태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'cve'에 해당되는 글 1건

  1. 2012.05.30 5월 4주차 인터넷 위협분석 (루트킷.)

안녕하세요전 상훈입니다.

 

빛스캔과 KAIST 사이버보안센터에서 공동 운영하는 보안정보 제공 서비스 5 4주차 내용입니다본 정보제공 서비스는 국내에서 발생되는 악성코드 유포에 대해 직접적으로 분석을 함으로써 위험의 흐름과 대응에 대해서 알 수 있도록 하기 위한 것이 주된 목적입니다.

 

금주의 가장 큰 특징은 신규 악성링크는 줄어든 비율을 보이고 있으며악성링크를 통해 유포되는 실제 악성코드들도 신규 유형은 대폭의 감소를 보이고 있습니다그러나 실제 악성코드를 사용자들에게 감염 시키는 악성코드 유포지의 수치는 전주 대비 50% 이상 증가한 것으로 확인이 되고 있습니다.

 

최종적인 한주간의 특징을 살펴보면 지금껏 활용 되어왔던 악성링크들의 재활용 증가 및 사용자 PC에 설치되는 악성코드들의 재활용도 증가 하고 있으며 이 악성코드를 대규모 유포를 하기 위해 사용자가 방문 시 감염 될 수 있는 사이트들을대규모로 늘리고 있는 것으로 판단 됩니다.

 

 결론적으로 보면 지금까지 사용 되어진 악성링크들을 반복해서 재활용을 하고 있으며 최종 설치되는 악성코드들도 동일한 유형을 계속 활용 하고 있습니다대응이 되지 않고 있어서 자유롭게 활용을 하고 있으며 , 대규모 확산을위해 악성코드 유포지를 대폭 늘리는 상황이 금주에 관찰된 가장 큰 이슈가 되겠습니다. 즉 감염 PC의 대규모적인 확대를 꾀하고 있는 것으로 관찰 되고 있습니다.

 

 

금주의 큰 특징은 다음과 같습니다.

 

특징

·  다양한 취약성을 이용해 공격 성공 비율을 높이는 형태 계속

·  악성코드 유포지의 대폭 증가 현상 관찰  - 향후 주의 필요

·  악성코드 유포자들의 전략적 행위 증가  범위 확대 계속

·   악성코드 분석 자체를 방해하기 위한 가상머신 우회기술,  루트킷 유포 발견

·   4월부터 사용되었던 주요 악성링크  악성코드의 대규모 재활용 계속

·   악성링크의 추가와 제거가  보고서 발송일 까지도 간헐적으로 계속 


악성링크를 중계하는 웹서비스의 증가는 웹서핑시 감염될 확률이 더욱 높아짐을 의미합니다.


*유포지와 중계지의 의미는 사용자 관점 이나 악성링크의 관점에서 다를 수 있습니다저희는 사용자 관점에서 웹 서핑시 방문한 웹서비스가 문제가 있어서 감염이 된다면 직접 방문한 사이트는 ‘ 악성코드 유포지’ , 악성코드를 받아 오게 하는 임의의 주소를 ‘ 악성링크’ , 최종 사용자에게 감염을 일으키는 파일 자체를 악성코드’ 로 정의 하고 있습니다.






사용자 PC에 대한 직접적인 공격을 일으키는 금주의 취약성은  주요 취약성 5개 가량에 집중이 되어 있으며 전주와 동일하게  Oracle Java 취약성에 대한 공격 비율이 가장 높은 비율을 차지 하고 있습니다

강력하게 사내 및 해당 기관이나 기업에 보안패치 권고를 해야만 합니다패치를 하지 않을 경우 문제를 해결 할 수 있는 방안은 인터넷 사용 금지 외엔 없습니다.

 

Oracle Java 취약성, Adobe Flash 취약성 , MS Medi  IE 취약성이 같이 사용 되어 공격 성공 비율을 높이는 경우가 계속 관찰 되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있습니다.

 

·   3번 기술보고서에 언급된 루트킷은 이미 해외 백신 일부에서는 탐지하고 있는 내용이며 사용자 PC의 드라이버를 교체하여 상주하며 향후 APT 및 내부에 대한 추가 공격과 같은 다양한 위험요소를 만들 수 있습니다전문 분석은 향후 진행될 예정이며 간략한 분석 내용은 threatexpert에 저희쪽에서 올려 간단히 체크된 내용을 참고 하십시요.  - 본 게시물에서는 생략합니다.


 

·   전주에 이어서 금주에도 가상머신 실행을 감지하고 종료하거나 분석을 회피하도록 설계된 악성코드가 대량 유포 되었습니다본 내용은 향후 전문분석을 통해 상세하게 전달이 될 예정입니다.


·  게임 계정을 해킹 하는 코드들이 대량으로 유포 되고 있으며 대상 게임은  엔씨 -리니지 , 한게임 -테라 , 넥슨 -메이플스토리,엘소드블리자드-와우, CJ인터넷 - 피파온라인네오플-던파 이며  디아블로에 대한 계정 탈취 유형도 발견 될 것으로 보입니다.


·  항상 말씀드리지만 루트킷 또는 APT 유형은 감염 즉시 심각한 피해를 장기적으로 유발   있으므로 심각한 주의가 필요합니다더군다나  보고서에 기술되는 내용들은 이메일등을 이용한 소규모 침투가 아니라 웹서비스를 통한 대량 유포  감염입니다.  APT 형태가 사용하는 유포 취약성은 대부분 Java 취약성에 집중 되고 있습니다.  대응에 참고 하십시요.

 


사용된 취약성

 

- CVE 2011-3544 ( 23.6%)  Java Applet 취약성 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3544

- CVE 2012-0507 ( 24.7%) Java Applet 취약성 - Java Web start 취약성

- CVE 2012-0003 ( 20.2%) Windows Midi 취약성 - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003 3월의 전문분석보고서를 참고 

- CVE 2012-0754 (21.3%)  Flash 취약성 - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0754

- CVE 2010-0806 (9.0%)  IE 취약성 ( IE 6,7 대상http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806

 


<5월 4주차 주간 동향 보고서의 누적 취약성 통계>

 

전주 대비 특이 사항으로는 Java applet 취약성을 노린 공격 및 Windows Midi 관련된 공격이 전주의 급증세를 유지하고 있습니다전주와 대비해 달라진 취약성 비율과 공격의 자세한 변화들에 대해서는 5월 4주차 동향분석 보고서를 참고 하십시요.

 

 

금주의 차단 추가 영역은 다음과 같습니다아래 영역은 이미 공격자가 권한을 통제하고 있는 IP 대역들이며 해당 IP 대역들은 이전 리스트에서도 계속 재활용이 되고 있습니다기업 및 기관에서는 해당 IP 대역 차단이후 ( 업무 관련성 여부에 대해서는 각기관 및 기업별 검토 필요차단 수치에 대해서 살펴 보시면 현재 상태의 위험이 얼마나 되는지 실감 하실 수 있으시며 매우 높은 수치임을 아실 수 있습니다.

 

4월부터 차단 권고 드린 IP 대역은 금주에도 매우 활발하게 재활용이 되었습니다강력한 차단을 계속 유지 하셔야만 안정성을 확보   있습니다.

 


차단 권고 대역


* 본 게시물에서는 차단 대역의 게재를 하지 않으며 서비스 제공 받는 고객사에만 제공이 됩니다.




현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정하여 제공할 예정이며 기본 동향에 대해서만 언론에 브리핑 될 예정이니 참고 하십시요중앙대 전산원 기사http://www.dailysecu.com/news_view.php?article_id=2251 와 연관된 내용인 abcmart 의 기사가 보안뉴스에 게재 (http://www.boannews.com/media/view.asp?idx=31441 )  되어 있으나 해킹 및 가격 오류 소동에 관해 해킹이 아니라는 해명을 하고 있습니다. 저희쪽에 관련 사례가 있어서 정리 되는 대로 기사 기고 예정입니다참고 하십시요.

 

 

시설 확장을 통해 그 동안 국내 도메인 중 추가 확보된 도메인과 해외 도메인을 더 추가하여 악성링크의 움직임에 대해 폭넓은 관찰을 현재 실시하고 있습니다보다 더 정확성 있고 현실적인 위협정보들을 제공 할 수 있도록 하겠습니다.

 

 

*시범 서비스는 순차적으로 1개월 경과시 종료 됩니다. 4 이상을 보고서를 받으셨다면  이전에 정식 구독서비스를 신청하셔야 보고서가 누락되지 않습니다.  

첨부 파일중 KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능합니다해당 서비스의 신청은 csyong95@kaist.ac.kr  신청 하시면 됩니다.

 

정식 구독 서비스 가입  시범 서비스 신청은 info@bitscan.co.kr 이며 기관명담당자연락처 기재가 필요하며 시범은 기관/기업별 1회에 한정 합니다주위의 기업  기관들에게 정보 차원의 전달 가능합니다.

 

 분석은 악성링크 자체의 수집은 빛스캔에서 수행하며악성링크에 분석은 KAIST 사이버보안센터정보보호대학원과 공동으로 진행합니다.


- 바다란 세상 가장 낮은 곳의 또 다른 이름.

Posted by 바다란