유명 사이트들에서 즐겨 사용되는 플러그인 통해 채굴 코드 유포
플러그인 개발사가 자체적으로 내려 공격 확산은 중단 돼
[보안뉴스 문가용 기자] 4200개가 넘는 웹사이트들이 지난 주 암호화폐 채굴 코드에 감염된 것으로 나타났다. 이 사이트들에 접속한 사람들은 자신도 모르게 자신의 기기들을 모네로 채굴 현장에 참여시킨 것이라고 한다.
.jpg)
[이미지 = iclickart]
아직 공격자들의 정체는 파악되지 않고 있다. 이들은 서드파티 브라우저 플러그인인 브라우즈얼라우드(Browsealoud)를 침해한 후 채굴 소프트웨어를 심었다. 브라우즈얼라우드 플러그인은 ‘음성 검색’을 지원하는 기능을 가지고 있어, 수많은 웹사이트들에서 즐겨 채용하는 것이다.
영국의 보안 전문가인 스콧 헬름(Scott Helme)이 제일 먼저 발견한 이 대규모 채굴 캠페인은 아직 분석되고 있는 중이다. 최초에 어떤 식으로 브라우즈얼라우드를 침해했는지도 아직 밝혀지지 않았다. 다만 브라우즈얼라우드를 만든 텍스트헬프(TextHelp)라는 개발사가 자신들의 플러그인을 스토어에서 지웠기 때문에 공격은 더 이상 퍼져가지 않을 전망이다.
헬름은 “결국 다른 사람이 만든 장치나 콘텐츠를 자기의 웹사이트에 올렸을 때, 그 장치나 콘텐츠의 원자작자가 어떠한 보안 상태를 유지하고 있느냐에 따라 안전이 좌지우지 된다는 뜻”이라며 “하나부터 열까지 순수 자기 창작물과 도구만 가지고 웹사이트를 구성하는 사람은 아무도 없으니, 이는 큰 문제”라고 지적했다.
현재 이 캠페인에 당한 조직들은 대부분 영국에 있는 것으로 나타났다. 영국 정부의 정보위원회 사무실, 국가건강서비스, 종합의료협회, 학자금 대출 회사 등 대형 조직들도 이 공격에 당했다. 단순히 브라우즈얼라우드를 믿고 사용했기 때문이다. 미국의 법원 관리 사무실과 인디애나 주정부 사무실, 일리노이즈 쿡 카운티의 재무부 시스템도 당했다.
헬름에 의하면 공격자들은 브라우즈얼라우드의 자바스크립트 라이브러리를 변경시켜 코인하이브의 모네로 채굴 코드를 주입시켰다. 그럼으로써 브라우즈얼라우드가 로딩되는 모든 페이지를 채굴 장치로 바꾼 것이다.
최근 사이버 범죄자들은 이전과 달리 암호화폐 채굴로서 금전적인 목적을 달성하고자 애쓰고 있다. 이 사건 역시 그러한 트렌드를 보여주는 사례다. 게다가 코인하이브가 채굴 코드를 합법적으로 개발해 배포하기 시작하고, 사람들이 자신의 컴퓨터로 암호화폐를 채굴하기 위해 이 코드를 가져다 쓰면서 이런 공격은 빠르게 확산됐다.
공격자들 입장에서 이러한 채굴 행위는 이전 범죄 행위보다 더 안전하며 확실한 수입거리가 된다. 개인정보를 훔쳐낸 후에는 이걸 다시 암시장에 접속해 팔아야 하고, 랜섬웨어를 사용한다면 사용자를 협박하고 입금을 기다려야 하지만, 채굴 코드는 심기만 하면 알아서 돈이 되기 때문이다. 게다가 채굴 코드 자체는 멀웨어가 아니라 탐지되지도 않고, 너무 욕심만 부리지 않는다면 기기의 리소스가 소비되는 걸 사용자들이 잘 알아채지도 못한다.
시스코의 탈로스 팀에 의하면 한 해커가 2000대 컴퓨터만 침해해 봇넷을 구성해도 한 해 동안 18만 달러 이상의 수익을 거둘 수 있다고 한다.
그렇다면 이러한 공격을 어떻게 막아야 할까? 헬름은 콘텐츠 보안 정책(CSP)나 하위 자원 무결성(Subresource Integrity)를 도입하는 게 기본이라고 말한다. “이 두 가지만 있어도 다른 사이트들이 페이지 내 로딩하는 콘텐츠의 종류를 통제할 수 있게 됩니다. 마치 애드블록으로 광고 콘텐츠를 로딩시키지 않는 것과 같죠.”
예를 들어 browsealoud.com을 ‘허용하는 사이트’에 포함시켜 놓되 coinhive.com은 허용하지 않도록 설정을 한다면 browsealoud에서 코안하이브의 채굴 코드를 로딩하지 못하게 된다고 헬름은 설명을 이어갔다.
[국제부 문가용 기자(globoan@boannews.com)]
플러그인 개발사가 자체적으로 내려 공격 확산은 중단 돼
[보안뉴스 문가용 기자] 4200개가 넘는 웹사이트들이 지난 주 암호화폐 채굴 코드에 감염된 것으로 나타났다. 이 사이트들에 접속한 사람들은 자신도 모르게 자신의 기기들을 모네로 채굴 현장에 참여시킨 것이라고 한다.
[이미지 = iclickart]
아직 공격자들의 정체는 파악되지 않고 있다. 이들은 서드파티 브라우저 플러그인인 브라우즈얼라우드(Browsealoud)를 침해한 후 채굴 소프트웨어를 심었다. 브라우즈얼라우드 플러그인은 ‘음성 검색’을 지원하는 기능을 가지고 있어, 수많은 웹사이트들에서 즐겨 채용하는 것이다.
영국의 보안 전문가인 스콧 헬름(Scott Helme)이 제일 먼저 발견한 이 대규모 채굴 캠페인은 아직 분석되고 있는 중이다. 최초에 어떤 식으로 브라우즈얼라우드를 침해했는지도 아직 밝혀지지 않았다. 다만 브라우즈얼라우드를 만든 텍스트헬프(TextHelp)라는 개발사가 자신들의 플러그인을 스토어에서 지웠기 때문에 공격은 더 이상 퍼져가지 않을 전망이다.
헬름은 “결국 다른 사람이 만든 장치나 콘텐츠를 자기의 웹사이트에 올렸을 때, 그 장치나 콘텐츠의 원자작자가 어떠한 보안 상태를 유지하고 있느냐에 따라 안전이 좌지우지 된다는 뜻”이라며 “하나부터 열까지 순수 자기 창작물과 도구만 가지고 웹사이트를 구성하는 사람은 아무도 없으니, 이는 큰 문제”라고 지적했다.
현재 이 캠페인에 당한 조직들은 대부분 영국에 있는 것으로 나타났다. 영국 정부의 정보위원회 사무실, 국가건강서비스, 종합의료협회, 학자금 대출 회사 등 대형 조직들도 이 공격에 당했다. 단순히 브라우즈얼라우드를 믿고 사용했기 때문이다. 미국의 법원 관리 사무실과 인디애나 주정부 사무실, 일리노이즈 쿡 카운티의 재무부 시스템도 당했다.
헬름에 의하면 공격자들은 브라우즈얼라우드의 자바스크립트 라이브러리를 변경시켜 코인하이브의 모네로 채굴 코드를 주입시켰다. 그럼으로써 브라우즈얼라우드가 로딩되는 모든 페이지를 채굴 장치로 바꾼 것이다.
최근 사이버 범죄자들은 이전과 달리 암호화폐 채굴로서 금전적인 목적을 달성하고자 애쓰고 있다. 이 사건 역시 그러한 트렌드를 보여주는 사례다. 게다가 코인하이브가 채굴 코드를 합법적으로 개발해 배포하기 시작하고, 사람들이 자신의 컴퓨터로 암호화폐를 채굴하기 위해 이 코드를 가져다 쓰면서 이런 공격은 빠르게 확산됐다.
공격자들 입장에서 이러한 채굴 행위는 이전 범죄 행위보다 더 안전하며 확실한 수입거리가 된다. 개인정보를 훔쳐낸 후에는 이걸 다시 암시장에 접속해 팔아야 하고, 랜섬웨어를 사용한다면 사용자를 협박하고 입금을 기다려야 하지만, 채굴 코드는 심기만 하면 알아서 돈이 되기 때문이다. 게다가 채굴 코드 자체는 멀웨어가 아니라 탐지되지도 않고, 너무 욕심만 부리지 않는다면 기기의 리소스가 소비되는 걸 사용자들이 잘 알아채지도 못한다.
시스코의 탈로스 팀에 의하면 한 해커가 2000대 컴퓨터만 침해해 봇넷을 구성해도 한 해 동안 18만 달러 이상의 수익을 거둘 수 있다고 한다.
그렇다면 이러한 공격을 어떻게 막아야 할까? 헬름은 콘텐츠 보안 정책(CSP)나 하위 자원 무결성(Subresource Integrity)를 도입하는 게 기본이라고 말한다. “이 두 가지만 있어도 다른 사이트들이 페이지 내 로딩하는 콘텐츠의 종류를 통제할 수 있게 됩니다. 마치 애드블록으로 광고 콘텐츠를 로딩시키지 않는 것과 같죠.”
예를 들어 browsealoud.com을 ‘허용하는 사이트’에 포함시켜 놓되 coinhive.com은 허용하지 않도록 설정을 한다면 browsealoud에서 코안하이브의 채굴 코드를 로딩하지 못하게 된다고 헬름은 설명을 이어갔다.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)