• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

호스트 서비스 업체, 악성코드 유포 확산 주의! 2014.12.09

호스팅 서비스업체, 웹페이 위·변조 및 관리자 페이지 악성파일 유포

금융정보 노린 웹사이트 공격, 악성파일·악성URL 여전히 기승


[보안뉴스 김경애] 화학노동조합 웹사이트와 호스팅 서비스 제공업체, 파일공유 사이트, 대학교, 언론사, 금융권 등 한 주간 다양한 분야의 웹사이트가 악성파일 유포지로 활용되고 있어 이용자들의 주의가 요구된다.

 ▲ 5일 아사달 호스팅 관리자 사이트, 악성파일 다운로드 정황 포착

호스팅 서비스 업체가 악성파일 유포

이 가운데 화학노동조합 웹 사이트와 호스팅 서비스 제공업체가 운영하는 업체들의 웹페이지가 악성파일 및 공격 링크로 이용된 것으로 드러났다.


빛스캔(대표 문일준)에 따르면 최근 중소 호스팅 서비스사에서 직접 운영하는 서비스들이 악성링크와 악성파일이 올려져 지속적으로 공격에 직접 이용되고 있다고 밝혔다.


호스팅 서비스 업체 아사달의 경우, 관리자 페이지에서 악성파일이 유포된 바 있으며, 지난 11월말 호스팅 서비스 업체 미리내 404 페이지를 변조해 전체 호스팅 서비스에서 404가 호출될 경우 감염되는 공격방식이 이뤄졌다. 이는 많은 기업들에게 호스팅 서비스를 제공하는 업체가 직접적으로 공격에 이용된 사례로 더욱 위험한 상황이다.

특히 공격자에게 관리자 권한 탈취가 이뤄졌을 가능성이 높으며, 지금보다 더 심각한 대량 유포 사태가 단기간에 발생될 수도 있다는 게 빛스캔 측의 설명이다.

 ▲ 11월 26일 미리내 호스팅의 404 페이지를 이용한 악성링크


웹사이트 접속자의 공격 기법은 Caihong EK + OLE가 사용됐으며, 호스팅 업체에서 직접 악성파일을 다운로드 받도록 되어 있었다.


악성파일은 모두 파밍 및 공인인증서 탈취 악성코드로 확인됐다. 그러나 파밍 악성코드 기능 외에도 원격에서 통제되는 백도어 기능(좀비 PC)도 동시에 있어 위험성은 개인의 금융정보 탈취에만 국한되지는 않는다.


이와 관련 빛스캔은 “관찰 도중 발견된 공격자 서버에서 상당수의 좀비 PC가 관리되고 있는 모습과 다수의 공인인증서도 수집해 놓은 상황이 관찰된 바 있다”며 “최근에는 MalwareNet에 연동된 형태로서 상위 악성링크의 내용이 변경될 때마다, 공격 내용과 최종 악성파일이 변경 되고 있어 적극적인 관찰과 대응이 필요하다”고 강조했다.


화학노동조합 웹사이트, 내부 침투용 가능성 높아

화학노동조합 웹사이트에서도 악성파일이 발견됐다. 이미 내부 침투용으로 다양하게 사용됐을 가능성이 높으며, 중요 기밀들의 노출 가능성과 관련 산업 종사자들을 악성코드에 감염시킨 후 추가 공격을 통해 피해를 입힐 수 있어 주의가 필요한 상황이다.

 ▲ 5일 화학노조 웹 사이트, 악성코드 유포 정황


* 화학노조: 화학 관련 산업 노동조합의 연합단체 - 2011년 428개 조직, 17개 업종


신규취약점 이용한 공격 등 악성코드 유포 확산

이보다 앞서 지난달 30일에는 파일공유(P2P) 사이트도 악성코드 유포지로 악용된 바 있다. 사용된 공격 킷은 Caihong EK와 MS OLE 취약점(CVE-2014-6332)으로 알려졌다.

 ▲ 11월 30일 발견된 XX디스트를 통한 악성코드 유포

MS의 신규 취약점이 기존 공격킷에 결합해 공격하는 형태도 발견됐다. Caihong EK와 MS OLE 취약점(CVE-2014-6332)을 이용한 공격 코드와 결합했으며, Sweet Orange EK와 MS OLE 취약점(CVE-2014-6332)을 이용하는 공격 코드와 결합했다.


이외에도 공공기관(go.kr), 파일공유(P2P), 언론사, 대학교 웹사이트 등에서 악성링크가 삽입됐으며, 금융사의 경우 특정 포트를 통한 파밍과 DNS 변조를 이용한 파밍 공격이 지속적으로 이뤄지고 있으며, 수십 건의 공인인증서와 개인금융정보가 수집되고 있다.


이처럼 웹 서비스를 통한 악성파일 유포와 악성파일 업로드는 여전히 기승을 부리고 있는 것으로 나타났다. 더욱이 이렇게 악성파일을 유포하는 웹사이트의 경우 이미 공격자가 내부에 대한 접근 권한을 획득한 가능성이 높아 피해가 확산될 우려가 크다. 게다가 공격방식은 신규 취약점과 기존 공격킷이 결합하는 등 새로운 공격 형태로 진화하고 있는 반면, 수많은 웹사이트가 아직 개선되지 않고 있는 상황이다.


따라서 근원적인 문제 개선과 함께 웹서비스의 취약성을 일정수준으로 관리해야 한다. 또한, 상시적으로 점검하는 등 대규모 감염을 예방하기 위해 상시적 점검과 함께 신속한 차단·대응으로 피해를 줄일 수 있도록 노력해야 할 것으로 보인다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>