` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

Similar documents
월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

2017 년악성코드은닉사이트탐지동향보고서 ( 상반기 ) 악성코드은닉사이트탐지 동향보고서 17 년상반기 1

유포지탐지동향

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 악성코드은닉

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 13 - 경유지

*2008년1월호진짜

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

F O C U S 3 홈페이지를통한악성코드유포및대응방안 FOCUS 고민석 *, 김홍석 **, 이용준 ***, 박정환 **** 최근홈페이지, 웹하드등을해킹하여악성코드를은닉시킴으로써, 접속하는이용자PC를악성코드에감염시키는피해가증가하고있다. 홈페이지, 웹하드는이용자접속이많아

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

목 차 1. 개 요 배경 요약 정보 대상시스템 원리 공격 기법 및 기본 개념 Heap Spray Font 공 격..

공지사항

#WI DNS DDoS 공격악성코드분석

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

국가정보보호백서 제1장 정보환경 변화와 정보보호 정보통신기술은 우리에게 보다 나은 미래를 제공해주는 원동력이자 현대사회에서 없어서는 안 될 필수불가결한 사회기반으로 여겨지고 있다. 또한 정보통신기술은 경제 성장의 원천이 되고 있으 며 사회 시스템의 효율성을

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

!K_InDesginCS_NFH

08_spam.hwp

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

5th-KOR-SANGFOR NGAF(CC)

시스템정보를수집하여해커에게전송하고변조된 파일을통해파밍공격을수행한다 이후해커는피싱사이트를통해개인정보를입력하도록유도하고 차인증이필요한것처럼속여 코드로사용자의스마트폰에악성앱을다운받도록한다 이렇게 와스마트폰을동시에공격하는방식은악성코드가 차채널인증의무화등과같은새로운금융보안정책에

ActFax 4.31 Local Privilege Escalation Exploit

untitled

Microsoft Word - src.doc

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

< F69736F6E696E6720BEC7BCBAC4DAB5E520B0A8BFB020BBE7B0EDBAD0BCAE20BAB8B0EDBCAD2E687770>

[ 목차 ] 1. 개요 1 2. 악성코드감염경로 드라이브바이다운로드 (Drive by download) 제휴프로그램변조 웹하드업데이트설정파일및홈페이지변조 Torrent 및 P2P 사이트파일다운로드 공유기 D

Ⅰ. 서론 최근 PC 와스마트폰에서금융정보를탈취하기위한해커들의움직임이다수포착되고 FOCUS 있다. 실제한국인터넷진흥원에신고 접수된악성앱중 10% 이상과 PC 악성코드중 17% 이상이보안카드번호, 주민등록번호등금융정보를탈취하고있다. 뿐만아니라가능한 많은금융정보를수집하기위

ASEC REPORT VOL.81 September, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

신종파밍악성코드분석 Bolaven

07_alman.hwp

PowerPoint Template

슬라이드 1

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

Scene7 Media Portal 사용

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

ASEC REPORT VOL.82 October, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서

<4D F736F F D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

#HNS-WI 금융권및포털사이트이용자대상악성코드및공격기법분석 (v0.1 공개버전 )

AhnLab_template

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

한국에너지기술연구원 통합정보시스템설치방법설명서 한국에너지기술연구원 지식정보실 - 1 -

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

슬라이드 1

미디어 및 엔터테인먼트 업계를 위한 Adobe Experience Manager Mobile

개요 최근사용자들이인터넷을사용하던중에 CVE (Java), CVE (IE), CVE (Flash), CVE (IE) 취약점을이용한 sweet orange exploit kit 가전파되어이를연구하였으 며,

<31305FBEC6C0CCC5DB2E687770>

Ⅰ. 이달의보안동향 1. 악성코드동향 악성코드통계 아래표는악성코드별변종을종합한감염보고순위를악성코드대표진 단명에따라정리한것이다. 이를통해악성코드의동향을파악할수있 다 년 1 월악성코드통계현황은다음과같다. [ 표 1-2] 악성코드대표진단명감염보고 Top 20 [

IP Cam DDNS 설정설명서(MJPEG) hwp

ASEC REPORT VOL.83 November, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에

Windows 8에서 BioStar 1 설치하기

목차 Part Ⅰ 1 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

ASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안


Secure Programming Lecture1 : Introduction

PowerPoint Presentation

게시판 스팸 실시간 차단 시스템

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

Windows Live Hotmail Custom Domains Korea

슬라이드 1

PowerPoint 프레젠테이션

4S 1차년도 평가 발표자료

목차 Part Ⅰ 7 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

ìœ€íŁ´IP( _0219).xlsx

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

컴퓨터관리2번째시간

목차 Part Ⅰ 3 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 운영체제의버전확인은어떻게확인하나요? 3 Q5. 보안패치는어떻게하나요? 4 Q6. 보안패치가됐

고급보안정보구독서비스 소개 국내외 210여만개 ( 국내 180만, 해외 30만 ) 웹사이트를통해발생되는대량감염시도와워터링홀공격을실시간으로탐지하여공격에대한이슈, 실제범위및미치는영향등을주간단위로분석하여제공하는정보제공서비스 서비스유형 l 브리핑요약 한주간의공격동향및새로운공격

<C0CFC1A4BFDC28C0DBBEF7C1DF292E687770>

Secure Programming Lecture1 : Introduction

<C0CCC8ADC1F82E687770>

고급보안정보구독서비스 소개 국내외 210여만개 ( 국내 180만, 해외 30만 ) 웹사이트를통해발생되는대량감염시도와워터링홀공격을실시간으로탐지하여공격에대한이슈, 실제범위및미치는영향등을주간단위로분석하여제공하는정보제공서비스 서비스유형 l 브리핑요약 한주간의공격동향및새로운공격

a.ps

ASEC REPORT VOL.85 January, 2017 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성

- 목차 - Q1. 어떤 Windows 운영체제가취약점에영향을받나요? 1 Q2. 해당랜섬웨어를예방하기위해서는어떻게해야하나요? 1 Q3. SMB 포트는어떻게차단하나요? 1 Q4. 보안패치는어떻게하나요? 3 Q5. 보안패치가됐는지어떻게확인하나요? 5 Q6. 스마트폰도랜섬웨

목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

목차 Part Ⅰ 8 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

SBR-100S User Manual

1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나 데이터를암호화해사용할수없도록하고이를인질로금전

Internet Explorer 11 자동업데이트방지 사용자가이드 작성일 : Version 1.0

목차 Part Ⅰ 11 월의악성코드통계 악성코드통계... 3 (1) 감염악성코드 Top (2) 카테고리별악성코드유형... 4 (3) 카테고리별악성코드비율전월비교... 4 (4) 월별피해신고추이... 5 (5) 월별악성코드 DB 등록추이...

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

보안 위협 분석 보고서

untitled

Security Trend ASEC Report VOL.56 August, 2014

Security Trend ASEC REPORT VOL.68 August, 2015

歯270호.PDF

Transcription:

월간악성코드은닉사이트탐지 동향보고서 5 월 침해사고대응단인터넷침해대응본부

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 6 2.1 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP10 7 - 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10 2.2 악성코드경유지현황 11 - 경유지탐지 업종별비율 11 3. 악성코드은닉사례분석 13 - CKVIP 익스플로잇킷버전업그레이드 (4.3 5.26) 를통한악성코드유포 13 - ActiveX를악용한악성코드유포 30 4. 향후전망 48 - 악성코드유포방법및조치방안 48

1. 악성코드은닉동향요약 월간동향요약 악성코드취약점악용현황은 을이용한유형이 로가장높았고 순으로나타났다 취약점을악용한유형이 로가장높게 나타났으며 취약점 순으로나타났다 OLE(Object Linking and Embedding) : MS 社가개발한오브젝트시스템및프로토콜 악성코드유형으로는정보유출 금융정보 이 로가장높았으며 그외에도드롭퍼 다운로더 스미싱등으로나타났다 정보유출 금융정보 중중국블로그 에서파밍 를받아인증서탈취가 미국 사이트 접속하여 를파싱하여인증서탈취가 로나타났다 파밍 로악용되는국가는미국이 로가장높게나타났으며 일본 홍콩순으로나타났으며 및정보유출지등의국가로는미국이 로가장높게나타났다 구분내용상세취약점정보보안업데이트 CVE-2010-0249 http://cve.mitre.org/cgi-bin/cvenam http://technet.microsoft.com/en-us/ CVE-2010-0806 e.cgi?name=cve-2010-0249 security/bulletin/ms10-002 CVE-2010-0249 http://cve.mitre.org/cgi-bin/cvenam http://technet.microsoft.com/ko-kr/ 인터넷 익스플로러 취약점 CVE-2011-1255 CVE-2012-4792 CVE-2012-4969 CVE-2013-1347 CVE-2013-2551 Internet Explorer 를사용하여특수하게조작된웹페이지에접속할경우원격코드실행허용 e.cgi?name=cve-2010-0806 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2010-0249 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2011-1255 security/bulletin/ms10-018 http://technet.microsoft.com/ko-kr/ security/bulletin/ms10-002 http://technet.microsoft.com/ko-kr/ security/bulletin/ms11-050 CVE-2013-3893 http://cve.mitre.org/cgi-bin/cvenam http://technet.microsoft.com/ko-kr/ CVE-2013-3897 e.cgi?name=cve-2012-4792 security/bulletin/ms13-008 CVE-2014-0322 http://cve.mitre.org/cgi-bin/cvenam http://technet.microsoft.com/ko-kr/ 3

e.cgi?name=cve-2012-4969 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2013-1347 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2013-2551 http://www.cve.mitre.org/cgi-bin/cv ename.cgi?name=cve-2013-3893 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2013-3897 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=2014-0322 security/bulletin/ms12-063 http://technet.microsoft.com/ko-kr/ security/bulletin/ms13-038 http://technet.microsoft.com/ko-kr/ security/advisory/2887505 http://technet.microsoft.com/ko-kr/ security/bulletin/ms13-080 http://technet.microsoft.com/en-us/ security/advisory/2934088 http://technet.microsoft.com/securit y/bulletin/ms13-037 CVE-2012-1875 CVE-2008-2551 CVE-2008-0015 동일 ID 속성원격코드실행취약점 ActiveX Exploit 취약점 Microsoft 비디오 ActiveX 컨트롤의취약점으로인해원격코드실행 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2012-1875 http://cve.mitre.org/cgi-bin/cvename.c gi?name=cve-2008-2551 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2008-0015 https://cve.mitre.org/cgi-bin/cven http://technet.microsoft.com/secur ity/bulletin/ms12-037 - http://technet.microsoft.com/ko-kr/ security/bulletin/ms09-032 https://helpx.adobe.com/security/pr ame.cgi?name=cve-2015-3043 oducts/flash-player/apsb15-06.html https://cve.mitre.org/cgi-bin/cven http://helpx.adobe.com/security/pro ame.cgi?name=cve-2014-8439 ducts/flash-player/apsb14-22.html https://cve.mitre.org/cgi-bin/cven https://helpx.adobe.com/security/pr Adobe Flash Player 취약점 CVE-2015-3043 CVE-2014-8439 CVE-2015-0336 CVE-2010-2884 CVE-2011-0611 CVE-2011-2140 CVE-2012-0754 CVE-2012-1535 CVE-2013-0634 CVE-2014-0515 CVE-2014-0569 CVE-2015-0311 메모리손상으로인한코드실행취약점 ame.cgi?name=cve-2015-0336 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2010-2884 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2011-0611 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2011-2140 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2012-0754 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2012-1535 http://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2013-0634 oducts/flash-player/apsb15-05.html http://www.adobe.com/support/sec urity/advisories/apsa10-03.html http://www.adobe.com/support/sec urity/advisories/apsa11-02.html http://www.adobe.com/support/sec urity/bulletins/apsb11-21.html http://www.adobe.com/support/sec urity/bulletins/apsb12-03.html http://www.adobe.com/support/sec urity/bulletins/apsb12-18.html http://www.adobe.com/support/sec urity/bulletins/apsb13-04.html http://cve.mitre.org/cgi-bin/cvena http://helpx.adobe.com/security/produ me.cgi?name=cve-2014-0515 cts/flash-player/apsb14-13.html http://www.cve.mitre.org/cgi-bin/cve http://helpx.adobe.com/security/produ name.cgi?name=cve-2014-0569 cts/flash-player/apsb14-22.html https://cve.mitre.org/cgi-bin/cvenam https://helpx.adobe.com/security/prod e.cgi?name=cve-2015-0311 ucts/flash-player/apsa15-01.html 4

http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2011-3544 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2012-0507 http://cve.mitre.org/cgi-bin/cvenam CVE-2011-3544 CVE-2012-0507 CVE-2012-1723 e.cgi?name=cve-2012-1723 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2012-4681 CVE-2012-4681 http://cve.mitre.org/cgi-bin/cvenam 드라이브바이다운로드 Java CVE-2012-5076 e.cgi?name=cve-2012-5076 방식, JRE 샌드박스제한애플릿 CVE-2013-0422 http://cve.mitre.org/cgi-bin/cvenam 우회취약점이용취약점 CVE-2013-1493 e.cgi?name=cve-2013-0422 CVE-2013-2423 CVE-2013-2460 CVE-2013-2465 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2013-1493 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2013-2423 https://cve.mitre.org/cgi-bin/cvena me.cgi?name=cve-2013-2460 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2013-2465 MS OLE 취약점 CVE-2014-6332 Windows OLE 자동화배열 http://www.cve.mitre.org/cgi-bin/cv 원격코드실행취약점 ename.cgi?name=cve-2014-6332 MS Windows Windows Media 의취약점으로 http://cve.mitre.org/cgi-bin/cvenam CVE-2012-0003 Media 취약점인한원격코드실행 e.cgi?name=cve-2012-0003 Adobe reader Adobe Reader 에서비정상종료를 https://cve.mitre.org/cgi-bin/cvenam CVE-2010-0188 (PDF) 취약점유발할수있는취약점 e.cgi?name=cve-2010-0188 MS XML 취약점 CVE-2012-1889 XML Core Services 의취약점 http://cve.mitre.org/cgi-bin/cvenam e.cgi?name=cve-2012-1889 http://www.oracle.com/technet work/topics/security/javacpufe b2012-366318.html#patchtable http://www.oracle.com/technetwork/topics /security/javacpujun2012-1515912.html http://www.oracle.com/technetwork/topics/ security/alert-cve-2012-4681-1835715.html http://www.oracle.com/technetwork/topics /security/javacpuoct2012-1515924.html http://www.oracle.com/technetwork/topics/ security/alert-cve-2013-0422-1896849.html http://www.oracle.com/ocom/groups/public/ @otn/documents/webcontent/1915099.xml http://www.oracle.com/technetwork/topics /security/javacpuapr2013-1928497.html http://www.oracle.com/technetwork/topics /security/javacpujun2013-1899847.html http://www.oracle.com/technetwork/topics /security/javacpujun2013-1899847.html http://technet.microsoft.com/se curity/bulletin/ms14-064 http://technet.microsoft.com/ko-kr/ security/bulletin/ms12-004 http://www.adobe.com/support/securit y/bulletins/apsb10-07.html http://technet.microsoft.com/ko-kr/se curity/bulletin/ms12-043 5

2. 홈페이지은닉형악성코드통계 Information TIP o 악성코드은닉사이트란? 이용자 PC를악성코드에감염시킬수있는홈페이지로, 해킹을당한후악성코드자체또는악성코드를유포하는주소 (URL) 를숨기고있는것을말한다. 2.1 악성코드유포지현황 유포지탐지현황 년 월에악성코드유포지탐지및조치현황은다음과같다 악성코드유포지탐지는전월대비 건 건 증가하였다 [ 그림 1] 악성코드유포지탐지건수 6

대량경유지가탐지된유포지 년 월에대량경유지가탐지된유포지 은다음과같다 년 월유포지에의해탐지된경유지뿐만아니라기존탐지된유포지도 지속적으로경유지에악용되고있으나 차단 조치되어악성행위는유발시키지않는다 [ 그림 2] 대량경유지가탐지된유포지 Top 10 [ 표1] 대량경유지가탐지된유포지 순위 탐지일 유포지 국가 경유지건수 1 2015-05-01 http://xxxxxx.com/home/com.js 한국 539 2 2015-05-22 http://www.xxxxxx.ne.kr/mall/cc/index.html 한국 446 3 2015-05-08 http://xxxxxxx.kr/diary/index.html 한국 410 4 2014-09-28 http://www.xxxxxxx.co.kr/board/top.js 한국 406 5 2014-02-25 http://friseur-in-berlin.de/php/ttuwmmfc.php 독일 358 6 2015-01-27 http://xxxxxxx.org/admin/event/index.html 한국 273 7 2015-03-28 http://xxxxxx3040.com/include/index.html 한국 257 8 2015-05-30 http://xxxxxx.com/product/index.html 한국 248 9 2015-05-10 http://ponxxx.xxxxshop.com/himg/kcp/ak.gif 한국 200 10 2008-12-22 http://xx.xxxxx.com/jp.js 한국 168 7

악성코드취약점및취약한 악용현황 애플릿취약점 취약점 취약점 취약점 등의취약점과복합적으로사용되었다 취약한 악용유형중 취약점이 의비율로가장높았으며 그이외에도 취약점 취약점등의순으로 를악용하였다 [ 그림 3] 악성코드취약점악용현황 [ 그림 4] 취약한 S/W 악용현황 8

악성코드유형별비율 악성코드유형중정보유출 금융정보 이 의비율로가장높았으며 그이외에도 원격제어 드롭퍼 금융사이트파밍등의악성코드유형이다양하게나타났다 [ 그림 5] 악성코드유형별비율 정보유출 ( 금융정보 ) : 공인인증서, 비밀번호등금융정보를탈취하는악성코드 드롭퍼 : 정상애플리케이션인것처럼배포된뒤실행되면악성코드를설치하는방식 다운로더 : 추가악성코드를인터넷이나네트워크를통하여다운로드하여설치 스미싱 : 문자메시지와인터넷, 이메일등으로개인정보를알아내사기를벌이는피싱의합성어로스마트폰의소액결제방식을악용한신종사기수법 금융사이트파밍 : 운영체제에서제공하는호스트연결기능을악용한것으로정상호스트설정파일을악의적으로변경하여정상금융사이트방문시가짜금융사이트로연결 정보유출 (PC정보) : 이용자의 PC내의컴퓨터이름, MAC정보등을탈취하는악성코드 백도어 : 몰래컴퓨터에접속하여악의적인행위를할수있도록출입통로역할을해주는악성코드 9

위협 및도메인현황 년 월에위협 및도메인현황 은다음과같다 [ 그림 6] 파밍 IP 악용현황 [ 그림 7] C&C 및정보유출지악용현황 [ 표2] 파밍 IP / C&C 및정보유출지악용현황건순위파밍 IP 국가수건수 C&C 및정보유출지 1 121.115.XXX.XXX 일본 10 67.198.XXX.XXX 미국 6 2 67.198.XXX.XXX 미국 10 98.126.XXX.XXX 미국 4 국가 건수 3 67.229.XXX.XXX 미국 9 183.111.XXX.XXX 한국 3 4 104.203.XXX.XXX 미국 9 107.160.XXX.XXX 미국 3 5 43.249.XXX.XXX 홍콩 4 110.34.XXX.XXX 미국 2 6 23.89.XXX.XXX 미국 2 112.168.XXX.XXX 한국 2 7 98.126.XXX.XXX 미국 2 100.43.XXX.XXX 미국 2 8 107.163.XXX.XXX 미국 2 104.203.XXX.XXX 미국 2 9 112.168.XXX.XXX 한국 2 198.1.XXX.XXX 미국 2 10 100.43.XXX.XXX 미국 2 67.229.XXX.XXX 미국 2 10

2.2 악성코드경유지현황 경유지탐지 업종별비율 년 월에악성코드경유지탐지 업종별유형은다음과같다 악성코드경유지탐지는전월대비 건 건 증가하였다 탐지된경유지는해당홈페이지운영자에게통보하여악성코드삭제및보안조치요청을수행 경유지업종별유형중교육학원학교 학회연구소 유학이가장높았고 엔터테인먼트 도서 생활 소셜커머스 게임 쇼핑순으로탐지가되었으며 이에대해삭제및보안조치요청을수행하였다 [ 그림 8] 경유지탐지현황 11

[ 그림 9] 경유지업종별현황 12

3. 악성코드은닉사례분석 익스플로잇킷버전업그레이드 을통한악성코드유포 정보유출 금융정보 http://365xxxx.com/wow/css/index.html 난독화스크립트디코딩후 버전체크및취약점을악용하여악성코드다운로드 중략 13

버전체크 중략 추가 14

취약점 취약점 15

취약점 취약점 취약점 16

취약점 취약점 추가 17

취약점 wow/css/swfobject.js 사용에필요한라이브러리 중략 생략 18

wow/css/jquery-1.4.2.min.js 사용에필요한라이브러리 생략 19

wow/css/index.js 사용에필요한라이브러리 생략 wow/css/ww.html 취약점을악용하여악성코드다운로드 20

중략 취약점 후 21

wow/css/main.html 난독화스크립트디코딩후 취약점을악용하여악성코드다운로드 중략 22

취약점 23

중략 24

25

악성코드파일 상세분석내용 악성코드행위 코드인젝션으로파밍이후 주소 공인인증서탈취를시도하는악성코드 네트워크상의악성행위 도메인 IP 용도상세내용 users.qzone.qq.com 43.249.82.117 파밍 IP 정보유출 ( 금융정보 ) 운영체제상의악성행위 항목 내용 파일 - 악성코드실행시 cmd.exe 에코드인젝션시도 레지스트리 - 악성코드와인젝션된 cmd.exe 의자동실행을위해레지스트리등록 네트워크 26

- 특정사이트에접속해서특정정보를가져온후파밍 IP(43.249.82.117, HK) 를포함한파일이다운로드 * 접속사이트 - 도메인 : users.qzone.qq.com - IP: 104.70.122.57, US - 프로토콜 : HTTP - URL: http://users.qzone.qq.com/fcg-bin/cgi_get_portrait.fcg?uins=2862818521?=20288 27

네트워크 - 특정 IP 에접속을시도하여 PC 정보 (MAC 주소 ) 를탈취 * 접속사이트 - 도메인 : he8858.com - IP: 103.40.160.100, HK - 프로토콜 : HTTP - URL: http://he8858.com/count.asp?ver=001&mac=00-20-18-11-ff-0b 레지스트리 - 인터넷익스플로러시작페이지를네이버 (www.nave.com) 로변경 네트워크 - 공인인증서 (NPKI) 폴더를찾아임시폴더에압축 28

네트워크 - 특정 IP 접속하여공인인증서 (NPKI) 압축파일전송 * 접속사이트 - IP: 43.249.82.117, HK - 프로토콜 : HTTP - URL: http://43.249.82.117/ip.php?=29245 - URL: http://43.249.82.117/upload.php 29

를악용한악성코드유포 정보유출 금융정보 http://www.xxxxxxxbook.co.kr/test_/asdf/xx/index.html 난독화스크립트디코딩후 버전체크및취약점을악용하여악성코드다운로드 중략 30

버전체크 중략 31

취약점 취약점 32

취약점 취약점 취약점 33

취약점 취약점 34

test_/asdf/xx/swfobject.js 사용에필요한라이브러리 중략 생략 35

test_/asdf/xx/jquery-1.4.2.min.js 사용에필요한라이브러리 생략 test_/asdf/xx/ww.html 취약점을악용하여악성코드다운로드 36

중략 취약점 후 37

test_/asdf/xx/b.html 난독화스크립트디코딩후 취약점을악용하여악성코드다운로드 중략 38

취약점 39

40

중략 41

42

test_/asdf/xx/2.html 파일을악용하여악성코드다운로드 43

악성코드파일 상세분석내용 악성코드행위 호스트파일변조를통해파밍 로유도하고 공인인증서탈취를시도하는악성코드 네트워크상의악성행위 도메인 IP 용도상세내용 174.139.66.174 파밍 IP 정보유출 ( 금융정보 ) 운영체제상의악성행위 항목 내용 파일 * 행위유형 : Create * 경로 : C:\nth\Config.ini * 경로 : C:\nth\Setup.exe * 경로 : C:\ 랜덤 \Config.ini * 경로 : C:\ 랜덤 \seting.xml * 경로 : C:\ 랜덤 \ 랜덤.exe 44

레지스트리 - 자동실행을위해레지스트리등록 * 행위유형 : Create * 레지스트리키 : HKCU\Software\Microsoft\Windows\CurrentVersion\Run\TFM0N * 레지스트리값 : c:\ 랜덤 \ 랜덤.exe 행위설명 * 행위유형 : Create * 경로 : C:\WINDOWS\system32\drivers\etc\hosts ( 변조 ) * 경로 : C:\WINDOWS\system32\drivers\etc\hosts.ics ( 생성 ) 45

파일 * 파밍 IP: 174.139.66.174 (US) 파일 - 공인인증서 (NPKI) 폴더를임시폴더에압축 46

네트워크 - 특정 IP 에접속을시도하지만접속이되지않음 * 접속사이트 - IP: 98.126.64.171, US - 프로토콜 : HTTP 네트워크 - 특정 IP 에접속하여공인인증서 (NPKI) 압축파일을보낸다. * 접속사이트 - IP: 98.126.64.172, US - 프로토콜 : HTTP - URL: http://98.126.64.172:805/index.php * 접속사이트 - IP: 98.126.64.172, US - 프로토콜 : HTTP - URL: http://98.126.64.172:805/u.php 47

4. 향후전망 악성코드유포방법 복합취약점을이용한악성코드유포지속 애플릿 취약점 등을복합적으로악용하여악성코드를유포시키는사례가나타나고있다 이용자가많은홈페이지악성코드유포지속 이용자가많은특정커뮤니티홈페이지등이용자수가많은홈페이지를통해악성코드가유포되었다 정보유출 금융정보 악성코드의다양한파밍 파싱기법 정보유출 금융정보 중중국블로그 에서파밍 를받아인증서탈취가 미국 사이트 접속하여 를파싱하여인증서탈취가 로나타났다 악성코드조치방안 개인및기업의조치보안방안 개인및기업은보안점검및보안패치등보안강화를통해금융정보유출및사이버공격에각별한주의를기울여야한다 웹취약점점검신청 : https://www.krcert.or.kr/kor/webprotect/webprotect_01.jsp 홈페이지해킹방지도구 : https://www.krcert.or.kr/kor/webprotect/webprotect_03.jsp 휘슬신청 : https://www.krcert.or.kr/kor/webprotect/webprotect_02.jsp 개발시점의시큐어코딩을통한홈페이지구축권고 기업에서근본적으로홈페이지개발시점부터보안의식및시큐어코딩으로홈페이지를구축하고 주기적인취약점점검및패치를적용하여웹서버가해킹되지않도록사전에방지해야한다 48

최신보안업데이트권고 이용자는 윈도우의보안업데이트를항상최신상태로유지할것을권장하며 및 관련취약점에의해악성코드에감염되지않도록주의하여야한다 또한안티바이러스 백신을이용하여주기적으로점검하여야한다 윈도우최신보안업데이트적용 자동보안업데이트설정권장 MS 업데이트사이트 : http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko ( 윈도우 7) 제어판 - 시스템및보안 - Windows Update 의취약점에대한보안업데이트적용 MS 보안업데이트 : http://technet.microsoft.com/ko-kr/security/bulletin/ms12-043 최신버전업데이트적용 최신버전 : Adobe Flash Player 17.0.0.188 (http://get.adobe.com/kr/flashplayer/) 최신버전업데이트적용 최신버전 : Java SE Runtime Environment 8u45 (http://www.oracle.com/technetwork/java/javase/8u40-relnotes-2389089.html) 49