월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

Size: px

Start display at page:

Download "월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부"

종구 풍
7 years ago
Views:

1 월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.

2 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 악성코드경유지현황 11 - 경유지탐지 업종별비율 악성코드은닉사례분석 13 - CKVIP 익스플로잇킷버전업그레이드 ( ) 를통한악성코드유포 13 - 멀티다운로드기법을악용한악성코드유포 향후전망 51 - 악성코드유포방법및조치방안 51

3 1. 악성코드은닉동향요약 월간동향요약 악성코드취약점악용현황은 을이용한유형이 로가장높았고 순으로나타났다 어도비플래시플레이어취약점을악용한유형이 로가장 높게나타났으며 취약점 순으로나타났다 OLE(Object Linking and Embedding) : MS 社가개발한오브젝트시스템및프로토콜 악성코드유형으로는정보유출 금융정보 이 로가장높았으며 그외에도드롭퍼 정보유출 정보 등으로나타났다 정보유출 금융정보 중중국블로그 에서파밍 를받아인증서탈취가 미국 사이트 접속하여 를파싱하여인증서탈취가 로나타났다 파밍 로악용되는국가는미국이 로가장높게나타났으며 일본 홍콩 대만순으로나타났으며 및정보유출지등의국가로는미국이 로가장높게나타났다 구분내용상세취약점정보보안업데이트 CVE CVE e.cgi?name=cve security/bulletin/ms CVE 인터넷 익스플로러 취약점 CVE CVE CVE CVE CVE Internet Explorer 를사용하여특수하게조작된웹페이지에접속할경우원격코드실행허용 e.cgi?name=cve e.cgi?name=cve e.cgi?name=cve security/bulletin/ms security/bulletin/ms security/bulletin/ms CVE CVE e.cgi?name=cve security/bulletin/ms CVE

4 e.cgi?name=cve e.cgi?name=cve e.cgi?name=cve ename.cgi?name=cve e.cgi?name=cve e.cgi?name= security/bulletin/ms security/bulletin/ms security/advisory/ security/bulletin/ms security/advisory/ y/bulletin/ms CVE CVE CVE 동일 ID 속성원격코드실행취약점 ActiveX Exploit 취약점 Microsoft 비디오 ActiveX 컨트롤의취약점으로인해원격코드실행 me.cgi?name=cve gi?name=cve e.cgi?name=cve ity/bulletin/ms security/bulletin/ms ame.cgi?name=cve ducts/flash-player/apsb14-22.html ame.cgi?name=cve oducts/flash-player/apsb15-05.html CVE me.cgi?name=cve urity/advisories/apsa10-03.html CVE CVE me.cgi?name=cve urity/advisories/apsa11-02.html CVE Adobe Flash Player 취약점 CVE CVE CVE CVE 메모리손상으로인한코드 실행취약점 me.cgi?name=cve me.cgi?name=cve urity/bulletins/apsb11-21.html urity/bulletins/apsb12-03.html CVE me.cgi?name=cve urity/bulletins/apsb12-18.html CVE CVE me.cgi?name=cve urity/bulletins/apsb13-04.html me.cgi?name=cve cts/flash-player/apsb14-13.html name.cgi?name=cve cts/flash-player/apsb14-22.html e.cgi?name=cve ucts/flash-player/apsa15-01.html 4

5 e.cgi?name=cve e.cgi?name=cve CVE CVE CVE e.cgi?name=cve e.cgi?name=cve CVE 드라이브바이다운로드 Java CVE e.cgi?name=cve 방식, JRE 샌드박스제한애플릿 CVE 우회취약점이용취약점 CVE e.cgi?name=cve CVE CVE CVE e.cgi?name=cve e.cgi?name=cve me.cgi?name=cve e.cgi?name=cve MS OLE 취약점 CVE Windows OLE 자동화배열 원격코드실행취약점 ename.cgi?name=cve MS Windows Windows Media 의취약점으로 CVE Media 취약점인한원격코드실행 e.cgi?name=cve Adobe reader Adobe Reader 에서비정상종료를 CVE (PDF) 취약점유발할수있는취약점 e.cgi?name=cve MS XML 취약점 CVE XML Core Services 의취약점 e.cgi?name=cve work/topics/security/javacpufe b html#patchtable /security/javacpujun html security/alert-cve html /security/javacpuoct html security/alert-cve html /security/javacpuapr html /security/javacpujun html /security/javacpujun html curity/bulletin/ms security/bulletin/ms y/bulletins/apsb10-07.html curity/bulletin/ms

6 2. 홈페이지은닉형악성코드통계 Information TIP o 악성코드은닉사이트란? 이용자 PC를악성코드에감염시킬수있는홈페이지로, 해킹을당한후악성코드자체또는악성코드를유포하는주소 (URL) 를숨기고있는것을말한다. 2.1 악성코드유포지현황 유포지탐지현황 년 월에악성코드유포지탐지및조치현황은다음과같다 악성코드유포지탐지는전월대비 건 건 감소하였다 [ 그림 1] 악성코드유포지탐지건수 6

대량경유지가탐지된유포지 년 월에대량경유지가탐지된유포지 은다음과같다 년 월유포지에의해탐지된경유지뿐만아니라기존탐지된유포지도 지속적으로경유지에악용되고있으나 차단 조치되어악성행위는유발시키지않는다 [ 그림 2] 대량경유지가탐지된유포지 Top 10 [ 표1] 대량경유지가탐지된유포지 순위 탐지일 유포지 국가 경유지건수 1 2015-04-04 http://xxxx.or.

7 대량경유지가탐지된유포지 년 월에대량경유지가탐지된유포지 은다음과같다 년 월유포지에의해탐지된경유지뿐만아니라기존탐지된유포지도 지속적으로경유지에악용되고있으나 차단 조치되어악성행위는유발시키지않는다 [ 그림 2] 대량경유지가탐지된유포지 Top 10 [ 표1] 대량경유지가탐지된유포지 순위 탐지일 유포지 국가 경유지건수 한국 한국 한국 한국 한국 독일 미국 한국 한국 중국 73 7

8 악성코드취약점및취약한 악용현황 애플릿취약점 취약점 취약점 등의취약점과복합적으로사용되었다 취약한 악용유형중 취약점이 의비율로가장높았으며 그이외에도 취약점 취약점등의순으로 를악용하였다 [ 그림 3] 악성코드취약점악용현황 [ 그림 4] 취약한 S/W 악용현황 8

9 악성코드유형별비율 악성코드유형중정보유출 금융정보 이 의비율로가장높았으며 그이외에도 원격제어 드롭퍼 금융사이트파밍등의악성코드유형이다양하게나타났다 [ 그림 5] 악성코드유형별비율 정보유출 ( 금융정보 ) : 공인인증서, 비밀번호등금융정보를탈취하는악성코드 드롭퍼 : 정상애플리케이션인것처럼배포된뒤실행되면악성코드를설치하는방식 정보유출 (PC정보) : 이용자의 PC내의컴퓨터이름, MAC정보등을탈취하는악성코드 랜섬웨어 : PC의중요파일 ( 문서, 사진등 ) 을암호화하고금전을요구하는악성코드 9

10 위협 및도메인현황 년 월에위협 및도메인현황 은다음과같다 [ 그림 6] 파밍 IP 악용현황 [ 그림 7] C&C 및정보유출지악용현황 [ 표2] 파밍 IP / C&C 및정보유출지악용현황건순위파밍 IP 국가수건수 C&C 및정보유출지 XXX.XXX 일본 XXX.XXX 미국 XXX.XXX 미국 XXX.XXX 미국 4 국가 건수 XXX.XXX 미국 XXX.XXX 태국 XXX.XXX 미국 XXX.XXX 미국 XXX.XXX 홍콩 XXX.XXX 미국 XXX.XXX 미국 XXX.XXX 홍콩 XXX.XXX 미국 5 devmulti.com.xx X.XXX 미국 XXX.XXX 미국 XXX.XXX 중국 XXX.XXX 홍콩 XXX.XXX 홍콩 XXX.XXX 미국 XXX.XXX 미국 1 10

11 2.2 악성코드경유지현황 경유지탐지 업종별비율 년 월에악성코드경유지탐지 업종별유형은다음과같다 악성코드경유지탐지는전월대비 건 건 감소하였다 탐지된경유지는해당홈페이지운영자에게통보하여악성코드삭제및보안조치요청을수행 경유지업종별유형중엔터테인먼트 도서생활소셜커머스 게임쇼핑이가장높았고 택배 교통 운송 제조 판매 건설 교육 학원 학교 학회 연구소 유학순으로탐지가되었으며 이에대해삭제및보안조치요청을수행하였다 [ 그림 8] 경유지탐지현황 11

12 [ 그림 9] 경유지업종별현황 12

3. 악성코드은닉사례분석 익스플로잇킷버전업그레이드 를통한악성코드유포 정보유출 금융정보 http://xxxxxxx.

13 3. 악성코드은닉사례분석 익스플로잇킷버전업그레이드 를통한악성코드유포 정보유출 금융정보 난독화스크립트디코딩후 버전체크및취약점을악용하여악성코드다운로드 중략 13

14 버전체크 중략 변경 14

15 취약점 취약점 15

16 취약점 취약점 변경 16

17 취약점 userdata/xx/swfobject.js 사용에필요한라이브러리 중략 17

18 생략 18

19 userdata/xx/jquery min.js 사용에필요한라이브러리 생략 userdata/xx/ww.html 취약점을악용하여악성코드다운로드 19

20 중략 취약점 후 20

21 userdata/xx/main.html 난독화스크립트디코딩후 취약점을악용하여악성코드다운로드 중략 21

22 취약점 22

23 중략 23

24 24

25 25

$행위설명 - C:\[6 자리랜덤문자열 ]$

26 악성코드파일 상세분석내용 악성코드행위 악성 dll파일을생성하고코드인젝션으로파밍악성행위를시도하는악성코드 네트워크상의악성행위 도메인 IP 용도상세내용 users.qzone.qq.com 파밍 IP 파밍사이트 운영체제상의악성행위 항목 내용 행위설명 - C:\[6 자리랜덤문자열 ] 폴더생성후폴더내악성 dll 생성, 실행 행위설명 26

27 - 실행된악성 dll 은 svchost.exe 을실행하여 dll 인젝션시도 행위설명 - VBscript 를통해로컬네트워크 DNS 를변경, DNS 캐쉬삭제하며파밍대상사이트에접속할경우 qq 블로그에서받아온 IP 주소 ( 파밍사이트 ) 로연결 27

28 행위설명 - 사용자컴퓨터내에 NPKI 폴더를찾아 VBScript 를이용하여 zip 으로압축후전송추정 네트워크 - 파밍사이트로연결을위한 IP 수신 * 접속사이트 28

- URL: http://users.qzone.qq.com/fcg-bin/cgi_get_portrait.fcg?uins=2749179113 네트워크 - 파밍및공인인증서탈취 IP * 접속사이트 - IP: 104.216.97.220 - URL: http://104.216.97.220/ip.

29 - URL: 네트워크 - 파밍및공인인증서탈취 IP * 접속사이트 - IP: URL: - URL: 네트워크 - 사용자 MAC 정보유출 ( 현재접속불가 ) * 접속사이트 - IP: 115.xx.xxx.44 - URL: 29

멀티다운로드기법을악용한악성코드유포 정보유출 금융정보 http://xxxxx.xxx.ac.

30 멀티다운로드기법을악용한악성코드유포 정보유출 금융정보 난독화스크립트디코딩후 버전체크및취약점을악용하여악성코드다운로드 중략 30

31 버전체크 중략 취약점 31

32 취약점 취약점 32

33 취약점 33

34 취약점 34

35 data/bbsdata/cs/swfobject.js 사용에필요한라이브러리 중략 생략 35

36 data/bbsdata/cs/jquery min.js 사용에필요한라이브러리 생략 data/bbsdata/cs/ww.html 취약점을악용하여악성코드다운로드 36

37 중략 취약점 후 37

38 data/bbsdata/cs/main.html 난독화스크립트디코딩후 취약점을악용하여악성코드다운로드 중략 38

39 취약점 39

40 중략 40

41 41

42 42

$76 C&C 정보유출 운영체제상의악성행위 항목 내용 행위설명 * 행위유형 : Create * 경로 : C:\ 랜덤명 \Config.ini * 경로 : C:\ 랜덤명 \setting.xml * 경로 : C:\ 랜덤명 \ 랜덤 5 글자.$

43 악성코드파일 상세분석내용 악성코드행위 코드인젝션을통해중국블로그에접속하여 정보를취득하여공인인증서탈취를유도하는금융탈취형악성코드 네트워크상의악성행위 도메인 IP 용도상세내용 qzone.qq.com C&C 정보유출 운영체제상의악성행위 항목 내용 행위설명 * 행위유형 : Create * 경로 : C:\ 랜덤명 \Config.ini * 경로 : C:\ 랜덤명 \setting.xml * 경로 : C:\ 랜덤명 \ 랜덤 5 글자.exe 네트워크 - 특정 IP 에접속을시도하지만접속불가 * 접속사이트 43

44 - IP: :3023 (TH) - 프로토콜 : TCP 행위설명 - 공인인증서 (NPKI) 폴더를찾아임시폴더에복사 네트워크 44

* 접속사이트 - 도메인 : 190055271.qzone.qq.com - IP: 112.xxx

com/main * 접속사이트 - 도메인 : 61814984.qzone.qq.com - IP: 112.xxx.

45 * 접속사이트 - 도메인 : qzone.qq.com - IP: 112.xxx.xx.113 (KR) - 프로토콜 : HTTP - URL: * 접속사이트 - 도메인 : qzone.qq.com - IP: 112.xxx.xx.90 (KR) - 프로토콜 : HTTP - URL: 45

46 * 접속사이트 - IP: :805 (TH) - 프로토콜 : TCP * 접속사이트 - IP: (US) - 프로토콜 : TCP 46

$164 파밍 IP 파밍사이트 운영체제상의악성행위 항목 내용 행위설명 * 행위유형 : Create * 경로 : C:\ 랜덤폴더 \ 랜덤.dll 행위설명 - 랜덤으로생성된파일을통해 svchost.exe 에코드인젝션한다.$

47 악성코드파일 상세분석내용 악성코드행위 특정파일드랍후레지스트리등록 특정사이트에접속해서파밍이후공인인증서 탈취를시도한다 네트워크상의악성행위 도메인 IP 용도상세내용 users.qzone.qq.com 파밍 IP 파밍사이트 운영체제상의악성행위 항목 내용 행위설명 * 행위유형 : Create * 경로 : C:\ 랜덤폴더 \ 랜덤.dll 행위설명 - 랜덤으로생성된파일을통해 svchost.exe 에코드인젝션한다. 47

.xx.26, KR - 프로토콜 : HTTP - URL: http://users.

48 네트워크 - 특정사이트에접속해서특정정보를가져옴 * 접속사이트 - 도메인 : users.qzone.qq.com - IP: 183.xxx.xx.26, KR - 프로토콜 : HTTP - URL: 네트워크 48

를탈취 * 접속사이트 - 도메인 : eoqkrskfk.gnway.org - IP: 107.160.85.

49 - 파밍 IP( , US) 를포함한파일이다운로드 네트워크 - 특정 IP 에접속을시도하여 PC 정보 (MAC 주소 ) 를탈취 * 접속사이트 - 도메인 : eoqkrskfk.gnway.org - IP: (US) - 프로토콜 : HTTP - URL: 49

50 파일 - 공인인증서 (NPKI) 폴더를찾아임시폴더에압축 네트워크 - 특정 IP 접속하여공인인증서 (NPKI) 압축된파일전송 * 접속사이트 - IP: (US) - 프로토콜 : HTTP - URL: - URL: 50

51 4. 향후전망 악성코드유포방법 복합취약점을이용한악성코드유포지속 애플릿취약점등을복합적으로악용하여악성코드를유포시키는사례가지속적으로나타나고있다 이용자가많은홈페이지악성코드유포지속 이용자가많은특정커뮤니티홈페이지등이용자수가많은홈페이지를통해악성코드가유포되었다 정보유출 금융정보 악성코드의다양한파밍 파싱기법 정보유출 금융정보 중중국블로그 에서파밍 를받아인증서탈취가 미국 사이트 접속하여 를파싱하여인증서탈취가 로나타났다 악성코드조치방안 개인및기업의조치보안방안 개인및기업은보안점검및보안패치등보안강화를통해금융정보유출및사이버공격에각별한주의를기울여야한다 웹취약점점검신청 : 홈페이지해킹방지도구 : 휘슬신청 : 개발시점의시큐어코딩을통한홈페이지구축권고 기업에서근본적으로홈페이지개발시점부터보안의식및시큐어코딩으로홈페이지를구축하고 주기적인취약점점검및패치를적용하여웹서버가 51

52 해킹되지않도록사전에방지해야한다 최신보안업데이트권고 이용자는 윈도우의보안업데이트를항상최신상태로유지할것을권장하며 및 관련취약점에의해악성코드에감염되지않도록주의하여야한다 또한안티바이러스 백신을이용하여주기적으로점검하여야한다 윈도우최신보안업데이트적용 자동보안업데이트설정권장 MS 업데이트사이트 : ( 윈도우 7) 제어판 - 시스템및보안 - Windows Update 의취약점에대한보안업데이트적용 MS 보안업데이트 : 최신버전업데이트적용 최신버전 : Adobe Flash Player ( 최신버전업데이트적용 최신버전 : Java SE Runtime Environment 8u45 ( 52

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부 ` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황