Drive-by Download: 사용자 모르게 이루어지는 악성코드 설치 기법

Drive-by Download: 사용자 모르게 이루어지는 악성코드 설치 기법

• 개요
• Drive-by Download의 동작 방식
• 주요 공격 벡터
  • 1. 웹 브라우저 취약점
  • 2. 브라우저 플러그인 취약점
  • 3. 악성 광고 (Malvertising)
  • 4. 웹 위젯 및 서드파티 콘텐츠
• 기술적 구현 방식
  • 1. HTML/JavaScript 난독화
  • 2. 익스플로잇 킷 사용
  • 3. 다단계 감염 과정
• 방어 및 대응 방안
  • 1. 기술적 대응
  • 2. 조직 차원의 대응
  • 3. 최신 대응 기술
• 실제 공격 사례 분석
  • 사례 1: Waterhone 캠페인 (2020)
  • 사례 2: SocGholish 캠페인 (2021-2022)
• Drive-by Download의 발전 동향
  • 1. 모바일 기기 타겟팅 증가
  • 2. 공급망 공격과의 결합
  • 3. 타겟 공격의 정교화
• 결론
• Keywords

개요

Drive-by Download는 사용자가 의도하지 않은 상태에서 악성 소프트웨어가 자동으로 다운로드되고 설치되는 공격 기법이다. 사용자가 단순히 악성 웹사이트를 방문하거나 감염된 광고를 클릭하는 것만으로도 발생할 수 있어 위험성이 매우 높다. 이 공격은 웹 브라우저, 플러그인, 운영체제의 보안 취약점을 이용하여 사용자의 동의나 인지 없이 시스템을 감염시킨다.

Drive-by Download의 동작 방식

1. 초기 접근: 사용자가 악성 웹사이트에 접속하거나 합법적인 웹사이트 내 삽입된 악성 광고를 클릭
2. 취약점 스캔: 악성 스크립트가 브라우저와 플러그인의 취약점을 스캔
3. 익스플로잇 실행: 발견된 취약점을 통해 악성코드 다운로드 및 실행
4. 페이로드 전달: 실제 악성 프로그램 설치 및 실행

graph TD
    A[사용자 웹사이트 방문] --> B[악성 스크립트 로드]
    B --> C[클라이언트 환경 취약점 스캔]
    C --> D{취약점 발견?}
    D -->|Yes| E[익스플로잇 코드 실행]
    D -->|No| F[다른 취약점 시도]
    F --> C
    E --> G[백도어 설치]
    G --> H[악성코드 다운로드 및 실행]
    H --> I[데이터 유출/랜섬웨어/봇넷 등]

주요 공격 벡터

1. 웹 브라우저 취약점

웹 브라우저의 보안 결함을 이용하는 방식으로, 특히 패치되지 않은 구버전 브라우저가 주요 표적이 된다. Chrome, Firefox, Safari, Edge 등 모든 주요 브라우저가 대상이 될 수 있다.

사례: 2019년 Google Chrome의 제로데이 취약점(CVE-2019-5786)을 이용한 Drive-by Download 공격이 발생했으며, 이를 통해 원격 코드 실행이 가능했다.

2. 브라우저 플러그인 취약점

Adobe Flash, Java, PDF 리더와 같은 브라우저 플러그인은 흔히 악용되는 대상이다. 특히 Flash는 과거 수많은 Drive-by Download 공격의 주요 경로였다.

사례: Angler 익스플로잇 킷은 Adobe Flash의 여러 취약점을 이용해 2015년 대규모 Drive-by Download 캠페인을 전개했다.

3. 악성 광고 (Malvertising)

합법적인 웹사이트에 게시된 광고에 악성코드를 심어 사용자가 광고를 클릭하거나 단순히 페이지를 로드할 때 공격이 시작된다.

사례: 2016년 The New York Times, BBC, MSN 등 주요 웹사이트에서 악성 광고를 통한 Drive-by Download 공격이 발생했다.

4. 웹 위젯 및 서드파티 콘텐츠

웹사이트에 삽입된 외부 콘텐츠(위젯, 소셜 미디어 버튼, 댓글 시스템 등)를 통해 악성코드가 전파된다.

사례: 2018년 Magecart 그룹은 서드파티 결제 위젯을 감염시켜 수백 개 웹사이트의 사용자 정보를 탈취했다.

기술적 구현 방식

1. HTML/JavaScript 난독화

공격자는 악성 코드를 탐지하기 어렵게 만들기 위해 다양한 난독화 기법을 사용한다.

// 난독화된 JavaScript 예시
eval(
  (function (p, a, c, k, e, d) {
    e = function (c) {
      return c;
    };
    if (!"".replace(/^/, String)) {
      while (c--) {
        d[c] = k[c] || c;
      }
      k = [
        function (e) {
          return d[e];
        },
      ];
      e = function () {
        return "\\w+";
      };
      c = 1;
    }
    while (c--) {
      if (k[c]) {
        p = p.replace(new RegExp("\\b" + e(c) + "\\b", "g"), k[c]);
      }
    }
    return p;
  })(
    '8 7={"6":5,"4":"3","2":1,"0":"9"};',
    10,
    10,
    "command|download|action|malware.exe|file|true|execute|config|var|http://malicious-domain.com/".split(
      "|",
    ),
    0,
    {},
  ),
);

2. 익스플로잇 킷 사용

자동화된 공격 도구인 익스플로잇 킷을 이용해 여러 취약점을 차례로 시도한다.

graph LR
    A[사용자 접속] --> B[랜딩 페이지]
    B --> C[브라우저/OS 핑거프린팅]
    C --> D[취약점 선택]
    D --> E[익스플로잇 전달]
    E --> F[쉘코드 실행]
    F --> G[페이로드 다운로드]
    G --> H[시스템 감염]

주요 익스플로잇 킷:

• Angler
• Neutrino
• RIG
• Magnitude
• Fallout

3. 다단계 감염 과정

직접적인 악성코드 설치 대신 여러 단계의 다운로더를 사용하여 탐지를 회피한다.

1단계: 초기 익스플로잇 →
2단계: 다운로더 설치 →
3단계: 스테이징 페이로드 →
4단계: 실제 악성코드 다운로드 및 실행

방어 및 대응 방안

1. 기술적 대응

• 브라우저 및 OS 최신 상태 유지: 모든 소프트웨어의 보안 패치를 즉시 적용
• 불필요한 플러그인 제거: 특히 Flash, Java와 같은 고위험 플러그인 제거
• 스크립트 차단 도구 사용: NoScript, uBlock Origin 등의 브라우저 확장 프로그램 활용
• 샌드박스 기술 활용: 브라우저를 샌드박스 환경에서 실행하여 시스템 감염 방지

2. 조직 차원의 대응

• 웹 필터링 솔루션 도입: 악성 웹사이트 접근 차단
• 네트워크 모니터링 강화: 비정상적인 네트워크 트래픽 탐지
• 엔드포인트 보호 솔루션 구축: 악성코드 설치 시도 차단
• 보안 인텔리전스 활용: 최신 위협 정보 수집 및 적용

graph TD
    A[다층 방어 전략] --> B[네트워크 보안]
    A --> C[엔드포인트 보안]
    A --> D[사용자 교육]
    B --> E[방화벽/IPS]
    B --> F[웹 필터링]
    B --> G[SSL 검사]
    C --> H[안티바이러스]
    C --> I[EDR 솔루션]
    C --> J[애플리케이션 제어]
    D --> K[피싱 인식 훈련]
    D --> L[보안 정책 교육]

3. 최신 대응 기술

• AI 기반 탐지 시스템: 행위 기반 분석을 통한 제로데이 공격 탐지
• 위협 인텔리전스 통합: 실시간 위협 정보를 보안 시스템에 반영
• 브라우저 격리 기술: 원격 브라우징 격리(RBI)를 통한 위험 완화
• 컨텐트 디스암블러: 문서와 웹 콘텐츠의 악성 요소 제거 후 재구성

실제 공격 사례 분석

사례 1: Waterhone 캠페인 (2020)

홍콩의 정치 관련 웹사이트를 통해 iOS 장치를 타겟팅한 Drive-by Download 공격이다. 웹사이트 방문자의 iOS 버전을 확인한 후 취약한 기기에 대해 제로데이 익스플로잇을 실행했다. 이 공격으로 감염된 기기에는 스파이웨어가 설치되어 위치 정보, 메시지, 연락처 등이 유출되었다.

사례 2: SocGholish 캠페인 (2021-2022)

가짜 브라우저 업데이트 알림을 통해 사용자를 속이는 Drive-by Download 기법이다. 합법적인 웹사이트가 해킹되어 방문자에게 "귀하의 브라우저가 오래되었습니다"라는 알림을 표시하고, 업데이트 파일로 위장한 악성코드를 다운로드하도록 유도했다. 이후 원격 접속 트로이 목마(RAT)를 설치하여 공격자에게 시스템 제어권을 넘겼다.

Drive-by Download의 발전 동향

1. 모바일 기기 타겟팅 증가

스마트폰과 태블릿을 겨냥한 Drive-by Download 공격이 증가하고 있다. 특히 안드로이드 기기의 브라우저 취약점과 앱 설치 권한을 악용하는 사례가 늘고 있다.

2. 공급망 공격과의 결합

합법적인 웹사이트나 서비스를 침해하여 광범위한 사용자를 대상으로 하는 공격이 증가하고 있다. 특히 CDN(Content Delivery Network)이나 광고 네트워크를 통한 대규모 감염 시도가 보고되고 있다.

3. 타겟 공격의 정교화

무차별적인 공격보다 특정 조직이나 개인을 겨냥한 정교한 Drive-by Download 공격이 증가하고 있다. 이러한 공격은 사용자의 브라우저 환경, 위치, 언어 설정 등을 기반으로 특정 조건에서만 실행되도록 설계된다.

결론

Drive-by Download는 사용자의 인지나 동의 없이 시스템에 악성코드를 설치하는 효과적인 공격 기법으로, 단순한 웹 서핑만으로도 감염될 수 있는 위험성이 있다. 이러한 공격은 지속적으로 진화하고 있으며, 특히 제로데이 취약점을 이용한 공격은 탐지와 방어가 매우 어렵다.

효과적인 방어를 위해서는 소프트웨어의 지속적인 업데이트, 다층적 보안 솔루션 도입, 그리고 사용자 보안 인식 제고가 필수적이다. 특히 조직 환경에서는 보안 인텔리전스 활용, 네트워크 모니터링, 엔드포인트 보호 솔루션을 통합적으로 구축하여 Drive-by Download 공격에 대응해야 한다.

보안 전문가들은 웹 환경의 안전성을 지속적으로 모니터링하고, 새로운 공격 기법에 대응하기 위한 보안 전략을 정기적으로 업데이트해야 할 것이다.

Keywords

Drive-by Download, 악성코드, 익스플로잇 킷, 취약점 공격, malvertising, 웹 보안, 제로데이, 악성 스크립트, 자동 감염, 브라우저 취약점