최근 국내 유명 동영상 재생 플레이어 공식 블로그(※ 정확한 사이트 이름을 공개하지 못하는 점을 양해해 주시기 바랍니다.)에 접속할 경우 Adobe Flash Player 취약점을 이용한 악성코드 유포를 목적으로 한 악성 스크립트가 지속적으로 삽입되는 공격이 확인되고 있습니다.
해당 공격은 개인적으로 2015년 12월 19일(토요일)과 2015년 12월 21일(월요일)에 확인되었으며, 최초 확인은 바이러스 제로 시즌 2 보안 카페의 철이님이 Kaspersky 보안 제품이 해당 블로그에 접속하는 과정에서 HEUR:Exploit.SWF.Agent.gen 진단이 이루어지고 있다는 정보를 제공하면서 인지하게 되었습니다.
하지만 기술적 문제로 인하여 당시에는 바이러스 제로 시즌 2 보안 카페의 골프라이온님이 추가적인 조사를 통해 블로그 페이지가 해킹되어 악성 스크립트가 추가되어 있었음을 확인해 주었습니다.
이후 기회를 보던 중 오늘 또 다시 악성 스크립트가 노출되고 있는 부분을 확인하였으며, 해당 스크립트는 Angler Exploit Kit을 통해 반복적으로 동일 IP에서 노출되지 않도록 유포가 이루어지고 있음을 밝힙니다.
해당 블로그 페이지에서는 WordPress 또는 Apache 취약점을 이용하여 </body> 태그 상단에 악성 스크립트가 삽입된 것으로 추정되며 특징적인 부분은 id="EITest" 값을 포함하고 있다는 점입니다.
해당 유포 방식은 2014년 하반기경에 Malwarebytes 보안 업체에서 분석한 내용이 존재하므로 참고하시기 바랍니다.
오늘 확인된 유포 URL 주소는 무료 도메인(.tk / .ml)을 이용한 것으로 보이며, 러시아(Russia)에 위치한 "31.184.192.202" IP 주소로 확인되고 있습니다.
삽입된 스크립트를 확인해보면 "cenyol.ml" 사이트에 등록된 SWF 파일을 로딩하도록 구성되어 있습니다.
로딩된 SWF 파일(SHA-1 : c8f99aac5f6e3acb52e5a944ed59d512d28eb6b9 - McAfee : BehavesLike.Flash.Exploit.xg)에는 ExternalInterface 클래스를 통한 외부 코드 호출을 위한 ActionScript가 포함되어 있으며, 이를 통해 Base64 난독화 코드를 통해 다음과 같은 연결이 이루어질 수 있습니다.
참고로 해당 연결은 보안 취약점 패치가 이루어진 환경에서 확인되어 Exploit이 되지 않았음을 밝힙니다.
"cenyol.ml/categories.php" 연결 페이지에서는 ① "server.netbink.net/forums/viewforum.php" 페이지 연결 ② "server.netbink.net/forums/begin.muse" 페이지 연결이 이루어지도록 구성되어 있습니다.
"server.netbink.net/forums/viewforum.php" 페이지는 의미없는 콘텐츠가 포함된 페이지를 구성하여 실제 감염 과정에서 사용자에게 노출되지 않게 조용히 로딩될 것으로 추정됩니다.
2번째 로딩되는 "server.netbink.net/forums/begin.muse" 페이지는 Angler Exploit Kit을 통해 취약점(Exploit)이 로딩되는 페이지이며, 이를 통해 특정 악성 파일이 자동 다운로드되어 시스템을 감염시킬 수 있으리라 생각됩니다.
Malwarebytes 보안 업체의 분석에 따르면 금융 정보 탈취 목적의 Tinba가 유포된 적이 있었으며, 최근 이슈가 되는 랜섬웨어(Ransomware)도 충분히 유포 가능할 것으로 개인적으로 추정됩니다.
그러므로 유명 사이트 접속시에도 불특정한 시간대에는 악성 스크립트가 추가되어 1회에 한하여 악성코드 감염에 노출될 수 있으므로 항상 Adobe Flash Player 최신 버전을 사용하시기 바라며, 그 외에도 웹 브라우저를 비롯한 각종 응용 프로그램의 보안 패치를 최신으로 적용하시기 바랍니다.