한국 인터넷 위협(요약) - 10월 3주차 By 빛스캔

0
0

발행일: 2015년 10월 20일
한국인터넷 위협 수준: 주의

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS 를 통해 탐지된 국내외 410여만개(2014년 10월 1일 기준)의 웹 서비스를 지속적으로 관찰하여 요약한 내용이다.

금주는 지난 주와 유사한 수준의 악성코드 활동이 지속되었으며, MalwareNet도 지난주와 비슷한 규모를 유지하며 영향을 주었다.

주요 특징을 살펴보면, 미국의 특정 IP 대역대를 활용한 공격이 2주 연속으로 포착되었고, 지난해 7월 이후 등장하지 않았던 스페이스와 탭을 활용한 공격기법도 다시 등장하였다.

지난주에 이어서 금주에도 악성코드의 활동이 지속되고 있기 때문에, 한국 인터넷 위협 수준도 “주의”로 유지한다.

주요 특징(Main Features)

  • 특이 동향 – 신규 경유지의 활동 증가(파급력 동반 상승)
    ■ 중간규모의 MalwareNet 유지 – 약 200여곳
    ■ 기존의 활용되었던 악성코드 유포지 사이트의 재활용
    ■ 미국 특정 IP 대역을 이용한 악성코드 유포 – 2주 연속
    ■ SPC/TAB으로 난독화한 스크립트 출현 – 2014년 7월 이후 첫 등장
  • 유포 동향 – 중소기업, X루웹 호스팅 사이트를 통한 악성코드 유포
    ■ XX택, XX공조, XX생활, XX브리니 등
  • 금융 동향 – 파밍 악성코드의 지속적인 활동 계속
    ■ 개인 금융정보 지속적인 유출

주간 동향(Weekly Trend)
enter image description here
[표 1. 10월 3주차 한국 인터넷 위협지수]

금주에는 신규 경유지의 증가와 MalwareNet의 중간규모가 유지되면서 파급력이 지난주에 비해 조금 증가한 것으로 나타났다.

10월달 들어서 악성코드의 활동이 점차 증가하고 있는 만큼 지속적인 추적을 통해서 연결 통로를 사전에 예방할 수 있는 대책을 세워야 한다.

enter image description here
[표 2. 10월 3주차 시간대별 통계]

시간대 별 통계를 살펴 보면, 일요일을 제외하고는 대부분의 악성코드 유포가 1건 이상씩 발견되었다.

enter image description here
[표 3. 최근 6주간의 악성링크 도메인 통계]

9월 2주차부터 10월 3주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국 39건(54.2%), 미국 24건(33.3%), 중국 3건(4.2%), 타이완 2건(2.8%), 일본 1건(1.4%), 프랑스 1건(1.4%), 독일 1건(1.4%), 태국 1건(1.4%), 베트남 1건(1.4%)등으로 나타났다.

주간 이슈(Weekly Issue)

enter image description here
[그림 1. 주부XX 특정페이지에 삽입된 카운터 서버 – 10월 17일]

최근 악성코드의 공격이 활발해지고 MalwareNet의 활동이 지속되면서, 악성코드의 유포지 및 경유지로 활용되는 사이트도 자연스럽게 증가하고 있다.

10월 17일에는 주부XX에 내부의 권한을 가지고 있는 공격자가 특정 페이지를 임의로 생성하여 악성코드의 경유지로 이용한 후 카운터 서버로 변경한 것이 포착되었다.

주부XX의 사이트 같은 경우에는 2014년부터 악성코드 유포지로 활용되고 있지만, 계속해서 임시적으로 악성링크가 삭제될 뿐 필요한 조치는 취해지지 않고 있다.

따라서, 지속적인 피해를 줄이기 위해서는 악성링크의 삭제가 아닌 정밀한 점검을 통해서 공격자가 들어오지 못하도록 수정을 하는 것이 중요하다고 볼 수 있다.

현재도 주부XX의 사이트를 통해서는 카운터 서버가 삽입되어 있어, 공격자들이 해당 웹서비스를 방문하는 사용자들을 모니터링을 할 수 있는 환경을 그대로 유지되고 있는 상태이며, 공격자의 의도 또는 조건에 따라 악성링크가 삽입될 수 있는 심각한 상황이다.

※ 보다 세부적인 사항은 동향 분석과 기술 분석 보고서를 참조하시기 바랍니다.(자료실)

BITs Alert 서비스
소개
현재 빛스캔㈜은 국내외 410여만개(2014년 10월 1일 기준)의 웹 서비스들을 4년 이상 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 한다. 기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스다.

BITs Alert 서비스 구성

 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
 부가서비스(택 1)
 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플
❈ 악성코드 샘플은 별도 협의

서비스 상세
 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
 부가서비스:
 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

제공 시기
 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
 부가서비스 – 한국 인터넷 위협분석 – 주 1회(화요일)

가입 문의
 서비스 가입 문의는 [email protected] 로 연락 주십시오.

enter image description here



총 0개 내용
의견 쓰기

쉐어드IT의 가입은 쉽고 간단합니다. 지금 하시고 IT관리자들과 의견을 함께 나누세요