한국 인터넷 위협(xx성모병원 사례 포함) - 4월 2주차 By 빛스캔

0
0

발행일: 2016년 4월 12일
한국 인터넷 위협 수준: 주의

본 요약 보고서는 빛스캔㈜에서 운영하는 PCDS 를 통해 탐지된 국내외 410여만개(2014년 10월 1일 기준)의 웹 서비스를 지속적으로 관찰하여 요약한 내용이다.

지난 주에 이어 금주부터 장비 탐지를 우회하기 위한 공격이 본격적으로 시작되었다. 공격 방식은 지난주와 동일하게 User-Agent(JAVA, IE, Adobe Flash Player)와 연관된 취약점으로 연결하는 방식을 사용하였고, 최종 바이너리는 모두 동일한 파밍 악성코드로 연결하는 것으로 분석되었다.

그 외에도 단축 URL을 활용한 기법과 파밍 사이트의 리뉴얼 등 공격 형태가 다양화되었다. 금주에는 신규 경유지를 활용한 공격이 감소하였지만, 다양한 공격이 등장하였기 때문에 한국 인터넷 위협은 “주의”로 유지한다.

주요 특징(Main Features)

  • 특이 동향 – 신규 경유지의 감소 (2주 연속)
    ■ CK Exploit Kit (v3.27) 공격 형태의 변화 – 장비 차단 우회 목적
    ■ 단축 URL을 활용한 악성링크 삽입
    ■ 레퍼러체크 기법을 이용한 공격기법 확대
  • 유포 동향 – 광고배너, 병원, 게임, 택배, Cloud 서비스 이용 사이트에서의 악성코드 유포
    ■ X게임, XX성모병원 모바일 페이지, 아XX, XXX택배 등
  • 금융 동향 – 파밍 사이트 리뉴얼, 맥주소 탈취 등

주간 동향(Weekly Trend)
enter image description here
[표 1. 4월 2주차 한국 인터넷 위협 지수]

4월 2주차에도 신규 경유지의 활동은 감소한 것으로 집계되었다. 하지만, 부진한 활동에도 불구하고, 파급력은 2,400 정도의 수치를 기록하였는데, 그 이유로는 공격 형태의 변화와 단축 URL을 활용한 공격이 등장한 것으로 보인다.

게다가, 사용자의 방문이 많은 사이트에서의 악성코드 유포가 지속적으로 발견된 것도 파급력 수치에 영향을 준 것으로 분석되었다.

enter image description here
[표 2. 4월 2주차 시간대별 통계]

시간대 별 통계를 살펴보면, 계속해서 평일에 집중적인 악성코드의 활동이 나타났고, 주말에는 한산했던 것으로 집계되었다.

enter image description here
[표 3. 최근 6주간의 악성링크 도메인 통계]

3월 2주차부터 4월 2주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국 56건(86.2%), 미국 4건(6.2%), 홍콩 2건(3.1%), 싱가포르 2건(3.1%), 이탈리아 1건(1.5%) 등으로 나타났다.

주간 이슈(Weekly Issue)

enter image description here
[그림 1. XX성모병원 모바일 홈페이지에 업로드 된 바이너리 – 4월 8일]

4월 1일, XX성모병원의 모바일 홈페이지에 파밍 바이너리가 업로드되어 최종 다운로드지로 활용되는 정황이 포착되었다.

XX성모병원에 업로드 된 바이너리는 파밍 악성코드로 확인되었고, 바이너리 감염시에 PC의 Mac 주소와 저장된 공인인증서 탈취하여 공격자 서버에 전송하는 활동도 관찰되었다.

더욱 우려되는 것은 최종 다운로드지로 활용된 곳이 병원홈페이지라는 점이다. 병원 같은 경우에는 실생활에 밀접한 관계가 있고, 내부에 환자 및 의료 정보 등 다양한 정보가 있기 때문에 보안에 대해서는 철저해야 한다.

하지만, XX성모병원 같은 경우에는 공격자가 바이너리를 업로드 했다는 것은 이미 내부의 권한이 넘어간 상태로 볼 수 있다. 즉 내부와 연결이 되어 있다면 의료유출과 같은 2차적인 피해가 일어 날 수 있다는 것이다.

작년에도 크고 작은 의료에 관련된 사이트가 악성코드 유포지/경유지로 활용되어 많은 의료인증서가 유출되는 사례가 있었기 때문에, 해당 사이트에서는 빠른 조치가 필요할 것으로 보인다.

※ 보다 세부적인 사항은 동향 분석과 기술 분석 보고서를 참조하시기 바랍니다.

BITs Alert 서비스
소개
현재 빛스캔㈜은 국내외 410여만개(2016년 1월 1일 기준)의 웹 서비스들을 5년 이상 웹사이트를 통해 발생되는 대량 감염시도와 워터링홀 공격을 실시간으로 탐지하여, 고객사의 도메인과 관련 서비스가 악성코드 유포지 및 경유지로 이용되는 것을 정보 전달 해 주는 서비스이며 매주 2000~3000여개의 웹서비스가 악성코드 유포에 직접 이용되고 있는 현실을 개선하고자 한다. 기본으로 한국 인터넷 위협에 대한 주간 단위 분석 자료를 추가 정보로 전달 하는 서비스다.

BITs Alert 서비스 구성

 공통: 악성링크 활용 여부 및 악성코드 유포 여부 정보제공
 부가서비스(택 1)
 스탠다드 – 한국 인터넷 위협 요약, 동향분석, 기술분석
 엔터프라이즈 – Daily base C&C 정보, 한국 인터넷 위협 요약, 동향분석, 기술분석, 전문분석, 좀비PC탐지정보, 악성코드 샘플
❈ 악성코드 샘플은 별도 협의

서비스 상세
 고객사를 통한 악성코드 감염시도, 악성링크 활용 여부 상시 제공(이메일 또는 전화)
 부가서비스:
 한국 인터넷 위협 요약 – 한 주간의 공격 동향 및 새로운 공격 형태 정보 요약
 한국 인터넷 위협 분석(동향) – 월 최소 4회 제공
 한국 인터넷 위협 분석(기술) – 공격 기법 및 구조 분석 제공
 좀비PC탐지정보 – APT 및 DDoS 관련 정보제공, 매일 제공 (엔터프라이즈)

제공 시기
 상시 – 악성코드 유포 및 악성링크 활용 시점 인지 시마다 상시 제공
 부가서비스 – 한국 인터넷 위협분석 – 주 1회(화요일)

가입 문의
 서비스 가입 문의는 [email protected] 로 연락 주십시오.


0
0

감사합니다!~


총 1개 내용
의견 쓰기

쉐어드IT의 가입은 쉽고 간단합니다. 지금 하시고 IT관리자들과 의견을 함께 나누세요