국내 어학원 사이트를 통해 유포되는 악성코드 분석 보고서

AhnLab SEcurity intelligence Center(ASEC)은 최근 부적절하게 관리되고 있는 윈도우 IIS(Internet Information Services) 웹 서버를 통해 미터프리터 백도어, 포트 포워딩, IIS 모듈 악성코드 도구가 설치되는 것을 확인하였다. 이번 공격 사례에서 공격자는 웹 서버에 IIS 모듈 악성코드를 최종 설치하였다. IIS 모듈은 IIS C++ API 혹은 ASP.NET 2.0 API를 사용하여 개발할 수 있으며 서버 개발자는 IIS 모듈을 통해 웹 서버에 전달되는 HTTP 요청 정보를 기록 및 수정할 수 있다.

IIS 모듈 기반의 악성코드는 2013년 최초 Trustwave에 의해 ISN Infostealer 가 발견되었다. 이번에 확인된 IIS 모듈 악성코드는 모듈이 설치된 웹 서버에 대한 HTTP User-Agent 값을 감시하고 특정 조건에 응답 값을 변조하여 국내 및 중국 검색 포털 사이트에 불법 도박 사이트 광고를 노출 및 해당 링크 클릭 시 불법 도박 사이트로 연결하는 기능을 한다.
 

[그림 1] 윈도우 IIS 웹 서버를 통한 미터프리터 백도어 유포 정황

[그림 2] 네이버 포탈 사이트에 노출된 불법 도박 사이트