보안 / 해킹 [긴급] (광고유포추정) 뽐뿌, 랜섬웨어 유포로 ‘홍역’
2016.06.07 13:05
[긴급] 개인정보 유출로 몸살 앓은 뽐뿌, 랜섬웨어 유포로 ‘홍역’
https://www.boannews.com/media/view.asp?idx=50853&kind=1
뽐뿌 광고배너 통한 CryptXXX 랜섬웨어 유포...복호화 불가능
지난 3일부터 7일 새벽까지 유포...어도비 플래시 및 IE 취약점 악용
-------------------------------------------------------------------
역시 IE와 플래시로 퍼졌다고 합니다.
클리앙 때와 같은 수법과 경로인듯한데...
혹시 모르니 뽐뿌 쓰시는 분들중 IE 접속자분들 확인하세요.
IE버전 얘기는 없어서 어느 버전 기준인지 모르겠네요.
댓글 [19]
-
DarknessAngel 2016.06.07 15:59
-
오펜하이머 2016.06.08 01:01
플래시+IE야 취약하다는건 누구나 알지만
ajax가 대세인 시점에 .js 까지 대상이라면 광고가 아니라도 문제는 심각하네요.
변조된(함수몇줄 추가로) JQuey만 심어넣으면 방문자는 끝장인데...
-
DarknessAngel 2016.06.08 02:35
js를 노리는건 주로 구버전 브라우저나 IE처럼 시스템 병합 라이브러리경우 OS자체 라이브러리의 제로데이를 노립니다
다만 최근 1년가량의 랜섬웨어등의 제로데이 대세는 플레쉬/플레쉬/자바입니다 (3개 합치면 80%가까이 됨) (심지어는 올해 대부분의 감염경로에 유포중인 툴이 노리는 버전이 2014~2015년에 패치된 제로데이 기준인데도 감염자가 끝도 없습니다)
js로 문제 일으킬려면 2가지를 충족시켜야합니다
먼저 코드 내용이 익스플로잇을 성공시킬 수 있는 내용을 포함해야합니다 (업데이트하면 대부분 피할 수 있습니다)
이어서 백신등을 피하기위해서 난독화시켜야합니다
-
오펜하이머 2016.06.09 00:04
모든 브라우저는 로컬에 .js를 저장하고 실행하고를 할수 있는데
이를통해 sudo reboot같은 쉘 명령도 살행조차 가능합니다.
그렇게해서
1. javascript에서 어딘가에 있을 악성코드를 wget으로 받아옴
2. require, exec 함수로 그걸 실행하게 하면 접수완료 아닌가요? (백신이 없다면 가능)
-
DarknessAngel 2016.06.09 00:53
보통은 브라우저 뚤려도 브라우저를 실행한 권한과 동일 권한밖에 획득 못합니다
administrator/root같은 계정 아닌 이상 직접 리부트 할 수 없습니다 (sudo등의 권한 상승으로 뭔가 할려면 사용자가 승인해줘야하니 몰래 뭔가 할 수 없죠) (그걸 다 Y눌러주는 구재불능은 어차피 어떤 보안도 소용없습니다)
또한 보통은 시스템 커맨드 실행할려고하면 센드박스때문에 제약되거나, 아에 실행권한 없게 만들어둔 경우도 있습니다)
-
메리아 2016.06.07 16:10
전부 그냥 걸렸다는 얘기만 있고
자기가 뭐 쓰다 걸렸다는 얘기가 없어서 참 애매하다 싶네요.
IE버전이 궁금해서 눈팅 좀 했는데,
태블릿 8.1에서 걸렸다는 사람이 있는데,
arm베이스인지 x86인지 말이없지만, 사실이라면 x86일테죠.
윈8.1이면 최소한 IE11이므로,
IE는 전부 위험이라고 봐도 되겠네요.
윈10써서 엣지정도면 모를까...
-
오펜하이머 2016.06.09 17:09
뭘 쓰고자시고 없습니다.
누군가 서버에 침투해서 몰래 심어놓으면
그곳 방문자는 클릭 한방으로 모든게 끝나요.
-
노래하는다롱이 2016.06.07 17:55 IE에서 플래쉬 사용이 위험한건가요? 파폭이나 크롬, 오페라 등에서 플래쉬 사용은 괜찮은 거고...
-
메리아 2016.06.07 18:20
플래시도 액티브X와 비슷하다 보시면 됩니다.
다만 플래시는 리눅스고 뭐고 할거없이 다 미리 깔아준다는 차이일뿐.
즉, 보안위협은 처음부터 있었습니다.
그런데 파폭,크롬 같은 경우에는 어느정도 우회적인 처리를 하기 때문에 당하기가 어려운거죠.
다만 절대적이진 않구요. 걔네도 뚫리긴 뚫립니다. 그래도 아직 널리 퍼지진 않았구요.
기본적으로 플래시광고에 쓰는 스크립트가 왠만한 AX 수준으로 사용이 가능하기 때문에,
사용자 모르게 파일을 다운받고 실행이 가능합니다.
원래 그정도의 악성코드는 다 있었는데, 랜섬웨어가 치명적이고 비교적 단순하다보니 맹위를 떨치게 되고 크게 시끄러워진거죠.
그러고보니 플래시 말고, 일반 동영상포맷에도 스크립트 들어가는 종류가 있는데,
그걸 이용해서 embed 태그로 해먹는 악성코드도 있었던거 같은데...
요새 그거는 얘길 별로 못들어봤네요. 보안패치 돼서 막혔나?
어쨌거나 이번 사태에서 보듯이
IE + 플래시 조합은 상당히 위험하니까,
IE자체를 자제하는게 좋다고 봅니다.
-
노래하는다롱이 2016.06.07 20:00 이해하기 쉽게 설명해주셔서 고맙습니다. IE는 아예 안 쓰는지라 조금 안심이 되네요.
-
오펜하이머 2016.06.08 01:06
IE만을 강요하는 관공서가 많아 다른나라보다 국내 피해자가 월등히 많은것 같습니다.
-
DarknessAngel 2016.06.08 02:39
어떤 브라우저든 같은 플레쉬 버전이면 동일하게 뚤립니다
문제는 뚤린 다음입니다
IE경우 OS 병합이라 뚤리면 최저한도로 현계정의 권한을 거의 확실하게 획득가능합니다 (다중 구성해서 다른 익스플로잇 다운로드후 실행하게 만들면 system이나 더 상위 권한도 노릴 수 있습니다)
-
찰리강 2016.06.07 19:32
IE 쓸일은 가끔 고클린이라는거 돌리고 나서 끌때 브라우저창 열리며 광고사이트가 열리는게 있는데.... 그때 IE가 열린다는 점.....;;;;
-
슈퍼맨 2016.06.08 10:22
해킹사건이후로 또터졌으니 탈퇴자가 속출하겠네요..
-
댕돌 2016.06.08 19:15
ie11 사용중이지만 이상없네요.
-
쏴리벗고팬티질러 2016.06.08 22:08
익플 구버전을 안쓰는게 답인가요 ㅠㅠ 무서워서 원
-
DarknessAngel 2016.06.09 00:54
꼭 구버전이 필요하시다면 최신인 11 설치후 포터블로 빌드해서 써주세요 (다만 ~8는 포터블도 잘 구동 안 되므로 대책 없음)
-
컴퓨터악마 2016.06.10 13:54
전 윈도우10 64비트 이구요. 주로 크롬 사용하고요. ie 11 은 은행이나 관공서들어갈때만 사용합니다. 그외 게임도 모두 크롬에서 실행되니 크롬을 많이 사용하고요. 크롬브라우저가 플래쉬를 지원안하기로 한 이유가 있었네요.
-
Alen 2016.06.20 14:31
크롬에 Ad block plus 확장 프로그램으로 설치하면 광고배너가 차단되어 이런 랜섬도 피할 수 있지 않을 까요
윈10에서 edge 브라우저 사용해도 랜섬 감염된 사례도 있을 지 궁금합니다.
몇번째 있는일이긴한데 플레쉬로 유포하는것 막는것자체가 현실적으로 거의 불가능합니다
거의 모든 시스템이 플레쉬 깔려있는데, 사용자가 업데이트하도록 100% 강요하는건 거의 불가능합니다
심지어는 삭제해도 재설치하니 의미가 없습니다
근본적인 해결책은 광고차단입니다 (대부분의 익스플로잇이 광고등의 swf, js를 노리는 방법이 가장 쉬우므로 우선적으로 고려합니다 (이걸로 안 되면 서버자체를 해킹해서 심어야하는데, 수고가 비교가 안 됩니다)