태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

안녕하세요. 빛스캔입니다.


6월 2주차에 악성링크 수치가 역대 최대치를 기록하는 상황이라 정보의 정리와 분석에 시일이 다수 소요 되었습니다. 정상적으로 6월 2주차 정보제공 서비스는 6.12일에 발송 되었으며, 금일에는 현재 위협레벨인 "경고" 레벨이 그대로 유지됨에 따라 정보를 공유 합니다.

본 공개용 정보에는 국내를 대상으로한 악성코드 유포 관찰 이래 가장 많은 수치의 악성링크가 6월 2주차에 출현 하였으며, 바이너리를 대량 유포하는 행동들이 직접 관찰된 상황입니다. 따라서 확인되고 분석된 정보들 중에서 국외 ISP를 이용한는 정보들은 그대로 공개를 하도록 하겠습니다.  

내부 공유 정보는 6월 2주차 기간동안 대량 유포 및 감염에 사용된 바이너리 총 42종과 동적 분석 정보 40건이 전달 됩니다. 

또한 전체적으로 외부 연결을 통해 추가 다운로드 시도 및 다수의 C&C 서버로 연결하는 정황들이 발견 되어 정리 내용이 많습니다.

최종 다운로드 주소 및 네트워크 연결 정보

국외: 미국,일본 - 60여곳


악성링크 출현 IP 영역

국외 : 44종


* 공개용으로는 바이너리 및 분석정보 제공 되지 않으며, 국내 IP 영역과 도메인은 모두 제외된 상태에서 전달 됩니다.

    < 정식 서비스 구독 기업/기관 전달된 바이너리 내용 - 참고용>



종합하여 바이너리 42개 , 분석정보 40종. - 제공 불가
최종 다운로드 주소 및 C&C  주소 ( 해외 60곳, 국내 7곳-제외) - 67곳
악성링크 출현 IP 영역  ( 국외 : 44종 , 국내 25종 -제외 )  - 69종 


미국,일본의 ISP를 이용한 대량 공격에 직접 이용된 상황이라 빠른 차단과 내부 PC가 해당 IP 대역대로 연결 될 경우 거의 100% 좀비 PC 가능성이 있으므로 신속하고 빠른 대처를 하시기 바랍니다.

특히 일본 ISP를 이용한 연결 시도들은 노골적인 형태를 보이고 있는 상태입니다. 반드시 내부 감염 PC 확인을 하셔야 할 것으로 보이며, 내부 감염 PC 확인 이후 차단까지 연계 되어야 효과가 있을 것으로 보입니다.

06091.yuzombi.com   115.176.219.81 japan Fujitsu Limited
06111.kbszombi.com 220.146.166.132 japan Fujitsu Limited
www.kbs8803.com:81 126.19.85.220 japan Softbank BB Corp
www.kbs8805.com:81 124.25.194.122 japan Softbank BB Corp
www.mbc006.com:81 121.94.31.40 japan Fujitsu Limited
www.mbc001.com:81 126.15.1.74 japan Softbank BB Corp
www.mbc003.com:81 126.15.1.74 japan Softbank BB Corp
mr1000.gnway.net         126.19.86.211 japan Softbank BB Corp
mis1000.gnway.net 126.114.229.16 japan Softbank BB Corp
mis7000.gnway.net 126.114.228.136 japan Softbank BB Corp
www.kbs8801.com:81 126.15.4.38 japan Softbank BB Corp
www.kbs8802.com:81 ` 126.15.4.37 japan Softbank BB Corp
www.kbs8805.com:81 126.15.4.34 japan Softbank BB Corp
0610.kbszombi.com 220.146.166.132         japan Fujitsu Limited
0611.kbszombi.com 220.146.166.132         japan Fujitsu Limited
0612.kbszombi.com 220.146.166.132         japan Fujitsu Limited
06092.yuzombi.com 220.146.166.132         japan Fujitsu Limited
06093.yuzombi.com 220.146.166.132         japan Fujitsu Limited
06091.yuzombi.com 220.146.166.132         japan Fujitsu Limited
06081.yuzombi.com 220.146.166.132         japan Fujitsu Limited
06111.kbszombi.com 220.146.166.132         japan Fujitsu Limited


6월_긴급정보공유(공개용)_5차(20130613)_1645.pdf


문의는 info@bitscan.co.kr 로 주십시요. 또한 IP에 대한 차단과 대응에 관련된 부분은 각 기업/기관의 판단에 따른 문제입니다.  현재 전달되는 다수의 해외 C&C 및 공격용 IP 대역에 대한 정보는 지금도 활성화 된 상태를 유지하는 곳들이 많은 상태이니 빠른 확인과 대응을 하시길 ..


* 현재 경고레벨에서의 정보 공유와 공개 부분에 높은 수준의 부담이 계속 되고 있어서, 경고 수준을 유지하더라도 정보 공유와 공개가 향후 원활하지 않을 수 있음을 알려 드립니다. 



감사합니다.

Posted by 바다란




* 본 정보는 위협레벨 상향에 따라 선제적으로 정보 공유된 내용을 공개용으로 요약한 내용입니다.  실제 모든 분석내용은 압축파일로 첨부되어 제공 되었으며, 본 게시물에 언급된 내용은 1,2차 정보제공 중 위험성이 높은 부분을 선별한 부분입니다. 최종 악성파일의 다운로드 주소에 대한 부분은 해외 도메인 부분을 여과 없이 게재 하였으므로 해당 도메인 및 IP에 대한 차단을 진행 한다면 내부 사용자의 감염은 일정 수준 예방 할 수 있을 것으로 보이니 적극 활용 하시기 바랍니다.  대규모 유포망인 MalwareNet에 대해서는 일부 위험성이 높은 항목에 대해서만 공개를 합니다. 클릭 및 접근시에는 감염이 될 수 있으므로 주의 하시기 바랍니다.



안녕하세요. 빛스캔입니다.

5.25일 위협레벨을 경고로 상향한 바 있습니다.
1차로 5.24~5.27일간 수집된 27종의 바이너리에 대한 정보공유를 진행하였으며, 5.30일 현재 2차로 14종에 대한 정보 공유를 추가로 진행 합니다.

1차 정보는 바이너리와 네트워크 연결 정보만 우선적으로 전달 된 상황입니다.

금일 전달되는 2차 정보는 다음과 같은 내용을 포함 하고 있으며, 첨부된 압축파일의 암호는 전과 동일합니다.

1차 - 27종 바이너리
* 동적 분석 정보 ( 27종의 바이너리에 대한 동적분석 XML 파일) - 공개용 제외
* 네트워크 연결 정보 ( 30여개 이상 )  - 일부 공개
        * 악성바이너리 다운로드 IP 및 도메인 주소 ( 해외 21곳 이상)  - 공개

2차 - 16종 바이너리
* 동적 분석 정보 ( 13종의 바이너리에 대한 동적분석 XML 파일)  - 공개용 제외
* 네트워크 연결 정보 (  15개 가량) - 일부 공개
        * 악성바이너리 다운로드 IP 및 도메인 주소 ( 해외 22곳 이상)  - 공개




1. 대규모 Malware Network (차단 권고 정보 - 일부공개)

* 본 정보는 주요 사이트들의 웹소스에 다양한 형태로 추가되어 악성코드 감염에 이용되고 있는 통로로 이용되고 있는 정보들입니다.  외부 공개용은 위험성이 높은 악성코드 유포에 관한 정보만 제공되며, 그 외의 정보는 내부 고객에게만 전달 되었습니다.

  80여곳 이상의 경유지 활용 악성링크 리스트 (9종)


  erp.leetekorea.com/idc/index.hxxx  <-극히 위험
  ucc.uima.co.kr/link/sb.js  <- 극히 위험
  
  30여곳 이상의 경유지 활용 악성링크 리스트 (10종)
  
  www.ienp.co.kr/js/go.js <-위험
  110.34.240.122:5920/go.js <- 위험

  
악성링크  리스트들을 살펴 보시면, 이미 권한 획득을 전체적으로 당한 곳들이 다양하게 이용되는 것을 확인 할 수 있습니다.   국내 도메인이 다수인 상황이라 Full Url에 대한 매칭과 차단을 권고 드립니다.
  
첨부된 압축파일에는 네트워크 연결 정보 와 악성링크의 IP 주소가 같이 포함 되어 있으며, 국내 IP들이 포함 되어 있으므로 차단에 주의를 기울이시기 바랍니다.


2.  감염 이후 연결 주소 정보

* 본 정보는 압축파일에 모두 정리되어 제공 되었으며, 본 공개용에서는 일부만 공개합니다.

www.hfhssv.cn
gsgsfs.com
110.34.240.123:1314
kr201377.com:10086



3. 악성바이너리 다운로드 주소  

최초 사용자 PC에 대한 공격 성공 이후 악성파일을 다운로드 받는 주소는 국.내외 도메인들이 직접 이용이 되고 있습니다.

국외 도메인에 대한 부분은 본 메일에서 직접 기술을 드리고, 국내 도메인 및 IP에 대해서는 첨부 압축파일에 제공이 되고 있으므로 신중하게 선별하여 차단 적용 하십시요.
  

1차 5.24~5.27 악성 바이너리 다운로드 주소 (국외)

* 해외에서 받아오는 악성바이너리 주소에 대해서는 그대로 공개합니다. 국내 IP 및 도메인은 첨부로 기가입자에게 제공 되었으며, 공개용에는 제외 합니다.
  
down.gsgsfs.net(65.49.35.48) usa Hurricane Electric
girl.gsgsfs.net(192.169.98.248) usa  Outofwall
lol.hanwmw.com(96.43.105.10) usa Ethr.Net LLC
www.pizahunt.com(174.139.141.19) usa Krypt Technologies
www.wk1888.com(198.100.118.184) usa GorillaServers
qqq.smjbwy.com(174.128.234.211) usa Sharktech
110.34.240.(123,124)x usa VPLS Hosting
rhkdcks2323.gnway.net(98.126.55.106) usa Krypt Technologies
rhkdcks2424.gnway.net(98.126.55.106) usa Krypt Technologies
tetret.net(199.193.71.187) usa Vps21
thestringwalker.com(198.154.228.153) usa Websitewelcome.com
2f-concept-dev.com(93.184.35.226) France Nerim SAS
cultivateuk.com(82.165.218.68) Germany 1&1 Internet AG
mis7000.gnway.net(126.19.85.40) japan Softbank BB Corp



도메인 주소만 있는 경우 서브도메인을 변경하여 계속해서 발생되고 있으므로 *.hahavb.com과 같이 확장된 필터링 정책이 필요합니다.  


  2차 5.28~5.30 기간 악성바이너리 다운로드 주소 (국외)
 
192.169.96.(6,8)x usa Outofwall
98.126.147.220 usa Krypt Technologies
annesska.co.uk(213.171.218.160) United Kingdom Fast Hosts LTD
cc.aiya33.com(122.10.87.35) hong kong HKDF
eee.smjbwy.com(174.128.234.214) usa Sharktech
fff.lolnnn.com(96.43.105.30) usa Ethr.Net LLC
hicsddns1.kingka1888.com(98.126.147.220) usa Krypt Technologies
hahavb.cn(199.193.68.132) usa Vps21
ie.hahavb.cn(199.193.68.132) usa Vps21
yk.hahavb.net(199.193.68.132) usa Vps21
letsgostrolling.com(69.160.58.75) usa Nexcess.net L.L.C.
lol.hanwmw.com(96.43.105.10) usa Ethr.Net LLC
mmm.dafafa.cn(192.169.98.236) usa Outofwall
rhkdcks3131.gnway.net(98.126.55.106) usa Krypt Technologies
sumotek.com(91.194.90.170) Germany Contabo GmbH
ttt.smjbwy.com(199.114.243.220) usa Vps21
uuu.smjbwy.com(98.126.177.53) usa Krypt Technologies
wm.aiya33.com(122.10.87.32) hong kong HKDF
wnrdufk.hfhssv.com(192.169.98.240) usa Outofwall
xxx.dafafa.cn(192.169.98.233) usa Outofwall
myyk00pm.4b.cp
23.82.18.254

한국 인터넷 위협동향에 대한 무료 메일링은 info@bitscan.co.kr 로 연락 주십시요. facebook.com/bitscan 페이지를 통해서 계속 갱신 정보를 공유하고 있으니 참고하세요.

감사합니다.


Posted by 바다란