지난 주말 특정 온라인 게임을 서비스하는 사이트 3곳에서 악성코드 유포 사례가 허니팟에서 탐지되어 분석한 결과 해당 사이트 3곳에 동일한 스크립트 URL이 삽입되어 있었다.
11848_0.js의 정확한 용도는 알 수 없지만 해당 JS파일의 코드를 살펴본 결과 악성코드를 다운로드 하는 악성 URL이 삽입되어 있음을 발견했다.
분석한 내용을 정리해 보면 특정 온라인 게임을 서비스하는 3곳이 직접 해킹되어 악성 URL이 삽입된 것이 아니라 배너광고처럼 외부로부터 제공받은 JS파일에 악성 URL이 삽입된 경우로 볼 수 있다.
* 참고 URL: http://core.ahnlab.com/218
감염과정을 정리해 보면 아래와 같다.
Categories:악성코드 정보