본문 바로가기

카테고리 없음

금주 동향과 정보들에 대한 협력, 그리고 분석 모델에 대한 설명


개인적 단상

지금까지 국내에서 시도 된적이 없는 주간 단위 보안 위협에 대한 리포트와 분석 내용들인데 벌써 4개월 이상을 운영을 해온 상태입니다. 이 서비스를 시작하게된 이유는 국내의 심각한 현실을 날 것으로 알리고자 하는 목적이 가장 큰 목적 이였으며, 대응 하는 방안과 체계적인 인력을 양성하기 위해 시작된 무리한 도전 이였습니다만, 이제는 어느 정도 틀이 잡힌 상태입니다. 그래도 항상 그렇듯이  꾸준하게 한다는 것은 어려운 일인것 같습니다.


앞으로도 꾸준하게 분석하고 거대 위협에 대응 할 수 있도록 많은 노력과 역량들을 기울이도록 하겠습니다.  질책 , 격려 말씀은 항상 큰 도움이 됩니다.  시범서비스라도 받으셔서 ( 비록 한달이지만 ) 현실을 인식하고 개선을 위해 같이 노력 하였으면 하는 마음 가득 합니다. 정식 서비스 가입이면 더 큰 힘이 되겠지요. 아직까지는 달려오는 탄성으로 그대로 가고 있습니다. 이 무모한 시도가 멈추지 않기를 바라며, 변화와 현실의 개선에 작은 도움이 되었으면  하는 바램입니다.




8월 1주차 보안 정보 제공 서비스 발송 되었습니다. 

( 가입 고객에게만 전달 됩니다. 시범 서비스라도 신청해야  받으실 수 있습니다.)


금주 차에는 전 세계적으로 관찰 되고 있는 Mass sql injection 형태에 대한 설명 ( xxxx.rr.nu/sl.php )에 대한 정보를 포함하고 있으며 Java 취약성인 CVE 2012-1723 취약성을 이용하며 분석 및 탐지 방해를 위해 IP 접근 제어를 하고 있는 악성링크에 대한 기본 분석이 들어 있습니다.

Java 취약성에 대한 공격은 대폭 늘어난 상태로 이미 예고해 드린대로 CVE 2012-1723 취약성에 대한 전문분석도 제공이 되었습니다. 

더불어 MalwareNet을 이용하여 유포되고 있는 최종 악성코드에 대한 변화와 탐지 비율을 직접 기술 하였으며, 현재 악성코드는 시스템 파일을 변조하고 대기하는 형태를 보이고 있어서 

차후 APT 형태로 즉시 전환이 가능한 상태입니다.

게임 계정 해킹에 이용 되는 정보 탈취형 악성코드들이 주를 이루고 있으나 최근 들어 대규모로 백도어 및 루트킷 형태들이 심심치 않게 유포되는 정황이 발견되고 있어서 저희쪽에서도 주의를 기울이고 있는 상황입니다.


전체적인 요약 브리핑들은 아마 내일쯤 게재가 될 것이고 현재 스캔의 PCDS에서는 최초 악성링크 부터 최종 설치되는 악성코드까지의 전 단계를 수집하고 분석하며 정보를 누적하고 있습니다. 여기에는 악성코드가 Active 하게 연결하는 C&C 서버들에 대한 정보도 수집이 되고 있는 상태입니다.

( * 리얼한 예를 위해 IP 정보와 다운로드 받는 곳의 필터링을 하지 않겠습니다. 수십여건 이상 발생 되는 것 중의 하나일 뿐입니다.)




각 악성코드 변화에 대한 진단 내역 ( 후~~) , 각 세번의 케이스 마다 최종 악성코드들은 모두 다릅니다. 한가지 확실한 것은 모두 진단이 안된다는 점. 



활용할 부분이나 연관되는 기업 및 기관들이 많이 있을 것으로 보입니다. 악성링크에 대한 부분은 현재 Tri Cube Lab 과 계약이 되어 있으나 다른 정보들에 대해서는 별도 계약이 된 곳들은 없는 상태이니 관심 있는 기업이나 기관들은 요청을 주세요. info@bitscan.co.kr 로 메일 주시면 협의 후 답변 드리겠습니다.


저희쪽에서 악성링크와 악성코드를 KAIST와 같이 공동으로  분석하고 협업 하는 프로세스 측면에 대해서 문의를 주시는 분들이 많습니다.  실제 분석을 담당하고 있고 이번 여름에 빛스캔에서 인턴으로 업무를 담당 했던 KAIST 정보보호대학원 3기인 임효식 군의 글에서 그 내용과 실체를 알 수 있습니다.

http://cafe.naver.com/nsis/64891  - 보안인 매거진의 14호에 실려 있으며 로그인이 필요합니다.


로그인 안되시거나 네이버 계정이 없으신 분들을 위한 PDF 는 아래에... ( 전주현님 양해를 ^^ ; 널리 알리기 위한 목적이니.. )


보안인 e-매거진14호_2012-08_v_1.1.pdf