윈도에 침투한 공격자들, IIS 서버 악용해 트래픽을 모니터링...공격자 정체 아직 안 밝혀져

요약 : 보안 블로그 시큐리티어페어즈에 의하면 프레브니스(Frebniis)라는 이름의 멀웨어가 새롭게 발견됐다고 한다. 브로드컴 시만텍(Broadcom Symantec)에서 처음 발견한 것으로, 마이크로소프트 인터넷정보서비스(IIS)를 남용함으로써 백도어를 유포하고 HTTP 트래픽을 모니터링 하는 기능을 가지고 있다고 한다. 주로 대만의 개인과 단체들을 겨냥한 공격에 활용되고 있지만, 공격자에 대해서는 아직 밝혀진 내용이 없다.


배경 : IIS는 일종의 웹서버로, 윈도 OS 상에서 운영되며, 인터넷 사용자들 간 각종 정적/동적 콘텐츠를 주고 받는 데에 사용된다. 프레브니스는 IIS의 프로세스 중 하나인 iisfreb.dll의 메모리에 코드를 하나 주입한다. iisfreb.dll은 트러블슈팅을 진행하고 웹 페이지 요청 실패 원인을 탐색하는 데 사용되는 것으로, 여기에 코드를 주입함으로써 HTTP 트래픽을 모니터링할 수 있게 된다.

말말말 : “이 공격 기법을 사용하려면 공격자가 IIS를 운영하는 윈도 OS에 먼저 침투해 있어야 합니다. 이번에 발견된 공격 캠페인에서 공격자들이 어떻게 최초 침투를 이뤄냈는지는 아직 알 수가 없습니다.” -시만텍-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>