분석 정보/악성코드 분석 정보

[주의]국내 웹 사이트 관리자 계정 노린 악성파일 변종 지속 출현

TACHYON & ISARC 2013. 10. 23. 09:06
1. 특명! 국내 주요 사이트 관리자 계정을 보호하라.

잉카인터넷 대응팀은 국내 웹 사이트 관리자 계정을 노린 악성파일 변종을 추가로 발견하였다. 해당 악성파일은 국내 특정 웹 사이트 관리자의 계정정보를 집중적으로 수집시도하고 있기 때문에 각별한 주의가 필요하다. 공격대상에 포함된 곳들은 언론사, 광고사, 포털사, 게임사, 보안장비 및 기업, 교통, 통신, 커뮤니티 등 다양한 분야의 웹 사이트가 포함되어 있으며, 일부는 정상적으로 접근이 가능한 상태로 운영되고 있는 상태이다.

악성파일의 공격 대상 리스트에 포함된 경우 이미 악의적인 공격자에게 관리자 페이지가 노출된 상태이기 때문에 각 기업은 관리자 권한이 탈취되지 않도록 외부의 접근을 제어함과 동시에 관리자 페이지 주소를 정기적으로 변경하고, 허가된 사용자만 로그인이 가능하도록 접근제어 등의 보안강화 조치가 요구된다. 더불어 관리자 암호나 보안을 강화하기 위한 꾸준한 관심과 노력이 필요하다.

2. 악성파일 유포 및 정보

이러한 종류의 악성파일에 감염될 경우 웹 사이트 관리자 권한 노출과 동시에 기업 내부망에 해커가 침투할 수 있는 통로를 열어줄 수 있게 된다. 따라서 웹 사이트 관리자들은 이런 부분에 소홀함이 없도록 외부의 접근을 차단하고 허가된 이용자만 로그인이 가능하도록 하는 다양한 보안장치 설정이 중요하다.

[주의]국내 웹 사이트 관리자 계정을 노린 악성파일 등장
☞ http://erteam.nprotect.com/438

[긴급]6.25 사이버전, 신문사, PC방 프로그램 업데이터 모듈공격 최초공개
☞ http://erteam.nprotect.com/427

[긴급]카카오톡 위장 악성앱 신종공격 기법 등장
☞ http://erteam.nprotect.com/428

[긴급]6.25 사이버전, 국내 주요 사이트 해킹 공격 받는 중
☞ http://erteam.nprotect.com/429


악성파일은 기존 변종들과 마찬가지로 마치 이미지 파일처럼 보이도록 확장자를 JPG 이름으로 위장하여 미국의 특정 호스트에서 배포 중에 있다. 이 곳에서 2013년 10월 18일과 10월 23일 변종이 2차례 유포된 정황이 확인됐고, 유관기관 등에 신속하게 악성파일 유포지 정보를 공유하고 차단협조를 요청한 상태이다.

  


악성파일은 온라인 게임 계정 탈취 기능외에 국내 특정 웹 사이트들의 관리자 사이트 정보를 수집 시도한다. (일부 사이트의 경우 * 표시)

http://www.merger.co.kr/bbs2/index.php?id

http://eplus.mk.co.kr/admin2011/

http://advert.iztel.co.kr/advert_admin/

http://login.******.com/websso16/gon/admin/login.htm

http://mail.osen.co.kr/module/member/login.php

cms.osen.co.kr/admin/member/login

http://adv5.etnews.co.kr/RealMedia/ads/OpenAd/adbiz.cgi

http://tech.etnews.com/99_MGMT/10_MAIN/loginFm.php

http://bizcenter.etnews.com/webmail/index.html

http://mail.etnews.co.kr

http://admin.cyad.co.kr/login.php

http://admin123.xportsnews.hankyung.com/

http://mail.news1.kr

http://admin.kukiedu.co.kr/slk_login.aspx

http://tvadmin.edaily.co.kr/adminlogin.asp

http://seoula.seoul.co.kr/admin/login.html

https://121.159.80.2:50005/index.php

https://192.168.3.1:50005/index.php

https://210.179.198.226:50005/index.php

https://211.180.150.146/index.cgi

https://220.123.212.113:50005/

http://tkadmin.yes24.com/manage/login.aspx

https://partneradmin.ezwel.com/cpadm/login/loginForm.ez

http://mail.ajnews.co.kr/

http://admin.t-ad.co.kr/

http://admin.t-ad.co.kr/loginPage.do

http://intra.ndoors.com/

http://sponevt.hangame.com/

http://mail.m2games.kr/

http://martini.npicsoft.com

https://xmail.npicsoft.com

http://khcms.khan.co.kr

http://mail.khan.co.kr

http://start.khan.co.kr

http://ticketadmin.auction.co.kr/Manage/Login.aspx

http://condoadmin.auction.co.kr/Manage/Login.aspx

http://admin.heraldm.com:8081/Admin?method=login

http://log.heraldm.com/login/loginForm.tsp

http://adw.heraldm.com/

http://cms.danawa.com/session/login.php

http://s.biz.daum.net/adminform.daum

nxerp.nexon.co.kr

http://ot.ytn.co.kr/FrmLogin.aspx

http://mis.ytn.co.kr/subtop/login.asp

http://newsys.ytn.co.kr/

http://m.sportsseoul.com/admin/toto/login/login.jsp

http://erp.sbs.co.kr/erp/

http://shop.golf.sbs.co.kr/scmadmin/login.php

http://adminkt001.olleh.com/

http://homehub.olleh.com/cgi-bin/login_cgi

http://bts1.nhncorp.com/nhnbts/login.jsp

https://hrlove.nhncorp.com/sso/login.jsp

http://mail.nhncorp.com/login

http://iims2.nhncorp.com/adminPM/Login.nhn

https://nsec.nhncorp.com/

https://eiims2.nhncorp.com/adminPM/Login.nhn

https://pubsec.nhncorp.com

http://cms.newsis.com/

http://mail.newsis.com/

https://neoin.neowiz.com/member/login.nwz

http://webmail.mt.co.kr/

http://rms.mgamecorp.com/index.php

http://pdfadmin.kukinews.com/kmib/login/login.asp

http://desk.kukinews.com/web_desk/login/login.asp

https://remote.korail.com/web/login.jsp

http://mail.korail.com/index.jsp

http://nkoreanet.kbs.co.kr/admin/

http://ncc.kbs.co.kr

http://radiotest.kbs.co.kr/admin/radiolg.php

http://erpap1.kbs.co.kr:8001

http://admin.imnews.imbc.com/login.jsp

http://poptv.imbc.com/admin/_POPTVAdminMng.aspx

http://www.hankyung.com/dic/admin/login.php

http://webadmin.hankyung.com/

http://hkms.hankyung.com/

http://nms.hani.co.kr/admin/login.php

http://nuri.hani.co.kr/hanisite/dev/login/login_process.html

http://bridge.hani.co.kr/Hani/User

http://admin.hani.co.kr/

http://hantoma.hani.co.kr/

http://admin.halfclub.com/Login/Login.aspx

http://scm.halfclub.com/

http://pims.freechal.com/

http://mail.freechal.com/Mail/FWAccRepair.asp

http://adsrv2.dt.co.kr/banner/banner/Login.html

http://adsrv1.dt.co.kr/banner/banner/Login.html

http://ciis.chosun.com

http://newmail.chosun.com

http://eip.chosun.com/nanum/flow/admin/

http://mail.chosun.com/cgi-bin/index.cgi

https://scoop.chosun.com/

http://inato2.chosun.com

http://mail.cbs.co.kr/cgi-bin/index.cgi

http://www.cbs.co.kr/cbsboard/2006/admin/

https://www.cbs.co.kr/newadmin/login.aspx

http://mail.asiae.co.kr/


국내 유수의 관리자 페이지 정보를 수집시도하는 악성파일이 등장했기 때문에 해당 기업들은 공개되어 있는 관리자 페이지의 접근제어 보안을 강화하거나, 노출된 관리자 페이지의 정보를 수정하는 노력이 필요해 보인다. 

가능하다면 관리자 페이지의 경우 기업 내부에서만 접근할 수 있도록 조치하고, 아이디 암호는 수시로 변경하는 보안정책 수립도 요구된다.

3. 마무리

언론사, 포털사, 게임사, 철도 등 국내 주요 웹 사이트의 관리자 정보를 노리는 악성파일이 출현함에 따라 기업 관리자들의 각별한 주의가 요망된다. 보안 취약점에 의해서 악성파일이 다수 전파되고 있으므로, 운영체제와 각종 응용프로그램은 항시 최신버전으로 유지하는 기본적인 보안수칙 준수가 필요하다.

잉카인터넷 대응팀은 해당 악성파일에 대한 진단 및 치료를 추가완료한 상태이다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com/