세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
지난 7년간 국내 노린 최다 자동 공격툴은 ‘CK VIP’
  |  입력 : 2018-03-21 14:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
CK VIP 42건, 제로데이 16건, 스윗오렌지 7건 순으로 익스플로잇 킷 활용
공격자, 대량 감염과 공격 극대화 위해 사용자 많은 웹사이트 대상 DBD 공격
군·기관 등 주요 타깃으로는 워터링홀, 제로데이 등 APT 공격 끊임없이 시도


[보안뉴스 김경애 기자] 지난 7년간 국내 웹사이트 공격에 가장 많이 이용된 공격 킷(익스플로잇 킷)은 CK VIP(공다팩 변형)로 조사됐다.

▲익스플로잇 킷 공격 활용 도표[자료=빛스캔]


빛스캔에 따르면 지난 7년간 유포된 익스플로잇 킷 가운데 웹을 통한 감염 피해가 높았던 사례를 선별한 결과, 총 27개로 나타났다.

27개의 익스플로잇 킷 가운데 CK VIP 자동 공격 툴이 42건으로 가장 많이 활용된 것으로 드러났으며, 이어 알려지지 않은 취약점을 이용한 제로데이 공격 16건, 스윗오렌지(Sweet Orange) 7건, 모바일 apk가 6건으로 집계됐다.

이와 관련 빛스캔 측은 “자바, 플래시, IE 등의 취약점을 악용한 제로데이 공격코드가 기승을 부렸으며 자바, 플래시, IE를 이용해 서비스 접속자를 감염시키는 Drive By Download(DBD) 기법을 이용한 자동화된 공격코드가 활개를 쳤다”고 밝혔다.

특히, 공격코드는 사용자의 PC 환경에 따라 IE, 자바, 플래시 버전을 판별해 공격하도록 구성됐으며, 모두 난독화된 것으로 조사됐다. 뿐만 아니라 사용자의 버전을 체크해 버전별로 각 개별 공격코드를 실행하도록 구성됐던 것으로 조사됐다.

DBD 기법은 공격자가 방문자가 많은 사이트를 공격할 때 주로 이용한다. 공격자는 추적과 탐지를 방지하기 위해 방문자가 많은 사이트에 악성코드를 직접 유포하지 않고, 유포지와 경유지를 활용해 악성코드를 유포하는 것이 특징이다. 즉, 대량 감염시킬 수 있는 악성코드를 짧은 시간에 집중 유포해 추적을 피하고 공격 효율성을 높였다는 얘기다.

공격자는 방문자가 많이 찾는 웹사이트와 악성코드 유포지로 이동시키는 경유지 사이트, 악성코드를 실행하는 유포지 사이트를 해킹해 공격코드를 심는다. 웹사이트 방문자는 해커가 심은 공격코드로 인해 경유지로 이동하고, 경유지에서 유포지로 이동돼 악성코드에 감염된다. 이렇게 감염된 PC 정보는 C&C(명령제어) 서버로 이동된다.

주요 타깃은 언론사, 파일공유 사이트, 여행사, 공공기관 및 산하기관 등이며, 공격에 주로 이용된 악성코드는 RAT(원격제어), 랜섬웨어, 백도어 유형 등이었던 것으로 조사됐다.

▲방문자가 많은 웹사이트 공격기법과 워터링홀 공격방식[자료=빛스캔]


또한, 제로데이 취약점을 이용한 공격과 특정 웹페이지 또는 타깃을 설정해 공격하는 워터링홀 공격에는 백도어, 키로거, 웹셸 등이 동원됐다.

이렇게 동원된 공격기법은 국방 및 연구기관, 북한관련 기관, 주요 인사 홈페이지, 공공기관을 타깃으로 뚫릴 때까지 공격하는 웹 APT(Advanced Persistent Threat) 공격에 악용됐다.

특히, 국내에서 개발된 액티브X가 워터링홀 공격에 자주 이용됐으며, 제로데이와 익스플로잇 킷 공격으로 인해 현재까지도 대량 감염이 발생하고 있는 것으로 드러났다. 웹 서비스를 1차로 공격해 사용자 권한을 획득한 후, 웹소스를 변경해 웹 서비스 이용자를 대량 감염시키는 방식이다.

이와 관련 빛스캔 오승택 팀장은 “사용자 환경에 따라 공격 기법이 상이하므로 해당 익스플로잇 킷의 공격 유형과 형태를 면밀히 파악해 대응하는 것이 중요하다”고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 4
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)