태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.




* 본 정보는 위협레벨 상향에 따라 선제적으로 정보 공유된 내용을 공개용으로 요약한 내용입니다.  실제 모든 분석내용은 압축파일로 첨부되어 제공 되었으며, 본 게시물에 언급된 내용은 1,2차 정보제공 중 위험성이 높은 부분을 선별한 부분입니다. 최종 악성파일의 다운로드 주소에 대한 부분은 해외 도메인 부분을 여과 없이 게재 하였으므로 해당 도메인 및 IP에 대한 차단을 진행 한다면 내부 사용자의 감염은 일정 수준 예방 할 수 있을 것으로 보이니 적극 활용 하시기 바랍니다.  대규모 유포망인 MalwareNet에 대해서는 일부 위험성이 높은 항목에 대해서만 공개를 합니다. 클릭 및 접근시에는 감염이 될 수 있으므로 주의 하시기 바랍니다.



안녕하세요. 빛스캔입니다.

5.25일 위협레벨을 경고로 상향한 바 있습니다.
1차로 5.24~5.27일간 수집된 27종의 바이너리에 대한 정보공유를 진행하였으며, 5.30일 현재 2차로 14종에 대한 정보 공유를 추가로 진행 합니다.

1차 정보는 바이너리와 네트워크 연결 정보만 우선적으로 전달 된 상황입니다.

금일 전달되는 2차 정보는 다음과 같은 내용을 포함 하고 있으며, 첨부된 압축파일의 암호는 전과 동일합니다.

1차 - 27종 바이너리
* 동적 분석 정보 ( 27종의 바이너리에 대한 동적분석 XML 파일) - 공개용 제외
* 네트워크 연결 정보 ( 30여개 이상 )  - 일부 공개
        * 악성바이너리 다운로드 IP 및 도메인 주소 ( 해외 21곳 이상)  - 공개

2차 - 16종 바이너리
* 동적 분석 정보 ( 13종의 바이너리에 대한 동적분석 XML 파일)  - 공개용 제외
* 네트워크 연결 정보 (  15개 가량) - 일부 공개
        * 악성바이너리 다운로드 IP 및 도메인 주소 ( 해외 22곳 이상)  - 공개




1. 대규모 Malware Network (차단 권고 정보 - 일부공개)

* 본 정보는 주요 사이트들의 웹소스에 다양한 형태로 추가되어 악성코드 감염에 이용되고 있는 통로로 이용되고 있는 정보들입니다.  외부 공개용은 위험성이 높은 악성코드 유포에 관한 정보만 제공되며, 그 외의 정보는 내부 고객에게만 전달 되었습니다.

  80여곳 이상의 경유지 활용 악성링크 리스트 (9종)


  erp.leetekorea.com/idc/index.hxxx  <-극히 위험
  ucc.uima.co.kr/link/sb.js  <- 극히 위험
  
  30여곳 이상의 경유지 활용 악성링크 리스트 (10종)
  
  www.ienp.co.kr/js/go.js <-위험
  110.34.240.122:5920/go.js <- 위험

  
악성링크  리스트들을 살펴 보시면, 이미 권한 획득을 전체적으로 당한 곳들이 다양하게 이용되는 것을 확인 할 수 있습니다.   국내 도메인이 다수인 상황이라 Full Url에 대한 매칭과 차단을 권고 드립니다.
  
첨부된 압축파일에는 네트워크 연결 정보 와 악성링크의 IP 주소가 같이 포함 되어 있으며, 국내 IP들이 포함 되어 있으므로 차단에 주의를 기울이시기 바랍니다.


2.  감염 이후 연결 주소 정보

* 본 정보는 압축파일에 모두 정리되어 제공 되었으며, 본 공개용에서는 일부만 공개합니다.

www.hfhssv.cn
gsgsfs.com
110.34.240.123:1314
kr201377.com:10086



3. 악성바이너리 다운로드 주소  

최초 사용자 PC에 대한 공격 성공 이후 악성파일을 다운로드 받는 주소는 국.내외 도메인들이 직접 이용이 되고 있습니다.

국외 도메인에 대한 부분은 본 메일에서 직접 기술을 드리고, 국내 도메인 및 IP에 대해서는 첨부 압축파일에 제공이 되고 있으므로 신중하게 선별하여 차단 적용 하십시요.
  

1차 5.24~5.27 악성 바이너리 다운로드 주소 (국외)

* 해외에서 받아오는 악성바이너리 주소에 대해서는 그대로 공개합니다. 국내 IP 및 도메인은 첨부로 기가입자에게 제공 되었으며, 공개용에는 제외 합니다.
  
down.gsgsfs.net(65.49.35.48) usa Hurricane Electric
girl.gsgsfs.net(192.169.98.248) usa  Outofwall
lol.hanwmw.com(96.43.105.10) usa Ethr.Net LLC
www.pizahunt.com(174.139.141.19) usa Krypt Technologies
www.wk1888.com(198.100.118.184) usa GorillaServers
qqq.smjbwy.com(174.128.234.211) usa Sharktech
110.34.240.(123,124)x usa VPLS Hosting
rhkdcks2323.gnway.net(98.126.55.106) usa Krypt Technologies
rhkdcks2424.gnway.net(98.126.55.106) usa Krypt Technologies
tetret.net(199.193.71.187) usa Vps21
thestringwalker.com(198.154.228.153) usa Websitewelcome.com
2f-concept-dev.com(93.184.35.226) France Nerim SAS
cultivateuk.com(82.165.218.68) Germany 1&1 Internet AG
mis7000.gnway.net(126.19.85.40) japan Softbank BB Corp



도메인 주소만 있는 경우 서브도메인을 변경하여 계속해서 발생되고 있으므로 *.hahavb.com과 같이 확장된 필터링 정책이 필요합니다.  


  2차 5.28~5.30 기간 악성바이너리 다운로드 주소 (국외)
 
192.169.96.(6,8)x usa Outofwall
98.126.147.220 usa Krypt Technologies
annesska.co.uk(213.171.218.160) United Kingdom Fast Hosts LTD
cc.aiya33.com(122.10.87.35) hong kong HKDF
eee.smjbwy.com(174.128.234.214) usa Sharktech
fff.lolnnn.com(96.43.105.30) usa Ethr.Net LLC
hicsddns1.kingka1888.com(98.126.147.220) usa Krypt Technologies
hahavb.cn(199.193.68.132) usa Vps21
ie.hahavb.cn(199.193.68.132) usa Vps21
yk.hahavb.net(199.193.68.132) usa Vps21
letsgostrolling.com(69.160.58.75) usa Nexcess.net L.L.C.
lol.hanwmw.com(96.43.105.10) usa Ethr.Net LLC
mmm.dafafa.cn(192.169.98.236) usa Outofwall
rhkdcks3131.gnway.net(98.126.55.106) usa Krypt Technologies
sumotek.com(91.194.90.170) Germany Contabo GmbH
ttt.smjbwy.com(199.114.243.220) usa Vps21
uuu.smjbwy.com(98.126.177.53) usa Krypt Technologies
wm.aiya33.com(122.10.87.32) hong kong HKDF
wnrdufk.hfhssv.com(192.169.98.240) usa Outofwall
xxx.dafafa.cn(192.169.98.233) usa Outofwall
myyk00pm.4b.cp
23.82.18.254

한국 인터넷 위협동향에 대한 무료 메일링은 info@bitscan.co.kr 로 연락 주십시요. facebook.com/bitscan 페이지를 통해서 계속 갱신 정보를 공유하고 있으니 참고하세요.

감사합니다.


저작자 표시 비영리
신고
Posted by 바다란