한국 인터넷 위협(요약) - 5월 2주차 By 빛스캔

0
0

한국 인터넷 위협(요약) – 5월 2주차

발행일: 2016년 5월 10일
한국 인터넷 위협 수준: 주의

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS 를 통해 탐지된 국내외 410여만개(2014년 10월 1일 기준)의 웹 서비스를 지속적으로 관찰하여 요약한 내용이다.

5월 2주차에는 일부 악성코드 유포를 통해서 카운터링크가 포착되었고, 특정 인자값을 통해서 연결되는 구조 방식이 새롭게 발견되었다. 하지만, 악성코드 유포 범위가 한정적이었고, 연휴로 인해 큰 영향력은 주지 못한 것으로 확인되었다.

금주 악성코드의 활동은 한산하였으나, 카운터링크가 발견되었고, 신규 공격기법도 등장하였기 때문에 한국 인터넷 위협은 “주의”를 유지한다. 인자값을 활용한 공격기법에 대한 자세한 사항은 동향보고서를 참조하시기 바랍니다.

주요 특징(Main Features)

  • 특이 동향 – 신규 경유지(파급력 감소)
    ■ 연휴기간에 따른 악성코드 활동 감소
    ■ 특정 인자값을 통한 악성링크 연결 기법 포착
    ■ 일부 카운터링크의 활동 포착 – 사전 공격 단계
  • 유포 동향 – 언론사, 도선사, 관세, 중소기업에서 악성코드 유포
    ■ XXX도선사회, XXXXX부산, XX이너, XXX출입 등
  • 금융 동향 – 키사플로팅 배너 파밍, 개인정보 유출 지속

주간 동향(Weekly Trend)
enter image description here
[표 1. 5월 2주차 한국 인터넷 위협 지수]

5월 2주차에는 앞서 언급한 것처럼 연휴기간으로 인해 악성코드의 활동이 3주연속 감소한 것으로 집계되었다. 특히, 신규 경유지 같은 경우에는 14건만 발견되었기 때문에, 파급력 수치도 감소한 것으로 분석되었다.

enter image description here
[표 2. 5월 2주차 시간대별 통계]

시간대 별 통계를 살펴보면, 지난주에 비해 악성코드의 활동은 감소하였으며, 평일에 5건 주말에 2건의 악성코드 유포가 발견되었다.

enter image description here
[표 3. 최근 6주간의 악성링크 도메인 통계]

주간 이슈(Weekly Issue)

enter image description here
[그림 1. XX이너어에 업로드 된 공격코드 – 5월 5일]

연휴기간이었던 5월 5일에는 언론사 사이트인 XX이너에 파밍 악성코드를 감염시키기 위해 공격코드가 업로드 된 정황이 포착되었다. XX이너로 연결되는 최초 유포지는 도선사, 관세회, 일반 중소기업 총 3곳인 것으로 파악되었다.

특히, XX이너로 연결되는 과정에서 인자값을 통해 연결되는 동적인 악성링크가 사용되었으며, 해당 값이 일치 하지 않는 경우에는 연결을 하지 않는 기법이 새롭게 발견되었다. 인자값을 이용하는 방법 같은 경우에는 많은 경우에 수가 있기 때문에 직접적인 차단보다는 통로를 막아서 연결을 하지 못하도록 하는 방법이 가장 효과적이라고 할 수 있다.

참고로, 인자값 등 인증기반을 활용한 공격 기법은 Red Exploit Kit, RIG Exploit Kit, Sweet Orange Kit을 통해서 발견된 바 있으며, 해외에서는 자주 쓰이고 있는 방식이다.

※ 보다 세부적인 사항은 동향 분석과 기술 분석 보고서를 참조하시기 바랍니다.

BITs Alert 서비스
소개
현재 빛스캔㈜은 국내외 410여만개(2016년 1월 1일 기준)의 웹 서비스들을 5년 이상 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 한다. 기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스다.

BITs Alert 서비스 구성

 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
 부가서비스(택 1)
 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플
❈ 악성코드 샘플은 별도 협의

서비스 상세
 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
 부가서비스:
 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

제공 시기
 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
 부가서비스 – 한국 인터넷 위협분석 – 주 1회(화요일)

가입 문의
 서비스 가입 문의는 [email protected] 로 연락 주십시오



총 0개 내용
의견 쓰기

쉐어드IT의 가입은 쉽고 간단합니다. 지금 하시고 IT관리자들과 의견을 함께 나누세요