본문 바로가기

벌새::Analysis

티스토리(Tistory) 유입 경로를 통한 악성코드 유포 (2)

티스토리(Tistory) 블로그에서 제공하는 관리자 모드 유입 경로 확인 링크를 살펴보다보면 수상한 외부 유입 경로가 출력되는 일이 있으며, 일부 링크는 예전부터 악성코드 유포를 목적으로 유입되는 것을 확인할 수 있습니다.

당시에 확인한 사례의 경우에는 링크를 통해 접근시 손쉽게 확인이 가능하였으며, 해당 URL 정보를 주소창에 입력하여 접근하더라도 악성코드 샘플을 수집하기 쉬웠습니다.

하지만 최근에는 악성코드 유포 방식 중 특정 경로를 통하지 않는 경우 구현을 방해하는 경우가 많아지면서 이번에 확인한 배포 방식도 블로그 유입 경로에 나온 링크를 이용하지 않으면 쉽게 확인할 수 없는 것으로 보입니다.

티스토리(Tistory) 유입 경로 로그(Log)

해당 링크는 특별한 검색어를 통한 유입이 아닌 프로그램에 의한 블로그 접근으로 보입니다.

해당 URL 링크를 통해 접근한 웹 페이지는 러시아어로 구성되어 있으며 붉은색 PUSH 버튼 그림을 누르도록 구성되어 있습니다. 하지만 티스토리 경로를 통한 링크 접근이 아닌 해당 페이지 URL 주소를 입력하거나 외부에서 접근시에는 해당 버튼 그림이 존재하지 않는다고 알려져 있습니다.

PUSH 버튼을 클릭하면 404 Not Found 페이지로 이동하며 마치 외부에서는 사이트 연결이 되지 않는 것처럼 구성되어 있지만, 실제로는 다음과 같은 악성코드 다운로드 행위를 진행하고 있습니다.

[악성코드 유입 경로]

h**p://gold****.cn/vs/index.php (Kaspersky : Exploit.JS.Agent.aus )
 - h**p://gold****.cn/vs/exe.php <load.exe> (AhnLab : Win32/XDecrypt)
 - h**p://gold****.cn/vs/spl/pdf.pdf (Kaspersky : Exploit.JS.Pdfka.aql)
  -> h**p://syn***.cn/imgs/exe.php ; 차단 상태

해당 페이지로 접근하는 인터넷 사용자 컴퓨터 환경이 Adobe Reader, Microsoft OWC(Office Web Components) 보안 취약점을 가지고 있는 경우 자동으로 감염을 유발할 것으로 보입니다.

1. load.exe (MD5 : 7abaca13500eabf81d99dbc2b72e775e)


해당 악성코드는 Microsoft OWC(Office Web Components) 취약점을 가진 컴퓨터에 load.exe 파일을 다운로드하여 실행하며 현재 MS09-043 보안 패치가 공개된 상태입니다.

감염된 컴퓨터는 외부 서버와 연결하여 추가적인 악성코드 설치 행위가 발생할 수 있으므로 보안 패치를 적용하지 않으신 분들은 반드시 패치를 하시는 것이 근본적인 해결 방법입니다.

2. pdf.pdf (MD5 : 43c74582c81d9c8b25658c947e7cfdd8)

해당 PDF 파일은 Adobe Reader 취약점을 가진 인터넷 사용자 컴퓨터를 감염시키며, 추가적인 악성코드 다운로드 행위를 하지만 현재는 차단된 것으로 보입니다.

Adobe Reader 제품의 다양한 보안 취약점은 수시로 공개가 되므로 정기적으로 제품 업데이트를 확인하여 최신 버전을 이용하시기 바랍니다.


이처럼 최근의 경우 악성코드 배포 사이트를 알아도 보안업체에 링크 신고를 통해서는 샘플 확보가 어려운 측면이 있으며, 다양한 제로데이(0-Day) 보안 취약점을 이용한 감염 방식과 블로그 유입 경로를 통한 배포 방식이 존재할 수 있으므로 신뢰할 수 없는 웹 사이트 방문시에는 매우 주의하시기 바랍니다.