• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

새로운 익스플로잇 키트 발견, 이름은 스펠레보 2019.07.01

한 B2b 웹사이트 통해서 퍼지고 있어…드리덱스와 아이스드아이디 퍼트려
사용자 개입 없이 감염시킬 수 있어 익스플로잇 키트는 꾸준히 연구돼

[보안뉴스 문가용 기자] 새로운 익스플로잇 키트가 시스코 탈로스(Cisco Talos) 팀에 의해 발각됐다. 이 익스플로잇 키트는 현재 침해된 B2B 웹사이트 하나를 통해 퍼지고 있다고 한다.

[이미지 = iclickart]


익스플로잇 키트는 몇 년 전까지만 해도 한창 기승을 부리던 중요한 위협 요소다. 그러다가 2016년 앵글러(Angler) 익스플로잇 키트가 세력을 잃으면서 익스플로잇 키트 전체가 크게 줄어들었다. 그러나 완전히 사라진 것은 아니며, 지금까지도 치명적인 위험으로 작용하고 있다. 특히 멀웨어 감염에 있어 사용자의 개입을 요구하지 않기 때문에 다시 대세가 될 가능성은 얼마든지 존재한다.

이 새로운 익스플로잇 키트의 이름은 스펠레보(Spelevo)다. 기존에 없던 새로운 것으로, “익스플로잇 키트가 아직도 공격자들에게서 잊히지 않았다는 증거”다. 즉, 방어자들 사이에서 익스플로잇 키트가 간과되어서는 안 된다는 것이다. 시스코 탈로스 팀도 “예의 주시해야 할 문제”라고 말한다.

스펠레보를 퍼트리고 있는 웹사이트는 공격자들이 단 네 줄의 코드로 침해하는 데 성공했으며, “평소 보안 위생 습관이 좋지 않은 방문자들을 감염시키기에는 충분한 내용이 이 네 줄 안에 다 들어있다”고 한다. 웹사이트 내 여러 페이지들이 감염이 된 상태였으며, 이 페이지들에 접속하게 되면 공격자들이 운영하는 게이트로 우회된다.

이 게이트라는 것은 현재 ezylifebags.com.au라는 주소에 호스팅 되어 있다고 한다. “스펠레보 캠페인은 랜딩 페이지에 대한 요청으로부터 시작됩니다. 이 랜딩 페이지에 사용자가 도착하면, 최초의 시스템 정보 수집 등의 정찰 활동이 이뤄집니다. OS, 웹 브라우저, 사용 가능한 플러그인 등에 대한 정보가 수집됩니다.”

익스플로잇 키트는 말 그대로 여러 가지 취약점을 공략한다. 어도비 플래시(Adobe Flash)가 시스템에 존재한다면 CVE-2018-15982 취약점에 대한 익스플로잇이 시도된다. 그렇지 않다면 인터넷 익스플로러에 있는 VB스크립트 엔진의 CVE-2018-8174 취약점에 대한 익스플로잇이 시도된다.

“플래시와 인터넷 익스플로러에 대한 익스플로잇은, 과거 여러 익스플로잇 키트에도 포함되어 있었습니다. 익스플로잇 키트가 애초에 독자적으로 개발되지 않거든요. 기존 키트가 복제되고 덧붙여지는 과정으로 새 것이 탄생되죠. 위 두 가지 익스플로잇이 존재한다는 건 스펠레보가 전형적인 익스플로잇 키트 제작 공식을 따랐다는 뜻입니다.”

시스템 침해를 완료한 후에 스펠레보는 피해자를 다시 한 번 우회시키는데, 이번 목적지는 구글이다. 피해자 눈에 보이는 건 순서대로, 1) 브라우저에서 새 탭이 열리고, 2) 그 탭에서 게이트가 로딩되며, 3) 게이트 후에 랜딩 페이지(익스플로잇 페이지)가 열리고, 4) 그 다음 구글이 열리는 것이다. 이렇기 때문에 일부 사용자들은 무사히 구글이 열렸다고 여길 수도 있다.

이번 익스플로잇 캠페인에서 배포되던 멀웨어는 아이스드아이디(IcedID)와 드리덱스 트로이목마(Dridex Trojan)다. 하지만 익스플로잇 키트는 다양한 멀웨어를 배포할 수 있기 때문에, 아직 더 많은 멀웨어들이 발견될 가능성도 높다.

스펠레보는 두 달 전에 처음 발견된, 비교적 새로운 익스플로잇 키트인데, 이미 자체 변경을 몇 차례 겪은 바 있다. “랜딩 페이지와 익스플로잇 페이지의 URL 구조와 난독화 기술에 있어서 업그레이드가 있었습니다.” 그 외에는 과거 여러 익스플로잇 키트가 보여주었던 것과 동일한 특성과 기술들을 보여주는 편이다.

스펠레보는 하드코딩 된 IP 주소가 아니라 도메인들에 호스팅 되어 있는 편이다. 이를 위해 운영자는 ‘도메인 셰도윙(domain shadowing)’이라는 기술을 사용한다. “아직도 마이둠(MyDoom)이나 스턱스넷(Stuxnet)과 같은 오래된 위협들이 아직도 인터넷을 돌아다니죠. 익스플로잇 키트도 그럴 겁니다. 여전히 효과적이고 위협적이거든요.”

3줄 요약
1. 한 웹사이트 통해서 스펠레보라는 익스플로잇 키트가 퍼지고 있음.
2. 이 익스플로잇 키트는 드리덱스와 아이스드아이디라는 멀웨어를 퍼트리고 있음.
3. 익스플로잇 키트, 현재 주류라고는 할 수 없으나 영원히 사라지지 않을 위협 요소.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>