웹 사이트를 악용한 SEO Sploit Kit 분석

2010년 들어서도 웹 사이트를 악용한 공격은 줄어 들지 않고 있으며 이러한 공격은 현재에도 활발하게 이루어지고 있는 실정이다. 이러한 웹 사이트에 기반을 두고 사용하는 운영체제 또는 웹 브라우저(Web Browser)의 취약점을 악용하는 공격 형태에 있어서 웹 익스플로잇 툴킷(Web Exploit Toolkit)을 이용한 형태는 처음 있는 일이 아니다.

ASEC에서는 2010년 3월경 러시아 언더그라운드에서 제작된 것으로 추정되는 새로운 웹 익스플로잇 툴킷인 SEO Sploit Kit을 확보하여 새롭게 제작되는 웹 익스플로잇 툴킷들의 형태를 분석하였다.

이번에 분석한 SEO Sploit Kit 은 러시아에서 2010년 3월에서 6월 사이에 제작된 것으로 추정하고 있으며 관리를 위한 메인 웹 사이트는 아래 이미지와 같은 형태를 가지고 있다.

해당 메인 웹 사이트에서는 현재 접속해 있는 좀비(Zombie) 시스템의 전체적인 현황과 함께 설치되어 있는 악의적인 웹 사이트에 접속한 시스템들에 대한 별도의 형태로 구분한 통계가 제공된다. 구분 형태는 웹 브라우저, 운영체제, 국가별 그리고 어느 웹 사이트에 삽입되어 있는 아이프레임(iFrame)을 통해 연결되었는지 그리고 어떠한 취약점을 통해 공격이 성공하였는지에 대한 통계들이 제공된다.

현재 해당 SEO Sploit Kit 툴킷에서는 아래 이미지에서와 같이 총 5가지의 취약점을 이용하여 공격을 수행 할 수 있었다.

1) CVE-2009-1493

Adobe Reader 'spell.customDictionaryOpen()' JavaScript Function Remote Code Execution Vulnerability

2) CVE-2008-0655

Adobe Acrobat and Reader Multiple Arbitrary Code Execution and Security Vulnerabilities

3) CVE-2008-1104

Foxit Reader 'util.printf()' Remote Buffer Overflow Vulnerability

4) MS06-014

MDAC(Microsoft Data Access Components) 기능의 취약점으로 인한 원격 코드 실행 문제점 (911562)

5) APSB06-20

Update available for potential vulnerabilities in Adobe Reader and Adobe Acrobat 7

해당 취약점을 악용하여 실제 악성코드 감염에 어떠한 영향을 미치는지 실제 공격에 사용되는 웹 사이트의 일부 코드를 수정하여 사용하는 운영체제나 웹 브라우저에 취약점이 존재 할 경우에는 계산기 프로그램이 실행되도록 하였다.

테스트 결과는 위 이미지에서와 같이 취약점이 존재하는 운영체제 또는 웹 브라우저를 사용할 경우에는 테스트시에는 계산기 프로그램이 실행하도록 하였지만 실제 인터넷 공간에서는 충분히 악의적인 목적으로 사용됨으로 사용자 모르게 악성코드에 감염될 수가 있다.

그러므로 이러한 방식으로 유포되는 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.