1.악성코드 최신 동향과 기법

1

제목쓰는 공간

2006. 4. 7

㈜ 안철수연구소

AhnLab CBI Renewal Project

(서체-HY헤드라인M 30pt)

(서체-Arial Bold 15pt)

(서체-HY헤드라인M 13pt)

악성코드 최신 동향과 기법2007.03.05

㈜ 안철수연구소

AhnLab Security E-response Center

Anti-Virus Researcher, CISSP 장 영 준

2

목 차 1. 악성코드 정의와 분류

4. 주요 악성코드 감염 기법

3. 악성코드 기술적 동향

2. 악성코드 유형별 최근 동향

3

1. 악성코드 정의와 분류

4

악성코드는 '악의적인 목적을 위해 작성된 실행 가능한 코드‘ 이다.

실행 가능한 코드는 프로그램, 매크로, 스크립트 뿐만 아니라 취약점을 이용한

데이터 형태들도 포함한다.

형태에 따라서 바이러스, 웜, 트로이 목마로 분류되고 있다.

The Malware (for "malicious software") is any program or file that

is harmful to a computer user.

Thus, malware includes computer Viruses, Worms, Trojan Horses, and also

SpyWare, programming that gathers information about a computer user

without permission.


1. 악성코드(Malware, Malicious Code) 정의

http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci213306,00.html




5

일반적으로 감염대상이 되는 프로그램 또는 코드에 자신의 코드 및 변형 코드를 삽입

주로 컴퓨터 시스템 내부에서만 감염 및 확산

예) Brian, Michelangelo, CIH, FunLove, Nimda, Klez 등

감 염 전 프 로 그 램

Entry Point

감 염 후 프 로 그 램 바이러스

Entry Point

바이러스 프 로 그 램

Entry Point

[후위형] [전위형]


2. 바이러스(Virus) 정의

6

컴퓨터의 기억장소 또는 내부에 코드 또는 실행파일 형태로 존재

실행 시 파일이나 코드를 네트워크, 전자메일과 인스턴트 메신저 프로그램 등을 통해다른 시스템으로 자기 복제를 시도하는 형태

예) CodeRed, Blaster, Sasser, Bagle, Netsky, MyDoom 등

[네트워크를 이용한 전파] [전자 메일과 I.M를 이용한 전파]

3. 웜(Worm) 정의


7

윈도우 시스템으로 구성된 인접한 네트워크를 통해 전파

윈도우 시스템의 보안 취약점에 대한 버퍼 오버플로우 (Buffer Overflow) 공격

윈도우 시스템의 취약한 보안 설정에 대한 사전 대입 공격 (Dictionary Attack)

윈도우 시스템 스캐닝과 익스플로잇 패킷으로 인한 네트워크 트래픽 증가

[네트워크를 이용한 전파] [네트워크 트래픽 생성]


4. 네트워크웜(Network Worm) 감염 특성

8

1) 네트워크 웜 실행

2) 최초 감염 시스템의 IP 조회

3) IP 조회로 네트워크 클래스 확인

4) 해당 네트워크 클래스 IP 대역으로 Syn 패킷 송신

5) 해당 IP 대역의 시스템들로 부터 Ack 패킷 수신

6) Ack 패킷을 송신한 시스템들에게 익스플로잇 패킷 재송신

7) 익스플로잇 패킷을 수신한 시스템들의 관리자 권한 획득

8) 관리자 권한을 획득한 시스템으로 웜 복사본 전송

9) 전송한 웜 복사본 실행

5. 네트워크웜(Network Worm)의확산 프로세스


9

전자 메일을 이용하여 웜 전송

사회 공학 기법을 이용한 전자 메일의 송신자, 제목, 본문 및 첨부 파일명 구성

감염된 시스템으로부터 웜 전송에 사용할 전자 메일 주소 수집

웜 내부 SMTP 엔진 내장

일시적인 DNS MX 레코드 쿼리 증가

웜을 포함한 전자 메일 전송시 TCP 25번 포트 트래픽 증가

[메스 메일러 웜의 메일 형태]

6. 매스 메일러웜(Mass Mailer Worm)의감염 특성


10

1) 메스 메일러 웜 실행

2) 최초 감염 시스템에서 특정 확장자의 파일들에서 메일 주소 수집

3) 수집한 메일 주소들의 도메인에 대한 DNS MX 레코드 조회

4) 획득한 DNS MX 레코드로 해당 도메인의 메일 서버 확인

5) 해당 도메인의 메일 서버로 웜이 첨부된 메일 전송

6) 웜이 첨부된 메일을 해당 도메인의 메일 서버 수신

7) 메일 서버는 웜이 첨부된 전자 메일을 수신자에게 전송

[메스 메일러 웜의 전자 메일 전송 과정]


7. 매스 메일러웜(Mass Mailer Worm)의확산 프로세스

11

트로이 목마는 자기 자신을 복제하지 않지만 악의적 기능을 포함하는 프로그램이나

악의적 목적에 적극적으로 활용되는 프로그램이나 데이터를 통칭한다.

예) LinegaeHack, PeepViewer, Optix, BackOrifice 등

[공격자의 클라이언트 파일] [트로이목마 서버 파일]


8. 트로이목마(Trojan Horse) 정의

12

특 성종 류 자기 복제 감염 대상 형 태 복구방법

바이러스 기생 / 겹침 치 료

트로이목마 독 립 삭 제

웜 독 립 삭 제

※ 악성코드 분류의 기준이 점점 모호해짐

O O

X X

O X


9. 악성코드형태별특성 비교

13

[악성코드의 시대적 발전]

1986년 – 최초의 PC 바이러스 브레인 등장

1990년 – 최초의 다형성 바이러스 등장

1995년 – 최초의 매크로 바이러스 등장

1998년 – 최초의 자바 바이러스 등장

1998년 – 백오리피스 등장

2001년 – 코드레드 웜 등장

2001년 – 님다 웜 등장

2003년 – 슬래머 웜 등장


10. 악성코드연대기

14

인스턴트 메시징

프로그램 이용

전자 메일을 이용

공개 자료실의 파일다운로드

OS의 취약한 보안

설정 및 환경

P2P 프로그램을

이용

OS와

어플리케이션의

취약점 이용

Computer System

사회 공학 기법 보안 의식 부재


11. 악성코드감염 경로

15


16

1. 2006년악성코드동향 (1)

• 다양한 증상의 트로이목마 증가

- 2005년과 비교하여 60% 증가

- 증가의 주된 원인은 중국발 웹 해킹

- 개인 정보 유출을 통한 금전적인 이윤 추구

• MS 제품의 보안 취약점을 이용하는 악성코드 증가

- WMF 파일 취약점을 이용한 악성코드의 대량 발견

- 인터넷 익스플로러 취약점을 이용한 악의적인 스크립트 중가

- 오피스 제품군의 취약점을 이용한 악성코드의 증가


• 나이젬 웜과 스트레이션 웜의 발견

- 매달 3일 특정 확장자를 가진 파일들에 대한 겹쳐쓰기를 수행하는 나이젬 웜

- Self-Updating 기능과 단시간에 가장 많은 변형을 양산한 스트레이션 웜

17

1. 2006년악성코드동향 (2)

• 은폐 기법을 이용한 악성코드의 증가

- 공개된 커뮤니티를 통한 은폐 기법 연구의 활발

- 유저 모드에서 커널 모드 은폐 기법으로의 발전

- 프로세스, 파일 및 레지스트리 은폐 뿐만 아니라 보안 제품 우회의 목적으로 활용

• 자바 플랫폼에서 동작하는 레드 브라우어 발견

- J2ME (Java 2 Platform, Micro Edition) 자바 플랫폼의 모바일 장비에서 동작하는

레드 브라우어 발견

- 심비안 운영체제에서 자바 플랫폼의 모바일 장비로 악성코드의 영역 확대


• 맥 OS X에서 동작하는 악성코드와 애드웨어 발견

- 맥 운영체제의 취약점과 프로그램을 통한 악성코드의 실행

- 맥 운영체제에서 사용하는 웹 브라우저를 특정 웹 사이트로 강제 접속하는 애드웨어

18

1. 2006년악성코드동향 (3)

• 랜섬웨어의 증가

- 특정 파일을 암호화 또는 암호 설정 후 금전적 이익을 요구

- 유럽에서 주로 발견되는 국지적인 발견

• 실행 파일 감염 바이러스 증가

- 실행 파일 감염 형태의 바이러스의 증가

- 특히 Win32/Viking, Win32/Virut와 Win32/Detnet로 인한 큰 피해 발생

- 메모리 치료와 복잡한 디코더를 이용하여야만 진단 가능한 형태


19

2. 2006년월별 피해 신고 건수

- 6월까지는 예년과 비슷한 수치를 기록하였으나 7월부터 급격한 증가 추세

- 바이러스(Virus)의 증가로 인한 전반적인 피해 증가 추세


20

3. 악성코드형태별피해 건수

- 2006년 상반기는 웜(Worm)과 트로이목마(Trojan Horse)의 피해가 일반적인 동향

- 2006년 7월 이후 바이러스(Virus)의 급격한 증가


21


• 통계

2006 년 최근 악성 IRCBot 웜 발견 현황

1917

14

33

44

0

5

10

15

20

25

30

35

40

45

50

5월 6월 7월 8월 9월

2006 년

- 한 동안 줄어 들었으나 MS06-040 취약점 이후 8월부터 다시 증가 추세

- 다양한 실행압축 툴과 암호화 기법을 이용한 변형들을 지속적으로 생성

4. Win32/IRCBot.worm 동향 (1)

22

4. Win32/IRCBot.worm 동향 (2)

• 취약점, 감염경로 및 변형

- 윈도우 XP SP2 사용자 증가, PFW 통합 보안제품 증가, 사용자들의 보안의식 향상

- 초기에는 MS 윈도우 서비스 취약점 10개 정도, 악성코드 오픈 포트를 사용

- 다운로더 또는 스파이웨어와 같은 다른 악성코드에 의해 설치되는 경우도 있음

- 휴리스틱 진단을 회피하기 위해 문자열 암호화와 알려지지 않은 실행압축 사용

- 윈도우 파일 보호 기법 무력화 사용

• 커널모드 봇 출현

- 소켓단의 개인용 방화벽을 우회하기 위하여 제작

- 은폐형 악성 IRCBot 은 프로세스, 파일, 레지스트리를 은폐하며 예전에도 존재


23


• 통계

- 근래 악성코드 제작 목적은 악성코드 제작자의 금전적인 이익을 위함

- 악성코드의 비율도 트로이목마가 전체의 과반수 이상을 넘어서고 있음

102

185

123153

116

460

0

50

100

150

200

250

300

350

400

450

500

7월 8월 9월

2005, 2006 3분기 트로이목마 현황

2005 3분기

2006 3분기

5. 트로이목마(Trojan Horse) 동향 (1)

24



- 사용자 정보 유출하거나 다른 악성코드 설치하는 다양한 형태의 트로이목마 등장

• 과거

- 사용자 데이터 삭제 또는 운영체제를 손상 시키는 형태

• 현재

- 다른 악성코드 및 스파이웨어 등을 다운로드하는 형태 폭발적 증가

- Win-Trojan/Downloader

- 해킹 및 스팸메일의 증가로 Proxy 서버 증상을 갖는 트로이목마 증가

- Win-Trojan/Ranky, Win-Trojan/Proxy, Win-Trojan/ProxyAgent 등

- 온라인 게임의 사용자 정보를 유출 하는 증상을 갖는 트로이목마 증가

- Win-Trojan/HangHack, Win-Trojan/LineageHack, Win-Trojan/LmirHack 등

25


- 중국발 웹 해킹의 영향으로 중국산 트로이목마의 수적 증가

- Win-Trojan/GrayBird, Win-Trojan/Hupigon, Win-Trojan/PcClient

- 은폐기법 관련 커뮤니티 활성화와 소스공개로 은폐형 악성코드 증가

- Win-Trojan/HackDef, Win-Trojan/AFXRootkit, Win-Trojan/FuRootkit


26


6. 웜(Worm)

• 이메일로 전파 되는 웜

- 최근에는 Win32/Stration.worm이 이슈가 되었음

- 이메일 웜의 은폐기능은 하나의 증상에 불과함

- 웜 자체의 기능보다는 다른 악성코드를 설치하는 목적으로도 이용되기도 함

- 이메일 웜 보다는 이메일을 이용하여 다른 악성코드를 퍼뜨리는데 더 적극적으로 활용됨

• 취약점을 이용하여 전파 되는 웜

- 웜에서 사용하기 쉬운 윈도우 서비스관련 취약점들이 줄어들고 있음

- 트로이목마의 증가로 인한 일반적으로 웜의 입지가 좁아지고 있음

- 취약점 자체만으로 전파되는 형태는 현재는 거의 없으며 대부분 악성 IRCBot 웜에서 사용

• 메신저를 이용하여 전파 되는 웜

- 2005년의 경우 메신저 웜이 증가 추세였으나 최신 메신저의 실행파일 전송차단 기능

으로 인해 저조

27


7. 바이러스(Virus)

• 과거

- 윈도우 9x 및 윈도우 NT 등장시 폭발적으로 증가

- 다양한 바이러스 제작기법이 출현함

• 최근

- 네트워크 인프라 발달로 전파력이 없는 바이러스는 악성코드 제작자들로부터 외면

- 바이러스 제작을 위해서는 PE 파일 이해 및 윈도우 기반기술 등 고급기술이 필요함

- 웜이나 트로이목마 보다는 상대적으로 제작이 어려워 악성코드 제작자들이 기피

• 현재

- Win32/Detnat, Win32/ViKing 및 Win32/Virut 같은 바이러스의 급격한 증가추세

- 감염기법은 단순한 편이지만 다형성, 시작 실행시점 불명확, 파일 빈 공간 감염기법도 사용

- 메모리 상주 효과를 노리기 위해서 정상 프로세스에 감염루틴을 쓰레드로 생성도 함

- 별도의 감염 컴포넌트를 두고 프로세스에서 자신을 은폐시킨 후 감염 시키는 형태도 존재

28


8. 매크로(Macro), 스크립트(Script) 및 64Bit 악성코드

• 매크로 바이러스

- 최근 매크로 바이러스는 거의 발견되지 않음

- 2006년 현재까지 국내 발견 매크로 바이러스는 엑셀 매크로이며 총 4건

- MS 오피스 취약점을 이용하여 다른 악성코드의 전파 기법으로 사용되는 추세

• 스크립트 악성코드

- 최근에는 스크립트 형태의 웜은 발견되지 않음.

- 바이러스 보다는 인터넷 익스플로러 취약점을 포함한 트로이목마 증상이 대부분

- MS06-014와 MS06-071 취약점을 이용 다른 악성코드의 전파 수단으로 사용

• 64Bit 악성코드

- 현재까지 3개의 악성코드가 발견

- 발견된 악성코드 모두 감염 목적이 아닌 개념 증명 (Proof of Concept) 형태

29


9. 기타 플랫폼악성코드

• 모바일 악성코드

- SymbianOS 에서 동작하는 형태가 가장 많으며 지속적으로 증가 추세

- 최근 운영체제에 독립적이며 대부분의 모바일 기기가 지원하는 자바 플랫폼에서 동작하는

RedBrowser 악성코드 발견

- Bluetooth 에서 MMS 로 전파환경이 변화됨

• 리눅스 및 유닉스 악성코드

- 유닉스 악성코드의 대부분은 과거에 발견된 형태

- 리눅스 악성코드는 실행가능한 ELF 파일을 감염 시키는 바이러스가 주류

• 맥킨토시 및 파워맥

- 바이러스, 트로이목마, 스크립트 형태의 악성코드가 존재

- 최근 MacOS X 취약점이 다수 공개 되면서 Bluetooth 를 이용하여 전파하는 웜 등장

30


31


• DLL 및 Code Injecting 기법 증가

- 실행중인 프로세스 및 파일에 악의적인 DLL 및 Code 를 Injecting 하는 형태

- 사용자들이 발견하기 어렵고 수동으로 제거하기도 어려움

- RemoteThread 를 이용한 프로세스 재실행 또는 실행중인 프로세스 및 서비스

강제종료불가

- 악성코드 자신이 다른 프로세스에서 File Handle 을 선점오픈

• 다양한 은폐기법의 증가와 발전

- UserMode 에서 KernelMode 로 발전

- 별도의 KernelMode 은폐 기능을 수행하기 위한 드라이버 파일 생성

- 다양한 은폐기법 탐지를 무력화하는 악성코드 및 기법 공개

- 윈도우 2003 SP1 및 64Bit 윈도우의 KernelPatchGuard 우회방법공개

- 특정 응용 프로그램들의 Stealth by Design 계획

32


• 안티 안티 바이러스의 등장

- 레지스트리 수정으로 윈도우 서비스 강제 종료

- 문자열 검색을 이용한 프로세스 강제 종료

- 프로세스의 PEB (Process Environment Block)을 이용한 프로세스 강제 종료

- NtCreateFile Hook 을 통한 파일 삭제

- 모든 사용자 계정의 디버그 권한을 삭제하여 보안 프로그램 실행불가능

- 레지스트리 PendingFileRenameOperations 키 값을 후킹하여 재부팅 후에도 삭제되지

않음

• 개인용 방화벽의 우회

- 레지스트리 수정 및 서비스 강제 종료를 이용한 윈도우 XP SP2 방화벽 우회

- TDI 및 Protocol 후킹을 통한 소켓단 방화벽 우회로 일반 개인용 방화벽 우회

33


• 실행압축 기술 발전에 따른 부작용

- 바이러스 제작에 폴리모픽 및 메타모픽 기법이 사용됨

- 다양한 안티 디버깅과 압축 알고리즘으로 분석시간을 지연

- 실행 압축된 파일을 변형하는 툴 또는 방법이 인터넷 상에 공개

• 악성코드 형태의 붕괴

- 바이러스, 웜 그리고 트로이목마 3가지 경계 형태가 허물어짐

- 파일을 감염 대상으로 하지만 네트워크 공유 폴더로 자신을 복제

- 네트워크를 통해 다른 트로이목마를 다운로드 하지만 파일을 감염 대상으로 함

34

4. 주요 악성코드의 감염 기법

35


1. 게임 계정 탈취 트로이목마류 (1)

• 진단명

- Win-Trojan/LineageHack, Win-Trojan/HangHack 및 Win-Trojan/KorGameHack 등

• 감염경로

36

1. 게임 계정 탈취 트로이목마류 (2)

• 감염경로

- 웹 해킹을 당한 웹 사이트 또는 다운로더 트로이목마

• 동작방식 – 설치 및 실행

- CHM 형태의 파일을 특정 호스트로부터 다운로드 한 후 실행 그리고 EXE 파일 생성

- 생성된 EXE 파일은 드로퍼로서 실행되면 DLL 형태의 트로이목마를 생성

- 드로퍼에서 CreateRemoteThread 등의 DLL Injecting 루틴이 실행

- 실행중인 프로세스 및 이후 실행되는 프로세스들에 DLL 을 스레드로 Injection.

• 동작방식 – 게임계정 탈취

- Injection 된 DLL 은 대상이 되는 게임 또는 웹 사이트 방문 전까지 동작하지 않음

- 대상 프로세스명, 모듈, 윈도우 명을 찾아내고 웹 사이트는 인터넷 익스플로러의

윈도우 타이틀 바를 통해 얻어옴

- 탈취한 계정은 로컬에 텍스트로 저장 또는 메일 및 특정 웹 서버에 업로드된 파일로

내용을 포스팅


37

2. 실행파일감염 바이러스 (1)

- Win32/Viking.Gen, Win32/Viking.A, Win32/Viking.B 등

• 파일감염 형태 – 전위형

원본 파일

원본 파일Win32/Viking


• 진단명

감 염 후

38

• 동작 방식

- 감염된 시스템에 존재하는 EXE 파일 전위형으로 감염

- 윈도우 시스템 관련 폴더와 하위 폴더들의 EXE 파일은 감염 대상에서 제외

- 윈도우 폴더에 자신의 복사본인 EXE 와 DLL 생성

- 감염된 EXE 파일이 존재하는 폴더에 _desktop.ini 생성

- 외부 특정 시스템으로부터 게임 계정 탈취 트로이목마 다운로드


• 감염 경로

- 웹 해킹을 당한 웹 사이트 또는 트로이목마에 의한 다운로드

- EXE 파일 감염

- 관리 목적 공유폴더 및 사용자 설정 공유폴더 내의 EXE 파일 감염


39

• 전파 경로

- 감염된 시스템의 네트워크 대역으로 ARP 브로드캐스팅 수행

- 네트워크 대역에서 발견된 시스템으로 ICMP 패킷 전송

- 사용자 지정 공유 폴더 내에 존재하는 파일들을 감염 시도

- 관리 목적 공유 폴더에 존재하는 파일들을 감염 시도



[네트워크를 통한 전파]

40

감사합니다

Q&A

1.악성코드 최신 동향과 기법

Technology