월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터
< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10 3. 악성코드은닉사례분석 11 - 제로보드 4.x 버전취약성을이용한악성코드유포 : 원격제어 11 - 신규 Java 애플릿취약점 () 을악용한악성코드유포 : 온라인게임계정탈취 17 4. 향후전망 23 - 악성코드유포방법및조치방안 23
악성코드은닉동향요약 월간동향요약 인터넷익스플로러취약점 Adobe Flash Player 취약점 Java 애플릿취약점 MS Windows Media 취약점 MS XML 취약점 구분 내용 상세취약점정보 보안업데이트 http://technet.microsoft. vename.cgi?name=cve-2010 com/ko-kr/security/bulle -0806 tin/ms10-018 Internet Explorer를 http://technet.microsoft. CVE-2010-0806 사용하여특수하게 vename.cgi?name=cve-2010 com/ko-kr/security/bulle CVE-2010-0249 조작된웹페이지를 -0249 tin/ms10-002 CVE-2011-1255 http://technet.microsoft. 볼경우원격코드 CVE-2012-4969 vename.cgi?name=cve-2011 com/ko-kr/security/bulle 실행허용 -1255 tin/ms11-050 http://technet.microsoft. vename.cgi?name=cve-2012 com/ko-kr/security/bulle -4969 tin/ms12-063 CVE-2012-1875 CVE-2008-0015 CVE-2011-0611 CVE-2011-2140 CVE-2012-0754 CVE-2012-0003 동일 ID 속성원격코드실행취약점 Microsoft 비디오 ActiveX 컨트롤의취약점으로인해원격코드실행 메모리손상으로인한코드실행취약점 드라이브바이다운로드방식, JRE 샌드박스제한우회취약점이용 Windows Media 의취약점으로인한원격코드실행 XML Core Services 의취약점 vename.cgi?name=cve-2012-1875 vename.cgi?name=cve-2008-0015 vename.cgi?name=cve-2011-0611 vename.cgi?name=cve-2011-2140 vename.cgi?name=cve-2012-0754 vename.cgi?name=cve-2012-1535 vename.cgi?name=cve-2011-3544 vename.cgi?name=cve-2012-0507 vename.cgi?name=cve-2012-1723 vename.cgi?name=2012-468 1 vename.cgi?name=cve-2012-5076 vename.cgi?name=cve-2012-0003 vename.cgi?name=cve-2012-1889 http://technet.microsoft. com/security/bulletin/m S12-037 http://technet.microsoft. com/ko-kr/security/bulle tin/ms09-032 http://www.adobe.com/s upport/security/advisorie s/apsa11-02.html http://www.adobe.com/su pport/security/bulletins/a psb11-21.html http://www.adobe.com/s upport/security/bulletins /apsb12-03.html http://www.adobe.com/su pport/security/bulletins/a psb12-18.html http://www.oracle.com/t echnetwork/topics/securi ty/javacpufeb2012-3663 18.html#PatchTable http://www.oracle.com/t echnetwork/topics/securi ty/javacpujun2012-1515 912.html http://www.oracle.com/t echnetwork/topics/securi ty/alert-cve-2012-4681-1 835715.html http://www.oracle.com/t echnetwork/topics/securi ty/javacpuoct2012-1515 924.html http://technet.microsoft. com/ko-kr/security/bulle tin/ms12-004 http://technet.microsoft. com/ko-kr/security/bulle tin/ms12-043 - 1 -
홈페이지은닉형악성코드통계 Information TIP o 악성코드은닉사이트란? 이용자 PC를악성코드에감염시킬수있는홈페이지로, 해킹을당한후악성코드자체또는악성코드를유포하는주소 (URL) 를숨기고있는것을말한다. o 악성코드은닉사이트는크게유포지와경유지로구분된다. 유포지 : 홈페이지이용자에게악성코드를직접유포하는홈페이지경유지 : 홈페이지방문자를유포지로자동연결하여악성코드를간접유포하는홈페이지 참고로, 탐지된국내및해외악성코드유포지는 KISA 에서삭제 / 차단조치한상태임 유포지탐지 유포지국가별현황 - 2 -
순위탐지일유포지국가경유지건수악용취약점 KISA 차단 / 조치 1 2012.11.09 http://www1.wsad123.asia//index.html 일본 133 2012.11.09 2 2012.10.31 http://www.tkantlf000.com/index.html 일본 56 2012.10.31 3 2012.11.05 http://www.xxxxxxx.kr/maiga.html 한국 50-2012.11.05 4 2012.11.05 http://www.kblss.com/news/130.html 중국 46-2012.11.04 5 2012.11.13 http://180.178.49.2/main/js/top.js 홍콩 40-2012.11.13 6 2012.11.08 http://www.wsad123.asia/index.html 일본 31 2012.11.09 7 2011.07.26 http://curem.net/t.php - 29-2011.07.27 8 2010.12.19 http://h.nexprice.com/css/x.htm 미국 22 CVE-2010-0806 2010.12.20 9 2012.11.18 http://xxxxxxxxx.net/skin/board/skin1/vlew.js 한국 22-2012.11.19 10 2012.11.04 http://www.xxxxxx.com/ad.js 한국 18-2012.11.04 CVE-2010-0806 : 인터넷익스플로러취약점 : MS XML 취약점,,, : Java 애플릿취약점 : Adobe Flash Player 취약점 - 3 -
다운로더 : 추가적인악성코드를인터넷이나네트워크를통하여다운로드하여설치 드롭퍼 : 악성코드에포함된추가적인악성코드를설치 루트킷 : 루트권한을획득한공격자가심어놓은프로그램을숨기기위한목적으로사용되는프로그램 - 4 -
No 탐지일 유포지 국가 취약점 악성코드유형 1 11.01 http://www.popokl.com/jpg/index.html 미국 온라인게임계정탈취 2 11.01 http://koreagil.com/index.html 미국 파일손상 ( 비정상파일 ) - 5 -
3 11.01 http://116.212.114.97/web3.html 홍콩 4 11.05 http://173.245.86.205/pic/img.js 홍콩 5 11.08 http://www.wsad123.asia/index.html 일본 6 11.08 http://old.xxxxx.co.kr/issue/index.html 한국 7 11.16 http://ggg.lyklsgm.com/vbhw/index.html 미국 8 11.16 http://www.xxxxxxxxxxxx.com/main.html 한국 9 11.18 http://vp.hanwmw.com/index.html 미국 10 11.18 http://huiwei.cderfvttw.com/vbhw/index.h tml 미국 파일손상 ( 비정상파일 ) 온라인게임계정탈취원격제어루트킷온라인게임계정탈취온라인게임계정탈취온라인게임계정탈취온라인게임계정탈취 - 6 -
11 11.18 http://xx.wabngma.com/beilei/index.html 홍콩 12 11.18 http://cinexxxx.xxxxxxxxx.com/cp_home/ MOVIE_NEWS/v1ew.js 한국 13 11.19 http://huiwei.nasdgety753.com/vbhw/inde x.html 미국 14 11.19 http://snowss.net/main.html 미국 15 11.19 http://ad2.xxxxxxxxx.co.kr/service/backup_ 080721/service.html 한국 16 11.20 http://sb.hanwmc.com/index.html 홍콩 17 11.21 http://sb.rnmmb.com/index.html 홍콩 온라인게임계정탈취온라인게임계정탈취온라인게임계정탈취다운로더온라인게임계정탈취다운로더다운로더 - 7 -
18 11.22 http://www.uesr.wo.tc/index.html 미국 호스트파일변조및금융사이트접속시추가악성코드생성 19 11.22 http://xxxx.or.kr/vap/index.html 한국 파일손상 ( 비정상파일 ) 20 11.24 http://66.79.161.216/tech/link.js 미국 CVE-2011-1255 파일손상 ( 비정상파일 ) 21 11.24 http://204.13.64.185/tech/link.js 미국 CVE-2011-1255 온라인게임계정탈취 22 11.24 http://www.dominosr.com/rdpwm/index.h 홍콩 tml 온라인게임계정탈취 23 11.24 http://voca.xxxxxxxx.com/adx/adx.html 한국 다운로더 24 11.26 http://www.itm.wo.tc/mm.htm 태국 CVE-2010-0249 드롭퍼 25 11.26 http://ooo.rnxrbb.com/index.html 태국 다운로더 26 11.28 http://xxxxx.co.kr/wm/index.html 한국 드롭퍼 - 8 -
27 11.29 http://xxxxxx.com/kr/index.html 한국 드롭퍼 - 9 -
탐지된경유지는해당홈페이지운영자에게전화 메일을통해악성코드삭제및보안조치요청을수행 경유지탐지 경유지업종별유형 - 10 -
악성코드은닉사례분석 11 월악성코드이슈 - 11 -
http://www.wsad123.asia/index.html - 12 -
/swfobject.js /jpg.js - 13 -
/JHKaCa3.html - 14 -
VsPf7.html - 15 -
- 16 -
http://huiwei.cderfvttw.com/vbhw/index.html - 17 -
- 18 -
/vbhw/swfobject.js /vbhw/jpg.js - 19 -
/vbhw/ephoqmm6.html - 20 -
/vbhw/awxsx0.html - 21 -
- 22 -
향후전망 웹취약점점검서비스및웹보안강화도구 ( 휘슬 / 캐슬 ) 사용안내 : http://krcert.or.kr MS 업데이트사이트 : http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko ( 윈도우7) 제어판 - 시스템및보안 - Windows Update MS 보안업데이트 : http://technet.microsoft.com/ko-kr/security/bulletin/ms12-043 최신버전 : Adobe Flash Player 11.5.502.110 (http://get.adobe.com/kr/flashplayer/) 최신버전 : Java SE Runtime Environment 7u9 (http://www.oracle.com/technetwork/java/javase/downloads/jre7u9-downloads-1859586.html) - 23 -