2019-12-12 06:05 (목)
6월, 인터넷 상 악성 프로그램 Top 20은?
상태바
6월, 인터넷 상 악성 프로그램 Top 20은?
  • 길민권
  • 승인 2011.07.19 19:11
이 기사를 공유합니다

카스퍼스키랩, 6월 악성 프로그램 통계 공개
아래 내용들은 카스퍼시키랩이 6월 자사 제품이 설치된 컴퓨터의 데이터를 사용해 조사한 내용들이다. 6월 달에 249,345,057개 네트워크 공격을 차단했고 68,894,639개 웹 기반 감염 시도 차단, 216,177,223개 사용자의 컴퓨터에서 탐지되어 처리된 악성 프로그램, 83,601,457개 휴리스틱 탐지가 등록된 것으로 나타났다.
 
6월 주요 사건 개요
다행스럽게도, 카스퍼스키랩 첫 번째 여름 보고서에는 일반적인 사이버 범죄 행위 외에는 색다른 것이 없었고 큰 사건 없이 비교적 평온했다. 개발 도상국에서 가해자는 IT 사용자의 보안 무지를 이용해 악성 코드를 확산했다. 선진국에서는 사용자의 데이터와 돈을 대상으로 하는 악성 코드가 만연했다. 브라질이 흔히 'bankers'인데 반해, 러시아는 여전히 악성코드를 다양한 사기에 이용하고 있다.
 
최근 여러 기업에서 제공하는 클라우드 서비스가 화제이다. 6월에, 사이버 범죄자는 아마존의 클라우드 호스트를 이용하여 브라질 사용자를 목표로 9개의 브라질 은행의 고객 데이터를 훔치기 위해 설계된 악성 코드를 배포했다. 성공 확률을 높이기 위해 악성코드는 온라인 뱅킹을 안전하게 하는 특별한 플러그인과 AV 프로그램들의 정상적인 작동을 차단한다. 또한 악성코드는 디지털 인증서 및 마이크로소프트 라이브 메신저 자격 증명을 가로채기도 한다.
 
러시아 공격자는 BitCoins 가상 머니 시스템을 사용하여 흔적 없는 돈을 만들기 위해, Trojan Blockers와 표준 가짜 보관함 뿐만 아니라 비블록화 컴퓨터에 대한 몸값을 요구했다. 요구하는 것은 짧은 시간 동안 피해자 머신의 자원을 장악하는 것이었다.
 
카스퍼스키 랩 전문가들은 피해자 컴퓨터에서 사이버 화폐를 생성하기 위한, 합법적인 BitCoins 파일, bcm.exe에서 시작 악성 코드의 일부를 발견했다. 파일에는 악성 프로그램이 포함되어 있어 악성코드가 실행된 후에 하드 드라이브에 복사된다. BitCoins 사이트 관리자는 공격자의 계정을 빠르게 차단하므로 사이버 범죄자들이 많은 돈을 가로챌 수는 없다.  
 
black hats이 맥 OS X에 보인 관심은 누그러지지 않았다. 5월에 해당 플랫폼에 대한 가짜 안티바이러스 프로그램이 탐지되었고 6월에는 사이버 범죄자들이 백도어를 배포하는 것이 발견되었다. Backdoor.OSX.Olyx.a. 악성 코드의 조각은 그들이 자신의 악의적인 목적을 위해 감염된 컴퓨터를 사용할 수 있도록 피해자 컴퓨터 원격 제어를 공격자에게 제공하도록 설계되었다. 다른 악성 코드를 다운로드, 프로그램을 실행하고 실행 해석 프로그램에 명령을 보낼 수 있다.
 
사이버 범죄 전쟁에 대한 다양한 법 진행 기관들의 공동 노력으로 만들어진 여러 성공적인 활동의 결과, 6월에는 몇 가지 주목할 만한 성공을 가져왔다. 미국에서는 가짜 안티바이러스 프로그램으로 돈을 만드는 두 개의 국제 그룹의 범죄 활동이 종료되었다. 통계에 따르면, 이러한 그룹에 의한 피해 금액은 7,400만 달러에 이른다. 미국 기관뿐만 아니라, 독일, 프랑스, 네덜란드, 스웨덴, 영국, 루마니아, 캐나다, 우크라이나, 리투아니아, 라트비아와 키프로스에서도 관련 법 진행 기관이 이러한 그룹을 검거하는 작업에 참여하고 있다.
 
온라인 사기 체계를 구현한 혐의를 받고 있는 600여 명의 사람들이 여러 동남 아시아 국가에서 체포됐다. 검거 작전에는 중국의 경찰 부대, 대만, 캄보디아, 인도네시아, 말레이시아, 태국이 포함되어있다. 러시아에서는 러시아 주요 지불 처리 센터 ChronoPay의 소유자인 Pavel Vrublevsky가 경쟁 서비스에 대한 DDoS 공격을 조직한 혐의로 체포되었다. 이것은 입법 차원에서 사이버 범죄 퇴치의 또 다른 중요한 발전을 언급할 가치가 있다. 6월, 일본 의회는 악성코드를 생성하고 배포하는 행위에 대한 처벌 조건을 도입, 기존의 법률 개정안을 통과시켰다.
 
멀웨어 등급
지난 달에도 그랬지만, 6월에 인터넷상의 악의적인 프로그램 Top 20은 새 항목이 다수 포함되어 있는 반면 사용자의 컴퓨터에서 탐지된 위협 Top 20 항목은 거의 변하지 않고 유지되었다.
 
인터넷상의 악의적인 프로그램
인터넷 상의 악성 프로그램 Top 20은 drive-by 공격을 하는 악성코드들이 또다시 지배했다. 리디렉터, 스크립트 다운로더 및 취약점. 이들은 이번 평가에서 20개 중 14위를 차지했다. 
 
리디렉터
4개의 리디렉터가 이 순위에 나타났다. 그것은 Trojan-Downloader.JS.Agent.fzn(12위), Trojan-Downloader.JS.Agent.gay(13위), Trojan-Downloader.JS.IFrame.cfw(14위) 그리고 Trojan.JS.IFrame.tm (15위)로 나타났다.
 
14위, 15위 두개는 단순히 <iframe> 태그를 사용하는 악의적인 사이트에 사용자를 리디렉트하고 좀 더 정교한 기술을 사용하는 다른 두 항목에 비해 원시적이라고 할 수 있다. 뿐만 아니라 사용자들이 활성 창의 경계 내에 커서를 이동할 때에만 감염된 합법적인 .js 파일들은 다른 Javascript의 다운을 호출한다. 이 기술은 '샌드박스'와 에뮬레이터의 특정 유형을 우회하기 위해 사용하는 것으로 나타난다.
 
 
Trojan-Downloader.JS.Agent.gay에 감염된 스크립트의 조각 
 
다운로더
스크립트 다운로더는 순위에서 두 그룹으로 나타났다. 첫번째는 Trojan.JS.Redirector.pz(5위), Trojan.JS.Redirector.qa(7위) Trojan.JS.Redirector.py(8위) 그리고 Trojan.JS.Redirector.qb(9위)다. 두번째는 Trojan-Downloader.JS.Agent.gbj(11위)와 Trojan-Downloader.JS.Agent.gaf(19위)로 구성되어 있다. 

이 모든 다운로더의 메인 스크립트 데이터는 HTML 태그에 저장된다. 첫번째 그룹의 스크립트는 <img> 태그의 고도 매개 변수를 사용하고 반면에 두번째 그룹은 <div>태그를 사용한다. 이 방법은 또한 Javascript와 HTML을 완벽하게 지원하지 않는 샌드박스와 다양한 에뮬레이터를 피하기 위해 사용하는 것으로 나타난다. 자바 익스플로잇을 실행하기 위해 이 다운로더는 취약점 CVE-2010-4452와 CVE-2010-0886를 사용한다. PDF 문서와 HTML 페이지들을 끼워 넣기 위해 iframe이 사용된다. .exe 파일이 다운로드되고 Microsoft 소프트웨어의 취약점을 사용해 실행하는 많은 사용자들이 사용하는 Adodb.Stream과 MDAC는 아직 패치가 없다. 
 

Trojan.JS.Redirector.qa 악성 다운로더의 조각
 
Exploits
익스플로잇 Trojan-Downloader.SWF.Small.dj(20위)의 SWF 파일에서의 등장은 주목할 만한 가치가 없다. 그 기능은 같은 서버 폴더에서 다른 악의적인 SWF 파일의 숨겨진 출시로 구성되어 있다.
 
PDF 문서 내의 익스플로잇 2개 Exploit.JS.Pdfka.dyi(16위)와 Exploit.JS.Pdfka.duj(17위)은 태그된 이미지 파일 형태(TIFF)의 취약점(CVE-2010-1885)을 대상으로 한다. PDF파일의 분석을 더 어렵게 하기 위해, 사이버 범죄자들은 여러 개체 사이에서 익스플로잇 코드를 확산한다. Javascript의 시작은 하나의 개체에 위치해 있으며, 두번째 개체는 스크립트의 종료를 포함하고 주요 데이터는 세 번째 개체에 있다. 코드는 약간 애매하게 만들어 집니다. 모든 변수 이름들은 랜덤이고 개체와 함수의 이름은 계속해서 만들어 진다.
 
 
애매하게 만들어진 Exploit.JS.Pdfka.duj Javascript의 조각
 
Top20에 속하는 다른 새로운 익스플로잇은 Exploit.HTML.CVE-2010-4452.bc(10위)이다. 그것은 <param> 태그를 통해 Java 애플릿에 특정 매개 변수를 전송, Java 익스플로잇을 실행하고 다운로드하기 위해 간단한 취약점(CVE-2010-4452)을 사용한다. 사이버 범죄자들은 Exploit.HTML.CVE-2010-4452.bc을 마스크 하기로 결정했다. 그 경우가 나머지 기호에 변경되는 동안 <param> 태그의 상징의 대부분은 ‘&#숫자’의 순서로 수정된다.
 
 
Exploit.HTML.CVE-2010-4452.bc
 
사용자 컴퓨터의 악성 프로그램
이미 위에서 언급되었지만, 사용자 컴퓨터에서의 악성 프로그램 Top 20 순위에만 작은 변화가 있었다. 그러나 이 Top 20의 모든 일반 의심 파일들보다 오히려 파일 바이러스 Virus.Win32.Nimnul.a가 이상한 표본이다.
 
Nimnul infector
이 악성 프로그램은 먼저 5월 Top20의 후반에 나타났고 지난 두 달 동안 20위에서 11위까지 증가했다. 파일 감염자들이 점차 한물가고 있는 것을 생각하면 이것은 매우 특이한 것이다. 사이버 범죄자들은 지금 다형성 패커(포장된 악성 프로그램의 독자성을 보장하기 위해)에 의해 보호되는 악성 코드를 선호한다. 그것은 개발 또는 유지하기 쉽지 않은 사용하는 파일 바이러스의 성가심은 좀처럼 가치가 없고, 시스템에서 탐지하기 매우 쉽다.
 
Nimnul.a 바이러스는 파일의 끝에 .txt 섹션을 추가하고 그것의 입력 포인트를 수정하여 실행 파일을 감염시킨다. 시작된 후에, 감염된 파일은 OS에서 고유 바이러스 식별자(Mutex)의 존재를 확인한다. Mutex 개체의 존재는 다른 감염된 파일이 시스템에 시작되었다는 것을 의미한다. 이 경우, 바이러스는 오직 원래의 응용 프로그램만 시작한다. 만약 Mutex가 발견되지 않으면, 그것은 생성될 것이고 그 다음 메인 Nimnul 구성 요소가 디스크에 떨어뜨려 질 것이다. 이 구성요소는 디스크에 여러 다른 악의적인 라이브러리를 사용한다.
 
악성 프로그램은 주요 브라우저의 개인 설정 파일을 훔치고 원격 서버에 연결하고 다음 웹 페이지를 대체 할 수 있다.
 
바이러스는 autorun.inf를 사용하는 이동식 미디어와 자체 감염 파일을 통해 확산된다. 흥미롭게도 이 바이러스는 인도, 인도네시아, 방글라데시아, 베트남에서 기록되었다. 이것은 악성 코드가 Kaspersky Security Network 참가자의 가장 높은 비율을 감지한 나라들이다. Bangladesh(85.76%), India(65.27%), Indonesia(59.51%) 그리고 Vietnam(54.16%)순이다. 이들 국가에서 사용자들은 IT 보안에 있어서 주의하지 않고 Windows OS의 패치 되지 않은 버전을 사용하고 있다. Microsoft는 2011년 2월 8일에 이동식 미디어에서 자동 실행을 해제하는 업데이트를 발표했다.  




[제공. 한국카스퍼스키 / www.kaspersky.co.kr/]