2010년 1월 말 해외 언더그라운드에서 허위 백신을 유포하는 방법으로 Papka 이라는 웹 익스플로잇 툴킷(Web Exploit Toolkit)이 사용된다는 일부 보안 업체의 보고가 있었다.

웹 익스플로잇 툴킷(Web Exploit Toolkit)은 2009년 이전 부터 웹 브라우저(Web Brower)의 다양한 취약점을 악용하여 악성코드 감염에 이용되는 툴킷 형태로 알려져 있으며 그 실제 악용 사례로 2009년 6월에 발생한 나인볼(NineBall)이라 명명된 대규모 웹 사이트 공격에서도 이러한 형태의 툴 킷이 사용되어 왔다.

ASEC에서는 이 번에 알려진 Papka라는 웹 익스플로잇 툴 킷을 확보하여 자세한 분석을 진행하였다.

이번에 분석이 진행된 Papka 툴 킷의 메인 사용자 웹 페이지는 아래 이미지와 같이 간단한 형태를 가지고 있으며 별도의 데이터베이스(Database)를 필요하지 않다.


그리고 해당 툴 킷으로 유입된 피해 시스템에서 사용하는 운영체제, 사용하는 웹 브라우저와 IP 조회를 통한 위치 정보 등으로 해당 툴 킷을 설치한 공격자가 공격 대상이 되는 시스템들의 다양한 정보들을 취합 할 수 있도록 되어 있다.

해당 툴 킷에서 아래 이미지와 같이 총 7가지의 다양한 취약점들을 악용하여 공격에 사용되는 것을 알 수가 있다.


당 Papka 툴 킷에서 사용하는 취약점이 어도비(Adobe)사의 아크로뱃 리더(Acrobat Reader)에서부터 마이크로소프트(Microsoft) 윈도우(Windows)와 인터넷 익스플로러(Internet Explorer)의 취약점까지 다양하게 악용되고 있다.

특히 공격자는 이러한 툴 킷을 통해 컴퓨터 사용자가 악의적인 웹 사이트로 접속하는 순간 해당 시스템에 존재하는 7가지의 취약점을 자동으로 선택하여 악용함으로 시스템이 악성코드에 감염된 것을 알아채기가 쉽지 않다.

그러므로 사용하는 시스템의 다양한 응용 프로그램들의 보안 패치까지 관심을 가지고 설치하는 것이 중요하다.

Posted by AhnLab_ASEC