Drive by download 공격 에 대해 알아보자

월간_악성코드_은닉사이트_탐지_동향_보고서(1월).pdf

Drive by download에 대해 알아보자 

음음 .. 회사 인턴 할 때 찾아본 Drive by download 공격이다 

진짜 온갖 관련된 국 내외 논문은 다 읽어본 것 같다 ...... 어흑 ... 영어 덕분에 고생을 아주아주 많이 했지 .. 

우선 Drive by Download 가  무엇이냐 하면 

옛날에 바이러스의 전파 경로가 이메일을 이용한 것 이 었다면 

요즘은 인터넷들의 성능이 좋아져 웹사이트에 접속하기만 해도 바이러스에 감염되는 것을 말한다 .

특징은 취약점을 이용해 대규모로 가능하다는 점이다 .

이것은 웹사이트를 SQL 인젝션 같은 침투 방법이다.

악성코드 유포지로 연결 시켜주는 스크립트를 포함하여 사용자는 웹사이트 접속만으로도 감염된다 .

피해가 큰 이유가 암시장같은 곳에서 익스플로잇 도구 (Exploit kit)을 쉽게 구할수 있고 

자동화되어 쉽게 전파가 가능하기 때문이다 .

한마디로 검증되지 않은 악성코드 유포지를 거칠경우 누구나가 걸릴 수 있다는 것이다 .

옛날엔 최소한 검증되지 않은 이메일을 접속했다는 이유라도 있었지만 

이건 자기가 걸렸는지 ..는 알려나 모르겠다 . 접속과 동시에 걸리니까 말이다 .

대표적으로는 크립토 락커 (Crypt0L0cker)라는 랜섬웨어가 있었다 .

크립토 락커라 .. .이것이 무엇이냐면 

이것이다 . 크립토 락커 .. 아주아주 악랄한 랜섬웨어다 .

이것은 PC에 있는 모든 파일을 암호화 하여 정상적인 사용을 못하게 한다 .

파일을 복호화 하려면 비트코인을 요구한다 . 

맞다 .강도다 .. 그것도 날강도 ...이녀석들은 우리의 컴퓨터를 인질로 잡고 우리에게 돈을 요구하고 있다 .

시간이 지날수록 가격도 올라간다. 근데 돈준다고 복호화 되는지는 확인 못해봤다 .. (가격도 아주아주 비싸다)

걸리면 그냥 포맷 하는게 답이다 ..

아직까지도 방법이 있나 모르겠는데 .. GPUGP를 이용해서 하면 된다고 하지만 얼마나 걸릴지 의문이다 .

슬슬 약빨이 떨어질 때도 됬는데 .. 아직도 기승이다 .(친구중에 한명 걸림 ..)

크립토 락커는 해외에선 한때 유행을 했었던 랜섬웨어이다 .

국내엔 아마 작년 ? 정도에 한글 패치까지 되어서 우릴 괴롭혔다 .

이것을 왜 언급 했느냐 

맞다. 이것은 Drive by download 를 이용하여 전파 되었다 .

에이 ..설마 내가 걸리겠어 ?? ㅋㅋ

호구만 걸리겠지 ㅋㅋㅋ 하시는 분들 있을지도 모른다 .

근데 이게 국내에서도 한번 사고가 터졌었다 .

기사 링크 (http://www.ajunews.com/view/20150421135545134)

클리앙 사이트가 아주 발칵 뒤집힌 사건이었다 . 접속하는 사람들이 족족 다 걸려들었으니 말이다 .

해당 사이트에 익스플로러로 접속한 사람들은 접속 하는 족족 걸려들었다 .

자..이쯤 되면 눈치 챘는가 ?? 

Drive by download 공격은 해당 컴퓨터의 취약점을 이용한 공격방법이다 .

이게 우리가 쓰는 프로그램을 항상 업데이트를 해줘야하는 이유이다 .

어떤 식으로 공격되는가 ?? 한번 알아보면 

아까전의 그림은 좀 간략을 심하게 한 케이스다 .

음 ... 어... 뭐 .. 과정 하나만 더 추가 됬네 뭐 ... 다 이해하기 쉽게쉽게 해서 그렇다 .

우리가 실행하는 모든 프로그램에는 취약점이 있다 .(있을 것이다 . 완벽한 것은 없을 꺼니까)

그것이 관리자가 관리의 편의성으로 의도 하든 의도하지 않든 말이다 .

ㅋㅋ 제 컴엔 그런거 없는데요 ??? 전 안전한데욬ㅋ ??? ㅋㅋ하지않았으면 좋겠다 .

가장 많은 취약점이 우리가 흔히 사이트 들어가면 나오는 광고인 어도비 플레시 에서 나왔으니까 말이다 .

 (플레시에 액션스크립토로 이런것도 가능하구나 .. .신기 ..) 

어이구... 취약점이 많기도 하다 .. 이게 무엇을 뜻하면 우린 아주아주 침투당할 경로가 많다는 것이다 

(위의 표는 2016년 1년 악성코드 동향 문서에 나온 표 이다.)

Drive by Download 공격은 다음과 같은 취약점을 이용한다 .

아직 발견되지 않은 취약점도 이용한다 .

고로 우린 뭐가 나올지 모른다 .

이곳 KISA 보호나라 홈페이지에서 볼 수 있다. 

KISA 보호나라 링크 (http://www.krcert.or.kr/data/reportList.do)

이쯤되면 슬슬 두려워 질 것이다 .. 부들부들 

그럼 우리가 대처할 수 있는 방법은 무엇인가 ?? 

우리가 할 수 있는 방법이라곤 각종 프로그램의 최신화 와 백신 프로그램 , 방화벽 사용이 다 일것이다 .

해당 공격에 대해선 아직까지 확실한 답이 없다고 봐야한다 .

업데이트 해도 나오고 해당 취약점을 고치지 못했다면 말할 필요도 없고 

(실제로 동향 보고서를 보면 몇 개월씩 계속 있는 취약점 이슈가 나오고 있다 ) 

자아 .. 이쯤되서 몇 줄로 이 문서를 요약해보자 

Drive by Download 요약 

1.검증되지 않은 웹사이트 접속시 걸림 ( 아니어도 걸림 ) 

2.만약 자신의 PC에 설치된 프로그램중에 최신이 아닌것이 있다 

3.그럼 이미 접속과 동시에 걸려있다 .

우리가 할수 있는일

 

1. 백신 , 방화벽 사용

2.프로그램 최신화

3.검증되지 않은 사이트 되도록 접속 금지 

위 내용대로 했어요 뿌잉뿌잉 근데 걸림 .. 순 사기 아님 ?? 

이러지 말아 줬으면 한다 .

인류는 원래 무기가 있고 방패가 있지 

무기가 없었으면 방패도 필요없었을 것이다 .

우린 피해 받아야 대안을 찾는 족속이니까 .. 

앞으로 인터넷이 발달 할 수록 뭐가 나올지 모르겠다 .. 솔직히 좀 무섭기도 하다 .

해당 방법에 대해선 해마다 갖가지 논문이 나온다 .

(국, 내외 논문에 대한 무료논문은 다 본것 같다 ) 

조만간 답이 나올 것이다 .

하지만 그에대한 무기들도 더더욱 강해질 것이다 .

우린 그 무기에 대항 할수 있는 방패를 만들어야한다 .

(그는 진지 했다 . 궁서체다 )

스스로 주의하라 !

이 감기처럼 흔한 질병같은 바이러스 속에서 ! 

한번 보는것도 나쁘지 않을 것 같아서 

월간 악성코드 은닉사이트 탐지 동향 문서(2016.1) 는 맨 위에 붙여 넣었다 .

이만 끝 !