.gif)
멀버타이징의 일종으로 어도비 플래시 플레이어 취약점 악용
[보안뉴스 권 준 기자] 유럽의 엔드포인트 보안 전문 업체 ESET(이셋)의 국내 법인인 이셋코리아(대표 김남욱, http://www.estc.co.kr)는 매일 수많은 사람들이 방문하는 평판 좋은 웹사이트에 악의적인 광고를 통해 악성코드를 전파할 수 있는 새로운 스테가노(Stegano) 익스플로잇 킷이 발견됨에 따라 주의를 요한다고 전했다.
ESET 연구진에 따르면, 적어도 2016년 10월 초부터 인터넷 익스플로러 사용자를 대상으로 하는 어도비 플래시 플레이어의 취약점을 이용한 공격이 감지됐으며, 다양한 유형의 악성코드를 다운로드 및 실행하려는 시도가 있었다고 전했다.
해당 공격은 악성코드가 광고 배너를 통해 배포되기 때문에 멀버타이징(malvertising)의 범주에 속하는데, 공격자는 은닉성을 확보하기 위한 다양한 기술을 사용했기 때문에 정확한 분석을 위해서는 광범위한 자료가 필요하다는 게 ESET 측의 설명이다.
피해자의 컴퓨터에 악성코드를 원격 설치하기 위해 광고 배너를 이용하는데, 게시된 악성의 광고 배너를 클릭할 필요 없이 해당 웹사이트를 방문하는 것만으로도 악성코드가 설치되며, 취약한 버전의 플래시 플레이어를 이용하게 된다.
이후부터 공격자는 자신이 선택한 악성코드를 다운로드하고 실행하는데 필요한 모든 조건을 갖추게 된다. ESET이 분석한 페이로드에 따르면, 금융정보 유출을 위한 트로이목마, 백도어와 스파이웨어 등이 다운로드되며, 추후 랜섬웨어 감염 등으로 이어질 수도 있다.
따라서 사용 중인 소프트웨어를 최신 버전으로 패치함과 동시에 신뢰할 수 있는 보안 솔루션을 사용하는 것이 얼마나 중요한지를 다시 한번 보여준다고 볼 수 있다.
스테가노란 명칭은 스테가노그래피에서 파생된 말로, 공격자가 광고 배너의 픽셀에 악성코드의 일부를 숨기는 기법이며, 배너 이미지의 각 픽셀 투명도를 제어하는 매개 변수에 코드를 숨긴다. 이렇게 처리된 이미지는 색깔이나 명암이 약간 변경되기 때문에 정상적인 배너와 악성 배너의 차이를 육안으로 구분이 어려우며, 피해자는 악성코드 포함 여부를 눈치채지 못한다.
특히, 스테가노 익스플로잇 킷은 샌드박스 및 보안 소프트웨어의 실행 여부를 확인한 후, 정상 배너와 악성 배너를 선택적으로 게시함으로써 은닉성과 감염 가능성을 배가시키게 된다. 이러한 기술을 이용해 공격자는 광고 플랫폼에서 악성 콘텐츠를 발견하고 차단하도록 설계된 여러 가지 대응책을 우회할 수 있으며, 합법적인 웹사이트를 통해 수백만 명의 잠재적인 피해자를 만들어 낼 수 있다는 것이다.
이셋코리아의 김남욱 대표는 “ESET LiveGrid®에 참여하는 사용자의 통계에 따르면, 최근 2 개월 동안 전 세계적으로 인기 있는 여러 웹사이트를 통해 매일 수백만의 사용자가 스테가노 익스플로잇 킷을 이용한 악성 광고에 노출됐으며, 이 중 다수가 악성코드에 감염된 것으로 추정된다”며, “특히, 가상머신에서의 실행과 보안 솔루션 실행 여부를 감지하기 때문에 익스플로잇의 실체를 알아내기가 어려우며, 샌드박스 기반 악성코드 탐지 솔루션의 우회가 어렵지 않다는 것을 보여주고 있다”고 설명했다.
이어 그는 “운영체제와 소프트웨어의 최신 패치를 적용하는 등 기본적인 보안 수칙을 준수하면서 신뢰할 수 있는 엔드포인트 보안 솔루션을 사용하는 것이 매우 중요하다”고 전했다.
[권 준 기자(editor@boannews.com)]
[보안뉴스 권 준 기자] 유럽의 엔드포인트 보안 전문 업체 ESET(이셋)의 국내 법인인 이셋코리아(대표 김남욱, http://www.estc.co.kr)는 매일 수많은 사람들이 방문하는 평판 좋은 웹사이트에 악의적인 광고를 통해 악성코드를 전파할 수 있는 새로운 스테가노(Stegano) 익스플로잇 킷이 발견됨에 따라 주의를 요한다고 전했다.
ESET 연구진에 따르면, 적어도 2016년 10월 초부터 인터넷 익스플로러 사용자를 대상으로 하는 어도비 플래시 플레이어의 취약점을 이용한 공격이 감지됐으며, 다양한 유형의 악성코드를 다운로드 및 실행하려는 시도가 있었다고 전했다.
해당 공격은 악성코드가 광고 배너를 통해 배포되기 때문에 멀버타이징(malvertising)의 범주에 속하는데, 공격자는 은닉성을 확보하기 위한 다양한 기술을 사용했기 때문에 정확한 분석을 위해서는 광범위한 자료가 필요하다는 게 ESET 측의 설명이다.
피해자의 컴퓨터에 악성코드를 원격 설치하기 위해 광고 배너를 이용하는데, 게시된 악성의 광고 배너를 클릭할 필요 없이 해당 웹사이트를 방문하는 것만으로도 악성코드가 설치되며, 취약한 버전의 플래시 플레이어를 이용하게 된다.
이후부터 공격자는 자신이 선택한 악성코드를 다운로드하고 실행하는데 필요한 모든 조건을 갖추게 된다. ESET이 분석한 페이로드에 따르면, 금융정보 유출을 위한 트로이목마, 백도어와 스파이웨어 등이 다운로드되며, 추후 랜섬웨어 감염 등으로 이어질 수도 있다.
따라서 사용 중인 소프트웨어를 최신 버전으로 패치함과 동시에 신뢰할 수 있는 보안 솔루션을 사용하는 것이 얼마나 중요한지를 다시 한번 보여준다고 볼 수 있다.
스테가노란 명칭은 스테가노그래피에서 파생된 말로, 공격자가 광고 배너의 픽셀에 악성코드의 일부를 숨기는 기법이며, 배너 이미지의 각 픽셀 투명도를 제어하는 매개 변수에 코드를 숨긴다. 이렇게 처리된 이미지는 색깔이나 명암이 약간 변경되기 때문에 정상적인 배너와 악성 배너의 차이를 육안으로 구분이 어려우며, 피해자는 악성코드 포함 여부를 눈치채지 못한다.
특히, 스테가노 익스플로잇 킷은 샌드박스 및 보안 소프트웨어의 실행 여부를 확인한 후, 정상 배너와 악성 배너를 선택적으로 게시함으로써 은닉성과 감염 가능성을 배가시키게 된다. 이러한 기술을 이용해 공격자는 광고 플랫폼에서 악성 콘텐츠를 발견하고 차단하도록 설계된 여러 가지 대응책을 우회할 수 있으며, 합법적인 웹사이트를 통해 수백만 명의 잠재적인 피해자를 만들어 낼 수 있다는 것이다.
이셋코리아의 김남욱 대표는 “ESET LiveGrid®에 참여하는 사용자의 통계에 따르면, 최근 2 개월 동안 전 세계적으로 인기 있는 여러 웹사이트를 통해 매일 수백만의 사용자가 스테가노 익스플로잇 킷을 이용한 악성 광고에 노출됐으며, 이 중 다수가 악성코드에 감염된 것으로 추정된다”며, “특히, 가상머신에서의 실행과 보안 솔루션 실행 여부를 감지하기 때문에 익스플로잇의 실체를 알아내기가 어려우며, 샌드박스 기반 악성코드 탐지 솔루션의 우회가 어렵지 않다는 것을 보여주고 있다”고 설명했다.
이어 그는 “운영체제와 소프트웨어의 최신 패치를 적용하는 등 기본적인 보안 수칙을 준수하면서 신뢰할 수 있는 엔드포인트 보안 솔루션을 사용하는 것이 매우 중요하다”고 전했다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
