태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.


지금의 상황은 폭풍우가 내리치는 벌판에서 홀로 서 있는 사람이 있고 비를 막을 수 있는 것은 우산 ( 보안제품)과 우의 ( 보안패치) 밖에 없는 상황입니다.

그러나 내리는 비는 우산을 피해서 ( 보안제품을 우회) 안으로 들어오고 우의를 쓰지 않은 얼굴에만 집중적으로 ( 패치가 없는 제로데이) 비바람이 몰아치고 있습니다.

이 비바람은 멈추지 않습니다. 더 큰 우산을 쓰거나, 아킬레스건과도 같은 취약한 부분이 보강 되지 않는다면 앞으로는 더 심각한 상황을 마주하게 될 것입니다.


지금도 충분히 심각하지만 주도권 자체가 넘어 갈 수 있는 상황임을 반드시 인식 하여야 할 부분이라 생각 됩니다. 


심각성이 어느 정도인지 6월 4주차 브리핑 살펴 보겠습니다.



--------------------------------------------------------------



빛스캔과 KAIST 사이버보안연구센터에서 공동 운영하는 보안정보 제공 서비스 6월 4주차 국내 인터넷 환경의 위협 분석 내용이며 본 보고서는 빛스캔의 PCDS ( Pre Crime Detect System)의 탐지역량과 KAIST 정보보호대학원. 사이버보안센터의 분석 역량이 결집된 분석 보고서 입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응을 하도록 방향 제시를 하고 있습니다.


본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영 되고 있습니다.


본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.


1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

2. 악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 - 패치

3. 내부 감염된 APT 공격의 확인 및 제거에 활용 ( 기술 분석 문서 참고)


* 보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술 되어 있습니다. 각각은 별개 이므로 악성링크 ( 사용자 PC에 악성코드를 내리기 위한 공격코드 )에 대한 분석과 실제 악성코드의 행위와 기능에 대한 분석은 별개 이므로 보고서 구독 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다. 금주 차에는 악성코드가 시스템에 설치되고 난 이후의 악의적인 행동들에 대한 전문 분석도 포함 되어 있습니다. 전문분석은 Professional Service를 받는 고객사가 생기는 즉시 해당 고객사에만 전달이 됩니다. 참고 하세요.



금주 차의 특징은 제목에 기술되었듯이 패치가 없는 제로데이 (CVE 2012-1889 MS XML Core Service)의 대공습으로 정의가 됩니다.

전주 대비 제로데이 관련된 악성링크가 대폭 증가된 비율을 보이고 있으며 활발하게 활동을 하고 있습니다. 6월 3주차 최초로 대규모 유포 시도가 탐지된 이후 Malware-net의 활동은 대규모로 감소된 형태를 보이고 있으며 여전히 관찰은 계속 진행 하고 있습니다. Malware-net에 대한 상위 3개의 정보를 이미 제공 드렸고, 현재는 해당 Malware-net들은 활동이 중지된 상태로 판단됩니다. 그러나 단 1일만에 200여개 이상의 웹 서비스들에 순식간에 추가된 형태로 볼 때 향후 언제든 재발 할 수 있다고 판단 하고 있습니다.


공격자들에 대해서 언급 할 때 항상 언급 하는 것이 “비용 대비 효과” 입니다. 이전까지는 최대 6가지 이상의 취약성을 공격하는 형태였으며 이 공격의 성공률은 60% 가량이라고 빛스캔에서 공격로그를 통해 입증한 바가 있습니다. 지난 주에 새로운 공격기법으로 장착된 제로데이 ( 2012-1889) 공격으로 인해 공격 성공률은 대폭 높아졌을 것으로 예상되며, 국내 IE 사용자 비율로 보았을 때 상당한 규모의 감염이 예상 됩니다. 금주에 대량으로 발견된 악성링크의 구조는 6월 3주차 발송 메일에 포함된 이미지가 잘 표현을 하고 있습니다.





< 공격링크의 구조>


모든 악성링크들은 초기에 사용자 브라우저 종류 및 버전을 체크하고 그에 맞는 공격 부분으로 분기를 합니다. 공격성공률을 확인하기 위한 통계 정보 수집은 항상 존재하며, 각 IE, Java, Flash 부분에 대한 권한 획득 부분으로 분기하여 그에 맞는 공격코드들을 실행합니다. 그 이후 PC의 권한을 획득하고 최종 악성코드들을 다운로드 하여 PC에 설치하게 됩니다. 이 성공률이 제로데이 출현 이전에는 60%( 10명중 6명 감염) , 현재 적극적 활용 단계에서는 최소 90% 수준으로 예상이 되고 있습니다. 제로데이 출현 이전에는 공격 성공률과 범위 확대를 위해 대규모 Malware-net을 운영하고 적극적으로 활용 하였으나, 지금 상황에는 Malware-net을 운영하지 않아도 충분한 공격효과를 거둘 수 있으므로 적극적인 범위의 확대를 하지 않는 것으로 보입니다.

금주 공격의 특징은 다음과 같습니다.

  • Malware-Net 활동의 축소 ( 공개에 따른 대응도 영향을 미쳤을 것으로 판단 됩니다. ) 및 제로데이 취약성 공격 활용 급증
  • 파일공유, 언론사, 커뮤니티, 연예기획사, 호스팅업체, K-pop 웹서비스, 부동산 서비스, 포털 등을 통한 적극적인 악성코드 유포
    • 본 공격들은 대부분 MS 제로데이 공격코드가 사용자에게 유포 되었으며, 본 건과 관련된 기사 예정 되어 있습니다.
    • 금주 파악된 MS 제로데이 유포와 연관된 내용은 29종의 악성링크가 총 90여개 이상의 웹 서비스들에서 중계 되었습니다.
  • 최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 하이브리드 형태의 악성링크 구조 확대
  • 자유자재로 웹서비스 소스코드에 악성링크의 추가 및 삭제, 악성 코드 분석 방해를 위한 기법 강화

  • * 유포지와 중계지의 의미는 사용자 관점 이나 악성링크의 관점에서 다를 수 있습니다. 저희는 사용자 관점에서 웹 서핑시 방문한 웹서비스가 문제가 있어서 감염이 된다면 직접 방문한 사이트는 ‘ 악성코드 유포지’ , 악성코드를 받아 오게 하는 임의의 주소를 ‘ 악성링크’ , 최종 사용자에게 감염을 일으키는 파일 자체를 ‘악성코드’라고 정의 하고 있습니다.



    사용자 PC에 대한 직접적인 공격을 일으키는 취약성은 복합적으로 사용 되고 있으며, 지금까지 많은 비중을 차지 하였던 Java 취약성 및 Flash 취약성 공격은 소폭 감소한 반면, MS의 XML 취약성 공격코드는 대폭 증가된 형태를 보이고 있습니다. 지금 까지는 패치가 있는 부분이라 패치를 권고 드렸으나 현재 2012-1889 취약성에 대해서는 패치가 없는 상태이며 임시 대응책만 존재하는 형태라 심각성이 매우 높습니다. 사용자 PC에 설치 되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현 하고 있는 현 상황에서 웹 서핑만 해도, 웹 서비스에 방문만 해도 감염이 되는 공격코드들은 창궐 하고 있습니다. 항상 말씀 드렸듯이 지금과 같은 상황을 가장 염려하고 있으며 사후 대응이 아닌 사전 대응에 중점을 두어야 된다고 주장한 강력한 원인이기도 합니다.



    현재 모든 솔루션들은 사후 대응에 중점을 두고 있는데, 가장 중요한 것은 사전에 대응이 되는 것이냐가 핵심입니다. 또한 발생 가능한 위험을 얼마나 컨트롤 할 수 있는지가 핵심이라 할 수 있으며, 문제 해결책을 찾을 수 있을 것입니다. 패치가 없는 상태에서 대량 공격 방안을 가지고 있는 공격자들에게 대항 할 수 있는 대책은 그리 많지 않아 보입니다. 향후에도 대책 없는 공격의 확산은 계속 될 것이고 이제 시작된 것입니다. “이제 가장 우려 했던 위협들이 시작 되었습니다.”



    • Oracle Java 취약성, Adobe Flash 취약성 , MS의 XML , Midi 및 IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다. 특히 패치가 없는 상태의 MS XML (CVE 2012-1889) 취약성의 경우 반드시 임시 예방책이라도 적용 하실 것을 권고 드립니다.
    • 기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자 PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다. 또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하세요. 또한 금주 전문분석에는 악성코드의 시스템 다운로드 이후의 악의적인 행위들에 대해서 분석된 내용이 전달 됩니다.

    • 기술분석보고서에 언급된 백도어들은 상당히 많은 악성링크들이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있으며 현재 목적은 게임계정 탈취로 보여지고 있으나 언제든 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 될 수 있습니다.
    • 6월 2주차 보고서에 언급 되었던 백신 업데이트 방해를 위한 Host 파일 변조 코드가 유포 되었으며, 본 내용의 경우 신규 제로데이를 이용한 악성코드를 탐지하고 대응 하려는 백신의 역할에 대해 제한을 두고, 목적을 달성 하기 위한 것으로 판단 됩니다.


    백신 업데이트 방해를 위한 Host 파일 변조 내용


    백신 업데이트 서버

    변경 IP

    vaccine.dn.naver.com

    49.111.xxx.36

    explicitupdate2.alyac.co.kr

    125.234.xxx.36

    liveupdate2.alyac.co.kr

    105.105.xxx.37

    explicitupdate.alyac.co.kr

    85.109.xxx.37

    ko-kr.alupdatealyac.altools.com

    241.88.xxx.37

    su.ahnlab.com

    45.135.xxx.37

    gms.ahnlab.com

    21.110.xxx.37

    update.ahnlab.com

    33.55.xxx.37



    Diablo III에 대한 공격이 추가된 게임 계정 모니터링 및 백신 프로세스 Kill 항목

    프로세스명

    프로그램명

    백 신

    sgbider.exe, vcsvc.exe

    vcsvcc.exe

    바이러스체이서

    NVCAgent.npc, nsvmon.npc

    Nsavsvc.npc, NaverAgent.exe

    네이버백신

    V3LRun.exe, MUpdate2.exe

    SgSvc.exe

    V3Light.exe, V3LTray.exe

    V3LSvc.exe

    V3

    AYUpdSrv.aye,

    AYRTSrv.aye, SkyMon.exe

    AYServiceNT.aye

    AYupdate.aye, AyAgent.aye

    알약

    PCOTP.exe

    넥슨 OTP

    게 임

    gamehi.co.kr

    게임하이

    hangame.com

    한게임

    netmarble.net

    넷마블

    Raycity.exe

    레이시티

    ff2client.exe

    피파 온라인2

    pmang.com

    피망

    df.nexon.com, dnf.exe

    던전 앤 파이터

    DragonNest.exe

    드래곤 네스트

    WinBaram.exe

    바람의 나라

    heroes.exe

    마비노기 영웅전

    wow.exe

    월드 오브 워크래프트

    lin.bin

    리니지

    MapleStory.exe

    메이플 스토리

    Diablo III.exe

    디아블로III



    본 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 및 감염입니다.

    현재 패치가 없는 상태에서의 대응책은 “웹 서핑 금지” 라고 해야 될 것인지 심각한 상황입니다.



    금주 공격에 사용된 취약성 비율


    상세 분석 진행에 따라 취약성 판정 비율이 일정 부분 달라지고 있습니다만 큰 흐름은 차이가 없습니다.. 공격이 많이 복잡한 형태를 띄고 있어서 정확한 CVE 판정이 어려운 상황도 발생 되고 있는 상황입니다.



    - CVE 2011-3544 ( 25.4%) Java Applet 취약성

    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

    - CVE 2012-0507 ( 25.4%) Java Applet 취약성 - Java Web start 취약성

    http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html

    - CVE 2012-1889( 22.2%) MS XML Core Service 취약성

    http://technet.microsoft.com/ko-kr/security/advisory/2719615

    - CVE 2012-0003 (13.5%) Windows Midi 취약성 –

    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003

    - CVE 2012-0754 (13.5%) Flash 취약성 –

    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

    - CVE 2010-0249 (1%) IE 취약성 –

    - http://www.microsoft.com/technet/security/Bulletin/MS10-002.mspx

    - CVE 2010-0806 (0%) IE 취약성 ( IE 6,7 대상)

    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806

    - CVE 2011-2140 (0%) Adobe Flash 취약성

    http://www.adobe.com/support/security/bulletins/apsb11-21.html

    취약성 비율을 살펴 보시면 아시겠지만 MS 제로데이 취약성에 대한 공격은 전주 대비 급증한 비율을 볼 수 있습니다. 전주의 공격 시에 효과가 좋았던 것으로 판단되며 금주 차 공격에 대거 활용한 형태를 볼 수 있습니다. 더불어 효율이 낮은 공격들은 제외된 것으로 판단 됩니다. 공격자들은 효과적으로 공격을 시행 하고 있으며, 공격 기법의 변화로 살펴 볼 때 MS 관련된 제로데이 공격이 매우 효과가 좋았던 것으로 추정이 되고 있어서 심각도가 높은 수준으로 상향 되어야 할 것 같습니다. 또한 MS의 XML 서비스 공격이 대규모로 확산 되고, 사용자 PC에 영향을 직접적으로 미치고 있다는 것을 인지 하지 못하고 있는 상태라 대응도 느린 것 같아 당분간 패치 발표 이전까지는 빛스캔에서 상당 수준의 정보를 오픈 하여 대응 및 후속 대책 마련을 촉구하도록 하겠습니다.



    금주의 차단 추가 영역은 다음과 같습니다. 아래 영역은 이미 공격자가 권한을 통제하고 있는 IP대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각 기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다.



    차단 권고 대역


    * 기술 분석 보고서에는 별도의 차단 대역들이 존재하니 참고 하시고 사안별로 모니터링 및 차단에 적극 활용 바랍니다.

     

    공개지면 생략


    * 악성코드 감염 이후 접속 URL - 차단 및 모니터링 필요한 부분

    - 이 부분에 대해서 설명을 제대로 드리지 않았는데 본 내용은 악성코드가 PC에 감염된 이후에 외부로 연결 시도를 하고 명령을 받는 주소들입니다. 즉 C&C 연결을 시도하는 봇넷과 같은 개념으로 볼 수 있습니다. C&C 서버의 차단과 관련된 핵심적인 내용이 되겠습니다. 본 내용의 경우에도 외부에는 제공 되지 않습니다. 차후 별도 서비스로 운영이 될 수 있습니다.


     공개지면 생략



    현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 또한 어떤 방식으로든 빛스캔의 악성링크 탐지와 분석 내용에 대해서 인지를 일부 하고 있는 것으로 판단 됩니다. 또한 금주의 총평으로는 제로데이의 적극적인 활용입니다. 기존의 규모를 확장 하는 형태에서 제로데이 활용을 증가 시키는 형태로 전환 된 것이 가장 큰 특징이며, 제로데이 공격이 증가한 가장 큰 이유는 공격에 대한 효과가 충분히 검증 되었다는 반증이라 할 것입니다.


    *시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다. KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능합니다. 해당 서비스의 신청은csyong95@kaist.ac.kr 로 신청 하시면 됩니다.


    * 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다. 본 서비스의 권리는 빛스캔에 있으므로 공개적 활용 및 영리적 목적으로 활용 하실 수 없습니다.


    * 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre crime detect system)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터, 정보보호대학원과 공동으로 진행합니다.

    Posted by 바다란

    빛스캔과 KAIST 사이버보안연구센터에서 공동 운영하는 보안정보 제공 서비스 6월 3주차 국내 인터넷 환경의 위협 분석 내용이며 본 보고서는 빛스캔의 PCDS ( Pre Crime Detect System) 와 KAIST 정보보호대학원, KAIST 사이버보안연구센터의 탐지 및 분석 역량이 결집된 분석 보고서 입니다. 매주 수요일 한 주간의 국내 인터넷의 실질적인 위협 동향을 분석하고 대응을 하도록 방향 제시를 하고 있습니다.


    본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적이며, 공격 형태의 변화에 따라, 대규모로 확장 및 개선된 상황을 유지하며 운영 되고 있습니다.


     본 보고서의 활용 용도는 다음과 같은 활용이 가능합니다.


    1. 악성링크 및 악성코드 유포에 이용되는 IP 대역 차단을 통한 좀비 PC 감염 방지

    2. 악성링크가 공격에 활용하는 주된 취약성에 대한 내부 보안 강화 정책 - 패치

    3. 내부 감염된 APT 공격의 확인 및 제거에 활용 ( 기술 분석 문서 참고)


    *금주 차 보고서 내용 중에 기술분석 보고서에는 악성링크의 유형과 실제 감염을 시키는 악성코드의 타입에 따라 보고서가 기술 되어 있습니다. 각각은 별개 이므로 악성링크 ( 사용자 PC에 악성코드를 내리기 위한 공격코드 )에 대한 분석과 실제 악성코드의 행위와 기능에 대한 분석은 별개 이므로 보고서 구독 시에 참고 하세요. 각각의 악성링크의 분석에는 최종 다운로드 되는 악성코드까지 기술이 되어 있습니다. 2011-3544 Java applet 취약성에 대한 전문 분석도 포함 되어 있습니다.


    금주 차의 특징은 Malare- net의 적극적인 활용은 계속 되었습니다. 또한 전체 Malware net으로 이용되는 웹서비스들은 Malware-net 3개가 도합 671곳의 웹 서비스에서 운영 되고 있습니다. 악성링크들을 Malware net을 통해 대규모로 감염 시키고, 수시로 변경 되는 형태가 계속 되고 있습니다. 악성링크의 신규 출현은 전주 대비 절반 가량 감소 하였으나 Malware -net의 적극적인 활용으로 대신 하는 것으로 추정 됩니다. 또한 다중 취약성을 활용하는 악성링크가 증가 하였으며 이중 패치가 발표 되지 않은 2012-1889 (MS XML) 취약성 공격도 대거 포함되어 이용 되었습니다.


    Malware net은 계속 확장 되고 있으며 공격자의 의도에 따라 수시로 악성링크 중계지로 활용 되고 있습니다. 즉 중간 경로를 이용한 효율적 공격들이 지속 관찰 되고 있어서 영향력과 위험성은 계속 증가 하고 있다고 볼 수 있습니다.



    큰 특징은 다음과 같습니다.


    • 거대 Malware net의 확장과 변화 .
    현재 Malware net의 트리거로 사용 되고 있는 대표적인 링크는 www.xxxx.or.kr/popup_img/popup.js이며 현재 수치는 349곳에 들어가 있는 것으로 확인 되고 있습니다. PCDS 관찰 결과 단 2일만에 200여 곳 이상에 추가된 것으로 파악 되고 있으며, 공격자가 이미 해당 서버에 대해 권한을 확보한 상태이며, 주중 혹은 주말에 수시로 악성코드로 연결 되는 코드들을 삽입하고 있습니다.


    * 현재 발견 된 것 중에서도 대규모 Malware net 이외에 다수의 Malware net이 운영 중입니다. 단 1~2일 만에 수 백여 개의 웹 서비스에 추가될 정도로 정교하고 대량 변조가 가능한 공격 도구를 확보한 것으로 추정 됩니다.

    • 분석 방해를 위한 Virtual machine 회피 기법 활용  국내 주요 백신에  Killing, 거의 대부분의 게임에 대한 프로세스 모니터링 계속 ( 디아블로 3 계정 탈취형 악성코드의 웹서비스를 통한 대량 유포 계속)

    • 6월 2주차 브리핑에서 언급된 패치 없는 제로데이 공격이 대규모 출현 하였습니다. CVE 2012-1889 ( MS XML Core Service Remote Code Execution) 취약성을 이용한 공격기법의 직접적 활용 ( 공격 성공률이 기존의 60% 가량에서 더 높아 졌을 것으로 추정되며, 개별 사이트의 공격에 이용된 것이 아니라 웹 서비스 방문자의 PC를 노린 대규모 공격이므로 국내의 IE 브라우저 사용 비율로 볼 때 공격 성공률은 대폭 높아 졌을 것임)
    * CVE 2012-1889 취약성은 올해 5월에 구글 및 중국에서 최초 신고가 되었으며 Metasploit을 이용한 공격 코드가 이미 공개되어 다수의 공격에 이용이 되고 있는 상황이며, IE 6,7,8 브라우저 사용시 현재 패치가 없는 상태여서 직접적인 권한 획득 및 악성코드 실행이 가능한 상황이다.
    현재 임시 해결방안은 MS의 Fixit 을 통해 임시 예방이 가능하다. http://support.microsoft.com/kb/2719615/ko
    CVE 2012-1889 : MSXML Memory Corruption, CVE 2012-1875 IE Same ID Use After Free

      • PC 권한 획득을 통한 게임 계정 유출 및 백도어 기능이 금주 발견된 전체 악성코드의 80% 가량을 차지할 정도로 확대됨금주 공격에 이용된 악성링크는 미국의 호스팅 업체들을 대규모로 이용 하였으며 지난 주에 이어 EGI Hosting은 여전히 이용된 상태입니다.
             계정 탈취 이후 URL 접속 시도 하는 IP 대역은 타이완 , 미국 Global Telecom , Egi Hosting의 IP 대역이 이용 되었습니다.


      금주 월요일 기준 통계에 의하면 발견된 악성링크 흔적은 1900여 곳 이상이며 Malware Net은 거대 Malware net 두 곳이 현재도 활동 중에 있습니다. 또한 근본 취약성 및 백도어를 제거 하지 못한 상태에서 악성링크로 사용 되는 js 파일만을 삭제하는 것은 대책이 될 수 없으며, 언제든 공격자가 원하는 시점에 계속 해서 악성코드 유포에 이용 할 수 있는 상황임을 알고 본 보고서를 받으시는 기업/ 기관에서는 반드시 차단 정책을 적용 하시기 바랍니다.

      금주의 악성코드 유포지로 직접 이용된 웹서비스들은 200여 개 이상이며 전주 대비 감소 되었으나 Malware net의 규모가 671곳 이상의 규모를 가짐에 따라 도합 870개 이상의 웹서비스들에서 악성코드를 유포 한 결과가 나타나고 있습니다. 5월 보고서에서 최초 언급 되었던 Malware net들은 그 활용도가 이제 적정 기준점을 넘은 활발한 활동을 보이고 있으며 빠른 시간 내에 변경 되는 것으로 관찰 되고 있어서 향후의 위험성에 대해서 강도 높은 우려를 표명합니다. 현재 상태는 공격자가 매우 높은 수준의 자유도를 가지고 자유롭게 활동 하고 있는 단계에 까지 올라선 상황입니다.



      상위 Malware-net은 다음과 같습니다.

      2. www.xxxxxoosung.com/school02/flash/view.js - 218곳
      3. www.xxxxxoosung.com/script/js/script.js -104곳
      이중 2,3번의 경우 동일 웹서비스에서 경로를 달리하여 이용이 되고 있는 실정입니다.
      2번의 경우 빛스캔의 PCDS(Pre Crime Detect System)에 따르면 현재도 증가를 보이고 있습니다.





      < 빛스캔의 PCDS에 수집된 Malware-net 활동 >

      Malware net의 범위는 계속 확장 되고 빠른 변화를 보이고 있어서 향후 Malware net에 대한 변화와 영향력 추적에 계속 집중 하고 있으며 변화도 관찰 할 수 있도록 내부 구조를 유지하고 있습니다. 현재 이 Malware net의 해결을 위해서는 두 가지 방안이 있을 수 있습니다. 두 가지 방안 모두 현실적으로 한계를 가지고 있는 상황입니다.

      1. 670여곳 이상의 웹 서비스들에 들어 있는 Malware net을 제거 하는 방안 – Malware net link 제거 이후 근본적인 웹 서비스 취약성의 제거 병행

      2. 공격자가 확보한 Malware –net 서비스 자체에 대한 강력한 보안 대책 ( xxx.co.kr 및 xxxxosung.com )

      * 현재는 1,2,3번 Malware net 링크 모두 비활성화 되어 있습니다만 지난 주말에도 수시로 활성화 되어 악성코드 유포에 활용 되었습니다. 강도 높은 주의가 필요합니다.



      악성링크 자체 및 웹서비스 전체적으로 문제점 개선이 이루어 지지 않고, 악성코드 유포 인지도 못하는 상태는 여전히 계속 되고 있습니다. 또한 대응이라고 해봐야 근본 원인 제거 없이 악성링크가 추가된 부분만을 제거하는 것이 대응의 전부이다 보니, 공격대상에 포함된 모든 서비스들이 재활용 되는 악순환이 계속 되고 있습니다. 이제 공격자들은 자유로운 재활용을 넘어, 악성코드에 감염된 좀비 PC의 대규모 확산을 위해 악성코드 유포지를 대폭 늘리고 직접 활용을 하는 단계를 계속 유지하고 있습니다.


      전체적으로 금주 국내 인터넷 서비스를 통한 악성코드 감염 및 좀비 PC 감염 비율은 상당히 높은 상태를 보였을 것으로 판단 됩니다. 패치 없는 2012-1889 (MS XML) 취약성의 적극 활용으로 인해 공격 성공 비율이 극적으로 높아졌을 것으로 예측 되며 현재 상태에서는 강도 높은 경계 단계를 계속 유지 합니다.



      6월 3주차 특징은 다음과 같습니다. ( 모든 IP와 URL 정보는 공식 보고서에만 공개 됩니다. )


      특징


      • 다양한 취약성을 이용해 공격 성공 비율을 높이는 형태 계속 ( 7가지 형태로 취약성을 결합한 하이브리드 공격 실행함)
      • 제로데이 공격인 2012-1889의 적극적인 활용으로 공격 성공률이 매우 높아졌을 것으로 예상됨
      • 악성코드 유포자들의 전략적 행위 증가 및 범위 확대와 재활용 증가 ( 악성링크 자체의 탐지 회피를 위한 다양한 기법 동원)
      • 악성코드 분석 자체를 방해하기 위한 가상머신 우회기술, 루트킷(APT 형태) 유포 계속
      • 3월부터 사용되었던 주요 악성링크 및 악성코드의 대규모 재활용 계속 ( 금융권 및 백신 업데이트 방해를 위한 Host 파일 변조는 발견 되지 않음)
      • 대형 연예 기획사 및 6월 1주차에 언급된 메이저 언론사들의 악성코드 유포는 계속 되었음. ( 관련 기사 게재 예정)

      * 악성링크를 중계하는 웹서비스의 증가는 웹서핑시 감염될 확률이 더욱 높아짐을 의미합니다.


      * 유포지와 중계지의 의미는 사용자 관점 이나 악성링크의 관점에서 다를 수 있습니다. 저희는 사용자 관점에서 웹 서핑시 방문한 웹서비스가 문제가 있어서 감염이 된다면 직접 방문한 사이트는 ‘ 악성코드 유포지’ , 악성코드를 받아 오게 하는 임의의 주소를 ‘ 악성링크’ , 최종 사용자에게 감염을 일으키는 파일 자체를 ‘악성코드’ 로 정의 하고 있습니다.


      사용자 PC에 대한 직접적인 공격을 일으키는 금주의 취약성은 주요 취약성 5개 이외에 신규 활용된 MS XML 취약성이 추가되어 공격에 이용 되고 있으며 전주와 동일하게 Oracle의 Java 취약성과 Flash 취약성에 대한 공격 비율이 가장 높은 비율을 차지 하고 있습니다. 또한 루트킷 및 APT 형태의 감염을 위해 사용자 PC에 디바이스 드라이버를 설치한 상태에서 내부 대역 스캔 및 특정 IP로 연결 하는 형태는 한번 감염시 막대한 피해를 감내해야 하는 부분이므로 강력한 보호 방안 수립이 요구 되고 있습니다. 패치 이외에도 다양한 방안을 강구해야 문제 해결 할 수 있습니다. 항상 말씀 드리지만 현재 모든 솔루션들이 사후 대응에 중점을 맞추고 있는데 가장 중요한 것은 사전에 대응이 얼마나 되고, 발생 가능한 위험을 제거 했느냐가 핵심이 되어야 합니다. 사전에 위협을 얼마나 제거하고 위험을 줄일 수 있느냐가 핵심이 되어야만 현재 문제를 해결 할 수 있습니다.






      < 금주에 활용 되었던 악성링크의 역할 분담과 기능에 대한 설명 자료 – 자료분석 KAIST 정보보호대학원 - 3chy>


      • Oracle Java 취약성, Adobe Flash 취약성 , MS의 XML , Midi 및 IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다. 특히 패치가 없는 상태의 MS XML (CVE 2012-1889) 취약성의 경우 반드시 임시 예방책이라도 적용 하실 것을 권고 드립니다.

      • 기술분석 보고서에 기술된 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자 PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높습니다. 또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 Kill 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제하여 정체를 은폐하고 있으므로 사전 대응에 만전을 기하세요.

      • 기술분석보고서에 언급된 백도어들은 상당히 많은 악성링크들이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단됩니다. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있으며 현재 목적은 게임계정 탈취로 보여지고 있으나 언제든 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 될 수 있습니다.
      • 6월 3주차 보고서에는 가장 극심한 공격이 발생 되고 있는 2011-3544 ( Java Applet 취약성)에 대한 전문 분석 자료가 포함 되어 있습니다.



      모니터링 하는 프로세스의 종류는 하기와 같으며 국내의 대부분 백신 프로세스 이외에 거의 모든 국내의 게임들에 대해서 모니터링을 하고 있습니다. 게임종류는 국내.외 게임사들의 주력 게임들이 모두 해당 되고 있으며, 그 동안 산발적으로 발견 되었던 디아블로 3 관련된 게임 계정 탈취형 악성코드 기능은 여전히 계속 유포 되고 있습니다. 게임 계정 탈취형 악성코드들이 현재 전체 발견 수치의 80% 가량을 차지 하고 있으며 모든 악성코드들은 기본적으로 국내 사용되는 백신에 대한 확인 및 종료 기능이 들어 있으며, 국내 백신 탐지를 우회 하고 있습니다.

      기술 분석 보고서 p.5 에서 언급된 update.exe의 경우 웹을 통한 대규모 유포에 활용 되었으며 백도어 기능을 가지고 있음에도 불구하고 탐지 비율은 다음과 같습니다. 


      6.24일에 탐지되어 기본 탐지를 비교한 내용입니다. https://www.virustotal.com/file/77e70e88067c6f1f3df6ee344edb8d0d2507717116c4da4623bbea1b17213e92/analysis/1340515075/



      ·

      프로세스명

      프로그램명

      백 신

      sgbider.exe, vcsvc.exe

      vcsvcc.exe

      바이러스체이서

      NVCAgent.npc, nsvmon.npc

      Nsavsvc.npc, NaverAgent.exe

      네이버백신

      V3LRun.exe, MUpdate2.exe

      SgSvc.exe

      V3Light.exe, V3LTray.exe

      V3LSvc.exe

      V3

      AYUpdSrv.aye,

      AYRTSrv.aye, SkyMon.exe

      AYServiceNT.aye

      AYupdate.aye, AyAgent.aye

      알약

      PCOTP.exe

      넥슨 OTP

      게 임

      gamehi.co.kr

      게임하이

      hangame.com

      한게임

      netmarble.net

      넷마블

      Raycity.exe

      레이시티

      ff2client.exe

      피파 온라인2

      pmang.com

      피망

      df.nexon.com, dnf.exe

      던전 앤 파이터

      DragonNest.exe

      드래곤 네스트

      WinBaram.exe

      바람의 나라

      heroes.exe

      마비노기 영웅전

      wow.exe

      월드 오브 워크래프트

      lin.bin

      리니지

      MapleStory.exe

      메이플 스토리

      Diablo III.exe

      디아블로III



      본 보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포 및 감염입니다.

      APT 형태가 사용하는 유포 취약성은 대부분 Java 취약성에 집중 되고 있습니다. 대응에 참고 하세요.



      사용된 취약성 비율


      - CVE 2011-3544 ( 23.5%) Java Applet 취약성

      http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

      - CVE 2012-0507 ( 23.5%) Java Applet 취약성 - Java Web start 취약성

      http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html

      - CVE 2012-0003 (17.4%) Windows Midi 취약성 –

      http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003

      - CVE 2012-0754 (17.4%) Flash 취약성 –

      http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

      - CVE 2010-0806 (2.2%) IE 취약성 ( IE 6,7 대상)

      http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806

      - CVE 2012-1889( 9.8%) MS XML Core Service 취약성

      http://technet.microsoft.com/ko-kr/security/advisory/2719615

      - CVE 2011-2140 (2.4%) Adobe Flash 취약성

      http://www.adobe.com/support/security/bulletins/apsb11-21.html



      금주의 차단 추가 영역은 다음과 같습니다. 아래 영역은 이미 공격자가 권한을 통제하고 있는 IP대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다. 기업 및 기관에서는 해당 IP 대역 차단 이후 ( 업무 관련성 여부에 대해서는 각기관 및 기업별 검토 필요) 차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다.



      악성링크에 이용 되는 미국의 EGI Hosting 사의 IP 대역 상당수를 직접 악성링크로 활용한 사례가 발견 되어 해당 IP 대역에 대해 강력한 차단을 유지하실 것을 권고 합니다.


      차단 권고 대역


      * 각 개별 분석보고서에는 별도의 차단 대역들이 존재하니 참고 하시고 사안별로 모니터링 및 차단에 적극 활용 바랍니다.

      공개적 언급 부분에는 삭제 - 차단은 악성링크 경로와 악성코드 감염 이후의 연결 부분으로 구분, 정식 구독 및 시범 서비스 가입 기관에만 제공됨



      현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공될 예정입니다. 또한 어떤 방식으로든 빛스캔의 악성링크 탐지와 분석 내용에 대해서 인지를 일부 하고 있는 것으로 보여 전략적인 움직임이 매우 많은 한 주로 총평을 할 수 있으며 향후 외부 공개 수준에 대해서 심각하게 고민을 해야 할 것 같습니다.



      주말에만 집중 되던 공격이 금주 에는 주중에도 이미 발생 되어 활발하게 활동이 일어나고 있습니다. 인터넷 서핑 주의를 당부 드려야 할 것 같습니다. 여전히 공격에 상당히 많이 이용 되고 있는 Cookie 값 ralrlea를 주의 하세요. 물론 다른 쿠키 값들도 많지만 가장 많은 쿠키로 사용되는 값입니다.


      공익적인 목적으로 기관에 제공 되는 서비스들은 내부 사정에 의해 언제든 종료 될 수 있습니다.

      감사합니다.


      *시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4회 이상을 보고서를 받으셨다면 그 이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다. KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능합니다. 해당 서비스의 신청은csyong95@kaist.ac.kr 로 신청 하시면 됩니다.

      * 정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr 이며 기관명/ 담당자/ 연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다. 주위의 기업 및 기관들에게 정보 차원의 전달 가능합니다.

      * 본 분석은 악성링크 자체의 수집은 빛스캔의 PCDS (Pre crime detect system)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터, 정보보호대학원과 공동으로 진행합니다.

      Posted by 바다란