본문 바로가기

카테고리 없음

[빛스캔]3월 4주차 한국인터넷 위협동향 브리핑 –요약 ( 3.20 대응 타임라인)

 

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<주간 유포된 도메인 수>

 

3월 4주차에 전체 유포된 도메인 수는 1,792건으로 지난 한 주에 비해 약 100건이상 증가하였다. 3월 20일, 금융권 및 방송국을 타겟으로 한 공격으로 시작하여 주말에는 변종으로 출현 일반사용자에게 파밍 공격 이후 특정 사이트에서 명령을 받아 MBR 영역을 파괴 하여 사용자가 2차적 피해를 발생할 수 있는 악성코드를 발견하였다. 현재도 일반 사용자를 노리고 있는 악성코드는 계속 내려오고 감염도 꾸준히 이루어 지고 있어서 예방책이 없다면 앞으로 지속적인 피해가 예상이 된다. 사이버공격으로부터 피해를 최소화하기 위해서는 모든 방문자를 대상으로 하는 대량 감염 공격의 효과를 줄일 수 있도록 꾸준히 노력하고, 감염 매개체로 이용되는 웹 서비스들의 취약성을 점진적으로 개선해야 한다.

 

<시간 별 통계>

 

유포한 시간대 별로 보면 주중에도 많은 활동을 보이며 주말과 같이 지속적으로 감염시키기 위해 공격을 지속적으로 펼친 결과 이번과 같은 피해를 만들게 되었다. 주중의 활동이 주말과 비슷하며 결코 일반적인 현상이 아닌 만큼 빠른 대응과 긴밀한 협력을 하여 사용자에 대한 보호를 취해야 한다.

 

<대량 악성코드 유포에 이용되었던 취약점 타임라인>

 

2월 3주차부터 3월 4주까지의 최근 1달 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 65건(35.9%), 미국이 84건(46.4%), 중국이 18건(9.9%), 홍콩이 10건(5.5%) 등으로 나타났다. 추이를 살펴보면 미국 발() 악성링크 도메인이 2월 3주부터 전체 발견된 도메인의 절반 이상을 차지하였으며, 3월 2주부터 다시 한국 발() 악성링크 도메인이 전체 발견된 도메인의 다수를 차지하였으며, 금주에 다시 미국 발 악성링크 도메인이 다수를 차지하고 있다

<국가별 악성링크 도메인 통계>

 

주간 국가별 악성링크 도메인 통계를 분석한 결과, 한국이 9건(23.1%), 미국이 17건(43.6%), 중국이 4건(10.3%), 홍콩이 3건(7.7%), 식별 불가 6건(15.4%)을 차지하였다

 


3/20 사이버 테러와 관련하여 당사가 대응한 사항을 시간대로 정리하여 요약 제공합니다.

 

2013년 3월 11일~17일 이상징후 탐지 후 사전 경고 3월 20일~ 3월 26일 기관/기업 정보공유

KBS.exe, ibmc.exe, SBS.exe을 포함한 바이너리 571종과 분석정보 193종 C&C 주소 137종 hades08 포함 정보공유

3.20일 당일 핵심 C&C 정보 제공으로 중계거점 무력화.

 

최초 imbc.exe 탐지 정황

20130317-20:52 dxx.asdasd2012.com/ro/sunt.html à imbc.exe 특정이름 악성파일 탐지

20130318-06:09 dxx.asdasd2012.com/ro/sunt.html à imbc.exe à 감염 이후 C&C연결 à

hoxx1.hades08.com:5001 à hoxx2.hades08.com:5001 à hoxx3.hades08.com:5001 연결시도

nxx.hades08.com à l01.oxxx189.com

C&C 연결 주소 차단 현황

3.20,24일 차단 C&C 정보공유

hoxx1.hades08.com:5001(126.15.193.122)
hoxx2.hades08.com:5001(126.15.193.122)
hoxx3.hades08.com:5001 (126.7.217.163)

파밍 기능 및 시스템 파괴기능의 변종 탐지 및 C&C 연결주소 변경 확인

3.24일 차단 C&C 3차 정보공유

nxx.hades08.com (126.15.193.122)

국내 웹 사이트를 통한 악성코드 대량 유포

3.25일 차단 C&C 3차 정보공유

lo1.oxxxx189.com (126.15.193.122)

www.ktbxxxxime.com (98.126.185.218)

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락 주십시오. 감사합니다.