울지않는벌새 : Security, Movie & Society

울지않는벌새 블로그 광고 배너를 통한 악성코드 유포 소식 (2014.5.19)

벌새::Analysis

광고를 게시하는 블로그의 숙명인 광고 배너를 통한 취약점(Exploit) 방식의 악성코드 유포가 울지않는벌새 블로그에서 2014년 5월 18일 오후 5시~8시까지 최소 3시간 이상 유포가 이루어진 것으로 확인되었습니다. 슬퍼2

출처 : 바이러스 제로 시즌 2 보안 카페

유포 사실은 바이러스 제로 시즌 2 보안 카페 회원님이 제 블로그에 접속하였을 당시 ESET 보안 제품에서 국내 유명 의자 쇼핑몰에 삽입된 악성 스크립트를 JS/Kryptik.AQF 진단명으로 차단하는 모습을 올리면서 확인되었습니다.

 

개인적으로는 해당 게시글을 확인하지 않은 상태에서 오후 8시경 블로그를 확인하던 중 AhnLab V3 365 Clinic 보안 제품이 ESET 보안 제품과 동일한 URL 주소를 차단하면서 인지하였으며, 즉시 문제가 되는 광고 배너를 모두 제거하여 더 이상 유포가 이루어지지 않도록 조치하였습니다.

 

그렇다면 어떻게 이번 광고 배너를 통한 악성코드 유포가 이루어졌는지 수집된 정보를 공개해 드리겠습니다.

유포에 활용된 광고 배너가 노출된 블로그에 접속할 경우 보안 패치가 이루어진 환경에서는 "Java SE Runtime Environment 7 Update 55" 추가 기능 실행 관련 노란바가 표시되는 것을 확인할 수 있으며, 이는 Oracle Java 취약점을 이용한 악성코드 유포가 이루어질 수 있음을 눈치챌 수 있습니다.

  • h**p://www.dr***search.or.kr/servlet/adbn?from=http%3A//www.blogran***.com/adWorking/tc/&u={이하 생략}

이번 유포의 핵심이 되는 광고 서버에서 받아오는 스크립트에는 특정 악성 스크립트(css.js)을 불러오는 정보가 포함되어 있습니다.

  • h**p://www.mag**guard.co.kr/product/kr/css.js

이를 통해 악성 스크립트(css.js) 파일을 읽으면 내부에 포함된 악성 iframe을 통해 취약점(Exploit)을 이용한 악성코드 다운로드가 이루어질 수 있으며, 분석 당시 최초 확인된 ①번 코드는 보안 제품의 URL 차단으로 인해 ②번 코드로 전환되는 부분을 확인할 수 있었습니다.

 

①번 코드 실행시

  • h**p://shop.***back.co.kr/shop/data/email/index.html (SHA-1 : 90665f87b131f627b266cb5348423f0068a34098) - MSE : Exploit:JS/DonxRef.A
  • h**p://shop.***back.co.kr/shop/data/email/JTMKt8.html (SHA-1 : 021c79932dbcdcbc07f53908d2f74e76fa4ed870) - MSE : Exploit:JS/DonxRef.C

②번 코드 실행시

  • h**p://www.mag**guard.co.kr/product/kr/index.html (SHA-1 : d8d6cc6b6757134c2490a017200959f9965c2f0d) - McAfee : JS/Exploit-Blacole.cw
  • h**p://www.mag**guard.co.kr/product/kr/nDSk3.jpg (SHA-1 : 3b7b5666e956f558fb367f4d8e55f6dfc88c44f1) - AhnLab V3 : Java/Exploit

위와 같은 코드 실행을 통해 Oracle Java 보안 취약점(CVE-2012-0507)에 대한 보안 패치 및 Adobe Flash Player 보안 패치가 이루어지지 않은 PC 환경에서 악성 파일을 다운로드하여 시스템 감염이 발생할 수 있습니다.

  • h**p://**bike.co.kr/shop/skin/kfc.exe (SHA-1 : d72d89ccf9bea51b8b4161d59b6ab672fa300224) - MSE : Backdoor:Win32/Zegost.AD (VT : 22/52)

다운로드된 악성 파일의 동작은 자동 분석 정보를 참고해보면 다음과 같은 기능을 수행할 것으로 판단됩니다.

 

다운로드된 파일을 "C:\Windows\F18FDEB0\svchsot.exe" 파일명으로 자가 복제하며, Windows 시작시 해당 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - F18FDEB0 = C:\Windows\F18FDEB0\svchsot.exe

또한 예약 작업 폴더("C:\Windows\Tasks\At1.job ~ C:\Windows\Tasks\At24.job" 또는 "C:\Windows\System32\Tasks\At1.job ~ C:\Windows\System32\Tasks\At24.job")에 1시간 단위로 동작하는 24개의 작업 스케줄러 값을 등록하여 실행되도록 등록합니다.

관련 예약 작업에 등록하는 유사 기법은 기존의 인터넷뱅킹 악성코드 유포 정보를 참고하시기 바랍니다.

 

이를 통해 "kfcc.bestalyac.net :3306 (211.174.53.26 :3306)" C&C 서버와 연결을 시도하여 추가적인 명령에 따라 악의적 기능을 수행할 수 있습니다.

 

해당 최종 악성 파일 유포 서버의 경우 2014년 4월 중순경부터 유포에 악용되고 있는 것으로 보이며, 2014년 5월 중순경에는 인터넷뱅킹 악성코드<SHA-1 : 73415bf45312da08ab93d47e8f853cc564a80613 - AhnLab V3 : Trojan/Win32.GhostRat (VT : 34/53)>가 등록되어 유포되고 있는 것도 확인하였습니다.

 

지금까지 울지않는벌새 블로그를 운영하면서 광고 배너를 통한 유포는 이번까지 총 4회로 파악이 되고 있습니다.

광고 배너를 게시하는 블로그 운영자 입장에서 모니터링을 꾸준하게 하고 있지만 짧은 시간이나마 유포에 악용되어 방문자에게 피해를 유발한 점에 대해 사과를 드리며, AhnLab V3, ESET, Kaspersky, MSE 이외의 보안 제품을 사용하신 분들은 반드시 정밀 검사를 통해 감염 여부를 파악하시기 바랍니다.