한국 인터넷 위협(요약) - 1월 3주차 By 빛스캔

0
0

한국 인터넷 위협(요약) – 1월 3주차

발행일: 2016년 1월 19일
한국인터넷 위협 수준: 주의

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS 를 통해 탐지된 국내외 410여만개(2014년 10월 1일 기준)의 웹 서비스를 지속적으로 관찰하여 요약한 내용이다.

금주에는 공격의 예봉이 좀더 세련된 형태로 나타났다. 예를 들면, 악성 링크가 최종 악성코드까지 연결하는 과정이 기존에서는 2~3단계에 불과하였지만, 최근에는 5단계까지 증가하였다.

게다가, 악성링크에서 연결되는 최종 바이너리는 기존 탐지를 우회하기 위해 추가로 다운로드하는 기법과 지난 사이버대란에도 사용되었던 적이 있는 스케줄러를 활용한 사례도 확인되었다.

또한, 지난주에 등장했던 멀티스테이지는 감소하고 모바일 관련한 공격이 다시 포착되었다.

연초부터 공격이 매주 달라지고 있는 상황으로, 지속적으로 동향을 면밀하게 지켜볼 필요가 있기 때문에 한국 인터넷 위협수준은 “주의”로 유지한다.

주요 특징(Main Features)

  • 특이 동향 – 신규 경유지의 감소 (파급력은 지난주와 동일)
    ■ 멀티스테이지 공격 감소 – 모바일 관련 악성코드 유포 재등장
    ■ 스케줄러를 통해 C&C 서버 연결 기법 재등장
    ■ 성인 사이트를 통해 악성링크 삽입 – 2주 연속
  • 유포 동향 – 광고배너를 통한 대량 악성코드 유포
    ■ 언론사, 파일공유(P2P), 영화사이트 등
  • 금융 동향 – 개인금융정보 관련 탈취 공격 지속
    ■ 일본 은행을 타겟으로 하는 파밍 악성코드 등장

주간 동향(Weekly Trend)

enter image description here
[표 1. 1월 3주차 한국 인터넷 위협 지수]

지난 주에 이어 금주까지도 신규 경유지의 활동은 다소 감소하는 추세로 접어들었지만, 파급력은 여전히, 2600~2700 정도의 수치를 유지하고 있다.

신규 경유지가 감소함에도 파급력이 일정 수준을 유지하는 이유는 악성코드가 영향력 있는 사이트에 삽입되어 있기 때문이다.

enter image description here
[표 2. 1월 3주차 시간대별 통계]

시간대 별 통계를 살펴보면, 평일과 주말에 관계없이 악성코드의 활동이 꾸준히 활동하였다.

enter image description here
[표 3. 최근 6주간의 악성링크 도메인 통계]

12월 3주차부터 1월 3주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국 85건(92.4%), 미국 3건(3.3%), 네덜란드 3건(3.3%), 일본 1건(1.1%) 등으로 나타났다.

주간 이슈(Weekly Issue)
[그림 1. 파밍 악성코드 감염 후, 야후재팬 접속시 등장하는 파밍 플로팅 배너 – 2016년 1월 15일]

2016년 초부터 파밍관련 공격이 국내뿐만 아니라 일본에서도 활용될 징후가 포착되었다. 1월 15일, 일본 성인 사이트에서 삽입된 악성링크가 국내 은행이 아닌 일본 은행을 타겟으로 하는 파밍 악성코드로 확인되었다.

해당 악성코드는 일본의 대표적인 포털 사이트 가짜 야후재팬을 파밍 목록에 넣어서 사용자가 가짜 파밍 은행 사이트에 접속하게끔 조작했다.

이후에는 국내에서 활동하고 있는 파밍 악성코드와 마찬가지로 개인금융정보를 입력하도록 요구한다.

일본 파밍에 대한 공격이 국내와 매우 유사하기 때문에 동일 또는 유사한 공격 집단으로 추정할 수 있다. 게다가, 지난해(8월)와 달리 올해는 1월부터 일본 파밍관련 악성코드가 활동하는 것으로 보았을 때 파밍 악성코드가 일본 은행권까지도 확대될 가능성은 매우 높다고 보여진다.

BITs Alert 서비스
소개
현재 빛스캔㈜은 국내외 410여만개(2014년 10월 1일 기준)의 웹 서비스들을 4년 이상 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 한다. 기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스다.

BITs Alert 서비스 구성

 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
 부가서비스(택 1)
 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플
❈ 악성코드 샘플은 별도 협의

서비스 상세
 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
 부가서비스:
 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

제공 시기
 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
 부가서비스 – 한국 인터넷 위협분석 – 주 1회(화요일)

가입 문의
 서비스 가입 문의는 [email protected] 로 연락 주십시오.

※ 보다 세부적인 사항은 동향 분석과 기술 분석 보고서를 참조하시기 바랍니다.



총 0개 내용
의견 쓰기

쉐어드IT의 가입은 쉽고 간단합니다. 지금 하시고 IT관리자들과 의견을 함께 나누세요