한국 인터넷 위협(요약) - 12월 5주차 By 빛스캔

0
0

한국 인터넷 위협(요약) – 12월 5주차

발행일: 2015년 12월 29일
한국인터넷 위협 수준: 주의

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS 를 통해 탐지된 국내외 410여만개(2014년 10월 1일 기준)의 웹 서비스를 지속적으로 관찰하여 요약한 내용이다.

금주의 악성코드 활동은 지난주에 비해 증가한 것으로 나타났으며, 공격형태도 약간 변화된 모습을 보였다. 지난주까지 활동했던 시간차 공격이 스윗오렌지킷과 CK 공격킷이 활용되는 멀티스테이지 공격 방식으로 변화하였고, 중간규모의 MalwareNet과 호스팅 서버를 활용한 대량 악성코드 감염도 포착되었다.

차주까지도 금주와 비슷한 악성코드 유포 및 새로운 공격이 시도 될 것으로 예상되기 때문에 한국 인터넷 수준은 “주의”를 계속 유지한다.

주요 특징(Main Features)
– 특이 동향 – 신규 경유지의 증가
■ 멀티스테이지 공격 형태 등장 – CK 공격킷 + 스윗오렌지킷
■ 호스팅서버를 통한 대량 악성코드 유포
■ 중소규모의 MalwareNet의 활동 – 약 100여개
– 유포 동향 – 여행사, 재단, 골프장 등에서 악성코드 유포
■ XX미술재단, XX투어, XXXX골프장 등
– 금융 동향 – 유/무선 개인금융정보 관련 탈취 지속
■ 카드정보(모바일), 공인인증서(PC) 탈취

주간 동향(Weekly Trend)
enter image description here
[표 1. 12월 5주차 한국 인터넷 위협지수]

12월 2주차부터 금주까지 3주연속 신규 경유지는 증가한 것으로 집계되었고, 파급력은 지난주와 동일한 것으로 나타났다.

하지만, 전체 발견된 유포지는 계속 하락하고 있는데, 그 이유로는 공격자가 최근 기존에 악성링크를 재활용 하기보다는 신규 경유지를 활용하는 비율이 늘어났기 때문으로 분석할 수 있다.

enter image description here
[표 2. 12월 5주차 시간대별 통계]

시간대 별 통계를 살펴 보면, 연휴기간이었던 주말보다는 주중에 악성코드의 활동이 활발했던 것으로 나타났다.

enter image description here
[표 3. 최근 6주간의 악성링크 도메인 통계]

11월 4주차부터 12월 5주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국 79건(95.5%), 미국 1건(1.2%), 타이완 1건(1.2%) 등으로 나타났다.

주간 이슈(Weekly Issue)
enter image description here
[그림 1. 악성코드의 경유지로 활용된 XX투어 사이트 – 12월 27일]

최근 계절적 요인으로 인한 악성코드 유포가 12월달 내내 지속되고 있는 가운데 12월 27일에는 여행 사이트 XX투어가 악성코드의 경유지로 활용된 것을 포착하였다.

경유지로 활용된 링크는 약 39개의 사이트에 삽입된 것으로 확인되었으며, 확인결과 스윗오렌지킷과 CK 공격킷이 동시에 활용하고 있는 멀티스테이지를 활용한 공격코드로 연결하고 있었다.

더욱 우려된 점은 해당 악성링크가 다시 공격에 활용될 수 있을 뿐만 아니라 다른 제휴 페이지에서도 동시 다발적으로 일어날 수 있다는 것이다.

참고로, 작년에도 이와 유사한 사례로 XX투어가 공식 홈페이지에서 발견된 악성링크가 오픈마켓에서도 동일하게 활용된 사례가 포착된 바 있다.

※ 보다 세부적인 사항은 동향 분석과 기술 분석 보고서를 참조하시기 바랍니다.(자료실)

BITs Alert 서비스
소개
현재 빛스캔㈜은 국내외 410여만개(2014년 10월 1일 기준)의 웹 서비스들을 4년 이상 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 한다. 기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스다.

BITs Alert 서비스 구성

 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
 부가서비스(택 1)
 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플
❈ 악성코드 샘플은 별도 협의

서비스 상세
 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
 부가서비스:
 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

제공 시기
 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
 부가서비스 – 한국 인터넷 위협분석 – 주 1회(화요일)

가입 문의
 서비스 가입 문의는 [email protected] 로 연락 주십시오.
enter image description here



총 0개 내용
의견 쓰기

쉐어드IT의 가입은 쉽고 간단합니다. 지금 하시고 IT관리자들과 의견을 함께 나누세요