세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
URL 필터링 우회시켜 주는 유령, 고스트 호스트
입력날짜 : 2017-01-07 18:36
트위터 보내기  페이스북 보내기  네이버 밴드 보내기  싸이월드 공감 보내기  카카오 스토리 보내기  구글 보내기   
HTTP 호스트 필드값만 정상적으로 바꾸면 실제 IP 확인 안해
이미 공격자들이 활용 중... 스팸 및 랜섬웨어 배포 중


[보안뉴스 문가용 기자] 악성이라고 알려진 도메인으로부터 오는 트래픽을 막기 위해 네트워크 담당자들이 사용하는 여러 가지 방법 중에 URL 필터링이라는 기술이 있다. 하지만 존재하는 모든 방어 체제가 그렇듯, 해커들의 파훼법이 등장했다. 해커들의 새로운 URL 필터링 우회 작전을 발견한 건 보안 전문업체인 사이렌(Cyren)의 전문가들이다.


URL 필터링을 우회하기 위해 해커들이 사용하는 이 작전을 사이렌의 전문가들은 고스트 호스트(Ghost Host)라고 부른다. “해커들은 방어자들이 마련하고 있는 호스트와 도메인 블랙리스트를 피할 수만 있다면 URL 필터링을 바보로 만들 수 있다는 것을 간파했습니다. 나쁜 도메인 이름들을 서로 바꾸고 나서, HTTP 호스트 필드에 악성이지 않은 호스트 이름을 대신 무작위로 삽입하는 것이죠.”

실제로는 악성 C&C IP와의 연결을 이룬 채, 호스트 이름을 합법적인 것으로 바꿔 호스트와 도메인 블랙리스트를 우회하는 것이 이 작전의 핵심이다. “말 그대로 유령과 같은 호스트를 전면에 내세워 URL 블랙리스팅에 걸리지 않는 겁니다” 사이렌의 전문가, 게펜 추르(Geffen Tzur)의 설명이다.

“멀웨어의 HTTP 헤더에 이런 유령 호스트가 사용됩니다. 그런데 실제 연결은 다른 IP에 호스팅된 엉뚱한 곳과 이루어지죠. HTTP 호스트 헤더를 검사하는 네트워크 보안 시스템은 밑단에서의 실제 연결을 확인하지는 않습니다. 그러므로 헤더만 멀쩡하고 악성 IP와 연결되는 일이 발생하는 것이죠.”

사이렌은 네커스(Necurs)라는 봇넷을 수사하다가 고스트 호스트를 우연히 발견했다고 한다. 사이렌이 발견했을 당시, 고스트 봇넷은 스팸, 랜섬웨어 등을 퍼트리고 있었다고 한다. 고스트 호스트의 실제 웹사이트(정상 웹사이트)와 실제로 연결된 서버(악성 서버)와의 관계는 아직 파악이 되지 않고 있는 상태다.

추르는 “멀웨어 공격자들은 HTTP 요청들을 마음대로 주무를 수 있다”며 “이 말은 곧 URL 필터링 시스템을 간단히 회피할 수 있다는 것”이라고 설명한다. “이렇게 HTTP 호스트 필드에 정상적이고 합법적인 이름을 집어넣어 탐지 시스템을 속이는 기법은, 저로서는 처음 본 공격방법입니다. 실제로 보고된 예도 없는 것으로 알고 있습니다.”

이 방법은 보안의 기본인 블랙리스트를 피해갈 수 있다는 점에서 매우 효과적이면서 또한 간단하기도 하다. “오픈소스 HTTP 클라이언트를 사용하는 것만큼 간단한 일입니다. 그리고 헤더의 트래픽과 실제 트래픽을 다르게 설정해주는 HTTP 클라이언트 임플러멘테이션(implementation)들은 다수 존재합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

URL 필터링    스팸   랜섬웨어   멀웨어                     


보안뉴스에서 관심이 가장 많이 가는 기사 유형은?
사건·사고(최근 발생했던 보안사고)
공공·정책(보안정책과 정부기관 관련 뉴스)
비즈니스(정보보안 시장 및 업계 전반 이슈)
국제(정보보안 분야 해외 소식)
테크(신기술과 취약점 관련 뉴스)
오피니언(다양한 외부 전문가의 기고)
기타(댓글로)