반디소프트 “26일 홈피 공격으로 일부 사용자 꿀뷰 대신 악성코드 다운로드”
해커, ARP 스푸핑 공격으로 반디소프트 홈페이지 내용 외부에서 변조
[보안뉴스 권 준] 반디소프트의 이미지 뷰어 프로그램인 ‘꿀뷰’를 다운로드 받은 200여명의 사용자들이 꿀뷰 설치 파일 대신 악성코드를 다운로드 받은 것으로 드러났다.
26일 오후 2시부터 4시까지 약 두 시간 동안, 반디소프트 홈페이지(www.bandisoft.co.kr)가 외부로부터 공격을 받아 이 기간 동안 반디소프트 홈페이지를 통해서 꿀뷰를 다운로드 받은 약 200여명에게 꿀뷰 설치 파일 대신 악성코드가 다운로드 되는 문제가 발생했다.
반디소프트 측에 따르면 해커는 반디소프트 홈페이지가 있는 IDC 내에 반디소프트 홈페이지와 같은 IP 대역을 사용하는 서버를 해킹한 후, ARP 스푸핑 방식을 이용해서 사용자가 홈페이지 접근 시 반디소프트 홈페이지의 내용을 외부에서 변조했다.
ARP(Address Resolution Protocol) 스푸핑(Spoofing) 공격은 동일 네트워크에 존재하는 공격대상 PC의 IP 주소를 공격자 자신의 MAC 주소와 연결해 다른 PC에 전달돼야 하는 정보를 가로채는 공격을 의미한다.
이를 통해 해당 기간 동안 홈페이지를 통해서 꿀뷰를 다운로드 받으려고 하는 사용자에게 꿀뷰 대신 외부 사이트에 올려놓은 악성코드를 대신 다운로드 받도록 한 것이다. 해당 악성 코드를 실행할 경우, 사용자에게는 원래 꿀뷰 설치파일을 실행하도록 하고, 악성코드는 시스템의 자동 실행에 등록되도록 함으로써 시스템의 정보를 외부로 유출하는 동작을 하는 것으로 분석됐다.
이에 반디소프트 측은 “ARP 스푸핑을 차단하기 위해 게이트웨이의 MAC 어드레스를 고정시켜 놓았으며, 향후 추가적인 문제가 발생하는 것을 차단하기 위해서 홈페이지의 모든 http 프로토콜을 차단하고, https 로만 접근이 가능하도록 홈페이지를 변경했다”고 밝혔다.
이에 따라 26일 오후 2시부터 4시까지 꿀뷰를 다운로드 받은 사용자는 물론 꿀뷰를 설치한 모든 사용자들은 악성코드 감염 여부를 확인할 필요가 있다. 악성코드 확인 방법은 다음과 같다.
1) 작업 관리자를 실행해 프로세스 목록에 cacls.exe가 포함되어 있는지 확인한다. cacls.exe 자체는 OS의 내장 프로그램이며, 악성코드가 아니지만, 이번에 배포된 악성 코드는 이 프로세스를 이용하여 시스템에 상주하는 방식을 사용하고 있다. 만일 작업관리자에 cacls.exe가 있다면, 해당 프로세스를 강제 종료한 후, 안티 바이러스 프로그램을 이용하여 시스템을 점검해봐야 한다.
▲ 출처: 반디소프트 블로그
2) 레지스트리 에디터를 실행시킨 후
HKLM\Software\Microsoft\Windows\CurrentVersion\Run 항목에 아래와 같이 임의의 영문과 숫자가 포함된 항목에 HONEYVIE-SETUP-KR.EXE 항목이 있는 경우, 해당 항목을 삭제 후 시스템을 검사해야 한다.
▲ 출처: 반디소프트 블로그
3) 컴퓨터를 시작하자마자 아래와 같이 꿀뷰 설치 프로그램이 실행되는 경우, 해당 악성코드가 설치된 상태이므로 위에 언급된 cacls.exe 프로세스를 종료한 후 시스템을 검사해야 한다.
▲ 출처: 반디소프트 블로그
4) 이번 악성코드는 시스템의 프록시 설정을 바꾸기 때문에 프록시 설정을 원상복구시켜야 한다.
위의 악성코드 확인 단계를 거쳐 PC에 악성코드가 설치된 것으로 확인됐거나 의심된다면 다음의 검사 및 치료 방법을 거쳐야 한다. 먼저 아래 링크의 안티 바이러스 프로그램 중 하나를 다운로드 및 설치하여 시스템을 검사해야 한다.
1) 알약 다운로드 http://www.alyac.com/
2) V3 다운로드
http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=8&from=v3lite
3월 27일 현재 해당 악성코드는 알약, V3, Comodo, 카스퍼스키 등의 안티바이러스 프로그램으로 검출 및 치료가 가능한 것으로 확인됐다.
해당 악성코드의 경우 아직 정확한 분석이 나오지 않은 상태이긴 하지만, 시스템의 프록시 설정을 바꾸는 것으로 봐서 사용자의 개인정보나 홈페이지 접속 시 사용하는 아이디 및 패스워드를 탈취하는 기능이 있는 것으로 추정된다. 또한, 꿀뷰 외에 반디소프트의 다른 프로그램인 반디집 등의 사용자는 별다른 피해가 없었던 것으로 조사됐다.
[권 준 기자(editor@boannews.com)]
해커, ARP 스푸핑 공격으로 반디소프트 홈페이지 내용 외부에서 변조
[보안뉴스 권 준] 반디소프트의 이미지 뷰어 프로그램인 ‘꿀뷰’를 다운로드 받은 200여명의 사용자들이 꿀뷰 설치 파일 대신 악성코드를 다운로드 받은 것으로 드러났다.
26일 오후 2시부터 4시까지 약 두 시간 동안, 반디소프트 홈페이지(www.bandisoft.co.kr)가 외부로부터 공격을 받아 이 기간 동안 반디소프트 홈페이지를 통해서 꿀뷰를 다운로드 받은 약 200여명에게 꿀뷰 설치 파일 대신 악성코드가 다운로드 되는 문제가 발생했다.
반디소프트 측에 따르면 해커는 반디소프트 홈페이지가 있는 IDC 내에 반디소프트 홈페이지와 같은 IP 대역을 사용하는 서버를 해킹한 후, ARP 스푸핑 방식을 이용해서 사용자가 홈페이지 접근 시 반디소프트 홈페이지의 내용을 외부에서 변조했다.
ARP(Address Resolution Protocol) 스푸핑(Spoofing) 공격은 동일 네트워크에 존재하는 공격대상 PC의 IP 주소를 공격자 자신의 MAC 주소와 연결해 다른 PC에 전달돼야 하는 정보를 가로채는 공격을 의미한다.
이를 통해 해당 기간 동안 홈페이지를 통해서 꿀뷰를 다운로드 받으려고 하는 사용자에게 꿀뷰 대신 외부 사이트에 올려놓은 악성코드를 대신 다운로드 받도록 한 것이다. 해당 악성 코드를 실행할 경우, 사용자에게는 원래 꿀뷰 설치파일을 실행하도록 하고, 악성코드는 시스템의 자동 실행에 등록되도록 함으로써 시스템의 정보를 외부로 유출하는 동작을 하는 것으로 분석됐다.
이에 반디소프트 측은 “ARP 스푸핑을 차단하기 위해 게이트웨이의 MAC 어드레스를 고정시켜 놓았으며, 향후 추가적인 문제가 발생하는 것을 차단하기 위해서 홈페이지의 모든 http 프로토콜을 차단하고, https 로만 접근이 가능하도록 홈페이지를 변경했다”고 밝혔다.
이에 따라 26일 오후 2시부터 4시까지 꿀뷰를 다운로드 받은 사용자는 물론 꿀뷰를 설치한 모든 사용자들은 악성코드 감염 여부를 확인할 필요가 있다. 악성코드 확인 방법은 다음과 같다.
1) 작업 관리자를 실행해 프로세스 목록에 cacls.exe가 포함되어 있는지 확인한다. cacls.exe 자체는 OS의 내장 프로그램이며, 악성코드가 아니지만, 이번에 배포된 악성 코드는 이 프로세스를 이용하여 시스템에 상주하는 방식을 사용하고 있다. 만일 작업관리자에 cacls.exe가 있다면, 해당 프로세스를 강제 종료한 후, 안티 바이러스 프로그램을 이용하여 시스템을 점검해봐야 한다.
▲ 출처: 반디소프트 블로그
2) 레지스트리 에디터를 실행시킨 후
HKLM\Software\Microsoft\Windows\CurrentVersion\Run 항목에 아래와 같이 임의의 영문과 숫자가 포함된 항목에 HONEYVIE-SETUP-KR.EXE 항목이 있는 경우, 해당 항목을 삭제 후 시스템을 검사해야 한다.
▲ 출처: 반디소프트 블로그
3) 컴퓨터를 시작하자마자 아래와 같이 꿀뷰 설치 프로그램이 실행되는 경우, 해당 악성코드가 설치된 상태이므로 위에 언급된 cacls.exe 프로세스를 종료한 후 시스템을 검사해야 한다.
▲ 출처: 반디소프트 블로그
4) 이번 악성코드는 시스템의 프록시 설정을 바꾸기 때문에 프록시 설정을 원상복구시켜야 한다.
위의 악성코드 확인 단계를 거쳐 PC에 악성코드가 설치된 것으로 확인됐거나 의심된다면 다음의 검사 및 치료 방법을 거쳐야 한다. 먼저 아래 링크의 안티 바이러스 프로그램 중 하나를 다운로드 및 설치하여 시스템을 검사해야 한다.
1) 알약 다운로드 http://www.alyac.com/
2) V3 다운로드
http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=8&from=v3lite
3월 27일 현재 해당 악성코드는 알약, V3, Comodo, 카스퍼스키 등의 안티바이러스 프로그램으로 검출 및 치료가 가능한 것으로 확인됐다.
해당 악성코드의 경우 아직 정확한 분석이 나오지 않은 상태이긴 하지만, 시스템의 프록시 설정을 바꾸는 것으로 봐서 사용자의 개인정보나 홈페이지 접속 시 사용하는 아이디 및 패스워드를 탈취하는 기능이 있는 것으로 추정된다. 또한, 꿀뷰 외에 반디소프트의 다른 프로그램인 반디집 등의 사용자는 별다른 피해가 없었던 것으로 조사됐다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
