본문 바로가기

Security Indicator

Active X를 이용한 사회공학적 해킹 기법

 

새로운 방식의 공격기법이 발견이 되었습니다. 따라서 주의가 필요합니다.

해당 백도어는 국내사이트를 해킹 한 이후 국내사이트에 Flash.ocx 파일을 올립니다. 그리고 해당 ocx가 위치된 링크를 또 다른 국내 사이트 ( 유명 사이트 )를 해킹 한 후 iframe 등을 이용하여 실행이 되도록 만들어져 있습니다. 기존 패치와는 관계 없는 새로운 기법이므로 많은 피해가 예상 되며 빠르게 변형들이 출현 할 것으로 예상 됩니다.  웹서버의 취약성으로 인해 악성코드 실행 명령이 추가된 웹페이지를 방문할 경우 ocx 파일 설치가 진행이 되게 되죠. 대부분의 일반 유저는 Flash 라는 이름만을 보고 설치를 진행할 것으로 보입니다.

 

OCX 파일 설치시에  보안 경고 창이 활성화 되고 여기에서 사용자를 속일 수 있는 Microsoft Flash 8.0 이라는 프로그램명으로 설치가 되도록 되어 있습니다.

해당 OCX 설치시에는 프로그램에 explorer.exe 파일이 시스템 디렉토리에 설치 되며

특정 온라인 게임 이용시에 사용자 정보를 획득 하도록 되어 있습니다.

 

지난 주 까지는 몇 달 동안 계속 되어온 05-001 패치 넘버와 관련된 .chm 파일 실행시의 임의의 명령실행이 되는 버그를 이용하여 정보 유출 시도를 끊임 없이 했는데 패치가 설정된 개인 PC가 증가함에 따라 .chm 파일의 실행 버그를 통한 정보 유출이 계속 줄어 들게 되고 따라서 공격하는 크래커 그룹들이 다른 유형으로 변형을 한 것으로 보입니다.

앞으로도 이와 같은 시도가 많이 발생할 것으로 보이고 해당 내용은 타 바이러스 및 백도어 유포시에도 동일하게 사용이 될 수 있으므로 주의가 필요합니다.

 

특정 사이트를 방문하였을때 보안 경고창이 활성화 될 경우 주의깊게 보셔야 할 것 같습니다.

공격하는 쪽의 기술 발전 속도가 빠르게 높아 지고 있어서 우려가 됩니다. 

 

 

* 해킹이나 크래킹에서의 사회공학이란 의미는 속인다는 의미와 유사하다고 보시면 됩니다.

===================================================================================

 

  

 

 

[마이데일리 = 은정 기자] 기존의 인터넷 익스플로러 취약점 유포방식과 달리 액티브 엑스(Active X) 방식을 사용하여 '플래쉬 8.0 프로그램'으로 위장, 사용자 컴퓨터에 국내 온라인 게임 사용자의 아이디와 암호 유출을 시도하는 트로이 목마가 발견돼 주의가 요망된다.

 

백신업체 ㈜지오트의 바이러스 분석실(GCERT)은 기존 인터넷 익스플로러의 보안 취약점을 악용한 방식이 더 이상 효과를 보지 못할 것으로 예측한 해커들이 새로운 유포 방식을 만들고 있다고 말했다.

 

해킹된 두 곳의 국내 사이트들을 확인한 결과 '플래쉬 8.0 프로그램'으로 위장한 보안경고창이 나오게 되며, 사용자가 동의할 경우 윈도우 폴더에 트로이목마가 설치되게 된다.

 

사용자가 해킹된 사이트에 접속했을 때 마치 정상적인 플래쉬 관련 액티브 엑스 컨트롤로 위장하여 사용자가 직접 설치하도록 유도하고 있는 것이 변경된 해킹 수법의 특징이다.

 

''버튼을 누르면 윈도우 폴더의 Downloaded Program Files 폴더에 설치가 되며 감염이 되면 윈도우 폴더에 'explore.exe(52,736 바이트)' 파일이 숨김속성으로 생성된다. 이 트로이목마는 국내 온라인 게임사용자의 아이디와 암호 등을 유출시키고자 시도하는 악성프로그램이다.

 

지오트는 긴급히 해당 사이트 보안 담당자에게 메일로 내용을 전달했으며, 한국정보보호진흥원(KISA) 인터넷침해사고대응지원센터 해킹대응팀에게도 제공한 상태이다.

 

지오트 바이러스 분석실(GCERT)문종현 실장은 “시간이 지날수록 해킹 방법이 지능적이고 기발하게 변화되고 있다”며 “잘 모르는 사이트를 방문할때나 자주 방문하는 사이트더라도 팝업창 등은 자세히 살펴보고, 백신의 실시간 감시 기능을 항상 켜놓아야 한다”고 말했다.

 

[액티브 엑스로 위장, 트로이목마 설치하는 새로운 수법이 나타났다.]

 

(박은정 기자 pej1121@mydaily.co.kr)