주간 악성 공격 동향 요약 3월 4주차 악성 공격 동향에는 CK Exploit Kit 공격이 다수 확인되었고, 이외 피싱, 성인사이트 리다이렉션, 모바일 등의 공격이 포착되었으며, 이전 안드로이드 악성코드를 유포한 경유지가 재사용된 것으로 확인되었다. 금주 공격은 파밍 과 CK Exploit Kit 공격이 가장 활발하게 이루어졌고, CVE-2016-0189의 영향이 아직 건재하다는 듯 다수의 사이트에서 유포중인 정확을 파악했으며, 경유지 재사용의 모습과 유명 사이트들에 영향을 끼친 것으로 조사되었다.

1. 악성 동향 보고서
3월 4주차
2017-03-20 ~ 2017-03-26
비 영리 악성코드 탐지 PoisonEye
네이버 보안 대표 카페 바이러스 제로 시즌 2

2. 1
3월 4주차 악성 공격 동향에는 CK Exploit Kiti
공격이 다수 확인되었고, 이외 피싱, 성인사이트 리
다이렉션, 모바일 등의 공격이 포착되었으며, 이전 안드로이드 악성코드를 유포한 경유지가 재사
용된 것으로 확인되었다.
금주 공격은 파밍ii
과 CK Exploit Kit 공격이 가장 활발하게 이루어졌고, CVE-2016-0189의 영향이
아직 건재하다는 듯 다수의 사이트에서 유포중인 정확을 파악했으며, 경유지 재사용의 모습과 유
명 사이트들에 영향을 끼친 것으로 조사되었다.
.
금주 3월 26일에는 C2추적중 공격자가 만든 위변조 사이트를 미러링하는데 성공하였다.
해당 위변조는 네이버, 다음, 옥션, 네이트, 금융 감독원등 사이트에 플로팅 배너를 띄우는 위변조
사이트와 은행 18군데 대표적으로 하나은행, 신한은행, 국민은행 등 위변조를 찾아 미러링하는데
성공하였다.
미러링된 파일들은 모두 분석중에 있으며, 해당 미러링 파일들의 패턴은 대부분 포털사이트는 플
로팅 배너, 은행 사이트들은 개인정보를 요구하는 페이지로 리다이렉션 되는 것으로 확인된다.

3. 2
악성링크 유형은 Drive-By-Download 22건, 악성통로 4건, 피싱 2건, 카운터 6건 유포지에서 난독
화 된 악성 웹 페이지로 연결 후 최종적으로 악성코드를 다운받아 실행하는 것으로 조사되었다.
3월 4주차 C&Ciii
변경은 총 58개 아이피의 변화량이 감시되었고, 4개 국가의 서버를 사용하여 홍
콩 21건(43%), 미국 25건(36%), 대만 10건(17%), 중국 2건(4%)로 조사되었다.

4. 3
C&C로 이용된 호스트 서버는 HUAJIASALES-CN 2건(4%), VPLSNET 10건(17%), ESITED10 15건(26%),
SHICHUANG-HK 19건(33%), NET-TH-TWACO2 2건(3%), HINET-NET 10건(17%)으로 조사되었다.
3월 4주차 파밍 악성파일의 파일 해쉬iv
평균 변화량은 20일 4건, 21일 2건, 22일 3건, 23일 1건,
24일 2건, 25일 2건, 26일 5건으로 집계되었다.

5. 4
3월 23일에는 다수의 사이트가 배너로 사용하는 날씨 정보제공 사이트에 악성링크가 발견되었다.
현재 악성링크는 카운터 상태이다.
해당 사이트는 다수의 사이트에 양 사이드 혹은 상단에 광고형태로 들어가는 날씨정보를 제공해
주는 배너이다.
해당 정보제공 사이트는 대부분 홈페이지 메인에 삽입하여 방문자에게 정보제공을 목적으로 사용
하게 되는데, 해당 링크에 자동화 공격 또는 피싱이 삽입된다면 파급력이 아주 클 것으로 예상된
다.
현재까지는 방문자 조사를 위한 카운터 스크립트만 삽입되어 있기 때문에 주의할 필요가 있다.

6. 5
3월 24일에는 사행성 도박 사이트에 HEX문자로 난독화된 CVE-2016-0189가 발견되었다.
해당 난독화를 풀어보면 스크립팅 엔진 손상 취약점 POC가 내포되어 있으며, 드라이브 바이 다
운로드 기능을 통해 최종적으로 악성파일을 다운받는 것으로 확인되었다.
다운로드된 EXE파일은 특정 사이트에서 유명 백신업계 인증서 파일과, 추가적으로 EXE파일을 다
운받아 실행하는 것으로 확인되었다.
리모트 컨트롤의 트로이잔 백도어로 추측되며, 해당 사행성 사이트를 이용하는 사람들의 모니터
를 보면서 사이버 머니를 부당 착취하려는 의도가 아닌지 추론된다.
해당 바이너리에 연결되는 C&C는 없었다.

7. 6
3월 25일에는 교과목 교재를 출판하는 사이트인 지**에서 악성링크가 발견되었다.
해당 악성링크는 2개의 경유지를 통해 연결되었으며, 해당 사이트 외 3곳에도 같은 링크가 삽입
되어있는 정황을 포착했다.
해당 경유지는 최종적으로 카운터로 연결되는 모습을 보였으며, 자동화 공격은 삽입되지 않았다.
하지만 공격자가 언제 삽입할 지 모르는 상태이므로 예의주시 중이다.
전국 초,중,고등학교 2017년 3월에 새 학기가 시작되면서, 교재 주문과 국정교과서 여론에 휩쓸린
출판이기 때문에 이에 대해 영향을 받은 것으로 예측되며, 시기적 요인으로 중소기업 사이트, 성
형외과 사이트에 삽입된 것으로 보인다.

8. 7
전주에 예상했다시피, 금주 파밍 감염자수는 전주 대비 약 500+ 가량 증가 한 것으로 집계되었
다.
신학기 시작과 더불어, 시기적 요인의 영향으로 사이트에 삽입된 악성링크가 금주에는 전주대비
약 20개가량 많았기 때문이다.
향후 주 유포지는 아래와 같이 예상된다.
시기적 요인에 따라 학원, 병원, 언론, 국가 기관 사이트
계절적 요인에 따라 축제, 쇼핑몰, 캠핑 사이트에 공격이 이루어질 것으로 전망된다

9. 8
i
CK Exploit Kit : 웹 자동화 공격의 한 종류로 써 보통 8가지 쉘코드 실행 취약점을 이용해 드라이브 바이 다운로드를 수
행한다.
ii
파밍 : 피싱 기법중 하나로 보통 자동화 공격에 의해 감염되며 공인인증서 탈취, 가짜 사이트 접속 유도 및 개인정보 유
도 탈취를 수행하는 악성코드이다.
iii
C&C : Command & Control의 약자로, 트로이잔, 랜섬웨어, 파밍등의 공격자 서버를 의미한다.
iv 해쉬 : HASH는 특정 파일이나 특정 문자열의 암호화된 고유 값을 말한다.
본 보고서는 PoisonEye에서 수집된 정보를 기반으로 작성되며 네이버 공식 보안 분야 대표 카페 바이러스 제로 시즌 2에 제공됩니다.
PoisonEye : https://PoisonEye.info/
Virus Zero Season 2 : https://cafe.naver.com/malzero