< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

Similar documents
< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

유포지탐지동향

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

F O C U S 3 홈페이지를통한악성코드유포및대응방안 FOCUS 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아

*2008년1월호진짜

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

#WI DNS DDoS 공격악성코드분석

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

슬라이드 1

08_spam.hwp

[ 목차 ] 1. 개요 1 2. 악성코드감염경로 드라이브바이다운로드 (Drive by download) 제휴프로그램변조 웹하드업데이트설정파일및홈페이지변조 Torrent 및 P2P 사이트파일다운로드 공유기 D

목 차 1. 개 요 배경 요약 정보 대상시스템 원리 공격 기법 및 기본 개념 Heap Spray Font 공 격..

#HNS-WI 금융권및포털사이트이용자대상악성코드및공격기법분석 (v0.1 공개버전 )

공지사항

한국에너지기술연구원 통합정보시스템설치방법설명서 한국에너지기술연구원 지식정보실 - 1 -

ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

국가정보보호백서 제1장 정보환경 변화와 정보보호 정보통신기술은 우리에게 보다 나은 미래를 제공해주는 원동력이자 현대사회에서 없어서는 안 될 필수불가결한 사회기반으로 여겨지고 있다. 또한 정보통신기술은 경제 성장의 원천이 되고 있으 며 사회 시스템의 효율성을

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

untitled

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

슬라이드 1

ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나 데이터를암호화해사용할수없도록하고이를인질로금전

시스템정보를수집하여해커에게전송하고변조된 파일을통해파밍공격을수행한다 이후해커는피싱사이트를통해개인정보를입력하도록유도하고 차인증이필요한것처럼속여 코드로사용자의스마트폰에악성앱을다운받도록한다 이렇게 와스마트폰을동시에공격하는방식은악성코드가 차채널인증의무화등과같은새로운금융보안정책에

Ⅰ. 서론 최근 PC 와스마트폰에서금융정보를탈취하기위한해커들의움직임이다수포착되고 FOCUS 있다. 실제한국인터넷진흥원에신고 접수된악성앱중 10% 이상과 PC 악성코드중 17% 이상이보안카드번호, 주민등록번호등금융정보를탈취하고있다. 뿐만아니라가능한 많은금융정보를수집하기위

고급보안정보구독서비스 소개 국내외 210여만개 ( 국내 180만, 해외 30만 ) 웹사이트를통해발생되는대량감염시도와워터링홀공격을실시간으로탐지하여공격에대한이슈, 실제범위및미치는영향등을주간단위로분석하여제공하는정보제공서비스 서비스유형 l 브리핑요약 한주간의공격동향및새로운공격

고급보안정보구독서비스 소개 국내외 180 여만개 ( 국내 150 만, 해외 30 만 ) 웹사이트에서발생하는해킹, 변조, 침해사고를탐지하여 공격에대한이슈, 실제범위및미치는영향등을주간단위로분석하여제공하는정보제공서비스 서비스유형 주간브리핑 악성코드유포범위와경유지, 국내에서많

RHEV 2.2 인증서 만료 확인 및 갱신

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction

AhnLab_template

목차 Part Ⅰ 8 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

Windows 8에서 BioStar 1 설치하기

Security Trend ASEC Report VOL.56 August, 2014

<C0CCC8ADC1F82E687770>

ASEC REPORT VOL.71 November, 2015 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

고급보안정보구독서비스 소개 국내외 210여만개 ( 국내 180만, 해외 30만 ) 웹사이트를통해발생되는대량감염시도와워터링홀공격을실시간으로탐지하여공격에대한이슈, 실제범위및미치는영향등을주간단위로분석하여제공하는정보제공서비스 서비스유형 l 브리핑요약 한주간의공격동향및새로운공격

5th-KOR-SANGFOR NGAF(CC)

신종파밍악성코드분석 Bolaven

리눅스 취약점대응방안권고 / KISA 취약점점검팀 영향받는플랫폼 OS, FAQ 추가 개요 미국보안회사 에의해 시스템의 라이브러리 의특정함수에서임의코드를실행할수있는취약점이공개 해당취약점은 CVE 지정, 도메인네임을

<C0CFC1A4BFDC28C0DBBEF7C1DF292E687770>

<4D F736F F F696E74202D20C0FCBCBAC7D0202D20B1E2BEF720C1A4BAB820BAB8C8A3B8A620C0A7C7D120BEC7BCBAC4DAB5E520B4EBC0C0205BC8A3C8AF20B8F0B5E55D>

ActFax 4.31 Local Privilege Escalation Exploit

Security Trend ASEC REPORT VOL.68 August, 2015

ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성

개요 최근사용자들이인터넷을사용하던중에 CVE (Java), CVE (IE), CVE (Flash), CVE (IE) 취약점을이용한 sweet orange exploit kit 가전파되어이를연구하였으 며,


1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

PowerPoint 프레젠테이션

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

슬라이드 1

PowerPoint Presentation

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

AhnLab_template

ASEC Report VOL.53 May, 2014 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하며

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 운영체제의버전확인은어떻게확인하나요? 3 Q5. 보안패치는어떻게하나요? 4 Q6. 보안패치가됐

Windows 10 General Announcement v1.0-KO

ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

슬라이드 1

<31305FBEC6C0CCC5DB2E687770>

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

목차 Part Ⅰ 1 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

Microsoft PowerPoint - 권장 사양

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

고객 카드

07_alman.hwp

DBMS & SQL Server Installation Database Laboratory

ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

JDK이클립스


Scene7 Media Portal 사용

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

Security Trend ASEC REPORT VOL.67 July, 2015

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요? 3 Q5. 보안패치가됐는지어떻게확인하나요? 5 Q6. 스마트폰도랜섬웨

(Microsoft PowerPoint - NRMWFKPIIYBC [\310\243\310\257 \270\360\265\345])

<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707

Security Trend ASEC Report VOL.63 March, 2015

I. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드의주요동향을파악하기위하여악성코드별변종을 종합한악성코드대표진단명감염보고 Top20 이다 년 12 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [ 표 1-1]

I. 주요현황 FOCUS 1. PC 악성코드동향 한국인터넷진흥원인터넷침해사고대응통계월보 ( 13.1 월호 ) 에따르면당월한달간신고접수된악성코드감염피해신고건수는총 2,557 건으로전월 2,462 건대비 3.9% 증가한것으로집계되었다. 지난해연간피해신고된주요악성코드로는,

<4D F736F F D2038BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

Microsoft Word - SecuLetter_ExploitAnalysis_CVE _Ver0.1

목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.

Transcription:

월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2014. 03. 침해사고대응단 인터넷침해대응본부

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 15 3. 악성코드은닉사례분석 16 - 포털블로그게시글에어뷰징행위를통한악성코드유포 금융정보탈취 16 - 신규 IE 취약점 (CVE-2014-0322) 을악용한악성코드유포 금융사이트파밍 23 4. 향후전망 36 - 악성코드유포방법및조치방안 36

월간동향요약 월홈페이지를통해유포된악성코드는 가금융사이트파밍이며 그외금융정보탈취 공인인증서탈취 감염 정보탈취등으로파악되었다 또한 애플릿 취약점을복합적으로이용하여악성코드를유포하는것으로분석되었다 인터넷익스플로러취약점 Adobe Flash Player 취약점 Java 애플릿취약점 악성코드은닉동향요약 CVE-2012-1875 CVE-2008-2551 CVE-2008-0015 CVE-2011-0611 CVE-2011-2140 CVE-2012-0754 CVE-2012-1535 CVE-2013-1493 CVE-2013-2423 동일 ID 속성원격코드실행취약점 ActiveX Exploit 취약점 Microsoft 비디오 ActiveX 컨트롤의취약점으로인해원격코드실행 메모리손상으로인한코드실행취약점 드라이브바이다운로드방식, JRE 샌드박스제한우회취약점이용 MS Windows Media 취약점 CVE-2012-0003 Windows Media 의취약점으로인한원격코드실행 Adobe reader (PDF) 취약점 CVE-2010-0188 Adobe Reader 에서비정상종료를유발할수있는취약점 MS XML 취약점 XML Core 취약점 Services 의 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2012-1875 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2008-2551 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2008-0015 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2011-0611 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2011-2140 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2012-0754 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2012-1535 http://cve.mitre.org/cgi-bin/cvena me.cgi?name= http://cve.mitre.org/cgi-bin/cvena me.cgi?name= http://cve.mitre.org/cgi-bin/cvena me.cgi?name= http://cve.mitre.org/cgi-bin/cvena me.cgi?name= http://cve.mitre.org/cgi-bin/cvena me.cgi?name= http://cve.mitre.org/cgi-bin/cvena me.cgi?name= http://cve.mitre.org/cgi-bin/cvena me.cgi?name= http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2013-1493 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2013-2423 http://cve.mitre.org/cgi-bin/cvena me.cgi?name= http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2012-0003 https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2010-0188 http://cve.mitre.org/cgi-bin/cvena me.cgi?name= http://technet.microsoft.com/se curity/bulletin/ms12-037 - http://www.oracle.com/technetwork/t opics/security/javacpufeb2012-36631 8.html#PatchTable http://www.oracle.com/technetwork/topics/ security/javacpujun2012-1515912.html http://www.oracle.com/technetwork/topics/s ecurity/alert-cve-2012-4681-1835715.html http://www.oracle.com/technetwork/topics/ security/javacpuoct2012-1515924.html http://www.oracle.com/technetwork/topics/s ecurity/alert-cve-2013-0422-1896849.html http://www.oracle.com/ocom/groups/public/ @otn/documents/webcontent/1915099.xml http://www.oracle.com/technetwork/topics/ security/javacpuapr2013-1928497.html http://www.oracle.com/technetwork/topics/ security/javacpujun2013-1899847.html 구분내용상세취약점정보보안업데이트 http://www.cve.mitre.org/cgi-bin/cve http://technet.microsoft.com/enus/security/bulletin/ms10-002 name.cgi?name=cve-2010-0249 http://cve.mitre.org/cgi-bin/cvenam http://technet.microsoft.com/kokr/security/bulletin/ms10-018 e.cgi?name=cve-2010-0806 http://cve.mitre.org/cgi-bin/cvenam CVE-2010-0249 http://technet.microsoft.com/kokr/security/bulletin/ms10-002 e.cgi?name=cve-2010-0249 CVE-2010-0806 http://cve.mitre.org/cgi-bin/cvenam CVE-2010-0249 http://technet.microsoft.com/kokr/security/bulletin/ms11-050 e.cgi?name=cve-2011-1255 CVE-2011-1255 CVE-2012-4792 Internet Explorer 를사용 http://cve.mitre.org/cgi-bin/cvenam http://technet.microsoft.com/kokr/security/bulletin/ms13-008 CVE-2012-4969 하여특수하게조작된 e.cgi?name=cve-2012-4792 CVE-2013-1347 웹페이지에접속할경우 http://cve.mitre.org/cgi-bin/cvenam http://technet.microsoft.com/kokr/security/bulletin/ms12-063 CVE-2013-3893 원격코드실행허용 e.cgi?name=cve-2012-4969 http://cve.mitre.org/cgi-bin/cvenam CVE-2013-3897 http://technet.microsoft.com/kokr/security/bulletin/ms13-038 e.cgi?name=cve-2013-1347 CVE-2014-0322 http://www.cve.mitre.org/cgi-bin/cve http://technet.microsoft.com/kokr/security/advisory/2887505 name.cgi?name=cve-2013-3893 http://www.cve.mitre.org/cgi-bin/cve http://technet.microsoft.com/kokr/security/bulletin/ms13-080 name.cgi?name=cve-2013-3897 http://www.cve.mitre.org/cgi-bin/cve http://technet.microsoft.com/enus/security/advisory/2934088 name.cgi?name=2014-0322 http://technet.microsoft.com/kokr/security/bulletin/ms09-032 http://www.adobe.com/support/securi ty/advisories/apsa11-02.html http://www.adobe.com/support/securi ty/bulletins/apsb11-21.html http://www.adobe.com/support/securi ty/bulletins/apsb12-03.html http://www.adobe.com/support/securi ty/bulletins/apsb12-18.html http://www.adobe.com/support/securi ty/bulletins/apsb13-04.html http://technet.microsoft.com/kokr/security/bulletin/ms12-004 http://www.adobe.com/support/sec urity/bulletins/apsb10-07.html http://technet.microsoft.com/ko-kr /security/bulletin/ms12-043 - 1 -

홈페이지은닉형악성코드통계 Information TIP o 악성코드은닉사이트란? 이용자 PC 를악성코드에감염시킬수있는홈페이지로, 해킹을당한후악성코드 자체또는악성코드를유포하는주소 (URL) 를숨기고있는것을말한다. o 악성코드은닉사이트는크게유포지와경유지로구분된다. 유포지 : 홈페이지이용자에게악성코드를직접유포하는홈페이지 경유지 : 홈페이지방문자를유포지로자동연결하여악성코드를간접유포하는홈페이지 유포지탐지현황 년 월에악성코드유포지탐지및조치현황은다음과같다 악성코드유포지탐지는전월대비 건 건 감소하였다 유포지탐지 - 2 -

대량경유지가탐지된유포지 년 월에대량경유지가탐지된유포지 은다음과같다 순위탐지일유포지국가경유지건수 1 2014.02.25 http://125.214.195.113/style.jpg 홍콩 99 2 2014.02.28 http://xxxxxxx.net/diary/pop.js 한국 67 3 2013.10.30 http://web.5dfgy.cn/12.js 미국 35 4 2013.03.05 http://as.casalemedia.com/sd?s= 미국 22 5 2014.01.07 http://www.xxxxx.com/css/w.html 한국 11 6 2014.02.22 http://xxxxxxxxxxx.com/pop/index.html 한국 8 7 2010.12.27 http://www.ro521.com/test.htm 중국 7 8 2012.08.25 http://web.nba1001.net:8888/tj/tongji.js 중국 6 9 2014.01.22 http://www.xxxxxxx.net/data/event_banners/pop/1.html 한국 5 10 2014.02.26 http://xxxxxxx.co.kr/pop/index.html 한국 5-3 -

악성코드유형별비율 악성코드유형중금융사이트파밍이 의비율로가장높았으며 그 이외에도금융정보탈취 공인인증서탈취 감염 정보탈취등의악성코드 유형이다양하게나타났다 드롭퍼 : 자체적인확산기능은가지고있지않으나, 취약점을이용하여유포된뒤실행되는악성코드 금융사이트파밍 : 운영체제에서제공하는호스트연결기능을악용한것으로정상호스트설정파일을악의적으로변경하여정상금융사이트방문시가짜금융사이트로연결 비트코인 : 디지털단위인비트 (bit) 와코인 (coin) 의합성어로온라인가상화폐 악성앱 : 스마트폰에저장된개인정보등을탈취하는악의적활동을수행하는앱 악성코드취약점유형별비율 애플릿취약점 취약점 취약점 취약점 등의취약점과복합적으로사용되었다 - 4 -

악성코드수집및분석결과 년 월에악성코드수집내역과분석결과는다음과같다 악용되는취약점은 취약점 애플릿취약점 취약점 취약점 취약점의 가지형태로구성되어있다 No 탐지일유포지국가취약점악성코드유형 1 02.03 http://test.xxxxxxx.co.kr/bbs2/nows.gif 한국직접다운로드비트코인정보탈취 2 02.05 http://test.xxxxxxx.co.kr/bbs2/brow.gif 한국직접다운로드비트코인정보탈취 3 02.05 http://dmstkd01.xxxxxxx.kr/winagent.jpg http://dmstkd01.xxxxxxx.kr/winagent.jpg 한국직접다운로드백도어 4 02.05 http://www.wk1888.com/ 미국직접다운로드드롭퍼 - 5 -

5 02.06 http://vip1.zyns.com/index.html 홍콩 6 02.07 http://custom.xxxxx.net/_cpl/or/main.html 한국 CVE-2011-2140 CVE-2013-3897 드롭퍼 금융사이트파밍 7 02.07 http://182.16.30.254/nprotect_keycrypt60_setup.exe 홍콩직접다운로드감염 PC 정보탈취 8 02.07 http://www.xxxxxxx.com/pic/vpm.exe 한국직접다운로드금융사이트파밍 9 02.07 http://xxxxxxxxxx.com/pop/index.html 한국 10 02.07 http://xxxxxxxx.com/kcp/log/6c2c074d/40 4.html 한국 11 02.07 http://www.xxxxxxxx.co.kr/upload/a/main.h tml 한국 12 02.08 http://itopedu.xxxxxxx.kr/new/bbs_sun/files /board6/c53de7ef/404.html 한국 공인인증서탈취금융사이트파밍금융사이트파밍금융사이트파밍 - 6 -

13 02.09 http://103.253.96.226/index.html 홍콩 14 02.09 http://xxxxxxx.com/pop/index.html 한국 CVE-2011-2140 CVE-2013-3897 원격제어 원격제어 15 02.09 http://www.xxxxxx.or.kr/web/view.html 한국 CVE-2013-3897 다운로더 16 02.09 http://xxxxxxx.co.kr/editor/uploads/2ef53b 59/404.html 한국 17 02.10 http://xxxxx.com/bbs_sun/files/humor/311 45B63/404.html 한국 18 02.11 http://mmarket.xxxxx.net/nalog/d/main.ht ml 한국 19 02.11 http://103.253.96.102/index.html 홍콩 금융정보탈취감염PC 정보탈취금융사이트파밍금융정보탈취 - 7 -

20 02.11 http://www.xxxxxxxxt.co.kr/best/vt/main.ht ml 한국 21 02.11 http://xxxxxxxxx.co.kr/pop/index.html 한국 22 02.12 http://72.8.179.158/index.html 미국 CVE-2011-2140 CVE-2013-3897 금융정보탈취 드롭퍼 감염 PC 정보탈취 23 02.12 http://xxxxxxxxx.com/event/main.html 한국직접다운로드금융정보탈취 24 02.12 http://tommeetippee.xxxx.com/customer_c enter/privacyfamily.html 한국 25 02.12 http://103.253.96.104/index.html 홍콩 금융정보탈취 금융정보탈취 26 02.12 http://xxxxxx.co.kr/zb.exe 한국직접다운로드음성내용녹음및탈취 27 02.12 http://xxxxxxx.pe.kr/doc/mooc.co 한국직접다운로드공인인증서탈취 28 02.12 http://xxxxxxx.com/css/wuming.co 한국직접다운로드공인인증서탈취 29 02.12 http://www.xxxxxxxxx.com/365/main.html 한국직접다운로드금융정보탈취악성앱 - 8 -

30 02.13 http://xxxxxxxx.com/pop/index.html 한국 CVE-2011-2140 CVE-2013-3897 공인인증서탈취 31 02.14 http://gifas.assso.net/include.html 미국 CVE-2014-0322 금융사이트파밍 32 02.14 http://www.xxxx.co.kr/uploads/info/click.exe 한국직접다운로드금융사이트파밍 33 02.14 34 02.14 35 02.14 36 02.15 http://xxxxxxxx.com/bbs_sun/files/album/7 E16E371/404.html http://xxxxxxx.co.kr/new/bbs_sun/zmspam Free/9341497D/404.html http://xxxxx-xxxxx.net/pro_img/fea8d6d3/ 404.html http://xxxxxxxxx.com/easy_editor/user_img /927724DF/ad.html 한국한국한국한국 금융사이트파밍금융정보탈취감염PC 정보탈취금융사이트파밍 37 02.15 http://www.xxxxxx.com/click/click.exe 한국직접다운로드금융사이트파밍 38 02.15 http://xxxxxxx.co.kr/jnc1/de0b7a9b/ad.html 한국 금융사이트파밍 - 9 -

39 02.15 http://xxxxxxxxx.co.kr/wys2/swf_upload/20 14/02/11/view.html 한국 CVE-2013-3897 다운로더 40 02.17 http://164.40.155.171/a1.exe 네델란드직접다운로드원격제어 41 02.17 http://ww2.aoi98.com/css/m0207.txt 홍콩직접다운로드비트코인채굴악성코드 42 02.17 http://110.34.198.36:806/index.html 태국 43 02.19 http://xxxxxxxx.com/pop/index.html 한국 CVE-2011-2140 CVE-2013-3897 CVE-2011-2140 CVE-2013-3897 드롭퍼 다운로더 44 02.19 http://rnt37100.xxxxxxxxxxxx.co.kr/web_ftp /winagent.jpg 한국직접다운로드해킹툴 45 02.19 http://www.discoverylaos.com/images/5ise.exe 태국직접다운로드 가상환경확인용 악성코드 46 02.19 http://182.16.30.251/nprotect_keycrypt60_setup.exe 홍콩직접다운로드 DDoS 공격 47 02.19 http://xxxxxx.co.kr/pop/index.html 한국 CVE-2013-3897 공인인증서탈취 48 02.19 http://ho-kgb.com/list/vc/index.html 일본 49 02.20 http://woori2012.com/usdpngkr/css/index. html 일본 공인인증서탈취 금융사이트파밍 - 10 -

50 02.20 http://xxxxxxxxxx.co.kr/pop/index.html 한국 51 02.20 http://xxxxxxxxx.com/pop/index.html 한국 CVE-2011-2140 CVE-2013-3897 공인인증서탈취 공인인증서탈취 52 02.21 http://softcdn.org/pcdataapp.exe 미국직접다운로드드롭퍼 53 02.21 http://xxxxxxxxx.co.kr/xml/wins.exe 한국직접다운로드금융사이트파밍 54 02.21 http://xxxxxxx.co.kr/pop/index.html 한국 55 02.21 http://data.xxxxx.net/data/tax/sty/main.ht ml 한국 56 02.21 http://www.xxxxxxxx.com/.../e469429d/ad. html 한국 57 02.22 http://xxxxxxxxxxx.kr/pop/index.html 한국 공인인증서탈취금융정보탈취금융사이트파밍금융정보탈취 - 11 -

58 02.23 http://www.xxxxxxx.co.kr/bbs/skin/w/main. html 한국 59 02.23 http://ipomon.com/index.html 미국 60 02.23 http://xxxxxxxxx.com/pop/index.html 한국 61 02.23 http://www.xxxxxxxc-xxxxx.or.kr/cat/config/ F752E4CB/ad.html 한국 62 02.24 http://xxxxxxxxx.co.kr/pop/index.html 한국 63 02.25 http://xxx.co.kr/a/index.html 한국 CVE-2011-2140 CVE-2013-3897 원격제어다운로더금융정보탈취금융사이트파밍원격제어감염PC 정보탈취 - 12 -

64 02.25 http://xxxxxx.com/pop/index.html 한국 CVE-2011-2140 CVE-2013-3897 비정상파일 65 02.25 http://xxxxxx.xx.co.kr/help/ie.html 한국 CVE-2014-0322 드롭퍼 66 02.25 http://xxx.xxx.xxx.xx/style.jpg 한국 직접다운로드 67 02.26 http://xxxxxxx.co.kr/pop/index.html 한국 스마트폰정보탈취및 원격제어 드롭퍼 68 02.26 http://xxxxxxx.com/css/pengyou.co 한국직접다운로드공인인증서탈취 69 02.26 http://xxxxxxx.xxxx.net/index.html 한국 감염 PC 정보탈취 70 02.26 http://xxxxxx.com//bbs/cool/cool.exe 한국직접다운로드금융사이트파밍 71 02.27 http://xxxxxxxxxx.com/pop/index.html 한국 72 02.27 http://host.host.xxxxxxxxxxxx.com:800/inde x.html 한국 CVE-2011-2140 CVE-2013-3897 비정상파일 감염 PC 정보탈취 - 13 -

73 02.27 http://api1.wipmania.com.wipmsc.ru/api1.gif 네델란드직접다운로드다운로더 74 02.27 http://xxxxxxxxxxxxxxxx.co.kr/pop/index.ht ml 한국 75 02.28 http://sd.googlay.org/index.html 홍콩 76 02.28 http://xxxxxxx.co.kr/pop/index.html 한국 77 02.28 http://xxxxx.co.kr/homepage/img/0309240 A/modal_layer.html 한국 78 02.28 http://www.uniqlets.com/resources/file/fi/i ndex.html 미국 CVE-2011-2140 CVE-2013-3897 CVE-2011-2140 CVE-2013-3897 드롭퍼금융정보탈취공인인증서탈취금융사이트파밍금융사이트파밍 - 14 -

경유지탐지 업종별비율 년 월에악성코드경유지탐지 업종별유형은다음과같다 악성코드경유지탐지는전월대비 건 건 감소하였다 탐지된경유지는해당홈페이지운영자에게전화 메일을통해악성코드삭제및보안조치요청을수행 경유지업종별유형중일반기업이가장높게나왔으며 음식 숙박 관광 교육 학원 쇼핑 웹하드등의순으로탐지가되었으며 이에대해삭제및보안조치요청을수행하였다 경유지탐지 경유지업종별유형 - 15 -

악성코드은닉사례분석 2월악성코드이슈 년 월수집된악성코드샘플을분석한결과 애플릿취약점 종 취약점 종 취약점 종 을복합적으로악용하여악성코드를유포하는형태가 로가장높게나타났다 신규 취약점 을이용하는악성코드가언론사홈페이지를통해유포되었으며 악성코드대량유포가가능한웹하드 웹호스팅 언론 배너광고 날씨정보사이트등을통한금융사이트파밍악성코드가지속유포되었다 또한파급도가높은포털업체에서제공하는블로그게시글링크및유명쇼핑몰사이트에링크되는배송관련홈페이지를통해금융정보탈취악성코드가유포되었다 이에이용자들은금융정보유출에각별한주의를기울여야한다 악성코드유형으로는금융사이트파밍이 로가장높았으며 그외에도금융정보탈취 공인인증서탈취 감염 정보탈취등으로나타났다 포털블로그게시글에어뷰징행위를통한악성코드유포 금융정보탈취 - 16 -

http://103.253.96.104/index.html 난독화스크립트디코딩후 버전체크및취약점을악용하여악성코드다운로드 중략 취약점 중략 취약점 중략 취약점 중략 취약점 중략 취약점 중략 취약점 중략 - 17 -

취약점 중략 취약점 중략 버전체크 중략 /swfobject.js 사용에필요한라이브러리 중략 생략 - 18 -

/jpg.js 사용에필요한라이브러리 생략 /wjam6.html 난독화스크립트디코딩후 코어취약점을악용하여악성코드다운로드 코어취약점 - 19 -

중략 중략 - 20 -

/IKXdv8.html 난독화스크립트디코딩후 코어취약점을악용하여악성코드다운로드 코어취약점 중략 중략 중략 - 21 -

악성코드파일 상세분석내용 개요 감염 정보 금융관련정보및사용자입력키정보 탈취 네트워크상의악성행위 도메인 용도 상세내용 정보탈취 키로깅정보및수집된금융정보를전송 운영체제상의악성행위 항목 내용 자기자신복제 감염 정보수집및사용자키입력정보수집 변조시킬목록은원격지로부터전달받음 상세설명 특정은행접속시금융정보를유출시키는것으로추정 파일 행위유형 경로 행위유형 경로 - 22 -

신규 취약점 을악용한악성코드유포 드롭퍼 http://xxxxxx.xx.co.kr/help/ie.html 버전체크및취약점을악용하여악성코드다운로드 - 23 -

에서 호출 를이용하여 파일존재체크 악성파일추가다운로드 /help/tope.swf 악성파일추가다운로드 - 24 -

파일다운로드 중략 - 25 -

호출하여쉘코드실행 중략 - 26 -

쉘코드 중략 // Erido.jpg파일을 Endian.LITTLE_ENDIAN 형태로 읽어들인후 offset 36321 위치부터메모리에올림 중략 /help/erido.jpg 로 후 구조 일본은행사이트및정보유출관련소스 중략 - 27 -

악성코드파일 상세분석내용 개요 악성코드를생성하는드랍퍼 종 악성코드를다운로드하는다운로더 종 악성코드를삭제하는배치파일 종 금융정보를탈취하는악성코드 종 네트워크상의악성행위 도메인 용도 상세내용 파일다운로드 정보탈취 운영체제상의악성행위 분석결과상세내용 개요 - 악성코드를생성하는드랍퍼 (2번 clbviar.dll 파일생성 ) 네트워크상의악성행위 - 해당사항없음 운영체제상의악성행위 악성행위 아래경로에추가악성코드 생성및실행 사용자계정 랜덤 자리문자 분석내용 악성코드생성 - 28 -

생성된악성코드 실행 사용자계정 랜덤 자리문자 악성코드실행 - 29 -

분석결과 개요 상세내용 - 악성코드를다운로드하는다운로더 (4 번 ujqnblb.exe 파일다운로드 ) 네트워크상의악성행위 도메인 용도상세내용비고파일 다운로드 정보유출 운영체제상의악성행위 악성행위 특정사이트에접속하여암호화된 파일을다운받아로컬파일에저장 파일다운로드 파일저장경로 분석내용 configuration 파일다운로드 - 30 -

파일확인하여추가악성코드를다운로드하여실행 악성코드유포지 계속변경됨 추가악성코드 다운로드및실행 아래 로감염 정보탈취 버전 PC 정보탈취 - 31 -

분석결과상세내용 개요 - 악성코드를삭제하는배치파일 1종 (2번 clbviar.dll 파일및자가삭제 ) 네트워크상의악성행위 - 해당사항없음 운영체제상의악성행위 악성행위 다음과같이악성코드삭제 파일및자가삭제 분석내용 악성코드삭제 - 32 -

분석결과상세내용 개요 - 악성코드를생성하는드랍퍼 (5번 dhslate.dll 파일생성 ) 네트워크상의악성행위 - 해당사항없음 운영체제상의악성행위 악성행위 아래경로에추가악성코드생성 및실행 사용자계정 랜덤 자리문자 분석내용 악성코드생성 배치파일을이용하여자가삭제및추가생성된악성코드실행 자가삭제및 악성코드실행 - 33 -

분석결과상세내용 개요 - 특정일본은행사이트접속시금융정보를유출추정 (Japan Post Bank, Mizuho Bank) 네트워크상의악성행위 - 해당사항없음 운영체제상의악성행위 악성행위 정적분석시특정일본은행사이트접속시정보유출관련코드존재 분석내용 금융정보 탈취추정 - 34 -

레지스트리를변경하여시작프로그램에등록 이름 데이터 시작프로그램 등록 - 35 -

향후전망 악성코드유포방법및조치방안 애플릿취약점등을복합적으로악용하여악성코드를유포시키는사례가지속적으로나타나고있다 버전의 제로데이취약점 을이용한악성코드가언론사홈페이지를통해유포되었으며 웹하드 웹호스팅 언론사 제휴관계사 배너광고 날씨정보홈페이지등을통한금융사이트파밍악성코드가지속적으로유포되었다 또한파급도가높은포털블로그게시글에어뷰징행위및유명쇼핑몰홈페이지에링크되는배송관련홈페이지를통해금융정보탈취악성코드가유포되었다 개인및기업은보안점검및보안패치등각별한주의를기울여야한다 웹취약점점검바로가기 : http://toolbox.krcert.or.kr/mmvf/mmvfview_v.aspx?menu_code=2&page_number=17 홈페이지해킹방지도구 : http://toolbox.krcert.or.kr/mmvf/mmvfview_v.aspx?menu_code=7&page_number=16 휘슬바로가기 : http://toolbox.krcert.or.kr/mmvf/mmvfview_v.aspx?menu_code=6&page_number=16 보호나라바로가기 : http://www.boho.or.kr/ 마이크로소프트 윈도우 서비스종료 월 일 에따라윈도우 를사용하는개인및기업의경우해킹등보안위협에쉽게노출되어피해를입을수있으므로윈도우 등상위버전의운영체제로업그레이드등관련대비를권고한다 기업및개인이용자는악성코드에감염되어개인정보유출 좀비 로의전락등의피해를입지않도록주의하여야한다 기업에서근본적으로홈페이지개발시점부터보안의식및시큐어코딩으로홈페이지를구축하고 주기적인취약점점검및패치를적용하여웹서버가해킹되지않도록사전에방지해야한다 웹취약점점검서비스및웹보안강화도구 ( 휘슬 / 캐슬 ) 사용안내 : http://krcert.or.kr 이용자는 윈도우의보안업데이트를항상최신상태로유지할것을권장하며 및 관련취약점에의해악성코드에 - 36 -

감염되지않도록주의하여야한다 또한안티바이러스 백신 을이용하여주기적으로점검하여야한다 윈도우최신보안업데이트적용 자동보안업데이트설정권장 MS 업데이트사이트 : http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko ( 윈도우7) 제어판 - 시스템및보안 - Windows Update 의취약점에대한보안업데이트적용 MS 보안업데이트 : http://technet.microsoft.com/ko-kr/security/bulletin/ms12-043 최신버전업데이트적용 최신버전 : Adobe Flash Player 12.0.0.77 (http://get.adobe.com/kr/flashplayer/) 최신버전업데이트적용 최신버전 : Java SE Runtime Environment 7u51 (http://www.oracle.com/technetwork/java/javase/7u51-relnotes-2085002.html) - 37 -