IBM Security 2013 년 하반기 Tokyo SOC 정보 분석 보고서 요약

IBM Security 2013 년 하반기 Tokyo SOC 정보 분석 보고서 요약 (첨부 보고서는 일본어로 작성되어 있습니다.)

본 보고서는 IBM이 전 세계 열 개의 보안 운영 센터(SOC)에서 2013 년 하반기 (7월 ~ 12월)에 관측한 보안 이벤트 정보를 바탕으로 주로 일본 국내의 기업 환경에서 관측된 위협 동향을 IBM Security Tokyo SOC가 독자적인 시점에서 분석 및 해설한 것입니다.

2013년 하반기 Tokyo SOC에서 관측된 공격을 분석한 결과 다음의 시사점이 발견되었습니다.

1. 드라이브 바이 다운로드 공격은 2012년 하반기 대비 2 배
   변조된 Web 사이트의 웹 서핑에 의해 악성 코드에 감염되는 드라이브 바이 다운로드 공격은 2012년 하반기에 비해 2배의 결과였습니다. 또한 이 공격의 성공률은 2013년 상반기와 거의 변함없이, 12.2%로 계속 높은 성공률이었습니다. 또한 악성코드의 배포가 해외의 Web 사이트에서 뿐만 아니라 일본의 Web 사이트에서도 이루어졌습니다.

2. 웹을 침입 경로로 한 일본의 특정 조직을 위한 표적 공격 확인
   특정 조직을 표적으로 하는 공격의 수단으로 메일 뿐만 아니라 Web을 이용하는 공격이 확인되었습니다. 2014년 1월 초에 GRETECH사 GOM Player의 업데이트 통신 악성 코드에 감염되는 사례가 화제가 되었습니다만, Tokyo SOC는 GOM Player의 업데이트 커뮤니케이션이 확인된 23 조직 중 1 조직 만이 악성코드의 다운로드가 확인되고 있어 이 공격이 특정 조직을 표적으로 하고 있다고 확인하였습니다.

3. Apache Struts2의 취약점을 노린 공격이 2.3배 증가
   2013년 하반기에서는 Web 응용 프로그램 프레임워크 및 콘텐츠 관리 시스템(CMS)의 취약점을 노린 Web 사이트 변조가 증가했습니다. 특히 Apache Struts2의 취약점을 노린 공격은 2013년 상반기에 비해 2.3배 증가했습니다.

본 보고서에서는 위의 분석뿐만 아니라 "중국으로부터의 공격 증가" 와 "Tor을 악용 하는 악성 코드"에 관한 내용을 소개하고 있습니다.

https://www.facebook.com/download/734858773211024/tokyo-soc-report2013-h2-jp.pdf