2008.12.23
최근 11월 한달 동안 네트워크 모니터링 시스템으로부터 탐지된 상위 Top 5 보안위협들은 다음과 같다.
[그림 1-3] 상위 TOP 5 위협 탐지 이벤트
10월 말 MS08-067 서버 서비스 취약점이 발표된 이후 네트워크를 통해 해당 취약점을 이용하는 악의적인 트래픽이 급격히 증가되는 것이 관찰되기 시작하였다. 최근 새로운 취약점이 발표되고 이를 공격에 이용하는 악성코드가 제작되는 시간이 점점 짧아지고 있어 어느 때보다도 사용자들의 신속한 최신 업데이트 설치가 필요할 때이다.
지금까지 상위를 차지하던 과거의 취약점들을 제치고 최근 발표된 MS08-067 서버 서비스 취약점이 상위에 올라왔으며, 이를 통하여 해당 취약점이 얼마나 빠른 속도로 확산되고 있는지를 추정해 볼 수 있게 한다.
특히, [그림 1-4]에서 보이는 바와 같이, 이번 달에는 TCP/445 포트가 전체 트래픽의 87%를 차지하였으며, 이 수치는 네트워크 모니터링을 시작한 이후 가장 큰 수치이다. 최근 발표된 MS08-067 서버 서비스 취약점이 TCP/139, TCP/445 포트를 사용하고 있으며 허니팟 내에 감염된 트래픽이 전파를 목적으로 또 다른 시스템을 스캐닝하는 과정에서 발생되기도 하였다. 네트워크 관리자들은 TCP/139, TCP/445 포트가 반드시 필요한지 여부를 확인하고, 불필요경우 방화벽과 같은 보안제품을 통해 차단할 필요가 있다.
[그림 1-4] 상위 TOP 5 포트
MS08-067 서버 서비스 취약점의 추이를 모니터링하기 위해 TCP/445포트 상의 트래픽을 집중적으로 살펴본 결과, 10월 27일부터 TCP/445 포트 상의 트래픽이 급격히 증가하였고 11월 13일 이후로 트래픽이 감소하는 모습을 아래 [그림 1-5]에서 확인할 수 있다. 최신 보안업데이트와 보안제품들의 탐지기능 추가로 인하여 MS08-067 서버 서비스 취약점을 이용하는 악성코드가 점차 감소하고 있는 것으로 추정해 볼 수 있다.
[그림 1-5] TCP/445 포트 상의 트래픽 추이
공격 발생지별로 살펴본 한달 간의 국가별 현황을 살펴보면, 기존 달과 마찬가지로 한국(KR)을 비롯하여 미국(US), 일본(JP), 중국(CN), 홍콩(HK) 등의 국가들이 차례로 높은 비중을 차지 하였다.
[표 1-1] 국가별 공격 발생지 분포[1]
--------------------------------------------------------------------------------
[1] 이 표는 ㈜안철수연구소에서 운영 중인 허니넷으로 유입된 트래픽을 기준으로 한 것으로 전체적인 국가별 순위를 의미하는 것은 아니다.
[출처] 안철수연구소 ASEC리포트
'AhnLab 보안in' 카테고리의 다른 글
안철수연구소 사보 보안세상 제안, 여러분의 자가진단 보안지수는? (0) | 2020.04.06 |
---|---|
[안철수연구소 ASEC리포트] 11월 시큐리티 통계 (0) | 2020.04.06 |
[안철수연구소 ASEC리포트] 3929.cn으로 홈페이지를 고정하는 스파이웨어 (0) | 2020.04.06 |
[영화 속 보안]모든 것은 나에 의해 통제된다 "이글 아이(Eagle Eye)" (0) | 2020.04.06 |
[안철수연구소 ASEC리포트]미국 최초 흑인 대통령 관련 악성코드 및 시스템 파일을 바꿔치기 하는 악성코드 (0) | 2020.04.06 |