IT이야기2010. 6. 16. 18:43
최근 월스트리트 저널(online.wsj.com)등을 포함한 MS IIS 서버와 ASP.net환경의 서버에 대량 SQL Injection(Mass SQL Injection) 공격이 이뤄지고 있으니 주의가 필요하다.

해킹된 사이트에는 _script src=http://ww.robint.us/u.js_ 스크립트가 삽입이 되었다. 그 이후에 2677.in/yahoo.js, 4589.in/yahoo.js 등의 도메인으로 스크립트를 삽입하고 있다. 최근 Adobe Flash 0-day 취약점(CVE-2010-1297)이 발생했다. 이 취약점을 패치하지 않은 유저가 해킹된 사이트를 방문하면 악성코드에 감염이 된다. Armorize Blog(상세한 분석 자료 있음)에 따르면 이 악성코드는 다음 3개 게임 사이트의 게임 계정을 가로채는 것으로 알려졌다.
 
aion.plaync.co.kr
aion.plaync.jp
df.nexon.com

구글에서 2677.in/yahoo.js 또는 4589.in/yahoo.js를 검색하면, 프레시안(현재는 정상 복구된 것으로 보임), 한국표준협회, 아산시 평생학습센터 등 다수의 국내 사이트들이 감염된 것을 확인할 수 있다.

[ 구글에서 '2677.in/yahoo.js' 검색 결과 ]


유저들은 KrCERT의 권고문을 살펴보고, 반드시 Adobe Flash Player(http://get.adobe.com/flashplayer/)를 업데이트해야 한다.

마지막으로 위 도메인의 등록정보를 살펴보자. 3개 모두 중국(CN)에서 등록을 했다. 등록일이 얼마되지 않았다. 스크립를 호스팅하기 위해 생성한 도메인이라는 것을 뜻한다. 그리고, 도메인이 차단될 경우에 유사 도메인으로 계속 등록을 시도할 가능성이 커보인다.

1. robint.us
   Domain Registration Date:                    Sun Mar 14 05:28:08 GMT 2010
   Domain Last Updated Date:                    Tue Jun 08 05:10:09 GMT 2010

2. 2677.in
   Created On:10-Jun-2010 10:33:51 UTC
   Last Updated On:12-Jun-2010 15:59:46 UTC

3. 4589.in
   Created On:13-Jun-2010 08:13:07 UTC
   Last Updated On:13-Jun-2010 08:13:08 UTC


* 관련 정보

  - Mass infection of IIS/ASP sites - robint.us
  - Mass infection of IIS/ASP sites - 2677.in/yahoo.js
  - 대량 SQL Injection 공격 주의 (2009.12월)
Posted by 좋은진호

댓글을 달아 주세요

  1. 아이온 사용자 계정이 위험해 보이는군요.

    2010.06.24 01:07 [ ADDR : EDIT/ DEL : REPLY ]
    • 예. 서버의 취약점과 PC유저의 취약점을 모두 악용하는 공격자들 때문에, 관리자나 이용자나 보안에 신경써야 할 것 같습니다.

      2010.06.24 13:02 신고 [ ADDR : EDIT/ DEL ]
  2. 보안이란게 중요한줄 알면서도 문제가 생겨서야 찾아보게 되네요. 주말이라 밀린일 정리하다 보니 지인분의 웹서버에 http://www.xzjiayuan.com/ad/yahoo.js 파일이 로딩되고 있네요 ㅜㅜ.

    좋은 정보 감사합니다.~ 열심히 구독하도록 하겠습니다.

    2010.09.04 15:21 [ ADDR : EDIT/ DEL : REPLY ]
    • 문제 생기고 나서, 다음에 같은 조건으로는 당하지 않도록 조치취하는 것만 해도 그나마 다행인 것 같아요. 당하고도, 해당 파일만 쏙 지워서 처리하는 경우도 있어서... ^^

      감사합니다.

      2010.09.10 12:59 신고 [ ADDR : EDIT/ DEL ]