본문 바로가기
악성코드 정보

악성 URL의 숨바꼭질<?>

by 알 수 없는 사용자 2011. 2. 17.
최근에 국내 일부 해킹된 사이트에서 사이트 관리자들에 의해서 처리가 어렵도록 삽입된 악성 URL이 조각으로 구성된 일부 케이스가 발견되었습니다. 이는 새로운 기법도 아니고 예전부터 간헐적으로 발견되어 왔죠.

1. 악성 URL이 여러 변수에 조각 형태로 저장된 경우
아래 그림은 특정 국내 사이트의 메인 페이지에 삽입된 악성 URL 부분을 캡쳐해 놓은 것으로 악성 URL이 여러 변수에 조각형태로 저장되어 있었습니다. 만약 여러분이 사이트 관리자라면 아래 악성 URL을 찾을 수 있었을까요? 물론 찾아 제거할 수 있겠지만 다소 시간이 소요됐을 것입니다.


위 그림에서 보면 조각난 악성 URL은 document.write에 의해서 하나의 조합된 URL로 재구성됩니다.

document.write(selector_op0+selector_op1+selector_op2+selector_op3+selector_op4+selector_op5+selector_op6+selector_op7+
selector_op8+selector_op9+selector_op10+selector_op11+selector_op12+selector_op13)

document.write에 의해서 재구성된 악성 URL은 아래와 같고 더 이상 동작하지 않으므로 악성코드를 유포하지는 않습니다.


2. CSS파일에 삽입된 악성 URL
아래 그림 역시 특정 국내 사이트의 CSS파일에 삽입된 악성 URL입니다.


위 그림에서 보여진 코드가 설마 악성 URL이라고 생각할 수 있었을까요? 하지만 위 코드를 추출하여 풀어보면 아래 악성 URL임을 알 수 있었지만 해당 URL 역시 더 이상 동작하지 않습니다.
 

만약 여러분이 사이트 관리자라면 삽입된 악성 URL을 찾고 제거하느라 수고하는 것보다 근본적인 문제점을 찾아 해결해 보는 것은 어떨까요?

이 정보는 여기서 끝나지 않습니다. 앞으로도 계속 업데이트될 예정입니다.

댓글