반응형
지난 10월 11일 자체시스템에서 수집 된 파일 중 의심스러운 스크립트가 확인되었다.
해당 스크립트를 통해 다운로드 된 파일은 3월 20일 발생했던 사이버테러에 사용 되었던 악성코드와 유사한 파일로 확인된다.
3.20 사이버테러 이후 처음나오는 것은아니며, 5월 31일에 추가적으로 3.20 사이버테러와 유사한 악성코드가 다시 발견 된 경우도
있었다.
있었다.
이번 10월 11일에 발견 된 스크립트 파일은 이전과 동일하게 날씨닷컴에서 사용하는 위젯 서비스를 통해 다수의 웹사이트에
경유지 역활을 수행했다. (실제 다수 페이지에 날씨위젯이 사용되고 있다)
경유지 역활을 수행했다. (실제 다수 페이지에 날씨위젯이 사용되고 있다)
- 10월 11일 확인 된 스크립트 및 실행파일 주소
http://www.nalsee.com/*******/*****_image.js
http://www.kc****.org/***/images/logo.jpg (알약 탐지명 : Trojan.Agent.TroyM.A)
- 10월 11일 사용 된 경유지 서버 리스트
http://www.artoffice.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.bikemania.cc http://www.nalsee.com/*******/*****_image.js
http://www.jurassicresort.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.djpachul.net http://www.nalsee.com/*******/*****_image.js
http://www.machoen.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.bangrangja.com http://banner.nalsee.com/*******/*****_image.
http://www.cargillfeed.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.jinhaenh.com http://www.nalsee.com/*******/*****_image.js
http://www.jinjub.com http://www.nalsee.com/*******/*****_image.js
http://www.busta.or.kr http://www.nalsee.com/*******/*****_image.js
http://www.heungyangnh.com http://www.nalsee.com/*******/*****_image.js
http://www.jajae1009.com http://www.nalsee.com/*******/*****_image.js
http://www.dknonghyup.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.ecolaw.co.kr http://banner.nalsee.com/*******/*****_image.js
http://www.aeromaster.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.ibs21.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.ddubug.com http://www.nalsee.com/*******/*****_image.js
http://www.06bh.com http://www.nalsee.com/*******/*****_image.js
http://www.dms114.com http://www.nalsee.com/*******/*****_image.js
http://www.idongchon.co.kr http://www.nalsee.com/*******/*****_image.js
http://hanbit.tjapt.kr http://banner.nalsee.com/*******/*****_image.js
http://www.kbvma.or.kr http://www.nalsee.com/*******/*****_image.js
http://138.0691.org http://www.nalsee.com/*******/*****_image.js
http://www.seromtrophy.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.gsclub.or.kr http://www.nalsee.com/*******/*****_image.js
http://www.lcnmotors.com http://www.nalsee.com/*******/*****_image.js
http://www.inlinetoday.com http://www.nalsee.com/*******/*****_image.js
http://www.smtsystem.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.taeangt.net http://banner.nalsee.com/*******/*****_image.js
http://www.energyzone.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.hyungze.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.mightyclub.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.gsnlcf.com http://www.nalsee.com/*******/*****_image.js
http://www.gsnonghyup.com http://www.nalsee.com/*******/*****_image.js
http://www.jigoknong.com http://www.nalsee.com/*******/*****_image.js
http://www.oganh.com http://www.nalsee.com/*******/*****_image.js
http://www.gochonnh.com http://www.nalsee.com/*******/*****_image.js
http://www.dongandong.com http://www.nalsee.com/*******/*****_image.js
http://www.damyangair.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.badasamo.com http://www.nalsee.com/*******/*****_image.js
http://www.pancos.co.kr http://www.nalsee.com/*******/*****_image.js
http://www.iser.or.kr http://www.nalsee.com/*******/*****_image.js
해당 *****_image.js 스크립트를 살펴보면 5월 31일에 발견 된 스크립트와 유사한 모양을 하고 있으며,
사용 된 프로그램의 종류만 다른 것을 알 수 있다.
아래의 그림은 5월 31일 발견 된 스크립트로 "제큐어웹 ActiveX"의 모듈을 타겟으로 설계되었다.
일주일 후 인터넷침해대응센터(KISA)에서는 보안 업데이트 공지사항을 내놓았다.
이번에 발견 된 스크립트는 한국모바일인증 1.4 ActiveX 모듈을 타겟으로 설계되었으며, 3일 후 인터넷침해대응센터(KISA)에서
마찬가지로 공지사항을 내놓았다.
마찬가지로 공지사항을 내놓았다.
이미 지난 제큐어웹은 버리고, 이번에 발견 된 한국모바일인증 웹 매니저에 대해서만 살펴보자.
위의 그림에서 보면 "CLSID:1D5DA295-5704-4A1A-B547-D0829EAE44CE" 레지스트리가 존재하는데,
이는 "한국모바일인증 웹 매니저 1.4" 모듈이 설치 되면 생성되는 레지스트리키이다.
이는 "한국모바일인증 웹 매니저 1.4" 모듈이 설치 되면 생성되는 레지스트리키이다.
이 내용으로 유추 해 보자면, 이번 제작자는 한국모바일인증 웹 매니저 1.4 가 설치 된 사용자만 노렸다는 말이 된다.
하지만 여기서 중요한 점은 한국모바일인증 웹 매니저는 현재 1.5 버전으로 업데이트(8월 21일) 된지 1달이나 지났기 때문에,
일반적인 사용자가 대상이 아니라 특정 기업을 타겟으로 잡은것이 아닌가 하는 개인적인 판단이 들었다.
일반적인 사용자가 대상이 아니라 특정 기업을 타겟으로 잡은것이 아닌가 하는 개인적인 판단이 들었다.
한국모바일인증을 사용하는 고객사는 일반기업, 지방자치단체, 정부기관, 교육기관 등 생각보다 많다.
그래도 다행스럽게 한국모바일인증 업체의 빠른 대처로 10월 14일 한국모바일인증 웹 매니저 1.6 버전으로 업데이트 되었다.
(현재 설치되는 한국모바일인증 웹 매니저는 모두 1.6버전이다)
(현재 설치되는 한국모바일인증 웹 매니저는 모두 1.6버전이다)
- 한국모바일인증 웹 매니저 업데이트 현황
* KMCWebManager_1.0 : 웹컨트롤 1.0 (2011.06.24)
* KMCWebManager_1.1 : 웹컨트롤 1.1 (2012.10.15)
* KMCWebManager_1.2 : 웹컨트롤 1.2 (2012.10.29)
* KMCWebManager_1.3 : 웹컨트롤 1.3 (2013.04.29)
* KMCWebManager_1.4 : 웹컨트롤 1.4 (2013.07.31)
* KMCWebManager_1.5 : 웹컨트롤 1.5 (2013.08.21)
* KMCWebManager_1.6 : 웹컨트롤 1.6 (2013.10.14)
- 한국모바일인증 웹 매니저 ActiveX CLSID 리스트
KMCWebManager_1.0 : CLSID:A129273F-CFA6-432F-8641-D46827453955
KMCWebManager_1.1 : CLSID:4812C2D3-ADBF-4EA2-986A-BDB5D734F68A
KMCWebManager_1.2 : CLSID:53988776-6FD2-4950-B43F-F7E75FB8DCB9
KMCWebManager_1.3 : CLSID:2DEBB91B-6EE8-42D3-88FE-4B23D55BE746
KMCWebManager_1.4 : CLSID:1D5DA295-5704-4A1A-B547-D0829EAE44CE
KMCWebManager_1.5 : CLSID:23E3FDD4-AA11-482E-A35C-C4E521D59097
KMCWebManager_1.6 : CLSID:C32BEEC2-CA90-42A8-B002-2A73EBBEB5C4
'IT 보안소식' 카테고리의 다른 글
| 이스트소프트(ESTsoft), 제주 첨단과학기술단지에 "이스트소프트 제주캠퍼스" 개소 (0) | 2013.10.22 |
|---|---|
| 구글 크롬(Google Chrome), 30.0.1599.101 업데이트!! (0) | 2013.10.18 |
| 인터넷침해대응센터(KrCert), 사이버공격 가능성이 높아짐에 따른 사전대비차원의 "관심" 경보 발령 (2013-10-15) (0) | 2013.10.15 |
| [스마트폰 사기] 국정원,경찰청,금융감독원,쇼핑몰,보안어플,청첩장,연예인노출,부친상 위장 스미싱 SMS 주의(2013-10-13) (0) | 2013.10.13 |
| 네이트온(NateOn), 네이트온 5.1.1.0 업데이트 안내 (2013-10-07) (0) | 2013.10.09 |
댓글