고급보안정보구독서비스 소개 국내외 180 여만개( 국내 150 만, 해외 30 만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 및 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스 서비스 유형 주간 브리핑 동향 분

온라인 위협 동향 (OTIR) 월간 보고서 (2013년 04 월)

고급보안정보구독서비스 소개 국내외 180 여만개( 국내 150 만, 해외 30 만) 웹사이트에서 발생하는 해킹, 변조, 침해사고를 탐지하여 공격에 대한 이슈, 실제 범위 및 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스 서비스 유형 주간 브리핑 동향 분석 기술 분석 전문 분석 - - 악성코드 유포 범위와 경유지, 국내에서 많은 영향을 미치는 이슈를 중점 서술 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술 새로운 공격 기법이나 제로데이 출현시 수시로 제공 C&C 봇넷 정보 APT 및 좀비PC 에서 이용되는 네트워크 연결 정보(callback) 악성코드 샘플 감염 공격 및 악성파일에 대한 샘플( 스크립트, 익스플로잇, 악성바이너리) 제공 시기 정기 - 주 1 회( 수요일) 비정기 인터넷 위협 수준이 4 단계. 경고 이상일 경우 수시 무료 구독자 주간 브리핑 요약 주간 브리핑 보고서의 내용을 2 장 분량으로 요약제공 ( 정기) 긴급 정보 제공 인터넷 위협 수준이 4 단계. 경고 이상일 경우 ( 수시) 정기 구독자 베이직 스탠다드 주간 브리핑, 동향 분석 프로페셔널 주간 브리핑, 동향 분석, 기술 분석 주간 브리핑, 동향 분석, 기술 분석, 전문 분석 엔터프라이즈 주간 브리핑, 동향 분석, 기술 분석, 전문 분석, C&C 봇넷 정보 악성코드 샘플은 별도 협의 구독 문의 무료 신청을 원하시는 경우 info@bitscan.co.kr 로 연락주십시오. 정기 구독 및 관련 사항 문의는 등록된 이메일 을 통해 info@bitscan.co.kr 로 연락주십시오. 감사합니다.

목 차 1. 악성코드 은닉사이트 동향 2 가. 월간 인터넷 위협 동향 2 나. 월간 브리핑 동향 2 다. 주간 브리핑 동향 3 1) 4월 1 주차 3 2) 4월 2 주차 3 3) 4월 3 주차 3 4) 4월 4 주차 3 라. 월간 금융 동향 4 2. 악성코드 은닉사이트 월간 통계 5 가. 은닉사이트 탐지 동향 5 1) 은닉사이트 주간 동향 5 2) 은닉사이트 월간 동향 5 나. 국내 경유지를 활용하는 주요 유포사이트 현황 탐지 동향 요약 6 1) 주요 월간 유포지 주요 국가별 요약 현황 6 2) 주요 국가별 현황 월간 요약 통계 6 3) 주요 유포 사이트 주간 동향 7 다. 주요 감염 취약점 관련 통계 8 1) 취약점 별 / 주간 통계 8 2) 취약점 별 / 주간 통계 도표 8 3) Exploit Tool Kit 유형별 / 주간 통계 9 4) 취약점 세부 정보 10 라. 대량 경유지가 탐지된 유포지 Top 10 11 마. 주요 유포지 분석 Top 10 12 3. 주요 유포지 수집 및 분석 결과 25 가. 주요 유포지 요약 25 나. 유포 현황 - Top 3 29 4. 금융 동향 31 가. 금융 동향 31 1) 4월 1주차 hosts.ics 파일 활용 31 2) 4월 4 주차 레지스트리를 활용하는 새로운 파밍 32 5. BotNet 및 C&C IP 내역( 안) 33 가. 주간 BotNet 및 C&C IP 내역 33 1) 4월 1 주차 33 2) 4월 2 주차 33 3) 4월 3 주차 33 4) 4월 4 주차 33 6. 향후 전망 및 개선 방안 34 가. 향후 전망 34 나. 개선 방안 34 [ 안내] 34 온라인 위협 동향 보고서(2013년 4 월)

Online Threat Intelligence Monthly Report 04, 2013 2013년 4월 월간 보고서 No. BITSCAN-13-04 작 성 일 2013년 5월 31일 Bitscan 작 성 자 빛스캔, Bitscan, 악성코드, 고급보안정보구독서비스, Online Threat Intelligence Report, 은 Keyword 닉사이트, 유포사이트, 유포지, 경유사이트, 경유지,OTIR 월간 보고서는 매주 발간되는 고급보안정보구독서비스 의 주간 브리핑, 기술 분석, 동향 분 석, 전문 분석 보고서와 긴급 상황시 제공되는 추가 정보 및 보고서를 취합하여 각각의 주요 특 징을 기술하였으며, 통계 정보를 수집 분석하였습니다. 1. 악성코드 은닉사이트 동향 가. 월간 인터넷 위협 동향1) 4월 1주차에는 지난 3.20 사이버 테러 평시 4월 1주 4월 2주 4월 3주 4월 4주 이후 보안 기업 및 기관의 활발한 대응으 관찰 로 인해 국내 인터넷 위협이 크게 감소한 주의 것으로 나타났다. 경고 4월 2주에서 4주차에는 금융 관련 공격 심각 이 증가함과 동시에 새로운 파밍 공격이 꾸준히 발생하였다. 나. 월간 브리핑 동향2) 특정 IP대역에 사전 준비작업(악성파일 업로드)을 해두고, IP만 수시로 변경하여 탐지를 회피하고 있는 현상이 관찰이 되었으며 공격자들이 새로운 감염통로를 개척 하는 등 공격 수준이 3.20 사이버테러 이전으로 정상화된 것으로 추정된다. 공다팩, 레드킷, CK VIP 등 익스플로잇킷이 주로 사용되었으며, 보다 효과적인 감 염을 위해 MalwareNet(다단계 유포망)을 활용하는 것이 관찰되었다. 최종 파일로는 루트킷이 발견되었다. 특정 ISP(홍콩)의 C 클래스를 통해 악성코드 유포뿐만 아니라 악성파일 자체를 업 로드 하여 전통적인 보안 솔루션을 손쉽게 우회하고 있어 이에 대한 대비가 필요하 다. 1) 한국 인터넷 월간 위협 경보 2) 각 주마다 나온 주간 브리핑 지료를 종합 온라인 위협 동향 보고서(2013년 4월) - 2 -

다. 주간 브리핑 동향3) 1) 4월 1주차 특정 IP 대역에 사전 준비작업( 악성파일 업로드) 을 해두고, IP만 수시로 변경하여 탐지를 회피하고 있는 현상이 관찰되었다. 특히 악성링크에서 내려오는 악성코드( 취 약성, Java 6 종+IE+Flash) 는 파밍 이후 파괴 기능이 거의 대부분을 차지하였다. 2) 4월 2주차 공격자들이 새로운 감염통로 개척하는 등 공격 수준이 3.20 사이버테러 이전으로 정상화된 것으로 추정된다. 특히 금주에는 최종 파일의 분석 결과 루트킷(Rootkit) 코드가 일부 발견되었다. 3) 4월 3주차 신규 악성코드 링크가 다시 활발하게 이용되고 있는 것을 볼 수 있으며 국내에서 는 공다팩, 레드킷, CK VIP 가 관찰되었다. 공격자는 기존에는 특정 사이트 및 관련 된 계열사까지 동일한 악성링크를 삽입하는 방식을 썼었지만, 이번 주에는 각기 다른 악성링크를 삽입하여 하나가 차단되더라도 다른 링크를 이용하여 감염율을 높일 수 있도록 다양한 통로를 마련하고 있다. 4) 4월 4주차 신규 악성코드 및 경유지의 숫자가 급격하게 증가하였다. 3주차와 마찬가지로 MalwareNet 을 활용하는 방식은 꾸준히 사용되고 있으며, 특정 ISP( 홍콩) 의 C 클래 스를 통해 악성코드 유포뿐만 아니라 악성파일 자체를 업로드하는 등 보다 활발한 공격이 진행되었다. 3) 각 주마다 나온 주간 브리핑 자료 온라인 위협 동향 보고서(2013년 4 월) - 3 -

라. 월간 금융 동향4) 4 월 달에는 금융 관련 파밍에 대한 새로운 공격이 관찰되었다. 4월 1주차에는 파 밍캅을 우회하기 위해서 hosts.ics 파일을 활용하는 새로운 파밍 공격이 등장하였다. 4월 4주차에는 bat( 배치파일) 을 통해 레지스트리를 수정하는 방법을 통해 브라우 저 접속 시 hosts, hosts.ics를 즉시 변조 및 적용하여 파밍 사이트로 연결되도록 하 는 새로운 공격 방법이 등장하였다. 4) 월간 금융 이슈 요약 온라인 위협 동향 보고서(2013년 4 월) - 4 -

Online Threat Intelligence Monthly Report 04, 2013 2. 악성코드 은닉사이트 월간 통계 가. 은닉사이트5) 탐지 동향 1) 은닉사이트 주간 동향 2013년 4월에는 악성코드 은닉 사이트가 6,747건 탐지되었으며, 4월 1주차(1,719 건)를 정점으로, 4월 4주차에는 1,765건으로 점차 증가하는 현상이 관찰되었다. 2) 은닉사이트 월간 동향 은닉사이트는 6,747건 탐지되었으며, 전월(6,007건) 대비 112%로 증가하였다. 하 지만, 신규 사이트는 865건으로 전월(1,097건) 대비 21% 감소하였다. 은닉사이트 월간 동향 9000 8000 7000 6000 5000 4000 3000 2000 1000 0 6407 6747 3084 0 803 1097 865 0 0 0 0 0 0 0 0 9000 8000 7000 6000 5000 4000 3000 2000 1000 0 신규 악성 링크 전체 발견 악성 링크 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월 5) 악성코드 은닉사이트: 이용자 PC를 악성코드에 감염시킬 수 있는 홈페이지를 말하며, 일반적으로 해킹을 당한 이후에 악성코 드를 자체 유포하거나 다른 사이트로 유도하여 악성코드에 감염될 수 있는 경유지 을 포함한 웹사이트 온라인 위협 동향 보고서(2013년 4월) - 5 -

Online Threat Intelligence Monthly Report 04, 2013 나. 국내 경유지를 활용하는 주요 유포사이트 현황 탐지 동향 요약 1) 주요 월간 유포지 주요 국가별 요약 현황 2013년 4월 신규 악성 링크는 865 건 이었으며, 이 중에서 대한민국에 직접적인 영향을 미친 국내 경유지를 활용하는 유포 사이트 에 대한 분석 자료이다. 4월의 주 요 유포 사이트는 229 건 이었고, 3월( 165 건 )에 비해 139% 증가하였다. 2) 주요 국가별 현황 월간 요약 통계 국가 3월 비율 4월 비율 증가율 한국 61건 37% 67건 30% -7% 미국 66건 40% 122건 53% +56% 중국 23건 14% 0건 2% -14% 홍콩 0건 0% 30건 13% +30% 일본 6건 4% 6건 3% -1% 기타 9건 5% 4건 2% -3% 전체 합계(건) 165건 229건 +64건 주요 국가별 현황 월간 요약 300 300 250 250 200 200 미국 150 150 중국 100 100 50 50 한국 일본 홍콩 0 0 0 1월 2월 기타 0 3월 온라인 위협 동향 보고서(2013년 4월) 4월 5월 6월 7월 8월 - 6-9월 10월 11월 12월

3) 주요 유포 사이트 주간 동향 발견된 신규 유포 사이트는 4월 1 주 40 건, 4월 2 주 36 건, 4월 3 주 55 건, 4월 4 주 98 건 으로 약 두배 반 정도 증가하여 총 229 건 이 집계되었다. 주요 유포사이트 주간 요약 동향 120 100 80 60 40 20 0 98 55 40 36 4월 1주 4월 2주 4월 3주 4월 4주 유포 사이트 온라인 위협 동향 보고서(2013년 4 월) - 7 -

Online Threat Intelligence Monthly Report 04, 2013 다. 주요 감염 취약점 관련 통계 1) 취약점 별 / 주간 통계 CVE 4월 4주 4월 3주 4월 2주 4월 1주 합계 비율 CVE-2012-46813) 67건 34건 23건 14건 138건 12% CVE-2011-35443) 67건 34건 23건 14건 138건 12% CVE-2012-18896) 67건 34건 23건 14건 138건 12% 3) 98건 43건 30건 36건 207건 19% CVE-2012-17237) 67건 34건 17건 11건 129건 11% CVE-2012-05073) 67건 34건 18건 11건 130건 12% CVE-2012-50763) 67건 34건 17건 11건 129건 11% 8) 67건 34건 17건 11건 129건 11% 전체 합계(건) 567건 281건 168건 122건 1,138건 100% 2) 취약점 별 / 주간 통계 도표 700 600 67 500 CVE-2012-4861 67 CVE-2011-3544 400 98 CVE-2012-1889 CVE-2012-1723 67 300 34 34 200 100 0 67 67 CVE-2012-0507 43 17 18 30 17 17 23 23 23 11 36 11 11 11 14 14 14 4월 1주 4월 2주 34 34 34 34 34 4월 3주 CVE-2012-5076 67 67 4월 4주 6) Microsoft IE/XML 취약점 7) Oracle Java Applet 취약점 8) Adobe Flash Player 취약점 온라인 위협 동향 보고서(2013년 4월) - 8 -

3) Exploit Tool Kit 유형별 / 주간 통계 온라인 위협 동향 보고서(2013년 4 월) - 9 -

4) 취약점 세부 정보 항 목 취약점 내용 세부정보 패치 정보 출현 시기 http://cve.mit http://www.adob re.org/cgi-bi Adobe 메모리 손상으로 e.com/support/s 인한 코드 실행 n/cvename.cgi 2013년 2월 7일 Flash Player 취약점 ecurity/bulletins/?n ame=cve apsb13-04.html -2013-0634 http://www.oracl Java Applet Java Applet Java Applet Java Applet Java Applet Java Applet MS IE MS XML CVE-2012-5076 CVE-2012-4681 CVE-2012-1723 CVE-2012-0507 CVE-2011-3544 CVE-2012-4969 CVE-2012-1889 드라이브 바이 다운로드 방식, JRE 샌드박스 제한 우회 취약점 이용 Internet 를 사용 Explorer 하여 특수하게 조작된 웹페이지를 볼 경우 원격 코드 실행 허용 XML Core Services의 취약점 http://cve.mit re.org/cgi-bi n/cven ame.cgi?name =CVE-2013-0422 http://cve.mit re.org/cgi-bi n/cven ame.cgi?name =CVE-2012-5076 http://cve.mit re.org/cgi-bi n/cven ame.cgi?name =CVE-2012-4681 http://cve.mit re.org/cgi-bi n/cven ame.cgi?name =CVE-2012-1723 http://cve.mit re.org/cgi-bi n/cven ame.cgi?name =CVE-2012-0507 http://cve.mit re.org/cgi-bi n/cven ame.cgi?name =CVE-2011-3544 http://cve.mit re.org/cgi-bi n/cven ame.cgi?name =CVE-2012-4969 http://cve.mit re.org/cgi-bi n/cven ame.cgi?name =CVE-2012-1889 e.com/technetwo rk/topics/securit y/alert-cve-20 13-0422-1896 849.html http://www.oracl e.com/technetwo rk/topics/securit y/javacpuoct201 2-1515924.html http://www.oracl e.com/technetwo rk/topics/securit y/alert-cve-20 12-4681-1835 715.html http://www.oracl e.com/technetwo rk/topics/securit y/javacpujun201 2-1515912.html http://www.oracl e.com/technetwo rk/topics/securit y/javacpufeb201 2-366318.html http://www.oracl e.com/technetwo rk/topics/securit y/javacpuoct201 1-443431.html http://technet.mi tin/ms12-063 http://technet.mi crosoft.com/enus/security/bulle crosoft.com/kokr/security/bulle tin/ms12-043 2013년 1월 13일 2012년 10월 16일 2012년 8월 30일 2012년 6월 12일 2012년 2월 17일 2011년 10월 18일 2012년 9월 21일 2012년 7월 10일 온라인 위협 동향 보고서(2013년 4 월) - 10 -

라. 대량 경유지9)가 탐지된 유포지 Top 10 순위 탐 지 일 유 포 지 국가 경유지 건수 1 04.18 www.popcoxxxx.com/upload/portfolio/mk.html 한국 56건 2 04.27 www.krxxx.net/index.html 태국 42건 3 04.10 www.implaxxxx.com/ca/pop.html 한국 38건 4 04.07 www.kexxxx.co.kr/form/pop.html 한국 36건 5 04.16 dpxxxx.com/adm/upload/data/pop.html 한국 34건 6 04.20 x25.x41.x17.x02/index.html 한국 32건 7 04.21 www.thaitxxxx.co.kr/total_board_image/upload/mk/index.html 한국 32건 8 04.25 ansaxxxxx.or.kr/inc/pop.html 한국 32건 9 04.09 edulife.xx-x.ac.kr/hwp/pop.html 한국 30건 10 04.16 sgpoxxxx.co.kr/util/temp/mk/pop.html 한국 30건 9) 경유지: 홈페이지 방문자에게 유포지로 자동 연결하여 악성코드를 간접적으로 유포하는 홈페이지 온라인 위협 동향 보고서(2013년 4 월) - 11 -

마. 주요 유포지 분석10) Top 10 1) www.popcoxxxx.com/upload/portfolio/mk.html 최초발견 일시 2013.04.18 악성 www.popcoxxxx.com/upload/portfolio/mk.html 최종 다운로드파일 File system activity Opened files 2012.exe 20EC2741761FCEB4B7874C9EFD2BCE24 x92.x9.x38.x2/2012.exe C:\WINDOWS\03838027\svchsot.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\net.exe Copied files DST: C:\WINDOWS\03838027\svchsot.exe Registry activity Set keys KEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FBBFD190 TYPE: REG_SZ VALUE: C:\WINDOWS\03838027\svchsot.exe Process activity Created processes net start Task Scheduler Runtime DLLs c:\windows\system32\ntdll.dll c:\windows\system32\mswsock.dll c:\windows\system32\ws2_32.dll Network activity www.wk1888.com (192.210.58.105) Vulnerability Set 3544-0507-1723-4681-5076-1889-0422-0634 Malware IP Address Malware IP Nation ISP Name x11.x33.x1.x00 Korea Lg Dacom Kidc 10) 주요 유포지 분석: 대량 경유지에서 나온 악성코드 분석 결과 온라인 위협 동향 보고서(2013년 4 월) - 12 -

2) www.krxxx.net/index.html 최초발견 일시 2013.04.27 악성 www.krxxx.net/index.html 최종 다운로드파일 추가 다운로드파일 추가 다운로드파일 추가 다운로드파일 File system activity Opened files logo.jpg b5af6cb1237126ead2da50b316de6987 http://x18.x18.x19.x30/logo.jpg update.xml X http://www.krxxx.net/down/update.xml tvk.exe 0c0052c8ebe1c881c17e71fdda575e94 http://www.krxxx.net/down/tvk.exe server.exe 5598f8a01d7f52a20acc750ee98619cc http://yuankong.kingkaxxxx.com/server.exe C:\WINDOWS\070ADCEA\svchsot.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\net.exe C:\WINDOWS\system32\netware.eng C:\WINDOWS\system32\6TO432 Copied files DST: C:\WINDOWS\070ADCEA\svchsot.exe Registry activity Set keys KEY : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\070ADCEA TYPE: REG_SZ VALUE: C:\WINDOWS\070ADCEA\svchsot.exe Process activity Created processes net start Task Scheduler Runtime DLLs c:\windows\system32\ntdll.dll c:\windows\system32\mswsock.dll 온라인 위협 동향 보고서(2013년 4 월) - 13 -

c:\windows\system32\ws2_32.dll C:\WINDOWS\system32\6TO432.DLL Network activity 112.175.100.208 Vulnerability Set 3544-0507-1723-4681-5076-1889-0422-0634 Malware IP Address Malware IP Nation ISP Name x11.x2.x88.x0 Korea LG DACOM Corporation 온라인 위협 동향 보고서(2013년 4 월) - 14 -

3) www.implaxxxx.com/ca/pop.html 최초발견 일시 2013.04.10 악성 x74.x39.x5.x4/index.html 최종 다운로드파일 추가 다운로드파일 추가 다운로드파일 추가 다운로드파일 추가 다운로드파일 File system activity Opened files v3.exe 88d173e7ae61136039bf56226cef9b20 http://x74.x39.x5.x4/v3.exe vc.exe d701eb0d5a461bcf35ff081198747eaf http://x74.x39.x5.x4/vc.exe krqsoft.dll 9399bb3c0e2bad11f14b85ccab1c892a http://x74.x39.x5.x4/krqsoft.dll krqsoftps.exe 3a00fa27dffa259c7efbff6614445a52 http://x74.x39.x5.x4/krqsoftps.exe popcard.exe ca38fb60355cfafbac116a3b7588f677 http://x74.x39.x5.x4/popcard.exe C:\WINDOWS\C2F5BC5E\svchsot.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\net.exe C:\WINDOWS\system32\netware.eng C:\WINDOWS\system32\kelogr.tmp C:\WINDOWS\krqsoft\krqsoftps.exe C:\WINDOWS\krqsoft\popcard.exe Copied files DST: C:\WINDOWS\C2F5BC5E\svchsot.exe Registry activity Set keys KEY : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\C2F5BC5E TYPE: REG_SZ VALUE: C:\WINDOWS\C2F5BC5E\svchsot.exe Process activity Created processes 온라인 위협 동향 보고서(2013년 4 월) - 15 -

net start Task Scheduler Runtime DLLs c:\windows\system32\ntdll.dll c:\windows\system32\mswsock.dll c:\windows\system32\ws2_32.dll C:\WINDOWS\krqsoft\krqsoft.dll Network activity www.qq00008.com 122.10.36.131 Vulnerability Set 3544-0507-1723-4681-5076-1889-0422-0634 Malware IP Address Malware IP Nation ISP Name x74.x39.x5.x4 United States Krypt Technologies 온라인 위협 동향 보고서(2013년 4 월) - 16 -

4) www.kexxxx.co.kr/form/pop.html 최초발견 일시 2013.04.07 악성 x99.x14.x43.x35/web.html 최종 다운로드파일 추가 다운로드파일 추가 다운로드파일 File system activity Opened files wm.exe afe3dad36a8c2f71a362c0d6859c3060 http://w8.dxxb.com/wm.exe 2c8.exe 3a69ac6581b2f780b85769cec1cc86a8 http://x15.x8.x.x0/2c8.exe dz.txt X http://gx.axxc.net/dz.txt C:\WINDOWS\FBBFD190\svchsot.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\net.exe C:\WINDOWS\Aczw.exe C:\Documents and Settings\Administrator\Local Settings\Temp\binder.exe C:\Documents and Settings\Administrator\Local Settings\Temp\Updater.exe C:\WINDOWS\system32\yiey.exe C:\Documents and Settings\LocalService\ Local Settings\Temporary Internet Files\Content.IE5\I4WXABRV\dz.txt Copied files DST: C:\WINDOWS\CC53D473\svchsot.exe Registry activity Set keys KEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FBBFD190 TYPE: REG_SZ VALUE: C:\WINDOWS\FBBFD190\svchsot.exe KEY: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\Host_ TYPE: REG_SZ VALUE: http://gx.axxc.net/dz.txt Process activity Created processes net start Task Scheduler Runtime DLLs 온라인 위협 동향 보고서(2013년 4 월) - 17 -

c:\windows\system32\ntdll.dll c:\windows\system32\mswsock.dll c:\windows\system32\ws2_32.dll Network activity 125.192.81.68, 122.135.95.164, 122.133.120.152, 122.135.92.165, 122.135.185.1, 220.102.211.188, 122.135.58.179, 122.133.106.150, 122.135.146.246, gx.axxc.net 61.38.186.240, lsw8.q9q6.com, 98.126.162.122 Vulnerability Set 3544-0507-1723-4681-5076-1889-0422-0634 Malware IP Address Malware IP Nation ISP Name x99.x14.x43.x35 United States Vps21 온라인 위협 동향 보고서(2013년 4 월) - 18 -

5) dpxxxx.com/adm/upload/data/pop.html 최초발견 일시 2013.04.16 악성 dpxxxx.com/adm/upload/data/pop.html 최종 다운로드파일 File system activity Opened files 2012.exe 20EC2741761FCEB4B7874C9EFD2BCE24 x99.x93.x4.x49/2012.exe C:\WINDOWS\FC61A033\svchsot.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\net.exe Copied files DST: C:\WINDOWS\FC61A033\svchsot.exe Registry activity Set keys KEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FBBFD190 TYPE: REG_SZ VALUE: C:\WINDOWS\FC61A033\svchsot.exe Process activity Created processes net start Task Scheduler Runtime DLLs c:\windows\system32\ntdll.dll c:\windows\system32\mswsock.dll c:\windows\system32\ws2_32.dll Network activity www.wk1888.com (192.210.58.105) Vulnerability Set 3544-0507-1723-4681-5076-1889-0422-0634 Malware IP Address Malware IP Nation ISP Name x11.x02.x.x93 Korea Hanaro Telecom 온라인 위협 동향 보고서(2013년 4 월) - 19 -

6) x25.x41.x17.x02/index.html 최초발견 일시 2013.04.20 악성 x25.x41.x17.x02/index.html 최종 다운로드파일 File system activity Opened files mino.exe C4F62AC232C57842D1BABCF2EDA6048E znxxxx.gnway.net/mino.exe C:\WINDOWS\4B35183B\svchsot.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\net.exe Copied files DST: C:\WINDOWS\4B35183B\svchsot.exe Registry activity Set keys KEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4B35183B TYPE: REG_SZ VALUE: C:\WINDOWS\4B35183B\svchsot.exe Process activity Created processes net start Task Scheduler Runtime DLLs c:\windows\system32\ntdll.dll c:\windows\system32\mswsock.dll c:\windows\system32\ws2_32.dll Network activity ns1.gnway.com Vulnerability Set 3544-0507-1723-4681-5076-1889-0422-0634 Malware IP Address Malware IP Nation ISP Name x25.x41.x17.x02 Korea Korea Telecom 온라인 위협 동향 보고서(2013년 4 월) - 20 -

7) www.thaitxxxx.co.kr/total_board_image/upload/mk/index.html 최초발견 일시 2013.04.21 악성 www.thaitxxxx.co.kr/total_board_image/upload/mk/index.html 최종 다운로드파일 File system activity Opened files 2013.exe 06136DC1E770DD6B2DDD520A5F17E0B7 x92.x9.x38.x2/2013.exe C:\WINDOWS\23E848D7\svchsot.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\net.exe Copied files DST: C:\WINDOWS\23E848D7\svchsot.exe Registry activity Set keys KEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\23E848D7 TYPE: REG_SZ VALUE: C:\WINDOWS\23E848D7\svchsot.exe Process activity Created processes net start Task Scheduler Runtime DLLs c:\windows\system32\ntdll.dll c:\windows\system32\mswsock.dll c:\windows\system32\ws2_32.dll Network activity www.wk1888.com (192.210.58.105) Vulnerability Set 3544-0507-1723-4681-5076-1889-0422-0634 Malware IP Address Malware IP Nation ISP Name x75.x25.x0.x83 Korea Hanaro Telecom 온라인 위협 동향 보고서(2013년 4 월) - 21 -

8) ansaxxxxx.or.kr/inc/pop.html 최초발견 일시 2013.04.25 악성 ansaxxxxx.or.kr/inc/pop.html 최종 다운로드파일 File system activity Opened files 14.exe F99C990A8F9E25C62CB27978990E19C7 x98.x3.x05.x21/14.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\net.exe Copied files DST: C:\WINDOWS\system32\nnaa.exe Registry activity Set keys KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sadsadad\Description TYPE: REG_SZ VALUE: 360mss Process activity Created processes C:\WINDOWS\system32\cmd.exe /c del C:\D42A78~1 > nul Runtime DLLs c:\windows\system32\ntdll.dll c:\windows\system32\kernel32.dll c:\windows\system32\ws2_32.dll Network activity 53000.aaaqing.com (199.114.240.57) Vulnerability Set 3544-0507-1723-4681-5076-1889-0422-0634 Malware IP Address Malware IP Nation ISP Name x11.x0.x18.x5 Korea LG DACOM Corporation 온라인 위협 동향 보고서(2013년 4 월) - 22 -

9) edulife.xx-x.ac.kr/hwp/pop.html 최초발견 일시 2013.04.09 악성 edulife.xx-x.ac.kr/hwp/pop.html 최종 다운로드파일 추가 다운로드파일 File system activity Opened files add.exe FB1967EC6594F8DFF45839CF9D151611 sss.whbxx.com/add.exe nwe.exe 16A619264440AEF89F611059AA09B00B x10.x09.x7.x75/nwe.exe C:\WINDOWS\FANBB138\svchsot.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\net.exe C:\Documents and Settings\Administrator\Local Settings\Temp\nwe.exe C:\WINDOWS\system32\drivers\etc\hosts Copied files DST: C:\WINDOWS\FANBB138\svchsot.exe Registry activity Set keys KEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FBBFD190 TYPE: REG_SZ VALUE: C:\WINDOWS\FANBB138\svchsot.exe Process activity Created processes net start Task Scheduler Runtime DLLs c:\windows\system32\ntdll.dll c:\windows\system32\mswsock.dll c:\windows\system32\ws2_32.dll Network activity x10.x09.x7.x75, sss.whbxx.com 70.39.88.61 Vulnerability Set 3544-0507-1723-4681-5076-1889-0422-0634 Malware IP Address Malware IP Nation ISP Name x11.x33.x1.x00 Korea Lg Dacom Kidc 온라인 위협 동향 보고서(2013년 4 월) - 23 -

10) sgpoxxxx.co.kr/util/temp/mk/pop.html 최초발견 일시 2013.04.16 악성 sgpoxxxx.co.kr/util/temp/mk/pop.html 최종 다운로드파일 File system activity Opened files 2012.exe 20EC2741761FCEB4B7874C9EFD2BCE24 x99.x93.x4.x49/2012.exe C:\WINDOWS\C82BA15C\\svchsot.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\net.exe C:\Documents and Settings\Administrator\Local Settings\Temp\2012.exe Copied files DST: C:\WINDOWS\ED1ADD1F\svchsot.exe Registry activity Set keys KEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\C82BA15C\ TYPE: REG_SZ VALUE: C:\WINDOWS\C82BA15C\svchsot.exe Process activity Created processes net start Task Scheduler Runtime DLLs c:\windows\system32\ntdll.dll c:\windows\system32\mswsock.dll c:\windows\system32\ws2_32.dll Network activity x99.x93.x4.x49 Vulnerability Set 3544-0507-1723-4681-5076-1889-0422-0634 Malware IP Address Malware IP Nation ISP Name x11.x15.x2.x88 korea Lg Dacom Kidc 온라인 위협 동향 보고서(2013년 4 월) - 24 -

3. 주요 유포지 수집 및 분석 결과 2013년 4월에 발견된 악성코드 신규 유포지는 264 개이며, 그중 약 30개를 요약하 여 정리하였으며, 유포지에서 이용되고 있는 Exploit Kit은 Gondad Exploit Kit, Red Exploit Kit, CK Vip Kit, Gondad Exploit Kit + Adobe Flash Player 주요 통계 정보는 다. 주요 감염 취약점 관련 통계 을 확인하십시오. 를 단독적으로 쓰인 분 미국 도메인을 이용하고 있다. 등이 있으며 Red Exploit Kit이 많이 관찰되었으며 대부 Download 공격은 웹사이트를 통해 JS/HTML을 활용한 Redirection -> Exploit -> Payload Download -> Real Malwares Download 순서로 진행되므로, 악성코드의 유형을 별도로 언급하지는 않는다. 다만, 다운로드 되는 최종 악성코드는 트로이목마가 다수이며, 기능상 금융 정보 및 개인 정보 수집 기능이 포함된다. 가. 주요 유포지 요약 탐지일 유포지 국가 취약점 악성코드 유형 04.01 www.superduperxxxxx.com/css/css.html 한국 04.02 www.mdacxxxxx.co.kr/system/conf/db/1.html 한국 04.03 mysoccerxxxxx.com/zbun.html?i=2810431 미국 04.04 nc-guaxxxxx.org/hbnn.html?i=2810431 미국 04.05 singrm.gxxxxx.com/data/best/homepage/home.js 한국 CVE-2012-3544,4 681,1889,4969 04.06 pharmatherxxxxx.com/oxnu.html?i=2810431 미국 04.07 www.kxxxxx.co.kr/form/pop.html 한국 04.08 www4352.ntxxxxx.com:8089/zip.html 중국 CVE-2012-3544,4 681,1889,4969 04.09 edulife.xx-x.ac.kr/hwp/pop.html 한국 온라인 위협 동향 보고서(2013년 4 월) - 25 -

04.10 www.impxxxxx.com/ca/pop.html 한국 CVE-2012-3544,4 681,1889,4969 04.11 199.36.77.138/web.html 미국 04.12 www.popxxxxx.com/board/img/pop.html 한국 CVE-2012-3544,4 681,1889,4969 04.13 www.wwhol.com/top.js 미국 04.14 199.114.242.82/web.html 미국 04.15 www.winexxxxx.com/update/mk/imdx.html 한국 04.16 dpxxxx.com/adm/upload/data/pop.html 한국 04.17 motorscoxxxxx.com/owhd.html?i=3223139 미국 04.18 www.popcoxxxx.com/upload/portfolio/mk.html 한국 04.19 143.90.211.122/index.html 일본 04.20 x25.x41.x17.x02/index.html 한국 온라인 위협 동향 보고서(2013년 4 월) - 26 -

04.21 www.thaitxxxx.co.kr/total_board_image/upload/m k/index.html 한국 04.23 project.xxxx.co.kr/pds/1/index.html 한국 04.24 x1.x8.x52.x8/web.html 한국 04.25 hd.xxxxx.com/common/dialog/assets/view.js 한국 04.25 availablelocksmithinc.com/hbun.html?i=2810431 미국 04.25 ansaxxxxx.or.kr/inc/pop.html 한국 04.26 x7.x98.x52.x/ad.js 한국 04.27 www.krxxx.net/index.html 태국 04.28 122.10.10.60/w.lilalio.com/main.html 중국 04.29 113.10.187.7/oacs19/29.html 홍콩 온라인 위협 동향 보고서(2013년 4 월) - 27 -

04.30 113.10.187.9/oacs19/29.html 홍콩 온라인 위협 동향 보고서(2013년 4 월) - 28 -

나. 유포 현황 - Top 3 경유지를 통해 유포되는 악성코드는 다음과 같이 주로 3 가지 유형으로 정리되었다. 1) http://lol.axxxxx.com/index.html 온라인 위협 동향 보고서(2013년 4 월) - 29 -

2) singrm.gxxxxx.com/data/best/homepage/home.js 3) http://matiasgreco.com/zqgy.html?i=1958545 온라인 위협 동향 보고서(2013년 4 월) - 30 -

4. 금융 동향 가. 금융 동향11) 1) 4월 1주차 hosts.ics12) 파일 활용 4월 1주차 이슈는 hosts.ics 파일을 변조하는 새로운 형태의 파밍 기술이 발견되었 다. hosts.ics 파일은 일반적으로 사용하지 않는 파일로 인터넷 연결 공유(ICS, Internet Connection Sharing) 시에 특정한 클라이언트의 을 가진다. IP를 강제로 지정하는 기능 <hosts.ics 파일에 파밍으로 이용되는 IP 주소를 추가> 이와 같이 국내에서 유포된 파밍 악성파일 중에 hosts.ics 파일을 활용하여 감염된 경우 파밍이 이뤄지는 상태를 볼 수 있다. 또한, 기존의 hosts 파일 내에 백신의 접 근 및 업데이트를 방해하는 이 사용되었다. IP 주소를 입력하여 변조시 진단하지 못하는 하는 기법 11) 월간 발생하는 금융 이슈를 정리 12) hosts.ics : ICS( 인터넷 연결 공유. Internet Connection Sharing) 에서 특정한 클라이언트의 IP를 강제로 지정하기 위해 사 용하는 파일로 hosts 파일과 동일한 기능을 가짐. 온라인 위협 동향 보고서(2013년 4 월) - 31 -

Online Threat Intelligence Monthly Report 04, 2013 2) 4월 4주차 레지스트리를 활용하는 새로운 파밍13) 4월 4주차 이슈는 기존에는 hosts 파일 또는 hosts.ics 파일을 단독으로 변조하였 으나 2개의 파일을 모두 변조하고 최종적으로는 hosts 파일에 변조하는 공격이 관찰 되었다. 이러한 경우 파밍캅 과 같이 hosts 파일 변조를 진단하는 보안 프로그램에서 는 진단이 일부 가능하다. <hosts 파일과 hosts.ics 파일을 함께 변조> 하지만, 공격자는 단순하게 진행하지 않고 다음과 같이 1.bat 파일을 통해 레지스 트리를 수정하는 과정을 추가하였다. <1.bat 파일의 내용> 여기서 주목해야 할 부분은 DNSCacheTimeOut, ServerInfoTimeOut 레지스트리 값으로, DNS 캐시의 저장 시간을 지정한다. 브라우저에서는 기본적으로 30분간 유지 하게 되어 있으며, 만약 0을 입력하게 되면 hosts 파일의 변경 즉시 반영하게 되는 효과를 가져 오는 것으로 판단된다. 13) 파밍: Pharming, 이용자 PC를 악성코드에 감염시켜 이용자가 인터넷 '즐겨찾기' 또는 포털사이트 검색을 통하여 금융회사 등의 정상적인 홈페이지 주소로 접속하여도 피싱사이트로 유도되어 범죄 관련자가 개인 및 금융거래 정보 등을 몰래 빼가는 수법 온라인 위협 동향 보고서(2013년 4월) - 32 -

5. BotNet 14) 및 C&C 15) IP 내역 가. 주간 BotNet 및 C&C IP 내역 1) 4월 1주차 2) 4월 2주차 3) 4월 3주차 4) 4월 4주차 * 안내: 본 내용은 주간 보고서에서 제공한 사항입니다. 시일이 다소 지난 관계로 효용성 및 신뢰상 문 제가 있을 수 있어 월간 보고서에서는 제공하지 않음을 양해해 주십시오. 14) BotNet 은 스팸메일이나 악성코드 등을 전파하도록 하는 악성코드 봇(Bot) 에 감염되어 해커가 마음대로 제어할 수 있는 좀 비 PC 들로 구성된 네트워크를 말한다. 15) C&C: Command and Control 온라인 위협 동향 보고서(2013년 4 월) - 33 -

6. 향후 전망 및 개선 방안 가. 향후 전망 악성코드 유포 측면에서는 MalwareNet( 다단계유포망) 이 지속적으로 활용될 것으로 예상되며, 파밍 또한 기존 보안 대책을 우회하기 위해 새로운 형태가 나타날 것으로 보인다. 나. 개선 방안 지속적인 유포지 및 경유지 침해 사고가 발생할 경우에는 웹사이트의 취약점 을 분석하여 해결해야 한다. 또한, 웹사이트 내에 웹쉘, 루트킷과 같이 악성코드가 숨 겨져 있을 수 있으므로, 추가적인 보안 대책이 필요하다. 웹 취약점을 해결하기 위해서는 홈페이지의 개발시점부터 유지보수 때까지 개 발자가 보안 코딩을 준수해야 하며, 아래 웹사이트에서 취약점을 온라인으로 진단이 가능하다. https://scan.bitscan.co.kr -> 웹취약점 점검 ( 가입 필수 및 유료) 관리하는 웹사이트가 유포지 또는 경유지로 활용되는 경우에는 아래의 웹사이 트에서 무료로 진단이 가능하다. https://scan.bitscan.co.kr -> 유포지 확인 ( 가입 필수 및 무료) Exploit Kit에 활용되는 각종 취약점은 아래 사이트를 통해 보안 패치 및 업데이트가 가능하다. o Microsoft Windows http://windowsupdate.microsoft.com o Oracle Java www.oracle.com/technetwork/java/javase/downloads/index.html o Adobe Flash Player http://www.adobe.com/support/security/#flash o Adobe Reader http://www.adobe.com/support/security/#readerwin [안내] * 본 문서의 저작권은 가 소유하고 있으며, 무단으로 배포하거나 편집할 수 없습니다. * 무료 구독 문의 및 고급보안정보구독서비스 와 관련된 문의는 info@bitscan.co.kr 로 문의하여 주십 시오. 끝. 온라인 위협 동향 보고서(2013년 4 월) - 34 -