• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

해커조직과 보안담당자 간 숨바꼭질, 본격 시작되나? 2012.11.19

해커조직, 악성링크 및 웹 호스팅 업체까지 변경하면서 추적 피해

中 공다팩 악용 악성코드 유포 증가...해당문자열 페이지 필터링해야 


[보안뉴스 권 준] 최근 사이버공격자들은 웹사이트에 악성코드를 대량으로 유포한 후, 악성링크를 수시로 계속 변경하면서 추적을 피하고 있는 것으로 나타났다. 악의적 해커와 기업·기관의 보안담당자 간에 숨고 추적하는 본격적인 숨바꼭질이 이어지고 있는 셈이다.

해커조직들은 국내 기업 및 기관들에게 자신들의 다단계유포망이 포착되자 악성링크는 물론 웹 호스팅 업체까지 변경하는 등 추적을 피하기 위해 다양한 방법을 동원하고 있다. [자료 : 빛스캔]   


빛스캔과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스인 11월 2주차 인터넷환경 위협분석 보고서 분석결과에 따르면, 공격자들이 자신들의 다단계유포망(MalwareNet)이 탐지되고 있다는 사실을 느끼면서 악성링크를 주말에 집중적으로 변경하는 것으로 나타났다. 


이와 관련 빛스캔 전상훈 이사는 “공격자들이 2011년 3월부터 2012년 11월 1주차까지 무려 1년 8개월 동안 사용했던 /pic/img.js 라는 구조를 /home/psd.js 구조로 변경했다”며, “빛스캔에서 매주 공격에 사용됐던 악성링크 주소를 공개하고 있고, 이로 인해 일부 웹방화벽에서 ‘img.js’ 를 탐지해 차단하는 등 자신들의 공격이 탐지되고 있다는 것을 느끼고 변경한 것으로 판단된다”고 밝혔다. 


덧붙여 그는 “악성링크 디렉토리명과 파일명이 바뀌었고 악성코드를 업로드 시켜놓는 주 Hosting 업체까지 변경했다”며, “이는 빛스캔에서 매주 발행하는 구독 서비스를 활용하여 각 기관·기업에서 해당 Hosting 업체 IP를 모두 접속 차단함에 따라 악성코드 감염 수치가 급감하는 것을 파악하고 공격자들이 주 Hosting 업체를 변경한 것으로 판단된다”고 밝혔다.


이렇듯 Hosting 업체를 변경하는 것에 한발 더 나아가 국내 웹 사이트를 해킹하고 그 곳에서 악성코드를 유포하고 있다는 것. 이렇게 할 경우 국내 정상 사이트 링크로 오인될 확률이 높고, 신뢰받는 사이트일 경우 화이트리스트로 등재되어 탐지 및 보호 도구들을 우회하는 사례가 많기 때문에 이러한 지능적인 공격에 대응할 수 있는 실질적인 대책을 마련해야 한다는 게 빛스캔 측의 지적이다. 


특히, 최근 중국에서 작성된 것으로 알려진 일명 ‘공다팩(GongDa Pack)’을 이용한 악성코드 유포가 꾸준히 활용되고 있는 것으로 나타나 주의가 요구된다. 빛스캔의 PCDS 통계에 따르면 해당 웹 익스플로잇 툴킷은 2012년 초부터 사용되고 있으며, 2012년 11월 현재까지 전체 공격의 대부분을 차지할 정도로 그 활용이 지속적으로 증가하고 있는 것으로 분석됐다.


이렇듯 공다팩을 활용한 공격은 앞으로도 증가할 것으로 예상됨에 따라 웹방화벽 등에서 해당 문자열이 포함된 페이지를 필터링하는 등의 조치가 필요할 것으로 보인다. 이와 함께 빛스캔 측에서 분석한 11월 2주차 인터넷 보안위협의 특징들은 다음과 같다.

 

·9월 4주차, 10월 2주차 이후 또다시 DDoS 공격 수행 악성코드 유포

·8월 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속 - 부가적   인 위험 증가(감염된 좀비PC들을 활용한 추가위험이 발생할 수 있는 상태)

·APT 형태의 악성코드 유포 계속 - 권한 획득, 내부망 스캔, 추가 코드 다운을 위   한 다운로더 다수 확인 지속

·MalwareNet(다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성   화 - MalwareNet 상당수가 C&C 봇넷 에이전트 유포에 이용

·3.4 및 7.7 DDos 형태와 유사성을 지니는 다운로더 발견

·최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태와 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띠고 있으며, 탐지 및 추적에 어려움 예상

·백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속

·게임계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정탈취형 악성코드 계속

·백신 업데이트 IP 주소 목록을 내장한 악성코드 발견 지속. 향후 추가피해 예상


이와 관련 빛스캔 측은 “11월 1주차에 대규모로 발견된 C&C 연결을 시도하는 봇넷 에이전트의 경우 금주 차에는 감소된 형태를 보이고 있다”면서도 “그러나 이미 감염된 좀비 PC들이 상당한 수치에 이를 것으로 예상되기 때문에 추가 피해를 예방하기 위해 문제가 되는 C&C 서버들의 주소는 반드시 차단하고, 해당 URL 및 IP로 접속하는 PC가 있을 경우 네트워크 장비를 이용해 충분한 조치를 취해야 한다”고 가급적 초기화 방법을 권장했다.  


한편, 빛스캔의 PCDS(Pre Crime Detect System)를 통해 탐지 및 분석되는 정보들은 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관장소, 악성파일 변화 추이, 봇넷 구축을 위해 감염 이후 연결을 시도하는 C&C 서버 정보들로, 각 부분별로 발전적인 협력을 원할 경우 이메일(info@bitscan.co.kr)로 문의하면 된다.

[권 준 기자(editor@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>