Iframe을 이용한 악용사례

최근 Google play 스토어에서 악의적인 iframe을 포함하는 여러 Android앱을 발견했습니다.
오늘은 Iframe을 악용한 사례에 대해 알아보겠습니다.

 

먼저 과거의 iframe 악용 방식입니다.
Brenz.pl을 검색하면 온라인 결과가 몇 가지 있는데, 그 중 일부는 2009년으로 거슬러 올라갑니다.
악성프로그램 제작자는 이 도메인을 drive-by 공격에 사용했습니다.
악의적 실행파일이 도메인에서 호스팅 되고, 의심하지 않는 사용자가 클릭하여 속임수를 쓰거나,
도메인을 방문하여 컴퓨터를 감염시키는 공격이었습니다.

 

• 2009 – Mcafee는 brenz.pl에 연결하려고 시도한 멀웨어 감염에 대한 분석 보고서를 게시하고 iframe을 숨겼습니다.
• 2010 – 웹 사이트가 Google에 의해 악의적인 것으로 표시되면서 여러 보고서 ( 보고서1 및 보고서2 )가
보고되었습니다.
조사에서 그들은 html 페이지에 숨겨진 iframe이 brenz.pl을 가리키는 것을 발견했습니다.
• 2011 – Sucuri 는 희생자가 악성 실행 파일을 다운로드 하도록 유도하는 주입 iframe이 있는 웹 페이지에서
여러 가지 감염을 보고 했습니다.
다음 iframe 패턴이 대부분의 경우에 표시되었습니다.
iframe style = ‘height : 1px’src = ‘hxxp : //www.Brenz.pl/rc/’frameborder = 0
• 2016 – Amazon에서 보안 카메라를 구입하던 Mike Olsen이 이 카메라의 구성 페이지를 열고 이상한 것을 발견했습니다.
• 2017 – 그러나 예기치 않은 상황에서 Brenz.pl이 재 등장하였습니다.

 

현재의 iframe 악용 방식입니다
Brenz.pl로 리다이렉트 하는 악의적인 iframe을 포함하고 있는 다수의 안드로이드 앱에 대한

사례가 있었습니다.
이 iframe에 감염된 여러 안드로이드 webview 앱을 조사한 결과, Android webview는 Android 앱이
웹에서 데이터를 가져오는 앱의 콘텐츠를 표시 할 수 있는 Chrome기반의 구성요소 입니다.
따라서 이러한 앱은 본질적으로 간단합니다.
이러한 감염된 앱의 대부분은 앱에서 로컬로 저장한 이미지 집합을 표시합니다.

 

 

 

이 앱 자체는 악의적인 것이 아니며 assets.html 페이지에 이 iframe을 포함하며 assets 폴더에 저장됩니다.
아래 이미지는 index.html의 iframe을 포함하는 코드를 보여줍니다.

 

그러나 한 가지 차이점을 지닌 유사한 iframe 안드로이드 어플리케이션의 또 다른 변종이 발견되었는데,
이 어플리케이션은 iframe 태그 이외에 VBScript를 포함하고 있습니다.

 

아래 이미지는 iframe 구성 요소가 포함 된 또 다른 Android webview 앱을 보여줍니다.
위에서 설명한 앱과 유사하지만 VBScript가 추가로 포함되어 있습니다.

 

 

이 스크립트는 실행 파일을 시스템에 드롭 하도록 지시 받았지만, 안드로이드 디바이스는 안드로이드 디바이스에서 윈도우 실행 파일을 드롭하는 html 페이지를 포함하고 있어서 무엇인가 이상하게 보입니다.
WriteData 구성 요소에 있는 16 진수 데이터를 가져 와서 Windows 컴퓨터에서 실행 파일로 저장하고 열었습니다.

 

– Windows 연결

 

실행시 이 멀웨어는 시스템에서 html 파일을 검색하여 작은 악성 코드를 추가하고,
동일한 악성 iframe 및 VBscript를 Android 장치 (index.html)에서 실행 파일을 검색합니다.
아래 그림은 양성적인 html 페이지가 악성 콘텐츠가 있는 페이지로 변환되는 방법을 보여줍니다.

 

아래 이미지는 시스템의 Adobe Reader 폴더에 있는 멀웨어에 감염된 html 페이지가 있는

인스턴스를 보여줍니다.

 

 

또한 어떤 일이 일어 났는지 추측 할 수 있습니다.

 

• 문제의 개발자가 Virut 악성 코드에 감염된 시스템에 Android web view 앱을 만들었습니다.
• 앞서 살펴본 것처럼 멀웨어는 시스템의 html 페이지를 검색하여 감염시킵니다
• 악성 코드가 이 Android 앱에서 만든 html 페이지를 포착하고 iframe 구성 요소를 추가했습니다.
• 이러한 앱이 나중에 출시되어 이 위협 요소가 Android 기기에 전달되었습니다.

 

안드로이드는 Windows 기반 실행 파일을 실행할 수단을 제공하지 않으므로 이 감염은 더 이상 전파되지 않습니다.
그러나 이 동작은 악성 코드의 매우 중요한 특징을 보여줍니다.

 

원래 악성 코드 작성자는 안드로이드 장치에서 악성 코드를 전파하는 이 시나리오를 고려하지 않았지만,
악성 코드가 감염된 장치에서 발견 할 수 있는 모든 HTML 페이지를 감염 시키도록 특별히 지시 한 코드로 인해 발생했습니다.

 

전반적으로 이 위협은 흥미롭다고 말할 수 있습니다.
안드로이드 앱 자체는 악의가 없지만 악성 콘텐츠를 전파하는 것으로 알려진 도메인을 가리키는 iframe이 있습니다.
이 앱의 제작자가 HTML 페이지에서 iframe의 존재를 인식하지 못했다고 주장 할 수 있습니다.
실제로 제작자가 생성되었을 때 워크 스테이션이 감염 될 수 있으므로 제작자가 피해자가 될 수 있습니다.

 

이는 악성 코드가 의도하지 않은 방식으로 퍼질 수 있는 경우입니다.
인공 지능은 환영 받고 있지만, 이러한 신기술이 우리의 삶에 어떤 영향을 미치는지는 알 수 없습니다.

 

권고조치 :
• brenz.pl이 Google에 의해 악의적인 것으로 표시되면 Google 크롬에서 brenz.pl에 대한 프롬프트를 볼 수 있습니다

 

• cert.pl은 이미 Virut를 막으려고 이 도메인과 잠재적으로 더 많은 것을 숨겨 놓았습니다.
여기에 더 많은 정보가 담긴 게시물이 있습니다.

• 콘텐츠 제작자를 위한 메모 – 응용 프로그램 중 하나에도 유사한 숨겨진 iframe이있는 웹 페이지가 포함 되어있는 경우 워크 스테이션이 감염되었을 가능성이 큽니다.
고의적으로는 아니지만 콘텐츠에 악성 콘텐츠가 포함 되어있어 콘텐츠를 게시하기 전에 기기를 청소하는 것이 좋습니다
• Google Play 스토어에서 Android 앱을 항상 설치하고 Google의 악성 콘텐츠 자동 검사를 사용합니다.
• Google에서 출시한 최신 보안 패치를 유지합니다.

 

이번시간에는 iframe을 이용한 악용사례에 대해 알아보는 시간이었습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.