태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.


[빛스캔+KAIST] 12 3주차 브리핑



 

 

한국 인터넷 위협분석 보고서( 소셜쇼핑 그리고 광고 )

 

빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 12 3주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS (범죄사전탐지체계, Pre-Crime Detect System)의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다. 본 보고서의 활용 용도는 다음과 같습니다.

 

         1.       악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

         2.       악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 – 패치

         3.       내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

 

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.

 

Summary

 

12 3주차에는 다양한 유형의 봇 에이전트 악성코드가 다수 발견 되었습니다. 전체 악성코드 탐지 비율 중 39.1% 가량을 차지하고 있습니다. 대선을 전후로 하여 분산서비스거부공격(DDoS, Distributed Denial of Service attack) 공격용 악성코드가 유포된 정황이 있으며, 좀비 PC를 활용하여 언제든 공격이 시작 될 수 있으므로 주의가 필요한 상황입니다.  또한 봇넷 에이전트의 유포가 많아진 정황으로 보아 원격에서의 통제, 정보탈취 유형도 계속 증가 할 것으로 예상되는 한 주 입니다.




<금주 악성코드 유형중 봇에이전트, 다운로더 위험 수치>

 

CVE

12월 3주(건)

12월 2주(건)

전주 대비 증감(건)

CVE-2012-5076

35

25

▲10

CVE-2012-46811)

35

23

▲12

CVE-2012-1889

35

24

▲11

CVE-2012-17231)

35

22

▲13

CVE-2012-05071)

35

23

▲12

CVE-2011-35441)

35

24

▲11

< 금주 주요 감염 취약성 내역>


중국산 DDoS 공격 툴로 유명한 넷봇어태커 및 공인인증서 정보를 수집하려는 정보 유출을 목적하는 봇 에이전트가 금 주차 악성파일에서 확인되었습니다.

 



<넷봇어태커 DDoS 공격도구 이미지>

 

※ 넷봇어태커(NetBot Attacker) : 악성 프로그램 제작 및 DDoS 공격용 프로그램의 일종입니다. 일반적으로 악성코드에 감염된 PC들이 연결되어 구성된 네트워크를 BotNet(봇넷)이라고 합니다. 이 단어의 순서를 바꾸어 NetBot이라는 이름에 공격자를 의미하는 Attacker가 결합되어 만들어진 단어입니다. 해당 프로그램은 중국 사이트를 통해 구입이 가능한 것으로 알려져 있습니다.

 


- 생략 ( 실제 소셜 쇼핑 사이트에서의 악성코드 유포 이슈가 언급됨)



웹서비스의 소스를 변경한다는 것은 서버의 모든 권한을 공격자가 가지고 있다는 것과 동일한 이야기 입니다. 7월에 이어 12월에도 악성코드 유포가 되었다는 것은 그만큼 해킹 사고 이후 충분한 원인 파악과 대책, 꾸준한 관리가 미비하여 발생 하는 것으로 판단 됩니다권한을 모두 가지고 소스를 변경하는 공격자들인데 과연 웹서비스의 고객정보는  안전할까요? 악성코드를 유포한다는 것은 이미 서버의 권한을 획득하고 DB의 내용을 모두 유출한 후일 확률이 매우 높습니다. 공격자들은 이미 서버의 모든 정보를 탈취한 이후, 최종적으로 모든 방문자들에게 악성코드 감염을 시도하는 숙주로서 활용 합니다. 공격자의 정체가 밝혀질 수도 있는 악성코드 유포 숙주로의 활용은 보다 은밀한 정보 탈취등은 모두 종료된 이후일 가능성이 높습니다최종적으로 공격자는 모든 방문자에 대한 감염을 시도 하기 위해 웹소스코드를 추가 또는 변경하여 악성링크가 방문자에게 자동으로 실행 되도록 함으로써 좀비PC로 만드는 상황입니다.

 

2012 2월의 빛스캔의 조사에 따르면 악성링크로 인한 감염 피해는 전체 웹서비스 방문자중 60%가 감염 된다는 것을 데이터를 통해 입증 한 바가 있습니다. 이번 소셜쇼핑 사이트의 경우에도 방문자중의 60%는 악성코드에 감염이 되었을 것으로 추정됩니다. 애플리케이션(자바, IE, 플래쉬)중 하나라도 최신으로 업데이트가 되어 있지 않다면 감염이 되는 현재의 상황 입니다. 공격자들은 항상 최대의 효과를 얻기 위해 방문자들이 많은 곳들을 대상으로 끊임없이 악성코드 감염을 시도합니다. 그 대상에는 수많은 사이트들이 대상이 되고 있으며 웹서비스 방문자들은 그 어떤 인지도 없이 감염이 될 수밖에 없는 상황은 지금도 계속 되고 있습니다.

 



금주 공격의 특징을 정리하면 다음과 같습니다.

 

          9 4주차, 10 2주차, 11 1주차, 11 3주차, 11 4주차, 11 5주차, 12 1주차 , 12 2주차 이후 또 다시 12 3주차도 DDoS 공격 수행 악성코드 유포

          소셜커머스 업체인 XX 7 1주차 이후 또 다시 악성코드 유포

          국내 도메인을 경유한 악성링크 사용 비율 급속 증가(탐지 회피하기 위한 용도)

          온라인 광고 사이트 다수가 해킹당해 악성코드 유포

          8 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가(감염된 좀비PC들을 활용한 추가 위험이 발생할 수 있는 상태)

          APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속

          MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 적극적 으로 이용됨 


          최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨

          백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속

          게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속

          백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨

 

* 사용자가 특정은행 접속시에 피싱 사이트로 유도하거나 HTML 내용을 변경하여 정보를 획득하는 형태의 악성코드들도 현재 다수 유포 되고 있는 온라인 게임 계정 탈취형 악성코드에 붙여진 부가기능이며 해당 기능들은 매우 적극적으로 이용이 되고 있습니다. 악성코드 확산을 통제할 수 있는 근본적인 대안과 대책들이 집중적으로 필요한 부분이라 할 수 있습니다.

 

* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5, 6월 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 예상대로 직접적인 ARP 스푸핑 공격코드 출현하였으므로 피해 발생이 예상되며, 지금까지 설명한 사항 모두 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용입니다.



* 상당수 내용이 삭제된 브리핑 입니다. 금주차 12월 3주차 이후 IE 제로데이 관련 이슈 추가 발견 ( 언론기사 참조 www.facebook.com/bitscan ) , 국내 IT 관련 대기업 웹서비스들에서의 악성코드 유포 이슈, 금융 기관의 악성코드 경유지 활용 , 인터넷 서점 악성코드 유포, 파일 공유 사이트에서의 대담한 악성 코드 유포 이슈들이 언급 될 예정입니다. 금주차는 1월 1주차로 적용 되어 보고서 발송 됩니다. 공공기관에 정보 협력으로 제공되었던 보고서들은 2013년 부터는 더 이상 제공 되지 않습니다. 모든 내용은 보고서 및 기사를 통해 공개될 예정입니다. 또한 1~2주 간격으로 특징적인 악성코드 및 기법이 사용된 내용에 대해서는 악성코드 감염 숙주로 이용된 웹서비스 목록들에 대해 모두 공개 하는 것을 꾸준히 하여 실질적인 개선을 유도하도록 하겠습니다.





발전적인 협력

 

빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

감사합니다.

 

       본 정보제공 서비스는 공개, 재 배포 금지(내부에서만 활용), 비영리 목적으로만 활용 가능합니다. 공익적인 목적으로 기관에 제공되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.

       시범 서비스는 기관명/담당자/연락처 기재가 필요하며 기관/기업별 1회 신청에 한합니다. 2013년부터는 단 1회 제공 됩니다.

       정식 구독 서비스 가입 및 시범 서비스 신청 및 문의 메일은 info@bitscan.co.kr

       본 서비스의 권리는 빛스캔에 있으며, 동의 없는 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.

       본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre-Crime Detect System)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.

 


저작자 표시
신고
Posted by 바다란