2017.11.02

“기본 상도덕도 없었다"··· 백도어 심어 피싱 킷 판매

Liam Tung | CSO
피싱 킷 중 상당수에 제작자의 백도어가 포함돼 있었던 것으로 나타났다. 이중인증 보안업체 듀오 랩(Duo Labs)의 연구자 조단 라이트가 피싱이 의심되는 6만 6000개 URL을 분석한 결과를 공개했다. 그는 이 사이트에서 3200개 피싱 킷을 찾아 분석했는데, 이 중 200개에 백도어가 있었다.

피싱 킷은 지난 수년간 급속히 늘어났다. 여러 피싱 캠페인에 걸쳐 재사용할 수 있는 다양한 툴의 패키지로 구성돼 있다. 페이팔이나 오피스 365, 은행 사이트 등의 가짜 로그인 페이지 같은 것이다. 여러 언어를 지원하고 피해자가 입력한 계정 정보를 검증한 후 실제 정상적인 페이지로 이동하는 기능도 들어가 있다.

라이트에 따르면, 이 피싱 킷은 주로 zip 파일 형태로 제공된다. 피싱 이메일을 보내는 데 사용되는 CMS 보안 취약점을 가진 호스트에 업로드된다. 이 이메일에는 새 피싱 사이트의 주소가 포함되며, 탈취한 계정 정보는 이메일을 통해 공격자에게 전달된다. 흥미로운 점은 이러한 피싱 킷을 판매하는 사람들이 종종 킷 내부에 백도어를 심어 이른바 ‘무임승차’를 한다는 것이다. 피싱 킷 200개에서 백도어가 발견됐다.

라이트는 “다른 범죄자에게 이런 피싱 키트를 팔거나 배포하는 사람들은 백도어를 통해 자신이 판매한 키트를 통해 감염시킨 호스트에 접속하는 것으로 나타났다. 범죄자들 사이에는 기본적인 명예나 신뢰가 없다는 것을 잘 보여준다”라고 말했다.

라이트의 연구는 피싱 킷이 대규모로 확산하는 방식도 보여준다. 많은 피싱 공격자가 간단하게 zip 파일을 남겨 누구나 이를 다운로드해 무엇을 수집하고 어디에 보내는지를 분석할 수 있도록 허용했다. 라이트 역시 이렇게 배포된 6만 6000개 URL을 분석해 3200개 피싱 킷을 찾을 수 있었다.

피싱 킷 사용자가 감염된 서버에 상주하는 방식도 확인됐다. 넷크레프트(Netcraft), 소포스(Sophos), 어뷰즈(abuse.ch), 포티넷(Fortinet), 카스퍼스키(Kaspersky) 같은 유명 위협 인텔리전스 서비스용 IP를 차단하는 것으로 나타났다. 또한, 피싱 킷 대부분이 감염된 것으로 의심되는 워드프레스 사이트에서 운영되는 것으로 확인됐다. 워드프레스의 보안이 허술하다는 것을 의미하는 것은 아니지만 2위였던 마젠토(Magento)보다 압도적으로 많았다.

라이트는 “현재 워드프레스를 사용하고 있다면, 피싱 공격을 준비하는 해커의 방문을 피하기 위해 가능한 업데이트를 신속하게 설치하는 것이 좋다”라고 말했다. 한편 워드프레스 개발팀은 2일 워드프레스 4.8.3 버전을 발표했다. 보안 전문가 안토니 페라라가 발견한 SQL 인젝션 취약점을 해결한 패치가 포함돼 있다. ciokr@idg.co.kr 



2017.11.02

“기본 상도덕도 없었다"··· 백도어 심어 피싱 킷 판매

Liam Tung | CSO
피싱 킷 중 상당수에 제작자의 백도어가 포함돼 있었던 것으로 나타났다. 이중인증 보안업체 듀오 랩(Duo Labs)의 연구자 조단 라이트가 피싱이 의심되는 6만 6000개 URL을 분석한 결과를 공개했다. 그는 이 사이트에서 3200개 피싱 킷을 찾아 분석했는데, 이 중 200개에 백도어가 있었다.

피싱 킷은 지난 수년간 급속히 늘어났다. 여러 피싱 캠페인에 걸쳐 재사용할 수 있는 다양한 툴의 패키지로 구성돼 있다. 페이팔이나 오피스 365, 은행 사이트 등의 가짜 로그인 페이지 같은 것이다. 여러 언어를 지원하고 피해자가 입력한 계정 정보를 검증한 후 실제 정상적인 페이지로 이동하는 기능도 들어가 있다.

라이트에 따르면, 이 피싱 킷은 주로 zip 파일 형태로 제공된다. 피싱 이메일을 보내는 데 사용되는 CMS 보안 취약점을 가진 호스트에 업로드된다. 이 이메일에는 새 피싱 사이트의 주소가 포함되며, 탈취한 계정 정보는 이메일을 통해 공격자에게 전달된다. 흥미로운 점은 이러한 피싱 킷을 판매하는 사람들이 종종 킷 내부에 백도어를 심어 이른바 ‘무임승차’를 한다는 것이다. 피싱 킷 200개에서 백도어가 발견됐다.

라이트는 “다른 범죄자에게 이런 피싱 키트를 팔거나 배포하는 사람들은 백도어를 통해 자신이 판매한 키트를 통해 감염시킨 호스트에 접속하는 것으로 나타났다. 범죄자들 사이에는 기본적인 명예나 신뢰가 없다는 것을 잘 보여준다”라고 말했다.

라이트의 연구는 피싱 킷이 대규모로 확산하는 방식도 보여준다. 많은 피싱 공격자가 간단하게 zip 파일을 남겨 누구나 이를 다운로드해 무엇을 수집하고 어디에 보내는지를 분석할 수 있도록 허용했다. 라이트 역시 이렇게 배포된 6만 6000개 URL을 분석해 3200개 피싱 킷을 찾을 수 있었다.

피싱 킷 사용자가 감염된 서버에 상주하는 방식도 확인됐다. 넷크레프트(Netcraft), 소포스(Sophos), 어뷰즈(abuse.ch), 포티넷(Fortinet), 카스퍼스키(Kaspersky) 같은 유명 위협 인텔리전스 서비스용 IP를 차단하는 것으로 나타났다. 또한, 피싱 킷 대부분이 감염된 것으로 의심되는 워드프레스 사이트에서 운영되는 것으로 확인됐다. 워드프레스의 보안이 허술하다는 것을 의미하는 것은 아니지만 2위였던 마젠토(Magento)보다 압도적으로 많았다.

라이트는 “현재 워드프레스를 사용하고 있다면, 피싱 공격을 준비하는 해커의 방문을 피하기 위해 가능한 업데이트를 신속하게 설치하는 것이 좋다”라고 말했다. 한편 워드프레스 개발팀은 2일 워드프레스 4.8.3 버전을 발표했다. 보안 전문가 안토니 페라라가 발견한 SQL 인젝션 취약점을 해결한 패치가 포함돼 있다. ciokr@idg.co.kr 

X