주간 악성 공격 동향 요약 3월 5주차 악성 공격 동향에는 CK Exploit Kit 공격이 전주에 비해 미미한 모습을 보였고 악성코드 경유 재사용 및 페이로드 변경이 잦은 특이점을 포착했다. 금주 공격은 파밍 과 안드로이드 공격이 가장 활발하게 이루어졌고, 한 개의 유포지에서 다양한 공격 방법을 사용한 정황이 파악되어 공격자의 수상한 움직임에 주의를 기울여야 할 것으로 전망된다.

1. 악성 동향 보고서
3월 5주차
2017-03-27 ~ 2017-04-02
비 영리 악성코드 탐지 PoisonEye
네이버 보안 대표 카페 바이러스 제로 시즌 2

2. 1
3월 5주차 악성 공격 동향에는 CK Exploit Kiti
공격이 전주에 비해 미미한 모습을 보였고 악성코
드 경유 재사용 및 페이로드 변경이 잦은 특이점을 포착했다.
금주 공격은 파밍ii
과 안드로이드 공격이 가장 활발하게 이루어졌고, 한 개의 유포지에서 다양한
공격 방법을 사용한 정황이 파악되어 공격자의 수상한 움직임에 주의를 기울여야 할 것으로 전망
된다.
.
금주 3월 27일에는 스포츠 사이트에서 성인 사이트로 리다이렉션되는 공격이 파악되었다.
해당 사이트는 방문자 수가 적은 사이트로 파악되며, 해당 공격에는 2~3개의 경유지를 이용한 성
인 사이트로 이동하는 공격 모습을 보였다.
이동한 사이트는 유포지 홈페이지와는 전혀 관련이 없는 곳으로, 에이전트 검사를 통해 안드로이
드 및 아이폰 사용자들에게 모바일 성인 사이트로 이동하도록 설계되어 있었다.

3. 2
악성링크 유형은 Drive-By-Download 4건, 악성통로 1건, 피싱 1건, APK 5건으로 유포지에서 다른
경유지를 통해 최종적으로 악성 코드가 실행되는 것으로 파악되었다.
3월 5주차 C&Ciii
변경은 총 57개 아이피의 변화량이 감시되었고, 3개 국가의 서버를 사용하여 홍
콩 19건(33%), 미국 26건(46%), 대만 12건(21%)으로 조사되었다.

4. 3
C&C로 이용된 호스트 서버는 ESITED10 19건(34%), SHICHUANG-HK 19건(33%), HINET-NET 12건
(21%), VPLSNET 7건(12%)으로 조사되었다.
3월 5주차 파밍 악성파일의 파일 해쉬iv
평균 변화량은 27일 2건, 28일 2건, 29일 2건, 30일 1건,
31일 0건, 1일 0건, 2일 1건으로 집계되었다.

5. 4
3월 31일에는 네이버 계정 탈취페이지가 포착되었다.
네이버 계정 탈취의 피해량은 적은 편으로 조사되었지만, 과거에도 피싱이 다수가 나왔던 것을
근거로 다시 네이버 피싱이 유행할 것으로 예상된다.
해당 네이버 피싱은 보통 바이럴 마케팅을 목적으로 하는 사람들에게 암암리 거래되며 소중한 개
인정보를 지킬 수 있도록 주의해야 하며, 최근 급 부상하고 있는 간편결제 등 핀테크 산업 발전
으로 인해 복합적으로 작용한 것으로 분석된다
또한 네이버와는 다르게 로그인 시 암호화 전송이 아닌, 단순 평문 전송인 부분을 숙지하고 네이
버 로그인 계정탈취가 의심된다면 아래와 같이 해보는 것이 좋다.
해당 로그인 페이지에 주소를 확인하고, 아이디와 비밀번호를 무작위로 입력해본 뒤, 로그인 여부
를 확인한다.

6. 5
3월 31일부터 4월 2일까지 단일 유포지에서 다수의 공격 방법을 시도한 정황을 포착했다.
해당 공격은 순서대로 네이버 피싱 -> 안드로이드 -> 안드로이드 -> 안드로이드 공격을 했으며,
각각 경유지와 페이로드가 다르게 조사되었다.
해당 쇼핑몰은 각종 지도에 관련된 물품을 판매하고 있으며 총판 판매를 하는 것으로 조사되었다.
초, 중, 고등학교가 신학기를 맞이하고 각종 교육기관 및 연구기관이 새로운 시기를 맞이하면서
해당 사이트에 네이버 피싱, 안드로이드 공격이 진행된 것으로 판단하고 있다.
또한 경유지의 사용도 산부인과, 플래시 게임 사이트, 잡지, 생활용품, 학습사이트, 쇼핑몰, 거래소
등으로 확인되어 향후 해당 사이트들도 위와 같은 공격, 또는 워터링홀 공격에도 활용될 수 있어
외부의 공격 기록과 내부 보안점검을 통해 취약점을 해결하여야 한다.

7. 6
금주 파밍은 다소 한산했으며, 파밍 감염자가 전주에 비해 적은 것으로 조사되었다.
3월~5월은 각종 연례행사 및 출산기간과 더불어 공채시즌을 접어들면서 성형외과와 같은 사이트
에 주의가 요구되는 시기이다. 또한 결혼, 예복, 예물과 학습, 교습 사이트에도 영향이 있을 것으
로 전망된다.
향후 주 유포지는 아래와 같이 예상된다.
전주와 같이 시기적 요인에 따라 학원, 병원, 언론, 웨딩, 구인/구직 사이트
계절적 요인에 따라 축제, 쇼핑몰에 공격이 이루어질 것으로 전망된다

8. 7
i
CK Exploit Kit : 웹 자동화 공격의 한 종류로 써 보통 8가지 쉘코드 실행 취약점을 이용해 드라이브 바이 다운로드를 수
행한다.
ii
파밍 : 피싱 기법중 하나로 보통 자동화 공격에 의해 감염되며 공인인증서 탈취, 가짜 사이트 접속 유도 및 개인정보 유
도 탈취를 수행하는 악성코드이다.
iii
C&C : Command & Control의 약자로, 트로이잔, 랜섬웨어, 파밍등의 공격자 서버를 의미한다.
iv 해쉬 : HASH는 특정 파일이나 특정 문자열의 암호화된 고유 값을 말한다.
본 보고서는 PoisonEye에서 수집된 정보를 기반으로 작성되며 네이버 공식 보안 분야 대표 카페 바이러스 제로 시즌 2에 제공됩니다.
PoisonEye : https://PoisonEye.info/
Virus Zero Season 2 : https://cafe.naver.com/malzero