ìê° ì ì±ì½ë ìëì¬ì´í¸ íì§ ëí¥ ë³´ê³ ì ì (3 )
ìê° ì ì±ì½ë ìëì¬ì´í¸ íì§ ëí¥ ë³´ê³ ì ì (3 )
ìê° ì ì±ì½ë ìëì¬ì´í¸ íì§ ëí¥ ë³´ê³ ì ì (3 )
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
월간 악성코드 은닉사이트 탐지<br />
동향 보고서<br />
(3 월)<br />
2012. 04.<br />
침해사고대응단<br />
인터넷침해대응센터
목 차 ><br />
1. 악성코드 은닉 동향 요약 ················································· 1<br />
2. 홈페이지 은닉형 악성코드 통계 ····································· 2<br />
- 유포지 탐지․ 국가별 현황 ························································· 2<br />
- 대량랕 경유지가 탐지된 유포지 TOP10 ···································· 3<br />
- 악성코드 유형별 비율 ····························································· 4<br />
- 악성코드 취약점 유형별 비율 ················································ 4<br />
- 악성코드 수집 및롺 분석결과 ···················································· 5<br />
- 경유지 탐지․ 업종별 비율 ························································· 6<br />
3. 악성코드 동향 ······································································· 7<br />
- IE 취약점 악용 악성코드 유포( 온라인 게임계정 탈취형) ······· 7<br />
- IE 취약점 악용 악성코드 유포( 원격제어형) ···························· 8<br />
4. 향후 전망렆 ············································································ 10
악성코드 은은닉 동향 요약<br />
□ 개 요<br />
o KISA<br />
인인터넷침해대응응센터에서는 국내 홈페이이지를 통해 유유포되는 악성<br />
코드를 자자동으으로 탐지하여 삭제 및 차단조치 함으으로써, 이이용자자<br />
악성코드 감염피해 예방활동을을 수행하고고 있있다.<br />
PC의의<br />
o 아울울러, 매월월 KISA에서 탐지된 악성코드 은은닉사이이트 경경향을을 분석하고고<br />
향후 출현 가능한 위위협 요소를 전망하여 침해사고고대응응 및 보안 인인식<br />
제고고 자자료로 활용하고고자자 한다.<br />
월간 동향 요약<br />
o 이이용자자 PC 환경경의의 취약점 악용 유유형중 MS IE(CVE-2010-0806), Flash<br />
Player(CVE-2011-2140), 윈윈도우우 MIDI 파일일 취약점(CVE-2012-0003)<br />
을을<br />
이이용하여 온라인인 게임계계정 탈취(ONLINE GAME HACK) 악성코드<br />
유유포가 많이이 나타나고고 있있다.<br />
※ CVE-2011-0806 ( 인터넷 익스플로러 취약점)<br />
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-0806<br />
※ CVE-2011-2140 (Adobe Flash Player 취약점)<br />
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2140<br />
※ CVE-2012-0003 ( 윈도우 MIDI 파일 취약점)<br />
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0003<br />
o 3월월 유유포지의의 악성코드는 35% 가 온라인인 게임계계정 탈취형으으로 분석되었다.<br />
- 그 이이외에 추가파일일 다운운로드형 , 드롭퍼, 원원격제어형 등의의 악성코드가<br />
발견견되었다.<br />
- 1 -
홈페이이지 은은닉형 악성코드 통계계<br />
Information TIP<br />
o 악성코드 은닉사이트란?<br />
이용자 PC 를 악성코드에 감염시킬 수 있는 홈페이지로,<br />
해킹을 당한 후 악성코드<br />
자체 또는 악성코드를 유포하는 주소(URL) 를 숨기고 있는 것을 말한다.<br />
o 악성코드 은닉사이트는 크게 유포지와 경유지로 구분된다.<br />
유포지<br />
경유지<br />
:<br />
홈페이지 이용자에게 악성코드를 직접 유포하는 홈페이지<br />
: 홈페이지 방문자를 유포지로 자동 연결하여 악성코드를 간접 유포하는 홈페이지<br />
□ 유유포지 탐지․<br />
국가별 현황<br />
o 2012년<br />
3 월월에 악성코드 유유포지 탐지 및 조치 현황은은 다음음과과 같다.<br />
- 악성코드 유유포지 탐지는 전월월대비 58.8%(68건 → 108 건) 증가하였다.<br />
o<br />
탐지된 해외 유유포지는 국내 주요<br />
접속이이 불가능하도록 한다.<br />
ISP에 의의해 차단조치 되어 이이용자자가<br />
유포지 탐지<br />
유포지 국가별 현황<br />
- 2 -
□ 대량 경경유유지가 탐지된 유유포지 TOP10<br />
o 2012년 3월월에 대량 경경유유지가 탐지된 유유포지 TOP10 은은 다음음과과 같다.<br />
- 탐지된 유유포지는 KISA에서 차단조치 하여 악성코드 감염 위위협을을 사전에<br />
제거한 상태이이다.<br />
순위 탐지일 유포지 국가<br />
경유지<br />
건수<br />
악용 취약점<br />
KISA<br />
차단일자<br />
1 2012.03.13 http://fgthyj.com/r.php 러시아 46 - 2012.03.14<br />
2 2012.03.13 http://www. .net/inde.htm 한국 32 - 2012.03.13<br />
3 2011.07.10 http://kr.lienzing.info/tongji.jpg 홍콩 30 - 2011.07.10<br />
4 2011.06.17 www.amcia.info/nb/nb.html 미국 21 - 2011.06.17<br />
5 2012.02.07 http://www. .co.kr/Scripts/aa.js 한국 11 - 2012.02.09<br />
6 2012.03.17 http://www.ponib.com/web/ly/bo<br />
ard.html<br />
미국 5 CVE-2011-2140 2012.03.17<br />
7 2011.08.23 http://kr.lienzing.info/tongji.htm 홍콩 5 - 2011.07.10<br />
8 2012.03.28 http://hnjhkm.com/r.php 러시아 5 - 2012.03.29<br />
9 2012.02.15 http://61.147.112.112:1154/IE.html 중국 4 CVE-2010-0249 2012.02.15<br />
10 2012.03.15 http://www.onedays.info:5920/ind<br />
ex.html<br />
※<br />
CVE-2010-0249, CVE-2010-0806 :<br />
미국 4<br />
인터넷 익스플로러 취약점<br />
※ CVE-2011-2140, CVE-2012-0754 : Adobe Flash Player<br />
취약점<br />
CVE-2010-0806<br />
CVE-2011-2140<br />
CVE-2012-0754<br />
2012.03.15<br />
- 3 -
□ 악성코드 유유형별 비율율<br />
o 악성코드 유유형 중 온라인인 게임 계계정 탈취형 및 다운운로더형이이 각<br />
비율율로 나타나고고 있있다.<br />
35% 의의<br />
※<br />
※<br />
다운로더 : 추가적인 악성코드를 인터넷이나 네트워크를 통하여 다운로드하여 설치<br />
드롭퍼 : 악성코드에 포함된 추가적인 악성코드를 설치<br />
□ 악성코드 취약점 유유형별 비율율<br />
o CVE-2010-0806(Internet Explorer 취약점)<br />
의의 취약점을을 악용하는 경경우우가<br />
29% 로 가장장 높은은 비율율을을 차지하고고 있있다.<br />
- 4 -
□ 악성코드 수집 및 분석결결과과<br />
o 2012년<br />
3 월월에 악성코드 수집 내역과과 분석 결결과과는 다음음과과 같다.<br />
- 주로 취약점은은 IE, Adobe Flash Player, MIDI 파일일 취약점 3가지 형태로<br />
나타나고고 있있다.<br />
No 탐지일 유포지 국가 취약점 악성코드 유형<br />
1 03.02 http://movies. .com/txt.html 한국<br />
2 03.03 http://www.ads-1.info/c.gif 미국<br />
CVE-2010-0806<br />
(IE 취약점)<br />
CVE-2011-2140<br />
(FlashPlayer 취약점)<br />
CVE-2012-0003<br />
(MIDI 파일 취약점)<br />
CVE-2011-3544<br />
(Java 취약점)<br />
드롭퍼<br />
다운로더<br />
3 03.04<br />
http://ns88.janupgamta.com/new/ne<br />
w.html<br />
일본<br />
CVE-2010-0806<br />
CVE-2012-0003<br />
드롭퍼<br />
4 03.05<br />
http://www.wxbkor.com/ma/index.ht<br />
ml<br />
미국<br />
CVE-2010-0806<br />
CVE-2012-0003<br />
드롭퍼<br />
5 03.05 http:// .or.kr/js/linux.html 한국<br />
6 03.14 http://www. .com/xx/index.html 한국<br />
CVE-2010-0806<br />
CVE-2012-0003<br />
CVE-2010-0806<br />
CVE-2011-2140<br />
CVE-2012-0003<br />
CVE-2012-0754<br />
(FlashPlayer 취약점)<br />
드롭퍼<br />
다운로더<br />
7 03.15<br />
http://www.onedays.info:5920/index.<br />
html<br />
미국<br />
CVE-2010-0806<br />
CVE-2011-2140<br />
CVE-2012-0754<br />
다운로더<br />
8 03.18 http://img. .com/css.html 한국 CVE-2010-0806 다운로더<br />
9 03.19 http://ad. .info/images/ 한국<br />
CVE-2009-0075<br />
(IE 취약점)<br />
CVE-2011-2140<br />
CVE-2012-0003<br />
다운로더<br />
10 03.19 http://xipih.com/main/dd/ddd.exe 일본 직접 다운로드<br />
온라인<br />
게임계정 탈취<br />
11 03.20 http://98.126.66.51/maa/index.html 미국<br />
CVE-2010-0806<br />
CVE-2011-2140<br />
온라인<br />
게임계정 탈취<br />
- 5 -
12 03.23 http://72.20.9.165/index.html 미국 CVE-2010-0806<br />
13 03.24 http://98.126.66.54:85/maaax.exe 미국 직접 다운로드<br />
온라인<br />
게임계정 탈취<br />
온라인<br />
게임계정 탈취<br />
14 03.24 http://img. .com/main.html 한국 CVE-2010-0806 다운로더<br />
15 03.24 http://www. .com/tmp/d.exe 한국 직접 다운로드<br />
16 03.28 http://myxih.com/web/ac/hhh.html 미국 CVE-2010-0806<br />
온라인<br />
게임계정 탈취<br />
온라인<br />
게임계정 탈취<br />
17 03.30 http://10086so.com/10086/x6.htm 미국 CVE-2010-0806 원격제어<br />
※<br />
※<br />
드롭퍼 : 악성코드에 포함된 추가적인 악성코드를 설치<br />
다운로더 : 추가적인 악성코드를 인터넷이나 네트워크를 통하여 다운로드하여 설치<br />
□ 경경유유지 탐지․<br />
업종별 비율율<br />
o 2012년<br />
3 월월에 악성코드 경경유유지 탐지․<br />
업종별 유유형은은 다음음과과 같다.<br />
- 악성코드 경경유유지 탐지는 전월월대비 23.6%(365 건 → 279 건) 감소하였다 .<br />
※ 탐지된 경유지는 해당 홈페이지 운영자에게 전화․<br />
메일을 통해 악성코드 삭제 및<br />
보안조치 요청을 수행<br />
- 경경유유지 업종별 유유형 중 일일반기업이이 가장장 높게 나왔으으며 , 이이용자자의의 방문이이<br />
많은은 쇼핑, 방송 또는 신문사 등의의 업종도 많이이 탐지가 되었다.<br />
경유지지 탐지<br />
경유지 업종별 유형<br />
- 6 -
악성코드 동향<br />
3월 악성코드 이슈<br />
o ‘12년 3 월월 수집된 악성코드 샘플을을 분석한 결결과과, 다중 취약점을을 악용하는<br />
형태가 많았으으며, 단일일 Internet Explorer 취약점을을 악용하여 악성코드를<br />
유유포하는 형태가<br />
29% 로 가장장 높게 나타났다.<br />
o<br />
악성코드 유유형으으로는 온라인인 게임계계정 탈취형 및 다운운로더형이이 각<br />
35% 로 가장장 높았으으며, 그 이이외에도 추가파일일 다운운로드형,<br />
원원격제어형<br />
등의의 악성코드가 발견견되었다.<br />
□<br />
Internet Explorer 취약점을을 악용한 악성코드 유유포 ( 온라인인 게임계계정 탈취형 )<br />
http://myxih.com/web/ac/hhh.html<br />
...... 생략 ......<br />
// IE<br />
취약점을 악용하여 악성코드 다운로드<br />
<br />
var E8=["Array","length","%u0c","0c%","u0c0c","unescape","substring"];<br />
var<br />
a4=unescape("%u11eb%u4a5a%uc933%u8166%uF3c1%u800C%u0a34%ue294%uebfa%ue805%uffea%<br />
uffff%u7cf4%u9494%u9494%u15c9%u8779%ud484%u1f94%u1961%ua512%ud483%uc494%u917c%u9<br />
492%u1994%u8e12%ud483%uc494%u6d7c<br />
...... 생략 ......<br />
- 7 -
o<br />
-<br />
악성코드 파일일(a.exe)<br />
네트워워크상의의 악성행위위<br />
상세분석 내용<br />
도메인 IP 용도 상세내용<br />
ranuf.com 180.178.57.235<br />
darkindark.com 65.19.185.135<br />
정보유출<br />
-<br />
-<br />
온라인게임 로그인시 계정정보 전송<br />
․<br />
POST /ac/board.asp<br />
온라인게임 로그인 시 계정정보 전송<br />
․<br />
POST /zboard.asp<br />
dawnmey.com 173.252.244.212 - 온라인게임 로그인 시 계정정보 전송<br />
-<br />
운운영체제상의의 악성행위위<br />
악성행위<br />
- 윈도우 시스템 폴더에 다음과 같은 파일 생성<br />
․ C:\WINDOWS\system32\olesau32.dll<br />
․ C:\WINDOWS\system32\Driver\ahnurl.sys<br />
분석내용<br />
악성코드 파일 생성<br />
-<br />
온라인 게임 로그인 시 계정 정보 유출<br />
계정 정보 유출<br />
□ Internet Explorer 취약점을을 악용한 악성코드 유유포 ( 원원격제어형)<br />
- 8 -
o 악성코드 파일일(20120220.exe)<br />
- 네트워워크상의의 악성행위위<br />
상세분석 내용<br />
도메인 IP 용도 상세내용<br />
ip.00079.net 98.126.32.13 악성코드 경유지 - hxxp://ip.00079.net<br />
- 120.42.120.89 C&C 주소 - 120.42.120.89<br />
-<br />
운운영체제상의의 악성행위위<br />
악성행위<br />
분석내용<br />
- 다음과 같은 경로에 악성코드 복사<br />
․ C:\WINDOWS\Event Logs.exe<br />
- 다음과 같이 서비스를 등록<br />
․ Event Logs<br />
․ C:\WINDOWS\Event Logs.exe<br />
악성코드 자동실행을<br />
위해 서비스 등록<br />
- 9 -
향후 전망<br />
□ 악성코드 유유포방법 및 조치방안<br />
o MS IE, MIDI<br />
파일일, Adobe Flash Player, Java<br />
취약점 등을을 복합적으으로<br />
악용하여 악성코드를 유유포시키는 사례가 지속적으으로 나타날 것으으로<br />
전망된다.<br />
o 기업 및 개인인사용자자는 악성코드에 감염되어 개인인정보 유유출, 좀비PC로의의<br />
전락 등의의 피해를 입지 않도록 주의의하여야 한다.<br />
o<br />
기업에서 근본적으으로 홈페이이지 개발시점부터 보안의의식 및 시큐어코딩<br />
으으로 홈페이이지를 구축하고고,<br />
주기적인인 취약점 점검 및 패치 적용하여<br />
웹웹서버가 해킹되지 않도록 사전에 방지해야 한다.<br />
※ 웹취약점 점검 서비스 및 웹보안 강화도구 안내 - http://krcert.or.kr 참조<br />
o 이이용자자는 Adobe Flash Player 취약점에 의의해 악성코드에 감염되지 않기<br />
위위해서는<br />
MS 윈윈도우우의의 보안 업데이이트를 항상 최신 상태로 유유지하여<br />
취약점에 노출되지 않도록 하여야 하며,<br />
으으로 검사하여야 한다.<br />
백신 프로그램을을 통하여 주기적<br />
- 10 -