보안정보

 

 

구글의 검색 엔진은 PageRank 알고리즘을 사용하고 있다. 웹 사이트에 있는 페이지 별로 중요도를 계산한다. 계산한 값을 토대로 사용자가 검색한 검색어에 우선하는 페이지들을 우선순위로 출력한다. 구글은 이런 검색 엔진 알고리즘을 바탕으로 최고의 검색 사이트로 성장할 수 있었다.

 

 

 

[그림 1. PageRank 알고리즘]

 

 

최근, 이런 구글 검색엔진을 악용하여 악성 코드의 다운로드를 유도하는 공격이 나타났다. 흔히 사용하는 비즈니스 용어들을 토대로 높은 page-rank 점수를 얻은 악성 웹 페이지를 희생자가 클릭하도록 유도하게 만든 것이다. 악성 페이지 안에선 pdf파일을 무료로 다운로드 받을 수 있는 버튼이 있었다. 이 버튼을 통해 pdf 파일을 다운로드 받으면 pdf 안에 심어있던 RAT가 설치된다.

 

 

 

[그림 2. PageRank 알고리즘을 이용해 높은 점수를 얻기 위해 사용된 숨겨져 있는 텍스트]

 

 

 

설치된 RAT를 통해 공격자는 다양한 공격을 진행할 수 있다. eSentire’s사의 TRU(Threat Response Unit) 팀의 연구원은 다음과 같이 말했다. "한번 RAT가 설치되면 공격자는 트로이 목마 금융 정보 탈취 관련 다양한 악성 코드를 기기에 심을 것입니다. 이는 금융 정보를 하이재킹하여 이용할 수 있죠. "

 

 

 

[그림 3. 구글의 검색 엔진을 악용한 공격 모식도]

 

 

 

현재 설치된 RAT는 .NET 프레임 워크로 작성되었으며 Jupyter, Yellow Cockatoo, SolarMarker ,Polazert 로 추정하고 있다. 그 중 SolarMarker는 2020년 10월에 처음 발견되었던 RAT였다.

 

점차 공격자들의 공격은 정교해지고 지능적으로 바뀌고 있다. 검색 알고리즘 악용하여 정상으로 보이는 악성 페이지로 리다이렉션하여 악성 코드를 다운로드 받는 공격 방식은 그 중 하나일 것이다.

 

 

출처

https://threatpost.com/google-sites-solarmarket-rat/165396/

https://www.esentire.com/security-advisories/hackers-flood-the-web-with-100-000-malicious-pages-promising-professionals-free-business-forms-but-are-delivering-malware-reports-esentire

https://sungmooncho.com/2012/08/26/pagerank/

https://www.netskope.com/blog/malicious-google-sites