• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

일화 웹사이트, 악성코드 감염에 악용! 2013.02.06

2월 2일 밤부터 삽입돼...일화 계열 다른 웹사이트도 위험 상태


[보안뉴스 김태형] 식·음료 및 약품 생산 전문 기업 일화의 웹사이트(www.ilhwa.co.kr)에 악성링크가 삽입됐던 것으로 드러났다.


빛스캔은 지난 2월 2일 밤 11시경부터 자사의 악성코드 유포탐지 시스템 PCDS(Pre-Crime Detect System)을 통해 일화의 웹사이트에서 악성링크가 삽입된 정황을 포착했다고 밝혔다.


    

     ▲ 일화그룹 웹 서비스에 삽입된 악성링크 - 2013년 2월 4일 새벽 4시경

     

     ▲ 악성링크 내에 삽입된 공격코드(Java 6종+IE 1종)


문일준 빛스캔 대표는 “일화 웹사이트에 비정상 링크로 삽입되어 있는 악성링크는 112.169.xxx.xx/xxxx.html이었고 현재는 제거된 상태다. 하지만 구글에서 제공하는 악성코드 유포 사이트인 세이프 브라우징에서는 여전히 위험하다고 경고하고 있다”고 설명했다.


     
     

     ▲ 2013년 2월 6일 - 액세스가 차단된 일화 웹사이트


일화 웹사이트 뿐만 아니라 아래와 같이 일화 계열 다른 웹사이트도 악성코드를 유포하는 경로로 사용됐고, 객관성을 확보하기 위해 구글의 탐지 여부도 추가로 확인했다고 빛스캔 측은 밝혔다.


·ilhwa.pe.kr - 경고 안함

·ilhwa.kr - 경고

·ilhwaginseng.co.kr - 경고 안함

·ilhwaginseng.kr - 경고 안함

·ilhwainsam.co.kr - 경고

·ilhwainsam.kr - 경고 안함

·ilhwamall.co.kr - 경고 안함


문 대표는 “웹서비스에 이용되고 있는 파일의 변조는 웹 취약점 중 하나인 SQL Injection 취약점을 이용하거나 RFI(Remote File Inclusion) 취약점을 이용해 관리자 권한을 획득하고 DB 유출, 웹쉘 업로드, 그리고 내부 침입의 교두보로 공격하는 경향이 높다”면서 “특히, 일화의 경우 홈페이지에서 인트라넷이나 제휴사(파트너)로 접근할 수 있도록 쉽게 노출돼 있어 이러한 추가적인 피해가 발생할 우려가 있다”고 밝혔다.


                      

                       ▲ 해당 악성링크의 구조도


112.169.xxx.xx/xxxx.html 악성링크에서 내려오는 악성파일은 112.169.xxx.xx/lexplore.exe이며, 아래와 같은 역할을 하고 있다.


1. 아래 사이트에 접속 후 감염정보 전송
- 112.169.xxx.xx/xxxxx/fangwen.asp?uid=112&count=1


2. 아래 사이트에 접속후 다운로드 요청
- 112.169.xxx.xx/lexplore.exe


그는 “해당 악성파일을 분석한 결과, 다운로더 역할을 하는 것으로 보이며, 다운로더는 특정 웹 사이트에서 파일을 내려 받아 그 파일이 사용자 정보 탈취 및 또 다른 기능의 악성파일을 내려 받게 한다. 그리고 공격자가 원하는 기능의 악성파일을 내려 받아 공격자의 명령을 수행할 수 있도록 대기한다”고 말했다.


참고로 빛스캔에서 운영하는 PCDS(Pre-Crime Detect System)은 국내외 130만개의 URL의 모니터링을 통해서 웹 사이트에 비정상적으로 삽입되어 있는 악성링크만을 빠르게 탐지하고 있다. 또 탐지된 악성링크가 어떤 행위를 하는 지와 C&C Server 연결되는 부분까지도 끝까지 추적하는 자동화된 동적 분석 시스템도 운영하고 있다.


그리고 차단하는 장비와 연계하여 웹 사이트에는 영향을 주지 않고 악성링크만을 차단해 이용자가 아무런 불편함 없이 원활하게 사용할 수 있다는 점이 구글에서 운영하는 세이프 브라우징과 다른 점이라고 할 수 있다.


특히, PCDS는 사전 예방적 측면이 강한 반면, 구글은 사후 대응적, 그리고 실시간이 아닌 최근의 변조 여부에 대한 정보를 제공하고 있는 점이 특징이다.

문일준 대표는 “최근 공격은 시간싸움이라고 해도 과언이 아닐 정도로 신속하게 유포하고 사라진다. 1~2시간 주기로, 악성링크의 주소 값만을 매시간 변경시키고 삭제해 탐지를 매우 어렵게 만들고 있는 추세”라고 설명했다.


덧붙여 그는 “7종류의 취약점을 이용해 감염률을 높이고 있는 사실을 매주 알리고 있음에도 불구하고 공격자의 전략이 바뀌지 않는 점은 이러한 방법의 효과가 매우 높다는 것을 의미한다”며, “또한, 기존의 국내외 백신을 우회하는 기능을 포함한 악성코드가 출현하고 있어 단순히 백신만으로 대응은 불가능한 상황이 됐다고 볼 수 있다”고 밝혔다.


이런 빠른 공격에 대응하기 위해서는 우선 악성코드를 배포하는 비정상링크를 빠르게 탐지하여 차단하는 것이 가장 좋은 방법이라고 문 대표는 강조했다.


한편, 빛스캔은 현재 국내 120만개의 웹 서비스와 해외 10만 여 개의 웹 서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 이에 대한 추가적인 문의는 이메일(info@bitscan.co.kr)로 하면 된다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>