태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'빛스캔'에 해당되는 글 87건

  1. 2014.04.07 [빛스캔]한국인터넷 위협 요약- 2014년 4월1주차
  2. 2014.03.27 [빛스캔] 한국 인터넷 위협 요약-3월4주차 : 위기의 안드로이드
  3. 2014.03.20 [빛스캔]한국 인터넷 위협(요약) 3월 3주차 - 모바일과 결합된 공격
  4. 2014.03.13 [빛스캔] 한국 인터넷 위협 요약- 3월 2주차
  5. 2014.02.27 [빛스캔]2월4주차 인터넷위협 브리핑 – “경고레벨 상향”
  6. 2014.02.20 [빛스캔]2014.2월3주차- PCDS 요약- 변화된 파밍
  7. 2014.02.07 [빛스캔] 2013년 한국 인터넷 위협 동향- 연간보고서
  8. 2014.02.03 [빛스캔]2013.12월 월간 - 한국인터넷 위협분석- 공개용
  9. 2013.12.27 [빛스캔]2013년12월4주차 한국 인터넷 위협분석- 요약
  10. 2013.12.19 [빛스캔] 2013.12월3주차 한국인터넷 위협브리핑-요약
  11. 2013.12.13 [빛스캔]2013년12월2주차 한국인터넷위협-요약 (경고)
  12. 2013.12.05 [빛스캔]2013년 12월1주차 한국 인터넷 위협 요약- 경고
  13. 2013.11.06 빛스캔-2013.11월1주차 한국인터넷 위협 브리핑-요약
  14. 2013.10.21 [빛스캔]2013년10월2주차 한국 인터넷 위협 브리핑 요약
  15. 2013.10.08 연목구어(緣木求魚) “문제의 해결은 원인을 제거함으로써 완성된다.”
  16. 2013.10.02 [빛스캔] 9월5주차 한국 인터넷 위협분석 – 관심으로 하향
  17. 2013.09.17 [빛스캔] 2013년 9월3주차 한국인터넷 위협 동향 브리핑-요약
  18. 2013.09.17 정교하고 신속하게 변화되는 파밍 공격 (이젠 개인 차원의 대응을 벗어난..)
  19. 2013.08.14 [빛스캔]2013년8월2주차 한국인터넷 위협 브리핑 요약
  20. 2013.08.08 [빛스캔]2013년 8월1주차 한국 인터넷 위협 분석 브리핑-요약
  21. 2013.08.02 [빛스캔]2013년 7월 5주차 한국 인터넷 위협 분석 브리핑 요약
  22. 2013.07.24 [빛스캔]2013년 7월 4주차 한국 인터넷 위협 분석 브리핑 요약
  23. 2013.07.19 [빛스캔]2013년 7월3주차 한국 인터넷 위협분석 브리핑-요약
  24. 2013.07.11 [빛스캔] 2013년 7월 2주차 한국 인터넷 위협 브리핑-요약
  25. 2013.07.03 6.25 사건 이전의 징후에 대한 팩트 정보 ( Red October 류의 백도어 포함)
  26. 2013.07.03 [빛스캔] 2013.7월 1주차 한국 인터넷 위협분석 브리핑-요약
  27. 2013.07.02 6.25 사이버 공격에 대한 다른 시각과 분석
  28. 2013.06.16 [빛스캔] 2013.6.16 한국 인터넷 대상 악성파일의 C&C 차단 목록
  29. 2013.06.13 [빛스캔] 위협레벨 "경고"에 따른 5차 정보 공유.2013.06.13 - 공개본
  30. 2013.06.10 2013년 4월 월간 인터넷 위협 동향 보고서 - 빛스캔

한국 인터넷 위협(요약) - 4월 1주차

 

발행일: 2014년 4월 2일

한국인터넷 위협 수준: 주의

 

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS (Pre-Crime Detect Satellite)를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스들에 대한 관찰을 요약한 내용입니다. 현재 인터넷 위협 수준은 '주의'로 지난 주 "경고"보다 한 단계 하향조정 하였으며, 주요 특징은 다음과 같습니다.

 

주요 특징(Main Features)

• 신규 경유지, 파급력 감소 – 악성코드의 제한적인 범위 활동

• 악성코드 유포지로 지속적인 이용 – 베가디스크

• 신규 악성코드 유포지 출현 – 박문각, 고도몰 등등

• 악성코드의 특정 시간 때의 활동 – 3주 연속 주말의 집중적인 유포

주간 동향(Weekly Trend)

[표 1. 4월 1주차 한국 인터넷 위협지수]

4월 1주 전체 발견된 유포지는 지난주에 비해 증가하였지만, 신규 경유지 및 파급력은 감소하는 모습이 나타났다. 감소한 이유로는 레드킷의 활동이 특정한 시간대에 몰림과 동시에 직접적인 영향을 주는 악성코드 유포 줄어들었기 때문이다. 금주 역시 파일공유(P2P) 사이트를 통한 악성코드 유포는 지속되었으며 새롭게 특정 쇼핑몰과 학원사이트를 중심으로 악성코드가 유포되는 현상이 발생하였다. 하지만, 지난주에 등장하였던 모바일 악성코드를 동시에 유포하는 형태는 등장하지 않았지만, 새로운 취약점이나 공격 기법을 탑재하여 다시 등장 할 우려가 있는 만큼 지속적인 관찰이 필요하다. 참고로, 한국 인터넷 위협지수를 "경고" 단계로 한 단계 하향 조정하였지만, 악성코드 유포의 움직임이 언제든 다시 활발해질 수 있어 예의주시하고 있는 상황이다.

[표 2. 4월 1주차 시간대별 통계]

3월 3주부터 시간별 통계를 확인해보면 주말을 이용한 악성코드 유포의 움직임이 지속되고 있는 상황이다. 4월 1주, 역시 금요일 오후 ∽ 토요일 오전까지 가장 많은 유포 빈도수를 보였으며 지속적으로 취약한 시간 때인 주말을 이용하고 있는 상황이다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

2월 4주차부터 4월 1주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 194건(17.3%)으로 지난주와 감소 하였으며, 미국이 472건(42.1%), 독일이 171건(15.3%), 스페인이 46건(4.1%), 이탈리아가 33건(2.9%), 영국이 31건(2.8%), 러시아가 23건(2.1%), 브라질이 21건(1.9%), 네덜란드가 18건(1.6%), 폴란드가 16건(1.4%), 일본이 15건(1.3%), 덴마크가 14건(1.3%), 아르헨티나가 13건(1.2%), 기타 53건(4.8%) 등으로 나타났다.

 

주간 이슈(Weekly Issue)

[그림 1. 박문각 학원을 통한 악성코드 유포 – 3/30]

 

최근 공격자는 언론/방송사와 같은 많은 사람들이 접속하는 사이트에 악성코드를 유포하는 모습이 자주 관찰되고 있는 가운데 학원사이트도 빼놓을 수 없는 유포지 중 하나이다. 대표적으로 최근에는 해커스와 이익훈어학원이 악성코드를 유포한데 이어 금주에는 박문각 학원사이트를 중심으로 악성코드가 유포되는 정황이 포착되었다. 악성코드 유포에 이용된 사이트는 박문각 중개사학원을 비롯하여 출판, 임용고시, 스파에듀까지 서비스를 하는 모든 페이지에서 유포되었다. 곧 상반기 공채시즌이 돌아오면 학원 수강생들이 더욱 몰릴 것으로 보이는 만큼 대비가 필요한 상황이다.

 

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스(택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 ( 엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란

한국 인터넷 위협(요약) - 3월 4주차

 

발행일: 2014년 3월 26일

한국인터넷 위협 수준: 경고

 

인터넷 위협 수준은 빛스캔㈜에서 운영하는 PCDS (Pre-Crime Detect Satellite)를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스들에 대한 관찰을 요약한 내용입니다. 현재 인터넷 위협 수준은 '경고'로 지난 주와 동일하게 유지하고 있으며, 주요 특징은 다음과 같습니다.

 

주요 특징(Main Features)

• 신규 경유지, 파급력 동일 – 레드킷의 활발한 움직임이 있지만, 영향력은 미미함

• 악성코드 유포지로 지속적인 이용 – 베가디스크, 더존비즈아카데미, DVD 프라임 등등

• 안드로이드 감염 및 공격자 서버로 정보 전송 확인 – 추가 분석 중

• 신규 악성코드 유포지 출현 – 락앤락, 컨슈머뉴스 등등

• 광고 배너를 통한 악성코드 대량 유포 – 올블렛, 메크로스

주간 동향(Weekly Trend)

[표 1. 3월 4주차 한국 인터넷 위협지수]

3월 4주 전체 발견된 유포지는 지난주에 비해 약간 상승하였으며 신규 경유지는 다시 활발해진 레드킷의 활동과 공다팩과 카이홍의 유포가 활발한 결과 대폭 증가하는 모습을 보였다. 신규 공격코드의 파급력은 지난주와 동일하였으며, 레드킷의 활동은 활발했지만, 국내에 직접적인 영향을 주지는 못하였다. 또한, 지난 주에 사전 징후를 보인 안드로이드 OS를 타겟으로 하는 모바일 악성코드는 금주에 직접적인 감염이 이루어지는 것을 확인하였으며 사용자 정보가 공격자 서버로 넘어가는 정황도 포착하였다. 또한, 광고 호스팅 업체 배너광고 영역을 통해서도 악성코드 유포가 있었던 결과, 블로그 등 전체 범위를 파악할 수 없을 정도로 유포가 되어 더욱 심각한 상황이 지속되었다.

[표 2. 3월 4주차 시간대별 통계]

시간대 별 통계를 살펴보면 최근 일부 특정 시간에 한하여 집중적으로 유포를 하는 경향이 나타나고 있다. 금주 역시 주말 시간을 이용해서 활발한 활동이 나타났으며 특히, 금요일을 기점으로 일요일까지 집중적으로 악성코드가 유포되는 현상이 나타났다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

2월 3주차부터 3월 4주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 207건(18.2%)으로 지난주와 소폭 감소하였으며, 미국이 457건(40.2%), 독일이 178건(15.7%), 이탈리아가 42건(3.7%), 스페인이 34건(3.0%), 영국이 30건(2.6%), 네덜란드가 22건(1.9%), 러시아가 21건(1.8%), 브라질이 19건(1.7%), 덴마크가 18건(1.7%), 폴란드가 17건(1.5%), 일본이 16건(1.4%), 아르헨티나가 13건(1.1%), 기타가 62건(5.6%) 등으로 나타났다.

 

주간 이슈(Weekly Issue)

[그림 1. 안드로이드 악성코드에 감염된 사용자의 문자 메시지가 공격자의 서버로 전송된 내역 – 3/22]

 

지난주에 공다팩과 함께 삽입된 안드로이드 OS를 타겟으로 한 악성코드의 최초 등장을 언급한 적이 있다. 당시에는 단시간 공격코드가 삽입된 정황으로 보았을 때 사전 테스트 징후라고 판단하였으며 얼마 지나지 않아 다시 활동할 것으로 예상한 바 있다. 그로부터 얼마 지나지 않아 공다팩을 통해 삽입된 안드로이드 악성코드는 주말을 통해 다시 활동을 하기 시작하였으며 처음 등장과 달리 모바일 사이트에서도 동시에 유포하였다. 모바일 페이지를 통해 유포된 안드로이드 파일 분석 결과 사용자의 정보를 공격자 서버로 전송하는 동작이 발견되었으며 실제적으로 접속하여 확인한 결과 문자메세지, 금융계좌 등이 공격자로 추정되는 관리자의 웹서버로 수집되고 있었다.

 

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스( 택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 ( 엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란
TAG 빛스캔

한국 인터넷 위협(요약) - 3월 3주차

 

발행일: 2014년 3월 19일

한국인터넷 위협 수준: 경고

 

인터넷 위협 수준은 빛스캔㈜에서 운영하는 PCDS (Pre-Crime Detect Satellite)를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스들에 대한 관찰을 요약한 내용입니다. 현재 인터넷 위협 수준은 '경고'로 지난 주와 동일하게 유지하고 있으며, 주요 특징은 다음과 같습니다.

 

주요 특징(Main Features)

• 신규 경유지, 파급력 증가 – 초대형 MalwareNet 움직임

• 악성코드 유포지로 지속적인 이용 – 베가디스크, 케이웨더, 아시아뉴스통신 등등

• 특정 모바일 OS를 감염시키기 위한 징후 포착 – 공다팩을 통해 일부 출현

• 언론 매체, 방송사에서 악성코드 유포 활용 – MBN, 디시뉴스, 데일리메디, 교육연합신문 등

• 이벤트 대행사를 통한 대규모 유포 활용 – 메크로스

• 파밍 – 수협을 위장한 파밍 사이트 활성화

주간 동향(Weekly Trend)

[표 1. 3월 3주차 한국 인터넷 위협지수]

2월 3주부터 한국 인터넷 위협은 여전히 지속되고 있으며 시간이 지날수록 위협수위는 높아지고 있다. 3월 3주 전체 발견된 유포지는 지난주에 비해 하락한 모습을 보였지만 신규 경유지와 파급력은 증가한 모습이 나타났다. 파급력이 증가한 원인은 약 300여개의 웹사이트를 보유한 다단계유통망(MalwareNet)의 영향으로 분석되었다. 지난주와 마찬가지로 언론/방송사를 통한 악성코드 유포는 계속되었으며 의료포탈사이트와 함께 국내 중견 기업인 더존XX의 정식교육센터를 통해 악성코드가 유포되어 위협을 더욱 증가시켰다. 이들 악성코드 유포지에서 발견된 자동화 도구는 공다팩과 카이홍 공격킷이 주로 이용되었으며 일부 공다팩에서는 모바일과 PC가 모두 감염시킬 수 정황이 포착되어 각별한 주의가 필요한 상황이다.

[표 2. 3월 3주차 시간대별 통계]

시간대 별 통계를 살펴보면 최근 일부 특정 시간에 한하여 집중적으로 유포를 하는 경향이 나타나고 있다. 금주 역시 주말 시간을 이용해서 활발한 활동이 나타났으며 특히, 토요일 오전부터 오후까지 집중적으로 악성코드가 유포되는 현상이 나타났다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

2월 2주차부터 3월 3주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 183건(17.7%)으로 지난주와 소폭 감소하였으며, 미국이 423건(40.9%), 독일이 159건(15.4%), 이탈리아가 47건(4.5%), 스페인이 30건(2.9%), 네덜란드가 22건(2.1%), 러시아가 20건(1.9%), 브라질이 19건(1.8%), 덴마크가 18건(1.7%), 일본이 15건(1.5%), 폴란드가 15건(1.5%), 영국이 14건(1.4%), 아르헨티나가 11건(1.1%), 터키가 10건(1.0%), 기타 44건(4.4%) 등으로 나타났다.

 

주간 이슈(Weekly Issue)

[그림 1. 공다팩과 함께 삽입된 안드로이드 OS를 타겟으로 한 악성코드 – 3월 13일]

 

앞에서 언급한 바와 같이, 최근 발견된 공다팩의 내부 코드에서 모바일 악성코드를 감염시키기 위한 정황이 포착되었다. 현재까지 모바일을 통한 악성코드 유포는 스미싱, 메신저 등으로 한정이 되어 있었다. 하지만, 3월 13일에 공다팩을 통해 출현한 모바일 악성코드는 웹사이트만 방문을 해도 악성코드가 설치되는 현상이 나타나는 모습을 보였다. 특히, 공격자는 모든 모바일 운영체계를 목표로 한 것이 아닌 안드로이드 OS 버전을 통해서만 악성코드가 다운로드 할 수 있게 하는 치밀함과 함께 다운로드 횟수를 확인하기 위한 카운터 사이트를 따로 운영하는 모습도 관찰되었다. 더욱 우려되는 점은 모바일 운영체제에서는 브라우저에서 악성링크가 삽입된 사이트를 차단하는 기능이 아직 없기 때문에 빠른 시일 내에 대처 방안을 강구하지 않는다면 피해는 계속 늘어날 수 밖에 없다는 점이다.

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

보안정보제공서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 및 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
  • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
  • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 – 인터넷 위협 수준이 "4단계. 경고" 이상일 경우. 고객사 대상 수시 발송

 

무료 구독

  • 한국 인터넷 위협 요약 – 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 2014년 1월 이후에는 "5단계 사고 발생" 시에만 긴급 정보제공 (수시, 선별된 정보 제공)

 

정기 가입 기업/기관

  • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
  • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

구독 문의

  • 무료 신청을 원하시는 경우 info@bitscan.co.kr 로 연락주십시오.
  • 정기 가입 및 문의는 "소속 확인이 가능한 이메일(회사)"을 통해 info@bitscan.co.kr

    연락주십시오.

 

감사합니다.

Posted by 바다란

한국 인터넷 위협 요약 - 3월 2주차

 

발행일: 2014년 3월 12일

한국인터넷 위협레벨: 경고

 

본 인터넷 위협은 빛스캔㈜에서 운영하는 PCDS (Pre Crime Detect Satellite)를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스에 대한 관찰을 요약한 내용입니다. 현재 인터넷 위협 수준은 '경고'로 지난 주와 동일하게 유지하고 있으며, 주요 특징은 다음과 같습니다.

 

주요 특징(Main Features)

• 신규 유포지, 파급력 감소 – 악성코드 통로는 여전히 존재

• 악성코드 유포지로 지속적인 이용 – 여의도 순복음교회, 케이웨더 등

• P2P사이트를 통한 집중적인 악성코드 유포 – 신규 2곳

• 방송, 언론사 등 통한 악성코드 유포 – 작년 유사 상황과 비교 분석(경인방송국, 아시아뉴스통신, 빅뉴스 등등)

• 파밍 – 레지스트리 조작, 채팅 창을 활용한 사기 활성화

 

 

주간 동향(Weekly Trend)

[표 1. 3월 2주차 한국 인터넷 위협지수]

3월 2주차 전체 발견된 유포지는 증가하였지만 신규 경유지의 감소로 인하여 파급력 역시 감소를 하는 모습을 보였다. 하지만, 영향력의 감소에도 불구하고, 언론매체, 쇼핑몰, P2P 등에서는 악성코드의 유포가 지속되는 현상을 보였다. 특히, 금주에는 지난 3개월 동안 악성코드 유포 이력이 없었던 언론/방송사를 통해 악성코드 유포가 이루어지는 현상이 관찰되었으며, 지속적으로 보안점검을 받는 종교단체 역시 현재까지 문제점을 발견하지 못해 4주 연속으로 악성코드를 유포하는 모습을 보였다. 추가적으로 바이너리 확인결과 대부분이 파밍 악성코드로 확인이 되었으며, 바이러스토탈(VirusToal)에서 조회결과 국내백신에서 탐지하지 못하는 것을 확인하였다. 금주 신규 경유지와 영향력은 감소하였지만 언론/방송사를 통한 악성코드 유포와 함께 지속적인 사이트 재감염 사례 등 위협요소가 남아있어 인터넷 위협수준을 "경고" 단계로 유지한다.

[표 2. 3월 2주차 시간대별 통계]

시간대 별 통계를 살펴보면 지난주 주말기간 활발히 활동했던 모습에 비해 금주에는 평일에 활동을 하였으며 활동도 소규모로 이루어지는 모습이 관찰되었다. 하지만, 기존 악성코드 유포지로 활용되었던 사이트의 통로는 현재도 존재하고 있기 때문에 위협이 낮아졌다고 판단하기는 이른 상황이다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

2월 1주차부터 3월 2주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 156건(16.9%)으로 지난주와 소폭 증가하였으며, 미국이 380건(40.6%), 독일이 150건(16.0%), 이탈리아가 51건(5.5%), 스페인이 43건(2.8%), 브라질이 20건(2.1%), 일본이 19건(2.0%), 러시아가 17건(1.8%), 네덜란드가 16건(1.7%), 덴마크가 13건(1.4%), 영국이 12건(1.3%), 폴란드가 10건(1.1%), 기타가 61건(6.1%) 등으로 나타났다.

 

 

주간 이슈(Weekly Issue)

[그림 1. 파밍 정보 입력 후 나타나는 채팅창 – 3월 5일]

 

최근 국내 영향력 있는 웹사이트를 통해 악성코드가 유포되는 상황이 지속적으로 관찰되고 있으며 이를 통해 다운로드 된 악성코드는 대부분 파밍 악성코드로 확인되고 있다. 파밍 악성코드는 지난해부터 등장하기 시작했으며 매주 새롭게 바뀌는 모습이 나오고 있다. 지난주 카드사를 사칭한 파밍사이트의 등장과 일부 보안업체를 이용하려는 정황에 이어서 금주에는 파밍 사이트에서 모든 정보를 입력 후에 새롭게 채팅창이 나타나는 모습이 발견되었다. 특히, 채팅창은 우리은행에서만 나타난 것이 아닌 새마을금고를 통해서도 나타났으며 향후에는 모든 파밍 은행 사이트에서 이 와 같은 공격이 나타날 것으로 예상된다.

 

 

정보제공 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 및 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
  • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
  • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 – 인터넷 위협 수준이 "4단계. 경고" 이상일 경우. 고객사 대상 수시 발송

 

무료

       한국 인터넷 위협 요약 – 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)

  • 긴급 정보 제공 – 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

    2014년 1월 이후에는 "5단계 사고 발생" 시에만 긴급 정보제공 ( 수시, 선별된 정보 제공) 

 

정기 신청기업(유료)

  • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
  • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 문의

  • 무료 신청을 원하시는 경우 info@bitscan.co.kr 로 연락주십시오.
  • 정기 신청 및 관련 사항 문의는 "회사 이메일"을 통해 info@bitscan.co.kr

    연락주십시오.

 

감사합니다.

Posted by 바다란

인터넷 위협 수준: 경고

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

[표 1. 2월 4주차 한국인터넷 위협지수]

2월 3주부터 시작된 신규 악성링크의 비정상적인 움직임은 2월 4주까지 이어지는 모습을 보였다. 특히, 쇼핑몰, 보안관련 매체, 복지포탈, 파일공유(P2P) 등 영향력 있는 사이트를 통해 유포가 나타나면서 파급력이 크게 증가하는 모습을 보였으며 악성코드 분석결과 대부분 파밍 종류의 악성코드로 확인 되었다. 특히, 파밍 악성코드 내부 파밍 리스트에서는 지난주 오픈마켓 지마켓이 추가에 이어 금주에는 증권사(키움증권, 삼성증권, 대신증권, 동부증권, 미레에셋 증권)까지 확대하려는 사전 징후가 포착되었으며 악성코드 유포 당시 국내 백신만을 우회 하고 있는 전형적인 모습도 확인되었다. 또한, 시간이 지난 현재에도 대응되지 않은 부분도 일부 존재하고 있어서 2차적인 추가 피해가 우려되는 상황이다. 금주 증가된 위협과 영향력 있는 사이트를 통한 악성코드 유포와 함께 기존의 악성링크 재활용과 함께 신규 악성링크를 통한 비정상적인 움직임이 포착되어 인터넷 위협 수준을 2월 23일부로 "경고" 단계로 상향 조정한다.

 

[표 2. 시간대별 통계]

시간대 별 통계를 살펴 보면 악성링크의 비정상적인 움직임에 따라 대부분의 수치가 증가 한 것을 볼 수 있다. 특히, 지난주와 달리 목요일∼일요일까지 가장 활발한 활동을 보였다.

[표 3. 최근 1달 악성링크 도메인 통계]

1월 3주차부터 2월 4주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 180건(16.1%)으로 지난주와 소폭 증가하였으며, 프랑스가 299건(26.7%), 미국이 241건(21.5%), 독일이 160건(14.3%), 이탈리아가 72건(6.4%), 스페인이 32건(2.9%), 네덜란드가 26건(2.3%), 폴란드가 23건(2.1%), 영국이 14건(1.3%), 덴마크가 12건(1.1%), 기타가 61건(5.5%)등으로 나타났다.

  • 2월 4주차 대표적 유포 이슈

[그림 1. 옐로우캡 사이트에 삽입된 악성 링크 – 2월 18일 확인]

택배 전문업체인 옐로캡택배를 통해 악성링크가 삽입되어 유포되고 있는 정황이 2월 23일 확인되었다. 옐로우캡택배는 오픈마켓 등 다양한 쇼핑몰과 제휴 협력을 맺은 상태이다. 특히, 악성링크는 공용 모듈에 삽입되어 있어 방문자가 어느 페이지로 접속을 하든 악성링크가 실행되는 현상이 나타나고 있으며 보안 패치가 되어 있지 않은 취약한 사용자는 악성코드의 감염될 수 밖에 없다. 악성링크 분석결과 Java 7종, IE 1종, Adobe Flash 1종의 취약점을 이용하는 공다팩(Gondad Exploit Kit)으로 확인 되었으며 최종 바이너리는 파밍 종류의 악성코드로 확인되었다.

보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

끝.

 

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 브리핑 요약 주간의 공격 동향 새로운 공격 형태 정보 요약
  • 동향분석보고서– 최소 4 제공
  • 기술 보고서공격 기법 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 스탠다드 브리핑 요약, 동향분석보고서, 기술분석보고서
  • 엔터프라이즈 Daily base C&C 정보, 브리핑 요약, 동향분석, 기술 보고서, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란
TAG 빛스캔

인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

[표 1. 2월 3주차 한국인터넷 위협지수]

2월 3주차에 전체 발견된 유포지는 지난주에 비해 조금 증가하였지만, 신규 경유지의 활동이 약 3배정도 증가함에 따라 파급력도 동반 상승하는 효과가 나타났다. 상승 요인으로는 파일공유(P2P), 여행사, 쇼핑몰, 뉴스, 광고 배너 사이트가 주말기간 악성코드의 집중적인 유포에 따른 효과로 보이며 일부 사이트는 3주 연속 악성코드 통로로 이용되기도 하였으며 파일공유(P2P) 사이트에서는 공백(Space, Tab)와 배열함수를 이용하여 AV 제품의 웹 페이지 탐지를 방해하기 위한 활동도 포착되었다. 또한, 발견된 악성코드는 대부분 파밍 악성코드로 분석 되었으며 일부는 추가 다운로드를 통해 스케쥴러를 생성하여 C&C와 지속적인 명령을 받는 모습도 관찰되었다. 특히, 지난 주에 출현한 지마켓을 노린 파밍용 악성코드는 금주에 이르러서 웹사이트에 연결되는 상황까지 발전하였다. 금주 신규 경유지의 지속적인 증가 및 탐지 회피를 위한 악성링크의 변화와 지속적인 파일공유(P2P) 유포 등 전반적인 위협이 증가함에 따라 인터넷 위협 수준을 "주의" 단계로 유지한다.

 

[표 2. 시간대별 통계]

시간대 별 통계를 살펴 보면 신규 경유지가 증가함에 따라 전반적인 수치가 지난주에 비해 상승한 모습이 나타났으며 특히, 평일에 시작된 악성코드의 유포가 주말까지 이어지는 모습이 나타났다.

[표 3. 최근 1달 악성링크 도메인 통계]

1월 2주차부터 2월 3주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 165건(14.8%)으로 지난주와 비슷하였으며, 프랑스가 300건(26.8%), 미국이 240건(21.5%), 독일이 165건(14.8%), 이탈리아가 58건(5.2%), 스페인이 33건(3.0%), 폴란드가 30건(2.7%), 영국이 24건(2.1%), 네덜란드가 22건(2.0%), 홍콩이 11건(1.0%), 기타 70건(6.1%) 등으로 나타났다.

 

  • 2월 3주차 대표적 유포 이슈

[그림 1. 오픈마켓 지마켓(Gmarket.com) 및 금융결제원을 이용한 플로팅 배너 광고]

지난주 오픈마켓인 지마켓(Gmarket.com)을 이용하려는 사전 징후가 악성코드를 통해 포착되었다. 그 이후 금주 주말에 나타난 악성코드를 통해 지마켓(Gmarket.com) 사이트가 플로팅 배너 광고로 이용되고 있는 모습을 확인하였다. 지마켓을 시작으로 다른 오픈 마켓까지 확대될 지는 조금 더 지켜봐야겠지만 한가지 분명한 점은 이제는 포탈 사이트만이 타겟이 아니라는 점은 확실하다. 더불어, 금주 포털 사이트에서 나타난 플로팅 배너 광고에서는 금융결제원을 사칭하여 파밍 사이트로 연결하는 모습도 확인되었다.

보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

끝.

 

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 브리핑 요약 주간의 공격 동향 새로운 공격 형태 정보 요약
  • 동향분석보고서– 최소 4 제공
  • 기술 보고서공격 기법 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 스탠다드 브리핑 요약, 동향분석보고서, 기술분석보고서
  • 엔터프라이즈 Daily base C&C 정보, 브리핑 요약, 동향분석, 기술 보고서, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

2013년 악성링크 탐지 및 영향력에 대한 PCDS 전체 기록.




3.20 이후 파급력( 대량 유포를 위한 네트워크 통계 분석 지수) 부분을 보강한 챠트. 제일 밑의 붉은색이 순수 악성링크 출현 수치, 가운데의 노란선이 MalwareNet으로 표현되는 파급력, 전체 유포지 출현 빈도는 파란색..

결론은 2013년은 전체적으로 상당히 높은 빈도의 위협을 유지하였다는 것을 볼 수 있다. 그 결과로 3.20 및 6.25가 발생 되었고 이후에도 추가적인 위협들이 추석 전후/ 12월쯤에 있었던 것을 확연하게 알 수 있다.

3.20 때보다 확연하게 높아진 위험들이 이후로 계속 유지 되었으나 그나마 절반의 성공 ( 좀비 PC 대량 확보 실패 그러나 목적은 달성한..)이라 할 수 있는 6.25 정도로 끝난 게 천만다행이라고 할 수 있을 것이다.

매주 관찰된 결과를 1년 동안 누적한 결과를 살펴보면 틀린 방향을 보고 있지는 않다는 것을 확인한 것이 가장 큰 소득.

이번 2013년 연간 위협보고서의 공개는 세계적으로 유례가 없는 사례집에나 나올 법한 사건들을 연이어 겪은 인터넷 속도(?)강국 전체를 살펴보고 관찰된 데이터라는 점에서 극히 드문 자료라 할 수 있다. 


*문의: info@bitscan.co.kr 


[빛스캔] 2013년 온라인 위협 동향 (연간 보고서).pdf




빛스캔 측의 지난해 월별 동향을 정리해 보면 다음과 같다.
 
◇3월=3.20일 사이버 테러가 일어나기 직전 악성코드의 활동이 급격히 늘어난 정황이 포착되었으며 즉시 수상한 움직임에 대한 경고하였다. 하지만, 3.20 사이버 테러는 방송사를 비롯한 금융권에 장애를 일으키며 상당한 혼란을 야기하였다. 또한 사이버대란을 이용한 파밍 사이트가 등장하였으며 사용자의 금융정보 유출 후 사용자의 PC를 파괴하는 모습까지 포착 되었다. 당사는 3월 20일 이후 26일까지 긴급 대응하여 피해 확산을 방지하는데 노력하였다.
 
◇4월=특정 IP대역에 사전 준비작업(악성파일 업로드)을 해두고, IP만 수시로 변경해 탐지를 회피하고 있는 현상이 관찰이 되었으며 공격자들이 새로운 감염통로 개척하는 등 공격 수준이 3.20 사이버테러 이전으로 정상화된 것으로 추정되며 최종 파일로는 루트킷이 발견되었으며 국내에서는 루트킷과 파밍과 함께 공다팩, 레드킷, CK VIP가 관찰되고 있으며 감염시키기 위해 MalwareNet을 활용하여 감염시켰다. 또한 특정 ISP(홍콩)의 C 클래스를 통해 악성코드 유포뿐만 아니라 악성파일 자체를 업로드하여 전통적인 보안 솔루션을 손쉽게 우회하고 있어 이에 대한 대비가 필요하다.
 
◇5월=5월 1주부터 5월 2주차 까지 홍콩 소재 C 클래스 대역 최소 10개에서 13개까지 꾸준하게 유포를 하고 있다. 지난 3.20 사이버테러 직전에 발생했던 징후(방송사 이름을 가진 악성파일)가 5월 3주차에 나타나기 시작했다. 특히, 감염 이후 C&C 및 접속자 통계 사이트로 연결(감염자 통계를 확인 목적)에 이용된 도메인이 kbsxxx, imbcxxx로 활용된 정황이 발견되었으며 3.20 사이버 테러 직전의 상황과 유사하다고 판단되어 경보단계를 “주의”로 상향하였다. 5월 4주에 매우 비정상적인 유포 움직임이 관찰되어 관찰경보가 "주의" 에서 "경고"로 상향하였다. 그 이유는 전주에 비해 악성링크의 수치 및 영향도가 급격하게 증가한 것이 관찰되었으며 일시에 3~4개의 MalwareNet을 생성하고 총 80곳 이상을 경유지 활용하였으며 백신제품들에 탐지되지 않는 악성코드를 동시에 감염 시도하는 정황이 관찰되었기 때문이다.
 
◇6월=6월 1주 Cool Exploit Kit에서 변형이 된 Red Exploit Kit이 등장하여 국내외에 서 활발한 활동을 보였다. 6월 2주에는 5~6개의 MalwareNet을 이용하여 80여곳 도메인에서 유포가 발생하였다. 하지만, 6월 3주차에 총 6번에 걸친 정보 공유를 통해 대응한 결과 신규 악성링크가 감소한 동시에 파급력도 함께 감소했다. 하지만, 6월 4주차에 다시 MalwareNet의 활동의 증가로 적게는 50여곳, 최대 200여곳에 파급되는 효과를 가져왔다. 
 
◇7월=6월 25일, 사이버테러가 발생 후 신규 악성링크의 발생은 현저히 줄어들었다. 하지만, 영향받는 웹 사이트의 복구가 늦어지며 주말에 삽입되었던 악성링크가 평일까지 유지되는 모습을 관찰하였다. 또한, 7월에 활발했던 공다팩의 비율이 점점 감소하여 7월 4주차에는 CK VIP를 이용한 공격이 다수 발생하였다. 또한, tiancai.html, shifu.html, xiangnian.html를 세트로 한 공격이 일본 도메인을 이용하여 유포하는 모습도 발견하였다. 그리고 7월 3주차에 치음 확인되었던 HTTPS(특정 포트)를 이용한공격이 7월 5주 HTTP URL과 함께 결합되어 공격하는 새로운 형태가 나타났다.
 
◇8월=8월 1주차 난독화를 활용하는 CK VIP Exploit Kit을 이용하는 비율이 80%까지 증가하였으며 지속적으로 특정 포트를 이용하는 공격, 일본, 미국의 도메인을 이용한 국내에서의 유포 현상이 나타났다. 8월 2주차 전체 발견된 악성링크는 당사가 관찰하였던 기간 중 최고로 낮은 움직임을 보였으며 포털사이트를 이용한 파밍이 국내 포탈까지 활용된 정황이 관찰되었다. 8월 3주차에는 다수의 유포지를 활용하여 최종 적으로 다운로드되는 악성코드가 동일한 형태로 확인되었으며, 더불어 특정한 대상을 타깃으로 하는 워터링홀 공격도 함께 관찰되었다. 8월 4주차에는 바이너리와 연결된 C&C 서버를 확인한 결과, 감염된 사용자에 대한 관리가 이루어지는 정황과 함께 추가적인 바이너리에서는 파밍 악성코드와 함께 사용자 PC를 원격에서 제어하는 모습도 함께 관찰되었다
 
◇9월=9월 1주차부터 2주차까지는 8월부터 나타나기 시작한, 최대 40개 웹사이트를 보유한 MalwareNet을 활용하여 최종적으로 하나의 악성코드로 연결되는 공격 방식이 더욱 활발히 나타났으며 이들의 목적은 사용자의 금융계좌를 노린 파밍 악성코드로 확인되었다. 또한, 9월 3주부터 4주차까지는 멀티스테이지가 MalwareNet 과 결합하여 다수 유포되는 현상이 나타났으며 공격자는 국내 IP 차단이 어려운 점을 악용하여 직접적인 유포 경로로 국내 사이트를 이용하고, C&C 서버도 국내 서버를 활용하는 정황도 발견되었으며, 추가 다운로드 된 파일은 파밍의 기능과 함께 감염자 정보를 국내 C&C 서버로 전송하는 역할도 관찰되었다. 9월 5주차에는 전체 발견된 악성링크는 9월 관찰기간 중 최저치를 기록하였다. 더불어, 9/25(수)에 “긴급 의심 정보 공유” 이후 악성링크의 활동은 나타나지 않는 모습을 보였다.
 
◇10월=10월 1주부터 10월 3주까지 전체 발견된 악성링크와 신규 악성링크가 감소세와 증가를 반복하였지만, 미치는 영향은 거의 없는 것으로 관찰되었다. 하지만 10월 2주부터 일부 P2P 사이트에서 악성링크의 유포를 시작으로 10월 3주차에는 그동안 해외에서 관찰 되었던 IE 제로데이(CVE-2013-3897)가 Caihong Exploit Kit에 탑재되어 불특정 다수에게 유포되고 있는 정황을 관찰되었다. 하지만, 미치는 영향은 그리 크지 않은 것으로 분석되었다. 10월 4주차에는 그동안 나타나지 않았던 주요 사이트를 통한 유포와 공다팩이 9개의 취약점을 이용한 유포와 함께 레드킷까지 등장하여 많은 영향을 주었다.
 
◇11월=전체적으로 위협수준이 크게 증가한 가운데, IE 제로데이를 이용한 공격이 감소한 반면, 공다팩의 사용률은 증가하였다. 특히, 악성링크에 대한 초기 정보 수집을 차단하기 위해 시간차 공격이 11월 2주부터 지속적으로 나타났으며 국내 서버를 이용한 공격도 일부 나타났다. 또한, 11월 3주부터는 사용자의 방문이 많은 파일 공유(P2P), 언론사이트를 중점으로 악성링크를 직접 유포하는 모습이 나타났으며 그 결과 파급력은 상당히 높게 나온 것으로 집계되었으며 11월 4주차에는 임계치를 넘어서는 위협적인 모습까지 보였다.
 
◇12월=12월 악성링크, 바이너리, C&C 서버, IP 차단 및 탐지를 회피하기 위한 잦은 변화의 움직임이 지속된 가운데 언론사, 파일공유(P2P), 광고링크 사이트와 같이 영향력이 높은 사이트를 통한 악성코드 유포가 이루어졌으며 MalwareNet 또한 활발한 활동이 나타났다. 유포된 악성링크에서는 CVE-2013-3897이 단독으로 쓰인 악성코드도 등장하였다. 또한, 꾸준히 나타나고 있는 레드킷의 일부 바이너리 링크는 차단 회피를 위해 SkyDrive를 이용하는 정황도 포착되었다.
 
악성코드 자동화 공격 도구에 대해서는 지금까지 국내에서는 다양한 자동 공격화 도구가 출현하였으며, 이러한 공격 도구들은 버전 업데이트를 통해 지속적으로 진화하고 있으며, 난독화를 통해 탐지 및 분석을 위한 디코딩이 어렵게 하고 있는 상황으로, 국내에서 발견되고 있는 자동 공격화 도구는 공다팩(Gondad)과 CK vip에서 변형된 카이홍(Caihong)이 지속적으로 탐지되고 있으며 그 밖에 레드킷(Redkit), 블랙홀(Blockhole) 공격킷도 활동하고 있다고 밝혔다.
 
또 금융 보안위협에 대해서는 지난해 온라인 게임 계정탈취가 주요 이슈였다면 올해는 사용자들의 금융계좌를 노린 파밍 악성코드가 나타났다. 1월부터 시작 된 파밍은 올해가 끝나기 전까지 지속적이고 빠른 변경을 통해 사용자를 속이기 위해 노력하는 모습을 보였다고 분석했다.
 
한편 향후 전망에 대해 빛스캔 측은 “웹, 이메일, USB 또는 사람으로 한정된 위협요소에 대해 우리는 관리 정책과 보안도구들을 이용해서 일정 수준의 보호를 받을 수 있다. 그러나 아직 웹을 통한 대량감염에 대해서는 뚜렷한 관찰도 부족하고 즉시 대응 할 수 있는 체계도 미비함에 따라 2013년에 이어 2014년도 웹을 통한 대량 감염과 공격은 일상적으로 발생될 것으로 예상된다”고 분석했다. 
 
개선 방안에 대해서는 “지속적인 유포지 및 경유지 침해 사고가 발생할 경우에는 웹사이트의 취약점을 분석하여 해결해야 한다. 또한 웹사이트 내에 웹쉘, 루트킷과 같이 악성코드가 숨겨져 있을 수 있으므로, 추가적인 보안 대책이 필요하다”며 “웹 취약점을 해결하기 위해서는 홈페이지의 개발시점부터 유지보수 때까지 개발자가 보안 코딩을 준수해야 한다”고 조언했다.
 



Posted by 바다란
TAG 빛스캔


본 보고서는 2013년 12월에 주간단위로 발행된 기술분석, 동향분석과 브리핑을 참고하여 한달 간의 위협동향을 기술한 내용입니다.


매달 월간 보고서가 공개용으로 발행 되고 있습니다. 본 12월 월간 보고서는 지난 1월 29일 정기 보고서 발송일에 발행된 내용으로서 12월간의 전체적인 위협을 관찰 하고 확인 할 수 있습니다. 또한 대표적인 위협들을 기술함으로써 현재의 변화에 대해서도 확인 할 수 있도록 제작 되고 있습니다.


상세한 내용은 주간 단위로 발행되는 정식 정보제공 서비스를 구독하셔야 가능하며, 개략적인 내용은 주간 동향요약과 매달 발행 되는 전월의 월간 인터넷 위협동향 보고서를 통해서 확인 하실 수 있습니다.


* 2013년 연간 보고서도 1월 4주차에 정식 고객을 대상으로 릴리즈 되었으며, 곧 공개용으로도 만나실 수 있습니다.



<2013년 12월 위협레벨 동향>

12월 1주부터 증가된 신규 공격코드의 영향력은 MalwareNet과 일부 대형 사이트와 결합이 되면서 국내 인터넷 환경에 심각한 위협을 가져왔으며, 그 결과 12월 3주까지 인터넷 위협 등급을 “경고”로 유지하였다. 하지만, 12월 4주 차부터 효과적인 공격이 발생하지 않았고, 소규모적인 공격이 발생하여 “주의” 단계로 한 단계 하향 조정했다.



2013.12월 월간 동향 총평

12월 악성링크, 바이너리, C&C 서버, IP 차단 및 탐지를 회피하기 위한 잦은 변화의 움직임이 지속된 가운데 언론사, 파일공유(P2P), 광고링크 사이트와 같이 영향력이 높은 사이트를 통한 악성코드 유포가 이루어졌으며 MalwareNet 또한 활발한 활동이 나타났다. 유포된 악성링크에서는 CVE-2013-3897이 단독으로 쓰인 악성코드도 등장하였다. 또한, 꾸준히 나타나고 있는 레드킷의 일부 바이너리 링크는 차단 회피를 위해 SkyDrive를 이용하는 정황도 포착되었다.



상세 내용은 첨부 보고서를 참고 하세요.



[빛스캔] 월간인터넷동향보고서(2013.12).pdf



Posted by 바다란
TAG 빛스캔

인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<12월 4주차 한국인터넷 위협지수>

12월 4주 전체 발견된 유포지(웹 사이트)의 증가는 지속되는 모습을 보였지만 신규 경유지(악성링크) 및 파급력은 매우 낮은 수치를 기록하였다. 금주 국내 도메인을 이용한 악성링크가 다수 등장한 가운데 최종 바이너리로 연결 시 IP주소와 PORT번호를 변경하여 백신 탐지를 회피하는 정황도 확인되었다. 일부 바이너리는 국내 백신을 우회하는 정황이 발견되었으며 추가적 행동을 위해 C&C 서버와 지속적으로 통신하는 모습도 관찰되었다. 또한, 레드킷 역시 꾸준한 활동을 이어가는 가운데 최근에는 하나의 웹 페이지 내에 매개변수가 다른 링크를 다수 삽입하는 모습이 나타났으며 그 결과 전체 발견된 유포지(웹사이트)의 증가에 영향을 주었다. 게다가, 레드킷을 통해 나타난 일부 바이너리 링크는 차단 회피를 위해 SkyDrive를 이용하는 정황도 일부 포착되었으며 최초 링크를 차단하지 못한다면 피해가 확산될 것으로 예상된다. 금주 신규 경유지와 파급력은 감소하였지만 (감염될 수 있는) 통로가 여전히 열려 있고, 언제든지 이용될 수 있는 위협이 존재하지만, 악성링크를 통한 영향력 측면에서는 소강상태가 유지되고 있어 인터넷 위협 수준을 "주의" 단계로 하향 조정한다.

 

<시간대별 통계>

시간대별 통계를 살펴보면 월요일 ∼ 일요일까지 전시간에 걸쳐 악성링크의 활동이 있었으며 특히, 지난주와 비슷하게 주말에는 더욱 수치가 증가하는 모습을 보였다. 악성링크의 움직임이 한정되지 않은 만큼 지속적인 관찰과 범위 파악을 통한 대응이 필요할 것으로 보인다.

<최근 1달 악성링크 도메인 통계>

11월 3주차부터 12월 4주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 214건(36.6%)으로 지난주에 비해 다소 감소하였으며, 미국이 205건(35.0%), 독일이 71건(12.1%), 폴란드가 17건(2.9%), 러시아가 15건(2.6%), 홍콩이 11건(1.9%), 네덜란드가 10건(1.7%), 프랑스가 10건(1.7%), 태국이 8건(1.4%), 일본이 4건(0.7%), 영국이 3건(0.5%), 우크라이나가 3건(0.5%), 스페인이 2건(0.3%), 오스트레일리아가 2건(0.3%), 싱가포르가 2건(0.3%), 이탈리아 2건(0.3%), 유럽이 2건(0.3%), 포르투갈이 2건(0.3%), 중국이 1건(0.2%), 스웨덴 1건(0.2%), 터키가 1건(0.2%), 캐나다가 1건(0.2%), 등으로 나타났다.

 

<최근 1달 악성링크 도메인 통계>

국가별 경유지(악성링크) 도메인 통계를 분석한 결과 한국이 30건(30.6%), 독일이 24건(24.5%), 미국이 18건(18.4%), 러시아가 5건(5.1%), 태국이 4건(4.1%), 홍콩이 3건(3.1%), 폴란드가 3건(3.1%), 프랑스가 3건(3.1%), 네덜란드가 3건(3.1%), 스페인이 1건(1.0%), 포르투갈이 1건(1.0%), 영국이 1건(1.0%), 오스트레일리아 1건(1.0%), 유럽이 1건(1.0%)로 나타났다.

 

끝.

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

인터넷 위협 수준: 경고

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<12월 1주차 한국인터넷 위협지수>

12월 3주 전체 발견된 유포지(웹사이트) 및 신규 경유지(악성링크)는 증가하는 모습을 보였지만 신규 공격코드의 파급력은 지난주와 다르게 대폭 감소하는 모습을 보였다. 지난주와 달리 사용자의 방문이 많은 사이트에서의 유포 감소로 인해 효율적인 공격이 이루지지 못해 파급력이 하락한 이유로 판단된다. 하지만, 전체 발견된 웹사이트는 11월 이후 꾸준히 증가세를 유지하고 있다. 레드킷의 활동이 다시 시작된 가운데 레드킷 이외에 유포된 사이트에서는 지난주와 마찬가지로 대응에 혼란을 주기 위한 시간차 공격이 일부 웹사이트를 통해 나타났으며 소규모 MalwareNet도 함께 관찰되었으며 이들은 대부분 파밍 악성코드와 백도어 종류의 악성코드로 확인되었다. 일부 바이너리의 분석 결과 중국 SNS 서비스인 QQzone로 C&C 연결을 시도하는 현상도 관찰되었다. 신규 공격코드 파급력은 줄어들었지만 전체 발견된 유포지의 꾸준한 증가와 계속되는 시간차 공격과 MalwareNet의 출현으로 인터넷 위협 수준을 "경고" 단계로 유지한다.

 

<시간대별 통계>

시간대별 통계를 살펴보면 지난주와 다르게 평일 일부 시간대와 일요일 전시간에 걸쳐서 최대의 유포를 기록하였다. 앞으로도 공격자는 시간대에 상관없이 변칙적으로 유포를 할 것으로 보이기 때문에 지속적인 관찰이 필요하다.

 

<최근 1달 악성링크 도메인 통계>

11월 2주차부터 12월 3주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 238건(42.4%)으로 지난주에 비해 다소 감소하였으며, 미국이 211건(37.6%), 독일이 33건(5.9%), 폴란드가 23건(4.1%), 홍콩이 8건(1.4%), 일본이 7건(1.2%), 러시아가 7건(1.2%), 네덜란드가 6건(1.1%), 프랑스가 6건(1.1%), 우크라이나가 4건(0.7%), 싱가포르가 3건(0.5%), 태국이 3건(0.5%), 이탈리아 2건(0.4%), 베트남이 2건(0.4%), 덴마크가 1건(0.2%), 영국이 1건(0.2%), 중국이 1건(0.2%), 캐나다가 1건(0.2%), 터키가 1건(0.2%), 스페인이 1건(0.2%), 스웨덴 1건(0.2%), 헝가리 1건(0.2%) 등으로 나타났다.

 

<최근 1달 악성링크 도메인 통계>

국가별 경유지(악성링크) 도메인 통계를 분석한 결과 한국이 26건(36.6%), 미국이 19건(26.8%), 독일이 7건(9.9%), 폴란드가 7건(9.9%), 태국이 3건(4.2%), 일본이 2건(2.8%), 홍콩이 2건(2.8%), 프랑스가 1건(1.4%), 러시아가 1건(1.4%), 스페인이 1건(1.4%), 우크라이나가 1건(1.4%), 덴마크가 1건(1.4%) 로 나타났다.

끝.

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란
TAG 빛스캔

인터넷 위협 수준: 경고

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<12월 1주차 한국인터넷 위협지수>

11월 4주부터 시작된 악성링크의 영향력 및 비정상적인 활동은 금주까지 지속되었다. 특히, 신규 경유지(악성링크)의 수치가 낮아졌음에도 불과하고 신규 공격코드가 가진 파급력은 약 25% 상승하였으며 수치로 보았을 때 적은 수의 신규 경유지(악성링크)가 최대 300여곳을 활용하는 MalwareNet이 영향력 있는 사이트에 결합된 결과라 볼 수 있다. 또한, 지난주에 나타났던 파일공유(P2P) 사이트 이외에 금융권 사이트가 직접적인 MalwareNet을 포함한 악성링크 유포의 대상이 되었으며 메인 페이지뿐만 아니라 하위 페이지까지 주말기간동안 모두 악성링크의 영향을 받는 모습이 확인되었다. 또한, 11월부터 나타난 악성링크, 바이너리, C&C 서버의 차단 및 탐지를 회피하기 위한 잦은 변화의 움직임은 금주에도 동일하게 관찰되었다. 더불어, hosts/hosts.ics 파일의 크기를 10MB로 늘려 파일변조 탐지를 우회하기 위한 모습 또한 지속적으로 관찰되고 있다. 금주에는 더욱 증가된 악성링크의 영향력과 대폭 증가한 MalwareNet 의 파급력, 금융권 사이트에 대한 직접적인 악성링크 유포로 인한 위협의 증가로 인해 인터넷 위협 수준을 "경고" 수준으로 계속 유지한다.

 

<시간대별 통계>

시간별 통계를 살펴보면 화요일 ∼ 일요일까지 꾸준히 유포를 하는 모습이 나타났으며 목요일 이후로는 집중적인 악성링크의 활동이 있었다. 특히, 지난주부터 나타났던 주말을 이용하여 대대적인 악성링크의 활동이 나타나고 있어 지속적인 관찰이 필요하다.

<최근 1달 악성링크 도메인 통계>

11월 1주차부터 12월 2주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 270건(44.4%)으로 지난주에 비해 많이 증가하였으며, 미국이 258건(42.2%), 독일이 20건(3.3%), 폴란드가 14건(2.3%), 네덜란드가 7건(1.2%), 프랑스가 6건(1.0%), 러시아가 5건(0.8%), 일본이 5건(0.8%), 홍콩이 4건(0.7%), 싱가포르가 4건(0.7%), 영국이 3건(0.5%), 이탈리아 2건(0.3%), 베트남이 2건(0.3%), 우크라이나가 2건(0.4%), 중국이 1건(0.2%), 오스트레일리아가 1건 (0.2%), 캐나다가 1건(0.2%), 터키가 1건(0.2%), 스웨덴 1건(0.2%), 헝가리 1건(0.2%) 등으로 나타났다.

 

<최근 1달 악성링크 도메인 통계>

국가별 경유지(악성링크) 도메인 통계를 분석한 결과 미국이 66건(60.0%), 한국이 39건(35.5%), 프랑스가 2건(1.8%), 네덜란드가 1건(1.1%), 영국이 1건(1.1%), 일본이 1건(1.1%) 으로 나타났으며 도메인의 다양성이 나타나지 않은 이유는 레드킷과 블랙홀익스플로잇킷의 활동이 감소한 것에 따른 영향으로 판단된다.

 

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란
TAG 빛스캔

[인터넷 위협 수준: 경고]

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<12월 1주차 한국인터넷 위협지수>

12월 1주 전체 발견된 유포지(웹사이트), 신규 경유지(악성링크), 신규 공격코드 파급력은 모두 지난주에 비해 증가했다. 특히, 지난주와 같이 언론사, 파일공유(P2P) 사이트와 같이 영향력이 높은 사이트를 통한 공격은 지속되었다. 특징적인 부분은 최소 80여곳에서 최대 200여곳의 웹사이트를 보유한 대규모 MalwareNet과 결합되어 감염비율을 극대화하려는 공격형태가 높은 수준으로 관찰되었으며, 공격성공시에는 파밍 악성코드 이외에 백도어 유형까지도 감염이 발생되고 있어서 11월 4주차 대비 영향력 측면에서 확연하게 위험성이 증가된 것으로 판단된다. 금주 IE-보안취약점(CVE-2013-3897)을 단독적으로 사용한 악성링크의 등장과 함께 일본도메인(.jp)을 직접적인 공격통로로 활용하는 공격이 출현한 상태라 향후 변화가 예상된다. 공격 특징으로는 동일한 악성파일의 MD5값만을 계속 변경하는 형태를 통해 바이너리, C&C 서버의 변경이 계속되는 것이 관찰 되고 있어서 지속적인 관찰이 요구되고 있다. 또한 레드킷 역시 지속적으로 국내 웹사이트에 영향을 주는 상황이다. 금주 지난주 보다 대폭 증가된 MalwareNet 을 통한 파밍 및 트로이목마 악성코드 유포와 같이 영향력이 더욱 증가된 상태가 관찰됨으로 인터넷 위협 수준을 "경고" 수준으로 계속 유지한다.

<시간대별 통계>

시간별 통계를 살펴보면 월요일 ∼ 일요일까지 꾸준히 유포를 하는 모습이 나타났다. 특히, 토요일 오후 ∼ 일요일까지 주말 사이에 집중적으로 유포가 이루어졌으며 지난주에 비해 1∼2건 이상 유포 빈도수가 증가 하였다,

 

<최근 1달 악성링크 도메인 통계>

10월 4주차부터 12월 1주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 240건(49.7%)으로 지난주에 비해 많이 증가하였으며, 미국이 159건(32.9%), 독일이 24건(5.0%), 폴란드가 16건(3.3%), 네덜란드가 8건(1.7%), 러시아가 7건(1.4%), 홍콩이 4건(0.8%), 일본이 4건(0.8%), 싱가포르가 4건(0.8%), 프랑스가 3건(0.6%), 중국이 2건(0.4%), 이탈리아 2건(0.4%), 우크라이나가 2건(0.4%), 베트남이 2건(0.4%), 스웨덴이 1건(0.2%), 캐나다가 1건(0.2%), 터키가 1건(0.2%), 헝가리 1건(0.2%), 영국이 1건(0.2%), 오스트레일리아가 1건 (0.2%)등으로 나타났다.

 

<최근 1달 악성링크 도메인 통계>

국가별 경유지(악성링크) 도메인 통계를 분석한 결과 한국이 48건(53.3%), 미국이 28건(31.3%), 독일이 4건(4.4%), 네덜란드가 3건(3.3%), 폴란드가 2건(2.2%), 러시아가 2건(2.2%), 중국이 1건(1.1%), 일본이 1건(1.1%), 프랑스가 1건 (1.1%) 등으로 나타났다. 한국 도메인을 공격통로로 이용하는 현상은 계속해서 높은 수준을 보이고 있어서 차단 및 대응에 어려움이 예상된다. 향후에도 계속 증가 추세를 보일 것으로 판단된다.

 

12월 1주차의 결과는 적극적인 영향력 확대가 관찰되고 있어서 여전히 심각한 위협수준에 노출 되고 있는 것으로 판정 할 수 있다. 상세한 내용은 유료 정보제공 서비스를 통해서 확인 할 수 있다.

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란
TAG 빛스캔

* 증가되는 확연한 현상이 보이시나요? 위협수준을 상향 시킨 이후 지속 되고 있는 형태입니다.

인터넷 위협 수준: 관심

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<주간 유포된 도메인 수>

11월 1주에 전체 발견된 유포지(웹사이트)와 신규 경유지(악성링크)는 지난주에 비해 대폭 증가하였다. 특히, 발견된 신규 악성링크에서는 지난 주에 활발하였던 IE 제로데이를 이용한 공격이 감소한 반면, 공다팩의 사용률이 증가하였다. 또한, 금주에는 공다팩이 3중으로 사용되는 멀티스테이지 공격이 발생한 가운데, 8월부터 나타난 동일 바이너리로 연결하는 악성링크도 재출현하였으며 지속적인 탐지 회피를 위해 바이너리 및 악성링크를 변경하는 정황도 포착하였다. 더불어, 발견된 바이너리의 분석 결과 다수의 도메인으로 연결되고, 이들은 하나의 C&C 서버로 연결되고 있었다. 또한, 연결 후에는 추가 바이너리를 다운로드 하는 모습이 관찰되었다. 금주 악성링크의 증가와 함께 다양한 공격방식으로 인한 위협이 관찰되어 인터넷 위협 수준을 "관심" 단계 그대로 유지한다.

 

<시간대별 통계>

시간대별 통계를 살펴보면 지난주 소규모의 유포를 보였던 악성링크의 활동이 금주에는 모든 시간대를 활용하여 유포하는 모습이 나타났다. 특히, 화요일 오전 ∼ 저녁 사이, 목요일 오전 ∼ 금요일 저녁까지 가장 활발한 활동을 보였다.

<최근 1달 악성링크 도메인 통계>

9월 5주차부터 11월 1주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 160건(69.9%), 미국 49건(21.4%), 폴란드 10건(4.4%), 일본 2건(0.9%), 독일 2건(0.9%), 영국 2건(0.9%), 오스트레일리아 2건(0.9%), 싱가포르 2건(0.9%) 등으로 나타났다.

 

<주간 악성링크 도메인 통계>

국가별 경유지(악성링크) 도메인 통계를 분석한 결과 한국이 45(60.8%), 미국 19(25.7%), 폴란드 5(6.8%), 일본 1(1.4%), 영국 1(1.4%), 독일 1(1.4%), 오스트레일리아 1(1.4%), 싱가포르 1(1.4%)등이 나타났으며, 특히, 레드킷의 활동으로 다양한 국가 도메인이 활용된 것으로 분석되었다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는 info@bitscan.co.kr 로 연락주십시오.

감사합니다.

 

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

인터넷 위협 수준: 평시

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<주간 유포된 도메인 수>

9월 3주를 기점으로 전체 발견된 악성링크가 10월 2주차에도 감소세가 유지되었지만, 신규 악성링크는 지난주 보다 조금 증가한 것으로 나타났다. 특히, 금주에는 방문자가 많은 일부 P2P 사이트를 통해 악성링크가 유포되었으며, 이는 지난주에 나타나지 않은 모습이었다. 그러나, 유포된 악성링크가 평상시에 비해 소규모로 활동이 이루어졌으며, 빠른 대응으로 인해 파급력은 낮게 나타났다. 금주 악성링크의 영향이 다소 있었지만 규모가 작고 새로운 위협이 등장하지 않아 "인터넷 위협" 수준을 "평시" 단계로 지난 주와 동일하게 유지한다.

 

<시간대별 통계>

시간별 통계를 살펴보면 수요일 ∼ 일요일 오전까지 지속적으로 유포를 하였으며, 특히, 월요일 오후 ∼ 화요일 오전 사이에는 가장 많은 유포가 이루어졌다. 지난주와 달리 금주에는 다양한 시간별로 악성링크의 활동이 있었으며 앞으로 악성링크의 활동은 증가와 감소를 나타날 수 있어 지속적인 관찰이 필요하다.

 

<최근 1달 악성링크 도메인 통계>

9월 2주차부터 10월 2주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 184건(86.4%), 미국 15건(7.0%), 일본 14건(6.6%)등으로 나타났다.

 

<주간 악성링크 도메인 통계>

국가별 악성링크 도메인 통계를 분석한 결과 한국이 26건(92.9%), 미국이 2건(7.1%)이 순으로 나타났으며, 여전히 국내서버를 주로 활용한 정황이 두드러지게 나타났다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는 info@bitscan.co.kr 로 연락주십시오.

감사합니다.

 

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

연목구어(緣木求魚) "문제의 해결은 원인을 제거함으로써 완성된다."

-바다란

  * 언론에 기고한 내용입니다.

정확한 문제의 해결을 위해서는 원인을 알고 제거를 있어야 해결이 된다. 문제는 산적해 있으나 해결 방안은 근본 원인에 접근을 하지 못할 문제의 해결은 어려울 수밖에 없다. 더구나 피해가 전체에 영향을 미치는 상황이라면 심각성은 말할 필요가 없을 것이다.

 

 

악성코드로 인한 피해가 심각한 상황임은 2013 올해 들어서 일어난 가지 대형 사건으로도 충분히 입증된 바가 있다. 방송과 금융을 직접적으로 노리고 피해를 입힌 3.20 대란과 6.25사건은 방송과 금융은 물론 한국의 중요 기관 조차도 위험의 중심부에 있음을 여실히 보여준 바가 있다. 직접적인 공격 이외에도 일반 사용자를 대상으로 하는 금융정보 탈취의 경우에도 이미 올해 상반기만에 지난해 전체의 피해를 넘어서는 피해액을 보이고 있는 상황을 지금의 한국 인터넷 환경의 위험도는 조절 있는 상황을 넘어선 것이 아닌가 하는 우려가 든다.

 

주에만 악성코드를 감염 시키는데 이용 되는 악성링크가 최소 200 이상이 발생 되고 영향을 받는 사이트가 천여 개에 이르는 상황에서 일반 사용자가 안심 있는 인터넷 이용 환경은 매우 제한 적이다. 일상적인 웹서핑 상황에서도 악성코드에 감염될 있는 Drive by download 접속만으로도 감염이 된다. 모든 악성코드는 감염 시도 이전에 한국 내에서 사용되는 주요 백신에 대해 탐지 여부를 확인 하고 유포 함으로써 감염률을 극도로 높이고 있는 실정이다.

 

방문자가 많은 사이트를 대상으로 악성코드 감염에 이용하고 있고, 주요 백신에 대해 탐지 여부를 확인 함으로써 감염율을 높인다. 또한 감염 이후에는 금융 정보 탈취 이외에도 원격에서 조정이 가능한 백도어까지 심어둠으로써 추가적인 정보 획득 및 내부 침입을 위해 적극적으로 활용을 한다. 최근 공격자가 다수의 백도어 감염 PC를 조정하는 서버를 역으로 관찰한 바에 의하면, 의료 분야뿐 아니라 기업의 중요 기밀이라고도 할 수 있는 설계도 및 내부 인트라넷을 이용하는 화면을 모니터링 하고 있는 것이 확인 되었다. 일반적으로 산업 기밀에 대한 유출은 보통 사람을 통해 저장된 매체를 통해 유출 하는 것이 대부분으로 알려져 있다. 그러나 이번 확인을 통해 공격자가 내부의 PC를 완벽하게 제어하는 것을 통해서 더욱 많은 정보들이 노출 될 수 있는 상황에 처해 있음이 확인 되었다. 지난 3.20 대란의 경우에도 내부로 침입한 이후에 실제 피해를 발생 시킨 것으로 확인 되었으나 아직까지 내부망으로 어떻게 침입 하였는지에 대한 확인은 된 바가 없다. 그러나 최근 공격자들이 운영하는 서버에서 확인된 결과에 의하면 전체 감염 PC의 상당수가 사설 IP를 이용하는 내부망의 PC라는 점에서 개연성은 일부 추정이 가능하다.

 

이메일을 통한 특정 대상에 대한 감염 시도와 웹을 통한 불특정 다수를 겨냥한 감염 시도는 피해의 범위에서 현격한 차이를 보일 수 밖에 없다. 현재 금융 정보 탈취에 이용되는 파밍 관련 피해가 급증하고 사회적 문제로 대두되고 있는 것은 불특정 다수를 겨냥한 감염 시도가 사회적 영향을 주고 있기 때문일 것이다.

 

웹서핑을 통해 감염 되는 악성파일을 설치된 백신이 탐지 하지 못하고 공격자에 의해서 원격에서 제어되는 상태에 놓이게 되는 상황과 인터넷 뱅킹을 이용하거나 사용자 정보를 입력하는 모든 순간을 지켜 보고 있으며, 정보를 빼내어가고 심지어는 원격에서 직접 제어를 함으로써 추가적인 정보탈취가 직접 가능한 상황은 악몽에 가깝다. 지금까지의 피해 예방을 위한 대책으로는 이메일의 첨부 파일을 클릭 하지 말거나, 불법 파일 다운로드를 하지 말아야 한다는 정도의 대책이 대부분 이였다. 그러나 실제로 발생되는 공격들은 대책과는 한참 동 떨어져 있다. 문제의 원인 파악이 제대로 되어 있지 않은 대책이라 할 수 있다.

 

PC에 설치되는 백신을 믿을 수 밖에 없는 개인 사용자들과 각종 보안장비 (IDS , IPS, Web Firewall) 등을 믿을 수 밖에 없는 기업의 현재 상황은 안타까움을 넘어 위험에 처한 상황으로 보인다. 백신 탐지를 우회하고 내부 사용자를 노리고 공격하는 악성코드들에 무력할 수 밖에 없는 보안장비들은 현재 위험의 원인을 제어할 수 없는 상황이다.

 

접속만 해도 감염되는 악성코드의 경우에도 사용자의 클릭과 같은 행동 없이도 자동으로 공격이 발생된다. 접속만 해도 자동적으로 공격이 발생 되는 상황은 Java, Flash, IE 브라우저의 취약성을 적극적으로 이용한다. 공격자들은 정상적인 웹사이트들을 공격하여 공격에 이용되는 코드를 넣어둔다. 그 이후 방문 하는 모든 사용자들은 즉시적인 공격의 대상이 된다. 지금의 상황을 살펴보면 대책들은 웹서비스를 통한 대량 감염을 통제하기에는 한계가 있는 상황이다. 개인과 기업 차원의 보호 대책도 현재의 위험을 통제하기 위해서는 다른 형태의 보호 방안을 강구해야만 할 상황에 처해 있다. 위험을 외면 해서는 3.20, 6.25와 같은 직접적인 공격에 노출 되고 기업의 기밀도 순식간에 유출 될 수밖에 없다. 위험은 통제 범위를 벗어난 상황이 현재다.

 

접속만 해도 감염이 되는 상황이며, 어떤 사이트에서 공격이 발생 되는지에 대해서도 알 수가 없다. 그리고 최종 악성파일 조차도 주요 백신들의 탐지를 우회하는 상황이며, 수시로 악성파일을 변경 하고 있다. 현재는 개인 사용자들의 피해가 급증하고 있으나, 머지않아 기업/기관들의 정보 유출 및 추가적인 사고들도 연속해서 이어질 가능성이 높다. 적극적인 대책들을 실행 하지 않는다면 문제는 향후에도 계속 될 수 밖에 없을 것이다.

 

개인차원에서 믿을 수 있는 것은 백신뿐이지만 금융정보 탈취 가능성을 최소화 하기 위해서는 노력이 필요하다.

 

  1. 운영체제 및 백신의 업데이트를 항시 최상으로 유지
  2. Java ,Flash , IE의 업데이트를 최신으로 유지
  3. 공인인증서는 별도의 매체에 보관하며, 보안카드는 오프라인으로 보관한다.

 

위의 세 가지 대책 이외에는 개인 차원에서 노력 할 수 있는 것은 없는 상황이다. 기업 차원에서는 웹을 통한 악성코드 감염 이슈에 대해서 사전 예방에 적극적인 노력을 해야만 한다. 감염 이후에는 제한적인 대응만이 가능한 상황이라 기존의 보안 장비들에 대한 지속적인 관리와 갱신 이외에도 내부 사용자들을 보호할 수 있는 방안들에 대해서 적극적인 노력을 해야만 할 것이다.

 

구글의 크롬 브라우저에서 볼 수 있듯이 악성코드 감염 시도가 발생되는 웹서비스에 대해서 경고하는 사전예방 서비스는 충분히 효과적이라 할 수 있다. 비록 공격자들의 잦은 변경과 변화에 대해서는 무용지물이지만 없는 것 보다는 나은 상황이라 할 것이다. 웹을 통해 목적을 가진 동일한 악성코드를 대량으로 유포하는 이슈는 기업은 물론이고 산업과 국가 차원에서도 적극적인 대응을 해야만 문제를 최소화 할 수 있다.

 

장기적으로는 악성코드 유포에 이용되는 웹서비스들의 문제점을 지속적으로 해결 할 수 있도록 관리 체계가 구성 되어야 할 것이다. 단기적으로는 감염이 발생되는 초기 단계에서 적극적으로 공격 링크를 확인하고 대응 함으로써 감염 범위를 줄여야만 문제를 최소화 할 수 있다.

 

문제가 있다면 원인을 찾는 것이 기본이다. 원인을 찾지 못한다면 문제는 전혀 해결 되지 않는다. 금융정보 유출과 같은 피해를 사용자의 부주의로 돌리는 상황이라면 앞으로도 기업이나 기관에서 발생될 3.20과 6.25와 같은 충격적인 피해는 피할 수가 없을 것이다. 연목구어는 지금의 상황을 대변한다.

2013.10.7

 

 

Posted by 바다란

인터넷 위협 수준: 관심

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<주간 유포된 도메인 수>

9월 5주차 신규 악성링크는 조금 증가하였지만, 전체 발견된 악성링크는 9 관찰기간 최저치를 기록하였다. 당사가 보유한 과거 기록을 검토해 보면, 추석 연휴와 다음 주의 활동이 미미하였으며, 현상황도 과거와 같은 추세라고 보여진다. 금주에는 긴급정보공유 나타난 전체적인 위협감소를 토대로 "인터넷 위협" 수준을 "관심" 단계로 하향 조정한다.

 

<시간대별 통계>

시간별 통계를 살펴보면 월요일 ∽ 목요일까지 활발한 활동을 보이던 악성링크의 활동은 당사의 정보공유 이 후 목요일 저녁부터 현재까지 악성링크의 활동은 나타나지 않는 모습을 보이고 있다. 특히, 추석 연휴 직전에 확산된 동일한 악성코드로 연결되는 주소 및 C&C 연결 정보 등을 9/25(수)에 "긴급정보공유" 보고서를 통해 공유하였으며, 이에 대한 대응으로 추정하고 있다. 그 이후 악성링크의 활동이 거의 전무한 상태로 지속되고 있다.

 

<최근 1달 악성링크 도메인 통계>

8월 4주차부터 9월 5주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 268건(81.2%), 미국 27건(8.2%), 일본 30건(9.1%), 홍콩 3건(0.9%), 대만 1건(0.3%), 영국 1건(0.3%)등으로 나타났다.

 

<주간 악성링크 도메인 통계>

국가별 악성링크 도메인 통계를 분석한 결과 한국이 30건(90.9%), 미국이 3건(9.1%) 순으로 나타났으며, 국내서버를 주로 활용한 정황이 꾸준히 관찰되고 있다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는 info@bitscan.co.kr 로 연락주십시오.

감사합니다.

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<주간 유포된 도메인 수>

9월 3주차, 전체 발견된 악성링크는 증가하였지만, 신규 악성링크는 9월 1주 이후 계속 감소하고 있다. 하지만, 신규 악성링크가 감소함에도 신규 악성링크 파급력은 지난 주보다 증가하였으며, 그 원인은 MalwareNet과 Multi-stage 공격이 결합된 형태가 다수 이용되었기 때문으로 추정된다. 또한, 공격자는 국내 IP 차단이 어려운 점을 악용하여 직접적인 유포 경로로 국내 사이트를 이용하고, C&C 서버도 국내 서버를 활용하는 정황도 파악되었으며, C&C 서버 연결 후 추가적으로 파밍 악성코드를 다운로드하는 모습도 관찰되었다.

 

<시간대별 통계>

시간별 통계를 살펴보면 지난주에 활동이 뜸하였던 수요일 ∽ 목요일까지 가장 활발한 활동을 보였으며, 금요일부터 일요일까지도 지속적인 활동을 보였다. 또한, 일부 사이트에서는 초기에 대응 조치가 이루어지지 않아 지속적인 유포지로 활용되는 상황도 관찰되었다.

<최근 1달 악성링크 도메인 통계>

8월 2주차부터 9월 3주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 285건(75.6%), 미국 43건(11.4%), 일본 43건(11.4%), 홍콩 4건(1.1%), 대만 1건(0.3%), 영국 1건(0.3%)등으로 나타났다.

 

<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과 한국이 37건(78.7%), 일본이 6건(12.8%), 미국이 4건(8.5%) 순으로 나타났다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는 info@bitscan.co.kr 로 연락주십시오.

감사합니다.

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

정교하고 신속하게 변화되는 파밍 공격.

(포털 배너의 신뢰성을 이용한 금융정보 탈취-)

 

금융정보 탈취를 위한 파밍 악성코드는 2013년부터 활발하게 감염을 시도하고 있는 상황이다. 이에 따라 금융정책 당국 및 금융기관에서도 여러 수준의 경고를 통해 사용자에게 주의를 환기 시키고 위험성을 당부하고 있다. 그러나 이미 2013년 상반기에만 2012년 전체의 피해를 상회하는 피해금액이 발생된 상태에서 보듯 확산일로에 있다. 피해확산의 원인 중 가장 큰 부분은 불특정 다수를 겨냥한 대량 감염이며, 대량 감염을 위해 웹서비스를 방문함과 동시에 감염되는 Drive by download 공격을 공격자들이 이용하고 있기 때문이다.

 

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=101&oid=001&aid=0006478598

 

2012년까지만 해도 웹서비스를 통한 악성코드 감염은 게임계정 탈취가 대세를 이루고 있었으나 2013년 시작부터 금융 정보 탈취로 대거 선회하고 있는 상황이라 피해 급증은 충분히 예상된 상황이라 할 것입니다. 일반 소비자 및 사용자들의 커뮤니티에도 낯설지 않게 파밍 관련 피해에 대한 글들이 올라오는 상황이라 피해 범위는 보다 광범위하고 오래갈 것으로 예상됩니다.

 

초기의 파밍은 금융기관의 Domain 주소를 공격자 IP로 지정하는 Hosts 파일에 대한 변조가 주를 이루었고 이후 Hosts 파일에 대한 모니터링과 감시가 강화되자 Hosts.ics 파일을 이용한 주소 변조가 다수를 이룬 것을 관찰 할 수 있습니다. 일반적으로 금융기관에 직접 접근 하는 횟수가 많지 않은 상황에서 공격자들은 추가적으로 메일 및 국내 대형 포털들의 주소까지도 위장하도록 하여 사용자를 유인할 만큼 적극적인고 대범한 공격들을 실행하고 있는 상황입니다.

 

<2013년 7월까지 발견된 포털 주소를 위장한 팝업 파밍>

 

포털 주소를 위장한 사례의 경우 가짜 사이트를 만들어서 연결되도록 하고 URL은 동일하더라도 공격자의 IP로 연결 되도록 한 상황입니다. 실시간으로 뉴스와 기사가 업데이트 되는 포털들의 변화가 관찰 되지 않으므로 조금만 주의를 기울이면 문제를 알 수 있는 상황입니다. 또한 전방위적으로 금융감독원을 사칭한 팝업창은 악성코드라는 주의가 다수의 언론매체를 통해 보도가 된 상황이라 사용자들도 높은 경각심을 가진 상황이 됩니다.

 

<2013년 9월초 발견된 포털 배너를 위장한 파밍 공격>

<2013년 9월초 발견된 포털 배너를 위장한 파밍 공격 2>

 

9월초에 처음 발견된 공격 유형은 팝업창이 아닌 배너를 통한 파밍 공격이 최초 발견 되었습니다. 팝업창에 대한 주의가 높아짐에 따라 공격 형태를 변경한 것을 확인 할 수 있습니다. 이 경우에도 실제 포털과는 관계 없는 공격자가 인위적으로 만든 포털 사이트 첫 화면에서 배너만 파밍 사이트로 연결되도록 구성한 것이 관찰 됩니다. 주된 공격 형태는 포털사이트의 주소와 주요 메일에 대한 주소를 Hosts 파일과 Hosts.ics 파일을 통해 공격자의 파밍 사이트 주소로 설정해 둔 상태라 할 수 있습니다. 본 사례의 경우에도 실시간 검색과 같은 변화나 기사에 대한 변동 등은 없는 상태임을 확인 할 수 있습니다.

 

9월 10일 최초 발견된 포털의 광고서버를 파밍 사이트 주소로 변경하여 실제 포털 서비스에서 광고 영역만을 파밍 사이트 연결 배너로 교체한 사안은 보다 정교해지고 사용자가 당할 가능성이 매우 높은 부분이라 할 수 있습니다.

< 2013.9.10일 국내를 대상으로 대량 유포된 악성코드의 파밍 기능 >

파밍 사이트는 nv1.ad.naver.com 주소를 공격자의 IP로 변경하도록 하여 정상 포털을 접속 하였음에도 불구하고 배너 광고만 공격자가 지정한 광고( 파밍 사이트 연결)로 나타나는 상황입니다.

 

현재 9월 이후에 발견되는 공격들은 9.26일부터 실시되는 전자금융 사기 예방 서비스 시행안내를 역으로 파밍 공격에 이용하는 대담함을 엿볼 수 있습니다. 그만큼 자신감에 차 있다는 것으로 보입니다.

< 2013.9.10일 국내를 대상으로 대량 유포된 악성코드의 파밍 기능 - 내역>

로그인 및 모든 포털 기능은 정상적으로 작동을 하며, 단지 배너 광고에 이용되는 도메인만 공격자가 만들어둔 파밍 사이트로 연결 하도록 되어 있습니다. 포털을 접속하면 광고만 공격자 IP로 연결 되는 상황이고 모든 서비스는 정상적이라 사용자가 의심을 하기에는 상당히 어려워 보입니다.

 

호스트파일 변조 내역에는 금융기관은 최소화하고 배너 광고의 경우에도 포털의 배너 서버인 nv1.ad.naver.com 을 파밍 사이트로 연결 되도록 한 상황이라 탐지 여부를 인식하기에는 어려움이 있을 것으로 보입니다.

 

< 9.10일 발견된 악성코드의 Hosts 파일의 변조 내역 샘플 >

 

파밍 사이트 연결도 다양한 방식으로 시도되고 있고 파밍 IP들도 계속 변경 되고 있는 상황입니다. 근본적인 문제 해결은 웹을 통한 대량 악성코드 감염 시도에 대해 모니터링을 강화하고 초기 단계에서 피해 범위를 최소화 할 수 있는 다양한 노력으로 문제를 줄일 수 있도록 노력해야 할 것입니다.

 

문제의 원인을 해결하고 줄일 수 있도록 노력을 해야 문제는 최소화 됩니다. 사용자의 주의를 당부하고 불법 파일 다운로드와 백신을 통한 해결만으로는 현재 상황은 어려운 부분이 있지 않나 생각 됩니다. 지금 이 순간에도 변화하는 공격기술은 이제 대응을 순식간에 무력화 하는 상태로 계속 발전 하고 있습니다.

 

문의 info@bitscan.co.kr  , 최신 정보는 www.facebook.com/bitscan 페이지에서 확인 가능

Posted by 바다란

인터넷 위협 수준: 관심

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<주간 유포된 도메인 수>

 

8월 2주차 전체 발견된 악성링크는 당사가 관찰하였던 기간 중 최고로 낮은 움직임을 보였고, 신규 악성링크는 지난주보다 더욱 감소하였으며 파급력도 함께 최저치를 기록하였다. 한편, 신규 악성링크는 소수의 MalwareNet 과 결합한 형태로 파밍에 관련된 악성코드를 유포하였으며 포털 사이트, QR코드를 이용하는 파밍사이트가 발견되었다. 이 중 포털사이트를 이용한 파밍이 기존에 네이버, 다음을 이용하였고, 금주에는 "네이트" 포탈까지 활용된 정황이 포착되었으나, 불완전한 공격으로 접속이 이루어지지 않았다. 또한, QR 코드를 이용한 파밍 은행사이트도 늘어난 모습이 관찰되었다.

 

<시간대별 통계>

 

시간대별로 자세히 살펴보면 금주에 일요일-화요일 새벽까지 전혀 활동을 하지 않는 비정상적인 움직임이 나타났다. 그 대신 평일 화요일 오후-토요일까지는 꾸준히 활동을 하는 모습을 보였다.

 

<최근 1달 악성링크 도메인 통계>

 

7월 1주차부터 8월 1주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 212건(52.6%), 미국 57건(14.1%), 일본 119건(29.5%), 홍콩 1건(0.2%), 네덜란드 1건(0.2%), 태국 12건(3.0%), 독일 1건(0.2%) 등으로 나타났다.

 

<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과 한국이 26건(66.7%), 미국이 13건(33.3%)순으로 차지하였으나, 일본 등 그외 국가에서는 나타나지 않았다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락주십시오.

감사합니다.

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

인터넷 위협 수준: 관심

Bitscan PCDS 주간 동향 브리핑 요약

*위협은 끝나지 않는다 형태만이 변경되고 달라질 뿐이다.


( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )


<주간 유포된 도메인 수>

 

8월 1주차에 발견된 악성 관련 링크는 지난 주에 비해 더욱 감소를 하였고, 신규 악성링크도 또한 56% 정도 감소하였다. 하지만 다양한 공격은 지속되고 있으며, 특히, 이중 난독화를 활용하는 CK VIP Exploit Kit을 이용하는 비율(전체 Exploit Kit 비율 중)이 전주 대비 약 50%에서 금주에 약 80%까지 증가하였다. 지난주에 나타났던 특정포트를 이용하는 공격, 일본, 미국의 도메인을 이용한 국내에서의 유포는 금주에도 계속 이어졌다. 또한, 태국의 특정 IP 대역을 이용한 유포가 관찰되었다. 금주에는 비정상적으로 공격 활동이 줄어든 정황이 관찰되고 있으며, 새로운 공격 유형 및 위협이 생길 가능성이 예상되고 있어서 "인터넷 위협" 수준을 "관심" 단계 그대로 유지한다. 

 

<시간대별 통계>

 

시간대별 통계를 살펴보면 지난주 주말 집중적으로 많은 유포를 보였던 악성링크의 활동이 금주 주말에는 감소하는 모습을 보였다. 하지만, 평일의 활동은 지난주와 비슷한 모습을 보였으며 수요일 – 금요일까지 꾸준히 유포하였다.

<최근 1달 악성링크 도메인 통계>

 

7월 1주차부터 8월 1주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 221건(52.6%), 미국 52건(12.4%), 일본 132건(31.4%), 홍콩 1건(0.2%) 네덜란드 1건(0.2%), 태국 12건(2.9%), 독일 1건(0.2%)등으로 나타났다.

 

<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과 일본이 19건(40.4%), 한국이 16건(34.0%), 미국이 6건(12.8%) 태국이 6건(12.8%)순으로 차지하였다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락주십시오.

감사합니다.

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

인터넷 위협 수준: 관심

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

<주간 유포된 도메인 수>

 

7월 3주차를 기점으로 금주까지 전체 발견된 악성링크의 수는 감소하고 있는 반면에 신규 악성링크는 7월 중 가장 활발한 상태를 보이고 있다. 또한, 공다 팩의 비율이 줄어들고, 4개의 취약점을 이용하는 CK VIP가 다수 등장하였으며 그 중에는 7월 2주차에 등장하였던 공다 팩과 CK VIP가 결합된 형태도 나타났다. 국내에서 7월 3주차에 처음 출현한 HTTPS(SSL) URL도 금주에는 HTTP와 함께 결합한 새로운 형태로 등장하여 활발하게 사용되었으며, 한국 도메인에서만 출현하였다.

 

<시간대별 통계>

 

시간대별 통계를 살펴 보면, 지난 주에 비해 평일의 유포 상황이 다소 증가하고 있다. 금~일요일까지는 더욱 더 활발한 모습을 보였으며, 일요일 저녁때까지도 지속되었다.

 

 

<최근 1달 악성링크 도메인 통계>

 

6 4주차부터 7 5주까지의 최근 6 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 256(51.2%), 미국 81(16.2%), 일본 157(31.4%), 홍콩 2(0.4%), Netherlands 1(0.2%), 대만 2(0.4%), 독일 1(0.2%)등으로 나타났다.

 

<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과 일본이 43건(43.0%), 한국이 42건(42.0%), 미국이 14건(14.0%) 홍콩이 1건(1.0%)순으로 차지하였다.

 

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

인터넷 위협수준도 낮아졌으나, 불씨는 여전한 상황.. 6월의 기록은 주간 브리핑 요약 신청하셔서 받으시는 분들에게도 월간 보고서 발행 되었습니다. 정식 보고서용이 공개용으로 제공이 되었으니 받으신 분들께서 잘 활용하시기 바랍니다. 다음달에는 마스킹된 보고서로 제공이 될 것입니다.


[인터넷 위협 수준: 관심

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 








<주간 유포된 도메인 수>

 

7월 1주부터 증가했던 악성링크 활동이 7월 4주차에는 주춤하는 모습을 보였다. 하지만, MalwareNet 을 이용한 공격은 지속되고 있으며 tiancai.html, shifu.html, xiangnian.html를 세트로 한 공격이 일본 도메인을 이용하여 유포하는 모습이 관찰되었다. 국내 or.kr(비영리 목적의 기관이나 단체) 도메인을 경유지로 하는 악성링크를 확인하였으며 대부분 파밍 악성코드로 분석되었다. 감염 과정 중에는 공격자가 피해자의 정보(MAC 주소, IP 주소 및 국가, 감염시각)를 수집하는 웹사이트도 발견되었으며, 꽤 많은 감염이 이루어지고 있음을 추정할 수 있으며, 감염자에 대한 2차, 3차의 피해를 줄이기 위해서는 전체적 범위 관찰과 함께 웹사이트에 대한 관리가 필요하다.

 

<시간대별 통계>

금주 시간별 통계를 살펴보면 지난주와 달리 주말을 이용하여 많은 수를 유포하였다. 구체적으로 살펴보면 금요일 – 화요일까지 유포가 이루어 졌으며 주말에 삽입되었던 악성링크들이 제거되지 않아 평일인 화요일까지 지속적으로 유포가 된 것으로 보이며 웹사이트 관리자는 비정상링크에 대한 빠른 대처가 필요해 보인다.

 

<최근 1달 악성링크 도메인 통계>

 

6월 3주차부터 7월 4주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 235건(42.0%), 미국 212건(37.9%), 일본 108건(19.3%), 독일 1건(0.2%)등으로 나타났다. 유럽에 대한 경유지가 감소한 이유는 RedKit 의 활동이 줄어들었기 때문이다.

 

<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과 한국이 46건(51.0%), 일본이 18건(36.7%), 미국이 6건(12.2%) 순으로 차지하였으며, 유럽 쪽은 나타나지 않았다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락주십시오.

감사합니다.

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )









<주간 유포된 도메인 수>

 

7월 3주 전체 악성링크 및 신규 악성링크는 2주차의 비해 소폭 상승하였으며, 신규 악성링크 중에는 기존의 HTTP(TCP 80)를 통한 유포가 아닌 HTTPS(특정 포트)를 이용하여 유포하는 사례가 발견되었다. 특히, 악성링크의 경유지를 확인하는 과정에서 HTTP(TCP 80)와 HTTPS(특정 포트)를 서로 교차 하여 사용하고 있는 정황도 확인하였다. 이처럼 HTTPS는 단말간 암호화를 지원하기 때문에 중간에 위치하는 보안장비를 우회할 수 있는 장점을 가지고 있어 탐지 및 분석이 더욱 어려워질 것으로 예상되며, 경유지 및 유포지를 사전에 탐지하여 조치를 취해야만 보다 효과적인 차단이 가능해 질 수 있다.

 

<시간대별 통계>

 

금주 시간별 통계를 살펴보면 평일 주중과 함께 금요일 – 토요일에 걸쳐 집중적인 유포를 보였지만 주중에도 유포가 이루어 졌으며 기존의 이용되었던 악성링크를 통해 유포되는 경우도 관찰이 되었다. 지난 주에 나타났던 9개의 취약점을 이용한 유포형태는 금주 까지도 이어졌고, 대부분의 악성코드는 파밍 악성코드로 분석되었다. 일부 파밍 악성코드는 포털 사이트를 변조하여 파밍 사이트로 연결 하는 악성코드로 관찰되었다.

 

<최근 1달 악성링크 도메인 통계>

 

6월 2주차부터 7월 3주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 260건(34.8%), 미국 324건(43.4%), 일본 107건(14.3%), 독일 28건(3.7%), 영국 9건(1.2%), 캐나다 11건(1.5%), 인도 4건(0.5%), 태국 2건(0.3%)등으로 나타났다.

 

<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과 한국이 46건(68.7%), 일본이 12건(17.9%), 미국이 9건(13.4%) 순으로 차지하였다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락주십시오.

감사합니다.

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

* 왜 한국내의 웹서비스를 유포지로 활용 하는 비율이 늘어날까요?  ISP에 의한 일괄차단을 회피하기 위함이죠.


인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )









<주간 유포된 도메인 수>

 

7월 1주차에 주춤했던 전체 발견된 악성링크는 7월 2주차에 증가하였지만, 신규 악성링크는 전주에 비해 감소하였다. 하지만 신규 악성링크 감소와 달리 파급력 수치는 증가하였으며, 그 이유는 지속적인 MalwareNet의 활동과 함께 Gondad Exploit Kit + CK VIP Exploit Kit이 합쳐진 형태가 등장 하였기 때문이다. 이러한 공격은 동시에 9개의 취약점을 활용하여 악성코드가 감염되도록 유도하며 대부분 파밍에 관련된 악성코드이다. 이처럼 공격자는 다중 취약점을 노려 사용자에게 다방면으로 위협을 줄 것으로 예상이 되므로, 관련된 보안 패치에 대한 충분한 대응 방안을 세울 필요가 있다.

 

<시간대별 통계>

 

금주의 시간별 통계를 살펴보면, 지난주와 마찬가지로 다양한 시간대에 유포 했음을 볼 수 있다. 세부적으로 시간대를 살펴 보면 화요일 오후부터 수요일 저녁, 금요일부터 일요일 저녁까지 많은 활동을 보였으며 특히 주말에는 MalwareNet의 활동이 활발하였으며 공격자는 패턴 매칭 탐지를 회피하기 위해 지속적으로 링크를 변경하는 모습을 볼 수 있었다.

 

<최근 1달 악성링크 도메인 통계>

 

6월 1주차부터 7월 2주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 248건(29.1%), 미국 354건(41.5%), 일본 91건(10.7%), 독일 124건(14.5%), 영국 14건(1.6%), 캐나다 11건(1.3%), 홍콩 2건(0.2%), 인도 4건(0.5%), 태국 2건(0.2%)등으로 나타났다. 6월 초 지속적으로 활동 모습을 보였던 RedKit Exploit Kit은 6월 2주 이후 4주 동안 나타나지 않았다.

 









<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과 한국이 41건(75.9%), 일본이 8건(14.8%), 미국이 3건(5.6%), 홍콩이 1건(1.9%), 독일이 1건(1.9%) 순으로 차지하였다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락주십시오.

감사합니다.

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

6.25 사이버 공격에 대한 다른 시각과 분석>

http://p4ssion.com/375


관련하여 zip.exe 파일의 내용이 트로이 목마와 정보탈취용으로 언급한 바가 있습니다. 불필요한 언급들이 있어서 추가 다운로드 파일까지 확인된 모든 내역을 공개 합니다.




5.31일과 6.1일 이미 사전 좀비 PC 확보를 위한 노력들이 있었다는 것을 PCDS를 통해서 확인하고 알려 드린바가 있습니다. 해당 시점에 송사리와 심디스크 사이트가 경유지로 동시에 이용 당한 정황이 있었고 , 6.25일 공격에 두 사이트의 업데이트 파일이 이용된 정황이 발견 됨에 따라 연관 관계를 분석하여 전달 드린 바가 있습니다.

악성파일은 zip.exe 이고 두 종류의 zip.exe 파일이 존재합니다.
감염 이후 추가 다운로드 파일들도 있는 상태로 유포시점에 확인이 되었고, 추가 다운로드 및 변경된 zip.exe 파일까지 모두 포함하여 5종의 악성파일을 확인 하였습니다.

해당 파일들은 모두 6월초의 정보제공 서비스 가입기업에게 위협레벨에 따라 정보공유 된바가 있습니다.

일각에서 초기 악성파일의 특성 (게임계정탈취)만을 가지고 문제가 있다고 언급하는 곳들이 있어서 명확하게 알려 드립니다.

지난 주에 검증까지 완료 되었지만, 말씀을 드리지 않았는데 불필요한 추정과 언급을 끝내기 위해 자체 검증과는 별도로 시만텍과 공조하여 검증된 내용으로 확인 드립니다.

logo.jpg_5598F8A01D7F52A20ACC750EE98619CC_bitscan Trojan.Gen
<http://securityresponse.symantec.com/avcenter/cgi-bin/virauto.cgi?vid=24060>

server.exe_5598F8A01D7F52A20ACC750EE98619CC_bitscan Trojan.FakeAV
<http://securityresponse.symantec.com/avcenter/cgi-bin/virauto.cgi?vid=19446>

tvk.exe_0C0052C8EBE1C881C17E71FDDA575E94_bitscan Infostealer.Donx
<http://securityresponse.symantec.com/avcenter/cgi-bin/virauto.cgi?vid=54300>

tvk.exe 파일의 경우 Backdoor이며 시만텍의 분류에는 유명한 Red October 류의 트로이 목마로 분류하고 있네요. 워드와 엑셀로 메일을 통해서만 침입 하는 걸로 알려졌던 그 유형입니다. 




zip.exe_12C76FEE19D6460825CEAF0DAB9692C7_bitscan Infostealer.Gampass
<http://securityresponse.symantec.com/avcenter/cgi-bin/virauto.cgi?vid=40673>

zip.exe_7EBA645D591C8B6E8DD9F8B2673C0FA6_bitscan Trojan Horse
<http://securityresponse.symantec.com/avcenter/cgi-bin/virauto.cgi?vid=689>

송사리와 심디스크가 경유지중 하나로 이용된 악성링크에서 추가로 유포된 악성파일 5종에 대한 시만텍의 분석 내용입니다. 이중 처음에 유포된 것이 zip.exe Infostealer로 게임계정 탈취 버전이고 그 이후 유포된 것이 트로이 목마가 되겠습니다.

추가 다운로드까지 포함하여 트로이 목마 계열이 3종이 포함 되어 있었음을 공식적으로 알려 드립니다. 

감사합니다.

Posted by 바다란

인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

 

<주간 유포된 도메인 수>

 

6월 25일, 사이버테러가 발생하고 그 여파가 계속되고 있는 가운데, 7월 1주차에는 6월 4주차에 비해 수치가 떨어졌으며, 특히 신규 악성링크는 6월 3주차부터 계속 감소하여 최소치를 기록하고 있다. 이는 지난 3.20 사이버테러 발생 및 그 직후와 유사한 결과를 보이고 있으며, 그 원인은 당사가 이에 관련된 정보를 공유한 것에 기인한 것으로 추정된다. 당시 "A영역" 과 같이 비정상적인 사전 징후가 나타났고, 최고 정점인 "B영역" 에서 실제 사이버테러가 발생하였다. 그 후에는 정보 공유를 통한 차단 및 모니터링 강화를 통해 7월 1주와 같이 악성코드들의 활동이 주춤하는 추세가 나타났다. 하지만, 일정 기간이 지난 후에는 다시 활발한 움직임을 보일 것으로 예상이 되며 "A영역"과 같이 이상 징후를 미리 탐지하지 못한다면 언제라도 다시 6.25 사이버테러가 발생할 수 있음을 명심해야 한다.

 

<시간별 통계>

 

금주의 시간별 통계를 살펴보면, 신규 악성링크의 유포가 수요일, 금요일부터 일요일까지 집중적인 유포가 발생하였다. 여전히 MalwareNet을 통한 대량 감염은 지속되고 있으며 대부분의 역할은 사용자의 금융계정 탈취를 하는 "파밍" 악성코드가 지속적으로 관찰되고 있으며 "파밍" 기술 또한 매주 새롭게 등장하고 기법도 더욱 정교해 지고 있으므로 많은 주의가 필요하다.

 

<최근 1달 악성링크 도메인 통계>

5월 4주차부터 7월 1주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 235건(27.3%), 미국 381건(44.2%), 홍콩 2건(0.2%), 일본 88건(10.2%), 인도 4건(0.5%), 독일 124건(14.4%), 영국 14건(1.6%), 캐나다 11건(1.3%), 태국 2건(0.2%)등으로 나타났다.

 

<주간 악성링크 도메인 통계>

국가별 악성링크 도메인 통계를 분석한 결과 한국이 35건(62.5%), 미국이 8건(14.3%), 일본이 13건(23.2%) 순으로 차지하였다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는 info@bitscan.co.kr 로 연락주십시오.

감사합니다.

Posted by 바다란

6.25 사이버 공격에 대한 다른 시각과 분석 – 빛스캔

( 공격 주체에 의한 대규모 좀비 PC 확보 시도는 이미 있었으며, 실패하였다. )

 

 

빛스캔㈜에서는 5월 4주차부터 위협레벨을 "경고"로 상향 시킨 이후 정보에 대한 공개와 수집된 악성파일 및 C&C 주소에 대해 정보제공 서비스 구독 기업에게 공유한 바 있다. 6.25 사건 이후 확인된 사실에 대해 PCDS상의 기록을 확인해 본 결과 6.25일 국가기관 DNS 공격에 이용된 좀비PC 확보에 이용된 두 곳의 웹하드 업체가 이전에도 대량 악성코드 유포에 이용된 정황이 확인 되었다.

 

결론적으로 두 곳의 웹하드 업체가 동시에 악성코드 유포에 이용된 정황을 확인한 결과 6.25일 사건 이전에 5.31일과 6.1일 양일 간에 걸쳐 동일한 형태의 악성코드를 모든 접속자에게 대량 유포한 사실을 확인 하였으며, 이미 자료 공개 및 차단 데이터 제공으로 대량 좀비 PC 확보는 실패한 것으로 추정이 된다. 이후 6.25일 당일에 소규모 좀비 PC를 확보하여 파급 효과가 있는 국가기관의 DNS만을 집중해서 DDoS 공격을 한 것으로 예상 할 수 있다. 6.25일 공격에 동원된 좀비 PC가 상대적으로 소규모였으며, 서비스 장애가 목적이 아닌 이슈화가 목적인 공격에만 동원된 정황도 충분히 이해 할 수 있게 된다.

 

TrendMicro의 분석자료:

http://www.trendmicro.co.kr/kr/support/blog/compromised-auto-update-mechanism-affects-south-korean-users/index.html

 

< Trendmicro 분석 결과에서 확인된 악성코드 감염 숙주 분석 이미지>

 

6.25일 사건에 이용된 숙주 사이트는 songsari.net 사이트와 simdisk.co.kr 두 사이트가 DDoS 공격용 악성코드를 유포한 것으로 확인을 하고 있다. Simdisk의 사례는 널리 알려져서 확인 할 수 있었으나, songsari.net 사이트의 경우는 금일에야 정보를 확인한 상황이라 연결 관계 분석이 늦어졌다.

 

두 곳의 6.25 관련 악성코드 숙주를 확인한 결과 simdisk의 경우 지금까지 대량 악성코드 유포 시도가 없었으나 5.31~6.1일 기간동안에 3회에 걸친 악성코드 유포 이슈가 처음 발견 된 상태로 확인 되었다. 또한 songsari.net 의 경우 2013년 3.16일부터 6.10일까지 총 5회에 걸쳐 악성코드 유포 이슈가 발견 된 바가 있다. 범위를 좁혀서 두 사이트가 동시에 이용된 정황은 2회가 PCDS상에서 확인이 되었다.

 

두 사이트의 내부로 침입하여 업데이트 파일을 변경할 정도라면 서비스의 모든 권한을 가지고 있다 보았을 때 악성코드 유포를 위한 악성링크 추가도 모든 권한을 가지고 변경을 할 수 밖에 없다. 결론적으로 songsari와 simdisk의 모든 권한을 가진 공격자 그룹에서 6.25 관련된 악성코드를 유포하는데 활용 한 상황이라 할 수 있고, 두 사이트의 모든 권한을 가진 것은 악성코드 경유지 활용 시에도 동일한 조건이므로 범위를 좁힐 수 있게 된다.

 

6.25 사건 – songsari , simdisk 서비스의 모든 권한을 가진 공격자가 내부 파일 변조를 통해 좀비 PC를 확보한 것이 핵심

 

모든 권한을 가진 상태에서는 소스코드도 임의로 변경이 가능한 상태이므로 5.31~6.1일 양일간 두 사이트를 동시에 악성코드 유포에 이용한 그룹도 6.25일 공격자와 동일한 권한을 가지고 있다고 추정할 수 있다. 서비스에 대한 모든 권한은 동일하다.

 

< 5.31일 동일 악성코드 감염 경유지로 활용된 경유지 리스트 >

<6.1일 동일 악성코드 감염 경유지로 활용된 경유지 리스트>

 

6.25 사건의 좀비 PC 확보에 사용된 두 곳의 사이트가 모두 포함이 된 것을 확인 할 수 있다. 더군다나 simdisk의 경우는 PCDS상에 감지된 악성코드 유포 이슈는 5.31일이 최초 경유지 활용일로 기록된 상태이다. Korea.com을 포함하여 중복을 제외하고 최소 9곳 이상이 동시에 활용된 것을 확인 할 수 있다. 휠씬 더 큰 범주에서 대규모의 좀비 PC 확보를 위한 노력이 있었다는 점을 알 수 있다.

 

<5.31일 발견된 Korea.com 사이트에서의 악성링크 실행 정보>

 

해당 악성코드는 웹서비스를 방문만 해도 감염이 되는 형태이며 Drive by download 형태로 감염이 이루어진다. 방문자의 PC를 공격대상으로 하고 있으며 이용되는 취약성은 cve 넘버에 따르면 다음과 같다. (3544-0507-1723-4681-5076-1889-0422-0634 ) . 즉 공다팩이 그대로 좀비 pc확보를 위해 이용되었으며, IE 취약성 1종과 Java 취약성 6종 , Flash 취약성 1종이 사용된 상황이다.

 

웹서비스를 방문한 방문자 PC에 대해 자동적인 공격을 실행하고 공격에 성공하게 되면 PC에 추가적인 다운로더와 트로이 목마를 설치하게 되어 있다. 당시에 감염된 악성파일은 zip.exe 라는 악성파일이 최초 감염에 이용된 상황이다. 추적과 차단을 회피하기 위해 악성링크 및 최종 악성파일을 다운로드 하는 곳들 모두를 국내 사이트를 이용한 상황이며, 관련된 모든 정보는 6.25일 정보 공유에 모두 제공된 바가 있다. 유포된 악성파일의 특성은 트로이 목마 계열과 정보 탈취 형태로 확인 되었다.

 

5월 4주차 PCDS 위협레벨의 상향 조정에는 분명한 원인이 있었으며, 해당 위협상황에 따라 자체적인 대응을 진행해온 상황이다. 대규모 좀비 PC를 동원한 연계 공격이 6.25일 사건에도 발생 하였다면 생각보다 큰 피해와 심리적인 충격들이 있었을 것이다. 단편적으로 드러난 사실을 이용하여 역으로 확인 하였을 때 이미 공격자들도 대량 좀비 PC 확보를 5.31일 무렵에 시행을 한 것이다. 결론적으로는 대규모 좀비 PC의 확보에는 실패하였기에 소규모 좀비 PC를 이용한 이슈화에만 집중한 것으로 볼 수 있다.

 

사전 대응과 정보제공을 통해 발생 될 수 있는 위협을 막는 것은 더 큰 위험을 줄여주는 역할을 한다. 6.25 사건에서 DDoS 공격에 이용된 좀비 PC가 상대적으로 소규모이고 극히 짧은 시간 ( 단지 9시간 미만 )에 확보된 좀비 PC들만을 이용했다는 점은 어떤 연유에서든 대규모 좀비 PC의 확보에는 실패했다는 것이며, 정보 공유와 위협레벨 상향에 따른 정보 제공 등이 일정 수준 영향을 준 것으로 추정된다.

빛스캔 무료 정보 메일은 info@bitscan.co.kr로 신청 할 수 있다. 또한 본 사건과 같이 위협레벨이 "경고" 등급 이상일 경우에는 정보제공서비스 등급에 관계 없이 C&C 주소 및 바이너리에 대한 무제한 공유를 실행 하고 있으며, 위험성이 높은 경우에는 선별하여 차단 리스트 형태로 제공을 하고 있다. 정보제공 서비스에 대한 문의도 동 메일로 문의 할 수 있다.

Posted by 바다란

2013.6.16일  관찰 결과에 따른 추가 차단 권고 드립니다. 


6월 2주차 대비 대거 줄어든 공격 동향을 보이고 있으나, 여전히 일부 영역에서는 계속된 감염 시도가 발견 되고 있습니다. 모두 국내 백신 탐지 우회 및 VT 미보고된 샘플들이 감염 되고 있는 상황입니다.

몇 가지만 전달 드리면 되기에, 미리 알려 드립니다.

- 지난 5차에도 알려 드린  내용이지만 서브 도메인 변경이 계속 되는 곳들은 Multiple 하게 막을 필요가 있습니다.
*.gnway.net
*.hfhssv.net
*.kbszombi.com
*.mbczombi.com

- 이외 신규 출현 C&C 추정

googlekr.com
count.rww456.com
fmom.juandy.com
wm.lolddd.com
count.korea2046.com
www1.ktk01.com ( *.ktk01.com - 적용도 필요해 보임)

위와 같이 다중으로 차단이 필요한 도메인 정보 4곳과 6월 3주차 추가 출현된 연결정보 6곳을 알려 드립니다.  추가 정보들이 더 많이 있으나, 가장 대표적인 것들을 알려 드리며, 내부 인터넷 PC 사용자들의 감염 현황은 주초에 차단 리스트를 확인해 보시면 감염 현황을 아실 수 있을 것으로 보입니다.

현재까지는 6월 2주차 대비 공격은 현격하게 줄어든 상황이며, 소규모 출현들만 계속 되고 있는 상황이라 간략하게 정보 전달 드립니다.

악성링크뿐 아니라 연결 정보들까지도 확인된 정보만을 전달 드립니다.

정보제공 서비스에 대한 문의는  info@bitscan.co.kr 입니다.

감사합니다.

Posted by 바다란

안녕하세요. 빛스캔입니다.


6월 2주차에 악성링크 수치가 역대 최대치를 기록하는 상황이라 정보의 정리와 분석에 시일이 다수 소요 되었습니다. 정상적으로 6월 2주차 정보제공 서비스는 6.12일에 발송 되었으며, 금일에는 현재 위협레벨인 "경고" 레벨이 그대로 유지됨에 따라 정보를 공유 합니다.

본 공개용 정보에는 국내를 대상으로한 악성코드 유포 관찰 이래 가장 많은 수치의 악성링크가 6월 2주차에 출현 하였으며, 바이너리를 대량 유포하는 행동들이 직접 관찰된 상황입니다. 따라서 확인되고 분석된 정보들 중에서 국외 ISP를 이용한는 정보들은 그대로 공개를 하도록 하겠습니다.  

내부 공유 정보는 6월 2주차 기간동안 대량 유포 및 감염에 사용된 바이너리 총 42종과 동적 분석 정보 40건이 전달 됩니다. 

또한 전체적으로 외부 연결을 통해 추가 다운로드 시도 및 다수의 C&C 서버로 연결하는 정황들이 발견 되어 정리 내용이 많습니다.

최종 다운로드 주소 및 네트워크 연결 정보

국외: 미국,일본 - 60여곳


악성링크 출현 IP 영역

국외 : 44종


* 공개용으로는 바이너리 및 분석정보 제공 되지 않으며, 국내 IP 영역과 도메인은 모두 제외된 상태에서 전달 됩니다.

    < 정식 서비스 구독 기업/기관 전달된 바이너리 내용 - 참고용>



종합하여 바이너리 42개 , 분석정보 40종. - 제공 불가
최종 다운로드 주소 및 C&C  주소 ( 해외 60곳, 국내 7곳-제외) - 67곳
악성링크 출현 IP 영역  ( 국외 : 44종 , 국내 25종 -제외 )  - 69종 


미국,일본의 ISP를 이용한 대량 공격에 직접 이용된 상황이라 빠른 차단과 내부 PC가 해당 IP 대역대로 연결 될 경우 거의 100% 좀비 PC 가능성이 있으므로 신속하고 빠른 대처를 하시기 바랍니다.

특히 일본 ISP를 이용한 연결 시도들은 노골적인 형태를 보이고 있는 상태입니다. 반드시 내부 감염 PC 확인을 하셔야 할 것으로 보이며, 내부 감염 PC 확인 이후 차단까지 연계 되어야 효과가 있을 것으로 보입니다.

06091.yuzombi.com   115.176.219.81 japan Fujitsu Limited
06111.kbszombi.com 220.146.166.132 japan Fujitsu Limited
www.kbs8803.com:81 126.19.85.220 japan Softbank BB Corp
www.kbs8805.com:81 124.25.194.122 japan Softbank BB Corp
www.mbc006.com:81 121.94.31.40 japan Fujitsu Limited
www.mbc001.com:81 126.15.1.74 japan Softbank BB Corp
www.mbc003.com:81 126.15.1.74 japan Softbank BB Corp
mr1000.gnway.net         126.19.86.211 japan Softbank BB Corp
mis1000.gnway.net 126.114.229.16 japan Softbank BB Corp
mis7000.gnway.net 126.114.228.136 japan Softbank BB Corp
www.kbs8801.com:81 126.15.4.38 japan Softbank BB Corp
www.kbs8802.com:81 ` 126.15.4.37 japan Softbank BB Corp
www.kbs8805.com:81 126.15.4.34 japan Softbank BB Corp
0610.kbszombi.com 220.146.166.132         japan Fujitsu Limited
0611.kbszombi.com 220.146.166.132         japan Fujitsu Limited
0612.kbszombi.com 220.146.166.132         japan Fujitsu Limited
06092.yuzombi.com 220.146.166.132         japan Fujitsu Limited
06093.yuzombi.com 220.146.166.132         japan Fujitsu Limited
06091.yuzombi.com 220.146.166.132         japan Fujitsu Limited
06081.yuzombi.com 220.146.166.132         japan Fujitsu Limited
06111.kbszombi.com 220.146.166.132         japan Fujitsu Limited


6월_긴급정보공유(공개용)_5차(20130613)_1645.pdf


문의는 info@bitscan.co.kr 로 주십시요. 또한 IP에 대한 차단과 대응에 관련된 부분은 각 기업/기관의 판단에 따른 문제입니다.  현재 전달되는 다수의 해외 C&C 및 공격용 IP 대역에 대한 정보는 지금도 활성화 된 상태를 유지하는 곳들이 많은 상태이니 빠른 확인과 대응을 하시길 ..


* 현재 경고레벨에서의 정보 공유와 공개 부분에 높은 수준의 부담이 계속 되고 있어서, 경고 수준을 유지하더라도 정보 공유와 공개가 향후 원활하지 않을 수 있음을 알려 드립니다. 



감사합니다.

Posted by 바다란
안녕하세요? 빛스캔 입니다.
 
 
아시다시피, 당사에서는 매주 국내외 웹사이트를 통해 발생하는 다양한
 
위협, 사고 등을 분석하여 보고서를 제공해드리고 있습니다.
 
이 중 '주간 브리핑 요약'은 신청하시는 분들에게 무료로 제공해 드리고 있으며, 
 
그외 '주간 브리핑, 동향, 기술, 전문 보고서'는 정식 구독자에 한해 제공해 드립니다.

오늘 소개드릴 자료는,

정식구독자에게 제공되던 매주 보고서를 월별로 종합 분석하여
 
주요 동향, 취약점 유형, 주요 유포지 및 분석 정보 등을
 
담고 있는 '월간 보고서'입니다.


처음 발행되는 관계로 미진한 점이나 추가할 사항이 있을 수 있습니다.

독자님들의 기탄없는 의견 부탁드립니다. 

내부 정식 서비스 구독 고객에게 한정하여 발행될 예정이나 본 월간 보고서의 경우 현재 처음 발행된 사례라, 공개하여 의견을 받고자 합니다.  현재 5월 인터넷 위협에 대한 동향 보고서도 진행 중이며, 6월 중 발간을 예정 하고 있습니다.
 
 
문의 및 신청은 info@bitscan.co.kr 로 문의 주십시요.

감사합니다.

 
 
PS: 지난 주말에 발생한 악성코드 유포 및 경유지 관련 통계자료가 당사페이스북 페이지에 공개되었습니다.
 
제목: 2013년 6월 2주차 - 요약 챠트



6월 2주차에 상당히 강도높고, 폭넓은 공격이 진행 되고 있다고 말씀 드린바 있습니다. 초기 확산을 관찰하는 PCDS의 특성상 사건/사고는 확산 이후에 발생 될 수 밖에 없습니다. 현재 빛스캔의 위협레벨은 "경고" 이고 여전히 진행형입니다.

6월 2주차 공격에 대한 통계가 방금 산출 되어 급하게 현황을 먼저 알려 드립니다. 현재 상태는 심각성 지수가 더 악화되고 있는 것으로 볼 수 있습니다.

* 신규 악성링크 - 최초 500개를 돌파 - 관찰이래 최대치
* 악성링크 영향력 - 악성링크가 다중 유포 통로로 이용될 때 해당 malwarenet을 더한 데이터로서 영향력을 의미합니다. 5월 4주차 이래 영향력 3000 돌파 . 3400 . 즉 그만큼 다중 유포통로를 통해 감염 시키는 악성링크가 매우 많았다는 반증입니다.


* 6월 2주차 기간동안 발견된 전체 악성링크 ( 기존 발견된것 포함) 검출된 사이트 수치 - 사상최대 - 3,953곳.

악성링크 중에서 국내에 영향력을 심각하게 미치는 공다팩 출현 수치도 사상 최대치를 나타내고 있습니다.

관찰 2년 이래 모든 수치면에서 최대를 기록하고 있는 현 상황은 무엇을 의미 할까요? 위성은 위험을 경고 합니다. 이 미사일은 지금 터질 수도 있고 한참 뒤에 터질 수도 있습니다. 그러나 이미 발사가 되어 상공에 머무르고 있다는게 핵심적인 위험이라 할 수 있을 것입니다.

6월2주 - 신규 악성링크 588개, 파급력 3400, 전체 출현 3,953곳.
공다팩 최다 이용 수치 갱신 - 438개.

대단히 두려운 수치이며, 뒤이어 발생 될 수 있는 위험들에 매우 염려스러운 마음으로 주의를 당부 드립니다. 통계 수치 확인 이후 긴급하게 경고를 드립니다. 


Posted by 바다란