해외에서 제작된 범죄 도구 중 블랙홀(Blackhole Exploit Kit)을 이용한 유포 방식은 분석가 입장에서는 1회 감염 테스트가 이루어진 후 동일 PC에서 재감염이 이루어지지 않도록 하는 기법으로 인하여 어려움이 발생하고 있습니다.
일반적으로 블랙홀(Blackhole) 감염 테스트를 위해 취약한 PC 환경을 구축한 가상 환경에서 유포 웹 사이트 접속 후 정상적인 감염을 확인한 이후에 가상 이미지를 리버트(Revert)하여 재감염 테스트를 진행하면 위와 같이 초기 악성 스크립트를 통해 특정 악성 웹 사이트로 이동은 하지만 재감염이 이루어지지 않는 것을 확인할 수 있습니다.
이런 문제를 가장 쉽게 해결하기 위하여 VPN으로 유명한 Hotspot Shield 프로그램을 이용하여 블랙홀(Blackhole) 기법을 이용한 악성 웹 사이트 접속시 재감염이 이루어지는 방법에 대해 살펴보도록 하겠습니다.
참고로 Hotspot Shield 제품은 Hotspot Shield Free(무료)와 Hotspot Shield Elite(유료) 버전이 있으며 무료 버전을 이용한 방법을 소개해 드리겠습니다.
제품 설치시에는 모든 웹 브라우저를 종료한 상태에서 설치를 진행하시기 바라며, 반드시 "Install Hotspot Shield toolbar on Internet Explorer® and Firefox® browsers" 체크 박스를 해제하시고 설치를 진행하시기 바랍니다.
설치가 완료된 후에는 자동으로 보안 연결(Secure Connection)이 이루어지므로 그대로 기다리시기 바랍니다.
연결과 함께 Hotspot Shield 프로그램의 환경 설정 단계가 나오며, "Manual - do not warn; only restore dropped connections" 항목을 선택하시고 "Continue" 버튼을 클릭하시기 바랍니다.
참고로 VPN 프로그램을 항상 ON 상태로 유지하고 인터넷을 이용할 경우에는 네트워크 속도 자체가 느려지므로 분석과 같은 필요시에만 켜시고 이용하시는 것이 좋습니다.
모든 설정이 완료된 후에는 그림과 같은 모습을 통해 정상적으로 Hotspot Shield 프로그램을 통한 VPN 암호화 보안 연결이 이루어졌음을 표시하며, 현재 연결된 PC의 IP 정보는 "Test protection"을 클릭하시면 다음과 같이 보실 수 있습니다.
특히 Hotspot Shield 프로그램은 사용자가 VPN 연결을 ON/OFF 할 때마다 변경된 IP 값으로 연결이 이루어지고 있으며, 이 부분이 블랙홀(Blackhole) 재감염 차단을 우회할 수 있는 손쉬운 방법입니다.
단, VPN 보안 연결이 이루어진 상태에서는 패킷 모니터링에 제한이 있으므로 그 부분은 다른 방식으로 모니터링을 하시기 바랍니다.
Hotspot Shield 프로그램의 보안 연결은 시스템 트레이 알림 아이콘에 등록된 메뉴를 통해 빠르게 ON/OFF 하여 IP 변경을 시도할 수 있습니다.
또한 웹 브라우저 상에서도 Hotspot Shield 연결 여부가 알림 아이콘을 통해 표시되므로 참고하시기 바랍니다.
위와 같은 Hotspot Shield 프로그램을 이용한 VPN 보안 연결이 이루어진 상태에서 1회 블랙홀(Blackhole) 감염 테스트가 이루어진 PC 환경에서 재감염을 시켜보도록 하겠습니다.(※ 최초 감염 테스트는 VPN 연결을 하지 않은 상태에서 감염 테스트를 진행하였으며, 그 후 가상 이미지를 이전 상태로 리버트(Revert)하여 재감염 테스트를 진행하였습니다.)
재감염 테스트에서는 정상적으로 Adobe Reader, Oracle Java 보안 취약점을 통해 감염이 이루어지는 동작을 확인할 수 있습니다.
또한 재감염을 통해 정상적으로 악성 파일(KB01093879.exe) 파일 생성 및 시작 프로그램에 레지스트리 등록이 이루어졌습니다.
그 외에도 이미 감염된 PC 환경에서도 인터넷 임시 파일 제거와 Hotspot Shield 프로그램을 이용한 재연결(ON/OFF)을 통한 IP 변경 후에는 악성 웹 사이트 접속시 재감염이 이루어지는 동작도 확인하였습니다.
이처럼 블랙홀(Blackhole)과 같이 분석 방해를 목적으로 감염시 IP 체크 등과 같은 동작을 통해 재감염이 이루어지지 않도록 방해를 할 경우에는 가장 빠른 방법으로 Hotspot Shield 프로그램을 이용하여 네트워크 전체의 IP를 변경하여 재감염 테스트를 할 수 있으므로 참고하시기 바랍니다.