본문 바로가기

Security Indicator/Insight

악성코드의 반복적인 발생과 대규모 유포의 원인

여기 나온 악성코드 경유지 주소들 보다 더 많은 정보들이 있다.

그러나 그 정보들은 오픈하기가 어려운 상태.

 

IP를 기반으로 철저하게 백도어 용도로 이용이 되고 있고 순식간에 전체를 바꿔치기 한다.

정보를 오픈하면 바꾸고 오픈하지 않으면 그냥 둔다. 하루에도 두세번 바꾸는건 일도 아니다.

 

대부분 국내 서비스 해킹하고 IP주소를 이용해 악성코드 다운로드 링크들을 올려 둔다.

이걸 국내 주요 사이트들에다 추가 하는 형식. js 파일내에 document.write 를 이용해 쓰거나

css 파일에 추가 또는 iframe으로 추가 한다.

 

근본 적인 취약성은 그대로 있는데 이 링크만 지운다고 없어질까? 

다 부질 없는 짓이다. 

 

암의 근본 원인 제거 없이 겉으로 흐르는 피만 닦아 내고 밴드를 붙인다고 해서 상처가 없는건 아니다.

다만 보이지만 않을 뿐. 언제든 나타난다. 계속해서..

 

자동화된 악성코드 저작 도구가 있다고 해서 널리 퍼지는 것은 아니다.

이젠 대규모로 글로벌 하게 퍼트릴 수 있는 방안이 있어서 크게 문제가 되는 것이다.

 

왜 더 이상 한국에 특화된 바이러스가 없을까?. 특화된 악성코드도 없고 말이다.

전 세계 어디에서나 찾아 볼 수 있다. 근본을 모르면 계속 휘둘리게 마련이다.

 

보안 전문가들이나 보안 회사들, 정책 당국은 이점을 명심 해야 한다.

예전에도 자동화된 악성코드 제작 도구는 있었다. 단 지금 만큼의 속도는 아니였다.

그러나 예전에도 이렇게 흔들렸던가? 전 세계 전문 인력들이 지쳐 쓰러질 만큼 힘들 정도 였던가?

규모의 경제를 갖춘 회사만이 버틴다. ( 전문인력의 대규모 보유) . 나머지는 다 지쳐 쓰러진다.

 

지금 문제는 확산 매커니즘이다. SNS와 취약한 웹서비스를 통해 자동으로 설치되는 악성코드가 확산의 주된 매커니지늠이다. 이걸 잊지 마라. 앞으로도 계속 된다. 그 누구도 멈출 수 없다. 발상의 전환이 없다면 말이다.

 

- 바다란 세상 가장 낮은 곳의  또 다른 이름

 

 * 매번 자세하게 썼지만 애써 보려 하지 않는 사람들이 많아 앞으로도 계속 꾸준하게..또 자세히 쓸 예정입니다. 

 

http://blog.websanitizer.com/ko/?p=588

 

최근 악성코드가 유포되는 과정은 일반적으로 다음과 같습니다.

  • 인터넷 등에서 감염된 파일을 다운로드하여 PC에서 실행하여 감염되는 경우
  • 스팸 메일의 첨부 파일을 실행하여 감염되는 경우
  • USB 메모리와 같은 이동형 매체를 통해 감염되는 경우
  • 웹 취약점이나 해킹 등으로 변조된 웹사이트를 방문하는 과정에서 감염되는 경우

이 과정 중에서 1, 2, 3 항목은 안티바이러스 및 안티스팸 솔루션에서 해결하는 경우가 많습니다. 물론, 새로운 악성코드가 발생하는 경우에 미처 대처하지 못하는 경우도 있습니다. 안티바이러스 업체에서는 이러한 한계점에 대해 다양한 연구 및 검토를 거쳐, 휴리스틱(인공지능), 클라우드, 화이트리스트, 샌드박시와 같은 첨단 기술을 이용하여 미연에 방지하고자 노력하고 있습니다.

당사에서 주목하고 있는 악성코드의 유포 환경은 바로 안전하지 않은 웹사이트의 방문으로 인해 사용자의 PC가 알지도 못하는 사이에 감염되는 경우입니다. 웹사이트 개발 초기에 보안에 관련된 사항을 고려하지 않아 발생하는 문제점으로 보통 서버의 취약점을 이용하여 해킹을 하거나 SQL Injection과 같은 웹취약점을 이용합니다.

특히, SQL Injection 취약점은 전체 웹사이트의 약 80% 이상 가지고 있을 정도로 매우 광범위하게 노출되어 있는 문제점으로 해결을 위해서는 웹방화벽이 주로 도입되고 있지만, 가장 근본적인 해결책은 웹소스 자체를 수정해야 합니다. 하지만, 웹 소스를 수정하기 위해서는 기술적, 시간적, 금전적 부담이 매우 커서 SQL Injection 취약점이 전세계에서 유행하기 시작한 2002년도부터 지금까지도 위험한 상태 그대로 인 경우가 많습니다.

최근에는 Mass SQL Injection 공격과 제로데이 취약점을 이용하는 악성코드가 결합하여 보다 강력한 전파력을 보이고 있습니다. 즉, SQL Injection 취약점이 있는 사이트의 DB에 제로데이 취약점을 이용하는 악성코드로 유도하게 하는 스크립트(JS)를 삽입합니다. 사용자가 이러한 사실을 모르는 상태로 이 웹사이트에 방문하는 경우에는 PC의 안티바이러스(백신)이나 최신 보안 패치가 적용되지 않는 경우에는 즉시 감염되게 됩니다.

당사에서는 이러한 악성 코드의 유포 정보를 수집하는 검색 엔진을 개발하여 이를 통해 9월 말부터 악성코드가 유포되는 URL을 수집하여 분석하 고 있습니다. 아래의 링크 가운데에는 기존에 이미 유포되었던 링크도 포함되어 있습니다. 왜냐하면, 악성코드가 유포되면 사이트 관리자가 이 부분을 인지하고 삭제하기 때문이며, 그 이후에 다시 같은 또는 유사한 URL을 삽입하는 행동이 반복되고 있습니다.

발견일 악성 URL

2010-12-03 hxxp://rozprodam.cz/index.xxx

2010-12-01 hxxp://tzv-stats.info/xx.php

2010-12-01 hxxp://www.pkupe.com/xx/pic.js

2010-12-01 hxxp://www.alahb.com/xxx/pic.js

2010-11-29 hxxp://www.jingmen.info/xx/pic.js

2010-11-27 hxxp://multi-stats.info/xx.php

2010-11-25 hxxp://www.yiqicall.com/xx/pic.js

2010-11-22 hxxp://www.xufu9.com/xx/pic.js

2010-11-18 hxxp://210.109.97.xxx/P.asp

2010-11-17 hxxp://110.45.144.xxx/S.asp

2010-11-17 hxxp://www.samdecaux.com/xx/img.js

2010-11-15 hxxp://mount-tai.com.cn/xxxxxx/img.js

2010-11-13 hxxp://www.zyxyfy.com/xx/pic.js

2010-11-12 hxxp://www.szdamuzhi.com/xx/img.js

2010-11-11 hxxp://121.254.231.xxx/w.asp

2010-11-10 hxxp://180.69.254.xxx/main.asp

2010-11-10 hxxp://www.qpbay.com/xxxxData/img.js

2010-11-06 hxxp://www.womenzz.com/xxxxxx/img.js – Mass SQL Injection 공격

2010-11-03 hxxp://www.cqgx.net/xx/img.js – Mass SQL Injection 공격

2010-10-31 hxxp://www.jdcmmc.com/xxx/img.js – ARP Spoofing + Mass SQL Injection 공격

2010-10-30 hxxp://www.gdkfzx.org.cn/Script/img.js – Arp Spoofing 공격

2010-10-29 hxxp://www.96363.com/upfiles/img.js – Mass SQL Injection 공격

2010-10-25 hxxp://www.winitpro.com.cn/xx/img.js

2010-10-23 hxxp://www.shrono.com/xx/img.js

2010-10-23 hxxp://121.254.235.xx/H.asp

2010-10-23 hxxp://a5b.xx/n.js

2010-10-23 hxxp://www.zzyaya.com/xx/img.js

2010-10-22 hxxp://www.3emath.com/~~~/img.js

2010-10-22 hxxp://125.141.196.1**/F.asp

2010-10-21 hxxp://www.thwg08.com/xx/img.js

2010-10-19 hxxp://www.igo88.com/xxx/img.js

2010-10-17 hxxp://222.231.57.xxx/r.asp

2010-10-16 hxxp://smaug.xx/portfoliox/tutorials.php

2010-10-16 hxxp://58.120.227.xxx/F.asp

2010-10-16 hxxp://789.fanli8.xx/tj.html?zhizun

2010-10-15 hxxp://www.sxsia.org.xx/images/xxxxx.js

2010-10-13 hxxp://www.xatarena.xxx/images/img.js

2010-10-12 hxxp://www.adw95.xxx/b.js

2010-10-11 hxxp://318x.xxx/

2010-10-11 hxxp://210.109.97.XX/TT.asp

2010-10-11 hxxp://121.78.116.XX/TT.asp

2010-10-10 hxxp://www.lancang-mekong.xxx/uploadfile/img.js

2010-10-09 hxxp://www.aspder.xxx/1.js

2010-10-09 hxxp://kr.nnqc.xxx/cs.js

2010-10-08 hxxp://b.mm861.xxx/images/1.js

2010-10-08 hxxp://www.gdfreeway.xxx/js/img.js

2010-10-07 hxxp://118.103.28.XXX/R.asp

2010-10-07 hxxp://211.234.93.XXX/U.asp

2010-10-07 hxxp://175.124.121.XX/time.js

2010-10-07 hxxp://www.xhedu.xxx/js/img.js

2010-10-07 hxxp://211.234.93.XXX/U.asp

2010-10-06 hxxp://3god.xxx/c.js

2010-10-06 hxxp://318x.xxx

2010-10-06 hxxp://222.234.3.XXX/hh.asp

2010-10-06 hxxp://www.xhedu.xxx/

2010-10-05 hxxp://www.XXXXcollege.co.kr/zboard/data/yahoo.xx

2010-10-04 hxxp://iopap.upperdarby26.xxx/GUI.js

2010-10-04 hxxp://118.103.28.XXX/R.asp

2010-10-04 hxxp://wefd4.xx/

2010-10-04 hxxp://211.115.234.XXX/P.asp

2010-10-04 hxxp://211.233.60.XX/h.asp

2010-10-04 hxxp://uc.wooam.xxx/cp/w3.js

2010-10-04 hxxp://www.e0570.xxx/images/img.js

2010-09-30 hxxp://203.206.159.XXX/image/head.js

2010-09-30 hxxp://www.dnf666.xxx/u.js

2010-09-29 hxxp://mysy8.xxx/1/1.js

 

 유포 URL을 클릭하면 해당 링크에 대한 분석 정보를 보실 수 있으며, 이 문서는 최신 악성코드 URL이 발견될 때마다 갱신됩니다.

운영하시는 사이트에서 이러한 문제점으로 어려움을 겪는 분들은 아래 자료를 참고하여 주십시오.

http://blog.websanitizer.com/ko/?p=422

그리고, 사업 및 기타 목적으로 제휴를 원하시는 업체 관계자분들은 아래 링크를 통해 연락 주시기 바랍니다.

http://blog.websanitizer.com/ko/?p=49

감사합니다.