국내 웹사이트: 파밍 악성코드, CK VIP공격, 300여개 사이트 신규 경유지로 악용
[보안뉴스 김경애] 한 주간 파밍용 악성코드가 활개를 쳤으며, CK VIP 익스플로잇 킷(Exploit Kit) 공격도 기승을 부렸다. 이와 함께 중소기업과 개인 사이트 300여곳에서 악성 단축 URL이 삽입돼 신규 경유지로 악용되는 등 한주 동안 국내 웹사이트가 각종 사이버공격에 몸살을 앓았다.
갈수록 지능화되는 파밍 악성코드 기승
한 주간 파밍 사이트가 리뉴얼되면서 맥(Mac) 주소를 탈취하는 등의 악성행위를 수행했다. 지난 18일에는 XXX도선사회 사이트에서 악성 바이러스를 유의하라는 글이 공지사항에 올라왔다.
▲악성코드 경유지로 악용된 XXX도선사회 사이트
이에 본지가 20일 해당 사이트를 접속한 결과 악성코드가 발견됐다. 크롬 브라우저에서는 공격자가 사진, 비밀번호, 메시지, 신용카드 등 사용자 정보를 도용하거나 삭제하는 위험한 프로그램을 컴퓨터에 설치하려고 시도할 수 있다며 주의를 당부했다.
▲XX항도선사회에 삽입된 heart.js 파일 악성 스크립트 화면
이에 대해 제로서트 측은 “XX항도선사회 홈페이지가 경유지로 악용되는 것으로 탐지됐고, heart.js 파일 악성 스크립는 홈페이지 소스에 20일 현재까지도 아직 남아있다”며 “이러한 정황으로 볼 때 heart.js 파일을 이용한 공격으로 보인다. 이외에도 지난 3월 25일부터 XX경제연구원 등 국내 여러 사이트에서 heart.js 악성파일을 이용해 악성코드가 유포됐다”고 밝혔다.
▲국내 여러 사이트에서 heart.js 악성파일을 이용한 악성파일 유포 탐지 화면
이에 그는 “웹서버내 heart.js 파일이 생성됐는지 여부를 확인해야 한다”며 “해당 악성파일은 금융정보를 탈취하는 파밍용 악성코드다. 일반적으로 파밍 공격자들은 대체적으로 51yes 카운터 사용하는데, 이번엔 경유지로 악용해 51yes 카운터를 사용하지 않았다. CK VIP공격자와 동일범으로 보인다”고 설명했다.
이보다 앞서 지난 1일에는 XX성모병원의 모바일 홈페이지에 파밍 바이너리가 업로드 되어 최종 다운로드지로 활용됐다. 병원에 업로드 된 바이너리는 파밍 악성코드로 확인됐으며, 바이너리 감염시에 PC의 맥 주소와 저장된 공인인증서를 탈취해 공격자 서버에 전송하는 활동도 관찰됐다.
.jpg)
▲파밍 악성코드가 업로드된 XX성모병원 사이트(자료제공: 빛스캔)
더욱 우려되는 것은 최종 다운로드지로 활용된 곳이 병원 홈페이지라는 점이다. 이에 대해 빛스캔(대표 문일준) 측은 “병원 같은 경우 실생활에 밀접한 관계가 있고, 내부에 환자 및 의료 정보 등 다양한 정보가 있기 때문에 보안에 더욱 철저해야 한다”며 “하지만 XX성모병원 같은 경우에는 공격자가 바이너리를 업로드 했다는 것은 이미 내부의 권한이 넘어간 상태로 볼 수 있다”고 우려했다. 즉, 내부와 연결되어 있다면 의료정보 유출과 같은 2차적인 피해가 일어 날 수 있다는 것이다. 지난해에도 크고 작은 의료관련 사이트가 악성코드 유포 및 경유지로 활용돼 많은 인증서가 유출된 바 있어 빠른 조치가 필요하다.
CK VIP 공격 기승
CK VIP 익스플로잇 킷(Exploit Kit) 공격도 기승을 부렸다. 해당 공격이 탐지된 웹사이트는 수도관생산, 음향 기기 수입, 원목자재 판매, 커뮤니티, 인터넷 서비스, 고전 게임 서비스, 의료 관련 신문사, 중독 치료 커뮤니티 사이트 등이며, 탐지되지 않은 사이트까지 포함하면 더 많을 것으로 추정된다.
▲CK VIP 익스플로잇킷 공격이 탐지된 사이트 리스트(자료제공: 에프원 시큐리티)
이와 관련 에프원시큐리티에서 발표한 ‘CK VIP Exploit Kit 분석 보고서 및 주간 악성코드 동향’에 따르면 이용자 PC에 CVE-2014-6332 취약점이 존재하면, 취약점을 통해 cmd로 악성 vbs 파일을 생성하고 악성파일이 다운로드 및 실행된다고 밝혔다.
다운로드되는 악성파일은 q.exe이며, 금융정보를 탈취하는 파밍 악성코드로 실행시 cacls.exe 프로세스로 위장해 PAC 스크립트를 변경하고 파밍을 유도하는 프로그램이다.
취약점이 있는 곳이면 무조건 공격해 악성 웹페이지를 올리는 것으로 보이며, 취약점이 한번 존재한 페이지는 악성파일들을 삭제하더라도 그대로 취약점이 존재할시 다시 공격해 업로드하는 것으로 분석됐다.
해당 공격은 2014~2015년 유행하던 공격이며, 한동안 잠잠하다 지난 3월 31일부터 지난 15일까지 하루도 빠짐없이 탐지됐다. 주간에 해당 공격이 매우 많이 발견되고 있어 상당한 주의가 필요하다.
이에 대해 에프원시큐리티 조재근 연구원은 “다운받는 파일을 백도어, 키로깅 등 모든 유형을 exe 실행파일로 바꿔 넣을 수 있기 때문에 위험하다”며 “현재는 금융 파밍 악성코드로 되어 있어 금전적 손해가 발생할 수 있다. 페이지에 파일을 업로드 한다는 것은 관리자 권한을 취득했다는 의미로, 다른 공격을 시도할 수 있어 매우 위험하다”고 말했다.
따라서 이용자는 IE와 Java, Flash Player, OS를 최신 버전으로 유지해야 한다. 또한, 웹 브라우저의 설정 중 Script 사용을 해제하고 필요할 시에만 켜두는 것이 바람직하다.
300여개 사이트 신규 경유지로 악용
한 주간 신규 경유지의 활동이 활발했던 것으로 집계됐다. 빛스캔이 발표한 ‘4월 3주차 인터넷 위협 분석 보고서’에 따르면 신규 경유지의 활동 증가해 단축 URL을 활용한 악성링크가 약 300여개 사이트에서 발견됐다고 밝혔다.
▲4월 3주차 악성코드 유포 현황(출처: 빛스캔)
신규 경유지의 활동이 높게 나타난 원인으로는 제로보드를 사용하는 중소기업과 개인 사이트 300여곳에서 악성 단축 URL이 삽입됐기 때문으로 분석됐다. 또한, 단축 URL을 활용한 공격은 장비 차단이 어렵다는 것을 알고 공격자가 이를 활용한 것으로 보인다.
이에 대해 빛스캔 측은 “평일 기간에도 악성코드 유포가 증가했으며, 탐지 우회를 위해 공격자가 하위 URL을 지속적으로 변경했다”고 밝혔다.
이외에도 파일공유(P2P), 전주XXX, 인천항XXX, XX경제연구원, XX신문 등 사이트에서의 악성코드가 유포됐다.
악성코드 유포 통로로 활용
한 경제연구원 홈페이지의 특정 페이지가 악성코드 유포 통로로 활용됐다. 악성코드 유포 통로는 웹을 통한 악성코드 유포 중 다단계 유포 방식으로, 악성코드가 탐지되는 것을 최소화하기 위해 사용하는 방식 중 하나다. 주로 큰 규모로 운영되는 홈페이지의 하위 페이지 일부에 악성 스크립트나 코드를 삽입한 후, 해당 링크를 국내 다양한 사이트에 삽입해 해당 홈페이지 방문자를 대상으로 악성코드를 유포한다.
▲악성코드 유포 통로로 악용된 XX경제 연구원 사이트(자료제공: MDSoft)
MDsoft 백진성 대표는 “공격자가 악성코드를 유포하기 위해 다단계 판매 방식과 유사한 다단계 유포 방식을 활용해 악성코드가 탐지·차단되는 것을 회피하고 있는 성향이 있어 많이 사용한다”며 “특히, 대규모로 운영되는 홈페이지 중 보안취약점이 있을 경우 이를 공격해서 하위 페이지에 악성 스크립트나 코드를 삽입해 해당 링크를 악성링크로 활용하고 있다”고 전했다.
또한, 백 대표는 “이는 홈페이지나 서버 취약점 등 다양한 경로를 통해 공격을 감행하기 때문에 주기적인 보안 취약점 점검과 실시간 모니터링 체계를 구축하는 것이 가장 중요하다”며 “웹을 통한 악성코드 유포는 매일 발생하고 있고 그 피해액도 수억 원에 달하기 때문에 악성링크나 C&C서버를 사전 탐지해 발생할 수 있는 위협을 최소화 하는 것이 악성코드 피해를 예방할 수 있는 대응책”이라며 사전탐지의 중요성을 강조했다.
모바일 악성코드, PUA 기승
한 주간 모바일 악성코드는 PUA(Potentially Unwanted Application)가 가장 기승을 부렸다.
▲최근 2주간(3월30~4월12일) 모바일 악성코드 통계(자료제공: NSHC)
NSHC가 발표한 ‘Droid-X 3.0 모바일 악성코드 동향’ 중 최근 2주간(3월 30일~4월 12일) 모바일 악성코드 통계에 따르면 지난 3월 30일 1428개, 31일 1327개, 4월 1일 1506개, 2일 738개, 3일 985개, 4일 1436개, 5일 1218개, 6일 1784개, 7일 1124개, 8일 851개, 9일 957개, 10일 1609개, 11일 1395개, 12일 1042개로 집계됐다.
한 주간 취약점, 어도비 21건
한 주간 벤더별 취약점은 어도비에서 가장 많이 발견됐다. SK인포섹 블로그에 따르면 4월 2주 벤더별 취약점은 총 35건이며, 이 가운데 어도비 21건(60%), 시스코 6건(17.1%), IBM 6건(17.1%) 순으로 나타났다.
▲한 주간 탐지된 벤더별 취약점(출처: SK인포섹 블로그)
▲한 주간 탐지된 공격유형(출처: SK인포섹 블로그)
한 주간 탐지된 공격유형은 웹해킹이 32.74%, 시스템 해킹이 28.97%로 높은 점유율을 차지했다. 탐지된 패턴은 default.asp가 117,660건(14.73%)으로 가장 많았다.
[김경애 기자(boan3@boannews.com)]
[보안뉴스 김경애] 한 주간 파밍용 악성코드가 활개를 쳤으며, CK VIP 익스플로잇 킷(Exploit Kit) 공격도 기승을 부렸다. 이와 함께 중소기업과 개인 사이트 300여곳에서 악성 단축 URL이 삽입돼 신규 경유지로 악용되는 등 한주 동안 국내 웹사이트가 각종 사이버공격에 몸살을 앓았다.
갈수록 지능화되는 파밍 악성코드 기승
한 주간 파밍 사이트가 리뉴얼되면서 맥(Mac) 주소를 탈취하는 등의 악성행위를 수행했다. 지난 18일에는 XXX도선사회 사이트에서 악성 바이러스를 유의하라는 글이 공지사항에 올라왔다.
▲악성코드 경유지로 악용된 XXX도선사회 사이트
이에 본지가 20일 해당 사이트를 접속한 결과 악성코드가 발견됐다. 크롬 브라우저에서는 공격자가 사진, 비밀번호, 메시지, 신용카드 등 사용자 정보를 도용하거나 삭제하는 위험한 프로그램을 컴퓨터에 설치하려고 시도할 수 있다며 주의를 당부했다.
▲XX항도선사회에 삽입된 heart.js 파일 악성 스크립트 화면
이에 대해 제로서트 측은 “XX항도선사회 홈페이지가 경유지로 악용되는 것으로 탐지됐고, heart.js 파일 악성 스크립는 홈페이지 소스에 20일 현재까지도 아직 남아있다”며 “이러한 정황으로 볼 때 heart.js 파일을 이용한 공격으로 보인다. 이외에도 지난 3월 25일부터 XX경제연구원 등 국내 여러 사이트에서 heart.js 악성파일을 이용해 악성코드가 유포됐다”고 밝혔다.
▲국내 여러 사이트에서 heart.js 악성파일을 이용한 악성파일 유포 탐지 화면
이에 그는 “웹서버내 heart.js 파일이 생성됐는지 여부를 확인해야 한다”며 “해당 악성파일은 금융정보를 탈취하는 파밍용 악성코드다. 일반적으로 파밍 공격자들은 대체적으로 51yes 카운터 사용하는데, 이번엔 경유지로 악용해 51yes 카운터를 사용하지 않았다. CK VIP공격자와 동일범으로 보인다”고 설명했다.
이보다 앞서 지난 1일에는 XX성모병원의 모바일 홈페이지에 파밍 바이너리가 업로드 되어 최종 다운로드지로 활용됐다. 병원에 업로드 된 바이너리는 파밍 악성코드로 확인됐으며, 바이너리 감염시에 PC의 맥 주소와 저장된 공인인증서를 탈취해 공격자 서버에 전송하는 활동도 관찰됐다.
▲파밍 악성코드가 업로드된 XX성모병원 사이트(자료제공: 빛스캔)
더욱 우려되는 것은 최종 다운로드지로 활용된 곳이 병원 홈페이지라는 점이다. 이에 대해 빛스캔(대표 문일준) 측은 “병원 같은 경우 실생활에 밀접한 관계가 있고, 내부에 환자 및 의료 정보 등 다양한 정보가 있기 때문에 보안에 더욱 철저해야 한다”며 “하지만 XX성모병원 같은 경우에는 공격자가 바이너리를 업로드 했다는 것은 이미 내부의 권한이 넘어간 상태로 볼 수 있다”고 우려했다. 즉, 내부와 연결되어 있다면 의료정보 유출과 같은 2차적인 피해가 일어 날 수 있다는 것이다. 지난해에도 크고 작은 의료관련 사이트가 악성코드 유포 및 경유지로 활용돼 많은 인증서가 유출된 바 있어 빠른 조치가 필요하다.
CK VIP 공격 기승
CK VIP 익스플로잇 킷(Exploit Kit) 공격도 기승을 부렸다. 해당 공격이 탐지된 웹사이트는 수도관생산, 음향 기기 수입, 원목자재 판매, 커뮤니티, 인터넷 서비스, 고전 게임 서비스, 의료 관련 신문사, 중독 치료 커뮤니티 사이트 등이며, 탐지되지 않은 사이트까지 포함하면 더 많을 것으로 추정된다.
▲CK VIP 익스플로잇킷 공격이 탐지된 사이트 리스트(자료제공: 에프원 시큐리티)
이와 관련 에프원시큐리티에서 발표한 ‘CK VIP Exploit Kit 분석 보고서 및 주간 악성코드 동향’에 따르면 이용자 PC에 CVE-2014-6332 취약점이 존재하면, 취약점을 통해 cmd로 악성 vbs 파일을 생성하고 악성파일이 다운로드 및 실행된다고 밝혔다.
다운로드되는 악성파일은 q.exe이며, 금융정보를 탈취하는 파밍 악성코드로 실행시 cacls.exe 프로세스로 위장해 PAC 스크립트를 변경하고 파밍을 유도하는 프로그램이다.
취약점이 있는 곳이면 무조건 공격해 악성 웹페이지를 올리는 것으로 보이며, 취약점이 한번 존재한 페이지는 악성파일들을 삭제하더라도 그대로 취약점이 존재할시 다시 공격해 업로드하는 것으로 분석됐다.
해당 공격은 2014~2015년 유행하던 공격이며, 한동안 잠잠하다 지난 3월 31일부터 지난 15일까지 하루도 빠짐없이 탐지됐다. 주간에 해당 공격이 매우 많이 발견되고 있어 상당한 주의가 필요하다.
이에 대해 에프원시큐리티 조재근 연구원은 “다운받는 파일을 백도어, 키로깅 등 모든 유형을 exe 실행파일로 바꿔 넣을 수 있기 때문에 위험하다”며 “현재는 금융 파밍 악성코드로 되어 있어 금전적 손해가 발생할 수 있다. 페이지에 파일을 업로드 한다는 것은 관리자 권한을 취득했다는 의미로, 다른 공격을 시도할 수 있어 매우 위험하다”고 말했다.
따라서 이용자는 IE와 Java, Flash Player, OS를 최신 버전으로 유지해야 한다. 또한, 웹 브라우저의 설정 중 Script 사용을 해제하고 필요할 시에만 켜두는 것이 바람직하다.
300여개 사이트 신규 경유지로 악용
한 주간 신규 경유지의 활동이 활발했던 것으로 집계됐다. 빛스캔이 발표한 ‘4월 3주차 인터넷 위협 분석 보고서’에 따르면 신규 경유지의 활동 증가해 단축 URL을 활용한 악성링크가 약 300여개 사이트에서 발견됐다고 밝혔다.
▲4월 3주차 악성코드 유포 현황(출처: 빛스캔)
신규 경유지의 활동이 높게 나타난 원인으로는 제로보드를 사용하는 중소기업과 개인 사이트 300여곳에서 악성 단축 URL이 삽입됐기 때문으로 분석됐다. 또한, 단축 URL을 활용한 공격은 장비 차단이 어렵다는 것을 알고 공격자가 이를 활용한 것으로 보인다.
이에 대해 빛스캔 측은 “평일 기간에도 악성코드 유포가 증가했으며, 탐지 우회를 위해 공격자가 하위 URL을 지속적으로 변경했다”고 밝혔다.
이외에도 파일공유(P2P), 전주XXX, 인천항XXX, XX경제연구원, XX신문 등 사이트에서의 악성코드가 유포됐다.
악성코드 유포 통로로 활용
한 경제연구원 홈페이지의 특정 페이지가 악성코드 유포 통로로 활용됐다. 악성코드 유포 통로는 웹을 통한 악성코드 유포 중 다단계 유포 방식으로, 악성코드가 탐지되는 것을 최소화하기 위해 사용하는 방식 중 하나다. 주로 큰 규모로 운영되는 홈페이지의 하위 페이지 일부에 악성 스크립트나 코드를 삽입한 후, 해당 링크를 국내 다양한 사이트에 삽입해 해당 홈페이지 방문자를 대상으로 악성코드를 유포한다.
▲악성코드 유포 통로로 악용된 XX경제 연구원 사이트(자료제공: MDSoft)
MDsoft 백진성 대표는 “공격자가 악성코드를 유포하기 위해 다단계 판매 방식과 유사한 다단계 유포 방식을 활용해 악성코드가 탐지·차단되는 것을 회피하고 있는 성향이 있어 많이 사용한다”며 “특히, 대규모로 운영되는 홈페이지 중 보안취약점이 있을 경우 이를 공격해서 하위 페이지에 악성 스크립트나 코드를 삽입해 해당 링크를 악성링크로 활용하고 있다”고 전했다.
또한, 백 대표는 “이는 홈페이지나 서버 취약점 등 다양한 경로를 통해 공격을 감행하기 때문에 주기적인 보안 취약점 점검과 실시간 모니터링 체계를 구축하는 것이 가장 중요하다”며 “웹을 통한 악성코드 유포는 매일 발생하고 있고 그 피해액도 수억 원에 달하기 때문에 악성링크나 C&C서버를 사전 탐지해 발생할 수 있는 위협을 최소화 하는 것이 악성코드 피해를 예방할 수 있는 대응책”이라며 사전탐지의 중요성을 강조했다.
모바일 악성코드, PUA 기승
한 주간 모바일 악성코드는 PUA(Potentially Unwanted Application)가 가장 기승을 부렸다.
▲최근 2주간(3월30~4월12일) 모바일 악성코드 통계(자료제공: NSHC)
NSHC가 발표한 ‘Droid-X 3.0 모바일 악성코드 동향’ 중 최근 2주간(3월 30일~4월 12일) 모바일 악성코드 통계에 따르면 지난 3월 30일 1428개, 31일 1327개, 4월 1일 1506개, 2일 738개, 3일 985개, 4일 1436개, 5일 1218개, 6일 1784개, 7일 1124개, 8일 851개, 9일 957개, 10일 1609개, 11일 1395개, 12일 1042개로 집계됐다.
한 주간 취약점, 어도비 21건
한 주간 벤더별 취약점은 어도비에서 가장 많이 발견됐다. SK인포섹 블로그에 따르면 4월 2주 벤더별 취약점은 총 35건이며, 이 가운데 어도비 21건(60%), 시스코 6건(17.1%), IBM 6건(17.1%) 순으로 나타났다.
▲한 주간 탐지된 벤더별 취약점(출처: SK인포섹 블로그)
▲한 주간 탐지된 공격유형(출처: SK인포섹 블로그)
한 주간 탐지된 공격유형은 웹해킹이 32.74%, 시스템 해킹이 28.97%로 높은 점유율을 차지했다. 탐지된 패턴은 default.asp가 117,660건(14.73%)으로 가장 많았다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
