포스팅 내용

악성코드 분석 리포트

단 하나의 이미지로 수 백만대 PC를 해킹하는 법 – 레시피: 픽셀, 광고 및 익스플로잇 키트

단 하나의 이미지로 수 백만대 PC를 해킹하는 법 – 레시피: 픽셀, 광고 및 익스플로잇 키트

Hacking Millions with Just an Image — Recipe: Pixels, Ads & Exploit Kit


이미지 출처 : http://thehackernews.com/2016/12/image-exploit-hacking.html


만약 최근 2달 내 인기있는 주요 웹사이트들을 방문했다면, 당신의 컴퓨터는 감염되었을 수도 있습니다. 보안연구원들이 발견한 새로운 익스플로잇 키트 때문입니다.


지난 화요일, ESET의 연구원들이 보고서를 발표했습니다. 그들은 현재 인기있는 몇몇 뉴스 웹사이트에서 롤링 배너 광고의 픽셀에 악성코드를 숨기는 Stegano 익스플로잇 키트를 발견했다고 밝혔습니다. Stegano는 지난 2014년 발견되었습니다. 사이버 범죄자들은 올해 10월 초부터  방문자가 수 백만에 달하는 평판이 좋은 뉴스 웹사이트 다수에 악성 광고를 표시하는데 이를 사용해왔습니다.


Stegano는 스테가노그래피(Steganography)라는 단어로부터 유래되었습니다. 스테가노그래피는 디지털 그래픽 이미지 내에 메시지와 컨텐츠를 숨기는 기법으로, 맨 눈으로 컨텐츠를 잡아내는 것이 불가능합니다. 이 멀버타이징 캠페인에서는 공격자들이 투명 PNG 이미지의 알파 채널에 악성코드를 숨긴 것으로 나타났습니다. 알파 채널은 픽셀 몇 개의 투명 값을 변경해 각각의 픽셀의 투명도를 나타냅니다.


이 멀버타이징 공격자들은 이후 변조된 이미지를 광고로 패킹하고, 악성 광고를 매우 인기있는 웹사이트 여러 곳에 게재하였습니다.


연구원들에 의하면, 악성 광고들은 “Browser Defense”와 “Broxu”라는 어플리케이션을 광고한 것으로 밝혀졌습니다. 또한, 이러한 방법론을 통해 광고 네트워크들이 탐지해내기 어렵도록 만들었습니다.



Stegano 공격은 어떻게 작동하는가


사용자가 악성 광고를 호스팅하는 사이트에 방문하면, 광고에 내장된 악성 스크립트가 어떠한 유저 상호작용 없이 사용자 컴퓨터에 관련된 정보를 공격자의 원격 서버로 전송합니다. 이후 해당 악성코드는 마이크로소프트 IE 브라우저의 CVE-2016-0162 취약점을 악용합니다. 또한 악성코드 분석가의 기기에서 실행 중인지 확인하기 위해 타겟 컴퓨터를 스캔하는 것으로 나타났습니다.


타겟 브라우저를 확인한 후, 악성 스크립트는 어도비 플래시 취약점 3개(CVE-2015-8651, CVE-2016-1019, CVE-2016-4117)를 위한 플래시 플레이어 익스플로잇을 호스팅하는 웹사이트로 브라우저를 이동시킵니다.


ESET의 연구원들은 “익스플로잇이 성공적일 경우, 실행된 쉘 코드는 설치된 보안 제품에 대한 정보를 수집하고, 모니터링 당하고 있는 것은 아닌지 확인하기 위해 또 한번 확인한다.”며, “결과가 좋을 경우, 이는 동일한 서버에서 암호화된 페이로드를 다운로드하려고 시도한다. 이는 gif 이미지로 위장했다.”고 밝혔습니다.


피해 컴퓨터가 다운로드되면 암호화된 페이로드가 복호화한 후, 마이크로소프트 윈도우의 regsvr32.exe 또는 rundll32.exe를 통해 실행됩니다.



사이트에 방문하면, 2-3초 안에 해킹될 수 있다


아래는 Stegano 익스플로잇 공격 동작을 보여주는 ESET의 인포그래픽입니다.

 

이미지 출처 : 

http://www.welivesecurity.com/2016/12/06/readers-popular-websites-targeted-stealthy-stegano-exploit-kit-hiding-pixels-malicious-ads/


모두 어떠한 유저 상호작용 없이 자동으로 실행되며, 이것이 실행되는 데에는 2~3초밖에 걸리지 않습니다.


지금까지 Stegano 익스플로잇 키트는 다양한 트로이목마 다운로더, Ursnif, Ramnit 뱅킹 트로이목마, 백도어, 스파이웨어, 파일 스틸러를 푸시했습니다.


Stegano 익스플로잇 키트는 네덜란드 사용자들을 타겟으로 2014년 처음 사용되었습니다. 2015년에는 체코의 사용자들을 노리기 위해 사용된 것으로 밝혀졌습니다. 가장 최근의 공격은 캐나다, 영국, 호주, 스페인, 이탈리아의 사용자들을 타겟으로 하고 있습니다.


관련하여 모든 멀버타이징 위협으로부터 자신의 기기를 보호하기 위해서는, 항상 최신 버전의 소프트웨어와 앱을 사용하는 것이 최선입니다. 또한 이러한 위협이 시스템을 감염시키기 전에, 높은 탐지력으로 이를 감지해낼 수 있는 안티바이러스 소프트웨어를 사용하는 것을 당부 드립니다.







출처 :

http://thehackernews.com/2016/12/image-exploit-hacking.html

http://www.welivesecurity.com/2016/12/06/readers-popular-websites-targeted-stealthy-stegano-exploit-kit-hiding-pixels-malicious-ads/



  1. 모범택시 2016.12.14 08:39  수정/삭제  댓글쓰기

    이 공격에 감염되면 알약으로 탐지가 되나요?

    • 알약(Alyac) 2016.12.14 13:55 신고  수정/삭제

      안녕하세요 알약입니다. 해당 포스팅은 악성코드에 대한 정보가 아니라 악성코드를 유포할 때 사용되는 '익스플로잇 킷'에 대한 내용을 포함하고 있습니다. ^^ 익스플로잇 킷을 활용하여 유포되는 악성코드의 종류는 매번 다르기 때문에 저희 쪽에서 탐지여부를 말씀드리기 어려운 점 양해부탁드립니다. 해당 공격에 대응하기 위해 알약DB를 항상 최신으로 유지하시고, 자주 사용하는 어도비 플래시 플레이어를 최신버전으로 업데이트(참고 : http://blog.alyac.co.kr/311)할 것을 당부 드립니다. 감사합니다.

티스토리 방명록 작성
name password homepage