유포지탐지동향

Size: px

Start display at page:

Download "유포지탐지동향"

원준 양
5 years ago
Views:

1 월간악성코드은닉사이트탐지 동향보고서 (7 월 ) 침해사고대응단 인터넷침해대응본부

2 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉사례분석 14 - 특정 IP 대역에중국어 ( 발음기호 ) 를유포지주소로사용하는악성코드유포 => 정보유출 ( 금융정보 ) 14 - 언론사홈페이지를통한악성코드유포 (Adobe Flash Player 취약점악용 ) => 정보유출 (PC정보 ) 24 - 종교단체연구회홈페이지를통한악성코드유포 (Activex 및 Adobe Flash Player 취약점악용 ) => 정보유출 (PC 정보 ) 향후전망 35 - 악성코드유포방법및조치방안 35

3 월간동향요약 월홈페이지를통해유포된악성코드는 가정보유출 금융정보 이며 그외원격제어 금융사이트파밍 정보유출 정보 등으로파악되었다 또한 애플릿 취약점을복합적으로이용하여악성코드를유포하는것으로분석되었다 인터넷익스플로러취약점 Adobe Flash Player 취약점 Java 애플릿취약점 MS Windows Media 취약점 Adobe reader (PDF) 취약점 MS XML 취약점 악성코드은닉동향요약 구분내용상세취약점정보보안업데이트 me.cgi?name=cve /security/bulletin/ms gi?name=cve security/bulletin/ms CVE gi?name=cve CVE security/bulletin/ms CVE gi?name=cve CVE security/bulletin/ms CVE Internet Explorer 를사용하 CVE 여특수하게조작된웹 gi?name=cve security/bulletin/ms CVE 페이지에접속할경우원 CVE 격코드실행허용 gi?name=cve security/bulletin/ms gi?name=cve CVE security/bulletin/ms me.cgi?name=cve security/advisory/ me.cgi?name= security/bulletin/ms me.cgi?name= /security/advisory/ CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE CVE 동일 ID 속성원격코드실행취약점 ActiveX Exploit 취약점 Microsoft 비디오 ActiveX 컨트롤의취약점으로인해원격코드실행 메모리손상으로인한코드실행취약점 드라이브바이다운로드방식, JRE 샌드박스제한우회취약점이용 Windows Media 의취약점으로인한원격코드실행 Adobe Reader 에서비정상종료를유발할수있는취약점 XML Core Services 의취약점 cgi?name=cve cgi?name=cve gi?name=cve cgi?name=cve cgi?name= cgi?name=cve cgi?name=cve cgi?name= cgi?name=cve cgi?name= cgi?name=cve cgi?name=cve cgi?name= cgi?name=cve cgi?name= cgi?name=cve cgi?name=cve cgi?name=cve gi?name=cve gi?name=cve cgi?name= rity/bulletin/ms security/bulletin/ms /advisories/apsa11-02.html /bulletins/apsb11-21.html /bulletins/apsb12-03.html /bulletins/apsb12-18.html /bulletins/apsb13-04.html s/flash-player/apsb14-13.html ics/security/javacpufeb ht ml#patchtable curity/javacpujun html urity/alert-cve html curity/javacpuoct html rity/alert-cve html n/documents/webcontent/ xml curity/javacpuapr html curity/javacpujun html security/bulletin/ms ty/bulletins/apsb10-07.html ecurity/bulletin/ms

4 홈페이지은닉형악성코드통계 Information TIP o 악성코드은닉사이트란? 이용자 PC 를악성코드에감염시킬수있는홈페이지로, 해킹을당한후악성코드 자체또는악성코드를유포하는주소 (URL) 를숨기고있는것을말한다. o 악성코드은닉사이트는크게유포지와경유지로구분된다. 유포지 : 홈페이지이용자에게악성코드를직접유포하는홈페이지 경유지 : 홈페이지방문자를유포지로자동연결하여악성코드를간접유포하는홈페이지 유포지탐지현황 년 월에악성코드유포지탐지및조치현황은다음과같다 악성코드유포지탐지는전월대비 건 건 증가하였다 유포지탐지 - 2 -

대량경유지가탐지된유포지 년 월에대량경유지가탐지된유포지 은다음과같다 순위탐지일유포지국가경유지건수 1 2012-08-25 http://www.brenz.pl/rc/ 폴란드 1,326 2 2014-03-13 http://east.xxxxxx.co.kr/bl/g/ads.gif 한국 296 3 2012-10-08 http://www.ksdnewr.com/js/w.

5 대량경유지가탐지된유포지 년 월에대량경유지가탐지된유포지 은다음과같다 순위탐지일유포지국가경유지건수 폴란드 1, 한국 미국 한국 한국 중국 미국 한국 미국 러시아

6 악성코드유형별비율 악성코드유형중정보유출 금융정보 가 의비율로가장높았으며 그이외에도원격제어 금융사이트파밍 정보유출 정보 등의악성코드 유형이다양하게나타났다 금융사이트파밍 : 운영체제에서제공하는호스트연결기능을악용한것으로정상호스트설정파일을악의적으로변경하여정상금융사이트방문시가짜금융사이트로연결 비트코인 : 지폐나동전과달리물리적인형태가없는온라인가상화폐 웜 : 네트워크를통해자신을복제하고전파할수있는악성프로그램 악성코드취약점유형별비율 애플릿취약점 취약점 취약점 취약점 등의취약점과복합적으로사용되었다 - 4 -

악성코드수집및분석결과 년 월에악성코드수집내역과분석결과는다음과같다 악용되는취약점은 취약점 애플릿취약점 취약점 취약점 취약점의 가지형태로구성되어있다 No 탐지일유포지국가취약점악성코드유형 1 07.01 http://www.xxxxxxxxx.co.kr/cook/m/index.h tml 한국 정보유출 ( 금융정보 ) 정보유출 ( 금융정보 ) 2 07.

7 악성코드수집및분석결과 년 월에악성코드수집내역과분석결과는다음과같다 악용되는취약점은 취약점 애플릿취약점 취약점 취약점 취약점의 가지형태로구성되어있다 No 탐지일유포지국가취약점악성코드유형 tml 한국 정보유출 ( 금융정보 ) 정보유출 ( 금융정보 ) 러시아직접다운로드원격제어 한국직접다운로드정보유출 (PC 정보 ) hnc267.php 프랑스직접다운로드비정상파일 - 5 -

8 미국 files/5129f3bd/ad.html 한국 원격제어 금융사이트파밍 홍콩직접다운로드정보유출 (PC 정보 ) 한국 CVE 정보유출 (PC 정보 ) ml 한국 /ad.html 한국 미국 한국 /ad.html 한국 금융사이트파밍금융사이트파밍비정상파일원격제어정보유출 ( 금융정보 ) - 6 -

9 미국 원격제어 한국 직접다운로드 정보유출 ( 금융정보 ) 미국 원격제어 미국 원격제어 pg/init.js 한국 CVE 정보유출 (PC정보) 미국 원격제어 한국 CVE 정보유출 ( 금융정보 ) d jpg mu.jpg 프랑스 CVE 비정상파일 독일직접다운로드비정상파일 한국 CVE 정보유출 ( 게임계정 ) 한국직접다운로드웜 한국직접다운로드웜 한국직접다운로드웜 한국직접다운로드웜 한국직접다운로드비트코인 - 7 -

10 dex.html tml 일본 한국 원격제어 금융사이트파밍 한국 CVE 정보유출 (PC 정보 ) 한국직접다운로드정보유출 ( 모바일기기정보 ) 미국 한국 미국 미국 미국 원격제어원격제어정보유출 ( 금융정보 ) 정보유출 ( 금융정보 ) 정보유출 ( 금융정보 ) 원격제어 - 8 -

11 홍콩 미국 미국 미국 미국 미국 정보유출 ( 금융정보 ) 금융사이트파밍정보유출 ( 금융정보 ) 정보유출 ( 금융정보 ) 정보유출 ( 금융정보 ) 정보유출 ( 금융정보 ) 한국직접다운로드정보유출 ( 금융정보 ) 미국직접다운로드정보유출 ( 금융정보 ) 미국 원격제어 - 9 -

12 미국 정보유출 ( 금융정보 ) 미국직접다운로드정보유출 ( 금융정보 ) 미국 미국 미국 미국 미국 미국 정보유출 ( 금융정보 ) 정보유출 ( 금융정보 ) 정보유출 ( 금융정보 ) 금융사이트파밍정보유출 ( 금융정보 ) 정보유출 ( 금융정보 )

13 미국 미국 한국 홍콩 정보유출 ( 금융정보 ) 정보유출 ( 금융정보 ) 금융사이트파밍정보유출 ( 금융정보 ) 한국직접다운로드정보유출 ( 금융정보 ) l.html 한국 홍콩 한국 미국 금융사이트파밍정보유출 ( 금융정보 ) 드롭퍼정보유출 ( 금융정보 )

14 한국 plete/index.html 한국 정보유출 ( 금융정보 ) 원격제어 한국직접다운로드다운로더 html 한국 미국 홍콩 정보유출 ( 금융정보 ) 원격제어 원격제어 미국 금융사이트파밍 미국 한국 원격제어 정보유출 ( 금융정보 )

15 경유지탐지 업종별비율 년 월에악성코드경유지탐지 업종별유형은다음과같다 악성코드경유지탐지는전월대비 건 건 증가하였다 탐지된경유지는해당홈페이지운영자에게통보하여악성코드삭제및보안조치요청을수행 경유지업종별유형중택배 교통 운송 제조 판매 건설이가장높았고 영세 중소기업 여행 음식 숙박 법인 부동산 결혼 사진 미용 취업 채용 광고 마케팅 엔터테인먼트 도서 생활 소셜커머스 게임 쇼핑순으로탐지가되었으며 이에대해삭제및보안조치요청을수행하였다 경유지탐지 경유지업종별유형

악성코드은닉사례분석 7 월악성코드이슈 년 월수집된악성코드샘플을분석한결과 애플릿취약점 종 취약점 종 취약점 종 을복합적으로악용하여악성코드를유포하는형태가 로가장높게나타났다 특정 대역에중국어 발음기호 를유포지주소로사용하는금융정보탈취악성코드가지속유포되었으며 리눅스서버를공격대상으로하는백도어악성코드가유포되어주의가필요하다 또한

16 악성코드은닉사례분석 7 월악성코드이슈 년 월수집된악성코드샘플을분석한결과 애플릿취약점 종 취약점 종 취약점 종 을복합적으로악용하여악성코드를유포하는형태가 로가장높게나타났다 특정 대역에중국어 발음기호 를유포지주소로사용하는금융정보탈취악성코드가지속유포되었으며 리눅스서버를공격대상으로하는백도어악성코드가유포되어주의가필요하다 또한 포털블로그홈페이지를이용하여금융정보탈취악성코드가유포되었으며 종교단체연구회홈페이지의 및 취약점을악용한감염 정보유출악성코드가유포되었다 주요언론사및웹하드등홈페이지를통해온라인게임계정탈취및금융정보탈취악성코드가지속유포되고있으므로이용자들은금융정보유출에각별한주의를기울여야한다 악성코드유형으로는정보유출 금융정보 가 로가장높았으며 그외에도원격제어 금융사이트파밍 정보유출 정보 등으로나타났다 특정 대역에중국어 발음기호 를유포지주소로사용하는악성코드 유포 정보유출 금융정보

17 난독화스크립트디코딩후 버전체크및취약점을악용하여악성코드다운로드 중략 취약점

18 취약점 중략 취약점 중략 취약점 취약점 중략 버전체크 /swfobject.js 사용에필요한라이브러리 중략

19 생략 /top.js 사용에필요한라이브러리 생략

20 /ww.html 취약점을악용하여악성코드다운로드 중략 취약점

21 /xx.html 난독화스크립트디코딩후 코어취약점을악용하여악성코드다운로드 중략 중략 코어취약점 중략

22 /yy.html 취약점을악용하여악성코드다운로드 후

23 /zz.html 취약점을악용하여악성코드다운로드 중략 취약점 중략 중략 중략

24 악성코드파일 상세분석내용 개요 정보유출 금융정보 네트워크상의악성행위 도메인 용도 상세내용 파밍 정보유출 금융정보 운영체제상의악성행위 항목내용금융정보탈취를목적으로 파일을변경하는악성코드를드랍한다 행위설명 파일파일레지스트리프로세스 행위유형 경로 행위유형 경로 행위유형 레지스트리키 레지스트리명 레지스트리값 행위유형 프로세스명

25 프로세스경로 대상프로세스백신을찾아우회를시도한다 행위설명 금융정보탈취를목적으로사용자를공격자가유도하는사이트로접속하게하는변조된 파일이다 행위설명 네트워크 네트워크 네트워크패킷 파일 설명 로부터유도대상사이트를받아오는패킷이다 특정 을공격자가유도하는 로리다이렉트한다 행위목적 금융정보탈취 접속사이트 프로토콜

언론사홈페이지를통한악성코드유포 취약점악용 정보유출 정보 http://ad01.xxxxxx.

26 언론사홈페이지를통한악성코드유포 취약점악용 정보유출 정보 디코딩후 확인 /mp3/bot.swf 파일디컴파일후

27 버전체크 중략 중략

28 중략

$악성코드파일 상세분석내용 개요 정보유출 정보 네트워크상의악성행위 도메인 용도상세내용 정보유출 및기기정보유출 정보유출 및기기정보유출 운영체제상의악성행위 항목 내용 특정경로에파일을생성하며생성된파일을서비스로등록한다. 행위설명 파일 서비스 * 행위유형 : create * 경로 : c\windows\system32\midimapbits.$

29 악성코드파일 상세분석내용 개요 정보유출 정보 네트워크상의악성행위 도메인 용도상세내용 정보유출 및기기정보유출 정보유출 및기기정보유출 운영체제상의악성행위 항목 내용 특정경로에파일을생성하며생성된파일을서비스로등록한다. 행위설명 파일 서비스 * 행위유형 : create * 경로 : c\windows\system32\midimapbits.dll * 행위유형 : modify * 서비스명 : HKLM\SYSTEM\CurrentControlSet\Services\BITS * 표시명 : Background Intelligent Transfer Service * DLL파일경로 : c\windows\system32\midimapbits.dll * 서비스설명 : C:\WINDOWS\system32\qmgr.dll 에서악성 DLL실행경로로바뀜백신무력화및특정네트워크주소에접속하여다운로드를시도한다. 행위설명

$행위설명 파일 백신무력화및특정네트워크주소에접속하여다운로드를시도한다. 생성된 dat 파일에는악성파일의버젼정보가저장되어진다. * 행위유형 : create * 경로 : C:\Documents and Settings\( 사용자계정폴더 )\Local Settings\Temp\version361.dat 특정네트워크접속을하여시스템정보탈취및추가다운로드를시도한다.$

30 행위설명 파일 백신무력화및특정네트워크주소에접속하여다운로드를시도한다. 생성된 dat 파일에는악성파일의버젼정보가저장되어진다. * 행위유형 : create * 경로 : C:\Documents and Settings\( 사용자계정폴더 )\Local Settings\Temp\version361.dat 특정네트워크접속을하여시스템정보탈취및추가다운로드를시도한다. 행위설명 * 접속사이트 - 도메인 : gamefocus.co.kr - 프로토콜 : http - URL : 특정네트워크접속을하여시스템정보탈취및추가다운로드를시도한다. 네트워크 * 접속사이트 - 도메인 : update.ncook.net - 프로토콜 : http - URL :

종교단체연구회홈페이지를통한악성코드유포 및 취약점악용 정보유출 정보 http://www.

31 종교단체연구회홈페이지를통한악성코드유포 및 취약점악용 정보유출 정보 버전체크 버전체크 취약점 중략

32 모듈체크 /files/env/image/jpg/maproject.swf 파일디컴파일후 중략

33 중략

$* 행위유형 : create * 경로 : C:\Windows\SysWOW64\dybhg\eotfhe.$

34 악성코드파일 상세분석내용 개요 정보유출 금융정보 네트워크상의악성행위 도메인 용도 상세내용 정보유출 운영체제상의악성행위 항목 행위설명파일레지스트리 내용 특정경로 ( 랜덤폴더명 ) 에랜덤명의파일을생성한다. 또한생성한파일이윈도우시작시자동실행될수있도록특정레지스트리경로에등록한다. * 행위유형 : create * 경로 : C:\Windows\SysWOW64\dybhg\eotfhe.exe * 행위유형 : create * 레지스트리키 : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run * 레지스트리명 : phjuwvov * 레지스트리값 : C:\Windows\SysWOW64\dybhg\eotfhe.exe 악성코드내부식별자코드는 Kernel32_2.DLL임 행위설명 컴퓨터계정정보와 MAC 주소를다음과같은방식으로인코딩하여전송 행위설명 현재명령은 m!#p2p8*3o 으로하드코딩되어있음 행위설명

35 명령이 8*8afcE3M 일때악성코드가한행적을남기기위한변수생성 행위설명 명령이 MNLS*803AC0iL 일때 Temp 폴더에악성코드추가다운로드및실행 행위설명 명령이 7*(Hy83 일때파일생성 행위설명

특정서버에감염 PC 정보전송 md= 인코딩한정보 &page=[ 현재명령 ]&v= 운영체제버전정보 네트워크 * 행위목적 : 정보유출 * 접속사이트 - 도메인 : www.peace4rc.

36 특정서버에감염 PC 정보전송 md= 인코딩한정보 &page=[ 현재명령 ]&v= 운영체제버전정보 네트워크 * 행위목적 : 정보유출 * 접속사이트 - 도메인 : - 프로토콜 : http - URL : htp:// * 네트워크패킷 - 파일 :./2014-K1321_eotfhe.exe_f527959b8e1d853a8fb4c0da6a51c260.pcap

37 향후전망 악성코드유포방법및조치방안 애플릿취약점등을복합적으로악용하여악성코드를유포시키는사례가지속적으로나타나고있다 지역정당홈페이지를통해접속자통계를카운트하는악성코드가유포되었고 포털블로그홈페이지에금융정보탈취악성코드가유포되었으며 리눅스서버를공격대상으로하는백도어악성코드가유포되어주의가필요하다 또한 특정 대역에중국어 발음기호 를유포지주소로사용하는금융정보탈취악성코드가지속유포되었고 종교단체연구회홈페이지를이용하여 모듈취약점과 취약점을악용하여감염 정보유출악성코드가유포되었다 주요언론사및웹하드등홈페이지를통해온라인게임계정및금융정보탈취악성코드가지속적으로유포되고있으므로개인및기업은보안점검및보안패치등보안강화통해금융정보유출에각별한주의를기울여야한다 웹취약점점검바로가기 : 홈페이지해킹방지도구 : 휘슬바로가기 : 주요홈페이지를통한금융정보탈취악성코드가지속유포되고있으며 리눅스에서동작하는백도어악성코드가유포되어관련담당자의주의가요구된다 홈페이지담당자들은홈페이지가더이상사이버공격에악용되지않도록홈페이지보안강화등을통해신뢰할수있는웹서비스를제공해야할것이다 기업에서근본적으로홈페이지개발시점부터보안의식및시큐어코딩으로홈페이지를구축하고 주기적인취약점점검및패치를적용하여웹서버가해킹되지않도록사전에방지해야한다 웹취약점점검서비스및웹보안강화도구 ( 휘슬 / 캐슬 ) 사용안내 : 이용자는 윈도우의보안업데이트를항상최신상태로유지할것을

38 권장하며 및 관련취약점에의해악성코드에감염되지않도록주의하여야한다 또한안티바이러스 백신 을이용하여주기적으로점검하여야한다 윈도우최신보안업데이트적용 자동보안업데이트설정권장 MS 업데이트사이트 : ( 윈도우7) 제어판 - 시스템및보안 - Windows Update 의취약점에대한보안업데이트적용 MS 보안업데이트 : 최신버전업데이트적용 최신버전 : Adobe Flash Player ( 최신버전업데이트적용 최신버전 : Java SE Runtime Environment 8u20 (

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.