| 3.20 사이버테러 이후 파밍주의보 발령! | 2013.03.27 |
일반 사용자를 노린 악성코드 계속 유포중...감염확산 우려 [보안뉴스 김경애] 지난 20일 발생한 주요 언론사 및 금융권 전산망 마비사태를 기점으로 악성링크 도메인이 기승을 부리고 있다. 특히, 파밍 공격으로 연결된 악성사이트가 PC를 부팅할 수 있는 MBR 영역을 파괴해 피해가 확산될 것으로 보인다. 이에 따라 사용자의 각별한 주의가 요구된다.
▲주간 유포된 도메인 수
빛스캔 주간동향 브리핑 자료에 따르면 3월 4주차에 악성링크로 유포된 전체 도메인 수는 1,792건으로 지난 한주에 비해 약 100건 이상 증가한 것으로 집계됐다. 지난 20일, 금융권 및 방송국 타깃을 시작으로 주말에는 변종이 출현해 일반사용자에게 파밍 수법으로 공격한 것으로 드러났다. 이후 특정 사이트에서 명령받아 MBR 영역을 파괴해 사용자의 2차 피해를 유발할 수 있는 악성코드가 발견된 것. 현재도 일반 사용자를 노린 악성코드는 계속 유포되고, 지속적인 감염이 이뤄지고 있는 것으로 조사됐다. 이에 따라 예방책이 없다면 앞으로 지속적인 피해가 있을 것으로 예상된다. 이에 빛스캔은 사이버공격으로부터 피해를 최소화하기 위해서는 모든 방문자를 대상으로 한 대량 감염 피해가 최소화될 수 있도록 꾸준히 노력하고, 감염 매개체로 이용되는 웹 서비스들의 취약성을 점진적으로 개선해야 한다고 밝혔다.
▲시간대별 통계
유포한 시간대 별로 살펴보면 주중에 많은 활동을 보였으며, 주말에도 감염시키기 위해 지속적인 공격을 펼친 것으로 조사됐다. 또한, 주중의 활동이 주말과 비슷한 것으로 나타나 빠른 대응과 함께 긴밀한 협력으로 사용자의 보호를 강화해야 한다고 빛스캔은 설명했다.
▲대량 악성코드 유포에 이용된 취약점 타임라인
2월 3주차부터 3월 4주까지 최근 1달 동안의 주요 국가별 악성링크 도메인 통계를 살펴보면, 누적 수는 한국이 65건(35.9%), 미국이 84건(46.4%), 중국이 18건(9.9%), 홍콩이 10건(5.5%) 등으로 나타났다. 추이를 살펴보면 미국발 악성링크 도메인이 2월 3주부터 전체 발견된 도메인의 절반 이상을 차지했으며, 3월 2주부터는 다시 한국발 악성링크 도메인이 다수를 차지한 것으로 나타났다. 금주에는 다시 미국발 악성링크 도메인이 다수를 차지한 것으로 조사됐다.
▲국가별 악성링크 도메인 통계
주간 국가별 악성링크 도메인 통계를 분석한 결과, 한국이 9건(23.1%), 미국이 17건(43.6%), 중국이 4건(10.3%), 홍콩이 3건(7.7%), 식별 불가 6건(15.4%)을 차지했다.
빛스캔 측은 3.20 전산망 사이버테러가 발생하기 이전인 지난 3월 11~17일 사이 이상징후를 탐지해 사전 경고했으며, 사이버테러 사건 발생한 이후, 분석정보를 기관 및 기업에 공유한 바 있다. 공유한 정보는 KBS.exe, imbc.exe, SBS.exe를 포함한 바이너리 571종과 분석정보 193종, C&C 주소 137종, hades08 등이다.
특히, 지난 17일 저녁 8시 52분 ‘imbc.exe’란 특정이름의 악성파일이 최초 탐지됐으며, 18일 오전 6시 9분 악성파일 감염 이후 연결된 것으로 밝혀졌다. 날짜별 확인 정보 및 정보공유 현황은 다음과 같다.
△C&C연결 주소 차단 현황(3월24일 차단 C&C 1차 정보공유) h***1.h****0*.com:5***(1**.1*.1**.12*) h***2.h****0*.com:5***(1**1*.1**.1*2) h***3.h****0*.com:5***(1**.7*.2**.1*3)
△파밍기능 및 시스템 파괴 기능의 변종 탐지 및 C&C연결 주소 변경 확인(3월 24일 차단 C&C 2차 정보공유) **1.h****0*.com(1**.1*.1**.1**)
**1.o**p1**.com(1**.1*.1**.1**) www.kt*****.com(9*.1**.1**.21/*) [김경애 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
