|
[빛스캔+KAIST] 11월 1주차 브리핑 |
|
한국 인터넷 위협분석 보고서( 악성코드는 생활속 가까이 )
|
빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 11월 1주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS (Pre Crime Detect System )의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다. 본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다. 본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다. |
1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지
2. 악성링크가 공격에 활용에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 – 패치
3. 내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)
|
보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다. |
|
11월 1주차는 10월 4주차와 발생 빈도상으로는 유사한 수치의 신규 악성링크가 탐지 되었으나 성격은 매우 다른 유형의 특징이 발견되었습니다. 10월 4주차의 게임계정 탈취용 ( 최근 금융기관의 피싱사이트 연결 기능도 일부 탑재된 유형) 악성코드가 다수 발견 되었다면 11월 1주차의 악성코드 유형들은 매우 다른 구성도를 가지고 있고 위험성이 높다고 판단 되고 있습니다. 금주에 발견된 악성코드 유형으로 DDoS 공격을 수행할 수 있는 봇 에이전트와 다운로더들의 수치가 높은 수준으로 증가한 형태를 보이고 있으며 악성코드 감염 이후 연결하는 URL 및 IP 주소를 모두가 C&C 형태의 구성을 보이고 있는 상태입니다. 현재 빛스캔에서 관찰하고 추적한 결과로는 최소 300여 곳 이상의 웹서비스들에서 악성코드 감염 시도가 발견 되었으며 모두 이름 모를 방치된 사이트들은 아니라는 점입니다.
< 10월 4주차 대비 악성코드 유형 - 봇 에이젼트와 다운로더의 증가가 의미 심장함> 또 하나의 특징으로는 오랜기간 (최소 6개월 이상) 활동을 하지 않았던 MalwareNet들과 언론사, 파일공유, 커뮤니티 사이트들이 금주차 악성코드 감염시에 직접 활용이 된 것이 관찰 되었습니다. 현재 예의주시가 필요한 봇넷 에이젼트 및 다운로더 기능의 악성코드들 다수가 예의 주시하고 있는 다단계 유포망(MalwareNet)을 통해 대규모 유포된 정황이 있어서 위험 수준이 매우 높은 상태입니다. 봇 에이전트 유형으로는 크게 세 가지가 발견되었습니다.
첫째, 분산서비스거부공격(DDoS, Distributed Denial of Service attack) 공격을 수행할 수 있는 에이전트. 둘째, 키로거 정보 유출형 봇 에이전트. 셋째, 화면 정보 유출형 봇 에이전트 유형.
키로거 정보 유출형 봇 에이전트는 실시간으로 입력되는 키보드의 정보를 유출하는 악성코드로서 악성코드 감염 PC를 사용하는 사용자의 개인정보, 신용카드 및 금융기관 비밀번호 등 다양한 정보를 유출시킬 수 있습니다. 화면 정보 유출형 봇 에이전트 또한 사용자 화면에 표시되는 정보를 유출하는 기능을 가지고 있습니다. 특히 이번에 발견된 화면 정보 유출형 봇 에이전트는 특정 온라인 도박게임 혹은 온라인 게임에 접속할 경우 추가적인 악성코드를 다운로드하고 해당 화면 정보를 유출하는 기능을 가지고 있었습니다. 기존에 발생하던 DDoS 공격형 봇 에이전트 또한 5건이 발생하며 기존 발생량보다 훨씬 증가한 유포 양상을 보이고 있습니다.
<금주 악성코드 유포에 이용된 언론사 웹서비스의 유포주기>
*11월 1주차에 관찰된 악성코드 유포에 이용된 경유지들중 자주 관찰되는 유형들만 등재 되었으며 모두 중복 횟수 이상 유포 되었을 경우만을 산정하여 목록화된 내용입니다. 중복이 아닌 일회성 유포의 경우 다수의 언론사 웹서비스들이 추가될 수 있습니다. 가장 최근 유포에 이용되었던 일시와의 간격을 나타내고 있으며 11월 1주차 악성코드 유포에 자주 활용 되지 않던 웹서비스들도 동원되어 활용 되었음을 의미하고 있습니다. 근원적인 문제를 해결하지 않은 상태에서 문제 부분만을 삭제하는 미봉책이 계속해서 반복됨을 여실히 확인 할 수 있습니다.
11월 1주차는 평균 83일 동안 악성코드 유포에 사용되지 않았던 언론사 10여개 사이트를 이용하여 또 다시 악성코드를 유포하는데 사용하였습니다. 악성코드 유포 활성화 주기가 짧을수록 악성코드 유포에 자주 악용되고 있다는 뜻입니다. 금주차에만 단독 출현한 언론사들도 다수 있음을 알려 드립니다. 그만큼 악성코드는 일상생활의 가까이에 있습니다.
손쉽게 사용자 PC들에서 감염 여부를 확인 할 수 있는 방법은 다음과 같습니다. 공격자들은 항상 중복 감염을 방지하기 위해 쿠키값을 이용하는 것을 확인 할 수 있는데 일반적인 공격 형태는 다음과 같습니다.
if(document.cookie.indexOf('ralrlea')==-1){var expires=new Date();expires.setTime(expires.getTime
()+12*60*60*1000);document.cookie='ralrlea=Yes;path=/;expires='+expires.toGMTString();document.write(unescape("% 위에서 보듯이 악성코드의 중복 실행에 대한 감염방지를 위해 쿠키값을 설정하는 것을 확인 할 수 있습니다. 위의 코드에는 “ralrlea” 쿠키값이 이용 되는 것을 보고 있습니다. 최근 다수 이용 되었던 공격코드들이 이용한 쿠키 값 목록은 다음과 같습니다.
KWZAooZ,JS0W,BFvLf4,Udz1szV,ralrlea ,KWZAooZ ,BpCs8 ,bucLi1 ,KnNX4 ,QXuMB2 ,bucLi1 ,IPFr7 ,bgeeNQ5 ,xLCKv2 ,ebiE4 ,eLdI1 ,bgeeNQ5 ,RBRqFVT7 ,xLCKv2 ,bgeeNQ5 ,dEAEMiQ3 ,pGOOM0 ,rXBUmFE0 ,FMQYWu8 ,xuCofq8 ,YMVq5 ,VYCuVn6 ,yWEPL0 ,WreENO6 ,yWEPL0 ,zTbPGAB5 ,fYpHyS8 ,GpBVFtF8 ,YMdRq4 ,GpBVFtF8 ,YMdRq4 ,ckttcywaxx ,zgaaRs1 ,JnlC7 ,HpnIO3 ,xJTDfnt1 ,MoLL7 ,ayLmDsj8 ,HPeia3 ,iqifV6 ,kWTSlh1 ,xhMcLk5 – 본 쿠키값들은 10월부터의 활용 쿠키값입니다. http://p4ssion.com/319 참고 하세요.
쿠키값 확인은 각 브라우저 주소창에 javascript:document.cookie 코드를 입력 하시면 확인 가능합니다. 물론 쿠키값의 유효기간이 있어서 영향력은 없겠으나 각 쿠키값들의 확인만으로도 지난주의 악성코드감염을 일부 확인 및 추정 할 수 있습니다.
빛스캔의 PCDS에서 탐지한 최근 악성코드를 유포한 시점부터 11월 1주차에 발견된 기간까지 평균 83일(약 3달) 정도의 활성화 주기가 있었습니다. 악성코드를 유포하는데 하나의 도메인에서 지속적으로 유포를 한다면 탐지될 확률이 그만큼 높기 때문에 주기적으로 유포 도메인을 변경하고 있는 것으로 판단됩니다. 항상 관찰하고 탐지를 회피하기 위한 공격자들의 노력을 확인할 수 있습니다.
<네이버 뉴스캐스트 목록, 포털 사이트에서 검색하다가 악성코드 감염>
이중에 경남신문, 국제신문, 조세일보 등은 네이버 뉴스캐스트에 등록되어 있습니다. 한가한 주말 포털 사이트에서 뉴스를 보던 도중 선정적인 문구에 홀려 클릭한다면 자신의 컴퓨터는 좀비 PC가 되는 것이 지금의 현실입니다. 다른 언론사들도 상당히 많은 유포 이력들이 존재하나 11월 1주차의 경우에는 오랜기간 악성코드 감염에 이용 되지 않던 다수의 웹서비스들이 이용 된 상태여서 언론 분야에 한정해서만 위험성을 알려 드립니다. 이외에도 파일 공유도 근 6개월 만에 여러 사이트들에서 동시에 유포하는 정황이 포착 되었으며 공격이 차주 관찰에도 계속 될 시에는 공개 하도록 할 예정입니다. 특정 이슈에 대해 미리 다수의 좀비 PC를 확보해야 할 필요성이 있어서 적극적으로 활동을 한 것으로 추정을 할 수 있습니다. 저희쪽에서 보기에는 대선을 앞둔 국내의 상황에 비추어 볼 때 특정 이슈에 대해 사용할 목적으로 대규모 사전 확산 시도라고 판단을 우선 하고 있는 상태입니다. 차주의 공격 형태를 보면 분명해 질 것으로 예상 됩니다.
|
|
현재 빛스캔에서 탐지하는 유형은 단순히 이메일을 통한 타켓형 APT가 아닌 웹서비스를 방문하는 모든 방문자를 대상으로 한 대규모 유포이며, 확산도가 높아서 위험성이 높은 상태입니다. 따라서 기업/기관별로 인터넷 접근시에 많은 보호대책을 적극 반영 하여 대응을 하셔야 할 것으로 보입니다. 기존 악성코드들의 분석 결과도 단순 게임계정 탈취에서 계속 변화하는 형태를 보이고 있어 앞으로의 변화를 가늠하기 어려운 상황입니다. 이미 농협의 사례를 통해 APT나 내부망을 공격 하는 악성코드가 가진 위험성과 파괴력은 충분히 경험을 한 상태이므로 현재 웹서비스를 통해 감염시도를 하는 악성코드 자체의 위험성은 높은 수준이라 할 수 있습니다. |
|
금주 공격의 특징을 정리하면 다음과 같습니다.
1. 제로보드 4.X 악성코드 유포를 위한 공격 다수 발생( - 지난 주에 이어 주중에도 계속 시도됨) 2. 9월 4주차, 10월 2주차 이후 또다시 DDoS 공격 수행 악성코드 유포 3. 국내 언론사 10여개 이상의 사이트에서 악성코드 유포, 평균 활성화 기간 3개월, 네이버 뉴스캐스트에서 기사 클릭시 감염, 다수의 3~4개월 이전에 활용되었던 유포 통로들이 재활성화되어 이용됨 4. SNS 마케팅으로 인한 악성코드 파급력 확대 5. 8월 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가(감염된 좀비PC들을 활용한 추가 위험이 발생할 수 있는 상태) 6. APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속 7. MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 적극적 으로 이용됨 ( 리스트 생략 - 언급된 MalwareNet 모두가 C&C 봇넷 에이젼트 유포에 이용 되었습니다. 8. 3.4 및 7.7 DDos 형태와 유사성을 지니는 다운로더 발견 계속 9. 최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨 10. 백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속 11. 게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속 12. 백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨
* 사용자가 특정은행 접속시에 피싱 사이트로 유도하거나 HTML 내용을 변경하여 정보를 획득하는 형태의 악성코드들도 현재 다수 유포 되고 있는 온라인 게임 계정 탈취형 악성코드에 붙여진 부가기능이며 해당 기능들은 매우 적극적으로 이용이 되고 있습니다. 악성코드 확산을 통제할 수 있는 근본적인 대안과 대책들이 집중적으로 필요한 부분이라 할 수 있습니다.
* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5, 6월 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 예상대로 직접적인 ARP 스푸핑 공격코드 출현하였으므로 피해 발생이 예상되며, 지금까지 설명한 사항 모두 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용입니다. |
MalwareNet ( 범위와 변화)
|
- MalwareNet: 공격자들이 공격효과를 높이고 탐지를 회피하기 위해 활용하고 있는 악성코드 유포 네트워크를 의미합니다. 일반적인 사이트에 악성링크를 직접 입력하는 것이 아닌 몇 단계를 거친 링크들을 입력하여 추적을 회피하고 악성코드 유포 효과를 극대화 하기 위해 사용되는 프레임을 MalwareNet으로 정의하고 있습니다. 즉, 단 한번 악성링크의 내용을 변경하면 최대 300에서 최소 10여 곳에 이르기까지 동시에 동일한 악성코드 유포가 발생되는 상황을 나타내고 있습니다.
다단계유포망(MalwareNet)은 유통구조 패러다임의 혁신입니다. 우리가 주변에서 자주 볼 수 있듯이 우리가 '김치'를 먹기 위해서는 생산자가 밭에 배추 씨를 뿌립니다. 배추가 병충해 피해를 입지 않도록 잘 관리 후에 농∙수산물 도매시장에 판매합니다. 도매시장에서는 도매상들이 경매를 통해 큰 단위로 배추를 삽니다. 도매상들은 소매상들에게 다시 판매를 합니다. 소매상들은 다시 소비자들에게 판매합니다. 우리나라의 복합적인 유통 생태계입니다. 각 생산자, 도매상, 소매상 등의 중간 마진, 유통시간 등이 포함되어 있습니다.
생산자 : 농부 도매상 : 농수산물 도매시장(가락시장) 소매상 : 소매점포(일반 과일 가게) 소비자 : 일반 구매자
<악성코드 유포 패러다임과 유통 생태계(피라미드)>
현재 온라인에서 공격자들이 행하는 악성코드 유포는 유통구조의 근본적인 패러다임을 바꾸어 놓고 있습니다. 기존의 공격을 위해 해킹을 하거나 사용자를 속이는 피싱메일, 웜을 통한 감염에서 이제는 불특정 다수에 대한 대규모 감염 시도와 짧은 유포 주기를 통해 정체를 은폐하는 것과 같은 전략적인 움직임들이 대거 관찰 되고 직접 영향을 미치고 있습니다. 패러다임 쉬프트는 이제 정착이 된 것으로 보입니다. 예를 들어 오프라인 유통 구조에서는 배추 씨앗을 뿌리고 수확하는데 일정한 주기(몇 개월)가 필요합니다. 하지만 온라인에서는 씨앗(악성코드)을 뿌림과 동시에 자라납니다. 공격자는 언제든지 씨앗의 종류를 다르게 하고 언제든지 변경할 수 있습니다.
중간마진 Zero, 유통시간 Zero, 판매효과는 즉시 ( 최소 10명중 6명에게는 강제판매 가능 ) 생산자 : 최종 악성코드 도매상 : MalwareNet(동일한 경로를 활용한 유포 통로) 소매상 : 악성코드 경유지(언론사나 파일 공유 사이트 등) 소비자 : 방문자
<MalwareNet 다단계 악성코드 유포 경로>
본 정보제공 서비스에서는 MalwareNet의 특성상 대규모 피해가 상시적으로 발생될 수 있으므로 상위 리스트에 한해 부분 공개를 하고 있습니다.
MalwareNet을 통해 영향력을 가지는 악성링크들은 탐지 회피를 위해 비정기적이고 수시로 변경됩니다. 금주 차에서는 사후 대응으로는 탐지할 수 없는 형태인 MalwareNet의 활용 사례를 살펴 보겠습니다. 공격자의 의도에 의해 조종당하고 있는 현실에서 사후대응과 사전대응의 차이는 매우 큰 차이를 가질 수 밖에 없으며 , 선제적인 사전대응이 얼마나 중요한지 확인 할 수 있습니다. MalwareNet 자체를 여러 곳 활용하는 형태도 전주에 이어 계속 발견되고 있으며, 금주에는 www.xxxxnaver.com/Ad.js 이 적극적으로 이용이 되고 있는 상황입니다.
현재 시간에도 영향력을 유지하고 있으므로 대응이 필요하며 수시로 최종 악성코드들이 변경되고 있어서 탐지 및 대응에 어려움이 있을 것으로 판단됩니다. 최종 악성코드들에 대한 탐지율도 높지 않아 항상 위험에 노출 되어 있는 상태라 볼 수 있습니다. 단기간에 대규모 유포망 구축을 하는 형태가 끊임없이 관찰이 되고 있습니다. 주중에는 통계정보를 수집하고 간헐적으로 공격에도 이용 되고 있는 형태를 보이고 있습니다. 평상시에는 해당 링크가 존재하지 않다가 공격 시점에만 활성화되고 있는데 이 점은 공격자가 해당 서비스에 대한 완벽한 권한을 행사하고 있음을 의미 합니다. 단순한 링크 삭제로는 해결책이 되지 않음을 염두에 두어야 할 것입니다.
www.xxxxxnaver.com/Ad.js 다단계유포망(MalwareNet) 은 금주에 악성코드를 유포한 언론사에 다수 포함된 것으로 확인되었습니다. 사회공학적 기법까지 동원하여 악성코드를 유포하는데 악용하고 있는 것으로 판단 됩니다. 네이버라는 도메인명이 들어감으로 네이버와 관계된 도메인으로 오인할 수도 있도록 하여 탐지 및 판단을 회피하고자 한 목적으로 보입니다. 네이버라는 신뢰받는 서비스 사이트에서 내려오는 파일들의 경우 화이트리스트 형식으로 등재되어 탐지 및 보호 도구들을 우회하는 사례가 많기에 앞으로도 유사한 행위들은 계속 관찰 될 것으로 예상 됩니다.
<naver이름을 활용한 악성링크 확산도 >
* 악성코드 유포에 이용된 웹서비스들은 정식 구독 기관/ 기업에게만 제공 되며 브리핑에서는 생략됩니다.
*PCDS Impact Factor는 내부 수집된 체계에서 전파 범위를 고려한 내부 위험지수이며 MalwareNet의 추적과 영향도 추적을 위해 활용되는 수치입니다. 높을수록 은밀하면서도 파급력이 높은 상태라는 점을 의미하고 있습니다. |
|
현재의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있습니다. 기본적인 문제를 해결할 수 있는 보안패치는 반드시 적용해야만 위험을 줄일 수 있으니 반드시 기관/ 기업 내부적으로 강력한 권고가 되어야 합니다. Oracle Java취약성, Adobe Flash 취약성, MS의 XML, Midi 및 IE 취약성이 복합적으로 사용되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰되고 있으므로 전체 보안 수준 관리에 노력을 강력히 기울여야 전체의 위험수치가 낮아질 수 있습니다.
기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰되고 있어서 위험성이 높습니다. 또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하시기 바랍니다.
기술 분석 보고서에 전체 URL이 공개된 국내 사이트들은 악성링크로 직접 이용 되거나 최종 악성코드가 다운로드 된 곳들의 주소는 여과 없이 공개가 되고 있으니 참고하시고 금주 차에는 언론사 및 국내 기업, 기관들의 주소가 직접 기술 되어 있습니다.
기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있습니다. 현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 변화된 형태를 보이고 있으며 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 계속 되고 있습니다. – 11월 1주차인 금주차 보고서와 브리핑에 기재된 C&C 주소와 봇넷 에이젼트 유형에 대해서는 강력한 방안들을 강구 해야 할 것입니다.
|
PCDS(Pre-Crime Detect System) 탐지 내역
|
PCDS 상에서는 최초 악성링크 탐지와 MalwareNet에 대한 추적, 최종 악성파일에 대한 수집까지 같이 운영이 되고 있습니다.
본 PCDS에 탐지된 내용을 바탕으로 하여 공격자들의 전략을 확인해 보면, 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있습니다. 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며, 때로는1시간에 한 번씩 최종 악성코드를 변경하는 지금의 상황에서 대응이 가능한 보안체계는 거의 없습니다. 백신은 백신만의 역할 부분이 있으며, 현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야 합니다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로, 대응적인 측면에서 한계를 보일 것으로 판단됩니다.
<빛스캔 PCDS를 활용한 금일에도 살아있는 악성링크를 통해 수집된 최종 악성코드 2012.11.7 15:00> |
현재도 활성화된 상태이며 금일 보고서를 작성하는 11.7일 현재에도 제로보드 버전에 대한 공격을 통한 악성링크 추가와 MalwareNet을 활용하는 신규 유형이 발견 되고 있습니다. 모두 원격 통제가 가능한 Agent와 C&C 서버와 통신을 하는 악성코드 유형입니다. 주중에도 상시적으로 출현하고 있는 것이 지금의 현실입니다.
|
* 최종 바이너리 수집의 경우 체크섬 값이 다르거나 변경이 되었을 때 수집이 되도록 되어 있으며 위의 항목은 빠르면 1시간 이내에도 최종 파일을 변경하는 형태를 직접 볼 수 있습니다. 이와 같은 악성코드들이 순식간에 수십여 곳의 서비스를 통해 즉시 감염을 시키고 있는 것이 현실입니다. 공격자들의 전술과 기동력은 타의추종을 불허합니다. 그 반면 대응은 어떤가요? 현재의 실상은 과연 어떨까요?
지금 분석되고 예상되는 모든 내용들은 지금 이 순간에도 발생하고 있는 현실입니다. 사건이 발생 된 이후에는 돌이키기 어렵듯이 사전 탐지와 사후 대응은 전혀 다른 범위입니다. 사전에 얼마나 대응을 하느냐가 가장 중요하며, 빠른 정보를 확보하여 대규모로 유포된 악성코드에 대응 할 수 있도록 사후대응 측면에서도 현재 수준 보다는 강도 높은 방안들이 절실히 요구됩니다.
|
게임 계정 탈취 및 백신 Kill, 게임 머니 및 아이템 거래 사이트 계정탈취 계속
|
* 본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6월 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다. 모든 기능은 BHO 관련된 공격에 연관 되어 있으며 해당 문제들은 이전 보고서에 첨부된 BHO 공격에 대한 전문분석 자료를 참고 하세요. ( 정식구독 기업/기관 대상)신규 가입 및 최근가입으로 인하여 전문분석 보고서를 받지 못한 곳들은 본 메일로 회신을 주시면 전달 드리겠습니다.
9월 1주차부터 신용정보 조회, 아이템 매니아, 아이템 베이 사이트까지 계정 탈취 기능이 추가 되었습니다. 신용정보 조회 사이트에서 자신의 신용정보를 검색하다가는 자신의 개인정보가 노출될 수도 있습니다. 또한 아이템 매니아, 아이템 베이 사이트는 온라인 게임 아이템 거래 사이트입니다. 게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있습니다. 돈이 되는 곳은 모두가 대상이 되어 있는 상태입니다. 다른 모든 기기와 장비들에서도 금전화가 가능한 순간부터 현재의 공격 수준은 그대로 확장이 될 것입니다. 아직은 때가 안되었을 뿐입니다. 그 때는 머지 않았습니다. |
1. 백신 무력화
|
프로세스명 |
프로그램명 |
|
sgbider.exe, vcsvc.exe, vcsvcc.exe |
바이러스체이서 |
|
NVCAgent.npc, Nsvmon.npc, Nsavsvc.npc, NVC.npc, NaverAgent.exe |
네이버백신 |
|
V3sp.exe, V3svc.exe, V3up.exe, MUpdate2.exe, SgSvc.exe, Sgui.exe, SgRun.exe, InjectWinSockServiceV3.exe, V3Light.exe, V3LTray.exe, V3Lsvc.exe, V3LRun.exe |
AhnLab V3 AhnLab V3 Lite AhnLab SiteGuard |
|
AYUpdSrv.aye, AYRTSrv.aye, SkyMon.exe, AYServiceNT.aye, AYupdate.aye, AyAgent.aye |
알약 (ALYac) |
|
avp.exe |
Kaspersky |
|
avgnt.exe, avcenter.exe, avguard.exe, avscan.exe, avupgsvc.exe |
Avira AntiVirus |
|
avwsc.exe, AvastSvc.exe, ashUpd.exe, AvastUI.exe |
avast! |
|
shstat.exe, Mctray.exe, UdaterUI.exe |
McAfee |
|
msseces.exe |
MSE |
|
egui.exe, ekrn.exe |
ESET NOD32 |
|
ccSvcHst.exe, Navw32.exe |
Symantec Norton |
|
updatesrv.exe, vsserv.exe, seccenter.exe, bdagent.exe, bdreinit.exe |
BitDefender |
|
avgam.exe, avgemc.exe, avgnsx.exe, avgrsx.exe, avgfrw.exe, avgwdsvc.exe, avgupd.exe |
AVG |
|
PCOTP.exe |
넥슨 OTP |
2. 게임 계정 탈취
|
프로세스명 |
프로그램명 |
|
gamehi.co.kr |
게임하이 |
|
hangame.com, id.hangame.com |
한게임 |
|
laspoker.exe |
한게임 라스베가스포커 |
|
duelpoker.exe |
한게임 맞포커 |
|
hoola3.exe |
한게임 파티훌라 |
|
highlow2.exe |
한게임 하이로우 |
|
poker7.exe |
한게임 7포커 |
|
baduki.exe |
한게임 로우바둑이 |
|
ExLauncher.exe, TERA.exe, tera.hangame.com |
테라 |
|
netmarble.net |
넷마블 |
|
pmang.com |
피망 |
|
ff2client.exe, fifaonline.pmang.com |
피파 온라인2 |
|
Raycity.exe |
레이시티 |
|
www.nexon.com, login.nexon.com |
넥슨 |
|
df.nexon.com, dnf.exe |
던전 앤 파이터 |
|
DragonNest.exe, dragonnest.nexon.com |
드래곤 네스트 |
|
baramt.exe, WinBaram.exe, baram.nexon.com |
바람의 나라 |
|
mabinogi.nexon.com, heroes.nexon.com, heroes.exe |
마비노기 영웅전 |
|
MapleStory.exe, maplestory.nexon.com |
메이플 스토리 |
|
x2.exe, elsword.nexon.com |
엘소드 |
|
dk.halgame.com, dkonline.exe |
DK 온라인 |
|
clubaudition.ndolfin.com |
클럽 오디션 |
|
www.capogames.net, samwinfo.capogames.net |
삼국지w |
|
fairyclient.exe |
로한 |
|
plaync.co.kr |
엔씨소프트 |
|
bns.plaync.com |
블레이드 & 소울 |
|
lin.bin |
리니지 |
|
AION.bin, aion.plaync.jp |
아이온 |
|
kr.battle.net |
블리자드 배틀넷 |
|
wow.exe |
월드 오브 워크래프트 |
|
Diablo III.exe |
디아블로III |
3. 게임 머니 & 게임 아이템 & 문화상품권 계정 탈취
|
사이트 주소 |
사이트 이름 |
|
www.booknlife.com |
북앤라이프 |
|
www.cultureland.co.kr |
컬쳐랜드 |
|
www.happymoney.co.kr |
해피머니 |
|
www.teencach.co.kr |
틴캐시 |
|
auth.siren24.com |
신용정보 조회 |
|
itemmania.com |
아이템 매니아 |
|
www.itembay.com |
아이템 베이 |
|
* URL의 경우는 브라우저 상에서 BHO (Browser Helper Object)로 등록이 되어 모니터링을 하다가 해당 URL로 주소가 입력이 되거나 접속이 될 경우에 html 내용을 변조 하거나 계정에 관련된 키 입력값을 빼내도록 고안이 된 상황입니다.
|
|
아래 영역은 이미 공격자가 권한을 통제하고 있는 IP대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재 활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각 기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다. 악성링크에 이용 되는 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해 강력한 차단을 유지하실 것을 권고 합니다.
• 기술 분석 보고서에는 별도의 차단 대역들을 제공하고 있으므로 참고하시기 바라며, 사안별로 모니터링 및 차단에 적극 활용 바랍니다. • 국내 통신사의 경우 C Class가 아닌 직접 IP를 등록 하였으며 이미 공격자가 권한을 가진 상태에서 악성코드 유포 경로로 직접 활용하고 있는 상태여서 제한적인 차단이 필요하며, 업무와 연관성이 있는지 여부는 각 기업 및 기관에서 잘 판단 하셔서 차단에 활용하시기 바랍니다. 9월 4주차부터 차단 권고 대역은 최근 1~2개월을 기준으로 전달 드리도록 하겠습니다. 이전의 차단 목록이 필요한 기업 및 기관은 로 요청해 주 세요.
- 205.164.8.X THE.NET, TEXAS, USA 11/1 예를 위해 한 곳만 공개하며 다른 차단 IP 대역은 정식 보고서 및 브리핑에서만 공개됨
|
악성코드 감염 이후 접속 URL - 차단 및 모니터링 필요한 부분
|
본 내용은 악성코드가 PC에 감염된 이후에 외부로 연결 시도를 하고 명령을 받는 주소들입니다. 즉 C&C 연결 을 시도하는 봇넷과 같은 개념으로 볼 수 있습니다. C&C 서버의 차단과 관련된 핵심적인 내용입니다. 차후 별도 차단 서비스를 기획하고 있으며 해당 내용은 별도 서비스 확산 시에 보고서 상에서만 일부 제공될 예정입니다. 실험적으로 Outbound 연결 시에 Destination IP가 본 URL일 경우는 100% 좀비 PC및 백도어, 루트킷 등에 감염된 것이므로 직접 내부망에서 감염된 좀비 PC를 찾아내는 것이 가능해 집니다. 기술 분석 보고서 내에는 추가적인 차단 정보들이 존재함으로 확인 하시고 적용 하시는 것이 필요합니다.
※ 특정 URL로 접속하여 추가 명령 대기 ( 예시로 공유) han.ufohack.com(포트:9999) dns01.wsadwsad001.com(포트:8180)
※ 사용자 PC에서 획득한 정보를 유출 생략
※ 추가로 악성 파일을 다운로드 생략
* 금주차의 접속 도메인들은 모두 현재 다수가 국내 환경에 뿌려져 있는 다운로더 및 C&C 서버로 이용되는 파일 및 도메인들입니다. 해당 도메인은 불시에 활성화 되어 추가적인 피해가 계속 될 수 있으므로 본 메일을 받으시는 기관 및 기업에서는 그에 맞는 대응을 하시기 바랍니다. 기업은 해당 도메인으로 접속하는 PC가 있을 경우 이미 좀비 PC화가 되었으므로 절차에 맞게 처리를 하시면 되고 국가기관,기업 차원에서는 차단 및 모니터링 정책을 즉시 수행 하여야 할 것으로 보입니다.
현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 금주의 총평으로는 언론사, 파일공유, 커뮤니티 등을 통한 악성코드 유포이슈, 장기간 악성코드 유포에 활용 되지 않았던 웹서비스들에서의 악성코드 유포상황, 거의 대부분의 외부 연결을 시도하는 악성코드들 대부분이 C&C 서버와 연결하는 형태를 꼽을 수 있습니다. 향후 대형사고가 일어날 것 같은 하인리히의 법칙에서 의미하는 위험시그널 수치는 계속 증가 중입니다. 폭발 임계치가 우리에게 가장 민감한 시기가 아니길… 민감한 시기입니다. 적극적인 대응과 노력으로 피해를 예방해야 합 니다. MalwareNet의 활용과 위험에 대해 계속 언급 하였습니다. 그리고 지금 관찰되는 상태는 최종 악성코드의 성격과 범위 모두 일정 수준의 임계치를 넘은 상황입니다.
2년 이상을 온라인상에서 꾸준히 공격을 시도하고 있는 공격자들을 모니터링 한 결과에 따르면 공격기법과 기술은 한 주가 다르게 변화하고 진화하고 있습니다. 그 반면에 대응 기술 측면에서는 발전은 지지부진함을 보이고 있습니다. 공격은 적극적인 유포망 확대, 감염 기술의 고도화, 최고 공격기법들의 즉시적인 실전투입으로 귀결이 됩니다.
|
|
빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr) 감사합니다. |
|
✓ 본 정보제공 서비스는 공개, 재 배포 금지(내부에서만 활용), 비영리 목적으로만 활용 가능합니다. 공익적인 목적으로 기관에 제공되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다. ✓ 시범 서비스는 순차적으로 1개월 경과 시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다. |
|
✓ 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/담당자/연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다. ✓ 본 서비스의 권리는 빛스캔에 있으며 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다. ✓ 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre-Crime Detect System)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다. |
빛스캔 Facebook : www.facebook.com/bitscan
[2]피자에서∙대학까지 악성코드 무차별 확산
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20121102195203&type=xml
[4]미스터피자·뉴스토마토 홈피, 악성링크 유포지로 악용!
'Security Indicator > Insight' 카테고리의 다른 글
| 국제 원자력 기구 해킹과 사이버전쟁 (0) | 2012.11.28 |
|---|---|
| 악성코드와 금융 그리고 한국. ( 간단한 반박) (0) | 2012.11.26 |
| 악성링크에서 사용하는 쿠키를 이용한 감염 확인 - 쿠키리스트 (0) | 2012.11.08 |
| 10월 4주차 한국 인터넷 위협분석 브리핑( 수면 밑의 거대한 위협을 보라.) (0) | 2012.11.02 |
| 10월 3주차 한국 인터넷 위협 분석 브리핑 ( 노골적인 공격의 시작) (0) | 2012.10.26 |
