태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

악성코드 유포 일본을 정조준 -한류, 악성코드를 전파하다.

 

*빛스캔은 2013년 2월. 일본내의 악성코드 유포 상황에 대해 한국인터넷의 범위를 관찰하는 PCDS (Pre Crime Detect Satellite) 관찰 범위를 일부 이동 시켜 관찰 할 예정입니다.

 

 

2004년에 일본에서 방영된 '겨울연가'는 중년 여성들의 폭발적인 인기에 힘입어 주인공인 배용준(욘사마)를 일약 한류 스타로 만들었다. 이후 드라마뿐만 아니라 가요와 같은 문화 컨텐츠가 대만, 베트남 등 아시아에 널리 전파되었고 전세계로 확산 되고 있다. 현재는 보아, 비, 원더걸스와 같은 아이돌 가수를 중심으로 지속적인 해외 진출을 시도하여 일본뿐만 아니라 중국, 동남아시아에서 상당한 인기를 얻고 있다.

최근 씨엔블루(CNBlue)는 일본 오리콘 차트에서 새로운 싱글을 발표하면서 2위(2012년 12월하순)까지 차지하는 인기를 누리고 있는 것으로 알려져 있다.

 

악성코드를 유포하는 공격자들은 한류의 선봉을 맡고 있는 웹사이트도 비켜가지 않는다.

 

지난 2월 5일 16시경, 국내 날씨예보 관련 웹서비스에 JP도메인을 사용하는 악성링크가 추가된 것이 빛스캔의 PCDS에 탐지되었다. 탐지 당시 악성코드를 유포하거나 중계지로 활용되지는 않았지만, 공격자가 로그를 분석할 수 있는 링크를 삽입한 것으로 보아 공격 대상 웹사이트의 방문자 유형을 분석하거나 하는 등의 사전 준비로 보여 졌다. 이틀간의 관찰기간을 거쳐 2월 7일 오전 11시경에 실제 공격을 수행하는 공격링크가 추가된 것이 확인 되었으며, 해당 공격은 국내의 날씨 예보 관련 사이트에서도 공격이 발생됨은 물론 일본 내에서도 해당 서비스를 방문하는 모든 사용자들에게 동시에 공격이 발생 되고 있음이 확인 되었다. 즉 악성코드 유포지 이외에도 경유지로도 활용된 상황이다. ( 해당 서비스는 씨엔블루 그룹의 일본 공식 웹서비스인 cnblue.jp 이다. ) 악성링크는 2월 11일 다시 변경 되었으며, 2월 12일 현재까지도 악성코드 유포는 계속 되고 있다. 즉 2월 7일부터 2월 12일 오전까지 cnblue.jp 사이트를 접근한 사용자들 모두가 공격을 받았으며, Java와 IE 업데이트가 되어 있지 않았다면 좀비 PC가 되었을 것이다. 국내 사이트도 두 곳 정도 cnblue.jp에 올려진 악성링크의 영향을 받아 감염을 시켰기에 국내도 일부 영향이 있었을 것이다. 최종 악성파일의 분석 내용은 국내 은행의 접속 시에 주소를 변환하는 파밍 역할을 하는 악성코드였으며, 원격에서도 통제가 가능하므로 추가적인 위협은 계속 될 것으로 판단된다. 일본 내에 유포된 악성코드는 APT와 같은 추가적 정보 유출의 위협을 가지고 있을 것으로 추정되고 있다.

 

국내 사이트를 공격하여 웹소스 상에 악성링크를 추가하고, 악성링크의 정체를 잘 탐지 되지 않도록 하기 위해 신뢰받는 웹서비스를 추가적으로 해킹하여 악성링크 자체로 이용하는 것은 탐지를 회피하기 위한 목적으로 지난해부터 자주 사용이 되고 있다. 국내의 악성코드 감염 확산에 이용된 악성링크를 조사하는 과정에서 일본 내에서도 광범위한 공격이 발생 혹은 시작 될 수 있는 징후를 발견 하였으며, 어쩌면 이미 시작 되었을지도 모를 것이다.

< 2월 5일 첫 발견 당시의 접속자 관찰 용도의 링크 자동 실행 화면>

 

본 사이트의 경우 언어의 특성상 한국 팬보다는 일본(어를 사용하는) 팬이 많이 접속할 것으로 예상되며, 이를 통해 많은 일본 이용자들이 현재도 악성코드에 감염되고 있을 것으로 추정된다.

< 2월 7일 오전 11시경 실제 공격코드가 동작하여 방문자들에게 감염을 시키고 있는 cnblue.jp 웹서비스>

 

악성링크는 공식 홈페이지 소스코드에 악성링크를 추가하는 형식으로 실행이 되고 있었다. 즉 공격자가 서비스에 대한 모든 권한을 가진 상태와 동일하다.

< 공격자가 인위적으로 소스를 추가하여 모든 방문자들에게 실행 되도록 구성한 내용>

 

해당 공격코드가 이용하는 기법은 현재로서는 한국에서 널리 이용되고 있는 최신 취약점( 제로데이) 과는 조금 다른 방식 이였으며 Java 취약성 두 가지와 MS XML 취약성 하나를 포함한 세 종류의 취약성을 이용하여 방문자 PC를 공격하는 것이 확인 되었다. 공격코드 제작을 위해 사용된 공격자의 생성 도구는 CK VIP Exploit kit으로 분석 되었다.

< cnblue.jp 내의 악성링크의 내용 – 단 하나의 링크 추가로 직접 공격이 발생됨>

 

공격이 성공된 이후에 설치되는 최종 악성파일은 감염 이후 추가적인 공격 파일을 미국의 캘리포니아에서 다운로드를 받아 설치하는 것으로 분석 되었으며, 현재 전 세계 백신을 대상으로 테스트 할 수 있는 Virus Total에서 확인해본 결과 지금껏 보고 되지 않은 악성파일이였다.

< 최종 악성파일인 sms.exe 파일에 대한 VirusTotal 비교 결과 – 미 보고된 신종 악성파일>

< 최종 악성파일이 방문자 PC 설치 이후 추가 공격 코드 다운로드 기록 >

 

공격이 성공된 이후 설치되는 악성파일은 공격자가 올려둔 또 다른 파일들을 다운로드 시도하고 시스템에 설치하는 행위를 하였고, 악성파일을 다운로드 받는 주소는 174.139.68.xx 이였다. 해당 IP는 미국 캘리포니아 오렌지 카운티에 위치한 것으로 확인 되고 있다.

< 추가 공격파일 다운로드 위치>

 

2월 5일 관찰 현상의 최초 발견부터 2월7일 실제 공격이 발생된 시점까지의 관찰기록을 보면 공격자들은 국제적인 네트워크를 자유자재로 활용 하고 있음을 알 수 있다. 악성코드 감염을 위해 유명 웹서비스들을 이용하는 것을 확인 할 수 있으며, 지금껏 국내에서만 활발하게 발견이 되고 해외에서는 드물게 발견 되는 유형이었던 웹 서비스를 통한 대량 감염 (drive by download) 이 이제 일본에도 직접적으로 발생 되고 있는 것이 확인 된 것이다. 일본 내에서도 Java와 MS의 패치가 되어 있지 않은 상태에서 해당 웹서비스를 방문하게 되면 공격의 영향을 직접 받을 수 밖에 없으며, 단지 방문만 하여도 악성코드에 감염되고 추가로 미국에 위치한 추가적인 악성코드들을 그 어떤 인지도 없이 받게 될 수 있다. 좀비 PC가 된 이후의 권한은 오직 공격자에게 있을 뿐이다.

 

이번 일본 내에 위치한 도메인을 이용한 악성링크 활용 사례는 지금까지 한국에서 사용되는 공격방식과 유사한 상황을 보이고 있어서, 앞으로 최신 취약점(제로데이)를 활용하여 모든 방문자 PC를 직접 공격할 가능성이 높은 상태이다.

방문자들 대부분이 악성코드의 감염 영향권에 들 수밖에 없다. 아직 일본에서 이러한 공격을 통해 공격자가 얻을 수 있는 수익모델이 널리 알려지지는 않았지만, 안정적인 수익 모델이 생길 경우 한국과 같은 상황으로 돌변할 가능성이 높다. 게임 아이템 탈취와 같은 개인정보 유출은 일상적인 사례가 될 것이고, 현재에도 백신에 탐지가 되지 않는 상태로 PC에 설치가 되고 있는 상황이라 APT와 같은 장기적인 정보유출에도 직접 이용 될 여지가 높다.

 

국내도 마찬가지 이지만 일본 내에서의 좀비 PC 확산을 막기 위한 방안으로는 악성링크로 이용된 경로를 차단하고 추가 공격코드를 다운로드 받는 미국의 주소에 대해서도 차단을 병행해야 대응이 될 수 있다. 근원적으로는 공격자가 자유자재로 통제하는 웹서비스의 보안성을 높여서 추가적인 악성코드 감염 시도가 발생 되지 않도록 해야 할 것이다.

 

국가와 국가를 자유롭게 이동하며 공격을 하는 공격자들은 이제 공개적으로 일본 내에서의 좀비 PC 확대를 위한 대량유포 매커니즘을 작동 하였다. 이미 오래 전부터 시작 되었으나, 감지가 늦은 것일 수도 있다. 분명한 것은 일본의 IT 시스템도 대량 확산되는 악성코드의 습격으로부터 자유롭지 못하며, 이제 시작이라는 것이다.

 

현재 빛스캔㈜은 PCDS (Pre Crime Detect Satellite)를 운영하여, 국내 120만개의 웹 서비스와 해외 10만 여 개의 웹 서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 본 이슈를 통해 일본 내의 악성코드 유포에 대해 모니터링을 강화하고 있다. 전세계적으로 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있으며 매주 수요일 한주간의 한국 인터넷 위협현황에 대해 카이스트와 공동으로 정보를 제공 하고 있다. 알려지지 않은 위협에 대해 대응을 하기 위한 기본적인 가이드이다. 문의는 info@bitscan.co.kr로 하면 된다.

Posted by 바다란

댓글을 달아 주세요

 * 본 내용은 국내에서 처음으로 발견된 공격자의 악성코드 감염에 대한 성공률을 나타내는 최초의 자료이며, 현 시점의 정확한 데이터를  포함하고 있습니다. 

하루에 좀비 PC를 몇대를 만들 수 있는지는 단지 공격자의 의지에 달렸을 뿐인 지금의 상황을 정확하게 보시길 바랍니다. 방문자 10명중 6명이 감염이 되는 지금의 시대는 말 그대로 혼란이겠죠. 겉으로는 평온해 보여도 속으로는 매우 심각한 상태인데 이제 언제든 밖으로 드러나도 이상하지 않은 상황이 되어 버렸습니다.

우리의 인터넷의 현 주소입니다. 방문만 하여도 열에 여섯은 감염 되는 현실이 중세의 페스트가 아니고 무엇일까요? . 예전에 지디넷 컬럼으로 썼던 디지털 페스트의 현실화를 입증하는 데이터네요.

자..그럼~
 -----------------
 

국내의 웹 서비스를 통한 악성코드 유포와 감염에 대한 실태 – 2012 2 11일 사례 조사

분석 기업: 빛스캔 , KAIST 정보보호대학원

 

 

2012 1월부터 빛스캔㈜에서는 KAIST 사이버보안연구센터와 공동으로 웹 서비스상에서의 악성링크 판별과 사용자 PC에 설치되는 최종 악성코드에 대해서 분석을 진행해 오고 있다. 공동 분석을 진행 중 2012년 들어 악성코드 유포 행위가 가장 극심했던 2 11일 새벽에 공격자가 생성한 흔적(로그)을 발견하게 되었고, 이 로그에는 유포 시간대에 접속한 모든 사용자에 대한 기록들이 저장이 되어 있었다. 로그를 분석한 결과 국내에서 몇 년 전부터 꾸준하게 발생되어 오고 있는 웹서비스를 통한 악성코드 유포가 얼마나 많은 효과를 거두고 있으며 왜 지금도 멈추지 않고 계속 되고 있는지를 확인 할 수 있었다. 211일 새벽 3시간 동안 발생된 기록의 단면을 통해 국내의 악성코드 유포에 대한 피해여파와 대책의 효율성에 대해 고려해야 할 시점이다.

 

일반적으로 공격자들은 공격의 효과와 유효성 검증을 위해 접속자에 대한 로그를 항상 유료화된 통계 사이트로 전달해 오고 있어서 공격의 효과를 대응 측면에서 판단하는 것이 매우 어렵고 공격의 전체적인 규모를 파악하는 것이 불가능하였다. 또한 여러 사이트를 동시에 해킹 하고 악성코드 유포를 시도한 이후에 통계 사이트를 통해 관리와 기록을 함으로써 공격의 효율성을 높이고 있는 상황에서 실질적인 공격의 피해와 범위를 살펴 보는 것은 사실상 불가능한 부분이라 할 수 있다.  본 분석의 결과로 국내에서 일상적으로 발생 되고 있는 웹 서비스를 통한 악성코드 유포의 심각성에 대해 환기가 되었으면 한다.
 

<공격자들이 주로 사용하는 통계 사이트 – Referer 체크를 통해 접속자 실시간 관찰>

 

2 10일부터 12일까지(3) 최근 몇 년 이내에 가장 큰 규모로 다양한 악성코드를 유포한 주말기간 이였으며 이 당시에 발견된 악성 링크들만 30여 종 이상이고 특히 하나의 악성링크가 50여 곳 이상의 웹서비스들에서 중계되는 사례도 발견이 된 시기이다. 이번에 발견된 공격흔적은 이 중에서도 소규모에 해당하는 서비스들을 공격하여 감염을 시킨 흔적들이며 중소 언론사 한곳과 게임 커뮤니티 사이트 두 곳의 방문자들에게만 감염이 되도록 되어 있었다. 다른 큰 규모의 공격들에 대해서도 분석이 된다면 국내의 실질적인 현실에 대해서 보다 더 정확하게 인지 할 수 있겠으나 공격자의 실수가 없다면 파악을 한다는 것은 절대적으로 불가능한 사안이다. 우리는 이 작은 사례를 통해서 국내의 IT환경에 대한 직접적인 위험을 인지해야 하며 적극적인 대책을 적용 해야만 할 시기에 직면했음을 알아야 할 것이다. 전체의 피해 사례는 더 크고 대규모 일 수 밖에 없다. 지금 이 순간에도 말이다.

 

로그파일의 사이즈는 55M , 활성화된 시간은 2012 2 11 00:23:46 ~ 03:24:30 이며 총 3시간에 걸친 기록이다. 총 로그의 카운트는 270,384회이다.

 

중복된 방문자를 제외한 Unique IP의 수치 통계는 다음과 같다. ( AWSTAT 활용한 통계)

 

Summary

 

Reported period

Month Feb 2012

First visit

11 Feb 2012 - 00:23

Last visit

11 Feb 2012 - 03:24

 

Unique visitors

Number of visits

Pages

Hits

Bandwidth

Viewed traffic *

56,995

57,380
(1 visits/visitor)

125,210
(2.18 Pages/Visit)

126,606
(2.2 Hits/Visit)

1.01 GB
(18.38 KB/Visit)

Not viewed traffic *

36,517

143,776

158.92 MB




웹로그 27만 여개 중에서 고유 방문자는 56,995명이며 해당 방문자들은 평균 2회 가량의 페이지를 자동으로 방문한 것으로 나오고 있다.

고유 방문자가 실제 감염 대상으로 볼 수 있으며 해당 악성링크 사이트에 존재하는 exe 파일을 제한 없이 사용자 PC에 설치된 횟수가 악성코드 감염 PC 갯수로 판단할 수 있다.



최종 고유 방문자 대비 성공 비율은 60%선을 보이고 있다. 결론적으로 소규모 사이트 두 곳 만을 이용한 공격이며 더구나 새벽시간대의 3시간 가량의 악성링크 노출만으로도 공격 성공률 60% 34천대 이상의 좀비 PC를 확보 하고 있음을 증명하고 있다. 방문자가 더 많은 대규모 사이트들에 대한 공격도 이 시기에 동시적으로 발생 하였으므로 감염 수치는 추산하기 어려울 정도이며 놀랄 만큼 많은 대규모 좀비 PC를 확보 하고 있을 것으로 추정이 가능하다.

 유포된 악성파일 자체는 게임계정 탈취와 키로깅을 주목적으로 하고 있으며 국내 주요 백신에서는 탐지가 되지 않음을 확인 하였다. 공격 코드는 IE 버전별 Flash 취약성, IE 자체의 취약성, Windows Media Player 취약성, Oracle Java 관련 취약성이 활용 되었으며 본 로그 상에서는 Oracle Java 관련 취약성 공격 성공률은 1385회 정도를 보이고 있다. 그 외의 IE, Flash 취약성과 Windows Media Player관련 취약성 공격이 공격 성공의 대부분을 차지하고 있음을 알 수 있다.


< 방문자의 취약성별 악성코드 감염 구조도(예시)  >

 

사용자의 Flash 버전 및 IE의 버전, java, Windows Media player에 대한 공격코드가 각각 방문자의 PC환경에 맞추어서 공격이 발생되도록 되어 있고 최종적으로는 악성파일을 방문자 PC에 설치하여 좀비 PC로 만드는 것을 목적으로 하고 있다. 공격된 취약성의 종류는 다음과 같다.

 

사용 취약점(CVE)

CVE-2012-0003 MIDI Remote Code Execution Vulnerability

CVE-2011-3544 Oracle Java Applet Rhino Script Engine Remote Code Execution

CVE-2011-2140 Adobe Flash Player MP4 sequenceParameterSetNALUnit Vulnerability

CVE-2010-0806 IE Remote Code Execution Vulnerability

 

좀비 PC를 만들기 위해 공격자들은 환경에 맞는 공격코드들을 세트 형식으로 운용을 하고 있으며 방문자의 다양한 PC 환경에 맞추어 여러 취약성들을 나누어서 공격하도록 되어 있다. 최종적으로는 악성코드의 설치에 여러 취약성을 이용하는 형태를 띄고 있다. 더구나 이 모든 악성코드들은 국내의 사용 비율이 높은 백신들에 대해서는 이미 우회 테스트를 한 상태에서 내려와서 실시간 대응은 매우 어려운 환경이며 악성코드 파일 자체가 다운로드 된 것은 제한 없이 방문자 PC를 좀비 PC화 했다는 것을 의미한다. 각 취약성에 대한 보안업데이트들은 충분히 나와 있으나 현재 상태에서도 국내의 일반적인 PC 환경은 업데이트 미비로 인한 피해도가 매우 높음을 알 수 있다. 업데이트가 출현한 상태에서도 성공률이 60%인데, 업데이트도 나오지 않은 제로데이 공격이면 성공률은 90% 이상으로 높아질 것으로 보인다. 그러나 현재 상태에서도 충분히 공격자는 소기의 목적을 달성 하고 있다고 볼 수 있다.

 

l  분석 데이터

 


접속횟수의 기준은 레퍼러(Referer)를 기준으로 한 수치이며 중소 IT 전문 언론사를 통한 새벽 시간대의 유입도 상당히 높은 수준임을 볼 수 있다. 더불어 게임 커뮤니티의 접속은 공격 시작 시간이 새벽임에도 불구하고 접속률은 매우 높은 통계를 보이고 있다.



동 시간대의 접속 국가별 통계는 다음과 같다.


<접속 IP 통계 >

국내 IT관련 언론사 한 곳과 국내의 게임 커뮤니티 사이트에 대한 공격이라 92% 이상의 접근 IP가 국내의 IP임을 확인 할 수 있다. 방문자들의 운영체제 비율은 95.2% 가량이 Windows 운영체제임을 보이고 있다.

 


악성링크에 연결된 브라우저별 접근 정보는 다음과 같다.



여전히 국내에서는 Windows 플랫폼과 Internet Explorer의 사용비율이 높음을 볼 수 있다. 그리고 본 통계치는 공격자에 의해 수집된 로그를 기반으로 하였고 특정 커뮤니티와 제한된 시간이라는 제약이 있어서 전체적인 평균을 대변 하기는 어려움이 있는 자료이다.  최근 공격 동향으로는 Flash에 대한 공격이 매우 자주 발생 되고 있고 계속 변화되고 있어서 비단 IE Windows 의 사용비율이 높다고 하여 감염이 높은 것으로 보기에도 어려움이 있다.

 

긴급하게 국내의 PC 환경에서 필요한 부분들은 각 어플리케이션에 대한 업데이트가 필요하며, 업데이트 출현 이전이라도 (Flash Java의 경우) 공격이 발생 되었을 경우 차단 할 수 있는 방안들에 대한 진지한 모색이 필요하다. 사후 대응으로는 현재의 심각한 상황을 넘기기엔 힘겨워 보인다.

 

결론적으로 악성코드 감염 비율로 살펴 보았을 때 Flash, IE, Java, Windows Media에 대한 복합화된 공격의 성공률은 현재 60% 수준으로 볼 수 있다. 공격자들은 단일 취약성을 공격하는 것이 아닌 여러 취약성을 동시에 공격하여 이 중 하나만 문제가 있어도 바로 권한을 획득하는 형태로 공격 형태가 갖추어져 있으며 그 결과로 악성코드를 중계하는 모든 웹서비스의 방문자중 60% 가량은 좀비 PC화가 된다. 국내의 대규모 커뮤니티 및 파일 공유 사이트의 방문자들중 60% 가량은 좀비 PC일 가능성이 매우 높다는 것을 증명하는 최초의 증거이다.  문제 원인으로는 여전히 각 취약성별 업데이트가 제대로 이루어지지 않고 있다는 것과 국내에서 주로 사용 되고 있는 백신 제품들에 의한 차단 효과가 그리 높지 않음을 의미 하며, 또한 Java Flash 같은 개별 제품의 업데이트에 의존하는 어플리케이션들도 지금과 같은 수동적인 업데이트 방식과 늦은 대응으로는 한계가 있을 수 밖에 없다는 것을 증명한다.

 

악성코드 및 악성링크에 대한 공동 분석을 주도 했던 전 상훈 빛스캔㈜ 기술이사는 그 동안 알려지지 않았던 웹을 통한 악성코드 유포의 결과와 위험성에 대한 실제적인 데이터가 발견 되어 국내의 상황이 생각보다 심각함을 확인 할 수 있었고, 현재의 대응 수준보다 더 선제적이고 빠른 대응이 시급하게 요구 되는 상황이다.” 라고 분석의 결과와 의미를 정리 하였다.

 

* 국내 환경에서 발생되는 실질적인 공격과 위험성에 대한 조사와 대응을 위해 빛스캔㈜와 카이스트 사이버보안연구센터에서는 공동으로 위협정보 제공 서비스를 3월부터 운영을 할 예정입니다.  제한된 고객사 (기업, 기관 등의 실무 보안조직과 운영 조직이 있는 경우에 필요한 정보임)에 한해 유상으로 서비스를 시작 할 예정이므로 샘플 보고서와 서비스에 대한 안내가 필요한 기업은 info@bitscan.co.kr 로 메일로 문의 바랍니다.

 

Posted by 바다란

댓글을 달아 주세요



KAIST와 협력으로 정보제공 서비스를 시작 합니다. 

그동안 페북에 올린 감질나는 짤막한 정보만 보셨죠?  ( 페북   http://www.facebook.com/p4ssion  )
화끈하게 국내의 위험 정보에 대해서 선별된 고객들에게만 제공 하고자 합니다. 이제 프로세스 구축 되었고 서비스로 제한된 제공을 하고자 합니다.

국내의 한주간 공격 동향 ( 웹을 이용한 악성코드 유포 현황)
특정 공격 기술에 대한 심화 분석.
악성코드 유포 기법에 대한 기술적 분석

이상의 세 가지 보고서 유형이 제공 될 예정입니다. 최소 한달에 4회 가량 제공이 됩니다. 

보고서 분류는. 

주간동향 보고서 : 

 
주간 단위의 공격 변화와 흐름에 대해서 나타내며 공격에 이용된 기법들에 대해 개략화된 정보를 제공 합니다. 국내 유포 현황도 일부 공개 되며  해외에서의 동향도 전달될 예정입니다.

기술분석 보고서: 

 
웹을 통해 유포되는 악성코드 배포에 대한 구조도와 구성에 대한 분석 보고서 - 기본적인 악성코드에 대한 분석 진행 됩니다.

전문분석 보고서 : 
 
새로운 공격기법이나 신규 유형의 exploit 기법 출현시 상세 분석하고 악성코드 분석 보고서 입니다.

세 종류이며 차등하여 제공 될 수 있도록 준비를 하고 있습니다.

위기의 인터넷이고 문제가 심각하다는 여러 의견과 컬럼들을 써왔는데 제한적으로 쓸 수 밖에 없었습니다. 이제는 그 문제를 해결 하고 화끈하게 보여 드리도록 하겠습니다.  

빛스캔은 소스를 제공하고 카이스트 사이버보안연구센터에서 전문 분석을 한 내용들을 서비스 형태로 제공 하고자 합니다.  여기서 분석이 진행되는 악성링크 혹은 악성코드들은 국내 혹은 세계적으로 가장 최신의 공격 유형을 입수한 내용을 의미 합니다.  공격 유형에 대해서도 가장 빠른 정보를 받고 분석을 할 예정입니다.


물론 무료가 아니고 유료 입니다. 수익은 보다 정확하고 신속한 정보 분석을 위한 전문 인력 양성과 기술 확보에 재 투입 될 예정입니다.

개인이 받으시기에는 부적절하며 보안부서가 있는 기업, IDC, ISP , 기관, 게임 및 포털 기업들에게 유용한 정보가 될 수 있을 것입니다. 더불어 한국의 인터넷 위협에 대한 리얼한 실상을 보실 수 있을 것입니다.

분석보고서의 예는 이미지로 올린 파일처럼 1.21일 발견된 Windows Media Player에 대한 공격에 대한 전문 분석은 1.25일 완료 되었고 기법과 추가적 공격에 대한 내용들이 들어가 있습니다. 발견과 분석자료 모두 최초의 자료 들입니다.

또한 기술분석에는 지난 주말에 최초로 포착된 Flash , IE , Java, Windows Media 취약성 공격이 복합화된 정보를 포함 하고 있습니다.

관심 있으신 기업이나 기관은 소속을 알려 주시고 메일을 주십시요. 샘플 보고서를 전달해 드리겠습니다. 메일은 p4ssion@gmail.com 입니다. 기관에 따라 별도 정보 제공도 가능합니다.

 

Posted by 바다란

댓글을 달아 주세요

- zdnet 컬럼입니다.

학명 ‘Mola Mola’는 개복치를 뜻한다. 어류중에 가장 많은 알을 낳는 것으로 알려져 있다. 한번에 3억개 가량의 알을 낳는데 이는 성체로 자라는 수가 극히 드물기 때문이다. 서식지는 전 세계 온대·열대 바다에 걸쳐 분포하고 있다. 또한 한국의 전 해안에 걸쳐 나타나고 있다. 

 

필자는 지금의 인터넷 보안의 현 상황을 어쩌면 가장 잘 설명할 수 있는 것이 개복치이고, 개복치의 학명이 아닐까 생각한다. 한국어 발음으로 ‘몰라 몰라’라고 외면하는 상태쯤 될 것이다. 

 

보안에 관해 지금의 복잡하고도 위험한 상황을 이해하기 쉽도록 알리는 것에 대해 항상 고민해 왔다. 그러나 이 상황을 표현할 가장 적절한 예를 찾는 것이 너무나도 어려웠다. 그러나 지난 1년여 간의 관찰로 자료가 축적되고 계속 갱신해 왔기에 이제는 좀 더 많은 것을 설명 할 수 있을 것 같다. 

 

필자가 보는 위기의 인터넷과 개복치는 대체 무슨 관계가 있을까? 자 이제 시작해 보자. 

 

▲ 개복치(학명 `Mola Mola`)

■악성코드 감염 범위와 대상의 변화 

 

악성코드라는 개념은 더 이상 국지적이고 네트워크 단위로 한정된 위협이 아니다. 인터넷 활성화 이전에는 전파 도구가 한정적이라 지역에 특화된 악성코드들이 출현 할 수 밖에 없었다. 그러나 지금은 인터넷상에 무차별적으로 유포·감염되고 있는 상황이다. 

 

이 감염의 주요 매체로는 영역의 제한 없이 접근 할 수 있는 웹 서비스가(SNS도 동일하다)가 주된 통로로 사용 되고 있다. 오늘 발견된 새로운 악성코드는 1시간 이내에 전 세계에서 동일하게 발견 할 수 있다. 즉 감염의 주체가 국가나 지역이 아닌 언어권역, 소속, 취미에 의한 분류로 변경 되었다고 볼 수 있다. 

 

동일한 취미를 가지고 있거나 특정 소속에 속하거나 특정 언어권역에서 활발한 서비스의 경우, 악성코드의 감염대상은 그 권역으로 제한이 된다. 또 특정 그룹의 사람들만이 접근 하는 사이트가 있다면 그 각각을 공격하는 것보다 더 효과적인 것은 특정 사이트만을 공격하고 방문자들에게 악성코드를 설치하게 하면 된다. 이걸 타깃화된 공격이라고도 할 수 있다. 

 

오늘날 공격분류는 크게 두 종류로 볼 수 있다. 감염대상을 가리지 않는 무차별적인 유포와 특정대상만을 목표로 한 타깃화된 공격이 전부이다. 이중 타깃화된 공격은 이메일이나 PDF, 오피스 문서의 취약성을 이용해 공격을 시도한다. 무차별적인 유포는 스팸메일, 웹을 통한 악성코드 유포가 주류를 이룬다. 웜은 이미 네트워크 단계에서 증상이 판별 가능하고 지금은 위험순위가 낮다고 보아야 한다. 

 

전체의 악성코드 확산에 대한 현황과 분류에 대해서 가볍게 정리를 해보았다. 이번 컬럼에서 말하고자 하는 부분은 무차별적인 유포도구로 활용되는 웹 서비스 그리고 악성코드의 확산에 대한 현실적인 문제이다. 

 

개복치가 알을 3억개나 낳는 이유는 생존가능성을 높이기 위한 자연의 법칙이다. 3억 개의 알 중 성체로 자라는 것은 1~2개체뿐이다. 만약 모두가 성체로 자란다면 바다는 곧 개복치로 가득 차게 될 것이다. 바다는 자연 개체 조절이 되나 지금의 인터넷 환경은 천적은 부족한 반면, 생산력이 극도로 강한 악성코드로 가득 찬 바다이다. 특히나 우리나라는 더욱 더 심각하다. 

 

■악성코드의 바다 

사회활동을 하는 대부분의 사람이 인터넷을 사용한다. 웹이라는 매개체를 통해 서로 의견과 정보를 교환하고 경제 활동을 한다. 페이스북이나 트위터 같은 SNS도 거대한 웹 서비스 플랫폼일 뿐이다. 

 

이렇듯 모든 사람이 접근하고 활용하는 홈페이지에서 방문자에게 악성코드를 뿌리는 것은 공격자들이 효과를 극대화 할 수 있는 방법이다. 웹 서비스 자체를 보호하기 위해 많은 보안적인 도구와 수단들이 동원 되지만 공격기술은 진화하고 확산도 빠르다. 즉 보호하는 부분에 있어서 기술적 차이를 감당 할 수 없고 금새 무용지물이 된다는 말이다. 웹 서비스 자체의 보호는 늘 한계를 가질 수 밖에 없다. 

 

직접적인 공격으로 공격자는 웹 서비스들의 권한을 획득하고 지켜본다. 그리고 수십 혹은 수백이 될지도 모르는 웹 서비스의 권한을 가진 공격자는 이제 손쉽게 공격코드를 사용자에게 뿌리도록 소스를 변경 한다. 웹 서비스의 소스를 변경 한다는 것은 모든 방문자가 영향을 받는다는 말이다. 예를 들어 회원이 7억명인 페이스북 서비스의 공용모듈이 변경 된다면, 그 모든 회원이 영향을 받는다. 가능성만으로 따지자면 7억에 해당하는 좀비 가능 PC를 확보하는 것과 마찬가지이다. 

 

쉽게 말해 Mola Mola 한 마리씩을 웹 서비스에 올려 두는 것이다. 그리고 모든 방문자에게 친절하게도 사용자 환경에 맞는 하나씩의 알을 선사한다. 이제 이 알의 부화를 막을 수 있는 방법은 개인 PC에 설치된 보안도구 이외에는 없다. 그러나 이 보안도구에서도 감지가 되지 않도록 공격자는 이미 조치를 한 상황이다. 

 

결론적으로 모든 방문자들에게 뿌려진 모든 알들이 그대로 성체 (악성코드화)로 커가는 것을 의미한다. 인터넷 비사용자를 제외하고 모두가 노출 될 수밖에 없는 상황이다. 어도비 사의 플래시 업데이트는 왜 이리도 잦은 것일까? 보안 업데이트는 이리도 많고 문제는 끊임없이 나온단 말인가? 

 

■다형성(Polymorphism) 그리고 '나 몰라(Na Mola)' 

 

악성코드 한 종류만 내려 온다면 문제는 쉽다. 그러나 상황은 그렇지 못하다. Mola Mola만 올려서 알을 뿌리는 것이 아니라 수시로 어종을 바꾸어 다른 종류의 알(악성코드)을 뿌려댄다. 올해 3월 이전까지는 3일 간격으로 다른 종류를 유포 하였으나 3월 이후에는 주말에만 유포를 한다. 그것도 순식간에 다른 종류로 바꾸기를 거듭한다. 

 

여기에서 뿌려지는 각각의 악성코드들을 어류에 비교하여 이름 붙이자면 학명으로 ‘Na Mola’ 정도 되지 않을까? 이는, 한국어 발음으로, 현재의 대응 상태와도 연관이 있다. 

 

백신업체들은 여기 뿌려지는 알들 각각을 상대한다. 분석과 제품업데이트에만도 많은 시간이 소요됨에도 불구하고 업데이트가 일어날 때쯤이면 이미 공격자들은 다른 종류의 알을 뿌리기 시작한다. 다시 처음부터 반복이 된다. 그만큼 공격자들이 가진 다양한 제작도구들과 백신이나 보안도구들의 회피로직들이 손쉽게 적용 되고 있고 효과적임을 의미한다. 인터넷 환경에서는 재앙과도 같은 일이다. 

 

▲ 한국을 대상으로 악성코드 설치에 사용되는 공격코드 중 하나(비유적으로 알을 가진 개복치쯤 된다). 전 세계 42개 주요 백신 중 단 3개만 탐지되고 있다. 

백신에서 탐지를 못하는 것은 APT(지능형지속가능공격)이고 정체를 모르면 무조건 어디의 소행이라는 것은 지금의 시대에 맞지 않다. 현재의 상황에 비추어 보자면 지금도 최소 수십 만개의 APT들은 사용자들의 PC에 안착되어 있는 상황이다. 발견될 때마다 APT라고 할 것인가? 똑같은 기능으로 목적만 다르게 활용하는건데 사건이 커지면 APT라하고 아니면 그냥 신규 악성코드인가? 

 

한계를 인정해야만 하고 역할과 기능의 차이점에 대해서 이해를 해야 하는데 아직 부족해 보인다. 책임전가는 오래가지 못한다. 역할분담과 협력을 해야하는 것이지 모든것을 다 하겠다는 것은 지금과 같은 위험의 시대에 현실인식이 없는 것과 마찬가지이다. 

 

사이버 상의 위험을 더 이상 단순한 계정탈취나 개인정보 유출의 문제로만 국한해서는 곤란하다. 이미 우리는 발전소를 위협하는 공격을 이미 목격 했고 올해에도 어떤 원인에서든 전력, 금융에 관련된 치명적 문제들을 확인 할 수 있었다. 즉 더 이상 사이버상의 위협은 사이버상에 국한되지 않는다는 것이다. 

 

■그렇다면 어떻게 대응해야 할까? 

 

국내 PC 환경에서 Flash Player가 깔리지 않은 비율은 5%도 되지 않을 것이다. 플래쉬를 배제한 애플사의 운영체제를 제외한 모든 곳에서 문제가 발생된다. ActiveX? 말을 말자. 지금의 문제는 플래쉬다. 사용자 PC에 설치된 플래쉬 플레이어의 취약성을 이용해 공격자는 소리소문 없이 새로운 악성코드들을 다운로드 받게 하고 시스템을 조정한다. 또한 이 악성코드들은 수시로 변경이 되고 새로운 종이 되기도 한다. 어떻게 해야만 대응이 가능한 것인가? 

 

단순한 비유로 예를 들자. 알은 퍼져 나간 상태에서 일일이 대응을 한다는 것은 정말로 어려운 이야기이다. 공격자는 단 한번의 클릭으로 악성코드의 종류를 변경하고 대규모로 유포하고 있다. 알과 같은 악성코드들은 퍼져 나가기 전에 대응을 해야 하고 근본적으로는 웹 서비스에 상주된 Mola Mola(악성코드 유포 경로)류의 위험이 더 이상 들어오지 못하도록 지속적이고 끊임 없는 노력을 해야만 문제 해결이 가능하다. 들어온 이후에는 피해를 최소화 할 수 있도록 빠른 인지가 되어야 할 것이고 대응이 되어야 위기 상황이 진정 될 것이다. 

 

지금과 같이 확산된 이후에 사후 대응을 하는 것은 “Na Mola(나 몰라!)” 이외에는 아무 것도 아닌 것이다. 확산을 최소화하기 위해 웹 서비스가 공격자에 의해 변형 되는 초기 단계에서 인지하고 대응을 해야 하며 더 이상 변형이 일어나지 않도록 문제를 계속적이고 끊임없이 보강해야 한다. 인터넷의 바다에 맞닿아 있는 모든 웹 서비스들은 동일한 과제를 지녀야만 문제를 해결 할 수 있다. 

 

근본적으로는 악성코드들이 대규모로 사용자 PC에 유포되기 이전에 초기 대응을 해야만 이 위기 상황 속의 인터넷을 견뎌 나갈 수 있을 것이다. 다시 한번 말하지만 퍼지고 난뒤에는 어떤 경우라도 수습이 어렵다. 

 

서비스를 운영하는 회사의 경우 생활과도 같은 점검을 모든 노출 웹서버에 대해 하지 못하면 1단계에서는 현대캐피탈 , 2단계에서는 소니, 3단계에서는 농협의 사례를 맞이하게 될 것이다. 그만큼 지금의 상황은 당장 공격자들이 점령군 행세를 해도 어쩔 수가 없는 위중한 상황이다. 

 

2007년에 IT서비스의 위험과 향후 대응에 대해 정리를 해두었다. 5년이 지난 지금조차도 대응은 여전히 더디고 제자리 상태다. (http://p4ssion.com/199

 

가장 뛰어난 사냥꾼은 쫓아 다니는 것이 아닌 길목에서 기다리는 사냥꾼이다. 지금은 발자국만 보고도 전부 허둥지둥 하지는 않는가? 전략이 절대적으로 필요한 시기이다. 다음에는 공격자들의 전략변화와 위기를 헤쳐나갈 준비된 해결 방안에 대해서 쓰도록 한다. ‘나 몰라’라 해서는 안 되는 것이다.
Posted by 바다란

댓글을 달아 주세요


악성코드 경유지의 변화가 매우 극심하다.  2011년 6.25~26일 기준

어제부터 대체 몇번을 바꿔치기 하는지. 분명히 웹서비스는 공격자들의 소유가 맞다.
사업자는 잠시 임대를 했을뿐.

 

어제, 오늘의 변화를 생략하더라도 현재 상황 5종류의 경유지들이 8개 이상의 파일공유 사이트 소스에 추가되어 사용자에게 악성코드를 유포하고 있다. 물론 파일 공유사이트 이외에도 다른 서비스들에도 여러 종류들이 활동하고 있다. 전체적으로 경유지 수치는 이틀 사이에 10곳 이상이 활동중에 있다.

 

특이한 것은 지난번에도 한번 언급했는데.. 시카고와 덴버에 IDC를 가지고 있는 DDos를 전문적으로 대응하는 ISP라고 광고하고 있는 SHARKTECH INTERNET SERVICES 라는 미국 회사의 서비스 대역을 대규모 경유지로 활용하고 있다.


 


 

 

순차적으로 경유지 IP를 변경하면서 사용하고 있는데 .. 지난번 관찰 결과도 보면 호주와 미국의 ISP를 통으로 이용하고 있던데... (이미 해외 ISP의 직접 활용은 3주 이상 관찰이 된바 있다. 대역대를 활용하는 걸로 보아 직접 권한을 가지고 있는 것으로도 볼 수 있다.)


즉 공격자는 전 세계를 무대로 하고 있고 악성코드 유포를 위해 국내 사이트도 직접 해킹을 하고 웹서비스를 변경하며 경유지로 활용하기 위해 해외 주요 ISP 대역을 휩쓸며 악의적인 링크들을 직접 생성하고 올리고 있다. 현재 관찰된 결과는 전 세계적인 활동을 직접하며 이익을 창출 하고 있다는 점이다.  전 세계적인 활동을 하는 공격자들에 대해 국지적인 대응은 효과가 어려울 것이다. 전 세계의 수준을 일정수준이상 올릴 수 있을까?..

앞으로도 불가능해 보인다.
 

이번 샤크테크 ISP의 특징이라고 할 수있는 DDoS 대응 특화를 하면 뭐하누? 정작 내부는 만신창이인데.. 이 나라의 인터넷을 공격하고 이득을 얻는 공격자들은 글로벌 하게 놀고 있다.

http://www.sharktech.net/index.php?ID=aboutus&PG=2

 

앞으로도 매우 어려운 싸움이 될 것이다. 사실은 싸움의 상대도 되지 않지만 ...

Posted by 바다란

댓글을 달아 주세요

3.26일 오전 12시 현재 p2p 및 빗토런트 사이트들 최소 8곳 이상에서 4종류 이상의 악성코드를 유포하고 있음. 경유지가 4종류이며 사용하는 공격기법도 다 제각각임.

더불어 언론사 홈페이지 몇곳, 유제품 업체, 그룹사 홈페이지등에 대한 악성코드 경유지가 추가 되어 방문자들에게 유포를 하고 있음. 

금일과 어제 새로 발견된 경유지들은 20곳 이상이며 모두 국내사이트에 추가된 경유지들이다. 각 개별 발생 카운트는 정리 하지 않았으며 몇몇 경유지의 경우는 정리할 필요성이 있을것으로 보임.

Mass sqli 도 신규로 추가된 것으로 나옴.

이번 주말도 아주 화끈한 한주를 보낼 것으로 예상됨. p2p만 쳐다 보다 당하는 일 없기를. 근본 문제 수정이 먼저이지만 안되면 차단이라도 빠르게 해야 할듯. 아님 1.25  대란 정도는 수시로 발생 될 것임.


차주중 관련된 컬럼을 작성할 예정.

일단 통계적 수치와 변화도를 나타낼 수 있는 카운트를 가지고 있다.
그냥 말로만 하는 위험성 과 문제제기가 아닐 것이다.

이건 앞으로도 변함이 없을 것이다.~

변화무쌍한 공격자의 행위를 잡아 낼 수 있는건 기본적인 구조에서 잡아야 된다.
그 아래는 변화가 너무 많기 때문에  이전에 잡아야만 문제 해결의 단초를 잡을 수 있다.

지금 이 일을 할 수 있는 곳은 오직 한 곳 밖에 없다.! 아직까지는 ..바로 우리 
Posted by 바다란

댓글을 달아 주세요

여기 나온 악성코드 경유지 주소들 보다 더 많은 정보들이 있다.

그러나 그 정보들은 오픈하기가 어려운 상태.

 

IP를 기반으로 철저하게 백도어 용도로 이용이 되고 있고 순식간에 전체를 바꿔치기 한다.

정보를 오픈하면 바꾸고 오픈하지 않으면 그냥 둔다. 하루에도 두세번 바꾸는건 일도 아니다.

 

대부분 국내 서비스 해킹하고 IP주소를 이용해 악성코드 다운로드 링크들을 올려 둔다.

이걸 국내 주요 사이트들에다 추가 하는 형식. js 파일내에 document.write 를 이용해 쓰거나

css 파일에 추가 또는 iframe으로 추가 한다.

 

근본 적인 취약성은 그대로 있는데 이 링크만 지운다고 없어질까? 

다 부질 없는 짓이다. 

 

암의 근본 원인 제거 없이 겉으로 흐르는 피만 닦아 내고 밴드를 붙인다고 해서 상처가 없는건 아니다.

다만 보이지만 않을 뿐. 언제든 나타난다. 계속해서..

 

자동화된 악성코드 저작 도구가 있다고 해서 널리 퍼지는 것은 아니다.

이젠 대규모로 글로벌 하게 퍼트릴 수 있는 방안이 있어서 크게 문제가 되는 것이다.

 

왜 더 이상 한국에 특화된 바이러스가 없을까?. 특화된 악성코드도 없고 말이다.

전 세계 어디에서나 찾아 볼 수 있다. 근본을 모르면 계속 휘둘리게 마련이다.

 

보안 전문가들이나 보안 회사들, 정책 당국은 이점을 명심 해야 한다.

예전에도 자동화된 악성코드 제작 도구는 있었다. 단 지금 만큼의 속도는 아니였다.

그러나 예전에도 이렇게 흔들렸던가? 전 세계 전문 인력들이 지쳐 쓰러질 만큼 힘들 정도 였던가?

규모의 경제를 갖춘 회사만이 버틴다. ( 전문인력의 대규모 보유) . 나머지는 다 지쳐 쓰러진다.

 

지금 문제는 확산 매커니즘이다. SNS와 취약한 웹서비스를 통해 자동으로 설치되는 악성코드가 확산의 주된 매커니지늠이다. 이걸 잊지 마라. 앞으로도 계속 된다. 그 누구도 멈출 수 없다. 발상의 전환이 없다면 말이다.

 

- 바다란 세상 가장 낮은 곳의  또 다른 이름

 

 * 매번 자세하게 썼지만 애써 보려 하지 않는 사람들이 많아 앞으로도 계속 꾸준하게..또 자세히 쓸 예정입니다. 

 

http://blog.websanitizer.com/ko/?p=588

 

최근 악성코드가 유포되는 과정은 일반적으로 다음과 같습니다.

  • 인터넷 등에서 감염된 파일을 다운로드하여 PC에서 실행하여 감염되는 경우
  • 스팸 메일의 첨부 파일을 실행하여 감염되는 경우
  • USB 메모리와 같은 이동형 매체를 통해 감염되는 경우
  • 웹 취약점이나 해킹 등으로 변조된 웹사이트를 방문하는 과정에서 감염되는 경우

이 과정 중에서 1, 2, 3 항목은 안티바이러스 및 안티스팸 솔루션에서 해결하는 경우가 많습니다. 물론, 새로운 악성코드가 발생하는 경우에 미처 대처하지 못하는 경우도 있습니다. 안티바이러스 업체에서는 이러한 한계점에 대해 다양한 연구 및 검토를 거쳐, 휴리스틱(인공지능), 클라우드, 화이트리스트, 샌드박시와 같은 첨단 기술을 이용하여 미연에 방지하고자 노력하고 있습니다.

당사에서 주목하고 있는 악성코드의 유포 환경은 바로 안전하지 않은 웹사이트의 방문으로 인해 사용자의 PC가 알지도 못하는 사이에 감염되는 경우입니다. 웹사이트 개발 초기에 보안에 관련된 사항을 고려하지 않아 발생하는 문제점으로 보통 서버의 취약점을 이용하여 해킹을 하거나 SQL Injection과 같은 웹취약점을 이용합니다.

특히, SQL Injection 취약점은 전체 웹사이트의 약 80% 이상 가지고 있을 정도로 매우 광범위하게 노출되어 있는 문제점으로 해결을 위해서는 웹방화벽이 주로 도입되고 있지만, 가장 근본적인 해결책은 웹소스 자체를 수정해야 합니다. 하지만, 웹 소스를 수정하기 위해서는 기술적, 시간적, 금전적 부담이 매우 커서 SQL Injection 취약점이 전세계에서 유행하기 시작한 2002년도부터 지금까지도 위험한 상태 그대로 인 경우가 많습니다.

최근에는 Mass SQL Injection 공격과 제로데이 취약점을 이용하는 악성코드가 결합하여 보다 강력한 전파력을 보이고 있습니다. 즉, SQL Injection 취약점이 있는 사이트의 DB에 제로데이 취약점을 이용하는 악성코드로 유도하게 하는 스크립트(JS)를 삽입합니다. 사용자가 이러한 사실을 모르는 상태로 이 웹사이트에 방문하는 경우에는 PC의 안티바이러스(백신)이나 최신 보안 패치가 적용되지 않는 경우에는 즉시 감염되게 됩니다.

당사에서는 이러한 악성 코드의 유포 정보를 수집하는 검색 엔진을 개발하여 이를 통해 9월 말부터 악성코드가 유포되는 URL을 수집하여 분석하 고 있습니다. 아래의 링크 가운데에는 기존에 이미 유포되었던 링크도 포함되어 있습니다. 왜냐하면, 악성코드가 유포되면 사이트 관리자가 이 부분을 인지하고 삭제하기 때문이며, 그 이후에 다시 같은 또는 유사한 URL을 삽입하는 행동이 반복되고 있습니다.

발견일 악성 URL

2010-12-03 hxxp://rozprodam.cz/index.xxx

2010-12-01 hxxp://tzv-stats.info/xx.php

2010-12-01 hxxp://www.pkupe.com/xx/pic.js

2010-12-01 hxxp://www.alahb.com/xxx/pic.js

2010-11-29 hxxp://www.jingmen.info/xx/pic.js

2010-11-27 hxxp://multi-stats.info/xx.php

2010-11-25 hxxp://www.yiqicall.com/xx/pic.js

2010-11-22 hxxp://www.xufu9.com/xx/pic.js

2010-11-18 hxxp://210.109.97.xxx/P.asp

2010-11-17 hxxp://110.45.144.xxx/S.asp

2010-11-17 hxxp://www.samdecaux.com/xx/img.js

2010-11-15 hxxp://mount-tai.com.cn/xxxxxx/img.js

2010-11-13 hxxp://www.zyxyfy.com/xx/pic.js

2010-11-12 hxxp://www.szdamuzhi.com/xx/img.js

2010-11-11 hxxp://121.254.231.xxx/w.asp

2010-11-10 hxxp://180.69.254.xxx/main.asp

2010-11-10 hxxp://www.qpbay.com/xxxxData/img.js

2010-11-06 hxxp://www.womenzz.com/xxxxxx/img.js – Mass SQL Injection 공격

2010-11-03 hxxp://www.cqgx.net/xx/img.js – Mass SQL Injection 공격

2010-10-31 hxxp://www.jdcmmc.com/xxx/img.js – ARP Spoofing + Mass SQL Injection 공격

2010-10-30 hxxp://www.gdkfzx.org.cn/Script/img.js – Arp Spoofing 공격

2010-10-29 hxxp://www.96363.com/upfiles/img.js – Mass SQL Injection 공격

2010-10-25 hxxp://www.winitpro.com.cn/xx/img.js

2010-10-23 hxxp://www.shrono.com/xx/img.js

2010-10-23 hxxp://121.254.235.xx/H.asp

2010-10-23 hxxp://a5b.xx/n.js

2010-10-23 hxxp://www.zzyaya.com/xx/img.js

2010-10-22 hxxp://www.3emath.com/~~~/img.js

2010-10-22 hxxp://125.141.196.1**/F.asp

2010-10-21 hxxp://www.thwg08.com/xx/img.js

2010-10-19 hxxp://www.igo88.com/xxx/img.js

2010-10-17 hxxp://222.231.57.xxx/r.asp

2010-10-16 hxxp://smaug.xx/portfoliox/tutorials.php

2010-10-16 hxxp://58.120.227.xxx/F.asp

2010-10-16 hxxp://789.fanli8.xx/tj.html?zhizun

2010-10-15 hxxp://www.sxsia.org.xx/images/xxxxx.js

2010-10-13 hxxp://www.xatarena.xxx/images/img.js

2010-10-12 hxxp://www.adw95.xxx/b.js

2010-10-11 hxxp://318x.xxx/

2010-10-11 hxxp://210.109.97.XX/TT.asp

2010-10-11 hxxp://121.78.116.XX/TT.asp

2010-10-10 hxxp://www.lancang-mekong.xxx/uploadfile/img.js

2010-10-09 hxxp://www.aspder.xxx/1.js

2010-10-09 hxxp://kr.nnqc.xxx/cs.js

2010-10-08 hxxp://b.mm861.xxx/images/1.js

2010-10-08 hxxp://www.gdfreeway.xxx/js/img.js

2010-10-07 hxxp://118.103.28.XXX/R.asp

2010-10-07 hxxp://211.234.93.XXX/U.asp

2010-10-07 hxxp://175.124.121.XX/time.js

2010-10-07 hxxp://www.xhedu.xxx/js/img.js

2010-10-07 hxxp://211.234.93.XXX/U.asp

2010-10-06 hxxp://3god.xxx/c.js

2010-10-06 hxxp://318x.xxx

2010-10-06 hxxp://222.234.3.XXX/hh.asp

2010-10-06 hxxp://www.xhedu.xxx/

2010-10-05 hxxp://www.XXXXcollege.co.kr/zboard/data/yahoo.xx

2010-10-04 hxxp://iopap.upperdarby26.xxx/GUI.js

2010-10-04 hxxp://118.103.28.XXX/R.asp

2010-10-04 hxxp://wefd4.xx/

2010-10-04 hxxp://211.115.234.XXX/P.asp

2010-10-04 hxxp://211.233.60.XX/h.asp

2010-10-04 hxxp://uc.wooam.xxx/cp/w3.js

2010-10-04 hxxp://www.e0570.xxx/images/img.js

2010-09-30 hxxp://203.206.159.XXX/image/head.js

2010-09-30 hxxp://www.dnf666.xxx/u.js

2010-09-29 hxxp://mysy8.xxx/1/1.js

 

 유포 URL을 클릭하면 해당 링크에 대한 분석 정보를 보실 수 있으며, 이 문서는 최신 악성코드 URL이 발견될 때마다 갱신됩니다.

운영하시는 사이트에서 이러한 문제점으로 어려움을 겪는 분들은 아래 자료를 참고하여 주십시오.

http://blog.websanitizer.com/ko/?p=422

그리고, 사업 및 기타 목적으로 제휴를 원하시는 업체 관계자분들은 아래 링크를 통해 연락 주시기 바랍니다.

http://blog.websanitizer.com/ko/?p=49

감사합니다.

Posted by 바다란

댓글을 달아 주세요