* 주의 사항 *
절대 소니 플레이스테이션 사이트(http://www.playstation.co.kr)에 접속하지 마세요. 악성 코드가 유포되고 있습니다.
네이버 뉴스에 '소니 플레이스테이션 사이트 해킹당해' 라는 제목의 글이 올라왔기에 해당 사이트에 접속해본 결과, 여전히 중국 해커가 장악하고 있는 상황입니다.
( 2차례에 걸쳐 AVG 백신이 경고 하는 모습 )
AVG 백신이 경고하는 파일은 Help.htm 파일과 Help2.htm 파일이며 '임시 인터넷 파일' 폴더에는 Help[1].htm, Help2[1].htm 이라는 이름으로 저장됩니다.
Help.htm 파일은 HTML 파일 확장자를 가장한 윈도우 ANI 취약점 공격 툴입니다.
( 에디터로 Help.htm 파일을 살펴본 결과 )
해커의 사이트에서 공격 도구를 추가적으로 다운받으려 하는 것을 볼 수 있습니다.
Help2.htm 파일은 JavaScript 파일이며, 분석을 어렵게 하기 위해 간단한 암호화(?) 기법을 사용하고 있습니다.
( 에디터로 Help2.htm 파일을 살펴본 결과)
머니투데이가 제공한 네이버 뉴스에 따르면
라고 적혀있는데 여전히 문제가 해결 안된 듯 하네요.
아마 담당자가 해킹 당한 근본 원인을 해결하지 못한 상태에서 악성 코드만 지웠기 때문에, 해커가 다시 침입한게 아닌가 싶습니다. 홈페이지에 적혀있는 전화번호로 연락해보았지만, 업무 시간이 아니라는 안내 메시지만 나오는군요.
당분간 플레이스테이션 홈페이지 접속하실 분들은 각별히 주의하시는 것이 좋겠습니다.
--- 추가 ---
새벽 2시 30분~새벽 4시 사이에 해커가 전략을 변형하면서 사이트를 몇 번씩 건드리고 있는 흔적이 보이고 있네요.
지금 확인한 상태로는 소니 홈페이지에 해커 사이트에 대한 링크를 추가해놓고 실제 공격 툴은 해커 홈페이지에서 호스팅 하고 있습니다.
( 홈페이지 메인 소스에 해커 사이트에 대한 iframe 태그를 삽입한 모습 )
해커 홈페이지에 올라가 있는 Help.htm 의 원래 소스는 아래와 같습니다.
( Help.htm 의 원래 소스)
iframe 태그를 이용해 Help1.htm, Help2.htm 을 불러 들이는 것을 볼 수 있습니다.
Help1.htm 의 원래 소스는 아래와 같습니다.
( Help1.htm 의 원래 소스 )
사용자 브라우저와 OS 를 파악해서 Windows 2000, XP 에서 인터넷 익스플로러 6 나 7 을 사용하는 사용자를 대상으로 하고 있습니다. Help2.htm 은 위에서 보여드렸던 암호화된 자바스크립트이니 생략하구요.
진짜 공격을 수행하는 Help.asp 를 보여드리겠습니다. 분석하는 사람들을 교란하기 위해 특정 인자를 주어야만 공격하도록 하고 있습니다.
( 특정 인자를 지정했을 때만 ANI 취약점 공격하는 모습 )
해커 사이트에서 다운받는 실행 파일을 VirusTotal 에서 검사해본 결과는 다음과 같습니다.
( VirusTotal 검사 결과 )
중국산 Viking 바이러스의 변종인 듯 한데, 아직 많은 백신들이 탐지를 못하고 있는 모습입니다.
절대 소니 플레이스테이션 사이트(http://www.playstation.co.kr)에 접속하지 마세요. 악성 코드가 유포되고 있습니다.
네이버 뉴스에 '소니 플레이스테이션 사이트 해킹당해' 라는 제목의 글이 올라왔기에 해당 사이트에 접속해본 결과, 여전히 중국 해커가 장악하고 있는 상황입니다.
( 2차례에 걸쳐 AVG 백신이 경고 하는 모습 )
AVG 백신이 경고하는 파일은 Help.htm 파일과 Help2.htm 파일이며 '임시 인터넷 파일' 폴더에는 Help[1].htm, Help2[1].htm 이라는 이름으로 저장됩니다.
Help.htm 파일은 HTML 파일 확장자를 가장한 윈도우 ANI 취약점 공격 툴입니다.
( 에디터로 Help.htm 파일을 살펴본 결과 )
해커의 사이트에서 공격 도구를 추가적으로 다운받으려 하는 것을 볼 수 있습니다.
Help2.htm 파일은 JavaScript 파일이며, 분석을 어렵게 하기 위해 간단한 암호화(?) 기법을 사용하고 있습니다.
( 에디터로 Help2.htm 파일을 살펴본 결과)
머니투데이가 제공한 네이버 뉴스에 따르면
소니가 운영하는 플레이스테이션코리아(http://www.playstation.co.kr)가 지난 3일부터 중국발 해킹을 당해 이곳을 통해 악성코드가 유포되다가 4일 오후 2시쯤 긴급조치됐다.
이곳을 통해 유포된 악성코드는 최근에 보고된 MS 윈도 ANI파일 취약점을 악용한 공격코드다. 네티즌이 해당 웹사이트를 방문하게 되면 이곳과 자동 연결(링크)돼 있는 특정 중국 웹사이트(http://www.XX96.com)에 숨겨진 공격코드가 이용자 PC에 자동으로 깔리게된다.
라고 적혀있는데 여전히 문제가 해결 안된 듯 하네요.
아마 담당자가 해킹 당한 근본 원인을 해결하지 못한 상태에서 악성 코드만 지웠기 때문에, 해커가 다시 침입한게 아닌가 싶습니다. 홈페이지에 적혀있는 전화번호로 연락해보았지만, 업무 시간이 아니라는 안내 메시지만 나오는군요.
당분간 플레이스테이션 홈페이지 접속하실 분들은 각별히 주의하시는 것이 좋겠습니다.
--- 추가 ---
새벽 2시 30분~새벽 4시 사이에 해커가 전략을 변형하면서 사이트를 몇 번씩 건드리고 있는 흔적이 보이고 있네요.
지금 확인한 상태로는 소니 홈페이지에 해커 사이트에 대한 링크를 추가해놓고 실제 공격 툴은 해커 홈페이지에서 호스팅 하고 있습니다.
( 홈페이지 메인 소스에 해커 사이트에 대한 iframe 태그를 삽입한 모습 )
해커 홈페이지에 올라가 있는 Help.htm 의 원래 소스는 아래와 같습니다.
( Help.htm 의 원래 소스)
iframe 태그를 이용해 Help1.htm, Help2.htm 을 불러 들이는 것을 볼 수 있습니다.
Help1.htm 의 원래 소스는 아래와 같습니다.
( Help1.htm 의 원래 소스 )
사용자 브라우저와 OS 를 파악해서 Windows 2000, XP 에서 인터넷 익스플로러 6 나 7 을 사용하는 사용자를 대상으로 하고 있습니다. Help2.htm 은 위에서 보여드렸던 암호화된 자바스크립트이니 생략하구요.
진짜 공격을 수행하는 Help.asp 를 보여드리겠습니다. 분석하는 사람들을 교란하기 위해 특정 인자를 주어야만 공격하도록 하고 있습니다.
( 특정 인자를 지정했을 때만 ANI 취약점 공격하는 모습 )
해커 사이트에서 다운받는 실행 파일을 VirusTotal 에서 검사해본 결과는 다음과 같습니다.
( VirusTotal 검사 결과 )
중국산 Viking 바이러스의 변종인 듯 한데, 아직 많은 백신들이 탐지를 못하고 있는 모습입니다.
덧글
헐랭이 2007/04/05 04:49 # 답글
peterpan // 밤샘하던 관리자가 결국 못이기고 서버를 내렸나보네요. 악성코드가 발견되었다가 안되었다가, iframe 삽입위치도 바뀌고 해서 '해커가 불필요하게 깨작거리면서 전략을 바꾸고 있나 보다'라고 판단했는데, 관리자와 해커가 밤샘 경쟁을 하고 있었던 까닭이군요.샘플은 위의 글을 참조해서 직접 해커 사이트에서 얻으시면 됩니다. 제가 보내드릴 수도 있고...
헐랭이 2007/04/05 04:51 # 답글
peterpan// 사이트 관리자가 서버 다시 올렸습니다.
peterpan 2007/04/05 04:51 # 삭제 답글
down.exe는 확보하였으나 나머진 윈도우 게스트 이미지를 못찾고 컴터를 밀각오를 하고 접근했는데 ...날라가버렸습니다.
peterpan 2007/04/05 04:52 # 삭제 답글
크윽 쌈질 구경하기 너무 힘드네요 때리느놈 기술 훔치기도 힘드고 이 밤에 기술 엿보기라니..
조광민 2007/04/05 11:02 # 삭제 답글
헐랭이님의 블로그 글 잘 보고 있는 사람입니다.^^항상 좋은 글 올려 주셔서 감사합니다. 혹시 보안 관련 공부 방법에 대해서도 글 한번 올려 주시면 감사하겠습니다.^^
즐거운 하루 되세욤^^
헐랭이 2007/04/05 17:39 # 답글
조광민// 안녕하세요. 공부 방법에 대해서 글을 적을 만큼 아는 게 많지 않아서 고민입니다. 저도 좀 더 공부한 다음에 천천히 써보도록 노력하겠습니다.
Vincent 2007/04/05 21:27 # 답글
허어.. 자주 들어가는 사이트인데 ...
헐랭이 2007/04/06 13:11 # 답글
KISA에서 문제 해결을 위해 노력 중이며, 0x96.com 은 ISP 레벨에서 차단되었음.