고급보안정보구독서비스 소개 국내외 180 여만개 ( 국내 150 만, 해외 30 만 ) 웹사이트에서발생하는해킹, 변조, 침해사고를탐지하여 공격에대한이슈, 실제범위및미치는영향등을주간단위로분석하여제공하는정보제공서비스 서비스유형 주간브리핑 악성코드유포범위와경유지, 국내에서많

Transcription

1 온라인위협동향 (OTIR) 월간보고서 (2013 년 09 월 )

2 고급보안정보구독서비스 소개 국내외 180 여만개 ( 국내 150 만, 해외 30 만 ) 웹사이트에서발생하는해킹, 변조, 침해사고를탐지하여 공격에대한이슈, 실제범위및미치는영향등을주간단위로분석하여제공하는정보제공서비스 서비스유형 주간브리핑 악성코드유포범위와경유지, 국내에서많은영향을미치는이슈를중점서술 동향분석 - 한주간의공격동향에대한요약과새로운공격형태정보기술 기술분석 - 한주간의악성링크와악성파일에대한실행기반의분석정보기술 전문분석 새로운공격기법이나제로데이출현시수시로제공 C&C 봇넷정보 APT 및좀비PC에서이용되는네트워크연결정보 (callback) 악성코드샘플 감염공격및악성파일에대한샘플 ( 스크립트, 익스플로잇, 악성바이너리 ) 제공시기 정기 - 주 1 회 ( 수요일 ) 비정기 인터넷위협수준이 4 단계. 경고 이상일경우수시 무료구독자 주간브리핑요약 주간브리핑보고서의내용을 2 장분량으로요약제공 ( 정기 ) 긴급정보제공 인터넷위협수준이 4 단계. 경고 이상일경우 ( 수시 ) 정기구독자 베이직 주간브리핑, 동향분석 스탠다드 주간브리핑, 동향분석, 기술분석 프로페셔널 주간브리핑, 동향분석, 기술분석, 전문분석 엔터프라이즈 주간브리핑, 동향분석, 기술분석, 전문분석, C&C 봇넷정보 악성코드샘플은별도협의 구독문의 무료신청을원하시는경우 info@bitscan.co.kr 로연락주십시오. 정기구독및관련사항문의는 등록된이메일 을통해 info@bitscan.co.kr 로연락주십시오. 감사합니다.

3 목 차 1. 악성코드은닉사이트동향 3 가. 월간인터넷위협동향 3 나. 월간브리핑동향 4 다. 주간브리핑동향 4 1) 9월 1주차 4 2) 9월 2주차 4 3) 9월 3주차 5 4) 9월 4주차 5 5) 9월 5주차 5 라. 월간금융동향 5 2. 악성코드은닉사이트월간통계 6 가. 은닉사이트탐지동향 6 1) 은닉사이트주간동향 6 2) 은닉사이트월간동향 7 나. 국내경유지를활용하는주요유포사이트현황 탐지동향요약 8 1) 주요월간유포지주요국가별요약현황 8 2) 주요국가별현황월간요약통계 8 3) 주요유포사이트주간동향 9 다. 주요감염취약점관련통계 10 1) 주요감염취약점월간동향 10 2) 취약점별 / 주간통계 10 3) 취약점별 / 주간통계도표 11 4) Exploit Tool Kit 유형별 / 주간통계 12 5) Exploit Tool Kit 유형별 / 신규출현 12 6) 취약점세부정보 13 라. 대량경유지가탐지된유포지 Top 마. 주요유포지분석 Top 주요유포지 URL 수집및분석결과 32 가. 주요유포지요약 32 나. 유포현황 34 1) 파밍사이트의새로운변화 악성코드은닉사례분석 국내 IP를이용한다양한유포방식 35 가. 지속적인국내 IP, Multi-Stage, MalwareNet을통한유포과정 35 나. 동적분석결과 36 다. 특이사항 - C&C 연결후사용자정보저장 38 라. 사용자위협에따른대응사항 - 긴급정보공유 39 마. 긴급정보공유 이후나타난차단효과 39 바. 향후전망 금융동향 41 가. 금융동향 41

4 1) 9월 1주차 포탈광고배너를이용한파밍의진화 BotNet 및 C&C IP 내역 42 가. 주간 BotNet 및 C&C IP 내역 42 1) 9월 1주차 42 2) 9월 2주차 42 3) 9월 3주차 42 4) 9월 4주차 향후전망및개선방안 42 가. 향후전망 42 나. 개선방안 43 [ 안내 ]

5 월간보고서 2013 년 9 월 No. BITSCAN 작성일 2013년 10월 23일작성자 Bitscan 빛스캔, Bitscan, 악성코드, 고급보안정보구독서비스, Online Threat Intelligence Report, 은 Keyword 닉사이트, 유포사이트, 유포지, 경유사이트, 경유지, OTIR, 2013년, 2013년 9월 월간보고서는매주발간되는 고급보안정보구독서비스 의주간브리핑, 기술분석, 동향분 석, 전문분석보고서와긴급상황시제공되는추가정보및보고서를취합하여각각의주요특 징을기술하였으며, 통계정보를수집분석하였다. 1. 악성코드은닉사이트동향 가. 월간인터넷위협동향 1) 9월 1주차부터 4주차까지악성링크의활동은증가와감소를반복한가운데 MalwareNet 과멀티스테이지의결합된형태, 국내 IP를이용한공격등의영향으로 주의 단계를유지하였다. 하지만 9 월 5주차 긴급의심정보공유 후악성링크의위협이감소하여위협단계를 주의 관심 단계로하향조정하였다. 1) 한국인터넷월간위협경보 - 3 -

6 나. 월간브리핑동향 2) 9월 1주차부터 2주차까지는 8월부터나타나기시작한, 최대 40개웹사이트를보유한 MalwareNet을활용하여최종적으로하나의악성코드로연결되는현상은더욱활발히나타났으며이들의목적은사용자의금융계좌를노린파밍악성코드로확인이되었다. 또한, 9월 3주부터 4주차까지는멀티스테이지까지 MalwareNet 과결합하여다수유포되는현상이나타났으며공격자는국내 IP 차단이어려운점을악용하여직접적인유포경로로국내사이트를이용하고, C&C 서버도국내서버를활용하는정황도발견되었으며, 추가다운로드된파일은파밍의기능과함께감염자정보를국내 C&C 서버로전송하는역할도관찰되었다. 9월 5주차에는전체발견된악성링크는 9월관찰기간중최저치를기록하였다. 더불어, 9/25( 수 ) 에 긴급의심정보공유 이후악성링크의활동은나타나지않는모습을보였다. 다. 주간브리핑동향 3) 1) 9 월 1 주차 8 월부터나타나기시작한, MalwareNet 을활용하여최종적으로하나의악성코드 로연결되는현상은더욱활발하게이루어지고있으며, 이는공격방식이대규모로 커지면서보다효율적으로변화하고있는것으로추정된다. 2) 9 월 2 주차 악성링크에감소에도불구하고, 멀티스테이지공격의형태가최대 40 개웹사이트 를보유한 MalwareNet 과결합하여악성코드를유포하는정황을확인하였으며이들 의최종악성코드는파밍이목적이었다. 2) 각주마다나온주간브리핑지료를종합 3) 각주마다나온주간브리핑자료 - 4 -

7 3) 9 월 3 주차 MalwareNet과 Multi-stage 공격이결합된형태가다수이용되는정황을관찰하였다. 더불어, 공격자는국내 IP 차단이어려운점을악용하여직접적인유포경로로국내사이트를이용하고, C&C 서버도국내서버를활용하는정황도파악되었으며, C&C 서버연결후추가적으로파밍악성코드를다운로드하는모습도관찰되었다. 4) 9 월 4 주차 발견된악성링크대부분이국내 IP를이용하여유포를하였으며관찰된다수의악성링크에서는동일한목적을지닌바이너리들이다수유포되는현상이관찰되었다. 또한. 추가다운로드된파일은파밍의기능과함께감염자정보를국내 C&C 서버로전송하는역할도관찰되었다 5) 9 월 5 주차 전체발견된악성링크는 9 월관찰기간중최저치를기록하였다. 더불어, 9/25( 수 ) 에 긴급의심정보공유 이후악성링크의활동은나타나지않는모습을보였다. 라. 월간금융동향 4) 9월새롭게등장한파밍사이트는기존에포털사이트를이미지파일을통해만들었다면, 새로등장한파밍은네이버, 다음의포털광고영역만바꿔치기하는방법이등장하였다. 사용자입장에서는광고영역외에는모든웹서핑이정상적으로이루어지기때문에이를알아내기는어렵다. 4) 월간금융이슈요약 - 5 -

8 2. 악성코드은닉사이트월간통계 가. 은닉사이트 5) 탐지동향 1) 은닉사이트주간동향 2013년 9월에는악성코드은닉사이트가 10,943건탐지되었으며, 9월 1주차 2,377( 건 ), 9월 2주차 2,287( 건 ), 9월 3주차에는 2,561( 건 ), 9월 4주차 2,308( 건 ) 9 월 5주차 1,610( 건 ) 으로매주중가와감소를반복하였으며 9월 5주차에는 9월최소치를기록하였다. 5) 악성코드은닉사이트 : 이용자 PC 를악성코드에감염시킬수있는홈페이지를말하며, 일반적으로해킹을당한이후에악성코드를자체유포하거나다른사이트로유도하여악성코드에감염될수있는경유지 URL 을포함한웹사이트 - 6 -

9 2) 은닉사이트월간동향 은닉사이트는 10,943 건탐지되었으며, 전월 (12,533 건 ) 대비 13% 감소하였다. 하지 만, 신규사이트는 557 건으로전월 (365 건 ) 대비 35% 증가하였다. 은닉사이트월간동향 - 7 -

10 나. 국내경유지를활용하는주요유포사이트현황 탐지동향요약 1) 주요월간유포지주요국가별요약현황 2013 년 9 월신규악성링크는 557 건 이었으며, 이중에서대한민국에직접적인 영향을미친주요 국내경유지를활용하는유포사이트 는 234 건 으로, 8 월 ( 199 건 ) 에비해 17% 증가하였다. 2) 주요국가별현황월간요약통계 국가 8월 비율 9월 비율 증가율 한국 122건 61% 194건 83% 22% 미국 33건 17% 16건 7% -10% 중국 0건 0% 0건 0% 0% 홍콩 4건 2% 0건 0% -2% 일본 34건 17% 22건 9% -8% 기타 6건 3% 2건 1% -2% 전체합계 ( 건 ) 199건 234건 주요국가별현황월간요약 - 8 -

11 3) 주요유포사이트주간동향 발견된신규유포사이트는 8 월 1 주 78 건, 2 주 53 건, 3 주 47 건, 4 주 23 건, 5 주 33 건으로, 총 234 건 이집계되었으며, 매주평균약 47 건 발생했다. 주요유포사이트주간요약동향 월 1 주 9 월 2 주 9 월 3 주 9 월 4 주 9 월 5 주 유포사이트 - 9 -

12 다. 주요감염취약점관련통계 1) 주요감염취약점월간동향 9월에는신규로발견된취약점이나오지않은가운데공다팩과 CK VIP의활동만이나타났다. 주요나타난취약점은공다팩에서사용하는 8개의취약점, CK VIP의 4개취약점이나타났다. 하지만, CK VIP의활동은전월에비해더욱활용빈도수가줄었으며대부분공다팩을이용한악성링크의유포가활발하였다. 2) 취약점별 / 주간통계 CVE 9월 1주 9월 2주 9월 3주 9월 4주 9월 5주 합계 비율 CVE ) 65건 34건 23건 23건 33건 178건 12% CVE ) 77건 47건 23건 23건 33건 203건 13% CVE ) 77건 47건 23건 23건 33건 203건 13% CVE ) 77건 47건 23건 23건 33건 203건 13% CVE ) 65건 34건 23건 23건 33건 178건 12% CVE ) 66건 34건 23건 23건 33건 179건 12% CVE ) 66건 34건 23건 23건 33건 179건 12% CVE ) 66건 34건 23건 23 33건 179건 12% CVE ) 12건 13건 0건 0건 0건 25건 2% CVE ) 1건 0건 0건 0건 0건 1건 0% 전체합계 572건 324건 184건 184건 264건 1528건 100% 6) Oracle Java Applet 취약점 7) Microsoft IE/XML 취약점 8) Adobe Flash Player 취약점

13 3) 취약점별 / 주간통계도표

14 4) Exploit Tool Kit 유형별 / 주간통계 전월공다팩과 CK VIP의역전된현상은 9월까지지속되었다. 특히 CK VIP의활동이 9월 4주이후로는활동이전혀나타나지않았다. 그이유로는 4개의취약점을이용하는 CK VIP 보다 8개의취약점을이용하는공다팩의공격성공률과감염률이더욱높다고판단되기때문에 CK VIP 의활용이줄어든것으로보인다. 하지만, 공다팩과 CK VIP의결합된형태의악성링크는발견되지않았다. 5) Exploit Tool Kit 유형별 / 신규출현 9 월국내에신규악성링크가이용되었던툴은공다팩, CK VIP 킷이있다. 그러나 CK VIP 킷의활동은줄어든반면공다팩의사용빈도수는지속적으로상승했다

15 6) 취약점세부정보 항목취약점내용세부정보패치정보출현시기 re.org/cgi-bi Adobe 메모리손상으로 e.com/support/s CVE 인한코드실행 n/cvename.cgi 2013년 2월 7일 Flash Player 취약점 ecurity/bulletins/?name=cve apsb13-04.html Java Applet Java Applet Java Applet Java Applet Java Applet Java Applet Java Applet Java Applet CVE CVE CVE CVE CVE CVE CVE CVE 드라이브바이다운로드방식, JRE 샌드박스제한우회취약점이용 re.org/cgi-bi n/cven ame.cgi?name =CVE re.org/cgi-bi n/cven ame.cgi?name =CVE re.org/cgi-bi n/cven ame.cgi?name =CVE re.org/cgi-bi n/cven ame.cgi?name =CVE re.org/cgi-bi n/cven ame.cgi?name =CVE re.org/cgi-bi n/cven ame.cgi?name =CVE re.org/cgi-bi n/cvename.cgi?name=cve re.org/cgi-bi n/cvename.cgi e.com/technetwo rk/topics/securit y/alert-cve html e.com/technetwo rk/topics/securit y/javacpuoct html e.com/technetwo rk/topics/securit y/alert-cve html e.com/technetwo rk/topics/securit y/javacpujun html e.com/technetwo rk/topics/securit y/javacpufeb html e.com/technetwo rk/topics/securit y/javacpuoct html e.com/technetwo rk/topics/securit y/alert-cve html e.com/technetwo 2013 년 1 월 13 일 2012 년 10 월 16 일 2012 년 8 월 30 일 2012 년 6 월 12 일 2012 년 2 월 17 일 2011 년 10 월 18 일 2013 년 3 월 2 일 2013 년 4 월 18 일

16 ?name=cve rk/topics/securit y/javacpuapr html MS IE CVE re.org/cgi-bi n/cven ame.cgi?name =CVE crosoft.com/enus/security/bulle tin/ms 년 9 월 21 일 MS IE CVE Internet Explorer 를사용하여특수하게조작된웹페이지를볼경우원격코드실행허용 re.org/cgi-bi n/cven ame.cgi?name =CVE microsoft.com/k o-kr/security/bu lletin/ms 년 6 월 3 일 MS IE CVE re.org/cgi-bi n/cven ame.cgi?name =CVE crosoft.com/kokr/security/advis ory/ 년 12 월 19 일 MS XML CVE XML Core Services 의취약점 re.org/cgi-bi n/cven ame.cgi?name =CVE crosoft.com/kokr/security/bulle tin/ms 년 7 월 10 일 Mozilla Firefox/Thu nderbird/sea Monkey CVE Mozilla Firefox, SeaMonkey, Thunderbird 에서보안우회취약점 re.org/cgi-bi n/cven ame.cgi?name =CVE lla.org/security/a nnounce/2013/m fsa htm l 2012 년 1 월 8 일

17 라. 대량경유지 9) 가탐지된유포지 Top 10 순위 탐지일 유포지 국가 경유지건수 xxx/stillcut/mk/index.html 한국 55건 한국 41건 best.hangamxxx.com/han.html 일본 37건 best.hanmaixxx.com/911.htm 일본 36건 한국 36건 한국 33건 live.me2haxxx.com/907.html 일본 33건 xx/911.html 일본 32건 한국 30건 xxx/productsPhoto/pop/index.html 한국 26건 9) 경유지 : 홈페이지방문자에게유포지로자동연결하여악성코드를간접적으로유포하는홈페이지

18 마. 주요유포지분석 10) Top 10 9월주요유포지에서특정한바이너리로연결되는특징이발견되었으며 7월달에활발한활동을보였던 CK VIP의비율은낮아지고공다팩의사용비율이다시높아졌다. 또한, 차단이어려운국내사이트를이용하는비율이늘어났으며발견된대부분의바이너리는파밍악성코드로관찰되었다. 1) xxx/stillcut/mk/index.html 악성 URL xxx/stillcut/mk/index.html 최종다운로드파일추가생성파일추가생성파일추가생성파일 File system activity Opened files URL 위치 위치 위치 mbc.exe eb1ea5d48cc52014c1146c71310d370c csrss.exe 47ead194bde5f723f6fd2851e95a7f64 C:\ Gpvkg \csrss.exe Kgoq.dll 63ef49b41c72d48b504cfe6cc68fb271 C:\ Gpvkg \Kgoq.dll start.ink c1c0fe6ce42e5182c0378b21198b0ad C:\ Gpvkg \start.ink C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\net.exe C:\ Gpvkg \csrss.exe C:\ Gpvkg \Kgoq.dll Copied files DST: C:\ Gpvkg \csrss.exe Runtime DLLs c:\windows\system32\kernel32.dll c:\windows\system32\msvcrt.dll c:\windows\system32\user32.dll c:\windows\system32\gdi32.dll 10) 주요유포지분석 : 대량경유지에서나온악성코드분석결과

19 c:\windows\system32\advapi32.dll c:\windows\system32\shell32.dll c:\windows\system32\ole32.dll c:\windows\system32\oleaut32.dll c:\windows\system32\wininet.dll c:\windows\system32\avicap32.dll C:\ Gpvkg \Kgoq.dll Network activity C&C 서버는정식구독자에한해제공됩니다 Vulnerability Set Malware IP Address Malware IP Nation ISP Name xxx Korea Korea Telecom

20 2) 악성 URL 최종다운로드파일 File system activity Opened files URL cmd.exe 0FE618755C B0330D09E70AFA lovelovexxx.net/bbs/icon/cmd.exe C:\WINDOWS\B0D358CB\svchsot.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\net.exe Copied files DST: C:\WINDOWS\B0D358CB\svchsot.exe Registry activity Set keys KEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\B0D358CB TYPE: REG_SZ VALUE: C:\WINDOWS\B0D358CB\svchsot.exe Process activity Created processes net start Task Scheduler Runtime DLLs c:\windows\system32\kernel32.dll c:\windows\system32\msvcrt.dll c:\windows\system32\user32.dll c:\windows\system32\gdi32.dll c:\windows\system32\advapi32.dll c:\windows\system32\shell32.dll c:\windows\system32\ole32.dll c:\windows\system32\oleaut32.dll c:\windows\system32\wininet.dll c:\windows\system32\avicap32.dll Network activity C&C 서버는정식구독자에한해제공됩니다 Vulnerability Set Malware IP Address Malware IP Nation ISP Name xx korea SK Broadband Co Ltd

21 3) best.hangamxxx.com/han.html 악성 URL best.hangamxxx.com/han.html 최종다운로드파일 File system activity Opened files URL han.exe b17958ca3e567dffc141bcc8fc8afa76 C:\WINDOWS\75B0BC1C\svchsot.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\net.exe Copied files DST: C:\WINDOWS\75B0BC1C\svchsot.exe Registry activity Set keys KEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\75B0BC1C TYPE: REG_SZ VALUE: C:\WINDOWS\75B0BC1C\svchsot.exe Process activity Created processes net start Task Scheduler Runtime DLLs c:\windows\system32\kernel32.dll c:\windows\system32\msvcrt.dll c:\windows\system32\user32.dll c:\windows\system32\gdi32.dll c:\windows\system32\advapi32.dll c:\windows\system32\shell32.dll c:\windows\system32\ole32.dll c:\windows\system32\oleaut32.dll c:\windows\system32\wininet.dll c:\windows\system32\avicap32.dll Network activity C&C 서버는정식구독자에한해제공됩니다 Vulnerability Set Malware IP Address Malware IP Nation ISP Name xx Japan Softbank BB Corp

22 4) best.hanmaixxx.com/911.htm 악성 URL 최종다운로드파일 추가생성파일 추가생성파일 URL 위치 위치 911.exe b17958ca3e567dffc141bcc8fc8afa exe 147a3cef bb2a fcf C:\Documents and Settings\Administrator\ Local Settings\Temp\ exe 35.bat a8e34e07b205144d1b73995dd42d6972 C:\Documents and Settings\Administrator\ Local Settings\Temp\2A9.tmp\35.bat hosts.ics 추가생성파일 - 위치 C:\WINDOWS\system32\drivers\hosts.ics hosts 추가생성파일 - 위치 C:\WINDOWS\system32\drivers\hosts File system activity Opened files C:\WINDOWS\DB7E21A5\svchsot.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\net.exe C:\Documents and Settings\Administrator\Local Settings\Temp\2A9.tmp\66.bat C:\Documents and Settings\Administrator\Local Settings\Temp\ exe C:\WINDOWS\system32\drivers\hosts.ics C:\WINDOWS\system32\drivers\hosts Copied files DST: C:\WINDOWS\DB7E21A5\svchsot.exe Registry activity Set keys KEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DB7E21A5 TYPE: REG_SZ VALUE: C:\WINDOWS\DB7E21A5\svchsot.exe Process activity Created processes

23 net start Task Scheduler Runtime DLLs c:\windows\system32\kernel32.dll c:\windows\system32\msvcrt.dll c:\windows\system32\user32.dll c:\windows\system32\gdi32.dll c:\windows\system32\advapi32.dll c:\windows\system32\shell32.dll c:\windows\system32\ole32.dll c:\windows\system32\oleaut32.dll c:\windows\system32\wininet.dll c:\windows\system32\avicap32.dll Network activity C&C 서버는정식구독자에한해제공됩니다 BAT off ( echo localhost banking.nonghyup.com# echo localhost banking.shinhan.com# echo localhost nv1.ad.naver.com# )>%SystemRoot%\system32\drivers\etc\hosts.ics 파밍연결지 localhost banking.nonghyup.com# localhost banking.shinhan.com# localhost nv1.ad.naver.com# Vulnerability Set Malware IP Address Malware IP Nation ISP Name xx Japan Softbank BB Corp

24 5) 악성 URL 최종다운로드파일 0906.exe URL EAF3862DF2890B5AA4F9D3728ACBC8E1 Vulnerability Set Malware IP Address Malware IP Nation ISP Name xx korea Korea Telecom

25 6) 악성 URL 최종다운로드파일 File system activity Opened files URL cmd.exe 0FE618755C B0330D09E70AFA lovelovexxx.net/bbs/icon/cmd.exe C:\WINDOWS\B0D358CB\svchsot.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\net.exe Copied files DST: C:\WINDOWS\B0D358CB\svchsot.exe Registry activity Set keys KEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\B0D358CB TYPE: REG_SZ VALUE: C:\WINDOWS\B0D358CB\svchsot.exe Process activity Created processes net start Task Scheduler Runtime DLLs c:\windows\system32\kernel32.dll c:\windows\system32\msvcrt.dll c:\windows\system32\user32.dll c:\windows\system32\gdi32.dll c:\windows\system32\advapi32.dll c:\windows\system32\shell32.dll c:\windows\system32\ole32.dll c:\windows\system32\oleaut32.dll c:\windows\system32\wininet.dll c:\windows\system32\avicap32.dll Network activity C&C 서버는정식구독자에한해제공됩니다 Vulnerability Set Malware IP Address Malware IP Nation ISP Name xxx korea Korea Telecom

26 7) live.me2haxxx.com/907.html 악성 URL 최종다운로드파일 추가생성파일 URL 위치 907.exe e2a6bd2ba4e2dc bat 3ca6b594172e9d2640f503625b4cecd6 C:\Documents and Settings\Administrator\ Local Settings\Temp\2A9.tmp\66.bat hosts.ics 추가생성파일 - 위치 C:\WINDOWS\system32\drivers\hosts.ics hosts 추가생성파일 - 위치 C:\WINDOWS\system32\drivers\hosts File system activity Opened files C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\net.exe C:\Documents and Settings\Administrator\Local Settings\Temp\907.exe C:\Documents and Settings\Administrator\Local Settings\Temp\28C.tmp\66.bat C:\WINDOWS\system32\drivers\hosts.ics Copied files DST: C:\Documents and Settings\Administrator\Local Settings\Temp\907.exe Runtime DLLs c:\windows\system32\kernel32.dll c:\windows\system32\msvcrt.dll c:\windows\system32\user32.dll c:\windows\system32\gdi32.dll c:\windows\system32\advapi32.dll c:\windows\system32\shell32.dll c:\windows\system32\ole32.dll c:\windows\system32\oleaut32.dll c:\windows\system32\wininet.dll c:\windows\system32\avicap32.dll Network activity

27 C&C 서버는정식구독자에한해제공됩니다파밍연결지 localhost localhost daum.net# localhost banking.nonghyup.com# localhost OBANK.KBSTAR.COM# localhost localhost naver.com# localhost banking.shinhan.com# Bat off ( echo localhost echo localhost daum.net# echo localhost echo localhost kbstar.com# echo localhost banking.nonghyup.com# echo localhost OBANK.KBSTAR.COM# echo localhost echo localhost naver.com# echo localhost banking.shinhan.com# )>%SystemRoot%\system32\drivers\etc\hosts.ics Vulnerability Set Malware IP Address Malware IP Nation ISP Name xxx Japan Softbank BB Corp

28 8) xx/911.html 악성 URL 최종다운로드파일 추가생성파일 추가생성파일 URL 위치 위치 911.exe C9B F748C0A5F4A65CE6CF exe 147a3cef bb2a fcf C:\Documents and Settings\Administrator\ Local Settings\Temp\ exe 44.bat a8e34e07b205144d1b73995dd42d6972 C:\Documents and Settings\Administrator\ Local Settings\Temp\3B6.tmp\44.bat hosts.ics 추가생성파일 - 위치 C:\WINDOWS\system32\drivers\hosts.ics hosts 추가생성파일 - 위치 C:\WINDOWS\system32\drivers\hosts File system activity Opened files C:\WINDOWS\E7BE21A5\svchsot.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\net.exe C:\Documents and Settings\Administrator\Local Settings\Temp\3B6.tmp\44.bat C:\Documents and Settings\Administrator\Local Settings\Temp\ exe C:\WINDOWS\system32\drivers\hosts.ics C:\WINDOWS\system32\drivers\hosts Copied files DST: C:\WINDOWS\DB7E21A5\svchsot.exe Registry activity Set keys KEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\E7BE21A5 TYPE: REG_SZ VALUE: C:\WINDOWS\E7BE21A5\svchsot.exe Process activity Created processes

29 net start Task Scheduler Runtime DLLs c:\windows\system32\kernel32.dll c:\windows\system32\msvcrt.dll c:\windows\system32\user32.dll c:\windows\system32\gdi32.dll c:\windows\system32\advapi32.dll c:\windows\system32\shell32.dll c:\windows\system32\ole32.dll c:\windows\system32\oleaut32.dll c:\windows\system32\wininet.dll c:\windows\system32\avicap32.dll Network activity C&C 서버는정식구독자에한해제공됩니다 BAT off ( echo localhost banking.nonghyup.com# echo localhost banking.shinhan.com# echo localhost nv1.ad.naver.com# )>%SystemRoot%\system32\drivers\etc\hosts.ics 파밍연결지 localhost banking.nonghyup.com# localhost banking.shinhan.com# localhost nv1.ad.naver.com# Vulnerability Set Malware IP Address Malware IP Nation ISP Name xx Japan Softbank BB Corp

30 9) 악성 URL 최종다운로드파일추가생성파일추가생성파일추가생성파일 File system activity Opened files URL 위치 위치 위치 disk.exe 9809BC2D56E56126F2E6F74A7E0D70C2 bomxxx.co.kr/disk.exe csrss.exe 47ead194bde5f723f6fd2851e95a7f64 C:\96390gupia96390\csrss.exe Kgoq.dll c6b6062e73c c13e e8 C:\96390gupia96390\Kgoq.dll start.ink e93633dbebfd37c cbe1935d C:\96390gupia96390\start.ink C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\net.exe C:\96390gupia96390\csrss.exe C:\96390gupia96390\Kgoq.dll Copied files DST: C:\96390gupia96390\csrss.exe Runtime DLLs c:\windows\system32\kernel32.dll c:\windows\system32\msvcrt.dll c:\windows\system32\user32.dll c:\windows\system32\gdi32.dll c:\windows\system32\advapi32.dll c:\windows\system32\shell32.dll c:\windows\system32\ole32.dll c:\windows\system32\oleaut32.dll c:\windows\system32\wininet.dll c:\windows\system32\avicap32.dll C:\96390gupia96390\Kgoq.dll Network activity

31 C&C 서버는정식구독자에한해제공됩니다 Vulnerability Set Malware IP Address Malware IP Nation ISP Name xxx Korea Hanaro Telecom

32 10) xxx/productsPhoto/pop/index.html 악성 URL xxx/productsPhoto/pop/index.html 최종다운로드파일추가생성파일추가생성파일 File system activity Opened files URL 위치 위치 afsp.exe F7AA8B047AA630C841102DF6DA43F943 csrss.exe 0A16E6DC6FB5E3142DA7158B84302CEF C:\78552Ahcmm78552\csrss.exe Ddln.dll 51B465F8FB364ED79F4BDC5FCC03CA9A C:\78552Ahcmm78552\Ddln.dll C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\net.exe C:\78552Ahcmm78552\csrss.exe C:\78552Ahcmm78552\Ddln.dll Copied files DST: C:\78552Ahcmm78552\csrss.exe Runtime DLLs c:\windows\system32\kernel32.dll c:\windows\system32\msvcrt.dll c:\windows\system32\user32.dll c:\windows\system32\gdi32.dll c:\windows\system32\advapi32.dll c:\windows\system32\shell32.dll c:\windows\system32\ole32.dll c:\windows\system32\oleaut32.dll c:\windows\system32\wininet.dll c:\windows\system32\avicap32.dll C:\78552Ahcmm78552\Ddln.dll Network activity C&C 서버는정식구독자에한해제공됩니다 Vulnerability Set Malware IP Address Malware IP Nation ISP Name

33 xxx Korea Korea Telecom

34 3. 주요유포지 URL 수집및분석결과 2013년 9월에발견된악성코드신규유포지는 365개이며, 그중약 30개를요약하여정리하였으며, 유포지에서이용되고있는 Exploit Kit은 Gondad Exploit Kit, Red Exploit Kit, CK Vip Kit, Gondad Exploit Kit + Adobe Flash Player 등이있으며주요통계정보는 다. 주요감염취약점관련통계 을참고하십시오. Download 공격은웹사이트를통해 JS/HTML을활용한 URL Redirection -> Exploit -> Payload Download -> Real Malwares Download 순서로진행되므로, 악성코드의유형을별도로언급하지는않습니다만, 다운로드되는최종악성코드는트로이목마가다수이며, 기능상금융정보및개인정보수집기능이포함됩니다. 가. 주요유포지요약 탐지일유포지 URL 국가취약점악성코드유형 live.navexxx.com/931.html 일본 live2.dauxxx.com/101.html 일본 한국 홍콩 sh/test/./index.html 한국 한국 한국 best.kakaxxx.com/kakao.html 일본 한국 best.hangamxxx.com/han.html 일본 한국 xxx/stillcut/mk/index.html 한국

35 09.12 wallsexxx.co.kr/images/pop/index.html 한국 한국 한국 votetoxxx.co.kr/script/vo/index.html 한국 한국 web.ailxxx.co.kr/factory/paper/sticker/vc/index.h tml 한국 한국 html 한국 한국 한국 xxx/productsPhoto/pop/index.html 한국 한국 미국 ghcenter.pruxxx.com/events/ad/index.html 한국

36 나. 유포현황 경유지를통해유포되는대표적인파밍사이트는다음과같다.. 1) 파밍사이트의새로운변화

37 4. 악성코드은닉사례분석 국내 IP 를이용한다양한유포방식 추석연휴이전부터확산된악성링크대부분이국내 IP 를이용하여유포를하였으며, 발견된 다수의악성링크에서동일한목적을지닌바이너리들이다수유포되는현상이관찰되었고, 감염 이후국내 C&C 서버로전송하는정황도관찰되었다. 가. 지속적인국내 IP, Multi-Stage, MalwareNet 을통한유포과정 9월들어추석전을기준으로국내 IP, Muti-Stage, MalwareNet이결합된형태가지속발견이되었다. 특히 MalwareNet 과 Mulit-stage가결합된형태로나타나는악성링크의영향력과공격성공률은매우높은것으로나타났다. 더불어, 국내 IP 까지결합된결과더욱많은영향력을보였다. [ 그림 1. 국내 IP 를통한 Multi-stage & MalwareNet 을통한유포 ]

38 [ 그림 2. 국내 IP 를통한 Multi-stage & MalwareNet 의영향력 ] 일부악성링크는그림 2. 와같이최대 55개의영향력을주었던경우도관찰되었으며, 이는 MalwareNet을통한공격이아니면대량으로유포를할수없는방법이다. 하지만, 데이터수치상 55곳의영향력을가지고있다고나타났지만, Multi-stage 공격까지결합이되면파급력은더욱클것으로예상된다. 나. 동적분석결과 악성 URL 1) web.ailxxx.co.kr/factory/event/e/index.html 2) web.ailxxx.co.kr/factory/paper/sticker/vc/index.html 3) 4) ttexxx.net/upload/goods/pop/so.js 5) erp.maxtxxx.kr/_maxtudy/img/btn.gif 6) ghcenter.pruxxx.com/spage/bk/index.html 7) image.1xxx.co.kr/file_upload/ms/test/lndex.html 8) 9) xxx/stillcut/mk/nk.js 10) xxx/stillcut/mk/index.html mbc.exe 최종다운로드파일 추가생성파일 URL 위치 eb1ea5d48cc52014c1146c71310d370c csrss.exe 47ead194bde5f723f6fd2851e95a7f64 C:\ Gpvkg \csrss.exe

39 추가생성파일추가생성파일 File system activity Opened files 위치 위치 Kgoq.dll 63ef49b41c72d48b504cfe6cc68fb271 C:\ Gpvkg \Kgoq.dll start.ink c1c0fe6ce42e5182c0378b21198b0ad C:\ Gpvkg \start.ink C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\net.exe C:\ Gpvkg \csrss.exe C:\ Gpvkg \Kgoq.dll Copied files DST: C:\ Gpvkg \csrss.exe Runtime DLLs c:\windows\system32\kernel32.dll c:\windows\system32\msvcrt.dll c:\windows\system32\user32.dll c:\windows\system32\gdi32.dll c:\windows\system32\advapi32.dll c:\windows\system32\shell32.dll c:\windows\system32\ole32.dll c:\windows\system32\oleaut32.dll c:\windows\system32\wininet.dll c:\windows\system32\avicap32.dll C:\ Gpvkg \Kgoq.dll Network activity C&C 서버는정식구독자에한해제공됩니다 Vulnerability Set Malware IP Address Malware IP Nation ISP Name xxx Korea Korea Telecom xxx Korea Korea Telecom xxx Korea Korea Telecom xxx Korea Lg Dacom Kidc xxx Korea Korea Telecom xxx Korea Korea Telecom

40 xx Korea SK Broadband Co Ltd xxx Korea Korea Telecom xxx Korea Korea Telecom xxx Korea Korea Telecom 다. 특이사항 - C&C 연결후사용자정보저장 악성코드를지속추적하던중사용자가악성코드감염이되면사용자에대한정보를 C&C 서버로전송하며전송된정보는공격자가미리만들어놓은서버에디렉토리리스팅리스트내에사용자정보가암호화저장이된다. 특히 C&C 서버또한국내의 IP로이용되고있었으며다수의국내서버를확보하여차단이되어도다른곳으로움직이는역할도관찰되었다. [ 그림 3. 공격자 C&C 서버내사용자정보저장디렉토리 ] 라. 사용자위협에따른대응사항 - 긴급정보공유

41 당사에서는이와같이다양한특이위협이사용자에게많은위협을주고있다는판단을하여 9 월 4 주차 긴급의심정보 를발행하였으며차단권고조치를내렸다. [ 그림 4. 긴급의심정보 차단권고 ] 마. 긴급정보공유 이후나타난차단효과 당사에서발행했던 긴급정보공유 이후다양한업체에서활발한대응이이루어졌다. 그결 과 긴급정보공유 전과달리국내 IP 를이용한악성코드의움직임이나타나지않는모습이데 이터를통해나타났으며효과적인차단이이루어진것으로판단된다

42 바. 향후전망 공격자입장에서는공격성공률과차단을회피할수있는방법을선호하는만큼국내내부 IP 를이용한공격과함께 MalwareNet, Multi-stage 형태가결합되는형태의악성링크가자주등장하여국내웹사이트전반에대한위협을줄것으로전망이되며신속한차단이이루어지지않는다면사용자에대한정보는지속적으로공격자에게넘어갈수밖에없다

43 5. 금융동향 가. 금융동향 11) 1) 9 월 1 주차 포탈광고배너를이용한파밍의진화 6월부터시작된플로팅배너를이용한파밍기법은일부금융권에서제1금융권까지점차범위를확대해가고있다고소개하였다. 하지만, 9월에는플로팅배너를이용한방식이아닌일반사용자를더욱정교하게속이기위해포탈사이트광고영역을이용한공격이발견되었다. [ 그림 1. hosts 파일변조 ] 공격자는 hosts 파일변조를통해네이버광고영역의파밍배너를띄워서자신이 만든파밍사이트로연결되게하고있다. [ 그림 2. 악성코드감염후 - 네이버광고영역 ] 악성코드에감염되면호스트파일이변조가되고그이후사용자가네이버접속시광고영역이변조된상태로나온다. 기존과다르게광고영역만변조되었기때문에광고영역이외에컨텐츠는정상적으로동작을하기때문에사용자로서는변조유무를판단하기가매우어렵다. 11) 월간발생하는금융이슈를정리

44 6. BotNet 12) 및 C&C 13) IP 내역 가. 주간 BotNet 및 C&C IP 내역 1) 9 월 1 주차 2) 9 월 2 주차 3) 9 월 3 주차 4) 9 월 4 주차 * 안내 : 본내용은주간보고서에서제공한사항입니다. 시일이다소지난관계로효용성및신뢰상문 제가있을수있어월간보고서에서는제공하지않음을양해해주십시오. 7. 향후전망및개선방안 가. 향후전망 Multi-stage 와 MalwareNet의결합된형태의악성링크의형태가빈번하게출현할것으로전망이되며더불어, 악성링크의차단회피를위해 8월부터나타난국내 IP를통한유포와국내서버를이용하여지속적인유포가이루어질것으로보인다. 하지만, 9월 5주 긴급정보공유 이후전체적인악성링크의숫자가급격히줄어활동이미약하게탐지되고있으며, 당분간은악성코드의움직임이감소할것으로예상되지만, 언제든다양한방법으로출현할수있기에예의주시할필요가있다. 12) BotNet 은스팸메일이나악성코드등을전파하도록하는악성코드봇 (Bot) 에감염되어해커가마음대로제어할수있는좀비 PC 들로구성된네트워크를말한다. 13) C&C: Command and Control

45 나. 개선방안 지속적인유포지및경유지침해사고가발생할경우에는웹사이트의취약점을분석하여해결해야한다. 또한, 웹사이트내에웹쉘, 루트킷과같이악성코드가숨겨져있을수있으므로, 추가적인보안대책이필요하다. 웹취약점을해결하기위해서는홈페이지의개발시점부터유지보수때까지개발자가보안코딩을준수해야하며, 아래웹사이트에서취약점을온라인으로진단이가능하다. -> 웹취약점점검 ( 가입필수및유료 ) 관리하는웹사이트가유포지또는경유지로활용되는경우에는아래의웹사이트에서무료로진단이가능하다. -> 유포지확인 ( 가입필수및무료 ) Exploit Kit에활용되는각종취약점은아래사이트를통해보안패치및업데이트가가능하다. o Microsoft Windows o Oracle Java o Adobe Flash Player o Adobe Reader [ 안내 ] * 본문서의저작권은 가소유하고있으며, 무단으로배포하거나편집할수없습니다. * 무료구독문의및 고급보안정보구독서비스 와관련된문의는 info@bitscan.co.kr 로문의하여주십시오. 끝