인터넷 사용자의 최대 관심사인 되어버린 UCC(User Created Contents)에 대한 열풍은 이미 여러 곳에서 일어나고 있다. 예전에 소수의 우수한 정보 제공자가 제작한 컨텐츠를 공유하던 형태에서 불특정 다수의 사용자가 스스로 컨텐츠를 제작하여 공유하는 형태로 변하고 있는 것이다.

이미 안철수연구소에서는 "2007년도 10대 보안 트렌드 예측 "에 "UCC 경유한 악성코드 유포"라는 제목으로 UCC가 악성코드를 유포하는 매개체가 될 수 있다고 전망하였다. 이를 반영하듯 UCC를 다운로드 받을 수 있는 프로그램이라고 사용자를 속여 사용자의 실수를 유도하고 제작자가 유도한 대로 파일을 받아 실행할 경우 스파이웨어가 설치되는 웹사이트가 발견되었다.


[그림1] YouTube를 사칭한 사이트

사회공학적 기법으로 인지도가 높은 UCC 사이트와 유사한 가짜 사이트를 사용자에게 제공함으로써 사용자를 손쉽게 속여서 스파이웨어를 설치하게 할 수 있다. 이렇게 감염된 사용자 컴퓨터에 설치된 후 실행된 스파이웨어는 아래 [그림 2]와 같이 사용자를 불안하게 만들어 악성코드 제작자가 유도하는 데로 행동하게 만들기 위하여 사용자의 컴퓨터가 감염되었다는 문구를 삽입한 풍선 도움말을 출력시키거나 인터넷 익스플로러의 시작페이지를 변경한다. 이와 같이 스파이웨어 제작자는 스파이웨어를 감염시키기 위해 어려운 프로그래밍을 선택하는 대신 처음부터 끝까지 사회공학적 기법을 이용하여 배포하는 방법을 선택하였다.


[그림2] 스파이웨어에 감염되었다는 허위 메시지

[그림3] 스파이웨어에 감염되었다는 IE 시작페이지

얼마 전부터 스파이웨어는 코덱(Codec)을 사칭한 프로그램으로 유포하기도 하였으며, 이러한 사회공학적 기법은 오래 전부터 암호 해독 등 다양한 곳에서 악용되어 왔고, 보안 관련 업계에서는 이러한 사회공학적 기법에 대하여 사용자들의 주의를 당부하고 있지만, 너무나 쉽게 사용자들이 속고 있다.

또 다른 방법으로 스파이웨어를 유포하는 방법이 사용되고 있다. 일반적으로 컴퓨터는 데이터를 8개의 비트 단위로 처리되고, 가장 많이 사용되고 있는ASCII 문자열 코드는 128개의 가능한 문자조합을 제공하는 7비트 부호로 최상위 비트는 패리티 비트나 특정 문자로 사용된다.

HTML 문서를 작성할 때 문자열 코드(charset)를 US-ASCII로 설정할 경우 인터넷 익스플로러는 1바이트 중 7 비트만을 해석하고 최상위 비트는 무시한다. 따라서 최상위 비트를 1로 세팅하게 되면 인터넷 익스플로러는 아래 그림과 같이 사람이 인식할 수 없는 문자로 표시되지만 해석하여 실행되는 데는 아무런 문제가 발생되지 않는다.


[그림4] 인코딩된 문자열

[그림4]의 인코딩된 문자열을 디코딩 하기 위해서는 최상위 비트를 0으로 세팅하면 사람이 인식할 수 있는 문자열로 디코딩 할 수 있고, 그 결과 [그림5]와 같이 문자열을 확인할 수 있었다. 해당 HTML 페이지는 MS06-014 취약점을 이용하여 특정 URL의 실행파일을 다운로드하는 스파이웨어로 사용자 동의 없이 스파이웨어를 다운로드 하여 실행하여 사용자 PC는 감염된다.

이와 같이 ASCII 변조는 분석가의 분석을 까다롭게 만들 뿐 아니라 별도의 디코더 없이도 인터넷 익스플로러가 정상적으로 동작하여 악성코드 개발자들에게는 매력적인 방법으로 자주 사용될 것으로 보인다.


[그림5] 디코딩된 문자열

스파이웨어를 감염시키는 경로로 위에서 소개한 사회공학적 기법과 ASCII 취약점을 이용한 기법 이외에도 최근에는 웜(Worm)에 의해 스파이웨어가 다운로드 되기도 하여 스파이웨어 감염 경로는 보다 다양해지고 있는 현실이다.

출처 : 안철수연구소
http://kr.ahnlab.com/infoView.ahn?seq=9359&page_num=1&keyStr=&category=16
Posted by 멋나미

댓글을 달아 주세요