웹 익스플로잇 툴킷(Web Exploit Toolkit)에 의한 보안 위협

2009년 6월 18일 ASEC에서는 나인볼(NineBall)로 명명된 대규모 웹 사이트 공격 및 악성코드 유포 관련 보안 위협에 대해 다룬 적이 있었다.

이번 나인볼(NineBall) 보안 위협과 관련된 내용은 아래 ASEC 블로그 내용을 참고하면 좋을 것이다.

나인볼(NineBall)이라 명명된 대규모 웹 사이트 공격

ASEC에서 추가적인 정보를 수집 및 분석하는 과정에서 이번 나인볼 보안 위협의 배후에는 YES Exploit System라는 웹 익스플로잇 툴킷(Web Exploit Toolkit)이 존재하고 있는 것으로 파악되었다.

YES Exploit System에 대해서는 이블핑거즈(EvilFingers) 블로그에 공개되어 있는 아래 글을 참고하면 좋을 것이다.

YES Exploit System. Manipulating the safety of the attacker

웹 익스플로잇 툴킷은  웹 사이트를 이용하여 악성코드 유포를 쉽고 강력하게 수행할 수 있도록 하는 도구이다.

이 웹 익스플로잇 툴킷은 다양한 취약점 공격, 공격 페이지 난독화 및 지능적인 은닉화 등의 여러 가지 악의적인 기법을 자동으로 수행하게 되어 있어 이번에 발생한 나인볼 보안 위협처럼 심각한 보안 위협을 발생할 수 있다.

이러한 웹 익스플로잇 툴킷들은 동유럽권에서 주로 제작되고 있는 것으로 파악되고 있으며 이 번에 알려진 YES Exploit System 웹 익스플로잇 툴킷 외에도 MPack, IcePack, FirePack 및 My Poly Sploits 등이 존재하고 있다.

MPack의 경우에는 최초로 알려진 웹 익스플로잇 툴 킷이며 현재까지 4가지 버전이 존재하고 있는 것으로 알려져 있다.

IcePack의 경우에도 역시 동유럽 권에서 제작된 것으로 알려져 있으며 현재까지 3가지 버전이 존재하고 있으며 2008년도에 들어서는 중국어 버전으로 제작된 것이 중국 언더그라운드에서 발견된 사례가 있었다.

2008년 10월에 알려진 My Poly Sploits가 비교적 가장 최근에 알려진 웹 익스플로잇 툴킷으로 ASEC에서 분석한 결과로는 다음과 같은 구조로 동작하며 악성코드를 유포하게 되어 있다.

위 이미지에서와 같은 구조를 가지고 있는 My Poly Sploits은  총 3단계 구조를 통해서 동작하게 되어 있다.

1단계

웹 익스플로잇 툴킷에서 사용하는 데이터베이스에 연결하고 각종 함수 정의 및 접근 로그를 생성한다.

2단계

웹 익스플로잇 툴킷이 설치된 웹 사이트에 접속한 컴퓨터 사용자의 브라우져 정보를 바탕으로 자동적으로 공격 코드를 생성하며 여기에서 사용되는 공격 코드들은 다음의 웹 브라우저들을 대상으로 하고 있다.

인터넷 익스플로러 6, 인터넷 익스플로러 7

파이어 폭스

오페라 8, 오페라 9

3단계

컴퓨터 사용자에게는 존재하지 않는 페이지에 접근했을 때와 동일한 에러 메시지를 보여줌으로써 별다른 의심을 하지 않도록 한다.

위 이미지와 같이 My Poly Sploits 설치된 웹 사이트에 컴퓨터 사용자가 접근하게 될 경우 컴퓨터 사용자의 웹 브라우저에는 존재하지 않는 웹 사이트 정보를 제공하게 된다.

그러나 해당 웹 페이지에는 아래 이미지와 같이 컴퓨터 사용자의 웹 브라우저에 적절한 공격 코드가 삽입되어 있는 것을 알 수 있다.

삽입되어 있는 웹 브라우저 공격 코드를은 다른 서버에 존재하는 악성코드들을 컴퓨터 사용자의 시스템으로 다운로드하고 실행 할 수 있도록 되어 있다.

이러한 형태로 웹 브라우저에 대한 공격이 진행되는 웹 익스플로잇 툴킷으로 인해 유포되는 악성코드의 감염을 예방하기 위해서는 다음과 같은 대응 방안을 들 수가 있다.

1. 자신이 사용하는 웹 브라우저에 존재하는 보안 취약점을 제거 할 수 있는 보안 패치를 설치하는 것이 중요 하다.

2. 윈도우 운영체제와 인터넷 익스플로러의 보안 패치를 모두 설치하는 것이 중요 할 것이다.

3. 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어를 백신과 더불어 설치하는 것이 좋을 것이다.