중국 보안 업체인 킹소프트(KingSoft)에서 2009년 중국에서 발생한 다양한 보안 위협들을 정리한 중국 보안 위협 동향 보고서를 중국 CNET을 통해 2009年中国电脑病毒疫情及互联网安全报告을 발표하였다.


이 번에 킹소프트를 통해 발표된 2009년 중국 보안 위협 동향 보고서를 정리하면 다음과 같은 내용들을 담고 있으며 이와 더불어 2010년에 발생 될 것으로 예측한 보안 위협들도 같이 공개하였다.

1. 2009년 중국 보안 위협 동향 분석

킹소프트에서는 2009년 한 해 동안 총 20,684,223개의 악성코드가 중국에서 발견이 되었으며 2008년 13,899,717개에서 49%나 증가한 수치로 밝히고 있다. 여기서 2008년 이전의 수치와 급격하게 차이가 나는 점에 대해 2008년부터 클라우드 보안(Cloud Security) 기술을 제품에 적용하였기 때문으로 밝히고 있다.


이렇게 발견된 악성코드는 형태별로 분류하게 될 경우에는 아래 이미지에서와 같이 트로이목마가 73.6%로 총 15,223,588개가 발견되어 가장 많은 수치를 차지하는 것으로 분석하였다.

이렇게 트로이목마가 가장 많은 비율을 차지하고 있는 원인으로는 웹 사이트를 통해 유포되기 때문이며 발견된 트로이 목마 중에서는 8,393,781개가 웹 사이트를 통해 유포되었다고 한다.


그리고 클라우드 보안 기술을 통해 중국 내부에서 약 84억 회의 클라우드 데이터베이스(Database)로 조회가 발생하였으며 약 7600만대의 컴퓨터 시스템이 악성코드 감염이 되었음을 확인하였다고 한다. 이렇게 감염 시스템의 수치는 2008년과 비교하여 13.8%가 증가한 수치인 것으로 밝히고 있다.

그리고 피싱(Phishing)을 목적으로 제작된 악의적인 웹 사이트 역시 2009년 하반기부터 급증하기 시작하여 12월 1달간 발견된 수치만도 약 1만개를 넘고 있다고 한다.

2. 2009년 주요 악성코드 기술적 동향 분석

킹소프트에서는 여러가지 악성코드의 기술적 동향 중에서도 중국내부에서 많이 사용되고 있는 검색 웹 사이트인 바이두(Baidu)를 통해 악성코드 유포하는 웹 사이트로 접속을 유도하는 블랙햇 SEO(BlackHat Search Engine Optimization)을 그 중 하나로 보고 있다.


킹소프트에서 제공한 위 이미지에서와 같이 바이두 웹 사이트에서 특정 검색어로 검색을 시도 할 경우 악의적인 웹 사이트를 검색 순위에서 높게 나오도록 하는 것으로 중국내부에서는 검색 결과의 상위 20개 중 10개 이상이 악의적인 웹 사이트인 경우도 있다고 한다.

3. 2009년 주요 중국 보안 사고

여기서 선정된 중국 주요 보안 사고에 대해 킹소프트에서 음력을 기준으로 하여 선정되었음을 밝히고 있어 양력 날짜와 차이가 있을 수 있음을 밝히고 있다.

1) 2010년 1월 12일에 발생한 DNS 서버 조작을 악용한 바이두 웹 사이트에 대한 분산 서비스 거부 공격
킹소프트에서는 대형 웹 사이트에 대한 직접적인 공격이나 해킹이 어려움으로 DNS 조작을 통해 분산 서비스 거부 공격이 발생한 것으로 분석하고 있다.

2) MS10-002 인터넷 익스플로러(Internet Explorer)의 제로 데이 취약점을 악용한 공격
2010년 1월 15일 알려진 해당 취약점은 마이크로소프트에서 보안 패치를 제공하기 전까지 매일 36.3%의 수치로 공격이 증가하였으며 최고 1일 428,144회의 공격이 발견되기도 하였다고 한다.

3) 중국 음악 포털 사이트 공격으로 인한 인터넷 접속 불가
2009년 5월 9일 발생한 해당 사고는 중국의 유명 음악 포털 사이트에 대한 공격 도중에 갑자기 DNS 조회가 급격하게 증가하게 되어 많은 시스템들이 DNS 조회 실패가 발생하게 되었다. 이 문제로 중국내 10개 도시에서 1시간 넘게 인터넷을 정상적으로 사용하지 못한 문제가 발생하였다.

4) 유해 차단 소프트웨어 그린 댐 유스 에스코트(Green Dam Youth Escort) 설치 논란
2009년 6월 중국 정부에서는 유해 차단 소프트웨어인 그린 댐 유스 에스코드 프로그램을 의무적으로 설치할 것을 시도하였으나 중국 내외적으로 많은 반대 의견으로 인해 7월 1일 중국 정부에서는 한 발 물러선 해당 정책에 대한 유보를 발표하였다.

6) 허위 백신의 유포를 금전적 이득 획득
2009년 들어 진단과 치료가 정상적으로 되지 않는 허위 백신이 중국내에서 많이 유포 되면서 이를 이용해 금전적인 이득을 얻고자 하였다.

6) 중국 11차 인민 대회를 통한 형법 개정
2009년 2월 중국에서는 11차 전국인민대회를 통해 사이버 범죄와 관련한 형법을 개정하였다. 이 번 개정에서는 그 동안 중국 내외에서 많은 문제 제기가 있었던 사이버 범죄와 관련한 형법을 개정하여 처벌 수위가 강해졌다.

7) 猫癣 악성코드의 대량 감염
해당 악성코드는 중국 킹소프트의 진단명으로서 2009년 1월 18일 발견되기 시작한 해당 악성코드는 usp10.dll 파일명으로 네트워크와 USB 를 통해 감염 되며 그 변형들이 약 500개 정도 발견되었으며 중국 내부에서만 매일 평균 약 40만대의 컴퓨터 시스템이 감염되었다.

4. 2010년 보안 위협 예측 분석

킹소프트에서는 2009년 분석한 보안 위협 동향들을 바탕으로 2010년에 발생 가능한 보안 위협들을 다음과 같이 정리 하였다.

1) 제로 데이(Zero-Day, 0-Day) 취약점의 증가

2) 웹 사이트를 통해 유포되는 악성코드와 피싱 웹 사이트의 증가

3) 트로이목마의 지속적인 증가

4) 무선 네트워크를 이용한 공격 증가

이렇게 중국 보안 업체인 킹소프트에서는 2009년 한 해 동안 중국에서 발생한 다양한 보안 위협들을 정리하였으며 이 외에도 2009년 중국에서 발견된 주요 악성코드로는 Conficker 웜과 Induc 바이러스의 감염을 들고 있다.
저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

러시아 보안 업체 닥터웹(Dr.WEB)에서 2010년 2월 한 달 동안 발생한 다양한 보안 위협들에 대해 정리한 "Fake anti-viruses and other threats of February 2010"를 발표 하였다.


이 번 2010년 2월 한 달 동안 닥터웹에서는 보안 위협 이슈들 중에서 닥터웹에서 주요 이슈로 분석하고 있는 사항은 크게 3가지로 보고 있다.

1. 사용자 컴퓨터에 설치되어 다른 프로그램의 실행을 방해하여 정상적인 컴퓨터 작업을 하지 못하도록 하는 랜섬웨어(Ransomware)의 위협

2. 악의적으로 제작된 웹 사이트에 의한 브라우저 블러킹(Browser Blocking)에 의한 정상적인 컴퓨터 작업 방해

3. 웹 사이트로 연결하는 링크가 포함된 전자 메일, 온라인 메신저 그리고 검색 엔진 등을 통해 유포되는 허위 백신의 위협

먼저 첫 번째 보안 위협 이슈로 보고 있는 랜섬웨어의 경우 1월에 이어 Winlock 트로이목마가 이슈가 되고 있지만 지난 1월과 비교하여 그 감염율이 많은 감소를 보이고 있다고 한다.

그리고 두 번째 보안 위협 이슈로 보고 있는 브라우저 블러킹 형태는 주로 애플(Apple)사의 맥(Mac) OS에 설치되어 있는 사파리(Safari)에서 발생하고 있다.

이는 악의적으로 제작된 웹 사이트에 접속 할 경우 닥터웹에서 제공한 아래 이미지에서와 같이 특정 팝업 창을 생성하여 정상적인 컴퓨터 작업을 방해하고 휴대전화를 통한 SMS 결제를 통한 인증 코드를 입력 할 경우에만 팝업 창이 제거되도록 하는 특징이 있다.


그리고 마지막으로 세 번째 보안 위협 이슈로는 한국을 포함한 전 세계적인 보안 위협 이슈인 허위 백신을 설치하는 악성코드로 분석하고 있었다.

아래 이미지와 같은 닥터웹의 악성코드 감염 통계 중에서 허위 백신을 설치하는 악성코드는 2009년 9월부터 급격히 증가하기 시작하여 2010년 2월까지 6개월 동안 높은 감염율을 보이는 것으로 분석하고 있다.


이 번 2월 악성코드 감염율은 지난 2009년 12월과 비교하여 크게 증가한 24%가 증가한 것으로 분석하고 있어 전체적인 악성코드가 크게 증가한 것으로 볼 수 있다.

그리고 전자 메일로 유포된 악성코드 통계에서는 앞서 이야기한 허위 백신을 설치한 악성코드가 전체 TOP 20 중에서 총 8개가 포함되어 있을 정도로 높은 감염율을 보이고 있었다.


일반 고객 시스템에서 감염된 악성코드 통계에서는 전체적으로 다양한 악성코드 감염 형태를 볼 수가 있으나 그 중에서도 비주얼 베이직 스크립트(Visual Basic Script)로 제작된 악성코드가 비교적 순위가 높다는 점을 특색으로 볼 수 있다.

저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

최근 들어 다시 국내 언론을 통해 중국발 해킹으로 인한 개인 정보 유출 사고가 기사회 되어 알려지고 있다. 이러한 중국발 해킹의 주된 원인으로 금전적인 댓가를 통한 해킹이 가장 큰 문제가 되고 있다.


ASEC에서 금전적인 해킹과 악성코드 제작이 성행하고 있는 중국 언더그라운드를 조사하던 중 트로이목마 제작과 함께 분산 서비스 거부 공격(DDoS) 도구를 판매하는 웹 사이트를 파악하였다.


이 번에 파악한 중국 웹 사이트는 위 이미지와 같이 트로이목마와 분산 서비스 거부 공격 도구를 판매하고 있었으며, 한국인 구매자들을 위해 한글 웹 페이지를 제공하여 트로목마와 분산 서비스 거부 공격 도구의 기능들에 대해 상세하게 설명하고 있었다.

해당 웹 사이트에서 판매되고 있는 금액은 트로이목마의 경우 1만 6천원에서 12만 8천원에 거래되고 있으며 분산 서비스 거부 공격 통의 경우에는 19만 2천원에서 32만원에 판매되고 있었다.

이렇게 금전적인 목적으로 악성코드나 공격 도구들의 판매로 인해 새로운 보안 위협이 지속적으로 양산되고 있음으로 제도적으로 이러한 행위를 차단하여야 할 것이다.

저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

캐나다 보안 업체 포티넷(Fortinet)에서 2010년 2월 한 달 동안 발생한 다양한 보안 위협들에 대해 정리한 THREATSCAPE REPORT - FEBRUARY 2010 EDITION를 공개하였다.


이 번에 공개된 포티넷의 2010년 2월 보안 위협 동향에서는 아래와 같은 TOP 10 취약점이 가장 많이 악용되고 있는 것으로 밝히고 있다.


이러한 취약점들은 아래 이미지와 같이 미국에서 전체의 약 29%가 발생하고 있으며 이 중 한국 역시 약 4% 정도의 공격이 발생하고 있는 것으로 분석하고 있었다.


이번 2010년 2월의 악성코드 TOP 10은 다음과 같으며 1위에는 스크립트 악성코드인 Goldun이 차지하고 있다. 해당 스크립트 악성코드는 웹 브라우저(Web Browser)의 취약점을 악용하는 형태로 알려져 있다.


그 외에 4위, 6위 그리고 10위 스크립트 형태의 악성코드가 포함이 되어 있으며 이는 웹 브라우저의 취약점을 악용하는 웹 사이트들이 증가 추세에 있는 것으로 해석 할 수 있다.


전체 악성코드의 증가 추세 역시 11월을 정점으로 감소 추세에 있다가 2월을 기점으로 다시 증가 하고 있는 것으로 밝히고 있어 악성코드 TOP10의 스크립트 악성코드 증가 추세와 무관하지 않으리라 보인다.

그리고 포티넷의 월드 바이러스맵(World Virus Map)에서는 2010년 2월 한달 동안 집계한 한국의 악성코드 TOP 10은 Bredolab 변형들이 순위에서 빠지고 그 대신 Virut 바이러스 변형들이 3위와 4위로 순위가 상승하였으며, 한국 지역 역시 6위에 스크립트 악성코드가 포함되어 있는 것으로 분석하고 있다.

저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

2010년 3월 3일 ASEC에서는 Palevo 웜 제작 그룹이 스페인 경찰에 체포 되었다는 소식을 전한 바가 있었다. 해당 Palevo 웜 제작그룹은 웜을 생성 할 수 있는 생성도구를 구매하여 웜을 제작 유포하고 마스터 서버(Master Server)를 통해 감염 시스템들을 조정한 것으로 알려져 있다.


ASEC에서는 해당 Palevo 웜 제작과 관련하여 추가적인 조사를 하는 과정에서 해당 웜을 제작할 수 있는 툴 킷과 더불어 조정할 수 있는 마스터 도구들을 제작하여 판매하는 웹 사이트를 확인 하게 되었다.


해당 웹 사이트에서는 ButterFly 라는 이름으로 해당 툴 킷들을 판매하고 있었으며, 버전에 따라서 350 유로(약 54만원)에서 1100 유로(약 170만원)에 판매되고 있었다. 그리고 USB 또는 메신저 전파 기능 등을 별도의 모듈로도 판매하고 있었다.

* 판매 가격

BASIC: 350 EUR
(BFF core with modules: External Downloader, USB Spreader, MSN Spreader)

PREMIUM: 400 EUR
(BFF core with modules: External Downloader, Basic Flooder, Slowloris Flooder)

BUSINESS: 450 EUR
(BFF core with modules: External Downloader, Visit, Cookie Stuffer, Adware Simple)

STANDARD: 600 EUR
(BFF core with modules: External Downloader, USB Spreader, MSN Spreader, Basic Flooder, Visit, Reverse Socks Simple)

SELECTED: 600 EUR
(BFF core with modules: External Downloader, USB Spreader, MSN Spreader, Basic Flooder, Slowloris Flooder)

PROFESSIONAL: 900 EUR
(BFF core with modules: External Downloader, Visit, Reverse Socks Simple, Connect Hook, Post Data Grabber, Cookie Stuffer, Adware Simple)

ULTIMATE: 1100 EUR
(BFF core with modules: External Downloader, Basic Flooder, Slowloris Flooder, USB Spreader, MSN Spreader, Visit, Reverse Socks Simple, Connect Hook, Post Data Grabber, Cookie Stuffer, Adware Simple)


그리고 해당 웹 사이트에서는 판매하는 해당 웜 생성 툴 킷들을 이용한 감염된 조정 관련 이미지도 제공하고 있었으며 아래 이미지와 같이 직접적인 웜 생성툴을 이미지를 보여줌으로서 다양한 형태의 변형 제작이 가능하도록 공개하고 있었다.


이렇게 금전적인 목적으로 악성코드 생성 툴 킷 등의 판매 행위는 처음 있는 일이 아니며 2009년 6월 핀잔(Finjan)의 보안 위협 동향에서도 공개된 적이 있었다.

Palevo 웜이 이러한 툴 킷으로 생성됨으로 인해 해당 웜은 쉽게 자취를 감추기는 어려울 것으로 예측됨으로 많은 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

러시아 보안 업체 닥터웹(Dr.WEB)에서 2010년 1월 한 달 동안 발생한 다양한 보안 위협들에 대해 정리한 "First epidemic in 2010 and other virus events of January"를 발표 하였다.


이 번 2010년 1월 한 달 동안 닥터웹에서는 가장 큰 보안 위협 이슈로 사용자 컴퓨터에 설치되어 다른 프로그램의 실행을 방해하여 정상적인 컴퓨터 작업을 하지 못하도록 하는 랜섬웨어(Ransomware)의 한 종류인 Winlock이라는 트로이목마로 분석하고 있다.

해당 랜섬웨어가 실행 되면 아래 이미지 같은 화면을 생성하여 휴대전화의 SMS(Short Message Service)를 통해 금전 결제를 하도록 강제 하고 있다. SMS를 통해 7유로에서 14유로의 금전 결제가 이루어지게 되면 해당 랜섬웨어의 시스템 잠금 코드가 해제 되도록 하고 있다.


닥터웹에서는 해당 랜섬웨어가 1월 11일부터 급격히 증가하기 시작하였으며 약 85만대 정도에서 해당 랜섬웨어가 진단된 것으로 분석하고 있다.

그리고 1월에는 파일 공유 프로그램으로 유명한 토렌토(Torrent)의 파일이 첨부된 전자 메일이 대량으로 유포되는 이슈가 있었다고 한다. 해당 전자 메일에 첨부된 토렌토 파일 자체는 악성코드가 아니었지만 토렌토로 공유된 파일은 사용자의 개인 정보를 유출하도록 제작된 트로이목마였다고 한다.

이번 2010년 1월 전자 메일로 유포된 악성코드 TOP 20은 아래의 순위로 닥터웹에서 집계하고 있으며 2월에 유포된 전자 메일은 2009년 12월과 비교하여 약 30%가량이 감소한 수치를 보인 것으로 분석하고 있다.

특히 한국 내에서도 발견되고 있는 허위 백신을 설치하는 Fakealert 트로이목마가 총 8개가 순위에 포함되어 있으며 그 외에 MyDoom 웜과 Bagle 웜이 순위에 포함되어 있는 점을 특이 사항으로 볼 수 있다.


닥터웹에서는 그 외에 1월 한달 동안 사용자 컴퓨터에서 진단된 악성코드 TOP 20은 아래 이미지와 같이 공개하고 있다. 다른 보안 업체에서 공개한 보안 위협 동향들과 다르게 MyDoom 웜, Netsky 웜 그리고 Bagle 웜이 순위의 상위를 차지하고 있으며 Bredolab 트로이목마Zbot 트로이목마와 같은 악성코드가 순위에 포함되어 있지 않는 점을 특이 사항으로 볼 수 있다.

저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

미국 보안 업체인 웹센스(Websense)에서 2010년 1월 한 달 동안 발생한 다양한 보안 위협들을 정리한 This Month in the Threat Webscape을 발표하였다.



2010년 1월 한 달 동안 발생한 보안 위협들 중 웹센스에서는 MS10-002 취약점을 악용하여 구글(Google)과 어도비(Adobe)를 대상으로 한 타켓 공격(Targeted Attack)을 가장 큰 보안 위협 이슈로 분석하고 있었다.

그 외 구글과 같은 검색 엔진에서 특정 단어 검색시 악의적인 웹 사이트로 유도하는 Blackhat SEO(Search Engine Optimization) 기법에서 악용된 사회적인 이슈로는 아이티(Haiti) 지진 사고, 영화 아바타(Avatar) 개봉 그리고 애플(Apple) 아이패드(iPad)가 있었던 것으로 보고 있다.


그리고 웹센스에서는 위 이미지에서와 같이 1월 한 달 동안 전자 메일로 유포되었던 악성코드 TOP 10을 집계하였다. 이 중에서는 한국으로도 꾸준히 유입되고 있는 Bredolab 변형들이 5개나 포함되어 있어 1월 한 달 동안에도 Bredolab 변형들이 지속적으로 전자메일을 통해 유포된 것을 알 수 가 있다.

저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

미국의 메일 보안 솔루션 개발 업체인 메시지랩(MessageLabs)에서 2010년 1월 보안 위협 동향을 분석한 메시지랩 인텔리전스(MessageLabs Intelligence: January 2010) 리포트를 발표 하였다.


이 번에 발표된 메시지랩의 1월 보안 위협 동향 리포트를 살펴보면 메일과 악의적인 웹 사이트들과 관련된 보안 위협들이 전반적으로 감소 추세 있는 것으로 보여지며 다음과 같은 특징들이 있는 것으로 분석하였다.


메시지랩에서는 스팸 메일의 경우 2009년 12월과 비교하여 0.3%의 증가한 83.9%를 차지하고 있으며 1월에는 연말연시와 관련된 스팸 메일들이 다수 발견되었으며 이러한 스팸 메일 중 40%가 Spambot과 같은 악성코드에 의해 발송되고 있는 것으로 분석하였다.


전자 메일로 유포되는 악성코드의 경우에는  지난 2009년 12월과 비교해 5.9% 감소한 수치를 보이고 있다. 그러나 과거와 같이 전자 메일의 첨부 파일 형태로 유포되는 악성코드의 수치는 감소한 반면 전자 메일 본문에 악의적인 웹 사이트로 연결하는 링크만 존재하는 형태가 전체 62%를 차지하고 있는 것으로 분석하고 있다.


웹 사이트 보안과 관련하여 2010년 1월에는 매일 새로운 악의적인 웹 사이트는 1,760개가 발견되었다고 하나 2009년 12월과 비교하여 56.2%나 크게 감소한 것으로 분석하고 있다.

그 외에 메시지랩에서는 2009년 12월 15일 발생한 어도비 아크로뱃 리더(Adobe Acrobat Reader)의 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용한 타켓 공격(Targeted Attack)을 주요 보안 위협 이슈로 보고 있었다. 특히 메시지랩에서는 해당 취약점이 11월 20일 경부터 알려졌던 것으로 보고 있다.
저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

안철수연구소 ASEC에서 2010년 1월 한 달 동안 국내외 보안 위협 이슈와 동향들을 정리한 ASEC 리포트를 발간하였다


이 번에 발간된 ASEC 리포트는 2010년 1월의 주요 보안 위협 이슈는 다음과 같으며 자세한 사항은 ASEC 리포트 전문을 통해 파악 할 수 있다.

인터넷 익스플로러 제로데이 취약점 (CVE-2010-0249)
윈도우 시스템 파일을 감염 시키는 바이러스 변형 – Win32/Dnis.C
팔레보(Win32/Palevo.worm ) 변형 기승
정상 프로그램으로 위장하는 스파이웨어
국산 리워드(reward) 프로그램의 확산
중국산 DoS 툴의 위험성
Case Study: MS10-002 취약점을 사용한 악성코드 유포사례
도메인 명 정책 변경으로 인한 피싱 주의!

안철수연구소 ASEC에서 발간한 리포트는 아래 웹 사이트에서 확인 할 수 있으며 PDF 파일을 통해서도 전문을 확인 할 수 있다.


저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

중국 대륙의 보안 위협과 사고를 총괄하는 CNCERT/CC에서 2009년 12월 웹 사이트 위변조 보안 사고 동향 보고서를  발표 하였다.



CNCERT/CC에서 발표한 이번 보고서에 따르면 2009년 12월 한 달 동안 중국 대륙에서만 웹 사이트 위변조 사고가 감소하였는 반면 홍콩과 대만 모두 증가하였다.

특히 중국 대륙의 경우, 감소의 폭이 큰 편으로 이번 12월에는 총 2287건의 웹 사이트 위변조 사고가 발생하여 11월2786건이 감소한 수치를 보였다.

그 외 홍콩의 경우 12월 12건이 발생하여 지난 11월과 비교하여 6건이 증가하고 대만의 경우 11월과 비교하여 9건이 증가한 11건이 발생하였다고 한다.

이번 CNCERT/CC의 12월 웹 사이트 위변조 보안 사고 동향 보고서는 아래 웹 사이트에서 PDF 파일로 다운로드 할 수 있다.

CNCERT/CC被黑网页统计报告(2009年12月)
저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC