정상 사이트 변조 액티브엑스 방식으로 악성코드 유포 주의
상태바
정상 사이트 변조 액티브엑스 방식으로 악성코드 유포 주의
  • 이광재
  • 승인 2013.04.04 00:00
  • 댓글 0
이 기사를 공유합니다

최근 사이버 테러 등의 사회적으로 커다란 보안이슈가 발생한 가운데 기존의 익스플로잇 킷을 이용한 방식에 추가적으로 액티브엑스(ActiveX) 설치방식을 활용한 악성코드 유포가 새롭게 발견돼 사용자들의 주의가 필요하다.

알약을 서비스중인 이스트소프트는 일부 특정 사이트의 웹페이지를 변조한 후 사이트 방문자를 대상으로 어도비 플래시 플레이어로 위장한 액티브엑스를 설치하도록 유도해 악성코드를 감염시키는 시도가 발견돼 알약에 긴급 업데이트했다고 밝혔다.

수 년 전부터 공격자들은 다양한 익스플로잇 킷(Exploit-kit)을 이용해 매일 많은 웹사이트를 변조시켜 해당 웹사이트에 방문하는 것만으로도 보안패치가 이뤄지지 않은 취약한 사용자PC를 감염시키고 있다. 그런데 이번에 발견된 악성코드 유포 방법의 경우 기존에 거의 사용하지 않았던 액티브엑스 방식을 이용했고 어도비 플래시 플레이어로 위장했으며 정상적인 인증서를 도용했기 때문에 인터넷 익스플로러에서 브라우저 버전에 상관없이 설치가 되며 이를 통해 추가적인 악성코드를 다운로드해 실행까지 가능하게 만드는 특징을 가지고 있다.

사용자가 한번 '설치' 동의를 하면 이후 같은 컴포넌트를 사용 할 때는 설치 동의를 추가로 받지 않아도 실행이 가능한 액티브엑스 방식의 특성상, 공격자들이 언제든지 마음만 먹으면 새로운 악성코드를 지속적으로 배포할 수 있기 때문에 이는 잠재적으로 높은 보안위협으로 다가올 가능성이 있다. 

■ 악성코드 감염에 사용된 액티브 엑스 설치 창
정상 웹 페이지에 삽입된 악성 스크립트는 아래 그림과 같으며 특정 클래스의 인자로 URL을 넣어두면 원격 서버에서 파일을 내려받고 실행까지 가능하다. 

이러한 감염 방식은 최초 사용자의 클릭행위가 필요한 반자동화된 방법이지만 대부분의 사용자가 방문한 사이트에서 뜬 어도비 플래시 플레이어로 위장한 액티브엑스 설치창을 보고 별다른 의심 없이 무심코 설치를 클릭하기 때문에 공격자 입장에서는 어렵지 않게 사용자PC를 감염시킬 수 있다.

더구나 정상적인 디지털서명을 도용했기 때문에 인터넷 익스플로러에서는 정상적인 액티브엑스로 인식해 별도의 경고메시지도 띄우지 않는 상태다.

                                                                                                        ■ 악성코드에 이용된 액티브 엑스 설치 코드


이렇게 감염된 PC에서는 최종적으로 온라인게임 계정을 탈취를 목적으로 하는 악성코드 및 추가적인 악성코드를 다운로드하고 실행할 수 있는 악성코드에 추가로 감염이 되게 된다.

현재 알약에서는 해당 악성코드들에 대해 Trojan.Downloader.Agent.AFP, Spyware.OnlineGames.wsxp, Trojan.Dropper.Agent.27136, Trojan.Dropper.Agent.13824, Trojan.Rootkit.Agent.nff로 각각 탐지하고 있으며 추가적인 변종이 나올 것에 대비한 모니터링을 진행중이라고 밝혔다.

김준섭 이스트소프트 알약개발부문 부문장은 "사용중인 OS나 SW의 보안패치는 항상 최신버전으로 유지해야 하며 추가적으로 사용자들은 사이트에 방문했을 때 액티브엑스 설치 창이 뜨는 경우 확실한 경우가 아니라면 무조건 설치하지 말고 액티브엑스 설치 창에서 보여지는 배포 회사가 실제 액티브엑스 제조사와 일치하는 지 주의 깊게 살펴볼 필요가 있다"고 말했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.