온라인위협동향 월간보고서 2013년4월 빛스캔주식회사

온라인 위협 동향 (OTIR)

월간 보고서 년 월(2013 04 )

빛스캔주식회사

고급보안정보구독서비스

소개

국내외 여만개 국내 만 해외 만 웹사이트에서 발생하는 해킹 변조 침해사고를 탐지하여 180 ( 150 , 30 ) , ,

공격에 대한 이슈 실제 범위 및 미치는 영향 등을 주간 단위로 분석하여 제공하는 정보제공서비스,

서비스 유형

● 주간 브리핑 악성코드 유포 범위와 경유지 국내에서 많은 영향을 미치는 이슈를 중점 서술, –

● 동향 분석 한 주간의 공격 동향에 대한 요약과 새로운 공격 형태 정보 기술-

● 기술 분석 한 주간의 악성링크와 악성파일에 대한 실행 기반의 분석 정보 기술-

● 전문 분석 새로운 공격 기법이나 제로데이 출현시 수시로 제공–

● 봇넷 정보 및 좀비 에서 이용되는 네트워크 연결 정보C&C APT PC (callback)–

● 악성코드 샘플 감염 공격 및 악성파일에 대한 샘플 스크립트 익스플로잇 악성바이너리( , , ) –

제공 시기

● 정기 주 회 수요일- 1 ( )

● 비정기 인터넷 위협 수준이 단계 경고 이상일 경우 수시“4 . ” –

무료 구독자

● 주간 브리핑 요약 주간 브리핑 보고서의 내용을 장 분량으로 요약제공 정기2 ( )–

● 긴급 정보 제공 인터넷 위협 수준이 단계 경고 이상일 경우 수시“4 . ” ( )–

정기 구독자

● 베이직 주간 브리핑 동향 분석, –

● 스탠다드 주간 브리핑 동향 분석 기술 분석, , –

● 프로페셔널 주간 브리핑 동향 분석 기술 분석 전문 분석, , , –

● 엔터프라이즈 주간 브리핑 동향 분석 기술 분석 전문 분석 봇넷 정보, , , , C&C –

악성코드 샘플은 별도 협의 ❈

구독 문의

● 무료 신청을 원하시는 경우 [email protected] 로 연락주십시오 .

● 정기 구독 및 관련 사항 문의는 등록된 이메일 을 통해 “ ” [email protected] 로 연락주십시오 .

감사합니다.

Online Threat Intelligence Monthly Report 04, 2013

온라인 위협 동향 보고서 년 월 빛스캔주식회사(2013 4 )

악성코드 은닉사이트 동향1. ······················································································································································· 2가 월간 인터넷 위협 동향 . ······················································································································································· 2나 월간 브리핑 동향 . ································································································································································· 2다 주간 브리핑 동향 . ································································································································································· 3

월 주차 1) 4 1 ··········································································································································································· 3월 주차 2) 4 2 ··········································································································································································· 3월 주차 3) 4 3 ··········································································································································································· 3월 주차 4) 4 4 ··········································································································································································· 3

라 월간 금융 동향 . ····································································································································································· 4악성코드 은닉사이트 월간 통계2. ············································································································································· 5

가 은닉사이트 탐지 동향 . ······················································································································································· 5은닉사이트 주간 동향 1) ······················································································································································ 5은닉사이트 월간 동향 2) ······················································································································································ 5

나 국내 경유지를 활용하는 주요 유포사이트 현황 탐지 동향 요약 . ∙ ·········································································6주요 월간 유포지 주요 국가별 요약 현황 1) ·················································································································· 6주요 국가별 현황 월간 요약 통계 2) ································································································································ 6주요 유포 사이트 주간 동향 3) ········································································································································ 7

다 주요 감염 취약점 관련 통계 . ············································································································································· 8취약점 별 주간 통계 1) / ····················································································································································· 8취약점 별 주간 통계 도표 2) / ··········································································································································· 8

유형별 주간 통계 3) Exploit Tool Kit / ························································································································· 9취약점 세부 정보 4) ···························································································································································· 10

라 대량 경유지가 탐지된 유포지 . Top 10 ························································································································· 11마 주요 유포지 분석 . Top 10 ··············································································································································· 12주요 유포지 수집 및 분석 결과3. URL ································································································································ 25

가 주요 유포지 요약 . ······························································································································································· 25나 유포 현황 . - Top 3 ·························································································································································· 29금융 동향4. ··················································································································································································31

가 금융 동향 . ··········································································································································································· 31월 주차 파일 활용 1) 4 1 hosts.ics – ······························································································································· 31월 주차 레지스트리를 활용하는 새로운 파밍 2) 4 4 – ·································································································32

및 내역 안5. BotNet C&C IP ( ) ··············································································································································· 33가 주간 및 내역 . BotNet C&C IP ······································································································································· 33

월 주차 1) 4 1 ········································································································································································· 33월 주차 2) 4 2 ········································································································································································· 33월 주차 3) 4 3 ········································································································································································· 33월 주차 4) 4 4 ········································································································································································· 33

향후 전망 및 개선 방안6. ························································································································································ 34가 향후 전망 . ············································································································································································· 34나 개선 방안 . ············································································································································································· 34

안내[ ] ······························································································································································································34

목 차


온라인 위협 동향 보고서 년 월 빛스캔주식회사(2013 4 ) - 2 -

월간 보고서년 월2013 4

No. BITSCAN-13-04

작 성 일 년 월 일2013 5 31 작 성 자 Bitscan

Keyword빛스캔 악성코드 고급보안정보구독서비스 은, Bitscan, , , Online Threat Intelligence Report,

닉사이트 유포사이트 유포지 경유사이트 경유지, , , , ,OTIR

악성코드 은닉사이트 동향1. 가 월간 인터넷 위협 동향. 1)

나 월간 브리핑 동향. 2)

특정 대역에 사전 준비작업 악성파일 업로드 을 해두고 만 수시로 변경하여 IP ( ) , IP탐지를 회피하고 있는 현상이 관찰이 되었으며 공격자들이 새로운 감염통로를 개척하는 등 공격 수준이 사이버테러 이전으로 정상화된 것으로 추정된다3.20 .

공다팩 레드킷 등 익스플로잇킷이 주로 사용되었으며 보다 효과적인 감, , CK VIP , 염을 위해 다단계 유포망 을 활용하는 것이 관찰되었다 최종 파일로는 MalwareNet( ) . 루트킷이 발견되었다.

특정 홍콩 의 클래스를 통해 악성코드 유포뿐만 아니라 악성파일 자체를 업ISP( ) C 로드 하여 전통적인 보안 솔루션을 손쉽게 우회하고 있어 이에 대한 대비가 필요하다.

1) 한국 인터넷 월간 위협 경보

2) 각 주마다 나온 주간 브리핑 지료를 종합

월간 보고서는 매주 발간되는 고급보안정보구독서비스 의 주간 브리핑 기술 분석 동향 분“ ” , , 석 전문 분석 보고서와 긴급 상황시 제공되는 추가 정보 및 보고서를 취합하여 각각의 주요 특, 징을 기술하였으며 통계 정보를 수집 분석하였습니다, .

4월 1주 4월 2주 4월 3주 4월 4주

평시

관찰

주의

경고

심각

월 주차에는 지난 사이버 테러 4 1 3.20 이후 보안 기업 및 기관의 활발한 대응으로 인해 국내 인터넷 위협이 크게 감소한 것으로 나타났다.

월 주에서 주차에는 금융 관련 공격4 2 4이 증가함과 동시에 새로운 파밍 공격이 꾸준히 발생하였다.



다 주간 브리핑 동향. 3)

월 주차1) 4 1

특정 대역에 사전 준비작업 악성파일 업로드 을 해두고 만 수시로 변경하여 IP ( ) , IP탐지를 회피하고 있는 현상이 관찰되었다 특히 악성링크에서 내려오는 악성코드 취. (약성 종 는 파밍 이후 파괴 기능이 거의 대부분을 차지하였다, Java 6 +IE+Flash) “ ” .

월 주차2) 4 2

공격자들이 새로운 감염통로 개척하는 등 공격 수준이 사이버테러 이전으로 3.20 정상화된 것으로 추정된다 특히 금주에는 최종 파일의 분석 결과 루트킷. (Rootkit) 코드가 일부 발견되었다.

월 주차3) 4 3

신규 악성코드 링크가 다시 활발하게 이용되고 있는 것을 볼 수 있으며 국내에서는 공다팩 레드킷 가 관찰되었다 공격자는 기존에는 특정 사이트 및 관련, , CK VIP . 된 계열사까지 동일한 악성링크를 삽입하는 방식을 썼었지만 이번 주에는 각기 다른 , 악성링크를 삽입하여 하나가 차단되더라도 다른 링크를 이용하여 감염율을 높일 수 있도록 다양한 통로를 마련하고 있다.

월 주차4) 4 4

신규 악성코드 및 경유지의 숫자가 급격하게 증가하였다 주차와 마찬가지로 . 3을 활용하는 방식은 꾸준히 사용되고 있으며 특정 홍콩 의 클래MalwareNet , ISP( ) C

스를 통해 악성코드 유포뿐만 아니라 악성파일 자체를 업로드하는 등 보다 활발한 공격이 진행되었다.

3) 각 주마다 나온 주간 브리핑 자료



라 월간 금융 동향. 4)

월 달에는 금융 관련 파밍에 대한 새로운 공격이 관찰되었다 월 주차에는 파4 . 4 1밍캅을 우회하기 위해서 파일을 활용하는 새로운 파밍 공격이 등장하였다hosts.ics .

월 주차에는 배치파일 을 통해 레지스트리를 수정하는 방법을 통해 브라우4 4 bat( )저 접속 시 를 즉시 변조 및 적용하여 파밍 사이트로 연결되도록 하hosts, hosts.ics는 새로운 공격 방법이 등장하였다.

4) 월간 금융 이슈 요약



악성코드 은닉사이트 월간 통계2.

가 은닉사이트. 5) 탐지 동향

은닉사이트 주간 동향1)

년 월에는 악성코드 은닉 사이트가 건 탐지되었으며 월 주차2013 4 6,747 , 4 1 (1,719건 를 정점으로 월 주차에는 건으로 점차 증가하는 현상이 관찰되었다) , 4 4 1,765 .

은닉사이트 월간 동향2)

은닉사이트는 건 탐지되었으며 전월 건 대비 로 증가하였다 하6,747 , (6,007 ) 112% . 지만 신규 사이트는 건으로 전월 건 대비 감소하였다, 865 (1,097 ) 21% .–

0100020003000400050006000700080009000

0100020003000400050006000700080009000

1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월00 803

3084

1097

6407

865

6747

00 00 00 00 00 00 00 00

신규 악성 링크

전체 발견 악성 링크

은닉사이트 월간 동향

5) 악성코드 은닉사이트 이용자 를 악성코드에 감염시킬 수 있는 홈페이지를 말하며 일반적으로 해킹을 당한 이후에 악성코 : PC , 드를 자체 유포하거나 다른 사이트로 유도하여 악성코드에 감염될 수 있는 경유지 을 포함한 웹사이트URL



나 국내 경유지를 활용하는 주요 유포사이트 현황 탐지 동향 요약. ∙

주요 월간 유포지 주요 국가별 요약 현황1)

년 월 신규 악성 링크는 건 이었으며 이 중에서 대한민국에 직접적인 2013 4 “865 ” , 영향을 미친 국내 경유지를 활용하는 유포 사이트 에 대한 분석 자료이다 월의 주“ ” . 4요 유포 사이트는 건 이었고 월 건 에 비해 증가하였다“229 ” , 3 (“165 ”) “139%” .

주요 국가별 현황 월간 요약 통계2)

국가 월3 비율 월4 비율 증가율한국 건61 37% 건67 30% -7%미국 건66 40% 건122 53% +56%중국 건23 14% 건0 2% -14%홍콩 건0 0% 건30 13% +30%일본 건6 4% 건6 3% -1%기타 건9 5% 건4 2% -3%

전체 합계 건( ) 건165 건229 건+64

0

50

100

150

200

250

300

0

50

100

150

200

250

300

1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 12월0 0

한국

미국

중국

일본

홍콩

기타

주요 국가별 현황 월간 요약



주요 유포 사이트 주간 동향 3)

발견된 신규 유포 사이트는 월 주 건 월 주 건 월 주 건4 1 “40 ”, 4 2 “36 ”, 4 3 “55 ”월 주 건 으로 약 두배 반 정도 증가하여 총 건 이 집계되었다, 4 4 ”98 “ ”229 “ .

0

20

40

60

80

100

120

4월 1주 4월 2주 4월 3주 4월 4주

40 36

55

98

유포 사이트

주요 유포사이트 주간 요약 동향



다 주요 감염 취약점 관련 통계.

CVE 월 주4 4 월 주4 3 월 주4 2 월 주4 1 합계 비율CVE-2012-46813) 건67 건34 건23 건14 건138 12%CVE-2011-35443) 건67 건34 건23 건14 건138 12%CVE-2012-18896) 건67 건34 건23 건14 건138 12%CVE-2013-04223) 건98 건43 건30 건36 건207 19%CVE-2012-17237) 건67 건34 건17 건11 건129 11%CVE-2012-05073) 건67 건34 건18 건11 건130 12%CVE-2012-50763) 건67 건34 건17 건11 건129 11%CVE-2013-06348) 건67 건34 건17 건11 건129 11%

전체 합계 건( ) 건567 건281 건168 건122 건1,138 100%

취약점 별 주간 통계1) /

취약점 별 주간 통계 도표2) /

0

100

200

300

400

500

600

700

4월 1주 4월 2주 4월 3주 4월 4주

14 23 3467

1423 34

67

1423

34

67

1117

34

67

11

17

34

67

3630

43

98

11

18

34

67

11

17

34

67CVE-2012-4861

CVE-2011-3544

CVE-2012-1889

CVE-2012-1723

CVE-2012-5076

CVE-2013-0422

CVE-2012-0507

CVE-2013-0634

6) 취약점 Microsoft IE/XML

7) 취약점 Oracle Java Applet

8) 취약점 Adobe Flash Player



유형별 주간 통계3) Exploit Tool Kit /



취약점 세부 정보4) 항 목 취약점 내용 세부정보 패치 정보 출현 시기

Adobe Flash Player CVE-2013-0634

메모리 손상으로 인한 코드 실행 취약점

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0634

http://www.adobe.com/support/security/bulletins/apsb13-04.html

년 월 일2013 2 7

Java Applet CVE-2013-0422

드라이브 바이 다운로드 방식,

샌드박스 제한 JRE 우회 취약점 이용


http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html

년 월 일2013 1 13



http://www.oracle.com/technetwork/topics/security/javacpuoct2012-1515924.html

년 월 일2012 10 16



http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html

년 월 일2012 8 30



http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html

년 월 일2012 6 12



http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html

년 월 일2012 2 17



http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html

년 월 일2011 10 18

MS IE CVE-2012-4969

Internet 를 사용 Explorer

하여 특수하게 조작된 웹페이지를 볼 경우 원격 코드 실행 허용


http://technet.microsoft.com/en-us/security/bulletin/MS12-063

년 월 일2012 9 21

MS XML CVE-2012-1889 XML Core 의 취약점Services


http://technet.microsoft.com/ko-kr/security/bulletin/MS12-043

년 월 일2012 7 10



라 대량 경유지. 9)가 탐지된 유포지 Top 10

순위 탐 지 일 유 포 지 국가 경유지 건수

1 04.18 www.popcoxxxx.com/upload/portfolio/mk.html 한국 건56

2 04.27 www.krxxx.net/index.html 태국 건42

3 04.10 www.implaxxxx.com/ca/pop.html 한국 건38

4 04.07 www.kexxxx.co.kr/form/pop.html 한국 건36

5 04.16 dpxxxx.com/adm/upload/data/pop.html 한국 건34

6 04.20 x25.x41.x17.x02/index.html 한국 건32

7 04.21 www.thaitxxxx.co.kr/total_board_image/upload/mk/index.html 한국 건32

8 04.25 ansaxxxxx.or.kr/inc/pop.html 한국 건32

9 04.09 edulife.xx-x.ac.kr/hwp/pop.html 한국 건30

10 04.16 sgpoxxxx.co.kr/util/temp/mk/pop.html 한국 건30

9) 경유지 홈페이지 방문자에게 유포지로 자동 연결하여 악성코드를 간접적으로 유포하는 홈페이지 :



마 주요 유포지 분석. 10) Top 101) www.popcoxxxx.com/upload/portfolio/mk.html

10) 주요 유포지 분석 대량 경유지에서 나온 악성코드 분석 결과 :

최초발견 일시 2013.04.18

악성 URL www.popcoxxxx.com/upload/portfolio/mk.html

최종 다운로드파일

NAME 2012.exe

MD5 20EC2741761FCEB4B7874C9EFD2BCE24

URL x92.x9.x38.x2/2012.exe

File system activityOpened filesC:\WINDOWS\03838027\svchsot.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\net.exe

Copied files

DST: C:\WINDOWS\03838027\svchsot.exeRegistry activity

Set keys

KEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FBBFD190TYPE: REG_SZVALUE: C:\WINDOWS\03838027\svchsot.exeProcess activity

Created processesnet start Task SchedulerRuntime DLLs

c:\windows\system32\ntdll.dll

c:\windows\system32\mswsock.dll

c:\windows\system32\WS2_32.DLL

Network activity

www.wk1888.com (192.210.58.105)

Vulnerability Set 3544-0507-1723-4681-5076-1889-0422-0634

Malware IP Address Malware IP Nation ISP Name

x11.x33.x1.x00 Korea Lg Dacom Kidc



2) www.krxxx.net/index.html

최초발견 일시 2013.04.27

악성 URL www.krxxx.net/index.html


NAME logo.jpg

MD5 b5af6cb1237126ead2da50b316de6987

URL http://x18.x18.x19.x30/logo.jpg

추가 다운로드파일

NAME update.xml

MD5 X

URL http://www.krxxx.net/down/update.xml


NAME tvk.exe

MD5 0c0052c8ebe1c881c17e71fdda575e94

URL http://www.krxxx.net/down/tvk.exe


NAME server.exe

MD5 5598f8a01d7f52a20acc750ee98619cc

URL http://yuankong.kingkaxxxx.com/server.exeFile system activityOpened filesC:\WINDOWS\070ADCEA\svchsot.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\net.exeC:\WINDOWS\system32\netware.engC:\WINDOWS\system32\6TO432Copied filesDST: C:\WINDOWS\070ADCEA\svchsot.exeRegistry activitySet keys

KEY : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\070ADCEATYPE: REG_SZVALUE: C:\WINDOWS\070ADCEA\svchsot.exeProcess activityCreated processesnet start Task SchedulerRuntime DLLsc:\windows\system32\ntdll.dllc:\windows\system32\mswsock.dll



c:\windows\system32\WS2_32.DLLC:\WINDOWS\system32\6TO432.DLLNetwork activity112.175.100.208

Vulnerability Set 3544-0507-1723-4681-5076-1889-0422-0634Malware IP Address Malware IP Nation ISP Name

x11.x2.x88.x0 Korea LG DACOM Corporation



3) www.implaxxxx.com/ca/pop.html

최초발견 일시 2013.04.10

악성 URL x74.x39.x5.x4/index.html


NAME v3.exe

MD5 88d173e7ae61136039bf56226cef9b20

URL http://x74.x39.x5.x4/v3.exe


NAME vc.exe

MD5 d701eb0d5a461bcf35ff081198747eaf

URL http://x74.x39.x5.x4/vc.exe


NAME krqsoft.dll

MD5 9399bb3c0e2bad11f14b85ccab1c892a

URL http://x74.x39.x5.x4/krqsoft.dll


NAME krqsoftps.exe

MD5 3a00fa27dffa259c7efbff6614445a52

URL http://x74.x39.x5.x4/krqsoftps.exe


NAME popcard.exe

MD5 ca38fb60355cfafbac116a3b7588f677

URL http://x74.x39.x5.x4/popcard.exeFile system activityOpened filesC:\WINDOWS\C2F5BC5E\svchsot.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\net.exeC:\WINDOWS\system32\netware.engC:\WINDOWS\system32\kelogr.tmpC:\WINDOWS\krqsoft\krqsoftps.exeC:\WINDOWS\krqsoft\popcard.exeCopied filesDST: C:\WINDOWS\C2F5BC5E\svchsot.exeRegistry activitySet keysKEY : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\C2F5BC5ETYPE: REG_SZVALUE: C:\WINDOWS\C2F5BC5E\svchsot.exeProcess activityCreated processes



net start Task SchedulerRuntime DLLsc:\windows\system32\ntdll.dllc:\windows\system32\mswsock.dllc:\windows\system32\WS2_32.DLLC:\WINDOWS\krqsoft\krqsoft.dllNetwork activitywww.qq00008.com 122.10.36.131


x74.x39.x5.x4 United States Krypt Technologies



4) www.kexxxx.co.kr/form/pop.html

최초발견 일시 2013.04.07

악성 URL x99.x14.x43.x35/web.html


NAME wm.exe

MD5 afe3dad36a8c2f71a362c0d6859c3060

URL http://w8.dxxb.com/wm.exe


NAME 2c8.exe

MD5 3a69ac6581b2f780b85769cec1cc86a8

URL http://x15.x8.x.x0/2c8.exe


NAME dz.txt

MD5 X

URL http://gx.axxc.net/dz.txtFile system activityOpened filesC:\WINDOWS\FBBFD190\svchsot.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\net.exeC:\WINDOWS\Aczw.exeC:\Documents and Settings\Administrator\Local Settings\Temp\binder.exeC:\Documents and Settings\Administrator\Local Settings\Temp\Updater.exeC:\WINDOWS\system32\yiey.exeC:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I4WXABRV\dz.txtCopied filesDST: C:\WINDOWS\CC53D473\svchsot.exeRegistry activitySet keysKEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FBBFD190TYPE: REG_SZVALUE: C:\WINDOWS\FBBFD190\svchsot.exeKEY: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS\Host_URLTYPE: REG_SZVALUE: http://gx.axxc.net/dz.txtProcess activityCreated processesnet start Task SchedulerRuntime DLLs



c:\windows\system32\ntdll.dllc:\windows\system32\mswsock.dllc:\windows\system32\WS2_32.DLL

Network activity125.192.81.68, 122.135.95.164, 122.133.120.152, 122.135.92.165, 122.135.185.1, 220.102.211.188, 122.135.58.179, 122.133.106.150, 122.135.146.246, gx.axxc.net 61.38.186.240, lsw8.q9q6.com, 98.126.162.122


x99.x14.x43.x35 United States Vps21



5) dpxxxx.com/adm/upload/data/pop.html

최초발견 일시 2013.04.16

악성 URL dpxxxx.com/adm/upload/data/pop.html


NAME 2012.exe


URL x99.x93.x4.x49/2012.exe

File system activity

Opened files

C:\WINDOWS\FC61A033\svchsot.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\net.exe

Copied files

DST: C:\WINDOWS\FC61A033\svchsot.exeRegistry activity

Set keys

KEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FBBFD190TYPE: REG_SZVALUE: C:\WINDOWS\FC61A033\svchsot.exeProcess activity

Created processes

net start Task Scheduler

Runtime DLLs




Network activity

www.wk1888.com (192.210.58.105)



x11.x02.x.x93 Korea Hanaro Telecom



6) x25.x41.x17.x02/index.html

최초발견 일시 2013.04.20

악성 URL x25.x41.x17.x02/index.html


NAME mino.exe

MD5 C4F62AC232C57842D1BABCF2EDA6048E

URL znxxxx.gnway.net/mino.exe


Opened files

C:\WINDOWS\4B35183B\svchsot.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\net.exe

Copied files

DST: C:\WINDOWS\4B35183B\svchsot.exe

Registry activity

Set keys

KEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4B35183BTYPE: REG_SZVALUE: C:\WINDOWS\4B35183B\svchsot.exe

Process activity

Created processes


Runtime DLLs




Network activity

ns1.gnway.com



x25.x41.x17.x02 Korea Korea Telecom



7) www.thaitxxxx.co.kr/total_board_image/upload/mk/index.html

최초발견 일시 2013.04.21

악성 URL www.thaitxxxx.co.kr/total_board_image/upload/mk/index.html


NAME 2013.exe

MD5 06136DC1E770DD6B2DDD520A5F17E0B7

URL x92.x9.x38.x2/2013.exe


Opened files

C:\WINDOWS\23E848D7\svchsot.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\net.exe

Copied files

DST: C:\WINDOWS\23E848D7\svchsot.exeRegistry activity

Set keys

KEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\23E848D7TYPE: REG_SZVALUE: C:\WINDOWS\23E848D7\svchsot.exeProcess activity

Created processes


Runtime DLLs




Network activity

www.wk1888.com (192.210.58.105)



x75.x25.x0.x83 Korea Hanaro Telecom



8) ansaxxxxx.or.kr/inc/pop.html

최초발견 일시 2013.04.25

악성 URL ansaxxxxx.or.kr/inc/pop.html


NAME 14.exe

MD5 F99C990A8F9E25C62CB27978990E19C7

URL x98.x3.x05.x21/14.exe

File system activityOpened files

C:\WINDOWS\system32\cmd.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\net.exe

Copied files

DST: C:\WINDOWS\system32\nnaa.exe Registry activity

Set keys

KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sadsadad\DescriptionTYPE: REG_SZVALUE: 360mssProcess activity

Created processes

C:\WINDOWS\system32\cmd.exe /c del C:\D42A78~1 > nul

Runtime DLLs


c:\windows\system32\kernel32.dll


Network activity

53000.aaaqing.com (199.114.240.57)



x11.x0.x18.x5 Korea LG DACOM Corporation



9) edulife.xx-x.ac.kr/hwp/pop.html

최초발견 일시 2013.04.09

악성 URL edulife.xx-x.ac.kr/hwp/pop.html


NAME add.exe

MD5 FB1967EC6594F8DFF45839CF9D151611

URL sss.whbxx.com/add.exe


NAME nwe.exe

MD5 16A619264440AEF89F611059AA09B00B

URL x10.x09.x7.x75/nwe.exeFile system activityOpened filesC:\WINDOWS\FANBB138\svchsot.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\net.exeC:\Documents and Settings\Administrator\Local Settings\Temp\nwe.exeC:\WINDOWS\system32\drivers\etc\hostsCopied filesDST: C:\WINDOWS\FANBB138\svchsot.exeRegistry activity

Set keysKEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FBBFD190TYPE: REG_SZVALUE: C:\WINDOWS\FANBB138\svchsot.exeProcess activityCreated processesnet start Task SchedulerRuntime DLLsc:\windows\system32\ntdll.dllc:\windows\system32\mswsock.dllc:\windows\system32\WS2_32.DLL

Network activityx10.x09.x7.x75, sss.whbxx.com 70.39.88.61


x11.x33.x1.x00 Korea Lg Dacom Kidc



10) sgpoxxxx.co.kr/util/temp/mk/pop.html

최초발견 일시 2013.04.16

악성 URL sgpoxxxx.co.kr/util/temp/mk/pop.html


NAME 2012.exe


URL x99.x93.x4.x49/2012.exe

File system activityOpened filesC:\WINDOWS\C82BA15C\\svchsot.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\net.exeC:\Documents and Settings\Administrator\Local Settings\Temp\2012.exe

Copied files

DST: C:\WINDOWS\ED1ADD1F\svchsot.exeRegistry activity

Set keysKEY: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\C82BA15C\TYPE: REG_SZVALUE: C:\WINDOWS\C82BA15C\svchsot.exeProcess activity

Created processesnet start Task SchedulerRuntime DLLs




Network activity

x99.x93.x4.x49



x11.x15.x2.x88 korea Lg Dacom Kidc



주요 유포지 수집 및 분석 결과3. URL

년 월에 발견된 악성코드 신규 유포지는 개이며 그중 약 개를 요약하2013 4 264 , 30여 정리하였으며 유포지에서 이용되고 있는 은 , Exploit Kit Gondad Exploit Kit, Red

등이 있으며 Exploit Kit, CK Vip Kit, Gondad Exploit Kit + Adobe Flash Player 주요 통계 정보는 다 주요 감염 취약점 관련 통계 을 확인하십시오“ . “ .

를 단독적으로 쓰인 이 많이 관찰되었으며 대부CVE-2013-0422 Red Exploit Kit분 미국 도메인을 이용하고 있다.

공격은 웹사이트를 통해 을 활용한 Download JS/HTML URL Redirection -> 순서로 진행되므로Exploit -> Payload Download -> Real Malwares Download ,

악성코드의 유형을 별도로 언급하지는 않는다 다만 다운로드 되는 최종 악성코드는 . , 트로이목마가 다수이며 기능상 금융 정보 및 개인 정보 수집 기능이 포함된다, .

가 주요 유포지 요약. 탐지일 유포지 URL 국가 취약점 악성코드 유형

04.01 www.superduperxxxxx.com/css/css.html 한국

CVE-2012-3544,0507,1723,4681,507

6,1889CVE-2013-0422CVE-2013-0634

04.02 www.mdacxxxxx.co.kr/system/conf/db/1.html 한국

CVE-2012-3544,0507,1723,4681,507

6,1889CVE-2013-0422CVE-2013-0634

04.03 mysoccerxxxxx.com/zbun.html?i=2810431 미국 CVE-2013-042204.04 nc-guaxxxxx.org/hbnn.html?i=2810431 미국 CVE-2013-0422

04.05 singrm.gxxxxx.com/data/best/Homepage/home.js 한국 CVE-2012-3544,4681,1889,4969

04.06 pharmatherxxxxx.com/oxnu.html?i=2810431 미국 CVE-2013-0422

04.07 www.kxxxxx.co.kr/form/pop.html 한국

CVE-2012-3544,0507,1723,4681,507

6,1889CVE-2013-0422CVE-2013-0634

04.08 www4352.ntxxxxx.com:8089/zip.html 중국 CVE-2012-3544,4681,1889,4969

04.09 edulife.xx-x.ac.kr/hwp/pop.html 한국CVE-2012-3544,0507,1723,4681,507

6,1889



CVE-2013-0422CVE-2013-0634

04.10 www.impxxxxx.com/ca/pop.html 한국 CVE-2012-3544,4681,1889,4969

04.11 199.36.77.138/web.html 미국

CVE-2012-3544,0507,1723,4681,507

6,1889CVE-2013-0422CVE-2013-0634

04.12 www.popxxxxx.com/board/img/pop.html 한국 CVE-2012-3544,4681,1889,4969

04.13 www.wwhol.com/Top.js 미국

CVE-2012-3544,0507,1723,4681,507

6,1889CVE-2013-0422CVE-2013-0634

04.14 199.114.242.82/web.html 미국

CVE-2012-3544,0507,1723,4681,507

6,1889CVE-2013-0422CVE-2013-0634

04.15 www.winexxxxx.com/update/mk/imdx.html 한국

CVE-2012-3544,0507,1723,4681,507

6,1889CVE-2013-0422CVE-2013-0634

04.16 dpxxxx.com/adm/upload/data/pop.html 한국

CVE-2012-3544,0507,1723,4681,507

6,1889CVE-2013-0422CVE-2013-0634

04.17 motorscoxxxxx.com/owhd.html?i=3223139 미국 CVE-2013-0422

04.18 www.popcoxxxx.com/upload/portfolio/mk.html 한국

CVE-2012-3544,0507,1723,4681,507

6,1889CVE-2013-0422CVE-2013-0634

04.19 143.90.211.122/index.html 일본

CVE-2012-3544,0507,1723,4681,507

6,1889CVE-2013-0422CVE-2013-0634

04.20 x25.x41.x17.x02/index.html 한국

CVE-2012-3544,0507,1723,4681,507

6,1889CVE-2013-0422



CVE-2013-0634

04.21 www.thaitxxxx.co.kr/total_board_image/upload/m

k/index.html한국

CVE-2012-3544,0507,1723,4681,507

6,1889CVE-2013-0422CVE-2013-0634

04.23 project.xxxx.co.kr/pds/1/index.html 한국

CVE-2012-3544,0507,1723,4681,507

6,1889CVE-2013-0422CVE-2013-0634

04.24 x1.x8.x52.x8/web.html 한국

CVE-2012-3544,0507,1723,4681,507

6,1889CVE-2013-0422CVE-2013-0634

04.25 hd.xxxxx.com/common/dialog/assets/view.js 한국

CVE-2012-3544,0507,1723,4681,507

6,1889CVE-2013-0422CVE-2013-0634

04.25 availablelocksmithinc.com/hbun.html?i=2810431 미국 CVE-2013-0422

04.25 ansaxxxxx.or.kr/inc/pop.html 한국

CVE-2012-3544,0507,1723,4681,507

6,1889CVE-2013-0422CVE-2013-0634

04.26 x7.x98.x52.x/AD.js 한국

CVE-2012-3544,0507,1723,4681,507

6,1889CVE-2013-0422CVE-2013-0634

04.27 www.krxxx.net/index.html 태국

CVE-2012-3544,0507,1723,4681,507

6,1889CVE-2013-0422CVE-2013-0634

04.28 122.10.10.60/w.lilalio.com/main.html 중국

CVE-2012-3544,0507,1723,4681,507

6,1889CVE-2013-0422CVE-2013-0634

04.29 113.10.187.7/oacs19/29.html 홍콩CVE-2012-3544,0507,1723,4681,507

6,1889



CVE-2013-0422CVE-2013-0634

04.30 113.10.187.9/oacs19/29.html 홍콩

CVE-2012-3544,0507,1723,4681,507

6,1889CVE-2013-0422CVE-2013-0634



나 유포 현황 . - Top 3

경유지를 통해 유포되는 악성코드는 다음과 같이 주로 가지 유형으로 정리되었다3 .

1) http://lol.axxxxx.com/index.html



2) singrm.gxxxxx.com/data/best/Homepage/home.js

3) http://matiasgreco.com/zqgy.html?i=1958545



금융 동향4. 가 금융 동향. 11)

월 주차 1) 4 1 hosts.ics– 12) 파일 활용

월 주차 이슈는 파일을 변조하는 새로운 형태의 파밍 기술이 발견되었4 1 hosts.ics 다 파일은 일반적으로 사용하지 않는 파일로 인터넷 연결 공유. hosts.ics (ICS,

시에 특정한 클라이언트의 를 강제로 지정하는 기능Internet Connection Sharing) IP을 가진다.

파일에 파밍으로 이용되는 주소를 추가<hosts.ics IP >

이와 같이 국내에서 유포된 파밍 악성파일 중에 파일을 활용하여 감염된 hosts.ics 경우 파밍이 이뤄지는 상태를 볼 수 있다 또한 기존의 파일 내에 백신의 접. , hosts 근 및 업데이트를 방해하는 주소를 입력하여 변조시 진단하지 못하는 하는 기법IP 이 사용되었다.

11) 월간 발생하는 금융 이슈를 정리

12) 인터넷 연결 공유 에서 특정한 클라이언트의 를 강제로 지정하기 위해 사 hosts.ics : ICS( . Internet Connection Sharing) IP용하는 파일로 파일과 동일한 기능을 가짐hosts .



월 주차 레지스트리를 활용하는 새로운 파밍2) 4 4 – 13)

월 주차 이슈는 기존에는 파일 또는 파일을 단독으로 변조하였4 4 hosts hosts.ics 으나 개의 파일을 모두 변조하고 최종적으로는 파일에 변조하는 공격이 관찰2 hosts 되었다 이러한 경우 파밍캅 과 같이 파일 변조를 진단하는 보안 프로그램에서. hosts 는 진단이 일부 가능하다.

파일과 파일을 함께 변조<hosts hosts.ics >

하지만 공격자는 단순하게 진행하지 않고 다음과 같이 파일을 통해 레지스, 1.bat 트리를 수정하는 과정을 추가하였다.

파일의 내용<1.bat >

여기서 주목해야 할 부분은 레지스트리 DNSCacheTimeOut, ServerInfoTimeOut 값으로 캐시의 저장 시간을 지정한다 브라우저에서는 기본적으로 분간 유지, DNS . 30하게 되어 있으며 만약 을 입력하게 되면 파일의 변경 즉시 반영하게 되는 , 0 hosts 효과를 가져 오는 것으로 판단된다.

13) 파밍 : Pharming, 이용자 를 악성코드에 감염시켜 이용자가 인터넷 즐겨찾기 또는 포털사이트 검색을 통하여 금융회사 PC ' '

등의 정상적인 홈페이지 주소로 접속하여도 피싱사이트로 유도되어 범죄 관련자가 개인 및 금융거래 정보 등을 몰래 빼가는 수법



5. BotNet14) 및 C&C15) 내역 IP 가 주간 및 내역. BotNet C&C IP

월 주차1) 4 1

월 주차2) 4 2

월 주차3) 4 3

월 주차4) 4 4

안내 본 내용은 주간 보고서에서 제공한 사항입니다 시일이 다소 지난 관계로 효용성 및 신뢰상 문* : . 제가 있을 수 있어 월간 보고서에서는 제공하지 않음을 양해해 주십시오.

14) 은 BotNet 스팸메일이나 악성코드 등을 전파하도록 하는 악성코드 봇 에 감염되어 해커가 마음대로 제어할 수 있는 좀 (Bot)

비 들로 구성된 네트워크를 말한다 PC .

15) C&C: Command and Control



향후 전망 및 개선 방안6. 가 향후 전망.

악성코드 유포 측면에서는 다단계유포망 이 지속적으로 활용될 MalwareNet( )것으로 예상되며 파밍 또한 기존 보안 대책을 우회하기 위해 새로운 형태가 나타날 , 것으로 보인다.

나 개선 방안.

지속적인 유포지 및 경유지 침해 사고가 발생할 경우에는 웹사이트의 취약점을 분석하여 해결해야 한다 또한 웹사이트 내에 웹쉘 루트킷과 같이 악성코드가 숨. , , 겨져 있을 수 있으므로 추가적인 보안 대책이 필요하다, .

웹 취약점을 해결하기 위해서는 홈페이지의 개발시점부터 유지보수 때까지 개발자가 보안 코딩을 준수해야 하며 아래 웹사이트에서 취약점을 온라인으로 , 진단이 가능하다.

https://scan.bitscan.co.kr 웹취약점 점검 가입 필수 및 유료 -> ( )관리하는 웹사이트가 유포지 또는 경유지로 활용되는 경우에는 아래의 웹사이

트에서 무료로 진단이 가능하다.https://scan.bitscan.co.kr 유포지 확인 가입 필수 및 무료 -> ( )

에 활용되는 각종 취약점은 아래 사이트를 통해 보안 패치 및 Exploit Kit업데이트가 가능하다.

o Microsoft Windows http://windowsupdate.microsoft.com

o Oracle Java www.oracle.com/technetwork/java/javase/downloads/index.html

o Adobe Flash Player http://www.adobe.com/support/security/#flash

o Adobe Reader http://www.adobe.com/support/security/#readerwin

[안내]본 문서의 저작권은 빛스캔주식회사 가 소유하고 있으며 무단으로 배포하거나 편집할 수 없습니다* “ ” , .

무료 구독 문의 및 고급보안정보구독서비스 와 관련된 문의는 * “ ” [email protected] 로 문의하여 주십

시오.

끝 .

Technology

온라인위협동향 월간보고서 2013년4월 빛스캔주식회사