태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

빛스캔과 KAIST 사이버보안연구센터에서 공동 운영하는 보안정보 제공 서비스 7월 1주차 국내 인터넷 환경의 위협 분석 내용이며 본 보고서는 빛스캔의 PCDS ( Pre Crime Detect System)의 탐지역량과 KAIST 정보보호대학원. 사이버보안센터의 분석 역량이 결집된 분석 보고서 입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응을 하도록 방향 제시를 하고 있습니다.


본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영 되고 있습니다.


본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.

1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

2. 악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 - 패치

3. 내부 감염된 APT 공격의 확인 및 제거에 활용 ( 기술 분석 문서 참고)


* 보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술 되어 있습니다. 각각은 별개 이므로 악성링크 ( 사용자 PC에 악성코드를 내리기 위한 공격코드 )에 대한 분석과 실제 악성코드의 행위와 기능에 대한 분석 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다. 금주 차에는 CVE 2012-1889 ( MS XML Core Zeroday)에 대한 전문분석이 포함 되어 있습니다. 전문분석은 Professional Service를 받는 고객사가 생기는 즉시 해당 고객사에만 전달이 됩니다. 참고 하세요.

 


금주 차의 특징은 패치가 없는 제로데이 (CVE 2012-1889 MS XML Core Service)의 적극적 활용으로 정의가 됩니다. 본 브리핑 작성 시점에 MS의 정규 업데이트 패치에 MS XML Core Service의 패치가 배포 되었으니 즉시 반영이 필요합니다. ( http://technet.microsoft.com/ko-kr/security/bulletin/MS12-043 –자동 업데이트 서비스 활성화를 해두시면 적용이 됩니다. )

 

전주 대비 악성링크가 감소된 비율을 보이고 있으며 MS XML 취약성에 대한 공격이 매우 적극적으로 이용 되었으며 상당한 피해가 발생 되었을 것으로 예측이 되고 있습니다. 대규모 유포 시도가 탐지된 6월 3주차 이후 Malware-net의 활동은 대규모로 감소된 형태를 여전히 보이고 있으며, 신규로 1~20개 이내의 Malware net의 운영은 계속 되고 있습니다. 언제든 규모 확대가 적극적으로 가능한 만큼 계속해서 관찰하고 추적을 하고 있으며 특이 사항 발견 시에는 즉시 반영 되어 전달이 될 것입니다.


공격자들에 대해서 언급 할 때 항상 언급 하는 것이 “비용 대비 효과” 입니다. 이전까지는 최대 6가지 이상의 취약성을 공격하는 형태였으며 이 공격의 성공률은 60% 가량이라고 빛스캔에서 공격로그를 통해 입증한 바가 있습니다. 6월 3주차에 새로운 공격기법으로 장착된 제로데이 ( 2012-1889) 공격으로 인해 공격 성공률은 대폭 높아졌을 것으로 예상된다 말씀 드렸는데 그 효과를 반증하는 데이터가 동향 보고서에 언급 되어 있습니다. 또한 금주 차의 악성링크들은 방문자가 많은 상위 웹서비스들에 집중된 형태로서 제로데이 공격을 적극적으로 활용한 상황입니다. 범위의 축소가 영향력 감소를 의미하지는 않습니다. 항상 일정 수준의 효과, 최상의 효과를 거둘 수 있는 방식에 대해 공격자들은 너무나도 잘 알고 활용 하는 상태입니다.

 

공격자들은 6월 3주차부터 검증 이후 대거 MS XML 공격 코드를 적용 하였고 금주 차에는 거의 모든 공격 세트에 적용을 시킨 상태로 활용이 되었습니다. 전체적으로 악성링크의 수치는 감소 하였고 발견된 악성링크들 대부분이 XML 취약성을 공격하여 이전의 규모와 범위 확대로 거둔 효과와 동일한 결과를 얻은 것으로 판단이 됩니다.

 

EMB00000edc0d6b


<공격에 사용된 악성링크중 XML 취약성 공격 포함 비율>


 

EMB00000edc0d69


< 전체 악성링크의 감소와 XML 취약성 공격 포함 비율 챠트>


악성링크를 줄인 이후에도 공격성공률이 일정 수준 이상을 유지하고 있어서 범위를 확대 시키지 않는 것으로 보이며, 각 주요 인터넷 서비스별 방문자가 상위인 웹서비스를 타켓화 하여 소스를 변조하고 악성코드를 유포함으로써 공격성공률을 늘리는 방식을 적극 활용 한 한 주입니다.

 

모든 악성링크들은 초기에 사용자 브라우저 종류 및 버전을 체크하고 그에 맞는 공격 부분으로 분기를 합니다.공격성공률을 확인하기 위한 통계 정보 수집은 항상 존재하며, 각 IE, Java, Flash 부분에 대한 권한 획득 부분으로 분기하여 그에 맞는 공격코드들을 실행합니다. 그 이후 PC의 권한을 획득하고 최종 악성코드들을 다운로드 하여 PC에 설치하게 됩니다. 이 성공률이 제로데이 출현 이전에는 60%( 10명중 6명 감염) , 현재 적극적 활용 단계에서는 최소 90% 수준으로 예상이 되고 있습니다. 제로데이 출현 이전에는 공격 성공률과 범위 확대를 위해 대규모 Malware-net을 운영하고 적극적으로 활용 하였으나, 지금 상황에는 Malware-net을 운영하지 않아도 충분한 공격효과를 거둘 수 있으므로 적극적인 범위의 확대를 하지 않는 것으로 보입니다. 또한 7.11일 금일 현재 MS의 패치가 배포 되었으므로 향후 Malware net의 확장 및 범위는 적극적으로 늘어날 것으로 예측이 되고 있어 향후 추적에 주의를 기울일 예정입니다.

 

 

금주 공격의 특징은 다음과 같습니다.

  • Malware-Net 활동의 축소 (소규모 Malware net은 계속 활동) 및 제로데이 취약성 공격 활용 대부분 악성링크 이용 

  • 파일공유, 언론사, 커뮤니티, 연예기획사, 소셜쇼핑, K-pop , 부동산 서비스, 포털, 종교 등을 총망라한 상위 사이트에 대한 악성코드 유포 
    • 본 공격들은 대부분 MS 제로데이 공격코드도 동시에 영향을 미치도록 되어 있습니다.
      금주 파악된 MS 제로데이 유포와 연관된 내용은 18종, 59개 정도의 웹서비스에서 활동 하였으며 대형 사이트들이 해당 되었습니다.  그 동안 활동이 미미했던 파일 공유 사이트들도 상위 5개의 웹서비스에서 중계 되어 영향력은 이전과 비교하기 어렵습니다
    • 파일 공유 사이트 및 소셜쇼핑의 경우 3개월 이상 소규모적인 유포 시도들만 있었는데 금주 차에는 적극 활용 되었으며 그 의미는 근본 취약성은 그대로 공격자들이 보유하고 있고 언제든 이용 할 수 있는 상태라는 것을 의미합니다.
  • 최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 하이브리드 형태의 악성링크 공격 계속

  • 국내 주요 백신들에 대한 시스템 파일 직접 변조 발견 ( V3 , 알약 대상) 및 백신 서비스(맥아피 보안 서비스 업데이트)로 위장한 서비스 등록 발견
   
  • 게임 계정 이외에 문화상품권 및 게임머니 거래 사이트에 대한 계정 탈취 시도가 최초 발견 되었습니다.
  • 대부분의 게임 계정 탈취 및 백신 서비스 Killing은 계속 되었으며, 계정 탈취는 BHO 를 이용한 유형이 가장 많이 발견 되고 있어 해당 부분에 대한 전문분석 제공 예정입니다. 지난주 차에 전달 드린 전문분석의 연결 편으로 제공 될 예정입니다.

* 유포지와 중계지의 의미는 사용자 관점 이나 악성링크의 관점에서 다를 수 있습니다. 저희는 사용자 관점에서 웹 서핑시 방문한 웹서비스가 문제가 있어서 감염이 된다면 직접 방문한 사이트는 ‘ 악성코드 유포지’ , 악성코드를 받아 오게 하는 임의의 주소를 ‘ 악성링크’ , 최종 사용자에게 감염을 일으키는 파일 자체를 ‘악성코드’라고 정의 하고 있습니다.


 

 

사용자 PC에 대한 직접적인 공격을 일으키는 취약성은 복합적으로 사용 되고 있으며, 지금까지 많은 비중을 차지 하였던 Java 취약성 및 Flash 취약성 공격은 소폭 감소한 반면, MS의 XML 취약성 공격코드는 대거 채용되어 활용이 되었습니다.  대부분의 APT 및 백도어 유형들이 java 취약성을 이용하였으나 금주에는 MS XML 취약성을 이용한 APT 유형들이 발견 되었습니다.

 

사용자 PC에 설치 되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현 하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐 하고 있습니다. 항상 말씀 드렸듯이 지금과 같은 상황을 가장 염려하고 있으며 사후 대응이 아닌 사전 대응에 중점을 두어야 된다고 주장한 강력한 원인이기도 합니다.

 

현재 모든 솔루션들은 사후 대응에 중점을 두고 있는데, 가장 중요한 것은 사전에 대응이 되는 것이냐가 핵심입니다. 또한 발생 가능한 위험을 얼마나 컨트롤 할 수 있는지가 핵심이라 할 수 있으며, 문제 해결책을 찾을 수 있을 것입니다. 이번 XML 사안에서 보듯이 3주 가량 무방비 상태에서 노출이 되었으며 단 3주 만에 공격자들은 대거 해당 취약성을 대거 이용하는 형태를 보일 정도로 빠른 적응력을 보이고 있습니다. 향후에도 패치가 없는 제로데이 출현 시 빠르게 이용 할 것으로 보이므로 사후 대응 측면 보다는 사전에 위험을 제거 할 수 있는 선제적인 대응력이 핵심이 되어야 할 것입니다.


  • Oracle Java 취약성, Adobe Flash 취약성 , MS의 XML , Midi 및 IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다. 특히 금일자로 패치가 발표된 MS XML (CVE 2012-1889) 취약성의 경우 반드시 업데이트를 적용 하시기 바랍니다.
  • 기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자 PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다. 또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하세요.

     
  • 기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있으며 현재 목적은 게임계정 탈취로 보여지고 있으나 언제든 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 될 수 있습니다. 

 

  • 백신에 대한 시스템 파일 변조 내용

 

* 정상적인 백신 운영이 될 수 없으므로 각 백신 개발사들의 주요 파일에 대해 변조 여부 강력한 체크가 필요해 보입니다.

백신명

변조된 파일

V3

C:\WINDOWS\system32\Drivers\v3engine.sys

C:\WINDOWS\system32\Drivers\v3core.sys

C:\WINDOWS\system32\Drivers\ahnsze.sys

C:\WINDOWS\system32\Drivers\AhnRghNt.sys

C:\WINDOWS\system32\Drivers\AhnRecNt.sys

C:\WINDOWS\system32\Drivers\AhnRec2k.sys

C:\WINDOWS\system32\Drivers\AhnFltNt.sys

C:\WINDOWS\system32\Drivers\AhnFlt2k.sys

Alyac

C:\WINDOWS\system32\Drivers\EstRtw.sys


 


  • Diablo III에 대한 공격이 추가된 게임 계정 모니터링 및 백신 Kill 항목, 게임 머니 및 문화상품권 탈취 목록 추가


* 본 내용은 최근의 악성코드들이 기본적으로 탑재하고 있는 기능이며 6월 4주차 까지 발견 되었던 백신과 게임 계정 탈취 이외에도 문화상품권과 게임 머니 사이트에 대한 계정 탈취 기능이 추가 되었습니다.

 

프로세스명

프로그램명

백 신

sgbider.exe, vcsvc.exe

vcsvcc.exe

바이러스체이서

NVCAgent.npc, nsvmon.npc

Nsavsvc.npc, NaverAgent.exe

네이버백신

V3LRun.exe, MUpdate2.exe

SgSvc.exe

V3Light.exe, V3LTray.exe

V3LSvc.exe

V3

AYUpdSrv.aye,

AYRTSrv.aye, SkyMon.exe

AYServiceNT.aye

AYupdate.aye, AyAgent.aye

알약

PCOTP.exe

 

넥슨 OTP

게 임

gamehi.co.kr

게임하이

hangame.com

한게임

netmarble.net

넷마블

Raycity.exe

레이시티

ff2client.exe

피파 온라인2

pmang.com

피망

df.nexon.com, dnf.exe

던전 앤 파이터

DragonNest.exe, dragonnest.nexon.com

드래곤 네스트

WinBaram.exe, baram.nexon.com

바람의 나라

heroes.exe

마비노기 영웅전

wow.exe

월드 오브 워크래프트

lin.bin

리니지

MapleStory.exe

메이플 스토리

clubaudition.ndolfin.com

클럽 오디션

www.capogames.netsamwinfo.capogames.net

삼국지w

Diablo III.exe

디아블로III

게임머니&문화상품권

www.booknlife.com

북앤라이프

www.cultureland.co.kr

컬쳐랜드

www.happymoney.co.kr

해피머니

www.teencach.co.kr

틴캐시

 
 

본 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 및 감염입니다.

금일 이전까지 패치가 없는 상태에서 피해는 매우 심각한 상황 이였을 것으로 예상 되고 있습니다.




금주 공격에 사용된 취약성 비율


상세 분석 진행에 따라 취약성 판정 비율이 일정 부분 달라지고 있습니다만 큰 흐름은 차이가 없습니다.. 공격이 많이 복잡한 형태를 띄고 있어서 정확한 CVE 판정이 어려운 상황도 발생 되고 있는 상황입니다.

 

- CVE 2011-3544 ( 24.4%) Java Applet 취약성

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

- CVE 2012-0507 ( 24.4%) Java Applet 취약성 - Java Web start 취약성

  http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html

- CVE 2012-1889( 23.4%) MS XML Core Service 취약성

  http://technet.microsoft.com/ko-kr/security/advisory/2719615

- CVE 2012-0003 (13.2%) Windows Midi 취약성 –

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003

- CVE 2012-0754 (12.2%) Flash 취약성 –

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

- CVE 2010-0806 (1%) IE 취약성 ( IE 6,7 대상)

 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806

- CVE 2010-0249 (0%) IE 취약성 –

  http://www.microsoft.com/technet/security/Bulletin/MS10-002.mspx

- CVE 2011-2140 (0%) Adobe Flash 취약성

http://www.adobe.com/support/security/bulletins/apsb11-21.html


취약성 비율을 살펴 보시면 아시겠지만 MS 제로데이 취약성에 대한 공격은 전주 대비 활용도에 있어서 증가 하였습니다.

전주의 공격 시에 효과가 좋았던 것으로 판단되어 적극적으로 활용 하였으며 향후 패치 적용 범위에 따라 다른 공격들도 계속 출현 할 것으로 예상됩니다.


금주의 차단 추가 영역은 다음과 같습니다. 아래 영역은 이미 공격자가 권한을 통제하고 있는 IP대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각 기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다.



악성링크에 이용 되는 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해 강력한 차단을 유지하실 것을 권고 합니다.


차단 권고 대역


* 기술 분석 보고서에는 별도의 차단 대역들이 존재하니 참고 하시고 사안별로 모니터링 및 차단에 적극 활용 바랍니다.



-공개용은 제외


 

현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 또한 어떤 방식으로든 빛스캔의 악성링크 탐지와 분석 내용에 대해서 인지를 일부 하고 있는 것으로 판단 됩니다. 또한 금주의 총평으로는 제로데이의 적극적인 활용입니다. 방문자가 상위인 서비스들을 적극 공략 하였으며 범위의 확대 보다는 효율을 높이는 것에 집중을 하였습니다.  제로데이 공격이 증가한 가장 큰 이유는 공격에 대한 효과가 충분히 검증 되었다는 반증이라 할 수 있으며, 향후에도 유사 사례는 계속 발생 할 것으로 예상 되고 있습니다. 대규모 유포 시도에 대해서 활용 된다면 언제나 가장 먼저 정보 제공이 가능함을 약속 드립니다.


본 정보제공 서비스는 공개, 배포 금지( 내부에서만 활용), 비영리 목적으로만 활용 가능합니다.


공익적인 목적으로 기관에 제공 되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.


감사합니다.


*시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다. KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능합니다. 해당 서비스의 신청은csyong95@kaist.ac.kr 로 신청 하시면 됩니다.


* 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다. 본 서비스의 권리는 빛스캔에 있으므로 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.


* 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre crime detect system)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터, 정보보호대학원과 공동으로 진행합니다.

Posted by 바다란

댓글을 달아 주세요


빛스캔과 KAIST 사이버보안센터에서 공동 운영하는 보안정보 제공 서비스 6월 2주차 국내 인터넷 환경의 위협 분석 내용이며 본 보고서는 빛스캔의 PCDS ( Pre Crime Detect System) 와 KAIST 보안센터의 분석 역량이 결집된 분석 보고서 입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응을 하도록 방향 제시를 하고 있습니다.



본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영 되고 있습니다. 모든 IP 주소와 도메인 명은 가려지며 보고서 서비스의 구독을 하시는 기업 / 기관에는 공개적으로 기술이 됩니다.


본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.

1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

2. 악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 - 패치

3. 내부 감염된 APT 공격의 확인 및 제거에 활용 ( 기술 분석 문서 참고)


*금주 차 보고서 형태가 변경 되었습니다. 동향 분석은 그대로 이고 기술 분석이 각 사용 되는 취약성 부류에 따라 별개 문서로 작성 되었으나 하나의 문서에 유형별로 정리가 되어 있습니다. 중복된 해결 방안이 다수 제거한 형태로 변경 되었으니 참고 하세요. 또한 기술분석 보고서에는 최종 악성코드 다운로드 경로까지 기술 되어 있습니다.



금주 차의 특징은 신규 악성링크는 전주 대비 100% 이상 증가 하였으며 5월 보고서부터 언급하였던 Malware Net의 활동이 본격적으로 개시 되었습니다.

악성링크에 대해 대규모 변경과 추가가 계속 발생 되고 있습니다. 신규 악성링크의 수치는 전주 대비 대폭 증가 하였으며, 해당 악성링크들이 Malware net을 통해 대규모로 전파 되었고 수시로 변경 되는 형태를 나타내고 있습니다. 지난주에 250여곳 이상에서 관찰된 Malware net은 금주 활동이 축소 되었고 신규 Malware-net이 가동 되었습니다.


규모 면에서는 매주 마다 최대규모를 갱신하고 있는 상황이며, 중간 경로를 이용한 효율적 공격들이 대규모로 관찰 되고 있어서 영향력과 위험성은 계속 증가 하고 있습니다.



큰 특징은 다음과 같습니다.



  • 거대 Malware net의 확장과 변화 ( 최대규모 350여개 이상의 사이트에서 운영) -6월 1주차 250여개의 웹서비스에서 악성코드 중계로 사용 되었던 링크( www.xxx.or.kr/popup_img/popup.js ) 는 현재 140여 곳으로 줄었으며 주말을 기해 악성링크가 추가 되고 삭제 되기를 반복 하였습니다. 5월 5주차 보고서에서 언급 하였던 Malware Net ( http://www.xxxxxxx.com/script/js/script.js) 은 공개 이후 대폭 줄어 들었으나 또 다른 중계 링크로 대거 전환이 되었습니다. 6월 2주차에 전환된 Malware net은 ( www.xxxxxxx.com/school02/flash/view.js ) 이며 213여 곳 이상의 웹 서비스에 추가 되어 중계 되었습니다. 두 곳의 Malware net을 통해 350여 곳 이상의 웹 서비스에서 악성링크를 중계한 사례가 발생 되었습니다.

* 현재 발견 된 것 중에서도 대규모 Malware net 이외에 다수의 Malware net이 운영 중입니다. 단 1~2일 만에 수 백여 개의 웹 서비스에 추가될 정도로 정교하고 대량 변조가 가능한 공격 도구를 확보한 것으로 추정 됩니다.

* 전략적인 측면에서 탐지 회피를 위한 다수의 기법들이 사용 되었고 이 중에는 다수의 중간 경유지를 활용하여 최종 악성링크 판별이 어렵도록 하는 시도가 금주 차에 대거 발견 되었습니다.


  • 몇몇 은행의 인터넷 뱅킹을 특정 사이트로 유도하기 위한 공격의 온라인 전파 ( Drive by download 파일 업데이트가 아닌 웹 서비스 방문을 통한 대규모 유포 시도)

  • 분석 방해를 위한 Virtual machine 회피 기법 활용 국내 주요 백신에 Killing, 거의 대부분의 게임에 대한 프로세스 모니터링 대규모 발견 ( 디아블로 3 계정 탈취형 악성코드 대량 유포 발견)

  • 백신 업데이트 방해를 위한 다양한 백신 업데이트 주소에 대한 Host 파일 변조 발견 , 루트킷에 의한 삭제 및 악성 프로세스 보호 기능 추가된 악성코드 유포

* 악성코드 자체에서 분석방해를 위한 VM (가상머신) 과 디버거를 탐지 하여 실행 흐름의 변경 및 실행 시 난독화를 적용하여 판단 및 분석을 어렵게 하는 기능이 다수 발견 됨

  • 백도어 키로거 기능의 악성코드 유포 증가 - 6.18일 부터 Mass sql 공격의 일종으로 추가된 nmmkmm.com/r.php 링크가 신규 발견 되어 확산 중입니다.


  • 산호세에 위치한 호스팅 업체에 배정된 IP 대역을 대규모로 악성링크로 활용 하였습니다. 호스팅 업체는 EGI Hosting 입니다.


* IE 관련된 zero day 공격 코드가 공개 되어 활용 되고 있습니다. 향후 대규모 공격에 사용 될 수 있으므로 주의를 기울여야 합니다. 대규모 유포 발생 시 즉시 반영 되어 알려 드리도록 하겠으며, 현재 까지 대규모 유포로 출현 하지는 않았습니다.

CVE 2012-1889 : MSXML Memory Corruption, CVE 2012-1875 IE Same ID Use After Free





금주 월요일 기준 통계에 의하면 발견된 악성링크 흔적은 2600여 곳 이상이며 Malware Net은 거대 Malware net 두 곳이 현재도 활동 중에 있습니다. 또한 근본 취약성 및 백도어를 제거 하지 못한 상태에서 악성링크로 사용 되는 js 파일만을 삭제하는 것은 대책이 될 수 없으며, 언제든 공격자가 원하는 시점에 계속 해서 악성코드 유포에 이용 할 수 있는 상황임을 알고 본 보고서를 받으시는 기업/ 기관에서는 반드시 차단 정책을 적용 하시기 바랍니다.


금주의 악성코드 유포지로 직접 이용된 웹서비스들은 380여 개 이상이며 전주 대비 증가 되었으며, 악성코드가 실제로 내려오는 악성링크의 수치가 전주 대비 100% 이상 증가한 상태를 나타내고 있는 것은 그만큼 공격자들의 공격과 변화가 활발했음을 의미합니다. 5월 보고서에서 최초 언급 되었던 Malware net들은 그 활용도가 이제 적정 기준점을 넘은 활발한 활동을 보이고 있으며 빠른 시간 내에 변경 되는 것으로 관찰 되고 있어서 향후의 위험성에 대해서 강도 높은 우려를 표명합니다. 현재 상태는 공격자가 매우 높은 수준의 자유도를 가지고 자유롭게 활동 하고 있는 단계에 까지 올라선 상황입니다.


5월 5주차 보고서에 언급된 Malware net ( http://www.xxxxxxx.com/script/js/script.js) 의 40% 가량이 6월 1주차 Malware net ( www.xxx.or.kr/popup_img/popup.js ) 250여 곳으로 확산 되었으며 6월 2주차에서는 6월 1주차의 Malware net ( www.xxxx.or.kr/popup_img/popup.js ) 은 140여 곳으로 축소 되어 활용 되었으며 추가 Malware net 인 ( www.xxxxxx.com/school02/flash/view.js ) 213 여곳 이상에서 활동이 관찰 되었습니다.

Malware net의 범위는 계속 확장 되고 빠른 변화를 보이고 있어서 향후 Malware net에 대한 변화와 영향력 추적에 계속 집중 할 예정입니다.

( 현재 Malware net 으로 사용된 링크들은 수시로 활성화가 되고 있습니다. 클릭 시 주의 바랍니다. 5월 5주차 언급된 링크는 현재 시간에도 살아 있는 상태를 유지 하고 있습니다. )



악성링크 자체 및 웹서비스 전체적으로 문제점 개선이 이루어 지지 않고, 악성코드 유포 인지도 못하는 상태는 계속 되고 있습니다. 또한 대응이라고 해봐야 근본 원인 제거 없이 악성링크가 추가된 부분만을 제거하는 것이 대응의 전부이다 보니, 공격대상에 포함된 모든 서비스들이 재활용 되는 악순환이 계속 되고 있습니다. 이제 공격자들은 자유로운 재활용을 넘어, 악성코드에 감염된 좀비 PC의 대규모 확산을 위해 악성코드 유포지를 대폭 늘리고 직접 활용을 하는 단계로 전환된 상태를 계속 유지하고 있습니다.


전체적으로 금주 국내 인터넷 서비스를 통한 악성코드 감염 및 좀비 PC 감염 비율은 상당히 높은 상태를 유지한 것으로 판단되며 금융권에 대한 정보유출을 위한 악성코드도 대규모 활동을 함으로써 강도 높은 경계 단계로 진입 되었습니다. 백신의 업데이트 방해 및 자기 보호를 위한 기능 강화 및 유명 게임에 대한 계정 탈취형 코드가 웹을 통해 대규모 유포가 발생한 상황입니다.



6 2주차 특징은 다음과 같습니다. ( 모든 IP와 URL 정보는 공식 보고서에만 공개 됩니다. )



특징


· · 다양한 취약성을 이용해 공격 성공 비율을 높이는 형태 계속 ( 최대 6종류의 취약성을 동시에 이용한 공격 코드 출현)


· · 악성코드 유포지의 대폭 증가 및 대량 유포 현실화 - 향후 지속 예상


· · 악성코드 유포자들의 전략적 행위 증가 및 범위 확대와 재활용 증가 ( 악성링크 자체의 탐지 회피를 위한 다양한 기법 동원)


· · 악성코드 분석 자체를 방해하기 위한 가상머신 우회기술, 루트킷(APT 형태) 유포 계속


· · 3월부터 사용되었던 주요 악성링크 및 악성코드의 대규모 재활용 계속 및 주요 게임 및 백신 모니터링 및 업데이트 방해를 위한 Host 파일 변조 발견



백신 업데이트 서버

변경 IP

vaccine.dn.naver.com

49.111.xxx.36

explicitupdate2.alyac.co.kr

125.234.xxx.36

liveupdate2.alyac.co.kr

105.105.xx.37

explicitupdate.alyac.co.kr

85.109.xx.37

ko-kr.alupdatealyac.altools.com

241.88.xx.37

su.ahnlab.com

45.135.xx.37

gms.ahnlab.com

21.110.xxx.37

update.ahnlab.com

33.55.xxx.37


· 은행 사용자를 겨냥한 Host 파일 변조 기능의 악성코드 유포


금융권 대상의 피싱 사이트 연결 대상

사이트명

은행명

은 행

www.kbstar.com

국민은행

kbstar.com

obank.kbstar.com

banking.nonghyup.com

농협

www.wooribank.com

우리은행

wooribank.com

pib.wooribank.com

bank.keb.co.kr

외환은행

www.keb.co.kr



* 악성링크를 중계하는 웹서비스의 증가는 웹서핑시 감염될 확률이 더욱 높아짐을 의미합니다.


* 유포지와 중계지의 의미는 사용자 관점 이나 악성링크의 관점에서 다를 수 있습니다. 저희는 사용자 관점에서 웹 서핑시 방문한 웹서비스가 문제가 있어서 감염이 된다면 직접 방문한 사이트는 ‘ 악성코드 유포지’ , 악성코드를 받아 오게 하는 임의의 주소를 ‘ 악성링크’ , 최종 사용자에게 감염을 일으키는 파일 자체를 ‘악성코드’ 로 정의 하고 있습니다.




사용자 PC에 대한 직접적인 공격을 일으키는 금주의 취약성은 주요 취약성 5개 가량에 집중이 되어 있으며 전주와 동일하게 Oracle Java 취약성에 대한 공격 비율이 가장 높은 비율을 차지 하고 있습니다. 또한 루트킷 및 APT 형태의 감염을 위해 사용자 PC에 디바이스 드라이버를 설치한 상태에서 내부 대역 스캔 및 특정 IP로 연결 하는 형태는 한번 감염시 막대한 피해를 감내해야 하는 부분이므로 강력한 보호 방안 수립이 요구 되고 있습니다. 패치 이외에도 다양한 방안을 강구해야 문제 해결 할 수 있으며 현재 모든 보안 솔루션들이 사후 대응에 중점을 맞추고 있는데 가장 중요한 것은 사전에 대응이 얼마나 되고, 발생 가능한 위험을 제거 했느냐가 핵심이 되어야 합니다.


· Oracle Java 취약성, Adobe Flash 취약성 , MS Midi IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.


· 기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자 PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다.


· 기술분석보고서에 언급된 백도어들은 상당히 많은 악성링크들이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있으며 현재 목적은 게임계정 탈취로 보여지고 있으나 언제든 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 될 수 있습니다.



모니터링 하는 프로세스의 종류는 하기와 같으며 국내의 대부분 백신 프로세스 이외에 거의 모든 국내의 게임들에 대해서 모니터링을 하고 있습니다. 게임종류는 국내.외 게임사들의 주력 게임들이 모두 해당 되고 있으며, 그 동안 산발적으로 발견 되었던 디아블로 3 관련된 게임 계정 탈취형 악성코드 기능이 웹을 통해 대규모 유포 되었습니다. 금주 차부터 해킹 신고 및 사고 신고가 급증 할 것으로 예상 됩니다.


·

프로세스명

프로그램명

백 신

sgbider.exe, vcsvc.exe

vcsvcc.exe

바이러스체이서

NVCAgent.npc, nsvmon.npc

Nsavsvc.npc, NaverAgent.exe

네이버백신

V3LRun.exe, MUpdate2.exe

SgSvc.exe

V3Light.exe, V3LTray.exe

V3LSvc.exe

V3

AYUpdSrv.aye,

AYRTSrv.aye, SkyMon.exe

AYServiceNT.aye

AYupdate.aye, AyAgent.aye

알약

PCOTP.exe

넥슨 OTP

게 임

gamehi.co.kr

게임하이

hangame.com

한게임

netmarble.net

넷마블

Raycity.exe

레이시티

ff2client.exe

피파 온라인2

pmang.com

피망

df.nexon.com, dnf.exe

던전 앤 파이터

DragonNest.exe

드래곤 네스트

WinBaram.exe

바람의 나라

heroes.exe

마비노기 영웅전

wow.exe

월드 오브 워크래프트

lin.bin

리니지

MapleStory.exe

메이플 스토리

Diablo III.exe

디아블로III






본 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 및 감염입니다.

APT 형태가 사용하는 유포 취약성은 대부분 Java 취약성에 집중 되고 있습니다. 대응에 참고 하십시요.



사용된 취약성 비율



- CVE 2011-3544 ( 25.5%) Java Applet 취약성

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

- CVE 2012-0507 ( 36%) Java Applet 취약성 - Java Web start 취약성

- CVE 2012-0003 (20.2%) Windows Midi 취약성

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003

- CVE 2012-0754 (24.2%) Flash 취약성

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

- CVE 2010-0806 (2.2%) IE 취약성 ( IE 6,7 대상)

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806


-CVE 2011-2140 (0.4%) Adobe Flash 취약성



금주의 차단 추가 영역은 다음과 같습니다. 아래 영역은 이미 공격자가 권한을 통제하고 있는 IP 대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다.



4월부터 차단 권고 드린 IP 대역은 금주에도 계속 재활용이 되었습니다. 또한 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해강력한 차단을 유지하실 것을 권고 합니다.


차단 권고 대역



* 각 개별 분석보고서에는 별도의 차단 대역들이 존재하니 참고 하시고 사안별로 모니터링 및 차단에 적극 활용 바랍니다.

-  공식 보고서 및 메일에만 기술 되어 있으며, 공개 게시물에는 삭제됨


현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 또한 어떤 방식으로든 빛스캔의 악성링크 탐지와 분석 내용에 대해서 인지를 일부 하고 있는 것으로 보여 전략적인 움직임이 매우 많은 한 주로 총평을 할 수 있으며 향후 외부 공개 수준에 대해서 심각하게 고민을 해야 할 것 같습니다.



주말에만 집중 되던 공격이 금주 에는 주중에도 이미 발생 되어 활발하게 활동이 일어나고 있습니다. 인터넷 서핑 주의를 당부 드려야 할 것 같습니다. Cookie 값 ralrlea를 주의 하세요. 물론 다른 쿠키 값들도 많지만 가장 많은 쿠키로 사용되는 값입니다. 


공익적인 목적으로 기관에 제공 되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.

감사합니다.


*시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다. KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능합니다. 해당 서비스의 신청은csyong95@kaist.ac.kr 로 신청 하시면 됩니다.



* 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다. 주위의 기업 및 기관들에게 정보 차원의 전달 가능합니다.


* 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre crime detect system)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터, 정보보호대학원과 공동으로 진행합니다.

Posted by 바다란

댓글을 달아 주세요

안녕하세요전 상훈입니다.

 

빛스캔과 KAIST 사이버보안센터에서 공동 운영하는 보안정보 제공 서비스 5 4주차 내용입니다본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적입니다.

 

금주의 가장 큰 특징은 신규 악성링크는 줄어든 비율을 보이고 있으며악성링크를 통해 유포되는 실제 악성코드들도 신규 유형은 대폭의 감소를 보이고 있습니다그러나 실제 악성코드를 사용자들에게 감염 시키는 악성코드 유포지의 수치는 전주 대비 50% 이상 증가한 것으로 확인이 되고 있습니다.

 

최종적인 한주간의 특징을 살펴보면 지금껏 활용 되어왔던 악성링크들의 재활용 증가 및 사용자 PC에 설치되는 악성코드들의 재활용도 증가 하고 있으며 이 악성코드를 대규모 유포를 하기 위해 사용자가 방문 시 감염 될 수 있는 사이트들을대규모로 늘리고 있는 것으로 판단 됩니다.

 

 결론적으로 보면 지금까지 사용 되어진 악성링크들을 반복해서 재활용을 하고 있으며 최종 설치되는 악성코드들도 동일한 유형을 계속 활용 하고 있습니다대응이 되지 않고 있어서 자유롭게 활용을 하고 있으며 , 대규모 확산을위해 악성코드 유포지를 대폭 늘리는 상황이 금주에 관찰된 가장 큰 이슈가 되겠습니다. 즉 감염 PC의 대규모적인 확대를 꾀하고 있는 것으로 관찰 되고 있습니다.

 

 

금주의 큰 특징은 다음과 같습니다.

 

특징

·  다양한 취약성을 이용해 공격 성공 비율을 높이는 형태 계속

·  악성코드 유포지의 대폭 증가 현상 관찰  - 향후 주의 필요

·  악성코드 유포자들의 전략적 행위 증가  범위 확대 계속

·   악성코드 분석 자체를 방해하기 위한 가상머신 우회기술,  루트킷 유포 발견

·   4월부터 사용되었던 주요 악성링크  악성코드의 대규모 재활용 계속

·   악성링크의 추가와 제거가  보고서 발송일 까지도 간헐적으로 계속 


악성링크를 중계하는 웹서비스의 증가는 웹서핑시 감염될 확률이 더욱 높아짐을 의미합니다.


*유포지와 중계지의 의미는 사용자 관점 이나 악성링크의 관점에서 다를 수 있습니다저희는 사용자 관점에서 웹 서핑시 방문한 웹서비스가 문제가 있어서 감염이 된다면 직접 방문한 사이트는 ‘ 악성코드 유포지’ , 악성코드를 받아 오게 하는 임의의 주소를 ‘ 악성링크’ , 최종 사용자에게 감염을 일으키는 파일 자체를 악성코드’ 로 정의 하고 있습니다.






사용자 PC에 대한 직접적인 공격을 일으키는 금주의 취약성은  주요 취약성 5개 가량에 집중이 되어 있으며 전주와 동일하게  Oracle Java 취약성에 대한 공격 비율이 가장 높은 비율을 차지 하고 있습니다

강력하게 사내 및 해당 기관이나 기업에 보안패치 권고를 해야만 합니다패치를 하지 않을 경우 문제를 해결 할 수 있는 방안은 인터넷 사용 금지 외엔 없습니다.

 

Oracle Java 취약성, Adobe Flash 취약성 , MS Medi  IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 계속 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

 

·   3번 기술보고서에 언급된 루트킷은 이미 해외 백신 일부에서는 탐지하고 있는 내용이며 사용자 PC의 드라이버를 교체하여 상주하며 향후 APT 및 내부에 대한 추가 공격과 같은 다양한 위험요소를 만들 수 있습니다전문 분석은 향후 진행될 예정이며 간략한 분석 내용은 threatexpert에 저희쪽에서 올려 간단히 체크된 내용을 참고 하십시요.  - 본 게시물에서는 생략합니다.


 

·   전주에 이어서 금주에도 가상머신 실행을 감지하고 종료하거나 분석을 회피하도록 설계된 악성코드가 대량 유포 되었습니다본 내용은 향후 전문분석을 통해 상세하게 전달이 될 예정입니다.


·  게임 계정을 해킹 하는 코드들이 대량으로 유포 되고 있으며 대상 게임은  엔씨 -리니지 , 한게임 -테라 , 넥슨 -메이플스토리,엘소드블리자드-와우, CJ인터넷 - 피파온라인네오플-던파 이며  디아블로에 대한 계정 탈취 유형도 발견 될 것으로 보입니다.


·  항상 말씀드리지만 루트킷 또는 APT 유형은 감염 즉시 심각한 피해를 장기적으로 유발   있으므로 심각한 주의가 필요합니다더군다나  보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포  감염입니다.  APT 형태가 사용하는 유포 취약성은 대부분 Java 취약성에 집중 되고 있습니다.  대응에 참고 하십시요.

 


사용된 취약성

 

- CVE 2011-3544 ( 23.6%)  Java Applet 취약성 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

- CVE 2012-0507 ( 24.7%) Java Applet 취약성 - Java Web start 취약성

- CVE 2012-0003 ( 20.2%) Windows Midi 취약성 - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003 3월의 전문분석보고서를 참고 

- CVE 2012-0754 (21.3%)  Flash 취약성 - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

- CVE 2010-0806 (9.0%)  IE 취약성 ( IE 6,7 대상http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806

 


<5월 4주차 주간 동향 보고서의 누적 취약성 통계>

 

전주 대비 특이 사항으로는 Java applet 취약성을 노린 공격 및 Windows Midi 관련된 공격이 전주의 급증세를 유지하고 있습니다전주와 대비해 달라진 취약성 비율과 공격의 자세한 변화들에 대해서는 5월 4주차 동향분석 보고서를 참고 하십시요.

 

 

금주의 차단 추가 영역은 다음과 같습니다아래 영역은 이미 공격자가 권한을 통제하고 있는 IP 대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다기업 및 기관에서는 해당 IP 대역 차단이후 ( 업무 관련성 여부에 대해서는 각기관 및 기업별 검토 필요차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다.

 

4월부터 차단 권고 드린 IP 대역은 금주에도 매우 활발하게 재활용이 되었습니다강력한 차단을 계속 유지 하셔야만 안정성을 확보   있습니다.

 


차단 권고 대역


* 본 게시물에서는 차단 대역의 게재를 하지 않으며 서비스 제공 받는 고객사에만 제공이 됩니다.




현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공할 예정이며 기본 동향에 대해서만 언론에 브리핑 될 예정이니 참고 하십시요중앙대 전산원 기사http://www.dailysecu.com/news_view.php?article_id=2251 와 연관된 내용인 abcmart 의 기사가 보안뉴스에 게재 (http://www.boannews.com/media/view.asp?idx=31441 )  되어 있으나 해킹 및 가격 오류 소동에 관해 해킹이 아니라는 해명을 하고 있습니다. 저희쪽에 관련 사례가 있어서 정리 되는 대로 기사 기고 예정입니다참고 하십시요.

 

 

시설 확장을 통해 그 동안 국내 도메인 중 추가 확보된 도메인과 해외 도메인을 더 추가하여 악성링크의 움직임에 대해 폭넓은 관찰을 현재 실시하고 있습니다보다 더 정확성 있고 현실적인 위협정보들을 제공 할 수 있도록 하겠습니다.

 

 

*시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4 이상을 보고서를 받으셨다면  이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.  

첨부 파일중 KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능합니다해당 서비스의 신청은 csyong95@kaist.ac.kr  신청 하시면 됩니다.

 

정식 구독 서비스 가입  시범 서비스 신청은 info@bitscan.co.kr 이며 기관명담당자연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다주위의 기업  기관들에게 정보 차원의 전달 가능합니다.

 

 분석은 악성링크 자체의 수집은 빛스캔에서 수행하며악성링크에 분석은 KAIST 사이버보안센터정보보호대학원과 공동으로 진행합니다.


- 바다란 세상 가장 낮은 곳의 또 다른 이름.

Posted by 바다란

댓글을 달아 주세요