한국 인터넷 위협(요약) - 4월 1주차 by 빛스캔

0
0

발행일: 2016년 4월 5일
한국 인터넷 위협 수준: 주의

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS 를 통해 탐지된 국내외 410여만개(2014년 10월 1일 기준)의 웹 서비스를 지속적으로 관찰하여 요약한 내용이다.

금주에는 기존의 차단 장비를 우회하기 위한 공격의 한 형태로 CK Exploit Kit의 신버전(v3.13, v3.27)이 다수 출현했다.

주요 특징을 살펴보면, 기존에 활동했던 버전과 다르게 취약점 조건에 따라 분기되는 방식을 사용하여 공격코드로 연결하는 것으로 분석되었지만, 페이로드를 확인하는 과정에서 공격코드가 삭제되어 바이너리는 확인하지 못하였다.

금주에는 신규 경유지의 활동은 감소하였지만, CK Exploit Kit에 공격형태가 변화되었기 때문에 한국 인터넷 위협은 “주의”로 유지한다.

주요 특징(Main Features)
– 특이 동향 – 신규 경유지의 감소 (파급력 일정 수준 유지)
■ 신규 공격형태 등장 – CK Exploit Kit (v3.13, v3.27)
■ 기존에 활용되었던 유포지의 재활용 – 문자사이트
■ 탐지우회를 위한 다단계 경유지를 활용
– 유포 동향 – 다양한 사이트에서의 악성코드 유포
■ 쇼핑몰, 문자사이트, 파일공유(P2P), 신도시관련 사이트 등
– 금융 동향 – Mac 주소의 대량 탈취

주간 동향(Weekly Trend)
enter image description here
[표 1. 4월 1주차 한국 인터넷 위협 지수]

4월 1주차에는 신규 경유지의 활동은 다소 감소하였지만, 파급력은 일정 수치를 유지한 것으로 집계되었다.

그 이유는 신규 공격형태의 출현과 함께 탐지우회를 위한 다단계 경유지 활용에 대한 이슈가 나타났기 때문이다. 한편, 전체 발견된 유포지는 5주 연속 감소하는 모습을 보였다.

enter image description here
[표 2. 4월 1주차 시간대별 통계]

시간대 별 통계를 살펴보면, 주말과 평일에 관계없이 악성코드가 유포되는 현상이 2주 연속 나타났다.

enter image description here
[표 3. 최근 6주간의 악성링크 도메인 통계]

3월 1주차부터 4월 1주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국 61건(87.1%), 미국 5건(7.1%), 홍콩 2건(2.9%), 이탈리아 2건(2.9%) 등으로 나타났다.

주간 이슈(Weekly Issue)
enter image description here
[그림 1. XX유시티 홈페이지에 삽입된 악성링크 – 4월 1일]

2016년 4월 1일 XX유시티의 홈페이지에 악성링크가 삽입된 정황을 포착하였다. XX유시티는 공공/민간의 시스템연계를 통한 서비스를 제공하고 있는 기업이다.

더욱 우려되는 것은 현재 공격자가 웹사이트에 악성링크를 삽입하였다는 것은 해당 사이트에 대한 권한을 가지고 있다는 것이다.

공격자가 사이트에 대한 권한이 있다는 것은 내부의 PC가 감염되었다는 것으로 볼 수 있기 때문에 2차적인 피해가 우려될 수 있는 상황이라 할 수 있다.

특히, 해당 사이트 같은 경우에는 다양한 시스템과 정보를 민간과 공공에 제공하고 있기 때문에 추가적인 피해를 예방하기 위해서는 웹사이트뿐만 아니라 내부에 대한 보안 대책도 강구해야 할 것으로 보인다.

BITs Alert 서비스
소개
현재 빛스캔㈜은 국내외 410여만개(2016년 1월 1일 기준)의 웹 서비스들을 5년 이상 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 한다. 기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스다.

BITs Alert 서비스 구성

 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
 부가서비스(택 1)
 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플
❈ 악성코드 샘플은 별도 협의

서비스 상세
 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
 부가서비스:
 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

제공 시기
 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
 부가서비스 – 한국 인터넷 위협분석 – 주 1회(화요일)

가입 문의
 서비스 가입 문의는 [email protected] 로 연락 주십시오.


0
0

좋은정보 감사합니다.


총 1개 내용
의견 쓰기

쉐어드IT의 가입은 쉽고 간단합니다. 지금 하시고 IT관리자들과 의견을 함께 나누세요