2019-12-16 09:25 (월)
6개 이상 다중 취약점 공격 악성코드 대거 출현!
상태바
6개 이상 다중 취약점 공격 악성코드 대거 출현!
  • 길민권
  • 승인 2012.09.17 12:13
이 기사를 공유합니다

빛스캔 “공격자, 감염 비율 증가 위해 다중 취약점 적극 활용”
백신 미탐지 다운로더 및 백도어 형태 악성코드 유포 계속
MS, 어도비 플래시, 자바 등 최대 6개 이상 취약점을 동시에 공격하는 악성코드 세트가 대거 이용되고 있는 정황이 지난주 발견됐다. 지난 9월 7일 금요일 저녁시간 대에 다단계 유포통로로 이용되고 있는 MalwareNet이 대거 활성화된 움직임이 발견 되었으며, 다단계 유포통로를 이용해 추가적인 악성 파일을 다운로드 할 수 있는 다운로더가 대규모 유포된 정황이 발견 되었다. 강도 높은 주의가 필요하다.
 
빛스캔(대표 문일준) 관계자는 “9월 1주차에는 간간히 출현했던 취약성 공격 세트가 대거 출현했으며 공격자는 감염 비율 증가를 위해 적극적으로 활용하는 모습을 보였다”며 “기존 Java 취약성과 MS XML , MS IE 취약성이 묶여서 활용되고 있다. 8월 5주차에 전체 악성링크에서 공격세트가 출현한 비율은 23% 가량 이였으나 9월 1주차 들어서 58%로 가량의 악성링크가 다중 취약성을 공격하는 형태가 관찰되었다”고 주간 보고서를 통해 설명했다.
 
또한 보고서에 따르면, Gh0st RAT을 비롯한 공격적인 정보 수집 형태를 가지고 있는 악성코드 출현이 계속 되고 있으며, 추가 공격시도를 위한 다운로더 형태의 악성코드 발견도 계속 되는 상태라는 것이다.
 
전상훈 빛스캔 이사는 “가까운 미래에 추가적인 변화와 위험들이 곧 나타날 것으로 보이며, 위험성이 높은 상태를 계속 보이고 있다. 사전 예방과 사고 발생 이후의 초동 대응의 신속함과는 차원이 다른 문제이므로 사전에 문제들을 예방하도록 하는 것이 가장 중요하다”며 “9월 1주차 전체적으로는 신규 악성링크 증가, 악성코드 유형 증가와 같이 전체적으로 공격이 증가한 상황을 보이고 있다. 9월 7일인 금요일 저녁에 출현한 상황만으로도 8월 5주차의 모든 지표를 능가할 만큼 단기간에 대거 공격이 이루어진 상황”이라고 우려했다.  
 
전 이사는 또 “다단계 유포통로를 활용한 악성코드 유포 시도도 매우 활발했으며 이제는 유포통로의 확산 이후의 과정인 적극적인 활용 단계에 돌입한 것으로 판단된다”며 “백도어 및 루트킷 형태의 악성코드들도 다단계 유포통로를 이용해 유포 된 정황이 발견되었으므로 향후 추가적인 이슈 및 사건.사고 발생이 예상된다. 각 기업 및 기관에서는 주의가 필요하다. 이번주 부가적인 특징으로는 대북관련 사이트들에 악성링크가 추가된 이슈가 발견되었으며 해당 사이트 접속 시 감염되는 악성파일들은 백도어 형태로 추정된다”고 설명했다.  


<9월 1주차 공격에 사용된 취약성 비율. 빛스캔 제공>
 
빛스캔의 9월 1주차 악성코드 공격의 특징을 정리하면 다음과 같다.
•8월 3주차에 대규모 유포가 이루어졌던 루트킷, 백도어 유형의 경우 금주 차 활동 계속, 부가적인 위험 증가(감염된 좀비PC들을 활용한 추가 위험이 발생 할 수 있는 상태)
 
•APT 형태의 악성코드 유포 계속. 권한 획득, 내부망 스캔 , 추가 코드 다운을 위한 다운로더 다수 확인 지속
 
•MalwareNet(다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화
 
•9월 1주차 신규 생성된 MalwareNet의 신속한 유포 통로 활용 관찰
 
•최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨
 
•백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속
 
•지난주 대비 대폭 증가한 공격 (단기간에 집중되어 계속 유지되는 형태. 9.7일 오후 8~12시 사이 대거 공격 활용)
 
•게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속
 
•백신 업데이트 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨
 
•자바 제로데이 취약점은(CVE-2012-4681) 현재 오라클에서 공식 패치를 배포했다. 반드시 업데이트를 적용해야 함.
 
•MS XML (CVE 2012-1889) 취약성의 경우 업데이트를 하지 않은 분은 반드시 업데이트 적용.
 
•Adobe Flash (CVE 2012-1535) 취약성의 경우 금주 공격 출현되었으므로 바로 패치적용 해야 함.
 
•7월 3주차부터 사용률이 급상승한 Java 취약점인 CVE-2012-1723도 반드시 패치 해야 함. 9월 첫주에는 1723만 단독으로 사용된 것들이 많이 포착되었다. 반드시 업데이트를 적용해야 함.
 
전상훈 이사는 “MalwareNet을 통해 영향력을 가지는 악성링크들은 탐지 회피를 위해 비정기적이고 수시로 변경된다. 공격자의 의도에 의해 조종당하고 있는 현실에서 사후대응과 사전대응의 차이는 매우 큰 차이를 가질 수 밖에 없다”며 “MalwareNet 자체를 여러 곳 활용하는 형태도 계속 발견 되고 있으며, PCDS 상의 추적된 데이터로 살펴보면 악성링크는 단 6곳 가량에만 추가가 되었지만 이중 세 곳이 MalwareNet으로 사용이 되고 있다. Impact Factor로 보면 위험성과 파급력은 61에 이를 정도로 높은 상태를 보이고 있다. 공격자는 단 한번의 클릭 만으로 전체 61곳 이상에서 동시에 악성코드 감염을 시킬 수 있는 상황이다. 최종 악성코드들에 대한 탐지율도 높지 않아 항상 위험에 노출되어 있는 상태라 볼 수 있다”고 설명했다.
 
PCDS Impact Factor는 내부 수집된 체계에서 전파 범위를 고려한 내부 위험지수이며 MalwareNet의 추적과 영향도 추적을 위해 활용 되는 수치다. 높을 수록 은밀하면서도 파급력이 높은 상태라는 점을 의미하고 있다.
 
그는 또 “현재 사용자 PC에 설치되는 악성코드들은 항상 백신을 우회해서 설치가 되고 또 계속해서 변형들이 출현하고 있는 현 상황에서 웹 서비스에 방문만 해도 감염이 되는 공격코드들이 창궐하고 있다”며 “기본적인 문제를 해결 할 수 있는 보안패치는 반드시 적용 해야만 위험을 줄일 수 있으니 반드시 기관과 기업 내부적으로 강력한 권고가 있어야 한다. Oracle Java 취약성, Adobe Flash 취약성, MS의 XML, Midi 및 IE 취약성이 복합적으로 사용되어 공격 성공 비율을 높이는 경우가 꾸준히 관찰되고 있으므로 전체 보안 수준 관리에 노력을 기울일 필요가 있다”고 밝혔다.
 
더불어 “빛스캔 PCDS에 탐지된 내용을 바탕으로 공격자들의 전략을 확인해 보면, 비정기적이고 수시로 악성링크와 최종 악성코드를 바꾸고 있다. 변경하는 이유는 백신 탐지 회피를 하기 위한 목적이 가장 크며, 때로는1시간에 한 번씩 최종 악성코드를 변경하는 지금의 상황에서 대응이 가능한 보안체계는 거의 없다”며 “백신은 백신만의 역할 부분이 있으며, 현재 상태의 문제 해결을 위해서는 확산 이전에 대응을 할 수 있어야 한다. 최종 설치되는 바이너리의 변화는 계속 되고 있으므로 대응적인 측면에서 한계를 보일 것으로 판단된다”고 말했다.  
 
빛스캔 보고서 정식 구독서비스 가입 및 시범서비스 신청은 info@bitscan.co.kr이며 기관명, 담당자, 연락처를 보내면 시범은 기관, 기업별 1회에 한정 배포한다
 
이 보고서 분석은 악성링크 자체의 수집은 빛스캔의 PCDS(Pre crime detect system)를 통해 수집하며, 악성링크및 악성코드 분석은 KAIST 정보보호대학원과 공동으로 진행하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com