자동화 된 Exploit Kit을 활용한 대규모 악성코드 유포!
빛스캔은 PCDS (Pre Crime Detect Satellite)를 통해 2012년 11월부터 2013년 1월까지의 경유지 및 유포지의 변화를 종합 관찰한 보고서를 28일 발표했다.문일준 빛스캔 대표는 “이번 관찰결과는 대선실시 이전에 정보를 공유하여 협력한 결과 변화된 공격 형태를 나타내고 있다”며 “대선기간 DDoS 공격을 우려하여 최종 악성파일과 C&C 연결 정보를 전달한 결과 악성코드 유포지의 비율이 국내로 급격하게 기울어지는 현상을 확인 할 수 있다”고 설명했다.
또 “3개월간의 변화 관찰과 내부 데이터를 가공한 보고서를 통해 국내 인터넷 환경의 심각성에 대해서 인식을 하는 계기가 되었으면 한다. 같은 기간에 유포된 최종 악성코드들은 최소 50% 이상이 금융정보 탈취를 위한 파밍 형태의 악성코드들이 유포된 상황이므로 향후에도 계속해서 금융 관련 사고가 발생 할 것으로 예측이 된다”고 밝혔다.
다음은 이번 보고서 주요 내용들이다. 유포 및 경유지 통계를 보면, 전체 수치는 PCDS 탐지 체계를 통해 수집된 내용이며, 중복을 제외한 수치이다. 경유지의 수치는 실제 공격이 발생된 서비스 수치만을 카운트한 내용이며, 반복된 공격의 수치를 포함하면 수치는 대폭 증가하는 상황이다. 악성링크라고 부를 수 있는 유포지는 전체적으로 감소하는 현상을 보이고 있고 경유지도 감소하는 현상이 관찰되고 있다. 그러나 12월 중에 접속자가 매우 많은 서비스들이 경유지 및 유포지로 직접 이용된 정황들이 있어서 전체 피해범위는 더 넓어졌을 것으로 빛스캔은 분석했다.
대량으로 탐지된 유포지 및 경유지로 탐지된 Top10
1. Gondad Exploit Kit에서 새로운 취약점을 이용한 공격 발견
Gondad Exploit Kit에서는 존재하지 않았던 새로운 취약점을 이용한 공격이 발견됐다. 이 취약점은 2013년 2월 7일 CVE에 등록은 되었지만, 실제로 국내에서 발견된 것은 이번이 처음이다. [그림1]과 같이 해당 취약점은 Adobe Flash 파일을 이용하여 공격하는 방식으로 해당 파일은 Adobe Flash Player의 Memory Corruption 취약점을 이용해 Buffer Overflow을 일으켜 공격자가 실행시키고 하자 하는 코드를 임의로 실행시킬 수 있다.
또한, swf파일의 특징으로써 Decompiler을 통해 swf파일을 열어보면, 클래스 이름이 LadyBoyle이고 32비트 버전, 64비트 버전별로 따로 클래스가 존재함을 알 수 있다[그림2].
그리고 또한 LadyBoyle 클래스에서는 플래시 버전과 OS버전을 확인한 후 공격의 여부를 결정하고 있다[그림3].
현재 해당 취약점은 윈도우 이외에 매킨토시에서도 DoS공격이 가능하다고 알려져 있으나, 해당 swf파일에서는 윈도우 사용자를 대상으로 하는 공격이었으며, 윈도우에서는 취약점을 이용한 권한상승 및 Drive-by download를 통한 공격이 가능하다고 알려져 있으므로, 2월 7일 배포된 Adobe Flash Player의 업데이트를 권장한다고 밝혔다.
2. 자동화 된 Exploit Kit을 활용한 대규모 악성코드 유포
악성코드 유포를 위해 취약한 웹 서비스들에 대량으로 악성링크를 삽입하여 이루어지는 공격은 여전히 활발하게 이루어지고 있다. 따라서 일반 사용자들은 악성링크가 삽입된 사이트에 방문만 하더라도 해당 웹 페이지에 삽입된 링크로 연결되어 자신도 모르는 사이에 악성코드에 감염되는 Drive-by download 공격에 노출될 수밖에 없다. 정상 페이지로부터 연결되는 악성 페이지는 사용자 PC의 다양한 어플리케이션의 취약점을 이용하여 악성코드를 다운로드 하고 실행하는 기능을 포함하고 있다.
악성코드 유포에 사용되는 취약점들은 Oracle Java, Adobe Flash Player, Internet Explorer 등과 같은 다양한 어플리케이션에 존재한다. 대부분의 일반 사용자들은 사용하는 어플리케이션의 업데이트를 제대로 수행하지 않기 때문에, 공격자들은 패치가 없는 제로데이 취약점은 물론이고, 이미 패치가 나와 있는 취약점이라 할지라도 공격 효과가 높은 취약점을 선호한다. [그림 4]는 지난 2012년 6월부터 현재까지, Exploit Kit에 추가되어 대량의 악성코드 유포에 활용되었던 대표적인 취약점들을 나타낸다.
[그림 5]는 Gondad Exploit Kit을 사용하는 악성링크의 일반적인 구조도로, CVE-2013-0634를 포함하여 총 8가지 취약점을 동시에 활용하여 악성코드를 유포한다. 악성 페이지인 index.html에는 6가지 JAVA 취약점, MS XML 취약점, Adobe Flash 취약점이 포함되어 있으며, 최종적으로 pang.exe라는 악성코드를 다운로드 하여 실행한다.
지난 한 해 동안의 공격 동향을 살펴보면 이러한 취약점들을 동시에 사용하여 악성코드를 유포하는 다중 취약점 형태가 가장 일반적으로 나타났다. 특히 최근에도 지속적으로 발견되고 있는 Gondad와 같이 자동화 된 공격 도구(Exploit Tool Kit)를 활용하는 경우에는 6~8개의 취약점을 동시에 이용한다. 이처럼 공격자들이 악성코드 유포에 여러 취약점을 동시에 사용하는 이유는 공격 성공률 및 악성코드 감염율을 높이기 위함이다. 서로 다른 어플리케이션의 취약점을 동시에 이용하거나, 또는 여러 종류의 어플리케이션 버전에 대한 취약점들을 한꺼번에 이용함으로써 사용자의 PC가 감염될 확률을 높이고, 더욱 효과적인 악성코드 유포가 가능하기 때문이다.
이와 같은 악성코드 유포 공격을 막기 위해서는, 먼저 관리자들이 웹 서버 취약점 점검과 모니터링을 통해 악성링크가 삽입되지 않도록 각별한 주의를 기울이는 것이 필요하다. 또한 만일 악성링크가 삽입되더라도 신속하게 탐지하여 이를 제거하는 것이 필요하다. 이러한 조치를 통해 일반 사용자들이 악성코드에 대량으로 감염되는 것을 방지 할 수 있다. 또한 일반 사용자들은 관련 어플리케이션들의 보안 업데이트를 반드시 주기적으로 수행하여, 최소한 패치가 이루어진 취약점들을 활용하여 유포되는 악성코드에는 감염되지 않도록 하는 것이 필요하다.
3. Red Kit을 활용한 공격의 급속한 증가
2월 초, Red Kit Exploit Kit이 처음 발견된 이후 이 공격 기법이 꾸준히 증가하고 있다.[그림 6]. 특히, 이 공격 기법의 특징은 한번 악성 링크로 접속하게 되면, 동일 IP에서는 악성 링크로 접속되지 않고 google.com으로 리다이렉트되는 경우가 일반적이므로 분석이 쉽지 않은 것이 특징이다.
Red Kit을 이용한 공격에서 사용 중인 취약점은 CVE-2013-0422, CVE-2012-1723, CVE-2010-0188 등 3가지이며, 각각 33.html, 41.html, 62.html을 실행하는 구조로 되어 있다. [그림 8]에서 볼 수 있듯이, 공격 페이지에 접속 시 332.jar나 887.jar와 같은 공격 수행에 필요한 파일을 다운로드 한 후, 난독화 된 html 주소 부분(파란색 박스)을 수행하는 구조로 되어 있다. 각각의 html 파일들은 그 내용을 확인할 경우, 실제 웹페이지가 아닌 악성 행위를 하는 실행 파일임을 알 수 있다 [그림 9].
현재는 3가지 취약점만을 사용하고 있지만, 해당 툴킷을 사용해 더 다양한 공격을 시도할 것이라는 예측이 가능하다. 이와 관련된 공격을 막기 위해 Java 업데이트 및 Adobe Reader 업데이트를 실행할 것을 권장한다.
4. Java Applet, Internet Explorer 등 주기적인 보안 업데이트 권고
지난주에 악성코드 유포에 사용된 취약점들은 아래와 같으며, 해당 URL에서 업데이트 관련 정보를 얻을 수 있다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
