헐랭이와 IT보안 (opt9's IT Security)

악성코드 제작자 중에 Cafe24 호스팅을 적극적으로 활용하는 사례를 발견했습니다. 중국발 해킹 기법을 이용해 악성 코드를 퍼뜨리는 중국 서버에 접속하면 아래와 같은 경고창이 뜹니다.



임시 인터넷 폴더에는 아래와 같은 파일들이 생성됩니다.



흥미롭게도 cafe24.com 파일이 함께 생성되는 것을 보실 수 있습니다. 악성 코드 소스를 들여다보면 그 원인을 알 수 있습니다.



백신의 탐지 회피 기법을 사용 중인 것을 확인할 수 있습니다. 소스 끝 부분에는 놀라운 테크닉이 적용되어 있습니다.

소스 말미에 나오는 내용은 Cafe24 호스팅에서 고객들에게 제공하는 웹로그 분석 서비스 관련 코드 입니다. 이해가 잘 안가시면 이글루의 통계 기능을 생각하시면 됩니다.

Cafe24 사용자 아이디가 중국식 이름인 것을 보아 중국 해커가 Cafe24 에 가입하여 웹 로그 분석 서비스를 활용하고 있는게 아닌가 싶습니다.

아마 이 해커는 자신이 퍼뜨린 악성 코드에 감염된 사람들이 '어느 사이트에서 감염되어 접속하는지'를 알고 싶었나 봅니다. 이런 통계를 파악해두면 앞으로 악성 코드를 전파할 때 비용 대비 효과가 높은 사이트에만 악성 코드를 심고, 효과가 낮은 사이트는 괜히 뚫을 필요가 없겠죠. 낚시로 치면 여러 군데 밑밥을 뿌려놓고 어디가 잘 잡히는지 파악해두려는 것입니다.

나름대로 경제 관념이 투철한 해커인 듯 합니다. 최소의 노력으로 최대의 효과를 얻고 싶어하는 스타일... 결과적으로 일평균 방문자 수가 높은 사이트일 수록 이 해커의 타겟이 되기 쉽습니다.

그나저나, 자기 서버쪽에 웹 로그 분석 프로그램을 설치해도 되는데 Cafe24 호스팅을 이용하는 이유가 무엇인지 궁금하군요.

중국 해커가 퍼뜨리고 있는 악성 코드를 Virus Total 에서 분석해보면 아래와 같은 결과가 나옵니다.



아직 많은 백신이 탐지 못하고 있는 것을 보실 수 있습니다.