태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

5 3주차 국내 인터넷 위협 동향입니다.

 

서비스의 제공은 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 있도록 하기 위한 것이 주된 목적입니다.

 

금주의 특징으로는 공격에 이용되는 취약성 종류의 변화에 따라 공격 기법들도 변화가 되고 있음을 있으며, 가장 특징은 신규 악성링크는 줄어든 비율을 보이고 있으나, 악성링크로부터 감염이 되는 악성코드들은 전주 대비 대폭 증가 되었습니다결론적으로 보면 지금까지 사용 되어진 악성링크들을 반복해서 재활용을 하고 있으며 최종 설치되는 악성코드들만 변경하는 형태를 보이고 있습니다.  대응이 되지 않고 있어서 계속 악성링크를 재활용 하고 있다는 가장 원인이 것입니다.

 

금주의 특징은 다음과 같습니다.

 

 

특징

 

·   악성코드 유포자들의 전략적 행위 증가 범위 확대

·   악성코드 분석 자체를 방해하기 위한 가상머신 우회기술 적용

·   4월부터 사용되었던 주요 악성링크의 대규모 재활용 계속

·   주말에 집중된 공격에서 벗어나 주중에도 일상적인 악성코드 유포 시도들이 계속 이어짐

·   악성링크 탐지 혼선을 위한 백신과 유사한 도메인 활용 배너 

·   APT 유형 ( 악성 코드 감염 이후 내부망 스캔 활동) 꾸준히 유포

·  Mass sql i 유형 국내 유입 시작social-stats.info/ur.php 5.19 ( 해외에는 있었으나 국내로 최초 유입이 감지됨)

 

5 3주차의 공격에 이용된 취약성들을 전주와 비교해 보면 공격자들의 전략과 악성코드 전파 기법의 변화에 대해서 확인이 가능합니다.

금주의 주된 공격 취약성은  주요 취약성 6 가량에 집중이 되어 있으며 이중 여전히 패치가 더딘 것으로 보이는 Oracle Java 취약성에 대한 공격 비율이 높아지고 있는 있습니다. 사내 해당 기관이나 기업에 강력한 보안패치 권고를 해야만 하는 이유입니다. MS 패치뿐 아니라 java Flash 대한 기본 패치 정보를 제공하고 타이트 하게 관리 해야 위험을 줄일 있을 것입니다.

 

특징들을 하나씩 짚어 보면 가장 특징은 전략적 움직임을 공격그룹이 보이고 있다는 부분입니다.

 

·  전략적 변화를 하는 공격자들

악성링크의 수치는 줄었지만 기존에 정상적인 웹서비스들에 추가해둔 악성링크 ( 악성코드는 내려 오지 않는 비정상 링크 ) 대규모로 활용 하였고 그중 한곳의 경우에는 분석보고서에는 정황이 기술되어 있지만 빛스캔에서 관찰되는 변화를 보면 대규모 움직임을 보이고 있습니다.   하나의 악성링크를 이용하여 대규모로 악성코드 유포에 활용 하고 있으며 이전 사용 되었던 링크들의 재사용 비율이 대폭 증가하고 있습니다. 대응이 시급한 상황입니다.

 

말로서는 설명이 어려워 그림으로 보면 다음과 같습니다.

 

1. 공격자는 사전에 악성링크 A B,C 여러 서비스들에 넣어 둡니다. 이때에는 악성코드 유포는 발생하지 않습니다. ( 빛스캔 관측결과 최소 4 이상의 사전에 심어진 악성링크 활동이 감지 되었으며 해당 링크의 내용은 공격 시작과 동시에 동일한 악성코드 호스팅 주소로 변경이 되었습니다. - 최소 연결된 공격네트워크만 40여곳 이상이 해당 되는걸로 감지 되고 있습니다.)

 

2. 공격 시점에 도달 하여서 공격자는 악성링크 A B, C 내용을  악성링크로 변경 합니다.

 

3. 이미 공격자가 확보하여 가지고 있는 악성코드 유포 네트워크( 최소 수십여개 이상 ) 하나의 악성링크를 방문자들에게 중계하게 됩니다.

 



 

·  백신 도메인으로 가장한 형태의 악성링크 발견  (ky.alyacc.com )

·  시스템 드라이버를 대체하는 형태의 루트킷은 APT 형태이며 감염 이후 내부망을 스캔하고 정보를 수집하는 형태를 보이고 있습니다. 해당 형태는 몇주간 계속해서 나타나고 있어서 강도 높은 주의가 필요합니다.

·  악성코드 분석시에는 항상 가상머신을 이용하여 분석을 진행하고 있습니다만 금주에 발견된 악성코드 중에는 가상머신 실행을 감지하고 종료하거나 분석을 회피하도록 설계된 악성코드가 대량 유포 되었습니다. 내용은 향후 전문분석을 통해 상세하게 전달이 예정입니다.

·  게임 계정을 해킹 하는 코드들이 대량으로 유포 되고 있으며 대상 게임은  엔씨 -리니지 , 한게임 -테라 , 넥슨 -메이플스토리,엘소드, 블리자드-와우, CJ인터넷 - 피파온라인, 네오플-던파 이며 디아블로에 대한 계정 탈취 유형도 발견 것으로 보입니다.

·  항상 말씀드리지만 루트킷 또는 APT 유형은 감염 즉시 심각한 피해를 장기적으로 유발 있으므로 심각한 주의가 필요합니다. 더군다나 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 감염입니다.  APT 형태가 사용하는 유포 취약성은 대부분 Java 취약성에 집중 되고 있습니다.  대응에 참고 하십시요.

 

사용된 취약성

 

- CVE 2011-3544 ( 26.4%)  Java Applet 취약성 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

- CVE 2012-0507 ( 24.5%) Java Applet 취약성 - Java Web start 취약성

- CVE 2012-0003 ( 20.7%) Windows Midi 취약성http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003 3월의 전문분석보고서를 참고 

- CVE 2012-0754 (16.9%)  Flash 취약성http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

- CVE 2010-0806 (10.3%)  IE 취약성 ( IE 6,7 대상http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806

- CVE 2011-2140 (0.9%)   Flash 취약성  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2140

 

 

전주 대비 특이 사항으로는 Java applet 취약성을 노린 공격이 대폭 증가 하였고 한동안 소강 상태를 보였던 Windows Midi 관련된 공격이 급증세를 보이고 있습니다.또한 오랜된 취약성으로 분류되고 있는 IE 취약성 CVE-2010-0806 공격이 드물게 활성화 되어 이용이 되고 있습니다. MS 관련 보안패치 Oracle, Flash 업데이트를 시급하게 보완해야 부분이며 불가피한 경우 현재 공격에 주로 이용 되고 있는 취약성들에 대해서만이라도 패치를 별도 설치 하도록 유도해야 위험을 줄일 있습니다.

 

전주와 대비해 달라진 취약성 비율과 공격의 자세한 변화들에 대해서는 5 3주차 동향분석 보고서를 참고 하십시요.

 

 

금주의 차단 추가 영역은 다음과 같습니다. 아래 영역은 이미 공격자가 권한을 통제하고 있는 IP 대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다. 기업 기관에서는 해당 IP 대역 차단이후 ( 업무 관련성 여부에 대해서는 각기관 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 있으시며 매우 높은 수치임을 아실 있습니다.

 

 

 

차단 권고 대역

 

 

서비스를 구독 하고 계시는 기업 기관에게는 메일 상에 적어 드렸으며 4월부터 5 2주차까지의 차단 영역은 그대로 유지, 금주에 추가된 영역은 2 클래스가 추가 되었습니다.

 

 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공할 예정이며 기본 동향에 대해서만 알려 드립니다.

시설 확장을 통해 동안 국내 도메인 추가 확보된 도메인과 해외 도메인을 추가하여 악성링크의 움직임에 대해 폭넓은 관찰을 예정하고 있습니다. 보다 정확성 있고 현실적인 위협정보들을 제공 있도록 하겠습니다.

 

*시범 서비스는 순차적으로 1개월 경과시 종료 됩니다.

* 정식 구독 서비스 가입 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한하여 한달간 제공 됩니다.

 

* 분석은 악성링크 자체의 수집은 빛스캔에서 수행하며, 악성링크에 분석은 KAIST 사이버보안센터,  KAIST 정보보호대학원과 공동협력으로 운영 되고 있습니다.

 



< 5 3주차 주간 동향 요약 보고서>

Posted by 바다란

댓글을 달아 주세요