• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[주간 악성링크] 감소했지만...맞춤형 악성코드로 진화 2015.07.06

쇼핑·SNS관련 사이트, 맞춤형 악성코드 CK VIP 익스플로잇 킷 공격

안드로이드 기반 스마트폰 이용자 타깃으로 악성앱 유포, 설치 주의


[보안뉴스 김경애] 한 주간 악성링크는 지난주에 비해 줄었으나 공격수준은 갈수록 높아지고 있는 추세다. 이용자의 취약점을 스스로 찾아 악성코드를 만들고 공격하는 CK VIP 익스플로잇 킷 공격이 포착되는가 하면, 안드로이드 기반의 스마트폰을 타깃으로 한 악성앱이 기승을 부리는 등 공격수법이 고도화되는 양상이다. 랜섬웨어 역시 파밍 형태의 공격보다 증가하고 있어 이용자들의 주의가 요구된다.

 ▲ 지난 2일 본지가 제보받은 쇼핑, SNS, IT관련 사이트에서 악성링크가 삽입된 정황 포착 
    캡처 화면

CK VIP 익스플로잇 킷 포착

먼저 이번 한 주간에는 CK VIP 익스플로잇 킷 공격 징후가 국내 웹사이트에서 잇따라 탐지됐다. 

6일 한국xx치료협회 사이트에서는 사용자 정보 확인, 서명 CAB 파일, 중국사이트로 연결되는 악성URL이 삽입된 정황이 포착됐으며, xx요리학원 사이트에서는 CK VIP 익스플로잇 킷(Exploit Kit) 악성파일이 삽입된 것이 발견됐다. 해당 사이트에서는 CVE-2011-2140, CVE-2014-6332, CVE-2012-0773 취약점을 이용해 악성파일을 내려받도록 유도한다.


이보다 앞서 지난 2일에는 쇼핑, SNS, IT 관련 사이트에서 악성링크가 삽입되고 경유지로 악용되는 정황이 포착됐다.

이를 본지에 제보한 닉네임 메가톤은 “공격자는 인터넷 브라우저 취약점을 이용해 악성코드를 유포하고, 자바 스크립트에서 많이 사용하는 명령어를 이용하고 있다”며 “CK VIP 익스플로잇 킷 공격도 탐지되는 등 결합된 공격양상을 보인다”며 주의를 당부했다.


이보다 앞선 지난 1일에는 자동차부품제조업체인 xx산업 사이트에서 악성URL이 발견됐다. 이에 메가톤은 “악성URL 삽입 및 xx.exe 파일을 내려받기 하도록 제작되어 있다”며 주의를 당부했다.


파밍보다 랜섬웨어 더욱 기승
랜섬웨어 역시 지난 2일 국내 웹사이트를 통해 유포된 정황이 포착되면서 여전히 기승을 부린 것으로 나타났다.


이와 관련 하우리 최상명 CERT실장은 “지난 3일 웹사이트를 이용한 악성코드 유포변화 동향을 살펴보면 CK VIP EK보다 Angler EK가 더 증가했다”며 “파밍 악성코드보다 랜섬웨어 악성코드가 더 많아졌다”고 밝혔다.


특히, 파밍은 최초 발견 시 VT 진단률이 약 50% 이상인 반면, 랜섬웨어는 최초 발견 시 VT 진단률 약 10% 이하로 나타나는 등 탐지가 더욱 어렵다는 게 그의 설명이다.


안드로이드 기반, 악성앱 유포

안드로이드를 기반으로 한 금융정보 탈취용 모바일 악성앱도 끊이지 않고 나타났다.

▲ 플래시 업데이트를 사칭(좌측)해 설치된 악성앱 화면(출처: 울지 않는 벌새 블로그)


특히, 스마트폰으로 웹사이트 접속시 ‘You need to upgrade your Flash Player. flash play11.1 버전으로 업데이트해야만 계속 사용할수 있읍니다..’라는 메시지창이 뜨면 악성앱일 수 있으니 반드시 주의해야 한다.


만약 Flash Player 설치 메시지창이 생성되어 확인 버튼을 클릭할 경우 자동으로 newflash.apk 또는 flashupdate.apk 파일이 다운로드된다.


울지 않는 벌새 블로그에 따르면 지난 6월부터 7월 2일까지 약 한 달간 지속적으로 피해 글들이 올라왔다. 이와 관련 한 피해자는 “공인인증서 절차까지 완료하고 마지막 단계에서 보안카드를 스캔하라는 메시지가 떠서 눈치를 챘다”며 주의를 당부했다. 이와 관련해서 정상앱은 ‘Play 스토어’ 이지만 악성앱은 ‘Google App Play’ 앱으로 표기돼 있다.


보안전문 블로거인 울지 않는 벌새는 “금융 서비스 이용시 보안카드를 전체 입력 또는 사진을 찍는 방식으로 인증하는 절차는 없다”며 “설치된 Google App Play 악성앱은 정상 애플리케이션과 아이콘 이름이 매우 유사하므로 혼동하지 말아야 한다”고 당부했다.


뿐만 아니라 추가로 악성앱이 다운로드되거나 설치될 수 있고, 기존에 설치된 모바일 뱅킹앱을 바꿔치기할 수도 있다며 모바일 백신을 통해 반드시 정밀 검사할 것을 그는 권고했다. 또한, 스마트폰에 공인인증서(NPKI)가 저장되어 있는 경우 반드시 폐기 후 재발급 받을 것을 당부했다.


파일공유 사이트, 악성파일 유포

파일공유 사이트를 통한 악성파일 유포도 한 주간 계속된 것으로 나타났다. 빛스캔 측은 “지난 4월 하순부터 금주까지 주로 주말 기간을 이용해 파일공유(P2P) 사이트에서 악성코드 유포가 발생하고 있다”며 “4월에는 2~3곳에 불과하던 사이트가 6월 달 들어 5~6여 곳까지 확장되어 영화 등의 컨텐츠를 받으려는 사용자에게 영향을 주는 등 공격기법이 지속적으로 발전되고 있다”고 밝혔다.

 ▲ 지난 6월 21일 발견된 X디스크를 통한 악성코드 지속 유포 정황 캡처화면
    (자료 제공:  빛스캔)


특히, 지난달 6월 23일에 X디스크 사이트에서 JS 공용모듈에 스페이스와 탭을 활용한 공격과 함께 악성링크 연결시 이전 레퍼러를 체크해 최종적인 유포지에서 비정상적인 접근은 404 Not Found와 같은 에러를 출력하게 한다는 것으로 드러났다.  


이에 대해 빛스캔 측은 “레퍼러의 경우 비정상적인 접근을 막기 때문에 초기 추적이 매우 중요하다”며 “지난해에도 파일공유(P2P) 사이트를 통해 등장한 바 있다”며 주의를 당부했다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>