2024-05-26 06:10 (일)
닥터아파트, 2011년부터 현재까지 좀비PC 생산중
상태바
닥터아파트, 2011년부터 현재까지 좀비PC 생산중
  • 길민권
  • 승인 2014.03.06 20:50
이 기사를 공유합니다

최종 설치되는 악성코드는 트로이목마, 백도어, 파밍으로 확인
방문자가 많은 대규모 부동산 중개 사이트가 지난 2011년부터 현재까지 50여 차례 이상 악성코드 유포지로 악용되고 있다. 하지만 여전히 개선되지 않고 있어 많은 접속자들의 악성코드 감염이 우려되는 상황이다.


<웹 서핑을 통한 좀비 PC 감염>
 
빛스캔(대표 문일준) 관계자는 “최근 공격동향은 방문자가 많은 사이트들을 대상으로 Java, IE, Flash 취약성 9종을 이용하는 공격을 통해 좀비 PC를 대량으로 확보하는 방식이 일반적으로 사용이 되고 있다”며 “공격자는 최초 닥터아파트 서비스에 대한 공격을 통해 권한을 획득하고 웹 소스의 소스코드를 변경해 악의적인 공격이 실행되도록 구성한다. 악성링크의 추가를 통해서 이제 웹 서비스를 방문하는 모든 방문자들의 PC에서는 자동으로 악성링크가 실행되고, 공격이 이루어지고 결국 좀비 PC로 전락하게 되는 것”이라고 설명했다.

이사철을 앞두고 좀더 저렴하고, 위치와 편의 시설이 좋은 곳을 찾기 위해서 많이 방문하는 대표적인 부동산 사이트인 닥터아파트가 공격자의 표적이 되었던 정황이 빛스캔 PCDS(Pre-Crime Detect Satellite)에 포착되었다.
 
특히 닥터아파트 사이트의 경우 2011년 7월부터 현재까지 약 50여 차례 이상 악성코드를 유포한 정황으로 미루어 보아 웹사이트의 보안이 허술한 상태로 추정할 수 있다. 또한 지속적으로 문제제기를 했음에도 불구하고 악성코드 유포에 계속 이용되는 사례는 근본적인 침입의 원인을 완벽하게 제거하지 못한 상태가 계속 되고 있음을 의미한다. 2012년, 2013년, 2014년에도 빛스캔 PCDS 상에 다수의 악성코드 유포 기록이 있지만 대표적인 악성링크들만 살펴보면 다음과 같다.


<닥터아파트를 통해 유포된 대표적인 악성링크들>
 
2014-02-26 16시경
악성 URL: www.toonk.com/xxx/x.html
최종 다운로드 링크: www.ieffy.com/xx/xxx/Fish.exe
C&C 연결주소: xxxt.host.xxxing38xxx.com
 
2014-03-05-23경 ~ 현재까지
악성 URL: 174.xxx.137.xxxxx/xxx/xxex.html
최종 다운로드 링크: 174.xxxx.137.xxxx4/xx.exe
C&C 연결주소: user.qzone.qq.com/1055869208
 
최종 설치되는 악성코드는 세 종류였다. 트로이목마, 백도어, 파밍으로 확인이 된 상황이며, 그 중에서 자바 취약성을 이용하여 설치되는 공격코드의 경우 바이러스토탈을 통한 VT 진단 결과들은 특정 백신들의 기능 문제가 아니며 악성코드 자체가 국내를 대상으로 한 공격 및 정보탈취용 이라서 국내 사용 비율이 높은 제품들만 탐지를 회피하는 유형이다.
 
빛스캔 관계자는 “악성코드 경유지로 이용되는 곳은 근본 원인 해결을 통해 재발 되지 않도록 하여야 하고 또한 내부의 권한이 모두 장악된 상태일 가능성이 높으므로 강도 높은 대응이 필요하다”며 “또한 악성코드 감염을 통해 사건/사고들이 계속 발생 될 수 있으므로 조기에 탐지하고 대응 하는 역할이 매우 중요한 부분이 될 것”이라고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★