Red on Red: 다크 웹 (Dark Web)의 공격 행태

게시일: 2017-06-09 l 작성자: Trend Micro

우리는 다크 웹 (Dark Web)과 같은 제한적 액세스 네트워크가 어떻게 사이버 범죄의 본거지 인지에 대해 자주 이야기 했습니다. 이런 사이트들은 Tor 네트워크를 통해 호스팅 되고 액세스 할 수 있으며, 크립토 화폐 돈세탁, 멀웨어를 위한 플랫폼 호스팅, 훔치거나 조작된 신분 등을 포함한 서비스를 거래하는 암시장을 제공합니다. 제 주변의 동료들은 이미 “Below the Surface: Exploring the Deep Web” 이라는 제목의 최근 기사를 비롯하여 여러 블로그 게시물과 논문 등을 통해 많은 자료를 게시 했습니다.

앞으로 더 많은 연구가 필요한 부분은 다크 웹 내부에서 이뤄지는 공격 행태 입니다. 이러한 사이트 들이 자체적으로 이뤄지는 해킹 시도 및 디도스 공격의 대상이 되는지 다크 웹 내에서의 공격 크기와 특성은 무엇인지 조사했을 때, 놀랍게도 이러한 공격은 다크 웹에서 일반적이고 수동으로 수행되며 다른 사이버 범죄자가 서비스를 전복하거나 감시하기 위해 실행 하는 것이라고 밝혀졌습니다.

Onur Catakoglu와 EURECOM의 Davide Balzarotti 교수님과 함께 우리는 Dark Web Impact on Hidden Services in the Tor-based Criminal Ecosystem 이라는 제목의 논문을 발표했으며, 응용 컴퓨팅에 관한 제32회 ACM 심포지움에서 논의되었습니다. 더 최근에는 연구 결과를 전자 범죄 연구에 관한 APWG eCrime 2017 심포지움에서 발표하기도 했습니다.

허니팟 (Honeypot) 만들기: 사이버 범죄자 끌어들이기

저희 연구의 목표는 다크 웹 공격자들의 작업 방식을 조사함으로써 사이버 범죄자가 Tor 안에서 시스템을 운영하며 숨겨진 서비스 (예: .onion domains)를 제공하는지에 대해 파악하는 것이었습니다. 특히 우리는 범죄자가 다른 범죄 조직 혹은 개인이 운영하는 시스템을 의도적으로 타겟으로 삼고 공격하는지에 많은 관심이 있었습니다.

이를 위해 우리는 여러 허니팟을 사용하여 Tor에서 사이버 범죄 시뮬레이션을 시행했습니다. 각 허니팟은 공격자가 설치의 소유권을 가질 수 있도록 하나 이상의 취약점을 노출하도록 설계되었습니다. 감염이 될 시 자동으로 모든 로그를 기록하고 다시 환경을 깨끗한 상태로 복원했습니다.

허니팟 구성:

  1. 초대된 사람만 입장할 수 있는 장물아비
  2. 다크 웹을 위한 맞춤 서비스 및 솔루션을 제공하는 블로그
  3. 등록된 회원만 로그인 가능한 지하 포럼. 보증이 필요한 회원 가입
  4. File Transfer Protocol (FTP) 및 Secure Shell (SSH) 로그인을 제공하는 중요 문서용 개인 파일 서버


그림 1 – 지하 포럼 시뮬레이션 (허니팟 #3)


그림 2 – 노출된 취약점 중 하나 (Local File Inclusion)


그림 3 – 허니 계정에 걸린 등록 이메일


그림 4 – 설치 설계도. 취약한 응용프로그램 및 서비스가 통제 및 감시가 되는 환경에서 작동됨.
매일 자동화 시스템은 가능한 공격의 정보를 추출하고,
가상화 기술 (스냅샷)을 사용하여 깨끗한 상태로 복원됨

Surface Web VS Deep Web

우리는 총 6개월 동안 허니팟을 운영했습니다. 아래의 그래프를 보시면 POST 요청 횟수로 측정한 평균 일일 공격 시도 횟수를 확인 하실 수 있습니다.


그림 5 – 허니팟 1-3 에서 일어난 일별 공격. Tor2web 필터링 후 숫자가 감소함

배포 2개월 후 우리는 다크 웹이 보통 사람들이 생각 한 것만큼 대단히 깊게 숨어있거나 아예 접근이 불가능한 게 아니라는 사실을 발견했습니다. Tor2web같은 Tor 프록시를 사용하면 평범한 인터넷 사용자도 Tor네트워크에 접근해 원래라면 검색되지 않는 서비스에 접근할 수 있습니다. 허니팟은 기존의 서치 엔진에서 사용할 수 있도록 만들어졌으며 자동화된 악용 스크립트의 타겟이 되도록 했습니다. 그 결과, 허니팟은 5월 한 달 동안 하루에 170건이 넘는 공격을 받았습니다.

공용 인터넷에서의 이러한 공격은 상당히 성공적이었습니다. 저희가 만든 사설 시장은 10번중 9번 공격을 당했습니다. 이러한 공격의 대부분은 web shell을 서버에 추가하여 공격자가 허니팟에서 시스템 명령을 실행할 수 있게 합니다. 이를 통해 웹 메일러, 결함 페이지 및 피싱 키트 등과 같은 다른 파일을 추가 할 수 있었습니다.

공격자 마다 사용한 기술은 달랐습니다. 개방형 인터넷의 공격자는 자동화 된 공격 도구를 사용하는 경향이 있는 반면, 다크 웹 공격자는 일반적으로 더 신중하고 시간을 들여 수동 공격을 하는 경향이 있었습니다. 예를 들자면, 먼저 web shell을 통해 시스템에 액세스 한 후 디렉토리 나열, 데이터베이스 내용 체크 및 구성/시스템 파일 검색을 통해 서버에 대한 정보를 수집합니다.


그림 6 – 공격자가 암호로 보호한 web sell 업로드의 예.
일반적으로 손상된 시스템에서 지속성을 유지하는데 사용됨


그림 7 –Tor-anonymized 피싱 메일을 생성하기위해 침입자가 사용하는 메일러의 예


그림 8 – 허니팟에 설치된 취약점 스캐너 (SQL Injections)

이러한 수동적 공격자는 허니팟에 자신이 배치한 파일을 삭제하는 경우가 많았습니다. 어떤 사람들은 심지어 우리에게 허니팟을 발견했음을 나타내는 메시지를 남기기도 했습니다.

흥미롭게도 공격자들은 디도스 또는 스팸과 같은 모든 기존의 공격이 Tor에서 자동으로 익명화 될 것이므로 다크 웹에 숨겨진 서비스가 노다지라는 것을 알고 있는 듯 합니다.

서로 공격하는 공격자

핵심 연구 결과 중 하나는 다크 웹에서 활동하는 조직들이 서로 공격을 한다는 것입니다. 허니팟은 VIP marketplaces과 같은 언더그라운드 서비스 및 “Shady”라는 조직 혹은 개인에 의해 운영되는 포럼을 모방하여 설계되었습니다. 우리는 다크 웹 내에서 허니팟에 접근하는 공격자들이 아래와 같은 공격을 실행했다는 사실에 주목했습니다.

  • 허니팟을 전복시키고, 해커가 운영하는 것으로 예상되는 경쟁 웹사이트를 홍보하기 위한 웹사이트 변조
  • 허니팟으로 들어가거나 허니팟에서 나오는 트래픽을 가로채거나 내용을 파악하려는 시도
  • 위조된 FTP 파일 서버의 기밀 데이터 절도
  • 시뮬레이션 된 채팅 플랫폼에 로그인 후 IRC 대화 모니터링
  • 지하 포럼을 실행하는 사용자 지정 응용 프로그램에 대한 수동 공격

아래의 예시를 참고하시기 바랍니다.


그림 9 – 경쟁자가 운영하는 Tor-targeted defacement


그림 10 – 경쟁 웹사이트 홍보를 위해 주입된 링크 (렌더링)


그림 11 – 경쟁 웹사이트 홍보를 위해 주입된 링크 (소스 코드)


그림 12 – 개인 키 공격의 예

결론

우리는 Tor에서 운영되는 숨겨진 서비스가 다른 사이버 범죄자들에 의해 공격받을 것이라고 생각하지 않았습니다. 하지만 잘못된 예측 이었습니다.

우리는 Tor 프록시가 일부 사람들이 생각하는 것처럼 다크 웹을 “다크하게” 만들지 않는다는 사실을 알게 되었습니다. 그 결과 허니팟에서 이 트랙픽을 걸러 내기 시작했습니다.

우리가 이를 통해 앞으로의 공격을 막을 수 있을 것이라고 생각했지만, 예상과 달리 공격은 계속 되었습니다. 사이버 범죄자들은 다른 조직에서 운영하는 서비스를 찾아 수동으로 공격하는 것으로 밝혀졌습니다. 다크 웹 내에서 색인 생성 및 검색이 더 어렵다는 것을 감안할 때, 범죄자가 경쟁자가 관리하는 사이트를 찾고 비활성화 시키는데 얼마나 많은 노력을 쏟는지 알 수 있습니다.

APWG eCrime 2017심포지엄에서 발표한 슬라이드를 참고하시기 바랍니다.

Dark Web Impact on Hidden Services in the Tor-based Criminal Ecosystem Dr. from Trend Micro


원문: Red on Red: The Attack Landscape of the Dark Web