제로보드 취약점 이용, CK VIP 등 악성코드 유포 활발
플래시 제로데이 취약점 이용한 Magnitude EK 기승...지난 주말부터 급증 추세
[보안뉴스 김경애] 제로보드를 이용한 악성코드와 CK VIP EK 등 한주간 악성코드 유포가 활발한 것으로 나타났다. 또한, 플래시 제로데이 취약점을 이용한 매그니튜드 익스플로잇 킷(Magnitude Exploit Kit, 이하 매그니튜드 EK)이 기승을 부렸다. 뿐만 아니라 사용자 행동을 감시하는 악성코드가 나타났으며, 파밍 사이트는 이용자의 금융정보 탈취를 위해 더욱 정교하게 리뉴얼됐다.
▲제로보드를 이용한 악성코드가 삽입된 XXXX 연구원 사이트
제로보드 이용한 악성코드 유포 활발
11일에는 제로보드를 이용한 악성코드 유포가 활발한 것으로 나타났다. 특히, 제로보드 게시판 소스에 단축URL 경유지가 삽입되어 있어 이용자들의 웹사이트 이용시 주의가 요구된다. 단축 URL은 http://url[.]ms/xxxxx, http://url[.]cn/xxxxxxx 형태 등으로 확인됐으며, 단축URL를 사용하지 않는 경우도 있는 것으로 분석됐다.
이에 대해 제로서트 측은 “공개 게시판인 제로보드(구 버전)를 이용한 홈페이지의 악성코드 유포 활동이 활발해지고 있다”며 “여전히 국내 다수 홈페이지에서는 제로보드 게시판을 이용하고 있으며, 과거처럼 제로보드 게시판 소스에 단축 URL 경유지가 삽입되어 있는 경우가 많았다”고 밝혔다.
플래시 제로데이 취약점 이용한 Magnitude EK 기승
최근 플래시 제로데이 취약점을 이용한 매그니튜드 EK가 국내로 유입되어 기승을 부리고 있다.
▲플래시 제로데이 취약점을 이용한 매그니튜드 EK( Magnitude EK) 유포 현황
하우리가 발표한 ‘국내 유입된 플래시 제로데이 취약점을 이용한 매그니튜드 EK 현황’을 살펴보면 지난 3월 27일부터 28일까지 매그니튜드 EK가 증가했으며, 28일부터 30일까지는 잠시 감소한 것으로 나타났다. 그러다 30일부터 31일까지 다시 증가, 31일부터 4월 2일까지는 감소, 3일 증가했다가 4일 감소하는 등 증가와 감소를 반복하는 흐름을 보였다.
지난 3일에는 플래시 제로데이 취약점(CVE-2016-1019)을 악용한 공격이 국내 최초로 유입됐으며, 4일부터 6일 제로데이 인지 시점까지 매그니튜드 EK는 계속 증가한 것으로 나타났다. 이어 7일 패치가 공개됨에 따라 잠시 감소하는가 싶더니 8일 다시 증가했고, 9일부터 10일 주말에 매그니튜드 EK 유포는 급증해 최대치를 기록했다.
사용자 행동을 감시하는 악성코드
또한, 마이크로소프트(Microsoft)의 procexp.exe 파일을 사칭한 악성코드가 발견됐다. 해당 악성파일은 개인 사이트 http://m****e****u**.**t****s**.org/procexp.exe 에서 유포됐으며, 사용자 행동을 감시하는 기능을 갖췄다. 파일명이 마이크로소프트사의 유틸리티와 같아 사용자들이 실제 유틸리티와 혼동하기 쉽다.
▲실제 Microsoft에서 배포하고 있는 정상 procexp.exe(출처: 잉카인터넷)
이와 관련 7일 잉카인터넷 측은 “해당 악성파일은 윈도우에서 제공하는 기본적인 관리 유틸리티 프로그램들을 사용하지 못하게 동작을 방해하고 방화벽 사용을 해제하며 보안설정을 변경할 뿐만 아니라 윈도우 시큐리티 센터’ 서비스도 중지시킨다(wscsvc 서비스 사용 안함으로 변경)”고 밝혔다. 이로 인해 사용자는 감염 사실을 알아채기 힘들고, 공격자는 감염된 PC를 더욱 취약하게 만들 수 있다는 것.
또한, 해당 악성코드는 실행 프로세스 감시와 키-로그 기능(RAT: Remote Administration Tool)도 갖춘 것으로 알려졌다. explorer.exe를 통해 실행된 악성코드는 RAT 기능으로 사용자 컴퓨터 제어가 가능해진다. 흔히 백도어(Backdoor)라고 불리는 동작과 같고, 악용될 소지가 있어 특히 주의해야 한다. 해당 악성코드가 서버와 통신하면 추가적인 피해가 있을 수 있고, 서버 연결이 되지 않아도 기본적으로 사용자의 실행 프로세스를 감시하고 키보드 입력을 기록하는 동작을 수행할 수 있다.
파밍 사이트, 더 정교하게 리뉴얼
지난 6일에는 파밍 사이트가 리뉴얼 된 점이 포착됐다. 이를 발견한 빛스캔 측은 “악성코드 유포지를 통해 다운로드되는 파밍 바이너리를 확인한 결과 파밍 사이트가 리뉴얼됐다”며 “리뉴얼이 된 파밍 사이트는 포털사이트 네이버를 사칭하고 있으며, ‘민생침해 5대 금융악을 척결하기 위한 특별대책’ 문구를 사용해 사용자들에게 플로팅 배너로 가짜 은행 사이트 접속을 유도했다”고 밝혔다.
▲(좌측)정상 금융감독원 사이트와 (우측)파밍 사이트 비교화면(출처: 빛스캔)
특히, 공격자는 금융정보를 탈취하기 위해 해당 금감원에서 사용하는 그림과 문구를 넣어 치밀함과 정교함을 갖췄다. 따라서 이용자는 파밍 사이트에 각별히 주의해야 한다.
CK VIP 등 악성코드 유포 활발
국내 웹사이트를 대상으로 한 악성코드 유포가 다시금 활발해진 것으로 나타났다. 특히, 자동화 공격 도구(CK VIP, Gongda, Sweetorange, Rig 등)를 활용한 악성코드와 분석 시스템, PC내 설치된 안티바이러스 탐지를 우회해 고도화 하는 방식으로 많은 피해를 발생시킨 것으로 분석됐다. 또한, CK VIP가 잦은 업데이트를 진행하는 것으로 보아 새로운 취약점을 추가할 가능성이 높다는 분석이다.
보안 취약한 웹사이트, 악성코드 유포 및 경유지로 악용
국내 어린이와 영유아 관련 자선 사업 단체 홈페이지에서 악성코드 파일이 업로드되어 파일 보관소로 이용되는 정황도 포착됐다. 해당 홈페이지에 악성코드가 업로드되기 시작한 시점은 9일부터로 분석됐으며, 전산 담당자가 업무가 시작되기 전 악성코드 파일을 삭제했을 가능성이 크다.
▲악성코드가 업로드된 국내 어린이와 영유아 관련 자선 사업 단체 홈페이지(자료제공: MDsoft)
이에 대해 MDsoft(대표 백진성) 측은 “해당 홈페이지는 악성코드 유포에 직접적으로 활용되진 않았지만, 간접적으로 악성코드 파일이 업로드 되어 있다”며 “악성링크가 삽입된 홈페이지 접속 시 해당 단체의 홈페이지에서 악성코드가 다운로드 되어 사용자 PC를 감염시킨다”고 밝혔다.
▲지난 7일 악성코드 경유지로 악용된 파일 관련 사이트의 악성코드 삽입 화면
지난 7일에는 XXX코페레이션이 악성코드 경유지로 악용됐으며, 이보다 앞서 6일에는 파일 관련 사이트가 디페이스 해킹을 당했다.
▲지난 6일 발견된 디페이스 해킹 화면
이에 대해 보안전문가 AuditorLee는 보안이 취약한 웹사이트가 여전히 악성코드 유포지 및 경유지로 악용되고 있다며 웹사이트 관리를 철저히 해야 한다고 강조했다.
지난 1일에는 공공·민간의 시스템연계를 통한 서비스 제공업체 XX유시티의 홈페이지에서 악성링크가 발견됐다.
▲악성링크가 발견된 XX유시티의 홈페이지(자료제공: 빛스캔)
이에 대해 빛스캔(대표 문일준) 측은 “공격자가 웹사이트에 악성링크를 삽입했다는 것은 해당 사이트에 대한 권한을 가지고 있다는 것”이라며 “내부 PC가 감염됐기 때문에 2차적인 피해가 우려될 수 있는 상황”이라고 밝혔다.
특히, 해당 사이트는 다양한 정보를 민간과 공공에 제공하고 있어 보다 큰 피해가 우려되는 상황이다. 따라서 웹사이트 관리 뿐만 아니라 내부 보안대책도 강구해야 할 것으로 보인다.
벤더별 취약점, 총15개 발견
4월 1주차 벤더별 취약점으로는 시스코가 가장 많이 발견됐다. SK인포섹 블로그에 따르면 총 15건의 벤더별 취약점 가운데 시스코 7건(47%), 구글 6건(40%), IBM 1RJS(7%), 애플 1건(7%) 순으로 나타났다.
▲4월 1주차 벤더별 취약점(출처: SK인포섹 블로그)
▲4월 1주차 탐지된 공격유형(출처: SK인포섹 블로그)
지난 한 주간 탐지된 공격유형으로는 Denial_Of_Service(80.87%), 웹해킹(10.36%)가 높은 점유율을 차지했고, 탐지된 패턴은 TLS Malformed Handshake DoS가 1260,039건(78.83%)로 가장 많았다.
[김경애 기자(boan3@boannews.com)]
플래시 제로데이 취약점 이용한 Magnitude EK 기승...지난 주말부터 급증 추세
[보안뉴스 김경애] 제로보드를 이용한 악성코드와 CK VIP EK 등 한주간 악성코드 유포가 활발한 것으로 나타났다. 또한, 플래시 제로데이 취약점을 이용한 매그니튜드 익스플로잇 킷(Magnitude Exploit Kit, 이하 매그니튜드 EK)이 기승을 부렸다. 뿐만 아니라 사용자 행동을 감시하는 악성코드가 나타났으며, 파밍 사이트는 이용자의 금융정보 탈취를 위해 더욱 정교하게 리뉴얼됐다.
▲제로보드를 이용한 악성코드가 삽입된 XXXX 연구원 사이트
제로보드 이용한 악성코드 유포 활발
11일에는 제로보드를 이용한 악성코드 유포가 활발한 것으로 나타났다. 특히, 제로보드 게시판 소스에 단축URL 경유지가 삽입되어 있어 이용자들의 웹사이트 이용시 주의가 요구된다. 단축 URL은 http://url[.]ms/xxxxx, http://url[.]cn/xxxxxxx 형태 등으로 확인됐으며, 단축URL를 사용하지 않는 경우도 있는 것으로 분석됐다.
이에 대해 제로서트 측은 “공개 게시판인 제로보드(구 버전)를 이용한 홈페이지의 악성코드 유포 활동이 활발해지고 있다”며 “여전히 국내 다수 홈페이지에서는 제로보드 게시판을 이용하고 있으며, 과거처럼 제로보드 게시판 소스에 단축 URL 경유지가 삽입되어 있는 경우가 많았다”고 밝혔다.
플래시 제로데이 취약점 이용한 Magnitude EK 기승
최근 플래시 제로데이 취약점을 이용한 매그니튜드 EK가 국내로 유입되어 기승을 부리고 있다.
▲플래시 제로데이 취약점을 이용한 매그니튜드 EK( Magnitude EK) 유포 현황
하우리가 발표한 ‘국내 유입된 플래시 제로데이 취약점을 이용한 매그니튜드 EK 현황’을 살펴보면 지난 3월 27일부터 28일까지 매그니튜드 EK가 증가했으며, 28일부터 30일까지는 잠시 감소한 것으로 나타났다. 그러다 30일부터 31일까지 다시 증가, 31일부터 4월 2일까지는 감소, 3일 증가했다가 4일 감소하는 등 증가와 감소를 반복하는 흐름을 보였다.
지난 3일에는 플래시 제로데이 취약점(CVE-2016-1019)을 악용한 공격이 국내 최초로 유입됐으며, 4일부터 6일 제로데이 인지 시점까지 매그니튜드 EK는 계속 증가한 것으로 나타났다. 이어 7일 패치가 공개됨에 따라 잠시 감소하는가 싶더니 8일 다시 증가했고, 9일부터 10일 주말에 매그니튜드 EK 유포는 급증해 최대치를 기록했다.
사용자 행동을 감시하는 악성코드
또한, 마이크로소프트(Microsoft)의 procexp.exe 파일을 사칭한 악성코드가 발견됐다. 해당 악성파일은 개인 사이트 http://m****e****u**.**t****s**.org/procexp.exe 에서 유포됐으며, 사용자 행동을 감시하는 기능을 갖췄다. 파일명이 마이크로소프트사의 유틸리티와 같아 사용자들이 실제 유틸리티와 혼동하기 쉽다.
▲실제 Microsoft에서 배포하고 있는 정상 procexp.exe(출처: 잉카인터넷)
이와 관련 7일 잉카인터넷 측은 “해당 악성파일은 윈도우에서 제공하는 기본적인 관리 유틸리티 프로그램들을 사용하지 못하게 동작을 방해하고 방화벽 사용을 해제하며 보안설정을 변경할 뿐만 아니라 윈도우 시큐리티 센터’ 서비스도 중지시킨다(wscsvc 서비스 사용 안함으로 변경)”고 밝혔다. 이로 인해 사용자는 감염 사실을 알아채기 힘들고, 공격자는 감염된 PC를 더욱 취약하게 만들 수 있다는 것.
또한, 해당 악성코드는 실행 프로세스 감시와 키-로그 기능(RAT: Remote Administration Tool)도 갖춘 것으로 알려졌다. explorer.exe를 통해 실행된 악성코드는 RAT 기능으로 사용자 컴퓨터 제어가 가능해진다. 흔히 백도어(Backdoor)라고 불리는 동작과 같고, 악용될 소지가 있어 특히 주의해야 한다. 해당 악성코드가 서버와 통신하면 추가적인 피해가 있을 수 있고, 서버 연결이 되지 않아도 기본적으로 사용자의 실행 프로세스를 감시하고 키보드 입력을 기록하는 동작을 수행할 수 있다.
파밍 사이트, 더 정교하게 리뉴얼
지난 6일에는 파밍 사이트가 리뉴얼 된 점이 포착됐다. 이를 발견한 빛스캔 측은 “악성코드 유포지를 통해 다운로드되는 파밍 바이너리를 확인한 결과 파밍 사이트가 리뉴얼됐다”며 “리뉴얼이 된 파밍 사이트는 포털사이트 네이버를 사칭하고 있으며, ‘민생침해 5대 금융악을 척결하기 위한 특별대책’ 문구를 사용해 사용자들에게 플로팅 배너로 가짜 은행 사이트 접속을 유도했다”고 밝혔다.
▲(좌측)정상 금융감독원 사이트와 (우측)파밍 사이트 비교화면(출처: 빛스캔)
특히, 공격자는 금융정보를 탈취하기 위해 해당 금감원에서 사용하는 그림과 문구를 넣어 치밀함과 정교함을 갖췄다. 따라서 이용자는 파밍 사이트에 각별히 주의해야 한다.
CK VIP 등 악성코드 유포 활발
국내 웹사이트를 대상으로 한 악성코드 유포가 다시금 활발해진 것으로 나타났다. 특히, 자동화 공격 도구(CK VIP, Gongda, Sweetorange, Rig 등)를 활용한 악성코드와 분석 시스템, PC내 설치된 안티바이러스 탐지를 우회해 고도화 하는 방식으로 많은 피해를 발생시킨 것으로 분석됐다. 또한, CK VIP가 잦은 업데이트를 진행하는 것으로 보아 새로운 취약점을 추가할 가능성이 높다는 분석이다.
보안 취약한 웹사이트, 악성코드 유포 및 경유지로 악용
국내 어린이와 영유아 관련 자선 사업 단체 홈페이지에서 악성코드 파일이 업로드되어 파일 보관소로 이용되는 정황도 포착됐다. 해당 홈페이지에 악성코드가 업로드되기 시작한 시점은 9일부터로 분석됐으며, 전산 담당자가 업무가 시작되기 전 악성코드 파일을 삭제했을 가능성이 크다.
▲악성코드가 업로드된 국내 어린이와 영유아 관련 자선 사업 단체 홈페이지(자료제공: MDsoft)
이에 대해 MDsoft(대표 백진성) 측은 “해당 홈페이지는 악성코드 유포에 직접적으로 활용되진 않았지만, 간접적으로 악성코드 파일이 업로드 되어 있다”며 “악성링크가 삽입된 홈페이지 접속 시 해당 단체의 홈페이지에서 악성코드가 다운로드 되어 사용자 PC를 감염시킨다”고 밝혔다.
▲지난 7일 악성코드 경유지로 악용된 파일 관련 사이트의 악성코드 삽입 화면
지난 7일에는 XXX코페레이션이 악성코드 경유지로 악용됐으며, 이보다 앞서 6일에는 파일 관련 사이트가 디페이스 해킹을 당했다.
▲지난 6일 발견된 디페이스 해킹 화면
이에 대해 보안전문가 AuditorLee는 보안이 취약한 웹사이트가 여전히 악성코드 유포지 및 경유지로 악용되고 있다며 웹사이트 관리를 철저히 해야 한다고 강조했다.
지난 1일에는 공공·민간의 시스템연계를 통한 서비스 제공업체 XX유시티의 홈페이지에서 악성링크가 발견됐다.
▲악성링크가 발견된 XX유시티의 홈페이지(자료제공: 빛스캔)
이에 대해 빛스캔(대표 문일준) 측은 “공격자가 웹사이트에 악성링크를 삽입했다는 것은 해당 사이트에 대한 권한을 가지고 있다는 것”이라며 “내부 PC가 감염됐기 때문에 2차적인 피해가 우려될 수 있는 상황”이라고 밝혔다.
특히, 해당 사이트는 다양한 정보를 민간과 공공에 제공하고 있어 보다 큰 피해가 우려되는 상황이다. 따라서 웹사이트 관리 뿐만 아니라 내부 보안대책도 강구해야 할 것으로 보인다.
벤더별 취약점, 총15개 발견
4월 1주차 벤더별 취약점으로는 시스코가 가장 많이 발견됐다. SK인포섹 블로그에 따르면 총 15건의 벤더별 취약점 가운데 시스코 7건(47%), 구글 6건(40%), IBM 1RJS(7%), 애플 1건(7%) 순으로 나타났다.
▲4월 1주차 벤더별 취약점(출처: SK인포섹 블로그)
▲4월 1주차 탐지된 공격유형(출처: SK인포섹 블로그)
지난 한 주간 탐지된 공격유형으로는 Denial_Of_Service(80.87%), 웹해킹(10.36%)가 높은 점유율을 차지했고, 탐지된 패턴은 TLS Malformed Handshake DoS가 1260,039건(78.83%)로 가장 많았다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
