1. Mass SQLi의 흔적
SQL Injection 기법 중 Mass SQL Injection기법이 있다. 이는 수많은 사이트에 무작위로 SQL Injection하는 기법으로 무작위 대입 기법과 비슷하다고 가정 할 경우 수작업 보단 자동화된 도구에 의존한다고 볼 수 있다.
[칼럼] 웹서비스 보안의 불편한 진실,2010.08.05
[KISA] [TR2008007] 자동화된 SQL Injection 공격을 통한 악성코드 대량 삽입 수법 분석 - PDF
현재 개인적으로 연구 겸 번역 작업을 하고 있는 "Investingating China's Online Underground Economy"의 3.3.2. 인터넷 리소스와 서비스 악용 가치 사슬의 역할 과 속어 파트의 두 번째 단락에서 다음과 같이 말하고 있다.
The participants in the abuse phase do not need to master any blackhat techniques, because they are generally provided with easy-to-use tools. On the other hand, participants can directly obtain real-world profits through various underground profit channels. Therefore, this phase of the value chain attracts a large number of network criminals.
악용 단계에서 참가자들은 모든 블랙 햇의 기술들을 마스터 할 필요가 없는데, 일반적으로 사용하기 쉬운 도구를 제공하기 때문이다. 반면에 참가자들은 각종 지하 이익 채널을 통해 직접적으로 실제 이익을 얻을 수 있다. 따라서 이러한 가치 사슬의 단계에서 많은 수의 네트워크 범죄자들을 유치게 된다.
이렇게 블랙햇에 의해 자동화된 도구를 통해 공격한 Mass SQL Injection의 흔적은 간단한 검색만으로도 쉽게 찾아 볼 수 있다.
그림 1에서 보듯이 단순히 URL을 가지고 검색 했을때 위와 같은 결과를 볼 수 있다. 이 결과를 통해 다음과 같이 추측 할 수 있다.
- 검색한 URL은 한 페이지에 복수개로 삽입이 가능했다.
- 그래서 이러한 형태는 자동화 된 공격으로 판단하기에 Mass SQL Injection 공격 흔적들이다.
- 추가 검색을 통해 과거에 공격한 흔적으로 판단, 이는 곧 현재까지도 조취를 하지 않은 페이지들이 검색 된 것이다.
Mass SQL Injection의 흔적으로 보여지는 URL들은 다음과 같으며, 추가적인 검색을 통해 더 많이 있음을 알 수 있다. 또한 이 URL들은 모두 카스퍼스키 중국 커뮤니티(Link)의 2010년 5월 16일 게시판에서 취약점을 이용한 공격한 악성코드 유포흔적으로 찾아 볼 수 있었다.
http://batyu.cn
http://bq346.cn
http://bwegz.cn
http://e.ckt4.cn
.....
과거 도메인들의 사용 형태
Mass SQL Injection 공격을 통해 수많은 페이지들이 공격자에 의해 설정된 URL로 Redirection이 발생하도록 하여 Drive-By Download 공격을 진행하였다. 이를 통해 수많은 좀피 PC를 보유하였으며, 이러한 좀비 PC는 다양형태로 응용가능하다. 추가적인 게임 트로이 목마나 인터넷 뱅킹 트로이 목마의 설치로 사용자의 가상 자산과 실물 자산의 위험을 노릴 수 있고, 기업의 경우 기업 정보 유출 및 개인 정보 유출 등을 발생 시킬 수 있다.
2. Domain Parking 서비스
현재는 위 도메인들은 모두 그림 2와 같은 페이지로 연결이 되고 있다. 해당 서버는 모두 USA에 위치하고 있다.(도메인의 국가코드가 cn임에도 USA에 위치하고 있는 이유는 아래에서 설명) Mass SQL Injection으로 삽입된 일부 도메인들을 분석한 결과 사용되지 않고 있는 도메인도 존재함을 확인했으며, 사용 중인 도메인들은 그림 2의 붉은 네모 밖스의 URL 표시 부분만 다를 뿐 동일한 페이지를 랜더링 하고 있다.
2.1. 현재 도메인들의 사용 형태
이미 공격에 사용되었던 도메인들이나, 현재는 공격에 사용하지 않아 "Domain Parking"을 통한 광고 수익을 발생시키고 있는 상태이다. "Domain Parking" 서비스은 사용하지 않는 도메인을 해당 서비스을 운영하고 있는 기업에게 도메인을 맏김으로써 광고 수입을 발생시키는 역할을 한다. "Domain Parking" 서비스를 제공하는 기업은 국제적으로 다수가 있으며, 그림 2의 "Domain Parking" 서비스을 제공하고 있는 기업은 "Dopa.com"임을 알아냈다. Dopa의 "Domain Parking" 서비스를 이용하고 있는 도메인들의 소재지는 USA로 나오는데, 이는 위 도메인들에 접근하면 "Domain Parking" 서비스 업체의 서버로 Redirection이 발생하기 때문에 IP와 그 소재지가 USA로 나타난다.
3. 또 다른 시나리오
3.1. cpro.baidustatic.com 소스코드를 통한 또 다른 추측
이 소스코드는 중국 포털 사이트인 "바이두"에서 제공하는 제휴 마케팅 서비스(Link)이다. 해당 제휴 서비스 사이트를 통해 보면 이 서비스는 기본적으로 트래픽 통계(Traffic Analytics)와 연동되어 있음을 알 수 있었고, 연동되어 있는 통계 사이트 역시 바이두 이다.(Link) 이는 이미 Mass SQL Injection에 의해 삽입되어 발생하는 Redirection에서 사용자의 정보를 수집하게 되고 수집한 정보의 재가공 및 활용으로 수익을 발생 시킬 수 있다.
"Investingating China's Online Underground Economy"의 3.3.1 인터넷 자원 및 서비스 악용에 대한 가치 사슬의 구조 분석 파트의 5번째 단락에서 이러한 내용을 담고 있다.
Web servers, as special computers, have high commercial value; page views and clicks by visitors are coveted by blackhats who make profit through these mechanisms. Blackhats use website hacking techniques to gain these resources illegally or purchase them from the underground black market. In addition, business servers and sensitive data therein are also objects blackhatsabuse.
웹 서버와 같은 특별한 컴퓨터들은 높은 가치가 있다. 방문자들의 페이지 뷰와 클릭에 의해 발생하는 이익 발생 원리는 블랙햇들이 탐낼 수 있다. 블랙햇들은 웹 사이트 해킹 기술을 사용하여 이러한 리소스를 불법적으로 얻거나 지하 암시장을 통해 구입할 수 있다. 또한 비즈니스 서버 및 민감한 내부 데이터들 또한 블랙햇들에 의해 침해당 할 수 있는 요소들이다.
이러한 시나리오들에 대한 명확한 근거와 자료는 찾아 낼 수 없다. 그 이유는 트래픽 정보를 수집하는 것은 확실하나, 수집한 정보를 공격자 집단의 내부적으로 어떻게 활용하는 지에 대한 정보의 근거를 댈 수 없기 때문이다. 이와 같은 이유로 다양한 각도에서 다양한 시나리오를 생각 해야하며, 공격자에 대한 정보 수집 또한 필요하다고 생각한다.
4. 결론
몇 일 전 C&C 정보를 분석하던 중, 과거에 악성코드의 감염에 의해 C&C와 연결을 시도하려는 C&C 도메인이 현재는 성인 사이트로 운영되고 있으며, 또한 동일한 대역대의 다른 IP를 가진 C&C들이 동일한 성인 사이트로 연결되고 있음을 확인 한 적이 있다. 도메인이 기본적으로 1년단위로 계약하는 것을 미루어 보았을 때, 악성코드 유포 혹은 C&C 운영 등 다양한 형태로 사용한 후 도메인이 만기 되기 전 또 다른 불법 적인 형태로 서비스를 지속하거나, 불법은 아니지만 광고와 같은 서비스를 통해 조그만한 수익을 발생시키고 있다고 생각 할 수 있다. 이는 공격자들은 어떻한 형태가 되었든 금전적인 이익을 위해 모든 자원들을 다각도에서 활용하고 있다고 볼 수 있다.
위와 같은 이유로 방어자의 입장에서 네트워크 자원을 탈취하여 악용한 공격이 아닌, 공격자가 직접 구축하여 사용한 네트워크 자원이라고 명백하게 판단될 시 해당 자원에 대한 추적을 통한 연결 고리들을 파악하고, 이에 대한 대응이 필요하다고 생각한다.
'Information Security > Abuse & Fraud' 카테고리의 다른 글
| 악성 DDNS (Malicious DDNS) (0) | 2015.03.19 |
|---|---|
| 인스턴트 메시징(IM) 해킹 당하다. (0) | 2015.02.02 |
| Poisoned adverts (0) | 2013.09.20 |
| NHBank 피싱사이트 (0) | 2013.03.08 |
| 우리은행 피싱사이트 (0) | 2013.01.10 |
