본문으로 바로가기


1. Mass SQLi의 흔적


SQL Injection 기법 중 Mass SQL Injection기법이 있다. 이는 수많은 사이트에 무작위로 SQL Injection하는 기법으로 무작위 대입 기법과 비슷하다고 가정 할 경우 수작업 보단 자동화된 도구에 의존한다고 볼 수 있다.


[칼럼] 웹서비스 보안의 불편한 진실,2010.08.05

[KISA] [TR2008007] 자동화된 SQL Injection 공격을 통한 악성코드 대량 삽입 수법 분석 - PDF


현재 개인적으로 연구 겸 번역 작업을 하고 있는 "Investingating China's Online Underground Economy"의 3.3.2. 인터넷 리소스와 서비스 악용 가치 사슬의 역할 과 속어 파트의 두 번째 단락에서 다음과 같이 말하고 있다.


The participants in the abuse phase do not need to master any blackhat techniques, because they are generally provided with easy-to-use tools. On the other hand, participants can directly obtain real-world profits through various underground profit channels. Therefore, this phase of the value chain attracts a large number of network criminals.


악용 단계에서 참가자들은 모든 블랙 햇의 기술들을 마스터 할 필요가 없는데, 일반적으로 사용하기 쉬운 도구를 제공하기 때문이다. 반면에 참가자들은 각종 지하 이익 채널을 통해 직접적으로 실제 이익을 얻을 수 있다. 따라서 이러한 가치 사슬의 단계에서 많은 수의 네트워크 범죄자들을 유치게 된다.


이렇게 블랙햇에 의해 자동화된 도구를 통해 공격한 Mass SQL Injection의 흔적은 간단한 검색만으로도 쉽게 찾아 볼 수 있다.



그림 1. 구글 검색 결과


그림 1에서 보듯이 단순히 URL을 가지고 검색 했을때 위와 같은 결과를 볼 수 있다. 이 결과를 통해 다음과 같이 추측 할 수 있다. 


  • 검색한 URL은 한 페이지에 복수개로 삽입이 가능했다. 
  • 그래서 이러한 형태는 자동화 된 공격으로 판단하기에 Mass SQL Injection 공격 흔적들이다. 
  • 추가 검색을 통해 과거에 공격한 흔적으로 판단, 이는 곧 현재까지도 조취를 하지 않은 페이지들이 검색 된 것이다.


Mass SQL Injection의 흔적으로 보여지는 URL들은 다음과 같으며, 추가적인 검색을 통해 더 많이 있음을 알 수 있다. 또한 이 URL들은 모두 카스퍼스키 중국 커뮤니티(Link)의 2010년 5월 16일 게시판에서 취약점을 이용한 공격한 악성코드 유포흔적으로 찾아 볼 수 있었다.


http://batyu.cn

http://bq346.cn

http://bwegz.cn

http://e.ckt4.cn

.....


과거 도메인들의 사용 형태


Mass SQL Injection 공격을 통해 수많은 페이지들이 공격자에 의해 설정된 URL로 Redirection이 발생하도록 하여 Drive-By Download 공격을 진행하였다. 이를 통해 수많은 좀피 PC를 보유하였으며, 이러한 좀비 PC는 다양형태로 응용가능하다. 추가적인 게임 트로이 목마나 인터넷 뱅킹 트로이 목마의 설치로 사용자의 가상 자산과 실물 자산의 위험을 노릴 수 있고, 기업의 경우 기업 정보 유출 및 개인 정보 유출 등을 발생 시킬 수 있다.


2. Domain Parking 서비스


그림 2. 도메인 직접 접근


현재는 위 도메인들은 모두 그림 2와 같은 페이지로 연결이 되고 있다. 해당 서버는 모두 USA에 위치하고 있다.(도메인의 국가코드가 cn임에도 USA에 위치하고 있는 이유는 아래에서 설명) Mass SQL Injection으로 삽입된 일부 도메인들을 분석한 결과 사용되지 않고 있는 도메인도 존재함을 확인했으며, 사용 중인 도메인들은 그림 2의 붉은 네모 밖스의 URL 표시 부분만 다를 뿐 동일한 페이지를 랜더링 하고 있다.


2.1. 현재 도메인들의 사용 형태


이미 공격에 사용되었던 도메인들이나, 현재는 공격에 사용하지 않아 "Domain Parking"을 통한 광고 수익을 발생시키고 있는 상태이다. "Domain Parking" 서비스은 사용하지 않는 도메인을 해당 서비스을 운영하고 있는 기업에게 도메인을 맏김으로써 광고 수입을 발생시키는 역할을 한다. "Domain Parking" 서비스를 제공하는 기업은 국제적으로 다수가 있으며, 그림 2의 "Domain Parking" 서비스을 제공하고 있는 기업은 "Dopa.com"임을 알아냈다. Dopa의 "Domain Parking" 서비스를 이용하고 있는 도메인들의 소재지는 USA로 나오는데, 이는 위 도메인들에 접근하면 "Domain Parking" 서비스 업체의 서버로 Redirection이 발생하기 때문에 IP와 그 소재지가 USA로 나타난다.


그림 3. 그림 2의 소스코드


3. 또 다른 시나리오


3.1. cpro.baidustatic.com 소스코드를 통한 또 다른 추측


이 소스코드는 중국 포털 사이트인 "바이두"에서 제공하는 제휴 마케팅 서비스(Link)이다. 해당 제휴 서비스 사이트를 통해 보면 이 서비스는 기본적으로 트래픽 통계(Traffic Analytics)와 연동되어 있음을 알 수 있었고, 연동되어 있는 통계 사이트 역시 바이두 이다.(Link) 이는 이미 Mass SQL Injection에 의해 삽입되어 발생하는 Redirection에서 사용자의 정보를 수집하게 되고 수집한 정보의 재가공 및 활용으로 수익을 발생 시킬 수 있다.


"Investingating China's Online Underground Economy"의 3.3.1 인터넷 자원 및 서비스 악용에 대한 가치 사슬의 구조 분석 파트의 5번째 단락에서 이러한 내용을 담고 있다.


Web servers, as special computers, have high commercial value; page views and clicks by visitors are coveted by blackhats who make profit through these mechanisms. Blackhats use website hacking techniques to gain these resources illegally or purchase them from the underground black market. In addition, business servers and sensitive data therein are also objects blackhatsabuse.


웹 서버와 같은 특별한 컴퓨터들은 높은 가치가 있다. 방문자들의 페이지 뷰와 클릭에 의해 발생하는 이익 발생 원리는 블랙햇들이 탐낼 수 있다. 블랙햇들은 웹 사이트 해킹 기술을 사용하여 이러한 리소스를 불법적으로 얻거나 지하 암시장을 통해 구입할 수 있다. 또한 비즈니스 서버 및 민감한 내부 데이터들 또한 블랙햇들에 의해 침해당 할 수 있는 요소들이다.


이러한 시나리오들에 대한 명확한 근거와 자료는 찾아 낼 수 없다. 그 이유는 트래픽 정보를 수집하는 것은 확실하나, 수집한 정보를 공격자 집단의 내부적으로 어떻게 활용하는 지에 대한 정보의 근거를 댈 수 없기 때문이다. 이와 같은 이유로 다양한 각도에서 다양한 시나리오를 생각 해야하며, 공격자에 대한 정보 수집 또한 필요하다고 생각한다.


4. 결론


몇 일 전 C&C 정보를 분석하던 중, 과거에 악성코드의 감염에 의해 C&C와 연결을 시도하려는 C&C 도메인이 현재는 성인 사이트로 운영되고 있으며, 또한 동일한 대역대의 다른 IP를 가진 C&C들이 동일한 성인 사이트로 연결되고 있음을 확인 한 적이 있다. 도메인이 기본적으로 1년단위로 계약하는 것을 미루어 보았을 때, 악성코드 유포 혹은 C&C 운영 등 다양한 형태로 사용한 후 도메인이 만기 되기 전 또 다른 불법 적인 형태로 서비스를 지속하거나, 불법은 아니지만 광고와 같은 서비스를 통해 조그만한 수익을 발생시키고 있다고 생각 할 수 있다. 이는 공격자들은 어떻한 형태가 되었든 금전적인 이익을 위해 모든 자원들을 다각도에서 활용하고 있다고 볼 수 있다.


위와 같은 이유로 방어자의 입장에서 네트워크 자원을 탈취하여 악용한 공격이 아닌, 공격자가 직접 구축하여 사용한 네트워크 자원이라고 명백하게 판단될 시 해당 자원에 대한 추적을 통한 연결 고리들을 파악하고, 이에 대한 대응이 필요하다고 생각한다.


저작자 표시 비영리 동일 조건 변경 허락
신고

댓글을 달아 주세요

  1. 이재용 신고">2014.02.04 03:30 신고

    보안관련하여 공부하고 있는 초보 학생입니다.^^
    다름이 아니오라 블로그를 읽는 과정에서 이해가 되지 않아 질문을 드립니다.

    출처 : http://en.wikipedia.org/wiki/Domain_parking
    Domain parking refers to the registration of an internet domain name without that domain being associated with any services such as e-mail or a website. This may have been done with a view to reserving the domain name for future development, and to protect against the possibility of cybersquatting. Since the domain name registrar will have set name servers for the domain, the registrar or reseller potentially has use of the domain rather than the final registrant.
    이 구문을 읽고 제가 이해한 " Domain parking "에 대해서는 임시 방편의 도메인을 예약 및 준비중 같은 서비스를 하는걸로 이해 했습니다만,

    선배님이 적어놓으신 글을 인용하면

    "Domain Parking" 서비스은 사용하지 않는 도메인을 해당 서비스을 운영하고 있는 기업에게 도메인을 맏김으로써 광고 수입을 발생시키는 역할을 한다

    이 부분이 이해가 안됩니다. 글을 이해하기를 즉, 잉여 되고 있는 도메인을 가지고 여러 도메인을 운영하고 있는 서비스 업체에 넘기고 그 서비스 업체들은 광고 배너 등을 삽입해서 광고 수익을 낸다는게 맞는 말인지가 이해가 안됩니다 ㅠ

    • BlogIcon stevelee 신고">2014.02.05 16:17 신고

      블로그 주인은 아니지만 지나가다가 첨언을 해봅니다...
      일반적으로 '도메인 파킹'은 '파킹'이라는 말 그대로, 서비스를 제공하지 않는 사이트에서 '공사중', '준비중', '도메인 판매' 등의 문구를 내거는 것입니다.
      그러나 요 근래에는 단순한 유휴 도메인으로 유지하는 것보다 '광고' 등의 부가적인 것들을 덧붙여서 유휴 중에도 수익을 발생하게 하려는 목적으로 '파킹'을 사용하는 경우가 많아졌습니다. 이 경우에는 도메인 관련 전문업체에서 선점하고 있는 경우가 많습니다. 또한 이러한 도메인들은 프리미엄 도메인이라 하여 고가에 거래되고 있는데, 실제로 일반적인 단어로 도메인을 등록하려고 하면 대부분 전문업체에서 프리미엄 도메인으로 선점한 경우가 많아졌습니다.

    • BlogIcon hakawati 신고">2014.02.07 10:32 신고

      좋은 질문과 좋은 답글에 감사드립니다.
      제 블로그가 개인주의 성향이 강해서 ^^;;

      특히나 기술에 대한 정의가 아닌 서비스에 대한 정의에 관한 부분은 위키피디아 보다 관련 서비스를 제공하는 업체의 설명에 따라가는 편이 좋습니다. 서비스라는 것은 지속적인 발전과 수익을 창출하기 위해서 다른 서비스와 융복합 하는 경우가 많습니다. Domain Parking의 경우 초기에 이재용님께서 쓰신 내용으로 사용되어 왔을 수 있으나 제가 알아본 서비스 업체의 내용에는 stevelee님의 말씀대로 유후 상태에서도 수익을 발생시키는 서비스와 복합적으로 사용합니다.

      조금 다른 의견은 stevelee님께서 말씀하신 도메인 거래는 Domain Parking과 다소 거리가 있습니다. 도메인을 전문적으로 거래하는 서비스는 Registrar로 알고 있고, 대표적인 글로벌 Registrar가 Godaddy.com로 알고 있습니다.

      추가적으로 기업의 요청에 의해 요청한 기업의 브랜드 이미지와 관련있는 도메인들을 구매, 관리 해주는 서비스를 제공하는 업체도 있는 것으로 알고 있습니다. 해당 업체나 서비스에 대한 정확한 명칭은 생각나지 않네요 ^^;;

티스토리 툴바