1. 개 요
2011년 12월 10일 토요일 국내 유명 인터넷 실시간 방송 서비스의 웹 사이트에 접속 시 외부 광고 서버의 링크를 통해서 악성파일이 다수 전파 중인 것이 주말 보안 관제 중 발견되었다. 이것도 주말 기간에만 집중되어 국내에 유포 중인 악성 파일 형태이며, 개인 실시간 방송 서비스도 웹하드 사이트와 함께 휴일에 이용자가 특별히 많다는 점을 공격자가 지능적으로 노린 타깃 공격으로 추정된다. 특히, 접속 시간차에 따라 악성 파일 유포 경유지가 가변적인데, 이것은 라운드 로빈에 의해서 서버별로 다른 악성 파일이 존재하여 발생되는 현상으로 미루어 짐작되므로, 서버별 조치가 요구된다.
실시간 인터넷 방송 서비스로 유명한 국내 대표 A 개인 방송 사이트에 접속 시 JAVA 와 Adobe Flash Player 보안 취약점 등을 이용하여 악성 파일이 전파되고 있어, 최신 보안 업데이트를 설치하지 않은 이용자의 경우 웹 사이트 접속만으로 악성 파일에 즉시 감염되는 피해를 입게 된다.
2. 유포 경로 및 감염 증상
악성 파일은 외부 협력 업체의 광고 서버를 통해서 전파되고 있으며, 광고 서비스가 포함되어 있는 실시간 인터넷 방송 서비스로 접근 시에 Exploit Code 부분이 실행된다.
http://www.a******.com 사이트에 접속한 후 개인 방송 서비스에 접근하면 http://www.a******.com/ad/af_station_AD.htm 사이트로 연결이 되고, af_station_AD.js 스크립트 등이 연동된다.
이때, 개인 방송 서비스에 보여지는 외부 광고 리스트 서버로 접근을 하게 되고, 악성 스크립트가 삽입된 웹 사이트가 자동으로 실행된다.
광고 서비스는 다음과 같이 개인 방송 사이트의 좌측 상단 부분에 등록되어 있고, 실시간으로 광고가 바뀌는 형태이다.
이외에도 최근들어 포털 사이트 등에 포함되어 있는 외부 광고 서버가 침해 사고를 입어 직간접적으로 악성파일을 전파한 사례가 발견된 바 있다.
외부 광고 서비스의 리스트가 연결되면 내부에 삽입된 악의적인 iframe 코드가 실행되고, 해킹된 또 다른 국내 사이트에 등록된 ad.html 파일이 로딩된다.
이후에 Adobe Flash Player 와 JAVA Applet 취약점에 의해서 ie67.gif 그림 파일처럼 위장하고 있는 EXE(XOR 암호화)형태의 악성파일과 java.exe 와 같은 악성 파일이 다운로드되고 감염을 시도한다.
ad.html 파일은 사용자의 브라우저 버전(IE6.0~8.0)을 체크하고 종류에 따라 사용하는 취약점 코드를 구분하여 좀더 많은 사용자가 악성 파일에 노출되도록 유도하고 있으며, ad2.html, ad1.htm, java.html 등의 Exploit Code 파일을 iframe 명령어로 링크시키고 있다.
java.html 파일은 악성 Applet.jar 파일을 로딩하며, 내부에 포함되어 있는 ScriptEngineExp.class 파일에 의해서 특정 사이트에 등록되어 있는 java.exe 파일을 Temp 경로에 xxoo.exe 라는 파일명으로 다운로드 한 후 자동으로 실행시킨다.
악성파일의 유포에 사용되는 경유지 도메인과 최종 파일은 변종이 다수 발견되었기 때문에 취약한 사이트에 접속하는 시간과 환경에 따라서 각기 다른 형태에 감염될 수도 있다. 또한, 쿠키 파일을 이용하여 중복 접속 여부 등을 체크하여 Exploit Code 주소로 반복 접근을 제어하며, 드라이버형 악성파일(kill.sys)을 설치하여 국내 주요 Anti-Virus 제품의 정상적인 실행을 방해한다.
악성파일은 최종적으로 국내 유명 온라인 게임 사용자들의 계정 정보와 온라인 문화 상품권 계정 등을 탈취하여, 외부로 유출을 시도하게 된다.
3. 마무리
위와 같이 주말 기간 동안 이용자들이 많은 웹 사이트를 집중표적으로 삼아 새로운 악성파일들을 다수 유포하고 있다는 점을 잊지 말고, Adobe Flash Player 와 Oracle Java 애플리케이션의 최신 보안 패치를 설치하고, 신뢰할 수 있는 Anti-Virus 프로그램과 개인용 Firewall 제품군 등을 활용하여 충분히 예방하는 노력이 필요하다.
잉카인터넷 대응팀에서는 주말 기간 유포된 해당 악성파일들을 nProtect Anti-Virus 제품군에 긴급 업데이트를 반영하여 신속히 배포 중에 있으므로, 사용자들은 최신 업데이트를 받아 사용하면 탐지 및 치료가 가능하다.
이러한 악성파일의 경우 사용자 스스로 감염되지 않도록 꾸준히 관심을 가지고 아래와 같은 "보안 관리 수칙"을 준수하는 등의 노력이 필요하다.
1. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치를 생활화.
2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.
3. 출처가 불분명한 이메일의 첨부파일에 대한 다운로드를 지양.
4. SNS 이용시 출처가 불분명한 링크의 경우 해당 링크 접속 주의.
5. 연말연시, 크리스마스 등과 같은 사회적 이슈 기간에는 사회공학 기법을 이용한 악성파일 유포에 대한 관심과 주의 필요.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이러한 사회공학 기법을 악용한 여러 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
[주의]김정일 사진파일처럼 위장한 악성파일 추가 발견 (Update #1) (3) | 2011.12.21 |
---|---|
[주의]김정일 사망 관련 허위 정보 클릭 유도 및 악성파일 전파 중 (Update #3) (4) | 2011.12.20 |
[주의]새로운 Adobe Zero Day 취약점 보고 (0) | 2011.12.08 |
[주의]유명 연예인 사생활 동영상 내용으로 악성 파일 전파 중 (0) | 2011.12.08 |
[긴급]동영상 재생 플레이어 변조를 통한 DDoS 악성파일 유포 (1) | 2011.11.27 |