중국 보안 업체 중 하나인 지앙민(JiangMin)에서 2010년 상반기 동안 중국 대륙에서 발생한 다양한 보안 위협들에 대해 정리한 보고서를 중국 CNET "江民2010年上半年全国计算机病毒暨网络安全报告"를 통해 발표하였다.


이 번에 지앙민에서 발표한 중국 대륙에서 발생한 다양한 보안 위협들에 대해 크게 악성코드 동향과 주요 악성코드들 그리고 자주 악용된 소프트웨어 취약점 3부분으로 나누어서 발표하였다.

1. 2010년 상반기 중국 대륙의 악성코드 동향

2010년 중국 대륙에서 발생한 악성코드들은 지앙민에서 집계한 기준으로 총 7,584,737개가 발견된 것으로 밝히고 있다. 이 중에서 트로이목마가 4,454,277개가 발견되어 전체 악성코드 분포면에서 약 58%를 차지하고 있으며 백도어 형태가 623,791개가 발견되어 전체에서 약 8%를 차지하고 있다.

그리고 애드웨어 형태가 223,639개로 약 3%를 취약점을 악용하는 악성코드가 166,359개 약 2% 정도를 차지하고 있는 것으로 밝히고 있다. 그리고 악성코드 형태의 분포면에서는 웜(Worm)이 약 13%를 차지하고 있으며 스크립트 형태의 악성코드와 매크로 바이러스가 약 0.02%를 차지하고 있는 것으로 밝히고 있다.


지앙민에서는 2010년 상반기 동안 발견한 악성코드들의 수치를 각 월별로 그래프화 한 것이 아래 이미지와 동일하다.


지앙민에서는 2010년 3월이 상반기 중에서 가장 많이 악성코드에 감염된 시스템이 발생 한 것으로 밝히고 있다. 3월에 가장 많은 시스템이 감염된 것에 대한 원인으로 지앙민에서는 3월 9일 발생하였던 MS10-018 인터넷 익스플로러 취약점을 악용한 악성코드의 대거 등장인 것으로 분석하고 있었다.

특히 해당 MS10-018 취약점은 최초 발생하였던 3월 9일을 기점으로 하여 3주간 중국 대륙에 존재하는 웹 사이트의 80%가량이 해당 취약점을 악용하는 악성코드들이 유포된 것으로 지앙민에서 분석하였다. 3월 31일 마이크로소프트(Microsoft)에서 해당 취약점에 대한 보안 패치를 배포 한 이후인 4월에는 악성코드에 감염된 시스템들이 감소하는 현상이 발생하였다.

그러나 5월에 접어들면서 중국 대륙에서는 Conficker 웜이 확산되기 시작하여 이에 감염된 시스템이 증가함으로 인해 전체 악성코드 감염 수치가 다시 증가하였다. 지앙민에서는 Conficker 웜에 감염된 시스템의 증가로 인해 전체 악성코드 감염 수치가 5월에는 4월과 비교하여 약 20% 가량 증가한 것으로 보고 있었다.

2. 2010년 상반기 중국 대륙의 주요 악성코드

1) 온라인 게임 관련 트로이목마

2009년 하반기 부터 중국 대륙에서는 Trojan/PSW.Magania(V3 진단명 - Win-Trojan/OnlineGameHack) 트로이목마 변형들이 발견되기 시작하여 2월달까지 많은 확산이 이루어졌으나 3월달에 접어들면서 급격한 감소 현상이 발생한 것으로 보고 있다.

특히 온라인 게임의 사용자 정보와 암호를 외부로 유출하는 악의적인 행위로 인해 중국 대륙 내에서 온라인 게임을 즐겨하는 사용자들에게 큰 위협의 대상이 되었다.

2) 네트워크로 전파되는 Conficker 웜

2008년 11월부터 전 세계적으로 유포되어 터넷 역사상 최악의 보안 위협들 중 하나로 선정된 바가 있는Conficker 웜은 중국 대륙내에서도 역시 급속한 확산을 보였었다.

앞서 언급한 바와 같이 2010년 5월에 급속한 감염이 이루어졌던 Conficker 웜은 마이크로소프트의 윈도우(Windows) 운영체제에 존재하는 MS08-067 취약점을 악용함과 동시에 이동형 저장 장치 그리고 윈도우의 취약한 사용자 암호를 통해 전파되는 특징들로 인해 중국내에서 급속한 확산이 이루어진 것으로 분석하고 있었다.

3) 인터넷 익스플로러의 취약점을 악용하는 악성코드

지앙민에서는 2010년 상반기의 주요 악성코드들 중 하나로 인터넷 익스플로러(Internet Explorer)의 취약점을 악용한 악성코드들로 보고 있었다.

2010년 상반기에는 인터넷 익스플로러와 관련된 취약점들이 상반기에는 1월 15일 발생하였던 MS10-002 인터넷 익스플로러 취약점 그리고 3월 9일 발생하였던 MS10-018 인터넷 익스플로러 취약점이 존재한다. 해당 2건의 취약점으로 인해 중국 대륙 내부에서는 다양한 형태로 해당 취약점들을 악용하는 악성코드가 발생하였으며 앞서 살펴본 바와 같이 3월에는 악성코드 감염 수치가 크게 증가하는 문제가 발생하였다.

4) 바탕화면의 인터넷 익스플로러 바로가기 파일을 조작하는 악성코드

중국 대륙에서도 온라인을 통해 웹 사이트 접속율이 크게 증가함에 따라 인터넷 익스플로러의 특정 레지스트리를 조작하여 윈도우 바탕화면에 존재하는 바로가기 파일이 연결하는 웹 사이트를 변경한 후 의도하지 않은 웹 사이트로 접속을 유도하는 형태의 악성코드가 증가하기 시작하였다.

5) 광고를 목적으로 제작된 스크립트 악성코드들

특정 상품들을 광고하기 위한 목적으로 제작된 애드웨어는 2010년 상반기 중국 대륙에서 스크립트 형태의 악성코드로 발견되었다.

해당 스크립트 악성코드는 윈도우 바탕화면에 다수의 광고성 웹 사이트로 접속을 유도하는 허위 바로가기 파일을 생성하고 레지에디터(Regedit)와 같은 윈도우 시스템 관련 파일들의 실행을 방해하는 특징들이 존재한다.

3. 2010년 상반기 중국 대륙에서 악용된 주요 보안 취약점

2010년 상반기 중국 대륙에서 가장 많이 악용된 주요 보안 취약점은 단연 마이크로소프트에서 제작된 소프트웨어들이 차지하고 있다.


그 중에서도 지앙민에서는 MS10-018 인터넷 익스플로러 취약점(CVE-2010-0806), MS10-002 인터넷 익스플로러 취약점(CVE-2010-0249) 그리고 MS09-002 인터넷 익스플로러 취약점(CVE-2009-0075) 순서로 발생하고 있다고 한다.

특히 전체 악용되는 보안 취약점들 중에서 마이크로소프트가 차지하고 있는 비중이 약 60% 정도가 된다고 언급하며 윈도우와 인터넷 익스플로러 관련 보안 취약점의 악용이 특히나 심각한 것으로 보고 있었다.

이러한 웹 브라우저 관련 취약점들을 악용한 사례가 증가함에 따라 중국 대륙에서 서비스 되는 동적 도메인 네임 서비스(DDNS, Dynamic Domain Name Service)들 역시 악의적인 목적으로 악용되고 있었다.

특히 3322.org, 2288.org, 9966.org 그리고 8866.org와 같은 도메인 명칭으로 악성코드가 유포되는 것을 지앙민에서는 파악하였다고 한다. 그 중에서는 악성코드를 유포하기 위해 하위 도메인 네임으로 17,576개를 생성한 사례도 발견되었다고 한다.

이러한 동적 도메인 네임 서비스를 이용하여 악성코드를 유포하는 행위가 중국 대륙 내부에서 6월 이후에 서서히 감소 추세에 있는 것으로 분석하고 있었다.

2010년 상반기 중국 대륙 내부에서 발생한 다양한 보안 위협들을 정리한 지앙민에서는 2010년 하반기 역시 금전적인 목적의 악성코드 제작이 더욱 심화 될 것으로 예측하고 있었다.
저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC