태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

안녕하세요. 빛스캔입니다.


6월 2주차에 악성링크 수치가 역대 최대치를 기록하는 상황이라 정보의 정리와 분석에 시일이 다수 소요 되었습니다. 정상적으로 6월 2주차 정보제공 서비스는 6.12일에 발송 되었으며, 금일에는 현재 위협레벨인 "경고" 레벨이 그대로 유지됨에 따라 정보를 공유 합니다.

본 공개용 정보에는 국내를 대상으로한 악성코드 유포 관찰 이래 가장 많은 수치의 악성링크가 6월 2주차에 출현 하였으며, 바이너리를 대량 유포하는 행동들이 직접 관찰된 상황입니다. 따라서 확인되고 분석된 정보들 중에서 국외 ISP를 이용한는 정보들은 그대로 공개를 하도록 하겠습니다.  

내부 공유 정보는 6월 2주차 기간동안 대량 유포 및 감염에 사용된 바이너리 총 42종과 동적 분석 정보 40건이 전달 됩니다. 

또한 전체적으로 외부 연결을 통해 추가 다운로드 시도 및 다수의 C&C 서버로 연결하는 정황들이 발견 되어 정리 내용이 많습니다.

최종 다운로드 주소 및 네트워크 연결 정보

국외: 미국,일본 - 60여곳


악성링크 출현 IP 영역

국외 : 44종


* 공개용으로는 바이너리 및 분석정보 제공 되지 않으며, 국내 IP 영역과 도메인은 모두 제외된 상태에서 전달 됩니다.

    < 정식 서비스 구독 기업/기관 전달된 바이너리 내용 - 참고용>



종합하여 바이너리 42개 , 분석정보 40종. - 제공 불가
최종 다운로드 주소 및 C&C  주소 ( 해외 60곳, 국내 7곳-제외) - 67곳
악성링크 출현 IP 영역  ( 국외 : 44종 , 국내 25종 -제외 )  - 69종 


미국,일본의 ISP를 이용한 대량 공격에 직접 이용된 상황이라 빠른 차단과 내부 PC가 해당 IP 대역대로 연결 될 경우 거의 100% 좀비 PC 가능성이 있으므로 신속하고 빠른 대처를 하시기 바랍니다.

특히 일본 ISP를 이용한 연결 시도들은 노골적인 형태를 보이고 있는 상태입니다. 반드시 내부 감염 PC 확인을 하셔야 할 것으로 보이며, 내부 감염 PC 확인 이후 차단까지 연계 되어야 효과가 있을 것으로 보입니다.

06091.yuzombi.com   115.176.219.81 japan Fujitsu Limited
06111.kbszombi.com 220.146.166.132 japan Fujitsu Limited
www.kbs8803.com:81 126.19.85.220 japan Softbank BB Corp
www.kbs8805.com:81 124.25.194.122 japan Softbank BB Corp
www.mbc006.com:81 121.94.31.40 japan Fujitsu Limited
www.mbc001.com:81 126.15.1.74 japan Softbank BB Corp
www.mbc003.com:81 126.15.1.74 japan Softbank BB Corp
mr1000.gnway.net         126.19.86.211 japan Softbank BB Corp
mis1000.gnway.net 126.114.229.16 japan Softbank BB Corp
mis7000.gnway.net 126.114.228.136 japan Softbank BB Corp
www.kbs8801.com:81 126.15.4.38 japan Softbank BB Corp
www.kbs8802.com:81 ` 126.15.4.37 japan Softbank BB Corp
www.kbs8805.com:81 126.15.4.34 japan Softbank BB Corp
0610.kbszombi.com 220.146.166.132         japan Fujitsu Limited
0611.kbszombi.com 220.146.166.132         japan Fujitsu Limited
0612.kbszombi.com 220.146.166.132         japan Fujitsu Limited
06092.yuzombi.com 220.146.166.132         japan Fujitsu Limited
06093.yuzombi.com 220.146.166.132         japan Fujitsu Limited
06091.yuzombi.com 220.146.166.132         japan Fujitsu Limited
06081.yuzombi.com 220.146.166.132         japan Fujitsu Limited
06111.kbszombi.com 220.146.166.132         japan Fujitsu Limited


6월_긴급정보공유(공개용)_5차(20130613)_1645.pdf


문의는 info@bitscan.co.kr 로 주십시요. 또한 IP에 대한 차단과 대응에 관련된 부분은 각 기업/기관의 판단에 따른 문제입니다.  현재 전달되는 다수의 해외 C&C 및 공격용 IP 대역에 대한 정보는 지금도 활성화 된 상태를 유지하는 곳들이 많은 상태이니 빠른 확인과 대응을 하시길 ..


* 현재 경고레벨에서의 정보 공유와 공개 부분에 높은 수준의 부담이 계속 되고 있어서, 경고 수준을 유지하더라도 정보 공유와 공개가 향후 원활하지 않을 수 있음을 알려 드립니다. 



감사합니다.

저작자 표시 비영리
신고
Posted by 바다란