태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

* 본 분석 문서는 지난 2년 이상의 악성링크를 통한 대량 유포 관찰 기간 동안 가장 특이한 행동이 관찰된 시점을 기준으로 작성이 되어 있습니다. 2012년 12월 대선을 기점으로 공격 전략의 변화와 위험성에 대해서 매 주간 단위로 정리하여 정보제공을 한 바 있습니다만 좀 더 넓은 기간을 관찰하여 변화에 대한 내용을 정리하기 위해 공개되는 문서입니다.  


변화의 관찰을 위해 수치의 변화만을 기술 하였으며, 동 기간에 파밍 유형의 악성코드 감염 사례가 다수 발견 된바가 있어서 국내에서의 악성코드 감염을 통한 정보 유출과 금융정보 탈취형 악성코드가 심각한 상황에 있음을 알 수 있습니다.  2013년 3월 현재는 웹 서비스를 통해 대량 감염 시도하는 악성코드들 대부분이 금융 정보 탈취형이 파밍형태의 악성코드라 앞으로 피해는 계속 될 것으로 예상 됩니다. 


향후에도 특이 사항이 발견되어 정보전달이 필요할 경우에는 폭 넓은 범주에서 동향을 관찰한 데이터들을 공개 하도록 하겠습니다.  


제 1호

빛스캔 분기 동향 분석

 

 

 

 

악성코드 유포 및 경유지

변화 관찰

(2012년11월~2013년1월)

 

 

 

 

 

 

 

 

2013. 02.

 

 

빛스캔(주)

 

 

 

본 정보는 빛스캔(주)의 PCDS (Pre Crime Detect Satellite)를 통해 2012년 11월부터 2013년 1월까지의 경유지 및 유포지의 변화를 종합 관찰한 내용이다. 본 관찰결과는 대선실시 이전에 정보를 공유하여 협력한 결과 변화된 공격 형태를 나타내고 있다. 대선기간 DDoS 공격을 우려하여 최종 악성파일과 C&C 연결 정보를 전달한 결과 악성코드 유포지의 비율이 국내로 급격하게 기울어지는 현상을 확인 할 수 있다.

3개월간의 변화 관찰과 내부 데이터를 가공한 보고서를 통해 국내 인터넷 환경의 심각성에 대해서 인식을 하는 계기가 되었으면 한다. 동 기간에 유포된 최종 악성코드들은 최소 50% 이상이 금융정보 탈취를 위한 파밍 형태의 악성코드들이 유포된 상황이므로 향후에도 계속해서 금융 관련 사고가 발생 할 것으로 예측이 된다.

 

악성코드 유포지: 홈페이지 자체에서 악성코드 파일을 저장하여 이용자에게 전파하는 페이지

● 악성코드 경유지: 홈페이지 방문자에게 악성코드 유포지로 경유할 수 있도록 간접적으로 전파하는 페이지

 

유포 및 경유지 통계

 

전체 수치는 PCDS 탐지 체계를 통해 수집된 내용이며, 중복을 제외한 수치이다. 경유지의 수치는 실제 공격이 발생된 서비스 수치만을 카운트한 내용이며, 반복된 공격의 수치를 포함하면 수치는 대폭 증가하는 상황이다. 악성링크라고 부를 수 있는 유포지는 전체적으로 감소하는 현상을 보이고 있고 경유지도 감소하는 현상이 관찰되고 있다. 그러나 12월중에 접속자가 매우 많은 서비스들이 경유지 및 유포지로 직접 이용된 정황들이 있어서 전체 피해범위는 더 넓어졌을 것으로 판단된다.

 

2012년 11월

2012년 12월

2013년 1월

유 포 지

218

196

162

경 유 지

1,228

837

931

합 계

1,446

1,033

1,093

증감 (비율)

 

-29%

6%

 

 

 

유포지 국가별 통계

 

2012년 11월

2012년 12월

2013년 1월

1-18일

19-31일

대한민국

68

79

32

119

기 타

150

74

11

43

합 계

218

196

162

비 율

 

-10%

-17%





















<영역 비율을 통한 악성코드 유포지별 국가 변화 관찰 2012.11~2013.1 >



대량으로 탐지된 유포지 및 경유지로 탐지된 Top 10 list


Find Time

Malware URL(유포지)

Vulnerability Set(CVE)

Nation

경유지

2013-01-12

xxxx.pickple.com/xx/xxxx.js

0422-5076-4681-1889-1723-0507-3544

USA

145

2012-12-09

kxx.or.kr/xxx/xxxx.html

4681-1889-3544

Korea

69

2012-11-11

205.209.137.xx/xxx/xx.js

4681-1889-1723-3544-1255

USA

63

2012-11-11

66.79.179.xxx/xxx/xxx.js

4681-1889-1723-3544-1255

USA

55

2013-01-30

112.169.111.xx/xxxx.html

5076-4681-1889-1723-0507-3544

Korea

55

2013-01-06

58.227.192.xx/ixxx.html

5076-4681-1889-1723-0507-3544

Korea

50

2012-11-10

66.79.169.xx/xxxx/xxxjs

4681-1889-1723-3544-1255

USA

42

2013-01-05

58.227.192.xx/xxxxjs

5076-4681-1889-1723-0507-3544

Korea

35

2012-12-01

wtmain.com/xx/xxxjs

5076-4681-1889-1723-0507-3544

Korea

34

2012-11-01

www.seoxxxx.kr/xxxx.html

4681-1889-1723-0507-3544

Korea

33



















< 동기간 국가별 악성코드 유포지 활용 비율>

* 본 통계는 모두 실측된 통계자료이며, 국내 인터넷 환경의 위협 변화에 대해 정리된 통계자료 입니다. 동 기간 동안 정보제공 및 채널을 통해 매주의 이슈에 대해서는 정리된 바 있습니다. 


======================================================

2013년 2월 이후 주요 이슈 및 대책

 

1. Gondad Exploit Kit에서 새로운 취약점을 이용한 공격 발견

Gondad Exploit Kit에서는 존재하지 않았던 새로운 취약점을 이용한 공격을 발견하였다. 이 취약점은 2013년 2월 7일 CVE에 등록은 되었지만, 실제로 국내에서 발견된 것은 이번이 처음이다. [그림1]과 같이 해당 취약점은 Adobe Flash 파일을 이용하여 공격하는 방식으로 해당 파일은 Adobe Flash Player의 Memory Corruption 취약점을 이용해 Buffer Overflow을 일으켜 공격자가 실행시키고 하자 하는 코드를 임의로 실행시킬 수 있다. 또한, swf파일의 특징으로써 Decompiler을 통해 swf파일을 열어보면, 클래스 이름이 LadyBoyle이고 32비트 버전, 64비트 버전별로 따로 클래스가 존재함을 알 수 있다[그림2].

그리고 또한 LadyBoyle 클래스에서는 플래시 버전과 OS버전을 확인한 후 공격의 여부를 결정하고 있다[그림3].

현재 해당 취약점은 윈도우 이외에 매킨토시에서도 DoS공격이 가능하다고 알려져 있으나, 해당 swf파일에서는 윈도우 사용자를 대상으로 하는 공격이었으며, 윈도우에서는 취약점을 이용한 권한상승 및 Drive-by download를 통한 공격이 가능하다고 알려져 있기에, 2월 7일 배포된 Adobe Flash Player의 업데이트를 권장한다.

 

2. 자동화 된 Exploit Kit을 활용한 대규모 악성코드 유포

악성코드 유포를 위해 취약한 웹 서비스들에 대량으로 악성링크를 삽입하여 이루어지는 공격은 여전히 활발하게 이루어지고 있다. 따라서 일반 사용자들은 악성링크가 삽입된 사이트에 방문만 하더라도 해당 웹 페이지에 삽입된 링크로 연결되어 자신도 모르는 사이에 악성코드에 감염되는 Drive-by download 공격에 노출될 수밖에 없다. 정상 페이지로부터 연결되는 악성 페이지는 사용자 PC의 다양한 어플리케이션의 취약점을 이용하여 악성코드를 다운로드 하고 실행하는 기능을 포함하고 있다.

 

악성코드 유포에 사용되는 취약점들은 Oracle Java, Adobe Flash Player, Internet Explorer 등과 같은 다양한 어플리케이션에 존재한다. 대부분의 일반 사용자들은 사용하는 어플리케이션의 업데이트를 제대로 수행하지 않기 때문에, 공격자들은 패치가 없는 제로데이 취약점은 물론이고, 이미 패치가 나와 있는 취약점이라 할지라도 공격 효과가 높은 취약점을 선호한다. [그림 3]은 지난 2012년 6월부터 현재까지, Exploit Kit에 추가되어 대량의 악성코드 유포에 활용되었던 대표적인 취약점들을 나타낸다.

 

 

[그림 4]은 Gondad Exploit Kit을 사용하는 악성링크의 일반적인 구조도로, CVE-2013-0634를 포함하여 총 8가지 취약점을 동시에 활용하여 악성코드를 유포한다. 악성 페이지인 index.html에는 6가지 JAVA 취약점, MS XML 취약점, Adobe Flash 취약점이 포함되어 있으며, 최종적으로 pang.exe라는 악성코드를 다운로드 하여 실행한다.

지난 한 해 동안의 공격 동향을 살펴보면 이러한 취약점들을 동시에 사용하여 악성코드를 유포하는 다중 취약점 형태가 가장 일반적으로 나타났다. 특히 최근에도 지속적으로 발견되고 있는 Gondad와 같이 자동화 된 공격 도구(Exploit Tool Kit)를 활용하는 경우에는 6~8개의 취약점을 동시에 이용한다. 이처럼 공격자들이 악성코드 유포에 여러 취약점을 동시에 사용하는 이유는 공격 성공률 및 악성코드 감염율을 높이기 위함이다. 서로 다른 어플리케이션의 취약점을 동시에 이용하거나, 또는 여러 종류의 어플리케이션 버전에 대한 취약점들을 한꺼번에 이용함으로써 사용자의 PC가 감염될 확률을 높이고, 더욱 효과적인 악성코드 유포가 가능하기 때문이다.

이와 같은 악성코드 유포 공격을 막기 위해서는, 먼저 관리자들이 웹 서버 취약점 점검과 모니터링을 통해 악성링크가 삽입되지 않도록 각별한 주의를 기울이는 것이 필요하다. 또한 만일 악성링크가 삽입되더라도 신속하게 탐지하여 이를 제거하는 것이 필요하다. 이러한 조치를 통해 일반 사용자들이 악성코드에 대량으로 감염되는 것을 방지 할 수 있다. 또한 일반 사용자들은 관련 어플리케이션들의 보안 업데이트를 반드시 주기적으로 수행하여, 최소한 패치가 이루어진 취약점들을 활용하여 유포되는 악성코드에는 감염되지 않도록 하는 것이 필요하다.

 

3. Java Applet, Internet Explorer 등 주기적인 보안 업데이트 권고

금주에 악성코드 유포에 사용된 취약점들은 아래와 같으며, 해당 URL에서 업데이트 관련 정보를 얻을 수 있다.

 

  • CVE-2013-0634 (Adobe Flash 취약점) - http://www.adobe.com/support/security/bulletins/apsb13-04.html
  • CVE-2013-0422 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html
  • CVE-2012-5076 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/javacpuoct2012-1515924.html
  • CVE-2012-4681 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html
  • CVE-2012-1889 (MS XML 취약점) - http://technet.microsoft.com/ko-kr/security/bulletin/MS12-043
  • CVE-2012-1723 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html
  • CVE-2012-0507 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html
  • CVE-2011-3544 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html
  • CVE-2010-0188 (Adobe reader 취약점) - http://www.adobe.com/support/security/bulletins/apsb10-07.html


신고
Posted by 바다란