< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지

Size: px

Start display at page:

Download "< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지"

순창 방
6 years ago
Views:

1 월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 침해사고대응단 인터넷침해대응센터

2 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지內악성코드미조치현황 악성코드은닉사례분석 16 - 주요방송, 언론사를이용한악성코드유포 금융사이트파밍 16 - DDoS 공격을유발하는악성코드유포 => DDoS 공격 23 - MS IE Zero-day 취약점 (CVE ) 이용한악성코드유포 다운로더 향후전망 50 - 악성코드유포방법및조치방안 50

3 월간동향요약 월홈페이지를통해유포된악성코드는 가다운로더이며 그외원격제어 금융사이트파밍 드롭퍼등으로파악되었다 또한 애플릿 취약점을복합적으로이용하여악성코드를유포하는것으로분석되었다 인터넷익스플로러취약점 Adobe Flash Player 취약점 Java 애플릿취약점 구분내용상세취약점정보보안업데이트 name.cgi?name=cve cgi?name=cve CVE CVE cgi?name=cve CVE CVE Internet Explorer 를사용 cgi?name=cve CVE 하여특수하게조작된 CVE 웹페이지를볼경우 cgi?name=cve CVE 원격코드실행허용 CVE cgi?name=cve CVE cgi?name=cve name.cgi?name=cve name.cgi?name=cve CVE 동일 ID 속성원격코드실행취약점 me.cgi?name=cve CVE ActiveX Exploit 취약점 me.cgi?name=cve CVE Microsoft 비디오 ActiveX 컨트롤의취약점으로인해원격코드실행 me.cgi?name=cve CVE CVE CVE CVE CVE CVE 메모리손상으로인한코드실행취약점 드라이브바이다운로드방식, JRE 샌드박스제한우회취약점이용 MS Windows Media취약점 CVE Windows Media 의취약점으로인한원격코드실행 Adobe reader (PDF) 취약점 CVE Adobe Reader 에서비정상종료를유발할수있는취약점 MS XML 취약점 악성코드은닉동향요약 XML Core Services 의취약점 me.cgi?name=cve me.cgi?name=cve me.cgi?name=cve me.cgi?name=cve me.cgi?name= me.cgi?name= me.cgi?name= me.cgi?name= me.cgi?name= me.cgi?name= me.cgi?name= me.cgi?name=cve me.cgi?name=cve me.cgi?name= me.cgi?name=cve cgi?name=cve me.cgi?name= ecurity/bulletin/ms kr/security/bulletin/ms rity/advisories/apsa11-02.html rity/bulletins/apsb11-21.html rity/bulletins/apsb12-03.html rity/bulletins/apsb12-18.html rity/bulletins/apsb13-04.html /topics/security/javacpufeb html#PatchTable s/security/javacpujun html security/alert-cve html s/security/javacpuoct html security/alert-cve html s/security/javacpuapr html s/security/javacpujun html -kr/security/bulletin/ms curity/bulletins/apsb10-07.html r/security/bulletin/ms

4 홈페이지은닉형악성코드통계 Information TIP o 악성코드은닉사이트란? 이용자 PC 를악성코드에감염시킬수있는홈페이지로, 해킹을당한후악성코드 자체또는악성코드를유포하는주소 (URL) 를숨기고있는것을말한다. o 악성코드은닉사이트는크게유포지와경유지로구분된다. 유포지 : 홈페이지이용자에게악성코드를직접유포하는홈페이지 경유지 : 홈페이지방문자를유포지로자동연결하여악성코드를간접유포하는홈페이지 유포지탐지 국가별현황 년 월에악성코드유포지탐지및조치현황은다음과같다 악성코드유포지탐지는전월대비 건 건 증가하였다 악성코드유포지국가별로는한국 미국 체코순으로나타났다 유포지탐지 유포지국가별현황 - 2 -

대량경유지가탐지된유포지 년 월에대량경유지가탐지된유포지 은다음과같다 순위탐지일유포지국가경유지건수 1 2013.11.19 http://www.xxxxx.co.kr/data/index.html 한국 43 2 2013.11.13 http://xxx.xx.xxx.xxx/css/ad.html 한국 18 3 2013.09.26 http://www.xxxxxxx.

5 대량경유지가탐지된유포지 년 월에대량경유지가탐지된유포지 은다음과같다 순위탐지일유포지국가경유지건수 한국 한국 한국 한국 한국 한국 미국 한국 미국 한국 5-3 -

6 악성코드유형별비율 악성코드유형중다운로더가 의비율로가장높았으며 그이외에도원격제어 금융사이트파밍 드롭퍼등의악성코드유형이다양하게나타났다 드롭퍼 : 자체적인확산기능은가지고있지않으나, 취약점을이용하여유포된뒤실행되는악성코드 금융사이트파밍 : 악성코드를이용자의컴퓨터에감염시켜정상금융사이트에접속해도가짜금융사이트로강제접속되도록하여금융정보탈취 다운로더 : 추가악성코드를인터넷이나네트워크를통하여다운로드하여설치 악성코드취약점유형별비율 애플릿취약점 취약점 취약점 취약점 취약점 등의취약점과복합적으로사용되었다 - 4 -

악성코드수집및분석결과 년 월에악성코드수집내역과분석결과는다음과같다 악용되는취약점은 취약점 애플릿취약점 취약점 취약점 취약점의 가지형태로구성되어있다 No 탐지일유포지국가취약점악성코드유형 1 11.

7 악성코드수집및분석결과 년 월에악성코드수집내역과분석결과는다음과같다 악용되는취약점은 취약점 애플릿취약점 취약점 취약점 취약점의 가지형태로구성되어있다 No 탐지일유포지국가취약점악성코드유형 한국직접다운로드다운로더 한국 DDoS 및원격제어 - 5 -

8 한국 드롭퍼 한국 원격제어 미국 CVE CVE 원격제어 한국직접다운로드다운로더 한국 DDoS 및원격제어 한국 다운로더 ml 한국 다운로더 - 6 -

9 ex.html 한국 DDoS 및원격제어 한국직접다운로드금융사이트파밍 tml 한국 html 한국 한국 미국 한국 원격제어드롭퍼원격제어다운로더금융사이트파밍 - 7 -

10 한국직접다운로드다운로더 중국 한국 원격제어 드롭퍼 한국 직접다운로드 다운로더 ex.html 일본 드롭퍼 미국 원격제어 미국 ml 원격제어 한국 tml 금융사이트파밍 - 8 -

11 일본 CVE 다운로더 중국직접다운로드원격제어 한국 금융사이트파밍 ndex.html 한국 드롭퍼 미국 다운로더 pg 대만 직접다운로드 다운로더 한국 드롭퍼 미국 다운로더 - 9 -

12 /ad/404.html 한국 드롭퍼 한국 윈도우권한상승공격툴 미국 한국 한국 드롭퍼 원격제어 금융사이트파밍 /index.html 한국 금융사이트파밍

13 한국 한국 한국 금융사이트파밍 금융사이트파밍 금융사이트파밍 한국직접다운로드온라인게임계정탈취 한국 html 한국 원격제어 다운로더

14 한국 한국 미국 직접다운로드 한국 드롭퍼원격제어 DDoS 공격용 IRC 봇소스코드금융사이트파밍

경유지업종별유형중일반기업이가장높게나왔으며 쇼핑 음식 숙박 관광 교육 학원 개인홈페이지 블로그

15 경유지탐지업종별비율 년 월에악성코드경유지탐지업종별유형은다음과같다 악성코드경유지탐지는전월대비 건 건 증가하였다 탐지된경유지는해당홈페이지운영자에게전화 메일을통해악성코드삭제및보안조치요청을수행 경유지업종별유형중일반기업이가장높게나왔으며 쇼핑 음식 숙박 관광 교육 학원 개인홈페이지 블로그 갤러리등의순으로탐지가되었으며 이에대해삭제및보안조치요청을수행하였다 경유지탐지 경유지업종별유형

16 경유지 악성코드미조치현황 구분 탐지일시 경유지 업체명 1 10월 30일 yuricnc.co.kr 유리씨앤씨 2 ip2u.co.kr 대산특허법률사무소 3 cschemical.co.kr 씨에스케이칼 4 xn--o39aj3t1khk5h.net 가족사랑 5 dryoung.co.kr 백정신과 6 10월 28일 synnic.com.ne.kr 신인철의홈페이지 7 rdcoach.com 리딩코치 8 isaac.com.ne.kr 아이작의행복한가족 9 chptech.co.kr ( 주 ) 씨에이치피테크 10 ideaimage.com 이상건축 11 10월 26일 dacs6116.co.kr 대우콤프레샤 ( 주 ) 12 piscom.co.kr 가능정보시스템 10월 21일 13 topbohum.pe.kr 14 topbohum2.pe.kr 인스라임 15 topbohum.co.kr 16 k2c.co.kr 케이투씨 10월 20일 17 fains.co.kr 화인스 18 nkorea.or.kr 북한연구소 19 topbohum3.pe.kr 인스라임 20 10월 15일 hycu.com.ne.kr 더플 (hycu) 21 kangto.co.kr 강토중공업 ( 주 ) 10월 12일 22 taxkoreana.kr 텍스코리아나 23 10월 11일 queen.co.kr 매거진플러스 24 ch70000.dominohosting.kr 여우비 25 10월 06일 my.import.or.kr 한국수입업협회 26 me2love.dothome.co.kr 미투러브 27 10월 05일 koreatransport.com ( 주 ) 케이티엠에스 28 nongam.com 농암선생유적지분강촌 10월 04일 29 sunmorae.net 썬모래투어 30 9월 30일 smgold.kr 슈퍼맨골드 31 9월 27일 romanopark.net 바부곰도리통블로그 32 9월 26일 myungmin.com 명민시스템 33 9월 24일 inexia.co.kr 넥시아코리아 34 9월 21일 ehome.pe.kr 개인홈페이지 ( 홍일 ) 35 melon2.dothome.co.kr 멜론넷 9월 12일 36 sindomembership.com 대한불교조계종신도멤버십 37 9월 06일 maldives.co.kr ( 주 ) 천도관광 38 9월 04일 myfolder.net 마이폴더 39 9월 02일 romanopark.net:82 로마노팍 40 8월 15일 yakuto.net 울토리 41 8월 14일 ilcacao.co.kr 일카카오 42 8월 11일 busan.ubf.or.kr 부산UBF

17 43 hanjinrope.com 한진종합상사 7월 04일 44 admd.kr 명동광고 45 5월 31일 jigutv.com 지구전자통신 46 5월 29일 pungkyung.kr 풍경펜션 47 4월 19일 texbank.co.kr ( 주 ) 두리에프앤비 48 dioforum.com ( 주 ) 디오프롬 4월 18일 49 yegacompany.net 예가컴퍼니 50 4월 14일 mskoreahotfix.com 명신인터내셔널 51 4월 13일 filebus.co.kr ( 주 ) 에스아이미디어 52 4월 07일 flowerhee.co.kr 킹덤플라워 53 4월 04일 osungtel.com 오성통신 54 4월 02일 yypc.co.kr ( 주 ) 야인정보통신 55 4월 01일 duzonbiz.co.kr ( 주 ) 더존비즈아카데미 56 3월 30일 idincom.com ( 주 ) 아이딘컴 57 kapwoo.com 갑우닷컴 58 3월 21일 dowootrc.com ( 주 ) 도우티알씨 59 komex-inc.com 코멕스아이엔씨 60 gguggo.co.kr 꾸꼬뽀꼬숯불치킨 3월20일 61 manmin.re.kr 만민고시텔 62 renewchurch.maru.net 천호동교회 3월 18일 63 msarang.co.kr 엠사랑 64 3월 14일 chry.pe.kr 유리향기 65 saehwametal.co.kr 세화금속 2월 26일 66 webto.co.kr 웹투프로모션 67 1월 24일 motorsline.co.kr 한양엔지니어링 개월이상악성코드삭제조치가이루어지지않은업체에대해서는공문을각해당업체로발송하여계도 조치할예정이다

악성코드은닉사례분석 11월악성코드이슈 년 월수집된악성코드샘플을분석한결과 애플릿취약점 종 취약점 종 취약점 종을복합적으로악용하여악성코드를유포하는형태가 로가장높게나타났다 홈페이지를통한악성코드유포가지속되고있으며 그형태도다양하게나타나주의를요하는상황이다 특히이용자가많은국내주요방송

18 악성코드은닉사례분석 11월악성코드이슈 년 월수집된악성코드샘플을분석한결과 애플릿취약점 종 취약점 종 취약점 종을복합적으로악용하여악성코드를유포하는형태가 로가장높게나타났다 홈페이지를통한악성코드유포가지속되고있으며 그형태도다양하게나타나주의를요하는상황이다 특히이용자가많은국내주요방송 언론사및웹하드를이용하는악성코드유포가지속되고있다 해당악성코드는사용자의금융정보를탈취하는파밍 공격을유발하는악성코드로개인및기업은보안점검및보안패치등각별한주의를기울여야한다 악성코드유형으로는다운로더가 로가장높았으며 그이외에도원격제어 금융사이트파밍 드롭퍼등으로나타났다 주요방송 언론사를이용한악성코드유포 금융사이트파밍

19 난독화스크립트디코딩후 버전체크및취약점을악용하여악성코드다운로드 중략 취약점 중략 취약점 중략 취약점 중략 취약점 중략 취약점 중략

20 취약점 중략 취약점 중략 취약점 중략 버전체크 중략 /swfobject.js 사용에필요한라이브러리 중략 생략

21 /jpg.js 사용에필요한라이브러리 생략 /HyxOm3.html 난독화스크립트디코딩후 코어취약점을악용하여악성코드다운로드 코어취약점

22 중략 중략 /gpzoo0.html 난독화스크립트디코딩후 코어취약점을악용하여악성코드다운로드 코어취약점 중략 중략

23 중략

악성코드파일 상세분석내용 개요 파밍공격수행과함께공인인증서유출악성코드다운로드 네트워크상의악성행위 도메인 용도상세내용 1exus.com 118.109.89.114, 119.242.17.167 122.135.90.171 파밍 파밍공격 IP decois.

24 악성코드파일 상세분석내용 개요 파밍공격수행과함께공인인증서유출악성코드다운로드 네트워크상의악성행위 도메인 용도상세내용 1exus.com , 파밍 파밍공격 IP decois.com/css/wuming.kor - 다운로더추가악성코드다운로드 wuming01.free3v.net 정보탈취공인인증서유출지 운영체제상의악성행위 항목 내용 아래 에 쿼리를하여파밍공격에이용될 를확보 아래 로접속하여공인인증서를유출하는추가파일다운로드 상세설명

25 공격을유발하는악성코드유포 공격 난독화스크립트디코딩후 버전체크및취약점을악용하여악성코드다운로드 중략 취약점 중략 취약점 중략 취약점 중략

26 취약점 중략 취약점 중략 취약점 중략 취약점 중략 취약점 중략 버전체크 중략

27 /swfobject.js 사용에필요한라이브러리 중략 생략 /jpg.js 사용에필요한라이브러리

28 생략 /DCAtFsh7.htm 난독화스크립트디코딩후 코어취약점을악용하여악성코드다운로드 코어취약점 중략 중략

29 /KiMDsg2.html 난독화스크립트디코딩후 코어취약점을악용하여악성코드다운로드 코어취약점 중략 중략 중략

30 악성코드파일 상세분석내용 개요 공격을유발하는악성코드다운로더 네트워크상의악성행위 도메인 용도 상세내용 원격제어 정보탈취 정보탈취 정보탈취 운영체제상의악성행위 항목 아래경로에악성코드생성 내용 생성된파일은실행된악성코드의복제본 서비스레지스트리를변조하여자동실행등록 상세설명 변경유형 파일 경로 자리여문자 변경유형 레지스트리 레지스트리키 명 레지스트리값

31 취약점 이용한악성코드유포 다운로더 버전체크 다양한언어팩 실행체크 방문을추적하기위해쿠키를사용

32 참조하는메모리를 로맞추고힙스프레이코드 를통해메모리상에올려진페이로드를실행 버전체크

33 - 31 -

34 - 32 -

35 - 33 -

36 국가 버전확인후대상선택 적합한조건시쉘코드실행

37 - 35 -

38 - 36 -

39 - 37 -

40 - 38 -

41 - 39 -

42 - 40 -

43 - 41 -

44 - 42 -

45 - 43 -

46 - 44 -

47 - 45 -

48 - 46 -

49 - 47 -

50 - 48 -

51 악성코드파일 상세분석내용 개요 동작이확인되지않는악성코드다운로더 네트워크상의악성행위 도메인 용도 상세내용 다운로더 추가악성코드다운로드 운영체제상의악성행위 항목 내용 암호화된 를읽은후복호화수행 복호화한악성코드를실행 상세설명

52 향후전망 악성코드유포방법및조치방안 애플릿취약점등을복합적으로악용하여악성코드를유포시키는사례가지속적으로나타나고있다 인터넷익스플로러 제로데이취약점을이용한워터링홀공격이탐지되었다 이는다중취약점을이용한악성코드유포방식으로호스트파일변조후파밍사이트로이동되면보안모듈로위장한악성코드가설치되어일반보안모듈과동일한형태로동작여부를묻는다 동작으로선택시 해커가구축한서버로사용자 에저장된공인인증서가탈취된다 홈페이지를통한악성코드유포가지속되고있으며 그형태도다양하게나타나주의를요하는상황이다 특히이용자가많은국내주요방송 언론사및웹하드를이용한악성코드유포가지속되고있으며 해당악성코드는사용자의금융정보를탈취하는파밍 공격을유발하는악성코드로개인및기업은보안점검및보안패치등각별한주의를기울여야한다 웹취약점점검바로가기 : 홈페이지해킹방지도구 : 휘슬바로가기 : 보호나라바로가기 : 년에발생한사이버테러의악성코드감염경로는대부분홈페이지를통해이루어졌으며 국내주요홈페이지들에대한공격시도는앞으로도지속될것으로예상된다 해당담당자들은홈페이지가더이상사이버테러에악용되지않도록홈페이지보안강화등을통해신뢰할수있는웹서비스를제공해야할것이다 기업및개인이용자는악성코드에감염되어개인정보유출 좀비로의전락등의피해를입지않도록주의하여야한다

53 기업에서근본적으로홈페이지개발시점부터보안의식및시큐어코딩으로홈페이지를구축하고 주기적인취약점점검및패치를적용하여웹서버가해킹되지않도록사전에방지해야한다 웹취약점점검서비스및웹보안강화도구 ( 휘슬 / 캐슬 ) 사용안내 : 이용자는 윈도우의보안업데이트를항상최신상태로유지할것을권장하며 및 관련취약점에의해악성코드에감염되지않도록주의하여야한다 또한안티바이러스 백신을이용하여주기적으로점검하여야한다 윈도우최신보안업데이트적용 자동보안업데이트설정권장 MS 업데이트사이트 : ( 윈도우7) 제어판 - 시스템및보안 - Windows Update 의취약점에대한보안업데이트적용 MS 보안업데이트 : 최신버전업데이트적용 최신버전 : Adobe Flash Player ( 최신버전업데이트적용 최신버전 : Java SE Runtime Environment 7u45 (

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.