최근 사이버 테러가 기승을 부리고 있다. 이런 가운데 종전 익스플로잇 킷(Exploit-kit)을 이용한 방식에 추가로 액티브X 설치방식을 활용한 악성코드 유포가 발견됐다. 이에 따라 이스트소프트는 알약 긴급 업데이트를 시행했다.

 

공격자들은 수년 전부터 다양한 익스플로잇 킷을 이용, 웹사이트를 변조해 해당 웹사이트에 방문하는 사용자 PC를 감염시켜왔다. 그렇지만 이번 발견된 악성코드 유포 방법은 종전에 거의 사용하지 않았던 액티브X 방식을 이용해 어도비 플레시 플레이어로 위장한 것이 특징이다.

 

정삭적인 인증서를 도용했기 때문에 인터넷 익스플로러에서 브라우저 버전에 상관없이 설치가 된다. 이렇게 되면 추가적인 악성코드가 다운로드 되고 실행까지 가능하게 만들어 버린다.

 

액티브X는 사용자가 한 번 ‘설치’에 동의하면 이후 같은 컴포넌트를 사용할 때 설치 동의를 추가로 받지 않아도 실행이 가능하다. 때문에 공격자들이 마음만 먹으면 새로운 악성코드를 지속적으로 배포할 수 있다.

 

▲ 어도비 플레시 플레이어 설치 유도 창

 

▲ 악성코드 감염에 사용된 액티브X 설치 창
 

정상 웹 페이지에 삽입된 악성 스크립트는 아래 그림과 같으며 특정 클래스의 인자로 url을 넣어두면 원격 서버에서 파일을 내려 받고 실행까지 가능하다. 

▲ 악성코드에 이용된 액티브X 설치 코드
 

이런 감염 방식은 최초 사용자의 클릭행위가 필요한 반자동화 방법이다. 그렇지만 대부분의 사용자는 방문한 사이트에 어도비 플래시 플레이어로 위장한 액티브X 설치 창을 보고 별다른 의심을 하지 않고 무심코 ‘설치’를 클릭하기 쉽다. 공격자의 입장에서는 쉽게 사용자 PC를 감염시킬 수 있다는 이야기다. 또한, 정상적인 디지털 서명을 도용했기 때문에 인터넷 익스플로러에서는 정상적인 액티브X로 인식해 별도의 경고메시지도 띄우지 않고 있다.

 

이러한 방식으로 감염된 PC는 온라인 게임 계정 탈취를 목적으로 하는 악성코드 및 추가적인 악성코드를 내려 받고 실행할 수 있는 악성코드에 추가로 감염된다.  현재 알약에서는 해당 악성코드들에 대해 Trojan.Downloader.Agent.AFP, Spyware.OnlineGames.wsxp, Trojan.Dropper.Agent.27136, Trojan.Dropper.Agent.13824, Trojan.Rootkit.Agent.nff로 탐지하고 있다. 추가적인 변종이 나올 것에 대비한 모니터링도 진행 중이다.
 
이스트소프트 알약개발부문 김준섭 부문장은 “사용중인 운영체제나 소프트웨어의 보안패치는 항상 최신버전으로 유지해야 한다. 추가적으로 사용자들은 사이트에 방문했을 때, 액티브X 설치 창이 뜨는 경우 확실한 경우가 아니라면 무조건 설치하지 말고, 액티브X 설치 창에서 보이는 배포 회사가 실제 액티브X 제조사와 일치하는지 주의 깊게 살펴봐야 한다.”고 말했다.

베타뉴스 강태영 (kangty@betanews.net)
Copyrights ⓒ BetaNews.net

• • 목록
  • 위로