한국 인터넷 위협 요약) - 1월 4주차 By 빛스캔

0
0

발행일: 2016년 1월 26일
한국인터넷 위협 수준: 주의

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS 를 통해 탐지된 국내외 410여만개(2014년 10월 1일 기준)의 웹 서비스를 지속적으로 관찰하여 요약한 내용이다.

금주에는 파밍 악성코드를 통한 금융정보의 대규모 유출이 확인되었고, 광고 배너를 통한 악성링크 삽입은 최소 5곳 이상 웹사이트에서 2주 연속으로 포착되었다.

특히, 광고 배너에서 발견된 악성링크는 유저에이전트(UA)에 따라 서로 다른 URL로 연결하는 모습을 새롭게 포착하였으며, 다만 최종 바이너리는 동일한 파일이 다운로드되는 것이 확인되었다.

금주에는 악성코드의 활동이 한산하였지만, 금융정보의 유출과 새로운 공격기법의 등장함에 따라서 한국 인터넷 위협은 “주의”로 유지한다.

주요 특징(Main Features)

  • 특이 동향 – 악성코드의 한산한 활동 (전체적인 수치 감소)
    ■ 유저에이전트에 따라 서로 다른 악성링크 연결
    ■ 기존 악성코드 유포지의 재활용 – 영화예매 사이트 등
    ■ 성인 사이트에 대한 집중적인 공격 – 3주 연속 악성링크 삽입
  • 유포 동향 – 광고배너를 통한 대량 악성코드 유포 – 2주 연속
    ■ 언론사, 파일공유(P2P), 포스(POS)단말기 사이트 등
  • 금융 동향 – 개인금융정보 관련 탈취 공격 지속
    ■ 개인금융정보 대량 유출 확인 – 12월부터 활동중인 공격자의 정보로 추정됨

주간 동향(Weekly Trend)

enter image description here
[표 1. 1월 4주차 한국 인터넷 위협 지수]

금주에는 신규 경유지 및 전체 발견된 유포지가 2주 연속으로 주는 모습을 보였다.
특히, 신규 경유지는 지난주보다 약 31%가 감소하였으나, 사용자의 방문이 높은 사이트에서 악성링크가 발견되었기 때문에 파급력은 일정 수준을 유지하는 결과가 나타났다.

enter image description here
[표 2. 1월 4주차 시간대별 통계]

시간대 별 통계를 살펴보면, 오전보다는 오후부터 새벽까지의 악성코드 활동이 가장 활발하게 포착되었다.

enter image description here
[표 3. 최근 6주간의 악성링크 도메인 통계]

12월 4주차부터 1월 4주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국 77건(92.8%), 미국 3건(3.6%), 네덜란드 2건(2.4%), 일본 1건(1.2%) 등으로 나타났다.

주간 이슈(Weekly Issue)
enter image description here
[그림 1. 스포츠XX 사이트의 광고배너에서 발견된 악성링크 – 2016년 1월 22일]

1월 22일, 스포츠XX 사이트 내부의 광고페이지에 악성링크가 삽입되어 해당 시간에 방문하는 사용자에게 영향을 주었다. 광고 페이지를 통한 특정 악성링크 삽입은 지난주부터 발견되었으며 모바일과 PC 페이지에 관계없이 동일한 위치에서 지속적으로 삭제와 반복된 것으로 분석되었으며, 해당 악성링크가 공용으로 들어간 만큼 피해는 더욱 컸을 것으로 추정되었다.

게다가, 발견된 광고배너에서 악성링크를 연결시 앞서 언급한 것과 같이 유저 에이전트에 따라 다른 URL로 연결하는 것도 확인되었고, 최종 바이너리를 연결하는 과정에서는 레퍼러체크 기능도 있는 것으로 분석되었다. 현재 스포츠XX 외에도 많은 사이트들이 동일한 광고 배너를 사용하고 있기 때문에 적절한 대응이 이뤄지지 않는 경우 피해는 지속적으로 발생할 것으로 보인다.

※ 보다 세부적인 사항은 동향 분석과 기술 분석 보고서를 참조하시기 바랍니다.

BITs Alert 서비스
소개
현재 빛스캔㈜은 국내외 410여만개(2016년 1월 1일 기준)의 웹 서비스들을 4년 이상 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 한다. 기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스다.

BITs Alert 서비스 구성

 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
 부가서비스(택 1)
 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플
❈ 악성코드 샘플은 별도 협의

서비스 상세
 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
 부가서비스:
 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

제공 시기
 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
 부가서비스 – 한국 인터넷 위협분석 – 주 1회(화요일)

가입 문의
 서비스 가입 문의는 [email protected] 로 연락 주십시오.



총 0개 내용
의견 쓰기

쉐어드IT의 가입은 쉽고 간단합니다. 지금 하시고 IT관리자들과 의견을 함께 나누세요