태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

* 3.18일부터 3.22일까지의 대량 감염 시도된 악성파일 정보 추가 공유 되었습니다. 신청하신 기업/기관에서는 메일 확인 하십시요. 


추가적인 정황에 따라  유동적으로 3.11일 이전의 데이터도 준비를 할 예정입니다. 
현 상황이 진정 될 수 있을때 까지 일 단위로도 공유를 할 예정이며, 무상입니다. 연구목적의 기업과 기관에는 제공 되지 않으니 염두에 두세요.

최종 바이너리 185종 , C&C 및 추가 다운로드 주소 8개 .


연구 목적의 기업/기관 제공은 되지 않으며, 실 대응이 가능한 기업/기관에게 제공 됩니다. 신청은 기업,기관명/ 소속/이름/연락처를 기재하셔서 info@bitscan.co.kr 로 신청 하시면 판단 이후 제공 됩니다.

--------------------------------------------------------------

금일 오전에 전달 드렸듯이 경계수준이 내려 갈때 까지 일단위로 공유를 하도록 하겠습니다.
오늘은 기 전달 되었던 3.11~3.17일간의 (악성코드 - 304종 , C&C 및 추가 다운로드 주소 -83개) 정보 공유에 이어
3.18~3.22일간 국내 웹서비스를 통해 모든 방문자들을 대상으로 악성코드 감염을 시도하고 좀비PC를 만드는데 이용된 악성파일들입니다.

저희가 제공하는 내용은 초기 감염을 위한 악성파일이 대부분이며, 권한 획득 이후 추가적인 다운로드 시도들도 다양하게 발생 될 수 있습니다.
해당 수집 파일은 별도 분류 없이 수집된 모든 파일을 전달 드립니다. 따라서 백도어 , 트로이목마, 파밍용 악성코드 , 추가 파일 다운로더, 게임 계정 탈취와 같은 유형이 혼재 되어 있습니다. 공통점은 모두가 PC의 권한을 획득하고 공격자에 의해서 통제 될 수 있다는 부분입니다.

현재 분석 단계에서 보자면 실제 공격이 실행된 과정과 결과들은 대응이 일정수준 완료된 것으로 보이지만 .. 내부망까지 들어 올 수 있었던 감염경로나 연결 통로들에 대해서는 확인이 되지 않는 상황입니다. 내부로 침입을 하기 위해서는 이메일을 통한 악성파일 감염 시도와 웹서핑을 통한 불특정 다수 감염 시도가 있을 수 있습니다. 두 가지 가능성 모두 있을 수 있는 상황이며, 저희쪽에서 제공 되는 모든 정보들은 웹서핑을 통한 불특정 다수 감염 시도가 해당 됩니다.

웹을 통한 감염시에는 정상적인 웹서비스내의 소스코드를 변경하거나 추가하여 악성링크를 추가하게 됩니다.
해당 악성링크는 실제 방문자의 PC를 공격하는 기능과 통계 정보 ( 접속자의 IP 및 PC 정보들이 전송)를 수집하는 기능이 있습니다.
통계정보를 통해서도 감염자의 소속기관들을 충분히 확인 할 수 있기 때문에 가능성은 높다고 보여지는 상황입니다.

공격의 통로를 규명하지 못한 현재 상황에서는 다른 기관 및 기업들도 추가적인 공격의 대상이 될 수 있으므로 공격의 통로로 직접 이용 될 수 있는 본 바이너리에 대해서 다각도로 대응을 하시길 권고 드립니다. 바이너리 분석에 따라 추가 주소들이 나올 수 있으므로 기관/기업에 따라 적용 하시면 됩니다. 추가 상황에 따라 3월 11일 이전의 내용도 일부 제공 될 수 있도록 준비할 예정입니다.

총 제공 바이너리 (161개 + 15+ 9 = 185개) , 연결주소 - 8개 입니다.

감사합니다.

binary: 20130318-20130322 다운로드 받은 바이너리 161개
binxml: 동적 분석 결과(메일 보내는 시점 161개
originalxml: 악성코드 유포 당시 동적 분석 결과 9개
connection.txt: C&C 주소 및 추가 다운로드 주소 8개

manual folder
- binary: 동 기간 다운로드 받은 바이너리 15개
- 추가 다운로드: 동 기간 다운로드 받은 바이너리 9개

저작자 표시 비영리
신고
Posted by 바다란
TAG