최근 디X인사이드, 인X 등의 사이트를 검색을 통해 접속할 시 간혈적으로 api.tistory.us로 이동되는 사례가 다수 발생하고있습니다. 이미 이 내용에 대해 아시는 분들에 의해 검색 제공 업체에 신고가 들어간 상황이고, 저도 연락을 해보았습니다만 별다른 조치를 취할 수 없다는 답변을 받았습니다. 아직 이용자 PC에 악영향을 미치는 행동은 발견되지 않았지만, 이 방법이 어떤 유형에 해당하는지 살펴보도록 하겠습니다.
1. 웹 사이트 검색하기
해당 증상을 보이는 웹 페이지를 접속해야합니다. 해당 웹 페이지로 연결될만한 검색어를 입력하여 접속합니다.
2. 페이지 이동(리다이렉트)의 원인
페이지를 확인해본 결과 리다이렉트를 발생시키는 스크립트는 발견되지 않았습니다.
그럼 무엇이 문제일까요? 접속 과정을 살펴보도록 하겠습니다.
"18071","857.959351000","192.168.10.16","121.125.60.xxx","HTTP","382","GET /list.php?id=exo&no=1331905 HTTP/1.1 "
"18072","857.959377000","121.125.60.xxx","192.168.10.16","TCP","58","http > nsdeepfreezectl [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1460"
"18073","857.959525000","192.168.10.16","121.125.60.xxx","TCP","54","nsdeepfreezectl > http [ACK] Seq=1 Ack=1 Win=65535 Len=0"
"18074","857.967581000","121.125.60.xxx","192.168.10.16","TCP","54","http > nitrogen [ACK] Seq=1 Ack=1461 Win=8760 Len=0"
"18075","857.967631000","121.125.60.xxx","192.168.10.16","TCP","54","http > nitrogen [ACK] Seq=1 Ack=1789 Win=11680 Len=0"
"18076","857.967656000","121.125.60.xxx","192.168.10.16","HTTP","304","HTTP/1.1 302 Moved Temporarily "
접속 과정에 해당하는 네트워크 패킷 자료입니다.
맨 윗 줄에 GET으로 시작하는 부분이 검색 결과에서 디X인사이드로 연결되는 링크를 클릭했을 때를 나타냅니다.
그럼 121.125.60.xxx가 어디를 나타내는 것인지 확인해야겠죠? 확인해보도록 하죠.
Ping gall.d*inside.com [121.125.60.xxx] 32바이트 데이터 사용:
요청 시간이 만료되었습니다.
요청 시간이 만료되었습니다.
요청 시간이 만료되었습니다.
요청 시간이 만료되었습니다.
121.125.60.xxx에 대한 Ping 통계:
패킷: 보냄 = 4, 받음 = 0, 손실 = 4 (100% 손실),
확인이 되었네요. 121.125.60.xxx는 디X인사이드의 갤러리 서버의 IP임이 확인되었습니다.
192.168.10.16은 사설아이피입니다.
공유기에 물려서 쓰기때문에 저렇게 나오는 것이죠. 이게 제가 있는 쪽의 IP입니다.
그럼 이제 위에 적힌 내용도 무슨 말을 하는 것인지 알 수 있습니다.
1. 192.168.10.16(나)는 121.125.60.xxx(상대방)에게 접속을 요청합니다.
2. 나와 상대방은 서로의 의사를 확인하는 과정을 거칩니다.
3. 상대방은 나를 원양어선에 팔아버립니다.
3번에 해당하는것이 마지막 줄에 굵게 표시된 내용이며, 해당 부분에는 api.tistory.us로 이동하라는 명령이 담겨있습니다.
이 부분은 '나'가 웹 페이지를 불러오기도 전에 내려진 명령이기 때문에, 적어도 사용자 PC의 문제라고는 할 수 없습니다.
3. 이전 사례 분석하기
문제되는 해당 도메인을 알아본 결과, 비슷한 문제를 일으켜 감지된 사례를 다수 발견할 수 있었습니다.
* 추가: 다른 주소로 ad.xssbox.com도 발견하였습니다.
변조했던 사례도 발견할 수 있었습니다.
4. 관련 웹 사이트들의 입장
디X인사이드에 문의를 넣었습니다만 담당자에게 전달하겠다는 말만 했을 뿐 해결되지 않았습니다.
네이버에는 같은 분석자료를 제출하여 문의를 남겼으나 어떤 조치도 취할 수 없다는 답변을 받았습니다.
api.tistory.us에는 접속자 수 체크용도로 쓰인 다음의 티스토리 블로그(one4me.tistory.com)를 아이프레임 형식으로 불러오는 부분이 있어 다음에도 문의를 하여 답장을 받았습니다. 허나, 다른 블로거 분들의 문의에도 정상적인 신고만 접수됬다는 말만 되풀이할 뿐 아무런 조치도 취하고 있지 않고있습니다.
KISA에도 해당 내용을 접수하였으나 분석해보겠다는 말 뿐이지 별다른 소식은 없습니다.
5. 결론
해당 서버에 리다이렉트 문제를 초래하는 파일이 심어져있거나 의도하지 않은 설정이 되어있을 가능성이 매우 높습니다.
이전에도, 해당 사이트는 여러 차례의 웹 페이지 변조 사례로 물의를 일으킨 적이 있습니다.
이번에는 장기간 해결이 안되고있는 부분인 만큼 이제라도 서버를 살펴봐서 조속히 해결하기를 바랍니다.
또한, 이 포스트에는 이 문제를 일으킨 사람들에 대한 내용은 기술하지 않았지만
중국 쪽의 해커가 사전 조사를 위해 이 같은 일을 벌이고있을 가능성이 매우 유력합니다.
몇개월 동안 지속되고있는 만큼 아직 별다른 피해가 없다고 그냥 넘어갈 사항은 아니라고 생각합니다.
* 추가: 똑같은 행위를 하는 mt-gox.info 라는 새로운 도메인이 등장했습니다.
* 추가: 2013년 8월 현재, wiseasset.co.kr 이라는 새로운 도메인을 발견했습니다. 이제부턴 티스토리 블로그를 접속자 수 확인 용도로 이용하지 않습니다.
* 추가: msinter.co.kr 추가 발견, wiseasset.co.kr과 동일하고 이 외 다른 도메인이 발견되었다는 제보 추가 입수했습니다. 보안이 약한 웹사이트를 해킹하여 파일을 심는 것으로 추정됩니다.
* 추가: 2013년 9월, 1. http://aspam01.daeli.ac.kr/w3c/popup_1.php , 2. http://www.aprilmusic.com/index/ (9/20) 감지. 관계 기관 및 업체 무대응 상태.
* 추가: 국내 보안 구인구직 사이트(http://boanlink.com)도 해당 공격자의 해킹에 이용된 것으로 확인됨.
해당 공격자에 대한 Whois 조회 내용 등은 다른 블로거분이 포스팅해주셨으며 링크해드리니 참고바랍니다.
http://tabblog.tistory.com/163
http://tabblog.tistory.com/151
'정보보안' 카테고리의 다른 글
| 블래스터 웜 10주년, 당신은 기억하고 있나요? (0) | 2013.08.18 |
|---|---|
| 내가 바라본 정보보안 (0) | 2013.08.11 |