태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.


긴급정보제공 4

(인터넷 공개용)

 

No. SEIS-13-06-01 

2013 6 4

Bitscan

 

 

 

상황 요약

지난 5월 4주차 위협레벨 상향에 따른 대응 조치로 내부 고객사를 대상으로 선제적인 정보 공유를 진행하고 있습니다. 지난 주에 1차, 2차 정보 공유를 진행 드린바가 있습니다. 6월 1주차 관찰 결과에 따라 위협레벨 조정을 하려 하였으나, 규모는 줄었으나, 영향력은 더욱 증대된 위협들이 감지되어 현행 그대로 당분간 "경고" 레벨을 유지하고 있습니다.

 

제한된 인력과 자원을 이용하여 수집된 정보를 가공하고 분석하는 형태라 오랜기간 지속이 어려운 점을 양해해 주시기 바라며, 위협상황이 계속 되는한 최대한 유지 할 수 있도록 노력 하겠습니다.

 

먼저 5월 4주차의 경우 대규모 악성코드 유포 통로인 MalwareNet이 다수 활성화 되는 경향이 관찰 되어 "경고"로 상향된 바 있습니다. 최근 관찰된 유형 중에 가장 빠르고, 급속한 증가 추세를 보여서 레벨 상향을 진행 하였고, 토런트 정보 공유 사이트들 다수도 악성코드 경유지로 이용된 정황이 있어서 정보 공유를 한 것입니다.

 

6월 1주차에서는 일부 정보 공개와 연관성이 있을지는 모르겠으나, 기 공유 및 공개된 정보들은 활동이 극히 줄어든 상태를 보였습니다. 그러나 영향력이나 파급력 측면에서 확실히 높은 영향력을 가지고 있는 서비스들에 대해서 공격이 계속된 정황이 탐지된 상황입니다. 더불어 파일 공유 사이트 상위권 서비스들과 포털, 소셜 댓글 서비스 자체가 유포에 이용된 상태라 영향력은 5월 4주차 보다 높은 상태라 할 것입니다.

 

따라서, 현재 위협레벨은 5월 4주차에 비해 규모는 줄었지만, 영향력이나 파급력은 더 높아진 상태가 직접 관찰되어 위협레벨은 "경고" 그대로 유지 됩니다.

금일(6월 4일) 새벽에 다수의 악성링크를 통해 동일한 바이너리가 다수 유포된 정황을 파악하고, 분석한 자료(C&C 연결정보 등)을 추가로 제공합니다.

 

 

공유 정보

외부 정보 공개용으로는 가장 심각한 피해를 입히고 있는 악성링크 부분과 MalwareNet에 대한 정보, 다운로드 및 C&C 정보중 시급성이 높은 정보에 대해서 공개를 하였고 국내 IP의 경우는 고객사들만을 대상으로 하여 전달되었습니다. 국내 IP의 경우 차단에 있어서 신중을 기해야 하니 주의하여 차단하시기 바랍니다.

 

6월 4일 전달되는 4차 정보공유는 다음과 같습니다.

 

198.15.93.188~190 [USA] 긴급 차단 및 연결되는 PC 확인 필요(긴급차단이 필요한 C&C의 경우 악성파일에 대한 동적분석 결과는 파밍을 하는 것으로 나오나, 파밍 이외에 트로이 목마 기능도 첨부된 것으로 확인. VT 진단 결과는 국내 주요 백신 탐지 회피 중임.)

 

이외 차단리스트

 

216.218.249.42 [USA] <-신규

198.15.86.70

198.15.71.194

*.gnway.net

*.hellowfrog.com

F/W, WAF 등 차단장비에 IP/도메인 등록시 반드시 확인 과정을 거쳐 주시기 바랍니다.

 

 

샘플 수집 당시, VirusTotal 진단 스크린샷

 

 

   

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락 주십시오. 또한, 당사에서 제공하는 다양한 정보는 빛스캔 페이스북 페이지에서 확인하실 수 있습니다. http://www.facebook.com/bitscan

감사합니다.

신고
Posted by 바다란