` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

Size: px

Start display at page:

Download "` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10"

정철 석
5 years ago
Views:

1 월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.

2 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 악성코드경유지현황 11 - 경유지탐지 업종별비율 악성코드은닉사례분석 13 - CKVIP 익스플로잇킷버전업그레이드 ( ) 를통한악성코드유포 13 - ActiveX를악용한악성코드유포 향후전망 48 - 악성코드유포방법및조치방안 48

3 1. 악성코드은닉동향요약 월간동향요약 악성코드취약점악용현황은 을이용한유형이 로가장높았고 순으로나타났다 취약점을악용한유형이 로가장높게 나타났으며 취약점 순으로나타났다 OLE(Object Linking and Embedding) : MS 社가개발한오브젝트시스템및프로토콜 악성코드유형으로는정보유출 금융정보 이 로가장높았으며 그외에도드롭퍼 다운로더 스미싱등으로나타났다 정보유출 금융정보 중중국블로그 에서파밍 를받아인증서탈취가 미국 사이트 접속하여 를파싱하여인증서탈취가 로나타났다 파밍 로악용되는국가는미국이 로가장높게나타났으며 일본 홍콩순으로나타났으며 및정보유출지등의국가로는미국이 로가장높게나타났다 구분내용상세취약점정보보안업데이트 CVE CVE e.cgi?name=cve security/bulletin/ms CVE 인터넷 익스플로러 취약점 CVE CVE CVE CVE CVE Internet Explorer 를사용하여특수하게조작된웹페이지에접속할경우원격코드실행허용 e.cgi?name=cve e.cgi?name=cve e.cgi?name=cve security/bulletin/ms security/bulletin/ms security/bulletin/ms CVE CVE e.cgi?name=cve security/bulletin/ms CVE

4 e.cgi?name=cve e.cgi?name=cve e.cgi?name=cve ename.cgi?name=cve e.cgi?name=cve e.cgi?name= security/bulletin/ms security/bulletin/ms security/advisory/ security/bulletin/ms security/advisory/ y/bulletin/ms CVE CVE CVE 동일 ID 속성원격코드실행취약점 ActiveX Exploit 취약점 Microsoft 비디오 ActiveX 컨트롤의취약점으로인해원격코드실행 me.cgi?name=cve gi?name=cve e.cgi?name=cve ity/bulletin/ms security/bulletin/ms ame.cgi?name=cve oducts/flash-player/apsb15-06.html ame.cgi?name=cve ducts/flash-player/apsb14-22.html Adobe Flash Player 취약점 CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE 메모리손상으로인한코드실행취약점 ame.cgi?name=cve me.cgi?name=cve me.cgi?name=cve me.cgi?name=cve me.cgi?name=cve me.cgi?name=cve me.cgi?name=cve oducts/flash-player/apsb15-05.html urity/advisories/apsa10-03.html urity/advisories/apsa11-02.html urity/bulletins/apsb11-21.html urity/bulletins/apsb12-03.html urity/bulletins/apsb12-18.html urity/bulletins/apsb13-04.html me.cgi?name=cve cts/flash-player/apsb14-13.html name.cgi?name=cve cts/flash-player/apsb14-22.html e.cgi?name=cve ucts/flash-player/apsa15-01.html 4

5 e.cgi?name=cve e.cgi?name=cve CVE CVE CVE e.cgi?name=cve e.cgi?name=cve CVE 드라이브바이다운로드 Java CVE e.cgi?name=cve 방식, JRE 샌드박스제한애플릿 CVE 우회취약점이용취약점 CVE e.cgi?name=cve CVE CVE CVE e.cgi?name=cve e.cgi?name=cve me.cgi?name=cve e.cgi?name=cve MS OLE 취약점 CVE Windows OLE 자동화배열 원격코드실행취약점 ename.cgi?name=cve MS Windows Windows Media 의취약점으로 CVE Media 취약점인한원격코드실행 e.cgi?name=cve Adobe reader Adobe Reader 에서비정상종료를 CVE (PDF) 취약점유발할수있는취약점 e.cgi?name=cve MS XML 취약점 CVE XML Core Services 의취약점 e.cgi?name=cve work/topics/security/javacpufe b html#patchtable /security/javacpujun html security/alert-cve html /security/javacpuoct html security/alert-cve html /security/javacpuapr html /security/javacpujun html /security/javacpujun html curity/bulletin/ms security/bulletin/ms y/bulletins/apsb10-07.html curity/bulletin/ms

6 2. 홈페이지은닉형악성코드통계 Information TIP o 악성코드은닉사이트란? 이용자 PC를악성코드에감염시킬수있는홈페이지로, 해킹을당한후악성코드자체또는악성코드를유포하는주소 (URL) 를숨기고있는것을말한다. 2.1 악성코드유포지현황 유포지탐지현황 년 월에악성코드유포지탐지및조치현황은다음과같다 악성코드유포지탐지는전월대비 건 건 증가하였다 [ 그림 1] 악성코드유포지탐지건수 6

대량경유지가탐지된유포지 년 월에대량경유지가탐지된유포지 은다음과같다 년 월유포지에의해탐지된경유지뿐만아니라기존탐지된유포지도 지속적으로경유지에악용되고있으나 차단 조치되어악성행위는유발시키지않는다 [ 그림 2] 대량경유지가탐지된유포지 Top 10 [ 표1] 대량경유지가탐지된유포지 순위 탐지일 유포지 국가 경유지건수 1 2015-05-01 http://xxxxxx.

7 대량경유지가탐지된유포지 년 월에대량경유지가탐지된유포지 은다음과같다 년 월유포지에의해탐지된경유지뿐만아니라기존탐지된유포지도 지속적으로경유지에악용되고있으나 차단 조치되어악성행위는유발시키지않는다 [ 그림 2] 대량경유지가탐지된유포지 Top 10 [ 표1] 대량경유지가탐지된유포지 순위 탐지일 유포지 국가 경유지건수 한국 한국 한국 한국 독일 한국 한국 한국 한국 한국 168 7

8 악성코드취약점및취약한 악용현황 애플릿취약점 취약점 취약점 취약점 등의취약점과복합적으로사용되었다 취약한 악용유형중 취약점이 의비율로가장높았으며 그이외에도 취약점 취약점등의순으로 를악용하였다 [ 그림 3] 악성코드취약점악용현황 [ 그림 4] 취약한 S/W 악용현황 8

악성코드유형별비율 악성코드유형중정보유출 금융정보 이 의비율로가장높았으며 그이외에도 원격제어 드롭퍼 금융사이트파밍등의악성코드유형이다양하게나타났다 [ 그림 5] 악성코드유형별비율 정보유출 ( 금융정보 ) : 공인인증서, 비밀번호등금융정보를탈취하는악성코드 드롭퍼 : 정상애플리케이션인것처럼배포된뒤실행되면악성코드를설치하는방식 다운로더 :

9 악성코드유형별비율 악성코드유형중정보유출 금융정보 이 의비율로가장높았으며 그이외에도 원격제어 드롭퍼 금융사이트파밍등의악성코드유형이다양하게나타났다 [ 그림 5] 악성코드유형별비율 정보유출 ( 금융정보 ) : 공인인증서, 비밀번호등금융정보를탈취하는악성코드 드롭퍼 : 정상애플리케이션인것처럼배포된뒤실행되면악성코드를설치하는방식 다운로더 : 추가악성코드를인터넷이나네트워크를통하여다운로드하여설치 스미싱 : 문자메시지와인터넷, 이메일등으로개인정보를알아내사기를벌이는피싱의합성어로스마트폰의소액결제방식을악용한신종사기수법 금융사이트파밍 : 운영체제에서제공하는호스트연결기능을악용한것으로정상호스트설정파일을악의적으로변경하여정상금융사이트방문시가짜금융사이트로연결 정보유출 (PC정보) : 이용자의 PC내의컴퓨터이름, MAC정보등을탈취하는악성코드 백도어 : 몰래컴퓨터에접속하여악의적인행위를할수있도록출입통로역할을해주는악성코드 9

위협 및도메인현황 년 월에위협 및도메인현황 은다음과같다 [ 그림 6] 파밍 IP 악용현황 [ 그림 7] C&C 및정보유출지악용현황 [ 표2] 파밍 IP / C&C 및정보유출지악용현황건순위파밍 IP 국가수건수 C&C 및정보유출지 1 121.115.XXX.

160.XXX.XXX 미국 3 5 43.249.XXX.XXX 홍콩 4 110.34.XXX.XXX 미국 2 6 23.89.XXX.XXX 미국 2 112.168.XXX.XXX 한국 2 7 98.126.XXX.XXX 미국 2 100.43.XXX.XXX 미국 2 8 107.

10 위협 및도메인현황 년 월에위협 및도메인현황 은다음과같다 [ 그림 6] 파밍 IP 악용현황 [ 그림 7] C&C 및정보유출지악용현황 [ 표2] 파밍 IP / C&C 및정보유출지악용현황건순위파밍 IP 국가수건수 C&C 및정보유출지 XXX.XXX 일본 XXX.XXX 미국 XXX.XXX 미국 XXX.XXX 미국 4 국가 건수 XXX.XXX 미국 XXX.XXX 한국 XXX.XXX 미국 XXX.XXX 미국 XXX.XXX 홍콩 XXX.XXX 미국 XXX.XXX 미국 XXX.XXX 한국 XXX.XXX 미국 XXX.XXX 미국 XXX.XXX 미국 XXX.XXX 미국 XXX.XXX 한국 XXX.XXX 미국 XXX.XXX 미국 XXX.XXX 미국 2 10

11 2.2 악성코드경유지현황 경유지탐지 업종별비율 년 월에악성코드경유지탐지 업종별유형은다음과같다 악성코드경유지탐지는전월대비 건 건 증가하였다 탐지된경유지는해당홈페이지운영자에게통보하여악성코드삭제및보안조치요청을수행 경유지업종별유형중교육학원학교 학회연구소 유학이가장높았고 엔터테인먼트 도서 생활 소셜커머스 게임 쇼핑순으로탐지가되었으며 이에대해삭제및보안조치요청을수행하였다 [ 그림 8] 경유지탐지현황 11

12 [ 그림 9] 경유지업종별현황 12

3. 악성코드은닉사례분석 익스플로잇킷버전업그레이드 을통한악성코드유포 정보유출 금융정보 http://365xxxx.

13 3. 악성코드은닉사례분석 익스플로잇킷버전업그레이드 을통한악성코드유포 정보유출 금융정보 난독화스크립트디코딩후 버전체크및취약점을악용하여악성코드다운로드 중략 13

14 버전체크 중략 추가 14

15 취약점 취약점 15

16 취약점 취약점 취약점 16

17 취약점 취약점 추가 17

18 취약점 wow/css/swfobject.js 사용에필요한라이브러리 중략 생략 18

19 wow/css/jquery min.js 사용에필요한라이브러리 생략 19

20 wow/css/index.js 사용에필요한라이브러리 생략 wow/css/ww.html 취약점을악용하여악성코드다운로드 20

21 중략 취약점 후 21

22 wow/css/main.html 난독화스크립트디코딩후 취약점을악용하여악성코드다운로드 중략 22

23 취약점 23

24 중략 24

25 25

악성코드파일 상세분석내용 악성코드행위 코드인젝션으로파밍이후 주소 공인인증서탈취를시도하는악성코드 네트워크상의악성행위 도메인 IP 용도상세내용 users.qzone.qq.com 43.249.82.

26 악성코드파일 상세분석내용 악성코드행위 코드인젝션으로파밍이후 주소 공인인증서탈취를시도하는악성코드 네트워크상의악성행위 도메인 IP 용도상세내용 users.qzone.qq.com 파밍 IP 정보유출 ( 금융정보 ) 운영체제상의악성행위 항목 내용 파일 - 악성코드실행시 cmd.exe 에코드인젝션시도 레지스트리 - 악성코드와인젝션된 cmd.exe 의자동실행을위해레지스트리등록 네트워크 26

27 - 특정사이트에접속해서특정정보를가져온후파밍 IP( , HK) 를포함한파일이다운로드 * 접속사이트 - 도메인 : users.qzone.qq.com - IP: , US - 프로토콜 : HTTP - URL: 27

100, HK - 프로토콜 : HTTP - URL: http://he8858.com/count.asp?

28 네트워크 - 특정 IP 에접속을시도하여 PC 정보 (MAC 주소 ) 를탈취 * 접속사이트 - 도메인 : he8858.com - IP: , HK - 프로토콜 : HTTP - URL: 레지스트리 - 인터넷익스플로러시작페이지를네이버 ( 로변경 네트워크 - 공인인증서 (NPKI) 폴더를찾아임시폴더에압축 28

29 네트워크 - 특정 IP 접속하여공인인증서 (NPKI) 압축파일전송 * 접속사이트 - IP: , HK - 프로토콜 : HTTP - URL: - URL: 29

를악용한악성코드유포 정보유출 금융정보 http://www.xxxxxxxbook.co.

30 를악용한악성코드유포 정보유출 금융정보 난독화스크립트디코딩후 버전체크및취약점을악용하여악성코드다운로드 중략 30

31 버전체크 중략 31

32 취약점 취약점 32

33 취약점 취약점 취약점 33

34 취약점 취약점 34

35 test_/asdf/xx/swfobject.js 사용에필요한라이브러리 중략 생략 35

36 test_/asdf/xx/jquery min.js 사용에필요한라이브러리 생략 test_/asdf/xx/ww.html 취약점을악용하여악성코드다운로드 36

37 중략 취약점 후 37

38 test_/asdf/xx/b.html 난독화스크립트디코딩후 취약점을악용하여악성코드다운로드 중략 38

39 취약점 39

40 40

41 중략 41

42 42

43 test_/asdf/xx/2.html 파일을악용하여악성코드다운로드 43

$174 파밍 IP 정보유출 ( 금융정보 ) 운영체제상의악성행위 항목 내용 파일 * 행위유형 : Create * 경로 : C:\nth\Config.ini * 경로 : C:\nth\Setup.exe * 경로 : C:\ 랜덤 \Config.$

44 악성코드파일 상세분석내용 악성코드행위 호스트파일변조를통해파밍 로유도하고 공인인증서탈취를시도하는악성코드 네트워크상의악성행위 도메인 IP 용도상세내용 파밍 IP 정보유출 ( 금융정보 ) 운영체제상의악성행위 항목 내용 파일 * 행위유형 : Create * 경로 : C:\nth\Config.ini * 경로 : C:\nth\Setup.exe * 경로 : C:\ 랜덤 \Config.ini * 경로 : C:\ 랜덤 \seting.xml * 경로 : C:\ 랜덤 \ 랜덤.exe 44

레지스트리 - 자동실행을위해레지스트리등록 * 행위유형 : Create *

45 레지스트리 - 자동실행을위해레지스트리등록 * 행위유형 : Create * 레지스트리키 : HKCU\Software\Microsoft\Windows\CurrentVersion\Run\TFM0N * 레지스트리값 : c:\ 랜덤 \ 랜덤.exe 행위설명 * 행위유형 : Create * 경로 : C:\WINDOWS\system32\drivers\etc\hosts ( 변조 ) * 경로 : C:\WINDOWS\system32\drivers\etc\hosts.ics ( 생성 ) 45

46 파일 * 파밍 IP: (US) 파일 - 공인인증서 (NPKI) 폴더를임시폴더에압축 46

네트워크 - 특정 IP 에접속을시도하지만접속이되지않음 * 접속사이트 - IP: 98.126.64.

* 접속사이트 - IP: 98.126.64.172, US - 프로토콜 : HTTP - URL: http://98.126.64.172:805/index.

47 네트워크 - 특정 IP 에접속을시도하지만접속이되지않음 * 접속사이트 - IP: , US - 프로토콜 : HTTP 네트워크 - 특정 IP 에접속하여공인인증서 (NPKI) 압축파일을보낸다. * 접속사이트 - IP: , US - 프로토콜 : HTTP - URL: * 접속사이트 - IP: , US - 프로토콜 : HTTP - URL: 47

48 4. 향후전망 악성코드유포방법 복합취약점을이용한악성코드유포지속 애플릿 취약점 등을복합적으로악용하여악성코드를유포시키는사례가나타나고있다 이용자가많은홈페이지악성코드유포지속 이용자가많은특정커뮤니티홈페이지등이용자수가많은홈페이지를통해악성코드가유포되었다 정보유출 금융정보 악성코드의다양한파밍 파싱기법 정보유출 금융정보 중중국블로그 에서파밍 를받아인증서탈취가 미국 사이트 접속하여 를파싱하여인증서탈취가 로나타났다 악성코드조치방안 개인및기업의조치보안방안 개인및기업은보안점검및보안패치등보안강화를통해금융정보유출및사이버공격에각별한주의를기울여야한다 웹취약점점검신청 : 홈페이지해킹방지도구 : 휘슬신청 : 개발시점의시큐어코딩을통한홈페이지구축권고 기업에서근본적으로홈페이지개발시점부터보안의식및시큐어코딩으로홈페이지를구축하고 주기적인취약점점검및패치를적용하여웹서버가해킹되지않도록사전에방지해야한다 48

49 최신보안업데이트권고 이용자는 윈도우의보안업데이트를항상최신상태로유지할것을권장하며 및 관련취약점에의해악성코드에감염되지않도록주의하여야한다 또한안티바이러스 백신을이용하여주기적으로점검하여야한다 윈도우최신보안업데이트적용 자동보안업데이트설정권장 MS 업데이트사이트 : ( 윈도우 7) 제어판 - 시스템및보안 - Windows Update 의취약점에대한보안업데이트적용 MS 보안업데이트 : 최신버전업데이트적용 최신버전 : Adobe Flash Player ( 최신버전업데이트적용 최신버전 : Java SE Runtime Environment 8u45 ( 49

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황