태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.




안녕하세요. 전상훈입니다.


금주의 동향에 대해 총평을 하면 전주 대비 사용자가 직접 노출되는 유포지 수치는 대폭 증가된 형태를 보이고 있습니다. 활발하게 악성코드 유포를 시도하고 있으며 전주까지 사용 되었던 악성링크도 대거 재활용이 되고 있는 상태로서 신규 악성코드 또한 증가된 현황을 보이고 있습니다.
공격을 당한 곳들도 증가하고 있으며 전주에도 언급 하였지만 위협이 줄어든 것이 아니라 대응이 되지 않는 상태이다 보니 계속적인 악성링크의 재활용과 신규 유형들이 유입이 되고 있습니다.

전주까지 확연하게 증가추세를 보였던 Java Applet 취약성 ( CVE 2012-0507, 2011-3544)은 계속 진행 되고 있으며 금주의 공격 부분에는 Flash 취약성 (CVE-2012-0754) 공격코드들도 증가를 하고 있습니다. 

현재의 상태로 보면 운영체제에 대한 직접적인 취약성 공격은 빈도가 약해지고 있으며 상대적으로 보안대응이 늦을 수 밖에 없는 Third party application에 대한 공격비율이 매우 높은 것을 볼 수 있습니다. 운영체제의 경우 자동업데이트등을 이용하여 보안성을 일정수준 이상 유지 할 수 있으나 현재까지는 Third party 제품군에 대한 자동업데이트는 그리 활발하지 않은 상황이라 공격 비율이 높아 보입니다.

사내 및 관련부서에 Adobe의 Flash 및 Oracle Java 관련된 취약성의 업데이트를 강력하게 권고를 하셔야 될 상황이며 향후에도 계속적인 관리 포인트를 두셔야 할 것입니다.  Flash 최신 버전의 경우에는 자동업데이트 지원이 되고 있으므로 적용을 권고하고 패치가 매우 늦은 Oracle의 경우는 즉시적인 권고를 통해 바로잡아야 합니다. 

모든 내부사용자가 인터넷을 이용하지 않는다면 문제가 되지 않습니다만, 현재의 상황은 불가능한 상황이므로 인터넷 상에서 노출되는 위험으로 부터 보호 할 수 있는 방안을 자체적으로 강구해야만 하는 상황입니다. 상대적으로 보안성이 강력한 사이트의 경우에도 배너 및 태그 광고등을 통해 악성코드들이 지속적으로 유입되고 있습니다.  짧게 노출 시키는 것을 계속 반복하는 상황이며 광고의 특성상 수십여개 이상의 사이트에서 동시에 악성코드 유포 효과를 볼 수 있는 형태라 강도높은 주의가 필요합니다.


특징: 

- 백신 미탐지 악성코드 유형 대거 출현 (국내외 막론하고 동일합니다.)
- CVE 2012-0507 , CVE 2011-3544 ( Java Applet 신규 취약성) 공격 지속 및 CVE 2012-0754 (Flash 취약성) 공격 증가 
- 해외 호스팅 영역을 통한 IP 변경된 공격 지속 및 대학 서비스 중계지 활용 계속
- APT 유형의 드라이버 루트킷 재출현 ( 감염이후 192.168. 대역에 대한 스캔 및 확인 기능) , 국내외 유명게임들의 다수 계정 탈취
- 이전 출현 하였던 악성링크의 재활용 계속 증가 ( 심각한 상황입니다.)
- 배너, 태그 광고 링크에 대한 공격 지속  ( 태그 광고 1곳, 배너광고 2곳 이상)
- Mass sql injection  최초 유형 발견 2곳 시작됨 ( 5.8일 skdjui.com/r.php , 5.13일 koklik.com/r.php )
     
Mass sql 공격 관련 정보는 http://www.symantec.com/connect/blogs/lizamoon-mass-sql-injection-tried-and-tested-formula 이곳을 참고 하시면 됩니다.
국내에도 빠르게 확산 되고 있으며, 2012-0507 유형이 같이 사용 되고 있으므로  사내의 임직원들에게 강력한 보안 패치 정책을 권고 해야 합니다. 

4월 3주차 보고서에서도 웹을 통한 루트킷 ( APT 유형) 유형의 유포에 대해 알려 드렸습니다만, 보다 강화된 형태로 재출현 하였습니다. 시스템상의 드라이버를 교체하는 형태로 루트킷이 설치가 되고 있어서 사후 대응 및 처리에도 상당한 어려움이 있을 것으로 보입니다. 또한 내부 사설망을 스캔하는 형태가 발견 되어 의도가 매우 의심스러운 유형이 유포가 되고 있습니다.  키로깅 이외에 화면 캡쳐 및 녹음기능을 포함한 악성코드 유형도 발견 되었으므로 강도높은 주의가 필요합니다.
각 기술보고서에는 외부 연결 시도를 할 경우 해당 도메인이나 IP가 각각 기술이 되어 있습니다. 해당 정보 참고하여 추적 및 대응에 참고 하실 수 있습니다.

내부망의 사용자 PC가 한대라도 권한 획득을 당했을 경우 그 위험성은 충분히 인지하고 계실 것으로 알고 있습니다. 다양한 대책을 통해 위험을 계속 줄여 나가는 것이 현재 할 수 있는 가장 중요한 일이 아닐까 생각 됩니다.

 
APT 유형의 악성코드 이외에 게임계정을 노리는 악성코드들이 다수 발견이 되었으며 해당 악성코드들은 윈도우즈 시스템의 시스템 DLL 파일을 변조하여 패킷 전송 시점에 정보를 가로채는 형태로 되어 있습니다. 현재 변조되는 dll은 windows socket 관련된 dll인 ws2help.dll과 safemon.dll 을 대상으로 악성기능을 하도록 변조하고 있으며 대상이 되는 게임들은 국내외 유명게임을 모두 막라하고 있으며 백신 프로세스에 대한 종료코드들도 같이 동작되고 있는 상태입니다.

대상게임: 엔씨 -리니지 , 한게임 -테라 , 넥슨 -메이플스토리,엘소드, 블리자드-와우, CJ인터넷 - 피파온라인, 네오플-던파 


대응:


 - Java 및 Flash 취약성 공격 코드 증가에 따라  Adobe Update 및 Oracle Java 업데이트 강력 권장
- 해외 호스팅 영역 . 4월 3주,4주,5주차,5월 1주차 차단 권고 영역 유지 필요. - 이전 활용된 악성링크들이 계속 재활용 되고 있습니다.
추가 차단 클래스는 다음과 같습니다. 해당 클래스들은 공격자가 전체 제어권을 가지고 있어서 지속적으로 공격에 활용할 곳으로 예정 되고 있습니다. 차단이 필요한 상황입니다. 주중에도 상시적으로 이용이 되고 있으므로 차단은 강력하게 필요합니다.
 

           205.164.7.[66-75] (USA)  - 5월 2주차 추가         
           50.117.119.0/25
            67.213.211.0/25 
  1. 211.100.253.0/24 (China)
  2. 205.164.0.0/24 (USA)
  3. 69.4.224.0/24 (USA)
  4. 209.73.156.0/24 (USA)
  5. 174.127.79.0/24 (USA)

금주 유포지나 악성링크로 활용된 곳들은 다음과 같습니다.     
대학 서비스 중에서는  XXX, XXX 서비스들이 악성코드 중계에 계속 활용 되었고, 팬클럽, 커뮤니티, 언론사,쇼핑몰들이 악성코드 유포에 활용 되었습니다. 언론사 및 대형 쇼핑몰등은 배너 및 태그 광고 서버를 공격하는 형태로 공격이 계속 반복되어 발생 되었으며 피해도도 높을 것으로 예상 됩니다.

*위의 이미지의 한장짜리 요약 보고서는 무료로 받으실 수 있으며 기관/담당자/연락처 기재후 csyong95@kaist.ac.kr 로 신청 하시면 됩니다.

* 본 보안 정보 제공 서비스의  정식 구독  가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.

- 바다란 세상 가장 낮은 곳의 또 다른 이름.

Posted by 바다란

댓글을 달아 주세요