< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

Size: px

Start display at page:

Download "< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B"

미원 윤
7 years ago
Views:

1 월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 침해사고대응단 인터넷침해대응센터

2 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉사례분석 11 - 제로보드 4.x 버전취약성을이용한악성코드유포 : 원격제어 11 - 신규 Java 애플릿취약점 () 을악용한악성코드유포 : 온라인게임계정탈취 향후전망 23 - 악성코드유포방법및조치방안 23

3 악성코드은닉동향요약 월간동향요약 인터넷익스플로러취약점 Adobe Flash Player 취약점 Java 애플릿취약점 MS Windows Media 취약점 MS XML 취약점 구분 내용 상세취약점정보 보안업데이트 vename.cgi?name=cve-2010 com/ko-kr/security/bulle tin/ms Internet Explorer를 CVE 사용하여특수하게 vename.cgi?name=cve-2010 com/ko-kr/security/bulle CVE 조작된웹페이지를 tin/ms CVE 볼경우원격코드 CVE vename.cgi?name=cve-2011 com/ko-kr/security/bulle 실행허용 tin/ms vename.cgi?name=cve-2012 com/ko-kr/security/bulle tin/ms CVE CVE CVE CVE CVE CVE 동일 ID 속성원격코드실행취약점 Microsoft 비디오 ActiveX 컨트롤의취약점으로인해원격코드실행 메모리손상으로인한코드실행취약점 드라이브바이다운로드방식, JRE 샌드박스제한우회취약점이용 Windows Media 의취약점으로인한원격코드실행 XML Core Services 의취약점 vename.cgi?name=cve vename.cgi?name=cve vename.cgi?name=cve vename.cgi?name=cve vename.cgi?name=cve vename.cgi?name=cve vename.cgi?name=cve vename.cgi?name=cve vename.cgi?name=cve vename.cgi?name= vename.cgi?name=cve vename.cgi?name=cve vename.cgi?name=cve com/security/bulletin/m S com/ko-kr/security/bulle tin/ms upport/security/advisorie s/apsa11-02.html pport/security/bulletins/a psb11-21.html upport/security/bulletins /apsb12-03.html pport/security/bulletins/a psb12-18.html echnetwork/topics/securi ty/javacpufeb html#PatchTable echnetwork/topics/securi ty/javacpujun html echnetwork/topics/securi ty/alert-cve html echnetwork/topics/securi ty/javacpuoct html com/ko-kr/security/bulle tin/ms com/ko-kr/security/bulle tin/ms

를숨기고있는것을말한다. o 악성코드은닉사이트는크게유포지와경유지로구분된다.

4 홈페이지은닉형악성코드통계 Information TIP o 악성코드은닉사이트란? 이용자 PC를악성코드에감염시킬수있는홈페이지로, 해킹을당한후악성코드자체또는악성코드를유포하는주소 (URL) 를숨기고있는것을말한다. o 악성코드은닉사이트는크게유포지와경유지로구분된다. 유포지 : 홈페이지이용자에게악성코드를직접유포하는홈페이지경유지 : 홈페이지방문자를유포지로자동연결하여악성코드를간접유포하는홈페이지 참고로, 탐지된국내및해외악성코드유포지는 KISA 에서삭제 / 차단조치한상태임 유포지탐지 유포지국가별현황 - 2 -

순위탐지일유포지국가경유지건수악용취약점 KISA 차단 / 조치 1 2012.11.09 http://www1.wsad123.asia//index.html 일본 133 2012.11.09 2 2012.10.31 http://www.tkantlf000.com/index.html 일본 56 2012.10.31 3 2012.11.05 http://www.

5 순위탐지일유포지국가경유지건수악용취약점 KISA 차단 / 조치 일본 일본 한국 중국 홍콩 일본 미국 22 CVE 한국 한국 CVE : 인터넷익스플로러취약점 : MS XML 취약점,,, : Java 애플릿취약점 : Adobe Flash Player 취약점 - 3 -

6 다운로더 : 추가적인악성코드를인터넷이나네트워크를통하여다운로드하여설치 드롭퍼 : 악성코드에포함된추가적인악성코드를설치 루트킷 : 루트권한을획득한공격자가심어놓은프로그램을숨기기위한목적으로사용되는프로그램 - 4 -

No 탐지일 유포지 국가 취약점 악성코드유형 1 11.01 http://www.popokl.com/jpg/index.

7 No 탐지일 유포지 국가 취약점 악성코드유형 미국 온라인게임계정탈취 미국 파일손상 ( 비정상파일 ) - 5 -

8 홍콩 홍콩 일본 한국 미국 한국 미국 tml 미국 파일손상 ( 비정상파일 ) 온라인게임계정탈취원격제어루트킷온라인게임계정탈취온라인게임계정탈취온라인게임계정탈취온라인게임계정탈취 - 6 -

9 홍콩 MOVIE_NEWS/v1ew.js 한국 x.html 미국 미국 /service.html 한국 홍콩 홍콩 온라인게임계정탈취온라인게임계정탈취온라인게임계정탈취다운로더온라인게임계정탈취다운로더다운로더 - 7 -

10 미국 호스트파일변조및금융사이트접속시추가악성코드생성 한국 파일손상 ( 비정상파일 ) 미국 CVE 파일손상 ( 비정상파일 ) 미국 CVE 온라인게임계정탈취 홍콩 tml 온라인게임계정탈취 한국 다운로더 태국 CVE 드롭퍼 태국 다운로더 한국 드롭퍼 - 8 -

11 한국 드롭퍼 - 9 -

12 탐지된경유지는해당홈페이지운영자에게전화 메일을통해악성코드삭제및보안조치요청을수행 경유지탐지 경유지업종별유형

13 악성코드은닉사례분석 11 월악성코드이슈

15 /swfobject.js /jpg.js

16 /JHKaCa3.html

17 VsPf7.html

18 - 16 -

20 - 18 -

21 /vbhw/swfobject.js /vbhw/jpg.js

22 /vbhw/ephoqmm6.html

23 /vbhw/awxsx0.html

24 - 22 -

25 향후전망 웹취약점점검서비스및웹보안강화도구 ( 휘슬 / 캐슬 ) 사용안내 : MS 업데이트사이트 : ( 윈도우7) 제어판 - 시스템및보안 - Windows Update MS 보안업데이트 : 최신버전 : Adobe Flash Player ( 최신버전 : Java SE Runtime Environment 7u9 (

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.