SlideShare a Scribd company logo

2017년 3월 3주차 주간 악성 동향 보고서

P
poisoneye

주간 악성 공격 동향 요약 3월 3주차 악성 공격동향에는 CK Exploit Kit공격의지속적인 활동과, 파밍 악성코드 해쉬 변화량이 전주에 비해 급증 했다는 것이다. 금주 공격은 파밍과CK Exploit Kit 공격이 가장 활발하게 이루어졌고, 주유포지 및 경유지는 쇼핑, 생활, 문화 사이트 등으로 확인되었으며, 지속적으로 특정 호스팅이 영향을 받고 있는 것으로 조사되었다.

Technology
1 of 7
Download to read offline
악성 동향 보고서 3월 3주차 2017-03-13 ~ 2017-03-19 비 영리 악성코드 탐지 PoisonEye 네이버 보안 대표 카페 바이러스 제로 시즌 2
1 3월 3주차 악성 공격 동향에는 CK Exploit Kiti 공격의 지속적인 활동과, 파밍 악성코드 해쉬 변화량 이 전주에 비해 급증 했다는 것이다. 금주 공격은 파밍ii 과 CK Exploit Kit 공격이 가장 활발하게 이루어졌고, 주 유포지 및 경유지는 쇼 핑, 생활, 문화 사이트 등으로 확인되었으며, 지속적으로 특정 호스팅이 영향을 받고 있는 것으로 조사되었다. . 금주 3월 17일에는 이전 네이버 피싱에 사용됬던 링크에서, 카운터가 변화하는 모습을 보였다. 카운터 링크가 변화했다는 것은, 공격자가 공격을 준비하고 있거나 해당링크를 재배포 할 수 있 다는 점이다.. 해당 악성링크는 네이버 피싱에 이용되었으며, 변경된 카운터링크에 예의 주시할 필요가있다.
2 악성링크 유형은 Drive-By-Download 4건, 카운터링크 4건이 발견되었으며, 유포지에서 난독화 된 악성 웹 페이지로 연결 후 최종적으로 악성코드를 다운받아 실행하는 것으로 조사되었다. 3월 3주차 C&Ciii 변경은 총 41개 아이피의 변화량이 감시되었고, 4개 국가의 서버를 사용하여 홍 콩 17건(41%), 중국 14건(34%), 미국 8건(20%), 대만 2건(5%)로 조사되었다.
3 C&C로 이용된 호스트 서버는 HUAJIASALES-CN 14건(34%), FUQIANG-HK 9건(22%), ESITED10 8건 (19%), FTG-BB-GB9 4건(10%), NET-TH-TWACO2 4건(10%), HINET-NET 2건(5%)으로 조사되었다. 3월 3주차 파밍 악성파일의 파일 해쉬iv 평균 변화량은 13일 6건, 14일 6건, 15일 5건, 16일 4건, 17일 8건, 18일 4건, 19일 2건으로 집계되었다.
4 3월 19일에는 바이러스 제로 시즌2 카페에서 기존과 다른 플로팅 배너의 파밍이 발견되었다. (네트워크 DNS 주소 설정을 변조하는 변종 파밍 확인 : http://cafe.naver.com/malzero/134341) 해당 플로팅 배너는 기존과 다르게, 직접 감염자가 은행을 선택하여 리 다이렉트 되는 것으로 보 인다. 공격자가 좀더 파밍 감염 수위를 높이기 위해 감염자에게 무언의 압박을 주는 동시에 직접 선택 하고 당장 하라는 듯의 UI로 재 디자인되었다. 이에, 카페 메니저 바이올렛은 "혹시라도 위와 같은 화면을 보신다면 절대 현혹되지 마시고 백신 또는 멀웨어 제로 킷 검사를 통해 제거를 진행해주세요" 라고 회원들에게 전하였으며, "참고로 감 염 후 DNS 주소가 변조되면 악성 코드가 존재하지 않아도 화면은 계속 보이게 됩니다." 라고 주 의를 당부했다.
5 전주에 비해 금주의 파밍 악성코드 파급력은 소폭 줄었으며, 시간당 최고 650 명 가량 감염되는 높은 수치가 조사되었다. 전주에 비해 소폭 줄어든 파밍 감염량 이지만, 향후 4월 초, 중순부터 시기적 요인으로 감염자가 상당수 늘을 것으로 주의된다. 또한, 3월 19일에 올라온 새로운 플로팅 배너의 시너지도 발휘될 것으로 예상되며, 해당 플로팅 배너에 대한 인식을 제대로 해야 할 것이다. 향후 주 유포지는 아래와 같이 예상된다. 시기적 요인에 따라 언론, 정치, 국가 기관 사이트 계절적 요인에 따라 이벤트, 축제, 쇼핑몰, 생활용품 사이트에 공격이 이루어질 것으로 전망된다
6 i CK Exploit Kit : 웹 자동화 공격의 한 종류로 써 보통 8가지 쉘코드 실행 취약점을 이용해 드라이브 바이 다운로드를 수 행한다. ii 파밍 : 피싱 기법중 하나로 보통 자동화 공격에 의해 감염되며 공인인증서 탈취, 가짜 사이트 접속 유도 및 개인정보 유 도 탈취를 수행하는 악성코드이다. iii C&C : Command & Control의 약자로, 트로이잔, 랜섬웨어, 파밍등의 공격자 서버를 의미한다. iv 해쉬 : HASH는 특정 파일이나 특정 문자열의 암호화된 고유 값을 말한다. 본 보고서는 PoisonEye에서 수집된 정보를 기반으로 작성되며 네이버 공식 보안 분야 대표 카페 바이러스 제로 시즌 2에 제공됩니다. PoisonEye : https://PoisonEye.info/ Virus Zero Season 2 : https://cafe.naver.com/malzero

Recommended

2017년 3월 2주차 주간 악성 동향 보고서
2017년 3월 2주차 주간 악성 동향 보고서2017년 3월 2주차 주간 악성 동향 보고서
2017년 3월 2주차 주간 악성 동향 보고서poisoneye
 
2017년 3월 4주차 주간 악성 동향 보고서
2017년 3월 4주차 주간 악성 동향 보고서2017년 3월 4주차 주간 악성 동향 보고서
2017년 3월 4주차 주간 악성 동향 보고서poisoneye
 
[UBhind Analytics] 2015 6월 3,4주 주요지표 리포트
[UBhind Analytics] 2015 6월 3,4주 주요지표 리포트[UBhind Analytics] 2015 6월 3,4주 주요지표 리포트
[UBhind Analytics] 2015 6월 3,4주 주요지표 리포트Sung-Kwan Kim
 
언론정보학과 4학년 21021863 김귀현
언론정보학과 4학년 21021863 김귀현언론정보학과 4학년 21021863 김귀현
언론정보학과 4학년 21021863 김귀현Webometrics Class
 
[UBhind Analytics] 2015 5월 3,4주 주요지표 리포트
[UBhind Analytics] 2015 5월 3,4주 주요지표 리포트[UBhind Analytics] 2015 5월 3,4주 주요지표 리포트
[UBhind Analytics] 2015 5월 3,4주 주요지표 리포트Sung-Kwan Kim
 
UBhind Analytics 서비스 소개
UBhind Analytics 서비스 소개UBhind Analytics 서비스 소개
UBhind Analytics 서비스 소개Sung-Kwan Kim
 
[소셜플랫폼 & 소셜게임 컨퍼런스]Nate 앱스토어 소개 및 현황
[소셜플랫폼 & 소셜게임 컨퍼런스]Nate 앱스토어 소개 및 현황[소셜플랫폼 & 소셜게임 컨퍼런스]Nate 앱스토어 소개 및 현황
[소셜플랫폼 & 소셜게임 컨퍼런스]Nate 앱스토어 소개 및 현황Bosnag-Kim
 
브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w
브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w
브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0wre4lfl0w
 

Recommended

2017년 3월 2주차 주간 악성 동향 보고서
2017년 3월 2주차 주간 악성 동향 보고서2017년 3월 2주차 주간 악성 동향 보고서
2017년 3월 2주차 주간 악성 동향 보고서poisoneye
 
2017년 3월 4주차 주간 악성 동향 보고서
2017년 3월 4주차 주간 악성 동향 보고서2017년 3월 4주차 주간 악성 동향 보고서
2017년 3월 4주차 주간 악성 동향 보고서poisoneye
 
[UBhind Analytics] 2015 6월 3,4주 주요지표 리포트
[UBhind Analytics] 2015 6월 3,4주 주요지표 리포트[UBhind Analytics] 2015 6월 3,4주 주요지표 리포트
[UBhind Analytics] 2015 6월 3,4주 주요지표 리포트Sung-Kwan Kim
 
언론정보학과 4학년 21021863 김귀현
언론정보학과 4학년 21021863 김귀현언론정보학과 4학년 21021863 김귀현
언론정보학과 4학년 21021863 김귀현Webometrics Class
 
[UBhind Analytics] 2015 5월 3,4주 주요지표 리포트
[UBhind Analytics] 2015 5월 3,4주 주요지표 리포트[UBhind Analytics] 2015 5월 3,4주 주요지표 리포트
[UBhind Analytics] 2015 5월 3,4주 주요지표 리포트Sung-Kwan Kim
 
UBhind Analytics 서비스 소개
UBhind Analytics 서비스 소개UBhind Analytics 서비스 소개
UBhind Analytics 서비스 소개Sung-Kwan Kim
 
[소셜플랫폼 & 소셜게임 컨퍼런스]Nate 앱스토어 소개 및 현황
[소셜플랫폼 & 소셜게임 컨퍼런스]Nate 앱스토어 소개 및 현황[소셜플랫폼 & 소셜게임 컨퍼런스]Nate 앱스토어 소개 및 현황
[소셜플랫폼 & 소셜게임 컨퍼런스]Nate 앱스토어 소개 및 현황Bosnag-Kim
 
브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w
브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0w
브리핑 2013년 4월 1주차 금융정보탈취 by re4lfl0wre4lfl0w
 
2017년 10월 파밍 악성코드 분석 보고서
2017년 10월 파밍 악성코드 분석 보고서2017년 10월 파밍 악성코드 분석 보고서
2017년 10월 파밍 악성코드 분석 보고서poisoneye
 
봇넷/파밍 결합 악성코드 분석 보고서
봇넷/파밍 결합 악성코드 분석 보고서봇넷/파밍 결합 악성코드 분석 보고서
봇넷/파밍 결합 악성코드 분석 보고서poisoneye
 
2017년 4월 2주차 주간 악성 동향 보고서
2017년 4월 2주차 주간 악성 동향 보고서2017년 4월 2주차 주간 악성 동향 보고서
2017년 4월 2주차 주간 악성 동향 보고서poisoneye
 
2017년 4월 1주차 주간 악성 동향 보고서
2017년 4월 1주차 주간 악성 동향 보고서2017년 4월 1주차 주간 악성 동향 보고서
2017년 4월 1주차 주간 악성 동향 보고서poisoneye
 
2017년 3월 5주차 주간 악성 동향 보고서
2017년 3월 5주차 주간 악성 동향 보고서2017년 3월 5주차 주간 악성 동향 보고서
2017년 3월 5주차 주간 악성 동향 보고서poisoneye
 
2017년 3월 1주차 주간 악성 동향 보고서
2017년 3월 1주차 주간 악성 동향 보고서2017년 3월 1주차 주간 악성 동향 보고서
2017년 3월 1주차 주간 악성 동향 보고서poisoneye
 

More Related Content

More from poisoneye

2017년 10월 파밍 악성코드 분석 보고서
2017년 10월 파밍 악성코드 분석 보고서2017년 10월 파밍 악성코드 분석 보고서
2017년 10월 파밍 악성코드 분석 보고서poisoneye
 
봇넷/파밍 결합 악성코드 분석 보고서
봇넷/파밍 결합 악성코드 분석 보고서봇넷/파밍 결합 악성코드 분석 보고서
봇넷/파밍 결합 악성코드 분석 보고서poisoneye
 
2017년 4월 2주차 주간 악성 동향 보고서
2017년 4월 2주차 주간 악성 동향 보고서2017년 4월 2주차 주간 악성 동향 보고서
2017년 4월 2주차 주간 악성 동향 보고서poisoneye
 
2017년 4월 1주차 주간 악성 동향 보고서
2017년 4월 1주차 주간 악성 동향 보고서2017년 4월 1주차 주간 악성 동향 보고서
2017년 4월 1주차 주간 악성 동향 보고서poisoneye
 
2017년 3월 5주차 주간 악성 동향 보고서
2017년 3월 5주차 주간 악성 동향 보고서2017년 3월 5주차 주간 악성 동향 보고서
2017년 3월 5주차 주간 악성 동향 보고서poisoneye
 
2017년 3월 1주차 주간 악성 동향 보고서
2017년 3월 1주차 주간 악성 동향 보고서2017년 3월 1주차 주간 악성 동향 보고서
2017년 3월 1주차 주간 악성 동향 보고서poisoneye
 

More from poisoneye (6)

2017년 10월 파밍 악성코드 분석 보고서
2017년 10월 파밍 악성코드 분석 보고서2017년 10월 파밍 악성코드 분석 보고서
2017년 10월 파밍 악성코드 분석 보고서
 
봇넷/파밍 결합 악성코드 분석 보고서
봇넷/파밍 결합 악성코드 분석 보고서봇넷/파밍 결합 악성코드 분석 보고서
봇넷/파밍 결합 악성코드 분석 보고서
 
2017년 4월 2주차 주간 악성 동향 보고서
2017년 4월 2주차 주간 악성 동향 보고서2017년 4월 2주차 주간 악성 동향 보고서
2017년 4월 2주차 주간 악성 동향 보고서
 
2017년 4월 1주차 주간 악성 동향 보고서
2017년 4월 1주차 주간 악성 동향 보고서2017년 4월 1주차 주간 악성 동향 보고서
2017년 4월 1주차 주간 악성 동향 보고서
 
2017년 3월 5주차 주간 악성 동향 보고서
2017년 3월 5주차 주간 악성 동향 보고서2017년 3월 5주차 주간 악성 동향 보고서
2017년 3월 5주차 주간 악성 동향 보고서
 
2017년 3월 1주차 주간 악성 동향 보고서
2017년 3월 1주차 주간 악성 동향 보고서2017년 3월 1주차 주간 악성 동향 보고서
2017년 3월 1주차 주간 악성 동향 보고서
 

2017년 3월 3주차 주간 악성 동향 보고서

  • 1. 악성 동향 보고서 3월 3주차 2017-03-13 ~ 2017-03-19 비 영리 악성코드 탐지 PoisonEye 네이버 보안 대표 카페 바이러스 제로 시즌 2
  • 2. 1 3월 3주차 악성 공격 동향에는 CK Exploit Kiti 공격의 지속적인 활동과, 파밍 악성코드 해쉬 변화량 이 전주에 비해 급증 했다는 것이다. 금주 공격은 파밍ii 과 CK Exploit Kit 공격이 가장 활발하게 이루어졌고, 주 유포지 및 경유지는 쇼 핑, 생활, 문화 사이트 등으로 확인되었으며, 지속적으로 특정 호스팅이 영향을 받고 있는 것으로 조사되었다. . 금주 3월 17일에는 이전 네이버 피싱에 사용됬던 링크에서, 카운터가 변화하는 모습을 보였다. 카운터 링크가 변화했다는 것은, 공격자가 공격을 준비하고 있거나 해당링크를 재배포 할 수 있 다는 점이다.. 해당 악성링크는 네이버 피싱에 이용되었으며, 변경된 카운터링크에 예의 주시할 필요가있다.
  • 3. 2 악성링크 유형은 Drive-By-Download 4건, 카운터링크 4건이 발견되었으며, 유포지에서 난독화 된 악성 웹 페이지로 연결 후 최종적으로 악성코드를 다운받아 실행하는 것으로 조사되었다. 3월 3주차 C&Ciii 변경은 총 41개 아이피의 변화량이 감시되었고, 4개 국가의 서버를 사용하여 홍 콩 17건(41%), 중국 14건(34%), 미국 8건(20%), 대만 2건(5%)로 조사되었다.
  • 4. 3 C&C로 이용된 호스트 서버는 HUAJIASALES-CN 14건(34%), FUQIANG-HK 9건(22%), ESITED10 8건 (19%), FTG-BB-GB9 4건(10%), NET-TH-TWACO2 4건(10%), HINET-NET 2건(5%)으로 조사되었다. 3월 3주차 파밍 악성파일의 파일 해쉬iv 평균 변화량은 13일 6건, 14일 6건, 15일 5건, 16일 4건, 17일 8건, 18일 4건, 19일 2건으로 집계되었다.
  • 5. 4 3월 19일에는 바이러스 제로 시즌2 카페에서 기존과 다른 플로팅 배너의 파밍이 발견되었다. (네트워크 DNS 주소 설정을 변조하는 변종 파밍 확인 : http://cafe.naver.com/malzero/134341) 해당 플로팅 배너는 기존과 다르게, 직접 감염자가 은행을 선택하여 리 다이렉트 되는 것으로 보 인다. 공격자가 좀더 파밍 감염 수위를 높이기 위해 감염자에게 무언의 압박을 주는 동시에 직접 선택 하고 당장 하라는 듯의 UI로 재 디자인되었다. 이에, 카페 메니저 바이올렛은 "혹시라도 위와 같은 화면을 보신다면 절대 현혹되지 마시고 백신 또는 멀웨어 제로 킷 검사를 통해 제거를 진행해주세요" 라고 회원들에게 전하였으며, "참고로 감 염 후 DNS 주소가 변조되면 악성 코드가 존재하지 않아도 화면은 계속 보이게 됩니다." 라고 주 의를 당부했다.
  • 6. 5 전주에 비해 금주의 파밍 악성코드 파급력은 소폭 줄었으며, 시간당 최고 650 명 가량 감염되는 높은 수치가 조사되었다. 전주에 비해 소폭 줄어든 파밍 감염량 이지만, 향후 4월 초, 중순부터 시기적 요인으로 감염자가 상당수 늘을 것으로 주의된다. 또한, 3월 19일에 올라온 새로운 플로팅 배너의 시너지도 발휘될 것으로 예상되며, 해당 플로팅 배너에 대한 인식을 제대로 해야 할 것이다. 향후 주 유포지는 아래와 같이 예상된다. 시기적 요인에 따라 언론, 정치, 국가 기관 사이트 계절적 요인에 따라 이벤트, 축제, 쇼핑몰, 생활용품 사이트에 공격이 이루어질 것으로 전망된다
  • 7. 6 i CK Exploit Kit : 웹 자동화 공격의 한 종류로 써 보통 8가지 쉘코드 실행 취약점을 이용해 드라이브 바이 다운로드를 수 행한다. ii 파밍 : 피싱 기법중 하나로 보통 자동화 공격에 의해 감염되며 공인인증서 탈취, 가짜 사이트 접속 유도 및 개인정보 유 도 탈취를 수행하는 악성코드이다. iii C&C : Command & Control의 약자로, 트로이잔, 랜섬웨어, 파밍등의 공격자 서버를 의미한다. iv 해쉬 : HASH는 특정 파일이나 특정 문자열의 암호화된 고유 값을 말한다. 본 보고서는 PoisonEye에서 수집된 정보를 기반으로 작성되며 네이버 공식 보안 분야 대표 카페 바이러스 제로 시즌 2에 제공됩니다. PoisonEye : https://PoisonEye.info/ Virus Zero Season 2 : https://cafe.naver.com/malzero