2024-05-22 07:15 (수)
요즘 악성코드 특징, 백신우회-루트킷설치-은폐기능 장착!
상태바
요즘 악성코드 특징, 백신우회-루트킷설치-은폐기능 장착!
  • 길민권
  • 승인 2012.09.03 01:44
이 기사를 공유합니다

빛스캔 “웹 서비스에 방문만 해도 감염 되는 공격코드들 창궐”
지난주는 자바 제로데이 취약점(CVE-2012-4681)으로 인해 국내 상당수 PC가 악성코드에 감염되는 사태가 발생했다. 이에 대한 분석 자료는 빛스캔(대표 문일준) 분석자료를 통해 데일리시큐에서 상세히 보도한 바 있다. 다행히 오라클에서 패치를 공개했지만 사용자가 업데이트를 하지 않으면 무용지물이라 사용자들의 적극적인 패치가 가장 중요하다.
-관련 기사: www.dailysecu.com/news_view.php?article_id=2845
 
빛스캔은 8월 마지막주 악성코드 공격의 특징을 다음과 같이 정리하고 있다.
•자바 제로데이 취약점(CVE-2012-4681) 이용하는 공격 출현 및 Java 만을 공격하는 공격 Set 활용 증가
•게임계정 탈취를 위한 악성코드의 변화 감지(IP 대역 스캔 기능 이외)
•8월 3주차에 대규모 유포가 이루어졌던 루트킷, 백도어 유형의 경우 지난주 활동 미미. 부가적인 위험 증가(감염된 좀비PC들을 활용한 추가 위험이 발생 할 수 있으며 전주 유포지로 이용 되었던 곳들은 금주 공격이 미미한 상태)
•APT 형태의 악성코드 유포 확대: 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인
•8월 첫째주에 언급한 Mass SQL i의 전세계적인 공격(한국, 오스트레일리아, 러시아, 미국 등) 출현 및 다양한 악성링크 활용, xxxx.nu/sl.php의 형태 계속
•6월 1주차 언급된 거대 MalwareNet의 재활성화(www.sxxxx.com/school02/flash/view.js)
•MalwareNet의 활성화(5~20개 규모의 신규 Malwarenet 출현 및 변경 계속됨)
•최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 계속
•백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속
•게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속 발견  
•MS XML(CVE 2012-1889) 취약성의 경우 업데이트를 하지 않았다면 반드시 업데이트를 적용해야 함.
•7월 3주차부터 사용률이 급상승한 Java 취약점인 CVE-2012-1723도 반드시 패치해야 한다.
 
빛스캔 기술분석 보고서에 따르면, 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은 사용자 PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 계속 관찰되고 있어서 위험성이 높다. 또한 백도어 기능 설치 시에는 시스템상의 백신 프로세스 우회 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제해 정체를 은폐하고 있는 것으로 나타났다.  
 
이 회사 관계자는 “최근 언론상에 많이 나타나고 있는 은행권에 대한 호스트파일 변조를 통한 피싱 공격은 이미 5-6월에 유포된 상당수의 악성코드 피해가 지금에서야 드러나는 것으로 볼 수 있다”며 “백신들에 대한 업데이트 주소 변경 내용들도 마찬가지다. 향후 ARP Spoofing에 의한 피해도 나타날 것으로 보인다”고 밝혔다.
 
전상훈 기술이사는 “현재의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있어 웹 서핑만 해도 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있다”며 “기본적인 문제를 해결 할 수 있는 보안패치는 반드시 적용 해야만 위험을 줄일 수 있으니 반드시 기관과 기업 내부적으로 강력한 권고가 필요하다”고 강조했다.
 
또 “Oracle Java 취약성, Adobe Flash 취약성, MS의 XML, Midi 및 IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있다”고 덧붙였다.
 

<8월 4주차 취약성 비율>
 
취약성 비율을 살펴 보면 XML 서비스에 대한 공격은 여전히 유효한 것으로 판단되고 있다. 또한 1723,0507,3544 등 Java에 대한 공격이 같은 세트로 활용되는 것으로 관찰되어 Java 관련된 취약성의 해결에 높은 수준의 주의가 필요한 상황이다.
 
KAIST CSRC 주간보안동향 보고서는 1P 짜리 요약형태로 작성이 되며 무료 배포가 가능하다. 해당 서비스의 신청은csyong95@kaist.ac.kr로 신청하면 된다.
 
또 빛스캔 보고서 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr로 기관명, 담당자, 연락처 등을 기재해 신청하면 1회에 한해 받아 볼 수 있다.
 
보고서 내용중 악성링크 자체 수집은 빛스캔 PCDS (Pre crime detect system)를 통해 수집되며 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터, 정보보호대학원과 공동으로 진행하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
 
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★