본문 바로가기

전체 글

(288)
[빛스캔]2013.9월1주차 한국 인터넷 위협분석 브리핑 요약 인터넷 위협 수준: 주의 Bitscan PCDS 주간 동향 브리핑 요약 ( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary ) 9월 1주에 발견된 전체 악성링크는 8월 4주차보다 조금 감소하는 모습을 보였다. 하지만, 신규 악성링크는 8월 2주부터 계속 증가하는 모습을 보이고 있으며 신규 악성링크 파급력은 8월 관찰기간 중 최대의 영향력을 준 것으로 파악되었다. 한편, 8월부터 나타나기 시작한, MalwareNet을 활용하여 최종적으로 하나의 악성코드로 연결되는 현상은 금주에 더욱 활발하게 이루어지고 있으며, 이는 공격 방식이 대규모로 커지면서 보다 효율적으로 변화하고 있는 것으로 추정된다. 또한, 금주에는 기존의 플로팅 배너를 이용한 ..
6.25 사건 이전의 징후에 대한 팩트 정보 ( Red October 류의 백도어 포함) http://p4ssion.com/375 관련하여 zip.exe 파일의 내용이 트로이 목마와 정보탈취용으로 언급한 바가 있습니다. 불필요한 언급들이 있어서 추가 다운로드 파일까지 확인된 모든 내역을 공개 합니다. 5.31일과 6.1일 이미 사전 좀비 PC 확보를 위한 노력들이 있었다는 것을 PCDS를 통해서 확인하고 알려 드린바가 있습니다. 해당 시점에 송사리와 심디스크 사이트가 경유지로 동시에 이용 당한 정황이 있었고 , 6.25일 공격에 두 사이트의 업데이트 파일이 이용된 정황이 발견 됨에 따라 연관 관계를 분석하여 전달 드린 바가 있습니다. 악성파일은 zip.exe 이고 두 종류의 zip.exe 파일이 존재합니다. 감염 이후 추가 다운로드 파일들도 있는 상태로 유포시점에 확인이 되었고, 추가 다운로..
6.25 사이버 공격에 대한 다른 시각과 분석 6.25 사이버 공격에 대한 다른 시각과 분석 – 빛스캔 ( 공격 주체에 의한 대규모 좀비 PC 확보 시도는 이미 있었으며, 실패하였다. ) 빛스캔㈜에서는 5월 4주차부터 위협레벨을 "경고"로 상향 시킨 이후 정보에 대한 공개와 수집된 악성파일 및 C&C 주소에 대해 정보제공 서비스 구독 기업에게 공유한 바 있다. 6.25 사건 이후 확인된 사실에 대해 PCDS상의 기록을 확인해 본 결과 6.25일 국가기관 DNS 공격에 이용된 좀비PC 확보에 이용된 두 곳의 웹하드 업체가 이전에도 대량 악성코드 유포에 이용된 정황이 확인 되었다. 결론적으로 두 곳의 웹하드 업체가 동시에 악성코드 유포에 이용된 정황을 확인한 결과 6.25일 사건 이전에 5.31일과 6.1일 양일 간에 걸쳐 동일한 형태의 악성코드를 모든..
[경고] 레벨 상향에 따른 3차 정보 공유 - 공개용 20130603 긴급정보제공 3차 2013.6.3 ▣ 상황 요약 지난 5월 4주차 위협레벨 상향에 따른 대응 조치로 내부 고객사를 대상으로 선제적인 정보 공유를 진행하고 있습니다. 지난 주에 1차, 2차 정보 공유를 진행 드린바가 있습니다. 6월 1주차 관찰 결과에 따라 위협레벨 조정을 하려 하였으나, 규모는 줄었으나, 영향력은 더욱 증대된 위협들이 감지되어 현행 그대로 당분간 "경고" 레벨을 유지하고 있습니다. 제한된 인력과 자원을 이용하여 수집된 정보를 가공하고 분석하는 형태라 오랜기간 지속이 어려운 점을 양해해 주시기 바라며, 위협상황이 계속 되는한 최대한 유지 할 수 있도록 노력 하겠습니다. 먼저 5월 4주차의 경우 대규모 악성코드 유포 통로인 MalwareNet이 다수 활성화 되는 경향이 관찰 되어 "경고"로 ..
S.Korea millitary service Targeted attack without IE 8 zeroday ,Finally fireeye analysis is wrong. Targeted attacks (watering hole) against S.Korea national security institutes are emerged in 16 May. We worried about wrong information at this article: http://threatpost.com/ie-8-zero-day-pops-up-in-targeted-attacks-against-korean-military-sites/ A word 'Watering hole' means the infection attempts on the sites where the visitors are specific. In other words, the attacks lead to infect not norma..
IE 8 노린 제로데이 공격, 국내서 발생 (5월 3주차) IE 8 노린 제로데이 공격, 국내서 발생 *기사제공된 원문입니다. 최근 해외에서는 국가 및 공공 기관을 전문적으로 노리는 워터링 홀 공격(표적 공격)이 자주 발생하고 있다. 더욱이 이 공격에서는 제로데이 취약점(보안 취약점이 해결되지 않은 상태에서 공격 코드가 사용되어 실제적인 대응이 불가능한 취약점)을 활용하는 사례가 증가하고 있으며, 대표적인 예가 노동부(Department of Labor)이다. 지난 5월 3일, Internet Explorer 8 버전에서만 동작하는 새로운 제로데이 취약점(CVE-2013-1347)을 활용한 공격이 미 노동부 웹사이트에서 발견되었으며, 이후 추가적으로 8개의 다른 웹사이트에서도 동일한 공격이 있었다는 뉴스를 통해 전방위적인 공격이 있었음을 알 수 있었다. 실제 관..
안보 관련 연구소 대상 표적공격 (워터링 홀) 5월16일 발생- 기사원문 * 본 내용은 5.16일 발생된 내용에 대해 기사제공한 원문입니다. 안보 관련 연구소 대상 표적공격 (워터링 홀) 5월16일 발생 특정 대상들만이 주로 방문하는 사이트를 대상으로 한 악성코드 감염 시도를 워터링홀 (Watering Hall) 공격이라 부른다. 즉 일반인들이 상시적으로 방문하는 사이트들이 아니라 특정 계층이나 관련된 인사들만이 접근하는 사이트들에 악성코드 감염을 유도하도록 하는 공격을 말한다. 국내에서는 이미 2005년부터 게임관련 유저를 대상으로 발생된 사례가 있으며, 최근 해외에서도 웹서비스를 방문한 하여도 감염되는 이른바 Drive By Download 공격이 큰 이슈가 되고 있는 상황이다. 국내의 상황은 매주마다 비일비재하게 발생되고 있으나, 해외에서의 공격보다 더 큰 범위의 공격이..
대한민국 사이버보안, 변화가 필요하다. (위협과 대응전략) 국가차원의 사이버 전략 수립과 대응전략. 현재의 문제를 알고 전체를 리빌딩하라. 우리가 직면한 문제를 직시하고, 적극적인 문제 해결 방안을 고민하자는 취지에서 KAIST의 임채호 교수님과 공저한 책입니다. 저로서는 여러 공개문서들은 오래 전부터 써왔으나 책으로 낸 적은 처음이네요. 그 동안 쓴걸 모아서 책으로 내도 되지는 않을까 싶기도 한데.. 지금껏 해온 대로 facebook.com/bitscan 이나 본 블로그에나 계속 해서 정보를 올리는 수준으로 계속 하려고 생각 중입니다. 주의 환기가 필요할 때는 지디넷의 컬럼으로 쓸 예정입니다. 3월 이전에 모든 원고가 마무리 되었으나, 많은 일들이 있어서 이제서야 출간 되었습니다. 제한된 인원을 위한 발표와 세미나에서 언급하던 많은 내용을 책으로 기술하여, 단..