태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

2013.6.16일  관찰 결과에 따른 추가 차단 권고 드립니다. 


6월 2주차 대비 대거 줄어든 공격 동향을 보이고 있으나, 여전히 일부 영역에서는 계속된 감염 시도가 발견 되고 있습니다. 모두 국내 백신 탐지 우회 및 VT 미보고된 샘플들이 감염 되고 있는 상황입니다.

몇 가지만 전달 드리면 되기에, 미리 알려 드립니다.

- 지난 5차에도 알려 드린  내용이지만 서브 도메인 변경이 계속 되는 곳들은 Multiple 하게 막을 필요가 있습니다.
*.gnway.net
*.hfhssv.net
*.kbszombi.com
*.mbczombi.com

- 이외 신규 출현 C&C 추정

googlekr.com
count.rww456.com
fmom.juandy.com
wm.lolddd.com
count.korea2046.com
www1.ktk01.com ( *.ktk01.com - 적용도 필요해 보임)

위와 같이 다중으로 차단이 필요한 도메인 정보 4곳과 6월 3주차 추가 출현된 연결정보 6곳을 알려 드립니다.  추가 정보들이 더 많이 있으나, 가장 대표적인 것들을 알려 드리며, 내부 인터넷 PC 사용자들의 감염 현황은 주초에 차단 리스트를 확인해 보시면 감염 현황을 아실 수 있을 것으로 보입니다.

현재까지는 6월 2주차 대비 공격은 현격하게 줄어든 상황이며, 소규모 출현들만 계속 되고 있는 상황이라 간략하게 정보 전달 드립니다.

악성링크뿐 아니라 연결 정보들까지도 확인된 정보만을 전달 드립니다.

정보제공 서비스에 대한 문의는  info@bitscan.co.kr 입니다.

감사합니다.

Posted by 바다란

댓글을 달아 주세요

 

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<주간 유포된 도메인 수>

5월 4주부터 금 주까지 비정상적인 움직임이 계속 관찰되고 있으며, 인터넷 위협 수준은 4단계인 "경고"로 지속 유지되고 있다. "경고" 수준에 따른 3차례의 정보를 공유하였지만, 공격자들은 여전히 이용자의 방문이 많은 사이트에 MalwareNet을 활용하여 악성코드를 꾸준히 유포하고 있으며 이 중 대부분이 금융계좌 탈취를 하는 "파밍"로 관찰되었다. 또한 최근에는 hosts(.ics) 파일 내부에 포털 사이트 IP를 삽입 하여 사이트 접속 시 팝업 창을 띄어 가짜 은행 사이트로 연결하는 현상이 관찰되었다. 또한, Coolkit Exploit Kit에서 변형이 된 Red Exploit Kit이 등장하여 국, 내외에서 활발한 활동을 보이고 있다. 이와 같이 비정상적인 움직임이 지속적으로 관찰 되는 만큼 철저한 대비가 필요한 시점이다

 

<시간대별 통계>

금주의 시간별 통계를 살펴보면, 신규 악성링크의 유포가 평일과 특정일과 주말을 이용하여 대규모 유포하였으며 구체적인 시간을 살펴보면, 수요일 10시~23시, 금요일, 토요일, 일요일에는 모든 시간대에 걸쳐 집중적인 유포가 발생하였다 특히 주목해야 할 점은 관리자의 관심이 덜한 시점(금-일요일)에는 시간에 상관없이 MalwareNet을 이용하여 최대 80개 이상 웹사이트를 활용하여 유포했으며 많은 사용자들이 피해를 입은 것으로 추정된다. 몇몇 유명한 웹사이트는 현재에도 악성 유포지에 활용되고 있는 상황이다.

 

<최근 1달 악성링크 도메인 통계>

4월 4주차부터 6월 1주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 251건(32.5%), 미국 177건(22.9%), 홍콩 110건(14.2%), 일본 7건(0.9%), 태국 6건(0.8%), 독일 192건(24.8%), 대만 5건(0.6%), 이탈리아 13건(1.7%) 등으로 나타났다. 지속적으로 사용되던 홍콩 IP 클래스 대역은 2주간 나타나지 않았지만 유럽지역의 도메인들이 새롭게 많은 활동을 보이고 있으며, 이는 Redkit이 반영된 결과로 추정된다.

<주간 악성링크 도메인 통계>

국가별 악성링크 도메인 통계를 분석한 결과 독일이 95건(51.6%), 미국이 45건(24.5%), 한국이 39건(21.2%), 이탈리아가 13건(7.1%), 영국이 5건(2.7%), 폴란드가 4건(2.2%), 홍콩이 2건(1.1%), 캐나다가 1건(0.5%), 순으로 차지하였다.

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락 주십시오.

감사합니다.

Posted by 바다란

댓글을 달아 주세요

* 경고단계로 5.26일 상향 . 국내 ISP의 특정구간에 설치된 10G 차단장비 한 곳의 5.27일의 차단결과 확인

수십여 개의 악성링크 중 단 하나의 악성링크 차단 결과가 5.27일 하루만 24만건에 달함. 그만큼 치명적이고 접속자가 많은 곳들을 직접 노린 공격이 시도 되고 있음을 나타내는 확인 결과. 전체 규모는 확인 불가 한 상황이며, 일부구간에서의 탐지 결과이므로 전체의 상황은 더 심각한 상황으로 추정되고 있음.

6월 1주차까지 현 상태 평시로 전환 안될 경우 Level 4경고는 계속 유지될 예정입니다.

 

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 

<주간 유포된 도메인 수>

*5월 4주차 동향보고서 및 브리핑 요약에는 이제 해당 주에 출현한 악성링크의 파급력이 추가 되었습니다. 해당 주차에 출현한 단 하나의 악성링크가 얼마나 여러 곳에 들어가 있었는지를 종합하여 전체 인터넷 위협에 미치는 영향력을 감안 하도록 되어 있으니 참고 하십시요.

 

5월 4주에는 전주에 비해 악성링크의 수치 및 영향도가 급격하게 증가한 것이 관찰되었다. 일시에 3~4개의 MalwareNet을 생성하고 총 80곳 이상을 경유지로 만든 이후 백신제품들에 탐지되지 않는 악성코드를 동시에 감염 시도하는 것이 관찰되었다. 또한 5월2주 이후로 보이지 않았던 Redkit에서 변화된 CoolKit을 이용한 악성링크도 약 20 여개의 도메인에서 출현하였으며, 탐지를 우회하기 위해서 비정상 링크를 수시로 변경하는 전략을 보였다. 매주 발견되는 신규 악성링크의 유포 행위는 꾸준히 변경되기 때문에 전체 범위를 모니터링 하고 사전탐지 하지 않은 이상 예측이 힘들 수밖에 없다는 점을 고려해야 하며, 5월 4주차 PCDS 관찰 기간 내에 매우 비정상적인 유포 움직임이 관찰되어 관찰경보가 "주의"에서 "경고"로 상향한다. 5월 4주차 이후에도 PCDS 관찰 2년 이내 가장 활발한 MalwareNet 생성 움직임과 주요 웹서비스들 다수가 활용된 정황, 백신 미탐지 악성코드의 유포시도는 현재도 계속 되고 있다.

 

<시간별통계>

 

금주의 시간 별 통계를 살펴보면, 신규 악성링크의 유포가 수요일, 금요일, 토요일, 일요일 오후와 새벽에 집중적으로 발생했다는 것을 관찰하였다. 구체적인 시간을 살펴보면, 수용일 00시~08시, 금요일 17시~23시, 토요일 01시~04시와 18시~22시, 일요일에는 모든 시간대에 걸쳐 집중적인 유포가 발생하였다.

 

 

<최근 1달 악성링크 도메인 통계>

4월 3주차부터 5월 4주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 230건(45.4%), 미국 141건(27.8%), 홍콩 110건(21.7%), 일본 11건(2.2%), 태국 6건(1.2%), 독일 4건(0.8%), 대만 5건(1.0%) 등으로 나타났다. 지속적으로 Class 대역을 이용하는 홍콩 IP는 이번 주에는 관찰되지 않았다.

 

<주간 악성링크 도메인 통계>

국가별 악성링크 도메인 통계를 분석한 결과, 한국이 34건(55.7%), 미국이 25건(41.0%), 독일이 2건(3.3%) 순으로 차지하였다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락주십시오. 여러 정보에 관한 내용은 빛스캔 페이지에서 확인 가능합니다. www.facebook.com/bitscan

감사합니다.

Posted by 바다란

댓글을 달아 주세요