Embed Size (px)
Citation preview
페이지 | 2
목차
Part Ⅰ 8 월의 악성코드 통계 ...................................................................................................... 3
1. 악성코드 통계 .................................................................................................................................................................... 3
(1) 감염 악성코드 Top 15 ............................................................................................................................................ 3
(2) 카테고리별 악성코드 유형 .................................................................................................................................... 4
(3) 카테고리별 악성코드 비율 전월 비교 ............................................................................................................. 4
(4) 월별 피해 신고 추이 ............................................................................................................................................... 5
(5) 월별 악성코드 DB 등록 추이 .............................................................................................................................. 5
2. 악성코드 이슈 분석 – “포털사이트 배너 광고 파밍 악성코드” ................................................................ 6
3. 허니팟/트래픽 분석 ...................................................................................................................................................... 11
(1) 상위 Top 10 포트 .................................................................................................................................................. 11
(2) 상위 Top 5 포트 월별 추이 .............................................................................................................................. 11
(3) 악성 트래픽 유입 추이 ........................................................................................................................................ 12
4. 스팸 메일 분석 ............................................................................................................................................................... 13
(1) 일별 스팸 및 바이러스 통계 현황 ................................................................................................................. 13
(2) 월별 통계 현황 ........................................................................................................................................................ 13
(3) 스팸 메일 내의 악성코드 현황........................................................................................................................ 14
Part Ⅱ 보안 이슈 돋보기 .......................................................................................................... 15
1. 8 월의 보안 이슈 ............................................................................................................................................................ 15
2. 8 월의 취약점 이슈 ....................................................................................................................................................... 17
페이지 | 3
Part Ⅰ 8월의 악성코드 통계
1. 악성코드 통계
(1) 감염 악성코드 Top 15
[2013년 08월 01일 ~ 2013년 08월 31일]
순위 악성코드 진단명 카테고리 합계
(감염자수)
1 - Gen:Trojan.Heur.GM.8500010002 Trojan 5,106
2 New Gen:Variant.Kazy.96966 Etc 2,603
3 ↑3 Trojan.Rootkit.killav Trojan 1,907
4 New Gen:Variant.Kazy.125570 Etc 1,687
5 New Gen:Variant.Graftor.109930 Etc 1,624
6 New Gen:Variant.Symmi.26787 Etc 1,621
7 ↓1 Trojan.KillAV.sysdll Trojan 1,606
8 New Gen:Variant.Strictor.38372 Etc 1,536
9 New Gen:Trojan.Heur.mu3@uCh9qAh Trojan 1,435
10 New Gen:Trojan.Heur.mu3@uKSf0 Trojan 1,342
11 New Gen:Variant.Strictor.37908 Etc 1,300
12 ↓11 Gen:Variant.Graftor.106149 Etc 1,297
13 New Gen:Variant.Kazy.128027 Etc 1,294
14 New Gen:Trojan.Heur.1yXa4WvQ3@nG Trojan 1,260
15 ↓3 Spyware.OnlineGames.wsxp Spyware 1,238
※ 자체 수집, 신고된 사용자의 감염통계를 합산하여 산출한 순위임
감염 악성코드 Top 15는 사용자 PC에서 탐지된 악성코드를 기반으로 산출한 통계입니다.
8월의 감염 악성코드 TOP 15에서는 지난달 1위를 차지했던 Gen:Trojan.Heur.GM.8500010002이 또
다시 1위를 차지하였습니다. 새롭게 2위를 차지한 Gen:Variant.Kazy.96966 악성코드는 윈도우 시
스템 파일을 감염시키는 동시에 정보를 탈취하고 추가적인 악성코드를 다운로드하는 악성코드입
니다. 3위는 지난달 6위를 차지했던 Trojan.Rootkit.killav 악성코드가 차지했습니다.
전체적으로 8월에는 휴가시즌과 광복절 연휴 등이 겹쳐있어서 전반적으로 감염자수가 줄어들었으
나 여전히 많은 감염이 발생하고 있으며, 사용자의 소중한 계정정보를 노리는 악성코드가 대다수
임을 인지하고 계정정보 관리에 많은 관심과 주의를 기울여야 합니다.
페이지 | 4
(2) 카테고리별 악성코드 유형
악성코드 유형별 비율에서 기타 (Etc) 유형이 가장 많은 48%를 차지했으며, 트로이목마 (Trojan)
유형이 47%로 2위를 차지했습니다. 이어 스파이웨어 (Spyware) 유형이 5%로 3위를 차지하였습니
다.
(3) 카테고리별 악성코드 비율 전월 비교
8월에는 지난 7월과 비교하여 트로이목마(Trojan)유형이 비율상 크게 감소하였으며 기타 유형의
악성코드가 대폭 증가하였습니다. 그 외에는 지난달 Top15에 올라오지 못했던 스파이웨어
(Spyware) 유형의 악성코드가 소폭 증가하였습니다.
트로이목마
(Trojan)
47%
스파이웨어
(Spyware)
5%
기타 (Etc)
48%
트로이목마 (Trojan)
스파이웨어 (Spyware)
애드웨어 (Adware)
취약점 (Exploit)
웜 (Worm)
기타 (Etc)
백도어 (Backdoor)
바이러스 (Virus)
하이재커 (Hijacker)
호스트파일 (Host)
48%
0%
0%
0%
0%
0%
0%
0%
5%
47%
30%
0%
0%
0%
0%
0%
0%
0%
0%
70%
0% 20% 40% 60% 80% 100%
기타(Etc)
호스트파일(Host)
백도어(Backdoor)
바이러스 (Virus)
취약점(Exploit)
웜 (Worm)
하이재커(Hijacker)
애드웨어(Adware)
스파이웨어 (Spyware)
트로이 목마 (Trojan)
7월
8월
페이지 | 5
(4) 월별 피해 신고 추이
[2012년 09월 ~ 2013년 08월]
※ 알약 사용자의 신고를 합산에서 산출한 결과임
월별 피해 신고추이는 알약 사용자의 신고를 합산해서 산출한 결과로써, 월별 신고 건수를 나타
내는 그래프입니다.
(5) 월별 악성코드 DB 등록 추이
[2012년 09월 ~ 2013년 08월]
9월 10월 11월 12월 1월 2월 3월 4월 5월 6월 7월 8월
201209 201210 201211 201212 201301 201302 201303 201304 201305 201306 201307 201308
Adware Spyware Hijacker KeyLogger
Exploit RAT Trojan Worm
Backdoor Downloader Dropper Misc
페이지 | 6
Part Ⅰ 8월의 악성코드 통계
2. 악성코드 이슈 분석 – “포털사이트 배너 광고 파밍 악성코드”
① 유포경로
최초 유포 경로는 9월 10일 오후 11시 경부터 변조 된 사이트에서 드라이브 바이 다운로드
(Drvie-by-download) 방식을 이용하여 생성 된 파일로 인해 호스트파일이 변조 된 내역이 확인
되었다.
유포에 사용 된 경유 URL과 유포 URL 리스트는 아래와 같다.
일 시 경유 URL 유포 메인 URL 유포 파일 URL
09-11 00:33 hxxt://m.tomatomac.com hxxt://best.hanmailbe.co
m/911.html
hxxt://best.hanmailbe.com/
911.exe
09-11 00:27 hxxt://www.tomatomac.co
m
hxxt://best.hanmailbe.co
m/911.html
hxxt://best.hanmailbe.com/
911.exe
09-10 23:49 hxxt://www.mh1004.com hxxt://best.hanmailbe.co
m/911.html
hxxt://best.hanmailbe.com/
911.exe
09-10 23:44 hxxt://www.cubeaudition.
com
hxxt://best.hanmailbe.co
m/911.html
hxxt://best.hanmailbe.com/
911.exe
09-10 23:41 hxxt://www.torrentnara.kr hxxt://best.hanmailbe.co
m/911.html
hxxt://best.hanmailbe.com/
911.exe
09-10 23:38 hxxt://www.cubeent.co.kr hxxt://best.hanmailbe.co
m/911.html
hxxt://best.hanmailbe.com/
911.exe
09-10 23:33 hxxt://www.bornwedding.
com
hxxt://best.hanmailbe.co
m/911.html
hxxt://best.hanmailbe.com/
911.exe
09-10 23:23 hxxt://blog.grimreper.net hxxt://best.hanmailbe.co
m/911.html
hxxt://best.hanmailbe.com/
911.exe
유포메인 URL은 모두 CK Vip Exploit 을 사용하였으며, Java Explot(CVE-2011-3544, CVE-2012-
4681, CVE-2013-0422), IE Explot(CVE-2012-4969) 취약점을 사용하였다.
페이지 | 7
② 악성파일 분석
※ 현재까지 확인 된 사항을 토대로 보고서 작성
※ 분석 파일은 가장 최근에 발견 된 변종파일로 분석 되었음
Detection Name File Name 악성 행위
Trojan.Generic.AD.05011714 831781831781.exe 호스트 변조
File: 831781831781.exe(Trojan.Generic.AD.05011714)
- 파일 생성
해당 파일이 실행되면 C:\Documents and Settings\[사용자계정]\Local Settings\Temp 폴더에 배
치파일(BAT)을 생성하여 hosts.ics 파일을 생성한다.
생성 된 hosts.ics 파일의 내부 화면은 아래와 같다.
또한 도메인 뒤에 샾(#) 특수문자를 넣어 보안프로그램의 호스트탐지를 우회한 것으로 파악된다.
페이지 | 8
- 파밍 사이트 접속 (포털 사이트 배너 광고 서버)
생성 된 hosts.ics를 통해 사용자가 포털사이트(네이버) 접속 시 메인 페이지에 보여지는 특정 광
고 서버를 파밍하여 조작 된 배너 페이지를 보여주게 된다.
이전 파밍은 포털사이트(네이버) 자체를 파밍 사이트로 생성하여 사용자를 유도하였지만, 이번 악
성코드는 포털사이트 배너광고 서버만을 파밍 사이트로 접속시키기 때문에 배너광고 페이지를 제
외한 모든 페이지는 실제 포털사이트(네이버)가 보여진다.
조작 된 배너 페이지를 통해 보여지는 배너에는 “전자금융사기 예방서비스” 라는 배너를 보여주
며,
마치 정상적인 포털 사이트에서 대대적으로 홍보하는 것처럼 보이게 하여 사용자의 클릭을 유도
한다.
※ Hosts.ics 파일이란?
Hosts.ics 파일은 일반적으로 사용하지 않는 인터넷 연결 공유(ICS : Internet Connection
Sharing) 시 특정한 클라이언트의 IP를 강제적으로 지정하는 기능을 하는 파일이다.
사용자가 웹사이트를 검색하여 찾아갈 시 참조하게 되는 정보들이 존재하며, 그 우선 순위는
아래와 같다.
1) Local DNS Cache
2) Hosts
3) Hosts.ics
4) DNS
우선 순위를 보면 알겠지만, Hosts.ics 파일은 Hosts 파일 다음으로 우선 순위가 높다.
최근 악성코드 제작자는 이 점을 악용하여 보안 프로그램이 감시하고 있는 Hosts 파일보다는
감시빈도가 적은 Hosts.ics 파일을 이용하여 파밍 사이트로 유도하는 경우가 점점 늘어나는
추세이다.
페이지 | 9
- 파밍 사이트 접속 (금융사이트)
사용자가 포털사이트에 보여지는 파밍 서버의 배너를 클릭하면 조작 된 파밍용 금융 사이트로 접
근하여 사용자 정보가 유출 될 수 있다.
페이지 | 10
※ 2013년 9월 30일부터 미래창조과학부와 한국인터넷진흥원이 개발 한 “파밍 사이트 알리미 서
비스”로 인해 파밍 금융사이트는 대부분 차단되고 있다.
페이지 | 11
Part Ⅰ 8월의 악성코드 통계
3. 허니팟/트래픽 분석
(1) 상위 Top 10 포트
(2) 상위 Top 5 포트 월별 추이
[2013년 06월 ~ 2013년 08월]
3306
58%
22
13%
23
9%
3389
9%
110
3%
5900
2% 3306
22
23
3389
110
5900
25
21
80
808
3306 1433 3389 23 22
2013년 6월
2013년 7월
2013년 8월
페이지 | 12
(3) 악성 트래픽 유입 추이
[2013년 03월 ~ 2013년 08월]
2013년 3월 2013년 4월 2013년 5월 2013년 6월 2013년 7월 2013년 8월
페이지 | 13
Part Ⅰ 8월의 악성코드 통계
4. 스팸 메일 분석
(1) 일별 스팸 및 바이러스 통계 현황
일별 스팸 및 바이러스 통계 현황 그래프는 하루에 유입되는 바이러스 및 스팸 메일의 개수를 나
타내는 그래프입니다. 8월의 경우 7월에 비해 스팸메일수의 수치가 무려 8.5배가 증가했는데
8/8~8/9 그리고 8/13~8/14 기간동안에만 평소에 비해 무려 50배에 가까운 스팸메일이 유입되었
습니다. 그러나 증가된 스팸메일수치에 비해 메일에 포함된 악성코드는 7월과 유사하였습니다.
(2) 월별 통계 현황
[2013년 03월 ~ 2013년 08월]
월별 통계 현황은 전체 악성메일 중 단순 스팸메일과 악성코드 첨부메일의 각 비율을 나타내는
그래프입니다. 8월에는 스팸 메일이 99.2%, 악성코드 첨부메일이 0.8%의 비율로 수신되었으며 스
팸메일수치가 무려 265만여개로 기록되었습니다.
0
100,000
200,000
300,000
400,000
500,000
600,000
700,000
800,0002013-8
-1
2013-8
-3
2013-8
-5
2013-8
-7
2013-8
-9
2013-8
-11
2013-8
-13
2013-8
-15
2013-8
-17
2013-8
-19
2013-8
-21
2013-8
-23
2013-8
-25
2013-8
-27
2013-8
-29
2013-8
-31
바이러스
스팸
97.1 97.3 92.0
93.1 93.2
99.2
2.9% 2.7% 8.0%
6.9% 6.8%
0.8%
0
500,000
1,000,000
1,500,000
2,000,000
2,500,000
3,000,000
3월 4월 5월 6월 7월 8월
악성코드
스팸
페이지 | 14
(3) 스팸 메일 내의 악성코드 현황
[2013년 08월 01일 ~ 2013년 08월 31일]ff
순위 악성코드 진단명 메일수[개] 비율[%]
1 W32/Mytob-C 476 2.12%
2 W32/MyDoom-H 290 1.29%
3 Mal/DrodZp-A 201 0.90%
4 Troj/Invo-Zip 199 0.89%
5 Mal/ZipMal-B 192 0.86%
6 Mal/Phish-A 133 0.59%
7 W32/MyDoom-N 130 0.58%
8 Mal/BredoZp-B 91 0.41%
9 W32/Netsky-P 79 0.35%
10 Mal/FakeAV-OY 66 0.29%
스팸 메일 내의 악성코드 현황은 8월 한달 동안 수신된 메일에서 발견된 악성코드 중 Top 10을
뽑은 그래프입니다. 9월과 마찬가지로 W32/Mytob-C와 W32/MyDoom-H가 각각 1,2위를 차지했
으며 지난달 10위를 차지했던 Mal/DrodZp-A가 3위를 차지했습니다.
전체적으로, 휴가시즌인 관계로 수집된 스팸메일 내의 악성코드 수치는 조금씩 줄었으나 수집된
스팸메일의 수치는 7월에 비해 8월이 무려 8.5배 가량 증가하였습니다.
페이지 | 15
Part Ⅱ 보안 이슈 돋보기
1. 8월의 보안 이슈
앞으로 전자금융거래 사용자가 금융회사의 보안조치 요구를 정당한 이유 없이 거부할 경
우, 금융사고에 대한 보상을 받지 못하게 됩니다. 그밖에 공인인증서 허가제서 등록제로
전환, 안드로이드 마스터키 취약점 발견, NSA, 美 전역 인터넷 75% 감시 가능, 삭제 불가
능한 모바일 악성앱 등장 등이 8월의 이슈가 되었습니다.
• 공인인증서 허가제서 등록제로 전환
8월 13일, 금지되는 경우를 제외하고 원칙적으로 공인인증기관 지정을 허용하는 ‘네거티
브 규제방식’으로 지정방식을 전환하는 ‘전자서명법’ 개정안을 심의, 의결하였습니다. 이에
따라, 공인인증서 발급시장에 경쟁체제가 도입 될 것으로 예상되며, 새로운 기술에 바탕을
둔 다양한 인증수단이 등장할 것이라고 예상하고 있습니다.
• 금융회사의 보안강화 요구 외면 땐 해킹 보상 못 받는다
8월 15일, 전산보안강화에 고객의 책임을 조정하는 내용의 전자금융거래법 시행령 개정안
을 입법예고 해 오는 11월 시행에 들어간다고 밝혔습니다. 금융회사는 금융사고를 예방하
기 위하여 사용자에게 여러 가지 보안요구를 하는데, 이에 대하여 정당한 이유 없이 거부
할 경우, 이용자의 고의, 중과실로 추가 규정되어 해킹사고가 발생하여 금전적인 손실을
입더라도 보상을 받지 못하게 됩니다.
• 인터넷 금융 거래 도중의 해킹
최근 미리 소비자들의 컴퓨터를 감염시키고, 인터넷 뱅킹 과정에서 입력된 보안카드 번호
를 이용해 자금을 편취하는 신종 전자금융사기가 적발되었습니다. 이 방법은 사용자를 가
짜 은행 홈페이지로 유도하여 보안카드 번호 전체를 입력하도록 하는 이전 방식과는 다르
게, 사용자가 진짜 홈페이지에 접속하지만, 메모리에서 입력 값을 탈취하는 방법을 사용했
습니다.
• 을지연습 중 6.25 변종 악성코드 발견
을지연습 이틀째, 지난 6.25 사이버 테러때 사용됐던 분산 서비스거부 공격용 악성코드가
유포되는 정황이 포착되어 조기에 차단하였습니다. 이 악성코드는 키로깅, 화면 캡쳐, 추
가 악성코드 다운로드 및 실행등의 기능을 수행하는 것으로, 6.25 사이버 테러 때 사용되
었던 악성코드의 변종으로 확인되었습니다.
• 안드로이드 마스터키 취약점 발견
안드로이드 마스터키에 취약점이 발견되었습니다. 이 취약점은 공격자가 안드로이드 설치
파일을 변조하여 디지털 서명을 무효화 하지 않고도 악성코드를 정상적인 안드로이드 앱
에 삽입해 실행할 수 있도록 해주는 것입니다. 이 취약점을 패치하려면 펌웨어를 최신으
로 업그레이드 해야 합니다.
페이지 | 16
• NSA, 美 전역 인터넷 75% 감시 가능
미국국가안보국의 정보 수집 프로그램이 미국 전체 인터넷 통신량의 75% 정도를 감시할
수 있다고 월스트리스저널이 21일 보도하였습니다. 이는 CIA 전직원 에드워드 스노든의
폭로로 드러난 NSA 정보수집프로그램의 감시 능력이 알려진 것보다 훨씬 더 광범위 하단
것을 뜻하며, NSA는 이 프로그램과 프리즘 등을 통하여 온라인에서 일어나는 거의 모든
활동을 추적할 수 있다고 WSJ가 말했습니다.
• 삭제 불가능한 모바일 악성앱 등장
안드로이드 기기관리자 권한을 탈취한 뒤 자신을 삭제하지 못하도록 방해하는 악성앱이
등장하였습니다. 해당 악성앱은 스미싱을 통하여 흔하게 유포되는 소액결제를 노리는 악
성코드이지만, 올해 6월 발견된 ‘Obad’라고 불리는 악성앱의 코드 일부를 차용하여, 앱이
설치되면 기기관리자 권한을 탈취한 후, 기기관리자 리스트상에서 자신을 숨겨 사용자가
기기관리자 권한을 컨트롤 할 수 없고 삭제가 불가능 하게 하였습니다. 백신을 설치하지
않은 사용자들은 스마트폰을 공장초기화 하는 것 이외에 직접 삭제는 불가능 합니다.
페이지 | 17
2. 8월의 취약점 이슈
• Microsoft 8월 정기 보안 업데이트
Internet Explorer 누적 보안 업데이트, Unicode Scripts Processor의 취약점으로 인한 원격
코드 실행 문제, Microsoft Exchange Server의 취약점으로 인한 원격 코드 실행 문제,
원격 프로시저 호출의 취약점으로 인한 권한 상승 문제, Windows 커널의 취약점으로 인
한 권한 상승 문제해결 등을 포함한 Microsoft 8월 정기 보안 업데이트가 발표되었습니다.
<해당 제품>
• Windows XP
• Windows Vista
• Windows 7
• Windows 8
• Windows RT
• Windows Server 2003
• Windows Server 2008
• Windows Server 2008 R2
• Windows Server 2012
Internet Explorer 누적 보안 업데이트(2862772)
이 보안 업데이트는 Internet Explorer의 비공개적으로 보고된 취약점 11건을 해결합니다.
가장 위험한 취약점으로 인해 사용자가 Internet Explorer를 사용하여 특수하게 조작된 웹
페이지를 볼 경우 원격 코드 실행이 허용될 수 있습니다. 가장 위험한 취약점 악용에 성
공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권
한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게
받습니다.
Unicode Scripts Processor의 취약점으로 인한 원격 코드 실행 문제점(2850869)
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 Unicode Scripts Processor
취약점을 해결합니다. 이 취약점으로 인해 사용자가 포함된 OpenType 글꼴을 지원하는
응용 프로그램을 사용하여 특수하게 조작된 문서나 웹 페이지를 볼 경우 원격 코드 실행
이 허용될 수 있습니다. 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻
을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한
으로 작업하는 사용자에 비해 영향을 적게 받습니다.
Microsoft Exchange Server의 취약점으로 인한 원격 코드 실행 문제점(2876063)
이 보안 업데이트는 Microsoft Exchange Server에서 발견되어 공개적으로 보고된 취약점
3건을 해결합니다. Microsoft Exchange Server의 WebReady 문서 보기 및 데이터 손실 방
페이지 | 18
지 기능에 취약점이 있습니다. 이 취약점은 사용자가 OWA(Outlook Web App)를 사용하여
특수하게 조작된 파일을 미리보는 경우 Exchange 서버에 있는 코드 변환 서비스의 보안
컨텍스트에서 원격 코드를 실행하도록 허용할 수 있습니다. WebReady 문서 보기에 사용
되는 Exchange에 있는 코드 변환 서비스는 LocalService 계정의 자격 증명을 사용합니다.
데이터 손실 방지 기능은 특수하게 조작된 메시지가 Exchange 서버에서 수신되는 경우
필터링 관리 서비스의 보안 컨텍스트에서 원격 코드를 실행할 수 있게 하는 코드를 호스
팅합니다. Exchange의 필터링 관리 서비스는 LocalService 계정의 자격 증명을 사용합니다.
LocalService 계정에는 로컬 시스템의 최소 권한이 있으며 네트워크에서 익명 자격 증명을
제시합니다.
원격 프로시저 호출의 취약점으로 인한 권한 상승 문제점(2849470)
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이
취약점으로 인해 공격자가 특수하게 조작된 RPC 요청을 전송할 경우 권한 상승이 허용될
수 있습니다.
Windows 커널의 취약점으로 인한 권한 상승 문제점(2859537)
이 보안 업데이트는 Microsoft Windows의 공개된 취약점 1건과 비공개로 보고된 취약점
3건을 해결합니다. 가장 위험한 취약점으로 인해 공격자가 시스템에 로컬로 특수하게 조
작한 응용 프로그램을 실행할 경우 권한 상승이 허용될 수 있습니다. 이 취약점을 악용하
려면 공격자가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다. 익
명의 사용자에 의해서나 원격으로는 이 취약점을 악용할 수 없습니다.
Windows NAT 드라이버의 취약점으로 인한 서비스 거부 문제점(2849568)
이 보안 업데이트는 Microsoft Windows의 Windows NAT 드라이버에서 발견되어 비공개
적으로 보고된 취약점을 해결합니다. 이 취약점으로 인해 공격자가 특수하게 조작된
ICMP 패킷을 Windows NAT 드라이버 서비스를 실행 중인 대상 서버에 전송할 경우 서비
스 거부가 발생할 수 있습니다.
ICMPv6의 취약점으로 인한 서비스 거부 문제점(2868623)
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이
취약점은 공격자가 특수하게 조작된 ICMP 패킷을 대상 시스템에 전송할 경우 서비스 거
부를 허용할 수 있습니다.
Active Directory Federation Services의 취약점으로 인한 정보 유출 문제점(2873872)
이 보안 업데이트는 비공개적으로 보고된 AD FS(Active Directory Federation Services)의
취약점을 해결합니다. 이 취약점으로 인해 AD FS에서 사용하는 서비스 계정과 관련된 정
보가 노출될 수 있습니다. 공격자는 이 정보를 통해 기업 네트워크 외부에서 로그온을 시
도할 수 있으며, 계정 잠금 정책이 구성되어 있을 경우 이로 인해 AD FS에서 사용하는 서
비스 계정이 잠길 수 있습니다. 서비스 계정이 잠기면 AD FS 인스턴스에 의존하는 모든
페이지 | 19
응용 프로그램의 서비스 거부가 발생합니다.
<해결방법>
Windows Update를 수행하거나 Microsoft 보안 공지 요약 사이트에서 해당 취약점들의 개
별적인 패치 파일을 다운로드 받을 수 있습니다.
한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms13-aug
영문 : http://technet.microsoft.com/en-us/security/bulletin/ms13-aug
• Microsoft 9월 정기 보안 업데이트
Microsoft SharePoint Server의 취약점으로 인한 원격 코드 실행 문제, Microsoft Outlook의
취약점으로 인한 원격 코드 실행 문제, Internet Explorer 누적 보안 업데이트, OLE의 취약
점으로 인한 원격 코드 실행 문제, Windows 테마 파일의 취약점으로 인한 원격 코드 실
행 문제, Microsoft Office의 취약점으로 인한 원격 코드 실행 문제해결 등을 포함한
Microsoft 9월 정기 보안 업데이트가 발표되었습니다.
<해당 제품>
• Windows XP
• Windows Vista
• Windows 7
• Windows 8
• Windows RT
• Windows Server 2003
• Windows Server 2008
• Windows Server 2008 R2
• Windows Server 2012
Microsoft SharePoint Server의 취약점으로 인한 원격 코드 실행 문제점 (2834052)
이 보안 업데이트는 Microsoft Office Server 소프트웨어의 공개된 취약점 1건과 비공개로
보고된 취약점 9건을 해결합니다. 가장 위험한 취약점으로 인해 공격자가 영향을 받는 서
버로 특수하게 조작된 콘텐츠를 보내는 경우 W3WP 서비스 계정의 컨텍스트에서 원격 코
드 실행이 허용될 수 있습니다.
Microsoft Outlook의 취약점으로 인한 원격 코드 실행 문제점(2756473)
이 보안 업데이트는 비공개적으로 보고된 Microsoft Outlook의 취약점을 해결합니다. 이
취약점으로 인해 사용자가 영향을 받는 Microsoft Outlook 에디션에서 특수하게 조작된
전자 메일 메시지를 열거나 미리 볼 때 원격 코드가 실행될 수 있습니다. 취약점 악용에
성공한 공격자는 로컬 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자
페이지 | 20
권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적
게 받습니다.
Internet Explorer 누적 보안 업데이트(2870699)
이 보안 업데이트는 Internet Explorer에서 발견되어 비공개적으로 보고된 취약점 10건을
해결합니다. 가장 위험한 취약점으로 인해 사용자가 Internet Explorer를 사용하여 특수하
게 조작된 웹 페이지를 볼 경우 원격 코드 실행이 허용될 수 있습니다. 가장 위험한 취약
점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대
한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해
영향을 적게 받습니다.
OLE의 취약점으로 인한 원격 코드 실행 문제점(2876217)
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이
취약점으로 인해 사용자가 특수하게 조작된 OLE 개체를 포함하는 파일을 열 경우 원격
코드가 실행될 수 있습니다. 취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한
을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자
권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.
Windows 테마 파일의 취약점으로 인한 원격 코드 실행 문제점(2864063)
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이
취약점으로 인해 사용자가 시스템에 특수하게 조작된 테마를 적용하면 원격 코드가 실행
될 수 있습니다. 공격에 성공하려면 사용자가 파일을 열거나 테마를 적용하도록 유도해야
하며, 이는 어떠한 경우에도 강제로 실행되지 않습니다.
Microsoft Office의 취약점으로 인한 원격 코드 실행 문제점(2845537)
이 보안 업데이트는 Microsoft Office에서 발견되어 비공개적으로 보고된취약점 13건을 해
결합니다. 가장 위험한 취약점으로 인해 영향을 받는 Microsoft Office 소프트웨어 버전에
서 특수하게 조작된 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 가장 위험한
취약점 악용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템
에 대한 사용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에
비해 영향을 적게 받습니다.
Microsoft Excel의 취약점으로 인한 원격 코드 실행 문제점(2858300)
이 보안 업데이트는 Microsoft Office에서 발견되어 비공개적으로 보고된 취약점 3건을 해
결합니다. 가장 위험한 취약점으로 인해 사용자가 영향을 받는 Microsoft Excel 버전 또는
영향을 받는 기타 Microsoft Office 소프트웨어에서 특수하게 조작된 Office 파일을 열 경
우 원격 코드 실행이 허용될 수 있습니다. 가장 위험한 취약점 악용에 성공한 공격자는
현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사용자 권한이 적게 구성
된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향을 적게 받습니다.
페이지 | 21
Microsoft Access의 취약점으로 인한 원격 코드 실행 문제점(2848637)
이 보안 업데이트는 Microsoft Office에서 발견되어 비공개적으로 보고된 취약점 3건을 해
결합니다. 이러한 취약점으로 인해 사용자가 영향을 받는 Microsoft Access 버전으로 특수
하게 조작된 Access 파일을 열 경우 원격 코드 실행이 허용될 수 있습니다. 이 취약점 악
용에 성공한 공격자는 현재 사용자와 동일한 권한을 얻을 수 있습니다. 시스템에 대한 사
용자 권한이 적게 구성된 계정의 사용자는 관리자 권한으로 작업하는 사용자에 비해 영향
을 적게 받습니다.
Microsoft Office IME(중국어)의 취약점으로 인한 권한 상승 문제점(2878687)
이 보안 업데이트는 비공개적으로 보고된 Microsoft Office IME(중국어)의 취약점을 해결합
니다. 이 취약점으로 인해 로그온한 공격자가 Microsoft Pinyin IME(중국어 간체)의 도구
모음에서 Internet Explorer를 실행한 경우 권한이 상승될 수 있습니다. 이 취약점 악용에
성공한 공격자는 커널 모드에서 임의 코드를 실행할 수 있습니다. 이렇게 되면 공격자가
프로그램을 설치할 수 있을 뿐 아니라 데이터를 보거나 변경하거나 삭제할 수 있고 전체
관리자 권한이 있는 새 계정을 만들 수도 있습니다. Microsoft Pinyin IME 2010 구현만 이
취약점의 영향을 받습니다. 다른 버전의 중국어 간체 IME 및 기타 IME 구현은 영향을 받
지 않습니다.
커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점 (2876315)
이 보안 업데이트는 Microsoft Windows에서 발견되어 비공개적으로 보고된 취약점 7건을
해결합니다. 공격자가 시스템에 로그온하고 특수하게 조작된 응용 프로그램을 실행할 경
우 이 취약점으로 인해 권한 상승이 허용될 수 있습니다. 이 취약점을 악용하려면 공격자
가 유효한 로그온 자격 증명을 가지고 로컬로 로그온할 수 있어야 합니다.
Windows 서비스 제어 관리자의 취약점으로 인한 권한 상승 문제점(2872339)
이 보안 업데이트는 비공개적으로 보고된 Microsoft Windows의 취약점을 해결합니다. 이
취약점은 인증된 공격자가 사용자를 특수하게 조작된 응용 프로그램을 실행하도록 유도하
여 권한이 상승되게 할 수 있습니다. 이 취약점을 악용하려면 공격자가 유효한 로그온 자
격 증명을 갖고 있고 로컬로 로그온할 수 있거나, 공격자가 특수하게 조작한 응용 프로그
램을 실행하도록 사용자를 유도해야 합니다.
FrontPage의 취약점으로 인한 정보 유출 문제점(2825621)
이 보안 업데이트는 비공개적으로 보고된 Microsoft FrontPage의 취약점을 해결합니다. 이
취약점으로 인해 사용자가 특수하게 조작된 FrontPage 문서를 열 경우 정보 유출이 발생
할 수 있습니다. 이 취약점은 자동으로 악용될 수 없기 때문에 공격이 성공하려면 공격자
는 사용자가 특수하게 조작된 문서를 열도록 유도해야 합니다.
Active Directory의 취약점으로 인한 서비스 거부 문제점(2853587)
페이지 | 22
이 보안 업데이트는 Active Directory에서 발견되어 비공개적으로 보고된 취약점 1건을 해
결합니다. 이 취약점으로 인해 공격자가 특수하게 조작된 쿼리를 LDAP(Lightweight
Directory Access Protocol) 서비스에 보낼 경우 서비스 거부가 발생할 수 있습니다.
<해결방법>
Windows Update를 수행하거나 Microsoft 보안 공지 요약 사이트에서 해당 취약점들의 개
별적인 패치 파일을 다운로드 받을 수 있습니다.
한글 : http://technet.microsoft.com/ko-kr/security/bulletin/ms13-sep
영문 : http://technet.microsoft.com/en-us/security/bulletin/ms13-sep
• 안드로이드 마스터키 취약점 보안 업데이트 권고
삼성, LG 등 스마트폰에 탑재되는 안드로이드에서 마스터키(CVE-2013-4787) 취약점이 발
견되었음.
공격자는 안드로이드 설치 파일(apk)을 변조하여 디지털 서명을 무효화하지 않고도 악성
코드를 정상적인 안드로이드 앱에 삽입하여 실행 가능함.
<해당 제품>
안드로이드 1.6(Donut)부터 4.2(Jelly Bean)의 버전
<해결 방법>
낮은 안드로이드 버전의 사용자는 악성코드 감염에 취약할 수 있으므로 해결방안에 따라
최신버전으로 업그레이드 권고
• 안드로이드 1.6(Donut)부터 4.2(Jelly Bean)의 버전 사용자
제조사별 펌웨어 업그레이드 프로그램을 통해 최신 펌웨어로 업그레이드
※ 삼성전자 펌웨어 업그레이드 프로그램(Samsung Kies) 다운로드 경로 :
http://www.samsung.com/sec/support/pcApplication/KIES
취약점이 패치된 모델
Galaxy S4, Galaxy S4 LTE-A, Galaxy Mega (취약점 기 패치되어 출시됨)
Galaxy S2, Galaxy S2 LTE, Galaxy S2 HD
Galaxy S3, Galaxy S3 LTE
Galaxy Note, Galaxy Note 2, Galaxy Note 8, Galaxy Note 10.1
Galaxy Tab 7.7, Galaxy Tab 8.9
Galaxy R, Galaxy POP, Galaxy Grand
페이지 | 23
※ LG전자 펌웨어 업그레이드 프로그램(LG Mobile Support Tool) 다운로드 경로 :
http://www.lgmobile.co.kr/lgmobile/front/download/retrieveDownloadMain.dev
취약점이 패치된 모델
LG G2
LG Optimus G/Gpro
LG Optimus Vu/Vu2
LG Optimus LTE2
※ 팬텍 펌웨어 업그레이드 경로 :
http://www.vegaservice.co.kr/down/self/main.sky
취약점이 패치된 모델
VEGA Racer 2 (IM-A830S, IM-A830K, IM-A830L)
VEGA S5 (IM-A840S)
VEGA R3 (IM-A850S, IM-A850K, IM-A850L)
VEGA N6 (IM-A860S, IM-A860K)
VEGA IRON (IM-A870S, IM-A870K, IM-A870L)
VEGA LTE A (IM-A880S)
<권고사항>
-확인되지 않는 문자에 포함된 링크는 절대 클릭 말고 즉시 삭제
-‘스마트폰 이용자 10대 안전수칙’에 따라 스마트폰을 사용
스마트폰 이용자 10대 안전수칙
1. 의심스러운 애플리케이션 다운로드하지 않기
2. 신뢰할 수 없는 사이트 방문하지 않기
3. 발신인이 불명확하거나 의심스러운 메세지 및 메일 삭제하기
4. 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기
5. 블루투스 기능 등 무선 인터페이스는 사용시에만 켜놓기
6. 이상증상이 지속될 경우 악성코드 감염여부 확인하기
7. 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기
8. PC에도 백신프로그램을 설치하고 정기적으로 바이러스 검사하기
9. 스마트폰 플랫폼의 구조를 임의로 변경하기 않기
10. 운영체제 및 백신프로그램을 항상 최신 버전으로 업데이트 하기
<참고사이트>
http://bluebox.com/corporate-blog/bluebox-uncovers-android-master-key
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4787
페이지 | 24
Contact us…
㈜이스트소프트 알약대응팀
Tel : 02-3470-2999
E-mail : [email protected]
:알약 홈페이지 : www.alyac.co.kr
