최근 디X인사이드, 인X 등의 사이트를 검색을 통해 접속할 시 간혈적으로 api.tistory.us로 이동되는 사례가 다수 발생하고있습니다. 이미 이 내용에 대해 아시는 분들에 의해 검색 제공 업체에 신고가 들어간 상황이고, 저도 연락을 해보았습니다만 별다른 조치를 취할 수 없다는 답변을 받았습니다. 아직 이용자 PC에 악영향을 미치는 행동은 발견되지 않았지만, 이 방법이 어떤 유형에 해당하는지 살펴보도록 하겠습니다.

 

문제의 웹 페이지 화면

 

1. 웹 사이트 검색하기

해당 증상을 보이는 웹 페이지를 접속해야합니다. 해당 웹 페이지로 연결될만한 검색어를 입력하여 접속합니다.

포털사이트 검색 결과 화면

 

2. 페이지 이동(리다이렉트)의 원인

페이지를 확인해본 결과 리다이렉트를 발생시키는 스크립트는 발견되지 않았습니다.

그럼 무엇이 문제일까요? 접속 과정을 살펴보도록 하겠습니다.

"18071","857.959351000","192.168.10.16","121.125.60.xxx","HTTP","382","GET /list.php?id=exo&no=1331905 HTTP/1.1 "
"18072","857.959377000","121.125.60.xxx","192.168.10.16","TCP","58","http > nsdeepfreezectl [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1460"
"18073","857.959525000","192.168.10.16","121.125.60.xxx","TCP","54","nsdeepfreezectl > http [ACK] Seq=1 Ack=1 Win=65535 Len=0"
"18074","857.967581000","121.125.60.xxx","192.168.10.16","TCP","54","http > nitrogen [ACK] Seq=1 Ack=1461 Win=8760 Len=0"
"18075","857.967631000","121.125.60.xxx","192.168.10.16","TCP","54","http > nitrogen [ACK] Seq=1 Ack=1789 Win=11680 Len=0"
"18076","857.967656000","121.125.60.xxx","192.168.10.16","HTTP","304","HTTP/1.1 302 Moved Temporarily "

 

접속 과정에 해당하는 네트워크 패킷 자료입니다.

맨 윗 줄에 GET으로 시작하는 부분이 검색 결과에서 디X인사이드로 연결되는 링크를 클릭했을 때를 나타냅니다.

 

그럼 121.125.60.xxx가 어디를 나타내는 것인지 확인해야겠죠? 확인해보도록 하죠.

Ping gall.d*inside.com [121.125.60.xxx] 32바이트 데이터 사용:
요청 시간이 만료되었습니다.
요청 시간이 만료되었습니다.
요청 시간이 만료되었습니다.
요청 시간이 만료되었습니다.

121.125.60.xxx에 대한 Ping 통계:
    패킷: 보냄 = 4, 받음 = 0, 손실 = 4 (100% 손실),

 

확인이 되었네요. 121.125.60.xxx는 디X인사이드의 갤러리 서버의 IP임이 확인되었습니다.

192.168.10.16은 사설아이피입니다.

공유기에 물려서 쓰기때문에 저렇게 나오는 것이죠. 이게 제가 있는 쪽의 IP입니다.

그럼 이제 위에 적힌 내용도 무슨 말을 하는 것인지 알 수 있습니다.

 

1. 192.168.10.16(나)는 121.125.60.xxx(상대방)에게 접속을 요청합니다.

2. 나와 상대방은 서로의 의사를 확인하는 과정을 거칩니다.

3. 상대방은 나를 원양어선에 팔아버립니다.

 

3번에 해당하는것이 마지막 줄에 굵게 표시된 내용이며, 해당 부분에는 api.tistory.us로 이동하라는 명령이 담겨있습니다.

이 부분은 '나'가 웹 페이지를 불러오기도 전에 내려진 명령이기 때문에, 적어도 사용자 PC의 문제라고는 할 수 없습니다.

 

3. 이전 사례 분석하기

문제되는 해당 도메인을 알아본 결과, 비슷한 문제를 일으켜 감지된 사례를 다수 발견할 수 있었습니다.

* 추가: 다른 주소로 ad.xssbox.com도 발견하였습니다.

 

변조했던 사례도 발견할 수 있었습니다.

 

4. 관련 웹 사이트들의 입장

디X인사이드에 문의를 넣었습니다만 담당자에게 전달하겠다는 말만 했을 뿐 해결되지 않았습니다.

네이버에는 같은 분석자료를 제출하여 문의를 남겼으나 어떤 조치도 취할 수 없다는 답변을 받았습니다.

api.tistory.us에는 접속자 수 체크용도로 쓰인 다음의 티스토리 블로그(one4me.tistory.com)를 아이프레임 형식으로 불러오는 부분이 있어 다음에도 문의를 하여 답장을 받았습니다. 허나, 다른 블로거 분들의 문의에도 정상적인 신고만 접수됬다는 말만 되풀이할 뿐 아무런 조치도 취하고 있지 않고있습니다.

 

카운터 용도로 쓰인 블로그 화면. 블로그 내용은 왼쪽과 같이 쓰레기 자료만 채워져있고, 방문자 수는 3백만을 넘어선 것으로 나온다.

 

KISA에도 해당 내용을 접수하였으나 분석해보겠다는 말 뿐이지 별다른 소식은 없습니다.

 

5. 결론

해당 서버에 리다이렉트 문제를 초래하는 파일이 심어져있거나 의도하지 않은 설정이 되어있을 가능성이 매우 높습니다.

이전에도, 해당 사이트는 여러 차례의 웹 페이지 변조 사례로 물의를 일으킨 적이 있습니다.

이번에는 장기간 해결이 안되고있는 부분인 만큼 이제라도 서버를 살펴봐서 조속히 해결하기를 바랍니다.

 

또한, 이 포스트에는 이 문제를 일으킨 사람들에 대한 내용은 기술하지 않았지만

중국 쪽의 해커가 사전 조사를 위해 이 같은 일을 벌이고있을 가능성이 매우 유력합니다.

몇개월 동안 지속되고있는 만큼 아직 별다른 피해가 없다고 그냥 넘어갈 사항은 아니라고 생각합니다.

 

* 추가: 똑같은 행위를 하는 mt-gox.info 라는 새로운 도메인이 등장했습니다.

* 추가: 2013년 8월 현재, wiseasset.co.kr 이라는 새로운 도메인을 발견했습니다. 이제부턴 티스토리 블로그를 접속자 수 확인 용도로 이용하지 않습니다.

* 추가: msinter.co.kr 추가 발견, wiseasset.co.kr과 동일하고 이 외 다른 도메인이 발견되었다는 제보 추가 입수했습니다. 보안이 약한 웹사이트를 해킹하여 파일을 심는 것으로 추정됩니다.

* 추가: 2013년 9월, 1. http://aspam01.daeli.ac.kr/w3c/popup_1.php , 2. http://www.aprilmusic.com/index/ (9/20) 감지. 관계 기관 및 업체 무대응 상태.

* 추가: 국내 보안 구인구직 사이트(http://boanlink.com)도 해당 공격자의 해킹에 이용된 것으로 확인됨.

 

해당 공격자에 대한 Whois 조회 내용 등은 다른 블로거분이 포스팅해주셨으며 링크해드리니 참고바랍니다.

http://tabblog.tistory.com/163

http://tabblog.tistory.com/151

 

'정보보안' 카테고리의 다른 글

블래스터 웜 10주년, 당신은 기억하고 있나요?  (0) 2013.08.18
내가 바라본 정보보안  (0) 2013.08.11
api.tistory.us 상세 분석  (2) 2013.07.05
by 광은통신 웃는하루 2013. 7. 5. 15:41
  • Favicon of https://nosirum.tistory.com BlogIcon 시름없이 2013.07.05 17:04 신고 ADDR EDIT/DEL REPLY

    흐음.. 그럼 네이버 검색쪽에 원인이 있다기 보다는 사이트들 쪽에 문제 있을 확률이 높다는거네요..

    분석 결과 잘 봤고, 수고 하셨습니다..

    잘 해결되야 될텐데 말이죠.;

  • 지나가던이 2013.08.05 18:10 ADDR EDIT/DEL REPLY

    컴퓨터가 바이러스 걸린줄 알고 이거때문에 포맷까지 했는데..

    해당 웹사이트 문제였군요.
    이런 #$%@%^#..

| 1 2 3 4 5 |