2011년 3월 29일 미국 보안 업체인 웹센스(Websense) 블로그 “LizaMoon mass injection hits over 226,000 URLs (was 28,000) including iTunes“를 통해 대규모 SQL 인젝션(Injection) 공격이 발생하였으며 이로 인해 226,000 웹 페이지가 침해 사고를 입은 것으로 알려졌다.
웹센스를 통해 알려진 대규모 SQL 인젝션 공격은 해당 공격을 통해 삽입된 도메인명인 lizamoon.com에서 따와 Lizamoon으로 명명 되었다.
ASEC에서는 추가적인 조사 및 분석을 위해 구글(Google) 검색을 이용하여 해당 Lizamoon 인젝션 공격으로 인해 한국 웹 사이트들이 얼마나 많은 웹 사이트가 피해를 입었는지 파악하였다.
그 결과 해외 사이트 뿐 아래 이미지와 같이 다수의 웹 사이트가 해당 인젝션 공격에 침해 사고를 당한 것으로 파악 되었다.
이번 Lizamoon 인젝션 공격에 사용된 악의적인 웹 페이지 주소는 총 11개이며 아래와 같은 기본적인 형식을 가지고 있다.
그리고 웹 페이지에 삽입된 주소는 총 3 단계에 걸치 재연결(Redirection) 구조를 가지고 있으며 전체적인 구조는 다음과 같다.
그리고 최종적으로 연결되는 웹 페이지는 아래 이미지와 같이 허위 백신을 다운로드 하도록 유도하는 페이지로 연결된다.
해당 웹 페이지에서 다운로드 되는 파일은
freesystemscan.exe 이며 파일 크기는 ASD(AhnLab Smart Defense) 종합 분석 시스템에 집계된 데이터에서는 2,343,424 바이트에서 2,702,848 바이트까지 다양하게 존재한다.이렇게 취약한 웹 사이트를 통해 악성코드가 유포되는 것은 과거 몇 년 전부터 악성코드의 또 다른 감염 경로로 형식화 되었다.
그러므로 신뢰하고 믿을 수 있는 웹 사이트 라고 하더라도 사용하는 운영체제와 웹 브라우저를 최신 버전으로 업데이트하고, 웹 브라우저를 통해 유포되는 악성코드의 감염을 예방하고 사기 사이트 및 피싱 사이트를 차단하는 사이트가드(SiteGuard)와 함께 최신 엔진으로 업데이트 된 백신을 같이 사용하는 것이 중요하다.
이 번 Lizamoon라고 명명된 대규모 SQL 인젝션 공격을 통해 유포된 악성코드들은 V3 제품군에서 다음과 같이 진단한다.
Trojan/Win32.FakeAV
Win-Trojan/Malware.2343424.F
Win-Trojan/Malware.2332672.D
Win-Trojan/Malware.2329600.B
Win-Trojan/Malware.2667520
Categories:악성코드 정보