미국 등 타겟 공격한 해커그룹의 악성코드 유포기법 분석보고서

• 프루프 포인트는 미국, 유럽 등을 공격한 대규모(50만대) 봇넷을 분석하여 공격자가 사용한 악성코드 유포 
  인프라, 감염 대상 선정, 취약점 등을 기술하는 분석보고서 발표('14.10.14)
   ※ 프루프 포인트 : 기업의 APT공격, 정보 유출 탐지시스템 등을 개발, 판매하는 미국 보안업체

주요내용

• 공격자는 대량 계정정보를 통한 부정 로그인 및 웹 프로그램의 취약점 등을 악용하여 악성코드를 유포할 
  웹사이트를 확보
  - 부정로그인 방법으로는 기유출된 대량의 아이디와 패스워드 셋을 블랙마켓에서 구매하여, 자체 제작한 공격
    도구를 통해 웹사이트에 접속 및 웹쉘을 업로드
  - 대중적으로 사용되는 워드프레스의 취약점을 이용하여 원격에서 악성스크립트 등을 삽입
• 악성코드 유포의 효율성을 높이고 보안업체의 탐지를 회피하기 위해 감염대상 선별 
  - 악성 웹사이트 방문하는 인터넷 이용자의 IP, 브라우저 종류, 운영체제 등의 정보를 이용하여 감염대상을 선정
    하는 프로그램을 설치
   ※ 악성코드에 감염된 PC 중 약 52%가 MS 기술지원이 종료된 윈도우XP 이용자로 확인
  - 감염대상 설별 프로그램은 인터넷 방문자가 크롤러 및 보안스캐너 등을 이용한 접속인 경우에는 악성코드를
    내려 보내지 않음
   ※ 악성코드 유포 대상 선별프로그램은 Simple TDS, Keitaro TDS, Sutra TDS 등이 있음
   ※ Sutra TDS는 IP, 프록시, 레퍼러, 쿠키, IP할당위치, 언어, 네트워크 대역등 설정가능
• 인터넷브라우저, JAVA, Flash, PDF 등의 취약점을 이용하여 인터넷 이용자의 PC에 악성코드를 감염 및 공격
  경유지로 악용
  - 감염된 PC에서 온라인 뱅킹 정보 등을 유출한 후 프록시 등을 설치하여 경유지로 악용

[출처]
1. http://www.spamfighter.com/News-19242-Proofpoint-Discovers-Russian-Cyber-Crime-Gang-Attacker-of-Over-500K-PCs.htm
2. http://www.proofpoint.com/downloads/proofpoint-analysis-cybercrime-infrastructure-20141007.pdf