최근에 사이트 변조가 굉장히 많이 발생하고 있습니다. 과거의 방문자수가 적고, 관리를 잘 하지 않는 개인홈페이지 위주로 변조가 되고 있지만, 최근에는 이용자 수가 굉장히 많은 메이저 사이트 마저도 변조를 당하고 있는 실정입니다. 

< 이제는 메이저 사이트도 위험하다! -스크린샷 보안뉴스->

과거에는 자동화된 프로그램을 이용하여 취약점이 발견된 일부 사이트만 변조하는 방식이였지만, 이제는 점차적으로 진화하여 프로그램이 아닌 한 사이트를 목표로 삼아 집중적으로 취약점을 찾아 변조하기 때문에 메이저급 사이트도 피해 갈 수 없었습니다. 

대부분은 중국에서 이루어지고, 악성코드 유포를 위한 것입니다. 실제로도 최근에는 이러한 변조 방식을 이용해서 대량으로 DDoS 좀비 PC를 모으는 행위가 가능하게 되었다고 해도 과언이 아닐 것입니다. 


IE(Internet Explorer) 을 사용하는 이용자에게는 변조된 페이지에 접속하는 것 만으로도 악성코드에 감염되기 때문에, 이제는 서핑을 할 때 백신의 실시간 검사를 반드시 켜주시는 것이 중요합니다.


< 크롬 유저라면 이제는 익숙할 만한 문구 >
 

 과거에 위에 문구를 보기 굉장히 힘들었을 것입니다. CVE-2011-0609 라고 하는 취약점을 이용한 공격방식이 대중화되기 이전에는 네이트온 악성코드 유포에만 이용했기 때문에, 그리 큰 비중을 차지하고 있지 않습니다.

브라우저와 백신에서는 감염 사이트의 접속을 사전 차단하기 위해 경고문구와 동시에 접속차단을 시행하게 됩니다. 하지만 취약점에 해당되지 않는 크롬에서도 차단하는데 반에 정작 취약점이 적용되는 IE에서는 차단 기능을 제공하고 있지 않아서 피해가 심각한 실정입니다 



   구글 크롬   인터넷 익스플로러
 취약점 적용 여부  X  O
 초기 증상  스크립트 경고  인터넷 창 꺼짐 등
 차단 여부  빠르게 자체 검사로 차단  보고된 사이트에서만 차단


크롬을 이용해 악성 웹페이지 방문 시 SWF 취약점을 이용했을 경우에는 "스크립트 실행이 지연되고 있다" 라는 문구와 함께 스크립트 동작을 취소할 수 있는 경고창이 뜨게 되고 취소를 할 경우에는 정상적인 웹 서핑이 가능합니다. 

IE의 경우에는 오류 창과 함께 인터넷 창이 모두 꺼지며 일부 컴퓨터에서는 시스템 파일이 변경되었다는 문구를 받으실 수 있습니다. 

< 트로이목마 악성코드가 다운받아진다 >

Q1 : 감염이 되면 어떻게 되나요?
A1: 이렇게 감염이 된 악성코드는 게임계정의 정보를 탈취하는 트로이목마로써 현재 국내백신에서는 OnlineGameHack 이라는 진단명으로 따로 분류하고 있으며, 해외백신은 PWS, Packed 등 다양한 진단명으로 감지하고 있습니다.
치료를 하지 않고 방치할 경우에는 후에 게임 접속시도를 할 경우 계정정보가 탈취되는 것 입니다.


Q2 : 해결책이 없을까요?
A2 : 보안업데이트가 나와있고 대부분의 백신에서는 사이트 사전차단기능 혹은 바이러스 치료 기능을 이용하여 사전에 예방하고 있습니다. 따라서 백신 사용과 보안업데이트를 반드시 필수적으로 해주셔야 합니다. 이미 감염이 된 경우에는 백신을 통해서 검사/치료 해주시면 됩니다. 

자신의 IE의 버젼과 운영체제가 무엇인지 파악하셔서 다운로드 페이지에서 찾아가시면 됩니다.

Microsoft MS10-018 보안패치 다운로드 
국내외 무료백신 다운로드


참고 자료 : http://hummingbird.tistory.com/2781 
http://www.boannews.com/media/view.asp?page=1&gpage=1&idx=26531&search=&find=&kind=0 
http://blog.ahnlab.com/asec/522

+ Recent posts