PC 특정 경로에 파일 존재 확인, 자바·플래쉬 취약점 이용해 유포

[보안뉴스 김경애] 현재 국내 PC사용자를 대상으로 새로운 공격 도구인 리그킷(RIG Exploit Kit)을 사용한 악성코드가 처음으로 유포된 정황이 포착됐다.

순천향대 SCH사이버보안연구센터(센터장 염흥열 교수)에 따르면, 중국이 진원지로 추정되는 조직이며, 2011년부터 최근까지 지속적으로 국내 인터넷 뱅킹을 위한 파밍 공격용 악성코드를 유포한 것으로 드러났다.

국내 사용자를 타깃으로 공격하는 이 조직은 대표적인 웹 악성코드 유포방식인 드라이브 바이 다운로드(Drive by Download) 형태로 공다팩(Gongda Exploit Kit), 레드킷(Red Exploit Kit), 씨케이 브이아이피 킷(CK VIP Exploit Kit) 등을 사용해 악성코드를 유포해왔으며, 현재는 씨케이 브이아이피 킷을 이용해 악성코드를 유포하는 추세다. 익스플로잇 킷 외에도 리그킷(RIG Exploit Kit)을 사용해 파밍(Pharming)과 원격제어(Remote Access Tool) 악성코드 유포도 발견됐다.

이번에 발견된 ‘리그킷’은 해외에서 많이 사용하는 익스플로잇 킷으로 PC의 특정 경로에 파일이 존재하는지를 확인하고, 실버라이트와 자바, 플래쉬 취약점을 이용해 악성코드를 유포하는 형태이다.

기존에 사용하던 익스플로잇 킷은 난독화된 코드의 복호화 과정이 자바스크립트(JavaScript)로 되어 있어 비교적 쉽게 코드 분석이 가능했으나, 리그킷은 그 과정이 PHP로 되어 있어 코드 분석이 어렵고, 공격자가 지정한 특정 값(PHPSSESID)을 다른 페이지에서 확인한 후 최종 악성코드를 유포하는 것이 특징이다.

리그킷을 사용한 악성코드 유포는 이번에 처음 발견돼 더욱 주목된다. 특히 사용자가 접근한 이전 페이지(네이버, 구글, 다음)를 확인해 악성코드를 감염시키는 등 악성코드 유포 방식이 갈수록 지능화되고 있다.

이와 관련 순천향대 SCH사이버보안연구센터 염흥열 센터장은 “국내를 위협하는 이 조직이 리그킷을 악성코드 유포에 사용한 것은 처음”이라며 “해당 조직이 악성코드 탐지를 우회하기 위한 새로운 도구를 이용해 유포방식이 진화하고 있는 추세다. 이에 대한 대응 기법 개발이 요구되며, 사용자들은 최신버전 업데이트로 악성코드 피해를 최소화해야 한다”고 강조했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>