2024-03-28 20:10 (목)
MS 제로데이 패치 이후 악성코드 유포범위 더 확대!
상태바
MS 제로데이 패치 이후 악성코드 유포범위 더 확대!
  • 길민권
  • 승인 2012.07.19 05:37
이 기사를 공유합니다

5~20개 이내 MalwareNet 다시 활성화 조짐
공격 성공률 높이기 위해 방문자 많은 사이트 중심으로 유포
공격자들이 MS 제로데이(CVE 2012-1889 MS XML Core Service) 패치로 인해 공격 성공률이 낮아짐에 따라 적극적으로 활용하던 지난주까지의 공격 상황과 비교해 1/4정도로 사용 비율이 감소된 것으로 나타났다. 하지만 Java 관련된 공격 코드의 사용 비율이 다시 높아지고 있어 주의가 필요하다. 또한 방문자가 많은 서비스들에 집중해 효율적으로 공격을 수행 하는 상황이며 공격자들이 다시 범위를 넓혀서 공격 성공률을 높이는 공격이 증가 될 것으로 보인다.
 
빛스캔(문일준 대표) 주간 보고서에 따르면, 제로데이와 같이 공격 성공률이 높을 경우에는 방문자가 많은 몇 개의 주요 사이트만을 공격해 악성코드 유포를 시도했지만 패치로 인해 공격 성공률이 낮아진 상황에서 다시 일정 수치의 효과를 얻기 위해 범위를 확장시키고 있다고 밝혔다.
 

<전체 악성링크의 감소와 XML 취약성 공격 포함 비율 챠트. 빛스캔 자료>
 
전상훈 기술이사는 “현재 여러 곳들에서 관찰용도로 사용되는 통계 정보를 수집 하고 있는 상황이라 이번주 대량 공격이 발생할 가능성이 높다”며 “국내 다수의 사이트들이 악성코드 유포에 이용 되는 침해사고 발생이 우려된다. 주의를 기울여야 한다”고 강조했다. 
 
또 그는 “지난주 대비 악성링크가 증가된 비율을 보이고 있으며 MS 패치로 인한 공격성공률의 감소로 인해 6월 3주차 이후 5~20개 이내의 MalwareNet이 다시 활성화될 조짐을 보이고 있다”며 “특히 6월 1주차부터 악용된 거대 MalwareNet중 하나에서는 현재 보고서를 작성하는 시점에도 공격자들은 통계 페이지를 넣어 접속자들을 관찰하는 상황이다. 그들은 항상 우리를 지켜보고 있다는 것을 알아야 한다”고 설명했다.
 
빛스캔 보고서에 따르면, 모든 악성링크들은 초기에 사용자 브라우저 종류 및 버전을 체크하고 그에 맞는 공격 부분으로 분기를 한다. 공격성공률을 확인하기 위한 통계 정보 수집은 항상 존재하며, 각 IE, Java, Flash 부분에 대한 권한 획득 부분으로 분기하여 그에 맞는 공격코드들을 실행한다. 그 이후 PC의 권한을 획득하고 최종 악성코드들을 다운로드해서 PC에 설치하게 된다.
 
공격 성공률이 제로데이 출현 이전에는 60%(10명중 6명 감염), 패치가 나오기 전까지인 적극적 활용 단계에서는 최소90% 수준으로 예상이 되었으며 7월 1주차 보고서에서 예측한 것과 같이 패치가 나오자 제로데이 출현 이전에 사용되고 있던 Malwarenet의 활용과 새로운 공격기법의 추가적 검증이 진행 되고 있는 상황이다.
 
보고서는 이번주 공격의 특징을 다음과 같이 정리하고 있다.  
◇MalwareNet의 재활성화(5~20개 규모의 신규 Malwarenet 출현)
P2P 및 언론 매체를 통한 악성코드 유포뿐만 아니라, 언어진흥원, 거래사이트, 연구회, 동영상 사이트 등 다양한 사이트들을 활용한 악성코드 유포가 이루어지고 있다. 특히 동영상 사이트 같은 경우 핫이슈에 대해 순간 접속자가 몰리는 현상을 보이고 있는데 공격자들은 매우 효율적으로 악성코드 유포에 활용하고 있다. 금주차에 발견된 내용은 탐지를 어렵게 하기 위해 Space, Tab 코드 값을 이용해 관리자가 인지하기 어려운 형태의 악성링크를 소스에 추가한 형태가 발견되었다.
 
◇최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 하이브리드 형태의 악성링크 공격 계속
◇다운로더 및 백도어 형태의 악성코드 유포 증가
향후 어떤 방식으로 진화할 지 주목하고   있다. 게임 계정 이외에 문화상품권 및 게임머니 거래 사이트에 대한 계정 탈취 시도가 최초 발견 되었다.
대부분의 게임 계정 탈취 및 백신 서비스 무력화는 계속 되었으며, 계정 탈취는 BHO를 이용한 유형이 가장 많이 발견되고 있다.  
 
이번주 공격에 사용되었던 악성링크는 KBS의 한국어 진흥원 서비스이며 유력 언론 매체 10여 곳이 동시에 악성코드 유포지로 악용되었다. 악성링크로 직접 이용 됨에 따라 빛스캔 기술보고서에는 실제 링크가 기술되어 있다. 현재에도 링크는 살아 있으며 악성링크로 이용된 경로는 www.xxxxxx.com/teachHope/ad.php이다.
 
공격자들은 탐지 회피 노력을 계속 하고 있으며 또한 방송사의 서비스를 해킹해 악성코드 중계지로 직접 활용했고 이 링크를 주요 언론사에 추가한 것으로 드러났다.
 
문일준 빛스캔 대표는 “이번 공격코드는 Java 관련된 공격코드인 CVE 2012-1723 공격코드를 사용하고 있으며 현재 상태에서는 다운로더로 판정이 되고 있다”며 “추가적인 공격코드 및 기능들이 추후 업데이트될 가능성이 높은 상황”이라고 밝혔다.
 
또 전상훈 이사는 “사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 상황에서 사이트에 방문만 해도 악성코드 감염이 되는 공격코드들은 창궐하고 있다”며 “항상 말하듯 패치가 없는 상태에서 제로데이 공격코드가 대규모로 공격에 이용되는 상황이 가장 우려된다. 따라서 사후 대응이 아니라 사전 대응, 선제적 대응에 중점을 두고 방어해야 한다”고 강조했다
 
한편 오라클 자바(Oracle Java) 취약성, 어도비 플래시(Adobe Flash) 취약성, MS의 XML , Midi 및 IE 취약성이 같이 사용되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰 되고 있다.
 
빛스캔 기술분석 보고서에 기술된 악성코드들은 루트킷 및 키로거, 백도어 기능을 가진 악성코드들은, 사용자 PC의 드라이버 및 시스템 파일 교체, 윈도즈 서비스 등록등을 실행하고, 내부망 스캔 및 키로깅 그리고 외부에서 명령을 대기하는 행위가 지속 관찰 되고 있어서 위험성이 높다고 한다.
 
또한 백도어 기능의 설치 시에는 시스템상의 백신 프로세스 무력화 이후에 루트킷 형태를 설치하고 이후 다운로드 받은 모든 악성코드와 실행 주체를 삭제해 정체를 은폐하고 있으므로 사전 대응에 만전을 기해야 한다는 것이다.  
 
그리고 디아블로 3(Diablo III)에 대한 공격이 추가된 게임 계정 모니터링 및 백신 무력화 항목뿐만 아니라 게임 머니 및 문화상품권 탈취 목록이 추가됐다.
 
빛스캔 전상훈 이사는 “현재 공격자들도 전략적인 움직임을 보이고 있어서 공개적으로 IP 대역을 알리는 부분은 보고서 구독 고객에게만 한정해 제공될 예정”이라며 “또한 어떤 방식으로든 빛스캔의 악성링크 탐지와 분석 내용에 대해서 공격자들이 인지를 일부 하고 있는 것으로 판단된다. 니다. 또한 금주의 총평으로는 제로데이의 패치로 인한 MalwareNet의 재활성화 및 관찰이다”라고 강조했다.
 
KAIST CSRC 주간보안동향 보고서는 1p 짜리의 요약형태로 작성이 되며 무료 배포가 가능하다.  해당 서비스의 신청은 csyong95@kaist.ac.kr로 하면 된다.
 
정식 구독 서비스 가입 및 시범 서비스 신청은 info@bitscan.co.kr이며 기관명/ 담당자/ 연락처를 기재해 보내면 된다.
 
이 분석은 악성링크 자체 수집은 빛스캔의 PCDS (Pre crime detect system)를 통해 수집하며, 악성링크 및 악성코드 분석은 KAIST 사이버보안연구센터(주대준 부총장), 정보보호대학원과 공동으로 진행중이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★