자바 애플릿·어도비 플래시 플레이어 등 취약점 복합 악용 

[보안뉴스 김경애] 홈페이지를 통해 악성 apk파일 및 PC와 스마트폰을 동시에 감염시키는 악성코드가 유포됐다. 이로 인해 홈페이지 접속자는 금융정보 또는 스마트폰 문자메시지 등의 정보가 유출될 수 있으므로 각별히 주의해야 한다.

특히 언론사, 위젯(날씨정보), 웹하드, 제휴관계사(배너광고), 웹호스팅 등의 홈페이지가 해킹돼 금융사이트 파밍 악성코드가 지속적으로 유포됐다.

인터넷침해대응센터가 지난 3일 밝힌 ‘2014년 1월 악성코드 은닉사이트 탐지동향 보고서’에 따르면 1월 홈페이지를 통해 유포된 악성코드 유형 중 드롭퍼가 36%로 가장 높은 비율을 차지했다. 이외에 악성코드 유형은 금융사이트 파밍, 금융정보 탈취, 원격제어 등으로 다양하게 나타났다.

드롭퍼는 자체 확산기능은 없으나, 취약점을 이용해 유포된 뒤 실행되는 악성코드다. 드롭퍼에 의해 생성된 악성코드의 최종 악성행위는 대부분 파밍 공격이다.

금융사이트 파밍은 운영체제에서 제공하는 호스트 연결기능을 악용한 것이다. 정상 호스트 설정 파일을 악의적으로 변경해 정상 금융사이트 방문 시 가짜 금융사이트로 연결한다.

이번에 유포된 악성코드는 MS IE/XML, Oracle JRE/애플릿, Adobe Flash Player, PDF 취약점을 복합적으로 이용한 것으로 분석됐다.

인터넷 익스플로러 취약점은 △Internet Explorer를 사용해 특수하게 조작된 웹페이지 볼 경우 원격코드 실행 허용 △동일 ID 속성 원격코드 실행 △ActiveX Exploit △ Microsoft 비디오 ActiveX 컨트롤로 인해 원격코드를 실행할 수 있다.

특히 수집된 악성코드 샘플 분석 결과, 악성코드 유포 형태는 Java 애플릿 취약점(7종), MS XML 취약점(1종), Adobe Flash Player 취약점(1종)을 복합적으로 악용한 유포 형태가 65.0%로 가장 높게 나타났다.

Adobe Flash Player 취약점은 메모리 손상으로 인한 코드 실행이 가능하며, Java 애플릿 취약점은 드라이브 바이 다운로드(Drive by download) 방식과 JRE 샌드박스 제한 우회 취약점을 이용할 수 있다.

또한 MS Windows Media는 CVE-2012-0003 취약점으로 인한 원격코드를 실행할 수 있고, Adobe Reader(PDF)는 비정상 종료를 유발할 수 있다. 이 외에 MS XML은 XML 코어 서비스(Core Services) 취약점이 존재한다.

이처럼 금융정보 탈취를 노린 악성코드는 어도비나 자바 등 취약점을 복합적으로 악용하며 한층 지능화된 모습을 알 수 있다.

한편 지난 1월 악성코드 경유지 탐지건수는 전월대비 9.7%(1,199건 → 1,083건) 감소했다. 경유지 업종별로는 일반 기업이 가장 높게 나왔으며, 음식·숙박·관광, 쇼핑, 교육·학원, 보험·병원·약국 등의 순으로 탐지됐다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>