태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

인터넷 위협수준도 낮아졌으나, 불씨는 여전한 상황.. 6월의 기록은 주간 브리핑 요약 신청하셔서 받으시는 분들에게도 월간 보고서 발행 되었습니다. 정식 보고서용이 공개용으로 제공이 되었으니 받으신 분들께서 잘 활용하시기 바랍니다. 다음달에는 마스킹된 보고서로 제공이 될 것입니다.


[인터넷 위협 수준: 관심

Bitscan PCDS 주간 동향 브리핑 요약

( Bitscan Pre-Crime Detect Satellite Weekly Trend Briefing Summary )

 








<주간 유포된 도메인 수>

 

7월 1주부터 증가했던 악성링크 활동이 7월 4주차에는 주춤하는 모습을 보였다. 하지만, MalwareNet 을 이용한 공격은 지속되고 있으며 tiancai.html, shifu.html, xiangnian.html를 세트로 한 공격이 일본 도메인을 이용하여 유포하는 모습이 관찰되었다. 국내 or.kr(비영리 목적의 기관이나 단체) 도메인을 경유지로 하는 악성링크를 확인하였으며 대부분 파밍 악성코드로 분석되었다. 감염 과정 중에는 공격자가 피해자의 정보(MAC 주소, IP 주소 및 국가, 감염시각)를 수집하는 웹사이트도 발견되었으며, 꽤 많은 감염이 이루어지고 있음을 추정할 수 있으며, 감염자에 대한 2차, 3차의 피해를 줄이기 위해서는 전체적 범위 관찰과 함께 웹사이트에 대한 관리가 필요하다.

 

<시간대별 통계>

금주 시간별 통계를 살펴보면 지난주와 달리 주말을 이용하여 많은 수를 유포하였다. 구체적으로 살펴보면 금요일 – 화요일까지 유포가 이루어 졌으며 주말에 삽입되었던 악성링크들이 제거되지 않아 평일인 화요일까지 지속적으로 유포가 된 것으로 보이며 웹사이트 관리자는 비정상링크에 대한 빠른 대처가 필요해 보인다.

 

<최근 1달 악성링크 도메인 통계>

 

6월 3주차부터 7월 4주까지의 최근 6주 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 235건(42.0%), 미국 212건(37.9%), 일본 108건(19.3%), 독일 1건(0.2%)등으로 나타났다. 유럽에 대한 경유지가 감소한 이유는 RedKit 의 활동이 줄어들었기 때문이다.

 

<주간 악성링크 도메인 통계>

 

국가별 악성링크 도메인 통계를 분석한 결과 한국이 46건(51.0%), 일본이 18건(36.7%), 미국이 6건(12.2%) 순으로 차지하였으며, 유럽 쪽은 나타나지 않았다.

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락주십시오.

감사합니다.

 

고급보안정보구독서비스

소개

국내외 180여만개(국내 150만, 해외 30만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스

 

서비스 유형

  • 주간 브리핑 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술
  • 동향 분석 - 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술
  • 기술 분석 - 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술
  • 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공
  • C&C 봇넷 정보 APT 및 좀비 PC에서 이용되는 네트워크 연결 정보(callback)
  • 악성코드 샘플 감염 공격 악성파일에 대한 샘플(스크립트, 익스플로잇, 악성바이너리)

 

제공 시기

  • 정기 - 주 1회(수요일)
  • 비정기 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 수시

 

무료 구독자

  • 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2장 분량으로 요약제공 (정기)
  • 긴급 정보 제공 인터넷 위협 수준이 "4단계. 경고" 이상일 경우 (수시)

 

정기 구독자

  • 베이직 주간 브리핑, 동향 분석
  • 스탠다드 주간 브리핑, 동향 분석, 기술 분석
  • 프로페셔널 주간 브리핑, 동향 분석, 기술 분석, 전문 분석
  • 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보

악성코드 샘플은 별도 협의

 

구독 문의

 

감사합니다.

Posted by 바다란


긴급정보제공 4

(인터넷 공개용)

 

No. SEIS-13-06-01 

2013 6 4

Bitscan

 

 

 

상황 요약

지난 5월 4주차 위협레벨 상향에 따른 대응 조치로 내부 고객사를 대상으로 선제적인 정보 공유를 진행하고 있습니다. 지난 주에 1차, 2차 정보 공유를 진행 드린바가 있습니다. 6월 1주차 관찰 결과에 따라 위협레벨 조정을 하려 하였으나, 규모는 줄었으나, 영향력은 더욱 증대된 위협들이 감지되어 현행 그대로 당분간 "경고" 레벨을 유지하고 있습니다.

 

제한된 인력과 자원을 이용하여 수집된 정보를 가공하고 분석하는 형태라 오랜기간 지속이 어려운 점을 양해해 주시기 바라며, 위협상황이 계속 되는한 최대한 유지 할 수 있도록 노력 하겠습니다.

 

먼저 5월 4주차의 경우 대규모 악성코드 유포 통로인 MalwareNet이 다수 활성화 되는 경향이 관찰 되어 "경고"로 상향된 바 있습니다. 최근 관찰된 유형 중에 가장 빠르고, 급속한 증가 추세를 보여서 레벨 상향을 진행 하였고, 토런트 정보 공유 사이트들 다수도 악성코드 경유지로 이용된 정황이 있어서 정보 공유를 한 것입니다.

 

6월 1주차에서는 일부 정보 공개와 연관성이 있을지는 모르겠으나, 기 공유 및 공개된 정보들은 활동이 극히 줄어든 상태를 보였습니다. 그러나 영향력이나 파급력 측면에서 확실히 높은 영향력을 가지고 있는 서비스들에 대해서 공격이 계속된 정황이 탐지된 상황입니다. 더불어 파일 공유 사이트 상위권 서비스들과 포털, 소셜 댓글 서비스 자체가 유포에 이용된 상태라 영향력은 5월 4주차 보다 높은 상태라 할 것입니다.

 

따라서, 현재 위협레벨은 5월 4주차에 비해 규모는 줄었지만, 영향력이나 파급력은 더 높아진 상태가 직접 관찰되어 위협레벨은 "경고" 그대로 유지 됩니다.

금일(6월 4일) 새벽에 다수의 악성링크를 통해 동일한 바이너리가 다수 유포된 정황을 파악하고, 분석한 자료(C&C 연결정보 등)을 추가로 제공합니다.

 

 

공유 정보

외부 정보 공개용으로는 가장 심각한 피해를 입히고 있는 악성링크 부분과 MalwareNet에 대한 정보, 다운로드 및 C&C 정보중 시급성이 높은 정보에 대해서 공개를 하였고 국내 IP의 경우는 고객사들만을 대상으로 하여 전달되었습니다. 국내 IP의 경우 차단에 있어서 신중을 기해야 하니 주의하여 차단하시기 바랍니다.

 

6월 4일 전달되는 4차 정보공유는 다음과 같습니다.

 

198.15.93.188~190 [USA] 긴급 차단 및 연결되는 PC 확인 필요(긴급차단이 필요한 C&C의 경우 악성파일에 대한 동적분석 결과는 파밍을 하는 것으로 나오나, 파밍 이외에 트로이 목마 기능도 첨부된 것으로 확인. VT 진단 결과는 국내 주요 백신 탐지 회피 중임.)

 

이외 차단리스트

 

216.218.249.42 [USA] <-신규

198.15.86.70

198.15.71.194

*.gnway.net

*.hellowfrog.com

F/W, WAF 등 차단장비에 IP/도메인 등록시 반드시 확인 과정을 거쳐 주시기 바랍니다.

 

 

샘플 수집 당시, VirusTotal 진단 스크린샷

 

 

   

 

주간동향 요약 보고서(무료)를 메일로 수신, 정식 보고서(유료) 및 데모 관련 문의는info@bitscan.co.kr 로 연락 주십시오. 또한, 당사에서 제공하는 다양한 정보는 빛스캔 페이스북 페이지에서 확인하실 수 있습니다. http://www.facebook.com/bitscan

감사합니다.

Posted by 바다란