세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
URL 필터링 우회시켜 주는 유령, 고스트 호스트
  |  입력 : 2017-01-07 18:36
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
HTTP 호스트 필드값만 정상적으로 바꾸면 실제 IP 확인 안해
이미 공격자들이 활용 중... 스팸 및 랜섬웨어 배포 중


[보안뉴스 문가용 기자] 악성이라고 알려진 도메인으로부터 오는 트래픽을 막기 위해 네트워크 담당자들이 사용하는 여러 가지 방법 중에 URL 필터링이라는 기술이 있다. 하지만 존재하는 모든 방어 체제가 그렇듯, 해커들의 파훼법이 등장했다. 해커들의 새로운 URL 필터링 우회 작전을 발견한 건 보안 전문업체인 사이렌(Cyren)의 전문가들이다.


URL 필터링을 우회하기 위해 해커들이 사용하는 이 작전을 사이렌의 전문가들은 고스트 호스트(Ghost Host)라고 부른다. “해커들은 방어자들이 마련하고 있는 호스트와 도메인 블랙리스트를 피할 수만 있다면 URL 필터링을 바보로 만들 수 있다는 것을 간파했습니다. 나쁜 도메인 이름들을 서로 바꾸고 나서, HTTP 호스트 필드에 악성이지 않은 호스트 이름을 대신 무작위로 삽입하는 것이죠.”

실제로는 악성 C&C IP와의 연결을 이룬 채, 호스트 이름을 합법적인 것으로 바꿔 호스트와 도메인 블랙리스트를 우회하는 것이 이 작전의 핵심이다. “말 그대로 유령과 같은 호스트를 전면에 내세워 URL 블랙리스팅에 걸리지 않는 겁니다” 사이렌의 전문가, 게펜 추르(Geffen Tzur)의 설명이다.

“멀웨어의 HTTP 헤더에 이런 유령 호스트가 사용됩니다. 그런데 실제 연결은 다른 IP에 호스팅된 엉뚱한 곳과 이루어지죠. HTTP 호스트 헤더를 검사하는 네트워크 보안 시스템은 밑단에서의 실제 연결을 확인하지는 않습니다. 그러므로 헤더만 멀쩡하고 악성 IP와 연결되는 일이 발생하는 것이죠.”

사이렌은 네커스(Necurs)라는 봇넷을 수사하다가 고스트 호스트를 우연히 발견했다고 한다. 사이렌이 발견했을 당시, 고스트 봇넷은 스팸, 랜섬웨어 등을 퍼트리고 있었다고 한다. 고스트 호스트의 실제 웹사이트(정상 웹사이트)와 실제로 연결된 서버(악성 서버)와의 관계는 아직 파악이 되지 않고 있는 상태다.

추르는 “멀웨어 공격자들은 HTTP 요청들을 마음대로 주무를 수 있다”며 “이 말은 곧 URL 필터링 시스템을 간단히 회피할 수 있다는 것”이라고 설명한다. “이렇게 HTTP 호스트 필드에 정상적이고 합법적인 이름을 집어넣어 탐지 시스템을 속이는 기법은, 저로서는 처음 본 공격방법입니다. 실제로 보고된 예도 없는 것으로 알고 있습니다.”

이 방법은 보안의 기본인 블랙리스트를 피해갈 수 있다는 점에서 매우 효과적이면서 또한 간단하기도 하다. “오픈소스 HTTP 클라이언트를 사용하는 것만큼 간단한 일입니다. 그리고 헤더의 트래픽과 실제 트래픽을 다르게 설정해주는 HTTP 클라이언트 임플러멘테이션(implementation)들은 다수 존재합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)