Lizamoon로 명명된 대규모 SQL 인젝션 공격

2011년 3월 29일 미국 보안 업체인 웹센스(Websense) 블로그 "LizaMoon mass injection hits over 226,000 URLs (was 28,000) including iTunes"를 통해 대규모 SQL 인젝션(Injection) 공격이 발생하였으며 이로 인해 226,000 웹 페이지가 침해 사고를 입은 것으로 알려졌다.

웹센스를 통해 알려진 대규모 SQL 인젝션 공격은 해당 공격을 통해 삽입된 도메인명인 lizamoon.com에서 따와 Lizamoon으로 명명 되었다.

ASEC에서는 추가적인 조사 및 분석을 위해 구글(Google) 검색을 이용하여 해당  Lizamoon 인젝션 공격으로 인해 한국 웹 사이트들이 얼마나 많은 웹 사이트가 피해를 입었는지 파악하였다.

그 결과 해외 사이트 뿐 아래 이미지와 같이 다수의 웹 사이트가 해당 인젝션 공격에 침해 사고를 당한 것으로 파악 되었다.

이번  Lizamoon 인젝션 공격에 사용된 악의적인 웹 페이지 주소는 총 11개이며 아래와 같은 기본적인 형식을 가지고 있다.

<script src=http://[악성 도메인]/ur.php></script>

그리고 웹 페이지에 삽입된 주소는 총 3 단계에 걸치 재연결(Redirection) 구조를 가지고 있으며 전체적인 구조는 다음과 같다.

http://[악성 도메인]/ur.php

-> http://[XXX.co.cc/scanXX/[숫자]?sessionId=[숫자들]]

-> http://[XXX.co.cc/scanXX/[숫자]/freesystemscan.exe

그리고 최종적으로 연결되는 웹 페이지는 아래 이미지와 같이 허위 백신을 다운로드 하도록 유도하는 페이지로 연결된다.

해당 웹 페이지에서 다운로드 되는 파일은 freesystemscan.exe 이며 파일 크기는 ASD(AhnLab Smart Defense) 종합 분석 시스템에 집계된 데이터에서는 2,343,424 바이트에서 2,702,848 바이트까지 다양하게 존재한다.

이렇게 취약한 웹 사이트를 통해 악성코드가 유포되는 것은 과거 몇 년 전부터 악성코드의 또 다른 감염 경로로 형식화 되었다.  

그러므로 신뢰하고 믿을 수 있는 웹 사이트 라고 하더라도 사용하는 운영체제와 웹 브라우저를 최신 버전으로 업데이트하고, 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 함께 최신 엔진으로 업데이트 된 백신을 같이 사용하는 것이 중요하다.

이 번 Lizamoon라고 명명된 대규모 SQL 인젝션 공격을 통해 유포된 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Trojan/Win32.FakeAV

Win-Trojan/Malware.2343424.F

Win-Trojan/Malware.2332672.D 

Win-Trojan/Malware.2329600.B

Win-Trojan/Malware.2667520