분석 정보/악성코드 분석 정보

[주의]국내 웹 사이트 관리자 계정을 노린 악성파일 등장

TACHYON & ISARC 2013. 7. 26. 13:54
1. 유명 기업들 관리자 계정 탈취 목적의 악성파일


잉카인터넷 대응팀은 국내 주요 사이트의 관리자 계정을 수집하는 악성파일 숙주가 국내 특정 웹 사이트 2곳에서 유포 중인 것을 자체적으로 발견했다. 이 글을 작성하는 2013년 07월 26일 오후 1시경 현재 해당 웹 사이트가 정상적으로 작동하고 있어, 유관기관 등에 신속하게 악성파일 유포지 정보를 공유하고 차단협조를 요청한 상태이다. 해당 악성파일들은 언론사, 광고사, 게임사, 포털사, 교통, 통신, 커뮤니티, 보안장비 등의 웹 사이트 관리자 페이지 정보를 보유하고 있어, 각별한 주의가 필요하며, 기존 3.20 사이버 테러와 6.25 사이버전의 공격코드 형태와는 다른 종류이다. 이것을 미루어 보아 온라인 게임 계정 탈취기능의 사이버 범죄 조직들이 유명 웹 사이트의 관리자 계정 정보 수집을 시도하는 새로운 움직임으로 의심되고, 앞으로 웹 사이트 관리자들의 보안관리 강화가 필요할 것으로 보여진다.

2. 악성파일 유포 및 분석정보

특정 웹 사이트의 관리자 계정이 노출되면 각종 정보가 외부로 탈취되는 것과 함께 내부망에 침투할 수 있는 계기를 마련해 줄 수 있다. 따라서 웹 사이트의 로그인 정보가 외부로 유출되지 않도록 키보드 보안 및 악성파일 차단 등 다양한 보안장치가 필요하다.

해당 악성파일은 마치 디지털 카메라의 사진 이미지처럼 파일명(DSC_UP0399.JPG)을 위장하고 있으며, 국내 시민모임 관련 사이트와 언론사 사이트 등 모두 합쳐 2곳을 통해서 전파된 것이 공식 확인되었다. 확장자는 JPG 이미지 파일이지만 사용자 컴퓨터에는 EXE 형태의 실행파일로 감염되어 동작하게 된다.


DSC_UP0399.JPG 악성파일은 2013년 07월 24일 새벽에 제작되었으며, 07월 24일 경부터 국내에서 유포 중인 정황이 포착됐다. 


악성파일은 기본적으로 온라인 게임 계정 탈취용이 기반으로 제작되어 있으며, 국내외 보안제품들의 정상작동을 방해하는 작업을 한다. 더불어 또 다른 웹 사이트에서 GIF 이미지 파일로 위장한 다수의 악성파일을 다운로드 시도한다.


악성파일은 온라인 게임 계정 탈취 기능외에 국내 특정 웹 사이트들의 관리자 사이트 정보를 수집 시도한다. 2005년 경부터 온라인 게임 계정을 탈취시도하는 악성파일은 Drive By Download 기법을 통해서 국내 다수의 웹 사이트에서 악성파일이 유포되고 있다.

http://mail.osen.co.kr/module/member/login.php
http://cms.osen.co.kr/admin/member/login
http://adv5.etnews.co.kr/RealMedia/ads/OpenAd/adbiz.cgi
http://tech.etnews.com/99_MGMT/10_MAIN/loginFm.php
http://bizcenter.etnews.com/webmail/index.html
http://mail.etnews.co.kr
http://admin.cyad.co.kr/login.php
http://admin123.xportsnews.hankyung.com/
http://mail.news1.kr
http://admin.kukiedu.co.kr/slk_login.aspx
http://tvadmin.edaily.co.kr/adminlogin.asp
http://seoula.seoul.co.kr/admin/login.html
https://121.159.80.2:50005/index.php
https://192.168.3.1:50005/index.php
https://210.179.198.226:50005/index.php
https://211.180.150.146/index.cgi
https://220.123.212.113:50005/
http://tkadmin.yes24.com/manage/login.aspx
https://partneradmin.ezwel.com/cpadm/login/loginForm.ez
http://mail.ajnews.co.kr/
http://admin.t-ad.co.kr/
http://admin.t-ad.co.kr/loginPage.do
http://intra.ndoors.com/
http://sponevt.hangame.com/
http://mail.m2games.kr/
http://martini.npicsoft.com
https://xmail.npicsoft.com
http://khcms.khan.co.kr
http://mail.khan.co.kr
http://start.khan.co.kr
http://condoadmin.auction.co.kr/Manage/Login.aspx
http://admin.heraldm.com:8081/Admin?method=login
http://log.heraldm.com/login/loginForm.tsp
http://adw.heraldm.com/
http://cms.danawa.com/session/login.php
http://s.biz.daum.net/adminform.daum
http://nxerp.nexon.co.kr
http://ot.ytn.co.kr/FrmLogin.aspx
http://mis.ytn.co.kr/subtop/login.asp
http://newsys.ytn.co.kr/
http://m.sportsseoul.com/admin/toto/login/login.jsp
http://erp.sbs.co.kr/erp/
http://shop.golf.sbs.co.kr/scmadmin/login.php
http://adminkt001.olleh.com/
http://homehub.olleh.com/cgi-bin/login_cgi
http://bts1.nhncorp.com/nhnbts/login.jsp
https://hrlove.nhncorp.com/sso/login.jsp
http://mail.nhncorp.com/login
http://iims2.nhncorp.com/adminPM/Login.nhn
https://nsec.nhncorp.com/
https://eiims2.nhncorp.com/adminPM/Login.nhn
http://cms.newsis.com/
http://mail.newsis.com/
https://neoin.neowiz.com/member/login.nwz
http://webmail.mt.co.kr/
http://rms.mgamecorp.com/index.php
http://pdfadmin.kukinews.com/kmib/login/login.asp
http://desk.kukinews.com/web_desk/login/login.asp
https://remote.korail.com/web/login.jsp
http://mail.korail.com/index.jsp
http://nkoreanet.kbs.co.kr/admin/
http://ncc.kbs.co.kr
http://radiotest.kbs.co.kr/admin/radiolg.php
http://erpap1.kbs.co.kr:8001
http://admin.imnews.imbc.com/login.jsp
http://poptv.imbc.com/admin/_POPTVAdminMng.aspx
http://www.hankyung.com/dic/admin/login.php
http://webadmin.hankyung.com/
http://hkms.hankyung.com/
http://nms.hani.co.kr/admin/login.php
http://nuri.hani.co.kr/hanisite/dev/login/login_process.html
http://bridge.hani.co.kr/Hani/User
http://admin.hani.co.kr/
http://hantoma.hani.co.kr/
http://admin.halfclub.com/Login/Login.aspx
http://scm.halfclub.com/
http://pims.freechal.com/
http://mail.freechal.com/Mail/FWAccRepair.asp
http://adsrv2.dt.co.kr/banner/banner/Login.html
http://adsrv1.dt.co.kr/banner/banner/Login.html
http://ciis.chosun.com
http://newmail.chosun.com
http://eip.chosun.com/nanum/flow/admin/
http://mail.chosun.com/cgi-bin/index.cgi
https://scoop.chosun.com/
http://inato2.chosun.com
http://www.cbs.co.kr/cbsboard/2006/admin/
https://www.cbs.co.kr/newadmin/login.aspx
http://mail.asiae.co.kr/



악성파일이 사용하는 명령제어서버(C&C)는 중국 사이트로 구성되어 있다.


국내 유수의 관리자 페이지 정보를 수집시도하는 악성파일이 등장했기 때문에 해당 기업들은 공개되어 있는 관리자 페이지의 접근제어 보안을 강화하거나, 노출된 관리자 페이지의 정보를 수정하는 노력이 필요해 보인다.

가능하다면 관리자 페이지의 경우 기업 내부에서만 접근할 수 있도록 조치하고, 아이디 암호는 수시로 변경하는 보안정책 수립도 요구된다.

3. 마무리

언론사, 포털사, 게임사, 철도 등 국내 주요 웹 사이트의 관리자 정보를 노리는 악성파일이 출현함에 따라 기업 관리자들의 각별한 주의가 요망된다. 보안 취약점에 의해서 악성파일이 다수 전파되고 있으므로, 운영체제와 각종 응용프로그램은 항시 최신버전으로 유지하는 기본적인 보안수칙 준수가 필요하다.

잉카인터넷 대응팀은 해당 악성파일에 대한 진단 및 치료를 추가완료한 상태이다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의


※ 잉카인터넷 대응팀에서는 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

http://avs.nprotect.com/