글
사랑하라
사랑하라...
하나를 주고 하나를 바라는 것도..
두개를 주고 하나를 바라는 것도.. 아니다.
아홉개를 주고도 미쳐주지못한 하나를 안타까워하는 것... 그것이 사랑이다.
[출처] 기억안남.
'작은 진동 > 명언' 카테고리의 다른 글
| 자꾸 넘어지다 보면 언젠간은... (0) | 2013.11.22 |
|---|---|
| 선택을 고민중이면 참고해~ (0) | 2013.08.06 |
| 인생이란 공평하지 않다 (0) | 2013.05.17 |
| 만남이란 언제나 그런 것입니다. (0) | 2013.04.30 |
| 내가 생각하는 "열정"의 다른 말. (0) | 2013.03.04 |
글
네이버 계정 탈취 이슈 분석
q 개요
최근 해킹된 블로그를 유명 포털사이트(naver, daum, google)에서 검색 후 접속 시 악성코드 유포지로 이동하게 되는 일명 “자동납치” 방법(울지않는벌새님 블로그 인용)을 이용한 악성코드 유포가 빈번하게 발생하고 있습니다. 이 악성코드 유포 방법은 최근 많아지고 있는 “악성코드 유포지를 자동으로 찾아주는 시스템”들을 우회하기 위해 사용되는 것으로 판단됩니다. (주관적인 생각^^)
이번 분석보고서에서는 자동납치기능을 이용하여 대형 포털사이트의 ID, Password를 탈취하는 신규 피싱방법에 대해 다루어보겠습니다.
※ “자동납치”에 대한 설명과 사례는 울지않는 벌새님의 블로그에 잘 설명되어있으니 생소한 분들은 참조하시기 바랍니다.
- 울지않는벌새 블로그: http://hummingbird.tistory.com/5441
q 흐름도
[그림 1] 6월20일 발견된 자동납치 방법을 이용한 계정 유출 흐름도
[그림 2] URL 흐름도
q Analysis
[그림 3]은 Naver에서 M사이트 검색 후 접속한 그림이다. M사이트 접속 시 302 리다이렉트되어 메인 페이지(goods_main.php )로 이동 후 여러 js파일들을 호출한다. JS 파일들은 모두 M 사이트에서 정상적으로 사용하는 것이며, 정상적으로 접속했을 때와 동일하다.
[그림 3] 네이버 검색 후 변조된 사이트 접속
하지만 [그림 4]에서 보면 호출하는 js 파일 중 하나인 common.js의 일부 내용이 변조되어 추가된 것을 확인 할 수 있다.
[그림 4] common.js 파일 변조
변조된 내용을 확인해 보면, 먼저 cookie 값을 체크하여 “jumpoline” 문자열이 없으면 실행된다. 이를 체크하는 이유는 중복실행을 방지하기 위한 것으로 아래 부분에서 cookie 값에 “jumpoline~.~” 를 설정해 주는 것을 볼 수 있다. 이방법은 다동(공다팩) 등에서 많이 사용되고 있는 방법이다.
[그림 5]의 ① 부분을 보면 referrer 값을 ref 변수에 저장한다. 그리고 reg 변수에 “naver’ 문자열을 저장한다. ② 번 부분에서 referrer 값에 “naver” 문자열이 있는지 체크하기 위해서 이다. 그리고 referrer 값에 “naver”문자열이 포함될 경우 location.href 을 이용하여 특정 페이지로 이동하게 한다.
[그림 5] common.js 파일 변조 내용 상세
여기서 알아야 할 점은 referrer 값을 체크하고 “naver” 문자열이 존재할 경우만, 악의적인 페이지로 연결을 시킨다는 점이다. 이것은 네이버를 통해서(즉 네이버에서 검색 후 사이트에 온 경우) 접속한 경우만 악의적인 페이지로 연결시키는 것인데, 일반적으로 보다 많은 사람을 유도하기 위해 노력하는 악성코드 유포방법에 반하는 방법이다.
개인적으로는 악성사이트 및 위/변조 사이트를 찾아주는 자동화 시스템에 탐지되지 않기 위한 하나의 방법으로 최근에 많이 사용되는 것 같다.
[그림 6]은 referrer 값을 체크하여 naver, daum, google을 경유하여 접속한 사용자에게만 악성코드를 유포하는 방법에 사용된 스크립트 부분이다. indexOf를 사용하여 문자열이 없는 경우는 -1이기때문에 악성코드 유포지로 접근하지 않지만, 세 사이트 중 하나라도 있다면 악성코드 유포지로 접근하게 된다.
[그림 6] referrer 값을 체크하는 패턴
네이버에서 검색하여 M사이트에 접속한 사용자는 갑자기 [그림 7] 처럼 네이버 로그인 페이지가 열린다. 그림에서는 일부만 스크린샷 하였지만, 실제 네이버 로그인 페이지와 동일하게 구성되어있다. 일반사람이라면 조금 이상하지만 익숙한 페이지에 습관적으로 로그인을 할 것 같다 라고 생각되었다.
[그림 7] NAVER 로그인으로 위장한 페이지
하지만 해당 페이지는 당연히 네이버로그인 페이지가 아니다. [그림 8]에서 보면 경로도 M사이트이며 다른 사이트를 접근했는데 네이버 로그인 이라니…(현대인의 정신 없는 점을 노린건가?)
[그림 8] NAVER 로그인으로 위장한 페이지 소스
로그인 페이지의 소스를 살펴보면 로그인 버튼을 누르면 동작하는 action 값이 네이버가 아닌 다른 사이트 인 것을 확인 할 수 있다.
[그림 9] NAVER 로그인으로 위장한 페이지 소스 상세
[그림 10]은 계정정보를 입력 후 로그인 시도를 했을 때, 네이버가 아닌 특정 URL 주소로 입력한 네이버의 ID와 Password를 전송하는 것을 확인 할 수 있다.
[그림 10] 특정페이지로 NAVER 계정정보 전송
최근에 유행하는 ‘유명 포털사이트를 경유하여 변조된 사이트에 접근 시 악성행위가 동작하는 방법’에 대해 알아보았다. 탐지하는 방법이 발전하는 것 만큼 우회하는 방법도 점점 지능화되고 있다는 생각을 하게 되었다.
우리는 이러한 환경에서 자신의 회사 또는 자산을 지키기 위해, 정보를 빠르게 수집하고, 자신의 보안환경에서 탐지하고 대응할 수 있도록 하는 것이 중요하다.
해당 이슈에 대해 아직 탐지 설정이 안되어 있다면, 본문에 나왔던 내용을 참고하여 경보설정해 보는 것을 추천한다.
'난독화 > 이것 저것' 카테고리의 다른 글
| Xor Project (3) | 2014.04.21 |
|---|---|
| SuNiNaTaS Clear!! (0) | 2014.03.27 |
| 오랫만에 풀어보는 Suninatas 해킹문제 (1) | 2014.03.26 |
| 2014년 3월 볼라벤 보고서 (0) | 2014.03.07 |
| Magnitude Exploit Kit 샘플 구해봅니다 ㅜㅜ (1) | 2013.11.17 |
글
광게바라의 난독화 문제 1번
kwangguevara_1번문제(Xor, hint_javascript)
난독화를 이용하여 해킹문제를 만들어 보았습니다.
제목: 다양한 난독화 기법
힌트: xor, javascript