1. 특명! 국내 주요 사이트 관리자 계정을 보호하라.

잉카인터넷 대응팀은 국내 웹 사이트 관리자 계정을 노린 악성파일 변종을 추가로 발견하였다. 해당 악성파일은 국내 특정 웹 사이트 관리자의 계정정보를 집중적으로 수집시도하고 있기 때문에 각별한 주의가 필요하다. 공격대상에 포함된 곳들은 언론사, 광고사, 포털사, 게임사, 보안장비 및 기업, 교통, 통신, 커뮤니티 등 다양한 분야의 웹 사이트가 포함되어 있으며, 일부는 정상적으로 접근이 가능한 상태로 운영되고 있는 상태이다.

악성파일의 공격 대상 리스트에 포함된 경우 이미 악의적인 공격자에게 관리자 페이지가 노출된 상태이기 때문에 각 기업은 관리자 권한이 탈취되지 않도록 외부의 접근을 제어함과 동시에 관리자 페이지 주소를 정기적으로 변경하고, 허가된 사용자만 로그인이 가능하도록 접근제어 등의 보안강화 조치가 요구된다. 더불어 관리자 암호나 보안을 강화하기 위한 꾸준한 관심과 노력이 필요하다.

2. 악성파일 유포 및 정보

이러한 종류의 악성파일에 감염될 경우 웹 사이트 관리자 권한 노출과 동시에 기업 내부망에 해커가 침투할 수 있는 통로를 열어줄 수 있게 된다. 따라서 웹 사이트 관리자들은 이런 부분에 소홀함이 없도록 외부의 접근을 차단하고 허가된 이용자만 로그인이 가능하도록 하는 다양한 보안장치 설정이 중요하다.

[주의]국내 웹 사이트 관리자 계정을 노린 악성파일 등장
☞ http://erteam.nprotect.com/438

[긴급]6.25 사이버전, 신문사, PC방 프로그램 업데이터 모듈공격 최초공개
☞ http://erteam.nprotect.com/427

[긴급]카카오톡 위장 악성앱 신종공격 기법 등장
☞ http://erteam.nprotect.com/428

[긴급]6.25 사이버전, 국내 주요 사이트 해킹 공격 받는 중
☞ http://erteam.nprotect.com/429


악성파일은 기존 변종들과 마찬가지로 마치 이미지 파일처럼 보이도록 확장자를 JPG 이름으로 위장하여 미국의 특정 호스트에서 배포 중에 있다. 이 곳에서 2013년 10월 18일과 10월 23일 변종이 2차례 유포된 정황이 확인됐고, 유관기관 등에 신속하게 악성파일 유포지 정보를 공유하고 차단협조를 요청한 상태이다.

  


악성파일은 온라인 게임 계정 탈취 기능외에 국내 특정 웹 사이트들의 관리자 사이트 정보를 수집 시도한다. (일부 사이트의 경우 * 표시)

http://www.merger.co.kr/bbs2/index.php?id

http://eplus.mk.co.kr/admin2011/

http://advert.iztel.co.kr/advert_admin/

http://login.******.com/websso16/gon/admin/login.htm

http://mail.osen.co.kr/module/member/login.php

cms.osen.co.kr/admin/member/login

http://adv5.etnews.co.kr/RealMedia/ads/OpenAd/adbiz.cgi

http://tech.etnews.com/99_MGMT/10_MAIN/loginFm.php

http://bizcenter.etnews.com/webmail/index.html

http://mail.etnews.co.kr

http://admin.cyad.co.kr/login.php

http://admin123.xportsnews.hankyung.com/

http://mail.news1.kr

http://admin.kukiedu.co.kr/slk_login.aspx

http://tvadmin.edaily.co.kr/adminlogin.asp

http://seoula.seoul.co.kr/admin/login.html

https://121.159.80.2:50005/index.php

https://192.168.3.1:50005/index.php

https://210.179.198.226:50005/index.php

https://211.180.150.146/index.cgi

https://220.123.212.113:50005/

http://tkadmin.yes24.com/manage/login.aspx

https://partneradmin.ezwel.com/cpadm/login/loginForm.ez

http://mail.ajnews.co.kr/

http://admin.t-ad.co.kr/

http://admin.t-ad.co.kr/loginPage.do

http://intra.ndoors.com/

http://sponevt.hangame.com/

http://mail.m2games.kr/

http://martini.npicsoft.com

https://xmail.npicsoft.com

http://khcms.khan.co.kr

http://mail.khan.co.kr

http://start.khan.co.kr

http://ticketadmin.auction.co.kr/Manage/Login.aspx

http://condoadmin.auction.co.kr/Manage/Login.aspx

http://admin.heraldm.com:8081/Admin?method=login

http://log.heraldm.com/login/loginForm.tsp

http://adw.heraldm.com/

http://cms.danawa.com/session/login.php

http://s.biz.daum.net/adminform.daum

nxerp.nexon.co.kr

http://ot.ytn.co.kr/FrmLogin.aspx

http://mis.ytn.co.kr/subtop/login.asp

http://newsys.ytn.co.kr/

http://m.sportsseoul.com/admin/toto/login/login.jsp

http://erp.sbs.co.kr/erp/

http://shop.golf.sbs.co.kr/scmadmin/login.php

http://adminkt001.olleh.com/

http://homehub.olleh.com/cgi-bin/login_cgi

http://bts1.nhncorp.com/nhnbts/login.jsp

https://hrlove.nhncorp.com/sso/login.jsp

http://mail.nhncorp.com/login

http://iims2.nhncorp.com/adminPM/Login.nhn

https://nsec.nhncorp.com/

https://eiims2.nhncorp.com/adminPM/Login.nhn

https://pubsec.nhncorp.com

http://cms.newsis.com/

http://mail.newsis.com/

https://neoin.neowiz.com/member/login.nwz

http://webmail.mt.co.kr/

http://rms.mgamecorp.com/index.php

http://pdfadmin.kukinews.com/kmib/login/login.asp

http://desk.kukinews.com/web_desk/login/login.asp

https://remote.korail.com/web/login.jsp

http://mail.korail.com/index.jsp

http://nkoreanet.kbs.co.kr/admin/

http://ncc.kbs.co.kr

http://radiotest.kbs.co.kr/admin/radiolg.php

http://erpap1.kbs.co.kr:8001

http://admin.imnews.imbc.com/login.jsp

http://poptv.imbc.com/admin/_POPTVAdminMng.aspx

http://www.hankyung.com/dic/admin/login.php

http://webadmin.hankyung.com/

http://hkms.hankyung.com/

http://nms.hani.co.kr/admin/login.php

http://nuri.hani.co.kr/hanisite/dev/login/login_process.html

http://bridge.hani.co.kr/Hani/User

http://admin.hani.co.kr/

http://hantoma.hani.co.kr/

http://admin.halfclub.com/Login/Login.aspx

http://scm.halfclub.com/

http://pims.freechal.com/

http://mail.freechal.com/Mail/FWAccRepair.asp

http://adsrv2.dt.co.kr/banner/banner/Login.html

http://adsrv1.dt.co.kr/banner/banner/Login.html

http://ciis.chosun.com

http://newmail.chosun.com

http://eip.chosun.com/nanum/flow/admin/

http://mail.chosun.com/cgi-bin/index.cgi

https://scoop.chosun.com/

http://inato2.chosun.com

http://mail.cbs.co.kr/cgi-bin/index.cgi

http://www.cbs.co.kr/cbsboard/2006/admin/

https://www.cbs.co.kr/newadmin/login.aspx

http://mail.asiae.co.kr/


국내 유수의 관리자 페이지 정보를 수집시도하는 악성파일이 등장했기 때문에 해당 기업들은 공개되어 있는 관리자 페이지의 접근제어 보안을 강화하거나, 노출된 관리자 페이지의 정보를 수정하는 노력이 필요해 보인다. 

가능하다면 관리자 페이지의 경우 기업 내부에서만 접근할 수 있도록 조치하고, 아이디 암호는 수시로 변경하는 보안정책 수립도 요구된다.

3. 마무리

언론사, 포털사, 게임사, 철도 등 국내 주요 웹 사이트의 관리자 정보를 노리는 악성파일이 출현함에 따라 기업 관리자들의 각별한 주의가 요망된다. 보안 취약점에 의해서 악성파일이 다수 전파되고 있으므로, 운영체제와 각종 응용프로그램은 항시 최신버전으로 유지하는 기본적인 보안수칙 준수가 필요하다.

잉카인터넷 대응팀은 해당 악성파일에 대한 진단 및 치료를 추가완료한 상태이다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com/
 

  

저작자 표시
신고
Posted by nProtect
1. 유명 기업들 관리자 계정 탈취 목적의 악성파일


잉카인터넷 대응팀은 국내 주요 사이트의 관리자 계정을 수집하는 악성파일 숙주가 국내 특정 웹 사이트 2곳에서 유포 중인 것을 자체적으로 발견했다. 이 글을 작성하는 2013년 07월 26일 오후 1시경 현재 해당 웹 사이트가 정상적으로 작동하고 있어, 유관기관 등에 신속하게 악성파일 유포지 정보를 공유하고 차단협조를 요청한 상태이다. 해당 악성파일들은 언론사, 광고사, 게임사, 포털사, 교통, 통신, 커뮤니티, 보안장비 등의 웹 사이트 관리자 페이지 정보를 보유하고 있어, 각별한 주의가 필요하며, 기존 3.20 사이버 테러와 6.25 사이버전의 공격코드 형태와는 다른 종류이다. 이것을 미루어 보아 온라인 게임 계정 탈취기능의 사이버 범죄 조직들이 유명 웹 사이트의 관리자 계정 정보 수집을 시도하는 새로운 움직임으로 의심되고, 앞으로 웹 사이트 관리자들의 보안관리 강화가 필요할 것으로 보여진다.

2. 악성파일 유포 및 분석정보

특정 웹 사이트의 관리자 계정이 노출되면 각종 정보가 외부로 탈취되는 것과 함께 내부망에 침투할 수 있는 계기를 마련해 줄 수 있다. 따라서 웹 사이트의 로그인 정보가 외부로 유출되지 않도록 키보드 보안 및 악성파일 차단 등 다양한 보안장치가 필요하다.

해당 악성파일은 마치 디지털 카메라의 사진 이미지처럼 파일명(DSC_UP0399.JPG)을 위장하고 있으며, 국내 시민모임 관련 사이트와 언론사 사이트 등 모두 합쳐 2곳을 통해서 전파된 것이 공식 확인되었다. 확장자는 JPG 이미지 파일이지만 사용자 컴퓨터에는 EXE 형태의 실행파일로 감염되어 동작하게 된다.


DSC_UP0399.JPG 악성파일은 2013년 07월 24일 새벽에 제작되었으며, 07월 24일 경부터 국내에서 유포 중인 정황이 포착됐다. 


악성파일은 기본적으로 온라인 게임 계정 탈취용이 기반으로 제작되어 있으며, 국내외 보안제품들의 정상작동을 방해하는 작업을 한다. 더불어 또 다른 웹 사이트에서 GIF 이미지 파일로 위장한 다수의 악성파일을 다운로드 시도한다.


악성파일은 온라인 게임 계정 탈취 기능외에 국내 특정 웹 사이트들의 관리자 사이트 정보를 수집 시도한다. 2005년 경부터 온라인 게임 계정을 탈취시도하는 악성파일은 Drive By Download 기법을 통해서 국내 다수의 웹 사이트에서 악성파일이 유포되고 있다.

http://mail.osen.co.kr/module/member/login.php
http://cms.osen.co.kr/admin/member/login
http://adv5.etnews.co.kr/RealMedia/ads/OpenAd/adbiz.cgi
http://tech.etnews.com/99_MGMT/10_MAIN/loginFm.php
http://bizcenter.etnews.com/webmail/index.html
http://mail.etnews.co.kr
http://admin.cyad.co.kr/login.php
http://admin123.xportsnews.hankyung.com/
http://mail.news1.kr
http://admin.kukiedu.co.kr/slk_login.aspx
http://tvadmin.edaily.co.kr/adminlogin.asp
http://seoula.seoul.co.kr/admin/login.html
https://121.159.80.2:50005/index.php
https://192.168.3.1:50005/index.php
https://210.179.198.226:50005/index.php
https://211.180.150.146/index.cgi
https://220.123.212.113:50005/
http://tkadmin.yes24.com/manage/login.aspx
https://partneradmin.ezwel.com/cpadm/login/loginForm.ez
http://mail.ajnews.co.kr/
http://admin.t-ad.co.kr/
http://admin.t-ad.co.kr/loginPage.do
http://intra.ndoors.com/
http://sponevt.hangame.com/
http://mail.m2games.kr/
http://martini.npicsoft.com
https://xmail.npicsoft.com
http://khcms.khan.co.kr
http://mail.khan.co.kr
http://start.khan.co.kr
http://condoadmin.auction.co.kr/Manage/Login.aspx
http://admin.heraldm.com:8081/Admin?method=login
http://log.heraldm.com/login/loginForm.tsp
http://adw.heraldm.com/
http://cms.danawa.com/session/login.php
http://s.biz.daum.net/adminform.daum
http://nxerp.nexon.co.kr
http://ot.ytn.co.kr/FrmLogin.aspx
http://mis.ytn.co.kr/subtop/login.asp
http://newsys.ytn.co.kr/
http://m.sportsseoul.com/admin/toto/login/login.jsp
http://erp.sbs.co.kr/erp/
http://shop.golf.sbs.co.kr/scmadmin/login.php
http://adminkt001.olleh.com/
http://homehub.olleh.com/cgi-bin/login_cgi
http://bts1.nhncorp.com/nhnbts/login.jsp
https://hrlove.nhncorp.com/sso/login.jsp
http://mail.nhncorp.com/login
http://iims2.nhncorp.com/adminPM/Login.nhn
https://nsec.nhncorp.com/
https://eiims2.nhncorp.com/adminPM/Login.nhn
http://cms.newsis.com/
http://mail.newsis.com/
https://neoin.neowiz.com/member/login.nwz
http://webmail.mt.co.kr/
http://rms.mgamecorp.com/index.php
http://pdfadmin.kukinews.com/kmib/login/login.asp
http://desk.kukinews.com/web_desk/login/login.asp
https://remote.korail.com/web/login.jsp
http://mail.korail.com/index.jsp
http://nkoreanet.kbs.co.kr/admin/
http://ncc.kbs.co.kr
http://radiotest.kbs.co.kr/admin/radiolg.php
http://erpap1.kbs.co.kr:8001
http://admin.imnews.imbc.com/login.jsp
http://poptv.imbc.com/admin/_POPTVAdminMng.aspx
http://www.hankyung.com/dic/admin/login.php
http://webadmin.hankyung.com/
http://hkms.hankyung.com/
http://nms.hani.co.kr/admin/login.php
http://nuri.hani.co.kr/hanisite/dev/login/login_process.html
http://bridge.hani.co.kr/Hani/User
http://admin.hani.co.kr/
http://hantoma.hani.co.kr/
http://admin.halfclub.com/Login/Login.aspx
http://scm.halfclub.com/
http://pims.freechal.com/
http://mail.freechal.com/Mail/FWAccRepair.asp
http://adsrv2.dt.co.kr/banner/banner/Login.html
http://adsrv1.dt.co.kr/banner/banner/Login.html
http://ciis.chosun.com
http://newmail.chosun.com
http://eip.chosun.com/nanum/flow/admin/
http://mail.chosun.com/cgi-bin/index.cgi
https://scoop.chosun.com/
http://inato2.chosun.com
http://www.cbs.co.kr/cbsboard/2006/admin/
https://www.cbs.co.kr/newadmin/login.aspx
http://mail.asiae.co.kr/



악성파일이 사용하는 명령제어서버(C&C)는 중국 사이트로 구성되어 있다.


국내 유수의 관리자 페이지 정보를 수집시도하는 악성파일이 등장했기 때문에 해당 기업들은 공개되어 있는 관리자 페이지의 접근제어 보안을 강화하거나, 노출된 관리자 페이지의 정보를 수정하는 노력이 필요해 보인다.

가능하다면 관리자 페이지의 경우 기업 내부에서만 접근할 수 있도록 조치하고, 아이디 암호는 수시로 변경하는 보안정책 수립도 요구된다.

3. 마무리

언론사, 포털사, 게임사, 철도 등 국내 주요 웹 사이트의 관리자 정보를 노리는 악성파일이 출현함에 따라 기업 관리자들의 각별한 주의가 요망된다. 보안 취약점에 의해서 악성파일이 다수 전파되고 있으므로, 운영체제와 각종 응용프로그램은 항시 최신버전으로 유지하는 기본적인 보안수칙 준수가 필요하다.

잉카인터넷 대응팀은 해당 악성파일에 대한 진단 및 치료를 추가완료한 상태이다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com/



저작자 표시
신고
Posted by nProtect