2024-03-29 18:45 (금)
성인사이트에 악성코드 유포중, 갓모드 취약점 악용
상태바
성인사이트에 악성코드 유포중, 갓모드 취약점 악용
  • 길민권
  • 승인 2015.09.08 11:01
이 기사를 공유합니다

감염 후 C&C서버 접속 시도 등 백도어 기능 수행, 다양한 악성코드 설치
최근 갓모드(God Mode) 공격기법을 악용해 성인 웹사이트로 악성코드를 유포하는 사례가 발견되어 사용자의 주의를 당부했다.
 
먼저 공격자는 악성코드 보안이 취약한 성인 웹사이트에 갓모드 취약점을 이용하는 스크립트를 삽입한 뒤, ‘드라이브 바이 다운로드(Drive-by-Download)’방식으로 악성코드를 유포했다. 즉, 사용자가 최신 보안 패치가 되지 않은 인터넷 익스플로러(IE)로 해당 사이트를 방문하기만 해도 자동으로 악성코드에 감염된다.
 
갓모드(God Mode) 공격기법은 윈도 운영체제(OS)에서 발견된 보안취약점을 악용한 공격기법으로, 일반적으로 IE에서 스크립트 언어를 통해 시스템 명령을 실행하는 것이 불가능 하나, 갓모드를 악용하면 스크립트 언어를 통해 시스템 명령 실행이 가능하다. 즉, 악성 사이트에 방문했을 때 사용되는 명령어로 사용자 PC의 시스템 영역을 직접 조작할 수 있다.
 
드라이브 바이 다운로드(Drive-by-Download)는 이미 알려진 보안 취약점을 이용하여 불특정 다수에게 악성코드를 유포하는 방법 중 하나이다. 보안이 취약한 홈페이지를 공격자가 변조해, OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 응용프로그램(어도비, 자바 등), 오피스 프로그램 등 다양한 프로그램의 취약점을 이용하는 악성코드를 심어놓고, 해당 홈페이지를 방문하는 사용자 중 해당 취약점에 대한 보안 패치가 되지 않은 사용자의 PC가 악성코드에 감염되는 방식이다.
 
해당 악성코드는 감염 이후 특정 IP(C&C)서버, 공격자가 악성코드를 원격 조정하기 위해 사용하는 서버)로 접속을 시도하는 하는 등 공격자의 특정 명령을 받아 수행하는 ‘백도어’ 역할을 할 것으로 추정된다. 즉, 공격자의 목적에 따라 다양한 악성코드 추가 설치 및 실행이 가능해 사용자의 주의가 필요하다. 현재 V3 제품군은 해당 악성코드를 진단하고 있다.
 
이 같은 피해를 줄이기 위해서는 ▲의심되는 웹사이트 방문 자제 ▲OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW등 프로그램 최신 버전 유지 및 보안 패치 적용 ▲백신 프로그램 설치, 자동업데이트 및 실시간 감시 기능 실행 등이 필요하다.
 
안랩 ASEC대응팀 박태환 팀장은  “공격자는 악성코드 유포를 위해 다양한 취약점을 노리고 있다”며 “이 때 사용자가 백신을 비롯해 모든 소프트웨어를 최신 버전으로 유지하는 등 기본수칙을 실행한다면 피해를 예방할 수 있다”라고 말했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★