1. 개요
도메인 쉐도잉(Domain Shadowing) 기술은 드라이브-바이 다운로드(Drive-By Download) 공격 도구인 앵글러 익스플로잇 도구(Angler Exploit Kit)에서 탐지 회피를 위해 사용하는 기술이다. 이 도구는 해외에서 상용으로 구입할 수 있는 공격 툴킷에서 가장 인기있는 블랙홀 2.0(BlacKHole Exploit Kit 2.0)을 제친 공격 툴킷이다. 도메인 쉐도잉 기술은 시스코 보안 연구원 Nick Biasini가 어도비 플래시 플레이어 취약점과 실버 라이드 취약점을 이용한 공격을 3개월 간 추적한 결과이다.
2. 기술 개요
도메인 쉐도잉 기술은 2014년 12월 부터 앵글러 익스플로잇 도구에서 사용되기 시작되었다고 보고되고 있으며, 아무래도 악성코드 제작자들이 C&C 도메인과 연결되어 있는 아이피들을 동적으로 변경하기 위해 사용하는 패스트-플럭스(Fast-Flux) 기술에서 부터 응용되었다고 생각하고있다. 그래서 포스팅에서도 패스트-플럭스 기술과 비교하여 설명하고 있다.
2.1. 패스트-플럭스(Fast-Flux)
패스트-플럭스 기술은 2006년 11월 이전부터 이 기술에 대한 인식이 있었지만, 2007년 7월부터 공식화 되면서 관심을 받기 시작했다. 공식화는 허니넷 프로젝트에서 자세하게 정리했다.
이 기술에 대해 간단하게 기술하자면, 고정된 호스트 아이피를 사용할 경우 탐지 기반 솔루션이나 블랙리스트 형태의 차단 형태의 솔루션에 의해 쉽게 차단 당할 수 있어 이를 우회하기 위한 DNS 기술로, 하나의 도메인이 여러개의 아이피를 물고 있는 형태로 생각하면 된다. 이 기술을 주로 사용하는 곳은 피싱이나 악성코드를 위한 봇넷 구성 등 악의적인 목적에 의해 사용된다.
출처 : 위키피디아
2.2. 도메인 쉐도잉(Domain Shadowing)
패스트-플럭스는 악성코드가 C&C 서버와 통신하는 과정에서 하나의 도메인에 여러개의 아이피를 사용하는 기술이라면, 도메인 쉐도잉은 드라이브-바이 다운로드에서 악성코드 유포지로 흘러가는 길목에 사용되는 도메인들이 수 많은 서브 도메인으로 구성된다. 이 기술 또한 탐지 및 블랙 리스팅 형태의 솔루션들을 우회하기 위해 사용된다.
탐지 및 방어하는 관점에서 이야기하면 사이트 관제나 침해사고 대응 입장에서 추적하기 매우 어려운 구조를 가진다. 최초 경유지에 삽입된 악성 스크립트를 따라 추적을 진행하고, 감염시킨 악성코드를 분석하여 대응을 하는 구조를 가질 수 있다. 하지만, 추적하는 과정이 힘들어져 수집이 되지 않거나, 변경되는 유포지 마다 서로 다른 성향의 악성코드를 유포한다면 대응하기 어렵게 된다.
출처 : Cisco Blog
관련 정보를 조사하는 과정에서 다음과 같은 특징들이 있었다.
기술 개념적 특징
- 경유지는 하나의 유포지로 삽입
- 중계지/유포지는 서브 도메인들로 구성, 페이지를 새롭게 랜더링 할 때 마다 변경
분석 상황적 특징
리디렉션 페이지(호핑 페이지 또는 중계지)는 서브 도메인을 기초 영 단어를 사용 (says.shadowing.com)
랜딩/익스플로잇 페이지(최종 유포지)는 임의의 문자를 사용, 3~4단계 형태로 구현
(falkjsd.domain.shadowing.com - 4단계)분석 당시 광고에서 악성코드를 유포
75개 정도의 아이피에 수 천개의 서브 도메인을 연결하여 사용
도메인 관리자를 피싱으로 서브 도메인 생성, 분석 당시 도메인들은 모두 GoDaddy에서 관리하는 도메인
출처 : Cisco Blog
추측적 특징과 생각
- Godaddy 서비스가 공격 당한 것이 아닌, 해당 도메인 서비스를 이용하는 사용자(도메인 관리자)를 도용
- 이러한 도용이 앵글러 익스플로잇 킷에 자동화 되어 있을 것으로 추측
- 도용 방법으로는 피싱(Phishing)을 이용하여 하이재킹(Hijacking)을 했다고 하는데, 구체적인 방법은 잘 모름
- 서브 도메인과 아이피 매핑은 A 레코드 관리를 통해 진행
- A 레코드 관리가 원격 제어를 통해 이뤄질 수 있도록 Godaddy가 서비스를 제공 - 생성 및 관리의 자동화
- RIG EK 또는 CDN을 이용한 유포 처럼 서버측 언어(Server-Side Language)를 변조하여 302 리디렉션으로 구현 - TDS의 응용
- 보통 도메인을 구매하여 사용할 경우 이용하는 서비스에 문제가 없다면 도메인에 대한 지속적인 관리를 하지 않기에 서브 도메인이 악용되어도 사용자는 발견하기 까지 시간이 오래 걸림
출처 : Godaddy.com
3. 결론
처음 페이지 랜더링 때 마다 변경되어 치고 빠지는 형태이고, 광고 스크립트에 삽입되어 유포하는 악성코드를 분석하여 얻은 정보라고 했을때, 광고 스크립트의 동적 로딩을 생각했었다. 하지만, 서버측 언어를 이용하면 무리없게 동작 시킬 수 있을 것으로 판단했다. 이는 공격에 사용된 서버의 권한은 모두 탈취 되었다고 보여진다.
시스코의 분석 글을 읽으면서 국외에서도 아직 드라이브-바이 다운로드 공격에 사용되는 용어들이 명확하게 체계화되어 정리되어 있지 않은 것을 느꼈다. 이유는 다음과 같다.
우리도 경유지, 중계지, 유포지 로 구분하여 사용하지만, 경유지가 유포지가 될 수 있고 중계지가 유포지로 변경되기도 하기에 유동적인 환경에서의 구체적인 용어 확립이 어렵다.
외국에서 흔히 보는 형태로 Landing Page 를 경유지로, Exploit Landing Page 를 유포지를 사용하기 때문에 혼용이 된다. 왜 Exploit Landing Page라 부르는지 그 이유는 다음과 같이 이해해 보았다.
Exploit Landing Page 안에 인터넷 익스플로러 취약점을 사용하는 html 페이지를 포함하고 있다면, 포함된 페이지를 Exploit Page라 불러야 하기 때문에...
그냥 Exploit을 발생시키는 지점에 도착하였기 때문에...
그 외 용어 정립이 안된 중계지의 경우 외국에서는 Bridge Page, Hopping Page, Redirector Page 등 다양하게 부르고 있다.
어떤 곳에서는 페이지(page) 개념이 아닌 사이트(site) 또는 서버(server) 개념으로 소개하기도 하지만, 아니라고 생각한다.
마지막으로 악성코드가 안티 바이러스 제품들을 우회하기 위해 회피 코드를 사용하기 시작한 시점은 이 둘 사이에 본격적인 전쟁이 시작됐을 때 일 것이다. 드라이브-바이 다운로드 공격도 각지의 보안 업체에서 깊은 연구와 대응 방안들을 마련해 서비스를 제공하고 있기 때문에 이러한 우회 기법들을 만들어내는 것으로 보여진다. 이제 시작인 만큼 앞으로 악성코드 유포가 더욱 고도화가 될 것으로 보여진다.
4. 참조
- http://thehackernews.com/2015/03/domain-shadowing-angular-exploit-kit.html
- http://blogs.cisco.com/security/talos/angler-domain-shadowing
- http://www.honeynet.org/papers/ff
'Information Security > Malware' 카테고리의 다른 글
| 랜섬웨어 대응방안 (5) | 2017.05.17 |
|---|---|
| [보고서] Mirai Botnet (0) | 2016.12.26 |
| Sweet Orange exploit kit (0) | 2014.09.02 |
| 공다팩(Gondad EK) 분석 #04 (2) | 2014.08.14 |
| 공다팩(Gondad EK) 분석 #03 (3) | 2014.07.11 |
