HTML 스머글링에 악용되는 SVG 파일...HTML 태그와의 호환성 때문

요약 : IT 외신 블리핑컴퓨터에 의하면 최근 들어 큐봇(QBot) 멀웨어를 퍼트리는 공격자들이 SVG 파일을 활용하기 시작했다고 한다. 큐봇 멀웨어 설치파일을 베이스64(base64)로 인코딩하고, 이를 재조립하는 기능을 가진 자바스크립트를 SVG 이미지 파일 내에 삽입한 후, 이 SVG 파일을 HTML에 집어넣음으로써 공격 준비가 완료된다. 이 HTML 파일을 피해자에게 전송하고, 피해자가 이 파일을 열면 자바스크립트가 실행되면서 큐봇 설치파일이 발동된다. 피해자 시스템이 감염되는 것이다.


배경 : SVG 이미지 파일은 JPG나 PNG와 달리 XML 기반의 벡터 이미지를 내포하고 있어 HTML의 script 태그와 호환이 된다. SVG 파일에서 HTML 태그가 사용되는 건 극히 정상적인 일이라 보안 장치들이 경보를 울리지 않는다. 

말말말 : “이렇게 SVG 등과 같은 파일에 자바스크립트와 HTML 태그를 몰래 담아서 멀웨어를 유포하는 걸 HTML 스머글링(HTML Smuggling)이라고 합니다.” -시스코 탈로스(Cisco Talos)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>