2019-10-16 19:26 (수)
북한 관련 연구기관 웹사이트에 악성코드 공격…액티브X 취약점 악용
상태바
북한 관련 연구기관 웹사이트에 악성코드 공격…액티브X 취약점 악용
  • 길민권 기자
  • 승인 2017.05.29 13:26
이 기사를 공유합니다

빛스캔 “키 입력 정보 가로채 이 정보를 공격자 서버로 전송하는 것으로 확인”

▲ 공격형태 도식도. 빛스캔 제공
▲ 공격형태 도식도. 빛스캔 제공
북한 관련 전문기관 웹 페이지에서 액티브엑스(ActiveX) 취약점을 이용한 드라이브 바이다운로드(Drive-by-download) 공격이 발생한 것이 확인되었다. 북한 관련 기관 사이트 접속자 및 사이트 관리자들의 각별한 주의가 요구된다.

빛스캔(대표 김경근) 측은 “PCDS(Pre-Crime Detect Satellite) 시스템을 이용해, 취약점이 발생한 페이지의 정보를 주기적으로 모니터링했다. 공격자는 악성코드를 유포하기 전에 아래 그림과 같이 1, 2차에 걸쳐 테스트 코드를 작성했고, 3차례에 걸쳐 악성코드를 유포한 정황이 탐지되었다”며 “공격자는 테스트 코드를 작성하며 취약점을 파악하고 대상을 선정한 뒤 공격 당일 오전에 실제 공격을 하기 위한 준비작업을 마무리했다. 지난 5월 24일 오후가 되어 또다시 해당 공격 코드를 통해 경유지 링크(악성 URI)로 연결해 악성코드를 내려 받았다”고 설명했다.

▲ 'N사' 웹 사이트에 시간순위 최근 공격자 모니터링 정보. 빛스캔 제공
▲ 'N사' 웹 사이트에 시간순위 최근 공격자 모니터링 정보. 빛스캔 제공
즉 워터링 홀과 DBD(Drive By Download)가 결합된 형태의 악성 스크립트가 동작하게 되었다. 이로 인해 생성된 악성코드는 코드가 난독화 되어있지만, 전단부 코드를 확인했을 때 공격자가 ActiveX의 취약점을 이용해 악성 링크를 유포하는 것으로 확인됐다.

또 악성코드 분석했을 때, 인터넷 익스플로러가 동작하면서 사용자 키 입력 정보를 가로채는 행위가 발견되었고 이 정보는 공격자 서버로 전송되었다.

▲ 'N사' 웹 사이트에 악성 URI 삽입. 빛스캔 제공
▲ 'N사' 웹 사이트에 악성 URI 삽입. 빛스캔 제공
오승택 빛스캔 팀장은 “공격자가 웹 페이지를 악용하는 가장 큰 이유는 불특정 다수에게, 악성코드를 대량으로 빠르게 확산 시킬 수 있기 때문이다. 이로 인해 웹 페이지를 방문하는 사용자들은 자신도 모르는 사이에 악성 스크립트가 동작해 악성 파일을 내려 받아 자동으로 실행하게 되며, 다양한 공격에 활용된다. 좀비 PC가 되거나 사용자 계정탈취 및 파밍 사이트로 이동해 금융 정보를 가로채기도 한다”며 “뿐만 아니라 최근 이슈가 되었던, 워너크립트 랜섬웨어는 유포 통로는 웹이 아닌, SMB 취약점을 이용해서 유포되었지만 파일을 암호화 해서 금전적인 이득을 얻는 형태의 랜섬웨어도 웹을 통해 대량으로 유포할 수 있는 통로로도 사용될 수 있기 때문에 빠르게 통로를 찾아 차단해야 감염률을 낮출 수 있다”고 말했다.

▲ 샘플분석, 소켓 통신 준비. 빛스캔 제
▲ 샘플분석, 소켓 통신 준비. 빛스캔 제
이어 이정헌 빛스캔 연구원은 “5월 16일 발견된 해당 악성링크는 1주간 잠복을 하다가 변형과정을 거친 뒤 5월 24일 악성코드를 유포한 정황이 탐지되었다. 이는 공격자가 꾸준히 해당 페이지를 관찰하고 취약점을 분석했다는 것을 의미한다. 해당 웹 페이지에 접속하면 액티브엑스 설치와 동시에 사용자의 키 입력을 가로채는 행위를 진행한다”며 “웹 페이지 방문만으로도 자동 감염되는 악성코드는 먼저 사용자의 보안인식을 높여야 하지만, 사용자의 부주의 탓으로만 돌리기에는 어렵다. 취약한 웹 서비스의 전체적인 점검과 관리를 통해 웹을 운용하는 환경 개선이 필요하다. 공격자들은 악성코드 유포뿐만 아니라 여러 개의 서버를 운용해 감시 및 추적을 피하기 때문에 빠른 시간 내 유포지 차단과 동시에 이를 알릴 수 있는 시스템이 필요하다”고 강조했다.

대상을 특정한 공격에는 두 가지 형태가 존재한다. △특정인의 이메일을 이용한 직접 감염 시도와 △특정 대상들이 자주 접속하는 사이트를 통해 접속 대상 전체를 공격하는 워터링 홀 공격이다.

일반적으로 APT 공격이란 주요 보안 도구와 프로그램들에 탐지되지 않는 악성코드 공격을 의미한다. 공격의 초기 단계에서는 모두 언노운(Unknown) 영역에 해당하는 APT 공격이 될 수 밖에 없다. 알려지지 않은 공격을 얼마나 빨리 인지하고 대응할 수 있는지가 앞으로의 위험을 예방하는 척도가 된다.

워터링 홀 공격방식은 사자가 먹이를 먹는 동물을 습격하기 위해 물웅덩이(Watering hole)에서 매복하는 것을 비유하는 용어로 알려져 있다. 즉 불특정 다수를 대상으로 한 공격이 아닌, 특정 다수를 대상으로 웹 사이트 소스코드 내에 감염을 유도하는 취약점을 심어놓고, 타깃이 ‘N사’ 웹 페이지를 방문하였을 때, 취약점에 포함된 코드가 동작해 악성 행위가 발생된다. 이는 과거부터 현재까지 꾸준히 발생하고 있다. 다만 시기적으로 민감한 시기에 발생된 북한관련 전문 연구 기관을 대상으로 한 워터링 홀 공격은 높은 수준의 주의가 필요하다.

빛스캔 측은 “웹을 통한 APT 악성코드 유포를 사전 인지하고 대응할 수 있도록 지속적으로 노력할 것”이라고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★