태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

9월 3주차 국내를 대상으로 한 IE 제로데이(CVE-2012-4969) 공격이 감염을 위해 출현 하였으며, 또한 추가적인 공격을 위한 다운로더들의 발견이 급증한 상태를 보이고 있어서 향후 위험에 대해 대비가 필요합니다. 다운로더 중 행위가 파악된 것들은 3.4 DDoS와 7.7 DDoS에서 사용하였던 방식을 취하고 있습니다. 해외사이트에 올려진 ***.gif 파일을 받아 추가적인 공격 코드나 명령을 받는 방식이 실제로 파악이 된 상태이므로 근 미래에 유사 사건 재발 가능성이 높은 상황입니다. 공격 행위를 보이기 전까지는 악성파일로 판정이 되지 않는 경우가 많으므로 즉시적인 대응을 통해 위험을 감소 시켜야 하는 상황입니다.


금주 공격의 특징은 다중 취약성을 공격하는 공격 세트가 대거 증가한 현상이 발견 되고 있습니다. 단일 취약성이 아닌 여러 취약성 (IE, Java, Flash)을 동시에 공격하여 성공률을 높이는 형태가 계속 증가된 형태를 보이고 있으며, IE 제로데이(CVE-2012-4969)까지도 직접 활용이 된 것으로 확인 되었습니다. 웹 서비스 방문자를 대상으로 직접 유포 시도가 된 것이라 피해는 클 것으로 예상 됩니다.


IE제로데이의 경우 국내를 대상으로 한 공격 코드를 살펴 보면 악성링크 내에 언어별로 분기문을 하나 두어 공격 대상을 세분화하고 있습니다. 그래서 분기문 하나만 있으면 전 세계가 동일한 악성코드의 위험에 노출될 수도 있고 특정한 국가만 공격 대상이 될 수도 있습니다. 공격의 대상이 되는 것은 공격자의 마음에 달려있을 뿐입니다.

 



<신규 제로데이 Internet Explorer 취약점(CVE-2012-4969) 구조>


이 IE 제로데이(CVE-2012-4969) 취약점은 특정 정당 사이트를 통한 악성코드 유포에 활용되기도 하였습니다. 해당 사이트를 통해 수집된 악성코드는 백도어 형태의 일종으로 파일 생성, 자동실행 등록, 암호화 통신 시도, 악성 도메인 접근(ahalab.4irc.comalyac.flnet.orgalync.suroot.com) 등의 기능을 수행합니다. 도메인은 수시 활성화 가능성이 있으므로 즉시 차단이 필요하며, 금일 확인 시에도 악성링크는 여전히 살아 있는 상태를 보이고 있으므로 추가 피해를 예방 하시기 바랍니다.


현재까지는 표적 공격으로 판단할만한 별다른 특이사항을 보이고 있지 않지만, 향후 대선과 같이 사회적 이슈에 민감한 사이트들을 대상으로 계속적인 모니터링이 필요해 보입니다. 자세한 사항은 동향 분석 보고서를 참고하시기 바랍니다.


금주에는 PC에 설치되는 최종 악성코드 기능에 ARP 스푸핑을 통한 웹페이지 변조 후 <script language=JavaScript src=http://http://ewy.xxxxxxxx.net//tj.js> </script>를 삽입하는 형태가 발견 되었습니다. 같은 네트워크 PC중 단 한 대만 감염되더라도 같은 네트워크를 쓰고 있는 모든 PC들이 공격자가 변조한 웹 페이지로 접속하는 형태가 나타나므로 ISP 및 기업/기관에서는 해당 주소에 대한 모니터링 강화가 필요한 상황입니다.


ARP 스푸핑을 이용하는 공격코드의 기능은 현재까지는 135, 445 포트를 통해 내부 IP 대역까지 검사하며 정상적으로 다운로드가 될 경우(tj.shuxxxxxx.com)122.225.112.xxx 에 감염PC의 맥어드레스와 PC이름을 보낸 후 Updateok라는 메시지를 보내어 공격자들은 감염된 PC에 대한 통계 정보를 끊임없이 수집하고 있습니다.


금주에 발견된 최종 악성코드의  특징으로는 악성코드 감염 후 내부 시스템 및 네트워크 정보수집 행위가 강화되고 있습니다. 또한 분석방해를 위해 악성코드 분석에 사용되는 가상머신 여부를 확인하며, 악성코드 분석할 때 사용하는 디버거의 동작 여부를 확인하고 만약 확인이 되었을 시 악성코드 분석을 방해하기 위하여 블루스크린을 일으킴으로써 분석을 방해하고 적극적으로 회피하는 형태가 발견 되었습니다.


다단계 유포통로 (MalwareNet)을 활용한 악성코드 유포 시도도 매우 활발 하였으며, 이제는 유포통로의 확산 이후의 과정인 적극적인 활용 단계에 돌입한 것으로 판정하고 있습니다. 백도어 및 루트킷 형태의 악성코드들도 다단계 유포통로를 이용하여 유포 된 정황이 발견 되었으므로 향후 추가적인 이슈 및 사건.사고 발생이 예상 되고 있습니다. 각 기업 및 기관에서는 주의가 필요합니다.


현재 빛스캔에서 탐지하는 유형은 단순히 이메일을 통한 타켓형 APT가 아닌 웹서비스를 방문하는 모든 방문자를 대상으로 한 대규모 유포이며, 확산도가 높아서 위험성이 높은 상태입니다. 따라서 기업/기관별로 인터넷 접근 시에 많은 보호대책을 적극 반영 하여 대응을 하셔야 할 것으로 보입니다.

기존 악성코드들의 분석 결과도 단순 게임계정 탈취에서 계속 변화하는 형태를 보이고 있어 앞으로의 변화를 가늠하기 어려운 상황입니다. 이미 농협의 사례를 통해 APT나 내부망을 공격 하는 악성코드가 가진 위험성과 파괴력은 충분히 경험을 한 상태이므로 현재 웹서비스를 통해 감염시도를 하는 악성코드 자체의 위험성은 높은 수준이라 할 수 있습니다.


금주 공격의 특징을 정리하면 다음과 같습니다.

  • 신규 제로데이 Internet Explorer 취약점(CVE-2012-4969) 출현 및 특정 정당 사이트에서 악성코드 유포( 전문분석 보고서 제공)
  • 8월 3주차 대거 관찰된  루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가 ( 감염된 좀비PC들을 활용한 추가 위험이 발생 할 수 있는 상태)
  • APT 형태의 악성코드 유포 계속 - 권한 획득내부망 스캔 , 추가 코드 다운을 위한 다운로더 다수 확인 지속
  • MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 
  • 3.4 및 7.7 DDos 형태와 유사성을 지니는 다운로더 발견의 급증 ( 긴장을 늦춰선 안되겠습니다. 당장이라도 발생 가능한 상황입니다. )
  • 최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨
  • 백신에 탐지 되지 않는 다운로더  백도어 형태의 악성코드 유포 계속
  • 게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속
  • 백신 업데이트 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨

최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5.6월 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정이 되며이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 예상해 드린 대로 직접적인 ARP 스푸핑 공격코드 출현 하였으므로 피해 발생 예정입니다. 이 모든 것들은 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용입니다.

 

본 서비스에서 제공되는 정보들은 시일이 지날 수록 영향력이 계속 커질 수 밖에 없는 정보들에 대한 분석이 주된 내용입니다항상 한달 가량의 보고서 내용들을 살피시고 계속적으로 대응을 하시면 문제 부분을 줄일 수 있습니다모든 부분에 있어서 사후 대응 아닌 사전 대응으로 해를 예방 하도록 하는 것이 핵심 입니다.

 

*MalwareNet ( 범위와 변화)

- MalwareNet: 공격자들이 공격효과를 높이고 탐지를 회피하기 위해 활용하고 있는 악성코드 유포 네트워크를 의미합니다. 일반적인 사이트에 악성링크를 직접 입력 하는 것이 아닌 몇 단계를 거친 링크들을 입력하여 추적을 회피하고 악성코드 유포 효과를 극대화 하기 위해 사용 되는 프레임을 MalwareNet으로 정의 하고 있습니다. 즉 단 한번 악성링크의 내용을 변경하면 최대 300에서 최소 10여 곳에 이르기까지 동시에 동일한 악성코드 유포가 발생 되는 상황을 나타내고 있습니다.


MalwareNet(다단계 유포망)은 유통구조 패러다임의 혁신입니다.

2006년 우리들을 떠들썩하게 했던 다단계 판매 회사 JU를 기억하시는 분들이 있을 것입니다. 국내 최대의 다단계 업체로 군림하던 제이유 그룹의 피해자만 약 14만 명, 피해 액수는 4조원에 육박하는 사상최대의 사기 사건이었습니다.

자신의 밑의 판매원들만 계속 늘리면 자신은 일을 하지 않고도 편히 쉴 수 있다는 걸 의미합니다.




<다단계 업체의 판매 방식 마치 피라미드처럼>


또 다른 유통 구조에 대한 예를 하나 들어보겠습니다. 우리가 주변에서 자주 볼 수 있듯이 우리가 '김치'를 먹기 위해서는 생산자가 밭에 배추 씨를 뿌립니다. 배추가 병충해 피해를 입지 않도록 잘 관리 후에 농∙수산물 도매시장에 판매합니다. 도매시장에서는 도매상들이 경매를 통해 큰 단위로 배추를 삽니다. 도매상들은 소매상들에게 다시 판매를 합니다. 소매상들은 다시 소비자들에게 판매합니다.

우리나라의 복합적인 유통 생태계입니다. 각 생산자,   도매상, 소매상 등의 중간 마진, 유통시간 등이 포함되어 있습니다.


생산자 : 농부
도매상 : 농수산물 도매시장(가락시장)
소매상 : 소매점포(일반 과일 가게)
소비자 : 일반 구매자

 




<유통 생태계(피라미드)>

 

하지만 현재 온라인에서 공격자들이 행하는 악성코드 유포는 유통구조의 근본적인 패러다임을 바꾸어 놓고 있습니다.

오프라인 유통 구조에서는 배추 씨앗을 뿌리고 수확하는데 일정한 주기(몇 개월)가 필요합니다. 하지만 온라인에서는 씨앗(악성코드)을 뿌림과 동시에 자라납니다. 그리하여 씨앗은 언제든지 변경할 수 있습니다.

중간마진 Zero, 유통시간 Zero, 판매효과는 즉시 ( 최소 10명중 6명에게는 강제판매 가능 )

생산자 : 최종 악성코드
도매상 : MalwareNet(동일한 경로를 활용한 유포 통로)
소매상 : 악성코드 경유지(언론사나 파일 공유 사이트 등)
소비자 : 방문자





<MalwareNet 다단계 악성코드 유포 경로>

 


공격자들은 좋은 것들은 벤치마킹하는 능력이 뛰어납니다. 공격자들이 
다단계 업체의 판매 방식인 피라미드 방식을 그대로 차용하고 있습니다. 그 이유는 무엇일까요? 공격자들은 언제나 비용대비 효과가 뛰어난 것을 선택합니다.


본 정보제공 서비스에서는 MalwareNet의 특성상 대규모 피해가 상시적으로 발생 될 수 있으므로 상위 리스트에 한해 부분 공개를 하고 있습니다.

MalwareNet 통해 영향력을 가지는 악성링크들은 탐지 회피를 위해 비정기적이고 수시로 변경됩니다 차에서는 사후 대응으로는 탐지할  없는 형태인 MalwareNet 활용 사례를 살펴 보겠습니다. 공격자의 의도에 의해 조종당하고 있는 현실에서 대응 사전대응의 이는 매우  차이를 가질   으며 , 선제적인 사전대응이 얼마나 중요한지 확인   있습니.

 

MalwareNet 자체를 여러 곳 활용 하는 형태도 전주에 이어 계속 발견 되고 있으며, PCDS 상의 추적된 데이터로 살펴보면 악성링크는 19곳 가량에만 추가가 되었지만 이중 6 곳이  MalwareNet으로 사용이 되고 있습니다. Impact Factor로 보면 위험성과 파급력은 82에 이를 정도로 높은 상태를 보이고 있습니다. 공격자는 단 한번의 클릭 만으로 전체 82 이상에서 동시에 악성코드 감염을 시킬 수 있는 상황이며최종 악성코드들에 대한 탐지율도 높지 않아 항상 위험에 노출 되어 있는 상태라 볼 수 있습니다xxx.xxxxr.kr/main.htm 링크의 경우 공격에 가장 적극적으로 활용된 링크이므로 향후 활용도도 계속 될 것으로 관찰 되고 있습니다. 또한 단기간에 대규모 유포망 구축을 하는 형태가 끊임없이 관찰이 되고 있습니다. 주중에는 통계정보를 수집하고 간헐적으로 공격에도 이용 되고 있는 형태를 보이고 있습니다.

 

*PCDS Impact Factor는 내부 수집된 체계에서 전파 범위를 고려한 내부 위험지수이며 MalwareNet의 추적과 영향도 추적을 위해 활용 되는 수치입니다. 높을 수록 은밀하면서도 파급력이 높은 상태라는 점을 의미하고 있습니다.

 

6월 초순경에 출현 하였던 'xxx.xxxxr.kr/main.htm' MalwareNet은 금주에도 다시 최종 악성코드 배포에 활용 되었습니다.




<PCDS 추적 데이터- 일자별,시간별 영향력 증가를 보십시요.>


현재의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있습니다기본적인 문제를 해결 할 수 있는 보안패치는 반드시 적용 해야만 위험을 줄일 수 있으니 반드시 기관기업 내부적으로 강력한 권고가 되어야 합니다Oracle Java 취약성, Adobe Flash 취약성 , MS XML , Midi  IE 취약성이 복합적으로 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.
 
  • 기술분석 보고서에 기술된 루트킷 및 키로거백도어 기능을 가진 악성코드들은사용자PC의 드라이버 및 시스템 파일 교체윈도즈 서비스 등록 등을 실행하고내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다.또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하세요.
  •  기술 분석 보고서에 전체 URL이 공개된 국내 사이트들은 악성링크로 직접 이용 되거나 최종 악성코드가 다운로드 된 곳들의 주소는 여과 없이 공개가 되고 있으니 참고하시고 금주 차에는 언론사 및 국내 기업기관들의 주소가 직접 기술 되어 있습니다.
  •  기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있습니다. 현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 변화된 형태를 보이고 있으며 외부 도메인 연결과 업데이트를 통해 다른 형태로전환이 계속 되고 있습니다. – 8월 2주차 부터 관찰된 변화는 금주 차에도 계속 되고 있습니다.
 
PCDS 상에서는 최초 악성링크 탐지와 MalwareNet에 대한 추적최종 악성파일에 대한 수집까지 같이 운영이 되고 있습니다.

 PCDS에 탐지된 내용을 바탕으로 하여 공격자들의 전략을 확인해 보면비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있습니다변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며때로는1시간에 한 번씩 최종 악성코드를 변경하는 지금의 상황에서 대응이 가능한 보안체계는 거의 없습니다백신은 백신만의 역할 부분이 있으며현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야 합니다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로, 대응적인 측면에서 한계를 보일 것으로 판단됩니다.

지금 분석되고 예상되는 모든 내용들은 지금 이 순간에도 발생 하고 있는 현실입니다사건이 발생 된 이후에는 돌이키기 어렵듯이 사전 탐지와 사후 대응은 전혀 다른 범위입니다사전에 얼마나 대응을 하느냐가 가장 중요하며빠른 정보를 확보하여 대규모로 유포된 악성코드에 대응 할 수 있도록 사후대응 측면에서도 현재 수준 보다는 강도 높은 방안들이 절실히 요구됩니다.



*게임 계정 탈취 및 백신 Kill , 게임 머니 및 아이템 거래 사이트 추가 발견


본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다모든 기능은 BHO 관련된 공격에 연관 되어 있으며 해당 문제들은 이전 보고서에 첨부된 BHO 공격에 대한 전문분석 자료를 참고 하세요정식구독 기업기관 대상)신규 가입 및 최근 가입으로 인하여 전문분석 보고서를 받지 못한 곳들은 본 메일로 회신을 주시면 전달 드리겠습니다.


금주에 신용정보 조회, 아이템 매니아, 아이템 베이 사이트까지 계정 탈취 기능이 추가 되었습니다. 신용정보 조회 사이트에서 자신의 신용정보를 검색하다가는 자신의 개인정보가 노출될 수도 있습니다. 또한 아이템 매니아, 아이템 베이 사이트는 온라인 게임 아이템 거래 사이트입니다. 게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있습니다. 돈이 되는 곳은 모두가 대상이 되어 있는 상태입니다.다른 모든 기기와 장비들에서도 금전화가 가능한 순간부터 현재의 공격 수준은 그대로 확장이 될 것입니다. 아직은 때가 안되었을 뿐입니다.


분 류

프로세스명

프로그램명

백 신

sgbider.exe, vcsvc.exe, vcsvcc.exe

바이러스체이서

NVCAgent.npc, Nsvmon.npc, Nsavsvc.npc, NVC.npc, NaverAgent.exe

네이버백신

V3sp.exe, V3svc.exe, V3up.exe, MUpdate2.exe, SgSvc.exe, Sgui.exe,

SgRun.exe, InjectWinSockServiceV3.exe,

V3Light.exe, V3LTray.exe, V3Lsvc.exe, V3LRun.exe

AhnLab V3

AhnLab V3 Lite

AhnLab SiteGuard

AYUpdSrv.aye, AYRTSrv.aye, SkyMon.exe,

AYServiceNT.aye, AYupdate.aye, AyAgent.aye

알약 (ALYac)

avp.exe

Kaspersky

avgnt.exe, avcenter.exe, avguard.exe, avscan.exe, avupgsvc.exe

Avira AntiVirus

avwsc.exe, AvastSvc.exe, ashUpd.exe, AvastUI.exe

avast!

shstat.exe, Mctray.exe, UdaterUI.exe

McAfee

msseces.exe

MSE

egui.exe, ekrn.exe

ESET NOD32

ccSvcHst.exe, Navw32.exe

Symantec Norton

updatesrv.exe, vsserv.exe, seccenter.exe, bdagent.exe, bdreinit.exe

BitDefender

avgam.exe, avgemc.exe, avgnsx.exe, avgrsx.exe

avgfrw.exe, avgwdsvc.exe, avgupd.exe

AVG

PCOTP.exe

넥슨 OTP

게 임

gamehi.co.kr

게임하이

hangame.comid.hangame.com

한게임

laspoker.exe

한게임 라스베가스포커

duelpoker.exe

한게임 맞포커

hoola3.exe

한게임 파티훌라

highlow2.exe

한게임 하이로우

poker7.exe

한게임 7포커

baduki.exe

한게임 로우바둑이

ExLauncher.exe, TERA.exe, tera.hangame.com

테라

netmarble.net

넷마블

pmang.com

피망

ff2client.exe, fifaonline.pmang.com

피파 온라인2

Raycity.exe

레이시티

www.nexon.comlogin.nexon.com

넥슨

df.nexon.com, dnf.exe

던전 앤 파이터

DragonNest.exe, dragonnest.nexon.com

드래곤 네스트

baramt.exe, WinBaram.exe, baram.nexon.com

바람의 나라

mabinogi.nexon.comheroes.nexon.com, heroes.exe

마비노기 영웅전

MapleStory.exe, maplestory.nexon.com

메이플 스토리

x2.exe, elsword.nexon.com

엘소드

dk.halgame.com, dkonline.exe

DK 온라인

clubaudition.ndolfin.com

클럽 오디션

www.capogames.netsamwinfo.capogames.net

삼국지w

fairyclient.exe

로한

plaync.co.kr

엔씨소프트

bns.plaync.com

블레이드 소울

lin.bin

리니지

AION.bin, aion.plaync.jp

아이온

kr.battle.net

블리자드 배틀넷

wow.exe

월드 오브 워크래프트

Diablo III.exe

디아블로III

게임 머니&

게임 아이템

&문화상품권

www.booknlife.com

북앤라이프

www.cultureland.co.kr

컬쳐랜드

www.happymoney.co.kr

해피머니

www.teencach.co.kr

틴캐시

auth.siren24.com

신용정보 조회

itemmania.com

아이템 매니아

www.itembay.com

아이템 베이

 

*차단 권고 대역


아래 영역은 이미 공격자가 권한을 통제하고 있는 IP역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각 기관 및 기업별 검토 필요)차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다.

악성링크에 이용 되는 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해 강력한 차단을 유지하실 것을 권고 합니다. 

기술 분석 보고서에는 별도의 차단 대역들이 존재하니 참고 하시고 사안별로 모니터링 및 차단에 적극 활용 바랍니다.

국내 통신사의 경우 C Class가 아닌 직접 IP를 등록 하였으며 이미 공격자가 권한을 가진 상태에서 악성코드 유포 경로로 직접 활용하고 있는 상태여서 제한적인 차단이 필요하며, 업무와 연관성이 있는지 여부는 각 기업 및 기관에서 잘 판단 하셔서 차단에 활용 하시기 바랍니다.

                        

  

- 120.72.38.x

BEIJING ZHONGLIAN XUNTONG CO. LTD (BEIJING, CHINA) 9/3


* 실제 보고서상에서는 5개 이상의 차단 IP 대역 언급 되어 있으며, 국내 IP도 존재함.


*악성코드 감염 이후 접속 URL - 차단 및 모니터링 필요한 부분

본 내용은 악성코드가 PC에 감염된 이후에 외부로 연결 시도를 하고 명령을 받는 주소들입니다 C&연결을 시도하는 봇넷과 같은 개념으로 볼 수 있습니다. C&C 서버의 차단과 관련된 핵심적인 내용입니다차후 별도 차단 서비스를 기획하고 있으며 해당 내용은 별도 서비스 확산 시에 보고서 상에서만 일부 제공 될 예정입니다실험적으로 Outbound 연결 시에 Destination IP가 본 URL일 경우는 100% 좀비 PC및 백도어 ,루트킷 등에 감염된 것이므로 직접 내부망에서 감염된 좀비 PC를 찾아내는 것이 가능해 집니다. 기술 분석 보고서 내에는 추가적인 차단 정보들이 존재함으로 확인 하시고 적용 하시는 것이 필요합니다.


ahalab.4irc.comalyac.flnet.orgalync.suroot.com 

* 공개된 링크만 오픈함. 그외는 보고서 서비스에서만 제공됨. 9월 3주차 40여개 이상의 주소 목록 리스트됨

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다금주의 총평으로는 신규 제로데이 Internet Explorer 취약점(CVE-2012-4969)출현 및 특정 정당 사이트에서 악성코드 유포, 감염된 PC의 맥어드레스와 PC이름 전송으로 인한 감염자 통계 확보, ARP 스푸핑으로 웹 페이지 변조를 통한 피싱 가능성, 추가 공격의도를 가진 다운로더의 급증, 3.4 7.7 DDoS 공격 형태의 업데이트 패턴 관찰, 대규모 유포체계의 다수 활용 입니다.
 
2년 이상을 온라인상에서 꾸준히 공격을 시도하고 있는 공격자들을 모니터링 한 결과에 따르면 공격기법과 기술은 한 주가 다르게 변화하고 진화하고 있습니다. 그 반면에 대응 기술 측면에서는 발전은 지지부진함을 보이고 있습니다. 공격은 적극적인 유포망 확대, 감염 기술의 고도화, 최고 공격기법들의 즉시적인 실전투입으로 귀결이 됩니다.


빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보 , 최종 악성파일 보관 , 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr) 

감사합니다.


* 차주인 9월 4주차에는 민족의 명절인 추석연휴가 있는 관계로 보고서 발송 일정이 매주 수요일에서 차주에만 목요일 발송 됩니다.  10.4일 목요일에 9월 4주차 보고서 발송 예정입니다. 추석 연휴 잘 보내시기 바랍니다.

정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명담당자연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다본 서비스의 권리는 빛스캔에 있으므로 공개적 활용및 영리적 목적으로 활용 하실 수 없습니다. 


*본 정보제공 서비스는 공개, 재배포 금지내부에서만 활용), 비영리 목적으로만  가능합니다.

공익적인 목적으로 기관에 제공 되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.


*시범 서비스는 순차적으로 1개월 경과  종료 됩니다. 4 이상을 보고서를 받으셨다면  이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.


 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre crime detect system) 통해 수집하며악성링크  악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.


저작자 표시
신고
Posted by 바다란