세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
설득력 높은 가짜 플래시 업데이트 공격 발견!
  |  입력 : 2018-10-15 12:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
진짜처럼 보이는 팝업 창과, 실제 업데이트 설치
하지만 암호화폐 채굴 코드 등 PUA 숨어 있어


[보안뉴스 문가용 기자] 꽤나 속기 쉬운 플래시 업데이트 사기 기법이 발견됐다. 공식 어도비 인스톨러에서 나오는 것과 똑같은 팝업 창을 사용할 뿐만 아니라 실제로 최근 플래시 버전을 설치해주기도 한다. 다만 여기에 PUA(잠재적 비요구 애플리케이션)를 하나 슬쩍 추가하는 게 문제다.

[이미지 = iclickart]


보안 업체 팔로알토 네트웍스(Palo Alto Networks)의 분석가인 브래드 던칸(Brad Duncan)은 “이렇게까지 진짜처럼 보이는 플래시 인스톨러는 개인적으로 처음 본다”고 설명한다. 던칸은 10월 11일자 블로그 포스트를 통해 이 공격에 대해 세부적으로 밝혔다. “결과적으로 이 공격을 실시하는 자들이 원하는 건 암호화폐 채굴 멀웨어를 심는 겁니다. XM리그(XMRig)가 주로 사용되는 것으로 보입니다.”

던칸은 플래시 업데이트란 것이 꽤나 자주 있고, 많은 사용자들이 이 업데이트에 친숙하기 때문에 속을 가능성이 높다고 경고한다. “사실 실제로 업데이트가 되는 것과 똑같은 일이 벌어집니다. 채굴 코드가 하나 끼어든 것만 다른데, 이게 워낙 경미한 차이라 일반 사용자들을 알아채기가 힘들 겁니다. 업데이트를 하고 나서도 이 채굴 코드는 배경에서 조용히 돌아가고요.”

그렇다고 힌트가 아예 없는 건 아니다. 이 가짜 인스톨러 파일의 출처는 정상 어도비 사이트가 아니라 악성 웹사이트다. “하지만 공격자들이 어떤 식으로 사용자들에게 이 가짜 인스톨러를 전달하는지는 잘 모르겠습니다. 사용자들이 이 위험한 URL로 접속하게 하는 방법이 있을 것 같아 조사 중에 있습니다.”

팔로알토는 이를 계속해서 추적하다가 어떤 웹 서버들에 도달할 수 있었다. 물론 어도비 시스템즈와는 전혀 상관이 없는 서버들이었다. 이 서버들에는 총 113개의 윈도우 실행파일이 있었는데, 전부 SM리그(SMRig)를 설치하도록 설계되어 있었다. 역시 PUA의 일종이다. “이 실행파일 중 가장 오래된 건 올해 3월에 등록된 것으로 되어 있습니다. 하지만 이 공격자들이 어도비로 위장하기 시작한 건 8월 즈음인 것으로 보입니다.”

던칸은 이 공격을 조사하기 위해 자신의 윈도우 컴퓨터를 실험적으로 감염시켰다고 한다. “그랬더니 제 시스템으로부터 HTTP POST 요청이 어떤 도메인으로 전송되더군요. 해당 도메인은 악성 업데이트 및 인스톨러를 호스팅하고 있는 것으로 이미 알려진 것이었고요.”

즉, 암호화폐 채굴 코드만이 아니라 다른 PUA도 설치하는 것이 이 공격자들의 목표라고 여겨진다고 그는 블로그를 통해 설명한다. “다행히 웹 필터링을 제대로 적용하고, 직원들에 대한 보안 교육을 실시하면 어느 정도 위험에서 벗어날 수 있는 정도의 공격입니다. 기술적으로 뛰어난 공격이라기보다 전략적으로 교묘한 공격이기 때문입니다.”

3줄 요약
1. 가짜 플래시 업데이트 설치파일 돌아다니고 있음.
2. 실제로 진짜 최근 버전 플래시를 설치해줌. 다만 암호화폐 채굴 코드 등을 같이 설치해서 문제.
3. 웹 필터링과 사용자 교육 통해 조직적인 방어 가능함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)