블로그 보관함

2014년 2월 28일 금요일

[JAVA 악성파일] hosts 파일 변조

파밍 공격이 급증하고 있어 큰 문제입니다. 최근에는 카드사 및 기존 은행권 웹사이트 접속시 변조된 hosts 파일에 설정된 가짜 웹사이트로 이동되어 상당한 피해를 초래하고 있습니다.

특히 한국에서는 hosts 변조를 위해서 PE 파일을 이용해 배치 명령이나 WriteFile API를 이용해 특정 금융권 웹사이트 접속시 다른 IP 주소로 접속하도록 설정합니다.

이러한 최근의 상황 중에 hosts 파일 변조시 자바 취약점을 이용한 경우가 특이하여 글을 쓰게 되었습니다.

저는 취약점을 이용하는 부분에 해당하는 파일은 확보할 수 없었으며, hosts 변조하는 자바 파일은 확보하여 소개합니다.
[그림 1] hosts 파일 생성












[그림 2] 파밍 웹사이트 추가










감염된 웹사이트에 접속시 취약점이 발생되면 사용자 PC에 [그림 1]에서처럼 hosts 파일을 새로 생성하며 [그림 2]에서처럼 쓰레기 값과 함께 금융권 웹사이트가 파밍 웹사이트로 연결되도록 IP 주소를 변경합니다.

이러한 취약점을 이용한 hosts 파일 변조 기법이 국내에서도 유입될까요?

댓글 없음:

댓글 쓰기