태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

인터넷 위협 수준: 평시

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<주간 유포된 도메인 수>

9월 3주를 기점으로 전체 발견된 악성링크가 10월 2주차에도 감소세가 유지되었지만, 신규 악성링크는 지난주 보다 조금 증가한 것으로 나타났다. 특히, 금주에는 방문자가 많은 일부 P2P 사이트를 통해 악성링크가 유포되었으며, 이는 지난주에 나타나지 않은 모습이었다. 그러나, 유포된 악성링크가 평상시에 비해 소규모로 활동이 이루어졌으며, 빠른 대응으로 인해 파급력은 낮게 나타났다. 금주 악성링크의 영향이 다소 있었지만 규모가 작고 새로운 위협이 등장하지 않아 "인터넷 위협" 수준을 "평시" 단계로 지난 주와 동일하게 유지한다.

 

<시간대별 통계>

시간별 통계를 살펴보면 수요일 ∼ 일요일 오전까지 지속적으로 유포를 하였으며, 특히, 월요일 오후 ∼ 화요일 오전 사이에는 가장 많은 유포가 이루어졌다. 지난주와 달리 금주에는 다양한 시간별로 악성링크의 활동이 있었으며 앞으로 악성링크의 활동은 증가와 감소를 나타날 수 있어 지속적인 관찰이 필요하다.

 

<최근 1달 악성링크 도메인 통계>

9월 2주차부터 10월 2주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 184건(86.4%), 미국 15건(7.0%), 일본 14건(6.6%)등으로 나타났다.

 

<주간 악성링크 도메인 통계>

국가별 악성링크 도메인 통계를 분석한 결과 한국이 26건(92.9%), 미국이 2건(7.1%)이 순으로 나타났으며, 여전히 국내서버를 주로 활용한 정황이 두드러지게 나타났다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는 info@bitscan.co.kr 로 연락주십시오.

감사합니다.

 

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

인터넷 위협 수준: 관심

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

<주간 유포된 도메인 수>

 

7월 3주차를 기점으로 금주까지 전체 발견된 악성링크의 수는 감소하고 있는 반면에 신규 악성링크는 7월 중 가장 활발한 상태를 보이고 있다. 또한, 공다 팩의 비율이 줄어들고, 4개의 취약점을 이용하는 CK VIP가 다수 등장하였으며 그 중에는 7월 2주차에 등장하였던 공다 팩과 CK VIP가 결합된 형태도 나타났다. 국내에서 7월 3주차에 처음 출현한 HTTPS(SSL) URL도 금주에는 HTTP와 함께 결합한 새로운 형태로 등장하여 활발하게 사용되었으며, 한국 도메인에서만 출현하였다.

 

<시간대별 통계>

 

시간대별 통계를 살펴 보면, 지난 주에 비해 평일의 유포 상황이 다소 증가하고 있다. 금~일요일까지는 더욱 더 활발한 모습을 보였으며, 일요일 저녁때까지도 지속되었다.

 

 

<최근 1달 악성링크 도메인 통계>

 

6 4주차부터 7 5주까지의 최근 6 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 256(51.2%), 미국 81(16.2%), 일본 157(31.4%), 홍콩 2(0.4%), Netherlands 1(0.2%), 대만 2(0.4%), 독일 1(0.2%)등으로 나타났다.

 

<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과 일본이 43건(43.0%), 한국이 42건(42.0%), 미국이 14건(14.0%) 홍콩이 1건(1.0%)순으로 차지하였다.

 

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )









<주간 유포된 도메인 수>

 

7월 3주 전체 악성링크 및 신규 악성링크는 2주차의 비해 소폭 상승하였으며, 신규 악성링크 중에는 기존의 HTTP(TCP 80)를 통한 유포가 아닌 HTTPS(특정 포트)를 이용하여 유포하는 사례가 발견되었다. 특히, 악성링크의 경유지를 확인하는 과정에서 HTTP(TCP 80)와 HTTPS(특정 포트)를 서로 교차 하여 사용하고 있는 정황도 확인하였다. 이처럼 HTTPS는 단말간 암호화를 지원하기 때문에 중간에 위치하는 보안장비를 우회할 수 있는 장점을 가지고 있어 탐지 및 분석이 더욱 어려워질 것으로 예상되며, 경유지 및 유포지를 사전에 탐지하여 조치를 취해야만 보다 효과적인 차단이 가능해 질 수 있다.

 

<시간대별 통계>

 

금주 시간별 통계를 살펴보면 평일 주중과 함께 금요일 – 토요일에 걸쳐 집중적인 유포를 보였지만 주중에도 유포가 이루어 졌으며 기존의 이용되었던 악성링크를 통해 유포되는 경우도 관찰이 되었다. 지난 주에 나타났던 9개의 취약점을 이용한 유포형태는 금주 까지도 이어졌고, 대부분의 악성코드는 파밍 악성코드로 분석되었다. 일부 파밍 악성코드는 포털 사이트를 변조하여 파밍 사이트로 연결 하는 악성코드로 관찰되었다.

 

<최근 1달 악성링크 도메인 통계>

 

6월 2주차부터 7월 3주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 260건(34.8%), 미국 324건(43.4%), 일본 107건(14.3%), 독일 28건(3.7%), 영국 9건(1.2%), 캐나다 11건(1.5%), 인도 4건(0.5%), 태국 2건(0.3%)등으로 나타났다.

 

<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과 한국이 46건(68.7%), 일본이 12건(17.9%), 미국이 9건(13.4%) 순으로 차지하였다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락주십시오.

감사합니다.

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

6.25 사이버 공격에 대한 다른 시각과 분석>

http://p4ssion.com/375


관련하여 zip.exe 파일의 내용이 트로이 목마와 정보탈취용으로 언급한 바가 있습니다. 불필요한 언급들이 있어서 추가 다운로드 파일까지 확인된 모든 내역을 공개 합니다.




5.31일과 6.1일 이미 사전 좀비 PC 확보를 위한 노력들이 있었다는 것을 PCDS를 통해서 확인하고 알려 드린바가 있습니다. 해당 시점에 송사리와 심디스크 사이트가 경유지로 동시에 이용 당한 정황이 있었고 , 6.25일 공격에 두 사이트의 업데이트 파일이 이용된 정황이 발견 됨에 따라 연관 관계를 분석하여 전달 드린 바가 있습니다.

악성파일은 zip.exe 이고 두 종류의 zip.exe 파일이 존재합니다.
감염 이후 추가 다운로드 파일들도 있는 상태로 유포시점에 확인이 되었고, 추가 다운로드 및 변경된 zip.exe 파일까지 모두 포함하여 5종의 악성파일을 확인 하였습니다.

해당 파일들은 모두 6월초의 정보제공 서비스 가입기업에게 위협레벨에 따라 정보공유 된바가 있습니다.

일각에서 초기 악성파일의 특성 (게임계정탈취)만을 가지고 문제가 있다고 언급하는 곳들이 있어서 명확하게 알려 드립니다.

지난 주에 검증까지 완료 되었지만, 말씀을 드리지 않았는데 불필요한 추정과 언급을 끝내기 위해 자체 검증과는 별도로 시만텍과 공조하여 검증된 내용으로 확인 드립니다.

logo.jpg_5598F8A01D7F52A20ACC750EE98619CC_bitscan Trojan.Gen
<http://securityresponse.symantec.com/avcenter/cgi-bin/virauto.cgi?vid=24060>

server.exe_5598F8A01D7F52A20ACC750EE98619CC_bitscan Trojan.FakeAV
<http://securityresponse.symantec.com/avcenter/cgi-bin/virauto.cgi?vid=19446>

tvk.exe_0C0052C8EBE1C881C17E71FDDA575E94_bitscan Infostealer.Donx
<http://securityresponse.symantec.com/avcenter/cgi-bin/virauto.cgi?vid=54300>

tvk.exe 파일의 경우 Backdoor이며 시만텍의 분류에는 유명한 Red October 류의 트로이 목마로 분류하고 있네요. 워드와 엑셀로 메일을 통해서만 침입 하는 걸로 알려졌던 그 유형입니다. 




zip.exe_12C76FEE19D6460825CEAF0DAB9692C7_bitscan Infostealer.Gampass
<http://securityresponse.symantec.com/avcenter/cgi-bin/virauto.cgi?vid=40673>

zip.exe_7EBA645D591C8B6E8DD9F8B2673C0FA6_bitscan Trojan Horse
<http://securityresponse.symantec.com/avcenter/cgi-bin/virauto.cgi?vid=689>

송사리와 심디스크가 경유지중 하나로 이용된 악성링크에서 추가로 유포된 악성파일 5종에 대한 시만텍의 분석 내용입니다. 이중 처음에 유포된 것이 zip.exe Infostealer로 게임계정 탈취 버전이고 그 이후 유포된 것이 트로이 목마가 되겠습니다.

추가 다운로드까지 포함하여 트로이 목마 계열이 3종이 포함 되어 있었음을 공식적으로 알려 드립니다. 

감사합니다.

Posted by 바다란

인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

 

<주간 유포된 도메인 수>

 

6월 25일, 사이버테러가 발생하고 그 여파가 계속되고 있는 가운데, 7월 1주차에는 6월 4주차에 비해 수치가 떨어졌으며, 특히 신규 악성링크는 6월 3주차부터 계속 감소하여 최소치를 기록하고 있다. 이는 지난 3.20 사이버테러 발생 및 그 직후와 유사한 결과를 보이고 있으며, 그 원인은 당사가 이에 관련된 정보를 공유한 것에 기인한 것으로 추정된다. 당시 "A영역" 과 같이 비정상적인 사전 징후가 나타났고, 최고 정점인 "B영역" 에서 실제 사이버테러가 발생하였다. 그 후에는 정보 공유를 통한 차단 및 모니터링 강화를 통해 7월 1주와 같이 악성코드들의 활동이 주춤하는 추세가 나타났다. 하지만, 일정 기간이 지난 후에는 다시 활발한 움직임을 보일 것으로 예상이 되며 "A영역"과 같이 이상 징후를 미리 탐지하지 못한다면 언제라도 다시 6.25 사이버테러가 발생할 수 있음을 명심해야 한다.

 

<시간별 통계>

 

금주의 시간별 통계를 살펴보면, 신규 악성링크의 유포가 수요일, 금요일부터 일요일까지 집중적인 유포가 발생하였다. 여전히 MalwareNet을 통한 대량 감염은 지속되고 있으며 대부분의 역할은 사용자의 금융계정 탈취를 하는 "파밍" 악성코드가 지속적으로 관찰되고 있으며 "파밍" 기술 또한 매주 새롭게 등장하고 기법도 더욱 정교해 지고 있으므로 많은 주의가 필요하다.

 

<최근 1달 악성링크 도메인 통계>

5월 4주차부터 7월 1주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 235건(27.3%), 미국 381건(44.2%), 홍콩 2건(0.2%), 일본 88건(10.2%), 인도 4건(0.5%), 독일 124건(14.4%), 영국 14건(1.6%), 캐나다 11건(1.3%), 태국 2건(0.2%)등으로 나타났다.

 

<주간 악성링크 도메인 통계>

국가별 악성링크 도메인 통계를 분석한 결과 한국이 35건(62.5%), 미국이 8건(14.3%), 일본이 13건(23.2%) 순으로 차지하였다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는 info@bitscan.co.kr 로 연락주십시오.

감사합니다.

Posted by 바다란

6.25 사이버 공격에 대한 다른 시각과 분석 – 빛스캔

( 공격 주체에 의한 대규모 좀비 PC 확보 시도는 이미 있었으며, 실패하였다. )

 

 

빛스캔㈜에서는 5월 4주차부터 위협레벨을 "경고"로 상향 시킨 이후 정보에 대한 공개와 수집된 악성파일 및 C&C 주소에 대해 정보제공 서비스 구독 기업에게 공유한 바 있다. 6.25 사건 이후 확인된 사실에 대해 PCDS상의 기록을 확인해 본 결과 6.25일 국가기관 DNS 공격에 이용된 좀비PC 확보에 이용된 두 곳의 웹하드 업체가 이전에도 대량 악성코드 유포에 이용된 정황이 확인 되었다.

 

결론적으로 두 곳의 웹하드 업체가 동시에 악성코드 유포에 이용된 정황을 확인한 결과 6.25일 사건 이전에 5.31일과 6.1일 양일 간에 걸쳐 동일한 형태의 악성코드를 모든 접속자에게 대량 유포한 사실을 확인 하였으며, 이미 자료 공개 및 차단 데이터 제공으로 대량 좀비 PC 확보는 실패한 것으로 추정이 된다. 이후 6.25일 당일에 소규모 좀비 PC를 확보하여 파급 효과가 있는 국가기관의 DNS만을 집중해서 DDoS 공격을 한 것으로 예상 할 수 있다. 6.25일 공격에 동원된 좀비 PC가 상대적으로 소규모였으며, 서비스 장애가 목적이 아닌 이슈화가 목적인 공격에만 동원된 정황도 충분히 이해 할 수 있게 된다.

 

TrendMicro의 분석자료:

http://www.trendmicro.co.kr/kr/support/blog/compromised-auto-update-mechanism-affects-south-korean-users/index.html

 

< Trendmicro 분석 결과에서 확인된 악성코드 감염 숙주 분석 이미지>

 

6.25일 사건에 이용된 숙주 사이트는 songsari.net 사이트와 simdisk.co.kr 두 사이트가 DDoS 공격용 악성코드를 유포한 것으로 확인을 하고 있다. Simdisk의 사례는 널리 알려져서 확인 할 수 있었으나, songsari.net 사이트의 경우는 금일에야 정보를 확인한 상황이라 연결 관계 분석이 늦어졌다.

 

두 곳의 6.25 관련 악성코드 숙주를 확인한 결과 simdisk의 경우 지금까지 대량 악성코드 유포 시도가 없었으나 5.31~6.1일 기간동안에 3회에 걸친 악성코드 유포 이슈가 처음 발견 된 상태로 확인 되었다. 또한 songsari.net 의 경우 2013년 3.16일부터 6.10일까지 총 5회에 걸쳐 악성코드 유포 이슈가 발견 된 바가 있다. 범위를 좁혀서 두 사이트가 동시에 이용된 정황은 2회가 PCDS상에서 확인이 되었다.

 

두 사이트의 내부로 침입하여 업데이트 파일을 변경할 정도라면 서비스의 모든 권한을 가지고 있다 보았을 때 악성코드 유포를 위한 악성링크 추가도 모든 권한을 가지고 변경을 할 수 밖에 없다. 결론적으로 songsari와 simdisk의 모든 권한을 가진 공격자 그룹에서 6.25 관련된 악성코드를 유포하는데 활용 한 상황이라 할 수 있고, 두 사이트의 모든 권한을 가진 것은 악성코드 경유지 활용 시에도 동일한 조건이므로 범위를 좁힐 수 있게 된다.

 

6.25 사건 – songsari , simdisk 서비스의 모든 권한을 가진 공격자가 내부 파일 변조를 통해 좀비 PC를 확보한 것이 핵심

 

모든 권한을 가진 상태에서는 소스코드도 임의로 변경이 가능한 상태이므로 5.31~6.1일 양일간 두 사이트를 동시에 악성코드 유포에 이용한 그룹도 6.25일 공격자와 동일한 권한을 가지고 있다고 추정할 수 있다. 서비스에 대한 모든 권한은 동일하다.

 

< 5.31일 동일 악성코드 감염 경유지로 활용된 경유지 리스트 >

<6.1일 동일 악성코드 감염 경유지로 활용된 경유지 리스트>

 

6.25 사건의 좀비 PC 확보에 사용된 두 곳의 사이트가 모두 포함이 된 것을 확인 할 수 있다. 더군다나 simdisk의 경우는 PCDS상에 감지된 악성코드 유포 이슈는 5.31일이 최초 경유지 활용일로 기록된 상태이다. Korea.com을 포함하여 중복을 제외하고 최소 9곳 이상이 동시에 활용된 것을 확인 할 수 있다. 휠씬 더 큰 범주에서 대규모의 좀비 PC 확보를 위한 노력이 있었다는 점을 알 수 있다.

 

<5.31일 발견된 Korea.com 사이트에서의 악성링크 실행 정보>

 

해당 악성코드는 웹서비스를 방문만 해도 감염이 되는 형태이며 Drive by download 형태로 감염이 이루어진다. 방문자의 PC를 공격대상으로 하고 있으며 이용되는 취약성은 cve 넘버에 따르면 다음과 같다. (3544-0507-1723-4681-5076-1889-0422-0634 ) . 즉 공다팩이 그대로 좀비 pc확보를 위해 이용되었으며, IE 취약성 1종과 Java 취약성 6종 , Flash 취약성 1종이 사용된 상황이다.

 

웹서비스를 방문한 방문자 PC에 대해 자동적인 공격을 실행하고 공격에 성공하게 되면 PC에 추가적인 다운로더와 트로이 목마를 설치하게 되어 있다. 당시에 감염된 악성파일은 zip.exe 라는 악성파일이 최초 감염에 이용된 상황이다. 추적과 차단을 회피하기 위해 악성링크 및 최종 악성파일을 다운로드 하는 곳들 모두를 국내 사이트를 이용한 상황이며, 관련된 모든 정보는 6.25일 정보 공유에 모두 제공된 바가 있다. 유포된 악성파일의 특성은 트로이 목마 계열과 정보 탈취 형태로 확인 되었다.

 

5월 4주차 PCDS 위협레벨의 상향 조정에는 분명한 원인이 있었으며, 해당 위협상황에 따라 자체적인 대응을 진행해온 상황이다. 대규모 좀비 PC를 동원한 연계 공격이 6.25일 사건에도 발생 하였다면 생각보다 큰 피해와 심리적인 충격들이 있었을 것이다. 단편적으로 드러난 사실을 이용하여 역으로 확인 하였을 때 이미 공격자들도 대량 좀비 PC 확보를 5.31일 무렵에 시행을 한 것이다. 결론적으로는 대규모 좀비 PC의 확보에는 실패하였기에 소규모 좀비 PC를 이용한 이슈화에만 집중한 것으로 볼 수 있다.

 

사전 대응과 정보제공을 통해 발생 될 수 있는 위협을 막는 것은 더 큰 위험을 줄여주는 역할을 한다. 6.25 사건에서 DDoS 공격에 이용된 좀비 PC가 상대적으로 소규모이고 극히 짧은 시간 ( 단지 9시간 미만 )에 확보된 좀비 PC들만을 이용했다는 점은 어떤 연유에서든 대규모 좀비 PC의 확보에는 실패했다는 것이며, 정보 공유와 위협레벨 상향에 따른 정보 제공 등이 일정 수준 영향을 준 것으로 추정된다.

빛스캔 무료 정보 메일은 info@bitscan.co.kr로 신청 할 수 있다. 또한 본 사건과 같이 위협레벨이 "경고" 등급 이상일 경우에는 정보제공서비스 등급에 관계 없이 C&C 주소 및 바이너리에 대한 무제한 공유를 실행 하고 있으며, 위험성이 높은 경우에는 선별하여 차단 리스트 형태로 제공을 하고 있다. 정보제공 서비스에 대한 문의도 동 메일로 문의 할 수 있다.

Posted by 바다란
안녕하세요? 빛스캔 입니다.
 
 
아시다시피, 당사에서는 매주 국내외 웹사이트를 통해 발생하는 다양한
 
위협, 사고 등을 분석하여 보고서를 제공해드리고 있습니다.
 
이 중 '주간 브리핑 요약'은 신청하시는 분들에게 무료로 제공해 드리고 있으며, 
 
그외 '주간 브리핑, 동향, 기술, 전문 보고서'는 정식 구독자에 한해 제공해 드립니다.

오늘 소개드릴 자료는,

정식구독자에게 제공되던 매주 보고서를 월별로 종합 분석하여
 
주요 동향, 취약점 유형, 주요 유포지 및 분석 정보 등을
 
담고 있는 '월간 보고서'입니다.


처음 발행되는 관계로 미진한 점이나 추가할 사항이 있을 수 있습니다.

독자님들의 기탄없는 의견 부탁드립니다. 

내부 정식 서비스 구독 고객에게 한정하여 발행될 예정이나 본 월간 보고서의 경우 현재 처음 발행된 사례라, 공개하여 의견을 받고자 합니다.  현재 5월 인터넷 위협에 대한 동향 보고서도 진행 중이며, 6월 중 발간을 예정 하고 있습니다.
 
 
문의 및 신청은 info@bitscan.co.kr 로 문의 주십시요.

감사합니다.

 
 
PS: 지난 주말에 발생한 악성코드 유포 및 경유지 관련 통계자료가 당사페이스북 페이지에 공개되었습니다.
 
제목: 2013년 6월 2주차 - 요약 챠트



6월 2주차에 상당히 강도높고, 폭넓은 공격이 진행 되고 있다고 말씀 드린바 있습니다. 초기 확산을 관찰하는 PCDS의 특성상 사건/사고는 확산 이후에 발생 될 수 밖에 없습니다. 현재 빛스캔의 위협레벨은 "경고" 이고 여전히 진행형입니다.

6월 2주차 공격에 대한 통계가 방금 산출 되어 급하게 현황을 먼저 알려 드립니다. 현재 상태는 심각성 지수가 더 악화되고 있는 것으로 볼 수 있습니다.

* 신규 악성링크 - 최초 500개를 돌파 - 관찰이래 최대치
* 악성링크 영향력 - 악성링크가 다중 유포 통로로 이용될 때 해당 malwarenet을 더한 데이터로서 영향력을 의미합니다. 5월 4주차 이래 영향력 3000 돌파 . 3400 . 즉 그만큼 다중 유포통로를 통해 감염 시키는 악성링크가 매우 많았다는 반증입니다.


* 6월 2주차 기간동안 발견된 전체 악성링크 ( 기존 발견된것 포함) 검출된 사이트 수치 - 사상최대 - 3,953곳.

악성링크 중에서 국내에 영향력을 심각하게 미치는 공다팩 출현 수치도 사상 최대치를 나타내고 있습니다.

관찰 2년 이래 모든 수치면에서 최대를 기록하고 있는 현 상황은 무엇을 의미 할까요? 위성은 위험을 경고 합니다. 이 미사일은 지금 터질 수도 있고 한참 뒤에 터질 수도 있습니다. 그러나 이미 발사가 되어 상공에 머무르고 있다는게 핵심적인 위험이라 할 수 있을 것입니다.

6월2주 - 신규 악성링크 588개, 파급력 3400, 전체 출현 3,953곳.
공다팩 최다 이용 수치 갱신 - 438개.

대단히 두려운 수치이며, 뒤이어 발생 될 수 있는 위험들에 매우 염려스러운 마음으로 주의를 당부 드립니다. 통계 수치 확인 이후 긴급하게 경고를 드립니다. 


Posted by 바다란

Targeted attacks (watering hole) against S.Korea national security institutes are emerged in 16 May.

 

We worried about wrong information at this article: http://threatpost.com/ie-8-zero-day-pops-up-in-targeted-attacks-against-korean-military-sites/

 

A word 'Watering hole' means the infection attempts on the sites where the visitors are specific. In other words, the attacks lead to infect not normal peoples, but peoples are in specific stratum. In Korea, attacks against the game users are already detected since 2005. And the attack called 'Drive-by Download' that allows people infected just by visiting is widely issued globally. More broad and anonymous attacks are detected in Korea every week.

16 May 2013, the day before the national holiday, the attacks targeted against national security institutes are emerged and more several issues are detected. This attack can be defined as a watering hole because normal users are rarely visiting the national security institute's web sites.

Until these days, at least four national security institutes are detected as victims and more victims may exist. But four victims are founded based on the PCDS(Pre Crime Detect Satellite) until now and attacks are covertly and persistently made up.

There are two types of malicious links injected by the alteration of the compromised web site's source codes. The one uses the shorten URL that redirect to the same malicious link. Usage of shorten URL for the malicious purpose is pointed out because of the security problems, but it is pregnant that shorten URL for the malicious link is used in PC environment, not mobile area for the malicious application installation, because it is used for avoid the detection.

The victims are KIMA(Korea Institute for Military Affairs), KINSA(Korea Institute for National Security Affairs), KRIS(Korea Research Institute for Strategy) and KIMS(Korea Institute for Maritime Strategy). These are specific purpose institutes that normal peoples are rarely visited.

The attackers have the privileges to change the web site's source codes and inject malicious link for drive-by downloads. There attacks have purpose of malware infection for targeted victims, not just change the web site's front page.

There are two Oracle Java vulnerabilities CVE-2013-1493 and CVE-2013-2423 are used to attack. Details of vulnerabilities are founded in http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1493 and http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2423.)

The malicious link used is already detected from PCDS in April, but the link is registered as an abnormal link because there are no exploit codes at that time. But the exploit codes are added and it may have more unrevealed attacks prior to 16 May.

The first detected malicious link in April is 'www.sunshop.com.tw/images/header.js'. This link is founded some of the four national security institutes issued now. The attackers remain that the malicious link have no exploit codes and they inject exploit codes to header.js file in 16 May to attack. More attacks are expected prior to April because PCDS already detected. The binary that executed after exploit is estimated as a backdoor.

Some parts of exploit codes used for Oracle Java vulnerability is as follows.

<html><head></head><body><applet archive="OS7aOmC5UPE2iQDJ.jar" code="Init.class" width="1" height="1"></applet><applet archive="0DUIOMCiPZUXfBvE.jar" code="Xxploit.class" width="1" height="1"></applet></body></html>

 

At least four national security institutes and the malicious link which related to Taiwan is blocked and additional actions are made up.

Form this case, the targeted attack not only e-mail attached attacks targeted major agencies, but also targeted specific visitors like watering hole is on the rise seriously. The problem is more complicated because there are rarely had the protection systems compared to e-mail attacks.

Also this type of attack is advanced that they add exploit codes when decided to attack and they use shorten URL to avoid detection.

The persistent attacks targeted major agency and corporations are covertly on going. Moreover follow attacks after 20 March incident raise the concerns about reaction plans.

The scalable infection mechanisms are started from the injection of malicious link to the compromised web site. If we can't block the entrance path of compromised web sites, the same incidents are going on and on. Also the information which leaks contains professional ones because the attack is targeted.

The attacks through the injection of malicious link to compromised web sites are widely used and it is difficult to detect that the shorten URL is malicious or not. Most people have no idea that they can be infected just by visiting compromised web sites.

The malicious link that redirected from the normal web site uses several application vulnerabilities of victim environment to download and execute automatically. And it is hard to react because the malware executed is made to avoid major anti-virus protections.

The attacks are valid to every people who visit the compromised web sites and they can be infected if they have just one of vulnerabilities. The additional losses are expected because attacks have all privileges after infection.

From the aspects of reaction, they have to solve this problem through the cooperation of the professional agency or corporation if they can't find the solution themselves. If the fundamental causes are not fixed, continuous malicious distribution and information leakage have to be considered.

 

Posted by 바다란

 

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<주간 유포된 도메인 수>


5월 2주차는 전주에 비해 신규 악성링크도 소폭 상승하였으며, 이 악성링크로 인해서 영향을 주는 전체 사이트는 대폭 증가하였다. 또한 탐지를 우회하기 위한 새로운 형태의 파밍이 발견되었다. 4월 4주차부터 금주 차까지도 C 클래스 대역(최대 13개 IP)을 활용하여 악성코드를 활발하게 배포하였으며, 더욱 탐지 회피를 위해 또 다른 클래스 대역을 이용하는 정황이 탐지되었다. 공격자는 일정 시간마다 IP 주소를 변경하고 있으며 전체 대역을 차단하지 않으면 피해는 계속 발생할 것으로 예상된다.










<시간별 통계>

 

금주의 시간 별 통계를 살펴보면, 신규 악성링크의 유포가 월요일, 금요일, 일요일 오후, 저녁에 집중적으로 발생했다는 것을 관찰하였다. 구체적인 시간을 살펴보면, 월요일 16시~19시, 금요일 18시~23시, 일요일 09시~17시와 23시~24시에 가장 많은 유포가 발생하였다. 특히, 매주 발견되는 신규 악성링크의 유포행위는 꾸준히 변경이 되기 때문에 전체 범위를 모니터링하고 사전 탐지하여 조치하는 대책을 고려해야 한다.











<최근 1달 악성링크 도메인 통계>

4월 1주차부터 5월 2주까지의 최근 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 171건(34.8%), 미국 168건(34.2%), 중국 4건(0.8%), 홍콩 131건(26.7%), 일본 7건(1.4%), 태국 8건(1.6%), 대만 2건(0.4%) 등으로 나타났다. 특히 홍콩의 비율이 꾸준히 높은 수준을 유지하고 있으며, 이는 홍콩에 위치한 C 클래스 대역을 이용하여 대규모로 악성링크와 최종 악성파일을 변경한 사례가 4월4주부터 금주까지도 계속되기 때문이다.

 










<주간 악성링크 도메인 통계>

국가별 악성링크 도메인 통계를 분석한 결과, 한국이 37건(56.9%), 미국 6건(9.2%), 홍콩 19건(29.2%), 태국 2건(3.1%), 대만 1건(1.5%) 순으로 차지하였다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는 info@bitscan.co.kr 로 연락주십시오.

 

감사합니다.

Posted by 바다란

 

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

 

<주간 유포된 도메인 수>

4월 3주는 3월 3주부터 소강상태였던 신규 악성코드 링크가 다시 활발하게 이용되고 있는 것을 볼 수 있으며 국내에서는 공다팩, 레드킷, CK VIP가 관찰되었다. 유포 전략 측면에서 볼 때, 공격자는 기존에는 특정 사이트 및 관련된 계열사까지 동일한 악성링크를 삽입하는 방식을 썼었지만, 이번 주에는 각기 다른 악성링크를 삽입하여 하나가 차단 되더라도 다른 링크를 이용하여 감염율을 높일 수 있도록 다양한 통로를 마련하고 있으며, 이렇게 공격자가 회피하는 전략을 꾸준히 변경하는 추세이다.

<시간별 통계>

 

금주의 시간별 통계를 살펴보면 화요일 오전부터 저녁, 금요일 저녁, 토요일 오전에 집중적으로 신규 악성링크의 유포가 있었던 사실을 확인할 수 있었으며, 화요일에 특이하게 발생 빈도가 증가한 점에 대한 구체적인 원인은 판단이 불가능하였다.

 

 

<최근 1달 악성링크 도메인 통계>

 

3월 3주차부터 4월 3주까지의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 64건(27.7%), 미국이 128건(55.4%), 중국이 18건(7.8%), 홍콩이 10건(4.3%), 일본이 6건(2.6%) 등으로 나타났다. 추이를 살펴보면 이번 주 들어 국내의 비율이 급격하게 증가하고 있다.

<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과, 한국이 23건(41.8%), 미국이 25건(45.5%), 일본이 3건(5.5%), 홍콩이 4건(7.3%) 차지하였다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락

주십시오.

감사합니다.

Posted by 바다란

 

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<주간 유포된 도메인 수>

4월 2주 유포된 웹사이트는 약간 감소하였지만, 신규로 발견되는 수치가 증가하고 있다. 공격자들이 새로운 감염통로 개척하는 등 공격 수준이 3.20 사이버테러 이전으로 정상화된 것으로 추정된다. 특히 금주에는 최종 파일의 분석 결과 루트킷(Rootkit) 코드가 일부 발견되었다. 사용자로서는 보안패치로 최선의 방어를, 보안 업체에서는 철저한 모니터링과 사전 차단이 더욱 필요하다고 보여진다.

 

<요일 및 시간별 통계>

 

금주의 요일별 통계를 살펴보면 월요일 오전과 금요일 저녁, 토요일 오전에 집중적으로 신규 악성링크의 유포가 있었던 사실을 확인할 수 있다. 구체적인 시간을 살펴보면, 월요일 5시~7시, 금요일 17시~21시, 토요일 6시~14시에 집중적인 유포가 발생하였다.

 

<최근 6주간 악성링크 도메인 통계>

 

최근 6주간(3월 2주~4월 2주) 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 미국 115건(53.7%), 한국 57건(26.6%), 중국 25건(11.7%), 홍콩 9건(4.2%) 등으로 나타났다. 3월 2주부터 한국 발(發) 악성링크 도메인이 다수 발견되었지만, 3월 4주부터 다시 꾸준히 미국 발 악성링크 도메인이 절반 이상을 차지하고 있다. 이번 주에는 약 80%이상을 차지하고 있는 미국은, VPSxx ISP의 특정 네트워크 대역 전체가 공격에 이용되는 현상도 관찰되었으며, 이에 대한 통계치가 포함되어 반영된 결과다.

 

<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과, 미국 31건(86.1%)으로 가장 많고, 한국 3건(8.3%), 일본 1건(2.8%), 태국 1건(2.8%) 순으로 차지하였다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락

주십시오.

감사합니다.

Posted by 바다란

빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 9월 4주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS( Pre Crime Detect System )의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다. 금주 만 추석연휴로 인해 목요일 발송 입니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다. 본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.

1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지
2. 악성링크가 공격에 활용에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 – 패치
3. 내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)







9월 4주차는 9월 3주차에 비해 신규 악성링크 수치가 감소하였습니다. 감소한 주된 이유는 중국의 최대 명절인 중추절 연휴(29일~10월 1일)과 국경절 연휴(10월 1일~7일)이 맞물린 결과라고 볼 수 있습니다. 그러나 전년 (2011년) 대비 동일기간 대폭 증가한 양상을 보이고 있어 앞으로가 더 염려스러운 상황입니다. 지난해 중국의 연휴 기간에는 악성코드 유포를 위한 공격이 거의 발생되지 않은 반면에 올해는 전년 대비하여 대폭 증가된 공격 비율을 보이고 있습니다. 평상시 보다 감소된 형태이지만 전년 동기간 대비 증가를 하였다는 것은 이제 공격은 상시적으로 발생됨을 의미하고 있습니다. 연휴 시작일 직전에 감행된 공격에서는 평상시와 다른 형태의 공격이 감지 되어 긴장감이 높은 상태를 유지 할 수 밖에 없었습니다.


9월 4주차 공격 동향에서는 30여 곳의 방송국과 언론사가 연결 되어 있는 타켓형 광고 서비스링크를 통해 국내 주요 백신들에서는 감지 되지 않는 최종 악성코드를 대규모로 유포 하였고 최초 탐지 일시는 9월 28일 저녁 8시에 탐지가 되었습니다. 타켓형 광고 링크에 추가된 악성링크는 KISA로 전달 하여 피해를 예방하도록 하였으며 추석 연휴기간 동안 국내 주요백신에서는 탐지가 되지 않는 상태였고 10.4일 금일 확인 결과 다수의 국내 백신벤더에서 탐지가 됨을 확인 하였습니다. 즉시 백신 업데이트를 통해 악성코드 감염 여부를 확인 하시기를 당부 드립니다.


악성코드 유포에 이용된 타켓광고 링크는 xxx.xxxx.xxxx/xxx/js/ok.js 이며 해당 타켓광고 링크내에 포함 되었던 악성링크는 xxx.xxxx.co.kr/ad/ad.html 입니다. 현재 상태에서는 모두 이상이 없습니다만, 해당 악성링크만 제거 하는 식의 처방으로는 계속 재발될 것으로 판단 됩니다. 이미 권한을 가지고 백도어를 가지고 있을 것으로 강력 하게 의심되는 상황에서 눈에 보이는 것만 제거하는 것은 심각한 문제입니다.

또 다른 특징으로는 Korea를 특징한 DDos 공격 용도의 봇 에이젼트가 유포된 상태이므로 향후 피해 발생에 대해 주의를 기울여야 할 것입니다.

DDos 공격에 이용 되는 봇 Agent의 경우 9월2주차부터 지속적으로 유포되고 있습니다. 금주에 발견된 악성코드는 구글 크롬 브라우저로 위장하였고 C&C서버로 통신( http://ddos.t0539.com:888 888 port)을 하며 HTTP 웹 서버에 대해 Get flooding과 Post flooding DDoS를 공격할 수 있는 기능을 갖추고 있습니다.

해당 악성코드 내부에서 KOREA 라는 단어가 발견된 점으로 미루어 보아 국내를 대상으로 유포 및 공격 의사를 가지고 있는 것으로 판단 됩니다.

기존에 많이 이용되었던 Darkshell 같은 중국발 원격제어도구(RAT, Remote Administration tool)와 유사한 형태를 보이나 HTTP 서버를 대상으로만 하는 DDoS 공격 형태를 보아 HTTP 서버를 공격 목적으로 한 최신 DDoS 변종 악성코드인 것으로 확인됩니다.



<구글 크롬 브라우저로 위장한 악성코드>



<악성코드 내부 문자열 KOREA 포착>


오래 전부터 알려드린 대로 현재 공격자들은 악성코드를 유포하는데 여러 단계를 거친 다단계 유포 통로(MalwareNet)를 적극 활용하고 있습니다. 배너광고 사이트중 한 곳이 해킹을 당해 여러 매체에(유력 언론사 수십, 대형 커뮤니티, 대형 오픈마켓, 파일공유) 동시에 악성코드를 유포한 정황이 포착 되었습니다. 짧은 시간이었지만 광고 사이트에 들어간 링크가 수 많은 웹 사이트에 들어가 있던 점을(그것도 방문자 많은 사이트 중심으로) 상기한다면 수 많은 좀비 PC가 양산되었을 것으로 판단됩니다. 향후 중대한 사건/사고의 이면에는 지금까지 누적되어 있던 다양한 위험요소들이 결정적인 영향들을 미치게 될 것입니다. 사전에 위험을 줄이지 않는다면 감당하기 어려운 상황에 수시로 직면하게 될 것입니다.



9월 3주차에 이어 금주에도 PC에 설치되는 최종 악성코드 기능에 ARP 스푸핑을 통한 웹페이지 변조 후 <script language=JavaScript src=http://xxx.xxxxxxggas.net//tj.js> </script>를 삽입하는 형태가 발견 되었습니다. 같은 네트워크 PC중 단 한 대만 감염되더라도 같은 네트워크를 쓰고 있는 모든 PC들이 공격자가 변조한 웹 페이지로 접속하는 형태가 나타나므로 ISP 및 기업/기관에서는 해당 주소에 대한 모니터링 강화가 필요해 보입니다.


ARP 스푸핑을 이용하는 공격코드의 기능은 현재까지는 135, 445 포트를 통해 내부 IP 대역까지 검사하며 정상적으로 다운로드가 될 경우(xxx.xxxxxxmuli.com)122.225.112.xxx 에 감염PC의 맥어드레스와 PC이름을 보낸 후 Updateok라는 메시지를 보내어 공격자들은 감염된 PC에 대한 통계 정보를 끊임없이 수집하고 형태를 보이고 있습니다.


금주에 발견된 최종 악성코드의 특징으로는 분석방해를 위해 악성코드 분석에 사용되는 가상머신 여부를 확인하며, 악성코드 분석할 때 사용하는 디버거의 동작 여부를 확인하고 만약 확인이 되었을 시 악성코드 분석을 방해하기 위하여 블루스크린을 일으킴으로써 분석을 방해하고 적극적으로 회피하는 형태가 계속 발견 되고 있습니다. 다단계 유포통로 (MalwareNet)을 활용한 악성코드 유포 시도도 매우 활발 하였으며, 이제는 유포통로의 확산 이후의 과정인 적극적인 활용 단계에 돌입한 것으로 판정하고 있습니다. 백도어 및 루트킷 형태의 악성코드들도 다단계 유포통로를 이용하여 유포 된 정황이 발견 되었으므로 향후 추가적인 이슈 및 사건.사고 발생이 예상 되고 있습니다. 각 기업 및 기관에서는 주의가 필요합니다.


현재 빛스캔에서 탐지하는 유형은 단순히 이메일을 통한 타켓형 APT가 아닌 웹서비스를 방문하는 모든 방문자를 대상으로 한 대규모 유포이며, 확산도가 높아서 위험성이 높은 상태입니다. 따라서 기업/기관별로 인터넷 접근 시에 많은 보호대책을 적극 반영 하여 대응을 하셔야 할 것으로 보입니다.


기존 악성코드들의 분석 결과도 단순 게임계정 탈취에서 계속 변화하는 형태를 보이고 있어 앞으로의 변화를 가늠하기 어려운 상황입니다. 이미 농협의 사례를 통해 APT나 내부망을 공격 하는 악성코드가 가진 위험성과 파괴력은 충분히 경험을 한 상태이므로 현재 웹서비스를 통해 감염시도를 하는 악성코드 자체의 위험성은 높은 수준이라 할 수 있습니다.



금주 공격의 특징을 정리하면 다음과 같습니다.

  • 9월 2주차와 9월 3주차부터 지속적으로 DDoS 악성코드 유포 - 악성코드 내부 KOREA 발견된 점으로 미루어 보아 향후 국내를 대상으로 공격이 이루어질 가능성 농후
  • 광고 사이트 해킹 및 국내 유력 사이트들 대상으로(유력 언론사 수십 여곳, 대형 커뮤니티, 대형 오픈마켓, 파일공유) 악성코드 대규모 유포 시도

  • 9월 4주차 중국의 최대 명절인 중추절 연휴(29일~10월 1일)과 국경절 연휴(10월 1일~7일)이 맞물린 결과 악성링크 수치 감소, 전년 동기간 대비하여서는 대폭 증가된 수치임. ( 2011년 연휴시기엔 공격이 전무) 따라서 향후 지속적인 위험이 계속 될 것으로 예측됨
  • 8월 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가 ( 감염된 좀비PC들을 활용한 추가 위험이 발생 할 수 있는 상태)
  • APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔 , 추가 코드 다운을 위한 다운로더 다수 확인 지속
  • MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 
  • 3.4 및 7.7 DDos 형태와 유사성을 지니는 다운로더 발견의 급증 ( 긴장을 늦춰선 안되겠습니다. 당장이라도 발생 가능한 상황입니다. )
  • 최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨
  • 백신에 탐지 되지 않는 다운로더 백도어 형태의 악성코드 유포 계속
  • 게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속
  • 백신 업데이트 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨

* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5.6정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정이 되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 예상해 드린 대로 직접적인 ARP 스푸핑 공격코드 출현 하였으므로 피해 발생 예정입니다. 이 모든 것들은 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용입니다.



본 서비스에서 제공되는 정보들은 시일이 지날 수록 영향력이 계속 커질 수 밖에 없는 정보들에 대한 분석이 주된 내용입니다. 항상 한달 가량의 보고서 내용들을 살피시고 계속적으로 대응을 하시면 문제 부분을 줄일 수 있습니다. 모든 부분에 있어서 사후 대응 아닌 사전 대응으로 피해를 예방 하도록 하는 것이 핵심 입니다.



*MalwareNet ( 범위와 변화)


- MalwareNet: 공격자들이 공격효과를 높이고 탐지를 회피하기 위해 활용하고 있는 악성코드 유포 네트워크를 의미합니다. 일반적인 사이트에 악성링크를 직접 입력 하는 것이 아닌 몇 단계를 거친 링크들을 입력하여 추적을 회피하고 악성코드 유포 효과를 극대화 하기 위해 사용 되는 프레임을 MalwareNet으로 정의 하고 있습니다. 즉 단 한번 악성링크의 내용을 변경하면 최대 300에서 최소 10여 곳에 이르기까지 동시에 동일한 악성코드 유포가 발생 되는 상황을 나타내고 있습니다.


본 정보제공 서비스에서는 MalwareNet의 특성상 대규모 피해가 상시적으로 발생 될 수 있으므로 상위 리스트에 한해 부분 공개를 하고 있습니다.

MalwareNet 통해 영향력을 가지는 악성링크들은 탐지 회피를 위해 비정기적이고 수시로 변경됩니다. 차에서는 사후 대응으로는 탐지할 없는 형태인 MalwareNet 활용 사례를 살펴 보겠습니다. 공격자의 의도에 의해 조종당하고 있는 현실에서 대응 사전대응의 차이는 매우 차이를 가질 으며 , 선제적인 사전대응이 얼마나 중요한지 확인 있습니다.

MalwareNet 자체를 여러 곳 활용 하는 형태도 전주에 이어 계속 발견 되고 있으며, 2012년 2월에 최초 발견된 Malwarenet인 xxxx.xxxx.kr/main.htm 의 경우 현재 재활성화되어 적극적으로 이용이 되고 있는 상황입니다. 현재 시간에도 영향력을 유지하고 있으므로 대응이 필요하며 수시로 최종 악성코드들이 변경 되고 있어서 탐지 및 대응에 어려움이 있을 것으로 판단됩니다. 최종 악성코드들에 대한 탐지율도 높지 않아 항상 위험에 노출 되어 있는 상태라 볼 수 있습니다. 단기간에 대규모 유포망 구축을 하는 형태가 끊임없이 관찰이 되고 있습니다. 주중에는 통계정보를 수집하고 간헐적으로 공격에도 이용 되고 있는 형태를 보이고 있습니다. 전주에 이어 계속 증가되는 형태를 보이고 있으며, 주중에도 계속 활용 되고 있는 요주의 MalwareNet으로 알려 드립니다. 전주에 이어 계속 증가 추세를 보이고 있는 상황이라 향후 관찰에 집중을 해야 하는 MalwareNet 입니다. 평상시에는 해당 링크가 존재하지 않다가 공격 시점에만 활성화되고 있는데 이 점은 공격자가 해당 서비스에 대한 완벽한 권한을 행사하고 있음을 의미 합니다. 단순한 링크 삭제로는 해결책이 되지 않음을 염두에 두어야 할 것입니다.


*PCDS Impact Factor는 내부 수집된 체계에서 전파 범위를 고려한 내부 위험지수이며 MalwareNet의 추적과 영향도 추적을 위해 활용 되는 수치입니다. 높을 수록 은밀하면서도 파급력이 높은 상태라는 점을 의미하고 있습니다.





Impact 지수는 97을 나타내고 있으며, 다수의 MalwareNet을 또 하위 유포채널로 유지하고 있는 형태를 지니고 있어서 공격자는 단 한번의 변경만으로도 최소 90여 곳 이상의 웹서비스에서 동시에 동일한 악성코드를 배포할 수 있는 상태입니다.

현재의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있습니다. 기본적인 문제를 해결 할 수 있는 보안패치는 반드시 적용 해야만 위험을 줄일 수 있으니 반드시 기관/ 기업 내부적으로 강력한 권고가 되어야 합니다. Oracle Java취약성, Adobe Flash 취약성 , MS XML , Midi IE 취약성이 복합적으로 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

  • 기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다.또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하세요.
  • 기술 분석 보고서에 전체 URL이 공개된 국내 사이트들은 악성링크로 직접 이용 되거나 최종 악성코드가 다운로드 된 곳들의 주소는 여과 없이 공개가 되고 있으니 참고하시고 금주 차에는 언론사 및 국내 기업, 기관들의 주소가 직접 기술 되어 있습니다.
  • 기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있습니다. 현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 변화된 형태를 보이고 있으며 외부 도메인 연결과 업데이트를 통해 다른 형태로전환이 계속 되고 있습니다. – 8월 2주차 부터 관찰된 변화는 금주 차에도 계속 되고 있습니다.

PCDS 상에서는 최초 악성링크 탐지와 MalwareNet에 대한 추적, 최종 악성파일에 대한 수집까지 같이 운영이 되고 있습니다.

PCDS에 탐지된 내용을 바탕으로 하여 공격자들의 전략을 확인해 보면, 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있습니다. 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며, 때로는1시간에 한 번씩 최종 악성코드를 변경하는 지금의 상황에서 대응이 가능한 보안체계는 거의 없습니다. 백신은 백신만의 역할 부분이 있으며, 현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야 합니다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로, 대응적인 측면에서 한계를 보일 것으로 판단됩니다.




<빛스캔 PCDS를 활용한 동일 악성링크를 통해 배포된 최종 악성코드 변경 수집 내역>

* 최종 바이너리 수집의 경우 체크섬 값이 다르거나 변경이 되었을때 수집이 되도록 되어 있으며 위의 항목은 빠르면 30분 이내에도 최종 파일을 변경하는 형태를 직접 볼 수 있습니다. 이와 같은 악성코드들이 순식간에 수십여 곳의 서비스를 통해 즉시 감염을 시키고 있는 것이 현실입니다.


지금 분석되고 예상되는 모든 내용들은 지금 이 순간에도 발생 하고 있는 현실입니다. 사건이 발생 된 이후에는 돌이키기 어렵듯이 사전 탐지와 사후 대응은 전혀 다른 범위입니다. 사전에 얼마나 대응을 하느냐가 가장 중요하며, 빠른 정보를 확보하여 대규모로 유포된 악성코드에 대응 할 수 있도록 사후대응 측면에서도 현재 수준 보다는 강도 높은 방안들이 절실히 요구됩니다.


*게임 계정 탈취 및 백신 Kill , 게임 머니 및 아이템 거래 사이트 계정탈취 계속

* 본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다. 모든 기능은 BHO 관련된 공격에 연관 되어 있으며 해당 문제들은 이전 보고서에 첨부된 BHO 공격에 대한 전문분석 자료를 참고 하세요. ( 정식구독 기업/ 기관 대상)신규 가입 및 최근가입으로 인하여 전문분석 보고서를 받지 못한 곳들은 본 메일로 회신을 주시면 전달 드리겠습니다.


금주에 신용정보 조회, 아이템 매니아, 아이템 베이 사이트까지 계정 탈취 기능이 추가 되었습니다. 신용정보 조회 사이트에서 자신의 신용정보를 검색하다가는 자신의 개인정보가 노출될 수도 있습니다. 또한 아이템 매니아, 아이템 베이 사이트는 온라인 게임 아이템 거래 사이트입니다. 게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있습니다. 돈이 되는 곳은 모두가 대상이 되어 있는 상태입니다. 다른 모든 기기와 장비들에서도 금전화가 가능한 순간부터 현재의 공격 수준은 그대로 확장이 될 것입니다. 아직은 때가 안되었을 뿐입니다.


분 류

프로세스명

프로그램명

백 신

sgbider.exe, vcsvc.exe, vcsvcc.exe

바이러스체이서

NVCAgent.npc, Nsvmon.npc, Nsavsvc.npc, NVC.npc, NaverAgent.exe

네이버백신

V3sp.exe, V3svc.exe, V3up.exe, MUpdate2.exe, SgSvc.exe, Sgui.exe,

SgRun.exe, InjectWinSockServiceV3.exe,

V3Light.exe, V3LTray.exe, V3Lsvc.exe, V3LRun.exe

AhnLab V3

AhnLab V3 Lite

AhnLab SiteGuard

AYUpdSrv.aye, AYRTSrv.aye, SkyMon.exe,

AYServiceNT.aye, AYupdate.aye, AyAgent.aye

알약 (ALYac)

avp.exe

Kaspersky

avgnt.exe, avcenter.exe, avguard.exe, avscan.exe, avupgsvc.exe

Avira AntiVirus

avwsc.exe, AvastSvc.exe, ashUpd.exe, AvastUI.exe

avast!

shstat.exe, Mctray.exe, UdaterUI.exe

McAfee

msseces.exe

MSE

egui.exe, ekrn.exe

ESET NOD32

ccSvcHst.exe, Navw32.exe

Symantec Norton

updatesrv.exe, vsserv.exe, seccenter.exe, bdagent.exe, bdreinit.exe

BitDefender

avgam.exe, avgemc.exe, avgnsx.exe, avgrsx.exe

avgfrw.exe, avgwdsvc.exe, avgupd.exe

AVG

PCOTP.exe

넥슨 OTP

게 임

gamehi.co.kr

게임하이

hangame.com, id.hangame.com

한게임

laspoker.exe

한게임 라스베가스포커

duelpoker.exe

한게임 맞포커

hoola3.exe

한게임 파티훌라

highlow2.exe

한게임 하이로우

poker7.exe

한게임 7포커

baduki.exe

한게임 로우바둑이

ExLauncher.exe, TERA.exe, tera.hangame.com

테라

netmarble.net

넷마블

pmang.com

피망

ff2client.exe, fifaonline.pmang.com

피파 온라인2

Raycity.exe

레이시티

www.nexon.com, login.nexon.com

넥슨

df.nexon.com, dnf.exe

던전 앤 파이터

DragonNest.exe, dragonnest.nexon.com

드래곤 네스트

baramt.exe, WinBaram.exe, baram.nexon.com

바람의 나라

mabinogi.nexon.com, heroes.nexon.com, heroes.exe

마비노기 영웅전

MapleStory.exe, maplestory.nexon.com

메이플 스토리

x2.exe, elsword.nexon.com

엘소드

dk.halgame.com, dkonline.exe

DK 온라인

clubaudition.ndolfin.com

클럽 오디션

www.capogames.net, samwinfo.capogames.net

삼국지w

fairyclient.exe

로한

plaync.co.kr

엔씨소프트

bns.plaync.com

블레이드 & 소울

lin.bin

리니지

AION.bin, aion.plaync.jp

아이온

kr.battle.net

블리자드 배틀넷

wow.exe

월드 오브 워크래프트

Diablo III.exe

디아블로III

게임 머니&

게임 아이템

&문화상품권

www.booknlife.com

북앤라이프

www.cultureland.co.kr

컬쳐랜드

www.happymoney.co.kr

해피머니

www.teencach.co.kr

틴캐시

auth.siren24.com

신용정보 조회

itemmania.com

아이템 매니아

www.itembay.com

아이템 베이



*차단 권고 대역


아래 영역은 이미 공격자가 권한을 통제하고 있는 IP역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다.기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각 기관 및 기업별 검토 필요)차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다. 악성링크에 이용 되는 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해 강력한 차단을 유지하실 것을 권고 합니다.

* 기술 분석 보고서에는 별도의 차단 대역들이 존재하니 참고 하시고 사안별로 모니터링 및 차단에 적극 활용 바랍니다.

* 국내 통신사의 경우 C Class가 아닌 직접 IP를 등록 하였으며 이미 공격자가 권한을 가진 상태에서 악성코드 유포 경로로 직접 활용하고 있는 상태여서 제한적인 차단이 필요하며, 업무와 연관성이 있는지 여부는 각 기업 및 기관에서 잘 판단 하셔서 차단에 활용 하시기 바랍니다. 9월 4주차부터 차단 권고 대역은 최근 1~2개월을 기준으로 전달 드리도록 하겠습니다. 이전의 차단 목록이 필요한 기업 및 기관은 info@bitscan.co.kr로 요청해 주세요.


* 전체 차단이 필요한 영역중 하나만 예시로 브리핑에서 제공 합니다.




- 205.209.145.x

 DCS Pacific Star, LLC (California, USA) 9/4




*악성코드 감염 이후 접속 URL - 차단 및 모니터링 필요한 부분


본 내용은 악성코드가 PC에 감염된 이후에 외부로 연결 시도를 하고 명령을 받는 주소들입니다. C&C 연결을 시도하는 봇넷과 같은 개념으로 볼 수 있습니다. C&C 서버의 차단과 관련된 핵심적인 내용입니다. 차후 별도 차단 서비스를 기획하고 있으며 해당 내용은 별도 서비스 확산 시에 보고서 상에서만 일부 제공 될 예정입니다. 실험적으로 Outbound 연결 시에 Destination IP가 본 URL일 경우는 100% 좀비 PC백도어,루트킷 등에 감염된 것이므로 직접 내부망에서 감염된 좀비 PC를 찾아내는 것이 가능해 집니다. 기술 분석 보고서 내에는 추가적인 차단 정보들이 존재함으로 확인 하시고 적용 하시는 것이 필요합니다.


 http://ddos.t0539.com:888 -즉시차단 권고 ( DDoS C&C 서버 주소)


실제 보고서 및 메일에는 50여개의 연결 URL 및 IP 정보들이 언급 되어 있습니다.

브리핑에서는 예시로 핵심적인 하나만 언급 합니다.


현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 금주의 총평으로는 한국을 대상으로 한 것이 명백한 DDoS 공격용 Agent 발견, 타켓 광고 링크를 이용한 순간적인 악성코드 대규모 유포 이슈 (방송국 및 언론사 다수),3.4 7.7 DDoS 공격 형태의 업데이트 패턴 관찰 계속됨, 대규모 유포체계의 다수 활용, 마지막으로 전년 대비 이상증세를 보이고 있는 추석 연휴의 공격 (전년 동기간 대비 급증) 입니다.

추석연휴에도 공격이 지속 되었다면 향후 공격의 강도는 더욱 거세질 것으로 판단되며, 최종 악성코드가 단순한 게임계정 탈취만이 아닌 다른 유형으로 계속 발견 되고 있어서 위험은 계속 되고 있습니다. 2년 이상을 온라인상에서 꾸준히 공격을 시도하고 있는 공격자들을 모니터링 한 결과에 따르면 공격기법과 기술은 한 주가 다르게 변화하고 진화하고 있습니다. 그 반면에 대응 기술 측면에서는 발전은 지지부진함을 보이고 있습니다. 공격은 적극적인 유포망 확대, 감염 기술의 고도화, 최고 공격기법들의 즉시적인 실전투입으로 귀결이 됩니다.



빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보 , 최종 악성파일 보관 , 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

감사합니다.






*본 정보제공 서비스는 공개, 재배포 금지( 내부에서만 활용), 비영리 목적으로만 가능합니다.

공익적인 목적으로 기관에 제공 되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.

*시범 서비스는 순차적으로 1개월 경과 종료 됩니다. 4 이상을 보고서를 받으셨다면 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.

* 정식 구독 서비스 가입 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다. 서비스의 권리는 빛스캔에 있으므로 공개적 활용 영리적 목적으로 활용 하실 없습니다.

* 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre crime detect system) 통해 수집하며, 악성링크 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.


Posted by 바다란

빛스캔과 KAIST 사이버보안연구센터에서 공동 운영하는 보안정보 제공 서비스 8 4주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS( Pre Crime Detect System )의 탐지역량과 KAIST 정보보호대학원사이버보안센터의 분석역량이 결집된 분석 보고서입니다매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

 

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며공격 형태의 변화에 따라대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다.

본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.

 

1.      악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

2.      악성링크가 공격에 활용에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 – 패치

3.      내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

 

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.

 

* 본 브리핑은 중요 정보들이 제외된 상태에서 위협 동향을 파악 할 수준에서 공개 되고 있습니다. 정식 서비스 및 시범 서비스를 받으시면 필터링 되지 않은 다수의 차단 IP와 URL 정보 및 중요 데이터들이 그대로 전달이 됩니다.  Java 제로데이 전문 분석은 차주 제공 예정이며, 경우에 따라 국내 및 해외에 공개 될 예정입니다.



 
금주의 큰 특징은 자바 취약성만을 공격하는 취약성 공격 세트 조합이 대량으로 활용이 되었고 또한 제로데이 공격코드 까지도 직접 활용이 된 것으로 확인 되었습니다. 웹 서비스 방문자를 대상으로 직접 유포 시도가 된 것이라 피해는 클 것으로 예상 됩니다. Java의 특성상 크로스 플랫폼이므로 다양한 곳에서 문제가 발생 될 수 있으나 현재 발견된 것들은 윈도우 플랫폼만을 대상으로 한 상태입니다.
 
8월 24일(금)을 기점으로 최신 자바 버전의 제로데이 취약점을 이용하는 대량의 공격이 출현 하였고, 자바 최신버전인 Java 7 update 6에서도 동작되는 것으로 확인 되었습니다. 29일 현재까지 벤더사(오라클)에 의한 보안패치가 제공되고 있지 않으며 패치 일정도 나오지 않은 상황이라, 당분간 자바 제로데이의 파급 효과는 계속 심각해질 것으로 예상 되고 있습니다. 현재 CVE 번호는 CVE-2012-4681로 지정 하고 있습니다. 사용자는 자바 애플릿이 포함된 웹 페이지 방문 시 특히 주의를 기울이고, 다음에 소개된 각 브라우저 별 자바 애플릿 보안 기능을 설정하여 피해를 최소화 할 수 있도록 하여야 감염으로부터 안전 할 수 있습니다.

예상한 것과 같이 자바 애플릿관련 취약점은 힙 스프레이(Heap Spray)와 같은 부가적인 공격기법을 필요로 하지 않고 단순히 자바 JRE에만 의존적이기 때문에 공격자 측면에서 손쉽게 악성코드를 유포시킬 수 있다는 장점을 가지고 있습니다.








                    <당사 PCDS에서 Java 제로데이(CVE-2012-4681) 대응 현황>


최초로 발견된 시점은 24일 저녁 8시 경이며, 동적 분석을 통해 분석된 자료를 바탕으로 큐브디펜스(악성코드유포지 차단장비)에 업데이트되어 대응이 된 것을 볼 수 있습니다. 또한 익스플로잇과 악성코드(바이너리)를 추가 분석 하여 새로운 제로데이 취약점임을 확인하고 Oracle/MITRE에 대규모 공격에 이용 당하고 있다는 메시지와 악성코드, 공격 기법을 첨부하여 이메일로 통지 하였습니다.

당사의 PCDS(Pre-Crime Detect System)에서 모니터링 결과 악성코드를 유포하는 악성링크가 삽입된, 즉 해킹된 사이트가 최소 69곳으로 확인되고 있으며, 해당 사이트들은 대부분 언론, P2P, 커뮤니티 사이트로 적어도 하루에 수 천명 이상 방문하는 것으로 예상되며, 이를 통해 적어도 상당한 수치의 사용자 PC가  피해를 입었을 것으로 추정됩니다.



 

<Java 제로데이(CVE-2012-4681) 일부 공격코드>
 
분석 결과, 취약점은 sun.awt.SunToolit 클래스의 getField 메소드를 통해 JAVA Security Manager를 우회하는 방법을 통해 코드를 실행시키는 것으로 확인 되었습니다.
 
각 브라우저별 대책은 다음과 같습니다.

∎ MS Internet Explorer

[도구]-[인터넷 옵션]-[보안]-[사용자 지정 수준]-[스크립팅]-[Java 애플릿 스크립팅]을 ‘사용 안 함’으로 선택

∎ Mozilla Firefox

[도구]-[부가 기능]-[플러그인]-[Java(TM) Platform SE]을 ‘사용 안 함‘으로 선택

∎ Google Chrome

[도구]-[설정]-[고급]-[컨텐츠설정]-[플러그인] – 개별 플러그인 사용 중지 선택 후 Java 사용 중지

※ 자바 제로데이 취약점의 상세분석 내용은 향후 발간될 KAIST CSRC 전문분석보고서를 통해 확인할 수 있습니다.

 

현재 공격적인 정보 수집 형태를 가지고 있는 악성코드 출현 비율이 높은 상태를 보이고 있으며, 추가 공격시도를 위한 다운로더 형태의 악성코드 발견이 급증한 형태를 계속 유지하고 있습니다. 향후 추가적인 변화와 위험들이 곧 나타날 것으로 보이며, 위험성이 계속 높은 상태를 유지하고 있는 것으로 판단 됩니다. 8월 4주차 전체적으로는 신규 악성링크 감소, 악성코드 유형 감소와 같이 전체적으로 공격이 감소한 상황을 보이고 있습니다. 다만 Java 제로데이 코드의 직접적인 활용과 8월 3주차에 루트킷과 백도어 유형이 대거 유포 되었던 사이트들은 금주 차 공격에서 추가적인 활동이 없었던 것으로 보아 감염된 PC들을 활용한 추가적인 이슈가 발생 될 수 있으므로 주의가 필요합니다.

 

금주 차에도 소규모 이지만 원격에서 사용자의 원격화면 정보내부 파일캠 실행 등을 직접 제어할 수 있는 Gh0st RAT(Remote Administration Tool) 유형의 악성코드 유포가  감지 됐고 향후 정보 유출이나 내부망 침입 및 ARP 스푸핑 증가로 인한 현상들이 나타날 것으로 예상 되고 있습니다. 8월 3주차의 루트킷 유형의 대규모 유포와 8월 4주차의 Java 제로데이 취약성의 대규모 활용은 여러 의미가 있으며, 위험성이  높으므로 여러 유관기관들의 적극적인 대응이 필요한 시점입니다.


본 보고서에서 언급하는 APT나 루트킷 유형은 단순히 이메일을 통한 타켓형 APT가 아닌 웹서비스를 방문하는 모든 방문자를 대상으로한 대규모 유포이며, 확산도가 높아서  위험성이  높은 상태입니다. 따라서 기업/기관별로 인터넷 접근 시에 많은 보호대책을 적극 반영 하여 대응을 하셔야 할 것으로 보입니다금주에 발견된 APT 유형의 악성코드는 올해 초에 많이 발견 되었던 형태이며기본기능으로 감염 컴퓨터의 보안정책을 비활성화 시키고, 취약한 서비스를 실행시켜 공격이 가능하도록 구성 되어 있습니다.

 

 

기존 악성코드들의 분석 결과도 단순 게임계정 탈취에서 변화하는 형태를 보이고 있어 앞으로의 위험성을 가늠하기 어려운 것이 지금의 현실입니다이미 농협의 사례를 통해 APT나 내부망을 공격 하는 악성코드가 가진 위험성과 파괴력은 충분히 경험을 한 상태이므로 현재의 위험성은 높은 수준이라 할 수 있습니다.


8/1주차에 언급 되었던 Mass SQL Injection 공격은 계속 되고 있으며추가적으로 악성링크 자체에 IP 대역에 따라 접근을 거부하는 코드가 적용 되어 있어서 분석 및 탐지를 회피하고 있습니다본 유형의 공격코드들은 모두 Java 취약성인 CVE 2012-1723 취약성을 활용하고 있는 것으로 분석 되고 있습니다. 향후 악성코드 유포자 측면에서 적극적인 접근 제어를 통해 분석 및 탐지 회피를 시도할 가능성이 있어서 실제 악성코드의 분석과 탐지에 어려움이 많아질 것으로 예상됩니다.

 

최상위 단계의 악성링크를 탐지하는 빛스캔 보다는 주요 사이트 모니터링을 통해 최종 악성코드 탐지 및 분석을 하는 주요 기관 및 기업 ( 백신기존 보안제품들측면에서 더 문제가 될 부분이므로 본 정보 제공 서비스에서 알려 드리는 내용을 감안하여 대응 하시기 바랍니다.



금주 공격의 특징을 정리하면 다음과 같습니다.

  • 자바 제로데이 취약점(CVE-2012-4681) 이용하는 공격 출현 및 Java 만을 공격하는 공격 Set 활용 증가
  • 게임계정 탈취를 위한 악성코드의 변화 감지 ( IP 대역 스캔 기능 이외)
  • 8월 3주차에 대규모 유포가 이루어졌던 루트킷, 백도어 유형의 경우 금주 차 활동 미미 – 부가적인 위험 증가 ( 감염된 좀비들을 활용한 추가 위험이 발생 할 수 있으며, 전주 유포지로 이용 되었던 곳들은 금주 공격이 미미한 상태)
  • APT 형태의 악성코드 유포 확대 - 권한 획득내부망 스캔 , 추가 코드 다운을 위한 다운로더 다수 확인
  • 8 1째주에 언급한 Mass SQL i 전세계적인 공격(한국오스트레일리아러시아미국 ) 출현  다양한 악성링크 활용xxxx.nu/sl.php 형태 계속
  • 6 1주차 언급된 거대 MalwareNet의 재활성화 (www.sxxxx.com/school02/flash/view.js)
  • MalwareNet의 활성화 ( 5~20 규모의 신규 Malwarenet 출현   계속됨)
  • 최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 계속
  • 백신에 탐지 되지 않는 다운로더  백도어 형태의 악성코드 유포 계속 
  • 게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속 발견
 

최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5.6월 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정이 되며이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 근 시일 내에 ARP Spoofing에 의한 피해도 언급이 될 것임을 알려드리며 이 모든 것들은 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용이 될 것입니다.

 

본 서비스에서 제공되는 정보들은 시일이 지날 수록 영향력이 계속 커질 수 밖에 없는 정보들에 대한 분석이 주된 내용입니다항상 한달 가량의 보고서 내용들을 살피시고 계속적으로 대응을 하시면 문제 부분을 줄일 수 있습니다모든 부분에 있어서 사후 대응 아닌 사전 대응으로 해를 예방 하도록 하는 것이  핵심 입니다.


 



현재의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있습니다기본적인 문제를 해결 할 수 있는 보안패치는 반드시 적용 해야만 위험을 줄일 수 있으니 반드시 기관기업 내부적으로 강력한 권고가 되어야 합니다.

Oracle Java 취약성, Adobe Flash 취약성 , MS XML , Midi  IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

 

  • 자바 제로데이 취약점은(CVE-2012-4681) 현재 패치가 없으므로 임시적으로 Java 애플릿을 사용하지 않도록 설정 하여야 합니다.
    서두에 언급된 각 브라우저 별 대책을 선별하여 적용 하시기 바랍니다.

  •  MS XML (CVE 2012-1889) 취약성의 경우 업데이트를 하지 않은 분은 반드시 업데이트를 적용 하시기 바랍니다.

          참고 내용:http://technet.microsoft.com/ko-kr/security/bulletin/MS12-043

  • 7 3주차부터 사용률이 급상승한 Java 취약점인 CVE-2012-1723 도 반드시 패치를 하시기 바랍니다금주에는 1723만 단독으로 사용된 것들이 많이 포착되었습니다반드시 업데이트를 적용하시기 바랍니다.

          참고 내용http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html )

  • 기술분석 보고서에 기술된 루트킷 및 키로거백도어 기능을 가진 악성코드들은사용자 PC의 드라이버 및 시스템 파일 교체윈도즈 서비스 등록 등을 실행하고내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하세요.


기술 분석 보고서에 전체 URL이 공개된 국내 사이트들은 악성링크로 직접 이용 되거나 최종 악성코드가 다운로드 된 곳들의 주소는 여과 없이 공개가 되고 있으니 참고하시고 금주 차에는 언론사 및 국내 기업기관들의 주소가 직접 기술 되어 있습니다.

 

*  기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있습니다.  현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 변화된 형태를 보이고 있으며  외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 계속 되고 있습니다. – 8월 2주차 부터 관찰된 변화는 금주 차에도 계속 되고 있습니다.

 


 

지금 분석되고 예상되는 모든 내용들은 당장 발생되고 있는 현실입니다사건이 발생 된 이후에는 돌이키기 어렵듯이 사전 탐지와 사후 대응은 전혀 다른 범위입니다사전에 얼마나 대응을 하느냐가 가장 중요하며,빠른 정보를 확보하여 대규모로 유포된 악성코드에 대응 할 수 있도록 사후대응 측면에서도 현재 수준 보다는 강도 높은 방안들이 절실히 요구됩니다.



 

게임 계정 탈취  백신 Kill 항목게임 머니  문화상품권 탈취 유형 계속 ( BHO )

 

본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다모든 기능은 BHO 관련된 공격에 연관 되어 있으며 해당 문제들은 이전 보고서에 첨부된 BHO 공격에 대한 전문분석 자료를 참고 하세요. ( 정식구독 기업기관 대상 )신규 가입 및 최근 가입으로 인하여 전문분석 보고서를 받지 못한 곳들은 본 메일로 회신을 주시면 전달 드리겠습니다.

 

프로세스명

프로그램명

백 신

sgbider.exe, vcsvc.exe, vcsvcc.exe

바이러스체이서

NVCAgent.npc, Nsvmon.npc, Nsavsvc.npc, NVC.npc,

NaverAgent.exe

네이버백신

V3sp.exe, V3svc.exe, V3up.exe, MUpdate2.exe, SgSvc.exe,

Sgui.exe, SgRun.exe, InjectWinSockServiceV3.exe

V3Light.exe, V3LTray.exe, V3Lsvc.exe, V3LRun.exe

AhnLab V3

AhnLab V3 Lite

AhnLab SiteGuard

AYUpdSrv.aye, AYRTSrv.aye, SkyMon.exe,

AYServiceNT.aye, AYupdate.aye, AyAgent.aye

알약 (ALYac)

avp.exe

Kaspersky

avgnt.exe, avcenter.exe, avguard.exe, avscan.exe,

avupgsvc.exe

Avira AntiVirus

avwsc.exe, AvastSvc.exe, ashUpd.exe, AvastUI.exe

avast!

shstat.exe, Mctray.exe, UdaterUI.exe

McAfee

msseces.exe

MSE

egui.exe, ekrn.exe

ESET NOD32

ccSvcHst.exe, Navw32.exe

Symantec Norton

updatesrv.exe, vsserv.exe, seccenter.exe,

bdagent.exe, bdreinit.exe

BitDefender

avgam.exe, avgemc.exe, avgnsx.exe, avgrsx.exe

avgfrw.exe, avgwdsvc.exe, avgupd.exe

AVG

PCOTP.exe

넥슨 OTP

게 임

gamehi.co.kr

게임하이

hangame.com

한게임

laspoker.exe

한게임 라스베가스포커

duelpoker.exe

한게임 맞포커

hoola3.exe

한게임 파티훌라

highlow2.exe

한게임 하이로우

poker7.exe

한게임 7포커

baduki.exe

한게임 로우바둑이

ExLauncher.exe, TERA.exe

테라

netmarble.net

넷마블

pmang.com

피망

ff2client.exe

피파 온라인2

Raycity.exe

레이시티

df.nexon.com, dnf.exe

던전 앤 파이터

DragonNest.exe, dragonnest.nexon.com

드래곤 네스트

WinBaram.exe, baram.nexon.com

바람의 나라

mabinogi.nexon.com, heroes.exe

마비노기 영웅전

MapleStory.exe

메이플 스토리

x2.exe

엘소드

dk.halgame.com, dkonline.exe

DK 온라인

clubaudition.ndolfin.com

클럽 오디션

www.capogames.netsamwinfo.capogames.net

삼국지w

fairyclient.exe

로한

lin.bin

리니지

AION.bin

아이온

kr.battle.net

블리자드 배틀넷

wow.exe

월드 오브 워크래프트

Diablo III.exe

디아블로III

게임머니&문화상품권

www.booknlife.com

북앤라이프

www.cultureland.co.kr

컬쳐랜드

www.happymoney.co.kr

해피머니

www.teencach.co.kr

틴캐시

 

 

*금주 공격에 사용된 취약성 비율

 

상세 분석 진행에 따라 취약성 판정 비율이 일정 부분 달라지고 있습니다만 큰 흐름은 차이가 없습니다공격이 많이 복잡한 형태를 띄고 있어서 정확한 CVE 판정이 어려운 상황은 계속 되고 있습니다.





전주 대비 대거 감소한 내역을 볼 수 있으며 Java 관련 제로데이 공격이 높은 빈도로 사용 되고 있음을 볼 수 있습니다. 현재 한국 인터넷을 위협하는 공격자들은 세계적 수준의 역량을 보유 하고 있으며, 한국은 그 대상이 되어 있는 상태입니다.


 CVE-2012-1889 (MS XML 취약점) 
-
 http://technet.microsoft.com/ko-kr/security/bulletin/MS12-043

 CVE-2012-1723 (Java Applet 취약점)
-
 http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html

 CVE-2012-0754 (Flash 취약점) 
-
 http://www.adobe.com/support/security/bulletins/apsb12-03.html

 CVE-2012-0507 (Java Applet 취약점)
-
 http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html

 CVE-2011-3544 (Java Applet 취약점)
-
 http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html

 CVE-2011-2110 (Flash 취약점)
-
 http://www.adobe.com/support/security/bulletins/apsb11-18.html

 CVE-2011-1255 (MS Internet Explorer 취약점)
-
 http://technet.microsoft.com/ko-kr/security/bulletin/ms11-050


CVE

8월 4주(건)

8월 3주(건)

전주 대비 증가(건)

CVE-2012-1889

10

44

▼34

CVE-2012-1723

18

35

▼17

CVE-2012-0507

18

30

▼12

CVE-2011-3544

19

33

▼14

Zero-day Vulnerability

17

0

▲17


취약성 비율을 살펴 보면 XML 서비스에 대한 공격은 여전히 유효한 것으로 판단 되고 있습니다. 또한 1723,0507,3544, Zeroday 공격과 같은 Java에 대한 공격이 같은 세트로 활용 되는 것으로 관찰 되어 Java 관련된 취약성의 해결에  높은 수준의 주의가 필요합니다.

 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다또한 어떤 방식으로든 빛스캔의 악성링크 탐지와 분석 내용에 대해서 인지를 일부 하고 있는 것으로 판단 됩니다한 금주의 총평으로는 자바 제로데이와 자바 관련된 공격세트의 확산, 루트킷 유포에 따른 추가 적인 피해 발생 우려라 할 수 있습니다.

 

빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보 , 최종 악성파일 보관 , 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 논의 하도록 하겠습니다. (info@bitscan.co.kr)

 

감사합니다.


 

*본 정보제공 서비스는 공개, 재배포 금지내부에서만 활용), 비영리 목적으로만  가능합니다.

공익적인 목적으로 기관에 제공 되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.

 

*시범 서비스는 순차적으로 1개월 경과  종료 됩니다. 4 이상을 보고서를 받으셨다면  이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다. KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능합니다해당 서비스의 청은csyong95@kaist.ac.kr  신청 하시 됩니다.

 

정식 구독 서비스 가입  시범 서비스 신청은 info@bitscan.co.kr 이며 기관명담당자연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다 서비스의 권리는 빛스캔에 있으므로 공개적 활용  영리적 목적으로 활용 하실  없습니다.

 

 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre crime detect system) 통해 수집하며악성링크  악성코드 분석은 KAIST 사이버보안연구센터정보보호대학원과 공동으로 진행합니다.

Posted by 바다란