태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'Security Indicator'에 해당되는 글 411건

  1. 2015.03.28 구글 악성링크 차단 공개 ( 궤도위성의 탐지와 새로운 대안에 대해 ..)
  2. 2014.06.02 [빛스캔] 한국 인터넷 위협 요약-5월4주차
  3. 2014.06.02 Fireeye에서 발표한 Callback 순위 (C&C)를 통해 보는 한국의 수준
  4. 2014.05.26 [빛스캔]한국인터넷 위협 요약-5월3주 (대형 사이트를 통한 유포 지속)
  5. 2014.05.16 한노총,우정노조,화학노조 악성코드 유포 (APT 침입 대응 필요)
  6. 2014.05.15 [빛스캔]한국 인터넷 위협(요약)-5월2주차 (줌 파밍)
  7. 2014.05.15 [빛스캔]한국 인터넷 위협(요약)-4월4주차
  8. 2014.05.15 [빛스캔]한국 인터넷 위협 요약- 5월 1주차
  9. 2014.04.28 망분리 맹신하다 당한 국가 기반망 - 해상관제망에 외부침입 흔적 (2011년)
  10. 2014.04.16 [ 빛스캔]한국 인터넷 위협요약 -4월 2주차
  11. 2014.04.09 OpenSSL 취약성의 심각성 [갱신]
  12. 2014.04.07 [빛스캔]한국인터넷 위협 요약- 2014년 4월1주차
  13. 2014.03.28 [빛스캔] 써드파티(플러그인 및 이벤트)서비스를 통한 심각한 수준의 악성코드 유포
  14. 2014.03.27 [빛스캔] 한국 인터넷 위협 요약-3월4주차 : 위기의 안드로이드
  15. 2014.03.20 "LTE급 재앙과 광대역 피해가 온다."- 유.무선을 동시에 공격
  16. 2014.03.20 [빛스캔]한국 인터넷 위협(요약) 3월 3주차 - 모바일과 결합된 공격
  17. 2014.03.13 [빛스캔] 한국 인터넷 위협 요약- 3월 2주차
  18. 2014.03.07 2012년 티켓몬스터 악성코드 유포-탐지내역
  19. 2014.03.07 [빛스캔]2014년 3월 1주차 인터넷 위협 요약- 경고
  20. 2014.02.27 [빛스캔]2월4주차 인터넷위협 브리핑 – “경고레벨 상향”
  21. 2014.02.26 [컬럼] “좀비PC 1대가 대형유통업체를 벼랑으로 몰다!”
  22. 2014.02.20 [빛스캔]2014.2월3주차- PCDS 요약- 변화된 파밍
  23. 2014.02.16 이스라엘. 사이버보안을 핵심으로? 우린 뭐하지?
  24. 2014.02.13 [빛스캔]2014.2월2주차 인터넷 위협동향-요약 (지마켓)
  25. 2014.02.07 [빛스캔] 2013년 한국 인터넷 위협 동향- 연간보고서
  26. 2014.02.03 [빛스캔]2013.12월 월간 - 한국인터넷 위협분석- 공개용
  27. 2014.02.03 [빛스캔]2014.1월4주차 한국 인터넷 위협동향-요약
  28. 2014.01.20 금융정보유출은 경영진의 문제 - II
  29. 2014.01.18 금융정보 유출의 문제는 경영진의 문제. 보안은 비용이 아니다.
  30. 2014.01.16 구글 Stopbadware 차단 모델의 공식 활용의미.

구글 크롬 보안 기능, 파이어폭스서도 쓴다

새로운 세이프 브라우징 API 공개

http://www.zdnet.co.kr/news/news_view.asp?artice_id=20150327103601


이걸 하기 위해 무려 10년 가까운 준비를 한 구글.

이게 그냥 공짜일꺼라 생각하면 착각.

개인에게는 주어져도, 기업은 ?? 

게다가 몇년전 이야기 했듯이 제품제조하는 기업과 서비스 제공하는 기업에서 사용하려면 사용료는 ?...


근데 이 모든걸 제쳐두고 근원적인 질문인데!  구글이 경고하는게 과연 Just on time 일까? 2~3일의 차이는 온라인에선 광년과도 같은 차이이다.


누가 대응 할 수 있을까?

무엇을 준비 했을까?



아무도 안했다. 아니 못했다.!


게다가 엄청난 노력과 비용이 들어가는 서비스가 아닌 모두 그 당시의 기술로만 해결하려 했을 뿐이다.(국내의 사례를 들 필요도 없다.)

빠른 접속과 빠른 분석 그리고 거대한 스케일.  이제 경쟁 기업들은 넘을 수 없는 벽이다. 



그렇다면 과연 현실에서도 구글의 방식이 적합한가를 살펴 보는 것은 당연한 일이다. 

누구도 엄두를 내지 못하는 상황이 지금인데, 그래도 제한적 영역에서는 확인할 수 있는 내용은 있다. 그 제한적 영역이 전 세계에서 가장 강도높은 실험이 발생하는 한국이라면 의미가 없다고는 할 수 없다. 지금까지 사이버 보안 사고 Top 10을 꼽으면 그 중 3~4개는 항상 랭크되는 곳이 이곳이다.



구글의 문제는 "스피드"


 1.모든 클라이언트 단말까지 내려가는 정보( 언제 내려가나? )  

 2.탐지 정보의 신속성 부족 ( 2~3일 지연이다. 궤도위성을 생각해보면..)

    물론 전혀 몰랐던 자들에게는 늦었다는 것 조차도 모르고, 신선할 것이다.



구글의 생각과 기술보다 앞서 있는 공격자들을 넘기 위해서는 대규모도 필요하지만 무엇보다 중요한것은 "스피드"다. 2~3일 뒷북을 넘을 수 있는 스피드.


관찰을 기준으로 살펴보자. 지구를 관찰 하듯이 전 세계 인터넷을 관찰한다면 유형에는  두 가지가 있다. 궤도를 따라도는 궤도위성과 정지위성으로 나눌 수 있고, 그 위성의 용도와 같이 전 세계 인터넷을 관찰하는 것도 똑같다. 사이버 미사일을 요격하는데 주기적으로 도는 위성이 무얼 할 수 있을까? 미사일은 머리위에 있거나 이미 폭파 되었는데 요란한 사이렌만 울리는 것과 다를 것이 없다.



"궤도위성""정지위성"의 쓰임과 활용은 다르다. 


" 전 세계를 대상으로 서비스를 제공하는 구글의 입장에서는 서비스 신뢰성 차원에서 뒤늦은 정보일지라도 궤도위성이 정확한 판단이다. 그러나 서비스 제공이 아닌 생존의 목적이라면 달라야 할 것이다. 위험을 경고 하고 대응해야 하는 입장에서는 정지 위성이 존재해야만 한다."


인터넷 사용이 해외 사이트 사용 비율이 높다면 궤도위성 관찰이 도움될 것이고, 국내 사용 비율이 높다면 정지위성이 활용성 높다.  국내에서의 국내 서비스 사용 비율은 줄잡아  98% 이상 아닐까?   그렇다면 궤도위성으로 탐지되는 위험이 더 빠르고 정확할까? 정지위성으로 탐지하는 위험이 더 빠를까?  물으나 마나한 이야기다. 실생활에서도 


구글은 Bottom-up  방식이다. 모든 정보가 단말로 내려가서 대응을 하는 체계. API를 사용한다 해도 동일하다. 현재 문제 해결을 위해서는 Top -down 방식이 스피드 부족을 극복할 수 있는 방향에 가깝다.  



만약.. 정말 만약에  정지위성을 주요 포인트 국가에 올려 두고 관찰하는 개념이 된다면 다른 승부가 가능해진다. 


도위성이 관찰하는 사이버 공격과 위험은 공격 발생 이후 한참이 지나야 사이렌이 울린다.  정지위성은 공격 시점에 사이렌이 울린다. 초동대처의 중요성은 누구나 알 것이다.  



사이버 공간에서의 역량은 앞으로 "정지위성"의 확보를 하고 있는 것에 따라 확연한 차이를 보이게 될 것이다. 공격과 위험을 인지하는 역량이 전체에서 90% 이상이다. 궤도위성으로 탐지가 될 수 있을 것이라는 생각은 하지 않는 것이 바람직하다. 그나마 피해가 있었구나 정도의 사후 확인 정도일 뿐.  대응을 하고 싶다고? 그럼 현실을 직시하라.


현재처럼 네트웍 레벨에서의 IDS/IPS 관찰로 커버되지 않는 위협, 파일 단위의 악성코드 대응 ( 요즘은 몇초에 몇만개라고 하더라..)과 같은 것은 이미 대응의 범주에서 가장 낮은 영역에 있다. 관찰되지 않는 위협은 현실이 된다. 이미 한국은 현실이다.  미사일 요격으로 유명한 이스라엘의 아이언돔도 핵심 기반은 정확한 관찰이다.  관찰 정보가 부실하다면 여기저기 불바다는 당연한 일일 것이다. 지금까지 한국에서 발생된 대규모 사이버 보안 사고에서 언제 불이 안난 적이 있었나? 아니면 위험 경고의 목소리라도 있었던가? 


사이버 대응체계의 구축은 "사이버돔" 상공 위에서 날라오는 미사일을 볼 수 있어야 가능해 질 것이다. 지금처럼 머리 위에 보인 후에 대응하는 것으로는 날마다 새로워지는 공격기술과 전략을 넘을 수 없다.  아이언돔의 사례와 같이 정확한 관찰을 하고 정확한 지점으로 요격을 하는 것이 보호의 기본 전략이다.  



< 대응 개념도 및 정지위성의 관찰 중요성>



이제 구글은 거대한 결과물을 수확하려 한다. 경쟁자가 없다. 공격에 맞춰 고민한 새로운 전략은 아직 꽃피지 못하였다. 


춘래불사춘이나 봄은 반드시 오리라! -바다란


**구글의 준비 시작은 http://p4ssion.com/8 , http://p4ssion.com/10, p4ssion.com/11 

2007년에 작성하여 공개한 내용을 보시면 지금의 스탠스는 이미 예상된 것이죠.  근 8~9년 이상 다들 뭐 했더라?  Google online security strategy




Posted by 바다란

한국 인터넷 위협(요약) - 5월 4주차

 

발행일: 2014년 5월 28일

한국인터넷 위협 수준: 경고

 

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS를 통해 탐지된 국내 180여 만개, 해외 30여 만개의 웹서비스들에 대한 관찰을 요약한 내용이다. 금주에도 위협은 지속되고 있는 상황에서 주말에 대형 사이트를 통해 악성코드가 유포되는 현상이 지속적으로 나타나고 있다. 또한, 일부 레드킷이 국내로 유입되어 영향을 주고 있어 금주 역시 "경고" 수준으로 유지한다.

 

주요 특징(Main Features)

  • 위협 지속 – 대형 웹사이트를 중심으로 과감한 악성코드 유포
  • 악성코드 유포지의 변화 – 5월 2주차 이후, 국내 도메인 이용 비율 증가
  • 레드킷 – 일부 국내사이트를 통한 활동 증가
  • 금융 – 포털(네이버, 다음) 사이트 배너 광고를 통한 파밍 사이트 연결, 재출현

주간 동향(Weekly Trend)

[표 1. 5월 4주차 한국 인터넷 위협지수]

4월 5주차부터 한국 인터넷 위협지수는 계속 "경고" 단계를 유지하고 있는 가운데 악성코드의 위협은 현재까지도 이어지고 있으며 대형사이트를 중심으로 악성코드를 유포하는 현상은 여전히 반복되고 있다. 특히, 최근 공격자는 국내 도메인은 차단이 어렵다는 점을 이용하여 악성코드 유포지를 국내 사이트를 활용하는 비율이 높아졌으며 바이너리도 기존에 파밍 악성코드뿐만 아니라 키로깅 기능과 같이 개인정보를 탈취하기 위한 다양한 악성코드가 등장하고 있다. 특히, 금주에는 작년에 등장하였던 포털 배너광고를 이용한 파밍 악성코드도 다시 등장하였다.

[표 2. 5월 4주차 시간대별 통계]

시간대별 통계를 살펴보면 유포 빈도만 달라졌을 뿐 지난주와 비슷한 모습이 나타났다. 특히, 목요일부터 시작된 악성링크의 증가는 금요일까지 가장 활발한 활동을 보였으며 주말기간에도 특정 시간 때를 이용하여 악성코드가 유포되는 현상이 나타났다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

4월 4주차부터 5월 4주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 114건(47.5%)으로 지난주 보다 감소했으며, 미국이 93건(38.8%), 홍콩이 12건(5.0%), 네덜란드가 4건(1.7%), 이탈리아가 3건(1.3%), 폴란드가 3건(1.3%), 기타가 12건(4.8%) 등으로 나타났다.

주간 이슈(Weekly Issue)

[그림 1. yes24(yes24.com) 사이트를 통한 악성코드 유포 – 2014년 5월 24일]

 

온라인 대형 서점인 YES24(yes24.com)을 통해 주말기간 악성코드가 유포 된 정황이 당사에 의해 포착되었다. 참고로 YES24 웹사이트는, 지난 주말에도 악성코드를 유포하여 2주 연속으로 악성링크가 삽입되었다는 것을 보았을 때 공격자가 침입하는 통로에 대한 차단이 이루어지지 않은 것으로 판단된다. 특히, YES24는 국내 대표하는 온라인 서점사이트이기 때문에 출판정보 및 개인정보 유출도 심각히 우려되는 상황이며 하루 빨리 조치를 취하지 않으면 피해는 누적 될 수 밖에 없다.

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스(택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란


Fireeye에서 발표한  Callback 순위 (C&C)를 통해 보는 한국의 수준



< Fireeye callback list>


간단하게 악성코드에 감염된 좀비 PC가 얼마나 많은가라고 볼 수 있다.

본 테이블에서의 붉은 색과 파란색의 국가는 러시아와 우크라이나로서 말하고자 하는 의미는 국가간의 분쟁에 의해 사이버 위협이 증가하는 형태를 보이고 있다는 점을 설명한다.  그러나 휠씬 더 중요한 포인트가 있다.


한국은 항상 전 세계에서 Top 3를 벗어나지 않는 심각한 위협상황에 있다는 것. 국가간의 분쟁이든 뭐든 한국의 사이버 위협 상황은 심각한 상황에 있다는 점이다.  이 정도로 심각한 상황에 처해 있음을 정책 입안자나 기업의 CXO 레벨들은 알고 있을까?



순위표에서도  물론 감안해야 할 점들은 있다.  Fireeye 장비의 운영 비율도 상당부분 수치에 영향을 미친다는 점 그리고 Fireeye 장비가 감염이후 탐지라는 측면에서 탐지 비율이 모든 Unknown 공격을 커버할 수는 없다는 점이다.


미국이 부동의 1위인 것은 당연히 장비 설치 비율이 월등하기에 그런 것이다. 그리고 상대적으로 높은 비율이 아닐 것이 분명한 한국의 상황에도 어떻게 Top 3를 유지하는 것일까가 핵심이다. 



1. 한국을 대상으로 하는 원격 조정이 가능한 악성코드 감염은 매우 활발하다. 따라서 비교적 적은 설치 비율에도 상당히 많은 탐지가 발생되는 것이 증명



2. Securelist에서도 확인할 수 있듯이 원격조정 (Callback)이 가능한 트로이 목마 감염 비율이 압도적으로 높은 국가이다.



3. Fireeye의 경우에도 암호화된 통신 ( ssl , tor 등등)을 이용하는 C&C 탐지 비율은 매우 낮다. 따라서 전체 한국에 대한 위협은 생각보다 휠씬 더 높은 상황이라는 점이다. 


* 한국의 상황은 이제 Top3를 넘어 실질적으로 전 세계에서 가장 위험한 상황에 계속 처해 온 것이다.  내부에 있는 우리들만 자각하지 못했을 뿐이다. 결국 2013년의 치명적인 사고들을 겪었지만 지금도 달라진 것은 거의 없다. 오히려 공격들이 더 레벨업 된 상황에 직면하고 있는 "위기의 인터넷"은 계속 되고 있다.



뭐 별로 읽을 내용은 없지만 챠트를 참고한 기사는 다음과 같다.


http://www.cso.com.au/article/546505/_cyber-attack_frequency_increases_geopolitical_tension_analysis/


Posted by 바다란

 

  • Yes24, Korea.com , 다수의 상위 노조 , 대규모 사용자가 이용하는 P2P 사이트를 통한 악성코드 감염이 계속 관찰됨

한국 인터넷 위협(요약) - 5월 3주차

 

발행일: 2014년 5월 21일

한국인터넷 위협 수준: 경고

 

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30여 만개의 웹서비스들에 대한 관찰을 요약한 내용이다. 지난주에 이어서 신규 악성링크의 출현은 감소하고 있는 추세지만 영향력 측면은 지속적으로 증가하고 있는 상황이다. 특히, 금주에는 파일공유(P2P) 사이트를 비롯하여 영향력 있는 사이트에서의 악성코드 유포가 나타났다. 따라서 금주 역시 "경고" 수준으로 유지한다.

 

주요 특징(Main Features)

  • 신규 경유지 감소에도 불구하고 파급력 증가 – 효율적인 공격의 흐름
  • 영향력 증가 – P2P 사이트 최소 8곳 등 사용자 방문이 많은 사이트에 대한 공격 (P2P 사이트 최소 8곳 이상 동시 악성코드 유포는 올해 처음 관찰)
  • 금융 – 파밍 관련, 포트번호를 통한 특정 금융 사이트에 대한 공격 분류
  • 금융 – 파밍 공격, hosts(hosts.ics) 파일의 변조를 이용하는 공격 감소

주간 동향(Weekly Trend)

[표 1. 5월 3주차 한국 인터넷 위협지수]

4월 4주부터 시작된 신규 경유지의 하락은 5월 3주까지 이어지고 있다. 하지만, 신규 공격코드에 영향력은 증가와 감소를 반복하고 있으며 최근 3주 사이에는 경유지 대비 높은 파급력을 나타내고 있다. 특히, 금주에는 온라인 서점, 포탈 사이트를 비롯하여 8개 이상의 파일공유(P2P) 사이트를 통해 악성코드가 직접 유포 및 경유지로 활용되는 모습이 확인되었다. 이들은 대부분 동일한 파밍 악성코드를 유포하였으며 확인 결과 hosts(hosts.ics) 파일 변조 없이 파밍사이트로 연결하는 등 새로운 공격 방식이 꾸준히 나오고 있다.

 

[표 2. 5월 3주차 시간대별 통계]

시간대별 통계를 살펴보면 매주 유포범위가 바뀔 만큼 유동적으로 움직인다고 볼 수 있다. 특히, 최근 3주를 살펴보면 어느 특정한 시간대에 출현한다고 예측할 수 없는 만큼 초기 대응을 통해 광범위하게 분포되어 있는 악성링크의 영향을 줄여야 한다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

4월 3주차부터 5월 3주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 122건(48.4%)으로 지난주 보다 증가했으며, 미국이 102건(40.5%), 홍콩이 12건(4.8%), 기타(6%) 등으로 나타났다.

주간 이슈(Weekly Issue)

[그림 1. 코리아닷컴(Korea.com) 사이트를 통한 악성코드 유포 – 2014년 5월 18일]

주말 동안 파일공유(P2P)를 사이트를 중심으로 온라인서점, 포털사이트를 통해 악성코드 유포 활발히 이루어진 가운데 코리아닷컴(Korea.com) 포털 사이트 공용모듈에 비정상링크가 삽입되어 악성링크의 경유지로 연결하고 있는 모습이 발견되었다. 특히, 해당 모듈은 코리아닷컴(Korea.com)뿐만 아니라 연계된 사이트에서도 이 공통모듈이 활용되고 있었으며 해당 악성링크는 5월 18일 하루동안 활동을 하였으며, 다운로드되는 악성코드를 분석한 결과, 최근 이슈인 사용자의 금융정보를 노리는 파밍 악성코드로 확인되었다.

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스(택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란

한노총을 포함한 노조 웹 서비스들을 이용한 악성코드 유포 – 워터링홀 공격

각 노조에 소속된 조합원들이 있는 기업 및 단체에서는 내부 APT 형태의 악성코드 침입 가능성 높으므로, 대응이 필요합니다.

  • 최근 악성코드 유포는 국내 사용자 방문이 많은 웹 서비스에 악성링크를 삽입하여, 금융정보 탈취형 악성코드 이외에도 백도어들이 몇 주째 지속해서 유포되고 있는 상황이 지속되고 있는 가운데, 노동조합 구성원들이 방문하는 웹 사이트에 악성링크를 삽입하여 악성코드를 유포하는 정황이 탐지되었다.

한노총 : 한국 노동조합 총연맹 – 국내 최대 노동조합 연합. 단위노조 3374개 소속

우정노조: 전국 규모의 최대 단일 노조 – 우체국 종사원 노조 . 8개본부 5개 지부

화학노조: 화학 관련 산업 노동조합의 연합단체 . 2011년 428개 조직, 17개 업종

 

  • 위협경보의 "경고"레벨 상향 이후에도 활동이 활발하게 관찰되고 있다. 위험 수준 하향을 위해 빛스캔에서 수집된 정보를 이용하여 문제를 줄이고자 한다.

     

최근까지도 학원, 파일공유(P2P), 병원, 커뮤니티 등 불특정다수가 많이 방문하는 웹 서비스를 통한 악성코드의 감염이 활발하게 지속되고 있고, 특정 노동조합원들이 많이 방문하는 곳으로 전국 한국노동조합총연맹 서비스에 최근 2~3주 가량 지속해서 악성코드 감염이 발생되는 사안이 관찰되고 있다.

 

노동조합의 대표적인 한국노동조합총연맹 웹 서비스에 악성코드의 유포가 4월 14일경부터 계속되고 있는 상황이며, 5월 2주차에는 전국우정노동조합과 전국화학노동조합의 웹 서비스에서도 악성코드 유포 정황이 탐지되었다. 노동조합에 가입한 인원들과 접속을 하는 인원들이 대부분 현업에 종사하고 있는 직원이라고 볼 때 내부 침투용도로도 다양하게 사용될 수 있으며, 중요 기밀들에 대한 노출도 가능할 것으로 판단된다. 우정노조와 화학노조의 경우에는 전국의 우체국과 화학 관련 산업 종사자들을 악성코드에 감염 시킨 이후 추가적인 공격을 통해 영향을 미칠 수 있으므로 높은 수준의 주의가 필요하다.

 

최근 유포이력을 살펴보면 한국노동조합총연맹은 4월 14일 ~ 5월 14일 까지 악성코드의 영향을 받았으며, 일부는 대량 감염을 위해 형성된 다단계유포망(MalwareNet)과 결합이 되어 유포되는 현상도 관찰되었다.

 

[그림 1. 한국노동조합총연맹 웹 사이트 - 악성코드 유포 4월14일 ~ 5월15일]

 

[그림 2. 전국우정노동조합 웹 사이트를 통한 악성코드 유포 – 5월 14일]

 

 

[그림 3. 전국화학노동조합연맹 웹 사이트를 통한 악성코드 유포 – 5월 14일]

 

4.14일 한국노동조합총연맹 웹 사이트에 두 종류의 공격팩이 삽입된 악성링크 사례

경유지: inknara.co.kr/shop/xxxx/./index.html (공격코드 - 공다팩)
경유지1:
199.188.107.xx/xxx.html (공격코드 - 카이홍팩)

 

사용된 취약점 종류

3544-0507-1723-4681-5076-1889-0422-2465-0634 (gondad exploit kit)

3544-2140-4681-0422-1889-4969-3897-0634 (caihong exploit kit)

 

최종다운로드 링크: www.xxxxxxxx.co.kr/shop/haap.exe

최종다운로드 링크: 199.188.107.xxx/kbs.exe

바이너리 기능: 백도어, 파밍

 

5월 15일 현재 ( 13일 출현) – 한국노총, 우정노조, 화학노조 모두 동일 악성코드 감염

 
경유지: gangpan.co.kr/xxxx/index.html

경유지1: http://websmedia.co.kr/xxxxxx/index.html

 

공격유형: 3544-0507-1723-4681-5076-1889-0422-2465-0634 (공다팩)

최종 다운로드 : http://174.139.149.xxxx/zz.exe

바이너리기능: 백도어, 파밍

 

웹 사이트를 통해 접속자를 공격하는 기법은 공다팩(Gondad Pack) 이 사용되었다. 특히, 악성링크가 시간차이를 두고 교체되는 과정에서 기존에는 공격도구는 바뀌지 않았으나, 이번에 이용되는 과정에서는 공격도구도 함께 바뀌는 모습도 관찰되었으며 이들은 모두 파밍 악성코드로 확인되었다. 이들은 파밍 악성코드 기능 외에도 원격에서 통제되는 백도어 기능(좀비PC)도 동시에 가지고 있는 상태라서 위험성은 개인의 금융정보 탈취에만 국한 되지는 않는다.

 

현재 노동조합 관련 사이트를 크롬으로 방문 시에는 경고창이 활성화 되는 것을 볼 수 있으며, 유포가 발생 되었음을 간접으로 확인 할 수 있다.

 

 

최근 한국 인터넷의 위협레벨을 경고로 상향시킨 이후 관찰을 강화하고 있으며, 관찰 도중 발견된 공격자 서버에서 상당수의 좀비PC가 관리되고 있는 모습과 다수의 공인인증서도 수집해 놓은 상황이 관찰된 바도 있다.

 

특히, 최근에는 MalwareNet에 연동된 형태로서 상위 악성링크의 내용이 변경될 때마다, 공격 내용과 최종 악성파일이 변경 되는 형태도 계속해서 관찰이 되고 있어서, 시급한 대응이 요구되는 상태이다.

 

노동조합을 대상으로 한 악성코드 유포 시도가 많지는 않았지만, 최근 4월초에 지속적으로 발견이 되고 있다. 웹 서비스를 통해 악성코드가 유포되거나, 최종 악성파일이 업로드 되는 상황은 이미 공격자가 내부에 대한 접근 권한을 가진 상황이라고 볼 수 있다.

 

현재 빛스캔은 210만개 웹서비스 (국내 180만개, 해외 30만개)에 대해서 대량 악성코드 유포를 모니터링하고 있으며, 그 관찰의 결과를 매주 수요일 정보제공 서비스를 통해서 제공하고 있다. 기사 내용 문의 및 정보제공 서비스 문의 info@bitscan.co.kr

Posted by 바다란

한국 인터넷 위협(요약) - 5월 2주차

 

발행일: 2014년 5월 14일

한국인터넷 위협 수준: 경고

 

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30여 만개의 웹서비스들에 대한 관찰을 요약한 내용이다. 지난주에 비해 공격자의 활동은 줄어들었지만 일부 웹사이트를 통해서는 여전히 악성코드가 활동 중에 있으며 다수의 카운터 서버만을 삽입한 악성링크도 발견되고 있어 예의 주시가 필요한 상황이다. 따라서 금주 역시 "경고" 수준으로 유지한다.

 

주요 특징(Main Features)

  • 공세 약화 – 공인인증서 폐기 및 C&C IP 차단 등 적극적 대응으로 인한 효과로 추정
  • 단축 URL을 이용한 악성링크 재출현
  • 금융 – 채팅 창을 활용하는 피싱 공격 재출현
  • 금융 – 줌(ZUM) 포탈을 이용하는 파밍 공격
  • 일부 웹사이트를 통한 악성코드 유포 지속 – 포X스, 로또XXX, 더존XX 등

주간 동향(Weekly Trend)

[표 1. 5월 2주차 한국 인터넷 위협지수]

지난 주에 공인인증서 1만여건을 공격자 서버로부터 확보하고, 해당 내역을 관계기관과 협력하여 최종적으로 6천9백여건의 인증서를 폐기하고, 나아가 악성링크가 활용하는 IP 대역폭과 C&C 서버를 차단하는 등 적극적인 대응을 한 결과 위협이 조금 감소하는 모습이 나타났다. 하지만, 여전히 일부 웹사이트를 통해서는 휴일에도 악성링크가 지속적으로 활동하였고, 다운로드되는 악성 코드는 파밍과 관련된 것으로 분석되었다. 특히, 이번 사건 이후로 공격자가 다양한 국가의 VPN망을 이용하여 차단을 우회하려는 모습도 관찰되었다.

[표 2. 5월 2주차 시간대별 통계]

시간대별 통계를 살펴보면 평일 시간을 이용하여 주로 활동을 하는 모습이 나타났지만 지난주와 비교해보았을 때 악성링크의 활동은 조금 감소하는 모습을 보였으며, 금-토요일에는 거의 활동이 없었지만, 일요일 오전부터 다시 활동이 재개되었다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

4월 2주차부터 5월 2주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 98건(34.3%)으로 지난주와 비슷하였으며, 미국이 129건(45.1%), 홍콩이 18건(6.3%), 독일이 13건(4.5%), 스페인이 5건(1.7%), 이탈리아가 5건(1.7%), 네덜란드가 3건(1.0%), 기타가 15건(4.9%) 등으로 나타났다.

 

주간 이슈(Weekly Issue)

[그림 1. 포탈사이트 줌(Zum.com)을 이용한 파밍 플로팅배너 광고 – 2014년 5월 13일]

최근 사상 최대 공인인증서 폐기를 통한 이슈로 인해 파밍에 대해 관심이 높아진 상황에서 피해를 최소화 하기 위해 관계기관과의 협력을 통해서 파밍 악성코드에 대해 적극적인 대응을 하고 있지만 악성코드 유포는 계속되고 있는 상황이다. 파밍 악성코드 특징으로는 공인인증서 유출도 있지만 호스트 파일의 변조를 통해 가짜 은행 사이트로 연결하여 금융정보를 탈취하는 방법도 같이 사용된다. 특히, 포탈사이트 같은 경우는 파밍 플로팅배너 광고를 이용하여 가짜 은행사이트로 연결하려는 수법을 쓰고 있으며 기존에는 네이버, 다음, 네이트가 이용되었지만 최근에는 줌(Zum.com)사이트를 통한 파밍 플로팅 배너까지 등장하였다. 특히, 줌(Zum.com)은 최근 많은 사용자가 찾는 만큼 대중적인 사이트로 성장을 지속하고 있는 중이며 접속하는 사용자도 점차 증가하고 있는 상황이다.

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스(택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란

한국 인터넷 위협(요약) - 4월 4주차

 

발행일: 2014년 4월 23일

한국인터넷 위협 수준: 경고

 

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스들에 대한 관찰을 요약한 내용이다. 금주에는 지난주에 비해 위협이 증가하였고, MalwareNet이 결합된 형태로 대규모 감염이 발생하였고, 레드킷의 영향으로 인해서 '경고' 등급으로 상향 조정한다.

 

주요 특징(Main Features)

• 신규 경유지, 파급력 증가 – 국내 직접적 영향을 노린 악성링크 증가 지속

• RedKit 활동 활발 – OneDrive를 활용

• 금융 - 모바일 OS 감염을 노린 악성앱(.apk) 출현

• 최근 유포이력이 없던 곳에서 활동 재개 – 게임관련, 어학원사이트

• 패션관련 그룹 사이트 – 최소 5개 이상 웹사이트 악성링크 확인

• 다크쉘을 활용하는 악성링크 출현 – 공격 도구 수집 및 분석 中

 

주간 동향(Weekly Trend)

[표 1. 4월 4주차 한국 인터넷 위협지수]

악성링크의 활발한 활동은 지난 주(4월 3주)에 이어 계속되었으며, 신규경유지와 파급력의 수치는 지난주에 비해 더욱 증가하였다. 특히, 일부 발견된 악성링크는 기존에 활용되었던 다단계유포망(MalwareNet)과 결합되어 위협을 주었으며 유포에 활용된 사이트를 살펴보면 어학원을 비롯하여 게임관련 사이트와 쇼핑몰 및 대형유통업체 등이 포함되었다. 유포된 일부 악성링크 중에서는 지난 3월에 등장하였던 모바일 OS을 대상으로 하는 스크립트가 공다팩을 통해 다시 등장하였다.

[표 2. 4월 4주차 시간대별 통계]

시간대별 통계를 살펴보면 모든 시간대에 걸쳐서 악성코드의 활동이 활발이 이루어졌다는 것을 볼 수 있으며 특히, 화요일과 토요일에는 가장 활발한 활동을 보였다. 악성코드의 활동은 매주 달라지고 있으며 범위 또한 점점 확장하고 있는 상황이다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

3월 3주차부터 4월 4주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 160건(26.1%)으로 지난주와 비슷하였으며, 미국이 234건(38.2%), 독일이 74건(12.1%), 영국이 24건(3.9%), 스페인이 22건(3.6%), 이탈리아가 16건(2.6%), 네덜란드가 15건(2.4%), 폴란드가 12건(2.0%), 러시아가 7건(1.1%), 덴마크가 6건(1.0%), 기타가 34건(5.9%) 등으로 나타났다.

주간 이슈(Weekly Issue)

[그림 1. 카네스텐 홈페이지를 통한 레드킷 유포 – 4월 19일]

레드킷은 그 동안 해외에서의 주로 해외에서의 활동을 보였으며 국내로의 유입은 일부 있었지만 대부분 영향력이 없거나 정상적인 동작이 이루어지지 않은 준비과정에서 나타났다. 금주에는 카네스텐 사이트를 통해 올해 초 Skydrive로 연결하는 레드킷이 다시 등장을 하였으며 이번에는 Onedrive를 이용하였다. 공격에 활용되는 악성파일을 분석한 결과 애드웨어 목적의 악성코드를 추가적으로 다운로드 하는 모습이 나타났지만 동작을 하지 않았다.

 

카네스텐

  • http://www.avemariaprojects.xxx/xxxxxxxxxxxxxxx/xxxxxxxx.php
  • https://onedrive.live.com/download.aspx?cid=xxxxxxxxxxxxxxxx&resid=xxxxxxxxxxxxxxxxxxxxxxxx

[표 4. 카네스텐에서 공격에 활용된 악성 링크 및 관련 정보 – 4월 19일 20시경]

 

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스(택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란

한국 인터넷 위협(요약) - 5월 1주차

 

발행일: 2014년 5월 07일

한국인터넷 위협 수준: 경고

 

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스들에 대한 관찰을 요약한 내용이다. 지난주에 이어 신규 악성코드의 파급력은 지속적으로 상승하고 있으며 공격 방식도 다변화되고 있어 금주에도 '경고' 등급으로 계속 유지한다.

 

주요 특징(Main Features)

  • 신규 경유지, 파급력 증가 – 특정 IP 대역을 이용한 악성링크 활동
  • 파밍 공격과 함께 모바일 OS를 노리는 공격 증가
  • 금융 – 가짜 모바일 웹 페이지를 이용하는 악성 링크 출현
  • 금융 – 파밍 공격에서 이용되는 C&C 서버에 대한 공인인증서 1만여건(국내기관제공 및 언론기사화)
  • XX제약 – 인트라넷 사이트

주간 동향(Weekly Trend)

[표 1. 5월 1주차 한국 인터넷 위협지수]

5월 1주차 현재 신규 공격코드가 삽입된 악성링크의 활동은 줄어들고 있지만 파급력은 여전히 증가하고 있다. 지속적으로 파급력이 증가하는 이유는 지난주와 마찬가지로 악성링크가 영향력 있는 사이트에서의 유포가 이루지고 있기 때문이다. 금주 대부분 카이홍 공격킷을 사용한 공격이 증가한 가운데 그 동안 등장하지 않았던 IP 대역폭을 이용한 공격이 다시 등장하여 위협을 주었으며, 지속적으로 IP를 변경하여 차단 장비의 탐지를 회피하는 모습도 발견되었다. 최종 바이너리는 대부분 파밍 악성코드로 확인되었으며 이 과정에서 감염된 사용자의 실제 금융정보가 공격자 서버에 대규모 저장되어 있는 것을 확인하였다. 본 내용은 대응 이후에 추가 기사로 작성될 예정이다.

[표 2. 5월 1주차 시간대별 통계]

시간대별 통계를 살펴보면 악성링크의 활동 주기가 점점 짧아졌음을 알 수 있으며 유포되는 시간 역시 주말과 평일을 구분하지 않고 골고루 나타났다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

4월 1주차부터 5월 1주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 109건(28.7%)으로 지난주와 비슷하였으며, 미국이 173건(45.5%), 독일이 27건(7.1%), 스페인이 16건(4.2%), 홍콩이 12건(3.2%), 이탈리아가 7건(1.8%), 네덜란드가 5건(1.3%), 폴란드가 5건(1.3%), 아르헨티나 4건(1.1%), 기타가 22건(5.8%) 등으로 나타났다. 스팸메일 발송 용도의 레드킷 유형도 국내.외를 걸쳐 대규모로 발생 하였으나, 위협의 정확한 전달을 위해 통계 수치에서는 배제하였다.

주간 이슈(Weekly Issue)

[그림 1. 플라워365를 이용한 악성링크의 활동 – 2014년 4월 ~ 현재까지]

지난 4월 20일 꽃배달 전문 사이트인 플라워365가 악성코드를 감염시킬 수 있는 통로로 활용되었던 정황이 최초 탐지된 이 후 현재까지도 사이트 내부의 문제점이 수정되지 않은 상태이며, 더욱 우려되는 사항은 플라워365를 통한 직접적인 공격코드 유포 이외에도 또 다른 악성링크로 연결하는 경유지로 이용당하였다는 점이다. 게다가, 특정 시간대에는 다단계 유포망인 MalwareNet과도 결합되는 모습도 나타나는 형태를 보이고 있어 심각성이 매우 높다. 특히, 금주 차에는 일부 파일공유(P2P) 사이트를 중심으로 집중적인 유포 활동을 보였지만, 대응이 부족하였으며, 이로 인해 주말 동안의 파일 공유 사이트에 접속한 인터넷 이용자들은 악성코드에 감염될 가능성이 높았을 것으로 추정된다.

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스(택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란

폐쇄망.. 헐..
접점 관리가 안되면 폐쇄망은 의미가 없다. 이미 오래 전 지적한 문제들인데.. 결국엔 이런 일들이?

망분리 하면 안전하다고 하는 인간들이 대체 누구인가?

 

http://p4ssion.com/157

http://p4ssion.com/20

http://p4ssion.com/84

http://p4ssion.com/128

http://www.dailysecu.com/news_view.php?article_id=4123

 

 

7중 방화벽으로 분리 되어 있다고? 개가 웃을 일이다.

 

모름지기 보안이란.. 할 수 있는 많은 부분들을 모두 해 놓은 상태에서 . 외부 접점에 대한 상시 관리, 접근제어등을 타이트 하게 해야 한다. 그 이후에도 만약을 대비해 보호 방안을 마련해야 하며, 실제 사고가 발생 했을 경우에는 유 경험자들을 이용하여 신속하고 과감한 대책들이 즉시 적용 되어야만 해결이 된다. 

이게 기본이다.

 

이런 국가 기간망에 해당하는 시설들이 외부에서 해킹을 당하고, 장악 당하는 상황은 매우 우려스러운 상황이다. 

 

 이번 세월호 대참극에서도 확인된 국가의 역량은 실제화된 전력을 투입함에도 비극적인 결과가 나왔는데, 보이지 않는 사이버 보안은 어떨까?

장부상으로만 존재하고, 매뉴얼 상으로만 완벽한 기능을 가진 장비들..

이건 재앙이다.

 

그리고 이런 문제를 숨기고, 회피하려한 책임은 매우 무겁다고 할 수 있다.
매우 쳐야만 할 것이다.

 

 

http://honam.newsway.kr/news/articleView.html?idxno=6368

 

 

(무안=뉴스웨이 호남취재본부 신영삼 기자)전남 진도 연안해상교통관제(VTS)센터의 레이더 기능 마비 원인이 외부 해킹에 의한 것일 가능성이 제기돼 충격을 주고 있다.

   
▲ 지난해부터 공식 운영에 들어간 진도 VTS센터(자료사진=서해지방해양경찰청 제공)
뿐만 아니라 시설 관할청인 서해지방해양경찰청은 단순한 부품 파손에 따른 고장이라고 주장하고 있어, 사건을 의도적으로 축소·은폐하려 한다는 의혹까지 일고 있다.

진도VTS센터의 기능마비에 대해 일부 전문가들은 ‘외부침입에 의한 해킹’이라는 주장을 제기하고 있으며, 해양경찰청에서도 이 부분에 대한 가능성을 열어두고 이미 관련 자료까지 확보한 것으로 확인됐다.

이 분야의 한 전문가는 <뉴스웨이>와의 인터뷰를 통해 해경이 하조도 레이더의 고장 원인이라고 주장하는 ‘도파관’은 안테나와 송수신기를 연결하는 4각의 연결케이블로, 주로 미국에서 생산해 수입에 의존하고 있으나, 절단될 경우 일반 절연테이프로 연결해도 임시 사용에는 지장이 없다고 주장했다.

결국 복구에 오랜 시간이 필요하지 않다는 것이지만, 하조도 레이더는 고장에서 복구까지 20여일이 소요된 것으로 미루어 해경의 ‘부품고장’이라는 주장을 믿을 수 없다는 지적이다.

또, 도초도 레이더의 고장 원인이라고 주장하는 마이크로웨이브 안테나 혼(M/W horn, 규격 PARABOLIC 8 GHz)의 경우, 도서에 설치된 레이더와 센터간의 무선통신 부품으로 이미 국산화 돼 있어 수급에 오랜 시간이 걸리지 않는다고 지적했다. 수리에 오랜 시간이 필요치 않다는 이야기다.

특히, 마이크로웨이브안테나 혼의 고장으로 통신이 두절돼 있던 도초도 레이더만 해킹이 의심되는 3월 22일 밤 외부접촉이 없었던 것으로 알려져, 지난달부터 시작된 진도VTS센터의 기능 마비가 외부 해킹에 의한 것이라는 주장에 무게가 실리고 있다.

뿐만 아니라 해양경찰청 관계자 역시 진도VTS센터가 기능 이상을 일으킨 시간대에 전산망을 통해 외부에서 접속한 흔적을 확인 했으며, 당시의 로그파일을 복사해 확보했다고 밝혔다.

또, 접속서버 주소가 인근 완도VTS센터의 IP라며, “완도서버에서 접속했는지, 아니면 외부에서 완도 서버를 경유했는지는 수사 중이라 밝힐 수 없다”고 말했다.

그러나 “조만간 만족할 만한 내용이 있을 것”이라고 말하고, ‘만족할 만한 것’에 대해 “외부침입과 관련해 만족할 만한 정확한 내용일 수도 있고, 아닐 수도 있다”며, 한 발 물러섰으나, 여전히 ‘해킹’ 가능성을 무게 있게 전망했다.

한편, 진도VTS센터의 레이더망이 이상을 보인 지난 3월 22일 밤 8시께를 전후해 인근 완도VTS센터의 서버를 이용, 가사도와 서거차도, 어란진, 하조도 시스템에 외부 침입 흔적이 남아있는 것으로 알려졌다.

해경이 확보한 이 자료에는 접속 서버로 이용된 완도VTS센터의 IP주소인 ‘172.16.3.13 VOC_WD02’와 접속 후 실행한 작업이 시간대별로 모두 기록돼 있으며, 외부접속자가 실행한 작업이 레이더의 실질적 기능인 목표물의 추적과 정보 생성 등의 역할을 하는 핵심프로그램을 삭제 ‘VET'기능을 마비시킨 것으로 알려졌다.

수사 결과가 아직 공개되지 않았으나, 결과가 외부 해킹에 의한 것으로 밝혀질 경우 해킹 배후는 물론, 국가의 중요 기간망을 해커에게 손쉽게 내어준 해경의 허술한 보안관리가 도마에 오를 것으로 보인다.

한편, 해상교통관제(Vessel Traffic Service)센터는 입·출항 선박 및 운항선박에 대한 해상교통상황 파악, 항로이탈이나 위험구역 접근, 충돌위험 등 해양사고를 예방하기 위한 선박교통관제, 선박운항현황 및 도선 예인선 운항계획 등 해상교통정보와 항만시설, 정박지 등 항만운영정보제공, 조류·조석·해상기상 등 선박 안전운항을 위한 항행안전정보 제공, 해양사고 및 비상상황 발생시 신속한 초동조치 및 전파를 위한 종합 관제센터다.

지난해 7월 15일부로 해양항만청으로부터 이관 받아 서해지방해경청이 운영하고 있는 진도VTS센터가 관할하는 해역은 도초도, 대흑산도, 추자군도, 어란진을 연결한 내측으로 진도 서망항 기점 반경 63㎞ 해역이며, 서남해의 뱃길 요충지로 면적은 제주도 면적의 2.2배인 3800㎢에 달한다.

/신영삼 기자

Posted by 바다란

 

금일 4.16일은 4월 3주차 정보제공 서비스가 발행 되는 날입니다. 블로그에 공개는 비정기적으로 진행되니 참고 하십시요.

주간 동향 요약의 신청은 info@bitscan.co.kr 로 하실 수 있으며, 무료입니다. 또한 정보제공서비스와 결합된 비트얼럿 서비스에 대해서도 관심을 부탁 드립니다.

 

한국 인터넷 위협(요약) - 4월 2주차

 

발행일: 2014년 4월 9일

한국인터넷 위협 수준: 주의

 

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS (Pre-Crime Detect Satellite)를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스들에 대한 관찰을 요약한 내용입니다. 금 주에는 일시적으로 위협이 소강 상태를 유지하고 있는 것으로 판단되어 지난 주와 동일하게 '주의' 등급을 유지하고 있으며, 주요 특징은 다음과 같습니다.

 

주요 특징(Main Features)

• 전체 발견된 유포지 증가 – 레드킷의 특정 시간 집중적인 유포(3주째 지속)

• 신규 경유지, 파급력 감소 – 지난주보다 더 낮은 수치

• 신규 악성코드 유포지 출현 – 모두투어(쇼핑몰), 점포라인

 

주간 동향(Weekly Trend)

[표 1. 4월 2주차 한국 인터넷 위협지수]

4월 2주 전체 발견된 악성코드는 레드킷의 특정 시간 집중적인 유포에 따라 수치가 급증하는 모습을 보였으며, 대부분 해외도메인을 통해 출현하였다. 특히, 일부 레드킷 중에서는 이전 형태와 다른 형태의 악성 자바스크립트가 발견되어 주의가 필요한 상황이다. 반면, 국내에 직접적인 영향을 주는 공다팩과 카이홍과 같은 공격 이슈는 거의 발생하지 않는 모습을 보였다. 하지만, 그동안 악성코드가 주기적인 위협을 가한 상태였으며, 금주에 수치가 낮아졌다 하더라도 안심하기는 이르다고 볼 수 있다. 특히, 현재도 악성링크의 공격코드는 빠져있는 상태에서 카운터 코드만 삽입된 사이트가 많이 존재하고 있는 상황이다. 금주 위협은 일시적으로 줄어들었으나 통로가 확보되어 있는 상태가 지속되고 레드킷 또한 변형의 움직임이 나타날 수 있어 한국 인터넷 위협 수준을 "주의" 단계로 유지한다.

[표 2. 4월 2주차 시간대별 통계]

4월 2주 시간대별 통계를 살펴보면 지난주와 달리 특별한 유포현상은 나타나지 않았다. 그 동안 주말을 이용하여 집중된 악성링크의 공격은 금주 소강상태를 보였다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

3월 1주차부터 4월 2주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 152건(15.8%)으로 지난주와 비해 감소하였으며, 미국이 419건(43.6%), 독일이 161건(16.8%), 스페인이 36건(3.8%), 영국이 27건(2.8%), 러시아가 21건(2.2%), 이탈리아가 21건(2.2%), 폴란드가 15건(1.6%), 덴마크가 14건(1.5%), 네덜란드가 14건(1.5%), 일본이 14건(1.5%), 아르헨티나가 13건(1.4%), 기타가 53건(5.3%) 등으로 나타났다.

주간 이슈(Weekly Issue)

[그림 1. 점포라인을 통한 악성코드 유포 – 4/2]

4월 1주 국내를 통한 악성코드의 공격은 한층 감소한 모습을 보인 가운데 일부 유포된 악성코드는 영향력 있는 몇몇 사이트를 통해 유포되었다. 특히, 월요일 이후 토요일에 소규모로 등장한 악성코드 가운데서는 모두투어에 관련된 쇼핑몰도 포함되어 있었으며 또한, 점포거래소인 점포라인을 통해서도 같은 악성코드가 유포되었다. 특히, 점포라인과 같이 거래가 활발히 이루어지는 상황을 보았을 때 악성코드 유포와 동시에 내부 DB까지 유출될 우려가 있는 상황이다. 최근 공격자는 학원부터 언론, 부동산, 여행사 등 취약한 사이트라면 어느 곳이든 노려 악성코드를 유포하는 상황이 지속되고 있는 만큼 각별한 대비가 필요한 상황이다.

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스(택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 ( 엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란

미국시간으로 2014.4.7일 OpenSSL HeartBeat 취약성에 대한 발표가 있었습니다. 또한 패치도 있었으나 문제의 심각성과 여파에 대해서 제대로 인지를 못하는 것 같아서 facebook 에 올렸던 내용을 묶어서 하나의 단락으로 올립니다.


취약성 개요:

https://www.openssl.org/news/secadv_20140407.txt

OpenSSL Security Advisory [07 Apr 2014]
========================================

TLS heartbeat read overrun (CVE-2014-0160)
==========================================

A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for
preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS

 

입력값에 대한 경계체크가 안된 관계로 연결된 클라이언트나 서버에 대해 64k에 해당하는 메모리 값을 계속 읽어 올 수 있다는 부분입니다. 이 문제만 보았을때는 특별한 이슈가 없을 수 있으나,이 취약성이 네트워크에서의 암호화 전송 상당부분을 담당하는 OpenSSL에서 발생된 문제라는 점에서는 심각한 문제가 발생 될 수 있습니다. Private key가 노출 될 수 있기 때문이죠. 이 문제의 심각성은 다음 예시로 대체.


왜 치명적인 문제인가?

 

애플이 인증서가 있죠? https 라고 뜨잖아요.

애플은 Private Key를 가지고 있고 사용자가 웹서비스 접속시 Public key를 받습니다.

그리고 사용자가 통신을 할때 Public key를 가지고 암호화를 해서 애플로 전달하면 애플은 자신이 가진 Private key를 가지고 복호화를 하게 되죠. 이게 초기의 키 교환 부분인데..

 

기업의 웹서버에서 인증서를 발급 받아 이용한다는다는 것은 각 인증서 마다의 Private , Public 키 세트를 가진다는 거죠.

  

여기에서 가장 중요하게 지켜야 할 것이 Private 키입니다 이게 만능열쇠 이니까... 그러나 OpenSSL 취약성을 이용하여 메모리 정보를 계속 읽어오게 되면 결국에는 Private 키 정보까지도 알아낼 수 있다는 거죠. 그렇게 되면 애플로 접속하는 모든 암호화된 통신들을 열 수 있는 열쇠가 되는거죠.

 

그냥 암호화가 아니고 평문으로 볼 수 있는 상태라고 해야 하나?

 

이런게 전 세계의 66% (Apache + Nginx 사용비율) 서비스에서 가능성이 있다고 생각해 보세요. 그리고 이름만 대면 아는 대부분의 유명 서비스들에서 발생 될 수 있다면 이건 .심하게 말하면. 재앙이죠.

 

개인의 정보라는게 암호로 지켜지지 않으니..

문제는 웹서비스뿐 아니라 이메일, VPN 등등 모든 부분에 이용 비율이 높다는 점!

 

* 전 세계 웹서비스에서 차지하는 비율은 다음링크 참고 : http://news.netcraft.com/archives/2014/04/02/april-2014-web-server-survey.html 



문제는 심각성을 제대로 인지하지 못하고 있다는 점이라 할 수 있겠죠. 또한 패치가 나와서 문제가 없다는 측면은 다릅니다. 사실 이 취약성이 몇년전 부터 알려져왔고 한국시간으로 4.8일에 공개되었다는 점을 본다면 그 이전의 영향력은 비교하기가 힘들 것으로 보입니다. 패치의 문제를 벗어나는 순간이 되겠죠.

 

"신속히 패치가 나온다 하여도 전체 서비스에 적용하는 것은 신속하게 되기가 어렵습니다. 연결된 구조와 의존 관계등을 면밀히 고려하지 않으면 또 다른 장애와 직결되는 문제들이 있을 수 있거든요.

  

단일 서비스의 경우에는 바로 해결 할 수 있으나 연결된 서비스나 연동 서비스가 많을 경우는 패치 적용 부터가 난감한 이야기죠. 게다가 서비스 중지도 해야 하는 것이구요.

 

취약점은 이번에 공개가 된 것뿐이지만 만약 공개 되지 않았다면? 이런 전제를 하면 문제는 상당히 심각해 집니다. 이런 유형들이 얼마나 많을지는 생각하기도 어려운 상황이구요.

  

현실의 위험은 상당히 큰 수준으로 존재하고 있고 사용자 PC 단위 이외에도 서비스 영역에서도 언제든 문제가 발생될 수밖에 없는 부분이라는 것을 보았을때는 전체 구조는 다른 방향으로 변화해야겠죠."

 

 

Private Key 노출 가능성 확인된 이후 바로 작성한 글은 다음과 같습니다.

 

XP 종료 따위가 문제가 아니라, 전체 암호화 트래픽을 스노든이 NSA 평문 접속하듯이 할 수 있는 OpenSSL 취약성이 진짜 긴급 대응을 해야 하는 것 아닌가? 이건 지금 당장 발생 되고 있는 긴급한 이슈인데~ 그것도 거의 모든 트래픽들 다수가 영향을 받는데.


최근 PoC 코드들까지 모두 양산된 모양 .
OpenSSL 의 heartbeat bound check 미비로 인해 64k 분량의 정보들이 덤프로 채워져서 마구 노출된다는 이야기. 암호화 되어야 하는 서버와 클라이언트간의 통신이 그대로 풀린 상태로 노출된다는 것. 영향 받는 곳들 매우 많을 곳으로 예상됨.


64K 정보 내에서 Private key를 뽑아 내면 암호화는 그대로 풀려지는 것이고 , 아니라면 정보를 64k 씩만 계속 뽑아내도록 하면 필요한 정보들은 계속 받을 수 있는 것들이고~~ 오래갈 문제.


서비스 운영 중인 곳들이 대부분인데, 중단하고 해야 할 텐데.. 시간은 오래 걸릴 것이고 그러다 보면 정보노출 범위는 계속해서 확대될 것으로 보임. ( 컴파일해서 언제 라이브러리 적용 하노? 이건 정말 몇 년에 한번 할까 말까 한 일을 며칠 사이에 다 해야 하는 상황인 듯 ) 어떻게 보면 오래된 OpenSSL 버젼은 괜찮다고 하는데 라이브러리 구성에 따라서 다른 것들 이다보니~~ 답은 없다. 확인 해 보는 것이 필요!


상업용 서비스나 OpenSSL 이용해서 SSL이나 TLS 암호화 구성하는 라이브러리 이용하는 모든 곳들은 점검이 필요함.


저기 금융권이나 통신 , 메시지 , SNS 업체들 모두가 필요할 듯.

* 어디 있더라? OTP 에 SSL만 쓰면 안전하다는 분들은?

상세 취약성 관련 내용

http://heartbleed.com/

아래는 보안권고문 - Dependency 관계로 업그레이드 여의치 않으면 핫빗 안 쓰도록 옵션 주고 다시 컴파일 하랍니다. 허허 이 이야기는 서비스 중지 시키란 이야기죠.
https://www.openssl.org/news/secadv_20140407.txt


*참고로 SSL + OTP 로 개인에게 설치되는 공인 인증서를 대체 할 수 있다는 Opennet의 경우에도 웹서비스의 인증서에서 핵심인  Private Key 유출 가능성을 가지고 있었습니다.

 

 

 

결론:

 

결론에 대한 내용과 제 생각은 올린 글로 대체 합니다.

 

 

냉정하게.. OpenSSL Heartbeat 을 이용한 Private key 유출 가능성이 가지는 심각한 문제성에 대해 모른다면 ..어디 가서 해킹이네, 보안이네 안다고 하지 마라.! 전문가라고도 하지 말고.. (기술적 보안 분야에서 )


그리고 어제 밤에 단순 패치 인줄 알다가, 내용 확인하고 진땀이 흘러서 급하게 썼는데 .. 참나~ 자격증도 없지만 씨사나 씨습 자격증이나 학원에서 공부한 학생들도 Private key (이건 개인이 가지는게 아님) 가 유출되면 어떤 문제가 발생될 지는 알겠다.


생각들 해야 할 듯. 전 세계 66% 이상의 서비스들에 대해서 투명창으로 내부를 다 들여다 볼 수 있는 ..집집마다의 열쇠들을 도둑이 모두 가질 수 있다는 가능성을.. 이미 가졌을 수도 있고~


보안서버? 암호화? - 이런 건 기업에서는 어쩔 수 없이 당할 수 밖에 없다. 그러나 체계가 잡힌 조직이라면 영향력 파악 , 대응 절차, 실행 , 관찰 프로세스로 나간다. 그냥 대충 땜빵들 하고 업데이트 했으니 끝났을꺼라고 하지만 취약성은 이미 몇 년전에 나온 거구.. 공개만 어제 된 것일뿐. 그 사이 뭔 일이 있었을까?


해킹 ? 보안? 전문가? 헐..


파급력은 커녕 위험성 평가도 제대로 안되는 판국에 무슨 대응이란 말인가? 사안이 인지도 안되면 그 다음은 없는 거나 마찬가지다.


국가는 떠나서 일개 기업이나 단체에서라도 파급력과 영향력을 파악하고 대응방안과 신속한 실행을 해야 하는데 그걸 누가 해야 하는가? 기업내에서도 "현재 운영 중인 서비스 잠시 중단 해야 합니다" 라고 말도 못 꺼내는 입지라면 하나 마나다.


진짜 전문가와 전략가는 이 순간에 경영을 위협하는 심각한 리스크를 인지해야만 한다. 그리고 결단을 하고 실행을 해야 한다. 근데 우리나라에 있는 CIO나 CSO , CISO 분들 중에 이럴 분들이 있을까?

답은 잘 아실 듯.



*참고로 우리는 이런 심각한 상황을 맞이 했음에도 불구하고 XP 종료 대응이라는 이벤트만 했을 뿐이다.


- 바다란

 

===== 추가 ====== 

대응:

 

단순 패치  참고   - http://yisangwook.tumblr.com/post/82056087918/openssl-heartbeat-heartbleed 

 

기업이나 서비스의 상황을 살펴 보면 단순한 패치로 문제가 해결되기 어렵습니다.  1차적으로 SSL 이용하는 부분에서 OpenSSL 사용유무 확인 및 패치는 기본 적용

 

1. SSL 버젼 확인 - 패치 적용 , 기본

 

2. 업그레이드 불가한 곳은 OpenSSL 연결 패키지 Heartbeat 옵션 제거후 재컴파일 및 사용

 

3. 대외 서비스의 경우 ( 중요도가 높거나 사용자가 많은 곳) 서비스 SSL 인증서 재발행 필요

 

4. 전체 IP 대역에서의 443 포트 활용 및 SSL 활용 유무 체크

  - SSL Heartbeat 취약성을 이용해 메모리 값을 불러 올 수 있는 진단 프로그램 전체 활용

 

5. 보안 제품 , VPN , 메일 등등 모든 제품에서의 SSL 옵션 사용하는 곳들도 동일하게 확인

 

* 이 과정에서 서비스들이나 네트워크들의 간헐적인 중단이 될 것입니다. 또한 보안 장비들도 거의 모든 장비들이 SSL 지원을 하고 있으니 그 부분들도 모두 체크를 해 보셔야 됩니다.

 

*서버의 메모리 값을 읽어 간다는 것은 메모리내에 풀려진 모든 값들을 어떻게든 가져갈 수 있다는 것이 됩니다. 그래서 가장 우려하는 Private key도 유출될 가능성이 높다는 것이죠.  현재는 취약한 서비스들 ( 생각보다 휠씬 더 많습니다. )에서는 세션정보 , 평문으로된 ID/Password 연결 정보등이 노출이 되고 있는 상황임을 염두에 두세요.    

현재 상황은 private key 유출은 확인 되지 않았으나 정보들은 유출 되고 있는 상황입니다. 또한 로그들도 안 남는 상태라 문제는 심각하죠.

 [Mark Loman (@markloman)] Do not login to Yahoo! The OpenSSL bug 'heartbleed' allows extraction of usernames and plain passwords!

사진: [Mark Loman (@markloman)] Do not login to Yahoo! The OpenSSL bug 'heartbleed' allows extraction of usernames and plain passwords!

Posted by 바다란

한국 인터넷 위협(요약) - 4월 1주차

 

발행일: 2014년 4월 2일

한국인터넷 위협 수준: 주의

 

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS (Pre-Crime Detect Satellite)를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스들에 대한 관찰을 요약한 내용입니다. 현재 인터넷 위협 수준은 '주의'로 지난 주 "경고"보다 한 단계 하향조정 하였으며, 주요 특징은 다음과 같습니다.

 

주요 특징(Main Features)

• 신규 경유지, 파급력 감소 – 악성코드의 제한적인 범위 활동

• 악성코드 유포지로 지속적인 이용 – 베가디스크

• 신규 악성코드 유포지 출현 – 박문각, 고도몰 등등

• 악성코드의 특정 시간 때의 활동 – 3주 연속 주말의 집중적인 유포

주간 동향(Weekly Trend)

[표 1. 4월 1주차 한국 인터넷 위협지수]

4월 1주 전체 발견된 유포지는 지난주에 비해 증가하였지만, 신규 경유지 및 파급력은 감소하는 모습이 나타났다. 감소한 이유로는 레드킷의 활동이 특정한 시간대에 몰림과 동시에 직접적인 영향을 주는 악성코드 유포 줄어들었기 때문이다. 금주 역시 파일공유(P2P) 사이트를 통한 악성코드 유포는 지속되었으며 새롭게 특정 쇼핑몰과 학원사이트를 중심으로 악성코드가 유포되는 현상이 발생하였다. 하지만, 지난주에 등장하였던 모바일 악성코드를 동시에 유포하는 형태는 등장하지 않았지만, 새로운 취약점이나 공격 기법을 탑재하여 다시 등장 할 우려가 있는 만큼 지속적인 관찰이 필요하다. 참고로, 한국 인터넷 위협지수를 "경고" 단계로 한 단계 하향 조정하였지만, 악성코드 유포의 움직임이 언제든 다시 활발해질 수 있어 예의주시하고 있는 상황이다.

[표 2. 4월 1주차 시간대별 통계]

3월 3주부터 시간별 통계를 확인해보면 주말을 이용한 악성코드 유포의 움직임이 지속되고 있는 상황이다. 4월 1주, 역시 금요일 오후 ∽ 토요일 오전까지 가장 많은 유포 빈도수를 보였으며 지속적으로 취약한 시간 때인 주말을 이용하고 있는 상황이다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

2월 4주차부터 4월 1주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 194건(17.3%)으로 지난주와 감소 하였으며, 미국이 472건(42.1%), 독일이 171건(15.3%), 스페인이 46건(4.1%), 이탈리아가 33건(2.9%), 영국이 31건(2.8%), 러시아가 23건(2.1%), 브라질이 21건(1.9%), 네덜란드가 18건(1.6%), 폴란드가 16건(1.4%), 일본이 15건(1.3%), 덴마크가 14건(1.3%), 아르헨티나가 13건(1.2%), 기타 53건(4.8%) 등으로 나타났다.

 

주간 이슈(Weekly Issue)

[그림 1. 박문각 학원을 통한 악성코드 유포 – 3/30]

 

최근 공격자는 언론/방송사와 같은 많은 사람들이 접속하는 사이트에 악성코드를 유포하는 모습이 자주 관찰되고 있는 가운데 학원사이트도 빼놓을 수 없는 유포지 중 하나이다. 대표적으로 최근에는 해커스와 이익훈어학원이 악성코드를 유포한데 이어 금주에는 박문각 학원사이트를 중심으로 악성코드가 유포되는 정황이 포착되었다. 악성코드 유포에 이용된 사이트는 박문각 중개사학원을 비롯하여 출판, 임용고시, 스파에듀까지 서비스를 하는 모든 페이지에서 유포되었다. 곧 상반기 공채시즌이 돌아오면 학원 수강생들이 더욱 몰릴 것으로 보이는 만큼 대비가 필요한 상황이다.

 

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스(택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 ( 엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

한국 인터넷 위협(요약) - 3월 4주차

 

발행일: 2014년 3월 26일

한국인터넷 위협 수준: 경고

 

인터넷 위협 수준은 빛스캔㈜에서 운영하는 PCDS (Pre-Crime Detect Satellite)를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스들에 대한 관찰을 요약한 내용입니다. 현재 인터넷 위협 수준은 '경고'로 지난 주와 동일하게 유지하고 있으며, 주요 특징은 다음과 같습니다.

 

주요 특징(Main Features)

• 신규 경유지, 파급력 동일 – 레드킷의 활발한 움직임이 있지만, 영향력은 미미함

• 악성코드 유포지로 지속적인 이용 – 베가디스크, 더존비즈아카데미, DVD 프라임 등등

• 안드로이드 감염 및 공격자 서버로 정보 전송 확인 – 추가 분석 중

• 신규 악성코드 유포지 출현 – 락앤락, 컨슈머뉴스 등등

• 광고 배너를 통한 악성코드 대량 유포 – 올블렛, 메크로스

주간 동향(Weekly Trend)

[표 1. 3월 4주차 한국 인터넷 위협지수]

3월 4주 전체 발견된 유포지는 지난주에 비해 약간 상승하였으며 신규 경유지는 다시 활발해진 레드킷의 활동과 공다팩과 카이홍의 유포가 활발한 결과 대폭 증가하는 모습을 보였다. 신규 공격코드의 파급력은 지난주와 동일하였으며, 레드킷의 활동은 활발했지만, 국내에 직접적인 영향을 주지는 못하였다. 또한, 지난 주에 사전 징후를 보인 안드로이드 OS를 타겟으로 하는 모바일 악성코드는 금주에 직접적인 감염이 이루어지는 것을 확인하였으며 사용자 정보가 공격자 서버로 넘어가는 정황도 포착하였다. 또한, 광고 호스팅 업체 배너광고 영역을 통해서도 악성코드 유포가 있었던 결과, 블로그 등 전체 범위를 파악할 수 없을 정도로 유포가 되어 더욱 심각한 상황이 지속되었다.

[표 2. 3월 4주차 시간대별 통계]

시간대 별 통계를 살펴보면 최근 일부 특정 시간에 한하여 집중적으로 유포를 하는 경향이 나타나고 있다. 금주 역시 주말 시간을 이용해서 활발한 활동이 나타났으며 특히, 금요일을 기점으로 일요일까지 집중적으로 악성코드가 유포되는 현상이 나타났다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

2월 3주차부터 3월 4주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 207건(18.2%)으로 지난주와 소폭 감소하였으며, 미국이 457건(40.2%), 독일이 178건(15.7%), 이탈리아가 42건(3.7%), 스페인이 34건(3.0%), 영국이 30건(2.6%), 네덜란드가 22건(1.9%), 러시아가 21건(1.8%), 브라질이 19건(1.7%), 덴마크가 18건(1.7%), 폴란드가 17건(1.5%), 일본이 16건(1.4%), 아르헨티나가 13건(1.1%), 기타가 62건(5.6%) 등으로 나타났다.

 

주간 이슈(Weekly Issue)

[그림 1. 안드로이드 악성코드에 감염된 사용자의 문자 메시지가 공격자의 서버로 전송된 내역 – 3/22]

 

지난주에 공다팩과 함께 삽입된 안드로이드 OS를 타겟으로 한 악성코드의 최초 등장을 언급한 적이 있다. 당시에는 단시간 공격코드가 삽입된 정황으로 보았을 때 사전 테스트 징후라고 판단하였으며 얼마 지나지 않아 다시 활동할 것으로 예상한 바 있다. 그로부터 얼마 지나지 않아 공다팩을 통해 삽입된 안드로이드 악성코드는 주말을 통해 다시 활동을 하기 시작하였으며 처음 등장과 달리 모바일 사이트에서도 동시에 유포하였다. 모바일 페이지를 통해 유포된 안드로이드 파일 분석 결과 사용자의 정보를 공격자 서버로 전송하는 동작이 발견되었으며 실제적으로 접속하여 확인한 결과 문자메세지, 금융계좌 등이 공격자로 추정되는 관리자의 웹서버로 수집되고 있었다.

 

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스( 택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 ( 엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란
TAG 빛스캔

 

"유선 웹에서만 발생되던 대량 감염 시도가 모바일 분야로 확장을 하고 있다. 이제 모바일 좀비폰도 출현 할 것이다."

 

PCDS: 한국 인터넷 위협을 모니터링 하는 사전위협 탐지 체계

 

 

 

 

 

 

 

 

 

 

[그림 1. PCDS 체계 요약도]

 

  • 유포지(웹사이트): 웹사이트 내에 경유지가 삽입되어 방문만으로도 실제 감염이 일어날 수 있는 곳
  • 경유지(악성링크): 악성링크를 통해 감염시키는 통로로, multi-stage 및 single로 이루어진 비정상 링크
  • 경유지(공격코드): 경유지(악성링크)내에 공격코드를 삽입시켜 일반사용자 PC의 다양한 애플리케이션 취약점을 공격한다. 공격 성공 시에는 악성파일이 실행되어 PC를 감염시키고, 경우에 따라 C&C 서버로 연결된다.

 

웹은 웹이다.

모바일이든 유선이든 웹은 그냥 웹이다.
한국 내에 스마트폰 사용자 90% 이상이 안드로이드 ( 그냥 애플 빼고 전부) 사용자인데 ..지금까지 모바일에선 스미싱 정도가 전체의 위협으로 알려 져왔다.

지난 주부터 탐지 되는 악성링크에는 이제 유선 ( Java 7 , IE 1 , Flash 1) 접속 시에 공격이 발생되는 이외에도 안드로이드를 겨냥한 apk 세트까지 장착.

 

[그림 2. 2014년 3월13일 발견된 유.무선 공격 세트]

[그림 3. 2014년 3월13일 발견된 유.무선 공격 세트- apk 파일 내용]


앞으로 변화가 많을 것이다.

모바일에도 이제 스미싱만 막다가..모바일 웹도 보안 위험성에 대해 선별해야 하는 상황이고, 유선은 이미 자체적으로 하기에는 놓은 상황이 아니던가?

   

   


웹은 웹이다.

변화는 극적이게 것이다.

우선 모바일 뱅킹 금융 정보 결제 피해를 강요하는 모바일 악성코드는 스마트폰으로 웹서핑 하는 순간에도 설치 된다. 결국은 스미싱이 문제가 아니라 이젠 모바일 웹까지도 영향권에 직접 들어간다는 이야기. 모바일 바라보던 세계 보안 기업이나 국내 서비스 기업들 찌게 되는 것은 순식간이다.

유선 인터넷은 그냥 말을 말자.

모바일 부분에서 통신사는 이제 직접적인 영향을 받을 것임 . 경우에 따라 모바일 관련된 DHCP 서버나 DNS 서버등이 금융정보 탈취 이외에도 직접적인 공격의 대상이 있다. 통제 범위가 이젠 인터넷 웹서비스 전반을 봐야만 하는 상황
그리고 모바일 뱅킹은 어쩔 것인가? ..

이럴 때가 것을 알고서 구글이 준비한 Stopbadware 디비가 안드로이드 이외에도 크롬 브라우저에 모두 탑재 되어 있지만 항상 말하듯이 뒷북 이다. 그리고 이걸 쓰려면 제조사든 통신사든 천문학적인 비용을 내야 수도 있다. 그들이 이럴 쓰려고 준비해 비장의 무기가 아니던가?

 

 


[그림 4. 구글의 악성링크 DB - Stopbadware]


구글은 2006년부터 준비했는데 생각이나 하고, 노력한 곳은 있는가? 아님 대항할 무기라도 대비해 곳이나 있는가? 없을 꺼다. 기술로 뛰어난 설계로 커버 있는 범위는 한참 전에 끝났다. 모든 것은 변화되는 위협을 관찰하고 실시간으로 갱신 되는 데이터베이스가 있는 가에 의해서 판가름 것이다


 

[그림 5. 구글의 Stopbadware 기반 Chrome 차단 화면 – 모바일에서는 언제쯤?]

 


멀리 바라보지 못하고, 준비하지 못했다면 사뭇 운명은 빠른 속도로 처참해 진다. (* 그렇게 노래 부르던 LTE 처참의 현실화)
이건 .무선을 망라한 몬스터 툴킷의 출현으로 더욱 가속화 되게 된다.
그대로 LTE 급과 광대역으로 열려진 통로로 매우 빠르게 확산되고 지속될 것이다. 피해는 전체에 영향을 미친다.

결국 도망만 다니고 편한 길만 찾아 다니다 막다른 절벽에 몰린 상황
아무도 구해 주지 않는다. !

이야기는 아주 빠르게 현실화 것이다. 당장 영향은 상반기에도 직접 느낄 있을 것이다. 그게 바로 선진국(?) 위대함이다.

Posted by 바다란

한국 인터넷 위협(요약) - 3월 3주차

 

발행일: 2014년 3월 19일

한국인터넷 위협 수준: 경고

 

인터넷 위협 수준은 빛스캔㈜에서 운영하는 PCDS (Pre-Crime Detect Satellite)를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스들에 대한 관찰을 요약한 내용입니다. 현재 인터넷 위협 수준은 '경고'로 지난 주와 동일하게 유지하고 있으며, 주요 특징은 다음과 같습니다.

 

주요 특징(Main Features)

• 신규 경유지, 파급력 증가 – 초대형 MalwareNet 움직임

• 악성코드 유포지로 지속적인 이용 – 베가디스크, 케이웨더, 아시아뉴스통신 등등

• 특정 모바일 OS를 감염시키기 위한 징후 포착 – 공다팩을 통해 일부 출현

• 언론 매체, 방송사에서 악성코드 유포 활용 – MBN, 디시뉴스, 데일리메디, 교육연합신문 등

• 이벤트 대행사를 통한 대규모 유포 활용 – 메크로스

• 파밍 – 수협을 위장한 파밍 사이트 활성화

주간 동향(Weekly Trend)

[표 1. 3월 3주차 한국 인터넷 위협지수]

2월 3주부터 한국 인터넷 위협은 여전히 지속되고 있으며 시간이 지날수록 위협수위는 높아지고 있다. 3월 3주 전체 발견된 유포지는 지난주에 비해 하락한 모습을 보였지만 신규 경유지와 파급력은 증가한 모습이 나타났다. 파급력이 증가한 원인은 약 300여개의 웹사이트를 보유한 다단계유통망(MalwareNet)의 영향으로 분석되었다. 지난주와 마찬가지로 언론/방송사를 통한 악성코드 유포는 계속되었으며 의료포탈사이트와 함께 국내 중견 기업인 더존XX의 정식교육센터를 통해 악성코드가 유포되어 위협을 더욱 증가시켰다. 이들 악성코드 유포지에서 발견된 자동화 도구는 공다팩과 카이홍 공격킷이 주로 이용되었으며 일부 공다팩에서는 모바일과 PC가 모두 감염시킬 수 정황이 포착되어 각별한 주의가 필요한 상황이다.

[표 2. 3월 3주차 시간대별 통계]

시간대 별 통계를 살펴보면 최근 일부 특정 시간에 한하여 집중적으로 유포를 하는 경향이 나타나고 있다. 금주 역시 주말 시간을 이용해서 활발한 활동이 나타났으며 특히, 토요일 오전부터 오후까지 집중적으로 악성코드가 유포되는 현상이 나타났다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

2월 2주차부터 3월 3주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 183건(17.7%)으로 지난주와 소폭 감소하였으며, 미국이 423건(40.9%), 독일이 159건(15.4%), 이탈리아가 47건(4.5%), 스페인이 30건(2.9%), 네덜란드가 22건(2.1%), 러시아가 20건(1.9%), 브라질이 19건(1.8%), 덴마크가 18건(1.7%), 일본이 15건(1.5%), 폴란드가 15건(1.5%), 영국이 14건(1.4%), 아르헨티나가 11건(1.1%), 터키가 10건(1.0%), 기타 44건(4.4%) 등으로 나타났다.

 

주간 이슈(Weekly Issue)

[그림 1. 공다팩과 함께 삽입된 안드로이드 OS를 타겟으로 한 악성코드 – 3월 13일]

 

앞에서 언급한 바와 같이, 최근 발견된 공다팩의 내부 코드에서 모바일 악성코드를 감염시키기 위한 정황이 포착되었다. 현재까지 모바일을 통한 악성코드 유포는 스미싱, 메신저 등으로 한정이 되어 있었다. 하지만, 3월 13일에 공다팩을 통해 출현한 모바일 악성코드는 웹사이트만 방문을 해도 악성코드가 설치되는 현상이 나타나는 모습을 보였다. 특히, 공격자는 모든 모바일 운영체계를 목표로 한 것이 아닌 안드로이드 OS 버전을 통해서만 악성코드가 다운로드 할 수 있게 하는 치밀함과 함께 다운로드 횟수를 확인하기 위한 카운터 사이트를 따로 운영하는 모습도 관찰되었다. 더욱 우려되는 점은 모바일 운영체제에서는 브라우저에서 악성링크가 삽입된 사이트를 차단하는 기능이 아직 없기 때문에 빠른 시일 내에 대처 방안을 강구하지 않는다면 피해는 계속 늘어날 수 밖에 없다는 점이다.

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

보안정보제공서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 및 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
  • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
  • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 – 인터넷 위협 수준이 "4단계. 경고" 이상일 경우. 고객사 대상 수시 발송

 

무료 구독

  • 한국 인터넷 위협 요약 – 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 2014년 1월 이후에는 "5단계 사고 발생" 시에만 긴급 정보제공 (수시, 선별된 정보 제공)

 

정기 가입 기업/기관

  • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
  • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

구독 문의

  • 무료 신청을 원하시는 경우 info@bitscan.co.kr 로 연락주십시오.
  • 정기 가입 및 문의는 "소속 확인이 가능한 이메일(회사)"을 통해 info@bitscan.co.kr

    연락주십시오.

 

감사합니다.

Posted by 바다란

한국 인터넷 위협 요약 - 3월 2주차

 

발행일: 2014년 3월 12일

한국인터넷 위협레벨: 경고

 

본 인터넷 위협은 빛스캔㈜에서 운영하는 PCDS (Pre Crime Detect Satellite)를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스에 대한 관찰을 요약한 내용입니다. 현재 인터넷 위협 수준은 '경고'로 지난 주와 동일하게 유지하고 있으며, 주요 특징은 다음과 같습니다.

 

주요 특징(Main Features)

• 신규 유포지, 파급력 감소 – 악성코드 통로는 여전히 존재

• 악성코드 유포지로 지속적인 이용 – 여의도 순복음교회, 케이웨더 등

• P2P사이트를 통한 집중적인 악성코드 유포 – 신규 2곳

• 방송, 언론사 등 통한 악성코드 유포 – 작년 유사 상황과 비교 분석(경인방송국, 아시아뉴스통신, 빅뉴스 등등)

• 파밍 – 레지스트리 조작, 채팅 창을 활용한 사기 활성화

 

 

주간 동향(Weekly Trend)

[표 1. 3월 2주차 한국 인터넷 위협지수]

3월 2주차 전체 발견된 유포지는 증가하였지만 신규 경유지의 감소로 인하여 파급력 역시 감소를 하는 모습을 보였다. 하지만, 영향력의 감소에도 불구하고, 언론매체, 쇼핑몰, P2P 등에서는 악성코드의 유포가 지속되는 현상을 보였다. 특히, 금주에는 지난 3개월 동안 악성코드 유포 이력이 없었던 언론/방송사를 통해 악성코드 유포가 이루어지는 현상이 관찰되었으며, 지속적으로 보안점검을 받는 종교단체 역시 현재까지 문제점을 발견하지 못해 4주 연속으로 악성코드를 유포하는 모습을 보였다. 추가적으로 바이너리 확인결과 대부분이 파밍 악성코드로 확인이 되었으며, 바이러스토탈(VirusToal)에서 조회결과 국내백신에서 탐지하지 못하는 것을 확인하였다. 금주 신규 경유지와 영향력은 감소하였지만 언론/방송사를 통한 악성코드 유포와 함께 지속적인 사이트 재감염 사례 등 위협요소가 남아있어 인터넷 위협수준을 "경고" 단계로 유지한다.

[표 2. 3월 2주차 시간대별 통계]

시간대 별 통계를 살펴보면 지난주 주말기간 활발히 활동했던 모습에 비해 금주에는 평일에 활동을 하였으며 활동도 소규모로 이루어지는 모습이 관찰되었다. 하지만, 기존 악성코드 유포지로 활용되었던 사이트의 통로는 현재도 존재하고 있기 때문에 위협이 낮아졌다고 판단하기는 이른 상황이다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

2월 1주차부터 3월 2주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 156건(16.9%)으로 지난주와 소폭 증가하였으며, 미국이 380건(40.6%), 독일이 150건(16.0%), 이탈리아가 51건(5.5%), 스페인이 43건(2.8%), 브라질이 20건(2.1%), 일본이 19건(2.0%), 러시아가 17건(1.8%), 네덜란드가 16건(1.7%), 덴마크가 13건(1.4%), 영국이 12건(1.3%), 폴란드가 10건(1.1%), 기타가 61건(6.1%) 등으로 나타났다.

 

 

주간 이슈(Weekly Issue)

[그림 1. 파밍 정보 입력 후 나타나는 채팅창 – 3월 5일]

 

최근 국내 영향력 있는 웹사이트를 통해 악성코드가 유포되는 상황이 지속적으로 관찰되고 있으며 이를 통해 다운로드 된 악성코드는 대부분 파밍 악성코드로 확인되고 있다. 파밍 악성코드는 지난해부터 등장하기 시작했으며 매주 새롭게 바뀌는 모습이 나오고 있다. 지난주 카드사를 사칭한 파밍사이트의 등장과 일부 보안업체를 이용하려는 정황에 이어서 금주에는 파밍 사이트에서 모든 정보를 입력 후에 새롭게 채팅창이 나타나는 모습이 발견되었다. 특히, 채팅창은 우리은행에서만 나타난 것이 아닌 새마을금고를 통해서도 나타났으며 향후에는 모든 파밍 은행 사이트에서 이 와 같은 공격이 나타날 것으로 예상된다.

 

 

정보제공 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 및 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
  • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
  • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 – 인터넷 위협 수준이 "4단계. 경고" 이상일 경우. 고객사 대상 수시 발송

 

무료

       한국 인터넷 위협 요약 – 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)

  • 긴급 정보 제공 – 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

    2014년 1월 이후에는 "5단계 사고 발생" 시에만 긴급 정보제공 ( 수시, 선별된 정보 제공) 

 

정기 신청기업(유료)

  • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
  • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 문의

  • 무료 신청을 원하시는 경우 info@bitscan.co.kr 로 연락주십시오.
  • 정기 신청 및 관련 사항 문의는 "회사 이메일"을 통해 info@bitscan.co.kr

    연락주십시오.

 

감사합니다.

Posted by 바다란

 

  • 본 게시물은 2012년 12월 24일에 작성된 빛스캔의 기사 제공 내용입니다. 2011년 유출된 정보를 통해 이전의 회원들에게만 공지를 하는 상황에서 공지 범위를 2012년 12월 22일 이전의 모든 가입자들에게 공지를 할 필요성이 있지 않을까요? 당시 여러 매체에 내용을 제공 하였으나 기사화 된 곳은 없었네요. 아마 받으신 기자분들은 기억 하실 것입니다. 

  • 유출된 정보를 통해 확인되는 것이 가장 확실하나, 악성코드 감염에 직접 이용된 정황 만으로도 내부 정보의 유출 가능성은 충분히 높은 것이죠. 권한이 있는데 들고 가는 것은 그냥 선택사항일 뿐!!! 이외에도 지금까지 악성코드 유포 및 감염에 이용된 수없이 많은 서비스들도 모두 정보 유출은 기본적으로 이루어졌을 것으로 판단 합니다. 공격자의 마지막 활용이 좀비 PC 감염을 위한 매개체로 사용하는 것이니 말입니다. 정체가 노출 되는 것을 감내할 정도로 용도폐기 단계란 것이죠.


 

티켓몬스터 해킹 당해… 악성코드 대규모 유포!

방문자중 60%는 악성코드에 감염

 

티켓몬스터는 국내 소셜커머스 업계의 양대산맥중의 하나입니다. 정상가의 절반 밖에 되지 않는 파격적인 가격에 수량은 한정되어 있다 보니 대규모 방문자가 일상적으로 방문을 하는 곳입니다. 대규모 방문자가 상시 방문하는 티켓몬스터에서 악성코드를 유포한 정황이 포착 되었습니다.

 

티켓몬스터는 지난 7월 1주차에도 악성코드를 유포한 정황이 포착된 바가 있으며, 이번 12월 3주차(12.22)에도 악성코드를 유포한 정황이 다시 포착되었습니다. 웹서비스의 소스를 변경한다는 것은 서버의 모든 권한을 공격자가 가지고 있다는 것과 동일한 이야기 입니다. 7월에 이어 12월에도 악성코드 유포가 되었다는 것은 그만큼 해킹 사고 이후 충분한 원인 파악과 대책, 꾸준한 관리가 미비하여 발생 하는 것으로 판단 됩니다. 권한을 모두 가지고 소스를 변경하는 공격자들인데 과연 웹서비스의 고객정보는 안전할까요? 악성코드를 유포한다는 것은 이미 서버의 권한을 획득하고 DB의 내용을 모두 유출한 후일 확률이 매우 높습니다. 공격자들은 이미 탈취할 수 있는 서버의 모든 정보를 탈취한 이후, 최종적으로 모든 방문자들에게 악성코드 감염을 시도 하기 위해 웹소스코드를 추가 또는 변경하여 악성링크가 모든 방문자에게 자동으로 실행 하여 감염 되도록 합니다.

 

<7월 1주차 티켓몬스터 악성코드 유포 정황 포착>

 

<12월 22일 오후 9시경 티켓몬스터 악성코드 유포 정황 포착>

 

2012년 2월의 빛스캔의 조사에 따르면 악성링크로 인한 감염 피해는 전체 웹서비스 방문자중 60%가 감염 된다는 것을 데이터를 통해 입증 한 바가 있습니다. 이번 티켓몬스터의 경우에도 방문자중의 60%는 악성코드에 감염이 되었을 것으로 추정됩니다. 애플리케이션(자바, IE, 플래쉬)중 하나라도 최신으로 업데이트가 되어 있지 않다면 감염이 되는 현재의 상황 입니다. 공격자들은 항상 최대의 효과를 얻기 위해 방문자들이 많은 곳들을 대상으로 해 끊임없이 악성코드 감염을 시도합니다. 그 대상에는 수많은 사이트들이 대상이 되고 있으며 웹서비스 방문자들은 그 어떤 인지도 없이 감염이 될 수밖에 없는 상황이 계속되고 있습니다.

 

<12월 22일 티켓몬스터 정상 소스 안에 삽입된 악성링크 한 줄>

처음 사용자가 접속 시에 실행되는 소스코드에서 발견된 악성링크 추가 부분 입니다. 방문자에게 실행 되는 상태에서 브라우저에 있는 소스보기를 통해 확인된 내용입니다. 본 링크의 경우 티켓몬스터에 접속 하기만 하여도 자동으로 실행되는 부분입니다. 즉 사용자의 클릭 없이 단지 방문만 하여도 악성링크는 자동으로 실행 되며 사용자 PC를 좀비PC로 만들고 있습니다. 공격자가 언제든 조종할 수 있는 좀비 PC가 된 방문자 PC는 두 가지로 악용될 수 있습니다. 좀비PC에서 입력되는 모든 개인정보를 탈취하는 것과 대량의 좀비 PC를 이용한 DDoS 공격등에 이용 될 수 있습니다.

 

< 티켓몬스터 웹소스에 추가된 악성링크의 구조>

이용된 취약성은 Java 취약성인 5종류와 MS XML 취약성이 이용되었으며 사용자의 브라우저 버전과 취약한 Application 버전에 따라 실행하는 지능적인 구조로 구성 되어 있다. 취약성 공격 이후 설치되는 악성파일은 전세계에서 가장 많은 샘플을 보유하고 전 세계 백신 46종에서의 탐지 여부를 체크하고 있는 VirusTotal 사이트에 조차 보고된적 없는 악성코드가 사용자 PC에 설치 되고 있었다. 결론적으로 백신에서 악성파일이라고 탐지 할 수 있는 가능성이 매우 낮음을 의미한다.

< 최종 악성파일의 Virusl Total 탐지 내역 – 미 보고된 악성파일>

 

티켓몬스터에서 유포된 악성코드는 추가 파일을 다운로드하는 다운로더 역할을 하는 것으로 1차 판단이 되고 있습니다. 다운로더는 새로운 악성코드들을 계속해서 설치하고 언제든 목적에 맞는 악성코드 및 명령을 내릴 수 있는 상태가 됨을 의미합니다. 현재 티켓몬스터내의 악성링크는 제거된 상황이지만 근본 원인을 찾아서 제거하지 않는다면 언제든지 재발 할 수 있는 상황이므로 근본적인 노력과 대처가 필요합니다.

 

쇼핑이 일상화 되어 있고 더군다나 소셜 쇼핑의 활용률은 접속자도 많으며 이용률도 높은 상태라 공격자들의 좋은 대상이 되고 있습니다. 모든 방문자를 대상으로 한 현재의 공격을 막기 위해서는 서비스 담당자의 지속적인 노력과 보안적인 기술 수준을 항상 높은 상태로 유지 하여야만 할 것입니다. 또한 방문자 관점에서는 현재 공격이 보안패치가 잘 이루어지지 않는 Java 취약성으로 집중이 되고 있으므로 java 취약성에 대한 보안 취약성 업데이트를 반드시 하여 피해를 최소화 하여야 할 것입니다.

 

방문자가 많은 거대 사이트들 조차도 악성코드 감염을 위한 숙주로 이용되는 지금의 현실에서 안전한 사이트라는 것은 많지 않으며, 사용자의 꾸준한 관심과 서비스 운영 기업의 보안강화 노력만이 피해를 줄일 수 있을 것입니다.

 

빛스캔은 현재 국내 주요 120만개 웹 서비스와 해외 10만여 개의 웹서비스에 대해 악성코드 대량 유포 모니터링을 하고 있으며 지난 대선 기간에도 총 60여종의 악성코드와 40여개의 의심 IP에 대해 국내 주요 기업/기관에 정보 제공을 함으로써 문제의 사전 발생을 줄이도록 기여한 바 있습니다.

Posted by 바다란

인터넷 위협 수준: 경고

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

[표 1. 3월 1주차 한국인터넷 위협지수]

2월 3주부터 악성링크의 비정상적인 활동에 따른 위협은 3월 1주차에도 이어지고 있으며 지난주에 비해 위협은 더욱 커진 상황이다. 금주 레드킷의 활동이 다시 활발히 이루어진 가운데 파일공유, 언론사, 종교 단체, 커뮤니티, 광고 대행사 등 많은 곳에서도 악성코드를 유포하는 모습이 나타났으며 일부 사이트는 지난주 보안진단을 받았음에도 불과하고 주말에 다시 악성코드 유포지로 활용되고 있는 모습도 확인되었다. 특히, 이들 사이트에서 유포된 악성코드는 대부분 파밍 악성코드로 확인이 되었으며 이 과정에서 카드사 및 백신업체를 사칭한 파밍사이트가 등장한 모습이 관찰되기도 하였다. 또한, 자동화 공격도구 카이홍 공격킷이 기존의 6개의 취약점에서 8개를 이용하는 변형된 모습도 관찰되었다. 금주 다시 시작된 레드킷의 활동과 계속 증가하는 악성코드 유포지의 영향 그리고 매주 바뀌는 파밍 악성코드의 위협으로 인해 인해 인터넷 위협 수준을 "경고" 단계로 유지한다.

 

[표 2. 시간대별 통계]

시간대 별 통계를 살펴 보면 악성링크의 비정상적인 움직임에 따라 대부분의 수치가 증가 한 것을 볼 수 있다. 특히, 월요일부터 나타나기 시작한 악성링크의 활동은 점차 증가하는 모습을 보였으며 일요일에 가장 활발한 모습을 보였다.

[표 3. 최근 1달 악성링크 도메인 통계]

1월 4주차부터 3월 1주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 206건(13.3%)으로 지난주와 소폭 증가하였으며, 미국이 514건(33.2%), 프랑스가 266건(17.2%), 독일이 225건(14.6%), 이탈리아가 63건(4.1%), 스페인이 43건(2.8%), 러시아가 30건(2.0%), 일본이 26건(1.7%), 네덜란드가 23건(1.5%), 덴마크가 20건(1.3%), 브라질이 18건(1.2%), 폴란드가 15건(1.0%), 기타 106건(5.2%)등으로 나타났다.

  • 3월 1주차 대표적 유포 이슈

[그림 1. 홈페이지 악성코드 관련 게시글 – 여의도 순복음교회]

악성링크의 활동이 증가하고 있는 가운데 여의도 순복음 교회는 2주 연속 악성코드를 유포하는 모습을 보였다. 특히, 지난주 악성코드가 유포된 후 홈페이지 2월 27일 홈페이지 공지글을 통해 악성코드의 유포가 있었다는 점을 시인하고 대응에 최선을 다하고 있다는 글을 게시하였다. 하지만, 지난 3월 1일부터 3월 2일까지 이틀간 총 4차례 악성링크가 유포되는 모습이 다시 포착되었다. 특히, 4차례 공용모듈 위치에 악성링크가 삽입되었으며 이들은 모두 여의도 순복음교회 모든 페이지에서 사용되는 공용모듈로 확인되었다. 당사에서는 현재까지도 악성코드 감염에 이용되고 있는 주요 이슈에 대해서는 계속 환기시킬 예정이다

보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

끝.

 

보안정보 제공 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 브리핑 요약 주간의 공격 동향 새로운 공격 형태 정보 요약
  • 동향분석보고서– 최소 4 제공
  • 기술 보고서공격 기법 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 스탠다드 브리핑 요약, 동향분석보고서, 기술분석보고서
  • 엔터프라이즈 Daily base C&C 정보, 브리핑 요약, 동향분석, 기술 보고서, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

인터넷 위협 수준: 경고

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

[표 1. 2월 4주차 한국인터넷 위협지수]

2월 3주부터 시작된 신규 악성링크의 비정상적인 움직임은 2월 4주까지 이어지는 모습을 보였다. 특히, 쇼핑몰, 보안관련 매체, 복지포탈, 파일공유(P2P) 등 영향력 있는 사이트를 통해 유포가 나타나면서 파급력이 크게 증가하는 모습을 보였으며 악성코드 분석결과 대부분 파밍 종류의 악성코드로 확인 되었다. 특히, 파밍 악성코드 내부 파밍 리스트에서는 지난주 오픈마켓 지마켓이 추가에 이어 금주에는 증권사(키움증권, 삼성증권, 대신증권, 동부증권, 미레에셋 증권)까지 확대하려는 사전 징후가 포착되었으며 악성코드 유포 당시 국내 백신만을 우회 하고 있는 전형적인 모습도 확인되었다. 또한, 시간이 지난 현재에도 대응되지 않은 부분도 일부 존재하고 있어서 2차적인 추가 피해가 우려되는 상황이다. 금주 증가된 위협과 영향력 있는 사이트를 통한 악성코드 유포와 함께 기존의 악성링크 재활용과 함께 신규 악성링크를 통한 비정상적인 움직임이 포착되어 인터넷 위협 수준을 2월 23일부로 "경고" 단계로 상향 조정한다.

 

[표 2. 시간대별 통계]

시간대 별 통계를 살펴 보면 악성링크의 비정상적인 움직임에 따라 대부분의 수치가 증가 한 것을 볼 수 있다. 특히, 지난주와 달리 목요일∼일요일까지 가장 활발한 활동을 보였다.

[표 3. 최근 1달 악성링크 도메인 통계]

1월 3주차부터 2월 4주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 180건(16.1%)으로 지난주와 소폭 증가하였으며, 프랑스가 299건(26.7%), 미국이 241건(21.5%), 독일이 160건(14.3%), 이탈리아가 72건(6.4%), 스페인이 32건(2.9%), 네덜란드가 26건(2.3%), 폴란드가 23건(2.1%), 영국이 14건(1.3%), 덴마크가 12건(1.1%), 기타가 61건(5.5%)등으로 나타났다.

  • 2월 4주차 대표적 유포 이슈

[그림 1. 옐로우캡 사이트에 삽입된 악성 링크 – 2월 18일 확인]

택배 전문업체인 옐로캡택배를 통해 악성링크가 삽입되어 유포되고 있는 정황이 2월 23일 확인되었다. 옐로우캡택배는 오픈마켓 등 다양한 쇼핑몰과 제휴 협력을 맺은 상태이다. 특히, 악성링크는 공용 모듈에 삽입되어 있어 방문자가 어느 페이지로 접속을 하든 악성링크가 실행되는 현상이 나타나고 있으며 보안 패치가 되어 있지 않은 취약한 사용자는 악성코드의 감염될 수 밖에 없다. 악성링크 분석결과 Java 7종, IE 1종, Adobe Flash 1종의 취약점을 이용하는 공다팩(Gondad Exploit Kit)으로 확인 되었으며 최종 바이너리는 파밍 종류의 악성코드로 확인되었다.

보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

끝.

 

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 브리핑 요약 주간의 공격 동향 새로운 공격 형태 정보 요약
  • 동향분석보고서– 최소 4 제공
  • 기술 보고서공격 기법 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 스탠다드 브리핑 요약, 동향분석보고서, 기술분석보고서
  • 엔터프라이즈 Daily base C&C 정보, 브리핑 요약, 동향분석, 기술 보고서, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란
TAG 빛스캔

"좀비PC 1대가 대형유통업체를 벼랑으로 몰다!"

 

*zdnet 게재 컬럼입니다.

 

타겟의 대규모 정보유출과 관련 하여 유출된 카드당 배상 금액을 기본 건당 90$로 추정할 때 전체 4천만 건에 대해 36억$에 달할 것으로 예상되고 있다. 또한 건단 90$의 경우도 카드회사가 벌금으로 책정하고 있는 최소액수라는 점. 그 이외에도 개인정보가 7천만건 이상 유출된 점을 감안하면 피해 금액은 상상을 넘는 금액이 될 수도 있다. 이 사건의 시작이 내부로 침입된 악성코드 하나에 의한 것이라는 점을 감안하면 한국에서의 피해 및 정보 유출 사례와 비교 하였을 때 많은 격차를 느낄 수 밖에 없다.

 

 

1억건 이상에 달하는 금융이용자의 정보유출 사건과 비교하기는 어렵지만 해외 업체인 Target.com의 악성코드로 인한 4천만건 이상의 카드 정보 유출은 심각한 시사점을 깨닫게 해준다. 2014년 1월에 보도된 금융정보 유출의 경우 내부 시스템에 접근이 가능한 외부자에 의해 발생된 정보유출 사례라고 볼 수 있다. 그러나 Target의 경우는 내부 운영 시스템인 POS 단말기에 침입한 악성코드가 카드 관련 정보 및 신상 정보를 탈취하여 유출한 사례이기에 예의주시할 필요가 있다.

 

Target을 통해 유출된 정보는 초기에 4천만건에 달하는 카드 정보가 유출된 것으로 발표 되었으나 추가 확인된 결과에 의하면 전체 1억1천만건 (카드정보 4천만건, 개인정보 7천만건)에 달하는 소비자 정보들이 유출된 것으로 확인되고 있다. 분석 정보들이 추가로 확인됨에 따라 그동안 밝혀지지 않은 심각한 내용들과 기술적인 문제점들에 대한 내용들이 확인되고 있는 상황이다.

 

외신 (http://www.dailymail.co.uk/news/article-2541744/Pictured-Russian-teen-Target-hacking-attack.html)에 따르면 러시아해커에 의해 제작된 공격도구들이 이번 Target의 공격에 이용되었다는 점이 확인되고 있으며, 또한 Target이 운영하고 있는 미국 전역의 1,797개 매장의 POS 기계의 대부분인 4만여대의 POS 기계가 감염되어 정보 유출에 이용된 것으로 확인되었다. 사실상 공격자는 모든 정보 입력 기계에 대한 완벽한 제어권한을 가지고 있었다는 것이다.

 

맥아피에 의해 공개된 기술적분석(http://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/24000/PD24927/en_US/Threat_Advisory_EPOS_Data_Theft_v4.pdf) 을 살펴보면 대부분의 POS 기계들이 윈도우 운영체제를 사용하고 있었고, 내부망을 감시하는 보안도구나 이상증세를 관찰하는 모니터링이 전혀 없었음을 알 수 있다. POS 상에서 사용자가 카드를 긁는 거래가 발생되는 순간에 관련 거래의 내역을 탈취하여 별도의 파일로 저장하도록 하였으며, 그 누적된 정보들은 주기적으로 내부 파일공유나 FTP를 통해 특정 지점으로 모아지도록 되어 있었다. 그 이후에 누적된 데이터들을 공격자들은 한꺼번에 들고간 것이 이번 Target 해킹에 대한 설명이라 할 것이다.

 

 

 

공격자가 통제하는 서버와 감염된 PoS와의 관계 Source: Dell Secureworks.

 

추가적으로 분석된 자료를 부분적으로 공개한 Dell의 시큐어웍스사와 시만텍의 리포트 및 Krebson Security 저널에 언급된 내용을 살펴보면 한국의 3.20 대란과 유사한 방식이 사용 되었을 것으로 추정되는 분석들도 있다. (관련기사 : http://www.informationweek.com/security/attacks-and-breaches/target-hackers-tapped-vendor-credentials/d/d-id/1113641?f_src=informationweek_gnews

Krebson Security 기사: http://krebsonsecurity.com/2014/01/new-clues-in-the-target-breach/

)

분석 내용에 따르면 Target 내의 모든 POS 시스템들은 Window Share가 활성화 되어 있었으며, 카드 정보를 한 곳으로 모으는데 이용된 계정은 "Best1_user" 이고 패스워드는 "BackupU$r" 이였다고 한다. Best1_user 계정은 BMC의 성능 관리 소프트웨어에서 사용이 되는 것으로 알려져 있다.

 

3.20의 VMS나 PMS와 같이 악성코드 배포 역할을 한 것으로 의심되는 것은 MS의 SCCM (System Center Configuration Manager) 프로그램으로 추정하고 있는데, 현재 MS의 Target IT 인프라 구조에 대한 사례 구성은 사라졌으나 그 구성도에는 SCCM 프로그램이 전체 POS 장비의 성능을 관리하는 형태로 이루어졌을 것이다. 추정에는 내부의 좀비 PC 확보 이후 주요 소프트웨어나 서비스에 대한 SQL Injection 공격을 통해 관련 정보와 권한을 획득 하였을 것으로 추정하는 내용도 확인 할 수 있다.

결론적으로 소매점 한 곳에 타켓화된 메일 등으로 침입 또는 직접 공격을 통해 권한 획득을 한 이후 내부의 중요 관리 소프트웨어에 대한 공격들이 있었을 가능성이 매우 높다는 점을 지적하고 있다. 

BMC의 성능 관리 소프트웨어에 대한 공격으로 계정 정보를 획득하고 MS의 SCCM 프로그램의 전체 연결 구조를 이용하여 전체 POS에 일괄적으로 악성코드를 배포한다. 그 이후 획득한 계정정보를 이용하여 한 곳으로 전체 데이터를 모으도록 하는 것이다.

일정 시점 이후에 모아진 데이터를 들고 러시아로 옮기는 것이 최종이다. 이 과정에서 어떤 모니터링 및 경고도 발생되지 않았으며, 모두 사건 이후에 잔뜩 남겨진 로그와 기록들을 기반으로 하여 분석을 하는 것을 볼 수 있다. 내부망에는 위험을 관찰할 체제들도 단지 "분리된 망"이기에 거의 없었다는 것을 알 수 있다. 망분리를 통해 보안성을 확보하고자 하는 많은 기업 및 기관들도 위험에 대해서 살펴 보아야 할 부분들일 것이다.

 

 

Target 에서의 대량 정보유출에서 우리는 몇 가지 교훈을 얻을 수 있다.

 

  1. 내부망 (사설IP)에서의 보호방안은 거의 없었다. – 망분리를 중점대책으로 위험을 제거하려는 우리의 입장에서는 고민해야될 부분이다.
  2. 사설IP 대역에 존재하는 4만여대에 달하는 POS 기계의 운영체제가 감염되는 동안 전혀 인지를 못한 상황
  3. 초기 침입은 외부와 연결된 망을 통해서 이루어졌을 것이나 초기 침입이 어디로부터 시작되었는지는 분석이 안되고 있다는 점.
  4. 결론적으로 내부망에 대한 감시체계와 외부와 연결된 접점에 대한 강력한 통제에 실패했다는 점을 꼽을 수 있다.

 

외부와 연결이 분리된 망에서는 분리된 것 자체가 강력한 대책으로 인식을 할 수 밖에 없다. 강력한 대책인 망분리가 되었을때에도 전제되어야 하는 것은 작은 가능성일지라도 내부로 유입된 악성코드가 있을 경우에 대한 대책이 무엇이 있느냐 하는 것이다. Target의 POS 기계 감염에 이용된 악성코드의 경우에도 초기 감염시에 주요 백신의 탐지를 우회하여 감염된 정황이 확인된 바 있다.

 

내부로 유입된 악성코드가 무방비로 노출된 주변 시스템을 감염시키고 확산을 하는 중에도 모니터링 및 관찰을 할 수 있는 도구와 체계가 없었기에 Target에서 운영하는 대부분의 POS 시스템에 감염이 된 상태조차 인지하지 못한 것이다. 정보를 전송하는 단계에서는 암호화가 적용 될 수 있으나 기록되는 단계에서는 평문으로 기록이 될 수 밖에 없다. 악성코드들은 POS 시스템에서 입력되는 모든 카드정보와 개인정보를 그대로 수집하여, 특정 위치로 옮겨둔 이후 한번에 모두 가져간 것이 사건의 전말이다.

 

한국은 과연 문제가 없다고 할 수 있을까?

 

2013년 8월 하순경에 국내를 대상으로 웹을 통한 악성코드 감염 시도를 다수 시행한 공격자들을 역으로 추적한 결과는 국내도 이미 문제의 범위에 들어와 있을 수 밖에 없다는 것을 알 수 있다. 여러 정보들이 확인 되었지만 POS에 관련된 문제로만 국한해 보면 타겟의 사례는 지금 당장 국내에 발생된다 하여도 그리 낯설치 않을 것 같다.

 

<그림 1. 2013년 8월 중국 공격자 서버에서 발견된 좀비 PC 관리 프로그램>

 

공격자가 운영하는 C&C (원격제어 서버) 서버에서는 단 일주일간의 로그 기록이 남아 있었는데 그 로그 기록에는 공인 IP만 2만여 개 이상이 존재함을 확인 되었다. 공인 IP만 2만여 개 이상이라는 것은 2만여 곳 이상의 기업/기관 내에 감염된 좀비 PC들이 존재하였음을 의미한다.

 

<표 . 2만여 개의 공인 IP 국가별 분석 결과 >

 

단 한대의 감염된 좀비 PC가 3.20 대란의 시발점이 되었으며, 단 한대의 감염된 좀비 PC가 거대 유통사인 타겟을 벼랑으로 몰아가는 시점에서 과연 우리는 좀비 PC들에 대한 대응과 감염예방에 대해 어떤 노력을 기울이고 있을까?

 

메일을 통한 악성파일 감염은 현재 기술로도 충분한 해결 방안을 만들 수 있을 것이다. 또한 메일이 몇 분 늦어진다고 항의하지도 않는 상황에서는 더더욱 해결 하기에는 어려움이 없을 것이다. 그러나 웹은 어떻게 해야 할까?

 

접속을 몇 분이나 지연 시키고 위험성을 찾아내고 검증한 뒤에 방문을 할 수 있을까? 불가능한 이야기이다. 선제적인 탐지와 전역적인 대응 체계의 구축을 통해 보다 더 빨리 찾을 수 있어야 한다. 또한 공격링크에 대한 블랙리스트를 상시적으로 갱신하고 차단함으로써 감염을 예방 할 수 있다. 매 주마다 200~300개의 공격링크가 생성이 되고, 2000에서 3000여개의 웹서비스들이 방문만 해도 감염되는 상황에 노출된 한국은 이제 단순한 좀비 PC에 대한 탐지와 제거를 넘어서 예방이 되어야만 생존 할 수 있는 환경이다.

 

단 한대의 좀비PC가 세계적 기업을 한번에 끝내는 상황을 목격하고 있는 상황에서, 우리는 지금이 순간에도 무감각하다. 타겟이 한국에 있었더라면 600만원 과태료로 끝나지 않았을까? 우리 개인정보들의 가치는 대체 얼마일까?

 

 

-바다란

Posted by 바다란

인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

[표 1. 2월 3주차 한국인터넷 위협지수]

2월 3주차에 전체 발견된 유포지는 지난주에 비해 조금 증가하였지만, 신규 경유지의 활동이 약 3배정도 증가함에 따라 파급력도 동반 상승하는 효과가 나타났다. 상승 요인으로는 파일공유(P2P), 여행사, 쇼핑몰, 뉴스, 광고 배너 사이트가 주말기간 악성코드의 집중적인 유포에 따른 효과로 보이며 일부 사이트는 3주 연속 악성코드 통로로 이용되기도 하였으며 파일공유(P2P) 사이트에서는 공백(Space, Tab)와 배열함수를 이용하여 AV 제품의 웹 페이지 탐지를 방해하기 위한 활동도 포착되었다. 또한, 발견된 악성코드는 대부분 파밍 악성코드로 분석 되었으며 일부는 추가 다운로드를 통해 스케쥴러를 생성하여 C&C와 지속적인 명령을 받는 모습도 관찰되었다. 특히, 지난 주에 출현한 지마켓을 노린 파밍용 악성코드는 금주에 이르러서 웹사이트에 연결되는 상황까지 발전하였다. 금주 신규 경유지의 지속적인 증가 및 탐지 회피를 위한 악성링크의 변화와 지속적인 파일공유(P2P) 유포 등 전반적인 위협이 증가함에 따라 인터넷 위협 수준을 "주의" 단계로 유지한다.

 

[표 2. 시간대별 통계]

시간대 별 통계를 살펴 보면 신규 경유지가 증가함에 따라 전반적인 수치가 지난주에 비해 상승한 모습이 나타났으며 특히, 평일에 시작된 악성코드의 유포가 주말까지 이어지는 모습이 나타났다.

[표 3. 최근 1달 악성링크 도메인 통계]

1월 2주차부터 2월 3주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 165건(14.8%)으로 지난주와 비슷하였으며, 프랑스가 300건(26.8%), 미국이 240건(21.5%), 독일이 165건(14.8%), 이탈리아가 58건(5.2%), 스페인이 33건(3.0%), 폴란드가 30건(2.7%), 영국이 24건(2.1%), 네덜란드가 22건(2.0%), 홍콩이 11건(1.0%), 기타 70건(6.1%) 등으로 나타났다.

 

  • 2월 3주차 대표적 유포 이슈

[그림 1. 오픈마켓 지마켓(Gmarket.com) 및 금융결제원을 이용한 플로팅 배너 광고]

지난주 오픈마켓인 지마켓(Gmarket.com)을 이용하려는 사전 징후가 악성코드를 통해 포착되었다. 그 이후 금주 주말에 나타난 악성코드를 통해 지마켓(Gmarket.com) 사이트가 플로팅 배너 광고로 이용되고 있는 모습을 확인하였다. 지마켓을 시작으로 다른 오픈 마켓까지 확대될 지는 조금 더 지켜봐야겠지만 한가지 분명한 점은 이제는 포탈 사이트만이 타겟이 아니라는 점은 확실하다. 더불어, 금주 포털 사이트에서 나타난 플로팅 배너 광고에서는 금융결제원을 사칭하여 파밍 사이트로 연결하는 모습도 확인되었다.

보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

끝.

 

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 브리핑 요약 주간의 공격 동향 새로운 공격 형태 정보 요약
  • 동향분석보고서– 최소 4 제공
  • 기술 보고서공격 기법 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 스탠다드 브리핑 요약, 동향분석보고서, 기술분석보고서
  • 엔터프라이즈 Daily base C&C 정보, 브리핑 요약, 동향분석, 기술 보고서, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

이스라엘. 사이버보안을 핵심으로 ? 과연 


정밀무기 분야에서도 세계적 경쟁력을 가진 이스라엘

사이버분야에서도 그럴까? 물론 지금까지 그랬다.


이 링크는 단지 이스라엘의 홍보일 수도 있다.

그러나 이스라엘은 정부차원의 강력한 의지를 지니고 있다. 그 의지도 직.간접적으로 느껴보기도 하였고 말이다.  


http://israel21c.org/technology/the-cyber-security-capital-of-the-world/


In fact, in early 2014, multinational players IBM, Cisco, EMC, Lockheed Martin RSA and Deutsche Telekom all announced plans to set up cyber-research facilities in CyberSpark, Israel’s new cyber-security technology park in Beersheva.

Prime Minister Benjamin Netanyahu revealed the establishment of the new national cyber complex in the Negev city at the Cybertech conference in Tel Aviv – where some 450 heads of industry and cyber-security agencies from across the globe came to see an expo of Israeli security companies and startups.

Two years after the founding of the Israel National Cyber Bureau (INCB), Netanyahu predicted that Beersheva would “not only be the cyber capital of Israel but one of the most important places in the cyber security field in the world.


그런데.. 중동으로부터의 위협과 여러 사이버 공격의 직접 대상이 이스라엘인 것은 사실이지만 그보다 더 심각한 현장의 상황은 한국 아닐까?


사이버보안 기술을 연구하고, 인재를 영입하며, 회사 인수를 위해 텔아비브에 전 세계 기업들이 앞다투어 연구소를 설립하고 ( 보안은 아니더라도 한국의 기업들도 있다. ) 활동을 활발히 하고 있다. 


기술의 발전은 경험을 통해서 촉발된다. 

공격과 방어의 기술도 세계 1,2차 대전을 거치며 급격한 무기의 발전이 있었고, 그 이후에도 전쟁을 통해서 발달된 것은 부정할 수 없는 사실이다.


사이버상은 어떨까? 

왜 EU가 사이버 대응센터를 에스토니아에 설립을 하였을까? 사이버공격의 직접적인 대상이 되어 피해를 입었던 큰 경험을 가진 곳이기에 에스토니아에 설립을 한 것이 주된 이유일 것이다.


그렇다면 전 세계적으로 가장 큰 사건/사고들을 10개 정도만 대표적으로 뽑는다면 확실한 것은 그 중 절반 이상을 한국에서 발생된 사건들이 차지하게 된다.


실제 전쟁에 버금가는 격렬함이 넘치는 곳임에도 한가하게 유람하는 간 큰 나라.



이스라엘에 모이는 세계적인 기업들은 몇 년 지나지 않아서 역부족임을 알게 될 것이다. 또한 현실을 극복하기에는 너무나도 부족함을 알게 될 수 밖에 없다. 그래도 그들은 인정하는 순간부터 문제를 파악하고 넘어서려 할 것이다. 우리와는 너무나도 다른 ...


지금 시기에는 한국이 사이버 보안의 역량을 강화하기에는 가장 좋은 실전테스트 공간이다. 그 실전 테스트 공간은 아무에게도 허락되어 있지 않다. 하다못해 이스라엘 정부의 1/10만큼이라도 신경을 쓰고 중요성을 인식 했다면 매우 다른 그림이 되지 않았을까? 


시장을 보고 들어오는게 아니라 다음을 준비하기 위한 연구단지로서 접근이 된다면 더 좋은 일이 되겠지만 여긴 준비가 전혀 안되어 있다. 최소한 문제를 해결해 나가는 방식과 단호하고도 집중적인 대응 체제로 현실에 안주하지 않아야 하는데 그걸 못한다. 


글을 쓰면서 드는 가장 비극적인 생각은 이스라엘에서는 연구와 기획을 하고 만들어진 물건들은 한국에서 검증을 하고 그 결과를 바탕으로 다시 갱신을 한다면 이건 완벽한  "호구" 역할이 아닐까? 


그 잘난 내수강자들은 상대도 되지 않는데..


의지도 생각도 없으니, 의견을 들으려 하지 않는다. 당연히 전문가들은 찾지도 않는다.  여기서 전문가란 전문가집단을 의미하는게 아니다. 최소한 현실의 문제를 진짜 고민하고 해답을 찾고자 하는 사람들은 나라에 있어야 하지 않을까? 찾아오는게 아니라 발로 뛰어서 찾아 다니는 그런 공무원들 말이다. 전문성을 갖추고 스스로도 배우고 알고자 하는 그런 공무원들이 찾아낸 전문가들에게서 쓴소리를 가감 없이 들을 수 있어야 방향도 서고 한다.  


의지 있는 공무원들을 일하게 만드는 것은 상위의 의지가 가장 중요할 테고 말이다.


개인적인 경험으로도 이스라엘 고위직 공무원이 자세한 상황도 모르고 단지 하나의 단서만으로 한국까지 와서 발표를 요청하고 듣고 이해하는 상황에 대해서는 감탄을 할 수 밖에 없었다.  그 차이가 무엇인지는 생각해 볼 일이다.


어떤 사고가 그들을 움직이게 했는지?

어떤 필요가 그들을 행동하게 했는지?


아직도 잊혀지지 않는다. "이런 것들을 하는데 그 어떤 지원도 안해 줍니까? 정말입니까? 우리가 해도 됩니까?" 라며 거듭 반문하는 사람에게  씁쓸한 끄덕임밖에 못한 상황 자체가...


그러부터 1년이 훌쩍 더 지나서도 여전히...


- 바다란 . 2014.2


Posted by 바다란

인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

[표 1. 2월 2주차 한국인터넷 위협지수]

2월 2주차 전체 발견된 유포지는 지난 주와 비슷한 수준을 보였으며 신규 경유지는 하락한 모습을 보였지만 파급력은 증가한 모습이 나타났다. 파급력이 증가한 원인으로는 3개의 파일공유(P2P) 사이트를 통해 집중적인 유포와 함께 교육기관, 커뮤니티, 종교 관련 언론사 사이트에서 영향을 준 것으로 분석되었다. 특히, 파일공유(P2P) 사이트를 통해 유포된 악성코드는 대부분 파밍 악성코드로 확인되었으며 hosts(hosts.ics) 파일 변조를 통해 가짜 은행 사이트로 연결하고 있었으며 파밍 알림 서비스를 우회하려는 시도와 신규로 지마켓(Gmarket) 사이트를 이용하려는 사전 모습도 관찰되었다. 금주는 전체적으로는 지난주와 비슷한 위협 동향을 보이고 있지만, 파일공유(P2P)를 통한 집중적인 유포 등 수치에 비해 높은 영향력으로 인해 인터넷 위협 수준을 "주의" 단계로 유지한다.

 

[표 2. 시간대별 통계]

시간대 별 통계를 살펴보면 금주에는 대부분 시간대에서 유포되었으며 특히, 월요일과 금요일에 활동이 활발하게 나타났다. 명절 연휴가 끝나고 다시 악성링크가 활동하려는 모습이 관찰되고 있는 만큼 대비가 필요하다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

1월 1주차부터 2월 2주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 157건(15.7%)으로 지난주와 비슷하였으며, 미국이 191건(19.1%), 프랑스가 299건(30.0%), 독일이 152건(15.2%), 이탈리아가 51건(5.1%), 폴란드가 27건(2.7%), 영국이 22건(2.2%), 네덜란드가 20건(2.0%), 스페인이 16건(1.6%), 홍콩이 11건(1.1%), 기타가 52건(5.2%) 등으로 나타났다.

 

  • 2월 2주차 대표적 유포 이슈

[그림 1. 파밍 알림 서비스를 우회하기 위해 변조된 hosts(hosts.ics) 및 지마켓(Gmarket) 이용을 위한 사전 징후]

지난해 초부터 등장한 파밍 악성코드는 매주 새롭게 변화하고 있는 가운데 금주 파밍 알림 서비스를 우회하기 위한 악성코드가 발견되었다. 파밍 알림 서비스는 지난해 9월부터 미래창조과학부와 한국인터넷진흥원(KISA)이 금융위원회 및 이동통신 3사와 함께 협력해 시행 중인 서비스로 파밍 악성코드에 감염되어 사용자가 가짜 은행 사이트로 접속 시 경고와 동시에 차단하는 역할을 하고 있다. 하지만, 금주 변조된 hosts(hosts.ics)를 통해 발견된 새로운 파밍 사이트 주소는 기존 .kr에서 .kor로 도메인 변경을 통해 파밍 알림 서비스를 우회 하고 있는 모습이 확인되었다. 한편, 다른 파밍 악성코드에서는 지마켓(Gmarket) 사이트를 활용하려는 사전 징후도 포착되었으나 동작은 하지 않았다. 매주 파밍 악성코드는 다양한 통로를 통해 등장하고 있는 만큼 전체적인 범위에 대한 관찰이 이루어지지 않는다면 파밍을 통한 피해는 계속 늘어날 수 밖에 없다.

보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

끝.

 

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 브리핑 요약 주간의 공격 동향 새로운 공격 형태 정보 요약
  • 동향분석보고서– 최소 4 제공
  • 기술 보고서공격 기법 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 스탠다드 브리핑 요약, 동향분석보고서, 기술분석보고서
  • 엔터프라이즈 Daily base C&C 정보, 브리핑 요약, 동향분석, 기술 보고서, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

2013년 악성링크 탐지 및 영향력에 대한 PCDS 전체 기록.




3.20 이후 파급력( 대량 유포를 위한 네트워크 통계 분석 지수) 부분을 보강한 챠트. 제일 밑의 붉은색이 순수 악성링크 출현 수치, 가운데의 노란선이 MalwareNet으로 표현되는 파급력, 전체 유포지 출현 빈도는 파란색..

결론은 2013년은 전체적으로 상당히 높은 빈도의 위협을 유지하였다는 것을 볼 수 있다. 그 결과로 3.20 및 6.25가 발생 되었고 이후에도 추가적인 위협들이 추석 전후/ 12월쯤에 있었던 것을 확연하게 알 수 있다.

3.20 때보다 확연하게 높아진 위험들이 이후로 계속 유지 되었으나 그나마 절반의 성공 ( 좀비 PC 대량 확보 실패 그러나 목적은 달성한..)이라 할 수 있는 6.25 정도로 끝난 게 천만다행이라고 할 수 있을 것이다.

매주 관찰된 결과를 1년 동안 누적한 결과를 살펴보면 틀린 방향을 보고 있지는 않다는 것을 확인한 것이 가장 큰 소득.

이번 2013년 연간 위협보고서의 공개는 세계적으로 유례가 없는 사례집에나 나올 법한 사건들을 연이어 겪은 인터넷 속도(?)강국 전체를 살펴보고 관찰된 데이터라는 점에서 극히 드문 자료라 할 수 있다. 


*문의: info@bitscan.co.kr 


[빛스캔] 2013년 온라인 위협 동향 (연간 보고서).pdf




빛스캔 측의 지난해 월별 동향을 정리해 보면 다음과 같다.
 
◇3월=3.20일 사이버 테러가 일어나기 직전 악성코드의 활동이 급격히 늘어난 정황이 포착되었으며 즉시 수상한 움직임에 대한 경고하였다. 하지만, 3.20 사이버 테러는 방송사를 비롯한 금융권에 장애를 일으키며 상당한 혼란을 야기하였다. 또한 사이버대란을 이용한 파밍 사이트가 등장하였으며 사용자의 금융정보 유출 후 사용자의 PC를 파괴하는 모습까지 포착 되었다. 당사는 3월 20일 이후 26일까지 긴급 대응하여 피해 확산을 방지하는데 노력하였다.
 
◇4월=특정 IP대역에 사전 준비작업(악성파일 업로드)을 해두고, IP만 수시로 변경해 탐지를 회피하고 있는 현상이 관찰이 되었으며 공격자들이 새로운 감염통로 개척하는 등 공격 수준이 3.20 사이버테러 이전으로 정상화된 것으로 추정되며 최종 파일로는 루트킷이 발견되었으며 국내에서는 루트킷과 파밍과 함께 공다팩, 레드킷, CK VIP가 관찰되고 있으며 감염시키기 위해 MalwareNet을 활용하여 감염시켰다. 또한 특정 ISP(홍콩)의 C 클래스를 통해 악성코드 유포뿐만 아니라 악성파일 자체를 업로드하여 전통적인 보안 솔루션을 손쉽게 우회하고 있어 이에 대한 대비가 필요하다.
 
◇5월=5월 1주부터 5월 2주차 까지 홍콩 소재 C 클래스 대역 최소 10개에서 13개까지 꾸준하게 유포를 하고 있다. 지난 3.20 사이버테러 직전에 발생했던 징후(방송사 이름을 가진 악성파일)가 5월 3주차에 나타나기 시작했다. 특히, 감염 이후 C&C 및 접속자 통계 사이트로 연결(감염자 통계를 확인 목적)에 이용된 도메인이 kbsxxx, imbcxxx로 활용된 정황이 발견되었으며 3.20 사이버 테러 직전의 상황과 유사하다고 판단되어 경보단계를 “주의”로 상향하였다. 5월 4주에 매우 비정상적인 유포 움직임이 관찰되어 관찰경보가 "주의" 에서 "경고"로 상향하였다. 그 이유는 전주에 비해 악성링크의 수치 및 영향도가 급격하게 증가한 것이 관찰되었으며 일시에 3~4개의 MalwareNet을 생성하고 총 80곳 이상을 경유지 활용하였으며 백신제품들에 탐지되지 않는 악성코드를 동시에 감염 시도하는 정황이 관찰되었기 때문이다.
 
◇6월=6월 1주 Cool Exploit Kit에서 변형이 된 Red Exploit Kit이 등장하여 국내외에 서 활발한 활동을 보였다. 6월 2주에는 5~6개의 MalwareNet을 이용하여 80여곳 도메인에서 유포가 발생하였다. 하지만, 6월 3주차에 총 6번에 걸친 정보 공유를 통해 대응한 결과 신규 악성링크가 감소한 동시에 파급력도 함께 감소했다. 하지만, 6월 4주차에 다시 MalwareNet의 활동의 증가로 적게는 50여곳, 최대 200여곳에 파급되는 효과를 가져왔다. 
 
◇7월=6월 25일, 사이버테러가 발생 후 신규 악성링크의 발생은 현저히 줄어들었다. 하지만, 영향받는 웹 사이트의 복구가 늦어지며 주말에 삽입되었던 악성링크가 평일까지 유지되는 모습을 관찰하였다. 또한, 7월에 활발했던 공다팩의 비율이 점점 감소하여 7월 4주차에는 CK VIP를 이용한 공격이 다수 발생하였다. 또한, tiancai.html, shifu.html, xiangnian.html를 세트로 한 공격이 일본 도메인을 이용하여 유포하는 모습도 발견하였다. 그리고 7월 3주차에 치음 확인되었던 HTTPS(특정 포트)를 이용한공격이 7월 5주 HTTP URL과 함께 결합되어 공격하는 새로운 형태가 나타났다.
 
◇8월=8월 1주차 난독화를 활용하는 CK VIP Exploit Kit을 이용하는 비율이 80%까지 증가하였으며 지속적으로 특정 포트를 이용하는 공격, 일본, 미국의 도메인을 이용한 국내에서의 유포 현상이 나타났다. 8월 2주차 전체 발견된 악성링크는 당사가 관찰하였던 기간 중 최고로 낮은 움직임을 보였으며 포털사이트를 이용한 파밍이 국내 포탈까지 활용된 정황이 관찰되었다. 8월 3주차에는 다수의 유포지를 활용하여 최종 적으로 다운로드되는 악성코드가 동일한 형태로 확인되었으며, 더불어 특정한 대상을 타깃으로 하는 워터링홀 공격도 함께 관찰되었다. 8월 4주차에는 바이너리와 연결된 C&C 서버를 확인한 결과, 감염된 사용자에 대한 관리가 이루어지는 정황과 함께 추가적인 바이너리에서는 파밍 악성코드와 함께 사용자 PC를 원격에서 제어하는 모습도 함께 관찰되었다
 
◇9월=9월 1주차부터 2주차까지는 8월부터 나타나기 시작한, 최대 40개 웹사이트를 보유한 MalwareNet을 활용하여 최종적으로 하나의 악성코드로 연결되는 공격 방식이 더욱 활발히 나타났으며 이들의 목적은 사용자의 금융계좌를 노린 파밍 악성코드로 확인되었다. 또한, 9월 3주부터 4주차까지는 멀티스테이지가 MalwareNet 과 결합하여 다수 유포되는 현상이 나타났으며 공격자는 국내 IP 차단이 어려운 점을 악용하여 직접적인 유포 경로로 국내 사이트를 이용하고, C&C 서버도 국내 서버를 활용하는 정황도 발견되었으며, 추가 다운로드 된 파일은 파밍의 기능과 함께 감염자 정보를 국내 C&C 서버로 전송하는 역할도 관찰되었다. 9월 5주차에는 전체 발견된 악성링크는 9월 관찰기간 중 최저치를 기록하였다. 더불어, 9/25(수)에 “긴급 의심 정보 공유” 이후 악성링크의 활동은 나타나지 않는 모습을 보였다.
 
◇10월=10월 1주부터 10월 3주까지 전체 발견된 악성링크와 신규 악성링크가 감소세와 증가를 반복하였지만, 미치는 영향은 거의 없는 것으로 관찰되었다. 하지만 10월 2주부터 일부 P2P 사이트에서 악성링크의 유포를 시작으로 10월 3주차에는 그동안 해외에서 관찰 되었던 IE 제로데이(CVE-2013-3897)가 Caihong Exploit Kit에 탑재되어 불특정 다수에게 유포되고 있는 정황을 관찰되었다. 하지만, 미치는 영향은 그리 크지 않은 것으로 분석되었다. 10월 4주차에는 그동안 나타나지 않았던 주요 사이트를 통한 유포와 공다팩이 9개의 취약점을 이용한 유포와 함께 레드킷까지 등장하여 많은 영향을 주었다.
 
◇11월=전체적으로 위협수준이 크게 증가한 가운데, IE 제로데이를 이용한 공격이 감소한 반면, 공다팩의 사용률은 증가하였다. 특히, 악성링크에 대한 초기 정보 수집을 차단하기 위해 시간차 공격이 11월 2주부터 지속적으로 나타났으며 국내 서버를 이용한 공격도 일부 나타났다. 또한, 11월 3주부터는 사용자의 방문이 많은 파일 공유(P2P), 언론사이트를 중점으로 악성링크를 직접 유포하는 모습이 나타났으며 그 결과 파급력은 상당히 높게 나온 것으로 집계되었으며 11월 4주차에는 임계치를 넘어서는 위협적인 모습까지 보였다.
 
◇12월=12월 악성링크, 바이너리, C&C 서버, IP 차단 및 탐지를 회피하기 위한 잦은 변화의 움직임이 지속된 가운데 언론사, 파일공유(P2P), 광고링크 사이트와 같이 영향력이 높은 사이트를 통한 악성코드 유포가 이루어졌으며 MalwareNet 또한 활발한 활동이 나타났다. 유포된 악성링크에서는 CVE-2013-3897이 단독으로 쓰인 악성코드도 등장하였다. 또한, 꾸준히 나타나고 있는 레드킷의 일부 바이너리 링크는 차단 회피를 위해 SkyDrive를 이용하는 정황도 포착되었다.
 
악성코드 자동화 공격 도구에 대해서는 지금까지 국내에서는 다양한 자동 공격화 도구가 출현하였으며, 이러한 공격 도구들은 버전 업데이트를 통해 지속적으로 진화하고 있으며, 난독화를 통해 탐지 및 분석을 위한 디코딩이 어렵게 하고 있는 상황으로, 국내에서 발견되고 있는 자동 공격화 도구는 공다팩(Gondad)과 CK vip에서 변형된 카이홍(Caihong)이 지속적으로 탐지되고 있으며 그 밖에 레드킷(Redkit), 블랙홀(Blockhole) 공격킷도 활동하고 있다고 밝혔다.
 
또 금융 보안위협에 대해서는 지난해 온라인 게임 계정탈취가 주요 이슈였다면 올해는 사용자들의 금융계좌를 노린 파밍 악성코드가 나타났다. 1월부터 시작 된 파밍은 올해가 끝나기 전까지 지속적이고 빠른 변경을 통해 사용자를 속이기 위해 노력하는 모습을 보였다고 분석했다.
 
한편 향후 전망에 대해 빛스캔 측은 “웹, 이메일, USB 또는 사람으로 한정된 위협요소에 대해 우리는 관리 정책과 보안도구들을 이용해서 일정 수준의 보호를 받을 수 있다. 그러나 아직 웹을 통한 대량감염에 대해서는 뚜렷한 관찰도 부족하고 즉시 대응 할 수 있는 체계도 미비함에 따라 2013년에 이어 2014년도 웹을 통한 대량 감염과 공격은 일상적으로 발생될 것으로 예상된다”고 분석했다. 
 
개선 방안에 대해서는 “지속적인 유포지 및 경유지 침해 사고가 발생할 경우에는 웹사이트의 취약점을 분석하여 해결해야 한다. 또한 웹사이트 내에 웹쉘, 루트킷과 같이 악성코드가 숨겨져 있을 수 있으므로, 추가적인 보안 대책이 필요하다”며 “웹 취약점을 해결하기 위해서는 홈페이지의 개발시점부터 유지보수 때까지 개발자가 보안 코딩을 준수해야 한다”고 조언했다.
 



Posted by 바다란
TAG 빛스캔


본 보고서는 2013년 12월에 주간단위로 발행된 기술분석, 동향분석과 브리핑을 참고하여 한달 간의 위협동향을 기술한 내용입니다.


매달 월간 보고서가 공개용으로 발행 되고 있습니다. 본 12월 월간 보고서는 지난 1월 29일 정기 보고서 발송일에 발행된 내용으로서 12월간의 전체적인 위협을 관찰 하고 확인 할 수 있습니다. 또한 대표적인 위협들을 기술함으로써 현재의 변화에 대해서도 확인 할 수 있도록 제작 되고 있습니다.


상세한 내용은 주간 단위로 발행되는 정식 정보제공 서비스를 구독하셔야 가능하며, 개략적인 내용은 주간 동향요약과 매달 발행 되는 전월의 월간 인터넷 위협동향 보고서를 통해서 확인 하실 수 있습니다.


* 2013년 연간 보고서도 1월 4주차에 정식 고객을 대상으로 릴리즈 되었으며, 곧 공개용으로도 만나실 수 있습니다.



<2013년 12월 위협레벨 동향>

12월 1주부터 증가된 신규 공격코드의 영향력은 MalwareNet과 일부 대형 사이트와 결합이 되면서 국내 인터넷 환경에 심각한 위협을 가져왔으며, 그 결과 12월 3주까지 인터넷 위협 등급을 “경고”로 유지하였다. 하지만, 12월 4주 차부터 효과적인 공격이 발생하지 않았고, 소규모적인 공격이 발생하여 “주의” 단계로 한 단계 하향 조정했다.



2013.12월 월간 동향 총평

12월 악성링크, 바이너리, C&C 서버, IP 차단 및 탐지를 회피하기 위한 잦은 변화의 움직임이 지속된 가운데 언론사, 파일공유(P2P), 광고링크 사이트와 같이 영향력이 높은 사이트를 통한 악성코드 유포가 이루어졌으며 MalwareNet 또한 활발한 활동이 나타났다. 유포된 악성링크에서는 CVE-2013-3897이 단독으로 쓰인 악성코드도 등장하였다. 또한, 꾸준히 나타나고 있는 레드킷의 일부 바이너리 링크는 차단 회피를 위해 SkyDrive를 이용하는 정황도 포착되었다.



상세 내용은 첨부 보고서를 참고 하세요.



[빛스캔] 월간인터넷동향보고서(2013.12).pdf



Posted by 바다란
TAG 빛스캔

인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

[표 1. 1월 4주차 한국인터넷 위협지수]

1월 4주차 전체 발견된 악성링크 및 신규 경유지는 레드킷의 활발한 활동으로 인하여 대폭 증가하는 모습을 보였지만, 기존 공다팩이나 Caihong 공격킷 등의 공격이 많이 발생하지 않아 파급력은 상대적으로 작게 나타났다. 지난 주와 마찬가지로 레드킷은 특정포트(8000번)를 사용하고, 도메인은 특정 국가로 한정되고, 바이너리는 SkyDrive를 통해 유포된 것으로 분석되었으며, 특히, 바이너리 분석 결과 가상환경에서 분석하기 어렵도록 Vmprotect를 이용한 정황도 포착되었다. 금주 더욱 활발해진 레드킷의 영향과 지속적으로 나타나는 영향력있는 사이트의 악성링크 유포가 지속되고 있어 인터넷 위협 수준을 "주의" 단계로 그대로 유지한다.

 

[표 2. 시간대별 통계]

 

설날 연휴를 앞둔 시점에서 평일을 통해 유포하는 비율이 높아지는 모습이 매년 나타나고 있다. 주중에는 다수의 레드킷이 영향을 주었지만, 공다팩과 카이홍 공격킷도 일부 영향력 있는 사이트를 통해 활발한 모습을 보였다. 하지만, 주말에는 활동이 거의 나타나지 않는 한가한 모습을 보였다.

[표 3. 최근 1달 악성링크 도메인 통계]

2013년 12월 4주차부터 2014년 1월 4주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 226건(16.9%)으로 지난주에 비해 증가하였으며, 미국이 201건(15.1%), 프랑스가 555건(41.6%), 독일이 168건(12.6%), 이탈리아가 32건(2.4%), 폴란드가 29건(2.2%), 스페인이 21건(1.6%), 네덜란드가 18건(1.3%), 영국이 16건(1.2%), 러시아가 15건(1.1%), 기타가 54건(4%) 등으로 나타났다.

 

  • 1월 4주차 대표적 유포 이슈

[그림 1. 경기도기술학교를 통한 악성코드 유포]

경기도에서 관리하는 경기도기술학교(vo.gg.go.kr) 도메인이 1월 21일부터 23일까지 공격코드 유포지와 악성코드 경유지로 각각 활용이 되었던 정황이 포착되었다. 특히, 공격코드가 들어있는 유포지로 활용된 이틀간 약 80여개 사이트에 영향을 주었으며, 경유지로 활용될 당시에 구글의 StopBadware는 접속하는 사용자에게 아무런 경고를 하지 않는 모습이 확인되었으며 이 기간 사이트를 방문한 사용자는 악성코드에 감염이 되었을 확률이 매우 높다. 국가 도메인을 악성코드 유포지 및 경유지로 이용한 경우는 매우 이례적인 사례이며 발견되지 않은 이슈가 더 있을 것으로 보인다.

보다 세부적인 사항은 전문 보고서를 참조하시기 바랍니다.

끝.

 

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 브리핑 요약 주간의 공격 동향 새로운 공격 형태 정보 요약
  • 동향분석보고서– 최소 4 제공
  • 기술 보고서공격 기법 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 스탠다드 브리핑 요약, 동향분석보고서, 기술분석보고서
  • 엔터프라이즈 Daily base C&C 정보, 브리핑 요약, 동향분석, 기술 보고서, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

문제 근본을 보자.


KCB의 FDS 개발 담당자가 확인된 것만 1년 전부터 고객사들 시스템 구축하면서 정보를 빼냈다고 한다. 그렇다면 KCB의 내부 데이터들은 이미 오래전 이야기 아닐까? 

당연히 그럴 것이다. 또한 그걸 통제할 수 있는 범위와 권한은 보안 실무자들에게 주어지지도 않았을 것이고.. 내가 보기엔 이번 유출 범위는 3개 회사가 아니고 좀 더 상세히 본다면 국내 금융기관 전체의 데이터들이 유출 되었다고 봐야 할 것같다. ( KCB가 대부분의 금융기관으로부터 데이터를 받아서 가공한 뒤에 제공을 하는 역할인데 이게 무슨 의미인지 생각 해야 되지  않겠나? )


결론적으로는 금융기관, 금융기관의 정보를 가공해서 제공하는 기업, 통제와 관리 책임을 가진 금융정책당국들 모두가 한통속의 책임을 가지고 있다. 책임전가와 회피는 현재의 상황에서 전혀 무의미하다. 회피 할 수록 더 깊이 들어가게 될 것이다.



Wiki 설명에 따르면 KCB의 구성과 내용은 다음과 같다.

http://ko.wikipedia.org/wiki/%EC%BD%94%EB%A6%AC%EC%95%84%ED%81%AC%EB%A0%88%EB%94%A7%EB%B7%B0%EB%A1%9C


"코리아크레딧뷰로(KCB, Korea Credit Bureau) 주식회사는 서울특별시 종로구에 본사를 둔 대한민국의 개인신용평가 전문회사(Credit Bureau)이다. 2005년 2월 22일, 신용정보의 이용 및 보호에 관한 법률에서 정하는 신용조회 및 신용조사업무, 기타 위와 관련된 부수 업무를 목적으로 하여 설립되었다. 자본금은 500억원이며 은행, 카드, 보험사 등 19개 법인이 주주로 참여하고 있다. 


국민은행, 삼성카드, 서울보증보험, 우리금융지주, LG카드, 농협, 하나은행, 신한금융지주, 광주은행, 삼성생명, 외환은행, 경남은행, 교보생명, 대한생명, 삼성화재, 비자카드, 현대카드, 현대캐피탈 등의 국내 주요 금융회사이다.


~~

KCB는 은행, 신용카드사, 보험사 등 금융회사나 공공기관으로부터 개인신용정보를 수집해 가공한 후 이를 다시 금융회사에 제공하고 있다. KCB는 금융회사들의 리스크 관리 인프라 역할을 수행하는 대한민국 내 최대의 데이터 풀(Data Pool)을 확보하고 있다는 평가를 받고 있다. [2] 대한민국 국민 신상정보의 70% 이상인 3600만개의 데이터를 보유하고 있다. 경제활동 연령대인 20~59세 인구만 따로 분석했을 때엔 98% 수준에 육박한다."


사실상 대한민국 경제활동의 전체에 대한 민감한 정보가 모두 유출되었다고 보아야 할 것이다. 지금이야 USB를 통해 목록화된 1억건만 이슈가 되고 있고 3개 카드사만 문제가 되고 있다고 보도되고 있지만 과연 그럴까?


상대적으로 감시나 눈길이 심한 고객사에서도 정보를 빼냈는데 자신의 회사에서 안빼냈을까?


이전에 주민번호를 대체하기 위해 아이핀이란 제도를 시행 할때 아이핀에 대한 인증을 신용평가사를 통해서 확인 하도록 되어 있었다. 그때 지적한 문제가 만약 모든 정보를 쥐고 있는 신용평가사가 해킹이나 정보 유출이 된다면 어떻게 할 것인가 였다!...


이때 신용평가사에 대한 해킹이나 정보유출에 대한 답변은 없었다. !!!

그리고 그 문제는 이제 발생 되었다.  당연한 예상이였으나 답은 없었다는 것.



금융회사들이 주주로 참여하여 또 다른 회사를 만들고 정보를 공유하고 가공하여 또 다른 이득을 창출한다.  모든 것이 효율성과 수익에만 철저하게 맞춰져 있다. 그 기반이 되는 정보는 그냥 수익의 도구 일뿐이다. 



결론은 KCB랑 금융기관은 동맹군이며, 금융정책당국은 사령부 역할 정도 한다고 보아야 된다.  동맹군이니 가장 민감한 곳간의 열쇠도 맡겨두고 턱 하니 믿고 일한 것 아닌가?  사령부도 당연히 그랬을 것이고.. 전쟁의 패전 책임은 장수와 사령부 모두에게 있다. 패하고 난 이후에 동맹군이 배신을 해서 패했다는건 말도 안되는 변명일 뿐이다. 전쟁에 패해서 망하기 직전까지 왔는데도 책임전가를 이야기하는 사례는 고대로부터 어마어마하게 많은 사례가 있다. 


패전의 책임은 위로부터 엄밀하게 물어야 할 것이다.  이번과 같은 대참사의 원인은 경계의 실패가 아니다. 책임은 관료화된 결정과 책임회피를 일상으로한 감독기관 그리고 금융기관 모두의 동반책임을 져야할 엄중한 상황이다.




기반이 튼튼하지 못하고 모양에만 집중하다 기둥이 한꺼번에 무너져내린 경우라 할 수 있다.  KCB도 데이터베이스 품질대상과 국내 최초 데이터 관리 인증에 빛나고 있다. 허울 좋은 인증과 관리체계들도 단지 홍보와 구색맞추기 수단으로 전락하고 있는 상황에서 실질적인 보안은 먼 나라 이야기다.  


* 2013년 11월 한국데이터베이스 진흥원이 주관하는 데이터 관리 인증(DQC-M)에서 국내 최초로 통합 3레벨을 인증 


*11월 29일(금) 한국지능정보시스템학회 추계학술대회에서 KCB가 '빅데이터 대상' 수상


* 11월 28일(목) KCB가 2009년에 이어 다시한번 '2013 데이터품질관리대상'을 수상


* 2012. KCB가 금융소비자보호대상 기타 공공부문에서 최우수상(금융감독원장상)을 수상


* 2007년 10월 5일 'KCB ISO27001 인증 획득

Posted by 바다란


개인정보보호는 지붕이다.

기술적 보안은 기둥이다. 기둥이 무너지는데 지붕만 수선한다. 지금의 정보유출 사고들도 지붕만 삐까뻔쩍하게 만들 가능성이 매우 높다. ( 거의 100%) 그러나 기둥이 없는데 집이 될리가 있나?  규제와 통제들은 모두 지붕만을 쳐다본다. 기둥은 오래전 기둥이라 낡아서 흔들리는데 그건 쳐다 보지도 않는다. 집을 튼튼하게 해야 할 생각을 해야지 감시만을 피하고자 한다. 이건 본질과 상당히 멀다. 기둥이 무너지면 황금지붕도 의미가 없다는 것을 알아야 할 것이다.


현재 위협들에 대해 기술적인 방안들이 유연하게 대처하지 못하는 상황에서 지붕만 강화한다고 대책이 되나?


현실을 직시하고 


'정보유출' 카드사, 문자서비스 全고객 무료

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&oid=001&aid=0006706290&sid1=001



전체 카드 교체 및 재발급이 먼저 일 것 같은데..

대출기록이나 민감한 신용정보가 유출 되었다면 이건 관리상의 책임과 보상이 있어야 할 것이고.. 꼴랑 문자서비스 무료??


안 그래도 다른 문자들도 공해 수준으로 엄청나게 받고 있는데, 이런 걸 수습방안이라고...


매번 사건이 발생 될때마다 사건에만 집중한다. 그 상황에서 방향은 어디론가 사라지고 없다. 

개인적으로 전체 현상을 살펴보면 정보 유출의 원인은 몇 가지로 집약 되고 있다. 이번 금융 정보 유출의 경우에는 USB 사용 금지나 감시, 관리 강화 방안만 나올 것이 뻔하지만 .. 앞으로 나올 문제들 그리고 이미 출현한 문제들에 대해서도 살펴 봐야 "뒷통수" 맞지 않을 것이다. 지금 대책 수준이라면 앞으로 뒷통수는 내준 거나 진배 없다.


현재 정보유출의 원인은 세 종류만이 있다.

  • 웹.( 웹서핑을 통한 감염, 웹서비스 직접 침입등)
  • 이메일
  • USB ( 혹은 사람)
  • 정보유출의 모든 것이 이 세 가지 유형으로 발생된다.
    그래도 현재 통제가 가능한 것은 USB, 이메일 정도.

    이메일이 늦게 온다고 심각한 문제가 생기지 않는다. 다들 그럴 수도 있지 정도.. 즉 포함된 파일에 대한 실행등을 통해 충분히 검증 할 수 있는 여유가 있다는 것.

    USB및 사람은 통제 정책의 문제. 

    마지막으로 웹은? - 지금 웹서핑 금지하는 곳들 있나? 아예 안되면 모르겠는데 일부라도 되면 그건 문제는 똑같다. 그렇다고 웹서핑 할때 해당 사이트 검사한다고 연결 중지 시켜 놓고 점검한 뒤에 세션을 붙여 줄 수 있나? 
    ( 그래서 Fireeye 솔루션들은 감염된 이후의 트래픽을 통해 내부 네트워크를 돌아 다니는 악성기능을 찾는 것일꺼다. 앞단에서의 검증이 불가능하니까.. 사실 현재 글로벌하게 예방 기능의 제공은 구글 크롬이 유일하지 않을까? 누구도 영역을 커버하기엔 어려우니 당연할 것이다. )


    이메일은 기다릴 수 있어도, 웹 서핑은 단 몇초의 지연도 어렵다. 이 상황에서 악성 유무를 검사한다는 것은 택도 없는일.

    지금 정보 유출되고 문제가 되는 것은 그나마 통제라도 가능한 영역이라는 점일 것이다. 여러 헛점들이 있어서 악용 되겠지만 계속해서 보완을 하면 안정화는 충분히 찾을 수 있을 것이다. 그렇다면..웹은 어떨까? .. 웹 서핑만 해도 감염될 확율이 높은 상황에서 내부 사용자 PC가 감염되어 유출 되는 것이나 피해를 입히는 것을 어찌 막을 수 있을까?


    문제를 객관화 해서 본 이후에, 효율적인 방안들이 모색되고 적극적으로 실행 되어야 정보유출도 해결 될 것이다. 정보 유출의 원인을 크게 보아야 할 것이고 큰 범주에서 실행 되어야 할 것이다.

    타켓의 4천만 카드 정보 유출은 POS 에 대한 해킹 이후 악성코드 감염으로 발생 되었음을 알아야 된다. 그리고 타켓과 같은 유형의 정보 유출은 사람을 통한 은밀한 유출과 사용과는 다르게 순식간에 널리 확산되어 보호 할 방안이나 수습 방안도 어려울 것임을 생각해 봐야 하지 않을까?

    이제 라운드 II. 
    지난 해에 이어서 본격적으로 공습들이 시작될 것이고, 확인된 자신감만큼 거세게 흔들 것이다. 웹과 이메일을 통해서 말이다. 웹을 통한 악성코드 감염과 내부침입을 통제할 수 있는 곳 그리고 정보에 대한 통제정책을 확실히 수행하는 곳만이 살아남는다.

    정책이야 사람을 늘려서 어찌한다 해도..웹은 어쩔 것인가?


근본적인 원인과 위험 요소를 알아야 전체적인 대책이 된다. 한 방향만 보면 기형적으로 발달하게 되고 그 사이에 또 다른 뒷통수를 맞게 된다.  현재 상태를 알고 핵심에 대해 집중을 해야 함에도 불구하고 전체적으로 비효율성의 극치에 도달하게 될 수밖에 없다. 이게 설상가상이라 하는 것.



대체 지켜야 될 중요한 것이 무엇이란 말인가?

필수 관리 인력도 비용절감과 효율성이란 측면에서 IT 자회사들 모두 만들고 이런 자회사 인력들 돌려 가면서 활용 하지 않았던가?


내부에 전문가를 키우지 않고 단지 도구로서만 보니 아웃소싱도 하고 대부분의 IT 혹은 보안 인력들을 모두 몰아두고서 공동 활용 한 것 아닌가? 금융기관들중 지금은 보안 기능까지 자회사가 관여하지 않는 곳들은 없지 않나? 보안이란 것 자체가 서버에 권한을 가지고 있는 것인데 말이다. 그리고 그들을 단지 자회사에 시키는 일을 하는 조직이라고 무시하지는 않았는가?  ( 행동은 아니더라도 급여는 차이가 명백 했을꺼다. 지금도...)


2011년 농협 사태 당시 내부 인력 중에 서버군들을 직접 다룰 수 있는 인력이 거의 없어서 문제의 시발점 이였던 IBM의 복구에 의존 할 수 밖에 없었다는건 시사점이 있다.


그리고 지금 금융 기관이나 회사들 중에 IT 아웃소싱 하지 않는 회사들이 있나? 회사 하나 만들고 그 인력들 뺑뺑이 돌리지 않는 기관들이 있나? 자회사 인력들의 급여수준은 말 하나 마나이고..


즉 지금의 문제는 "전문인력들을 키우지 않았다는것" , 경영 효율화란 명목으로 필수 기능인 보안과 감시 기능에 해당하는 것들도 모두 자회사에 몰아 넣고 "자원의 공동 활용" 이란 측면으로 이용 했다는 것.  특히 자회사의 "전문가들을 단지 도구로 보았다는 것" ..


관리나 통제, 기획이 가능한 인력들을 단지 도구로 보고 시키는 대로 하라고 했으니 제대로 될리가 있나? 


이 모든 것의 근원은  " 경영진들의 정보를 보는 시각"이 가장 큰 문제이다. 단기간의 성과에만 매몰되니 효율화란 항목으로 잘 모르는 기능들은 모두 한 곳에 몰아 넣은 것하며, IT 기술 기반하에서 운영되는 작금의 대부분의 시스템에서 조차 "정보의 관리와 통제, 보호 방안들에 대한 인식 미비"가 가장 크다.



만약 전문가들이 있었다면, 대책이나 규정을 제시하는 기관들에도 전체를 보는 인력들이 있었다면 현상의 근원을 처음부터 따져가면서 전체 위험에 대한 Flow를 제시 했을 것이다. 지금은 그냥 사건/사고 발생 되는대로 우루루 몰려가며, 잠잠해 지기만을 기다리고 머리 숙인다. 


그런다고 문제가 사라지지 않는다. 인원수 많다고 동네축구가 프리미어리그가 되지 않는 것이다.  감독이 몰려 가라고 하는데 메시가 무슨 소용이란 말인가?  감독이 제대로 되어 있지 않고 선수들 포지션도 엉망이다. 그래서 "동네축구"인데도 불구하고 유니폼만 그럴싸한 프리미어리그급인게다. 


감독이 게임 전체를 보지 못한다. 선수들의 특성을 모르고 무엇이 중요한 줄 모른다. 이게 전반적인 문제라고 할 것이다.


* 효율화란 측면으로 인력 재배치 및 자회사 활용 ( 보안이 여기에 해당)

* 기획은 본사에서 실행은 자회사에서.. ( 실무를 누가 담당 하나? 대우는 낮은데 딴생각 품는게 당연하지.- 또한 전문가의 의견들을 듣지 않는 결정자나 결정부서가 어떤 변화를 기대 하는가? )


이 모든 사고들은 기술을 단지 도구로 보고 관리의 대상으로 직접 보지 않은 인식이 문제다.  국가차원에서도 마찬가지.  단기 성과에 집착하는 경영진이 비용으로만 인식되는 보안과 기술을 가치라고 보기나 하겠는가?


"비용으로서의 보안"에 대해 절대적인 인식 개선이 기업이나 국가의 리더급에서 인식 하지 못한다면 이건 끝. 이제 생존의 문제라는걸 절실하게 이해 하도록 하는 변화와 노력이 요구된다.






국가의 경우에는 Risk란 측면에서 전체를 보는 전략가가 필요한 것이고.. 전문가들이 대책을 수립 하려면 서비스에 대한 이해가 당연히 높아야 되는 것 아닐까? 전문가들을 도구로서 내몰아 놓고서 과연 이게 될까? 


관제라는 명목으로 분야별 전문가들이나 보안전문가로 성장하고 싶은 많은 새싹들과 인력들이 "인건비" 싸움에 내몰려 24시간을 교대로 지키고 보고서 작성하는 머신으로 동작하는게 지금의 현실이다.


이 상황에서 전문가로 성장한다는 것은 택도 없는 사치스런 생각일뿐. 


전문가를 키웠는가? 전략가가 있는가?  국가든 기업이든 생각이나 했는가? 만약 있다면 그들은 어떤 목소리를 내며, 그 목소리와 이야기를 얼마나 듣고 존중 했나?  단지 구색 맞추기와 형식으로 치부하지 않았나 말이다.  


보안은 비용이 아니라 기업이나 국가 생존을 위한 문제라고 했다.  이번 정보유출의 경우에도 생존과 직결될 정도의 인식을 못가지게 된다면 이제 대한민국에서 지켜야 할 것은 없게 될 것이다.


경영진이 생존과 직결되었다는 인식을 못가지는한 기업이나 국가나 바람앞의 불일뿐이다.

변화는 시간제한이 있다. 너무 늦은 시간이 아니길...  - 바다란

Posted by 바다란


기사 내용은 별반 없다.

http://threatpost.com/google-blocks-malicious-file-downloads-automatically-in-chome/103604


Google has fixed five vulnerabilities in its Chrome browser and also has activated a feature that will block malicious file downloads automatically. The change is a major security upgrade for Chrome and will help prevent users from unwittingly downloading harmful files, an attack vector that attackers count on for the success of drive-by downloads and other attacks.

Attackers rely on their ability to install files on victims’ machines, either with the cooperation of the user or through an automatic download in the background. That’s the essence of many Web-based attacks today and the change in Chrome will give users an extra layer of protection, even if they happen to click on a malicious file or visit a site that’s serving malware.

Along with that change to Chrome’s security, Google also fixed five separate security flaws in the browser, including one that could have been used to force the browser to sync with an attacker’s Google account. Here’s the list of the vulnerabilities patched in Chrome 32:

In addition to those vulnerabilities, reported by external researchers, Google also fixed nearly 20 other flaws that were discovered during the company’s internal security efforts.


이제 구글의 차단 모델을 공식화 한다는 것. 이제 비용지불과 댓가를 지불하는 시간은 더욱 가까워진다는 것이 핵심.


- 구글 크롬 취약성 5개 패치

- 최신 크롬 버전에서는 공식적으로 차단 ( 사용자의 악성파일 다운로드 그리고 악성코드 감염에 이용되는 웹서비스들에 대한 차단)




취약성 패치를 제외하고는 동일하다. 그러나 지금까지 구글이 Stopbadware를 이용한 차단 모델을 공식적으로 알린 사례는 없으므로 의미가 있다고 하겠다.


구글의 문제점도 여전히 동일.. 모니터링 범위를 벗어나거나 감시 임계치를 벗어나서 자주 변경되고 사라지는 공격 코드들에 대해서는 여전히 방법이 없다.



위험한 가능성이 있는 곳에 대한 경고가 끝! 그리고 그 위험한 가능성도 범죄 현장을 보존하는 "폴리스 라인"에 지나지 않는다.  우범지대를 피하면 범죄는 줄어들 수 있다. 사용자가 줄어들게 되면 공격자들은 다른 대상을 찾게 된다. 그리고 지능적으로 변화된다.


지금까지의 행동과 역할만으로도 전 세계 어떤 기업이나 기관도 그들을 이겨낼 수 없다. 최소한 그들과 동등하거나 비교될 만한 가치를 제공 할 수 없다. 보안회사들도 한계치 이고 역부족이다.


전략으로는 제한된 영역 내에서의 촘촘한 감시망을 통한 비교우위를 가지는 것만이 남았을 뿐이다.  누가 그들만큼 멀리 보고 노력 했는가?


누가 그들만큼 비용과 인력, 시간을 투입 했는가?

아무도 하지 않았다. 그리고 그 결과는 더 빨리 다가올 것으로 보인다. 


예상보다 더 빨라질 것.


안드로이드, 크롬 .. 유.무선을 연결하고 사물인터넷까지 연결되는 광범위한 생활 영역에 대해 구글은 그들의 안전한 데이터를 적용하게 될 것이다.  공짜로 하게 될 것이라고? 착각도 자유다. 최소한 대부분의 IT 기업과 기관들이 그들의 의도에 의해 끌려갈 수밖에 없다. 압도적 비교우위를 가지는 보안 기능으로부터 자유로울 수 있는 곳은 이제 없다. 전 세계 그 누구도~


생각해 보라.  앞으로도 웹이나 모바일을 통한 악성코드 감염 위협은 극도로 높아질 것이 확연한데 거기에 대한 보호 모델을 제공하며 ( 단순한 요소기술이 아닌 진짜 빅데이터와 기술을 결합한 상황) , 실제 보호까지 이루어진다면  그걸 사용 하지 않을 곳이 어디일까?  그때부터 종속이 된다. 지금도 종속이지만 앞으로는 더욱 깊숙하게 된다는 것이다.


"공포마케팅"이 아니라 실제화된 위험이다. 이걸 제어하지 못하는 곳들은 종속된다.  한국에 있을까? 그냥 웃자.


제한된 영역에서의 전략전 비교우위를 지니는 것조차도 힘들게 될 것이다. 아무도 고민 하지 않았으니까..



http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=038&aid=0002457829


"기술종속 비애… 구글에 뒤통수 맞은 이통사들"


위의 기사가 그냥 나왔을 것이라고 생각하면 안된다. 이통사들도 할 말없다. 비용 대비 효과라는 말로 무료제공 이라는 말에 덥석 물어서 이득을 내온 행태를 돌아 봐야 할 것이다. 이럴 줄 몰랐다고? 어처구니 없는 변명.


경영이란 단기적 성과가 가장 두드러지게 보인다. 그러나 길게 본다면 흐름을 알고 저 멀리에서 다가오는 거대한 파도를 볼 줄 알아야 할 것이고, 준비를 할 수 있어야 하는 것 아닐까?  


지금 상황은 " 전략적인 대 실패" 그리고 대안이 없다. 그냥 속절없이 당할 수 밖에~~


시장을 먼저 형성하게 한다음 거둬 들인다는 전략. 이런 플레이마켓 조차도 당연한 과정을 거치는데 이보다 더 거대한 그물을 쳐둔 Security로는 심할 경우 국가에 대한 압력도 가능할 것으로 보인다.  


"우리가 지켜준다. 그러니 너희는 무장하지 마라. "

스스로 지키려는 세력들은 압도적 우위로 경쟁 대열에조차 끼우지 않는다. 그렇게 자생하는 시장은 사라지게 될 것이다.  그 이후에는 " 계속 보호를 받고 싶으면, 세금을 내라!!!"  당연한 수순 아니던가?


하찮게 생각하는 Security가 이제 전체 ICT 생태계를 쥐고 흔들게 될 것이다. 모두가 소꿉장난을 하고 동네 땅따먹기를 하고 있을때 말이다.


- 바다란

Posted by 바다란