울지않는벌새 : Security, Movie & Society

웹 서버 변조를 통한 "302 Found" HTTP 응답 코드를 이용한 리다이렉트 문제 (2014.8.16)

벌새::Analysis

예전에 포털 사이트 검색을 통해 디시인사이드(DCInside) 커뮤니티 웹 사이트 접속시 불규칙한 방식으로 "api.tistory.us" 악성 웹 서버로 납치가 이루어지는 문제에 대해 소개해 드린 적이 있었습니다.

그런데 CCL(Creative Commons License) 저작권 단체인 크리에이티브 커먼즈 코리아(Creative Commons Korea) 웹 사이트 접속시 광고 사이트로 리다이렉트가 이루어지는 문제가 있다는 정보가 확인되어 살펴보도록 하겠습니다.

네이버(Naver), 다음(Daum), 네이트(Nate) 포털 검색 서비스를 이용하여 크리에이티브 커먼즈 코리아(Creative Commons Korea) 웹 사이트를 검색하여 접속을 하는 과정에서 다음과 같은 동작을 확인할 수 있습니다.

크리에이티브 커먼즈 코리아(Creative Commons Korea) 웹 서버(www.cckorea.org)에 HTTP GET 메시지 전송을 통해 받아오는 "302 Found" 응답 코드를 통해 사용자가 접속을 원하는 사이트가 아닌 외부 웹 서버(virtualmapping.org)로 연결되는 동작을 확인할 수 있습니다.

이를 통해 연결된 웹 사이트는 "virtualmapping.org" 광고 웹 사이트로 연결된 것을 확인할 수 있습니다.

이렇게 접속된 이후 사용자가 비정상적으로 웹 사이트 연결이 이루어져서 다시 접속을 시도할 경우에는 정상적으로 크리에이티브 커먼즈 코리아(Creative Commons Korea) 웹 사이트로 연결이 이루어지고 있습니다.

위와 같은 "virtualmapping.org" 광고 사이트로 리다이렉트 되는 과정에서 "xccgtswgokoe=1" 쿠키값을 체크하여 사이트 연결을 결정하며 해외 정보를 찾아보면 2010년 하반기경부터 관련 쿠키와 관련된 납치 문제가 이슈가 되고 있었습니다.

해외 정보를 살펴보면 웹 서버에 존재하는 .htaccess 구성 파일 변조를 통해 정상적으로 연결되어야 할 웹 페이지를 공격자가 설정한 웹 사이트로 리다이렉트를 하는 공격에 대해 자세하게 설명하고 있습니다.

이번에는 구글(Google) 검색 서비스를 이용하여 크리에이티브 커먼즈 코리아(Creative Commons Korea) 웹 사이트로 접속을 시도해 보았습니다.

구글(Google) 검색을 통해 접속시에도 동일하게 "302 Found" HTTP 응답 코드를 통해 "herjinder.autotraffictechnology.com" 광고 웹 사이트로 연결을 시도하는 것을 확인할 수 있습니다.

이를 통해 그림과 같은 광고 페이지가 노출되며 사용자가 재접속을 시도할 경우에는 정상적으로 크리에이티브 커먼즈 코리아(Creative Commons Korea) 웹 사이트에 연결할 수 있습니다.

참고로 구글(Google) 검색을 통해 접속시 체크되는 쿠키값은 "Qcd=30"이며 1회 노출된 광고 페이지는 이후 접속시에는 정상적인 웹 사이트 연결이 이루어집니다.

 

위와 같이 웹 서버의 연결 구성 파일 변조를 통해 정상적인 트래픽을 광고 사이트로 연결하여 금전적 수익을 노리는 공격이 발생할 수 있으며, 위와 같은 동작은 특정 조건(접속 과정, 쿠키)에 부합될 경우 1회에 한하여 유효하므로 웹 서버 관리자는 쉽게 눈치채기 어려울 수도 있으리라 판단됩니다.

특히 위와 같은 공격으로 접속시 타 웹 서버로 연결되는 과정에서 악성코드 유포 행위도 이루어질 수 있다는 점에서 서버 관리에 문제가 있다면 많은 인터넷 사용자에게 피해를 유발할 수 있습니다.