사이트 내 전체검색
IE 기본 접두사를 이용한 해킹 (여름하늘의 보안 이야기 2)
로빈아빠
https://cmd.kr/server/768 URL이 복사되었습니다.

본문

flake.gif 저작권 및 공지 arroww.gif CATEGORY : 보안 : 백신

지금까지 이 블로그에서는 안티 바이러스 또는 안티 스파이웨어에 대한 글과 리뷰를 주로 게시했습니다.
즉, 공격을 받는 피해자 입장에서 주로 방어에 관련한 입장을 기술했는데, 이제부터는 그 반대로 공격을 가하는 가해자 입장에서 생각해 볼 수 있는 글들을 게시하려 합니다.
하지만, 궁극의 목적은 예전과 다르지 않습니다. 어디까지나 개인 사용자를 전제로 하여, 시스템을 보호할 수 있는 정보를 전달하고자 하는 입장을 견지할 것이므로, 언뜻 떠올리기 쉬운 해킹 가이드나 팁에 관한 글은 아닙니다.

적을 알고 나를 알면 100전 100승이라고 했습니다.
바이러스, 스파이웨어 등의 멀웨어, 또는 해커들이 어떤 식으로 내 컴퓨터에 침입하는가에 대한 사례에 대해 살펴보고, 그에 걸맞는 적절한 대응을 할 수 있는 계기가 되기를 바랍니다.
관련 연재 글
1. 호스트 파일을 통한 해킹 
2. IE 기본 접두사를 이용한 해킹


중간에 가로채다 라는 의미의 하이재킹(Hijacking)의 사례는 아주 다양합니다. 여기서는 스파이웨어 또는 애드웨어들이 애용(?)하고 있는 두 가지 알려진 방법을 소개하고 직접 테스트도 해 보겠습니다.

IE 주소표시줄의 기본 접두사(Prefix) 하이잭

네이버로 이동하기 위해서 주소 표시줄에 문자를 기입할 경우 naver.com만 쳐도 자동으로 http://가 붙게 됩니다.
(설마 아직도 일일이 http:// 까지 기입하는 독자가 있나요? ^^)
이 http://가 바로 여기서 의미하는 "접두사(Prefix)"인데, 만약 이것을 바꿔버리면 엉뚱한 사이트로 이동할 수 있습니다.

이해를 돕기 위해 직접 테스트를 해 보겠습니다.
여러분은 이제 악성 프로그램 제작자입니다. 최근 맛이간 KMP를 떡밥 삼아, 코덱이 필요 없는 무료 동영상 플레이어인 "떡밥 플레이어"를 제작하여 배포합니다.
설치파일을 다운로드 받은 유저들은 자신의 시스템에 인스톨할 것입니다. 우리 해커들은 이 과정에 아래 레지스트리키를 수정시키는 알고리즘을 몰래 삽입했습니다. (독자 여러분들도 레지스트리 편집기를 열어서 다음 키로 이동해 보세요.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
우측에 보이는 "(기본값)"을 보면 http://라고 되어 있는 것을 알 수 있습니다.
이것을 더블 클릭하여 아래 그림과 같이 http:// 대신 http://skysummer.com/~fr1/로 수정합니다.

사용자 삽입 이미지

사용자 삽입 이미지


IE를 실행시키고(이미 켜 놓았다면 종료시켰다가 다시 실행합니다.), 주소 표시줄에 naver.com이라고 쳐 보세요. 분명히 네이버의 도메인을 기록했음에도 자동으로 위 접두사가 붙으면서 필자가 만들어 놓은 예시 사이트로 이동할 것입니다.
만약 이 사이트 또는 페이지가 악성 스크립트로 범벅이 된 곳이라면 여러분의 컴퓨터는 이미 맛이 가 버렸을 수도 있습니다. 또는 피싱 사이트를 만들어서 국민은행(kbstar.com)을 쳤을 때, 거의 똑같이 구축해 놓은 사이트를 이용하여 암호와 패스워드를 가로챌 수도 있을 것입니다.

사용자 삽입 이미지


따라서, 코모도 방화벽 또는 카스퍼스키의 HIPS를 사용 중인 유저라면 아래와 같이 레지스트리 보호를 설정해 주는 것이 좋습니다.
물론, 필자가 이 블로그에서 소개하는 모든 프로그램은 테스트를 거쳤으므로 IE Prefix를 수정하는 경우는 없습니다.

사용자 삽입 이미지



스타일 시트(CSS) 하이잭

유사한 원리로  IE의 스타일 시트 파일을 이용한 해킹도 있습니다.
흔히 스타일 시트(CSS) 하이잭 이라 불리는 것인데, 스타일 시트 파일에 침투하여 사용자의 브라우저를 망가뜨리거나 정보를 빼내어 가는 기법입니다.
확장자가 CSS로 끝나는 스타일 시트 파일은 최근 유행하는 웹 디자인 언어인 XHTML의 하부 요소입니다. 기존의 HTML이 페이지의 레이아웃과 컨텐츠를 구분하지 않고 출력하게 했다면 이 보다 진보된 XHTML에서는 HTML과 CSS를 구분하여 두고 있습니다. 전자를 통해서는 기존과 같은 컨텐츠를 출력해 주고, 후자를 통해서는 전체적인 레이아웃을 정합니다. 덕분에 웹 디자이너 또는 서버 관리자들은 차후 사이트의 디자인을 바꾸거나 보완할 경우 컨텐츠 부분을 훼손하지 않고 쉽게 작업할 수 있습니다.

웹 페이지의 전체적인 레이아웃을 정하는 도구라는 특성 때문에 CSS를 해킹하면 무한 팝업을 띄우거나, 악성 스크립트를 실행하게 하고, 엉뚱한 사이트에서 디자인 요소를 불러오는 등의 많은 행동을 할 수 있습니다. 따라서 해커들이 CSS를 놓칠리는 없습니다. IE에서 사용자 스타일시트 부분은 아래와 같습니다.
DWORD 값 없이 공란으로 채워져 있어야 하며, 만약 자신도 모르는 어떤 항목이 추가되었다면 반드시 의심해 봐야 합니다.

사용자 삽입 이미지

이 블로그의 모든 글 및 리뷰에 대한 저작권은 여름하늘에게 있습니다.
출처를 밝힌 여부와 상관 없이 글, 또는 리뷰의 내용을 다른 사이트에 올리는 것을 금합니다. 좋은 글이라 여겨지면 링크트랙백을 이용해 주세요.
Copyrights 2008 무단 전재/스크랩 금지.
entry_tag.gif Hacking, http, IE, Internet Explorer, malware, prefix, Security, virus, 멀웨어, 바이러스, 백신, 보안, 해킹
delicious.gif  digg.png  hanrss.gif  eolin.png  maga.gif  news2.png  flake.gif여름하늘 | 2008/06/26 10:23 | arroww.gifarroww.gif 트랙백(0) arroww.gifarroww.gif 댓글(3)
이 글의 트랙백 주소: http://skysummer.com/trackback/511 (팝업 메뉴의 링크/바로가기 복사 이용)
FATE at 2008/06/29 10:42 ::: Reply ::: Delete ::: Permalink
IE 기본 접두사를 이용한 해킹 1과 내용이 동일합니다. 확인해주세요
여름하늘 at 2008/06/29 22:53 ::: Delete
백업하는 과정에서 제가 실수를 했습니다..^^
지적 감사합니다. 본문 수정했습니다..
겨미겨미 at 2008/07/03 18:47 ::: Reply ::: Delete ::: Permalink
“확장자가 CSS로 끝나는 스타일 시트 파일은 최근 유행하는 웹 디자인 언어인 XHTML의 하부 요소입니다. 기존의 HTML이 페이지의 레이아웃과 컨텐츠를 구분하지 않고 출력하게 했다면 이 보다 진보된 XHTML에서는 HTML과 CSS를 구분하여 두고 있습니다.”

이 부분의 오류를 정정 부탁드려요 XHTML은 웹 디자인 언어도 아니고 HTML이 진보된 형태도 아니고 HTML 4.01 스펙을 XML 형태로 구성한 것이 XHTML 1.0입니다. 하신 말씀은 웹 표준, CSS를 통한 구조와 표현의 분리가 점점 일반화되고 있는 시점에서 생긴 잘못된 정보입니다.

댓글목록

등록된 댓글이 없습니다.

1,139 (20/23P)

Search

Copyright © Cmd 명령어 3.129.216.15