태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'전체'에 해당되는 글 437건

  1. 2015.03.28 구글 악성링크 차단 공개 ( 궤도위성의 탐지와 새로운 대안에 대해 ..)
  2. 2014.06.02 [빛스캔] 한국 인터넷 위협 요약-5월4주차
  3. 2014.06.02 Fireeye에서 발표한 Callback 순위 (C&C)를 통해 보는 한국의 수준
  4. 2014.05.26 [빛스캔]한국인터넷 위협 요약-5월3주 (대형 사이트를 통한 유포 지속)
  5. 2014.05.16 한노총,우정노조,화학노조 악성코드 유포 (APT 침입 대응 필요)
  6. 2014.05.15 [빛스캔]한국 인터넷 위협(요약)-5월2주차 (줌 파밍)
  7. 2014.05.15 [빛스캔]한국 인터넷 위협(요약)-4월4주차
  8. 2014.05.15 [빛스캔]한국 인터넷 위협 요약- 5월 1주차
  9. 2014.05.08 최대 규모의 공인인증서 탈취 확인 (확인된 인증서만 6,947건, 기간 1주일)
  10. 2014.04.28 망분리 맹신하다 당한 국가 기반망 - 해상관제망에 외부침입 흔적 (2011년)
  11. 2014.04.16 [ 빛스캔]한국 인터넷 위협요약 -4월 2주차
  12. 2014.04.14 인터넷상의 위험에 대한 책임과 의무에 대한 잡설
  13. 2014.04.09 OpenSSL 취약성의 심각성 [갱신]
  14. 2014.04.07 [빛스캔]한국인터넷 위협 요약- 2014년 4월1주차
  15. 2014.04.01 웹과 인터넷 그리고 세계진출 ( 한국은? )
  16. 2014.03.28 [빛스캔] 써드파티(플러그인 및 이벤트)서비스를 통한 심각한 수준의 악성코드 유포
  17. 2014.03.27 [빛스캔] 한국 인터넷 위협 요약-3월4주차 : 위기의 안드로이드
  18. 2014.03.20 "LTE급 재앙과 광대역 피해가 온다."- 유.무선을 동시에 공격
  19. 2014.03.20 [빛스캔]한국 인터넷 위협(요약) 3월 3주차 - 모바일과 결합된 공격
  20. 2014.03.13 [빛스캔] 한국 인터넷 위협 요약- 3월 2주차
  21. 2014.03.07 2012년 티켓몬스터 악성코드 유포-탐지내역
  22. 2014.03.07 [빛스캔]2014년 3월 1주차 인터넷 위협 요약- 경고
  23. 2014.02.27 [빛스캔]2월4주차 인터넷위협 브리핑 – “경고레벨 상향”
  24. 2014.02.26 [컬럼] “좀비PC 1대가 대형유통업체를 벼랑으로 몰다!”
  25. 2014.02.20 [빛스캔]2014.2월3주차- PCDS 요약- 변화된 파밍
  26. 2014.02.16 이스라엘. 사이버보안을 핵심으로? 우린 뭐하지?
  27. 2014.02.13 [빛스캔]2014.2월2주차 인터넷 위협동향-요약 (지마켓)
  28. 2014.02.07 [빛스캔] 2013년 한국 인터넷 위협 동향- 연간보고서
  29. 2014.02.03 [빛스캔]2013.12월 월간 - 한국인터넷 위협분석- 공개용
  30. 2014.02.03 [빛스캔]2014.1월4주차 한국 인터넷 위협동향-요약

구글 크롬 보안 기능, 파이어폭스서도 쓴다

새로운 세이프 브라우징 API 공개

http://www.zdnet.co.kr/news/news_view.asp?artice_id=20150327103601


이걸 하기 위해 무려 10년 가까운 준비를 한 구글.

이게 그냥 공짜일꺼라 생각하면 착각.

개인에게는 주어져도, 기업은 ?? 

게다가 몇년전 이야기 했듯이 제품제조하는 기업과 서비스 제공하는 기업에서 사용하려면 사용료는 ?...


근데 이 모든걸 제쳐두고 근원적인 질문인데!  구글이 경고하는게 과연 Just on time 일까? 2~3일의 차이는 온라인에선 광년과도 같은 차이이다.


누가 대응 할 수 있을까?

무엇을 준비 했을까?



아무도 안했다. 아니 못했다.!


게다가 엄청난 노력과 비용이 들어가는 서비스가 아닌 모두 그 당시의 기술로만 해결하려 했을 뿐이다.(국내의 사례를 들 필요도 없다.)

빠른 접속과 빠른 분석 그리고 거대한 스케일.  이제 경쟁 기업들은 넘을 수 없는 벽이다. 



그렇다면 과연 현실에서도 구글의 방식이 적합한가를 살펴 보는 것은 당연한 일이다. 

누구도 엄두를 내지 못하는 상황이 지금인데, 그래도 제한적 영역에서는 확인할 수 있는 내용은 있다. 그 제한적 영역이 전 세계에서 가장 강도높은 실험이 발생하는 한국이라면 의미가 없다고는 할 수 없다. 지금까지 사이버 보안 사고 Top 10을 꼽으면 그 중 3~4개는 항상 랭크되는 곳이 이곳이다.



구글의 문제는 "스피드"


 1.모든 클라이언트 단말까지 내려가는 정보( 언제 내려가나? )  

 2.탐지 정보의 신속성 부족 ( 2~3일 지연이다. 궤도위성을 생각해보면..)

    물론 전혀 몰랐던 자들에게는 늦었다는 것 조차도 모르고, 신선할 것이다.



구글의 생각과 기술보다 앞서 있는 공격자들을 넘기 위해서는 대규모도 필요하지만 무엇보다 중요한것은 "스피드"다. 2~3일 뒷북을 넘을 수 있는 스피드.


관찰을 기준으로 살펴보자. 지구를 관찰 하듯이 전 세계 인터넷을 관찰한다면 유형에는  두 가지가 있다. 궤도를 따라도는 궤도위성과 정지위성으로 나눌 수 있고, 그 위성의 용도와 같이 전 세계 인터넷을 관찰하는 것도 똑같다. 사이버 미사일을 요격하는데 주기적으로 도는 위성이 무얼 할 수 있을까? 미사일은 머리위에 있거나 이미 폭파 되었는데 요란한 사이렌만 울리는 것과 다를 것이 없다.



"궤도위성""정지위성"의 쓰임과 활용은 다르다. 


" 전 세계를 대상으로 서비스를 제공하는 구글의 입장에서는 서비스 신뢰성 차원에서 뒤늦은 정보일지라도 궤도위성이 정확한 판단이다. 그러나 서비스 제공이 아닌 생존의 목적이라면 달라야 할 것이다. 위험을 경고 하고 대응해야 하는 입장에서는 정지 위성이 존재해야만 한다."


인터넷 사용이 해외 사이트 사용 비율이 높다면 궤도위성 관찰이 도움될 것이고, 국내 사용 비율이 높다면 정지위성이 활용성 높다.  국내에서의 국내 서비스 사용 비율은 줄잡아  98% 이상 아닐까?   그렇다면 궤도위성으로 탐지되는 위험이 더 빠르고 정확할까? 정지위성으로 탐지하는 위험이 더 빠를까?  물으나 마나한 이야기다. 실생활에서도 


구글은 Bottom-up  방식이다. 모든 정보가 단말로 내려가서 대응을 하는 체계. API를 사용한다 해도 동일하다. 현재 문제 해결을 위해서는 Top -down 방식이 스피드 부족을 극복할 수 있는 방향에 가깝다.  



만약.. 정말 만약에  정지위성을 주요 포인트 국가에 올려 두고 관찰하는 개념이 된다면 다른 승부가 가능해진다. 


도위성이 관찰하는 사이버 공격과 위험은 공격 발생 이후 한참이 지나야 사이렌이 울린다.  정지위성은 공격 시점에 사이렌이 울린다. 초동대처의 중요성은 누구나 알 것이다.  



사이버 공간에서의 역량은 앞으로 "정지위성"의 확보를 하고 있는 것에 따라 확연한 차이를 보이게 될 것이다. 공격과 위험을 인지하는 역량이 전체에서 90% 이상이다. 궤도위성으로 탐지가 될 수 있을 것이라는 생각은 하지 않는 것이 바람직하다. 그나마 피해가 있었구나 정도의 사후 확인 정도일 뿐.  대응을 하고 싶다고? 그럼 현실을 직시하라.


현재처럼 네트웍 레벨에서의 IDS/IPS 관찰로 커버되지 않는 위협, 파일 단위의 악성코드 대응 ( 요즘은 몇초에 몇만개라고 하더라..)과 같은 것은 이미 대응의 범주에서 가장 낮은 영역에 있다. 관찰되지 않는 위협은 현실이 된다. 이미 한국은 현실이다.  미사일 요격으로 유명한 이스라엘의 아이언돔도 핵심 기반은 정확한 관찰이다.  관찰 정보가 부실하다면 여기저기 불바다는 당연한 일일 것이다. 지금까지 한국에서 발생된 대규모 사이버 보안 사고에서 언제 불이 안난 적이 있었나? 아니면 위험 경고의 목소리라도 있었던가? 


사이버 대응체계의 구축은 "사이버돔" 상공 위에서 날라오는 미사일을 볼 수 있어야 가능해 질 것이다. 지금처럼 머리 위에 보인 후에 대응하는 것으로는 날마다 새로워지는 공격기술과 전략을 넘을 수 없다.  아이언돔의 사례와 같이 정확한 관찰을 하고 정확한 지점으로 요격을 하는 것이 보호의 기본 전략이다.  



< 대응 개념도 및 정지위성의 관찰 중요성>



이제 구글은 거대한 결과물을 수확하려 한다. 경쟁자가 없다. 공격에 맞춰 고민한 새로운 전략은 아직 꽃피지 못하였다. 


춘래불사춘이나 봄은 반드시 오리라! -바다란


**구글의 준비 시작은 http://p4ssion.com/8 , http://p4ssion.com/10, p4ssion.com/11 

2007년에 작성하여 공개한 내용을 보시면 지금의 스탠스는 이미 예상된 것이죠.  근 8~9년 이상 다들 뭐 했더라?  Google online security strategy




Posted by 바다란

댓글을 달아 주세요

한국 인터넷 위협(요약) - 5월 4주차

 

발행일: 2014년 5월 28일

한국인터넷 위협 수준: 경고

 

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS를 통해 탐지된 국내 180여 만개, 해외 30여 만개의 웹서비스들에 대한 관찰을 요약한 내용이다. 금주에도 위협은 지속되고 있는 상황에서 주말에 대형 사이트를 통해 악성코드가 유포되는 현상이 지속적으로 나타나고 있다. 또한, 일부 레드킷이 국내로 유입되어 영향을 주고 있어 금주 역시 "경고" 수준으로 유지한다.

 

주요 특징(Main Features)

  • 위협 지속 – 대형 웹사이트를 중심으로 과감한 악성코드 유포
  • 악성코드 유포지의 변화 – 5월 2주차 이후, 국내 도메인 이용 비율 증가
  • 레드킷 – 일부 국내사이트를 통한 활동 증가
  • 금융 – 포털(네이버, 다음) 사이트 배너 광고를 통한 파밍 사이트 연결, 재출현

주간 동향(Weekly Trend)

[표 1. 5월 4주차 한국 인터넷 위협지수]

4월 5주차부터 한국 인터넷 위협지수는 계속 "경고" 단계를 유지하고 있는 가운데 악성코드의 위협은 현재까지도 이어지고 있으며 대형사이트를 중심으로 악성코드를 유포하는 현상은 여전히 반복되고 있다. 특히, 최근 공격자는 국내 도메인은 차단이 어렵다는 점을 이용하여 악성코드 유포지를 국내 사이트를 활용하는 비율이 높아졌으며 바이너리도 기존에 파밍 악성코드뿐만 아니라 키로깅 기능과 같이 개인정보를 탈취하기 위한 다양한 악성코드가 등장하고 있다. 특히, 금주에는 작년에 등장하였던 포털 배너광고를 이용한 파밍 악성코드도 다시 등장하였다.

[표 2. 5월 4주차 시간대별 통계]

시간대별 통계를 살펴보면 유포 빈도만 달라졌을 뿐 지난주와 비슷한 모습이 나타났다. 특히, 목요일부터 시작된 악성링크의 증가는 금요일까지 가장 활발한 활동을 보였으며 주말기간에도 특정 시간 때를 이용하여 악성코드가 유포되는 현상이 나타났다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

4월 4주차부터 5월 4주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 114건(47.5%)으로 지난주 보다 감소했으며, 미국이 93건(38.8%), 홍콩이 12건(5.0%), 네덜란드가 4건(1.7%), 이탈리아가 3건(1.3%), 폴란드가 3건(1.3%), 기타가 12건(4.8%) 등으로 나타났다.

주간 이슈(Weekly Issue)

[그림 1. yes24(yes24.com) 사이트를 통한 악성코드 유포 – 2014년 5월 24일]

 

온라인 대형 서점인 YES24(yes24.com)을 통해 주말기간 악성코드가 유포 된 정황이 당사에 의해 포착되었다. 참고로 YES24 웹사이트는, 지난 주말에도 악성코드를 유포하여 2주 연속으로 악성링크가 삽입되었다는 것을 보았을 때 공격자가 침입하는 통로에 대한 차단이 이루어지지 않은 것으로 판단된다. 특히, YES24는 국내 대표하는 온라인 서점사이트이기 때문에 출판정보 및 개인정보 유출도 심각히 우려되는 상황이며 하루 빨리 조치를 취하지 않으면 피해는 누적 될 수 밖에 없다.

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스(택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란

댓글을 달아 주세요


Fireeye에서 발표한  Callback 순위 (C&C)를 통해 보는 한국의 수준



< Fireeye callback list>


간단하게 악성코드에 감염된 좀비 PC가 얼마나 많은가라고 볼 수 있다.

본 테이블에서의 붉은 색과 파란색의 국가는 러시아와 우크라이나로서 말하고자 하는 의미는 국가간의 분쟁에 의해 사이버 위협이 증가하는 형태를 보이고 있다는 점을 설명한다.  그러나 휠씬 더 중요한 포인트가 있다.


한국은 항상 전 세계에서 Top 3를 벗어나지 않는 심각한 위협상황에 있다는 것. 국가간의 분쟁이든 뭐든 한국의 사이버 위협 상황은 심각한 상황에 있다는 점이다.  이 정도로 심각한 상황에 처해 있음을 정책 입안자나 기업의 CXO 레벨들은 알고 있을까?



순위표에서도  물론 감안해야 할 점들은 있다.  Fireeye 장비의 운영 비율도 상당부분 수치에 영향을 미친다는 점 그리고 Fireeye 장비가 감염이후 탐지라는 측면에서 탐지 비율이 모든 Unknown 공격을 커버할 수는 없다는 점이다.


미국이 부동의 1위인 것은 당연히 장비 설치 비율이 월등하기에 그런 것이다. 그리고 상대적으로 높은 비율이 아닐 것이 분명한 한국의 상황에도 어떻게 Top 3를 유지하는 것일까가 핵심이다. 



1. 한국을 대상으로 하는 원격 조정이 가능한 악성코드 감염은 매우 활발하다. 따라서 비교적 적은 설치 비율에도 상당히 많은 탐지가 발생되는 것이 증명



2. Securelist에서도 확인할 수 있듯이 원격조정 (Callback)이 가능한 트로이 목마 감염 비율이 압도적으로 높은 국가이다.



3. Fireeye의 경우에도 암호화된 통신 ( ssl , tor 등등)을 이용하는 C&C 탐지 비율은 매우 낮다. 따라서 전체 한국에 대한 위협은 생각보다 휠씬 더 높은 상황이라는 점이다. 


* 한국의 상황은 이제 Top3를 넘어 실질적으로 전 세계에서 가장 위험한 상황에 계속 처해 온 것이다.  내부에 있는 우리들만 자각하지 못했을 뿐이다. 결국 2013년의 치명적인 사고들을 겪었지만 지금도 달라진 것은 거의 없다. 오히려 공격들이 더 레벨업 된 상황에 직면하고 있는 "위기의 인터넷"은 계속 되고 있다.



뭐 별로 읽을 내용은 없지만 챠트를 참고한 기사는 다음과 같다.


http://www.cso.com.au/article/546505/_cyber-attack_frequency_increases_geopolitical_tension_analysis/


Posted by 바다란

댓글을 달아 주세요

 

  • Yes24, Korea.com , 다수의 상위 노조 , 대규모 사용자가 이용하는 P2P 사이트를 통한 악성코드 감염이 계속 관찰됨

한국 인터넷 위협(요약) - 5월 3주차

 

발행일: 2014년 5월 21일

한국인터넷 위협 수준: 경고

 

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30여 만개의 웹서비스들에 대한 관찰을 요약한 내용이다. 지난주에 이어서 신규 악성링크의 출현은 감소하고 있는 추세지만 영향력 측면은 지속적으로 증가하고 있는 상황이다. 특히, 금주에는 파일공유(P2P) 사이트를 비롯하여 영향력 있는 사이트에서의 악성코드 유포가 나타났다. 따라서 금주 역시 "경고" 수준으로 유지한다.

 

주요 특징(Main Features)

  • 신규 경유지 감소에도 불구하고 파급력 증가 – 효율적인 공격의 흐름
  • 영향력 증가 – P2P 사이트 최소 8곳 등 사용자 방문이 많은 사이트에 대한 공격 (P2P 사이트 최소 8곳 이상 동시 악성코드 유포는 올해 처음 관찰)
  • 금융 – 파밍 관련, 포트번호를 통한 특정 금융 사이트에 대한 공격 분류
  • 금융 – 파밍 공격, hosts(hosts.ics) 파일의 변조를 이용하는 공격 감소

주간 동향(Weekly Trend)

[표 1. 5월 3주차 한국 인터넷 위협지수]

4월 4주부터 시작된 신규 경유지의 하락은 5월 3주까지 이어지고 있다. 하지만, 신규 공격코드에 영향력은 증가와 감소를 반복하고 있으며 최근 3주 사이에는 경유지 대비 높은 파급력을 나타내고 있다. 특히, 금주에는 온라인 서점, 포탈 사이트를 비롯하여 8개 이상의 파일공유(P2P) 사이트를 통해 악성코드가 직접 유포 및 경유지로 활용되는 모습이 확인되었다. 이들은 대부분 동일한 파밍 악성코드를 유포하였으며 확인 결과 hosts(hosts.ics) 파일 변조 없이 파밍사이트로 연결하는 등 새로운 공격 방식이 꾸준히 나오고 있다.

 

[표 2. 5월 3주차 시간대별 통계]

시간대별 통계를 살펴보면 매주 유포범위가 바뀔 만큼 유동적으로 움직인다고 볼 수 있다. 특히, 최근 3주를 살펴보면 어느 특정한 시간대에 출현한다고 예측할 수 없는 만큼 초기 대응을 통해 광범위하게 분포되어 있는 악성링크의 영향을 줄여야 한다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

4월 3주차부터 5월 3주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 122건(48.4%)으로 지난주 보다 증가했으며, 미국이 102건(40.5%), 홍콩이 12건(4.8%), 기타(6%) 등으로 나타났다.

주간 이슈(Weekly Issue)

[그림 1. 코리아닷컴(Korea.com) 사이트를 통한 악성코드 유포 – 2014년 5월 18일]

주말 동안 파일공유(P2P)를 사이트를 중심으로 온라인서점, 포털사이트를 통해 악성코드 유포 활발히 이루어진 가운데 코리아닷컴(Korea.com) 포털 사이트 공용모듈에 비정상링크가 삽입되어 악성링크의 경유지로 연결하고 있는 모습이 발견되었다. 특히, 해당 모듈은 코리아닷컴(Korea.com)뿐만 아니라 연계된 사이트에서도 이 공통모듈이 활용되고 있었으며 해당 악성링크는 5월 18일 하루동안 활동을 하였으며, 다운로드되는 악성코드를 분석한 결과, 최근 이슈인 사용자의 금융정보를 노리는 파밍 악성코드로 확인되었다.

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스(택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란

댓글을 달아 주세요

한노총을 포함한 노조 웹 서비스들을 이용한 악성코드 유포 – 워터링홀 공격

각 노조에 소속된 조합원들이 있는 기업 및 단체에서는 내부 APT 형태의 악성코드 침입 가능성 높으므로, 대응이 필요합니다.

  • 최근 악성코드 유포는 국내 사용자 방문이 많은 웹 서비스에 악성링크를 삽입하여, 금융정보 탈취형 악성코드 이외에도 백도어들이 몇 주째 지속해서 유포되고 있는 상황이 지속되고 있는 가운데, 노동조합 구성원들이 방문하는 웹 사이트에 악성링크를 삽입하여 악성코드를 유포하는 정황이 탐지되었다.

한노총 : 한국 노동조합 총연맹 – 국내 최대 노동조합 연합. 단위노조 3374개 소속

우정노조: 전국 규모의 최대 단일 노조 – 우체국 종사원 노조 . 8개본부 5개 지부

화학노조: 화학 관련 산업 노동조합의 연합단체 . 2011년 428개 조직, 17개 업종

 

  • 위협경보의 "경고"레벨 상향 이후에도 활동이 활발하게 관찰되고 있다. 위험 수준 하향을 위해 빛스캔에서 수집된 정보를 이용하여 문제를 줄이고자 한다.

     

최근까지도 학원, 파일공유(P2P), 병원, 커뮤니티 등 불특정다수가 많이 방문하는 웹 서비스를 통한 악성코드의 감염이 활발하게 지속되고 있고, 특정 노동조합원들이 많이 방문하는 곳으로 전국 한국노동조합총연맹 서비스에 최근 2~3주 가량 지속해서 악성코드 감염이 발생되는 사안이 관찰되고 있다.

 

노동조합의 대표적인 한국노동조합총연맹 웹 서비스에 악성코드의 유포가 4월 14일경부터 계속되고 있는 상황이며, 5월 2주차에는 전국우정노동조합과 전국화학노동조합의 웹 서비스에서도 악성코드 유포 정황이 탐지되었다. 노동조합에 가입한 인원들과 접속을 하는 인원들이 대부분 현업에 종사하고 있는 직원이라고 볼 때 내부 침투용도로도 다양하게 사용될 수 있으며, 중요 기밀들에 대한 노출도 가능할 것으로 판단된다. 우정노조와 화학노조의 경우에는 전국의 우체국과 화학 관련 산업 종사자들을 악성코드에 감염 시킨 이후 추가적인 공격을 통해 영향을 미칠 수 있으므로 높은 수준의 주의가 필요하다.

 

최근 유포이력을 살펴보면 한국노동조합총연맹은 4월 14일 ~ 5월 14일 까지 악성코드의 영향을 받았으며, 일부는 대량 감염을 위해 형성된 다단계유포망(MalwareNet)과 결합이 되어 유포되는 현상도 관찰되었다.

 

[그림 1. 한국노동조합총연맹 웹 사이트 - 악성코드 유포 4월14일 ~ 5월15일]

 

[그림 2. 전국우정노동조합 웹 사이트를 통한 악성코드 유포 – 5월 14일]

 

 

[그림 3. 전국화학노동조합연맹 웹 사이트를 통한 악성코드 유포 – 5월 14일]

 

4.14일 한국노동조합총연맹 웹 사이트에 두 종류의 공격팩이 삽입된 악성링크 사례

경유지: inknara.co.kr/shop/xxxx/./index.html (공격코드 - 공다팩)
경유지1:
199.188.107.xx/xxx.html (공격코드 - 카이홍팩)

 

사용된 취약점 종류

3544-0507-1723-4681-5076-1889-0422-2465-0634 (gondad exploit kit)

3544-2140-4681-0422-1889-4969-3897-0634 (caihong exploit kit)

 

최종다운로드 링크: www.xxxxxxxx.co.kr/shop/haap.exe

최종다운로드 링크: 199.188.107.xxx/kbs.exe

바이너리 기능: 백도어, 파밍

 

5월 15일 현재 ( 13일 출현) – 한국노총, 우정노조, 화학노조 모두 동일 악성코드 감염

 
경유지: gangpan.co.kr/xxxx/index.html

경유지1: http://websmedia.co.kr/xxxxxx/index.html

 

공격유형: 3544-0507-1723-4681-5076-1889-0422-2465-0634 (공다팩)

최종 다운로드 : http://174.139.149.xxxx/zz.exe

바이너리기능: 백도어, 파밍

 

웹 사이트를 통해 접속자를 공격하는 기법은 공다팩(Gondad Pack) 이 사용되었다. 특히, 악성링크가 시간차이를 두고 교체되는 과정에서 기존에는 공격도구는 바뀌지 않았으나, 이번에 이용되는 과정에서는 공격도구도 함께 바뀌는 모습도 관찰되었으며 이들은 모두 파밍 악성코드로 확인되었다. 이들은 파밍 악성코드 기능 외에도 원격에서 통제되는 백도어 기능(좀비PC)도 동시에 가지고 있는 상태라서 위험성은 개인의 금융정보 탈취에만 국한 되지는 않는다.

 

현재 노동조합 관련 사이트를 크롬으로 방문 시에는 경고창이 활성화 되는 것을 볼 수 있으며, 유포가 발생 되었음을 간접으로 확인 할 수 있다.

 

 

최근 한국 인터넷의 위협레벨을 경고로 상향시킨 이후 관찰을 강화하고 있으며, 관찰 도중 발견된 공격자 서버에서 상당수의 좀비PC가 관리되고 있는 모습과 다수의 공인인증서도 수집해 놓은 상황이 관찰된 바도 있다.

 

특히, 최근에는 MalwareNet에 연동된 형태로서 상위 악성링크의 내용이 변경될 때마다, 공격 내용과 최종 악성파일이 변경 되는 형태도 계속해서 관찰이 되고 있어서, 시급한 대응이 요구되는 상태이다.

 

노동조합을 대상으로 한 악성코드 유포 시도가 많지는 않았지만, 최근 4월초에 지속적으로 발견이 되고 있다. 웹 서비스를 통해 악성코드가 유포되거나, 최종 악성파일이 업로드 되는 상황은 이미 공격자가 내부에 대한 접근 권한을 가진 상황이라고 볼 수 있다.

 

현재 빛스캔은 210만개 웹서비스 (국내 180만개, 해외 30만개)에 대해서 대량 악성코드 유포를 모니터링하고 있으며, 그 관찰의 결과를 매주 수요일 정보제공 서비스를 통해서 제공하고 있다. 기사 내용 문의 및 정보제공 서비스 문의 info@bitscan.co.kr

Posted by 바다란

댓글을 달아 주세요

한국 인터넷 위협(요약) - 5월 2주차

 

발행일: 2014년 5월 14일

한국인터넷 위협 수준: 경고

 

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30여 만개의 웹서비스들에 대한 관찰을 요약한 내용이다. 지난주에 비해 공격자의 활동은 줄어들었지만 일부 웹사이트를 통해서는 여전히 악성코드가 활동 중에 있으며 다수의 카운터 서버만을 삽입한 악성링크도 발견되고 있어 예의 주시가 필요한 상황이다. 따라서 금주 역시 "경고" 수준으로 유지한다.

 

주요 특징(Main Features)

  • 공세 약화 – 공인인증서 폐기 및 C&C IP 차단 등 적극적 대응으로 인한 효과로 추정
  • 단축 URL을 이용한 악성링크 재출현
  • 금융 – 채팅 창을 활용하는 피싱 공격 재출현
  • 금융 – 줌(ZUM) 포탈을 이용하는 파밍 공격
  • 일부 웹사이트를 통한 악성코드 유포 지속 – 포X스, 로또XXX, 더존XX 등

주간 동향(Weekly Trend)

[표 1. 5월 2주차 한국 인터넷 위협지수]

지난 주에 공인인증서 1만여건을 공격자 서버로부터 확보하고, 해당 내역을 관계기관과 협력하여 최종적으로 6천9백여건의 인증서를 폐기하고, 나아가 악성링크가 활용하는 IP 대역폭과 C&C 서버를 차단하는 등 적극적인 대응을 한 결과 위협이 조금 감소하는 모습이 나타났다. 하지만, 여전히 일부 웹사이트를 통해서는 휴일에도 악성링크가 지속적으로 활동하였고, 다운로드되는 악성 코드는 파밍과 관련된 것으로 분석되었다. 특히, 이번 사건 이후로 공격자가 다양한 국가의 VPN망을 이용하여 차단을 우회하려는 모습도 관찰되었다.

[표 2. 5월 2주차 시간대별 통계]

시간대별 통계를 살펴보면 평일 시간을 이용하여 주로 활동을 하는 모습이 나타났지만 지난주와 비교해보았을 때 악성링크의 활동은 조금 감소하는 모습을 보였으며, 금-토요일에는 거의 활동이 없었지만, 일요일 오전부터 다시 활동이 재개되었다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

4월 2주차부터 5월 2주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 98건(34.3%)으로 지난주와 비슷하였으며, 미국이 129건(45.1%), 홍콩이 18건(6.3%), 독일이 13건(4.5%), 스페인이 5건(1.7%), 이탈리아가 5건(1.7%), 네덜란드가 3건(1.0%), 기타가 15건(4.9%) 등으로 나타났다.

 

주간 이슈(Weekly Issue)

[그림 1. 포탈사이트 줌(Zum.com)을 이용한 파밍 플로팅배너 광고 – 2014년 5월 13일]

최근 사상 최대 공인인증서 폐기를 통한 이슈로 인해 파밍에 대해 관심이 높아진 상황에서 피해를 최소화 하기 위해 관계기관과의 협력을 통해서 파밍 악성코드에 대해 적극적인 대응을 하고 있지만 악성코드 유포는 계속되고 있는 상황이다. 파밍 악성코드 특징으로는 공인인증서 유출도 있지만 호스트 파일의 변조를 통해 가짜 은행 사이트로 연결하여 금융정보를 탈취하는 방법도 같이 사용된다. 특히, 포탈사이트 같은 경우는 파밍 플로팅배너 광고를 이용하여 가짜 은행사이트로 연결하려는 수법을 쓰고 있으며 기존에는 네이버, 다음, 네이트가 이용되었지만 최근에는 줌(Zum.com)사이트를 통한 파밍 플로팅 배너까지 등장하였다. 특히, 줌(Zum.com)은 최근 많은 사용자가 찾는 만큼 대중적인 사이트로 성장을 지속하고 있는 중이며 접속하는 사용자도 점차 증가하고 있는 상황이다.

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스(택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란

댓글을 달아 주세요

한국 인터넷 위협(요약) - 4월 4주차

 

발행일: 2014년 4월 23일

한국인터넷 위협 수준: 경고

 

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스들에 대한 관찰을 요약한 내용이다. 금주에는 지난주에 비해 위협이 증가하였고, MalwareNet이 결합된 형태로 대규모 감염이 발생하였고, 레드킷의 영향으로 인해서 '경고' 등급으로 상향 조정한다.

 

주요 특징(Main Features)

• 신규 경유지, 파급력 증가 – 국내 직접적 영향을 노린 악성링크 증가 지속

• RedKit 활동 활발 – OneDrive를 활용

• 금융 - 모바일 OS 감염을 노린 악성앱(.apk) 출현

• 최근 유포이력이 없던 곳에서 활동 재개 – 게임관련, 어학원사이트

• 패션관련 그룹 사이트 – 최소 5개 이상 웹사이트 악성링크 확인

• 다크쉘을 활용하는 악성링크 출현 – 공격 도구 수집 및 분석 中

 

주간 동향(Weekly Trend)

[표 1. 4월 4주차 한국 인터넷 위협지수]

악성링크의 활발한 활동은 지난 주(4월 3주)에 이어 계속되었으며, 신규경유지와 파급력의 수치는 지난주에 비해 더욱 증가하였다. 특히, 일부 발견된 악성링크는 기존에 활용되었던 다단계유포망(MalwareNet)과 결합되어 위협을 주었으며 유포에 활용된 사이트를 살펴보면 어학원을 비롯하여 게임관련 사이트와 쇼핑몰 및 대형유통업체 등이 포함되었다. 유포된 일부 악성링크 중에서는 지난 3월에 등장하였던 모바일 OS을 대상으로 하는 스크립트가 공다팩을 통해 다시 등장하였다.

[표 2. 4월 4주차 시간대별 통계]

시간대별 통계를 살펴보면 모든 시간대에 걸쳐서 악성코드의 활동이 활발이 이루어졌다는 것을 볼 수 있으며 특히, 화요일과 토요일에는 가장 활발한 활동을 보였다. 악성코드의 활동은 매주 달라지고 있으며 범위 또한 점점 확장하고 있는 상황이다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

3월 3주차부터 4월 4주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 160건(26.1%)으로 지난주와 비슷하였으며, 미국이 234건(38.2%), 독일이 74건(12.1%), 영국이 24건(3.9%), 스페인이 22건(3.6%), 이탈리아가 16건(2.6%), 네덜란드가 15건(2.4%), 폴란드가 12건(2.0%), 러시아가 7건(1.1%), 덴마크가 6건(1.0%), 기타가 34건(5.9%) 등으로 나타났다.

주간 이슈(Weekly Issue)

[그림 1. 카네스텐 홈페이지를 통한 레드킷 유포 – 4월 19일]

레드킷은 그 동안 해외에서의 주로 해외에서의 활동을 보였으며 국내로의 유입은 일부 있었지만 대부분 영향력이 없거나 정상적인 동작이 이루어지지 않은 준비과정에서 나타났다. 금주에는 카네스텐 사이트를 통해 올해 초 Skydrive로 연결하는 레드킷이 다시 등장을 하였으며 이번에는 Onedrive를 이용하였다. 공격에 활용되는 악성파일을 분석한 결과 애드웨어 목적의 악성코드를 추가적으로 다운로드 하는 모습이 나타났지만 동작을 하지 않았다.

 

카네스텐

  • http://www.avemariaprojects.xxx/xxxxxxxxxxxxxxx/xxxxxxxx.php
  • https://onedrive.live.com/download.aspx?cid=xxxxxxxxxxxxxxxx&resid=xxxxxxxxxxxxxxxxxxxxxxxx

[표 4. 카네스텐에서 공격에 활용된 악성 링크 및 관련 정보 – 4월 19일 20시경]

 

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스(택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란

댓글을 달아 주세요

한국 인터넷 위협(요약) - 5월 1주차

 

발행일: 2014년 5월 07일

한국인터넷 위협 수준: 경고

 

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스들에 대한 관찰을 요약한 내용이다. 지난주에 이어 신규 악성코드의 파급력은 지속적으로 상승하고 있으며 공격 방식도 다변화되고 있어 금주에도 '경고' 등급으로 계속 유지한다.

 

주요 특징(Main Features)

  • 신규 경유지, 파급력 증가 – 특정 IP 대역을 이용한 악성링크 활동
  • 파밍 공격과 함께 모바일 OS를 노리는 공격 증가
  • 금융 – 가짜 모바일 웹 페이지를 이용하는 악성 링크 출현
  • 금융 – 파밍 공격에서 이용되는 C&C 서버에 대한 공인인증서 1만여건(국내기관제공 및 언론기사화)
  • XX제약 – 인트라넷 사이트

주간 동향(Weekly Trend)

[표 1. 5월 1주차 한국 인터넷 위협지수]

5월 1주차 현재 신규 공격코드가 삽입된 악성링크의 활동은 줄어들고 있지만 파급력은 여전히 증가하고 있다. 지속적으로 파급력이 증가하는 이유는 지난주와 마찬가지로 악성링크가 영향력 있는 사이트에서의 유포가 이루지고 있기 때문이다. 금주 대부분 카이홍 공격킷을 사용한 공격이 증가한 가운데 그 동안 등장하지 않았던 IP 대역폭을 이용한 공격이 다시 등장하여 위협을 주었으며, 지속적으로 IP를 변경하여 차단 장비의 탐지를 회피하는 모습도 발견되었다. 최종 바이너리는 대부분 파밍 악성코드로 확인되었으며 이 과정에서 감염된 사용자의 실제 금융정보가 공격자 서버에 대규모 저장되어 있는 것을 확인하였다. 본 내용은 대응 이후에 추가 기사로 작성될 예정이다.

[표 2. 5월 1주차 시간대별 통계]

시간대별 통계를 살펴보면 악성링크의 활동 주기가 점점 짧아졌음을 알 수 있으며 유포되는 시간 역시 주말과 평일을 구분하지 않고 골고루 나타났다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

4월 1주차부터 5월 1주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 109건(28.7%)으로 지난주와 비슷하였으며, 미국이 173건(45.5%), 독일이 27건(7.1%), 스페인이 16건(4.2%), 홍콩이 12건(3.2%), 이탈리아가 7건(1.8%), 네덜란드가 5건(1.3%), 폴란드가 5건(1.3%), 아르헨티나 4건(1.1%), 기타가 22건(5.8%) 등으로 나타났다. 스팸메일 발송 용도의 레드킷 유형도 국내.외를 걸쳐 대규모로 발생 하였으나, 위협의 정확한 전달을 위해 통계 수치에서는 배제하였다.

주간 이슈(Weekly Issue)

[그림 1. 플라워365를 이용한 악성링크의 활동 – 2014년 4월 ~ 현재까지]

지난 4월 20일 꽃배달 전문 사이트인 플라워365가 악성코드를 감염시킬 수 있는 통로로 활용되었던 정황이 최초 탐지된 이 후 현재까지도 사이트 내부의 문제점이 수정되지 않은 상태이며, 더욱 우려되는 사항은 플라워365를 통한 직접적인 공격코드 유포 이외에도 또 다른 악성링크로 연결하는 경유지로 이용당하였다는 점이다. 게다가, 특정 시간대에는 다단계 유포망인 MalwareNet과도 결합되는 모습도 나타나는 형태를 보이고 있어 심각성이 매우 높다. 특히, 금주 차에는 일부 파일공유(P2P) 사이트를 중심으로 집중적인 유포 활동을 보였지만, 대응이 부족하였으며, 이로 인해 주말 동안의 파일 공유 사이트에 접속한 인터넷 이용자들은 악성코드에 감염될 가능성이 높았을 것으로 추정된다.

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스(택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란

댓글을 달아 주세요

"단 일주일 동안 최대 규모의 공인인증서 탈취 확인 (확인된 인증서만 6,947건)"

*2014년 5월 8일 오후에 제공된 기사전문입니다.

취약한 웹서비스를 통해 접속만 해도 감염되는 악성코드에 의해 단 1주일간 탈취된 PC용 공인인증서 유출이 2013년 PC와 모바일을 모두 합친 규모와 동일수준의 대규모 유출 사례가 확인 되었다. 또한 PC용 공인인증서만을 대상으로 한 사례이므로 전년도 PC용 공인인증서 유출 확인 이슈인 777건에 비해 1주일 동안 확인된 유출 건수만 6,947건으로, 단순 수치상으로도 최대 규모 유출이 직접 확인된 상황이다. 본 사안은 한국 인터넷상에서의, 웹을 통한 악성코드 대량 유포를 관찰하고 있는 빛스캔의 추적에 의해 유출 확인이 되었으며, 2014년 4월 25일부터 5월 2일까지 단 일주일간 국내 사용자들을 대상으로 악성코드 감염 이후 광범위하게 금융정보를 탈취한 정황을 확인한 첫 사례라 할 수 있다.

"2014년 2월 10일 노웅래 의원이 한국인터넷진흥원(KISA)으로부터 제출 받은 '최근 3년간 공인노웅래 의원이 10일 한국인터넷진흥원(KISA)으로부터 제출받은 '최근 3년간 공인인증서 유출 사고 분석'  자료를 보면 2012년 8건이었던 공인인증서 유출 사고가 2013년 말 7633건으로 늘어났다. 이는 전년에 비해 954배 증가한 것이다.

안드로이드 운영체제를 이용하는 스마트폰이 특히 공인인증서 해킹에 취약했다. 지난해 발생한 공인인증서 유출 사고의 90%인 6856건이 안드로이드 스마트폰에서 발생했다. 개인용컴퓨터(PC)를 통한 공인인증서 유출 사고가 지난해 777건 발생한 것과 비교하면 9배가량 높은 수치다. 그렇다고 PC도 공인인증서 유출 안전지대가 아니다. PC용 공인인증서 유출 사고는 2012년 8건에서 지난해 777건으로 100배가량 늘었다.

금융기관이나 공공기관을 가장해 전화나 e메일로 금융정보를 빼가는 피싱(Phishing), 소액결제를 유도하는 스미싱(Smishing) 범죄가 늘고 고도화되면서 공인인증서 유출 건수도 증가한 것으로 보인다.

기사참고: http://media.daum.net/economic/finance/newsview?newsid=20140210214912110"

 

 

일반적으로 파밍 악성코드 감염은 이메일이나 불법파일 다운로드에 의해 감염되어 발생된다고 알려져 있으나, 실제로는 웹을 통해서 더 심각한 금융정보 탈취 피해가 발생되고 있다는 것을 증명한다.

2014년 2월의 언론보도에 언급된 "최근 3년간의 공인인증서 유출 사고 분석" 자료에 언급된 내용에서 나오듯이 일년 전체가 아닌 단 1주일간 악성코드 감염 사례로도 지난해 유.무선을 합친 공인인증서 유출 사례건수와 동일한 상황이며, 모든 공인인증서가 PC용 공인인증서라는 측면에서 보면 2013년 피해 건수인 777건의 거의 10배에 달하는 대규모 피해가 1주일간에 발생된 것이 확인된 최대규모 유출 사례이다.

 

공격자들이 공인인증서를 탈취하여 보관하는 곳은 미국의 호스팅 서버에 위치하고 있었으며, 감염된 좀비 PC들을 대량으로 조정하기 위한 별도도구들도 운영을 하고 있는 것을 직접 확인 할 수 있었다. Host 파일의 내용을 변경해서 파밍 사이트로 연결 시키는 피해가 일반적인데 이번 사례에서 확인된 대량 관리 도구의 경우는 최대 5만대 가량의 PC를 조정할 수 있도록 제작 되어 있었다. 즉 동시에 대규모 감염PC들에 대한 Host 파일 변경과 PC에 대한 제어를 할 수 있도록 설정된 것이 확인 된 상황이다. 실제 피해와 일상적으로 발생되는 악성코드 감염이 알려진 것보다 휠씬 더 대규모 단위로 움직이고 있음을 추측 하게 하는 부분이다.

 

*2014년 4월 5주차 – 한국 인터넷 위협분석 –전문분석으로 제공된 문서에서 발췌

< 최대 5만대 이상을 관리하도록 설정된 대규모 Host 파일 변경 용도의 관리도구 화면>

 

공격자 서버의 접속로그를 통해서 살펴보면, 미국에 있는 호스팅 서비스 임에도 불구하고 한국내의 IP들이 상당부분을 차지하고 있음을 볼 수 있다. 즉 공격자들은 한국 인터넷 환경만을 대상으로 한 전문적인 공격을 실행하고 있고, 또한 금융정보 탈취를 위해 전문 도구들까지 제작하여 활용하는 상태임을 알 수 있다.

 

< C&C 서버의 특정일자 웹로그 분석 결과 >

 

한국 인터넷 환경을 위협하는 공격자들은 금융 정보 탈취를 위해 인증서를 탈취하고, 이후 차단에 대비하여 대규모로 정보를 변경하는 관리도구들까지 이용하는 실체가 처음 확인된 사례로서 일반적인 공격의 순서는 다음과 같다.

 

  1. 다수의 웹서비스를 통해 접속만으로도 악성코드에 감염되도록 설정
  2. 모든 접속자들은 취약한 Java ,IE , Flash 버전 사용시에 즉시 감염됨
  3. PC 내에 존재하는 공인인증서 파일을 암호 압축하여 관리서버로 전달
  4. 감염된 PC들은 별도의 좀비PC 관리 프로그램으로 관리함.

 

공격자 서버에 탈취된 대규모 금융정보들은 확인된 인증서만 6,947건이다. 유출된 공인인증서는 모두 한국인터넷진흥원(KISA)에 전달되어, 공인인증기관을 통해 신속히 가입자에게 유출 사실을 알리고 인증서 폐기 등의 조치를 완료한 상태이며, 금융정보를 탈취하는 해커의 서버(C&C)도 차단 조치 하여 추가 피해자가 발생되지 않도록 대응된 상황이다.

 

그러나 악성파일의 변형은 지속해서 생성이 되고, 매번 보안도구들의 탐지를 우회하고 있는 형태라서, 앞으로도 금융정보 탈취를 비롯한 다양한 문제들은 계속될 것으로 보인다.

 

< 공격자 서버에서 발견된 – 공인인증서 탈취 내역 – 디렉토리마다 압축파일로 존재>

 

현재 금융정보 탈취 유형이 한국 인터넷 사용자들을 대상으로 하는 공격자들 중에서 일부이고, 단 1주일간 감염으로도 사상 최대치의 인증서를 탈취하는 것이 확인된 사안이라는 점에서, 심각성은 매우 높다. 웹서비스 방문만으로도 감염되는 악성코드의 심각성은 단 1주일간의 악성코드 감염으로 지난해 전체의 수 십배에 달하는 인증서 유출이 확인된다는 것은 한국 인터넷의 위기 상황이 계속 되고 있다는 것을 의미한다. 단순한 홍보와 계도활동을 넘어서 웹을 통한 악성코드 유포에 대해 적극적인 예방과 피해 감소를 위한 적극적인 노력이 필요하다 할 수 있다.

 

금융정보 탈취 유형에 대해서도 단순히 사용자의 주의 촉구만으로는 현재 문제는 해결되기가 어려우며, 전체 환경 개선을 위해 각 서비스 제공자들의 강력한 노력들이 결합 되어야 문제는 해결 될 수 있을 것이다.

 

악성코드 감염 범위를 줄이기 위해, 국내 인터넷 서비스의 취약성을 개선해야 함은 물론이고 대량 유포에 이용되는 통로들을 빠르게 확인하고 차단함으로써 피해를 줄일 수 있도록 노력해야 현재의 위험들을 줄일 수 있을 것으로 본다.

 

지금 이 순간에도 또 다른 금융정보 탈취 및 좀비PC 확보를 위한 악성코드 유포들은 한국 인터넷 사용자들을 대상으로 계속 발생 되고 있다.

 

이번에 발견된 금융정보 탈취형 악성코드는 정보공유가 완료된 상황이다. 따라서 현재 보호나라에서 배포하고 있는 전용백신을 이용하거나, 시중 유무료 백신을 통해 치료가 가능하다.

* "공인인증서 유출 악성코드 주의하세요"  - KISA의 대응방안 참고하세요.

http://media.daum.net/digital/internet/newsview?newsid=20140508163007289

인증서를 PC나 인터넷 상에 보관하는 경우, 해킹을 통해 빼가기 쉽기 때문에 해커들의 표적이 되기 쉬우므로, 특수문자 포함 등 안전한 비밀번호 사용이 필요하며, 공인인증서 유출 방지 기능이 있는 보안토큰 등 안전한 저장장치에 보관하여 사용하는 것이 보다 안전한 방안이 될 수 있다. 그러나 근본적으로 악성코드 감염을 예방 하여야 하나, 일반 사용자 측면에서는 백신 이외에는 대책이 없는 상황이다.

감염을 예방하기 위해서는 Java, Flash, IE의 업데이트를 최신으로 유지한 상태가 되어야 그나마 감염을 줄일 수 있을 것이다. 근본적으로는 웹을 통한 대규모 악성코드 감염을 관찰하고, 조기에 대응 할 수 있도록 서비스 사업자 및 기업, 기관들의 각별한 노력이 필요함을 이번 최대 규모의 인증서 유출 확인 사례에서 확인 할 수 있다.

 

 


 

현재 빛스캔㈜는 국내 180만개의 웹서비스와 해외 주요 30만개의 웹서비스에 대해 대량 악성코드 유포를 관찰하고 있으며, 3년 이상의 누적된 데이터와 탐지 기술력을 바탕으로 악성코드 유포와 통로, 감염된 PC를 조정하는 C&C 정보까지 분석을 하고 있다. 최근에는 웹서비스를 통한 모바일 악성코드 감염도 관찰이 되는 상태이다.

매주 수요일 정보제공 서비스를 통해 한 주간의 한국 인터넷 위협동향을 전달하고 있다.

문의 info@bitscan.co.kr , 페이지 www.facebook.com/bitscan

Posted by 바다란

댓글을 달아 주세요

폐쇄망.. 헐..
접점 관리가 안되면 폐쇄망은 의미가 없다. 이미 오래 전 지적한 문제들인데.. 결국엔 이런 일들이?

망분리 하면 안전하다고 하는 인간들이 대체 누구인가?

 

http://p4ssion.com/157

http://p4ssion.com/20

http://p4ssion.com/84

http://p4ssion.com/128

http://www.dailysecu.com/news_view.php?article_id=4123

 

 

7중 방화벽으로 분리 되어 있다고? 개가 웃을 일이다.

 

모름지기 보안이란.. 할 수 있는 많은 부분들을 모두 해 놓은 상태에서 . 외부 접점에 대한 상시 관리, 접근제어등을 타이트 하게 해야 한다. 그 이후에도 만약을 대비해 보호 방안을 마련해야 하며, 실제 사고가 발생 했을 경우에는 유 경험자들을 이용하여 신속하고 과감한 대책들이 즉시 적용 되어야만 해결이 된다. 

이게 기본이다.

 

이런 국가 기간망에 해당하는 시설들이 외부에서 해킹을 당하고, 장악 당하는 상황은 매우 우려스러운 상황이다. 

 

 이번 세월호 대참극에서도 확인된 국가의 역량은 실제화된 전력을 투입함에도 비극적인 결과가 나왔는데, 보이지 않는 사이버 보안은 어떨까?

장부상으로만 존재하고, 매뉴얼 상으로만 완벽한 기능을 가진 장비들..

이건 재앙이다.

 

그리고 이런 문제를 숨기고, 회피하려한 책임은 매우 무겁다고 할 수 있다.
매우 쳐야만 할 것이다.

 

 

http://honam.newsway.kr/news/articleView.html?idxno=6368

 

 

(무안=뉴스웨이 호남취재본부 신영삼 기자)전남 진도 연안해상교통관제(VTS)센터의 레이더 기능 마비 원인이 외부 해킹에 의한 것일 가능성이 제기돼 충격을 주고 있다.

   
▲ 지난해부터 공식 운영에 들어간 진도 VTS센터(자료사진=서해지방해양경찰청 제공)
뿐만 아니라 시설 관할청인 서해지방해양경찰청은 단순한 부품 파손에 따른 고장이라고 주장하고 있어, 사건을 의도적으로 축소·은폐하려 한다는 의혹까지 일고 있다.

진도VTS센터의 기능마비에 대해 일부 전문가들은 ‘외부침입에 의한 해킹’이라는 주장을 제기하고 있으며, 해양경찰청에서도 이 부분에 대한 가능성을 열어두고 이미 관련 자료까지 확보한 것으로 확인됐다.

이 분야의 한 전문가는 <뉴스웨이>와의 인터뷰를 통해 해경이 하조도 레이더의 고장 원인이라고 주장하는 ‘도파관’은 안테나와 송수신기를 연결하는 4각의 연결케이블로, 주로 미국에서 생산해 수입에 의존하고 있으나, 절단될 경우 일반 절연테이프로 연결해도 임시 사용에는 지장이 없다고 주장했다.

결국 복구에 오랜 시간이 필요하지 않다는 것이지만, 하조도 레이더는 고장에서 복구까지 20여일이 소요된 것으로 미루어 해경의 ‘부품고장’이라는 주장을 믿을 수 없다는 지적이다.

또, 도초도 레이더의 고장 원인이라고 주장하는 마이크로웨이브 안테나 혼(M/W horn, 규격 PARABOLIC 8 GHz)의 경우, 도서에 설치된 레이더와 센터간의 무선통신 부품으로 이미 국산화 돼 있어 수급에 오랜 시간이 걸리지 않는다고 지적했다. 수리에 오랜 시간이 필요치 않다는 이야기다.

특히, 마이크로웨이브안테나 혼의 고장으로 통신이 두절돼 있던 도초도 레이더만 해킹이 의심되는 3월 22일 밤 외부접촉이 없었던 것으로 알려져, 지난달부터 시작된 진도VTS센터의 기능 마비가 외부 해킹에 의한 것이라는 주장에 무게가 실리고 있다.

뿐만 아니라 해양경찰청 관계자 역시 진도VTS센터가 기능 이상을 일으킨 시간대에 전산망을 통해 외부에서 접속한 흔적을 확인 했으며, 당시의 로그파일을 복사해 확보했다고 밝혔다.

또, 접속서버 주소가 인근 완도VTS센터의 IP라며, “완도서버에서 접속했는지, 아니면 외부에서 완도 서버를 경유했는지는 수사 중이라 밝힐 수 없다”고 말했다.

그러나 “조만간 만족할 만한 내용이 있을 것”이라고 말하고, ‘만족할 만한 것’에 대해 “외부침입과 관련해 만족할 만한 정확한 내용일 수도 있고, 아닐 수도 있다”며, 한 발 물러섰으나, 여전히 ‘해킹’ 가능성을 무게 있게 전망했다.

한편, 진도VTS센터의 레이더망이 이상을 보인 지난 3월 22일 밤 8시께를 전후해 인근 완도VTS센터의 서버를 이용, 가사도와 서거차도, 어란진, 하조도 시스템에 외부 침입 흔적이 남아있는 것으로 알려졌다.

해경이 확보한 이 자료에는 접속 서버로 이용된 완도VTS센터의 IP주소인 ‘172.16.3.13 VOC_WD02’와 접속 후 실행한 작업이 시간대별로 모두 기록돼 있으며, 외부접속자가 실행한 작업이 레이더의 실질적 기능인 목표물의 추적과 정보 생성 등의 역할을 하는 핵심프로그램을 삭제 ‘VET'기능을 마비시킨 것으로 알려졌다.

수사 결과가 아직 공개되지 않았으나, 결과가 외부 해킹에 의한 것으로 밝혀질 경우 해킹 배후는 물론, 국가의 중요 기간망을 해커에게 손쉽게 내어준 해경의 허술한 보안관리가 도마에 오를 것으로 보인다.

한편, 해상교통관제(Vessel Traffic Service)센터는 입·출항 선박 및 운항선박에 대한 해상교통상황 파악, 항로이탈이나 위험구역 접근, 충돌위험 등 해양사고를 예방하기 위한 선박교통관제, 선박운항현황 및 도선 예인선 운항계획 등 해상교통정보와 항만시설, 정박지 등 항만운영정보제공, 조류·조석·해상기상 등 선박 안전운항을 위한 항행안전정보 제공, 해양사고 및 비상상황 발생시 신속한 초동조치 및 전파를 위한 종합 관제센터다.

지난해 7월 15일부로 해양항만청으로부터 이관 받아 서해지방해경청이 운영하고 있는 진도VTS센터가 관할하는 해역은 도초도, 대흑산도, 추자군도, 어란진을 연결한 내측으로 진도 서망항 기점 반경 63㎞ 해역이며, 서남해의 뱃길 요충지로 면적은 제주도 면적의 2.2배인 3800㎢에 달한다.

/신영삼 기자

Posted by 바다란

댓글을 달아 주세요

 

금일 4.16일은 4월 3주차 정보제공 서비스가 발행 되는 날입니다. 블로그에 공개는 비정기적으로 진행되니 참고 하십시요.

주간 동향 요약의 신청은 info@bitscan.co.kr 로 하실 수 있으며, 무료입니다. 또한 정보제공서비스와 결합된 비트얼럿 서비스에 대해서도 관심을 부탁 드립니다.

 

한국 인터넷 위협(요약) - 4월 2주차

 

발행일: 2014년 4월 9일

한국인터넷 위협 수준: 주의

 

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS (Pre-Crime Detect Satellite)를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스들에 대한 관찰을 요약한 내용입니다. 금 주에는 일시적으로 위협이 소강 상태를 유지하고 있는 것으로 판단되어 지난 주와 동일하게 '주의' 등급을 유지하고 있으며, 주요 특징은 다음과 같습니다.

 

주요 특징(Main Features)

• 전체 발견된 유포지 증가 – 레드킷의 특정 시간 집중적인 유포(3주째 지속)

• 신규 경유지, 파급력 감소 – 지난주보다 더 낮은 수치

• 신규 악성코드 유포지 출현 – 모두투어(쇼핑몰), 점포라인

 

주간 동향(Weekly Trend)

[표 1. 4월 2주차 한국 인터넷 위협지수]

4월 2주 전체 발견된 악성코드는 레드킷의 특정 시간 집중적인 유포에 따라 수치가 급증하는 모습을 보였으며, 대부분 해외도메인을 통해 출현하였다. 특히, 일부 레드킷 중에서는 이전 형태와 다른 형태의 악성 자바스크립트가 발견되어 주의가 필요한 상황이다. 반면, 국내에 직접적인 영향을 주는 공다팩과 카이홍과 같은 공격 이슈는 거의 발생하지 않는 모습을 보였다. 하지만, 그동안 악성코드가 주기적인 위협을 가한 상태였으며, 금주에 수치가 낮아졌다 하더라도 안심하기는 이르다고 볼 수 있다. 특히, 현재도 악성링크의 공격코드는 빠져있는 상태에서 카운터 코드만 삽입된 사이트가 많이 존재하고 있는 상황이다. 금주 위협은 일시적으로 줄어들었으나 통로가 확보되어 있는 상태가 지속되고 레드킷 또한 변형의 움직임이 나타날 수 있어 한국 인터넷 위협 수준을 "주의" 단계로 유지한다.

[표 2. 4월 2주차 시간대별 통계]

4월 2주 시간대별 통계를 살펴보면 지난주와 달리 특별한 유포현상은 나타나지 않았다. 그 동안 주말을 이용하여 집중된 악성링크의 공격은 금주 소강상태를 보였다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

3월 1주차부터 4월 2주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 152건(15.8%)으로 지난주와 비해 감소하였으며, 미국이 419건(43.6%), 독일이 161건(16.8%), 스페인이 36건(3.8%), 영국이 27건(2.8%), 러시아가 21건(2.2%), 이탈리아가 21건(2.2%), 폴란드가 15건(1.6%), 덴마크가 14건(1.5%), 네덜란드가 14건(1.5%), 일본이 14건(1.5%), 아르헨티나가 13건(1.4%), 기타가 53건(5.3%) 등으로 나타났다.

주간 이슈(Weekly Issue)

[그림 1. 점포라인을 통한 악성코드 유포 – 4/2]

4월 1주 국내를 통한 악성코드의 공격은 한층 감소한 모습을 보인 가운데 일부 유포된 악성코드는 영향력 있는 몇몇 사이트를 통해 유포되었다. 특히, 월요일 이후 토요일에 소규모로 등장한 악성코드 가운데서는 모두투어에 관련된 쇼핑몰도 포함되어 있었으며 또한, 점포거래소인 점포라인을 통해서도 같은 악성코드가 유포되었다. 특히, 점포라인과 같이 거래가 활발히 이루어지는 상황을 보았을 때 악성코드 유포와 동시에 내부 DB까지 유출될 우려가 있는 상황이다. 최근 공격자는 학원부터 언론, 부동산, 여행사 등 취약한 사이트라면 어느 곳이든 노려 악성코드를 유포하는 상황이 지속되고 있는 만큼 각별한 대비가 필요한 상황이다.

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스(택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 ( 엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란

댓글을 달아 주세요

인터넷 환경이 엉망이 되어 버렸다.

 

"기사요약" - 보안을 전공한 사람의 가족에게 정교한 파밍과 피싱이 발생되어 실질적인 피해를 입는다. 그리고 그 피해의 책임 소명은 개인이 입증해야 하는 상황에 대한 글... IT 분야를 알면서도 당하는 데 다른 일반인들은 오죽하겠는가? .. 이게 지금 우리의 현실이다.

http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201404132047505&code=990303

개인에게는 너무나도 가혹한..
개인이 식별할 수도 없으며, 예방도 할 수 없는 상태에서 무엇을 하라는 것인가?피해에 대한 입증을 개인이 해야 한다라... 국민중 0.01%도 못할 일을 떠 넘기는 것이 과연 할 일이냐 말이다.

 

전부 자신의 책임이 아닌 듯이 미루기만 한다. 전체는 썩어가고 손대기 힘든 상황까지 몰려가고 있음에도 불구하고 각자의 책임이 아니라는 일관된 이야기만 하고 있다.

누가 무엇을, 무엇으로부터 지켜야 하는가?

 

불특정 다수를 대상으로 한 감염과 이미 수십 번도 더 유출된 개인정보들은 결합되어 완벽한 가짜 기관을 탄생 시켰다. 그리고 그 기관은 완벽하게 개인들을 속이는 상황.

해결책은 책임전가로 나오지 않는다. 당장의 손가락질을 피하고, 책임회피를 하려다 전체가 무너지는 상황은 이미 나온 상황. 앞으로도 그냥 "나만 아니면 돼!!" 정신으로 더 버티기는 힘들꺼다.

그게 금융기관이든 기업이든 .. 전체가 무너지는데 자신은 살아 남을 수 있을 것이란 생각은 하지 않아야 한다. 적수가 없는 티라노 사우르스도 생태계가 무너지자 소멸될 수밖에 없었다. 지금은 풀이 없어질 뿐이다. 그 뒤에 초식 공룡들이 사라진다. 그 다음이 바로 당신들의 차례.. 

아직 차례가 오지 않았다고 . 즐기기엔 너무나도 짧은 시간의 유희 아닐까? 여기가 어디? 초고속 인터넷의 나라!. 여기는 초고속 악성코드 확산의 나라!!

대책은 간단하고 어렵다. 뭐든 자기 것을 버린다는 것은 어려우니까.. 그래서 이렇게 무너지고 있는거다.

* 책임전가 하지 마라. 


* 문제 해결을 위해 노력하라 . 소탐대실. 악성코드 전역 제거를 누가 나서서 하면 어떻겠는가? 다만 누군가가 해주겠지? 하다가 모두가 늪에 끌려 들어가서는 안될 것이다. 그러나 국가기관이나 금융기관 어디도 공익을 위한 대범한 활동은 없다.

 

 

누린만큼 이젠 환경 개선을 위해 노력하라!!

 

인터넷 뱅킹도 검색도 모두 지뢰밭이 되어 가는 상황.

누가 밟고 터질지 모르는 상황에서 환경의 개선은 어떻게 해야 하는가?

몇몇 기관이나 기업이 책임질 수 있는 상황을 넘은 상태인 지금.

금융기관은 인터넷 뱅킹을 통해 얻은 수익 , IT 업체는 인터넷을 통해 얻은 수익등이 지난 10년 이상 누적이 되어 왔을텐데 과연 환경개선을 위해 얼마나 노력을 했던가?

 

 

모두가 자신의 책임이 아니라고 하지만 그 공공재와 유사한 인터넷을 통해 수익을 창출한 것은 명백한 사실. 이번 OpenSSL 버그에서 보듯이 무료로 제작된 Open source를 이용한 제품이나 활용처는 인터넷 전반에 걸쳐져 있다.  보안을 비롯해서 네트워크와 서버의 운영에 이르기까지 광범위하게 이루어져 있지만 그 댓가를 지불한 곳은 거의 없다.

 

 

핵심 분야에서 문제가 발생되면 피해는 전체에 엄청난 영향을 주게 된다.  이번 하트블리드 사건의 경우에도 누구에게도 책임을 물을 수는 없다. 그럼에도 불구하고 영향은 전 세계 인터넷 사용자들과 서비스 제공자들이 받게 된다. 

 

 

인터넷상에서의 보안이라는 측면도 동일한 관점에서 볼 필요가 있다.  수익을 추구하는 도구로서 인터넷을 백퍼센트 활용하였고 지난 10년 이상 엄청난 수익을 벌어 들인 기업들은 주위에 널려 있다. 그러나 나는 그런 기업들이  환경의 개선과 정화를 위해 진심으로 노력을 했고, 지금의 위험을 개선하기 위해 고민하고 있는지는 정말 모르겠다.

 

 

수천억의 수익을 매년 인터넷이라는 매개체를 통해서 벌어들이면서 환경의 개선에는 노력을 하지 않는 기업들. 창의적 발상이라는 것도 토양이 있어야  유지가 될 수 있고, 빛을 발할 수 있는 것이다.  토양이 썩어 가는데 더 자랄 수 있는 것들이 있을까? 

 

 

네트워크란 말은 서로가 이어져 있다는 이야기이다.  모두 이어진 환경에서 내 자신의 영역만을 지킨다는 것이 과연 가능키나 한 이야기 일까?  전체 환경을 개선하지 않는 상황에서 나아질 수 있는 것들은 많지 않아 보인다.

 


금융기관이나 기업들은  전자상거래를 통해 벌어들인 수익을 일정 수준 환경 개선에 투입을 해야 할 것이다.  ( 중독치료등 보다 수백 배 이상 더 중요한 것은 진짜 위험한 환경의 개선이다.  - 인터넷 중독 치료와 같은 생색내기는 언급을 하지 말자.)  또한 인터넷 기업들도 수익의 기반이 되는 환경이 개선 되어야 신뢰는 물론이고 위험을 예방 할 수 있다. 그리고 지금은 직접적인 위협의 대상이 되고 있다는 것은 부정할 수 없는 사실이다. 자신들이 대상이 되고 있음을 모르는 것일까?

 

 

수익은 계속 얻기는 바라지만, 환경개선은 내 책임이 아니다라는 사고 방식은 전체의 공멸을 가져온다.

 

 

이미 환경은 극도로 악화된 상황에서 신뢰는 깨어진 상황.

당신들의 비지니스는 얼마나 유지가 될까?
환경의 개선이 없는 비지니스가 가능키나 할까?

생각들 좀 하고 살자.  책임감이라도 가지던가!!

 

 

 

- 바다란

 

Posted by 바다란

댓글을 달아 주세요

미국시간으로 2014.4.7일 OpenSSL HeartBeat 취약성에 대한 발표가 있었습니다. 또한 패치도 있었으나 문제의 심각성과 여파에 대해서 제대로 인지를 못하는 것 같아서 facebook 에 올렸던 내용을 묶어서 하나의 단락으로 올립니다.


취약성 개요:

https://www.openssl.org/news/secadv_20140407.txt

OpenSSL Security Advisory [07 Apr 2014]
========================================

TLS heartbeat read overrun (CVE-2014-0160)
==========================================

A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for
preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS

 

입력값에 대한 경계체크가 안된 관계로 연결된 클라이언트나 서버에 대해 64k에 해당하는 메모리 값을 계속 읽어 올 수 있다는 부분입니다. 이 문제만 보았을때는 특별한 이슈가 없을 수 있으나,이 취약성이 네트워크에서의 암호화 전송 상당부분을 담당하는 OpenSSL에서 발생된 문제라는 점에서는 심각한 문제가 발생 될 수 있습니다. Private key가 노출 될 수 있기 때문이죠. 이 문제의 심각성은 다음 예시로 대체.


왜 치명적인 문제인가?

 

애플이 인증서가 있죠? https 라고 뜨잖아요.

애플은 Private Key를 가지고 있고 사용자가 웹서비스 접속시 Public key를 받습니다.

그리고 사용자가 통신을 할때 Public key를 가지고 암호화를 해서 애플로 전달하면 애플은 자신이 가진 Private key를 가지고 복호화를 하게 되죠. 이게 초기의 키 교환 부분인데..

 

기업의 웹서버에서 인증서를 발급 받아 이용한다는다는 것은 각 인증서 마다의 Private , Public 키 세트를 가진다는 거죠.

  

여기에서 가장 중요하게 지켜야 할 것이 Private 키입니다 이게 만능열쇠 이니까... 그러나 OpenSSL 취약성을 이용하여 메모리 정보를 계속 읽어오게 되면 결국에는 Private 키 정보까지도 알아낼 수 있다는 거죠. 그렇게 되면 애플로 접속하는 모든 암호화된 통신들을 열 수 있는 열쇠가 되는거죠.

 

그냥 암호화가 아니고 평문으로 볼 수 있는 상태라고 해야 하나?

 

이런게 전 세계의 66% (Apache + Nginx 사용비율) 서비스에서 가능성이 있다고 생각해 보세요. 그리고 이름만 대면 아는 대부분의 유명 서비스들에서 발생 될 수 있다면 이건 .심하게 말하면. 재앙이죠.

 

개인의 정보라는게 암호로 지켜지지 않으니..

문제는 웹서비스뿐 아니라 이메일, VPN 등등 모든 부분에 이용 비율이 높다는 점!

 

* 전 세계 웹서비스에서 차지하는 비율은 다음링크 참고 : http://news.netcraft.com/archives/2014/04/02/april-2014-web-server-survey.html 



문제는 심각성을 제대로 인지하지 못하고 있다는 점이라 할 수 있겠죠. 또한 패치가 나와서 문제가 없다는 측면은 다릅니다. 사실 이 취약성이 몇년전 부터 알려져왔고 한국시간으로 4.8일에 공개되었다는 점을 본다면 그 이전의 영향력은 비교하기가 힘들 것으로 보입니다. 패치의 문제를 벗어나는 순간이 되겠죠.

 

"신속히 패치가 나온다 하여도 전체 서비스에 적용하는 것은 신속하게 되기가 어렵습니다. 연결된 구조와 의존 관계등을 면밀히 고려하지 않으면 또 다른 장애와 직결되는 문제들이 있을 수 있거든요.

  

단일 서비스의 경우에는 바로 해결 할 수 있으나 연결된 서비스나 연동 서비스가 많을 경우는 패치 적용 부터가 난감한 이야기죠. 게다가 서비스 중지도 해야 하는 것이구요.

 

취약점은 이번에 공개가 된 것뿐이지만 만약 공개 되지 않았다면? 이런 전제를 하면 문제는 상당히 심각해 집니다. 이런 유형들이 얼마나 많을지는 생각하기도 어려운 상황이구요.

  

현실의 위험은 상당히 큰 수준으로 존재하고 있고 사용자 PC 단위 이외에도 서비스 영역에서도 언제든 문제가 발생될 수밖에 없는 부분이라는 것을 보았을때는 전체 구조는 다른 방향으로 변화해야겠죠."

 

 

Private Key 노출 가능성 확인된 이후 바로 작성한 글은 다음과 같습니다.

 

XP 종료 따위가 문제가 아니라, 전체 암호화 트래픽을 스노든이 NSA 평문 접속하듯이 할 수 있는 OpenSSL 취약성이 진짜 긴급 대응을 해야 하는 것 아닌가? 이건 지금 당장 발생 되고 있는 긴급한 이슈인데~ 그것도 거의 모든 트래픽들 다수가 영향을 받는데.


최근 PoC 코드들까지 모두 양산된 모양 .
OpenSSL 의 heartbeat bound check 미비로 인해 64k 분량의 정보들이 덤프로 채워져서 마구 노출된다는 이야기. 암호화 되어야 하는 서버와 클라이언트간의 통신이 그대로 풀린 상태로 노출된다는 것. 영향 받는 곳들 매우 많을 곳으로 예상됨.


64K 정보 내에서 Private key를 뽑아 내면 암호화는 그대로 풀려지는 것이고 , 아니라면 정보를 64k 씩만 계속 뽑아내도록 하면 필요한 정보들은 계속 받을 수 있는 것들이고~~ 오래갈 문제.


서비스 운영 중인 곳들이 대부분인데, 중단하고 해야 할 텐데.. 시간은 오래 걸릴 것이고 그러다 보면 정보노출 범위는 계속해서 확대될 것으로 보임. ( 컴파일해서 언제 라이브러리 적용 하노? 이건 정말 몇 년에 한번 할까 말까 한 일을 며칠 사이에 다 해야 하는 상황인 듯 ) 어떻게 보면 오래된 OpenSSL 버젼은 괜찮다고 하는데 라이브러리 구성에 따라서 다른 것들 이다보니~~ 답은 없다. 확인 해 보는 것이 필요!


상업용 서비스나 OpenSSL 이용해서 SSL이나 TLS 암호화 구성하는 라이브러리 이용하는 모든 곳들은 점검이 필요함.


저기 금융권이나 통신 , 메시지 , SNS 업체들 모두가 필요할 듯.

* 어디 있더라? OTP 에 SSL만 쓰면 안전하다는 분들은?

상세 취약성 관련 내용

http://heartbleed.com/

아래는 보안권고문 - Dependency 관계로 업그레이드 여의치 않으면 핫빗 안 쓰도록 옵션 주고 다시 컴파일 하랍니다. 허허 이 이야기는 서비스 중지 시키란 이야기죠.
https://www.openssl.org/news/secadv_20140407.txt


*참고로 SSL + OTP 로 개인에게 설치되는 공인 인증서를 대체 할 수 있다는 Opennet의 경우에도 웹서비스의 인증서에서 핵심인  Private Key 유출 가능성을 가지고 있었습니다.

 

 

 

결론:

 

결론에 대한 내용과 제 생각은 올린 글로 대체 합니다.

 

 

냉정하게.. OpenSSL Heartbeat 을 이용한 Private key 유출 가능성이 가지는 심각한 문제성에 대해 모른다면 ..어디 가서 해킹이네, 보안이네 안다고 하지 마라.! 전문가라고도 하지 말고.. (기술적 보안 분야에서 )


그리고 어제 밤에 단순 패치 인줄 알다가, 내용 확인하고 진땀이 흘러서 급하게 썼는데 .. 참나~ 자격증도 없지만 씨사나 씨습 자격증이나 학원에서 공부한 학생들도 Private key (이건 개인이 가지는게 아님) 가 유출되면 어떤 문제가 발생될 지는 알겠다.


생각들 해야 할 듯. 전 세계 66% 이상의 서비스들에 대해서 투명창으로 내부를 다 들여다 볼 수 있는 ..집집마다의 열쇠들을 도둑이 모두 가질 수 있다는 가능성을.. 이미 가졌을 수도 있고~


보안서버? 암호화? - 이런 건 기업에서는 어쩔 수 없이 당할 수 밖에 없다. 그러나 체계가 잡힌 조직이라면 영향력 파악 , 대응 절차, 실행 , 관찰 프로세스로 나간다. 그냥 대충 땜빵들 하고 업데이트 했으니 끝났을꺼라고 하지만 취약성은 이미 몇 년전에 나온 거구.. 공개만 어제 된 것일뿐. 그 사이 뭔 일이 있었을까?


해킹 ? 보안? 전문가? 헐..


파급력은 커녕 위험성 평가도 제대로 안되는 판국에 무슨 대응이란 말인가? 사안이 인지도 안되면 그 다음은 없는 거나 마찬가지다.


국가는 떠나서 일개 기업이나 단체에서라도 파급력과 영향력을 파악하고 대응방안과 신속한 실행을 해야 하는데 그걸 누가 해야 하는가? 기업내에서도 "현재 운영 중인 서비스 잠시 중단 해야 합니다" 라고 말도 못 꺼내는 입지라면 하나 마나다.


진짜 전문가와 전략가는 이 순간에 경영을 위협하는 심각한 리스크를 인지해야만 한다. 그리고 결단을 하고 실행을 해야 한다. 근데 우리나라에 있는 CIO나 CSO , CISO 분들 중에 이럴 분들이 있을까?

답은 잘 아실 듯.



*참고로 우리는 이런 심각한 상황을 맞이 했음에도 불구하고 XP 종료 대응이라는 이벤트만 했을 뿐이다.


- 바다란

 

===== 추가 ====== 

대응:

 

단순 패치  참고   - http://yisangwook.tumblr.com/post/82056087918/openssl-heartbeat-heartbleed 

 

기업이나 서비스의 상황을 살펴 보면 단순한 패치로 문제가 해결되기 어렵습니다.  1차적으로 SSL 이용하는 부분에서 OpenSSL 사용유무 확인 및 패치는 기본 적용

 

1. SSL 버젼 확인 - 패치 적용 , 기본

 

2. 업그레이드 불가한 곳은 OpenSSL 연결 패키지 Heartbeat 옵션 제거후 재컴파일 및 사용

 

3. 대외 서비스의 경우 ( 중요도가 높거나 사용자가 많은 곳) 서비스 SSL 인증서 재발행 필요

 

4. 전체 IP 대역에서의 443 포트 활용 및 SSL 활용 유무 체크

  - SSL Heartbeat 취약성을 이용해 메모리 값을 불러 올 수 있는 진단 프로그램 전체 활용

 

5. 보안 제품 , VPN , 메일 등등 모든 제품에서의 SSL 옵션 사용하는 곳들도 동일하게 확인

 

* 이 과정에서 서비스들이나 네트워크들의 간헐적인 중단이 될 것입니다. 또한 보안 장비들도 거의 모든 장비들이 SSL 지원을 하고 있으니 그 부분들도 모두 체크를 해 보셔야 됩니다.

 

*서버의 메모리 값을 읽어 간다는 것은 메모리내에 풀려진 모든 값들을 어떻게든 가져갈 수 있다는 것이 됩니다. 그래서 가장 우려하는 Private key도 유출될 가능성이 높다는 것이죠.  현재는 취약한 서비스들 ( 생각보다 휠씬 더 많습니다. )에서는 세션정보 , 평문으로된 ID/Password 연결 정보등이 노출이 되고 있는 상황임을 염두에 두세요.    

현재 상황은 private key 유출은 확인 되지 않았으나 정보들은 유출 되고 있는 상황입니다. 또한 로그들도 안 남는 상태라 문제는 심각하죠.

 [Mark Loman (@markloman)] Do not login to Yahoo! The OpenSSL bug 'heartbleed' allows extraction of usernames and plain passwords!

사진: [Mark Loman (@markloman)] Do not login to Yahoo! The OpenSSL bug 'heartbleed' allows extraction of usernames and plain passwords!

Posted by 바다란

댓글을 달아 주세요

한국 인터넷 위협(요약) - 4월 1주차

 

발행일: 2014년 4월 2일

한국인터넷 위협 수준: 주의

 

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS (Pre-Crime Detect Satellite)를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스들에 대한 관찰을 요약한 내용입니다. 현재 인터넷 위협 수준은 '주의'로 지난 주 "경고"보다 한 단계 하향조정 하였으며, 주요 특징은 다음과 같습니다.

 

주요 특징(Main Features)

• 신규 경유지, 파급력 감소 – 악성코드의 제한적인 범위 활동

• 악성코드 유포지로 지속적인 이용 – 베가디스크

• 신규 악성코드 유포지 출현 – 박문각, 고도몰 등등

• 악성코드의 특정 시간 때의 활동 – 3주 연속 주말의 집중적인 유포

주간 동향(Weekly Trend)

[표 1. 4월 1주차 한국 인터넷 위협지수]

4월 1주 전체 발견된 유포지는 지난주에 비해 증가하였지만, 신규 경유지 및 파급력은 감소하는 모습이 나타났다. 감소한 이유로는 레드킷의 활동이 특정한 시간대에 몰림과 동시에 직접적인 영향을 주는 악성코드 유포 줄어들었기 때문이다. 금주 역시 파일공유(P2P) 사이트를 통한 악성코드 유포는 지속되었으며 새롭게 특정 쇼핑몰과 학원사이트를 중심으로 악성코드가 유포되는 현상이 발생하였다. 하지만, 지난주에 등장하였던 모바일 악성코드를 동시에 유포하는 형태는 등장하지 않았지만, 새로운 취약점이나 공격 기법을 탑재하여 다시 등장 할 우려가 있는 만큼 지속적인 관찰이 필요하다. 참고로, 한국 인터넷 위협지수를 "경고" 단계로 한 단계 하향 조정하였지만, 악성코드 유포의 움직임이 언제든 다시 활발해질 수 있어 예의주시하고 있는 상황이다.

[표 2. 4월 1주차 시간대별 통계]

3월 3주부터 시간별 통계를 확인해보면 주말을 이용한 악성코드 유포의 움직임이 지속되고 있는 상황이다. 4월 1주, 역시 금요일 오후 ∽ 토요일 오전까지 가장 많은 유포 빈도수를 보였으며 지속적으로 취약한 시간 때인 주말을 이용하고 있는 상황이다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

2월 4주차부터 4월 1주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 194건(17.3%)으로 지난주와 감소 하였으며, 미국이 472건(42.1%), 독일이 171건(15.3%), 스페인이 46건(4.1%), 이탈리아가 33건(2.9%), 영국이 31건(2.8%), 러시아가 23건(2.1%), 브라질이 21건(1.9%), 네덜란드가 18건(1.6%), 폴란드가 16건(1.4%), 일본이 15건(1.3%), 덴마크가 14건(1.3%), 아르헨티나가 13건(1.2%), 기타 53건(4.8%) 등으로 나타났다.

 

주간 이슈(Weekly Issue)

[그림 1. 박문각 학원을 통한 악성코드 유포 – 3/30]

 

최근 공격자는 언론/방송사와 같은 많은 사람들이 접속하는 사이트에 악성코드를 유포하는 모습이 자주 관찰되고 있는 가운데 학원사이트도 빼놓을 수 없는 유포지 중 하나이다. 대표적으로 최근에는 해커스와 이익훈어학원이 악성코드를 유포한데 이어 금주에는 박문각 학원사이트를 중심으로 악성코드가 유포되는 정황이 포착되었다. 악성코드 유포에 이용된 사이트는 박문각 중개사학원을 비롯하여 출판, 임용고시, 스파에듀까지 서비스를 하는 모든 페이지에서 유포되었다. 곧 상반기 공채시즌이 돌아오면 학원 수강생들이 더욱 몰릴 것으로 보이는 만큼 대비가 필요한 상황이다.

 

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스(택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 ( 엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란

댓글을 달아 주세요

웹과 인터넷의 세상.
앞으로도 더 깊숙하게 연결될 수밖에 없는 상황.

"한국에는 세계를 보는 눈도 부족하며, 변화의 관찰도 부족하다. 그리고 세계로 진출 하고자 하는 의지가 있는지도 의문"

거의 3년 이상을 산업과 시장의 현실에 부딪혀보니 느껴지는 바가 있다. 모든 것이 연결된 세상이라는 것은 이미 국경이나 영역이라는 의미는 무의미한 상태가 됨을 의미한다. 의도하지 않는 세계화는 이미 되어 있다는 것이다. 단지 강제적인 규제와 규정으로 속도를 지연 시킬 뿐. 속도의 지연은 전체의 낙후라는 또 다른 문제를 야기 시킨다.

전체가 연결되는 거대한 웹과 인터넷의 세상에서 서비스와 비즈니스의 핵심 요소는 세 가지다.

재미 , 생산성, 보호 

이 세 가지 틀을 벗어나는 비즈니스는 거의 없다. 
재미 + 보호 , 생산성 +보호와 같은 모델이 되어야 함에도 불구하고 한국 내에서 세계 시장 진출을 이야기 하는 곳들은 약간 다른 방향이라고 해야 할까?

왜 한국의 IT 관련 대기업이나 전문기업들은 아직도 세계 시장의 주류에 진입을 하지 못하는가? 그 이유는 통찰력과 실행력의 부족에 기인할 것이다. 전체를 흔드는 것이 무엇인가? 남들과 다른 핵심적인 가치는 무엇인가? 구글이나 애플과 다른 방향을 가진 것이 하나라도 있을까? 아니면 그들보다 나은 무언가를 축적하고 있을까?

없다. ! 준비도 없고, 앞날도 보지 못하는 상황.

그나마 가장 많이 가진 것은 빠른 속도, 국민 대부분의 인터넷 생활의 일상화 정도라고 해야 하는데 오히려 이런 장점들은 공격에 집중적으로 이용되는 상황이 되어 버렸다. 여기서 살아날 길은 도망간다고 살아나는 것이 아니라, 정면으로 부딪히고 노력을 할 때에야 극복이 가능해 진다. 

뭐 더 길게 이야기 하고 싶지만 시간을 더 뺐기고 싶지는 않다.
짧게 줄이면.. "한국의 IT 기업이나 서비스 기업들은 세계 시장을 진출할 준비가 부족하다. 또한 핵심 컨텐츠의 확보와 축적도 없었다. 반대로 더 큰 성장을 희망하고 나아가고자 하는 서비스 기업들은 핵심 컨텐츠의 확보와 축적에 많은 노력을 기울여야만 가능해 진다는 이야기이기도 하다. "

그 핵심 컨텐츠의 하나 중에서 즉시적인 효과를 가지는 것은... 세계를 유린하는 공격자들을 감내할 수 있도록 만드는 체계와 데이터로 본다. 

무엇이 전체 인터넷에 영향을 미칠 수 있을까? 그 답은 보호라는 이름의 Security이고, 단기간의 신묘한 기술을 의미하지는 않는다. 장기적으로 영향력을 가지려면, 전체를 관통하는 핵심과, 꾸준한 데이터의 축적, 적극적인 활용 방안 창출이 지금으로서는 가장 멀리 있으면서도 눈 앞에 있는 기회일 것이다.

* 우리가 부족한 이유는 딱 하나. 세계를 지배하고자 하는 야심과 의지가 있는 기업과 인물이 여기엔 없기 때문이다. 만약 있었다면 지금의 상황은 머지않아 세계적인 기업들에게 위협이 될 수도 있는 정도가 되고 있을 것이다.


세계는 치열한 전장터이지만...


통신사, ISP , SI 등등 대부분의 거대 IT 서비스 기업들이 수 십년의 이력을 자랑하지만 정작 국내 시장 영역 지키기에도 허덕이는 현실. 지금도 계속 되고 있는 보조금. 포화된 사용자를 조금이라도 더 끌어들이기 위해 쏟아붓는 무의미한 자본들.. 그런 자본들을 몇 년이라도 집중하고 방향성 있게 끌고 갔다면.. 애플이라도 못 되라는 법이 있나? 이런 점들 보면 눈 앞의 성과에 집중하도록 만든 것이 장기적으로는 최악의 수인 것. 안타깝죠? 그러나 이게 지금의 현실입니다. 단기간의 성과에 집착한 댓가를 이제부터 가혹하게 받게 되는 것이죠. 전체가 받을 것입니다.

활로라도 될 수 있을까 싶어서 노력을 해봤습니다만..축적된 DB와 기술을 국내 영역권 확보에 이용하려는 의도들을 많이 보게 됩니다. 애석하지만 그럴 용도로 만든 것은 아닙니다. 

어디 더 큰 활용방안을 가진 곳!. 전 세계에서 자웅을 겨뤄볼 곳들은 어디 없소? 그런 곳에서 활용을 해야 제대로 쓰이는 것인데.. 한국은 힘들어 보이는 듯.


시간이 걸리더라도 제대로된 방향을 잡는 곳이 없다면 직접 하는 것이 나을 듯 싶다. 한국내의 기업들과 같이 하기에는 괴리가 너무나도 크다.


- 바다란


Posted by 바다란

댓글을 달아 주세요

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

한국 인터넷 위협(요약) - 3월 4주차

 

발행일: 2014년 3월 26일

한국인터넷 위협 수준: 경고

 

인터넷 위협 수준은 빛스캔㈜에서 운영하는 PCDS (Pre-Crime Detect Satellite)를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스들에 대한 관찰을 요약한 내용입니다. 현재 인터넷 위협 수준은 '경고'로 지난 주와 동일하게 유지하고 있으며, 주요 특징은 다음과 같습니다.

 

주요 특징(Main Features)

• 신규 경유지, 파급력 동일 – 레드킷의 활발한 움직임이 있지만, 영향력은 미미함

• 악성코드 유포지로 지속적인 이용 – 베가디스크, 더존비즈아카데미, DVD 프라임 등등

• 안드로이드 감염 및 공격자 서버로 정보 전송 확인 – 추가 분석 중

• 신규 악성코드 유포지 출현 – 락앤락, 컨슈머뉴스 등등

• 광고 배너를 통한 악성코드 대량 유포 – 올블렛, 메크로스

주간 동향(Weekly Trend)

[표 1. 3월 4주차 한국 인터넷 위협지수]

3월 4주 전체 발견된 유포지는 지난주에 비해 약간 상승하였으며 신규 경유지는 다시 활발해진 레드킷의 활동과 공다팩과 카이홍의 유포가 활발한 결과 대폭 증가하는 모습을 보였다. 신규 공격코드의 파급력은 지난주와 동일하였으며, 레드킷의 활동은 활발했지만, 국내에 직접적인 영향을 주지는 못하였다. 또한, 지난 주에 사전 징후를 보인 안드로이드 OS를 타겟으로 하는 모바일 악성코드는 금주에 직접적인 감염이 이루어지는 것을 확인하였으며 사용자 정보가 공격자 서버로 넘어가는 정황도 포착하였다. 또한, 광고 호스팅 업체 배너광고 영역을 통해서도 악성코드 유포가 있었던 결과, 블로그 등 전체 범위를 파악할 수 없을 정도로 유포가 되어 더욱 심각한 상황이 지속되었다.

[표 2. 3월 4주차 시간대별 통계]

시간대 별 통계를 살펴보면 최근 일부 특정 시간에 한하여 집중적으로 유포를 하는 경향이 나타나고 있다. 금주 역시 주말 시간을 이용해서 활발한 활동이 나타났으며 특히, 금요일을 기점으로 일요일까지 집중적으로 악성코드가 유포되는 현상이 나타났다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

2월 3주차부터 3월 4주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 207건(18.2%)으로 지난주와 소폭 감소하였으며, 미국이 457건(40.2%), 독일이 178건(15.7%), 이탈리아가 42건(3.7%), 스페인이 34건(3.0%), 영국이 30건(2.6%), 네덜란드가 22건(1.9%), 러시아가 21건(1.8%), 브라질이 19건(1.7%), 덴마크가 18건(1.7%), 폴란드가 17건(1.5%), 일본이 16건(1.4%), 아르헨티나가 13건(1.1%), 기타가 62건(5.6%) 등으로 나타났다.

 

주간 이슈(Weekly Issue)

[그림 1. 안드로이드 악성코드에 감염된 사용자의 문자 메시지가 공격자의 서버로 전송된 내역 – 3/22]

 

지난주에 공다팩과 함께 삽입된 안드로이드 OS를 타겟으로 한 악성코드의 최초 등장을 언급한 적이 있다. 당시에는 단시간 공격코드가 삽입된 정황으로 보았을 때 사전 테스트 징후라고 판단하였으며 얼마 지나지 않아 다시 활동할 것으로 예상한 바 있다. 그로부터 얼마 지나지 않아 공다팩을 통해 삽입된 안드로이드 악성코드는 주말을 통해 다시 활동을 하기 시작하였으며 처음 등장과 달리 모바일 사이트에서도 동시에 유포하였다. 모바일 페이지를 통해 유포된 안드로이드 파일 분석 결과 사용자의 정보를 공격자 서버로 전송하는 동작이 발견되었으며 실제적으로 접속하여 확인한 결과 문자메세지, 금융계좌 등이 공격자로 추정되는 관리자의 웹서버로 수집되고 있었다.

 

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

BITs Alert 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 함.

기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스.

 

BITs Alert 서비스 구성

 

  • 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
  • 부가서비스( 택 1)
    • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
    • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 

서비스 상세

  • 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
  • 부가서비스:
    • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
    • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
    • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
    • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 ( 엔터프라이즈)

 

 

제공 시기

  • 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
    • 부가서비스 – 한국 인터넷 위협분석 - 주 1회(수요일)

 

 

가입 문의

 

감사합니다.

.

Posted by 바다란
TAG 빛스캔

댓글을 달아 주세요

 

"유선 웹에서만 발생되던 대량 감염 시도가 모바일 분야로 확장을 하고 있다. 이제 모바일 좀비폰도 출현 할 것이다."

 

PCDS: 한국 인터넷 위협을 모니터링 하는 사전위협 탐지 체계

 

 

 

 

 

 

 

 

 

 

[그림 1. PCDS 체계 요약도]

 

  • 유포지(웹사이트): 웹사이트 내에 경유지가 삽입되어 방문만으로도 실제 감염이 일어날 수 있는 곳
  • 경유지(악성링크): 악성링크를 통해 감염시키는 통로로, multi-stage 및 single로 이루어진 비정상 링크
  • 경유지(공격코드): 경유지(악성링크)내에 공격코드를 삽입시켜 일반사용자 PC의 다양한 애플리케이션 취약점을 공격한다. 공격 성공 시에는 악성파일이 실행되어 PC를 감염시키고, 경우에 따라 C&C 서버로 연결된다.

 

웹은 웹이다.

모바일이든 유선이든 웹은 그냥 웹이다.
한국 내에 스마트폰 사용자 90% 이상이 안드로이드 ( 그냥 애플 빼고 전부) 사용자인데 ..지금까지 모바일에선 스미싱 정도가 전체의 위협으로 알려 져왔다.

지난 주부터 탐지 되는 악성링크에는 이제 유선 ( Java 7 , IE 1 , Flash 1) 접속 시에 공격이 발생되는 이외에도 안드로이드를 겨냥한 apk 세트까지 장착.

 

[그림 2. 2014년 3월13일 발견된 유.무선 공격 세트]

[그림 3. 2014년 3월13일 발견된 유.무선 공격 세트- apk 파일 내용]


앞으로 변화가 많을 것이다.

모바일에도 이제 스미싱만 막다가..모바일 웹도 보안 위험성에 대해 선별해야 하는 상황이고, 유선은 이미 자체적으로 하기에는 놓은 상황이 아니던가?

   

   


웹은 웹이다.

변화는 극적이게 것이다.

우선 모바일 뱅킹 금융 정보 결제 피해를 강요하는 모바일 악성코드는 스마트폰으로 웹서핑 하는 순간에도 설치 된다. 결국은 스미싱이 문제가 아니라 이젠 모바일 웹까지도 영향권에 직접 들어간다는 이야기. 모바일 바라보던 세계 보안 기업이나 국내 서비스 기업들 찌게 되는 것은 순식간이다.

유선 인터넷은 그냥 말을 말자.

모바일 부분에서 통신사는 이제 직접적인 영향을 받을 것임 . 경우에 따라 모바일 관련된 DHCP 서버나 DNS 서버등이 금융정보 탈취 이외에도 직접적인 공격의 대상이 있다. 통제 범위가 이젠 인터넷 웹서비스 전반을 봐야만 하는 상황
그리고 모바일 뱅킹은 어쩔 것인가? ..

이럴 때가 것을 알고서 구글이 준비한 Stopbadware 디비가 안드로이드 이외에도 크롬 브라우저에 모두 탑재 되어 있지만 항상 말하듯이 뒷북 이다. 그리고 이걸 쓰려면 제조사든 통신사든 천문학적인 비용을 내야 수도 있다. 그들이 이럴 쓰려고 준비해 비장의 무기가 아니던가?

 

 


[그림 4. 구글의 악성링크 DB - Stopbadware]


구글은 2006년부터 준비했는데 생각이나 하고, 노력한 곳은 있는가? 아님 대항할 무기라도 대비해 곳이나 있는가? 없을 꺼다. 기술로 뛰어난 설계로 커버 있는 범위는 한참 전에 끝났다. 모든 것은 변화되는 위협을 관찰하고 실시간으로 갱신 되는 데이터베이스가 있는 가에 의해서 판가름 것이다


 

[그림 5. 구글의 Stopbadware 기반 Chrome 차단 화면 – 모바일에서는 언제쯤?]

 


멀리 바라보지 못하고, 준비하지 못했다면 사뭇 운명은 빠른 속도로 처참해 진다. (* 그렇게 노래 부르던 LTE 처참의 현실화)
이건 .무선을 망라한 몬스터 툴킷의 출현으로 더욱 가속화 되게 된다.
그대로 LTE 급과 광대역으로 열려진 통로로 매우 빠르게 확산되고 지속될 것이다. 피해는 전체에 영향을 미친다.

결국 도망만 다니고 편한 길만 찾아 다니다 막다른 절벽에 몰린 상황
아무도 구해 주지 않는다. !

이야기는 아주 빠르게 현실화 것이다. 당장 영향은 상반기에도 직접 느낄 있을 것이다. 그게 바로 선진국(?) 위대함이다.

Posted by 바다란

댓글을 달아 주세요

한국 인터넷 위협(요약) - 3월 3주차

 

발행일: 2014년 3월 19일

한국인터넷 위협 수준: 경고

 

인터넷 위협 수준은 빛스캔㈜에서 운영하는 PCDS (Pre-Crime Detect Satellite)를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스들에 대한 관찰을 요약한 내용입니다. 현재 인터넷 위협 수준은 '경고'로 지난 주와 동일하게 유지하고 있으며, 주요 특징은 다음과 같습니다.

 

주요 특징(Main Features)

• 신규 경유지, 파급력 증가 – 초대형 MalwareNet 움직임

• 악성코드 유포지로 지속적인 이용 – 베가디스크, 케이웨더, 아시아뉴스통신 등등

• 특정 모바일 OS를 감염시키기 위한 징후 포착 – 공다팩을 통해 일부 출현

• 언론 매체, 방송사에서 악성코드 유포 활용 – MBN, 디시뉴스, 데일리메디, 교육연합신문 등

• 이벤트 대행사를 통한 대규모 유포 활용 – 메크로스

• 파밍 – 수협을 위장한 파밍 사이트 활성화

주간 동향(Weekly Trend)

[표 1. 3월 3주차 한국 인터넷 위협지수]

2월 3주부터 한국 인터넷 위협은 여전히 지속되고 있으며 시간이 지날수록 위협수위는 높아지고 있다. 3월 3주 전체 발견된 유포지는 지난주에 비해 하락한 모습을 보였지만 신규 경유지와 파급력은 증가한 모습이 나타났다. 파급력이 증가한 원인은 약 300여개의 웹사이트를 보유한 다단계유통망(MalwareNet)의 영향으로 분석되었다. 지난주와 마찬가지로 언론/방송사를 통한 악성코드 유포는 계속되었으며 의료포탈사이트와 함께 국내 중견 기업인 더존XX의 정식교육센터를 통해 악성코드가 유포되어 위협을 더욱 증가시켰다. 이들 악성코드 유포지에서 발견된 자동화 도구는 공다팩과 카이홍 공격킷이 주로 이용되었으며 일부 공다팩에서는 모바일과 PC가 모두 감염시킬 수 정황이 포착되어 각별한 주의가 필요한 상황이다.

[표 2. 3월 3주차 시간대별 통계]

시간대 별 통계를 살펴보면 최근 일부 특정 시간에 한하여 집중적으로 유포를 하는 경향이 나타나고 있다. 금주 역시 주말 시간을 이용해서 활발한 활동이 나타났으며 특히, 토요일 오전부터 오후까지 집중적으로 악성코드가 유포되는 현상이 나타났다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

2월 2주차부터 3월 3주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 183건(17.7%)으로 지난주와 소폭 감소하였으며, 미국이 423건(40.9%), 독일이 159건(15.4%), 이탈리아가 47건(4.5%), 스페인이 30건(2.9%), 네덜란드가 22건(2.1%), 러시아가 20건(1.9%), 브라질이 19건(1.8%), 덴마크가 18건(1.7%), 일본이 15건(1.5%), 폴란드가 15건(1.5%), 영국이 14건(1.4%), 아르헨티나가 11건(1.1%), 터키가 10건(1.0%), 기타 44건(4.4%) 등으로 나타났다.

 

주간 이슈(Weekly Issue)

[그림 1. 공다팩과 함께 삽입된 안드로이드 OS를 타겟으로 한 악성코드 – 3월 13일]

 

앞에서 언급한 바와 같이, 최근 발견된 공다팩의 내부 코드에서 모바일 악성코드를 감염시키기 위한 정황이 포착되었다. 현재까지 모바일을 통한 악성코드 유포는 스미싱, 메신저 등으로 한정이 되어 있었다. 하지만, 3월 13일에 공다팩을 통해 출현한 모바일 악성코드는 웹사이트만 방문을 해도 악성코드가 설치되는 현상이 나타나는 모습을 보였다. 특히, 공격자는 모든 모바일 운영체계를 목표로 한 것이 아닌 안드로이드 OS 버전을 통해서만 악성코드가 다운로드 할 수 있게 하는 치밀함과 함께 다운로드 횟수를 확인하기 위한 카운터 사이트를 따로 운영하는 모습도 관찰되었다. 더욱 우려되는 점은 모바일 운영체제에서는 브라우저에서 악성링크가 삽입된 사이트를 차단하는 기능이 아직 없기 때문에 빠른 시일 내에 대처 방안을 강구하지 않는다면 피해는 계속 늘어날 수 밖에 없다는 점이다.

※ 보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

 

 

보안정보제공서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 및 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
  • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
  • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 – 인터넷 위협 수준이 "4단계. 경고" 이상일 경우. 고객사 대상 수시 발송

 

무료 구독

  • 한국 인터넷 위협 요약 – 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 2014년 1월 이후에는 "5단계 사고 발생" 시에만 긴급 정보제공 (수시, 선별된 정보 제공)

 

정기 가입 기업/기관

  • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
  • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

구독 문의

  • 무료 신청을 원하시는 경우 info@bitscan.co.kr 로 연락주십시오.
  • 정기 가입 및 문의는 "소속 확인이 가능한 이메일(회사)"을 통해 info@bitscan.co.kr

    연락주십시오.

 

감사합니다.

Posted by 바다란

댓글을 달아 주세요

한국 인터넷 위협 요약 - 3월 2주차

 

발행일: 2014년 3월 12일

한국인터넷 위협레벨: 경고

 

본 인터넷 위협은 빛스캔㈜에서 운영하는 PCDS (Pre Crime Detect Satellite)를 통해 탐지된 국내 180만여개의 웹서비스와 해외 30만개의 웹서비스에 대한 관찰을 요약한 내용입니다. 현재 인터넷 위협 수준은 '경고'로 지난 주와 동일하게 유지하고 있으며, 주요 특징은 다음과 같습니다.

 

주요 특징(Main Features)

• 신규 유포지, 파급력 감소 – 악성코드 통로는 여전히 존재

• 악성코드 유포지로 지속적인 이용 – 여의도 순복음교회, 케이웨더 등

• P2P사이트를 통한 집중적인 악성코드 유포 – 신규 2곳

• 방송, 언론사 등 통한 악성코드 유포 – 작년 유사 상황과 비교 분석(경인방송국, 아시아뉴스통신, 빅뉴스 등등)

• 파밍 – 레지스트리 조작, 채팅 창을 활용한 사기 활성화

 

 

주간 동향(Weekly Trend)

[표 1. 3월 2주차 한국 인터넷 위협지수]

3월 2주차 전체 발견된 유포지는 증가하였지만 신규 경유지의 감소로 인하여 파급력 역시 감소를 하는 모습을 보였다. 하지만, 영향력의 감소에도 불구하고, 언론매체, 쇼핑몰, P2P 등에서는 악성코드의 유포가 지속되는 현상을 보였다. 특히, 금주에는 지난 3개월 동안 악성코드 유포 이력이 없었던 언론/방송사를 통해 악성코드 유포가 이루어지는 현상이 관찰되었으며, 지속적으로 보안점검을 받는 종교단체 역시 현재까지 문제점을 발견하지 못해 4주 연속으로 악성코드를 유포하는 모습을 보였다. 추가적으로 바이너리 확인결과 대부분이 파밍 악성코드로 확인이 되었으며, 바이러스토탈(VirusToal)에서 조회결과 국내백신에서 탐지하지 못하는 것을 확인하였다. 금주 신규 경유지와 영향력은 감소하였지만 언론/방송사를 통한 악성코드 유포와 함께 지속적인 사이트 재감염 사례 등 위협요소가 남아있어 인터넷 위협수준을 "경고" 단계로 유지한다.

[표 2. 3월 2주차 시간대별 통계]

시간대 별 통계를 살펴보면 지난주 주말기간 활발히 활동했던 모습에 비해 금주에는 평일에 활동을 하였으며 활동도 소규모로 이루어지는 모습이 관찰되었다. 하지만, 기존 악성코드 유포지로 활용되었던 사이트의 통로는 현재도 존재하고 있기 때문에 위협이 낮아졌다고 판단하기는 이른 상황이다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

2월 1주차부터 3월 2주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 156건(16.9%)으로 지난주와 소폭 증가하였으며, 미국이 380건(40.6%), 독일이 150건(16.0%), 이탈리아가 51건(5.5%), 스페인이 43건(2.8%), 브라질이 20건(2.1%), 일본이 19건(2.0%), 러시아가 17건(1.8%), 네덜란드가 16건(1.7%), 덴마크가 13건(1.4%), 영국이 12건(1.3%), 폴란드가 10건(1.1%), 기타가 61건(6.1%) 등으로 나타났다.

 

 

주간 이슈(Weekly Issue)

[그림 1. 파밍 정보 입력 후 나타나는 채팅창 – 3월 5일]

 

최근 국내 영향력 있는 웹사이트를 통해 악성코드가 유포되는 상황이 지속적으로 관찰되고 있으며 이를 통해 다운로드 된 악성코드는 대부분 파밍 악성코드로 확인되고 있다. 파밍 악성코드는 지난해부터 등장하기 시작했으며 매주 새롭게 바뀌는 모습이 나오고 있다. 지난주 카드사를 사칭한 파밍사이트의 등장과 일부 보안업체를 이용하려는 정황에 이어서 금주에는 파밍 사이트에서 모든 정보를 입력 후에 새롭게 채팅창이 나타나는 모습이 발견되었다. 특히, 채팅창은 우리은행에서만 나타난 것이 아닌 새마을금고를 통해서도 나타났으며 향후에는 모든 파밍 은행 사이트에서 이 와 같은 공격이 나타날 것으로 예상된다.

 

 

정보제공 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 및 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
  • 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
  • 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 – 인터넷 위협 수준이 "4단계. 경고" 이상일 경우. 고객사 대상 수시 발송

 

무료

       한국 인터넷 위협 요약 – 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)

  • 긴급 정보 제공 – 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

    2014년 1월 이후에는 "5단계 사고 발생" 시에만 긴급 정보제공 ( 수시, 선별된 정보 제공) 

 

정기 신청기업(유료)

  • 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
  • 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

 문의

  • 무료 신청을 원하시는 경우 info@bitscan.co.kr 로 연락주십시오.
  • 정기 신청 및 관련 사항 문의는 "회사 이메일"을 통해 info@bitscan.co.kr

    연락주십시오.

 

감사합니다.

Posted by 바다란

댓글을 달아 주세요

 

  • 본 게시물은 2012년 12월 24일에 작성된 빛스캔의 기사 제공 내용입니다. 2011년 유출된 정보를 통해 이전의 회원들에게만 공지를 하는 상황에서 공지 범위를 2012년 12월 22일 이전의 모든 가입자들에게 공지를 할 필요성이 있지 않을까요? 당시 여러 매체에 내용을 제공 하였으나 기사화 된 곳은 없었네요. 아마 받으신 기자분들은 기억 하실 것입니다. 

  • 유출된 정보를 통해 확인되는 것이 가장 확실하나, 악성코드 감염에 직접 이용된 정황 만으로도 내부 정보의 유출 가능성은 충분히 높은 것이죠. 권한이 있는데 들고 가는 것은 그냥 선택사항일 뿐!!! 이외에도 지금까지 악성코드 유포 및 감염에 이용된 수없이 많은 서비스들도 모두 정보 유출은 기본적으로 이루어졌을 것으로 판단 합니다. 공격자의 마지막 활용이 좀비 PC 감염을 위한 매개체로 사용하는 것이니 말입니다. 정체가 노출 되는 것을 감내할 정도로 용도폐기 단계란 것이죠.


 

티켓몬스터 해킹 당해… 악성코드 대규모 유포!

방문자중 60%는 악성코드에 감염

 

티켓몬스터는 국내 소셜커머스 업계의 양대산맥중의 하나입니다. 정상가의 절반 밖에 되지 않는 파격적인 가격에 수량은 한정되어 있다 보니 대규모 방문자가 일상적으로 방문을 하는 곳입니다. 대규모 방문자가 상시 방문하는 티켓몬스터에서 악성코드를 유포한 정황이 포착 되었습니다.

 

티켓몬스터는 지난 7월 1주차에도 악성코드를 유포한 정황이 포착된 바가 있으며, 이번 12월 3주차(12.22)에도 악성코드를 유포한 정황이 다시 포착되었습니다. 웹서비스의 소스를 변경한다는 것은 서버의 모든 권한을 공격자가 가지고 있다는 것과 동일한 이야기 입니다. 7월에 이어 12월에도 악성코드 유포가 되었다는 것은 그만큼 해킹 사고 이후 충분한 원인 파악과 대책, 꾸준한 관리가 미비하여 발생 하는 것으로 판단 됩니다. 권한을 모두 가지고 소스를 변경하는 공격자들인데 과연 웹서비스의 고객정보는 안전할까요? 악성코드를 유포한다는 것은 이미 서버의 권한을 획득하고 DB의 내용을 모두 유출한 후일 확률이 매우 높습니다. 공격자들은 이미 탈취할 수 있는 서버의 모든 정보를 탈취한 이후, 최종적으로 모든 방문자들에게 악성코드 감염을 시도 하기 위해 웹소스코드를 추가 또는 변경하여 악성링크가 모든 방문자에게 자동으로 실행 하여 감염 되도록 합니다.

 

<7월 1주차 티켓몬스터 악성코드 유포 정황 포착>

 

<12월 22일 오후 9시경 티켓몬스터 악성코드 유포 정황 포착>

 

2012년 2월의 빛스캔의 조사에 따르면 악성링크로 인한 감염 피해는 전체 웹서비스 방문자중 60%가 감염 된다는 것을 데이터를 통해 입증 한 바가 있습니다. 이번 티켓몬스터의 경우에도 방문자중의 60%는 악성코드에 감염이 되었을 것으로 추정됩니다. 애플리케이션(자바, IE, 플래쉬)중 하나라도 최신으로 업데이트가 되어 있지 않다면 감염이 되는 현재의 상황 입니다. 공격자들은 항상 최대의 효과를 얻기 위해 방문자들이 많은 곳들을 대상으로 해 끊임없이 악성코드 감염을 시도합니다. 그 대상에는 수많은 사이트들이 대상이 되고 있으며 웹서비스 방문자들은 그 어떤 인지도 없이 감염이 될 수밖에 없는 상황이 계속되고 있습니다.

 

<12월 22일 티켓몬스터 정상 소스 안에 삽입된 악성링크 한 줄>

처음 사용자가 접속 시에 실행되는 소스코드에서 발견된 악성링크 추가 부분 입니다. 방문자에게 실행 되는 상태에서 브라우저에 있는 소스보기를 통해 확인된 내용입니다. 본 링크의 경우 티켓몬스터에 접속 하기만 하여도 자동으로 실행되는 부분입니다. 즉 사용자의 클릭 없이 단지 방문만 하여도 악성링크는 자동으로 실행 되며 사용자 PC를 좀비PC로 만들고 있습니다. 공격자가 언제든 조종할 수 있는 좀비 PC가 된 방문자 PC는 두 가지로 악용될 수 있습니다. 좀비PC에서 입력되는 모든 개인정보를 탈취하는 것과 대량의 좀비 PC를 이용한 DDoS 공격등에 이용 될 수 있습니다.

 

< 티켓몬스터 웹소스에 추가된 악성링크의 구조>

이용된 취약성은 Java 취약성인 5종류와 MS XML 취약성이 이용되었으며 사용자의 브라우저 버전과 취약한 Application 버전에 따라 실행하는 지능적인 구조로 구성 되어 있다. 취약성 공격 이후 설치되는 악성파일은 전세계에서 가장 많은 샘플을 보유하고 전 세계 백신 46종에서의 탐지 여부를 체크하고 있는 VirusTotal 사이트에 조차 보고된적 없는 악성코드가 사용자 PC에 설치 되고 있었다. 결론적으로 백신에서 악성파일이라고 탐지 할 수 있는 가능성이 매우 낮음을 의미한다.

< 최종 악성파일의 Virusl Total 탐지 내역 – 미 보고된 악성파일>

 

티켓몬스터에서 유포된 악성코드는 추가 파일을 다운로드하는 다운로더 역할을 하는 것으로 1차 판단이 되고 있습니다. 다운로더는 새로운 악성코드들을 계속해서 설치하고 언제든 목적에 맞는 악성코드 및 명령을 내릴 수 있는 상태가 됨을 의미합니다. 현재 티켓몬스터내의 악성링크는 제거된 상황이지만 근본 원인을 찾아서 제거하지 않는다면 언제든지 재발 할 수 있는 상황이므로 근본적인 노력과 대처가 필요합니다.

 

쇼핑이 일상화 되어 있고 더군다나 소셜 쇼핑의 활용률은 접속자도 많으며 이용률도 높은 상태라 공격자들의 좋은 대상이 되고 있습니다. 모든 방문자를 대상으로 한 현재의 공격을 막기 위해서는 서비스 담당자의 지속적인 노력과 보안적인 기술 수준을 항상 높은 상태로 유지 하여야만 할 것입니다. 또한 방문자 관점에서는 현재 공격이 보안패치가 잘 이루어지지 않는 Java 취약성으로 집중이 되고 있으므로 java 취약성에 대한 보안 취약성 업데이트를 반드시 하여 피해를 최소화 하여야 할 것입니다.

 

방문자가 많은 거대 사이트들 조차도 악성코드 감염을 위한 숙주로 이용되는 지금의 현실에서 안전한 사이트라는 것은 많지 않으며, 사용자의 꾸준한 관심과 서비스 운영 기업의 보안강화 노력만이 피해를 줄일 수 있을 것입니다.

 

빛스캔은 현재 국내 주요 120만개 웹 서비스와 해외 10만여 개의 웹서비스에 대해 악성코드 대량 유포 모니터링을 하고 있으며 지난 대선 기간에도 총 60여종의 악성코드와 40여개의 의심 IP에 대해 국내 주요 기업/기관에 정보 제공을 함으로써 문제의 사전 발생을 줄이도록 기여한 바 있습니다.

Posted by 바다란

댓글을 달아 주세요

인터넷 위협 수준: 경고

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

[표 1. 3월 1주차 한국인터넷 위협지수]

2월 3주부터 악성링크의 비정상적인 활동에 따른 위협은 3월 1주차에도 이어지고 있으며 지난주에 비해 위협은 더욱 커진 상황이다. 금주 레드킷의 활동이 다시 활발히 이루어진 가운데 파일공유, 언론사, 종교 단체, 커뮤니티, 광고 대행사 등 많은 곳에서도 악성코드를 유포하는 모습이 나타났으며 일부 사이트는 지난주 보안진단을 받았음에도 불과하고 주말에 다시 악성코드 유포지로 활용되고 있는 모습도 확인되었다. 특히, 이들 사이트에서 유포된 악성코드는 대부분 파밍 악성코드로 확인이 되었으며 이 과정에서 카드사 및 백신업체를 사칭한 파밍사이트가 등장한 모습이 관찰되기도 하였다. 또한, 자동화 공격도구 카이홍 공격킷이 기존의 6개의 취약점에서 8개를 이용하는 변형된 모습도 관찰되었다. 금주 다시 시작된 레드킷의 활동과 계속 증가하는 악성코드 유포지의 영향 그리고 매주 바뀌는 파밍 악성코드의 위협으로 인해 인해 인터넷 위협 수준을 "경고" 단계로 유지한다.

 

[표 2. 시간대별 통계]

시간대 별 통계를 살펴 보면 악성링크의 비정상적인 움직임에 따라 대부분의 수치가 증가 한 것을 볼 수 있다. 특히, 월요일부터 나타나기 시작한 악성링크의 활동은 점차 증가하는 모습을 보였으며 일요일에 가장 활발한 모습을 보였다.

[표 3. 최근 1달 악성링크 도메인 통계]

1월 4주차부터 3월 1주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 206건(13.3%)으로 지난주와 소폭 증가하였으며, 미국이 514건(33.2%), 프랑스가 266건(17.2%), 독일이 225건(14.6%), 이탈리아가 63건(4.1%), 스페인이 43건(2.8%), 러시아가 30건(2.0%), 일본이 26건(1.7%), 네덜란드가 23건(1.5%), 덴마크가 20건(1.3%), 브라질이 18건(1.2%), 폴란드가 15건(1.0%), 기타 106건(5.2%)등으로 나타났다.

  • 3월 1주차 대표적 유포 이슈

[그림 1. 홈페이지 악성코드 관련 게시글 – 여의도 순복음교회]

악성링크의 활동이 증가하고 있는 가운데 여의도 순복음 교회는 2주 연속 악성코드를 유포하는 모습을 보였다. 특히, 지난주 악성코드가 유포된 후 홈페이지 2월 27일 홈페이지 공지글을 통해 악성코드의 유포가 있었다는 점을 시인하고 대응에 최선을 다하고 있다는 글을 게시하였다. 하지만, 지난 3월 1일부터 3월 2일까지 이틀간 총 4차례 악성링크가 유포되는 모습이 다시 포착되었다. 특히, 4차례 공용모듈 위치에 악성링크가 삽입되었으며 이들은 모두 여의도 순복음교회 모든 페이지에서 사용되는 공용모듈로 확인되었다. 당사에서는 현재까지도 악성코드 감염에 이용되고 있는 주요 이슈에 대해서는 계속 환기시킬 예정이다

보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

끝.

 

보안정보 제공 서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 브리핑 요약 주간의 공격 동향 새로운 공격 형태 정보 요약
  • 동향분석보고서– 최소 4 제공
  • 기술 보고서공격 기법 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 스탠다드 브리핑 요약, 동향분석보고서, 기술분석보고서
  • 엔터프라이즈 Daily base C&C 정보, 브리핑 요약, 동향분석, 기술 보고서, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

댓글을 달아 주세요

인터넷 위협 수준: 경고

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

[표 1. 2월 4주차 한국인터넷 위협지수]

2월 3주부터 시작된 신규 악성링크의 비정상적인 움직임은 2월 4주까지 이어지는 모습을 보였다. 특히, 쇼핑몰, 보안관련 매체, 복지포탈, 파일공유(P2P) 등 영향력 있는 사이트를 통해 유포가 나타나면서 파급력이 크게 증가하는 모습을 보였으며 악성코드 분석결과 대부분 파밍 종류의 악성코드로 확인 되었다. 특히, 파밍 악성코드 내부 파밍 리스트에서는 지난주 오픈마켓 지마켓이 추가에 이어 금주에는 증권사(키움증권, 삼성증권, 대신증권, 동부증권, 미레에셋 증권)까지 확대하려는 사전 징후가 포착되었으며 악성코드 유포 당시 국내 백신만을 우회 하고 있는 전형적인 모습도 확인되었다. 또한, 시간이 지난 현재에도 대응되지 않은 부분도 일부 존재하고 있어서 2차적인 추가 피해가 우려되는 상황이다. 금주 증가된 위협과 영향력 있는 사이트를 통한 악성코드 유포와 함께 기존의 악성링크 재활용과 함께 신규 악성링크를 통한 비정상적인 움직임이 포착되어 인터넷 위협 수준을 2월 23일부로 "경고" 단계로 상향 조정한다.

 

[표 2. 시간대별 통계]

시간대 별 통계를 살펴 보면 악성링크의 비정상적인 움직임에 따라 대부분의 수치가 증가 한 것을 볼 수 있다. 특히, 지난주와 달리 목요일∼일요일까지 가장 활발한 활동을 보였다.

[표 3. 최근 1달 악성링크 도메인 통계]

1월 3주차부터 2월 4주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 180건(16.1%)으로 지난주와 소폭 증가하였으며, 프랑스가 299건(26.7%), 미국이 241건(21.5%), 독일이 160건(14.3%), 이탈리아가 72건(6.4%), 스페인이 32건(2.9%), 네덜란드가 26건(2.3%), 폴란드가 23건(2.1%), 영국이 14건(1.3%), 덴마크가 12건(1.1%), 기타가 61건(5.5%)등으로 나타났다.

  • 2월 4주차 대표적 유포 이슈

[그림 1. 옐로우캡 사이트에 삽입된 악성 링크 – 2월 18일 확인]

택배 전문업체인 옐로캡택배를 통해 악성링크가 삽입되어 유포되고 있는 정황이 2월 23일 확인되었다. 옐로우캡택배는 오픈마켓 등 다양한 쇼핑몰과 제휴 협력을 맺은 상태이다. 특히, 악성링크는 공용 모듈에 삽입되어 있어 방문자가 어느 페이지로 접속을 하든 악성링크가 실행되는 현상이 나타나고 있으며 보안 패치가 되어 있지 않은 취약한 사용자는 악성코드의 감염될 수 밖에 없다. 악성링크 분석결과 Java 7종, IE 1종, Adobe Flash 1종의 취약점을 이용하는 공다팩(Gondad Exploit Kit)으로 확인 되었으며 최종 바이너리는 파밍 종류의 악성코드로 확인되었다.

보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

끝.

 

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 브리핑 요약 주간의 공격 동향 새로운 공격 형태 정보 요약
  • 동향분석보고서– 최소 4 제공
  • 기술 보고서공격 기법 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 스탠다드 브리핑 요약, 동향분석보고서, 기술분석보고서
  • 엔터프라이즈 Daily base C&C 정보, 브리핑 요약, 동향분석, 기술 보고서, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란
TAG 빛스캔

댓글을 달아 주세요

"좀비PC 1대가 대형유통업체를 벼랑으로 몰다!"

 

*zdnet 게재 컬럼입니다.

 

타겟의 대규모 정보유출과 관련 하여 유출된 카드당 배상 금액을 기본 건당 90$로 추정할 때 전체 4천만 건에 대해 36억$에 달할 것으로 예상되고 있다. 또한 건단 90$의 경우도 카드회사가 벌금으로 책정하고 있는 최소액수라는 점. 그 이외에도 개인정보가 7천만건 이상 유출된 점을 감안하면 피해 금액은 상상을 넘는 금액이 될 수도 있다. 이 사건의 시작이 내부로 침입된 악성코드 하나에 의한 것이라는 점을 감안하면 한국에서의 피해 및 정보 유출 사례와 비교 하였을 때 많은 격차를 느낄 수 밖에 없다.

 

 

1억건 이상에 달하는 금융이용자의 정보유출 사건과 비교하기는 어렵지만 해외 업체인 Target.com의 악성코드로 인한 4천만건 이상의 카드 정보 유출은 심각한 시사점을 깨닫게 해준다. 2014년 1월에 보도된 금융정보 유출의 경우 내부 시스템에 접근이 가능한 외부자에 의해 발생된 정보유출 사례라고 볼 수 있다. 그러나 Target의 경우는 내부 운영 시스템인 POS 단말기에 침입한 악성코드가 카드 관련 정보 및 신상 정보를 탈취하여 유출한 사례이기에 예의주시할 필요가 있다.

 

Target을 통해 유출된 정보는 초기에 4천만건에 달하는 카드 정보가 유출된 것으로 발표 되었으나 추가 확인된 결과에 의하면 전체 1억1천만건 (카드정보 4천만건, 개인정보 7천만건)에 달하는 소비자 정보들이 유출된 것으로 확인되고 있다. 분석 정보들이 추가로 확인됨에 따라 그동안 밝혀지지 않은 심각한 내용들과 기술적인 문제점들에 대한 내용들이 확인되고 있는 상황이다.

 

외신 (http://www.dailymail.co.uk/news/article-2541744/Pictured-Russian-teen-Target-hacking-attack.html)에 따르면 러시아해커에 의해 제작된 공격도구들이 이번 Target의 공격에 이용되었다는 점이 확인되고 있으며, 또한 Target이 운영하고 있는 미국 전역의 1,797개 매장의 POS 기계의 대부분인 4만여대의 POS 기계가 감염되어 정보 유출에 이용된 것으로 확인되었다. 사실상 공격자는 모든 정보 입력 기계에 대한 완벽한 제어권한을 가지고 있었다는 것이다.

 

맥아피에 의해 공개된 기술적분석(http://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/24000/PD24927/en_US/Threat_Advisory_EPOS_Data_Theft_v4.pdf) 을 살펴보면 대부분의 POS 기계들이 윈도우 운영체제를 사용하고 있었고, 내부망을 감시하는 보안도구나 이상증세를 관찰하는 모니터링이 전혀 없었음을 알 수 있다. POS 상에서 사용자가 카드를 긁는 거래가 발생되는 순간에 관련 거래의 내역을 탈취하여 별도의 파일로 저장하도록 하였으며, 그 누적된 정보들은 주기적으로 내부 파일공유나 FTP를 통해 특정 지점으로 모아지도록 되어 있었다. 그 이후에 누적된 데이터들을 공격자들은 한꺼번에 들고간 것이 이번 Target 해킹에 대한 설명이라 할 것이다.

 

 

 

공격자가 통제하는 서버와 감염된 PoS와의 관계 Source: Dell Secureworks.

 

추가적으로 분석된 자료를 부분적으로 공개한 Dell의 시큐어웍스사와 시만텍의 리포트 및 Krebson Security 저널에 언급된 내용을 살펴보면 한국의 3.20 대란과 유사한 방식이 사용 되었을 것으로 추정되는 분석들도 있다. (관련기사 : http://www.informationweek.com/security/attacks-and-breaches/target-hackers-tapped-vendor-credentials/d/d-id/1113641?f_src=informationweek_gnews

Krebson Security 기사: http://krebsonsecurity.com/2014/01/new-clues-in-the-target-breach/

)

분석 내용에 따르면 Target 내의 모든 POS 시스템들은 Window Share가 활성화 되어 있었으며, 카드 정보를 한 곳으로 모으는데 이용된 계정은 "Best1_user" 이고 패스워드는 "BackupU$r" 이였다고 한다. Best1_user 계정은 BMC의 성능 관리 소프트웨어에서 사용이 되는 것으로 알려져 있다.

 

3.20의 VMS나 PMS와 같이 악성코드 배포 역할을 한 것으로 의심되는 것은 MS의 SCCM (System Center Configuration Manager) 프로그램으로 추정하고 있는데, 현재 MS의 Target IT 인프라 구조에 대한 사례 구성은 사라졌으나 그 구성도에는 SCCM 프로그램이 전체 POS 장비의 성능을 관리하는 형태로 이루어졌을 것이다. 추정에는 내부의 좀비 PC 확보 이후 주요 소프트웨어나 서비스에 대한 SQL Injection 공격을 통해 관련 정보와 권한을 획득 하였을 것으로 추정하는 내용도 확인 할 수 있다.

결론적으로 소매점 한 곳에 타켓화된 메일 등으로 침입 또는 직접 공격을 통해 권한 획득을 한 이후 내부의 중요 관리 소프트웨어에 대한 공격들이 있었을 가능성이 매우 높다는 점을 지적하고 있다. 

BMC의 성능 관리 소프트웨어에 대한 공격으로 계정 정보를 획득하고 MS의 SCCM 프로그램의 전체 연결 구조를 이용하여 전체 POS에 일괄적으로 악성코드를 배포한다. 그 이후 획득한 계정정보를 이용하여 한 곳으로 전체 데이터를 모으도록 하는 것이다.

일정 시점 이후에 모아진 데이터를 들고 러시아로 옮기는 것이 최종이다. 이 과정에서 어떤 모니터링 및 경고도 발생되지 않았으며, 모두 사건 이후에 잔뜩 남겨진 로그와 기록들을 기반으로 하여 분석을 하는 것을 볼 수 있다. 내부망에는 위험을 관찰할 체제들도 단지 "분리된 망"이기에 거의 없었다는 것을 알 수 있다. 망분리를 통해 보안성을 확보하고자 하는 많은 기업 및 기관들도 위험에 대해서 살펴 보아야 할 부분들일 것이다.

 

 

Target 에서의 대량 정보유출에서 우리는 몇 가지 교훈을 얻을 수 있다.

 

  1. 내부망 (사설IP)에서의 보호방안은 거의 없었다. – 망분리를 중점대책으로 위험을 제거하려는 우리의 입장에서는 고민해야될 부분이다.
  2. 사설IP 대역에 존재하는 4만여대에 달하는 POS 기계의 운영체제가 감염되는 동안 전혀 인지를 못한 상황
  3. 초기 침입은 외부와 연결된 망을 통해서 이루어졌을 것이나 초기 침입이 어디로부터 시작되었는지는 분석이 안되고 있다는 점.
  4. 결론적으로 내부망에 대한 감시체계와 외부와 연결된 접점에 대한 강력한 통제에 실패했다는 점을 꼽을 수 있다.

 

외부와 연결이 분리된 망에서는 분리된 것 자체가 강력한 대책으로 인식을 할 수 밖에 없다. 강력한 대책인 망분리가 되었을때에도 전제되어야 하는 것은 작은 가능성일지라도 내부로 유입된 악성코드가 있을 경우에 대한 대책이 무엇이 있느냐 하는 것이다. Target의 POS 기계 감염에 이용된 악성코드의 경우에도 초기 감염시에 주요 백신의 탐지를 우회하여 감염된 정황이 확인된 바 있다.

 

내부로 유입된 악성코드가 무방비로 노출된 주변 시스템을 감염시키고 확산을 하는 중에도 모니터링 및 관찰을 할 수 있는 도구와 체계가 없었기에 Target에서 운영하는 대부분의 POS 시스템에 감염이 된 상태조차 인지하지 못한 것이다. 정보를 전송하는 단계에서는 암호화가 적용 될 수 있으나 기록되는 단계에서는 평문으로 기록이 될 수 밖에 없다. 악성코드들은 POS 시스템에서 입력되는 모든 카드정보와 개인정보를 그대로 수집하여, 특정 위치로 옮겨둔 이후 한번에 모두 가져간 것이 사건의 전말이다.

 

한국은 과연 문제가 없다고 할 수 있을까?

 

2013년 8월 하순경에 국내를 대상으로 웹을 통한 악성코드 감염 시도를 다수 시행한 공격자들을 역으로 추적한 결과는 국내도 이미 문제의 범위에 들어와 있을 수 밖에 없다는 것을 알 수 있다. 여러 정보들이 확인 되었지만 POS에 관련된 문제로만 국한해 보면 타겟의 사례는 지금 당장 국내에 발생된다 하여도 그리 낯설치 않을 것 같다.

 

<그림 1. 2013년 8월 중국 공격자 서버에서 발견된 좀비 PC 관리 프로그램>

 

공격자가 운영하는 C&C (원격제어 서버) 서버에서는 단 일주일간의 로그 기록이 남아 있었는데 그 로그 기록에는 공인 IP만 2만여 개 이상이 존재함을 확인 되었다. 공인 IP만 2만여 개 이상이라는 것은 2만여 곳 이상의 기업/기관 내에 감염된 좀비 PC들이 존재하였음을 의미한다.

 

<표 . 2만여 개의 공인 IP 국가별 분석 결과 >

 

단 한대의 감염된 좀비 PC가 3.20 대란의 시발점이 되었으며, 단 한대의 감염된 좀비 PC가 거대 유통사인 타겟을 벼랑으로 몰아가는 시점에서 과연 우리는 좀비 PC들에 대한 대응과 감염예방에 대해 어떤 노력을 기울이고 있을까?

 

메일을 통한 악성파일 감염은 현재 기술로도 충분한 해결 방안을 만들 수 있을 것이다. 또한 메일이 몇 분 늦어진다고 항의하지도 않는 상황에서는 더더욱 해결 하기에는 어려움이 없을 것이다. 그러나 웹은 어떻게 해야 할까?

 

접속을 몇 분이나 지연 시키고 위험성을 찾아내고 검증한 뒤에 방문을 할 수 있을까? 불가능한 이야기이다. 선제적인 탐지와 전역적인 대응 체계의 구축을 통해 보다 더 빨리 찾을 수 있어야 한다. 또한 공격링크에 대한 블랙리스트를 상시적으로 갱신하고 차단함으로써 감염을 예방 할 수 있다. 매 주마다 200~300개의 공격링크가 생성이 되고, 2000에서 3000여개의 웹서비스들이 방문만 해도 감염되는 상황에 노출된 한국은 이제 단순한 좀비 PC에 대한 탐지와 제거를 넘어서 예방이 되어야만 생존 할 수 있는 환경이다.

 

단 한대의 좀비PC가 세계적 기업을 한번에 끝내는 상황을 목격하고 있는 상황에서, 우리는 지금이 순간에도 무감각하다. 타겟이 한국에 있었더라면 600만원 과태료로 끝나지 않았을까? 우리 개인정보들의 가치는 대체 얼마일까?

 

 

-바다란

Posted by 바다란

댓글을 달아 주세요

인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

[표 1. 2월 3주차 한국인터넷 위협지수]

2월 3주차에 전체 발견된 유포지는 지난주에 비해 조금 증가하였지만, 신규 경유지의 활동이 약 3배정도 증가함에 따라 파급력도 동반 상승하는 효과가 나타났다. 상승 요인으로는 파일공유(P2P), 여행사, 쇼핑몰, 뉴스, 광고 배너 사이트가 주말기간 악성코드의 집중적인 유포에 따른 효과로 보이며 일부 사이트는 3주 연속 악성코드 통로로 이용되기도 하였으며 파일공유(P2P) 사이트에서는 공백(Space, Tab)와 배열함수를 이용하여 AV 제품의 웹 페이지 탐지를 방해하기 위한 활동도 포착되었다. 또한, 발견된 악성코드는 대부분 파밍 악성코드로 분석 되었으며 일부는 추가 다운로드를 통해 스케쥴러를 생성하여 C&C와 지속적인 명령을 받는 모습도 관찰되었다. 특히, 지난 주에 출현한 지마켓을 노린 파밍용 악성코드는 금주에 이르러서 웹사이트에 연결되는 상황까지 발전하였다. 금주 신규 경유지의 지속적인 증가 및 탐지 회피를 위한 악성링크의 변화와 지속적인 파일공유(P2P) 유포 등 전반적인 위협이 증가함에 따라 인터넷 위협 수준을 "주의" 단계로 유지한다.

 

[표 2. 시간대별 통계]

시간대 별 통계를 살펴 보면 신규 경유지가 증가함에 따라 전반적인 수치가 지난주에 비해 상승한 모습이 나타났으며 특히, 평일에 시작된 악성코드의 유포가 주말까지 이어지는 모습이 나타났다.

[표 3. 최근 1달 악성링크 도메인 통계]

1월 2주차부터 2월 3주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 165건(14.8%)으로 지난주와 비슷하였으며, 프랑스가 300건(26.8%), 미국이 240건(21.5%), 독일이 165건(14.8%), 이탈리아가 58건(5.2%), 스페인이 33건(3.0%), 폴란드가 30건(2.7%), 영국이 24건(2.1%), 네덜란드가 22건(2.0%), 홍콩이 11건(1.0%), 기타 70건(6.1%) 등으로 나타났다.

 

  • 2월 3주차 대표적 유포 이슈

[그림 1. 오픈마켓 지마켓(Gmarket.com) 및 금융결제원을 이용한 플로팅 배너 광고]

지난주 오픈마켓인 지마켓(Gmarket.com)을 이용하려는 사전 징후가 악성코드를 통해 포착되었다. 그 이후 금주 주말에 나타난 악성코드를 통해 지마켓(Gmarket.com) 사이트가 플로팅 배너 광고로 이용되고 있는 모습을 확인하였다. 지마켓을 시작으로 다른 오픈 마켓까지 확대될 지는 조금 더 지켜봐야겠지만 한가지 분명한 점은 이제는 포탈 사이트만이 타겟이 아니라는 점은 확실하다. 더불어, 금주 포털 사이트에서 나타난 플로팅 배너 광고에서는 금융결제원을 사칭하여 파밍 사이트로 연결하는 모습도 확인되었다.

보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

끝.

 

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 브리핑 요약 주간의 공격 동향 새로운 공격 형태 정보 요약
  • 동향분석보고서– 최소 4 제공
  • 기술 보고서공격 기법 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 스탠다드 브리핑 요약, 동향분석보고서, 기술분석보고서
  • 엔터프라이즈 Daily base C&C 정보, 브리핑 요약, 동향분석, 기술 보고서, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

댓글을 달아 주세요

이스라엘. 사이버보안을 핵심으로 ? 과연 


정밀무기 분야에서도 세계적 경쟁력을 가진 이스라엘

사이버분야에서도 그럴까? 물론 지금까지 그랬다.


이 링크는 단지 이스라엘의 홍보일 수도 있다.

그러나 이스라엘은 정부차원의 강력한 의지를 지니고 있다. 그 의지도 직.간접적으로 느껴보기도 하였고 말이다.  


http://israel21c.org/technology/the-cyber-security-capital-of-the-world/


In fact, in early 2014, multinational players IBM, Cisco, EMC, Lockheed Martin RSA and Deutsche Telekom all announced plans to set up cyber-research facilities in CyberSpark, Israel’s new cyber-security technology park in Beersheva.

Prime Minister Benjamin Netanyahu revealed the establishment of the new national cyber complex in the Negev city at the Cybertech conference in Tel Aviv – where some 450 heads of industry and cyber-security agencies from across the globe came to see an expo of Israeli security companies and startups.

Two years after the founding of the Israel National Cyber Bureau (INCB), Netanyahu predicted that Beersheva would “not only be the cyber capital of Israel but one of the most important places in the cyber security field in the world.


그런데.. 중동으로부터의 위협과 여러 사이버 공격의 직접 대상이 이스라엘인 것은 사실이지만 그보다 더 심각한 현장의 상황은 한국 아닐까?


사이버보안 기술을 연구하고, 인재를 영입하며, 회사 인수를 위해 텔아비브에 전 세계 기업들이 앞다투어 연구소를 설립하고 ( 보안은 아니더라도 한국의 기업들도 있다. ) 활동을 활발히 하고 있다. 


기술의 발전은 경험을 통해서 촉발된다. 

공격과 방어의 기술도 세계 1,2차 대전을 거치며 급격한 무기의 발전이 있었고, 그 이후에도 전쟁을 통해서 발달된 것은 부정할 수 없는 사실이다.


사이버상은 어떨까? 

왜 EU가 사이버 대응센터를 에스토니아에 설립을 하였을까? 사이버공격의 직접적인 대상이 되어 피해를 입었던 큰 경험을 가진 곳이기에 에스토니아에 설립을 한 것이 주된 이유일 것이다.


그렇다면 전 세계적으로 가장 큰 사건/사고들을 10개 정도만 대표적으로 뽑는다면 확실한 것은 그 중 절반 이상을 한국에서 발생된 사건들이 차지하게 된다.


실제 전쟁에 버금가는 격렬함이 넘치는 곳임에도 한가하게 유람하는 간 큰 나라.



이스라엘에 모이는 세계적인 기업들은 몇 년 지나지 않아서 역부족임을 알게 될 것이다. 또한 현실을 극복하기에는 너무나도 부족함을 알게 될 수 밖에 없다. 그래도 그들은 인정하는 순간부터 문제를 파악하고 넘어서려 할 것이다. 우리와는 너무나도 다른 ...


지금 시기에는 한국이 사이버 보안의 역량을 강화하기에는 가장 좋은 실전테스트 공간이다. 그 실전 테스트 공간은 아무에게도 허락되어 있지 않다. 하다못해 이스라엘 정부의 1/10만큼이라도 신경을 쓰고 중요성을 인식 했다면 매우 다른 그림이 되지 않았을까? 


시장을 보고 들어오는게 아니라 다음을 준비하기 위한 연구단지로서 접근이 된다면 더 좋은 일이 되겠지만 여긴 준비가 전혀 안되어 있다. 최소한 문제를 해결해 나가는 방식과 단호하고도 집중적인 대응 체제로 현실에 안주하지 않아야 하는데 그걸 못한다. 


글을 쓰면서 드는 가장 비극적인 생각은 이스라엘에서는 연구와 기획을 하고 만들어진 물건들은 한국에서 검증을 하고 그 결과를 바탕으로 다시 갱신을 한다면 이건 완벽한  "호구" 역할이 아닐까? 


그 잘난 내수강자들은 상대도 되지 않는데..


의지도 생각도 없으니, 의견을 들으려 하지 않는다. 당연히 전문가들은 찾지도 않는다.  여기서 전문가란 전문가집단을 의미하는게 아니다. 최소한 현실의 문제를 진짜 고민하고 해답을 찾고자 하는 사람들은 나라에 있어야 하지 않을까? 찾아오는게 아니라 발로 뛰어서 찾아 다니는 그런 공무원들 말이다. 전문성을 갖추고 스스로도 배우고 알고자 하는 그런 공무원들이 찾아낸 전문가들에게서 쓴소리를 가감 없이 들을 수 있어야 방향도 서고 한다.  


의지 있는 공무원들을 일하게 만드는 것은 상위의 의지가 가장 중요할 테고 말이다.


개인적인 경험으로도 이스라엘 고위직 공무원이 자세한 상황도 모르고 단지 하나의 단서만으로 한국까지 와서 발표를 요청하고 듣고 이해하는 상황에 대해서는 감탄을 할 수 밖에 없었다.  그 차이가 무엇인지는 생각해 볼 일이다.


어떤 사고가 그들을 움직이게 했는지?

어떤 필요가 그들을 행동하게 했는지?


아직도 잊혀지지 않는다. "이런 것들을 하는데 그 어떤 지원도 안해 줍니까? 정말입니까? 우리가 해도 됩니까?" 라며 거듭 반문하는 사람에게  씁쓸한 끄덕임밖에 못한 상황 자체가...


그러부터 1년이 훌쩍 더 지나서도 여전히...


- 바다란 . 2014.2


Posted by 바다란

댓글을 달아 주세요

인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

[표 1. 2월 2주차 한국인터넷 위협지수]

2월 2주차 전체 발견된 유포지는 지난 주와 비슷한 수준을 보였으며 신규 경유지는 하락한 모습을 보였지만 파급력은 증가한 모습이 나타났다. 파급력이 증가한 원인으로는 3개의 파일공유(P2P) 사이트를 통해 집중적인 유포와 함께 교육기관, 커뮤니티, 종교 관련 언론사 사이트에서 영향을 준 것으로 분석되었다. 특히, 파일공유(P2P) 사이트를 통해 유포된 악성코드는 대부분 파밍 악성코드로 확인되었으며 hosts(hosts.ics) 파일 변조를 통해 가짜 은행 사이트로 연결하고 있었으며 파밍 알림 서비스를 우회하려는 시도와 신규로 지마켓(Gmarket) 사이트를 이용하려는 사전 모습도 관찰되었다. 금주는 전체적으로는 지난주와 비슷한 위협 동향을 보이고 있지만, 파일공유(P2P)를 통한 집중적인 유포 등 수치에 비해 높은 영향력으로 인해 인터넷 위협 수준을 "주의" 단계로 유지한다.

 

[표 2. 시간대별 통계]

시간대 별 통계를 살펴보면 금주에는 대부분 시간대에서 유포되었으며 특히, 월요일과 금요일에 활동이 활발하게 나타났다. 명절 연휴가 끝나고 다시 악성링크가 활동하려는 모습이 관찰되고 있는 만큼 대비가 필요하다.

 

[표 3. 최근 1달 악성링크 도메인 통계]

1월 1주차부터 2월 2주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 157건(15.7%)으로 지난주와 비슷하였으며, 미국이 191건(19.1%), 프랑스가 299건(30.0%), 독일이 152건(15.2%), 이탈리아가 51건(5.1%), 폴란드가 27건(2.7%), 영국이 22건(2.2%), 네덜란드가 20건(2.0%), 스페인이 16건(1.6%), 홍콩이 11건(1.1%), 기타가 52건(5.2%) 등으로 나타났다.

 

  • 2월 2주차 대표적 유포 이슈

[그림 1. 파밍 알림 서비스를 우회하기 위해 변조된 hosts(hosts.ics) 및 지마켓(Gmarket) 이용을 위한 사전 징후]

지난해 초부터 등장한 파밍 악성코드는 매주 새롭게 변화하고 있는 가운데 금주 파밍 알림 서비스를 우회하기 위한 악성코드가 발견되었다. 파밍 알림 서비스는 지난해 9월부터 미래창조과학부와 한국인터넷진흥원(KISA)이 금융위원회 및 이동통신 3사와 함께 협력해 시행 중인 서비스로 파밍 악성코드에 감염되어 사용자가 가짜 은행 사이트로 접속 시 경고와 동시에 차단하는 역할을 하고 있다. 하지만, 금주 변조된 hosts(hosts.ics)를 통해 발견된 새로운 파밍 사이트 주소는 기존 .kr에서 .kor로 도메인 변경을 통해 파밍 알림 서비스를 우회 하고 있는 모습이 확인되었다. 한편, 다른 파밍 악성코드에서는 지마켓(Gmarket) 사이트를 활용하려는 사전 징후도 포착되었으나 동작은 하지 않았다. 매주 파밍 악성코드는 다양한 통로를 통해 등장하고 있는 만큼 전체적인 범위에 대한 관찰이 이루어지지 않는다면 파밍을 통한 피해는 계속 늘어날 수 밖에 없다.

보다 세부적인 사항은 기술 전문 보고서를 참조하시기 바랍니다.

끝.

 

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 브리핑 요약 주간의 공격 동향 새로운 공격 형태 정보 요약
  • 동향분석보고서– 최소 4 제공
  • 기술 보고서공격 기법 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 스탠다드 브리핑 요약, 동향분석보고서, 기술분석보고서
  • 엔터프라이즈 Daily base C&C 정보, 브리핑 요약, 동향분석, 기술 보고서, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

댓글을 달아 주세요

2013년 악성링크 탐지 및 영향력에 대한 PCDS 전체 기록.




3.20 이후 파급력( 대량 유포를 위한 네트워크 통계 분석 지수) 부분을 보강한 챠트. 제일 밑의 붉은색이 순수 악성링크 출현 수치, 가운데의 노란선이 MalwareNet으로 표현되는 파급력, 전체 유포지 출현 빈도는 파란색..

결론은 2013년은 전체적으로 상당히 높은 빈도의 위협을 유지하였다는 것을 볼 수 있다. 그 결과로 3.20 및 6.25가 발생 되었고 이후에도 추가적인 위협들이 추석 전후/ 12월쯤에 있었던 것을 확연하게 알 수 있다.

3.20 때보다 확연하게 높아진 위험들이 이후로 계속 유지 되었으나 그나마 절반의 성공 ( 좀비 PC 대량 확보 실패 그러나 목적은 달성한..)이라 할 수 있는 6.25 정도로 끝난 게 천만다행이라고 할 수 있을 것이다.

매주 관찰된 결과를 1년 동안 누적한 결과를 살펴보면 틀린 방향을 보고 있지는 않다는 것을 확인한 것이 가장 큰 소득.

이번 2013년 연간 위협보고서의 공개는 세계적으로 유례가 없는 사례집에나 나올 법한 사건들을 연이어 겪은 인터넷 속도(?)강국 전체를 살펴보고 관찰된 데이터라는 점에서 극히 드문 자료라 할 수 있다. 


*문의: info@bitscan.co.kr 


[빛스캔] 2013년 온라인 위협 동향 (연간 보고서).pdf




빛스캔 측의 지난해 월별 동향을 정리해 보면 다음과 같다.
 
◇3월=3.20일 사이버 테러가 일어나기 직전 악성코드의 활동이 급격히 늘어난 정황이 포착되었으며 즉시 수상한 움직임에 대한 경고하였다. 하지만, 3.20 사이버 테러는 방송사를 비롯한 금융권에 장애를 일으키며 상당한 혼란을 야기하였다. 또한 사이버대란을 이용한 파밍 사이트가 등장하였으며 사용자의 금융정보 유출 후 사용자의 PC를 파괴하는 모습까지 포착 되었다. 당사는 3월 20일 이후 26일까지 긴급 대응하여 피해 확산을 방지하는데 노력하였다.
 
◇4월=특정 IP대역에 사전 준비작업(악성파일 업로드)을 해두고, IP만 수시로 변경해 탐지를 회피하고 있는 현상이 관찰이 되었으며 공격자들이 새로운 감염통로 개척하는 등 공격 수준이 3.20 사이버테러 이전으로 정상화된 것으로 추정되며 최종 파일로는 루트킷이 발견되었으며 국내에서는 루트킷과 파밍과 함께 공다팩, 레드킷, CK VIP가 관찰되고 있으며 감염시키기 위해 MalwareNet을 활용하여 감염시켰다. 또한 특정 ISP(홍콩)의 C 클래스를 통해 악성코드 유포뿐만 아니라 악성파일 자체를 업로드하여 전통적인 보안 솔루션을 손쉽게 우회하고 있어 이에 대한 대비가 필요하다.
 
◇5월=5월 1주부터 5월 2주차 까지 홍콩 소재 C 클래스 대역 최소 10개에서 13개까지 꾸준하게 유포를 하고 있다. 지난 3.20 사이버테러 직전에 발생했던 징후(방송사 이름을 가진 악성파일)가 5월 3주차에 나타나기 시작했다. 특히, 감염 이후 C&C 및 접속자 통계 사이트로 연결(감염자 통계를 확인 목적)에 이용된 도메인이 kbsxxx, imbcxxx로 활용된 정황이 발견되었으며 3.20 사이버 테러 직전의 상황과 유사하다고 판단되어 경보단계를 “주의”로 상향하였다. 5월 4주에 매우 비정상적인 유포 움직임이 관찰되어 관찰경보가 "주의" 에서 "경고"로 상향하였다. 그 이유는 전주에 비해 악성링크의 수치 및 영향도가 급격하게 증가한 것이 관찰되었으며 일시에 3~4개의 MalwareNet을 생성하고 총 80곳 이상을 경유지 활용하였으며 백신제품들에 탐지되지 않는 악성코드를 동시에 감염 시도하는 정황이 관찰되었기 때문이다.
 
◇6월=6월 1주 Cool Exploit Kit에서 변형이 된 Red Exploit Kit이 등장하여 국내외에 서 활발한 활동을 보였다. 6월 2주에는 5~6개의 MalwareNet을 이용하여 80여곳 도메인에서 유포가 발생하였다. 하지만, 6월 3주차에 총 6번에 걸친 정보 공유를 통해 대응한 결과 신규 악성링크가 감소한 동시에 파급력도 함께 감소했다. 하지만, 6월 4주차에 다시 MalwareNet의 활동의 증가로 적게는 50여곳, 최대 200여곳에 파급되는 효과를 가져왔다. 
 
◇7월=6월 25일, 사이버테러가 발생 후 신규 악성링크의 발생은 현저히 줄어들었다. 하지만, 영향받는 웹 사이트의 복구가 늦어지며 주말에 삽입되었던 악성링크가 평일까지 유지되는 모습을 관찰하였다. 또한, 7월에 활발했던 공다팩의 비율이 점점 감소하여 7월 4주차에는 CK VIP를 이용한 공격이 다수 발생하였다. 또한, tiancai.html, shifu.html, xiangnian.html를 세트로 한 공격이 일본 도메인을 이용하여 유포하는 모습도 발견하였다. 그리고 7월 3주차에 치음 확인되었던 HTTPS(특정 포트)를 이용한공격이 7월 5주 HTTP URL과 함께 결합되어 공격하는 새로운 형태가 나타났다.
 
◇8월=8월 1주차 난독화를 활용하는 CK VIP Exploit Kit을 이용하는 비율이 80%까지 증가하였으며 지속적으로 특정 포트를 이용하는 공격, 일본, 미국의 도메인을 이용한 국내에서의 유포 현상이 나타났다. 8월 2주차 전체 발견된 악성링크는 당사가 관찰하였던 기간 중 최고로 낮은 움직임을 보였으며 포털사이트를 이용한 파밍이 국내 포탈까지 활용된 정황이 관찰되었다. 8월 3주차에는 다수의 유포지를 활용하여 최종 적으로 다운로드되는 악성코드가 동일한 형태로 확인되었으며, 더불어 특정한 대상을 타깃으로 하는 워터링홀 공격도 함께 관찰되었다. 8월 4주차에는 바이너리와 연결된 C&C 서버를 확인한 결과, 감염된 사용자에 대한 관리가 이루어지는 정황과 함께 추가적인 바이너리에서는 파밍 악성코드와 함께 사용자 PC를 원격에서 제어하는 모습도 함께 관찰되었다
 
◇9월=9월 1주차부터 2주차까지는 8월부터 나타나기 시작한, 최대 40개 웹사이트를 보유한 MalwareNet을 활용하여 최종적으로 하나의 악성코드로 연결되는 공격 방식이 더욱 활발히 나타났으며 이들의 목적은 사용자의 금융계좌를 노린 파밍 악성코드로 확인되었다. 또한, 9월 3주부터 4주차까지는 멀티스테이지가 MalwareNet 과 결합하여 다수 유포되는 현상이 나타났으며 공격자는 국내 IP 차단이 어려운 점을 악용하여 직접적인 유포 경로로 국내 사이트를 이용하고, C&C 서버도 국내 서버를 활용하는 정황도 발견되었으며, 추가 다운로드 된 파일은 파밍의 기능과 함께 감염자 정보를 국내 C&C 서버로 전송하는 역할도 관찰되었다. 9월 5주차에는 전체 발견된 악성링크는 9월 관찰기간 중 최저치를 기록하였다. 더불어, 9/25(수)에 “긴급 의심 정보 공유” 이후 악성링크의 활동은 나타나지 않는 모습을 보였다.
 
◇10월=10월 1주부터 10월 3주까지 전체 발견된 악성링크와 신규 악성링크가 감소세와 증가를 반복하였지만, 미치는 영향은 거의 없는 것으로 관찰되었다. 하지만 10월 2주부터 일부 P2P 사이트에서 악성링크의 유포를 시작으로 10월 3주차에는 그동안 해외에서 관찰 되었던 IE 제로데이(CVE-2013-3897)가 Caihong Exploit Kit에 탑재되어 불특정 다수에게 유포되고 있는 정황을 관찰되었다. 하지만, 미치는 영향은 그리 크지 않은 것으로 분석되었다. 10월 4주차에는 그동안 나타나지 않았던 주요 사이트를 통한 유포와 공다팩이 9개의 취약점을 이용한 유포와 함께 레드킷까지 등장하여 많은 영향을 주었다.
 
◇11월=전체적으로 위협수준이 크게 증가한 가운데, IE 제로데이를 이용한 공격이 감소한 반면, 공다팩의 사용률은 증가하였다. 특히, 악성링크에 대한 초기 정보 수집을 차단하기 위해 시간차 공격이 11월 2주부터 지속적으로 나타났으며 국내 서버를 이용한 공격도 일부 나타났다. 또한, 11월 3주부터는 사용자의 방문이 많은 파일 공유(P2P), 언론사이트를 중점으로 악성링크를 직접 유포하는 모습이 나타났으며 그 결과 파급력은 상당히 높게 나온 것으로 집계되었으며 11월 4주차에는 임계치를 넘어서는 위협적인 모습까지 보였다.
 
◇12월=12월 악성링크, 바이너리, C&C 서버, IP 차단 및 탐지를 회피하기 위한 잦은 변화의 움직임이 지속된 가운데 언론사, 파일공유(P2P), 광고링크 사이트와 같이 영향력이 높은 사이트를 통한 악성코드 유포가 이루어졌으며 MalwareNet 또한 활발한 활동이 나타났다. 유포된 악성링크에서는 CVE-2013-3897이 단독으로 쓰인 악성코드도 등장하였다. 또한, 꾸준히 나타나고 있는 레드킷의 일부 바이너리 링크는 차단 회피를 위해 SkyDrive를 이용하는 정황도 포착되었다.
 
악성코드 자동화 공격 도구에 대해서는 지금까지 국내에서는 다양한 자동 공격화 도구가 출현하였으며, 이러한 공격 도구들은 버전 업데이트를 통해 지속적으로 진화하고 있으며, 난독화를 통해 탐지 및 분석을 위한 디코딩이 어렵게 하고 있는 상황으로, 국내에서 발견되고 있는 자동 공격화 도구는 공다팩(Gondad)과 CK vip에서 변형된 카이홍(Caihong)이 지속적으로 탐지되고 있으며 그 밖에 레드킷(Redkit), 블랙홀(Blockhole) 공격킷도 활동하고 있다고 밝혔다.
 
또 금융 보안위협에 대해서는 지난해 온라인 게임 계정탈취가 주요 이슈였다면 올해는 사용자들의 금융계좌를 노린 파밍 악성코드가 나타났다. 1월부터 시작 된 파밍은 올해가 끝나기 전까지 지속적이고 빠른 변경을 통해 사용자를 속이기 위해 노력하는 모습을 보였다고 분석했다.
 
한편 향후 전망에 대해 빛스캔 측은 “웹, 이메일, USB 또는 사람으로 한정된 위협요소에 대해 우리는 관리 정책과 보안도구들을 이용해서 일정 수준의 보호를 받을 수 있다. 그러나 아직 웹을 통한 대량감염에 대해서는 뚜렷한 관찰도 부족하고 즉시 대응 할 수 있는 체계도 미비함에 따라 2013년에 이어 2014년도 웹을 통한 대량 감염과 공격은 일상적으로 발생될 것으로 예상된다”고 분석했다. 
 
개선 방안에 대해서는 “지속적인 유포지 및 경유지 침해 사고가 발생할 경우에는 웹사이트의 취약점을 분석하여 해결해야 한다. 또한 웹사이트 내에 웹쉘, 루트킷과 같이 악성코드가 숨겨져 있을 수 있으므로, 추가적인 보안 대책이 필요하다”며 “웹 취약점을 해결하기 위해서는 홈페이지의 개발시점부터 유지보수 때까지 개발자가 보안 코딩을 준수해야 한다”고 조언했다.
 



Posted by 바다란
TAG 빛스캔

댓글을 달아 주세요


본 보고서는 2013년 12월에 주간단위로 발행된 기술분석, 동향분석과 브리핑을 참고하여 한달 간의 위협동향을 기술한 내용입니다.


매달 월간 보고서가 공개용으로 발행 되고 있습니다. 본 12월 월간 보고서는 지난 1월 29일 정기 보고서 발송일에 발행된 내용으로서 12월간의 전체적인 위협을 관찰 하고 확인 할 수 있습니다. 또한 대표적인 위협들을 기술함으로써 현재의 변화에 대해서도 확인 할 수 있도록 제작 되고 있습니다.


상세한 내용은 주간 단위로 발행되는 정식 정보제공 서비스를 구독하셔야 가능하며, 개략적인 내용은 주간 동향요약과 매달 발행 되는 전월의 월간 인터넷 위협동향 보고서를 통해서 확인 하실 수 있습니다.


* 2013년 연간 보고서도 1월 4주차에 정식 고객을 대상으로 릴리즈 되었으며, 곧 공개용으로도 만나실 수 있습니다.



<2013년 12월 위협레벨 동향>

12월 1주부터 증가된 신규 공격코드의 영향력은 MalwareNet과 일부 대형 사이트와 결합이 되면서 국내 인터넷 환경에 심각한 위협을 가져왔으며, 그 결과 12월 3주까지 인터넷 위협 등급을 “경고”로 유지하였다. 하지만, 12월 4주 차부터 효과적인 공격이 발생하지 않았고, 소규모적인 공격이 발생하여 “주의” 단계로 한 단계 하향 조정했다.



2013.12월 월간 동향 총평

12월 악성링크, 바이너리, C&C 서버, IP 차단 및 탐지를 회피하기 위한 잦은 변화의 움직임이 지속된 가운데 언론사, 파일공유(P2P), 광고링크 사이트와 같이 영향력이 높은 사이트를 통한 악성코드 유포가 이루어졌으며 MalwareNet 또한 활발한 활동이 나타났다. 유포된 악성링크에서는 CVE-2013-3897이 단독으로 쓰인 악성코드도 등장하였다. 또한, 꾸준히 나타나고 있는 레드킷의 일부 바이너리 링크는 차단 회피를 위해 SkyDrive를 이용하는 정황도 포착되었다.



상세 내용은 첨부 보고서를 참고 하세요.



[빛스캔] 월간인터넷동향보고서(2013.12).pdf



Posted by 바다란
TAG 빛스캔

댓글을 달아 주세요

인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

[표 1. 1월 4주차 한국인터넷 위협지수]

1월 4주차 전체 발견된 악성링크 및 신규 경유지는 레드킷의 활발한 활동으로 인하여 대폭 증가하는 모습을 보였지만, 기존 공다팩이나 Caihong 공격킷 등의 공격이 많이 발생하지 않아 파급력은 상대적으로 작게 나타났다. 지난 주와 마찬가지로 레드킷은 특정포트(8000번)를 사용하고, 도메인은 특정 국가로 한정되고, 바이너리는 SkyDrive를 통해 유포된 것으로 분석되었으며, 특히, 바이너리 분석 결과 가상환경에서 분석하기 어렵도록 Vmprotect를 이용한 정황도 포착되었다. 금주 더욱 활발해진 레드킷의 영향과 지속적으로 나타나는 영향력있는 사이트의 악성링크 유포가 지속되고 있어 인터넷 위협 수준을 "주의" 단계로 그대로 유지한다.

 

[표 2. 시간대별 통계]

 

설날 연휴를 앞둔 시점에서 평일을 통해 유포하는 비율이 높아지는 모습이 매년 나타나고 있다. 주중에는 다수의 레드킷이 영향을 주었지만, 공다팩과 카이홍 공격킷도 일부 영향력 있는 사이트를 통해 활발한 모습을 보였다. 하지만, 주말에는 활동이 거의 나타나지 않는 한가한 모습을 보였다.

[표 3. 최근 1달 악성링크 도메인 통계]

2013년 12월 4주차부터 2014년 1월 4주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 226건(16.9%)으로 지난주에 비해 증가하였으며, 미국이 201건(15.1%), 프랑스가 555건(41.6%), 독일이 168건(12.6%), 이탈리아가 32건(2.4%), 폴란드가 29건(2.2%), 스페인이 21건(1.6%), 네덜란드가 18건(1.3%), 영국이 16건(1.2%), 러시아가 15건(1.1%), 기타가 54건(4%) 등으로 나타났다.

 

  • 1월 4주차 대표적 유포 이슈

[그림 1. 경기도기술학교를 통한 악성코드 유포]

경기도에서 관리하는 경기도기술학교(vo.gg.go.kr) 도메인이 1월 21일부터 23일까지 공격코드 유포지와 악성코드 경유지로 각각 활용이 되었던 정황이 포착되었다. 특히, 공격코드가 들어있는 유포지로 활용된 이틀간 약 80여개 사이트에 영향을 주었으며, 경유지로 활용될 당시에 구글의 StopBadware는 접속하는 사용자에게 아무런 경고를 하지 않는 모습이 확인되었으며 이 기간 사이트를 방문한 사용자는 악성코드에 감염이 되었을 확률이 매우 높다. 국가 도메인을 악성코드 유포지 및 경유지로 이용한 경우는 매우 이례적인 사례이며 발견되지 않은 이슈가 더 있을 것으로 보인다.

보다 세부적인 사항은 전문 보고서를 참조하시기 바랍니다.

끝.

 

고급보안정보구독서비스

소개

국내외 210여만개(국내 180만, 해외 30만) 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 브리핑 요약 주간의 공격 동향 새로운 공격 형태 정보 요약
  • 동향분석보고서– 최소 4 제공
  • 기술 보고서공격 기법 구조 분석 제공
  • 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공
  • 제공해킹 탐지 Alert 서비스 - PCDS에서 탐지된 악성 URL DB를 활용하여 해킹 여부 제공

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시, 선별된 정보만 제공)

 

정기 구독자

  • 스탠다드 브리핑 요약, 동향분석보고서, 기술분석보고서
  • 엔터프라이즈 Daily base C&C 정보, 브리핑 요약, 동향분석, 기술 보고서, 전문분석, 좀비PC탐지정보, 악성코드 샘플

    악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

댓글을 달아 주세요