태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'Security Indicator/Security Analysis'에 해당되는 글 70건

  1. 2014.06.02 Fireeye에서 발표한 Callback 순위 (C&C)를 통해 보는 한국의 수준
  2. 2014.04.28 망분리 맹신하다 당한 국가 기반망 - 해상관제망에 외부침입 흔적 (2011년)
  3. 2014.04.09 OpenSSL 취약성의 심각성 [갱신]
  4. 2014.03.20 "LTE급 재앙과 광대역 피해가 온다."- 유.무선을 동시에 공격
  5. 2014.02.26 [컬럼] “좀비PC 1대가 대형유통업체를 벼랑으로 몰다!”
  6. 2014.02.16 이스라엘. 사이버보안을 핵심으로? 우린 뭐하지?
  7. 2013.04.02 3.20 대란 초기 경고 및 추적, 대응 히스토리 (요약) - 빛스캔
  8. 2013.02.14 악성코드 유포 일본을 겨냥하다 – 한류, 악성코드 전파 통로
  9. 2013.02.01 금융정보 탈취(파밍) 악성코드의 실제- 빛스캔 브리핑중
  10. 2013.01.25 2013년 1월 3주차 한국 인터넷 위협 분석 브리핑- 변화 그리고 충격
  11. 2013.01.10 IE 0day 2012-4792 공격 – Dcinside 통해 검증. 앞날을 걱정 해야..
  12. 2013.01.07 한국 인터넷 금융의 위험 신호( 증권사 메인 웹서비스가 악성코드 감염경로로 활용)
  13. 2013.01.02 12월3주차 한국 인터넷 위협 분석 브리핑
  14. 2012.12.24 12월 2주차 한국 인터넷 위협 분석 브리핑 간략
  15. 2012.12.17 12월 1주차 한국 인터넷 위협 분석 브리핑- DDos
  16. 2012.12.07 11월 5주차 한국 인터넷 위협 분석 브리핑- 악성코드 금융을 위협하다.
  17. 2012.11.30 11월 4주차 한국 인터넷 위협 분석 브리핑 – 핵심을 공략하라
  18. 2012.11.26 악성코드와 금융 그리고 한국. ( 간단한 반박)
  19. 2012.11.23 11월 3주차 한국 인터넷 위협분석 브리핑 ( 악성코드 금융을 위협하다.)
  20. 2012.11.16 11월 2주차 한국 인터넷 위협 분석 브리핑 - 유포 전략 고도화와 관찰 그리고 탐지
  21. 2012.11.09 11월 1주차 한국 인터넷 위협 분석 브리핑 ( 악성코드는 생활 가까이..)
  22. 2012.11.08 악성링크에서 사용하는 쿠키를 이용한 감염 확인 - 쿠키리스트
  23. 2012.11.02 10월 4주차 한국 인터넷 위협분석 브리핑( 수면 밑의 거대한 위협을 보라.)
  24. 2012.10.26 10월 3주차 한국 인터넷 위협 분석 브리핑 ( 노골적인 공격의 시작)
  25. 2012.10.18 10월 2주차 한국 인터넷 위협 분석 브리핑 ( 변화를 관찰하고 대비하라!)
  26. 2012.10.12 10월 1주차 한국 인터넷 위협 분석 브리핑 (위협을 대비하라.)
  27. 2012.10.04 9월 4주차 한국 인터넷 위협 분석 브리핑(9.25 Korea 그리고 지능화)
  28. 2012.09.28 9월 3주차 한국 인터넷 위협 분석 브리핑 ( DDoS의 향기와 IE 0 day)
  29. 2012.09.15 exploit-db Java Applet 신규 취약성 분석 문서등록
  30. 2012.08.10 블리자드 ( WoW , Diablo) 해킹에 대해


Fireeye에서 발표한  Callback 순위 (C&C)를 통해 보는 한국의 수준



< Fireeye callback list>


간단하게 악성코드에 감염된 좀비 PC가 얼마나 많은가라고 볼 수 있다.

본 테이블에서의 붉은 색과 파란색의 국가는 러시아와 우크라이나로서 말하고자 하는 의미는 국가간의 분쟁에 의해 사이버 위협이 증가하는 형태를 보이고 있다는 점을 설명한다.  그러나 휠씬 더 중요한 포인트가 있다.


한국은 항상 전 세계에서 Top 3를 벗어나지 않는 심각한 위협상황에 있다는 것. 국가간의 분쟁이든 뭐든 한국의 사이버 위협 상황은 심각한 상황에 있다는 점이다.  이 정도로 심각한 상황에 처해 있음을 정책 입안자나 기업의 CXO 레벨들은 알고 있을까?



순위표에서도  물론 감안해야 할 점들은 있다.  Fireeye 장비의 운영 비율도 상당부분 수치에 영향을 미친다는 점 그리고 Fireeye 장비가 감염이후 탐지라는 측면에서 탐지 비율이 모든 Unknown 공격을 커버할 수는 없다는 점이다.


미국이 부동의 1위인 것은 당연히 장비 설치 비율이 월등하기에 그런 것이다. 그리고 상대적으로 높은 비율이 아닐 것이 분명한 한국의 상황에도 어떻게 Top 3를 유지하는 것일까가 핵심이다. 



1. 한국을 대상으로 하는 원격 조정이 가능한 악성코드 감염은 매우 활발하다. 따라서 비교적 적은 설치 비율에도 상당히 많은 탐지가 발생되는 것이 증명



2. Securelist에서도 확인할 수 있듯이 원격조정 (Callback)이 가능한 트로이 목마 감염 비율이 압도적으로 높은 국가이다.



3. Fireeye의 경우에도 암호화된 통신 ( ssl , tor 등등)을 이용하는 C&C 탐지 비율은 매우 낮다. 따라서 전체 한국에 대한 위협은 생각보다 휠씬 더 높은 상황이라는 점이다. 


* 한국의 상황은 이제 Top3를 넘어 실질적으로 전 세계에서 가장 위험한 상황에 계속 처해 온 것이다.  내부에 있는 우리들만 자각하지 못했을 뿐이다. 결국 2013년의 치명적인 사고들을 겪었지만 지금도 달라진 것은 거의 없다. 오히려 공격들이 더 레벨업 된 상황에 직면하고 있는 "위기의 인터넷"은 계속 되고 있다.



뭐 별로 읽을 내용은 없지만 챠트를 참고한 기사는 다음과 같다.


http://www.cso.com.au/article/546505/_cyber-attack_frequency_increases_geopolitical_tension_analysis/


Posted by 바다란

댓글을 달아 주세요

폐쇄망.. 헐..
접점 관리가 안되면 폐쇄망은 의미가 없다. 이미 오래 전 지적한 문제들인데.. 결국엔 이런 일들이?

망분리 하면 안전하다고 하는 인간들이 대체 누구인가?

 

http://p4ssion.com/157

http://p4ssion.com/20

http://p4ssion.com/84

http://p4ssion.com/128

http://www.dailysecu.com/news_view.php?article_id=4123

 

 

7중 방화벽으로 분리 되어 있다고? 개가 웃을 일이다.

 

모름지기 보안이란.. 할 수 있는 많은 부분들을 모두 해 놓은 상태에서 . 외부 접점에 대한 상시 관리, 접근제어등을 타이트 하게 해야 한다. 그 이후에도 만약을 대비해 보호 방안을 마련해야 하며, 실제 사고가 발생 했을 경우에는 유 경험자들을 이용하여 신속하고 과감한 대책들이 즉시 적용 되어야만 해결이 된다. 

이게 기본이다.

 

이런 국가 기간망에 해당하는 시설들이 외부에서 해킹을 당하고, 장악 당하는 상황은 매우 우려스러운 상황이다. 

 

 이번 세월호 대참극에서도 확인된 국가의 역량은 실제화된 전력을 투입함에도 비극적인 결과가 나왔는데, 보이지 않는 사이버 보안은 어떨까?

장부상으로만 존재하고, 매뉴얼 상으로만 완벽한 기능을 가진 장비들..

이건 재앙이다.

 

그리고 이런 문제를 숨기고, 회피하려한 책임은 매우 무겁다고 할 수 있다.
매우 쳐야만 할 것이다.

 

 

http://honam.newsway.kr/news/articleView.html?idxno=6368

 

 

(무안=뉴스웨이 호남취재본부 신영삼 기자)전남 진도 연안해상교통관제(VTS)센터의 레이더 기능 마비 원인이 외부 해킹에 의한 것일 가능성이 제기돼 충격을 주고 있다.

   
▲ 지난해부터 공식 운영에 들어간 진도 VTS센터(자료사진=서해지방해양경찰청 제공)
뿐만 아니라 시설 관할청인 서해지방해양경찰청은 단순한 부품 파손에 따른 고장이라고 주장하고 있어, 사건을 의도적으로 축소·은폐하려 한다는 의혹까지 일고 있다.

진도VTS센터의 기능마비에 대해 일부 전문가들은 ‘외부침입에 의한 해킹’이라는 주장을 제기하고 있으며, 해양경찰청에서도 이 부분에 대한 가능성을 열어두고 이미 관련 자료까지 확보한 것으로 확인됐다.

이 분야의 한 전문가는 <뉴스웨이>와의 인터뷰를 통해 해경이 하조도 레이더의 고장 원인이라고 주장하는 ‘도파관’은 안테나와 송수신기를 연결하는 4각의 연결케이블로, 주로 미국에서 생산해 수입에 의존하고 있으나, 절단될 경우 일반 절연테이프로 연결해도 임시 사용에는 지장이 없다고 주장했다.

결국 복구에 오랜 시간이 필요하지 않다는 것이지만, 하조도 레이더는 고장에서 복구까지 20여일이 소요된 것으로 미루어 해경의 ‘부품고장’이라는 주장을 믿을 수 없다는 지적이다.

또, 도초도 레이더의 고장 원인이라고 주장하는 마이크로웨이브 안테나 혼(M/W horn, 규격 PARABOLIC 8 GHz)의 경우, 도서에 설치된 레이더와 센터간의 무선통신 부품으로 이미 국산화 돼 있어 수급에 오랜 시간이 걸리지 않는다고 지적했다. 수리에 오랜 시간이 필요치 않다는 이야기다.

특히, 마이크로웨이브안테나 혼의 고장으로 통신이 두절돼 있던 도초도 레이더만 해킹이 의심되는 3월 22일 밤 외부접촉이 없었던 것으로 알려져, 지난달부터 시작된 진도VTS센터의 기능 마비가 외부 해킹에 의한 것이라는 주장에 무게가 실리고 있다.

뿐만 아니라 해양경찰청 관계자 역시 진도VTS센터가 기능 이상을 일으킨 시간대에 전산망을 통해 외부에서 접속한 흔적을 확인 했으며, 당시의 로그파일을 복사해 확보했다고 밝혔다.

또, 접속서버 주소가 인근 완도VTS센터의 IP라며, “완도서버에서 접속했는지, 아니면 외부에서 완도 서버를 경유했는지는 수사 중이라 밝힐 수 없다”고 말했다.

그러나 “조만간 만족할 만한 내용이 있을 것”이라고 말하고, ‘만족할 만한 것’에 대해 “외부침입과 관련해 만족할 만한 정확한 내용일 수도 있고, 아닐 수도 있다”며, 한 발 물러섰으나, 여전히 ‘해킹’ 가능성을 무게 있게 전망했다.

한편, 진도VTS센터의 레이더망이 이상을 보인 지난 3월 22일 밤 8시께를 전후해 인근 완도VTS센터의 서버를 이용, 가사도와 서거차도, 어란진, 하조도 시스템에 외부 침입 흔적이 남아있는 것으로 알려졌다.

해경이 확보한 이 자료에는 접속 서버로 이용된 완도VTS센터의 IP주소인 ‘172.16.3.13 VOC_WD02’와 접속 후 실행한 작업이 시간대별로 모두 기록돼 있으며, 외부접속자가 실행한 작업이 레이더의 실질적 기능인 목표물의 추적과 정보 생성 등의 역할을 하는 핵심프로그램을 삭제 ‘VET'기능을 마비시킨 것으로 알려졌다.

수사 결과가 아직 공개되지 않았으나, 결과가 외부 해킹에 의한 것으로 밝혀질 경우 해킹 배후는 물론, 국가의 중요 기간망을 해커에게 손쉽게 내어준 해경의 허술한 보안관리가 도마에 오를 것으로 보인다.

한편, 해상교통관제(Vessel Traffic Service)센터는 입·출항 선박 및 운항선박에 대한 해상교통상황 파악, 항로이탈이나 위험구역 접근, 충돌위험 등 해양사고를 예방하기 위한 선박교통관제, 선박운항현황 및 도선 예인선 운항계획 등 해상교통정보와 항만시설, 정박지 등 항만운영정보제공, 조류·조석·해상기상 등 선박 안전운항을 위한 항행안전정보 제공, 해양사고 및 비상상황 발생시 신속한 초동조치 및 전파를 위한 종합 관제센터다.

지난해 7월 15일부로 해양항만청으로부터 이관 받아 서해지방해경청이 운영하고 있는 진도VTS센터가 관할하는 해역은 도초도, 대흑산도, 추자군도, 어란진을 연결한 내측으로 진도 서망항 기점 반경 63㎞ 해역이며, 서남해의 뱃길 요충지로 면적은 제주도 면적의 2.2배인 3800㎢에 달한다.

/신영삼 기자

Posted by 바다란

댓글을 달아 주세요

미국시간으로 2014.4.7일 OpenSSL HeartBeat 취약성에 대한 발표가 있었습니다. 또한 패치도 있었으나 문제의 심각성과 여파에 대해서 제대로 인지를 못하는 것 같아서 facebook 에 올렸던 내용을 묶어서 하나의 단락으로 올립니다.


취약성 개요:

https://www.openssl.org/news/secadv_20140407.txt

OpenSSL Security Advisory [07 Apr 2014]
========================================

TLS heartbeat read overrun (CVE-2014-0160)
==========================================

A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for
preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS

 

입력값에 대한 경계체크가 안된 관계로 연결된 클라이언트나 서버에 대해 64k에 해당하는 메모리 값을 계속 읽어 올 수 있다는 부분입니다. 이 문제만 보았을때는 특별한 이슈가 없을 수 있으나,이 취약성이 네트워크에서의 암호화 전송 상당부분을 담당하는 OpenSSL에서 발생된 문제라는 점에서는 심각한 문제가 발생 될 수 있습니다. Private key가 노출 될 수 있기 때문이죠. 이 문제의 심각성은 다음 예시로 대체.


왜 치명적인 문제인가?

 

애플이 인증서가 있죠? https 라고 뜨잖아요.

애플은 Private Key를 가지고 있고 사용자가 웹서비스 접속시 Public key를 받습니다.

그리고 사용자가 통신을 할때 Public key를 가지고 암호화를 해서 애플로 전달하면 애플은 자신이 가진 Private key를 가지고 복호화를 하게 되죠. 이게 초기의 키 교환 부분인데..

 

기업의 웹서버에서 인증서를 발급 받아 이용한다는다는 것은 각 인증서 마다의 Private , Public 키 세트를 가진다는 거죠.

  

여기에서 가장 중요하게 지켜야 할 것이 Private 키입니다 이게 만능열쇠 이니까... 그러나 OpenSSL 취약성을 이용하여 메모리 정보를 계속 읽어오게 되면 결국에는 Private 키 정보까지도 알아낼 수 있다는 거죠. 그렇게 되면 애플로 접속하는 모든 암호화된 통신들을 열 수 있는 열쇠가 되는거죠.

 

그냥 암호화가 아니고 평문으로 볼 수 있는 상태라고 해야 하나?

 

이런게 전 세계의 66% (Apache + Nginx 사용비율) 서비스에서 가능성이 있다고 생각해 보세요. 그리고 이름만 대면 아는 대부분의 유명 서비스들에서 발생 될 수 있다면 이건 .심하게 말하면. 재앙이죠.

 

개인의 정보라는게 암호로 지켜지지 않으니..

문제는 웹서비스뿐 아니라 이메일, VPN 등등 모든 부분에 이용 비율이 높다는 점!

 

* 전 세계 웹서비스에서 차지하는 비율은 다음링크 참고 : http://news.netcraft.com/archives/2014/04/02/april-2014-web-server-survey.html 



문제는 심각성을 제대로 인지하지 못하고 있다는 점이라 할 수 있겠죠. 또한 패치가 나와서 문제가 없다는 측면은 다릅니다. 사실 이 취약성이 몇년전 부터 알려져왔고 한국시간으로 4.8일에 공개되었다는 점을 본다면 그 이전의 영향력은 비교하기가 힘들 것으로 보입니다. 패치의 문제를 벗어나는 순간이 되겠죠.

 

"신속히 패치가 나온다 하여도 전체 서비스에 적용하는 것은 신속하게 되기가 어렵습니다. 연결된 구조와 의존 관계등을 면밀히 고려하지 않으면 또 다른 장애와 직결되는 문제들이 있을 수 있거든요.

  

단일 서비스의 경우에는 바로 해결 할 수 있으나 연결된 서비스나 연동 서비스가 많을 경우는 패치 적용 부터가 난감한 이야기죠. 게다가 서비스 중지도 해야 하는 것이구요.

 

취약점은 이번에 공개가 된 것뿐이지만 만약 공개 되지 않았다면? 이런 전제를 하면 문제는 상당히 심각해 집니다. 이런 유형들이 얼마나 많을지는 생각하기도 어려운 상황이구요.

  

현실의 위험은 상당히 큰 수준으로 존재하고 있고 사용자 PC 단위 이외에도 서비스 영역에서도 언제든 문제가 발생될 수밖에 없는 부분이라는 것을 보았을때는 전체 구조는 다른 방향으로 변화해야겠죠."

 

 

Private Key 노출 가능성 확인된 이후 바로 작성한 글은 다음과 같습니다.

 

XP 종료 따위가 문제가 아니라, 전체 암호화 트래픽을 스노든이 NSA 평문 접속하듯이 할 수 있는 OpenSSL 취약성이 진짜 긴급 대응을 해야 하는 것 아닌가? 이건 지금 당장 발생 되고 있는 긴급한 이슈인데~ 그것도 거의 모든 트래픽들 다수가 영향을 받는데.


최근 PoC 코드들까지 모두 양산된 모양 .
OpenSSL 의 heartbeat bound check 미비로 인해 64k 분량의 정보들이 덤프로 채워져서 마구 노출된다는 이야기. 암호화 되어야 하는 서버와 클라이언트간의 통신이 그대로 풀린 상태로 노출된다는 것. 영향 받는 곳들 매우 많을 곳으로 예상됨.


64K 정보 내에서 Private key를 뽑아 내면 암호화는 그대로 풀려지는 것이고 , 아니라면 정보를 64k 씩만 계속 뽑아내도록 하면 필요한 정보들은 계속 받을 수 있는 것들이고~~ 오래갈 문제.


서비스 운영 중인 곳들이 대부분인데, 중단하고 해야 할 텐데.. 시간은 오래 걸릴 것이고 그러다 보면 정보노출 범위는 계속해서 확대될 것으로 보임. ( 컴파일해서 언제 라이브러리 적용 하노? 이건 정말 몇 년에 한번 할까 말까 한 일을 며칠 사이에 다 해야 하는 상황인 듯 ) 어떻게 보면 오래된 OpenSSL 버젼은 괜찮다고 하는데 라이브러리 구성에 따라서 다른 것들 이다보니~~ 답은 없다. 확인 해 보는 것이 필요!


상업용 서비스나 OpenSSL 이용해서 SSL이나 TLS 암호화 구성하는 라이브러리 이용하는 모든 곳들은 점검이 필요함.


저기 금융권이나 통신 , 메시지 , SNS 업체들 모두가 필요할 듯.

* 어디 있더라? OTP 에 SSL만 쓰면 안전하다는 분들은?

상세 취약성 관련 내용

http://heartbleed.com/

아래는 보안권고문 - Dependency 관계로 업그레이드 여의치 않으면 핫빗 안 쓰도록 옵션 주고 다시 컴파일 하랍니다. 허허 이 이야기는 서비스 중지 시키란 이야기죠.
https://www.openssl.org/news/secadv_20140407.txt


*참고로 SSL + OTP 로 개인에게 설치되는 공인 인증서를 대체 할 수 있다는 Opennet의 경우에도 웹서비스의 인증서에서 핵심인  Private Key 유출 가능성을 가지고 있었습니다.

 

 

 

결론:

 

결론에 대한 내용과 제 생각은 올린 글로 대체 합니다.

 

 

냉정하게.. OpenSSL Heartbeat 을 이용한 Private key 유출 가능성이 가지는 심각한 문제성에 대해 모른다면 ..어디 가서 해킹이네, 보안이네 안다고 하지 마라.! 전문가라고도 하지 말고.. (기술적 보안 분야에서 )


그리고 어제 밤에 단순 패치 인줄 알다가, 내용 확인하고 진땀이 흘러서 급하게 썼는데 .. 참나~ 자격증도 없지만 씨사나 씨습 자격증이나 학원에서 공부한 학생들도 Private key (이건 개인이 가지는게 아님) 가 유출되면 어떤 문제가 발생될 지는 알겠다.


생각들 해야 할 듯. 전 세계 66% 이상의 서비스들에 대해서 투명창으로 내부를 다 들여다 볼 수 있는 ..집집마다의 열쇠들을 도둑이 모두 가질 수 있다는 가능성을.. 이미 가졌을 수도 있고~


보안서버? 암호화? - 이런 건 기업에서는 어쩔 수 없이 당할 수 밖에 없다. 그러나 체계가 잡힌 조직이라면 영향력 파악 , 대응 절차, 실행 , 관찰 프로세스로 나간다. 그냥 대충 땜빵들 하고 업데이트 했으니 끝났을꺼라고 하지만 취약성은 이미 몇 년전에 나온 거구.. 공개만 어제 된 것일뿐. 그 사이 뭔 일이 있었을까?


해킹 ? 보안? 전문가? 헐..


파급력은 커녕 위험성 평가도 제대로 안되는 판국에 무슨 대응이란 말인가? 사안이 인지도 안되면 그 다음은 없는 거나 마찬가지다.


국가는 떠나서 일개 기업이나 단체에서라도 파급력과 영향력을 파악하고 대응방안과 신속한 실행을 해야 하는데 그걸 누가 해야 하는가? 기업내에서도 "현재 운영 중인 서비스 잠시 중단 해야 합니다" 라고 말도 못 꺼내는 입지라면 하나 마나다.


진짜 전문가와 전략가는 이 순간에 경영을 위협하는 심각한 리스크를 인지해야만 한다. 그리고 결단을 하고 실행을 해야 한다. 근데 우리나라에 있는 CIO나 CSO , CISO 분들 중에 이럴 분들이 있을까?

답은 잘 아실 듯.



*참고로 우리는 이런 심각한 상황을 맞이 했음에도 불구하고 XP 종료 대응이라는 이벤트만 했을 뿐이다.


- 바다란

 

===== 추가 ====== 

대응:

 

단순 패치  참고   - http://yisangwook.tumblr.com/post/82056087918/openssl-heartbeat-heartbleed 

 

기업이나 서비스의 상황을 살펴 보면 단순한 패치로 문제가 해결되기 어렵습니다.  1차적으로 SSL 이용하는 부분에서 OpenSSL 사용유무 확인 및 패치는 기본 적용

 

1. SSL 버젼 확인 - 패치 적용 , 기본

 

2. 업그레이드 불가한 곳은 OpenSSL 연결 패키지 Heartbeat 옵션 제거후 재컴파일 및 사용

 

3. 대외 서비스의 경우 ( 중요도가 높거나 사용자가 많은 곳) 서비스 SSL 인증서 재발행 필요

 

4. 전체 IP 대역에서의 443 포트 활용 및 SSL 활용 유무 체크

  - SSL Heartbeat 취약성을 이용해 메모리 값을 불러 올 수 있는 진단 프로그램 전체 활용

 

5. 보안 제품 , VPN , 메일 등등 모든 제품에서의 SSL 옵션 사용하는 곳들도 동일하게 확인

 

* 이 과정에서 서비스들이나 네트워크들의 간헐적인 중단이 될 것입니다. 또한 보안 장비들도 거의 모든 장비들이 SSL 지원을 하고 있으니 그 부분들도 모두 체크를 해 보셔야 됩니다.

 

*서버의 메모리 값을 읽어 간다는 것은 메모리내에 풀려진 모든 값들을 어떻게든 가져갈 수 있다는 것이 됩니다. 그래서 가장 우려하는 Private key도 유출될 가능성이 높다는 것이죠.  현재는 취약한 서비스들 ( 생각보다 휠씬 더 많습니다. )에서는 세션정보 , 평문으로된 ID/Password 연결 정보등이 노출이 되고 있는 상황임을 염두에 두세요.    

현재 상황은 private key 유출은 확인 되지 않았으나 정보들은 유출 되고 있는 상황입니다. 또한 로그들도 안 남는 상태라 문제는 심각하죠.

 [Mark Loman (@markloman)] Do not login to Yahoo! The OpenSSL bug 'heartbleed' allows extraction of usernames and plain passwords!

사진: [Mark Loman (@markloman)] Do not login to Yahoo! The OpenSSL bug 'heartbleed' allows extraction of usernames and plain passwords!

Posted by 바다란

댓글을 달아 주세요

 

"유선 웹에서만 발생되던 대량 감염 시도가 모바일 분야로 확장을 하고 있다. 이제 모바일 좀비폰도 출현 할 것이다."

 

PCDS: 한국 인터넷 위협을 모니터링 하는 사전위협 탐지 체계

 

 

 

 

 

 

 

 

 

 

[그림 1. PCDS 체계 요약도]

 

  • 유포지(웹사이트): 웹사이트 내에 경유지가 삽입되어 방문만으로도 실제 감염이 일어날 수 있는 곳
  • 경유지(악성링크): 악성링크를 통해 감염시키는 통로로, multi-stage 및 single로 이루어진 비정상 링크
  • 경유지(공격코드): 경유지(악성링크)내에 공격코드를 삽입시켜 일반사용자 PC의 다양한 애플리케이션 취약점을 공격한다. 공격 성공 시에는 악성파일이 실행되어 PC를 감염시키고, 경우에 따라 C&C 서버로 연결된다.

 

웹은 웹이다.

모바일이든 유선이든 웹은 그냥 웹이다.
한국 내에 스마트폰 사용자 90% 이상이 안드로이드 ( 그냥 애플 빼고 전부) 사용자인데 ..지금까지 모바일에선 스미싱 정도가 전체의 위협으로 알려 져왔다.

지난 주부터 탐지 되는 악성링크에는 이제 유선 ( Java 7 , IE 1 , Flash 1) 접속 시에 공격이 발생되는 이외에도 안드로이드를 겨냥한 apk 세트까지 장착.

 

[그림 2. 2014년 3월13일 발견된 유.무선 공격 세트]

[그림 3. 2014년 3월13일 발견된 유.무선 공격 세트- apk 파일 내용]


앞으로 변화가 많을 것이다.

모바일에도 이제 스미싱만 막다가..모바일 웹도 보안 위험성에 대해 선별해야 하는 상황이고, 유선은 이미 자체적으로 하기에는 놓은 상황이 아니던가?

   

   


웹은 웹이다.

변화는 극적이게 것이다.

우선 모바일 뱅킹 금융 정보 결제 피해를 강요하는 모바일 악성코드는 스마트폰으로 웹서핑 하는 순간에도 설치 된다. 결국은 스미싱이 문제가 아니라 이젠 모바일 웹까지도 영향권에 직접 들어간다는 이야기. 모바일 바라보던 세계 보안 기업이나 국내 서비스 기업들 찌게 되는 것은 순식간이다.

유선 인터넷은 그냥 말을 말자.

모바일 부분에서 통신사는 이제 직접적인 영향을 받을 것임 . 경우에 따라 모바일 관련된 DHCP 서버나 DNS 서버등이 금융정보 탈취 이외에도 직접적인 공격의 대상이 있다. 통제 범위가 이젠 인터넷 웹서비스 전반을 봐야만 하는 상황
그리고 모바일 뱅킹은 어쩔 것인가? ..

이럴 때가 것을 알고서 구글이 준비한 Stopbadware 디비가 안드로이드 이외에도 크롬 브라우저에 모두 탑재 되어 있지만 항상 말하듯이 뒷북 이다. 그리고 이걸 쓰려면 제조사든 통신사든 천문학적인 비용을 내야 수도 있다. 그들이 이럴 쓰려고 준비해 비장의 무기가 아니던가?

 

 


[그림 4. 구글의 악성링크 DB - Stopbadware]


구글은 2006년부터 준비했는데 생각이나 하고, 노력한 곳은 있는가? 아님 대항할 무기라도 대비해 곳이나 있는가? 없을 꺼다. 기술로 뛰어난 설계로 커버 있는 범위는 한참 전에 끝났다. 모든 것은 변화되는 위협을 관찰하고 실시간으로 갱신 되는 데이터베이스가 있는 가에 의해서 판가름 것이다


 

[그림 5. 구글의 Stopbadware 기반 Chrome 차단 화면 – 모바일에서는 언제쯤?]

 


멀리 바라보지 못하고, 준비하지 못했다면 사뭇 운명은 빠른 속도로 처참해 진다. (* 그렇게 노래 부르던 LTE 처참의 현실화)
이건 .무선을 망라한 몬스터 툴킷의 출현으로 더욱 가속화 되게 된다.
그대로 LTE 급과 광대역으로 열려진 통로로 매우 빠르게 확산되고 지속될 것이다. 피해는 전체에 영향을 미친다.

결국 도망만 다니고 편한 길만 찾아 다니다 막다른 절벽에 몰린 상황
아무도 구해 주지 않는다. !

이야기는 아주 빠르게 현실화 것이다. 당장 영향은 상반기에도 직접 느낄 있을 것이다. 그게 바로 선진국(?) 위대함이다.

Posted by 바다란

댓글을 달아 주세요

"좀비PC 1대가 대형유통업체를 벼랑으로 몰다!"

 

*zdnet 게재 컬럼입니다.

 

타겟의 대규모 정보유출과 관련 하여 유출된 카드당 배상 금액을 기본 건당 90$로 추정할 때 전체 4천만 건에 대해 36억$에 달할 것으로 예상되고 있다. 또한 건단 90$의 경우도 카드회사가 벌금으로 책정하고 있는 최소액수라는 점. 그 이외에도 개인정보가 7천만건 이상 유출된 점을 감안하면 피해 금액은 상상을 넘는 금액이 될 수도 있다. 이 사건의 시작이 내부로 침입된 악성코드 하나에 의한 것이라는 점을 감안하면 한국에서의 피해 및 정보 유출 사례와 비교 하였을 때 많은 격차를 느낄 수 밖에 없다.

 

 

1억건 이상에 달하는 금융이용자의 정보유출 사건과 비교하기는 어렵지만 해외 업체인 Target.com의 악성코드로 인한 4천만건 이상의 카드 정보 유출은 심각한 시사점을 깨닫게 해준다. 2014년 1월에 보도된 금융정보 유출의 경우 내부 시스템에 접근이 가능한 외부자에 의해 발생된 정보유출 사례라고 볼 수 있다. 그러나 Target의 경우는 내부 운영 시스템인 POS 단말기에 침입한 악성코드가 카드 관련 정보 및 신상 정보를 탈취하여 유출한 사례이기에 예의주시할 필요가 있다.

 

Target을 통해 유출된 정보는 초기에 4천만건에 달하는 카드 정보가 유출된 것으로 발표 되었으나 추가 확인된 결과에 의하면 전체 1억1천만건 (카드정보 4천만건, 개인정보 7천만건)에 달하는 소비자 정보들이 유출된 것으로 확인되고 있다. 분석 정보들이 추가로 확인됨에 따라 그동안 밝혀지지 않은 심각한 내용들과 기술적인 문제점들에 대한 내용들이 확인되고 있는 상황이다.

 

외신 (http://www.dailymail.co.uk/news/article-2541744/Pictured-Russian-teen-Target-hacking-attack.html)에 따르면 러시아해커에 의해 제작된 공격도구들이 이번 Target의 공격에 이용되었다는 점이 확인되고 있으며, 또한 Target이 운영하고 있는 미국 전역의 1,797개 매장의 POS 기계의 대부분인 4만여대의 POS 기계가 감염되어 정보 유출에 이용된 것으로 확인되었다. 사실상 공격자는 모든 정보 입력 기계에 대한 완벽한 제어권한을 가지고 있었다는 것이다.

 

맥아피에 의해 공개된 기술적분석(http://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/24000/PD24927/en_US/Threat_Advisory_EPOS_Data_Theft_v4.pdf) 을 살펴보면 대부분의 POS 기계들이 윈도우 운영체제를 사용하고 있었고, 내부망을 감시하는 보안도구나 이상증세를 관찰하는 모니터링이 전혀 없었음을 알 수 있다. POS 상에서 사용자가 카드를 긁는 거래가 발생되는 순간에 관련 거래의 내역을 탈취하여 별도의 파일로 저장하도록 하였으며, 그 누적된 정보들은 주기적으로 내부 파일공유나 FTP를 통해 특정 지점으로 모아지도록 되어 있었다. 그 이후에 누적된 데이터들을 공격자들은 한꺼번에 들고간 것이 이번 Target 해킹에 대한 설명이라 할 것이다.

 

 

 

공격자가 통제하는 서버와 감염된 PoS와의 관계 Source: Dell Secureworks.

 

추가적으로 분석된 자료를 부분적으로 공개한 Dell의 시큐어웍스사와 시만텍의 리포트 및 Krebson Security 저널에 언급된 내용을 살펴보면 한국의 3.20 대란과 유사한 방식이 사용 되었을 것으로 추정되는 분석들도 있다. (관련기사 : http://www.informationweek.com/security/attacks-and-breaches/target-hackers-tapped-vendor-credentials/d/d-id/1113641?f_src=informationweek_gnews

Krebson Security 기사: http://krebsonsecurity.com/2014/01/new-clues-in-the-target-breach/

)

분석 내용에 따르면 Target 내의 모든 POS 시스템들은 Window Share가 활성화 되어 있었으며, 카드 정보를 한 곳으로 모으는데 이용된 계정은 "Best1_user" 이고 패스워드는 "BackupU$r" 이였다고 한다. Best1_user 계정은 BMC의 성능 관리 소프트웨어에서 사용이 되는 것으로 알려져 있다.

 

3.20의 VMS나 PMS와 같이 악성코드 배포 역할을 한 것으로 의심되는 것은 MS의 SCCM (System Center Configuration Manager) 프로그램으로 추정하고 있는데, 현재 MS의 Target IT 인프라 구조에 대한 사례 구성은 사라졌으나 그 구성도에는 SCCM 프로그램이 전체 POS 장비의 성능을 관리하는 형태로 이루어졌을 것이다. 추정에는 내부의 좀비 PC 확보 이후 주요 소프트웨어나 서비스에 대한 SQL Injection 공격을 통해 관련 정보와 권한을 획득 하였을 것으로 추정하는 내용도 확인 할 수 있다.

결론적으로 소매점 한 곳에 타켓화된 메일 등으로 침입 또는 직접 공격을 통해 권한 획득을 한 이후 내부의 중요 관리 소프트웨어에 대한 공격들이 있었을 가능성이 매우 높다는 점을 지적하고 있다. 

BMC의 성능 관리 소프트웨어에 대한 공격으로 계정 정보를 획득하고 MS의 SCCM 프로그램의 전체 연결 구조를 이용하여 전체 POS에 일괄적으로 악성코드를 배포한다. 그 이후 획득한 계정정보를 이용하여 한 곳으로 전체 데이터를 모으도록 하는 것이다.

일정 시점 이후에 모아진 데이터를 들고 러시아로 옮기는 것이 최종이다. 이 과정에서 어떤 모니터링 및 경고도 발생되지 않았으며, 모두 사건 이후에 잔뜩 남겨진 로그와 기록들을 기반으로 하여 분석을 하는 것을 볼 수 있다. 내부망에는 위험을 관찰할 체제들도 단지 "분리된 망"이기에 거의 없었다는 것을 알 수 있다. 망분리를 통해 보안성을 확보하고자 하는 많은 기업 및 기관들도 위험에 대해서 살펴 보아야 할 부분들일 것이다.

 

 

Target 에서의 대량 정보유출에서 우리는 몇 가지 교훈을 얻을 수 있다.

 

  1. 내부망 (사설IP)에서의 보호방안은 거의 없었다. – 망분리를 중점대책으로 위험을 제거하려는 우리의 입장에서는 고민해야될 부분이다.
  2. 사설IP 대역에 존재하는 4만여대에 달하는 POS 기계의 운영체제가 감염되는 동안 전혀 인지를 못한 상황
  3. 초기 침입은 외부와 연결된 망을 통해서 이루어졌을 것이나 초기 침입이 어디로부터 시작되었는지는 분석이 안되고 있다는 점.
  4. 결론적으로 내부망에 대한 감시체계와 외부와 연결된 접점에 대한 강력한 통제에 실패했다는 점을 꼽을 수 있다.

 

외부와 연결이 분리된 망에서는 분리된 것 자체가 강력한 대책으로 인식을 할 수 밖에 없다. 강력한 대책인 망분리가 되었을때에도 전제되어야 하는 것은 작은 가능성일지라도 내부로 유입된 악성코드가 있을 경우에 대한 대책이 무엇이 있느냐 하는 것이다. Target의 POS 기계 감염에 이용된 악성코드의 경우에도 초기 감염시에 주요 백신의 탐지를 우회하여 감염된 정황이 확인된 바 있다.

 

내부로 유입된 악성코드가 무방비로 노출된 주변 시스템을 감염시키고 확산을 하는 중에도 모니터링 및 관찰을 할 수 있는 도구와 체계가 없었기에 Target에서 운영하는 대부분의 POS 시스템에 감염이 된 상태조차 인지하지 못한 것이다. 정보를 전송하는 단계에서는 암호화가 적용 될 수 있으나 기록되는 단계에서는 평문으로 기록이 될 수 밖에 없다. 악성코드들은 POS 시스템에서 입력되는 모든 카드정보와 개인정보를 그대로 수집하여, 특정 위치로 옮겨둔 이후 한번에 모두 가져간 것이 사건의 전말이다.

 

한국은 과연 문제가 없다고 할 수 있을까?

 

2013년 8월 하순경에 국내를 대상으로 웹을 통한 악성코드 감염 시도를 다수 시행한 공격자들을 역으로 추적한 결과는 국내도 이미 문제의 범위에 들어와 있을 수 밖에 없다는 것을 알 수 있다. 여러 정보들이 확인 되었지만 POS에 관련된 문제로만 국한해 보면 타겟의 사례는 지금 당장 국내에 발생된다 하여도 그리 낯설치 않을 것 같다.

 

<그림 1. 2013년 8월 중국 공격자 서버에서 발견된 좀비 PC 관리 프로그램>

 

공격자가 운영하는 C&C (원격제어 서버) 서버에서는 단 일주일간의 로그 기록이 남아 있었는데 그 로그 기록에는 공인 IP만 2만여 개 이상이 존재함을 확인 되었다. 공인 IP만 2만여 개 이상이라는 것은 2만여 곳 이상의 기업/기관 내에 감염된 좀비 PC들이 존재하였음을 의미한다.

 

<표 . 2만여 개의 공인 IP 국가별 분석 결과 >

 

단 한대의 감염된 좀비 PC가 3.20 대란의 시발점이 되었으며, 단 한대의 감염된 좀비 PC가 거대 유통사인 타겟을 벼랑으로 몰아가는 시점에서 과연 우리는 좀비 PC들에 대한 대응과 감염예방에 대해 어떤 노력을 기울이고 있을까?

 

메일을 통한 악성파일 감염은 현재 기술로도 충분한 해결 방안을 만들 수 있을 것이다. 또한 메일이 몇 분 늦어진다고 항의하지도 않는 상황에서는 더더욱 해결 하기에는 어려움이 없을 것이다. 그러나 웹은 어떻게 해야 할까?

 

접속을 몇 분이나 지연 시키고 위험성을 찾아내고 검증한 뒤에 방문을 할 수 있을까? 불가능한 이야기이다. 선제적인 탐지와 전역적인 대응 체계의 구축을 통해 보다 더 빨리 찾을 수 있어야 한다. 또한 공격링크에 대한 블랙리스트를 상시적으로 갱신하고 차단함으로써 감염을 예방 할 수 있다. 매 주마다 200~300개의 공격링크가 생성이 되고, 2000에서 3000여개의 웹서비스들이 방문만 해도 감염되는 상황에 노출된 한국은 이제 단순한 좀비 PC에 대한 탐지와 제거를 넘어서 예방이 되어야만 생존 할 수 있는 환경이다.

 

단 한대의 좀비PC가 세계적 기업을 한번에 끝내는 상황을 목격하고 있는 상황에서, 우리는 지금이 순간에도 무감각하다. 타겟이 한국에 있었더라면 600만원 과태료로 끝나지 않았을까? 우리 개인정보들의 가치는 대체 얼마일까?

 

 

-바다란

Posted by 바다란

댓글을 달아 주세요

이스라엘. 사이버보안을 핵심으로 ? 과연 


정밀무기 분야에서도 세계적 경쟁력을 가진 이스라엘

사이버분야에서도 그럴까? 물론 지금까지 그랬다.


이 링크는 단지 이스라엘의 홍보일 수도 있다.

그러나 이스라엘은 정부차원의 강력한 의지를 지니고 있다. 그 의지도 직.간접적으로 느껴보기도 하였고 말이다.  


http://israel21c.org/technology/the-cyber-security-capital-of-the-world/


In fact, in early 2014, multinational players IBM, Cisco, EMC, Lockheed Martin RSA and Deutsche Telekom all announced plans to set up cyber-research facilities in CyberSpark, Israel’s new cyber-security technology park in Beersheva.

Prime Minister Benjamin Netanyahu revealed the establishment of the new national cyber complex in the Negev city at the Cybertech conference in Tel Aviv – where some 450 heads of industry and cyber-security agencies from across the globe came to see an expo of Israeli security companies and startups.

Two years after the founding of the Israel National Cyber Bureau (INCB), Netanyahu predicted that Beersheva would “not only be the cyber capital of Israel but one of the most important places in the cyber security field in the world.


그런데.. 중동으로부터의 위협과 여러 사이버 공격의 직접 대상이 이스라엘인 것은 사실이지만 그보다 더 심각한 현장의 상황은 한국 아닐까?


사이버보안 기술을 연구하고, 인재를 영입하며, 회사 인수를 위해 텔아비브에 전 세계 기업들이 앞다투어 연구소를 설립하고 ( 보안은 아니더라도 한국의 기업들도 있다. ) 활동을 활발히 하고 있다. 


기술의 발전은 경험을 통해서 촉발된다. 

공격과 방어의 기술도 세계 1,2차 대전을 거치며 급격한 무기의 발전이 있었고, 그 이후에도 전쟁을 통해서 발달된 것은 부정할 수 없는 사실이다.


사이버상은 어떨까? 

왜 EU가 사이버 대응센터를 에스토니아에 설립을 하였을까? 사이버공격의 직접적인 대상이 되어 피해를 입었던 큰 경험을 가진 곳이기에 에스토니아에 설립을 한 것이 주된 이유일 것이다.


그렇다면 전 세계적으로 가장 큰 사건/사고들을 10개 정도만 대표적으로 뽑는다면 확실한 것은 그 중 절반 이상을 한국에서 발생된 사건들이 차지하게 된다.


실제 전쟁에 버금가는 격렬함이 넘치는 곳임에도 한가하게 유람하는 간 큰 나라.



이스라엘에 모이는 세계적인 기업들은 몇 년 지나지 않아서 역부족임을 알게 될 것이다. 또한 현실을 극복하기에는 너무나도 부족함을 알게 될 수 밖에 없다. 그래도 그들은 인정하는 순간부터 문제를 파악하고 넘어서려 할 것이다. 우리와는 너무나도 다른 ...


지금 시기에는 한국이 사이버 보안의 역량을 강화하기에는 가장 좋은 실전테스트 공간이다. 그 실전 테스트 공간은 아무에게도 허락되어 있지 않다. 하다못해 이스라엘 정부의 1/10만큼이라도 신경을 쓰고 중요성을 인식 했다면 매우 다른 그림이 되지 않았을까? 


시장을 보고 들어오는게 아니라 다음을 준비하기 위한 연구단지로서 접근이 된다면 더 좋은 일이 되겠지만 여긴 준비가 전혀 안되어 있다. 최소한 문제를 해결해 나가는 방식과 단호하고도 집중적인 대응 체제로 현실에 안주하지 않아야 하는데 그걸 못한다. 


글을 쓰면서 드는 가장 비극적인 생각은 이스라엘에서는 연구와 기획을 하고 만들어진 물건들은 한국에서 검증을 하고 그 결과를 바탕으로 다시 갱신을 한다면 이건 완벽한  "호구" 역할이 아닐까? 


그 잘난 내수강자들은 상대도 되지 않는데..


의지도 생각도 없으니, 의견을 들으려 하지 않는다. 당연히 전문가들은 찾지도 않는다.  여기서 전문가란 전문가집단을 의미하는게 아니다. 최소한 현실의 문제를 진짜 고민하고 해답을 찾고자 하는 사람들은 나라에 있어야 하지 않을까? 찾아오는게 아니라 발로 뛰어서 찾아 다니는 그런 공무원들 말이다. 전문성을 갖추고 스스로도 배우고 알고자 하는 그런 공무원들이 찾아낸 전문가들에게서 쓴소리를 가감 없이 들을 수 있어야 방향도 서고 한다.  


의지 있는 공무원들을 일하게 만드는 것은 상위의 의지가 가장 중요할 테고 말이다.


개인적인 경험으로도 이스라엘 고위직 공무원이 자세한 상황도 모르고 단지 하나의 단서만으로 한국까지 와서 발표를 요청하고 듣고 이해하는 상황에 대해서는 감탄을 할 수 밖에 없었다.  그 차이가 무엇인지는 생각해 볼 일이다.


어떤 사고가 그들을 움직이게 했는지?

어떤 필요가 그들을 행동하게 했는지?


아직도 잊혀지지 않는다. "이런 것들을 하는데 그 어떤 지원도 안해 줍니까? 정말입니까? 우리가 해도 됩니까?" 라며 거듭 반문하는 사람에게  씁쓸한 끄덕임밖에 못한 상황 자체가...


그러부터 1년이 훌쩍 더 지나서도 여전히...


- 바다란 . 2014.2


Posted by 바다란

댓글을 달아 주세요

3.20 대란 초기 경고 및 추적, 대응 히스토리 (요약)

 

    - 2013.03.29 빛스캔㈜ info@bitscan.co.kr

 

 

초기 관찰과 추적, 경고에 이은 대응까지의 역할을 하나의 이미지로 축약한 부분.

 

본 3.20일 대란 발생 이전의 핵심적인 탐지 내역들이 있어서 사전 경고를 한 것이며 그 경고의 내용은 다음과 같다.

 

  1. 비정상적인 주중 악성코드 유포 행위의 지속 (관찰 2년 이내에 최초)
  2. 군 관련 모임과 매체에 대한 악성코드 감염 시도 발견 ( 3월 1~2주차)
  3. 주중 유포된 악성코드들의 대부분이 백도어 및 트로이 목마 유형 관찰

 

위의 세 가지 핵심적인 변화 관찰 결과에 따라 사이버공격 위협이 심각해 질 수 있는 상태이므로 경고를 한 상황입니다. 경고를 했음에도 불구하고 사고는 발생 된 상황이며 3.20 대란에 대한 논점은 명확히 짚고 넘어가야 할 부분입니다.

   

3.20 사건의 핵심 논점:

 

  • 내부망 침입 – Email을 통한 APT 혹은 Web 서핑을 통한 감염?
  • 악성코드 확산 도구 – 중앙에서 업데이트 되는 장비 ( 백신 업데이트용)
  • 최종 피해 – 파괴형 악성코드

 

공격이 발생 되기 위해서 필요한 세 가지 구성요소에서 확산 도구와 최종 피해를 입히는 부분은 확인 되었으나 최초 내부망의 PC에 어떻게 접근을 할 수 있었는지에 대해서는 알려져 있지 않다.

모든 피해가 서비스 운영이 아닌 개인 PC가 운영되는 네트워크 단위에서 발생 되었다는 점을 주목해 볼 때 두 가지 침입 가능한 지점을 확인 할 수 있다.

 

  • Email을 통한 악성파일 첨부 공격에 의한 감염
  • Web 서핑을 통한 악성코드 감염

 

빛스캔에서는 웹을 통한 대량 감염을 2년 이상 추적해 오고 있으며 180만여 개의 국내.외 웹서비스들에서의 악성코드 감염 이슈를 모니터링 해오고 있다. 따라서 이메일을 통한 공격은 제외하고 웹서핑을 통한 악성코드 감염 이슈를 중점으로 정보를 제공한 바 있다.

 

 

매주 평균 100~200 여개 이상의 악성링크가 공격에 이용되고 다수의 웹서비스들에서 모든 방문자를 대상으로 악성코드 감염 시도를 하고 있다. 그 중에는 방문자가 많은 서비스들도 포함이 되어 있는 상태라 불특정 다수에게 감염을 시킬 수 있는 상태이다. 공격자는 이미 권한을 가지고 있는 웹서비스들의 소스코드를 변경하여 방문 시마다 자동으로 실행하도록 하고 감염시키는 형태를 통해 감염자를 다수 늘린다. 최초 내부망으로 유입된 통로를 확인 할 수 없어서 3.20일까지는 추정되는 의심정보로 전달 한바 있다. 빛스캔의 추정은 웹을 통한 감염으로 추정을 하였다.

 

<Web 서핑을 통한 감염 시의 경로 추정>

 

3.17일 이후 imbc.exe , sbs.exe와 같은 특정 방송사명의 악성코드가 사용자들 PC에 설치가 되었으며, 그 중에서 imbc.exe 파일 내에는 감염 PC를 원격에서 조정 할 수 있는 C&C 주소가 발견 되어 관련성에 대해서 추정을 할 수 있는 상태였다.

 

3.20일의 파괴형 악성코드 동작 이후 3.24일에도 국내 사이트를 통한 악성코드 감염 사례가 발생 되었으며 해당 악성파일명은 naver01.exe 로 이용 되고 있었다. 해당 파일의 분석결과 여러 악성코드를 추가로 다운로드 받는 것이 관찰 되었고 공격자가 원격에서 조정하는 C&C 주소가 imbc.exe에서 발견된 C&C 주소와 동일한 것이 확인 되었다. 도메인의 이름만 변경되었으며 실제 IP 주소는 동일한 것으로 확인이 되었고, 시스템에 대한 파괴 행위도 3.20일 발견된 피해 악성코드의 기능과 유사한 변종으로 확인 되었다.

 

따라서 3.20일 사건에 대하여 3.17일 이후 대량으로 국내에 유포된 imbc.exe 악성코드와 실제 피해를 입힌 악성코드와의 연결 고리를 확인 할 수 있다.

 

  • 3.17일 이후 발견된 imbc.exe 악성코드와 3.24일 발견된 naver01.exe의 C&C IP 주소가 동일 ( *.hades08.com dns명은 다르나 IP는 동일)
  • 3.20일 파괴행위를 했던 최종 악성파일과 3.24일 발견된 파괴 행위가 유사한 형태의 변종

 

위의 두 가지 핵심적으로 관찰된 결과에 따라 동일 그룹의 소행이며, 동일 C&C를 사용한 것으로 추정된다.

 

최초 악성코드 유포지인 악성링크의 도메인 등록은 3.15일에 등록하였으며, 등록 이후 즉시 국내에 대한 공격을 시행함. hXXp://dxx.asdasd2012.com/ro/sunt.html(홍콩) . 악성링크 자동 실행이 되어 방문자의 브라우저에 대한 공격이 발생 하고 성공하게 되면 다음 도메인에서 imbc.exe 파일을 받아 온다. 최종다운로드 링크: hXXp://mx.asdasd2012.com/imbc.exe(일본)

 

결론적으로 관찰 결과에 따르면 3.20일 사건 이전에 필요한 준비기간은 단 5일 정도로 예상을 할 수 있다. 도메인 등록까지 포함해서 5일 정도로 예상이 되며, 실제 공격은 단 3일 동안에 대량 유포와 대상을 지정한 공격까지 모두 끝낸 상황으로 추정 할 수 있다. 3.24일 발견된 악성코드 감염의 사례는 국내 주요 사이트 최소 7~8곳에서 유포가 되었으며 방문과 동시에 감염이 되고 파괴형 악성코드도 즉시 설치되는 것을 확인 하였다. C&C의 명령에 따라 즉시 파괴가 가능함을 관찰 한바 있다.

 

웹을 통한 대량 유포와 감염의 이슈가 기업/기관의 내부망의 안전을 심각하게 위협하고 있는 상황에서 대량 유포를 위한 매커니즘을 줄여 나가고 근본적인 취약성을 개선 시켜나가지 않는다면 단 하루에도 문제는 심각한 양상이 될 수 있음은 3.20 사건을 통해 충분히 인식 하였을 것이다.


* 보강

Imbc.exe 17,18일 바이너리에서 C&C 주소 발견  ( xx.hades08.xxx).

24일 발견된 최종 파괴형 악성코드 변종 C&C의 주소 – imbc.exe 발견 주소와 동일

 

위의 두 가지 확인 사실로 인하여 웹을 통한 무작위 트로이 목마 감염을 통한 내부망 PC 침입 -> 중앙 업데이트 서버 확보 -> 파괴형 악성코드 강제 푸쉬 -> 특정 일시에 파괴 ( 3.20 )로 추정한 3.20 사건의 예상이 이메일을 통한 내부 침입보다 높은 가능성을 가지고 있는 것으로 판단 된다. 17일부터 24일까지 관찰내용에 따르면 동일한 공격그룹에 의한 테러 시도로 추정이 된다.

 

참고로 빛스캔의 PCDS 탐지 데이터를 기반으로 차단을 수행하는 트라이큐브랩㈜의 장비에서의 동기간 의심파일과 관련된 악성링크의 차단 수치는 다음과 같다. 국내 인터넷 구간의 극히 일부 영역의 차단 수치로 실제 확산 및 감염 수치는 폭 넓을 것으로 예상된다.

다운로드 악성코드

유포지 서비스

경유지 웹서비스

총 탐지 및 차단건수

Kbs.exe

1

17개 웹서버

9,743

Imbc.exe

7

40개 웹서버

71,050

Sbs.exe 

10

40개 웹서버

126,347

※ 하나의 경유지웹서버에서 imbc.exe sbs.exe 두 종류를 동시 다운로드한 웹서버수 23

※ 유포지서버 : 악성코드를 실제 유포시키는 서버

※ 경유지웹서버 : 유포지 서버로의 접근을 유도하는 웹서버 ( 일반 웹서비스)


빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종

악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의

정보들이 수집 및 축적되고 있으며 해당 자료들은 이번 3.20 대란 관련하여 정보제공에서 보셨듯이 핵심적인 역할을 하는 부분들입니다.  각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로

문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr) 

감사합니다

Posted by 바다란

댓글을 달아 주세요

악성코드 유포 일본을 정조준 -한류, 악성코드를 전파하다.

 

*빛스캔은 2013년 2월. 일본내의 악성코드 유포 상황에 대해 한국인터넷의 범위를 관찰하는 PCDS (Pre Crime Detect Satellite) 관찰 범위를 일부 이동 시켜 관찰 할 예정입니다.

 

 

2004년에 일본에서 방영된 '겨울연가'는 중년 여성들의 폭발적인 인기에 힘입어 주인공인 배용준(욘사마)를 일약 한류 스타로 만들었다. 이후 드라마뿐만 아니라 가요와 같은 문화 컨텐츠가 대만, 베트남 등 아시아에 널리 전파되었고 전세계로 확산 되고 있다. 현재는 보아, 비, 원더걸스와 같은 아이돌 가수를 중심으로 지속적인 해외 진출을 시도하여 일본뿐만 아니라 중국, 동남아시아에서 상당한 인기를 얻고 있다.

최근 씨엔블루(CNBlue)는 일본 오리콘 차트에서 새로운 싱글을 발표하면서 2위(2012년 12월하순)까지 차지하는 인기를 누리고 있는 것으로 알려져 있다.

 

악성코드를 유포하는 공격자들은 한류의 선봉을 맡고 있는 웹사이트도 비켜가지 않는다.

 

지난 2월 5일 16시경, 국내 날씨예보 관련 웹서비스에 JP도메인을 사용하는 악성링크가 추가된 것이 빛스캔의 PCDS에 탐지되었다. 탐지 당시 악성코드를 유포하거나 중계지로 활용되지는 않았지만, 공격자가 로그를 분석할 수 있는 링크를 삽입한 것으로 보아 공격 대상 웹사이트의 방문자 유형을 분석하거나 하는 등의 사전 준비로 보여 졌다. 이틀간의 관찰기간을 거쳐 2월 7일 오전 11시경에 실제 공격을 수행하는 공격링크가 추가된 것이 확인 되었으며, 해당 공격은 국내의 날씨 예보 관련 사이트에서도 공격이 발생됨은 물론 일본 내에서도 해당 서비스를 방문하는 모든 사용자들에게 동시에 공격이 발생 되고 있음이 확인 되었다. 즉 악성코드 유포지 이외에도 경유지로도 활용된 상황이다. ( 해당 서비스는 씨엔블루 그룹의 일본 공식 웹서비스인 cnblue.jp 이다. ) 악성링크는 2월 11일 다시 변경 되었으며, 2월 12일 현재까지도 악성코드 유포는 계속 되고 있다. 즉 2월 7일부터 2월 12일 오전까지 cnblue.jp 사이트를 접근한 사용자들 모두가 공격을 받았으며, Java와 IE 업데이트가 되어 있지 않았다면 좀비 PC가 되었을 것이다. 국내 사이트도 두 곳 정도 cnblue.jp에 올려진 악성링크의 영향을 받아 감염을 시켰기에 국내도 일부 영향이 있었을 것이다. 최종 악성파일의 분석 내용은 국내 은행의 접속 시에 주소를 변환하는 파밍 역할을 하는 악성코드였으며, 원격에서도 통제가 가능하므로 추가적인 위협은 계속 될 것으로 판단된다. 일본 내에 유포된 악성코드는 APT와 같은 추가적 정보 유출의 위협을 가지고 있을 것으로 추정되고 있다.

 

국내 사이트를 공격하여 웹소스 상에 악성링크를 추가하고, 악성링크의 정체를 잘 탐지 되지 않도록 하기 위해 신뢰받는 웹서비스를 추가적으로 해킹하여 악성링크 자체로 이용하는 것은 탐지를 회피하기 위한 목적으로 지난해부터 자주 사용이 되고 있다. 국내의 악성코드 감염 확산에 이용된 악성링크를 조사하는 과정에서 일본 내에서도 광범위한 공격이 발생 혹은 시작 될 수 있는 징후를 발견 하였으며, 어쩌면 이미 시작 되었을지도 모를 것이다.

< 2월 5일 첫 발견 당시의 접속자 관찰 용도의 링크 자동 실행 화면>

 

본 사이트의 경우 언어의 특성상 한국 팬보다는 일본(어를 사용하는) 팬이 많이 접속할 것으로 예상되며, 이를 통해 많은 일본 이용자들이 현재도 악성코드에 감염되고 있을 것으로 추정된다.

< 2월 7일 오전 11시경 실제 공격코드가 동작하여 방문자들에게 감염을 시키고 있는 cnblue.jp 웹서비스>

 

악성링크는 공식 홈페이지 소스코드에 악성링크를 추가하는 형식으로 실행이 되고 있었다. 즉 공격자가 서비스에 대한 모든 권한을 가진 상태와 동일하다.

< 공격자가 인위적으로 소스를 추가하여 모든 방문자들에게 실행 되도록 구성한 내용>

 

해당 공격코드가 이용하는 기법은 현재로서는 한국에서 널리 이용되고 있는 최신 취약점( 제로데이) 과는 조금 다른 방식 이였으며 Java 취약성 두 가지와 MS XML 취약성 하나를 포함한 세 종류의 취약성을 이용하여 방문자 PC를 공격하는 것이 확인 되었다. 공격코드 제작을 위해 사용된 공격자의 생성 도구는 CK VIP Exploit kit으로 분석 되었다.

< cnblue.jp 내의 악성링크의 내용 – 단 하나의 링크 추가로 직접 공격이 발생됨>

 

공격이 성공된 이후에 설치되는 최종 악성파일은 감염 이후 추가적인 공격 파일을 미국의 캘리포니아에서 다운로드를 받아 설치하는 것으로 분석 되었으며, 현재 전 세계 백신을 대상으로 테스트 할 수 있는 Virus Total에서 확인해본 결과 지금껏 보고 되지 않은 악성파일이였다.

< 최종 악성파일인 sms.exe 파일에 대한 VirusTotal 비교 결과 – 미 보고된 신종 악성파일>

< 최종 악성파일이 방문자 PC 설치 이후 추가 공격 코드 다운로드 기록 >

 

공격이 성공된 이후 설치되는 악성파일은 공격자가 올려둔 또 다른 파일들을 다운로드 시도하고 시스템에 설치하는 행위를 하였고, 악성파일을 다운로드 받는 주소는 174.139.68.xx 이였다. 해당 IP는 미국 캘리포니아 오렌지 카운티에 위치한 것으로 확인 되고 있다.

< 추가 공격파일 다운로드 위치>

 

2월 5일 관찰 현상의 최초 발견부터 2월7일 실제 공격이 발생된 시점까지의 관찰기록을 보면 공격자들은 국제적인 네트워크를 자유자재로 활용 하고 있음을 알 수 있다. 악성코드 감염을 위해 유명 웹서비스들을 이용하는 것을 확인 할 수 있으며, 지금껏 국내에서만 활발하게 발견이 되고 해외에서는 드물게 발견 되는 유형이었던 웹 서비스를 통한 대량 감염 (drive by download) 이 이제 일본에도 직접적으로 발생 되고 있는 것이 확인 된 것이다. 일본 내에서도 Java와 MS의 패치가 되어 있지 않은 상태에서 해당 웹서비스를 방문하게 되면 공격의 영향을 직접 받을 수 밖에 없으며, 단지 방문만 하여도 악성코드에 감염되고 추가로 미국에 위치한 추가적인 악성코드들을 그 어떤 인지도 없이 받게 될 수 있다. 좀비 PC가 된 이후의 권한은 오직 공격자에게 있을 뿐이다.

 

이번 일본 내에 위치한 도메인을 이용한 악성링크 활용 사례는 지금까지 한국에서 사용되는 공격방식과 유사한 상황을 보이고 있어서, 앞으로 최신 취약점(제로데이)를 활용하여 모든 방문자 PC를 직접 공격할 가능성이 높은 상태이다.

방문자들 대부분이 악성코드의 감염 영향권에 들 수밖에 없다. 아직 일본에서 이러한 공격을 통해 공격자가 얻을 수 있는 수익모델이 널리 알려지지는 않았지만, 안정적인 수익 모델이 생길 경우 한국과 같은 상황으로 돌변할 가능성이 높다. 게임 아이템 탈취와 같은 개인정보 유출은 일상적인 사례가 될 것이고, 현재에도 백신에 탐지가 되지 않는 상태로 PC에 설치가 되고 있는 상황이라 APT와 같은 장기적인 정보유출에도 직접 이용 될 여지가 높다.

 

국내도 마찬가지 이지만 일본 내에서의 좀비 PC 확산을 막기 위한 방안으로는 악성링크로 이용된 경로를 차단하고 추가 공격코드를 다운로드 받는 미국의 주소에 대해서도 차단을 병행해야 대응이 될 수 있다. 근원적으로는 공격자가 자유자재로 통제하는 웹서비스의 보안성을 높여서 추가적인 악성코드 감염 시도가 발생 되지 않도록 해야 할 것이다.

 

국가와 국가를 자유롭게 이동하며 공격을 하는 공격자들은 이제 공개적으로 일본 내에서의 좀비 PC 확대를 위한 대량유포 매커니즘을 작동 하였다. 이미 오래 전부터 시작 되었으나, 감지가 늦은 것일 수도 있다. 분명한 것은 일본의 IT 시스템도 대량 확산되는 악성코드의 습격으로부터 자유롭지 못하며, 이제 시작이라는 것이다.

 

현재 빛스캔㈜은 PCDS (Pre Crime Detect Satellite)를 운영하여, 국내 120만개의 웹 서비스와 해외 10만 여 개의 웹 서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 본 이슈를 통해 일본 내의 악성코드 유포에 대해 모니터링을 강화하고 있다. 전세계적으로 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있으며 매주 수요일 한주간의 한국 인터넷 위협현황에 대해 카이스트와 공동으로 정보를 제공 하고 있다. 알려지지 않은 위협에 대해 대응을 하기 위한 기본적인 가이드이다. 문의는 info@bitscan.co.kr로 하면 된다.

Posted by 바다란

댓글을 달아 주세요

빛스캔 한국 인터넷 위협 분석 브리핑 1월 5주차 중 금융정보 탈취 부분 발췌

 

  • 현재 국내 금융정보 탈취형태의 악성코드 유포가 계속 되고 있으며, 관련 사고가 계속 발생 됨에 따라 분석 브리핑을 통해 발송된 내용 중 금융 정보 관련된 내용을 별도로 발췌하여 전달 드립니다. 현재 상태는 백신은 탐지를 우회하고, 차단을 대비해 상시적으로 변경하는 상태, 초기 악성코드 설치 시에는 주요 백신 프로세스를 죽여서 탐지가 되지 않도록 하는 행위를 기본으로 하는 상태입니다.

     

금융 정보 탈취

 

빛스캔에서는 지난 5~6월부터 지속적으로 금융정보 탈취 악성코드가 유포된다고 알려 왔습니다. 이번주에는 대규모 유포된 금융 정보 탈취 악성코드의 역할에 대해서 알아보겠습니다.

 

<호스트파일 변조 대상 금융 사이트>

 

- 7.229.54.xx, 67.229.68.xx, 110.34.225.xx (다수)

<금융정보 탈취 사이트 주소>

 

악성코드에 의한 금융정보 계정 탈취를 막기 위해 위의 사이트를 차단하고, 탐지 정책에 추가할 필요가 있습니다.

 

금주 차에 집중 분석된 악성코드는 기존과 다르게 보안서비스를 팝업으로 띄우지 않으며 ID/PW 로그인시 보안카드정보 및 사용자명, 주민등록번호 등을 수집합니다. 특징으로는 기존 호스트파일 변조하는 방식에서 Internet Explorer에서 은행사이트로 접근 시 원래 은행사이트와 동일하게 제작된 피싱 사이트로 리다이렉트하여 금융정보를 탈취합니다. 결론적으로 Host 파일 변조를 통한 공격기법에서 변화하는 양상을 보이고 있습니다. 사용자 PC의 모든 권한을 가진 상태이기에 그 어떤 일도 할 수 있는 상태라서 가능한 부분이 되겠습니다. 또한 악성코드들 대부분이 추가 다운로드 기능을 가지고 있는 상태이며, 외부로 업데이트를 확인 하는 행동들이 감지 되고 있습니다. 만약 악성코드에 감염된다면 추가 업데이트를 통해 DDoS나 원격화면정보 등을 수집하는 봇 에이전트를 추가 설치하는 등 2차 침해사고도 예상됩니다.

 

<금융정보 탈취형 악성코드 유포된 다단계유포망(MalwareNet)의 하나>

 

국내에 금융정보 탈취 악성코드가 다수 유포되었고 그 중에서 가장 큰 다단계유포망(MalwareNet)입니다. 현재 스샷에는 3가지 링크만 있지만 모두 다단계유포망(MalwareNet)으로 사용되어 심각한 상황입니다. 이 MalwareNet만 해도 총 20여군데에 영향을 미치고 있습니다.

 

<은행 피싱 악성코드 유포한 악성링크 구조도>

 

공격 기법상으로는 자바 제로데이(CVE-2013-0422)를 포함한 6종의 자바 취약점을 이용한 공격과 XML 취약점을 이용한 공격을 포함하여 총 7가지의 취약성을 이용한 공격이 탐지되었습니다. 초기 다운로더만을 사용자 PC에 설치하는 공격에서는 기존에 시스템에 존재하는 백신과 업데이트 주소를 모두 중지 시킨 상태에서 공격용 도구들이 추가 다운로드가 되게 됩니다. 즉 초기 공격이 성공한 이후에는 감시 할 수 있는 방안이 거의 없는 상황이라 할 수 있을 것입니다.

 

<추가 다운로드 네트워크 캡쳐>

 

와이어샤크로 네트워크 패킷을 캡쳐 결과 이 악성코드가 실행된 후에 추가 다운로드를 받는 것을 확인할 수 있습니다. test.wsad111.asia 도메인의 IP주소를 질의하여 49.129.62.144 IP주소가 확인 되었으며, 국경을 벗어나 국제적으로 활동하는 양상을 직접 확인 할 수 있으며, 일본의 IP 대역도 정보탈취에 직접적인 역할을 하는 것으로 관찰 되었습니다.

 

<test.xxxxx.asia 도메인의 IP 주소>

<test.wsad111.asia 도메인의 IP 주소 변경>

 

해당 피싱 사이트 주소가 막힌 다음에 다시 접속을 시도해보니 test.xxxxx.asia 도메인의 IP주소를 질의하여 49.129.62.144 와는 다른 203.136.164.61 로 바뀐 것을 확인 하였습니다. 공격자는 피싱 사이트의 주소가 막힐 것을 우려하여, 도메인주소는 유지한 상태로 IP만 주소만 변경하여 활용함으로써 정보 탈취를 하려는 시도를 엿볼 수 있습니다.

<test.xxxxxx.asia 도메인의 바뀐 IP 주소>



<추가 다운로드 되는 파일의 설정내용>



<국내 대응으로 인한 공격자들의 피싱 사이트 주소 변경(피싱 사이트 주소 접속 제한시)>

 

추가 다운로드 파일 안에는 피싱 사이트 주소, 호스트 파일 수정, 봇 에이전트를 추가로 다운 받으며 IE를 통해 은행권 사이트에 접속시 리다이렉트를 통해 피싱 사이트로 이동합니다.

 

<동적 분석의 일부분>

<hosts 파일 변경 전>

<hosts 파일 변경 후>

호스트파일 내에 별도의 피싱 사이트 주소를 등록한 상황이 아니기 때문에 변경여부 및 위험성 여부에 대해서 확인 하기 어렵습니다. 호스트 파일에 특별한 등록이 없는 상태에서도 악성코드에 감염이 된다면 일상적인 인터넷 뱅킹 접속 시도에서도 정보유출용 사이트로 접속 되는 현상을 확인 할 수 있습니다.

<검색 사이트에서 국민은행 검색하여 접속>

 

<국민은행 피싱 사이트>

 

검색 사이트에서 정상적으로 검색을 하고 접속을 하여도 피싱 사이트로 리다이렉트 되는 것을 확인할 수 있습니다. 주소창을 보아도 정상적인 국민은행 사이트 주소(www.kbstar.com) 입니다. 사용자들이 피싱 사이트인지 정상 사이트인지 구분하기가 매우 어렵습니다. 구분하는 방법은 정상 사이트들은 보안카드 비밀번호 전부를 요구하지는 않는다는 정도이며 이를 잘 모르는 사람들은 피싱에 그대로 노출될 수 밖에 없는 상황입니다. 권한을 가지고 자유자재로 통제되는 좀비 PC는 이미 소유권은 다른 곳에 있을 뿐입니다.

 

<국민은행 정상 사이트>

 

국민은행을 악성코드에 감염되기 전에 접속한 정상 사이트 화면입니다. 화면상으로는 피싱사이트와 구분하기가 매우 어렵습니다.

 

<최소 8자리 비밀번호인데 6자리 입력만으로도 통과>

 

금융권 최소 비밀번호가 8자리인데도 불구하고 6자리 만으로도 통과가 되며 인증서가 없는데도 불구하고 다음 창으로 넘어가게 됩니다. 만약 인증서가 있다면 해당 인증서가 나타난 이후 입력되는 인증서 비밀번호가 그대로 공격자에게 전달 될 수 밖에 없도록 구성 되어 있습니다.

 

 

<전자금융사기 예방서비스라고 사용자들을 속임, 오타 포함>

 

고객님의 계좌가 위험한 지역에서 로그인 기록이 등록 되여 있습니다. 계좌의 안전을 위하여 지금 바로 금융사기예방 서비스 신청이 필요합니다. '되여' 부분이 오타입니다.

 

<이름, 주민등록번호 수집>

방문자의 이름과 주민등록번호를 수집하고 있습니다.

 

<국민은행 각종 금융 정보 수집>

 

사용자 ID, 출금계좌번호, 출금계좌비밀번호, 핸드폰번호, 보안매체 비밀번호 입력까지 모든 정보들을 입력할 것을 요구하고 있습니다. 분명 정상적인 절차는 아니지만 이에 대해서 잘 모르는 분들은 모두 입력할 수 밖에 없는 현실입니다.

 

<입력폼에 정보들이 입력될 때마다 금융 정보 유출>

 

공격자는 입력폼에 정보들이 입력될 때마다 금융 정보를 유출하고 있습니다. 이는 중간에 사용자가 정상적이지 않다는 인식을 할 수도 있고 중간에 브라우저들이 오류가 발생하여 금융정보를 탈취할 수 없는 상황을 예방하기 위하여 입력폼에 문자가 입력될 때마다 입력폼 정보인 금융정보를 유출하는 것을 확인할 수 있습니다.

 

<최종적으로 모든 입력폼에 있는 정보 다시 한 번 전송>

 

최종적으로 모든 입력폼에 들어 있는 금융 정보들을 다시 한 번 전송하는 치밀함을 보여주고 있습니다.

 

<두 시간 안에 금융정보를 탈취 할 목적으로 사용자들을 안심 시킴>

 

금융 예방 서비스 신청을 완료했다는 메시지로 사용자들을 안심시키며 2시간 후에 접속하라는 메시지를 보여줍니다. 이는 실질적으로 유출한 정보들을 사용하여 계좌이체를 할 수 있는 시간을 벌기 위한 수단입니다.

 

사용자 동의없는 피싱 사이트가 어떻게 해서 활개를 치는지 근본적인 부분을 심도있게 고민해 보아야 할 때입니다. 현재 상황에서 피싱과 파밍을 이용한 정보탈취 사이트가 활개를 치는 것은 악성코드가 대규모로 유포되기 때문입니다. 악성코드를 대규모로 유포하는데 가장 효과적인 것은 웹사이트를 해킹한 후에 악성링크를 추가하여, 모든 방문자들을 대상으로 감염을 시키는 것이 가장 효과적인 방법이라는 것을 공격자들도 알고 있으며 적극적으로 활용하고 있는 상황은 특단의 대책이 없다면 향후 더 심각한 상황을 수시로 마주하게 될 수 밖에 없을 것입니다.

 

지금까지 공인인증서 발급기관인 한국전자인증 악성코드 유포건을 비롯하여 금융권인 흥국증권에서 악성코드를 유포한 사건들은 보안이 상대적으로 잘되어 있는 국내 금융권조차 전체적인 웹서비스의 상시적인 관리와 유지 측면에서 문제가 있다는 것을 반증하는 사례이며, 보안에 신경을 쓰는 기업/기관 조차도 문제가 발생하는 상황인데, 일반 기업들의 서비스는 언급할 필요가 없을 것입니다.

 

웹 사이트는 수시로 수정하고 개편이 발생 될 수 밖에 없는 구조인데도 불구하고 웹 보안 검사는 1년에 1~2번 밖에 할 수 없는 게 현실입니다. 또한 모든 사이트들을 대상으로 할 수 없기에 대표적인 사이트만 할 수 밖에 없는 상황입니다. 상시적으로 웹 해킹에 사용되는 인자값 검사가 가능해야 악성코드가 대규모로 유포되는 근본적인 원인을 제거할 수 있을 것입니다.

 

마지막으로 방문자가 많은 사이트들에 대해서는 강력한 보안 규제가 필요합니다. 현재는 해당 사이트를 운영하는 관리자에게 통보를 하여도 제재할 수 있는 부분이 없기에 방치할 수 밖에 없는 부분도 있습니다.

개인정보보호법과 같은 부분은 사용자의 피해가 확인 되어야 문제 제기를 할 수 있는 부분입니다. 그러나 모든 권한을 다 가지고 웹서비스의 소스코드를 공격자가 직접 수정하는 것은 그 보다 더 심각한 상황임에도 불구하고 아무런 통제도 발생되지 않는 다는 점은 현재의 문제가 앞으로도 계속 될 수 밖에 없음을 예상케 하고 있습니다. 10이 되어야 처벌이 가능한데 이미 100에 도달한 단계라면 10이 아니기에 처벌 할 수 없다는 그런 상황이라 할 수 있을 것입니다.

 

발전적인 협력

 

빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

감사합니다.

 

  • 본 정보제공 서비스는 공개, 재 배포 금지(내부에서만 활용), 비영리 목적으로만 활용 가능합니다. 공익적인 목적으로 기관에 제공되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.
  • 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/담당자/연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.
  • 본 서비스의 권리는 빛스캔에 있으므로 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.
  • 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre-Crime Detect System)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.


Posted by 바다란

댓글을 달아 주세요


2013년 1월 3주차 한국 인터넷 위협 분석 브리핑입니다. 

 본 정보는 탐지는 빛스캔의 PCDS를 통해 탐지하고 분석과 정리는 KAIST 정보보호대학원과 협력하여 진행 하고 있습니다. 보고서에 대한 문의 및 소개자료는 info@bitscan.co.kr 로 문의 주십시요.


- 1월 23일에는 1월 4주차 분석 보고서가 전달 되었습니다. 알려야 할 내용이 많아서 게시가 계속 지연 되고 있는 상황입니다.

- 향후 공개 게시물은 비정기적으로 게시 예정입니다.


금주차는 1월 11일을 기해 자바 제로데이 ( CVE 2013-0422) 와 1월 2주차에 꾸준한 테스트가 있었던 IE 제로데이 ( CVE 2012-4792) 가 직접 공격에 대거 활용 되었습니다.

국내 십여개 이상의 언론사 및 대형 커뮤니티사이트 , TV  컨텐츠 ( pooq tv, 곰TV ), 게임웹진 ( 인벤) 등에서 제로데이 공격코드들이 직접 악성코드 감염에 활용된 정황이 포착 되었습니다. 현재 대책이 미진한 상황이라 전체적으로 감염 비율이 매우 높을 것으로 예상 되고 있습니다.

각 제로데이별 대책은 아직 완전한 것은 아닌 것으로 판단 되고 있어서 문제는 계속 될 것으로 보입니다. 금일까지 종합된 내용은 다음과 같습니다.

보안패치는 IE 6,7,8 사용자 모두에게 해당이 됩니다발표 이후에도 공격이 계속 되는 것으로 보아 정확한 대응여부 검증에 대해서는 시일이 필요할 것으로 예상 되고 있습니다.  http://technet.microsoft.com/en-us/security/bulletin/ms13-008

 

Oracle의 경우도 Java에 대한 패치를 발표 하였으나 현재 패치의 완전성에 대해서는 검증된 바가 없으며 여전히 공격은 계속 진행 중인 상황입니다특히 국내는 취약한 웹서비스를 이용한 불특정 다수에 대한 대량 공격이 계속 되고 있어서 세계적으로 피해가 가장 심각한 측에 속할 것으로 예상 됩니다.

http://www.oracle.com/technetwork/topics/security/cpujan2013-1515902.html

 


본 보고서 구독 기업/기관에서는 내부 사용자의 브라우저 버전을 IE 6,7,8 에서 IE 9 이상으로 업데이트 할 것을 강력하게 권고 드리며, 자바의 경우 미국에서 권고하듯 당분간 자바의 삭제를 권고 드립니다. 외신에서도 긴급 발표된 Oracle의 패치가 불완전 하여 문제가 계속 될 것으로 예상하고 있으며 국내에 대한 공격도 여전히 계속 되고 있는 상황입니다.



* 보고서 구독 계약시에 악성코드 샘플 제공 계약이 된 기업과 기관에서는 이번 제로데이 두건에 대한 공격코드들이 모두 당사에 수집되어 있으므로 샘플 제공 요청을 하시면 제공해 드리도록 하겠습니다.  공격코드들은 아직 세계적으로 알려진바 없는 다른 형태로 파악이 되고 있으며 현재 가용 인력 모두가 전문분석에 투입 되어 있는 상황입니다. 


제공 샘플  : 자바 제로데이 ( CVE 2013-0422) , IE 제로데이 ( CVE 2012-4792) 를 이용하여

                  실제 공격에 사용된 공격코드 및 샘플


감사합니다.



2013. 1월 3주차 동향 보고서 발췌-



2013년 1월 3주차 주간 공격동향을 요약하면, 신규 악성링크 44건, 악성링크 도메인 38건, 신규 악성코드 30건, 그리고 악성코드 유형이 8건 출현한 것으로 집계되었다.

구 분

1월 3주(건)

1월 2주(건)

전주 대비 증감(건)

신규 악성링크

44

44

-

악성링크 도메인

38

33

▲5

신규 악성코드

30

18

▲12

악성코드 유형

8

4

▲4

주요 감염 취약점으로는 CVE-2012-4681, CVE-2012-1889, CVE-2012-1723, CVE-2011-3544 (각 26건, 15.2%), CVE-2012-5076, CVE-2012-0507 (각 25건, 14.6%)으로 나타났다.

CVE

1월 3주(건)

1월 2주(건)

전주 대비 증감(건)

CVE-2012-4681

26

43

▼17

CVE-2012-1889

26

43

▼17

CVE-2011-35441)

26

43

▼17

CVE-2012-17231)

26

43

▼17

CVE-2012-05071)

25

43

▼16

CVE-2012-50761)

25

43

▼16

 

신규 악성링크를 통하여 수집된 악성코드들은 다운로더 14건, 봇 에이전트 6건, 게임 계정 탈취 2건, 트로이 목마 5건, 손상된 파일 1건, 악성코드 아님 2건 등으로 분류할 수 있었다.

악성코드 유형

1월 2주(건)

1월 2주(건)

전주 대비 증가(건)

루트킷 (Rootkit)

-

-

-

게임계정 탈취

2

4

▼2

봇 에이전트

6

1

▲5

다운로더

14

8

▲6

트로이 목마

5

5

-

드롭퍼

-

-

-

손상된 파일

1

-

▲1

악성코드 아님

2

-

▲2



▶ 주간 악성링크 도메인 통계

국가별 악성링크 도메인 통계를 분석한 결과, 한국이 20건으로 전체 도메인의 45.5%를 차지하였으며, 미국(11건, 25.0%), 일본(4건, 9.1%), 중국, 프랑스, 독일(각 2건, 4.5%), 홍콩, 아르헨티나, 대만(각 1건, 2.3%)으로 그 뒤를 이었다. 이전과 비교하였을 때 유럽(프랑스, 독일)을 포함한 다양한 국가의 도메인에 걸쳐 신규 악성링크가 유포되고 있음을 확인할 수 있다.



 

▶ 최근 1달 누적 악성링크 도메인 통계

 

12월 1주차부터 1월 3주까지의 최근 1달 동안의 주요 국가별 악성링크 누적 도메인 통계를 살펴보면, 한국(153건, 61.2%), 미국(60건, 24.0%), 홍콩(20건, 8.0%), 중국(6건, 2.4%). 일본(4건, 1.6%) 등으로 나타났다.

 



* 전에 언급 하였듯이 결과가 증명하는 것은 명확합니다. 대선 이전 정보 공유로 인해 공격이 대폭 줄어든 것이 확인 되었고 그 반작용으로 해외 서비스를 공격에 활용하는 움직임에서 국내를 직접 노리는 형태로 변경 되었습니다. 아직도 상당한 영향을 미치는 것을 볼 수 있습니다. 정보 공유 이전까지는 한국과 미국의 악성링크 누적 도메인은 반대 상황 이였습니다.



- 바다란



Posted by 바다란

댓글을 달아 주세요

IE 0 day (CVE 2012-4792) 디씨인사이드를 통해 사용자 공격- 위험에서 경고로

 

12.26일 국내에서 처음으로 IE 브라우저 6,7,8 모든 버전에 영향을 미치는 제로데이 공격이 국내에도 직접 발생한 정황이 빛스캔㈜의 PCDS를 통해 탐지된바 있음을 1월 초에 알려드린 바가 있다. (관련내용: http://p4ssion.com/332 )

 

 

IE 제로데이 취약성은 현재 Metasploit에 POC 코드가 공개 되어 있으며 국내를 대상으로 한 공격에는 아직 대규모 공격으로 전이된 정황은 포착 되지 않았다. 그러나 12.26일 최초 공격 발견 이후 1월 2주차인 1월 5일에 추가 공격이 발생된 것이 빛스캔의 PCDS를 통해 탐지가 됨으로 인해 위험 단계를 벗어날 가능성이 매우 높아진 상황이다. 모든 방문자에 대해 패치가 없는 제로데이 공격이 발생된 사이트는 대형 커뮤니티인 디씨인사이드다.

 

현재 상태는 여전히 공격의 효과를 검증하는 것으로 판단되며, 효과 판단을 위해 국내 대형 커뮤니티에 직접 활용하여 효과를 검증하는 단계로 파악된다.

 

최초 디씨인사이드에 대한 공격은 1월5일 23시경에 발견 되었으며 IE 0 day를 이용한 공격코드가 직접 활용 되었다. 또한 국내 사이트를 해킹하여 공격코드를 올려둠으로써 탐지 및 의심을 회피하려는 목적이 분명함을 관찰 할 수 있다. 하루 정도의 제로데이 효과 관찰 이후에는 다시 1월 6일 오후 5시경에는 기존에 적극적으로 활용하던 Java 공격세트 5개와 MS XML 취약성인 CVE 2012-1889 취약성에 대한 공격 코드로 변경된 것을 관찰 할 수 있었다.

 

지난 주말의 상태로 살펴보건대 적극적으로 공격의 효과를 관찰하고 있는 것으로 보이며 이번 20시간 가량의 감염 관찰을 통해 충분한 데이터를 얻었을 것으로 예상된다. 그 결과에 따라 IE 0 day에 대한 대규모 공격은 곧 시작될 수도 있을 것이다.

 

IE 0day에 대한 최초 발견 보고 이후에 주의 깊은 관찰 수준을 유지하고 있는 상태에서 대형 커뮤니티를 통한 효과 검증과 같은 사례는 곧 이어질 대규모 공격을 예상 하게 함으로 위험 단계에서 경고 단계로 레벨을 높이는 것이 타당한 상황이다.

 

1월 5일 1차 제로데이 악성코드 공격 발견

< 디씨인사이드 접속 시 자동실행 되는 제로데이 공격코드 내용>

 

1차 제로데이 공격코드 구조 –

Gall.dcinside.com/list.php (소스코드 내에 onedaynet.co.kr에 기 생성해둔 악성링크 추가)

  • Open.onedaynet.co.kr/xxxxx/ads.js
  • Opne.onedaynet.co.kr/xxxxxx/popup.htm

 

<popup.htm 파일 내의 ie 0day 공격코드 내용>

 

사용자에게 자동 감염된 악성코드는 국내 백신 중 일부가 탐지하는 상황이라 공격기법에 대한 인지와는 다르게 일부에서는 악성코드 유포 정황에 대해서 인지가 되었을 것으로 판단된다.

최종 유포된 악성코드는 it.moyiza.com/xxxxx/m.exe 이다. 탐지 결과는 다음과 같다.

 

< ie 0day 공격코드를 이용해 사용자 PC를 감염 시킨 최종 악성파일의 진단 상태>

 

결론적으로 1월 5일 늦은 밤 디씨인사이드 커뮤니티로부터 시작된 제로데이 공격은 일부 방문자들의 백신에 의해 최종 파일이 탐지되는 상태를 통해 발견 되었을 가능성이 높다. 공격기법은 탐지 되지 않으나 최종 악성파일은 탐지되는 상태의 악성파일을 공격자가 사용 하였기에 발견이 된 것이고 백신을 우회하는 악성파일을 감염시켰을 경우는 인지가 전혀 될 수 없는 상황이라 할 수 있다.

 

새로운 제로데이에 대한 테스트 이후에 공격자들은 이전의 공격 패턴으로 복귀하는 것이 관찰 되었으며 그 의미는 충분한 결과 테스트가 완료 되었을 수도 있다는 의미일 것이다. 테스트의 결과에 따라 공격의 빈도와 영향력은 매우 달라질 것임은 분명한 일일 것이다.

 

1월 5일 늦은 밤에 발생한 1차 제로데이 검증의 결과를 넘어서 1월 6일 오후 5시를 넘어서 변경된 공격 코드들은 기존에 자주 활용 하던 Java 관련된 공격 세트와 MS XML 취약성을 공격하는 코드로 변경이 된 것을 확인 할 수 있었다.

< 디씨인사이드 메인의 광고링크에 추가된 악성링크의 감염 현장>

 

2차 변경 시에는 WemakePrice라는 국내 소셜 쇼핑의 광고 코드내에 악성링크를 추가하는 방식을 사용하여 탐지를 회피한 것을 확인 할 수 있다. 본 광고 또한 디씨인사이드 커뮤니티의 메인에 노출이 되는 광고이며 방문 즉시 실행이 되어 감염 되는 형태라 할 수 있다.

 

< 디씨인사이드 광고 소스 내에 추가된 악성링크>

 

< 2차로 변경된 공격링크로부터 설치되는 최종 악성파일의 진단결과 >

 

1차의 제로데이 공격 코드와 2차의 기존 공격 유형으로 변경된 공격코드에 의해 디씨인사이드 커뮤니티는 구글의 악성코드 감염 사이트에 등재된 것을 확인 할 수 있다.

<구글 크롬에서 발생되는 Stopbadware 경고창>

 

일반적으로 구글에서 탐지하는 유형은 직접적인 악성코드가 설치 될 때에 탐지되는 유형이며 공격기법에 따른 탐지는 할 수가 없는 상황이다. 즉 1,2차에 걸친 공격에 의해 유포된 최종 악성파일들에 대해 탐지된 비율이 있었고 이벤트가 발생 했기에 차단된 것으로 볼 수 있다.

< Stopbadware 경고의 상세 내용>

빛스캔의 시스템 체계에서 탐지가 되었으나 가장 우려하는 부분은 국내 활용 비율이 매우 높은 IE 6,7,8 버전의 브라우저에 대한 제로데이가 공공연하게 실험이 되고 있으며 이제 대규모 커뮤니티를 통한 실전투입 테스트를 마쳤다는 점이다. 그 결과와 효과에 따라 직접적으로 이용이 될 수 있을 것으로 판단된다.

 

최근 공격의 특징 중에서 국내 주요 사이트에 대한 침해사고 비율이 극도로 증가한 형태를 보이고 있다. 본 내용은 1월 1주차 빛스캔 정보제공 서비스에서 언급하였던 풍선효과의 영향으로 볼 수도 있을 것이다. 대선 기간 이전에 빛스캔에서는 공격 가능성을 인지하고 DDoS 공격 파일에 대한 정보와 악성파일 감염 이후의 연결 정보 (C&C)에 대한 정보를 각 기업과 기관에 제공하여 제공 이후에 공격의 범위가 대거 줄어든 것을 확인한 바가 있다.

<정보제공 이후의 공격 범위의 변화>

 

공격자들은 탐지와 대응에 대해 고민을 충분히 한 것으로 판단 되며 그 이후에 직접적으로 해외가 아닌 국내 사이트를 해킹하여 공격에 대한 탐지를 회피하려는 것으로 예측 되고 있다. 국내 사이트 중에서도 금융과 방문자 비율이 높은 사이트에 대한 직접적인 공격이 발생된 것은 그만큼 국내의 인터넷 환경이 취약하고 언제든 무너질 수 있는 위험한 상태임을 반증하는 것이라고 볼 수 있다.

 

국내의 인터넷 환경은 연말을 기점으로 하여 중요도가 높은 사이트를 가리지 않고 악성코드 감염에 이용 되는 상황에 직면해 있는 지금 시점에서 IE 0 day 공격까지 결합되는 상황은 최악의 상황으로 언제든지 치달을 수 있다고 판단 된다. IE 버전 6,7,8을 사용하는 일반 사용자들은 매우 높은 수준의 주의를 기울여야 하며, 불가피한 경우를 제외 하고는 반드시 업데이트를 해야 할 것으로 판단 된다.

 

현재 시점에서 2013.1.1일 MS에서는 긴급하게 해당 취약성 공격을 발생 되지 않게 하는 Fix-it을 발표하였다. 그러나 정식적인 패치가 아니므로 앞으로도 정식 업데이트가 이뤄지기 이전에는 심각성은 매우 높은 상황이라 할 수 있다. Fix-it은 직접 방문하여 설치하여야 함으로 당연히 설치 비율은 매우 낮을 것으로 예상된다.

 

국내 주요 전자상거래 환경은 IE 6,7,8 버전이 주 대상으로 되어 있어서 현재 시점에서 피해를 예방하기 위해서는 IE 9 이상의 버전으로 업데이트가 강력하게 요구된다. IE 9 이상의 업데이트 이외에 반드시 하위 버전을 사용해야 할 기업이나 기관의 경우는 MS에서 발표된 Fix-it을 긴급하게 적용할 것을 권고한다.

관련 내용:

파이어아이측에서 발표한 외교자문위원회 홈페이지 해킹을 통한 제로데이 공격 발생

http://blog.fireeye.com/research/2012/12/council-foreign-relations-water-hole-attack-details.html

 

exploit-db에 공개된 Metasploit IE 제로데이 PoC 코드

http://www.exploit-db.com/exploits/23754/

 

IE CVE-2012-4792 긴급 대응을 위한 MS Fix-it

http://support.microsoft.com/kb/2794220

 

 

현재 빛스캔은 국내 120만개의 웹서비스와 해외 10만 여 개의 웹서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 특히 전세계적으로 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있으며 매주 수요일 한주간의 한국 인터넷 위협현황에 대해 카이스트와 공동으로 정보를 제공 하고 있다. 알려지지 않은 위협에 대해 대응을 하고 싶은 기업과 기관은 필요한 내용이다.

문의는 info@bitscan.co.kr로 하면 된다.

Posted by 바다란
TAG 2012-4792

댓글을 달아 주세요

한국 인터넷 금융의 위험 신호- 흥국증권 악성코드 감염 경로로 활용

  -본 컬럼은 문제 발생 당일 KISA에 정보 전달을 통해 처리가 되었으며, 한주 더 재발 가능성을 예의 주시한 이후 발표되는 자료 입니다. 

올해 11월에 빛스캔㈜에서 한국전자인증 웹서비스를 통한 악성코드 유포에 대해 기사화를 한적이 있다. 전자상거래의 핵심부분이라 할 수 있는 인증체계가 무너질 수도 있는 상황에서 이례적으로 문제제기를 한 상황 이였다. 신뢰가 기반이 되어야 할 전자상거래 체계가 무너진다는 것은 경제의 한 축이 무너지는 것과 동일한 상황이라 할 수 있다. 또한 공격자들의 최종 공격 형태라고 할 수 있는 악성코드 유포를 위한 숙주로 공인인증체계를 관리하는 기업의 웹서비스가 이용 되었다는 점은 심각성을 넘어선 충격일 것이다. 일반적으로 공격자들은 지난 농협이나 현대캐피탈의 해킹 사례에서 보듯 내부의 정보를 탈취하기 위한 목적으로 공격을 시도한다. 그리고 공격자들의 목표가 달성 되었다면 더 이상 쓸모가 없는 웹서비스들은 마지막으로 악성코드 감염을 확대하기 위한 숙주로서 이용 하는 형태를 보인다. 최종적인 용도폐기 단계에 해당하는 악성코드 감염 확대용 숙주라면 대단히 심각한 상황임은 두말 할 필요가 없다.

 

한국의 인터넷 전자상거래 부분에서 또한 가장 많은 부분을 차지하는 것이 온라인 뱅킹과 온라인 주식 프로그램이 상당히 많은 부분을 담당하고 있다. 거래 금액으로만 보더라도 상당한 규모이다. 전자상거래 분야에 대한 위협은 현재까지는 웹서비스에 대한 DDoS 공격 이외에 특별히 드러난 위협들은 없는 것으로 보고된바 있다. 그러나 12.24일 크리스마스 이브를 기해 발견된 일련의 사건은 충격적일 수 밖에 없는 사건이다. 국내에서 사용자가 많은 파일공유 사이트 세 곳에서 모든 방문자를 대상으로 악성코드 감염을 시키기 위해 공격자에 의해 소스코드가 일부 변경 되는 것이 발견 되었고 그 결과 파일 공유 사이트 세 곳 ( 애플파일, 예스파일, 본디스크)을 방문한 모든 사용자는 악성코드 감염 시도가 발생 되게 되고 최소한 60%의 방문자들이 악성코드 감염이 되었을 것으로 예상된다. 세 곳의 파일공유 사이트에 추가된 악성링크 ( 방문자에 대한 자동 감염을 위해 자동으로 실행 되어 방문자 PC를 좀비 PC로 만드는 악성링크)로 국내 증권사의 웹서비스가 직접 이용 된 정황이 발견 되었다.

 

상태

 

< 다른 웹서비스 소스에 추가되어 악성코드 중계에 이용된 흥국증권의 악성링크 내용>

< 악성링크의 구조 – 붉은색 부분이 사용자 PC 공격 부분이다.>

 

해킹을 당해 악성코드 중계에 이용된 증권사는 흥국증권이며 12.25일 현재까지도 악성링크는 그대로 남아 있는 상태이다. 흥국증권의 웹서비스들이 방문자들에게 악성코드를 감염 시키는 숙주로 이용이 된 것도 아니며 그 보다 더 심각하다고 할 수 있는 공격링크로 이용이 된 상황은 상상을 뛰어넘는 위험성을 예상하게 한다. 현재 상황으로 판단해 보면 공격자들은 이미 흥국증권의 웹서비스의 권한을 가진 상태에서 특정 디렉토리에 공격코드가 올려진 상태에서 악성코드를 중계한 상태라 할 수 있다. 최종 설치 파일은 12.24일 발견 당시 시점에는 국내 주요 백신들은 탐지하지 못한 상태이며 12.26일 지금 시점에도 한 곳 정도만 탐지하는 것으로 나타나고 있다. 또한 12.26일 새벽을 기해 최종 악성 파일은 변경 되었으며 해당 파일은 모두 국내 주요백신을 우회하고 있는 상황이다.

 

< 파일공유 사이트인 애플파일 사이트에서 악성코드 중계에 흥국증권 링크가 이용되는 화면>

 

공격의 개요를 보면 다음과 같다.

 

최종 악성파일이 올려진 사이트 -> 흥국증권 웹서버에 올려진 공격코드 -> 파일 공유 사이트 세곳의 웹서비스 소스를 수정하여 흥국증권에 올려진 공격코드가 실행 되도록 변경

 

파일 공유 사이트를 방문하는 모든 사용자들에게 흥국증권에 올려진 공격코드가 실행 되어 최종 악성파일을 사용자 PC에 설치하여 좀비 PC로 만드는 구조로 볼 수 있다.

<12.24일 발견 시점의 악성코드 진단 현황 – 국내 주요 백신은 우회한 상태>

 

최종 설치된 악성코드는 사용자 PC에 ahnurl.sys , gdyoyutgsew.sys 드라이버 파일을 추가로 다운로드 받아 시스템에 등록하고 서비스를 실행하며 다양한 시스템 설정들을 변경하는 형태를 보이고 있다. 원격에서 완벽하게 통제될 수 있는 좀비 PC로 이용됨을 알 수 있다. 웹서비스를 방문하는 즉시 사용자의 눈에는 보이지 않게 많은 링크들이 실행 되며, 그 중에 흥국증권에 올려진 공격코드들은 자바 취약성 5종류와 올 7월에 발표된 MS XML 취약성을 이용하고 있다.

 

모든 방문자의 PC와 브라우저 버전에 맞추어서 공격이 자동으로 진행되며, PC상의 백신과 같은 보안도구들의 탐지는 우회한 상태에서 권한획득을 한다. 이후 최종으로 아래와 같은 최종 악성파일을 아무런 제한 없이 사용자 PC에 설치하고 공격자는 자유자재로 활용 할 수 있는 상태가 된다.

 

12.24일 ~ 25일까지 유포된 최종 악성코드 http://ogajy.com/xxx/lb.exe

12.26일 변경된 최종 악성코드 http://uhemi.com/xxxx/lbi.exe

 

시사점

 

2012년 하반기에 들어서 사용자 PC에서 금융정보를 탈취하는 유형의 악성코드들이 급증하고 있다. 그 사고 급증의 원인은 웹을 통한 대규모 악성코드 유포가 계속 되기에 앞으로도 더 확대될 것으로 예상이 된다. 금융정보를 사용자 PC에서 직접 빼내어가는 형태 이외에도 직접 해킹을 통해 악성코드 유포에 이용되거나 중계지로 이용 되는 유형도 계속 증가를 하고 있으며 그 악성코드 중계의 역할에 금융기관의 웹서비스가 직접 이용 되었다는 것은 대단히 충격적인 일이라 할 것이다.

 

1990년대 후반에 시작된 홈트레이딩 시스템은 현재까지 이용하지 않는 투자가가 거의 없을 저도로 보편화 되어 있다. 또한 2011년 통계에 따르면 온라인 주식거래 규모는 2천468조원이고 매년 증가하고 있는 상태이다. 거대한 규모의 홈트레이딩 시스템에서 신뢰가 기반이 되어야 함은 당연한 일이다. 그러나 흥국증권의 사건과 같은 증권사의 메인 웹서비스가 직접 악성코드 중계에 이용된 사례는 대단히 심각한 우려를 할 수 밖에 없다. 가장 보안이 철저해야 할 금융기관의 웹서비스가 악성코드 유포를 하여도 심각한 사안인데 지금의 경우는 악성코드 중계에 직접 이용이 된 사안이다. 외부에 노출된 웹서비스들은 정보를 제공하는 창구 역할도 하지만 공격자들에게는 내부로 침입 할 수 있는 거의 유일한 통로로서도 직접 이용이 되고 있다. 즉 외부 노출된 웹서버를 공격한다는 것은 웹서버와 연결된 데이터베이스 서버에 대한 권한을 가지는 것과도 동일한 상황이라 할 수 있다. 내부망과 연결된 곳에 거점을 만들게 되면 그 이후에는 농협과 같은 전산망 마비 사례도 발생 하게 되는 것이고 내부에 저장된 데이터를 빼낸 이후 온라인 금융을 혼란케 하거나 주식투자자의 금액을 빼내어 가는 것도 가능할 수 있을 것이다. 모든 것은 공격자의 선택에 달려 있을 뿐이다. 그 상태에서 현재 공격자가 선택한 것은 악성코드 중계지로만 이용 했다는 점은 또 다른 상상들을 할 수 밖에 없는 상황이다.

 

홈페이지에 대한 관리뿐 아니라 보안적인 측면에서도 수익 관점에서 벗어나 생존을 위해서 반드시 해야만 하는 중요 업무로 인식을 해야 할 것이다. 더구나 금융기관이라면 더욱 더 심도 있는 노력이 필요하지 않을까? 전자상거래를 위협하는 대단히 큰 시그널은 공인인증 취급기업의 악성코드 유포와 금융기관의 직접적인 악성코드 중계지 활용에서 이미 공공연한 위협이라 할 것이다. 온라인의 주인은 과연 누구일까? ..

 

현재 빛스캔㈜은 국내 120만개의 웹서비스와 해외 10만여개의 웹서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 특히 전세계적으로 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있으며 매주 수요일 한주간의 한국 인터넷 위협현황에 대해 정보를 제공 하고 있다. 매주 1000여개 이상의 국내 사이트들에서 악성코드를 유포하고 있는 현상을 정리하고 있으며, 그 중 심각도가 높은 부분에 한해서는 공개적으로 언급을 하고 있다. 문의는 info@bitscan.co.kr .

Posted by 바다란

댓글을 달아 주세요


[빛스캔+KAIST] 12 3주차 브리핑



 

 

한국 인터넷 위협분석 보고서( 소셜쇼핑 그리고 광고 )

 

빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 12 3주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS (범죄사전탐지체계, Pre-Crime Detect System)의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다. 본 보고서의 활용 용도는 다음과 같습니다.

 

         1.       악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

         2.       악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 – 패치

         3.       내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

 

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.

 

Summary

 

12 3주차에는 다양한 유형의 봇 에이전트 악성코드가 다수 발견 되었습니다. 전체 악성코드 탐지 비율 중 39.1% 가량을 차지하고 있습니다. 대선을 전후로 하여 분산서비스거부공격(DDoS, Distributed Denial of Service attack) 공격용 악성코드가 유포된 정황이 있으며, 좀비 PC를 활용하여 언제든 공격이 시작 될 수 있으므로 주의가 필요한 상황입니다.  또한 봇넷 에이전트의 유포가 많아진 정황으로 보아 원격에서의 통제, 정보탈취 유형도 계속 증가 할 것으로 예상되는 한 주 입니다.




<금주 악성코드 유형중 봇에이전트, 다운로더 위험 수치>

 

CVE

12월 3주(건)

12월 2주(건)

전주 대비 증감(건)

CVE-2012-5076

35

25

▲10

CVE-2012-46811)

35

23

▲12

CVE-2012-1889

35

24

▲11

CVE-2012-17231)

35

22

▲13

CVE-2012-05071)

35

23

▲12

CVE-2011-35441)

35

24

▲11

< 금주 주요 감염 취약성 내역>


중국산 DDoS 공격 툴로 유명한 넷봇어태커 및 공인인증서 정보를 수집하려는 정보 유출을 목적하는 봇 에이전트가 금 주차 악성파일에서 확인되었습니다.

 



<넷봇어태커 DDoS 공격도구 이미지>

 

※ 넷봇어태커(NetBot Attacker) : 악성 프로그램 제작 및 DDoS 공격용 프로그램의 일종입니다. 일반적으로 악성코드에 감염된 PC들이 연결되어 구성된 네트워크를 BotNet(봇넷)이라고 합니다. 이 단어의 순서를 바꾸어 NetBot이라는 이름에 공격자를 의미하는 Attacker가 결합되어 만들어진 단어입니다. 해당 프로그램은 중국 사이트를 통해 구입이 가능한 것으로 알려져 있습니다.

 


- 생략 ( 실제 소셜 쇼핑 사이트에서의 악성코드 유포 이슈가 언급됨)



웹서비스의 소스를 변경한다는 것은 서버의 모든 권한을 공격자가 가지고 있다는 것과 동일한 이야기 입니다. 7월에 이어 12월에도 악성코드 유포가 되었다는 것은 그만큼 해킹 사고 이후 충분한 원인 파악과 대책, 꾸준한 관리가 미비하여 발생 하는 것으로 판단 됩니다권한을 모두 가지고 소스를 변경하는 공격자들인데 과연 웹서비스의 고객정보는  안전할까요? 악성코드를 유포한다는 것은 이미 서버의 권한을 획득하고 DB의 내용을 모두 유출한 후일 확률이 매우 높습니다. 공격자들은 이미 서버의 모든 정보를 탈취한 이후, 최종적으로 모든 방문자들에게 악성코드 감염을 시도하는 숙주로서 활용 합니다. 공격자의 정체가 밝혀질 수도 있는 악성코드 유포 숙주로의 활용은 보다 은밀한 정보 탈취등은 모두 종료된 이후일 가능성이 높습니다최종적으로 공격자는 모든 방문자에 대한 감염을 시도 하기 위해 웹소스코드를 추가 또는 변경하여 악성링크가 방문자에게 자동으로 실행 되도록 함으로써 좀비PC로 만드는 상황입니다.

 

2012 2월의 빛스캔의 조사에 따르면 악성링크로 인한 감염 피해는 전체 웹서비스 방문자중 60%가 감염 된다는 것을 데이터를 통해 입증 한 바가 있습니다. 이번 소셜쇼핑 사이트의 경우에도 방문자중의 60%는 악성코드에 감염이 되었을 것으로 추정됩니다. 애플리케이션(자바, IE, 플래쉬)중 하나라도 최신으로 업데이트가 되어 있지 않다면 감염이 되는 현재의 상황 입니다. 공격자들은 항상 최대의 효과를 얻기 위해 방문자들이 많은 곳들을 대상으로 끊임없이 악성코드 감염을 시도합니다. 그 대상에는 수많은 사이트들이 대상이 되고 있으며 웹서비스 방문자들은 그 어떤 인지도 없이 감염이 될 수밖에 없는 상황은 지금도 계속 되고 있습니다.

 



금주 공격의 특징을 정리하면 다음과 같습니다.

 

          9 4주차, 10 2주차, 11 1주차, 11 3주차, 11 4주차, 11 5주차, 12 1주차 , 12 2주차 이후 또 다시 12 3주차도 DDoS 공격 수행 악성코드 유포

          소셜커머스 업체인 XX 7 1주차 이후 또 다시 악성코드 유포

          국내 도메인을 경유한 악성링크 사용 비율 급속 증가(탐지 회피하기 위한 용도)

          온라인 광고 사이트 다수가 해킹당해 악성코드 유포

          8 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가(감염된 좀비PC들을 활용한 추가 위험이 발생할 수 있는 상태)

          APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속

          MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 적극적 으로 이용됨 


          최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨

          백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속

          게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속

          백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨

 

* 사용자가 특정은행 접속시에 피싱 사이트로 유도하거나 HTML 내용을 변경하여 정보를 획득하는 형태의 악성코드들도 현재 다수 유포 되고 있는 온라인 게임 계정 탈취형 악성코드에 붙여진 부가기능이며 해당 기능들은 매우 적극적으로 이용이 되고 있습니다. 악성코드 확산을 통제할 수 있는 근본적인 대안과 대책들이 집중적으로 필요한 부분이라 할 수 있습니다.

 

* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5, 6월 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 예상대로 직접적인 ARP 스푸핑 공격코드 출현하였으므로 피해 발생이 예상되며, 지금까지 설명한 사항 모두 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용입니다.



* 상당수 내용이 삭제된 브리핑 입니다. 금주차 12월 3주차 이후 IE 제로데이 관련 이슈 추가 발견 ( 언론기사 참조 www.facebook.com/bitscan ) , 국내 IT 관련 대기업 웹서비스들에서의 악성코드 유포 이슈, 금융 기관의 악성코드 경유지 활용 , 인터넷 서점 악성코드 유포, 파일 공유 사이트에서의 대담한 악성 코드 유포 이슈들이 언급 될 예정입니다. 금주차는 1월 1주차로 적용 되어 보고서 발송 됩니다. 공공기관에 정보 협력으로 제공되었던 보고서들은 2013년 부터는 더 이상 제공 되지 않습니다. 모든 내용은 보고서 및 기사를 통해 공개될 예정입니다. 또한 1~2주 간격으로 특징적인 악성코드 및 기법이 사용된 내용에 대해서는 악성코드 감염 숙주로 이용된 웹서비스 목록들에 대해 모두 공개 하는 것을 꾸준히 하여 실질적인 개선을 유도하도록 하겠습니다.





발전적인 협력

 

빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

감사합니다.

 

       본 정보제공 서비스는 공개, 재 배포 금지(내부에서만 활용), 비영리 목적으로만 활용 가능합니다. 공익적인 목적으로 기관에 제공되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.

       시범 서비스는 기관명/담당자/연락처 기재가 필요하며 기관/기업별 1회 신청에 한합니다. 2013년부터는 단 1회 제공 됩니다.

       정식 구독 서비스 가입 및 시범 서비스 신청 및 문의 메일은 info@bitscan.co.kr

       본 서비스의 권리는 빛스캔에 있으며, 동의 없는 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.

       본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre-Crime Detect System)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.

 


Posted by 바다란

댓글을 달아 주세요

[빛스캔+KAIST] 12 2주차 브리핑



 

 

한국 인터넷 위협분석 보고서(대선, 예고된 위협을 컨트롤 하라)

 


빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 12 2주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS (범죄사전탐지체계, Pre-Crime Detect System)의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다. 본 보고서의 활용 용도는 다음과 같습니다.

 

         1.       악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

         2.       악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책패치

         3.       내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

 

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.


12 1주차에 비해 12 2주차는 DDoS 공격에 이용되는 악성코드는 감소했으며 정보유출에 이용되는 봇 에이전트 유형의 악성코드가 다수 발견되었습니다. 또한 내부에 설치된 공인인증서 폴더를 검색하거나 C&C(명령제어서버, Command & Control) 서버로 정보유출이 가능한 악성코드가 다수 발견되어 이에 대한 주의가 필요합니다.

 

특히 Java 취약점은 IE, Firefox 등 브라우저에 상관없이 Java Applet에 의해 동작하기 때문에 이를 이용한 악성코드 유포가 향후에도 계속해서 증가할 것으로 예상됩니다.

 

악성코드들은 왜 이렇게 대규모로 유포가 되고 있고 한국내의 인터넷 환경에 막대한 영향을 주고 있을까요? 그 원인은 취약한 웹서버들이 가장 큰 원인이라 할 수 있습니다.  권한을 모두 가진 공격자들은 익히 알려진바와 같이 홈페이지 화면을 변경하거나 하는 행동들을 하지 않습니다. 과시를 하기 위한 행동을 하기 보단 이익을 얻기 위해 부단한 노력을 하고 있습니다. 지금의 공격형태를 살펴보면 공격자들은 웹 서버를 장악한 후 공격자들은 정상 소스 안에 악성링크 단 한 줄만 삽입합니다. 그리하여 웹 사이트에 접속하는 방문자들은 최신 어플리케이션의 패치가 되어 있지 않을 경우, 즉시 악성코드에 감염 됩니다. 현실은 웹사이트 방문자의 60%가 감염이 되는 상황 입니다.

 

DDoS 공격용 악성코드는 그 부산물일 뿐입니다. 근본 문제가 무엇이고 해결을 어떻게 해야 하는지에 대해 고민을 해야 하지 않을까요?

DDoS가 막강한 힘을 가지기 위해서는 다수의 좀비 PC가 필요합니다. 다수의 좀비 PC를 만들어서 금융 관련된 개인정보를 탈취하거나 DDoS와 같은 공격에 직접 이용하려는 것이 공격자들의 목적입니다.  현재 좀비 PC를 만드는 가장 쉬운 방법은 취약하며, 방문자가 많은 웹서비스를 공격하여 모든 웹사이트 접속자를 감염시키는 것입니다. 현재 일상적인 활동은 대부분 인터넷과 연결되어 있습니다. 대규모 유포를 방지하기 위해서는 근본적인 웹 서비스의 문제점을 보완하고, 대량 유포에 이용되는 악성링크들을 조기에 발견하여 대응 할 수 있는 체제가 강력하게 요구가 됩니다.

 

12 1주차 주간보고서를 정리하면서 DDoS 공격기능을 가진 악성코드들이 대량 유포되고 있는 정황을 확인 하였고 신속하게 정리하여 정보를 공유하기로 결정하여 본 보고서를 발송하는 현재까지 총 4회에 걸쳐 60여종의 악성코드와 40여개의 주소와 IP 목록을 제공 한 상황입니다.

 



<악성코드 샘플 공유하기 전 VirusTotal에 미보고 된 악성코드>

 

악성코드 샘플을 공유하기 전에는 VirusTotal에 미보고 된 악성코드 현황이 상대적으로 많았습니다. 즉 새로운 형태의 악성코드들이며, 전 세계적으로도 보고된 적 없는 악성코드들이 대규모로 유포된 정황이라 할 수 있습니다.

 

12일 공동대응 언론 보도, 기관및기업 공식 요청시 DDoS 악성코드 샘플 공유

13 1 DDoS 공격용 악성코드 샘플 13, C&C 서버 정보 총 10여개(14개 도메인 및 IP) 기업/기관 공유

17 2 DDoS 공격용 악성코드 샘플 33, C&C 서버 정보 총 20여개(15개 도메인 및 IP) 기업/기관 공유

18 3 C&C 서버 정보(8개 도메인 및 IP) 20여개 기업/기관 공유

19일 대선 최종 6종의 샘플 제공 및 C&C 추정 IP와 도메인 정보 추가 제공후 완료

<대선 D-7 ~ D-1, DDoS 공동 대응 현황>

 

4회의 정보제공 동안 제공된 내역은 다음과 같습니다.

미보고: VirusTotal에 보고된 바 없는 바이너리(26)

미탐지: 보고는 되었으나 국내 주요 백신은 우회하고 있는 바이너리(12)

부분탐지: 국내 일부 백신만 탐지한 유형(12)

탐지: 국내 주요백신 탐지(10)

 

미보고된 샘플의 제공 이후 진단 결과는 다음과 같습니다.

 



<악성코드 샘플 공유 후 국내 백신 탐지 현황. 정식 탐지명을 사용하고 있다>

 

악성코드 샘플을 공유 한 후 공동대응 결과의 하나로 VirusTotal 결과를 확인하니 국내 백신 대부분이 악성코드를 탐지하는 것을 확인할 수 있습니다. 악성코드 샘플을 공유하기 전과는 사뭇 다른 양상을 보이고 있습니다.

 

본 정보 공유는 12.19일 대선 당일 투표 종료까지 유지하였고 본 보고서 작성 시점에는 종료 하였습니다


--------------------------------------------------------------------------------------------------------------------


총 20여곳의 보안 관련 기업/기관에 제공된 정보는 최초 12.12일 위험 인지 이후 정보 공유를 결정 하고 제공 하였으며 이후 차단과 악성코드 제거에 직접 활용 되었습니다.  그 결과는 공격자들의 공격유형이 대거 감소하는 결과를 가져 왔습니다.






전체 악성링크 발견 수치는 대선 이전 주간 보다 확연하게 줄어든 것을 12월 2주차 동향 보고서에서 확인 할 수 있습니다.


- 공격동향 요약 ( 12월 2주차 동향 분석 보고서 발췌)

구 분

12월 2주(건)

12월 1주(건)

전주 대비 증가(건)

신규 악성링크

33

74

▼41

악성링크 도메인

22

56

▼34

신규 악성코드

20

43

▼23

악성코드 유형

7

4

▲3



지금의 한국 인터넷은 수시로 발생되는 위험과 공격에 매우 많이 노출 되어 있는 상태입니다. 적극적으로 관리하고 위험을 해결하지 않는다면 이 문제는 앞으로도 두고두고 한국 ICT의 발전을 저해할 것으로 예상됩니다. 



*금주 차 부터 대외 공개되는 모든 브리핑 자료는 매우 간략화된 형태로 제공이 되며 이전의 브리핑과 같은 다수의 정보가 언급되는 유형은 제공 되지 않을 것입니다.  짧고 간략한 이슈에 대해서만 언급될 예정입니다. 


긴급 사안에 대해서는 주요 보안매체를 통해 기사화를 통해 공개될 예정이며, 향후에도 문제해결을 위해 노력을 지속할 예정이나 방식은 달라질 것입니다.  1~2주에 한번씩 국내 사이트중 규모가 큰 사이트가 악성코드유포에 이용 되거나, 이슈가 심각한 사안에 대해서는 실제 사례를 그대로 공개 할 예정입니다. 이전의 한국 전자인증 보도자료와 유사하게 언급될 것입니다.  경우에 따라서는 한주간의 전체 이슈가 된 서비스 목록을 공개할 수도 있습니다.


보안은 각각의 서비스에서 잘 구성하고 운영해야 하는 미션입니다. 공격자에게 당했고 악성코드 유포에 활용 되었다는 점은 매우 심각한 우려를 할 수 밖에 없는 사안이므로 직접 공개를 통해 문제 해결 의지를 촉구 하도록 하겠습니다.  대기업, 공공기관, 국방, 일정규모 이상의 웹서비스, 전자 상거래 등등 분야를 가리지 않고 일정 규모 이상이면 기사화를 통해 언급 하겠습니다.  지금의 현실과 실상에 대해 리얼하게 느끼실 수 있으실 것입니다.  


자료에 대한 이의 및 문제제기와 관련된 문의는 info@bitscan.co.kr을 통해서만 받습니다.


2013년 1월 1일부터 내부 정책 변경으로 인하여 정보제공 서비스의 시범은 모든 기업/ 기관당 1회의 보고서에 한정하며, 추가 제공은 되지 않을 예정입니다. 본 블로그에 공개되는 브리핑의 경우도 지금까지 제공되었던 다량의 정보제공 방식에서 탈피하여 이슈가 되는 부분만을 발췌하여 공개하는 형식으로 변경 됩니다.



협력부분


빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

감사합니다.





Posted by 바다란
TAG 빛스캔

댓글을 달아 주세요

 

[빛스캔+KAIST] 12월 1주차 브리핑

 

 

한국 인터넷 위협분석 보고서( 대선 D-7, DDoS 공격 경보 )

 

빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 12월 1주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS (범죄사전탐지체계, Pre-Crime Detect System)의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다. 본 보고서의 활용 용도는 다음과 같습니다.

 

    1.    악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

    2.    악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 – 패치

    3.    내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

 

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.

 

Summary

 

12월 1주차에는 악성코드 유포시도 관찰 결과 비정상적인 악성파일의 감염과 시도가 확대되고 있고 최종 악성코드의 분석 결과 국내 주요 백신 우회 및 분산서비스거부공격(DDoS, Distributed Denial of Service attack) 공격 기능을 가진 악성파일들이 대규모로 유포된 정황이 발견되어 공동 대응을 하고자 제안을 드립니다.

 

<악성코드 유형중 봇에이전트, 다운로더, 트로이목마 수치 급증>

 

12월 1주차 발견된 악성코드 유형에서 보듯 봇에이전트와 다운로더의 발견이 증가한 상황이며 해당 에이전트와 다운로더들 중 다수가 DDoS 공격용 모듈을 갖추고 있는 것으로 확인된 상황이라 긴급한 대응이 요구되는 시점입니다. 이에 대한 자세한 설명은 다단계유포망(MalwareNet)에서 살펴 보겠습니다.

 

<12월 1주차 날짜별 신규 악성링크 현황>

 

12월 1주차의 경우 월요일과 12.9일 일요일 유포 사례가 전주 대비 급증한 추세를 보이고 있어서 향후 상황도 예의 주시가 필요한 상황입니다.

최대 300여 곳 이상의 국내 주요 웹서비스를 통해서 대량 감염 시도(방문자 10명중 6명 이상 감염 예상)가 발생하였고 방문자가 극히 많은 커뮤니티를 통해서도 유포된 사례가 발견됨에 따라 대응을 위해 빛스캔㈜에서 발견하고 보유하고 있는 대량 감염 샘플을 공유 함으로써 사건.사고 발생을 미연에 방지하고자 제안을 합니다.

 

중복 감염 시도 하는 다수의 동일 파일을 포함하여 DDoS 공격 모듈이 확인된 악성코드는 총 12종이며 이중 국내 주요 백신 모두에서 탐지가 된 악성파일은 4종이며, 부분 감지 2종에 불과하며 심각한 상황입니다. 부분 탐지는 국내 주요 백신회사 3곳 중 한 곳 이상에서 탐지한 경우를 말합니다. 그 외 6종류의 악성파일에 대해서는 VirusTotal에도 보고된 바 없는 악성파일이며 당연히 모두 미탐지 영역이라 할 수 있습니다.

 

<ViruslTotal에 최종악성코드 보고된 바 없음>

 

 

제공내용: 12월 1주차 발견된 주요 DDoS 공격 기능 탑재된 최종 악성파일 샘플 -12종

제공시기: 요청 시 검토 후 발송 (12월 2주차도 관찰 결과 제공 될 수 있다. )

대상: Antivirus 기업 및 자체 바이너리 분석과 대응이 가능한 기관 한정 – 개인차원은 불가

 

제공 받기를 희망하는 기업 및 기관은 info@bitscan.co.kr / p4ssion@bitscan.co.kr 두 메일 주소로 기관/기업명 , 담당자 연락처 기재 이후 메일 요청 바랍니다.

 

기술분석 보고서에 언급된 부분이지만 금융권을 직접 노린 악성코드 이외에도 C&C Agent 봇넷에이젼트, 트로이 목마들 모두가 금융 관련된 공격에 직접 이용 되는 사례도 있으며 원격에서 통제가 가능하며 사용자 PC의 정보를 유출하는 행위를 하고 있습니다. 모든 악성코드가 게임관련된 계정 유출 이외에도 금융 정보등을 유출하고 있으므로 보고서를 참고하여 차단 및 대책 수립에 적극 활용 하여야만 합니다. 대량 유포된 트로이 목마 사례를 살펴 보면 다양한 금융기관을 목표로 하고 있음을 알 수 있습니다. 그 절차와 내용은 다음과 같습니다.

 

1. 방문자 브라우저 취약성 공격 및 권한 획득

2. 신뢰 할 수 있는 아이콘 ( V3Lite 아이콘) 이용한 V3upgade.exe 파일을 다운로드

3. Host 파일에 공격자 통제하의 IP와 목표 금융기관 등록

 

60.237.179.210 kbstar.com, www.kbstar.com, obank.kbstar.com

125.199.139.254 nonghyup.com, www.nonghyup.com, banking.nonghyup.com

118.18.174.4 wooribank.com, www.wooribank.com, pib.wooribank.com, spd.wooribank.com

<국민, 농협, 우리 인터넷 뱅킹 사용자를 대상으로 한 피싱 악성코드의 호스트 파일 변조 내역>

 

170.144.32.7 vaccine.dn.naver.com

208.58.64.7 explicitupdate2.alyac.co.kr

206.16.78.7 liveupdate2.alyac.co.kr

68.200.93.7 explicitupdate.alyac.co.kr

135.238.110.7 ko-kr.alupdatealyac.altools.com

206.226.125.7 su.ahnlab.com

124.42.141.7 su3.ahnlab.com

33.133.154.7 gms.ahnlab.com

99.32.168.7 update.ahnlab.com

<네이버 백신, 알약, 안랩 업데이트 서버 주소의 변조 내역>

 

이외에도 다수의 금융기관을 노린 공격들이 발생 되었습니다. 공격은 주요 백신들의 업데이트 주소를 변경하여 패턴 업데이트를 통한 탐지를 방지하도록 하고 있으며 현재도 주요 백신사들에서 탐지 되지 않는 악성코드들은 다수가 존재하고 있는 상황입니다. 동향보고서에 언급된 대표적인 사례는 위에 언급된 주소 이외에도 여러 유형들이 있으며 본 보고서에서는 간략히 정리하였습니다.

 

11월 3주차 브리핑에 언급하였듯이 탐지를 회피하기 위해 해외 사이트를 이용하는 것이 아닌 국내 사이트를 직접 악성코드 유포에 사용되는 비율이 점차 높아지고 있습니다.

 

<국내 게임커뮤니티인 데일리게임에 직접 악성코드 업로드 현황>

 

<국내 웹하드 업체인 다이하드에 직접 악성코드 업로드 현황>

 

해외사이트가 아닌 국내 사이트를 이용시에는 악성링크의 탐지 및 차단이 어려운 부분들이 있어서 공격자들의 국내 사이트를 이용하는 공격 비율이 계속 증가하는 양상을 보이고 있어서 주의깊은 관찰이 요구되고 있습니다.

지금까지 제로보드 및 공용 어플리케이션에 대해 자주 경고를 보내드렸지만 다시 제로보드 4.X 버전 취약성을 이용한 Mass SQL Inejction이 발생하고 있습니다. 서버자체의 권한 획득문제를 떠나 모든 방문자에게 감염이 될 수 있으므로 앞으로도 심각한 경계가 필요한 부분입니다.

 

<제로보드 취약점 이용한 공격으로 국내 웹사이트에 다수 삽입, 악성코드 DDoS 공격 모듈>

 

제로보드 4.X 이전 버전을 사용하는 곳들은 관리든 무엇이든 통제가 심각하게 요구 되고 있으며 상세 내용은 제로보드 4.X 악성코드 유포를 위한 공격 다수 발생(절차와 후폭풍)이란 글에 쓰여져 언급 되어 있습니다. 더불어 국내 해킹의 심각성은 겉으로 드러나지 않는 부분이 많아서 심각한 사례에 비추어 언급을 드립니다.

  • 자세한 내용은 생략합니다.

지난 보고서에서 언급했듯이 악성코드를 유포하는 것은 DB에 있는 내용은 유출되었을 확률이 크며 가장 마지막에 활용가치가 없을 때 사용자 PC를 감염시키기 위해 사용하는 목적이 가장 큰 이슈 입니다.

 

현재 빛스캔에서 탐지하는 유형은 단순히 이메일을 통한 타켓형 APT가 아닌 웹서비스를 방문하는 모든 방문자를 대상으로 한 대규모 유포이며, 확산도가 높아서 위험성이 높은 상태입니다. 따라서 기업/기관별로 인터넷 접근시에 많은 보호대책을 적극 반영 하여 대응을 하셔야 할 것으로 보입니다. 기존 악성코드들의 분석 결과도 단순 게임계정 탈취에서 계속 변화하는 형태를 보이고 있어 앞으로의 변화를 가늠하기 어려운 상황입니다. 이미 농협의 사례를 통해 APT나 내부망을 공격 하는 악성코드가 가진 위험성과 파괴력은 충분히 경험을 한 상태이므로 현재 웹서비스를 통해 감염시도를 하는 악성코드 자체의 위험성은 높은 수준이라 할 수 있습니다.

 

금주 공격의 특징을 정리하면 다음과 같습니다.

 

  • 9월 4주차, 10월 2주차, 11월 1주차, 11월 3주차, 11월 4주차, 11월 5주차 이후 또다시 DDoS 공격 수행 악성코드 유포, 금주에는 대선을 앞두고 대규모 유포되어 분석가능한 업체와 최종 악성코드 공유 예정
  • 국내 도메인에 악성코드 업로드 비율 급속 증가(탐지 회피하기 위한 용도)
  • 한국경제, 미스터피자 배너 사이트 및 국내 대표 커뮤니티 사이트가 지속적으로 해킹당해 악성코드 유포에 이용됨.
  • 8월 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가(감염된 좀비PC들을 활용한 추가 위험이 발생할 수 있는 상태)
  • APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속
  • MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 적극적 으로 이용됨
  • 3.4 및 7.7 DDos 형태와 유사성을 지니는 다운로더 발견 ( 긴장을 늦춰선 안되겠습니다. 당장이라도 발생 가능한 상황입니다. 1:29:300 하인리히의 법칙을 상기하시기 바랍니다. 이미 대형사고가 발생하기 위한 전제조건은 모두 갖추어진 상황입니다. )
  • 최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨
  • 백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속
  • 게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속
  • 백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨

 

* 사용자가 특정은행 접속 시에 피싱 사이트로 유도하거나 HTML 내용을 변경하여 정보를 획득하는 형태의 악성코드들도 현재 다수 유포 되고 있는 온라인 게임 계정 탈취형 악성코드에 붙여진 부가기능이며 해당 기능들은 매우 적극적으로 이용이 되고 있습니다. 악성코드 확산을 통제할 수 있는 근본적인 대안과 대책들이 집중적으로 필요한 부분이라 할 수 있습니다.

 

* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5, 6월 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 예상대로 직접적인 ARP 스푸핑 공격코드 출현하였으므로 피해 발생이 예상되며, 지금까지 설명한 사항 모두 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용입니다.

 

MalwareNet ( 범위와 변화)

 

상세한 내용은 생략합니다.

 

현재의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있습니다. 기본적인 문제를 해결할 수 있는 보안패치는 반드시 적용해야만 위험을 줄일 수 있으니 반드시 기관/ 기업 내부적으로 강력한 권고가 되어야 합니다. Oracle Java취약성, Adobe Flash 취약성, MS의 XML, Midi 및 IE 취약성이 복합적으로 사용되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

 

기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰되고 있어서 위험성이 높습니다. 또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하시기 바랍니다.

 

기술 분석 보고서에 전체 URL이 공개된 국내 사이트들은 악성링크로 직접 이용 되거나 최종 악성코드가 다운로드 된 곳들의 주소는 여과 없이 공개가 되고 있으니 참고하시고 금주 차에는 언론사 및 국내 기업, 기관들의 주소가 직접 기술 되어 있습니다.

 

기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있습니다. 현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 계속 변화된 형태를 보이고 있으며 위협적인 형태로 변화하고 있는 상황입니다. 또한 수시로 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 계속 되고 있습니다. – 8월 2주차 부터 관찰된 변화는 금주 차에도 계속 강도가 높아지고 있어서 즉시적인 대응책이 지금 당장 필요합니다.

 

PCDS(Pre-Crime Detect System) 탐지 내역

 

PCDS 상에서는 최초 악성링크 탐지와 MalwareNet에 대한 추적, 최종 악성파일에 대한 수집까지 체계적으로 통합 운영이 되고 있습니다.

 

본 PCDS에 탐지된 내용을 바탕으로 하여 공격자들의 전략을 확인해 보면, 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있습니다. 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며, 때로는1시간에 한 번씩 최종 악성코드를 변경하는 지금의 상황에서 대응이 가능한 보안체계는 거의 없습니다. 백신은 백신만의 역할 부분이 있으며, 현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야 합니다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로, 대응적인 측면에서 한계를 보일 것으로 판단됩니다.

 

<DDoS 공격 기능을 가진 악성코드 유포 변화 추적도>

 

www.nfile.co.kr/cron.xxxxxxxx.xxxx 파일에 대한 최종 악성코드 변화 내역 추적도이다. 지난주까지만 해도 게임계정 탈취하는 악성코드를 유포하였지만 금주에는 kill.exe 라는 DDoS 공격기능을 가진 악성코드로 변하였습니다. 어떤 공격을 하느냐는 공격자의 마음에 달려있다는 것을 대변하고 있습니다. 조용히 움크리고 있던 공격자들이 언제든 새로운 대상을 목표로 할 수 있는 것이 지금의 현실 입니다.

 

* 최종 바이너리 수집의 경우 체크섬 값이 다르거나 변경이 되었을 때 수집이 되도록 되어 있으며 위의 항목은 빠르면 1시간 이내에도 최종 파일을 변경하는 형태를 직접 볼 수 있습니다. 이와 같은 악성코드들이 순식간에 수십여 곳의 서비스를 통해 즉시 감염을 시키고 있는 것이 현실입니다. 공격자들의 전술과 기동력은 타의추종을 불허합니다. 그 반면 대응은 어떤가요? 현재의 실상은 과연 어떤 수준에 있는 것인지 겸허하게 돌아볼 필요가 있을 것 입니다.

 

지금 분석되고 예상되는 모든 내용들은 지금 이 순간에도 발생하고 있는 현실입니다. 사건이 발생 된 이후에는 돌이키기 어렵듯이 사전 탐지와 사후 대응은 전혀 다른 범위입니다. 사전에 얼마나 대응을 하느냐가 가장 중요하며, 빠른 정보를 확보하여 대규모로 유포된 악성코드에 대응 할 수 있도록 사후대응 측면에서도 현재 수준 보다는 강도 높은 방안들이 절실히 요구됩니다.

 

게임 계정 탈취 및 백신 Kill, 게임 머니 및 아이템 거래 사이트 계정탈취 계속

 

* 본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6월 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다. 모든 기능은 BHO 관련된 공격에 연관 되어 있으며 해당 문제들은 이전 보고서에 첨부된 BHO 공격에 대한 전문분석 자료를 참고 하세요. ( 정식구독 기업/기관 대상)신규 가입 및 최근가입으로 인하여 전문분석 보고서를 받지 못한 곳들은 본 메일로 회신을 주시면 전달 드리겠습니다.

 

9월 1주차부터 신용정보 조회, 아이템 매니아, 아이템 베이 사이트까지 계정 탈취 기능이 추가 되었습니다. 신용정보 조회 사이트에서 자신의 신용정보를 검색하다가는 자신의 개인정보가 노출될 수도 있습니다. 또한 아이템 매니아, 아이템 베이 사이트는 온라인 게임 아이템 거래 사이트입니다. 게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있습니다. 돈이 되는 곳은 모두가 대상이 되어 있는 상태입니다. 다른 모든 기기와 장비들에서도 금전화가 가능한 순간부터 현재의 공격 수준은 그대로 확장이 될 것입니다. 아직은 때가 안되었을 뿐입니다. 그 때는 머지 않았습니다.

 

 

프로세스명

프로그램명

sgbider.exe, vcsvc.exe, vcsvcc.exe

바이러스체이서

NVCAgent.npc, Nsvmon.npc, Nsavsvc.npc, NVC.npc, NaverAgent.exe

네이버백신

V3sp.exe, V3svc.exe, V3up.exe, MUpdate2.exe, SgSvc.exe, Sgui.exe, SgRun.exe, InjectWinSockServiceV3.exe, V3Light.exe, V3LTray.exe, V3Lsvc.exe, V3LRun.exe

AhnLab V3

AhnLab V3 Lite

AhnLab SiteGuard

AYUpdSrv.aye, AYRTSrv.aye, SkyMon.exe, AYServiceNT.aye, AYupdate.aye, AyAgent.aye

알약 (ALYac)

avp.exe

Kaspersky

avgnt.exe, avcenter.exe, avguard.exe, avscan.exe, avupgsvc.exe

Avira AntiVirus

avwsc.exe, AvastSvc.exe, ashUpd.exe, AvastUI.exe

avast!

shstat.exe, Mctray.exe, UdaterUI.exe

McAfee

msseces.exe

MSE

egui.exe, ekrn.exe

ESET NOD32

ccSvcHst.exe, Navw32.exe

Symantec Norton

updatesrv.exe, vsserv.exe, seccenter.exe, bdagent.exe, bdreinit.exe

BitDefender

avgam.exe, avgemc.exe, avgnsx.exe, avgrsx.exe, avgfrw.exe, avgwdsvc.exe, avgupd.exe

AVG

PCOTP.exe

넥슨 OTP

 

 

프로세스명

프로그램명

gamehi.co.kr

게임하이

hangame.com, id.hangame.com

한게임

laspoker.exe

한게임 라스베가스포커

duelpoker.exe

한게임 맞포커

hoola3.exe

한게임 파티훌라

highlow2.exe

한게임 하이로우

poker7.exe

한게임 7포커

baduki.exe

한게임 로우바둑이

ExLauncher.exe, TERA.exe, tera.hangame.com

테라

netmarble.net

넷마블

pmang.com

피망

ff2client.exe, fifaonline.pmang.com

피파 온라인2

Raycity.exe

레이시티

www.nexon.com, login.nexon.com

넥슨

df.nexon.com, dnf.exe

던전 앤 파이터

DragonNest.exe, dragonnest.nexon.com

드래곤 네스트

baramt.exe, WinBaram.exe, baram.nexon.com

바람의 나라

mabinogi.nexon.com, heroes.nexon.com, heroes.exe

마비노기 영웅전

MapleStory.exe, maplestory.nexon.com

메이플 스토리

x2.exe, elsword.nexon.com

엘소드

dk.halgame.com, dkonline.exe

DK 온라인

clubaudition.ndolfin.com

클럽 오디션

www.capogames.net, samwinfo.capogames.net

삼국지w

fairyclient.exe

로한

plaync.co.kr

엔씨소프트

bns.plaync.com

블레이드 & 소울

lin.bin

리니지

AION.bin, aion.plaync.jp

아이온

kr.battle.net

블리자드 배틀넷

wow.exe

월드 오브 워크래프트

Diablo III.exe

디아블로III

 

 

 

사이트 주소

사이트 이름

www.booknlife.com

북앤라이프

www.cultureland.co.kr

컬쳐랜드

www.happymoney.co.kr

해피머니

www.teencach.co.kr

틴캐시

auth.siren24.com

신용정보 조회

itemmania.com

아이템 매니아

www.itembay.com

아이템 베이

 

* URL의 경우는 브라우저 상에서 BHO (Browser Helper Object)로 등록이 되어 모니터링을 하다가 해당 URL로 주소가 입력이 되거나 접속이 될 경우에 html 내용을 변조 하거나 계정에 관련된 키 입력값을 빼내도록 제작되었습니다.

 

차단 권고 대역

 

아래 영역은 이미 공격자가 권한을 통제하고 있는 IP대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재 활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각 기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다. 악성링크에 이용 되는 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해 강력한 차단을 유지하실 것을 권고 합니다.

 

  • 기술 분석 보고서에는 별도의 차단 대역들을 제공하고 있으므로 참고하시기 바라며, 사안별로 모니터링 및 차단에 적극 활용 바랍니다.
  • 국내 통신사의 경우 C Class가 아닌 직접 IP를 등록 하였으며 이미 공격자가 권한을 가진 상태에서 악성코드 유포 경로로 직접 활용하고 있는 상태여서 제한적인 차단이 필요하며, 업무와 연관성이 있는지 여부는 각 기업 및 기관에서 잘 판단 하셔서 차단에 활용하시기 바랍니다. 9월 4주차부터 차단 권고 대역은 최근 1~2개월을 기준으로 전달 드리도록 하겠습니다. 이전의 차단 목록이 필요한 기업 및 기관은 info@bitscan.co.kr 로 요청해 주세요.

 

- 112.213.118.X Hong Kong, SUN NETWORK (HONG KONG) LIMITED 12/1

 

악성코드 감염 이후 접속 URL - 차단 및 모니터링 필요한 부분

 

본 내용은 악성코드가 PC에 감염된 이후에 외부로 연결 시도를 하고 명령을 받는 주소들입니다. 즉 C&C 연결 을 시도하는 봇넷과 같은 개념으로 볼 수 있습니다. C&C 서버의 차단과 관련된 핵심적인 내용입니다. 차후 별도 차단 서비스를 기획하고 있으며 해당 내용은 별도 서비스 확산 시에 보고서 상에서만 일부 제공될 예정입니다. 실험적으로 Outbound 연결 시에 Destination IP가 본 URL일 경우는 100% 좀비 PC및 백도어, 루트킷 등에 감염된 것이므로 직접 내부망에서 감염된 좀비 PC를 찾아내는 것이 가능해 집니다. 기술 분석 보고서 내에는 추가적인 차단 정보들이 존재함으로 확인 하시고 적용 하시는 것이 필요합니다.

 

* 본 차단 정보들은 12월을 기점으로 더 이상 제공 되지 않습니다. 참고 하십시요.

 

※ 특정 URL로 접속하여 추가 명령 대기

dk.rnnnb.com(Port:9999)

상세한 내용은 생략합니다.

* 붉은색으로 선택된 도메인들은 모두 현재 다수가 국내 환경에 뿌려져 있는 다운로더 및 C&C 서버로 이용되는 파일 및 도메인들입니다. 해당 도메인은 불시에 활성화 되어 추가적인 피해가 계속 될 수 있으므로 본 메일을 받으시는 기관 및 기업에서는 그에 맞는 대응을 하시기 바랍니다. 기업은 해당 도메인으로 접속하는 PC가 있을 경우 이미 좀비 PC화가 되었으므로 절차에 맞게 처리를 하시면 되고 국가기관 차원에서는 차단 정책을 즉시 수행 하여야 할 것으로 보입니다.

 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 민감한 시기입니다. 적극적인 대응과 노력으로 피해를 예방해야 합니다. MalwareNet의 활용과 위험에 대해 계속 언급 하였습니다. 그리고 지금 관찰되는 상태는 최종 악성코드의 성격과 범위 모두 일정 수준의 임계치를 넘은 상황입니다.

 

2년 이상을 온라인상에서 꾸준히 공격을 시도하고 있는 공격자들을 모니터링 한 결과에 따르면 공격기법과 기술은 한 주가 다르게 변화하고 진화하고 있습니다. 그 반면에 대응 기술 측면에서는 발전은 지지부진함을 보이고 있습니다. 공격은 적극적인 유포망 확대, 감염 기술의 고도화, 최고 공격기법들의 즉시적인 실전투입으로 귀결이 됩니다.

 

 

발전적인 협력

 

빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

감사합니다.

 

  • 본 정보제공 서비스는 공개, 재 배포 금지(내부에서만 활용), 비영리 목적으로만 활용 가능합니다. 공익적인 목적으로 기관에 제공되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.
  • 시범 서비스는 순차적으로 1개월 경과 시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.
  • 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/담당자/연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.
  • 본 서비스의 권리는 빛스캔에 있으므로 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.
  • 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre-Crime Detect System)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.
Posted by 바다란

댓글을 달아 주세요

 

[빛스캔+KAIST] 11월 5주차 브리핑

 

 

한국 인터넷 위협분석 보고서(금융을 위협하는 악성코드)

 

빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 11월 5주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS (범죄사전탐지체계, Pre-Crime Detect System)의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다. 본 보고서의 활용 용도는 다음과 같습니다.

 

    1.    악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

    2.    악성링크를 통한 직접 공격에 활용되는 주된 취약성에 대한 내부 보안 강화 정책 – 패치

    3.    내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

 

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.

 

Summary

 

11월 5주차는 여전히 분산서비스거부공격(DDoS, Distributed Denial of Service attack)를 위한 봇에이전트 유포 수치가 많이 발견되었으며, 추가적으로 악성코드를 다운로드 할 수 있는 다운로더, 피싱 사이트로 연결하는 트로이목마 유형이 많이 발견 되었습니다.

 

<봇 에이전트, 다운로더, 트로이 목마 유포 위험 수치>

 

봇에이전트가 대량으로 유포된 시기는 한참 되었으며, 지금은 은행을 대상으로한 직접적이고 노골적인 공격시도들도 다양하게 출현을 하고 있습니다. 대량으로 유포된 봇에이전트들은 오랜기간에 걸쳐 유포가 된 상황이며 현재도 계속 되고 있습니다. 유포 이후의 사건/사고들에 대해서는 단지 현상적인 측면에서 일기예보와도 같이 가능성만을 이야기 할 수 있을 뿐입니다. 무엇이 대상이 되건간에 지금의 상태는 어떠한 일이 벌어진다 하여도 이상하지 않은 상태이며 모든 것은 악성코드를 유포하고 통제권을 가지고 있는 공격자에게 달려 있을 뿐입니다. 본 정보제공 서비스를 통해 한참 이전부터 언급한 위험요소들은 이제 직접적이고 노골적인 형태로 나타나고 있습니다. 위협에 대해 대비를 하고 준비를 하기 위해서는 현재의 우리 상태를 알아야 하고 또한 공격자들의 수준과 상태를 알아야만 합니다. 알고난 후에나 대책들이 보일 수 있기 때문입니다. 본 정보제공 서비스가 정보제공을 통해 위협을 방지하는 노력에 도움이 되었으면 합니다. 최근 언론에 다수 발표되고 있는 ISP 해킹 및 금융권을 직접 노리고 정보를 탈취하는 형태에 대해서는 피싱 사이트와 연관된 다단계유포망(MalwareNet) 부분에서 설명 드리겠습니다.

 

사용자의 시스템에 대해 모든 권한을 가진 악성코드가 하는 일들은 무궁무진합니다. 물리적인 인증 정보(보안카드나 OTP)의 추가 입력 없이 사용되는 ISP 인증과 같은 사례의 피해는 앞으로도 다수 발생 될 것으로 보이며, 정상 사이트를 교묘하게 위장한 금융권 피싱 사이트의 경우도 시스템을 직접 제어 하는 악성코드는 앞으로 다양하게 변화하여 이 나라의 온라인 금융 체계를 혼란케 할 것입니다. 모든 것은 준비 되었고 그 결과가 이제 드러나는 것일 뿐입니다. 사전대응이란 문제가 발생 되기 이전에 미리 알아서 대처를 하는 것을 의미합니다. 발생 하지 않을 수도 있는 사고가 발생 된다는 것은 근본적인 문제가 따로 있다는 점이 되겠죠. 지금의 상황도 시스템의 모든 권한이 탈취 당한 상태에서 웹 서핑만 해도 무차별적으로 악성코드에 감염되는 상황아래에서 금융기관의 보안성만을 체크하고 검토하기에는 근본문제 해결과는 다른 관점이 아닐까 생각 됩니다. 근본을 해결 하지 못하면 지금의 문제는 앞으로도 더 심각한 양상으로 급격하게 전이 될 것이기 때문입니다.

 

 

 

당사에서는 지난 5, 6월부터 꾸준히 금융권을 노리는 악성코드들이 발생한다고 언급하였습니다. 또한 11월 3주차에는 공인인증서 발급기관 중의 하나인 한국전자인증이 해킹을 당해 악성코드를 유포하였다는 사실을 알렸습니다. 이번에는 안전결제 시스템에서 대규모 결제 사태가 발생하였습니다. 하인리히의 법칙에서 의미하듯이 1:2:39:300의 징후와 사고들에서 우리는 1에 해당하는 대형 사고를 얼마나 많이 겪었습니까? 1.25 대란, 3.4 DDoS, 7.7 DDoS, 농협의 사고, 그 외에 헤아릴 수 없이 많았던 정보 유출 사고들은 모두 사소한 징후라고 볼 수 있습니까? 지나가기만을 바라는 것이 지금까지도 계속 이어지는 근본문제를 방치한 것은 아닐까 생각해 볼 문제입니다.

 

웹취약성을 근본적으로 수정하지 않아 개인정보가 유출되며 DB에서 수집된 유용한 정보들은 유출 후에 사용자들을 대상으로 악성코드를 유포하기 시작합니다. 다수 PC의 권한을 가진 상태에서 할 수 있는 많은 일들은 이제 시작일 뿐입니다.

 

금주의 또 다른 이슈는 XX서치라는 광고업체가 해킹을 당해 배너에 악성링크가 삽입 되어 대규모로(30여개 이상) 악성코드에 이용된 정황을 포착하였습니다. 광고 업체의 악성링크가 삽입되어 있던 곳은 대부분 언론사와 쇼핑몰이었습니다. 비용 대비 효과 차원에서 공격자들은 흔적을 최소화 할 수 있는 공격만으로도 효과를 얻기를 기대하고 있습니다. 실제로도 웹서비스가 해킹 당하지 않았음에도 불구하고 악성코드 유포에 이용 되는 것은 공격자들의 효율적인 공격기법에 기인하고 있습니다. 단 한 곳의 링크를 수정함으로써 최소 30여 곳 이상의 웹서비스에서 동일한 악성코드를 유포하도록 만드는 상황은 근본적인 관리 체계를 보다 더 강력하게 유지할 필요성이 있다는 점을 시사합니다.

 

<xx서치 광고업체 제휴매체사 이외 다수..>

 

xx서치 홈페이지에서 발견한 제휴매체사 목록 및 xx서치 광고가 삽입되어 악성코드 유포한 사이트의 수치는 최소 30 여곳 이상 입니다. 서비스들이 직접 해킹을 당해 악성코드를 유포한 사례도 많이 발생하지만 이처럼 광고업체가 해킹을 당해 악성코드를 유포하도록 이용 되는 사례도 계속해서 발견이 되고 있습니다. 단 몇시간 정도만 활성화 되어 악성코드를 유포하고 다시 제거하고 하는 상황이 계속 되고 있어서 탐지 및 대응에 상당한 어려움들이 있을 것으로 예상이 됩니다. 모든 외부 연결 링크들에 대해 신뢰성을 체크 할 수 있는 방안들이 필수적이나 현실적으로 한계가 있어서 향후에도 계속될 것으로 보입니다.

 

xx서치에 사용된 취약점은 Java 취약점(CVE-2011-0507, CVE-2011-3544, CVE-2012-1723, CVE-2012-4681, CVE-2012-5076)이며 MS취약점인 CVE-2012-1889 입니다. 평균 60% 이상인 공격 성공률은 현재 상태에서 더 높을 것으로 판단 되고 있습니다. 악성링크가 자유자재로 주요 웹서비스들에 추가 되는 상황과 탐지 및 차단 우회를 위해 국내 사이트를 해킹하고 또 악성코드 중계지로 이용한 지금의 상황은 뭐라고 표현 하기가 어려운 상황입니다.

현재 빛스캔에서 탐지하는 유형은 단순히 이메일을 통한 타켓형 APT가 아닌 웹서비스를 방문하는 모든 방문자를 대상으로 한 대규모 유포이며, 확산도가 높아서 위험성이 높은 상태입니다. 따라서 기업/기관별로 인터넷 접근시에 많은 보호대책을 적극 반영 하여 대응을 하셔야 할 것으로 보입니다. 기존 악성코드들의 분석 결과도 단순 게임계정 탈취에서 계속 변화하는 형태를 보이고 있어 앞으로의 변화를 가늠하기 어려운 상황입니다. 이미 농협의 사례를 통해 APT나 내부망을 공격 하는 악성코드가 가진 위험성과 파괴력은 충분히 경험을 한 상태이므로 현재 웹서비스를 통해 감염시도를 하는 악성코드 자체의 위험성은 높은 수준이라 할 수 있습니다.

 

금주 공격의 특징을 정리하면 다음과 같습니다.

 

  • 9월 4주차, 10월 2주차, 11월 1주차, 11월 3주차, 11월 4주차 이후 또다시 DDoS 공격 수행 악성코드 유포
  • 인터넷뱅킹 피싱 악성코드 대량 유포
  • 하인리히의 1:29:300 법칙에 의해 안전결제 대규모 결제 사태라는 대형 사고가 발생함
  • xx서치 광고링크, 인터넷 서점 사이트가 해킹 당해 악성코드 유포에 이용
  • 8월 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가(감염된 좀비PC들을 활용한 추가 위험이 발생할 수 있는 상태)
  • APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속
  • MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 적극적 으로 이용됨
  • 3.4 및 7.7 DDos 형태와 유사성을 지니는 다운로더 발견 ( 긴장을 늦춰선 안되겠습니다. 당장이라도 발생 가능한 상황입니다. 1:29:300 하인리히의 법칙을 상기하시기 바랍니다. 이미 대형사고가 발생하기 위한 전제조건은 모두 갖추어진 상황입니다. )
  • 최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨
  • 백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속
  • 게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속
  • 백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 계속 및 백신 프로세스를 죽임으로써 업데이트 및 실행이 되지 않도록 하며 금융기관 피싱과 Host 파일 변조를 통한 공격에 직접 이용된 정황 발견

 

* 사용자가 특정은행 접속시에 피싱 사이트로 유도하거나 HTML 내용을 변경하여 정보를 획득하는 형태의 악성코드들도 현재 다수 유포 되고 있는 온라인 게임 계정 탈취형 악성코드에 붙여진 부가기능이며 해당 기능들은 매우 적극적으로 이용이 되고 있습니다. 악성코드 확산을 통제할 수 있는 근본적인 대안과 대책들이 집중적으로 필요한 부분이라 할 수 있습니다.

 

* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5, 6월 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 한동안 뜸했던 Host 파일 변조를 통한 금융권 주소 변경도 백신 프로세스 중지와 업데이트 방해와 연결 되어 이용 되고 있습니다. 지금까지 설명한 사항 모두 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용입니다.

 

Exploit-db 게재 관련 내용

 

카이스트 정보보호대학원(KAIST GSIS)에서는 지난 1월부터 빛스캔㈜와 협업하여 제로데이 등 최신 악성코드를 분석 및 관련된 보고서를 발표해 오고 있습니다. 11월 3주차 정보제공 서비스에서 전달드린바 있는 Java 취약성 CVE 2012-5076에 대한 전문분석 영문 버전이 Exploit-db에 게재 되었습니다.

 

<www.exploit-db.com(국제적인 신규 취약점 공유 사이트) 근 5달 동안 4건 등재>

 

 

니들이 해킹을 알어?

 

'니들이 해킹을 알어?' 는 국내 보안 현실을 알리기 위함입니다. 전체적인 범위 위주로 일반인들도 알기 쉽게 보안 용어들을 최대한 쉽게 풀어 작성하였습니다. 구독 기업 및 기관 내부의 전문 인력이 아닌 경우에 의미 전달과 위험성 전달 측면에서 어려움이 있을 수 밖에 없습니다. 다양한 경로로 위험성을 알리고자 하는 노력은 계속 됩니다. 본 연재물은 향후에도 계속 연재될 예정이며 일반인들도 쉽게 인지 할 수 있도록 현재의 상황을 풀어서 설명한 내용입니다.

 

Security Awareness를 개선 시키는 측면에서 잘 활용 하셨으면 좋겠습니다.

 

※ '니들이 해킹을 알어?' 라는 제목에 민감하신 반응을 보이시는 분들이 있을 것 같아 미리 밝혀 둡니다. 독자들을 무시하려고 하는 것이 아니라 현재의 문제점을 정확히 보여드리기 위해 약간 민감한 단어를 사용한 것입니다. 다른 뜻은 없으니 독자들의 넓은 마음으로 이해 부탁 드립니다.

 

니들이 해킹을 알어? - 1부

니들이 해킹을 알어? - 2부 (Know your Enemy)

니들이 해킹을 알어? - 3부 (Know your Enemy - Use)

 

MalwareNet ( 범위와 변화)

 

- MalwareNet: 공격자들이 공격효과를 높이고 탐지를 회피하기 위해 활용하고 있는 악성코드 유포 네트워크를 의미합니다. 일반적인 사이트에 악성링크를 직접 입력하는 것이 아닌 몇 단계를 거친 링크들을 입력하여 추적을 회피하고 악성코드 유포 효과를 극대화 하기 위해 사용되는 프레임을 MalwareNet으로 정의하고 있습니다. 즉, 단 한번 악성링크의 내용을 변경하면 최대 300에서 최소 10여 곳에 이르기까지 동시에 동일한 악성코드 유포가 발생되는 상황을 나타내고 있습니다.

 

본 정보제공 서비스에서는 MalwareNet의 특성상 대규모 피해가 상시적으로 발생될 수 있으므로 상위 리스트에 한해 부분 공개를 하고 있습니다.

 

MalwareNet을 통해 영향력을 가지는 악성링크들은 탐지 회피를 위해 비정기적이고 수시로 변경됩니다. 금주 차에서는 사후 대응으로는 탐지할 수 없는 형태인 MalwareNet의 활용 사례를 살펴 보겠습니다. 공격자의 의도에 의해 조종당하고 있는 현실에서 사후대응과 사전대응의 차이는 매우 큰 차이를 가질 수 밖에 없으며 , 선제적인 사전대응이 얼마나 중요한지 확인 할 수 있습니다. MalwareNet 자체를 여러 곳 활용하는 형태도 전주에 이어 계속 발견되고 있으며, 금주에는 home.icross.co.kr/xx.js 이 적극적으로 이용이 되고 있는 상황입니다.

 

현재 시간에도 영향력을 유지하고 있으므로 대응이 필요하며 수시로 최종 악성코드들이 변경되고 있어서 탐지 및 대응에 어려움이 있을 것으로 판단됩니다. 최종 악성코드들에 대한 탐지율도 높지 않아 항상 위험에 노출 되어 있는 상태라 볼 수 있습니다. 단기간에 대규모 유포망 구축을 하는 형태가 끊임없이 관찰이 되고 있습니다. 주중에는 통계정보를 수집하고 간헐적으로 공격에도 이용 되고 있는 형태를 보이고 있습니다. 평상시에는 해당 링크가 존재하지 않다가 공격 시점에만 활성화되고 있는데 이 점은 공격자가 해당 서비스에 대한 완벽한 권한을 행사하고 있음을 의미 합니다. 단순한 링크 삭제로는 해결책이 되지 않음을 염두에 두어야 할 것입니다.

 

home.icross.co.kr/xx.js 악성링크는 다단계유포망(MalwareNet)로써 트로이목마(피싱, 다운로더) 유형의 악성코드를 대규모로 유포하였습니다.

 

<금주 피싱 악성코드 유포 MalwareNet 구성도>

 

공격자는 모든 것을 컨트롤 하고 있습니다. 사용자에게 혹시 보여질 것을 우려해서 알시리즈 아이콘으로 위장하였습니다. 정상 알약 이미지와 비교해 보시면 이해하기 쉬우실 것입니다. 알시리즈로 위장한 최종 악성코드 단 하나만 변경하게 된다면 100여개 사이트에 유포되는 악성코드가 변경되게 됩니다.

최종 악성코드를 변경하는 시점은 백신회사에서 악성코드 샘플을 수집 후에 백신에 업데이트를 하는 시기입니다. 이를 보면 공격자들은 악성코드가 백신 회사에 탐지되지 않도록 비정기적이며 수시로 변경하는 것을 확인할 수 있습니다.

 

home.icross.co.kr/xx.js: 가장 큰 다단계유포망(MalwareNet)

www.xxxxxxsearch.or.kr/rf.js: 중간단계급 다단계유포망(MalwareNet)

xxxxxsearch이 포함된 사이트: 실제 악성코드 유포하는 서비스

방문자: 악성코드 감염

 

<피싱 사이트 유도 악성코드 유포 다단계유포망(MalwareNet)>

 

xx서치 광고 링크가 MalwareNet 목록에 포함된 것을 확인할 수 있습니다. 수 많은 언론사, 쇼핑몰 사이트가 금융 관련 피싱 사이트로 유도하는 악성코드에 감염이 되었을 것이라 예상됩니다. 하나의 대형사건이(ISP 시스템 대규모 결제 사태) 나오기 전에 무수한 악성코드 유포가 있었고 매번 경고해 드렸음을 아시고 계실 것입니다. 대규모 악성코드 유포 및 감염에 따른 결과는 이제부터 나오기 시작 할 것입니다. 금융에 대한 강력한 경고는 8월 2주차부터 브리핑과 동향 보고서를 통해서 강하게 언급을 드린 바 있습니다.

 

기술분석 보고서에 언급된 부분이지만 금융권을 직접 노린 악성코드 이외에도 C&C Agent 봇넷 에이젼트, 트로이 목마들 모두가 금융 관련된 공격에 직접 이용 되는 사례도 있으며 ISP 결제 해킹 사례에서 보듯 원격에서 통제가 가능하며 사용자 PC의 정보를 유출하는 모든 악성코드가 게임관련된 계정 유출 이외에도 금융 정보등을 유출하고 있으므로 보고서를 참고하여 차단 및 대책 수립에 적극 활용 하여야만 합니다. 대량 유포된 트로이 목마 사례를 살펴 보면 다양한 금융기관을 목표로 하고 있음을 알 수 있습니다. 그 절차와 내용은 다음과 같습니다.

  • 금융을 노린 악성코드가 계속 급증 하고 있어 본 브리핑에서는 개인 차원의 피해 방지를 위해 관련된 정보를 오픈 하도록 하겠습니다.

     

  1. 방문자 브라우저 취약성 공격 및 권한 획득
  2. 신뢰 할 수 있는 아이콘 ( V3Lite 아이콘) 이용한 V3upgade.exe 파일을 다운로드
  3. Host 파일에 공격자 통제하의 IP와 목표 금융기관 등록

    174.139.3.29 kbstar.com

    174.139.3.29 www.kbstar.com

    174.139.3.29 obank.kbstar.com

    174.139.3.29 nonghyup.com

    174.139.3.29 www.nonghyup.com

    174.139.3.29 banking.nonghyup.com

    174.139.3.29 wooribank.com

    174.139.3.29 www.wooribank.com

    174.139.3.29 pib.wooribank.com

    174.139.3.29 spd.wooribank.com

    174.139.3.29 shinhan.com

    174.139.3.29 www.shinhan.com

    174.139.3.29 banking.shinhan.com

    174.139.3.29 bizbank.shinhan.com

    174.139.3.29 hanabank.com

    174.139.3.29 www.hanabank.com

    174.139.3.29 www.ibk.co.kr

    174.139.3.29 mybank.ibk.co.kr

    174.139.3.29 kiup.ibk.co.kr

    174.139.3.29 keb.co.kr

    174.139.3.29 www.keb.co.kr

    174.139.3.29 ebank.keb.co.kr

    174.139.3.29 citibank.co.kr

    174.139.3.29 www.citibank.co.kr

 

이외에도 다수의 금융기관을 노린 공격들이 발생 되었습니다. 공격은 주요 백신들의 업데이트 주소를 변경하여 패턴 업데이트를 통한 탐지를 방지하도록 하고 있으며 현재도 주요 백신사들에서 탐지 되지 않는 악성코드들은 다수가 존재하고 있는 상황입니다. 동향보고서에 언급된 대표적인 사례는 위에 언급된 주소 이외에도 여러 유형들이 있으며 간략히 정리하면 다음과 같습니다.

 

▪ 국민, 우리, 농협 인터넷 뱅킹 사용자를 대상으로 한 피싱 악성코드의 호스트 파일 변조 내역

IP Address

Domain

60.237.179.210

kbstar.com, www.kbstar.com, obank.kbstar.com

125.199.139.254

nonghyup.com, www.nonghyup.com, banking.nonghyup.com

118.18.174.4

wooribank.com, www.wooribank.com,

pib.wooribank.com, spd.wooribank.com

 

▪ 네이버 백신, 알약, 안랩 업데이트 서버 주소의 변조 내역

IP Address

Domain

170.144.32.7

vaccine.dn.naver.com

208.58.64.7

explicitupdate2.alyac.co.kr

206.16.78.7

liveupdate2.alyac.co.kr

68.200.93.7

explicitupdate.alyac.co.kr

135.238.110.7

ko-kr.alupdatealyac.altools.com

206.226.125.7

su.ahnlab.com

124.42.141.7

su3.ahnlab.com

33.133.154.7

gms.ahnlab.com

99.32.168.7

update.ahnlab.com

 

 

악성코드 유포에 이용된 특징적인 다단계유포망(MalwareNet)으로써 xxdent.co.kr 이 있습니다. 이 안에는 또 다른 3개의 다단계유포망(MalwareNet)이 있으며 약 60여개 사이트에 영향을 주고 있습니다. 본 MalwareNet의 경우 12월 1일부터 발생이 되어 매우 자주 최종 링크를 변경하여 악성코드 유포에 활용되어 피해방지 차원에서 공개를 하게 되었습니다.

 

12월 1일 20시경 70.39.112.198/xxx.html

12월 1일 21시경 118.217.183.186/xxxx.html

12월 2일 00시경 slowzone.co.kr/ne/xxxx.html

12월 2일 15시경 www.ymtech2002.co.kr/ne/xxxxx.html

12월 2일 16시경 www.ymtech2002.co.kr/ne/ xxxxx.html, 카운터 페이지 추가

12월 2일 16시경 www.ymtech2002.co.kr/ne/ xxxxx.html, 카운터 페이지 삭제

12월 2일 20시경 www.ymtech2002.co.kr/ne/ xxxxx.html, 카운터 페이지 추가

12월 2일 22시경 www.ymtech2002.co.kr/ne/ xxxxx.html, 카운터 페이지 삭제

12월 3일 13시경 hdndv.co.kr/new/ xxxxx.html

12월 3일 14시경 anquan.rnnnb.com/ xxxxx.html

12월 3일 23시경 www.gofree.or.kr/yh/ xxxxx.html

<xxdent.co.kr 다단계유포망(MalwareNet) 추적 내역>

 

악성링크의 히스토리에서 보듯 1시간 내에도 비정기적이며 수시로 변경이 되고 있습니다. 공격코드 자체도 국내 도메인을 권한 획득한 후 이용하는 형태를 보이고 있어 차단 및 탐지에 어려움이 있을 것으로 보입니다.

 

*PCDS Impact Factor는 내부 수집된 체계에서 전파 범위를 고려한 내부 위험지수이며 MalwareNet의 추적과 영향도 추적을 위해 활용되는 수치입니다. 높을수록 은밀하면서도 파급력이 높은 상태라는 점을 의미하고 있습니다.

 

현재의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있습니다. 기본적인 문제를 해결할 수 있는 보안패치는 반드시 적용해야만 위험을 줄일 수 있으니 반드시 기관/ 기업 내부적으로 강력한 권고가 되어야 합니다. Oracle Java취약성, Adobe Flash 취약성, MS의 XML, Midi 및 IE 취약성이 복합적으로 사용되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

 

기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰되고 있어서 위험성이 높습니다. 또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하시기 바랍니다.

 

기술 분석 보고서에 전체 URL이 공개된 국내 사이트들은 악성링크로 직접 이용 되거나 최종 악성코드가 다운로드 된 곳들의 주소는 여과 없이 공개가 되고 있으니 참고하시고 금주 차에는 언론사 및 국내 기업, 기관들의 주소가 직접 기술 되어 있습니다.

 

기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있습니다. 현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 변화된 형태를 보이고 있으며 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 계속 되고 있습니다. – 8월 2주차부터 관찰된 변화는 금주 차에도 계속 강도가 높아지고 있어서 즉시적인 대응책이 필요합니다.

 

PCDS(Pre-Crime Detect System) 탐지 내역

 

PCDS 상에서는 최초 악성링크 탐지와 MalwareNet에 대한 추적, 최종 악성파일에 대한 수집까지 체계적으로 통합 운영이 되고 있습니다.

 

본 PCDS에 탐지된 내용을 바탕으로 하여 공격자들의 전략을 확인해 보면, 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있습니다. 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며, 때로는1시간에 한 번씩 최종 악성코드를 변경하고 있습니다. 백신은 백신만의 역할 부분이 있으며, 현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야만 합니다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로, 대응적인 측면에서 한계를 보일 것으로 판단됩니다.

 

<빛스캔 PCDS를 활용한 금일에도 살아있는 악성링크를 통해 수집된 최종 악성코드 2012.12.05 15시경>

 

주중에도 7개의 악성링크에서 악성코드가 다운되고 있습니다. 12개의 링크에서 지속적으로 악성코드를 유포하고 있습니다. 다단계유포망(MalwareNet)도 5개나 됨을 알 수 있습니다.

 

* 최종 바이너리 수집의 경우 체크섬 값이 다르거나 변경이 되었을 때 수집이 되도록 되어 있으며 위의 항목은 빠르면 1시간 이내에도 최종 파일을 변경하는 형태를 직접 볼 수 있습니다. 이와 같은 악성코드들이 순식간에 수십여 곳의 서비스를 통해 즉시 감염을 시키고 있는 것이 현실입니다. 공격자들의 전술과 기동력은 타의추종을 불허합니다. 그 반면 대응은 어떻습니까? 현재의 실상은 과연 어떨까요?

 

지금 분석되고 예상되는 모든 내용들은 지금 이 순간에도 발생하고 있는 현실입니다. 사건이 발생 된 이후에는 돌이키기 어렵듯이 사전 탐지와 사후 대응은 전혀 다른 범위입니다. 사전에 얼마나 대응을 하느냐가 가장 중요하며, 빠른 정보를 확보하여 대규모로 유포된 악성코드에 대응 할 수 있도록 사후대응 측면에서도 현재 수준 보다는 강도 높은 방안들이 절실히 요구됩니다.

 

게임 계정 탈취 및 백신 Kill, 게임 머니 및 아이템 거래 사이트 계정탈취 계속

 

* 본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6월 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다. 모든 기능은 BHO 관련된 공격에 연관 되어 있으며 해당 문제들은 이전 보고서에 첨부된 BHO 공격에 대한 전문분석 자료를 참고 하세요. ( 정식구독 기업/기관 대상)신규 가입 및 최근가입으로 인하여 전문분석 보고서를 받지 못한 곳들은 본 메일로 회신을 주시면 전달 드리겠습니다.

 

9월 1주차부터 신용정보 조회, 아이템 매니아, 아이템 베이 사이트까지 계정 탈취 기능이 추가 되었습니다. 신용정보 조회 사이트에서 자신의 신용정보를 검색하다가는 자신의 개인정보가 노출될 수도 있습니다. 또한 아이템 매니아, 아이템 베이 사이트는 온라인 게임 아이템 거래 사이트입니다. 게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있습니다. 돈이 되는 곳은 모두가 대상이 되어 있는 상태입니다. 다른 모든 기기와 장비들에서도 금전화가 가능한 순간부터 현재의 공격 수준은 그대로 확장이 될 것입니다.

 

 

프로세스명

프로그램명

sgbider.exe, vcsvc.exe, vcsvcc.exe

바이러스체이서

NVCAgent.npc, Nsvmon.npc, Nsavsvc.npc, NVC.npc, NaverAgent.exe

네이버백신

V3sp.exe, V3svc.exe, V3up.exe, MUpdate2.exe, SgSvc.exe, Sgui.exe, SgRun.exe, InjectWinSockServiceV3.exe, V3Light.exe, V3LTray.exe, V3Lsvc.exe, V3LRun.exe

AhnLab V3

AhnLab V3 Lite

AhnLab SiteGuard

AYUpdSrv.aye, AYRTSrv.aye, SkyMon.exe, AYServiceNT.aye, AYupdate.aye, AyAgent.aye

알약 (ALYac)

avp.exe

Kaspersky

avgnt.exe, avcenter.exe, avguard.exe, avscan.exe, avupgsvc.exe

Avira AntiVirus

avwsc.exe, AvastSvc.exe, ashUpd.exe, AvastUI.exe

avast!

shstat.exe, Mctray.exe, UdaterUI.exe

McAfee

msseces.exe

MSE

egui.exe, ekrn.exe

ESET NOD32

ccSvcHst.exe, Navw32.exe

Symantec Norton

updatesrv.exe, vsserv.exe, seccenter.exe, bdagent.exe, bdreinit.exe

BitDefender

avgam.exe, avgemc.exe, avgnsx.exe, avgrsx.exe, avgfrw.exe, avgwdsvc.exe, avgupd.exe

AVG

PCOTP.exe

넥슨 OTP

 

 

프로세스명

프로그램명

gamehi.co.kr

게임하이

hangame.com, id.hangame.com

한게임

laspoker.exe

한게임 라스베가스포커

duelpoker.exe

한게임 맞포커

hoola3.exe

한게임 파티훌라

highlow2.exe

한게임 하이로우

poker7.exe

한게임 7포커

baduki.exe

한게임 로우바둑이

ExLauncher.exe, TERA.exe, tera.hangame.com

테라

netmarble.net

넷마블

pmang.com

피망

ff2client.exe, fifaonline.pmang.com

피파 온라인2

Raycity.exe

레이시티

www.nexon.com, login.nexon.com

넥슨

df.nexon.com, dnf.exe

던전 앤 파이터

DragonNest.exe, dragonnest.nexon.com

드래곤 네스트

baramt.exe, WinBaram.exe, baram.nexon.com

바람의 나라

mabinogi.nexon.com, heroes.nexon.com, heroes.exe

마비노기 영웅전

MapleStory.exe, maplestory.nexon.com

메이플 스토리

x2.exe, elsword.nexon.com

엘소드

dk.halgame.com, dkonline.exe

DK 온라인

clubaudition.ndolfin.com

클럽 오디션

www.capogames.net, samwinfo.capogames.net

삼국지w

fairyclient.exe

로한

plaync.co.kr

엔씨소프트

bns.plaync.com

블레이드 & 소울

lin.bin

리니지

AION.bin, aion.plaync.jp

아이온

kr.battle.net

블리자드 배틀넷

wow.exe

월드 오브 워크래프트

Diablo III.exe

디아블로III

 

사이트 주소

사이트 이름

www.booknlife.com

북앤라이프

www.cultureland.co.kr

컬쳐랜드

www.happymoney.co.kr

해피머니

www.teencach.co.kr

틴캐시

auth.siren24.com

신용정보 조회

itemmania.com

아이템 매니아

www.itembay.com

아이템 베이

 

* URL의 경우는 브라우저 상에서 BHO (Browser Helper Object)로 등록이 되어 모니터링을 하다가 해당 URL로 주소가 입력이 되거나 접속이 될 경우에 html 내용을 변조 하거나 계정에 관련된 키 입력값을 빼내도록 제작되었습니다.

 

차단 권고 대역

 

아래 영역은 이미 공격자가 권한을 통제하고 있는 IP대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재 활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각 기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다. 악성링크에 이용 되는 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해 강력한 차단을 유지하실 것을 권고 합니다.

 

  • 기술 분석 보고서에는 별도의 차단 대역들을 제공하고 있으므로 참고하시기 바라며, 사안별로 모니터링 및 차단에 적극 활용 바랍니다.
  • 국내 통신사의 경우 C Class가 아닌 직접 IP를 등록 하였으며 이미 공격자가 권한을 가진 상태에서 악성코드 유포 경로로 직접 활용하고 있는 상태여서 제한적인 차단이 필요하며, 업무와 연관성이 있는지 여부는 각 기업 및 기관에서 잘 판단 하셔서 차단에 활용하시기 바랍니다. 9월 4주차부터 차단 권고 대역은 최근 1~2개월을 기준으로 전달 드리도록 하겠습니다. 이전의 차단 목록이 필요한 기업 및 기관은 info@bitscan.co.kr 로 요청해 주십시요.

 

- 205.209.139.152, DSCS Pacific Star, LLC, USA 11/5

 예시 한 곳 이외에 생략

 

악성코드 감염 이후 접속 URL - 차단 및 모니터링 필요한 부분

 

본 내용은 악성코드가 PC에 감염된 이후에 외부로 연결 시도를 하고 명령을 받는 주소들입니다. 즉 C&C 연결 을 시도하는 봇넷과 같은 개념으로 볼 수 있습니다. C&C 서버의 차단과 관련된 핵심적인 내용입니다. 차후 별도 차단 서비스를 기획하고 있으며 해당 내용은 별도 서비스 확산 시에 보고서 상에서만 일부 제공될 예정입니다. 실험적으로 Outbound 연결 시에 Destination IP가 본 URL일 경우는 100% 좀비 PC및 백도어, 루트킷 등에 감염된 것이므로 직접 내부망에서 감염된 좀비 PC를 찾아내는 것이 가능해 집니다. 기술 분석 보고서 내에는 추가적인 차단 정보들이 존재함으로 확인 하시고 적용 하시는 것이 필요합니다.

 

※ 특정 URL로 접속하여 추가 명령 대기

ddd.iamallama.com(Port:90)

 

※ 사용자 PC에서 획득한 정보를 유출

생략

※ 추가로 악성 파일을 다운로드

생략

 

* 붉은색으로 선택된 도메인들은 모두 현재 다수가 국내 환경에 뿌려져 있는 다운로더 및 C&C 서버로 이용되는 파일 및 도메인들입니다. 해당 도메인은 불시에 활성화 되어 추가적인 피해가 계속 될 수 있으므로 본 메일을 받으시는 기관 및 기업에서는 그에 맞는 대응을 하시기 바랍니다. 기업은 해당 도메인으로 접속하는 PC가 있을 경우 이미 좀비 PC화가 되었으므로 절차에 맞게 처리를 하시면 되고 국가기관 차원에서는 차단 정책을 즉시 수행 하여야 할 것으로 보입니다.

 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 금주의 총평으로는 광고 서버 해킹으로 악성코드 유포이슈, 대형 인터넷 서점 악성코드 유포상황, 거의 대부분의 외부 연결을 시도하는 악성코드들 대부분이 C&C 서버와 연결하여 금융을 포함한 개인정보를 유출하는 상황을 꼽을 수 있습니다. 향후 대형사고가 일어날 것 같은 하인리히의 법칙에서 의미하는 위험시그널 수치는 계속 증가 중입니다. 민감한 시기입니다. 적극적인 대응과 노력으로 피해를 예방해야 합니다. MalwareNet의 활용과 위험에 대해 계속 언급 하였습니다. 그리고 지금 관찰되는 상태는 최종 악성코드의 성격과 범위 모두 일정 수준의 임계치를 넘은 상황입니다.

 

2년 이상을 온라인상에서 꾸준히 공격을 시도하고 있는 공격자들을 모니터링 한 결과에 따르면 공격기법과 기술은 한 주가 다르게 변화하고 진화하고 있습니다. 그 반면에 대응 기술 측면에서는 발전은 지지부진함을 보이고 있습니다. 공격은 적극적인 유포망 확대, 감염 기술의 고도화, 최고 공격기법들의 즉시적인 실전투입으로 귀결이 됩니다.

 

협력

 

빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

감사합니다.

 

  • 본 정보제공 서비스는 공개, 재 배포 금지(내부에서만 활용), 비영리 목적으로만 활용 가능합니다. 공익적인 목적으로 기관에 제공되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.
  • 시범 서비스는 순차적으로 1개월 경과 시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.
  • 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/담당자/연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.
  • 본 서비스의 권리는 빛스캔에 있으므로 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.
  • 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre-Crime Detect System)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.


Posted by 바다란

댓글을 달아 주세요

 

[빛스캔+KAIST] 11월 4주차 브리핑

 

빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 11월 4주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS (사전범죄탐지체계, Pre-Crime Detect System)의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다. 본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.

 

    1.    악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

    2.    악성링크가 공격에 활용에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 – 패치

    3.    내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

 

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.

 

Summary

 

11월 4주차의 특징은 웹사이트 관리자들이 있는데도 불구하고 공격자들은 주말이고 주중이고 가리지 않고 공격을 하고 있다는 것입니다. 이것은 무엇을 뜻하는 것일까요? 공격자들은 더 이상 서비스 관리자들을 개의치 않고 공격을 한다는 의미입니다. 점점 공격자들의 공격은 노골적으로 변하고 있습니다. 현재 대한민국의 사이버 세상은 그야말로 수면 아래의 거대 빙산이 외부로 모습을 드러내기 직전의 모습을 하고 있습니다. 머지않아 수면위의 작은 덩어리들만 보셨던 많은 분들은 수면 아래의 거대한 움직임을 직접 목격하게 되실 것으로 보입니다.

 

<금주 주중공격 및 일요일 공격 증가>

 

11월 4주차의 특징은 11월 3주차보다 다운로더의 수가 2배 가까이 증가하였고 분산서비스거부공격(DDoS, Distributed Denial of Service attack)에 활용되는 봇 에이전트 수도 2배 증가한 상태를 보이고 있어서 지금 당장의 위험 처리에 신경을 써야 할 것입니다. 다운로더의 급증은 새로운 악성코드들을 계속해서 설치하고 언제든 목적에 맞는 악성파일 및 명령을 내릴 수 있는 상태가 증가 함을 의미 합니다.

 

<금주 의심스러운 다운로드 급증>

 

11월 3주차 브리핑에서 언급하였듯이 금주차에도 유형에 존재하는 트로이목마는 현재 정상 은행 URL을 입력할 경우에도 시스템상에서 URL에 해당하는 IP를 변경하여 피싱사이트로 접속하도록 하며 사용자의 금융정보를 탈취하기 위한 목적의 악성코드입니다. 본 보고서지면을 통해 오래전부터 게임계정 탈취 유형의 악성코드가 다른 기능으로 변경하고 있음을 알려드린바 있습니다. 자세한 사항은 11월 3주차 브리핑을 확인하시기 바랍니다.

  • 민감한 이슈가 기술된 부분은 브리핑에서 생략합니다.

금주 차의 또 하나의 특징으로 금주에는 걸그룹으로 유명한 포미닛 홈페이지 및 소속사(큐브엔터테인먼트) 홈페이지에서 악성코드를 유포하는 정황이 탐지 되었습니다.

큐브엔터테인먼트(CUBE Entertainment)는 2008년 4월 설립되었으며, 그 이후로 포미닛, 비스트, 마리오, 에이핑크, 허각 등의 아티스트를 배출하였습니다. 특히 포미닛중에 현아는 역대 유투브 조회수 1위인 싸이 강남스타일에 출현하여 국제적 관심이 높은 상태에 있습니다. 이러한 큐브엔터테인먼트에서 약 5개월간 악성코드를 꾸준히 유포하고 있는 것이 현실입니다. 약 5개월전 MS 취약점인 CVE-2012-1889 제로데이 공격이 국내에 이용되었을 때 언급하였지만 근본적인 웹 사이트 취약점이 개선되지 않은 관계로 계속해서 문제가 발생 되고 있음을 알 수있습니다. 근본원인의 제거 없이는 계속 반복될 뿐입니다.

<큐브엔터테인먼트 약 5개월간 악성코드 유포 정황 포착>

 

<포미닛 2주간 악성코드 유포 정황 포착>

 

지금까지 악성링크의 유포 이력들은 꾸준히 관리 되고 있으며, 포미닛과 큐브엔터테인먼트의 홈페이지를 통해 모든 방문자들에게 감염 시도를 하도록 한 악성링크의 히스토리는 다음과 같습니다.

각 악성링크들은 출현 시점 당시에 가장 효과가 좋은 다중 취약성 (IE, Flash, Java) 을 이용하여 감염시도를 하였으며 그 결과는 최소 60% 이상의 모든 방문자들은 위험한 상태에 있다는 것을 의미 합니다.

time     malware link

2012년 06월 02일 05시경    xxx.245.76.220/pic/xxx.js

2012년 06월 03일 18시경    xxx.46.80.88/pic/xxxx.js

2012년 06월 17일 00시경    xxx.117.120.44/pic/xxxx.js

2012년 06월 20일 00시경    xxx.164.6.5/pic/img.js

2012년 06월 23일 00시경    xxx.164.25.130/pic/img.js

2012년 06월 23일 13시경    xxx.164.25.132/pic/img.js

2012년 06월 23일 16시경    xxx.73.156.66/pic/img.js

2012년 06월 25일 00시경    www.xxxadx.com/p.js

2012년 06월 30일 01시경    xxx.245.76.195/pic/img.js

2012년 06월 30일 10시경    xxx.245.76.197/pic/img.js

2012년 06월 30일 16시경    xxx.73.158.210/pic/img.js

2012년 11월 17일 01시경    xxx.16.193.24/home/rtf.js

2012년 11월 17일 15시경    xxx.209.163.163/home/rtf.js

2012년 11월 17일 17시경    xxx.209.138.88/home/rtf.js

2012년 11월 17일 20시경    xxx.77.43.173/home/rtf.js

2012년 11월 18일 01시경    xxx.209.157.102/home/rtf.js

2012년 11월 18일 23시경    xxx.77.44.202/home/rtf.js

2012년 11월 24일 10시경    xxx.13.71.4/tech/link.js

2012년 11월 24일 16시경    xxx.77.47.236/tech/link.js

2012년 11월 24일 20시경    xxx.77.46.254/tech/link.js

2012년 11월 24일 22시경    xxx.209.148.99/tech/link.js

2012년 11월 25일 09시경    xxx.209.149.17/tech/link.js

2012년 11월 25일 13시경    xxx.16.192.139/tech/link.js

2012년 11월 25일 16시경    xxx.209.139.111/tech/link.js

2012년 11월 25일 18시경    xxx.13.65.9/tech/link.js

2012년 11월 26일 16시경    xxx.77.40.204/tech/link.js

<큐브엔터테인먼트 웹사이트에 삽입된 악성링크 변화내역 추적도>

 

2012년 11월 17일 14시경    xxx.209.163.163/home/rtf.js

2012년 11월 17일 17시경    xxx.209.138.88/home/rtf.js

2012년 11월 17일 20시경    xxx.77.43.173/home/rtf.js

2012년 11월 18일 00시경    xxx.209.157.102/home/rtf.js

2012년 11월 18일 23시경    xxx.77.44.202/home/rtf.js

2012년 11월 25일 16시경    xxx.16.193.24/home/rtf.js

<포미닛 웹사이트 웹사이트에 삽입된 악성링크 변화내역 추적도>

 

공격자들은 모든 내용을 지켜보고 있습니다. 악성링크가 들어가있던 날짜를 보면 6월 말경 CVE-2012-1889의 기사화에 해당 사이트들이 언급된 이후 큐브엔터테인먼트에 악성링크를 삽입하지 않았습니다. 그러나 관찰하는 기업과 기관의 주의가 떨어질 때 쯤인 4달 후 다시 악성링크가 삽입된 것을 확인 할 수 있습니다. 결론적으로 공격자는 큐브엔터테인먼트의 서버 권한을 모두 가지고 있지만 기사화를 하였기 에 세간의 관심이 사라지기를 기다렸다 다시 공격에 이용하는 형태를 보이고 있습니다. 근본적인 문제원인 제거가 되지 않았기에 언제든 활용할 수 있는 상태를 유지 하였음을 의미합니다.

 

금주차 주말의 공격동향을 살펴보면 악성링크의 변화가 굉장히 심한 양상을 보이고 있습니다. 빛스캔에서도 공격자들의 악성링크 변화주기가 점점 짧아지고 있어서 최종 파일의 획득에 어려움이 있는 상황이 종종 발생되고 있습니다. 탐지의 회피와 효과의 지속이라는 측면에서 공격자들의 움직임을 예의 주시할 필요가 있습니다. 다른 모든 대상이 되는 웹서비스들도 언제든 빠른 공격주기의 대상이 되는 동일한 상황에 놓여질 수 있기 때문입니다.

 

11월 1주차부터 언급한 악성링크의 기본적인 초기 구성도 정보공개 이후 여러 보안제품들에서 탐지 루틴들을 활용하는 것으로 예상이 되고 있으며 그 결과 계속 변화가 발생 되고 있는 것을 확인 할 수 있습니다. 당장 차주의 변화를 예측하기 어려울 정도로 변화가 심한 상태입니다. 공격기법과 기술을 관찰한지 1년 8개월동안 /pic/img.js 이름으로 최초 악성링크를 활용하였습니다만 이것을 /home/rtf.js로 변경하였고 금주에는 tech/link.js로 변경 된 것을 확인할 수 있습니다. 그만큼 자신들의 공격 전략이 주간보고서 공개로 인해 국내에 노출되었기에 지속적으로 변경하는 것으로 판단 됩니다.

 

국내 웹 서버 공격 이후에 방문자들 브라우저 공격에 이용되는 Gong Da Exploit Kit 입니다. 이 도구는 한국 인터넷을 양방향으로 공격하는데 이용되고 있습니다. 한 쪽으로는 다수 좀비 PC감염을 시키고 다른 한쪽으로는 감염 PC를 이용한 정보유출 및 공격을 하고 있습니다. 실제로 국내 인터넷 사용자의 브라우저 및 PC를 직접 공격하는데 다수 이용이 되고 있는 공격도구입니다.

 

<Gong Da Exploit Kit - V1.2 diagram>

 

이것 이외에도 서비스 자체를 공격하기 위한 패턴 및 공격도구들 모두 자동화된 것으로 보이며 현재의 이미지는 어도비 신규 플래쉬 취약성(CVE-2012-1535) 업데이트가 예정된 이미지를 도식화 한 것입니다. 해당 Exploit kit은 11월 3주차에 Java 취약성(CVE-2012-5076)을 업데이트 하여 공격에 직접 이용을 하였습니다. 일반 사용자들이 소흘하기 쉬운 Java와 Flash 같은 써드파티 어플리케이션에 대한 공격은 이토록 치밀하고 상세하게 진행이 되고 있습니다.

 

2012년 8월 31일 23시경, CVE-2012-1535를 활용하기 위한 테스트(주석처리)

2012년 9월 6일 14시경, CVE-2012-1535 활용 공격

2012년 11월 30일 18시경, CVE-2012-1535 활용 대규모 공격 예상

<빛스캔 주간 동향보고서에서 예상된 공격동향 내용>

 

빛스캔 PCDS 조사 내역에 따르면 8월 5주차에 처음으로 신규 플래쉬 취약점을 활용하기 위한 공격 코드가 발견 되었습니다. 해당 취약점성은 주석처리가 되어 공격에 이용되지 않았습니다만 바로 다음주인 9월 1주차에 공격에 직접적으로 활용되었습니다. 이번 Gong Da Exploit Kit에 실리게 되는 것은 클릭 한 번에 7가지 취약성을(플래시, MS 취약성 뿐만 아니라 자바 취약성까지) 사용하여 평균 60% 이상인 공격 성공률을 더 높이는데 활용이 될 것입니다. 악성링크가 자유자재로 주요 웹서비스들에 추가 되는 상황과 해당 악성링크들은 최대 7가지 이상의 최신 취약성을 자유자재로 활용하여 모든 방문자 PC를 공격하여 권한을 획득하는 현재의 상황은 지켜보는 입장에서는 아수라장에 가까운 상황입니다.

현재 빛스캔에서 탐지하는 유형은 단순히 이메일을 통한 타켓형 APT가 아닌 웹서비스를 방문하는 모든 방문자를 대상으로 한 대규모 유포이며, 확산도가 높아서 위험성이 높은 상태입니다. 따라서 기업/기관별로 인터넷 접근시에 많은 보호대책을 적극 반영 하여 대응을 하셔야 할 것으로 보입니다. 기존 악성코드들의 분석 결과도 단순 게임계정 탈취에서 계속 변화하는 형태를 보이고 있어 앞으로의 변화를 가늠하기 어려운 상황입니다. 이미 농협의 사례를 통해 APT나 내부망을 공격 하는 악성코드가 가진 위험성과 파괴력은 충분히 경험을 한 상태이므로 현재 웹서비스를 통해 감염시도를 하는 악성코드 자체의 위험성은 높은 수준이라 할 수 있습니다.

 

금주 공격의 특징을 정리하면 다음과 같습니다.

  • 9월 4주차, 10월 2주차, 11월 1주차, 11월 3주차 이후 또다시 DDoS 공격 수행 악성코드 유포
  • 인터넷뱅킹시 정상 URL에 해당하는 IP를 변조하여 피싱사이트로 연결되는 악성코드 유포
  • XX경제 웹사이트 자체적으로 다단계유포망(MalwareNet)역할 수행 및 악성코드 유포
  • 국내 유명 걸그룹 포미닛 홈페이지와 소속사(큐브엔터테인먼트)에서 악성코드 유포
  • 플래쉬 취약점(CVE-2012-1535) 활용 대규모 공격 계속될 것으로 예상됨. 빠른 패치 필요
  • 8월 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가(감염된 좀비PC들을 활용한 추가 위험이 발생할 수 있는 상태)
  • APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속
  • MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 적극적 으로 이용됨 . 11월 2주차 본 보고서에서 설명 드렸던 xxxx.co.kr/xxx.js 다단계 유포망의 경우 11월 3주차 한국전자인증의 악성코드 유포 사례에 직접 이용된 내용입니다. 즉시적인 차단과 대응의 필요성을 잊지 말으셔야 합니다.
  • 3.4 및 7.7 DDos 형태와 유사성을 지니는 다운로더 발견 ( 긴장을 늦춰선 안되겠습니다. 당장이라도 발생 가능한 상황입니다. 1:29:300 하인리히의 법칙을 상기하시기 바랍니다. 이미 대형사고가 발생하기 위한 전제조건은 모두 갖추어진 상황입니다. )
  • 최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨
  • 백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속
  • 게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속
  • 백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨

 

* 사용자가 특정은행 접속시에 피싱 사이트로 유도하거나 HTML 내용을 변경하여 정보를 획득하는 형태의 악성코드들도 현재 다수 유포 되고 있는 온라인 게임 계정 탈취형 악성코드에 붙여진 부가기능이며 해당 기능들은 매우 적극적으로 이용이 되고 있습니다. 악성코드 확산을 통제할 수 있는 근본적인 대안과 대책들이 집중적으로 필요한 부분이라 할 수 있습니다.

 

* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5, 6월 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 예상대로 직접적인 ARP 스푸핑 공격코드 출현하였으므로 피해 발생이 예상되며, 지금까지 설명한 사항 모두 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용입니다.

 

MalwareNet ( 범위와 변화)

 

- MalwareNet: 공격자들이 공격효과를 높이고 탐지를 회피하기 위해 활용하고 있는 악성코드 유포 네트워크를 의미합니다. 일반적인 사이트에 악성링크를 직접 입력하는 것이 아닌 몇 단계를 거친 링크들을 입력하여 추적을 회피하고 악성코드 유포 효과를 극대화 하기 위해 사용되는 프레임을 MalwareNet으로 정의하고 있습니다. 즉, 단 한번 악성링크의 내용을 변경하면 최대 300에서 최소 10여 곳에 이르기까지 동시에 동일한 악성코드 유포가 발생되는 상황을 나타내고 있습니다.

 

본 정보제공 서비스에서는 MalwareNet의 특성상 대규모 피해가 상시적으로 발생될 수 있으므로 상위 리스트에 한해 부분 공개를 하고 있습니다.

 

MalwareNet을 통해 영향력을 가지는 악성링크들은 탐지 회피를 위해 비정기적이고 수시로 변경됩니다. 금주 차에서는 사후 대응으로는 탐지할 수 없는 형태인 MalwareNet의 활용 사례를 살펴 보겠습니다. 공격자의 의도에 의해 조종당하고 있는 현실에서 사후대응과 사전대응의 차이는 매우 큰 차이를 가질 수 밖에 없으며 , 선제적인 사전대응이 얼마나 중요한지 확인 할 수 있습니다. MalwareNet 자체를 여러 곳 활용하는 형태도 전주에 이어 계속 발견되고 있으며, 금주에는 www.xxxxyung.com/js/xxxxxx.js 이 적극적으로 이용이 되고 있는 상황입니다.

 

현재 시간에도 영향력을 유지하고 있으므로 대응이 필요하며 수시로 최종 악성코드들이 변경되고 있어서 탐지 및 대응에 어려움이 있을 것으로 판단됩니다. 최종 악성코드들에 대한 탐지율도 높지 않아 항상 위험에 노출 되어 있는 상태라 볼 수 있습니다. 단기간에 대규모 유포망 구축을 하는 형태가 끊임없이 관찰이 되고 있습니다. 주중에는 통계정보를 수집하고 간헐적으로 공격에도 이용 되고 있는 형태를 보이고 있습니다. 평상시에는 해당 링크가 존재하지 않다가 공격 시점에만 활성화되고 있는데 이 점은 공격자가 해당 서비스에 대한 완벽한 권한을 행사하고 있음을 의미 합니다. 단순한 링크 삭제로는 해결책이 되지 않음을 염두에 두어야 할 것입니다.

 

  • 브리핑 상에는 민감한 부분 생략 되었습니다.

위의 자료를 보면 공격자들은 최대한 자신들의 공격을 노출시키지 않으며 짧게 1 시간에서 3시간 가량만 유포하고 있는 것을 확인 할 수 있습니다. 또한 다단계유포망(MalwareNet)이므로 짧은시간동안 악성코드를 유포하여도 관련된 사이트가 많기 때문에 파급력은 매우 높습니다. xxxx 웹 사이트 특성상 관련된 모든 웹사이트에서 자체적으로 다단계유포망(MalwareNet)이 됩니다. 이것을 탐지하기는 매우 어려울 것으로 예상 됩니다. 탐지 시점을 맞춰야만 탐지가 가능한 상황이라 할 수 있습니다.

 

 

 

<금주 피싱 악성코드 유포 MalwareNet 구성도>

 

사용자의 의심을 피하기 위해 최종 악성파일의 경우 알시리즈 아이콘으로 위장한 사례도 금주에 발견 되었으며, 다양한 아이콘들을 신뢰도 있는 이미지를 차용함으로써 사용자를 속이는 사례가 계속 이어지고 있습니다. 최종 악성코드를 변경하는 시점은 백신회사에서 악성코드 샘플을 수집 후에 백신에 업데이트를 하는 시기입니다. 이를 보면 공격자들은 악성코드가 백신 회사에 탐지되지 않도록 비정기적이며 수시로 변경하는 것을 확인할 수 있습니다.

 

현재의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있습니다. 기본적인 문제를 해결할 수 있는 보안패치는 반드시 적용해야만 위험을 줄일 수 있으니 반드시 기관/ 기업 내부적으로 강력한 권고가 되어야 합니다. Oracle Java취약성, Adobe Flash 취약성, MS의 XML, Midi 및 IE 취약성이 복합적으로 사용되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

 

기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰되고 있어서 위험성이 높습니다. 또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하시기 바랍니다.

 

기술 분석 보고서에 전체 URL이 공개된 국내 사이트들은 악성링크로 직접 이용 되거나 최종 악성코드가 다운로드 된 곳들의 주소는 여과 없이 공개가 되고 있으니 참고하시고 금주 차에는 언론사 및 국내 기업, 기관들의 주소가 직접 기술 되어 있습니다.

 

기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있습니다. 현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 변화된 형태를 보이고 있으며 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 계속 되고 있습니다. – 8월 2주차부터 관찰된 변화는 금주 차에도 계속 강도가 높아지고 있어서 즉시적인 대응책이 지금 당장 필요합니다.

 

PCDS(Pre-Crime Detect System) 탐지 내역

 

PCDS 상에서는 최초 악성링크 탐지와 MalwareNet에 대한 추적, 최종 악성파일에 대한 수집까지 체계적으로 통합 운영이 되고 있습니다.

 

본 PCDS에 탐지된 내용을 바탕으로 하여 공격자들의 전략을 확인해 보면, 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있습니다. 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며, 때로는1시간에 한 번씩 최종 악성코드를 변경하는 지금의 상황에서 대응이 가능한 보안체계는 거의 없습니다. 백신은 백신만의 역할 부분이 있으며, 현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야 합니다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로, 대응적인 측면에서 한계를 보일 것으로 판단됩니다.

 

*생략

<빛스캔 PCDS를 활용한 금일에도 살아있는 악성링크를 통해 수집된 최종 악성코드 2012.11.28 16시경>

 

주중에도 7개의 악성링크에서 악성코드가 다운되고 있습니다. 또한 다단계유포망(MalwareNet)의 파급력은 36으로 굉장히 높습니다. 공격자들은 주중, 주말 가릴것없이 공격하고 있습니다. 마치 전성기시절의 징기스칸 같으며 거칠것이 없습니다.

 

* 최종 바이너리 수집의 경우 체크섬 값이 다르거나 변경이 되었을 때 수집이 되도록 되어 있으며 위의 항목은 빠르면 1시간 이내에도 최종 파일을 변경하는 형태를 직접 볼 수 있습니다. 이와 같은 악성코드들이 순식간에 수십여 곳의 서비스를 통해 즉시 감염을 시키고 있는 것이 현실입니다. 공격자들의 전술과 기동력은 타의추종을 불허합니다. 그 반면 대응은 어떤가요? 현재의 실상은 과연 어떨까요?

 

지금 분석되고 예상되는 모든 내용들은 지금 이 순간에도 발생하고 있는 현실입니다. 사건이 발생 된 이후에는 돌이키기 어렵듯이 사전 탐지와 사후 대응은 전혀 다른 범위입니다. 사전에 얼마나 대응을 하느냐가 가장 중요하며, 빠른 정보를 확보하여 대규모로 유포된 악성코드에 대응 할 수 있도록 사후대응 측면에서도 현재 수준 보다는 강도 높은 방안들이 절실히 요구됩니다.

 

게임 계정 탈취 및 백신 Kill, 게임 머니 및 아이템 거래 사이트 계정탈취 계속

 

* 본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6월 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다. 모든 기능은 BHO 관련된 공격에 연관 되어 있으며 해당 문제들은 이전 보고서에 첨부된 BHO 공격에 대한 전문분석 자료를 참고 하세요. ( 정식구독 기업/기관 대상)신규 가입 및 최근가입으로 인하여 전문분석 보고서를 받지 못한 곳들은 본 메일로 회신을 주시면 전달 드리겠습니다.

 

9월 1주차부터 신용정보 조회, 아이템 매니아, 아이템 베이 사이트까지 계정 탈취 기능이 추가 되었습니다. 신용정보 조회 사이트에서 자신의 신용정보를 검색하다가는 자신의 개인정보가 노출될 수도 있습니다. 또한 아이템 매니아, 아이템 베이 사이트는 온라인 게임 아이템 거래 사이트입니다. 게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있습니다. 돈이 되는 곳은 모두가 대상이 되어 있는 상태입니다. 다른 모든 기기와 장비들에서도 금전화가 가능한 순간부터 현재의 공격 수준은 그대로 확장이 될 것입니다. 아직은 때가 안되었을 뿐입니다. 그 때는 머지 않았습니다.

 

 

프로세스명

프로그램명

sgbider.exe, vcsvc.exe, vcsvcc.exe

바이러스체이서

NVCAgent.npc, Nsvmon.npc, Nsavsvc.npc, NVC.npc, NaverAgent.exe

네이버백신

V3sp.exe, V3svc.exe, V3up.exe, MUpdate2.exe, SgSvc.exe, Sgui.exe, SgRun.exe, InjectWinSockServiceV3.exe, V3Light.exe, V3LTray.exe, V3Lsvc.exe, V3LRun.exe

AhnLab V3

AhnLab V3 Lite

AhnLab SiteGuard

AYUpdSrv.aye, AYRTSrv.aye, SkyMon.exe, AYServiceNT.aye, AYupdate.aye, AyAgent.aye

알약 (ALYac)

avp.exe

Kaspersky

avgnt.exe, avcenter.exe, avguard.exe, avscan.exe, avupgsvc.exe

Avira AntiVirus

avwsc.exe, AvastSvc.exe, ashUpd.exe, AvastUI.exe

avast!

shstat.exe, Mctray.exe, UdaterUI.exe

McAfee

msseces.exe

MSE

egui.exe, ekrn.exe

ESET NOD32

ccSvcHst.exe, Navw32.exe

Symantec Norton

updatesrv.exe, vsserv.exe, seccenter.exe, bdagent.exe, bdreinit.exe

BitDefender

avgam.exe, avgemc.exe, avgnsx.exe, avgrsx.exe, avgfrw.exe, avgwdsvc.exe, avgupd.exe

AVG

PCOTP.exe

넥슨 OTP

 

 

프로세스명

프로그램명

gamehi.co.kr

게임하이

hangame.com, id.hangame.com

한게임

laspoker.exe

한게임 라스베가스포커

duelpoker.exe

한게임 맞포커

hoola3.exe

한게임 파티훌라

highlow2.exe

한게임 하이로우

poker7.exe

한게임 7포커

baduki.exe

한게임 로우바둑이

ExLauncher.exe, TERA.exe, tera.hangame.com

테라

netmarble.net

넷마블

pmang.com

피망

ff2client.exe, fifaonline.pmang.com

피파 온라인2

Raycity.exe

레이시티

www.nexon.com, login.nexon.com

넥슨

df.nexon.com, dnf.exe

던전 앤 파이터

DragonNest.exe, dragonnest.nexon.com

드래곤 네스트

baramt.exe, WinBaram.exe, baram.nexon.com

바람의 나라

mabinogi.nexon.com, heroes.nexon.com, heroes.exe

마비노기 영웅전

MapleStory.exe, maplestory.nexon.com

메이플 스토리

x2.exe, elsword.nexon.com

엘소드

dk.halgame.com, dkonline.exe

DK 온라인

clubaudition.ndolfin.com

클럽 오디션

www.capogames.net, samwinfo.capogames.net

삼국지w

fairyclient.exe

로한

plaync.co.kr

엔씨소프트

bns.plaync.com

블레이드 & 소울

lin.bin

리니지

AION.bin, aion.plaync.jp

아이온

kr.battle.net

블리자드 배틀넷

wow.exe

월드 오브 워크래프트

Diablo III.exe

디아블로III

 

 

 

사이트 주소

사이트 이름

www.booknlife.com

북앤라이프

www.cultureland.co.kr

컬쳐랜드

www.happymoney.co.kr

해피머니

www.teencach.co.kr

틴캐시

auth.siren24.com

신용정보 조회

itemmania.com

아이템 매니아

www.itembay.com

아이템 베이

 

* URL의 경우는 브라우저 상에서 BHO (Browser Helper Object)로 등록이 되어 모니터링을 하다가 해당 URL로 주소가 입력이 되거나 접속이 될 경우에 html 내용을 변조 하거나 계정에 관련된 키 입력값을 빼내도록 제작되었습니다.

 

차단 권고 대역

 

아래 영역은 이미 공격자가 권한을 통제하고 있는 IP대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재 활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각 기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다. 악성링크에 이용 되는 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해 강력한 차단을 유지하실 것을 권고 합니다.

 

  • 기술 분석 보고서에는 별도의 차단 대역들을 제공하고 있으므로 참고하시기 바라며, 사안별로 모니터링 및 차단에 적극 활용 바랍니다.
  • 국내 통신사의 경우 C Class가 아닌 직접 IP를 등록 하였으며 이미 공격자가 권한을 가진 상태에서 악성코드 유포 경로로 직접 활용하고 있는 상태여서 제한적인 차단이 필요하며, 업무와 연관성이 있는지 여부는 각 기업 및 기관에서 잘 판단 하셔서 차단에 활용하시기 바랍니다. 9월 4주차부터 차단 권고 대역은 최근 1~2개월을 기준으로 전달 드리도록 하겠습니다. 이전의 차단 목록이 필요한 기업 및 기관은 info@bitscan.co.kr 로 요청해 주 세요.

 

- 173.208.(147,247).X, WholeSale Internet, Inc, USA 11/4 한곳만 예시. 정식 보고서에는 다수 기술

 

악성코드 감염 이후 접속 URL - 차단 및 모니터링 필요한 부분

 

본 내용은 악성코드가 PC에 감염된 이후에 외부로 연결 시도를 하고 명령을 받는 주소들입니다. 즉 C&C 연결 을 시도하는 봇넷과 같은 개념으로 볼 수 있습니다. C&C 서버의 차단과 관련된 핵심적인 내용입니다. 차후 별도 차단 서비스를 기획하고 있으며 해당 내용은 별도 서비스 확산 시에 보고서 상에서만 일부 제공될 예정입니다. 실험적으로 Outbound 연결 시에 Destination IP가 본 URL일 경우는 100% 좀비 PC및 백도어, 루트킷 등에 감염된 것이므로 직접 내부망에서 감염된 좀비 PC를 찾아내는 것이 가능해 집니다. 기술 분석 보고서 내에는 추가적인 차단 정보들이 존재함으로 확인 하시고 적용 하시는 것이 필요합니다.

 

※ 특정 URL로 접속하여 추가 명령 대기

hxxp://koreanm.com (포트:2000) 한곳만 예시. 정식 보고서에는 수십여 곳 이상의 연결주소 기록

 

* 붉은색으로 선택된 도메인들은 모두 현재 다수가 국내 환경에 뿌려져 있는 다운로더 및 C&C 서버로 이용되는 파일 및 도메인들입니다. 해당 도메인은 불시에 활성화 되어 추가적인 피해가 계속 될 수 있으므로 본 메일을 받으시는 기관 및 기업에서는 그에 맞는 대응을 하시기 바랍니다. 기업은 해당 도메인으로 접속하는 PC가 있을 경우 이미 좀비 PC화가 되었으므로 절차에 맞게 처리를 하시면 되고 국가기관 차원에서는 차단 정책을 즉시 수행 하여야 할 것으로 보입니다.

 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 금주의 총평으로는 XX경제 웹사이트 자체적으로 다단계유포망(MalwareNet)화 되어 악성코드 대량 유포, 국내 유명 걸그룹 포미닛 홈페이지와 소속사(큐브엔터테인먼트)에서 악성코드 유포, 플래쉬 취약점(CVE-2012-1535) 활용 공격 예상, 거의 대부분의 외부 연결을 시도하는 악성코드들 대부분이 C&C 서버와 연결하는 형태를 꼽을 수 있습니다. 민감한 시기입니다. 적극적인 대응과 노력으로 피해를 예방해야 합니다. MalwareNet의 활용과 위험에 대해 계속 언급 하였습니다. 그리고 지금 관찰되는 상태는 최종 악성코드의 성격과 범위 모두 일정 수준의 임계치를 넘은 상황입니다.

 

2년 이상을 온라인상에서 꾸준히 공격을 시도하고 있는 공격자들을 모니터링 한 결과에 따르면 공격기법과 기술은 한 주가 다르게 변화하고 진화하고 있습니다. 그 반면에 대응 기술 측면에서는 발전은 지지부진함을 보이고 있습니다. 공격은 적극적인 유포망 확대, 감염 기술의 고도화, 최고 공격기법들의 즉시적인 실전투입으로 귀결이 됩니다.

 

발전적인 협력

 

빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

감사합니다.

 

  • 본 정보제공 서비스는 공개, 재 배포 금지(내부에서만 활용), 비영리 목적으로만 활용 가능합니다. 공익적인 목적으로 기관에 제공되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.
  • 시범 서비스는 순차적으로 1개월 경과 시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.
  • 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/담당자/연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.
  • 본 서비스의 권리는 빛스캔에 있으므로 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.
  • 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre-Crime Detect System)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.


Posted by 바다란

댓글을 달아 주세요

지금 한 회사가 문제가 아니라, 이 IT 서비스 분야 전체에 걸친 심각한 문제라는 점이다. 전자상거래가 차지하는 부분.. 그리고 테스트서버라는 부분도 문제이고 연동되어 있는 실제 스크린샷이 있는데도 손바닥으로 장대비를 가리는 형국


지금의 문제는 공인인증서 관리 업체 하나의 문제가 아니라 기반 체제의 문제점이라는 점이고 또 하나는 DMZ zone 에 위치한 서버가 권한 탈취를 당했다는 것은 심각한 상황이라는 것이다.


10월 하순부터 신규로 만들어진 악성링크가 소스코드 복사를 통해 들어가 있었다는 해명은 황당하기 그지 없다. 또한 구글은 내부에 포함된 악성링크를 가지고 판단 하는 체계가 아니며, Drive by download 즉 해당 웹 서비스에서 악성파일이 내려 올때에만 Alert을 하는 체제이다. 현재 다운로드 이벤트가 없는 비정상적인 링크를 대규모로 추적하는 곳은 세계적으로 빛스캔만이 유일한 곳이다.


변명을 하고 해명을 할 때가 아니라 전체의 안정을 위해 대단한 노력을 기울여야 할 시점인데도 불구하고...  


악성링크가 들어 있는 소스가 복사 되어 사용 되었기 때문에 문제가 없다는 것은 사기다.  그 악성링크는 유포 통로로서 이용이 된다. 즉 공격자가 수시로 내용을 채워 넣고 지우는 형태라서 꾸준히 추적을 못한 경우 정체를 알 수가 없다. 우린 이미 추적을 해오고 있었고 그 기록을 다 유지하고 있다.


방문 했을때의 스크린 샷을 보면 악성링크도 불려지는 것을 확인 할 수 있다. 그 이야기는 테스트(?) 서버라고 주장하는 것이 언제부터 연동 되었는지 알 수 없지만 이미 한참 이전 부터 악성코드 유포에 사용 되고 있었음을 의미한다. 


실제 데이터까지 다 있는 마당에 이제와서....무슨 궤변이던가?





위의 이미지는 악성링크가 들어 있는 시점에 한국전자인증을 방문하여 첫 페이지에서 불려지는 모든 링크를 체크한 부분의 이미지다.  테스트 서버라고 하면 왜 메인 웹서비스와 연동이 되어 있었는가?  또한 해당 악성링크는 이미 발견 당일에도 악성코드 유포 이슈가 감지된 악성링크인데 왜 영향이 없다고 하는가?


테스트 서버라고 하면 영향이 없다는 것은 말이 안되는 부분이며, 연결 되는 순간 영향력은 동일하다.  모든 방문자가 해당 회사를 어떤 방식으로든 방문 하게 되면 내부의 링크들은 그대로 다 불려진다. 10월 하순 부터 활성화된 악성링크는 11월 19일까지 계속해서 영향을 미치고 있었다.  


우린 대규모 유포망의 변화와 추적에만 신경을 쓰고 있었고 하위 유포 통로의 경우 매우 심각하거나 반복적인 이슈가 있을때에만 정보 제공 및 기사화를 통해 주의 환기를 시키는 정도 였으나 본 사안의 경우 심각성이 도를 넘어선 상태여서 강력한 개선과 점검을 통해 보완을 해야만 현재의 위기를 막을 수 있다고 언급한 부분들이다.


연결된 화면과 변화된 내역을 모두 데이터로 가지고 있으며 최종 설치된 악성코드가 어떤 일을 하는지도 분석이 된 상황에서 지금도 아무런 영향과 피해가 없다고만 하는 것이 옳은 것인가에 대해서 고민해야 할 것이다.


인터넷은 연결 되어 있다. 그 한축이 무너지면 균형을 잃게 된다. 지금은 그 균형을 잃기 직전의 상황일 수도 있기에 문제제기를 하는 것이고 해당 악성링크의 역할과 위험성에 대해서 모른다면 앞으로 강력하게 컬럼 및 기사화를 통해 알릴 것이다. 


단순히 악성코드 유포가 기사화 되는 것에만 집중하지 말고 또 10월 말에 생성된 악성링크를 코드 복사 하다가 붙여 넣어졌다는 엄청나게 오해스러운 설명으로 덮으려고 하지 말아야 한다. 구글의 악성코드 감염 위험을 나타내는 Safebrowsing 화면은 좀 자세히 알고 해명에 올리길 바란다. 구글은 무조건 Drive by download 가 발생되면 내부의 악성링크와 관계 없이 위험성을 알리는 차원에서 세이프 브라우징에 등록된다.  즉 방문 했을때 이벤트가 발생 되어야 하고 그 이벤트 발생되어 내려온 파일이 위험성이 있을때 차단을 하는 것이다. 단순히 아무 영향이 없는 링크가 악성링크로 이용이 된다고 하여 차단을 하지는 않는다는 점이다.


그러므로 DMZ Zone 내의 서버가 공격당한 것은 사실이며, 공격자에 의해 악성코드 유포에 이용 되었다는 것은 치명적인 결과라 할 수 있을 것이다. 더군다나 공격자가 악성링크를 이용하여 악성코드 감염을 위한 숙주로 이용하는 것은 정말 마지막 단계에서나 버리는 수준에서 ( 노출이 되니..) 사용이 되는 기법이다.  권한 획득 하고 단지 악성코드 유포만을 할까?  농협도 악성코드로 인해 내부로 들어온 공격자들에 의해 전체가 중단 되었다. 그러나 이건 우연한 침입이 아니고 의도된 침입이 아닐까? 그리고 그 모든 일들이 완료 되어 장난삼아 악성코드 유포에 이용 한 것은 아닐까?


농락 당하는 것이 지금의 한국 인터넷 상황이다. 농락..


전체에 대한 확인이 필요할 것이다. 그것도 아주 강도 높은 수준의...


좀 더 상세한 내용과 설명이 필요한 부분들은 앞으로 계속 지적 할 것이다.  


http://deepers.net/archives/1357


데이터 및 우려하는 부분에 대한 내용은 컬럼에 상세하게 기술이 되어 있다.  변화되는 내용들에 대해서는 www.facebook.com/bitscan 에서 계속 갱신 되고 공유 될 것이다.


- 바다란



Posted by 바다란

댓글을 달아 주세요

 

[빛스캔+KAIST] 11 3주차 브리핑



 

 

한국 인터넷 위협분석 보고서(인터넷 금융의 뿌리가 흔들린다.)

 

빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 11 3주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS( Pre Crime Detect System )의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다. 본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.

 

         1.       악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

         2.       악성링크가 공격에 활용에 활용하는 주된 취약성에 대한 내부 보안 강화 정책패치

         3.       내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

 

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.

 

Summary

 

11 3주차의 가장 큰 이슈는 금융기관에 대한 위협사례가 전체적으로 증가되었으며 의미심장한 사건과 이슈들이 발견 된점 입니다. 또한 국내 사용자 환경 공격을 위해 새롭게 이용되는 Java 공격코드가 발견 되었습니다. CVE-2012-5076 자바 취약성은 전문분석 보고서로 금주에 제공 됩니다. 금주의 의미심장한 이슈는 한국전자인증에서 악성코드를 유포한 것입니다. 그 유포의 경우에도 빛스캔에서 추적하고 있는 MalwareNet의 최종 말단 유포지로 이용되는 상황이 탐지 되었습니다.

국내 인터넷 환경은공인인증서라는 독자적인 보안인증 체계를 가지고 있으며, 이와 관련된 법에 따라 은행뿐만 아니라 증권, 보험, 세무, 국가 관련 계약 등 다양한 중요 업무에 인증서가 활용되고 있습니다.

공인인증서는 금융결제원 등 국내 5개 기관에서 발급 및 운영하고 있으며, 개인은 공인등록기관 및 대행기관에서 개인용 공인인증서를 발급받아 사용하거나 주거래 은행을 통해 발급받아 이용합니다.

 

한국전자인증주식회사는 1999 3월 출범한 국내 최초의 인증기관입니다. 1999 9월 세계 최대 인증기관인 베리사인과 제휴하여 국내 최초로 글로벌 인증 센터를 구축하고 세계적으로 통용되는 글로벌 인증서를 국내에서 유일하게 직접 발급하는 인증기관입니다. 이러한 한국전자인증 웹사이트가 해킹을 당해 악성코드 유포에 이용된 정황이 발견 되었습니다. 내부 중요서버와 연결되는 모든 업무가 온라인 상에서 연동되어 이루어지는 상황에서 웹서버에 대한 권한 장악은 내부망에 대한 침입도 가능한 상태라 할 수 있습니다. 농협의 뱅킹 마비의 시작도 악성코드로부터 시작이 된 것이지만 온라인상에서 다수의 업무가 연동되어 처리되는 인증서 관련된 내용은 더 심각하고 즉시적인 위협에 이미 노출된 상황이라 할 수 있을 것입니다. 금융기관들의 각별한 주의와 관계 당국의 전방위적인 노력이 필요한 상황입니다.


* 메인 웹서버와 연동 되는 테스트 서버는 주기능 전체에 영향을 미칩니다. 공격은 테스트 서버가 받아도 그 영향은 방문자 모두가 받습니다.  금주차는 보다 더 큰 위험 방지와 경각심을 위해 한국전자인증 관련된 MalwareNet의 추적 데이터를 모두 공개합니다. 문제를 개선하기 위해 적극적인 노력을 해야 하는 것이지 그 순간을 모면한다고 해서 위험이 사라지지 않습니다. 원인부터 단계별로 철저한 대응을 기대합니다.

 



<한국전자인증 악성코드 유포 정황 포착, 11 19일 오전 10시까지 대처 안돼>

 

또한, 당사의 빛스캔 PCDS에서 수집된 유포 URL에 대한 정보에 따르면, 최초 출현은 약 4주전인 10 26일이며, 지난 주까지 약 65(누적 포함)가 동일한 링크에 의해 악성링크 유포에 이용 당한 것으로 파악 되고 있습니다. 여기에 한국전자인증 웹사이트도 포합됩니다.  MalwareNet의 추적에만 집중을 하였으나 본 사안의 경우, 국내의 인터넷 환경 및 금융환경에 던지는 심각한 이슈가 있어서 별개로 집중을 하여 정보를 제공 드립니다.

 



<한국전자인증 정상링크에 삽입되어 있는 악성링크>

 

수년 전부터 현재까지 웹서버 해킹을 통한 공격은 주로 게임, 커뮤니티, 언론사 등과 같은 일반 사이트에 대한 공격이 주를 이루고 있었다. 이를 통해 키로거 등의 개인정보를 유출하는 악성코드를 설치하여 이를 이용하여 부가적인 수입을 거두는 형태로 진행되어 왔습니다.

최근에는 스마트폰 등을 활용하여 가짜 은행 페이지로 사용자를 유도하여 인증서 및 보안카드 정보를 빼내어 이를 통해 돈을 빼가는 피싱 공격이 대세를 이루고 있습니다.

이번 사고를 통해 공격자는 인증서를 발급 또는 갱신하는 사용자 조차도 악성코드 감염의 주대상이 되었다는점, 그리고 내부침투를 통해 인증서 자체를 해킹하여 빼내갈 수 있다는 가능성이 있다는 측면에서도 문제로 볼 수 있습니다.  매주 악성코드가 범람하는 상황에서 공인인증서를 발급 받는 곳 조차도 악성코드 유포에 이용 되고 있는 지금의 상황은 심각함을 이미 넘어선 단계가 아닐까 생각 됩니다.

 

참고로, 현재 악성코드 유포를 확인할 수 있는 방법으로는 구글의 스탑배드웨어가 있으며, 다음과 같이 크롬 브라우저로 접속시에 경고 메시지가 나타남을 확인할 수 있습니다. 구글의 경우 2억개 이상의 전 세계 도메인에 대해 Drive by Download 이벤트 발생 여부를 기준으로 하여 악성코드 유포에 이용 되는 최종 도메인들을 탐지하고 경고를 하고 있습니다. 그러나 국내 환경을 공격하는 공격자들의 경우 수시로 악성링크의 변경 및 악성파일의 변경을 하고 있어서 구글의 규모로도 탐지하기 어려운 부분들이 있습니다. 탐지가 느린 구글에서 조차도 등록된 상태는 변명할 수 없는 부분입니다.

 



<한국전자인증(crosscert.co.kr) 접속시 구글 스톱배드웨어에 차단된 상황>

 

악성코드 감염에 대한 진단 정보는 다음과 같다. 당사가 파악한 부분은 totime.co.kr (본 브리핑에서는 이 이슈에 관해 사안을 공개합니다.) 입니다.

 



<구글 스톱배드웨어에서 해당 도메인 상세 내용>

 

참고로, http://www.crosscert.com 11 19()까지는 구글 스탑배드웨어에서 경고 메시지가 나타났습니다. 구글의 경고메시지 이전에 본사에서 발견을 하고 관련 정보를 KISA에 제공을 하였습니다. 이후 KISA에서 한국전자인증에 연락을 취한 것으로 알고 있습니다. 현재 확인해 본 결과 악성링크는 삭제된 상태입니다.

 



<한국전자인증에 삽입된 악성링크 구조도- 공개>

 



<한국전자인증에 삽입된 악성링크(totime.co.kr/xxx.js) 변화내역 추적도>

 

11 2주차에 totime MalwareNet의 내역을 보여드렸듯이 한국전자인증에 삽입된 악성링크(totime.co.kr/xxx.js) 10 26() 20시경에 활동을 시작하였고 탐지를 회피할 목적으로 비정기적이며 수시적으로 악성링크를 변경하였습니다. 또한 심한 경우 악성링크를 2개까지 삽입한 경우도 2번이나 있는 것을 파악할 수 있습니다. 이렇게 악성링크를 자주 변경한다는 것은 이미 totime.co.kr의 서버권한은 공격자가 완벽하게 통제하는 상태에서 악성코드 유포에 이용하기 위해 지속적으로 이용하는 것을 의미합니다.  Totime.co.kr의 링크를 의심받지 않는 상태에서 꾸준히 정상적으로 보이는 웹사이트들의 소스코드에 추가를 하고 때가 되면 totime.co.kr의 링크에 최종으로 실행되는 악성링크를 계속 변경을 하고 있는 상황은 탐지를 회피하고 악성코드 감염 효과를 극대화 하려는 공격자들의 적극적인 유포 전술이라 할 수 있습니다. 위의 변화내역 추적도는 xxx.js 파일내에 추가되거나 변경된 내역을 지속적으로 추적한 내용들입니다


PCDS에서는 이와 같은 대규모 유통 채널의 심각성을 인지 하였기에 꾸준히 추적을 하고 있었으며 한국전자인증의 경우는 그 중의 하나인 단말일 뿐입니다. 악성코드 감염 확대를 위해 이용되는 최종 말단 숙주의 한 곳이 한국 인터넷의 금융부분의 큰 축인 공인인증서 관련된 핵심업체라는 점에 대해 탄식을 할 수 밖에 없는 상황입니다.  그만큼 국내는 심각한 수준을 넘어선 상태로 가고 있습니다.

 



<한국전자인증에 삽입된 다단계유포망(MalwareNet) totime.co.kr/xxx.js 활용 구조도>

 

위 그림에서 보듯이 한국전자인증에 들어가 있던 동일한 악성링크(totime.co.kr/xxx.js) 20여군데 다른 사이트에 들어가 있는 것을 확인할 수 있습니다. 이에 대한 자세한 내용은 다단계유포망(MalwareNet) 에서 살펴 보겠습니다.

 

11 3주차의 공격특징에는 루트킷과 추가적인 공격을 위한 다운로더, 트로이목마들의 발견이 급증한 상태를 보이고 있어서 지금 당장의 위험의 처리에 신경을 써야 할 것입니다.

 



<11 3주차 루트킷, 트로이목마 유형 유포와 다운로더의 수치 급증>

 

이 트로이목마의 유형은 정상 은행을 입력시에도 피싱사이트로 접속하여 추가 파일을 다운로드 할 수 있는 악성코드입니다.

 



<농협 정상 사이트>

 



<농협 피싱 사이트. 주소창에 보이는 도메인 주소 정상 사이트와 일치>

 

단순한 게임계정 탈취형태를 가진 악성코드가 올 하반기부터 지속적으로 변화되고 있음에 대해서는 기 전달드린 다수의 보고서 내용을 통해 언급 하였습니다만 그 기능중에서 가장 적극적으로 이용 되고 있는 기능이 사용자 PC의 권한 획득 이후 특정 은행 사이트를 방문할 경우 도메인 주소를 피싱사이트로 직접 연결 하여 정보를 유출하는 형태입니다. 일반인은 주소만으로 알아채기가 불가능합니다. 상당규모의 수치가 뿌려진 상태이므로 금융권 차원에서는 단순한 피싱 안내 이외에도 적극적은 대응 노력이 필요한 부분으로 판단됩니다.

 

최근 언론 상에 많이 나타나고 있는 은행권에 대한 host file 변조를 통한 피싱 악성코드는, 이미 지난 5, 6월 주간 동향 분석 및 기술 분석 보고서에서 언급했던 부분이며, 상당수의 악성코드가 유포되었을 것으로 추정됩니다. 국내 백신의 업데이트 주소를 변경하는 악성코드 역시 지속적으로 활용되고 있습니다. 피싱 사이트 화면의 경우 공격자들은 인터넷 뱅킹 정보를 수집하기 위해 금융정보 및 보안강화 서비스라는 창을 띄우고 사용자들을 유인하고 있으며, 도메인 주소 뿐 아니라, 웹 페이지의 구성까지 교묘하게 위장하고 있어, 일반 사용자들이 눈으로만 보아서는 피싱사이트로 판단하기가 어렵습니다. 또한 금융권 URL을 인지하고 피싱사이트로 연결되는 경우는 이미 시스템이 공격자의 악성코드에 의해 완벽하게 제어되고 있는 상황이며 기능적으로 정상도메인의 DNS 기록을 사전에 가로채어 표시를 함에 따라 주소창에 있는 도메인은 정상 도메인과 일치하기 때문에 시각적으로는 도저히 정상 사이트인지 피싱 사이트인지 분간할 수 없습니다. 다만 피싱사이트는 정상 사이트에 접속한 것보다 과도한 정보를 요구하며 특히 보안 승급을 해야 한다고 방문자들을 현혹 시키기에 주의하여야 합니다. 현재 금융권의 대규모 사용 방지의 수단은 오프라인 ( 보안카드 , OTP ) 보안수단만이 대형 사고를 막는 유일한 수단으로 남은 상태이므로 과도한 정보를 요구하는 경우 절대로 입력하지 않도록 주의가 필요합니다.

 

11 2주차에 언급했듯이, 1 8개월 동안 사용되어 오던 /pic/img.js 악성링크 구조를 /home/psd.js로 변경하였습니다. 또다시 금주에도 /home/rtf.js /cache/rtf.js로 변형된 형태가 관찰되었습니다. 공개되는 정보제공 서비스나 브리핑의 정보가 계속 관찰 되고 있는 것으로 판단됩니다. (계속해서 추적은 되고 있습니다. ^^)

 

<국내 IP와 ISP 생략>

탐지를 회피하기 위해 국내 사이트에 직접적으로 악성코드 유포에 사용되는 비율이 점차 높아지고 있습니다. 위 목록은 직접적으로 악성코드 유포에 사용된 국내 IP ISP 정리를 한 것입니다. 또한 탐지를 회피하기 위해 국내 사이트에 악성코드를 올려놓는 사례들이 늘어나고 있기에 주의가 필요합니다. 국내 사이트를 이용시에는 악성링크의 탐지 및 차단이 어려운 부분들이 있어서 공격자들의 국내 사이트를 이용한 공격 활용은 계속 증가하고 있는 상태입니다.

 

현재 빛스캔에서 탐지하는 유형은 단순히 이메일을 통한 타켓형 APT가 아닌 웹서비스를 방문하는 모든 방문자를 대상으로 한 대규모 유포이며, 확산도가 높아서 위험성이 높은 상태입니다. 따라서 기업/기관별로 인터넷 접근시에 많은 보호대책을 적극 반영 하여 대응을 하셔야 할 것으로 보입니다. 기존 악성코드들의 분석 결과도 단순 게임계정 탈취에서 계속 변화하는 형태를 보이고 있어 앞으로의 변화를 가늠하기 어려운 상황입니다. 이미 농협의 사례를 통해 APT나 내부망을 공격 하는 악성코드가 가진 위험성과 파괴력은 충분히 경험을 한 상태이므로 현재 웹서비스를 통해 감염시도를 하는 악성코드 자체의 위험성은 높은 수준이라 할 수 있습니다.

 


금주 공격의 특징을 정리하면 다음과 같습니다.

 

          9 4주차, 10 2주차, 11 1주차, 11 3주차 이후 또다시 DDoS 공격 수행 악성코드 유포

          공인인증업체인 한국전자인증 해킹 당해 방문자에게 악성코드 유포

          인터넷뱅킹 피싱 기능이 부가된 악성코드 대량 유포 (금융사고 빈번 할 것입니다.)

          악성코드 탐지 회피하기 위해 국내 사이트에 직접 악성코드 업로드 빈도 증가

          8 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속부가적인 위험 증가(감염된 좀비PC들을 활용한 추가 위험이 발생할 수 있는 상태)

          APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속

          MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 적극적 으로 이용됨 ( 전주 정식보고서에 언급드린 MalwareNet이 전자인증 해킹시에도 활용 되었습니다.)


          3.4 7.7 DDos 형태와 유사성을 지니는 다운로더 발견 (긴장을 늦춰선 안되겠습니다. 당장이라도 발생 가능한 상황입니다. 1:29:300 하인리히의 법칙을 상기하시기 바랍니다. 이미 대형사고가 발생하기 위한 전제조건은 모두 갖추어진 상황입니다. )


          최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨

          백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속

          게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속

          백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨

 

* 사용자가 특정은행 접속시에 피싱 사이트로 유도하거나 HTML 내용을 변경하여 정보를 획득하는 형태의 악성코드들도 현재 다수 유포 되고 있는 온라인 게임 계정 탈취형 악성코드에 붙여진 부가기능이며 해당 기능들은 매우 적극적으로 이용이 되고 있습니다. 악성코드 확산을 통제할 수 있는 근본적인 대안과 대책들이 집중적으로 필요한 부분이라 할 수 있습니다. 몇 개월째 지속해서 알려드린 이 부분은 대규모 유포가 발생 됨에 따라 위험성은 실제화된 상황입니다.

 

* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5, 6월 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 예상대로 직접적인 ARP 스푸핑 공격코드 출현하였으므로 피해 발생이 예상되며, 지금까지 설명한 사항 모두 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용입니다.

 

MalwareNet ( 범위와 변화)

 

- MalwareNet: 공격자들이 공격효과를 높이고 탐지를 회피하기 위해 활용하고 있는 악성코드 유포 네트워크를 의미합니다. 일반적인 사이트에 악성링크를 직접 입력하는 것이 아닌 몇 단계를 거친 링크들을 입력하여 추적을 회피하고 악성코드 유포 효과를 극대화 하기 위해 사용되는 프레임을 MalwareNet으로 정의하고 있습니다. , 단 한번 악성링크의 내용을 변경하면 최대 300에서 최소 10여 곳에 이르기까지 동시에 동일한 악성코드 유포가 발생되는 상황을 나타내고 있습니다.

 

본 정보제공 서비스에서는 MalwareNet의 특성상 대규모 피해가 상시적으로 발생될 수 있으므로 상위 리스트에 한해 부분 공개를 하고 있습니다.

 


* 본 브리핑에서는 생략합니다.


*PCDS Impact Factor는 내부 수집된 체계에서 전파 범위를 고려한 내부 위험지수이며 MalwareNet의 추적과 영향도 추적을 위해 활용되는 수치입니다. 높을수록 은밀하면서도 파급력이 높은 상태라는 점을 의미하고 있습니다.

 

현재의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있습니다. 기본적인 문제를 해결할 수 있는 보안패치는 반드시 적용해야만 위험을 줄일 수 있으니 반드시 기관/ 기업 내부적으로 강력한 권고가 되어야 합니다. Oracle Java취약성, Adobe Flash 취약성, MS XML, Midi IE 취약성이 복합적으로 사용되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

 

기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰되고 있어서 위험성이 높습니다. 또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하시기 바랍니다.

 

기술 분석 보고서에 전체 URL이 공개된 국내 사이트들은 악성링크로 직접 이용 되거나 최종 악성코드가 다운로드 된 곳들의 주소는 여과 없이 공개가 되고 있으니 참고하시고 금주 차에는 언론사 및 국내 기업, 기관들의 주소가 직접 기술 되어 있습니다.

 

기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있습니다. 현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 변화된 형태를 보이고 있으며 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 계속 되고 있습니다. – 8 2주차 부터 관찰된 변화는 금주 차에도 계속 강도가 높아지고 있어서 즉시적인 대응책이 지금 당장 필요합니다.

 

PCDS(Pre-Crime Detect System) 탐지 내역

 

PCDS 상에서는 최초 악성링크 탐지와 MalwareNet에 대한 추적, 최종 악성파일에 대한 수집까지 체계적으로 통합 운영이 되고 있습니다.

 

PCDS에 탐지된 내용을 바탕으로 하여 공격자들의 전략을 확인해 보면, 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있습니다. 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며, 때로는1시간에 한 번씩 최종 악성코드를 변경하는 지금의 상황에서 대응이 가능한 보안체계는 거의 없습니다. 백신은 백신만의 역할 부분이 있으며, 현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야 합니다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로, 대응적인 측면에서 한계를 보일 것으로 판단됩니다.

 



< MalwareNet totime.co.kr/xxx.js 최종악성코드 변화내역 추적도>

 

한국전자인증에 삽입되었던 악성링크(totime.co.kr/xxx.js)에서 최종 다운로드되는 악성코드 내역입니다. 보는 것과 같이 총 5번 변화가 되었습니다. 악성코드가 백신에 탐지를 회피하기 위해  비정기적이며 수시로 악성코드를 변경합니다. PCDS의 경우 바이너리의 최종 해쉬값이 다를 경우 모두 수집이 되고 있습니다.

 



<VirusTotal에서 악성코드를 진단한 내역 - 국내 제품 모두 우회>

 

최종 유포단계에 있는 악성파일의 경우 백신 프로그램의 탐지여부를 진단한 결과는 국내에서 자주 쓰이는 제품을 모두 우회하고 있는 것을 볼 수 있습니다. 참고로, 24 ~ 48시간이 지난 후에는 대부분의 백신이 진단하지만, 이미 공격자는 다른 악성코드로 변경하기 때문에 사실상 대응 효과는 미미한 상태이며 공격자가 유포한 악성코드의 영향력은 계속 되는 상태가 유지되고 있습니다.

 

* 최종 바이너리 수집의 경우 체크섬 값이 다르거나 변경이 되었을 때 수집이 되도록 되어 있으며 위의 항목은 빠르면 1시간 이내에도 최종 파일을 변경하는 형태를 직접 볼 수 있습니다. 이와 같은 악성코드들이 순식간에 수십여 곳의 서비스를 통해 즉시 감염을 시키고 있는 것이 현실입니다. 공격자들의 전술과 기동력은 타의추종을 불허합니다. 그 반면 대응은 어떤가요? 현재의 실상은 과연 어떨까요?

 

지금 분석되고 예상되는 모든 내용들은 지금 이 순간에도 발생하고 있는 현실입니다. 사건이 발생 된 이후에는 돌이키기 어렵듯이 사전 탐지와 사후 대응은 전혀 다른 범위입니다. 사전에 얼마나 대응을 하느냐가 가장 중요하며, 빠른 정보를 확보하여 대규모로 유포된 악성코드에 대응 할 수 있도록 사후대응 측면에서도 현재 수준 보다는 강도 높은 방안들이 절실히 요구됩니다.

 


게임 계정 탈취 및 백신 Kill, 게임 머니 및 아이템 거래 사이트 계정탈취 계속


 

본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다모든 기능은 BHO 관련된 공격에 연관 되어 있으며 해당 문제들은 이전 보고서에 첨부된 BHO 공격에 대한 전문분석 자료를 참고 하세요. ( 정식구독 기업/기관 대상)신규 가입 및 최근가입으로 인하여 전문분석 보고서를 받지 못한 곳들은 본 메일로 회신을 주시면 전달 드리겠습니다.

 

9 1주차부터 신용정보 조회, 아이템 매니아, 아이템 베이 사이트까지 계정 탈취 기능이 추가 되었습니다. 신용정보 조회 사이트에서 자신의 신용정보를 검색하다가는 자신의 개인정보가 노출될 수도 있습니다. 또한 아이템 매니아, 아이템 베이 사이트는 온라인 게임 아이템 거래 사이트입니다. 게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있습니다돈이 되는 곳은 모두가 대상이 되어 있는 상태입니다. 다른 모든 기기와 장비들에서도 금전화가 가능한 순간부터 현재의 공격 수준은 그대로 확장이 될 것입니다. 아직은 때가 안되었을 뿐입니다. 그 때는 머지 않았습니다.

 

          백신 무력화

 

프로세스명

프로그램명

sgbider.exe, vcsvc.exe, vcsvcc.exe

바이러스체이서

NVCAgent.npc, Nsvmon.npc, Nsavsvc.npc, NVC.npc, NaverAgent.exe

네이버백신

V3sp.exe, V3svc.exe, V3up.exe, MUpdate2.exe, SgSvc.exe, Sgui.exe, SgRun.exe, InjectWinSockServiceV3.exe, V3Light.exe, V3LTray.exe, V3Lsvc.exe, V3LRun.exe

AhnLab V3

AhnLab V3 Lite

AhnLab SiteGuard

AYUpdSrv.aye, AYRTSrv.aye, SkyMon.exe, AYServiceNT.aye, AYupdate.aye, AyAgent.aye

알약 (ALYac)

avp.exe

Kaspersky

avgnt.exe, avcenter.exe, avguard.exe, avscan.exe, avupgsvc.exe

Avira AntiVirus

avwsc.exe, AvastSvc.exe, ashUpd.exe, AvastUI.exe

avast!

shstat.exe, Mctray.exe, UdaterUI.exe

McAfee

msseces.exe

MSE

egui.exe, ekrn.exe

ESET NOD32

ccSvcHst.exe, Navw32.exe

Symantec Norton

updatesrv.exe, vsserv.exe, seccenter.exe, bdagent.exe, bdreinit.exe

BitDefender

avgam.exe, avgemc.exe, avgnsx.exe, avgrsx.exe, avgfrw.exe, avgwdsvc.exe, avgupd.exe

AVG

PCOTP.exe

넥슨 OTP

 

          게임 계정 탈취

 

프로세스명

프로그램명

gamehi.co.kr

게임하이

hangame.com, id.hangame.com

한게임

laspoker.exe

한게임 라스베가스포커

duelpoker.exe

한게임 맞포커

hoola3.exe

한게임 파티훌라

highlow2.exe

한게임 하이로우

poker7.exe

한게임 7포커

baduki.exe

한게임 로우바둑이

ExLauncher.exe, TERA.exe, tera.hangame.com

테라

netmarble.net

넷마블

pmang.com

피망

ff2client.exe, fifaonline.pmang.com

피파 온라인2

Raycity.exe

레이시티

www.nexon.com, login.nexon.com

넥슨

df.nexon.com, dnf.exe

던전 앤 파이터

DragonNest.exe, dragonnest.nexon.com

드래곤 네스트

baramt.exe, WinBaram.exe, baram.nexon.com

바람의 나라

mabinogi.nexon.com, heroes.nexon.com, heroes.exe

마비노기 영웅전

MapleStory.exe, maplestory.nexon.com

메이플 스토리

x2.exe, elsword.nexon.com

엘소드

dk.halgame.com, dkonline.exe

DK 온라인

clubaudition.ndolfin.com

클럽 오디션

www.capogames.net, samwinfo.capogames.net

삼국지w

fairyclient.exe

로한

plaync.co.kr

엔씨소프트

bns.plaync.com

블레이드 & 소울

lin.bin

리니지

AION.bin, aion.plaync.jp

아이온

kr.battle.net

블리자드 배틀넷

wow.exe

월드 오브 워크래프트

Diablo III.exe

디아블로III

 

 

          게임 머니 & 게임 아이템 & 문화상품권 계정 탈취

 

사이트 주소

사이트 이름

www.booknlife.com

북앤라이프

www.cultureland.co.kr

컬쳐랜드

www.happymoney.co.kr

해피머니

www.teencach.co.kr

틴캐시

auth.siren24.com

신용정보 조회

itemmania.com

아이템 매니아

www.itembay.com

아이템 베이

 

* URL의 경우는 브라우저 상에서 BHO (Browser Helper Object)로 등록이 되어 모니터링을 하다가 해당 URL로 주소가 입력이 되거나 접속이 될 경우에 html 내용을 변조 하거나 계정에 관련된 키 입력값을 빼내도록 제작되었습니다. 은행에 대한 피싱의 경우 최종 설치되는 악성파일 내에 다수의 정보들이 하드코딩되어 있는 상태로 활용 되고 있었습니다.

 

차단 권고 대역

 

아래 영역은 이미 공격자가 권한을 통제하고 있는 IP대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재 활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각 기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다. 악성링크에 이용 되는 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해 강력한 차단을 유지하실 것을 권고 합니다.

 

          기술 분석 보고서에는 별도의 차단 대역들을 제공하고 있으므로 참고하시기 바라며, 사안별로 모니터링 및 차단에 적극 활용 바랍니다.

          국내 통신사의 경우 C Class가 아닌 직접 IP를 등록 하였으며 이미 공격자가 권한을 가진 상태에서 악성코드 유포 경로로 직접 활용하고 있는 상태여서 제한적인 차단이 필요하며, 업무와 연관성이 있는지 여부는 각 기업 및 기관에서 잘 판단 하셔서 차단에 활용하시기 바랍니다. 9 4주차부터 차단 권고 대역은 최근 1~2개월을 기준으로 전달 드리도록 하겠습니다. 이전의 차단 목록이 필요한 기업 및 기관은 info@bitscan.co.kr 로 요청해 주 세요.

 

- 66.69.(180,187).X, DSCS Pacific Star, LLC, USA 11/3


 

악성코드 감염 이후 접속 URL - 차단 및 모니터링 필요한 부분

 

본 내용은 악성코드가 PC에 감염된 이후에 외부로 연결 시도를 하고 명령을 받는 주소들입니다. C&C 연결 을 시도하는 봇넷과 같은 개념으로 볼 수 있습니다. C&C 서버의 차단과 관련된 핵심적인 내용입니다. 차후 별도 차단 서비스를 기획하고 있으며 해당 내용은 별도 서비스 확산 시에 보고서 상에서만 일부 제공될 예정입니다. 실험적으로 Outbound 연결 시에 Destination IP가 본 URL일 경우는 100% 좀비 PC및 백도어, 루트킷 등에 감염된 것이므로 직접 내부망에서 감염된 좀비 PC를 찾아내는 것이 가능해 집니다. 기술 분석 보고서 내에는 추가적인 차단 정보들이 존재함으로 확인 하시고 적용 하시는 것이 필요합니다.

 

특정 URL로 접속하여 추가 명령 대기


hxxp://koreanm.com (포트:2000) -샘플



 

* 붉은색으로 선택된 도메인들은 모두 현재 다수가 국내 환경에 뿌려져 있는 다운로더 및 C&C 서버로 이용되는 파일 및 도메인들입니다. 해당 도메인은 불시에 활성화 되어 추가적인 피해가 계속 될 수 있으므로 본 메일을 받으시는 기관 및 기업에서는 그에 맞는 대응을 하시기 바랍니다. 기업은 해당 도메인으로 접속하는 PC가 있을 경우 이미 좀비 PC화가 되었으므로 절차에 맞게 처리를 하시면 되고 국가기관 차원에서는 차단 정책을 즉시 수행 하여야 할 것으로 보입니다.

 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 금주의 총평으로는 공인인증서 업체인 한국전자인증 홈페이지 해킹으로 인한 공인인증서에 대한 신뢰 추락, 인터넷뱅킹 피싱 악성코드 대량 유포, 악성코드 탐지 회피하기 위해 국내 사이트에 직접 악성코드 유포, 언론사, 파일공유, 커뮤니티 등을 통한 악성코드 유포이슈, 거의 대부분의 외부 연결을 시도하는 악성코드들 대부분이 C&C 서버와 연결하는 형태를 꼽을 수 있습니다. 향후 대형사고가 일어날 것 같은 하인리히의 법칙에서 의미하는 위험시그널 수치는 계속 증가 중입니다. 민감한 시기입니다. 적극적인 대응과 노력으로 피해를 예방해야 합니다. MalwareNet의 활용과 위험에 대해 계속 언급 하였습니다. 그리고 지금 관찰되는 상태는 최종 악성코드의 성격과 범위 모두 일정 수준의 임계치를 넘은 상황입니다.

 

2년 이상을 온라인상에서 꾸준히 공격을 시도하고 있는 공격자들을 모니터링 한 결과에 따르면 공격기법과 기술은 한 주가 다르게 변화하고 진화하고 있습니다. 그 반면에 대응 기술 측면에서는 발전은 지지부진함을 보이고 있습니다. 공격은 적극적인 유포망 확대, 감염 기술의 고도화, 최고 공격기법들의 즉시적인 실전투입으로 귀결이 됩니다.

 

발전적인 협력

 

빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

감사합니다.

 

       본 정보제공 서비스는 공개, 재 배포 금지(내부에서만 활용), 비영리 목적으로만 활용 가능합니다. 공익적인 목적으로 기관에 제공되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.

       시범 서비스는 순차적으로 1개월 경과 시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.

       정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/담당자/연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.

       본 서비스의 권리는 빛스캔에 있으므로 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.

       본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre-Crime Detect System)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.

 

Posted by 바다란

댓글을 달아 주세요

 

[빛스캔+KAIST] 11 2주차 브리핑



 

 

한국 인터넷 위협분석 보고서( 악성코드 유포 전략 고도화 )

 

빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 11 2주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS( Pre Crime Detect System )의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다. 본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.

 

         1.       악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

         2.       악성링크가 공격에 활용에 활용하는 주된 취약성에 대한 내부 보안 강화 정책패치

         3.       내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

 

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.

 

 

Summary

 

11 1주차에 대규모로 발견된 C&C 연결을 시도하는 봇넷 에이전트의 경우 금주차에는 감소된 형태를 보이고 있습니다. 그러나 이미 뿌려져서 감염이 된 상태의 좀비 PC들이 상당한 수치에 이를 것이므로 추가 피해를 예방하기 위해 11 1주차에 제공해 드린 C&C 서버들의 주소는 반드시 차단을 하고 네트워크 장비를 이용하여 해당 URL IP로 접속하는 PC가 있을 경우 내부적으로 분석 및 추가 피해 방지를 위해 충분한 조치를 취하시기 바랍니다. 백신 점검으로는 되지 않으며, 초기화가 바람직한 형태가 될 것입니다.

 



<이전과 다르게 금요일보다 토,일요일 집중 공격>

 

공격자들은 악성코드를 유포한 후 비정기적이며 수시로 계속해서 변경하고 있습니다. 자신들의 다단계유포망(MalwareNet)이 탐지되고 있다는 것을 느낀다는 반증입니다. 탐지되고 있다는 것을 느끼기에 악성링크를 토, 일요일에 집중적으로 변경하였습니다.

 



<111주차까지 사용되었던 /pic/img.js 악성링크 구조>

 



<11 2주차에 사용된 새로운 패턴 /home/psd.js - 이제 다시 바뀌겠죠?>

 



<img.js 내용, 중복감염방지, 각 취약점별 세부 분기하는 페이지, 통계 페이지 삽입>

 

금주에는 공격자들이 2011 3월부터 2012 11 1주차까지 1 8개월동안 사용했던 /pic/img.js 라는 구조를 /home/psd.js 라는 구조로 변경하였습니다. 빛스캔에서 매주 공격에 사용되었던 악성링크 주소를 공개하니 자신들의 공격이 탐지되고 있다는 것을 느끼고 변경한 것으로 판단됩니다.

img.js 페이지에는 중복감염을 방지하며 각 취약점별 세부 분기하는 페이지와 통계 페이지가 삽입되어 있습니다. psd.js 또한 마찬가지이며 이름만 변경하였습니다. 일부 웹방화벽에서 ‘img.js’ 를 탐지하여 차단하기 때문으로 판단 됩니다.

 



<11 1주차까지 사용되었던 EGIHosting 호스팅 업체>