개발한 통합보안 엔진인 ‘TS(Total Security) 엔진’을 기반으로, 악성코드를 유포하는 페이지나 피싱 사이트에 접속할 때 실시간으로 경고 및 차단해줍니다.

둘째, 포털 사이트에서 검색 시 1차 검색 결과 화면에 해당 페이지의 안전 여부를 표시해 사용자들이 접속 여부를 판단하도록 도와줍니다.

셋째, 파일 다운로드 시 악성코드 유무를 검사해 감염된 파일을 삭제해 주며, 넷째, 접속하려는 웹사이트가 해킹 등에 의해 변조된 사이트가 아닌지 검사해 알려줍니다.

안철수연구소, 초고속 ‘V3 365 클리닉 2.0’ 출시

(ahnlab) — Tue, 19 Aug 2008 16:59:41 +0900

안철수연구소는 19일 PC 종합주치의 개념의 고품격 온라인 보안 서비스인 ‘V3 365 클리닉 2.0’을 출시했습니다. 이는 지난 4월 말 출시한, 종합적인 보안 소프트웨어와 서비스가 웹 기반으로 결합된 세계 최초의 모델인 ‘V3 365 클리닉’을 100일 만에 대폭 업그레이드한 것입니다.

‘V3 365 클리닉 2.0’은 안철수연구소의 차세대 보안 제품 플랫폼인 ‘V3 뉴 프레임워크(V3 New Framework)’가 최초로 적용된 제품입니다. ‘V3 뉴 프레임워크’는 급변하는 인터넷 환경 및 고객의 요구 변화를 빠른 시간 안에 효율적으로 대처하기 위해 새롭게 개발된 혁신적 플랫폼입니다.

V3 뉴 프레임워크란?

‘V3 뉴 프레임워크’가 적용됨에 따라 ‘V3 365 클리닉 2.0’은 소프트웨어(애플리케이션), 웹 서비스, 원격 지원 영역 중 소프트웨어의 성능이 획기적으로 향상됐습니다.

악성코드 검사 속도가 종전의 약 2배로 빨라졌으며, 메모리 점유율은 절반 이하로 줄어드었습니다. 즉, 안티바이러스 엔진과 안티스파이웨어 엔진의 검사 방식의 개선으로 악성코드 검사에 소요되는 시간이 약 2배 빨라졌습니다. 또한 검사 시 메모리 사용량이 60% 이상 줄어 시스템 부하가 현격하게 줄었습니다. 또한 설치 파일의 크기가 1/10 수준으로 초경량화해 다운로드 및 설치하는 데 드는 시간이 대폭 짧아졌습니다.

이 밖에도 사용자가 원하는 기능만 선택하여 설치할 수 있으며, 모든 기능이 임베디드된 형태로 수행되어 간편하고 통일성 있는 사용자 환경(UI)을 제공합니다. 파일 조각모음 기능도 기존 10일 이내에 사용된 파일만 해당되던 것에서 윈도의 디스크 조각모음과 동일하게 기간 제한이 없어졌으며, 폴더 단위의 디스크 조각모음 기능이 추가돼 사용성이 높아졌습니다.

또한 ‘V3 365 클리닉 2.0’은 전문가가 원격으로 사용자의 PC에 접속해 다양한 문제를 해결해주는 ‘PC주치의’ 서비스의 회수를 종전의 연 8회에서 무제한으로 확대했습니다. ‘PC주치의’는 악성코드 치료, 보안 패치 적용, 암호 설정 같은 보안 문제 해결뿐 아니라 장애 조치, 문서 편집 등 일반적 PC 사용법까지 안내해주는 서비스로, 한국적 환경에 맞게 사용자와 전문가가 상호 소통하는 양방향(interactive) 서비스로서 의미가 크다고 할 수 있습니다.

‘V3 365 클리닉 2.0’은 보안의 개념을 단편 제품 및 기술 차원에서 고객의 관점으로 바꾸어 온라인 및 오프라인 고객지원과 전문가 서비스, 보안 정보의 올바른 가이드, 긴급 대응 체계 등의 전방위 케어를 통해 보안 위협 요소 제거를 비롯해 종합적으로 PC의 상태를 점검하고 문제를 해결해주는 이른바 ‘종합주치의 서비스’입니다. 신종 보안 공격에 실시간 대응할 수 있는 24시간 365일 긴급 대응 인프라에 의해 서비스된다는 것이 장점이라 할 수 있습니다. 안철수연구소는 세계적 수준의 보안 전문가들로 구성된 전담 조직이 전세계의 보안 위협 발생 현황을 모니터링하고 대응 기술을 개발하고 있으며, ‘V3 365 클리닉’만이 독보적으로 제공하는 기능에는 파일 완전 삭제, PC 최적화, 인터넷 하드 등이 있습니다.

안철수연구소는 ‘V3 365 클리닉 2.0’의 본격 출시에 앞서 7월 30일부터 8월 10일까지 체험 테스트를 진행했습니다. 테스트에는 2000명을 선정해 향상된 성능에 대해 “깨끗하고 날쌔고 빠른 이미지로 거듭났다.” “확실히 가벼워졌다.” 등의 소감을 남겼습니다. 또한 참여자들은 개선할 점에 대한 의견을 적극 개진했는데, 이런 테스터의 의견이 추가로 반영돼 ‘V3 365 클리닉 2.0’이 출시됐습니다. 이는 사용자 참여의 웹2.0 정신이 구현된 대목이라 할 수 있습니다.

‘V3 365 클리닉 2.0’은 사용자의 요구에 따라 선택 구매할 수 있습니다. 즉, 소프트웨어와 웹 서비스(MyV3, SpyZero, 인터넷 하드), 전화 지원을 원하는 경우 ‘V3 365 스탠다드’를, ‘V3 365 스탠다드’에 추가로 원격 설치 및 PC 점검을 받고자 하면 ‘V3 365 플러스’를, ‘V3 365 플러스’에 원격 지원을 추가하려면 ‘V3 365 PC주치의’를 선택하면 되고, 1년 사용료는 각각 39600원, 45100원, 67100원입니다.

안철수연구소는 하반기에 개인정보보호 기능을 강화한 차기 버전을 개발할 예정이며, 자녀의 안전한 PC 사용을 위한 ‘키즈 케어’, 소규모 사업자를 위한 ‘SMB 케어’ 등을 단계적으로 출시할 계획입니다.

[ASEC리포트 7월호]스파이웨어 유포, 국산은 주춤 해외는 증가

(ahnlab) — Tue, 12 Aug 2008 16:27:19 +0900

2008년 들어 국내 샘플 접수는 점차 감소하고 국외 샘플 접수량이 증가하는 추세를 보이고 있다.
특히 최근에 접수된 해외 샘플 중 허위 안티-스파이웨어인 안티바이러스2008(Win-Adware/Rogue.AntiVirusXP20008)의 경우 여러 감염경로를 가지고 있다. 그 중 젤라틴 웜(Win32/Zhelatin.worm)을 이용하여 악의적인 웹 페이지 경로를 통하여 배포하고 있어 그 피해가 점차 증가되고 있는 상황이다.

최근 스파이웨어 유포 방식과 피해

악성코드가 유포되는 다양한 경로를 아래 [그림 1]과 같이 종합적으로 도식화하였다

[그림 1] 악성코드 유포 경로

1. 악의적인 웹 페이지 게시
악성코드 배포자는 정상적인 웹사이트를 해킹하여 정상적인 웹 페이지를 조작하거나, 악의적인 웹 페이지를 숨겨 놓거나, 특정 사이트 게시판에 악의적인 글을 작성한다. 이는 마치 신뢰된 사이트에서 제공하는 링크인 것처럼 보이게 하며, 일반 사용자들이 무의식적으로 클릭을 하게 되면 공격자가 의도한 웹 페이지로 접속하게 된다

스파이웨어 배포를 위하여, 동영상을 보기 위한 코덱 설치 유도와 같은 방식 등 다양한 사회 공학적 기법이 많이 사용되고 있는데, 점차 사용자의 보안 인식이 높아지고 보안 패치가 적용되는 PC가 증가함으로써 스파이웨어 배포를 위한 새로운 방법으로 기존의 악성코드 유포 방식이 사용되고 있다.

2. 웜 배포
1번에서 스파이웨어 배포자가 작성한 웹 페이지 경로를 이메일 내용에 포함시켜서 이메일 웜을 통하여 일반 사용자가 해당 웜 이메일을 클릭하여 스파이웨어가 배포되도록 한다.

[그림 2] 악의적인 이메일 전송 화면

위 [그림 2]는 특정 메일이 APF(Ahnlab Personal Firewall) 2004에 의해 전송 실패된 로그 화면으로 메일 내용은 [그림 3]과 같다.

[그림 3] 유명 뉴스관련 메일로 위장한 악의적인 이메일

3. 사용자가 악의적인 웹 페이지에 접속
[그림 3]과 같이 유명 뉴스 사이트에서 보내온 것처럼 꾸며진 이메일을 받고 사용자는 아무런 의심 없이 메일내용을 확인하게 된다.
메일 내용 중에 관심 있는 글을 자세히 보기 위해 글 제목을 클릭하게 되면 사용자가 원하는 페이지는 보이지 않고 1번에서 작성한 악의적인 웹 페이지가 나타나게 된다.

4. 취약점을 이용한 악성코드 유포
이렇게 악의적인 웹 페이지까지 접근한 사용자가 의심하고 프로그램 설치를 하지 않을 경우를 대비하여 취약점을 이용한 스파이웨어 설치 기능이 포함되어 있다. 아래 [그림 4]와 같은 코드로 인해 윈도우 시스템이 패치되지 않은 사용자에 한해서 사용자의 클릭여부와는 상관없이 자동으로 스파이웨어가 다운로드 되고 실행된다.

[그림 4] 취약점을 이용한 악성코드 배포 스크립트

[그림 4]를 자세히 살펴보면 하나의 취약점을 이용하는 것이 아니라 다양한 취약점들을 각각의 함수로 작성하여 순차적으로 실행되도록 하였다. 더욱이 사용된 취약점들을 살펴보면 윈도우 취약점인 MS06-014 뿐만 아니라 국내 인기 프로그램인 "곰플레이어"의 취약점 을 이용한 코드도 존재하였다.

5. 사회공학 기법을 이용한 악성코드 유포
위에서도 간략히 언급한 바와 같이 최근에는 윈도우의 보안이 보다 강화되었고 보안에 대한 사용자 인식이 높아져 보안패치 및 안티-스파이웨어 제품을 설치하여 사용하는 사용자들이 증가되어 취약점 등을 이용한 웬만한 기술로는 사용자 PC에 접근하기가 어려워졌기 때문에 스파이웨어 배포자들은 사회 공학적 기법을 사용한다.

스파이웨어 배포를 위하여 주로 사용되는 사회 공학적 기법으로는 특정 동영상을 보기 위하여 추가적인 프로그램 설치를 유도하거나, 검색 포털 인기 검색어 TOP10에 해당하는 키워드로 악의적인 게시물을 작성하거나, 사용자 동의를 받기 위해 제공하는 약관을 읽기 어려운 형태로 제공하거나, 불공정 약관을 제공하는 등의 방법이 악용되고 있다.

6. 결제 유도
지금까지 살펴본 방법으로 악의적인 웹 페이지에 접속했을 때, 사용자 PC에는 여러 스파이웨어가 설치된다. 설치된 스파이웨어 중 스파이웨어 즐롭(Win-Spyware/Zlob)은 사용자 시스템 설정을 변경하여 사용자에게 공포심을 유발한다. 자세한 감염증상은 뒷부분에서 살펴보겠다.
스파이웨어 즐롭에 의해서 사용자가 시스템이 이상한 것을 느끼고 있을 때, 스파이웨어 즐롭에 의하여 설치된 허위 안티-스파이웨어인 "안티바이러스XP2008"이 동작하여 시스템 검사 결과 많은 스파이웨어가 발견되었다고 [그림 5]와 같이 메시지를 출력한다.

[그림 5] "안티바이러스XP2008"의 허위 시스템 검사 결과 출력

결국 불안감을 느낀 사용자는 "안티바이러스XP2008" 허위 안티-스파이웨어로 치료를 하려고 할 것이고, 치료를 위해서는 아래 [그림 6]과 같은 결재 페이지가 나타난다.

[그림 6] "안티바이러스XP2008"으로 치료하기 위해 결제를 요구하는 화면

7. 또 다른 악성코드 유포
위에서 살펴본 봐와 같이 결국 스파이웨어는 사용자로부터 금전적 이득을 취하기 위해 다양한 방법을 사용하고 있는 것을 살펴 보았다. 그러나 스파이웨어 배포자는 여기서 더 나아가 허위 안티-스파이웨어인 "안티바이러스XP2008"을 불법으로 사용하기 위해 크랙을 찾는 사용자들을 위해 크랙을 가장한 스파이웨어도 미리 배포해 놓은 상태이다.

[그림 7] "안티바이러스XP2008" 크랙을 다운로드 받는 웹 페이지

따라서 사용자는 "안티바이러스XP2008" 크랙 파일을 다운로드 받아 실행할 경우 또 다른 스파이웨어에 감염된다.

스파이웨어의 증상

사용자 PC에 설치된 스파이웨어가 사용자 시스템 설정을 변경하여 사용자의 불편함을 초래하거나 공포심을 유발하는 대표적인 증상들을 살펴보면 다음과 같다.

"안티바이러스XP2008"은 윈도우 시스템 복원 기능을 변경함으로써 일반 사용자가 시스템을 복원하지 못하도록 방해하는 기능이 포함되어 있다. 이러한 기능으로 기존에 저장된 시스템 복원 시점을 모두 잃을 수 있어 높은 위험도를 가지고 있다.

[그림 8] 윈도우 시스템 복원 데이터 조작 결과

"안티바이러스XP2008"은 바탕화면과 화면보호기를 변경한다. 사용자가 변경된 설정을 바꾸기 위해 디스플레이 등록 정보를 실행시켰을 때, 스파이웨어에 의해서 변경할 수 있는 인터페이스를 숨겨놓은 상태이다.

[그림 9] 디스플레이 설정 변경

드랍퍼 즐롭(Win-Dropper/Zlob.376068)은 사용자의 불안감을 유발시키기 위해 "내 컴퓨터"에 등록된 하드 드라이브를 숨기고, 시스템 날자 표기방법을 변경하여 파일 모니터링 도구에서 시간이 표기되는 부분에 "VIRUS_ALERT!" 라는 문구를 삽입하는 등 여러 시스템 설정을 변경한다.

[그림 10] "내 컴퓨터"에 등록된 하드 드라이브 숨김

[그림 11] 시스템 날짜가 변경된 화면

국외 스파이웨어가 증가하면서 국내에서는 좀처럼 접하기 힘들었던 일본 허위 안티-스파이웨어인 세이그요(Win-Adware/Rogue.VirusSeigyo)가 ALJ(AhnLab Japan)으로부터 접수되어 진단 추가되었다.

[그림 12] 일본판 허위 안티스파이웨어인 세이그요 메인 화면

[ASEC리포트 7월호]오픈오피스 취약점

(ahnlab) — Tue, 12 Aug 2008 16:22:26 +0900

"OpenOffice.org"(이하 오픈 오피스)는 줄여서 OOo, OO.o 등으로도 불리며 http://www.openoffice.org에서 오픈 소스 프로젝트로 진행되는 오피스 프로그램이다. 현재 국내에서 오픈오피스가 마이크로소프트사의 MS오피스나 한글과컴퓨터사의 한글과컴퓨터 오피스에 비해 널리 사용되지는 않고 있지만 무료라는 점, 마이크로소프트 오피스 97-2003 포맷을 지원한다는 장점과 데이터 교환을 위해 고유 파일 포맷으로 ISO 표준인 오픈도큐먼트 포맷(ODF)를 지원 하는 등의 여러가지 이유로 조금씩 사용비중이 높아져 가고 있다. 이런 오픈오피스도 명성을 쫓는 악성코드 제작자들을 피해가기는 어려웠는지 2007년 5월 22일 보안업체와 외신을 통해 오픈오피스에서 활동하는 최초의 악성코드(배드버니-BadBunny)가 보고되었다. 이 글에서는 오픈오피스의 보안적인 측면과 배드버니에 대해 알아보겠다.

오픈오피스

오픈오피스는 1980년대 중반 독일의 스타오피스 슈트(StarOffice suite)로 시작되어 1999년 썬 마이크로시스템즈(Sun Microsystems, 이하 썬)에 합병되어 2000년 6월 스타오피스 5.2가 공개되었다. 2000년 10월 13일 스타오피스 6.0를 시작으로 오픈오피스 프로젝트에 사용되어 오픈오피스 1.0이 2002년 4월 30일 탄생한다. 현재는 썬에서 오픈 소스 프로젝트를 진행하고 있으며, 윈도우, 리눅스, 매킨토시 버전이 존재한다.

한국어 웹사이트도 존재하며(http://ko.openoffice.org) 테스트에 사용된 오픈오피스 버전 2.4.1은 설치 파일 크기는 113 메가바이트이다. 기본적인 테스트는 한글 윈도우 XP 서비스 팩 2 혹은 3에 오픈오피스 한글판 2.2와 2.4를 사용했다.

오픈오피스 문서 구조

오픈오피스 문서는 MS 오피스 2007과 마찬가지로 ZIP 형식의 압축 파일로 되어 있다. 실제 오픈오피스 문서를 ZIP 파일로 변경하면 압축 해제 프로그램에서 압축을 풀 수 있다. 이는 오픈도큐먼트(OpenDocument, ODF)에 따른 것으로 원래 오픈오피스에서 만들고 구현한 XML 파일 포맷을 바탕으로 OASIS(Organization for the Advancement of Structured Information Standards) 컨소시엄이 표준화한 것이라고 한다.

[그림 1] ZIP으로 묶여 있는 오픈오피스 문서 파일

이와 같이 XML 형태로 제작된 문서는 오피스간 파일 호환도 가능하지만 과거 오피스 문서 파일이 자체 파일 포맷을 사용함으로써 파일 포맷을 변경하여 악의적인 코드를 수행하게 하는 유형의 공격으로부터의 공격 가능성도 대폭 낮춰 보안성을 높일 수 있다.

오픈오피스 매크로

현재 오픈오피스는 MS 오피스의 VBA(Visual Basic for Application) 매크로와 호환되지 않아 MS 오피스에 포함된 매크로가 실행되지 않는다 . 오픈오피스는 VBA 대신 자체적인 매크로를 지원하고 있는데, 크게 오픈오피스 베이직(OpenOffice.org Basic), 자바스크립트(JavaScript), 빈쉘(BeanShell), 파이썬(Python)을 지원한다.

오픈오피스는 기본적으로 매크로의 기능을 막아두었기 때문에, 스크립트나 매크로를 포함한 문서를 열 경우 사용자에게 경고 메시지를 보인다.

[그림 2] 매크로 포함 문서를 열 때 발생하는 경고

2.4 버전에서는 매크로를 기본적으로 막아두었기 때문에 사용자가 매크로를 사용하려면 매크로 보안 기능을 '높음'에서 '중간'으로 낮춰야 한다. 보안 수준을 낮춘 후 문서를 열면 보안 경고 창이 뜬다. 이때 '매크로 활성화'를 선택하면 매크로를 실행 할 수 있다. 하지만, 매크로 실행을 위해서는 JRE(Java Runtime Environment)가 필요하다는 메시지가 뜨지만 무시해도 기본적인 매크로는 사용가능 하다.

매크로는 실행은 사용자가 '도구(T)' - '매크로(M)' - '매크로 실행(U)'을 선택해 매크로를 실행할 경우 실행된다.

오픈오피스 베이직은 '내 매크로'. '오픈오피스 매크로'와 현재 열린 문서의 매크로가 기본이 된다. 내 매크로는 C:\Documents and Settings\[사용자이름]\Application Data\OpenOffice.org2\user\basic\Standard 폴더에 저장된다. 기본 파일 이름은 Module1.xba 이다.

오픈오피스에서 매크로 기능을 사용하기 위해서는 설정할 사항이 많으므로 대다수 사용자는 매크로 사용을 하지 않고 매크로 기능이 필요한 사람만 선택적으로 사용할 것이다.

악성코드 제작 환경

오픈오피스 매크로는 기술적으로 악성코드에 필요한 다음 기능을 제공하고 있어 악성코드 제작이 가능하다.

- 파일 생성, 복사, 실행, 삭제 기능
- 오픈오피스의 매크로를 이용해 외부 실행 파일 실행

실제 간단히 파일 생성, 복사, 실행, 삭제를 테스트 해서 매크로를 실행할 수 있는 상황이면 적어도 트로이목마 류의 악성코드는 제작할 수 있다.

[그림 3] 매크로 기능을 이용한 파일 생성, 복사, 실행, 삭제 테스트

다행히 오픈오피스는 매크로 기능을 기본적으로 막아둬 매크로 기능을 잘 모르는 사용자는 악성코드 피해를 받을 가능성이 낮다. 하지만, 매크로가 수행 될 경우에는 악성코드 제작에 필요한 기능을 제공하고 있어 악성코드 제작 가능성은 존재한다.

배드버니 분석

오픈오피스 악성코드로는 오픈오피스 드로우(OpenOffice Draw)에서 제작된 악성코드가 2007년 5월 발견되었다. 일반에 퍼지지 않고 기술적으로 제작이 가능함을 증명하는 개념증명(Proof of concept) 악성코드이다.

감염된 문서를 열어볼 때 실제 매크로는 Basic\Standard의 badbunny.xml 파일이다.

[그림 4] 배드버니에 감염된 문서

소스코드를 보면 이 악성코드는 자신을 'Necronomikon'과 'Wargame'으로 부르는 사람들이 제작했음을 알 수 있다. 이들은 'DoomRiderz' 라는 독일의 바이러스 제작그룹 멤버였으며 2007년 12월 28일 그룹을 떠난 것으로 알려졌다.

오픈 오피스는 윈도우, 매킨토시, 리눅스 등 멀티플랫폼에서 실행되므로 현재 실행되는 환경을 알 수 있다. 악성 매크로가 실행되면 초기화를 하고 Startgame을 호출한다. Startgame 에서 현재 시스템의 버전을 얻어낸다. 1번이 Windows, 3 번 매킨토시, 4 번 리눅스이다.

윈도우에서는 mIRC가 설치되어 있을 경우 mIRC 스크립트를 생성하고 c:\badbunny.js 파일을 생성하고 실행한다.
리눅스에서는 badbunny.py라는 파이썬(Python) 스크립트를 생성하고 펄 스크립트 파일인 BadBunny.pl 파일을 생성한다.
매킨토시에서는 난수를 발생해 발생하는 수에 따라 다른 파일을 생성한다.

제작자는 특정한 문자열과 그림을 문서에 추가하려 했지만 한글버전 2.2 에서는 오류가 발생한다. 또 윈도우 버전의 경우 [그림 5]와 같이 c:\badbunny.js를 실행할 때 오류가 발생했다.

[그림 5] 배드버니 실행시 발생하는 오류

원래 삽입하려는 이미지는 버니 복장의 남자와 여성의 포르노 사진이었다. 이후 메시지 창으로 사용자에게 메시지를 출력한다.

[그림 6] 사용자에게 보내는 메시지

그리고, 다음 보안 업체에 PING 명령을 보낸다.

- www.ikarus.at
- www.aladdin.com
- www.norman.no
- www.norman.com
- www.kaspersky.com
- www.kaspersky.ru
- www.kaspersky.pl
- www.grisoft.cz
- www.symantec.com
- www.proantivirus.com
- www.f-secure.com
- www.sophos.com
- www.arcabit.pl
- www.arcabit.com
- www.avira.com
- www.avira.de
- www.avira.ro
- www.avast.com
- www.virusbuster.hu
- www.trendmicro.com
- www.bitdefender.com
- www.pandasoftware.comm (comm은 오타로 보임)
- www.drweb.com
- www.drweb.ru
- www.viruslist.com

하지만, 테스트에 사용된 한글 오픈오피스에서는 종종 오류가 발생해 제대로 악성코드가 실행되지 않았다.

향후 오픈오피스 악성코드 전망

오픈오피스가 악성코드 제작자의 다음 목표가 될 거라는 전망은 예전부터 있었다. 하지만, 오픈오피스 사용자가 아직 다른 오피스에 비해 적고 악성코드 제작자들은 재미나 명성보다는 돈을 쫓는 경향이 강하기 때문에 오픈오피스에 관심을 가지는 악성코드 제작자는 명성을 쫓는 전통적인 바이러스 제작자나 제작 그룹에 한정될 것으로 보인다.

다행히 오픈오피스는 과거 수 많은 매크로 바이러스를 양산한 MS 오피스의 교훈을 거울삼아 매크로 기능을 기본적으로 사용할 수 없게 하고 사용자가 선택해야 실행할 수 있는 형태로 제작되어 악성코드에 감염될 가능성을 낮췄다. 또한 현재까지 제작된 악성코드 역시 개념증명 수준의 문제를 가지고 있다. 하지만, 멀티 플랫폼으로 제작된 오피스 제품의 특성상 하나의 악성코드로 다양한 환경에서 활동할 수 있는 악성코드 제작은 늘 가능하다. 오픈오피스 명성이 높아가고 사용자가 늘어날수록 악성코드의 검은 그림자도 따라 갈 수 있다.

참고자료
[1] 오픈오피스 (http://www.openoffice.org)
[2] 오픈오피스 한국어 버전 (http://ko.openoffice.org)
[3] 김정규, "오픈오피스와 오픈도큐먼트"
[4] Gooo (http://go-oo.org)

SWF 파일 포맷의 취약점을 노린 악성코드 증가

(ahnlab) — Wed, 06 Aug 2008 15:01:18 +0900

취약한 SWF 파일과 멀티 다운로더

어도비사의 플래쉬로 유명한 SWF 파일포맷에 취약점 이 존재하여 이를 노린 악성코드가 폭발적으로 발견 보고되었다. 이 취약점은 Movieclip 구현을 위한 필드를 모아둔 Tag 중에서 SceneCount 값이 음수일 경우 발생한다. 이것은 SWF 파일 구조중 Tag type 'DefineSceneAndFrameLabelData' 필드에 속하며, 악용하기 위한 쉘코드는 JPEG 이미지를 표현하는데 사용되는 비트맵 정보를 가진 Tag 부분에 위치한다. 다음은 취약한 SWF 파일에서 쉘코드내 복호화 루틴 부분과 이를 복호화하여 멀티 다운로더가 업로드된 호스트 부분을 표시한 것이다.

[그림 1] 취약한 SWF 쉘코드 복호화 모습

대부분의 취약점이 그러하듯 SWF 취약점 역시 궁극적으로 멀티 다운로더를 다운로드 & 실행하여 해당 시스템에 대량의 트로이목마를 설치하는 것이 목적이다.

다음 [그림 2]는 취약한 SWF 파일에 대하여 암호화를 적용한 형태로서 대다수의 샘플이암호화되어 있으며, SWF Encrypt 라는 상용도구로 만들어진다. 그러나 이 도구는 SWF 파일내에 액션스크립트에 해당 부분만을 암호화 시켜주므로 실제로는 쉘코드가 위치하는 해당 태그영역과는 전혀 관련이 없다.

[그림 2] SWF Encrypt 로 보호된 취약한 SWF 샘플

이러한 류의 악성코드 제작자들은 분석을 지연시킬 목적으로 SWF Encrypt를 사용했지만 이는 이미 취약한 SWF 파일을 생성하는 자동화된 도구에서 쉘코드 암호화가 이루어져 있음에도 불구하고 의미없이 해당 툴을 사용했다는데 있다. 이를 되짚어 생각해보면, 이와 같이 기하급수적으로 제작된 악성코드의 상당수가 자동화된 악성코드 제작 도구에 의존하고 있다는 것을 반증하는 것으로 취약점의 동작원리도 제대로 이해하고 있지 못한 상태에서 취약한 SWF 파일을 만들어내는 툴을 사용하여 대량으로 찍어 내듯이 제작된다는 것이다.

즉 이러한 점을 고려해볼 때, 우리는 대다수의 중국의 스크립트 키드(script kids)와 싸우고 있다고 생각된다. 한편으로는 이러한 도구를 만들어 낼 수 있는 실력이 어느 정도 있는 제작자들은 도구를 만들어서 스크립트 키드에게 팔아 돈을 벌고 스크립트 키드들은 이 도구를 이용하여 자신이 원하는 정보를 탈취하거나 탈취된 정보를 돈을 받고 파는 형태가 일반적인 중국의 악성코드 제작의 순환 고리라 하겠다.

사용자들은 이 취약점을 악용한 공격으로부터의 피해를 예방하기 위해서는 플래쉬 플레이어를 업데이트 하는 것이 가장 손쉬우면서도 가장 효과적인 방법이다. 그러나, 아쉽게도 플래쉬 플레이어는 기본값으로 한 달에 한번씩만 자동 업데이트 되도록 되어 있다. 플래쉬 플레이어가 설치 되어 있다면 다음 경로에서 FlashUtil9f.exe (버전에 따라서 파일명 다름)를 실행하여 안내되는 메시지에 따라서 최신버전으로 업데이트 하도록 한다.

[그림 3] 플래쉬 플레이어 업데이터

출처: 안철수연구소 ASEC리포트 6월호