블루코트 코리아(지사장 전수홍는 블루코트 보안 연구소가 웹 광고를 통해 사용자를 Shnakule 네트워크로 유도하는 신종 허위 안티 바이러스 공격을 발견했다고 밝혔다.
전세계 7천 5백만 사용자가 연결된 협업 클라우드 방어 서비스인 블루코트 웰 펄스는(Blue Coat WebPulse) 악성 코드인 허위 안티 바이러스 페이로드를 식별하고 자동적으로 차단한다.
현재 인터넷에 광범위하게 퍼진 세계 최대 악성코드 전파 네트워크 Shnakule은 하루 평균 2,000개, 최대 4,357개의 호스트 네임을 보유하며 검색 엔진 포이즈닝(SEP:Search Engine Poisoning)을 통해 적극적인 허위 안티 바이러스와 악성광고(Malvertising) 공격을 펼치고 있다. 이에 블루코트 웹 펄스 서비스(Blue Coat WebPulse Service)는 현재까지 15,000개 이상의 사용자 요청이 악성광고공격과 관련이 있음을 밝혀냈다.
Shnakule의 공격은 악성 웹 광고를 활용해 세 단계로 이루어진다. 첫 번째 단계에서 유해한 광고 서버가 기존의 Shnakule 하위 네트워크나 다른 네트워크와 연결되지 않고 독립적으로 설정되어 악성코드 유입 경로를 생성한다. 두 번째 단계에서는 만들어진 Shnakule의 하위 네트워크가 사용자를 악성코드로 전송한다. 마지막 단계는 악성코드 페이로드(Payload)로서 안티 바이러스 소프트웨어로부터의 탐지를 피하기 위해 지속적으로 위치를 변경한다. 악성코드 페이로드는 Shnakule 악성코드 전파 네트워크의 일부로서 웹 펄스(WebPulse)에 의해 이미 확인된 서버로부터 비롯된다. 블루코트의 웹 펄스 서비스는 Shnakule 네트워크에 대한 실시간 분석으로 공격이 발생하기 이전에 악성코드 페이로드를 차단한다.
블루코트 코리아의 전수홍 지사장은 "최근 블루코트 보안 연구소의 최근 페이로드 검사에서 43개의 안티 바이러스 엔진 중 오직 두 개의 엔진만이 유해하거나 의심스러운 페이로드로 식별했다"라며, "웹 기반 악성코드는 매우 빠르게 변화하기 때문에 안티 바이러스 같은 기존의 단일 계층 방어로 막아내기엔 매우 어렵다. 이러한 유형의 공격에 대한 가장 효과적인 방어책은 웹 펄스처럼 페이로드의 암호화 유형에 관계 없이 분석 내용의 연관성을 찾고, 자동적으로 유해 네트워크를 분석하며, 신속하게 해당 네트워크를 차단하는 것이다"고 말했다.
블루코트 웹 펄스 서비스는 매주 30억 개 이상의 요청을 분석하며 웹 상의 사용자 활동에 대한 포괄적인 시각을 보유하고 있으며, 역동적인 유해 요소와 악성코드 페이로드의 연관성을 파악해 악성코드 전파 네트워크 공격을 식별하고 차단할 수 있다.
또한 웹 펄스는 보안 웹 게이트웨이와 클라우드 서비스 등의 블루코트 웹 보안 제품에 온-디맨드 인텔리전스를 제공하며, 악성 코드 다운로드와 피싱, 스피어 피싱 공격, 봇넷에 감염된 시스템등 의 웹 위협으로부터 사용자와 네트워크를 보호한다.