주간 악성 공격 동향 요약
3월 1주차 악성링크는 유포지 8곳, 악성링크 페이로드 4건이 발견되었으며, CK Exploit Kit의 재활동과 안드로이드 악성 APK유포가 포착되었으며 주 유포지는 쇼핑몰, 중소기업, 문화단체, 축산물 사이트로 집계되었고 특정 호스팅업체를 사용하는 사이트들이 대량으로 악성코드를 유포한 정황을 확인했다
주간 악성 공격 동향 요약
4월 1주차 악성 공격 동향에는 전주대비 소량의 링크들이 발견되었다. 카운터 링크와, 레거시, 디페이스 공격이 탐지되었다.
금주 공격은 파밍 공격이 가장 활발하게 이루어졌고, 최근 디페이스 공격으로 인해, 포이즌아이 탐지 영역에서도 디페이스가 발견되었다.
주간 악성 공격 동향 요약
4월 1주차 악성 공격 동향에는 전주대비 소량의 링크들이 발견되었다. 카운터 링크와, 레거시, 디페이스 공격이 탐지되었다.
금주 공격은 파밍 공격이 가장 활발하게 이루어졌고, 최근 디페이스 공격으로 인해, 포이즌아이 탐지 영역에서도 디페이스가 발견되었다.
주간 악성 공격 동향 요약
4월 2주차 악성 공격 동향에는 금탐지가 CK Exploit Kiti 만 탐지되었다. 또한 특정 분석을 속이기 위해 임의의 인자 값을 의도적으로 집어 넣는것으로 확인되었다.
금주 공격은 파밍ii 공격이 가장 활발하게 이루어졌고, 특정 광고사이트에 삽입되어 악성코드를 유포한 정황이 포착 되었기 때문에 주의를 기울여야 할 것으로 사료된다.
Internet Security Appliance for Drive by download protection.
한국 인터넷 환경에 대한 모니터링을 통한 감염 예방. 그리고 내부 감염 리스트의 확인.
감염예방 및 감염된 클라이언트의 탐지 식별에 특화된 차단 및 탐지 장비. Bitscan의 7년
이상의 PCDS 탐지 및 추적 결과가 축적된 서비스. ML의 일종인 연관관계분석으로 사고 발생 서비스에 대한 가장 빠른 탐지 가능.
C&C , Malicious Link , Malicious file, Detect Infected client
5월부터 시작된 전세계 랜섬웨어 공포가 소강상태로 접어들었다가, 또다시 '페트야 랜섬웨어'로 인한 피해가 속출하고 있습니다. '페트야 랜섬웨어'는 일반 랜섬웨어에서 진화하여 부팅 자체를 불가하게 만들며 기업, 금융기관, 공공기관 등 사회 인프라를 타겟으로 감염 및 확산되고 있는데요. 사회 전반으로의 확산을 막기 위한 예방법, 다우기술과 함께 알아보도록 합시다!
o 행 사 명 : 포스트코로나 시대의 ICT산업 미래전략포럼
o 일시/장소 : ‘20.5.22.(금) 10:00~16:30 / 에스팩토리(서울 성수동 소재)
o 주최/후원 : KAIT, KCA, IITP / SKT, KT, LGU+, LG전자 등
o 참 석 자 : 과기정통부 2차관, 정보통신산업정책관 및 ICT산업분야별 전문가 등
주간 악성 공격 동향 요약
3월 4주차 악성 공격 동향에는 CK Exploit Kit 공격이 다수 확인되었고, 이외 피싱, 성인사이트 리다이렉션, 모바일 등의 공격이 포착되었으며, 이전 안드로이드 악성코드를 유포한 경유지가 재사용된 것으로 확인되었다.
금주 공격은 파밍 과 CK Exploit Kit 공격이 가장 활발하게 이루어졌고, CVE-2016-0189의 영향이 아직 건재하다는 듯 다수의 사이트에서 유포중인 정확을 파악했으며, 경유지 재사용의 모습과 유명 사이트들에 영향을 끼친 것으로 조사되었다.
주간 악성 공격 동향 요약
4월 2주차 악성 공격 동향에는 금탐지가 CK Exploit Kiti 만 탐지되었다. 또한 특정 분석을 속이기 위해 임의의 인자 값을 의도적으로 집어 넣는것으로 확인되었다.
금주 공격은 파밍ii 공격이 가장 활발하게 이루어졌고, 특정 광고사이트에 삽입되어 악성코드를 유포한 정황이 포착 되었기 때문에 주의를 기울여야 할 것으로 사료된다.
Internet Security Appliance for Drive by download protection.
한국 인터넷 환경에 대한 모니터링을 통한 감염 예방. 그리고 내부 감염 리스트의 확인.
감염예방 및 감염된 클라이언트의 탐지 식별에 특화된 차단 및 탐지 장비. Bitscan의 7년
이상의 PCDS 탐지 및 추적 결과가 축적된 서비스. ML의 일종인 연관관계분석으로 사고 발생 서비스에 대한 가장 빠른 탐지 가능.
C&C , Malicious Link , Malicious file, Detect Infected client
5월부터 시작된 전세계 랜섬웨어 공포가 소강상태로 접어들었다가, 또다시 '페트야 랜섬웨어'로 인한 피해가 속출하고 있습니다. '페트야 랜섬웨어'는 일반 랜섬웨어에서 진화하여 부팅 자체를 불가하게 만들며 기업, 금융기관, 공공기관 등 사회 인프라를 타겟으로 감염 및 확산되고 있는데요. 사회 전반으로의 확산을 막기 위한 예방법, 다우기술과 함께 알아보도록 합시다!
o 행 사 명 : 포스트코로나 시대의 ICT산업 미래전략포럼
o 일시/장소 : ‘20.5.22.(금) 10:00~16:30 / 에스팩토리(서울 성수동 소재)
o 주최/후원 : KAIT, KCA, IITP / SKT, KT, LGU+, LG전자 등
o 참 석 자 : 과기정통부 2차관, 정보통신산업정책관 및 ICT산업분야별 전문가 등
주간 악성 공격 동향 요약
3월 4주차 악성 공격 동향에는 CK Exploit Kit 공격이 다수 확인되었고, 이외 피싱, 성인사이트 리다이렉션, 모바일 등의 공격이 포착되었으며, 이전 안드로이드 악성코드를 유포한 경유지가 재사용된 것으로 확인되었다.
금주 공격은 파밍 과 CK Exploit Kit 공격이 가장 활발하게 이루어졌고, CVE-2016-0189의 영향이 아직 건재하다는 듯 다수의 사이트에서 유포중인 정확을 파악했으며, 경유지 재사용의 모습과 유명 사이트들에 영향을 끼친 것으로 조사되었다.
[2012 CodeEngn Conference 07] M-Stoned - iThreatGangSeok Lee
2012 CodeEngn Conference 07
그동안 Mac 사용자들은 악성코드로부터 안전하다는 믿음이 있었고 Apple사 역시 마케팅에 활용했었다. 이런 믿음은 2012년 4월, 전 세계 65만대의 Mac 컴퓨터가 Flashback에 감염되고 Mac 사용자에 대한 표적공격 악성코드가 발견되면서 Mac 또한 악성코드의 위협으로부터 완전히 자유로울 수 없음이 확인됐다. 지금까지 발견된 주요 Mac 악성코드에 대해 알아보고 Mac 악성코드 분석 방법과 분석시 유의 사항에 대해 발표한다.
http://codeengn.com/conference/07
1. 악성 동향 보고서
3월 1주차
2017-02-27 ~ 2017-03-05
비 영리 악성코드 탐지 PoisonEye
네이버 보안 대표 카페 바이러스 제로 시즌 2
2. 1
3월 1주차 악성 공격 동향에는 본격적으로 CK Exploit Kiti
이 활발해지고 있는 모습을 보이고 있으
며, 파밍 악성코드가 추가적으로 유포될 것으로 예상된다. 또한 안드로이드 악성 APKii
파일 유포도
포착되어 2주 연속 유포하는 것으로 집계되었다.
금주 공격은 랜섬웨어iii
, 파밍iv
, 안드로이드로 집계되었으며 이외 악성공격으로 의심되는 코드가 1
건 발견되었으며 주 유포지 및 경유지는 쇼핑몰, 중소기업, 문화단체, 축산 등으로 확인되었으며
특이 사항으로는 특정 호스팅을 사용하는 사이트가 대량으로 악성코드를 유포한 정황이 포착되었
다.
금주 3월 4일에는 “D” 커뮤니티 사이트에 악성으로 의심되는 난독화v
코드가 js파일 내 삽입되었
는데, 해당 스크립트는 작동하지 않는 것으로 확인 되었다.
아래는 D******d.com/_js/common.js에 삽입된 내용이다.
해당 스크립트는 특정 값을 변수에서 가져와 치환 과정을 거쳐, service_code input 값에 넣는
것으로 확인되었으며, 특정 스크립트의 일부분으로 확인되었다.
해당 스크립트는 js 파일 중간에 난독화되어 삽입되어 있었는데, 스크립트가 위, 아래와 연결되지
않아 다른 스크립트의 일부분으로 추측된다.
3. 2
유포지와 경유지에 사용된 취약점은 자바 애플릿 3건(25%), 익스플로러 4건(33%), 플래쉬 5건
(42%)으로 확인되었다.
악성링크 유형은 Android Redirectionvi
7건, Drive-By-Download 2건, Redirectionvii
1건으로 발견되
었으며, 유포지에서 난독화 된 악성 웹 페이지로 연결 후 최종적으로 악성코드를 다운받아 실행
하는 것으로 조사되었다.
4. 3
3월 1주차 C&Cviii
변경은 총 26개 아이피의 변화량이 감시되었고, 3개 국가의 서버를 사용하여 홍
콩 24건(89%) 대만 2건(7%) 미국 1건(4%)으로 조사되었다.
C&C로 이용된 호스트 서버는 HKHTIHL-HK 12건(46%), NET-TH-TWACO2 8건(31%) STDCL-CN 3건
(11%) HINET-NET 2건(8%) SERVERYOU-NET-LAX 1건(4%)으로 조사되었다.
5. 4
3월 1주차에는 파밍 악성파일의 파일 해쉬ix
평균 변화량은 27일 1건, 28일 1건, 1일 1건, 2일 1건,
3일 2건, 4일 1건, 5일 1건으로 집계되었다.
파밍 해쉬는 수시로 변경되는데, 백신은 샘플 수집, 분석, 오진 확인, 확증 배포등 여러 과정을 거
쳐야 하기 때문에 공격자는 유포하는 파일이 백신에 탐지될 경우 즉시 페이로드를 변경하거나 해
쉬를 변경하여 백신을 우회하므로 백신은 항상 뒤에서 따라갈 수 밖에 없는 한계에 봉착해 있다.
결론적으로 이러한 문제를 해결하기 위해서는 아래와 같은 방식을 통해 미리 대응하는 방식을 고
려해야 할 것이다.
1. 악성 URL : 악성코드 유포에 이용되는 URL에 대한 탐지 및 대응
2. C&C IP : 내부에 감염된 악성코드가 연결하는 C&C IP를 차단하여 공인인증서 탈취 및 추
가적인 개인정보 유출 피해에 대응
파밍에 감염된 PC는 공인인증서 탈취 뿐 만이 아니라, 언제든지 DDoS공격 기능을 탑재하여 유포
할 수 있기 때문에 개인정보 탈취보다 좀비PC로 이용될 수 있으므로 항상 주의할 것을 권고한다.
6. 5
파밍 악성코드에 연결되는 C&C서버의 변화율과 파밍 감염수에 따라 파급력이 심화될 것으로 예
상되며 웹 서핑에도 항상 주의를 기울어야 할 것이다.
향후 파밍 악성코드 공격이 증가할 것으로 예상되며, 2주 연속으로 유포된 모바일 악성코드 역시
모바일 트래픽이 증가함에 따라 지속 될 것으로 예상된다.
향후 주 유포지는 아래와 같이 예상된다.
시기적 요인에 따라 영화 예매 대행, 민간 봉사단체, 단과 학원, 지자체, 교육기관, 세무서, 우채국,
택배, 이벤트 업체 사이트
계절적 요인에 따라 축제, 행사, 여행, 숙박업소 사이트에 공격이 이루어질 것으로 전망된다
7. 6
i
CK Exploit Kit : 웹 자동화 공격의 한 종류로 써 보통 8가지 쉘코드 실행 취약점을 이용해 드라이브 바이 다운로드를 수
행한다.
ii
APK : 안드로이드 운영체제에 사용되는 응용프로그램 확장자이다.
iii
랜섬웨어 : 운영체제 내 주요 텍스트, 멀티미디어, 복구 파일들을 사용자가 열 수 없게끔 암호화 한 뒤, 비트코인을 요
구하는 신종 악성코드이다.
iv 파밍 : 피싱 기법중 하나로 보통 자동화 공격에 의해 감염되며 공인인증서 탈취, 가짜 사이트 접속 유도 및 개인정보 유
도 탈취를 수행하는 악성코드이다.
v 난독화 : 특정 문자나 문장을 보통사람들이 알아보기 어렵게 끔 일부로 복잡하고 어렵게 코드를 만드는 것
vi
Android Redirection : 안드로이드 브라우저로 접속할 때 별도로 연결되는 특정 웹 페이지나 특정 기능을 수행하는 것
vii Redirection : 웹페이지나 특정 응용프로그램에서 필요에 의해 다른 페이지를 연결하여 보여주거나, 기능을 수행한다.
viii C&C : Command & Control의 약자로, 트로이잔, 랜섬웨어, 파밍등의 공격자 서버를 의미한다.
ix
해쉬 : HASH는 특정 파일이나 특정 문자열의 암호화된 고유 값을 말한다.
본 보고서는 PoisonEye에서 수집된 정보를 기반으로 작성되며 네이버 공식 보안 분야 대표 카페 바이러스 제로 시즌 2에 제공됩니다.
PoisonEye : https://PoisonEye.info/
Virus Zero Season 2 : https://cafe.naver.com/malzero
