태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<12월 4주차 한국인터넷 위협지수>

12월 4주 전체 발견된 유포지(웹 사이트)의 증가는 지속되는 모습을 보였지만 신규 경유지(악성링크) 및 파급력은 매우 낮은 수치를 기록하였다. 금주 국내 도메인을 이용한 악성링크가 다수 등장한 가운데 최종 바이너리로 연결 시 IP주소와 PORT번호를 변경하여 백신 탐지를 회피하는 정황도 확인되었다. 일부 바이너리는 국내 백신을 우회하는 정황이 발견되었으며 추가적 행동을 위해 C&C 서버와 지속적으로 통신하는 모습도 관찰되었다. 또한, 레드킷 역시 꾸준한 활동을 이어가는 가운데 최근에는 하나의 웹 페이지 내에 매개변수가 다른 링크를 다수 삽입하는 모습이 나타났으며 그 결과 전체 발견된 유포지(웹사이트)의 증가에 영향을 주었다. 게다가, 레드킷을 통해 나타난 일부 바이너리 링크는 차단 회피를 위해 SkyDrive를 이용하는 정황도 일부 포착되었으며 최초 링크를 차단하지 못한다면 피해가 확산될 것으로 예상된다. 금주 신규 경유지와 파급력은 감소하였지만 (감염될 수 있는) 통로가 여전히 열려 있고, 언제든지 이용될 수 있는 위협이 존재하지만, 악성링크를 통한 영향력 측면에서는 소강상태가 유지되고 있어 인터넷 위협 수준을 "주의" 단계로 하향 조정한다.

 

<시간대별 통계>

시간대별 통계를 살펴보면 월요일 ∼ 일요일까지 전시간에 걸쳐 악성링크의 활동이 있었으며 특히, 지난주와 비슷하게 주말에는 더욱 수치가 증가하는 모습을 보였다. 악성링크의 움직임이 한정되지 않은 만큼 지속적인 관찰과 범위 파악을 통한 대응이 필요할 것으로 보인다.

<최근 1달 악성링크 도메인 통계>

11월 3주차부터 12월 4주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 214건(36.6%)으로 지난주에 비해 다소 감소하였으며, 미국이 205건(35.0%), 독일이 71건(12.1%), 폴란드가 17건(2.9%), 러시아가 15건(2.6%), 홍콩이 11건(1.9%), 네덜란드가 10건(1.7%), 프랑스가 10건(1.7%), 태국이 8건(1.4%), 일본이 4건(0.7%), 영국이 3건(0.5%), 우크라이나가 3건(0.5%), 스페인이 2건(0.3%), 오스트레일리아가 2건(0.3%), 싱가포르가 2건(0.3%), 이탈리아 2건(0.3%), 유럽이 2건(0.3%), 포르투갈이 2건(0.3%), 중국이 1건(0.2%), 스웨덴 1건(0.2%), 터키가 1건(0.2%), 캐나다가 1건(0.2%), 등으로 나타났다.

 

<최근 1달 악성링크 도메인 통계>

국가별 경유지(악성링크) 도메인 통계를 분석한 결과 한국이 30건(30.6%), 독일이 24건(24.5%), 미국이 18건(18.4%), 러시아가 5건(5.1%), 태국이 4건(4.1%), 홍콩이 3건(3.1%), 폴란드가 3건(3.1%), 프랑스가 3건(3.1%), 네덜란드가 3건(3.1%), 스페인이 1건(1.0%), 포르투갈이 1건(1.0%), 영국이 1건(1.0%), 오스트레일리아 1건(1.0%), 유럽이 1건(1.0%)로 나타났다.

 

끝.

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

인터넷 위협 수준: 관심

Bitscan PCDS 주간 동향 브리핑 요약

*위협은 끝나지 않는다 형태만이 변경되고 달라질 뿐이다.


( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )


<주간 유포된 도메인 수>

 

8월 1주차에 발견된 악성 관련 링크는 지난 주에 비해 더욱 감소를 하였고, 신규 악성링크도 또한 56% 정도 감소하였다. 하지만 다양한 공격은 지속되고 있으며, 특히, 이중 난독화를 활용하는 CK VIP Exploit Kit을 이용하는 비율(전체 Exploit Kit 비율 중)이 전주 대비 약 50%에서 금주에 약 80%까지 증가하였다. 지난주에 나타났던 특정포트를 이용하는 공격, 일본, 미국의 도메인을 이용한 국내에서의 유포는 금주에도 계속 이어졌다. 또한, 태국의 특정 IP 대역을 이용한 유포가 관찰되었다. 금주에는 비정상적으로 공격 활동이 줄어든 정황이 관찰되고 있으며, 새로운 공격 유형 및 위협이 생길 가능성이 예상되고 있어서 "인터넷 위협" 수준을 "관심" 단계 그대로 유지한다. 

 

<시간대별 통계>

 

시간대별 통계를 살펴보면 지난주 주말 집중적으로 많은 유포를 보였던 악성링크의 활동이 금주 주말에는 감소하는 모습을 보였다. 하지만, 평일의 활동은 지난주와 비슷한 모습을 보였으며 수요일 – 금요일까지 꾸준히 유포하였다.

<최근 1달 악성링크 도메인 통계>

 

7월 1주차부터 8월 1주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 221건(52.6%), 미국 52건(12.4%), 일본 132건(31.4%), 홍콩 1건(0.2%) 네덜란드 1건(0.2%), 태국 12건(2.9%), 독일 1건(0.2%)등으로 나타났다.

 

<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과 일본이 19건(40.4%), 한국이 16건(34.0%), 미국이 6건(12.8%) 태국이 6건(12.8%)순으로 차지하였다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락주십시오.

감사합니다.

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

인터넷 위협수준도 낮아졌으나, 불씨는 여전한 상황.. 6월의 기록은 주간 브리핑 요약 신청하셔서 받으시는 분들에게도 월간 보고서 발행 되었습니다. 정식 보고서용이 공개용으로 제공이 되었으니 받으신 분들께서 잘 활용하시기 바랍니다. 다음달에는 마스킹된 보고서로 제공이 될 것입니다.


[인터넷 위협 수준: 관심

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 








<주간 유포된 도메인 수>

 

7월 1주부터 증가했던 악성링크 활동이 7월 4주차에는 주춤하는 모습을 보였다. 하지만, MalwareNet 을 이용한 공격은 지속되고 있으며 tiancai.html, shifu.html, xiangnian.html를 세트로 한 공격이 일본 도메인을 이용하여 유포하는 모습이 관찰되었다. 국내 or.kr(비영리 목적의 기관이나 단체) 도메인을 경유지로 하는 악성링크를 확인하였으며 대부분 파밍 악성코드로 분석되었다. 감염 과정 중에는 공격자가 피해자의 정보(MAC 주소, IP 주소 및 국가, 감염시각)를 수집하는 웹사이트도 발견되었으며, 꽤 많은 감염이 이루어지고 있음을 추정할 수 있으며, 감염자에 대한 2차, 3차의 피해를 줄이기 위해서는 전체적 범위 관찰과 함께 웹사이트에 대한 관리가 필요하다.

 

<시간대별 통계>

금주 시간별 통계를 살펴보면 지난주와 달리 주말을 이용하여 많은 수를 유포하였다. 구체적으로 살펴보면 금요일 – 화요일까지 유포가 이루어 졌으며 주말에 삽입되었던 악성링크들이 제거되지 않아 평일인 화요일까지 지속적으로 유포가 된 것으로 보이며 웹사이트 관리자는 비정상링크에 대한 빠른 대처가 필요해 보인다.

 

<최근 1달 악성링크 도메인 통계>

 

6월 3주차부터 7월 4주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 235건(42.0%), 미국 212건(37.9%), 일본 108건(19.3%), 독일 1건(0.2%)등으로 나타났다. 유럽에 대한 경유지가 감소한 이유는 RedKit 의 활동이 줄어들었기 때문이다.

 

<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과 한국이 46건(51.0%), 일본이 18건(36.7%), 미국이 6건(12.2%) 순으로 차지하였으며, 유럽 쪽은 나타나지 않았다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락주십시오.

감사합니다.

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )









<주간 유포된 도메인 수>

 

7월 3주 전체 악성링크 및 신규 악성링크는 2주차의 비해 소폭 상승하였으며, 신규 악성링크 중에는 기존의 HTTP(TCP 80)를 통한 유포가 아닌 HTTPS(특정 포트)를 이용하여 유포하는 사례가 발견되었다. 특히, 악성링크의 경유지를 확인하는 과정에서 HTTP(TCP 80)와 HTTPS(특정 포트)를 서로 교차 하여 사용하고 있는 정황도 확인하였다. 이처럼 HTTPS는 단말간 암호화를 지원하기 때문에 중간에 위치하는 보안장비를 우회할 수 있는 장점을 가지고 있어 탐지 및 분석이 더욱 어려워질 것으로 예상되며, 경유지 및 유포지를 사전에 탐지하여 조치를 취해야만 보다 효과적인 차단이 가능해 질 수 있다.

 

<시간대별 통계>

 

금주 시간별 통계를 살펴보면 평일 주중과 함께 금요일 – 토요일에 걸쳐 집중적인 유포를 보였지만 주중에도 유포가 이루어 졌으며 기존의 이용되었던 악성링크를 통해 유포되는 경우도 관찰이 되었다. 지난 주에 나타났던 9개의 취약점을 이용한 유포형태는 금주 까지도 이어졌고, 대부분의 악성코드는 파밍 악성코드로 분석되었다. 일부 파밍 악성코드는 포털 사이트를 변조하여 파밍 사이트로 연결 하는 악성코드로 관찰되었다.

 

<최근 1달 악성링크 도메인 통계>

 

6월 2주차부터 7월 3주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 260건(34.8%), 미국 324건(43.4%), 일본 107건(14.3%), 독일 28건(3.7%), 영국 9건(1.2%), 캐나다 11건(1.5%), 인도 4건(0.5%), 태국 2건(0.3%)등으로 나타났다.

 

<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과 한국이 46건(68.7%), 일본이 12건(17.9%), 미국이 9건(13.4%) 순으로 차지하였다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락주십시오.

감사합니다.

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

* 왜 한국내의 웹서비스를 유포지로 활용 하는 비율이 늘어날까요?  ISP에 의한 일괄차단을 회피하기 위함이죠.


인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )









<주간 유포된 도메인 수>

 

7월 1주차에 주춤했던 전체 발견된 악성링크는 7월 2주차에 증가하였지만, 신규 악성링크는 전주에 비해 감소하였다. 하지만 신규 악성링크 감소와 달리 파급력 수치는 증가하였으며, 그 이유는 지속적인 MalwareNet의 활동과 함께 Gondad Exploit Kit + CK VIP Exploit Kit이 합쳐진 형태가 등장 하였기 때문이다. 이러한 공격은 동시에 9개의 취약점을 활용하여 악성코드가 감염되도록 유도하며 대부분 파밍에 관련된 악성코드이다. 이처럼 공격자는 다중 취약점을 노려 사용자에게 다방면으로 위협을 줄 것으로 예상이 되므로, 관련된 보안 패치에 대한 충분한 대응 방안을 세울 필요가 있다.

 

<시간대별 통계>

 

금주의 시간별 통계를 살펴보면, 지난주와 마찬가지로 다양한 시간대에 유포 했음을 볼 수 있다. 세부적으로 시간대를 살펴 보면 화요일 오후부터 수요일 저녁, 금요일부터 일요일 저녁까지 많은 활동을 보였으며 특히 주말에는 MalwareNet의 활동이 활발하였으며 공격자는 패턴 매칭 탐지를 회피하기 위해 지속적으로 링크를 변경하는 모습을 볼 수 있었다.

 

<최근 1달 악성링크 도메인 통계>

 

6월 1주차부터 7월 2주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 248건(29.1%), 미국 354건(41.5%), 일본 91건(10.7%), 독일 124건(14.5%), 영국 14건(1.6%), 캐나다 11건(1.3%), 홍콩 2건(0.2%), 인도 4건(0.5%), 태국 2건(0.2%)등으로 나타났다. 6월 초 지속적으로 활동 모습을 보였던 RedKit Exploit Kit은 6월 2주 이후 4주 동안 나타나지 않았다.

 









<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과 한국이 41건(75.9%), 일본이 8건(14.8%), 미국이 3건(5.6%), 홍콩이 1건(1.9%), 독일이 1건(1.9%) 순으로 차지하였다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락주십시오.

감사합니다.

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

 

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<주간 유포된 도메인 수>

5월2주부터 신규 악성링크가 다시 증가 하고 있고, 전체 신규 악성링크도 증가 추세를 보이고 있으며, 5월3주차에는패턴 매칭으로는 탐지하기 어려운 형태인 단축 URL을 통해 유포한 정황이 포착되었다. 이로 인해 탐지는 더더욱 어려워지고 있으며, 여전히 신규 악성링크가 각기 다른 악성링크를 삽입해 하나가 차단되더라도 다른 링크를 이용해 감염률을 높일 수 있도록 다양한 통로를 마련하고 있다. 또한, 감염 이후 C&C 및 접속자 통계 사이트로 연결되어 감염자 통계를 확인하기 위해서 이용된 도메인이 kbsxxx, imbcxxx로 활용된 정황이 발견되었으며, 이는 지난 3.20 사이버 테러 직전의 상황과 유사하다고 판단되어 평시 -> 주의 단계로 경보를 상향 조정한다.

 

<시간별 통계>

 

금주의 시간별 통계를 살펴보면, 신규 악성링크의 유포가 평일부터 주말까지 고르게 발생하였고, 구체적인 시간대를 살펴봐도 새벽, 오전, 오후, 저녁을 가리지 않고 유포 행위가 발생되었음을 알 수 있다. 특히, 매주 발견되는 신규 악성링크의 유포 행위는 꾸준히 변경되기 때문에 전체 범위를 모니터링 하고 사전탐지 하지 않은 이상 기존 보안 솔루션으로는 예방 및 차단이 어려워지고 있는 상황이 지속되고 있다.

 

 

<최근 1달 악성링크 도메인 통계>

4월 2주차부터 5월 3주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 203건(40.4%), 미국 131건(26.1%), 중국 1건(0.2%), 홍콩 131건(26.1%), 일본 19건(3.8%), 태국 11건(2.2%), 대만 6건(1.2%) 등으로 나타났다. 홍콩에 위치한 C 클래스 대역을 지속적으로 활용하는 사례가 증가하고 있으며 잦은 파일 및 IP 변경을 통해 탐지를 회피하고 있다.

<주간 악성링크 도메인 통계>

국가별 악성링크 도메인 통계를 분석한 결과, 한국이 38건(52.8%), 미국 4건(5.6%), 홍콩 18건(25.0%),

일본 7건(9.7%), 대만 5건(6.9%) 순으로 차지하였다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락

주십시오.

감사합니다.

Posted by 바다란

 

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )


 

<주간 유포된 도메인 수>


5월 1주에는 신규 악성링크는 급격히 줄어 든 것으로 관찰되었다. 국내 보안 업체의 탐지 및 추적을 우회하기 위해 다단계(MalwareNet)로 전파하는 사례가 꾸준하고, 특히 기존에 숨겨져 있던 URL을 재사용하는 경우도 발견되었다. 지난 주와 마찬가지로 C 클래스 대역(약 10개의 IP)을 활용하여 악성코드를 활발하게 배포하는 정황도 포착되었다.







<시간별통계>

 

금주의 시간별 통계를 살펴보면, 신규 악성링크의 유포가 화요일, 금요일, 토요일 오전, 오후, 저녁에 집중적으로 발생했다는 것을 관찰되었다. 구체적인 시간을 살펴보면, 화요일 12시~18시, 금요일 06시~12시, 토요일 12시~18시와 18시~24시, 토요일에 12시~24시에 가장 많은 유포가 발생했으며, 일요일은 12시~24시에 집중적인 유포가 발생하였다. 특이한 점은 바로 화요일 오후에 많은 유포행위가 있었다는 점으로 월말에 금융 거래가 많은 것을 노렸을 가능성도 배제할 수 없다

 

<최근 1달 악성링크 도메인 통계>

 

3월 5주차부터 5월 1주까지의 최근 1달 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 133건(26.4%), 미국 199건(39.5%), 중국 11건(2.2%), 홍콩 148건(29.4%), 일본 7건(1.4%) 태국 5건(1.0%) 등으로 나타났다.









<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과, 한국이 30건(33.3%), 미국 16건(17.8%), 홍콩 43건(47.8%), 태국 1건(1.1%) 순으로 차지하였다. 홍콩이 크게 증가한 이유는 (홍콩 소재) C클래스 대역에 이용하여 대규모로 악성링크와 최종 악성파일을 변경한 사례가 포함되었기 때문이다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락

주십시오.

 

감사합니다.

Posted by 바다란

Bitscan PCDS 주간 동향 브리핑 요약

Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )












<주간 유포된 도메인 수>

4월 4주차에는 3주차에 비해 신규 악성코드 및 경유지의 숫자가 급격하게 증가하였다. 3주차와 마찬가지로 MalwareNet을 활용하는 방식은 꾸준히 사용되고 있으며, 특정 ISP(홍콩)의 C 클래스를 통해 악성코드 유포뿐만 아니라 악성파일 자체를 업로드하여 전통적인 보안 솔루션을 손쉽게 우회하고 있어 이에 대한 대비가 필요하다.









<시간 별 통계>

 

금주의 시간별 통계를 살펴보면 수요일, 목요일, 토요일 새벽, 오후, 저녁에 집중적으로 신규 악성링크의 유포가 있었던 사실을 확인할 수 있다. 구체적인 시간을 살펴보면, 수요일 18시~20시, 목요일 01시~05시, 금요일 11시~16시와 19시~22시, 토요일에는 18시~24시에 가장 많은 유포가 발생했으며, 일요일은 12시~18시에 집중적인 유포가 발생하였다.











<최근 1달 악성링크 도메인 통계>

3월 4주차부터 4월 4주까지의 최근 1달 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 124건(32.2%), 미국 183건(46.1%), 중국 11건(2.8%), 홍콩 62건(15.6%), 일본 7건(1.8%), 태국 2건(1.3%) 등으로 나타났다.











<주간 악성링크 도메인 통계>

국가별 악성링크 도메인 통계를 분석한 결과, 한국이 34건(34.7%), 미국 36건(36.7%), 홍콩 26건(26.5%),

태국이 2건(2.0%) 차지하였다.

 

특히, hosts 파일 변조를 통한 파밍 공격에서 한단계 진화하여, DNSCacheTimeout 등과 같은 레지스트리를 조작하는 형태의 파밍이 출현하였으며, 이에 대한 보다 자세한 사항은 "빛스캔 브리핑" 보고서를 참고하십시오.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락

주십시오.

감사합니다.

Posted by 바다란

 

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<주간 유포된 도메인 수>

4월 2주 유포된 웹사이트는 약간 감소하였지만, 신규로 발견되는 수치가 증가하고 있다. 공격자들이 새로운 감염통로 개척하는 등 공격 수준이 3.20 사이버테러 이전으로 정상화된 것으로 추정된다. 특히 금주에는 최종 파일의 분석 결과 루트킷(Rootkit) 코드가 일부 발견되었다. 사용자로서는 보안패치로 최선의 방어를, 보안 업체에서는 철저한 모니터링과 사전 차단이 더욱 필요하다고 보여진다.

 

<요일 및 시간별 통계>

 

금주의 요일별 통계를 살펴보면 월요일 오전과 금요일 저녁, 토요일 오전에 집중적으로 신규 악성링크의 유포가 있었던 사실을 확인할 수 있다. 구체적인 시간을 살펴보면, 월요일 5시~7시, 금요일 17시~21시, 토요일 6시~14시에 집중적인 유포가 발생하였다.

 

<최근 6주간 악성링크 도메인 통계>

 

최근 6주간(3월 2주~4월 2주) 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 미국 115건(53.7%), 한국 57건(26.6%), 중국 25건(11.7%), 홍콩 9건(4.2%) 등으로 나타났다. 3월 2주부터 한국 발(發) 악성링크 도메인이 다수 발견되었지만, 3월 4주부터 다시 꾸준히 미국 발 악성링크 도메인이 절반 이상을 차지하고 있다. 이번 주에는 약 80%이상을 차지하고 있는 미국은, VPSxx ISP의 특정 네트워크 대역 전체가 공격에 이용되는 현상도 관찰되었으며, 이에 대한 통계치가 포함되어 반영된 결과다.

 

<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과, 미국 31건(86.1%)으로 가장 많고, 한국 3건(8.3%), 일본 1건(2.8%), 태국 1건(2.8%) 순으로 차지하였다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락

주십시오.

감사합니다.

Posted by 바다란

빛스캔 2월 4주차 주간 동향 브리핑

<2월 4주차 시간별 통계>

2013년 2월 4주차에는 2월 3주차에 비해 악성링크, 도메인, 신규 악성코드가 늘어났으며 대응 취약 시간인 금요일 저녁을 기점으로 일요일까지 평일에 비해 주말에 적극적으로 활동하는 모습을 보여 주고 있다.

 

<2월 4주차 주간 취약점 통계>

2월 4주차의 주요 감염 취약점으로는 CVE-2012-1723이 25건(23.4%), CVE-2013-0422가 14건(13.1%), CVE-2012-4681, CVE-2011-3544가 각 12건(11.2%), CVE-2012-0507, CVE-2012-5076가 각 11건(10.3%), MS 취약점인 CVE-2012-1889가 12건(9112%), CVE-2012-4969가 1건(0.9%), Adobe Acrobat & Reader 취약점인 CVE-2010-0188가 14건(13.1%), Adobe Flash 신규 취약점인 CVE-2013-0634가 6건(5.6%) 사용되었다. 국내를 대상으로 집중적으로 운용되고 있는 공격도구 중 하나인 공다팩의 경우 현재 Flash 관련 신규 취약성인 CVE 2013-0634가 공식 탑재되어 최종으로 8개 이상의 취약성이 동시에 이용 되고 있다. 또한 공격도구 중 지금까지 상당히 높은 비율을 차지하던 Gongda pack의 사용비율은 줄어들고 있는 반면에 국내 인터넷 사용자를 대상으로 한 RedKit, BlackHole kit과 같은 공격도구의 이용도 대거 관찰 되고 있어서 향후 탐지와 대응에 어려움이 예상된다.

홈페이지가 변조되어 악성코드 감염에 직접 이용되고 있는 경유지의 수치는 일정범위가 계속 유지 되고 있어서, 여전히 모든 방문자들에게 높은 비율로 감염을 시킬 것으로 관찰 되고 있다. 악성코드에 감염된 사용자 PC는 금전적 이익을 목표로 한 파밍, 게임 계정 탈취, DDOS 등 악의적인 목적에 이용될 수 있는 상태이다.

 

* 본 브리핑 요약은 정식 보고서 발송 이전에 한 주간의 이슈를 간략하게 요약하여 정보를 전달하기 위한 용도이며, 무상으로 공개 됩니다. 상세한 내용은 정식 보고서에 기술될 예정입니다. 메일로 받기를 원하실 경우 info@bitscan.co.kr 로 [브리핑요약 신청] 제목으로 신청자 성함/ 기업,기관명 / 연락처를 발송해 주시면 등록하여 매주 발송 될 수 있도록 하겠습니다. 감사합니다.

문의 info@bitscan.co.kr

 

Posted by 바다란


2013년 1월 3주차 한국 인터넷 위협 분석 브리핑입니다. 

 본 정보는 탐지는 빛스캔의 PCDS를 통해 탐지하고 분석과 정리는 KAIST 정보보호대학원과 협력하여 진행 하고 있습니다. 보고서에 대한 문의 및 소개자료는 info@bitscan.co.kr 로 문의 주십시요.


- 1월 23일에는 1월 4주차 분석 보고서가 전달 되었습니다. 알려야 할 내용이 많아서 게시가 계속 지연 되고 있는 상황입니다.

- 향후 공개 게시물은 비정기적으로 게시 예정입니다.


금주차는 1월 11일을 기해 자바 제로데이 ( CVE 2013-0422) 와 1월 2주차에 꾸준한 테스트가 있었던 IE 제로데이 ( CVE 2012-4792) 가 직접 공격에 대거 활용 되었습니다.

국내 십여개 이상의 언론사 및 대형 커뮤니티사이트 , TV  컨텐츠 ( pooq tv, 곰TV ), 게임웹진 ( 인벤) 등에서 제로데이 공격코드들이 직접 악성코드 감염에 활용된 정황이 포착 되었습니다. 현재 대책이 미진한 상황이라 전체적으로 감염 비율이 매우 높을 것으로 예상 되고 있습니다.

각 제로데이별 대책은 아직 완전한 것은 아닌 것으로 판단 되고 있어서 문제는 계속 될 것으로 보입니다. 금일까지 종합된 내용은 다음과 같습니다.

보안패치는 IE 6,7,8 사용자 모두에게 해당이 됩니다발표 이후에도 공격이 계속 되는 것으로 보아 정확한 대응여부 검증에 대해서는 시일이 필요할 것으로 예상 되고 있습니다.  http://technet.microsoft.com/en-us/security/bulletin/ms13-008

 

Oracle의 경우도 Java에 대한 패치를 발표 하였으나 현재 패치의 완전성에 대해서는 검증된 바가 없으며 여전히 공격은 계속 진행 중인 상황입니다특히 국내는 취약한 웹서비스를 이용한 불특정 다수에 대한 대량 공격이 계속 되고 있어서 세계적으로 피해가 가장 심각한 측에 속할 것으로 예상 됩니다.

http://www.oracle.com/technetwork/topics/security/cpujan2013-1515902.html

 


본 보고서 구독 기업/기관에서는 내부 사용자의 브라우저 버전을 IE 6,7,8 에서 IE 9 이상으로 업데이트 할 것을 강력하게 권고 드리며, 자바의 경우 미국에서 권고하듯 당분간 자바의 삭제를 권고 드립니다. 외신에서도 긴급 발표된 Oracle의 패치가 불완전 하여 문제가 계속 될 것으로 예상하고 있으며 국내에 대한 공격도 여전히 계속 되고 있는 상황입니다.



* 보고서 구독 계약시에 악성코드 샘플 제공 계약이 된 기업과 기관에서는 이번 제로데이 두건에 대한 공격코드들이 모두 당사에 수집되어 있으므로 샘플 제공 요청을 하시면 제공해 드리도록 하겠습니다.  공격코드들은 아직 세계적으로 알려진바 없는 다른 형태로 파악이 되고 있으며 현재 가용 인력 모두가 전문분석에 투입 되어 있는 상황입니다. 


제공 샘플  : 자바 제로데이 ( CVE 2013-0422) , IE 제로데이 ( CVE 2012-4792) 를 이용하여

                  실제 공격에 사용된 공격코드 및 샘플


감사합니다.



2013. 1월 3주차 동향 보고서 발췌-



2013년 1월 3주차 주간 공격동향을 요약하면, 신규 악성링크 44건, 악성링크 도메인 38건, 신규 악성코드 30건, 그리고 악성코드 유형이 8건 출현한 것으로 집계되었다.

구 분

1월 3주(건)

1월 2주(건)

전주 대비 증감(건)

신규 악성링크

44

44

-

악성링크 도메인

38

33

▲5

신규 악성코드

30

18

▲12

악성코드 유형

8

4

▲4

주요 감염 취약점으로는 CVE-2012-4681, CVE-2012-1889, CVE-2012-1723, CVE-2011-3544 (각 26건, 15.2%), CVE-2012-5076, CVE-2012-0507 (각 25건, 14.6%)으로 나타났다.

CVE

1월 3주(건)

1월 2주(건)

전주 대비 증감(건)

CVE-2012-4681

26

43

▼17

CVE-2012-1889

26

43

▼17

CVE-2011-35441)

26

43

▼17

CVE-2012-17231)

26

43

▼17

CVE-2012-05071)

25

43

▼16

CVE-2012-50761)

25

43

▼16

 

신규 악성링크를 통하여 수집된 악성코드들은 다운로더 14건, 봇 에이전트 6건, 게임 계정 탈취 2건, 트로이 목마 5건, 손상된 파일 1건, 악성코드 아님 2건 등으로 분류할 수 있었다.

악성코드 유형

1월 2주(건)

1월 2주(건)

전주 대비 증가(건)

루트킷 (Rootkit)

-

-

-

게임계정 탈취

2

4

▼2

봇 에이전트

6

1

▲5

다운로더

14

8

▲6

트로이 목마

5

5

-

드롭퍼

-

-

-

손상된 파일

1

-

▲1

악성코드 아님

2

-

▲2



▶ 주간 악성링크 도메인 통계

국가별 악성링크 도메인 통계를 분석한 결과, 한국이 20건으로 전체 도메인의 45.5%를 차지하였으며, 미국(11건, 25.0%), 일본(4건, 9.1%), 중국, 프랑스, 독일(각 2건, 4.5%), 홍콩, 아르헨티나, 대만(각 1건, 2.3%)으로 그 뒤를 이었다. 이전과 비교하였을 때 유럽(프랑스, 독일)을 포함한 다양한 국가의 도메인에 걸쳐 신규 악성링크가 유포되고 있음을 확인할 수 있다.



 

▶ 최근 1달 누적 악성링크 도메인 통계

 

12월 1주차부터 1월 3주까지의 최근 1달 동안의 주요 국가별 악성링크 누적 도메인 통계를 살펴보면, 한국(153건, 61.2%), 미국(60건, 24.0%), 홍콩(20건, 8.0%), 중국(6건, 2.4%). 일본(4건, 1.6%) 등으로 나타났다.

 



* 전에 언급 하였듯이 결과가 증명하는 것은 명확합니다. 대선 이전 정보 공유로 인해 공격이 대폭 줄어든 것이 확인 되었고 그 반작용으로 해외 서비스를 공격에 활용하는 움직임에서 국내를 직접 노리는 형태로 변경 되었습니다. 아직도 상당한 영향을 미치는 것을 볼 수 있습니다. 정보 공유 이전까지는 한국과 미국의 악성링크 누적 도메인은 반대 상황 이였습니다.



- 바다란



Posted by 바다란


[빛스캔+KAIST] 12 3주차 브리핑



 

 

한국 인터넷 위협분석 보고서( 소셜쇼핑 그리고 광고 )

 

빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 12 3주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS (범죄사전탐지체계, Pre-Crime Detect System)의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다. 본 보고서의 활용 용도는 다음과 같습니다.

 

         1.       악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

         2.       악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 – 패치

         3.       내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

 

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.

 

Summary

 

12 3주차에는 다양한 유형의 봇 에이전트 악성코드가 다수 발견 되었습니다. 전체 악성코드 탐지 비율 중 39.1% 가량을 차지하고 있습니다. 대선을 전후로 하여 분산서비스거부공격(DDoS, Distributed Denial of Service attack) 공격용 악성코드가 유포된 정황이 있으며, 좀비 PC를 활용하여 언제든 공격이 시작 될 수 있으므로 주의가 필요한 상황입니다.  또한 봇넷 에이전트의 유포가 많아진 정황으로 보아 원격에서의 통제, 정보탈취 유형도 계속 증가 할 것으로 예상되는 한 주 입니다.




<금주 악성코드 유형중 봇에이전트, 다운로더 위험 수치>

 

CVE

12월 3주(건)

12월 2주(건)

전주 대비 증감(건)

CVE-2012-5076

35

25

▲10

CVE-2012-46811)

35

23

▲12

CVE-2012-1889

35

24

▲11

CVE-2012-17231)

35

22

▲13

CVE-2012-05071)

35

23

▲12

CVE-2011-35441)

35

24

▲11

< 금주 주요 감염 취약성 내역>


중국산 DDoS 공격 툴로 유명한 넷봇어태커 및 공인인증서 정보를 수집하려는 정보 유출을 목적하는 봇 에이전트가 금 주차 악성파일에서 확인되었습니다.

 



<넷봇어태커 DDoS 공격도구 이미지>

 

※ 넷봇어태커(NetBot Attacker) : 악성 프로그램 제작 및 DDoS 공격용 프로그램의 일종입니다. 일반적으로 악성코드에 감염된 PC들이 연결되어 구성된 네트워크를 BotNet(봇넷)이라고 합니다. 이 단어의 순서를 바꾸어 NetBot이라는 이름에 공격자를 의미하는 Attacker가 결합되어 만들어진 단어입니다. 해당 프로그램은 중국 사이트를 통해 구입이 가능한 것으로 알려져 있습니다.

 


- 생략 ( 실제 소셜 쇼핑 사이트에서의 악성코드 유포 이슈가 언급됨)



웹서비스의 소스를 변경한다는 것은 서버의 모든 권한을 공격자가 가지고 있다는 것과 동일한 이야기 입니다. 7월에 이어 12월에도 악성코드 유포가 되었다는 것은 그만큼 해킹 사고 이후 충분한 원인 파악과 대책, 꾸준한 관리가 미비하여 발생 하는 것으로 판단 됩니다권한을 모두 가지고 소스를 변경하는 공격자들인데 과연 웹서비스의 고객정보는  안전할까요? 악성코드를 유포한다는 것은 이미 서버의 권한을 획득하고 DB의 내용을 모두 유출한 후일 확률이 매우 높습니다. 공격자들은 이미 서버의 모든 정보를 탈취한 이후, 최종적으로 모든 방문자들에게 악성코드 감염을 시도하는 숙주로서 활용 합니다. 공격자의 정체가 밝혀질 수도 있는 악성코드 유포 숙주로의 활용은 보다 은밀한 정보 탈취등은 모두 종료된 이후일 가능성이 높습니다최종적으로 공격자는 모든 방문자에 대한 감염을 시도 하기 위해 웹소스코드를 추가 또는 변경하여 악성링크가 방문자에게 자동으로 실행 되도록 함으로써 좀비PC로 만드는 상황입니다.

 

2012 2월의 빛스캔의 조사에 따르면 악성링크로 인한 감염 피해는 전체 웹서비스 방문자중 60%가 감염 된다는 것을 데이터를 통해 입증 한 바가 있습니다. 이번 소셜쇼핑 사이트의 경우에도 방문자중의 60%는 악성코드에 감염이 되었을 것으로 추정됩니다. 애플리케이션(자바, IE, 플래쉬)중 하나라도 최신으로 업데이트가 되어 있지 않다면 감염이 되는 현재의 상황 입니다. 공격자들은 항상 최대의 효과를 얻기 위해 방문자들이 많은 곳들을 대상으로 끊임없이 악성코드 감염을 시도합니다. 그 대상에는 수많은 사이트들이 대상이 되고 있으며 웹서비스 방문자들은 그 어떤 인지도 없이 감염이 될 수밖에 없는 상황은 지금도 계속 되고 있습니다.

 



금주 공격의 특징을 정리하면 다음과 같습니다.

 

          9 4주차, 10 2주차, 11 1주차, 11 3주차, 11 4주차, 11 5주차, 12 1주차 , 12 2주차 이후 또 다시 12 3주차도 DDoS 공격 수행 악성코드 유포

          소셜커머스 업체인 XX 7 1주차 이후 또 다시 악성코드 유포

          국내 도메인을 경유한 악성링크 사용 비율 급속 증가(탐지 회피하기 위한 용도)

          온라인 광고 사이트 다수가 해킹당해 악성코드 유포

          8 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가(감염된 좀비PC들을 활용한 추가 위험이 발생할 수 있는 상태)

          APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속

          MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 적극적 으로 이용됨 


          최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨

          백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속

          게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속

          백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨

 

* 사용자가 특정은행 접속시에 피싱 사이트로 유도하거나 HTML 내용을 변경하여 정보를 획득하는 형태의 악성코드들도 현재 다수 유포 되고 있는 온라인 게임 계정 탈취형 악성코드에 붙여진 부가기능이며 해당 기능들은 매우 적극적으로 이용이 되고 있습니다. 악성코드 확산을 통제할 수 있는 근본적인 대안과 대책들이 집중적으로 필요한 부분이라 할 수 있습니다.

 

* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5, 6월 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 예상대로 직접적인 ARP 스푸핑 공격코드 출현하였으므로 피해 발생이 예상되며, 지금까지 설명한 사항 모두 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용입니다.



* 상당수 내용이 삭제된 브리핑 입니다. 금주차 12월 3주차 이후 IE 제로데이 관련 이슈 추가 발견 ( 언론기사 참조 www.facebook.com/bitscan ) , 국내 IT 관련 대기업 웹서비스들에서의 악성코드 유포 이슈, 금융 기관의 악성코드 경유지 활용 , 인터넷 서점 악성코드 유포, 파일 공유 사이트에서의 대담한 악성 코드 유포 이슈들이 언급 될 예정입니다. 금주차는 1월 1주차로 적용 되어 보고서 발송 됩니다. 공공기관에 정보 협력으로 제공되었던 보고서들은 2013년 부터는 더 이상 제공 되지 않습니다. 모든 내용은 보고서 및 기사를 통해 공개될 예정입니다. 또한 1~2주 간격으로 특징적인 악성코드 및 기법이 사용된 내용에 대해서는 악성코드 감염 숙주로 이용된 웹서비스 목록들에 대해 모두 공개 하는 것을 꾸준히 하여 실질적인 개선을 유도하도록 하겠습니다.





발전적인 협력

 

빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

감사합니다.

 

       본 정보제공 서비스는 공개, 재 배포 금지(내부에서만 활용), 비영리 목적으로만 활용 가능합니다. 공익적인 목적으로 기관에 제공되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.

       시범 서비스는 기관명/담당자/연락처 기재가 필요하며 기관/기업별 1회 신청에 한합니다. 2013년부터는 단 1회 제공 됩니다.

       정식 구독 서비스 가입 및 시범 서비스 신청 및 문의 메일은 info@bitscan.co.kr

       본 서비스의 권리는 빛스캔에 있으며, 동의 없는 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.

       본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre-Crime Detect System)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.

 


Posted by 바다란

 

[빛스캔+KAIST] 11월 5주차 브리핑

 

 

한국 인터넷 위협분석 보고서(금융을 위협하는 악성코드)

 

빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 11월 5주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS (범죄사전탐지체계, Pre-Crime Detect System)의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다. 본 보고서의 활용 용도는 다음과 같습니다.

 

    1.    악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

    2.    악성링크를 통한 직접 공격에 활용되는 주된 취약성에 대한 내부 보안 강화 정책 – 패치

    3.    내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

 

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.

 

Summary

 

11월 5주차는 여전히 분산서비스거부공격(DDoS, Distributed Denial of Service attack)를 위한 봇에이전트 유포 수치가 많이 발견되었으며, 추가적으로 악성코드를 다운로드 할 수 있는 다운로더, 피싱 사이트로 연결하는 트로이목마 유형이 많이 발견 되었습니다.

 

<봇 에이전트, 다운로더, 트로이 목마 유포 위험 수치>

 

봇에이전트가 대량으로 유포된 시기는 한참 되었으며, 지금은 은행을 대상으로한 직접적이고 노골적인 공격시도들도 다양하게 출현을 하고 있습니다. 대량으로 유포된 봇에이전트들은 오랜기간에 걸쳐 유포가 된 상황이며 현재도 계속 되고 있습니다. 유포 이후의 사건/사고들에 대해서는 단지 현상적인 측면에서 일기예보와도 같이 가능성만을 이야기 할 수 있을 뿐입니다. 무엇이 대상이 되건간에 지금의 상태는 어떠한 일이 벌어진다 하여도 이상하지 않은 상태이며 모든 것은 악성코드를 유포하고 통제권을 가지고 있는 공격자에게 달려 있을 뿐입니다. 본 정보제공 서비스를 통해 한참 이전부터 언급한 위험요소들은 이제 직접적이고 노골적인 형태로 나타나고 있습니다. 위협에 대해 대비를 하고 준비를 하기 위해서는 현재의 우리 상태를 알아야 하고 또한 공격자들의 수준과 상태를 알아야만 합니다. 알고난 후에나 대책들이 보일 수 있기 때문입니다. 본 정보제공 서비스가 정보제공을 통해 위협을 방지하는 노력에 도움이 되었으면 합니다. 최근 언론에 다수 발표되고 있는 ISP 해킹 및 금융권을 직접 노리고 정보를 탈취하는 형태에 대해서는 피싱 사이트와 연관된 다단계유포망(MalwareNet) 부분에서 설명 드리겠습니다.

 

사용자의 시스템에 대해 모든 권한을 가진 악성코드가 하는 일들은 무궁무진합니다. 물리적인 인증 정보(보안카드나 OTP)의 추가 입력 없이 사용되는 ISP 인증과 같은 사례의 피해는 앞으로도 다수 발생 될 것으로 보이며, 정상 사이트를 교묘하게 위장한 금융권 피싱 사이트의 경우도 시스템을 직접 제어 하는 악성코드는 앞으로 다양하게 변화하여 이 나라의 온라인 금융 체계를 혼란케 할 것입니다. 모든 것은 준비 되었고 그 결과가 이제 드러나는 것일 뿐입니다. 사전대응이란 문제가 발생 되기 이전에 미리 알아서 대처를 하는 것을 의미합니다. 발생 하지 않을 수도 있는 사고가 발생 된다는 것은 근본적인 문제가 따로 있다는 점이 되겠죠. 지금의 상황도 시스템의 모든 권한이 탈취 당한 상태에서 웹 서핑만 해도 무차별적으로 악성코드에 감염되는 상황아래에서 금융기관의 보안성만을 체크하고 검토하기에는 근본문제 해결과는 다른 관점이 아닐까 생각 됩니다. 근본을 해결 하지 못하면 지금의 문제는 앞으로도 더 심각한 양상으로 급격하게 전이 될 것이기 때문입니다.

 

 

 

당사에서는 지난 5, 6월부터 꾸준히 금융권을 노리는 악성코드들이 발생한다고 언급하였습니다. 또한 11월 3주차에는 공인인증서 발급기관 중의 하나인 한국전자인증이 해킹을 당해 악성코드를 유포하였다는 사실을 알렸습니다. 이번에는 안전결제 시스템에서 대규모 결제 사태가 발생하였습니다. 하인리히의 법칙에서 의미하듯이 1:2:39:300의 징후와 사고들에서 우리는 1에 해당하는 대형 사고를 얼마나 많이 겪었습니까? 1.25 대란, 3.4 DDoS, 7.7 DDoS, 농협의 사고, 그 외에 헤아릴 수 없이 많았던 정보 유출 사고들은 모두 사소한 징후라고 볼 수 있습니까? 지나가기만을 바라는 것이 지금까지도 계속 이어지는 근본문제를 방치한 것은 아닐까 생각해 볼 문제입니다.

 

웹취약성을 근본적으로 수정하지 않아 개인정보가 유출되며 DB에서 수집된 유용한 정보들은 유출 후에 사용자들을 대상으로 악성코드를 유포하기 시작합니다. 다수 PC의 권한을 가진 상태에서 할 수 있는 많은 일들은 이제 시작일 뿐입니다.

 

금주의 또 다른 이슈는 XX서치라는 광고업체가 해킹을 당해 배너에 악성링크가 삽입 되어 대규모로(30여개 이상) 악성코드에 이용된 정황을 포착하였습니다. 광고 업체의 악성링크가 삽입되어 있던 곳은 대부분 언론사와 쇼핑몰이었습니다. 비용 대비 효과 차원에서 공격자들은 흔적을 최소화 할 수 있는 공격만으로도 효과를 얻기를 기대하고 있습니다. 실제로도 웹서비스가 해킹 당하지 않았음에도 불구하고 악성코드 유포에 이용 되는 것은 공격자들의 효율적인 공격기법에 기인하고 있습니다. 단 한 곳의 링크를 수정함으로써 최소 30여 곳 이상의 웹서비스에서 동일한 악성코드를 유포하도록 만드는 상황은 근본적인 관리 체계를 보다 더 강력하게 유지할 필요성이 있다는 점을 시사합니다.

 

<xx서치 광고업체 제휴매체사 이외 다수..>

 

xx서치 홈페이지에서 발견한 제휴매체사 목록 및 xx서치 광고가 삽입되어 악성코드 유포한 사이트의 수치는 최소 30 여곳 이상 입니다. 서비스들이 직접 해킹을 당해 악성코드를 유포한 사례도 많이 발생하지만 이처럼 광고업체가 해킹을 당해 악성코드를 유포하도록 이용 되는 사례도 계속해서 발견이 되고 있습니다. 단 몇시간 정도만 활성화 되어 악성코드를 유포하고 다시 제거하고 하는 상황이 계속 되고 있어서 탐지 및 대응에 상당한 어려움들이 있을 것으로 예상이 됩니다. 모든 외부 연결 링크들에 대해 신뢰성을 체크 할 수 있는 방안들이 필수적이나 현실적으로 한계가 있어서 향후에도 계속될 것으로 보입니다.

 

xx서치에 사용된 취약점은 Java 취약점(CVE-2011-0507, CVE-2011-3544, CVE-2012-1723, CVE-2012-4681, CVE-2012-5076)이며 MS취약점인 CVE-2012-1889 입니다. 평균 60% 이상인 공격 성공률은 현재 상태에서 더 높을 것으로 판단 되고 있습니다. 악성링크가 자유자재로 주요 웹서비스들에 추가 되는 상황과 탐지 및 차단 우회를 위해 국내 사이트를 해킹하고 또 악성코드 중계지로 이용한 지금의 상황은 뭐라고 표현 하기가 어려운 상황입니다.

현재 빛스캔에서 탐지하는 유형은 단순히 이메일을 통한 타켓형 APT가 아닌 웹서비스를 방문하는 모든 방문자를 대상으로 한 대규모 유포이며, 확산도가 높아서 위험성이 높은 상태입니다. 따라서 기업/기관별로 인터넷 접근시에 많은 보호대책을 적극 반영 하여 대응을 하셔야 할 것으로 보입니다. 기존 악성코드들의 분석 결과도 단순 게임계정 탈취에서 계속 변화하는 형태를 보이고 있어 앞으로의 변화를 가늠하기 어려운 상황입니다. 이미 농협의 사례를 통해 APT나 내부망을 공격 하는 악성코드가 가진 위험성과 파괴력은 충분히 경험을 한 상태이므로 현재 웹서비스를 통해 감염시도를 하는 악성코드 자체의 위험성은 높은 수준이라 할 수 있습니다.

 

금주 공격의 특징을 정리하면 다음과 같습니다.

 

  • 9월 4주차, 10월 2주차, 11월 1주차, 11월 3주차, 11월 4주차 이후 또다시 DDoS 공격 수행 악성코드 유포
  • 인터넷뱅킹 피싱 악성코드 대량 유포
  • 하인리히의 1:29:300 법칙에 의해 안전결제 대규모 결제 사태라는 대형 사고가 발생함
  • xx서치 광고링크, 인터넷 서점 사이트가 해킹 당해 악성코드 유포에 이용
  • 8월 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가(감염된 좀비PC들을 활용한 추가 위험이 발생할 수 있는 상태)
  • APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속
  • MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 적극적 으로 이용됨
  • 3.4 및 7.7 DDos 형태와 유사성을 지니는 다운로더 발견 ( 긴장을 늦춰선 안되겠습니다. 당장이라도 발생 가능한 상황입니다. 1:29:300 하인리히의 법칙을 상기하시기 바랍니다. 이미 대형사고가 발생하기 위한 전제조건은 모두 갖추어진 상황입니다. )
  • 최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨
  • 백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속
  • 게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속
  • 백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 계속 및 백신 프로세스를 죽임으로써 업데이트 및 실행이 되지 않도록 하며 금융기관 피싱과 Host 파일 변조를 통한 공격에 직접 이용된 정황 발견

 

* 사용자가 특정은행 접속시에 피싱 사이트로 유도하거나 HTML 내용을 변경하여 정보를 획득하는 형태의 악성코드들도 현재 다수 유포 되고 있는 온라인 게임 계정 탈취형 악성코드에 붙여진 부가기능이며 해당 기능들은 매우 적극적으로 이용이 되고 있습니다. 악성코드 확산을 통제할 수 있는 근본적인 대안과 대책들이 집중적으로 필요한 부분이라 할 수 있습니다.

 

* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5, 6월 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 한동안 뜸했던 Host 파일 변조를 통한 금융권 주소 변경도 백신 프로세스 중지와 업데이트 방해와 연결 되어 이용 되고 있습니다. 지금까지 설명한 사항 모두 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용입니다.

 

Exploit-db 게재 관련 내용

 

카이스트 정보보호대학원(KAIST GSIS)에서는 지난 1월부터 빛스캔㈜와 협업하여 제로데이 등 최신 악성코드를 분석 및 관련된 보고서를 발표해 오고 있습니다. 11월 3주차 정보제공 서비스에서 전달드린바 있는 Java 취약성 CVE 2012-5076에 대한 전문분석 영문 버전이 Exploit-db에 게재 되었습니다.

 

<www.exploit-db.com(국제적인 신규 취약점 공유 사이트) 근 5달 동안 4건 등재>

 

 

니들이 해킹을 알어?

 

'니들이 해킹을 알어?' 는 국내 보안 현실을 알리기 위함입니다. 전체적인 범위 위주로 일반인들도 알기 쉽게 보안 용어들을 최대한 쉽게 풀어 작성하였습니다. 구독 기업 및 기관 내부의 전문 인력이 아닌 경우에 의미 전달과 위험성 전달 측면에서 어려움이 있을 수 밖에 없습니다. 다양한 경로로 위험성을 알리고자 하는 노력은 계속 됩니다. 본 연재물은 향후에도 계속 연재될 예정이며 일반인들도 쉽게 인지 할 수 있도록 현재의 상황을 풀어서 설명한 내용입니다.

 

Security Awareness를 개선 시키는 측면에서 잘 활용 하셨으면 좋겠습니다.

 

※ '니들이 해킹을 알어?' 라는 제목에 민감하신 반응을 보이시는 분들이 있을 것 같아 미리 밝혀 둡니다. 독자들을 무시하려고 하는 것이 아니라 현재의 문제점을 정확히 보여드리기 위해 약간 민감한 단어를 사용한 것입니다. 다른 뜻은 없으니 독자들의 넓은 마음으로 이해 부탁 드립니다.

 

니들이 해킹을 알어? - 1부

니들이 해킹을 알어? - 2부 (Know your Enemy)

니들이 해킹을 알어? - 3부 (Know your Enemy - Use)

 

MalwareNet ( 범위와 변화)

 

- MalwareNet: 공격자들이 공격효과를 높이고 탐지를 회피하기 위해 활용하고 있는 악성코드 유포 네트워크를 의미합니다. 일반적인 사이트에 악성링크를 직접 입력하는 것이 아닌 몇 단계를 거친 링크들을 입력하여 추적을 회피하고 악성코드 유포 효과를 극대화 하기 위해 사용되는 프레임을 MalwareNet으로 정의하고 있습니다. 즉, 단 한번 악성링크의 내용을 변경하면 최대 300에서 최소 10여 곳에 이르기까지 동시에 동일한 악성코드 유포가 발생되는 상황을 나타내고 있습니다.

 

본 정보제공 서비스에서는 MalwareNet의 특성상 대규모 피해가 상시적으로 발생될 수 있으므로 상위 리스트에 한해 부분 공개를 하고 있습니다.

 

MalwareNet을 통해 영향력을 가지는 악성링크들은 탐지 회피를 위해 비정기적이고 수시로 변경됩니다. 금주 차에서는 사후 대응으로는 탐지할 수 없는 형태인 MalwareNet의 활용 사례를 살펴 보겠습니다. 공격자의 의도에 의해 조종당하고 있는 현실에서 사후대응과 사전대응의 차이는 매우 큰 차이를 가질 수 밖에 없으며 , 선제적인 사전대응이 얼마나 중요한지 확인 할 수 있습니다. MalwareNet 자체를 여러 곳 활용하는 형태도 전주에 이어 계속 발견되고 있으며, 금주에는 home.icross.co.kr/xx.js 이 적극적으로 이용이 되고 있는 상황입니다.

 

현재 시간에도 영향력을 유지하고 있으므로 대응이 필요하며 수시로 최종 악성코드들이 변경되고 있어서 탐지 및 대응에 어려움이 있을 것으로 판단됩니다. 최종 악성코드들에 대한 탐지율도 높지 않아 항상 위험에 노출 되어 있는 상태라 볼 수 있습니다. 단기간에 대규모 유포망 구축을 하는 형태가 끊임없이 관찰이 되고 있습니다. 주중에는 통계정보를 수집하고 간헐적으로 공격에도 이용 되고 있는 형태를 보이고 있습니다. 평상시에는 해당 링크가 존재하지 않다가 공격 시점에만 활성화되고 있는데 이 점은 공격자가 해당 서비스에 대한 완벽한 권한을 행사하고 있음을 의미 합니다. 단순한 링크 삭제로는 해결책이 되지 않음을 염두에 두어야 할 것입니다.

 

home.icross.co.kr/xx.js 악성링크는 다단계유포망(MalwareNet)로써 트로이목마(피싱, 다운로더) 유형의 악성코드를 대규모로 유포하였습니다.

 

<금주 피싱 악성코드 유포 MalwareNet 구성도>

 

공격자는 모든 것을 컨트롤 하고 있습니다. 사용자에게 혹시 보여질 것을 우려해서 알시리즈 아이콘으로 위장하였습니다. 정상 알약 이미지와 비교해 보시면 이해하기 쉬우실 것입니다. 알시리즈로 위장한 최종 악성코드 단 하나만 변경하게 된다면 100여개 사이트에 유포되는 악성코드가 변경되게 됩니다.

최종 악성코드를 변경하는 시점은 백신회사에서 악성코드 샘플을 수집 후에 백신에 업데이트를 하는 시기입니다. 이를 보면 공격자들은 악성코드가 백신 회사에 탐지되지 않도록 비정기적이며 수시로 변경하는 것을 확인할 수 있습니다.

 

home.icross.co.kr/xx.js: 가장 큰 다단계유포망(MalwareNet)

www.xxxxxxsearch.or.kr/rf.js: 중간단계급 다단계유포망(MalwareNet)

xxxxxsearch이 포함된 사이트: 실제 악성코드 유포하는 서비스

방문자: 악성코드 감염

 

<피싱 사이트 유도 악성코드 유포 다단계유포망(MalwareNet)>

 

xx서치 광고 링크가 MalwareNet 목록에 포함된 것을 확인할 수 있습니다. 수 많은 언론사, 쇼핑몰 사이트가 금융 관련 피싱 사이트로 유도하는 악성코드에 감염이 되었을 것이라 예상됩니다. 하나의 대형사건이(ISP 시스템 대규모 결제 사태) 나오기 전에 무수한 악성코드 유포가 있었고 매번 경고해 드렸음을 아시고 계실 것입니다. 대규모 악성코드 유포 및 감염에 따른 결과는 이제부터 나오기 시작 할 것입니다. 금융에 대한 강력한 경고는 8월 2주차부터 브리핑과 동향 보고서를 통해서 강하게 언급을 드린 바 있습니다.

 

기술분석 보고서에 언급된 부분이지만 금융권을 직접 노린 악성코드 이외에도 C&C Agent 봇넷 에이젼트, 트로이 목마들 모두가 금융 관련된 공격에 직접 이용 되는 사례도 있으며 ISP 결제 해킹 사례에서 보듯 원격에서 통제가 가능하며 사용자 PC의 정보를 유출하는 모든 악성코드가 게임관련된 계정 유출 이외에도 금융 정보등을 유출하고 있으므로 보고서를 참고하여 차단 및 대책 수립에 적극 활용 하여야만 합니다. 대량 유포된 트로이 목마 사례를 살펴 보면 다양한 금융기관을 목표로 하고 있음을 알 수 있습니다. 그 절차와 내용은 다음과 같습니다.

  • 금융을 노린 악성코드가 계속 급증 하고 있어 본 브리핑에서는 개인 차원의 피해 방지를 위해 관련된 정보를 오픈 하도록 하겠습니다.

     

  1. 방문자 브라우저 취약성 공격 및 권한 획득
  2. 신뢰 할 수 있는 아이콘 ( V3Lite 아이콘) 이용한 V3upgade.exe 파일을 다운로드
  3. Host 파일에 공격자 통제하의 IP와 목표 금융기관 등록

    174.139.3.29 kbstar.com

    174.139.3.29 www.kbstar.com

    174.139.3.29 obank.kbstar.com

    174.139.3.29 nonghyup.com

    174.139.3.29 www.nonghyup.com

    174.139.3.29 banking.nonghyup.com

    174.139.3.29 wooribank.com

    174.139.3.29 www.wooribank.com

    174.139.3.29 pib.wooribank.com

    174.139.3.29 spd.wooribank.com

    174.139.3.29 shinhan.com

    174.139.3.29 www.shinhan.com

    174.139.3.29 banking.shinhan.com

    174.139.3.29 bizbank.shinhan.com

    174.139.3.29 hanabank.com

    174.139.3.29 www.hanabank.com

    174.139.3.29 www.ibk.co.kr

    174.139.3.29 mybank.ibk.co.kr

    174.139.3.29 kiup.ibk.co.kr

    174.139.3.29 keb.co.kr

    174.139.3.29 www.keb.co.kr

    174.139.3.29 ebank.keb.co.kr

    174.139.3.29 citibank.co.kr

    174.139.3.29 www.citibank.co.kr

 

이외에도 다수의 금융기관을 노린 공격들이 발생 되었습니다. 공격은 주요 백신들의 업데이트 주소를 변경하여 패턴 업데이트를 통한 탐지를 방지하도록 하고 있으며 현재도 주요 백신사들에서 탐지 되지 않는 악성코드들은 다수가 존재하고 있는 상황입니다. 동향보고서에 언급된 대표적인 사례는 위에 언급된 주소 이외에도 여러 유형들이 있으며 간략히 정리하면 다음과 같습니다.

 

▪ 국민, 우리, 농협 인터넷 뱅킹 사용자를 대상으로 한 피싱 악성코드의 호스트 파일 변조 내역

IP Address

Domain

60.237.179.210

kbstar.com, www.kbstar.com, obank.kbstar.com

125.199.139.254

nonghyup.com, www.nonghyup.com, banking.nonghyup.com

118.18.174.4

wooribank.com, www.wooribank.com,

pib.wooribank.com, spd.wooribank.com

 

▪ 네이버 백신, 알약, 안랩 업데이트 서버 주소의 변조 내역

IP Address

Domain

170.144.32.7

vaccine.dn.naver.com

208.58.64.7

explicitupdate2.alyac.co.kr

206.16.78.7

liveupdate2.alyac.co.kr

68.200.93.7

explicitupdate.alyac.co.kr

135.238.110.7

ko-kr.alupdatealyac.altools.com

206.226.125.7

su.ahnlab.com

124.42.141.7

su3.ahnlab.com

33.133.154.7

gms.ahnlab.com

99.32.168.7

update.ahnlab.com

 

 

악성코드 유포에 이용된 특징적인 다단계유포망(MalwareNet)으로써 xxdent.co.kr 이 있습니다. 이 안에는 또 다른 3개의 다단계유포망(MalwareNet)이 있으며 약 60여개 사이트에 영향을 주고 있습니다. 본 MalwareNet의 경우 12월 1일부터 발생이 되어 매우 자주 최종 링크를 변경하여 악성코드 유포에 활용되어 피해방지 차원에서 공개를 하게 되었습니다.

 

12월 1일 20시경 70.39.112.198/xxx.html

12월 1일 21시경 118.217.183.186/xxxx.html

12월 2일 00시경 slowzone.co.kr/ne/xxxx.html

12월 2일 15시경 www.ymtech2002.co.kr/ne/xxxxx.html

12월 2일 16시경 www.ymtech2002.co.kr/ne/ xxxxx.html, 카운터 페이지 추가

12월 2일 16시경 www.ymtech2002.co.kr/ne/ xxxxx.html, 카운터 페이지 삭제

12월 2일 20시경 www.ymtech2002.co.kr/ne/ xxxxx.html, 카운터 페이지 추가

12월 2일 22시경 www.ymtech2002.co.kr/ne/ xxxxx.html, 카운터 페이지 삭제

12월 3일 13시경 hdndv.co.kr/new/ xxxxx.html

12월 3일 14시경 anquan.rnnnb.com/ xxxxx.html

12월 3일 23시경 www.gofree.or.kr/yh/ xxxxx.html

<xxdent.co.kr 다단계유포망(MalwareNet) 추적 내역>

 

악성링크의 히스토리에서 보듯 1시간 내에도 비정기적이며 수시로 변경이 되고 있습니다. 공격코드 자체도 국내 도메인을 권한 획득한 후 이용하는 형태를 보이고 있어 차단 및 탐지에 어려움이 있을 것으로 보입니다.

 

*PCDS Impact Factor는 내부 수집된 체계에서 전파 범위를 고려한 내부 위험지수이며 MalwareNet의 추적과 영향도 추적을 위해 활용되는 수치입니다. 높을수록 은밀하면서도 파급력이 높은 상태라는 점을 의미하고 있습니다.

 

현재의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있습니다. 기본적인 문제를 해결할 수 있는 보안패치는 반드시 적용해야만 위험을 줄일 수 있으니 반드시 기관/ 기업 내부적으로 강력한 권고가 되어야 합니다. Oracle Java취약성, Adobe Flash 취약성, MS의 XML, Midi 및 IE 취약성이 복합적으로 사용되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

 

기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰되고 있어서 위험성이 높습니다. 또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하시기 바랍니다.

 

기술 분석 보고서에 전체 URL이 공개된 국내 사이트들은 악성링크로 직접 이용 되거나 최종 악성코드가 다운로드 된 곳들의 주소는 여과 없이 공개가 되고 있으니 참고하시고 금주 차에는 언론사 및 국내 기업, 기관들의 주소가 직접 기술 되어 있습니다.

 

기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있습니다. 현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 변화된 형태를 보이고 있으며 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 계속 되고 있습니다. – 8월 2주차부터 관찰된 변화는 금주 차에도 계속 강도가 높아지고 있어서 즉시적인 대응책이 필요합니다.

 

PCDS(Pre-Crime Detect System) 탐지 내역

 

PCDS 상에서는 최초 악성링크 탐지와 MalwareNet에 대한 추적, 최종 악성파일에 대한 수집까지 체계적으로 통합 운영이 되고 있습니다.

 

본 PCDS에 탐지된 내용을 바탕으로 하여 공격자들의 전략을 확인해 보면, 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있습니다. 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며, 때로는1시간에 한 번씩 최종 악성코드를 변경하고 있습니다. 백신은 백신만의 역할 부분이 있으며, 현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야만 합니다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로, 대응적인 측면에서 한계를 보일 것으로 판단됩니다.

 

<빛스캔 PCDS를 활용한 금일에도 살아있는 악성링크를 통해 수집된 최종 악성코드 2012.12.05 15시경>

 

주중에도 7개의 악성링크에서 악성코드가 다운되고 있습니다. 12개의 링크에서 지속적으로 악성코드를 유포하고 있습니다. 다단계유포망(MalwareNet)도 5개나 됨을 알 수 있습니다.

 

* 최종 바이너리 수집의 경우 체크섬 값이 다르거나 변경이 되었을 때 수집이 되도록 되어 있으며 위의 항목은 빠르면 1시간 이내에도 최종 파일을 변경하는 형태를 직접 볼 수 있습니다. 이와 같은 악성코드들이 순식간에 수십여 곳의 서비스를 통해 즉시 감염을 시키고 있는 것이 현실입니다. 공격자들의 전술과 기동력은 타의추종을 불허합니다. 그 반면 대응은 어떻습니까? 현재의 실상은 과연 어떨까요?

 

지금 분석되고 예상되는 모든 내용들은 지금 이 순간에도 발생하고 있는 현실입니다. 사건이 발생 된 이후에는 돌이키기 어렵듯이 사전 탐지와 사후 대응은 전혀 다른 범위입니다. 사전에 얼마나 대응을 하느냐가 가장 중요하며, 빠른 정보를 확보하여 대규모로 유포된 악성코드에 대응 할 수 있도록 사후대응 측면에서도 현재 수준 보다는 강도 높은 방안들이 절실히 요구됩니다.

 

게임 계정 탈취 및 백신 Kill, 게임 머니 및 아이템 거래 사이트 계정탈취 계속

 

* 본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6월 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다. 모든 기능은 BHO 관련된 공격에 연관 되어 있으며 해당 문제들은 이전 보고서에 첨부된 BHO 공격에 대한 전문분석 자료를 참고 하세요. ( 정식구독 기업/기관 대상)신규 가입 및 최근가입으로 인하여 전문분석 보고서를 받지 못한 곳들은 본 메일로 회신을 주시면 전달 드리겠습니다.

 

9월 1주차부터 신용정보 조회, 아이템 매니아, 아이템 베이 사이트까지 계정 탈취 기능이 추가 되었습니다. 신용정보 조회 사이트에서 자신의 신용정보를 검색하다가는 자신의 개인정보가 노출될 수도 있습니다. 또한 아이템 매니아, 아이템 베이 사이트는 온라인 게임 아이템 거래 사이트입니다. 게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있습니다. 돈이 되는 곳은 모두가 대상이 되어 있는 상태입니다. 다른 모든 기기와 장비들에서도 금전화가 가능한 순간부터 현재의 공격 수준은 그대로 확장이 될 것입니다.

 

 

프로세스명

프로그램명

sgbider.exe, vcsvc.exe, vcsvcc.exe

바이러스체이서

NVCAgent.npc, Nsvmon.npc, Nsavsvc.npc, NVC.npc, NaverAgent.exe

네이버백신

V3sp.exe, V3svc.exe, V3up.exe, MUpdate2.exe, SgSvc.exe, Sgui.exe, SgRun.exe, InjectWinSockServiceV3.exe, V3Light.exe, V3LTray.exe, V3Lsvc.exe, V3LRun.exe

AhnLab V3

AhnLab V3 Lite

AhnLab SiteGuard

AYUpdSrv.aye, AYRTSrv.aye, SkyMon.exe, AYServiceNT.aye, AYupdate.aye, AyAgent.aye

알약 (ALYac)

avp.exe

Kaspersky

avgnt.exe, avcenter.exe, avguard.exe, avscan.exe, avupgsvc.exe

Avira AntiVirus

avwsc.exe, AvastSvc.exe, ashUpd.exe, AvastUI.exe

avast!

shstat.exe, Mctray.exe, UdaterUI.exe

McAfee

msseces.exe

MSE

egui.exe, ekrn.exe

ESET NOD32

ccSvcHst.exe, Navw32.exe

Symantec Norton

updatesrv.exe, vsserv.exe, seccenter.exe, bdagent.exe, bdreinit.exe

BitDefender

avgam.exe, avgemc.exe, avgnsx.exe, avgrsx.exe, avgfrw.exe, avgwdsvc.exe, avgupd.exe

AVG

PCOTP.exe

넥슨 OTP

 

 

프로세스명

프로그램명

gamehi.co.kr

게임하이

hangame.com, id.hangame.com

한게임

laspoker.exe

한게임 라스베가스포커

duelpoker.exe

한게임 맞포커

hoola3.exe

한게임 파티훌라

highlow2.exe

한게임 하이로우

poker7.exe

한게임 7포커

baduki.exe

한게임 로우바둑이

ExLauncher.exe, TERA.exe, tera.hangame.com

테라

netmarble.net

넷마블

pmang.com

피망

ff2client.exe, fifaonline.pmang.com

피파 온라인2

Raycity.exe

레이시티

www.nexon.com, login.nexon.com

넥슨

df.nexon.com, dnf.exe

던전 앤 파이터

DragonNest.exe, dragonnest.nexon.com

드래곤 네스트

baramt.exe, WinBaram.exe, baram.nexon.com

바람의 나라

mabinogi.nexon.com, heroes.nexon.com, heroes.exe

마비노기 영웅전

MapleStory.exe, maplestory.nexon.com

메이플 스토리

x2.exe, elsword.nexon.com

엘소드

dk.halgame.com, dkonline.exe

DK 온라인

clubaudition.ndolfin.com

클럽 오디션

www.capogames.net, samwinfo.capogames.net

삼국지w

fairyclient.exe

로한

plaync.co.kr

엔씨소프트

bns.plaync.com

블레이드 & 소울

lin.bin

리니지

AION.bin, aion.plaync.jp

아이온

kr.battle.net

블리자드 배틀넷

wow.exe

월드 오브 워크래프트

Diablo III.exe

디아블로III

 

사이트 주소

사이트 이름

www.booknlife.com

북앤라이프

www.cultureland.co.kr

컬쳐랜드

www.happymoney.co.kr

해피머니

www.teencach.co.kr

틴캐시

auth.siren24.com

신용정보 조회

itemmania.com

아이템 매니아

www.itembay.com

아이템 베이

 

* URL의 경우는 브라우저 상에서 BHO (Browser Helper Object)로 등록이 되어 모니터링을 하다가 해당 URL로 주소가 입력이 되거나 접속이 될 경우에 html 내용을 변조 하거나 계정에 관련된 키 입력값을 빼내도록 제작되었습니다.

 

차단 권고 대역

 

아래 영역은 이미 공격자가 권한을 통제하고 있는 IP대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재 활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각 기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다. 악성링크에 이용 되는 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해 강력한 차단을 유지하실 것을 권고 합니다.

 

  • 기술 분석 보고서에는 별도의 차단 대역들을 제공하고 있으므로 참고하시기 바라며, 사안별로 모니터링 및 차단에 적극 활용 바랍니다.
  • 국내 통신사의 경우 C Class가 아닌 직접 IP를 등록 하였으며 이미 공격자가 권한을 가진 상태에서 악성코드 유포 경로로 직접 활용하고 있는 상태여서 제한적인 차단이 필요하며, 업무와 연관성이 있는지 여부는 각 기업 및 기관에서 잘 판단 하셔서 차단에 활용하시기 바랍니다. 9월 4주차부터 차단 권고 대역은 최근 1~2개월을 기준으로 전달 드리도록 하겠습니다. 이전의 차단 목록이 필요한 기업 및 기관은 info@bitscan.co.kr 로 요청해 주십시요.

 

- 205.209.139.152, DSCS Pacific Star, LLC, USA 11/5

 예시 한 곳 이외에 생략

 

악성코드 감염 이후 접속 URL - 차단 및 모니터링 필요한 부분

 

본 내용은 악성코드가 PC에 감염된 이후에 외부로 연결 시도를 하고 명령을 받는 주소들입니다. 즉 C&C 연결 을 시도하는 봇넷과 같은 개념으로 볼 수 있습니다. C&C 서버의 차단과 관련된 핵심적인 내용입니다. 차후 별도 차단 서비스를 기획하고 있으며 해당 내용은 별도 서비스 확산 시에 보고서 상에서만 일부 제공될 예정입니다. 실험적으로 Outbound 연결 시에 Destination IP가 본 URL일 경우는 100% 좀비 PC및 백도어, 루트킷 등에 감염된 것이므로 직접 내부망에서 감염된 좀비 PC를 찾아내는 것이 가능해 집니다. 기술 분석 보고서 내에는 추가적인 차단 정보들이 존재함으로 확인 하시고 적용 하시는 것이 필요합니다.

 

※ 특정 URL로 접속하여 추가 명령 대기

ddd.iamallama.com(Port:90)

 

※ 사용자 PC에서 획득한 정보를 유출

생략

※ 추가로 악성 파일을 다운로드

생략

 

* 붉은색으로 선택된 도메인들은 모두 현재 다수가 국내 환경에 뿌려져 있는 다운로더 및 C&C 서버로 이용되는 파일 및 도메인들입니다. 해당 도메인은 불시에 활성화 되어 추가적인 피해가 계속 될 수 있으므로 본 메일을 받으시는 기관 및 기업에서는 그에 맞는 대응을 하시기 바랍니다. 기업은 해당 도메인으로 접속하는 PC가 있을 경우 이미 좀비 PC화가 되었으므로 절차에 맞게 처리를 하시면 되고 국가기관 차원에서는 차단 정책을 즉시 수행 하여야 할 것으로 보입니다.

 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 금주의 총평으로는 광고 서버 해킹으로 악성코드 유포이슈, 대형 인터넷 서점 악성코드 유포상황, 거의 대부분의 외부 연결을 시도하는 악성코드들 대부분이 C&C 서버와 연결하여 금융을 포함한 개인정보를 유출하는 상황을 꼽을 수 있습니다. 향후 대형사고가 일어날 것 같은 하인리히의 법칙에서 의미하는 위험시그널 수치는 계속 증가 중입니다. 민감한 시기입니다. 적극적인 대응과 노력으로 피해를 예방해야 합니다. MalwareNet의 활용과 위험에 대해 계속 언급 하였습니다. 그리고 지금 관찰되는 상태는 최종 악성코드의 성격과 범위 모두 일정 수준의 임계치를 넘은 상황입니다.

 

2년 이상을 온라인상에서 꾸준히 공격을 시도하고 있는 공격자들을 모니터링 한 결과에 따르면 공격기법과 기술은 한 주가 다르게 변화하고 진화하고 있습니다. 그 반면에 대응 기술 측면에서는 발전은 지지부진함을 보이고 있습니다. 공격은 적극적인 유포망 확대, 감염 기술의 고도화, 최고 공격기법들의 즉시적인 실전투입으로 귀결이 됩니다.

 

협력

 

빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

감사합니다.

 

  • 본 정보제공 서비스는 공개, 재 배포 금지(내부에서만 활용), 비영리 목적으로만 활용 가능합니다. 공익적인 목적으로 기관에 제공되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.
  • 시범 서비스는 순차적으로 1개월 경과 시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.
  • 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/담당자/연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.
  • 본 서비스의 권리는 빛스캔에 있으므로 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.
  • 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre-Crime Detect System)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.


Posted by 바다란