한국 인터넷 위협(요약) - 10월 2주차 BY 빛스캔

0
0

발행일: 2015년 10월 13일
한국인터넷 위협 수준: 주의

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS 를 통해 탐지된 국내외 410여만개(2014년 10월 1일 기준)의 웹 서비스를 지속적으로 관찰하여 요약한 내용이다.

지난 주까지 초대형규모를 유지했던 MalwareNet은 금주 들어서면서 중간 규모로 감소된 결과 악성코드의 활동도 다소 감소한 것으로 나타났다.

하지만, 사용자 방문이 많은 웹사이트에 대한 공격과 하위링크의 지속적인 변경 및 해외 특정 IP대역을 활용한 공격이 포착되면서 전체적으로 공격의 영향력은 유지한 것으로 집계되었다.

전체적으로 살펴보면 악성코드의 활동은 감소하였지만, 위협은 여전히 유효하기 때문에 한국 인터넷 위협은 “주의” 수준을 그대로 유지한다.

주요 특징(Main Features)

  • 특이 동향 – 지난주에 비해 악성코드의 활동 감소
    ■ 초대형 MalwareNet에서 중간 규모(200여곳)로 영향력 감소
    ■ 일부 CK Exploit Kit(v 9.27)의 버전 업데이트
    ■ 미국 특정 IP 대역을 이용한 악성코드 유포
  • 유포 동향 – XX웹 호스팅 업체에서의 악성링크 지속적인 삽입 – 2주 연속
    ■ XXXX연구소, XX제약, XX독, XX브루니 등
  • 금융 동향 – 일본 금융 파밍을 위한 지속적인 테스트 정황 포착(2주연속)
    ■ 개인 금융정보 지속적인 유출

주간 동향(Weekly Trend)
enter image description here
[표 1. 10월 2주차 한국 인터넷 위협지수]

금주에는 지난주에 비해 MalwareNet의 규모가 감소되면서, 신규 경유지와 전체 발견된 유포지는 감소한 것으로 나타났다.

하지만, 파급력은 규모가 감소된 MalwareNet의 영향 및 신규 경유지를 통한 주요 사이트의 악성코드 유포가 계속되면서 일정 수준을 유지하였다.

enter link description here
[표 2. 10월 2주차 시간대별 통계]

시간대 별 통계를 살펴 보면, 지난주와 매우 유사하게 악성코드의 활동이 포착되었고, 수요일 과 토요일에 가장 활발했던 것으로 집계되었다.

enter image description here
[표 3. 최근 6주간의 악성링크 도메인 통계]

9월 1주차부터 10월 2주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국 48건(65.8%), 미국 16건(21.9%), 중국 2건(2.7%), 타이완 2건(2.7%), 일본 1건(1.4%), 프랑스 1건(1.4%), 독일 1건(1.4%), 태국 1건(1.4%), 베트남 1건(1.4%)등으로 나타났다.

주간 이슈(Weekly Issue)

enter image description here
[그림 1. XXXX연구소에 삽입된 악성링크 – 10월 7일]

지난 10월 7일, XXXX연구소의 특정 페이지에 악성링크가 삽입되어 접속하는 사이트 방문자에게 영향을 주었다.

해당 사이트는 비정치, 비영리단체로서 통일 북한문제에 관하여 논의하는 사이트로 알려져 있으며, 다양한 북한관련 정보를 얻기 위해서 방문하는 것으로 알려져 있다.

삽입된 악성링크는 XXXX연구소의 공용 JS 모듈에 삽입되었기 때문에, 어느 경로로 접근하든 취약한 사용자는 악성코드에 감염될 가능성이 큰 상태이다.

다운로드되는 악성코드를 분석한 결과, 사용자의 금융정보를 탈취하는 파밍 악성코드로 확인되었다.

더욱 우려되는 것은 이전에도 XXXX연구소가 매번 같은 페이지에서 악성링크의 삽입이 반복되고 있다는 것이다.

이는 문제점에 대한 파악이 현재 이루어지지 않은 채로 악성링크에 대한 삭제만 이루어지고 있다는 것으로 볼 수 있으며, 해당 통로가 제거되지 않는 이상 지속적인 비정상링크의 삽입이 이루어질 수 밖에 없다.

다만, 금융 공격을 노리는 것으로 보아, 특정 대상을 노린 워터링홀 공격이라고 보긴 어렵다.

※ 보다 세부적인 사항은 동향 분석과 기술 분석 보고서를 참조하시기 바랍니다.(자료실)

BITs Alert 서비스
소개
현재 빛스캔㈜은 국내외 410여만개(2014년 10월 1일 기준)의 웹 서비스들을 4년 이상 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 한다. 기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스다.

BITs Alert 서비스 구성

 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
 부가서비스(택 1)
 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플
❈ 악성코드 샘플은 별도 협의

서비스 상세
 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
 부가서비스:
 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

제공 시기
 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
 부가서비스 – 한국 인터넷 위협분석 – 주 1회(화요일)

가입 문의
 서비스 가입 문의는 [email protected] 로 연락 주십시오

제공: 빛스캔 enter image description here



총 0개 내용
의견 쓰기

쉐어드IT의 가입은 쉽고 간단합니다. 지금 하시고 IT관리자들과 의견을 함께 나누세요