최근 국내 인터넷 뉴스 사이트를 통해 선(SEON) 랜섬웨어 및 사용자 정보유출 악성코드에 감염될 수 있어 사용자의 주의가 필요하다. 인터넷 뉴스를 보는 가장 쉽고 편리한 방법은 포털 사이트(Portal Site)의 뉴스 서비스를 이용하는 것이다.
[포털 사이트(Portal Site)]
인터넷 사용자가 포털 사이트(네이버, 다음, 네이트 등)의 뉴스 서비스를 이용하던 중 아웃링크(Outlink)를 클릭할 경우 랜섬웨어에 감염될 수 있다.
[아웃링크(Outlink)]
[그림 1] 각 포털 사이트의 아웃링크 예시
위 [그림 1]과 같이 자극적인 제목의 아웃링크를 클릭하면 인터넷 뉴스 사이트에 연결된다. 이러한 인터넷 뉴스 사이트 중 침해된 웹 페이지로 연결할 경우 [그림 2]와 같이 페이지에 삽입된 악성 스크립트가 실행되어 URL주소 'http://ednplus[.]space/theme.html'에 연결된다. 참고로, 아래 그림은 2월 18일 삽입된 스크립트로 삽입된 코드는 변경된다.
[그림 2] 정상 페이지 내 삽입된 악성 스크립트
theme.html에 랜덤한 키를 생성해 암호화 하여 파라미터를 통해 전달할 경우 그린플래시 선다운 익스플로잇 킷(Greenflash Sundown EK)의 랜딩 페이지로 연결 된다.
[그림 3] 악성 스크립트 (theme.html)
RC4, BASE64로 인코딩 된 랜딩 페이지를 풀면 IE버전과 Flash Player 버전을 체크하여 환경이 일치 할 경우 악성 플래시 파일을 실행 한다.
[그림 4] 랜딩 페이지 (인코딩)
[그림 5] 랜딩 페이지 (디코딩)
그린 플래시 선다운 익스플로잇 킷은 탐지 우회를 위해 실행되는 플래시 파일은 총 3단계로 구성되어 있고 RC4,BAS64를 이용해 암호화,복호화를 반복한다. 최종적으로 Powershell 스크립트를 이용하여 랜섬웨어와 PONY 악성코드를 다운로드 받는다.
[그림 6] 그린 플래시 선다운 익스플로잇 킷 - 플래시 파일 중 일부
[그림 7] 선(SEON) 랜섬웨어와 PONY 악성코드 다운받는 파워쉘 스크립트
해당 방식은 주로 국내를 공격 대상으로 삼고 있으며, 사용자 모르게 웹 사이트 접속만으로도 랜섬웨어에 감염될 수 있어 각별한 주의가 필요하다. 취약점을 예방하기 위해서는 플래시 플레이어 버전을 항상 최신으로 업데이트(CVE-2018-4878) 해주어야 하며, OS 보안 업데이트 및 Anti-Virus 제품 최신 업데이트를 통해 감염을 예방해야 한다.
https://helpx.adobe.com/kr/security/products/flash-player/apsb18-03.html
'악성코드 정보' 카테고리의 다른 글
| [주의] '2차 북미정상회담' 내용의 한글취약점 문서 (0) | 2019.02.21 |
|---|---|
| GandCrab 랜섬웨어 v5.2 국내 유포 중 (복구불가) (0) | 2019.02.20 |
| 국내 사용자를 대상으로 한 CLOP 랜섬웨어 유포 (0) | 2019.02.18 |
| 국내 사용자를 대상으로 유포 중인 악성 Excel 문서 파일 (1) | 2019.02.14 |
| ‘EternalBlue’ SMB 취약점(MS17-010)을 통한 악성코드 감염 확산 (2) (1) | 2019.02.13 |
댓글