상단여백
HOME 오피니언 전문가 컬럼
ActiveX 이용한 파밍 공격은 ‘현재진행형’
김명창 기자 | 승인2016.10.28 13:22

여전히 남아있는 액티브X(ActiveX)가 또다시 악성코드 유포에 악용된 사례가 발견됐다. 최근 파밍 악성코드가 액티브X를 통해 설치되는 불필요한 프로그램(이하 PUP, Potentially Unwanted Program)를 이용해 유포된 것이다. 액티브X는 사용자의 PC에 직접 설치되는 방식으로, 이를 이용해 사용자 PC에 악성코드를 감염시키는 방법은 오래된 수법이지만 여전히 유효한 수법이다. 

이번에 발견된 파밍 악성코드도 액티브X로 설치되는 PUP를 통해 사용자 PC에 유입됐다. 파밍(Pharming)은 사용자의 PC에 악성코드를 감염시켜 피싱 사이트에 접속하도록 유도하고 금융 정보, 개인 정보 등을 탈취하는 사이버 공격이다. 대부분의 파밍 악성코드는 웹사이트에 접속만 해도 감염되는 ‘드라이브-바이 다운로드(Drive-by-download)’ 방식으로 유포되고 있으며, PUP 또는 정상 유틸리티 프로그램의 업데이트 모듈을 이용하여 유포되는 사례도 늘고 있다. 특히 최근에는 PUP 업데이트 서버의 파일을 변조해 악성코드를 유포하는 방법을 주로 이용하고 있는 것으로 나타났다. 

사용자가 모 사이트에 접속하면 [그림 1]과 같이 PUP 사용을 위해 액티브X 설치를 유도하는 메시지가 나타난다. 그러나 설치 동의는 받는 것처럼 보이지만 해당 PUP의 이용 약관은 제공하지 않는다. 

 

[그림 1] PUP 설치를 유도하는 액티브X

 

사용자가 액티브X의 설치를 실행하면 셋업(Setup) 파일을 통해 PUP가 다운로드되는데, 이때 변조된 version.txt파일이 함께 다운로드된다. 파밍 악성코드는 변조된 version.txt 파일을 기반으로 PUP 서버에 공격자가 생성해둔 악성 파일을 다운로드 및 실행한다. 다운로드된 악성 파일이 실행되면 PC 방화벽에 자기 자신을 예외로 등록하고 시작 프로그램에 등록하여 시스템이 시작될 때마다 실행되도록 설정한다. 

 

[그림 2] 악성 업데이트 파일 (왼쪽)과 정상 업데이트파일 (오른쪽)

 

또 인터넷 브라우저의 메인 페이지를 특정 포털 사이트로 변경해 이후 사용자가 웹사이트에 접속할 때 [그림 3]과 같이 포털 사이트와 해당 프로그램의 광고를 노출한다. 

 

[그림 3] 설치 안내 및 광고 노출

 

이후 [그림 4]와 같이 금융감독원 등을 사칭하는 허위 팝업 창을 노출해 사용자로 하여금 주민등록번호, 계좌번호, 비밀번호 등 민감한 정보를 입력하도록 유도한다. 

 

[그림 4] 공공기관을 사칭한 파밍 페이지

 

V3 제품에서는 해당 파밍 악성코드를 아래와 같이 진단명으로 탐지하고 있다.

 

<V3 제품군의 진단명>

Trojan/Win32.banki (2016.10.12.03)

Trojan/Win32.Zegost (2016.10.13.00)

PUP/Win32.ShopAdvance (2016.10.13.05)

액티브X는 인터넷 익스플로러(IE) 환경에서 멀티미디어 구동 등 다양한 웹 서비스 이용을 위해 관련 프로그램을 사용자 PC에 직접 설치하는 방식이다. 그러나 호환성 문제, 불필요한 프로그램 설치로 인한 PC 성능 저하, 그리고 악성코드 유표 수단으로 악용되면서 마이크로소프트(MS)는 지난 2015년 액티브X(ActiveX)의 퇴치를 선언했다. 

국내에서도 금융권을 중심으로 액티브X를 제거해왔지만 여전히 일부 웹사이트는 액티브X를 이용하고 있다. 액티브X를 통한 악성코드 감염을 방지하기 위해서는 확인되지 않은 프로그램은 절대 설치하지 않도록 해야하며, 웹에서 프로그램을 다운로드 받을 경우에도 반드시 정식 배포 사이트를 이용하는 것이 중요하다. -출저 안랩-

김명창 기자  kimmc83@naver.com
<저작권자 © 보안24, 무단 전재 및 재배포 금지>

김명창 기자의 다른기사 보기
icon인기기사
여백
회사소개기사제보광고안내불편신고개인정보취급방침청소년보호정책이메일무단수집거부
회사명 : 주식회사 시큐리티미디어랩  |  서울특별시 은평구 서오릉로 186, 2층  |  대표전화 : 070-4716-8107  |  팩스 : 070-4716-8108
설립일 : 2015년 7월24일  |  인터넷신문등록일자 : 2015. 7. 14   |  등록번호 : 서울 아 03822  |  발행인/편집인 : 김용욱  |  청소년보호책임자 : 김용욱
Copyright © 2017 보안24. All rights reserved.
Back to Top