본문 바로가기

카테고리 없음

[경고] 레벨 상향에 따른 3차 정보 공유 - 공개용 20130603

긴급정보제공 32013.6.3


상황 요약

지난 5월 4주차 위협레벨 상향에 따른 대응 조치로 내부 고객사를 대상으로 선제적인 정보 공유를 진행하고 있습니다. 지난 주에 1차, 2차 정보 공유를 진행 드린바가 있습니다. 6월 1주차 관찰 결과에 따라 위협레벨 조정을 하려 하였으나, 규모는 줄었으나, 영향력은 더욱 증대된 위협들이 감지되어 현행 그대로 당분간 "경고" 레벨을 유지하고 있습니다.

 

제한된 인력과 자원을 이용하여 수집된 정보를 가공하고 분석하는 형태라 오랜기간 지속이 어려운 점을 양해해 주시기 바라며, 위협상황이 계속 되는한 최대한 유지 할 수 있도록 노력 하겠습니다.

 

먼저 5월 4주차의 경우 대규모 악성코드 유포 통로인 MalwareNet이 다수 활성화 되는 경향이 관찰 되어 "경고"로 상향된 바 있습니다. 최근 관찰된 유형 중에 가장 빠르고, 급속한 증가 추세를 보여서 레벨 상향을 진행 하였고, 토런트 정보 공유 사이트들 다수도 악성코드 경유지로 이용된 정황이 있어서 정보 공유를 한 것입니다.

 

6월 1주차에서는 일부 정보 공개와 연관성이 있을지는 모르겠으나, 기 공유 및 공개된 정보들은 활동이 극히 줄어든 상태를 보였습니다. 그러나 영향력이나 파급력 측면에서 확실히 높은 영향력을 가지고 있는 서비스들에 대해서 공격이 계속된 정황이 탐지된 상황입니다. 더불어 파일 공유 사이트 상위권 서비스들과 포털, 소셜 댓글 서비스 자체가 유포에 이용된 상태라 영향력은 5월 4주차 보다 높은 상태라 할 것입니다.

 

따라서, 현재 위협레벨은 5월 4주차에 비해 규모는 줄었지만, 영향력이나 파급력은 더 높아진 상태가 직접 관찰되어 위협레벨은 "경고" 그대로 유지 됩니다.

 

* 정보는 외부 공개용이며, 첨부파일(바이너리) 국내 IP/도메인 정보는 내부 고객 대상으로만 제공 됩니다.

 

공유 정보

외부 정보 공개용으로는 가장 심각한 피해를 입히고 있는 악성링크 부분과 MalwareNet에 대한 정보, 다운로드 및 C&C 정보중 시급성이 높은 정보에 대해서 공개를 하였고 국내 IP의 경우는 고객사들만을 대상으로 하여 전달되었습니다. 국내 IP의 경우 차단에 있어서 신중을 기해야 하니 주의하여 차단하시기 바랍니다.

 

6월 3일 전달되는 3차 정보공유는 다음과 같습니다. 추가로 시만텍에서 한국 금융권을 대상으로한 정보 탈취 형으로 발표한 Castov 유형에 해당하는 바이너리 4종도 포함 되어 있습니다.

 

관찰기간: 2013.5.31. ~ 2013.6.3.

공유 정보

* 동기간 악성 바이너리 18종 + 5월중 발견된 Castov 유형 4종 - 총 22종

* 동적분석 정보 -XML 파일 16종

 

 

신규 MalwareNet(다단계유포통로)

*.rockisin.com/ - 다수 생성이 발견 되어 도메인 차단을 권고합니다.

www.exponews.co.kr/gallery/upfiles/xx/xx.html - 최소 4~5개 이상의 MalwareNet과 연결

 

 

네트워크 커넥션(C&C 추정) 10 차단 권고

gusal8888.gnway.net

yeslde.2yuansrnak.com

google.beiyongskkt.com

gusal5555.gnway.net

yuankong.jsygmp.com

gusal7777.gnway.net

gusal6666.gnway.net

yswwrnm.wanglrnmmrn.com:80

116.127.121.35

72.20.10.201:80 

 

 

악성링크 IP 대역 (국외 6, 국내 20여곳) - 국내 IP 첨부 파일을 참고하십시오.

174.128.234.(206,210-212)x    usa        Sharktech

192.169.96.(7,9,11)x        usa        Outofwall

199.114.243.(221-223)x    usa        Vps21

72.8.172.14        usa        Staminus Communications

72.8.188.(201-204)x        usa        Staminus Communications

122.10.87.32        Hong Kong    HKDF 

 

 

최종 악성파일 다운로드 도메인 (국외 17, 국내 4) - 국내 도메인 IP 첨부파일을 참고하십시오.

72.20.10.201                usa        Staminus Communications

a1.allstoe.com(72.8.129.10)            usa        Staminus Communications

yswwrnm.wanglrnmmrn.com:80(198.15.86.20)    usa        Secured Servers LLC

google.beiyongskkt.com(198.15.71.194)        usa        Secured Servers LLC

google.ruizi888.com(198.15.86.70)        usa        Secured Servers LLC

gusal3333.gnway.net:3333(174.139.241.42)    usa        Krypt Technologies

yswwrnm.wanglrnmmrn.com:80(198.15.86.20)    usa        Secured Servers LLC

gusal8888.gnway.net(69.197.5.193)        usa        Staminus Communications

gusal5555.gnway.net:5555(110.34.228.66)    Thailand    VPLS Hosting

gusal6666.gnway.net:6666(110.34.228.66)    Thailand    VPLS Hosting

www.wk1888.com(142.0.132.68)        china        Peg Tech

23.82.18.250

do.maijindou.info

gg.hellowfrog.com

h1.hellowfrog.com

hh.hellowfrog.com

up.maijindou.info

o1.hellowfrog.com 

 

 

공유 목록 스크린샷

 

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락 주십시오. 또한, 당사에서 제공하는 다양한 정보는 빛스캔 페이스북 페이지에서 확인하실 수 있습니다. http://www.facebook.com/bitscan

감사합니다.