한국 인터넷 위협(요약) - 5월 5주차 By 빛스캔

0
0

발행일: 2016년 5월 31일
한국 인터넷 위협 수준: 주의

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS 를 통해 탐지된 국내외 410여만개(2014년 10월 1일 기준)의 웹 서비스를 지속적으로 관찰하여 요약한 내용이다.

금주에도 자동 프록시 구성(PAC)을 이용한 파밍이 발견되었는데, 최초 발견된 4월 4주차의 분석(DLL 인젝션, 파일 생성/삭제 행위, 자가 테스트 과정)과는 다르게, PAC 기능만 수행하는 것으로 분석 되었으며, 이를 통해 PAC파밍의 탈취 기법 또한 다양화될 가능성도 있다.

PC공격뿐만 아니라 모바일 역시 플래시 플레이어를 위장한 악성APP이 집중적으로 유포되는 정황도 포착했기 때문에, 한국 인터넷 위협은 “주의”를 유지한다.

주요 특징(Main Features)

  • 특이 동향 – 집중적인 파일공유 사이트 악성코드 삽입
    ■ 악성 모바일 플래시 업데이트 – APK 다운로드 유도
    ■ PAC(Proxy auto-config) 파밍 악성코드 공격 기법 – 지속적 사용
  • 유포 동향 – 19금 알바, 쇼핑몰, P2P, 중소기업 사이트 등
    ■ 미x디스크, x파일, x디스크, xx디스크, xx리닷컴, 더xx 푸드마켓, xx시스코
  • 금융 동향 – KISA 플로팅 배너 파밍, 개인정보 유출, 개인금융정보 탈취 지속
    ■ 한국인터넷진흥원(KISA) 위장 플로팅 배너 재출현 – 4월 3주차 출현

주간 동향(Weekly Trend)

enter image description here
[표 1. 5월 5주차 한국 인터넷 위협 지수]

5월 5주차에는 4주차에 비해 파밍 악성코드가 다소 활발하게 유포되었고, 특히 유동성이 잦은사이트 내에서 같은 악성코드가 다양한 경로로 유포되는 정황을 포착했다. 전체적인 공격은 감소했지만, 파급력은 눈에 띄게 증가하는 모습도 관찰되었다.

enter image description here
[표 2. 5월 5주차 시간대별 통계]

시간대 별 통계를 살펴보면, 지난주에 비해 악성코드 검출이 눈에 띄게 증가하는 모습을 보였다. 주로 관리자의 모니터링이 어려운 시간대인 점심시간과 퇴근시간에 유포되는 경향을 보였다.

enter image description here
[표 3. 최근 6주간의 악성링크 도메인 통계]

4월 4주차부터 5월 5주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국 51건(77.3%), 타이완 13건(19.7%), 미국 1건(1.5%), 홍콩 1건(1.5%) 등으로 나타났다.

주간 이슈(Weekly Issue)
enter image description here
[그림 1. KISA를 위장한 파밍 플로팅 배너 – 5월 24일]

금주에 발견된 신규 URL중, 분석된 파밍 악성코드에서 연결되는 웹사이트로 지난 4월 3주차에 출현한 한국인터넷진흥원(이하 KISA)으로 위장한 파밍 플로팅 배너가 재 출현했다.

해당 배너는 한국인터넷진흥원 홈페이지에 개인정보침해 신고센터 알림판에 있는 것으로, 감염자에게 신뢰기관의 권고인 것처럼 속여서 금융정보를 빼내기 위한 가짜 배너이다.

확실히, 일반 사용자들이 손쉽게 신뢰할 수 있는 사이트를 활용한 것으로 의심을 쉽게 피할 수 있을 것이며. 추후 모바일 환경도 이와 같은 공격이 진행될 수 있을 것으로 전망된다.

이러한 플로팅 배너에 대해서는 지속적으로 널리 전파하고 있으나, 그에 따른 시너지효과는 미미한 것으로 추정된다. 그 근거로는 악성코드에 감염되는 주된 이유 및 해결책에 대한 충분한 정보 제공이 어렵기 떄문에 이용자들의 관심과 인식이 저조하고, 가짜 사이트에 입력하는 정보를 추적해 본 결과, 다수의 정보 유출 사례가 관찰되기 때문이다.

당사에서는 개인을 대상으로 무료로 파밍 공격이나 금융 피해가 발생한 사례가 있는지 확인할 수 있는 조회사이트를 6월 중으로 개설할 예정이오니 많은 기대 바랍니다.

BITs Alert 서비스
소개
현재 빛스캔㈜은 국내외 410여만개(2016년 1월 1일 기준)의 웹 서비스들을 5년 이상 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 한다. 기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스다.

BITs Alert 서비스 구성

 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
 부가서비스(택 1)
 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플
❈ 악성코드 샘플은 별도 협의

서비스 상세
 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
 부가서비스:
 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

제공 시기
 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
 부가서비스 – 한국 인터넷 위협분석 – 주 1회(화요일)

가입 문의
 서비스 가입 문의는 [email protected] 로 연락 주십시오



총 0개 내용
의견 쓰기

쉐어드IT의 가입은 쉽고 간단합니다. 지금 하시고 IT관리자들과 의견을 함께 나누세요