본문 바로가기
악성코드 정보

Google's Shorten URL Service 서비스를 이용한 악성코드 유포사례

by 알 수 없는 사용자 2011. 8. 1.
단축 URL 서비스(Shorten URL Service)란?
단축 URL 서비스(Shorten URL Service)
는 Twitter, FaceBook같은 SNS(Social Network Service)에서 활발히 사용되고 있으며 포스팅할 수 있는 글자 수의 제한을 보완하기 위해서 원본 URL을 짧게 변환하는 것이다.

                                                        [그림 1] Google's Shorten URL Service
 
[그림 1]의 예처럼 원본 URL을 Google's Shorten URL Service를 이용하여 단축 URL로 변환하면 원본 URL의 길이보다 짧아 지므로 그 만큼의 포스팅할 수 있는 글자 수를 확보할 수 있는 장점이 있다. 하지만 이를 악용한 사례(악성코드 유포, 광고 등)가 자주 발견되고 있어 주의가 필요하다.

단축 URL 서비스의 가장 큰 위험성은 바로 "단축 URL을 신뢰할 수 있는가?"란 문제인데 사용자 입장에서는 원본 URL을 알 수가 없고 이미 단축 URL로 변환된 후이므로 해당 단축 URL의 위험성을 판단할 수가 없다. 그리고 무심코 클릭하여 광고 창에 노출되거나 악성코드에 감염되는 사례가 발생하는 것이다.

                                               [그림 2] 단축 URL로 변환된 악성코드 유포 URL 

[그림 2]는 악성코드 유포 URL이 단축 URL로 변환되어 Twitter를 통해서 확산되었던 예이다.

단축 URL 서비스(Shorten URL Service)가 어떻게 악용되었는가? 
이번 주말에 일부 해킹된 국내 사이트들에서도 Google's Shorten URL Service를 이용한 악성코드 유포 사례가 발견되었다.


                                   [그림 3] 
Google's Shorten URL Service를 이용한 악성코드 유포

[그림 3]처럼 악성 스크립트가 링크된 URL을 알아 볼 수 없게 단축 URL로 변환하여 웹 공격을 통해서 취약한 국내 사이트에 삽입한 것으로 보인다.

                                          [그림 4] 해킹된 국내 사이트에 삽입된 악성 단축 URL

[그림 4]에서 script src="태그로 삽입된 악성 단축 URL에 접근해 보면 아래 그림처럼 다른 악성 스크립트를 다운로드 하는 URL이 존재하며,


                                             [그림 5] 악성 단축 URL에 삽입된 Iframe Tag
 
해당 iframe tag가 동작하면서 접속한 PC의 Internet Explorer의 버전을 체크하여 버전에 맞는 취약점을 내포한 스크립트가 동작하도록 해두었다.


                                    [그림 6] Internet Explorer의 버전체크 및 동작 스크립트

이번에도 가능한 많은 PC들이 악성코드에 감염되도록 다양한 취약점을 사용하였고 전체적인 구조를 요약해 보면 아래와 같다.

                                                    [그림 7] 악성 스크립트의 동작구조

악성코드에 감염되면 어떤 증상이 발생하는가?
악성코드에 감염되면 윈도우 정상 파일을 교체하는 증상이 발생한다.

                                                             [그림 8] 윈도우 정상파일 교체

위 그림에서 보는 것처럼 
악성 imm32.dll이 실행되면서 백업된 정상 imm32.dll인 Shell64.dll을 로딩하도록 해 두었는데 이는 악성 imm32.dll의 코드를 통해서 확인할 수 있다.

                                                  [그림 9] 악성 imm32.dll의 정상 API 호출 기능

안철수연구소의 대응상태
이와 관련된 악성코드는 V3:2011.07.31.00이상의 버전이면 아래와 같이 진단 및 치료가 가능하다.

Dropper/OnlineGameHack16.Gen
JS/Agent
HTML/Agent
Win-Trojan/OnlineGameHack91.Gen

만약 감염되었다면 전용백신으로 치료하면 된다.

                                                                 [전용백신 다운로드]  
 

[전용백신 사용 시 주의사항]
1. 설치된 백신의 실시간 감시기능을 중지
2. 작업 중인 프로그램은 저장 및 종료
3. 전용백신의 동작중 다른 응용 프로그램의 실행은 가급적 권장 하지 않음
4. 전용백신은 반드시 "관리자 권한" 으로 실행
5. 진단/치료가 끝나면 반드시 시스템을 재부팅 필요
6. 전용백신은 악성코드를 진단 / 치료하는 기능만 제공되며 예방하는 기능은 제공되지 않음

 

 

댓글