태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

5월 1주차 보안 정보제공 서비스는 메일로 전달이 되는 보고서들입니다. 국내.외를 통털어 확인이 어렵고 공개되지 않는 정보들에 대해 분석하고 대책을 마련할 수 있도록 제공되고 있습니다.  제가 메일로 보내는 내용에 대해서는 일부 민감한 내용을 제외하고는 정리를 해드리겠습니다. 현재 우리의 상태와 현실을 아는 기회가 되었으면 합니다.



Mass sql injection과 같은 공개적인 공격들은 아마 본 정보제공에서 최초 공개가 될 수 있을 것이고 그외의 악의적인 링크들은 보고서들에만 기술 될 수 있어서 본 게시물에서는 공개가 불가합니다. 

또한 보고서 상에는 악성링크로 활용이 될때에는 원칙에 따라 보고서상에 공개를 하고 있으며 국내의 서비스들이 악성링크에 이용이 된 경우에도 원칙대로 공개됩니다.



본 서비스를 통해서 얻을 수 있는 다양한 활용은 다음과 같습니다.


1. 업데이트에 대한 강력한 권고 ( 이번주는 Java 업데이트 입니다.)
2. 대응을 위한 차단 정책 적용 
3. 감염되었을 경우의 사고대응 참고 
4. 게임사들은 고객의 계정정보 보호를 위한 다양한 기술적 보호 방안 강구. 

위와 같은 활용들이 가능하니 적극 활용 하시기 바랍니다.




------------------------

지난 주 발생 되었던 위협들에 대해 금주 정리를 해보면 예상 되었던 위협들은 그대로 진행이 되고 있습니다.다만 출현 범위는 줄어든 상태를 보이고 있습니다.

전체적으로 공격을 당한 곳들은 동일한 수치를 보이고 있으나 분석 대상에 포함되지 않은 것은 이전에 활용 하였던 악성링크들을 대거 재활용 하는 경향을 보이고 있어서 전체적인 분석 카운트는 줄어들었습니다. 그러나 현재 상황은 위협이 줄어든 것이 아니라 대응이 되지 않는 상황이라서 자유스럽게 공격자들이 재활용을 하는 상황에 도달한 것으로 보고 있습니다.

각 기술분석 보고서들의 분류는 공격하는 취약성 집합에 따라 분류가 되어 있고 Java applet 취약성인 2012-0507 취약성을 단독 이용 하거나 결합된 형태로 이용하는 사례가 증가하고 있습니다. 따라서 지난주 대거 출현 하였던 2012-0507에 대해 분석된 전문분석 보고서 내용을 전달 드리는 것이 바람직해 보입니다.
기술 보고서에는 간략하게 언급이 되어 있지만 전문분석에는 디컴파일된 형태에서 기능과 역할에 대한 부분들이 분석 되어 있습니다. ( 이외에도 다양한 전문분석 부분들이 진행이 되고 있으며 완료 되는대로 순차적으로 해당 서비스 고객들에게 전달 될 예정입니다.)


특징:
 

- CVE 2012-0507 ( Java Applet 신규 취약성) 공격 계속
- 해외 호스팅 영역을 통한 IP 변경된 공격 지속 관찰
- 국내 대학의 서버를 활용한 악성코드 유포 계속, 파일 공유 및 언론사를 통한 유포시도 감소
- 이전 출현 하였던 악성링크의 재활용 계속 증가 ( 차단이 되지 않으니 계속 활용 되고 있습니다.) 
- 배너, 태그 광고 링크에 대한 공격 지속  ( 태그 광고 1곳, 배너광고 1곳)
- Mass sql injection  최초 유형 발견 2곳 시작됨 ( http://uhijku.com/r.php http://uhjiku.com/r.php )
     
Mass sql 공격 관련 정보는 http://www.symantec.com/connect/blogs/lizamoon-mass-sql-injection-tried-and-tested-formula 이곳을 참고 하시면 됩니다.
국내에도 빠르게 확산 되고 있으며 본 메일을 작성 하는 시점에도 추가 유형이 발견 되고 있습니다. 2012-0507 유형이 같이 사용 되고 있으므로 전문분석을 참고하시고 사내의 임직원들에게 강력한 보안 패치 정책을 권고 하셔야 할 것입니다. 내부망의 사용자 PC가 한대라도 권한 획득을 당했을 경우 그 위험성은 충분히 인지하고 계실 것으로 알고 있습니다. 다양한 대책을 통해 위험을 계속 줄여 나가는 것이 현재 할 수 있는 가장 중요한 일이 아닐까 생각 됩니다.
 


대응:
 

- CVE 2012-0507 공격기법에 대한 전문분석 제공합니다. 단 서비스 신청된 기업/기관에 한정 합니다.
- 해외 호스팅 영역 . 4월 3주,4주,5주차 차단 권고 영역 유지 필요. - 이전 활용된 악성링크들이 계속 재활용 되고 있습니다.

5주차에 권고 드렸던 하기의 차단 클래스는 그대로 금주에도 발생을 하여 유지하며 추가 차단 클래스는 다음과 같습니다. 해당 클래스들은 공격자가 전체 제어권을 가지고 있어서 지속적으로 공격에 활용할 곳으로 예정 되고 있습니다. 차단이 필요한 상황입니다. 또한 저희쪽에서 이 부분을 공개할 경우 공격자들과 계속해서 숨은그림 찾기를 해야 합니다만 .. 각오하고 올리도록 하겠습니다.

 
      5월 1주차 차단 권고 대역
            50.117.119.0/25
            67.213.211.0/25 

 4월 5주차 차단 권고 대역

  1. 211.100.253.0/24 (China)
  2. 205.164.0.0/24 (USA)
  3. 69.4.224.0/24 (USA)
  4. 209.73.156.0/24 (USA)
  5. 174.127.79.0/24 (USA)

금주 유포지나 악성링크로 활용된 곳들은 다음과 같습니다.     
.....중략 (민감한 부분)

또한  어린이날을 맞아 *** 사이트와 같은 곳에서 악성코드를 뿌릴 수 있도록 집중적으로 공격하여 악성코드에 감염을 시키려는 꼼꼼한 면도 공격자들은 보여주고 있습니다. 


본 5월 1주차 정보제공 서비스에 포함된 전문분석 보고서는 향후는 서비스 프로페셔널 서비스 이상에만 제공이 되며 , 시범서비스에는 제공이 되지 않을 예정입니다. 참고하세요. 시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 받으셔야 보고서가 누락되지 않습니다.  

* 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.

Posted by 바다란