보안 업체를 포함한 대량 웹페이지 감염 사고 발생

근 2 만개 이상의 웹페이지들이 대량 변조되어 일반 대중을 상대로 한 공격에 이용된 것이 밝혀졌습니다. 이러한 것들은 일종의 악성 코드 설치 스크립트로서 윈도우즈, 리얼 플레이어 등의 취약점을 이용하는 익스플롯잇이 내장 되어 있습니다. 이러한 공격은 맥아피 어버트랩(Avert Lab)연구원들이 최근 3월 12일에 최초로 탐지했다고 합니다.

이는 최근 대량 웹해킹 중에서 가장 큰 사건이라고 합니다. 여행, 정부, 동호회 사이트를 가리지 않고 무차별적으로 이런식으로 이용이 되었다고 합니다.

악성코드를 로딩하는 바 스크립트 코드를 포함하도록 게시물이나 웹페이지를 변조하는 것이 특징입니다. 이 악성 코드 감염용 자바스크립트는 중국 사이트에 그 근원지를 두고 있습니다. 자동화된 “SQL Injection “등의 스캐닝을 통해서 자동으로 해당 웹사이트를 감염 시키는 것으로 확인 되었습니다. 이 자바스크립트 익스플로잇은 온라인 게임 패스워드 탈취용이나 추가적인 말웨어 설치를 위한 트로이 목마를 설치 하는데에 이용 되었다고 합니다.

어버트랩의 “Craig Schmugar” 연구원의 말을 빌리자면 이번 공격은 안전하다고 생각하고 매일 방문 하는 사이트도 더이상 안전 지대가 아니고 이제는 더 이상 일반적인 사이트들도 신뢰할 수 없는 상태에 이르렀다는 것을 보여준다고 합니다..

더더욱 이번 해 대상자에는 트렌드 마이크로 사이트도 포함 되어 있다는 것이 밝혀 지게 되었는데, 구글로 검색 되는 감염 사이트 23000개의 페이지 중에 트렌드 마이크 사이트 10개 이상이 포함 되었다고 합니다. 트렌드 마이크로에서는 감염 사실을 인정했고, 이미 감염된 페이지들을 제거했다고 합니다.

맥아피 연구자들에 의하면 죄 조직이 저지른 소행이라고 합니다.

렌드 마이크로가 자사의 웹페이지를 보호하지 못할 정도이면, 다른 사이트들은 어느 정도일까요?

Illustration 1: 트렌드 마이크로의 변조된 페이지를 보여 주는 구글 서치 결과

이 익스플로잇은 “FuckJP.js” 라는 원색적인 파일 이름을 가지고 있습니다. 이 사이버 범죄꾼들은 일본을 무척이나 싫어 하나 봅니다. 공격 대상의 상당수가 asp 페이지들로써, asp 페이지들의 일반적으로 공격 가능한 “SQL injection” 취약점을 이용하여 해당 스크립트를 삽입한 것으로 추정됩니다.

것은 일종의 익스플로잇의 경제학의 원리를 담고 있습니다. 어느 사이버 범죄 집단이 많은 익스플로잇들을 만들었을 텐데, 일반적인 asp 페이지들에 자신들이 원하는 자바스크립트 등의 코드를 삽입할 수 있는 방법을 알아 냈다고 칩시다. 그런데 이 것 자체로는 웹사이트를 점령할 수 없습니다. 웹사이트 자체가 아닌 그 내부의 컨텐츠만을 변조 시킬 수 있는 능력이 있는 것입니다.

경우 이 범죄 집단은 이 잇스플로잇을 썩히지 않고 그 웹사이트에 접속하는 클라이언트들을 공격하는데에 써먹기로 작정합니다. 그들이 올린 익스플로잇은 최신이 아닐 수도 있습니다. 예전의 예 들로 보았을 때에 수년이 지난 재래식 익스플로잇일 가능성도 배제할 수가 없는 것이죠.

쨌든 두가지 구닥다리 익스플로잇들을 조합해서 가공할 결과를 이끌어 낸것이 바로 이번 공격인듯 싶습니다.

동 “sql injector”와 구형 익스플로잇을 통해서 아직 패치 되지 않은 수많은 보안에 무관심한 사용자들의 PC를 마치 크롤 어선이 물고기들을 싹쓸이 하듯이 긁어 버리는 것입니다.

20만개의 페이지에 접속한 사용자들은 수백, 수천만명일 텐데 이중 0.1%만 취약해도(vulnerable) 수천에서 수만개의 좀비 PC를 확보하는 일이 될테니까요. 정말 남는 장사입니다. 게다가 이러한 좀비 PC를 활용해서 또 다른 웹사이트 감염에 적극 활용이 가능하니, 정말 위력이 대단한 전술입니다.

Illustration 2: 해킹된 한국 숙주 사이트들

참조: Trend Micro Hacked – Serving Malicious Iframes, Mass compromise powers massive drive-by download attack

Leave a Reply