태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.


2013년 1월 3주차 한국 인터넷 위협 분석 브리핑입니다. 

 본 정보는 탐지는 빛스캔의 PCDS를 통해 탐지하고 분석과 정리는 KAIST 정보보호대학원과 협력하여 진행 하고 있습니다. 보고서에 대한 문의 및 소개자료는 info@bitscan.co.kr 로 문의 주십시요.


- 1월 23일에는 1월 4주차 분석 보고서가 전달 되었습니다. 알려야 할 내용이 많아서 게시가 계속 지연 되고 있는 상황입니다.

- 향후 공개 게시물은 비정기적으로 게시 예정입니다.


금주차는 1월 11일을 기해 자바 제로데이 ( CVE 2013-0422) 와 1월 2주차에 꾸준한 테스트가 있었던 IE 제로데이 ( CVE 2012-4792) 가 직접 공격에 대거 활용 되었습니다.

국내 십여개 이상의 언론사 및 대형 커뮤니티사이트 , TV  컨텐츠 ( pooq tv, 곰TV ), 게임웹진 ( 인벤) 등에서 제로데이 공격코드들이 직접 악성코드 감염에 활용된 정황이 포착 되었습니다. 현재 대책이 미진한 상황이라 전체적으로 감염 비율이 매우 높을 것으로 예상 되고 있습니다.

각 제로데이별 대책은 아직 완전한 것은 아닌 것으로 판단 되고 있어서 문제는 계속 될 것으로 보입니다. 금일까지 종합된 내용은 다음과 같습니다.

보안패치는 IE 6,7,8 사용자 모두에게 해당이 됩니다발표 이후에도 공격이 계속 되는 것으로 보아 정확한 대응여부 검증에 대해서는 시일이 필요할 것으로 예상 되고 있습니다.  http://technet.microsoft.com/en-us/security/bulletin/ms13-008

 

Oracle의 경우도 Java에 대한 패치를 발표 하였으나 현재 패치의 완전성에 대해서는 검증된 바가 없으며 여전히 공격은 계속 진행 중인 상황입니다특히 국내는 취약한 웹서비스를 이용한 불특정 다수에 대한 대량 공격이 계속 되고 있어서 세계적으로 피해가 가장 심각한 측에 속할 것으로 예상 됩니다.

http://www.oracle.com/technetwork/topics/security/cpujan2013-1515902.html

 


본 보고서 구독 기업/기관에서는 내부 사용자의 브라우저 버전을 IE 6,7,8 에서 IE 9 이상으로 업데이트 할 것을 강력하게 권고 드리며, 자바의 경우 미국에서 권고하듯 당분간 자바의 삭제를 권고 드립니다. 외신에서도 긴급 발표된 Oracle의 패치가 불완전 하여 문제가 계속 될 것으로 예상하고 있으며 국내에 대한 공격도 여전히 계속 되고 있는 상황입니다.



* 보고서 구독 계약시에 악성코드 샘플 제공 계약이 된 기업과 기관에서는 이번 제로데이 두건에 대한 공격코드들이 모두 당사에 수집되어 있으므로 샘플 제공 요청을 하시면 제공해 드리도록 하겠습니다.  공격코드들은 아직 세계적으로 알려진바 없는 다른 형태로 파악이 되고 있으며 현재 가용 인력 모두가 전문분석에 투입 되어 있는 상황입니다. 


제공 샘플  : 자바 제로데이 ( CVE 2013-0422) , IE 제로데이 ( CVE 2012-4792) 를 이용하여

                  실제 공격에 사용된 공격코드 및 샘플


감사합니다.



2013. 1월 3주차 동향 보고서 발췌-



2013년 1월 3주차 주간 공격동향을 요약하면, 신규 악성링크 44건, 악성링크 도메인 38건, 신규 악성코드 30건, 그리고 악성코드 유형이 8건 출현한 것으로 집계되었다.

구 분

1월 3주(건)

1월 2주(건)

전주 대비 증감(건)

신규 악성링크

44

44

-

악성링크 도메인

38

33

▲5

신규 악성코드

30

18

▲12

악성코드 유형

8

4

▲4

주요 감염 취약점으로는 CVE-2012-4681, CVE-2012-1889, CVE-2012-1723, CVE-2011-3544 (각 26건, 15.2%), CVE-2012-5076, CVE-2012-0507 (각 25건, 14.6%)으로 나타났다.

CVE

1월 3주(건)

1월 2주(건)

전주 대비 증감(건)

CVE-2012-4681

26

43

▼17

CVE-2012-1889

26

43

▼17

CVE-2011-35441)

26

43

▼17

CVE-2012-17231)

26

43

▼17

CVE-2012-05071)

25

43

▼16

CVE-2012-50761)

25

43

▼16

 

신규 악성링크를 통하여 수집된 악성코드들은 다운로더 14건, 봇 에이전트 6건, 게임 계정 탈취 2건, 트로이 목마 5건, 손상된 파일 1건, 악성코드 아님 2건 등으로 분류할 수 있었다.

악성코드 유형

1월 2주(건)

1월 2주(건)

전주 대비 증가(건)

루트킷 (Rootkit)

-

-

-

게임계정 탈취

2

4

▼2

봇 에이전트

6

1

▲5

다운로더

14

8

▲6

트로이 목마

5

5

-

드롭퍼

-

-

-

손상된 파일

1

-

▲1

악성코드 아님

2

-

▲2



▶ 주간 악성링크 도메인 통계

국가별 악성링크 도메인 통계를 분석한 결과, 한국이 20건으로 전체 도메인의 45.5%를 차지하였으며, 미국(11건, 25.0%), 일본(4건, 9.1%), 중국, 프랑스, 독일(각 2건, 4.5%), 홍콩, 아르헨티나, 대만(각 1건, 2.3%)으로 그 뒤를 이었다. 이전과 비교하였을 때 유럽(프랑스, 독일)을 포함한 다양한 국가의 도메인에 걸쳐 신규 악성링크가 유포되고 있음을 확인할 수 있다.



 

▶ 최근 1달 누적 악성링크 도메인 통계

 

12월 1주차부터 1월 3주까지의 최근 1달 동안의 주요 국가별 악성링크 누적 도메인 통계를 살펴보면, 한국(153건, 61.2%), 미국(60건, 24.0%), 홍콩(20건, 8.0%), 중국(6건, 2.4%). 일본(4건, 1.6%) 등으로 나타났다.

 



* 전에 언급 하였듯이 결과가 증명하는 것은 명확합니다. 대선 이전 정보 공유로 인해 공격이 대폭 줄어든 것이 확인 되었고 그 반작용으로 해외 서비스를 공격에 활용하는 움직임에서 국내를 직접 노리는 형태로 변경 되었습니다. 아직도 상당한 영향을 미치는 것을 볼 수 있습니다. 정보 공유 이전까지는 한국과 미국의 악성링크 누적 도메인은 반대 상황 이였습니다.



- 바다란



저작자 표시 비영리
신고
Posted by 바다란