태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )









<주간 유포된 도메인 수>

 

7월 3주 전체 악성링크 및 신규 악성링크는 2주차의 비해 소폭 상승하였으며, 신규 악성링크 중에는 기존의 HTTP(TCP 80)를 통한 유포가 아닌 HTTPS(특정 포트)를 이용하여 유포하는 사례가 발견되었다. 특히, 악성링크의 경유지를 확인하는 과정에서 HTTP(TCP 80)와 HTTPS(특정 포트)를 서로 교차 하여 사용하고 있는 정황도 확인하였다. 이처럼 HTTPS는 단말간 암호화를 지원하기 때문에 중간에 위치하는 보안장비를 우회할 수 있는 장점을 가지고 있어 탐지 및 분석이 더욱 어려워질 것으로 예상되며, 경유지 및 유포지를 사전에 탐지하여 조치를 취해야만 보다 효과적인 차단이 가능해 질 수 있다.

 

<시간대별 통계>

 

금주 시간별 통계를 살펴보면 평일 주중과 함께 금요일 – 토요일에 걸쳐 집중적인 유포를 보였지만 주중에도 유포가 이루어 졌으며 기존의 이용되었던 악성링크를 통해 유포되는 경우도 관찰이 되었다. 지난 주에 나타났던 9개의 취약점을 이용한 유포형태는 금주 까지도 이어졌고, 대부분의 악성코드는 파밍 악성코드로 분석되었다. 일부 파밍 악성코드는 포털 사이트를 변조하여 파밍 사이트로 연결 하는 악성코드로 관찰되었다.

 

<최근 1달 악성링크 도메인 통계>

 

6월 2주차부터 7월 3주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 260건(34.8%), 미국 324건(43.4%), 일본 107건(14.3%), 독일 28건(3.7%), 영국 9건(1.2%), 캐나다 11건(1.5%), 인도 4건(0.5%), 태국 2건(0.3%)등으로 나타났다.

 

<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과 한국이 46건(68.7%), 일본이 12건(17.9%), 미국이 9건(13.4%) 순으로 차지하였다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락주십시오.

감사합니다.

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

댓글을 달아 주세요

* 왜 한국내의 웹서비스를 유포지로 활용 하는 비율이 늘어날까요?  ISP에 의한 일괄차단을 회피하기 위함이죠.


인터넷 위협 수준: 주의

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )









<주간 유포된 도메인 수>

 

7월 1주차에 주춤했던 전체 발견된 악성링크는 7월 2주차에 증가하였지만, 신규 악성링크는 전주에 비해 감소하였다. 하지만 신규 악성링크 감소와 달리 파급력 수치는 증가하였으며, 그 이유는 지속적인 MalwareNet의 활동과 함께 Gondad Exploit Kit + CK VIP Exploit Kit이 합쳐진 형태가 등장 하였기 때문이다. 이러한 공격은 동시에 9개의 취약점을 활용하여 악성코드가 감염되도록 유도하며 대부분 파밍에 관련된 악성코드이다. 이처럼 공격자는 다중 취약점을 노려 사용자에게 다방면으로 위협을 줄 것으로 예상이 되므로, 관련된 보안 패치에 대한 충분한 대응 방안을 세울 필요가 있다.

 

<시간대별 통계>

 

금주의 시간별 통계를 살펴보면, 지난주와 마찬가지로 다양한 시간대에 유포 했음을 볼 수 있다. 세부적으로 시간대를 살펴 보면 화요일 오후부터 수요일 저녁, 금요일부터 일요일 저녁까지 많은 활동을 보였으며 특히 주말에는 MalwareNet의 활동이 활발하였으며 공격자는 패턴 매칭 탐지를 회피하기 위해 지속적으로 링크를 변경하는 모습을 볼 수 있었다.

 

<최근 1달 악성링크 도메인 통계>

 

6월 1주차부터 7월 2주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 248건(29.1%), 미국 354건(41.5%), 일본 91건(10.7%), 독일 124건(14.5%), 영국 14건(1.6%), 캐나다 11건(1.3%), 홍콩 2건(0.2%), 인도 4건(0.5%), 태국 2건(0.2%)등으로 나타났다. 6월 초 지속적으로 활동 모습을 보였던 RedKit Exploit Kit은 6월 2주 이후 4주 동안 나타나지 않았다.

 









<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과 한국이 41건(75.9%), 일본이 8건(14.8%), 미국이 3건(5.6%), 홍콩이 1건(1.9%), 독일이 1건(1.9%) 순으로 차지하였다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락주십시오.

감사합니다.

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란

댓글을 달아 주세요

* 본 분석 문서는 지난 2년 이상의 악성링크를 통한 대량 유포 관찰 기간 동안 가장 특이한 행동이 관찰된 시점을 기준으로 작성이 되어 있습니다. 2012년 12월 대선을 기점으로 공격 전략의 변화와 위험성에 대해서 매 주간 단위로 정리하여 정보제공을 한 바 있습니다만 좀 더 넓은 기간을 관찰하여 변화에 대한 내용을 정리하기 위해 공개되는 문서입니다.  


변화의 관찰을 위해 수치의 변화만을 기술 하였으며, 동 기간에 파밍 유형의 악성코드 감염 사례가 다수 발견 된바가 있어서 국내에서의 악성코드 감염을 통한 정보 유출과 금융정보 탈취형 악성코드가 심각한 상황에 있음을 알 수 있습니다.  2013년 3월 현재는 웹 서비스를 통해 대량 감염 시도하는 악성코드들 대부분이 금융 정보 탈취형이 파밍형태의 악성코드라 앞으로 피해는 계속 될 것으로 예상 됩니다. 


향후에도 특이 사항이 발견되어 정보전달이 필요할 경우에는 폭 넓은 범주에서 동향을 관찰한 데이터들을 공개 하도록 하겠습니다.  


제 1호

빛스캔 분기 동향 분석

 

 

 

 

악성코드 유포 및 경유지

변화 관찰

(2012년11월~2013년1월)

 

 

 

 

 

 

 

 

2013. 02.

 

 

빛스캔(주)

 

 

 

본 정보는 빛스캔(주)의 PCDS (Pre Crime Detect Satellite)를 통해 2012년 11월부터 2013년 1월까지의 경유지 및 유포지의 변화를 종합 관찰한 내용이다. 본 관찰결과는 대선실시 이전에 정보를 공유하여 협력한 결과 변화된 공격 형태를 나타내고 있다. 대선기간 DDoS 공격을 우려하여 최종 악성파일과 C&C 연결 정보를 전달한 결과 악성코드 유포지의 비율이 국내로 급격하게 기울어지는 현상을 확인 할 수 있다.

3개월간의 변화 관찰과 내부 데이터를 가공한 보고서를 통해 국내 인터넷 환경의 심각성에 대해서 인식을 하는 계기가 되었으면 한다. 동 기간에 유포된 최종 악성코드들은 최소 50% 이상이 금융정보 탈취를 위한 파밍 형태의 악성코드들이 유포된 상황이므로 향후에도 계속해서 금융 관련 사고가 발생 할 것으로 예측이 된다.

 

악성코드 유포지: 홈페이지 자체에서 악성코드 파일을 저장하여 이용자에게 전파하는 페이지

● 악성코드 경유지: 홈페이지 방문자에게 악성코드 유포지로 경유할 수 있도록 간접적으로 전파하는 페이지

 

유포 및 경유지 통계

 

전체 수치는 PCDS 탐지 체계를 통해 수집된 내용이며, 중복을 제외한 수치이다. 경유지의 수치는 실제 공격이 발생된 서비스 수치만을 카운트한 내용이며, 반복된 공격의 수치를 포함하면 수치는 대폭 증가하는 상황이다. 악성링크라고 부를 수 있는 유포지는 전체적으로 감소하는 현상을 보이고 있고 경유지도 감소하는 현상이 관찰되고 있다. 그러나 12월중에 접속자가 매우 많은 서비스들이 경유지 및 유포지로 직접 이용된 정황들이 있어서 전체 피해범위는 더 넓어졌을 것으로 판단된다.

 

2012년 11월

2012년 12월

2013년 1월

유 포 지

218

196

162

경 유 지

1,228

837

931

합 계

1,446

1,033

1,093

증감 (비율)

 

-29%

6%

 

 

 

유포지 국가별 통계

 

2012년 11월

2012년 12월

2013년 1월

1-18일

19-31일

대한민국

68

79

32

119

기 타

150

74

11

43

합 계

218

196

162

비 율

 

-10%

-17%





















<영역 비율을 통한 악성코드 유포지별 국가 변화 관찰 2012.11~2013.1 >



대량으로 탐지된 유포지 및 경유지로 탐지된 Top 10 list


Find Time

Malware URL(유포지)

Vulnerability Set(CVE)

Nation

경유지

2013-01-12

xxxx.pickple.com/xx/xxxx.js

0422-5076-4681-1889-1723-0507-3544

USA

145

2012-12-09

kxx.or.kr/xxx/xxxx.html

4681-1889-3544

Korea

69

2012-11-11

205.209.137.xx/xxx/xx.js

4681-1889-1723-3544-1255

USA

63

2012-11-11

66.79.179.xxx/xxx/xxx.js

4681-1889-1723-3544-1255

USA

55

2013-01-30

112.169.111.xx/xxxx.html

5076-4681-1889-1723-0507-3544

Korea

55

2013-01-06

58.227.192.xx/ixxx.html

5076-4681-1889-1723-0507-3544

Korea

50

2012-11-10

66.79.169.xx/xxxx/xxxjs

4681-1889-1723-3544-1255

USA

42

2013-01-05

58.227.192.xx/xxxxjs

5076-4681-1889-1723-0507-3544

Korea

35

2012-12-01

wtmain.com/xx/xxxjs

5076-4681-1889-1723-0507-3544

Korea

34

2012-11-01

www.seoxxxx.kr/xxxx.html

4681-1889-1723-0507-3544

Korea

33



















< 동기간 국가별 악성코드 유포지 활용 비율>

* 본 통계는 모두 실측된 통계자료이며, 국내 인터넷 환경의 위협 변화에 대해 정리된 통계자료 입니다. 동 기간 동안 정보제공 및 채널을 통해 매주의 이슈에 대해서는 정리된 바 있습니다. 


======================================================

2013년 2월 이후 주요 이슈 및 대책

 

1. Gondad Exploit Kit에서 새로운 취약점을 이용한 공격 발견

Gondad Exploit Kit에서는 존재하지 않았던 새로운 취약점을 이용한 공격을 발견하였다. 이 취약점은 2013년 2월 7일 CVE에 등록은 되었지만, 실제로 국내에서 발견된 것은 이번이 처음이다. [그림1]과 같이 해당 취약점은 Adobe Flash 파일을 이용하여 공격하는 방식으로 해당 파일은 Adobe Flash Player의 Memory Corruption 취약점을 이용해 Buffer Overflow을 일으켜 공격자가 실행시키고 하자 하는 코드를 임의로 실행시킬 수 있다. 또한, swf파일의 특징으로써 Decompiler을 통해 swf파일을 열어보면, 클래스 이름이 LadyBoyle이고 32비트 버전, 64비트 버전별로 따로 클래스가 존재함을 알 수 있다[그림2].

그리고 또한 LadyBoyle 클래스에서는 플래시 버전과 OS버전을 확인한 후 공격의 여부를 결정하고 있다[그림3].

현재 해당 취약점은 윈도우 이외에 매킨토시에서도 DoS공격이 가능하다고 알려져 있으나, 해당 swf파일에서는 윈도우 사용자를 대상으로 하는 공격이었으며, 윈도우에서는 취약점을 이용한 권한상승 및 Drive-by download를 통한 공격이 가능하다고 알려져 있기에, 2월 7일 배포된 Adobe Flash Player의 업데이트를 권장한다.

 

2. 자동화 된 Exploit Kit을 활용한 대규모 악성코드 유포

악성코드 유포를 위해 취약한 웹 서비스들에 대량으로 악성링크를 삽입하여 이루어지는 공격은 여전히 활발하게 이루어지고 있다. 따라서 일반 사용자들은 악성링크가 삽입된 사이트에 방문만 하더라도 해당 웹 페이지에 삽입된 링크로 연결되어 자신도 모르는 사이에 악성코드에 감염되는 Drive-by download 공격에 노출될 수밖에 없다. 정상 페이지로부터 연결되는 악성 페이지는 사용자 PC의 다양한 어플리케이션의 취약점을 이용하여 악성코드를 다운로드 하고 실행하는 기능을 포함하고 있다.

 

악성코드 유포에 사용되는 취약점들은 Oracle Java, Adobe Flash Player, Internet Explorer 등과 같은 다양한 어플리케이션에 존재한다. 대부분의 일반 사용자들은 사용하는 어플리케이션의 업데이트를 제대로 수행하지 않기 때문에, 공격자들은 패치가 없는 제로데이 취약점은 물론이고, 이미 패치가 나와 있는 취약점이라 할지라도 공격 효과가 높은 취약점을 선호한다. [그림 3]은 지난 2012년 6월부터 현재까지, Exploit Kit에 추가되어 대량의 악성코드 유포에 활용되었던 대표적인 취약점들을 나타낸다.

 

 

[그림 4]은 Gondad Exploit Kit을 사용하는 악성링크의 일반적인 구조도로, CVE-2013-0634를 포함하여 총 8가지 취약점을 동시에 활용하여 악성코드를 유포한다. 악성 페이지인 index.html에는 6가지 JAVA 취약점, MS XML 취약점, Adobe Flash 취약점이 포함되어 있으며, 최종적으로 pang.exe라는 악성코드를 다운로드 하여 실행한다.

지난 한 해 동안의 공격 동향을 살펴보면 이러한 취약점들을 동시에 사용하여 악성코드를 유포하는 다중 취약점 형태가 가장 일반적으로 나타났다. 특히 최근에도 지속적으로 발견되고 있는 Gondad와 같이 자동화 된 공격 도구(Exploit Tool Kit)를 활용하는 경우에는 6~8개의 취약점을 동시에 이용한다. 이처럼 공격자들이 악성코드 유포에 여러 취약점을 동시에 사용하는 이유는 공격 성공률 및 악성코드 감염율을 높이기 위함이다. 서로 다른 어플리케이션의 취약점을 동시에 이용하거나, 또는 여러 종류의 어플리케이션 버전에 대한 취약점들을 한꺼번에 이용함으로써 사용자의 PC가 감염될 확률을 높이고, 더욱 효과적인 악성코드 유포가 가능하기 때문이다.

이와 같은 악성코드 유포 공격을 막기 위해서는, 먼저 관리자들이 웹 서버 취약점 점검과 모니터링을 통해 악성링크가 삽입되지 않도록 각별한 주의를 기울이는 것이 필요하다. 또한 만일 악성링크가 삽입되더라도 신속하게 탐지하여 이를 제거하는 것이 필요하다. 이러한 조치를 통해 일반 사용자들이 악성코드에 대량으로 감염되는 것을 방지 할 수 있다. 또한 일반 사용자들은 관련 어플리케이션들의 보안 업데이트를 반드시 주기적으로 수행하여, 최소한 패치가 이루어진 취약점들을 활용하여 유포되는 악성코드에는 감염되지 않도록 하는 것이 필요하다.

 

3. Java Applet, Internet Explorer 등 주기적인 보안 업데이트 권고

금주에 악성코드 유포에 사용된 취약점들은 아래와 같으며, 해당 URL에서 업데이트 관련 정보를 얻을 수 있다.

 

  • CVE-2013-0634 (Adobe Flash 취약점) - http://www.adobe.com/support/security/bulletins/apsb13-04.html
  • CVE-2013-0422 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html
  • CVE-2012-5076 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/javacpuoct2012-1515924.html
  • CVE-2012-4681 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html
  • CVE-2012-1889 (MS XML 취약점) - http://technet.microsoft.com/ko-kr/security/bulletin/MS12-043
  • CVE-2012-1723 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html
  • CVE-2012-0507 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html
  • CVE-2011-3544 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html
  • CVE-2010-0188 (Adobe reader 취약점) - http://www.adobe.com/support/security/bulletins/apsb10-07.html


Posted by 바다란

댓글을 달아 주세요


[빛스캔+KAIST] 12 3주차 브리핑



 

 

한국 인터넷 위협분석 보고서( 소셜쇼핑 그리고 광고 )

 

빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 12 3주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS (범죄사전탐지체계, Pre-Crime Detect System)의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다. 본 보고서의 활용 용도는 다음과 같습니다.

 

         1.       악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

         2.       악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 – 패치

         3.       내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

 

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.

 

Summary

 

12 3주차에는 다양한 유형의 봇 에이전트 악성코드가 다수 발견 되었습니다. 전체 악성코드 탐지 비율 중 39.1% 가량을 차지하고 있습니다. 대선을 전후로 하여 분산서비스거부공격(DDoS, Distributed Denial of Service attack) 공격용 악성코드가 유포된 정황이 있으며, 좀비 PC를 활용하여 언제든 공격이 시작 될 수 있으므로 주의가 필요한 상황입니다.  또한 봇넷 에이전트의 유포가 많아진 정황으로 보아 원격에서의 통제, 정보탈취 유형도 계속 증가 할 것으로 예상되는 한 주 입니다.




<금주 악성코드 유형중 봇에이전트, 다운로더 위험 수치>

 

CVE

12월 3주(건)

12월 2주(건)

전주 대비 증감(건)

CVE-2012-5076

35

25

▲10

CVE-2012-46811)

35

23

▲12

CVE-2012-1889

35

24

▲11

CVE-2012-17231)

35

22

▲13

CVE-2012-05071)

35

23

▲12

CVE-2011-35441)

35

24

▲11

< 금주 주요 감염 취약성 내역>


중국산 DDoS 공격 툴로 유명한 넷봇어태커 및 공인인증서 정보를 수집하려는 정보 유출을 목적하는 봇 에이전트가 금 주차 악성파일에서 확인되었습니다.

 



<넷봇어태커 DDoS 공격도구 이미지>

 

※ 넷봇어태커(NetBot Attacker) : 악성 프로그램 제작 및 DDoS 공격용 프로그램의 일종입니다. 일반적으로 악성코드에 감염된 PC들이 연결되어 구성된 네트워크를 BotNet(봇넷)이라고 합니다. 이 단어의 순서를 바꾸어 NetBot이라는 이름에 공격자를 의미하는 Attacker가 결합되어 만들어진 단어입니다. 해당 프로그램은 중국 사이트를 통해 구입이 가능한 것으로 알려져 있습니다.

 


- 생략 ( 실제 소셜 쇼핑 사이트에서의 악성코드 유포 이슈가 언급됨)



웹서비스의 소스를 변경한다는 것은 서버의 모든 권한을 공격자가 가지고 있다는 것과 동일한 이야기 입니다. 7월에 이어 12월에도 악성코드 유포가 되었다는 것은 그만큼 해킹 사고 이후 충분한 원인 파악과 대책, 꾸준한 관리가 미비하여 발생 하는 것으로 판단 됩니다권한을 모두 가지고 소스를 변경하는 공격자들인데 과연 웹서비스의 고객정보는  안전할까요? 악성코드를 유포한다는 것은 이미 서버의 권한을 획득하고 DB의 내용을 모두 유출한 후일 확률이 매우 높습니다. 공격자들은 이미 서버의 모든 정보를 탈취한 이후, 최종적으로 모든 방문자들에게 악성코드 감염을 시도하는 숙주로서 활용 합니다. 공격자의 정체가 밝혀질 수도 있는 악성코드 유포 숙주로의 활용은 보다 은밀한 정보 탈취등은 모두 종료된 이후일 가능성이 높습니다최종적으로 공격자는 모든 방문자에 대한 감염을 시도 하기 위해 웹소스코드를 추가 또는 변경하여 악성링크가 방문자에게 자동으로 실행 되도록 함으로써 좀비PC로 만드는 상황입니다.

 

2012 2월의 빛스캔의 조사에 따르면 악성링크로 인한 감염 피해는 전체 웹서비스 방문자중 60%가 감염 된다는 것을 데이터를 통해 입증 한 바가 있습니다. 이번 소셜쇼핑 사이트의 경우에도 방문자중의 60%는 악성코드에 감염이 되었을 것으로 추정됩니다. 애플리케이션(자바, IE, 플래쉬)중 하나라도 최신으로 업데이트가 되어 있지 않다면 감염이 되는 현재의 상황 입니다. 공격자들은 항상 최대의 효과를 얻기 위해 방문자들이 많은 곳들을 대상으로 끊임없이 악성코드 감염을 시도합니다. 그 대상에는 수많은 사이트들이 대상이 되고 있으며 웹서비스 방문자들은 그 어떤 인지도 없이 감염이 될 수밖에 없는 상황은 지금도 계속 되고 있습니다.

 



금주 공격의 특징을 정리하면 다음과 같습니다.

 

          9 4주차, 10 2주차, 11 1주차, 11 3주차, 11 4주차, 11 5주차, 12 1주차 , 12 2주차 이후 또 다시 12 3주차도 DDoS 공격 수행 악성코드 유포

          소셜커머스 업체인 XX 7 1주차 이후 또 다시 악성코드 유포

          국내 도메인을 경유한 악성링크 사용 비율 급속 증가(탐지 회피하기 위한 용도)

          온라인 광고 사이트 다수가 해킹당해 악성코드 유포

          8 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가(감염된 좀비PC들을 활용한 추가 위험이 발생할 수 있는 상태)

          APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속

          MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 적극적 으로 이용됨 


          최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨

          백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속

          게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속

          백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨

 

* 사용자가 특정은행 접속시에 피싱 사이트로 유도하거나 HTML 내용을 변경하여 정보를 획득하는 형태의 악성코드들도 현재 다수 유포 되고 있는 온라인 게임 계정 탈취형 악성코드에 붙여진 부가기능이며 해당 기능들은 매우 적극적으로 이용이 되고 있습니다. 악성코드 확산을 통제할 수 있는 근본적인 대안과 대책들이 집중적으로 필요한 부분이라 할 수 있습니다.

 

* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5, 6월 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 예상대로 직접적인 ARP 스푸핑 공격코드 출현하였으므로 피해 발생이 예상되며, 지금까지 설명한 사항 모두 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용입니다.



* 상당수 내용이 삭제된 브리핑 입니다. 금주차 12월 3주차 이후 IE 제로데이 관련 이슈 추가 발견 ( 언론기사 참조 www.facebook.com/bitscan ) , 국내 IT 관련 대기업 웹서비스들에서의 악성코드 유포 이슈, 금융 기관의 악성코드 경유지 활용 , 인터넷 서점 악성코드 유포, 파일 공유 사이트에서의 대담한 악성 코드 유포 이슈들이 언급 될 예정입니다. 금주차는 1월 1주차로 적용 되어 보고서 발송 됩니다. 공공기관에 정보 협력으로 제공되었던 보고서들은 2013년 부터는 더 이상 제공 되지 않습니다. 모든 내용은 보고서 및 기사를 통해 공개될 예정입니다. 또한 1~2주 간격으로 특징적인 악성코드 및 기법이 사용된 내용에 대해서는 악성코드 감염 숙주로 이용된 웹서비스 목록들에 대해 모두 공개 하는 것을 꾸준히 하여 실질적인 개선을 유도하도록 하겠습니다.





발전적인 협력

 

빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

감사합니다.

 

       본 정보제공 서비스는 공개, 재 배포 금지(내부에서만 활용), 비영리 목적으로만 활용 가능합니다. 공익적인 목적으로 기관에 제공되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.

       시범 서비스는 기관명/담당자/연락처 기재가 필요하며 기관/기업별 1회 신청에 한합니다. 2013년부터는 단 1회 제공 됩니다.

       정식 구독 서비스 가입 및 시범 서비스 신청 및 문의 메일은 info@bitscan.co.kr

       본 서비스의 권리는 빛스캔에 있으며, 동의 없는 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.

       본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre-Crime Detect System)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.

 


Posted by 바다란

댓글을 달아 주세요