국내 해킹된 사이트에서 발견된 "HTML Style tag based malicious Iframes"

외국 보안 블로그에 "In depth analysis - decoding HTML Style tag based malicious Iframes"란 제목으로 Style태그를 사용한 악성 iframe에 대한 분석정보가 포스팅되었습니다.

 

☞ In depth analysis - decoding HTML Style tag based malicious Iframes:

http://research.zscaler.com/2011/02/in-depth-analysis-decoding-html-style.html

 

위 URL에 기술된 분석정보를 읽어 보면 해당 악성 Style 태그는 다른 악성 링크들과 마찬가지로 최종 목적은 취약점이 존재하는 PC를 악성코드 감염시키는 것입니다. 그리고 해당 형식이 새로운 것은 아니지만 해킹된 웹 사이트에 삽입되었던 기존의 악성 URL 형식과는 달라 관심을 끌기엔 충분했고 국내 해킹된 일부 웹 사이트들에서도 동일한 형식을 사용한 악성코드 유포 사례가 있었습니다.

Case 1:

[그림 1] Style태그를 사용한 악성 iframe

 

[그림 1]에 나타난 스크립트를 난독화 해제해 보면 아래와 같이 악성 iframe이 존재한다는 것을 알 수 있습니다.

[그림 2] 난독화 해제된 후 악성 iframe

 

아래 Case 2그림은 Case 1과는 조금은 다르지만 구조나 동작방식은 동일합니다.

 

Case 2:

                                                    [그림 3] Style태그를 사용한 악성 iframe

[그림 4] 난독화 해제된 후 악성 iframe

 

난독화된 스크립트 내에 포함된 php가 실행되면 아래 URL로 리다이렉션됩니다.

HTTP/1.1 302 Server: Apache Content-Length: 0 Content-Type: Last-Modified: Mon, 04 Apr 2011 14:24:12 GMT Accept-Ranges: bytes Server:nginx/0.8.34 Date:Mon, 04 Apr 2011 14:24:59 GMT X-Powered-By:PHP/5.3.2 Location:http://***********.cz.cc/in.php?a=QQkFBg0DBw**********YNAwwFEYNDAYMAwQNAA==

리다이렉션된 URL이 가지고 있는 코드를 보면 아래 그림처럼 Java의 취약점을 사용해서 악성코드를 실행하도록 해둔 것을 볼 수 있습니다.

[그림 5] Sun Java Runtime New Plugin docbase Buffer Overflow

 

☞ Sun Java Runtime New Plugin docbase Buffer Overflow:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3552

 

CVE-2010-3552 취약점을 사용하여 setup.exe를 다운로드 한 후 실행하면 추가로 스팸메일 발송기능을 가진 client1.exe를 다운로드 한 후 실행합니다.

                                                      [그림 6] 감염된 PC에서 발송되는 스팸

V3제품에서는 아래와 같이 대응하고 있습니다.

 

Win-Trojan/Fakeav.18944.LR(2011.04.07.02)

Win-Trojan/Fakeav.651776.TF(2011.04.06.06)