해커, ‘Wiseman Support’ 프로그램 서버 해킹해 수개월 이상 파밍 악성코드 유포
[보안뉴스 김경애] 특정 소프트웨어를 실행할 때 또는 자동으로 활성화되는 광고 프로그램인 애드웨어(Adware)가 악성코드 유포 통로로 자주 악용되고 있다.
.jpg)
▲스크롤 밑에 몰래 숨겨져 있는 애드웨어들
애드웨어는 공식적인 프로그램인 것처럼 위장을 하고 있으나, 대체로 끼워팔기 식으로 또 다른 광고모듈이 동시다발적으로 설치된다. 또한, 이용자들이 유입과정을 명확히 인지하지 못한 사이에 몰래 설치되고, 지속적으로 업데이트 서버와 통신해 이용자가 원치 않는 광고행위를 은밀히 수행한다.
지난 12일 알약 블로그에 따르면 문제가 되고 있는 애드워드는 해당 서버의 업데이트 파일까지 변조돼 전자금융사기 목적의 파밍용 악성파일 유포 통로가 되고 있다며, 한국 애드웨어 업체의 서버를 악용한 파밍 악성파일이 은밀히 유포되고 있다고 밝혔다.
▲애드웨어 서버를 통한 파밍공격 과정
이렇게 은밀히 유포될 수 있었던 데에는 이용자의 행위나 보안취약점과 별개로 애드웨어의 기본 기능인 자동 업데이트에 따라 파밍에 자동 노출되는 피라미드 단계식 연쇄 감염 때문이다.
공격자는 ‘Wiseman Support’ 프로그램의 서버를 해킹해 수개월 이상 은밀하게 파밍용 악성파일 전파통로로 악용하고 있다. 특히, 시간차를 두고 일정시간만 은밀히 배포하고, 다시 정상적인 원상태로 만들어 보안 모니터링을 회피함과 동시에 오랜 기간 잠복하고 있는 상태다. 이와 관련 지난 11일 공격자는 오후 4시경부터 10~30분 간격으로 변종 파밍 악성파일을 유포했고, 오후 6시 30분경부터는 다시 정상파일로 돌려놓은 정황도 탐지됐다.
또한, 실제 광고 프로그램을 직접 변조해 정상 프로그램과 함께 악성 프로그램을 동시에 유포한 경우도 있고, 다양한 웹 서버를 해킹해 악성파일을 링크해 경유지로 악용한 사례도 발견됐다.
▲유포지로 악용된 주요 웹사이트들
이와 관련 알약 블로그 측은 “해커는 이미 다수의 웹 사이트를 해킹해 파밍 악성파일 유포에 이용하고 있으며, 대체로 ‘Wiseman.exe’ 파일로 위장하거나 ‘ad_숫자’ 폴더를 만든 후 하위에 변종 악성파일을 배포하고 있다”며 “‘ad_숫자’ 형식으로 만들어지는 방식은 공격자가 좀더 쉽게 식별하기 위한 목적으로 보여지며, 가끔 파일명은 동일하지만 Hash가 변경된 변종이 유포되는 경우도 있다”고 분석했다.
특히, 공격자는 평상시엔 정상적인 애드웨어의 업데이트 기능을 그대로 유지하다가 특정 임의의 시간에 다음과 같이 변경을 하게 된다.
업데이트는 http://xxx.xxxxxxxxx.com/wms/files/Wiseman.exe 주소에서 http://xxx.xxxxxxxxx.com/wms/file/Wiseman.exe 주소로 변경되어 있어 정상적으로 파일이 배포되고 있지는 않다.
다만 공격자는 이를 잘 알고 있으며, 기존 업데이트 경로는 그대로 유지하고 있는 상태다. 게다가 무결성 체크 기능 등도 전혀 존재하지 않기 때문에 업데이트 URL 주소만 변경하면 언제든지 파밍용 악성파일을 손쉽게 유포할 수 있다.
▲변조된 호스트파일 화면
이런 과정을 거쳐 악성파일에 감염되면 컴퓨터의 호스트 파일(hosts, hosts.ics)을 변조해 특정 포털, 전자상거래, 인터넷뱅킹 웹사이트에 접속 시 파밍 IP주소로 강제 연결되는 것이다. 그렇게 호스트 파일이 변조된 상태에서 포털 사이트 등에 접속 시 허위 금융감독원 보안인증 요구화면이 나타나게 된다.
허위 금융감독원 팝업 화면은 국내 대부분의 포털 사이트에 접속할 때마다 상단에 출력되기 때문에 이용자는 불편을 겪게 된다.
▲가짜 금융감독원 팝업 화면
만약 이 화면을 통해 실제 금융사이트로 접근하게 될 경우 매우 정교하게 조작된 가짜 금융사이트가 연결되며, 공인인증서(NPKI) 유출 및 각종 개인금융정보를 요구하는 파밍사이트에 속아 예기치 못한 피해를 입을 수 있다.
더욱이 전자금융사기 범죄자들이 주로 사용하는 각종 보안취약점을 활용한 드라이브 바이 다운로드 공격기법보다 한층 진화해 인터넷뱅킹 이용자들의 피해를 확산시키고 있다.
애드웨어 서버를 악용한 해당 기법은 보안취약점이 존재하지 않아도 이미 애드웨어에 감염된 이용자를 대상으로 피라미드처럼 단계별 노출현상을 이용한 매우 지능적이고 차별화된 공격 형태를 띠고 있다.
공격시점도 시간차를 두고 특정기간만 업데이트 기능을 활성화해 치밀하게 넣고 빠지기 전략을 사용하고 있어 단순히 웹사이트 관제만으로는 해당 공격을 탐지하고 대응하기가 현실적으로 매우 어렵다.
이와 관련 알약 블로그 측은 “현재 공격자는 특정 애드웨어 업체의 서버접근 권한을 탈취해 지속적으로 업데이트 기능을 악용하고 있다”며 “해당 서버의 관리자는 웹 취약점과 외부접근 권한을 즉시 제거하고, 업데이트 기능에서도 무결성 검증을 강화하는 조치가 필요하다”고 밝혔다. 또한, 기존에 공격 유포지로 사용됐던 사이트들도 보다 적극적인 조치를 통해 공격자가 더 이상 악용하지 못하게 하는 노력이 절실하다고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
[보안뉴스 김경애] 특정 소프트웨어를 실행할 때 또는 자동으로 활성화되는 광고 프로그램인 애드웨어(Adware)가 악성코드 유포 통로로 자주 악용되고 있다.
▲스크롤 밑에 몰래 숨겨져 있는 애드웨어들
애드웨어는 공식적인 프로그램인 것처럼 위장을 하고 있으나, 대체로 끼워팔기 식으로 또 다른 광고모듈이 동시다발적으로 설치된다. 또한, 이용자들이 유입과정을 명확히 인지하지 못한 사이에 몰래 설치되고, 지속적으로 업데이트 서버와 통신해 이용자가 원치 않는 광고행위를 은밀히 수행한다.
지난 12일 알약 블로그에 따르면 문제가 되고 있는 애드워드는 해당 서버의 업데이트 파일까지 변조돼 전자금융사기 목적의 파밍용 악성파일 유포 통로가 되고 있다며, 한국 애드웨어 업체의 서버를 악용한 파밍 악성파일이 은밀히 유포되고 있다고 밝혔다.
▲애드웨어 서버를 통한 파밍공격 과정
이렇게 은밀히 유포될 수 있었던 데에는 이용자의 행위나 보안취약점과 별개로 애드웨어의 기본 기능인 자동 업데이트에 따라 파밍에 자동 노출되는 피라미드 단계식 연쇄 감염 때문이다.
공격자는 ‘Wiseman Support’ 프로그램의 서버를 해킹해 수개월 이상 은밀하게 파밍용 악성파일 전파통로로 악용하고 있다. 특히, 시간차를 두고 일정시간만 은밀히 배포하고, 다시 정상적인 원상태로 만들어 보안 모니터링을 회피함과 동시에 오랜 기간 잠복하고 있는 상태다. 이와 관련 지난 11일 공격자는 오후 4시경부터 10~30분 간격으로 변종 파밍 악성파일을 유포했고, 오후 6시 30분경부터는 다시 정상파일로 돌려놓은 정황도 탐지됐다.
또한, 실제 광고 프로그램을 직접 변조해 정상 프로그램과 함께 악성 프로그램을 동시에 유포한 경우도 있고, 다양한 웹 서버를 해킹해 악성파일을 링크해 경유지로 악용한 사례도 발견됐다.
▲유포지로 악용된 주요 웹사이트들
이와 관련 알약 블로그 측은 “해커는 이미 다수의 웹 사이트를 해킹해 파밍 악성파일 유포에 이용하고 있으며, 대체로 ‘Wiseman.exe’ 파일로 위장하거나 ‘ad_숫자’ 폴더를 만든 후 하위에 변종 악성파일을 배포하고 있다”며 “‘ad_숫자’ 형식으로 만들어지는 방식은 공격자가 좀더 쉽게 식별하기 위한 목적으로 보여지며, 가끔 파일명은 동일하지만 Hash가 변경된 변종이 유포되는 경우도 있다”고 분석했다.
특히, 공격자는 평상시엔 정상적인 애드웨어의 업데이트 기능을 그대로 유지하다가 특정 임의의 시간에 다음과 같이 변경을 하게 된다.
업데이트는 http://xxx.xxxxxxxxx.com/wms/files/Wiseman.exe 주소에서 http://xxx.xxxxxxxxx.com/wms/file/Wiseman.exe 주소로 변경되어 있어 정상적으로 파일이 배포되고 있지는 않다.
다만 공격자는 이를 잘 알고 있으며, 기존 업데이트 경로는 그대로 유지하고 있는 상태다. 게다가 무결성 체크 기능 등도 전혀 존재하지 않기 때문에 업데이트 URL 주소만 변경하면 언제든지 파밍용 악성파일을 손쉽게 유포할 수 있다.
▲변조된 호스트파일 화면
이런 과정을 거쳐 악성파일에 감염되면 컴퓨터의 호스트 파일(hosts, hosts.ics)을 변조해 특정 포털, 전자상거래, 인터넷뱅킹 웹사이트에 접속 시 파밍 IP주소로 강제 연결되는 것이다. 그렇게 호스트 파일이 변조된 상태에서 포털 사이트 등에 접속 시 허위 금융감독원 보안인증 요구화면이 나타나게 된다.
허위 금융감독원 팝업 화면은 국내 대부분의 포털 사이트에 접속할 때마다 상단에 출력되기 때문에 이용자는 불편을 겪게 된다.
▲가짜 금융감독원 팝업 화면
만약 이 화면을 통해 실제 금융사이트로 접근하게 될 경우 매우 정교하게 조작된 가짜 금융사이트가 연결되며, 공인인증서(NPKI) 유출 및 각종 개인금융정보를 요구하는 파밍사이트에 속아 예기치 못한 피해를 입을 수 있다.
더욱이 전자금융사기 범죄자들이 주로 사용하는 각종 보안취약점을 활용한 드라이브 바이 다운로드 공격기법보다 한층 진화해 인터넷뱅킹 이용자들의 피해를 확산시키고 있다.
애드웨어 서버를 악용한 해당 기법은 보안취약점이 존재하지 않아도 이미 애드웨어에 감염된 이용자를 대상으로 피라미드처럼 단계별 노출현상을 이용한 매우 지능적이고 차별화된 공격 형태를 띠고 있다.
공격시점도 시간차를 두고 특정기간만 업데이트 기능을 활성화해 치밀하게 넣고 빠지기 전략을 사용하고 있어 단순히 웹사이트 관제만으로는 해당 공격을 탐지하고 대응하기가 현실적으로 매우 어렵다.
이와 관련 알약 블로그 측은 “현재 공격자는 특정 애드웨어 업체의 서버접근 권한을 탈취해 지속적으로 업데이트 기능을 악용하고 있다”며 “해당 서버의 관리자는 웹 취약점과 외부접근 권한을 즉시 제거하고, 업데이트 기능에서도 무결성 검증을 강화하는 조치가 필요하다”고 밝혔다. 또한, 기존에 공격 유포지로 사용됐던 사이트들도 보다 적극적인 조치를 통해 공격자가 더 이상 악용하지 못하게 하는 노력이 절실하다고 덧붙였다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
