삼성과 LG유플러스 이미지 혼합해 만든 악성코드 유포지, 사용자 현혹
WMIC(wmic.exe) 이용한 새로운 악성코드 생성·실행기법 발견
[보안뉴스 권 준] 최근 국내 대기업 삼성과 LG유플러스의 브랜드와 홈페이지를 교묘히 혼합해 만든 악성코드 유포지가 발견됐으며, 지난 한주 동안 해양 분야 사단법인과 게임 소셜커머스 업체 등이 해킹돼 악성코드를 유포한 것으로 분석됐다. 다음은 지난 한 주간 주요 악성링크 유포현황이다.
대기업 이미지 모방한 악성코드 유포지 발견
지난 4월 23일부터 5월 1일까지 신규로 발견된 악성코드 유포되는 약 180개 정도이며, 그 중 90% 이상은 현재 기승을 부리고 있는 CK VIP 익스플로잇 킷(Exploit Kit)을 악용한 공격으로 드러났다.
보안전문업체 에프원시큐리티에 따르면 CK VIP 익스플로잇 킷을 악용한 공격과 함께 지난 주는 삼성과 LG유플러스 이미지를 모방해 만든 악성코드 유포지가 발견돼 주의가 요구된다. 해당 페이지는 ‘samsung-vaccine’이라는 이름으로 LG유플러스 홈페이지를 도용해 만든 것으로 알려졌다.
▲ 삼성과 LG유플러스 이미지를 혼합해 만든 악성코드 유포지 samsung-vaccine.com 메인 페이지(자료: 에프원시큐리티)
이와 함께 지난 한 주간 발견된 악성코드 유포 사이트들은 시계 판매점, 산후조리원, 교통문화운동본부, 피부과 병원, 창업 컨설팅 업체 등 매우 다양했으며, 이 가운데 **.qqtuisong.com 같은 경우는 악의적으로 악성코드를 유포하기 위한 중국 도메인으로 드러났다.
이와 관련 에프원시큐리티 조재근 연구원은 “삼성이라는 유명 기업의 이름을 사칭하고, LG유플러스의 홈페이지를 도용한 사이트로 악성코드를 배포하고 있다. 현재는 구현되지 않은 페이지들도 LG유플러스 페이지에서 추출해 제작하면 완성도가 높아질 위험성이 있다”고 각별한 주의를 당부했다.
이러한 악성코드 유포 공격은 대부분 User-Agent 취약점을 이용하기 때문에 JAVA, IE, Adobe Flash Player, MS 보안 업데이트를 항상 최신으로 유지해야 하며, 최신 버전의 OS 사용과 함께 웹 브라우저의 Script 자동사용을 해제하는 것이 바람직하다.
WMIC(wmic.exe) 이용한 새로운 악성코드 생성·실행기법 발견
최근 익스플로잇 킷을 통해 드라이브 바이 다운로드로 악성코드를 생성하고 실행하는 기법 중 wmic.exe를 이용하는 기법이 새롭게 발견됐다고 하우리 측은 밝혔다.
국내에 매그니튜드 익스플로잇 킷을 이용해 악성코드를 유포하는 데 사용되는 것이 하우리 관제 시스템을 통해 최초 발견됐다는 것. 그간 파워쉘(powershell.exe)를 이용한 공격은 있었으나 이번처럼 wmic.exe를 이용한 공격은 처음 발견된 것으로 알려졌다.
WMIC(wmic.exe)는 윈도우XP 이상부터 기본적으로 제공되는 WMI(Windows Management Instrumentation) 명령줄 유틸리티로 프로세스 실행 등 다양한 명령을 실행하는 것이 가능하다.
게임 소셜커머스 홈피, 공격코드 5일째 방치
또한, 4월 마지막 주에는 신규 악성코드 경유지의 활동은 감소했지만, 파급력은 지난주 수준을 유지한 것으로 분석됐다. 빛스캔에 따르면 이는 XX경제연구원과 일부 도선사 홈페이지의 악성링크 삽입, 파일공유사이트(P2P)에서의 지속적인 유포, CK VIP 익스플로잇 킷의 업데이트에 따른 것으로 알려졌다.
특히, 지난 4월 20일에는 게임 소셜커머스 XXXX데이 홈페이지에 공격코드가 업로드된 정황이 포착됐다. 공격코드는 공격자가 사이트 관리자의 권한을 탈취해 임의의 페이지를 만들어 업로드한 것으로 추정되는데, 더욱 우려스러운 것은 해당 공격코드 페이지가 5일 이상 방치된 채 사이트가 정상 운영되고 있다는 점이라는 게 빛스캔 측의 설명이다.
▲ 지난 4월 20일 게임소셜커머스 XXXX데이에 업로드 된 공격코드(자료: 빛스캔)
한편, 3월 4주차부터 4월 4주까지의 최근 6주 동안의 주요 국가별 악성링크 경유지 도메인 통계를 살펴보면, 누적 수는 한국 53건(69.7%), 타이완 15건(19.7%), 미국 3건(3.9%), 홍콩 3건(3.9%), 싱가포르 1건(1.3%), 이탈리아 1건(1.3%) 등으로 나타났다.
이와 함께 경제 부문을 비롯해서 다양한 분야 연구원 홈페이지의 악성코드 유포도 지속되는 상황이다. 보안전문가 메가톤은 최근 해양 분야 사단법인 연구원 홈페이지에 악성코드가 발견됐다며, 최근 관련 분야 전문가들이 주로 찾는 연구원 홈페이지가 주요 공격 타깃이 되고 있어 주의가 필요하다고 당부했다.
언론사 및 의사관련 웹사이트 악성코드 유포
지난 4월 26~27일에는 특정 지방자치단체 XXX의사회와 XXXX청소년진흥원 홈페이지를 통한 악성코드 유포는 물론 언론사 홈페이지들의 광고 배너를 이용한 악성코드 유포가 확인됐다고 제로서트 측은 밝혔다.
제로서트 측은 “XXX의사회 홈페이지는 소속 의사회 정보나 공문서 등 민감한 정보도 다루고 있어 정보 유출 및 추가 피해가 없도록 전반적인 점검이 필요할 것으로 보인다”며, “특히, 최근 병원이 랜섬웨어 공격을 당하고, 작년에도 의료기관 홈페이지 악성코드가 급증하고 있다는 한국인터넷진흥원 통계자료도 있는 만큼 예방과 빠른 대응을 위해 적극적으로 노력해야 한다”고 전했다.
주간 벤더별 취약점, 총 81건
4월 마지막 주에는 총 81건의 벤더별 취약점이 발견된 가운데 구글 45건(56%), 오라클 33건(41%), 시스코 3건(4%) 순으로 집계됐다.
▲ 4월 4주차 벤더별 취약점(출처: SK인포섹 블로그)
지난 한 주간 탐지된 공격 유형은 Denial_Of_Service(86.46%), 웹 해킹(5.34%) 순으로 높은 점유율을 차지했다. 탐지된 패턴은 TLS Malformed Handshake DoS가 1,543,799건(64.24%)으로 가장 많았다.
모바일 바이러스, 지난 4월 25~26일 급증
모바일 악성코드는 사용자가 원하지 않는 프로그램으로 사용자에게 불편함을 제공하는 PUA(Potentially Unwanted Application)가 가장 많이 유포된 것으로 집계됐지만, 지난 4월 25~26일에는 모바일 바이러스가 급증한 것으로 분석됐다.
▲ 최근 2주간(4월 13~26일) 모바일 악성코드 통계(자료: NSHC)
NSHC에서 발표한 최근 2주간(4월 13~26일) 모바일 악성코드 통계에 따르면 25일(바이러스 2,626개)과 26일(바이러스 2,520개)을 제외하곤 PUA 악성코드가 가장 기승을 부린 것으로 나타났다.
[권 준 기자(editor@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
WMIC(wmic.exe) 이용한 새로운 악성코드 생성·실행기법 발견
[보안뉴스 권 준] 최근 국내 대기업 삼성과 LG유플러스의 브랜드와 홈페이지를 교묘히 혼합해 만든 악성코드 유포지가 발견됐으며, 지난 한주 동안 해양 분야 사단법인과 게임 소셜커머스 업체 등이 해킹돼 악성코드를 유포한 것으로 분석됐다. 다음은 지난 한 주간 주요 악성링크 유포현황이다.
대기업 이미지 모방한 악성코드 유포지 발견
지난 4월 23일부터 5월 1일까지 신규로 발견된 악성코드 유포되는 약 180개 정도이며, 그 중 90% 이상은 현재 기승을 부리고 있는 CK VIP 익스플로잇 킷(Exploit Kit)을 악용한 공격으로 드러났다.
보안전문업체 에프원시큐리티에 따르면 CK VIP 익스플로잇 킷을 악용한 공격과 함께 지난 주는 삼성과 LG유플러스 이미지를 모방해 만든 악성코드 유포지가 발견돼 주의가 요구된다. 해당 페이지는 ‘samsung-vaccine’이라는 이름으로 LG유플러스 홈페이지를 도용해 만든 것으로 알려졌다.
▲ 삼성과 LG유플러스 이미지를 혼합해 만든 악성코드 유포지 samsung-vaccine.com 메인 페이지(자료: 에프원시큐리티)
이와 함께 지난 한 주간 발견된 악성코드 유포 사이트들은 시계 판매점, 산후조리원, 교통문화운동본부, 피부과 병원, 창업 컨설팅 업체 등 매우 다양했으며, 이 가운데 **.qqtuisong.com 같은 경우는 악의적으로 악성코드를 유포하기 위한 중국 도메인으로 드러났다.
이와 관련 에프원시큐리티 조재근 연구원은 “삼성이라는 유명 기업의 이름을 사칭하고, LG유플러스의 홈페이지를 도용한 사이트로 악성코드를 배포하고 있다. 현재는 구현되지 않은 페이지들도 LG유플러스 페이지에서 추출해 제작하면 완성도가 높아질 위험성이 있다”고 각별한 주의를 당부했다.
이러한 악성코드 유포 공격은 대부분 User-Agent 취약점을 이용하기 때문에 JAVA, IE, Adobe Flash Player, MS 보안 업데이트를 항상 최신으로 유지해야 하며, 최신 버전의 OS 사용과 함께 웹 브라우저의 Script 자동사용을 해제하는 것이 바람직하다.
WMIC(wmic.exe) 이용한 새로운 악성코드 생성·실행기법 발견
최근 익스플로잇 킷을 통해 드라이브 바이 다운로드로 악성코드를 생성하고 실행하는 기법 중 wmic.exe를 이용하는 기법이 새롭게 발견됐다고 하우리 측은 밝혔다.
국내에 매그니튜드 익스플로잇 킷을 이용해 악성코드를 유포하는 데 사용되는 것이 하우리 관제 시스템을 통해 최초 발견됐다는 것. 그간 파워쉘(powershell.exe)를 이용한 공격은 있었으나 이번처럼 wmic.exe를 이용한 공격은 처음 발견된 것으로 알려졌다.
WMIC(wmic.exe)는 윈도우XP 이상부터 기본적으로 제공되는 WMI(Windows Management Instrumentation) 명령줄 유틸리티로 프로세스 실행 등 다양한 명령을 실행하는 것이 가능하다.
게임 소셜커머스 홈피, 공격코드 5일째 방치
또한, 4월 마지막 주에는 신규 악성코드 경유지의 활동은 감소했지만, 파급력은 지난주 수준을 유지한 것으로 분석됐다. 빛스캔에 따르면 이는 XX경제연구원과 일부 도선사 홈페이지의 악성링크 삽입, 파일공유사이트(P2P)에서의 지속적인 유포, CK VIP 익스플로잇 킷의 업데이트에 따른 것으로 알려졌다.
특히, 지난 4월 20일에는 게임 소셜커머스 XXXX데이 홈페이지에 공격코드가 업로드된 정황이 포착됐다. 공격코드는 공격자가 사이트 관리자의 권한을 탈취해 임의의 페이지를 만들어 업로드한 것으로 추정되는데, 더욱 우려스러운 것은 해당 공격코드 페이지가 5일 이상 방치된 채 사이트가 정상 운영되고 있다는 점이라는 게 빛스캔 측의 설명이다.
▲ 지난 4월 20일 게임소셜커머스 XXXX데이에 업로드 된 공격코드(자료: 빛스캔)
한편, 3월 4주차부터 4월 4주까지의 최근 6주 동안의 주요 국가별 악성링크 경유지 도메인 통계를 살펴보면, 누적 수는 한국 53건(69.7%), 타이완 15건(19.7%), 미국 3건(3.9%), 홍콩 3건(3.9%), 싱가포르 1건(1.3%), 이탈리아 1건(1.3%) 등으로 나타났다.
이와 함께 경제 부문을 비롯해서 다양한 분야 연구원 홈페이지의 악성코드 유포도 지속되는 상황이다. 보안전문가 메가톤은 최근 해양 분야 사단법인 연구원 홈페이지에 악성코드가 발견됐다며, 최근 관련 분야 전문가들이 주로 찾는 연구원 홈페이지가 주요 공격 타깃이 되고 있어 주의가 필요하다고 당부했다.
언론사 및 의사관련 웹사이트 악성코드 유포
지난 4월 26~27일에는 특정 지방자치단체 XXX의사회와 XXXX청소년진흥원 홈페이지를 통한 악성코드 유포는 물론 언론사 홈페이지들의 광고 배너를 이용한 악성코드 유포가 확인됐다고 제로서트 측은 밝혔다.
제로서트 측은 “XXX의사회 홈페이지는 소속 의사회 정보나 공문서 등 민감한 정보도 다루고 있어 정보 유출 및 추가 피해가 없도록 전반적인 점검이 필요할 것으로 보인다”며, “특히, 최근 병원이 랜섬웨어 공격을 당하고, 작년에도 의료기관 홈페이지 악성코드가 급증하고 있다는 한국인터넷진흥원 통계자료도 있는 만큼 예방과 빠른 대응을 위해 적극적으로 노력해야 한다”고 전했다.
주간 벤더별 취약점, 총 81건
4월 마지막 주에는 총 81건의 벤더별 취약점이 발견된 가운데 구글 45건(56%), 오라클 33건(41%), 시스코 3건(4%) 순으로 집계됐다.
▲ 4월 4주차 벤더별 취약점(출처: SK인포섹 블로그)
지난 한 주간 탐지된 공격 유형은 Denial_Of_Service(86.46%), 웹 해킹(5.34%) 순으로 높은 점유율을 차지했다. 탐지된 패턴은 TLS Malformed Handshake DoS가 1,543,799건(64.24%)으로 가장 많았다.
모바일 바이러스, 지난 4월 25~26일 급증
모바일 악성코드는 사용자가 원하지 않는 프로그램으로 사용자에게 불편함을 제공하는 PUA(Potentially Unwanted Application)가 가장 많이 유포된 것으로 집계됐지만, 지난 4월 25~26일에는 모바일 바이러스가 급증한 것으로 분석됐다.
▲ 최근 2주간(4월 13~26일) 모바일 악성코드 통계(자료: NSHC)
NSHC에서 발표한 최근 2주간(4월 13~26일) 모바일 악성코드 통계에 따르면 25일(바이러스 2,626개)과 26일(바이러스 2,520개)을 제외하곤 PUA 악성코드가 가장 기승을 부린 것으로 나타났다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
