1. 개요


2014년 2월 시스코 시큐리티 블로그에 악의적인 DDNS를 이용한 악성코드 유포에 관한 포스트를 보게 되었다. 해당 포스트를 보면서 알게된 정보로 피에스타 익스플로잇 팩(Fiesta Exploit Pack)이 DDNS를 이용한 드라이브-바이 다운로드 환경을 구축한다는 것이다. 또한, 앞서 포스팅한 도메인 쉐도잉(Domain Shadowing) 기법과 비슷하게 서브 도메인을 생성하여 악용한다는 점이다. 


악의적인 DDNS를 이용한 악용에 대해 추가적으로 조사를 해 본 결과, 가장 흥미로웠던 정보는 2010년 어베스트(Avast) 보고서이다. 이 보고서에 따르면, 최종 악성코드 유포지까지 도달하는 과정에서 가장 길게 사용된 경우가 15개의 리다이렉션을 이용하였다고 보고한다. 이 트래픽은 3 개의 대륙, 7 개의 국가를 거쳐 악성코드 유포지(Exploit Landing Page)가 운영중인 서버로 접근한 흔적이 있다고 한다. 이 악성코드는 Kroxxu 봇넷으로 불리며 최소 10 만개의 경유지, 1 만개의 일단 중계지와 2.5천개의 PHP 중계지, 그리고 700개의 악성코드 유포지가 사용되었다고 하고 있다.


영국 취약성 평가에서 작성한 DDNS와 보안 관련 논문에서는 DDNS를 이용하는 이유에 대해 다음 5가지를 이야기 하고 있다.


  • 가격이 싸다
  • 설치가 쉽다
  • 관리가 쉽다
  • 익명성을 제공한다
  • 다른 서비스와 상호 운영하기 좋다


2. 기술 개요


2.1. 다이나믹 도메인 네임 시스템(Dynamic Domain Name System)


다이나믹 도메인 네임 시스템은 줄여서 DDNS, DynDNS 그리고 Dynamic DNS로도 불린다. 이 시스템은 도메인을 운영하는 관점에서 유동 아이피를 고정 아이피처럼 사용할 수 있게 지원해주는 시스템이다. 일반적으로 도메인과 아이피는 한 쌍으로 DNS에 저장되는데, 아이피가 지속적으로 변경하기 때문에 기존의 DNS처럼 저장하지 않고 주메모리에 저장한다. 만약 아이피가 변경되면 변경된 아이피를 설정한 도메인과 한 쌍을 이룬 후 실시간으로 DNS로 업데이트 해주는 시스템이다. 


그래서 대부분 고정 아이피를 사용하는 기업과 달리 유동 아이피를 사용하는 집이나 소규모 기업에서 주로 사용한다. 또한 DDNS는 유동 아이피를 실시간 감시해야 하기 때문에 일반적으로 라우터나 PC에 구현할 수 있다. 아이피타임, D-Link와 같은 공유기 제조업체나 시게이트 같은 NAS 제조업체에서 지원하는 이유이기도 하다.


그러면 DDNS는 하나의 도메인에만 유동 아이피를 적용시키는 것일까? 결론부터 이야기 하자면 아니다. 연결짓는 아이피가 유동 아이피일뿐 도메인은 여러개 매핑하여 사용할 수 있다. 또한 라우터나 PC에 구현하는 것이 아닌 별도의 외부 서버에 구현하여 사용할 수도 있다. 다음은 시스코에서 언급한 DDNS 서버의 동작 형태를 도식화한 그림이다.


출처 : DDNS 서버 도식도


2.2. 악성 DDNS(Malicious DDNS)


악성코드가 C&C와 통신하는 과정에서 우회하기 위한 기술로 패스트-플럭스가 있듯이 DDNS도 많이 사용되어 왔었다. 하지만 이러한 DDNS가 악성코드 유포하는 관점에서 사용되는 경우는 흔하지 않다. 시스코 블로그에서는 드라이브-바이 다운로드 공격에 사용되는 피에스타 익스플로잇 팩에서 DDNS를 이용한다고 보고하고 있다. 인터넷 시큐리티 관련 블로그 중 하나인 malware-traffic-analysis.net 에 피에스타 익스플로잇 팩에서 사용하는 DDNS에 대한 트래픽 스크린샷이 있다.


출처 : 악성 DDNS 패킷 스크린샷


여기서 도메인 이름 bkkirikhor.myftp.biz에서 myftp.biz는 유, 무료 DDNS 서비스를 제공하는 회사 no-ip에서 운영하는 도메인이다. 간단하게 whois 명령으로 myftp.biz 도메인을 검색해보면 다음과 같이 나온다.



no-ip 에서 제공하는 DDNS 서비스는 다음과 같이 제공한다.


출처 : no-ip에서 제공하는 DDNS 서비스 목록


시스코 블로그에서 피에스타 익스플로잇 팩 캠페인을 포스팅 한 내용이 있다. 이 포스트의 내용에는 탐지한 DDNS 별 악성코드 유포 추이를 보여주는 그래프가 있다. 이 그림에는 앞서 언급한 malware-traffic-analysis.net 에서 언급한 myftp.biz가 아닌 myftp.org가 포함되어 있지만, 피에스타 익스플로잇 팩과 관련된 최근 포스트 내용에서 myftp.org를 유포에 사용하고 있음을 보여주는 내용이 올라와있다.


이 여섯개의 도메인에 6개의 아이피가 매핑되어 있고, 추가적으로 DDNS를 이용하여 100여개의 서브 도메인들이 연결되어 있었다고 보고되었다.


출처 : DDNS를 이용한 악성코드 유포 그래프


3. 결론


DDNS 또한 탐지 우회를 위한 목적으로 악성코드가 사용해 왔었다. 그리고 응용되어 악성코드를 유포하는 드라이브-바이 다운로드에도 접목되어 사용 될 수 있음을 알 수 있었지만 도메인 쉐도잉 만큼 영향력이 큰 기술접목의 한 요소는 아닌 것으로 판단한다. 그 이유와 몇 가지 개인적인 생각을 정리해보면 다음과 같다.


  • 패스트-플럭스와 유사한 도메인 쉐도잉처럼 DDNS를 모티브한게 아닌 기술 응용 없이 그대로 사용해 왔다.

  • DDNS를 이용한 악의적인 행위는 오래전부터 행해져 왔고, 해외 기준으로 무료 DDNS 서비스들에 대한 감시 감독이 이미 이루어져 있다.

  • DDNS 기술을 사용하는 피에스타 익스플로잇 팩은 다른 도구들에 비해 인지도가 적다. - 하지만 인터넷 시큐리티로 유명한 블로거들이 수집못한 도구이기도 하다.

출처 : 익스플로잇 킷 도구 공유 요청 포스터

  • 개인적인 생각으로 공격자의 입장에서 도메인 관리자의 계정을 탈취해 서브 도메인을 직접 등록하는 것 보다 비효율적이다.


마지막으로 DDNS를 이용한 악의적인 행위에 대한 설명을 하는 시스코 동영상이 있다. 주제 자체가 악의적인(Malicious) 라는 단어를 사용하고 있다. 이는 완전한 악성이라고 판단한 의미인데, 악성으로 판단하기 위한 과정에서 분명 의심스러운(Suspicious)이 포함될 수 있다. 이 동영상에는 의심스러운을 악성과 정상으로 판단하기 위해 평판(Reputation) 기반을 사용한 동영상이 있고, 안티 바이러스 제품이 악성으로 판단한 그래프도 함께 보여주며 비교한다.




4. 참조



'Information Security > Abuse & Fraud' 카테고리의 다른 글

악성 DDNS (Malicious DDNS)  (0) 2015.03.19
인스턴트 메시징(IM) 해킹 당하다.  (0) 2015.02.02
Mass SQLi의 흔적과 Domain Parking 서비스  (3) 2013.10.28
Poisoned adverts  (0) 2013.09.20
NHBank 피싱사이트  (0) 2013.03.08
우리은행 피싱사이트  (0) 2013.01.10



1. 사건 개요


네이트온에 내가 아닌 다른 사람이 로그인을 했다. 최초 로그인 시간은 "2015-01-16 13:32:13"으로 공격자가 로그인 후 기존의 사용자의 로그인을 강제 로그아웃 시켰다. 이후 접근은 실시간으로 강제 로그아웃 했다.



2. 피싱 대화 내용


로그인 이후 가장 최근에 대화한 지인에게 말을 걸어 매우 자연스러운 한국어로 금전을 요구했다. 재미있게도 대화하고 있는 사람은 회사에서 바로 옆자리에 앉아 있는 사람이다. 그래서 실시간으로 회사직원들과 함께 자연스럽게 대화를 유도하여 공격자의 명확한 목적을 찾았다.



3. 사건 처리 절차


IM 피싱을 해결하기 위한 절차가 아닌 보편적인 사이버범죄 신고 절차이다.


  1. 접수 대상 - 사이버 상에서 일어나는 모든 범죄행위에 대해 신고가 가능하다.
  2. 신고 방법 - 두 가지 방법이 있는데, 온라인 상에서의 신고와 오프라인 상에서의 신고가 있다. 물론 오프라인으로 신고를 접속하면 해결하는데 빠르다 것을 알려주고 있다. 만약 정말 피해가 발생했다면 오프라인에서 해결하는 것을 추천한다.
  3. 처리 절차 - 해당 기관이 사이버 범죄에 대해 처리하는 과정을 잘 표현하고 있다.


4. 사건 신고


사건 신고는 경찰청 사이버안전국(www.ctrc.go.kr)에서 진행한다. 먼저 왼쪽 상단에 "자주찾는메뉴 > 사이버범죄 신고/상담" 버튼을 클릭한다.



그 다음 "정보통신망 이용 범죄 > 사기 유형 선택"으로 신고할 범죄 유형을 선택한다.



다음으로 상세 내용을 입력한다. 별표(*)로 표시된 부분은 필시 입력해야한다.



마지막으로 "접수" 버튼을 눌러 범죄를 신고하면 된다. 내용은 구체적으로 쓸 수록 수사에 도움이 될 것으로 판단된다.



5. 기타 대응방안


네이트온에서 로그 관련된 정보를 보고자 한다면 다음과 같이 이용하면 된다. 먼저 "네이트 고객센터(helpdesk.nate.com)에 접속하여 로그인한다. 그리고 "개인정보 보호관리" 버튼을 누른다.



"개인정보 보호관리"에서는 다음 그림과 같이 해외IP 차단, 도용방지 서비스(유료), 아이디 지키기 등 다양한 보안 요소들을 서비스 하고 있다. "해외 아이피 차단하기"를 통해 해외 아이피를 차단할 수 있으나, 이번 사건에서 접속한 국가는 해외가 아니기 때문에 효율성은 없다. 물론 로그인 기록보기를 통해 살펴보면 로그인된 기록에는 해외에서 접근한 기록을 가지고 있다.



6. 여담


두 가지 정도 여담을 이야기 하자면, 처음 채팅한 회사 직원으로 피싱을 진행한 후 바로 다른 친구에게 대화를 걸어 피싱을 진행했다. 아쉽게도 이 친구는 나와 매우 친한 사이여서 쉽게 돈을 빌려주려고 했었지만, 전재산이 삼만원 뿐이라고 이야기를 하고 있다. ㅠㅠ 전재산을 듣고는 바로 다음 상대에게 말을 걸었지만, 비밀번호를 변경하고 로그아웃 시켜 공격자는 더 이상 진행하지 못했다.



또 다른 여담으로 공격자가 알려준 계좌번호로 "고생하는데 커피라도 사먹이자"라는 취지로 일정 금액을 송금하려고 시도했으나, 이미 해당 계좌는 차단된 상태였다.

'Information Security > Abuse & Fraud' 카테고리의 다른 글

악성 DDNS (Malicious DDNS)  (0) 2015.03.19
인스턴트 메시징(IM) 해킹 당하다.  (0) 2015.02.02
Mass SQLi의 흔적과 Domain Parking 서비스  (3) 2013.10.28
Poisoned adverts  (0) 2013.09.20
NHBank 피싱사이트  (0) 2013.03.08
우리은행 피싱사이트  (0) 2013.01.10


1. Mass SQLi의 흔적


SQL Injection 기법 중 Mass SQL Injection기법이 있다. 이는 수많은 사이트에 무작위로 SQL Injection하는 기법으로 무작위 대입 기법과 비슷하다고 가정 할 경우 수작업 보단 자동화된 도구에 의존한다고 볼 수 있다.


[칼럼] 웹서비스 보안의 불편한 진실,2010.08.05

[KISA] [TR2008007] 자동화된 SQL Injection 공격을 통한 악성코드 대량 삽입 수법 분석 - PDF


현재 개인적으로 연구 겸 번역 작업을 하고 있는 "Investingating China's Online Underground Economy"의 3.3.2. 인터넷 리소스와 서비스 악용 가치 사슬의 역할 과 속어 파트의 두 번째 단락에서 다음과 같이 말하고 있다.


The participants in the abuse phase do not need to master any blackhat techniques, because they are generally provided with easy-to-use tools. On the other hand, participants can directly obtain real-world profits through various underground profit channels. Therefore, this phase of the value chain attracts a large number of network criminals.


악용 단계에서 참가자들은 모든 블랙 햇의 기술들을 마스터 할 필요가 없는데, 일반적으로 사용하기 쉬운 도구를 제공하기 때문이다. 반면에 참가자들은 각종 지하 이익 채널을 통해 직접적으로 실제 이익을 얻을 수 있다. 따라서 이러한 가치 사슬의 단계에서 많은 수의 네트워크 범죄자들을 유치게 된다.


이렇게 블랙햇에 의해 자동화된 도구를 통해 공격한 Mass SQL Injection의 흔적은 간단한 검색만으로도 쉽게 찾아 볼 수 있다.



그림 1. 구글 검색 결과


그림 1에서 보듯이 단순히 URL을 가지고 검색 했을때 위와 같은 결과를 볼 수 있다. 이 결과를 통해 다음과 같이 추측 할 수 있다. 


  • 검색한 URL은 한 페이지에 복수개로 삽입이 가능했다. 
  • 그래서 이러한 형태는 자동화 된 공격으로 판단하기에 Mass SQL Injection 공격 흔적들이다. 
  • 추가 검색을 통해 과거에 공격한 흔적으로 판단, 이는 곧 현재까지도 조취를 하지 않은 페이지들이 검색 된 것이다.


Mass SQL Injection의 흔적으로 보여지는 URL들은 다음과 같으며, 추가적인 검색을 통해 더 많이 있음을 알 수 있다. 또한 이 URL들은 모두 카스퍼스키 중국 커뮤니티(Link)의 2010년 5월 16일 게시판에서 취약점을 이용한 공격한 악성코드 유포흔적으로 찾아 볼 수 있었다.


http://batyu.cn

http://bq346.cn

http://bwegz.cn

http://e.ckt4.cn

.....


과거 도메인들의 사용 형태


Mass SQL Injection 공격을 통해 수많은 페이지들이 공격자에 의해 설정된 URL로 Redirection이 발생하도록 하여 Drive-By Download 공격을 진행하였다. 이를 통해 수많은 좀피 PC를 보유하였으며, 이러한 좀비 PC는 다양형태로 응용가능하다. 추가적인 게임 트로이 목마나 인터넷 뱅킹 트로이 목마의 설치로 사용자의 가상 자산과 실물 자산의 위험을 노릴 수 있고, 기업의 경우 기업 정보 유출 및 개인 정보 유출 등을 발생 시킬 수 있다.


2. Domain Parking 서비스


그림 2. 도메인 직접 접근


현재는 위 도메인들은 모두 그림 2와 같은 페이지로 연결이 되고 있다. 해당 서버는 모두 USA에 위치하고 있다.(도메인의 국가코드가 cn임에도 USA에 위치하고 있는 이유는 아래에서 설명) Mass SQL Injection으로 삽입된 일부 도메인들을 분석한 결과 사용되지 않고 있는 도메인도 존재함을 확인했으며, 사용 중인 도메인들은 그림 2의 붉은 네모 밖스의 URL 표시 부분만 다를 뿐 동일한 페이지를 랜더링 하고 있다.


2.1. 현재 도메인들의 사용 형태


이미 공격에 사용되었던 도메인들이나, 현재는 공격에 사용하지 않아 "Domain Parking"을 통한 광고 수익을 발생시키고 있는 상태이다. "Domain Parking" 서비스은 사용하지 않는 도메인을 해당 서비스을 운영하고 있는 기업에게 도메인을 맏김으로써 광고 수입을 발생시키는 역할을 한다. "Domain Parking" 서비스를 제공하는 기업은 국제적으로 다수가 있으며, 그림 2의 "Domain Parking" 서비스을 제공하고 있는 기업은 "Dopa.com"임을 알아냈다. Dopa의 "Domain Parking" 서비스를 이용하고 있는 도메인들의 소재지는 USA로 나오는데, 이는 위 도메인들에 접근하면 "Domain Parking" 서비스 업체의 서버로 Redirection이 발생하기 때문에 IP와 그 소재지가 USA로 나타난다.


그림 3. 그림 2의 소스코드


3. 또 다른 시나리오


3.1. cpro.baidustatic.com 소스코드를 통한 또 다른 추측


이 소스코드는 중국 포털 사이트인 "바이두"에서 제공하는 제휴 마케팅 서비스(Link)이다. 해당 제휴 서비스 사이트를 통해 보면 이 서비스는 기본적으로 트래픽 통계(Traffic Analytics)와 연동되어 있음을 알 수 있었고, 연동되어 있는 통계 사이트 역시 바이두 이다.(Link) 이는 이미 Mass SQL Injection에 의해 삽입되어 발생하는 Redirection에서 사용자의 정보를 수집하게 되고 수집한 정보의 재가공 및 활용으로 수익을 발생 시킬 수 있다.


"Investingating China's Online Underground Economy"의 3.3.1 인터넷 자원 및 서비스 악용에 대한 가치 사슬의 구조 분석 파트의 5번째 단락에서 이러한 내용을 담고 있다.


Web servers, as special computers, have high commercial value; page views and clicks by visitors are coveted by blackhats who make profit through these mechanisms. Blackhats use website hacking techniques to gain these resources illegally or purchase them from the underground black market. In addition, business servers and sensitive data therein are also objects blackhatsabuse.


웹 서버와 같은 특별한 컴퓨터들은 높은 가치가 있다. 방문자들의 페이지 뷰와 클릭에 의해 발생하는 이익 발생 원리는 블랙햇들이 탐낼 수 있다. 블랙햇들은 웹 사이트 해킹 기술을 사용하여 이러한 리소스를 불법적으로 얻거나 지하 암시장을 통해 구입할 수 있다. 또한 비즈니스 서버 및 민감한 내부 데이터들 또한 블랙햇들에 의해 침해당 할 수 있는 요소들이다.


이러한 시나리오들에 대한 명확한 근거와 자료는 찾아 낼 수 없다. 그 이유는 트래픽 정보를 수집하는 것은 확실하나, 수집한 정보를 공격자 집단의 내부적으로 어떻게 활용하는 지에 대한 정보의 근거를 댈 수 없기 때문이다. 이와 같은 이유로 다양한 각도에서 다양한 시나리오를 생각 해야하며, 공격자에 대한 정보 수집 또한 필요하다고 생각한다.


4. 결론


몇 일 전 C&C 정보를 분석하던 중, 과거에 악성코드의 감염에 의해 C&C와 연결을 시도하려는 C&C 도메인이 현재는 성인 사이트로 운영되고 있으며, 또한 동일한 대역대의 다른 IP를 가진 C&C들이 동일한 성인 사이트로 연결되고 있음을 확인 한 적이 있다. 도메인이 기본적으로 1년단위로 계약하는 것을 미루어 보았을 때, 악성코드 유포 혹은 C&C 운영 등 다양한 형태로 사용한 후 도메인이 만기 되기 전 또 다른 불법 적인 형태로 서비스를 지속하거나, 불법은 아니지만 광고와 같은 서비스를 통해 조그만한 수익을 발생시키고 있다고 생각 할 수 있다. 이는 공격자들은 어떻한 형태가 되었든 금전적인 이익을 위해 모든 자원들을 다각도에서 활용하고 있다고 볼 수 있다.


위와 같은 이유로 방어자의 입장에서 네트워크 자원을 탈취하여 악용한 공격이 아닌, 공격자가 직접 구축하여 사용한 네트워크 자원이라고 명백하게 판단될 시 해당 자원에 대한 추적을 통한 연결 고리들을 파악하고, 이에 대한 대응이 필요하다고 생각한다.


'Information Security > Abuse & Fraud' 카테고리의 다른 글

악성 DDNS (Malicious DDNS)  (0) 2015.03.19
인스턴트 메시징(IM) 해킹 당하다.  (0) 2015.02.02
Mass SQLi의 흔적과 Domain Parking 서비스  (3) 2013.10.28
Poisoned adverts  (0) 2013.09.20
NHBank 피싱사이트  (0) 2013.03.08
우리은행 피싱사이트  (0) 2013.01.10
  1. 이재용 2014.02.04 03:30

    보안관련하여 공부하고 있는 초보 학생입니다.^^
    다름이 아니오라 블로그를 읽는 과정에서 이해가 되지 않아 질문을 드립니다.

    출처 : http://en.wikipedia.org/wiki/Domain_parking
    Domain parking refers to the registration of an internet domain name without that domain being associated with any services such as e-mail or a website. This may have been done with a view to reserving the domain name for future development, and to protect against the possibility of cybersquatting. Since the domain name registrar will have set name servers for the domain, the registrar or reseller potentially has use of the domain rather than the final registrant.
    이 구문을 읽고 제가 이해한 " Domain parking "에 대해서는 임시 방편의 도메인을 예약 및 준비중 같은 서비스를 하는걸로 이해 했습니다만,

    선배님이 적어놓으신 글을 인용하면

    "Domain Parking" 서비스은 사용하지 않는 도메인을 해당 서비스을 운영하고 있는 기업에게 도메인을 맏김으로써 광고 수입을 발생시키는 역할을 한다

    이 부분이 이해가 안됩니다. 글을 이해하기를 즉, 잉여 되고 있는 도메인을 가지고 여러 도메인을 운영하고 있는 서비스 업체에 넘기고 그 서비스 업체들은 광고 배너 등을 삽입해서 광고 수익을 낸다는게 맞는 말인지가 이해가 안됩니다 ㅠ

    • Favicon of https://stevelee.tistory.com BlogIcon stevelee 2014.02.05 16:17 신고

      블로그 주인은 아니지만 지나가다가 첨언을 해봅니다...
      일반적으로 '도메인 파킹'은 '파킹'이라는 말 그대로, 서비스를 제공하지 않는 사이트에서 '공사중', '준비중', '도메인 판매' 등의 문구를 내거는 것입니다.
      그러나 요 근래에는 단순한 유휴 도메인으로 유지하는 것보다 '광고' 등의 부가적인 것들을 덧붙여서 유휴 중에도 수익을 발생하게 하려는 목적으로 '파킹'을 사용하는 경우가 많아졌습니다. 이 경우에는 도메인 관련 전문업체에서 선점하고 있는 경우가 많습니다. 또한 이러한 도메인들은 프리미엄 도메인이라 하여 고가에 거래되고 있는데, 실제로 일반적인 단어로 도메인을 등록하려고 하면 대부분 전문업체에서 프리미엄 도메인으로 선점한 경우가 많아졌습니다.

    • Favicon of https://www.hakawati.co.kr BlogIcon hakawati 2014.02.07 10:32 신고

      좋은 질문과 좋은 답글에 감사드립니다.
      제 블로그가 개인주의 성향이 강해서 ^^;;

      특히나 기술에 대한 정의가 아닌 서비스에 대한 정의에 관한 부분은 위키피디아 보다 관련 서비스를 제공하는 업체의 설명에 따라가는 편이 좋습니다. 서비스라는 것은 지속적인 발전과 수익을 창출하기 위해서 다른 서비스와 융복합 하는 경우가 많습니다. Domain Parking의 경우 초기에 이재용님께서 쓰신 내용으로 사용되어 왔을 수 있으나 제가 알아본 서비스 업체의 내용에는 stevelee님의 말씀대로 유후 상태에서도 수익을 발생시키는 서비스와 복합적으로 사용합니다.

      조금 다른 의견은 stevelee님께서 말씀하신 도메인 거래는 Domain Parking과 다소 거리가 있습니다. 도메인을 전문적으로 거래하는 서비스는 Registrar로 알고 있고, 대표적인 글로벌 Registrar가 Godaddy.com로 알고 있습니다.

      추가적으로 기업의 요청에 의해 요청한 기업의 브랜드 이미지와 관련있는 도메인들을 구매, 관리 해주는 서비스를 제공하는 업체도 있는 것으로 알고 있습니다. 해당 업체나 서비스에 대한 정확한 명칭은 생각나지 않네요 ^^;;

제휴광고를 이용한 악성 소프트웨어의 유포를 정리하다가 "Poisoned adverts"라는 단어를 보았다.


Poisoned adverts 혹은 Ads Poisoning은 "오염된 광고, 광고를 오염시키는 것"과 "주입된 광고, 광고를 주입하는것"으로 해석하여

광고의 본래의 기능을 상실하고 다른 기능으로 바꿔치는 것을 의미한다.


광고는 XSS를 발생시키는 JavaScript코드와 Shockwave Flash 파일을 사용하기에 생겨난 단어로 추측하고 있다.


광고의 변질은 다음과 같은 효과를 가져다 준다.

  • 가장 view가 많은 시간에 Drive-By-Download 형태
  • 사용자 동의 없이 설치하는 소프트웨어 (PUAs)형태
  • 기존의 광고 대신 다른 광고를 삽입하여 수익을 발생
  • 피싱, 파밍에 사용


'Information Security > Abuse & Fraud' 카테고리의 다른 글

악성 DDNS (Malicious DDNS)  (0) 2015.03.19
인스턴트 메시징(IM) 해킹 당하다.  (0) 2015.02.02
Mass SQLi의 흔적과 Domain Parking 서비스  (3) 2013.10.28
Poisoned adverts  (0) 2013.09.20
NHBank 피싱사이트  (0) 2013.03.08
우리은행 피싱사이트  (0) 2013.01.10

악성코드 유포지를 검사하던 중 피싱사이트의 발견으로 간략하게 정리합니다. 이 유포지 서버는 공다팩을 이용하여 악성코드를 유포하는 유포지었습니다. 어느순간 악성코드 유포를 중단하고 IBK 기업은행 피싱사이트로 변신하고 있더군요. 그런데.. 다음날에는 NHBank(농협)피싱사이트로 또 한번 탈피하고 있었습니다. 하루만에 뚝딱뚝딱 만드는 것 같아요.

[그림1. IE로 접속한 NHBank 정상사이트]

[그림2. 크롬으로 접속한 NHBank 정상사이트]

저는 크롬으로 인터넷을 하기 때문에 피싱사이트와 크롬으로 접속한 사이트가 매칭이 안되서, "제작자가 잘못만들고 있나?" 싶었습니다.

[그림3 NHBank 피싱사이트]

부분적으로 서버를 찾을 수 없다면서 보여지고 있는게 딱 보아도 피싱사이트임이 틀림없습니다.

[그림4 피싱사이트 기본정보입력 구간]

피싱사이트의 특징을 몇가지 나열하자면, 제가 직접 장난쳐본 피싱사이트들에는 "보안승급"이라는 단어는 거의 필수로 들어갑니다. 또한 이름과 주민번호가 필터링 없이 사용되며 확인누르면 다음페이지로 넘어갑니다.

[그림4 피싱사이트 Alert창]

다른 페이지로의 링크를 클릭하면 위와 같은 문구가 뜹니다. 정상사이트는 보안모듈 설치 외에 어떠한 제제도 하지 않습니다.

[그림5 가짜 보안프로그램 다운로드 Alert]

악성코드 다운로드를 말하는 것이 아니라 이 창은 뜨지만 글자입니다. 어떠한 링크도 따라가질 않습니다. (수동설치, 설치진단가이드 등 button기능 자체가 없음)

[그림 6 시크릿 카드 입력구간]

모든 피싱사이트의 가장 보편적인 모습이죠. 시크릿 카드 전 구간 입력을 요구합니다. 순도 100% 피싱사이트임을 알 수 있는 부분이죠. 또한 이 부분을 지나가면 인증서 비밀번호와 인증서를 가로채기 위한 악성코드 설치 페이지로 넘어가는데, 이번에 발견한 농협 피싱사이트는 피싱사이트의 전체구간을 구축해 인증서 가로채는 구간으로 넘어가지는 않습니다.

최근들어 피싱(Phishing), 파밍(Phashing), 스미싱(SMishing)같은 금융계통 해킹이 심각한 위협으로 급부상 하였는데, 파밍에 쓰이는 악성코드 감염이나 피싱사이트 제작을 개인단위에서 막기엔 불가능하다고 생각되지만, 피싱사이트의 몇몇 특징들만 파악하더라도 피해를 입지 않을 것으로 생각합니다.

'Information Security > Abuse & Fraud' 카테고리의 다른 글

악성 DDNS (Malicious DDNS)  (0) 2015.03.19
인스턴트 메시징(IM) 해킹 당하다.  (0) 2015.02.02
Mass SQLi의 흔적과 Domain Parking 서비스  (3) 2013.10.28
Poisoned adverts  (0) 2013.09.20
NHBank 피싱사이트  (0) 2013.03.08
우리은행 피싱사이트  (0) 2013.01.10

우리은행 피싱사이트

우리은행 정상사이트

1. 판단

정상적으로 활용되고 있는 사이트는 아니지만, 최근에 만들고 있는 것으로 판단된다.

  • 피싱사이트에서 보여지는 모든 링크는 정상적으로 동작되지 않는다.

  • 현재의 정상적인 우리은행 사이트와 매우 유사하다.

  • 중국에서 운영되고 있다. (링크를 클릭하면 중국어로 된 에러코드가 발생.)

2. 추측

과거에도 피싱사이트를 운영한 사람으로 추측된다.

  • 점점 디테일이 좋아지고 있다. 아무래도 자주 만들어서 그런 것 같다.

  • 바로가기의 내용에 보면 "시행일 8월 ~ 9월예정" 으로 적혀 있는 문구가 있다.

3. 피싱사이트 전형적인 유형

  • 악성코드로 인해 정상 사이트 접근 시도시 정상 사이트가 아닌 피싱사이트로 접근(host파일 변조 등)
  • 로그인 시 아이디 비밀번호 갈취
  • 본인 확인을 위한 주민번호 입력 유도 및 갈취
  • 보안카드 전체입력을 요구함(전형적인 레파토리)
  • 보안모듈 설치로 또 다른 악성코드 설치 유도(악성코드 모습은 공인인증서 비밀번호 입력창)
  • 여기서 설치되는 악성코드는 대개 공인인증서 위치파악 및 공인인증서와 비밀번호 갈취

'Information Security > Abuse & Fraud' 카테고리의 다른 글

악성 DDNS (Malicious DDNS)  (0) 2015.03.19
인스턴트 메시징(IM) 해킹 당하다.  (0) 2015.02.02
Mass SQLi의 흔적과 Domain Parking 서비스  (3) 2013.10.28
Poisoned adverts  (0) 2013.09.20
NHBank 피싱사이트  (0) 2013.03.08
우리은행 피싱사이트  (0) 2013.01.10

+ Recent posts