악성코드 최신 동향과 기법

1

제목쓰는 공간

2006. 4. 7

㈜ 안철수연구소

AhnLab CBI Renewal Project

(서체-HY헤드라인M 30pt)

(서체-Arial Bold 15pt)

(서체-HY헤드라인M 13pt)

악성코드 최신 동향과 기법2006. 12. 04

(주) 안철수연구소

시큐리티 대응센터 (ASEC)

안티 바이러스 연구원 장 영 준

2

목 차 1. 악성코드 유형별 최근 동향

3. 주요 악성코드 감염 기법

2. 악성코드 기술적 동향

3

1. 악성코드 유형별 최근 동향

4

1. 2006년 월별 피해 신고 건수

- 6월까지는 예년과 비슷한 수치를 기록하였으나 7월부터 급격한 증가 추세

- 바이러스의 증가로 인한 전반적인 피해 증가 추세


5

2. 악성코드형태별 피해 건수

- 2006년 상반기는 웜과 트로이목마의 피해가 일반적인 동향

- 2006년 7월 이후 바이러스의 급격한 증가


6


• 통계

2006 년 최근 악성 IRCBot 웜 발견 현황

1917

14

33

44

0

5

10

15

20

25

30

35

40

45

50

5월 6월 7월 8월 9월

2006 년

- 한 동안 줄어 들었으나 MS06-040 취약점 이후 8월부터 다시 증가 추세

- 다양한 실행압축 툴과 암호화 기법을 이용한 변형들을 지속적으로 생성

3. Win32/IRCBot.worm 동향 (1)

7

3. Win32/IRCBot.worm 동향 (2)

• 취약점, 감염경로 및 변형

- 윈도우 XP SP2 사용자 증가, PFW 통합 보안제품 증가, 사용자들의 보안의식 향상

- 초기에는 MS 윈도우 서비스 취약점 10개 정도, 악성코드 오픈 포트를 사용

- 다운로더 또는 스파이웨어와 같은 다른 악성코드에 의해 설치되는 경우도 있음

- 휴리스틱 진단을 회피하기 위해 문자열 암호화와 알려지지 않은 실행압축 사용

- 윈도우 파일 보호 기법 무력화 사용

• 커널모드 봇 출현

- 소켓단의 개인용 방화벽을 우회하기 위하여 제작

- 은폐형 악성 IRCBot 은 프로세스, 파일, 레지스트리를 은폐하며 예전에도 존재


8


• 통계

- 근래 악성코드 제작 목적은 악성코드 제작자의 금전적인 이익을 위함

- 악성코드의 비율도 트로이목마가 전체의 과반수 이상을 넘어서고 있음

102

185

123153

116

460

0

50

100

150

200

250

300

350

400

450

500

7월 8월 9월

2005, 2006 3분기 트로이목마 현황

2005 3분기

2006 3분기

4. 트로이목마동향 (1)

9



- 사용자 정보 유출하거나 다른 악성코드 설치하는 다양한 형태의 트로이목마 등장

• 과거

- 사용자 데이터 삭제 또는 운영체제 를 손상 시키는 형태

• 현재

- 다른 악성코드 및 스파이웨어 등을 다운로드하는 형태 폭발적 증가

- Win-Trojan/Downloader

- 해킹 및 스팸메일의 증가로 Proxy 서버 증상을 갖는 트로이목마 증가

- Win-Trojan/Ranky, Win-Trojan/Proxy, Win-Trojan/ProxyAgent 등

- 온라인 게임의 사용자 정보를 유출 하는 증상을 갖는 트로이목마 증가

- Win-Trojan/HangHack, Win-Trojan/LineageHack, Win-Trojan/LmirHack 등

10


- 중국발 웹 해킹의 영향으로 중국산 트로이목마의 수적 증가

- Win-Trojan/GrayBird, Win-Trojan/Hupigon, Win-Trojan/PcClient

- 은폐기법 관련 커뮤니티 활성화와 소스공개로 은폐형 악성코드 증가

- Win-Trojan/HackDef, Win-Trojan/AFXRootkit, Win-Trojan/FuRootkit


11


6. 웜

• 이메일로 전파 되는 웜

- 최근에는 Win32/Stration.worm이 이슈가 되었음

- 이메일 웜의 은폐기능은 하나의 증상에 불과함

- 웜 자체의 기능보다는 다른 악성코드를 설치하는 목적으로도 이용되기도 함

- 이메일 웜 보다는 이메일을 이용하여 다른 악성코드를 퍼뜨리는데 더 적극적으로 활용됨

• 취약점을 이용하여 전파 되는 웜

- 웜에서 사용하기 쉬운 윈도우 서비스관련 취약점들이 줄어들고 있음

- 트로이목마의 증가로 인한 일반적으로 웜의 입지가 좁아지고 있음

- 취약점 자체만으로 전파되는 형태는 현재는 거의 없으며 대부분 악성 IRCBot 웜에서 사용

• 메신저를 이용하여 전파 되는 웜

- 2005년의 경우 메신저 웜이 증가 추세였으나 최신 메신저의 실행파일 전송차단 기능

으로 인해 저조

12


7. 바이러스

• 과거

- 윈도우 9x 및 윈도우 NT 등장시 폭발적으로 증가

- 다양한 바이러스 제작기법이 출현함

• 최근

- 네트워크 인프라 발달로 전파력이 없는 바이러스는 악성코드 제작자들로부터 외면

- 바이러스 제작을 위해서는 PE 파일 이해 및 윈도우 기반기술 등 고급기술이 필요함

- 웜이나 트로이목마 보다는 상대적으로 제작이 어려워 악성코드 제작자들이 기피

• 현재

- Win32/Detnat, Win32/ViKing 및 Win32/Virut 같은 바이러스의 급격한 증가추세

- 감염기법은 단순한 편이지만 다형성, 시작 실행시점 불명확, 파일 빈 공간 감염기법도 사용

- 메모리 상주 효과를 노리기 위해서 정상 프로세스에 감염루틴을 쓰레드로 생성도 함

- 별도의 감염 컴포넌트를 두고 프로세스에서 자신을 은폐시킨 후 감염 시키는 형태도 존재

13


8. 매크로, 스크립트 및 64Bit 악성코드

• 매크로 바이러스

- 최근 매크로 바이러스는 거의 발견되지 않음

- 2006년 현재까지 국내 발견 매크로 바이러스는 엑셀 매크로이며 총 4건

- MS 오피스 취약점을 이용하여 다른 악성코드의 전파 기법으로 사용되는 추세

• 스크립트 악성코드

- 최근에는 스크립트 형태의 웜은 발견되지 않음.

- 바이러스 보다는 인터넷 익스플로러 취약점을 포함한 트로이목마 증상이 대부분

- MS06-014와 MS06-071 취약점을 이용 다른 악성코드의 전파 수단으로 사용

• 64Bit 악성코드

- 현재까지 3개의 악성코드가 발견

- 발견된 악성코드 모두 감염 목적이 아닌 개념 증명 (Proof of Concept) 형태

14


9. 기타 플랫폼 악성코드

• 모바일 악성코드

- SymbianOS 에서 동작하는 형태가 가장 많으며 지속적으로 증가 추세

- 최근 운영체제에 독립적이며 대부분의 모바일 기기가 지원하는 자바 플랫폼에서 동작하는

RedBrowser 악성코드 발견

- Bluetooth 에서 MMS 로 전파환경이 변화됨

• 리눅스 및 유닉스 악성코드

- 유닉스 악성코드의 대부분은 과거에 발견된 형태

- 리눅스 악성코드는 실행가능한 ELF 파일을 감염 시키는 바이러스가 주류

• 맥킨토시 및 파워맥

- 바이러스, 트로이목마, 스크립트 형태의 악성코드가 존재

- 최근 MacOS X 취약점이 다수 공개 되면서 Bluetooth 를 이용하여 전파하는 웜 등장

15


16


• DLL 및 Code Injecting 기법 증가

- 실행중인 프로세스 및 파일에 악의적인 DLL 및 Code 를 Injecting 하는 형태

- 사용자들이 발견하기 어렵고 수동으로 제거하기도 어려움

- RemoteThread 를 이용한 프로세스 재실행 또는 실행중인 프로세스 및 서비스

강제종료불가

- 악성코드 자신이 다른 프로세스에서 File Handle 을 선점오픈

• 다양한 은폐기법의 증가와 발전

- UserMode 에서 KernelMode 로 발전

- 별도의 KernelMode 은폐 기능을 수행하기 위한 드라이버 파일 생성

- 다양한 은폐기법 탐지를 무력화하는 악성코드 및 기법 공개

- 윈도우 2003 SP1 및 64Bit 윈도우의 KernelPatchGuard 우회방법공개

- 특정 응용 프로그램들의 Stealth by Design 계획

17


• 안티 안티 바이러스의 등장

- 레지스트리 수정으로 윈도우 서비스 강제 종료

- 문자열 검색을 이용한 프로세스 강제 종료

- 프로세스의 PEB (Process Environment Block)을 이용한 프로세스 강제 종료

- NtCreateFile Hook 을 통한 파일 삭제

- 모든 사용자 계정의 디버그 권한을 삭제하여 보안 프로그램 실행불가능

- 레지스트리 PendingFileRenameOperations 키 값을 후킹하여 재부팅 후에도 삭제되지

않음

• 개인용 방화벽의 우회

- 레지스트리 수정 및 서비스 강제 종료를 이용한 윈도우 XP SP2 방화벽 우회

- TDI 및 Protocol 후킹을 통한 소켓단 방화벽 우회로 일반 개인용 방화벽 우회

18


• 실행압축 기술 발전에 따른 부작용

- 바이러스 제작에 폴리모픽 및 메타모픽 기법이 사용됨

- 다양한 안티 디버깅과 압축 알고리즘으로 분석시간을 지연

- 실행 압축된 파일을 변형하는 툴 또는 방법이 인터넷 상에 공개

• 악성코드 형태의 붕괴

- 바이러스, 웜 그리고 트로이목마 3가지 경계 형태가 허물어짐

- 파일을 감염 대상으로 하지만 네트워크 공유 폴더로 자신을 복제

- 네트워크를 통해 다른 트로이목마를 다운로드 하지만 파일을 감염 대상으로 함

19

3. 주요 악성코드의 감염 기법

20


1. 게임 계정 탈취 트로이목마류 (1)

• 진단명

- Win-Trojan/LineageHack, Win-Trojan/HangHack 및 Win-Trojan/KorGameHack 등

• 감염경로

21

1. 게임 계정 탈취 트로이목마류 (2)

• 감염경로

- 웹 해킹을 당한 웹 사이트 또는 다운로더 트로이목마

• 동작방식 – 설치 및 실행

- CHM 형태의 파일을 특정 호스트로부터 다운로드한 후 실행 그리고 EXE 파일 생성

- 생성된 EXE 파일은 드로퍼로서 실행되면 DLL 형태의 트로이목마를 생성

- 드로퍼에서 CreateRemoteThread 등의 DLL Injecting 루틴이 실행

- 실행중인 프로세스 및 이후 실행되는 프로세스들에 DLL 을 스레드로 Injection.

• 동작방식 – 게임계정 탈취

- Injection 된 DLL 은 대상이 되는 게임 또는 웹 사이트 방문 전까지 동작하지 않음

- 대상 프로세스명, 모듈, 윈도우 명을 찾아내고 웹 사이트는 인터넷 익스플로러의

윈도우 타이틀 바를 통해 얻어옴

- 탈취한 계정은 로컬에 텍스트로 저장 또는 메일 및 특정 웹 서버에 업로드된 파일로

내용을 포스팅


22

2. 실행파일감염 바이러스 (1)

- Win32/Viking.Gen, Win32/Viking.A, Win32/Viking.B 등

• 파일감염 형태 – 전위형

원본 파일

원본 파일Win32/Viking


• 진단명

감 염 후

23

• 동작 방식

- 감염된 시스템에 존재하는 EXE 파일 전위형으로 감염

- 윈도우 시스템 관련 폴더와 하위 폴더들의 EXE 파일은 감염 대상에서 제외

- 윈도우 폴더에 자신의 복사본인 EXE 와 DLL 생성

- 감염된 EXE 파일이 존재하는 폴더에 _desktop.ini 생성

- 외부 특정 시스템으로부터 게임 계정 탈취 트로이목마 다운로드


• 감염 경로

- 웹 해킹을 당한 웹 사이트 또는 트로이목마에 의한 다운로드

- EXE 파일 감염

- 관리 목적 공유폴더 및 사용자 설정 공유폴더 내의 EXE 파일 감염


24

• 전파 경로

- 감염된 시스템의 네트워크 대역으로 ARP 브로드캐스팅 수행

- 네트워크 대역에서 발견된 시스템으로 ICMP 패킷 전송

- 사용자 지정 공유 폴더 내에 존재하는 파일들을 감염 시도

- 관리 목적 공유 폴더에 존재하는 파일들을 감염 시도



[네트워크를 통한 전파]

25

감사합니다

Q&A

Technology

악성코드 최신 동향과 기법