보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

랜섬웨어가 이용하는 멀버타이징 기법 … 도대체 어떻길래?

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2016-02-01
안랩은 2015년 12월 월간 ’안’의 ‘랜섬웨어, 알아야 막을 수 있다’를 통해 랜섬웨어가 증가하는 이유로 악성코드 제작자들이 유포지를 제대로 파악할 수 없도록 ‘멀버타이징(Malvertising)’ 수법을 사용하기 때문이라고 설명한 바 있다. 멀버타이징을 이용한 방법은 불특정 다수를 대상으로 악성코드를 감염시킬 수 있어서 최근 많이 이용된다. 실제로 2015년 9월 말부터 국내에 증가하기 시작한 랜섬웨어의 주된 유포 방법으로 확인되었다. 
이 글에서는 멀버타이징 애드웨어인 '에오레조(PUP/Win32.EoRezo)'를 통해 멀버타이징 기법이 어떻게 악성코드를 감염시키는지 알아본다.  

멀버타이징(Malvertising)은 악성 프로그램을 뜻하는 멀웨어(Malware) 혹은 '악의적인'이라는 뜻의 의미하는 멀리셔스(Malicious)와 광고 활동을 뜻하는 애드버타이징(Advertising)의 합성어다. 멀버타이징은 광고 서비스의 정상적인 네트워크를 이용하여 악성코드를 유포 및 감염시키는 방법을 말한다. 
악성코드 제작자는 그럴 듯한 도메인 이름으로 위장된 광고 웹 사이트를 제작 후 광고 서비스에 이를 광고한다. 그리고 사용자가 해당 웹 사이트를 접속했을 때 취약한 페이지로 리다이렉트 되도록 설정해 둔다. 그 이후에 정상 웹 사이트로 이동한다. 
광고 서비스를 하는 업체는 일반적으로 사용자들에게 광고를 많이 노출하기 위해서 애드웨어를 사용하거나, 동적으로 광고를 받아 올 수 있는 특정 매개변수(Parameter)를 갖는 URL을 제공하기도 한다. 참고로 애드웨어(Adware)는 광고(advertisement)와 소프트웨어(software)의 합성어로 인터넷에 접속할 때마다 자동으로 활성화되는 광고 프로그램의 종류를 말한다.
 
이 글에서 소개하는 멀버타이징 애드웨어인 에오레조(PUP/Win32.EoRezo)는 동적으로 광고를 받아 올 수 있는 특정 매개변수를 갖는 URL 을 인코딩하여 내부적으로 가지고 있으며, 다음과 같은 웹 사이트에서 팝업을 통한 설치 또는 크랙 파일, 무료 게임 파일로 위장하여 설치를 유도한다.
- 토렌트 관련 사이트
- 크랙 관련 사이트
- 음란물 관련 사이트
- 무료 게임 사이트
- 무료 동영상 플레이어 다운로드 유도 사이트
- 허위 플래시 플레이어 다운로드 유도 사이트

멀버타이징 감염 방법
본격적으로 애드웨어 멀버타이징을 이용한 악성코드 감염 방법을 자세히 살펴보자.
 
[그림1] 애드웨어 멀버타이징(Malvertising)을 이용한 악성코드 감염 방법

멀버타이징으로 악성코드에 감염되는 경우는 크게 2가지이다. 첫 번째, 웹 서핑 시 웹 브라우저의 팝업으로 보여지는 광고 사이트에 노출되는 경우이다. 두 번째, 사용자 시스템에 설치된 멀버타이징 애드웨어가 사용된 경우이다. 후자의 경우, 사용자가 웹 서핑을 하지 않아도 설치된 애드웨어가 불규칙하게 웹 브라우저를 자동 실행한 후 광고를 받아 오는 특정 매개변수를 갖는 URL로 접속하여 광고를 보여준다. 

웹 사이트가 정상적인 광고 웹 사이트라면 이런 자동 실행이 문제가 되지 않을 수 있다. 하지만 보안이 취약한 웹 브라우저이거나 플래시 플레이어(Flash Player), 아크로뱃 리더(Acrobat Reader), 실버라이트(Silverlight), 자바(Java)가 설치된 경우라면 상황이 다르다. 사용자 의도와 상관 없이 애드웨어를 통해 취약점이 있는 웹 사이트로 리다이렉트된 후 앞서 열거한 웹 애플리케이션 플러그인 취약점을 이용하여 악성코드에 감염이 될 수 있다.

멀버타이징 애드웨어를 이용한 악성코드 감염 과정을 정리하면 다음과 같다. 

① 공격자는 광고 서비스 업체에 위장 광고 의뢰
② 일부 웹 사이트를 애드웨어 배포지로 활용
    -예: 토렌트, 크랙, 음란물, 무료 게임, 무료 동영상 플레이어 다운로드 유도, 허위 플래시 플레이어 다운로드 유도 사이트 
③ 사용자 웹 사이트 접속 시 애드웨어 설치 유도
④ 애드웨어에 의한 불특정 광고 사이트 접속 
⑤ 위장된 광고 페이지 접속 시 취약한 사이트로 리다이렉트
    -이후 알려진 정상 사이트로 이동 
⑥ 사용자 PC에서 애플리케이션 취약점 체크
    -예: 실버라이트, 아크로뱃 리더, 인터넷 익스플로러, 자바, 플래시 플레이어
⑦ 취약점이 확인되면 악성코드 다운로드 실행
⑧ 사용자 PC 감염

이러한 공격 뒤에는 ‘익스플로잇 킷(Exploit Kit, EK)’이라는 악성코드를 제작, 관리, 유포를 자동화할 수 있는 도구가 있으며 최근 공격에는 앵글러(Angler) EK, 리그(Rig) EK, 매그니튜드(Magnitude) 등이 주로 사용되고 있다. 

애드웨어 주요 기능 요약
에오레조의 주요 기능을 살펴보자. 에오레조는 %appdata% 하위 경로에 특정 폴더와 파일을 생성한다. 파일에는 프로그램 설치 시간에 대한 내용이 담겨 있으며, 해당 정보를 가지고 추후 특정 IP로 접속을 시도한다. 실행 시 특정 조건이 성립하면 사용자 PC의 기본 브라우저를 통해 광고를 받아 오는 특정 매개변수를 갖는 URL에 접속을 시도하는데 요약하면 다음과 같다.
URL은 애드웨어 내부에 암호화되어 있으며 복호화 후 접속하기 위해 ShellExecute API를 호출하여 사용자 PC의 기본 브라우저를 실행한다. 이 행위는 특정한 규칙에 의해 이루어지며, 이 규칙은 time64 함수를 사용하여 특정 값들과 비교하는 방법을 사용한다. 이후 특정 값들과 비교하는 반복 루틴을 수행하면서 time64 함수의 리턴값이 내부적으로 정의된 특정값보다 크거나 같을 경우, ShellExecute API를 호출하여 웹 브라우저를 자동 실행한다. 접속 조건(시간, 횟수)이 일정하지 않기 때문에 사용자들은 애드웨어에 의한 접속 여부를 알아채기 어렵다.

감염 사례
다운로드 실행 방식에 의한 '테슬라크립트' 랜섬웨어 감염 사례
[그림 2]는 실제 애드웨어가 접속하는 URL 중 취약한 광고 사이트에서 악성코드가 다운로드 실행(Drive-by-Download)이 이뤄지는 모습이다. 다운로드된 악성코드는 사용자 PC의 파일을 암호화하는 랜섬웨어로, 최근에도 꾸준히 변형이 나오고 있는 테슬라크립트(Teslacrypt)이다. 

[그림 2] 취약한 사이트로부터 다운로드 실행(Drive-by-Download)으로 감염시키는 악성코드

 
[그림 3] 테슬라크립트 랜섬웨어에 감염된 모습

앵글러 EK에 의한 크립토락커 감염 사례
공격자에 의해서 제작된 booki*****.pw (이미 제거됨) 웹 사이트는 위에서 언급한 ‘광고 관련 특정 매개변수_내부 URL’ 중 하나로, 광고 서비스 사이트인 www.fh****.com/(특정 매개변수)로부터 받아온다. 
 
[그림 4] Angler Exploit Kit을 이용한 감염 사례

[그림4] 에서 보듯이 이후 다음 순서대로 진행된다. 
① 위장된 광고 웹 사이트 접속
② 취약점 랜딩 페이지로 리다이렉트 
③ 랜딩 페이지의 악성 스크립트로부터 타깃 시스템에 플래시 취약점(CVE-2015-8446) 실행
④ 난독화된 크립토락커(Cryptolocker) 바이너리 다운로드 및 실행

지금까지 애드웨어 멀버타이징을 이용하는 악성코드 감염 방식에 대해 알아보았다. . 멀버타이징을 이용한 방법은 불특정 다수를 대상으로 감염 시킬 수 있고, 웹 사이트(도메인)를 자주 변경하여 유포지를 찾거나 차단하기 어렵게 만든다. 따라서 악성코드에 감염되지 않도록 철저하게 예방하는 것이 중요하다. 악성코드 감염을 막기 위해서는 항상 프로그램 및 백신 프로그램을 최신 업데이트 상태로 유지하는 것이 필요하다. 또한, 멀버타이징 공격은 애드웨어 프로그램으로 인해 사용자가 취약한 광고 사이트에 노출되기가 쉽기 때문에 해당 취약점에 자주 쓰이는 플래시 플레이어, 아크로뱃 리더, 실버라이트, 자바 등 애플리케이션의 업데이트가 필수적이다. 애드웨어를 이용한 멀버타이징은 사용자 개입 없이도 악성코드 감염에 노출될 수 있는 만큼 위에서 언급된 웹 사이트 방문 시 주의가 필요하다.
 
안랩은 해당 멀버타이징 애드웨어에 대해 V3와 MDS 제품에서 다음과 같은 진단명으로 진단 및 치료 기능을 제공한다. 
- PUP/Win32.EoRezo (V3 제품군)
- Win-PUP/EoRezo
- Malware/MDP.Execute

한편, V3 제품군에서는 ‘악성 사이트 접근 차단’ 기능을 통해 위장된 광고 페이지와 랜딩 페이지 등 멀버타이징 관련 사이트에 접속하는 것을 막아준다.
V3 Internet Security 9.0 사용자라면 ‘악성 사이트 접근 차단’ 창 발생 시 ‘확인’ 버튼을 눌러 더 이상 해당 웹 사이트 방문하지 않고 웹 브라우저가 종료되도록 조치하면 된다. 
 
[그림 5] V3 Internet Security 9.0의 악성 사이트 접근 차단 기능


  • AhnLab 로고
  • 분석팀 정진성 책임
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.