728x90
반응형
티스토리(Tistory) 블로그에서 제공하는 관리자 모드 유입 경로 확인 링크를 살펴보다보면 수상한 외부 유입 경로가 출력되는 일이 있으며, 일부 링크는 예전부터 악성코드 유포를 목적으로 유입되는 것을 확인할 수 있습니다.
당시에 확인한 사례의 경우에는 링크를 통해 접근시 손쉽게 확인이 가능하였으며, 해당 URL 정보를 주소창에 입력하여 접근하더라도 악성코드 샘플을 수집하기 쉬웠습니다.
하지만 최근에는 악성코드 유포 방식 중 특정 경로를 통하지 않는 경우 구현을 방해하는 경우가 많아지면서 이번에 확인한 배포 방식도 블로그 유입 경로에 나온 링크를 이용하지 않으면 쉽게 확인할 수 없는 것으로 보입니다.
티스토리(Tistory) 유입 경로 로그(Log)
[악성코드 유입 경로]
h**p://gold****.cn/vs/index.php (Kaspersky : Exploit.JS.Agent.aus )
- h**p://gold****.cn/vs/exe.php <load.exe> (AhnLab : Win32/XDecrypt)
- h**p://gold****.cn/vs/spl/pdf.pdf (Kaspersky : Exploit.JS.Pdfka.aql)
-> h**p://syn***.cn/imgs/exe.php ; 차단 상태
h**p://gold****.cn/vs/index.php (Kaspersky : Exploit.JS.Agent.aus )
- h**p://gold****.cn/vs/exe.php <load.exe> (AhnLab : Win32/XDecrypt)
- h**p://gold****.cn/vs/spl/pdf.pdf (Kaspersky : Exploit.JS.Pdfka.aql)
-> h**p://syn***.cn/imgs/exe.php ; 차단 상태
해당 페이지로 접근하는 인터넷 사용자 컴퓨터 환경이 Adobe Reader, Microsoft OWC(Office Web Components) 보안 취약점을 가지고 있는 경우 자동으로 감염을 유발할 것으로 보입니다.
1. load.exe (MD5 : 7abaca13500eabf81d99dbc2b72e775e)
감염된 컴퓨터는 외부 서버와 연결하여 추가적인 악성코드 설치 행위가 발생할 수 있으므로 보안 패치를 적용하지 않으신 분들은 반드시 패치를 하시는 것이 근본적인 해결 방법입니다.
2. pdf.pdf (MD5 : 43c74582c81d9c8b25658c947e7cfdd8)
Adobe Reader 제품의 다양한 보안 취약점은 수시로 공개가 되므로 정기적으로 제품 업데이트를 확인하여 최신 버전을 이용하시기 바랍니다.
이처럼 최근의 경우 악성코드 배포 사이트를 알아도 보안업체에 링크 신고를 통해서는 샘플 확보가 어려운 측면이 있으며, 다양한 제로데이(0-Day) 보안 취약점을 이용한 감염 방식과 블로그 유입 경로를 통한 배포 방식이 존재할 수 있으므로 신뢰할 수 없는 웹 사이트 방문시에는 매우 주의하시기 바랍니다.
728x90
반응형