악성링크에서 사용하는 쿠키를 이용한 감염 확인 - 쿠키리스트

현재 여러 유형의 악성코드들이 웹서비스를 통해 유포 되고 있습니다.

이런 유형의 악성코드들 대부분이 중복적인 감염을 예방하고자 아주 짧은 하루짜리 생명력의 쿠키들을 이용해 중복감염을 체크하고 방지하는 역할로 쓰이고 있습니다.

실질적인 감염여부와는 다른 문제이지만 개인PC 차원에서 점검 할 수 있는 방안은 브라우저의 쿠키를 통한 어처구니 없는 방안이 현재로서는 즉시 할 수 있는 방안이기도 합니다.

손쉽게 사용자 PC들에서 감염 여부를 확인 할 수 있는 방법은 다음과 같습니다. 공격자들은 항상 중복 감염을 방지하기 위해 쿠키값을 이용하는 것을 확인 할 수 있는데 악성링크의 연결 부분이나 공격코드 시작시에 사용 되는  일반적인 공격 형태는 다음과 같습니다.

 

if(document.cookie.indexOf('ralrlea')==-1){var expires=new Date();expires.setTime(expires.getTime

()+12*60*60*1000);document.cookie='ralrlea=Yes;path=/;expires='+expires.to~~~~

 

위에서 보듯이 악성코드의 중복 실행에 대한 감염방지를 위해 쿠키값을 설정하는 것을 확인 할 수 있습니다. 위의 코드에는 “ralrlea” 쿠키값이 이용 되는 것을 보고 있습니다. 최근 다수 이용 되었던 공격코드들이 이용한 쿠키 값 목록은 다음과 같습니다. ( 10월 이후 이용된 악성코드들이 주로 활용 하는 쿠키들입니다.)

 

KWZAooZ,JS0W,BFvLf4,Udz1szV,ralrlea ,KWZAooZ ,BpCs8 ,bucLi1 ,KnNX4 ,QXuMB2 ,bucLi1 ,IPFr7 ,bgeeNQ5 ,xLCKv2 ,ebiE4 ,eLdI1 ,bgeeNQ5 ,RBRqFVT7 ,xLCKv2 ,bgeeNQ5 ,dEAEMiQ3 ,pGOOM0 ,rXBUmFE0 ,FMQYWu8 ,xuCofq8 ,YMVq5 ,VYCuVn6 ,yWEPL0 ,WreENO6 ,yWEPL0 ,zTbPGAB5 ,fYpHyS8 ,GpBVFtF8 ,YMdRq4 ,GpBVFtF8 ,YMdRq4 ,ckttcywaxx ,zgaaRs1 ,JnlC7 ,HpnIO3 ,xJTDfnt1 ,MoLL7 ,ayLmDsj8 ,HPeia3 ,iqifV6 ,kWTSlh1 ,xhMcLk5, veatpr – 본 쿠키값들은 10월부터의 활용 쿠키값입니다.

 

일단 위의 쿠키값들이 시스템내에 검출이 된다는 것은 이미 감염 기록이 있다는 것으로도 판단 할 수 있으니 확인에 주의를 기울여 주세요. 

쿠키값 확인은 각 브라우저 주소창에 javascript:document.cookie 코드를 입력 하시면 확인 가능합니다. 

물론 쿠키값의 유효기간이 있어서 영향력은 없겠으나 각 쿠키값들의 확인만으로도 지난주의 악성코드감염을 일부 확인 및 추정 할 수 있습니다.

그 이외에 악성링크 한줄만 추가되어 쿠키를 이용한 웹소스 변조 및 악성링크 판별 여부는 확인 하기 어려운 면이 있으나 최근 유형이 국내 사이트를 해킹한 이후 올려둔 사례가 많이 있으므로 웹 소스가 있는 곳에서 쿠키 문자열들로 검색하면 악성코드 중계지로 이용되는 페이지와 의심 소스들을 충분히 발견 할 수도 있습니다. 문자열 검색에서 쿠키값을 일부 활용 할 수도 있으니 참고 하세요. 개인 차원에서는 

여러 방면으로 활용 하시기 바랍니다.

현재 웹서비스 방문시에 감염이 시도되는 악성코드들은 그 당시에는 백신 및 여러 보안 도구들에도 탐지 및 차단에 어려움이 있는 , 즉 우회를 하는 형태가 다수 발견 되고 있어서 보안 도구들로는 탐지 및 대응에 어려움이 있는 상태입니다. 원시적이긴 하나 감염 여부나 위험성 여부를 현재로서는 확인 할 수 있는 방안들이 거의 없다보니 단편적으로 공격자들이 중복감염 방지를 위해 이용하는 쿠키 값들을 통해 역으로 감염 여부를 알아내어야 하는 이런 상황이 어처구니 없기도 합니다.

각 브라우져별로 저장된 쿠키 확인 방안입니다. 현재 활성화된 쿠키들은 주소창에  javascript:document.cookie

를 입력함으로 확인 할 수도 있습니다.

IE 쿠키 저장 정보>

XP : Documents and Settings\사용자명\Cookies

Windows 7  :  Users\사용자명\AppData\Roaming\Microsoft\Windows\Cookies

                    Users\사용자명\AppData\Roaming\Microsoft\Windows\Cookies\Low

FireFox 및 Chrome의 경우  설정 -> 고급 -> 콘텐츠설정 ->모든 쿠키 및 사이트 데이터 클릭

브라우저에 저장된 쿠키 파일 및 쿠키 내역을 통한 점검은 어려움이 예상 됩니다. 안타깝지만.. ^^;