사랑하라

작은 진동/명언 2016. 10. 8. 13:39

사랑하라...

 

하나를 주고 하나를 바라는 것도..

두개를 주고 하나를 바라는 것도.. 아니다.

 

아홉개를 주고도 미쳐주지못한 하나를 안타까워하는 것... 그것이 사랑이다.

 

[출처] 기억안남.

설정

트랙백

댓글

네이버 계정 탈취 이슈 분석

난독화/이것 저것 2014. 7. 3. 14:54

q  개요

최근 해킹된 블로그를 유명 포털사이트(naver, daum, google)에서 검색 후 접속 시 악성코드 유포지로 이동하게 되는 일명자동납치방법(울지않는벌새님 블로그 인용)을 이용한 악성코드 유포가 빈번하게 발생하고 있습니다. 이 악성코드 유포 방법은 최근 많아지고 있는 악성코드 유포지를 자동으로 찾아주는 시스템들을 우회하기 위해 사용되는 것으로 판단됩니다. (주관적인 생각^^)

이번 분석보고서에서는 자동납치기능을 이용하여 대형 포털사이트의 ID, Password를 탈취하는 신규 피싱방법에 대해 다루어보겠습니다.

자동납치에 대한 설명과 사례는 울지않는 벌새님의 블로그에 잘 설명되어있으니 생소한 분들은 참조하시기 바랍니다.

- 울지않는벌새 블로그: http://hummingbird.tistory.com/5441

 

q  흐름도

[그림 1] 620일 발견된 자동납치 방법을 이용한 계정 유출 흐름도

[그림 2] URL 흐름도

q  Analysis

[그림 3]Naver에서 M사이트 검색 후 접속한 그림이다. M사이트 접속 시 302 리다이렉트되어 메인 페이지(goods_main.php )로 이동 후 여러 js파일들을 호출한다. JS 파일들은 모두 M 사이트에서 정상적으로 사용하는 것이며, 정상적으로 접속했을 때와 동일하다. 

[그림 3] 네이버 검색 후 변조된 사이트 접속

하지만 [그림 4]에서 보면 호출하는 js 파일 중 하나인 common.js의 일부 내용이 변조되어 추가된 것을 확인 할 수 있다.

[그림 4] common.js 파일 변조

변조된 내용을 확인해 보면, 먼저 cookie 값을 체크하여 “jumpoline” 문자열이 없으면 실행된다. 이를 체크하는 이유는 중복실행을 방지하기 위한 것으로 아래 부분에서 cookie 값에 “jumpoline~.~” 를 설정해 주는 것을 볼 수 있다. 이방법은 다동(공다팩) 등에서 많이 사용되고 있는 방법이다.

[그림 5]의 ① 부분을 보면 referrer 값을 ref 변수에 저장한다. 그리고 reg 변수에 “naver’ 문자열을 저장한다. ② 번 부분에서 referrer 값에 “naver” 문자열이 있는지 체크하기 위해서 이다. 그리고 referrer 값에 “naver”문자열이 포함될 경우 location.href 을 이용하여 특정 페이지로 이동하게 한다.

[그림 5] common.js 파일 변조 내용 상세

여기서 알아야 할 점은 referrer 값을 체크하고 “naver” 문자열이 존재할 경우만, 악의적인 페이지로 연결을 시킨다는 점이다. 이것은 네이버를 통해서(즉 네이버에서 검색 후 사이트에 온 경우) 접속한 경우만 악의적인 페이지로 연결시키는 것인데, 일반적으로 보다 많은 사람을 유도하기 위해 노력하는 악성코드 유포방법에 반하는 방법이다.

개인적으로는 악성사이트 및 위/변조 사이트를 찾아주는 자동화 시스템에 탐지되지 않기 위한 하나의 방법으로 최근에 많이 사용되는 것 같다.

[그림 6] referrer 값을 체크하여 naver, daum, google을 경유하여 접속한 사용자에게만 악성코드를 유포하는 방법에 사용된 스크립트 부분이다. indexOf를 사용하여 문자열이 없는 경우는 -1이기때문에 악성코드 유포지로 접근하지 않지만, 세 사이트 중 하나라도 있다면 악성코드 유포지로 접근하게 된다.

[그림 6] referrer 값을 체크하는 패턴

 

 

네이버에서 검색하여 M사이트에 접속한 사용자는 갑자기 [그림 7] 처럼 네이버 로그인 페이지가 열린다. 그림에서는 일부만 스크린샷 하였지만, 실제 네이버 로그인 페이지와 동일하게 구성되어있다. 일반사람이라면 조금 이상하지만 익숙한 페이지에 습관적으로 로그인을 할 것 같다 라고 생각되었다. 

[그림 7] NAVER 로그인으로 위장한 페이지

하지만 해당 페이지는 당연히 네이버로그인 페이지가 아니다. [그림 8]에서 보면 경로도 M사이트이며 다른 사이트를 접근했는데 네이버 로그인 이라니…(현대인의 정신 없는 점을 노린건가?)

[그림 8] NAVER 로그인으로 위장한 페이지 소스

로그인 페이지의 소스를 살펴보면 로그인 버튼을 누르면 동작하는 action 값이 네이버가 아닌 다른 사이트 인 것을 확인 할 수 있다.

[그림 9] NAVER 로그인으로 위장한 페이지 소스 상세

[그림 10]은 계정정보를 입력 후 로그인 시도를 했을 때, 네이버가 아닌 특정 URL 주소로 입력한 네이버의 ID Password를 전송하는 것을 확인 할 수 있다.

[그림 10] 특정페이지로 NAVER 계정정보 전송

최근에 유행하는 유명 포털사이트를 경유하여 변조된 사이트에 접근 시 악성행위가 동작하는 방법에 대해 알아보았다. 탐지하는 방법이 발전하는 것 만큼 우회하는 방법도 점점 지능화되고 있다는 생각을 하게 되었다.

우리는 이러한 환경에서 자신의 회사 또는 자산을 지키기 위해, 정보를 빠르게 수집하고, 자신의 보안환경에서 탐지하고 대응할 수 있도록 하는 것이 중요하다.

해당 이슈에 대해 아직 탐지 설정이 안되어 있다면, 본문에 나왔던 내용을 참고하여 경보설정해 보는 것을 추천한다.

'난독화 > 이것 저것' 카테고리의 다른 글

Xor Project  (3) 2014.04.21
SuNiNaTaS Clear!!  (0) 2014.03.27
오랫만에 풀어보는 Suninatas 해킹문제  (1) 2014.03.26
2014년 3월 볼라벤 보고서  (0) 2014.03.07
Magnitude Exploit Kit 샘플 구해봅니다 ㅜㅜ  (1) 2013.11.17

설정

트랙백

댓글

광게바라의 난독화 문제 1번

 

kwangguevara_1번문제(Xor, hint_javascript)

 

난독화를 이용하여 해킹문제를 만들어 보았습니다.

 

제목: 다양한 난독화 기법

힌트: xor, javascript

 

설정

트랙백

댓글