광고 배너 통해 배포되는 스테가노 익스플로잇 주의하라
상태바
광고 배너 통해 배포되는 스테가노 익스플로잇 주의하라
  • 이광재 기자
  • 승인 2016.12.08 10:21
  • 댓글 0
이 기사를 공유합니다

이셋코리아가 매일 수많은 사람들이 방문하는 평판 좋은 웹 사이트에 악의적인 광고를 통해 악성코드를 전파할 수 있는 새로운 스테가노(Stegano) 익스플로잇 킷이 발견됨에 따라 주의를 요한다고 전했다.

ESET 연구진에 따르면 적어도 2016 년 10월 초부터 인터넷 익스플로러 사용자를 대상으로 한 어도비 플래시 플레이어의 취약점을 이용한 공격이 감지됐으며 다양한 유형의 악성코드를 다운로드하고 실행하려는 시도가 있었다고 전했다. 이 공격은 악성코드가 광고 배너를 통해 배포되기 때문에 맬버타이징(malvertising)의 범주에 속하는데 공격자는 은닉성을 확보하기 위한 다양한 기술을 사용했기 때문에 정확한 분석을 위해서는 광범위한 자료를 필요로 한다.

피해자의 컴퓨터에 악성코드를 원격 설치하기 위해 광고 배너를 이용하는데 게시된 악성의 광고 배너를 클릭할 필요없이 해당 웹 사이트를 방문하는 것만으로도 악성코드가 설치되며 취약한 버전의 플래시 플레이어를 이용한다. 이후부터 공격자는 자신이 선택한 악성코드를 다운로드하고 실행하는데 필요한 모든 조건을 갖추게 되며 ESET 이 분석한 페이로드에 따르면 금융 정보 유출을 위한 트로이 목마, 백도어와 스파이웨어 등이 다운로드되며 추후 랜섬웨어 감염 등으로 이어질 수도 있다.

따라서 사용중인 소프트웨어를 최신 버전으로 패치함과 동시에 신뢰할 수 있는 보안 솔루션을 사용하는 것이 얼마나 중요한지를 다시 한 번 보여준다.

스테가노란 명칭은 스테가노그래피에서 파생된 말인데, 공격자가 광고 배너의 픽셀에 악성코드의 일부를 숨기는 기법이며 배너 이미지의 각 픽셀 투명도를 제어하는 매개 변수에 코드를 숨긴다. 이렇게 처리된 이미지는 색깔이나 명암이 약간 변경되기 때문에 육안으로 구분이 어려우며 피해자는 악성코드 여부를 눈치채지 못한다.

이러한 은닉 기술을 이용하여 공격자는 광고 플랫폼에서 악성 콘텐츠를 발견하고 차단하도록 설계된 여러가지 대응책을 우회할 수 있었으며 합법적인 웹 사이트를 통해 수백만명의 잠재적인 피해자를 만들어 낼 수 있었다. 또 스테가노 익스플로잇 킷은 샌드박스에서의 실행 여부를 감지해 방어 목적의 가상 머신 시스템을 우회할 수 있으며 보안 소프트웨어의 실행 여부를 확인함으로써 은닉성을 배가시킨다.

김남욱 이셋코리아 대표는 “이셋 라이브그리드(ESET LiveGrid)에 참여하는 사용자의 통계에 따르면 최근 2개월 동안 전세계적으로 인기 있는 여러 웹 사이트를 통해 매일 수백만의 사용자가 스테가노 익스플로잇 킷을 이용한 악성 광고에 노출됐으며 이 중 다수가 악성코드에 감염된 것으로 추정된다. 특히 가상머신에서의 실행과 보안 솔루션 실행 여부를 감지하기 때문에 익스플로잇의 실체를 알아내기가 어려우며 샌드박스 기반의 악성코드 탐지 솔루션의 우회가 어렵지 않다는 것을 보여주고 있다”면서 “보안에는 지름길이 없다. 운영체제와 소프트웨어의 최신 패치를 적용하는 등 기본적인 보안 수칙을 준수하면서 신뢰할 수 있는 엔드포인트 보안 솔루션을 사용하는 것이 매우 중요하다”고 강조했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.