고급보안정보구독서비스 소개 국내외 210여만개 ( 국내 180만, 해외 30만 ) 웹사이트를통해발생되는대량감염시도와워터링홀공격을실시간으로탐지하여공격에대한이슈, 실제범위및미치는영향등을주간단위로분석하여제공하는정보제공서비스 서비스유형 l 브리핑요약 한주간의공격동향및새로운공격

Transcription

1 온라인위협동향 (OTIR) 연간보고서 (2013 년 )

2 고급보안정보구독서비스 소개 국내외 210여만개 ( 국내 180만, 해외 30만 ) 웹사이트를통해발생되는대량감염시도와워터링홀공격을실시간으로탐지하여공격에대한이슈, 실제범위및미치는영향등을주간단위로분석하여제공하는정보제공서비스 서비스유형 l 브리핑요약 한주간의공격동향및새로운공격형태정보요약 l 동향분석보고서 월최소 4회제공 l 기술보고서 공격기법및구조분석제공 l 좀비PC탐지정보 APT 및 DDoS 관련정보제공, 매일제공 l 제공해킹탐지 Alert 서비스 - PCDS에서탐지된악성 URL DB를활용하여해킹여부제공 제공시기 l 정기 - 주 1 회 ( 수요일 ) l 비정기 인터넷위협수준이 4 단계. 경고 이상일경우수시 무료구독자 l 주간브리핑요약 주간브리핑보고서의내용을 2 장분량으로요약제공 ( 정기 ) l 긴급정보제공 인터넷위협수준이 4 단계. 경고 이상일경우 ( 수시, 선별된정보만제공 ) 정기구독자 l 스탠다드 브리핑요약, 동향분석보고서, 기술분석보고서 l 엔터프라이즈 Daily base C&C 정보, 브리핑요약, 동향분석, 기술보고서, 전문분석, 좀비 PC 탐지정보, 악성코드샘플 악성코드샘플은별도협의 구독문의 l 무료신청을원하시는경우 info@bitscan.co.kr 로연락주십시오. l 정기구독및관련사항문의는 등록된이메일 을통해 info@bitscan.co.kr 로연락주십시오.

3 목 차 1. 악성코드연간은닉사이트동향 2 가. 연간인터넷위협동향 2 나. 2013년위협수준에따른관련이슈 3 다. 주요이슈및대응사례 3 라. 연간브리핑동향 5 1) 1월, 2월 5 2) 3월 5 3) 4월 5 4) 5월 5 5) 6월 6 6) 7월 6 7) 8월 6 8) 9월 7 9) 10월 7 10) 11월 7 11) 12월 8 2. 악성코드은닉사이트월간통계 8 가. 2012/2013 악성코드유포통계현황 9 나. 은닉사이트연간탐지비교동향 10 다. 국내경유지를활용하는주요유포사이트현황 탐지동향요약 11 1) 주요연간유포지주요국가별요약현황 11 2) 주요국가별현황연간요약통계 11 라. 주요감염취약점관련통계 12 1) 주요감염취약점연간동향 12 2) 취약점별 / 월간통계 12 3) 취약점세부정보 연간경유지가탐지된유포지 Top 악성코드자동공격화도구 악성코드은닉연간사례분석 17 가. 레드킷을통한악성코드유포 17 나. Caihong Vip Exploit (CVE ) 18 다. Gondad Pack - CVE 연간금융동향 향후전망 개선방안 30 [ 안내 ] 30

4 연간보고서 2013 년 No. BITSCAN-13 작성일 2014년 01월 26일작성자 Bitscan 빛스캔, Bitscan, 악성코드, 고급보안정보구독서비스, Online Threat Intelligence Report, 은 Keyword 닉사이트, 유포사이트, 유포지, 경유사이트, 경유지, OTIR, 2013년, 연례보고서, 연간보고서 연간보고서는매주발간되는 고급보안정보구독서비스 의주간브리핑, 기술분석, 동향분 석, 전문분석보고서와긴급상황시제공되는추가정보및관련보고서를취합하여각각의주 요특징을기술하였으며, 통계정보를수집분석하였다. 1. 악성코드연간은닉사이트동향가. 연간인터넷위협동향 1) 당사는 2013년도에모두 4번의위험한위기가있었다고분석하였다. 먼저, 사회적으로도많은이슈로떠올랐던 3.20 사이버테러와 6.25 사이버워가발생하였다. 당사는 3.20 발생이전 5일전에이상징후를탐지하여경보를발령했으며, 6.25 때도유사하였다. 하지만, 실제보안업계및관련기관에서는제대로대응하지못한면이많다고보여진다. 또한, 추석전후에발생가능할수있는위험과 11월말부터 12월초까지도유사한공격위험이발생할것으로추정되어관련기업및기관에축적된정보 ( 악성링크, MD5, C&C 정보 ) 등을무상으로제공하였다. 특히, 파밍과같이금융에관련된공격도 1월하순에포착하여알리고, 이문제해결에대한구체적인안을제시했음에도불구하고, 그피해는더욱더증가하였다. 결론적으로, 2013년도에는다양한보안문제의발생및확산이있지만, 대응적측면에서는너무나허술하였다고분석되었다. 1) 한국인터넷연간위협경보 - 2 -

5 나 년위협수준에따른관련이슈 최고단계인 심각 은실제사고가발생한상황을의미하는것으로, 예고나첩보수준에서는 경고 가가 장높은등급이며, 주의 는공격이심화될수있는직전의상태로높은수준의모니터링이필요한단계로 볼수있으며, 각단계별설명은다음과같다. l 1단계 ( 평시 ) 국내웹사이트에대한위협이적고, 네트워크활동에문제가없어보안적위협이없는상태 l 2단계 ( 관심 ) 국내웹사이트에대한공격위협징후포착 l 3단계 ( 주의 ) 국내주요웹사이트의유포통로를대량으로확보하는징후포착 l 4단계 ( 경고 ) 국내전반에대한공격진행시, 악성링크의비정상활동이진행되는상황및추가공격진행시 l 5단계 ( 심각 ) 국내주요기관에대한공격이발생, 국내보안에심각한상황발생시 다. 주요이슈및대응사례 제로데이의출현및피해확산 ~ IE (CVE ): 최초탐지 JAVA(CVE ): 최초탐지 1.27 최초파밍출현 1 월 4 주차기술분석보고서에기술 3.20 사이버테러 3.15 징후탐지및예고 3.20 ~ 26 추가대응 ( 악성파일 571 건, 분석정보 193 건, C&C 정보 137 종제공 ) - 3 -

6 6.25 사이버워 5.24~5.27 긴급정보공유 1차 바이너리 27종 - 동적분석정보 (27종의바이너리에대한동적분석 XML 파일 ) - 네트워크연결정보 (30여개이상 ) - 악성바이너리다운로드 IP 및도메인주소 ( 해외 21곳이상 ) 5.28~5.30 긴급정보공유 2차 바이너리 16종 - 동적분석정보 (13종의바이너리에대한동적분석 XML 파일 ) - 네트워크연결정보 (15개가량 ) - 악성바이너리다운로드 IP 및도메인주소 ( 해외 22곳이상 ) ~ 6.3 긴급정보공유 3차 바이너리 22종 - 동기간악성바이너리 18종 + 5월중발견된 Castov 유형 4종 - 총 22종 - 동적분석정보 -XML 파일 16종 6.4 추가대응 4차 - 새벽에다수의악성링크를통해동일한바이너리가다수유포된정황포착 ~190 [USA] 긴급차단및연결되는 PC 확인필요 ( 긴급차단이필요한 C&C의경우악성파일공유 ) 6.12 추가대응 5차 바이너리 42종 - 최대공격발생 - 약 4천개에달하는악성코드은닉사이트 - MalwareNet의활발한활동 : 최대 140여개웹사이트를보유한초대형 MalwareNet 출현및활동, 약 5-8개정도추정 ( 지속 ) 6.16 추가대응 6차 - 국내백신탐지우회및 VT 미보고된샘플 6.25 추가대응 7차 추석전후에심상치않은움직임포착및관련정보제공 9.25 긴급공유 2 차 C&C 정보 24 종 ( 공개 ) 11 월하순전후에심상치않은움직임포착및관련정보제공 ~ 긴급정보공유 1 차 긴급정보공유 2 차 - 4 -

7 라. 연간브리핑동향 2) 1) 1 월, 2 월 1 월과 2 월에는월간보고서가발간되지않은기간인관계로생략합니다. 2) 3 월 3.20일사이버테러가일어나기직전악성코드의활동이급격히늘어난정황이포착되었으며즉시수상한움직임에대한경고하였다. 하지만, 3.20 사이버테러는방송사를비롯한금융권에장애를일으키며상당한혼란을야기하였다. 또한, 사이버대란을이용한파밍사이트가등장하였으며사용자의금융정보유출후사용자의 PC 를파괴하는모습까지포착되었다. 당사는 3월 20일이후 26일까지긴급대응하여피해확산을방지하는데노력하였다. 3) 4 월 특정 IP대역에사전준비작업 ( 악성파일업로드 ) 을해두고, IP만수시로변경하여탐지를회피하고있는현상이관찰이되었으며공격자들이새로운감염통로개척하는등공격수준이 3.20 사이버테러이전으로정상화된것으로추정되며최종파일로는루트킷이발견되었으며국내에서는루트킷과파밍과함께공다팩, 레드킷, CK VIP가관찰되고있으며감염시키기위해 MalwareNet을활용하여감염시켰다. 또한, 특정 ISP( 홍콩 ) 의 C 클래스를통해악성코드유포뿐만아니라악성파일자체를업로드하여전통적인보안솔루션을손쉽게우회하고있어이에대한대비가필요하다. 4) 5 월 5월 1주부터 5월 2주차까지홍콩소재 C 클래스대역최소 10개에서 13개까지꾸준하게유포를하고있다. 지난 3.20 사이버테러직전에발생했던징후 ( 방송사이름을가진악성파일 ) 가 5월 3주차에나타나기시작했다. 특히, 감염이후 C&C 및접속자통계사이트로연결 ( 감염자통계를확인목적 ) 에이용된도메인이 kbsxxx, imbcxxx로활용된정황이발견되었으며 3.20 사이버테러직전의상황과유사하다고판단되어경보단계를 주의 로상향하였다. 5월 4주에매우비정상적인유포움직임이관찰되어관찰경보가 " 주의 " 에서 " 경고 " 로상향하였다. 그이유는전주에비해악성링크의수치및영향도가급격하게증가한것이관찰되었으며일시에 3~4개의 MalwareNet을생성하고총 80곳이상을경유지활용하였으며백신제품들에탐지되지않는악성코드를동시에감염시도하는정황이관찰되었기때문이다. 2) 각주마다나온주간브리핑지료를종합 - 5 -

8 5) 6 월 6월 1주 Cool Exploit Kit에서변형이된 Red Exploit Kit이등장하여국, 내외에서활발한활동을보였다. 6월 2주에는 5~6개의 MalwareNet을이용하여 80여곳도메인에서유포가발생하였다. 하지만, 6월 3주차에총 6번에걸친정보공유를통해대응한결과신규악성링크가감소한동시에파급력도함께감소했다. 하지만, 6월 4 주차에다시 MalwareNet의활동의증가로적게는 50여곳, 최대 200여곳에파급되는효과를가져왔다. 6) 7 월 6월 25일, 사이버테러가발생후신규악성링크의발생은현저히줄어들었다. 하지만, 영향받는웹사이트의복구가늦어지며주말에삽입되었던악성링크가평일까지유지되는모습을관찰하였다. 또한, 7월에활발했던공다팩의비율이점점감소하여 7월 4주차에는 CK VIP를이용한공격이다수발생하였다. 또한, tiancai.html, shifu.html, xiangnian.html를세트로한공격이일본도메인을이용하여유포하는모습도발견하였다. 그리고 7월 3주차에치음확인되었던 HTTPS( 특정포트 ) 를이용한공격이 7월 5주 HTTP URL과함께결합되어공격하는새로운형태가나타났다. 7) 8 월 8월 1주차난독화를활용하는 CK VIP Exploit Kit을이용하는비율이 80% 까지증가하였으며지속적으로특정포트를이용하는공격, 일본, 미국의도메인을이용한국내에서의유포현상이나타났다. 8월 2주차전체발견된악성링크는당사가관찰하였던기간중최고로낮은움직임을보였으며포털사이트를이용한파밍이 네이트 포탈까지활용된정황이관찰되었다. 8월 3주차에는다수의유포지를활용하여최종적으로다운로드되는악성코드가동일한형태로확인되었으며, 더불어특정한대상을타겟으로하는워터링홀공격도함께관찰되었다. 8월 4주차에는바이너리와연결된 C&C 서버를확인한결과, 감염된사용자에대한관리가이루어지는정황과함께추가적인바이너리에서는파밍악성코드와함께사용자 PC를원격에서제어하는모습도함께관찰되었다 - 6 -

9 8) 9 월 9월 1주차부터 2주차까지는 8월부터나타나기시작한, 최대 40개웹사이트를보유한 MalwareNet을활용하여최종적으로하나의악성코드로연결되는공격방식이더욱활발히나타났으며이들의목적은사용자의금융계좌를노린파밍악성코드로확인되었다. 또한, 9월 3주부터 4주차까지는멀티스테이지가 MalwareNet 과결합하여다수유포되는현상이나타났으며공격자는국내 IP 차단이어려운점을악용하여직접적인유포경로로국내사이트를이용하고, C&C 서버도국내서버를활용하는정황도발견되었으며, 추가다운로드된파일은파밍의기능과함께감염자정보를국내 C&C 서버로전송하는역할도관찰되었다. 9월 5주차에는전체발견된악성링크는 9월관찰기간중최저치를기록하였다. 더불어, 9/25( 수 ) 에 긴급의심정보공유 이후악성링크의활동은나타나지않는모습을보였다. 9) 10 월 10월 1주부터 10월 3주까지전체발견된악성링크와신규악성링크가감소세와증가를반복하였지만, 미치는영향은거의없는것으로관찰되었다. 하지만, 10월 2 주부터일부 P2P 사이트에서악성링크의유포를시작으로 10월 3주차에는그동안해외에서관찰되었던 IE 제로데이 (CVE ) 가 Caihong Exploit Kit에탑재되어불특정다수에게유포되고있는정황을관찰되었다. 하지만, 미치는영향은그리크지않은것으로분석되었다. 10월 4주차에는그동안나타나지않았던주요사이트를통한유포와공다팩이 9개의취약점을이용한유포와함께레드킷까지등장하여많은영향을주었다. 10) 11 월 전체적으로위협수준이크게증가한가운데, IE 제로데이를이용한공격이감소한반면, 공다팩의사용률은증가하였다. 특히, 악성링크에대한초기정보수집을차단하기위해시간차공격이 11월 2주부터지속적으로나타났으며국내서버를이용한공격도일부나타났다. 또한, 11월 3주부터는사용자의방문이많은파일공유 (P2P), 언론사이트를중점으로악성링크를직접유포하는모습이나타났으며그결과파급력은상당히높게나온것으로집계되었으며 11월 4주차에는임계치를넘어서는위협적인모습까지보였다

10 11) 12 월 12월악성링크, 바이너리, C&C 서버, IP 차단및탐지를회피하기위한잦은변화의움직임이지속된가운데언론사, 파일공유 (P2P), 광고링크사이트와같이영향력이높은사이트를통한악성코드유포가이루어졌으며 MalwareNet 또한활발한활동이나타났다. 유포된악성링크에서는 CVE 이단독으로쓰인악성코드도등장하였다. 또한, 꾸준히나타나고있는레드킷의일부바이너리링크는차단회피를위해 SkyDrive를이용하는정황도포착되었다

11 2. 악성코드은닉사이트월간통계 가. 2012/2013 악성코드유포통계현황 2013년전년도에비해악성코드의유포는전체적으로증가와함께꾸준히늘어났다. 특히, 3.20 사이버테러와 6.25 사이버워기간을전후로활발한활동을보였으며추석전후와 12월연말에도많은활동을보였다. 당사에서는다양한통계자료에근거하여 3.20 사이버테러, 6.25 사이버워전에사전경고한바있다. [ 표 /2013 악성코드유포통계 ] - 9 -

12 나. 은닉사이트연간 3) 탐지비교동향 악성링크수집기술은해외에서는구글 ( 스탑배드웨어 ) 가독보적인성과를보이고있으며, 노턴, 맥아피와같은백신벤더들이운영하는서비스들이다수있다. 국내에서는한국인터넷진흥원 (KISA) 가수년째 McFinder라는탐지체계를개발하여운영하고있으며, 2013년도 1월부터는윈스테크넷도 ScanWeb이라는웹사이트를통해악성사이트의진단및통계치를제공하고있다. 빛스캔은지난 2008년도부터국내웹사이트를대상으로모니터링을시작하였으며, 현재약 210만개 ( 국내 180만개, 해외 30만개 ) 의웹사이트를모니터링하고있다. [ 표 2. 은닉사이트연간탐비비율비교 ] 비교에이용된데이터는아래의자료를참고하였다. 출처 / 자료명 출 처 빛스캔 자체보고서활용 KISA ( 동향자료실 ) 윈스테크넷 ( 전체통계 ) 3) 악성코드은닉사이트 : 이용자 PC 를악성코드에감염시킬수있는홈페이지를말하며, 일반적으로해킹을당한이후에악성코드를자체유포하거나다른사이트로유도하여악성코드에감염될수있는경유지 URL 을포함한웹사이트

13 다. 국내경유지를활용하는주요유포사이트현황 탐지동향요약 1) 주요연간유포지주요국가별요약현황 2013년주요유포지국가를살펴보면국내도메인을이용하여유포한모습이가장많이나타났다. 그이유로는국내도메인의차단이어렵다는점을악용한것으로보인다. 그뒤로는미국도메인을통한악성코드유포가뒤따랐으며일본을도메인을이용한모습도다수나타났다. 2) 주요국가별현황연간요약통계 국가 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월 한국 61 건 109 건 140 건 131 건 210 건 122 건 194 건 40 건 144 건 165 건 미국 66 건 129 건 51 건 340 건 40 건 33 건 16 건 8 건 47 건 141 건 중국 23 건 7 건 0 건 0 건 0 건 0 건 0 건 0 건 0 건 1 건 홍콩 0 건 5 건 80 건 2 건 2 건 4 건 0 건 0 건 4 건 6 건 일본 6 건 27 건 0 건 62 건 94 건 34 건 22 건 0 건 2 건 5 건 기타 9 건 10 건 18 건 172 건 1 건 6 건 2 건 0 건 50 건 99 건 전체합계 ( 건 ) 165 건 287 건 289 건 707 건 347 건 199 건 234 건 48 건 247 건 417 건 [ 표 3. 주요국가별현황연간통계 ] 주요국가별현황월간요약 0 0 [ 표 4. 주요국가별현황월간요약 ]

14 라. 주요감염취약점관련통계 1) 주요감염취약점연간동향 2013년다양한취약점이등장한가운데 3월부터 6월까지발견된취약점의개수가증가하는모습을보였다. 특히, 6월에는레드킷, CK VIP, 공다팩이복합적으로등장한결과최고치를기록하였으며그이후취약점발견횟수는증가와감소를반복하는모습으로나타나고있다. 2) 취약점별 / 월간통계 CVE 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 CVE 건 207건 265건 472건 204건 113건 178건 69건 163건 190건 CVE 건 138건 259건 475건 213건 197건 203건 69건 163건 190건 CVE 건 138건 250건 473건 213건 197건 203건 69건 163건 190건 CVE 건 138건 250건 473건 213건 197건 203건 69건 163건 190건 CVE 건 130건 256건 470건 204건 112건 178건 48건 150건 190건 CVE 건 129건 250건 470건 204건 113건 179건 48건 150건 190건 CVE 건 129건 259건 472건 204건 113건 179건 48건 150건 190건 CVE 건 129건 250건 471건 204건 113건 179건 48건 150건 190건 CVE 건 0건 0건 3건 9건 88건 25건 21건 13건 0건 CVE 건 0건 0건 0건 0건 0건 0건 21건 13건 2건 CVE 건 0건 0건 0건 0건 0건 0건 19건 150건 190건 CVE 건 0건 133건 232건 0건 1건 1건 0건 0건 0건 CVE 건 0건 0건 0건 2건 0건 0건 0건 0건 0건 CVE 건 0건 118건 0건 2건 0건 0건 0건 0건 0건 CVE 건 0건 0건 0건 2건 0건 0건 0건 0건 0건 CVE 건 0건 119건 0건 2건 0건 0건 0건 0건 0건 전체합계 ( 건 ) 972건 1,138건 2,439건 4,011건 1,674건 1,248건 1,528건 529건 351건 1,712건 [ 표 5. 주요취약점별 / 월간통계 ]

15 3) 취약점세부정보 항목취약점내용세부정보패치정보출현시기 re.org/cgi-bi Adobe 메모리손상으로 e.com/support/s CVE 인한코드실행 n/cvename.cgi 2013년 2월 7일 Flash Player 취약점 ecurity/bulletins/?name=cve apsb13-04.html Java Applet Java Applet Java Applet Java Applet Java Applet Java Applet Java Applet Java Applet CVE CVE CVE CVE CVE CVE CVE CVE 드라이브바이다운로드방식, JRE 샌드박스제한우회취약점이용 re.org/cgi-bi n/cven ame.cgi?name =CVE re.org/cgi-bi n/cven ame.cgi?name =CVE re.org/cgi-bi n/cven ame.cgi?name =CVE re.org/cgi-bi n/cven ame.cgi?name =CVE re.org/cgi-bi n/cven ame.cgi?name =CVE re.org/cgi-bi n/cven ame.cgi?name =CVE re.org/cgi-bi n/cvename.cgi?name=cve re.org/cgi-bi n/cvename.cgi e.com/technetwo rk/topics/securit y/alert-cve html e.com/technetwo rk/topics/securit y/javacpuoct html e.com/technetwo rk/topics/securit y/alert-cve html e.com/technetwo rk/topics/securit y/javacpujun html e.com/technetwo rk/topics/securit y/javacpufeb html e.com/technetwo rk/topics/securit y/javacpuoct html e.com/technetwo rk/topics/securit y/alert-cve html e.com/technetwo 2013 년 1 월 13 일 2012 년 10 월 16 일 2012 년 8 월 30 일 2012 년 6 월 12 일 2012 년 2 월 17 일 2011 년 10 월 18 일 2013 년 3 월 2 일 2013 년 4 월 18 일

16 ?name=cve rk/topics/securit y/javacpuapr html MS IE CVE re.org/cgi-bi n/cven ame.cgi?name =CVE crosoft.com/enus/security/bulle tin/ms 년 9 월 21 일 MS IE CVE Internet Explorer 를사용하여특수하게조작된웹페이지를볼경우원격코드실행허용 re.org/cgi-bi n/cven ame.cgi?name =CVE microsoft.com/k o-kr/security/bu lletin/ms 년 6 월 3 일 MS IE CVE re.org/cgi-bi n/cven ame.cgi?name =CVE crosoft.com/kokr/security/advis ory/ 년 12 월 19 일 MS XML CVE XML Core Services 의취약점 re.org/cgi-bi n/cven ame.cgi?name =CVE crosoft.com/kokr/security/bulle tin/ms 년 7 월 10 일 Mozilla Firefox/Thu nderbird/sea Monkey CVE Mozilla Firefox, SeaMonkey, Thunderbird 에서보안우회취약점 re.org/cgi-bi n/cven ame.cgi?name =CVE lla.org/security/a nnounce/2013/m fsa htm l 2012 년 1 월 8 일 [ 표 6. 취약점세부정보 ]

17 3. 연간경유지 4) 가탐지된유포지 Top 10 [ 그림 1. 연간경유지가탐지된유포지 Top 10] 순위 탐지일 유포지 국가 경유지건수 kissi.kr/gnu/new/index.html 한국 226건 , /index.html 미국 204건 한국 203건 , /index.html 미국 198건 , /index.html 미국 198건 , /index.html 미국 196건 , /index.html 미국 193건 ,07 한국 192건 , /naver/rivacy.html 한국 180건 ucc.uima.co.kr/link/sb.js 한국 166건 [ 표 7. 탐지된유포지 Top 10] ( 참고사항 : 순서는경유지발생건수를기준으로정렬하였음 ) 4) 경유지 : 홈페이지방문자에게유포지로자동연결하여악성코드를간접적으로유포하는홈페이지

18 4. 악성코드자동공격화도구 지금까지국내에서는다양한자동공격화도구가출현하였으며, 이러한공격도구들은버전업데이트를통해지속적으로진화하고있으며, 난독화를통해탐지및분석을위한디코딩이어렵게하고있는상황으로, 국내에서발견되고있는자동공격화도구는공다팩 (Gondad) 과 CK vip에서변형된카이홍 (Caihong) 이지속적으로탐지되고있으며그밖에레드킷 (Redkit), 블랙홀 (Blockhole) 공격킷도활동하고있다. [ 그림 2. Caihong Exploit Kit 의구조 ] [ 그림 3. Gondad Exploit Kit 의구조 ]

19 5. 악성코드은닉연간사례분석 올한해국내웹사이트를통해다양한공격툴이관찰되고발견되었다. 그중가장국내에 위협을주었던대표적인자동화공격툴은 Gondad, Caihong, RedKit 이가장많은활동을보 였다. 가. 레드킷을통한악성코드유포 레드킷을통한유포는올해 4 월부터시작이되었다. 처음시작은일본에서많은유포를보 이는모습을보였으나점차적으로확대되어국내에서도자주발견되는상황이나타났다. 세부 확인결과레드킷은스팸메일발송의목적이있는것으로확인되었다. [ 그림 4. Redkit 스크립트일부분 ] 레드킷에이용된취약점은아래와같다. Oracle Java SE Remote Code Execution Vulnerability (CVE ) Oracle Java SE Remote Java Runtime Environment Vulnerability(CVE ) Oracle Java SE Remote Code Execution Vulnerability (CVE ) Oracle Java Runtime Environment Security Bypass Vulnerability (CVE )

20 나. Caihong Vip Exploit (CVE ) 국내에나타난 Caihong Vip Exploit 를통해유포되었던도식화는아래와같다. Caihong Vip Exploit 은자바 CVE , CVE , CVE Java Applet 과 CVE , CVE , CVE 의 IE 취약점을유포하였다. [ 그림 5. Caihong Vip Exploit 도식화 ] CVE 는 IE 8.0 버전을통해악성코드의감염이이루어진다. 일부스크립트를 살펴보면 IE 8.0 의조건을충족하기위해버전을판별하는스크립트를집어넣어충족시쉘코 드가작동하게된다. [ 그림 6. IE 브라우저체크스크립트 ] [ 그림 3. 쉘코드를통한악성바이너리다운로드 ]

21 다. Gondad Pack - CVE 올해지속적으로발견된공다팩은버전업데이트를통해현재는 0.44 버전까지나온상태이다. 취약점또한올해초유포하는취약점이 8개로나타났지만, 하반기들어서하나의취약점이추가되어총 9종취약점을활용하는형태로발전하였다. 국내에서나타난자동화공격툴중가장많은취약점을노리고있는도구이며복잡한난독화가되어있어탐지에어려움이많은것으로알려져있다. [ 그림 7. 난독화되어있는공다팩 ] 난독화되어있는공다팩을디코딩하면공다팩만이가지고있는취약점을확인할수있다. 특히, 버전을체크하는기능을가지고있으며 Java 7 종, Flash 1 종, IE 1 종의취약점을이용 하였고, 최근에 CVE 가추가되었다. [ 그림 8. 취약점별버전을확인하는코드 ]

22 6. 연간금융동향 지난해에는온라인게임계정탈취가주요이슈였다면올해는사용자들의금융계좌를노린 파밍악성코드가나타났다. 1 월부터시작된파밍은올해가끝나기전까지지속적이고빠른 변경을통해사용자를속이기위해노력하는모습을보였다. 일시 주요 특징 1월 2주 파밍악성코드최초출현 [ 그림 6 - 그림 7] 2월 3주 공인인증서탈취후 FTP를통한업로드포착 [ 그림 8] 2월 4주 복합적공격요소에포함된파밍악성코드 [ 그림 9] 3월 1주 BHO 변조를통한파밍악성코드감염 [ 그림 10] 3월 4주 3.20 사이버대란을이용한파밍사이트 [ 그림 11] 금융정보노출후발생한부트파괴현상 [ 그림 12] 4월 1주 hosts.ics 우선순위를이용한파밍악성코드사이트삽입 [ 그림 13] 5월 4주 네이버포탈에서떠다니는광고 (floating banner) 형태로파밍공격 [ 그림 14] 6월 1주 hosts hosts.ics 지속생성을통해백신차단우회 [ 그림 15] 7월 4주 신규포탈파밍사이트에떠다니는광고 (Floating Banner) 통한파밍 [ 그림 17] QR코드를이용하는파밍사이트정황포착 [ 그림 18] 8월 3주 네이트를이용한포털파밍의징후 [ 그림 19] 9월 1주 포탈광고배너를이용한파밍 [ 그림 20] 10월 4주 금융감독원을사칭한보이스피싱지킴이사이트 [ 그림 21] 11월 1주 탐지회피를위해 10MB 크기로변조한 hosts.ics 파일 [ 그림 22] 12월 4주 파밍사이트아이디로그인시등장하는재인증화면 [ 그림 22] [ 그림 9. MalwareNet 을통한파밍악성코드의유포 - 1 월 2 주 ]

23 [ 그림 10. 처음발견된파밍은행사이트 - 1 월 2 주 ] [ 그림 11. 공인인증서를탈취후 FTP 서버로업로드한정황 - 2 월 3 주 ]

24 [ 그림 12. 복합적공격요소에포함된파밍악성코드 - 2 월 4 주 ] [ 그림 13. BHO 를이용한파밍페이지변조 - 3 월 1 주 ]

25 [ 그림 사이버대란을이용한파밍팝업창 - 3 월 4 주 ] [ 그림 15. 정보유출후나타나는부트파괴현상 - 3 월 4 주 ]

26 [ 그림 16. hosts.ics 우선순위를이용한파밍악성코드사이트삽입 - 4 월 1 주 ] [ 그림 17. 네이버포탈에서떠다니는광고 (floating banner) 형태로파밍공격유도 - 5 월 4 주 ]

27 [ 그림 18. hosts hosts.ics 지속생성을통해백신차단우회 - 6 월 1 주 ] [ 그림 19. 신규포탈파밍사이트에서떠다니는광고 (Floating Banner) 통한파밍유도 - 7 월 4 주 ]

28 [ 그림 20. QR 코드를이용하는파밍사이트정황포착 - 7 월 4 주 ] [ 그림 21. 네이트를이용한포털파밍의징후 - 8 월 3 주 ]

29 [ 그림 22. 포탈광고배너를이용한파밍 - 9 월 1 주 ] [ 그림 23. 금융감독원을사칭한보이스피싱지킴이사이트 - 10 월 4 주 ]

30 [ 그림 24. 탐지회피를위해 10MB 크기로변조한 hosts.ics 파일 - 11 월 1 주 ] [ 그림 25. 파밍사이트아이디로그인시등장하는재인증화면 - 12 월 4 주 ]

31 7. 향후전망 2013년전체이슈에대한총평을하면, 실질적인위협들이가시화된상황으로이야기를할수있다. 발생될수있는위험을관찰하는 PCDS (Pre Crime Detect Satellite) 체제에서는 2013년초에이미게임계정을탈취하여금전화를시도하는공격자들이금융정보를탈취하는파밍형태로변경이되고있음을감지한바있다. 2013년전체적으로금융정보탈취와피해가가장극심했던해라고할수있다. 또한 2년간의관찰을기반으로하여주중이상행위발생과악성코드유형의변화에대해서경로를한바가있으며이경고는 3.20 대란으로직접연결된정황을확인할수있었다. 2013년연초부터세계적으로유례가없는 Java 0 day, IE 0 day 공격이동시에발생된한국인터넷환경은전반적으로위험상태에깊이들어와있는상황이라할수있다. 그결과는금융망과방송국이직접피해를입은 3.20 대란과청와대와정부기관이피해를입은 6.25 테러로결과가나온바있다. 웹서비스를이용한악성코드유포는현재도심각한상황으로계속되고있다. 또한 2013년의치명적인사건들에도불구하고대응방안들은여전히미진한상황이라 2014년도금융관련정보유출피해뿐아니라대량의좀비 PC를이용한공격과사건들은계속될것으로예상이된다. 2014년 4월에예정된 XP에대한지원중단은새로운 0-day 공격을촉발할것으로보이며, 적극적인대응과감염예방노력이선행되지않는다면우리는 2013년보다더충격적인사건들을직면할수밖에없을것으로예상된다. 웹, 이메일, USB 또는사람으로한정된위협요소에대해우리는관리정책과보안도구들을이용해서일정수준의보호를받을수있다. 그러나아직웹을통한대량감염에대해서는뚜렷한관찰도부족하고즉시대응할수있는체계도미비함에따라 2013년에이어 2014년도웹을통한대량감염과공격은일상적으로발생될것으로예상된다

32 8. 개선방안 지속적인유포지및경유지침해사고가발생할경우에는웹사이트의취약점을분석하여해결해야한다. 또한, 웹사이트내에웹쉘, 루트킷과같이악성코드가숨겨져있을수있으므로, 추가적인보안대책이필요하다. 웹취약점을해결하기위해서는홈페이지의개발시점부터유지보수때까지개발자가보안코딩을준수해야하며, 아래웹사이트에서취약점을온라인으로진단이가능하다. -> 웹취약점점검 ( 가입필수및유료 ) 관리하는웹사이트가유포지또는경유지로활용되는경우에는아래의웹사이트에서무료로진단이가능하다. -> 유포지확인 ( 가입필수및무료 ) Exploit Kit에활용되는각종취약점은아래사이트를통해보안패치및업데이트가가능하다. o Microsoft Windows o Oracle Java o Adobe Flash Player o Adobe Reader [ 안내 ] * 본문서의저작권은 가소유하고있으며, 무단으로배포하거나편집할수없습니다. * 무료구독문의및 고급보안정보구독서비스 와관련된문의는 info@bitscan.co.kr 로문의하여주십시오. 끝