[아이티비즈] 빛스캔(대표 김경근)은 북한 관련 전문기관 웹 페이지에서 액티브엑스(ActiveX) 취약점을 이용한 Drive-by-download 공격이 발생한 것이 확인됐다고 29일 밝혔다.
악성링크 삽입을 통해 다른 취약한 페이지로 이동하여 PHP 확장자로 위장된 실행 파일을 내려 받아 실행한다. 이 악성파일은 인터넷 익스플로러 환경에서 키 입력을 가로채는 것으로 분석됐다.
전형적인 워터링 홀 공격방식으로 “사자가 먹이를 먹는 동물을 습격하기 위해 물웅덩이(Watering hole)에서 매복하는 것을 비유하는 용어”로 알려져 있다. 즉 불특정 다수를 대상으로 한 공격이 아닌, 특정 다수를 대상으로 웹 사이트 소스코드 내에 감염을 유도하는 취약점을 심어놓고, 타겟이 ‘N사’ 웹 페이지를 방문하였을 때, 취약점에 포함된 코드가 동작하여 악성 행위가 발생된다. 이는 과거부터 현재까지 꾸준히 발생하고 있다.
빛스캔의 PCDS(Pre-Crime Detect Satellite) 시스템을 이용해, 취약점이 발생한 페이지의 정보를 주기적으로 모니터링했다. 공격자는 악성코드를 유포하기 전에 1, 2차에 걸쳐 테스트 코드를 작성했고, 3차례에 걸쳐 악성코드를 유포한 정황이 탐지되었다.
공격자는 이러한 테스트 코드를 작성하며 취약점을 파악하고, 대상을 선정한 뒤 공격 당일 오전에 실제 공격을 하기 위한 준비를 마무리했다. 5월 24일 당일 오후가 되어 또 다시 PCDS Alert이 발생했으며, 해당 공격 코드를 통해 경유지 링크(악성 URI)로 연결하여 악성코드를 내려 받았다.
즉, 워터링 홀과 DBD(Drive By Download)가 결합된 형태의 악성 스크립트가 동작하게 되었고, 이로 인해 생성된 악성코드는 코드가 난독화 되어 있지만, 전단부 코드를 확인하였을 때 공격자가 액티브엑스의 취약점을 이용하여 악성 링크를 유포한다
간단한 악성코드 분석을 하였을 때, 인터넷 익스플로러가 동작하면서 사용자 키 입력 정보를 가로채는 행위가 발견되었고, 이 정보는 공격자 서버로 전송하는 형태를 가진다.
빛스캔 오승택 팀장은 공격자가 웹 페이지를 악용하는 가장 큰 이유는 불특정 다수에게, 악성코드를 대량으로 빠르게 확산 시킬 수 있기 때문이다. 이로 인해, 웹 페이지를 방문하는 사용자들은 자신도 모르는 사이에 악성 스크립트가 동작하여, 악성 파일을 내려 받아 자동으로 실행하게 되며, 다양한 공격에 활용된다. 좀비 PC가 되거나 사용자 계정탈취 및 파밍 사이트로 이동하여 금융 정보를 가로채기도 한다.
뿐만 아니라, 최근 이슈가 되었던, 워너크립트 랜섬웨어는 유포 통로는 웹이 아닌, SMB 취약점을 이용해서 유포되었지만, 파일을 암호화 해서 금전적인 이득을 얻는 형태의 랜섬웨어도, 웹을 통해 대량으로 유포할 수 있는 통로로도 사용될 수 있기 때문에 빠르게 통로를 찾아 차단해야 감염률을 낮출 수 있다.
한편, 빛스캔 이정헌 연구원은 5월 16일 발견된 해당 악성링크는 1주간 잠복을 하다가 변형과정을 거친 뒤 5월 24일 악성코드를 유포한 정황이 탐지됐다. 이는 공격자가 꾸준히 해당 페이지를 관찰하고 취약점을 분석하였다는 것을 의미한다. 해당 웹 페이지에 접속하면 액티브엑스 설치와 동시에 사용자의 키 입력을 가로채는 행위를 진행한다.
웹 페이지 방문만으로도 자동 감염되는 악성코드는 먼저 사용자의 보안인식을 높여야 하지만, 사용자의 부주의 탓으로만 돌리기에는 어려우며, 취약한 웹 서비스의 전체적인 점검과 관리를 통해 웹을 운용하는 환경 개선이 필요하다고 할 수 있다. 공격자들은 악성코드 유포뿐만 아니라 여러 개의 서버를 운용하여 감시 및 추적을 피하기 때문에 빠른 시간 내 유포지 차단과 동시에 이를 알릴 수 있는 시스템이 필요하다.
