악성코드 유포 일본을 겨냥하다 – 한류, 악성코드 전파 통로

악성코드 유포 일본을 정조준 -한류, 악성코드를 전파하다.

 

*빛스캔은 2013년 2월. 일본내의 악성코드 유포 상황에 대해 한국인터넷의 범위를 관찰하는 PCDS (Pre Crime Detect Satellite) 관찰 범위를 일부 이동 시켜 관찰 할 예정입니다.

 

 

2004년에 일본에서 방영된 '겨울연가'는 중년 여성들의 폭발적인 인기에 힘입어 주인공인 배용준(욘사마)를 일약 한류 스타로 만들었다. 이후 드라마뿐만 아니라 가요와 같은 문화 컨텐츠가 대만, 베트남 등 아시아에 널리 전파되었고 전세계로 확산 되고 있다. 현재는 보아, 비, 원더걸스와 같은 아이돌 가수를 중심으로 지속적인 해외 진출을 시도하여 일본뿐만 아니라 중국, 동남아시아에서 상당한 인기를 얻고 있다.

최근 씨엔블루(CNBlue)는 일본 오리콘 차트에서 새로운 싱글을 발표하면서 2위(2012년 12월하순)까지 차지하는 인기를 누리고 있는 것으로 알려져 있다.

 

악성코드를 유포하는 공격자들은 한류의 선봉을 맡고 있는 웹사이트도 비켜가지 않는다.

 

지난 2월 5일 16시경, 국내 날씨예보 관련 웹서비스에 JP도메인을 사용하는 악성링크가 추가된 것이 빛스캔의 PCDS에 탐지되었다. 탐지 당시 악성코드를 유포하거나 중계지로 활용되지는 않았지만, 공격자가 로그를 분석할 수 있는 링크를 삽입한 것으로 보아 공격 대상 웹사이트의 방문자 유형을 분석하거나 하는 등의 사전 준비로 보여 졌다. 이틀간의 관찰기간을 거쳐 2월 7일 오전 11시경에 실제 공격을 수행하는 공격링크가 추가된 것이 확인 되었으며, 해당 공격은 국내의 날씨 예보 관련 사이트에서도 공격이 발생됨은 물론 일본 내에서도 해당 서비스를 방문하는 모든 사용자들에게 동시에 공격이 발생 되고 있음이 확인 되었다. 즉 악성코드 유포지 이외에도 경유지로도 활용된 상황이다. ( 해당 서비스는 씨엔블루 그룹의 일본 공식 웹서비스인 cnblue.jp 이다. ) 악성링크는 2월 11일 다시 변경 되었으며, 2월 12일 현재까지도 악성코드 유포는 계속 되고 있다. 즉 2월 7일부터 2월 12일 오전까지 cnblue.jp 사이트를 접근한 사용자들 모두가 공격을 받았으며, Java와 IE 업데이트가 되어 있지 않았다면 좀비 PC가 되었을 것이다. 국내 사이트도 두 곳 정도 cnblue.jp에 올려진 악성링크의 영향을 받아 감염을 시켰기에 국내도 일부 영향이 있었을 것이다. 최종 악성파일의 분석 내용은 국내 은행의 접속 시에 주소를 변환하는 파밍 역할을 하는 악성코드였으며, 원격에서도 통제가 가능하므로 추가적인 위협은 계속 될 것으로 판단된다. 일본 내에 유포된 악성코드는 APT와 같은 추가적 정보 유출의 위협을 가지고 있을 것으로 추정되고 있다.

 

국내 사이트를 공격하여 웹소스 상에 악성링크를 추가하고, 악성링크의 정체를 잘 탐지 되지 않도록 하기 위해 신뢰받는 웹서비스를 추가적으로 해킹하여 악성링크 자체로 이용하는 것은 탐지를 회피하기 위한 목적으로 지난해부터 자주 사용이 되고 있다. 국내의 악성코드 감염 확산에 이용된 악성링크를 조사하는 과정에서 일본 내에서도 광범위한 공격이 발생 혹은 시작 될 수 있는 징후를 발견 하였으며, 어쩌면 이미 시작 되었을지도 모를 것이다.

< 2월 5일 첫 발견 당시의 접속자 관찰 용도의 링크 자동 실행 화면>

 

본 사이트의 경우 언어의 특성상 한국 팬보다는 일본(어를 사용하는) 팬이 많이 접속할 것으로 예상되며, 이를 통해 많은 일본 이용자들이 현재도 악성코드에 감염되고 있을 것으로 추정된다.

< 2월 7일 오전 11시경 실제 공격코드가 동작하여 방문자들에게 감염을 시키고 있는 cnblue.jp 웹서비스>

 

악성링크는 공식 홈페이지 소스코드에 악성링크를 추가하는 형식으로 실행이 되고 있었다. 즉 공격자가 서비스에 대한 모든 권한을 가진 상태와 동일하다.

< 공격자가 인위적으로 소스를 추가하여 모든 방문자들에게 실행 되도록 구성한 내용>

 

해당 공격코드가 이용하는 기법은 현재로서는 한국에서 널리 이용되고 있는 최신 취약점( 제로데이) 과는 조금 다른 방식 이였으며 Java 취약성 두 가지와 MS XML 취약성 하나를 포함한 세 종류의 취약성을 이용하여 방문자 PC를 공격하는 것이 확인 되었다. 공격코드 제작을 위해 사용된 공격자의 생성 도구는 CK VIP Exploit kit으로 분석 되었다.

< cnblue.jp 내의 악성링크의 내용 – 단 하나의 링크 추가로 직접 공격이 발생됨>

 

공격이 성공된 이후에 설치되는 최종 악성파일은 감염 이후 추가적인 공격 파일을 미국의 캘리포니아에서 다운로드를 받아 설치하는 것으로 분석 되었으며, 현재 전 세계 백신을 대상으로 테스트 할 수 있는 Virus Total에서 확인해본 결과 지금껏 보고 되지 않은 악성파일이였다.

< 최종 악성파일인 sms.exe 파일에 대한 VirusTotal 비교 결과 – 미 보고된 신종 악성파일>

< 최종 악성파일이 방문자 PC 설치 이후 추가 공격 코드 다운로드 기록 >

 

공격이 성공된 이후 설치되는 악성파일은 공격자가 올려둔 또 다른 파일들을 다운로드 시도하고 시스템에 설치하는 행위를 하였고, 악성파일을 다운로드 받는 주소는 174.139.68.xx 이였다. 해당 IP는 미국 캘리포니아 오렌지 카운티에 위치한 것으로 확인 되고 있다.

< 추가 공격파일 다운로드 위치>

 

2월 5일 관찰 현상의 최초 발견부터 2월7일 실제 공격이 발생된 시점까지의 관찰기록을 보면 공격자들은 국제적인 네트워크를 자유자재로 활용 하고 있음을 알 수 있다. 악성코드 감염을 위해 유명 웹서비스들을 이용하는 것을 확인 할 수 있으며, 지금껏 국내에서만 활발하게 발견이 되고 해외에서는 드물게 발견 되는 유형이었던 웹 서비스를 통한 대량 감염 (drive by download) 이 이제 일본에도 직접적으로 발생 되고 있는 것이 확인 된 것이다. 일본 내에서도 Java와 MS의 패치가 되어 있지 않은 상태에서 해당 웹서비스를 방문하게 되면 공격의 영향을 직접 받을 수 밖에 없으며, 단지 방문만 하여도 악성코드에 감염되고 추가로 미국에 위치한 추가적인 악성코드들을 그 어떤 인지도 없이 받게 될 수 있다. 좀비 PC가 된 이후의 권한은 오직 공격자에게 있을 뿐이다.

 

이번 일본 내에 위치한 도메인을 이용한 악성링크 활용 사례는 지금까지 한국에서 사용되는 공격방식과 유사한 상황을 보이고 있어서, 앞으로 최신 취약점(제로데이)를 활용하여 모든 방문자 PC를 직접 공격할 가능성이 높은 상태이다.

방문자들 대부분이 악성코드의 감염 영향권에 들 수밖에 없다. 아직 일본에서 이러한 공격을 통해 공격자가 얻을 수 있는 수익모델이 널리 알려지지는 않았지만, 안정적인 수익 모델이 생길 경우 한국과 같은 상황으로 돌변할 가능성이 높다. 게임 아이템 탈취와 같은 개인정보 유출은 일상적인 사례가 될 것이고, 현재에도 백신에 탐지가 되지 않는 상태로 PC에 설치가 되고 있는 상황이라 APT와 같은 장기적인 정보유출에도 직접 이용 될 여지가 높다.

 

국내도 마찬가지 이지만 일본 내에서의 좀비 PC 확산을 막기 위한 방안으로는 악성링크로 이용된 경로를 차단하고 추가 공격코드를 다운로드 받는 미국의 주소에 대해서도 차단을 병행해야 대응이 될 수 있다. 근원적으로는 공격자가 자유자재로 통제하는 웹서비스의 보안성을 높여서 추가적인 악성코드 감염 시도가 발생 되지 않도록 해야 할 것이다.

 

국가와 국가를 자유롭게 이동하며 공격을 하는 공격자들은 이제 공개적으로 일본 내에서의 좀비 PC 확대를 위한 대량유포 매커니즘을 작동 하였다. 이미 오래 전부터 시작 되었으나, 감지가 늦은 것일 수도 있다. 분명한 것은 일본의 IT 시스템도 대량 확산되는 악성코드의 습격으로부터 자유롭지 못하며, 이제 시작이라는 것이다.

 

현재 빛스캔㈜은 PCDS (Pre Crime Detect Satellite)를 운영하여, 국내 120만개의 웹 서비스와 해외 10만 여 개의 웹 서비스를 모니터링하며 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 본 이슈를 통해 일본 내의 악성코드 유포에 대해 모니터링을 강화하고 있다. 전세계적으로 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있으며 매주 수요일 한주간의 한국 인터넷 위협현황에 대해 카이스트와 공동으로 정보를 제공 하고 있다. 알려지지 않은 위협에 대해 대응을 하기 위한 기본적인 가이드이다. 문의는 info@bitscan.co.kr로 하면 된다.