세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사
포털 인터넷 뉴스 ‘아웃링크’ 방식 통해 랜섬웨어 유포됐다
  |  입력 : 2019-02-20 09:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
침해된 웹사이트에 악성 스크립트 심어놔 이용자가 기사보기 클릭하면 자동으로 감염
안랩 ASEC, 플래시 플레이어 및 OS 보안 업데이트 최신으로 유지 강조


[보안뉴스 원병철 기자] 최근 국내 인터넷 뉴스 사이트를 통해 선(SEON) 랜섬웨어 및 사용자 정보유출 악성코드 공격이 진행되고 있어 이용자들의 주의가 요구되고 있다. 안랩 ASEC는 포털 사이트의 뉴스 서비스를 통해 선 랜섬웨어 등 악성코드가 유포되고 있다고 밝혔다.

[이미지=iclickart]


우리가 흔히 사용하는 포털 사이트(Portal Site)의 뉴스서비스는 다양한 매체의 뉴스를 한 번에 보거나 검색할 수 있어 많은 사람들이 애용하고 있다. 포털 사이트는 사용자가 인터넷상에서 다른 서비스를 이용하기 위해 사용하는 사이트로, 검색과 이메일, 뉴스 등의 다양한 서비스를 제공하기 때문에 인터넷의 관문처럼 여겨진다.

그런데 최근 인터넷 사용자가 포털 사이트(네이버, 다음, 네이트 등)의 뉴스 서비스를 이용하다 아웃링크(Outlink)를 클릭할 경우 랜섬웨어에 감염되는 공격이 발견됐다. 아웃링크(Outlink)는 포털 사이트나 검색 엔진에서 검색한 정보를 클릭하면 해당 정보를 제공한 원본 사이트로 연결해 결과를 보여주는 방식이다.

▲각 포털 사이트의 아웃링크 예시[이미지=ASEC]


보통 자극적으로 만들어진 뉴스의 아웃링크를 클릭하면 인터넷 뉴스 사이트에 연결된다. 이러한 인터넷 뉴스 사이트 중 침해된 웹페이지로 연결할 경우 페이지에 삽입된 악성 스크립트가 실행되어 URL주소 ‘http://ednplus[.]space/theme.html’에 연결된다.

▲정상 페이지 내 삽입된 악성 스크립트[이미지=ASEC]


theme.html에 랜덤한 키를 생성해 암호화 하여 파라미터를 통해 전달할 경우 그린플래시 선다운 익스플로잇 킷(Greenflash Sundown EK)의 랜딩 페이지로 연결된다.

▲악성 스크립트(theme.html)[이미지=ASEC]


RC4, BASE64로 인코딩 된 랜딩 페이지를 풀면 IE 버전과 Flash Player 버전을 체크해 환경이 일치할 경우 악성 플래시 파일을 실행한다.

▲랜딩 페이지(인코딩)[이미지=ASEC]


▲랜딩 페이지(디코딩)[이미지=ASEC]


그린 플래시 선다운 익스플로잇 킷은 탐지 우회를 위해 실행되는 플래시 파일은 총 3단계로 구성되어 있고 RC4, BAS64를 이용해 암호화와 복호화를 반복한다. 최종적으로 Powershell 스크립트를 이용하여 랜섬웨어와 PONY 악성코드를 다운로드 받는다.

▲그린 플래시 선다운 익스플로잇 킷(플래시 파일 중 일부)[이미지=ASEC]


▲선(SEON) 랜섬웨어와 PONY 악성코드 다운받는 파워쉘 스크립트[이미지=ASEC]


안랩 ASEC는 해당 방식은 주로 국내를 공격 대상으로 삼고 있으며, 사용자 모르게 웹사이트 접속만으로도 랜섬웨어에 감염될 수 있다고 각별한 주의를 당부했다. 아울러 취약점을 예방하기 위해서는 플래시 플레이어 버전을 항상 최신으로 업데이트(CVE-2018-4878) 해야 하며, OS 보안 업데이트 및 Anti-Virus 제품 최신 업데이트를 통해 감염을 예방해야 한다고 조언했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)