| 번호 | 제목 | 등록일 | |
|---|---|---|---|
| 175 | Mass SQL Injection 공격 진행에 따른 악성코드 감염 주의 - 2010-06-18 | ||
| 2010-06-18 | |||
| 최근 사이트 접속자를 악성 도메인으로 리다이렉트 시키기 위한 스크립트 삽입 공격(Mass SQL Injection)이 진행되고 있어 주의가 필요하다는 동향 정보가 있사오니 참고하시기 바랍니다. [요약] 2010년 6월 초(이하 GMT) IIS/ASP를 실행 중인 몇몇 웹 서버가 SQL 삽입공격으로 침해를 당했으며, 악성 javascript를 호스팅 한다는 보고가 있었다. 해당 사이트 방문자는 “ww.robint.us” 로 리다이렉트 되며, 그곳에서 추가적인 공격이 수행된다. 2010년 6월 13일, Armorize Technologies에서 이 공격과 관련된 상세 보고를 발표했다. 공격자들은 Microsoft IIS와 Microsoft SQL Server 데이터베이스를 이용하는 서버에서 실행되고 있는 알려지지 않은 서드 파트 ASP.NET 웹 애플리케이션을 대상으로 한 것으로 보인다. 공격자들은 우선 스캔을 통해 공격 대상을 찾은 후, SQL 삽입 공격을 수행해 사용자를 악성 도메인으로 리다이렉트 시키는 IFRAME 태그를 삽입했다. 해당 도메인은 최근 발견된 Adobe 제품에 영향을 주는 원격 코드 실행 취약성(BID 40586)을 이용하는 공격 코드를 호스팅하고 있었다. 공격에 성공하면, 공격자는 온라인 게임(aion.plaync.co.kr, aion.plaync.jp, df.nexon.com) 인증 정보를 가로챌 목적으로 감염된 컴퓨터에 악성 프로그램을 설치했다: 피해사이트에 접속한 사용자는 스크립트에 삽입된 악성 도메인으로 리다이렉트되는데 이때 사용자 단말의 보안설정이 취약할 경우 악성코드에 감염, 개인 정보 유출 등의 피해 발생이 우려됩니다. 현재까지는 개인 사용자의 온라인 게임 인증 정보 획득이 목적으며, 해당 악성코드는 최근 발표된 Adobe 제품 군 취약점을 이용하는 것으로 알려지고 있습니다. (관련 보안공지 : http://www.krcert.net/secureNoticeView.do?seq=-1&num=423) [예방] 1. 악성도메인 접근 차단 - ww.robint.us - 2677.in - iamcome.in - 4589.in 2. 내부 단말/시스템 패치 확인 - Adobe 제품 취약점 3. 내부 사용자 보안 의식 환기 - 모르거나 의심스러운 링크 접속 자제 등 |
|||
