악성코드 최신 동향과 분석 방안

1
제목쓰는 공간
2006. 4. 7
㈜ 안철수연구소
AhnLab CBI Renewal Project
(서체-HY헤드라인M 30pt)
(서체-Arial Bold 15pt)
(서체-HY헤드라인M 13pt)
악성코드 최신 동향과 기법
2006.12.27
㈜ 안철수연구소
ASEC 분석 1팀
장 영 준

2
목 차 1. 악성코드 유형별 최근 동향
3. 주요 악성코드 감염 기법
2. 악성코드 기술적 동향

3
1. 악성코드 유형별 최근 동향

4
1. 2006년 악성코드 동향 (1)
• 다양한 증상의 트로이목마 증가
- 2005년과 비교하여 60% 증가
- 증가의 주된 원인은 중국발 웹 해킹
- 개인 정보 유출을 통한 금전적인 이윤 추구
• MS 제품의 보안 취약점을 이용하는 악성코드 증가
- WMF 파일 취약점을 이용한 악성코드의 대량 발견
- 인터넷 익스플로러 취약점을 이용한 악의적인 스크립트 중가
- 오피스 제품군의 취약점을 이용한 악성코드의 증가
• 나이젬 웜과 스트레이션 웜의 발견
- 매달 3일 특정 확장자를 가진 파일들에 대한 겹쳐쓰기를 수행하는 나이젬 웜
- Self-Updating 기능과 단시간에 가장 많은 변형을 양산한 스트레이션 웜

5
1. 2006년 악성코드 동향 (2)
• 은폐 기법을 이용한 악성코드의 증가
- 공개된 커뮤니티를 통한 은폐 기법 연구의 활발
- 유저 모드에서 커널 모드 은폐 기법으로의 발전
- 프로세스, 파일 및 레지스트리 은폐 뿐만 아니라 보안 제품 우회의 목적으로 활용
• 자바 플랫폼에서 동작하는 레드 브라우어 발견
- J2ME (Java 2 Platform, Micro Edition) 자바 플랫폼의 모바일 장비에서 동작하는
레드 브라우어 발견
- 심비안 운영체제에서 자바 플랫폼의 모바일 장비로 악성코드의 영역 확대
• 맥 OS X에서 동작하는 악성코드와 애드웨어 발견
- 맥 운영체제의 취약점과 프로그램을 통한 악성코드의 실행
- 맥 운영체제에서 사용하는 웹 브라우저를 특정 웹 사이트로 강제 접속하는 애드웨어

6
1. 2006년 악성코드 동향 (3)
• 랜섬웨어의 증가
- 특정 파일을 암호화 또는 암호 설정 후 금전적이익을 요구
- 유럽에서 주로 발견되는 국지적인 발견
• 실행 파일 감염 바이러스 증가
- 실행 파일 감염 형태의 바이러스의 증가
- 특히 Win32/Viking, Win32/Virut와 Win32/Detnet로 인한 큰 피해 발생
- 메모리 치료와 복잡한 디코더를 이용하여야만 진단 가능한 형태

7
2. 2006년 월별 피해 신고 건수
- 6월까지는 예년과 비슷한 수치를 기록하였으나 7월부터 급격한 증가 추세
- 바이러스의 증가로 인한 전반적인 피해 증가 추세

8
3. 악성코드 형태별 피해 건수
- 2006년 상반기는 웜과 트로이목마의 피해가 일반적인 동향
- 2006년 7월 이후 바이러스의 급격한 증가

9
• 통계
2006 년 최근 악성 IRCBot 웜 발견 현황
19
17
14
33
44
0
5
10
15
20
25
30
35
40
45
50
5월 6월 7월 8월 9월
2006 년
- 한 동안 줄어 들었으나 MS06-040 취약점 이후 8월부터 다시 증가 추세
- 다양한 실행압축 툴과 암호화 기법을 이용한 변형들을 지속적으로 생성
4. Win32/IRCBot.worm 동향

10
• 통계
- 근래 악성코드 제작 목적은 악성코드 제작자의 금전적인 이익을 위함
- 악성코드의 비율도 트로이목마가 전체의 과반수 이상을 넘어서고 있음
102
185
123
153
116
460
0
50
100
150
200
250
300
350
400
450
500
7월 8월 9월
2005, 2006 3분기 트로이목마 현황
2005 3분기
2006 3분기
5. 트로이목마 동향 (1)

11
- 중국발 웹 해킹의 영향으로 중국산 트로이목마의 수적 증가
- Win-Trojan/GrayBird, Win-Trojan/Hupigon, Win-Trojan/PcClient
- 은폐기법 관련 커뮤니티 활성화와 소스공개로 은폐형 악성코드 증가
- Win-Trojan/HackDef, Win-Trojan/AFXRootkit, Win-Trojan/FuRootkit
5. 트로이목마 동향 (2)

12
6. 웜
• 이메일로 전파 되는 웜
- Win32/Nyxem.wom과 Win32/Stration.worm이 이슈가 되었음
- 이메일 웜의 은폐기능은 하나의 증상에 불과함
- 웜 자체의 기능보다는 다른 악성코드를 설치하는 목적으로도 이용되기도 함
- 이메일 웜 보다는 이메일을 이용하여 다른 악성코드를 퍼뜨리는데 더 적극적으로 활용됨
• 취약점을 이용하여 전파 되는 웜
- 웜에서 사용하기 쉬운 윈도우 서비스관련 취약점들이 줄어들고 있음
- 트로이목마의 증가로 인한 일반적으로 웜의 입지가 좁아지고 있음
- 취약점 자체만으로 전파되는 형태는 현재는 거의 없으며 대부분 악성 IRCBot 웜에서 사용
• 메신저를 이용하여 전파 되는 웜
- 2005년의 경우 메신저 웜이 증가 추세였으나 최신 메신저의 실행파일 전송차단 기능
으로 인해 저조

13
7. 바이러스
• 최근
- 네트워크 인프라 발달로 전파력이 없는 바이러스는 악성코드 제작자들로부터 외면
- 바이러스 제작을 위해서는 PE 파일 이해 및 윈도우 기반기술 등 고급기술이 필요함
- 웜이나 트로이목마 보다는 상대적으로 제작이 어려워 악성코드 제작자들이 기피
• 현재
- Win32/Detnat, Win32/ViKing 및 Win32/Virut 같은 바이러스의 급격한 증가추세
- 감염기법은 단순한 편이지만 다형성, 시작 실행시점 불명확, 파일 빈 공간 감염기법도 사용
- 메모리 상주 효과를 노리기 위해서 정상 프로세스에 감염루틴을 쓰레드로 생성도 함
- 별도의 감염 컴포넌트를 두고 프로세스에서 자신을 은폐시킨 후 감염 시키는 형태도 존재

14
8. 매크로, 스크립트 및 64Bit 악성코드
• 매크로 바이러스
- 최근 매크로 바이러스는 거의 발견되지 않음
- 2006년 현재까지 국내 발견 매크로 바이러스는 엑셀 매크로이며 총 4건
- MS 오피스 취약점을 이용하여 다른 악성코드의 전파 기법으로 사용되는 추세
• 스크립트 악성코드
- 최근에는 스크립트 형태의 웜은 발견되지 않음.
- 바이러스 보다는 인터넷 익스플로러 취약점을 포함한 트로이목마 증상이 대부분
- MS06-014와 MS06-071 취약점을 이용 다른 악성코드의 전파 수단으로 사용
• 64Bit 악성코드
- 현재까지 3개의 악성코드가 발견
- 발견된 악성코드 모두 감염 목적이 아닌 개념 증명 (Proof of Concept) 형태

15

16
• DLL 및 Code Injecting 기법 증가
- 실행중인 프로세스 및 파일에 악의적인 DLL 및 Code 를 Injecting 하는 형태
- 사용자들이 발견하기 어렵고 수동으로 제거하기도 어려움
- RemoteThread 를 이용한 프로세스 재실행 또는 실행중인 프로세스 및 서비스
강제종료불가
- 악성코드 자신이 다른 프로세스에서 File Handle 을 선점오픈
• 다양한 은폐기법의 증가와 발전
- UserMode 에서 KernelMode 로 발전
- 별도의 KernelMode 은폐 기능을 수행하기 위한 드라이버 파일 생성
- 다양한 은폐기법 탐지를 무력화하는 악성코드 및 기법 공개
- 윈도우 2003 SP1 및 64Bit 윈도우의 KernelPatchGuard 우회방법공개
- 특정 응용 프로그램들의 Stealth by Design 계획

17
• 안티 안티 바이러스의 등장
- 레지스트리 수정으로 윈도우 서비스 강제 종료
- 문자열 검색을 이용한 프로세스 강제 종료
- 프로세스의 PEB (Process Environment Block)을 이용한 프로세스 강제 종료
- NtCreateFile Hook 을 통한 파일 삭제
- 모든 사용자 계정의 디버그 권한을 삭제하여 보안 프로그램 실행불가능
- 레지스트리 PendingFileRenameOperations 키 값을 후킹하여 재부팅 후에도 삭제되지
않음
• 개인용 방화벽의 우회
- 레지스트리 수정 및 서비스 강제 종료를 이용한 윈도우 XP SP2 방화벽 우회
- TDI 및 Protocol 후킹을 통한 소켓단 방화벽 우회로 일반 개인용 방화벽 우회

18
• 실행압축 기술 발전에 따른 부작용
- 바이러스 제작에 폴리모픽 및 메타모픽 기법이 사용됨
- 다양한 안티 디버깅과 압축 알고리즘으로 분석시간을 지연
- 실행 압축된 파일을 변형하는 툴 또는 방법이 인터넷 상에 공개
• 악성코드 형태의 붕괴
- 바이러스, 웜 그리고 트로이목마 3가지 경계 형태가 허물어짐
- 파일을 감염 대상으로 하지만 네트워크 공유 폴더로 자신을 복제
- 네트워크를 통해 다른 트로이목마를 다운로드 하지만 파일을 감염 대상으로 함

19
3. 악성코드 분석 방안

20
1. 악성코드 분석을 위한 사전 지식
3. 악성코드 분석 프로세스 (1/3)
윈도우 운영체제 이해
윈도우 네트워크 이해
윈도우 프로그램 이해
프로그램 언어와 컴파일러 이해
다양한 파일 구조 이해
파일 보호 기법 (Packer, Protector, Anti-Debugging, Encryption) 이해
다양한 파일 분석에 필요한 다양한 유틸리티 사용법
2. 악성코드 분석 방법론
동적 분석 (Dynamic Analysis) – 파일 실행을 통한 증상 기반 분석,
시간소요 적음, 자세한 분석 어려움
정적 분석 (Static Analysis) – 리버스 엔지니어링 (Reverse Engineering) 을 통한
코드 기반 분석, 시간소요 많음, 자세한 분석 가능

21
3. 악성코드 분석 프로세스
동적 분석 (Dynamic Analysis)  정적 분석 (Static Analysis)
파일 분석 증상 분석 정보 분석 코드 분석 엔진 제작
1. 파일 형태 분석
2. 사용 API 분석
3. 문자열 분석
1. 시스템 분석
2. 프로세스 분석
3. 레지스트리 분석
4. 네트워크 분석
5. 기타 증상 분석
1. 증상 추가 분석
2. 각종 정보 수집
3. 관련 사항 확인
1. 디스어셈블링
2. 디버깅
1. 악성코드 판단
2. 진단 시그니쳐
및 함수 제작
3. 분석정보 작성
분 석 프 로 세 스

22
4. 악성코드 분석 환경
일반 하드웨어 이용
일반 하드웨어를 이용한 윈도우 시스템으로 구성
외부 네트워크와 단절된 독립 네트워크를 구성
가상 시스템 (Virtual System) 이용
MS의 Virtual PC 2004, 2005 R2 또는 Vmware의 Vmware Workstation 을 이용한
가상 윈도우 시스템과 가상 네트워크를 구성
[Virtual PC 2004] [Vmware Workstation ]

23
4. 악성코드 분석 유틸리티

24
4. 악성코드 분석 유틸리티 (1/11)
1. 파일 분석
실행 파일의 구조와 헥사 코드(Hex Code)를 분석하기 위한 유틸리티
윈도우 – Frhed, WinHex
도스 – HE (Hexa Editor), HT, HIEW
[FrHed]
[PEView]

25
2. 실행 파일 구조 분석
실행 파일의 구조 분석, 문자열 분석, 실행 파일 재생성을 위한 유틸리티
윈도우 – LoadPE, PE Tools, PEiD, PEView, Dependency Walker, Import ReConstructor
PE Explorer, Stud_PE, PE Validator, ProcDump, BinText, WinDiff
도스 – PeDump, Handle
[PE Tools]
[PEiD]

26
3. 루트킷 탐지 프로그램
윈도우 시스템에서 은폐되어 실행되는 실행 파일 탐지 프로그램
윈도우 – BlackLight, Anti-Rootkit, Rootkit Revealer, GMER
도스 – SVV
[GMER]
[SVV]

27
4. 시스템 분석
Install Control for Windows – 시스템의 파일 변화, 레지스트리 변화 추적
InstallWatch – 시스템의 파일 변화, 레지스트리 변화 추적
Winalysis – 시스템의 파일 변화, 레지스트리 변화 및 기타 시스템 변화 추적
[Install Control for Windows]
[Winalysis]

28
5. 프로세스 분석
Process Explorer – 시스템에 생성되는 프로세스 변화 분석
TaskInfo – 프로세스 변화 및 시스템 상태 분석
[Process Explorer] [TaskInfo]

29
6. 레지스트리 분석
Registar Lite – 레지스트리 분석 및 편집
Reg.exe – 도스 모드 레지스트리 편집 프로그램
[Reg.exe][Registar Lite]

30
7. 네트워크 패킷 분석
Ethereal – 네트워크 패킷 분석
Analyzer – 네트워크 패킷 분석
[Ethereal] [Analyzer]

31
8. 네트워크 포트 분석
TCPView – 실시간 네트워크 포트 분석
Active Ports – 실시간 네트워크 포트 분석
Fport – 도스 모드 네트워크 포트 분석
[TCPView] [Active ports]

32
9. 시스템 모니터링
FileMon – 특정 프로세스의 파일 엑세스
RegMon – 특정 프로세스의 레지스트리 엑세스
TDIMon – 특정 프로세스의 네트워크 엑세스
API Monitor – 특정 프로세스의 API 사용
[FileMon 실행] [RegMon 실행]

33
10. 실행 파일 디스어셈블링
W32Dasm – 실행 파일 디스어셈블링과 디버깅
IDA – 실행 파일 디스어셈블링
[W32Dasm 실행]
[IDA 실행]

34
11. 실행 파일 디버깅
WinDBG – 실행 파일 디버거
SoftIce – 강력한 커널 모드 디버깅
OllyDbg – 범용 실행 파일 디버거
[OllyDbg 실행] [SoftICE 실행]

36
1. 일반 악성코드 관련 서적
5. 참고 문헌
악성 모바일 코드 (윈도우 바이러스 작동원리와 퇴치) – 로저 그라이암스 (2001년)
Securing the Network from Malicious Code : A Complete Guide to Defending
Against Viruses, Worms, and Trojans - Douglas Schweitzer (2002년)
Malware : Fighting Malicious Code - Ed Skoudis, Lenny Zeltser (2003년)
Trojans, Worms, and Spyware, First Edition : A Computer Security Professional's Guide
to Malicious Code - Michael Erbschloe (2004년)
The Art of Computer Virus Research and Defense - Peter Szor (2005년)
Malware Detection - Mihai Christodorescu (2006년)
Computer Viruses and Malware - John Aycock (2006년)
Defense and Detection Strategies Against Internet Worms - Jose Nazario (2003년)
Subverting The Windows Kernel RootKit – Greg Hoglund & James Butler (2005년)
2. 특정 형태의 악성코드 관련 서적

37
3. 기타 정보 보안 관련 서적
5. 참고 문헌
Incident Response : A Strategic Guide to Handling System and Network Security
Breaches - Schultz & Russell Shumway (2002년)
Introduction to Computer Security - Matt Bishop (2004년)
소프트웨어 보안 – Greg Hoglund & Gray Mcgraw (2004년)
Windows Security Resource Kit – Ben Smith, Brian Kormar & MS Security Team
(2005년)

악성코드 최신 동향과 분석 방안

More Related Content

What's hot (20)

Similar to 악성코드 최신 동향과 분석 방안 (20)

More from Youngjun Chang (16)

악성코드 최신 동향과 분석 방안