현재 모광고대행사 사이트, 백도어 유포中

백도어, 상대방 PC원격제어 가능...트로이목마 보다 위험

보안취약한 블로그 해킹...악성프로그램 유포 증가

지오트 관계자는 “지난 4일 국내 특정 광고 대행 사이트가 해킹돼 백도어가 유포중인것을 발견했다”고 발표했다.

해당사이트에 접속을 하면 해킹되어 추가된 iframe 코드가 실행되며, 해당 코드는 일본 대형 포털사이트 블로그 관련 사이트로 연결을 시도한다. 숙주서버를 해킹할 실력이 없는 공격자 또는 추적을 피하기 위한 공격자가 외국 초 대형 블로그 홈페이지를 숙주 서버로 이용하여 공격을 하는 현상이  최초로 발견된 것이다.

index.htm 파일에는 일명 중국발 해킹에서 사용되어지는것과 같은 형식으로 관리자가 알아 보기 힘든 스크립트가 삽입되어 있다.

이 스크립트가 실행되면 1개의 파일(afu.gif (Exploit.VBS.Phel.bp))이 실행되며 이 파일은 시스템폴더에 system_host.DLL, system_host.bat (Backdoor.Win32.Delf.aka)와 system_hostKey.DLL(Backdoor.Win32.Delf.aka) 파일을 설치한다.

설치되는 파일은 백도어로 밝혀졌다. 또한 윈도우 서비스에 추가하여 재부팅시 자동으로 실행되도록 하고 있다.

백도어는 트로이목마와는 달리 PC의 완전제어권이 넘어가게돼 트로이목마보다 더욱 위험한 상활을 초례하게 된다. 원격으로 상대방 PC를 통제하고 감시하고 마우스제어까지 가능하다. 물론 정보유출도 가능해 사생활 침해는 물론 중요 정보 또한 빼내갈 수 있어 유의해야 한다.

예를 들어 MSN메신저 대화창에서 <기능>란에 <원격지원요청>이 있는데 이를 클릭하면 상대방PC를 실시간으로 보고 마우스 기능까지 제어할 수 있는 것과 비슷하다. 원격치료서비스를 실시할 때 이용하기도 한다. 

이번 경우와 같이 국내에서도 대형포털사이트의 블로그를 통해서도 악성 프로그램이 유포된 사례가 있었다.

공격자는 보안에 취약한 서버를 해킹후 파일을 업로드 하기 쉬운 블로그 사이트를 숙주서버로 활용한 예이다.

지오트 시큐리티 센터에서도 최근 거의 매일 새로운 해킹피해 사이트가 발견되고 있는데, 여기에 보고되지 않은 사이트를 추가할 경우 해킹피해와 악성프로 그램 유포의 수는 더욱 더 클 것으로 보인다.

특히 유명 포털사이트나 접속자가 많은 사이트들에서 서비스하고 있는 링크를 통해서도 연이어 개인정보를 타깃으로한 악성코드들이 유포되고 있어 인터넷 이용자들이 철저한 주의가 요구된다.

■ 악성코드 유포 사이트 자가 진단법

윈도우 2000 이상의 시스템을 사용 하면서 최신의 보안패치가 이루어진 사용자들은 내가 자주 방문 하는 사이트 중에 악성프로그램을 유포하는 사이트가 있는지 확인해보자.

컴퓨터 관리 콘솔 -> 이벤트 뷰어 -> 응용 프로그램을 선택 후 HHCTRL 이나 ITSS 로그가 있다면 내가 방문한 적이 있는 사이트 중 해킹을 당해 악성 프로그램을 유포한 사이트가 있다고 의심 해봐도 좋을 것이다.

(참고: 해당로그는 정상적인 경우에도 존재한다. 지오트 제공)

[길민권 기자(boannews@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>