Newsletter2013.05.11 02:32

보안위협 및 바이러스동향 리포트(2013년 4월 15일~2013년 5월 5일)

 

최신 위협 동향
Internet Explorer 8에 영향을 미치는 취약점 악용이 보고됨에 따라 Microsoft에서 보안 공지 2847140을 발표했습니다.

최초 보고에 따르면 미국 정부 기관의 웹사이트가 감염되어 워터링 홀(Watering Hole) 공격이라고 알려진 익스플로잇을 호스팅한 것으로 보입니다. 해당 사이트를 방문하면 리디렉션되어 백도어가 페이로드 형태로 다운로드되었습니다.

이 취약점은 Microsoft 보안 공지에서 CVE-2013-1347로 지정되었습니다. 분석에 따르면 이번 취약점은 2013년 1월 발표된 MS13-008 패치로 해결되었던 취약점인 CVE-2012-4792와 거의 동일합니다. 사용자는 Microsoft에서 제공하는 패치를 즉시 적용할 것을 권장합니다. 현재 Microsoft는 이 취약점에 의한 피해를 줄일 수 있는 해결책을 제시하고 있습니다.

 

바이러스 하이라이트

 이름  W32.Inabot 
 유형  웜
 영향을 받는 시스템  Windows 2000, 7, NT, Vista, XP 

W32.Inabot은 이동식 드라이브와 네트워크공유를통해 확산되고 감염 시스템에서 정보를 훔치는 웜입니다.
W32.Inabot이 실행되면  %UserProfile%\Application Data 에 자가 복제하고, 임의의 이름으로 자신의 이름을 변경합니다.

또한, 이 웜은 지정된 명령 및 제어(C&C) 서버에 접속하려고 시도합니다. 원격 공격자는 다음 작업을 수행할 수 있습니다.
1) 다른 악성 파일을 다운로드하고 실행
2) 운영 체제 버전, 사용자 ID, 암호 등의 사용자 정보 해킹
3) 분산형 서비스 거부(DDoS) 공격 수행
4) 이동식 드라이브 및 네트워크 공유를 통해 웜 유포

 

최상위 위협 요소 게시판

순위

이름 

유형

위험수준

동작/설명

1

Trojan.ADH.2 트로이목마 낮음 Trojan.FakeAV는 시스템의 보안상태를 의도적으로 틀리게 표시하는 트로이목마 프로그램에서 발견됩니다.

2

Trojan.Gen.2 트로이목마 매우낮음 Trojan.Gen.2는 여러 트로이목마 프로그램에서 일반탐지로 발견됩니다.

3

Trojan Horse 트로이목마 매우낮음

Trojan Horse는 유해하지않은 응용프로그램이나 파일인것처럼 가장한 악성 소프트웨어프로그램을 식별할때 사용하는 탐지 이름입니다.

4

Adware.Popuppers 애드웨어 높음 Adware.Popuppers는 웹광고를 표시하는 프로그램입니다.

5

Adware.Adpopup 애드웨어 높음 Adware.Adpopup은 웹을탐색하면서 방문했던 URL을 기록한다음팝업광고를생성하는애드웨어입니다.

6

Trojan.Gen 트로이목마 매우낮음 Trojan.Gen은 여러 트로이목마프로그램에서 일반탐지로 발견됩니다.

7

W32.Downadup.B 낮음 W32.Downadup.B는 Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability(BID 31874)를 악용하여 확산되는 웜입니다. 또한 취약한 암호로 보호되는 네트워크 공유로 확산되고 보안관련 웹사이트에 대한액세스를 차단합니다.

8

SecurityRisk.Downldr 기타 높음 SecurityRisk.Downldr는 인터넷에서 파일을 다운로드하려고시도하는 보안위험요소에서 일반탐지로 발견됩니다.

9

Trojan.Dropper 트로이목마 매우낮음 Trojan.Dropper는 악성코드파일을 감염시스템에 배포하는악성소프트웨어 프로그램을 식별할때 사용하는 탐지이름입니다.

10

Trojan.FakeAV 트로이목마 매우낮음 Trojan.FakeAV는 시스템의 보안상태를 의도적으로 틀리게 표시하는 트로이목마 프로그램에서 발견됩니다.

 

*출처: 시만텍코리아

저작자 표시
신고
Posted by 엠플 (주)엠플

APT 의 정의
APT 공격에 대한 이해 및 차단 전략
2
Advanced persistent threat
A : IT 인프라와 관련된 다양한 기술들을 이용
P : 목적 달성할때까지 지속적 공격
T : 자동화된 툴을 사용하는 것이 아닌 표적 분석을 통한 다양한 공격 시도

 

APT 공격의 특징

APT 공격은 주요 공격수단으로 표적공격을 이용하며, 이밖에 드라이브바이다운로드(Drive-by-downloads), SQL 인젝션, 악성코드, 피싱, 스팸 등 다양한 공격기법들을 종합적으로 이용한다

1.공격대상만을 위한 고도의 맞춤형 툴과 제로데이 취약점, 루트킷 기법 등의 침입 기술을 사용한다.
2.보안 탐지를 회피하기 위해 은밀히 잠복한 상태에서 지속적으로 공격을 가한다.
3.주요 목적은 군사, 정치, 경제 분야의 국가 기밀정보를 수집하기 위함이다.
4.공격에 동원되는 제로데이 취약점이나 루트킷 기법 등은 충분한 자금과 인력 지원을 필요로 한다는 점으로 미루어 볼 때 APT 공격은 군 또는 국가 정보기관의 지원을 받는 것으로 보인다.
5.일반 기업체가 아닌 정부기관, 방산업체, 글로벌 제조업체, 국가 핵심 기간산업 운용업체 및 관련 협력사 등 전략적으로 중요한 기관을 표적으로 삼을 가능성이 크다.

 

-. APT(Advanced Persistent Threat) Attack (1/3)

초기감염경로

Spear Phishing - 관심 있는 사람에게 E메일을 보냄.

Watering Hole attack - 공격대상이 좋아할 만한 웹사이트를 먼저 감염시킨 후 , 그들이 올 때까지 기다림.

 

- APT Attack (2/3) - Spear Phishing 동작 원리

 

 

 

- APT Attack (3/3) – Watering Hole Attack 동작 원리

 

 

 

APT 의 공격 프로세스

 

1. 침투

공격자가 취약한 시스템이나 직원들을 악성코드로 감염시켜 네트워크 내부로 침투.

2. 검색

침투한 내부 시스템 및 인프라 구조에 대한 정보를 수집한 후 다음 단계를 계획.

3. 수집

보호되지안흔 시스템상의 데이터 수집 또는 시스템 운영방해.

4.유출

공격자의 근거지로 데이터 전송 시스템 운영 방해 또는 장비 파괴.

 

-공격방법

소셜 엔지니어링 , 제로데이 취약점 , SQL인젝션

 

APT 공격에 대한 보호 방안

 

APT 공격에 대한 symantec 대응 전략.

 

SWG, SMG

-악성코드 유입 경로인 Web 접근시 악성 URL 접근 차단 및 모니터링
-Malware 다운로드 시 백신엔진과 평판기능을 통한 차단 및 모니터링
-좀비PC 감염 탐지 및 C&C 서버와의 통신 차단
-악성코드, 악의적 URL이 첨부된 메일에 대한 차단

 

SEP

-취약점을 이용한 네트웍 공격시 IPS 기능을 이용한 차단
-파일 다운로드 및 검사시 평판 기능을 이용한 차단
-파일 PC 저장 시 시그니쳐 및 휴리스틱 기반의 바이러스 차단
-파일이 실행될 때 행위 기반의 분석을 통한 탐지 및 차단

 

CSP

-허용되지 않은 변경 방지
-등록되지 않은 프로세스/파일/레지스트리에 대한 실행 통제,
-확장자 및 정의한 파일에 대한 파일 변조 차단

 

CCS

-취약점을 이용한 공격 예방을 위한 사전 점검
-위험에 대한 가시성 확보
-위험 분석을 통한 대응 우선순위 결정

 

SEP 인사이트

 

 

3세대 안티바이러스 솔루션

 

 

 

 

 

 

 

APT 공격에 대한 SYMANTEC 대응전략

Web gateway

강력한 symantec web gateway 보호기술

 

 

 

Malicious Activity Assessment

 

 

Symantec Web Gateway 어플라이언스

 

 

 

진단결과

 

 

봇넷 감염 PC 상세정보 (1) – 203.252.197.149

 

 

클라이언트 어플리케이션 보고서 (상세)

 

 

바이러스 다운로드

- 기간 내 총 1,246 건의 바이러스 다운로드 탐지

 

APT 공격의 효율적인 대응 방안

 

 

 

전석준 | 기업영업부
Email: sjjun@impl.co.kr | Phone: 02 501 0223 | Direct: 070 8796 7538 | Mobile: 010 3287 4003 | Fax: 02 6937 0223

Software & Solution News: www.mplsoft.co.kr

 

저작자 표시
신고
Posted by 엠플 (주)엠플