1. 악성코드 통계
(1) 지난해 12월, 감염 악성코드 TOP15
* 자체수집, 신고된 사용자의 감염통계를 합산하여 산출한 순위
지난달(2010년 12월) 감염 악성코드 Top 15는 사용자 PC에서 탐지된 악성코드를 기반으로 산출한 통계입니다.
12월의 감염 악성코드 TOP15는 Trojan.Downloader.JNSD가 117,855건으로 TOP15중 1위를 차지했으며, Trojan.Script.473910이 92,446건으로 2위를 차지했습니다. 이외에도 12월에 새로 TOP15에 진입한 악성코드는 10종입니다.
12월에는 MS Internet Explorer의 보안 취약점(CVE-2010-0806)를 이용한 악성코드 유포 사례가 가장 많이 보고되었습니다. 또한
IT관리자의 대응이 어려운 주말 기간동안 주로 언론사 및 보안이 취약한 인터넷 사이트에 악성 스크립트를 삽입해 유포하는 경우가 많았습니다.
(2) 카테고리별 악성코드 유형
악성코드 유형별 비율은 트로이목마(Trojan)가 81%로 가장 많은 비율을 차지하였고, 11월에 비해 트로이목마(Trojan)비율이 2배 이상 증가하였습니다. 12월에는 보안이 취약한 홈페이지를 통한 악성코드 유포 때문에 Trojan의 비율이 크게 증가함과 동시에 악성코드 설치를 위하여 PC의 보안취약점을 이용하는 Exploit의 비율또한 함께 증가하였습니다.
2. 악성코드 이슈 분석 - PC사용자에게 금품을 요구하는 랜섬웨어(Ransomware)
'랜섬웨어'는 "미국에서 발견된 스파이웨어 등의 신종 악성 프로그램" 으로써 컴퓨터 사용자의 문서를 볼모로 잡고 금품을 요구한다고 해서 '랜섬'(ransom)이란 수식어가 붙었습니다. 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 스프레드시트, 그림 파일 등을 제멋대로 암호화해 열지 못하도록 하거나 첨부된 이메일 주소로 접촉해 돈을 보내주면 해독용 열쇠 프로그램을 전송해 준다며 금품을 요구하는 프로그램을 뜻합니다.
(1) 유포경로
현재까지 이메일을 통해 전파 된 것으로 확인되며, 첨부파일로 삽입 된 악성 PDF를 실행하면 Zbot이 실행되어 특정 서버에서 랜섬웨어 파일을 다운로드 합니다.
(2) 파일분석 - V.TRJ.Ransom.10752
- 리소스로드
파일이 가지고 있는 리소스 중 "cfg"데이터를 복호화 하여, 차후 사용자에게 보여줄 텍스트파일 (HOW TO DECRYPT FILES.txt)의 내용을 만듭니다.
- 뮤텍스(Mutex) 확인
Mutex("ilold") 확인 후 존재하면 ntfs_system.bat 파일을 생성하여 실행 된 파일을 삭제하고 프로그램을 종료하고, 동일한 Mutex가 없으면 스레드를 생성합니다.
- 드라이브 찾기
감염된 시스템에서 논리 드라이브로 이루어진 D드라이브를 찾습니다. D드라이브에서 폴더와 파일을 검색하여 자신이 찾는 확장자가 없는 경우 또는 D드라이브가 없는 경우에 C드라이브로 타겟을 변경하여 검색합니다.(악성코드는 일반적으로 C:\를 먼저 스캔하는 경우가 많은데 해당 악성코드는 사용자들이 문서 및 백업파일을 D드라이브에 저장하는 습관을 잘 알고 있습니다.)
- 확장자 검색
검색 중 자신이 찾는 확장자 존재 시 원본 파일을 암호화 시키고 확장자 뒤에 "ENCODED" 문자열을 추가시킵니다.
<악성파일이 정상적인 파일을 암호화 및 파일명을 변경하는 순서도>
<위 순서에 따라 바뀌어진 감염된 파일의 모습>
- 스레드 생성
시스템 바탕화면에 HOW TO DECRYPT FILES.txt 파일을 생성하고, 처음에 실행 되었던 "cfg"리소스에서 가져온 복호화 데이터를 txt파일에 삽입 후 사용자에게 보여줍니다.
<파일들은 RSA-1024로 암호화가 되어있으며, $120를 송금하라는 텍스트 파일 화면>
(3) 유포 경로
이번 랜섬웨어에 감염시 업무에 지장이 될 수 있는 문서파일과 그림파일, 압축파일 등이 암호화 되어 사용자의 불편을 일으키기 때문에 기업의 경우 막대한 손해가 발생 될 수 있습니다. 따라서 사용자는 확인되지 않은 메일에 첨부 된 파일을 실행해서는 안되며, 운영체제의 보안 업데이트 및 취약점이 존재하는 소프트웨어의 업데이트를 생활화해야 합니다. 특히 중요한 문서 및 자료들을 항상 백업하는 습관을 가져야 할 것입니다.
(후략...)
============================================================================================================
1월 알약 월간 보안동향 보고서 목차
Part I. 12월(지난달)의 악성코드 통계
1. 악성코드 통계
(1) 감염악성코드 TOP15
(2) 카테고리별 악성코드 유형
(3) 카테고리별 악성코드 비율 전월비교
(4) 월별 피해 신고 추이
(5) 월별 악성코드 DB 등록 추이
2. 악성코드 이슈분석 - PC사용자에게 금품을 요구하는 랜섬웨어
3. 허니팟/트래픽 분석
(1) 상위 TOP 10포트
(2) 상위 TOP 5 포트 월별추이
(3) 악성 트래픽 유입추이
4. 스팸메일 분석
(1) 일별 스팸 및 바이러스 통계현황
(2) 월별 통계 현황
(3) 스팸 메일 내의 악성코드 현황
Part II. 보안이슈 돋보기
1. 2011년 보안위협 전망 보고서
2. 12월의 취약점 이슈
* 아래 첨부파일을 다운로드 하시면 '1월 알약 월간 보안동향 보고서' 전문을 다운받으실 수 있습니다.
댓글 영역