SOAR를 사용하여 악성 도메인을 식별합니다.

스윔레인 심층 분석팀이 코로나19 관련 악성 도메인을 발견했습니다.

도메인 스쿼팅, 타이포스쿼팅, IDN 동형 공격은 피싱 및 기타 소셜 엔지니어링 공격에서 흔히 사용됩니다. 공격자는 도메인 스쿼팅과 타이포스쿼팅을 이용하여 사용자를 속여 개인 정보를 탈취하거나, 악성 소프트웨어를 배포하거나, 조직의 평판을 훼손하거나, 악의적으로 합법적인 도메인을 사칭합니다. 저희는 이 주제에 대해 이전에 논의한 바 있으며, 관련 자료를 개발했습니다. 고유한 사용 사례 Swimlane을 사용하면 이러한 악성 활동을 자동으로 감지할 수 있습니다.

최근, 저희는 코로나바이러스(COVID-19) 관련 도메인 모니터링을 시작했습니다. 관련 정보를 검색하는 트래픽이 증가할 것으로 예상되었고, 이는 악의적인 공격자들이 악용할 가능성이 있다고 판단했기 때문입니다. 모든 도메인이 악의적이거나 스푸핑(또는 타이포스쿼팅) 기법에 초점을 맞춘 것은 아니지만, 저희는 이 사례를 통해 "코로나"와 "코비드" 관련 등록 도메인을 식별하기로 했습니다. 지난 2주 동안 5054개의 코로나 관련 도메인이 등록된 것을 확인했습니다.

Swimlane을 사용하여 식별된 5,054개 도메인 중 다수 보안 오케스트레이션, 자동화 및 대응(SOAR) 이러한 솔루션은 백신, 진단 키트, 용품, 자원 등을 판매하거나, 금전적 이득을 위해 아무것도 모르는 사람들을 이용하려는 시도에 초점을 맞추고 있습니다.

이 정보를 바탕으로, 코로나19 관련 웹사이트를 이용할 때는 극도로 주의하시고, 이메일, 문자 메시지, 소셜 미디어 등을 통해 받는 모든 정보에 대해 의심을 품으시기 바랍니다.

기법

새로 등록된 이러한 "코로나" 도메인은 일반적인 도메인 스쿼팅 범주에 속하지는 않지만(자세한 내용은 아래 참조), 다양한 "스쿼팅" 공격에 대한 개괄적인 설명을 드리고자 합니다. 이 글에서는 이러한 다양한 공격들을 통칭하여 "스쿼팅"이라고 부르는데, 이는 사용자가 합법적인 웹사이트처럼 보이는 도메인/URL을 통해 접속하도록 속이는 공격 방식입니다. 합법적인 도메인은 여러 가지 방법으로 복제되어 합법적인 도메인으로 위장될 수 있으며, 그 방법은 다음과 같습니다.

• 도메인 점유: 공격자는 대상 조직이 조치를 취하기 전에 대상의 예상 도메인 이름을 간단히 등록하고 금전적 또는 악의적인 목적으로 이를 보유합니다.
• 타이포스쿼팅: 공격자는 대상 도메인과 모양, 키보드 오타 발생 가능성 또는 미세 조정된 최상위 도메인(TLD) 등이 유사한 도메인을 등록하고, 사람들이 실수로 해당 도메인으로 보내는 트래픽을 가로챕니다.
• IDN 동형 문자 공격: 공격자는 국제 도메인 이름(IDN) 프로토콜을 통해 등록된 대상 도메인과 시각적으로 유사하거나 동일한 도메인을 등록합니다. 이 프로토콜은 도메인 이름에 중국어, 아랍어, 한국어, 암하라어 등의 문자를 표시할 수 있도록 합니다. 러시아어 "а"와 같은 일부 문자는 특정 영어 알파벳과 모양이 동일하여 "apple.com"(영어 "a")과 "аpple.com"(러시아어 "а")이 완전히 다른 서버로 연결될 수 있으며, 최종 사용자는 이를 전혀 알아차리지 못합니다.

우리가 살펴볼 도메인들은 "사기" 또는 "폭리" 도메인으로 특별히 분류된 것들입니다. 최근 몇 주 동안 5,054개 이상의 도메인이 등록되었다는 사실은 이러한 도메인들이 공식적인 자료가 아니며 대부분 신뢰할 수 없다는 것을 시사합니다.

영향

전반적인 도메인의 영향은 아직 알려지지 않았지만, 지난주에 코로나19 관련 피싱 공격을 받은 사례가 여러 건 발생했습니다. 이러한 피싱 공격은 일반적인 URL 공격부터 악성 문서(maldoc) 및 SMS 공격에 이르기까지 다양합니다. 국가 사이버 보안 센터 그들은 "코로나바이러스 관련 웹페이지 등록이 증가한 것을 확인했는데, 이는 사이버 범죄자들이 이번 사태를 악용하고 있을 가능성을 시사한다"고 밝혔으며, 이는 우리의 조사 결과와도 일치합니다.

2020년 2월 16일, 세계보건기구(WHO)가 발표했습니다 그들은 범죄자들이 세계보건기구(WHO) 직원으로 위장하여 돈이나 민감한 정보를 훔치려 시도하는 것을 목격했습니다.

추가 연구

다시 말씀드리지만, 이러한 도메인의 영향은 아직 알려지지 않았지만, 이러한 도메인 중 상당수는 악의적인 목적으로 계획되었거나 사용될 가능성이 높습니다. 도메인 스쿼팅 사용 사례 적용 이는 도메인 등록기관과 호스팅 제공업체 모두에게 자동 삭제 알림을 보낼 수 있는 기능입니다. 저희는 지속적으로 활동을 모니터링하여 악성 도메인이 발견될 경우 해당 등록기관에 보고할 것입니다.

잠재적인 코로나19 관련 도메인 탐지 및 조사를 지원하기 위해, 모든 (대부분의) gTLD(도메인 확장자)의 등록 도메인이 포함된 GitHub 저장소를 제공합니다. 또한, 두 개의 JSON 파일 형태의 추가 데이터 세트도 제공합니다. 이 파일들은 다음 용어에 특화되어 있으며 필요에 따라 업데이트될 예정입니다.

• 코로나
• 코로나
• 팬데믹

저희는 각 용어(및 혼동하기 쉬운 용어)에 대해 동일한 데이터를 포함하지만 구조가 다른 두 개의 JSON 파일을 제공합니다. 예를 들어, 다음과 같은 데이터 구조를 제공합니다.

1. domains_by_ip.json이 JSON 파일들은 도메인 이름을 키-값으로 하여 구성되어 있으며, 값은 해당 도메인에 등록된 IP 주소입니다.
2. ips_by_doman.json이 JSON 파일들은 IP 주소를 키-값으로 구성하여 정리되어 있으며, 값은 해당 IP 주소와 연결된 도메인 목록입니다.
3. 마스터 블랙리스트.txt이 파일에는 .gov로 끝나는 도메인을 제외한 모든 용어와 해당 용어가 식별된 도메인의 블랙리스트가 포함되어 있습니다. 대부분의 경우 이러한 도메인을 모두 블랙리스트에 추가해야 하지만, 사용 여부는 사용자의 판단에 맡기십시오.

이 데이터 세트는 매일 업데이트 및 보관되며, 다음 GitHub 저장소에서 확인할 수 있습니다. https://github.com/swimlane/deepdive-domain-data.

과제: 탐지

잠재적 도메인을 모니터링하는 첫 번째 단계는 "코로나" 또는 "코비드"라는 단어가 포함된 도메인을 찾는다는 점에서 매우 간단합니다. 그다음 과제는 IDN 동형 도메인 이름을 사용하거나, 단순히 0을 O로 바꾸는 등 모든 조합을 사용하는 도메인을 찾는 것입니다. 바로 이 부분이 진정한 난관이며, 저희의 사용 사례에는 이러한 로직이 기본적으로 포함되어 있습니다.

도전 과제: 시간

저희가 확인한 도메인 중 상당수는 현재 활성화되어 있지 않지만, 도메인 이름은 등록기관(ICANN)을 통해 구매 및 할당된 상태입니다. 문제는 시간이 지남에 따라 이러한 도메인들이 오래될 것이고, 언제든 악성 코드가 숨어 있을 가능성이 있다는 것입니다. 따라서 악성 공격을 예방하려면 이러한 도메인들을 정기적으로 점검하는 것이 매우 중요합니다.

자동화가 구세주입니다!

Swimlane은 매일 새로 등록된 도메인 목록을 수집하여 사용자가 모니터링하려는 도메인 목록과 비교할 수 있습니다. 새로 등록된 각 도메인과 사용자가 모니터링하려는 각 도메인 간에는 세 가지 비교가 이루어집니다. 비교 항목은 다음과 같습니다.

• CONTAINED_IN: 새로 등록된 도메인에는 모니터링 대상 도메인이 포함되어 있습니다(예: "coronaid.net"에는 "coronaid.net"의 "corona"가 포함되어 있습니다).
• 혼동하기 쉬운: 새로 등록된 도메인은 IDN 동음이의어 공격이나 소문자 'l'을 대문자 'i'로, 0을 'o'로 대체하는 등 혼동을 일으킬 수 있는 문자를 사용하여 모니터링 중인 도메인과 유사합니다.
• 레벤슈타인 거리새로 등록된 도메인은 모니터링 중인 도메인과 매우 유사하지만, 텍스트가 약간 변형되었습니다. 레벤슈타인 거리는 하나의 문자열을 다른 문자열로 변환하기 위해 필요한 변경 횟수를 나타냅니다. 두 문자열이 충분히 유사하면 Swimlane은 일치 항목을 감지합니다.

Swimlane은 잠재적인 도메인 점유 지역을 식별한 후 해당 도메인의 스냅샷을 찍기 시작합니다. Swimlane은 하루에 한 번 다음 정보를 수집합니다.

• SSL 인증서
• 서버 정보
• WHOIS 정보
• 웹사이트의 스크린샷 및 내용

스크린샷 및 웹사이트 내용에 대한 참고 사항입니다.

페이지가 충분히 유사하다면 추가 조치는 필요하지 않습니다. 하지만 웹 호스팅 도메인 파킹 페이지가 갑자기 일반 웹페이지로 바뀌거나 다른 방식으로 페이지 내용이 크게 변경되면 분석 담당자에게 알림이 전송되어 모니터링 대상 도메인과의 유사성을 조사하게 됩니다.

도움이 되었으면 좋겠습니다. 모두 안전하게 지내세요!