• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

엔터테인먼트 사이트 ‘해킹 수난시대’ 2005.10.11

영화사이트에 이어 스포츠신문에까지 트로이목마 발견

네티즌들 감염되지 않도록 각별한 주의요망


최근 국내 최대 영화 관련 사이트와 스포츠신문까지 트로이목마가 유포중인것이 확인되면서 엔터테이먼트 사이트들이  해킹과의 전쟁을 선포하고 나섰다.

지오트 바이러스 분석실(GCERT)은 지난 7일 국내 최대 영화 관련 사이트가 해킹되어 트로이목마가 유포중인것을 확인했다.

이외에도 스포츠 신문사이트, 공무원 노조 관련 사이트, 교회사이트, 보건복지협회 관련 사이트도 해킹된 것이 확인되었다. 이에 이용자들은 각별한 주의가 요구되고 있다. 이러한  긴급히 해당 내용을 한국정보보호진흥원(KISA) 인터넷침해사고대응지원센터 해킹대응팀과 일부 보안업체 연구원들에게 전달한 상태다. 특히 스포츠신문 사이트는 이미 2005년 9월9일과 9월 29일에 해킹된 것이 지오트 바이러스 분석실(GCERT)에서 확인되어 보고한 바 있으며 이번까지 총 3번째 해킹된 것을 확인된 상태로 좀더 철저한 관리와 보안점검이 필요할 것으로 보인다


영화 관련 사이트 - http://www.m*******.***

해당사이트에 접속을 하면http://corngame.m*******.com/**/diary.js" Language="javascript 에 포함된 아이프레임 코드가 실행된다. 해당 아이프레임은 오늘 오전 스포츠 신문 사이트에 포함되어 있던 중국도메인과 같지만 일부 다르게 링크되어 있다.트로이목마가 포함되어 있는 아래사이트는 중국도메인이다.http://ata.daumer.***/002****/index.htm index.htm 파일에 의해서 내부에 연결된 chm 파일이 연결된다.http://ata.daumer.***/002****/right.jpgright.jpg 파일은 그림파일로 위장한 chm 도움말 파일이고 취약점을 이용해서 svchost.exe 트로이목마를 설치한다.


스포츠 신문 사이트 - http://s*****.******.***

해당사이트에 접속을 하면 script language=javascript src=/main.js 가 작동되며, main.js 에 포함된 아이프레임 코드가 실행된다.트로이목마가 포함되어 있는 아래사이트는 중국도메인이다.http://****.daumer.***/002****/index.htm index.htm 파일에 의해서 내부에 연결된 chm 파일이 연결된다.http://****.daumer.***/002****/right.jpgright.jpg 파일은 그림파일로 위장한 chm 도움말 파일이고 취약점을 이용해서 svchost.exe 트로이목마를 설치한다.svchost.exe 가 실행되면 시스템폴더에 sysunit.exe, sysmon.dll 파일을 생성한다


최근 연이어 발생하는 해킹사고와 게임정보 유출시도용 트로이목마 유포는 국내 보안의 위험성을 어느정도 가늠해 볼 수 있는 사건이다. 지오트 바이러스 분석실(GCERT)에서도 최근 거의 매일 새로운 해킹피해 사이트가 발견되고 있는데, 여기에 보고되지 않은 사이트를 추가할 경우 해킹피해와 악성프로그램 유포의 수는 더욱 더 클 것으로 보인다.

 

무엇보다 유명 포털사이트나 접속자가 많은 사이트들이 연이어 해킹되고 있어 범국가적 차원으로 특단의 조치가 있어야 한다는 목소리가 높다. 웹서버 관리자들은 보안취약점을 사전에 체크하고, 최신의 패치프로그램을 설치하는것이 중요하며, 일반 인터넷 사용자들은 이런 종류의 피해를 막기 위해서 인터넷 익스플로러의 최신 보안패치와 함께 최신 버전의 백신프로그램으로 실시간 감시를 해두는것이 중요하다.

 

이런 게임관련 정보유출 트로이목마는 웜처럼 스스로 확산하지는 않지만 최근 국내외 유명 웹 사이트를 해킹후 인터넷 익스플로러의 취약점을 이용하여, 무차별적으로 악성코드를 설치하게 한다. 사이트 방문자가 해당 사이트에서 직접 파일을 다운로드하지 않아도 트로이목마가 취약점을 이용해 자동으로 설치/실행되기 때문에 사용자가 발견하기 어려운 부분이 있다.

 

유포방식은 먼저 보안이 취약한 사이트를 해킹한 후 인덱스 페이지나 사용자들이 즐겨찾는 페이지내에 취약점을 이용한 스크립트 코드를 삽입하고 링크하는데 이때 IFRAME 명령을 이용하여 CHM(도움말 형식)파일을 실행하도록 하며, 잠시 도움말 창이 뜨거나 창 자체가 보여지지 않도록 하기도 한다.

 

인터넷 익스플로러의 ITS Protocol Zone Bypass 보안 취약점을 악용해서 해킹된 사이트에 접속시 파일이 자동 다운로드되며, MS04-013 과 MS05-001 윈도우즈 취약점을 이용해서 다운로드 된 파일이 실행되서 실행중인 프로세스에 삽입(Injection)되고 특정 온라인 게임의 아이디와 암호등을 유출시킬려는 동작을 시도하는 것이 특징이다. [한수진 기자 is21@infothe.com]


<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>