빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 9월 2주차 국내 인터넷 환경의 위협 분석내용이며 본 보고서는 PCDS( Pre Crime Detect System )의 탐지역량과 KAIST정보보호대학원의 분석역량이 결집된 분석 보고서입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응 방안 제시를 하고 있습니다.
본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영되고 있습니다.
본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.
1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지
2. 악성링크가 공격에 활용에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 – 패치
3. 내부 감염된 APT 공격의 확인 및 제거에 활용(기술 분석 문서 참고)
보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술되어 있습니다. 각각은 별개이므로 악성링크(사용자 PC에 악성코드를 내리기 위한 공격코드)에 대한 분석과 실제 악성코드 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다.
금주 공격의 특징은 다중 취약성을 공격하는 공격 세트가 대거 증가한 현상이 발견 되고 있습니다. 단일 취약성이 아닌 여러 취약성 (IE, Java, Flash)을 동시에 공격하여 성공률을 높이는 형태가 계속 증가된 형태를 보이고 있으며, 전주 대비 100% 이상 증가한 악성링크 수치가 발견 되었습니다. 탐지 회피와 우회를 위해 유포통로를 계속 변화시키고 있으며, 이에 반해 최종 설치되는 악성코드의 형태는 많은 증가가 없어서 동일한 악성코드 유포를 위해 여러 악성링크가 계속 변화하면서 이용이 되고 있습니다. 기술분석 보고서의 내용 중 봇 에이젼트와 추가 공격을 위한 다운로더들의 유포에 이용된 링크들은 대규모 유포망을 통해 다수 배포 된 상태이므로 추가적인 사건 발생과 이슈에 대해서 주의를 기울이셔야 합니다. 또한 국내 게임 아이템 거래 사이트들에 대한 계정 탈취 목록이 추가 발견 되어 피해가 예상 됩니다.
금주 악성링크 분석 내용 중에는 구글코드 사이트에 악성코드를 올려두고 이용하는 내용들도 발견 되었으며 해당 악성코드의 행위는 MBR 이 포함된 영역을 읽는 부트킷 유형의 악성코드로 파악이 되고 있습니다. 7.7 DDoS 공격, 3.4 DDoS 공격, 농협 사태에서 공통적으로 등장하는 단어가 있습니다. 마스터부트레코드(Master Boot Record, 이하 MBR) 영역에 관련된 내용입니다. 이들 사건을 비롯해 최근 발생한 사이버 공격에서는 MBR 영역을 파괴해 하드디스크 데이터를 못 쓰게 만드는 기능 이른바 '하드디스크 파괴' 기능을 포함하고 있습니다. MBR의 특성상 백신으로 진단/치료가 어렵기 때문에 감염되지 않도록 주의를 기울이셔야 할 것입니다.
마스터부트레코드(Master Boot Record, 이하 MBR) 에는 운영체계가 어디에 어떻게 자리 잡고 있는지를 식별하여 컴퓨터의 주기억장치에 적재될 수 있도록 하기 위한 정보들이 있으며, 하드디스크의 첫 번쨰 섹터에 저장되어 있습니다. 이런 MBR을 감염시키는 경우 일반적인 PE(Portable Executable) 파일을 감염시키는 경우보다 흔하게 발견되지는 않습니다. 왜냐하면 MBR은 복잡하고 크기 또한 제한적이라 이를 타깃으로 한 악성코드 제작 자체가 힘들기 때문입니다.
또한 이러한 악성코드를 유포한 곳이 구글코드(Googlecode) 임을 감안할 때 주의 깊게 살펴봐야 합니다. 구글코드에서는 개발과 관련한 파일과 소스코드 등을 다른 개발자들과 공유하고 협업할 수 있는 공간입니다. 특히, 구글에서 직접 운영하고 있어서 매끄러운 운영뿐 아니라 보안과 같은 여러 안정성까지 제공받을 수 있는 장점을 가집니다.
구글코드라는 신뢰받는 서비스 사이트에서 내려오는 파일들의 경우 화이트리스트 형식으로 등재되어 탐지 및 보호 도구들을 우회하는 사례가 많으며 구글코드 사이트의 경우 2007년에도 악성코드를 호스팅한 사례가 있으나, 피해는 극히 제한적인 상황 이였습니다. 그러나 이번에 발견된 구글코드 유포 이슈는 단발적인 공격이 아닌 다단계 유포망(MalwareNet)에 의해 대규모로 악성코드 유포에 이용된 사례이며, 국내 도메인 다수가 악성코드 유포에 활용된 지금껏 사례가 없는 경우 입니다. 따라서 현재 상황의 심각성은 높다고 판정을 하고 있습니다.
※ 부트킷: 컴퓨터 하드디스크의 부트 섹터(Boot Sector)를 감염시키는 악성코드의 일종입니다.
※ 부트섹터: 컴퓨터 프로그램이 제일 먼저 실행되는 부분으로 이 부트킷에 감염되면 정상적인 부팅과정을 거치지 않고 부트킷에 의한 부팅동작을 하게 됩니다.
<부트킷 악성코드의 역할>
<구글코드(Googlecode)에서 악성코드 유포 – 다단계 유포망 (MalwareNet) 한 곳에서의 유포 이미지>
또한 금주에는 예전 EBS 분산서비스거부DDoS) 공격 때 사용된 다크쉘 악성코드가 탐지 되었습니다. 해당 악성코드는 곰플레이어 아이콘으로 위장하고 있으며, C&C 서버 (gomupdate.dnip.net)에 접속하여 명령을 대기하게 되어 있습니다. HTTP 서버를 대상으로 하는 DDoS 공격이 가능하므로 명령 연결이 되지 않도록 즉시적인 차단이 필요합니다.
9월 1주차에 실제 사용되었던 Flash 취약점인 CVE-2012-1535를 활용한 공격이 금주에도 지속 되었습니다. CVE-2012-1535 Adobe Flash Player Font Parsing Code Execution 취약점은 Adobe Flash Player 11.3.300.271 버전 이전의 ActiveX 모듈에서 발견되는 취약점으로 SWF 파일에서 사용되는 폰트 파일의 충돌을 통해서 악의적인 코드를 실행 가능하게 합니다.
아직까지 사용 비율은 높지 않지만 다중 취약점을 이용한 대규모 공격에 충분히 활용될 가능성이 존재하고 있습니다. 지난 8월 14일 Adobe사에서 해당 취약점에 대한 패치를 발표하여 제공하고 있기 때문에, Adobe Flash Player 11.3.300.270 이전 버전을 사용하고 있는 사용자의 경우 반드시 최신 버전으로 업데이트하여 이로 인한 피해를 최소화하길 당부 드립니다.
<CVE-2012-1535 - SWF 파일에서 취약점이 발생하는 Action Script의 일부>
8월 5주차부터 간간히 출현하였던 취약성 공격 세트가 대거 출현 하고 있으며, 공격자는 감염 비율 증가를 위해 적극적으로 활용 하는 것으로 판단 되고 있습니다. 기존의 Java 취약성과 MS XML , MS IE, Flash 취약성이 묶여서 활용 되고 있는 상태가 관찰 되고 있습니다.
다단계 유포통로 (MalwareNet)을 활용한 악성코드 유포 시도도 매우 활발 하였으며, 이제는 유포통로의 확산 이후의 과정인 적극적인 활용 단계에 돌입한 것으로 판정하고 있습니다. 백도어 및 루트킷 형태의 악성코드들도 다단계 유포통로를 이용하여 유포 된 정황이 발견 되었으므로 향후 추가적인 이슈 및 사건.사고 발생이 예상 되고 있습니다. 각 기업 및 기관에서는 주의가 필요합니다.
현재 빛스캔에서 탐지하는 유형은 단순히 이메일을 통한 타켓형 APT가 아닌 웹서비스를 방문하는 모든 방문자를 대상으로한 대규모 유포이며, 확산도가 높아서 위험성이 높은 상태입니다. 따라서 기업/기관별로 인터넷 접근 시에많은 보호대책을 적극 반영 하여 대응을 하셔야 할 것으로 보입니다.
기존 악성코드들의 분석 결과도 단순 게임계정 탈취에서 계속 변화하는 형태를 보이고 있어 앞으로의 변화를 가늠하기 어려운 상황입니다. 이미 농협의 사례를 통해 APT나 내부망을 공격 하는악성코드가 가진 위험성과 파괴력은 충분히 경험을 한 상태이므로 현재 웹서비스를 통해 감염시도를 하는 악성코드 자체의 위험성은 높은 수준이라 할 수 있습니다.
금주 공격의 특징을 정리하면 다음과 같습니다.
MBR 읽는 부트킷 유형 악성코드 발생(백신 탐지 어려움)
EBS DDoS 때 사용되었던 다크쉘 모듈 탐지. 향후 DDoS 사건 예상 가능
신뢰할 수 있는 사이트인 구글코드 사이트에서의 악성코드 유포 활용
8월 3주차에 대규모 유포가 이루어졌던 루트킷, 백도어 유형의 경우 금주 차 활동 계속 – 부가적인 위험 증가 ( 감염된 좀비PC들을 활용한 추가 위험이 발생 할 수 있는 상태)
APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔 , 추가 코드 다운을 위한 다운로더 다수 확인 지속
MalwareNet( 다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화
9월 1주차 신규 생성된 MalwareNet의 신속한 유포 통로 활용 관찰
최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨
백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속
전주 대비 대폭 증가한 공격 ( 단기간에 집중되어 계속 유지되는 형태. 9.14일 오후 8~12시 사이 대거 공격 활용)
게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속
백신 업데이트 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨
* 최근 언론상에 많이 나타나고 있는 은행권에 대한 Host file 변조를 통한 피싱 공격은 이미 5.6월 정보제공 서비스에서 언급을 드렸던 부분으로서 당시 상당수의 악성코드가 유포 되었을 것으로 추정이 되며, 이후 피해가 지금에서야 계속 드러나는 것으로 볼 수 있습니다. 백신들에 대한 업데이트 주소 변경 내용들도 마찬가지 입니다. 근 시일 내에 ARP Spoofing에 의한 피해도 언급이 될 것임을 알려드리며 이 모든 것들은 이미 악성코드의 유포 단계에서 사전 분석되어 정보 제공이 된 내용이 될 것입니다.
본 서비스에서 제공되는 정보들은 시일이 지날 수록 영향력이 계속 커질 수 밖에 없는 정보들에 대한 분석이 주된 내용입니다. 항상 한달 가량의 보고서 내용들을 살피시고 계속적으로 대응을 하시면 문제 부분을 줄일 수 있습니다. 모든 부분에 있어서 사후 대응이 아닌 사전 대응으로 피해를 예방 하도록 하는 것이 핵심 입니다.
*MalwareNet ( 범위와 변화)
- MalwareNet: 공격자들이 공격효과를 높이고 탐지를 회피하기 위해 활용하고 있는 악성코드 유포 네트워크를 의미합니다. 일반적인 사이트에 악성링크를 직접 입력 하는 것이 아닌 몇 단계를 거친 링크들을 입력하여 추적을 회피하고 악성코드 유포 효과를 극대화 하기 위해 사용 되는 프레임을 MalwareNet으로 정의 하고 있습니다. 즉 단 한번 악성링크의 내용을 변경하면 최대 300에서 최소 10여 곳에 이르기까지 동시에 동일한 악성코드 유포가 발생 되는 상황을 나타내고 있습니다.
본 정보제공 서비스에서는 MalwareNet의 특성상 대규모 피해가 상시적으로 발생 될 수 있으므로 상위 리스트에 한해 부분 공개를 하고 있습니다.
MalwareNet을 통해 영향력을 가지는 악성링크들은 탐지 회피를 위해 비정기적이고 수시로 변경됩니다. 금주 차에서는 사후 대응으로는 탐지할 수 없는 형태인 MalwareNet의 활용 사례를 살펴 보겠습니다. 공격자의 의도에 의해 조종당하고 있는 현실에서 사후대응과 사전대응의 차이는 매우 큰 차이를 가질 수 밖에 없으며 , 선제적인 사전대응이 얼마나 중요한지 확인 할 수 있습니다.
MalwareNet 자체를 여러 곳 활용 하는 형태도 전주에 이어 계속 발견 되고 있으며, PCDS 상의 추적된 데이터로 살펴보면 악성링크는 25곳 가량에만 추가가 되었지만 이중 2 곳이 MalwareNet으로 사용이 되고 있습니다. Impact Factor로 보면 위험성과 파급력은 72에 이를 정도로 높은 상태를 보이고 있습니다. 공격자는 단 한번의 클릭 만으로 전체 72곳 이상에서 동시에 악성코드 감염을 시킬 수 있는 상황이며, 최종 악성코드들에 대한 탐지율도 높지 않아 항상 위험에 노출 되어 있는 상태라 볼 수 있습니다. www.xxxxxxxx.com/main.htm 링크의 경우 공격에 가장 적극적으로 활용된 링크이므로 향후 활용도도 계속 될 것으로 관찰 되고 있습니다. 또한 단기간에 대규모 유포망 구축을 하는 형태가 끊임없이 관찰이 되고 있습니다. 주중에는 통계정보를 수집하고 간헐적으로 공격에도 이용 되고 있는 형태를 보이고 있습니다.
*PCDS Impact Factor는 내부 수집된 체계에서 전파 범위를 고려한 내부 위험지수이며 MalwareNet의 추적과 영향도 추적을 위해 활용 되는 수치입니다. 높을 수록 은밀하면서도 파급력이 높은 상태라는 점을 의미하고 있습니다.
8월 5주차에 출현 하였던 'www.xxxxxx.com/main.htm' MalwareNet은 금주에도 활발한 활동이 계속 되고 있습니다. 이 MalwareNet도 구글코드 사이트에 존재하는 최종 악성파일을 중계 하는데 활용 되었습니다.
<MalwareNet 2곳을 하위 유포 링크로 가지고 있는 상위 MalwareNet- PCDS 추적데이터>
현재의 상황은 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐하고 있습니다. 기본적인 문제를 해결 할 수 있는 보안패치는 반드시 적용 해야만 위험을 줄일 수 있으니 반드시 기관/ 기업 내부적으로 강력한 권고가 되어야 합니다. Oracle Java 취약성, Adobe Flash 취약성 , MS의 XML , Midi 및 IE 취약성이 복합적으로 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.
특히 자바의 경우 크로스 플랫폼이므로 동일 취약성을 이용한 다양한 기기와 운영체제에서 문제가 발생 될 수 있습니다. PC 이외에도 여러 체제를 사용하는 기업/기관의 경우 전체적인 보호 플랜을 적극 실행 하셔야만 합니다. 30억 개의 장치에서 사용하는 자바는 취약성을 이용하여 공격 할 수 있는 대상도 30억 개 라는 의미입니다.
- 자바 제로데이 취약점은(CVE-2012-4681) 현재 오라클에서 공식 패치를 배포하였습니다. 반드시 업데이트를 적용 하시기 바랍니다.
참고 내용:http://technet.microsoft.com/ko-kr/security/bulletin/MS12-043
참고 내용: http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html )
기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록 등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다.또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하세요.
* 기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있습니다. 현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 변화된 형태를 보이고 있으며 외부 도메인 연결과 업데이트를 통해 다른 형태로전환이 계속 되고 있습니다. – 8월 2주차 부터 관찰된 변화는 금주 차에도 계속 되고 있습니다.
PCDS 상에서는 최초 악성링크 탐지와 MalwareNet에 대한 추적, 최종 악성파일에 대한 수집까지 같이 운영이 되고 있습니다.
본 PCDS에 탐지된 내용을 바탕으로 하여 공격자들의 전략을 확인해 보면, 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있습니다. 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며, 때로는1시간에 한 번씩 최종 악성코드를 변경하는 지금의 상황에서 대응이 가능한 보안체계는 거의 없습니다. 백신은 백신만의 역할 부분이 있으며, 현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야 합니다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로, 대응적인 측면에서 한계를 보일 것으로 판단됩니다.
지금 분석되고 예상되는 모든 내용들은 지금 이 순간에도 발생 하고 있는 현실입니다. 사건이 발생 된 이후에는 돌이키기 어렵듯이 사전 탐지와 사후 대응은 전혀 다른 범위입니다. 사전에 얼마나 대응을 하느냐가 가장 중요하며, 빠른 정보를 확보하여 대규모로 유포된 악성코드에 대응 할 수 있도록 사후대응 측면에서도 현재 수준 보다는 강도 높은 방안들이 절실히 요구됩니다.
*게임 계정 탈취 및 백신 Kill , 게임 머니 계속 ( BHO ) , 아이템 거래 사이트 추가 발견
* 본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6월 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다. 모든 기능은 BHO 관련된 공격에 연관 되어 있으며 해당 문제들은 이전 보고서에 첨부된 BHO 공격에 대한 전문분석 자료를 참고 하세요. ( 정식구독 기업/ 기관 대상)신규 가입 및 최근 가입으로 인하여 전문분석 보고서를 받지 못한 곳들은 본 메일로 회신을 주시면 전달 드리겠습니다.
금주에 신용정보 조회, 아이템 매니아, 아이템 베이 사이트까지 계정 탈취 기능이 추가 되었습니다. 신용정보 조회 사이트에서 자신의 신용정보를 검색하다가는 자신의 개인정보가 노출될 수도 있습니다. 또한 아이템 매니아, 아이템 베이 사이트는 온라인 게임 아이템 거래 사이트입니다. 게임 계정을 탈취해서 아이템을 판매하던 공격자들이 이제는 게임 계정 탈취 이외에도 게임 아이템 거래 사이트까지 노리고 있습니다. 돈이 되는 곳은 모두가 대상이 되어 있는 상태입니다. 다른 모든 기기와 장비들에서도 금전화가 가능한 순간부터 현재의 공격 수준은 그대로 확장이 될 것입니다. 아직은 때가 안되었을 뿐입니다.
분 류 | 프로세스명 | 프로그램명 |
백 신 | sgbider.exe, vcsvc.exe, vcsvcc.exe | 바이러스체이서 |
NVCAgent.npc, Nsvmon.npc, Nsavsvc.npc, NVC.npc, NaverAgent.exe | 네이버백신 |
V3sp.exe, V3svc.exe, V3up.exe, MUpdate2.exe, SgSvc.exe, Sgui.exe, SgRun.exe, InjectWinSockServiceV3.exe, V3Light.exe, V3LTray.exe, V3Lsvc.exe, V3LRun.exe | AhnLab V3 AhnLab V3 Lite AhnLab SiteGuard |
AYUpdSrv.aye, AYRTSrv.aye, SkyMon.exe, AYServiceNT.aye, AYupdate.aye, AyAgent.aye | 알약 (ALYac) |
avp.exe | Kaspersky |
avgnt.exe, avcenter.exe, avguard.exe, avscan.exe, avupgsvc.exe | Avira AntiVirus |
avwsc.exe, AvastSvc.exe, ashUpd.exe, AvastUI.exe | avast! |
shstat.exe, Mctray.exe, UdaterUI.exe | McAfee |
msseces.exe | MSE |
egui.exe, ekrn.exe | ESET NOD32 |
ccSvcHst.exe, Navw32.exe | Symantec Norton |
updatesrv.exe, vsserv.exe, seccenter.exe, bdagent.exe, bdreinit.exe | BitDefender |
avgam.exe, avgemc.exe, avgnsx.exe, avgrsx.exe avgfrw.exe, avgwdsvc.exe, avgupd.exe | AVG |
PCOTP.exe | 넥슨 OTP |
게 임 | gamehi.co.kr | 게임하이 |
hangame.com, id.hangame.com | 한게임 |
laspoker.exe | 한게임 라스베가스포커 |
duelpoker.exe | 한게임 맞포커 |
hoola3.exe | 한게임 파티훌라 |
highlow2.exe | 한게임 하이로우 |
poker7.exe | 한게임 7포커 |
baduki.exe | 한게임 로우바둑이 |
ExLauncher.exe, TERA.exe, tera.hangame.com | 테라 |
netmarble.net | 넷마블 |
pmang.com | 피망 |
ff2client.exe, fifaonline.pmang.com | 피파 온라인2 |
Raycity.exe | 레이시티 |
www.nexon.com, login.nexon.com | 넥슨 |
df.nexon.com, dnf.exe | 던전 앤 파이터 |
DragonNest.exe, dragonnest.nexon.com | 드래곤 네스트 |
baramt.exe, WinBaram.exe, baram.nexon.com | 바람의 나라 |
mabinogi.nexon.com, heroes.nexon.com, heroes.exe | 마비노기 영웅전 |
MapleStory.exe, maplestory.nexon.com | 메이플 스토리 |
x2.exe, elsword.nexon.com | 엘소드 |
dk.halgame.com, dkonline.exe | DK 온라인 |
clubaudition.ndolfin.com | 클럽 오디션 |
www.capogames.net, samwinfo.capogames.net | 삼국지w |
fairyclient.exe | 로한 |
plaync.co.kr | 엔씨소프트 |
bns.plaync.com | 블레이드 & 소울 |
lin.bin | 리니지 |
AION.bin, aion.plaync.jp | 아이온 |
kr.battle.net | 블리자드 배틀넷 |
wow.exe | 월드 오브 워크래프트 |
Diablo III.exe | 디아블로III |
게임 머니& 게임 아이템 &문화상품권 | www.booknlife.com | 북앤라이프 |
www.cultureland.co.kr | 컬쳐랜드 |
www.happymoney.co.kr | 해피머니 |
www.teencach.co.kr | 틴캐시 |
auth.siren24.com | 신용정보 조회 |
itemmania.com | 아이템 매니아 |
www.itembay.com | 아이템 베이 |
*금주 공격에 사용된 취약성 비율
전주 대비 증가한 내역을 볼 수 있으며 MS XML 취약성을 이용한 CVE 2012-1889 취약성에 대한 공격코드가 대폭 증가하였고 Java 제로데이로 이용되었던 CVE 2012-4681 취약성이 대거 재사용 되는 현상을 볼 수 있습니다. 패치의 불안정성 및 신규 취약성 출현 부분에 대해서는 계속 모니터링을 하고 있습니다. CVE-2012-1875, CVE-2012-0806 같은 IE를 노리는 취약점도 같이 발견 되었습니다. 현재 한국 인터넷을 위협하는 공격자들은 세계적 수준의 역량을 보유 하고 있으며, 한국은 그 대상이 되어 있는 상태입니다.
현재 MS 취약성 및 1723,0507,3544, Zeroday(4681) 공격과 같은 Java 취약성이 결합된 공격세트가 다수 발견 되었습니다. Java 관련된 취약성의 해결에 높은 수준의 주의가 필요하며 전체적인 패치 수준 유지 및 관리가 요구 됩니다.
*악성코드 감염 이후 접속 URL - 차단 및 모니터링 필요한 부분
현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 금주의 총평으로는 MBR 읽는 부트킷 유형 악성코드, 신뢰할 수 있는 사이트인 구글코드에서조차 악성코드 유포, EBS DDoS 때 사용되었던 다크쉘 모듈 탐지 향후 추가적인 DDoS 피해 예상, 다단계 유포 통로의 적극 활용 단계 진입 입니다.
2년 이상을 온라인상에서 꾸준히 공격을 시도하고 있는 공격자들을 모니터링 한 결과에 따르면 공격기법과 기술은 한 주가 다르게 변화하고 진화하고 있습니다. 그 반면에 대응 기술 측면에서는 발전은 지지부진함을 보이고 있습니다. 공격은 적극적인 유포망 확대, 감염 기술의 고도화, 최고 공격기법들의 즉시적인 실전투입으로 귀결이 됩니다.
빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보 , 최종 악성파일 보관 , 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있으며 각 부분별로 발전적인 협력을 원하시는 부분에 대해서는 메일로 문의를 주시면 답변 드리겠습니다. 보고서의 정식 구독 문의도 메일로 문의 주시면 됩니다. (info@bitscan.co.kr)
감사합니다.
*본 정보제공 서비스는 공개, 재배포 금지( 내부에서만 활용), 비영리 목적으로만 활용 가능합니다.
* 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다. 본 서비스의 권리는 빛스캔에 있으므로 공개적 활용및 영리적 목적으로 활용 하실 수 없습니다.
*시범 서비스는 순차적으로 1개월 경과 시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.
* 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre crime detect system)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행합니다.
