태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

[빛스캔+KAIST] 12 2주차 브리핑



 

 

한국 인터넷 위협분석 보고서(대선, 예고된 위협을 컨트롤 하라)

 


빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 12 2주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS (범죄사전탐지체계, Pre-Crime Detect System)의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다. 본 보고서의 활용 용도는 다음과 같습니다.

 

         1.       악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

         2.       악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책패치

         3.       내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

 

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.


12 1주차에 비해 12 2주차는 DDoS 공격에 이용되는 악성코드는 감소했으며 정보유출에 이용되는 봇 에이전트 유형의 악성코드가 다수 발견되었습니다. 또한 내부에 설치된 공인인증서 폴더를 검색하거나 C&C(명령제어서버, Command & Control) 서버로 정보유출이 가능한 악성코드가 다수 발견되어 이에 대한 주의가 필요합니다.

 

특히 Java 취약점은 IE, Firefox 등 브라우저에 상관없이 Java Applet에 의해 동작하기 때문에 이를 이용한 악성코드 유포가 향후에도 계속해서 증가할 것으로 예상됩니다.

 

악성코드들은 왜 이렇게 대규모로 유포가 되고 있고 한국내의 인터넷 환경에 막대한 영향을 주고 있을까요? 그 원인은 취약한 웹서버들이 가장 큰 원인이라 할 수 있습니다.  권한을 모두 가진 공격자들은 익히 알려진바와 같이 홈페이지 화면을 변경하거나 하는 행동들을 하지 않습니다. 과시를 하기 위한 행동을 하기 보단 이익을 얻기 위해 부단한 노력을 하고 있습니다. 지금의 공격형태를 살펴보면 공격자들은 웹 서버를 장악한 후 공격자들은 정상 소스 안에 악성링크 단 한 줄만 삽입합니다. 그리하여 웹 사이트에 접속하는 방문자들은 최신 어플리케이션의 패치가 되어 있지 않을 경우, 즉시 악성코드에 감염 됩니다. 현실은 웹사이트 방문자의 60%가 감염이 되는 상황 입니다.

 

DDoS 공격용 악성코드는 그 부산물일 뿐입니다. 근본 문제가 무엇이고 해결을 어떻게 해야 하는지에 대해 고민을 해야 하지 않을까요?

DDoS가 막강한 힘을 가지기 위해서는 다수의 좀비 PC가 필요합니다. 다수의 좀비 PC를 만들어서 금융 관련된 개인정보를 탈취하거나 DDoS와 같은 공격에 직접 이용하려는 것이 공격자들의 목적입니다.  현재 좀비 PC를 만드는 가장 쉬운 방법은 취약하며, 방문자가 많은 웹서비스를 공격하여 모든 웹사이트 접속자를 감염시키는 것입니다. 현재 일상적인 활동은 대부분 인터넷과 연결되어 있습니다. 대규모 유포를 방지하기 위해서는 근본적인 웹 서비스의 문제점을 보완하고, 대량 유포에 이용되는 악성링크들을 조기에 발견하여 대응 할 수 있는 체제가 강력하게 요구가 됩니다.

 

12 1주차 주간보고서를 정리하면서 DDoS 공격기능을 가진 악성코드들이 대량 유포되고 있는 정황을 확인 하였고 신속하게 정리하여 정보를 공유하기로 결정하여 본 보고서를 발송하는 현재까지 총 4회에 걸쳐 60여종의 악성코드와 40여개의 주소와 IP 목록을 제공 한 상황입니다.

 



<악성코드 샘플 공유하기 전 VirusTotal에 미보고 된 악성코드>

 

악성코드 샘플을 공유하기 전에는 VirusTotal에 미보고 된 악성코드 현황이 상대적으로 많았습니다. 즉 새로운 형태의 악성코드들이며, 전 세계적으로도 보고된 적 없는 악성코드들이 대규모로 유포된 정황이라 할 수 있습니다.

 

12일 공동대응 언론 보도, 기관및기업 공식 요청시 DDoS 악성코드 샘플 공유

13 1 DDoS 공격용 악성코드 샘플 13, C&C 서버 정보 총 10여개(14개 도메인 및 IP) 기업/기관 공유

17 2 DDoS 공격용 악성코드 샘플 33, C&C 서버 정보 총 20여개(15개 도메인 및 IP) 기업/기관 공유

18 3 C&C 서버 정보(8개 도메인 및 IP) 20여개 기업/기관 공유

19일 대선 최종 6종의 샘플 제공 및 C&C 추정 IP와 도메인 정보 추가 제공후 완료

<대선 D-7 ~ D-1, DDoS 공동 대응 현황>

 

4회의 정보제공 동안 제공된 내역은 다음과 같습니다.

미보고: VirusTotal에 보고된 바 없는 바이너리(26)

미탐지: 보고는 되었으나 국내 주요 백신은 우회하고 있는 바이너리(12)

부분탐지: 국내 일부 백신만 탐지한 유형(12)

탐지: 국내 주요백신 탐지(10)

 

미보고된 샘플의 제공 이후 진단 결과는 다음과 같습니다.

 



<악성코드 샘플 공유 후 국내 백신 탐지 현황. 정식 탐지명을 사용하고 있다>

 

악성코드 샘플을 공유 한 후 공동대응 결과의 하나로 VirusTotal 결과를 확인하니 국내 백신 대부분이 악성코드를 탐지하는 것을 확인할 수 있습니다. 악성코드 샘플을 공유하기 전과는 사뭇 다른 양상을 보이고 있습니다.

 

본 정보 공유는 12.19일 대선 당일 투표 종료까지 유지하였고 본 보고서 작성 시점에는 종료 하였습니다


--------------------------------------------------------------------------------------------------------------------


총 20여곳의 보안 관련 기업/기관에 제공된 정보는 최초 12.12일 위험 인지 이후 정보 공유를 결정 하고 제공 하였으며 이후 차단과 악성코드 제거에 직접 활용 되었습니다.  그 결과는 공격자들의 공격유형이 대거 감소하는 결과를 가져 왔습니다.






전체 악성링크 발견 수치는 대선 이전 주간 보다 확연하게 줄어든 것을 12월 2주차 동향 보고서에서 확인 할 수 있습니다.


- 공격동향 요약 ( 12월 2주차 동향 분석 보고서 발췌)

구 분

12월 2주(건)

12월 1주(건)

전주 대비 증가(건)

신규 악성링크

33

74

▼41

악성링크 도메인

22

56

▼34

신규 악성코드

20

43

▼23

악성코드 유형

7

4

▲3



지금의 한국 인터넷은 수시로 발생되는 위험과 공격에 매우 많이 노출 되어 있는 상태입니다. 적극적으로 관리하고 위험을 해결하지 않는다면 이 문제는 앞으로도 두고두고 한국 ICT의 발전을 저해할 것으로 예상됩니다. 



*금주 차 부터 대외 공개되는 모든 브리핑 자료는 매우 간략화된 형태로 제공이 되며 이전의 브리핑과 같은 다수의 정보가 언급되는 유형은 제공 되지 않을 것입니다.  짧고 간략한 이슈에 대해서만 언급될 예정입니다. 


긴급 사안에 대해서는 주요 보안매체를 통해 기사화를 통해 공개될 예정이며, 향후에도 문제해결을 위해 노력을 지속할 예정이나 방식은 달라질 것입니다.  1~2주에 한번씩 국내 사이트중 규모가 큰 사이트가 악성코드유포에 이용 되거나, 이슈가 심각한 사안에 대해서는 실제 사례를 그대로 공개 할 예정입니다. 이전의 한국 전자인증 보도자료와 유사하게 언급될 것입니다.  경우에 따라서는 한주간의 전체 이슈가 된 서비스 목록을 공개할 수도 있습니다.


보안은 각각의 서비스에서 잘 구성하고 운영해야 하는 미션입니다. 공격자에게 당했고 악성코드 유포에 활용 되었다는 점은 매우 심각한 우려를 할 수 밖에 없는 사안이므로 직접 공개를 통해 문제 해결 의지를 촉구 하도록 하겠습니다.  대기업, 공공기관, 국방, 일정규모 이상의 웹서비스, 전자 상거래 등등 분야를 가리지 않고 일정 규모 이상이면 기사화를 통해 언급 하겠습니다.  지금의 현실과 실상에 대해 리얼하게 느끼실 수 있으실 것입니다.  


자료에 대한 이의 및 문제제기와 관련된 문의는 info@bitscan.co.kr을 통해서만 받습니다.


2013년 1월 1일부터 내부 정책 변경으로 인하여 정보제공 서비스의 시범은 모든 기업/ 기관당 1회의 보고서에 한정하며, 추가 제공은 되지 않을 예정입니다. 본 블로그에 공개되는 브리핑의 경우도 지금까지 제공되었던 다량의 정보제공 방식에서 탈피하여 이슈가 되는 부분만을 발췌하여 공개하는 형식으로 변경 됩니다.



협력부분


빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

감사합니다.





저작자 표시
신고
Posted by 바다란
TAG