본 문서들은 카이스트 사이버 보안연구센터 게시물에서 다운로드 받으 실 수 있습니다.
국문과 영문 버전 모두 올려져 있습니다.
http://csrc.kaist.ac.kr/2011/sub04/sub04_02.php
패치는 지난 7월 2주차 수요일에 발표 되었습니다. 악성링크의 활용도를 보면 공격자들이 얼마나 효율적으로 공격에 이용하는 지를 볼 수 있습니다. 더불어 Metasploit에 나온 사용 법들은 개별 PC나 서비스를 대상으로 공격하는 모델입니다만.. 본 전문분석에 분석된 내용들은 웹소스에 추가되어 전문적으로 모든 웹 방문자를 대상으로 하여 공격이 일어난 공격 모델입니다.
단언하건데 개별 공격기법에 대한 분석들은 여기저기에 있습니다만 , 대량 감염을 위해 이용된 모델에 대한 분석은 최초의 자료라고 말씀 드릴 수 있습니다.
7월 1주차 까지는 다양한 1889 취약성에 대한 공격 비율은 거의 100%에 가깝게 활용 되었으며 패치 발표 이후 공격 비율은 급속도로 떨어지는 것을 볼 수 있습니다. 이미 공격을 위해 설계해둔 코드들을 활용 하지 않는다는 것을 의미하죠.
공격기법상으로 보면 일단 정상적인 웹서비스(?) 침입을 합니다. 모 신문사처럼 대문 페이지도 바꿀 수 있지만 공격자들은 그렇게 하지 않습니다. 정보는 이미 다 가져갔고 이제는 악성코드를 감염시키는 숙주로 활용을 할 뿐입니다.
웹서비스에 침입을 하고 내부의 웹소스코드를 변경 합니다. 여기에 악성링크들의 주소를 넣도록 하죠. 그렇게 되면 이런 형태가 됩니다.
위의 코드에는 악성링크의 주소가 들어 있으며 모든 방문자들이 방문 할때 마다 실행 되는 공용 함수 기능 (js file) 에 추가 하여 전체 방문자가 영향을 받도록 해 두었습니다.
단지 소스코드에 암호같은 코드를 한줄 추가 함으로써 홈페이지 방문자들은 악성코드의 직접적인 공격을 모두 받게 됩니다. 그 대상은 예외가 없습니다. Flash 사용자 , Java 설치, IE 취약성등등.. 거기에 이제 패치가 없었던 MS XML 서비스에 대한 공격도 직접 발생된 것이죠. 이전까지는 10명중 6명이 위험했다면 이젠 9명 가량이 위험한 상태로 방치된 상황이 패치 발표 이전까지 계속된 것입니다.
< 전자신문에 기고 되었던 연예기획사 페이지에서의 제로데이 공격 코드 유포 화면>
ref: http://www.etnews.com/news/computing/security/2607571_1477.html
단지 홈페이지에 접속만 했을 뿐인데도 악성링크들은 클릭 이나 다른 어떤 사용자의 행동 없이 실행이 되게 되고 사용자 PC를 좀비 PC로 만듭니다. 기존에는 Java , Flash 취약성들이 제대로 패치가 안된 PC들이 많았으므로 해당 취약성을 이용하는 공격코드가 많았습니다.
그러나 패치 없는 공격코드가 출현 하는 즉시 제로데이 공격코드를 이용해 사용자 PC를 공격 하였고 아마 국내 IE 사용자 비율로 보았을때 감염 비율은 90% 가량이 될 것으로 예상이 됩니다. 즉 단지 홈페이지를 방문만 하였을 뿐임에도 불구하고 10명중 9명은 좀비 PC가 되었다는 것을 의미합니다.
이렇게 확보된 수많은 좀비 PC들의 수치는 규모상으로도 엄청난 수치일 것임은 분명합니다. 대부분은 게임계정 탈취를 목적으로 하였지만 백도어와 루트킷 들도 있었고 외부로 부터 공격 명령을 기다리는 내용들도 있었으니 이 악성코드들이 이후에 어떤 일들을 했는지는 알려진 바가 없습니다.
공격자의 의도에 의해 조정이 될 수 밖에 없으니 말입니다.
왜 이런 전문분석을 공개하고 위험성에 대해서 공개적으로 알리느냐 하는 점은 현재의 위험을 직접적으로 알리고 얼마나 위험한 상황에 우리가 처해 있는지를 알리기 위해 하는 것 뿐입니다.
향후에도 패치가 없는 공격은 계속 됩니다. 또한 이젠 개별 PC나 소수의 서비스를 대상으로 한 공격보다 더 큰 규모의 모든 인터넷 사용자를 대상으로한 전방위적인 공격 방식까지도 활용이 되고 있습니다.
다음에도 패치가 없는 제로데이 공격이 웹서비스를 통해서 유포 된다면 더 심각한 상황에 수시로 돌입 할 수 있음을 알리고자 .. 조금 더 상세한 설명과 보안정보제공 서비스 구독 고객에게만 제공되는 전문분석을 공개하기로 한 것이므로 잘 살펴 보시고 대응 하시기 바랍니다.
언제나 그랬듯이 일정규모 이상의 위험성이 감지되면 공개적으로 알리고 저희가 할 수 있는 대응은 할 수 있도록 하겠습니다. 빛스캔의 플랜은 " 세상을 바꾸는 플랜" 이며 "널리 사람과 세상을 이롭게 만드는 것" 입니다.
구독서비스의 신청에 대해서는 한국인터넷 동향 브리핑을 참고 하십시요.
-바다란
'Security Indicator > Insight' 카테고리의 다른 글
| exploit-db Java Applet 신규 취약성 분석 문서등록 (0) | 2012.09.15 |
|---|---|
| 블리자드 ( WoW , Diablo) 해킹에 대해 (0) | 2012.08.10 |
| IBM 해킹에 비춰본 웹서비스 보안 (0) | 2012.05.22 |
| Malware launch detected !!! (0) | 2012.04.02 |
| 21세기판 몽골기병의 침략 (2) | 2012.03.26 |
