2019.03.29 대형 포털사이트 워터링 홀

1. 기사 요약

 

보안 업체 트렌드 마이크로(가 한국 웹사이트 4곳을 침해한 워터링 홀 캠페인을 발견했다.

최초로 침해 사이트가 발견된 것은 3월 14일의 일이다.

 

[Attack Chain of Soula]

 

해당 악성코드의 동작 순서는 아래와 같다.

0) 홈페이지에 악성 자바스크립트 삽입

1) 악성 자바스크립트 파일은 방문자의 프로파일을 만듦

2) 가짜 로그인 화면 로딩

3) HTTP 참조자 헤더 문자열 스캔

4) 여기에 인기높은 검색 엔진이나 소셜 미디어 사이트와 관련 있는 키워드가 포함되어 있는지 확인

5) 4)를 통해 방문자가 사람인지 봇인지 확인

6) 방문자의 장비와 OS 식별

[삽입된 HTTP Referer 및 HTTP User-Agent 검사 스크립트]

 

7) 백그라운드에 남아 해당 사용자를 기다림

8) 해당 사용자가 6번째 로그인 시 가짜 로그인 양식을 로드

9) 사용자의 정보를 공격자의 서버에 전송

10) 웹사이트의 손상 탐지를 피하기 위해 사용자 정보 탈취 후 사용자의 장치에 쿠키를 12시간의 기간동안 유지되도록 설정

+) 공격자는 클라우드 플레어(Cloudflare)를 사용해 자신의 도메인을 보호하고 IP주소를 숨김

+) 난독화 기술이 추가

 

현재 크라우드 플레어에 이 상황을 전달하였으며, 클라우드 플레어가 조치를 취하자 공격자들은 새로운 서버로 스크립트를 이관하였다.

해당 공격이 타 공격의 연계를 위한 전초전인지는 확인이 불가하다.

 

2. 이모저모

 

※워터링 홀

  표적에 대한 정보를 수집해 주로 방문하는 웹사이트를 파악, 홈페이지에 악성코드를 심어놓고 표적이 접속 시 컴퓨터에 악성코드를 설치하는 등의 방법이다.

※클라우드 플레어

  미국소재의 CDN(음원, 영상 등 10MB 이상의 대용량 파일을 안정적으로 제공하기 위한 기술) 서비스의 DNS 서비스를 제공하는 기업이다.