| 디페이스 해킹 공격...이젠 램닛까지 장착했나? | 2015.07.23 | ||||||
디페이스된 화면에 메일주소, 언어, 공격자 제각각...램닛 발견 주목 [보안뉴스 김경애] 최근 들어 악성링크가 감소했음에도 불구하고, 해킹 공격 후에 웹페이지 화면을 변조시켜 메시지를 남기는 이른바 디페이스 해킹은 여전히 발견되고 있어 이용자들의 주의가 요구된다. ▲지난 8일 디페이스 해킹당한 사이트 캡처 화면 먼저 지난 8일 한글로 표기된 디페이스 해킹 정황이 포착됐다. 공격자는 변조된 화면에 ‘안녕하세요 제 이름은 Kyfx입니다 #OpKOREA 많은 기대를 합니다. 우리는 용서하지 않는다 우리는 잊지않는다 우리 한국 사이버 스페이스 내가 지킨다’라는 메시지를 남겼다. 이와 관련 한 보안전문가는 “해당 디페이스 해킹은 국내 웹사이트에서 발견됐다”며 “공격자가 남긴 트위터와 해당 웹사이트에 남긴 메시지로 볼 때 공격자는 어나니머스 추종자로 자기 과시를 목적으로 하는 어린 학생들로 추정된다”고 말했다.
같은 날 xx대학교xx병원 사이트도 디페이스 해킹을 당한 정황이 포착됐다. 해당 사이트에서는 사용자 정보를 체크하는 악성파일과 악성스크립트가 탐지됐다.
▲지난 15일 디페이스 해킹 당한 xx대학교xx병원 사이트 캡처화면 이러한 공격자의 디페이스 해킹 흔적은 다른 사이트에서도 동일하게 발견됐으며, VBS/램닛(Ramnit), FTP 및 SSH 권한 탈취, 사용자 정보를 체크하는 기능 등이 탐지됐다. 또한 악성파일을 업로드하고, 다운로드 받을 수 있도록 악성링크를 걸어놓기도 한다. 이를 본지에 제보한 닉네임 메가톤은 “지난 15일 동시다발적인 디페이스 해킹 정황이 발견됐다”며 “공격자는 동일조직으로 추정되며, 악성파일을 심어 사이트에 방문하는 이용자들의 감염을 유도하고 있다”고 밝혔다. 디페이스 해킹 화면을 살펴보면 공격자의 메일주소는 뉴질랜드, 해킹 메시지는 터키어이며, 공격자는 자신을 이란인이라고 밝히고 있다. 이와 관련 MS 강흥수 연구원은 “플래시 파일 링크에 사용한 서버는 afrikaan 언어(남아공)로 램닛 감염의 주 피해자는 인도, 인도네시아, 베트남 등인 것으로 보인다”고 말했다.
악성코드 중에 하나인 ‘램닛(Ramnit)’은 지난 2010년 11월에 발견됐다. 한 조사결과에 따르면 약 35만개의 윈도우 버전 컴퓨터(클라이언트+서버)가 램닛에 감염됐고, 결국 320만개의 컴퓨터로 퍼져나간 것으로 예상했다. 램닛이 가장 집중된 곳은 인도였으며, 감염된 컴퓨터의 27%는 인도네시아, 베트남, 방글라데시, 미국 등에 분포되어 있는 것으로 파악됐다. 또한, VBS 스크립트로 exe를 생성하는 코드도 발견됐다. 이와 관련 한 보안전문가는 “해당 디페이스 해킹 사이트에서 VBS 스크립트로 exe를 생성하는 코드가 발견됐다”며 “공격자가 HTML 파일을 찾아서 VB 스크립트로 exe 파일을 생성하는 코드를 삽입한 것이다. 다행히 2010년에 발견된 바이러스로 대부분 백신에서 탐지되지만 업데이트가 되지 않았다면 주의해야 한다”고 당부했다. 이어 그는 “홈페이지를 해킹한 사람 PC에 바이러스가 감염돼 있었을 수도 있고, 홈페이지 서버에 원래 바이러스가 감염됐을 수도 있다”고 덧붙였다. MS 강흥수 연구원은 “보통 정상 페이지에 악성코드를 추가해 놓는 경우가 많은데, 이번에 발견된 디페이스 해킹은 램닛이 발견된 게 특이하다”며 “램닛은 고도화된 악성코드로 이번 사건에서 두 가지 가능성이 있다. 하나는 디페이스 해킹을 하면서 악성코드를 유포하는 해커가 램닛에 감염됐지만 이를 모를 수도 있고, 다른 하나는 해커가 램닛 제작자이거나 그걸 사서 이용했을 수도 있을 것”이라고 추정했다. 특히, 디페이스 해킹의 경우 웹사이트 관리자가 업데이트를 제대로 하지 않아 당하는 경우가 많다는 것. 따라서 웹사이트 관리자들은 운영체제나 SW, 백신 등을 최신 버전으로 업데이트 하는데 항상 신경써야 한다는 게 보안전문가들의 조언이다. <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||||
 |
