보안분석 : 탈취된 홈페이지를 통한 악성코드 유포 정보 (2019.02.11)

공격자는 홈페이지를 탈취하여 웹페이지를 삽입하고, 자신이 업로드한 파일을 다운로드 받을수 있도록 설정을 해두었습니다. 발견된 사이트들의 특징을 보면 대부분 워드프레스를 사용하고 있는것으로 확인이 됩니다.

삽입된 웹페이지는 모두 비슷한 형태로 구성되어 있으며, 다운로드 링크 클릭시 악성코드 유포지로 설정된 URL로 접속하여 정상파일로 위장한 랜섬웨어를 다운로드 받도록 설정되어 있습니다. 웹페이지 내부에는 특정 스크립트를 삽입하여 한번 접속한 웹 페이지는 사용할 수 없도록 설정되어 있으며 재접속시 정상페이지가 나타나도록 설정이 되어 있습니다.

해당 페이지는 동일한 사이트를 다시 재접속한 화면 입니다. 페이지를 보시면 정상적인 페이지로 보이고 다운로드 링크는 사라진것을 확인할 수 있습니다.

현재 악성코드 유포지로 악용된 홈페이지는 상당수로 확인이 되며, 공격자는 검색 시 상단에 노출시키기 위한 방법으로 악성코드 삽입 페이지의 본문의 내용을 여러 번 반복해 입력한 것으로 보입니다.

해당 페이지의 소스코드를 확인하면 실제 다운로드 링크를 확인할수 있습니다.

악성코드 유포 페이지 본문의 내용 중 일부를 검색하면 공격자에게 탈취되어 악성코드 유포지 사이트로 추정되는 페이지를 확인할수 있습니다.

이처럼 다양한 방법으로 랜섬웨어에 감염이 될수 있으므로 확인되지 않은 메일이나 링크는 클릭음 자제하시어 2차 예방을 하시기 바랍니다.