ESET, 광고 배너를 통해 배포되는 스테가노 익스플로잇 주의 요망

2016년 12월 8일(목)

유럽의 엔드포인트 보안 전문 업체인 ESET(이셋)의 국내 법인인 (주)이셋코리아 (대표: 김남욱, http://www.estc.co.kr)는 매일 수 많은 사람들이 방문하는 평판 좋은 웹 사이트에 악의적인 광고를 통해 악성코드를 전파할 수 있는 새로운 스테가노(Stegano) 익스플로잇 킷이 발견됨에 따라 주의를 요한다고 전했다.

ESET 연구진에 따르면, 적어도 2016 년 10 월 초부터 인터넷 익스플로러 사용자를 대상으로 하는 어도비 플래시 플레이어의 취약점을 이용한 공격이 감지되었으며, 다양한 유형의 악성코드를 다운로드하고 실행하려는 시도가 있었다고 전했다. 이 공격은 악성코드가 광고 배너를 통해 배포되기 때문에 맬버타이징(malvertising)의 범주에 속하는데, 공격자는 은닉성을 확보하기 위한 다양한 기술을 사용했기 때문에 정확한 분석을 위해서는 광범위한 자료를 필요로 한다.

피해자의 컴퓨터에 악성코드를 원격 설치하기 위해 광고 배너를 이용하는데, 게시된 악성의 광고 배너를 클릭할 필요없이 해당 웹 사이트를 방문하는 것만으로도 악성코드가 설치되며, 취약한 버전의 플래시 플레이어를 이용한다. 이후부터 공격자는 자신이 선택한 악성코드를 다운로드하고 실행하는데 필요한 모든 조건을 갖추게 된다. ESET 이 분석한 페이로드에 따르면, 금융 정보 유출을 위한 트로이 목마, 백도어와 스파이웨어 등이 다운로드되며, 추후 랜섬웨어 감염 등으로 이어질 수도 있다. 따라서, 사용 중인 소프트웨어를 최신 버전으로 패치함과 동시에 신뢰할 수 있는 보안 솔루션을 사용하는 것이 얼마나 중요한지를 다시 한 번 보여준다고 볼 수 있다.

스테가노란 명칭은 스테가노그래피에서 파생된 말인데, 공격자가 광고 배너의 픽셀에 악성코드의 일부를 숨기는 기법이며, 배너 이미지의 각 픽셀 투명도를 제어하는 매개 변수에 코드를 숨긴다. 이렇게 처리된 이미지는 색깔이나 명암이 약간 변경되기 때문에 정상적인 배너와 악성 배너의 차이를 육안으로 구분이 어려우며, 피해자는 악성코드 포함 여부를 눈치채지 못한다. 특히, 스테가노 익스플로잇 킷은 샌드박스에서의 실행 여부와 보안 소프트웨어의 실행 여부를 확인한 후 정상 배너와 악성 배너를 선택적으로 게시함으로써 은닉성과 감염 가능성을 배가시키는데, 이러한 기술을 이용하여 공격자는 광고 플랫폼에서 악성 콘텐츠를 발견하고 차단하도록 설계된 여러가지 대응책을 우회할 수 있었으며, 합법적인 웹 사이트를 통해 수백만 명의 잠재적인 피해자를 만들어 낼 수 있었다.

(주)이셋코리아의 김남욱 대표는, “ESET LiveGrid®에 참여하는 사용자의 통계에 따르면, 최근 2 개월 동안 전 세계적으로 인기 있는 여러 웹 사이트를 통해 매일 수백만의 사용자가 스테가노 익스플로잇 킷을 이용한 악성 광고에 노출되었으며, 이 중 다수가 악성코드에 감염된 것으로 추정됩니다. 특히, 가상머신에서의 실행과 보안 솔루션 실행 여부를 감지하기 때문에 익스플로잇의 실체를 알아내기가 어려우며, 샌드박스 기반의 악성코드 탐지 솔루션의 우회가 어렵지 않다는 것을 보여주고 있습니다.”면서, “보안에는 정해진 답이 없습니다. 운영체제와 소프트웨어의 최신 패치를 적용하는 등 기본적인 보안 수칙을 준수하면서, 신뢰할 수 있는 엔드포인트 보안 솔루션을 사용하는 것이 매우 중요합니다.”고 전했다.

전자신문	이셋, 광고 이미지에 악성코드 숨기는 `스테가노그래피` 취약점 공격 도구 주의 권고
CCTV뉴스	광고 배너 통해 배포되는 스테가노 익스플로잇 주의하라
데이터넷	“광고 픽셀에 악성코드 숨기는 ‘스테가노 익스플로잇’ 확산”
디지털데일리	이셋, 광고배너 통해 악성코드 전파 ‘스테가노 익스플로잇’ 주의
보안뉴스	광고 배너 통해 배포되는 스테가노 익스플로잇 발견
아이티데일리	이셋, ‘스테가노 익스플로잇 킷’ 주의 당부