본문 바로가기

악성코드 정보

국내 인터넷 뉴스 사이트 통한 랜섬웨어 유포 (Greenflash Sundown EK)

최근 국내 인터넷 뉴스 사이트를 통해 선(SEON) 랜섬웨어 및 사용자 정보유출 악성코드에 감염될 수 있어 사용자의 주의가 필요하다. 인터넷 뉴스를 보는 가장 쉽고 편리한 방법은 포털 사이트(Portal Site)의 뉴스 서비스를 이용하는 것이다.

[포털 사이트(Portal Site)]

사용자가 인터넷상에서 다른 서비스를 이용하기 위해 사용하는 사이트를 의미하며 검색, 이메일, 뉴스 등의 다양한 서비스를 제공


인터넷 사용자가 포털 사이트(네이버, 다음, 네이트 등)의 뉴스 서비스를 이용하던 중 아웃링크(Outlink)를 클릭할 경우 랜섬웨어에 감염될 수 있다.

[아웃링크(Outlink)]

포털 사이트나 검색 엔진에서 검색한 정보를 클릭하면 해당 정보를 제공한 원본 사이트로 연결하여 결과를 보여주는 방식

[그림 1] 각 포털 사이트의 아웃링크 예시


[그림 1]과 같이 자극적인 제목의 아웃링크를 클릭하면 인터넷 뉴스 사이트에 연결된다. 이러한 인터넷 뉴스 사이트 중 침해된 웹 페이지로 연결할 경우 [그림 2]와 같이 페이지에 삽입된 악성 스크립트가 실행되어 URL주소 'http://ednplus[.]space/theme.html'에 연결된다. 참고로, 아래 그림은 2월 18일 삽입된 스크립트로 삽입된 코드는 변경된다.

[그림 2] 정상 페이지 내 삽입된 악성 스크립트


theme.html에 랜덤한 키를 생성해 암호화 하여 파라미터를 통해 전달할 경우 그린플래시 선다운 익스플로잇 킷(Greenflash Sundown EK)의 랜딩 페이지로 연결 된다.

[그림 3] 악성 스크립트 (theme.html)


RC4, BASE64로 인코딩 된 랜딩 페이지를 풀면 IE버전과 Flash Player 버전을 체크하여 환경이 일치 할 경우 악성 플래시 파일을 실행 한다.

[그림 4] 랜딩 페이지 (인코딩)

[그림 5] 랜딩 페이지 (디코딩)


그린 플래시 선다운 익스플로잇 킷은 탐지 우회를 위해 실행되는 플래시 파일은 총 3단계로 구성되어 있고 RC4,BAS64를 이용해 암호화,복호화를 반복한다. 최종적으로 Powershell 스크립트를 이용하여 랜섬웨어와 PONY 악성코드를 다운로드 받는다.

[그림 6] 그린 플래시 선다운 익스플로잇 킷 - 플래시 파일 중 일부


[그림 7] 선(SEON) 랜섬웨어와 PONY 악성코드 다운받는 파워쉘 스크립트


해당 방식은 주로 국내를 공격 대상으로 삼고 있으며, 사용자 모르게 웹 사이트 접속만으로도 랜섬웨어에 감염될 수 있어 각별한 주의가 필요하다. 취약점을 예방하기 위해서는 플래시 플레이어 버전을 항상 최신으로 업데이트(CVE-2018-4878) 해주어야 하며, OS 보안 업데이트 및 Anti-Virus 제품 최신 업데이트를 통해 감염을 예방해야 한다.

https://helpx.adobe.com/kr/security/products/flash-player/apsb18-03.html