태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

* 본 분석 문서는 지난 2년 이상의 악성링크를 통한 대량 유포 관찰 기간 동안 가장 특이한 행동이 관찰된 시점을 기준으로 작성이 되어 있습니다. 2012년 12월 대선을 기점으로 공격 전략의 변화와 위험성에 대해서 매 주간 단위로 정리하여 정보제공을 한 바 있습니다만 좀 더 넓은 기간을 관찰하여 변화에 대한 내용을 정리하기 위해 공개되는 문서입니다.  


변화의 관찰을 위해 수치의 변화만을 기술 하였으며, 동 기간에 파밍 유형의 악성코드 감염 사례가 다수 발견 된바가 있어서 국내에서의 악성코드 감염을 통한 정보 유출과 금융정보 탈취형 악성코드가 심각한 상황에 있음을 알 수 있습니다.  2013년 3월 현재는 웹 서비스를 통해 대량 감염 시도하는 악성코드들 대부분이 금융 정보 탈취형이 파밍형태의 악성코드라 앞으로 피해는 계속 될 것으로 예상 됩니다. 


향후에도 특이 사항이 발견되어 정보전달이 필요할 경우에는 폭 넓은 범주에서 동향을 관찰한 데이터들을 공개 하도록 하겠습니다.  


제 1호

빛스캔 분기 동향 분석

 

 

 

 

악성코드 유포 및 경유지

변화 관찰

(2012년11월~2013년1월)

 

 

 

 

 

 

 

 

2013. 02.

 

 

빛스캔(주)

 

 

 

본 정보는 빛스캔(주)의 PCDS (Pre Crime Detect Satellite)를 통해 2012년 11월부터 2013년 1월까지의 경유지 및 유포지의 변화를 종합 관찰한 내용이다. 본 관찰결과는 대선실시 이전에 정보를 공유하여 협력한 결과 변화된 공격 형태를 나타내고 있다. 대선기간 DDoS 공격을 우려하여 최종 악성파일과 C&C 연결 정보를 전달한 결과 악성코드 유포지의 비율이 국내로 급격하게 기울어지는 현상을 확인 할 수 있다.

3개월간의 변화 관찰과 내부 데이터를 가공한 보고서를 통해 국내 인터넷 환경의 심각성에 대해서 인식을 하는 계기가 되었으면 한다. 동 기간에 유포된 최종 악성코드들은 최소 50% 이상이 금융정보 탈취를 위한 파밍 형태의 악성코드들이 유포된 상황이므로 향후에도 계속해서 금융 관련 사고가 발생 할 것으로 예측이 된다.

 

악성코드 유포지: 홈페이지 자체에서 악성코드 파일을 저장하여 이용자에게 전파하는 페이지

● 악성코드 경유지: 홈페이지 방문자에게 악성코드 유포지로 경유할 수 있도록 간접적으로 전파하는 페이지

 

유포 및 경유지 통계

 

전체 수치는 PCDS 탐지 체계를 통해 수집된 내용이며, 중복을 제외한 수치이다. 경유지의 수치는 실제 공격이 발생된 서비스 수치만을 카운트한 내용이며, 반복된 공격의 수치를 포함하면 수치는 대폭 증가하는 상황이다. 악성링크라고 부를 수 있는 유포지는 전체적으로 감소하는 현상을 보이고 있고 경유지도 감소하는 현상이 관찰되고 있다. 그러나 12월중에 접속자가 매우 많은 서비스들이 경유지 및 유포지로 직접 이용된 정황들이 있어서 전체 피해범위는 더 넓어졌을 것으로 판단된다.

 

2012년 11월

2012년 12월

2013년 1월

유 포 지

218

196

162

경 유 지

1,228

837

931

합 계

1,446

1,033

1,093

증감 (비율)

 

-29%

6%

 

 

 

유포지 국가별 통계

 

2012년 11월

2012년 12월

2013년 1월

1-18일

19-31일

대한민국

68

79

32

119

기 타

150

74

11

43

합 계

218

196

162

비 율

 

-10%

-17%





















<영역 비율을 통한 악성코드 유포지별 국가 변화 관찰 2012.11~2013.1 >



대량으로 탐지된 유포지 및 경유지로 탐지된 Top 10 list


Find Time

Malware URL(유포지)

Vulnerability Set(CVE)

Nation

경유지

2013-01-12

xxxx.pickple.com/xx/xxxx.js

0422-5076-4681-1889-1723-0507-3544

USA

145

2012-12-09

kxx.or.kr/xxx/xxxx.html

4681-1889-3544

Korea

69

2012-11-11

205.209.137.xx/xxx/xx.js

4681-1889-1723-3544-1255

USA

63

2012-11-11

66.79.179.xxx/xxx/xxx.js

4681-1889-1723-3544-1255

USA

55

2013-01-30

112.169.111.xx/xxxx.html

5076-4681-1889-1723-0507-3544

Korea

55

2013-01-06

58.227.192.xx/ixxx.html

5076-4681-1889-1723-0507-3544

Korea

50

2012-11-10

66.79.169.xx/xxxx/xxxjs

4681-1889-1723-3544-1255

USA

42

2013-01-05

58.227.192.xx/xxxxjs

5076-4681-1889-1723-0507-3544

Korea

35

2012-12-01

wtmain.com/xx/xxxjs

5076-4681-1889-1723-0507-3544

Korea

34

2012-11-01

www.seoxxxx.kr/xxxx.html

4681-1889-1723-0507-3544

Korea

33



















< 동기간 국가별 악성코드 유포지 활용 비율>

* 본 통계는 모두 실측된 통계자료이며, 국내 인터넷 환경의 위협 변화에 대해 정리된 통계자료 입니다. 동 기간 동안 정보제공 및 채널을 통해 매주의 이슈에 대해서는 정리된 바 있습니다. 


======================================================

2013년 2월 이후 주요 이슈 및 대책

 

1. Gondad Exploit Kit에서 새로운 취약점을 이용한 공격 발견

Gondad Exploit Kit에서는 존재하지 않았던 새로운 취약점을 이용한 공격을 발견하였다. 이 취약점은 2013년 2월 7일 CVE에 등록은 되었지만, 실제로 국내에서 발견된 것은 이번이 처음이다. [그림1]과 같이 해당 취약점은 Adobe Flash 파일을 이용하여 공격하는 방식으로 해당 파일은 Adobe Flash Player의 Memory Corruption 취약점을 이용해 Buffer Overflow을 일으켜 공격자가 실행시키고 하자 하는 코드를 임의로 실행시킬 수 있다. 또한, swf파일의 특징으로써 Decompiler을 통해 swf파일을 열어보면, 클래스 이름이 LadyBoyle이고 32비트 버전, 64비트 버전별로 따로 클래스가 존재함을 알 수 있다[그림2].

그리고 또한 LadyBoyle 클래스에서는 플래시 버전과 OS버전을 확인한 후 공격의 여부를 결정하고 있다[그림3].

현재 해당 취약점은 윈도우 이외에 매킨토시에서도 DoS공격이 가능하다고 알려져 있으나, 해당 swf파일에서는 윈도우 사용자를 대상으로 하는 공격이었으며, 윈도우에서는 취약점을 이용한 권한상승 및 Drive-by download를 통한 공격이 가능하다고 알려져 있기에, 2월 7일 배포된 Adobe Flash Player의 업데이트를 권장한다.

 

2. 자동화 된 Exploit Kit을 활용한 대규모 악성코드 유포

악성코드 유포를 위해 취약한 웹 서비스들에 대량으로 악성링크를 삽입하여 이루어지는 공격은 여전히 활발하게 이루어지고 있다. 따라서 일반 사용자들은 악성링크가 삽입된 사이트에 방문만 하더라도 해당 웹 페이지에 삽입된 링크로 연결되어 자신도 모르는 사이에 악성코드에 감염되는 Drive-by download 공격에 노출될 수밖에 없다. 정상 페이지로부터 연결되는 악성 페이지는 사용자 PC의 다양한 어플리케이션의 취약점을 이용하여 악성코드를 다운로드 하고 실행하는 기능을 포함하고 있다.

 

악성코드 유포에 사용되는 취약점들은 Oracle Java, Adobe Flash Player, Internet Explorer 등과 같은 다양한 어플리케이션에 존재한다. 대부분의 일반 사용자들은 사용하는 어플리케이션의 업데이트를 제대로 수행하지 않기 때문에, 공격자들은 패치가 없는 제로데이 취약점은 물론이고, 이미 패치가 나와 있는 취약점이라 할지라도 공격 효과가 높은 취약점을 선호한다. [그림 3]은 지난 2012년 6월부터 현재까지, Exploit Kit에 추가되어 대량의 악성코드 유포에 활용되었던 대표적인 취약점들을 나타낸다.

 

 

[그림 4]은 Gondad Exploit Kit을 사용하는 악성링크의 일반적인 구조도로, CVE-2013-0634를 포함하여 총 8가지 취약점을 동시에 활용하여 악성코드를 유포한다. 악성 페이지인 index.html에는 6가지 JAVA 취약점, MS XML 취약점, Adobe Flash 취약점이 포함되어 있으며, 최종적으로 pang.exe라는 악성코드를 다운로드 하여 실행한다.

지난 한 해 동안의 공격 동향을 살펴보면 이러한 취약점들을 동시에 사용하여 악성코드를 유포하는 다중 취약점 형태가 가장 일반적으로 나타났다. 특히 최근에도 지속적으로 발견되고 있는 Gondad와 같이 자동화 된 공격 도구(Exploit Tool Kit)를 활용하는 경우에는 6~8개의 취약점을 동시에 이용한다. 이처럼 공격자들이 악성코드 유포에 여러 취약점을 동시에 사용하는 이유는 공격 성공률 및 악성코드 감염율을 높이기 위함이다. 서로 다른 어플리케이션의 취약점을 동시에 이용하거나, 또는 여러 종류의 어플리케이션 버전에 대한 취약점들을 한꺼번에 이용함으로써 사용자의 PC가 감염될 확률을 높이고, 더욱 효과적인 악성코드 유포가 가능하기 때문이다.

이와 같은 악성코드 유포 공격을 막기 위해서는, 먼저 관리자들이 웹 서버 취약점 점검과 모니터링을 통해 악성링크가 삽입되지 않도록 각별한 주의를 기울이는 것이 필요하다. 또한 만일 악성링크가 삽입되더라도 신속하게 탐지하여 이를 제거하는 것이 필요하다. 이러한 조치를 통해 일반 사용자들이 악성코드에 대량으로 감염되는 것을 방지 할 수 있다. 또한 일반 사용자들은 관련 어플리케이션들의 보안 업데이트를 반드시 주기적으로 수행하여, 최소한 패치가 이루어진 취약점들을 활용하여 유포되는 악성코드에는 감염되지 않도록 하는 것이 필요하다.

 

3. Java Applet, Internet Explorer 등 주기적인 보안 업데이트 권고

금주에 악성코드 유포에 사용된 취약점들은 아래와 같으며, 해당 URL에서 업데이트 관련 정보를 얻을 수 있다.

 

  • CVE-2013-0634 (Adobe Flash 취약점) - http://www.adobe.com/support/security/bulletins/apsb13-04.html
  • CVE-2013-0422 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html
  • CVE-2012-5076 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/javacpuoct2012-1515924.html
  • CVE-2012-4681 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html
  • CVE-2012-1889 (MS XML 취약점) - http://technet.microsoft.com/ko-kr/security/bulletin/MS12-043
  • CVE-2012-1723 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html
  • CVE-2012-0507 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html
  • CVE-2011-3544 (Java Applet 취약점) - http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html
  • CVE-2010-0188 (Adobe reader 취약점) - http://www.adobe.com/support/security/bulletins/apsb10-07.html


Posted by 바다란


2013년 1월 3주차 한국 인터넷 위협 분석 브리핑입니다. 

 본 정보는 탐지는 빛스캔의 PCDS를 통해 탐지하고 분석과 정리는 KAIST 정보보호대학원과 협력하여 진행 하고 있습니다. 보고서에 대한 문의 및 소개자료는 info@bitscan.co.kr 로 문의 주십시요.


- 1월 23일에는 1월 4주차 분석 보고서가 전달 되었습니다. 알려야 할 내용이 많아서 게시가 계속 지연 되고 있는 상황입니다.

- 향후 공개 게시물은 비정기적으로 게시 예정입니다.


금주차는 1월 11일을 기해 자바 제로데이 ( CVE 2013-0422) 와 1월 2주차에 꾸준한 테스트가 있었던 IE 제로데이 ( CVE 2012-4792) 가 직접 공격에 대거 활용 되었습니다.

국내 십여개 이상의 언론사 및 대형 커뮤니티사이트 , TV  컨텐츠 ( pooq tv, 곰TV ), 게임웹진 ( 인벤) 등에서 제로데이 공격코드들이 직접 악성코드 감염에 활용된 정황이 포착 되었습니다. 현재 대책이 미진한 상황이라 전체적으로 감염 비율이 매우 높을 것으로 예상 되고 있습니다.

각 제로데이별 대책은 아직 완전한 것은 아닌 것으로 판단 되고 있어서 문제는 계속 될 것으로 보입니다. 금일까지 종합된 내용은 다음과 같습니다.

보안패치는 IE 6,7,8 사용자 모두에게 해당이 됩니다발표 이후에도 공격이 계속 되는 것으로 보아 정확한 대응여부 검증에 대해서는 시일이 필요할 것으로 예상 되고 있습니다.  http://technet.microsoft.com/en-us/security/bulletin/ms13-008

 

Oracle의 경우도 Java에 대한 패치를 발표 하였으나 현재 패치의 완전성에 대해서는 검증된 바가 없으며 여전히 공격은 계속 진행 중인 상황입니다특히 국내는 취약한 웹서비스를 이용한 불특정 다수에 대한 대량 공격이 계속 되고 있어서 세계적으로 피해가 가장 심각한 측에 속할 것으로 예상 됩니다.

http://www.oracle.com/technetwork/topics/security/cpujan2013-1515902.html

 


본 보고서 구독 기업/기관에서는 내부 사용자의 브라우저 버전을 IE 6,7,8 에서 IE 9 이상으로 업데이트 할 것을 강력하게 권고 드리며, 자바의 경우 미국에서 권고하듯 당분간 자바의 삭제를 권고 드립니다. 외신에서도 긴급 발표된 Oracle의 패치가 불완전 하여 문제가 계속 될 것으로 예상하고 있으며 국내에 대한 공격도 여전히 계속 되고 있는 상황입니다.



* 보고서 구독 계약시에 악성코드 샘플 제공 계약이 된 기업과 기관에서는 이번 제로데이 두건에 대한 공격코드들이 모두 당사에 수집되어 있으므로 샘플 제공 요청을 하시면 제공해 드리도록 하겠습니다.  공격코드들은 아직 세계적으로 알려진바 없는 다른 형태로 파악이 되고 있으며 현재 가용 인력 모두가 전문분석에 투입 되어 있는 상황입니다. 


제공 샘플  : 자바 제로데이 ( CVE 2013-0422) , IE 제로데이 ( CVE 2012-4792) 를 이용하여

                  실제 공격에 사용된 공격코드 및 샘플


감사합니다.



2013. 1월 3주차 동향 보고서 발췌-



2013년 1월 3주차 주간 공격동향을 요약하면, 신규 악성링크 44건, 악성링크 도메인 38건, 신규 악성코드 30건, 그리고 악성코드 유형이 8건 출현한 것으로 집계되었다.

구 분

1월 3주(건)

1월 2주(건)

전주 대비 증감(건)

신규 악성링크

44

44

-

악성링크 도메인

38

33

▲5

신규 악성코드

30

18

▲12

악성코드 유형

8

4

▲4

주요 감염 취약점으로는 CVE-2012-4681, CVE-2012-1889, CVE-2012-1723, CVE-2011-3544 (각 26건, 15.2%), CVE-2012-5076, CVE-2012-0507 (각 25건, 14.6%)으로 나타났다.

CVE

1월 3주(건)

1월 2주(건)

전주 대비 증감(건)

CVE-2012-4681

26

43

▼17

CVE-2012-1889

26

43

▼17

CVE-2011-35441)

26

43

▼17

CVE-2012-17231)

26

43

▼17

CVE-2012-05071)

25

43

▼16

CVE-2012-50761)

25

43

▼16

 

신규 악성링크를 통하여 수집된 악성코드들은 다운로더 14건, 봇 에이전트 6건, 게임 계정 탈취 2건, 트로이 목마 5건, 손상된 파일 1건, 악성코드 아님 2건 등으로 분류할 수 있었다.

악성코드 유형

1월 2주(건)

1월 2주(건)

전주 대비 증가(건)

루트킷 (Rootkit)

-

-

-

게임계정 탈취

2

4

▼2

봇 에이전트

6

1

▲5

다운로더

14

8

▲6

트로이 목마

5

5

-

드롭퍼

-

-

-

손상된 파일

1

-

▲1

악성코드 아님

2

-

▲2



▶ 주간 악성링크 도메인 통계

국가별 악성링크 도메인 통계를 분석한 결과, 한국이 20건으로 전체 도메인의 45.5%를 차지하였으며, 미국(11건, 25.0%), 일본(4건, 9.1%), 중국, 프랑스, 독일(각 2건, 4.5%), 홍콩, 아르헨티나, 대만(각 1건, 2.3%)으로 그 뒤를 이었다. 이전과 비교하였을 때 유럽(프랑스, 독일)을 포함한 다양한 국가의 도메인에 걸쳐 신규 악성링크가 유포되고 있음을 확인할 수 있다.



 

▶ 최근 1달 누적 악성링크 도메인 통계

 

12월 1주차부터 1월 3주까지의 최근 1달 동안의 주요 국가별 악성링크 누적 도메인 통계를 살펴보면, 한국(153건, 61.2%), 미국(60건, 24.0%), 홍콩(20건, 8.0%), 중국(6건, 2.4%). 일본(4건, 1.6%) 등으로 나타났다.

 



* 전에 언급 하였듯이 결과가 증명하는 것은 명확합니다. 대선 이전 정보 공유로 인해 공격이 대폭 줄어든 것이 확인 되었고 그 반작용으로 해외 서비스를 공격에 활용하는 움직임에서 국내를 직접 노리는 형태로 변경 되었습니다. 아직도 상당한 영향을 미치는 것을 볼 수 있습니다. 정보 공유 이전까지는 한국과 미국의 악성링크 누적 도메인은 반대 상황 이였습니다.



- 바다란



Posted by 바다란


[빛스캔+KAIST] 12 3주차 브리핑



 

 

한국 인터넷 위협분석 보고서( 소셜쇼핑 그리고 광고 )

 

빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 12 3주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS (범죄사전탐지체계, Pre-Crime Detect System)의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다. 본 보고서의 활용 용도는 다음과 같습니다.

 

         1.       악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

         2.       악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 – 패치

         3.       내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

 

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.

 

Summary

 

12 3주차에는 다양한 유형의 봇 에이전트 악성코드가 다수 발견 되었습니다. 전체 악성코드 탐지 비율 중 39.1% 가량을 차지하고 있습니다. 대선을 전후로 하여 분산서비스거부공격(DDoS, Distributed Denial of Service attack) 공격용 악성코드가 유포된 정황이 있으며, 좀비 PC를 활용하여 언제든 공격이 시작 될 수 있으므로 주의가 필요한 상황입니다.  또한 봇넷 에이전트의 유포가 많아진 정황으로 보아 원격에서의 통제, 정보탈취 유형도 계속 증가 할 것으로 예상되는 한 주 입니다.




<금주 악성코드 유형중 봇에이전트, 다운로더 위험 수치>

 

CVE

12월 3주(건)

12월 2주(건)

전주 대비 증감(건)

CVE-2012-5076

35

25

▲10

CVE-2012-46811)

35

23

▲12

CVE-2012-1889

35

24

▲11

CVE-2012-17231)

35

22

▲13

CVE-2012-05071)

35

23

▲12

CVE-2011-35441)

35

24

▲11

< 금주 주요 감염 취약성 내역>


중국산 DDoS 공격 툴로 유명한 넷봇어태커 및 공인인증서 정보를 수집하려는 정보 유출을 목적하는 봇 에이전트가 금 주차 악성파일에서 확인되었습니다.

 



<넷봇어태커 DDoS 공격도구 이미지>

 

※ 넷봇어태커(NetBot Attacker) : 악성 프로그램 제작 및 DDoS 공격용 프로그램의 일종입니다. 일반적으로 악성코드에 감염된 PC들이 연결되어 구성된 네트워크를 BotNet(봇넷)이라고 합니다. 이 단어의 순서를 바꾸어 NetBot이라는 이름에 공격자를 의미하는 Attacker가 결합되어 만들어진 단어입니다. 해당 프로그램은 중국 사이트를 통해 구입이 가능한 것으로 알려져 있습니다.

 


- 생략 ( 실제 소셜 쇼핑 사이트에서의 악성코드 유포 이슈가 언급됨)



웹서비스의 소스를 변경한다는 것은 서버의 모든 권한을 공격자가 가지고 있다는 것과 동일한 이야기 입니다. 7월에 이어 12월에도 악성코드 유포가 되었다는 것은 그만큼 해킹 사고 이후 충분한 원인 파악과 대책, 꾸준한 관리가 미비하여 발생 하는 것으로 판단 됩니다권한을 모두 가지고 소스를 변경하는 공격자들인데 과연 웹서비스의 고객정보는  안전할까요? 악성코드를 유포한다는 것은 이미 서버의 권한을 획득하고 DB의 내용을 모두 유출한 후일 확률이 매우 높습니다. 공격자들은 이미 서버의 모든 정보를 탈취한 이후, 최종적으로 모든 방문자들에게 악성코드 감염을 시도하는 숙주로서 활용 합니다. 공격자의 정체가 밝혀질 수도 있는 악성코드 유포 숙주로의 활용은 보다 은밀한 정보 탈취등은 모두 종료된 이후일 가능성이 높습니다최종적으로 공격자는 모든 방문자에 대한 감염을 시도 하기 위해 웹소스코드를 추가 또는 변경하여 악성링크가 방문자에게 자동으로 실행 되도록 함으로써 좀비PC로 만드는 상황입니다.

 

2012 2월의 빛스캔의 조사에 따르면 악성링크로 인한 감염 피해는 전체 웹서비스 방문자중 60%가 감염 된다는 것을 데이터를 통해 입증 한 바가 있습니다. 이번 소셜쇼핑 사이트의 경우에도 방문자중의 60%는 악성코드에 감염이 되었을 것으로 추정됩니다. 애플리케이션(자바, IE, 플래쉬)중 하나라도 최신으로 업데이트가 되어 있지 않다면 감염이 되는 현재의 상황 입니다. 공격자들은 항상 최대의 효과를 얻기 위해 방문자들이 많은 곳들을 대상으로 끊임없이 악성코드 감염을 시도합니다. 그 대상에는 수많은 사이트들이 대상이 되고 있으며 웹서비스 방문자들은 그 어떤 인지도 없이 감염이 될 수밖에 없는 상황은 지금도 계속 되고 있습니다.

 



금주 공격의 특징을 정리하면 다음과 같습니다.

 

          9 4주차, 10 2주차, 11 1주차, 11 3주차, 11 4주차, 11 5주차, 12 1주차 , 12 2주차 이후 또 다시 12 3주차도 DDoS 공격 수행 악성코드 유포

          소셜커머스 업체인 XX 7 1주차 이후 또 다시 악성코드 유포

          국내 도메인을 경유한 악성링크 사용 비율 급속 증가(탐지 회피하기 위한 용도)

          온라인 광고 사이트 다수가 해킹당해 악성코드 유포

          8 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가(감염된 좀비PC들을 활용한 추가 위험이 발생할 수 있는 상태)

          APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속

          MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 적극적 으로 이용됨 


          최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨

          백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속

          게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속

          백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨

 

* 사용자가 특정은행 접속시에 피싱 사이트로 유도하거나 HTML 내용을 변경하여 정보를 획득하는 형태의 악성코드들도 현재 다수 유포 되고 있는 온라인 게임 계정 탈취형 악성코드에 붙여진 부가기능이며 해당 기능들은 매우 적극적으로 이용이 되고 있습니다. 악성코드 확산을 통제할 수 있는 근본적인 대안과 대책들이 집중적으로 필요한 부분이라 할 수 있습니다.

 

* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5, 6월 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 예상대로 직접적인 ARP 스푸핑 공격코드 출현하였으므로 피해 발생이 예상되며, 지금까지 설명한 사항 모두 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용입니다.



* 상당수 내용이 삭제된 브리핑 입니다. 금주차 12월 3주차 이후 IE 제로데이 관련 이슈 추가 발견 ( 언론기사 참조 www.facebook.com/bitscan ) , 국내 IT 관련 대기업 웹서비스들에서의 악성코드 유포 이슈, 금융 기관의 악성코드 경유지 활용 , 인터넷 서점 악성코드 유포, 파일 공유 사이트에서의 대담한 악성 코드 유포 이슈들이 언급 될 예정입니다. 금주차는 1월 1주차로 적용 되어 보고서 발송 됩니다. 공공기관에 정보 협력으로 제공되었던 보고서들은 2013년 부터는 더 이상 제공 되지 않습니다. 모든 내용은 보고서 및 기사를 통해 공개될 예정입니다. 또한 1~2주 간격으로 특징적인 악성코드 및 기법이 사용된 내용에 대해서는 악성코드 감염 숙주로 이용된 웹서비스 목록들에 대해 모두 공개 하는 것을 꾸준히 하여 실질적인 개선을 유도하도록 하겠습니다.





발전적인 협력

 

빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

감사합니다.

 

       본 정보제공 서비스는 공개, 재 배포 금지(내부에서만 활용), 비영리 목적으로만 활용 가능합니다. 공익적인 목적으로 기관에 제공되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.

       시범 서비스는 기관명/담당자/연락처 기재가 필요하며 기관/기업별 1회 신청에 한합니다. 2013년부터는 단 1회 제공 됩니다.

       정식 구독 서비스 가입 및 시범 서비스 신청 및 문의 메일은 info@bitscan.co.kr

       본 서비스의 권리는 빛스캔에 있으며, 동의 없는 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.

       본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre-Crime Detect System)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.

 


Posted by 바다란

 

[빛스캔+KAIST] 11 3주차 브리핑



 

 

한국 인터넷 위협분석 보고서(인터넷 금융의 뿌리가 흔들린다.)

 

빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 11 3주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS( Pre Crime Detect System )의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다. 본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.

 

         1.       악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

         2.       악성링크가 공격에 활용에 활용하는 주된 취약성에 대한 내부 보안 강화 정책패치

         3.       내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

 

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.

 

Summary

 

11 3주차의 가장 큰 이슈는 금융기관에 대한 위협사례가 전체적으로 증가되었으며 의미심장한 사건과 이슈들이 발견 된점 입니다. 또한 국내 사용자 환경 공격을 위해 새롭게 이용되는 Java 공격코드가 발견 되었습니다. CVE-2012-5076 자바 취약성은 전문분석 보고서로 금주에 제공 됩니다. 금주의 의미심장한 이슈는 한국전자인증에서 악성코드를 유포한 것입니다. 그 유포의 경우에도 빛스캔에서 추적하고 있는 MalwareNet의 최종 말단 유포지로 이용되는 상황이 탐지 되었습니다.

국내 인터넷 환경은공인인증서라는 독자적인 보안인증 체계를 가지고 있으며, 이와 관련된 법에 따라 은행뿐만 아니라 증권, 보험, 세무, 국가 관련 계약 등 다양한 중요 업무에 인증서가 활용되고 있습니다.

공인인증서는 금융결제원 등 국내 5개 기관에서 발급 및 운영하고 있으며, 개인은 공인등록기관 및 대행기관에서 개인용 공인인증서를 발급받아 사용하거나 주거래 은행을 통해 발급받아 이용합니다.

 

한국전자인증주식회사는 1999 3월 출범한 국내 최초의 인증기관입니다. 1999 9월 세계 최대 인증기관인 베리사인과 제휴하여 국내 최초로 글로벌 인증 센터를 구축하고 세계적으로 통용되는 글로벌 인증서를 국내에서 유일하게 직접 발급하는 인증기관입니다. 이러한 한국전자인증 웹사이트가 해킹을 당해 악성코드 유포에 이용된 정황이 발견 되었습니다. 내부 중요서버와 연결되는 모든 업무가 온라인 상에서 연동되어 이루어지는 상황에서 웹서버에 대한 권한 장악은 내부망에 대한 침입도 가능한 상태라 할 수 있습니다. 농협의 뱅킹 마비의 시작도 악성코드로부터 시작이 된 것이지만 온라인상에서 다수의 업무가 연동되어 처리되는 인증서 관련된 내용은 더 심각하고 즉시적인 위협에 이미 노출된 상황이라 할 수 있을 것입니다. 금융기관들의 각별한 주의와 관계 당국의 전방위적인 노력이 필요한 상황입니다.


* 메인 웹서버와 연동 되는 테스트 서버는 주기능 전체에 영향을 미칩니다. 공격은 테스트 서버가 받아도 그 영향은 방문자 모두가 받습니다.  금주차는 보다 더 큰 위험 방지와 경각심을 위해 한국전자인증 관련된 MalwareNet의 추적 데이터를 모두 공개합니다. 문제를 개선하기 위해 적극적인 노력을 해야 하는 것이지 그 순간을 모면한다고 해서 위험이 사라지지 않습니다. 원인부터 단계별로 철저한 대응을 기대합니다.

 



<한국전자인증 악성코드 유포 정황 포착, 11 19일 오전 10시까지 대처 안돼>

 

또한, 당사의 빛스캔 PCDS에서 수집된 유포 URL에 대한 정보에 따르면, 최초 출현은 약 4주전인 10 26일이며, 지난 주까지 약 65(누적 포함)가 동일한 링크에 의해 악성링크 유포에 이용 당한 것으로 파악 되고 있습니다. 여기에 한국전자인증 웹사이트도 포합됩니다.  MalwareNet의 추적에만 집중을 하였으나 본 사안의 경우, 국내의 인터넷 환경 및 금융환경에 던지는 심각한 이슈가 있어서 별개로 집중을 하여 정보를 제공 드립니다.

 



<한국전자인증 정상링크에 삽입되어 있는 악성링크>

 

수년 전부터 현재까지 웹서버 해킹을 통한 공격은 주로 게임, 커뮤니티, 언론사 등과 같은 일반 사이트에 대한 공격이 주를 이루고 있었다. 이를 통해 키로거 등의 개인정보를 유출하는 악성코드를 설치하여 이를 이용하여 부가적인 수입을 거두는 형태로 진행되어 왔습니다.

최근에는 스마트폰 등을 활용하여 가짜 은행 페이지로 사용자를 유도하여 인증서 및 보안카드 정보를 빼내어 이를 통해 돈을 빼가는 피싱 공격이 대세를 이루고 있습니다.

이번 사고를 통해 공격자는 인증서를 발급 또는 갱신하는 사용자 조차도 악성코드 감염의 주대상이 되었다는점, 그리고 내부침투를 통해 인증서 자체를 해킹하여 빼내갈 수 있다는 가능성이 있다는 측면에서도 문제로 볼 수 있습니다.  매주 악성코드가 범람하는 상황에서 공인인증서를 발급 받는 곳 조차도 악성코드 유포에 이용 되고 있는 지금의 상황은 심각함을 이미 넘어선 단계가 아닐까 생각 됩니다.

 

참고로, 현재 악성코드 유포를 확인할 수 있는 방법으로는 구글의 스탑배드웨어가 있으며, 다음과 같이 크롬 브라우저로 접속시에 경고 메시지가 나타남을 확인할 수 있습니다. 구글의 경우 2억개 이상의 전 세계 도메인에 대해 Drive by Download 이벤트 발생 여부를 기준으로 하여 악성코드 유포에 이용 되는 최종 도메인들을 탐지하고 경고를 하고 있습니다. 그러나 국내 환경을 공격하는 공격자들의 경우 수시로 악성링크의 변경 및 악성파일의 변경을 하고 있어서 구글의 규모로도 탐지하기 어려운 부분들이 있습니다. 탐지가 느린 구글에서 조차도 등록된 상태는 변명할 수 없는 부분입니다.

 



<한국전자인증(crosscert.co.kr) 접속시 구글 스톱배드웨어에 차단된 상황>

 

악성코드 감염에 대한 진단 정보는 다음과 같다. 당사가 파악한 부분은 totime.co.kr (본 브리핑에서는 이 이슈에 관해 사안을 공개합니다.) 입니다.

 



<구글 스톱배드웨어에서 해당 도메인 상세 내용>

 

참고로, http://www.crosscert.com 11 19()까지는 구글 스탑배드웨어에서 경고 메시지가 나타났습니다. 구글의 경고메시지 이전에 본사에서 발견을 하고 관련 정보를 KISA에 제공을 하였습니다. 이후 KISA에서 한국전자인증에 연락을 취한 것으로 알고 있습니다. 현재 확인해 본 결과 악성링크는 삭제된 상태입니다.

 



<한국전자인증에 삽입된 악성링크 구조도- 공개>

 



<한국전자인증에 삽입된 악성링크(totime.co.kr/xxx.js) 변화내역 추적도>

 

11 2주차에 totime MalwareNet의 내역을 보여드렸듯이 한국전자인증에 삽입된 악성링크(totime.co.kr/xxx.js) 10 26() 20시경에 활동을 시작하였고 탐지를 회피할 목적으로 비정기적이며 수시적으로 악성링크를 변경하였습니다. 또한 심한 경우 악성링크를 2개까지 삽입한 경우도 2번이나 있는 것을 파악할 수 있습니다. 이렇게 악성링크를 자주 변경한다는 것은 이미 totime.co.kr의 서버권한은 공격자가 완벽하게 통제하는 상태에서 악성코드 유포에 이용하기 위해 지속적으로 이용하는 것을 의미합니다.  Totime.co.kr의 링크를 의심받지 않는 상태에서 꾸준히 정상적으로 보이는 웹사이트들의 소스코드에 추가를 하고 때가 되면 totime.co.kr의 링크에 최종으로 실행되는 악성링크를 계속 변경을 하고 있는 상황은 탐지를 회피하고 악성코드 감염 효과를 극대화 하려는 공격자들의 적극적인 유포 전술이라 할 수 있습니다. 위의 변화내역 추적도는 xxx.js 파일내에 추가되거나 변경된 내역을 지속적으로 추적한 내용들입니다


PCDS에서는 이와 같은 대규모 유통 채널의 심각성을 인지 하였기에 꾸준히 추적을 하고 있었으며 한국전자인증의 경우는 그 중의 하나인 단말일 뿐입니다. 악성코드 감염 확대를 위해 이용되는 최종 말단 숙주의 한 곳이 한국 인터넷의 금융부분의 큰 축인 공인인증서 관련된 핵심업체라는 점에 대해 탄식을 할 수 밖에 없는 상황입니다.  그만큼 국내는 심각한 수준을 넘어선 상태로 가고 있습니다.

 



<한국전자인증에 삽입된 다단계유포망(MalwareNet) totime.co.kr/xxx.js 활용 구조도>

 

위 그림에서 보듯이 한국전자인증에 들어가 있던 동일한 악성링크(totime.co.kr/xxx.js) 20여군데 다른 사이트에 들어가 있는 것을 확인할 수 있습니다. 이에 대한 자세한 내용은 다단계유포망(MalwareNet) 에서 살펴 보겠습니다.

 

11 3주차의 공격특징에는 루트킷과 추가적인 공격을 위한 다운로더, 트로이목마들의 발견이 급증한 상태를 보이고 있어서 지금 당장의 위험의 처리에 신경을 써야 할 것입니다.

 



<11 3주차 루트킷, 트로이목마 유형 유포와 다운로더의 수치 급증>

 

이 트로이목마의 유형은 정상 은행을 입력시에도 피싱사이트로 접속하여 추가 파일을 다운로드 할 수 있는 악성코드입니다.

 



<농협 정상 사이트>

 



<농협 피싱 사이트. 주소창에 보이는 도메인 주소 정상 사이트와 일치>

 

단순한 게임계정 탈취형태를 가진 악성코드가 올 하반기부터 지속적으로 변화되고 있음에 대해서는 기 전달드린 다수의 보고서 내용을 통해 언급 하였습니다만 그 기능중에서 가장 적극적으로 이용 되고 있는 기능이 사용자 PC의 권한 획득 이후 특정 은행 사이트를 방문할 경우 도메인 주소를 피싱사이트로 직접 연결 하여 정보를 유출하는 형태입니다. 일반인은 주소만으로 알아채기가 불가능합니다. 상당규모의 수치가 뿌려진 상태이므로 금융권 차원에서는 단순한 피싱 안내 이외에도 적극적은 대응 노력이 필요한 부분으로 판단됩니다.

 

최근 언론 상에 많이 나타나고 있는 은행권에 대한 host file 변조를 통한 피싱 악성코드는, 이미 지난 5, 6월 주간 동향 분석 및 기술 분석 보고서에서 언급했던 부분이며, 상당수의 악성코드가 유포되었을 것으로 추정됩니다. 국내 백신의 업데이트 주소를 변경하는 악성코드 역시 지속적으로 활용되고 있습니다. 피싱 사이트 화면의 경우 공격자들은 인터넷 뱅킹 정보를 수집하기 위해 금융정보 및 보안강화 서비스라는 창을 띄우고 사용자들을 유인하고 있으며, 도메인 주소 뿐 아니라, 웹 페이지의 구성까지 교묘하게 위장하고 있어, 일반 사용자들이 눈으로만 보아서는 피싱사이트로 판단하기가 어렵습니다. 또한 금융권 URL을 인지하고 피싱사이트로 연결되는 경우는 이미 시스템이 공격자의 악성코드에 의해 완벽하게 제어되고 있는 상황이며 기능적으로 정상도메인의 DNS 기록을 사전에 가로채어 표시를 함에 따라 주소창에 있는 도메인은 정상 도메인과 일치하기 때문에 시각적으로는 도저히 정상 사이트인지 피싱 사이트인지 분간할 수 없습니다. 다만 피싱사이트는 정상 사이트에 접속한 것보다 과도한 정보를 요구하며 특히 보안 승급을 해야 한다고 방문자들을 현혹 시키기에 주의하여야 합니다. 현재 금융권의 대규모 사용 방지의 수단은 오프라인 ( 보안카드 , OTP ) 보안수단만이 대형 사고를 막는 유일한 수단으로 남은 상태이므로 과도한 정보를 요구하는 경우 절대로 입력하지 않도록 주의가 필요합니다.

 

11 2주차에 언급했듯이, 1 8개월 동안 사용되어 오던 /pic/img.js 악성링크 구조를 /home/psd.js로 변경하였습니다. 또다시 금주에도 /home/rtf.js /cache/rtf.js로 변형된 형태가 관찰되었습니다. 공개되는 정보제공 서비스나 브리핑의 정보가 계속 관찰 되고 있는 것으로 판단됩니다. (계속해서 추적은 되고 있습니다. ^^)

 

<국내 IP와 ISP 생략>

탐지를 회피하기 위해 국내 사이트에 직접적으로 악성코드 유포에 사용되는 비율이 점차 높아지고 있습니다. 위 목록은 직접적으로 악성코드 유포에 사용된 국내 IP ISP 정리를 한 것입니다. 또한 탐지를 회피하기 위해 국내 사이트에 악성코드를 올려놓는 사례들이 늘어나고 있기에 주의가 필요합니다. 국내 사이트를 이용시에는 악성링크의 탐지 및 차단이 어려운 부분들이 있어서 공격자들의 국내 사이트를 이용한 공격 활용은 계속 증가하고 있는 상태입니다.

 

현재 빛스캔에서 탐지하는 유형은 단순히 이메일을 통한 타켓형 APT가 아닌 웹서비스를 방문하는 모든 방문자를 대상으로 한 대규모 유포이며, 확산도가 높아서 위험성이 높은 상태입니다. 따라서 기업/기관별로 인터넷 접근시에 많은 보호대책을 적극 반영 하여 대응을 하셔야 할 것으로 보입니다. 기존 악성코드들의 분석 결과도 단순 게임계정 탈취에서 계속 변화하는 형태를 보이고 있어 앞으로의 변화를 가늠하기 어려운 상황입니다. 이미 농협의 사례를 통해 APT나 내부망을 공격 하는 악성코드가 가진 위험성과 파괴력은 충분히 경험을 한 상태이므로 현재 웹서비스를 통해 감염시도를 하는 악성코드 자체의 위험성은 높은 수준이라 할 수 있습니다.

 


금주 공격의 특징을 정리하면 다음과 같습니다.

 

          9 4주차, 10 2주차, 11 1주차, 11 3주차 이후 또다시 DDoS 공격 수행 악성코드 유포

          공인인증업체인 한국전자인증 해킹 당해 방문자에게 악성코드 유포

          인터넷뱅킹 피싱 기능이 부가된 악성코드 대량 유포 (금융사고 빈번 할 것입니다.)

          악성코드 탐지 회피하기 위해 국내 사이트에 직접 악성코드 업로드 빈도 증가

          8 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속부가적인 위험 증가(감염된 좀비PC들을 활용한 추가 위험이 발생할 수 있는 상태)

          APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속

          MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 적극적 으로 이용됨 ( 전주 정식보고서에 언급드린 MalwareNet이 전자인증 해킹시에도 활용 되었습니다.)


          3.4 7.7 DDos 형태와 유사성을 지니는 다운로더 발견 (긴장을 늦춰선 안되겠습니다. 당장이라도 발생 가능한 상황입니다. 1:29:300 하인리히의 법칙을 상기하시기 바랍니다. 이미 대형사고가 발생하기 위한 전제조건은 모두 갖추어진 상황입니다. )


          최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨

          백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속

          게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속

          백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨

 

* 사용자가 특정은행 접속시에 피싱 사이트로 유도하거나 HTML 내용을 변경하여 정보를 획득하는 형태의 악성코드들도 현재 다수 유포 되고 있는 온라인 게임 계정 탈취형 악성코드에 붙여진 부가기능이며 해당 기능들은 매우 적극적으로 이용이 되고 있습니다. 악성코드 확산을 통제할 수 있는 근본적인 대안과 대책들이 집중적으로 필요한 부분이라 할 수 있습니다. 몇 개월째 지속해서 알려드린 이 부분은 대규모 유포가 발생 됨에 따라 위험성은 실제화된 상황입니다.

 

* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5, 6월 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 예상대로 직접적인 ARP 스푸핑 공격코드 출현하였으므로 피해 발생이 예상되며, 지금까지 설명한 사항 모두 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용입니다.

 

MalwareNet ( 범위와 변화)

 

- MalwareNet: 공격자들이 공격효과를 높이고 탐지를 회피하기 위해 활용하고 있는 악성코드 유포 네트워크를 의미합니다. 일반적인 사이트에 악성링크를 직접 입력하는 것이 아닌 몇 단계를 거친 링크들을 입력하여 추적을 회피하고 악성코드 유포 효과를 극대화 하기 위해 사용되는 프레임을 MalwareNet으로 정의하고 있습니다. , 단 한번 악성링크의 내용을 변경하면 최대 300에서 최소 10여 곳에 이르기까지 동시에 동일한 악성코드 유포가 발생되는 상황을 나타내고 있습니다.

 

본 정보제공 서비스에서는 MalwareNet의 특성상 대규모 피해가 상시적으로 발생될 수 있으므로 상위 리스트에 한해 부분 공개를 하고 있습니다.

 


* 본 브리핑에서는 생략합니다.


*PCDS Impact Factor는 내부 수집된 체계에서 전파 범위를 고려한 내부 위험지수이며 MalwareNet의 추적과 영향도 추적을 위해 활용되는 수치입니다. 높을수록 은밀하면서도 파급력이 높은 상태라는 점을 의미하고 있습니다.

 

현재의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있습니다. 기본적인 문제를 해결할 수 있는 보안패치는 반드시 적용해야만 위험을 줄일 수 있으니 반드시 기관/ 기업 내부적으로 강력한 권고가 되어야 합니다. Oracle Java취약성, Adobe Flash 취약성, MS XML, Midi IE 취약성이 복합적으로 사용되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

 

기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰되고 있어서 위험성이 높습니다. 또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하시기 바랍니다.

 

기술 분석 보고서에 전체 URL이 공개된 국내 사이트들은 악성링크로 직접 이용 되거나 최종 악성코드가 다운로드 된 곳들의 주소는 여과 없이 공개가 되고 있으니 참고하시고 금주 차에는 언론사 및 국내 기업, 기관들의 주소가 직접 기술 되어 있습니다.

 

기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있습니다. 현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 변화된 형태를 보이고 있으며 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 계속 되고 있습니다. – 8 2주차 부터 관찰된 변화는 금주 차에도 계속 강도가 높아지고 있어서 즉시적인 대응책이 지금 당장 필요합니다.

 

PCDS(Pre-Crime Detect System) 탐지 내역

 

PCDS 상에서는 최초 악성링크 탐지와 MalwareNet에 대한 추적, 최종 악성파일에 대한 수집까지 체계적으로 통합 운영이 되고 있습니다.

 

PCDS에 탐지된 내용을 바탕으로 하여 공격자들의 전략을 확인해 보면, 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있습니다. 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며, 때로는1시간에 한 번씩 최종 악성코드를 변경하는 지금의 상황에서 대응이 가능한 보안체계는 거의 없습니다. 백신은 백신만의 역할 부분이 있으며, 현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야 합니다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로, 대응적인 측면에서 한계를 보일 것으로 판단됩니다.

 



< MalwareNet totime.co.kr/xxx.js 최종악성코드 변화내역 추적도>

 

한국전자인증에 삽입되었던 악성링크(totime.co.kr/xxx.js)에서 최종 다운로드되는 악성코드 내역입니다. 보는 것과 같이 총 5번 변화가 되었습니다. 악성코드가 백신에 탐지를 회피하기 위해  비정기적이며 수시로 악성코드를 변경합니다. PCDS의 경우 바이너리의 최종 해쉬값이 다를 경우 모두 수집이 되고 있습니다.

 



<VirusTotal에서 악성코드를 진단한 내역 - 국내 제품 모두 우회>

 

최종 유포단계에 있는 악성파일의 경우 백신 프로그램의 탐지여부를 진단한 결과는 국내에서 자주 쓰이는 제품을 모두 우회하고 있는 것을 볼 수 있습니다. 참고로, 24 ~ 48시간이 지난 후에는 대부분의 백신이 진단하지만, 이미 공격자는 다른 악성코드로 변경하기 때문에 사실상 대응 효과는 미미한 상태이며 공격자가 유포한 악성코드의 영향력은 계속 되는 상태가 유지되고 있습니다.

 

* 최종 바이너리 수집의 경우 체크섬 값이 다르거나 변경이 되었을 때 수집이 되도록 되어 있으며 위의 항목은 빠르면 1시간 이내에도 최종 파일을 변경하는 형태를 직접 볼 수 있습니다. 이와 같은 악성코드들이 순식간에 수십여 곳의 서비스를 통해 즉시 감염을 시키고 있는 것이 현실입니다. 공격자들의 전술과 기동력은 타의추종을 불허합니다. 그 반면 대응은 어떤가요? 현재의 실상은 과연 어떨까요?

 

지금 분석되고 예상되는 모든 내용들은 지금 이 순간에도 발생하고 있는 현실입니다. 사건이 발생 된 이후에는 돌이키기 어렵듯이 사전 탐지와 사후 대응은 전혀 다른 범위입니다. 사전에 얼마나 대응을 하느냐가 가장 중요하며, 빠른 정보를 확보하여 대규모로 유포된 악성코드에 대응 할 수 있도록 사후대응 측면에서도 현재 수준 보다는 강도 높은 방안들이 절실히 요구됩니다.

 


게임 계정 탈취 및 백신 Kill, 게임 머니 및 아이템 거래 사이트 계정탈취 계속


 

본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다모든 기능은 BHO 관련된 공격에 연관 되어 있으며 해당 문제들은 이전 보고서에 첨부된 BHO 공격에 대한 전문분석 자료를 참고 하세요. ( 정식구독 기업/기관 대상)신규 가입 및 최근가입으로 인하여 전문분석 보고서를 받지 못한 곳들은 본 메일로 회신을 주시면 전달 드리겠습니다.

 

9 1주차부터 신용정보 조회, 아이템 매니아, 아이템 베이 사이트까지 계정 탈취 기능이 추가 되었습니다. 신용정보 조회 사이트에서 자신의 신용정보를 검색하다가는 자신의 개인정보가 노출될 수도 있습니다. 또한 아이템 매니아, 아이템 베이 사이트는 온라인 게임 아이템 거래 사이트입니다. 게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있습니다돈이 되는 곳은 모두가 대상이 되어 있는 상태입니다. 다른 모든 기기와 장비들에서도 금전화가 가능한 순간부터 현재의 공격 수준은 그대로 확장이 될 것입니다. 아직은 때가 안되었을 뿐입니다. 그 때는 머지 않았습니다.

 

          백신 무력화

 

프로세스명

프로그램명

sgbider.exe, vcsvc.exe, vcsvcc.exe

바이러스체이서

NVCAgent.npc, Nsvmon.npc, Nsavsvc.npc, NVC.npc, NaverAgent.exe

네이버백신

V3sp.exe, V3svc.exe, V3up.exe, MUpdate2.exe, SgSvc.exe, Sgui.exe, SgRun.exe, InjectWinSockServiceV3.exe, V3Light.exe, V3LTray.exe, V3Lsvc.exe, V3LRun.exe

AhnLab V3

AhnLab V3 Lite

AhnLab SiteGuard

AYUpdSrv.aye, AYRTSrv.aye, SkyMon.exe, AYServiceNT.aye, AYupdate.aye, AyAgent.aye

알약 (ALYac)

avp.exe

Kaspersky

avgnt.exe, avcenter.exe, avguard.exe, avscan.exe, avupgsvc.exe

Avira AntiVirus

avwsc.exe, AvastSvc.exe, ashUpd.exe, AvastUI.exe

avast!

shstat.exe, Mctray.exe, UdaterUI.exe

McAfee

msseces.exe

MSE

egui.exe, ekrn.exe

ESET NOD32

ccSvcHst.exe, Navw32.exe

Symantec Norton

updatesrv.exe, vsserv.exe, seccenter.exe, bdagent.exe, bdreinit.exe

BitDefender

avgam.exe, avgemc.exe, avgnsx.exe, avgrsx.exe, avgfrw.exe, avgwdsvc.exe, avgupd.exe

AVG

PCOTP.exe

넥슨 OTP

 

          게임 계정 탈취

 

프로세스명

프로그램명

gamehi.co.kr

게임하이

hangame.com, id.hangame.com

한게임

laspoker.exe

한게임 라스베가스포커

duelpoker.exe

한게임 맞포커

hoola3.exe

한게임 파티훌라

highlow2.exe

한게임 하이로우

poker7.exe

한게임 7포커

baduki.exe

한게임 로우바둑이

ExLauncher.exe, TERA.exe, tera.hangame.com

테라

netmarble.net

넷마블

pmang.com

피망

ff2client.exe, fifaonline.pmang.com

피파 온라인2

Raycity.exe

레이시티

www.nexon.com, login.nexon.com

넥슨

df.nexon.com, dnf.exe

던전 앤 파이터

DragonNest.exe, dragonnest.nexon.com

드래곤 네스트

baramt.exe, WinBaram.exe, baram.nexon.com

바람의 나라

mabinogi.nexon.com, heroes.nexon.com, heroes.exe

마비노기 영웅전

MapleStory.exe, maplestory.nexon.com

메이플 스토리

x2.exe, elsword.nexon.com

엘소드

dk.halgame.com, dkonline.exe

DK 온라인

clubaudition.ndolfin.com

클럽 오디션

www.capogames.net, samwinfo.capogames.net

삼국지w

fairyclient.exe

로한

plaync.co.kr

엔씨소프트

bns.plaync.com

블레이드 & 소울

lin.bin

리니지

AION.bin, aion.plaync.jp

아이온

kr.battle.net

블리자드 배틀넷

wow.exe

월드 오브 워크래프트

Diablo III.exe

디아블로III

 

 

          게임 머니 & 게임 아이템 & 문화상품권 계정 탈취

 

사이트 주소

사이트 이름

www.booknlife.com

북앤라이프

www.cultureland.co.kr

컬쳐랜드

www.happymoney.co.kr

해피머니

www.teencach.co.kr

틴캐시

auth.siren24.com

신용정보 조회

itemmania.com

아이템 매니아

www.itembay.com

아이템 베이

 

* URL의 경우는 브라우저 상에서 BHO (Browser Helper Object)로 등록이 되어 모니터링을 하다가 해당 URL로 주소가 입력이 되거나 접속이 될 경우에 html 내용을 변조 하거나 계정에 관련된 키 입력값을 빼내도록 제작되었습니다. 은행에 대한 피싱의 경우 최종 설치되는 악성파일 내에 다수의 정보들이 하드코딩되어 있는 상태로 활용 되고 있었습니다.

 

차단 권고 대역

 

아래 영역은 이미 공격자가 권한을 통제하고 있는 IP대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재 활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각 기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다. 악성링크에 이용 되는 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해 강력한 차단을 유지하실 것을 권고 합니다.

 

          기술 분석 보고서에는 별도의 차단 대역들을 제공하고 있으므로 참고하시기 바라며, 사안별로 모니터링 및 차단에 적극 활용 바랍니다.

          국내 통신사의 경우 C Class가 아닌 직접 IP를 등록 하였으며 이미 공격자가 권한을 가진 상태에서 악성코드 유포 경로로 직접 활용하고 있는 상태여서 제한적인 차단이 필요하며, 업무와 연관성이 있는지 여부는 각 기업 및 기관에서 잘 판단 하셔서 차단에 활용하시기 바랍니다. 9 4주차부터 차단 권고 대역은 최근 1~2개월을 기준으로 전달 드리도록 하겠습니다. 이전의 차단 목록이 필요한 기업 및 기관은 info@bitscan.co.kr 로 요청해 주 세요.

 

- 66.69.(180,187).X, DSCS Pacific Star, LLC, USA 11/3


 

악성코드 감염 이후 접속 URL - 차단 및 모니터링 필요한 부분

 

본 내용은 악성코드가 PC에 감염된 이후에 외부로 연결 시도를 하고 명령을 받는 주소들입니다. C&C 연결 을 시도하는 봇넷과 같은 개념으로 볼 수 있습니다. C&C 서버의 차단과 관련된 핵심적인 내용입니다. 차후 별도 차단 서비스를 기획하고 있으며 해당 내용은 별도 서비스 확산 시에 보고서 상에서만 일부 제공될 예정입니다. 실험적으로 Outbound 연결 시에 Destination IP가 본 URL일 경우는 100% 좀비 PC및 백도어, 루트킷 등에 감염된 것이므로 직접 내부망에서 감염된 좀비 PC를 찾아내는 것이 가능해 집니다. 기술 분석 보고서 내에는 추가적인 차단 정보들이 존재함으로 확인 하시고 적용 하시는 것이 필요합니다.

 

특정 URL로 접속하여 추가 명령 대기


hxxp://koreanm.com (포트:2000) -샘플



 

* 붉은색으로 선택된 도메인들은 모두 현재 다수가 국내 환경에 뿌려져 있는 다운로더 및 C&C 서버로 이용되는 파일 및 도메인들입니다. 해당 도메인은 불시에 활성화 되어 추가적인 피해가 계속 될 수 있으므로 본 메일을 받으시는 기관 및 기업에서는 그에 맞는 대응을 하시기 바랍니다. 기업은 해당 도메인으로 접속하는 PC가 있을 경우 이미 좀비 PC화가 되었으므로 절차에 맞게 처리를 하시면 되고 국가기관 차원에서는 차단 정책을 즉시 수행 하여야 할 것으로 보입니다.

 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 금주의 총평으로는 공인인증서 업체인 한국전자인증 홈페이지 해킹으로 인한 공인인증서에 대한 신뢰 추락, 인터넷뱅킹 피싱 악성코드 대량 유포, 악성코드 탐지 회피하기 위해 국내 사이트에 직접 악성코드 유포, 언론사, 파일공유, 커뮤니티 등을 통한 악성코드 유포이슈, 거의 대부분의 외부 연결을 시도하는 악성코드들 대부분이 C&C 서버와 연결하는 형태를 꼽을 수 있습니다. 향후 대형사고가 일어날 것 같은 하인리히의 법칙에서 의미하는 위험시그널 수치는 계속 증가 중입니다. 민감한 시기입니다. 적극적인 대응과 노력으로 피해를 예방해야 합니다. MalwareNet의 활용과 위험에 대해 계속 언급 하였습니다. 그리고 지금 관찰되는 상태는 최종 악성코드의 성격과 범위 모두 일정 수준의 임계치를 넘은 상황입니다.

 

2년 이상을 온라인상에서 꾸준히 공격을 시도하고 있는 공격자들을 모니터링 한 결과에 따르면 공격기법과 기술은 한 주가 다르게 변화하고 진화하고 있습니다. 그 반면에 대응 기술 측면에서는 발전은 지지부진함을 보이고 있습니다. 공격은 적극적인 유포망 확대, 감염 기술의 고도화, 최고 공격기법들의 즉시적인 실전투입으로 귀결이 됩니다.

 

발전적인 협력

 

빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

감사합니다.

 

       본 정보제공 서비스는 공개, 재 배포 금지(내부에서만 활용), 비영리 목적으로만 활용 가능합니다. 공익적인 목적으로 기관에 제공되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.

       시범 서비스는 순차적으로 1개월 경과 시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.

       정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/담당자/연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.

       본 서비스의 권리는 빛스캔에 있으므로 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.

       본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre-Crime Detect System)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.

 

Posted by 바다란

 

[빛스캔+KAIST] 11 1주차 브리핑



 

 

한국 인터넷 위협분석 보고서( 악성코드는 생활속 가까이 )

 

빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 11 1주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS (Pre Crime Detect System )의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다. 본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.

 

         1.       악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

         2.       악성링크가 공격에 활용에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 – 패치

         3.       내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

 

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.

 

Summary

 

11 1주차는 10 4주차와 발생 빈도상으로는 유사한 수치의 신규 악성링크가 탐지 되었으나 성격은 매우 다른 유형의 특징이 발견되었습니다. 10 4주차의 게임계정 탈취용 ( 최근 금융기관의 피싱사이트 연결 기능도 일부 탑재된 유형) 악성코드가 다수 발견 되었다면 11 1주차의 악성코드 유형들은 매우 다른 구성도를 가지고 있고 위험성이 높다고 판단 되고 있습니다. 금주에 발견된  악성코드 유형으로 DDoS 공격을 수행할 수 있는 봇 에이전트와 다운로더들의 수치가 높은 수준으로 증가한 형태를 보이고 있으며 악성코드 감염 이후 연결하는 URL IP 주소를 모두가 C&C 형태의 구성을 보이고 있는 상태입니다. 현재 빛스캔에서 관찰하고 추적한 결과로는 최소 300여 곳 이상의 웹서비스들에서 악성코드 감염 시도가 발견 되었으며 모두 이름 모를 방치된 사이트들은 아니라는 점입니다. 


악성코드 유형

11월 1주(건)

10월 4주(건)

전주 대비 증가(건)

루트킷 (Rootkit) / 백도어

-

-

-

게임계정 탈취

9

24

▼15

봇 에이전트

6

1

▲5

다운로더

11

2

▲9

트로이 목마

-

-

-

분류 미상

-

-

-

< 10월 4주차 대비 악성코드 유형 - 봇 에이젼트와 다운로더의 증가가 의미 심장함>


 또 하나의 특징으로는 오랜기간 (최소 6개월 이상) 활동을 하지 않았던 MalwareNet들과 언론사, 파일공유, 커뮤니티 사이트들이 금주차 악성코드 감염시에 직접 활용이 된 것이 관찰 되었습니다현재 예의주시가 필요한 봇넷 에이젼트 및  다운로더 기능의 악성코드들 다수가 예의 주시하고 있는 다단계 유포망(MalwareNet)을 통해 대규모 유포된 정황이 있어서 위험 수준이 매우 높은 상태입니다.

봇 에이전트 유형으로는 크게 세 가지가 발견되었습니다.

 

첫째, 분산서비스거부공격(DDoS, Distributed Denial of Service attack) 공격을 수행할 수 있는 에이전트.

둘째, 키로거 정보 유출형 봇 에이전트.

셋째, 화면 정보 유출형 봇 에이전트 유형.

 

키로거 정보 유출형 봇 에이전트는 실시간으로 입력되는 키보드의 정보를 유출하는 악성코드로서 악성코드 감염 PC를 사용하는 사용자의 개인정보, 신용카드 및 금융기관 비밀번호 등 다양한 정보를 유출시킬 수 있습니다. 화면 정보 유출형 봇 에이전트 또한 사용자 화면에 표시되는 정보를 유출하는 기능을 가지고 있습니다. 특히 이번에 발견된 화면 정보 유출형 봇 에이전트는 특정 온라인 도박게임 혹은 온라인 게임에 접속할 경우 추가적인 악성코드를 다운로드하고 해당 화면 정보를 유출하는 기능을 가지고 있었습니다. 기존에 발생하던 DDoS 공격형 봇 에이전트 또한 5건이 발생하며 기존 발생량보다 훨씬 증가한 유포 양상을 보이고 있습니다.

 

악성코드 유포 언론사

최근 유포일

이전 유포일과의 간격

이토마X

2012 10 29

9

브레XX뉴스

2012 10 10

28

베X뉴스

2012 7 13

117

미디어X뉴스

2012 10 23

15

경X신문

2012 9 24

44

뉴XX이

2012 10 29

9

대XX

2012 10 29

9

유니XX스

2012 6 17

143

xx 신문

2012 8 1

98

XX경제

2012 1 27

285

국X신문

2012 11 3

4

문화xx뉴스

2012 11 2

5

영X종합

2012 9 8

60

조세XX

2012 2 13

268

연XX스

2012 11 4

3

<금주 악성코드 유포에 이용된 언론사 웹서비스의 유포주기>

 

*11 1주차에 관찰된 악성코드 유포에 이용된 경유지들중 자주 관찰되는 유형들만 등재 되었으며 모두 중복 횟수 이상 유포 되었을 경우만을 산정하여 목록화된 내용입니다. 중복이 아닌 일회성 유포의 경우 다수의 언론사 웹서비스들이 추가될 수 있습니다. 가장 최근 유포에 이용되었던 일시와의 간격을 나타내고 있으며 11 1주차 악성코드 유포에 자주 활용 되지 않던 웹서비스들도 동원되어 활용 되었음을 의미하고 있습니다. 근원적인 문제를 해결하지 않은 상태에서 문제 부분만을 삭제하는 미봉책이 계속해서 반복됨을 여실히 확인 할 수 있습니다.

 

11 1주차는 평균 83일 동안 악성코드 유포에 사용되지 않았던 언론사 10여개 사이트를 이용하여 또 다시 악성코드를 유포하는데 사용하였습니다. 악성코드 유포 활성화 주기가 짧을수록 악성코드 유포에 자주 악용되고 있다는 뜻입니다. 금주차에만 단독 출현한 언론사들도 다수 있음을 알려 드립니다. 그만큼 악성코드는 일상생활의 가까이에 있습니다.

 

손쉽게 사용자 PC들에서 감염 여부를 확인 할 수 있는 방법은 다음과 같습니다. 공격자들은 항상 중복 감염을 방지하기 위해 쿠키값을 이용하는 것을 확인 할 수 있는데 일반적인 공격 형태는 다음과 같습니다.

 

if(document.cookie.indexOf('ralrlea')==-1){var expires=new Date();expires.setTime(expires.getTime

 

()+12*60*60*1000);document.cookie='ralrlea=Yes;path=/;expires='+expires.toGMTString();document.write(unescape("%

위에서 보듯이 악성코드의 중복 실행에 대한 감염방지를 위해 쿠키값을 설정하는 것을 확인 할 수 있습니다. 위의 코드에는 “ralrlea” 쿠키값이 이용 되는 것을 보고 있습니다. 최근 다수 이용 되었던 공격코드들이 이용한 쿠키 값 목록은 다음과 같습니다.

 

KWZAooZ,JS0W,BFvLf4,Udz1szV,ralrlea ,KWZAooZ ,BpCs8 ,bucLi1 ,KnNX4 ,QXuMB2 ,bucLi1 ,IPFr7 ,bgeeNQ5 ,xLCKv2 ,ebiE4 ,eLdI1 ,bgeeNQ5 ,RBRqFVT7 ,xLCKv2 ,bgeeNQ5 ,dEAEMiQ3 ,pGOOM0 ,rXBUmFE0 ,FMQYWu8 ,xuCofq8 ,YMVq5 ,VYCuVn6 ,yWEPL0 ,WreENO6 ,yWEPL0 ,zTbPGAB5 ,fYpHyS8 ,GpBVFtF8 ,YMdRq4 ,GpBVFtF8 ,YMdRq4 ,ckttcywaxx ,zgaaRs1 ,JnlC7 ,HpnIO3 ,xJTDfnt1 ,MoLL7 ,ayLmDsj8 ,HPeia3 ,iqifV6 ,kWTSlh1 ,xhMcLk5 – 본 쿠키값들은 10월부터의 활용 쿠키값입니다.


http://p4ssion.com/319  참고 하세요.

 

쿠키값 확인은 각 브라우저 주소창에 javascript:document.cookie 코드를 입력 하시면 확인 가능합니다. 물론 쿠키값의 유효기간이 있어서 영향력은 없겠으나 각 쿠키값들의 확인만으로도 지난주의 악성코드감염을 일부 확인 및 추정 할 수 있습니다.

 

빛스캔의 PCDS에서 탐지한 최근 악성코드를 유포한 시점부터 11 1주차에 발견된 기간까지 평균 83( 3) 정도의 활성화 주기가 있었습니다. 악성코드를 유포하는데 하나의 도메인에서 지속적으로 유포를 한다면 탐지될 확률이 그만큼 높기 때문에 주기적으로 유포 도메인을 변경하고 있는 것으로 판단됩니다. 항상 관찰하고 탐지를 회피하기 위한 공격자들의 노력을 확인할 수 있습니다.

 



<네이버 뉴스캐스트 목록, 포털 사이트에서 검색하다가 악성코드 감염>

 

이중에 경남신문, 국제신문, 조세일보 등은 네이버 뉴스캐스트에 등록되어 있습니다. 한가한 주말 포털 사이트에서 뉴스를 보던 도중 선정적인 문구에 홀려 클릭한다면 자신의 컴퓨터는 좀비 PC가 되는 것이 지금의 현실입니다. 다른 언론사들도 상당히 많은 유포 이력들이 존재하나 11 1주차의 경우에는 오랜기간 악성코드 감염에 이용 되지 않던 다수의 웹서비스들이 이용 된 상태여서 언론 분야에 한정해서만 위험성을 알려 드립니다. 이외에도 파일 공유도 근 6개월 만에 여러 사이트들에서 동시에 유포하는 정황이 포착 되었으며 공격이 차주 관찰에도 계속 될 시에는 공개 하도록 할 예정입니다.


특정 이슈에 대해 미리 다수의 좀비 PC를 확보해야 할 필요성이 있어서 적극적으로 활동을 한 것으로 추정을 할 수 있습니다저희쪽에서 보기에는 대선을 앞둔 국내의 상황에 비추어 볼 때 특정 이슈에 대해 사용할 목적으로 대규모 사전 확산 시도라고 판단을 우선 하고 있는 상태입니다. 차주의 공격 형태를 보면 분명해 질 것으로 예상 됩니다.

 

금주차에는 데일리게임이라는 게임 커뮤니티에서 또 다시 악성코드를 유포하였습니다. 이곳은 지난 1년간 수시로 방문자들에게 악성코드를 유포하였기에 위험도가 높다고 판단하여 기사화[1]를 하였습니다. 10 4주차에는 두루누리 사회보험[2], 아주대학교[3], 미스터피자[4] 등 대처가 전혀되지 않아 기사화를 하였습니다. 많은 분들이 보고 현재 국내의 문제점을 개선하는 방향으로 나아갔으면 하는 바람입니다. 기사화를 통해 주의를 환기 시켰음에도 불구하고 금주차에도 동일한 유형의 악성코드 유포 시도가 계속 발생되었으며 문제 상황은 계속 될 것으로 예상 되고 있습니다.

 



<미스터피자 SNS를 이용한 홍보 마케팅>

 

미스터피자 같은 경우에는 SNS를 사용하여 20% 할인이라는 매력적인 가격으로 고객들을 끌어모아 파급력이 상당할 것으로 보입니다. 이벤트와 홍보를 같이 겸하고 있어서 SNS 매체를 통해 홍보를 하고 상당수의 방문자들을 유인하고 있습니다. 그러나 결국에는 그 방문자들 모두에게 20%의 할인과 함께 악성코드 세트도 동시에 제공하는 현재의 모습입니다.

 

왜 악성코드에 감염이 되는지? ? 웹서버는 악성코드를 유포하는지? 악성코드를 유포하는 서버는 어떻게 해서 유포하게 됐는지? 근본적인 원인을 생각해보는 계기가 되었으면 좋겠습니다.

SNS가 긍정적인 부분에서는 많은 부분 효과가 있지만 이렇게 악성코드를 유포하는 사이트로 접속을 유도할 수도 있으므로 주의를 기울여야 할 것입니다.

 

현재 빛스캔에서 탐지하는 유형은 단순히 이메일을 통한 타켓형 APT가 아닌 웹서비스를 방문하는 모든 방문자를 대상으로 한 대규모 유포이며, 확산도가 높아서 위험성이 높은 상태입니다. 따라서 기업/기관별로 인터넷 접근시에 많은 보호대책을 적극 반영 하여 대응을 하셔야 할 것으로 보입니다. 기존 악성코드들의 분석 결과도 단순 게임계정 탈취에서 계속 변화하는 형태를 보이고 있어 앞으로의 변화를 가늠하기 어려운 상황입니다. 이미 농협의 사례를 통해 APT나 내부망을 공격 하는 악성코드가 가진 위험성과 파괴력은 충분히 경험을 한 상태이므로 현재 웹서비스를 통해 감염시도를 하는 악성코드 자체의 위험성은 높은 수준이라 할 수 있습니다.

 

금주 공격의 특징을 정리하면 다음과 같습니다.

 

1.        제로보드 4.X 악성코드 유포를 위한 공격 다수 발생( - 지난 주에 이어 주중에도 계속 시도됨)

2.        9 4주차, 10 2주차 이후 또다시 DDoS 공격 수행 악성코드 유포

3.        국내 언론사 10여개 이상의 사이트에서 악성코드 유포, 평균 활성화 기간 3개월, 네이버 뉴스캐스트에서 기사 클릭시 감염, 다수의 3~4개월 이전에 활용되었던 유포 통로들이 재활성화되어 이용됨

4.        SNS 마케팅으로 인한 악성코드 파급력 확대

5.        8 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가(감염된 좀비PC들을 활용한 추가 위험이 발생할 수 있는 상태)

6.        APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속

7.        MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 적극적 으로 이용됨 ( 리스트 생략 - 언급된 MalwareNet 모두가 C&C 봇넷 에이젼트 유포에 이용 되었습니다.

8.       3.4 7.7 DDos 형태와 유사성을 지니는 다운로더 발견 계속

9.        최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨

10.           백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속

11.           게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속

12.           백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨

 

* 사용자가 특정은행 접속시에 피싱 사이트로 유도하거나 HTML 내용을 변경하여 정보를 획득하는 형태의 악성코드들도 현재 다수 유포 되고 있는 온라인 게임 계정 탈취형 악성코드에 붙여진 부가기능이며 해당 기능들은 매우 적극적으로 이용이 되고 있습니다. 악성코드 확산을 통제할 수 있는 근본적인 대안과 대책들이 집중적으로 필요한 부분이라 할 수 있습니다.

 

* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5, 6월 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 예상대로 직접적인 ARP 스푸핑 공격코드 출현하였으므로 피해 발생이 예상되며, 지금까지 설명한 사항 모두 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용입니다.

 

 

MalwareNet ( 범위와 변화)

 

- MalwareNet: 공격자들이 공격효과를 높이고 탐지를 회피하기 위해 활용하고 있는 악성코드 유포 네트워크를 의미합니다. 일반적인 사이트에 악성링크를 직접 입력하는 것이 아닌 몇 단계를 거친 링크들을 입력하여 추적을 회피하고 악성코드 유포 효과를 극대화 하기 위해 사용되는 프레임을 MalwareNet으로 정의하고 있습니다. , 단 한번 악성링크의 내용을 변경하면 최대 300에서 최소 10여 곳에 이르기까지 동시에 동일한 악성코드 유포가 발생되는 상황을 나타내고 있습니다.

 

다단계유포망(MalwareNet)은 유통구조 패러다임의 혁신입니다.

우리가 주변에서 자주 볼 수 있듯이 우리가 '김치'를 먹기 위해서는 생산자가 밭에 배추 씨를 뿌립니다. 배추가 병충해 피해를 입지 않도록 잘 관리 후에 농∙수산물 도매시장에 판매합니다. 도매시장에서는 도매상들이 경매를 통해 큰 단위로 배추를 삽니다. 도매상들은 소매상들에게 다시 판매를 합니다. 소매상들은 다시 소비자들에게 판매합니다.

우리나라의 복합적인 유통 생태계입니다. 각 생산자, 도매상, 소매상 등의 중간 마진, 유통시간 등이 포함되어 있습니다.

 

생산자 : 농부

도매상 : 농수산물 도매시장(가락시장)

소매상 : 소매점포(일반 과일 가게)

소비자 : 일반 구매자

 



<악성코드 유포 패러다임과 유통 생태계(피라미드)>

 

현재 온라인에서 공격자들이 행하는 악성코드 유포는 유통구조의 근본적인 패러다임을 바꾸어 놓고 있습니다. 기존의 공격을 위해 해킹을 하거나 사용자를 속이는 피싱메일, 웜을 통한 감염에서 이제는 불특정 다수에 대한 대규모 감염 시도와 짧은 유포 주기를 통해 정체를 은폐하는 것과 같은 전략적인 움직임들이 대거 관찰 되고 직접 영향을 미치고 있습니다. 패러다임 쉬프트는 이제 정착이 된 것으로 보입니다예를 들어 오프라인 유통 구조에서는 배추 씨앗을 뿌리고 수확하는데 일정한 주기(몇 개월)가 필요합니다. 하지만 온라인에서는 씨앗(악성코드)을 뿌림과 동시에 자라납니다. 공격자는 언제든지  씨앗의 종류를 다르게 하고 언제든지 변경할 수 있습니다.

 

중간마진 Zero, 유통시간 Zero, 판매효과는 즉시 ( 최소 10명중 6명에게는 강제판매 가능 )

생산자 : 최종 악성코드

도매상 : MalwareNet(동일한 경로를 활용한 유포 통로)

소매상 : 악성코드 경유지(언론사나 파일 공유 사이트 등)

소비자 : 방문자

 



<MalwareNet 다단계 악성코드 유포 경로>

 

본 정보제공 서비스에서는 MalwareNet의 특성상 대규모 피해가 상시적으로 발생될 수 있으므로 상위 리스트에 한해 부분 공개를 하고 있습니다.

 

MalwareNet을 통해 영향력을 가지는 악성링크들은 탐지 회피를 위해 비정기적이고 수시로 변경됩니다. 금주 차에서는 사후 대응으로는 탐지할 수 없는 형태인 MalwareNet의 활용 사례를 살펴 보겠습니다. 공격자의 의도에 의해 조종당하고 있는 현실에서 사후대응과 사전대응의 차이는 매우 큰 차이를 가질 수 밖에 없으며 , 선제적인 사전대응이 얼마나 중요한지 확인 할 수 있습니다. MalwareNet 자체를 여러 곳 활용하는 형태도 전주에 이어 계속 발견되고 있으며, 금주에는 www.xxxxnaver.com/Ad.js 이 적극적으로 이용이 되고 있는 상황입니다.

 

현재 시간에도 영향력을 유지하고 있으므로 대응이 필요하며 수시로 최종 악성코드들이 변경되고 있어서 탐지 및 대응에 어려움이 있을 것으로 판단됩니다. 최종 악성코드들에 대한 탐지율도 높지 않아 항상 위험에 노출 되어 있는 상태라 볼 수 있습니다. 단기간에 대규모 유포망 구축을 하는 형태가 끊임없이 관찰이 되고 있습니다. 주중에는 통계정보를 수집하고 간헐적으로 공격에도 이용 되고 있는 형태를 보이고 있습니다. 평상시에는 해당 링크가 존재하지 않다가 공격 시점에만 활성화되고 있는데 이 점은 공격자가 해당 서비스에 대한 완벽한 권한을 행사하고 있음을 의미 합니다. 단순한 링크 삭제로는 해결책이 되지 않음을 염두에 두어야 할 것입니다.

 

 www.xxxxxnaver.com/Ad.js 다단계유포망(MalwareNet) 은 금주에 악성코드를 유포한 언론사에 다수 포함된 것으로 확인되었습니다. 사회공학적 기법까지 동원하여 악성코드를 유포하는데 악용하고 있는 것으로 판단 됩니다. 네이버라는 도메인명이 들어감으로 네이버와 관계된 도메인으로 오인할 수도 있도록 하여 탐지 및 판단을 회피하고자 한 목적으로 보입니다. 네이버라는 신뢰받는 서비스 사이트에서 내려오는 파일들의 경우 화이트리스트 형식으로 등재되어 탐지 및 보호 도구들을 우회하는 사례가 많기에 앞으로도 유사한 행위들은 계속 관찰 될 것으로 예상 됩니다.

 



<naver이름을 활용한 악성링크 확산도 >

 

* 악성코드 유포에 이용된 웹서비스들은 정식 구독 기관/ 기업에게만 제공 되며 브리핑에서는 생략됩니다.

 

*PCDS Impact Factor는 내부 수집된 체계에서 전파 범위를 고려한 내부 위험지수이며 MalwareNet의 추적과 영향도 추적을 위해 활용되는 수치입니다. 높을수록 은밀하면서도 파급력이 높은 상태라는 점을 의미하고 있습니다.

 

현재의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있습니다. 기본적인 문제를 해결할 수 있는 보안패치는 반드시 적용해야만 위험을 줄일 수 있으니 반드시 기관/ 기업 내부적으로 강력한 권고가 되어야 합니다. Oracle Java취약성, Adobe Flash 취약성, MS XML, Midi IE 취약성이 복합적으로 사용되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰되고 있으므로 전체 보안 수준 관리에 노력을 강력히 기울여야 전체의 위험수치가 낮아질 수 있습니다.

 

기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰되고 있어서 위험성이 높습니다. 또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하시기 바랍니다.

 

기술 분석 보고서에 전체 URL이 공개된 국내 사이트들은 악성링크로 직접 이용 되거나 최종 악성코드가 다운로드 된 곳들의 주소는 여과 없이 공개가 되고 있으니 참고하시고 금주 차에는 언론사 및 국내 기업, 기관들의 주소가 직접 기술 되어 있습니다.

 

기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있습니다. 현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 변화된 형태를 보이고 있으며 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 계속 되고 있습니다. 11 1주차인 금주차 보고서와 브리핑에 기재된 C&C 주소와 봇넷 에이젼트 유형에 대해서는 강력한 방안들을 강구 해야 할 것입니다.

 

 

PCDS(Pre-Crime Detect System) 탐지 내역

 

PCDS 상에서는 최초 악성링크 탐지와 MalwareNet에 대한 추적, 최종 악성파일에 대한 수집까지 같이 운영이 되고 있습니다.

 

PCDS에 탐지된 내용을 바탕으로 하여 공격자들의 전략을 확인해 보면, 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있습니다. 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며, 때로는1시간에 한 번씩 최종 악성코드를 변경하는 지금의 상황에서 대응이 가능한 보안체계는 거의 없습니다. 백신은 백신만의 역할 부분이 있으며, 현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야 합니다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로, 대응적인 측면에서 한계를 보일 것으로 판단됩니다.

 



<빛스캔 PCDS를 활용한 금일에도 살아있는 악성링크를 통해 수집된 최종 악성코드 2012.11.7 15:00>

 

현재도 활성화된 상태이며 금일 보고서를 작성하는 11.7일 현재에도 제로보드 버전에 대한 공격을 통한 악성링크 추가와 MalwareNet을 활용하는 신규 유형이 발견 되고 있습니다. 모두 원격 통제가 가능한 Agent C&C 서버와 통신을 하는 악성코드 유형입니다. 주중에도 상시적으로 출현하고 있는 것이 지금의 현실입니다.

 

* 최종 바이너리 수집의 경우 체크섬 값이 다르거나 변경이 되었을 때 수집이 되도록 되어 있으며 위의 항목은 빠르면 1시간 이내에도 최종 파일을 변경하는 형태를 직접 볼 수 있습니다. 이와 같은 악성코드들이 순식간에 수십여 곳의 서비스를 통해 즉시 감염을 시키고 있는 것이 현실입니다. 공격자들의 전술과 기동력은 타의추종을 불허합니다. 그 반면 대응은 어떤가요? 현재의 실상은 과연 어떨까요?

 

지금 분석되고 예상되는 모든 내용들은 지금 이 순간에도 발생하고 있는 현실입니다. 사건이 발생 된 이후에는 돌이키기 어렵듯이 사전 탐지와 사후 대응은 전혀 다른 범위입니다. 사전에 얼마나 대응을 하느냐가 가장 중요하며, 빠른 정보를 확보하여 대규모로 유포된 악성코드에 대응 할 수 있도록 사후대응 측면에서도 현재 수준 보다는 강도 높은 방안들이 절실히 요구됩니다.

 

 

게임 계정 탈취 및 백신 Kill, 게임 머니 및 아이템 거래 사이트 계정탈취 계속

 

* 본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다. 모든 기능은 BHO 관련된 공격에 연관 되어 있으며 해당 문제들은 이전 보고서에 첨부된 BHO 공격에 대한 전문분석 자료를 참고 하세요. ( 정식구독 기업/기관 대상)신규 가입 및 최근가입으로 인하여 전문분석 보고서를 받지 못한 곳들은 본 메일로 회신을 주시면 전달 드리겠습니다.

 

9 1주차부터 신용정보 조회, 아이템 매니아, 아이템 베이 사이트까지 계정 탈취 기능이 추가 되었습니다. 신용정보 조회 사이트에서 자신의 신용정보를 검색하다가는 자신의 개인정보가 노출될 수도 있습니다. 또한 아이템 매니아, 아이템 베이 사이트는 온라인 게임 아이템 거래 사이트입니다. 게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있습니다. 돈이 되는 곳은 모두가 대상이 되어 있는 상태입니다. 다른 모든 기기와 장비들에서도 금전화가 가능한 순간부터 현재의 공격 수준은 그대로 확장이 될 것입니다. 아직은 때가 안되었을 뿐입니다. 그 때는 머지 않았습니다.

 

1.        백신 무력화

 

프로세스명

프로그램명

sgbider.exe, vcsvc.exe, vcsvcc.exe

바이러스체이서

NVCAgent.npc, Nsvmon.npc, Nsavsvc.npc, NVC.npc, NaverAgent.exe

네이버백신

V3sp.exe, V3svc.exe, V3up.exe, MUpdate2.exe, SgSvc.exe, Sgui.exe, SgRun.exe, InjectWinSockServiceV3.exe, V3Light.exe, V3LTray.exe, V3Lsvc.exe, V3LRun.exe

AhnLab V3

AhnLab V3 Lite

AhnLab SiteGuard

AYUpdSrv.aye, AYRTSrv.aye, SkyMon.exe, AYServiceNT.aye, AYupdate.aye, AyAgent.aye

알약 (ALYac)

avp.exe

Kaspersky

avgnt.exe, avcenter.exe, avguard.exe, avscan.exe, avupgsvc.exe

Avira AntiVirus

avwsc.exe, AvastSvc.exe, ashUpd.exe, AvastUI.exe

avast!

shstat.exe, Mctray.exe, UdaterUI.exe

McAfee

msseces.exe

MSE

egui.exe, ekrn.exe

ESET NOD32

ccSvcHst.exe, Navw32.exe

Symantec Norton

updatesrv.exe, vsserv.exe, seccenter.exe, bdagent.exe, bdreinit.exe

BitDefender

avgam.exe, avgemc.exe, avgnsx.exe, avgrsx.exe, avgfrw.exe, avgwdsvc.exe, avgupd.exe

AVG

PCOTP.exe

넥슨 OTP

 

2.     게임 계정 탈취

 

프로세스명

프로그램명

gamehi.co.kr

게임하이

hangame.com, id.hangame.com

한게임

laspoker.exe

한게임 라스베가스포커

duelpoker.exe

한게임 맞포커

hoola3.exe

한게임 파티훌라

highlow2.exe

한게임 하이로우

poker7.exe

한게임 7포커

baduki.exe

한게임 로우바둑이

ExLauncher.exe, TERA.exe, tera.hangame.com

테라

netmarble.net

넷마블

pmang.com

피망

ff2client.exe, fifaonline.pmang.com

피파 온라인2

Raycity.exe

레이시티

www.nexon.com, login.nexon.com

넥슨

df.nexon.com, dnf.exe

던전 파이터

DragonNest.exe, dragonnest.nexon.com

드래곤 네스트

baramt.exe, WinBaram.exe, baram.nexon.com

바람의 나라

mabinogi.nexon.com, heroes.nexon.com, heroes.exe

마비노기 영웅전

MapleStory.exe, maplestory.nexon.com

메이플 스토리

x2.exe, elsword.nexon.com

엘소드

dk.halgame.com, dkonline.exe

DK 온라인

clubaudition.ndolfin.com

클럽 오디션

www.capogames.net, samwinfo.capogames.net

삼국지w

fairyclient.exe

로한

plaync.co.kr

엔씨소프트

bns.plaync.com

블레이드 & 소울

lin.bin

리니지

AION.bin, aion.plaync.jp

아이온

kr.battle.net

블리자드 배틀넷

wow.exe

월드 오브 워크래프트

Diablo III.exe

디아블로III

 

 

3.     게임 머니 & 게임 아이템 & 문화상품권 계정 탈취

 

사이트 주소

사이트 이름

www.booknlife.com

북앤라이프

www.cultureland.co.kr

컬쳐랜드

www.happymoney.co.kr

해피머니

www.teencach.co.kr

틴캐시

auth.siren24.com

신용정보 조회

itemmania.com

아이템 매니아

www.itembay.com

아이템 베이

 

* URL의 경우는 브라우저 상에서 BHO (Browser Helper Object)로 등록이 되어 모니터링을 하다가 해당 URL로 주소가 입력이 되거나 접속이 될 경우에 html 내용을 변조 하거나 계정에 관련된 키 입력값을 빼내도록 고안이 된 상황입니다.

 

 

차단 권고 대역

 

아래 영역은 이미 공격자가 권한을 통제하고 있는 IP대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재 활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각 기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다. 악성링크에 이용 되는 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해 강력한 차단을 유지하실 것을 권고 합니다.

 

          기술 분석 보고서에는 별도의 차단 대역들을 제공하고 있으므로 참고하시기 바라며, 사안별로 모니터링 및 차단에 적극 활용 바랍니다.

          국내 통신사의 경우 C Class가 아닌 직접 IP를 등록 하였으며 이미 공격자가 권한을 가진 상태에서 악성코드 유포 경로로 직접 활용하고 있는 상태여서 제한적인 차단이 필요하며, 업무와 연관성이 있는지 여부는 각 기업 및 기관에서 잘 판단 하셔서 차단에 활용하시기 바랍니다. 9 4주차부터 차단 권고 대역은 최근 1~2개월을 기준으로 전달 드리도록 하겠습니다. 이전의 차단 목록이 필요한 기업 및 기관은 로 요청해 주 세요.

 

- 205.164.8.X  THE.NET, TEXAS, USA 11/1


예를 위해 한 곳만 공개하며 다른 차단 IP 대역은 정식 보고서 및 브리핑에서만 공개됨

 

 

악성코드 감염 이후 접속 URL - 차단 및 모니터링 필요한 부분

 

본 내용은 악성코드가 PC에 감염된 이후에 외부로 연결 시도를 하고 명령을 받는 주소들입니다. C&C 연결 을 시도하는 봇넷과 같은 개념으로 볼 수 있습니다. C&C 서버의 차단과 관련된 핵심적인 내용입니다. 차후 별도 차단 서비스를 기획하고 있으며 해당 내용은 별도 서비스 확산 시에 보고서 상에서만 일부 제공될 예정입니다. 실험적으로 Outbound 연결 시에 Destination IP가 본 URL일 경우는 100% 좀비 PC및 백도어, 루트킷 등에 감염된 것이므로 직접 내부망에서 감염된 좀비 PC를 찾아내는 것이 가능해 집니다. 기술 분석 보고서 내에는 추가적인 차단 정보들이 존재함으로 확인 하시고 적용 하시는 것이 필요합니다.

 

※ 특정 URL로 접속하여 추가 명령 대기 ( 예시로 공유)


han.ufohack.com(포트:9999)

dns01.wsadwsad001.com(포트:8180)


 

※ 사용자 PC에서 획득한 정보를 유출


생략

 

※ 추가로 악성 파일을 다운로드


생략

 

* 금주차의 접속 도메인들은 모두 현재 다수가 국내 환경에 뿌려져 있는 다운로더 및 C&C 서버로 이용되는 파일 및 도메인들입니다. 해당 도메인은 불시에 활성화 되어 추가적인 피해가 계속 될 수 있으므로 본 메일을 받으시는 기관 및 기업에서는 그에 맞는 대응을 하시기 바랍니다. 기업은 해당 도메인으로 접속하는 PC가 있을 경우 이미 좀비 PC화가 되었으므로 절차에 맞게 처리를 하시면 되고 국가기관,기업 차원에서는 차단 및 모니터링 정책을 즉시 수행 하여야 할 것으로 보입니다.

 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다.


금주의 총평으로는 언론사, 파일공유, 커뮤니티 등을 통한 악성코드 유포이슈, 장기간 악성코드 유포에 활용 되지 않았던 웹서비스들에서의 악성코드 유포상황, 거의 대부분의 외부 연결을 시도하는 악성코드들 대부분이 C&C 서버와 연결하는 형태를 꼽을 수 있습니다.  향후 대형사고가 일어날 것 같은 하인리히의 법칙에서 의미하는 위험시그널 수치는 계속 증가 중입니다. 폭발 임계치가 우리에게 가장 민감한 시기가 아니길…


민감한 시기입니다. 적극적인 대응과 노력으로 피해를 예방해야 합 니다. MalwareNet의 활용과 위험에 대해 계속 언급 하였습니다. 그리고 지금 관찰되는 상태는 최종 악성코드의 성격과 범위 모두 일정 수준의 임계치를 넘은 상황입니다.

 

2년 이상을 온라인상에서 꾸준히 공격을 시도하고 있는 공격자들을 모니터링 한 결과에 따르면 공격기법과 기술은 한 주가 다르게 변화하고 진화하고 있습니다. 그 반면에 대응 기술 측면에서는 발전은 지지부진함을 보이고 있습니다. 공격은 적극적인 유포망 확대, 감염 기술의 고도화, 최고 공격기법들의 즉시적인 실전투입으로 귀결이 됩니다.

 

 

발전적인 협력

 

빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

감사합니다.

 

       본 정보제공 서비스는 공개, 재 배포 금지(내부에서만 활용), 비영리 목적으로만 활용 가능합니다. 공익적인 목적으로 기관에 제공되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.

       시범 서비스는 순차적으로 1개월 경과 시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.

       정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/담당자/연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.

       본 서비스의 권리는 빛스캔에 있으며 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.

       본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre-Crime Detect System)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.

 

빛스캔 Facebook : www.facebook.com/bitscan 


[2]피자에서대학까지 악성코드 무차별 확산

http://www.zdnet.co.kr/news/news_view.asp?artice_id=20121102195203&type=xml

 

[3]아주대 사이트 해킹7주 연속 주말 악성코드 유포!

http://dailysecu.com/news_view.php?article_id=3147

 

[4]미스터피자·뉴스토마토 홈피, 악성링크 유포지로 악용!

http://www.boannews.com/media/view.asp?idx=33494&kind=1

Posted by 바다란

[빛스캔+KAIST] 10 3주차 브리핑

 

한국 인터넷 위협분석 보고서( 노골적인 공격의 시작 )

 

빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 10 3주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS( Pre Crime Detect System )의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다. 본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.

 

         1.       악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

         2.       악성링크가 공격에 활용에 활용하는 주된 취약성에 대한 내부 보안 강화 정책패치

         3.       내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

 

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.

 

요약:

 

10 3주차 동향은 10 2주차에 비해 주중 공격이 감소한 형태를 보이고 있습니다. 주말 공격은 전과 동일하게 일정 수준을 유지하고 있습니다.  10 2주차에는 주중에도 공격하는 양상을 보였으나 금주에는 주중 공격이 감소 하였습니다.  동향보고서를 참고하시면 매주 금요일에는 반복하여 상당 수준과 규모의 공격이 이루어 지고 있음을 알 수 있습니다. 10 2주차에 대규모로 발견된 C&C 연결을 시도하는 봇넷 에이젼트의 경우 금주차에서는 감소된 형태를 보이고 있습니다. 그러나 이미 뿌려져서 감염이 된 상태의 좀비 PC들이 상당한 수치에 이를 것이므로 추가 피해를 예방 하기 위해 전주차에 제공해 드린 C&C 서버들의 주소는 반드시 차단을 하고 네트워크 장비를 이용하여 해당 URL IP로 접속하는 PC가 있을 경우 내부적으로 분석 및 추가 피해 방지를 위해 충분한 조치를 취하시기 바랍니다. 백신 점검으로는 되지 않으며, 초기화가 바람직한 형태가 될 것입니다.

 



<금주에는 지금까지 비슷한 양상으로 주중에 공격이 감소>

 

금주에는 국내 최대 지상파 방송 웹사이트인 KBS에서 악성코드를 유포한 정황이 포착되었습니다. 해당 악성코드는 10 19(금요일) 20 56분경 최초 발견됐으며 이후 자정까지 계속해서 관찰되었습니다. 해당 악성코드 유포 사례에서 주목할 점은 뉴스 시작 시점인 밤 9시를 기점으로 악성코드 유포가 본격적으로 이루어졌다는 점인데, 이와 같은 사실을 통해 상당수 많은 방문자들의 PC가 향후 DDoS 공격에 사용될 좀비 PC가 됐을 가능성이 높습니다.

KBS DDoS를 방어하기 위해 LoadBlancing 웹서버를 여러 대 두었습니다. 그중에 한 군데가(서버 A) 해킹을 당해서 악성코드를 유포한 정황이 발견되었습니다. 이에 접속할 때마다 접속하는 웹서버가 A였다가 B로 바뀌고 C로 바뀝니다. 그리하여 악성코드가 유포가 발생 하는 경우도 있고 (서버 A 접속시) 유포되지 않는 경우도 관찰 되었습니다

 

KBS를 통해 유포된 악성코드는 게임계정 탈취와 원격 통제를 위한 RAT 성격을 지닌 악성코드가 유포 되었으며 금요일 이후 토요일까지도 계속 영향을 받은 것이 관찰 되었습니다. 국내 최대의 방송국 메인 웹서비스도 자유자재로 변경을 하는 공격자들이 못하는 것은 무엇이 있을까요?  항상 말씀드리듯이 웹 서비스가 변경이 되었다는 의미는 서버의 모든 권한이 탈취 되었다는 것과 동일하며 웹서비스와 연결 되어 있는 데이터베이스의 정보또한 손쉽게 탈취가 됨을 의미 합니다. 권한을 가지고 있는 상태에서 하지 못할 일은 아무 것도 없는 상태라 할 수 있습니다. 농협의 사례에서 보듯이 내부로 유입된 악성코드들은 추가 공격을 내부망에 대해서 시도를 할 수 있으며 원격에서 직접 통제를 할 수 있는 상태가 됩니다. 민감한 시기에 국영방송국에 대한 해킹과 악성코드 유포는 공격자들의 또 다른 자신감을 의미 하고 있습니다.  언제든 권한을 획득하고 컨텐츠를 변경하며 내부망을 교란 할 수 있는 상태에 도달해 있는 시점이라 단언 할 수 있습니다.

 

* KBS 웹 서비스 방문자 PC를 공격하는 취약성은  최신 Java, IE, Flash 취약성을 복합적으로 공격하는 공격기법들이 이용 되었으며 방문자 상당수에게 직접적인 영향을 미쳤을 것으로 판단 됩니다. 최소 60% 이상의 감염 비율 예상됩니다. 악성링크는 금요일 저녁부터 토요일까지 영향을 미쳤습니다.

 





<10 19(금요일) 20:56 , 국내 최대 지상파 KBS에서 악성코드 유포 정황 포착>

 

※ DDoS(Distributed Denial-Of-Service attack, 분산서비스거부) : 인터넷상에서 다수의 시스템이 협력하여 하나의 대상 시스템을 공격함으로써 대상시스템은 과부하가 발생하게 됩니다. 이에 따라 정상적으로 서비스를 이용하려는 사용자조차도 서비스를 받을 수 없는 상황을 칭합니다.

 



<다수의 자동차가 좁은 길로 통과하려고 할 때 발생하는 병목현상이 DDoS라고 이해하시면 쉽습니다.>

 

※ LoadBalncing 서버 : 하나의 웹서버의 과부하를 막기 위해 여러대의 동일한 웹 서버를 두어 다수의 사용자가 접속하여도 정상적인 서비스를 할 수 있는 서버를 칭합니다. , 서비스 제공자측에서 원래는 과다 접속자를 처리하기 위한 용량 확보 방안 이였으나 경우에 따라서는 DDoS를 방어하기 위한 기본적인 대응체계로도 활용 되기도 합니다.

 





<하나의 서버가 있는 곳에 DDoS 공격 혹은 과다접속 시 서비스 중지 발생>

 



<KBS처럼 LoadBalancing을 이용한 다중 접속자 처리 체계 및 서비스 운영>

 

 

KBS에 삽입되었던 악성링크는 space, tab 방식으로 난독화되어 삽입되었습니다. 해당 난독화 방법은 악의적인 코드가 외형적으로 보이지 않도록 제작되어 있습니다. 혹여 관리자들이 소스를 볼 수 있다고 해도 '단순히 공백이구나' 라는 생각밖에 들지 않습니다.  또한 웹소스상에서 자주 사용 되는 Function을 흉내내어 작성 되어 있어서 관리자가 판별하기에는 상당한 어려움이 있을 것으로 예상이 됩니다.

 



<KBS 내에 삽입된 악성링크 난독화 방법>

 

※ space, tab 방식 악성코드 난독화 방법 출처(http://www.blackhat.com/presentations/bh-usa-08/Hoffman/Hoffman-BH2008-CircumventingJavaScript.ppt)

 

페이지 내에 포함된 악성링크는 오디션 정보를 제공하는 국내 웹 사이트이며, 최종 다운로드 악성코드는 게임계정 탈취와 원격제어도구(RAT, Remote Administration tool) 기능을 가지고 있는 것으로 각각 확인 됐습니다. 국내의 사이트를 해킹하고 악성코드와 공격코드를 올려둔 후에 국영 방송국의 웹서비스를 해킹하고 악성링크를 넣어두는 현재의 상태를 볼 수 있습니다.

또한 기존 악성코드 유포형태가 금요일을 기점으로 방문자가 많은 불특정 다수 사이트를 대상으로 한다면 향후에는 금번 사례에서와 같이 좀 더 지능화 되고 타깃화 된 양상의 악성코드 유포 형태로 발전할 것이라는 점도 충분히 예상 할 수 있습니다.

 

금주에는 온라인 도박 게임 정보 수집 악성코드가 출현하였습니다. 일명 뷰어(Viewer)라고도 불립니다. 해당 악성코드는 자신을 맥아피(McAfee) 백신으로 위장하여 서비스를 등록시키며, 사용자가 감염된 PC를 통해 도박 게임 사이트에 접속 시 특정 목적지로 게임 패 정보를 전송하거나 사용자의 화면을 전송하게 됩니다. 불특정 다수인 웹서비스 방문자들을 대상으로 유포된 상태로서 그만큼 목적이 다양하며 공격과 악성코드 유포가 쉬워진 상태를 의미 하고 있습니다.

 



<상대방의 패를 볼 수 있는 악성코드, 일명 뷰어(Viewer)라고 불림, 출처:KBS>

 

- 관련 기사 : http://news.kbs.co.kr/society/2012/03/23/2454124.html

 

또다른 특징으로는 금주차에 발견된 악성코드 중에서 아이콘으로 위장한 형태가 발견되었습니다. 아예 아이콘들을 통째로 올려놓아 공격자의 입맛에 맞게끔 사용하고 있다는 정황이 포착되었습니다. 이 유형은 기업이나 백신 업체에 대한 신뢰를 이용하여 사용자를 속이기 위한 기법들이며 9 4주차부터 꾸준히 사용되고 있으니 주의를 당부 드립니다.

 

국내 사이트(banner.xxx.co.kr)를 해킹해서 공격세트들을 업로드 하였으며, 웹 서버 설정 중 하나인 디렉토리 리스팅 금지가 원래 사이트에 되어 있지 않아서 흔적들이 그대로 노출이 된 것을 볼 수 있습니다. 배너광고를 제공하는 곳은 이런 형태로도 공격에 이용이 되고 있습니다.

 





<악성코드 유포 사이트 Directory Listing, 악성코드 및 아이콘들>

 



<정상 프로그램으로 위장하기 위한 아이콘들. 11번가, 구글, 지마켓, 네이트 등>

 

 

현재 빛스캔에서 탐지하는 유형은 단순히 이메일을 통한 타켓형 APT가 아닌 웹서비스를 방문하는 모든 방문자 를 대상으로 한 대규모 유포이며, 확산도가 높아서 위험성이 높은 상태입니다. 따라서 기업/기관별로 인터넷 접 근 시에 많은 보호대책을 적극 반영 하여 대응을 하셔야 할 것으로 보입니다. 기존 악성코드들의 분석 결과도 단순 게임계정 탈취에서 계속 변화하는 형태를 보이고 있어 앞으로의 변화를 가늠하기 어려운 상황입니다. 이미 농협의 사례를 통해 APT나 내부망을 공격 하는 악성코드가 가진 위험성과 파괴력은 충분히 경험을 한 상태이므로 현재 웹서비스를 통해 감염시도를 하는 악성코드 자체의 위험성은 높 은 수준이라 할 수 있습니다.

 

금주 공격의 특징을 정리하면 다음과 같습니다.

 

          국내 최대 지상파 방송 KBS 악성코드 유포 정황 포착. 해당 악성코드 발견 어렵게 하기 위하여 space, tab으로 난독화

          온라인 도박 게임 정보 수집 악성코드 출현

          정상 프로그램으로 위장하기 위한 아이콘들 악용. 11번가, 구글, 지마켓, 네이트 등

          8 1주차에 발견되었던 sl.php 유형의 Mass SQL Injection 공격 여전히 발생

          10 3주차는 10 2주차에 비해 주중 공격 감소

          8 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속부가적인 위험 증가(감염된 좀비PC 들을 활용한 추가 위험이 발생할 수 있는 상태)

          APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속

          MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 적극적 으로 이용됨

          3.4 7.7 DDos 형태와 유사성을 지니는 다운로더 발견 ( 긴장을 늦춰선 안되겠습니다. 당장이라도 발생 가능한 상황입니다. 1:29:300 하인리히의 법칙을 상기하시기 바랍니다. 이미 대형사고가 발생하기 위한 전제조건은 모두 갖추어진 상황입니다. )

          최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태 의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨

          백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속

          게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속

          백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨

 

* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5, 6월 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 예상대로 직접적인 ARP 스푸핑 공격코드 출현하였으므로 피해 발생이 예상되며, 지금까지 설명한 사항 모두 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용입니다.

 

*MBR (Master Boot Record)을 변경하는 악성코드의 경우 이미 9 1주차부터 본 브리핑을 통해 대량으로 웹서비스를 통해 사용자들에게 감염이 되고 확산이 되고 있음을 알린바 있습니다. 국내 백신사에서 일부 샘플에 대한 대응을 위한 전용 백신을 현재 배포 하고 있으므로 참고 하시기 바랍니다. http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=108

 

 

 

MalwareNet ( 범위와 변화)

 

※ MalwareNet: 공격자들이 공격효과를 높이고 탐지를 회피하기 위해 활용하고 있는 악성코드 유포 네트워크를 의미합니다. 일반적인 사이트에 악성링크를 직접 입력하는 것이 아닌 몇 단계를 거친 링크들을 입력하여 추적 을 회피하고 악성코드 유포 효과를 극대화 하기 위해 사용 되는 프레임을 MalwareNet으로 정의하고 있습니다. , 단 한번 악성링크의 내용을 변경하면 최대 300에서 최소 10여 곳에 이르기까지 동시에 동일한 악성코드 유포가 발생되는 상황을 나타내고 있습니다.

 

본 정보제공 서비스에서는 MalwareNet의 특성상 대규모 피해가 상시적으로 발생될 수 있으므로 상위 리스트에 한해 부분 공개를 하고 있습니다.

 

MalwareNet을 통해 영향력을 가지는 악성링크들은 탐지 회피를 위해 비정기적이고 수시로 변경됩니다. 금주 차에서는 사후 대응으로는 탐지할 수 없는 형태인 MalwareNet의 활용 사례를 살펴 보겠습니다. 공격자의 의도 에 의해 조종당하고 있는 현실에서 사후대응과 사전대응의 차이는 매 우 큰 차이를 가질 수 밖에 없으며 , 선제적인 사전대응이 얼마나 중요한지 확인할 수 있습니다. MalwareNet 자체를 여러 곳 활용 하는 형태도 전주에 이어 계속 발견 되고 있으며, 금주에는 Impact 지수는 99을 나타내고 있으며, 다수의 MalwareNet을 또 하위 유포채널로 유지하고 있는 형태를 지니고 있어서 공격자는 단 한 번의 변경만으로도 최소 99여 곳 이상의 웹서비스에서 동시다발적으로 악성코드를 배 포할 수 있는 상태입니다. 이용된 주소는 MalwareNet주소 이며 현재는 삭제되었습 니다. 그러나 다른 사이트들에 추가된 gaxxx.xxxxx.com/assets/js/tooltip/jquery.vlew.js 주소는 현재도 그대로 유지된 정황을 보이고 있습니다. 공격자가 다시 악성링크를 동일 주소로 생성할 경우 그대로 이용할 수 있는 상황입니다.

 

현재 시간에도 영향력을 유지하고 있으므로 대응이 필요하며 수시로 최종 악성코드들이 변경되고 있어서 탐지 및 대응에 어려움이 있을 것으로 판단됩니다. 최종 악성코드들에 대한 탐지율도 높지 않아 항상 위험에 노출 되어 있는 상태라 볼 수 있습니다. 단기간에 대규모 유포망 구축을 하는 형태가 끊임없이 관찰이 되고 있습니 다. 주중에는 통계정보를 수집하고 간헐적으로 공격에도 이용 되고 있는 형태를 보이고 있습니다. 평상시에는 해당 링크가 존재하지 않다가 공격 시점에만 활성화되고 있는데 이 점은 공격 자가 해당 서비스에 대한 완벽 한 권한을 행사하고 있음을 의미 합니다. 단순한 링크 삭제로는 해 결책이 되지 않음을 염두에 두어야 할 것입니다.

 

MalwareNet으로 이용된 악성링크는 점포개발, 창업컨설팅, 상권분석, 수익성 점포 양도양수, 점포입지 분성 등에 주력하는 창업 포털사이트입니다. 단 하루만에 100여 곳 이상의 웹서비스에서 악성코드를 배포하는 통로로 이용 되었습니다.

 





<MalwareNet 파급력>

 

*PCDS Impact Factor는 내부 수집된 체계에서 전파 범위를 고려한 내부 위험지수이며 MalwareNet의 추적과 영향도 추적을 위해 활용되는 수치입니다. 높을수록 은밀하면서도 파급력이 높은 상태라는 점을 의미하고 있습 니다.

 

현재의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있 습니다. 기본적인 문제를 해결할 수 있는 보안패치는 반드시 적용해야만 위험을 줄일 수 있으니 반드시 기관/ 기업 내부적으로 강력한 권고가 되어야 합니다. Oracle Java취약성, Adobe Flash 취약성, MS XML, Midi IE 취약성이 복합적으로 사용되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

 

기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰되고 있어서 위험성이 높습니다. 또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하 고 있으므로 사전 대응에 만전을 기하시기 바랍니다.

 

기술 분석 보고서에 전체 URL이 공개된 국내 사이트들은 악성링크로 직접 이용 되거나 최종 악성코드가 다운로드 된 곳들의 주소는 여과 없이 공개가 되고 있으니 참고하시고 금주 차에는 언론사 및 국내 기업, 기관들의 주소가 직접 기술 되어 있습니다.

 

기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있습니다. 현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 변화된 형태를 보이고 있으며 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 계속 되고 있습니다. – 8 2주차 부터 관찰된 변화는 금주 차에도 계속 강도가 높아지고 있어서 즉시적인 대응책이 지금 당장 필요합니다.

 


 

PCDS(Pre-Crime Detect System) 탐지 내역

 

PCDS 상에서는 최초 악성링크 탐지와 MalwareNet에 대한 추적, 최종 악성파일에 대한 수집까지 같이 운영이 되고 있습니다.

 

PCDS에 탐지된 내용을 바탕으로 하여 공격자들의 전략을 확인해 보면, 비정기적이고 수시로 악성링크와 최 종 악성코드를 바꾸고 있습니다. 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며, 때로는 1시간에 한 번씩 최종 악성코드를 변경하는 지금의 상황에서 대응이 가능한 보안체계는 거의 없습니다. 백신은 백신만의 역할 부분이 있으며, 현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야 합니다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로, 대응적인 측면에서 한계를 보일 것으로 판단됩니다.

 



<빛스캔 PCDS를 활용한 동일 악성링크를 통해 배포된 최종악성코드 변경 수집 내역>


*현재도 해당 악성링크는 활성화된 상태이며 최종 악성파일은 계속 변경이 되어 국내 백신 체계를 우회하고 있으며 사용자 PC에 직접 영향을 미치고 있는 상태입니다. 국내 사이트들 여러 곳에서 지금도 유포가 계속 되고 감염이 되는 실제 상황입니다.

 

해당 악성링크는 9 25일부터 다단계유포망(MalwareNet)으로 사용되었습니다. 한 달이 지난 현재에도 여전히 악성코드를 유포하고 있습니다. 악성코드 유포통로는 여전히 존재하며 최종 악성코드만 바뀔 뿐입니다. 한 달 동안에 15번이나 바뀌었지만 전혀 대응이 되지 않고 있습니다.

 

* 최종 바이너리 수집의 경우 체크섬 값이 다르거나 변경이 되었을 때 수집이 되도록 되어 있으며 위의 항목은 빠르면 1시간 이내에도 최종 파일을 변경하는 형태를 직접 볼 수 있습니다. 이와 같은 악성코드들이 순식간에 수십여 곳의 서비스를 통해 즉시 감염을 시키고 있는 것이 현실입니다. 공격자들의 전술과 기동력은 타의추종을 불허합니다. 그 반면 대응은 어떤가요? 현재의 실상은 과연 어떨까요?

 

지금 분석되고 예상되는 모든 내용들은 지금 이 순간에도 발생 하고 있는 현실입니다. 사건이 발생 된 이후에는 돌이키기 어렵듯이 사전 탐지와 사후 대응은 전혀 다른 범위입니다. 사전에 얼마나 대응을 하느냐가 가장 중요하며, 빠른 정보를 확보하여 대규모로 유포된 악성코드에 대응할 수 있도록 사후대응 측면에서도 현재 수준 보다는 강도 높은 방안들이 절실히 요구됩니다.

 

 


게임 계정 탈취 및 백신 Kill, 게임 머니 및 아이템 거래 사이트 계정탈취 계속

 

본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다모든 기능은 BHO 관련된 공격에 연관 되어 있으며 해당 문제들은 이전 보고서에 첨부된 BHO 공격에 대한 전문분석 자료를 참고 하세요. ( 정식구독 기업/기관 대상)신규 가입 및 최근가입으로 인하여 전문분석 보고서를 받지 못한 곳들은 본 메일로 회신을 주시면 전달 드리겠습니다.

 

9 1주차부터 신용정보 조회, 아이템 매니아, 아이템 베이 사이트까지 계정 탈취 기능이 추가 되었습니다. 신용정보 조회 사이트에서 자신의 신용정보를 검색하다가는 자신의 개인정보가 노출될 수도 있습니다. 또한 아이템 매니아, 아이템 베이 사이트는 온라인 게임 아이템 거래 사이트입니다. 게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있습니다돈이 되는 곳은 모두가 대상이 되어 있는 상태입니다. 다른 모든 기기와 장비들에서도 금전화가 가능한 순간부터 현재의 공격 수준은 그대로 확장이 될 것입니다. 아직은 때가 안되었을 뿐입니다. 그 때는 머지 않았습니다.

 

 

1.        백신

 

프로세스명

프로그램명

sgbider.exe, vcsvc.exe, vcsvcc.exe

바이러스체이서

NVCAgent.npc, Nsvmon.npc, Nsavsvc.npc, NVC.npc, NaverAgent.exe

네이버백신

V3sp.exe, V3svc.exe, V3up.exe, MUpdate2.exe, SgSvc.exe, Sgui.exe,

AhnLab V3

 

 

SgRun.exe, InjectWinSockServiceV3.exe,

AhnLab V3 Lite

 

 

V3Light.exe, V3LTray.exe, V3Lsvc.exe, V3LRun.exe

AhnLab SiteGuard

AYUpdSrv.aye, AYRTSrv.aye, SkyMon.exe,

알약 (ALYac)

 

 

AYServiceNT.aye, AYupdate.aye, AyAgent.aye

 

avp.exe

Kaspersky

avgnt.exe, avcenter.exe, avguard.exe, avscan.exe, avupgsvc.exe

Avira AntiVirus

avwsc.exe, AvastSvc.exe, ashUpd.exe, AvastUI.exe

avast!

shstat.exe, Mctray.exe, UdaterUI.exe

McAfee

msseces.exe

MSE

egui.exe, ekrn.exe

ESET NOD32

ccSvcHst.exe, Navw32.exe

Symantec Norton

updatesrv.exe, vsserv.exe, seccenter.exe, bdagent.exe, bdreinit.exe

BitDefender

avgam.exe, avgemc.exe, avgnsx.exe, avgrsx.exe

AVG

 

 

avgfrw.exe, avgwdsvc.exe, avgupd.exe

 

PCOTP.exe

넥슨 OTP

 

2.     게임

 

프로세스명

프로그램명

gamehi.co.kr

게임하이

hangame.com, id.hangame.com

한게임

laspoker.exe

한게임 라스베가스포커

duelpoker.exe

한게임 맞포커

hoola3.exe

한게임 파티훌라

highlow2.exe

한게임 하이로우

poker7.exe

한게임 7포커

baduki.exe

한게임 로우바둑이

ExLauncher.exe, TERA.exe, tera.hangame.com

테라

netmarble.net

넷마블

pmang.com

피망

ff2client.exe, fifaonline.pmang.com

피파 온라인2

Raycity.exe

레이시티

www.nexon.com, login.nexon.com

넥슨

df.nexon.com, dnf.exe

던전 파이터

DragonNest.exe, dragonnest.nexon.com

드래곤 네스트

baramt.exe, WinBaram.exe, baram.nexon.com

바람의 나라

mabinogi.nexon.com, heroes.nexon.com, heroes.exe

마비노기 영웅전

MapleStory.exe, maplestory.nexon.com

메이플 스토리

x2.exe, elsword.nexon.com

엘소드

dk.halgame.com, dkonline.exe

DK 온라인

clubaudition.ndolfin.com

클럽 오디션

www.capogames.net, samwinfo.capogames.net

삼국지w

fairyclient.exe

로한

plaync.co.kr

엔씨소프트

bns.plaync.com

블레이드 & 소울

lin.bin

리니지

AION.bin, aion.plaync.jp

아이온

kr.battle.net

블리자드 배틀넷

wow.exe

월드 오브 워크래프트

Diablo III.exe

디아블로III

 

3.     게임 머니 & 게임 아이템 & 문화상품권

 

사이트 주소

사이트 이름

www.booknlife.com

북앤라이프

www.cultureland.co.kr

컬쳐랜드

www.happymoney.co.kr

해피머니

www.teencach.co.kr

틴캐시

auth.siren24.com

신용정보 조회

itemmania.com

아이템 매니아

www.itembay.com

아이템 베이

 

* URL 경우는 브라우저 상에서 BHO (Browser Helper Object) 등록이 되어 모니터링을 하다가 해당 URL 주소가 입력이 되거나 접속이 경우에 html 내용을 변조 하거나 계정에 관련된 입력값을 빼내도록 고안이 상황입니다.

 

 

차단 권고 대역

 

아래 영역은 이미 공격자가 권한을 통제하고 있는 IP대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재 활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각 기관 및 기업별 검토 필요)차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다. 악성링크에 이용 되는 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해 강력한 차단을 유지하실 것을 권고 합니다.

 

          기술 분석 보고서에는 별도의 차단 대역들을 제공하고 있으므로 참고하시기 바라며, 사안별로 모니터링 및 차단에 적극 활용 바랍니다.

          국내 통신사의 경우 C Class가 아닌 직접 IP를 등록 하였으며 이미 공격자가 권한을 가진 상태에서 악성코드 유포 경로로 직접 활용하고 있는 상태여서 제한적인 차단이 필요하며, 업무와 연관성이 있는지 여부는 각 기업 및 기관에서 잘 판단 하셔서 차단에 활용하시기 바랍니다. 9 4주차부터 차단 권고 대역은 최근 1~2개월을 기준으로 전달 드리도록 하겠습니다. 이전의 차단 목록이 필요한 기업 및 기관은 (info@bitscan.co.kr)으로 요청해 주세요.

 

- 69.46.78.104, 245  LIUBUYAO, CALIFORNIA, USA 10/3


* Example로 한 곳만 예시함. 정상 브리핑 및 정식 보고서에는 다수 기재됨


 

악성코드 감염 이후 접속 URL - 차단 및 모니터링 필요한 부분

 

본 내용은 악성코드가 PC에 감염된 이후에 외부로 연결 시도를 하고 명령을 받는 주소들입니다. C&C 연결을 시도하는 봇넷과 같은 개념으로 볼 수 있습니다. C&C 서버의 차단과 관련된 핵심적인 내용입니다. 차후 별도 차단 서비스를 기획하고 있으며 해당 내용은 별도 서비스 확산 시에 보고서 상에서만 일부 제공될 예정입 니다. 실험적으로 Outbound 연결시에 Destination IP가 본 URL일 경우는 100% 좀비 PC및 백도어,루트킷 등 에 감염된 것이므로 직접 내부망에서 감염된 좀비 PC를 찾아내는 것이 가능해 집니다. 기술 분석 보고서 내에는 추가적인 차단 정보들이 존재함으로 확인 하시고 적용 하시는 것이 필요합니다.

 


 hxxp://up.bsdmwh.com/update/witer2.rar

 hxxp://up.bsdmwh.com/update/witer1.rare.gif


* Example로 일부만 예시함. 정상 브리핑 및 정식 보고서에는 다수 기재됨

 

* 붉은색으로 선택된 도메인들은 모두 현재 다수가 국내 환경에 뿌려져 있는 다운로더 및 C&C 서버로 이용되 는 파일 및 도메인들입니다. 해당 도메인은 불시에 활성화 되어 추가적인 피해가 계속 될 수 있으므로 본 메일 을 받으시는 기관 및 기업에서는 그에 맞는 대응을 하시기 바랍니다. 기업은 해당 도메인으로 접속하는 PC가 있을 경우 이미 좀비 PC화가 되었으므로 절차에 맞게 처리를 하시면 되고 국가기관 차원에서는 차단 정책을 즉시 수행 하여야 할 것으로 보입니다. 10 2주차에는 다수의 C&C 서버 주소를 제공해 드렸습니다. 반드시 대응이 되어야만 추가적인 문제가 발생 되지 않을 것입니다.

 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 금주의 총평으로는 국내 최대 지상파 방송사도 안전하지 않은 현실, 온라인 도박 게임 정보 수집으로 인한 금전화 가속, 향후 대형사고가 일어날 것 같은 하인리히의 법칙, Mass SQL Injection 공격 재 시작, 대규모 유포체계의 지속적인 활용, 목적을 가진 다운로더들의 대규모 유포, 봇넷 에이젼트들의 MalwareNet을 활용한 대규모 유포 입니다. 민감한 시기입니다. 적극적인 대응과 노력으로 피해를 예방해야 합 니다. MalwareNet의 활용과 위험에 대해 계속 언급 하였습니다. 그리고 지금 관찰되는 상태는 최종 악성코드의 성격과 범위 모두 일정 수준의 임계치를 넘은 상황입니다.

 

2년 이상을 온라인상에서 꾸준히 공격을 시도하고 있는 공격자들을 모니터링 한 결과에 따르면 공격기법과 기술은 한 주가 다르게 변화하고 진화하고 있습니다. 그 반면에 대응 기술 측면에서는 발전은 지지부진함을 보이  있습니다. 공격은 적극적인 유포망 확대, 감염 기술의 고도화, 최고 공격기법들의 즉시적인 실전투입으로 귀결이 됩니다.

 

 

발전적인 협력

 

빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

감사합니다.

 

       본 정보제공 서비스는 공개, 재 배포 금지(내부에서만 활용), 비영리 목적으로만 활용 가능합니다. 공익적인 목적으로 기관에 제공되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.

       시범 서비스는 순차적으로 1개월 경과 시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.

       정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/담당자/연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.

       본 서비스의 권리는 빛스캔에 있으므로 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.

       본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre-Crime Detect System)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.

 

Posted by 바다란

[빛스캔+KAIST] 10월 2주차 브리핑


 

 

한국 인터넷 위협분석 보고서(변화를 관찰하고 대비하라)

빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 10월 2주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS( Pre Crime Detect System )의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

2. 악성링크가 공격에 활용에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 – 패치

3. 내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.

 

* 본 요약 브리핑은 대외 공개용이며 차단과 대응에 관련된 대부분의 IP와 URL이 필터링 되어 있습니다. 일부 중요 내용에서도 필터링이 되고 있으므로 참고하십시요. 정식 보고서와 브리핑에서는 필터링 없이 제공 됩니다.


 Summary

10월 2주차는 10월 1주차에 중국의 최대 명절인 중추절 연휴(9월 29일~10월 1일)와 국경절 연휴(10월 1일~7일)이 겹쳐 주중에는 공격이 감소되었고 연휴 막바지인 일요일 저녁부터 공격이 급속히 늘어나는 형태를 보였습니다.

지난 9월 4주차까지는 최종 악성코드가 일별로 C&C 주소나 추가 다운로드 링크가 조금씩 다르거나 변경되었지만 10월 1주차에는 악성코드를 분석한 결과 지난 9월 4주차까지는 MD5 해쉬값만 변경이 있으며 주소나 코드는 동일하거나 유사한 형태입니다. 결론적으로 실제 유포되는 악성코드는 실행압축만 달리한 것으로 판단됩니다. 공격자들이 연휴를 보내는 동안 능동적으로 대처하지 못하여 백신에 많이 탐지되는 결과를 빚었고 이에 목표량을 채우기 위해 주중에도 공격이 이루어졌다고 판단됩니다. 또한 금주 차에는 대규모로 봇넷 에이젼트들이 웹을 통해 유포 되었으며 C&C 서버와 연결을 함으로써 추가적인 위험상황이 높은 상태로 발견이 되었습니다. 해당 C&C 서버의 주소들에 대해서는 동향 보고서와 본 브리핑에 강조가 되어 있으므로 즉시적인 차단과 대응이 요구 됩니다.

 



9월 2주차부터 금주까지 지속적으로 DDoS 공격에 이용되는 봇 Agent가 유포되고 있습니다. 해당 악성코드들은 명령을 전달하는 C&C(Command & Control) 서버로 4133, 8000, 8001 등의 포트를 사용하여 통신하고, 공유 폴더를 통해 사내 네트워크에 다수 감염을 시킵니다. HTTP 웹 서버에 대해 Get Flooding을 이용한 CC(Cashed-Control) Attack을 할 수 있는 기능을 갖추고 있습니다.

 

* Get Flooding 공격이란 HTTP 페이지를 서버에게 지속적으로 요청하는 것이며, 여러 다양한 장비들을 통해 대규모 공격을 제외하고는 충분한 대응이 가능합니다.

 

* CC Attack이란 사용자 PC차원에서 서비스의 세션고갈을 위해서 이용하는 DDoS 공격 기법의 하나이며, 일반적으로 웹 서버에 접속하여 페이지를 호출할 때 (이미지나 html 같은 것들) 웹에 변경사항이 없으면 이미 다운받은 임시폴더에 있는 파일을 대신 사용하라는 응답이 오는 데 이미 임시폴더에 다운받은 이미지를 사용하지 않고 지속적으로 웹 서버에 요청하는 것입니다. 즉, 페이지를 요청하는데 그 중에 이미지 파일들은 중복이 많아서 한 번만 받고 사용자의 임시 폴더에서 지속적으로 사용하게 되는데 이것을 무시하고 웹 서버에 지속적으로 요청을 하도록 함으로써 웹서비스 자체의 세션을 고갈시켜 부하를 주기 위한 방법입니다. 이 공격의 경우 정상적인 접속자들이 접속 할 수 없는 상황이 계속 발생 될 수 있습니다.

 

금주차에 발견된 최종 악성코드 중에는 V3 아이콘이나 Google Chrome아이콘으로 위장한 형태가 발견이 되었습니다. 이 유형은 기업이나 백신 업체에 대한 신뢰를 이용하여 사용자를 속이기 위한 기법들이며 2주 전부터 꾸준히 사용 되고 있으니 주의를 당부 드립니다.



현재의 악성코드는 인터넷 인프라에서 핵과 같은 폭발력을 지니고 있을 수도 있습니다. 작은 단초를 무시하면 큰 사고로 이어지는 것은 언제나 당연한 일입니다.

 

1930년대 초 미국의 한 보험회사의 관리자였던 하인리히는 교통사고를 분석해 독특한 법칙을 발견 하였다고 합니다. 한번의 대형 사고가 나기 이전에 29번 이상의 경미한 사고와 300번 가량의 징후가 발견 된다는 이른바 '하인리히의 법칙'을 발표하게 됩니다. 이 논리의 핵심은 모든 큰 사고가 발생되기 이전에는 반드시 징후가 있으며 조짐들이 존재한다는 것입니다. 갑작스런 대형 사고는 없다는 점입니다. 이 규칙은 지금의 인터넷 세상과 공격자들의 역량에도 동일하게 적용이 될 수 있습니다.

 

지금까지 우리가 겪은 수많은 사고 사건들 중 근래 5~6년간 겪었던 공격이나 피해 유출의 사례는 이전과 비교해 얼마나 더 심각성을 띄고 있는지 우리는 인지하고 있을까요? 매번 반복되는 피해와 공격에 대해 무감각해진 상태는 아닌지 돌아봐야 할때가 된 것 같습니다. 하인리히의 법칙에서 의미하듯이 1:29:300 의 징후와 사고들에서 우리는 1에 해당하는 대형 사고를 얼마나 많이 겪었습니까? 1.25 대란, 3.4 DDoS, 7.7 DDoS, 농협의 사고, 그 외에 헤아릴 수 없이 많았던 정보 유출 사고들은 모두 사소한 징후라고 볼 수 있을까요?

 

아래의 이미지는 원인 측면에서는 취약한 웹서비스들이 너무 많고 방치 되고 있으며, 공격 기술의 발전을 따라가지 못하는 현재의 상황을 나타내고 있습니다. 현상 측면에서는 웹서비스를 통한 악성코드의 대규모 유포를 통해 개인정보 탈취 및 봇넷의 확대를 하고 있는 상황을 표현 하고 있습니다. 그 다음은 대형사건, 사고가 기다리고 있을 뿐입니다.

 



 

금주의 또다른 특징으로 악성코드 유포시 자동화 툴킷을 사용하여 클릭 한 번으로 악성코드를 생성한 것이 확인 되었습니다. 국내 사이트(www.xxxxxx.co.kr/zzz/wm/index.html)를 해킹해서 공격세트들을 업로드 하였으며, 웹 서버 설정 중 하나인 디렉터리 리스팅을 변경하지 않거나 실수한 것으로 보입니다.

 

시간대를 보면 불과 몇 시간 만에 준비하여 업로드한 것으로 볼 수 있습니다. 수동 공격이 아니라 공격 세트를 자동으로 업로드 하는 자동화 도구가 존재하는 것으로 파악됩니다. 시간대를 보면 *.html, logo.swf, swfobject.js, top.js 파일들은 모두 동일한 오후 2:59에 만들어진 것을 확인할 수 있습니다. 이것은 자동화 도구에서 옵션을 클릭하여 한 번에 생성한 것으로 추정됩니다. cmd.exe, cmd.txt는 오후 3:05, 3:07에 생성되었습니다. 악성코드 유포 경로는 미리 만들어 놓고 최종 다운로드 되는 악성코드만 변경합니다. 이는 백신을 회피하기 위한 목적이 가장 큽니다. 설치되는 파일은 취약성 공격 이후 동 디렉토리의 cmd.exe가 내려 오는데 현재까지 md5 파일은 백신 회사 및 Virus Total과 같은 전 세계 백신 테스트베드에서 보고된 적이 없는 바이너리 파일입니다.


< 본 정보의 공개 의미는 공격자에 대해 관찰 되고 있음을 알리는 경고의 의미 입니다.>


현재 빛스캔에서 탐지하는 유형은 단순히 이메일을 통한 타켓형 APT가 아닌 웹서비스를 방문하는 모든 방문자를 대상으로 한 대규모 유포이며, 확산도가 높아서 위험성이 높은 상태입니다. 따라서 기업/기관별로 인터넷 접근 시에 많은 보호대책을 적극 반영 하여 대응을 하셔야 할 것으로 보입니다.

기존 악성코드들의 분석 결과도 단순 게임계정 탈취에서 계속 변화하는 형태를 보이고 있어 앞으로의 변화를 가늠하기 어려운 상황입니다. 이미 농협의 사례를 통해 APT나 내부망을 공격 하는 악성코드가 가진 위험성과 파괴력은 충분히 경험을 한 상태이므로 현재 웹서비스를 통해 감염시도를 하는 악성코드 자체의 위험성은 높은 수준이라 할 수 있습니다.


금주 공격의 특징을 정리하면 다음과 같습니다.

· 8월 1주차에 발견되었던 sl.php 유형의 Mass SQL Injection 공격 여전히 발생.

· 악성코드 유포시 자동화 툴킷 사용

· 9월 4주차 중국의 최대 명절인 중추절 연휴(29일~10월 1일)과 국경절 연휴(10월 1일~7일)이 맞물린 결과 연휴 막바지에 신규 악성링크 대거 삽입. 최소한으로 백신만 우회하게 악성코드 유포하여 목표량에 미달 -> 목표량 채우기 위해 주중에도 공격

 

· 8월 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가(감염된 좀비PC들을 활용한 추가 위험이 발생할 수 있는 상태)

· APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속

 

· MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 적극적 으로 이용됨(필터링 .  8개 이상의  MalwareNet 모두가 C&C 봇넷 에이젼트 유포에 이용 되었습니다. 매우 심각한 상황입니다.)

 

· 3.4 및 7.7 DDos 형태와 유사성을 지니는 다운로더 발견의 급증 ( 긴장을 늦춰선 안되겠습니다. 당장이라도 발생 가능한 상황입니다. )


· 최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨


· 백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속

· 게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속

 

· 백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨

 

* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5, 6월 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 예상대로 직접적인 ARP 스푸핑 공격코드 출현하였으므로 피해 발생이 예상되며, 지금까지 설명한 사항 모두 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용입니다.

 

* 9월 3주차 정보제공 서비스를 통해 전달 드렸던 MS IE Zeroday 취약성인 CVE-2012-4969에 대한 전문분석 보고서의 영문판이 http://www.exploit-db.com/papers/ 판에 게재되었습니다. 근 3개월 동안 전 세계적인 이슈의 중심에 있는 주요 취약성들( 3건)에 대해 종결 역할을 하고 있습니다만, 그 이면에는 그만큼 국내에서 발생되는 공격과 영향이 심각한 상황에 처해 있음을 의미하기도 합니다. 가장 새롭고 뛰어난 기법들이 적극적으로 활용 되고 있는 온라인 상의 최전선이 바로 이곳 입니다. 그 심각성은 가장 실감나게 느끼는 분들만이 아실 것입니다. 그리고 그 영향과 후 폭풍은 전체를 덮게 될 것입니다. 지금 당장 사건이 발생하더라도 이상하지 않은 상황은 계속 되고 있습니다. 


본 서비스에서 제공되는 정보들은 시일이 지날수록 영향력이 계속 커질 수 밖에 없는 정보들에 대한 분석이 주된 내용입니다. 항상 한달 가량의 보고서 내용들을 살피시고 계속적으로 대응을 하시면 문제 부분을 줄일 수 있습니다. 모든 부분에 있어서 사후 대응이 아닌 사전 대응으로 피해를 예방 하도록 하는 것이 핵심 입니다.


*MalwareNet ( 범위와 변화)


- MalwareNet: 공격자들이 공격효과를 높이고 탐지를 회피하기 위해 활용하고 있는 악성코드 유포 네트워크를 의미합니다. 일반적인 사이트에 악성링크를 직접 입력하는 것이 아닌 몇 단계를 거친 링크들을 입력하여 추적을 회피하고 악성코드 유포 효과를 극대화 하기 위해 사용 되는 프레임을 MalwareNet으로 정의 하고 있습니다. 즉, 단 한번 악성링크의 내용을 변경하면 최대 300에서 최소 10여 곳에 이르기까지 동시에 동일한 악성코드 유포가 발생되는 상황을 나타내고 있습니다.

 

본 정보제공 서비스에서는 MalwareNet의 특성상 대규모 피해가 상시적으로 발생될 수 있으므로 상위 리스트에 한해 부분 공개를 하고 있습니다.

 

MalwareNet을 통해 영향력을 가지는 악성링크들은 탐지 회피를 위해 비정기적이고 수시로 변경됩니다. 금주 차에서는 사후 대응으로는 탐지할 수 없는 형태인 MalwareNet의 활용 사례를 살펴 보겠습니다. 공격자의 의도에 의해 조종당하고 있는 현실에서 사후대응과 사전대응의 차이는 매 우 큰 차이를 가질 수 밖에 없으며 , 선제적인 사전대응이 얼마나 중요한지 확인 할 수 있습니다. MalwareNet 자체를 여러 곳 활용 하는 형태도 전주에 이어 계속 발견 되고 있으며, 금주에는 xxxx.devpia.com/xxxx/Debug/Refactor/view.js 이 적극적으로 이용이되고 있는 상황입니다.

 

현재 시간에도 영향력을 유지하고 있으므로 대응이 필요하며 수시로 최종 악성코드들이 변경되고 있어서 탐지 및 대응에 어려움이 있을 것으로 판단됩니다. 최종 악성코드들에 대한 탐지율도 높지 않아 항상 위험에 노출 되어 있는 상태라 볼 수 있습니다. 단기간에 대규모 유포망 구축을 하는 형태가 끊임없이 관찰이 되고 있습니다. 주중에는 통계정보를 수집하고 간헐적으로 공격에도 이용 되고 있는 형태를 보이고 있습니다. 평상시에는 해당 링크가 존재하지 않다가 공격 시점에만 활성화되고 있는데 이 점은 공격 자가 해당 서비스에 대한 완벽한 권한을 행사하고 있음을 의미 합니다. 단순한 링크 삭제로는 해 결책이 되지 않음을 염두에 두어야 할 것입니다.

 

데브피아(devpia.com)는 국내 최대 개발자 커뮤니티로서(50만 회원) 소프트웨어 개발 및 유통, 교육/취업사업, 솔루션 기반의 컨설팅 및 SI사업, 온라인 광고/홍보사업 등을 주요사업으로 하고 있습니다. 이러한 데브피아에서 악성코드 경유지인 MalwareNet으로 사용이 되었습니다.

 

*PCDS Impact Factor는 내부 수집된 체계에서 전파 범위를 고려한 내부 위험지수이며 MalwareNet의 추적과 영향도 추적을 위해 활용되는 수치입니다. 높을수록 은밀하면서도 파급력이 높은 상태라는 점을 의미하고 있습니다.

 





Impact 지수는 73을 나타내고 있으며, 다수의 MalwareNet을 또 하위 유포채널로 유지하고 있는 형태를 지니고 있어서 공격자는 단 한 번의 변경만으로도 최소 70여 곳 이상의 웹서비스에서 동시다발적으로 악성코드를 배포할 수 있는 상태입니다. 이용된 주소는  현재는 삭제되었습니다. 그러나 다른 사이트들에 추가된 devpia.com 주소는 현재도 그대로 유지된 정황을 보이고 있습니다. 공격자가 다시 악성링크를 동일 주소로 생성할 경우 그대로 이용 할 수 있는 상황입니다.


특별히 10월 2주차 보고서에는 국내 보안이 얼마나 취약한지 보여 드리기 위해 악성코드를 유포한 유포지를 보여 드립니다. 단 하루에 악성코드 유포를 위해 50여 곳 이상을 해킹하여 악성링크를 추가한 정황입니다. - 본 요약 브리핑에서는 생략 합니다.

 



< 요약 브리핑에서는 필터링 처리 되었습니다.>


PCDS에서 추적한 DDoS 공격에 즉시 이용 할 수 있는 봇넷 에이젼트 성향의 악성코드 현황입니다. 이 데이터에서 보듯 현재 국내 웹 사이트에 수 많은 DDoS 악성코드가 유포되었습니다. 즉, 수 많은 좀비 PC들이 생성되었고 대상이 어디인지는 공격자들 마음입니다.


현재의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속 해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있습니다. 기본적인 문제를 해결할 수 있는 보안패치는 반드시 적용해야만 위험을 줄일 수 있으니 반드시 기관/ 기업 내부적으로 강력한 권고가 되어야 합니다. Oracle Java취약성, Adobe Flash 취약성, MS의 XML, Midi 및 IE 취약성이 복합적으로 사용되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

 

기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰되고 있어서 위험성이 높습니다. 또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하시기 바랍니다.

 

기술 분석 보고서에 전체 URL이 공개된 국내 사이트들은 악성링크로 직접 이용 되거나 최종 악성코드가 다운로드 된 곳들의 주소는 여과 없이 공개가 되고 있으니 참고하시고 금주 차에는 언론사 및 국내 기업, 기관들의 주소가 직접 기술 되어 있습니다.

 

기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스 를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있습니다. 현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 변화된 형태를 보이고 있으며 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 계속 되고 있습니다. – 8월 2주차 부터 관찰된 변화는 금주 차에도 계속 강도가 높아 지고 있어서 즉시적인 대응책이 지금 당장 필요합니다.

 

PCDS 상에서는 최초 악성링크 탐지와 MalwareNet에 대한 추적, 최종 악성파일에 대한 수집까지 같이 운영이 되고 있습니다.

 

본 PCDS에 탐지된 내용을 바탕으로 하여 공격자들의 전략을 확인해 보면, 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있습니다. 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며, 때로는1시간에 한 번씩 최종 악성코드를 변경하는 지금의 상황에서 대응이 가능한 보안체계는 거의 없습니다. 백신은 백신만의 역할 부분이 있으며, 현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야 합니다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로, 대응적인 측면에서 한계를 보일 것으로 판단됩니다.

 



* 최종 바이너리 수집의 경우 체크섬 값이 다르거나 변경이 되었을 때 수집이 되도록 되어 있으며 위의 항목은 빠르면 1시간 이내에도 최종 파일을 변경하는 형태를 직접 볼 수 있습니다. 이와 같은 악성코드들이 순식간에 수십여 곳의 서비스를 통해 즉시 감염을 시키고 있는 것이 현실입니다. 공격자들의 전술과 기동력은 타의추종을 불허합니다. 그 반면 대응은 어떤가요? 현재의 실상은 과연 어떨까요?

 

지금 분석되고 예상되는 모든 내용들은 지금 이 순간에도 발생 하고 있는 현실입니다. 사건이 발생 된 이후에는 돌이키기 어렵듯이 사전 탐지와 사후 대응은 전혀 다른 범위입니다. 사전에 얼마나 대응을 하느냐가 가장 중요하며, 빠른 정보를 확보하여 대규모로 유포된 악성코드에 대응 할 수 있도록 사후대응 측면에서도 현재 수준 보다는 강도 높은 방안들이 절실히 요구됩니다.

 

 

게임 계정 탈취 및 백신 Kill, 게임 머니 및 아이템 거래 사이트 계정탈취 계속


* 본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6월 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다. 모든 기능은 BHO 관련된 공격에 연관 되어 있으며 해당 문제들은 이전 보고서에 첨부된 BHO 공격에 대한 전문분석 자료를 참고 하세요. ( 정식구독 기업/ 기관 대상)신규 가입 및 최근 가입으로 인하여 전문분석 보고서를 받지 못한 곳들은 본 메일로 회신을 주시면 전달 드리겠습니다.

 

금주에 신용정보 조회, 아이템 매니아, 아이템베이 사이트까지 계정 탈취 기능이 추가 되었습니다. 신용정보 조회 사이트에서 자신의 신용정보를 검색하다가는 자신의 개인정보가 노출될 수도 있습니다. 또한 아이템 매니아, 아이템 베이 사이트는 온라인 게임 아이템 거래 사이트입니다. 게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있습니다. 돈이 되는 곳은 모두가 대상이 되어 있는 상태입니다. 다른 모든 기기와 장비들에서도 금전화가 가능한 순간부터 현재의 공격 수준은 그대로 확장이 될 것입니다. 아직은 때가 안되었을 뿐입니다. 그 때는 머지 않았습니다.


분 류

프로세스명

프로그램명

백 신

sgbider.exe, vcsvc.exe, vcsvcc.exe

바이러스체이서

NVCAgent.npc, Nsvmon.npc, Nsavsvc.npc, NVC.npc, NaverAgent.exe

네이버백신

V3sp.exe, V3svc.exe, V3up.exe, MUpdate2.exe, SgSvc.exe, Sgui.exe,

SgRun.exe, InjectWinSockServiceV3.exe,

V3Light.exe, V3LTray.exe, V3Lsvc.exe, V3LRun.exe

AhnLab V3

AhnLab V3 Lite

AhnLab SiteGuard

AYUpdSrv.aye, AYRTSrv.aye, SkyMon.exe,

AYServiceNT.aye, AYupdate.aye, AyAgent.aye

알약 (ALYac)

avp.exe

Kaspersky

avgnt.exe, avcenter.exe, avguard.exe, avscan.exe, avupgsvc.exe

Avira AntiVirus

avwsc.exe, AvastSvc.exe, ashUpd.exe, AvastUI.exe

avast!

shstat.exe, Mctray.exe, UdaterUI.exe

McAfee

msseces.exe

MSE

egui.exe, ekrn.exe

ESET NOD32

ccSvcHst.exe, Navw32.exe

Symantec Norton

updatesrv.exe, vsserv.exe, seccenter.exe, bdagent.exe, bdreinit.exe

BitDefender

avgam.exe, avgemc.exe, avgnsx.exe, avgrsx.exe

avgfrw.exe, avgwdsvc.exe, avgupd.exe

AVG

PCOTP.exe

넥슨 OTP

게 임

gamehi.co.kr

게임하이

hangame.com, id.hangame.com

한게임

laspoker.exe

한게임 라스베가스포커

duelpoker.exe

한게임 맞포커

hoola3.exe

한게임 파티훌라

highlow2.exe

한게임 하이로우

poker7.exe

한게임 7포커

baduki.exe

한게임 로우바둑이

ExLauncher.exe, TERA.exe, tera.hangame.com

테라

netmarble.net

넷마블

pmang.com

피망

ff2client.exe, fifaonline.pmang.com

피파 온라인2

Raycity.exe

레이시티

www.nexon.com, login.nexon.com

넥슨

df.nexon.com, dnf.exe

던전 앤 파이터

DragonNest.exe, dragonnest.nexon.com

드래곤 네스트

baramt.exe, WinBaram.exe, baram.nexon.com

바람의 나라

mabinogi.nexon.com, heroes.nexon.com, heroes.exe

마비노기 영웅전

MapleStory.exe, maplestory.nexon.com

메이플 스토리

x2.exe, elsword.nexon.com

엘소드

dk.halgame.com, dkonline.exe

DK 온라인

clubaudition.ndolfin.com

클럽 오디션

www.capogames.net, samwinfo.capogames.net

삼국지w

fairyclient.exe

로한

plaync.co.kr

엔씨소프트

bns.plaync.com

블레이드 & 소울

lin.bin

리니지

AION.bin, aion.plaync.jp

아이온

kr.battle.net

블리자드 배틀넷

wow.exe

월드 오브 워크래프트

Diablo III.exe

디아블로III

게임 머니&

게임 아이템

&문화상품권

www.booknlife.com

북앤라이프

www.cultureland.co.kr

컬쳐랜드

www.happymoney.co.kr

해피머니

www.teencach.co.kr

틴캐시

auth.siren24.com

신용정보 조회

itemmania.com

아이템 매니아

www.itembay.com

아이템 베이

 

차단 권고 대역


아래 영역은 이미 공격자가 권한을 통제하고 있는 IP대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각 기관 및 기업별 검토 필요)차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다. 악성링크에 이용 되는 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해 강력한 차단을 유지하실 것을 권고 합니다.

 

* 기술 분석 보고서에는 별도의 차단 대역들을 제공하고 있으므로 참고하시기 바라며, 사안별로 모니터링 및 차단에 적극 활용 바랍니다.

* 국내 통신사의 경우 C Class가 아닌 직접 IP를 등록 하였으며 이미 공격자가 권한을 가진 상태에서 악성코 드 유포 경로로 직접 활용하고 있는 상태여서 제한적인 차단이 필요하며, 업무와 연관성이 있는지 여부는 각 기업 및 기관에서 잘 판단 하셔서 차단에 활용하시기 바랍니다. 9월 4주차부터 차단 권고 대역은 최근 1~2개월을 기준으로 전달 드리도록 하겠습니다. 이전의 차단 목록이 필요한 기업 및 기관은 로 요청해 주 세요.

 

- 69.46.78.x EGIHosting (California, USA) 10/2 - 예시


악성코드 감염 이후 접속 URL – 차단 및 모니터링 필요한 부분


 

본 내용은 악성코드가 PC에 감염된 이후에 외부로 연결 시도를 하고 명령을 받는 주소들입니다. 즉 C&C 연결을 시도하는 봇넷과 같은 개념으로 볼 수 있습니다. C&C 서버의 차단과 관련된 핵심적인 내용입니다. 차후 별도 차단 서비스를 기획하고 있으며 해당 내용은 별도 서비스 확산 시에 보고서 상에서만 일부 제공될 예정입니다. 실험적으로 Outbound 연결 시에 Destination IP가 본 URL일 경우는 100% 좀비 PC및 백도어,루트킷 등에 감염된 것이므로 직접 내부망에서 감염된 좀비 PC를 찾아내는 것이 가능해 집니다. 기술 분석 보고서 내에는 추가적인 차단 정보들이 존재함으로 확인 하시고 적용 하시는 것이 필요합니다.

 

http://a.doogbot.com:8001 - C&C 주소 한 곳만 예시로 공개


* 붉은색으로 선택된 도메인들은 모두 현재 다수가 국내 환경에 뿌려져 있는 다운로더 및 C&C 서버로 이용되는 파일 및 도메인들입니다. 해당 도메인은 불시에 활성화 되어 추가적인 피해가 계속 될 수 있으므로 본 메일을 받으시는 기관 및 기업에서는 그에 맞는 대응을 하시기 바랍니다. 기업은 해당 도메인으로 접속하는 PC가 있을 경우 이미 좀비 PC화가 되었으므로 절차에 맞게 처리를 하시면 되고 국가기관 차원에서는 차단 정책을 즉시 수행 하여야 할 것으로 보입니다.

 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 금주의 총평으로는 악성코드 유포시 자동화 도구 사용, 향후 대형사고가 일어날 것 같은 하인리히의 법칙, 연휴 막바지 공격 집중 및 주중에도 악성코드 유포, Mass SQL Injection 공격 재시작, 대규모 유포체계의 지속적인 활용, 목적을 가진 다운로더들의 대규모 유포, 봇넷 에이젼트들의 MalwareNet을 활용한 대규모 유포 입니다. 민감한 시기입니다. 적극적인 대응과 노력으로 피해를 예방해야 합니다. MalwareNet의 활용과 위험에 대해 계속 언급 하였습니다. 그리고 지금 관찰되는 상태는 최종 악성코드의 성격과 범위 모두 일정 수준의 임계치를 넘은 상황입니다.

 

2년 이상을 온라인상에서 꾸준히 공격을 시도하고 있는 공격자들을 모니터링 한 결과에 따르면 공격기법과 기술은 한 주가 다르게 변화하고 진화하고 있습니다. 그 반면에 대응 기술 측면에서는 발전은 지지부진함을 보이고 있습니다. 공격은 적극적인 유포망 확대, 감염 기술의 고도화, 최고 공격기법들의 즉시적인 실전투입으로 귀결이 됩니다.

 

빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보 , 최종 악성파일 보관 , 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

 

감사합니다.

 

* 본 정보제공 서비스는 공개, 재 배포 금지( 내부에서만 활용), 비영리 목적으로만 활용 가능합니다.

공익적인 목적으로 기관에 제공 되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.

* 시범 서비스는 순차적으로 1개월 경과 시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전 에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.

* 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.

본 서비스의 권리는 빛스캔에 있으므로 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.

* 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre crime detect system)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.

Posted by 바다란