고급보안정보구독서비스 소개 국내외 210여만개 ( 국내 180만, 해외 30만 ) 웹사이트를통해발생되는대량감염시도와워터링홀공격을실시간으로탐지하여공격에대한이슈, 실제범위및미치는영향등을주간단위로분석하여제공하는정보제공서비스 서비스유형 l 브리핑요약 한주간의공격동향및새로운공격

온라인위협동향 (OTIR) 월간보고서 (2013 년 12 월 )

고급보안정보구독서비스 소개 국내외 210여만개 ( 국내 180만, 해외 30만 ) 웹사이트를통해발생되는대량감염시도와워터링홀공격을실시간으로탐지하여공격에대한이슈, 실제범위및미치는영향등을주간단위로분석하여제공하는정보제공서비스 서비스유형 l 브리핑요약 한주간의공격동향및새로운공격형태정보요약 l 동향분석보고서 월최소 4회제공 l 기술보고서 공격기법및구조분석제공 l 좀비PC탐지정보 APT 및 DDoS 관련정보제공, 매일제공 l 제공해킹탐지 Alert 서비스 - PCDS에서탐지된악성 URL DB를활용하여해킹여부제공 제공시기 l 정기 - 주 1 회 ( 수요일 ) l 비정기 인터넷위협수준이 4 단계. 경고 이상일경우수시 무료구독자 l 주간브리핑요약 주간브리핑보고서의내용을 2 장분량으로요약제공 ( 정기 ) l 긴급정보제공 인터넷위협수준이 4 단계. 경고 이상일경우 ( 수시, 선별된정보만제공 ) 정기구독자 l 스탠다드 브리핑요약, 동향분석보고서, 기술분석보고서 l 엔터프라이즈 Daily base C&C 정보, 브리핑요약, 동향분석, 기술보고서, 전문분석, 좀비PC탐지정보, 악성코드샘플 악성코드샘플은별도협의 구독문의 l 무료신청을원하시는경우 info@bitscan.co.kr 로연락주십시오. l 정기구독및관련사항문의는 등록된이메일 을통해 info@bitscan.co.kr 로연락주십시오.

목 차 1. 악성코드은닉사이트동향 3 가. 월간인터넷위협동향 3 나. 월간브리핑동향 4 다. 주간브리핑동향 4 1) 12월 1주차 4 2) 12월 2주차 4 3) 12월 3주차 4 4) 12월 4주차 5 5) 12월 5주차 5 라. 월간금융동향 5 2. 악성코드은닉사이트월간통계 6 가. 은닉사이트탐지동향 6 1) 은닉사이트주간동향 6 2) 은닉사이트월간동향 7 나. 국내경유지를활용하는주요유포사이트현황 탐지동향요약 8 1) 주요월간유포지주요국가별요약현황 8 2) 주요국가별현황월간요약통계 8 3) 주요유포사이트주간동향 9 다. 주요감염취약점관련통계 10 1) 주요감염취약점월간동향 10 2) 취약점별 / 주간통계 10 3) 취약점별 / 주간통계도표 11 4) Exploit Tool Kit 유형별 / 주간통계 12 5) 신규경유지 ( 악성링크 ) 의파급력증가 13 6) 취약점세부정보 14 바. 대량경유지가탐지된유포지 Top 10 16 사. 주요유포지분석 Top 10 17 3. 주요유포지 URL 수집및분석결과 23 가. 주요유포지요약 23 나. 유포현황 - 악성코드자동공격화도구 25 4. 악성코드은닉사례분석 영향력있는사이트를노린악성코드습격 26 가. CVE-2013-3897을단독으로사용한사이트등장 - 12월 1주 26 나. 저축은행중앙회를통한악성코드유포 - 12월 2주 27 다. 포털사이트게임서비스마계전설을통한악성코드유포 - 12월 4주 28 라. 향후대책 28 5. 금융동향 29 가. 금융동향 29 1) 12월 4주차 진화하는파밍사이트사용자계정재인증요구 29 6. BotNet 및 C&C IP 내역 30 가. 주간 BotNet 및 C&C IP 내역 30

1) 12월 1주차 30 2) 12월 2주차 30 3) 12월 3주차 30 4) 12월 4주차 30 5) 12월 5주차 30 7. 개선방안 31 [ 안내 ] 31-2 -

월간보고서 2013 년 12 월 No. BITSCAN-14-01 작성일 2014년 01월 29일작성자 Bitscan 빛스캔, Bitscan, 악성코드, 고급보안정보구독서비스, Online Threat Intelligence Report, 은 Keyword 닉사이트, 유포사이트, 유포지, 경유사이트, 경유지, OTIR, 2013년, 2013년 12월 월간보고서는매주발간되는 고급보안정보구독서비스 의주간브리핑, 기술분석, 동향분 석, 전문분석보고서와긴급상황시제공되는추가정보및관련보고서를취합하여각각의주 요특징을기술하였으며, 통계정보를수집분석하였다. 1. 악성코드은닉사이트동향 가. 월간인터넷위협동향 1) 12 월 1 주부터증가된신규공격코드의 평시 영향력은 MalwareNet 과일부대형사이 관심 트와결합이되면서국내인터넷환경에심각한위협을가져왔으며, 그결과 12월 주의 3 주까지인터넷위협등급을 경고 로유 경고 지하였다. 하지만, 12월 4주차부터효과적인공격이발생하지않았고, 소규모적 12 월 1 주 12 월 2 주 12 월 3 주 12 월 4 주 12 월 5 주 심각 인공격이발생하여 주의 단계로한단계하향조정했다. [ 표 1. 월간인터넷위협동향 ] 1) 한국인터넷월간위협경보 - 3 -

나. 월간브리핑동향 2) 12월악성링크, 바이너리, C&C 서버, IP 차단및탐지를회피하기위한잦은변화의움직임이지속된가운데언론사, 파일공유 (P2P), 광고링크사이트와같이영향력이높은사이트를통한악성코드유포가이루어졌으며 MalwareNet 또한활발한활동이나타났다. 유포된악성링크에서는 CVE-2013-3897이단독으로쓰인악성코드도등장하였다. 또한, 꾸준히나타나고있는레드킷의일부바이너리링크는차단회피를위해 SkyDrive를이용하는정황도포착되었다. 다. 주간브리핑동향 3) 1) 12 월 1 주차 언론사, 파일공유 (P2P) 사이트와같이영향력이높은사이트를통한공격이지속된가운데최소 80여곳에서최대 200여곳의웹사이트를보유한대규모 MalwareNet 과결합된공격형태가관찰되었다. 공격성공시에는파밍악성코드이외에백도어유형까지도감염이발생되었으며더불어, CVE-2013-3897을단독적으로사용한악성링크도등장했다. 또한, 일본도메인 (.jp) 을직접적인공격통로로활용하는공격이출현했다. 2) 12 월 2 주차 파일공유 (P2P) 사이트이외에금융권사이트가직접적인 MalwareNet을유포한결과신규경유지 ( 악성링크 ) 의수치가낮아졌음에도불과하고신규공격코드가가진파급력은약 25% 상승하였다. 또한, 11월부터나타난악성링크, 바이너리, C&C 서버의차단및탐지를회피하기위한잦은변화의움직임은지속적으로관찰되었다. 3) 12 월 3 주차 전체발견된웹사이트는 11월이후꾸준히증가세를유지하고있지만사용자의방문이많은사이트에서의유포감소로인해효율적인공격이이루지지못해파급력이하락하였다. 하지만, 레드킷의활동이다시시작되었으며레드킷이외에유포된사이트에서는대응에혼란을주기위한시간차공격이지속적으로나타났으며소규모 MalwareNet도함께관찰되었다. 2) 각주마다나온주간브리핑지료를종합 3) 각주마다나온주간브리핑자료 - 4 -

4) 12 월 4 주차 국내도메인을이용한악성링크가다수등장한가운데최종바이너리로연결시 IP주소와 PORT번호를변경하여백신탐지를회피하는정황이포착되었다. 또한, 일부바이너리는국내백신을우회하는정황이발견되었으며추가적행동을위해 C&C 서버와지속적으로통신하는모습도관찰되었으며레드킷을통해나타난일부바이너리링크는차단회피를위해 SkyDrive를이용하는정황도일부포착되었다. 5) 12 월 5 주차 shoplinker 광고링크를통해 12/29부터 1/2까지악성코드가간헐적으로광고배너를통해유포되었다. 특히, 시기적절한대응이이뤄지지않았으며, 공격자는최종바이너리주소만변경하는방식을통해손쉽게공격을다변화하는모습이관찰되었다. 감염이후, 연결되는 C&C주소도동일한방식으로운영되는것을확인하였다. 라. 월간금융동향 4) 11월에나타난탐지회피를위한 hosts, host.ics를 10MB로파일변조하는방식이출현하였으며, 12월달에는이특징과더불어사용자에게아이디비밀번호를한번더요구하는인증창이새롭게나타났다. 보다자세한사항은 5. 금융동향 을참고하십시오. [ 그림 1. 11 월에등장한 10MB 크기로변조된 hosts.ics 파일 ] 4) 월간금융이슈요약 - 5 -

2. 악성코드은닉사이트월간통계 가. 은닉사이트 5) 탐지동향 1) 은닉사이트주간동향 2013년 12월에는악성코드은닉사이트가 18,294건탐지되었으며, 12월 1주차 3,191( 건 ), 12월 2주차 3,211( 건 ), 12월 3주차에는 3,984( 건 ), 12월 4주차 4,361 ( 건 ), 12월 5주차 3,547( 건 ) 으로 12월 4주까지증가한이후감소하는모습이나타났으며, 12월 2주차에는관찰기간중가장높은수준의영향력을기록하였다. [ 표 2. 은닉사이트주간동향 ] 5) 악성코드은닉사이트 : 이용자 PC 를악성코드에감염시킬수있는홈페이지를말하며, 일반적으로해킹을당한이후에악성코드를자체유포하거나다른사이트로유도하여악성코드에감염될수있는경유지 URL 을포함한웹사이트 - 6 -

2) 은닉사이트월간동향 은닉사이트는전체 18,294 건탐지되었으며, 전월 (6,487 건 ) 대비 282% 증가하였다. 하지만, 신규사이트는 2,500 건으로전월 (1,204 건 ) 대비 207% 증가하였다. 30000 30000 22500 22500 15000 7500 0 17950 28510 18294 1253310943 6407 6747 8358 6487 3084 4005 0 803 1097 865 730 1620 760 365 557 276 1204 2500 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 15000 7500 0 신규악성링크 전체발견악성링크 [ 표 3. 은닉사이트월간동향 ] - 7 -

나. 국내경유지를활용하는주요유포사이트현황 탐지동향요약 1) 주요월간유포지주요국가별요약현황 2013 년 12 월에등장한전체신규악성링크는 2,500 건 이었으며, 이중에서대한 민국에직접적인영향을미친주요 국내경유지를활용하는유포사이트 는 417 건 으로, 11 월 ( 247 건 ) 에비해약 66% 증가하였다. 2) 주요국가별현황월간요약통계 국가 11월 비율 12월 비율 증가율 한국 144건 58% 165건 39% -19% 미국 47건 19% 141건 36% 17% 중국 0건 0% 1건 1% 1% 홍콩 4건 2% 6건 2% 0% 일본 2건 1% 5건 1% 0% 기타 50건 20% 99건 21% 1% 전체합계 ( 건 ) 247건 417건 800 700 600 500 400 300 200 100 0 0 0 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 800 700 600 500 400 300 200 100 0 한국미국중국일본홍콩기타 [ 표 4. 월간주요국가별현황 ] - 8 -

3) 주요유포사이트주간동향 발견된신규유포사이트는 12 월 1 주 90 건, 2 주 110 건, 3 주 71 건, 4 주 98 건, 5 주 48 건으로, 총 417 건 이집계되었으며, 매주평균약 83 건 발생했다. 120 112 104 96 88 80 72 64 56 48 40 32 24 16 8 0 110 98 90 71 48 12월 1주 12월 2주 12월 3주 12월 4주 12월 5주 유포사이트 [ 표 5. 주요유포사이트주간통계 ] - 9 -

다. 주요감염취약점관련통계 1) 주요감염취약점월간동향 12 월 1 주차에 Caihong Exploit Kit 이소규모로유포하는모습이관찰되었고, 2 주 차이후로는나타나지않았다. 반면, 공다팩은꾸준히출현하였다. 2) 취약점별 / 주간통계 CVE 12월 1주 12월 2주 12월 3주 12월 4주 12월 5주 합계 비율 CVE-2013-0422 6) 48건 47건 31건 39건 25건 190건 11% CVE-2012-46816) 48건 47건 31건 39건 25건 190건 11% CVE-2011-35446) 48건 47건 31건 39건 25건 190건 11% CVE-2012-1889 7) 48건 47건 31건 39건 25건 190건 11% CVE-2012-05076) 48건 47건 31건 39건 25건 190건 11% CVE-2012-50766) 48건 47건 31건 39건 25건 190건 11% CVE-2012-17236) 48건 47건 31건 39건 25건 190건 11% CVE-2013-0634 8) 48건 47건 31건 39건 25건 190건 11% CVE-2013-24656) 48건 47건 31건 39건 25건 190건 11% CVE-2013-38977) 2건 0건 0건 0건 0건 2건 1% 전체합계 434건 423건 279건 351건 225건 1712건 100% [ 표 6. 주요취약점별주간통계 ] 6) Oracle Java Applet 취약점 7) Microsoft IE/XML 취약점 8) Adobe Flash Player 취약점 - 10 -

3) 취약점별 / 주간통계도표 [ 표 7. 주요취약점별주간동계 ] - 11 -

4) Exploit Tool Kit 유형별 / 주간통계 신규취약점을이용한 Caihong Exploit Kit 이 12 월 1 주이후나타나지않은가운 데레드킷과공다팩이지속적으로증가하는모습이나타났다. 특히, 레드킷은매개변 수 ( 하위 URL 및 Parameter) 를이용하여유포를다변화하는모습을보였다. [ 표 8. Exploit Tool Kit 유형별주간통계 ] - 12 -

5) 신규경유지 ( 악성링크 ) 의파급력증가 12월 1주차에는신규경유지 ( 악성링크 ) 가영향을주는파급력과의차이가크게나타났지만, 2주차에는영향력있는사이트의다수유포로인해소규모의신규경유지 ( 악성링크 ) 로큰파급력을준모습이나타났으며 12월 3주차이후에는효과적인공격이이루어지지못해파급력이줄어들은모습이나타났다. [ 표 9. 신규경유지 ( 악성링크 ) 파급력통계 ] - 13 -

6) 취약점세부정보 항목취약점내용세부정보패치정보출현시기 http://cve.mit http://www.adob re.org/cgi-bi Adobe 메모리손상으로 e.com/support/s CVE-2013-0634 인한코드실행 n/cvename.cgi 2013년 2월 7일 Flash Player 취약점 ecurity/bulletins/?name=cve apsb13-04.html -2013-0634 http://www.oracl Java Applet Java Applet Java Applet Java Applet Java Applet Java Applet Java Applet Java Applet CVE-2013-0422 CVE-2012-5076 CVE-2012-4681 CVE-2012-1723 CVE-2012-0607 CVE-2011-3544 CVE-2013-1493 CVE-2013-2423 드라이브바이다운로드방식, JRE 샌드박스제한우회취약점이용 http://cve.mit re.org/cgi-bi n/cven ame.cgi?name =CVE-2013-0422 http://cve.mit re.org/cgi-bi n/cven ame.cgi?name =CVE-2012-5076 http://cve.mit re.org/cgi-bi n/cven ame.cgi?name =CVE-2012-4681 http://cve.mit re.org/cgi-bi n/cven ame.cgi?name =CVE-2012-1723 http://cve.mit re.org/cgi-bi n/cven ame.cgi?name =CVE-2012-0607 http://cve.mit re.org/cgi-bi n/cven ame.cgi?name =CVE-2011-3544 http://cve.mit re.org/cgi-bi n/cvename.cgi?name=cve -2013-1493 http://cve.mit re.org/cgi-bi n/cvename.cgi e.com/technetwo rk/topics/securit y/alert-cve-20 13-0422-1896 849.html http://www.oracl e.com/technetwo rk/topics/securit y/javacpuoct201 2-1515924.html http://www.oracl e.com/technetwo rk/topics/securit y/alert-cve-20 12-4681-1835 715.html http://www.oracl e.com/technetwo rk/topics/securit y/javacpujun201 2-1515912.html http://www.oracl e.com/technetwo rk/topics/securit y/javacpufeb201 2-366318.html http://www.oracl e.com/technetwo rk/topics/securit y/javacpuoct201 1-443431.html http://www.oracl e.com/technetwo rk/topics/securit y/alert-cve-20 13-1493-1915 081.html http://www.oracl e.com/technetwo 2013 년 1 월 13 일 2012 년 10 월 16 일 2012 년 8 월 30 일 2012 년 6 월 12 일 2012 년 2 월 17 일 2011 년 10 월 18 일 2013 년 3 월 2 일 2013 년 4 월 18 일 - 14 -

?name=cve -2013-2423 rk/topics/securit y/javacpuapr201 3-1928497.html MS IE CVE-2012-4969 http://cve.mit re.org/cgi-bi n/cven ame.cgi?name =CVE-2012-4969 http://technet.mi crosoft.com/enus/security/bulle tin/ms12-063 2012 년 9 월 21 일 MS IE CVE-2013-1347 Internet Explorer 를사용하여특수하게조작된웹페이지를볼경우원격코드실행허용 http://cve.mit re.org/cgi-bi n/cven ame.cgi?name =CVE-2013-1347 https://technet. microsoft.com/k o-kr/security/bu lletin/ms13-038 2013 년 6 월 3 일 MS IE CVE-2012-4792 http://cve.mit re.org/cgi-bi n/cven ame.cgi?name =CVE-2012-4792 http://technet.mi crosoft.com/kokr/security/advis ory/2794220 2012 년 12 월 19 일 MS XML CVE-2012-1889 XML Core Services 의취약점 http://cve.mit re.org/cgi-bi n/cven ame.cgi?name =CVE-2012-1889 http://technet.mi crosoft.com/kokr/security/bulle tin/ms12-043 2012 년 7 월 10 일 Mozilla Firefox/Thu nderbird/sea Monkey CVE-2013-0757 Mozilla Firefox, SeaMonkey, Thunderbird 에서보안우회취약점 http://cve.mit re.org/cgi-bi n/cven ame.cgi?name =CVE-2013-0757 http://www.mozi lla.org/security/a nnounce/2013/m fsa2013-14.htm l 2012 년 1 월 8 일 [ 표 10. 취약점세부정보 ] - 15 -

바. 대량경유지 9) 가탐지된유포지 Top 10 [ 그림 2. 대량경유지가탐지된유포지 Top 10] 순위탐지일유포지국가경유지건수 1 12.30 www.webxpress.co.php53-17.dfw1-1.websitetestlink.com/ev 2fzHgN.php 독일 123 건 2 12.14 ezoz.com/table/index.htm 한국 59건 3 12.18 www.samwooind.co.kr/fckeditor/editor/index.html 한국 43건 4 12.20 domain.tonny.net/_cpl/v/index.html 한국 32건 5 12.17 www.stway.co.kr/stw/map.html 한국 29건 6 12.18 www.todaybest.co.kr/test/test.html 한국 22건 7 12.09 www.netprogram.co.kr/new/w3c/index.html 한국 17건 8 12.07 www.susanfeigenbaum.com/resources/entrypoints/res/index.ht ml 미국 15 건 9 12.06 www.hantol.or.kr/css/w.html 한국 11 건 10 12.03 www.alrimee.com/adc/index.html 미국 10 건 [ 표 11. 대량경유지가탐지된유포지 Top 10] 참고사항 : 순서는경유지발생건수를기준으로정렬하였음 9) 경유지 : 홈페이지방문자에게유포지로자동연결하여악성코드를간접적으로유포하는홈페이지 - 16 -

사. 주요유포지분석 10) Top 10 12월주요유포지에서특정한바이너리로연결되는특징이발견되었으며 10월에활발한활동을보였던 Caihong Vip Exploit 사용비율이낮아지고다시공다팩의비율이높아졌으며 RedKit Exploit Kit이지속적인활동을보였다. 또한, 차단이어려운국내사이트를이용하는공격은지속되었으며발견된대부분의바이너리는백도어와파밍악성코드로관찰되었다. 1) www.webxpress.co.php53-17.dfw1-1.websitetestlink.com/ev2fzhgn.php - 레드킷유형 2) ezoz.com/table/index.htm - 분석불가 3) www.samwooind.co.kr/fckeditor/editor/index.html 악성 URL http://www.samwooind.co.kr/fckeditor/editor/index.html 최종다운로드파일 NAME smss.exe MD5 URL f50c6a80245998dc9906f5b919e51658 http://110.34.197.245:8011/smss.exe v.v3yf.com:805/plus.php, 98.126.57.149 Vulnerability Set 0422-2465-0634 Malware IP Address Malware IP Nation ISP Name 211.234.125.110 korea LG DACOM Corporation 4) domain.tonny.net/_cpl/v/index.html 악성 URL http://domain.tonny.net/_cpl/v/index.html 최종다운로드파일 NAME apk.exe MD5 URL 62D7E75AA37C7FF261AE9CEB81E970BB http://hafscamp.com/chart/code/apk.exe 114.108.116.26, naraquick.co.kr/gnu/lib/korea.html Vulnerability Set 0422-2465-0634 Malware IP Address Malware IP Nation ISP Name 121.156.116.130 korea korea Telecom 5) www.stway.co.kr/stw/map.html - 분석불가 6) www.todaybest.co.kr/test/test.html 악성 URL http://www.todaybest.co.kr/test/test.html 최종다운로드파일 NAME log.exe MD5 82566DCFA78BA07214ECF305E814D4C9 10) 주요유포지분석 : 대량경유지에서나온악성코드분석결과 - 17 -

URL http://salt.upside.co.kr/js/log.exe 114.108.166.57, user.qzone.qq.com, www.gtvapple.com/images/sub/adc.html Vulnerability Set 0422-2465-0634 Malware IP Address Malware IP Nation ISP Name 112.175.243.131 korea Korea Telecom 7) www.netprogram.co.kr/new/w3c/index.html 악성 URL http://www.netprogram.co.kr/new/w3c/index.html 최종다운로드파일 NAME server.exe MD5 URL FF714F512521344AD483D17D07A63879 http://www.vivahouse.co.kr/menu5/server.exe a.facai888.pw, 23.238.228.146 Vulnerability Set 0422-2465-0634 Malware IP Address Malware IP Nation ISP Name 222.233.52.145 korea SK Broadband Co Ltd 8) www.susanfeigenbaum.com/resources/entrypoints/res/index.html 악성 URL http://www.susanfeigenbaum.com/resources/entrypoints/res/index.html 최종다운로드파일 NAME a.scr MD5 URL 8AB7749CBF3848B2DC05BE5CDE8BF093 http://nd2u.co.kr/a.scr rrfeazz.com(61.38.186.150:1919) Vulnerability Set 0422-2465-0634 Malware IP Address Malware IP Nation ISP Name 67.199.146.247 usa PacketExchange 9) www.hantol.or.kr/css/w.html 악성 URL www.hantol.or.kr/css/w.html 최종다운로드파일 추가생성파일 File system activity NAME MD5 URL NAME MD5 위치 xuan.exe f98cc95f19fcaeb05eb14059b025c0dd http://xuan.moneycomek.com/j/xuan.exe BEijuxiup.exe 8a50c1194f9a8bdb672e77823a6c3396 C:\WINDOWS\system32\Guanwoshemxshi\BEijuxiup.exe - 18 -

Opened files C:\WINDOWS\2065A36D\svchsot.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\net.exe Copied files DST: C:\WINDOWS\2065A36D\svchsot.exe Registry activity Set keys KEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\2065A36 D TYPE: REG_SZ VALUE: C:\WINDOWS\2065A36D\svchsot.exe Process activity Created processes net start Runtime DLLs c:\windows\system32\kernel32.dll c:\windows\system32\msvcrt.dll c:\windows\system32\user32.dll c:\windows\system32\gdi32.dll c:\windows\system32\advapi32.dll c:\windows\system32\shell32.dll c:\windows\system32\ole32.dll c:\windows\system32\oleaut32.dll c:\windows\system32\wininet.dll c:\windows\system32\avicap32.dll Network activity 98.126.151.203 Vulnerability Set Malware IP Address Malware IP Nation ISP Name 115.68.75.73 Korea Smileserv 10) www.alrimee.com/adc/index.html 악성 URL www.alrimee.com/adc/index.html 최종다운로드파일 NAME wins.exe - 19 -

추가생성파일 MD5 URL NAME MD5 위치 NAME 034fefe4be9082e963ff64515da7c6cc http://www.stway.co.kr/stw/wins.exe wins.exe 034fefe4be9082e963ff64515da7c6cc C:\Program Files\Common Files\wins.exe hosts.ics 추가생성파일 MD5 - 위치 NAME C:\WINDOWS\system32\drivers\hosts.ics hosts 추가생성파일 MD5 - 위치 C:\WINDOWS\system32\drivers\hosts File system activity Opened files C:\KOREAPATH\x2ri.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\net.exe C:\WINDOWS\system32\drivers\hosts.ics ( 숨김파일 ) C:\WINDOWS\system32\drivers\hosts ( 숨김파일 ) Copied files DST: C:\Program Files\Common Files\wins.exe Registry activity Set keys KEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\koreanpro c TYPE: REG_SZ VALUE: C:\Program Files\Common Files\wins.exe Process activity Created processes net start Runtime DLLs c:\windows\system32\kernel32.dll c:\windows\system32\msvcrt.dll c:\windows\system32\user32.dll c:\windows\system32\gdi32.dll c:\windows\system32\advapi32.dll - 20 -

c:\windows\system32\shell32.dll c:\windows\system32\ole32.dll c:\windows\system32\oleaut32.dll c:\windows\system32\wininet.dll c:\windows\system32\avicap32.dll Network activity zcc123.ys168.com http://keinfo.co.kr/korer.html 파밍연결지 126.65.144.50 kbstar.com 126.65.144.50 kisa.kbstar.com 126.65.144.50 www.kbstar.com 126.65.144.50 obank.kbstar.com 126.65.144.50 open.kbstar.com 126.65.144.50 obank1.kbstar.com 126.65.144.50 banking.nonghyup.com 126.65.144.50 kisa.nonghyup.com 126.65.144.50 nonghyup.com 126.65.144.50 open.nonghyup.com 126.65.144.50 ibz.nonghyup.com 126.65.144.50 www.nonghyup.com 126.65.144.50 wooribank.com 126.65.144.50 www.wooribank.com 126.65.144.50 open.wooribank.com 126.65.144.50 kisa.wooribenk.com 126.65.144.50 pib.wooribank.com 126.65.144.50 u.wooribank.com 126.65.144.50 shinhan.com 126.65.144.50 www.shinhan.com 126.65.144.50 banking.shinhan.com 126.65.144.50 bizbank.shinhan.com 126.65.144.50 open.shinhan.com 126.65.144.50 kisa.shinhan.com 126.65.144.50 ibk.co.kr 126.65.144.50 kisa.ibek.co.kr 126.65.144.50 www.ibk.co.kr 126.65.144.50 kiup.ibk.co.kr 126.65.144.50 open.ibk.co.kr 126.65.144.50 hanabank.com 126.65.144.50 kisa.hanabenk.com 126.65.144.50 www.hanabank.com 126.65.144.50 open.hanabank.com 126.65.144.50 www.hanabank.com 126.65.144.50 kfcc.co.kr - 21 -

126.65.144.50 www.kfcc.co.kr 126.65.144.50 kisa.kfcc.co.kr 126.65.144.50 ibs.kfcc.co.kr 126.65.144.50 open.kfcc.co.kr 126.65.144.50 keb.co.kr 126.65.144.50 kisa.keb.co.kr 126.65.144.50 www.keb.co.kr 126.65.144.50 online.keb.co.kr 126.65.144.50 open.keb.co.kr 126.65.144.50 epostbank.go.kr 126.65.144.50 kisa.epostbenk.go.kr 126.65.144.50 www.epostbank.go.kr 126.65.144.50 www.epostbank.kr 126.65.144.50 www.epostbank.co.kr 126.65.144.50 standardchartered.co.kr 126.65.144.50 www.standardchartered.co.kr 126.65.144.50 ib.scfirstbank.com 126.65.144.50 open.scfirstbank.com 126.65.144.50 www.scfiirstbank.com 126.65.144.50 scfirstbank.com 126.65.144.50 daum.net 126.65.144.50 www.daum.net 126.65.144.50 hanmail.net 126.65.144.50 naver.com 126.65.144.50 www.naver.com 126.65.144.50 kisa.nonhyu.com Vulnerability Set Malware IP Address Malware IP Nation ISP Name 211.39.130.145 Korea Korea Telecom - 22 -

3. 주요유포지 URL 수집및분석결과 2013년 12월에발견된악성코드신규유포지는 417개이며, 그중약 30개를요약하여정리하였으며, 유포지에서이용되고있는 Exploit Kit은 Gondad Exploit Kit, Red Exploit Kit, Caihong Vip Exploit, Gondad Exploit Kit + Adobe Flash Player 등이있으며주요통계정보는 다. 주요감염취약점관련통계 을참고하십시오. Download 공격은웹사이트를통해 JS/HTML을활용한 URL Redirection -> Exploit -> Payload Download -> Real Malwares Download 순서로진행되므로, 악성코드의유형을별도로언급하지는않습니다만, 다운로드되는최종악성코드는트로이목마가다수이며, 기능상금융정보및개인정보수집기능이포함된다. 가. 주요유포지요약 탐지일유포지 URL 국가취약점 12.01 www.kjmenu.com/data/food/data/pop/m.html 한국 12.02 www.tonny.net/files2_bak/index.html 한국 12.03 www.alrimee.com/adc/index.html 한국 12.04 jnjc.or.kr/bbs/skin/add/index.html 한국 12.06 www.hantol.or.kr/css/w.html 한국 12.07 www.susanfeigenbaum.com/resources/entrypoints/r es/index.html 미국 12.09 www.netprogram.co.kr/new/w3c/index.html 한국 12.11 www.de-mind.co.kr/swf/index.html 한국 12.12 deallite.co.kr/mall/upload/test/lndex.html 한국 12.05 jubiocookies.com/wp-content/b77dswcx.php 미국 레드킷 12.08 radworldgaming.com/nyfqx1np.php 미국 레드킷 12.10 lindasbeautycare.com/cache/ggemc0lz.php 미국 레드킷 악성코드 유형 - 23 -

12.13 korealda.or.kr/a/index.html 한국 12.16 www.netprogram.co.kr/img/v/index.html 한국 12.17 www.stway.co.kr/stw/map.html 한국 12.18 www.samwooind.co.kr/fckeditor/editor/index.html ㅎ한국 12.20 domain.tonny.net/_cpl/v/index.html 한국 12.21 mysize.co.kr/html/inc/index.html 한국 12.23 badham.co.kr/pop/index.html 한국 12.27 ad2.shoplinker.co.kr/clame/result/left_popup.html 한국 12.29 115.23.172.152/index.html 한국 12.30 www.webxpress.co.php53-17.dfw1-1.websitetestl ink.com/ev2fzhgn.php 독일 12.14 ezoz.com/table/index.htm 한국 - 12.15 sklogistiek.nl/cli/dg4l4g78.php 독일 레드킷 12.19 parttimecollegejobs.com/employers/fm9v00bj.php 미국 레드킷 12.22 89.161.157.182/pub/VGqk5TdI.php 폴란드 레드킷 12.24 elfenthal.com/2vlj1uii.php 스페인 레드킷 12.25 ewemama.org/sites/imvaqdi1.php 미국 레드킷 12.26 femauto.it/dxuky4or.php 이탈리아 레드킷 12.28 careersza.co.za/adm/bit091nu.php 미국 레드킷 레드킷 - 24 -

나. 유포현황 - 악성코드자동공격화도구 12 월현재국내에서발견되고있는자동공격화도구는공다팩 (Gondad) 과 CK vip 에서변형된카이홍 (Caihong) 공격킷이지속적으로탐지되고있다. [ 그림 3. Caihong Exploit Kit 의구조 ] [ 그림 4. Gondad Exploit Kit 의구조 ] - 25 -

4. 악성코드은닉사례분석 영향력있는사이트를노린악성코드습격 12월에는 3주동안위협등급이경고를유지하였다. 그이유로는다양한악성링크들이국내웹사이트에크고작은위협을주었던것이가장큰이유라고할수있으며일부영향력이있는사이트가악성코드에이용을당했기때문이다. 12월에있었던다양한사건을정리해본다. 가. CVE-2013-3897 을단독으로사용한사이트등장 - 12 월 1 주 12 월 1 주 CVE-2013-3897 이단독으로쓰인악성링크가등장하였다. 그동안 CVE-2013-3897 1-day 는 Caihong Exploit Kit 을통해나타났지만 12 월 1 주나타났던 모습은단독으로사용된정황이포착되었다. [ 그림 5. CVE-2013-3897 가단독으로쓰인지오파일 - 12 월 1 주 ] ziofile.com - 악성코드유포지 => bellie.co.kr/js/ad.js - 악성코드경유지 ==> http://www.bellie.co.kr/js/help.htm - 악성코드경유지 - CVE-2013-3897 ===> bellie.co.kr/js/x.gif - 최종파일 ( 백도어 ) - 26 -

나. 저축은행중앙회를통한악성코드유포 - 12 월 2 주 12월 2주저축은행중앙회를통해악성코드가유포되는사태가발생하였다. 악성코드의유포가발생하게된원인은저축은행중앙회서버가위치한영역에서악성코드감염을위한 ARP Spoofing 공격이발생되어일어난것으로알려지고있으며그이유로는하나의페이지가아닌모든페이지에서같은악성코드의유포현상이나타났기때문이다. 저축은행중앙회에서발견된악성코드는백도어기능과추가다운로드를통해파밍관련공격을수행하는것으로분석되었다. [ 그림 6. 저축은행중앙회웹페이지에삽입된악성링크 - 12 월 2 주 ] fsb.or.kr/inet/intranet_main.asp - 악성코드유포지 => superiorhomedesigns.com/resources/css/view.js - 악성코드경유지 ==> woolfassociates.com/plugins/sve/index.html - 악성코드경유지 () ===> nd2u.co.kr/a.scr - 최종파일 ( 백도어및파밍악성코드 ) - 27 -

다. 포털사이트게임서비스마계전설을통한악성코드유포 - 12 월 4 주 12월 4주다음포털의게임서비스중하나인마계전설웹페이지가해킹을당해악성코드유포지로활용되고상황을포착하였다. 특히, 마계전설웹페이지는 KISA에서개발하여보급하고있는캐슬이라는웹방화벽을사용하고있었지만공격자는이를우회하여캐슬내부에악성코드를삽입하였다. [ 그림 7. 마계전설웹페이지에삽입된악성링크 - 12 월 4 주 ] dailymedi.com - 악성코드유포지 => mysize.co.kr/html/ss.js - 악성코드경유지 ==> ma.game.daum.net/castle-php/mm/index.html - 악성코드경유지 () ===> 67.198.138.181:801/smss.exe - 최종파일 - 28 -

5. 금융동향 가. 금융동향 11) 1) 12 월 4 주차 진화하는파밍사이트사용자계정재인증요구 현재파밍사이트는빠르게는매주, 느리게는매달조금씩바뀌고더욱정교하게진화하고있다. 지난 11월에는 10MB로 host, hosts.ics를변조하여탐지를회피하기위한방법을소개한적이있다. 12월에도이변조방법은이어지고있는가운데변조후에파밍사이트접속시다른인증유도방식이등장하였다. [ 그림 8. 파밍사이트아이디로그인시등장하는재인증화면 ] 최근까지는아이디와사용자암호로그인시한번에로그인이되는경우가많았다. 하지만, 최근에는많은홍보로인해사용자인식이높아지고의심이되는경우허위로입력해보는상황이늘자공격자는처음 로그인시도시아이디비번다시확인해주시기바랍니다. 라는문구를통해사용자에게다시인증하도록요구를하고있다. 이처럼첫번째인증이실패한이후두번째에로그인을다시시도하면다음페이지로넘어간다. 공격자는사람들의심리까지도이용하는모습을볼수있는또하나의장면이다. 이처럼파밍사이트는계속진화하고있는만큼각별한관심과주의를하지않는다면공격자의심리에당할수밖에없을것이다. 11) 월간발생하는금융이슈를정리 - 29 -

6. BotNet 12) 및 C&C 13) IP 내역 가. 주간 BotNet 및 C&C IP 내역 1) 12 월 1 주차 2) 12 월 2 주차 3) 12 월 3 주차 4) 12 월 4 주차 5) 12 월 5 주차 * 안내 : 본내용은주간보고서에서제공한사항입니다. 시일이다소지난관계로효용성및신뢰상문 제가있을수있어월간보고서에서는제공하지않음을양해해주십시오. 12) BotNet 은스팸메일이나악성코드등을전파하도록하는악성코드봇 (Bot) 에감염되어해커가마음대로제어할수있는좀비 PC 들로구성된네트워크를말한다. 13) C&C: Command and Control - 30 -

7. 개선방안 지속적인유포지및경유지침해사고가발생할경우에는웹사이트의취약점을분석하여해결해야한다. 또한, 웹사이트내에웹쉘, 루트킷과같이악성코드가숨겨져있을수있으므로, 추가적인보안대책이필요하다. 웹취약점을해결하기위해서는홈페이지의개발시점부터유지보수때까지개발자가보안코딩을준수해야하며, 아래웹사이트에서취약점을온라인으로진단이가능하다. https://scan.bitscan.co.kr -> 웹취약점점검 ( 가입필수및유료 ) 관리하는웹사이트가유포지또는경유지로활용되는경우에는아래의웹사이트에서무료로진단이가능하다. https://scan.bitscan.co.kr -> 유포지확인 ( 가입필수및무료 ) Exploit Kit에활용되는각종취약점은아래사이트를통해보안패치및업데이트가가능하다. o Microsoft Windows http://windowsupdate.microsoft.com o Oracle Java www.oracle.com/technetwork/java/javase/downloads/index.html o Adobe Flash Player http://www.adobe.com/support/security/#flash o Adobe Reader http://www.adobe.com/support/security/#readerwin [ 안내 ] * 본문서의저작권은 가소유하고있으며, 무단으로배포하거나편집할수없습니다. * 무료구독문의및 고급보안정보구독서비스 와관련된문의는 info@bitscan.co.kr 로문의하여주십시오. 끝. - 31 -