본문으로 바로가기

악성 DDNS (Malicious DDNS)

category Analysis/Drive-By Download 2015.03.19 10:59



1. 개요


2014년 2월 시스코 시큐리티 블로그에 악의적인 DDNS를 이용한 악성코드 유포에 관한 포스트를 보게 되었다. 해당 포스트를 보면서 알게된 정보로 피에스타 익스플로잇 팩(Fiesta Exploit Pack)이 DDNS를 이용한 드라이브-바이 다운로드 환경을 구축한다는 것이다. 또한, 앞서 포스팅한 도메인 쉐도잉(Domain Shadowing) 기법과 비슷하게 서브 도메인을 생성하여 악용한다는 점이다. 


악의적인 DDNS를 이용한 악용에 대해 추가적으로 조사를 해 본 결과, 가장 흥미로웠던 정보는 2010년 어베스트(Avast) 보고서이다. 이 보고서에 따르면, 최종 악성코드 유포지까지 도달하는 과정에서 가장 길게 사용된 경우가 15개의 리다이렉션을 이용하였다고 보고한다. 이 트래픽은 3 개의 대륙, 7 개의 국가를 거쳐 악성코드 유포지(Exploit Landing Page)가 운영중인 서버로 접근한 흔적이 있다고 한다. 이 악성코드는 Kroxxu 봇넷으로 불리며 최소 10 만개의 경유지, 1 만개의 일단 중계지와 2.5천개의 PHP 중계지, 그리고 700개의 악성코드 유포지가 사용되었다고 하고 있다.


영국 취약성 평가에서 작성한 DDNS와 보안 관련 논문에서는 DDNS를 이용하는 이유에 대해 다음 5가지를 이야기 하고 있다.


  • 가격이 싸다
  • 설치가 쉽다
  • 관리가 쉽다
  • 익명성을 제공한다
  • 다른 서비스와 상호 운영하기 좋다


2. 기술 개요


2.1. 다이나믹 도메인 네임 시스템(Dynamic Domain Name System)


다이나믹 도메인 네임 시스템은 줄여서 DDNS, DynDNS 그리고 Dynamic DNS로도 불린다. 이 시스템은 도메인을 운영하는 관점에서 유동 아이피를 고정 아이피처럼 사용할 수 있게 지원해주는 시스템이다. 일반적으로 도메인과 아이피는 한 쌍으로 DNS에 저장되는데, 아이피가 지속적으로 변경하기 때문에 기존의 DNS처럼 저장하지 않고 주메모리에 저장한다. 만약 아이피가 변경되면 변경된 아이피를 설정한 도메인과 한 쌍을 이룬 후 실시간으로 DNS로 업데이트 해주는 시스템이다. 


그래서 대부분 고정 아이피를 사용하는 기업과 달리 유동 아이피를 사용하는 집이나 소규모 기업에서 주로 사용한다. 또한 DDNS는 유동 아이피를 실시간 감시해야 하기 때문에 일반적으로 라우터나 PC에 구현할 수 있다. 아이피타임, D-Link와 같은 공유기 제조업체나 시게이트 같은 NAS 제조업체에서 지원하는 이유이기도 하다.


그러면 DDNS는 하나의 도메인에만 유동 아이피를 적용시키는 것일까? 결론부터 이야기 하자면 아니다. 연결짓는 아이피가 유동 아이피일뿐 도메인은 여러개 매핑하여 사용할 수 있다. 또한 라우터나 PC에 구현하는 것이 아닌 별도의 외부 서버에 구현하여 사용할 수도 있다. 다음은 시스코에서 언급한 DDNS 서버의 동작 형태를 도식화한 그림이다.


출처 : DDNS 서버 도식도


2.2. 악성 DDNS(Malicious DDNS)


악성코드가 C&C와 통신하는 과정에서 우회하기 위한 기술로 패스트-플럭스가 있듯이 DDNS도 많이 사용되어 왔었다. 하지만 이러한 DDNS가 악성코드 유포하는 관점에서 사용되는 경우는 흔하지 않다. 시스코 블로그에서는 드라이브-바이 다운로드 공격에 사용되는 피에스타 익스플로잇 팩에서 DDNS를 이용한다고 보고하고 있다. 인터넷 시큐리티 관련 블로그 중 하나인 malware-traffic-analysis.net 에 피에스타 익스플로잇 팩에서 사용하는 DDNS에 대한 트래픽 스크린샷이 있다.


출처 : 악성 DDNS 패킷 스크린샷


여기서 도메인 이름 bkkirikhor.myftp.biz에서 myftp.biz는 유, 무료 DDNS 서비스를 제공하는 회사 no-ip에서 운영하는 도메인이다. 간단하게 whois 명령으로 myftp.biz 도메인을 검색해보면 다음과 같이 나온다.



no-ip 에서 제공하는 DDNS 서비스는 다음과 같이 제공한다.


출처 : no-ip에서 제공하는 DDNS 서비스 목록


시스코 블로그에서 피에스타 익스플로잇 팩 캠페인을 포스팅 한 내용이 있다. 이 포스트의 내용에는 탐지한 DDNS 별 악성코드 유포 추이를 보여주는 그래프가 있다. 이 그림에는 앞서 언급한 malware-traffic-analysis.net 에서 언급한 myftp.biz가 아닌 myftp.org가 포함되어 있지만, 피에스타 익스플로잇 팩과 관련된 최근 포스트 내용에서 myftp.org를 유포에 사용하고 있음을 보여주는 내용이 올라와있다.


이 여섯개의 도메인에 6개의 아이피가 매핑되어 있고, 추가적으로 DDNS를 이용하여 100여개의 서브 도메인들이 연결되어 있었다고 보고되었다.


출처 : DDNS를 이용한 악성코드 유포 그래프


3. 결론


DDNS 또한 탐지 우회를 위한 목적으로 악성코드가 사용해 왔었다. 그리고 응용되어 악성코드를 유포하는 드라이브-바이 다운로드에도 접목되어 사용 될 수 있음을 알 수 있었지만 도메인 쉐도잉 만큼 영향력이 큰 기술접목의 한 요소는 아닌 것으로 판단한다. 그 이유와 몇 가지 개인적인 생각을 정리해보면 다음과 같다.


  • 패스트-플럭스와 유사한 도메인 쉐도잉처럼 DDNS를 모티브한게 아닌 기술 응용 없이 그대로 사용해 왔다.

  • DDNS를 이용한 악의적인 행위는 오래전부터 행해져 왔고, 해외 기준으로 무료 DDNS 서비스들에 대한 감시 감독이 이미 이루어져 있다.

  • DDNS 기술을 사용하는 피에스타 익스플로잇 팩은 다른 도구들에 비해 인지도가 적다. - 하지만 인터넷 시큐리티로 유명한 블로거들이 수집못한 도구이기도 하다.

출처 : 익스플로잇 킷 도구 공유 요청 포스터

  • 개인적인 생각으로 공격자의 입장에서 도메인 관리자의 계정을 탈취해 서브 도메인을 직접 등록하는 것 보다 비효율적이다.


마지막으로 DDNS를 이용한 악의적인 행위에 대한 설명을 하는 시스코 동영상이 있다. 주제 자체가 악의적인(Malicious) 라는 단어를 사용하고 있다. 이는 완전한 악성이라고 판단한 의미인데, 악성으로 판단하기 위한 과정에서 분명 의심스러운(Suspicious)이 포함될 수 있다. 이 동영상에는 의심스러운을 악성과 정상으로 판단하기 위해 평판(Reputation) 기반을 사용한 동영상이 있고, 안티 바이러스 제품이 악성으로 판단한 그래프도 함께 보여주며 비교한다.




4. 참조



저작자 표시 비영리 동일 조건 변경 허락
신고

'Analysis > Drive-By Download' 카테고리의 다른 글

악성 DDNS (Malicious DDNS)  (0) 2015.03.19
도메인 쉐도잉 (Domain Shadowing)  (0) 2015.03.17
워터링 홀 공격 (Watering Hole Attack)  (0) 2013.02.28

댓글을 달아 주세요

티스토리 툴바