By Walaika Haskins TechNewsWorld
01/15/08 2:28 PM PT

2008년이 2주 정도 지났고, 사이버 범죄들은 사용자의 개인데이터를 훔치는 오래된 트릭을 지금껏 사용하지만 훨씬 고도하고 정교한 방법을 만들어내었다. 웹게이트웨이 보안장비를 제공하는 Finjan software에 의해 월요일에 발표된 리포트에 의하면, 그들은 현재 웹호스팅 서버를 사용하여 그들의 악성코드를 합법적인 웹사이트로 임베딩하고 있다.

미국에서만 일만 개가 넘는 웹사이트가 지난 12월 동안 최신유형의 malware 공격에 의해 감염되었다. “random js toolkit”이라 불리는 공격은 인터넷에 있는 개인데이터를 범죄 주모자에게 보내면서, 컴퓨터 사용자의 컴퓨터를 감염하는 극도로 좀처럼 포착하기 어려운 트로이목마이다. 훔치는 데이터들에는 범죄자들이 흥미를 가질 수 있는 다큐먼트, 패스워드, 서핑 습관 그리고 기타 민감한 정보들이 포함될 수 있다고 Finjan은 말했다.

“2007년 중반에, 연구들은 거의 3만여개의 새로 감염되는 웹페이지가 매일 생성된다는 것을 보여주고 있다. 그러한 악의적인 소프트웨어를 호스팅하거나 damage를 입히는 컨텐트가 있는 다운로드를 포함하는 그러한 페이지의 약 80퍼센트는 해킹된 합법적인 사이트에 위치하고 있다. 오늘날 상황은 점점 더 악화되고 있다고 Finjan의 CTO, Yuval Ben-Itzhak이 말했다.

영악한 범죄자들

Finjan Software 연구원들은 12월에 사용자들의 웹 트래픽을 분석하는 동시에 사이버 범죄의 최신 scheme을 발견했다. “random js toolkit”은 동적으로 생성되는 Javascript-x code로서 단 한번만 접근할 수 있는 random filename을 제공한다. 그 결과, 접근할 때마다 변경된다.

“code obfuscation”이라고 알려진 역학적인 임베딩은 선별적인 방식으로 이루어져 사용자가 악성 코드가 임베드된 페이지를 일단 받았으면, 다음 방문 또는 동일 IP 주소로부터 이후 요청이 있는 동안 다시 참조되지 않을 것이다. 사이버 범죄는 방문 컴퓨터의 IP주소를 저장하여, JavaScript-x가 더 이상 사이트의 소스 HTML을 참조하지 못하도록 한다. 이는 전통적인 signature-based anti-malware 제품들이 malware 탐지를 “거의 불가능”하도록 만든다고 Finjan은 말했다.

이런 소위 교활한 효과는 감염의 기회를 증대시키는 동시에 탐지의 기회를 저지하기 위하여 악성코드의 가시성을 줄인다. 하나의 단일 공격은 악성 Trojan으로 사용자의 컴퓨터를 감염시키기 위해 13개의 다른 exploit으로 응대한다.

이러한 exploit들은 현재의 zero-day 위협과 가용한 패치들보다 앞서나가기 위해 계속적으로 변하기 때문에 “dynamic script-x의 signaturing은 효과적이지 않다. Exploiting code 자체를 singaturing하는 것 또한 효과적이지 않다고 Ben-Itzhak은 설명했다. ‘매우 확실히 의심스러운’ 도메인들의 최신 리스트를 보유하는 것은 단지 이런 공격 벡터에 대항하는 제한된 방어책으로서 작용할 뿐이다.

해커들은 URL 필터링 또는 reputation service 제품을 사용한 탐지를 피하기 위해 여러가지 방법들을 고안해내기 때문에 한계가 있다고 이 보안 회사는 말했다.

사이버 범죄들은 사이트의 다른 모든 방문자에게 악성 컨텐츠를 제공하면서, web crawler에게 정상적인 컨텐츠를 제공하도록 만들게 하는 그들의 공격데이터에 있는 web crawler들-URL 필터링과 reputation service database의 주요 제공처-의 리스트를 유지함으로써 시스템을 망가뜨릴 수 있다.

랜덤한 웹페이지명을 사용하는 것은 필터나 reputation service들이 악성 페이지들의 블랙리스트화를 방해하는 또다른 방법이다. 감염된 사이트로의 모든 방문은 역동적으로 생성되고 공급되는 유니크한 URL을 생성한다. Finjan이 발견한 그러한 감염된 한 사이트는 버클리 대학의 “highly trusted” 도메인이었다.

정당한 사이트의 페이지로 숨겨진 Iframe-x/script-x를 삽입하는 증가하고 있는 사이버 범죄 트렌드의 일부인 random js exploit은 그들의 공격 벡터로서 웹 호스팅 서버를 사용하여 엄청난 사람들에게 보내어 진다. 사이버 범죄는 웹호스팅 서버를 탈취하여 완전한 컨트롤을 취하여 침해된 서버에서 호스팅되는 각 도메인들이 무방비의 최종 사용자들에게 Trojan을 배포시킬 것이다. Finjan에 의하면, 갈취당한 서버로의 각 request는 악성 코드를 추가적으로 요청하는 결과를 초래할 것이다.

웹을 안전하게 보호

웹 위협들은 사이버 범죄가 무방비의 웹 서핑자을 공격하려고 하기 때문에 malware를 위한 선호되는 벡터로서 계속 이어지고 있다고 Sophos의 고문기술위원인Graham Cluley가 말했다.

“해커들이 트래픽이 많은 웹사이트들에 악성 script-x를 심는 것이 점점 일반적이 되고 있다”라고 TechNewsWorld에 말했다. “Sophos는 현재 매일 약 6,000 개의 새로 감염된 웹페이지들을 본다. 이러한 사이트들의 5개 중의 1개만이 의도적으로 악의적인 사이트인, hacker site들이다. ”

“약 80퍼센트는 해킹된 사이트이거나 또는 정당한 웹사이트가 인가받지 못한 3자에 의해 침해된 사이트이다”" 특히 웹 감염을 퍼뜨리는 성공적인 방법은 폭넓은 웹사이트에 보여지는 광고들에 독을 바르는 것이다" 라고 Cluley는 이어 말했다.

배너 광고는 2009년까지 malware를 전달하는데 매우 효력을 발휘할 것이기 때문에, advertising network는 사용자 desktop에 있는 malware의 30%까지 책임이 있을 것이라고 Gartner의 분석가 Avivah Litan이 말했다.

“이것은 사람들이 잘 알지 못하는 감춰진 위협들 중의 하나이고-- 이러한 사기꾼은 무슨 일이 일어나건 광고주로 등록하기 때문에 모든 광고주들을 적절히 심사하는 것은 거의 불가능하다”라고 그녀는 TechNewWorld에 말했다.

이것은 처음 업로드 되어질 때 심사하게 되는 Google과 다른 광고엔진을 통해 악한 사람들이 인터넷에 광고를 띄우는 것이 가능하도록 한다--그러나 그 이후에 malware는 언제든지 광고에 삽입될 수 있다.

“광고 엔진들은 광고 제공을 할 때마다 광고들을 정화하지 않는다. 이것은 기술적으로 어려운 문제이다. 첫째, 처리하는데 즉가적인 재정적인 인센티브가 없다. 이것은 소비자들에게 피해를 입히며, 사람들이 광고 네트워크에서 신의를 잃게 될 때까지 광고 네트워크에게는 피해를 입히지 않을 것이다. 그러나, 광고에서의 모든 malware에 관한 사실들이 발각됨으로써 adware 모델에는 잠재적으로 매우 파괴적일 것이다 ” 라고 Litan은 설명했다.

많은 악성 웹페이지들은 탐지를 회피하고 분석을 어렵게 만들기 위해 “obfuscated JavaScript-x” 를 포함한다. Obfuscated script-x는 전형적으로 시스템에 추가적인 malware component를 다운로드하는 brower exploit을 개시한다. 그것들의 컨텐츠는 동적으로 변경되기 때문에, 이러한 사이트를 탐지하고 차단하는 것은 어렵다” 라고 Cluley는 설명했다.

단순히 도박 또는 포르노 사이트로의 접근을 차단하는 것이 이러한 위협들에 대하여 사용자들을 보호하는데는 부족하다. 무지한 컴퓨터 사용자들을 보호하는 보안 솔루션은 웹페이지들이 위험한 카테고리에 있는지 없는지에 상관없이 그것에서 호스팅되는 malware가 있는지를 결정하기 위해, “신속히(on-the-fly)” 방문한 웹페이지를 검사할 수 있다면, 이런 그리고 다른 웹 위협들로의 웹 접근을 차단하는데 도움이 될 수 있다 ”고 그는 덧붙였다.