긴급정보제공 3차 2013.6.3
▣ 상황 요약
지난 5월 4주차 위협레벨 상향에 따른 대응 조치로 내부 고객사를 대상으로 선제적인 정보 공유를 진행하고 있습니다. 지난 주에 1차, 2차 정보 공유를 진행 드린바가 있습니다. 6월 1주차 관찰 결과에 따라 위협레벨 조정을 하려 하였으나, 규모는 줄었으나, 영향력은 더욱 증대된 위협들이 감지되어 현행 그대로 당분간 "경고" 레벨을 유지하고 있습니다.
제한된 인력과 자원을 이용하여 수집된 정보를 가공하고 분석하는 형태라 오랜기간 지속이 어려운 점을 양해해 주시기 바라며, 위협상황이 계속 되는한 최대한 유지 할 수 있도록 노력 하겠습니다.
먼저 5월 4주차의 경우 대규모 악성코드 유포 통로인 MalwareNet이 다수 활성화 되는 경향이 관찰 되어 "경고"로 상향된 바 있습니다. 최근 관찰된 유형 중에 가장 빠르고, 급속한 증가 추세를 보여서 레벨 상향을 진행 하였고, 토런트 정보 공유 사이트들 다수도 악성코드 경유지로 이용된 정황이 있어서 정보 공유를 한 것입니다.
6월 1주차에서는 일부 정보 공개와 연관성이 있을지는 모르겠으나, 기 공유 및 공개된 정보들은 활동이 극히 줄어든 상태를 보였습니다. 그러나 영향력이나 파급력 측면에서 확실히 높은 영향력을 가지고 있는 서비스들에 대해서 공격이 계속된 정황이 탐지된 상황입니다. 더불어 파일 공유 사이트 상위권 서비스들과 포털, 소셜 댓글 서비스 자체가 유포에 이용된 상태라 영향력은 5월 4주차 보다 높은 상태라 할 것입니다.
따라서, 현재 위협레벨은 5월 4주차에 비해 규모는 줄었지만, 영향력이나 파급력은 더 높아진 상태가 직접 관찰되어 위협레벨은 "경고" 그대로 유지 됩니다. |
*본 정보는 외부 공개용이며, 첨부파일(바이너리) 및 국내 IP/도메인 정보는 내부 고객 대상으로만 제공 됩니다.
▣ 공유 정보
외부 정보 공개용으로는 가장 심각한 피해를 입히고 있는 악성링크 부분과 MalwareNet에 대한 정보, 다운로드 및 C&C 정보중 시급성이 높은 정보에 대해서 공개를 하였고 국내 IP의 경우는 고객사들만을 대상으로 하여 전달되었습니다. 국내 IP의 경우 차단에 있어서 신중을 기해야 하니 주의하여 차단하시기 바랍니다.
6월 3일 전달되는 3차 정보공유는 다음과 같습니다. 추가로 시만텍에서 한국 금융권을 대상으로한 정보 탈취 형으로 발표한 Castov 유형에 해당하는 바이너리 4종도 포함 되어 있습니다.
관찰기간: 2013.5.31. ~ 2013.6.3. 공유 정보 * 동기간 악성 바이너리 18종 + 5월중 발견된 Castov 유형 4종 - 총 22종 * 동적분석 정보 -XML 파일 16종 |
▶ 신규 MalwareNet(다단계유포통로)
*.rockisin.com/ - 다수 생성이 발견 되어 도메인 차단을 권고합니다. www.exponews.co.kr/gallery/upfiles/xx/xx.html - 최소 4~5개 이상의 MalwareNet과 연결 |
▶ 네트워크 커넥션(C&C 추정) 10 곳 – 차단 권고
gusal8888.gnway.net yeslde.2yuansrnak.com google.beiyongskkt.com gusal5555.gnway.net yuankong.jsygmp.com gusal7777.gnway.net gusal6666.gnway.net yswwrnm.wanglrnmmrn.com:80 116.127.121.35 72.20.10.201:80 |
▶ 악성링크 IP 대역 (국외 6곳, 국내 20여곳) - 국내 IP는 첨부 파일을 참고하십시오.
174.128.234.(206,210-212)x usa Sharktech 192.169.96.(7,9,11)x usa Outofwall 199.114.243.(221-223)x usa Vps21 72.8.172.14 usa Staminus Communications 72.8.188.(201-204)x usa Staminus Communications 122.10.87.32 Hong Kong HKDF |
▶ 최종 악성파일 다운로드 도메인 (국외 17곳, 국내 4곳) - 국내 도메인 및 IP는 첨부파일을 참고하십시오.
72.20.10.201 usa Staminus Communications a1.allstoe.com(72.8.129.10) usa Staminus Communications yswwrnm.wanglrnmmrn.com:80(198.15.86.20) usa Secured Servers LLC google.beiyongskkt.com(198.15.71.194) usa Secured Servers LLC google.ruizi888.com(198.15.86.70) usa Secured Servers LLC gusal3333.gnway.net:3333(174.139.241.42) usa Krypt Technologies yswwrnm.wanglrnmmrn.com:80(198.15.86.20) usa Secured Servers LLC gusal8888.gnway.net(69.197.5.193) usa Staminus Communications gusal5555.gnway.net:5555(110.34.228.66) Thailand VPLS Hosting gusal6666.gnway.net:6666(110.34.228.66) Thailand VPLS Hosting www.wk1888.com(142.0.132.68) china Peg Tech 23.82.18.250 do.maijindou.info gg.hellowfrog.com h1.hellowfrog.com hh.hellowfrog.com up.maijindou.info o1.hellowfrog.com |
▶ 공유 목록 스크린샷
주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락 주십시오. 또한, 당사에서 제공하는 다양한 정보는 빛스캔 페이스북 페이지에서 확인하실 수 있습니다. http://www.facebook.com/bitscan
감사합니다.