2010.03.17

전통적 방어법 무력화하는 새로운 인터넷 브라우저 위협

Tim Greene | Network World

탐지하기 힘든 브라우저 익스플로잇(exploit)이 기존의 방어법을 무력화 시키면서 새로운 공격에 매우 효율적인 것으로 나타났다.

 

이는 화이트 햇 시큐리티(White Hat Security)의 연구원들이 취약점을 조사한 바에 따른 것으로, 화이트 햇 시큐리티는 2006년 이후 새롭게 생긴 위협 톱 10을 선정했다. 이 중에서도 가장 심각한 것은 DNS 리바인딩(DNS rebinding)으로 불리는 공격으로 공격자들은 피해자들의 브라우저를 공격자들의 명령에 따르는 웹 프록시로 유도한다.

 

이 공격은 브라우저를 공격자가 기업 데이터를 찾아서 외부에 있는 기기로 전송하도록 명령할 수 있는 피해자의 네트워크 상의 내부 서버를 찾도록 만든다. 이 경우 브라우저 자체와 DNS 서버 모두 겉으로 보기엔 달라지는 것이 없다.

 

화이트 햇 시큐리티의 CTO인 제르미아 그로스맨은 “추적할 수 있는 것이 없기 때문에 보기가 매우 힘들다”라고 지적했다.

 

이런 사기는 공격자가 웹 사이트를 설정하면서 시작된다. 피해자가 이 사이트에 접속하려고 하면, 브라우저는 사이트 이름을 IP 주소로 변환 시켜주는 DNS 레졸루션(resolution)을 찾는다. 이 사이트는 실제 IP 주소로 DNS 알림에 반응을 하지만, 이 주소는 매우 짧은 시간만 살아있는 것이다. 피해자가 이 사이트에 접속하고 나면, 이 사이트는 피해자의 브라우저에 악성 자바 스크립트를 다운로드한다.

 

악성 자바 스크립트가 한번 설치되면, 이 스크립트는 공격 사이트의 IP 주소를 다시 요구하는데,이번에는 이 사이트가 전형적으로 내부 네트워크에서 사용된 IP 주소로 응답한다. 따라서 브라우저는 기본적으로 공격자 서버에 연결되도록 하는 자체 네트워크의 서버에 연결되는 것이다.

 

브라우저들은 같은 원리를 따라서 같은 호스트명을 사용하는 기기를 연결되도록 한다. 이 경우 이 브라우저는 내부 기업 기기와 외부에 있는 공격자 서버 등 두 개의 서버의 기존 호스트명을 같은 것으로 인식해서 양측의 상호작용이 가능해진다.

 

그로스맨은 스탠포드 대학 연구원들이 DNS 리바인딩이 들어있는 웹사이트로 사용자들을 끌어들이고 10만개의 기기를 손상시키는 것을 관리하는데 100달러를 썼다는 점을 언급했다.

 

이 익스플로잇은 자바 스크립트로 옮겨지기 때문에, 피해자의 기기에서 실행 가능한 맬웨어로 발견되는 것은 없고, DNS 서버 역시 손상되지 않아서 방어 기능도 작동하지 않는다. 그로스맨은 “DNS 리바인딩은 정말 나쁘다”라고 강조했다. tgreene@nww.com



2010.03.17

전통적 방어법 무력화하는 새로운 인터넷 브라우저 위협

Tim Greene | Network World

탐지하기 힘든 브라우저 익스플로잇(exploit)이 기존의 방어법을 무력화 시키면서 새로운 공격에 매우 효율적인 것으로 나타났다.

 

이는 화이트 햇 시큐리티(White Hat Security)의 연구원들이 취약점을 조사한 바에 따른 것으로, 화이트 햇 시큐리티는 2006년 이후 새롭게 생긴 위협 톱 10을 선정했다. 이 중에서도 가장 심각한 것은 DNS 리바인딩(DNS rebinding)으로 불리는 공격으로 공격자들은 피해자들의 브라우저를 공격자들의 명령에 따르는 웹 프록시로 유도한다.

 

이 공격은 브라우저를 공격자가 기업 데이터를 찾아서 외부에 있는 기기로 전송하도록 명령할 수 있는 피해자의 네트워크 상의 내부 서버를 찾도록 만든다. 이 경우 브라우저 자체와 DNS 서버 모두 겉으로 보기엔 달라지는 것이 없다.

 

화이트 햇 시큐리티의 CTO인 제르미아 그로스맨은 “추적할 수 있는 것이 없기 때문에 보기가 매우 힘들다”라고 지적했다.

 

이런 사기는 공격자가 웹 사이트를 설정하면서 시작된다. 피해자가 이 사이트에 접속하려고 하면, 브라우저는 사이트 이름을 IP 주소로 변환 시켜주는 DNS 레졸루션(resolution)을 찾는다. 이 사이트는 실제 IP 주소로 DNS 알림에 반응을 하지만, 이 주소는 매우 짧은 시간만 살아있는 것이다. 피해자가 이 사이트에 접속하고 나면, 이 사이트는 피해자의 브라우저에 악성 자바 스크립트를 다운로드한다.

 

악성 자바 스크립트가 한번 설치되면, 이 스크립트는 공격 사이트의 IP 주소를 다시 요구하는데,이번에는 이 사이트가 전형적으로 내부 네트워크에서 사용된 IP 주소로 응답한다. 따라서 브라우저는 기본적으로 공격자 서버에 연결되도록 하는 자체 네트워크의 서버에 연결되는 것이다.

 

브라우저들은 같은 원리를 따라서 같은 호스트명을 사용하는 기기를 연결되도록 한다. 이 경우 이 브라우저는 내부 기업 기기와 외부에 있는 공격자 서버 등 두 개의 서버의 기존 호스트명을 같은 것으로 인식해서 양측의 상호작용이 가능해진다.

 

그로스맨은 스탠포드 대학 연구원들이 DNS 리바인딩이 들어있는 웹사이트로 사용자들을 끌어들이고 10만개의 기기를 손상시키는 것을 관리하는데 100달러를 썼다는 점을 언급했다.

 

이 익스플로잇은 자바 스크립트로 옮겨지기 때문에, 피해자의 기기에서 실행 가능한 맬웨어로 발견되는 것은 없고, DNS 서버 역시 손상되지 않아서 방어 기능도 작동하지 않는다. 그로스맨은 “DNS 리바인딩은 정말 나쁘다”라고 강조했다. tgreene@nww.com



X