내 tistory 블로그로 악성코드가 배포 ?! (1)

* 2014년 3월 15일  tistory가 차단 당했는데요. 이에 대한 분석 내용입니다. 

  일반분은 이번 내용만 보면 되고 분석가 혹은 분석에 관심 있는 분들은 그 다음 글도 읽으시면 됩니다.

 

2014년 3월 15일 블로그에 글 올리려고 들어왔더니 파이어폭스(Firefox)가 차단해 버립니다.

'오진인가.. 아니면 티스토리나 포함된 플러그인으로 악성코드가 배포되나'하는 생각이 들더군요.

아무래도 이렇게 라이브한건(?) 처음보다 보니 신기해서 [차단 이유 상세 정보]를 클릭해 봅니다.

하지만, 이쪽 일을 하는 저도 헷갈리는 문구 뿐이네요. (...)

제 블로그가 악성코드를 배포한적은 없고 실제 악성코드는 다른 곳(happy*.co.kr, car*.net)에서 배포 -> 1개 도메인(allb*.net)이 그 악성코드 중계 역할

즉, 제 블로그에 연동된 광고(allb* 사이트)를 통해서 악성코드가 배포되었다는 얘기입니다.

tistory 와 그와 연동된 광고에서 악성코드가 배포되고 있으니 사용자 입장에서는 딱히 할 일이 없습니다. (블로그를 폐쇄 ?!)

광고를 내릴까하다가 확인 당시에는 이미 문제가 해결되었더군요.

페이스북에도 관련 내용이 올라 옵니다.

(아.. 페북을 보는게 아니었어)

벌새님께서 글 남기셨네요.

댓글 좀 남기다가 결국 패킷 구해서 분석에 들어갑니다.

(이래서 회사에서 그냥 확인하려했는데 그 놈의 분석 본능 때문에....)

지금은 악성코드 배포 주소가 삭제되었습니다만 이건 어디까지나 임시 방편이고

보안문제를 근본적으로 해결하지 않으면 공격자는 다시 웹사이트를 해킹해서 악성코드를 배포할 겁니다.

일단은 상황해제..

2부에서는 fiddler로 분석하는 내용입니다.

일반분은 여기까지만 보면 되고 이후 내용은 악성코드 분석에 관심 있는 분들만 보시면 됩니다.