월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터
< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코드은닉사례분석 10 - 다중취약점을악용한악성코드유포 : 다운로더 ( 호스트파일변조 ) 10 - 신규 Adobe Flash Player 취약점 (CVE-2013-0634) 을악용한악성코드유포 : 온라인게임계정탈취 16 4. 향후전망 22 - 악성코드유포방법및조치방안 22
악성코드은닉동향요약 월간동향요약 인터넷익스플로러취약점 Adobe Flash Player 취약점 Java 애플릿취약점 MS Windows Media 취약점 MS XML 취약점 구분내용상세취약점정보보안업데이트 CVE-2010-0806 CVE-2010-0249 CVE-2011-1255 CVE-2012-4792 CVE-2012-4969 CVE-2012-1875 CVE-2008-0015 CVE-2011-0611 CVE-2011-2140 CVE-2012-0754 CVE-2012-1535 CVE-2013-0634 CVE-2012-0003 Internet Explorer 를사용하여특수하게조작된웹페이지를볼경우원격코드실행허용 동일 ID 속성원격코드실행취약점 Microsoft 비디오 ActiveX 컨트롤의취약점으로인해원격코드실행 메모리손상으로인한코드실행취약점 드라이브바이다운로드방식, JRE 샌드박스제한우회취약점이용 Windows Media 의취약점으로인한원격코드실행 XML Core Services 의취약점 ame.cgi?name=cve-2010-0806 ame.cgi?name=cve-2010-0249 ame.cgi?name=cve-2011-1255 ame.cgi?name=cve-2012-4792 ame.cgi?name=cve-2012-4969 ame.cgi?name=cve-2012-1875 a me.cgi?name=cve-2008-0015 http://cve.mitre.org/cgi-bin/c vename.cgi?name=cve-2011-0611 http://cve.mitre.org/cgi-bin/c vename.cgi?name=cve-2011-2140 http://cve.mitre.org/cgi-bin/c vename.cgi?name=cve-2012-0754 http://cve.mitre.org/cgi-bin/c vename.cgi?name=cve-2012-1535 http://cve.mitre.org/cgi-bin/c vename.cgi?name=cve-2013-0634 ame.cgi?name= ame.cgi?name= ame.cgi?name= ame.cgi?name= ame.cgi?name= ame.cgi?name= http://cve.mitre.org/cgi-bin/c vename.cgi?name=cve-2012-0003 ame.cgi?name= http://technet.microsoft.com/ko -kr/security/bulletin/ms10-018 http://technet.microsoft.com/ko -kr/security/bulletin/ms10-002 http://technet.microsoft.com/ko -kr/security/bulletin/ms11-050 http://technet.microsoft.com/ko -kr/security/bulletin/ms13-008 http://technet.microsoft.com/ko -kr/security/bulletin/ms12-063 http://technet.microsoft.com/ security/bulletin/ms12-037 http://technet.microsoft.com/ ko-kr/security/bulletin/ms09-032 http://www.adobe.com/su pport/security/advisories/ apsa11-02.html http://www.adobe.com/su pport/security/bulletins/a psb11-21.html http://www.adobe.com/su pport/security/bulletins/a psb12-03.html http://www.adobe.com/su pport/security/bulletins/a psb12-18.html http://www.adobe.com/su pport/security/bulletins/a psb13-04.html http://www.oracle.com/techn etwork/topics/security/javacp ufeb2012-366318.html#patc htable http://www.oracle.com/techn etwork/topics/security/javacp ujun2012-1515912.html http://www.oracle.com/techn etwork/topics/security/alertcve-2012-4681-1835715.html http://www.oracle.com/techn etwork/topics/security/javacp uoct2012-1515924.html http://www.oracle.com/techn etwork/topics/security/alertcve-2013-0422-1896849.html http://technet.microsoft. com/ko-kr/security/bulle tin/ms12-004 http://technet.microsoft.com/ko -kr/security/bulletin/ms12-043 - 1 -
홈페이지은닉형악성코드통계 Information TIP o 악성코드은닉사이트란? 이용자 PC 를악성코드에감염시킬수있는홈페이지로, 해킹을당한후악성코드 자체또는악성코드를유포하는주소 (URL) 를숨기고있는것을말한다. o 악성코드은닉사이트는크게유포지와경유지로구분된다. 유포지 : 홈페이지이용자에게악성코드를직접유포하는홈페이지 경유지 : 홈페이지방문자를유포지로자동연결하여악성코드를간접유포하는홈페이지 참고로, 탐지된국내및해외악성코드유포지는 KISA 에서삭제 / 차단조치한상태임 유포지탐지 유포지국가별현황 - 2 -
순위탐지일유포지국가경유지건수 1 2012.04.19 http://www.dddkkkffxi.com/hot.html 미국 54 2 2013.02.03 http://xxx.xxx.xxx.xx/index.html 한국 35 3 2013.02.26 http://xxxxxx.xx.xx/pop/lg.js 한국 20 4 2013.01.30 http://xxx.xxxxxxx.xxx/data/co.js 한국 19 5 2013.02.24 http://xxx.xxxxxxxxxx.xx.xx/pbanner/.f/tv.js 한국 18 6 2013.02.28 http://xxx.xxxxxx.xxx/shop/.f/pd.js 한국 18 7 2013.02.27 http://yxhyqfeb.ru/count4.php 대만 18 8 2013.02.02 http://xxx.xxxxxxx.xx.xx/sb/gt.js 한국 12 9 2013.02.08 http://xxx.xxxxxx.xx.xx/mk/web.html 한국 11 10 2013.01.30 http://gxjamuwp.cz.cc/count15.php 체코 10-3 -
다운로더 : 추가적인악성코드를인터넷이나네트워크를통하여다운로드하여설치 금융정보탈취 : 공인인증서, 비밀번호등금융정보를탈취하는악성코드 금융사이트파밍 : 호스트파일을변조하여금융권파밍사이트접속을유도하여뱅킹정보를탈취 드롭퍼 : 악성코드에포함된추가적인악성코드를설치 - 4 -
No 탐지일 유포지 국가 취약점 악성코드유형 1 02.01 http://98.126.73.122/ 미국 금융사이트파밍 2 02.01 http://xx.xxxxxxx.xxx/abs/hd.js 한국 금융정보탈취 - 5 -
3 02.01 http://xxx.xxxxxxxx.xxx/js/com.js 한국 4 02.04 http://www.dsfg4ry6u45.com/ly/index.html 홍콩 5 02.04 http://xxxx.xx.xx/pdf/web.html 한국 6 02.06 http://xxx.xxxxxxxxxx.xx.xx/new/mk/web.html 한국 7 02.08 http://xxx.xxxxxx.xx.xx/mk/web.html 한국 금융정보탈취드롭퍼원격제어원격제어감염PC 정보수집및키로깅 8 02.11 http://xxx.xxxxxx.xx.xx/m/calc.htm 한국 다운로더 9 02.13 http://xxx.xxxx.xx.xx/down/web.html 한국 감염 PC 정보수집 및키로깅 - 6 -
10 02.14 http://xxx.xxxxxxx.xxx/kimg/mk/web.html 한국 11 02.17 http://xxxxxxxx.xx.xx/inc/com.js 한국 12 02.19 http://xxx.xxxxxxx.xxx/mscom/img/mk/mk.html 한국 13 02.20 http://xxxxxxxx.xxx/board/extend/co.js 한국 14 02.20 http://xxxxxxxxxx.xxx/eml/w/cookie.html 한국 15 02.20 http://xxx.xxxxxxxx.xx.xx/psd/mk/mk.html 한국 16 02.21 http://xxx.xxxxx.xx.xx/w3c/mk/mk.html 한국 다운로더감염PC 정보수집및키로깅다운로더감염PC 정보수집및키로깅감염PC 정보수집및키로깅감염PC 정보수집및키로깅다운로더 - 7 -
17 02.24 http://xxx.xxxxxxxxxx.xx.xx/pbanner/.f/tv.js 한국 18 02.25 http://xxx.xxxxxxxx.xx.xx/data/.f/dv.js 한국 19 02.26 http://xxxxxxxxxxxx.xxx/upload/bbs/s/cookie.html 한국 20 02.27 http://jhtyhtrsgr.com/yymex/index.html 미국 21 02.28 http://xxx.xxxxxx.xxx/shop/.f/pd.js 한국 CVE-2013-0634 CVE-2013-0634 원격제어원격제어원격제어온라인게임계정탈취다운로더 - 8 -
탐지된경유지는해당홈페이지운영자에게전화 메일을통해악성코드삭제및보안조치요청을수행 경유지탐지 경유지업종별유형 - 9 -
악성코드은닉사례분석 2월악성코드이슈 - 10 -
http://xxx.xxxxxxx.xxx/kimg/mk/web.html - 11 -
/kimg/mk/swfobject.js /kimg/mk/jpg.js - 12 -
/kimg/mk/dvkbgno4.html - 13 -
/kimg/mk/uzhw4.html - 14 -
- 15 -
http://jhtyhtrsgr.com/yymex/index.html - 16 -
- 17 -
/yymex/swfobject.js /yymex/jpg.js - 18 -
/yymex/ypvtz8.html - 19 -
/yymex/vqsope2.html - 20 -
- 21 -
향후전망 웹취약점점검서비스및웹보안강화도구 ( 휘슬 / 캐슬 ) 사용안내 : http://krcert.or.kr MS 업데이트사이트 : http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ko ( 윈도우7) 제어판 - 시스템및보안 - Windows Update MS 보안업데이트 : http://technet.microsoft.com/ko-kr/security/bulletin/ms12-043 최신버전 : Adobe Flash Player 11.6.602.180 (http://get.adobe.com/kr/flashplayer/) 최신버전 : Java SE Runtime Environment 7u17 (http://www.oracle.com/technetwork/java/javase/7u17-relnotes-1915289.html) - 22 -