본문 바로가기

벌새::Security

국내 게시판을 이용한 해외 악성코드 유포

반응형
안녕하세요.

웹 검색을 하다보면 특정 웹사이트에서 제공하는 게시판이 관리가 안되는 부분을 많이 볼 수 있습니다.

특히 각종 광고로 몸살을 앓는 게시판서 부터 시작하여 아래에 소개하는 뜻도 모를 영문으로 도배가 되는 게시판 등 모습도 다양합니다.

그럼 해외에서는 왜 국내 웹사이트 게시판을 노리는 것일까요? 광고 투자에 비해 실질적으로 금전적 이득이 없어보이는데..

가장 큰 이유는 신용카드의 발달로 사용자의 컴퓨터가 감염된 것으로 착각하게 만들거나 아예 컴퓨터를 괴롭혀서 결제를 유도할 수도 있습니다. 특히 음란 동영상을 볼 수 있다는 거짓 정보를 통해 코덱을 가장한 각종 악성코드를 설치하는 수법 등 날이 갈수록 발전하고 있습니다.

한 예를 보면서 이들의 유포 방식을 살펴보겠습니다.

사용자 삽입 이미지

어느 웹사이트의 게시판의 내용입니다.

지저분하게 링크도 제대로 구현이 안되는 등 로봇에 의해 작성된 것으로 보입니다.

해당 링크를 통해 어떤 광고의 숨은 의도가 있는지 살펴보겠습니다.

hxxp://chevyimpala.fairadd.info

- hxxp://blazervips.com/soft.php?aid=0253&d=2&product=XPA
 -> hxxp://virus-securityscanner.com/2008/2/freescan.php?aid=880253

- hxxp://wowthatisilove.com/exclusive5/id/3913044/5/black/white/0/Video/

- hxxp://virus-scanonline.com/1/?xx=1&in=2&h=1&ag=2&end=1&g=1&aid=dogma&affid=286&lid=1

- hxxp://online-xpcleaner.com/2/freescan.php?aid=880253)

* 해당 웹사이트의 접속은 컴퓨터를 감염시킬 수 있으므로 주의하시기 바랍니다.


원리는 게시판 광고의 특정 웹사이트에 접속을 하면 접속시마다 구현되는 웹페이지가 다르게 생성됩니다.

그러므로 하나의 웹페이지를 광고를 통해 이번 예와 같이 최소한 악성코드 4개를 유포할 수 있습니다.

사용자 삽입 이미지 사용자 삽입 이미지 사용자 삽입 이미지


사이트에 접속을 하면 마치 사용자 컴퓨터의 보안 상태에 문제가 있는 듯 경고 팝업창을 띄웁니다.


그리고 각 웹사이트로 이동하여 실제 사용자 컴퓨터의 시스템을 Scan 하는 모습을 보여주면 허위 진단값을 제시합니다.

사용자 삽입 이미지 사용자 삽입 이미지 사용자 삽입 이미지


이들은 악성코드로 진단된 부분에 대해 치료를 위해 자신들이 제공하는 프로그램을 다운로드 하도록 합니다.


사용자 삽입 이미지 사용자 삽입 이미지 사용자 삽입 이미지


실제 다운로드 하는 과정에서 사용자 컴퓨터에 설치되어 있는 보안제품의 실시간 감시에서 악성코드로 진단을 하는 것을 확인할 수 있습니다.


사용자 삽입 이미지 사용자 삽입 이미지


이와 같이 Rogue 프로그램을 설치하게 하여 사용자의 컴퓨터를 괴롭히고, 금전을 요구하는 경우를 살펴보았습니다.


이번에는 특정 동영상을 감상할 수 있다는 허위 정보를 통해 변조된 코덱 파일을 다운로드하게 하는 경우입니다.

사용자 삽입 이미지

위와 같이 비디오를 보기 위해 ActiveX를 설치할 것을 요구하며 코덱 파일로 위장한 파일을 다운로드 시킵니다.

사용자 삽입 이미지

이상에서 살펴본 것과 같이 이런 류의 악성코드 유포 방식은 매우 유포자에게 편의를 제공하며 상당히 효율적으로 보입니다.

또한 해당 악성코드는 현재 전세계적으로 실시간으로 보안제품을 우회하는 변종들이 쏟아져 나오고 있는 실정입니다.

황금 만능주의에 사라잡혀 금전적 이득을 위해 제작되는 악성코드는 앞으로 더더욱 발전해 나가리라 보여집니다.

국내에서도 이와 같은 방식은 아니지만 광고를 악의적으로 변조하거나 허위 보안 제품을 이용하여 수십억씩 버는 일당들이 있기에 주의하셔야 합니다.
728x90
반응형