'변종'에 해당되는 글 5

  1. 2009/09/02 사이버상의 4가지 창과 4가지 방패 뭘까? (12)
  2. 2009/02/27 컴퓨터 바이러스의 진화, 변종 바이러스 (8)
  3. 2009/01/08 안철수연구소, 인터넷 장애 유발하는 웜 확산 경고 (2)
  4. 2008/11/21 안철수연구소, “인터넷 주소 강제 변경 악성코드 급속 확산” 경고
  5. 2008/07/04 [ 긴급경보 3단계 주의]네트워크 정보 변조 유발 ARP Spoofer 주의

사이버상의 4가지 창과 4가지 방패 뭘까?

AhnLab 칼럼 2009/09/02 13:03
사이버상의 4가지 창과 4가지 방패 뭘까?

모순(矛盾)이란 말이 있다. 삼척동자도 알고 있는 고사성어 『모순』. 이 고사성어는 모든 것을 뚫을 수 있는 창과 어떤 창이라도 막을 수 있는 방패를 파는 장사꾼이야기에서 유래되었다.

나는 이 고사성어를 들을 때마다 『앞뒤가 맞지 않음』이라는 그 본래의 의미보다 온라인범죄를 일삼는 해커(크래커)와 보안업체와의 끝없는 싸움이 연상된다.

세상의 어떤 것도 뚫을 수 있는 창을 가진 해커. 그리고 그 창을 막을 수 있는 방패를 가진 보안업체. 이 두 집단이 한 번씩 주거니 받거니 하며 끝없는 싸움을 하고 있다.

개인적으로는 지금까진 해커집단의 우세라고 생각한다. 그도 그럴 수 밖에 없는 것이 공격자 입장에서는 단 한 곳의 허술한 부분을 찾으면 뚫을 수 있는 것이고, 수비자 입장에서는 단 한 곳이라도 허술하면 뚫리기 때문이다.


해커가 가진 네 가지 창 

첫 번째 창 - DDoS 공격
해커들이 찾아낸 허점, 사실 그냥 허점이라고 하기엔 너무나 강력해서 세상의 모든 방패도 뚫어 버리는 강력한 창, 해커는 이런 것을 몇 개씩이나 가지고 있다. 그 중 대표적인 것은 이제는 너무나도 유명해져 버린 DDoS공격이다.

지난달 우리나라는 정체불명의 괴한(?) 또는 괴집단으로부터 목적을 알 수 없는 DDoS공격을 받았다. 주요기관과 회사들의 홈페이지가 마비되는 불편함을 격어야 했다. TV뉴스를 포함해서 각종 언론에서 연일 다루는 바람에 전국민이 DDoS를 어떻게 발음해야 하는지 알게 되었을 정도다.

이들 해커 아니 온라인범죄자에게 있어 DDoS는 아주 훌륭한 공격도구다. 완벽한 대응방법이 없기 때문이다. 서버의 앞 단에 설치되는 스위치, 라우터 등의 네트워크장비나 방화벽, IPS, UTM등의 보안장비 들 중에 뭔가 하나가 한계 성능에 도달하면 홈페이지 접속이 불가능해진다.

더욱이 이 모든 장비가 충분히 갖추어져 있어도 준비된 대역폭을 넘는 패킷이 들어오면 장비들은 모두 온전히 살아있지만 홈페이지는 접속되지 않는 우울한 상황이 계속된다.


두 번째 창 - 제로데이공격 
해커가 찾아낸 두 번째 허점은 제로데이공격이다. 이는 시스템에 존재하는 취약점을 공격하는 것이다. 취약점이 발표되면 그로부터 수시간 내에 악성코드로 제작되어 배포되는 것으로 알려져 있다.

이렇게 제작된 악성코드는 패치가 개발되고 시스템에 설치되기 전까지 유효하다. 특히 스팸이나 피싱, 트로이목마와는 달리 사용자의 오감(五感)으로 공격을 감지해낼 방법이 낼 방법이 없는 경우가 태반이다. 쥐도 새도 모르게 당해 버린다고 할까?

발표된 취약점 또는 패치를 자동으로 분석해서 공격도구를 만드는 수준까지 도달했다고 하니 참으로 걱정이 아니 될 수 없다.


세 번째 창 - 악성코드 급증
세 번째는 변종을 포함해서 엄청나게 늘어나는 악성코드의 수다. 도대체 하루에 얼마만큼의 악성코드가 발견되는지 알 수가 없다. 2009년에는 하루에 2~3만개의 악성코드가 나타나는 것으로 추정하고 있을 뿐이다.

한정된 인력으로 구성된 분석팀에 처리할 수 있는 것 이상으로 많은 샘플쏟아 부어지고 있다. 악성코드분석팀에 DDoS공격을 하는 셈이다. 이외에도 루트킷이다 뭐다 더 많지만 필자가 정말 걱정하는 건 따로 있다.


네 번째 창 - 개인정보 유출
바로 특정인을 대상으로 한 공격이다. 금전이나 중요한 정보의 침탈을 목적으로 특정인을 공격한다면 과연 당해낼 자가 있을지 의문이다. 온/오프라인을 곁들여서 전화와 우편, 인터넷을 섞어서 그리고 미리 알아내둔 개인정보를 활용해서 공격한다면 속수무책으로 당할 수 밖에 없다.

최근에 일부 기관에서 고위층 이름으로 발송된 허위 메일이 발견되었다는 이야기를 들은 적이 있다. 이메일의 이름을 바꿔서 속이는 거야 너무나도 간단하니 해킹이라 할 거리도 없다.

당신이 오늘 상급자에게 받은 메일이 진짜 일까? 당신이 상급자로부터 받은 메일에 첨부된 실행파일을 실행하는 순간 당신PC에 저장된 기밀문서가 해커의 손으로 넘어가 버릴지도 모른다. 요즘 세상엔 믿을게 하나도 없다.


보안 업체가 가진 네 가지 방패

첫 번째 방패 - 블랙리스트 방식
최근 2~3년 동안 보안업체는 완전히 수세에 몰려있었던 것 같다. 폭발적으로 늘어나는 악성코드를 처리하기에 급급했었다. 전통적인 백신(AV) 제품은 블랙리스트방식이다.

이는 악성코드로 의심되는 샘플을 수집하고 샘플을 분석하여 악성코드로 확인되면 파일을 특정부분을 코드화하여 시그니처로 엔진에 탑재하여 사용자PC에 배포하는 방식이다.

이 방식은 안철수 박사가 의사생활을 하면서 밤새 프로그래밍하던 시절부터 몇 년 전 하루에 악성코드가 수십 개 정도 발견되던 시절까지 매우 효과적인 방법이었다.

그러나 지금은 상황이 다르다. 처음 부딪힌 문제는 분석량이었다. 하루에 도착하는 수천 건의 샘플을 인간이 손으로 어떻게 다 분석한단 말인가?

자동화에 자동화를 거쳐서 분석문제가 줄어들자 두 번째 부딪힌 문제는 엔진크기 문제였다. 많이 잡으면 잡을 수록 엔진크기도 같이 늘어난다. 엔진이 커지면 메모리도 많이 쓰게 되고 CPU도 많이 쓰게 된다. PC가 느려지는 것이다. 따라서 엔진의 다이어트가 시급해 졌다.

엔진크키가 커지면 업데이트시 네트워크 대역폭도 많이 쓰게 되고 자동분석으로 하루에도 수 차례 이상 업데이트가 이뤄지면서 트래픽도 자연스레 늘게 되었다. 또 다이어트한 엔진의 크기도 어느덧 다시 한계가 가까워지고 있었다.


두 번째 방패 - 클라우드 시큐리티 
이 때 혜성처럼 나타난 것이 클라우드 시큐리티다. 클라우드 컴퓨팅에서 아이디어를 얻어서 시작된 이 기술은 이제 막 알에서 깨어난 상태로 무궁무진한 발전가능성이 있다. 해커들에게 한방 날린 것이라 할 수 있다.

이 기술은 서버쪽에 데이터를 두고 PC쪽에는 탐지와 실행을 주로 담당하게 한다. 시그니처 데이터가 모두 서버에 있고 PC에서는 필요할 때 마다 서버에 접근해서 확인함으로써 PC에 모든 시그니처를 둘 필요가 없어졌다. 기하급수적으로 늘어나는 악성코드 때문에 엔진크기를 걱정해야 할 필요가 없어져 버린 것이다.

더욱이 샘플의 수집과 분석 과정이 자동으로 일어나기 때문에 그 어느 때 보다 빠른 대처가 가능해졌다. 빠른 샘플의 수집과 대응으로 서버쪽 장비를 증설하는 것으로 일관했던 DDoS대응방식을 PC단말에서 DDoS공격의 원천을 차단하는 방식으로 전환이 가능해졌다.

이상행위를 수행하는 악성코드를 탐지하고 보고하기 때문에 동시 다발적으로 발생하는 이상행위에 대해서 DDoS공격 경보를 할 수도 있게 된 것이다. 드디어 보안업체도 멋진 방패를 하나 가지게 되었다.


세 번째 방패 - 화이트리스트 방식 
방패는 많으면 많을수록 좋다. 이에 나타난 세 번째 방패는 화이트리스트기반, 평판기반보안이다. 앞서 언급한 블랙리스트개념과는 정반대의 개념이다. 알려진 안전한 어플리케이션목록을 만들고 이 목록에 들어가지 않는 어플리케이션은 악성코드로 간주하는 것이다.

이 개념은 이론적으론 너무나도 완벽하다. 내가 쓰는 한정된 프로그램이 아니면 다 악성코드로 간주해버린다면 내 PC에 악성코드는 발을 못 붙인다. 특정인을 공격하도록 작성된 악성코드도 실행이 안되니 무용지물일 뿐이다. 악성코드가 빠져나갈 구멍이 없어 보이지 않는가?

이론적으로는 매우 간단해 보이지만 실제로는 만만치가 않다. 좋은 프로그램과 나쁜 프로그램은 어떻게 구분할 것이며 마찬가지로 내가 쓰는 프로그램과 내가 쓰지 않는 프로그램은 또 어떻게 구분할 것인가?라는 난제가 있다.

PC에 있는 파일을 식별하는 것이 관건이다. 파일을 누가 개발해서 배포한 것인지 어떤 제품에 속해 있는지를 알아내야 한다. 파일을 제작한 회사가 인증서로 서명 한 번만 해주면 쉽게 해결될 일 이지만 대부분의 중소 소프트웨어벤더는 서명을 하고 있지 않다(참고로 마이크로소프트의 모든 PE파일에는 서명이 되어있다).

완벽하진 않지만 해외에서 Bit9이란 회사가 이 분야를 전문적으로 하고 있다. 이 분야에서도 안철수연구소의 그레이제로를 비롯하여 여러 시도가 되고 있으며 시만텍의 내년도 제품에는 평판기능이 들어가 있다.


네 번째 방패 - HIPS 기술 
보안 업체가 보유한 마지막 방패는 HIPS(Host-based Intrusion Prevention)이다. 이는 너무도 막강해서 잘못 쓰면 주화입마 돼버린다. 이 기술도 화이트리스트기반이다. 두 번째와 다른 것이 있다면 파일 뿐만 아니라 행동기반으로 개별행위까지도 화이트리스트에 근거해서 차단해 버린다는 것이다.

세 번째 HIPS기술은 매우 중요하다. 앞의 두 방패는 제로데이공격을 막을 수 없기 때문이다. HIPS는 사전방어적인 기술로 잘 사용되면 매우 강력히 악성코드를 막을 수 있다. 예를 들어서 임의의 프로세스가 시스템 프로세스를 조작하려고 하면 가차없이 차단해 버린다. 이 또한 개념이 단순하고 깔끔하다.

그러나 문제는 정상적인 프로그램도 시스템 프로세스를 조작할 수 있다는 것이다. 이 기술을 도입한 제품은 정상적인 프로그램과 악성프로그램을 구별하는 것을 사용자가 결정하도록 알림창을 띄운다. 문제는 사용자가 알림창을 본다고 해도 악성인지 정상인지를 알 길이 없다는 것이다. 게다가 알림창은 엄청나게 자주 뜬다.

문제가 이렇다 보니 HIPS기반 제품에서는 인증서로 서명된 프로세스의 행위는 허용하도록 하는 정책을 통해서 이 문제의 해결을 시도하고 있다. 그러나 여전히 서명된 프로그램의 숫자가 매우 적기 때문에 미진한 부분이 있다.


과거 수년간 확실히 악성코드는 맹위를 떨쳐왔다. 그러나, 지금 우리는 수년간의 고생 끝에 그 들에 대항 할 수 있는 그리고 판도를 뒤집을 수 있는 기술을 찾았다.

클라우드 컴퓨팅과 평판기반 보안, 행동기반 HIPS와 같은 무엇이라도 막을 수 있는 방패 같은 기술을 손에 막 넣기 시작했다. 아직은 미완성상태이지만 올해 그리고 내년쯤엔 이 기술들이 서로 잘 어우러져 완성된 모습을 갖출 것이다.

그리고 이는 단지 시간문제다. 내년 이맘때쯤엔 온라인으로 못된 짓을 하는 범죄자들에게 카운터펀치를 먹일 수 있기를 희망한다.@

 출처 : 안철수연구소

위 글은 안랩닷컴    페이지에서도 제공되고 있습니다.

보안에 대한 더 많은 정보 안랩닷컴"에서 찾으세요 :D


안랩닷컴 보안정보 中 보안포커스 / 전문가 칼럼
http://kr.ahnlab.com/info/securityinfo/secuinfo/newSecuNewsView.ahn?category=001&mid_cate=001&cPage=1&seq=14837

Writer profile
세상에서 가장 안전한 이름,
안철수연구소입니다.
2009/09/02 13:03 2009/09/02 13:03
TAG , , , , , , , , , , , , , , , , , , , , , , , ,
0 Trackbacks | 12 Comments

컴퓨터 바이러스의 진화, 변종 바이러스

AhnLab 보안in 2009/02/27 09:45

국내의 유명 생명보험 회사의 전산 담당직원으로부터 연락을 받았었다. 사내에서 컴퓨터가 이상해졌다라는 문의가 갑자기 늘었다는 것이었다. 특이하게도 해당 PC에서는 안철수연구소의 웹사이트로 접속이 안 된다는 것이었다. 자사 직원들이 바이러스에 감염된 것으로 느끼고 안철수연구소로 인터넷 접속을 하려고 있는데 그것마저도 안 된다고 하소연을 한 것이었다.

이것은 작년 말부터 최근까지도 맹위를 떨치고 있는 컨피커(Conficker)라는 웜(Worm) 때문에 발생한 문제였다. 이 웜에 감염된 PC는 마이크로 소프트(MS)를 포함해서 보안업체 웹 페이지로 접속을 할 수 없게 만들어서 백신을 통한 치료를 못하게 만든다. 이처럼 악성코드들이 진단과 치료하기를 까따롭게 만드는 형태로 발전하고 있고 해당 웜의 변종이 계속적으로 출현하고 있어서 치료에도 굉장히 어려운 점이 많은 상황이다. 최근에는 마이크로 소프트가 컨피커 웜을 만들어낸 사람을 체포할 수 있는 결정적인 정보를 준 제보자에게 25만 달러의 사례금을 준다고도 밝혔다.

컨피커 웜과 함께 2090 바이러스로도 아주 시끄러웠었다. 게다가 이것들의 변종(2070 바이러스)도 지속적으로 출몰하고 있어서 백신업체들이 더 큰 문제들로 골머리를 앓게 되었다.

변종 바이러스는 무엇?

아주 예전에는 잡지 등에 바이러스 소스가 공개되면서 변종바이러스에 전파에 기여(?)를 한적도 있었다. 최근에는 인터넷 상으로 바이러스 소스가 공개되면서 수 많은 변종을 만들어 내기도 하고 있다. 또는 기존의 바이러스를 분석, 수정해 만들어 내기도 하는데 상당 수의 바이러스가 독창적인 것이 아니라 내부 수치를 약간 수정한 변종으로 판단된다. 또한 생성기 툴들이 공공연하게 퍼지면서 바이러스 제작과 배포를 용이하게 만들었다.

전문가가 아닌 사람도 변종 바이러스를 만들 수 있나?

기존에는 바이러스를 제작하기 위해서 컴퓨터 내부를 깊숙하게 알고 있어야만 했다. 하지만 바이러스 제작자들은 매크로라는 기능을 이용해 좀더 쉽게 바이러스를 제작하고 변종 또한 쉽게 만들 수 있게 되었다.

매크로란 정해진 명령어들을 조합해 새로운 하나의 명령어로 만들어서 실행시키는 방법을 말한다. 이를 이용하면 아주 단순한 기능이 미리 정의된 여러 명령어를 조합해 유용한 기능의 새로운 명령어를 만들고, 하나의 프로그램과 유사한 형태도 만들어낼 수 있다.

매크로 바이러스는 대개 오피스 프로그램의 매크로 기능을 통해서 동작이 되므로 그에 맞는 예방방법도 있다. 아래는 'MS오피스 엑셀 2007' 에서 매크로 바이러스를 예방 할 수 있는 방법이다. 오피스 프로그램에 보안설정이 있다는 것이 재미있지 않은가?

1. 상단 오피스 아이콘을 선택한다.
2. 'Excel 옵션' 을 선택한다.
3. 왼쪽 메뉴의 '보안 센터'를 선택한다
4. '보안 센터 설정...' 버튼을 누른다.
5. 왼쪽 메뉴의 '매크로 설정'를 선택한다
6. '모든 매크로 제외' 중 둘 중 하나를 선택하고 '확인' 버튼을 누른다.

사용자 삽입 이미지

변종 바이러스의 이름은?

만약 같은 바이러스인데 변종으로 판명된 경우 안철수연구소에서는 바이러스 이름 뒤에 숫자 또는 영문자 알파벳으로 사용하는 경우가 있다. 숫자 표시는 바이러스 코드의 크기를 바이트(byte)로 표시하는 것이고, 알파벳 표시는 변종이 발견되는 순서에 따라서 B부터 순차적으로 이름을 붙여나가는 것이다. 이것은 백신업체에서 임의로 정하는 것이므로 백신업체마다 또는 국가에 따라 다를 수 있다.

백신에서도 변종 바이러스는 제대로 치료하지 못한다고 하던데…

이 말은 맞기도 하고 틀리기도 한 얘기라고 볼 수 있다. 근래의 패턴을 보게 되면 바이러스가 나오게 되면 곧바로 백신에 의해서 진단 및 치료가 되게 될 것이다. 바이러스 제작자는 자신의 바이러스가 백신에 의해 진단되는 것을 보고, 기존의 바이러스 코드를 살짝 고쳐서 변종들을 다시 배포를 한다. 이때 기존 제작자 외에 다른 그룹의 사람들까지 합세를 하게 되면 변종 바이러스가 엄청나게 퍼질 수 있게 되는 것이다. 그래서 변종 바이러스의 종류가 많고 빠른 속도로 퍼지게 되고 있을 때 백신에서 그 대응이 늦어진다면 바이러스 진단 및 치료를 못한다는 얘기가 나오는 것이다.

보안업체의 대응능력 차이는 보유하고 있는 바이러스 검사기술에서도 구분을 할 수 있을 것 같다. 바이러스 검사 방식 중 대표적인 것이 시그니쳐(파일 고유값) 검사 방식인데 이 방식으로는 변종을 제때에 잡아내기 힘들 수 있다. 이런 경우는 프로그램 동작방식을 분석해서 감지하는 방법인 행위기반 탐지 기법을 사용하는데 이것은 알려지지 않은 위협 요소로부터 사전에 방어를 함으로서 변종 바이러스에 빠른 대처를 할 수 있다. 하지만 이 진단 방식은 오진 가능성이 높다는 단점이 있어서 백신회사에서는 정밀하게 검사할 수 있는 기술을 갖춰야 한다.

위에서 말한 정밀한 검사기술만큼이나 중요한 것이 보안업체의 빠른 대처능력일 것이다.  보안업체는 365일 24시간 긴급 분석, 대응체계 등을 갖출 필요가 있다. 물론 국내외의 유력 보안업체들은 이미 이런 대응 시스템을 갖추고 있으므로 백신 이용자는 검사능력과 대응능력이 좋은 백신업체의 제품을 사용하라고 추천하고 싶다.

변종 바이러스를 막는 방법은?

변종 바이러스도 기존의 바이러스 또는 스파이웨어에 대한 대응방안과 다를 것이 없다. 컴퓨터 보안수칙을 잘 지키는 것 만이 가장 안전한 길이라고 할 수 있다. 아래는 필자의 회사인 안철수연구소에서 귀가 따갑도록 말하고 있는 보안수칙이다. “꺼진 불도 다시 보자” 라는 유명한 말처럼 시대를 초월해서도 지켜져야 하는 수칙이 있는 것 같다.

 

 

l  윈도 운영체계는 최신 보안 패치를 모두 적용한다.


l  인터넷 로그인 계정의 패스워드를 자주 변경하고, 영문/숫자/특수문자 조합으로 6자리 이상으로 설정한다. 로그인 ID PW를 동일하게 설정하지 않는다.


l  해킹, 바이러스, 스파이웨어 등을 종합적으로 막아주는 통합보안 제품을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다.


l  웹 서핑 때 '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 ''를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면’ ‘아니오중 어느 것도 선택하지 말고 창을 닫는다.


l  이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다.


l  메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우에는 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인하고 실행한다.


l  P2P 프로그램이나 인터넷으로 파일을 다운로드 할 때에는 반드시 보안 제품으로 검사한 후 사용한다. 또한 트로이목마 등에 의해 지정하지 않은 폴더가 오픈 되지 않도록 주의한다.


l  정품 소프트웨어를 사용한다. 인터넷을 통해 불법 소프트웨어를 다운로드 해 설치하는 경우 이를 통해 악성코드가 설치될 가능성이 높다.


l  중요한 자료를 주기적으로 백업해 만일의 상황에 정보를 잃는 일에 대비한다.

 

 


칼럼니스트

이연조 | 안철수연구소 프로그래머

안철수연구소에서 인터넷뱅킹 보안 제품을 개발하고 있으며, 현재 “IT 칼럼니스트”로 활동 중이다. 책(Book)과 공(Ball)과 겜(Game)을 좋아하는 영원한 신혼남으로, 밝고 건전한 사회를 만들기 위해서 항상 웃고 다니고 있는 중이다.


Writer profile
세상에서 가장 안전한 이름,
안철수연구소입니다.
2009/02/27 09:45 2009/02/27 09:45
TAG , , , , , , , , , , , , ,
0 Trackbacks | 8 Comments

안철수연구소, 인터넷 장애 유발하는 웜 확산 경고

AhnLab Inside 2009/01/08 16:16

- V3 전용 백신 무료 제공..국내외 백신 중 유일하게 진단/치료

- MS08-067 취약점, USB, 공유폴더 통해 전파..보안 패치, 통합백신 사용 등 필요


안철수연구소(대표 김홍선 www.ahnlab.com)는 이동식 디스크인 USB 등 다양한 경로로 전파돼 인터넷 장애를 유발하는 악성코드인 콘피커 웜 변형(Win32/Conficker.worm.173318)이 7일 오전부터 급속 확산되고 있다고 경고했다.  

안철수연구소는 전용 백신(http://kr.ahnlab.com/dwVaccineView.ahn?num=80&cPage=1)을 긴급 개발해 무료 제공 중이다. 현재 국내외 백신 대다수가 진단/치료를 못 하고 있는 가운데 안철수연구소의 전용 백신 V3Kill(V3conficker.exe)만이 정상적인 진단/치료를 할 수 있다. 또한 계속 변종이 만들어지고 있기 때문에 주의가 필요하며, 안철수연구소는 전용 백신을 지속적으로 업데이트할 예정이다.

콘피커.173318 웜은 MS사의 운영체제인 윈도의 MS08-067 취약점을 악용한 악성코드로 원형은 지난해 10월에 발견됐다. 콘피커.173318 웜에 감염되면 네트워크 트래픽에 과부하가 발생해 인터넷 속도가 느려진다. 보안 업체나 MS사 등의 웹사이트 접속이 안 되기도 한다. 또한 백신의 진단/치료를 회피하기 위해 컴퓨터의 실행 프로세스를 변경하며, 웜 파일이 삭제되지 않도록 보안 설정을 변경해 일부 백신의 진단/치료 기능을 무력화한다.

이 웜은 세 가지 경로로 전파되기 때문에 확산력이 매우 강하다. 즉, MS08-067 취약점이 있는 컴퓨터를 원격으로 찾아 감염시키고, USB와 특정 폴더(관리 목적의 공유 폴더)를 통해서도 전파된다. 콘피커.173318 웜은 특정 폴더에 자신을 복사하기 위해 11111, abc123, admin 등 다양한 패스워드를 대입해보고 사용자가 설정한 값과 일치하면 관리자 권한을 얻어 해당 폴더에 자신을 복사한다.  

사용자는 콘피커.173318 웜의 피해를 예방하기 위해서 MS08-067에 대한 보안 패치를 설치해야 한다. 또한 ‘V3 365 클리닉’ ‘V3 IS 2007 플래티넘’처럼 백신과 PC 방화벽이 통합된 보안 제품을 설치해 최신 버전으로 업데이트하고 실시간 감시 기능을 사용하는 것이 안전하다. PC 로그인 패스워드를 예상하기 어려운 복잡한 조합으로 설정해두고 네트워크 방화벽이나 PC 방화벽에서 445번 포트를 차단하는 것도 필요하다.

안철수연구소 시큐리티대응센터 조시행 상무는 “현재 MS08-067 취약점을 이용한 악성코드는 현재 20개가 넘게 발견되었다. 주로 인터넷 장애를 유발하므로 피해 범위가 광범위하다. PC 사용자 모두 보안 패치 설치와 보안 제품 사용 등을 생활화해야 피해를 막을 수 있다.”라고 강조했다.


Writer profile
세상에서 가장 안전한 이름,
안철수연구소입니다.
2009/01/08 16:16 2009/01/08 16:16
TAG , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
0 Trackbacks | 2 Comments

안철수연구소, “인터넷 주소 강제 변경 악성코드 급속 확산” 경고

AhnLab 뉴스 2008/11/21 18:01
- 보안 취약 웹사이트 해킹, 해당 웹사이트 접속 PC에 악성코드 설치
- 인터넷 주소 www.3929.cn으로 강제 변경
- 플래쉬 플레이어 업데이트, 통합백신으로 피해 방지..전용백신 제공 예정 
 
 
안철수연구소(대표 김홍선 www.ahnlab.com)는 21일 인터넷 주소를 강제로 변경하는 악성코드가 급속 확산되고 있다고 경고했다. 안철수연구소 시큐리티대응센터의 집계에 따르면 피해 신고가 40여 건이며 변종이 시간 단위로 제작되고 있어 각별한 주의가 필요하다.
 
이 악성코드는 아이프레임(iframe. 용어 설명 참고) 삽입 기법에 의해 유포된다. 즉, 사용자가 해킹 당한 웹사이트에 접속하면 사용자도 모르게 PC에 swf 파일이 설치된다. V3 제품군은 ‘Win-Trojan/Exploit-SWF.Gen’으로 진단한다. 이 파일은 인터넷 광고 등을 보는 데 필요한 프로그램인 플래쉬 플레이어(Flash Player)의 취약점을 이용해 특정 웹사이트에 접속해 여러 개의 악성코드를 내려받는다.
 
이때 내려받은 악성코드는 웹브라우저를 실행했을 때 처음 접속하게 설정된 주소를 www.3929.cn로 강제 변경하는 것을 비롯해, 팝업 광고 창을 띄우는 것, 웹페이지 내 광고를 삽입하고 악성 툴바를 설치하는 것 등 종류가 다양하다. 이 밖에도 개인 정보를 유출하는 등의 다른 악성코드를 내려받을 가능성이 크다.
 
이런 악성코드의 설치를 방지하려면 ‘V3 365 클리닉’ 등의 보안 제품을 최신 버전으로 유지하는 동시에 실시간 검사 기능을 켜두어야 하며, 플래쉬 플레이어를 최신 버전으로 업데이트해 보안 패치를 적용해야 한다. 이미 감염된 경우에도 V3 제품군으로 치료해야 한다. 안철수연구소는 21일 오후 전용백신을 개발해 웹사이트(http://kr.ahnlab.com/info/download/dwVaccineList.ahn)에서 무료 제공할 예정이다.
 
안철수연구소 시큐리티대응센터 조시행 상무는 “최근 이처럼 1차로 특정 웹사이트를 해킹해 해당 기업에 피해를 주고, 2차로 개별 PC에 악성코드를 감염시키는 다중적 공격이 늘고 있다. 1차 피해를 막으려면 웹사이트의 소스 코드를 수정해 취약점을 없애야 하고, 2차 피해를 막으려면 PC 보안을 위해 기업과 개인 차원의 철저한 보안 대책이 필요하다.”라고 설명했다. <Ahn>
 


<용어 설명-아이프레임>----------------------------------------------------
 
아이프레임(iframe)이란 HTML 문서에서 임의 위치에 또 다른 HTML 문서를 보여주는 내부 프레임(inline frame)을 말한다. 이미지 태그로 그림 파일을 문서에 포함시키는 것과 유사하며, 최근 악의적인 스크립트를 삽입하는 데 이용된다. 이 기법은 보안 취약점이 있는 웹사이트에 악의적 스크립트를 삽입해두고, 이 페이지에 접속하는 PC에서 특정 인터넷 주소에 접속해 악성코드를 다운로드 및 실행하도록 하는 것이다. 보통 MS의 인터넷 익스플로러에서만 동작하는데, 이번에 발견된 악성코드는 웹브라우저의 종류를 가리지 않아 더 큰 피해가 예상된다.
 
Writer profile
세상에서 가장 안전한 이름,
안철수연구소입니다.
2008/11/21 18:01 2008/11/21 18:01
TAG , , , , , , , , , , , , , ,
3 Trackbacks | 0 Comments

[ 긴급경보 3단계 주의]네트워크 정보 변조 유발 ARP Spoofer 주의

AhnLab 보안in 2008/07/04 10:36
안철수연구소는 지난 6월 27일 중국발로 추정되는 웹사이트 해킹과 해킹당한 웹사이트를 통한 악성코드 유포 확산에 대한 경고를 내렸습니다.

[안철수연구소, 웹 해킹 통한 악성코드 급속확산 경고]

그런데, 이같은 현상이 지속적으로 발생을 하고 있으며, 변종이 계속해서 생겨나고 있습니다. 이에 여러분들께서는 아래의 내용을 살펴보시고 대처하시기 바랍니다. 


사용자 삽입 이미지


증상 및 요약

Dropper/ARPSpoofer.21286는 기존에 발견된 Dropper/ARPSpoofer 의 변형 중 하나이다. 해당 드로퍼는 윈도우 사용자 계정의 취약한 암호를 통한 IPC 공유폴더 또는 사용자 공유폴더 그리고 USB 외장형 저장 장치를 통해서 전파된다. 해당 드로퍼가 실행되면 윈도우 폴더의 Task 폴더에 hackshen.vbs (97 바이트), wsock32.dll (15,872 바이트), csrss.exe (21,287 바이트) 그리고 중국어명.bat (21,287 바이트)생성하고 자신을 레지스트리에 등록하여 윈도우 시작 시 자동으로 실행되게 한다.

해당 드로퍼가 실행이 되면 인접 네트워크에 존재하는 시스템으로 악의적인 스크립트를 실행 할 수 있는 iFrame이 삽입된 ARP(Address Resolution Protocol) 패킷을 발생시켜 ARPSpoofing을 유발하게 된다. 이로 인해 인접 네트워크에 존재하는 시스템은 외부 네트워크에 존재하는 시스템으로 접속을 시도할 경우 해당 드로퍼에 감염된 시스템을 경유해서 접속 함으로 인해 해당 드로퍼에 자동으로 감염되게 된다.

그리고 외부 시스템으로부터 ARPSpoofing을 유발하는 Win-Trojan/ARPSpoofer 변형들과 Win-Trojan/OnlineGameHack 변형들을 다운로드 하여 설치하게 된다.

* 확산 정도

정보를 작성하는 2008년 07월 02일 15시 37분(GMT+9 기준) 현재 안철수연구소는 고객으로부터 다수의 감염 보고를 받았다.

* 전파 경로

Dropper/ARPSpoofer.21286는 다음과 같은 3가지 방식으로 전파 되게 된다.

1. USB 외장형 저장 장치를 통한 전파

해당 드로퍼는 시스템 루트 드라이버와 시스템에 연결된 외장형 저장 장치에 Autorun.inf과 자신의 복사본을 생성한다. 이로 인해 윈도우 시스템의 외장형 저장 장치 자동 인식 및 실행 기능을 이용하여 자동 실행하게 된다.

2. 사용자 공유 폴더와 IPC 공유 폴더를 통한 전파

해당 드로퍼는 인접 네트워크에 존재하는 시스템의 사용자 공유 폴더와 IPC 공유 폴더를 검색하여 자신의 복사본을 hackshen.exe 으로 복사 후 실행하게 된다.

사용자 공유 폴더와 IPC 공유 폴더 접속시 대입하는 암호는 다음과 같다.

woaini
angel
asdfgh
1314520
5201314
caonima
88888
bbbbbb
12345678
memory
abc123
qwerty
123456
password
enter
xpuser
money
guest
admin
administrator
movie

3. 변조된 ARP(Address Resolution Protocol)을 통한 전파

해당 드로퍼는 다음의 변조된 ARP 패킷을 유발 시켜 인접 네트워크에 존재하는 시스템에 인터넷 익스플로러의 취약점을 이용하는 악성 스크립트를 자동 실행하게 된다.

arps.com -idx 0 -ip 네트워크 대역 -port 80 -insert ""

취약한 인터넷 익스플로러를 사용하는 인접 네트워크의 시스템은 자동으로 해당 악성 스크립트를 실행하게 되고 외부 네트워크에 존재하는 시스템에서 해당 드로퍼의 변형을 다운로드하게 된다.

* 실행 후 증상

[파일생성]

Dropper/ARPSpoofer.21286는 비주얼 C++로 제작되었으며 중국에서 개인적으로 제작된 실행 압축 유틸을 이용하여 실행 압축되어 있다.

해당 드로퍼가 실행 되면 윈도우 폴더에 존재하는 Tasks 폴더에 다음 파일들을 생성한다.

 - 중국어 명칭.bat (21,287 바이트)
 - hackshen.vbs (97 바이트)
 - wsock32.dll (15,872 바이트)
 - csrss.exe (21,287 바이트)

주) 윈도우 폴더는 시스템마다 다를 수 있으며 보통 윈도우 95/98/ME/XP는 C:\Windows, 윈도우 NT/2000은 C:\WinNT 폴더이다.

[레지스트리 등록]

Dropper/ARPSpoofer.21286는 레지스트리에 다음 값을 추가해 윈도우 시작 시 자동으로 실행되도록 한다.


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{H9I12RB03-AB-B70-7-11d2-9CBD-0O00FS7AH6-9E2121BHJLK} 의
stubpath = C:\윈도우 폴더\Tasks\hackshen.vbs ]

[프로세스 종료]

Dropper/ARPSpoofer.21286는 감염된 시스템에 다음 프로세스가 실행 중일 경우에는 강제 종료를 시도한다.


AST.exe
360tray.exe
ast.exe


그리고 실행 중 프로그램의 윈도우 명에 다음의 문자열이 포함되어 있을 경우 강제종료를 시도한다.


Virus
virus
Firewall
Mcafee
Process
NOD32


[파일 다운로드]

Dropper/ARPSpoofer.21286는 다음의 시스템으로 접속하여 악의적인 파일들을 다운로드 시도한다 다운로드 하는 파일들은 또 다른 ARPSpoofing을 유발하는 트로이목마와 온라인 게임의 사용자 정보를 유출하는 트로이목마들을 다운로드 한다.


M*****ea.com/img/btn/index.htm
M*****ea.com/img/btn/wm/arp.exe
M*****ea com/img/btn/wm/wincap.exe
M*****ea.com/img/btn/1.js
M*****ea.com/img/btn/tj/ct.asp
M*****ea.com/wm/updatexixue.txt
M*****ea.com/wm/mm.exe
M*****ea.com/img/btn/10.exe
M*****ea.com/img/btn/9.exe
M*****ea.com/img/btn/8.exe
M*****ea.com/img/btn/7.exe
M*****ea.com/img/btn/6.exe
M*****ea.com/img/btn/5.exe
M*****ea.com/img/btn/4.exe
M*****ea.com/img/btn/2.exe
M*****ea.com/img/btn/1.exe
M*****ea.com/img/btn/3.exe
M*****ea.com/wm/mm.exe


주) 일부 주소는 * 로 처리하였다.

[hosts 파일 변경]

HOSTS 파일을 수정해 감염된 시스템에서 특정 주소로 접속하지 못하게 한다. 보통 보안 사이트 홈페이지나 안티 바이러스 엔진 업데이트 서버로 감염된 사용자가 정보를 얻거나 치료를 위한 엔진 업데이트를 방해한다.


127.0.0.1 www.360.cn
127.0.0.1 www.360safe.cn
127.0.0.1 www.360safe.com
127.0.0.1 home.ahnlab.com
127.0.0.1 www.rising.com.cn
127.0.0.1 rising.com.cn
127.0.0.1 dl.jiangmin.com
127.0.0.1 jiangmin.com
127.0.0.1 www.jiangmin.com
127.0.0.1 www.duba.net
127.0.0.1 www.eset.com.cn
127.0.0.1 www.nod32.com
127.0.0.1 shadu.duba.net
127.0.0.1 www.kaspersky.co.kr
127.0.0.1 www.viruschaser.com
127.0.0.1 kaspersky.com.cn
127.0.0.1 virustotal.com
127.0.0.1 www.kaspersky.com
127.0.0.1 60.210.176.251
127.0.0.1 www.cnnod32.cn
127.0.0.1 www.lanniao.org
127.0.0.1 www.nod32club.com
127.0.0.1 www.dswlab.com
127.0.0.1 bbs.sucop.com
127.0.0.1 www.virustotal.com
127.0.0.1 tool.ikaka.com
127.0.0.0 360.qihoo.com
127.0.0.1 qihoo.com
127.0.0.1 www.qihoo.com
127.0.0.1 www.qihoo.cn
127.0.0.1 9u9u9.cn


주) HOSTS 파일은 사용 윈도우에 따라 다른 폴더에 존재한다. 보통 윈도우 95/98/ME는 C:\Windows\System 폴더에 존재하며 윈도우 NT/2000은 C:\WinNT\System32\Drivers\ETC 폴더, 윈도우 XP는 C:\Windows\System32\Drivers\ETC 폴더이다. 

치료 방법

(1)   감염 확산 방지를 위해 각 PC의 윈도를 업데이트해 인터넷 익스플로러에 대한 최신 보안 패치를 받는다.

(2)   V3 365 클리닉, V3 IS 7.0 Platinum 등 최신 버전의 통합보안 소프트웨어로 검사해 치료한다.

(3)   기업 보안 관리자는 네트워크 보안 장비로 해킹당한 웹사이트를 차단한다. 감염된 시스템에서 다운로드를 시도하는 사이트의 도메인이나 IP를 파악해 내부로 파일이 유입되는 것을 막는다.

      (4)   악성코드에 감염되지는 않았으나 감염된 PC로 인해 ARP 값이 변조돼 네트워크가 되지
            않는 PC ARP 값을 초기화한다. cmd 도스 창을 이용하여 arp -d 명령어를 치면 모든
            arp 테이블의 정보가 초기화한다. 그러나 사내 감염된 PC가 있으면 다시 변조될 수 있으
            므로 감염된 PC를 모두 찾아 위와 같이 조치한다
Writer profile
세상에서 가장 안전한 이름,
안철수연구소입니다.
2008/07/04 10:36 2008/07/04 10:36
TAG , , , , , ,
0 Trackbacks | 0 Comments
1