관리 메뉴

PC Geek's

악성코드: 드라이브-바이 다운로드(Drive-By Download) 공격/ 멀버타이징(Malvertising) 과 Exploit-Kit - AEP코리아네트 본문

컴퓨터 고장,보안,백신/컴퓨터 바이러스,악성코드,랜섬웨어

악성코드: 드라이브-바이 다운로드(Drive-By Download) 공격/ 멀버타이징(Malvertising) 과 Exploit-Kit - AEP코리아네트

몇 가지 검색한 웹페이지 내용 읽어가면서 정리하며 덧붙인 것.


Drive-by download(드라이브 바이 다운로드) 공격 - AEP코리아네트 2018.4.23

http://blog.naver.com/aepkoreanet/221259502447


1) 악성프로그램을 아닌 척 속여서 다운받아 설치하도록 하는 전통적인 방식과, 2) 공급망공격: 이용자가 신뢰하는 서버를 해킹해 그것의 서비스 경로를 통해 이용자 단말기에 악성코드를 설치하는 행위는 드라이브-바이 다운로드 공격으로 분류하지 않음.

  • “웹브라우저(또는 추가로 설치된 Plugin기능)가 가지고 있는 보안취약점을 활용하는 기법”
  • 가짜 웹사이트를 공격자가 직접 만들어 방문유도. 특정인을 찍어 집요하게 공략하는 스피어피싱은 포함하기도 하고 하지 않기도 함. URL오타를 악용하는 가짜 웹사이트 준비. DNS캐쉬 포이즈닝 공격 등.
  • 광고사업자를 속여 웹브라우저 보안취약점을 악용하는 해킹코드를 심은 광고를 제공하도록 하거나, 광고사업자 서버를 해킹해 악성코드를 심은 광고를 방문자에게 전송함.
  • 코드 자체는 그 자체가 일을 저지르는 것이거나, 다른 짓을 준비하는 에이전트거나.

웹브라우저가 광고나 웹페이지에 심은 악성코드를 전송하는 사이트에 접속해 웹페이지를 렌더링해 보여주더라도, 그 자체로 결딴나는 건 아니고, 해당 악성코드가 노리는 보안허점이 웹브라우저나 브라우저에 설치된 플러그인에 존재할 경우에 발동. 제로데이 어택이면 눈뜨고 당하는 것이고, 그렇지 않은 경우는 웹브라우저라면 업데이트를 안 한 경우고 플러그인이라면 업뎃하지 않았거나 제작자가 방치한 경우 발동한다. 특히 출시된 지 오래된 무료 플러그인이라면(그리고 그러면서 여러 가지로 제휴된 것일 땐) 약점이 있는 채로 방치됐을 가능성이 있다.


요즘 백신프로그램은 웹브라우저도 체크한다. 한편 해커도 난독화기술을 사용해 걸리지 않으려고 애쓴다. 



웹페이지에 렌더링된 악성코드가 브라우저 보안허점을 찾는 방식은, 약점이 패치되지 않은 버전의 브라우저나 플러그인에만 존재하거나 그 버전에 특이한 리턴값을 주는 API를 호출해보고 확인하거나, 아예 허점 중 시스템 명령을 실행가능한지 체크. 그게 되면 대박.. ;;


옛날에는 해킹/크래킹은 고급 실력자의 전유물이었지만 요즘은 익스플로잇-킷(exploit kit)이라는 툴셋 프로그램을 암암리에 구해 자기만의 악성코드를 만들어 전파하는 경우도 흔함. 랜섬웨어도 뭐가 하나 큰 피해를 주면 얼마 후 다양한 변종이 나오는 이유 중 하나. 심지어 제로데이공격으로 플래시취약점을 공격하면 그냥.. 이라고.



일반인의 대응

1) 웹브라우저 업데이트는 자동으로 두고 꼬박꼬박 하기. (웹브라우저나 플러그인에 따라 컴퓨터 재시작할 때만 알림뜨기도 하니, 대기모드로 두고 재부팅하지 않고 쓰는 사람들은 주의)

=> 문제는 이거.. 스마트폰 기본 웹브라우저는 어떨지 걱정되는 부분. 안드로이드폰 제조사 업뎃은 보통 2년 정도인 것 같던데. 그냥 플레이스토어에서 크롬이나 파이어폭스를 깔아놓고 업뎃해야 맞을까.

2) 웹서핑만 하고 프로그램을 거의 안 까는 단말이라도 백신소프트웨어는 반드시 사용해야 함.

3) 메일에 들어있는 링크 믿을 수 있는 상대가 아니면 클릭하지 않기. 요즘은 일상적이라서.. 상식이 된 주의사항. 드라이브바이 다운로드 공격은 파일 저장이 아니라 웹페이지를 여는 데서 이미 공격이 시작된 것이므로.

4) DNSSEC이야기.. 인데, 컴맹 관점에서는 할 게 없어보인다. 그 대응하고는 거리가 있지만 네이버, 구글같은 검색엔진에 쳐서 믿을 수 있는 목록으로 뜨는 사이트를 들어가거나, 공짜라면 양잿물이라도 먹을 것 같은 짓은 하지 마라 정도? 나 역시 URL오타치는 걸 걱정해서 보안플러그인이 깔리는 사이트는 URL을 직접 안 치고 즐겨찾기도 참고용으로만 만들어둔다.

5) “Script 실행 방지 기능”이라는 기능이 크롬, 파이어폭스 등에 제공된다고 함. 위 글에서는 Not-Scripts라는 이름이라는데, 이것도 혹시 가짜가 있을 지 모르니 주의. 일단 저것은 사이트별 적용여부를 정할 수 있으면서 자바스크립트, 자바, 플래시, 실버라이트의 스크립트 실행을 끌 수 있는 free open source 라고 한다. 이 글을 보며 다른 내용은 애매한 걸 더 확실하게 알았지만 이것은 처음 알게 된 내용.



멀버타이징(Malvertising) 과 Exploit-Kit - AEP코리아네트 ・ 2018. 5. 15

멀버타이징(Malvertising) = Malicious(악성) + Advertising(광고)


웹사이트의 콘텐츠 서버가 보유한 내용은 깨끗한데 그 사이트의 광고서버나 그 사이트가 계약한 광고회사의 서버(또는 광고 네트워크)에 악성코드가 있어, 웹사이트 방문자가 악성코드에 노출되도록 하는 공격방식.


익스플플로잇이란 희생자 시스템의 취약점을 찾아내 침투하는 행위. -킷(Exploit Kit)이란 그 행위를 위해 사용하는 도구(소프트웨어). 

보안프로그램이나 희생자가 된 서버들이 그걸 바로 찾아내면 재미없으므로 중간 중간에 다른 단말을 경유함.  중간단계에 있는 것을 쿠션 서버또는 섀도우 서버라 부름.


멀버타이징으로 악성코드에 감염되는 경우

1) 오염된 광고배너를 클릭하는 경우

2) 웹페이지를 렌더링하는 과정에 접속하는 다양한 웹사이트 중 하나에 심어놓은 코드가 실행되는 경우. 채굴코드라든가. 이것이 드라이브 바이 다운로드 공격.

취약점을 찾아내 프로그램을 설치하는 경우는 랜섬웨어, 스파이웨어, 키로거 등. 설치하기도 하고, 흔적을 지우는 것도 있음(파일리스).


멀버타이징하는 방식

1) 광고서버 직접 해킹

2) 합법적으로 광고서비스를 이용하되, 자신이 제공하는 광고에 코드 설계.

후자의 경우, 일정기간 광고사업자의 신뢰를 쌓은 후 코드를 변경하거나, 깨끗한 코드와 악성코드를 지능적으로 교체해 꼬리잡히지 않게 하기도. <iframe>태그가 자주 악용되는 부분.  


대응책.

일반적인 이야기는 위에 언급된 것. 그 외 애드블록사용, 잘 쓰지 않는 플러그인 제거. 다만 원리상 둘 다 원천적인 해결책은 아님.



랜섬웨어가 이용하는 멀버타이징 기법 … 도대체 어떻길래? - 안랩 2016.21.1


유형1)

① 공격자는 광고 서비스 업체에 위장 광고 의뢰

② 일부 웹 사이트를 애드웨어 배포지로 활용

    -예: 토렌트, 크랙, 음란물, 무료 게임, 무료 동영상 플레이어 다운로드 유도, 허위 플래시 플레이어 다운로드 유도 사이트 

③ 사용자 웹 사이트 접속 시 애드웨어 설치 유도

④ 애드웨어에 의한 불특정 광고 사이트 접속 

⑤ 위장된 광고 페이지 접속 시 취약한 사이트로 리다이렉트

    -이후 알려진 정상 사이트로 이동 

⑥ 사용자 PC에서 애플리케이션 취약점 체크

    -예: 실버라이트, 아크로뱃 리더, 인터넷 익스플로러, 자바, 플래시 플레이어

⑦ 취약점이 확인되면 악성코드 다운로드 실행

⑧ 사용자 PC 감염


유형2) (드라이브-바이 다운로드)

① 위장된 광고 웹 사이트 접속

② 취약점 랜딩 페이지로 리다이렉트 

③ 랜딩 페이지의 악성 스크립트로부터 타깃 시스템에 플래시 취약점(CVE-2015-8446) 실행

④ 난독화된 크립토락커(Cryptolocker) 바이너리 다운로드 및 실행


0 Comments
댓글쓰기 폼