멀버타이징 애드웨어를 이용한 랜섬웨어 감염사례

1. 개요

멀버타이징(Malvertising)은 악성 프로그램을 뜻하는 멀웨어(Malware) 혹은 악성 행위를 의미하는 멀리셔스(Malicious)와 광고 활동을 뜻하는 애드버타이징(Advertising)의 합성어 이다. 멀버타이징(Advertising)은 광고 서비스의 정상적인 네트워크를 이용하여 악성코드를 유포 및 감염 시키는 방법이다.

예를 들면 악성코드 제작자는 그럴 듯한 도메인 이름 - 예를 들어 호텔예약 정보 및 게임정보 - 을 갖는 위장된 광고 웹 사이트를 제작 후 광고 서비스에 이를 광고 한다. 제작된 웹 사이트 내용은 단지 취약점 페이지로 리다이렉트 – 그 이후 알려진 정상 웹사이트로 이동 - 되도록 설정 해둔다.

광고 서비스를 하는 업체는 일반적으로 사용자들에게 광고를 많이 노출 하도록 하기 위해서 동적으로 광고를 받아 올 수 있는 특정 파라미터를 갖는 URL 제공 한다. 제공 된 URL은 여러 웹 사이트에서 사용 되는데 보통 웹 서핑 중 방문 하지 않는 웹 사이트가 새로운 창의 웹 브라우저를 이용해서 보여지는 경우가 이와 같다.

멀버타이징 애드웨어는 (PUP/Win32.EoRezo) 동적으로 광고를 받아 올 수 있는 특정 파라미터를 갖는 URL 을 인코딩하여 내부적으로 가지고 있으며 주로 다음과 같은 웹 사이트에서 팝업을 통한 설치, 또는 크랙파일, 무료게임파일로 위장 되어 설치를 유도한다.

- 토렌트 관련 사이트

- 크랙 관련 사이트

- 음란물 관련 사이트

- 무료 게임 사이트

- 무료 동영상 플레이어 다운로드 유도 사이트

- 허위 플래시 플레이어 다운로드 유도 사이트

                      멀버타이징 (Malvertising) 애드웨어를 이용한 악성코드 감염방법

멀버타이징으로 악성코드에 감염 되는 경우는 크게 2가지로 웹 서핑시 웹 브라우저의 팝업으로 보여지는 광고 사이트에 노출 되거나,  멀버타이징 애드웨어가 사용된 경우, 사용자가 웹 서핑을 하지 않아도 설치된 애드웨어가 불규칙하게 웹 브라우저를 자동 실행한 후 광고를 받아 오는 특정 파라미터를 갖는 URL 로 접속 하여 광고를 보여준다.  

웹 사이트가 정상적인 광고 웹 사이트라면 이런 자동 실행이 문제가 되지 않을 수도 있다. 하지만 보안이 취약한 웹 브라우저 또는 플래시 플레이어(Flash Player), 아크로뱃 리더(Acrobat Reader), 실버라이트(Silverlight), 자바(Java)가 설치된 경우라면 상황이 다르다. 사용자 의도와 상관 없이 애드웨어가 보여주는 웹 사이트가 취약점이 있는 웹 사이트로 리다이렉트 된 후 앞서 열거한 웹 어플리케이션 플러그인 취약점을 이용하여 악성코드에 감염이 될 수 있다. 멀버타이징을 이용한 방법은 불특정 다수를 대상으로 감염 시킬 수 있고, 웹 사이트 (도메인)를 자주 변경하여, 유포지를 찾거나 차단하기 어렵게 만든다.

2. 감염사례

- Angler Exploit Kit 에 의한 Cryptolocker 감염 사례

공격자에 의해서 제작된 booking(제거됨).pw  웹사이트는 위에서 언급한 ‘광고 관련 특정 파라미터_내부 URL' 중 하나인 다음 광고 서비스의 www.fh(제거됨).com/(특정 파라미터) 로부터 받아온다.

                                                   멀버타이징 감염사례_Fiddler_로그

이러한 공격 뒤에는 ‘익스플로잇 킷(Exploit Kit, EK)’이라는 악성코드를 제작, 관리, 유포를 자동화 할 수 있는 도구가 있으며 최근 공격에는 다음 익스플로잇 킷이 주로 사용 되고 있다.

 

- 앵글러(Angler) EK

- 리그(Rig) EK

- 매그니튜드(Magnitude) EK

3. 진단명

해당 멀버타이징 애드웨어에 대한 V3 진단명은 다음과 같다.

- PUP/Win32.EoRezo

- Win-PUP/EoRezo