Skip to content

보안공지

"LizaMoon": 대규모 SQL 인젝션을 사용하여 Web 사이트 변조 확인  [2011-04-01]

 

"TrendLabs(트렌드 랩)"에서는 수많은 공식 Web 사이트가 변조 피해를 입은 대규모 공격을 확인하였습니다. 이 공격은 합법적인 Web 사이트에 악성 코드가 포함되어 이 사이트를 방문한 사용자가 "FAKEAV"등 악성 프로그램 의 피해를 입을 수 있는 사이트로 연결되게 됩니다.

 

 

조작된 수많은 Web 사이트에는 일반적인 공통 항목이나, 특정 산업만을 대상으로 한 공격이 아니라 개인블 로그, 게시판을 포함한 회사, 병원, 스포츠, 서비스, 전자 등 다양합니다.

* 악성 URL 추가
조사 결과, 이 공격은 다음 5 개의 URL이 "SQL 인젝션"기법으로 조작된 Web 사이트에 포함되어 있습니다.

"LizaMoon"(라이자문)이라는 명칭은 리다이렉션 되는 URL문자열에서 유래합니다. 이 URL은 모두 단일 IP 주소를 가진 서버를 가리 킵니다. 그러나 이 IP 주소는 트렌드 마이크로의 웹 레퓨테이션 서비스는 이전부터 "잘못된 IP 주소"로 분류하여 차단이 가능하며 이들 5 개의 URL도 모두 추가하여 2011 년 3 월 25 일 시점부터 모두 차단되고 있습니다.

{BLOCKED}books.com/ur.php
{BLOCKED}ne.com/ur.php
{BLOCKED}carter.com/ur.php
{BLOCKED}on.com/ur.php
{BLOCKED}56.info/ur.php


그러나 이전에 추가되어 "{BLOCKED}on.com/ur.php"로 이동되던 사이트가 변경되어 "{BLOCKED}us.com/ur.php"라는 전혀 다른 URL로 리다이렉션 되도록 변경된 것을 확인하였습니다.

현재는 이 새로운 URL역시 위의 5 개의 차단된 URL과 동일한 IP 주소를 가지고 있기 때문에, 해당 서버들은 이미 차단이 가능합니다. 하지만 이 같은 사실은 이 공격에 참여하는 사이버 범죄가 여전히 차단되지 않은 위험한 사이트로 연결되도록 바뀔 가능성이 있다는 것을 암시합니다.

* 연쇄감염에 의해 "FAKEAV"및 "WORID"로 유도

연쇄적으로 감염된다는 점에서, 이 공격은 전형적인 예라고 할 수 있습니다.
악의적인 스크립트로 변조된 웹 사이트 방문은 위에 언급한 사이트들로 여러 차례 연결되고, 마침내 악의적인 파일 다운로드로 이어지게 됩니다.

다운로드 된 "가짜 보안 소프트웨어” 검색 화면이나 검색과정은 물론 가짜이고, 그 후 가짜 경고문과 함께 설치 프로그램을 가장한 악성 파일을 다운로드 하도록 유도 됩니다.

이번 공격 관련, 악성 코드는 "TROJ_FAKEAV.BBKTROJ_WORID.A“ 진단명으로, 7.943.00(2011.4.1)버전부터 검색됩니다.

이번 같은 대규모 변조 공격 형태는 결코 특별한 것이 아니지만, 그 만큼 변조된 사이트가 많고, 유명 사이트 포함되어 있는 경우, 그 피해는 심각할 수 있습니다. Trend Micro 클라우드 보안센터에서는 웹 레퓨테이션 기술, 이메일 레퓨테이션 기술 및 파일 레퓨테이션 기술을 통해 필요한 보안대책을 식별하고 이를 상관분석함으로써 종합적인 방어를 실현하고 있습니다. 트렌드마이크로의 다양한 솔루션 및 서비스는 클라우드 보안센터와 연계해 위협으로부터 사용자를 보호합니다.

Connect with KR on