한국 인터넷 위협(요약) - 9월 4주차 By 빛스캔

0
0

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS 를 통해 탐지된 국내외 410여만개(2014년 10월 1일 기준)의 웹 서비스를 지속적으로 관찰하여 요약한 내용이다. 추석연휴가 포함되었던 금주에는 일부 악성코드의 활동이 있었지만, 전반적으로 한산한 모습을 보인 가운데, CK Exploit Kit의 버전이 v9.23으로 다시 업데이트 되었다. 업데이트 버전의 내부 스크립트를 분석한 결과, 지난 v8.20과 동일하게 신규 취약점이 삽입될 수 있는 비정상연결링크가 발견되었지만, 실제로 동작하진 않았다. 하지만, 공격자의 의도에 따라 해당 링크에 취약점이 삽입될 수 있기 때문에, 지속적인 체크가 필요하다. 금주부터는 중국의 국경절이 시작됨에 따라 악성코드의 활동도 차주까지 현재의 활동을 유지할 것으로 예상되기 때문에 한국 인터넷 위협 수준도 “관심” 단계를 유지한다.

주요 특징(Main Features)

  • 특이 동향 – 신규 경유지의 증가(파급력 감소)
    ■계절적 요인 – 추석 연휴 및 중국 국경절(10월 1일 ~ 7일)로 인한 악성코드 활동 감소
    ■CK Exploit Kit (v 9.23) 업데이트 – 비정상링크 확인(취약점 미삽입)
  • 유포 동향 – 404 Not Found, 카운터 링크 사이트 일부 발견
    ■특정 지방자치단체의 배너 광고를 내부에 악성링크 삽입
    ■XXXX일보, XX오디오 등
  • 금융 동향 – 금융정보 탈취를 위한 악성코드의 지속적인 활동
    ■ IP 대역을 활용한 파밍 악성코드 유포 및 금융정보 수집 정황 포착 – 탐지 우회

주간 동향(Weekly Trend)
enter image description here
[표 1. 9월 4주차 한국 인터넷 위협지수]
앞서 언급하였듯이 금주에는 추석 연휴가 있는 관계로 악성코드의 활동도 다소 한산한 모습을 보였다. 특히, 파급력은 신규 경유지에 증가에도 감소하는 모습을 보였는데, 그 요인으로는 404 Not Found와 카운터링크가 주로 활동 하였기 때문으로 분석되었다. 차주에는 중국의 국경절 연휴가 이어지기 때문에 금주와 비슷한 동향을 보일 것으로 예상된다.

enter image description here
[표 2. 9월 4주차 시간대별 통계]
시간대 별 통계를 살펴 보면, 화요일과 금요일 ~ 일요일 새벽까지 악성코드의 활동이 간헐적으로 발생했다.

enter image description here
[표 3. 최근 6주간의 악성링크 도메인 통계]

8월 4주차부터 9월 4주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국 69건(78.4%), 미국 7건(8.0%), 중국 2건(2.3%), 일본 2건(2.3%), 타이완 2건(2.3%), 베트남 1건(1.1%) 등으로 나타났다. 

주간 이슈(Weekly Issue)
enter image description here
[그림 1. 인터넷 XXXX일보 사이트에 삽입된 악성링크 – 9월 28일]

올해에도 공격자는 인터넷 사용시 방문자수가 높은 사이트에 유/무선 악성코드를 감염시키기 위해서 다양한 시도를 하고 있다. 9월 28일에도 XXXX일보 사이트의 내부 공용모듈에 악성링크가 삽입되어 해당 사이트를 방문하는 사용자에게 위협을 주었다. 해당 사이트는 주로 해외에서 거주하는 사람들에게 높은 인지도가 있는 것으로 알려져 있다. 게다가, 해외가 아닌 국내에서도 XX일보 홈페이지를 통해서 접속하게 할 수 있는 배너가 존재하기 때문에 국내 사용자도 악성링크에 노출됐었을 가능성도 있었다. XXXX일보에 삽입되어 연결된 악성링크는 금주 새롭게 버전이 업데이트 된 CK Exploit Kit (v 9.23)으로 확인이 되었고 이를 통해서는 파밍 악성코드가 다운로드된 것으로 분석되었다.

※ 보다 세부적인 사항은 동향 분석과 기술 분석 보고서를 참조하시기 바랍니다.

BITs Alert 서비스
소개
현재 빛스캔㈜은 국내외 410여만개(2014년 10월 1일 기준)의 웹 서비스들을 4년 이상 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 한다. 기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스다.

BITs Alert 서비스 구성

 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
 부가서비스(택 1)
 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플
❈ 악성코드 샘플은 별도 협의

서비스 상세
 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
 부가서비스:
 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

제공 시기
 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
 부가서비스 – 한국 인터넷 위협분석 – 주 1회(화요일)

가입 문의
 서비스 가입 문의는 [email protected] 로 연락 주십시오.

enter image description here빛스캔



총 0개 내용
의견 쓰기

쉐어드IT의 가입은 쉽고 간단합니다. 지금 하시고 IT관리자들과 의견을 함께 나누세요