본문 바로가기
카테고리 없음

빛스캔브리핑 2월3주차-파밍은 대량 악성코드 감염으로 시작

바다란 2013. 2. 21. 15:44

 

[빛스캔+KAIST] 2월 3주차 브리핑

 

 

한국 인터넷 위협분석 보고서( 파밍의 근본 원인을 수술하라 )

 

빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 2월 3주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS (사전 범죄 탐지체계, Pre-Crime Detect Satellite)의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다. 본 보고서의 활용 용도는 다음과 같습니다.

 

    1.    악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

    2.    악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 – 패치

    3.    내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

 

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.

 

Summary

 

2월 3주차에는 중국의 가장 큰 명절인 춘절이 있었습니다. 춘절 연휴 기간은 2.9(토) ~ 2.15(금) 입니다. 한국의 설날(음력 1월 1일)과 같으며 음력 정월 초하룻날 입니다.

 

<신규 악성링크 주중 감소, 주말 증가>

 

날짜 통계를 통해 확인할 수 있듯이, 주중에는 공격자들도 휴식을 취한 것으로 확인되며 명절이 끝나고 토요일부터 공격이 시작되었고, 파밍 관련 악성코드가 가장 많이 유포 된 것으로 관찰 되었습니다.

 

<Red Kit 자동화 공격 도구 활용한 공격 증가>

 

금주 공격에는 국내에서 잘 관찰되지 않던 RedKit 자동화 공격 도구를 이용한 공격이 증가하는 것이 관찰 되고 있습니다. 특히 이 공격 기법의 특징은 한 번 악성링크로 접속하게 되면, 동일 IP에서는 악성 링크로 접속되지 않고 google.com 으로 리다이렉트 되는 경우가 일반적이므로 분석이 쉽지 않은 것이 특징입니다. 국내를 대상으로하는 공격도구들이 다양해 지고 있는 상황이며, RedKit 이외에도 BlackHole 공격들도 관찰 되고 있어서 향후 공격 기법과 영향력 관찰에 많은 주의를 기울여야 할 것으로 보입니다.

 

<Red Kit 구성도, 출처:맥아피>

 

Red Kit 또한 다른 자동화 공격도구와 마찬가지로 웹 사이트를 해킹한 후에 악성링크 단 한 줄만 삽입합니다. 악성링크를 삽입한 웹 사이트에 접속하게 되면 Red Kit은 악성코드가 있는 웹 사이트로 자동 연결을 해주며 방문자 PC의 어플리케이션이 최신 업데이트가 되어 있지 않다면 웹 사이트에 접속하는 것만으로도 악성코드에 감염이 됩니다.

 

<Red Kit를 악용한 정상 사이트에 삽입한 악성링크>

 

Red Kit을 악용한 정상 사이트에 삽입한 악성링크입니다. iframe 이름을 유명한 소셜 사이트인 Twitter로 가장하고 있어 관리자들의 눈을 피하기 위함입니다. 웹 방화벽과 탐지 장비를 우회하기 위해 height와 width 또한 각각 2인 것을 확인할 수 있습니다.

Red Kit은 분석가들의 분석을 방해할 목적으로 악성코드가 들어있는 웹 사이트로 자동 연결해 주는 seed 사이트들을 1,000 여개 준비해 놓으며 시간을 기준으로 접속하는 도메인 주소들을 지속적으로 변경합니다. 특정한 시간에 접속하였을 때만 악성코드를 받을 수 있기 때문에 다른 자동화 공격도구를 이용한 공격보다 분석하기가 매우 어려운 상태입니다..

Gongda Pack은 자바 6종, MS 1종으로 총 7가지의 취약점을 사용하여 공격합니다. 반면 Red Kit은 자바 2종, PDF 1종으로 총 3가지의 취약점을 이용합니다. 더 자세한 내용은 동향 보고서를 참고하시기 바랍니다.

 

현재 빛스캔에서 탐지하는 유형은 단순히 이메일을 통한 타켓형 APT가 아닌 웹서비스를 방문하는 모든 방문자를 대상으로 한 대규모 유포이며, 확산도가 높아서 위험성이 높은 상태입니다. 따라서 기업/기관별로 인터넷 접근시에 많은 보호대책을 적극 반영 하여 대응을 하셔야 할 것으로 보입니다. 기존 악성코드들의 분석 결과도 단순 게임계정 탈취에서 계속 변화하는 형태를 보이고 있어 앞으로의 변화를 가늠하기 어려운 상황입니다. 이미 농협의 사례를 통해 APT나 내부망을 공격 하는 악성코드가 가진 위험성과 파괴력은 충분히 경험을 한 상태이므로 현재 웹서비스를 통해 감염시도를 하는 악성코드 자체의 위험성은 높은 수준이라 할 수 있습니다.

 

금주 공격의 특징을 정리하면 다음과 같습니다.

 

  • 국내 도메인에 악성코드 업로드 비율 급속 증가(탐지 회피하기 위한 용도)
  • IE 최신 취약점(CVE-2012-4792), 자바 최신 취약점(CVE-2013-0422)활용 악성코드 대량 유포
  • 국내 은행 파밍 악성코드 대규모 유포 및 최종 악성코드 지속적으로 변경
  • 파밍 악성코드를 통한 공인인증서 대규모 유출, 팝업 메시지 지능화
  • 중국의 가장 큰 명절인 춘절 영향으로 공격 감소(2.9(토) ~ 2.15(금))
  • Gongdad Exploit Kit에서 Blackhole, Red Kit 등으로 자동화 공격도구 다변화
  • Red Kit 공격도구의 특성상 분석이 어려운 형태가 계속 증가
  • 8월 3주차 이후 현재까지 루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가(감염된 좀비PC들을 활용한 추가 위험이 발생할 수 있는 상태)
  • APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 (추가 공격 코드들은 금융 정보 탈취 및 DDoS 공격용 봇넷 에이젼트로 판별)
  • MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 적극적 으로 이용됨 (MalwareNet 모두가 C&C 봇넷 에이젼트 유포에 이용 되었습니다. 매우 심각한 상황입니다.)
  • 최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨
  • 백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속
  • 게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속
  • 백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨

 

* 사용자가 특정은행 접속시에 피싱 사이트로 유도하거나 HTML 내용을 변경하여 정보를 획득하는 형태의 악성코드들도 현재 다수 유포 되고 있는 온라인 게임 계정 탈취형 악성코드에 붙여진 부가기능이며 해당 기능들은 매우 적극적으로 이용이 되고 있습니다. 악성코드 확산을 통제할 수 있는 근본적인 대안과 대책들이 집중적으로 필요한 부분이라 할 수 있습니다.

 

* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5, 6월 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. Host file 변조 이외에 BHO (Browser Helper Object) 유형으로 등록되어 URL 입력시 자동 전환 시키는 악성코드 유형도 다수 발견 중인 상황입니다. 본 서비스를 통해 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용들입니다.

 

금융 정보 탈취

 

범위

 

빛스캔에서는 지난 5~6월부터 지속적으로 금융정보 탈취 악성코드가 유포된다고 알려 왔습니다. 이번주에는 대규모 유포된 금융 정보 탈취 악성코드 역할에 대해서 알아보겠습니다.

 

금주 차에 집중 분석된 악성코드는 기존과 다르게 보안서비스를 팝업으로 띄우지 않으며 ID/PW 로그인시 보안카드정보 및 사용자명, 주민등록번호 등을 수집합니다. 특징으로는 기존 호스트파일 변조하는 방식에서 Internet Explorer에서 은행사이트로 접근 시 원래 은행사이트와 동일하게 제작된 피싱 사이트로 리다이렉트하여 금융정보를 탈취합니다. 결론적으로 Host 파일 변조를 통한 공격기법에서 변화하는 양상을 보이고 있습니다. 사용자 PC의 모든 권한을 가진 상태이기에 그 어떤 일도 할 수 있는 상태라서 가능한 부분이 되겠습니다. 또한 악성코드들 대부분이 추가 다운로드 기능을 가지고 있는 상태이며, 외부로 업데이트를 확인 하는 행동들이 감지 되고 있습니다. 만약 악성코드에 감염된다면 추가 업데이트를 통해 DDoS나 원격화면정보 등을 수집하는 봇 에이전트를 추가 설치하는 등 2차 침해사고도 예상됩니다.

 

<금융정보 탈취형 악성코드 유포된 다단계유포망(MalwareNet)의 하나>

 

국내에 금융정보 탈취 악성코드가 다수 유포되었고 그 중에서 가장 큰 다단계유포망(MalwareNet)입니다. 현재 스샷에는 3가지 링크만 있지만 모두 다단계유포망(MalwareNet)으로 사용되어 매우 심각한 상황입니다. 이 MalwareNet만 해도 총 20여군데에 영향을 미치고 있습니다.

 

<은행 피싱 악성코드 유포한 악성링크 구조도>

 

자바 제로데이(CVE-2013-0422)를 포함한 6종의 자바 취약점을 이용한 공격과 XML 취약점을 이용한 공격을 포함하여 총 7가지의 취약성을 이용한 공격이 활용되었습니다. 초기 다운로더만을 사용자 PC에 설치하는 공격에서는 기존에 시스템에 존재하는 백신과 업데이트 주소를 모두 중지 시킨 상태에서 공격용 도구들이 추가 다운로드가 되게 됩니다. 즉 초기 공격이 성공한 이후에는 감시 할 수 있는 방안이 거의 없는 상황이라 할 수 있을 것입니다.

 

악성코드 행위 네트워크 분석

 

<추가 다운로드 네트워크 캡쳐>

 

와이어샤크로 네트워크 패킷을 캡쳐 결과 이 악성코드가 실행된 후에 추가 다운로드를 받는 것을 확인할 수 있습니다. test.wsad111.asia 도메인의 IP주소를 질의하여 49.129.62.144 IP주소를 얻게 됩니다.

 

<test.wsad111.asia 도메인의 IP 주소>

 

<test.wsad111.asia 도메인의 IP 주소 변경>

 

해당 피싱 사이트 주소가 막힌 다음에 다시 접속을 시도해보니 test.wsad111.asia 도메인의 IP주소를 질의하여 49.129.62.144 와는 다른 203.136.164.61 로 바뀐 것을 확인할 수 있다. 공격자는 피싱 사이트의 주소가 막힐 것을 우려하여 test.wsad111.asia의 도메인 주소에 IP주소를 질의하고 IP주소만을 변경합니다. 이는 지속적으로 도메인주소는 유지하고 IP만 주소만 변경하여 사용자 PC의 금융 정보를 유출하기 위한 기법으로 판단 되고 있습니다. 상세 분석 내용은 전주 보고서에 과정과 내용이 언급 되어 있으므로 참고 하시면 이해가 쉬울 것 같습니다. 자동으로 파밍 사이트에 대한 주소를 받아서 계속 갱신하고 시스템 상에서 설치된 악성코드는 IE에 기본으로 등록되는 BHO (Browser Helper Object)를 이용하여 은행 사이트 주소가 입력 될 때 마다 공격자가 지정한 파밍 사이트로 연결 되도록 하고 있습니다. URL도 동일한 상황이라 일반 사용자가 구분 할 수 있는 방법은 과다한 정보제공 이외에는 없는 상황입니다.

 

호스트파일 내에 피싱 사이트 주소를 쓰는 것이 아니기 때문에 탐지하기 어렵게 변경되었습니다.

 

사용자 입장에서 본 악성코드 역할

 

<검색 사이트에서 국민은행 검색하여 접속>

 

<국민은행 피싱 사이트>

 

검색 사이트에서 정상적으로 검색을 하고 접속을 하여도 피싱 사이트로 리다이렉트 되는 것을 확인할 수 있습니다. 주소창을 보아도 정상적인 국민은행 사이트 주소(www.kbstar.com) 입니다. 사용자들이 피싱 사이트인지 정상 사이트인지 구분하기가 매우 어렵습니다. 구분하는 방법은 정상 사이트들은 보안카드 비밀번호 전부를 요구하지는 않는다는 정도이며 이를 잘 모르는 사람들은 피싱에 그대로 노출될 수 밖에 없는 상황입니다. 권한을 가지고 자유자재로 통제되는 좀비 PC는 이미 소유권은 다른 곳에 있을 뿐입니다.

 

<국민은행 정상 사이트>

 

국민은행을 악성코드에 감염되기 전에 접속한 정상 사이트 화면입니다. 화면상으로는 피싱사이트와 구분하기가 매우 어렵습니다.

 

<최소 8자리 비밀번호인데 6자리 입력만으로도 통과>

 

금융권 최소 비밀번호가 8자리인데도 불구하고 6자리 만으로도 통과가 되며 인증서가 없는데도 불구하고 다음 창으로 넘어가게 됩니다. 만약 인증서가 있다면 해당 인증서가 나타난 이후 입력되는 인증서 비밀번호가 그대로 공격자에게 전달 될 수 밖에 없도록 구성 되어 있습니다.

 

<전자금융사기 예방서비스라고 사용자들을 속임, 오타 포함>

 

고객님의 계좌가 위험한 지역에서 로그인 기록이 등록 되여 있습니다. 계좌의 안전을 위하여 지금 바로 금융사기예방 서비스 신청이 필요합니다. '되여' 부분이 오타입니다.

 

<이름, 주민등록번호 수집>

 

방문자의 이름과 주민등록번호를 수집하고 있습니다.

 

<국민은행 각종 금융 정보 수집>

 

사용자 ID, 출금계좌번호, 출금계좌비밀번호, 핸드폰번호, 보안매체 비밀번호 입력까지 모든 정보들을 입력할 것을 요구하고 있습니다. 분명 정상적인 절차는 아니지만 이에 대해서 잘 모르는 분들은 모두 입력할 수 밖에 없는 현실입니다.

 

<입력폼에 정보들이 입력될 때마다 금융 정보 유출>

 

공격자는 입력폼에 정보들이 입력될 때마다 금융 정보를 유출하고 있습니다. 이는 중간에 사용자가 정상적이지 않다는 인식을 할 수도 있고 중간에 브라우저들이 오류가 발생하여 금융정보를 탈취할 수 없는 상황을 예방하기 위하여 입력폼에 문자가 입력될 때마다 입력폼 정보인 금융정보를 유출하는 것을 확인할 수 있습니다.

 

<최종적으로 모든 입력폼에 있는 정보 다시 한 번 전송>

 

최종적으로 모든 입력폼에 들어 있는 금융 정보들을 다시 한 번 전송하는 치밀함을 보여주고 있습니다.

 

<두 시간 안에 금융정보를 탈취 할 목적으로 사용자들을 안심 시킴>

 

금융 예방 서비스 신청을 완료했다는 메시지로 사용자들을 안심시키며 2시간 후에 접속하라는 메시지를 보여줍니다. 이는 실질적으로 유출한 정보들을 사용하여 계좌이체를 할 수 있는 시간을 벌기 위한 수단입니다.

 

악성코드 역할(공인인증서 탈취)

 

또한 2월 2주차에는 최근 언론에서 주목하고 있는 FTP 서버로 공인인증서를 탈취하는 악성코드의 변종이 추가로 발견 되었습니다. 해당 악성 코드는 기존에 발견되었던 샘플과 마찬가지로 dll 파일을 웹 브라우저에 BHO로 등록하고, 사용자가 특정 금융 사이트에 접속했을 때 조작된 화면을 이용하여 보안 카드 비밀번호를 탈취합니다. 또한 사용자의 하드디스크 드라이브를 검색하여 공인인증서의 존재 여부를 확인하고, 만약 존재한다면 FTP 서버로 파일을 유출 합니다.

 

<공격자들의 FTP에 올려진 탈취된 공인인증서 목록1>

 

<공격자들의 FTP에 올려진 탈취된 공인인증서 목록2>

 

<탈취된 공인인증서 일부>

 

공인인증서 대규모 탈취된 목록입니다. 탈취된 공인인증서로 본인도 모르는 사이에 계좌이체가 되는 직접적인 피해 사례가 발생하고 있습니다. 실제 탈취된 공인인증서를 열어 보았더니 실제 공인인증서와 동일합니다. 실명이 적혀져 있으며 유효 기간까지 있는 것을 확인할 수 있습니다.

 

<금융 정보 탈취 악성코드 VirusTotal 결과. 전세계 최초 업로드>

 

취약성 공격 이후 설치되는 악성파일은 전세계에서 가장 많은 샘플을 보유하고 전 세계 백신 40 여종에서의 탐지 여부를 체크하고 있는 VirusTotal 사이트에 조차 보고된 바 없는 악성코드가 사용자 PC에 설치 되는 상황입니다. 사용자들이 할 수 있는 대책이 과연 무엇이 있겠습니까?

 

파밍 사이트 변경 내역

 

<공격자들이 파밍을 역이용한 메시지 팝업창>

 

공격자들의 메시지가 더욱 정교해 지고 있습니다. 이는 공격자들이 국내 언론을 모두 모니터링 하고 있다는 뜻입니다.

 


<2월 3주차 파밍 악성코드 유포 사이트 목록>

 

파밍 악성코드 유포한 사이트 목록입니다. 현재 스크린샷에 보이는 것만 50여개 사이트에서 파밍 악성코드를 유포 하였습니다. 이 50여개 사이트들이 모두 해킹을 당하였고 공격자들은 악성링크 단 한 줄만 삽입하여 방문자들을 악성코드에 감염 시킵니다.

 

<단 2일 사이에 최종 다운로드 받는 악성코드 10여 차례 변경>

 

본 PCDS에 탐지된 내용을 바탕으로 하여 공격자들의 전략을 확인해 보면, 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있습니다. 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며, 때로는1시간에 한 번씩 최종 악성코드를 변경하고 있습니다. 백신은 백신만의 역할 부분이 있으며, 현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야만 합니다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로, 대응적인 측면에서 한계를 보일 것으로 판단됩니다.

 

<파밍에 사용되는 악성코드를 올려놓은 사이트>

 

악성링크가 삽입되어 있는 웹 사이트들을 방문하면 악성코드에 감염이 되어 좀비 PC가 됩니다. 좀비 PC는 위의 사이트에서 추가 다운로드를 합니다. 추가 다운로드 되는 악성코드는 공격자의 공격 의도에 따라 언제든지 변경할 수 있습니다.

 

* 본 리스트의 경우는 차단된 사례이기에 공개 합니다. 

<파밍 사이트 리스트1>

 

<파밍 사이트 리스트2>

 

현재 파밍 관련된 기사가 국내 언론의 1면을 차지하고 있는데도 공격을 멈추지 않고 파밍 사이트를 지속적으로 변경하고 있습니다. 파밍 사이트 주소만 막는다고 하여 현재 문제가 해결되는 것이 아닙니다. 공격자들은 파밍 사이트 주소가 막힐 것을 우려하여 처음 다운로드 받는 악성코드에는 파밍 사이트 주소를 넣지 않고 추가 다운로드 형식으로 받아오며 파밍 사이트 주소를 지속적으로 변경하고 있습니다. 파밍 악성코드가 유포되는 근본적인 문제가 무엇인지 파헤쳐 보아야 합니다.

 

결론

 

사용자 동의없는 피싱 사이트가 어떻게 해서 활개를 치는지 근본적인 부분을 심도있게 고민해 보아야 할 때입니다. 현재 상황에서 피싱과 파밍을 이용한 정보탈취 사이트가 활개를 치는 것은 악성코드가 대규모로 유포되기 때문입니다. 악성코드를 대규모로 유포하는데 가장 효과적인 것은 웹사이트를 해킹한 후에 악성링크를 추가하여, 모든 방문자들을 대상으로 감염을 시키는 것이 가장 효과적인 방법이라는 것을 공격자들도 알고 있고 적극적으로 활용하고 있어서입니다.

웹 사이트는 수시로 수정할 수 밖에 없는 구조인데도 불구하고 웹 보안 검사는 1년에 1~2번 밖에 할 수 없는 게 현실입니다. 또한 모든 사이트들을 대상으로 할 수 없기에 대표적인 사이트만 할 수 밖에 없는 상황입니다. 상시적으로 웹 해킹에 사용되는 인자값 검사가 가능해야 악성코드가 대규모로 유포되는 근본적인 원인을 제거할 수 있을 것입니다.

 

감염시 광고성 스팸메일을 대량 발송시키는 악성코드

 

Red Kit을 사용한 공격중에 지금까지와는 다른 스팸메일을 대량 발송하는 악성코드가 발견 되었습니다. 스팸 메일 메시지가 영어를 사용하고 주식에 관련된 내용이라 국내를 대상으로 한 스팸 발송은 아니라고 판단 됩니다. 하지만 국내 좀비 PC를 사용하여 외국을 대상으로 스팸 메일을 보낸 것이 가장 중요한 점입니다. 향후 국외 DDoS 공격에 국내 좀비 PC가 활용될 수도 있을 것입니다.

 

<악성코드에 감염된 후 메일 서버로 DNS Query 보냄>

 

악성코드에 감염된 좀비 PC는 메일 서버로 DNS Query를 보냅니다. 스팸 메일을 보내기 위한 사전 작업으로써 각 메일서버의 IP주소를 저장해 두기 위함입니다.

 

<악성코드가 자동으로 발송하는 스팸성 메시지>

 

악성코드가 자동으로 발송하는 스팸성 메시지는 'It is one of my biggest discoveries ever! Preview our Newst Bold Stock!' 입니다. 스팸 메일을 받은 사용자를 악성코드에 감염시키기 위한 링크는 추가하지 않은 것을 확인할 수 있습니다.

 

<추가 다운로드를 받으려고 하지만 실패>

 

좀비PC는 해커가 만들어놓은 서버에서 추가 다운로드를 받습니다. 이 추가 다운로드를 받은 것이 무엇인지에 따라 좀비 PC의 역할이 달라지게 될 것입니다. 그것이 DDoS 봇 에이전트이든, 금융정보탈취형 악성코드이든 게임계정탈취형 악성코드이든 공격자의 의도에 달려 있습니다. 이렇듯 악성코드에 감염된 좀비 PC는 항상 원격에서 조정하는 공격자들의 소유일 뿐입니다.

<Spam 악성코드 바이러스 토탈 결과 부분 탐지>

 

VirusTotal에서조차 전세계 백신 40여개 중 단 3개만이 탐지할 수 있을 뿐입니다. 그만큼 공격자들은 백신들을 모두 사전 우회할 수 있도록 설계되어 있음을 알 수 있습니다.

 

차단 권고 대역

 

본 브리핑에서는 제외함

 

발전적인 협력

 

빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

감사합니다.

 

  • 본 정보제공 서비스는 공개, 재 배포 금지(내부에서만 활용), 비영리 목적으로만 활용 가능합니다. 공익적인 목적으로 기관에 제공되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.
  • 시범 서비스는 1번 보내 드립니다.
  • 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/담당자/연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.
  • 본 서비스의 권리는 빛스캔에 있으므로 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.
  • 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre-Crime Detect System)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.


티스토리툴바