본문 바로가기

벌새::Analysis

메타 블로그를 통한 블로그 접근시 악성코드 유포 주의 (2010.1.11)

반응형
국내 메타 블로그 올블로그(AllBlog)를 통한 블로그 접속시 특정 언론사 사이트 변조를 통한 악성코드 유포 행위가 있기에 정보를 공개합니다.


해당 메타 블로그에 접속하여 서비스에 등록된 다양한 블로그로 접속시 특정 언론 사이트에서 배포하는 gif 파일을 불러오는 과정에서 해당 파일이 변조되어 악성코드 유포로 연결되는 것으로 보입니다.

처음에는 특정 블로그로 인한 부분으로 생각하였지만, 메타 블로그를 통한 접속시에만 해당 언론 사이트 연결에 감지되므로 메타 블로그와 언론 사이트의 문제로 볼 수 있습니다.


[악성코드 유포 경로]

h**p://cafe.mun***.com/image/1/overture.gif (AVG : Script/Exploit)
 - h**p://cafe.mun***.com/image/1/nop.jpg
 - h**p://cafe.mun***.com/image/1/ml.jpg
 - h**p://cafe.mun***.com/image/1/rl.jpg
 - h**p://cafe.mun***.com/image/1/kl.jpg

예를 들어, 그림의 접근 경로와 같이 해당 메타 블로그를 통한 특정 블로그 접속시 cafe.mun***.com 서버로부터 overture.gif 그림 파일을 불러오는 동작이 발생하며, 해당 파일은 변조된 악성코드로 확인이 되었습니다.

overture.gif


해당 gif 파일의 내부를 살펴보면 추가적인 악성코드 다운로드를 위한 스크립트로 구성되어 있으며, 현재는 차단(깨진 형태)되어 실제 동작은 하지 않는 것으로 보입니다.

overture.gif 파일 진단 상황


해당 overture.gif 파일에 대한 진단의 경우 국내에서 주로 사용되지 않는 보안제품에서만 실시간 감시를 통해 진단이 되고 있는 상태입니다.

해당 악성코드의 경우 보안 취약점을 이용한 것으로 사용하시는 웹 브라우저의 보안 패치, OS 보안 패치 등 각종 보안 패치를 충실하게 한 사용자에게는 감염으로 연결되지 않으므로 안심하시기 바랍니다.

하지만 국내 언론 사이트가 주기적으로 변조되는 것을 감안한다면 메타 블로그에서도 이런 점은 주시를 할 필요가 있다고 보여집니다.

만약을 위해 해당 메타 블로그를 이용하시는 분들은 신뢰할 수 있는 보안제품을 통해 시스템 정밀 검사를 권장합니다.
반응형