ASEC 대응팀에서 운영하는 허니팟을 모니터링 하는 중에 imm32.dll을 패치하는 악성코드의 수집건수가 증가한 정황을 포착했다. 그 원인을 분석해 본 결과 국내 일부 사이트들에서 유포 중인 것을 확인했고 그 과정을 정리해 보면 아래 그림과 같다.
해킹된 쇼핑몰 사이트에서 삽입된 악성 URL을 찾는 과정에서 놀라운<?> 사실을 발견하는데 해당 사이트에서 사용하는 JS파일인 http://www.*****.com/inc/IE_Script.js에는 다수의 악성 URL로 보이는 URL들이 삽입되어 있었다.
삽입된 악성 URL들은 총 53개로, 간단한 스크립트를 제작하여 해당 URL들에 대해서 동작여부를 테스트해 본 결과
1개의 URL을 제외한 나머지 URL들은 동작하지 않았고 삽입된 악성 URL들의 공통점을 조사한 결과 아래 그림에서
알 수 있듯이 모두 국내 사이트들이었다. 그리고 아직 동작하는 것으로 확인된 URL은 화장품 관련 사이트이다.
아마 예전부터 악성 URL들이 삽입되어 왔고 53개의 악성 URL이 삽입될 때까지 방치해 둔 것은 아닌지 추정해 볼 수 있겠다. 만약 여러분이 해킹된 쇼핑몰 사이트의 관리자라면 근본적인 해결은 당장 어렵더라도 JS에 삽입된 위 53개의 악성 URL들은 삭제해줘야 하지 않을까?
일반 사용자 PC들이 Onlinegamehack에 감염될 조건은 유포된 악성 스크립트에서 찾을 수 있고 아래와 같다.
{
var YSVISHh7="#default#userData"; // MS10-018
var KYVpU2 = document.createElement(KsFti8);
KYVpU2.addBehavior(YSVISHh7);
document.appendChild(KYVpU2);
TDUDN4='s';
try
{
for (i=0;i<10;i++)
{
KYVpU2.setAttribute(TDUDN4,window);
}
}
catch(e)
{}
window.status+='';
}
Internet Explorer에 MS10-018(http://www.microsoft.com/korea/technet/security/bulletin/MS10-018.mspx) 취약점이 존재하면 악성 스크립트가 실행되면서 Onlinegamehack를 다운로드 한 후 실행한다.
그렇다면 Internet Explorer가 아닌 FireFox, Opera같은 타 브라우저로 해킹된 사이트에 접속하면 악성코드에 감염될까? 정답부터 말하면 "No"다. 위에서도 언급했지만 악성코드가 감염될 조건은 Internet Explorer에 MS10-018이 존재할 경우이므로 다른 브라우저의 경우 악성코드에 감염되지 않으나 아래와 같은 경고창이 뜰 수 있다.
아마도 사용자들은 이렇게 생각할 수 있을 것 같다.
"그럼 Internet Explorer 사용하지 말고 Firefox나 Opera같은 타 브라우저 사용하지 뭐!"라고, 하지만 이는 아주 위험한 생각이다. 국내 해킹된 사이트를 통해서 유포되는 악성코드들이 주로 Internet Explorer의 취약점을 공격하는 이유는 국내 대부분의 사이트들이 Internet Explorer에 최적화되어 있고 그로 인해 Internet Explorer의 사용자 점유율이 높기 때문이다. 이미 외국에서는 FireFox, Opera같은 타 브라우저에 존재하는 취약점에 대한 실제 공격이 발생하고 있으므로 타 브라우저라고해서 안심하면 안된다.
그럼 Onlinegamehack에 감염되면 어떤 일이 발생할까?
악성코드의 진단명에서도 알 수 있듯이 아래 그림에서 보는 것처럼 특정 온라인 게임 사용자의 계정정보를 탈취한 후 특정 URL로 전송한다.
전송되는 계정정보는 악성코드에 의해서 우선 암호화된다.
이렇게 악성코드에 의해서 탈취된 계정정보는 어떻게 사용될까?
지금까지의 내용을 정리해 보면 사이트 관리자 입장에서는 자신의 사이트가 해킹되어 악성코드 유포 사이트로 전락해서 한번, 자신의 사이트에 접속하는 고객 PC들이 악성코드에 감염되어 사이트의 신뢰도 하락으로 또 한번, 이건 사이트 관리자를 두 번 죽이는<?> 심각한 문제이고 마찬가지로 일반 사용자 입장에서는 PC가 악성코드에 감염되서 한번, 애지중지하는 게임 아이템이 탈취되어 또 한번, 이건 사용자를 두번 죽이는<?> 심각한 문제이다.
이 글을 읽는 여러분이 사이트 관리자라면 자신의 사이트에 취약점은 없는지 또는 의심 스크립트나 파일이 업로드되어 있지는 않는지 그리고 일반 PC 사용자라면 보안 업데이트는 충실히 하고 있는지 그리고 백신은 최신으로 유지하고 있는지 점검해 볼 필요가 있지 않을까?
이 정보를 작성하는 시간을 기준으로 V3에서는 관련 악성코드들을 아래와 같이 대응하고 있다.
Win-Trojan/Onlinegamehack.53248.IU (V3,진단버전:2011.02.20.00)
JS/Agent(V3, 진단버전:2011.02.18)
'악성코드 정보' 카테고리의 다른 글
악성코드는 온라인 게임 사이트를 타고,,, (0) | 2011.02.21 |
---|---|
안드로이드폰의 개인 정보를 가로채는 악성앱, "Pjapps" 변종 발견 (0) | 2011.02.20 |
악성 URL의 숨바꼭질<?> (0) | 2011.02.17 |
PC방을 타켓으로 전파되는 악성코드 (0) | 2011.02.16 |
새로운 안드로이드 트로이목마, ADRD 주의 (1) | 2011.02.15 |
댓글